Sürekli İzleme & Olay Yönetimi: OT’de “Alarm Yoksa Olay Yok” Sanma

Birçok tesiste OT tarafında güvenlik “görünmez”dir. IT’de EDR, SIEM, SOC süreçleri varken; OT’de çoğu zaman yalnızca ağ çalışsın yeter. Bu körlük, saldırgan için ideal ortamdır. Çünkü OT saldırılarının önemli kısmı gürültüsüzdür: proses manipülasyonu, yetkisiz erişim, yavaş lateral movement, anomali.

Korkutucu senaryo: Bir saldırgan OT ağına girmiştir ama tek yaptığı şey dinlemektir. Trafiği izler, HMI-PLC konuşmalarını öğrenir, komut kalıplarını çözer. Sonra “normal gibi” görünen komutlarla süreci değiştirir. Siz log tutmuyorsanız, ağda NDR yoksa, zaman senkronu yoksa, bunu fark etmeniz haftalar sürebilir. Bu süre boyunca kalite kaybı yaşarsınız; nedenini bulamazsınız.

OT’de izleme iki katmandır:

1. Ağ tabanlı izleme (NDR/IDS): OT protokollerini anlayan, anomali tespiti yapan sensörler.

2. Log & olay korelasyonu: Jump server, firewall, AD, SCADA/historian logları, erişim kayıtları.

Temel “olay yönetimi” bile OT’de büyük fark yaratır:

• “Kim, ne zaman, hangi sistemlere bağlandı?”

• “Segmentler arası beklenmeyen trafik var mı?”

• “Yeni cihaz eklendi mi?”

• “PLC programı değişti mi?”

• “HMI konfigürasyonu değişti mi?”
  
  

İyi bir OT olay yönetimi; bir olay olduğunda panik yerine runbook işletir:

• İzolasyon: Etkilenen segmenti daralt

• Kanıt toplama: Log/pcap/oturum kaydı

• Geri dönüş: DR planına göre restore

• Kök neden: Sızma yolu ve kalıcılık mekanizması

• Önlem: Segmentasyon, erişim kontrolü, hardening

İkna edici nokta: İzleme yoksa güvenlik “hissiyat”tır. İzleme varsa; ölçebilir, kanıtlayabilir, iyileştirebilirsiniz. OT’de amaç mükemmel güvenlik değil; erken tespit + kontrollü müdahale ile duruşu minimize etmektir.