2. Ajanda
» Endüstri 4.0
» Dijitalleşme ve Güvenlik
» Endüstriyel Sistemlerde Güvenlik
» Yakın tarihten örnekler
» Önlem Yaklaşımı
3. Endüstri 4.0
• ENDÜSTRİ 1.0
Su ve Buhar Enerjili Mekanik Üretim Tesisleri
• ENDÜSTRİ 2.0
İş Bölümüne Dayalı Elektrik Enerjili Kitlesel Üretim
• ENDÜSTRİ 3.0
İmalatın Otomasyonunu İleriye Taşımayı Başaran Elektronik ve Bilgi
Teknolojileri
• ENDÜSTRİ 4.0
Siber Sistemlere Dayalı Üretim
5. Endüstriyel Sistemlerde Güvenlik
Karşılaşılan temel problemler:
• Doğrulanmamış Protokoller
• Eski/Desteği kesilmiş Donanım Kullanımı
• Zayıf Kullanıcı Kimliği Doğrulama Sistemleri
• Zayıf Dosya Bütünlüğü Denetimleri
• Zafiyetli İşletim Sistemleri
• Kayıt dışı 3. Bileşenler
6. Doğrulanmamış Protokoller
• Çoğu ICS protokolü kimlik bilgisi
olmadan çalışır. Sistem, verinin
güvenli kaynaktan gelmesine
dayanır.
• ICS protokolünün kimliği
doğrulanmadığında ağdaki
herhangi bir bilgisayar, işlemleri
manipüle edebilir.
7. Eski/Desteği Kesilmiş Donanım Kullanımı
• ICS donanımları on yıllar boyunca
kullanılabilir. PLC’ler, RTU’lar,
VFD’ler, koruyucu röleler.. vb.
• Modern ağ teknolojilerinden
yoksun eski donanımlar zafiyetler
içerebilmektedir ve üreticisi
tarafından desteği kesildiği için
güncellenemediğinden zafiyetli
olarak kalmaktadır.
8. Zayıf Kullanıcı Kimliği Doğrulama
Sistemleri
• ISC kullanıcıları genellikle parolalar
ile doğrulama yaparlar, ancak eski
kontrol sistemlerinde sabit
kodlanmış parolalar kullanır.
• Parolalar kolayca kurtarılır,
sistemlerde özeti alınmadan
saklandıkları için parolalara
kolaylıkla ulaşılabilir.
• Parolaları elde eden saldırganlar
kolaylıkla sistemle etkileşime
geçebilirler.
9. Zayıf Dosya Bütünlüğü Denetimleri
• Doğruluk kontrolü veya kodun
bütünlüğünü, kökenini doğrulama
kabiliyetindeki zayıflıklar
• Şifreleme doğrulamasının ISC
sistemlerdeki eksik olduğu
durumlar;
• Zayıf yazılım imzalama
• Zayıf yazılım bütünlüğü
kontrolleri
• Zayıf mantıksal kontrol
denetimleri
10. Zafiyetli İşletim Sistemleri
• Kullanılan işletim sistemlerindeki
özellikle eski versiyon
güncellemeleri almamış, zafiyetli
Microsoft Windows işletim
sistemleri ISC sistemlerinde
güvenlik zafiyetlerine neden
olmaktadır.
11. Kayıt Dışı 3. Parti Bileşenler
• ISC sistem yöneticileri genellikle
üçüncü taraf uygulama ve bileşenleri
nadiren belgelemekte ve
izlemektedirler.
• 3. parti bileşenlerin kullanımdan haberi
dahil olmayan sistem yöneticileri olduğu
gözlemlenmektedir.
• Takibi yapılamayan bu bileşenler
zafiyetli olsa bile haberi olmadığından
zafiyetli olarak sistemde hizmet
vermeye devam etmektedirler.
13. Örnekler
• Wannacry zararlısı endüstriyel
sistemlerdeki güncel olmayan
işletim sistemlerindeki
zafiyetlerden yararlanarak
üretimlere ara verilmesine neden
olmuştur.