Yapay zekâ imalat endüstrisinde siber güvenliği nasıl destekleyebilir?

Kaspersky’den Maxim Mamaev, anormallikleri tespit edebilecek özellikte olan yapay zekânın siber olayları önlemek ve operasyonel verimliliği artırmak için yenilikçi bir teknik olarak öne çıktığını belirtiyor.

Endüstriyel tesislerde makinelerinin durması maliyetli bir süreçtir. Bozulmalar başa daha da fazla dert açar. Yedek parça beklenir, onarımlar için para harcanır, teslimatı yapamama durumunda ceza ödenir. Tesiste olabilecek en korkunç şey ise çevresel hasara veya can kaybına yol açan kontrolsüz bir felakettir.

Dolayısıyla bunların olmaması için önlemler alınır. Makineler sensörlerle ve otomasyonla bağlanır, izleme sistemleri çalıştırılır, sistemi tamamen dijitale aktarır ve hazır hissedilir. Yine de bir sorun gözden kaçar. Alarmlar sorun durdurulamayacak kadar geç bir aşamada çalar ve çarpışmaya hazırlanmaktan başka seçeneğin olmadığı gerçeğiyle baş başa kalınır.

Bir keresinde bir bilgisayar korsanı, kimyasal malzeme üretimi yapan bir fabrikada, yalnızca sıcaklık sensörüne erişim sağlayarak sıcaklık okumalarını normal bir seviyede dondurdu. Kontrol sistemlerinde seviye normal göründüğü için herhangi bir alarm çalmadı ancak sıcaklık değeri kontrol sistemleri tarafından normal olarak algılanmasına rağmen gerçekte normalin dışına çıkıyordu. Bu durum reaksiyonun bozulmasına yol açmıştı. Reaktör basıncı kritik eşiğe ulaşarak alarmı tetiklendiğinde operatörün sadece acil kapatma çağrısı yapacak kadar vakti kalmıştı.

Bunun gibi saldırılar mümkün olabiliyor çünkü geleneksel endüstriyel kontrol ve izleme sistemleri, bir sorunun erken belirtilerini tespit edecek şekilde hazırlanmıyor. Makinenin davranışındaki ince değişiklikleri fark edemiyorlar. Deneyimli operatörler ise her saniye binlerce telemetri akışının söz konusu olduğu bir ortamda yalnızca birkaç sinyali takip edebiliyor.

Burada yapay zekâ ve Kaspersky devreye giriyor.

Yapay zekânın gücü, endüstriyel sistemlerin emrinde

Kaspersky, endüstriyel makinelerin ve diğer karmaşık ekipmanların davranışındaki anormallikleri tespit etmek için yapay zekâ yöntemlerinden yararlanan bir yazılım olan Kaspersky MLAD’ı (Machine Learning for Anomaly Detection- Anormalliklerin Tespiti için Kaspersky Makine Öğrenmesi) geliştirdi. Bu sistemin amacı, yıkıcı süreçlerin erken belirtilerini ortaya çıkarmak ve sorunlar makinenin çalışmasını etkilemeye başlamadan önce uyarı vermek.

Sistem, belli bir geçmiş dönemi kapsayan telemetri verisiyle yapay sinir ağının eğitimini temel alıyor. Yapay zekaya şu aktarılıyor: “Makine böyle çalışıyor, izle ve öğren.” Bu sırada makineyi yöneten fiziksel yasaları veya mantıksal kuralları modele yerleştirmek gerekmiyor. Modeli bir reçeteye oturtmak yerine adım adım öğretiliyor. Bu sırada müşterinin neyin yanlış gidebileceği konusunda halihazırda öngörüleri varsa, bunları modeli daha kapsamlı hale getirmek için kullanılıyor.

Eğitim tamamlandığında Kaspersky MLAD, anormallik algılama moduna geçiyor. Detektör telemetriyi gerçek zamanlı olarak alıyor ve makinenin modele karşı davranışını sürekli olarak değerlendiriyor. Model ve gözlem arasındaki sapma belirli bir eşiğin üzerine çıkarsa, makinenin davranışı anormal kabul ediliyor ve alarm tetikleniyor. Yukarıdaki kimyasal tesise daha sonra kurulan yapay zekâ, saldırının başlamasından sadece 15 dakika sonra operatörü uyardı. Geleneksel izleme araçlarına kıyasla operatörün krize müdahale etmek için altı kat daha fazla zamanı vardı.

Şekil 1 – Kaspersky MLAD operasyonel iş akışı

İster tesiste ister sanal makinede çalışıyor

Kaspersky MLAD, sanal makinede çalışan bir yazılım olarak hizmet veriyor. Bu sayede tesisin telemetri verilerine erişimi olduğu sürece, tesiste veya bulut üzerinde konuşlandırılabiliyor. Keşfedilen anormallikleri, davranış algılamayı tetikleyen bir sinyal listesi biçiminde operatöre bildiriyor. Burada hedeften en çok sapan sinyaller ilk sırada gösteriliyor. Anomali detektörü ekipmanı doğrudan kontrol etmiyor, duruma yanıt vermek bizzat operatörün görevi.

Kaspersky MLAD, benzer anormallikleri tanımlayabilen ve bunları ortak bir etiket altında gruplayabilen yerleşik bir mekanizmaya sahip. Uzmanlar daha önce bir anomaliyi araştırdıysa, sınıflandırdıysa ve operatör için yorum veya talimatlar bıraktıysa Kaspersky MLAD, aynı gruba giren yeni bulunan her anomaliye uzmanın geri bildirimini ekleyebiliyor.

İsteğe bağlı bir bileşen olan Kaspersky MLAD 3D, tesisin 3 boyutlu modelinde veya teknolojik sürecin 2 boyutlu grafiğinde sensörlerin ve tesisin telemetrisini ve diğer kaynakların konumunu görselleştiriyor. Telemetri okumaları ve anormallik durumları, ilgili cihazın konumuna sabitlenmiş olarak gerçek zamanlı biçimde görüntüleniyor. 3 boyutlu model, mobil LIDAR tarayıcıyla her bir tesis için ayrı ayrı oluşturuluyor.

Şekil 2 – Kaspersky MLAD, kimyasal tesiste bir saldırı tespit ediyor

İnsan hatalarının ve üretim kesintilerinin önüne geçiyor

Üretim katındaki tek tehdit, bilgisayar korsanlarından ibaret değil. Pratikte sorunların çoğu ihmalkâr veya dikkatsiz işçilerden veya arızalı ekipmandan kaynaklanıyor. Neyse ki anormallik detektörü suçlunun kim veya ne olduğu ile ilgilenmiyor, her durumda olması gerektiği gibi çalışıyor.

Büyük tesislerde toplam kesinti maliyeti yılda milyonlarca doları bulabiliyor. Dolayısıyla herhangi bir üretim kesintisinin önlenmesi, anormallik tespit teknolojisine yapılan yatırımın kat kat geri dönüşünü sağlıyor. Kaspersky MLAD, tesisin makinelerini tehdit eden yıkıcı süreçleri erken bir aşamada tespit edebiliyor. Böylece tesis operatörüne tehdidi algılaması ve hafifletmesi için yeterli zamanı sunuyor. 

Şekil 3 – Kaspersky MLAD’ın tesisteki yerleşimi

Dahası, sistemin arızadan kaynaklı üretim kayıplarında ve onarım maliyetlerinde azalmanın ötesinde faydaları da var.  Aynı telemetri veri kümesi, olası bir arıza oluşmadan bakım için kalan süreyi tahmin etmek için model oluşturmak amacıyla da kullanılabiliyor. Örneğin; rulmanların belirli bir titreşim seviyesine ulaştığında değiştirilmesi lazım ancak bunun ne zaman olacağı bilinmediğinden bu değişim normalde periyodik olarak gerçekleştiriliyor. Tahmine dayalı bakım ise değiştirme işleminin tam zamanında yapılmasını sağlayarak ekipmanın ömrünü en üst düzeye çıkarıyor. Telemetri verileri yalnızca anormallik tespiti için değil, aynı zamanda tahmine dayalı bakım, yazılım tabanlı sensörler ve diğer uygulamalar için eyleme dönüştürülebilir içgörülerin kaynağı haline geliyor. 

Kaspersky MLAD kullanmak, arızaya bağlı üretim kayıplarında ve onarım maliyetlerinde %50 azalmanın yanı sıra daha uzun ekipman ömrü, iyileştirilmiş ürün çıktısı veya kalitesi sunuyor. Kaspersky MLAD, günün sonunda makine verilerini tesisin güvenliğine ve ekonomik faydaya dönüştürüyor.

Maxim Mamaev

Anormalliklerin Tespiti için Kaspersky Makine Öğrenmesi Birimi Kıdemli Çözüm Mimarı 

 

Bu yazı ilk kez Campaign Türkiye’nin 125. sayısında yayımlanmıştır.