Özet:
Siber tehlikeler, günümüzde doğal
afetler etkilidir. Kritik altyapılara gerçekleştirilecek siber saldırılar ülke
genelinde büyük sorunlara neden olabilmektedir. Ülkemizde oluşabilecek tüm
tehdit ve tehlikeler göz önüne alınarak, Yapılacak müdahale çalışmalarının
etkin bir şekilde yürütülmesi ile Kritik altyapı varlık ve tesisleri için, gerekli
tedbirlerin alınması gerekmektedir. Bu bağlamda içerik gerekli konuları
içermektedir.
Tanımlar:
Kritik Altyapı; İşlediği
bilginin bütünlüğü, gizliliği veya erişilebilirliği bozulduğunda, Can kaybına
veya büyük ölçekli ekonomik zarara, ulusal güvenlik açıklarına veya kamu
düzeninin bozulmasına yol açabilecek bilişim veya endüstriyel kontrol
sistemlerini barındıran Sistemlerdir.
İşlevini
kısmen veya tamamen yerine getiremediğinde toplumsal düzenin, çevrenin ve kamu
hizmetlerinin yürütülmesinin olumsuz etkilenmesine sebep olan, vatandaşların sağlık,
güvenlik ve ekonomisi üzerinde ciddi etkiler oluşturacak ağ, varlık, sistem ve yapıların
bütünüdür.
Tehdit: Bir kurumun veya sistemin zarar görmesi ile
sonuçlanabilecek istenmeyen bir olayın potansiyelidir.
Risk: Tehditlerin bir veya birden çok bilgi varlığındaki açıklığı
kullanarak zarar yaratma potansiyelidir.
Bilişim sistemleri: Bilgi ve iletişim teknolojileri vasıtasıyla
sağlanan her türlü hizmetin, işlem, bilgi/verinin sunumunda yer alan sistemlerdir.
Endüstriyel Kontrol Sistemleri: Geleneksel bilişim teknolojileri
dışında, programlanabilir mantıksal denetleyiciler aracılığı ile üretim, ürün
işleme ve dağıtım kontrolleri gibi endüstriyel işlemler için kullanılan, SCADA
(Supervisory Control and Data Acquisition) ve Dağınık Kontrol Sistemleri şeklinde
gruplanan bilgi sistemleridir.
Siber uzay: Tüm dünyaya ve uzaya yayılmış durumda bulunan bilişim
sistemlerinden ve bunları birbirine bağlayan ağlardan oluşan veya bağımsız
bilgi sistemlerinden oluşan sayısal ortamdır.
Kamu bilişim sistemleri: Türkiye Cumhuriyeti kamu kurum ve
kuruluşlarına ait olan ve/veya kamu kurum ve kuruluşları tarafından işletilen
bilişim sistemlerini ifade eder.
Gerçek ve tüzel kişilere ait bilişim sistemleri: Türkiye
Cumhuriyeti kanunlarına tabi olarak gerçek ve tüzel kişilere ait olan ve/veya
gerçek ve tüzel kişilerce işletilen bilişim sistemlerini ifade eder.
Ulusal siber uzay: Kamu bilişim sistemleri ile gerçek ve tüzel
kişilerce işletilen/kullanılan bilişim sistemlerinden oluşan ortamıdır.
Gizlilik: Bilginin yetkisiz kişiler, varlıklar ya da süreçlere
kullanılabilir yapılmama ya da açıklanmama özelliğidir.,
Bütünlük: Varlıkların doğruluğunu ve tamlığını koruma özelliğini
ifade eder.
Erişilebilirlik: Yetkili bir varlık tarafından talep edildiğinde
erişilebilir ve kullanılabilir olma özelliğini ifade eder.
Kurum: Kamu
kurumları ve kritik altyapı işleten kamu ya da özel sektör kuruluşlarını,
Siber
olay: Bilişim ve endüstriyel kontrol sistemlerinin veya bu sistemler
tarafından işlenen bilgi/verinin gizlilik, bütünlük veya erişilebilirliğinin
ihlal edilmesini veya teşebbüste bulunulmasını,
Siber
saldırı: Ulusal siber uzayda bulunan bilişim sistemlerinin gizlilik,
bütünlük veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın her
hangi bir yerindeki kişi ve/ veya bilişim sistemleri tarafından kasıtlı olarak
yapılan işlemleri,
Siber
güvenlik: Siber uzayı oluşturan bilişim sistemlerinin saldırılardan
korunmasını, bu ortamda işlenen bilgi/verinin gizlilik, bütünlük ve
erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber güvenlik
olaylarının tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının
devreye alınmasını ve sonrasında ise sistemlerin yaşanan siber güvenlik olayı
öncesi durumlarına geri döndürülmesini,
Ulusal
siber güvenlik: Ulusal siber uzayı oluşturan bilgi ve iletişim teknolojileri
vasıtasıyla sağlanan her türlü hizmet, işlem, bilgi-verinin ve bunların
sunumunda yer alan donanım ve yazılım sistemlerinin ulusal ölçekte sağlanan
siber güvenliğini, ifade eder.
Kritik hizmet ve Kritik
altyapılar: Verilememesi halinde; Can kaybına, Büyük ölçekli
ekonomik zarara ve Ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına
yol açabilecek hizmetleridir.
Kritik
altyapı sektörleri: 20/06/2013 tarih, 2 sayılı Siber Güvenlik
Kurulu kararı uyarınca kritik altyapıları barındırmakta olan “Elektronik
Haberleşme”, “Enerji”, “Su Yönetimi”, “Kritik Kamu Hizmetleri”, “Ulaştırma” ve
“Bankacılık ve Finans” sektörlerini, ifade eder.
Öneri:
Kritik altyapıların güvenliğinin aktif ve güncel
tutulabilmesi için en önemli unsurlardan birisi de, dâhilin de yer alan
açıklıkların tespit edilerek en kısa zamanda problemlerin giderilmesidir. Bu
durum ise Sızma Testi olarak bilinen test faktörünün belirli aralıklarla kritik
altyapıya, kurum ve firmalara kontrollü saldırı uygulanması ile sağlanmaktadır.
Kritik Altyapıların Güvenliği Açısından Sızma Testleri:
Kritik altyapıların
güvenliğinin sağlanması konusunda alınan tedbirlerin nitelikleri önemli olduğu
gibi, bu alınan tedbirlerin etkinliğinin güncel tutulması da oldukça önemlidir.
Gerek firmalar gerekse kurumlar bu alandaki güvenlik önlemlerinin tespitini
yapmak için sızma testlerini uygulatmaktadırlar. Bu testler ile mümkün olduğu
kadar gerçek hayatta karşılaşılabilecek saldırıların modellenerek ilgili kurum
veya firmaya gerçekleştirilmesi sağlanır.
Kritik altyapıların
güvenliğinin sağlanmasında farklı bir bakış açısıyla kontrol edilerek raporlanması
kurum veya firmalarının güvenliği konusunda kendilerini iyi hissetmelerine
katkı sağlar. Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) tarafından Bilişim
sistemlerine yönelik siber ortamda gerçekleştirilebilecek saldırıların da değişim
göstermesinden dolayı 2011 yılında 4022 sayılı BDDK kararı ile sızma
testlerinin belirli aralıklarla yapılması zorunlu hale getirilmiştir.
Sızma Test Kategorileri:
Sızma testleri uygulanış
biçimlerine göre üçe ayrılmaktadır.
1-
Kapalı
Kutu Sızma Testleri:
Kapalı kutu sızma test
yönteminde testleri yapan kurumla her hangi bir bilgi paylaşılmaz. Şirket
firmaya ait sistemlerin domainleri üzerinden test gerçekleştirilir. Burada
şirket firmaya ilişkin maksimum bilgi edinmeyi amaç edinir ve bulduğu tüm açıklıkları
değerlendirmeye çalışır.
2-
Açık
Kutu Sızma Testleri:
Açık kutu sızma test
yönteminde firma maksimum seviyede şirkete kendisine ilişkin bilgileri verir,
sızma testi yapanlar bu kategoride firmaya ilişkin bilgilere baştan
ulaştığından, firma üzerinde bu bilgiler ışığında testler uygulanır. Burada
amaç firmada önceden çalışan bir şahsın firmaya hangi zararları verebileceği
ölçülür.
3-
Zafiyet
Değerlendirme Testleri:
Burada testi uygulayanlar tüm
enerjilerini açıklık tespiti yapma üzerine harcarlar. Bu kategoride konuya
ilişkin özel programlar kullanılır. Firma içinde kısıtlı yetkiye sahip
kişilerin firmaya ne kadar zarar verebilecekleri ölçülür.
Raporlama süreci hakkında:
Sızma testi uygulamasında en
önemli basamak raporlama sürecidir. Çünkü testi yaptıran firmanın bu uygulama
sonucunda elde edeceği en önemli ürün faaliyet sonucunda düzenlenen rapordur.
Düzenlenen raporun çok kapsamlı ve itina ile hazırlanması gerekmektedir. Bir
başka önemli unsur ise raporun firma yetkilisine şifreli bir şekilde teslim
edilmesi gerekir. Hiç şüphesiz o rapor söz konusu firma için “GİZLİ” bilgileri
ihtiva eden bir doküman hükmündedir. Genellikle testi yapan kuruluş veya
firmalar test sonucunda iki adet rapor düzenlemektedirler. Bunlardan birisi
“Teknik Sonuç Raporu” diğeri ise “ Yönetimsel Sonuç Raporudur. Birinci raporda
teste ilişkin teknik detaylar ayrıntılı olarak belirtilirken, ikinci raporda
yöneticilere hitaben teknik detaylara girmeden yüzeysel olarak çözüm
önerilerinden
Bahsedilmektedir.
Firma ise bu sonuç raporunu
güvenlik önlemleri alınmış ortamlarda saklaması gerekmektedir. Bu bilgilerin
yetkisiz kişilerin eline geçmesi durumunda firmaya tahmin edilenden daha fazla
zarar verebileceği akıldan çıkarılmamalıdır. Yapılan test sonuçlarının ardından
düzenlenen rapor ışığında alınması gereken önlemlerin bir an önce yerine getirilmesi
ve açıklıkların kapatılması ayrı bir öneme sahiptir. Tespit edilen
eksikliklerin giderilmediği düşünüldüğünde yapılan bu uygulamaların hiçbir
önemi bulunmamaktadır.
Kritik
altyapı kontrol sistemlerinin belirli özellikleri:
·
Çoğunlukla belirli bir sektör veya
organizasyon için özgün olarak tasarlanmışlardır.
·
Sistem yazılımlarının fikri mülkiyet hakları
üst seviyede korunur ve genellikle az sayıda uzman erişebilir.
·
Kritik seviyede işlemleri yönettikleri için
aksaması durumunda ani reaksiyonlar meydana gelir. Yeterince hızlı şekilde
çözümlenemezse sonuçları yıkıcı olabilir.
Kritik
Altyapı Hizmetlerinin Yürütülmesinde Kullanılan Kontrol Sistemleri
* Endüstriyel Kontrol Sistemleri (Industrial
Control Systems – ICS)
· * SCADA sistemleri (Supervisory Control and Data
Acquisition – Nezaret Kontrolü ve Veri Toplama Sistemi)
(Günümüzde elektrik endüstrisi daha merkezi
ve üretici kontrolüne dayalı bir ağdan oluşmaktadır. Bu ağın dağıtık ve
tüketici tabanlı dönüşümü “Akıllı Şebeke” (Smart Grid) olarak adlandırılıyor.
SCADA sisteminin temel işlevi, ilgili sistemleri izlemek ve
denetlemektir. Ek işlev olarak hata tespiti, ekipman yalıtımı ve restorasyonu,
yük ve enerji idaresi, otomatik sayaç okuma ve trafo kontrolüdür.
SCADA, anlık yerel ve coğrafi olarak dağıtık işlemleri ölçtükten sonra
raporlayan birbirinden bağımsız sistemler
topluluğudur. Kullanıcıya uzak tesislere komut göndermeye ve veri
çekmeye olanak sağlayan telemetri ve veri toplama kombinasyonudur.
SCADA sisteminin temel bileşenleri olan MTU (Master Terminal Unit)
ile RTU (Remote Terminal Unit) ve haberleşme ağı gösterilmiştir.
Kritik
Altyapılarda Güvenlik seviyeleri;
Siber
saldırılara maruz kalması durumunda ortaya çıkan durumlar;
Siber
saldırı çeşitleri ve olası etkileri;
Dünya
genelinde, Kritik Altyapılara Uygulanan Siber Saldırılar:
·
Sibirya Doğalgaz Patlaması-1982
·
Irak-1990
·
Ay Işığı Labirenti-1998
·
NATO Kosova Krizi -1999
·
Irak -2003
·
Suriye-İsrail Gerginliği -2007
·
Estonya Siber Savaşı – 2007
·
Gürcistan Siber Savaşı – 2008
·
Kırgızistan Olayları -2009
·
Mavi Marmara Saldırısı 2010
·
OpIsrael Operasyonu 2012-2013
Öneriler:
· Stratejik planların ve bağlı eylem planlarının
hayata geçirilmesi için gerçekçi tarihler ve ölçüm kriterleri belirlenmeli ve
bunlar üzerinden mutlaka müeyyideler belirlenmelidir. Takip, kontrol ve raporlama
süreçlerinde kullanılacak güvenli yöntemler devreye alınmalı paylaşılacak
verilerin güvenliği garanti edilmelidir.
·
Yetişmiş insan kaynağına sahip olunmadan
sistemin işletilmesi mümkün değildir. Bu amaçla USOM ’da bizzat istihdam
edilecek kaynakların yanında özel durumlarda aktif görev alacak yetişmiş insan
kaynakları ile özel sözleşmeler, devlet adına görevlendirmeler ve gönüllülük esası
ile aktif irtibat kurulmalıdır. Bu çalışmanın ilk adımı olarak yetişmiş insan
kaynağının tespiti amacıyla Envanter çalışması yapılmalı ve sonuçlar kolluk kuvvetleri
ve istihbarat birimlerince filtrelenmelidir.
·
USOM uhdesinde yürütülen SOME ‘ler, daha çok
ihlal olaylarını koordine etmek üzere tasarlanmış ve bunun
Dokümantasyonunu
hedeflemiştir. İhlal yönetiminden daha kapsamlı olmak üzere “Bilgi Güvenliği Koordinasyon
Merkezi” başta olmak üzere yönetim sistemlerindeki boşluk verilerinin de USOM
benzeri bir merkeze akması, merkezden yönetilebilmelidir. Bu risk analizlerini
de daha anlamlı kılacaktır.
·
Danışmanlık, Analiz Test ve Belgelendirme
benzeri hizmetleri veren kurum, kişi ve kuruluşların ulaştığı kritik bilgileri
ve anonim verilerin bir merkezde toplanması sağlanmalıdır. Hizmet veren kuruluş
ve kişilerin ilgili verilerden faydalanabileceği bir özellikte olmalıdır.
·
Alternatif ağlar kurulmalı; İnternet üzerinden
gelebilecek saldırılar, tehditler bu servislerin kesilmesine neden
olabilecektir. Bu saldırılardan korunabilmek ya da en azından etkisini
azaltabilmek için, kamu kurumlarının sadece karşılıklı haberleşme, bilişim
servislerinden faydalanma amacıyla özel ağlar kurmaları internet alt yapısında
olabilecek olası kesinti yavaşlamalardan devlet hizmetlerinin kesintisiz bir
şekilde çalışmalarına imkân oluşturabilecektir.
·
Kamu Entegre Veri Merkezleri kurulmalı; Fiziksel
güvenlik katmanından, ağ, uygulama ve bilgi güvenliği gibi değişik katmanlarda
güvenlik kurgulanarak kamu kurumlarının en üst seviyede güvenlik hizmeti aldığı
garanti altına alınmalıdır. Kamu bütünleşmiş veri merkezlerinin kamu kurumları
arasındaki alternatif ağların merkezinde olması da bu güvenliği bir kat daha
arttıracaktır. Kamu entegre veri merkezleri tasarlanırken dağıtık yapıda
tasarlanmalı ve bu merkezlerde çalışacak uygulamalarında dağıtık yapıda
çalışabilir olması sağlanmalıdır. Bu veri merkezlerinden herhangi birisinde
olabilecek kalıcı veya süreli, tam veya kısmi kesintilerinin etkisi bu dağıtık
mimariden dolayı azaltılabilecektir.
·
Ülkemiz dışındaki siber savaşların ülkemizin
altyapısını ve cihazlarını kullanmaması için ülkemizin siber sınırlarını
koruyucu tedbirler alınmalıdır. Farkındalığı arttırmak, yeni yatırımlar veya trafiği
koruma tedbirleri ile sınırlar korunabilir.
·
Bilişim firmalarının vizyonunu geliştirici
etkinlikler planlanmalıdır.
Sonuç;
Bilgi güvenliğinin bileşenlerinden, Gizlilik,
Bütünlük ve Erişilebilirlik prensipleridir. Ulusal nitelikte zafiyetler
oluşturabilecek Operasyonel Teknolojiler alanında yetenekler geliştirmek, mevcut
alt yapıların güvenlik sıkılaştırmalarını yapmak, olası siber olayların
etkileri azaltmak üzere müdahale süreçlerine yönelik azami iyileştirme ve
önlemler sağlamak günümüzde artık bir zorunluluktur. Endüstriyel kontrol
sistemleri, milli kritik altyapı varlıklarımızın en kıymetli ve en hassas
noktalarıdır. Korumak ise bir vatan borcudur.
Kaynaklar:
[1]http://hgm.ubak.gov.tr/Content/UploadedFile/Kritik%20Bilgi%20Sistem%20Altyap%C4%B1lar%C4%B1%20%C4%B0%C3%A7in%20Asgari%20G%C3%BCvenlik%20%C3%96nlemleri&&6445b90e-b2ad-4e5e-9c13-6ae19ba10e37.pdf
[2]https://www.afad.gov.tr/upload/Node/3910/xfiles/kritikaltyapi-son.pdf
[3]http://www.udhb.gov.tr/doc/siberg/2016-2019guvenlik.pdf
[4]http://afyonluoglu.org/PublicWebFiles/Reports-TR/Akademi/2015-Kritik%20altyap%C4%B1lar%C4%B1n%20korunmas%C4%B1na%20ili%C5%9Fkin%20belirlenen%20siber%20g%C3%BCvenlik%20stratejileri.pdf
[5]https://www.afad.gov.tr/upload/Node/3910/xfiles/kritikaltyapi-son.pdf
[6]https://www.bilgiguvenligi.org.tr/kritik-enerji-altyapilarinin-korunmasi-ve-siber-guvenlik-sempozyumu-sonuc-bildirgesi
[7]http://www.bilisiminovasyon.org.tr/webfiles/userfiles/files/siber_guvenlik_raporu.pdf
[8]http://afyonluoglu.org/PublicWebFiles/Reports-TR/Akademi/2015-Siber%20g%C3%BCvenlik%20kapsam%C4%B1nda%20kritik%20altyap%C4%B1lar%C4%B1n%20korunmas%C4%B1n%C4%B1n%20%C3%B6nemi.pdf
[9]https://thinktech.stm.com.tr/uploads/raporlar/pdf/811201816259139_stm_siber_tehdit_durum_raporu_temmuz_eylul.pdf
[10] https://core.ac.uk/download/pdf/51099850.pdf