Temiz güce geçiş hızlanırken yenilenebilir güç kesimindeki KOBİ’lerin siber güvenliği hem yatırımlar hem de ekosistemin inancı açısından kritik ehemmiyet taşıyor. Siber güvenlik şirketi ESET, yenilenebilir güç alanında faaliyet gösteren KOBİ’ler için siber güvenliğin artık bir seçenek değil, mecburilik olduğunu vurguladı.
Yenilenebilir güç dalı süratli ilerliyor. Dünya çapında, küçük ve orta ölçekli işletmeler (KOBİ’ler), güneş gücü teşebbüslerinden topluluk rüzgâr gücü geliştiricilerine ve dijital şebeke yenilikçilerine kadar pak güce geçişi destekleyen yeniliklere öncülük ediyor. Ölçeklendirme yarışında, bu firmaların birden fazla kendilerini ve icatlarını tehlikeli bir biçimde riske atıyor. Bir proje geliştiricisine yahut hizmet sağlayıcısına yönelik tek bir siber hücum, finansmanı durdurabilir, kurulumları geciktirebilir ve tüm ekosistemdeki inancı sarsabilir.
Enerji dalındaki siber güvenlik tasaları büyük kamu hizmetleri etrafında dönüyor ve öncelikle operasyonel teknoloji (OT) risklerine odaklanıyor. Bu anlaşılabilir bir durum zira şebeke seviyesinde bir ihlal kaosa neden olur. Bunun en bariz örneği 2015 yılında Ukrayna’da elektrik şebekesini bozmak için tasarlanmış bilinen bir makus emelli yazılım taarruzuydu. Bu olay, kullanılan makûs gayeli yazılımın ismi olan Industroyer olarak anılır ve endüstriyel denetim sistemlerini enfekte etmek için özel olarak yazılmış berbat gayeli yazılımların bir örneğidir. Fakat dikkatler denetim odaları ve trafo merkezlerine odaklanırken bölümün gerçek zayıf noktası potansiyel olarak gözden kaçırılmaktadır: Kesime hayati hizmetler sunan KOBİ’lerin BT sistemleri. Bu şirketler büsbütün e-posta sunucularına, bulut platformlarına ve müşteri data tabanlarına bağımlıdır. Bu nedenle saldırganlar, bu şirketleri taarruz için en kolay yol olarak görebilirler.
Yenilenebilir güç alanında yenilik yapan KOBİ’ler eşsiz zorluklarla karşı karşıyadır. Birden fazla, eser ve hizmetlerin gereğince inançlı olmasını sağlayacak şirket içi siber güvenlik uzmanlığına sahip değildir ve işletmenin dayandığı daha nizamlı BT hizmetlerinin güvenliğini sağlamaya da odaklanmamaktadır.
Önce siber güvenlik
Güçlü bir siber güvenlik duruşuna sahip olma gereksinimini göz gerisi etmenin sonucu yıkıcı olabilir; çalışanları kimlik bilgilerini vermeye ikna eden kimlik avı dolandırıcılığı, sessizce yayılan berbat emelli yazılım enfeksiyonları, projeleri durma noktasına getiren fidye yazılımı atakları ve hatta siber saldırganların şirketin müşterilerine sunduğu eser ve hizmetlerin tedarik zincirini enfekte etme mümkünlüğü. Yatırımcılar, ortaklar ve düzenleyiciler yakından izlerken kolay yapılandırma yanılgıları yahut kazara bilgi sızıntıları bile büyük sonuçlara yol açabilir. Müşteriler, finansörler ve düzenleyiciler, pak güç şirketlerinin yalnızca sürdürülebilirlik değil, birebir vakitte eksiksiz bir siber güvenlik duruşu sergilemelerini de giderek daha fazla bekliyor. Burada bir paradoks ortaya çıkıyor; yenilenebilir güç bölümündeki KOBİ’ler inovasyona odaklanırken birçok çağdaş siber güvenlik araçlarını benimsemekte tereddüt ediyor. Kimileri maliyetlerden korkarken başkaları operasyonların karmaşıklaşmasından kaygı duyuyor. Fakat harekete geçmemenin riski çok daha büyük.
Siber güvenlik, yalnızca büyük ve varlıklı kamu hizmetleri kuruluşlarının monopolünde olan bir alan olarak görülmemelidir. Günümüzün araçları, küçük şirketler için erişilebilir, ölçeklenebilir ve pratik olacak formda tasarlanmıştır. Şirketlerin içlerinde siber güvenlik konusunda uzman kaynakları bulunmadığı durumlarda, dış kaynaklı tahliller sunan çok sayıda şirket bulunmaktadır.
Siber güvenlik için alınacak önlemler
Siber güvenlik şirketi ESET, mütevazı adımların bile dayanıklılığı değerli ölçüde artırıp riski azaltabileceğini gördü. İşletmenizin bir sonraki ibret kıssası hâline gelmesini önlemek için öncelikle tedbire odaklı bir zihniyet benimsemek çok değerlidir.
● En kritik güvenlik açıklarının süratle kapatılması için sağlam yama idaresi uygulamak,
● Kimlik ve erişim siyasetlerini sıfır itimat yaklaşımıyla güncellemek – ihlal olduğunu varsaymak, en az ayrıcalık siyasetlerini uygulamak,
● Çok faktörlü kimlik doğrulamayı uygulamak,
● Sunucular, dizüstü bilgisayarlar, bulut hizmetleri ve öbür aygıtlar dâhil olmak üzere tüm aygıtlara sağlam güvenlik yazılımı yüklemek,
● En güzel uygulamalara nazaran hassas belgeleri yedeklemek ve geri yüklemenin denenmiş ve test edilmiş olmasını sağlamak,
● Paydaşlarla birlikte bir olay müdahale planı oluşturmak ve test etmek,
● Ağları ve uç noktaları, güvenlik ihlallerinin erken ikaz işaretleri için daima izlemek,
● Personele aktüel siber güvenlik farkındalık eğitimi vermek ve kimlik avı simülasyonları gerçekleştirmek; çalışanlar hem şirketin en güçlü varlığı hem de en zayıf halkasıdır.
İç uzmanlığa sahip olmayan firmalar için Yönetilen Tespit ve Müdahale (MDR) hizmetleri, uzman güvenlik analistleri tarafından 24 saat izleme ve süratli müdahale sağlayarak olaylar meydana geldiğinde daha da büyümeden süratli bir formda denetim altına alınabilmesini sağlar. Güçlü siber güvenlik savunmaları, inovasyon ve büyümeden uzaklaştırmaz; tersine bunları mümkün kılar. KOBİ’lerin yatırımcıların inancını kazanmasını, AB’nin NIS2 Direktifi üzere çerçeveler altında sıkılaşan düzenleyici gereklilikleri karşılamasını ve start-up’ları bu kadar pahalı kılan çevikliği müdafaalarını sağlar. Şebeke daha akıllı ve daha irtibatlı hâle geldikçe BT ve kritik altyapı ortasındaki hudut bulanıklaşıyor. Her KOBİ, daha büyük sistemde çok kıymetli bir rol oynar ve her boşluk kıymetli.
Temiz güç, teknolojiye, şebekeye ve geçişi destekleyen şirketlere duyulan inanca bağlıdır. BT yahut OT’de siber güvenlik ikinci planda kalırsa bu inanç kaybolacaktır. KOBİ’lerin zayıf halka olması için hiçbir mazeret yoktur. Yanlışsız muhafazalarla, inançlı ve sürdürülebilir bir güç geleceğinin sağlam omurgası olabilirler.
Kaynak: (BYZHA) Beyaz Haber Ajansı