Cengiz Özemli
Akademisyen
- Konu Yazar
- #1
## OT Verilerinizi Yapay Zekaya Güvenli Şekilde Aktarmanın Yolları
Endüstride yapay zekanın rekabet ortamını değiştirdiği bugünlerde, Operasyon Teknolojisi (OT) verilerini yapay zekaya güvenli biçimde aktarma yeteneği sadece bir avantaj değil, sürdürülebilir büyüme için zorunludur. Üretim altyapısını risklere maruz bırakmadan yapay zeka modellerini besleyen birleşik veri tabanlarına olan ihtiyaç giderek artmaktadır.
Güvenli ve sıfır saldırı yüzeyi sağlayan bir ortam kurmak zordur, ancak çıkış bağlantılarının stratejik kullanımı ve güçlü ağ segmentasyonu yoluyla mümkündür.
### Gelen Bağlantıların Riskleri
Endüstriyel OT ağlarında her gelen bağlantı, kritik tesislerdeki kilitlenmemiş bir kapı gibidir; saldırganların hassas kontrol sistemlerine doğrudan erişim sağlamasına olanak tanır. Saldırganlar, Shodan veya masscan gibi araçlarla açık portları tarayıp, bilinen güvenlik açıklarından faydalanarak izinsiz erişim elde eder ve bu da operasyonların kesintiye uğraması veya kötü amaçlı yazılım bulaşması gibi sonuçlar doğurabilir.
VPN kullanımı çoğu zaman bir güvenlik yanılsaması yaratır; çünkü VPN, IT ağındaki güvenlik sınırını üretim ağına genişletir ve IT ağı tehlikeye girdiğinde OT ağındaki tüm düğümlere erişim mümkün olur. Bu nedenle, en etkili güvenlik uygulaması, üretim sistemlerindeki tüm gelen bağlantıların firewall tarafından kapatılmasıdır.
### DMZ ve Standart Protokoller
NIS2 Direktifi ve NIST CSF 2.0 gibi standartlar, DMZ (demilitarize zone) kullanarak tam ağ segmentasyonu gerektirir. Ancak, OPC UA ve MQTT gibi popüler endüstriyel protokoller DMZ üzerinden güvenli bağlantı kurmada zorluklar yaşar. OPC UA, yüksek gecikme veya veri kaybı riskini artıran karmaşık yapısı nedeniyle DMZ kullanımı için ideal değildir. MQTT ise DMZ içinde zincirleme yapılandırılması zordur ve QoS garantileri zincir boyunca iletilemediği için son kullanıcılar eski veya güvenilir olmayan verilerle karşılaşabilir.
Bu sebeple, MQTT daha çok uç noktadaki cihazlardan veri toplamada veya DMZ'den bulut sistemine veri aktarımında kullanılır. Endüstriyel IoT'nin omurgası olarak değerlendirilmesi uygun değildir.
### Tünel/Mirror Çözümü
Bitki ve yapay zeka sistemleri arasında güvenli bir köprü kurmak için DMZ uyumlu, mevcut protokollerle entegre olabilen ve kapalı firewall politikası sürdürebilen farklı bir yaklaşım gerekir. Güvenli tünel/mirror yazılımları, sadece OT tarafından DMZ'ye yönlendirilen outbound TCP bağlantıları kurar; böylece saldırı yüzeyi ortadan kalkar ve risk DMZ'ye taşınarak burası bağımsız olarak güçlendirilebilir.
Her düğümde tam veri setlerinin eşlenmesi sayesinde üretim tesisinden yapay zeka servisine kadar veri tutarlılığı ve güvenilirliği sağlanır. Standart protokollerle (OPC UA gibi) veri kaynağına bağlanıp bunu DMZ'de birleşik bir isim alanına yansıtan bu teknoloji, verileri güvenle MQTT'ye dönüştürerek AI sistemine iletebilir.
### Esneklik ve Ekstra Özellikler
Çok aşamalı bağlantı destekleyen bir diğer tünel/mirror seçeneği, AI sisteminde ek bir düğüm oluşturmaktır. Bu özellikle MQTT broker gerekmeyen dahili AI sistemleri için faydalıdır. Evrensel isim alanı desteği ve çeşitli protokol seçenekleri sunan tünel/mirror yazılımları, verileri doğrudan geçmiş veriler (historian), olay akışları veya özel yapay zeka araçlarına aktarabilir.
Doğru yazılım sayesinde, veri diyotu etkin sistemlerde bile tünel/mirror uygulaması yapılabilir; böylece endüstriyel ağa veri paketlerinin geri dönmesi engellenir. Bu, yüksek güvenlik gerektiren kritik altyapılar için oldukça değerlidir.
### Yeni Tehditler
Bugün kullanılan en iyi güvenlik algoritmaları, gelecekte kuantum bilgisayar saldırılarına karşı savunmasız olabilir. "Şimdi topla, sonra çöz" stratejisiyle saldırganlar, kuantum bilgisayarların gücünü kullanarak şifreleri ve sertifikaları kırabilirler. Endüstriyel veri iletişiminde kullanılan tünel/mirror ve diğer yazılımlar, kuantuma dayanaklı şifreleme sağlayan post-kuantum kriptografisi (PQC) desteklemelidir.
Sonuç olarak, üretimden AI'ye güvenli ve güvenilir veri aktarımı, kontrol mühendisleri için zorlayıcı bir görev olmaya devam ediyor. Ancak DMZ kullanarak ağları izole etmek ve verileri tünelleme/mirroring yöntemiyle aktarmak, OT ve IT sistemlerini korurken veri bağlantısı sağlamanın etkili bir yoludur. Bu yöntemle, şirketler üretim verilerini güvende tutarak süreçlerini optimize edebilirler.
