TÜPRAŞ'ta Siber Güvenlik ve Proses Emniyeti Eylül 2018
İçerik Önemli Tanımlar Dün ve Bugün Siber Tehditler Yaşanmış Siber Güvenlik Vakaları Proses Emniyeti ve Siber Güvenlik TÜPRAŞ ta Siber Güvenlik Uygulamaları 8
Önemli Tanımlar 3
Önemli Tanımlar Siber Tehdit: Herhangi bir siber tehdit kaynağının kasıtlı olarak veya kazayla sistemlerdeki bir açıklığı kullanarak varlıklara zarar verme potansiyeli Siber Saldırı : Kasıtlı ve kötü niyetli olarak, bilgi sistemi işleyiş süreçleri ve verilerini değiştirmek, ele geçirmek veya yok etmek/ kullanılamaz hale getirmek amacıyla yapılan planlı ve koordineli saldırılar Siber Savaş: Siber saldırıların ülkelere yönelik yapılması Siber orduları olduğu bilinen ülkeler: Gelişmiş Batı ülkeleri, Çin, Rusya, Kuzey Kore, İsrail ve İran Siber Güvenlik Sistemleri, ağları, uygulamaları ve dijital verileri koruma altına almak için uygulanan tüm güvenlik tedbirleri 4
Siber Güvenliğin Temel Amacı Sistem/Bilgi bütünlüğünün korunması Mahremiyet ve gizliliğin korunması Sistemin devamlılığının sağlanması 5
Siber Risk Açısından BT ve OT Bilgi Teknolojileri Operasyonel teknolojiler Öncelik: Veri Gizliliği ve bütünlüğü Öncelik: İnsan sağlığı ve proses emniyeti Devamlılık riski önemlidir. Plansız Devamlılık büyük Standart bir risk BT olmayabilir güvenlik yaklaşımı ile mevcut güvenlik kesinti/duruş kontrol katastrofik etkiye neden ve araçlarını Operasyonel Teknolojilere uygulamaya olabilir. çalışmak Performans sorunlarının geri genellikle dönülemez sonuçlara yol açabilir. Performans sorunları proses güvenliğine büyük etkisi olmaz etki edebilir. Sistem yaşam döngüleri genellikle 3-5 yıldır Güvenlik yamaları düzenli geçilir Sistem yaşam döngüleri genellikle 10-15+ yıldır Güvenlik yamaları tedarikçi onayı sonrası genellikle gecikmeli geçilir 6
Dün ve Bugün Siber Tehditler 7
Geçmişte Siber Tehditlere Karşı Durum? Çok değil bundan 20 yıl önce, endüstriyel tesislerde Dijital olmayan limitli otomasyon sistemleri Eski teknoloji ve ekipmanların kullanımı Özel endüstriyel protokoller ile çalışan dışa kapalı sistemler Sistemler sadece dedike fonksiyonlar için kapalı devre İnternet ve kurumsal ağlar ile izole kontrol sistemleri Kendi içinde izole üniteler Akıllı olmayan terminallar 8
Günümüzde Siber Tehditlere Karşı Durum? Endüstriyel kontrol sistemleri artık; Ağ altyapısı gelişmiş olup, diğer ağlara ve bazı durumlarda internet ağına açık, Son kullanıcı- Sunucu mimarisi üzerinde modern işletim sistemleri ile donatılmış, Teknolojik ve birbirine bağlı saha ekipmanları ve Endüstriyel kontrol uygulamaları barındıran, Verilerin dağıtık olması dolayısıyla kritik önemde güvenlik açıklıkları taşıyan, Uzaktan hızlı destek ve mühendislik amaçlı bağlantı kurulabilen sistemlerdir. 9
OT Güvenlik Performansına Etki Eden Faktörler Verimlilik Akıllı Fabrikalar Uzak Lokasyonlar Veri Analitiği OT Dünyası BT-OT Yakınsama IOT/Endüstri 4.0 Siber Fiziksel Sistemler 10
Tehdit Kaynakları Hacker/Hactivist İç saldırganlar Yetkisiz erişim Bazen intikam bazen kaza ile Sesini duyurma/kanıtlama şirket ağ ve sistemlerine zarar vermek Para kazanmak amacı Siber dünyada barış ve savaş durumunun zaman ve mekan sınırları belirsizleşmiştir Düşman Ülkeler Suç Örgütleri/Teröristler Politik, ekonomik veya askeri sebeplerle başka ülkelerin kritik sistem ve altyapılarına zarar vermek Sistemlere para kazanma veya ideoloji yayma amaçlı şantaj ve servis dışı bırakma saldırıları yapmak Atak Motivasyonu kapsamında Hacking Araçları Kullanılarak Açıklık bulunduran Hedefler üzerinden Tehdit eden Tehdit Kaynakları Siber Atak Gerçekleşme 1 Bilgilendirme Sunumu Eylül 2018 11
Tehdit Kaynakları Güvenlik Olayının Gerçekleşme Olasılığı Güvenlik Olayının Olası Maliyeti İç Saldırganlar Hackerlar Hactivistler Suç Örgütleri Teröristler Düşman Ülkeler Tehdit Kaynağı Yetenekleri BT konusunda bilgili kişiler tarafından hedefe yönelik olmayan saldırılar BT konusunda bilgili kişiler tarafından hedefe yönelik saldırılar EKS konusunda bilgili kişiler tarafından hedefe yönelik saldırılar Hedefe Yönelik/Sofistike Saldırı 12
Yaşanmış Siber Güvenlik Vakaları 13
Kritik Altyapılarda Yaşanmış Siber Güvenlik Vakaları İran Stuxnet Saldırısı Tarih: Haziran 2010 Hedef: İran ın nükleer programı Kullanılan Araç: Stuxnet i özel kılan en önemli şey; İnternete bağlı bilgisayarları değil USB ile veri girişi yapılan bilgisayarı da ele geçirebilmesi ve kendine yönelik kullanabilmesi Açıklık: Çalışan Farkındalığı ve Altyapı güvenlik kontrolleri eksikliği Sonuç: Nükleer yakıt zenginleştirme tesislerini hedef alan bu saldırı santrifüjlerin çılgınca dönmesine yol açtı ve ciddi fiziki zararlar verdi. Siber saldırılar günümüzde sadece enformatik veri hırsızlığının ötesinde, Stuxnetle birlikte fiziki tahribat verilebileceğini de kanıtlamıştır! 14
Kritik Altyapılarda Yaşanmış Siber Güvenlik Vakaları Tarih: 23/12/2015 Ukrayna Elektrik Kesintisi Hedef: Ukrayna Elektrik şebekesi Kullanılan Araç: Oltalama saldırısı ve sonrasında Elektrik dağıtım SCADA sistemlerine özel zararlı yazılımın uzaktan yöntemler ile enjekte edilmesi Açıklık: BT-OT izolasyonu ve personel farkındalığı Sonuç: Ukrayna da 100 bine yakın kişiyi etkileyen uzun süreli bölgesel elektrik kesintisi 15
Kritik Altyapılarda Yaşanmış Siber Güvenlik Vakaları Dragonfly Saldırısı Tarih: 2016 ve 2017 yılı Hedef: Batıdaki enerji sektörü, çok yönlü ve gelişmiş atak grupları tarafından hedef alındı Kullanılan Araç: E-mail Phishing Web siteleri Açıklık: Çalışan Farkındalığı ve Altyapı güvenlik sıkılaştırma zaafiyetleri Sonuç: Sistemlerde arka kapı açmak ve bilgi toplamak Ağ yetkilerini ve şifreleri ele geçirerek StuxNet örneğindeki gibi OT sistemlerine erişmek ve zarar vermek Kaynak: Symantec 16
Kritik Altyapılarda Yaşanmış Siber Güvenlik Vakaları 17
Proses Emniyeti ve Siber Güvenlik 18
Proses Emniyeti ve Siber Güvenlik Siber Ataklar Proses Emniyeti OT Siber Güvenliği 19
Proses Emniyeti ve Siber Güvenlik Siber Ataklar Proses Emniyeti OT Siber Güvenlik EKS ve saha ekipmanlarının Bütünlüğü Prosesin Devamlılığı Çevre ve İnsan Sağlığı Siber ataklar; bilgi güvenliğini tehlikeye atmalarının yanı sıra kontrol sistemlerinin, saha ekipmanlarının ve endüstriyel uygulamaların düzgün çalışmamasına neden olarak insan sağlığı ve çevre etkileri dolayısıyla proses güvenliğini de tehlikeye atmaktadır! OT Siber Güvenlik; özellikle proses endüstrisindeki emniyet odaklı sistemler (SIS) için kilit rol oynamaktadır, çünkü SIS ler olası bir felakete karşı son savunma hattını oluşturmaktadır. 20
Proses Emniyeti ve Siber Güvenlik Siber Güvenlik Kasıtlı veya kasıtsız hedef odaklı veya rasgele siber ataklar aracılığıyla endüstriyel ekipman ve ünitelerin bütünlük ve erişilebilirliğine zarar gelmemesi için kontroller tasarlar Siber güvenliğin göz ardı edildiği noktada proses emniyeti her zaman eksik kalır Proses Emniyeti Rasgele veya sistematik teknik ekipman arızalarının çevresel ve insan sağlığına olumsuz etkisinin olmaması için ek güvenlik bariyerleri oluşturur 21
TÜPRAŞ ta Siber Güvenlik Uygulamaları 22
OT Siber Güvenlik Nasıl Sağlanır? Standartlar Siber Güvenlik Siber Güvenlik Siber Riskler Yasal Mevzuatlar Siber Güvenlik Yönetişim Süreç Teknoloji Siber Güvenlik Şirket Öncelikleri 23
OT Siber Güvenlik Nasıl Sağlanır? Yönetişim Süreç Teknoloji Mevcut Durum & Olgunluk Analizi Strateji, Amaç, Hedef Kaynak ve Bütçe Planlama Organizasyonel Rol ve Sorumluluklar Farkındalık Yaratma Proje & Geliştirme Konfigürasyon & Değişiklik Siber Olay Müdahale Kimlik ve Erişim Yetkilendirme Fiziksel Güvenlik Tedarikçi Katmanlı Güvenlik Topolojisi Sistem güvenliği Veri Transferi Sistem Entegrasyon Ağ Güvenliği 24
OT Siber Güvenlik Dönüşüm Projesi 1. DANIŞMANLIK Mevcut Durum Olgunluk Analizi Çalışmalar Güvenlik yönetişim, organizasyon ve işletme modeli TÜPRAŞ OT güvenlik programı Rafinerilerde iş birimi çalıştayları Rafinerilerde yerinde denetim ve değerlendirme Ünite sistem, ekipman ve ağ topolojileri Sistem ve ağ güvenlik kontrollerinin etkinliği Siber savunma fırsatları Gelişime açık yönler Temel Çıktılar Saha tespitleri, hızlı kazanımlar Benzer rafineri ve sektörler ile karşılaştırma Süreç bazında olgunluk puanı İyileştirme yol haritası Plan ve proje kartları 25
OT Siber Güvenlik Dönüşüm Projesi 2. YÖNETİM MODELİ OT Güvenlik Stratejisi & Planlama Potansiyel Tehditler İç Denetim Sonuçları Risk Analizi Çalışmaları Geçmiş Dönem Performansı Tüpraş Bilgi Güvenliği Komitesi İhlal Bildirimleri Amaç Strateji Hedef Kaynak Bütçe Program Rol/Sorumluluk Risk İşleme Kontrol/Aksiyon Farkındalık OT Siber Güvenlik Alt Komitesi 26
BT Risk ve Uyum OT Siber Güvenlik Dönüşüm Projesi 3. SÜREÇ OT Saha Uygulamalarında Siber Güvenlik Kimlik Doğrulama Sistem ve Ağ Güvenliği Tedarikçi Yönetimi Fiziksel Güvenlik Endüstriyel Bilişim OT Siber Güvenlik Alt Komitesi Enstrüman & Bakım Proje İşletme Proses ve Proses Emniyeti Konfigüras yon Yönetimi Erişim Yönetimi Siber Güvenlik Kontrolleri Yetkilendir me Olay Yönetimi Proje Geliştirme Periyodik Bakım 27
OT Siber Güvenlik Dönüşüm Projesi 4. ALTYAPI Siber Güvenlik Teknik Kontroller OT Sistemleri sürüm yükseltme ve güvenlik sıkılaştırma OT IDS- Siber güvenlik izleme Veri Güvenliği Stratejisi Fiziksel Alan Güvenlik İyileştirmeleri BT-OT Segmentasyon Endüstriyel Penetrasyon Testleri 28
OT Siber Güvenlik Dönüşüm Projesi 5. SİBER OLAY Kriz Yönetimi & Tatbikat HAZIRLIK GERİ DÖNÜŞ TESPİT MÜDAHALE 29
OT Siber Güvenlik Dönüşüm Projesi 6. FARKINDALIK Denetim, Sunum, Eğitim, Afiş Çalışmaları Üst yönetim sunumları Afiş Çalışmaları Sosyal Mühendislik Tüpraş Bilgi Güvenliği farkındalık eğitimleri 30
OT Siber Güvenlik Dönüşüm Projesi 7. UYUM Siber Güvenlik Uyum Çalışmaları Yasal Mevzuatlar Standartlar İyi Pratikler Kurumsal SOME EPDK EKS Bilişim Güvenliği ISO 27001 IS0 27019 ISA 62443 NIST SANS COBIT vb. İyi Pratiklere Uygun Standart Uyum OT Risk Bildirimi Siber Güvenlik Uyum İç/Dış Denetim EKS Envanter Bildirimi İhlal/Olay Bildirimi 31
Teşekkürler Soru & Cevap İletişim: Alper Şulan alper.sulan@tupras.com.tr +90 262 316 90 19 32