Kritik Altyapılar ve Güvenliği


Özet:
Siber tehlikeler, günümüzde doğal afetler etkilidir. Kritik altyapılara gerçekleştirilecek siber saldırılar ülke genelinde büyük sorunlara neden olabilmektedir. Ülkemizde oluşabilecek tüm tehdit ve tehlikeler göz önüne alınarak, Yapılacak müdahale çalışmalarının etkin bir şekilde yürütülmesi ile Kritik altyapı varlık ve tesisleri için, gerekli tedbirlerin alınması gerekmektedir. Bu bağlamda içerik gerekli konuları içermektedir.

Tanımlar:
Kritik Altyapı; İşlediği bilginin bütünlüğü, gizliliği veya erişilebilirliği bozulduğunda, Can kaybına veya büyük ölçekli ekonomik zarara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim veya endüstriyel kontrol sistemlerini barındıran Sistemlerdir.

İşlevini kısmen veya tamamen yerine getiremediğinde toplumsal düzenin, çevrenin ve kamu hizmetlerinin yürütülmesinin olumsuz etkilenmesine sebep olan, vatandaşların sağlık, güvenlik ve ekonomisi üzerinde ciddi etkiler oluşturacak ağ, varlık, sistem ve yapıların bütünüdür.

Tehdit: Bir kurumun veya sistemin zarar görmesi ile sonuçlanabilecek istenmeyen bir olayın potansiyelidir.

Risk: Tehditlerin bir veya birden çok bilgi varlığındaki açıklığı kullanarak zarar yaratma potansiyelidir.

Bilişim sistemleri: Bilgi ve iletişim teknolojileri vasıtasıyla sağlanan her türlü hizmetin, işlem, bilgi/verinin sunumunda yer alan sistemlerdir.

Endüstriyel Kontrol Sistemleri: Geleneksel bilişim teknolojileri dışında, programlanabilir mantıksal denetleyiciler aracılığı ile üretim, ürün işleme ve dağıtım kontrolleri gibi endüstriyel işlemler için kullanılan, SCADA (Supervisory Control and Data Acquisition) ve Dağınık Kontrol Sistemleri şeklinde gruplanan bilgi sistemleridir.

Siber uzay: Tüm dünyaya ve uzaya yayılmış durumda bulunan bilişim sistemlerinden ve bunları birbirine bağlayan ağlardan oluşan veya bağımsız bilgi sistemlerinden oluşan sayısal ortamdır.

Kamu bilişim sistemleri: Türkiye Cumhuriyeti kamu kurum ve kuruluşlarına ait olan ve/veya kamu kurum ve kuruluşları tarafından işletilen bilişim sistemlerini ifade eder.

Gerçek ve tüzel kişilere ait bilişim sistemleri: Türkiye Cumhuriyeti kanunlarına tabi olarak gerçek ve tüzel kişilere ait olan ve/veya gerçek ve tüzel kişilerce işletilen bilişim sistemlerini ifade eder.

Ulusal siber uzay: Kamu bilişim sistemleri ile gerçek ve tüzel kişilerce işletilen/kullanılan bilişim sistemlerinden oluşan ortamıdır.

Gizlilik: Bilginin yetkisiz kişiler, varlıklar ya da süreçlere kullanılabilir yapılmama ya da açıklanmama özelliğidir.,

Bütünlük: Varlıkların doğruluğunu ve tamlığını koruma özelliğini ifade eder.

Erişilebilirlik: Yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğini ifade eder.

Kurum: Kamu kurumları ve kritik altyapı işleten kamu ya da özel sektör kuruluşlarını,

Siber olay: Bilişim ve endüstriyel kontrol sistemlerinin veya bu sistemler tarafından işlenen bilgi/verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesini veya teşebbüste bulunulmasını,

Siber saldırı: Ulusal siber uzayda bulunan bilişim sistemlerinin gizlilik, bütünlük veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın her hangi bir yerindeki kişi ve/ veya bilişim sistemleri tarafından kasıtlı olarak yapılan işlemleri,

Siber güvenlik: Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen bilgi/verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber güvenlik olaylarının tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının devreye alınmasını ve sonrasında ise sistemlerin yaşanan siber güvenlik olayı öncesi durumlarına geri döndürülmesini,

Ulusal siber güvenlik: Ulusal siber uzayı oluşturan bilgi ve iletişim teknolojileri vasıtasıyla sağlanan her türlü hizmet, işlem, bilgi-verinin ve bunların sunumunda yer alan donanım ve yazılım sistemlerinin ulusal ölçekte sağlanan siber güvenliğini, ifade eder.

Kritik hizmet ve Kritik altyapılar: Verilememesi halinde; Can kaybına, Büyük ölçekli ekonomik zarara ve Ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek hizmetleridir.

Kritik altyapı sektörleri: 20/06/2013 tarih, 2 sayılı Siber Güvenlik Kurulu kararı uyarınca kritik altyapıları barındırmakta olan “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Kritik Kamu Hizmetleri”, “Ulaştırma” ve “Bankacılık ve Finans” sektörlerini, ifade eder.

Öneri:
Kritik altyapıların güvenliğinin aktif ve güncel tutulabilmesi için en önemli unsurlardan birisi de, dâhilin de yer alan açıklıkların tespit edilerek en kısa zamanda problemlerin giderilmesidir. Bu durum ise Sızma Testi olarak bilinen test faktörünün belirli aralıklarla kritik altyapıya, kurum ve firmalara kontrollü saldırı uygulanması ile sağlanmaktadır.

Kritik Altyapıların Güvenliği Açısından Sızma Testleri:
Kritik altyapıların güvenliğinin sağlanması konusunda alınan tedbirlerin nitelikleri önemli olduğu gibi, bu alınan tedbirlerin etkinliğinin güncel tutulması da oldukça önemlidir. Gerek firmalar gerekse kurumlar bu alandaki güvenlik önlemlerinin tespitini yapmak için sızma testlerini uygulatmaktadırlar. Bu testler ile mümkün olduğu kadar gerçek hayatta karşılaşılabilecek saldırıların modellenerek ilgili kurum veya firmaya gerçekleştirilmesi sağlanır.

Kritik altyapıların güvenliğinin sağlanmasında farklı bir bakış açısıyla kontrol edilerek raporlanması kurum veya firmalarının güvenliği konusunda kendilerini iyi hissetmelerine katkı sağlar. Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) tarafından Bilişim sistemlerine yönelik siber ortamda gerçekleştirilebilecek saldırıların da değişim göstermesinden dolayı 2011 yılında 4022 sayılı BDDK kararı ile sızma testlerinin belirli aralıklarla yapılması zorunlu hale getirilmiştir.

Sızma Test Kategorileri:
Sızma testleri uygulanış biçimlerine göre üçe ayrılmaktadır.
1-     Kapalı Kutu Sızma Testleri:
Kapalı kutu sızma test yönteminde testleri yapan kurumla her hangi bir bilgi paylaşılmaz. Şirket firmaya ait sistemlerin domainleri üzerinden test gerçekleştirilir. Burada şirket firmaya ilişkin maksimum bilgi edinmeyi amaç edinir ve bulduğu tüm açıklıkları değerlendirmeye çalışır.

2-     Açık Kutu Sızma Testleri:
Açık kutu sızma test yönteminde firma maksimum seviyede şirkete kendisine ilişkin bilgileri verir, sızma testi yapanlar bu kategoride firmaya ilişkin bilgilere baştan ulaştığından, firma üzerinde bu bilgiler ışığında testler uygulanır. Burada amaç firmada önceden çalışan bir şahsın firmaya hangi zararları verebileceği ölçülür.

3-     Zafiyet Değerlendirme Testleri:
Burada testi uygulayanlar tüm enerjilerini açıklık tespiti yapma üzerine harcarlar. Bu kategoride konuya ilişkin özel programlar kullanılır. Firma içinde kısıtlı yetkiye sahip kişilerin firmaya ne kadar zarar verebilecekleri ölçülür.

Sızma testleri yapılırken uygulanacak faaliyet alanları:


Sızma Testinin Uygulanmasında Takip Edilecek Adımlar:


Raporlama süreci hakkında:
Sızma testi uygulamasında en önemli basamak raporlama sürecidir. Çünkü testi yaptıran firmanın bu uygulama sonucunda elde edeceği en önemli ürün faaliyet sonucunda düzenlenen rapordur. Düzenlenen raporun çok kapsamlı ve itina ile hazırlanması gerekmektedir. Bir başka önemli unsur ise raporun firma yetkilisine şifreli bir şekilde teslim edilmesi gerekir. Hiç şüphesiz o rapor söz konusu firma için “GİZLİ” bilgileri ihtiva eden bir doküman hükmündedir. Genellikle testi yapan kuruluş veya firmalar test sonucunda iki adet rapor düzenlemektedirler. Bunlardan birisi “Teknik Sonuç Raporu” diğeri ise “ Yönetimsel Sonuç Raporudur. Birinci raporda teste ilişkin teknik detaylar ayrıntılı olarak belirtilirken, ikinci raporda yöneticilere hitaben teknik detaylara girmeden yüzeysel olarak çözüm önerilerinden
Bahsedilmektedir.

Firma ise bu sonuç raporunu güvenlik önlemleri alınmış ortamlarda saklaması gerekmektedir. Bu bilgilerin yetkisiz kişilerin eline geçmesi durumunda firmaya tahmin edilenden daha fazla zarar verebileceği akıldan çıkarılmamalıdır. Yapılan test sonuçlarının ardından düzenlenen rapor ışığında alınması gereken önlemlerin bir an önce yerine getirilmesi ve açıklıkların kapatılması ayrı bir öneme sahiptir. Tespit edilen eksikliklerin giderilmediği düşünüldüğünde yapılan bu uygulamaların hiçbir önemi bulunmamaktadır.

Kritik altyapı kontrol sistemlerinin belirli özellikleri:
·        Çoğunlukla belirli bir sektör veya organizasyon için özgün olarak tasarlanmışlardır.
·        Sistem yazılımlarının fikri mülkiyet hakları üst seviyede korunur ve genellikle az sayıda uzman erişebilir.
·        Kritik seviyede işlemleri yönettikleri için aksaması durumunda ani reaksiyonlar meydana gelir. Yeterince hızlı şekilde çözümlenemezse sonuçları yıkıcı olabilir.

Kritik Altyapı Hizmetlerinin Yürütülmesinde Kullanılan Kontrol Sistemleri
Endüstriyel Kontrol Sistemleri (Industrial Control Systems – ICS)
·     SCADA sistemleri (Supervisory Control and Data Acquisition – Nezaret Kontrolü ve Veri Toplama Sistemi)
(Günümüzde elektrik endüstrisi daha merkezi ve üretici kontrolüne dayalı bir ağdan oluşmaktadır. Bu ağın dağıtık ve tüketici tabanlı dönüşümü “Akıllı Şebeke” (Smart Grid) olarak adlandırılıyor.

SCADA sisteminin temel işlevi, ilgili sistemleri izlemek ve denetlemektir. Ek işlev olarak hata tespiti, ekipman yalıtımı ve restorasyonu, yük ve enerji idaresi, otomatik sayaç okuma ve trafo kontrolüdür.

SCADA, anlık yerel ve coğrafi olarak dağıtık işlemleri ölçtükten sonra raporlayan birbirinden bağımsız sistemler
topluluğudur. Kullanıcıya uzak tesislere komut göndermeye ve veri çekmeye olanak sağlayan telemetri ve veri toplama kombinasyonudur.

SCADA sisteminin temel bileşenleri olan MTU (Master Terminal Unit) ile RTU (Remote Terminal Unit) ve haberleşme ağı gösterilmiştir.

Kritik Altyapılarda Güvenlik seviyeleri;


Siber saldırılara maruz kalması durumunda ortaya çıkan durumlar;



Siber saldırı çeşitleri ve olası etkileri;

Dünya genelinde, Kritik Altyapılara Uygulanan Siber Saldırılar:
·        Sibirya Doğalgaz Patlaması-1982
·        Irak-1990
·        Ay Işığı Labirenti-1998
·        NATO Kosova Krizi -1999
·        Irak -2003
·        Suriye-İsrail Gerginliği -2007
·        Estonya Siber Savaşı – 2007
·        Gürcistan Siber Savaşı – 2008
·        Kırgızistan Olayları -2009
·        Mavi Marmara Saldırısı 2010
·        OpIsrael Operasyonu 2012-2013

Öneriler:
·     Stratejik planların ve bağlı eylem planlarının hayata geçirilmesi için gerçekçi tarihler ve ölçüm kriterleri belirlenmeli ve bunlar üzerinden mutlaka müeyyideler belirlenmelidir. Takip, kontrol ve raporlama süreçlerinde kullanılacak güvenli yöntemler devreye alınmalı paylaşılacak verilerin güvenliği garanti edilmelidir.
·        Yetişmiş insan kaynağına sahip olunmadan sistemin işletilmesi mümkün değildir. Bu amaçla USOM ’da bizzat istihdam edilecek kaynakların yanında özel durumlarda aktif görev alacak yetişmiş insan kaynakları ile özel sözleşmeler, devlet adına görevlendirmeler ve gönüllülük esası ile aktif irtibat kurulmalıdır. Bu çalışmanın ilk adımı olarak yetişmiş insan kaynağının tespiti amacıyla Envanter çalışması yapılmalı ve sonuçlar kolluk kuvvetleri ve istihbarat birimlerince filtrelenmelidir.
·        USOM uhdesinde yürütülen SOME ‘ler, daha çok ihlal olaylarını koordine etmek üzere tasarlanmış ve bunun
Dokümantasyonunu hedeflemiştir. İhlal yönetiminden daha kapsamlı olmak üzere “Bilgi Güvenliği Koordinasyon Merkezi” başta olmak üzere yönetim sistemlerindeki boşluk verilerinin de USOM benzeri bir merkeze akması, merkezden yönetilebilmelidir. Bu risk analizlerini de daha anlamlı kılacaktır.
·        Danışmanlık, Analiz Test ve Belgelendirme benzeri hizmetleri veren kurum, kişi ve kuruluşların ulaştığı kritik bilgileri ve anonim verilerin bir merkezde toplanması sağlanmalıdır. Hizmet veren kuruluş ve kişilerin ilgili verilerden faydalanabileceği bir özellikte olmalıdır.
·        Alternatif ağlar kurulmalı; İnternet üzerinden gelebilecek saldırılar, tehditler bu servislerin kesilmesine neden olabilecektir. Bu saldırılardan korunabilmek ya da en azından etkisini azaltabilmek için, kamu kurumlarının sadece karşılıklı haberleşme, bilişim servislerinden faydalanma amacıyla özel ağlar kurmaları internet alt yapısında olabilecek olası kesinti yavaşlamalardan devlet hizmetlerinin kesintisiz bir şekilde çalışmalarına imkân oluşturabilecektir.
·        Kamu Entegre Veri Merkezleri kurulmalı; Fiziksel güvenlik katmanından, ağ, uygulama ve bilgi güvenliği gibi değişik katmanlarda güvenlik kurgulanarak kamu kurumlarının en üst seviyede güvenlik hizmeti aldığı garanti altına alınmalıdır. Kamu bütünleşmiş veri merkezlerinin kamu kurumları arasındaki alternatif ağların merkezinde olması da bu güvenliği bir kat daha arttıracaktır. Kamu entegre veri merkezleri tasarlanırken dağıtık yapıda tasarlanmalı ve bu merkezlerde çalışacak uygulamalarında dağıtık yapıda çalışabilir olması sağlanmalıdır. Bu veri merkezlerinden herhangi birisinde olabilecek kalıcı veya süreli, tam veya kısmi kesintilerinin etkisi bu dağıtık mimariden dolayı azaltılabilecektir.
·        Ülkemiz dışındaki siber savaşların ülkemizin altyapısını ve cihazlarını kullanmaması için ülkemizin siber sınırlarını koruyucu tedbirler alınmalıdır. Farkındalığı arttırmak, yeni yatırımlar veya trafiği koruma tedbirleri ile sınırlar korunabilir.
·        Bilişim firmalarının vizyonunu geliştirici etkinlikler planlanmalıdır.

Sonuç;
Bilgi güvenliğinin bileşenlerinden, Gizlilik, Bütünlük ve Erişilebilirlik prensipleridir. Ulusal nitelikte zafiyetler oluşturabilecek Operasyonel Teknolojiler alanında yetenekler geliştirmek, mevcut alt yapıların güvenlik sıkılaştırmalarını yapmak, olası siber olayların etkileri azaltmak üzere müdahale süreçlerine yönelik azami iyileştirme ve önlemler sağlamak günümüzde artık bir zorunluluktur. Endüstriyel kontrol sistemleri, milli kritik altyapı varlıklarımızın en kıymetli ve en hassas noktalarıdır. Korumak ise bir vatan borcudur.


Kaynaklar:
[1]http://hgm.ubak.gov.tr/Content/UploadedFile/Kritik%20Bilgi%20Sistem%20Altyap%C4%B1lar%C4%B1%20%C4%B0%C3%A7in%20Asgari%20G%C3%BCvenlik%20%C3%96nlemleri&&6445b90e-b2ad-4e5e-9c13-6ae19ba10e37.pdf
[2]https://www.afad.gov.tr/upload/Node/3910/xfiles/kritikaltyapi-son.pdf
[3]http://www.udhb.gov.tr/doc/siberg/2016-2019guvenlik.pdf
[4]http://afyonluoglu.org/PublicWebFiles/Reports-TR/Akademi/2015-Kritik%20altyap%C4%B1lar%C4%B1n%20korunmas%C4%B1na%20ili%C5%9Fkin%20belirlenen%20siber%20g%C3%BCvenlik%20stratejileri.pdf
[5]https://www.afad.gov.tr/upload/Node/3910/xfiles/kritikaltyapi-son.pdf
[6]https://www.bilgiguvenligi.org.tr/kritik-enerji-altyapilarinin-korunmasi-ve-siber-guvenlik-sempozyumu-sonuc-bildirgesi
[7]http://www.bilisiminovasyon.org.tr/webfiles/userfiles/files/siber_guvenlik_raporu.pdf
[8]http://afyonluoglu.org/PublicWebFiles/Reports-TR/Akademi/2015-Siber%20g%C3%BCvenlik%20kapsam%C4%B1nda%20kritik%20altyap%C4%B1lar%C4%B1n%20korunmas%C4%B1n%C4%B1n%20%C3%B6nemi.pdf
[9]https://thinktech.stm.com.tr/uploads/raporlar/pdf/811201816259139_stm_siber_tehdit_durum_raporu_temmuz_eylul.pdf
[10] https://core.ac.uk/download/pdf/51099850.pdf