Kaspersky’nin araştırmasına göre, endüstriyel kuruluşların yalnızca %7’si güvenlik açıklarını gerektiğinde ele alıyor

Günümüzün hızla dijitalleşen endüstriyel dünyasında siber güvenlik, artık ikincil bir mesele değil, operasyonel sürekliliğin ve itibarın temel taşı. Ancak VDC Research ve Kaspersky tarafından yapılan son araştırmanın bulguları, endüstriyel kuruluşların büyük bir kısmının bu konuda endişe verici bir ihmalkârlık sergilediğini ortaya koyuyor. Ankete katılan endüstriyel kuruluşların tam %7’si, güvenlik açıklarını yalnızca “gerektiğinde” ele aldığını belirtiyor. Bu yaklaşım, planlanmamış kesintilere, üretim kayıplarına ve hatta siber saldırılardan kaynaklanabilecek ciddi itibar ve mali zararlara davetiye çıkarıyor.

Değişen Tehdit Ortamı ve Endüstriyel Sektördeki Zorluklar

Kaspersky’nin VDC Research ile birlikte yürüttüğü “Amaca Yönelik Çözümlerle OT Güvenliğini Sağlama” başlıklı araştırma, enerji, kamu hizmetleri, üretim ve ulaşım gibi kilit sektörlerdeki siber güvenlik manzarasını detaylı bir şekilde gözler önüne seriyor. 250’den fazla karar vericiyle yapılan bu anket, endüstriyel ortamların siber tehditlere karşı güçlendirilmesinde karşılaşılan önemli zorlukları ve eğilimleri aydınlatıyor.

Bir siber güvenlik stratejisinin temelinde, iş liderlerinin korunması gereken varlıkları net bir şekilde anlaması ve en yüksek riskli alanları değerlendirmesi yatar. Özellikle BT (Bilgi Teknolojileri) ve OT (Operasyonel Teknoloji) sistemlerinin iç içe geçtiği günümüz ortamlarında, bu durum sadece kapsamlı bir varlık envanterinden çok daha fazlasını gerektiriyor. Kuruluşların, operasyonel gerçeklikleriyle uyumlu bir risk değerlendirme metodolojisi uygulaması şart. Bu, hem kurumsal risk kriterlerini hem de güvenlik açıklarının potansiyel fiziksel ve siber sonuçlarını ele alan anlamlı risk değerlendirmeleriyle mümkün olabilir.

Tutarsız Güvenlik Açığı Değerlendirmeleri: Savunma Hatlarında Boşluklar

Ancak anket sonuçları, bu konuda da ciddi boşluklar olduğunu gösteriyor. Önemli bir oranda kuruluş, düzenli sızma testi veya güvenlik açığı değerlendirmesi yapmıyor. Katılımcıların yalnızca %27,1’i bu kritik değerlendirmeleri aylık olarak gerçekleştirirken, %48,4’lük büyük çoğunluk bu değerlendirmeleri birkaç ayda bir yapıyor. Daha da endişe verici olanı, %16,7’si bunu yılda yalnızca bir veya iki kez yaparken, %7,4’ü ise yalnızca gerektiğinde güvenlik açıklarını ele alıyor. Bu tutarsız ve reaktif yaklaşım, giderek karmaşıklaşan ve sürekli evrilen tehdit ortamında kurumları savunmasız bırakabilecek kritik bir zaafiyet.

Yama Yönetimi Çıkmazı: Operasyonel Kesintiler ve Artan Risk

Her yazılım platformu doğası gereği hatalara, güvensiz kodlara ve kötü niyetli aktörlerin BT ortamlarını tehlikeye atmak için kullanabileceği zayıflıklara açıktır. Bu nedenle, endüstriyel şirketler için etkili yama yönetimi, bu riskleri azaltmada hayati önem taşıyor. Ancak araştırmalar, birçok kuruluşun bu alanda önemli zorluklarla karşılaştığını ve genellikle kritik güncellemeler için operasyonları durdurmakta zorlandığını ortaya koyuyor.

Gerçekten de, birçok kuruluş OT sistemlerine yalnızca birkaç ayda bir veya daha uzun aralıklarla yama uyguluyor, bu da risk maruziyetlerini önemli ölçüde artırıyor. Kurumların sadece %31,4’ü yamaları aylık olarak uygularken, %46,9’u birkaç ayda bir bu işlemi yapıyor. %12,4’ü ise yılda yalnızca bir veya iki kez sistemlerini güncelliyor.

Etkili yama yönetiminin sürdürülmesindeki bu zorluklar, özellikle OT ortamlarında daha da belirginleşiyor. Sınırlı cihaz görünürlüğü, tutarsız satıcı yama kullanılabilirliği, özel uzmanlık gereksinimleri ve yasal uyumluluk gibi faktörler, siber güvenlik ortamına ek karmaşıklık katmanları ekliyor.

BT ve OT Yakınlaşması ve IoT Cihazlarının Artan Riskleri

BT ve OT sistemlerinin giderek birbirine yaklaşmasıyla, genellikle açık standartlar yerine tescilli teknolojilere dayanan bu geleneksel olarak farklı yapıya sahip sistemlerin uyumlu hale getirilmesi acil bir ihtiyaç haline geliyor. Varlık takibi ve sağlık izleme için kameralar ve akıllı sensörlerden, gelişmiş iklim kontrol sistemlerine kadar Nesnelerin İnterneti (IoT) cihazlarının hızla çoğalması, bu zorluğu daha da artırıyor. Bu bağlı cihaz patlaması, endüstriyel kuruluşlar için saldırı yüzeyini genişleterek, sağlam siber güvenlik önlemlerine duyulan acil ihtiyacın altını çiziyor.

Kaspersky’nin Siber Bağışıklık Yaklaşımı: Geleceğin Güvenlik Paradigması

Kaspersky, bu alanda endüstriyel müşteriler için özel OT sınıfı teknolojileri, uzmanlık bilgisini ve paha biçilmez uzmanlığı sorunsuz bir şekilde entegre eden benzersiz bir ekosistem sunuyor. Kritik altyapılar için yerel bir XDR platformu olan Kaspersky Industrial Cybersecurity (KICS), merkezi varlık envanteri, risk yönetimi ve denetimi sunarak, tek bir platform aracılığıyla çeşitli ve dağıtılmış altyapılarda güvenlik ölçeklenebilirliği sağlıyor. Ayrıca Kaspersky, endüstriyel kuruluşların yeni OT cihazları veya sistemleri kurarken Secure by Design (Tasarımdan Güvenli) ideolojisini benimsemelerini öneriyor.

KasperskyOS İş Birimi Başkanı Dmitry Lukiyan’ın da belirttiği gibi, Kaspersky’de Secure-by-Design konsepti “Siber Bağışıklık” yaklaşımıyla hayata geçiriliyor. Bu, bilinmeyen güvenlik açıklarından yararlanan saldırılara bile dayanabilen, mimari açıdan esnek ürünler ortaya koymak anlamına geliyor. Geleneksel sistemlerin aksine, Siber Bağışık ürünler sürekli yama veya harici güvenlik katmanlarına ihtiyaç duymazlar. Sonuç olarak, müşteriler güvenlikten ödün vermeden daha güçlü koruma, basitleştirilmiş bakım ve daha düşük toplam sahip olma maliyetinden faydalanırlar. KasperskyOS tabanlı Siber Bağışık ürünlerle kurumlar, minimum ek siber güvenlik maliyetiyle sistemlerinin dayanıklılığını artırabilir, böylece uzun vadede genel siber güvenlik giderlerini azaltabilirler.

Endüstriyel kuruluşların siber dayanıklılıklarını artırmaları ve tüm varlık ve süreçlerini kapsamlı bir şekilde korumaları, sürdürülebilir bir gelecek için vazgeçilmez bir hale gelmiştir.