Kritik Altyapıların Siber Güvenliği

Merhabalar, Sizlere Türkiye’de henüz çok yaygın olmayan fakat adı gibi kritik bir husustan bahsedeceğim. Kritik altyapı kavramı çok eski olmamasına karşın kritik altyapıların teknolojinin gelişimiyle beraber haberleşmelerini  ve işlemlerini bilgisayar ağları üzerinden ya da bilgisayar destekli olarak gerçekleştirmesiyle beraber kritik altyapılar siber tehditlere açık hale gelmiş ve yaşanan vakalarla beraber kritik altyapıların siber güvenliği kavramı doğmuştur. Bu yazıda; kritik altyapı kavramının tanımını ve kritik altyapıların neler olduğunu, kritik altyapıların güvenliğinin standart bilgi ve iletişim güvenliğinden farklarını ve kritik altyapıların siber saldırılara hassas taraflarından bahsedeceğiz.

Kritik altyapı kavramı Türkiye’nin “2016-2019 Ulusal Siber Güvenlik Stratejisi” dokümanında şu şeklilde tanımlanmıştır:

İşlediği bilgi/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda,

– Can kaybına,
– Büyük ölçekli ekonomik zarara,
– Ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapılardır.

Türkiye’de kritik altyapılar; enerji, ulaştırma, su yönetimi (barajlar), haberleşme, bankacılık ve finans, tarım ve gıda, kültür ve turizm, kritik üretim ticari tesisler, kritik kamu hizmetleri ve sağlık olarak tanımlanmıştır.

Böylesine kritik altyapıların korunması ve güvenliği, ulusal güvenlik açısından da kritik öneme haizdir. Dünya üzerinde kritik altyapıların siber güvenliğine yönelik aydınlanmanın 2007’de Estonya’da bankaları hedef alan siber saldırılar ile yaşandığı söylenebilir. Estonya’da Rus varlığını hatırlatan bronz bir heykelin kaldırılmasından sonra 2 haftadan uzun süre ile bankacılık ve finans hizmetleri sekteye uğramış milyonlarca dolar kayıp yaşamıştır. Siz de kendinizin 2 hafta süre ile hiçbir bankacılık işlemi yapamadığınızı bir düşünün. Para çekemiyorsunuz, POS cihazları çalışmıyor, kredi işlemi yapamıyorsunuz, para aktaramıyorsunuz hatta bankacılık sistemlerinin tekrar erişilebilir olmasından sonra hesaplarınızın aynı şekilde kalacağının dahi bir garantisi yok. Bununla beraber bu durumu sadece şahsi açıdan değil bir de önce küçük ve orta boy işletmeler ve sonrasında büyük kurumsal firma ve şirketler açısından düşünün, 2 hafta boyunca hiçbir bankacılık işlemi gerçekleştiremediklerini. Olayın vahametini biraz daha anlayabildik sanırım. Aynı senaryolar elektrik, su, ulaşım ve sağlık hizmetlerinde de meydana gelebilir. Bu yüzden kritik altyapıların siber güvenliği bir ulusal güvenlik meselesidir.

Peki neden kritik altyapıların siber güvenliği geçmişte bir mesele değilken bugün artık bir ulusal güvenlik meselesidir? Bunu elektrik şebekeleri üzerinde yaşanan gelişmelerden yola çıkarak anlatalım.

 

Görüldüğü gibi günümüzde elektrik şebekelerine ait iletişim altyapısı üretim tesisleri, iletim ve dağıtım kontrol merkezleri arasındadır. Gelecekte ise iletişim altyapısı servis sağlayıcı ile beraber son kullanıcıya kadar ulaşmış olacaktır. Yani karikatürize edecek olursak evimizdeki sayaç merkezi olarak kontrol edilebilmekte, fatura ödenmediğinde sayaçlar merkezi olarak kapatılabilmektedir. Kritik altyapılara ait tüm alanlarda elektrik şebekelerinde yaşananlara benzer gelişmeler yaşanmaktadır. Kritik altyapılarda gerçekleşen bu değişim sonucu söz konusu altyapılar siber tehditlere daha hassas duruma gelmiştir.

Birçok ülke kritik altyapılarını yenilemek ve “akıllı” hale getirmek için büyük yatırımlar yapmakta ve bu maksatla büyük miktarda bütçe ve kaynak ayırmaktadırlar. Örneğin, İtalya mevcut şebekeye akıllı şebeke özelliklerinin kazandırılması ve güney İtalya şebekesinin iyileştirilmesi için 200 milyon Euro tutarında bir bütçe ayrılmıştır. Japonya ise 2020 yılına kadar güneş enerjisi sistemleri bulunduran bir akıllı şebeke altyapısı geliştirmek için 100 milyon dolarlık bir yatırım yapmıştır. Güney Kore hükümeti, sanayi işbirliğiyle Jeju adasındaki bir pilot programa 65 milyon dolar katkıda bulunmuştur. Bu pilot projede, 6000 ev için tam bir akıllı şebeke sistemi tasarlanmıştır. Kore, 2030 yılında bütün şebekesini akıllı şebekeye dönüştürmeyi planlamaktadır. Almanya, Fransa, İngiltere ve Avustralya da konuyla alakalı projeleri ve yatırımları bulunan diğer ülkelerdir.

Biraz da kritik altyapılardaki bilgi güvenliğinin neden standart bilgi ve iletişim teknolojilerinden farklı olduğunu anlatalım. Bildiğimiz gibi bilgi güvenliğinin temel unsurları gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirlik (availability)’tir. Bu sıra söz konusu kritik altyapılar ve endüstriyel kontrol sistemlerinin (EKS) bilgi güvenliği olduğunda tersten işlemektedir. Bu arada hemen bir parantez açalım, bir sonraki yazımızda hem EKS/SCADA güvenliğinden hem de kritik altyapılarla olan ilişkisinden bahsedeceğiz. Kaldığımız yerden devam edelim, kritik altyapılarda ve EKS’de en önemli öncelik erişilebilirliktir. Çünkü kritik altyapılarda ve endüstriyel kontrol sistemlerinde süreçlerin yürütülmesi ve operasyonların devamlılığı en yüksek önceliğe sahiptir. Bu alanlardaki işlemlerin büyük bölümünü zaman-kritik işlemler oluşturmaktadır. Çoğu zaman saniyelerin bile büyük önemi vardır. Kritik bir üretim tesisindeki bantlardan birinin iletişim sorunundan dolayı 10 dakika durduğunu düşünün. Bu bütün tesisin iş yapamaz hale gelmesine sebep olacaktır. Sorun giderilse bile herşeyin eski düzende yerine oturması, zararın kapatılması meydana gelen sıkıntıdan çok daha uzun bir süreye mal olacaktır.

Tabi kritik altyapılara destek veren ya da kritik altyapıları oluşturan bilgi sistemlerinin zaman açısından bu kadar hassas olması bu sistemlerin en çok hizmet dışı bırakma (DoS, Denial of Service) saldırılarına karşı savunmasız duruma getirmiştir.

Geçmişte kritik altyapıları ve EKS’lerini oluşturan sistemler için altyapı ve tesis sahiplerinin en büyük savı bu sistemlerin kapalı, izole bir yapıda olması ve bağımsız bir yerel alan ağı konumunda bulunmaları sebebiyle dış tehditlere maruz kalmayacağı ve siber saldırılara karşı hassas olmadığı yönündeydi. 2010 yılında yaşanan Stuxnet vakasında kapalı bir ağa bir flash bellek/USB aracılığıyla sızılması, İran’ın nükleer programının milyonlarca dolar zarara uğraması, birçok  santrifüjünün devre dışı kalması sonucu kapalı ağların da en az diğer ağlar kadar hassas olduğu görülmüş oldu. Dahası günümüzde kritik altyapıları oluşturan ya da destek veren bilgisayar ağları da bir çok noktada geniş alan ya da İnternet ile bağlantı sağlamaktadır. Bununla beraber insanın olduğu her yerde mutlaka zaafiyet de vardır. Dünya üzerinde meydana gelen siber saldırılarda kullanılan atak vektörleri açısından kullanıcı hatalarını sömürme (oltalama, sosyal mühendislik vb.) hala en üst sıralardadır. Aşağıda ABD’nin ulusal bilgi teknolojileri dergisi Government Technologies’in verilerine göre  kritik altyapı sahipleri ve operatörleri tarafından en çok karşılaşılan siber saldırı vektörleri sunulmuştur. Sırasıyla; oltalama, yamanmamış açıklıklar, dağıtık hizmet dışı bırakma saldırısı, SQL zerki, XSS (cross site scripting), hacktivist-kaynaklı saldırılar ve APT’ler olarak değerlendirilmiştir.

Sonuç olarak baktığımızda biz artık kritik altyapıları oluşturan ya da kritik altyapılara destek veren bilgi sistemlerinin güvenliğini artan birçok sayıdaki siber atağa maruz kalabilen dış dünyaya da açık bir sistemin güvenliği olarak görüyoruz. Eğer ne ile karşı karşıya olduğumuzu bilmezsek neye karşı savunacağımızı da bilemeyiz. Bir sonraki yazımızda EKS/SCADA güvenliğinden bahsettikten sonra EKS/SCADA sistemleri üzerinde yapılabilecek bir siber saldırıyı anlatmaya ve göstermeye çalışacağız. Görüşmek üzere…

Bilgi Sitemleri Planlama ve Yönetimi, Ağ Yöneticisi, CCNA R&S, Siber Güvenlik İlgilisi ve Araştırmacısı.