Parmak İzi Takip, Üretim Sektörünü Güvenli Hale Getirebilir Mi?

Parmak izi takip sistemleri üretimi daha güvenli kılar mı?

Daha fazla ticari işletme güvenliği artırmak için yüz tanıma ve parmak izi takip teknolojileri kullandığından, üreticiler diğer sektörlere ayak uydurma konusunda baskı altındadır. EEF sanayi dernekinden gelen 2018 tarihli bir rapor, üreticilerin %48’inin bir tür siber saldırı yaşadığını ve bunun sonucunda bir saldırı geçirenlerin %24’ünün finansal veya müşteri kaybı yaşadığını göstermektedir¹. Bu rakamların çok düşük olma ihtimali de vardır, çünkü tüm üreticiler bir teşebbüsün veya başarılı bir siber saldırının kurbanı olduğunun farkında değildir. Bunun ışığında, bu makale parmak izi takip  ve diğer biyometrik teknolojilerin üretim tesislerini daha iyi güvenlik altına almak için nasıl kullanılabileceğini gözden geçirmektedir.

Üreticiler, ticari bilgileri giderek daha fazla çevrimiçi tuttukça, siber saldırılara karşı dikkatli olmaları gerektiği açıktır. Bu, sistemlerinin tamamen güvenli olmadığına dair kaygı ile birleştiğinde, üretim şirketlerini dijitalleşmeyi benimsemekten alıkoyabilir. EEF raporunda, üreticilerin% 91’inin dijital teknolojilere yatırım yaptığını, ancak işletmelerin% 35’inin güvenlik açığının fabrikaları tamamen dijitalleştirmesini engellediğine inandığını belirtti.

Ve risk gerçektir. IBM’in 2017 “Tehdit İstihbarat Endeksi” raporu, üretim sektörünün hükümetten ve finansal² kaynaklardan sonra en çok saldırı yapılan üçüncü sektör olarak listeledi. Bunun sebebi, endüstrinin yakından düzenlenmemesi ve hem işletim sistemlerinde hem de endüstriyel kontrol sistemlerinde kolayca yararlanılabilecek güvenlik açıkları olmasıdır. 2017’de, siber suçluların Suudi Arabistan’da bir petrokimya üreticisini hedef aldığı 2017’deki yüksek saldırı buna örnek olabilir.³ Saldırganlar basitçe veri çalmak veya işlemleri durdurmak istemiyorlardı: makinenin güvenlik protokollerini geçersiz kılarak, makinenin patlamasına yol açmak amacıyla şirketin operasyonel teknolojisini ve endüstriyel kontrol sistemlerini hedef aldılar. Kötü amaçlı yazılım kodunda hata olduğundan, sonuçta saldırı başarısız oldu, bu yüzden sistemler güvenli bir şekilde kapanabildi. Ancak tesisteki güvenlik önlemleri herhangi bir saldırı belirtisi tespit etmemiştir.

Bu gibi olaylara rağmen, sektördeki güvenlik düzenlemelerinin bulunmaması, üreticilere siber güvenliğin yüksek bir risk olmadığı izlenimini verebilir. Bununla birlikte, bir siber saldırı finansal olarak zarar verebilir, ayrıca bir şirketin itibarına da zarar verebilir. Müşteriler kişisel verilerini işletmelere daha fazla verdiklerinden, bilgilerin güvende kalacağı konusunda güvende olmak isterler ve bilgilerini riske atmak müşterileri kaybetme riskini artırır. Peki, parmak izi takip ve diğer biyometrik takip sistemleri bu sektöre güvenliğini arttırmada yardım etmede ne gibi rol oynayabilir?

Dijital saldırılar

Dijitalleştirmek isteyen üreticilerin, bilgi teknolojisine ek olarak, siber suçlular için yeni bir hedef haline gelmesiyle operasyonel teknolojinin nasıl önleneceğini düşünmeleri gerekmektedir. Bir bilgisayar korsanı BT sistemine eriştikten sonra, endüstriyel PC’ler, insan-makine arayüzleri ve programlanabilir mantık denetleyicileri gibi işletim ekipmanlarına erişim sağlamaları kolaydır. Bunun nedeni genellikle hepsinin aynı ağa bağlı olmasıdır. Bu nedenle, üreticilerin bu tür faaliyetleri gerçekleştirebilecek potansiyel kişilerin ekipmana ilk olarak erişememelerini sağlamaları çok önemlidir. Ancak şirket neyin değişmesi gerektiğinden veya nasıl yapıldığından emin olamayabilir, bu nedenle BT yöneticileri protokollerini gözden geçirmek ve herhangi bir değişiklik yapmadan önce mevcut prosedürlerinin gücünü değerlendirmek için zaman ayırmalıdır.

Siber güvenlik prosedürlerini gözden geçirirken ilk adımlar, üreticilerin hangi verileri topladıklarını ve depoladıklarını anlamalarıdır. Daha sonra sistemi güncellerken veya yükseltirken temel bilgileri korumak için en iyi teknolojiyi seçebilirler. Bu, tesiste kullanım için yetkili olan akıllı telefonlar, tabletler ve dizüstü bilgisayarlar gibi kişisel cihazların seçimi olabilir.

Geleneksel olarak, üreticiler potansiyel bilgisayar korsanlarının önündeki engelleri görmek için erişim rozetleri (Access badges), PIN’ler ve parolaların yanı sıra güvenlik duvarlarını da kullanır. Bununla birlikte, güvenlik teknolojisi daha karmaşık hale geldikçe, bilgisayar korsanları bu engelleri aşmanın yeni ve yenilikçi yollarını buluyor. Birçok tesis kağıtsız kalmaya başladığında, üreticilerin bilgilerini güvende tutmak için daha fazlasını yapmaları gerekir. Tesisleri riske sokarak şifreler kolayca unutulabilir, saldırıya uğrayabilir veya fidye için saklanabilir. Bunun yerine üreticiler fabrikadaki bireyleri tanımlamak ve doğrulamak için yeni biyometrik takip yöntemleri gözden geçirmelidir. Mevcut farklı modlar için önerilen bazı kullanımlar:

Parmak izi takip:

Bu, biyometrik tanımlamanın en eski ve en yaygın biçimlerinden biridir, ancak yine de oldukça güvenilirdir. Parmak izleri o kadar benzersizdir ki tek yumurta ikizleri bile farklı desenlere sahiptir. Üretim tesislerindeki çalışanlar, bilgisayarlara ve operasyonel teknolojiye (OT) güvenli bir şekilde erişmek için parmak izlerini kullanabilirler. Tesis yöneticileri ayrıca, gün içinde PDKS işlemlerini ve çalışanların giriş kontrolünü (Access) takip ederek, iş operasyonlarını ve güvenliği artırarak işgücü yönetimi için parmak izi okuyucuları kullanabilir. Ayrıca, parmak izi takip tarayıcıları kullanarak işletmenin gizli alanlarına erişimi kısıtlayabilir, ancak bu bilgiyi yalnızca birkaç kişinin seçmesine izin verebilir. Kodları veya kartlar yerine okuyucuyu kullanmak, üreticiler için zamandan ve paradan tasarruf sağlayabilir, çünkü basit, bir defalık kurulum olacaktır ve güvenlik ihlali durumunda kodları değiştirmek veya kartları yeniden dağıtmak zorunda kalmayacaklardır.

Yüz Tanıma:

Parmak izi takip sistemine ek veya alternatif olarak yüz tanıma, fotoğraftaki belirli yüzleri tanımlamak gibi basit işler için zaten iyi çalışır, ancak aslında bilinmeyen bir eşleşmeyi belirlemek çok daha zordur. Bunun üstesinden gelebilirsek, teknoloji büyük ölçüde iyileştirmek için kullanılabilir.Tesise girmeye çalışırlarsa, potansiyel bilgisayar korsanlarını tespit ederek fabrika katındaki güvenlik sağlanmış olur.
Üreticiler, gelecekte yüz tanıma doğruluğunun nasıl iyileşebileceğini görmek için tüketici pazarına bakmalıdır. Apple, ilk kez 2017 yılında iPhone X’i piyasaya sürdüğünde FaceID teknolojisini tanıttı. Teknoloji, bir 3D resimle yüzleri eşleştirmek için sensörler, görüntüleme teknolojileri ve yapay zekâ kullanıyor. Telefonun kızılötesi kamerası, kullanıcının yüzüne 30.000 kızılötesi nokta göndererek son derece hassas bir yüz görüntüsü yakalar. Yüz Kimliği ayrıca her kullanıldığında ek bilgi toplamak için öğrenme algoritmaları kullanır. Cihaz, kullanıcı sakal bırakırsa, saçlarını değiştirirse veya yaşlanırsa tanımaya devam eder.

Ek olarak, yüz tanıma, belirli istasyonlarda çalışan işçilerin bir makineyi çalıştırmak için gerekli eğitime sahip olmalarını sağlamaya yardımcı olabilir. Sistem, çalışan kimliğinin eğitim kaydına uymadığını kabul ederse, tesis yöneticisine bilgi verilebilir ve bunun yerine görevi yerine getiren başka bir personel görevlendirilebilir. Alternatif olarak, tesis yöneticileri sahadaki güvenliği yönetmek için yüz kimlik doğrulamasını kullanabilir. Kartlar yabancılar tarafından çalınabilir ve yüz teknolojisi olmadan yetkisiz personel sahadaki güvenli bilgilere erişebilir. Yüz tanıma, bir üretim tesisine giren herkesi tanımlamaya yardımcı olur ve yalnızca erişime izin verilen kişilerin girebilmesini sağlayabilir.

İris Tanıma:

Parmak izi takip ve yüz kimliği güvenliği artırabilirken, kesinlikle kusursuz değildir ve parmak izleri gibi yanlış reddedme işlemi gerçekleşebilir. Bu temelde, Princeton Identity gibi güvenlik firmaları, iris tanımanın en doğru güvenlik çözümü olduğunu savunuyor. Princeton CEO’su Mark Clifton’ın dediği gibi: “İrisler, parmak izleri ve yüzlerle karşılaştırıldığında önemli miktarda bilgiye sahipler. Yüz ve parmak izi takip aynı oyundadır, ancak bir irisin üstesinden gelmek olasılığı daha düşüktür. İki irisi tanıyabiliyorsanız, birinin yanlış bir şekilde geçme şansı 1.4 trilyonda 1’dir. Neredeyse DNA gibi, çok yüksek bir doğruluk.”4. İris taramaları makineyle temas etmeyi gerektirmez, bu nedenle parmak izlerinde gördüğümüz gibi diğer kopyalar için güvenlikten ödün verilmez. Ayrıca, irisler, yüz özelliklerinden farklı olarak, bir kişi iki veya üç yaşına geldiğinde stabilize olur. Teorik olarak, üç yaşında bir iris taranabilir ve sistem 50 yaşında hala aynı irisi tanıyacaktır.

Biyometri artıları ve eksileri

Parmak izleri takip sistemlerinin, yüz özelliklerinin ve retina taramalarının benzersizliği, üreticilere en güvenli tanımlama yöntemlerinden bazılarını sağlayabilecekleri anlamına gelir. Biyometrik doğrulama iş gücü için de daha uygundur, çünkü hatırlanması gereken şifreler ya da potansiyel olarak kaybolabilecek şifreler yoktur. Bununla birlikte, üreticilerin güvenliği artırmak için teknolojilere yatırım yaparken maliyeti en önemli faktörlerden biri olarak kabul etmesi muhtemeldir. Bu bakımdan, biyometrik teknolojinin yüksek bir maliyete sahip olduğu görülebilir, ancak üreticilerin uzun vadede tasarruf etmesini sağlayabilir. Kurulum kolaydır ve verilerin sisteme yalnızca bir kez girilmesi gerekir, bu nedenle şifreleri değiştirmeye veya yeni rozetler satın almaya gerek yoktur. Kurulduktan sonra, okuyucuların yazılımı güncelleyebilmeleri için fiziksel yükseltmelere ihtiyaç duymaları olası değildir.

Bu avantajlara rağmen, biyometrik teknolojinin sınırlamaları vardır ve bu doğrulama sisteminin tek başına bir fabrikayı güvence altına alması muhtemel değildir. Birçoğumuz, telefonlarımıza ve hatta banka hesaplarımıza erişmek için parmak izi takip cihazları kullanıyoruz, ancak bu, tüm tesisten daha az doğruluk gerektiriyor. Araştırmalar, bilgisayar korsanlarının bir sistemi kandırmak için beş ana parmak izi tasarlayabildiklerini göstermiştir ve %65 oranında başardıkları tespit edilmiştir.

Bu yüzden biyometrik teknolojiler geleneksel dijital güvenlik önlemlerinden daha güvenli olsa da, bu BT yöneticilerinin mevcut güvenlik prosedürlerinin yerini alması gerektiği anlamına gelmez. Bilgisayar korsanları, bir bardağa veya bir kağıda bırakılan fotoğrafları veya parmak izlerini kullanarak geçmişte biyometrik sistemleri kandırdılar. Bir şifreyi unuttuğunuzda veya kredi kartınızı kaybederseniz, kolayca değiştirilebilirler. Parmak izi takip sisteminden çalınan parmak izini veya DNA örneğini değiştirmek çok zordur. Güvenlik soruları veya çok güvenli şifreler eklemek, şirketlere verilerin çalınmasını önlemede yardımcı olabilir.

Bu nedenle BT yöneticileri, tesisleri için doğru teknolojiyi ve güvenlik protokollerini seçmek için zaman ayırmalıdır. Bununla birlikte, sistemi uyarlamayı nasıl sürdüreceklerini de düşünmeliler, çünkü güvenlik hareketli bir hedef. Siber güvenlik teknolojisi daha gelişmiş hale geldikçe, bilgisayar korsanları bilgi edinmenin ve sistemi olumsuz yönde etkilemenin yeni yollarını buluyorlar. Bilgi ve donanımı saldırılara karşı korumak için bir güvenlik protokolü sürekli olarak geliştirilmelidir.

Yüz tanıma özelliği, havaalanının güvenliğini hızlı bir şekilde gerçekleştirmemize yardımcı olabilir, ancak yalnızca tam olarak pasaport fotoğrafınıza benziyorsanız. Dolayısıyla, bu tür teknolojiler üreticilerin bir şifreyi veya pin kodları kullanmaktan daha güvenli bir tesis yapmalarına yardımcı olabilirken, yapılacak daha çok iyileştirmeler var. İlk sorunlarına rağmen, biyometrik teknolojilerin ve şifrelerin bir kombinasyonu, fabrika katındaki güvenlik ve güvenliği önemli ölçüde artırabilir ve üreticilerin dijitalleşme konusundaki endişelerini hafifletebilir.

Kaynak

1‘Cyber Security for Manufacturing’
EEF (2018)
https://www.eef.org.uk/resources-and-knowledge/research-and-intelligence/industry-reports/cyber-security-for-manufacturers, Accessed Dec 2018
2‘IBM X-Force Threat Intelligence Index 2018’
IBM (March 2018)
https://www.eef.org.uk/resources-and-knowledge/research-and-intelligence/industry-reports/cyber-security-for-manufacturers, Accessed Dec 2018
3Nicole Perlroth, Clifford Krauss‘A cyber attack in Saudi Arabia failed to cause carnage, but the next attempt could be deadly’
The Independent (21 March 2018)
https://www.independent.co.uk/news/long_reads/cyber-warfare-saudi-arabia-petrochemical-security-america-a8258636.html, Accessed Dec 2018
4. Janelle Penny. ‘Which Physical Biometric Technology Is Right for Your Facility?’. BUILDINGS.com, 14 March 2018. Accessed December 2018. https://www.buildings.com/news/industry-news/articleid/21481/title/which-physical-biometric-technology-is-right-for-your-facility-.
5. 
Special thanks to JonathanWilkins.

Güvenlik noktasındaki endişelerinizi gidermek için alanında uzman kadromuza ücretsiz olarak danışabilirsiniz. Hemen tıklayın!