Büyük IT ve OT Çatışması

Bilgi Teknolojileri (IT) ve Operasyonel Teknolojiler (OT) departmanları, on yıllar boyunca birbirine paralel ama tamamen zıt iki evrende var oldular.

IT ekipleri genellikle klimalı, steril sunucu odalarında yaşar; SAP, Apache Kafka ve AWS gibi bulut ve kurumsal sistemlerle uğraşırlar. Onların dünyasında öncelik; her yerden veri erişilebilirliği, hızlı yazılım güncellemeleri ve küresel ölçeklenebilirliktir.

Öte yandan OT ekipleri; gürültülü, tozlu ve hareketli fabrika zemininde yaşarlar. Onların dünyası PLC'ler, robotik kollar, SCADA sistemleri ve yüksek voltajlı makineler etrafında döner. Onların dünyadaki tek ve en büyük önceliği ise %100 Kesintisiz Çalışma (Reliability) ve Fiziksel İş Güvenliği'dir.

Günümüzde "Endüstri 4.0", bu iki farklı bölümün birleşmesini talep ediyor. Buna IT/OT Yakınsaması (IT/OT Convergence) deniyor. Şirket yönetimi, tedarik zincirini öngörebilmek için fabrikadaki üretim adetlerini canlı ve saniyelik olarak Bulut ERP'sine (Örn: SAP) aktarmak istiyor. Ancak IT departmanı bu veriyi almak için OT departmanına "Siemens PLC'sine güvenlik duvarından (firewall) küçük bir port/delik açıver" dediği anda, OT ekibi devasa siber güvenlik risklerini gerekçe göstererek bunu kesin bir dille reddeder. Ve sonuna kadar haklıdırlar.

Peki, bu uçurumu nasıl köprüleyeceksiniz?

Yanlış Yöntem: Noktadan Noktaya (Point-to-Point) Spagetti Mimari

Geçmişte IT ve OT'yi birleşitirmek için kullanılan tarihi yaklaşım "noktadan noktaya" (point-to-point) entegrasyonlardı. Kalite ekibi eğer istatistiksel kalite verilerine (SPC) ihtiyaç duyarsa, PLC ile kalite veritabanı arasına doğrudan, geçici bir yazılım kodu (script) yazılırdı. Finans departmanı enerji verisini isterse, akıllı sayaç ile ERP arasına başka bir kablo/kod çekilirdi.

Bu durum, bakımı imkansız bir "spagetti mimarisi" yaratır. Çok kırılgandır, birden fazla fabrikanız varsa ölçeklenemez ve en tehlikelisi; sistemdeki her yeni yazılım için fabrikanın güvenlik duvarında dışarıdan içeriye doğru (inbound) onlarca delik açar.

Doğru Yöntem: Birleşik İsim Alanı (Unified Namespace - UNS)

Modern IT/OT yakınsaması, Birleşik İsim Alanı (Unified Namespace - UNS) kavramına dayanır. UNS, tüm şirketinizin o anki canlı durumunu temsil eden tekil ve merkezi bir mesajlaşma aracıdır (genellikle MQTT altyapısıyla çalışır).

Her yeni IT uygulaması için özel entegrasyon kodları yazmak yerine, OT tarafındaki makineler ürettikleri veriyi standart bir formatla UNS'ye yayımlar (Publish). Veriyi kullanmak isteyen IT sistemleri ise sadece UNS'ye abone olur (Subscribe) ve oradan çeker.

Bu neden önemlidir? Sistemler arasında kusursuz bir ayrışma (decoupling) yaratır. SAP ERP sisteminin fabrika zeminindeki bir robotun gizli IP adresini bilmesine gerek yoktur; aynı şekilde o robotun da SAP ERP'sinin çöktüğünden veya bakıma alındığından haberi olmaz. İki taraf da sadece ortadaki merkezi UNS mesajlaşma sunucusuyla konuşur.

Siber Güvenlik Kabusunu Çözmek: "Sadece Dışarı" (Outbound-Only) Mimarisi

Bir UNS altyapınız olsa bile, fiziksel veriyi o PLC'nin içinden dışarı çıkartma mekanizması kusursuz olmak zorundadır. Bir endüstriyel kontrol ağını (Purdue Modelindeki Seviye 1 ve 2), hiçbir şart altında doğrudan dış internete açamazsınız.

İşte tam bu noktada, Proxus IT/OT Köprüsü (Bridge), fabrikayı siber saldırılardan korumak için son derece katı "Sadece Dışarı" (Outbound-Only) mimari ilkelerine güvenir:

1. Dışarıdan İçeriye (Inbound) Port Açılmaz: Proxus Edge Gateway fabrika zemininde yer alır. OT ağındaki cihazlara OPC UA veya Modbus gibi yerel protokollerle bağlanarak veriyi kendi "içeriden" okur.
2. Yukarıya Akış (Streaming Up): En kritik nokta burasıdır; Edge Gateway, okuduğu bu veriyi merkez bulut platformuna veya UNS'ye atarken, bağlantıyı kendi başlatarak şifreli bir TLS 1.3 dışarı aktarım (outbound) kanalı kurar. Bağlantı sadece firewall'un "içinden" başlatıldığı için, fabrika ağında bilgisayar korsanlarının girebileceği sıfır adet açık inbound port riski bulunur.
3. Salt-Okunur Trafik: Varsayılan (default) olarak veri sadece aşağıdan yukarıya, yani OT'den IT'ye akar. Eğer üretim sahasına mutlaka bir kontrol komutu (yazma/setpoint) gönderilecekse, bu son derece denetlenen ve yönetilen geçitlerden süzülerek geçer. Ancak kullanım senaryolarının %95'inde, Kafka, AWS veya ERP gibi kurumsal IT sistemlerinin sadece veriyi "okumaya" ihtiyacı vardır.

Veri Standardizasyonu (Normalization): Aynı Dili Konuşmak

Eğer kurduğunuz boru hattı güvende olsa bile, işlenmemiş ham OT verisi çoğu zaman IT ekipleri için "çöptür". Bir PLC'nin içinden DB40.DBD12 adında bir etiket (tag) geldiğinde, bulut yazılımcıları (IT) için bu anlamsız bir harf yığınıdır.

Gerçek bir IT/OT yakınsama platformu, bu ham sinyali IT'nin anlayabileceği bir dile çevirmelidir. Proxus, verileri ERP veya Data Lake'lere yönlendirmeden hemen önce Etiketleri Normalize Eder. Bu sayede DB40.DBD12 etiketi; Fabrika_A / Hat_1 / Punta_Presi / Sicaklik_Derecesi gibi temiz ve bağlamsal (contextualized) bir yapıya dönüştürülür.

Bulut sistemleri veya yapay zeka araçları bu veriyi teslim aldığında artık tamamen temizlenmiş, yapılandırılmış ve büyük veri (Big Data) analizine hazır haldedir.

Sonuç

Gerçek IT/OT yakınsaması, sırf veri almak için fabrika ağı ile kurumsal bulut ağı arasına gelişigüzel kablolar çekmek değildir. Her iki departmanın kırmızı çizgilerine (Güvenlik ve Erişilebilirlik) sonsuz saygı duyan, güvenli ve denetlenebilir bir köprü inşa etmektir.

Birleşik İsim Alanı (UNS) mimarisinden yararlanan, ağ güvenlik duvarında Sadece Dışarı (Outbound-Only) politikalarını dayatan ve sinyalleri otomatik olarak Normalize Eden (Düzenleyen) işletmeler, endüstrinin kutsal kasesine ancak bu yolla ulaşabilirler: IT'ye (Kurumsala) analiz edip inovasyon yapabileceği zengin veriyi sağlamak ve OT'ye (Sahaya) ise asla taviz vermeyeceği o demir gibi güvenliği sunmak.

Proxus IT-OT Entegrasyon Mimarisini İnceleyin →