Schneider Electric, akıllı binalara yönelik artan siber saldırı tehdidine karşı dört temel adımı içeren bir çözüm önerisi paylaştı.
Bağlantılı bina teknolojileri; geliştiricilere, bina yöneticilerine ve bina sakinlerine verimlilik başta olmak üzere pek çok avantaj sunuyor. Ancak Nesnelerin İnterneti (IoT) tabanlı cihazlar ve bulut hizmetlerinin sayısının katlanarak artmasıyla ve binaların daha karmaşık hale gelmesiyle birlikte siber saldırı tehdidi ve olasılığı da büyüyor.
Akıllı binaların teknolojik evrimi, siber risklere yeni alanlar açtı
Yeni nesil bina sistemleri, siber tehditleri etkin şekilde yönetme konusunda genellikle yetersiz kalıyor. Bu durum temelde kapsamlı siber güvenlik bilgisine sahip olan ve bilgi teknolojilerini (IT) yöneten gruplar ile bina yönetim sistemine (BMS) sahip olan ve binanın operasyon teknolojisini (OT) yöneten gruplar arasında bir bağlantı kopukluğu olmasının doğrudan bir sonucu olarak ortaya çıkıyor.
Daha önceden BMS, sistemler ve protokollerle ilgili özel bilgi gerektiriyordu ve kurumsal ağ kaynaklarına ya da internete erişim gerektirmiyordu. Dolayısıyla, bir BMS ağının güvenliği büyük oranda bilinmezlik ve dış bağlantının olmamasına dayanıyordu. Ancak bugün BMS teknolojisinin evrimi, artık tipik BMS kontrol sistemlerinin HTTP ve FTP gibi IT protokollerinin yanı sıra, Modbus ve BACnet de dahil olmak üzere OT protokollerinin bir kombinasyonunu kullandığı anlamına geliyor. Bu da akıllı binaların çalışma biçiminde devrim yarattı ancak siber açıdan birtakım açık alanların oluşmasına da neden oldu. IT ve OT gruplarının arasındaki bağlantı kopukluğu da bu alandaki riskleri artırıyor. Schneider Electric, bu nedenle binalar için mevcut operasyon modelinin değişmesi gerektiğine işaret ediyor.
Bina teknolojilerindeki gelişmelerden yararlanmak isteyen pek çok kuruluş için siber riskler bir engel teşkil ediyor. Sağlık, finans, kamu gibi siber tehditlerin büyük çaplı mali kayıplara yol açabileceği sektörler, bina geliştirme yatırımlarını bu nedenle riskli bulabiliyor.
Schneider Electric, bu saldırıları azaltmak ve akıllı binaların tam potansiyelini kullanmak için operatörlerin ve bina sakinlerinin akıllı bina kontrol sistemlerinin mimarisini ve yönetimini siber güvenlik açısından değiştirmesi gerektiğini belirtiyor. Organizasyonel engelleri bir kenara bırakmak ve IT/OT bağlantı kopukluğunun farkına varmak, siber açıdan güvenli akıllı bina kontrol sistemlerinin uygulanması ve çalıştırılması yönünde atılacak ilk kritik adım olarak öne çıkıyor.
Bugün güvenlik zorluklarını ele almak için OT kontrol sistemleri endüstrisinde halihazırda güçlü bir destek bulunuyor. Ayrıca, özellikle IEC 62443 global siber güvenlik standartlarının gelişimiyle birlikte, endüstri birliklerinde en iyi ortak OT siber güvenlik uygulamalarına olan ihtiyaç arttı. Burada endüstriyel otomasyon ve kontrol için kullanılan sistemlerin güvenliğini, kullanılabilirliğini, bütünlüğünü ve gizliliğini geliştirmek amaçlanıyor.
Temel olarak, kuruluşların güvenli ve operasyonel bir akıllı bina yaratabilmesi için dört temel yol bulunuyor:
Eski OT bina kontrol sistemlerini değerlendirmek ve korumak
Güvenli Gelişim Yaşam Döngüsü yaklaşımını takip eden IoT cihazlarını ve markalarını seçmek
Güvenli OT bina kontrol sistemi mimarileri uygulamak
Güvenli OT bina kontrol sistemlerini bir IT Güvenlik İzleme Alanı aracılığıyla birleştirmek
Binalarda siber güvenliğin geleceği
BMS sisteminin zayıf noktaları, siber güvenlik bilgisine sahip olan IT ekibi ve operasyon bilgisine sahip olan OT ekibi grupları arasındaki bağlantı kopukluğuna dayanıyor. Bina ne kadar akıllı hale gelirse ve bu iki grup ne kadar az birlikte çalışırsa, teknolojinin zayıf noktaları da o kadar fazla oluyor ve bu da dışarıdan gelen siber saldırılarda artışa neden oluyor. Ekiplerin daha güvenli bir sistem yaratmak için birlikte çalışması gerekiyor ve kuruluşların binalarını mümkün olduğunca güvenli tutabilmek için standart uygulamalara uyması gerekiyor.