Kritik Altyapıları Hedef Alan Siber Silahlar




Kurumları Hedef Alan Siber Silahlar;
- Stuxnet
- Night Dragon
- Flame
- Duqu
- Gauss
- Shamoon
Kritik Altyapılara Yönelik Siber Saldırı Örnekleri;
Büyük Çaplı Elektrik Kesintileri;
- ABD ve Kanada Elektrik Kesintisi
- Hindistan Elektrik Kesintisi
- Türkiye Elektrik Kesintisi
Kritik Altyapıların Siber Güvenliği Kapsamında Alınabilecek Önlemler





Kurumları Hedef Alan Siber Silahlar


1. Stuxnet


Bir solucan yazılımı olan Stuxnet’in, “Amerika”, “İsrail” ve “Hollanda” tarafından kullanıldığı düşünülmekte olup, İran’ın nükleer faaliyetlerini sekteye uğratmak için kullanıldığı bilinmektedir. Bu yazılım, endüstriyel kontrol sistemlerini hedefleyen ve çalışma düzenlerini engellemek amacıyla yapılan ilk siber silah tehdidi olarak bilinmektedir. İran’ın nükleer program kapsamında inşa ettiği Natanz’daki nükleer tesise yönelik uzun bir süredir siber saldırı gerçekleştiren ve 2010 yılında tespit edilen Stuxnet silahı, nükleer santrifüjlerin hasara uğramasına neden olmuştur. Devletinde desteklemiş olduğu bir operasyon kapsamında yürütülen saldırının sadece İran’ı hedef aldığı bilinmektedir.

Bu solucan yazılımı Stuxnet, siber silahlar arasında haberlere ve çeşitli yayınlara en çok konu olan hedef odaklı saldırıdır. Bugün bilindiği kadarıyla Stuxnet operasyonu, Kasım 2005’te ilgili sistemdeki Komuta-Kontrol sunucularının incelenmesi sonucu kısmen fark edilmiştir. Ancak burada sadece anormal bir işleyişin varlığı söz konusudur. Bu tehdidin mekanizması ve işlevleriyle ilgili kapsamlı tespit işlemleri ise bundan 5 yıl sonra, Temmuz 2010’da yapılmıştır. Bu durumun nedeni ise: “Stuxnet solucanının kendisini bu zamana kadar gizlemeyi başarmasından kaynaklanmaktadır.” Stuxnet solucanı sıradan bir solucan ya da virüsten farklı olarak spesifik amaçlı oluşturulmuştur ve yalnızca “Siemens Step7” sistemini hedef almıştır.
Stuxnet’in en muhtemel sızma yöntemi ise “USB Flash Bellekler” aracılığıyla hedefe etki etmesi olarak değerlendirilmektedir. Solucan, internetten izole edilmiş, dışarıdan girilmesi mümkün olmayan ağlara da bulaşmıştır. Bunun sonucunda ise bilgisayarlarda dahil olmak üzere 155 ülkede yaklaşık olarak 40.000’den fazla cihaza sızdığı tespit edilmiştir.





2. Night Dragon


Stuxnet solucan operasyonundan sonra 2009 yılında üretilip yayıldığı düşünülen Night Dragon, çoğunlukla küresel petrol ve enerji şirketlerine karşı koordine edilmiş bir silah olarak nitelendiriliyor. Bazı kamu kurumlarını da hedef alan bu saldırı çoğunlukla Windows işletim sistemlerinde bulunan birtakım güvenlik açıklarından yararlanmak suretiyle bilgisayarlarda erişim hakkı elde etmek için gerçekleştiriliyordu. Kazanılan erişim hakkı ile bilgisayarlardaki petrol ve gaz üretim sistemlerinin bilgileri ve şirketlere ait finansal dökümanlar ele geçirilmiştir.

Güvenlik araştırmacılarının Night Dragon olarak adlandırdığı bu gelişmiş saldırı yönteminde kullanılan araçların, tekniklerin ve ağ faaliyetlerinin Çin Devleti kaynaklı olarak belirlendiği ifade edilmektedir. Kullanılan saldırı araçlarının Windows oturum açma isteklerini engelleyen ve kullanıcı adlarını ve parolaları ele geçiren araçlar olduğu tespit edilmiştir.

McAfee şirketi hedeflenen kuruluşlardan hassas verileri ele geçirmek için tasarlanmış önemli bir saldırı dizisini ortaya çıkarmıştı. Daha sonra bu saldırılara Night Dragon adını vermişlerdi. Night Dragon saldırıları, sosyal mühendislik, hedef kimlik avı, Windows işletim sistemindeki güvenlik açığı suistimalleri, Active Directory güvenlik ihlalleri ve Uzaktan Yönetim Araçlarını yani RAT’ları içeren koordineli, gizli ve hedefli siber saldırılar kullanmaktadır.





3. Flame / Flamer / SkyWiber


İlk olarak 2010 yılında aktif olan ve 2012 yılında “SkyWiper” adıyla tespit edilen “Flame” ya da “Flamer”, Stuxnet’e benzeyen fakat çok daha karmaşık ve güçlü bir siber silah olarak tanımlanmaktadır. Karmaşık bir yazılım olarak Flame, belirli bir aktör tarafından değil birden fazla aktörün dahil olması sonucu oluşmuştur. Bu sebeple bugüne kadar tespit edilen en komplike yazılım olarak ifade edilmektedir. Stuxnet’ten farklı olarak hedefe zarar verme değil, hedeften bilgi alma amaçlı oluşturulmuştur. Ancak Stuxnet virüsünden 20 kat daha karmaşık bir kodla yazılmıştır. İlk olarak İran’da keşfedilen bu silah, Doğu Avrupa ve Ortadoğu ülkelerinde de tespit edilmiştir. Çoğunlukla devlet kurumlarını hedef alan Flame’in kaynağı hakkında net bir bilgi elde edilememiştir ancak tıpkı Stuxnet gibi devlet destekli bir operasyon kapsamında yürütüldüğüne dair bilgiler mevcuttur.
Bu yazılıma ait ilginç bir özellik ise tüm modülleri ile birlikte yaklaşık 20 Megabayt civarında bir büyüklükte olmasıdır. Flame ile Stuxnet ve Duqu arasında çok güçlü bir bağ kurulamasa da genel kod yapısı ve fonksiyonları benzerlik göstermektedir. Bu nedenle Stuxnet ve Duqu saldırılarını gerçekleştiren aynı saldırganlar değil fakat işbirliğinde olan saldırganların yaptığı tahmin edilmektedir. Büyük ve karmaşık bir yapıya sahip olan Flame malware yazılımı USB flash belleklerle yerel ağlarda yayılması için tasarlanmıştır. Kendini çoğaltma yeteneği olmayan malware için saldırgan “Yazıcı Kuyruğu ve Windows Shell” açığını kullanarak başka bilgisayarları etkilemesini sağlayabilmektedir. Flame saldırısında C C sunucu için 80’den fazla domain kullanılmış olup şifreleme tekniği olarak XOR şifreleme ve RC4 algoritmaları kullanılmıştır.

Flame Virüsünün bilginin sızdırılabilmesi için monitör, klavye, depolama cihazları, mikrofon, USB, Bluetooth ve Wi-Fi gibi her türlü sistem işlemcilerini ve donanımını kullanabildiği Budapeşte’de bulunan bir Kriptografi ve Sistem Güvenliği Laboratuvarı “CrySyS Lab” tarafından yapılan araştırma sonucu ortaya konulmuştur. Flame Virüsünü yönlendirmek için virüsün arkasında bulunan kişiler tarafından kontrol ve komutası çok sık değişen bir ağ kullanılmıştır. İran, İsrail, Mısır, Suriye, Batı Şeria, Lübnan, Sudan ve Suudi Arabistan virüsten etkilenen bölgeler arasında gösterilmektedir. Flame virüsü, siber casusluk amacı ile geliştirilen en güçlü siber silahlardan birisidir.





4. Duqu


2011 yılında keşfedilen Duqu Şubat 2010’dan beri aktif olduğu tahmin ediliyor. Stuxnet ve Flame yazılımlarının bir benzerini içerdiği belirtilen Duqu’nun Stuxnet’i oluşturan tehdit aktörleri tarafından veya Stuxnet’in kaynak koduna erişimi olanlar tarafından yazıldığı tespit edilmiştir. Duqu’nun Stuxnet’ten farklı olarak amacının, hedef sistemden veri elde etmek olduğu ifade edilmektedir. Ayrıca diğer amacının da gelecekte başka bir üçüncü tarafa karşı daha kolay bir saldırı gerçekleştirmek için endüstriyel altyapı ve sistem üreticileri gibi kuruluşlardan istihbarat verilerini ve varlıkları toplamak olduğu belirtilmektedir. Duqu’nun Avrupa ve Ortadoğu’daki yaklaşık 12 ülkeden çeşitli organizasyonları hedef aldığı bilinmektedir ve tıpkı Stuxnet ve Flame gibi devlet destekli bir operasyon kapsamında kullanıldığına dair iddialar söz konusudur. Hedefinde ise İran, Sudan, Fransa ve Macaristan bulunmaktadır.

Duqu virüsü Stuxnet virüsünden farklı olarak SCADA sistemleri ile ilgili kritik bilgileri toplamak için tasarlanmıştır. 36 gün sonra virüs eriştiği sistemden kendisini silmektedir. Duqu virüsü saldırı yapacağınız sistemin zayıf ve güçlü yönlerini ele geçirmek için SCADA sistemleri ile ilgili kritik bilgilerin tespiti yapmaktadır. Bu tespit ise Stuxnet benzeri saldırı silahlarının işini ve oluşumunu kolaylaştırmaktadır. Duqu saldırısında temel hedef sabotaj yerine casusluk yapmaktır. Microsoft Word dosyasında bulunan True Type font açığından yararlanarak sıfır gün saldırısı düzenlenmiştir. Duqu yazılımı kendini çoğaltmamakla birlikte saldırgan hedef aldığı bilgisayarı bir sonraki hedef için bir adım olarak kullanmıştır. Ayrıca saldırılarda keylogger yöntemi ile elde edilen verilere XOR şifreleme yapılmıştır. Bahsediyor olduğumuz Duqu’nun yanı sıra bunun daha gelişmiş bir versiyonu olan Duqu 2.0 da bulunmaktadır…



5. Gauss


2011 yılında tespit edilen siber silah araçlarından olan Gauss diğer yazılımlardan farklı olarak bankaları etkilemesidir. Siber bir tehdit olan virüs çevrimiçi bankacılık hesaplarını izlemiştir. Virüs, etkisine aldığı bilgisayarlarda bulunan çevrimiçi bankacılık hesap kimlik bilgileri, hassas verileri ve tarayıcı parolalarını ele geçirmek için tasarlanmıştır.


Flame ile benzer yapıda bileşenlere sahip olan Gauss’un, bilinmeyen bir saldırı aracı taşıyan Trojan olarak çalıştığı ve devlet destekli bir operasyon kapsamında yürütüldüğü tespit edilmiştir. Gauss, Stuxnet, Flame ve Duqu’nun aksine kurumları veya belirli bir sektörü hedeflememiştir. Spesifik anlamda belirli şahısları üst düzey bir siber casusluk operasyonu kapsamında hedeflemiştir. Bunu da ilgili hedefin sisteminden veri ele geçirme yoluyla yapmıştır. Gauss’un Stuxnet, Duqu ve Flame’i üreten aynı aktörler tarafından oluşturulduğuna dair önemli kanıtların olduğu da bilinmektedir.


Gauss’un Windows sistemlerinden çeşitli verileri ele geçirmenin yanı sıra, bazı sistemlerde etkinleşen bilinmeyen şifrelenmiş bir yük de içerdiği görülmüştür. Tıpkı Duqu’nun Stuxnet platformuna dayandığı gibi, Gauss’un da Flame platformuna dayandığı söylenmektedir. Toplamda 2,500’den fazla sisteme bulaştığı tespit edilen Gauss’un çoğunlukla Ortadoğu ülkelerini hedef aldığı teknik dokümanlarda belirtilmiştir.



6. Shamoon


2012 yılında, son derece yıkıcı etkiye sahip bir siber saldırı olarak değerlendirilen Shamoon virüsün ortaya koyulmasındaki amaç enerji sektörünü hedef almak olmuştur. Virüs işleme mantığı bulaştığı sistemlere zarar vermek ve bilgisayarları kullanılamaz hale getirmek olmuştur. 2012 yılında Suudi Arabistan’ın Aramco adlı ulusal petrol şirketine yapılan bir siber saldırı ile varlığı anlaşılmıştır. Saldırı Arabistan’ın en büyük petrol rafinerisinde yaklaşık 30.000 bilgisayarı etkilemiştir. Yapılan saldırılar ile petrol şirketine ekonomik olarak zarara sebebiyet vermiştir.

W32.Disk Track olarak da bilinen bu saldırıda kullanılan kötü amaçlı yazılım, diğer tüm siber silahlara göre farklı bir çalışma mantığına sahiptir. Buna göre Shamoon, öncelikle sızdığı sistemde gerekli tüm dosyaları oluşturmakta, eski dosyaları silmekte ve son olarak gerekli verileri yöneticiye gizlice iletmektedir.

Bu süreç tespit edilmeden aylarca sürmüştür. Shamoon son olarak işlemleri bitirince sızdığı sistemde bozulmalara ve kesintilere neden olmaktadır. Stuxnet, Duqu ve Flame gibi silahlara nazaran Shamoon’un halen aktif olarak çalıştığı düşünülmektedir. Çünkü 2016 yılında ve 2018 yılında Orta Doğu’daki hedeflere karşı yeni bir saldırı dalgasıyla Shamoon yeniden tespit edilmişti. Bu son iki Shamoon saldırıları ilk varyanta göre daha etkili saldırılar olarak değerlendirilmektedir.

Kritik Altyapılara Yönelik Siber Saldırı Örnekleri


Büyük Çaplı Elektrik Kesintileri Üzerine Araştırma

Elektrik altyapısı, kritik altyapılar arasında çok önemli bir konuma sahiptir. Elektrik dağıtım altyapısı incelendiğinde; üretim tesisleri, iletim hatları, trafo merkezleri, iletim ve dağıtım trafoları, ulusal/bölgesel ve yerel kontrol merkezleri, uzak uç birimleri, akıllı elektronik cihazlar ve iletişim hatları gibi farklı birim ve tesisler görülmektedir. Bu kontrol merkezleri, devre kesici, sigorta anahtarı, trafo ve röle gibi güç sistemi unsurlarını arayüzler ve izleme sensörleri marifetiyle komuta eden, geniş ağlarla bağlantılı özelleştirilmiş uzak uç birimleri ve akıllı elektronik cihazlarına bağlı SCADA sistemleri ile ilişkilidirler.

Elektrik altyapı sistemi üst düzeyde dinamik, karşılıklı bağlantılarla hizmet veren, resmi ve özel sektöre ait unsurların iç içe olduğu karmaşık bir yapıdır. Siber saldırı ihtimali göz ardı edildiğinde dahi; gözlem ve kontrol işlevlerinin yerine getirildiği SCADA-ICS sistemlerinde meydana gelen aksaklıklar, cihazlardan kaynaklanan arızalar, kullanıcı hataları ve çevresel etkenlerden dolayı sık sık kesintiye uğrayan elektrik altyapısı, bunların çok azında uzun süreli ve büyük çapta zararlara neden olmaktadır.



1. ABD ve Kanada Elektrik Kesintisi


Tarih 2003… 14 Ağustos 2003 tarihinde Kanada’nın Ontario eyaleti ve ABD’nin bazı eyaletlerinde (Michigan, Pennsylvania, New York…) elektrik kesintisi meydana gelmiştir. Bu kesintiden 50 milyon insan etkilenmiştir. Kesinti Amerika tarihinin en büyük elektrik kesintisi olarak karşımıza çıkmaktadır. Ontario eyaletinde bir haftadan fazla süren kesinti, ABD eyaletlerinde 4 gün sürmüştür. Bu süreçte kesintinin yalnızca Amerikaya maliyeti 4-10 milyar dolar olduğu belirtilmektedir.

Ontario’da ise üretimin aksamasından kaynaklanan zararın yaklaşık 2,3 milyar Kanada doları olduğu tahmin ediliyor. Elektrik kesintisi kritik sektörlerde faaliyet gösteren pek çok büyük şirketin işlemlerinin durmasına neden olmuştur.

Elektrik Kesintisi Sonucunda;

* General Motors, Ford, Honda gibi dev şirketlerin olduğu otomobil ve motor üretim tesislerinden en az 70 tanesi faaliyetlerini kesinti süresince durdurmuştur. Bu süreçte yaklaşık 100000 çalışan işlerine gidememiştir. 8 petrol rafinerisi kesintiden etkilenmiştir. Üretim kaybı nedeniyle bazı eyaletlerde yakıt sıkıntısı yaşanmıştır.

* Özellikle Ontario eyaletinde kümelenmiş durumdaki kimyasal petrokimyasal tesisler kesintiyle birlikte süreçlerinde aksaklıklar yaşamışlardır. Geniş çaplı bir alanda çevresel zarara neden olan bu aksaklıklar aynı zamanda saat başı 10 ila 20 milyon dolar arasında kayba yol açmıştır.

* Trafik ışıklarının çalışmaması ile büyük kentlerde önemli aksaklıklar yaşanmıştır. Birçok şehirde havaalanları hizmetlerine ara vermiştir. Gıda ve tarım sektörüne ait kayıpların yaklaşık 1 milyar dolar olduğu tahmin edilmektedir. Soğuk zincir ve gıda tedarikçileri büyük zarara uğramışlardır. Yine aynı şekilde ilaç şirketleri, bankalar, marketler, gibi yerler hizmetlerini durdurmak zorunda kalmışlardır.

* Telefon altyapısı elektriğe ihtiyaç duyduğundan kesintinin ilk anından itibaren telefonlar kullanılamamıştır. Cep telefonları ise yoğunluk nedeniyle kullanılamaz duruma gelmiştir. New York eyaletinde sahne sanatlarının merkezi konumunda bulunan Broadway’in kesinti boyunca ara vermek zorunda kaldığı gösterilerindeki maddi kaybı 1 milyon dolar civarındadır.

Kesintinin ardından Amerika ve Kanada tarafından ortak olarak sürdürülen araştırmalar sonrasında kesintinin sebeplerine ve alınacak önlemlere dair detaylı bir rapor yayınlanmıştır. Bu rapora göre kesinti birden fazla aksaklığın ve hatanın üst üste gelmesi sonucunda oluşmuştur. İlgili elektrik işletmesinin “First Energy” voltaj düzensizlikleri karşısında gerekli önlemleri almayışı, sistemin yetersizliklerini zamanında fark edemeyerek müdahale etmemesi ve olay sonrasında gerekli devir ve düzenlemeleri yapmaması kesintinin temel nedenleri olarak sıralanmıştır.

Kesintiye neden olan olayların başlangıç noktasının siber tabanlı bir kontrol sisteminin hatalı bir veri-girdi nedeniyle arızalanması ve hemen ardından arızalanan sistemin ve komşu kontrol bölgelerinin anlık durumlarının da takip edilemeyişi siber saldırı ihtimalinin kuvvetlenmesine neden olmuştur.



2. Hindistan Elektrik Kesintisi


2 Ocak 2001 tarihinde şebekelerdeki düşük elektrik miktarı ve yüksek talep yüzünden meydana gelen elektrik kesintisi etkilediği insan sayısı açısından o tarihe kadar tarihteki en büyük kesinti olma özelliğini taşımıştır. 230 milyon insanı etkileyen ve yaklaşık 107 milyon dolar zarara neden olmuştur. Bu olaydan yaklaşık 10 yıl sonra 31 Temmuz 2012’de yine Hindistan’da meydana gelen ve dünya nüfusunun yaklaşık %10’u olan 680 milyon insanın etkilendiği elektrik kesintisi halen tarihteki en büyük kesinti olma özelliğini sürdürmektedir. Etkilenen nüfus verisinin; kesintinin yaşandığı coğrafi alan üzerinde yaşayan insan sayısı esas alınarak belirlendiği özellikle belirtilmelidir. Çünkü etkilenen alanda yaşayan insanların yarısına yakınının “323 milyon” elektrik hizmetine erişimi bulunmamaktadır.

30 Temmuz 2012’de nispeten daha küçük çapta ülkenin kuzey bölgesinde yaşanan elektrik kesintisinin ardından bir gün sonra meydana gelen büyük kesinti ile ilgili olarak sorumlu bakanlık tarafından yapılan ilk açıklamalarda Hindistan’ın kuzey bölgelerinde sıcak hava nedeniyle aşırı yüklenmenin oluştuğu ve bunun ülkenin kuzey, batı ve kuzeybatı bölgesinde kesintiye neden olduğu belirtilmiştir. Ancak uzmanlar kesintinin temel nedeninin yetersiz yatırımlardan, ülke yönetiminin hatalı enerji politikalarından kaynaklandığını belirterek, yaşanan olayın belirtilerinin yıllardır ihmal edildiğini vurgulamaktadırlar.

Hindistan’ın 28 eyaletinin 20’sini kapsayan kesintinin gerçekleşmesiyle birlikte tren seferleri durmuş, madenlerde çalışanlar mahsur kalmış, pek çok hastane ve tesis kapanmıştır. Suların da kesilmesi ile günlük yaşantıda önemli aksaklıklar yaşanmıştır. Büyük sanayi şirketleri ve havaalanları sahip oldukları jeneratörler sayesinde işlevlerini sürdürebilmişlerdir.



3. Türkiye Elektrik Kesintisi


31 Mart 2015 tarihinde Türkiye’de yaşanan elektrik kesintisi henüz nedeni tam olarak bilinmemektedir. Üretilen elektriğin üretim santrallerinden dağıtım noktalarına ulaştırılmasını sağlayan ve birbirinin alternatifi olarak planlanan üç iletim hattının saliseler içinde arıza yapması sonucu meydana gelen elektrik kesintisi sabah saatlerin başlamış, akşam 21:00 itibariyle tüm ülke genelinde elektrik kullanımı sağlanmıştır. Yaşanan elektrik kesintisine dair kayıtlar incelendiğinde 5 saat 22 dakika 16 saniye enterkonnekte iletim sistemi tamamen devre dışı kalmıştır. Bu saniyeden itibaren santraller devreye alınarak elektrik verilmeye başlanmıştır. Bu işlem sırasında kritik altyapılar kapsamında faaliyet gösteren tesis ve sistemler öncelikli olarak değerlendirilmişlerdir.


Kesintiyle birlikte şehirlerde metro ve elektrikli tren seferleri durmuştur. Trafik ışıklarının devre dışı kalmasıyla İstanbul başta olmak üzere ulaşım büyük ölçüde aksamıştır. Büyük hastanelerde acil servis ve yoğun bakım üniteleri dışında sağlık hizmeti verilmemiş, okullar ve devlet kurumlarının birçoğunun hizmetleri aksamış ve çalışanlar evlerine gönderilmişlerdir. Otomotiv ve tekstil gibi önemli üretim sektörlerinde faaliyetler bir vardiya süresince durdurulurken Ankara Sanayi Odası zararın ilk belirlemelere göre 800 milyon dolara ulaştığını belirtmiştir.


Türkiye çapında yaşanan elektrik kesintisinin teknik incelemeleri halen devam etmektedir. Buna paralel olarak ekonomik sonuçlarına yönelik resmi bir araştırma ya da rapor henüz hazırlanmamıştır. Bu çalışmaların tamamlanabilmesi için dünyadaki örneklerle karşılaştırıldığında zamana ihtiyaç olduğu değerlendirilebilir. Ancak buna rağmen eldeki mevcut bilgiler ve yapılan açıklamalar sonucunda kesintinin temel nedeninin siber saldırı olma olasılığının çok az olduğu değerlendirilmektedir. Siber saldırı ihtimali olmasa dahi, tıpkı ABD ve Hindistan örneklerinde olduğu gibi elektrik alt yapısında meydana gelebilecek bir aksaklığın ulusal güvenlik, toplum refahı ve ekonomik anlamda nelere mal olabileceği konusuna vurgu yapılmaya çalışılmıştır. Bununla beraber sistem yöneticilerinin bu olaydan dersler çıkartmaları ve tedbirlerini gözden geçirmeleri gerekmektedir.





Kritik Altyapıların Siber Güvenliği Kapsamında Alınabilecek Önlemler


“Değerlendirme-Analiz”, “İyileştirme”, “Uyarılar”, “Azaltma”, “Saldırı Sonrası Tepki”, “Yeniden Yapılandırma”


Kritik altyapı sistemlerinin karşı karşıya olduğu en önemli güvenlik problemlerinden bazıları: Artan bağlantı sayısı, karşılıklı bağımlılık, karmaşık yapı ve sistem erişilebilirliğinin kesintisiz olma zorunluluğudur. Bu problemlerin etkilerinin nispeten azaltılabilmesi amacıyla sistemlerin sürekli güncel kalması ve yeni tehditleri tanıyabilmeleri mümkün kılınmalıdır. Temel amaç ise sistemlerin korunması yerine saldırılara karşı dirençli ve kendi kendini iyileştirebilir olmasını sağlamak olmalıdır.


Analiz ve Değerlendirme: Kritik altyapı korunmasının en temel ve en önemli aşamasıdır diyebiliriz. Bu aşamada; sistem içerisindeki birim ve fonksiyonların kritiklik dereceleri, zafiyetleri, karşılıklı bağlantıları, konfigürasyonları ve temel özellikleri ortaya konur. Daha sonra ise sistemin zarar görmesi ya da çökmesi durumunda ortaya çıkacak etki belirlenir. Bunun için testler, taramalar ve tatbikatlar yapılmaktadır.

İyileştirme: Kritik altyapı, birim ve fonksiyonlarında zarara neden olabilecek bilinen zafiyetlerin herhangi bir tahribat meydana gelmeden önce önlemler alınmasıdır.

Belirtiler ve Uyarılar: Sistem içerisindeki birim ve fonksiyonların izlenmesini, oluşabilecek belirti ve uyarıların rapor edilmesini kapsayan aşamadır. Belirtiler altyapı bünyesinde bir aksaklık olup olmayacağına dair gerekli ipuçları veren olaylardır ve her seviyede gözlemlenmektedir.

Azaltma: Kritik birim ve fonksiyonların kaybı ya da zayıflaması durumunda oluşacak etkiyi azaltma çalışmalarını içeren aşamadır. Saldırı öncesinde ve saldırı esnasında altyapı hizmet sağlayıcıları, sektörel uzmanlar, askeri birimler ve kamuya ait savunma birimleri tarafından yürütülürler.

Saldırı Sonrası Tepki: Olay sonrasında saldırı kaynağını saf dışı bırakmaya yönelik plan ve faaliyetleri içermektedir. Son aşama ise “Yeniden Yapılandırma” aşaması olup zarar görmüş altyapıları normale döndürme çalışmalarını içerir.


# Sistem üzerindeki tüm ağların tanımlanması: modem bağlantıları, yerel ağlar, iş ortakları ile bağlantılar, internet, kablosuz ağlar, uydu bağlantıları ayrı ayrı değerlendirilmelidir. Gereksiz ağ bağlantılarının iptal edilmesi: siber güvenliğin üst düzeyde sağlanabilmesi için sistem mümkün olduğunca ağ bağlantılarından arındırılmalıdır.

# Kalan ağların değerlendirilmesi ve güçlendirilmesi: sızma testleri ve hassasiyet analizleri ile kalan ağların durumu tespit edilmeli, tüm giriş noktaları güvenlik duvarları, sızma tespit sistemleri ve diğer gerekli güvenlik araçları ile güçlendirilmelidir.

# Sistem içindeki gereksiz hizmetlerin devre dışı bırakılması: Doğrudan saldırıların engellenmesi için hali hazırda ticari veya açık kaynak yazılımları ile tasarlanmış olan sistemlerin risk değerlendirmesi yapılmamış, kullanılmayan veya arka planda bekletilen hizmet bağlantıları kesilmelidir.

# Siber güvenlik ihtiyaçlarının açık bir şekilde tanımlanması: tüm çalışanların siber güvenlik kapsamında görev tanımlamaları ve sorumlulukları ile hata sonucunda karşılaşacakları sonuçlar belirlenmelidir. Kriz durumunda yapılması gerekenler ve işlem süreçlerinde gerekli uyarılar tekrar edilmelidir.

# Sistem yedeklemesinin ve acil durum planlarının yapılması: acil durum tatbikatları ve sistem yedeklemeleri, personelin aşinalığını arttırmak ve yapılan hataların tekrar edilmemesine yönelik tedbirler alabilmek maksadıyla periyodik olarak gerçekleştirilmelidir.





Kaynaklar


Siber Uzayda Güç ve Siber Silah Teknolojilerinin Küresel Etkisi
- Ersin ÇAHMUTOĞLU

Siber Güvenlik Kapsamında Kritik Altyapıların Korunmasının Önemi
- Mustafa MERAL

Siber Olaylar Ekseninde Siber Güvenliği Anlamak
- Aşır SERTÇELİK

Gelişmiş Sürekli Tehditler
- Murat AKIN, Şeref SAĞIROĞLU

Teşekkürler.

++