EKS ve Beraberinde Getirdiği Güvenlik Zafiyetleri

Denetleyici kontrol ve veri toplama (SCADA), dağıtılmış kontrol sistemleri (DCS) ve programlanabilir mantık denetleyicileri (PLC) gibi farklı bilgi sistemleri ve teknolojilerinin tümüne endüstriyel kontrol sistemleri (EKS) denilmektedir.

SCADA: Denetleyici kontrol ve veri toplama anlamına gelmektedir. SCADA sistemleri, coğrafi olarak dağınık sistemleri kontrol etmek, merkezi veri toplama ve kontrol sistemlerinin çalışması için ihtiyaç duyulan kritik sistemlerdir. Su dağıtım ve atık su toplama sistemleri, kimya, kağıt, yiyecek, içecek, ilaç, petrol ve doğalgaz boru hatları, elektrik şebekeleri, demiryolu ulaşım sistemleri gibi dağıtım sistemlerinde kullanılırlar. SCADA sistemleri, verimliliği korumaya, daha iyi kararlar için verileri işlemeye ve kesinti süresinin azaltılmasına yardımcı oldukları için endüstriyel kuruluşlar için çok önemlidir. Temel SCADA mimarisi, programlanabilir mantık denetleyicileri (PLC) veya uzak terminal bileşenleri (RTU) ile başlar.

PLC: Elektrikli donanımlar (röleler, anahtarlar ve mekanik zamanlayıcı/sayaçlar) tarafından yürütülen mantık işlevlerini gerçekleştirmek için tasarlanmış küçük endüstriyel bilgisayardır.

RTU: Uzak SCADA istasyonlarını desteklemek için tasarlanmış özel amaçlı veri toplama ve kontrol birimidir. RTU’lar kablo/tel tabanlı iletişimin mümkün olmadığı durumları desteklemek için genellikle kablosuz radyo ara yüzleriyle donatılmış saha cihazlarıdır.

Endüstriyel Kontrol Sistemlerinde Güvenlik

Endüstriyel kontrol sistemleri (EKS) piyasaya ilk sürüldüğünde güvenlik o günler için çok ön planda tutulmamıştı. Güvenlik ön planda tutulmadığından, zamanla EKS’ler hedef haline dönüşmeye başladı. Saldırganlar güvenliği iyi olmayan bu sistemleri hedef alarak sistemlere zararlı yazılımlar bulaştırdı veya tespit edilen güvenlik açıkları ile sistemlere sızarak üretimlerin durmasına sebep oldular. 2010 yılında İran nükleer santrallerine yapılan StuxNet saldırısı ile endüstriyel kontrol sistemlerinin kritikliğinin daha çok farkına varmış olduk. EKS sistemlerine yapılan saldırılara örnek vermek gerekirse; 2015 yılında Kemuri su şirketinin EKS altyapısına izinsiz giriş yapan saldırganlar musluk suyunu arıtmak için kullanılan kimyasalların seviyelerini değiştirmişti. Aynı yıl içerisinde Ukrayna’da bir enerji şirketine yapılan siber saldırı sonucunda Ukrayna’nın yarısı elektriksiz kalmıştı.

EKS Üzerine İlk Güvenlik Açıkları

(2 adet) 1997 yılında yayınlanması ile başladı. O zamandan buyana güvenlik açıklarında ciddi bir artış görüldü. 2010 yılında toplamda 19 güvenlik açığı yayınlanmışken bu sayı 2015 yılında 189’a çıktı. Bu güvenlik açıklarının %49’u kritik, %42’si ise orta seviye, 25 tanesinin exploit (sömürü) kodu ise internette bulunabilmekteydi. Bu zafiyetlerin asıl kritik olan kısmı ise %15’inin düzeltilememiş/yama yayınlanamamış olmasıydı ve bu düzeltilememiş zafiyetlerin 14’ü ise yüksek seviyeliydi.  EKS güvenlik açıklarının sayısı 2018 yılında 2017’ye göre %30 arttı ve sayısı 257’ye çıktı.  2017 yılında güvenlik açıklarının çoğu HMI/SCADA sistemlerinde bulunmuştu, 2018’de ise güvenlik açıkları ağırlıklı olarak PLC/RTU ve endüstriyel ağ cihazlarında bulundu. Bu güvenlik açıklarının yarısından fazlası (%64) uzaktan kullanılabilmekteydi. Araştırmacılar 2018 yılında halka açık arama motorlarını kullanarak internete açık endüstriyel kontrol sistemlerini taradılar ve elde edilen veriler ise aşağıdaki gibidir:

HTTP76.241
Ethernet/IP49.156
Fox35.805
BACnet19.853
SNMP7.336
CODESYS3.414
Modbus3.344
FTP1.858
FINS1.585
PCWorx1.399

2019 yılında ise EKS güvenlik açıklarının sayısı 509’a yükseldi. 2018 yılına göre yüksek veya kritik güvenlik açıkları oranında ciddi artış olmuştur. 2019 yılında yayınlanan güvenlik açıklarında dikkat çekenler ise:

  • Güvenlik açıklarının çoğu (420) kimlik doğrulama olmaksızın uzaktan çalıştırılabilir
  • Güvenlik açıklarının çoğu (480) herhangi bir uzmanlık bilgisi veya ileri düzey bilgiye sahip olmayan saldırganlar tarafından istismar edilebilir

2019 yılında en fazla güvenlik açıkları tespit edilen sistemler aşağıda belirtilmiştir:

  • SCADA/HMI bileşenleri (63, %12)
  • DCS (56,  %11)
  • PLC (47, %9)

Endüstriyel kontrol sistemleri genel olarak izole edilmiş ağ içerisinde bulunur. Fakat artık ayrı izole edilmiş ağ EKS için yeterli güvenlik kontrolü olarak kabul edilemez. Zararlı yazılım bulaşmış diskler/USB bellekler veya kişisel akıllı telefonlar/modemler aracılığı ile EKS ağlarından internete yetkisiz bağlantılara ve içeride bulunan bir çalışana kadar olan her şey davetsiz misafirlere açıktır. Yukardaki internete açık endüstriyel kontrol sistemlerinin sayısı göz önüne alındığında yanlış yapılandırma veya başka işler için internete açılmış sistemler büyük risk oluşturmaktadır. Bazı IT veya operatör bilgisayarlarının (internete açık) doğrudan endüstriyel kontrol sistemlerinin bulunduğu ağa erişimi de risk olarak kabul edilebilmektedir. Testler esnasında gördüğümüz en kritik zafiyetlerden biri ise endüstriyel kontrol sistemlerinin desteği bitmiş işletim sistemleri üzerinde çalışıyor olmasıdır. Bu işletim sistemlerinin destekleri sona erdiği için güvenlik yamaları yayınlanmayacaktır ve bu yüzden sistemler savunmasız kalacaktır.

SCADA ve Endüstriyel Kontrol Sistemleri (EKS) Güvenlik Denetimi hizmetimizle ilgili ayrıntılı bilgi almak için lütfen iletişime geçiniz.

Okan Kurtuluş

Leave A Comment