IT güvenlik olayında standart yanıt: Sistemi kapat, izole et, incele. Bu süreç güvenli ve sıkça uygulanır.
OT'da aynı yaklaşım bir gıda fabrikasını ya da kimya tesisini tehlikeye atabilir. Sistemi kapatmak bazen saldırıdan daha büyük hasar yaratır.
OT Olayının Farklı Doğası
Bir ilaç üretim hattında sıcaklık kontrolü kesintiye uğrarsa, ürün bozulabilir ve imha edilmek zorunda kalınabilir. Süreç güvenliği kritik sistemlerde ani kapatma ekipman hasarına yol açabilir.
Bu nedenle OT olay müdahalesi IT müdahalesinden temelden farklı bir yaklaşım gerektirir: Güvenli çalışma sürekliliğini korurken tehdidi izole etmek.
Müdahale Öncelikleri
Klasik siber güvenlikte öncelik sırası: Gizlilik → Bütünlük → Erişilebilirlik.
OT'da bu sıra tersine döner:
- Güvenlik (Safety): İnsan güvenliği ve fiziksel süreç güvenliği her şeyin önünde
- Erişilebilirlik: Üretim sürekliliği kritik — özellikle kesintisiz süreçlerde
- Bütünlük: Veri ve süreç bütünlüğü
- Gizlilik: Son sırada
Pratik Müdahale Adımları
Tespit aşaması: Ağ trafik anomalisi mi? Beklenmedik PLC değişikliği mi? Operatör davranış değişikliği mi? OT sistemlerinde "normal" davranış çok iyi tanımlanmış olmalı ki sapma tespit edilebilsin.
İzolasyon — dikkatli: Hangi segmentin etkilendiğini belirleyin. Tüm fabrikayı değil, sadece etkilenen bölümü izole edin. IT ağını OT'dan kesin — ama OT iç iletişimini koruyun.
Üretimi değerlendirin: Bu hat güvenle çalışmaya devam edebilir mi? Hangi veriler güvenilir, hangiler şüpheli? Operatör görsel kontrol ve manuel prosedürlere geçebilir mi?
Belgeleme başlar: Olay anından itibaren zaman damgalı kayıt. Hangi sistem, hangi davranış, saat kaçta. Bu kayıt hem soruşturma hem regülasyon uyumu için kritik.
Plan Hazır mı?
Türkiye'deki OT tesislerinin yüzde 90'ında yazılı ICS olay müdahale planı yok.
Hazırlamak için beklemeniz gerekmiyor — bir sayfalık "eğer X olursa, şunu yap" tablosu bile yoktan iyidir. Kritik sistemler kim kapatabilir? Kim bildirilmeli? Hangi durumlarda IT güvenlik firması aranmalı?
Bu soruların cevapları olayın ortasında aranmamalı.