Bilgi
güvenliğinde alınması gereken önlemlerin başında fiziksel güvenliğin sağlanması
gelmektedir. Fiziksel güvenlik, kurum sistemlerine yetkisiz erişimlerin
önlenmesinde ilk adım olarak tanımlanabilir.
Fiziksel
güvenliği sağlanmamış sistemler, güvenliğin sağlanması adına alınan önlemlerin
ve yatırımların da etkisiz kalmasına sebep olabilmektedir. Endüstriyel
sistemlerin karşı karşıya kalabileceği risklerin bazıları; sistemin işleyişinin
kontrol dışında kalması durması, sistemin kontrolünün yetkisiz
kimselerce/yazılımlarca gerçekleştirilmesi, sistemin değeri olan bilgilerinin başkaları tarafından
ele geçirilmesidir.
Bu risklerden
korunabilmek adına;
Işletmenin
- Proses alanlarının
- Yerel kontrol noktalarının
- CPU/PLC panolarının
- Merkezi kontrol noktalarının
fiziksel
güvenliği sağlanmalıdır.
Fiziksel
güvenliğin sağlanması adına alınabilecek önlemler listelenmiştir;
- İşletme duvar, tel gibi koruyucu bir katmanla çevrilmelidir.
- İşletmenin koruyucu dış katmanı üzerinde, yasak bölge olduğuna ve 7/24 izlendiğine dair tanımlayıcı ve caydırıcı tabelalar konulmalıdır.
- İşletme, güvenlik personeli tarafından belirli aralıklarla kontrol edilmeli ve işletmeye gelen ziyaretçiler ilgili personellerin yanına güvenlik görevlileri refakatinde götürülmelidir.
- Ziyaretçilerin giriş ve çıkışları; zaman, neden vb. bilgiler ile kayıt altına alınmalıdır.
- Tüm çalışanların, yüklenicilerin ve üçüncü taraf çalışanların görünür bir kimlik takma zorunluluğu bulunmalı ve kimliksiz kişiler güvenlik personeline bildirilmelidir.
- Girişte ziyaretçiye verilen manyetik kartların yetkileri kısıtlı olmalıdır.
- Yetki verilmediği sürece tesislerde fotoğraf, video, ses ve diğer kayıt cihazları ile kayıt alınmasına izin verilmemelidir.
- İşletmeye ait bilgilerin tutulduğu tüm formatlar(harddiskler, disketler, vs) tüm personelden korunmalı ve sadece yetkili kimseler erişebilmelidir.
- İşletme dahilinde koşan tüm sunucular, girişte yetki kontrolünün gerçekleştirildiği sunucu odalarında tutulmalıdır.
- Yerel ve merkezi kontrol noktalarında bulunan istemci bilgisayarların kasaları operatörler ve diğer personellerin erişemeyeceği şekilde muhafaza edilmelidir.
- İşletmeye ait önemli bilgileri barındıran dokümanlar notlar vb, personel ortak alanlarında bırakılmamalı ve personeller bu konu hakkında belirli periyotlarda bilgilendirilmelidirler.
- İşletme dahilinde gerçekleştirilen değişiklikler, kurum dokümantasyonlarında da güncellenmelidir.
- Tüm proses alanları, yerel kontrol noktaları ve merkezi kontrol odaları 7/24 izlenmelidir(bu alanların izlenmesi güvenlik kameraları, alarmlı kapılar ve pencereler veya personel tarafından yapılabilir)
- Merkezi kontrol noktalarına ve sunucu odalarına girişte yetki kontrolü(şifreli kapı girişi, parmak izi okuyucu vb) gerçekleştirilmelidir.
- Tüm endüstriyel kontrol sistemleri altyapısının, aşağıda belirtilen fiziki özellikleri sağlayacak şekilde tasarlanması önerilmektedir;
- Yerel kontrol noktaları ve merkezi kontrol odaları aşağıdaki sistemleri barındırmalıdır;
- Yangın algılayıcı sistemler
- Yangın söndürücü sistemler
- Güvenli sonlandırma sistemleri
- Doğal afetlere karşı korunma sistemleri
- Merkezi SACADA kontrol merkezlerinde bulunan kapılar açıldıktan hemen sonra kendiliğinden kapanacak şekilde tasarlanmalı ve 30 saniyeden fazla açık kalması durumunda alarm çalacak şekilde yapılandırılmalıdır.
- SCADA sistemlerinde kullanılan tüm sistemlerin kullanılmayan portları(USB CDROOM vs) kullanıma kapatılmalıdır.
Referanslar;
- NESCOR Guide to Penetration Testing for Electric Utilities v3
- API STANDARDS 1164
Hiç yorum yok:
Yorum Gönder