Temiz güce geçiş hızlanırken yenilenebilir güç bölümündeki KOBİ’lerin siber güvenliği hem yatırımlar hem de ekosistemin itimadı açısından kritik ehemmiyet taşıyor. Siber güvenlik şirketi ESET, yenilenebilir güç alanında faaliyet gösteren KOBİ’ler için siber güvenliğin artık bir seçenek değil, mecburilik olduğunu vurguladı.
Yenilenebilir güç kesimi süratli ilerliyor. Dünya çapında, küçük ve orta ölçekli işletmeler (KOBİ’ler), güneş gücü teşebbüslerinden topluluk rüzgâr gücü geliştiricilerine ve dijital şebeke yenilikçilerine kadar pak güce geçişi destekleyen yeniliklere öncülük ediyor. Ölçeklendirme yarışında, bu firmaların birçok kendilerini ve icatlarını tehlikeli bir halde riske atıyor. Bir proje geliştiricisine yahut hizmet sağlayıcısına yönelik tek bir siber atak, finansmanı durdurabilir, kurulumları geciktirebilir ve tüm ekosistemdeki inancı sarsabilir.
Enerji kesimindeki siber güvenlik tasaları büyük kamu hizmetleri etrafında dönüyor ve öncelikle operasyonel teknoloji (OT) risklerine odaklanıyor. Bu anlaşılabilir bir durum zira şebeke seviyesinde bir ihlal kaosa neden olur. Bunun en bariz örneği 2015 yılında Ukrayna’da elektrik şebekesini bozmak için tasarlanmış bilinen bir berbat gayeli yazılım taarruzuydu. Bu olay, kullanılan makus hedefli yazılımın ismi olan Industroyer olarak anılır ve endüstriyel denetim sistemlerini enfekte etmek için özel olarak yazılmış berbat gayeli yazılımların bir örneğidir. Lakin dikkatler denetim odaları ve trafo merkezlerine odaklanırken dalın gerçek zayıf noktası potansiyel olarak gözden kaçırılmaktadır: Dala hayati hizmetler sunan KOBİ’lerin BT sistemleri. Bu şirketler büsbütün e-posta sunucularına, bulut platformlarına ve müşteri bilgi tabanlarına bağımlıdır. Bu nedenle saldırganlar, bu şirketleri atak için en kolay yol olarak görebilirler.
Yenilenebilir güç alanında yenilik yapan KOBİ’ler eşsiz zorluklarla karşı karşıyadır. Birden fazla, eser ve hizmetlerin gereğince inançlı olmasını sağlayacak şirket içi siber güvenlik uzmanlığına sahip değildir ve işletmenin dayandığı daha sistemli BT hizmetlerinin güvenliğini sağlamaya da odaklanmamaktadır.
Önce siber güvenlik
Güçlü bir siber güvenlik duruşuna sahip olma muhtaçlığını göz gerisi etmenin sonucu yıkıcı olabilir; çalışanları kimlik bilgilerini vermeye ikna eden kimlik avı dolandırıcılığı, sessizce yayılan makûs maksatlı yazılım enfeksiyonları, projeleri durma noktasına getiren fidye yazılımı akınları ve hatta siber saldırganların şirketin müşterilerine sunduğu eser ve hizmetlerin tedarik zincirini enfekte etme mümkünlüğü. Yatırımcılar, ortaklar ve düzenleyiciler yakından izlerken kolay yapılandırma yanlışları yahut kazara data sızıntıları bile büyük sonuçlara yol açabilir. Müşteriler, finansörler ve düzenleyiciler, pak güç şirketlerinin yalnızca sürdürülebilirlik değil, tıpkı vakitte harika bir siber güvenlik duruşu sergilemelerini de giderek daha fazla bekliyor. Burada bir paradoks ortaya çıkıyor; yenilenebilir güç dalındaki KOBİ’ler inovasyona odaklanırken birden fazla çağdaş siber güvenlik araçlarını benimsemekte tereddüt ediyor. Kimileri maliyetlerden korkarken öbürleri operasyonların karmaşıklaşmasından kaygı duyuyor. Lakin harekete geçmemenin riski çok daha büyük.
Siber güvenlik, yalnızca büyük ve güçlü kamu hizmetleri kuruluşlarının monopolünde olan bir alan olarak görülmemelidir. Günümüzün araçları, küçük şirketler için erişilebilir, ölçeklenebilir ve pratik olacak halde tasarlanmıştır. Şirketlerin içlerinde siber güvenlik konusunda uzman kaynakları bulunmadığı durumlarda, dış kaynaklı tahliller sunan çok sayıda şirket bulunmaktadır.
Siber güvenlik için alınacak önlemler
Siber güvenlik şirketi ESET, mütevazı adımların bile dayanıklılığı değerli ölçüde artırıp riski azaltabileceğini gördü. İşletmenizin bir sonraki ibret öyküsü hâline gelmesini önlemek için öncelikle tedbire odaklı bir zihniyet benimsemek çok değerlidir.
● En kritik güvenlik açıklarının süratle kapatılması için sağlam yama idaresi uygulamak,
● Kimlik ve erişim siyasetlerini sıfır inanç yaklaşımıyla güncellemek – ihlal olduğunu varsaymak, en az ayrıcalık siyasetlerini uygulamak,
● Çok faktörlü kimlik doğrulamayı uygulamak,
● Sunucular, dizüstü bilgisayarlar, bulut hizmetleri ve öbür aygıtlar dâhil olmak üzere tüm aygıtlara emniyetli güvenlik yazılımı yüklemek,
● En âlâ uygulamalara nazaran hassas evrakları yedeklemek ve geri yüklemenin denenmiş ve test edilmiş olmasını sağlamak,
● Paydaşlarla birlikte bir olay müdahale planı oluşturmak ve test etmek,
● Ağları ve uç noktaları, güvenlik ihlallerinin erken ihtar işaretleri için daima izlemek,
● Personele aktüel siber güvenlik farkındalık eğitimi vermek ve kimlik avı simülasyonları gerçekleştirmek; çalışanlar hem şirketin en güçlü varlığı hem de en zayıf halkasıdır.
İç uzmanlığa sahip olmayan firmalar için Yönetilen Tespit ve Müdahale (MDR) hizmetleri, uzman güvenlik analistleri tarafından 24 saat izleme ve süratli müdahale sağlayarak olaylar meydana geldiğinde daha da büyümeden süratli bir formda denetim altına alınabilmesini sağlar. Güçlü siber güvenlik savunmaları, inovasyon ve büyümeden uzaklaştırmaz; tersine bunları mümkün kılar. KOBİ’lerin yatırımcıların itimadını kazanmasını, AB’nin NIS2 Direktifi üzere çerçeveler altında sıkılaşan düzenleyici gereklilikleri karşılamasını ve start-up’ları bu kadar bedelli kılan çevikliği muhafazalarını sağlar. Şebeke daha akıllı ve daha ilişkili hâle geldikçe BT ve kritik altyapı ortasındaki hudut bulanıklaşıyor. Her KOBİ, daha büyük sistemde çok değerli bir rol oynar ve her boşluk kıymetli.
Temiz güç, teknolojiye, şebekeye ve geçişi destekleyen şirketlere duyulan inanca bağlıdır. BT yahut OT’de siber güvenlik ikinci planda kalırsa bu inanç kaybolacaktır. KOBİ’lerin zayıf halka olması için hiçbir mazeret yoktur. Gerçek müdafaalarla, inançlı ve sürdürülebilir bir güç geleceğinin güçlü omurgası olabilirler.
Kaynak: (BYZHA) Beyaz Haber Ajansı