Temiz güce geçiş hızlanırken yenilenebilir güç dalındaki KOBİ’lerin siber güvenliği hem yatırımlar hem de ekosistemin inancı açısından kritik değer taşıyor. Siber güvenlik şirketi ESET, yenilenebilir güç alanında faaliyet gösteren KOBİ’ler için siber güvenliğin artık bir seçenek değil, mecburilik olduğunu vurguladı.
Yenilenebilir güç dalı süratli ilerliyor. Dünya çapında, küçük ve orta ölçekli işletmeler (KOBİ’ler), güneş gücü teşebbüslerinden topluluk rüzgâr gücü geliştiricilerine ve dijital şebeke yenilikçilerine kadar pak güce geçişi destekleyen yeniliklere öncülük ediyor. Ölçeklendirme yarışında, bu firmaların birçok kendilerini ve icatlarını tehlikeli bir formda riske atıyor. Bir proje geliştiricisine yahut hizmet sağlayıcısına yönelik tek bir siber akın, finansmanı durdurabilir, kurulumları geciktirebilir ve tüm ekosistemdeki inancı sarsabilir.
Enerji bölümündeki siber güvenlik tasaları büyük kamu hizmetleri etrafında dönüyor ve öncelikle operasyonel teknoloji (OT) risklerine odaklanıyor. Bu anlaşılabilir bir durum zira şebeke seviyesinde bir ihlal kaosa neden olur. Bunun en bariz örneği 2015 yılında Ukrayna’da elektrik şebekesini bozmak için tasarlanmış bilinen bir makûs maksatlı yazılım atağıydı. Bu olay, kullanılan berbat maksatlı yazılımın ismi olan Industroyer olarak anılır ve endüstriyel denetim sistemlerini enfekte etmek için özel olarak yazılmış berbat hedefli yazılımların bir örneğidir. Lakin dikkatler denetim odaları ve trafo merkezlerine odaklanırken bölümün gerçek zayıf noktası potansiyel olarak gözden kaçırılmaktadır: Kesime hayati hizmetler sunan KOBİ’lerin BT sistemleri. Bu şirketler büsbütün e-posta sunucularına, bulut platformlarına ve müşteri bilgi tabanlarına bağımlıdır. Bu nedenle saldırganlar, bu şirketleri taarruz için en kolay yol olarak görebilirler.
Yenilenebilir güç alanında yenilik yapan KOBİ’ler eşsiz zorluklarla karşı karşıyadır. Birçok, eser ve hizmetlerin gereğince inançlı olmasını sağlayacak şirket içi siber güvenlik uzmanlığına sahip değildir ve işletmenin dayandığı daha tertipli BT hizmetlerinin güvenliğini sağlamaya da odaklanmamaktadır.
Önce siber güvenlik
Güçlü bir siber güvenlik duruşuna sahip olma muhtaçlığını göz gerisi etmenin sonucu yıkıcı olabilir; çalışanları kimlik bilgilerini vermeye ikna eden kimlik avı dolandırıcılığı, sessizce yayılan makus hedefli yazılım enfeksiyonları, projeleri durma noktasına getiren fidye yazılımı akınları ve hatta siber saldırganların şirketin müşterilerine sunduğu eser ve hizmetlerin tedarik zincirini enfekte etme mümkünlüğü. Yatırımcılar, ortaklar ve düzenleyiciler yakından izlerken kolay yapılandırma yanlışları yahut kazara bilgi sızıntıları bile büyük sonuçlara yol açabilir. Müşteriler, finansörler ve düzenleyiciler, pak güç şirketlerinin yalnızca sürdürülebilirlik değil, tıpkı vakitte eksiksiz bir siber güvenlik duruşu sergilemelerini de giderek daha fazla bekliyor. Burada bir paradoks ortaya çıkıyor; yenilenebilir güç bölümündeki KOBİ’ler inovasyona odaklanırken birden fazla çağdaş siber güvenlik araçlarını benimsemekte tereddüt ediyor. Kimileri maliyetlerden korkarken öbürleri operasyonların karmaşıklaşmasından telaş duyuyor. Lakin harekete geçmemenin riski çok daha büyük.
Siber güvenlik, yalnızca büyük ve varlıklı kamu hizmetleri kuruluşlarının inhisarında olan bir alan olarak görülmemelidir. Günümüzün araçları, küçük şirketler için erişilebilir, ölçeklenebilir ve pratik olacak biçimde tasarlanmıştır. Şirketlerin içlerinde siber güvenlik konusunda uzman kaynakları bulunmadığı durumlarda, dış kaynaklı tahliller sunan çok sayıda şirket bulunmaktadır.
Siber güvenlik için alınacak önlemler
Siber güvenlik şirketi ESET, mütevazı adımların bile dayanıklılığı değerli ölçüde artırıp riski azaltabileceğini gördü. İşletmenizin bir sonraki ibret kıssası hâline gelmesini önlemek için öncelikle tedbire odaklı bir zihniyet benimsemek çok değerlidir.
● En kritik güvenlik açıklarının süratle kapatılması için sağlam yama idaresi uygulamak,
● Kimlik ve erişim siyasetlerini sıfır inanç yaklaşımıyla güncellemek – ihlal olduğunu varsaymak, en az ayrıcalık siyasetlerini uygulamak,
● Çok faktörlü kimlik doğrulamayı uygulamak,
● Sunucular, dizüstü bilgisayarlar, bulut hizmetleri ve öbür aygıtlar dâhil olmak üzere tüm aygıtlara muteber güvenlik yazılımı yüklemek,
● En uygun uygulamalara nazaran hassas belgeleri yedeklemek ve geri yüklemenin denenmiş ve test edilmiş olmasını sağlamak,
● Paydaşlarla birlikte bir olay müdahale planı oluşturmak ve test etmek,
● Ağları ve uç noktaları, güvenlik ihlallerinin erken ihtar işaretleri için daima izlemek,
● Personele yeni siber güvenlik farkındalık eğitimi vermek ve kimlik avı simülasyonları gerçekleştirmek; çalışanlar hem şirketin en güçlü varlığı hem de en zayıf halkasıdır.
İç uzmanlığa sahip olmayan firmalar için Yönetilen Tespit ve Müdahale (MDR) hizmetleri, uzman güvenlik analistleri tarafından 24 saat izleme ve süratli müdahale sağlayarak olaylar meydana geldiğinde daha da büyümeden süratli bir halde denetim altına alınabilmesini sağlar. Güçlü siber güvenlik savunmaları, inovasyon ve büyümeden uzaklaştırmaz; tersine bunları mümkün kılar. KOBİ’lerin yatırımcıların itimadını kazanmasını, AB’nin NIS2 Direktifi üzere çerçeveler altında sıkılaşan düzenleyici gereklilikleri karşılamasını ve start-up’ları bu kadar kıymetli kılan çevikliği muhafazalarını sağlar. Şebeke daha akıllı ve daha irtibatlı hâle geldikçe BT ve kritik altyapı ortasındaki hudut bulanıklaşıyor. Her KOBİ, daha büyük sistemde çok kıymetli bir rol oynar ve her boşluk değerli.
Temiz güç, teknolojiye, şebekeye ve geçişi destekleyen şirketlere duyulan inanca bağlıdır. BT yahut OT’de siber güvenlik ikinci planda kalırsa bu itimat kaybolacaktır. KOBİ’lerin zayıf halka olması için hiçbir mazeret yoktur. Gerçek muhafazalarla, inançlı ve sürdürülebilir bir güç geleceğinin güçlü omurgası olabilirler.
Kaynak: (BYZHA) Beyaz Haber Ajansı