Yaptırımlar ve ticari engellerin olduğu ortamlarda gezinirken hem yenilikçi hem de eski sistemleri korumaya yönelik ihtiyaç daha da artacak. Endüstriyel işletmelerin teknoloji tedarikçisi seçiminde dikkatli olması da esnek operasyonlar sağlamanın anahtarı olacak. İşte siber güvenlik risk tahminleri…
Kaspersky, 2024 yılı için birden fazla ICS tehdit gelişmesi öngörmüştü ve bu öngörüler gerçekleşmişti. Bu dönemde fidye yazılımları endüstriyel işletmeler için ciddi bir tehdit haline geldi ve siber suçlular yüksek değerli kuruluşları, benzersiz ürün tedarikçilerini ve büyük lojistik şirketlerini hedef aldı. Buna ek olarak, jeopolitik anlamda motive olan “hacktivizm” faaliyetleri devam etti ve tehdit ortamı daha da karmaşık hale geldi.
İşte siber güvenlik riskleri ve dikkat edilmesi gerekenler:
- Yenilikçi teknolojinin endüstriyel işletmelerden çalınması riski artacak
İnovasyon işletmeleri dönüştürürken ve yeni teknolojik devrimlere yol açarken, bu artış aynı zamanda değerli teknik bilgileri çalmak için araştırma kurumlarını ve teknoloji lideri işletmeleri hedef alan siber suçluları da cezbediyor. Hassas veriler genellikle araştırma laboratuvarlarından ziyade “üretim katlarında” veya tedarik zincirlerinde risk altında bulunduğundan, endüstriyel işletmeler özellikle savunmasız bir profil çiziyor. Önümüzdeki yıl bu gibi artan tehditlere karşı operasyonel teknoloji (OT) varlıklarını korumak için daha fazla farkındalık ve sağlam siber güvenlik önlemleri gerekecek.
- Yeni teknolojilerin benimsenmesi yeni siber risklere yol açacak
Endüstriyel işletmeler, verimliliği artırmak için yapay zeka / makine öğrenimi, artırılmış gerçeklik ve kuantum bilişim gibi inovasyonları giderek daha fazla uyguluyor. Yapay zeka destekli süreç kontrolü, demir dışı metalürji gibi sektörlerde şimdiden milyar dolarlık kazançlar sağlamaya başladı bile. Bu sistemler vazgeçilmez üretim varlıkları haline geliyor, ancak aynı zamanda yeni siber güvenlik zorluklarını da beraberinde getiriyor. Yapay zekanın yanlış kullanımı, istenmeyen veri ifşalarına ve tahmin edilmesi zor diğer güvenlik risklerine yol açabilir. Hem yapay zeka sistemleri hem dayandıkları benzersiz kurumsal veriler, siber saldırılar için yüksek değerli hedefler haline gelebilir. Bunun sonucunda da kalıcı veri kaybı ve üretim verimliliğinin azalması gibi potansiyel sonuçlar doğurabilir. Bu arada, saldırganlar da kötü niyetli araçlar geliştirmek ve sosyal mühendislik taktiklerini iyileştirmek için yapay zekadan yararlanmaktan geri durmuyor.
- Zaman içinde test edilmiş teknolojilerin kullanımı yeni siber risklere yol açacak
2025 ve sonrasında, telekom ekipmanları ve endüstriyel IoT cihazları gibi zaman içinde test edilmiş sistemler, eski güvenlik önlemleri nedeniyle siber saldırıların hedefi haline gelebilir. Ucuz ağ ekipmanlarına dayanan uzak tesisler özellikle istismara açık olacaktır. Ayrıca OT ortamlarında Linux sistemlerinin yükselişi, olgun güvenlik çözümlerinden yoksun olabileceğinden ve piyasada bunları düzgün bir şekilde koruyacak daha az sayıda yetenekli Linux siber güvenlik uzmanı bulunduğundan, yeni zorluklar ortaya çıkacaktır. Sonuç olarak, eski ve zaman içinde test edilmiş teknolojiler için siber güvenlik önlemlerinin gözden geçirilmesi bir zorunluluk olacak.
- Yanlış ekipman tedarikçisi seçimi daha yüksek risk anlamına gelecek
Siber güvenliğe yeterince yatırım yapmayan satıcılar, müşterilerini önemli risklere maruz bırakıyor. Genellikle daha küçük niş sağlayıcıları içeren uzun ve karmaşık tedarik zincirleri, işleri yönetmeyi son derece zorlaştırıyor. Buna ek olarak endüstriyel işletmeler sıklıkla yetersiz güvenlik önlemleri eşliğinde şirket içinde veya bağlı kuruluşlar aracılığıyla özgün otomasyon çözümleri geliştiriyor. Bu faktörler 2025 yılında riskleri artırarak tedarik zincirini ve özel ekipmanları siber saldırılar için kolay hedefler haline getirecek. Bu nedenle yüksek güvenlik standartlarına uyan güvenilir satıcıların seçilmesi çok önemli.
- Belirsizlik yoluyla güvenlik 2025 yılında OT altyapıları için işe yaramayacak
Endüstriyel otomasyon için açık kaynak araçlarının yaygınlaşması, kritik üretim varlıklarına saldırma görevini basitleştiriyor. Endüstriyel işletmeler otomasyon ve dokümantasyonu geliştirirken, istemeden de olsa saldırıya uğrayan ağlarda kalıcılık sağlıyor ve saldırganların üretim varlıklarına sofistike saldırılar düzenlemesini kolaylaştırıyor. 2025 yılında hedefli siber-fiziksel operasyonları uygulamak birkaç yıl öncesine göre önemli ölçüde daha kolay olacak. Saldırganlar sektöre özgü uzmanlık ihtiyacını önemli ölçüde azaltan araçlara ve bilgilere erişecek.