EKS yapılarındaki değişim ve dnüşüm otomatizasyon ve kolaylıklar sağlarken beraberinde bir dizi siber security risklerini getirdi. Eskiden EKS yapılarında mekanik pompa, kompresr, valf, rle ve tahrik düzenekleri kullanılırken, durum kontrolü; beceri sahibi, güvenilir mühendislerin analog lçüm aletleriyle elde ettiği bilgileri, sabit telefonla genel merkeze iletmesiyle sağlanırdı. Bir sabotajcının tedarik zincirini sekteye uğratmak ya da bir employeeı ayartmak dışında operasyona zarar vermesi zordu. Tek yolu tesise gidip kapı, bekçi ve silahlı securityçilerden oluşan fiziksel security ayağını aşmasıydı. Dijitalleşmenin henüz yaşanmadığı yapılar, doğrudan internet üzerinden olası siber tehdit ve riskler henüz ciddi risk teşkil etmemekteydi.
Günümüzde ise EKS yapılarının siber güvenliği kamu düzenini etkileyebilecek, çok kritik bir eşiğe ulaştı. Kritik altyapı kapsamındaki bir kurumun maruz kalacağı siber saldırı sonucunda milli güvenliği tehdit edebilecek sonuçları doğurması bu alanda nemli tedbirlerin alınmasını kaçınılmaz kılmıştır. Büyük şirketlerin, devlet temsilciliklerinin ve akademik kurumların sistemi, dark web’deki otomatik araştırmalar yoluyla devamlı yoklanıyor ve zayıf noktaları bulunuyor. Bazısı ücretsiz, bazısıysa yüzlerce hatta binlerce dolar değerinde (daha pahalı olanların yanında teknik destek de veriliyor). Bunlar çoğu zaman en iyi siber security uygulamalarıyla engellenebilir ancak gerçekte aylarca titizlikle yürütülen, iyi planlanmış, hedefe ynelik saldırılara karşı kurumların kendisini koruması hemen hemen olanaksızdır.
Siber saldırıların finansal etkisi de büyüyor. 2017’de gerçekleşen WannaCry saldırısı 4 milyar dolar, NotPetya saldırısı ise 850 milyon dolar zarar verdi. ABD ve İngiltere’nin Kuzey Kore’yi sorumlu tuttuğu WannaCry saldırısında Ulusal Güvenlik Ajansından çalınan araçlar kullanıldı. Microsoft security yaması yüklenmemiş Windows kullanan bilgisayarlarda, bir açıktan yararlanarak veriler şifrelendi. Bu şekilde 150 ülkede hastane, okul, işyeri ve evlerdeki yüzbinlerce bilgisayara zarar verildi.
Dünyanın drt yanında Target, Sony Pictures, Equifax, Home Depot, Maersk, Merck ve Saudi Aramco gibi firmalara ynelik yüksek profilli siber saldırılar artıyor. Buna rağmen iş liderleri dijital teknolojinin ve sunduğu faydaların cazibesine direnemedi: verim artışı, daha az elemanla daha fazla iş yapma, insan kaynaklı hataları azaltma veya ortadan kaldırma, kalite artışı, müşteri hakkında daha fazla bilgi edinme fırsatı ve yeni arz yaratma.Liderler her geçen yıl yeni security çzümlerine ve pahalı danışmanlara büyük paralar harcayıp geleneksel siber security yaklaşımına devam ediyor ve şanslarının yaver gitmesini umuyor. Bu hüsnükuruntudan başka bir şey değil.
Siber hijyen uygulamaları ile şirketini ağır hasarlardan koruyabileceğini zannedilmekte. Sayısız yüksek profilli ihlal, bu varsayımın yanlışlığını açıkça ortaya seriyor. Saldırıya uğrayan şirketlerin tamamı o sırada geniş siber security ekibine sahipti ve siber güvenliğe yüklü miktarda harcama yapmıştı. Siber hijyen, sofistike bir düşmanın kritik varlıklara ynelik hedefli ve ısrarlı tehdidine değil; otomatiğe bağlanmış sıradan yoklamalar ve amatr hacker’lara karşı etkilidir.
Enerji, ulaşım ve ağır imalat sanayii gibi varlıkları yoğun olan sektrlerde ne kadar yetenekli kadrolarınız olursa olsun ve ne kadar para harcarsanız harcayın sofistike bir siber saldırıya karşı tam güven sağlayamazsınız. Global lçekte pazar gerçeklerine bakıldığında şirketlerin büyük çoğunluğu daha ilk adımında, yani kapsamlı bir donanım ve yazılım inventory çıkarma işinde çuvallıyor. Bu çok nemli bir eksiklik çünkü sahip olduklarınızı bilmiyorsanız onları koruyamazsınız. Bunu bir ülkenin sınırlarını koruma rneğine benzetebilirsiniz, kendi sınırlarının farkında olmayan bir ülke farklı ülkelerden gelebilecek saldırılara karşı kendini koruması olanaksızdır.
Envanter ynetimi konusunu aşabilen firmalar siber security konusunda daha etkin ve verimli adımlar atabilecektir ancak unutulmamalıdır ki bu giriş seviyesindeki bir gereksinimdir, bunu aştıktan sonra diğer adımlarda olası siber tehdit ve risklere karşı atılması gereken adımlar mevcuttur. Güvenlik güncellemesi kurulurken çoğunlukla sistemin kapatılmasını gerektirir; oysa EKS yapılarında koşullar her zaman buna uygun olmaz. Örneğin endüstriyel sürecinin ya da sisteminin ulaşılabilirliğine ve güvenilirliğine ncelik veren enerji dağıtım ya da kimya şirketi gibi organizasyonlar, yazılım firması yeni bir security yaması çıkardı diye her seferinde faaliyetini durduramaz. Bu nedenle bu tarz kurulumları genelde topluca, nceden planlanmış bir kesinti sırasında yaparlar ki çoğu kez bu, yamanın çıkışından aylar sonra mümkün olur. Diğer bir sorun da geniş ve dağınık durumdaki varlıkları korumaktır. Örneğin büyük enerji dağıtım kuruluşlarının binlerce kilometrekareye yayılan alt istasyonları bulunur. Bu bir ikileme yol açar. Eğer güncellemeleri bir ağ üzerinden alırsanız becerikli bir hasmınız bu yazılıma kolayca erişerek onu ktü niyetle kullanabilir. Eğer yazılımlar tüm tesislerde employeelarınızca bizzat güncellenirse bu kez de astarı yüzünden pahalıya gelebilir. Bu işi bağımsız bir kuruluşa yaptırayım derseniz süreci baştan sona denetleyebilmeniz mümkün olmaz.
EKS yapılarındaki siber security mimarisi çok daha hassas olduğundan bu yapılardaki boşluklar daha fazla olabilmektedir. Twitter’ın eski security şefi Bob Lord Wall Street Journal’a verdiği rportajda “Şirketin security sorumlularıyla konuştuğumda bir çeşit kadercilik grüyorum. En sofistike devlet saldırısına karşı ‘Ne yapabilirim ki? Biz oyunu baştan kaybetmişiz zaten. Problem üzerine derinlemesine kafa yormaya gerek yok’ diye düşünüyorlar” diyor. Benzer bir bakış açısı EKS yapılarında da olabilmektedir. Ancak bu siber securityteki var olan gerçek tehdit ve riskleri değiştirmemektedir.
Saudi Aramco’ya yapılan 2012 Shamoon virüs saldırısı düzenlenmişti. ABD yetkililerinin İran’dan şüphelendiği bu saldırı ile petrol şirketinin bilgisayarlarındaki verilerin drtte üçü silindi. Mart 2018’de gerçekleştirilen başka bir saldırıyla ise bir Suudi petrokimya tesisinin security kontrollerini bozarak bir patlama gerçekleştirmek amaçlanmıştı. New York Times’ın yazdığına gre saldırganların kodunda bir hata olmasaydı, planları başarıya ulaşacaktı. Saldırganların, sadece sisteme nasıl girileceğini değil aynı zamanda tesisin yerleşim düzenini (boruların nereden nereye gittiğini, bir patlamayı tetiklemek için hangi valfi çevirmek gerektiğini) de çzmeleri gerekiyordu.
EKS yapılarındaki siber security konusunda etkin ve verimli bir çzüm adına neler yapılabilir ?
Bu konuyla ilgili yapılmış çalışmalar ve global lçekte kabul grmüş standartlar mevcuttur. Bunlardan en yaygın olarak bilinen ve kabul edilenlerden bazıları ISO 27019 ve 62443 standardı yer almaktadır. Bu standartların yanında lokalize standartlar ve mevzuatlara uyum oldukça nemlidir. EKS tarafına yapılan siber saldırıların atak yüzeylerini nemli lçüde azaltmaktadır. Bu standartların yanında Idaho Ulusal Laboratuvarı aşamalı bir yaklaşım geliştirdi: Sonuca dnük, siber destekli mühendislik (CCE) metodolojisi. CCE’nin hedefi bir kereye zgü risk değerlendirmesi yapmak değildir. Daha çok üst düzey yneticilerin, şirkete ynelik stratejik riskleri düşünme ve değerlendirme biçimini kalıcı şekilde değiştirmeyi amaçlar.
EKS Sistemlerine Yapılan Siber Saldırıların Motivasyonları Nelerdir ?
EKS Yapılarına gerçekleştirilen siber saldırıların çok farklı motivasyon kaynakları olabilir. Bunlardan en yaygınları şunlardır:
Finansal motivasyon : Saldırganlar, fidye yazılımları kullanarak enerji şirketlerini hedef alabilir ve sistemlerin kilidini açmak için fidye talep edebilirler. Bu tür saldırılar, zellikle kritik altyapıya sahip kuruluşlar için büyük mali kayıplara neden olabilir.
Siyasi ve İdeolojik Amaçlar: Bazı saldırganlar, siyasi veya ideolojik amaçlarla hareket edebilir. Bu tür saldırılar genellikle bir devlet tarafından desteklenir ve başka bir ülkenin enerji altyapısını hedef alabilir, ya da çevresel veya diğer ideolojik sebeplerle enerji şirketlerini hedef alabilir.
Terrizm: Terr rgütleri, korku ve kaos yaratmak amacıyla EKS gibi kritik altyapıları hedef alabilir. Bu tür saldırıların amacı, genellikle toplumda güvensizlik ve kargaşa oluşturmak ve hükümetlere zarar vermek olabilir.
Endüstriyel Casusluk: Global lçekte rakip şirketler veya ülkeler, rekabet avantajı kazanmak için endüstriyel casusluk amacıyla siber saldırılarda bulunabilir. Bu tür saldırılar, teknolojik sırların, stratejik planların veya diğer nemli bilgilerin çalınmasını hedefleyebilir.
Halkla İlişkiler ve İtibar Zararı: Bazı saldırganlar, bir şirketin itibarına zarar vermek ve kamuoyunda olumsuz bir algı yaratmak için siber saldırılarda bulunabilir. Bu, zellikle kamuoyunun hassas olduğu çevresel veya securityle ilgili konularda etkili olabilir.
Teknik ve Zorluk Motivasyonu: Bazı siber saldırganlar, sadece teknik becerilerini test etmek veya bir sistemi ele geçirebilme zorluğunu aşmak için saldırı düzenleyebilir. Bu tür saldırılar genellikle maddi kazanç veya siyasi amaç taşımaz.
Eğitim ve Araştırma: Bazı durumlarda, security araştırmacıları veya ğrenciler, security açıklarını ortaya çıkarmak veya eğitim amaçlarıyla EKS’ye ynelik sınırlı ve zararsız saldırılar düzenleyebilir.*
Dünyada Gerçekleşen EKS Siber Saldırıları
Şunu biliyoruz ki etki değeri ve finansal sonuçlarının büyük olduğu EKS yapılarına sürekli olarak belli lçeklerde siber saldırılar düzenlenmektedir. Bu saldırılardan bazıları global lçekte gündem olmuştur.Dünyada gerçekleşen en yaygın ve bilinen EKS siber saldırıları arasında şunlar bulunmaktadır:
Pipedream/Incontroller: Rusya ile bağlantılı bu ICS saldırı çerçevesi, enerji tesislerine ynelik olup on binlerce kritik altyapıyı kontrol eden endüstriyel sistemleri etkileyebilecek kapasiteye sahiptir.
Industroyer2: Enerji sağlayıcısına ynelik bir saldırıda kullanılan bu zararlı yazılım, ICS’yi manipüle ederek zarar vermeyi amaçlar.
Stuxnet, Havex, BlackEnergy2, CrashOverride, ve Trisis: Bu ICS zararlı yazılımları da dahil olmak üzere toplamda yedi adet zararlı yazılım keşfedilmiştir.
Chernovite ve Bentonite: Bu iki tehdit aktrü, 2022’de endüstriyel organizasyonları hedef alan gruplar listesine eklenmiştir.
LockBit: 2022’de kaydedilen tüm saldırıların %28’inden sorumlu olan grup LockBit’tir, ardından Conti ve Black Basta gelmektedir.Ayrıca, Dragos tarafından takip edilen 57 grup arasında, 2022’de aktif olan 39 grup bulunmaktadır ve bu saldırıların çoğunluğu imalat sektrüne yneliktir. 2022’de ifşa edilen ICS security açıklıklarının %83’ü ICS ağlarının derinliklerinde bulunur ve bu security açıklıklarının yarısı grünüm kaybına ve kontrol kaybına yol açabilir.Bu bilgiler, endüstriyel kontrol sistemlerine ynelik siber saldırıların ciddiyetini ve sıklığını gstermektedir. Bu tür saldırılar, genellikle endüstriyel ve enerji sektrlerindeki organizasyonları hedef almakta ve bu durum, enerji sektründeki siber security nlemlerinin ne kadar hayati olduğunu vurgulamaktadır.
