Temiz güce geçiş hızlanırken yenilenebilir güç kesimindeki KOBİ’lerin siber güvenliği hem yatırımlar hem de ekosistemin itimadı açısından kritik kıymet taşıyor. Siber güvenlik şirketi ESET, yenilenebilir güç alanında faaliyet gösteren KOBİ’ler için siber güvenliğin artık bir seçenek değil, mecburilik olduğunu vurguladı.
Yenilenebilir güç dalı süratli ilerliyor. Dünya çapında, küçük ve orta ölçekli işletmeler (KOBİ’ler), güneş gücü teşebbüslerinden topluluk rüzgâr gücü geliştiricilerine ve dijital şebeke yenilikçilerine kadar pak güce geçişi destekleyen yeniliklere öncülük ediyor. Ölçeklendirme yarışında, bu firmaların birden fazla kendilerini ve icatlarını tehlikeli bir biçimde riske atıyor. Bir proje geliştiricisine yahut hizmet sağlayıcısına yönelik tek bir siber atak, finansmanı durdurabilir, kurulumları geciktirebilir ve tüm ekosistemdeki itimadı sarsabilir.
Enerji dalındaki siber güvenlik telaşları büyük kamu hizmetleri etrafında dönüyor ve öncelikle operasyonel teknoloji (OT) risklerine odaklanıyor. Bu anlaşılabilir bir durum zira şebeke seviyesinde bir ihlal kaosa neden olur. Bunun en bariz örneği 2015 yılında Ukrayna’da elektrik şebekesini bozmak için tasarlanmış bilinen bir makus maksatlı yazılım atağıydı. Bu olay, kullanılan makûs maksatlı yazılımın ismi olan Industroyer olarak anılır ve endüstriyel denetim sistemlerini enfekte etmek için özel olarak yazılmış makûs hedefli yazılımların bir örneğidir. Fakat dikkatler denetim odaları ve trafo merkezlerine odaklanırken dalın gerçek zayıf noktası potansiyel olarak gözden kaçırılmaktadır: Dala hayati hizmetler sunan KOBİ’lerin BT sistemleri. Bu şirketler büsbütün e-posta sunucularına, bulut platformlarına ve müşteri bilgi tabanlarına bağımlıdır. Bu nedenle saldırganlar, bu şirketleri akın için en kolay yol olarak görebilirler.
Yenilenebilir güç alanında yenilik yapan KOBİ’ler eşsiz zorluklarla karşı karşıyadır. Birçok, eser ve hizmetlerin gereğince inançlı olmasını sağlayacak şirket içi siber güvenlik uzmanlığına sahip değildir ve işletmenin dayandığı daha tertipli BT hizmetlerinin güvenliğini sağlamaya da odaklanmamaktadır.
Önce siber güvenlik
Güçlü bir siber güvenlik duruşuna sahip olma muhtaçlığını göz arkası etmenin sonucu yıkıcı olabilir; çalışanları kimlik bilgilerini vermeye ikna eden kimlik avı dolandırıcılığı, sessizce yayılan makus emelli yazılım enfeksiyonları, projeleri durma noktasına getiren fidye yazılımı hücumları ve hatta siber saldırganların şirketin müşterilerine sunduğu eser ve hizmetlerin tedarik zincirini enfekte etme mümkünlüğü. Yatırımcılar, ortaklar ve düzenleyiciler yakından izlerken kolay yapılandırma yanlışları yahut kazara data sızıntıları bile büyük sonuçlara yol açabilir. Müşteriler, finansörler ve düzenleyiciler, pak güç şirketlerinin yalnızca sürdürülebilirlik değil, tıpkı vakitte harika bir siber güvenlik duruşu sergilemelerini de giderek daha fazla bekliyor. Burada bir paradoks ortaya çıkıyor; yenilenebilir güç bölümündeki KOBİ’ler inovasyona odaklanırken birden fazla çağdaş siber güvenlik araçlarını benimsemekte tereddüt ediyor. Kimileri maliyetlerden korkarken başkaları operasyonların karmaşıklaşmasından kaygı duyuyor. Fakat harekete geçmemenin riski çok daha büyük.
Siber güvenlik, yalnızca büyük ve güçlü kamu hizmetleri kuruluşlarının inhisarında olan bir alan olarak görülmemelidir. Günümüzün araçları, küçük şirketler için erişilebilir, ölçeklenebilir ve pratik olacak formda tasarlanmıştır. Şirketlerin içlerinde siber güvenlik konusunda uzman kaynakları bulunmadığı durumlarda, dış kaynaklı tahliller sunan çok sayıda şirket bulunmaktadır.
Siber güvenlik için alınacak önlemler
Siber güvenlik şirketi ESET, mütevazı adımların bile dayanıklılığı değerli ölçüde artırıp riski azaltabileceğini gördü. İşletmenizin bir sonraki ibret öyküsü hâline gelmesini önlemek için öncelikle tedbire odaklı bir zihniyet benimsemek çok değerlidir.
● En kritik güvenlik açıklarının süratle kapatılması için sağlam yama idaresi uygulamak,
● Kimlik ve erişim siyasetlerini sıfır inanç yaklaşımıyla güncellemek – ihlal olduğunu varsaymak, en az ayrıcalık siyasetlerini uygulamak,
● Çok faktörlü kimlik doğrulamayı uygulamak,
● Sunucular, dizüstü bilgisayarlar, bulut hizmetleri ve öteki aygıtlar dâhil olmak üzere tüm aygıtlara muteber güvenlik yazılımı yüklemek,
● En uygun uygulamalara nazaran hassas evrakları yedeklemek ve geri yüklemenin denenmiş ve test edilmiş olmasını sağlamak,
● Paydaşlarla birlikte bir olay müdahale planı oluşturmak ve test etmek,
● Ağları ve uç noktaları, güvenlik ihlallerinin erken ikaz işaretleri için daima izlemek,
● Personele aktüel siber güvenlik farkındalık eğitimi vermek ve kimlik avı simülasyonları gerçekleştirmek; çalışanlar hem şirketin en güçlü varlığı hem de en zayıf halkasıdır.
İç uzmanlığa sahip olmayan firmalar için Yönetilen Tespit ve Müdahale (MDR) hizmetleri, uzman güvenlik analistleri tarafından 24 saat izleme ve süratli müdahale sağlayarak olaylar meydana geldiğinde daha da büyümeden süratli bir biçimde denetim altına alınabilmesini sağlar. Güçlü siber güvenlik savunmaları, inovasyon ve büyümeden uzaklaştırmaz; tersine bunları mümkün kılar. KOBİ’lerin yatırımcıların inancını kazanmasını, AB’nin NIS2 Direktifi üzere çerçeveler altında sıkılaşan düzenleyici gereklilikleri karşılamasını ve start-up’ları bu kadar kıymetli kılan çevikliği muhafazalarını sağlar. Şebeke daha akıllı ve daha kontaklı hâle geldikçe BT ve kritik altyapı ortasındaki hudut bulanıklaşıyor. Her KOBİ, daha büyük sistemde çok kıymetli bir rol oynar ve her boşluk kıymetli.
Temiz güç, teknolojiye, şebekeye ve geçişi destekleyen şirketlere duyulan itimada bağlıdır. BT yahut OT’de siber güvenlik ikinci planda kalırsa bu itimat kaybolacaktır. KOBİ’lerin zayıf halka olması için hiçbir mazeret yoktur. Yanlışsız müdafaalarla, inançlı ve sürdürülebilir bir güç geleceğinin sağlam omurgası olabilirler.
Kaynak: (BYZHA) Beyaz Haber Ajansı