TÜPRAŞ'ta Siber Güvenlik ve Proses Emniyeti Eylül 2018 · 2019-04-07 · Bilgilendirme Sunumu...
Transcript of TÜPRAŞ'ta Siber Güvenlik ve Proses Emniyeti Eylül 2018 · 2019-04-07 · Bilgilendirme Sunumu...
TÜPRAŞ'ta Siber Güvenlik ve Proses Emniyeti Eylül 2018
Bilgilendirme Sunumu Eylül 2018
İçerik
8
• Önemli Tanımlar
• Dün ve Bugün Siber Tehditler
• Yaşanmış Siber Güvenlik Vakaları
• Proses Emniyeti ve Siber Güvenlik
• TÜPRAŞ’ta Siber Güvenlik Uygulamaları
3
Önemli Tanımlar
Bilgilendirme Sunumu Eylül 2018 4
Önemli Tanımlar
Siber Tehdit: Herhangi bir siber tehdit kaynağının kasıtlı olarak veya kazayla sistemlerdeki bir açıklığı kullanarak
varlıklara zarar verme potansiyeli
Siber Saldırı : Kasıtlı ve kötü niyetli olarak, bilgi sistemi işleyiş süreçleri ve verilerini değiştirmek, ele geçirmek
veya yok etmek/ kullanılamaz hale getirmek amacıyla yapılan planlı ve koordineli saldırılar
Siber Savaş: Siber saldırıların ülkelere yönelik yapılması
Siber orduları olduğu bilinen ülkeler: Gelişmiş Batı ülkeleri, Çin, Rusya, Kuzey Kore, İsrail ve İran
Siber Güvenlik Sistemleri, ağları, uygulamaları ve dijital verileri koruma altına almak için uygulanan tüm güvenlik
tedbirleri
Bilgilendirme Sunumu Eylül 2018
Siber Güvenliğin Temel Amacı
5
Sistem/Bilgi bütünlüğünün korunması
Mahremiyet ve gizliliğin korunması
Sistemin devamlılığının sağlanması
Bilgilendirme Sunumu Eylül 2018 6
Bilgi Teknolojileri Operasyonel teknolojiler
Siber Risk Açısından BT ve OT
Öncelik: Veri Gizliliği ve bütünlüğü
Devamlılık büyük bir risk olmayabilir
Performans sorunlarının genellikle büyük etkisi olmaz
Sistem yaşam döngüleri genellikle 3-5 yıldır
Güvenlik yamaları düzenli geçilir
Öncelik: İnsan sağlığı ve proses emniyeti
Devamlılık riski önemlidir. Plansız kesinti/duruş katastrofik etkiye neden olabilir.
Performans sorunları proses güvenliğine etki edebilir.
Sistem yaşam döngüleri genellikle 10-15+ yıldır
Güvenlik yamaları tedarikçi onayı sonrası genellikle gecikmeli geçilir
Standart BT güvenlik yaklaşımı ile mevcut güvenlik kontrol ve araçlarını Operasyonel Teknolojilere uygulamaya çalışmak
geri dönülemez sonuçlara yol açabilir.
7
Dün ve Bugün Siber Tehditler
Bilgilendirme Sunumu Eylül 2018 8
Çok değil bundan 20 yıl önce, endüstriyel tesislerde
Dijital olmayan limitli otomasyon sistemleri
Eski teknoloji ve ekipmanların kullanımı
Özel endüstriyel protokoller ile çalışan dışa kapalı sistemler
Sistemler sadece dedike fonksiyonlar için kapalı devre
İnternet ve kurumsal ağlar ile izole kontrol sistemleri Kendi içinde izole üniteler
Akıllı olmayan terminallar
Geçmişte Siber Tehditlere Karşı Durum?
Bilgilendirme Sunumu Eylül 2018 9
Ağ altyapısı gelişmiş olup, diğer ağlara ve bazı durumlarda internet ağına açık,
Endüstriyel kontrol sistemleri artık;
Son kullanıcı- Sunucu mimarisi üzerinde modern işletim sistemleri ile donatılmış,
Teknolojik ve birbirine bağlı saha ekipmanları ve Endüstriyel kontrol uygulamaları barındıran,
Verilerin dağıtık olması dolayısıyla kritik önemde güvenlik açıklıkları taşıyan,
Uzaktan hızlı destek ve mühendislik amaçlı bağlantı kurulabilen sistemlerdir.
Günümüzde Siber Tehditlere Karşı Durum?
Bilgilendirme Sunumu Eylül 2018
OT Dünyası
Verimlilik
Uzak Lokasyonlar
BT-OT Yakınsama
Siber Fiziksel Sistemler
IOT/Endüstri 4.0
Veri Analitiği
Akıllı Fabrikalar
10
OT Güvenlik Performansına Etki Eden Faktörler
Bilgilendirme Sunumu Eylül 2018
Hacker/Hactivist
Yetkisiz erişim
Sesini duyurma/Kanıtlama
Para kazanmak amacı
İç saldırganlar
Bazen intikam bazen kaza ile
şirket ağ ve sistemlerine zarar vermek
Düşman Ülkeler
Politik, ekonomik veya askeri sebeplerle başka ülkelerin kritik sistem ve altyapılarına zarar vermek
Suç Örgütleri/Teröristler
Sistemlere para kazanma veya ideoloji yayma amaçlı şantaj ve servis dışı bırakma saldırıları yapmak
Siber dünyada barış ve savaş durumunun zaman ve mekan
sınırları belirsizleşmiştir…
11
11
Tehdit Kaynakları
eden Tehdit üzerinden Açıklık
bulunduran Hedefler
Kullanılarak Hacking Araçları
Atak Motivasyonu
kapsamında Siber Atak Gerçekleşme
Tehdit Kaynakları
Bilgilendirme Sunumu Eylül 2018 12
Hackerlar Hactivistler Suç Örgütleri Teröristler Düşman Ülkeler
Gü
ven
lik O
layı
nın
Ola
sı M
aliy
eti
BT konusunda bilgili kişiler tarafından hedefe yönelik
olmayan saldırılar
EKS konusunda bilgili kişiler tarafından hedefe yönelik saldırılar
BT konusunda bilgili kişiler tarafından hedefe yönelik
saldırılar
Tehdit Kaynakları
İç Saldırganlar
Tehdit Kaynağı Yetenekleri
Gü
ven
lik O
layı
nın
Ge
rçek
leşm
e O
lası
lığı
Hedefe Yönelik/Sofistike Saldırı
13
Yaşanmış Siber Güvenlik Vakaları
Bilgilendirme Sunumu Eylül 2018 14
Siber saldırılar günümüzde sadece enformatik veri hırsızlığının ötesinde, Stuxnetle birlikte fiziki tahribat verilebileceğini de kanıtlamıştır!
İran Stuxnet Saldırısı
Tarih: Haziran 2010 Hedef: İran’ın nükleer programı Kullanılan Araç: Stuxnet’i özel kılan en önemli şey; İnternete bağlı bilgisayarları değil USB ile veri girişi yapılan bilgisayarı da ele geçirebilmesi ve kendine yönelik kullanabilmesi Açıklık: Çalışan Farkındalığı ve Altyapı güvenlik kontrolleri eksikliği Sonuç: Nükleer yakıt zenginleştirme tesislerini hedef alan bu saldırı santrifüjlerin çılgınca dönmesine yol açtı ve ciddi fiziki zararlar verdi.
Kritik Altyapılarda Yaşanmış Siber Güvenlik Vakaları
Bilgilendirme Sunumu Eylül 2018 15
Ukrayna Elektrik Kesintisi
Tarih: 23/12/2015
Hedef: Ukrayna Elektrik şebekesi
Kullanılan Araç: Oltalama saldırısı ve sonrasında Elektrik dağıtım SCADA sistemlerine özel zararlı yazılımın uzaktan yöntemler ile enjekte edilmesi
Açıklık: BT-OT izolasyonu ve personel farkındalığı
Sonuç: Ukrayna’da 100 bine yakın kişiyi etkileyen uzun süreli bölgesel elektrik kesintisi
Kritik Altyapılarda Yaşanmış Siber Güvenlik Vakaları
Bilgilendirme Sunumu Eylül 2018 16
Kaynak: Symantec
Tarih: 2016 ve 2017 yılı Hedef: Batıdaki enerji sektörü, çok yönlü ve gelişmiş atak grupları tarafından hedef alındı Kullanılan Araç: • E-mail Phishing • Web siteleri Açıklık: Çalışan Farkındalığı ve Altyapı güvenlik sıkılaştırma zaafiyetleri Sonuç: • Sistemlerde arka kapı açmak ve bilgi toplamak • Ağ yetkilerini ve şifreleri ele geçirerek StuxNet
örneğindeki gibi OT sistemlerine erişmek ve zarar vermek
Dragonfly Saldırısı
Kritik Altyapılarda Yaşanmış Siber Güvenlik Vakaları
Bilgilendirme Sunumu Eylül 2018 17
Kritik Altyapılarda Yaşanmış Siber Güvenlik Vakaları
18
Proses Emniyeti ve Siber Güvenlik
Bilgilendirme Sunumu Eylül 2018
Proses Emniyeti ve Siber Güvenlik
19
Siber Ataklar
Proses Emniyeti
OT Siber Güvenliği
Bilgilendirme Sunumu Eylül 2018
Proses Emniyeti
20
Siber ataklar; bilgi güvenliğini tehlikeye atmalarının yanı sıra kontrol sistemlerinin, saha ekipmanlarının ve endüstriyel uygulamaların düzgün çalışmamasına neden olarak insan sağlığı ve çevre etkileri dolayısıyla proses güvenliğini de tehlikeye atmaktadır!
EKS ve saha ekipmanlarının Bütünlüğü
Prosesin Devamlılığı
Çevre ve İnsan Sağlığı
Proses Emniyeti ve Siber Güvenlik
OT Siber Güvenlik; özellikle proses endüstrisindeki emniyet odaklı sistemler (SIS) için kilit rol oynamaktadır, çünkü SIS’ler olası bir felakete karşı son savunma hattını oluşturmaktadır.
Siber Ataklar
OT Siber Güvenlik
Bilgilendirme Sunumu Eylül 2018 21
Kasıtlı veya kasıtsız hedef odaklı veya rasgele siber ataklar aracılığıyla
endüstriyel ekipman ve ünitelerin bütünlük ve erişilebilirliğine zarar gelmemesi için kontroller tasarlar
Rasgele veya sistematik teknik ekipman arızalarının çevresel ve insan sağlığına
olumsuz etkisinin olmaması için ek güvenlik bariyerleri oluşturur
Siber Güvenlik
Proses Emniyeti
Siber güvenliğin göz ardı edildiği noktada proses emniyeti her zaman eksik kalır…
Proses Emniyeti ve Siber Güvenlik
22
TÜPRAŞ’ta Siber Güvenlik Uygulamaları
Bilgilendirme Sunumu Eylül 2018 23
Yönetişim Süreç Teknoloji Si
be
r G
üve
nlik
Sib
er
Gü
ven
lik
Siber Güvenlik
Yasal Mevzuatlar
Şirket Öncelikleri
Stan
dar
tlar
Siber Güvenlik
Sib
er
Ris
kle
r
OT Siber Güvenlik Nasıl Sağlanır?
Bilgilendirme Sunumu Eylül 2018 24
Yönetişim Mevcut Durum & Olgunluk
Analizi
Strateji, Amaç, Hedef
Kaynak ve Bütçe Planlama
Organizasyonel Rol ve Sorumluluklar
Farkındalık Yaratma
Süreç Proje & Geliştirme
Konfigürasyon & Değişiklik
Siber Olay Müdahale
Kimlik ve Erişim
Yetkilendirme
Fiziksel Güvenlik
Tedarikçi
Teknoloji Katmanlı Güvenlik
Topolojisi
Sistem güvenliği
Veri Transferi
Sistem Entegrasyon
Ağ Güvenliği
OT Siber Güvenlik Nasıl Sağlanır?
Bilgilendirme Sunumu Eylül 2018
OT Siber Güvenlik Dönüşüm Projesi
25
Güvenlik yönetişim, organizasyon ve işletme modeli
TÜPRAŞ OT güvenlik programı
Rafinerilerde iş birimi çalıştayları
Rafinerilerde yerinde denetim ve değerlendirme
Ünite sistem, ekipman ve ağ topolojileri
Sistem ve ağ güvenlik kontrollerinin etkinliği
Siber savunma fırsatları
Gelişime açık yönler
Saha tespitleri, hızlı kazanımlar
Süreç bazında olgunluk puanı
İyileştirme yol haritası Plan ve proje kartları
Çalışmalar Temel Çıktılar
Mevcut Durum Olgunluk Analizi 1. DANIŞMANLIK
Benzer rafineri ve sektörler ile karşılaştırma
Bilgilendirme Sunumu Eylül 2018
OT Siber Güvenlik Dönüşüm Projesi
26
Tüpraş Bilgi Güvenliği Komitesi
Potansiyel Tehditler
İç Denetim Sonuçları
Risk Analizi Çalışmaları
Geçmiş Dönem
Performansı
İhlal Bildirimleri
Amaç
Strateji
Hedef
Kaynak
Bütçe
Program
OT Siber Güvenlik Alt Komitesi
Rol/Sorumluluk
Risk İşleme
Kontrol/Aksiyon
Farkındalık
OT Güvenlik Stratejisi & Planlama 2. YÖNETİM MODELİ
Bilgilendirme Sunumu Eylül 2018
OT Siber Güvenlik Dönüşüm Projesi
27
OT Saha Uygulamalarında Siber Güvenlik
3. SÜREÇ
Siber Güvenlik
Kontrolleri
Kimlik Doğrulama
Fiziksel Güvenlik
Yetkilendirme
Olay Yönetimi
Periyodik Bakım
Proje
Geliştirme
Erişim Yönetimi
Konfigürasyon
Yönetimi
Tedarikçi Yönetimi
OT Siber Güvenlik
Alt Komitesi
Sistem ve Ağ Güvenliği
Endüstriyel Bilişim
Enstrüman & Bakım
Proje
İşletme
Proses ve Proses Emniyeti
BT
Ris
k ve
Uyu
m
Bilgilendirme Sunumu Eylül 2018
OT Siber Güvenlik Dönüşüm Projesi
28
OT IDS- Siber güvenlik izleme
Endüstriyel Penetrasyon Testleri
OT Sistemleri sürüm yükseltme ve güvenlik sıkılaştırma
BT-OT Segmentasyon
Fiziksel Alan Güvenlik İyileştirmeleri
Veri Güvenliği Stratejisi
Siber Güvenlik Teknik Kontroller
4. ALTYAPI
Bilgilendirme Sunumu Eylül 2018
OT Siber Güvenlik Dönüşüm Projesi
29
HAZIRLIK
TESPİT
MÜDAHALE
GERİ DÖNÜŞ
Kriz Yönetimi & Tatbikat
5. SİBER OLAY
Bilgilendirme Sunumu Eylül 2018
OT Siber Güvenlik Dönüşüm Projesi
30
Üst yönetim sunumları
Sosyal Mühendislik
Afiş Çalışmaları
Tüpraş Bilgi Güvenliği farkındalık eğitimleri
Denetim, Sunum, Eğitim, Afiş Çalışmaları
6. FARKINDALIK
Bilgilendirme Sunumu Eylül 2018
OT Siber Güvenlik Dönüşüm Projesi
31
Siber Güvenlik Uyum Çalışmaları
7. UYUM
• Kurumsal SOME
• EPDK EKS Bilişim Güvenliği
Yasal Mevzuatlar
• ISO 27001
• IS0 27019
• ISA 62443 Standartlar
• NIST
• SANS
• COBIT vb. İyi Pratikler
Siber Güvenlik
Uyum
OT Risk Bildirimi
EKS Envanter Bildirimi
İhlal/Olay Bildirimi
İç/Dış Denetim
Standart Uyum
İyi Pratiklere
Uygun
Bilgilendirme Sunumu Eylül 2018
Teşekkürler
32
Soru & Cevap İletişim:
Alper Şulan
+90 262 316 90 19