TR
EN
DE
AE
UA
AZ
Hakkımızda
İş Ortaklarımız
Organizasyon Şeması
Referanslarımız
Sertifikalarımız
İnsan Kaynakları
Otomasyon Danışmanlığı
Satış Sonrası Destek
Fabrika Otomasyonu
Satış ve Pazarlama
Proses Otomasyonu
Proje Yönetimi & Danışmanlık
Dijitalizasyon
Yazılım Geliştirme
Opcenter (MES-MOM)
Otonom Mobil Robotlar (AMR)
OT Siber Güvenlik
Akıllı Ayrıştırma Hatları (Sorter)
Çözüm 4.0
Malzeme Takip Sistemi (MTS)
Batch Sistemleri (ISA-88)
İnsansız Vinç Uygulamaları
Safety (IEC 61511)
Otomotiv
Intralojistik
Kimya
Demir & Çelik
Gemicilik
Kablo
Gıda
OT güvenliğinde en kritik ve en çok ihmal edilen konu segmentasyondur. Birçok tesiste OT ağı “kolay yönetilsin” diye yıllar içinde düzleşir: aynı VLAN, aynı broadcast domain, her cihaz birbiriyle konuşuyor. Bu yapı saldırgan açısından rüyadır. Çünkü ilk girişten sonra hareket alanı geniştir; saldırgan bir cihazdan diğerine geçerken duvarlara çarpmaz.
Korkutucu senaryo: Bir bakım laptop’u, IT tarafında phishing ile enfekte olur. Laptop bakım için sahaya iner, switch’e takılır. İçeride ağ düz olduğu için; laptop, HMI’lara, mühendislik istasyonuna, historian’a rahatça erişir. Bir “worm” davranışı başlar: zayıf SMB paylaşımı olan her şeyi dolaşır. Sonuç: HMI ekranları kilit, SCADA servisleri down, üretim durmuş. Bu olayın ortak kökü “flat network”tür.
Segmentasyonun hedefi basittir: Bir yer düşerse, her yer düşmesin. OT’de bunun pratik yolu IEC 62443’ün zone/conduit yaklaşımıyla düşünmektir:
-
Zone (Bölge): Benzer kritiklik ve güvenlik ihtiyacındaki varlık grubu
-
Conduit (Geçit): Bölgeler arası kontrollü iletişim hattı (firewall/ACL/IPS)
Örnek iyi bir segmentasyon:
-
Kurumsal IT ağı
-
DMZ (OT-IT arası tampon)
-
OT yönetim ağı (jump server, update repository, NTP)
-
Kontrol ağı (PLC/RTU)
-
Görselleştirme (HMI/SCADA)
-
Güvenlik izleme (NDR/SIEM collector)
-
Vendor erişim bölgesi (kayıtlı, zaman kısıtlı)
Bunu kurarken kritik noktalar:
-
“Default deny” yaklaşımı: Her şey izinli olmasın. İhtiyaç olan akışlar tanımlansın.
-
Protokol farkındalığı: OT protokolleri bazen broadcast/keepalive davranır. Kurallar buna göre ölçülü tasarlanmalı.
-
Yatay hareketi sınırlama: Bir HMI’nın tüm PLC’lere erişmesi gerekir mi? Yoksa sadece ilgili hattın PLC’lerine mi?
-
Yönetim trafiğini ayırma: Engineering workstation ile üretim kontrol trafiği aynı segmentte olmamalı.
-
Gözlemlenebilirlik: Segmentler arası akışlar loglanmalı; kural değişiklikleri kayıt altına alınmalı.
İkna edici maliyet argümanı: Segmentasyon yatırımı “ek firewall” gibi görünür. Ama tek bir olayda fabrikanın komple durması, segmentasyondan kat kat pahalıdır. Segmentasyon; saldırganın hızını keser. Saldırgan zaman kaybettikçe, tespit edilme olasılığı artar. OT’de kazanmanız gereken şey tam olarak budur: zaman.
