Bilgi Güvenliği Uzmanı
Nesnelerin İnterneti ve Endüstriyel Siber Güvenlik
Gelişen teknoloji ile beraber son yıllarda evlerimizdeki televizyon, buzdolabı, klima gibi cihazlar nasıl internetle tanışmaya başladıysa 5G ile beraber tıpkı evimizdeki bu cihazlar gibi endüstriyel kontrol sistemlerindeki cihazlarda internetle bir şekilde iletişime geçmeye başlıyor. Endüstri 4.0 ile nesnelerin internetini konuşurken Toplum 5.0 ile tamamen dijitalleşen ve yapay zekanın aktif bir rol üstlendiği bir dönemi konuşuyor olacağız. Peki bu kaçınılmaz son her geçen gün hızla yaklaşırken beraberinde ne gibi riskleri getiriyor ve ne gibi önemler almalıyız gelin birlikte bunları değerlendirelim.
Nedir bu Endüstri 4.0 ve Toplum 5.0?
Endüstri 4.0, iş süreçlerinin, nesnelerin interneti (IoT), büyük veri ve makineden makineye iletişim (M2M) gibi teknolojilerin sağladığı veri odaklı bilimsel yöntemlerle yönetildiği dördüncü endüstriyel devrim dalgasıdır. Endüstri 4.0’ın temelini, sadece birbirine bağlı olmayan, aynı zamanda iletişimde bulunan, analiz eden ve bilgileri daha ileriye taşımak için bilgi üreten üretim sistemleri oluşturmak için gelişmiş üretim tekniklerini nesnelerin interneti ile birleştiren bir yapı oluşturmaktır. Endüstri 4.0 da tüm üretim ekipmanlarının ayrı internet adreslerine sahip olacağı yeni bir sistem mimarisi yardımıyla, her anda üretilen tüm veriler toplanacak, “Big Data Analytics” kullanılarak kullanıcı tanımlı formüllere ve algoritmalara göre işlenecek ve yeniden şekillendirilecektir. Bu sayede zaman ve enerji kaybı minimuma inecek, verim ve ürün kalitesi artacaktır. Üretim, istenilen her an takip edilebilecek ve şeffaf bir yapıda olacaktır. Kısaca endüstri 4.0 da bilgi ve zekâ üretimi insanlar tarafından teknoloji yardımı ile yapılmaktadır. Toplum 5.0 da ise bilgi ve zekânın üretimi, makinalar kullanılarak yapay zekâ yoluyla yapılıp insanların hizmetine sunulması amaçlanmaktadır.
Dijitalleşen Teknolojinin Endüstriyel Sistemlere Riskleri?
Siber güvenlik çözümleri üreticisi olan Kaspersky tarafından korunan OT bilgisayarlarının neredeyse yarısında, yani %32’sinde kötü amaçlı nesneler tespit edildiği 2022 yılının ilk çeyreğinde paylaşıldı. Bu bilgisayarlar petrol ve gaz, enerji, otomotiv üretimi, bina otomasyon altyapıları ve diğer alanlarda mühendislerin ve operatörlerin iş istasyonlarından denetleyici kontrol ve veri toplama (SCADA) sunucularına ve İnsan Makine Arayüzüne (HMI) kadar bir dizi OT işlevini yerine getirmek için kullanılıyor. Buradan yola çıkarak endüstriyel sistemlerde kullanılan cihazların neredeyse yarısının risk altında olduğu söylesek yanlış olmaz. Endüstriyel kontrol sistemlerine düzenlenen siber tabanlı saldırıların yaygınlığı konusundaki farkındalığın gelişmesine rağmen birçok BT güvenlik modeli fiziksel olarak izole sistemlerin (hava boşlukları aracılığıyla) ve “gizlilikle güvenlik” gibi yöntemlerin yeterli olacağında dair eski fikirlere bağlı kalmaya devam eder. Kritik olmayan birçok endüstriyel ağa isteğe bağlı olarak veya olmayarak internet üzerinden erişilebildiği Endüstri 4.0 çağında bu yöntemler ne yazık ki artık yeterli olmamaktadır. Endüstriyel kontrol sistemlerini bekleyen bir başka tehlike ise fidye yazılımlardır. Endüstri sektörü için fidye yazılımının ortaya çıkışı büyük önem taşımaktadır. Bu tür yazılımlar, kritik sistemler üzerinde büyük bir etkiye sahiptir ve kapsamlı hasarlara neden olur. Dolayısıyla ICS, fidye yazılımları için oldukça cazip bir hedeftir. Bu durum, 2017 yılında ICS/SCADA sistemlerini etkileyen çok sayıda fidye yazılımı saldırısıyla da (özellikle WannaCry ve exPetr saldırıları) kanıtlanmıştır. Yakın gelecekte endüstriyel sistemlere saldırmak için tasarlanan fidye yazılımlarının kendine özgü amaçları olabilir. Örneğin kötü amaçlı yazılım verileri şifrelemek yerine operasyonları aksatabilir veya önemli bir varlığa erişimi engelleyebilir. Genel tehditlerin yanı sıra, endüstriyel güvenlik, ICS’ye özel kötü amaçlı yazılım ve hedefli saldırılarla da başa çıkmak zorundadır. Bu tür saldırılar arasında şunlar sayılabilir: Stuxnet, Havex, BlackEnergy, Industroyer ve Güvenlik Enstrümanlı Sistemi hedef alan Triton… Bu liste hızla büyümektedir. BlackEnergy ve Stuxnet saldırılarından görülebileceği üzere tek bir USB sürücü veya tek bir hedefli kimlik avı e-postası görevlerine iyi hazırlanan saldırganların hava boşluğunu kapatması ve izole ağa sızması için yeterlidir. Özet olarak endüstriyel kurumlar, kötü amaçlı yazılım ve hedefli saldırılara ek olarak insanları, süreçleri ve teknolojiyi hedef alan tehditler ve risklerle de karşı karşıyadır ve bu riskleri hafife almak ciddi sonuçlara yol açabilir.
Endüstriyel Sistemlere Yönelik Saldırıların Mali Büyüklüğü
Teyit edilmemiş saldırıları incelediğimizde 1982 yılında Trans Sibirya Gaz Boru Hattında patlamaya neden olan saldırıya kadar gidebiliriz ama teyit edilmiş saldırıları incelediğimizde ise ilk olarak 2009 yılında Shell ve BP gibi petrol şirketlerini hedef alan Exxon saldırısı ile karşılaşıyoruz. Bu saldırı zararlı yazılım bulaştığı bilgisayarlara uzaktan erişim vermekle sınırlıydı ve doğal olarak fiziksel etkisi açısından pek bir şey olmadı. Sonrasında bugün ki endüstriyel siber güvenlik çözümlerine ait pazarın gelişmesine neden olan 2010’daki Stuxnet saldırısını görüyoruz. İran’ın Natanz nükleer tesisinde gerçekleşen bu saldırının fiziki etkisi çok yıpratıcı oldu ve İran’ın nükleer santrifüjlerinin beşte birini kullanılamaz hale getirdi. 2012-2013 yıllarında Antwerp Limanının hacklenmesi, 2014-2015 yıllarında Energetic Bear Saldırıları, Alman Çelik Fabrikasının hacklenmesi, BlackEnergy saldırısı ile Ukrayna Enerji Dağıtım altyapısına yönelik saldırılar, 2016 yılında Kiev elektrik şebekesinin hacklenmesi, San Francisco metrosunun hacklenmesi, 2017 yılında WannaCry salıdırısı ile dünya çapında düzinelerce kuruluşun hacklenmesi, 2018 yılında Boeing’in WannaCry tarafından saldırya uğraması, Fransa da Fesseheim nükleer santraline saldırı yapılması 2019 yılında Venezuela’daki elektrik kesintileri, Moskova su arıtma tesisine saldırı yapılması, 2020 yılında Solar Winds, Microsoft Exchange gibi önemli şirketlerin APT saldırılarına maruz kalması, 2021 yılında Amerika’daki petrol dağıtım şirketi olan Colonial Pipeline’in saldırıya uğraması derken aslında son 13 yılda yüzlerce büyük ve kritik alt yapıya sahip kuruluşun saldırılara uğradığını görebiliyoruz. Tabiki de burada bahsetmediğimiz irili ufaklı yüzlerce farklı saldırı da yapıldı, bunlardan bazıları başarılı olurken bazıları saldırı hazırlığı aşamasında tespit edildi. Bu saldırıların ise 2021 yılına kadar işletmelere yaklaşık olarak 6 trilyon dolara mal olduğu belirtiliyor.
Tehdit ve Risk Aktörleri İçin Neler Yapılması Gerekir?
Bu kısımda endüstriyel sistemlerde siber saldırılara karşı ne gibi önemler alınması gerekir biraz onlardan bahsedelim. Bu kısmı iki bölümde ayırmamız mümkün, uç nokta cihazları olan SCADA, PLC, HMI ve DCS gibi sistemlerde yapılması gerekenler ve uç nokta cihazları dışında kalan Network tarafında yapılması gerekenler. Uç noktada, yetkisiz yazılım çalıştırma aktivitelerine yönelik uygulama beyaz liste çalışmalarının yapılması, fidye yazılımları dahil şifreleme yazılımlarına karşı koruma çalışmaları, yetkisiz cihaz bağlantılarının ve Wi-Fi ağ kontrolünün sağlanması, PLC bütünlük kontrolünün sağlanması ve endüstriyel sistemlere yönelik hatalı pozitiflerin tespiti olarak sıralayabiliriz. Network tarafında ise ilk olarak ağ tarafında bilinen ve bilinmeyen tüm cihazların tespit edilmesi gerekiyor. Sonrasında ise bilinen ve bilinmeyen bu cihazlar arasındaki iletişimin izlenmesi kritik bir öneme sahip. Gelişmiş izinsiz giriş tespit sistemleri buradaki en önemli araçlardan biri, endüstriyel yazılımlardaki ve donanımlardaki güvenlik açıklarından yararlanan yazılımlar dahil olmak üzere bilinen tüm saldırı modellerinin tanımlanması gerekiyor. Ve son olarak adli bilişim araçlarının kullanımı. Umarım hiçbir kuruluşumuz için siber saldırı söz konusu olmaz ama tespit edilen saldırıların izlenmesi ve saldırı sonrasında alınacak aksiyonlar için adli bilişim çalışmalarını yapamaya müsait bir ortamın olması çok önemli.
