Temiz güce geçiş hızlanırken yenilenebilir güç dalındaki KOBİ’lerin siber güvenliği hem yatırımlar hem de ekosistemin itimadı açısından kritik ehemmiyet taşıyor. Siber güvenlik şirketi ESET, yenilenebilir güç alanında faaliyet gösteren KOBİ’ler için siber güvenliğin artık bir seçenek değil, mecburilik olduğunu vurguladı.
Yenilenebilir güç dalı süratli ilerliyor. Dünya çapında, küçük ve orta ölçekli işletmeler (KOBİ’ler), güneş gücü teşebbüslerinden topluluk rüzgâr gücü geliştiricilerine ve dijital şebeke yenilikçilerine kadar pak güce geçişi destekleyen yeniliklere öncülük ediyor. Ölçeklendirme yarışında, bu firmaların birden fazla kendilerini ve icatlarını tehlikeli bir biçimde riske atıyor. Bir proje geliştiricisine yahut hizmet sağlayıcısına yönelik tek bir siber akın, finansmanı durdurabilir, kurulumları geciktirebilir ve tüm ekosistemdeki inancı sarsabilir.
Enerji bölümündeki siber güvenlik telaşları büyük kamu hizmetleri etrafında dönüyor ve öncelikle operasyonel teknoloji (OT) risklerine odaklanıyor. Bu anlaşılabilir bir durum zira şebeke seviyesinde bir ihlal kaosa neden olur. Bunun en besbelli örneği 2015 yılında Ukrayna’da elektrik şebekesini bozmak için tasarlanmış bilinen bir makûs hedefli yazılım atağıydı. Bu olay, kullanılan berbat gayeli yazılımın ismi olan Industroyer olarak anılır ve endüstriyel denetim sistemlerini enfekte etmek için özel olarak yazılmış makûs hedefli yazılımların bir örneğidir. Lakin dikkatler denetim odaları ve trafo merkezlerine odaklanırken kesimin gerçek zayıf noktası potansiyel olarak gözden kaçırılmaktadır: Bölüme hayati hizmetler sunan KOBİ’lerin BT sistemleri. Bu şirketler büsbütün e-posta sunucularına, bulut platformlarına ve müşteri bilgi tabanlarına bağımlıdır. Bu nedenle saldırganlar, bu şirketleri atak için en kolay yol olarak görebilirler.
Yenilenebilir güç alanında yenilik yapan KOBİ’ler eşsiz zorluklarla karşı karşıyadır. Birçok, eser ve hizmetlerin gereğince inançlı olmasını sağlayacak şirket içi siber güvenlik uzmanlığına sahip değildir ve işletmenin dayandığı daha nizamlı BT hizmetlerinin güvenliğini sağlamaya da odaklanmamaktadır.
Önce siber güvenlik
Güçlü bir siber güvenlik duruşuna sahip olma muhtaçlığını göz gerisi etmenin sonucu yıkıcı olabilir; çalışanları kimlik bilgilerini vermeye ikna eden kimlik avı dolandırıcılığı, sessizce yayılan makus emelli yazılım enfeksiyonları, projeleri durma noktasına getiren fidye yazılımı taarruzları ve hatta siber saldırganların şirketin müşterilerine sunduğu eser ve hizmetlerin tedarik zincirini enfekte etme mümkünlüğü. Yatırımcılar, ortaklar ve düzenleyiciler yakından izlerken kolay yapılandırma yanlışları yahut kazara data sızıntıları bile büyük sonuçlara yol açabilir. Müşteriler, finansörler ve düzenleyiciler, pak güç şirketlerinin yalnızca sürdürülebilirlik değil, tıpkı vakitte harika bir siber güvenlik duruşu sergilemelerini de giderek daha fazla bekliyor. Burada bir paradoks ortaya çıkıyor; yenilenebilir güç dalındaki KOBİ’ler inovasyona odaklanırken birden fazla çağdaş siber güvenlik araçlarını benimsemekte tereddüt ediyor. Kimileri maliyetlerden korkarken başkaları operasyonların karmaşıklaşmasından telaş duyuyor. Lakin harekete geçmemenin riski çok daha büyük.
Siber güvenlik, yalnızca büyük ve varlıklı kamu hizmetleri kuruluşlarının monopolünde olan bir alan olarak görülmemelidir. Günümüzün araçları, küçük şirketler için erişilebilir, ölçeklenebilir ve pratik olacak formda tasarlanmıştır. Şirketlerin içlerinde siber güvenlik konusunda uzman kaynakları bulunmadığı durumlarda, dış kaynaklı tahliller sunan çok sayıda şirket bulunmaktadır.
Siber güvenlik için alınacak önlemler
Siber güvenlik şirketi ESET, mütevazı adımların bile dayanıklılığı değerli ölçüde artırıp riski azaltabileceğini gördü. İşletmenizin bir sonraki ibret öyküsü hâline gelmesini önlemek için öncelikle tedbire odaklı bir zihniyet benimsemek çok kıymetlidir.
● En kritik güvenlik açıklarının süratle kapatılması için sağlam yama idaresi uygulamak,
● Kimlik ve erişim siyasetlerini sıfır inanç yaklaşımıyla güncellemek – ihlal olduğunu varsaymak, en az ayrıcalık siyasetlerini uygulamak,
● Çok faktörlü kimlik doğrulamayı uygulamak,
● Sunucular, dizüstü bilgisayarlar, bulut hizmetleri ve başka aygıtlar dâhil olmak üzere tüm aygıtlara sağlam güvenlik yazılımı yüklemek,
● En uygun uygulamalara nazaran hassas belgeleri yedeklemek ve geri yüklemenin denenmiş ve test edilmiş olmasını sağlamak,
● Paydaşlarla birlikte bir olay müdahale planı oluşturmak ve test etmek,
● Ağları ve uç noktaları, güvenlik ihlallerinin erken ihtar işaretleri için daima izlemek,
● Personele aktüel siber güvenlik farkındalık eğitimi vermek ve kimlik avı simülasyonları gerçekleştirmek; çalışanlar hem şirketin en güçlü varlığı hem de en zayıf halkasıdır.
İç uzmanlığa sahip olmayan firmalar için Yönetilen Tespit ve Müdahale (MDR) hizmetleri, uzman güvenlik analistleri tarafından 24 saat izleme ve süratli müdahale sağlayarak olaylar meydana geldiğinde daha da büyümeden süratli bir halde denetim altına alınabilmesini sağlar. Güçlü siber güvenlik savunmaları, inovasyon ve büyümeden uzaklaştırmaz; bilakis bunları mümkün kılar. KOBİ’lerin yatırımcıların itimadını kazanmasını, AB’nin NIS2 Direktifi üzere çerçeveler altında sıkılaşan düzenleyici gereklilikleri karşılamasını ve start-up’ları bu kadar pahalı kılan çevikliği muhafazalarını sağlar. Şebeke daha akıllı ve daha ilişkili hâle geldikçe BT ve kritik altyapı ortasındaki hudut bulanıklaşıyor. Her KOBİ, daha büyük sistemde çok değerli bir rol oynar ve her boşluk değerli.
Temiz güç, teknolojiye, şebekeye ve geçişi destekleyen şirketlere duyulan itimada bağlıdır. BT yahut OT’de siber güvenlik ikinci planda kalırsa bu itimat kaybolacaktır. KOBİ’lerin zayıf halka olması için hiçbir mazeret yoktur. Yanlışsız muhafazalarla, inançlı ve sürdürülebilir bir güç geleceğinin sağlam omurgası olabilirler.
Kaynak: (BYZHA) Beyaz Haber Ajansı