Türkiye’de Kritik Altyapı ve Siber Güvenlik
Uğur Özker
Yönetici Özeti
Güçlü bir siber savunma, bir yanda kamu güvenliğinin, diğer yanda kritik altyapının tam bir dijital dönüşümden geçtiği günümüz dünyasında kritik bir yetenektir. Siber saldırı yöntemleri, uygulama maliyetlerinin düşük olması nedeniyle dünyadaki en büyük ve en hızlı büyüyen suç kategorilerinden biridir. Ayrıca kritik altyapılara uygulandığında verebileceği zararın büyüklüğü de siber saldırıları saldırganlar için çekici kılan bir başka nedendir.
Siber saldırıların sorumluları, çevrimiçi olarak çalınan finansal varlıklardan, veri ihlallerinden ve kritik altyapı operatörlerinin kesintiye uğraması nedeniyle sivil topluma verilen zarar ve kayıplardan doğrudan sorumludur. Mali kayıplar ve kritik altyapıların hasar görmesi her yıl milyarlarca ABD doları kayba neden oluyor ve bazı sektörlerde saldırı girişimleri her yıl iki ile üç kat artıyor.
Siber saldırıların bu kadar hızlı bir ivmeyle artmasının üç temel sebebi vardır. Birincisi, operasyonel teknoloji alanında iş süreçlerini içeren sanayii kuruluşlarının sinyalizasyon, sensör teknolojisine dayalı dijital dönüşümü ve nesnelerin interneti teknolojilerinin her geçen gün daha fazla kullanır hale gelmeleri ve otomasyon sistemlerinin tümüyle bu argümanlardan oluşmasıdır. Operasyonel teknolojinin parçası haline gelen bu alt sistemler üzerinde yaşanabilecek bir siber saldırı, fiziksel dünyada büyük etkiler yaratabilecek pek çok sonucu da beraberinde getirir.
Siber saldırıların artışındaki bir diğer sebep finansal sistemlerin her geçen gün biraz daha çevrimiçi hale gelmesidir. Finansal teknoloji, hayatımızı kolaylaştırdığı kadar riskli bir hale getiriyor. Özellikle bankalar gibi finans kuruluşları dijital dönüşümü gerçekleştirirken oldukça temkinli olmalıdır. Yaşanabilecek en ufak bir hata saniyeler içerisinde milyonlarca ABD doları kayıp ile sonuçlanabilmektedir. Öyle ki, bunun cazibesini gören siber saldırganlar tarafından SWIFT gibi global sistemler üzerinden devletlerin merkez bankaları bile sıklıkla hedef alınmaktadır.
Siber saldırıyı popüler kılan üçüncü ve son sebep ise kolaylığıdır. Ayrıca, saldırganların kimliğinin çoğunlukla anonim kalması da kolay olduğu kadar cazip kılan bir başka unsurdur. Bugün pek çok farklı tipte saldırı yöntemi hibrit olarak kullanılabiliyor ve genellikle hedef alınan mağdurların bilgi eksikliği ve hatalarından kaynaklanan nedenlerle kritik altyapı sistemlerini tamamen savunmasız ve açık hale getirebiliyor.
Tüm bu nedenleri bir araya getirdiğimizde siber casusluk çok tehlikeli ve yaygın. Dünyanın en büyük şirketleri ve kamu kurumları bile her yıl çevrimiçi sistemler aracılığıyla terabaytlarca fikri mülkiyet ve finansal varlıklarını kaybediyor. İsimsiz ve kötü niyetli saldırganlar elektrik şebekelerimizi, ulusal finansal sistemlerimizi, telekomünikasyon altyapılarımızı, sağlık kuruluşlarımızı ve hatta nükleer santrallerimizi tehdit ediyor. Sonuçta, kritik altyapılar siber saldırıların hedefi olduğunda ortaya çıkan tehdit, kamu sektörünün ötesinde tüm toplum için bir risk oluşturmaktadır.
Türkiye, jeopolitik konumu nedeniyle her gün sayısız siber saldırının hedefi olmaktadır. TANAP, Mavi Akım, Bakü-Ceyhan-Tiflis Boru Hattı gibi önemli enerji projeleri nedeniyle Türkiye, özellikle enerji alanında diğer ülkeler için de çok önemlidir. Ayrıca ülke, 51 farklı yerli ve yabancı uluslararası banka kuruluşu ile başta Orta Doğu – Afrika ve Avrupa bölgesi olmak üzere önemli bir uluslararası finansal hizmet sağlayıcısıdır. Tüm bunlara ek olarak, ülkenin Asya ve Avrupa kıtalarının bağlantı noktası olduğunu ve üç tarafının ticari denizlerle çevrili olduğunu düşündüğümüzde kritik altyapının tüm sektörlerinde ne kadar büyük bir tehlike ile karşı karşıya olduğunu rahatlıkla anlayabiliriz.
SİBER SALDIRI, GÜVENLİK & KRİTİK ALTYAPI KAVRAMLARI
Kritik Altyapı & Günümüzde Önemi
Siber güvenlik ve kritik altyapı, çağdaş güvenlik yapısı içinde tartışılması gereken en önemli konulardan biridir. Kritik altyapılara yönelik siber saldırıların arkasında birden çok neden var. ABD İç Güvenlik Bakanlığı’na göre kritik altyapı (CI), “ister fiziksel ister sanal olsun varlıklar, sistemler ve ağlardan” oluşur. “NATO’nun 2030 gündeminin ilk sıralarında da artan siber tehditler var”.1
Dünya Ekonomik Forumu verilerine göre, 2001 ile 2018 yılları arasında ABD’deki İnternet Suçları Şikayet Merkezi’ne bildirilen şehirlerdeki kritik altyapıları hedef alan siber saldırıların neden olduğu mali kayıplar, 17,8 milyon ABD Dolardan 2,71 milyar ABD Dolara yükseldi.2 Yıllara göre hızlı artışın nedeni online bağlantıların artması olmuştur. Erken aşamadaki virüsler, kurulum öncesi sektör virüsleriydi ve yalnızca virüs bulaşmış paylaşım bilgisayarlarının kullanıcıları tarafından kullanılan disketlerle sınırlandırılmış yerel bir bilgisayara bulaşabiliyordu. İnternet hizmeti daha yaygın hale geldikçe, disketlere yayılan virüslerin yerini yavaş yavaş e-postaların bir kısmına eklenen diğer virüsler aldı. Bu virüsler veri dosyalarına eklenecek şekilde tasarlanmıştır ve günümüzde birçok saldırı bu şekilde gerçekleştirilmeye devam etmektedir.
2021 yılı itibarıyla sadece ABD kuruluşlarında kritik altyapıların korunması için ayrılan bütçe bir önceki yıla göre 9 Milyar ABD Doları artarak 105,99 Milyar ABD Dolara ulaştı,3 ve artışın yüksek bir ivme ile devam ederek 2027 yılında 154,59 Milyar ABD Doları ulaşması beklenmektedir.4 Bu artışın temel sebebi ise COVID-19 pandemisinin uzaktan çalışma ile birlikte getirdiği güvenlik sorunları. Kritik altyapıdan sorumlu BT personeli ve diğer hizmet birimleri, giderek daha konforlu hale gelen konumdan bağımsız çalışma ortamına rağmen sistem ve hizmetlerin sorunsuz çalışmaya devam etmesini sağlamak için daha fazla önlem almak zorunda kaldı. Bu nedenle, altyapı operasyonlarının yetkili personel tarafından uzaktan güvenli bir şekilde izlenmesi ve yönetilmesi günümüzde her zamankinden daha kritik hale geldi.
Tüm bilgi teknolojileri endüstrisi ve özellikle ABD’deki paydaşlar için 2020’deki Solarwinds Orion Saldırısı, güvenli bağlantıya öncelik verme konusunda bir dönüm noktası oldu. Solarwinds’in SEC ile paylaştığı bilgilere göre bu saldırıda çoğunluğu sivil toplum kuruluşları ve kamu kurumları olmak üzere 18 bin Orion müşterisi aldıkları güncelleme ile sistemlerini saldırı altında buldu.5 Daha da kritik olanı, bu kurumların Pentagon’u ve ABD hükümeti içindeki diğer birçok bakanlığı içermesiydi. Bu saldırı yoluyla yapılan izinsiz girişin ölçeği, zayıf bağlantılara sahip sistemlerin ne kadar savunmasız olabileceğini ve erişim sağlandıktan sonra tehdit edici aktörlerin ne kadar kolay aksiyon alabileceğini açıkça göstermektedir.
Saldırıların ardından birçok ülke sırasıyla siber güvenlik strateji planlarını açıklamaya başladı. Örneğin, 7 Şubat 2022 tarihinde yayınlanan İngiltere’nin Ulusal Siber Stratejisi 2022’ye göre6, İngiltere’nin amacı, “Dünya’nın önde gelen siber gücü ve saldırılara dayanıklı demokratik bir ulus” olmaktır.7 ABD tarafında, Başkan Joe Biden’ın Ulusal Siber Güvenliği İyileştirmeye Yönelik Eylem Planı, Federal Hükümetin özel sektör ve kamu sektörüyle işbirliğine odaklanıyor.8 2015 yılında, Fransa diğer ülkelere göre çok daha erken harekete geçerek 5 ana hedef üzerine kurulu bir eylem planı açıklamıştır. Bilgi sistemlerinin ve kritik altyapıların korunması, kişisel verilerin güvenliği, eğitim/farkındalık, uluslararası işbirlikleri ve işletmelerin bilgi teknolojileri ortamının güvenliği temel amaçları arasındadır.9 Kritik altyapıların 5 ana hedefin başında yer alması, ulusların erken dönemlerden bu yana kritik altyapıların korunmasına verdikleri önemi ve önceliği açıkça göstermektedir. Aynı şekilde Türkiye Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020- 2023) 29 Aralık 2020 tarihinde yayımlanmıştır.10
Geçmişten Günümüze Kritik Altyapıları Hedef Alan Etkili Siber Saldırılar
Ukrayna Güç Şebekesi Saldırısı – 2015
23 Aralık 2015 tarihinde, Ukrayna’da hizmet veren 3 farklı elektrik dağıtım şirketinin hizmet merkezlerine uzaktan izinsiz erişim sağlanarak 30 farklı trafo merkezinde devre kesici uygulandı ve bunun sonucunda başkent Kiev ile Ivano-Frisk bölgelerinde 230.000’den fazla abone saatlerce enerji hizmetinden mahrum kaldı.
Böylesine kapsamlı ve kamu hizmetlerini devre dışı bırakacak kadar planlı bir siber saldırının ilk aşamaları henüz 2015 baharında başlamıştır. Elektrik dağıtım şirketlerinden birinin beyaz yakalı bir çalışanı kendisine gelen bir e-postanın ekini açtığında farkında olmadan hedefli oltalama saldırısının kurbanı oldu ve kötü amaçlı bir yazılımın tetiklenerek, ofis dizüstü bilgisayarı sayesinde dağıtım şirketinin iç ağına yerleşmesini sağladı. Sistemlere sızmak için kullanılan BlackEnergy11 kötü amaçlı yazılımı, 2014 yılından beri enerji kuruluşlarına sızmak için kullanılıyor.
Elektrik dağıtım şirketinin, biri BT ağı ile İnternet arasında, diğeri ise BT ve OT (endüstriyel) ağı arasında olmak üzere iki farklı ağ sistemi ve her ağ sisteminin üzerinde ayrı ayrı güvenlik duvarı bulunmaktaydı. Etkili bir saldırının yapılabilmesi için her iki güvenlik duvarını da aşarak iç ağa dahil olmak ve sonrasında OT ağı üzerinde yer alan trafo merkezlerine devre kesici komutlarını göndermek gerekiyordu. Sadece hedefli oltalama saldırısı ile bu gerçekleştirilemez, fakat ilk aşamada başarılı olan bu saldırı sayesinde bir sonraki aşama için gereken tüm bilgileri sistem katılımcılarının bilgisayarları bir süre izlenerek sağlanabilirdi.
Saldırının ikinci aşamasında birkaç ay boyunca, BlackEnergy kötü amaçlı yazılımı, kuruma özel verileri toplamak, adım adım tüm sunucu sistemlerine sızmak, güvenlik açıklarını tespit etmek ve trafoların kontrol edildiği endüstriyel otomasyon ağına girerek izleme faaliyetlerini gerçekleştirmek için uzaktan kontrol edildi. Gereken tüm bilgiler gelişmiş kalıcı tehdit (APT) ve keylogger ile toplandıktan sonra çalışanların bilgisayar başında olmadığı kısa bir süre içerisinde saldırı yapılacak sunuculara uzaktan bağlanarak malware yazılımları yüklenip sistem saldırı günü için hazır hale getirildi.
23 Aralık günü, saldırgan saldırının son ve üçüncü aşamasını başlatarak OT sunucularına uzaktan bağlandı ve devre kesicileri hızla kapatmaya başladı. Dağıtım şirketi operatörleri uzak bağlantıyı kesmek ve kapanan trafoları tekrar aktif hale getirmek için çabaladılar fakat ikinci aşamada keylogger ile operatörlerin şifresini ele geçiren saldırgan tüm şifreleri saldırı öncesinde değiştirerek, saldırı sırasında müdahale edilmesinin önüne geçmiş oldu. Tüm saldırı 10 dakika içerisinde gerçekleşti ve ayrıca saldırgan sunuculardaki diskleri silerek kalıcı ve büyük maddi zararlara yol açan veri kayıpları da sağladı. Ayrıca BT sunucularına bağlanarak DDoS saldırısı ile çağrı merkezini işlemez hale getirdi ve abonelerin dağıtım merkezi ile irtibata geçmesinin de önüne geçmiş oldu. Bu da elektrik kesintisinin daha uzun bir süre etkisini sürdürmesi için yeterliydi.
Saldırı aşamalarından kısaca bahsetmek gerekirse; 1. Aşamada birden çok kullanıcıya BlackEnergy uygulamasının bulunduğu hedefli oltalama postasının gönderilmesi ve bu postanın çalışanlardan birinin etkileşime geçmesiyle birkaç gün sürmüş ve aylarca sürecek dinleme aşaması için kurumun iç ağına adım adım yayılmıştır. 2. Aşama 5 ay gibi bir sürede pasif dinleme aşaması olarak sürdürülmüştür. Son aşama ise en kısası ve saldırının gerçekleştiği 3. aşamadır. Bu aşamada doğru zamanda sistemler kilitlenerek sadece 10 dakika içerisinde tüm saldırı gerçekleşti.
Saldırının tüm üç aşaması ile ilgili analiz tam olarak yapılamadı, çünkü saldırganın sildiği veriler sayesinde sistem üzerindeki günlük kayıtlarının da çoğu kalıcı olarak silindi. Bu saldırıyı önemli kılan 2 büyük faktör vardır; birincisi çok sayıda farklı siber saldırı yöntemi bir arada kullanılarak kritik altyapı üzerinde tahribat maksimum seviyeye çıktı, ikincisi ise Rusya merkezli hacker grubu tarafından gerçekleştirilen bu saldırı ile Kırım krizi sonrası patlak veren Ukrayna – Rusya krizine yeni bir boyut kazandırdı.
Ayrıca elektrik üretim şebekelerinin ne kadar büyük bir risk altında olduğunu daha net görebilmemiz için, Dünya üzerindeki tüm elektrik şebekelerinin %91’inin en az bir siber saldırı yaşadığını bu vesile ile hatırlatmakta fayda var.12
NotPetya Saldırısı – 2017
2017 yılının Haziran ayında, Ransomware yöntemi kullanılarak yapılan NotPetya Saldırısı mağdurlarına vermiş olduğu 10 milyar ABD Doları zarar ile günümüze kadar gerçekleştirilmiş en büyük ekonomik etkiye sahip siber saldırı niteliğini taşımaktadır. Yine başta Ukrayna’yı hedef alan bu saldırı daha sonra kontrol edilemez bir hale gelerek tüm Dünya genelinde pek çok ülkeye hızla yayılmıştır.
Saldırının kaynağı olarak Ukrayna’da yer alan Linkos Group kuruluşuna ait M.E.Doc vergi hesaplama uygulaması gösterildi. Uygulama, Ukrayna’da ticaret yapan ve vergi sistemine dahil olan tüm kurumlar tarafından kullanılıyordu. Virüsün sistemlere bulaşması ise, M.E.Doc uygulamasına yapılacak bir güncelleme yaması sayesinde yaşandı. Rusya merkezli olduğu düşünülen hacker grubu bu güncelleme paketinin içine sızarak ransomware yazılımını yerleştirdi ve güncelleme yapan tüm kurumlar hızla virüsü sistemlerine dahil etti. Virüsün bu kadar fazla tahribat yaratmasındaki temel sebep ise, Microsoft işletim sistemlerinde kullanılan mesajlaşma protokolü SMB içerisinde yer alan bir açık sayesinde hem kullanıcı kurumdaki tüm ağ sistemine hem de kurumlarla bağlantılı üçüncü kişi ve kurumların sistemlerine hızla yayıldı. Ayrıca bu yönüyle NotPetya saldırısı en kısa sürede en fazla alana yayılan siber saldırı olma özelliğini taşımaktadır.
Saldırı sızdığı sistemlerde bir ramsomware uyguladı ve sunucularda yer alan tüm verileri geri döndürülemez şekilde şifreleyerek büyük miktarda veri ve maddi kayıplara yol açtı. NotPetya saldırısının en fazla zarar gören mağdurları arasında Merck, Fedex, Saint-Gobain ve Maersk gibi global kurumlar yer alıyor. Saldırı nedeniyle başta Maersk olmak üzere pek çok kurumun lojistik tedarik zincirinde yer alan süreçler işlemez hale geldi. Dünyada oldukça önemli yer tutan New Jersey ve Mumbai ticaret limanlarında Maersk kurumuna ait tüm ticaret ve lojistik faaliyetleri sorun çözülene kadar bir süreliğine durduruldu.
Estonya Saldırısı – 2007
Estonya bir siber saldırının ülke geneline uygulandığı ve siber savaşın kamu kaynakları, resmi kurumlar, bankalar ve sağlık hizmetleri başta olmak üzere ülke genelinde kendisini gösterdiği ilk ve en açık saldırıdır. 2007 yılında ülkede yaşanan Rusya kaynaklı bazı siyasi karışıklıklar sonrasında birkaç hafta boyunca süren yoğun DDoS saldırısıyla karşı karşıya kaldı. Normalde bu tarz DDoS saldırı o zamana kadar sadece birkaç gün süren manipülasyonlar halinde uygulanırdı veya sadece belli bir kurumu hedef alırdı. Estonya’ya yapılan bu saldırılarda haftalarca süren yoğun ve aralıksız saldırılar sonucunda hükümet, kamu hayatının devam etmesinin imkansız hale gelmesi ile bunu bir savaş eylemi olarak tanımladı ve üyesi olduğu NATO’dan yardım istedi. Saldırıyı özel kılan bir diğer önemli nokta ise, bu saldırı sonrasında NATO siber saldırıyı da diğer saldırılardan farksız bir tehdit olarak kabul ederek ittifakın siber savunma birimi olan CCDCoE kuruluşunu kısa süre içerisinde 2008 yılında merkezi Estonya başkenti Talinn olacak şekilde ilan etti.
Saldırının uluslararası bir boyut kazanması ile birlikte uluslararası uzmanlardan oluşan bir ekip, bu saldırıya dair geniş çaplı bir inceleme gerçekleştirdi. Elde edilen bulgulara göre ABD, Kanada, Brezilya, Vietnam gibi ülkelerin sunucularının saldırı esnasında kullanıldığı ortaya çıktı. Bulgular saldırının sorumlusu olarak Rusya’yı işaret etmekteydi ancak bu husus, Rus resmi makamlarca hiçbir zaman doğrulanmadı. Bir diğer ilginç bulgu ise ise Estonya kurumlarının aldığı internet trafiğiydi. Saldırı öncesi günlük 1000 civarı ziyaret alan çeşitli kurumlar saldırı süresince DDoS atakları sayesinde saniyede 2000 üzerinde ziyaret aldıkları tespit edildi. Bu rakam küçük bir ülke olan Estonya kurumlarının hizmet kapasitesini ve dolayısıyla internet trafiğinin kaldırabileceği yoğunluğun fazlasıyla üzerinde. Bu kadar yüksek saldırı karşısında ülkedeki başlıca kurumların sunucu altyapıları taleplere karşılık veremez hale geldi ve sunucu sistemleri çöktü. Daha fazla tahribat yaşanmaması adına saldırılar devam ederken Estonya hükümeti, ülkenin tüm internet trafiğini dış dünyaya kapattı ve yurt dışı merkezli olduğunu düşündükleri saldırıların çoğunu engellediler.
Bu saldırı ile birlikte siber saldırıların kitle imha silahları kadar tehlikeli boyutlara ulaşabileceği sonucuna varıldı. Sadece bu saldırının NATO üyesi bir ülkeye yaşanması ile birlikte NATO siber savunma için ciddi bir bütçe ayırarak hizmet vermeye başladı ve ülkeleri hedef alan, kritik altyapı ve kamu kaynaklarını işlemez hale getiren siber saldırılar savaşın başka bir boyutu olarak kabul gördü. Ayrıca bu kapsamda NATO, düzenli olarak her yıl Locked Shields adını verdiği siber savunma tatbikatını düzenlemektedir. 2010 yılından beri aralıksız düzenlenen tatbikatların sonuncusu bu yıl Nisan ayı içerisinde siber savunma merkez üssü olan Talinn’de 24 tanesi üye ülke olmak üzere 33 ülkeden 2000 katılımcı ile 3 gün süresince gerçekleştirildi…
MAKALENİN TAMAMINI OKUMAK İÇİN TIKLAYIN