KRİTİK ALTYAPILARDA SİBER GÜVENLİK

Bilgi ve İletişim teknolojilerinin (Bilişim) yaygınlaşması ile birlikte kritik altyapılar gibi sosyal ve ekonomik düzenin parçası olan sistemlerin de siber tehdit altında olması ve bazı kritik altyapıların özel sektörün elinde bulunması devletlerin bu konuda bütünsel tedbirler almasını zorunlu hale getirmiştir. Herhangi bir ülkede kritik altyapılara yönelik bir saldırı olması durumunda bundan sadece o ülke değil, ilişki içerisinde olduğu diğer ülkeler de etkilenecektir. Toplumun günlük hayatı, ticaret, bankacılık, ulaşım vb. işleyişini tamamen bozacak durumlarla karşı karşıya kalınabilmektedir.

Bilişimin yaygınlaşması ile birlikte sosyal ve ekonomik düzenin de önemli bir parçası haline gelmeleri, bu teknolojileri kullanan ve bu sistemlerin devamlılığına dayanan varlıkların güvenliği konusunda hassas hale getirmiş ve güvenliğinin ihlali durumunda doğacak zararın boyutunu artırmıştır. Kritik bilgi altyapıları, kritik altyapıları destekleyen bilgi ve iletişim teknolojileri unsurları olarak veya ulusal ekonomi ve devlet fonksiyonlarının düzgün islemesi için gerekli bilgi ve iletişim teknolojileri altyapıları olarak tanımlanmaktadır.

Tüm dünyada ve ülkemizde Kritik Altyapılarda Dijital Dönüşüm ülkelerin ve kuruluşların stratejik hedeflerinden biri haline gelmiştir. Bugüne kadar geleneksel yöntemlerle yürüyen pek çok iş ve işlem Bilgi ve İletişim T eknolojileri kullanılarak yapılır hale gelmektedir. Ülkeler Dijitalleşmeyi gerçekleştirecek yatırımlara öncelik vermekte, bu alana önemli miktarda kaynak harcamaktadırlar.

Satista tarafından yayınlanan aşağıdaki gösterimden de anlaşılacağı üzere yapılan bu yatırımlar içindeki en yüksek büyüme Siber Güvenliğe ilişkin yatırımlarda görülmektedir. Bu da bu konunun giderek artan önemini göstermektedir.

Kritik Altyapılar konusunda çeşitli tanımlar yapılabilmekle birlikte tüm tanımlar aşağı yukarı benzer şeyleri içermektedir. Avrupa yaklaşımını gösteren AB Komisyonu tanımına göre Kritik Altyapılar:

Zarar görmesi veya yok olması halinde, Vatandaşların sağlığına, emniyetine, güvenliğine ve ekonomik refahına veya hükümetin etkin ve verimli işleyişine ciddi olumsuz etki edecek.

Fiziki ve bilgi iletişim teknolojileri (bilişim) tesisleri, şebekeleri,
hizmetleri ve
varlıkları dır.

ABD’nin ya da başka ülkelerin bu tanım kapsamına giren altyapı listesi neredeyse aynı ama sadece sıralaması değişebilmektedir. Bunlar:

Türkiye’de Kritik Altyapılar, tüm diğer ülkelerde olduğu gibi, faaliyetlerini yerine getiremediği takdirde sosyal ve ekonomik düzenin işlerliğini zayıflatacak olan fiziksel ve sayısal altyapılara kritik altyapılar olarak belirlenmiştir.

20/06/2013 tarih ve 2 sayılı Siber Güvenlik Kurulu kararı ile Enerji, Su Yönetimi, Ulaştırma, Bankacılık ve Finans, Elektronik Haberleşme ve Kritik Kamu Hizmetleri Kiritik Altyapılar olarak ilan edilmiştir.

Kritik Altyapılarda Siber Güvenlik, tabii ki bu altyapıların neler olduğunun (envanterin) belirlenmesi ile başlar. Belli bir gelişmişlik seviyesindeki hemen hemen tüm ülkeler bizde de olduğu gibi bu belirlemeyi yapmışlardır. Ancak bu, işin ilk adımıdır, bunun devamında yapılması gereken çok iş vardır. Yapılması gerekenleri 3 ana boyutta ele almak yerinde olur. Bunlar;

1- İnsan(kullanıcı,yönetici,işletmeci,uzmanvb.)

2- Teknoloji (kullanılacak teknolojik ürün ve çözümler)

3- Sistem(organizasyonlar,süreçler,prosedürler,planlarvb.)

Bu 3 boyutun ulusal ve uluslararası seviyede ilişki ağının kurulması, koordinasyonu ve etkin bir şekilde işletilmesi başarı için hayati öneme sahiptir.

Aşağıdaki gösterimde bu 3 buyutun alt unsurları görülmekte olup bunların her birinin bir uyum ve eşgüdüm içinde yerine getirilmesi başarı için elzemdir. Bu konuda birlikte ulusal ve uluslararası boyutta çalışma, veri paylaşımı ve eşgüdüm olmazsa olmazdır.

Doğru politika ve stratejilerin belirlenip, uygun süreç ve teknolojilerin seçilmesi ile uygulamaya geçilmesi; süreç ve sonuçların sürekli izlenip periyodik olarak gözden geçirilmesi başarının anahtarıdır.

Yasal zeminin ve ilgili düzenlemelerin yapılıp yetki, sorumluluklar ile bunları uygulayacak organizasyonların oluşturulması, teknik ve insan kaynağına ilişkin kapasite oluşturularak tüm bunların bir sistem çerçevesinde işletilmesi gerekmektedir.

Özetle Siber Güvenlik salt teknolojik bir iş olmayıp çok boyutlu ve çok taraflı bir iş ve işlemler zinciridir. Bu zincirin en önemli unsuru ve en zayıf halkası insandır. İnsan unsuru kullanıcı, işletmen, uzman, karar verici ve yönetici olmak üzere alt usurlarını içerir. Bu zincirin tüm halkalarında yer alan insanların farkındalıktan uzmanlığa uzanan bir eğitim sürecinden geçirilmesi ve bilgi birikimine sahip olması hayati öneme sahiptir.

Siber Güvenliğin sağlanması bir “KORUMA” faaliyeti olup Risk Yönetim Süreci olarak ele alınıp yürütülmesi gereklidir.

Koruma faaliyetleri özetle;

Envanteri belirleme, risk alanlarını belirleme, risklerin etki ve olasılıklarını belirleme,
Güvenlik sistemleri kurma, güvenlik protokol ve süreçleri geliştirme,
Tesisleri güçlendirme, açıklıkları giderme, felakete dayanıklılığa dikkat etme,
Uygun teknolojiler kullanma, güncelliğini takip etme
Farkındalık ve uzmanlık eğitimleriyle iş gücü güvenceye alma,
Sürekli eksersiz, test ve tatbikatlar ile iş ve işlemleri doğrulama,
Yedeklilik inşa etme, İş sürekliliği planlama,

şeklinde sıralanabilir.

Risk Yönetim Süreci

Risk Yönetim Süreci çerçevesinde yer alan;

Hedef ve amaçları belirleme; etkin risk yönetimi duruşunu oluşturan önceden belirlenmiş çıktıları, koşulları ve performans hedeflerini belirlemeyi,
Varlık, sistem ve ağları belirleme; varlıkların, sistemlerin, ağların envanterini çıkarmayı ve her bir sektörün karakteristiklerini hesaba katan risk yönetimi hususunda bilgi toplamayı,
Riskleri değerlendirme; saldırı veya felaketlerin potansiyel direk ve dolaylı etkilerini, çeşitli saldırı yöntemlerine karşı bilinen açıklıkları ve tehdit bilgisini hesaba katarak risk değerlendirmesi yapmayı,
Önceliklendirme; varlık, sistem ve/veya ağ riskleri ve ilgili görev devamlılığı konusunda uygun bakış açısını kazanmak için, risk değerlendirme sonuçlarını bir araya getirme ve karşılaştırmayı, risklere dayalı olarak öncelikler belirlemeyi, yatırım sonunda riskin azaltılması geri dönüş sağlayabilen koruma, esneklik ve iş devamlılığı kuruluşlarını belirlemeyi,
Programları uygulama; Koruma programları ve esneklik stratejileri uygulama; belirlenen riski azaltmak veya yönetmek için uygun programları ve eylemleri seçmeyi ve önceliklere hitap etmek için gerekli kaynakları belirleme ve sağlamayı,
Etkinliği ölçme; ölçütler ve diğer değerlendirme prosedürlerini uygun yönetim seviyelerinde koruma programlarının gelişimini ölçmek ve etkinliği değerlendirmeyi,

ifade eder.

Bir risk yönetim süreci olarak Siber Güvenlik, insandan başlayıp cihaz/altyapı ile devam eden, süreçler ve uygulamalar ile vücut bulan bu olguda strateji ve politikalar büyük önem taşımaktadır. Bu sürecin en zayıf halkası insandır. Bu süreçte kullanıcı, uygulayıcı ve karar verici konumundaki her insanın konunun öneminin farkında olmasına, bilgi ve bilinç düzeyinin arttırılmasına ihtiyaç vardır.

Gerçek anlamda güvenlik ancak milli siber güvenlik teknolojilerinin geliştirilip kullanılması ile mümkündür. Kullanılacak İthal siber güvenlik teknolojileri (backdoor vb. riskleri nedeniyle) bizatihi siber güvenlik risk ve tehdidi oluşturabilirler. Ulusal güvenliğin önemli unsurlarından biri haline gelen siber güvenliğin sağlanması ancak bu alanda milli çözümlerin geliştirilip kullanılması ile mümkündür.

O halde şu aşamada Siber Güvenlik tarifini yapma zamanı gelmiştir.

Siber Güvenlik konusu da çok sayıda tanımı olan kavramlardan biri olmakla birlikte kapsamı konusunda genel bir konsensüs olduğunu söylemek yanlış olmaz. Bu konuda en uzun süredir çalışmalar yapan ve konunun uzmanlarını bünyesinde barındıran Bilgi Güvenliği Derneği (BGD)’nin aşağıdaki tanımı en çok kabul görmüş tanımdır.

Siber Güvenlik, kritik alt yapıların ve bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi, tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik risk analizlerinin yapılarak önlemlerinin alınmasıdır. Siber güvenliğinin temel amaçları şunlardır;

Veri bütünlüğünün korunması,

• Bilgiye erişimin, erşim hız ve kalitesinin korunması,

• İzinsiz erişimin engellenmesi, mahremiyet ve gizliliğin korunması,

• Kritik alt yapılarda iş sürekliliği ve performansının devamlılığının sağlanmasıdır.

Siber Güvenliği ortadan kaldırmaya yönelik her türlü çaba ve faaliyeti ise Siber Tehdit yada Siber Saldırı olarak adlandırılır. Bunlara ayrı ayrı bakacak olursak;

Siber Tehditler

Siber güvenliğe yönelik tehditler, olayın aktörlerinin amaç ve hedefi ile kimliğine bağlı olarak aşağıdakilerin bir yada bir kaçını gerçekleştirmeyi hedefler;

Kritik altyapı ve sistemlerine yetkisiz erişim,
Sistemlerin bozulması ve hizmetin engellenmesi,
Bilgilerin değiştirilmesi ve veri bütünlüğünün bozulması,
Bilgilerin yok edilmesi,
Bilgilerin ifşa edilmesi,
Bilgilerin çalınması,

Siber Saldırılar,

Siber saldırıları gerçekleştiren aktörlerinin amaç, hedef ve kimliğine bağlı olarak çok değişik araçlar kullanırlar. Giderek daha da karmaşık ve teknolojik hale gelen Siber saldırılar sırasında aşağıdaki araçların biri yada bir kaçı kullanılabilmektedir;

Hizmetin engellenmesi saldırıları (DoS, DDoS)
Bilgisayar virüsleri
Kurtçuk (worm)
Truva atı (trojan)
Klavye izleme (key logger) yazılımları
Casus / köstebek (spyware) yazılımlar
Yemleme (phishing)
Şebeke trafiğinin dinlenmesi (sniffing ve monitoring)

Hackmageddon isimli bir Siber Güvenlik araştırma şirketi tarafından yapılan 2019 yılında gerçekleştirilen Siber olaylara ilişkin aşağıdaki analize göre siber saldırıların büyük kısmı (%43,5) Kötücül yazılım bulaşması ve (%14,8) Kullanıcı hesap bilgilerinin çalınması şeklinde gerçekleştirilmiştir.

Siber tehditlerin Kritik Altyapıları hedef alıp sosyal ve ekonomik düzeni etkiler hale gelmesi sonucunda devletler Siber Güvenlik konusuna öncelik vermeye ve bu yönde gereken önlemleri almaya başlamışlardır. Tehdidin kapsamı ve miktarı arttıkça, pek çok gelişmiş ülkede bu tehlikeler konusunda stratejik bir yaklaşım belirlenmiştir. Devlet sadece kendi sistemlerine yönelik değil tüm ülkedeki varlıkların ve oyuncuların güvenliğine dair adımlar atmakta, özellikle de kamu sektörü ve özel sektörde bulunan kritik altyapıların güvenliğini sağlama sorumluluğu üstlenmektedir. Ülke çapında Siber Güvenliğin sağlanması için devlet tek basına çalışan bir aktör olarak değil, daha ziyade mevcut siber ortamı daha güvenli ve dayanıklı hale getirecek, tüm paydaşların sürece dâhil edildiği bir ulusal strateji hazırlamaktadır. Özel sektör, üniversiteler ve sivil toplum kuruluşları ile yapılan işbirlikleri artmakta, uluslararası işbirliklerinin de artırılması için çalışmalar yapılmaktadır.

Dünya Telekomunikasyon Birliği (ITU) tarafından önerilen aşağıdaki modele göre Siber Güvenlik Kültürü, Siyasi, Yasal, Ekonomik, Teknik ve Sosyal alt katmanları olan ve Politika belirleyicilerden başlayarak Adalet sistemine, İşletme sahiplerinden BT uzmanlarına ve nihayetinde son kullanıcılara kadar uzanan zincirde her seviyedeki ilgililerin sahiplenip özümsemesini gerektirir. Siber Güvenlik Kültürü olmayan toplumların güvende olması ve Bilgi Toplumu olması mümkün olmayacaktır.

Teknik, ekonomik, siyasal ve sosyal etkileri açısından gerek bireysel, gerek kurumsal ve gerekse ülke boyutunda top yekün bir yaklaşım ve hassasiyet gerektiren Siber Güvenlik konusu, buna ilişkin bir kültür oluşturulmasını da gerekli kılmaktadır.

Siber Güvenlik Kültürü, ülke güvenliği açısından da çok önemlidir, çünkü artık ülkeler arası savaşlar cephelerin yanında Siber dünyada da yapılmaya başlanmıştır. Siber Savaş, ekonomik, politik, askeri nedenlerle hedef seçilen ülkeye bilgi ve iletişim sistemleri üzerinden gerçekleştirilen saldırılardır.

Siber saldırıları gerçekleştirenlere bağlı olarak saldırganların motivasyonları da değişmektedir. Motivasyonlarına bağlı olarak saldırıları ve saldırganları 3 ayrı grupta değerlendirmek mümkündür.

Birinci grup, amatörler tarafından yapılan bireysel saldırılar daha çok kendini ispat, aktivist hacker (hacktivist) grupları tarafından yapılan saldırılar daha çok propaganda (dini yada siyasi) veya protesto amaçlı nispeten masum kabul edilebilecek niteliktedir.

İkinci grup, tüm dünyada suç olarak kabul edilebilecek ve organize profesyoneller tarafından yapılan saldırılar da vardır ki, bunların arkasında suç örgütleri, çeşitli kurumlar hatta ülkeler yer alabilmektedir. Amaç ve motivasyonları maddi kazanç elde etmek (örneğin banka hesaplarından para çalmak), ticari sırları elde etmek, teknolojik bilgileri çalmak vb. olabilmektedir.

Üçüncü grubu ise ülkelerin resmi ya da gayri resmi yapılarının başka ülkelere yönelik saldırıları oluşturmaktadır. Bunun bir diğer adı da Siber Savaştır. Bu saldırılarda amaç hedef ülkenin kritik altyapılarını ve kritik projelerini çökertmek, bu yolla o ülkeye zarar vermektir.

Geçmişte gerçekleştirilen ve bir ülkeyi topyekün hedef alan Siber Saldırı örnekleri:

• 2007 –Estonya tüm altyapılarını çökerten siber saldırıları

• 2008 –Gürcistan’ı çökerten siber saldırıları

• 2008 – Bakü-Tiflis Ceyhan boru hattı saldırı

• 2009 –İran nükleer santral siber saldırısı

• 2016 – Ukrayna elektrik şebekesini çökerten saldırılar

• 2017 – S.Arabistan Petrokimya tesislerine yapılan saldırı

• 2018 – Rusya elektrik şebekesine yönelik saldırılar

• 2019 – ABD elektrik şebekesine yönelik saldırılar

Ülkelerin kritik altyapılarına yapılan saldırılar irili ufaklı boyutlarda sürekli yapılmaktadır. Aşağıdaki gösterimde 2019 yılına ait saldırı dağılımı görülmektedir.

Yukarıdaki verilerden de anlaşılacağı üzere ülkelerin Kritik Altyapılarını hedefleyen Siber saldırıların yarısından çoğunu (%53) Enerji sistemlerine yapılan saldırılar oluşturmaktadır.

Siber saldırıların Enerji sistemlerine yoğunlaşmasının birkaç nedeni bulunmaktadır. Bunlar:

Enerji sistemlerinin tüm diğer sektör ve sistemlerin can damarını oluşturması ve tüm insanlarını hayatındaki ağırlıklı önemi,
Mevcut enerji sistemlerini kontrol ve yönetim sistemlerinin (SCADA) göreceli olarak eski teknolojiye sahip olmaları ve saldırıya açıklıklarının çok olması,
Bu sektörde çalışan işletmen, teknisyen ve uzmanların Siber Güvenlik konusundaki bilgi ve yetkinliklerinin sınırlı olması

Bu sistemlere ilişkin teknik standartlarını yeni gelişiyor olması ve uyumlu hale getirilmesi konusundaki çalışmalar son yıllarda hızlanmış olup ETSI tarafından oluşturulan bu konuya ilişkin çalışma grubunun hazırladığı aşağıdaki gösterim tüm resmi özetlemektedir.

Kritik Altyapılarda Siber Güvenliğin sağlanması için Kurumsal süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek seviyede bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşmaya gidilmektedir. Bu amaçla geliştirilen ve uluslararası kabul görmüş Rehber ve Standartlar vardır.

Bu standartların en başında Uluslararası Standartlar Organizasyonu (ISO) tarafından yayınlanan ve TSE tarafından da Türkçeleştirilip ülkemizde de uygulamaya konulan “ISO27000 Bilgi Güneliği Yönetim Sistem Standardı Ailesi” gelmektedir.

ISO 27001 standardı genel olarak aşağıdaki amaçları gerçekleştirmektedir.

Kurumun bilgi güvenlik risklerini, bilgi varlıklarına yönelik tehditleri, varlıkların açıklıklarını sistematik olarak denetlemek;
Risk işleme planları, artık risklerin transferleri ile tutarlı bilgi güvenliği kontrollerini tanımlamak ve gerçekleştirmek, riskleri kabul edilebilir seviyeler çekmek
Bilgi güvenliği kontrollerinin sürekliliğini bilgi güvenliği esaslarına göre sağlamak üzere yönetim süreçlerini kabul etmek ve uygulamak

Standart yukarıdaki amaçları gerçekleştirmek üzere aşağıdaki konuları kapsamaktadır;

1. Risk Değerlendirme ve Tehditlendirme

2. Güvenlik Politikası

3. Güvenlik Organizasyonu

4. Varlık Yönetimi ve Sınıflandırma

5. İnsanKaynaklarıYönetimi

6. Fiziksel ve Çevresel Güvenlik

7. İletişim ve Operasyon Güvenliği

8. Erişim Denetimi

9. Bilgi Sistemleri Temini, Geliştirilmesi ve Yönetimi

10.Güvenlik İhlal Yönetimi

11.İş Devamlılık Yönetimi

12.Yasalar ve Standartlarla Uyumluluk

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ISO 27000 Bilgi Güvenliği Yönetim Sistemi standartlar ailesinin ana standardı olup sistem kurulumu ve belgelendirme bu standarda göre yapılmaktadır. Kurumlar, oluşturdukları Bilgi Güvenliği Yönetim Sisteminin standartlara uygunluğunu ve uygulamalarının etkinliğini akredite edilmiş (ülkemizde TURKAK tarafından) belgelendirme kuruluşlarına (TSE, TUV, SGS vb.) denetlettirerek belgelendirebilmektedirler.

Kurumsal Siber Güvenliğin üst seviyede sağlanabilmesi için bunun devamlılık gerektiren bir süreç olduğu ve bu sürecin yukarıda belirtilen standartlar çerçevesinde yönetilmesi gerektiği unutulmamalıdır.

Yapılan çalışmalar hala pek çok kurumda Siber Güvenlik açıkları ve kayıplarının artması sebebiyle bu konunun henüz doğru olarak anlaşılmadığını, bireyler ve kurumlar tarafından konuya gereken önemin verilmediğini ve bilinçlenmenin gereken seviyede olmadığını göstermektedir.

Bağımsız araştırma kuruluşlarının raporları kurum ve kuruluşların güvenlik teknolojilerine yeterli ölçüde yatırım yapmadıklarını göstermektedir.

ITU destekli tüm ülkelerin Siber Güvenlik konusundaki yetkinlik/olgunluğunu değerlendirmek üzerine yapılan NCSI (National Cyber Security Index) çalışmasının yuklarıdaki sonuçlarına göre Türkiye, Avrupalı ülkeler arasında 11., tüm ülkeler arasında ise 20.sıradadır. Bu sonuçlar tatminkar olmakla birlikte yapılacak çok şeyin olduğunu da ortaya konmaktadır.

Paylaşın: