ICS tehdit haritası ile ilgili olarak hazırlanan raporda, Kaspersky Lab uzmanları internetteki güvenliği ihlal edilen 13.698 hostun büyük bir kısmının kurumsal şirketlere ait olduğunu vurguluyor.Bu şirketler arasında, enerji, lojistik, uzay/havacılık, petrol ve doğalgaz, kimyasal, otomotiv, üretim, gıda, kamu, finans ve sağlık sektörlerinden pek çok şirket bulunuyor.Bu ICS hostlarından %91.1’i dışarıdan manipule edilebilecek açıklara sahip. Daha önemlisi ise, bu ICS hostlarının %3.3’ü oldukça kritik açıklar taşımakta.
Birbirine bağlantılı sistemler hızlı cevaplar gerektiren durumlarda esnek ve kullanışlı olmakla beraber güncellemelerin entegrasyonunu kolaylaştırıyor. Öte yandan, bu parçaların internetle kullanılması, siber suçlulara önemli ICS parçalarını kontrol etme şansı vererek ekipmanlara fiziksel olarak zarar verilmesi ya da altyapının tamamı için tehdir oluşturulması riskini taşıyor.
ICS sistemlerine yapılan karmaşık saldırılar yeni bir şey değil. 2015’de BlackEnergy APT adlı bir hacker grubu Ukrayna’daki bir elektrik firmasına saldırdı. Aynı yıl, siber saldırılarla ilgisi olduğu düşünülen 2 olay daha oldu. Bu olaylardan biri Almanya’daki bir çelik fabrikasında diğeri ise Varşova’da Frederic Chopin Havalimanı’nda gerçekleşti.
ICS sistemlerinin kullanımı yaygınlaştığı için, saldırı sayısında da artış olacağı düşünülüyor. 104 ülkede bulunan toplam 13,698 host, ICS parçalarının internet üzerinden uyumlu olduğu toplam host sayısının yalnızca çok küçük bir parçasını oluşturuyor.
ICS sistemleri kullanan şirketlerin zayıf noktalarını bulmalarına yardım etmek için, Kaspersky Lab uzmanları ICS tehditleri ile ilgili bir araştırma yaptı. 2015 yılına ait OSINT verilerini kullanan ekip, aynı zamanda ICS CERT gibi halka açık bilgi kaynaklarından da faydalandı.
Endüstriyel Kontrol Sistemlerinin (ICS) Tehlike Haritası raporunda yayımlanan bulgular şu şekilde;
- ICS parçaları ile uyumlu 170 ülkede toplam 188.019 host bulunmaktadır.
- Uzaktan kontrol edilebilen ve ICS ile uyumlu parçaları bulunan hostların büyük çoğunluğu Amerika Birleşik Devletleri (%30.5 – 57.417) ve Avrupa’da bulunuyor. Avrupa’ya bakıldığında ise, Almanya’nın (%13.9 – 26.142) liderliği elinde bulundurduğunu ve onu takip eden ülkeler ise İspanya (%5.9 – 11.264) ve Fransa’dır (%5.6 – 11.264).
- Uzaktan kontrol edilebilen ICS hostlarının %92’sinde (172.982) açık bulunuyor. Bu hostların %87’si orta derecede zayıf nokta taşırken %7’sinin tehditlere açıklık oranı yüksek olarak belirlenmiştir.
- Son 5 yılda ICS parçalarının güvenlik zafiyeti 10 kat artmıştır. 2010 yılında 19 zayıf noktadan bahsederken, 2015 verilerinde tam 189 zayıf nokta olduğu tespit edilmiştir. Tehditlere en açık ICS parçaları ise İnsan Makina Arayüzü (HMI), Elektronik Aygıtlar ve SCADA sistemleridir.
- Dıştan erişime açık ICS aygıtlarının %91.6’sı (172.338 farklı host) zayıf internet protokelleri kullanıyorlar ve bu da, onları “ortadaki adam” tipi saldırılara karşı savunmasız kılıyor.
Kaspersky Lab’ın Kritik Altyapı Koruma Direktörü Andrey Suvorov ise yaptığı açıklamada şunları ifade etti; “Yaptığımız araştırma sonucunda ICS altyapısının büyüklüğü ile tehditlere karşı sahip olduğu açıklar arasında doğru orantı olduğunu saptadık. ICS ortamı doğası gereği birbirine bağlı pek çok farklı parçalardan oluşur ve bu parçaların pek çoğu internet bağlantılı olduğu için çeşitli zafiyetler taşırlar. Bir ICS kurulumunun verilen herhangi bir zamanda en az bir tane zayıf noktası olmayacağını garanti etmek mümkün değil. Ancak, bu bir fabrikayı, santrali ve akıllı şehir yapılanmasına ait bir bloğu siber saldırılardan korumanın imkansız olduğu anlamına gelmiyor. İşletmenin kullandığı parçaların zayıf noktalarını da bilerek kullanması, güvenlik yönetiminin en temel adımıdır. Bu, aynı zamanda araştırmamızın motivasyonlarından da biriydi: konuyla ilgili kişilerde farkındalık yaratabilmek.”
Kaspersky Lab, ICS ortamını muhtemel siber saldırılardan korumak için şunları öneriyor:
- Güvenlik denetimi yapın: Endüstriyel güvenlik alanında uzmanlaşmış kişilerle çalışmak raporda bahsettiğimiz güvenlik açıklarını bulmak ve ortadan kaldırmak için en hızlı yoldur.
- Dışarıdaki bilgilerden faydalanın: Günümüzde, BT güvenliği potansiyel saldırı verilerine göre çalışmaktadır. Dışarıdan alınan bilgiler ise, şirketlerin gelecekteki saldırıları tahmin edebilmeleri endüstriyel altyapılarını korumalarını sağlar.
- Bulunduğunuz çemberin hem içinde hem de dışında tam koruma sağlayın. Hataların olması olağandır. Iyi bir güvenlik stratejisi saldırıları bulma ve önemli verilere ulaşmadan saldırıya müdahale etme konusunda iyi yatırımlar yapmalarıdır.
- Gelişmiş koruma yöntemlerini değerlendirin: SCADA sistemleri için baştan yasaklı senaryolar oluşturulması, kontrol birimleri için rutin entegrasyon kontrollerinin yapılması ve özelleştirilmiş bir ağ izleme sistemi ile bazı düğümler tamamen kaldırılamasa da şirketin genel güvenliğini sağlayabilir ve sistem açıklarından faydalanan tehlikelerden korunabilirsiniz.
