PCICSO(Kritik Altyapıların Korunması (Bilgisayar Sistemleri) Yönetmeliği), Hong Kong Hükümeti tarafından CIO’ların (kritik altyapı işletmecileri) siber güvenliğini ve dayanıklılığını güçlendirmek amacıyla getirilen yeni bir çerçeve niteliğindedir. Ocak 2026'dan itibaren yürürlüğe girecek olan yönetmelik, CIO'ların bilgisayar sistemlerini siber tehditlere karşı korumak, riskleri proaktif olarak yönetmek ve siber güvenlik olaylarına etkili bir şekilde müdahale etmek için yasal yükümlülükler getirir. Bu düzenleme, kritik altyapı operatörlerinin artık sistemlerin, cihazların ve verilerin nasıl yönetildiğine dair sıkı ve uygulanabilir kontroller sergilemelerinin beklendiğini açıkça ortaya koymaktadır.
Kritik Altyapıların Korunmasına İlişkin Yönetmelik (Bilgisayar Sistemleri) (PCICSO)
PCICSO düzenleme çerçevesi, CIO’lara siber risk yönetimi için kapsamlı ve sistematik bir yaklaşım sunmak üzere üç temel yükümlülük etrafında yapılandırılmıştır. CIO’lar, bilgisayar sistemlerinin temel işleyişine olan bağımlılıkları, kontrol altındaki verilerin hassasiyeti, altyapı üzerindeki operasyonel ve yönetimsel kontrol düzeyi ile uyumluluk amacıyla sağlanan bilgiler temelinde düzenleyici otorite tarafından belirlenen kuruluşlar olarak tanımlanmaktadır.
CIO'ların uyması gereken üç temel yükümlülük şunlardır:
- Kurumsal: Siber güvenlik konusunda net bir hesap verebilirlik, politikalar ve denetim sağlamak için gerekli yönetişim ve kurumsal gereklilikler.
- Önleyici: Operatörlerin kritik bilgisayar sistemlerinin güvenliğini sağlamak için uygun teknik ve operasyonel önlemleri almasını gerektiren önleyici ve koruyucu tedbirler.
- Olay Raporlama ve Müdahale: Önemli siber güvenlik olaylarının zamanında tespit edilmesini, yönetilmesini ve bildirilmesini sağlamak için gerekli yetkinlikler.
Önemli Noktalar
Yönetmelik çok çeşitli gereklilikleri kapsasa da, CIO'ların akılda tutması gereken birkaç önemli nokta bulunmaktadır. Yönetmeliğin Ek 3, Bölüm 1'e göre, işletmecilerin aşağıdaki amaçlara yönelik politikalar oluşturması gerekmektedir:
- Bilgisayar sistemi güvenliği ve sistem açıklarıyla ilgili riskleri belirlemek, değerlendirmek, izlemek, etkilerini azaltmak ve bunlara müdahale etmek
- Önemli bilgisayar sistemlerine erişimi kontrol etmek
- Sistemlerde kullanılan bilgisayar ile ilgili hizmet ve ürünlerin tedarikçilerini yönetmek
Uyumluluğu Destekleyen Sektörün Önde Gelen Çözümleri
Temel Olarak Cihaz ve Endpoint
PCICSO kılavuzlarında Endpoint durumu ve güvenlik açığı yönetimine büyük önem verilmekte olup, güvenlik açıklarının zamanında tespit edilmesi, değerlendirilmesi ve giderilmesi gerekmektedir. Yalnızca uyumlu cihazların kritik sistemlerle etkileşime girmesine izin verilmeli; yamaları eksik, yazılımı güncel olmayan veya güvenlik riski taşıyan uç noktalar ise sorun giderilene kadar engellenmeli veya kısıtlanmalıdır. MetaDefender , erişim izni verilmeden önce cihaz uyumluluğunu zorunlu kılarak ve her bir uç noktayı kurumsal politikalarla karşılaştırarak bu gerekliliklere uyumu destekler. Bu değerlendirme, güvenlik açığı ve yama durumunu içerir ve yalnızca gerekli güvenlik durumunu karşılayan cihazların bağlanabilmesini sağlar.
Buna ek olarak, MetaDefender Endpoint , işletim sistemlerini ve üçüncü taraf uygulamaları kapsayan uç noktalarda güvenlik açığı ve yama yönetiminiEndpoint . 1.100’den fazla uygulama için yama desteği sunarak güvenlik açıklarını aktif olarak tespit eder, riskleri giderir ve önerilen düzeltmeleri sağlar. Denetlenebilir uyumluluk uygulamaları ve olay araştırmaları için, tüm uç nokta güvenliği ve uyumluluk durumları My Central Management aracılığıyla merkezi olarak izlenebilir ve denetlenebilir.
Çıkarılabilir Media Azaltılması
Erişim kontrolü, yönetmelik kapsamında ele alınan temel odak alanlarından biridir. Bu durum, CIO’ların çıkarılabilir ortamlar da dahil olmak üzere kritik sistemlere yönelik tüm erişim yollarını titizlikle yönetme ihtiyacını artırmaktadır.
USB ve diğer taşınabilir ortamların kullanımı, özellikle ağların bölümlere ayrıldığı veya izole edildiği operasyonel ortamlarda hâlâ yaygın olup, bu durum onları OT/ICS ortamlarında yüksek riskli bir saldırı vektörü haline getirmektedir. SANS 2025 OT/ICS Bütçe Raporu’na göre, saldırı vektörlerinin %15,2’si güvenliği ihlal edilmiş çıkarılabilir ortamlardan kaynaklanmıştır.
Bu riskleri azaltmak amacıyla OPSWAT , kuruluşların aşağıdaki yöntemlerle çıkarılabilir veri taşıyıcılarından kaynaklanan riskleri önlemesine OPSWAT :
- Giriş Noktasında Çıkarılabilir Media Azaltılması:MetaDefender , giriş noktasında çıkarılabilir ortamları tarayarak ve temizleyerek kritik ortamlara giren veri akışlarını güvence altına alır. Bu çözüm, Emerson’un DeltaV Silver Alliance programının bir parçası olarak kabul edilmiş ve çeşitli ortamlarda ve kullanım senaryolarında etkinliğini kanıtlamıştır.
- Çalıştırma Öncesi Endpoint ve Cihaz Kontrolü: MetaDefender , çıkarılabilir ortamların takıldığı anda bunları aktif olarak tarayarak ve kritik sistemler içinde yalnızca güvenli cihazlara veya içeriğe erişim sağlanmasını garanti ederek, operasyonel ortamlar için gelişmiş uç nokta koruması sunar.
- Ek Bir Güvenlik Katmanı OlarakMedia : MetaDefender Endpoint ve MetaDefender Media , tarama ve temizleme ilkelerini uygulayarak ek bir güvenlik katmanı sağlar.
- Merkezi Koruma İzleme: My Central Management platformu aracılığıyla MetaDefender ve MetaDefender , cihaz erişimini kontrol etmek, taşınabilir ortam kullanımını izlemek ve yönetmek ile etkinlik günlüğü tutmak için merkezi politika uygulamasını destekler.
Yüklenici ve Supply Chain Erişim ve Secure Depolama Yönetimi
Kritik altyapı tamamen izole bir şekilde çalışamayacağından, günlük operasyonlar genellikle tedarikçiler, yükleniciler ve iş ortakları tarafından getirilen harici cihazlara ağ erişimi verilmesini gerektirir. Üçüncü taraf dizüstü bilgisayarlar ve yedek iş istasyonları gibi geçici cihazlar, zaman baskısı veya yetersiz doğrulama araçları nedeniyle uygun güvenlik kontrollerinden geçemeyebilir ve bu da potansiyel ilk saldırı vektörleri oluşturabilir.
SANS’ın 2025 ICS/OT ve IBM’in 2025 Veri İhlali Maliyet Raporu’ndan alınan güncel sektör verileri şunu ortaya koydu:
- Geçici cihaz saldırıları %221 arttı
- Tüm OT olaylarının %27,3'ü geçici cihazlardan kaynaklandı
- Üçüncü taraf ve tedarik zinciri güvenlik ihlallerinin maliyeti, ihlal başına ortalama 4,9 milyon dolar civarında
MetaDefender Drive geçici cihazlara kritik ağlarınıza erişim izni vermeden önce bunları tarayarak ve doğrulayarak bu sorunları çözmek üzereDrive . Güvenli önyükleme öncesi tarama sayesinde, operatörler cihazları ana bilgisayar işletim sisteminin ötesinde inceleyerek ağa girmeden önce gizli tehditleri tespit edebilirler.
Operasyonel kısıtlamalar nedeniyle kapatılamayan kritik sistemler için MetaDefender Drive , oturum içi taramayıDrive destekler; bu sayede işletim sistemi çalışırken cihaz denetimi yapılabilir ve kesintinin kabul edilemez olduğu kritik ortamlarda kapsamlı denetim sağlanır.
Ayrıca, Smart TouchDrive MetaDefender Drive , standart bir USB gibi verileri depolayarak güvenli dosya saklama imkanı sunarken, taranmamış dosyaları gizli tutar ve yalnızca taranmış dosyaların paylaşılmasına veya dağıtılmasına izin verir.
Ağ Bölümleme ve Tek Yönlü Veri Akışı
PCICSO, mantıksal segmentasyonun ötesinde, bazı kritik sistemlerin yazılım tabanlı denetimlerin sağladığından daha güçlü garantiler gerektirdiğinin farkındadır. Güvenlik duvarları, erişim kontrol listeleri (ACL) ve segmentasyon politikaları, yanlış yapılandırma, kimlik bilgilerinin kötüye kullanımı ve sıfırıncı gün saldırılarına karşı savunmasız kalmaya devam etmektedir. Kullanılabilirlik ve bütünlüğün hayati önem taşıdığı yüksek etki alanına sahip sistemler için, güven sınırlarının fiziksel olarak uygulanması belirleyici bir denetim unsurudur.
MetaDefender , donanım tarafından uygulanan tek yönlü veri akışı yoluyla bu ihtiyacı karşılayarak, verilerin izleme, analiz ve uyumluluk raporlaması amacıyla kritik ortamlardan dışarı aktarılmasını sağlarken, gelen iletişimi engeller. Politika uygulamasına dayanan geleneksel ağ kontrollerinden farklı olarak, bu yaklaşım tasarım gereği tüm saldırı vektörlerini ortadan kaldırır. Kötü amaçlı yazılımların, uzaktan komutların ve yanal hareketlerin korunan sistemlere geri girmesini önleyerek, PCICSO'nun sistemik riski azaltma ve kritik sistemlere maruz kalma yollarını sınırlama konusundaki vurgusunu destekler.
Operasyonel açıdan bakıldığında, MetaDefender , CIO’ların sistem izolasyonundan ödün vermeden izleme, günlük kaydı ve raporlama yükümlülüklerini yerine getirmelerini sağlar. Günlükler, telemetri verileri ve operasyonel metrikler, merkezi analiz amacıyla BT veya SOC ortamlarına güvenli bir şekilde aktarılabilir; bu sırada OT ve kontrol sistemleri bozulmadan kalır ve yönetmelikle uyumluluk sağlanır.
Uyumluluktan Dayanıklılığa
Yeni Hong Kong siber güvenlik yönetmeliği kılavuzlarının uygulanması, kuruluşların cihaz uyumluluğunu sağlamasına, dosya aktarımını denetlemesine, çıkarılabilir ortamları yönetmesine ve ağları bölümlere ayırmasına yardımcı olur. Kritik altyapı, kesintilere karşı hassas sistemlere hala bağımlı kalırken giderek daha bağlantılı hale geldikçe, güvenlik denetimleri operasyonları kesintiye uğratmadan çalışmalıdır.
OPSWAT , uç cihazlar, çıkarılabilir ortamlar, geçici cihazlar ve veri akışları genelinde bu yetenekleri bir araya getirerek, düzenleyici kurumların beklediği görünürlüğü sağlarken yaygın giriş noktalarını da ele alır. OPSWAT kritik altyapı kuruluşlarının bu gereklilikleri karşılamasına ve siber dayanıklılığını güçlendirmesine nasıl OPSWAT hakkında daha fazla bilgi edinmek için bugün uzmanlarımızdan biriyle görüşün.
