Fabrikada BT Çökerse Üretim Durur: İmalat KOBİ'leri İçin BT Rehberi

İmalat, dünyada en çok siber saldırıya uğrayan sektör. Bir kerelik bir rekor değil bu; IBM X-Force tehdit raporlarına göre üretim yapan şirketler yıllardır üst üste birinci sırada ve tüm saldırı olaylarının yaklaşık dörtte biri bu sektöre gidiyor. Sebebi de basit aslında: fabrikada hat durduğunda her dakika para demek, o yüzden fidye ödeme ihtimali yüksek. Saldırgan bunu çok iyi biliyor.

Türkiye’de tablo farklı değil. Kaspersky’nin ICS CERT ekibinin verilerinde Türkiye, endüstriyel kontrol sistemlerine yönelik saldırılarda sürekli üst sıralarda çıkıyor. Organize sanayi bölgelerindeki orta ölçekli üreticilerin çoğu ise “biz küçüğüz, kim bizi hedef alacak ki” diyip hiç hazırlık yapmıyor. Oysa internette gezinip açık port arayan otomatik tarayıcılar için küçük-büyük ayrımı yok. Dışarı açık bir kapınız varsa, zaten bir hedefsiniz.

İmalatta “BT” sadece ofis bilgisayarı değil

Bir üretim işletmesinde iki ayrı dünya var ve çoğu işletme sahibi bunları aynı şey sanıyor.

• IT tarafı: ERP, e-fatura, muhasebe, mail, dosya sunucusu, CAD/teknik resim arşivi.
• OT tarafı: hattaki PLC’ler, SCADA ekranları, CNC tezgâhları, barkod ve etiketleme sistemleri.

İkisi aynı ağa bağlıysa — ki sahada gördüğümüz tabloda çoğunlukla öyle — ofisteki bir kullanıcının açtığı zararlı bir mail eki, üretim hattındaki kontrolöre kadar yürüyebilir. 2024’te bir sanayi sitesi üyesinde tam olarak bu yaşandı: bütün veri şifrelendi, hat durdu, fidye istendi.

İşin özü şu: en değerli varlığınız çoğu zaman makinenin kendisi değil, o makinelerin ürettiği bilgidir. Kalıp tasarımları, üretim reçeteleri, müşteri siparişleri, fiyat listeleri. Bu bilgi sızarsa rakibinizin eline geçer; şifrelenirse üretemezsiniz.

Üretim durunca saat başına ne kaybedersiniz?

“Bize bir şey olmaz” düşüncesini en hızlı kıran şey, durmanın faturasını kalem kalem hesaplamaktır. Sabit bir rakam vermek mümkün değil çünkü her hat farklı, ama hesabı şu kalemler üzerinden kendiniz çıkarabilirsiniz:

Maliyet kalemi	Ne anlama geliyor
Duran üretim	Vardiyada üretilemeyen parça sayısı × parça başı kâr
Boşa giden işçilik	Hat dururken çalışmaya devam eden personelin ücreti
Geç teslim	Sözleşmeli müşteriye gecikme cezası, iptal edilen sipariş
Kurtarma ve fidye	Veri kurtarma, bilirkişi, olası fidye ödemesi
İtibar ve tedarik zinciri	Büyük müşterinin tedarikçi listesinden çıkarması

Çoğu orta ölçekli üretici bu hesabı yaptığında, tek bir günlük duruşun maliyetinin yıllık güvenlik bütçesinden büyük olduğunu görüyor. Önleme her zaman ucuz; toparlama hep pahalı.

İmalatçıyı en çok vuran üç giriş yolu

Saldırılar genelde aynı birkaç kapıdan geliyor. Hangileri olduğunu bilmek, parayı doğru yere harcamanızı sağlar.

1. İnternete açık uygulamalar. IBM X-Force’a göre üreticilere yapılan ihlallerin yaklaşık üçte biri, dışarı açık bir serviste (uzak masaüstü/RDP, VPN cihazı, web yönetim paneli) yamalanmamış bir zafiyetten giriyor. Açık bırakılmış bir RDP, kapısı aralık duran bir depo gibi.
2. Çalınan parola. Sahte fatura veya kargo bildirimi kılığında gelen oltalama mailiyle bir çalışanın parolası ele geçiriliyor; oradan mail kutusuna, mail kutusundan tüm ağa.
3. Yaşlanmış OT. Tezgâhı süren PC hâlâ Windows 7 ya da XP üzerinde koşuyorsa, güncellemesi de yoktur. Üretici “çalışıyor, dokunmayalım” der; saldırgan tam da bunu bekler.

Nereden başlamalı — abartısız bir öncelik sırası

Bütçesi sınırlı bir atölye için sıralamayı pahalıdan değil, etkiden başlatın:

1. OT ile IT’yi ayırın. Üretim ağını ofis ağından mantıksal olarak (VLAN) veya fiziksel olarak ayırmak, yapılabilecek en ucuz ve en etkili adım. Ofiste çıkan bir yangın hatta sıçramasın.
2. Yedekleme + geri dönüş testi. 3-2-1 kuralı: üç kopya, iki farklı ortam, biri tesis dışında ve değiştirilemez (immutable). Yedeğin varlığı değil, geri dönebildiğiniz önemli — ayda bir test edin.
3. Çok faktörlü doğrulama (MFA). Önce mail ve uzaktan erişimde. Çalınan parolanın tek başına işe yaramamasını sağlar.
4. Uzaktan erişimi kapatın ya da VPN + MFA arkasına alın. Doğrudan internete açık RDP, en sık görülen ilk hata.
5. Yamalama. Hepsini yetiştiremiyorsanız bile en azından internete bakan servisleri güncel tutun.
6. İzleme. Hat 7/24 çalışıyor ama BT tarafını kimse izlemiyorsa, saldırıyı çoğu zaman fidye notuyla öğrenirsiniz. EDR veya yönetilen izleme (MDR) bu boşluğu kapatır.

Bu altı maddenin hiçbiri “önce şu projeyi bitirelim sonra bakarız” lüksü tanıyacak kadar uzun sürmez. İlk üçü çoğu işletmede birkaç günlük iş.

Sık Sorulan Sorular

OT ve IT ağını ayırmak şart mı?

Şart. Tek ağda çalışan bir tesiste, ofisteki bir bilgisayara bulaşan zararlı yazılımın üretim hattına ulaşmasını engelleyen hiçbir şey yoktur. Ayrım, çoğu durumda mevcut yönetilebilir switch’ler üzerinde VLAN tanımlayarak ek donanım almadan yapılabilir.

Küçük bir atölye gerçekten hedef olur mu?

Evet, çünkü saldırıların büyük kısmı “sizi” hedef almıyor — internette açık zafiyet tarıyor ve ne çıkarsa vuruyor. Otomatik bir tarayıcı için 8 kişilik bir atölye ile 800 kişilik bir fabrika arasında fark yok. Üstelik küçük işletmeler genelde daha az korunmalı olduğundan daha kolay lokma.

Sadece yedekleme yeterli mi?

Yedekleme şart ama tek başına yetmez. Modern fidye yazılımı önce verinizi çalıp sonra şifreliyor (çifte şantaj). Yedekten geri dönseniz bile çalınan kalıp tasarımınız ya da müşteri listeniz dışarıda. O yüzden yedek + erişim kontrolü + izleme birlikte düşünülmeli.

İmalat tarafında BT’yi “bir gün lazım olursa bakarız” rafına koymak, çalışan bir hattı şansa bırakmak demek. Üretim hattınızın gerçek risklerini birlikte gözden geçirmek isterseniz bizimle iletişime geçin — tesisinize özel, abartısız bir öncelik planı çıkaralım.

Kaynaklar

• IBM X-Force Threat Intelligence Index — imalatın en çok hedeflenen sektör olması ve internete açık uygulama zafiyetleri
• Kaspersky ICS CERT — Türkiye’de endüstriyel kontrol sistemlerine yönelik saldırı eğilimleri