Bu işi tez konusu yapıp akademik düzeyde incelenmesi isabet olur. Konuyla ilgili bilgili ülkemizde hiç kimse yok. Bunun sadece akademik düzeyde değil, profesyonel olarak da işinize yarayacağı düşücesindeyim.
Ancak olayı sadece IT güvenlik konusu olarak değil genel SCADA güvenlik konusu olarak incelemekte fayda var. Bu konuda Avrupa'da geçerli olan IEC62351 ve Kuzey Amerika'da kullanılan AGA12 standartlarını da tezinizde incelemenizi tavsiye ederim. Tabi BTK'ya göre RF üzerinde kriptolu haberleşme için tüm algoritmaların teslim edilmesi gerekli. Nasıl olacak bilemiyorum kriptolu haberleşme. Zaten ülkemizde RF haberleşme konusunda en ağır yasalar bulunmakta. Cihaz ithalatında göbeğimiz çatlıyor.
Bunların dışında otomasyon tarafında alınabilecek basit önlemler var.
1. Ölçüm/kontrol mekanının fiziksel güvenliği, ve ilgili alarmların izlenmesi. Uzaktan izlenilen bir su deposunun gerekli güvenlik önlemlerinin alınması ve yetkisiz giriş için alarmların oluşturulması gibi. Mümkünse bu tip lokasyonlara kamera sistemi konulması.
2. Ölçüm enstrümanlarının ayarlarına kesinlikle şifre konulması. Araya girişin tespiti için hat kopuk alarmlarının muhakkak SCADA sistemine alınması.
3. Tüm otomasyon panolarınıın kilitli olması ve kapı switchlerinin alarm ile uzaktan izlenmesi.
4. RTU/PLC yapılandırmalarının şifre ile korunması.
5. Uzak haberleşmede Modbus tarzı basit protokollerden uzak durulması
6. Operatörlerin sadece izleme ve kontrol değil, güvenlik konsunda da eğitilmesi. Yetkisiz kişilerin neler yapabileceği konusunda bilgi verilmesi ve buna ilişkin alarmları muhakkak dikkate almaları sağlanması.
7. Sistemde ölçüm değerlerinde ani düşme/yükselme alarmları tanımlanması. Zira ölçüm cihazı seviyesinde yapılan saldır örnekleri olmuş daha önce. Örneğin seviye sensörünün kötü niyetli kişi tarafından simüle edilmesi sonucunda depo taşmaları/boşalmaları.
8. Veri haberleşmesinde license-free frekansların kullanılmaması.
9. Dokümantasyon güvenliği. Pano içine proje bırakılması genel bir uygulamadır, ama yanlıştır.
10. Kritik manuel kontrol butonlarının anahtarlı seçilmesi.
11. Etkin şifre yönetimi. Expire eden şifreler kullanılması.
12. İşletim sisteminin ve yardımcı programların sürekli güncel tutulması.
Aklıma gelenler bunlar. Ama düşündükçe daha çok çıkar.
Öncelikle cevapladığınız verdiğiniz bilgiler için çok teşekkür ederim şu zamana kadar yaptığım araştırmalarda ve yaşanan olaylarda genel de işten çıkmış bir çalışanın kendi bilgisayardan sisteme sızması ya da mühendisin şirket içinde kullandığı bilgisayarlar sızması ile olmuş şimdili ulaşabildiğim 6 farklı olay ikisi çok ciddi sorunlar ortaya çıkarmış. SCADA sistemlerinde yada genel otomasyon sistemlerinde şirket içinde md5 yada euchner firmasının kullandığını fiziksel anahtarlar kullanılmaktadır asıl sorun web üzerinde gelen tehlikeleri önleyebilmek burada ilk akla gelen ARP zehirlenmesi bir çok plc ağ üzerinde ip adreslerine dayalı çalışmaktadır bu da ip adreslerini yada mac adreslerini kopylamak bu plc komut akışını engelleme imkanı veriyor. ARP zehirlenmesine karşı herhangi bir virüs programı tarzında bir yazılım bulunmamaktadır olan yazılımlar içinde bunu sadece kullanıcının ip tablosunu incelemesi yada wireshark tarzı programları kullanılması ile mümkün. Sıkıntımız bu programları TIA portal’la yada bağlı olduğumuz sisteme entegre etmesi ve kullanması çokta kolay değil.ne güvenebiliyoruz ne de onlarsız yapabiliyoruz.durum iki taraf açısından da sıkıntılı hele ki işin içine wireless plc yada protokoller girerse iş oldukça sıkıntılı bir durum haline gelmektedir.Bir diğer taraftan profinet bu konuda oldukça sıkıntılı siemens firmasının da bu konuda çözüm arayışı içinde olan çözümler hiçte iç açıcı değil.Bulduğum bir yöntem ise bir zamanlar TUBITAK tarafından da desteklenen honeypots bal küpleri yani bir nevi tuzak siz bütçenize ağ yapınıza yada durumunuza göre farklılık gösteren tuzaklardan birini seçiyorsunuz asıl sıkıntılardan biri burada bu seçimi doğru bir şekilde yapmak tuzak kurduktan sonra sisteme kim saldırırsa bunun yöntemini inceleyerek bu acığı kapatıyorsunuz bir diğer yol ise incelediğiniz bu yoldan örneğin 10 ip numarası size durmadan ping atıp bağlantı kurmaya çalışmış bu ip tablosundakileri kara delik denen bir diğer bal küpüne bağlıyorsunuz bu kişiler yada ip adresleri size saldırı yapamıyor.Bu bilgiler ışığında biliyorum hepsi çok havadan ve bağlantısız elimden geldiğince yüksek lisans bitirme tezimi de bu alana doğru kaydırmayı planlıyorum.Nasip olursa kasım 21de nürnbergte ki otomasyon fuarına katılıp siemens ve bir çok üretici firma ile tartışıp fikirlerini alıp gene sizinle buradan paylaşacağım.Sizce daha başka neler olabilir?
