Bir otomotiv yan sanayi firması düşünün: ERP sistemi üretim planlama modülüyle entegre çalışıyor, SCADA ekranları vardiya amirinin tabletine yansıyor, tedarikçi siparişleri doğrudan üretim hattını tetikliyor. Kâğıt üzerinde mükemmel bir operasyonel verimlilik tablosu. Ancak aynı tablo, üç yıl önce Stuxnet saldırısının dünyaya öğrettiği dersi de içinde barındırıyor: endüstriyel kontrol sistemleri artık fiziksel değil, dijital bir tehdit yüzeyine sahip.
Endüstri 4.0 kavramı Hannover Messe’de kurumsal gündemin merkezine oturduğundan bu yana üretim yöneticileri iki ayrı dünyayı tek çatı altında yönetmek zorunda kalıyor. Birincisi operasyonel teknoloji (OT) dünyası: PLC’ler, SCADA sistemleri, sensörler, bantlar. İkincisi bilgi teknolojisi (BT) dünyası: ERP, e-posta sunucuları, kurumsal ağ altyapısı. Bu iki dünyanın birbirine bağlanması verimlilik açısından gerçek kazanımlar sunuyor; ancak aynı bağlantı, OT sistemlerini daha önce hiç maruz kalmadıkları bir saldırı vektörüne açıyor.
Stuxnet bu tartışmanın başlangıç noktası olmak zorunda. İran’ın Natanz tesisindeki uranyum zenginleştirme santrifüjlerini hedef alan bu zararlı yazılım, endüstriyel kontrol sistemlerinin fiziksel izolasyonunun artık yeterli bir güvence olmadığını kanıtladı. Daha yakın bir örnek olarak 2013 sonunda Almanya’da bir çelik fabrikasının kontrol sistemlerine sızdırılan zararlı yazılım, yüksek fırının düzensiz kapanmasına yol açtı ve ciddi fiziksel hasar oluştu. Bu vakalar birer istihbarat operasyonu olarak okunabilir; ancak aynı teknikler siber suç gruplarının eline geçtiğinde hedef büyük tesis olmak zorunda değil. Orta ölçekli bir üretim firmasının zayıf korumalı ağı, fidye yazılımı veya sabotaj girişimi için eşit derecede cazip bir hedef.
Üretim sistemlerinin BT ağından izolasyonu bu riskin yönetiminde birinci öncelik. Sektörde ‘hava boşluğu’ (air gap) olarak bilinen fiziksel izolasyon yöntemi, OT sistemlerini kurumsal ağdan tamamen ayırıyor. Ancak ERP entegrasyonunun sağladığı operasyonel faydaları korumak isteyen firmalar için tam izolasyon artık gerçekçi bir seçenek değil. Bunun yerine ‘demilitarized zone’ (DMZ) mimarisi devreye giriyor: OT ve BT ağları arasına konumlanan ayrı bir ağ katmanı, veri akışını denetimli geçiş noktalarından yönlendiriyor, doğrudan erişimi engelliyor. Bu yapının kurulumu teknik bir karar değil, stratejik bir yatırım kararı; toplam sahip olma maliyeti (TCO) hesabına siber güvenlik altyapısının dahil edilmesi gerekiyor.
Erişim kontrolü ise izolasyonun tamamlayıcısı. Üretim sistemlerine kimin, hangi yetkiyle, hangi kanaldan erişebildiği net olarak tanımlanmadığında teknik güvenlik duvarları tek başına yetersiz kalıyor. Asgari yetki ilkesi (principle of least privilege) bu noktada pratik bir çerçeve sunuyor: her kullanıcı ve sistem yalnızca görevini yerine getirmek için gereken minimum erişim hakkına sahip olmalı. Tedarikçi ve bakım firmalarına verilen uzaktan erişim yetkilerinin periyodik olarak gözden geçirilmesi, tek kullanımlık ya da zaman sınırlı kimlik bilgileriyle kısıtlanması bu ilkenin somut uygulamaları. Türkiye’deki pek çok üretim firmasında bu yetkilerin kurulumdan sonra hiç güncellenmediği görülüyor; eski çalışanların veya ayrılan tedarikçilerin erişim hakları aktif kalmaya devam ediyor.
Olay müdahale planı ise yönetim sorumluluğunun en çok göz ardı edilen boyutu. Siber güvenlik yatırımlarının büyük çoğunluğu önleme odaklı; saldırı gerçekleştiğinde ne yapılacağına dair hazırlık çoğu zaman eksik. Üretim hattı durduğunda ya da kontrol sistemleri beklenmedik davranışlar sergilediğinde hangi adımlar atılacak, karar yetkisi kimin elinde, dış destek için hangi kanallar kullanılacak? Bu soruların cevapları kriz anında değil, öncesinde yazılı hale getirilmeli ve düzenli tatbikatlarla test edilmeli. Bir üretim firmasında olay müdahale planının yokluğu, ROI hesabında görünmez bir maliyet kalemi oluşturuyor: saldırı sonrası toparlanma süresi ve üretim kaybı, önleyici yatırımın çok üzerinde bir bedele dönüşebiliyor.
Karar vericiler için somut kriter şu: eğer üretim sistemleriniz kurumsal ağla herhangi bir noktada temas halindeyse siber güvenlik artık BT departmanının teknik meselesi değil, operasyonel risk yönetiminin parçası. Başlangıç noktası olarak mevcut OT-BT bağlantı noktalarının envanterini çıkarmak, her bağlantı için risk değerlendirmesi yapmak ve erişim yetkilerini güncel tutmak üç somut adım sunuyor. Bu adımlar büyük bütçeler gerektirmiyor; ancak ertelendikçe maliyeti katlanarak büyüyor.