Son yıllarda ABD atık su tesislerine yönelik siber saldırılar, operasyonel teknolojinin ne kadar savunmasız olabileceğinin altını çizdi. 2024 yılının başlarında, Teksas'taki birçok şehir SCADA sistemlerine saldırganlar tarafından uzaktan erişildiğini görmüş, hatta personel kontrolü yeniden ele geçirmeden önce bir su tankının taşmasına neden olmuştur. Tipton, Indiana'daki benzer bir olay, tesis sistemlerinde düzensiz faaliyet tespit edildikten sonra operatörleri manuel operasyonlara geçmeye zorladı. Bu olaylar, arıtma altyapısını kurumsal veya internete dönük ağlara bağlamanın risklerini vurgulamış ve bu kamu hizmetinin OT sistemlerini hava boşluklu tutma konusunda neden taviz veremeyeceğini pekiştirmiştir.
Güvenlik ve Görünürlüğün Çarpıştığı Yer
Historian Verilerini Anlama
AVEVA Historian, sensörler, kontrolörler ve SCADA platformları gibi OT sistemlerinden yüksek hacimli, zaman serisi verilerini yakalamak ve depolamak için tasarlanmış özel bir endüstriyel veritabanıdır. Tesis düzeyinde, yerel bir Historian operatörler için proses verilerini (endüstriyel kontrol sistemleri ve sensörler tarafından üretilen ham operasyonel bilgiler) kaydederek ekipman ve arıtma faaliyetlerini gerçek zamanlı olarak izleyebilmelerini sağlar.
1. kademe bir kurumsal Historian farklı bir role hizmet eder: birden fazla tesisten Historian beslemelerini bir araya getirerek kurumsal ekiplere raporlama, analiz ve planlama için konsolide bir görünüm sağlar. Zorluk, verilerin bu yerel Tarihçilerden kritik OT sistemlerine geri dönüş yolu açmadan kurumsal seviyeye taşınması gerektiğinde ortaya çıkar.
Secure Veri Paylaşımının Zorluğu
Tesislerinden birinde, kamu hizmetinin yerel bir AVEVA Historian'dan kurumsal ağındaki 1. kademe Historian'a veri iletmesi gerekiyordu. Bu veriler kurumsal düzeyde izleme ve raporlama için hayati önem taşıyordu, ancak kurumsal ağın internet bağlantısı doğrudan entegrasyonu güvensiz hale getiriyordu.
OT sistemlerini izole tutmak çok önemliydi, çünkü kontrol ortamına giden herhangi bir yol saldırı için bir vektör sağlayabilirdi. Aynı zamanda, Tarihçileri izole bırakmak, kuruluşun lokasyonlar arasında içgörü paylaşma ve verimliliği artırma becerisini sınırlıyordu. Buradaki zorluk her iki hedefe de ulaşmaktı: gerçek zamanlı görünürlük sağlarken sıkı ayrımı korumak.
Güvenlik duvarları ve diğer yazılım tabanlı araçlar yeterli değildi. Tek yönlü iletişimi garanti edemiyorlardı, sürekli bakım gerektiriyorlardı ve kritik varlıkları riske maruz bırakıyorlardı. Bu nedenle kuruluş, temel verilerin dışarıya taşınmasına izin verirken fiziksel izolasyonu zorlayacak bir çözüme ihtiyaç duyuyordu.
Gerçek Zamanlı Veriler için Secure Bir Yol Oluşturma
Kamu hizmeti kurumu OPSWAT 'a başvurdu ve MetaDefender Optical Diode 'u (Fend) eRIS yazılım platformuyla birlikte kullandı. eRIS, Historian verilerini güvenli bir şekilde çevirmek ve sunmak için su sektöründe yaygın olarak kullanılan bir veri yönetimi ve raporlama aracıdır, bu da onu bu dağıtım için doğal bir uyum haline getirmektedir.
MetaDefender Optical Diode (Fend), tek yönlü iletişimi garanti etmek için optik izolasyon kullanan, donanımla güçlendirilmiş bir siber güvenlik cihazıdır. Tasarım gereği, uzaktan erişimi veya kötü amaçlı yazılım sızmasını önlemek için gelen trafiği fiziksel olarak engeller ve hizmet reddi, kurcalama ve güç dalgalanmalarına karşı yerleşik korumaları, Historian verilerinin stres altında bile güvenilir bir şekilde akmaya devam etmesini sağlamaya yardımcı olur.
Dağıtım şu şekilde gerçekleşti:
- eRIS kurulumu: eRIS yazılımı, Historian verilerini tek yönlü bir formata çeviren mevcut OT AVEVA sunucusuna bir Windows hizmeti olarak kuruldu.
- Optik izolasyon: Veriler daha sonra, donanım düzeyinde optik izolasyon ile tek yönlü aktarımı zorunlu kılan MetaDefender Optical Diode (Fend) aracılığıyla güvenli bir şekilde seyahat etti.
- Protokol desteği: Cihaz, FTP, SFTP, TCP ve UDP gibi standart BT protokollerinin yanı sıra Modbus ve BACnet gibi endüstriyel protokolleri de yerel olarak destekleyerek Historian veri aktarımları için çok uygun hale gelir.
- Kurumsal dönüştürme: Kurumsal tarafta, eRIS Hub bilgileri tekrar AVEVA formatına dönüştürdü ve 1. kademe Historian'a alınmak üzere hazırladı.
Manuel Gecikmelerden Anlık İçgörüye
Yeni mimarinin devreye girmesiyle, kamu hizmeti artık görünürlük ve güvenlik arasında seçim yapmak zorunda kalmadı. Arıtma tesisindeki operatörler, verilerin kurumsal Historian'da neredeyse anında görünmesini izleyebilirken, hiçbir şeyin kontrol ortamına geri akamayacağını da biliyorlardı. Bir zamanlar dikkatli geçici çözümler (manuel toplama, gecikmeli raporlama) gerektiren şeyler artık otomatik olarak gerçekleşiyor ve hem operasyon hem de kurumsal ekiplere her gün kullandıkları bilgiler konusunda güven veriyordu.
Temel Avantajlar
Günlük operasyonlarda zaman tasarrufu: Verilerin manuel olarak toplanmasını ve paylaşılmasını beklemek yerine, personel analiz için hazır olan düzenli bir bilgi akışına güvenebilir.
Güvenlik ekipleri için gönül rahatlığı: Donanımın zorunlu kıldığı tek yönlü aktarım, kurumsal ağ tehlikeye girse bile OT sistemlerine dokunulmaması anlamına geliyordu.
Kurum genelinde daha iyi görünürlük: Kurumsal ekipler, tesis personelini rahatsız etmeden veya onlara yük olmadan ihtiyaç duydukları görünürlüğü elde etti.
Tesisler arasında çoğaltılması kolay: Basit, az bakım gerektiren bir dağıtımla, kamu hizmeti kuruluşu gerektiğinde aynı modeli diğer tesislerde çoğaltabilir.
Kuruluş ilk kez operasyonlarının tam resmini gerçek zamanlı olarak görebiliyor ve en kritik sistemlerinin hala gerçek bir hava boşluğu tarafından korunduğunu biliyordu.
Secure Su Operasyonlarının Geleceğini İnşa Etmek
Güvenli Historian veri aktarımları sayesinde, kamu hizmeti aynı modeli operasyonlarının diğer kısımlarına da genişletmek üzere konumlandırılmıştır. Ek arıtma tesisleri, pompa istasyonları ve izleme sistemleri, OT ortamlarını dış tehditlere maruz bırakmadan kurumsal ağa entegre edilebilir.
Dağıtım aynı zamanda yeni analitik ve uyumluluk uygulamalarının benimsenmesi için bir temel oluşturur. Kurumsal ekipler, raporlamayı iyileştirmek, öngörücü bakımı desteklemek ve operasyonel değişikliklere daha hızlı yanıt vermek için güvenilir, gerçek zamanlı veri akışları oluşturabilir. Aynı zamanda, OT sistemleri donanımla güçlendirilmiş izolasyonla korunmaya devam ederek, temel hizmetleri Amerika Birleşik Devletleri'ndeki su ve atık su tesislerini kesintiye uğratan siber saldırı türlerinden koruyor.
Gerçek zamanlı görünürlüğü tavizsiz güvenlikle birleştirerek, kamu hizmeti yalnızca bugünün ihtiyaçlarını karşılamakla kalmayan, aynı zamanda kritik altyapı korumasında gelecekteki taleplere de hazır olan bir yaklaşım yarattı.
MetaDefender Optical Diode 'un (Fend) temel sistemleri güvenli bir şekilde izole ederken tesisinizi nasıl koruyabileceği hakkında daha fazla bilgi edinin.
