Kanada’nın ulusal siber ajansı, internet üzerinden erişilebilen endüstriyel kontrol sistemlerini içeren bir dizi olayın ardından, hayati altyapıdan sorumlu kuruluşlara bir uyarı yayınlayarak, onları zorunlu iki faktörlü kimlik doğrulama da dahil olmak üzere ek güvenlik önlemleri almaya çağırdı. Kanada Siber Güvenlik Merkezi (Siber Merkez) ve Kanada Kraliyet Atlı Polisi (RCMP) yakın zamanda bir su arıtma tesisi, bir petrol ve gaz şirketi ve bir tarım sahası da dahil olmak üzere çok sayıda tesise yetkisiz erişim raporları aldı.
Bir vakada, bir su tesisinde tahrif edilmiş basınç değerleri yaşandı ve bu da hizmetin bozulmasına neden oldu. Başka bir olay, otomatik bir tank göstergesinin manipülasyonunun yanlış alarmları tetiklediği bir petrol ve gaz şirketiyle ilgiliydi. Üçüncü bir vakada, bilgisayar korsanlarının bir tahıl kurutma silosundaki sıcaklık ve nem kontrollerine müdahale ettiği görüldü ve bu, derhal tespit edilmediği takdirde güvenli olmayan koşullar oluşturabilirdi. Bu olaylar, kritik altyapı çalışır durumda kalsa bile saldırganların yine de fiziksel risk veya itibar kaybına yol açabileceği gerçeğinin altını çiziyor.
advisory Kanada Siber Güvenlik Merkezi tarafından yapılan açıklama, saldırganların programlanabilir mantık denetleyicileri (PLC’ler), uzak terminal birimleri (RTU’lar), insan-makine arayüzleri (HMI’lar), denetleyici kontrol ve veri toplama (SCADA) sistemleri ve bina yönetim sistemleri dahil olmak üzere internette doğrudan görülebilen cihazlara fırsatçı erişime güvendiklerini vurguluyor. Belgede, devlet destekli belirli bir aktör tespit edilmemiş olsa da, bu hacktivist kampanyaların aksaklık, sosyal alarm veya itibara zarar vermek için giderek daha fazla fiziksel altyapıyı hedef aldığı vurgulanıyor.
Endüstriyel kontrol sistemleri artık uzaktan erişim, izleme veya satıcı desteği sağlamak için yaygın olarak internete bağlı olduğundan, tehdit aktörleri için cazip bir hedef oluşturuyorlar. Siber Merkez, bu sistemlerin çoğunun tasarımı ve dağıtımının başlangıçta siber güvenliğe öncelik vermediği, bunun da varsayılan veya zayıf kimlik bilgileri, açıkta kalan hizmetler ve ağ segmentasyonu eksikliğinin yaygın olduğu anlamına geldiği konusunda uyarıyor. Erişildikten sonra bu sistemler manipüle edilebilir veya diğer operasyonel ağlara pivot noktası olarak kullanılabilir.
Bu olaylara yanıt olarak ajans, altyapı sahiplerinin acil adımlar atmasını tavsiye ediyor. Bunlar, internetten erişilebilen tüm ICS cihazlarının tam bir envanterinin çıkarılmasını ve bunların açıkta kalıp kalmamasının değerlendirilmesini içerir. Doğrudan maruz kalmanın ortadan kaldırılamadığı durumlarda, kuruluşlara uzaktan erişim için iki faktörlü kimlik doğrulamaya sahip bir sanal özel ağ uygulamaları, izinsiz giriş önleme ve tespit araçlarını dağıtmaları, düzenli sızma testleri yapmaları ve sürekli güvenlik açığı yönetimini sürdürmeleri tavsiye edilir. Siber güvenlik konusunda resmi gözetime sahip olmayan belediyeler ve daha küçük kamu hizmetleri, hizmet sağlayıcılarla koordinasyon sağlamaya ve satıcı tarafından yönetilen cihazların güvenli bir şekilde yapılandırıldığını ve yaşam döngüleri boyunca bakımının yapıldığını doğrulamaya teşvik ediliyor.
Özel önerilerden biri, altyapı sistemlerine uzaktan ve idari erişim için iki faktörlü kimlik doğrulamanın veya 2FA’nın rolünü vurgulamaktadır. Kuruluşlar, parolanın ötesinde ikinci bir doğrulama yöntemi gerektirerek, kimlik bilgisi hırsızlığı veya kimlik avından kaynaklanan yetkisiz erişim riskini önemli ölçüde azaltabilir. Siber Merkez’in uyarısı, 2FA’yı kritik altyapı ağlarının korunmasında temel ancak hayati bir kontrol olarak öne ve merkeze yerleştiriyor.
Altyapı bileşenleri giderek daha fazla birbirine bağlı olduğundan ve bilgi teknolojisi ile operasyonel teknoloji ağlarının harmanlanması arttığından, hayati hizmetleri yürüten kuruluşlar artık daha fazla riskle karşı karşıyadır. Bir cihazın güvenliğinin ihlal edilmesi, daha geniş sistem erişimine, olası hizmet kesintisine veya güvenlik açısından kritik olaylara yol açabilir. Uzmanlar, su basıncı, yakıt seviyeleri veya çevre koşulları saldırganlar tarafından manipüle edildiğinde fiziksel güvenliğin siber güvenlikle iç içe geçtiğini söylüyor.
Uyarı ayrıca, hacktivistlerin yalnızca finansal kazanç elde etmeyi amaçlamayabileceklerini, aynı zamanda görünürlük arayabileceklerini, güveni sarsabileceklerini veya kamuoyunda alarm yaratabileceklerini de vurguluyor. Düşmanlar, enerji, tarım veya su yönetiminde internete bağlı cihazlara saldırarak, büyük ölçekli yıkımdan kaçınırken bir açıklama yapabilir ve bu da anında tespiti azaltabilir. Bu taktikler, hem olağandışı teknik olayların hem de anormal fiziksel tesis davranışlarının dikkatli bir şekilde izlenmesi ihtiyacını vurgulamaktadır.
Bu tavsiyenin bir sonucu olarak, Kanada’nın altyapı operatörlerinden ve belediye kuruluşlarından güvenlik duruşlarını gözden geçirmeleri, uzaktan erişim günlüklerini kontrol etmeleri, yönetici hesaplarının kilitlendiğinden emin olmaları ve mümkün olduğunda çok faktörlü kimlik doğrulama uygulamaları isteniyor. Siber Merkez, erişim kontrollerinin ve izlemenin yalnızca yönetişim, olay müdahale planlaması ve BT ile operasyonel teknoloji ekipleri arasındaki açık koordinasyon ile desteklendiğinde etkili olduğunu vurgulamaktadır.
Uyarı, olayları belirli bir ulus veya gruba atfetmese de, açıkta kalan operasyonel sistemlerden yararlanmaya çalışan aktörlerin altyapı hedefleme kampanyalarına yönelik daha geniş küresel eğilimi yansıtıyor. Bu gelişmeler su, gıda, imalat ve enerji gibi sektörlerde ilginin yeniden canlanmasına neden oldu. Kanada hükümeti bu anı, kuruluşları altyapı için siber güvenliği bir kamu güvenliği ve ulusal dayanıklılık sorunu olarak ele almaya zorlamak için kullanıyor.
Özetle, Siber Merkez’in uyarısı altyapı sağlayıcıları tarafından bir eylem çağrısı olarak alınmalıdır. Halihazırda bildirilen çok sayıda olay ve endüstriyel sistemlerin artan bağlanabilirliği göz önüne alındığında, risk tablosu hiç bu kadar acil olmamıştı. İki faktörlü kimlik doğrulama, uzaktan erişim kontrolleri, açıkta kalan cihazların envanteri ve entegre satıcı gözetimi, Kanada’nın kritik sektörlerinin ulusal güvenliğini ve hizmet sürekliliğini korumada temel adımları temsil eder.