TÜPRAŞ'ta Siber Güvenlik ve Proses Emniyeti Eylül 2018

Bilgilendirme Sunumu Eylül 2018

İçerik

8

• Önemli Tanımlar

• Dün ve Bugün Siber Tehditler

• Yaşanmış Siber Güvenlik Vakaları

• Proses Emniyeti ve Siber Güvenlik

• TÜPRAŞ’ta Siber Güvenlik Uygulamaları

3

Önemli Tanımlar

Bilgilendirme Sunumu Eylül 2018 4

Önemli Tanımlar

Siber Tehdit: Herhangi bir siber tehdit kaynağının kasıtlı olarak veya kazayla sistemlerdeki bir açıklığı kullanarak

varlıklara zarar verme potansiyeli

Siber Saldırı : Kasıtlı ve kötü niyetli olarak, bilgi sistemi işleyiş süreçleri ve verilerini değiştirmek, ele geçirmek

veya yok etmek/ kullanılamaz hale getirmek amacıyla yapılan planlı ve koordineli saldırılar

Siber Savaş: Siber saldırıların ülkelere yönelik yapılması

Siber orduları olduğu bilinen ülkeler: Gelişmiş Batı ülkeleri, Çin, Rusya, Kuzey Kore, İsrail ve İran

Siber Güvenlik Sistemleri, ağları, uygulamaları ve dijital verileri koruma altına almak için uygulanan tüm güvenlik

tedbirleri


Siber Güvenliğin Temel Amacı

5

Sistem/Bilgi bütünlüğünün korunması

Mahremiyet ve gizliliğin korunması

Sistemin devamlılığının sağlanması


Bilgi Teknolojileri Operasyonel teknolojiler

Siber Risk Açısından BT ve OT

Öncelik: Veri Gizliliği ve bütünlüğü

Devamlılık büyük bir risk olmayabilir

Performans sorunlarının genellikle büyük etkisi olmaz

Sistem yaşam döngüleri genellikle 3-5 yıldır

Güvenlik yamaları düzenli geçilir

Öncelik: İnsan sağlığı ve proses emniyeti

Devamlılık riski önemlidir. Plansız kesinti/duruş katastrofik etkiye neden olabilir.

Performans sorunları proses güvenliğine etki edebilir.

Sistem yaşam döngüleri genellikle 10-15+ yıldır

Güvenlik yamaları tedarikçi onayı sonrası genellikle gecikmeli geçilir

Standart BT güvenlik yaklaşımı ile mevcut güvenlik kontrol ve araçlarını Operasyonel Teknolojilere uygulamaya çalışmak

geri dönülemez sonuçlara yol açabilir.

7

Dün ve Bugün Siber Tehditler


Çok değil bundan 20 yıl önce, endüstriyel tesislerde

Dijital olmayan limitli otomasyon sistemleri

Eski teknoloji ve ekipmanların kullanımı

Özel endüstriyel protokoller ile çalışan dışa kapalı sistemler

Sistemler sadece dedike fonksiyonlar için kapalı devre

İnternet ve kurumsal ağlar ile izole kontrol sistemleri Kendi içinde izole üniteler

Akıllı olmayan terminallar

Geçmişte Siber Tehditlere Karşı Durum?


Ağ altyapısı gelişmiş olup, diğer ağlara ve bazı durumlarda internet ağına açık,

Endüstriyel kontrol sistemleri artık;

Son kullanıcı- Sunucu mimarisi üzerinde modern işletim sistemleri ile donatılmış,

Teknolojik ve birbirine bağlı saha ekipmanları ve Endüstriyel kontrol uygulamaları barındıran,

Verilerin dağıtık olması dolayısıyla kritik önemde güvenlik açıklıkları taşıyan,

Uzaktan hızlı destek ve mühendislik amaçlı bağlantı kurulabilen sistemlerdir.

Günümüzde Siber Tehditlere Karşı Durum?


OT Dünyası

Verimlilik

Uzak Lokasyonlar

BT-OT Yakınsama

Siber Fiziksel Sistemler

IOT/Endüstri 4.0

Veri Analitiği

Akıllı Fabrikalar

10

OT Güvenlik Performansına Etki Eden Faktörler


Hacker/Hactivist

Yetkisiz erişim

Sesini duyurma/Kanıtlama

Para kazanmak amacı

İç saldırganlar

Bazen intikam bazen kaza ile

şirket ağ ve sistemlerine zarar vermek

Düşman Ülkeler

Politik, ekonomik veya askeri sebeplerle başka ülkelerin kritik sistem ve altyapılarına zarar vermek

Suç Örgütleri/Teröristler

Sistemlere para kazanma veya ideoloji yayma amaçlı şantaj ve servis dışı bırakma saldırıları yapmak

Siber dünyada barış ve savaş durumunun zaman ve mekan

sınırları belirsizleşmiştir…

11

11

Tehdit Kaynakları

eden Tehdit üzerinden Açıklık

bulunduran Hedefler

Kullanılarak Hacking Araçları

Atak Motivasyonu

kapsamında Siber Atak Gerçekleşme

Tehdit Kaynakları


Hackerlar Hactivistler Suç Örgütleri Teröristler Düşman Ülkeler

Gü

ven

lik O

layı

nın

Ola

sı M

aliy

eti

BT konusunda bilgili kişiler tarafından hedefe yönelik

olmayan saldırılar

EKS konusunda bilgili kişiler tarafından hedefe yönelik saldırılar

BT konusunda bilgili kişiler tarafından hedefe yönelik

saldırılar

Tehdit Kaynakları

İç Saldırganlar

Tehdit Kaynağı Yetenekleri

Gü

ven

lik O

layı

nın

Ge

rçek

leşm

e O

lası

lığı

Hedefe Yönelik/Sofistike Saldırı

13

Yaşanmış Siber Güvenlik Vakaları


Siber saldırılar günümüzde sadece enformatik veri hırsızlığının ötesinde, Stuxnetle birlikte fiziki tahribat verilebileceğini de kanıtlamıştır!

İran Stuxnet Saldırısı

Tarih: Haziran 2010 Hedef: İran’ın nükleer programı Kullanılan Araç: Stuxnet’i özel kılan en önemli şey; İnternete bağlı bilgisayarları değil USB ile veri girişi yapılan bilgisayarı da ele geçirebilmesi ve kendine yönelik kullanabilmesi Açıklık: Çalışan Farkındalığı ve Altyapı güvenlik kontrolleri eksikliği Sonuç: Nükleer yakıt zenginleştirme tesislerini hedef alan bu saldırı santrifüjlerin çılgınca dönmesine yol açtı ve ciddi fiziki zararlar verdi.

Kritik Altyapılarda Yaşanmış Siber Güvenlik Vakaları


Ukrayna Elektrik Kesintisi

Tarih: 23/12/2015

Hedef: Ukrayna Elektrik şebekesi

Kullanılan Araç: Oltalama saldırısı ve sonrasında Elektrik dağıtım SCADA sistemlerine özel zararlı yazılımın uzaktan yöntemler ile enjekte edilmesi

Açıklık: BT-OT izolasyonu ve personel farkındalığı

Sonuç: Ukrayna’da 100 bine yakın kişiyi etkileyen uzun süreli bölgesel elektrik kesintisi



Kaynak: Symantec

Tarih: 2016 ve 2017 yılı Hedef: Batıdaki enerji sektörü, çok yönlü ve gelişmiş atak grupları tarafından hedef alındı Kullanılan Araç: • E-mail Phishing • Web siteleri Açıklık: Çalışan Farkındalığı ve Altyapı güvenlik sıkılaştırma zaafiyetleri Sonuç: • Sistemlerde arka kapı açmak ve bilgi toplamak • Ağ yetkilerini ve şifreleri ele geçirerek StuxNet

örneğindeki gibi OT sistemlerine erişmek ve zarar vermek

Dragonfly Saldırısı


18

Proses Emniyeti ve Siber Güvenlik



19

Siber Ataklar

Proses Emniyeti

OT Siber Güvenliği


Proses Emniyeti

20

Siber ataklar; bilgi güvenliğini tehlikeye atmalarının yanı sıra kontrol sistemlerinin, saha ekipmanlarının ve endüstriyel uygulamaların düzgün çalışmamasına neden olarak insan sağlığı ve çevre etkileri dolayısıyla proses güvenliğini de tehlikeye atmaktadır!

EKS ve saha ekipmanlarının Bütünlüğü

Prosesin Devamlılığı

Çevre ve İnsan Sağlığı


OT Siber Güvenlik; özellikle proses endüstrisindeki emniyet odaklı sistemler (SIS) için kilit rol oynamaktadır, çünkü SIS’ler olası bir felakete karşı son savunma hattını oluşturmaktadır.

Siber Ataklar

OT Siber Güvenlik


Kasıtlı veya kasıtsız hedef odaklı veya rasgele siber ataklar aracılığıyla

endüstriyel ekipman ve ünitelerin bütünlük ve erişilebilirliğine zarar gelmemesi için kontroller tasarlar

Rasgele veya sistematik teknik ekipman arızalarının çevresel ve insan sağlığına

olumsuz etkisinin olmaması için ek güvenlik bariyerleri oluşturur

Siber Güvenlik

Proses Emniyeti

Siber güvenliğin göz ardı edildiği noktada proses emniyeti her zaman eksik kalır…


22

TÜPRAŞ’ta Siber Güvenlik Uygulamaları


Yönetişim Süreç Teknoloji Si

be

r G

üve

nlik

Sib

er

Gü

ven

lik

Siber Güvenlik

Yasal Mevzuatlar

Şirket Öncelikleri

Stan

dar

tlar

Siber Güvenlik

Sib

er

Ris

kle

r

OT Siber Güvenlik Nasıl Sağlanır?


Yönetişim Mevcut Durum & Olgunluk

Analizi

Strateji, Amaç, Hedef

Kaynak ve Bütçe Planlama

Organizasyonel Rol ve Sorumluluklar

Farkındalık Yaratma

Süreç Proje & Geliştirme

Konfigürasyon & Değişiklik

Siber Olay Müdahale

Kimlik ve Erişim

Yetkilendirme

Fiziksel Güvenlik

Tedarikçi

Teknoloji Katmanlı Güvenlik

Topolojisi

Sistem güvenliği

Veri Transferi

Sistem Entegrasyon

Ağ Güvenliği

OT Siber Güvenlik Nasıl Sağlanır?


OT Siber Güvenlik Dönüşüm Projesi

25

Güvenlik yönetişim, organizasyon ve işletme modeli

TÜPRAŞ OT güvenlik programı

Rafinerilerde iş birimi çalıştayları

Rafinerilerde yerinde denetim ve değerlendirme

Ünite sistem, ekipman ve ağ topolojileri

Sistem ve ağ güvenlik kontrollerinin etkinliği

Siber savunma fırsatları

Gelişime açık yönler

Saha tespitleri, hızlı kazanımlar

Süreç bazında olgunluk puanı

İyileştirme yol haritası Plan ve proje kartları

Çalışmalar Temel Çıktılar

Mevcut Durum Olgunluk Analizi 1. DANIŞMANLIK

Benzer rafineri ve sektörler ile karşılaştırma



26

Tüpraş Bilgi Güvenliği Komitesi

Potansiyel Tehditler

İç Denetim Sonuçları

Risk Analizi Çalışmaları

Geçmiş Dönem

Performansı

İhlal Bildirimleri

Amaç

Strateji

Hedef

Kaynak

Bütçe

Program

OT Siber Güvenlik Alt Komitesi

Rol/Sorumluluk

Risk İşleme

Kontrol/Aksiyon

Farkındalık

OT Güvenlik Stratejisi & Planlama 2. YÖNETİM MODELİ



27

OT Saha Uygulamalarında Siber Güvenlik

3. SÜREÇ

Siber Güvenlik

Kontrolleri

Kimlik Doğrulama

Fiziksel Güvenlik

Yetkilendirme

Olay Yönetimi

Periyodik Bakım

Proje

Geliştirme

Erişim Yönetimi

Konfigürasyon

Yönetimi

Tedarikçi Yönetimi

OT Siber Güvenlik

Alt Komitesi

Sistem ve Ağ Güvenliği

Endüstriyel Bilişim

Enstrüman & Bakım

Proje

İşletme

Proses ve Proses Emniyeti

BT

Ris

k ve

Uyu

m



28

OT IDS- Siber güvenlik izleme

Endüstriyel Penetrasyon Testleri

OT Sistemleri sürüm yükseltme ve güvenlik sıkılaştırma

BT-OT Segmentasyon

Fiziksel Alan Güvenlik İyileştirmeleri

Veri Güvenliği Stratejisi

Siber Güvenlik Teknik Kontroller

4. ALTYAPI



29

HAZIRLIK

TESPİT

MÜDAHALE

GERİ DÖNÜŞ

Kriz Yönetimi & Tatbikat

5. SİBER OLAY



30

Üst yönetim sunumları

Sosyal Mühendislik

Afiş Çalışmaları

Tüpraş Bilgi Güvenliği farkındalık eğitimleri

Denetim, Sunum, Eğitim, Afiş Çalışmaları

6. FARKINDALIK



31

Siber Güvenlik Uyum Çalışmaları

7. UYUM

• Kurumsal SOME

• EPDK EKS Bilişim Güvenliği

Yasal Mevzuatlar

• ISO 27001

• IS0 27019

• ISA 62443 Standartlar

• NIST

• SANS

• COBIT vb. İyi Pratikler

Siber Güvenlik

Uyum

OT Risk Bildirimi

EKS Envanter Bildirimi

İhlal/Olay Bildirimi

İç/Dış Denetim

Standart Uyum

İyi Pratiklere

Uygun


Teşekkürler

32

Soru & Cevap İletişim:

Alper Şulan

[email protected]

+90 262 316 90 19

TÜPRAŞ'ta Siber Güvenlik ve Proses Emniyeti Eylül 2018 · 2019-04-07 · Bilgilendirme Sunumu...

Documents

Transcript of TÜPRAŞ'ta Siber Güvenlik ve Proses Emniyeti Eylül 2018 · 2019-04-07 · Bilgilendirme Sunumu...