Endüstri Dünyası adlı bir derginin 2019 yılının ilk iki ayı için yayınlamış olduğu sayısını, kapağında gördüğüm kalem pili vakumla çeken bir makine fotoğrafının dikkatimi çekmesi üzerine incelemek için aldım.
Derginin incelemesi sırasında her ne kadar asıl amacım adını sonradan öğrendiğim, Ethernet haberleşme protokolüne sahip Vakum Ejektörü Terminali SCTMI makinesi olsa da daha sonra bazı makine tanıtım makalelerini okudukça aslında şirketlerin operasyonlarında meydana gelebilecek bazı risk unsurlarının da — bilinçli bilinçsiz yazılıp yazılmadığını sorgulamadan — dergide yer aldığını fark ettim.
Endüstri 4.0'ın bizlere sunduğu yeniliklerden biri olan makinelerin birbirleri ile konuşması gün geçtikçe hayatımızın bir parçası olmaktadır. Bu iletişimin kontrol edilmesi ve güvenliği önemini artırmaktadır.
Aşağıda, dergide okuduğum Radyo Frekanslı iletişimin güvenliği ile ilgili bir makale ve birkaç farklı konu ile alakalı risk unsurunun ele alındığı kısa paragraflar yer almaktadır.
“Uzaktan Kontrol Edilen Endüstriyel Makineler Tehdit Altında
Radyo frekans (RF) teknolojisi çeşitli endüstriyel makineleri kontrol etmek için uzun zamandır kullanılıyor. Ama RF iletişim protokollerindeki yetersiz güvenlik, üretimin sabote edilmesinden sistemlerin kontrollerinin ele geçirilmesine ve izinsiz erişimlere kadar büyük sorunlara yol açabiliyor.
Endüstriyel makineleri kontrol etmeye yarayan RFlı kumandalar, günlük hayatta kullanılan uzaktan kumandalara benziyor. Her cihazda istenileni yerine getirecek komutu radyo dalgalarıyla gönderen bir verici (TX) bulunuyor. Gönderilen komutlar da diğer cihazdaki alıcı (RX) tarafından harekete dönüştürülerek bir garaj kapısını açıyor ya da bir yükün vinç ile kaldırılmasını sağlıyor. Bununla beraber endüstriyel cihazlarda kullanılan kumandaların kritik güvenlik açıkları bulunuyor.
Bir Siber güvenlik şirketinde çalışan araştırmacılar, inşaat alanlarında ve fabrikalarda kullanılan vinçler gibi büyük boyutlu makinelerin kontrollerinde bulunan zayıflıklar sonucunda dışarıdan erişim sağlanabildiğini keşfetti.
Gerçekleştirilen farklı saldırı çeşitleri sonucunda operatörler, acil durdurma düğmesine (e-stop) basmalarına rağmen kontrol altındaki makine çalıştırılabildi. Endüstriyel uzaktan kumandalara kolaylıkla sızılabilmesinin nedeninin on yıllardır değiştirilmeden kullanılan kendilerine has RF protokollerine dayanması olduğu belirtiliyor. Endüstri 4.0 ve ardından endüstriyel nesnelerin internetinin (IIoT) günlük operasyonlarda daha fazla kullanılmaya başlanması, bu tür büyük boyutlu makinelerle çalışan sektörlerde de güvenliğe daha fazla ihtiyaç duyulmasına neden oluyor.
Yapılan araştırmalarda RF ile kontrol edilen cihazların yakınında bulunan bir saldırganın radyo trafiğini yakalayabildiğini, verileri istediği gibi değiştirebildiğini ve kendi isteğine bağlı komutlar üretebildiğini de keşfetti. Saldırgan, pille çalışan ve bozuk para büyüklüğündeki basit bir radyo vericisiyle endüstriyel makinelerin kontrolünü fazla zorlanmadan ele geçirebiliyor. Ayrıca araştırmacılar RF kullanan garaj kapısını uzaktan kumandalarının endüstriyel uzaktan kumandalara göre daha iyi güvenliğe sahip olduğunu da fark etti.
Endüstriyel RF cihazlarının yenileme maliyetlerinin daha yüksek olmasına rağmen son kullanıcılara yönelik ürünlerle karşılaştırıldığında çok daha uzun kullanım süreleri bulunuyor. Bu güvenlik açıklarının uzun yıllara yayılabileceğini gösteriyor. Ancak bu cihazlardaki güvenlik açıklarının kapatılması mümkün.
Yapılan araştırma ve görüşmelerde, bazı makine üreticilerinin, gerekli önlemleri aldıklarını ve yazılım güncellemelerini bile hazırladıkları, bazılarının ise bulunan güvenlik açıklarının gerekli önlemleri uygulayan yeni nesil cihazları etkilemeyeceğini ifade ettikleri belirtiliyor. Ancak genel olarak yamalama konusunda bir çekince var. Bunun nedeni de işlerin kesintiye uğramasından dolayı zarara uğranacak olması. Üretici firmaların uzun dönemde bu sorunu çözmek için özel RF protokollerini kaldırıp açık ve standartlara dayalı protokollere odaklanması gerekiyor. Kimi üreticiler yavaş yavaş da olsa 2.4 GHz bandına geçiyorlar böylece müdahale girişimlerini azaltırken mesafeyi de sınırlıyorlar. Düşük Enerjili Bluetooh da artık standart bir seçenek haline geliyor.
Düşük Enerjili Bluetooh gibi standart ve açık protokollerin benimsenmesiyle güvenlik seviyeleri artarken üreticilerin sırtında bir yük olan özel RF protokollerinin tasarlanması ve entegre edilmesi işi de ortadan kalkmaya başlıyor.
Sistem entegratörleri olarak adlandırılan kullanıcılar da sanal engelleme özelliklerine sahip cizahlar seçmeliler. Böylece kumanda belli bir mesafenin dışına çıktığında endüstriyle makineler işlemez hale gelecektir. Bu özellik her ne kadar zafiyetleri ortadan kaldırmasa da saldırganın cihaza oldukça yakın olmasına böylece de herhangi bir saldırı sırasında saldırganın kolaylıkla yakalanmasına imkan verir. “
Bu kısa makale sonrasında, siber saldırının sıradan, günlük karşılaşabileceğimiz adi hırsızlıkta kullanabildiğini ve RF iletişiminin nasıl kırıldığını gösteren bir videoyu aşağıda paylaşmaktayım.
Bir üretim dergisinde çıkabilecek makalelerin/tanıtımların çeşitliliği ya da anlaşılabilirliği konusunda belki ön yargılarla bir yaklaşım sergileyebiliriz. Ancak, iç denetçi ve risk yönetimi alanlarında çalışan bireylerin en önemli yeteneklerinden biri farklı noktaları bir araya getirerek anlaşılabilir bir şekle büründürmesidir.
Birbirinden ve yaptığımızın işin özünden bağımsız gibi gözüken fakat özünde risk unsuru barındıran, dergide yer alan diğer unsurlar kısa paragraf olarak aşağıda paylaşılmaktadır.
“IIoT Tabanlı Akıllı Fabrikaların İnşa Süreleri Kısalıyor ve Verimlilik Artıyor.
…CC-Link gigabit hızında çalışan açık endüstriyel haberleşme platformu… CC-Link teknolojisi, güvenilir haberleşme için tüm veri bağlantı katmanı ve taşıma katmanını ele alan ve cihazlar arasındaki haberleşmeyi sağlayan bir ASIC kullanımına dayanıyor…”
Schinerder Electric firmasının bir ürününün tanıtıldığı bir makale “IT Güç Sistemlerine Yenilikçi Çözümler
…Günümüzde yaşanan teknolojik atılım beraberinde bir takım problemleri getiriyor. Bunların belki de en önemlisi temiz ve sürekli enerji üretimi. Çünkü bilişim cihazları elektrikle çalışıyor ve bu da elektrik üreten, ileten ve dağıtan enerji alt yapısının stabilitesini çok daha ciddi bir noktaya çekiyor. Dolayısıyla iş sürekliliği üzerinde doğrudan etkiye sahip olan enerji üretimine dair alt yapıya talep artıyor. 2035 yılına gelindiğinde IT güç tüketimi üzerindeki etkisinin, mutlak tüketim değeri dört katına çıkacak olan elektrikli araçların etkisinin iki katı olacağı öngörülüyor. Bu nedenle IT sektörü çözüm sağlayıcılarının, IT sistemlerinden fazlasını sunması ve modernize güç ve enerji bileşenleri sağlamaları gerekiyor. Kısacası kritik güç ekipmanlarının da geliştirilmesi gerekiyor…”
“Modüler Uzak I/O — I/O modüllerini değiştirirken tekrar yapılandırmayla uğraşmaya gerek yok
IIoT uygulamalarında sahadan I/O verilerinin toplanarak OT (özel bulut) veya IT (genel bulut) platformlarına aktarılması talebiyle gittikçe daha sık karşılaşıyoruz. I/O verisini toplamak için modüler uzak I/O birimlerini kullanmak ise her zaman kolay olmuyor; bu süreçte çıkan çok çeşitli sorunlar günlük operasyonu yavaşlatabiliyor, işleri normal seyrine döndürmek ancak ek mesai ve masrafla mümkün olabiliyor…”
“Üretim ve Paketleme Hatlarında Emniyet Hizmetleri — Entegre emniyet, emniyetin hem bağımsız makineler hem de üretim hattının tamamı için ilk tasarım aşamalarından itibaren planlamaya dahil edilmesi
Çalışanları korumak ve arızaların değerli ürün ve ekipmanlara zarar vermesini önlemek için tüm üretim veya paketleme hatlarında emniyet sistemlerine ihtiyaç duyulmaktadır. İyi bir emniyet sistemi, gerekli durumlarda hattı durdurarak potansiyel kazaları önler ve hattın yeniden başlatılmasına olanak sağlar…”
Sonuç:
Makineler arası iletişim konusunun, aslında iç denetim ve risk yönetimi alanlarında çalışanlar tarafından pek dikkat edilmeyen hususların başında geldiği kanısını oluşturmuştur.
Özellikle “Dijital Dönüşüm” gibi konuların önemini git gide artırdığı; ekonomik durağanlık ve kaynak paylaşımının tekrar gözden geçirilmesi gibi ekonomik risklerin de çoğaldığı bir zamanda siber saldırıların nereden, nasıl, kim tarafından yapıldığının belirlenmesi oldukça zorlaşmaktadır.
Üretim şirketlerinde görev yapan iç denetim ve risk yönetimi personeli, sadece finansal ya da operasyonel süreçlere odaklandığı dönemi geride bırakarak, teknolojik riskleri anlayacak yeterli düzeyde bilgi düzeyine sahip olması ihtiyacı artmaktadır; -belki de- Internal Audit 4.0 ve Risk Management 4.0 olarak adlandırılabilecek bir bakış açısı ile, değişen iş çevresine adapte olmaları bir zorunluluk olmuştur.
