Fabrikalar hacker’lar için açık hedefe dönüşüyor

İki güvenlik araştırmacısı, fabrikalardaki sistemleri kontrol etmeye yarayan 34 mobil uygulamayı inceledi ve sadece 2 tanesinde hiçbir güvenlik açığı olmadığını fark etti. Uygulamalardaki açıklar, fabrikaları hacker’ların hedefi haline getirebilir.

Birçok şirket, çalışanlarının mobil uygulamalar vasıtasıyla makineleri izlemesine ve yönetmesine izin veriyor. Hatta bazen bütün endüstriyel işlemleri bu şekilde idare etmeye izin veriliyor. Uygulamalar verimliliği artırmayı vadediyor ancak aynı zamanda siber saldırılar için hedef de oluşturuyor. En kötüsü de, hacker’ların birtakım açıklardan faydalanarak makinelere ve belki de bütün bir fabrikaya  zarar vermesi ihtimali.

IOActive’den Alexander Bolshev ve Embedi’den Ivan Yushkevich adlı iki güvenlik araştırmacısı, geçtiğimiz yıl Siemens ve Schneider Electric gibi şirketlere ait 34 uygulamayı inceledi. Araştırmacılar uygulamalarda toplam 147 tane güvenlik açığı buldu. Bolshev, en çok hangi şirketlerin suçlu olduğunu söylemeyi ya da hangi uygulamada açıklar bulunduğunu açıklamayı reddetti. Yalnızca incelenen 34 uygulamadan sadece 2 tanesinde hiçbir hata olmadığı bilgisini paylaştı.

Araştırmacıların tespit ettiği bazı açıklar, hacker’ların makine ve uygulama arasındaki veri akışına müdahale etmesine izin verebilecek türde. Yani bir mühendis, makine aşırı ısınmışken o makinenin aslında güvenli bir sıcaklıkta çalıştığı yanılgısına düşebilir. Bir başka açık ise saldırganların mobil cihaza kötü amaçlı kod yerleştirmesine imkan verebilir. Bu durumda, birçok makineyi kontrol eden sunuculara rastgele komutlar verilebilir. Böyle bir durumun bir montaj hattında kargaşaya veya bir petrol rafinerisinde patlamalara sebep olacağını hayal etmek zor değil.

Riskler artıyor

Bolshev, mobil uygulamalar ile endüstriyel kontrol sistemlerinin beraber kullanılmasını son derece tehlikeli bulduğunu söylüyor ancak risklerin çeşitlilik göstereceğinin de altını çiziyor. Bazı şirketler potansiyel hasarı kısıtlayabilecek çoklu arıza güvenlik sistemlerine sahip olabilir. Ayrıca, mühendislerin bir makine için uygulamadan gelen tek bir okumaya değil de birkaç veri kaynağına bakmaları zorunlu tutulabilir. Ancak bu bile tamamen güven vermiyor çünkü hacker’ların imalat tesislerindeki geniş koruma önlemlerini aşabildiğinin örneklerini daha önce gördük. Üstelik riskler diğer alanlara doğru genişliyor; elektrik santralleri ve ulaşım sistemleri de internete bağlanıyor. Mobil uygulamalar bu alanlarda da zayıf noktalar oluşturabilir.

Kaynak: Technology Review


Yorumunuz: