Kritik Altyapılarda Siber Güvenlik

Bilgi ve İletişim teknolojilerinin (Bilişim) yaygınlaşması ile birlikte kritik altyapılar gibi sosyal ve ekonomik düzenin parçası olan sistemlerin de siber tehdit altında olması ve bazı kritik altyapıların özel sektörün elinde bulunması devletlerin bu konuda bütünsel tedbirler almasını zorunlu hale getirmiştir. Herhangi bir ülkede kritik altyapılara yönelik bir saldırı olması durumunda bundan sadece o ülke değil, ilişki içerisinde olduğu diğer ülkeler de etkilenecektir. Toplumun günlük hayatı, ticaret, bankacılık, ulaşım vb. işleyişini tamamen bozacak durumlarla karşı karşıya kalınabilmektedir.

Bilişimin yaygınlaşması ile birlikte sosyal ve ekonomik düzenin de önemli bir parçası haline gelmeleri, bu teknolojileri kullanan ve bu sistemlerin devamlılığına dayanan varlıkların güvenliği konusunda hassas hale getirmiş ve güvenliğinin ihlali durumunda doğacak zararın boyutunu artırmıştır. Kritik bilgi altyapıları, kritik altyapıları destekleyen bilgi ve iletişim teknolojileri unsurları olarak veya ulusal ekonomi ve devlet fonksiyonlarının düzgün islemesi için gerekli bilgi ve iletişim teknolojileri altyapıları olarak tanımlanmaktadır.

Tüm dünyada ve ülkemizde Kritik Altyapılarda Dijital Dönüşüm ülkelerin ve kuruluşların stratejik hedeflerinden biri haline gelmiştir. Bugüne kadar geleneksel yöntemlerle yürüyen pek çok iş ve işlem Bilgi ve İletişim Teknolojileri kullanılarak yapılır hale gelmektedir. Ülkeler Dijitalleşmeyi gerçekleştirecek yatırımlara öncelik vermekte, bu alana önemli miktarda kaynak harcamaktadırlar.

Satista tarafından yayınlanan aşağıdaki gösterimden de anlaşılacağı üzere yapılan bu yatırımlar içindeki en yüksek büyüme Siber Güvenliğe ilişkin yatırımlarda görülmektedir. Bu da bu konunun giderek artan önemini göstermektedir.

Kritik Altyapılar konusunda çeşitli tanımlar yapılabilmekle birlikte tüm tanımlar aşağı yukarı benzer şeyleri içermektedir. Avrupa yaklaşımını gösteren AB Komisyonu tanımına göre Kritik Altyapılar:

Zarar görmesi veya yok olması halinde, Vatandaşların sağlığına, emniyetine, güvenliğine ve ekonomik refahına veya hükümetin etkin ve verimli işleyişine ciddi olumsuz etki edecek

Fiziki ve bilgi iletişim teknolojileri (bilişim) tesisleri, şebekeleri,

hizmetleri ve

varlıklarıdır.

ABD’nin ya da başka ülkelerin bu tanım kapsamına giren altyapı listesi neredeyse aynı ama sadece sıralaması değişebilmektedir. Bunlar:

 

Türkiye’de Kritik Altyapılar, tüm diğer ülkelerde olduğu gibi, faaliyetlerini yerine getiremediği takdirde sosyal ve ekonomik düzenin işlerliğini zayıflatacak olan fiziksel ve sayısal altyapılara kritik altyapılar olarak belirlenmiştir.

20/06/2013 tarih ve 2 sayılı Siber Güvenlik Kurulu kararı ile Enerji, Su Yönetimi, Ulaştırma, Bankacılık ve Finans, Elektronik Haberleşme ve Kritik Kamu Hizmetleri Kiritik Altyapılar olarak ilan edilmiştir.

Kritik Altyapılarda Siber Güvenlik, tabii ki bu altyapıların neler olduğunun (envanterin) belirlenmesi ile başlar. Belli bir gelişmişlik seviyesindeki hemen hemen tüm ülkeler bizde de olduğu gibi bu belirlemeyi yapmışlardır. Ancak bu, işin ilk adımıdır, bunun devamında yapılması gereken çok iş vardır. Yapılması gerekenleri 3 ana boyutta ele almak yerinde olur. Bunlar:

1- İnsan (kullanıcı, yönetici, işletmeci, uzman vb.)

2- Teknoloji (kullanılacak teknolojik ürün ve çözümler)

3- Sistem (organizasyonlar, süreçler, prosedürler, planlar vb.)

Bu 3 boyutun ulusal ve uluslararası seviyede ilişki ağının kurulması, koordinasyonu ve etkin bir şekilde işletilmesi başarı için hayati öneme sahiptir.

Aşağıdaki gösterimde bu 3 buyutun alt unsurları görülmekte olup bunların her birinin bir uyum ve eşgüdüm içinde yerine getirilmesi başarı için elzemdir. Bu konuda birlikte ulusal ve uluslararası boyutta çalışma, veri paylaşımı ve eşgüdüm olmazsa olmazdır.

Doğru politika ve stratejilerin belirlenip, uygun süreç ve teknolojilerin seçilmesi ile uygulamaya geçilmesi; süreç ve sonuçların sürekli izlenip periyodik olarak gözden geçirilmesi başarının anahtarıdır.

Yasal zeminin ve ilgili düzenlemelerin yapılıp yetki, sorumluluklar ile bunları uygulayacak organizasyonların oluşturulması, teknik ve insan kaynağına ilişkin kapasite oluşturularak tüm bunların bir sistem çerçevesinde işletilmesi gerekmektedir.

Özetle Siber Güvenlik salt teknolojik bir iş olmayıp çok boyutlu ve çok taraflı bir iş ve işlemler zinciridir. Bu zincirin en önemli unsuru ve en zayıf halkası insandır. İnsan unsuru kullanıcı, işletmen, uzman, karar verici ve yönetici olmak üzere alt usurlarını içerir. Bu zincirin tüm halkalarında yer alan insanların farkındalıktan uzmanlığa uzanan bir eğitim sürecinden geçirilmesi ve bilgi birikimine sahip olması hayati öneme sahiptir.

Siber Güvenliğin sağlanması bir “KORUMA” faaliyeti olup Risk Yönetim Süreci olarak ele alınıp yürütülmesi gereklidir.

Koruma faaliyetleri özetle;

 Envanteri belirleme, risk alanlarını belirleme, risklerin etki ve olasılıklarını belirleme,

Güvenlik sistemleri kurma, güvenlik protokol ve süreçleri geliştirme,

Tesisleri güçlendirme, açıklıkları giderme, felakete dayanıklılığa dikkat etme,

Uygun teknolojiler kullanma, güncelliğini takip etme

 Farkındalık ve uzmanlık eğitimleriyle iş gücü güvenceye alma,

Sürekli eksersiz, test ve tatbikatlar ile iş ve işlemleri doğrulama,

 Yedeklilik inşa etme, İş sürekliliği planlama,

şeklinde sıralanabilir.

Risk Yönetim Süreci çerçevesinde yer alan;

Hedef ve amaçları belirleme; etkin risk yönetimi duruşunu oluşturan önceden belirlenmiş çıktıları, koşulları ve performans hedeflerini belirlemeyi,

Varlık, sistem ve ağları belirleme; varlıkların, sistemlerin, ağların envanterini çıkarmayı ve her bir sektörün karakteristiklerini hesaba katan risk yönetimi hususunda bilgi toplamayı,

Riskleri değerlendirme; saldırı veya felaketlerin potansiyel direk ve dolaylı etkilerini, çeşitli saldırı yöntemlerine karşı bilinen açıklıkları ve tehdit bilgisini hesaba katarak risk değerlendirmesi yapmayı,

Önceliklendirme; varlık, sistem ve/veya ağ riskleri ve ilgili görev devamlılığı konusunda uygun bakış açısını kazanmak için, risk değerlendirme sonuçlarını bir araya getirme ve karşılaştırmayı, risklere dayalı olarak öncelikler belirlemeyi, yatırım sonunda riskin azaltılması geri dönüş sağlayabilen koruma, esneklik ve iş devamlılığı kuruluşlarını belirlemeyi,

Programları uygulama; Koruma programları ve esneklik stratejileri uygulama; belirlenen riski azaltmak veya yönetmek için uygun programları ve eylemleri seçmeyi ve önceliklere hitap etmek için gerekli kaynakları belirleme ve sağlamayı,

Etkinliği ölçme; ölçütler ve diğer değerlendirme prosedürlerini uygun yönetim seviyelerinde koruma programlarının gelişimini ölçmek ve etkinliği değerlendirmeyi,

ifade eder.

Bir risk yönetim süreci olarak Siber Güvenlik, insandan başlayıp cihaz/altyapı ile devam eden, süreçler ve uygulamalar ile vücut bulan bu olguda strateji ve politikalar büyük önem taşımaktadır. Bu sürecin en zayıf halkası insandır. Bu süreçte kullanıcı, uygulayıcı ve karar verici konumundaki her insanın konunun öneminin farkında olmasına, bilgi ve bilinç düzeyinin arttırılmasına ihtiyaç vardır.

Gerçek anlamda güvenlik ancak milli siber güvenlik teknolojilerinin geliştirilip kullanılması ile mümkündür. Kullanılacak İthal siber güvenlik teknolojileri (backdoor vb. riskleri nedeniyle) bizatihi siber güvenlik risk ve tehdidi oluşturabilirler. Ulusal güvenliğin önemli unsurlarından biri haline gelen siber güvenliğin sağlanması ancak bu alanda milli çözümlerin geliştirilip kullanılması ile mümkündür.

O halde şu aşamada Siber Güvenlik tarifini yapma zamanı gelmiştir.

Siber Güvenlik konusu da çok sayıda tanımı olan kavramlardan biri olmakla birlikte kapsamı konusunda genel bir konsensüs olduğunu söylemek yanlış olmaz. Bu konuda en uzun süredir çalışmalar yapan ve konunun uzmanlarını bünyesinde barındıran Bilgi Güvenliği Derneği (BGD)’nin aşağıdaki tanımı en çok kabul görmüş tanımdır.

Siber Güvenlik, kritik alt yapıların ve bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi, tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik risk analizlerinin yapılarak önlemlerinin alınmasıdır. Siber güvenliğinin temel amaçları şunlardır:

Veri bütünlüğünün korunması,

Bilgiye erişimin, erşim hız ve kalitesinin korunması,

İzinsiz erişimin engellenmesi, mahremiyet ve gizliliğin korunması,

Kritik alt yapılarda iş sürekliliği ve performansının devamlılığının sağlanmasıdır.

Siber Güvenliği ortadan kaldırmaya yönelik her türlü çaba ve faaliyeti ise Siber Tehdit yada Siber Saldırı olarak adlandırılır. Bunlara ayrı ayrı bakacak olursak:

Siber Tehditler

Siber güvenliğe yönelik tehditler, olayın aktörlerinin amaç ve hedefi ile kimliğine bağlı olarak aşağıdakilerin bir yada bir kaçını gerçekleştirmeyi hedefler;

Kritik altyapı ve sistemlerine yetkisiz erişim,

Sistemlerin bozulması ve hizmetin engellenmesi,

Bilgilerin değiştirilmesi ve veri bütünlüğünün bozulması,

Bilgilerin yok edilmesi,

Bilgilerin ifşa edilmesi,

Bilgilerin çalınması,

Siber Saldırılar,

Siber saldırıları gerçekleştiren aktörlerinin amaç, hedef ve kimliğine bağlı olarak çok değişik araçlar kullanırlar. Giderek daha da karmaşık ve teknolojik hale gelen Siber saldırılar sırasında aşağıdaki araçların biri yada bir kaçı kullanılabilmektedir;

Hizmetin engellenmesi saldırıları (DoS, DDoS)

Bilgisayar virüsleri

Kurtçuk (worm)

Truva atı (trojan)

Klavye izleme (key logger) yazılımları

Casus / köstebek (spyware) yazılımlar

Yemleme (phishing)

Şebeke trafiğinin dinlenmesi (sniffing ve monitoring)

Hackmageddon isimli bir Siber Güvenlik araştırma şirketi tarafından yapılan 2019 yılında gerçekleştirilen Siber olaylara ilişkin aşağıdaki analize göre siber saldırıların büyük kısmı (%43,5) Kötücül yazılım bulaşması ve (%14,8) Kullanıcı hesap bilgilerinin çalınması şeklinde gerçekleştirilmiştir.

Siber tehditlerin Kritik Altyapıları hedef alıp sosyal ve ekonomik düzeni etkiler hale gelmesi sonucunda devletler Siber Güvenlik konusuna öncelik vermeye ve bu yönde gereken önlemleri almaya başlamışlardır. Tehdidin kapsamı ve miktarı arttıkça, pek çok gelişmiş ülkede bu tehlikeler konusunda stratejik bir yaklaşım belirlenmiştir. Devlet sadece kendi sistemlerine yönelik değil tüm ülkedeki varlıkların ve oyuncuların güvenliğine dair adımlar atmakta, özellikle de kamu sektörü ve özel sektörde bulunan kritik altyapıların güvenliğini sağlama sorumluluğu üstlenmektedir. Ülke çapında Siber Güvenliğin sağlanması için devlet tek basına çalışan bir aktör olarak değil, daha ziyade mevcut siber ortamı daha güvenli ve dayanıklı hale getirecek, tüm paydaşların sürece dâhil edildiği bir ulusal strateji hazırlamaktadır. Özel sektör, üniversiteler ve sivil toplum kuruluşları ile yapılan işbirlikleri artmakta, uluslararası işbirliklerinin de artırılması için çalışmalar yapılmaktadır.

Dünya Telekomunikasyon Birliği (ITU) tarafından önerilen aşağıdaki modele göre Siber Güvenlik Kültürü, Siyasi, Yasal, Ekonomik, Teknik ve Sosyal alt katmanları olan ve Politika belirleyicilerden başlayarak Adalet sistemine, İşletme sahiplerinden BT uzmanlarına ve nihayetinde son kullanıcılara kadar uzanan zincirde her seviyedeki ilgililerin sahiplenip özümsemesini gerektirir. Siber Güvenlik Kültürü olmayan toplumların güvende olması ve Bilgi Toplumu olması mümkün olmayacaktır.

Teknik, ekonomik, siyasal ve sosyal etkileri açısından gerek bireysel, gerek kurumsal ve gerekse ülke boyutunda top yekün bir yaklaşım ve hassasiyet gerektiren Siber Güvenlik konusu, buna ilişkin bir kültür oluşturulmasını da gerekli kılmaktadır.

Siber Güvenlik Kültürü, ülke güvenliği açısından da çok önemlidir, çünkü artık ülkeler arası savaşlar cephelerin yanında Siber dünyada da yapılmaya başlanmıştır. Siber Savaş, ekonomik, politik, askeri nedenlerle hedef seçilen ülkeye bilgi ve iletişim sistemleri üzerinden gerçekleştirilen saldırılardır.

Siber saldırıları gerçekleştirenlere bağlı olarak saldırganların motivasyonları da değişmektedir. Motivasyonlarına bağlı olarak saldırıları ve saldırganları 3 ayrı grupta değerlendirmek mümkündür.

Birinci grup, amatörler tarafından yapılan bireysel saldırılar daha çok kendini ispat, aktivist hacker (hacktivist) grupları tarafından yapılan saldırılar daha çok propaganda (dini yada siyasi) veya protesto amaçlı nispeten masum kabul edilebilecek niteliktedir.

İkinci grup, tüm dünyada suç olarak kabul edilebilecek ve organize profesyoneller tarafından yapılan saldırılar da vardır ki, bunların arkasında suç örgütleri, çeşitli kurumlar hatta ülkeler yer alabilmektedir. Amaç ve motivasyonları maddi kazanç elde etmek (örneğin banka hesaplarından para çalmak), ticari sırları elde etmek, teknolojik bilgileri çalmak vb. olabilmektedir.

Üçüncü grubu ise ülkelerin resmi ya da gayri resmi yapılarının başka ülkelere yönelik saldırıları oluşturmaktadır. Bunun bir diğer adı da Siber Savaştır. Bu saldırılarda amaç hedef ülkenin kritik altyapılarını ve kritik projelerini çökertmek, bu yolla o ülkeye zarar vermektir.

Geçmişte gerçekleştirilen ve bir ülkeyi topyekün hedef alan Siber Saldırı örnekleri:

2007 –Estonya tüm altyapılarını çökerten siber saldırıları

2008 –Gürcistan’ı çökerten siber saldırıları

2008 – Bakü-Tiflis Ceyhan boru hattı saldırı

2009 –İran nükleer santral siber saldırısı

2016 – Ukrayna elektrik şebekesini çökerten saldırılar

2017 – S.Arabistan Petrokimya tesislerine yapılan saldırı

2018 – Rusya elektrik şebekesine yönelik saldırılar

2019 – ABD elektrik şebekesine yönelik saldırılar

Ülkelerin kritik altyapılarına yapılan saldırılar irili ufaklı boyutlarda sürekli yapılmaktadır. 

Siber saldırıların Enerji sistemlerine yoğunlaşmasının birkaç nedeni bulunmaktadır. Bunlar:

 Enerji sistemlerinin tüm diğer sektör ve sistemlerin can damarını oluşturması ve tüm insanlarını hayatındaki ağırlıklı önemi,

 Mevcut enerji sistemlerini kontrol ve yönetim sistemlerinin (SCADA) göreceli olarak eski teknolojiye sahip olmaları ve saldırıya açıklıklarının çok olması,

 Bu sektörde çalışan işletmen, teknisyen ve uzmanların Siber Güvenlik konusundaki bilgi ve yetkinliklerinin sınırlı olması

Bu sistemlere ilişkin teknik standartlarını yeni gelişiyor olması ve uyumlu hale getirilmesi konusundaki çalışmalar son yıllarda hızlanmış olup ETSI tarafından oluşturulan bu konuya ilişkin çalışma grubunun hazırladığı aşağıdaki gösterim tüm resmi özetlemektedir.

Kritik Altyapılarda Siber Güvenliğin sağlanması için Kurumsal süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek seviyede bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşmaya gidilmektedir. Bu amaçla geliştirilen ve uluslararası kabul görmüş Rehber ve Standartlar vardır.

Bu standartların en başında Uluslararası Standartlar Organizasyonu (ISO) tarafından yayınlanan ve TSE tarafından da Türkçeleştirilip ülkemizde de uygulamaya konulan “ISO27000 Bilgi Güneliği Yönetim Sistem Standardı Ailesi” gelmektedir.

ISO 27001 standardı genel olarak aşağıdaki amaçları gerçekleştirmektedir.

 Kurumun bilgi güvenlik risklerini, bilgi varlıklarına yönelik tehditleri, varlıkların açıklıklarını sistematik olarak denetlemek;

 Risk işleme planları, artık risklerin transferleri ile tutarlı bilgi güvenliği kontrollerini tanımlamak ve gerçekleştirmek, riskleri kabul edilebilir seviyeler çekmek

 Bilgi güvenliği kontrollerinin sürekliliğini bilgi güvenliği esaslarına göre sağlamak üzere yönetim süreçlerini kabul etmek ve uygulamak

Standart yukarıdaki amaçları gerçekleştirmek üzere aşağıdaki konuları kapsamaktadır;

1. Risk Değerlendirme ve Tehditlendirme

2. Güvenlik Politikası

3. Güvenlik Organizasyonu

4. Varlık Yönetimi ve Sınıflandırma

5. İnsan Kaynakları Yönetimi

6. Fiziksel ve Çevresel Güvenlik

7. İletişim ve Operasyon Güvenliği

8. Erişim Denetimi

9. Bilgi Sistemleri Temini, Geliştirilmesi ve Yönetimi

10. Güvenlik İhlal Yönetimi

11. İş Devamlılık Yönetimi

12. Yasalar ve Standartlarla Uyumluluk

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ISO 27000 Bilgi Güvenliği Yönetim Sistemi standartlar ailesinin ana standardı olup sistem kurulumu ve belgelendirme bu standarda göre yapılmaktadır. Kurumlar, oluşturdukları Bilgi Güvenliği Yönetim Sisteminin standartlara uygunluğunu ve uygulamalarının etkinliğini akredite edilmiş (ülkemizde TURKAK tarafından) belgelendirme kuruluşlarına (TSE, TUV, SGS vb.) denetlettirerek belgelendirebilmektedirler.

Kurumsal Siber Güvenliğin üst seviyede sağlanabilmesi için bunun devamlılık gerektiren bir süreç olduğu ve bu sürecin yukarıda belirtilen standartlar çerçevesinde yönetilmesi gerektiği unutulmamalıdır.

Yapılan çalışmalar hala pek çok kurumda Siber Güvenlik açıkları ve kayıplarının artması sebebiyle bu konunun henüz doğru olarak anlaşılmadığını, bireyler ve kurumlar tarafından konuya gereken önemin verilmediğini ve bilinçlenmenin gereken seviyede olmadığını göstermektedir.

Bağımsız araştırma kuruluşlarının raporları kurum ve kuruluşların güvenlik teknolojilerine yeterli ölçüde yatırım yapmadıklarını göstermektedir.

 

 

ITU destekli tüm ülkelerin Siber Güvenlik konusundaki yetkinlik/olgunluğunu değerlendirmek üzerine yapılan NCSI (National Cyber Security Index) çalışmasının yuklarıdaki sonuçlarına göre Türkiye, Avrupalı ülkeler arasında 11., tüm ülkeler arasında ise 20.sıradadır. Bu sonuçlar tatminkar olmakla birlikte yapılacak çok şeyin olduğunu da ortaya konmaktadır.

Kaynaklar:

– ITU International Telecommunication Union www.itu.int/cybersecurity

– ITU Global Cybersecurity Index 2018

– ETSI_ SG-CG/M490/H_ Smart Grid Information Security

– Bilgi Güvenliği Derneği http://www.bilgiguvenligi.org.tr/

– Uluslararası Enerji Ajansı www.iea.org/etp

– WEF Global Risk Report 2020 www.weforum.org/reports/the-global-risks-report-2020

The European Union (EU) Cybersecurity of critical energy infrastructure

– Bakanlar Kurulu Kararı 20121020-18-1 (Siber Güvenlik)

– Resmi Gazete 20180709M3_KHK /07 (Siber Güvenlik)

– KVK_2432016 Tarih ve 6698 Sayılı Kişisel Verileri Koruma Kanunu

– Ulaştırma Bakanlığı, Ulusal Siber Güvenlik Stratejisi ve 2013 – 2014 Eylem Planı

– Ulaştırma, Denizcilik ve Haberleşme Bakanlığı, 2016-2019 Siber Güvenlik Eylem Planı

Abonelik talebiniz geçersiz. Lütfen tekrar deneyin.
Başarılı bir şekilde abone oldunuz.

Email Aboneliği

Makalelerden, sunumlardan ve paylaşımlardan hemen haberdar olmak için email bültenine abone olun

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir