Uzun yıllar boyunca endüstriyel sistemler ve daha özelinde kritik altyapılarda, özel protokollere ve yazılıma dayanan, insanlar tarafından elle kontrol edilen ve yönetilen, dış dünyadan bağımsız teknolojiler kullanılmaktaydı. Hackerlar için zafiyet içeren, saldırı yapılabilecek bir ağ bulunmaması nedeniyle söz konusu sistemlerde herhangi bir siber saldırı olayı gerçekleşmemişti. Ayrıca bu sistemlere sızabilmenin tek yolu fiziki güvenlik tedbirleri (elektrikli dikenli teller, nöbetçiler, kilitli kapılar ve hatta bekçi köpekleri) içeren tesislere girip, el terminallerine doğrudan erişmekti. IT (Information Technology) ve OT (Operation Technology) birbiriyle çok az entegreydi ve bu nedenle tamamen farklı zafiyetler içermekteydi.
Günümüzde, teknolojik entegrasyonlar yoluyla yeni yetenekler ve verimlilikler elde edilebileceği görülen endüstriyel sistemler hızlı bir şekilde çevrimiçi hale getirilmektedir. En basitinden tesislerden elde edilen büyük verilerin analitik değerlendirilmesi sonucunda verimliliğin kayda değer şekilde arttığı gözlemlenmiştir. Ayrıca sensörlerin uzaktan izlenmesi ve kontrolü, sistemlerin daha iyi yönetilebileceği sonucunu ortaya çıkarmıştır.
Kapalı sistemden açık sistemlere doğru seyreden bu geçiş, ele alınması gereken çok sayıda yeni güvenlik riski ve zaafiyeti oluşturmuştur.
Kritik Altyapılar Nelerdir?
Yukarıda bahsedilen zaafiyetlere değinmeden önce kritik altyapılar kavramını biraz daha açmak gerekir.
“Kritik altyapı” terimi, ilk defa 1997 Ekim tarihli “Amerika Birleşik Devletleri Başkanlık Komisyonu’nun Kritik Altyapıların Korunması Hakkında Raporu”nda kullanılmıştır. Toplum ve devlet düzeninin sağlıklı biçimde işletilebilmesi için gerekli, birbirleriyle bağı olan sistemler ve bu sistemlerin istenilen biçimde çalışmasını sağlayan altyapılar bütününe denir.
Ülkemizde ise 2012 yılında siber güvenliğinin sağlanması konusunda "Siber Güvenlik Kurulu" oluşturulmuş ve bu kurulun ilk toplantısında "Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı" kabul edilmiştir. Eylem planının 5 numaralı maddesinde Siber Güvenlik Kurulu'nca ülkemizin kritik altyapıları bilgi güvenliği kapsamında ilk etapta aşağıdaki şekilde belirlenmiştir:
- Elektronik Haberleşme
- Enerji
- Bankacılık ve Finans
- Kritik Kamu Hizmetleri
- Ulaştırma
- Su Yönetimi
Listelenen kritik altyapıların bir kısmı genel ve bilinen bilgi teknolojilerini kullanırken, diğer bir kısmı ise Endüstriyel Kontrol Sistemleri (EKS) olarak adlandırılan özel bilişim sistemleri tarafından izlenmekte ya da yönetilmektedir. Endüstriyel Kontrol Sistemleri, topolojilerine ve içerdikleri bileşenlere göre SCADA ve DCS olarak ikiye ayrılmaktadır.
SCADA ve DCS Nedir?
İngilizce "Supervisory Control and Data Acquisition" kelimelerinin ilk harflerinin okunması ile oluşturulan SCADA kelimesi, Türkçe'ye "Merkezi Denetleme Kontrol ve Veri Toplama Sistemi" olarak da çevrilebilir. Kapsamlı ve entegre bir veri tabanlı kontrol ve izleme sistemi olan SCADA ile bir tesise veya işletmeye ait tüm ekipmanların kontrolü, gözetlenmesi ve sonuçlarının raporlanması sağlanabilir. Temel olarak SCADA yazılımından izleme, kontrol, veri toplama, verilerin kaydı ve saklanması işlevlerini gerçekleştirmesi beklenmektedir. SCADA sistemlerinin yaygın olarak kullanıldığı yerler şunlardır:
- Su arıtma ve terfi merkezleri
- Petrol ve gaz boru hatları
- Gaz çevrim santralleri
- Barajlar
- Elektrik iletim ve dağıtımı sahaları
- Rüzgar Enerji Santralleri
- İletişim sistemleri
- Metro istasyonları
- Havaalanları
- Gemiler ve limanlar
- Uzay istasyonları
- Nükleer enerji santralleri
DCS yani Distributed Control System ise Dağıtık Kontrol Sistemi olarak anılmakta olup, genel işlev ve kullanım alanları bakımından SCADA ile benzerlik göstermektedir.
Farkları ise;
- DCS proses odaklı iken SCADA veri toplamayı hedefler.
- DCS kendi lokal ağında çalışırken, SCADA'nın herhangi bir ağ kısıtlaması yoktur.
- DSC işlemleri düzenli olarak kontrol eder ve işlem parametrelerini veritabanına kayıt etmez. SCADA ise düzenli veri kontrolü yapmadan veri tabanına kaydettiği değişen verilere göre işlem yapar.
- DSC prosesleri kapalı döngü kontrolü ile yapılır. SCADA ile böyle bir kontrol yoktur.
Kritik Altyapı Güvenliği Neden Önemlidir?
Bilgi teknolojilerine değerli ve korunması gereken varlık bilgi iken kritik altyapılarda process (süreç)'tir. Yani sistemlerin mevcut çalışır vaziyetlerinin muhafazası bir tesisin bir numaralı görevidir çünkü bu süreçte yaşanacak bir aksaklık (mesela enerji santralindeki sorun nedeniyle şehir elektriğinin kesilmesi), sadece bu santrali değil, tüm ülke insanlarını etkiler ve yaşamı felç eder. Bu sebepten, söz konusu zarar, herhangi bir para birimiyle ifade edilemeyecek kadar yüksektir.
En Çok Bilinen Kritik Altyapı Saldırıları
Stuxnet / İRAN
Stuxnet, Haziran 2010’da farkedilen ve İran’ın Natanz nükleer geliştirme tesisine saldırmak için geliştirilmiş olan bir siber silahın adıdır. Bu saldırı, resmi olarak hiçbir devlet tarafından üstlenilmemiştir. Söz konusu silah (Stuxnet), İran Natanz’daki uranyum zenginleştirme tesisinde, uranyum’u zenginleştiren santrifüjlerin dönüş hızlarını etkileyerek kullanım ömürlerini azaltmak suretiyle zenginleştirme sürecine zarar vermeyi hedeflemiştir. Bunu yaparken operatörler tarafından durumun fark edilmesini engellemek için SCADA ekranlarında, daha önceden almış olduğu 21 saniyelik ekran görüntüsünü defalarca tekrar tekrar göstermiş ve böylece kontrol mühendislerini yanıltmayı başarmıştır. Ölçülebilen sonuç ise 800 milyon dolarlık maddi zarar, 984 santrifüjün devre dışı bırakılmasıdır.
Ukrayna
Tarihte ilk kez 23 Aralık 2015’te bir ülkenin kritik altyapısına (enerji) büyük bir siber saldırı yapıldı. Bu saldırı neticesinde bölgede yaşayan insanlar ciddi şekilde etkilendi ve elektriksiz kaldı. Söz konusu olaydan etkilenen kişi sayısı yüzbinlerle ifade edilmekte ve yaklaşık altı saatlik bir elektrik kesintisinden bahsedilmektedir. Stuxnet olayından farklı olarak birden fazla kurum hedeflenmiş ve yine birden fazla saldırı metodu tercih edilmiştir. Bu metodlar bilindiği kadarıyla Malware (BlackEnergy), Phishing, KillDisk, GCat backdoor ekran görüntüsü alma ve Keylogger uygulamalarıdır.
Türkiye’de Kritik Altyapı Güvenliği
Kritik altyapı kavramının gelişimi, Türkiye’de de diğer ülkelere paralellik gösterir şekildedir. Ülkemizdeki EKS’lerde eskiden operatörler vasıtasıyla elle yürütülen işlemler, artık SCADA sistemleri ile kontrol edilebilir ve yönetilebilir hale gelmiştir. Bu şekilde yönetilen endüstriyel alanların başında da fabrikalar, enerji üretilen GES, JES ve termik santraller, metro istasyonları, elektrik şalt sahaları ve doğal gaz çevrim santralleri gelmektedir.
Bununla birlikte EKS güvenliğinde maalesef henüz yeterli bilgi birikimine ulaşmış durumda değiliz. Buna örnek olarak da işletme sahiplerince SCADA güvenliği denilince yalnızca şu iki husustan bahsedilmesini gösterebiliriz.
1. Tesisimizde ateş duvarı (Firewall) var
SCADA’larda bulunan ateş duvarları (firewall) öncelikli güvenlik katmanı olarak bilinmektedir. Ancak bu doğru bir yaklaşım değildi. Çünkü EKS’lerde süreç (process) kesintisiz olarak devam ettirilmesi gereken anahtar kavram iken ateş duvarları ise sürece müdahale ederek kesintilere sebep olabilmektedir. Bu kesintiler telafisi çok zor zararlara neden olabildiğinden, SCADA’ların ateş duvarları bizzat işletme sahiplerinin onayı ile kapalı tutulabilmektedir.
2. Tesisimizin internet bağlantısı yok
SCADA güvenliği konusundaki en büyük yanılgı, sistemin internet bağlantısının bulunmaması nedeniyle güvenli olduğu düşüncesidir. Bu önerme iki şekilde geçerliliğini yitirmektedir. İlki eğitim ile ilgilidir. OT güvenliği konusunda bilgi sahibi üst seviyedeki personel tarafından kurallara riayet edilirken, alt seviyedeki personel tarafından sistemdeki bilgisayarlara internet bağlantısı sağlanmakta veya harici taşınabilir bellekler takılabilmektedir. İkincisi ise sisteme yapılabilecek saldırıların her zaman internet kanalıyla gelmediği gerçeğidir. Unutmamak gerekir ki tarihteki en önemli kritik altyapı saldırısı, hiçbir şekilde internet bağlantısı bulunmayan, yukarıda bahsedilen İran’ın Natanz nükleer geliştirme tesisine yapılan Stuxnet saldırısıdır.
Kritik Altyapı Güvenliği Nasıl Sağlanır?
Bilgi teknolojileri güvenliği için alınan tedbirler kritik altyapılar için de geçerlidir (güçlü parola kullanımı, yetkisiz kullanıcıların sisteme erişiminin engellenmesi vb.). Ancak buradaki anahtar kavram altyapıda kullanılan iletişim protokolleridir. İnternet ortamında kullanılan HTTP, SSL, SMTP gibi bilinen iletişim protokollerin yerini Modbus, DNP3, Profibus gibi az bilinen protokoller alır. Bununla birlikte kullanılan iletişim protokolleri cihazdan cihaza, endüstriden endüstriye de farklılık gösterir. Mesela Siemens marka PLC'ler S7COMM protokolünü kullanırken, Allen Bradley marka PLC'ler genellikle Controlnet ve Devicenet protokollerini kullanırlar. Diğer taraftan petrol ve gaz endüstrisinde Ethernet/IP, GE SRTP, MODBUS, OPC DA kullanılırken, enerji kuruluşlarında DNP3, ICCP TASE.2, IEC60870-104, IEC61850, OPC vb. protokolleri kullanılır. Doğal olarak piyasada bulunan mevcut firewall, antivirüs, IDS ve IPS yazılımları endüstriyel kontrol sistemleri için yetersiz kalmakta, ağ trafiğindeki saldırı ve zafiyetleri yakalayamamaktadır. Ağ trafiğinin izlenmesi ve şüpheli davranışların yakalanabilmesi için mutlaka EKS ve SCADA güvenliği alanında hizmet veren siber güvenlik firmaları ile çalışılmalıdır ki son zamanlarda bu alanda tüm dünyada kendinden söz ettirmeye başlayan yerli firmaların da çalışmaya başladığını biliyoruz.
Kritik altyapı güvenliğini sağlamanın bir yolu da bu tesislerde kullanılan cihazları çok iyi tanımaktır. Yine bilgi teknolojileri ile karşılaştırmalı olarak belirtmek gerekirse normal bir internet ağının temel bileşenleri bilgisayarlar, modemler, router'lar iken, endüstriyel kontrol sistemlerinin temel bileşenleri PLC'ler, RTU'lar, IED’ler ve HMI'lardır. Doğal olarak bu cihazların çalışma mantığı tam olarak anlaşılmalı ve var olan güvenlik zafiyetleri kullanılan protokoller de değerlendirilerek giderilmelidir.
Son Sözler
Kritik altyapılar, hizmetlerin güvenli ve ihtiyaç duyulduğunda kesintisiz biçimde sunulmasında önemli görevler üstlenir. Bireyden öte bir toplumu ilgilendiren enerji, su, gıda, sağlık, finans, haberleşme ve güvenlik gibi temel hizmetlerin güvenli, kesintisiz ve bozulmadan sunulabilmesi gerekmektedir. Siber saldırılar nedeniyle bu hizmet kategorilerinde meydana gelecek aksamalar kabul edilemez etkiler doğurabilir ve toplum huzur ve güvenini ciddi bir şekilde bozabilir.
Özellikle enerji sektöründe, alınacak tüm güvenlik tedbirlerine rağmen saldırı veya başka bir sebeple kesintiler olabileceği değerlendirilerek ihtiyaçların alternatif kaynaklardan sağlanabilmesi için gerekli planlamalar yapılması, kritik altyapı güvenliğini bir üst seviyeye taşıyacak bir tedbirdir.
Kaynaklar
- Kritik Enerji Altyapılarının Korunması ve Siber Güvenlik- Zühre AYDIN
- Kritik Bilgi Sistem Altyapıları için Asgari Güvenlik Önlemleri Dokümanı - TÜBİTAK
- What is OT Security?
- Vast Differences Between IT and OT Cyber Security
- Stuxnet ve Uluslararası Hukuk: Bir siber saldırının anatomisi
- BTK - Siber Güvenlik Kurulu
- Siber Saldırıların Kritik Altyapılar Üzerindeki Etkileri - Ender Şahinaslan, Önder Şahinaslan, Selçuk Selimli