Günümüzde üretim tesisleri artık arızalı makineler nedeniyle değil, siber saldırılar nedeniyle duruyor. Fidye yazılımları ve veri ihlalleri, üretim hatlarını sekteye uğratıyor, tedarik zincirlerini zorluyor ve marka güvenini sarsıyor. Siber güvenlik alanında faaliyet gösteren ESET, üretim sektöründe siber güvenliğin artık bir teknoloji sorunu değil, üretim hatlarını durdurabilen, tedarik zincirini sekteye uğratan, yatırımcıların ve müşterilerin güvenini sarsabilen bir iş riski olduğunun altını çizdi. Son dönemde otomotiv sektöründe yaşanan olaylar da bu gerçeği gözler önüne seriyor.
Bütünleşik bir strateji olarak ele alınmalı
ESET’e göre Stellantis’in veri ihlali açıklaması ve Jaguar Land Rover’ın siber saldırı nedeniyle dört haftalık üretim duruşu, sınırlı kaynaklara sahip küçük ve orta ölçekli üreticiler için ciddi bir uyarı niteliğinde. Siber güvenliği yalnızca yasal uyumluluk gerekliliklerini karşılamak için uygulamak artık yeterli değil. Günümüzün sofistike saldırganları, kimlik avı, sistem izinsiz girişleri ve güvenliği ihlal edilmiş yazılımlar gibi yöntemlerle ür2eticileri hedef alıyor. Üretim ihlallerinin yüzde 85’i bu tür saldırılardan kaynaklanıyor. ESET’e göre bu nedenle siber güvenlik, yönetişim, kültür ve kaynak yönetimiyle bütünleşik bir strateji olarak ele alınmalı.
ESET yayınladığı açıklamada üreticilerin genellikle yıllarca, bazen on yıllarca dayanacak şekilde tasarlanmış operasyonel teknolojilerle çalıştığını ve sistemlerin finansal amortismanlarını aşmış olsa da değiştirme masrafları ve kesintiler genellikle yükseltmeleri geciktirdiğini dile getirdi. Son teknoloji olan bu cihazlar modern siber saldırılara karşı savunmasız hâle geliyor ve kuruluşun saldırı yüzeyini genişletiyor. Küçük üreticiler için kritik soru, bir siber olayın potansiyel finansal ve operasyonel etkisinin, eskiyen teknolojinin güncellenmesi veya değiştirilmesinin maliyetinden ne zaman daha ağır basacağı olarak öne çıkıyor.
Güvenlik açıklarını engellemek için yapılacaklar
ESET’e göre kimlik avı e-postaları, çalınan kimlik bilgileri ve güvenliği ihlal edilmiş üçüncü taraf yazılımlar, siber suçluların kullandığı ön kapılar olarak dile getiriliyor. Buna göre üreticiler özellikle savunmasızdır çünkü saldırganlar, fabrikaların kesintiye tahammül edemeyeceğini bilir. Tedarik zincirleri saldırı yüzeyini genişletir. BT ekipleri yetersiz kalır; KOBİ üreticileri nadiren 7/24 izleme için gerekli kaynaklara sahiptir ve hızlı müdahale yetenekleri için gerekli uzmanlıktan yoksundur. Fikri mülkiyet değerlidir; tasarımlar, formüller ve prototipler casusluk veya hırsızlık için kazançlı hedeflerdir. Üreticiler, önce önleme odaklı BT stratejisi, temel savunma önlemlerinin ötesine geçmelidir. Saldırıları engellemek yeterli değildir; üreticiler, tehditleri operasyonları kesintiye uğratmadan önce öngörmeli ve etkisiz hâle getirmelidir.
