OT Güvenliğinde Yapay Zeka: Nerede İşe Yarar, Nerede Halüsinasyon Görür ve Nasıl Güvenle Kullanılır?
Senkron Digital
“Bu olayı önceliklendirmek için yapay zekâdan faydalanabilir miyiz?”
Operasyon ekiplerinin önüne bu soru genellikle alarm kuyruğu kabarmaya başladığında gelir. OT ortamlarında ise buna çoğu zaman başka bir baskı daha eşlik eder: Bir yandan tedarikçi erişimi onay beklerken, diğer yandan yaklaşan bakım penceresi kimsenin karar vermek için ekstra zamana sahip olmadığını hatırlatır.
Operasyon tarafı basit bir yanıt ister: Devam etmek güvenli mi, değil mi?
Ancak güvenlik ekiplerinin karşısındaki tablo çoğu zaman bu kadar net değildir. Olağandışı görünen bir oturum açma denemesi, beklenmeyen bir uzaktan erişim bağlantısı ya da normal davranışından sapmaya başlayan bir mühendislik istasyonu... Henüz üretim durmuş değildir. Ancak bu da doğru kararı vermeyi eskisi kadar kolaylaştırmaz.
Asıl problem ise zamandır. Son araştırmalar, saldırganların ağ içerisinde ilk ihlalden sonraki ilerleme süresinin ortalama 29 dakikaya kadar düştüğünü ve bunun bir önceki yıla göre yaklaşık %65 daha kısa olduğunu gösteriyor. Gerçek hayattaki onay ve eskalasyon süreçleri düşünüldüğünde, bu süre çoğu organizasyonun karar mekanizmasından daha kısa.
Bu yüzden yapay zekâ, giderek daha fazla kurumun gündemine giriyor. Amaç açık: Önceliklendirme süreçlerinin "her şeyi görmezden gel" ya da "her şeyi kritik kabul et" ikilemine dönüşmesini engellemek.
Yapay zekanın değer kattığı ve yanıltabildiği noktalar
Burada net biçimde ifade edilmesi gereken bir gerçek var:
OT SOC operasyonlarının belirli bir çalışma sırası vardır. Bu temel yapı sağlam değilse, yapay zekâ sizi kurtarmaz. Sadece yanlış kararları daha hızlı almanıza neden olur.
Her şey görünürlükle başlar.
Varlık envanteriniz doğru değilse, ürettiğiniz alarmların güvenilirliği de tartışmalı hale gelir.
Sonrasında değerlendirme gelir. Hangi sistemler erişilebilir durumda? Nerelerde yanlış yapılandırmalar var? Hangi varlıklar zaman içinde standart konfigürasyondan uzaklaştı? Gerçek riskler nelerdir?
Bu sorular cevaplanmadan, gelen bir alarmın gerçekten bir tehdit mi yoksa eksik tanımlanmış bir referans durumunun sonucu mu olduğunu anlamanız mümkün değildir.
Bir sonraki adım ise sınırların doğru tanımlanmasıdır.
Sadece ağ segmentasyonu değil; operasyonel sınırlar, uyumluluk gereksinimleri ve iş sürekliliği açısından da hangi sistemlere nasıl müdahale edilebileceği bilinmelidir.
Hangi sistemi izole edebilirsiniz?
Hangisi sahadaki ekibin müdahalesini gerektirir?
Hangi durumda tedarikçi devreye girmelidir?
İzleme ve alarm yönetimi, ancak bu yapı kurulduktan sonra anlam kazanır. Bunlar temel değil, bu temelin üzerine inşa edilen operasyon katmanıdır.
Bu değerlendirme aşaması atlandığında sonuçlar kısa sürede ortaya çıkar.
Alarm eşikleri gerçek risk yerine gürültüye göre şekillenir.
Analistler gereksiz alarmlarla vakit kaybeder.
Müdahale edilmesi gereken yerde tereddüt edilir, izlenmesi gereken olaylarda ise gereğinden sert aksiyon alınır.
Daha da önemlisi, hangi müdahalenin operasyonu koruyacağını, hangisinin ise yeni kesintilere yol açacağını ancak olay yaşandığında öğrenirsiniz.
İşte yapay zeka ancak bu noktadan sonra anlamlı hale gelir.
Yapay zekanın güvenle kullanılabileceği alanlar
OT SOC ekiplerinin sık karşılaştığı bir senaryoyu düşünelim.
Kurumsal kimlik sisteminde şüpheli bir oturum açma tespit edilir.
Ardından uzaktan erişim oturumu başlar.
OT tarafında henüz herhangi bir kesinti yaşanmaz.
Bir süre sonra ise mühendislik istasyonlarından biri normal davranış profilinden küçük sapmalar göstermeye başlar.
Bu olayların her biri tek başına kritik görünmeyebilir.
Ancak birlikte değerlendirildiğinde anlamlı bir saldırı zinciri oluşturabilir.
Yapay zeka tam da burada değer üretir.
Farklı sistemlerden gelen bu parçalı sinyalleri kısa sürede ilişkilendirerek analiste tek bir hikâye sunabilir ve olayın gerçekten eskalasyon gerektirip gerektirmediğinin daha hızlı değerlendirilmesini sağlayabilir.
Bu hız bugün her zamankinden daha önemli.
Çünkü BT ile OT dünyası artık organizasyon şemalarında göründüğü kadar ayrı değil.
Bir ortamda başlayan olayın diğerini etkilemesi giderek daha sık karşılaşılan bir durum haline geliyor.
Benzer şekilde, yapay zekânın "yatay hareket" tespit ettiğini düşünelim.
Bu ifade tek başına hiçbir anlam taşımaz.
Uzaktan erişim yollarını önceden haritalandırmadıysanız, segmentasyonu doğrulamadıysanız ve saha gerçeklerini bilmiyorsanız, bu alarm yalnızca teknik bir etiketten ibaret kalır.
Ancak gerekli hazırlıklar yapılmışsa tablo tamamen değişir.
Hangi ekibin devreye gireceği bellidir.
Sahadan hangi bilgilerin isteneceği nettir.
Hangi sistemlerin izole edilebileceği ve operasyonun nasıl sürdürüleceği önceden planlanmıştır.
Bu durumda yapay zekâ gerçekten fayda sağlar.
Alarm önceliklendirmesini hızlandırır.
Farklı sinyaller arasındaki ilişkiyi kurar.
Karar alma sürecini destekler.
Ancak kararın sorumluluğunu hiçbir zaman üstlenmez.
Tam da bu nedenle OT ortamlarında yapay zekâ aynı zamanda ciddi bir risk de oluşturabilir.
Eğer kullandığınız yapay zekâ sistemi insanları düşünmeden harekete geçmeye teşvik ediyorsa, aslında yeni bir risk üretmiş olursunuz.
Sağlam süreçlerin üzerine inşa edildiğinde ise yapay zekâ tam olarak yapması gereken işi yapar:
Gürültüyü azaltır.
Önceliklendirmeyi hızlandırır.
Ancak uzman muhakemesinin yerine geçmez.
Temel kural
Yapay zeka OT ortamlarında ekiplerin bilgi eksikliğinden dolayı başarısız olmaz.
Başarısız olmasının nedeni, OT bağlamının öğrenilmesinin zor, kaybedilmesinin ise son derece kolay olmasıdır.
Bu bilgi çoğu zaman yazılı değildir.
Sahaya özgü çalışma alışkanlıkları...
Tedarikçilerle kurulan ilişkiler...
Bakım dönemlerinde "normal" kabul edilen davranışlar...
Sistemlerin yeniden devreye alınırken birbirine olan bağımlılıkları...
Bunların hiçbiri bir yapay zekâ istemine eksiksiz biçimde aktarılamaz.
Dolayısıyla yapay zekâdan bu operasyonel gerçekleri bilmeden etki analizi yapması istendiğinde, çoğu zaman yine de bir cevap üretir.
Üstelik bunu oldukça kendinden emin bir dille yapar.
Zaman baskısı altında ise düzenli görünen bu çıktı kolayca doğru kabul edilebilir.
En maliyetli hatalar da tam bu noktada ortaya çıkar.
Çünkü OT ortamlarında son karar hala insana aittir.
SOC yöneticisinin değerlendirmesi; sahadaki mevcut operasyonu, bağlı sistemleri, planlı bakım faaliyetlerini ve güvenli şekilde izole edilebilecek bileşenleri dikkate almak zorundadır.
Bu nedenle yapay zekayı;
Günler boyunca dağınık şekilde ortaya çıkan zayıf sinyalleri kümelendirmek,
Anormalliklere bağlam kazandırmak,
Aynı zaman aralığında yaşanan diğer değişiklikleri ilişkilendirmek,
Sahaya uygun müdahale ve eskalasyon önerileri sunmak
için kullanabilirsiniz.
Ancak kritik onay mekanizması her zaman insan kontrolünde kalmalıdır.
Çünkü eğer yapay zekâ, düşünmeyi kolaylaştırmak yerine harekete geçmeyi kolaylaştırıyorsa, aslında güvenliği değil riski büyütüyorsunuz demektir.
Özetle
Yapay zeka karar alma süreçlerini hızlandırabilir.
Ancak OT ortamlarında karar verici olmamalıdır.
Asıl farkı yaratan unsur; bulunduğu tesisi, operasyonel sınırları ve iş sürekliliği gereksinimlerini bilen uzmanların muhakemesidir.
OT SOC ekiplerinin güvenlik iş ortaklarından beklentisi de tam olarak budur:
Yapay zekâ ile desteklenen hızlı analiz süreçlerini, gerçek OT uzmanlığıyla birleştirebilen bir operasyon modeli.
CyberPact OT SOC bu anlayışla tasarlanmıştır.
Eğer bir OT SOC operasyonu yönetiyorsanız, CTI Report 2026, değişen tehdit ortamını değerlendirmenize ve önümüzdeki döneme hazırlanmanıza yardımcı olacak önemli içgörüler sunacaktır. İndirmek için linke tıklayabilirsiniz: https://www.senkrondigital.com/cti-report
