Symantec, Kritik Bilgi Altyapısı Koruma Araştırması’nın 2010 yılı (2010 Critical Information Infrastructure Protection (CIP) Survey) sonuçlarını duyurdu.
Araştırmada yer alan bilgilere göre, kritik altyapı sağlayıcılarının %53’ü, ağlarda tespit ettikleri siber atakların siyasi-amaçlı saldırılar olduğunu belirtirken, katılımcılar geçtiğimiz 5 yıl içinde ortalama 10 kez bu tür siyasi-amaçlı saldırılarla karşılaştıklarını ve bu saldırıların işe etkisi yoluyla ortalama 850,000 dolar mali kayba uğradıklarını ifade ediyor.
Araştırmaya katılan farklı sektörlerdeki firmalardan bu tür saldırılara karşı en hazırlıklı olanların “enerji”, en az hazırlıklı olanların ise “iletişim” sektöründe yer aldığı ettiği bilgisi de raporda bulunuyor.
Araştırmaya katılan altyapı sağlayıcıları ise siber ağlarına yönelik bir saldırı gerçekleştiğinde ya da bu ağ yapılarında bir zarar oluştuğunda ulusal güvenliğin tehdit edileceği ya da ulusal ekonominin zarar göreceği çok önemli iş endüstrilerini temsil ediyorlar.
Araştırmada Öne Çıkan Bulgular:
- Kritik altyapı sağlayıcıları saldırıya uğruyor: Kurumların %53’ü, yaşadıkları atakların belirli bir siyasi amaçla ilintili olduğunu vurguluyor. Bu kurumlar geçtiğimiz 5 yıl içinde söz konusu tür ataklara 10 kez maruz kaldıklarını belirtiyor. Araştırmaya katılan kurumların %48’i bu tür saldırıların gelecek yıl da yaşanacağı, %80’i ise bu saldırıların sıklığının gün geçtikçe daha da artacağı yönündeki düşünceleri de raporda yer alıyor.
Saldırılar oldukça etkin ve mali bedeli çok ağır: Katılımcılar, saldırıların 5’te 3’ünün işe olan etkisinin inanılmaz boyutlara taşınabileceğini dile getiriyor ve son 5 yılda bu tür atakların mali boyutunu 850,000 dolar olarak belirtiyorlar.
Kurumlar, bu tür ataklara karşı Kritik Bilgi Altyapı Koruması (CIP) oluşturmak için kamu kurumları ile işbirliği yapmak konusunda istekliler: Araştırmaya katılan kurumların neredeyse tamamı (%90), kendi ülkelerindeki ilgili kamu kurumları tarafından geliştirilen CIP programına bağlı olduklarını söylerken, %56’sı ise büyük ölçüde ya da tamamen bir CIP programa katılmak üzere çalışmaların sürdüğünü belirtiyor. Buna ilaveten, katılımcıların 3’te 2’si, CIP programı ile ilgili olumlu düşüncelerini belirtirken, diğer kısım ise kamu kurumları ile bu konuda bir ortaklık oluşturmak konusunda istekli olduklarını belirtiyorlar.
CIP için hazırlık girişimleri mevcut: Altyapı sağlayıcıların sadece 3’te 1’i, her tür saldırıya karşı kendilerini son derece hazırlıklı hissediyor. Katılımcılar, idari yönetim tarafından alınan güvenlik eğitimini, tehditlere karşı farkındalık ve kavrama durumunu ve uç nokta güvenliği ölçümlerini, güvenlik yanıtlarını ve güvenlik denetimlerini önemli kalkanlar olarak görüp, etkin bir altyapı koruma sistemi için bu nosyonların önemini vurguluyorlar. Son olarak, küçük şirketler kendilerini en hazırlıksız hisseden kurumların başında geliyor.
Kritik altyapı siber ataklarına karşı esneklik sağlamak üzere öneriler:
- BT politikalarınızı geliştirmenin ve uygulamanın yanı sıra, BT politikalarına uygunluk süreçlerinizin de otomasyonu ile etkin uygulama ortamı yaratın. Kurumlar, tüm lokasyonları kapsayacak şekilde BT risklerini önceliklendirerek ve BT politikalarını tanımlayarak, yerleşik bir otomasyon ve iş akışı ile BT politikalarını etkin şekilde uygulayabilirler. Böylelikle, sadece tehditleri tanımlamakla kalmayıp aynı zamanda vakaları da henüz gerçekleşmeden öngörerek olası tehlikeleri hafifletebilirler.
Bilgi merkezli bir yaklaşımla proaktif koruma sağlayın. Bilgiyi korumak üzere içeriği tanıyan bir bilgi güvenliği yaklaşımı benimsemek, bilginin kimlerin elinde olduğu, nerede saklı tutulduğu, kimler tarafından erişim sağlandığı ve nasıl korunması gerektiği gibi konularda atılacak en önemli adımı oluşturur. Kritik bilgileri korumak üzere şifreleme sistemleri kullanın ve yetkisiz kullanıcı erişimlerini yasaklayın.
Sadece yetki tanınan personelin sistemlere girişini sağlamak üzere kimlikleri onaylayacak çözümler kullanın.
Güvenli işletim ortamları kullanarak, yamaları düzenli olarak güncelleyerek, verimliliği artırmak üzere işlemleri otomatik hale getirerek, sistemlerin durumunu sürekli izleyip raporlayarak sistemlerinizi etkin şekilde yönetin.
Uç noktaları, mesajlaşmaları ve Web ortamını güvenli hale getirerek altyapınızı koruyun. Buna ilaveten, kritik dahili sunucuların tanımlanması ve yedekleme ve kurtarma fonksiyonlarının da uygulanıyor olması öncelikli konular arasında yer almalı. Kurumlar ayrıca, tehditlere en hızlı şekilde yanıt vermek için görünürlük ve güvenlik zekası konusularında da güçlü bir duruş sergilemelidirler.
7X24 Erişilebilirlik sağlanmalı. Kurumlar, iş akışını etkilemeyecek test yöntemleri kullanmalılar. Kurumların platformlar arası ve ortamlar arası araçlara daha fazla adapte olmalarını ya da daha az platformda standarlaşma sağlamalarını olmaları gerektiğini ortaya koyan sanal ortamlar da kurumlar tarafından fiziksel ortamlarla birlikte önem verilen alanlar olmalı.
Bilgi depolama planları ve politikalarını kapsayan bir bilgi yönetimi stratejisi geliştirin. Kurumlar; arşivleme ve yasal gereklikler için yedekleme fonksiyonalitesi kullanma alışkanlıklarından vazgeçmeli, kullanılmayan kaynaklar için her yerde tekilleştirme stratejisini benimsemeli ve tam teşekküllü /çok özellikli bir arşivleme sistemi oluşturmalı ve mutlaka veri sızıntılarını önleme teknolojilerini kullanıyor olmalıdırlar.
Kritik altyapı korumasını teşvik etmek üzere kamu kurumlarına öneriler:
- Kamu kurumları, kritik altyapı koruma programlarının oluşturulması için kaynak ayırmaya devam etmeli.
Kritik altyapı sağlayıcılarının büyük çoğunluğu, kritik altyapı koruma programlarının varlığından haberdar olduklarını doğruladı.
Bunun yanı sıra, kritik altyapı sağlayıcılarının yine büyük çoğunluğu, bu tür koruma programlarının oluşturulması yönünde kamu kurumlarının yürüttükleri çalışmaları desteklediklerini belirtti.
Kamu kurumları, CIP organizasyonları ve planları ile ilgili bilgiler geliştirmek ve yayımlamak üzere endüstri kurumları ile işbirliği içinde olmalı. Bu bilgiler, herhangi bir ulusal siber atakla karşılaşıldığında nasıl bir karşı plan hazırlanmalı, kamu ve endüstrinin ileri gelen kurumlarının bu konudaki rolleri ne olmalı, çeşitli endüstri segmentleri için bölgesel ve ulusal bazda iletişim halinde olunacak kişiler kimler olmalı ve olası bir acil durumda devlet kurumları ve özel sektör tarafından bilgiler nasıl paylaşılmalı gibi soruları kapsamalı.
Kamu kurumları, bugünün siber ataklarına karşı tetikte olabilmek adına sadece güvenliğin yeterli olmayacağını özellikle vurgulamalı. Kritik altyapı sağlayıcıları ve kurumlar ayrıca, bilgilerinin saklanması, yedeklenmesi, önceliklendirilmesi konularında, erişim ve kimlik doğrulamaya yönelik fonksiyonalitelerin gerektiği gibi çalıştığı hususunda şüphe duymamalıdırlar.
Araştırma, 2010 yılının Ağustos ayında yapılmış olup, 15 farklı ülkeden, kritik altyapı sağlayıcı olarak tanımlanmış 6 ayrı endüstri kurumundan 1,580 kişinin katılımıyla gerçekleşmiştir.
Kaynak : 