Siber Güvenlik, Bina Yönetim Sistemleriyle Buluşuyor. Desigo CC 4.0 Ürün Grubu. Heyecan verici bir çağda yaşıyoruz ve çalışıyoruz. İş süreçlerinin dijitalleşmesi olarak ifade edebileceğimiz Endüstri 4.0, bu çağı tanımlayan kavramlardan biridir. Dijitalleşme, daha fazla kolaylık ve artan verimlilik dahil olmak üzere sayısız avantajlar sağlamaktadır. Aynı zamanda, güvenlik zorluklarını da beraberinde getirmektedir. Siber saldırılar, dijitalleşme sürecini mümkün hale getiren geniş kapsamlı bağlanırlıktan dolayı sürekli ve artan bir tehdittir. Günümüzün bağlı dünyasında, siber saldırı olasılığı yüksektir.
Siber tehditleri nasıl güvenilir bir şekilde karşılayıp azaltabilirsiniz? Organizasyonunuzu oluşturan alanların tamamında, güvenlik tedbirlerine yönelik bütüncül bir yaklaşım sergilersiniz.
Bu yaklaşım, tesisinizin altyapısını yöneten bina yönetim sistemlerinin iyi seviyede hazırlanmasını da içermektedir.
Siemens Bina Teknolojileri’nde, güvenliğin ürün geliştirme süreci boyunca başladığına inanıyoruz. Desigo CC 4.0 bina yönetim ürünleri, çözümleri ve hizmetleri grubu dahil olmak üzere ürünlerimizin geliştirilmesi sürecinde “güvenliği düşün” felsefesini benimsedik. Bu belgede, Siemens’in Desigo CC 4.0 ürün geliştirme ile yaşam döngüsü yönetim süreçleri boyunca siber güvenlik gerekliliklerine yönelik nasıl bir yaklaşım sergilediği hakkında bilgiler sağlanmaktadır.
Siber güvenliği tartışmadan önce, isterseniz önce bu kavramı tanımlayalım. Bu belgede siber güvenliği, yaşam ve şirket varlıklarının, siber gerçeklik içerisindeki bilgilerin kullanılabilirliği, gizliliği, bütünlüğü, doğruluğu ve güvenilirliğine karşı gerçekleştirilen dijital saldırıların yol açtığı zararlardan korunması olarak tanımlıyoruz. Siber gerçeklik, insanlar, yazılımlar ve hizmetler arasındaki, İntranet ve İnternete bağlanmaları için tasarlanan teknik yöntemler kullanılarak sağlanan karmaşık bir etkileşim sistemidir.
Şimdi de güvenliğe yönelik bütüncül bir yaklaşım sergilemenin ne anlama geldiğini tanımlayalım. Lider şirketler ve kurumlar, güvenliğin gücünü etkileyen dört kilit faktörü dikkate alırlar – insanlar, iletişim, süreçler ve teknoloji.
Genel olarak:
• İnsanların, gerek fiziksel güvenlik gerekse siber güvenlik olmak üzere güvenliğin öneminin kapsamlı ve sürekli bir şekilde farkında olmaları gerekmektedir.
• İletişim, açık ve öz bir şekilde tanımlandığında, bir güvenlik kültürünün oluşturulmasında yardımcı olur.
• Aktif bir şekilde uygulanan süreçler, kurumların siber tehditlerden korunması açısından teknoloji kadar önemlidir.
• Teknolojinin, kurum varlıklarının korunması için test edilmesi, incelenmesi ve diğer uygun yapı taşlarıyla eşleştirilmesi gerekmektedir.
Güvenlik zorlukları, geniş bir kapsam içerisinde yer almaktadır. Fiziksel tehditler daha açık bir şekilde görülüp daha az sıklıkta değişirken, siber zorluklar durmaksızın değişen tehdit kapsamından dolayı çok daha zararlı olabilmektedir. Güvenliğin iş ihtiyaçlarıyla uyumlaştırılması ve işlerin kolaylaştırılmasına yönelik yöntemlerin planlanması amacıyla, siber güvenliğe sürecin en başında odaklanırız.
“Security by Design:” Siemens’in Kapsamlı Güvenlik Taahhüdü
Siber saldırılar, günümüz dünyasında en hızlı büyüyen suç faaliyetleri arasındadır. İç tehditler, fidye saldırıları, fırsatçı tehditler ve siyasi amaçlı siber saldırılardan iş casusluğu, terörizm ve devlet destekli siber terörizme kadar çok geniş bir kapsam içerisinde yer almaktadırlar. Hızlı, karmaşık ve sürekli değişen tehdit kapsamına karşı her zaman hazırlıklı olabilmek için, kurumların güvenliğe yönelik bütüncül bir yaklaşım sergilemeleri gerekmektedir.
Çalışma ortamınızın güvenliğinin sağlanması sorumluluğu kurumunuzda olmakla birlikte, Siemens güvenliğe yönelik bütüncül bir yaklaşım sergileyebilmenize olanak sağlayan ürünler geliştirmeyi taahhüt etmektedir. Bu belgenin konusu olan Desigo CC bina yönetimi ürünleri, çözümleri ve hizmetleri grubumuz için de bu anlayış geçerlidir. Desigo CC 4.0 ürün grubu içerisinde, Desigo CC 4.0, Cerberus DMS 4.0, Desigo CC Compact 4.0 ve Desigo CC Connect 4.0 ürünleri bulunmaktadır.
Taahhüdümüz çok yönlüdür. Her şeyden önce, ürün gelişimi sürecinde güvenliği en başından inşa eden uçtan uca güvenlik yaklaşımımız olan “Security by Design” kavramına odaklanırız. Bu kavram, ürünlerimizi ve çözümlerimizi her zaman ön planda tutmak için tasarlanan testler, iyileştirmeler ve geliştirmeleri içeren sürekli bir döngüyü tanımlamaktadır. Ayrıca, siber güvenlik alanında güvenin sağlanması ve dijitalleşme sürecinin daha da geliştirilmesi amacını taşıyan bağlayıcı kurallar ve standartların oluşturulmasında katkıda bulunan Global Charter of Trust organizasyonunun kurucu üyelerinden biriyiz.
Basitçe ifade etmek gerekirse, ürünlerimizi her zaman güvenlik kavramını aklımızda tutarak tasarlarız. Şirket genelindeki girişimimiz, bütün Siemens ürünleri, çözümleri ve hizmetleri için kapsamlı bir güvenlik metodolojisinin uygulanmasını aktif bir şekilde teşvik eden bir risk yönetim programı sağlamaktadır. En iyi uygulamaları tanımlamakta ve karşılanması gereken teknik standartları, süreçleri ve politikaları belirlemektedir. Aynı zamanda uluslararası standartlara katkıda bulunuyoruz ve ISA/IEC 62443, UL2900, ISO/IEC 27001 ve OWASP gibi güvenlik standartlarını karşılayan ürünler sunabilmek için çaba gösteriyoruz.
Security by Design Uzmanlığı
Bir ürünün siber güvenlik tasarımının etkinliği, ürün geliştirme ekibinin uzmanlığına bağlıdır. Security by Design metodolojimiz kapsamında, sadece dijital koruma ve ürün güvenliğine yönelik teknoloji geliştirme sürecine değil aynı zamanda çalışanların en yüksek siber güvenlik uzmanlığı seviyelerinin korunması için gerekli eğitimlere de yatırımda bulunuyoruz.
Ürünün yaşam döngüsü boyunca, uzmanlarımız ürünün kullanım amacında beklenen risklere yönelik güvenlik tehdidi ve risk değerlendirmeleri gerçekleştirmektedirler. Bu değerlendirme, sürecin erken aşamasında başlamakta olup risklerin uygun bir şekilde tespit edilip azaltılması için gerekmesi durumunda tekrarlanmaktadır.
Ayrıca, tek başına ya da otomatik makine güvenlik testleriyle birlikte manüel sızma testleri kullanan kurum dışı uzmanlar tarafından düzenli ürün güvenliği testleri gerçekleştirilmektedir. Buradaki fikir, sistemin daha güvenlikli bir hale getirilmesi için kırılmasıdır. Bu testler, seçilen ürün, çözüm ya da hizmetin güvenlik gerekliliklerimizi karşılamasını sağlamaktadır. Test sonuçları kaydedilmekte ve gerekli düzeltici tedbirlerin tespit edilmesi için kullanılmaktadır.
Desigo CC Security by Design Uygulaması
Desigo CC, konforlu, güvenli ve sürdürülebilir tesislerin oluşturulmasında yardımcı olan, sağlam, açık, entegre bir bina yönetim platformudur. Bir binanın işletilmesini ve izlenmesini sağlar.
Desigo CC tasarım uzmanlarımız, Şekil 2’de gösterilen şirket genelinde siber güvenlik girişimimize bağlıdırlar. Desigo CC ürünlerinin uygun güvenlik seviyesi uyarınca sürekli bir şekilde geliştirilmesi amacıyla tedbirler sağlayan zorunlu kurum içi güvenlik politikasını takip ederler. Desigo CC ürünleri, ISO/IEC62443 gereklilikleri uyarınca geliştirilmektedir.
Bu tedbirler, kodlamalar sonucunda güvenli bir ürün mimarisi ile yazılım bileşenlerinin daha güvenli bir şekilde uygulanmasının sağlanmasında yardımcı olurlar. Yazılım, kurulduğunda varsayılan olarak güvenli hizmet sağlayacak şekilde tasarlanmaktadır. Bu tasarım, belirli özellikler ile fonksiyonları varsayılan seviyede güvenli olmalarını da içermektedir.
Ve ayrıca ürünlerimizi, çözümlerimizi ve hizmetlerimizi sürekli bir şekilde iyileştirip geliştirdiğimizden dolayı, Desigo CC yeni güvenlik tehditleri ortaya çıktığında güncel durumda kalacaktır.
Aşağıda, Desigo CC ürününe entegre edilen “Security by Design” elemanlarının bir örneği verilmektedir:
• İstemciden sunucuya uçtan uca şifreleme
• Sunucular arasında uçtan uca şifreleme
• Diğer cihazlarla şifreli haberleşme
• Sertifika tabanlı veri alışverişi
• Şifreli yedekler
• Sertifikaların müşteri IT altyapısında sorunsuz entegrasyonu
• Microsoft’un aktif dizin tabanlı kimlik doğrulaması
• Veri ve uygulama erişiminin sınırlandırılması için “en düşük erişim hakkı” prensibinin kullanılması
• Sistem erişimi için kullanıcı/iş istasyonu grupları/rolleri kontrolü – uygun görevlerin ve sorumlulukların atanması
• 4 göz prensibi – İkinci kimlik doğrulama
• Yeniden kimlik doğrulama
• LDAP yoluyla kullanıcı grup yönetimi
• Siber güvenlik denetim izi
• Antivirüs ve kötü amaçlı yazılıma karşı koruma desteği
• Donanım ve yazılım güvenlik duvarları desteği
• Fiziksel ağ ya da VLAN segmentasyonunu destekleyen ağ altyapısı kullanımı
• Ağların bölümlere ayrılması
• Sunuculara, istemcilere ve uygulamalara kontrollü erişim
• Web sunucunun “silahtan arındırılmış bölge” (DMZ) içerisine yerleştirilmesi
• Doğrulanmış üçüncü parti bileşenlerinin kullanılması
Desigo CC ürünlerinin güvenli bir şekilde devreye alınması ve kurulması sürecinin desteklenmesi amacıyla siber güvenlik güçlendirme kılavuzları yayınlıyoruz. Bu kılavuzlarda, sistemin Desigo CC ürünleri ve çözümlerinin amaçlanan işletme ortamında güvenli bir şekilde çalışmasının desteklenmesi amacıyla nasıl yapılandırılması gerektiği açıklanmaktadır. Söz konusu yapılandırma opsiyonları, örneğin, kurulacak uygulamalar, etkinleştirilecek ya da devre dışı bırakılacak ayarlar, güvenlik duvarı yapılandırmaları ile kullanıcı ve sistem hesapları ve erişim haklarının ayarlarından oluşmaktadır. Güçlendirme kılavuzları, ürün yaşam döngüsü boyunca uygulanmaktadır.
Yazılım Bakım Programımız kapsamında periyodik olarak, yeni öğrenilen saldırıya açık alanları kaldıran ve Desigo CC sisteminin tehditlere karşı korunma seviyesini arttıran yamalar ve güncellemeler yayınlıyoruz. Söz konusu yamalar ve güncellemeler, geliştirilmeleri üzerine hizmete sunulmakta ve ürün uzmanları tarafından sağlanan teknik destek hattına erişim yoluyla desteklenmektedir. Aynı zamanda, kurulan Desigo CC sisteminizin her zaman en son versiyon güncellemesinde bulunmasını sağlamak amacıyla yazılım güncellemelerine abonelik opsiyonu da bulunmaktadır.
Acil Durum Yönetimi
Desigo CC ürün ya da çözümünde bir güvenlik ya da saldırıya açıklık durumunun söz konusu olması durumunda takip edilecek olay ve saldırıya açıklık yönetim süreçlerimiz bulunmaktadır.
Olay ve Saldırıya Açıklık Yönetim Süreci: Müşteri tarafından bildirilen güvenlik sorunlarına yönelik destek mekanizmamız Şekil 3’de gösterilmektedir. Saldırıya açıklık durumları ve/veya olaylar, 7/24 esası üzerinden çalışmakta olan global Siemens ProductCERT ekibi tarafından desteklenen teknik destek ekibimize sunulmaktadır. Durumun ve olayların yönetilmesi için gerekli adımlar atılmakta ve çözüm yolları açıklanmaktadır.
Saldırıya Açıklık Yönetimi: Bu, ürünlerimizin ve çözümlerimizin güvenliğinin hassas ayarlarının yapılmasına yönelik kurum içi tehdit algılama sürecimizdir. Tehditlerin sürekli bir şekilde izlenmesi, ürünlerimiz ve çözümlerimizdeki potansiyel saldırıya açıklık durumlarını tespit edip azaltmamıza olanak sağlamaktadır. Desigo CC yazılım bileşenleri kayıtlı tutulmakta olup bu şekilde herhangi bir güvenlik açığının tespit edilmesi durumunda, gerekli çözüm yolları açıklanmakta ve uygulanmaktadır. Tespit edilen saldırıya açıklık durumları, abone olabileceğiniz ProductCERT güvenlik danışmanları yoluyla duyurulmaktadır.
Uzak Hizmetler
Uzaktan erişim, sağladığı sürekli performans izlemesi ve kolaylığından dolayı günümüzde istenen bir özelliktir. Desigo CC, uzaktan veri erişimine dayanan uzak hizmetlerin desteklenmesi için hazır durumdayken aynı zamanda ortam güvenliği konseptini de korumaktadır. Desigo CC, uzak hizmetleri destekleyerek, faaliyetlerinizin optimizasyonunun sağlanması amacıyla bina sistemleri ve bağlı ekipmanlarınız hakkındaki verilere erişim olanağından faydalanmanıza imkan tanımaktadır.
Standart IT mekanizmalarınız yoluyla uzaktan erişim sağlanmakla birlikte, daha güvenli uzaktan erişim için Siemens Ortak Uzak Hizmet Platformunu (cRSP) kullanıyoruz. Güvenilir, yüksek performanslı cRSP platformumuz, bina altyapınızla ilgili verilere ve bilgilere dünya genelinde erişim olanağı sağlamaktadır. Bu platform, Siemens tarafından sağlanan uzak hizmetlerin sıkı siber güvenlik gerekliliklerini karşılamasına imkan tanımaktadır. Siemens cRSP platformu, kurum seviyesinde sistematik siber güvenlik yönetimi normu olan ISO/IEC 27001 standardına uygundur.
Sonuç
Bina teknolojileri alanında pazar lideri olarak, günümüz dünyasındaki siber güvenlik ihtiyaçlarınızın yerine getirilmesinde karşı karşıya kaldığınız zorlukları anlıyoruz. Ürün yaşam döngüsü boyunca benimsediğimiz kapsamlı güvenlik yaklaşımımız, Desigo CC ürünlerinin, çözümlerinin ve hizmetlerinin, güvenliği her zaman akılda tutarak tasarlandığı anlamına gelmektedir. Bundan dolayı, Desigo CC sistemi, insanları, süreçleri, teknolojiyi ve iletişimi dikkate alan güvenliğe yönelik bütüncül yaklaşımınızın bir parçası olabilecektir.
Sonuç olarak günümüzde, akıllı kurumlar güvenliği işlerini köşe taşlarından biri olarak değerlendirmektedirler. Desigo CC, kurumunuzun ihtiyaçlarını karşılamak üzere ölçeklendirilebilecek birlikte çalışan, esnek bir portföydür.
Kaynak: Siemens A.G