Endüstriyel kuruluşların %7’snini güvenlik açıklarını yalnızca gerektiğinde ele alıyor olması kurumları planlanmamış kesintilere, üretim kayıplarına ve olası siber ihlallerden kaynaklanabilecek itibar ve mali zararlara maruz bırakıyor.
Güvenlik araştırmacıların VDC Research ile birlikte yürüttüğü “Amaca Yönelik Çözümlerle OT Güvenliğini Sağlama” araştırması, endüstriyel sektördeki değişen siber güvenlik açıklarına ışık tutuyor. Enerji, kamu hizmetleri, üretim ve ulaşım gibi kilit sektörlere odaklanan bu araştırmada, endüstriyel ortamların siber tehditlere karşı güçlendirilmesinde karşılaşılan önemli eğilimleri ve zorlukları ortaya çıkarmak için 250’den fazla karar vericiyle anket yapıldı.
Güçlü bir siber güvenlik stratejisi, iş liderlerinin hangi varlıkların korunmaya ihtiyaç duyduğunu anlamasına ve en yüksek riskli alanları değerlendirmesine olanak tanıyarak, kuruluşun varlıklarına tam görünürlük sağlamakla başlar. BT ve OT (Operasyonel Teknoloji) sistemlerinin birleştiği ortamlarda bu, kapsamlı bir varlık envanterinden daha fazlasını gerektirir.
Kuruluşlar, operasyonel gerçeklikleriyle uyumlu bir risk değerlendirme metodolojisi uygulamalıdır. Bunu net bir varlık temel çizgisi oluşturarak hem kurumsal risk kriterlerini hem de güvenlik açıkları nın potansiyel fiziksel ve siber sonuçlarını ele alan anlamlı risk değerlendirmeleriyle yapabilirler.
Ancak bu konudaki son anket bulguları endişe verici bir eğilimi ortaya koyuyor. Önemli oranda kuruluş, düzenli sızma testi veya güvenlik açığı değerlendirmesi yapmıyor. Katılımcıların yalnızca %27,1’i bu kritik değerlendirmeleri aylık olarak gerçekleştirirken, %48,4’lük çoğunluk değerlendirmeleri birkaç ayda bir yapıyor.
Endişe verici bir şekilde, %16,7’si bunu yılda yalnızca bir veya iki kez yapıyor ve %7,4’ü yalnızca gerektiğinde güvenlik açıkları ele alıyor. Bu tutarsız yaklaşım, giderek karmaşıklaşan tehdit ortamında kurumları savunmasız bırakabilecek bir durum.
Her yazılım platformu doğası gereği hatalara, güvensiz kodlara ve kötü niyetli aktörlerin BT ortamlarını tehlikeye atmak için kullanabileceği diğer zayıflıklara karşı savunmasız kalabilir. Bu nedenle endüstriyel şirketler için etkili yama yönetimi bu riskleri azaltmak için çok önemlidir.
Ancak araştırmalar, birçok kuruluşun bu alanda önemli zorluklarla karşılaştığını ve genellikle kritik güncellemeler için operasyonları duraklatmak için gerekli zamanı ayırmakta zorlandığını ortaya koyuyor. Rahatsız edici bir şekilde, birçok kuruluş OT sistemlerine yalnızca birkaç ayda bir veya daha uzun bir süre yama uyguluyor ve bu da risk maruziyetlerini önemli ölçüde artırıyor. Kurumların %31,4’ü yamaları aylık olarak uygularken, %46,9’u bunu birkaç ayda bir yapıyor. %12,4’ü ise yılda yalnızca bir veya iki kez güncelliyor.
Etkili yama yönetiminin sürdürülmesindeki bu zorluklar, sınırlı cihaz görünürlüğü, tutarsız satıcı yama kullanılabilirliği, özel uzmanlık gereksinimleri ve yasal uyumluluğun siber güvenlik ortamına karmaşıklık katmanları eklediği OT ortamlarında daha da artıyor.
BT ve OT sistemleri giderek birbirine yaklaştıkça, genellikle açık standartlar yerine tescilli teknolojilere dayanan, geleneksel olarak farklı yapıya sahip söz konusu sistemlerin uyumlu hale getirilmesi için acil bir ihtiyaç ortaya çıkıyor. Varlık takibi ve sağlık izleme için kameralar ve akıllı sensörlerden gelişmiş iklim kontrol sistemlerine kadar Nesnelerin İnterneti (IoT) cihazlarının hızla çoğalması, bu zorluğu daha da artırıyor. Bu bağlı cihaz patlaması, endüstriyel kuruluşlar için saldırı ( güvenlik açıkları ) yüzeyini genişletiyor ve sağlam siber güvenlik önlemlerine duyulan acil ihtiyacın altını çiziyor.
HUAWEI MatePad Pro 12.2 (2025): Yanınızda binlerce kitap ve çizim tahtası var gibi
