Siber Tehditler, kritik altyapıların önemi ve her geçen gün büyüyen siber güvenlik pazarı

Güvenlik ve güvende hissetme duygusu insanoğlunun temel yaşama içgüdülerindendir. Bundan belki 15-20 yıl öncesine gidildiğinde güvende hissetme gereksiniminin karşılanması için sadece fiziksel anlamda korunmayı gerçekleştirmek yeterli oluyordu. Ancak günümüzde internet çağı yaşanırken nesnelerin güvenliğini sadece gözle görünen bir koruma olarak düşünmek son derece anlamsız ve yetersiz kalmaktadır. Her geçen gün gelişen teknolojiler ve beraberinde artan iş ortaklıklarından dolayı enerjide siber saldırıların daha kolay gerçekleşmesine zemin hazırlamaktadır.

Elektrik modern uygarlığın temelidir. Bu önemli gerçek çoğu zaman “ışıkları açık tutmak” sözüyle dile getirilir, aydınlatma elektriğin ilk büyük pazarı ve zorunlu bir gereksinim olduğu için bu gayet yerinde bir ifadedir. Elektrik enerjisi olmasaydı çalışamayacak ya da gerçekleşmeyecek olan şeyleri hiç düşündünüz mü? Ne televizyon ne havalandırma ne bilgisayar ne de asansör çalışırdı. Aynı zamanda elektrik her türlü sanayi işletmesinde yapılan işlemler için vazgeçilmezdir.

Mobil internet trafiği son 5 yıl içinde 30 kat daha fazla arttı. Bugün çevremizdeki pek çok şey birbirleriyle teknolojik ilişki içindedir. Önümüzdeki yıllarda en stratejik konu siber güvenlik olacaktır. Elektrik dünya ekonomisine şekil veren gerçek zamanlı iletişim, finans ve ticaret ağlarını olanaklı kılar ve birbirleriyle bütünleştirir. Enerjinin neredeyse hayatımıza girmediği alanlar kalmamıştır. Şu anki yaşamımızda elektriğe ulaşmak için sadece evimizdeki elektrik düğmesine basmak yeterlidir. Enerji üzerinde düşünmek insanların aklına çoğu zaman elektriği evlerimize, işyerlerimize ve ortak yaşam alanlarına ulaştırabilen, nakil taşıma hatları sisteminde meydana gelen kısmi ya da genel arıza sonucu gelir ve çoğu zaman bizi yakalar. İletişimimizi sağlayan modern cihazlarımız, aydınlatmalar, tıbbi yaşam üniteleri gibi olmazsa olmaz yaşam kaynaklarımız işlevsiz hale gelir ve elektriksiz geçen kısa anlar bile çoğu zaman bize uzun günler gibi gelir ve hayatımız felç olur.

Peki, kısmi ya da genel arızalar dışında enerji sistemlerine dıştan gelen (illegal) ne gibi tehditler ile karşılaşmaktadır?

Enerji yapıları ve bu yapıların ayakta tuttuğu yaşamsal kritik altyapılar, hemen hemen her ülke içinden veya ülke dışından küçük gruplar ya da illegal nitelikli büyük organizasyonların en çok hedef aldığı kritik noktaları oluşturmaktadır. Enerji sektörünün kendi içinde birbirleriyle ve diğer sistemlerle teknolojik iletişimsel bağlantısının hızla yoğunlaşması ve sektörde sayısallaşmasının giderek artması, sektörün şimdiye kadar pek aşina olmadığı ‘’siber güvenlik’’ sorununu ortaya çıkardı. Dünya Enerji Konseyi (WEC), enerji sektörü için en önde gelen risklerden birinin siber riskler olduğunu ortaya koydu. WEC’ in verdiği rakam ve öngörülere göre, küresel ölçekte petrol, gaz ve elektrik sektörünün siber güvenlik yatırımlarının 2017’ye kadar yaklaşık 2 milyar dolara ulaşması bekleniyor. Küresel siber güvenlik pazarına bakıldığında 2017 yılında yaklaşık 120 milyar dolarlık bir büyüklüğe ulaşması beklenmektedir. Son 2 yılda üretilen data, insanlığın şu ana kadar ürettiği datalardan daha fazladır. Bu bilgilere yönelik siber saldırılar ne kadar kolaysa savunma da o kadar pahalı ve zordur. Günde 1,5 milyon kişinin bilgileri değişik coğrafyalarda siber saldırılara maruz kalmaktadır. Ucuz bir virüs yazılımı, milyonlarca liralık savaş uçağından daha fazla ekonomilere zarar vermektedir. Son yıllarda istihbaratın ötesinde devletlerarası savaşların da siber uzaya taşındığı, devletlerin bu düzlemi bir savaş aracı olarak kullanmaya başlandığı, buna yönelik siber ordular kurdukları, bu orduları kullanarak hem istihbarat hem de kriz dönemlerinde siber saldırılar ile kamu hizmetlerinin aksatma, yok etme ve durdurma saldırıları yaptıkları görülmektedir. Siber saldırılar ülkelerin nükleer tesisleri, enerji tesisleri, gaz ve elektrik taşıma hatları, ulaştırma, kritik kamu hizmetleri veya finans sektörü gibi alanlara yapılabilmektedir.

Geçmişten günümüze kadar enerjiye yapılan siber saldırılara birkaç örnek vermem gerekirse;

Yıl 1982, Sibirya’da kritik doğalgaz boru hattına yapılan saldırı dünyada yapılan ilk siber saldırı olarak kayıtlara geçmiştir. Boru hattındaki pompalar hızlanmaya başlamıştı, kontrolsüz şekilde çalışıyorlardı. Gaz hattında anlaşılmaz şekilde bazı vanalar kapanıyor, açılmaması gereken bazı vanalar kontrol dışı açılıyorlardı. Sistemi yöneten görevliler kontrol panosunda olan biteni anlamadan sadece izlemeye başlamışlardır. Hiçbir şey yapamıyor, girdikleri komutlara yanıt alamıyorlardı. Sistem emniyet sınırlarının çok ötesine geçmişti, durdurulamıyordu. Bölgede çok büyük patlamalar yaşandı, yaşanan patlamaların boyutu neredeyse nükleere eş bir patlama kabul edildi. Sovyetlere göre bu teknik hata sonucu olan gaz patlaması idi. Ama ABD Hava Kuvvetleri Eski Sekreteri Reed’in hatıralarında bu olayı doğalgaz boru hattını kontrol eden sisteme yerleştirilen bir “mantık bombası” ile yapıldığını aktarıyordu.

Bir ülkenin tüm kritik kamu altyapılarına yönelik saldırı yapılmasına örnek olarak;

2007 yılında Rusya ile Estonya arasında oluşan bir polemik neticesinde DDoS saldırıları ile başlayan ve sonrasında organize bir şekilde Estonya’nın tüm bankacılık, enerji kurumları, elektrik ve gaz hatları, ulusal bilgi sistemi, e-posta sunucuları, internet bağlantılarını tahrip eden bir saldırı olarak tarihe geçmiştir. Ülkede hayat tamamen durmuş ve inanılmaz bir tahribat yaşanmıştı.

Ülkelerin enerji sistemlerine yapılan siber saldırılarda sistemin hedef olması için ila sistemin online olması önemli değildir. Offline çalışan sisteme yapılan siber saldırıya  örnek vermem gerekirse;

2010 yılında İran’ın Buşehr ve Natanz’daki nükleer tesislerini etkileyen, ülkenin elektrik taşıma hatları üzerinden siber saldırı yapılmıştır. Bu olay dış dünyaya kapalı enerji sistemlerinde hedef olabileceğine göstermesi açısından önemli bir yere sahiptir. Siber saldırılarda hem niceliksel hem de niteliksel bir artış gözlemleniyor. Siber saldırılar sonucu ülkelerin alt yapısına sızılması vakaları ve bu altyapılara zarar verilmesine ilişkin örneklerin sayısı gün geçtikçe artmaktadır.

Siber saldırılarının canlı olarak büyüklüğünü izleyebileceğimiz güvenlik adresleri;

1-Firmalara, zararlı yazılımlara karşı koruma sağlayan Norse isimli internet güvenliği şirketinin yayınladığı harita canlı olarak tüm saldırıları izleyebilmenize ve tehlikenin boyutunun farkına varabilmenize imkan veriyor (Harita 1).

İstenmeyen ağ erişimini takip ve tespit eden bir sistem ile saldırının çıkış noktası olan ülkeyi ve hedef aldığı ülkeyi gösteren bu haritada her ne kadar hedef olan ülke gerçek olsa da siber saldırganlar kendilerini kolaylıkla başka bir noktadan saldırı yapıyormuş gibi gösterebildiklerinden çıkış noktası doğru olmayabilir.

2-Google ve ağ yönetimi ve güvenliği şirketi olan Arbor Networks tarafından sunulan ikinci  haritada DDoS (Distributed Denial of Service) saldırılarını canlı olarak gösteriyor.

 Bu saldırılar çok sayıda bilgisayarın gizli şekilde ele geçirilip aynı anda aynı web sitesine erişimini sağlayıp çok yüksek boyutlarda veri trafiğine sebep olmasını ve sistemin aşırı yüklenerek çevrimdışı görünmesini amaçlayan saldırılar. (yine geçtiğimiz yıl tarihin en büyük DDoS saldırısından söz etmiştim.)

Ülkemizde geçen aylarda meydana gelen geniş çaplı elektrik kesintilerinin arkasında siber saldırı izlerinin aranıyor olması da tehditlerin hem siyaset hem de sektör tarafından da son derece ciddiye alındığının önemli bir göstergesidir. Günümüzde enerjiyi hedef alan saldırılar analiz edildiğinde, basit bilgisayar korsanlığı vakalarından ziyade gelişmiş, organize hedef odaklı tehditlere doğru geliştiğini söylemem daha doğru olacaktır. Yapılan hesaplamalara göre 1 dakikalık bir elektrik kesintisinin herhangi bir şirket için 15.500 doları bulabilecek bir ekonomik kayıp oluşturabileceği hesaplanmaktadır.

Türkiye dünya genelinde siber saldırıya uğrayan ve siber saldırılara kaynaklık eden ülkeler arasında ilk sıralarda yer almaktadır. 2014 yılı boyunca yapılan incelemelerde ülkemizde özellikle spam konusunda ciddi sorunların yaşandığı ortaya çıkmıştır. İletilen tüm e-postalarda spam oranının %84’e ulaştığı görülmüştür. Tehditlerin bir önceki yıla göre %10 oranında artışı gözlemlenmiştir. Bu durum internet kullanıcılarının siber güvenlik ile ilgili yeterli derecede hassas olmadıkları ve önlem almadıklarını göstermektedir. Siber saldırılarda kullanılan bilgisayarların çoğu köleleştirilmiş cihazlardır. Bu bilgiler, ülkemizde siber güvenlik ürün ve hizmetlerinin büyük oranda kullanılmadığı ve siber güvenlik pazarının cazip bir pazar olduğu anlaşılmaktadır. Dünyada siber güvenlik pazarının her geçen gün büyüdüğünü söyleyebilirim. Türkiye’de ise siber güvenlik pazarı günümüzde 300 milyon dolar civarında ama bu pazarın aslında 1,5 milyar dolar civarında olması gerekmektedir. Güvenlik altyapılarının millileştirilmesi, yetişmiş eleman sayısının artırılması, siber istihbaratın güçlendirilmesi ülkemizin yakın gelecekte uluslararası arenada daha etkin olmasını sağlayacaktır. Aynı zamanda ülkemizde siber güvenlik pazarının %97’sinin yabancı ülkelere ait ürünler olduğunu da düşünmemiz gerekmektedir.

Enerji sektörü için artık ciddi bir tehdit haline gelmiş siber riskleri azaltmak ve asgari düzeye indirgemek mümkün mü?

Aslında enerji sektörü için siber saldırı risklerini yönetmenin temelinde, öncelikle riskleri bir bütün olarak görmek yatmaktadır. Enerji sektörü hacmi giderek büyüyen bir pazar olarak bakıldığında, cihazların kontrol edilemeyecek şekilde ağlarımıza bağlanmasının gelecekteki siber riskleri hatırı sayılır bir şekilde artmasına yol açacaktır. Bunun yanında karmaşık hale gelmeye başlamış altyapılar ve gölge IT sistemlerinin doğuracağı güvenlik açıkları kurumlar açısından büyük riskler oluşturabilir. Her ne kadar, kurumlar kendi aksiyon planlarını oluştursalar bile, birlikte iş yaptıkları iş ortakları, paydaşlar, üçüncü kişiler gibi dışardan bağlananların kimler olduğu, kurumların ağlarına hangi güvenli ağlardan bağlandığı, güvenlik açısından denetlenmesi kritik öneme sahiptir. Bu açıdan, siber güvenlik tehditlerine karşın “Şirketimizin en uç noktasından itibaren güvenlik” bakış açısına ve bu bakışın geliştirilmesine ve merkeze alınması şarttır. Öte yandan kurumlar kendi başına bu işi yapsalar da sektör içi ve sektörler arası işbirliği de oldukça kritik öneme sahiptir. Enerji sektörü için siber risk yönetimi, risk temelli bakış açısını geliştirilerek değerlendirilebilir. EPDK tarafından enerji sektörü için zorunlu kılınmış ISO 27001 uygulaması aslında risk temelli ölçümlerin yapıldığı bir siber güvenlik çerçevesi. Bu çerçevede, herhangi bir siber saldırı karşısında, bir kurumun nasıl ve hangi nitelikli bilgi kaybına uğrayacağını ölçümleyen etki analizlerinin mutlaka önceden tüm iş birimlerinin katılımıyla yapılması gerekmektedir. Siber risklerle ortaya çıkabilecek etkiler, finansal ve ekonomik değerlerle ölçülebileceği gibi, kurum imajının zedelenmesi gibi kolayca hesaplanamayan faktörleri de kapsayabilmektedir. Tüm bütüncül değerlendirmelerin yapılmasının ardından, alınacak önlemlerin her zaman teknik olmadığının da reçeteye mutlaka not olarak düşünülmesi gerekmektedir. Nitekim doğru bir siber risk yönetimi sistematiğinde, çalışanların ve son kullanıcıların güvenlik farkındalığının geliştirilmesi, sürdürülebilir eğitimler ya da risklerin transfer edilmesi önlemleri de bulunmaktadır.