SCADA, “Supervisory Control and Data Acquisition” kelimelerinin baş harflerinden oluşan bir kısaltmadır. Türkçe, “Merkezi Denetleme Kontrol ve Veri Toplama” sistemi olarak çevirebiliriz. SCADA, tesisleri ve endüstriyel sistemleri kontrol etmek ve izlemek için kullanılan bir elektronik sistemdir.

Firmaların karmaşık endüstriyel süreçlerini otomatikleştirmek, oluşabilecek sorunları hızlı bir şekilde tespit etmek veya düzeltmek için geliştirilen SCADA sistemleri, güvenlik ve siber tehditlere karşı korunma gibi kritik işlevler göz önünde bulundurulmadan tasarlanmışlardır. Bu nedenle bu sistemler genel olarak açıklık barındıran sistemlerdir.

Endüstriyel Kontrol Sistemi’ne (EKS) yapılan sızma testi çalışması ile standart bir kurumsal ortamda gerçekleştirilen sızma testi arasında önemli farklılıklar vardır. Standart IT sistemlerinde kullanılan çeşitli araçlar bu sistemlerde kullanılmamalı veya dikkatli olunmalıdır. Ciddi tehlikelere (servisin çökmesi, yanıt alınamaması, prosesin durması vb.) sebep olabilir.

Kurumsal ortamlarda yapılan sızma testlerinde kullanılan güvenlik araçları EKS sistemlerinde kullanıldığında arızalanmasına veya tamamen durmasına sebep olabilir. Bu sebeple kurumsal yetkililer ve danışmanlar bir üretim sisteminde test gerçekleştirmenin potansiyel etkilerini göz önünde bulundurarak mümkün olduğunca hassas ve dikkatli olmalıdır.

Güvenlik Testleri:

Güvenlik zafiyetleri ve mantık hatalarının belirlenmesi,

Tespit edilen zafiyetleri istismar etmeye çalışılması,

Zafiyetlerin analiz edilerek risk ölçeklenmesinin yapılması,

Tespit edilen her bir bulgu için temel nedeninin açıklanması ve firmaya/uygulamaya özel iyileştirme önerileri içerecek şekilde sonuçların raporlanması,

Otomatize araçlar (açık kaynak, ticari) tabanlı testler birlikte manuel testlere ciddi vakit ayrılması.