Header Reklam

Siber Güvenlik, Bina Yönetim Sistemleriyle Buluşuyor

22 Ağustos 2019 Dergi: Ağustos-2019

Giriş

Heyecan verici bir çağda yaşıyoruz ve çalışıyoruz. İş süreçlerinin dijitalleşmesi olarak ifade edebileceğimiz Endüstri 4.0, bu çağı tanımlayan kavramlardan biridir. Dijitalleşme, daha fazla kolaylık ve artan verimlilik dahil olmak üzere sayısız avantajlar sağlamaktadır. Aynı zamanda, güvenlik zorluklarını da beraberinde getirmektedir. Siber saldırılar, dijitalleşme sürecini mümkün hale getiren geniş kapsamlı bağlanırlıktan dolayı sürekli ve artan bir tehdittir. Günümüzün bağlı dünyasında, siber saldırı olasılığı yüksektir. Siber tehditleri nasıl güvenilir bir şekilde karşılayıp azaltabilirsiniz? Organizasyonunuzu oluşturan alanların tamamında, güvenlik tedbirlerine yönelik bütüncül bir yaklaşım sergilersiniz. Bu yaklaşım, tesisinizin altyapısını yöneten bina yönetim sistemlerinin iyi seviyede hazırlanmasını da içermektedir. Siemens Bina Teknolojileri’nde, güvenliğin ürün geliştirme süreci boyunca başladığına inanılıyor. Siemens Bina Teknolojileri; Desigo CC 4.0 bina yönetim ürünleri, çözümleri ve hizmetleri grubu dahil olmak üzere ürünlerinin geliştirilmesi sürecinde “güvenliği düşün” felsefesini benimsiyor. Bu çalışmada, Siemens’in Desigo CC 4.0 ürün geliştirme ile yaşam döngüsü yönetim süreçleri boyunca siber güvenlik gerekliliklerine yönelik nasıl bir yaklaşım sergilediği hakkında bilgi veriliyor.

Siber güvenliği tartışmadan önce, isterseniz önce bu kavramı tanımlayalım. Bu çalışmada siber güvenliği, yaşam ve şirket varlıklarının, siber gerçeklik içerisindeki bilgilerin kullanılabilirliği, gizliliği, bütünlüğü, doğruluğu ve güvenilirliğine karşı gerçekleştirilen dijital saldırıların sebep olduğu zararlardan korunması olarak tanımlıyoruz. Siber gerçeklik, insanlar, yazılımlar ve hizmetler arasındaki, İntranet ve İnternete bağlanmaları için tasarlanan teknik yöntemler kullanılarak sağlanan karmaşık bir etkileşim sistemidir. Şimdi de güvenliğe yönelik bütüncül bir yaklaşım sergilemenin ne anlama geldiğini tanımlayalım. Lider şirketler ve kurumlar, güvenliğin gücünü etkileyen dört kilit faktörü dikkate alırlar: İnsanlar, iletişim, süreçler ve teknoloji.

Genel olarak:

  • İnsanların, gerek fiziksel güvenlik gerekse siber güvenlik olmak üzere güvenliğin öneminin kapsamlı ve sürekli bir şekilde farkında olmaları gerekmektedir.
  • İletişim, açık ve öz bir şekilde tanımlandığında, bir güvenlik kültürünün oluşturulmasında yardımcı olur.
  • Aktif bir şekilde uygulanan süreçler, kurumların siber tehditlerden korunması açısından teknoloji kadar önemlidir.
  • Teknolojinin, kurum varlıklarının korunması için test edilmesi, incelenmesi ve diğer uygun yapı taşlarıyla eşleştirilmesi gerekmektedir.

Bütüncül Güvenlik Yaklaşımı: Kilit FaktörlerŞekil 1. Bütüncül Güvenlik Yaklaşımı: Kilit Faktörler

Güvenlik zorlukları, geniş bir kapsam içerisinde yer almaktadır. Fiziksel tehditler daha açık bir şekilde görülüp daha az sıklıkta değişirken, siber zorluklar durmaksızın değişen tehdit kapsamından dolayı çok daha zararlı olabilmektedir. Güvenliğin iş ihtiyaçlarıyla uyumlaştırılması ve işlerin kolaylaştırılmasına yönelik yöntemlerin planlanması amacıyla, Siemens Bina Teknolojileri siber güvenliğe sürecin en başında odaklanıyor.

“Security by Design:” Siemens’in Kapsamlı Güvenlik Taahhüdü

Siber saldırılar, günümüz dünyasında en hızlı büyüyen suç faaliyetleri arasındadır. İç tehditler, fidye saldırıları, fırsatçı tehditler ve siyasi amaçlı siber saldırılardan iş casusluğu, terörizm ve devlet destekli siber terörizme kadar çok geniş bir kapsam içerisinde yer almaktadır. Hızlı, karmaşık ve sürekli değişen tehdit kapsamına karşı her zaman hazırlıklı olabilmek için, kurumların güvenliğe yönelik bütüncül bir yaklaşım sergilemeleri gerekmektedir.
Çalışma ortamınızın güvenliğinin sağlanması sorumluluğu kurumunuzda olmakla birlikte, Siemens güvenliğe yönelik bütüncül bir yaklaşım sergileyebilmenize olanak sağlayan ürünler geliştirmeyi taahhüt etmektedir. Bu çalışmanın konusu olan Desigo CC bina yönetimi ürünleri, çözümleri ve hizmetleri grubu için de bu anlayış geçerlidir. Desigo CC 4.0 ürün grubu içerisinde, Desigo CC 4.0, Cerberus DMS 4.0, Desigo CC Compact 4.0 ve Desigo CC Connect 4.0 ürünleri bulunmaktadır.
Siemens’in taahhüdü çok yönlüdür. Her şeyden önce Siemens, ürün gelişimi sürecinde güvenliği en başından inşa eden uçtan uca güvenlik yaklaşımı olan  “Security by Design” kavramına odaklanır. Bu kavram, ürünleri ve çözümleri her zaman ön planda tutmak için tasarlanan testler, iyileştirmeler ve geliştirmeleri içeren sürekli bir döngüyü tanımlamaktadır. Siemens ayrıca, siber güvenlik alanında güvenin sağlanması ve dijitalleşme sürecinin daha da geliştirilmesi amacını taşıyan bağlayıcı kurallar ve standartların oluşturulmasında katkıda bulunan Global Charter of Trust organizasyonunun kurucu üyelerinden biridir.
Basitçe ifade etmek gerekirse, Siemens ürünlerini her zaman güvenlik kavramını aklında tutarak tasarlar. Siemens’in şirket genelindeki girişimi, bütün Siemens ürünleri, çözümleri ve hizmetleri için kapsamlı bir güvenlik metodolojisinin uygulanmasını aktif bir şekilde teşvik eden bir risk yönetim programı sağlıyor. En iyi uygulamaları tanımlıyor ve karşılanması gereken teknik standartları, süreçleri ve politikaları belirliyor. Siemens aynı zamanda uluslararası standartlara katkıda bulunuyor ve ISA/IEC 62443, UL2900, ISO/IEC 27001 ve OWASP gibi güvenlik standartlarını karşılayan ürünler sunabilmek için çaba gösteriyor.

Security by Design Uzmanlığı

Bir ürünün siber güvenlik tasarımının etkinliği, ürün geliştirme ekibinin uzmanlığına bağlıdır. Siemens, Security by Design metodolojisi kapsamında, sadece dijital koruma ve ürün güvenliğine yönelik teknoloji geliştirme sürecine değil aynı zamanda çalışanların en yüksek siber güvenlik uzmanlığı seviyelerinin korunması için gerekli eğitimlere de yatırımda bulunuyor.
Ürünün yaşam döngüsü boyunca, Siemens uzmanları ürünün kullanım amacında beklenen risklere yönelik güvenlik tehdidi ve risk değerlendirmeleri gerçekleştiriyor. Bu değerlendirme, sürecin erken aşamasında başlamakta olup risklerin uygun bir şekilde tespit edilip azaltılması için gerekmesi durumunda tekrarlanıyor.
Ayrıca, tek başına ya da otomatik makine güvenlik testleriyle birlikte manüel sızma testleri kullanan kurum dışı uzmanlar tarafından düzenli ürün güvenliği testleri gerçekleştiriliyor. Buradaki fikir, sistemin daha güvenlikli bir hale getirilmesi için kırılmasıdır. Bu testler, seçilen ürün, çözüm ya da hizmetin Siemens’in güvenlik gerekliliklerini karşılamasını sağlıyor. Test sonuçları kaydediliyor ve gerekli düzeltici tedbirlerin tespit edilmesi için kullanılıyor.

Siemens Siber Güvenlik Girişiminin Öne Çıkan NoktalarıŞekil 2. Siemens Siber Güvenlik Girişiminin Öne Çıkan Noktaları

Desigo CC Security by Design Uygulaması

Desigo CC, konforlu, güvenli ve sürdürülebilir tesislerin oluşturulmasında yardımcı olan, sağlam, açık, entegre bir bina yönetim platformudur. Bir binanın işletilmesini ve izlenmesini sağlar. Desigo CC tasarım uzmanları, Şekil 2’de gösterilen şirket genelinde siber güvenlik girişimine bağlıdırlar. Desigo CC ürünlerinin uygun güvenlik seviyesi uyarınca sürekli bir şekilde geliştirilmesi amacıyla tedbirler sağlayan zorunlu kurum içi güvenlik politikasını takip ederler. Desigo CC ürünleri, ISO/IEC62443 gereklilikleri uyarınca geliştirilir. Bu tedbirler, kodlamalar sonucunda güvenli bir ürün mimarisi ile yazılım bileşenlerinin daha güvenli bir şekilde uygulanmasının sağlanmasında yardımcı olur. Yazılım, kurulduğunda varsayılan olarak güvenli hizmet sağlayacak şekilde tasarlanır. Bu tasarım, belirli özellikler ile fonksiyonları varsayılan seviyede güvenli olmalarını da içerir. Ayrıca Siemens ürünlerini, çözümlerini ve hizmetlerini sürekli bir şekilde iyileştirip geliştirdiğinden dolayı, Desigo CC yeni güvenlik tehditleri ortaya çıktığında güncel durumda kalacaktır. Aşağıda, Desigo CC ürününe entegre edilen “Security by Design” elemanlarının bir örneği verilmektedir:

  • İstemciden sunucuya uçtan uca şifreleme
  • Sunucular arasında uçtan uca şifreleme
  • Diğer cihazlarla şifreli haberleşme
  • Sertifika tabanlı veri alışverişi
  • Şifreli yedekler
  • Sertifikaların müşteri IT altyapısında sorunsuz entegrasyonu
  • Microsoft’un aktif dizin tabanlı kimlik doğrulaması
  • Veri ve uygulama erişiminin sınırlandırılması için “en düşük erişim hakkı” prensibinin kullanılması
  • Sistem erişimi için kullanıcı/iş istasyonu grupları/rolleri kontrolü – uygun görevlerin ve sorumlulukların atanması
  • 4 göz prensibi – İkinci kimlik doğrulama
  • Yeniden kimlik doğrulama
  • LDAP yoluyla kullanıcı grup yönetimi
  • Siber güvenlik denetim izi
  • Antivirüs ve kötü amaçlı yazılıma karşı koruma desteği
  • Donanım ve yazılım güvenlik duvarları desteği
  • Fiziksel ağ ya da VLAN segmentasyonunu destekleyen ağ altyapısı kullanımı
  • Ağların bölümlere ayrılması
  • Sunuculara, istemcilere ve uygulamalara kontrollü erişim
  • Web sunucunun “silahtan arındırılmış bölge” (DMZ) içerisine yerleştirilmesi
  • Doğrulanmış üçüncü parti bileşenlerinin kullanılması

Desigo CC Olay ve Saldırıya Açıklık Yönetim SüreciŞekil 3. Desigo CC Olay ve Saldırıya Açıklık Yönetim Süreci

Desigo CC Siber Güvenlik Kurulumu 

Siemens, Desigo CC ürünlerinin güvenli bir şekilde devreye alınması ve kurulması sürecinin desteklenmesi amacıyla siber güvenlik güçlendirme kılavuzları yayımlıyor. Bu kılavuzlarda, sistemin Desigo CC ürünleri ve çözümlerinin amaçlanan işletme ortamında güvenli bir şekilde çalışmasının desteklenmesi amacıyla nasıl yapılandırılması gerektiği açıklanıyor. Söz konusu yapılandırma opsiyonları, örneğin, kurulacak uygulamalar, etkinleştirilecek ya da devre dışı bırakılacak ayarlar, güvenlik duvarı yapılandırmaları ile kullanıcı ve sistem hesapları ve erişim haklarının ayarlarından oluşuyor. Güçlendirme kılavuzları, ürün yaşam döngüsü boyunca uygulanıyor.
Siemens, Yazılım Bakım Programı kapsamında periyodik olarak, yeni öğrenilen saldırıya açık alanları kaldıran ve Desigo CC sisteminin tehditlere karşı korunma seviyesini artıran yamalar ve güncellemeler yayımlıyor. Söz konusu yamalar ve güncellemeler, geliştirilmeleri üzerine hizmete sunuluyor ve ürün uzmanları tarafından sağlanan teknik destek hattına erişim yoluyla destekleniyor. Aynı zamanda, kurulan Desigo CC sisteminizin her zaman en son versiyon güncellemesinde bulunmasını sağlamak amacıyla yazılım güncellemelerine abonelik opsiyonu da bulunuyor.

Acil Durum Yönetimi

Desigo CC ürün ya da çözümünde bir güvenlik ya da saldırıya açıklık durumunun söz konusu olması durumunda Siemens’in takip edilecek olay ve saldırıya açıklık yönetim süreçleri bulunuyor.
Olay ve Saldırıya Açıklık Yönetim Süreci: Müşteri tarafından bildirilen güvenlik sorunlarına yönelik destek mekanizması Şekil 3’te gösteriliyor. Saldırıya açıklık durumları ve/veya olaylar, 7/24 esası üzerinden çalışmakta olan global Siemens ProductCERT ekibi tarafından desteklenen teknik destek ekibine sunuluyor. Durumun ve olayların yönetilmesi için gerekli adımlar atılıyor ve çözüm yolları açıklanıyor.
Saldırıya Açıklık Yönetimi: Bu, Siemens ürünlerinin ve çözümlerinin güvenliğinin hassas ayarlarının yapılmasına yönelik kurum içi tehdit algılama sürecidir. Tehditlerin sürekli bir şekilde izlenmesi, ürünler ve çözümlerdeki potansiyel saldırıya açıklık durumlarının tespit edilip azaltılmasına olanak sağlıyor. Desigo CC yazılım bileşenleri kayıtlı tutulmakta olup bu şekilde herhangi bir güvenlik açığının tespit edilmesi durumunda, gerekli çözüm yolları açıklanıyor ve uygulanıyor. Tespit edilen saldırıya açıklık durumları, abone olabileceğiniz ProductCERT güvenlik danışmanları yoluyla (https://new. siemens.com/global/en/products/services/cert.html) ProductCERT tarafından duyuruluyor.

Uzak Hizmetler

Uzaktan erişim, sağladığı sürekli performans izlemesi ve kolaylığından dolayı günümüzde istenen bir özelliktir. Desigo CC, uzaktan veri erişimine dayanan uzak hizmetlerin desteklenmesi için hazır durumdayken aynı zamanda ortam güvenliği konseptini de koruyor. Desigo CC, uzak hizmetleri destekleyerek, faaliyetlerinizin optimizasyonunun sağlanması amacıyla bina sistemleri ve bağlı ekipmanlarınız hakkındaki verilere erişim olanağından faydalanmanıza imkan tanıyor.
Standart IT mekanizmalarınız yoluyla uzaktan erişim sağlanmakla birlikte, Siemens daha güvenli uzaktan erişim için Siemens Ortak Uzak Hizmet Platformunu (cRSP) kullanıyor. Güvenilir, yüksek performanslı cRSP platformu, bina altyapınızla ilgili verilere ve bilgilere dünya genelinde erişim olanağı sağlıyor. Bu platform, Siemens tarafından sağlanan uzak hizmetlerin sıkı siber güvenlik gerekliliklerini karşılamasına imkan tanıyor. Siemens cRSP platformu, kurum seviyesinde sistematik siber güvenlik yönetimi normu olan ISO/IEC 27001 standardına uygundur.

Sonuç

Siemens, günümüz dünyasındaki siber güvenlik ihtiyaçlarınızın yerine getirilmesinde karşı karşıya kaldığınız zorlukları anlıyor. Ürün yaşam döngüsü boyunca Siemens’in benimsediği kapsamlı güvenlik yaklaşımı, Desigo CC ürünlerinin, çözümlerinin ve hizmetlerinin, güvenliği her zaman akılda tutarak tasarlandığı anlamına geliyor. Bundan dolayı, Desigo CC sistemi, insanları, süreçleri, teknolojiyi ve iletişimi dikkate alan güvenliğe yönelik bütüncül yaklaşımınızın bir parçası olabilecektir.
Sonuç olarak günümüzde, akıllı kurumlar güvenliği işlerini köşe taşlarından biri olarak değerlendiriyor. Desigo CC, kurumunuzun ihtiyaçlarını karşılamak üzere ölçeklendirilebilecek birlikte çalışan, esnek bir portföydür.

Kaynak: Siemens A.G