Sistemlerini güvenlikli yapmaya çabalayan Endüstriyel Kontrol Sistemi (ICS) tedarikçilerine ve kullanıcılara rehberlik sağlamak üzere oluşturulmuş çeşitli küresel standartlar bulunuyor.
Örnekler arasında ISA/IEC 62443 ve ISO/IEC 15408 bulunuyor. Pek çok ülke, küresel olarak kabul gören bu standartları kullanarak ICS siber güvenlik gereksinimlerini tanımlıyorlar. Bağımsız siber güvenlik standartları yaratmak için birden fazla ülke girişim yapıyor. Bu ülkelerden bazıları şunlar:
Çin: GB/T 22239, önemli altyapılar için siber güvenlik gereksinimlerini tanımlıyor.
Rusya: Rusya Federasyonu, FSTEK Order 31 ve 187-FZ siber güvenlik düzenlemelerini tanımladı.
Amerika Birleşik Devletleri: ABD her ne kadar ülke odaklı gereksinimler tanımlamış olmasa da, çeşitli sanayi dallarına özel standartlar oluşturdu. Örneğin elektrik şirketleri için geliştirilen NERC-CIP standardını sunuyor. NIST standardı ise siber güvenlik kılavuzluğu sağlasa da kullanım zorunluluğu yok.
Avrupa Birliği: Avrupa Birliği, ENISA kuruluşu aracılığıyla kendi siber güvenlik standartlarını hazırlama aşamasında.
Fransa: Fransız Bilgi Güvenliği Ajansı (ANSSI), Fransa’ya ithal edilen ürünler için CSPN sertifikasını geliştirdi. Almanya ve Hollanda da ayrıca benzer standartlar oluşturma aşamasındalar.
Türkiye: Türkiye’deki duruma baktığımızda ise bu konudaki yetkili kurum Bilgi Teknolojileri ve İletişim Kurumu; yani BTK. Ancak BTK’nın ilgili standartlar başlığı altında ülkemize özgü bir standart bulunmuyor. BTK, bu noktada ISO/IEC 27001 bilgi güvenliği standardı ile gizlilik, bütünlük ve erişilebilirlik konularına vurgu yapıyor. Yine aynı başlık altındaki ISO/IEC 27002 standardı ise bilgi güvenliği yönetim sistemi kurulumu sırasında izlenebilecek uygulamalar ve önerileri içeriyor.
Bununla birlikte, yeni adıyla Ulaştırma ve Altyapı Bakanlığı tarafından yayınlanan “2016 – 2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı“nda çeşitli alanlara yapılan vurgular dikkat çekiyor. Burada, SCADA gibi endüstriyel kontrol sistemlerinin güvenliği ele alınıyor. Ayrıca Elektronik Haberleşme, Enerji, Su Yönetimi, Kritik Kamu Hizmetleri, Ulaştırma ile Bankacılık ve Finans sektörleri kritik altyapıları barındıran ve özel önlem gerektiren sektörler olarak sıralanıyor.
Siber güvenlik yönetmelikleri oluşturmak, çözüm güvenliğini iyileştirmede yardımcı olacağından dolayı olumlu bir şey. Birbirinden farklı çeşitli standartlar uygulamak, ürünün piyasaya ulaşma hızına ve maliyetine etki edebilir; özellikle de belgelerin, gereksinimler ve sertifika planlarıyla uyuşmadığı zamanlarda. İsterseniz durumu daha iyi anlamak için konuyu biraz açalım.
Bir ICS tedarikçisinin yeni bir ürün planladığını varsayalım. Ürün sertifikasyonu oluşturulabilmesi için, geliştirme ekibinin her ulusal gereksinimin en güncel belgelerini temin ettiğinden emin olması gerekir. Yeni ICS platformları çok yıllık geliştirme dönemlerine sahip olabilir ve bu süre esnasında ulusal yönetmeliklerin değişebilme riskiyle karşı karşıyadırlar. Tedarikçi, bazı ülkelerin kendi sertifikasyon laboratuvarlarında onaylama gerektirmesinden dolayı ürünlerini farklı laboratuvarlara göndermek durumunda kalabilir. Yönetmelikler ayrıca, ülkelere verilmek üzere şifreleme anahtarları gerektirebilir, bu da ülkeye özel tekliflerle sonuçlanabilir. Ülkeler ilaveten, ulusal ürünlerine karşı avantaj sağlayan gereksinimlerin de eklenmesi için çabalayabilir. Bu da çözüm satmak isteyen şirketlere etki edebilir. Mesela bir ICS tedarikçisinden, ev sahibi ülkenin güvenlik duvarını gözeten bir çözüm sertifikası istenebilir. Tüm bunların yanında, ülkelerin, farklı sanayi dalları için de gereksinimler üretebileceği unutulmamalıdır. Önemli altyapı ve geleneksel üretim sahaları ise işleri daha da karmaşıklaştırabilen şeylerdir.
Sonuç olarak, ürün ve çözümlere siber güvenlik özellikleri katmak iyi bir şey olsa da, çeşitli bağımsız standartların oluşturulması, ürün maliyetine ve piyasaya varma süresine olumsuz etki edebiliyor. Tabi gereksinimlerin uyumlu hale getirilmesi ya da IEC62443 gibi uluslararası standartların benimsenmesi daha iyi olurdu.
