Kritik altyapılara ynelik siber saldırılar, ciddi ekonomik ve sosyal sonuçları nedeniyle günümüzün nemli tehditlerinden biri haline geldi. 2015 Noelinde binlerce Ukraynalı elektriksiz kaldı. Rusya devletine bağlı bir gelişmiş kalıcı tehdit (APT) grubu, BlackEnergy ktü amaçlı yazılımını kullanarak üç enerji şirketine saldırdı ve ülkenin batı blgelerinde elektrik kesintilerine neden oldu. Bu olaydan neredeyse 10 yıl sonra, kritik altyapılara ynelik siber saldırılar, Batı demokrasileri ve elektrik ve su tedarik sektrlerinde faaliyet gsteren şirketler için nemli bir tehdit haline geldi.

Örneğin, geçtiğimiz aylarda gerçekleşen bir siber saldırı İrlanda’da bir blgeyi iki gün boyunca susuz bıraktı ve bir başka security olayında düşman aktrler Pensilvanya’daki bir su istasyonunun endüstriyel kontrol sistemini (ICS) tehlikeye atmayı başardı. Kritik altyapılara ynelik her iki siber saldırı da Cyber Av3ngers’ın işiydi. İran tarafından finanse edilen bu siber suç grubu, bir düzine İsrail su arıtma istasyonuna saldırdığını iddia ediyor, ancak bunların herhangi bir sistemi etkileyebildiğine dair hiçbir kanıt yok.

Ayrıca Rus istihbaratına bağlı bir siber suç birimi olan Sandworm, Rus işgalinin başlangıcından bu yana Ukrayna’da çok sayıda elektrik kesintisine neden oldu.

Son dnemde yaşanan vakalar, kritik altyapılara ynelik siber saldırıların İran, Rusya, Kuzey Kore veya Çin gibi ülkeler tarafından Batılı devletlerin işleyişini baltalamak amacıyla ve askeri çatışmalarda (Rusya-Ukrayna; İsrail-Hamas) silah olarak kullanıldığını gsteriyor.

Bu nedenle Amerika Birleşik Devletleri, Birleşik Krallık ve Avrupa Birliği’ndeki kamu yetkilileri, enerji ve su arıtma ve tedarik şirketlerini, kritik altyapılara ynelik siber saldırılara karşı dayanıklılıklarını artırmak için gelişmiş siber security hizmetlerine duyulan ihtiyaç konusunda uyardı.

ICS ve IIoT Cihazları: Company Siber Güvenliğin Kritik Unsurları

Endüstriyel kontrol sistemleri (ICS), üretkenliklerini ve karlılıklarını artırmalarına ve tüm endüstriyel süreçleri kontrol etmelerine olanak tanıdığı için dünya çapında endüstrilerde devrim yarattı. Endüstriyel faaliyetleri geliştiren şirketlerde robotlaşmayı eklemeli, akıllı cihazları yaygınlaştırmalı, parlak ışıklar veya su sayaçları gibi IoT cihazlarını bünyemize dahil etmeliyiz.

ICS’nin ekonomik ve üretken avantajları açık olmakla birlikte, artan şirketlerin teknolojik altyapılarının siber risklerinin artmasına yol açtığını da grmek kolaydır.

ICS, elektrik üreten ve/veya dağıtan şirketlerin enerji tedarikini düzenlemesine olanak tanır ve su tedarikçileri de basıncı düzenleyebilir, rezervleri ynetebilir, suyun durumunu izleyebilir veya dağıtımını kontrol edebilir.

Bu nedenle kritik altyapılara ynelik siber saldırılar, ICS sistemlerinin işleyişini zayıflatmayı, manipüle etmeyi ve hatta bozmayı amaçlamaktadır. Bazı saldırılar aynı zamanda endüstriyel mülkiyeti çalmayı ve bir ICS’nin çalışmasıyla ilgili gizli bilgileri elde etmeyi de amaçlayabilir.

ICS’yi koruyan security nlemlerinin artırılmasının nemi, ktü niyetli aktrlerin taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) anlamak için küresel bir standart olan MITRE ATT&CK çerçevesinin oluşturulması, ICS sistemleri için zel bir matrisin oluşturulması ve Avrupa’da Siber Dayanıklılık Yasası veya NIS2 gibi endüstri için düzenleyici çerçevelerin oluşturulmasıyla sonuçlanmıştır.

Tedarik Zinciri Fırtınanın Ortasında

Açıkça grüldüğü gibi, ICS’leri kullanan birçok şirket bunları geliştirmiyor, ancak bu tür ileri teknolojide uzmanlaşmış şirketler tarafından geliştirilen sistemlere sahip.

Örneğin, Pensilvanya’daki bir su şirketinin karıştığı security olayında İranlı suç grubu, şirket tarafından kullanılan ancak İsrailli Unitronics şirketi tarafından geliştirilen programlanabilir mantık denetleyicisini (PLC) hedef aldı. Bu nedenle, saldırı yalnızca ABD’nin bir blgesindeki bir şirkete ve vatandaşlara zarar vermeyi değil, aynı zamanda İran ile İsrail arasındaki çatışma bağlamında nemli bir İsrail şirketinin itibarını da zedelemeyi amaçlıyordu.

Yazılım tedarik zinciri aynı zamanda kritik sektrlerdeki şirketlere ynelik en son siber saldırılardan birinin de merkezinde yer alıyor. Nisan 2024’ün ortalarında Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Sisense’yi etkileyen bir security olayına müdahale üzerinde çalıştığını duyurdu. Bu şirket, kritik altyapı işleten şirketlere veri analitiği hizmetleri sunmaktadır.

Ayrıca geçen yıl, Kuzey Koreli bir suç grubunun meşru yazılımı (X_Trader) bir Truva Atı’na dnüştürerek ve Amerika Birleşik Devletleri ve Avrupa’daki iki enerji şirketi de dahil olmak üzere çok sayıda şirkete bulaşarak bir tedarik zinciri saldırısı başlattığı kamuoyuna duyuruldu.

Ve Snowflake veya Cyclogreen’e ynelik en son tedarik zinciri saldırıları bu eğilimi daha da ktüleştiriyor.

Suçlular Endüstriyel Control Sistemlerinin Controlünü Ele Geçirmeye Çalışıyor

Enerji ve su şirketlerine fidye yazılımı saldırıları Enerji üretim ve dağıtım şirketleri ile içme suyu ve atık suyu yneten şirketler, kritik altyapılara ynelik siber saldırıların tesinde, çağın en büyük tehditlerinden biri olan fidye yazılımı saldırılarıyla uğraşmak zorunda kalıyor.

Bu yılın başlarında İngiliz su şirketi Southern Water, bir fidye yazılımı saldırısı sonucunda veri ihlali yaşadı.

Black Basta fidye yazılımı grubu, 5 milyon müşterisi olan bir şirketin uğradığı bu olayla, kişisel veriler ve hassas kurumsal bilgilerin de aralarında bulunduğu 750 gigabaytlık belgeyi çaldığını iddia ediyor.

Çalınan bu veriler Dark Web’de alınıp satılabilir veya kritik altyapıları kontrol eden sistemlere erişim sağlamak amacıyla şirketin müşterilerine ve profesyonellerine karşı gelecekte saldırılar başlatmak için kullanılabilir. Bu nedenle fidye yazılımı saldırıları, duyarlı sektrlerde faaliyet gsteren şirketler için nemli bir risk oluşturabilir.

Kritik Altyapılara Ynelik Siber Saldırıların Sonuçları

Kritik altyapılara ynelik siber saldırılar, şiddet düzeyine, etkilenen sistemlere ve olayların süresine bağlı olarak enerji ve su şirketlerinin yanı sıra yazılım ve endüstriyel cihaz geliştiren şirketleri de farklı şekillerde etkileyebiliyor. Sonuçta bu şirketler, vatandaşlar ve kamu idareleri çalışabilmek ve yaşayabilmek için elektrik ve suya bağımlıdır.

Şirketlere Ekonomik ve İtibar Kaybı

Kritik altyapılara ynelik siber saldırıların yayıldığı ynündeki korkular artarken, dünyanın nde gelen kredi kuruluşlarından biri olan Moody’s, bu tür olayların su tedarik şirketlerinin deme gücü üzerindeki sonuçları konusunda uyardı.

Kritik altyapılara ynelik siber saldırılar, hizmetlerin kesintiye uğraması halinde şirketler için hesaplanamayacak ekonomik kayıplara neden olabiliyor. Ayrıca, itibarın zarar grmesi telafisi mümkün olmayabilir ve bir şirketin pazardaki konumunu zayıflatabilir.

Siber saldırılar yalnızca şirketlerin faaliyetlerini felce uğratmakla kalmıyor, aynı zamanda temel altyapıyı da yok ediyorsa kuruluşların yok olmasına bile yol açabilir.

Tüm Üretken Yapının İş Sürekliliğini Tehdit Etmek

Kesinlikle kritik altyapılara ynelik siber saldırılar, şirketlerin iş sürekliliğini doğrudan tehdit ediyor.

İş sürekliliğinin korunması her şirket için hayati neme sahiptir ancak enerji veya su arıtma ve tedarik şirketleri için daha da nemlidir. Nedenmiş? Enerji veya su dağıtımının etkilenmesi durumunda müşterilerinin iş sürekliliği risk altına girer. Günümüzde neredeyse hiçbir işletme elektrik olmadan çalışamıyor ve su, gıda gibi sektrler için hayati nem taşıyor.

İnsanların Sağlığı ve Güvenliği Üzerinde Olumsuz Etki

En ktü senaryoda, kritik altyapılara ynelik siber saldırılar doğrudan insanların sağlığına ve refahına zarar verebilir:

• Teknolojik ekipmanların hatalı çalışması nedeniyle yaralanan şirket employeeları.
• Hastane ve tıp merkezlerinde elektrik kesintisi nedeniyle çalışamaz hale gelen hastalar.
• Saldırı sonucu kirlenen suyu tüketen vatandaşlar.

Bu üç rnek, siber saldırıların elektrik veya su şebekeleri gibi kritik altyapılara ne kadar zarar verebileceğini gsteriyor.

Kritik Altyapılara Ynelik Siber Saldırılar, Gelişmiş Kalıcı Tehdit Grupları Tarafından Gerçekleştiriliyor

NIS2 Direktifi: Kritik Sektrlerin Dayanıklılığının Artırılması

Daha nce kamu kurumlarının şirketleri kritik altyapılara ynelik siber saldırı riskleri konusunda uyardığını ancak Avrupa Birliği’nin bir adım daha ileri gittiğini belirtmiştik.

NIS direktifi ve onun güncellemesi olan NIS2 direktifi, kritik sektrlerdeki şirketler için siber security gereksinimlerini belirler. Bu sektrler şunları içerir:

• Su tedarik etmek.
• Enerji.
• Dijital servis sağlayıcılar.
• Atık su.

2023’ün başında onaylanan NIS2 direktifinin, uyumsuzluğa ilişkin ceza rejimi de dahil olmak üzere 2025’te yürürlüğe girmesi için bu yıl içinde üye devletlerin iç mevzuatlarına aktarılması gerekiyor.

Ynetmelik, bu sektrlerde faaliyet gsteren şirketlerin, aşağıdaki gibi somut nlemleri içeren siber security risk ynetimini optimize etmesi gerektiğini ortaya koymaktadır:

• İş sürekliliğini korumak.
• Tedarik zinciri güvenliğinin güçlendirilmesi.
• Güvenlik denetimleri ve sızma testleri yapmak.
• Olayları 24 saat içinde yetkililere bildirmek.

Bu yükümlülüklere uymayan şirketler, 10 milyon Euro’ya kadar veya ihlalde bulunan şirketin küresel cirosunun %2’sine kadar idari yaptırımlarla karşı karşıya kalacak, ancak devletlerin yaptırım modelini bu referanslara gre yapılandırması gerekiyor.

Devletlerin Desteklediği Düşman Aktrler

Kritik altyapılara ynelik siber saldırıların sonuçlarının ciddiyetinin tesinde, hayati nem taşıyan bir başka unsuru da gz nünde bulundurmalıyız: Bu tür tehditlerin arkasındaki suç grupları.

Bu yazıda sıraladığımız rneklerde de grebildiğimiz gibi, kritik altyapılara ynelik siber saldırılar gerçekleştiren düşman aktrler şu gruplardır:

• Belirli şirketlere, sistemlere ve altyapılara ynelik hedefli saldırılar başlatan.
• Devletler tarafından desteklendikleri için gelişmiş kalıcı tehditler geliştirecek kaynaklara ve uzmanlığa sahipler.
• Hedefleri tamamen ekonomik değil; Çoğu durumda misyonları jeostratejiktir ve hedefledikleri devletlerin şirketlerine, kurumlarına ve vatandaşlarına zarar vermeye çalışırlar: Avrupa ülkeleri, Amerika Birleşik Devletleri, Birleşik Krallık, İsrail, Kanada, Avustralya.
• Son derece karmaşık taktikleri, teknikleri ve prosedürleri nlemeyi, tespit etmeyi ve müdahaleyi zorlaştırıyor.

Kritik Altyapılara Ynelik Siber Saldırılara Karşı Nasıl Korunulur?

Bu düşman aktrlerle mücadele etmek için enerji ve su şirketlerinin yanı sıra endüstriyel yazılım ve cihazlar geliştiren şirketler şunları yapabilir:

• Yazılım ve cihazları tasarımdan itibaren yaşam dngüleri boyunca güvenli bir şekilde geliştirin. Bunu yapmak için kaynak kodu denetimleri gerçekleştirmek, yazılım bileşenlerini listelemek, kitaplıkları analiz etmek ve security açıklarını tespit edip azaltmak amacıyla yazılımı değerlendirmek nemlidir.
• Kritik altyapılara karşı kullanılabilecek olası security açıklarını belirlemek için tedarik zincirinin sürekli izlenmesi gereklidir. Bu kuruluşlarla bağlantılı security olayları ve ihlalleri de izlenmektedir. Tehdit İstihbaratı hizmetleri bu bağlamda nemli bir rol oynamaktadır.
• Tehdit Avcılığı ve Kırmızı Takım hizmetleri, suç gruplarının TTP’lerini nceden tespit ederek ve gelişmiş kalıcı tehditlere dayanma yeteneğini lçmek ve elektrik veya su kaynağını kontrol eden ICS sistemlerinin çalışmasını korumak için zel Kırmızı Takım senaryoları tasarlayarak APT’lere karşı dayanıklılığı artırır. Bu hizmetler şirketlerin savunma yeteneklerini geliştirmek için gereklidir.
• Saldırılara yanıt vermek, ktü niyetli aktrleri hızla uzaklaştırmak, iş sürekliliğini güvence altına almak ve kritik altyapıları korumak için proaktif olay müdahale hizmeti.

APT Karşısında Dayanıklılık

Sonuçta elektrik şebekesi, içme suyu temini ve atık su ynetimi herhangi bir ülkenin işleyişi için kritik altyapılardır. Bunlar olmadan üretken doku durma noktasına gelir ve insanların refahı nemli lçüde etkilenir.

Bu nedenle kritik altyapılara ynelik siber saldırılar birinci büyüklükte bir tehdit haline geldi. Özellikle son aylarda Rusya’nın Ukrayna’yı işgal etmesi ve İsrail ile Hamas arasındaki çatışmanın ardından Orta Doğu’da artan gerilim nedeniyle bu durum daha da arttı.

Bu tür security olaylarını nlemek ve meydana gelmeleri halinde bunların elektrik ve su tedarikini etkilemesini nlemek için şirketlerin, gelişmiş kalıcı tehditlere dayanmalarını sağlayacak sağlam siber security stratejileri tasarlamaları gerekir.