Endüstriyel Güvenlik bir yönetim meselesidir: Şirketler nereden başlamalı?

Simon Nutz, Endüstriyel Güvenlik Danışmanı

“Güvenlik mi? O bizim sorumluluğumuzda değil!” – Güvenlik söz konusu olduğunda, makine üreticilerinden ve operatörlerinden hala sıklıkla bu tür yanıtlar alırız. “Güvenlikten IT departmanımız sorumlu” diye de eklerler biraz mahcup bir şekilde. Ancak uygulamada, BT departmanı özellikle otomasyon ağlarına dair spesifik bilgiye sahip değildir. Diğer yandan, tasarım mühendisleri ve hatta sağlık ve emniyet yöneticileri (HSE), siber güvenlikle nasıl başa çıkacaklarından emin değildir. Peki Endüstriyel Güvenlik için nasıl bir hazırlık yapmalısınız?

Avrupa Birliği'nde Ocak 2027'den itibaren Makine Regülasyonu’nun (MR) uygulanması zorunludur. Bu yönetmelik, AB'de makine ithal etmek veya çalıştırmak isteyen tüm şirketler için geçerlidir. Makine Regülasyonu, Endüstriyel Güvenliği yolsuzluğa karşı koruyucu önlem olarak öngörmektedir. Bu nedenle Endüstriyel Güvenlik, iş açısından kritik bir unsur olarak doğrudan bir yönetim görevine dönüşmektedir. Yönetim, Endüstriyel Güvenliğin şirket bünyesinde güçlü bir şekilde benimsenmesini sağlamalıdır.

Herkesi bir araya getirin
Bu planın başarılı olabilmesi için ilk adım, tüm ilgili tarafları bir araya getirmektir. Makine üreticileri için bu, IT, geliştirme ve tasarım ekipleri ile varsa güvenlikten sorumlu kişiler (ör. CISO) anlamına gelir. Kullanıcılar için ise bu, IT, üretim teknolojisi, üretim yönetimi, iş sağlığı ve emniyeti (HSE) ile CISO'yu kapsar.
İlk adım, Endüstriyel Güvenlik konusunda bilgi birikimi oluşturmak ve ortak bir anlayış geliştirmektir. Örneğin, tesis ve makine endüstrisini bekleyen yasal yükümlülükler neler? Emniyet ve Güvenlik nasıl birbiriyle bağlantılıdır? IT ve OT arayüzleri hangi noktada kesişir?

İkinci adımda, bu disiplinler arası ekipler, şirket için uygulama konseptini de içeren uygun bir strateji oluşturur. Bu aşamada amaçlanan, iç yapıda bir pozisyon belirlemektir: Gelecekte kimler sorumluluğa sahip olacak? Makinelerinizin ağ topolojisi nasıl bir yapıya sahip? Bu yapı, yeni yasal gerekliliklerle ne kadar uyumlu?

Uygulama risk değerlendirmesiyle başlar
Ancak bu şekilde şirket, Endüstriyel Güvenliği uygulayabilecek bir duruma gelir. Potansiyel olarak zarar verebilecek olayların değerlendirilmesi, ölçülmesi ve bir koruma gereksinimleri analizinin oluşturulmasıyla başlar. Ağ oluşturma, dijitalleşme ve Yapay Zeka nedeniyle ortaya çıkabilecek güvenlik açıkları, saldırı ve manipülasyon potansiyeli de bu sürecin bir parçası olarak belirlenir. Önemli: Endüstriyel Güvenlik için koruma hedefleri gizlilik, bütünlük ve kullanılabilirlik gibi klasik BT koruma hedeflerinin yanı sıra makinenin Fonksiyonel Emniyeti gibi Emniyet unsurlarını kapsar.

Güvenlik risk değerlendirmesi her zaman başlangıç noktasıdır. Bu noktada, güvenlik açıklarından kaynaklanan tehdit ve risklerin analiz edilmesi hedeflenir. Bu da, güvenlik önlemlerinin sürekli olarak izlenmesi ve uyarlanması gerektiği anlamına gelir. Bunun için genellikle ek teknik uzmanlık ve kaynak gerektiren karmaşık IT altyapılarını ve ağlarını içerir.

Güvenlik ve Emniyet uzmanı aranıyor!
Otomasyonda Endüstriyel Güvenliğe adım atarken dışarıdan desteğe ihtiyacı olan herkes, IT güvenliği uzmanlığının yalnızca sınırlı bir yardım sağlayabileceğinin bilincinde olmalıdır. Bunun nedeni, makinelere saldırı riskini azaltmaya yönelik süreçlerin (Endüstriyel Güvenlik), makinelerden kaynaklanabilecek riskleri azaltmaya yönelik prosedürlere (Emniyet) büyük benzerlik göstermesidir. Endüstriyel Güvenliği uygulamak isteyen herkes, Makine Emniyeti konusunda uzman olmalı ve başta Makine Regülasyonu olmak üzere ilgili şartname ve standartlara hâkim olmalıdır.

Mevzuatın detaylı bir şekilde uygulanmasına yönelik çalışmalar hâlâ devam etmektedir. Bazı yerlerde, uyumlaştırılmış standartlar taslak aşamasındadır. Pilz, Makine Emniyeti konusunda bir uzman olarak, ilgili standartların şekillendirilmesiyle yakından ilgilenmekte ve bu alanda aktif bir rol oynamaktadır. Pilz, bu uzmanlığını müşterilerine hizmet ve eğitim şeklinde sunmaktadır. “Endüstriyel Güvenliğin Temelleri” eğitimi yeni başlayanlar içindir. Katılımcılar, makine ve ağ güvenliği bağlamında terminoloji ve gereksinimler hakkında bilgi edinir ve siber güvenliği anlamaya odaklanır. En iyi uygulamalar, üretimde siber güvenlik risklerinin anlaşılmasına katkıda bulunur.
"Otomasyonda Güvenlik için Sertifikalı Uzman (CESA)" eğitimi, endüstriyel otomasyon ağlarında etkili organizasyonel ve teknik önlemlerin uygulanması için ihtiyaç duyulan araçları sağlar.

Pilz, eğitim programının yanı sıra “Yetkilendirme ve Erişim Yönetimi” (I.A.M.) portföyünü de sunar. Bu portföyde, çalışanların korunması, sorumluluk koruması, maksimum üretkenlik ve veri korumasıyla ilgili pek çok görev için ürünler ve bireysel çözümler yer alır. Uygulamalar; kullanıcı kimlik doğrulaması, emniyetli çalışma modu seçimi, veri ve ağ güvenliği ile erişim yönetimi gibi pek çok alanı kapsamaktadır. Bu şekilde Emniyet ve Güvenliği tek bir sistemde bir araya getirmek mümkündür.

Dünyanın dört bir yanındaki makine üreticileri ve operatörleri, Endüstriyel Güvenliğin zorluklarına karşı zamanında hazırlıklı olabilmek için bu konuyu şimdiden ele almalıdır. Bilgi birikimi oluşturmak, sorumlulukları ve arayüzleri tanımlamak ve bireysel bir strateji geliştirmek gereklidir. İdeal olan, bu sürecin yönetim tarafından başlatılmasıdır.