Bina yönetim sistemlerinde siber güvenlik

Heyecan verici bir çağda yaşıyoruz ve çalışıyoruz. İş süreçlerinin dijitalleşmesi olarak ifade edebileceğimiz Endüstri 4.0, bu çağı tanımlayan kavramlardan biri. Dijitalleşme, daha fazla kolaylık ve artan verimlilik dahil olmak üzere sayısız avantajlar sağlıyor. Aynı zamanda, güvenlik zorluklarını da beraberinde getiriyor. Siber saldırılar, dijitalleşme sürecini mümkün hale getiren geniş kapsamlı bağlanırlıktan dolayı sürekli ve artan bir tehdit haline geldi.

Siber tehditleri nasıl güvenilir bir şekilde karşılayıp azaltabilirsiniz? Organizasyonunuzu oluşturan alanların tamamında, güvenlik tedbirlerine yönelik bütüncül bir yaklaşım sergilersiniz.

Bu yaklaşım, tesisinizin altyapısını yöneten bina yönetim sistemlerinin iyi seviyede hazırlanmasını da içeriyor.

Siemens Bina Teknolojileri’nde, güvenliğin ürün geliştirme süreci boyunca başladığına inanıyoruz. Desigo CC 4.0 bina yönetim ürünleri, çözümleri ve hizmetleri grubu dahil olmak üzere ürünlerimizin geliştirilmesi sürecinde “güvenliği düşün” felsefesini benimsedik. Bu belgede, Siemens’in Desigo CC 4.0 ürün geliştirme ile yaşam döngüsü yönetim süreçleri boyunca siber güvenlik gerekliliklerine yönelik nasıl bir yaklaşım sergilediği hakkında bilgiler sağlanıyor.

Siber güvenliği tartışmadan önce, isterseniz önce bu kavramı tanımlayalım. Bu belgede siber güvenliği, yaşam ve şirket varlıklarının, siber gerçeklik içerisindeki bilgilerin kullanılabilirliği, gizliliği, bütünlüğü, doğruluğu ve güvenilirliğine karşı gerçekleştirilen dijital saldırıların yol açtığı zararlardan korunması olarak tanımlıyoruz. Siber gerçeklik, insanlar, yazılımlar ve hizmetler arasındaki, İntranet ve internete bağlanmaları için tasarlanan teknik yöntemler kullanılarak sağlanan karmaşık bir etkileşim sistemidir.

Şimdi de güvenliğe yönelik bütüncül bir yaklaşım sergilemenin ne anlama geldiğini tanımlayalım. Lider şirketler ve kurumlar, güvenliğin gücünü etkileyen dört kilit faktörü dikkate alırlar: insanlar, iletişim, süreçler ve teknoloji.

Genel olarak:

İnsanların, gerek fiziksel güvenlik gerekse siber güvenlik olmak üzere güvenliğin öneminin kapsamlı ve sürekli bir şekilde farkında olmaları önem taşıyor.

İletişim, açık ve öz bir şekilde tanımlandığında, bir güvenlik kültürünün oluşturulmasında yardımcı olur.

Aktif bir şekilde uygulanan süreçler, kurumların siber tehditlerden korunması açısından teknoloji kadar önemlidir.

Teknolojinin, kurum varlıklarının korunması için test edilmesi, incelenmesi ve diğer uygun yapı taşlarıyla eşleştirilmesi gerekiyor.

Güvenlik zorlukları, geniş bir kapsam içerisinde yer alıyor. Fiziksel tehditler daha açık bir şekilde görülüp daha az sıklıkta değişirken, siber zorluklar durmaksızın değişen tehdit kapsamından dolayı çok daha zararlı olabiliyor. Güvenliğin iş ihtiyaçlarıyla uyumlaştırılması ve işlerin kolaylaştırılmasına yönelik yöntemlerin planlanması amacıyla, siber güvenliğe sürecin en başında odaklanırız.

“Security by Design:” Siemens’in kapsamlı güvenlik taahhüdü

Siber saldırılar, günümüz dünyasında en hızlı büyüyen suç faaliyetleri arasında yer alıyor. İç tehditler, fidye saldırıları, fırsatçı tehditler ve siyasi amaçlı siber saldırılardan ticari casusluk, terörizm ve devlet destekli siber terörizme kadar çok geniş bir kapsam içerisinde yer alıyor. Hızlı, karmaşık ve sürekli değişen tehdit kapsamına karşı her zaman hazırlıklı olabilmek için, kurumların güvenliğe yönelik bütüncül bir yaklaşım sergilemeleri gerekiyor.

Çalışma ortamının güvenliğinin sağlanması sorumluluğu kurumlarda olmakla birlikte, Siemens güvenliğe yönelik bütüncül bir yaklaşım sergilenebilmesine olanak sağlayan ürünler geliştirmeyi taahhüt eder. Bu belgenin konusu olan Desigo CC bina yönetimi ürünleri, çözümleri ve hizmetleri grubu için de bu anlayış geçerli. Desigo CC 4.0 ürün grubu içerisinde, Desigo CC 4.0, Cerberus DMS 4.0, Desigo CC Compact 4.0 ve Desigo CC Connect 4.0 ürünleri bulunuyor.

Taahhüdümüz çok yönlüdür. Her şeyden önce, ürün gelişimi sürecinde güvenliği en başından inşa eden uçtan uca güvenlik yaklaşımımız olan “Security by Design” kavramına odaklanırız. Bu kavram, ürünlerimizi ve çözümlerimizi her zaman ön planda tutmak için tasarlanan testler, iyileştirmeler ve geliştirmeleri içeren sürekli bir döngüyü tanımlıyor. Ayrıca, siber güvenlik alanında güvenin sağlanması ve dijitalleşme sürecinin daha da geliştirilmesi amacını taşıyan bağlayıcı kurallar ve standartların oluşturulmasında katkıda bulunan Global Charter of Trust organizasyonunun kurucu üyelerinden biriyiz.

Basitçe ifade etmek gerekirse, ürünlerimizi her zaman güvenlik kavramını aklımızda tutarak tasarlarız. Şirket genelindeki girişimimiz, bütün Siemens ürünleri, çözümleri ve hizmetleri için kapsamlı bir güvenlik metodolojisinin uygulanmasını aktif bir şekilde teşvik eden bir risk yönetim programı sağlıyor. Aynı zamanda uluslararası standartlara katkıda bulunuyoruz ve ISA/IEC 62443, UL2900, ISO/IEC 27001 ve OWASP gibi güvenlik standartlarını karşılayan ürünler sunabilmek için çaba gösteriyoruz.

Security by Design uzmanlığı

Bir ürünün siber güvenlik tasarımının etkinliği, ürün geliştirme ekibinin uzmanlığına bağlıdır. Security by Design metodolojimiz kapsamında, sadece dijital koruma ve ürün güvenliğine yönelik teknoloji geliştirme sürecine değil aynı zamanda çalışanların en yüksek siber güvenlik uzmanlığı seviyelerinin korunması için gerekli eğitimlere de yatırımda bulunuyoruz.

Ürünün yaşam döngüsü boyunca, uzmanlarımız ürünün kullanım amacında beklenen risklere yönelik güvenlik tehdidi ve risk değerlendirmeleri gerçekleştirir. Bu değerlendirme, sürecin erken aşamasında başlamakta olup risklerin uygun bir şekilde tespit edilip azaltılması için gerekmesi durumunda tekrarlanır.

Ayrıca, manüel sızma testleri kullanan kurum dışı uzmanlar tarafından da tekil ya da otomatik makine güvenlik testleriyle birlikte düzenli ürün güvenliği testleri gerçekleştirilir. Buradaki fikir, sistemin daha güvenlikli bir hale getirilmesi için kırılmasıdır. Bu testler, seçilen ürün, çözüm ya da hizmetin güvenlik gerekliliklerimizi karşılamasını sağlar. Test sonuçları kaydedilmekte ve gerekli düzeltici tedbirlerin tespit edilmesi için kullanılmaktadır.

Desigo CC Security by Design uygulaması

Desigo CC, konforlu, güvenli ve sürdürülebilir tesislerin oluşturulmasında yardımcı olan, sağlam, açık, entegre bir bina yönetim platformudur. Bir binanın işletilmesini ve izlenmesini sağlar.

Desigo CC tasarım uzmanlarımız, Şekil 2’de gösterilen şirket genelinde siber güvenlik girişimimize bağlıdırlar. Desigo CC ürünlerinin uygun güvenlik seviyesi uyarınca sürekli bir şekilde geliştirilmesi amacıyla tedbirler sağlayan zorunlu kurum içi güvenlik politikasını takip ederler. Desigo CC ürünleri, ISO/IEC62443 gereklilikleri uyarınca geliştirilmektedir.

Bu tedbirler, kodlamalar sonucunda güvenli bir ürün mimarisi ile yazılım bileşenlerinin daha güvenli bir şekilde uygulanmasının sağlanmasında yardımcı olurlar. Yazılım, kurulduğunda varsayılan olarak güvenli hizmet sağlayacak şekilde tasarlanır. Bu tasarım, belirli özellikler ile fonksiyonları varsayılan seviyede güvenli olmalarını da içerir.

Ve ayrıca ürünlerimizi, çözümlerimizi ve hizmetlerimizi sürekli bir şekilde iyileştirip geliştirdiğimizden dolayı, Desigo CC yeni güvenlik tehditleri ortaya çıktığında güncel durumda kalacaktır. Aşağıda, Desigo CC ürününe entegre edilen “Security by Design” elemanlarının bir örneği verilmektedir:

• İstemciden sunucuya uçtan uca şifreleme

• Sunucular arasında uçtan uca şifreleme

• Diğer cihazlarla şifreli haberleşme

• Sertifika tabanlı veri alışverişi

• Şifreli yedekler

• Sertifikaların müşteri IT altyapısında sorunsuz entegrasyonu

• Microsoft’un aktif dizin tabanlı kimlik doğrulaması

• Veri ve uygulama erişiminin sınırlandırılması için “en düşük erişim hakkı” prensibinin kullanılması

• Sistem erişimi için kullanıcı/iş istasyonu grupları/rolleri kontrolü – uygun görevlerin ve sorumlulukların atanması

• 4 göz prensibi – İkinci kimlik doğrulama

• Yeniden kimlik doğrulama

• LDAP yoluyla kullanıcı grup yönetimi

• Siber güvenlik denetim izi

• Antivirüs ve kötü amaçlı yazılıma karşı koruma desteği

• Donanım ve yazılım güvenlik duvarları desteği

• Fiziksel ağ ya da VLAN segmentasyonunu destekleyen ağ altyapısı kullanımı

• Ağların bölümlere ayrılması

• Sunuculara, istemcilere ve uygulamalara kontrollü erişim

• Web sunucunun “silahtan arındırılmış bölge” (DMZ) içerisine yerleştirilmesi

• Doğrulanmış üçüncü parti bileşenlerinin kullanılması

Desigo CC Siber güvenlik kurulumu 

Desigo CC ürünlerinin güvenli bir şekilde devreye alınması ve kurulması sürecinin desteklenmesi amacıyla siber güvenlik güçlendirme kılavuzları yayınlıyoruz. Bu kılavuzlarda, sistemin Desigo CC ürünleri ve çözümlerinin amaçlanan işletme ortamında güvenli bir şekilde çalışmasının desteklenmesi amacıyla nasıl yapılandırılması gerektiğini açıklıyoruz. Söz konusu yapılandırma opsiyonları, örneğin, kurulacak uygulamalar, etkinleştirilecek ya da devre dışı bırakılacak ayarlar, güvenlik duvarı yapılandırmaları ile kullanıcı ve sistem hesapları ve erişim haklarının ayarlarından oluşur. Güçlendirme kılavuzları, ürün yaşam döngüsü boyunca uygulanır.

Yazılım Bakım Programımız kapsamında periyodik olarak, yeni öğrenilen saldırıya açık alanları kaldıran ve Desigo CC sisteminin tehditlere karşı korunma seviyesini arttıran yamalar ve güncellemeler yayınlıyoruz. Söz konusu yamalar ve güncellemeler, geliştirilmelerinin ardından hizmete sunulur ve ürün uzmanları tarafından sağlanan teknik destek hattına erişim yoluyla desteklenir. Aynı zamanda, kurulan Desigo CC sisteminizin her zaman en son versiyon güncellemesinde bulunmasını sağlamak amacıyla yazılım güncellemelerine abonelik opsiyonu da bulunuyor.

Acil durum yönetimi

Desigo CC ürün ya da çözümünde bir güvenlik ya da saldırıya açıklık durumunun söz konusu olması durumunda takip edilecek olay ve saldırıya açıklık yönetim süreçlerimiz bulunur.

Olay ve Saldırıya Açıklık Yönetim Süreci: Müşteri tarafından bildirilen güvenlik sorunlarına yönelik destek mekanizmamız Şekil 3’de gösterilmektedir. Saldırıya açıklık durumları ve/veya olaylar, 7/24 esası üzerinden çalışmakta olan global Siemens ProductCERT ekibi tarafından desteklenen teknik destek ekibimize sunulur. Durumun ve olayların yönetilmesi için gerekli adımlar atılmakta ve çözüm yolları açıklanmaktadır.

Saldırıya açıklık yönetimi: Bu, ürünlerimizin ve çözümlerimizin güvenliğinin hassas ayarlarının yapılmasına yönelik kurum içi tehdit algılama sürecimizdir. Tehditlerin sürekli bir şekilde izlenmesi, ürünlerimiz ve çözümlerimizdeki potansiyel saldırıya açıklık durumlarını tespit edip azaltmamıza olanak sağlıyor. Desigo CC yazılım bileşenleri kayıtlı tutulmakta olup bu şekilde herhangi bir güvenlik açığının tespit edilmesi durumunda, gerekli çözüm yolları açıklanıyor ve uygulanıyor.

Tespit edilen saldırıya açıklık durumları, ProductCERT güvenlik danışmanları yoluyla (https://new. siemens.com/global/en/products/services/cert.html) ProductCERT tarafından duyurulmaktadır.

Uzak hizmetler

Uzaktan erişim, sağladığı sürekli performans izlemesi ve kolaylığından dolayı günümüzde istenen bir özelliktir. Desigo CC, uzaktan veri erişimine dayanan uzak hizmetlerin desteklenmesi için hazır durumdayken aynı zamanda ortam güvenliği konseptini de korur. Desigo CC, uzak hizmetleri destekleyerek, faaliyetlerinizin optimizasyonunun sağlanması amacıyla bina sistemleri ve bağlı ekipmanlarınız hakkındaki verilere erişim olanağından faydalanmanıza imkan tanır.

Standart IT mekanizmalarınız yoluyla uzaktan erişim sağlanmakla birlikte, daha güvenli uzaktan erişim için Siemens Ortak Uzak Hizmet Platformunu (cRSP) kullanıyoruz. Güvenilir, yüksek performanslı cRSP platformumuz, bina altyapınızla ilgili verilere ve bilgilere dünya genelinde erişim olanağı sağlıyor. Bu platform, Siemens tarafından sağlanan uzak hizmetlerin sıkı siber güvenlik gerekliliklerini karşılamasına imkan tanıyor. Siemens cRSP platformu, kurum seviyesinde sistematik siber güvenlik yönetimi normu olan ISO/IEC 27001 standardına uygundur.

Sonuç

Bina teknolojileri alanında pazar lideri olarak, günümüz dünyasındaki siber güvenlik ihtiyaçlarınızın yerine getirilmesinde karşı karşıya kaldığınız zorlukları anlıyoruz. Ürün yaşam döngüsü boyunca benimsediğimiz kapsamlı güvenlik yaklaşımımız, Desigo CC ürünlerinin, çözümlerinin ve hizmetlerinin, güvenliği her zaman akılda tutarak tasarlandığı anlamına gelir. Bundan dolayı, Desigo CC sistemi, insanları, süreçleri, teknolojiyi ve iletişimi dikkate alan güvenliğe yönelik bütüncül yaklaşımınızın bir parçası olabilecek.

Sonuç olarak günümüzde, akıllı kurumlar güvenliği işlerini köşe taşlarından biri olarak değerlendirmektedir. Siemens Desigo CC, kurumların ihtiyaçlarını karşılamak üzere ölçeklendirilebilecek birlikte çalışan, esnek bir portföydür.