Ayhan Gücüyener tarafından yazılmış tüm yazılar

Ayhan Gücüyener, kritik altyapı güvenliği, stratejik siber güvenlik ve enerji politikaları üzerinde araştırmalar yapmaktadır. Şu an bölge direktörlüğünü yürütüttüğü IACIPP (International Association of Critical Infrastructure Protection Professionals) taki faaliyetlerinin yanı sıra, kendi projesi olan CriticalSec altında da çeşitli eğitim ve proje faaliyetleri yürütmektedir. İletişim için: ayhan.gucuyener@criticsec.com
Makale & Analiz

NATO’nun elektrikleri kesilmesin diye çalışan merkez: ENSEC COE

Yorum yapın

Baltıkların yüz ölçümü ve nüfus yoğunluğu açısından en büyük ülkelerinden biri olan Litvanya’nın başkenti Vilnius’a NATO Enerji Güvenliği Mükemmeliyet Merkezi’nde (NATO ENSEC COE- Energy Security Center of Excellence) misafir araştırmacı olarak çalışmak için yerleşeli yaklaşık üç hafta oldu. İstanbul’dan gelen bir “misafir” olarak, soğuk havaya, “tenha” cadde ve sokaklara alışmak epey zaman alıyor. Soğuk havanın getirdiği olumsuzlukların yanı sıra, oldukça profesyonel bir basketbol anlayışı ve henüz keşfedemediğim birçok doğal güzellik var. Bunun yanında, “dondurucu soğuğu” ile meşhur olan Litvanya’da siber güvenlik çalışmaları da bir o kadar dikkat çekici.

“Baltıklarda Dijitalleşme Serüveni”

 Deneyimlediğim kadarıyla, ülkedeki en gelişmiş altyapılardan biri (özellikle Bankacılık ve servis sektörlerine kıyasla) hem hızı hem de kapsama alanı itibari ile “internet” ve dijital dünya. Bunun yanı sıra, ülkenin genç nüfusunda bilişim teknolojilerine karşı da yoğun bir ilgi söz konusu. Hal böyle olunca da bilgi güvenliği ve siber güvenlik konuları oldukça ön plana çıkmış durumda. Her ne kadar siber güvenlik dendiğinde, akla ilk gelen ülke, Baltıkların diğer incisi Estonya olsa da Litvanya’da da bu alandaki çalışmalar da göz ardı edilemeyecek seviyede.

Kritik Altyapılar için siber güvenlik endişesi

 Rusya Federasyonu ile “çetrefilli” ve gelgitli ilişkileri olan Baltık ülkeleri için jeopolitik ve etnik tansiyonların yanında bir diğer hassas konu da “enerji ve kritik altyapı güvenliği”. Özellikle, ülkenin tamamında büyük bir krize sebep olmuş 2007’deki Estonya saldırıları ve Ukrayna’yı tam da yılbaşında bir anda karanlığa gömen siber saldırıların ardından, her iki ülke de kritik altyapıların siber güvenliği konusuna büyük bir önem veriyor. Bu çerçevede, çalıştığım merkez olan ENSEC COE’nin ana çalışma konularından biri enerji güvenliğinin jeopolitik ve askeri anlamlarının yanı sıra, “enerji sektöründe siber güvenlik” olarak öne çıkıyor.

İşbirliği ve kapasiteyi arttırmak

 Siber terörün geleceği ve enerji altyapılar üzerindeki olası etkisi, siber risk ve tehdit değerlendirmeleri, petrol ve boru hatlarına yönelik siber tehditler gibi konuları çalışma alanları arasına katan Merkez, bu çerçevede, NATO, NATO üye ülkeleri, Türkiye’nin de içinde bulunduğu sponsor ve partner ülkelerin enerji sektöründe siber güvenlik kapasitelerini geliştirmeleri için öncülük ediyor ve projeler yürütüyor. Bölgesel enerji güvenliği & işbirliği için kapasite geliştirme ve Table-Top-Exercise (TTX) olarak da adlandırılan senaryo bazlı ve gerçek zamanlı çalışmalar uluslararası çapta katılımın olduğu ilgi gören projeler arasında. Bu noktada, hatırlatılabilecek bir diğer unsur da Merkez’in özellikle akademi, endüstri ve benzer alanda çalışmalar yürüten kurumlarla iş birliği ve ortaklıklara açık olması. Enerji güvenliği & enerji sektöründe siber güvenlik alanında çalışan uzmanlar da değişim ya da staj gibi olanaklarla dönemsel olarak istihdam edilme fırsatı bulabiliyor.

Enerji sektöründe siber tehdit

Enerji sektöründe siber güvenlik kaygıları son gelişmeler göz önüne alındığında oldukça anlamlı. Nitekim, enerji güvenliği, – ucuz ve erişilebilir enerji temelli- konvansiyonel tanım ve anlamından uzaklaşırken, sektörün dijitalleşmesi hem tehdit hem de fırsatları beraberinde getiriyor. Uzmanlara göre, önümüzdeki 10 yıl içerisinde enerji sektörü ve sektörün içinde bulunduğu dinamikler tamamen kabuk değiştirecek. Bloomberg Finans’ın verilerine göre, 2025 yılında, enerji sektöründe dijitalleşme pazarının 25 milyar doları bulması bekleniyor.

Söz konusu dijitalleşmenin tüketicilere ve hizmet alıcılara hem kullanım hem de maliyet anlamında büyük avantajlar sağlayacağı oldukça açık. Dijitalleşme dalgası fırsatlar kadar tehditleri de bünyesinde barındırdığından güvenlik önlemlerinin de sektördeki gelişmelerle eş zamanlı olarak ilerlemesi gerekliliği oldukça anlamlı görünüyor. Nitekim, uzmanlara göre, bugüne kadar herhangi bir örneği yaşanmamış olsa da terörist gruplar tarafından siber silahların kullanılma kapasitesinin geliştirilmesi an meselesi. Bu noktada, konu bazlı uzmanlaşmış kişilerin yetiştirilmesinin yanı sıra, özel sektörün ve kamu kurumlarının sahip oldukları geniş bilgi birikimi ve kapasiteyi işbirliği içerisinde kullanarak bütüncül yaklaşımlar geliştirmesi oldukça kritik bir önem taşıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

Siber Güvenliğe “akademik” bir dokunuş: BÜSIBER

Yorum yapın

Siber güvenlikte bir ekosistemin oluşturulması ve tüm paydaşların efektif bir koordinasyon ile beraber çalışması gerekliliği hem stratejik hem de taktik düzeyinde dile getirilen bir husus. Bu ekosistem içerisinde de, yetişmiş insan kaynağı açığını kapatacak hem de asıl “teknoloji” ve AR-GE tarafındaki ihtiyaçları karşılayacak olan aktör dendiğinde akla ilk gelen kurum üniversiteler.

Bu bağlamda, BUSİBER -Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Siber Güvenlik Çalışmaları Merkezinin- özellikle son dönemde hız kazanan faaliyetleri oldukça göz doldurucu. BUSİBER, Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Bölümü öğretim üyesi Doç. Dr. Bilgin Metin’in girişimciliği ve İstanbul Kalkınma Ajansının destekleriyle hayata geçirilmiş ve siber güvenlik alanının gerektirdiği özel uzmanlaşma ve odaklanmayı sağlamak amacıyla kurulmuş bir proje.

BUSİBER, rutin olarak sürdürdüğü eğitim faaliyetlerinin yanı sıra geçtiğimiz pazartesi günü Boğaziçi Üniversitesinde düzenlediği “Türkiye’de SOME’ler ve Milli Güvenlikte Yerli Milli Çözümleri” etkinliği ile ön plana çıktı. Benim de öğleden önce programına katılma fırsatı bulduğum etkinlikte, Türkiye’nin önde gelen siber güvenlik uzmanları, firmaları ve konuyla ilgilenen akademisyenleri bir araya gelme fırsatı buldu.  Etkinliğin her ne kadar ana teması SOME’ler ve yerli milli çözümler de olsa, elektronik harp sistemlerinden, milli siber güvenlik standartlarının önemine; siber istihbaratın öneminden milli siber güvenlik operasyon merkezi çözümlerine sayısı yirmiden fazla konu başlığı tartışılma imkânı buldu.

Hal böyle olunca, birbirinden kıymetli uzmanların yaklaşık 15’er dakika ayrılmış yoğun sunumlarını takip etmek hiç de kolay olmadı. Siber güvenliğin hem stratejik hem taktik hem de operasyonel alanını bu denli geniş ele almış çok disiplinli bir etkinliğe açıkçası daha yoğun bir katılım beklenebilirdi. Bu çerçevede, bu tarz kıymetli etkinliklerin farklı platformlarda, özellikle öğrenci ve profesyonel kariyerini bu doğrultuda şekillendirmek isteyen adaylar için farklı kanallardan duyurulması bir başka önemli husus.

Veri ihlallerinin oranı yüzde 781 arttı

Dinlediğim sunumlarda uzmanların verdiği güncel veriler ve çözüm önerileri oldukça çarpıcı. Örneğin, açılış konuşması ile dinleyicileri bilgilendiren İnternet Geliştirme Kurulu Başkanı Tayfun Acarer veri ihlallerinin 2015’ten 2016’ya geçerken %781 oranında arttığını belirtirken, 2019’da siber saldırıların global maliyetinin 2,1 trilyon doları bulacağı yorumunda bulundu. Bununla beraber, Acarer’e göre, buzdağının görünmeyen yüzü çok daha geniş ve siber atakların %70’i tespit dahi edilemiyor.

Siber güvenlik ile ekonomi arasındaki organik bağ

Kalkınma Bakanlığı İktisadi Sektörler ve Koordinasyon Genel Müdürü Emin Sadık Aydın’a göre ise bilişim artık ekonominin vazgeçilmez bir parçası haline geldi ve bu olgunun ekonominin önemli temellerinden olan büyüme, verimlilik ve rekabetçilik ile organik bir ilişkisi var. Bu çerçevede, bilişim sektörünün ekonomi üzerinde oluşturacağı verimlilik artışını izlemek ancak bir yandan da teknolojinin olumlu ve olumsuz yanlarının farkında olup, tehditleri yönetebilmek çok önemli. Öte yandan, İstanbul Kalkınma Ajansı’nın (İKA) bu projeye destek vermesi atlanmaması gereken oldukça önemli bir detay.

Milli ürünlere olan güvensizliğin aşılması kritik

“Milli Güvenlik ve Elektronik Harp Sistemleri” konusunda bir sunum gerçekleştiren Savunma Sanayi Müsteşarlığı Siber Güvenlik ve Elektronik Harp Sistemleri Daire Başkanı, Muhammet Emin Ulukavak ise konuşmasında siber güvenliğin “milli güvenlik” kavramının tam kalbine geldiğini özetliyor. Ulukavak’a göre, son on yılda kat edilen yol gerçekten çarpıcı ve daha evvel yalnızca teknik bir konu olarak güvenlik bugün savunma sektörü nezdinde de stratejik önemiyle ele alınıyor. SSM’nin savunma sanayisinin geliştirilmesinin önemine de değinen Ulukavak’a göre üzerinde durulması gereken unsurlar ise milli donanımların eksikliği, milli çözümlere duyulan güvensizliğin aşılması ve siber güvenlik ekosisteminin oluşturulması. Bu çerçevede, SSM’nin özellikle yakın zamanlarda başlatmayı düşündüğü “siber akademi” girişimi dikkatle takip edilmesi gereken gelişmelerden.

TÜBİTAK Siber Güvenlik Enstitüsü Başkanı Mustafa Dayıoğlu’nun sunumu da Tübitak’ın siber güvenlik ekosistemi için attığı anlamlı adımların bilinmesi adına oldukça dikkat çekiciydi. Siber güvenlikteki makas değişimine dikkat çeken Dayıoğlu, en büyük eksikliğin “teknoloji geliştirecek insan” olduğuna dikkat çekerken, TÜBİTAK’ın en önemli görevinin, yerlileşme ve millileştirme, uçtan uca siber güvenlik, rehberlik ve destek olduğunu hatırlattı.

KPSS’li siber güvenlikçi çelişkisi

Cezeri Siber Güvenlik Akademisi (SGA) kurucularından ve TRT World’ün IT Direktörü olan Osman Doğan’ın sunumu ise Bug Bounty ve Ödül Avcılığı teması üzerineydi. Doğan, sunumunun ötesinde, siber güvenlikte mücadele edilen asıl kesimin KPSS derecesine sahip olmayan, 20’li yaşlardaki ve mezuniyet şartını yerine getirilmese de istihdam edilen grup olduğunu yeniden hatırlatarak siber güvenliğe ilişkin insan kaynağının kazandırılmasında farklı bakış açılarının geliştirilmesi gerektiği vurgusunda bulundu. Bununla beraber Doğan uzun zamandır gündeme getirilen “Siber Güvenlik Müsteşarlığı” konusunda da yakın zamanda gelişme kaydedileceğini belirtti.

SOME’lere zengin kaynak ve daha çok yetki şart

Siber güvenliğin ekonomik hacmine dikkat çeken e-devlet ve e-yönetişim uzmanı Mustafa Afyonluoğlu da, son dönem çalışmalarından önemli veriler aktardı. Afyonluoğlu’na göre,  Fransa siber güvenliğe 2014’te 1 milyar Euro, İngiltere ise 2015’te 2,5 milyar Euro’luk bir kaynak ayırmış. Öte yandan “siber güvensizliğin” yarattığı ticari hacmin 2030 yılında 90 trilyon dolar olması bekleniyor.

İLGİLİ HABER >> ABD SİBER GÜVENLİK BÜTÇESİNİ 14 KAT ARTIRDI

Sunumuna toplantının ana temasını alan Afyonluoğlu SOMElerin (Siber Olaylara Müdahale Ekipleri) kamu tarafında siber güvenlik elektronik hizmetler vermeye çalışırken güvenliği sağlama çabasıyla ortaya çıktığını ifade etti. “Şu anda 600’e yakın SOME var” diye konuşan Afyonluoğlu’na göre SOME’ler ne kadar etkin çalışırsa kamu tarafında siber güvenlik o denli kuvvetleniyor. Öte yandan, standartlar oluşturmak, SOME’lere zengin kaynak sunmak ve onları idari yetki sahibi yapmak gerekiyor. Yetki sahibi olmayan SOME’nin bir siber saldırı durumunda müdahalesi çok da kolay olmuyor.

“Yazılım firmaların yatak odaları gibidir”

Milli siber güvenlik operasyon merkezi sunumuyla, “milli” kavramının güvenlikteki rolünü yeniden vurgulayan ANET Yazılım uzmanı Ertuğrul Akbaş ise, “yazılım firmaların yatak odaları gibidir” alıntısında bulunarak, “yerli sanayinizin ürününü kullanmazsanız yabancı bir yazılımı kullanmak zorundasınız. Onu kullandığınızda maddi kayıpların dışında bilgi güvenliğinizi kaybedebilirsiniz” yorumunda bulunuyor. Milli bir SOC (Security Operation Center) ın ise önceliklerini bileşenlerin milli olarak gerçekleştirilmesi ve süreçlerin milli olması gerekliliği şeklinde özetliyor.

Takip edebildiğim son sunumda “milli ağ ve uygulama zafiyet uygulama çözümleri” temalı sunumuyla Netsparker güvenlik uzmanı Ziyahan Albeniz tamamen yerli bir web güvenliği çözümü olan ve 22 kişilik bir Türk Mühendis ekibi tarafından geliştirilen Netsparker çözümlerine değindi. Öte yandan, güvenlik alanında yetişmiş personel ihtiyacına vurgu yapan Albeniz Türkiye’de internet, özellikle de web güvenliğinin yeni başlayan bir farkındalık olduğuna dikkat çekti.

BUSİBER’in düzenlediği etkinlik “milli” temasının tartışmaların göbeğine yerleştirilmesi ve konunun bütüncül olarak ele alınması açısından son derece tatmin ediciydi. Konuşçmacılara ayırılan 15 dakikalık sürenin bu denli yoğun ve kritik konular için çok da yeterli “olamadığı” bir başka önemli nokta.

Uzmanların bu denli “insan kaynağı eksiği” ve “ürün geliştirme” vurgusuna karşın üniversitelerin öğrencilerini bu alanda cesaretlendirmesi ve bu tarz etkinlikleri takip etmeyi teşvik etmesi gerekiyor. Özellikle uzmanlarla birebir yapılacak söyleşiler, reel dünyada gerçekten ne olup bittiğini anlamak adına oldukça anlamlı olacağı da bir başka öneri olarak gündeme alınabilir.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

 

 

 

 

 

 

 

Makale & Analiz

EPDK’nın bilişim güvenliği taslağı ve IT güvenliğinden OT güvenliğine geçiş

Yorum yapın

Enerji sektörü için siber güvenlik uzun zamandır hem uluslararası camiada hem de ülkemizde oldukça hararetle tartışılan bir konu. İran’daki nükleer santrali bir süre kullanılmaz hale getiren ve siber güvenlikte giderek katlanan devasa bir literatür oluşturan Stuxnet saldırısından sonra, Aralık 2015’te Ukrayna’yı hedef alan planlı ve hedef odaklı siber saldırı neticesinde ülkenin büyük bölümünün elektrik sisteminin sabote edilmesi, enerji sektörünün siber güvenliğe ilişkin kaygılarını daha da arttırmıştı. Bu itibarla, Dünya Enerji Konseyi (WEC) son zamanlarda yaptığı çalışmalarda, “siber riskleri” enerji sektörü için en önde gelen risk faktörlerinden biri olarak değerlendiriyor. Konsey’in verdiği rakam ve öngörülere göre, küresel ölçekte petrol ve gaz endüstrisinin siber güvenlik yatırımlarının 2018’e kadar 1,87 milyar dolara ulaşması bekleniyor.

Siber güvenliğin IT yani bilgi teknolojileri tarafını ilgilendiren bölümü için son yıllarda kaydedilen başarı gerçekten muazzam. Siber güvenlik pazarının hacmi ile ihtiyaç duyulan nitelikli personel sayısı her yıl artarak büyüyor. Uluslararası literatürde, kritik enerji altyapı güvenliği dendiği zaman akılda tutulması gereken asıl unsur, OT yani operasyonel teknolojilerin güvenliği olarak öne çıkıyor.

İlgili yazı >> Hackerların bir sonraki hedefini korumak: 10 adımda OT güvenliği  

OT dendiği zaman akla gelen ilk bileşenler ise otomasyon sistemleri ve Endüstriyel Kontrol Sistemleri (EKS). Aslında, elektrik üretiminde, doğalgaz taşınması ve sevkiyatında, sağlık sektöründe, rafineriler ve üretim sektöründeki yaşamsal döngünün devamını oluşturan EKS’lerin hayatımızdaki ve modern ekonomideki rolü tahminimizden çok daha kritik. Giderek dijitalleşen ve sayısallaşan otomasyon teknolojilerini hedef alacak başarılı bir saldırının hem ekonomik hem de sosyal bilançosu oldukça ağır olabilir.

STM (Savunma Teknolojileri Mühendisliği)’nin periyodik olarak yayınladığı Siber Tehdit Durum Raporu’na göre, EKS’lerde güvenlik seviyesi endişe verici derecede ve uzaktan kontrol edilebilen EKS’lerin yüzde 92’sinde saldırılara karşı açık var. Öte yandan Şekil 1’de de ifade edildiği gibi, IT ve OT güvenlik mimarisi açısından birbirinden çok farklı alanlar ve EKS güvenliğine ilişkin yetişmiş insan kaynağı gerçekten de oldukça kısıtlı.

Şekil 1: EKS Güvenliği ile ilgili insan kaynağı oldukça kısıtlı

 

 

 

 

 

Kaynak: Joe Weiss, Applied Control Solutions

Bütün bu gelişmeler akılda tutulduğunda, Nisan ayının başında EPDK (Enerji Piyasaları Düzenleme Kurulu) enerji sektöründe siber güvenliğe ilişkin oldukça önemli bir hamle yaparak kurumun resmi web sitesinde “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmelik Taslağı” ve “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri Envanter ve Risk Yönetimi Rehberi Taslağı”nı yayınladı ve bu belgeleri kamuoyunun değerlendirmelerine açtı. EPDK’nın duyurusuna göre, gerek duyduğu takdirde ilgililer yönetmelik ve rehber taslaklarla ilgili görüşlerini 20 Nisan tarihine kadar EPDK’nın Strateji Geliştirme Dairesi Başkanlığına iletebilecek.

Yönetmelik taslağı incelendiğinde, EPDK’nın kritik enerji altyapılarını işlevlerini kısmen veya tamamen, yerine getiremediğinde, toplumsal düzenin sürdürülebilirliğinin ve/veya kamu hizmetlerinin sunumunun olumsuz etkileneceği enerji ağı, varlığı, sistemi ve yapıları bütünü” olarak tanımladığı görülüyor. Yönetmeliği uygulamaya yükümlü kuruluşlar ise elektrik iletim lisansı sahibi, Organize Sanayi Bölgesi (OSB) dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi, OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişiler olacak.

Yönetmeliği uygulaması gereken yükümlü kurumların ise EKS tanıma ve EKS envanter bildirimleri ile, EKS risk değerlendirme tablosu ve EKS risk azaltma tablosunu bu yılın Temmuz ayının sonuna kadar kurula iletmesi gerekiyor. Bu çerçevede, EPDK’nin yayınladığı yönetmelik ne anlama geliyor? EKS’ye ilişkin gerçekleştirilecek siber güvenlik düzenlemelerinde dikkat edilmesi gereken hususlar neler?

Uzmanların yorumlarına değinmekte fayda var. Litvanya’da bulunan NATO Enerji Güvenliği Mükemmeliyet Merkezi (ENSECCOE) kıdemli uzmanı Vytautas Butrimas’a göre, EKS’ye ilişkin getirilecek siber güvenlik düzenlemelerinde en önemli unsur “IT güvenliği temelli yaklaşımdan kaçınmak”. Butrimas’a göre, “IT ve OT sistemlerinin güvenlik gereksinimleri birbirinden çok farklı. Bu farklılığı göz önünde tutarak,  ABD ve Norveç gibi ülkeler, geleneksel IT merkezli siber güvenlik yaklaşımından ayrılıp EKS merkezli siber güvenlik politikaları oluşturdular ve diğer SOME (Siber Olaylara Müdahale Ekipleri)’lerden ayrı olarak birer EKS-SOME kurdular.”

Merkezi İspanya’da bulunan Endüstriyel Güvenlik Merkezi (CCI) Eş Başkanı, Miguel Garcia-Menendez’e göre ise, “EKS’lerinde siber güvenliğe ilişkin kanunen zorunluluk haline getirilen uygulamaların yürürlüğe koyulması kimi zaman kurumlar için zorlu bir görev olabilir ancak çoğu zaman sistemin işler hale gelmesinin tek yolu düzenlemeler olarak karşımıza çıkıyor” diye konuşuyor. Menendez’e göre, “Örneğin, AB’de sıkça gündeme gelen “Kişisel Verilerin Korunması Kanunu”nun uygulanması kurumlar için oldukça zorlu bir sınav oldu ancak sonuçları oldukça tatmin edici. Bu noktada, düzenlemelerde dikkat edilmesi gereken esas unsur, kanunen getirilen zorunluluklar ve piyasaların kendi realitesinin dengede tutulabilmesi, bu denge tüm aktörlerin farkındalık derecesinin yükseltilmesinde büyük rol oynayacaktır.”

ABD merkezli BBA firmasının EKS Siber Güvenlik baş uzmanı Ernie Hayden ise EKS’lerin siber güvenliğine ilişkin yöneltilen sorular karşısında “EKS’lere ilişkin güvenlik ve emniyet konusu fiziksel bir tahribat yaratmış Stuxnet siber saldırısından beri gündemde. ABD, EKS güvenliği konusunda araştırmalar yapan ve bu çerçevede uygulamalar, standartlar ortaya koyan ilk ülkelerden biri ancak başka ülkelerin de özellikle son dönemde EKS güvenliği konusunda çalışmalarını oldukça yoğunlaştırdığını söyleyebiliriz. Hollanda ve Katar EKS güvenliği konusunda milli sistemlerini korumak için standartlar oluşturdular. Birleşik Krallık ve Fransa da bu hususta çalışmalarını yoğunlaştırdı. En son katıldığım konferansta ise, Birleşik Arap Emirlikleri ve Kuveyt’in EKS güvenliği ile ilgili standartlar yaratmak üzerine yoğun çalışmalar yaptığını gözlemledim” diye konuştu.

Ancak Hayden’a göre, hukuki düzenlemelerin niteliği ne olursa olsun dikkat edilmesi gereken iki ana unsur var, birincisi düzenlemenin efektif olarak çalışıp çalışmadığı, bir diğeri ise uygulamaların doğru olarak işleyip işlemediğinin sürdürülebilir bir denetim altında tutulması. Nitekim EKS ve bu sistemlere ilişkin teknolojiler oldukça hızlı değişip dönüşüyor, bu anlamda düzenleme ve standartların da sistemlerin yapısı ve tehditlerin değişen doğası bağlamında geride kalmaması gerekiyor.

Örneğin, EKS’lerin fidyeci yazılımlarca da hedef alınabileceği uzmanlar tarafından tartışılan bir konu ancak var olan EKS güvenlik standartlarında buna ilişkin bir düzenleme henüz yok. Elbette bir ülkenin EKS’ye ilişkin güvenlik standartları yaratması oldukça faydalı olacaktır ancak burada esas olan nokta “katılımcı” bir yaklaşımın belirlenmesi yani ulusal EKS siber güvenlik standartları oluşturulurken, kamu, özel sektör ve diğer paydaşların beraber çalışması elzem.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
Uncategorized

Siber Güvenlikte Kamu-Özel Sektör İşbirliği Mümkün mü?

Yorum yapın

Siber güvenlik yalnızca ülkemizin değil tüm dünyanın da gündeminde. Bu çerçevede, 14-17 Şubat tarihlerinde Avusturya’nın başkenti Viyana’da benim de katılma şansı bulduğum “Viyana Siber Güvenlik Haftası” düzenlendi. Etkinlik boyunca, dijital dönüşümün güvenliği gibi popüler ve küresel ölçekteki konular öne çıkarken etkinlikte en yoğun katılımın görüldüğü tematik alanlardan biri ise “Enerji, Kalkınma ve Siber Güvenlik” üzerineydi.

Avusturya Ulusal Güvenlik Akademisinin ev sahipliği yaptığı ve enerjinin siber güvenlik ayağının irdelendiği paneller boyunca, uluslararası işbirliğinin, siber tehditlere karşı kapasite geliştirme metodolojisinin yolları masaya yatırıldı. Ancak çoğu zaman göz ardı edilen ancak bütüncül bir siber güvenlik stratejisinin geliştirilmesi için temel taşlardan birini oluşturan “kamu-özel sektör işbirliği (PPP)” paneli oldukça verimli tartışmalara sahne oldu.

İlgili haber >> ABD memurlarına özel sektöre staja gönderiyor

Enerji sektörünün siber güvenliği dendiği zaman, kamu-özel sektörün kuracağı verimli bir işbirliği gerçekten de stratejinin bölünmez bir parçasını oluşturuyor. Nitekim, enerji sektörü kamu aktörleri, yatırımcılar ve iş camiası, teknoloji tedarikçileri, hizmet sağlayıcılar gibi çok paydaşlı bir kitlenin gözbebeği. Hal böyle olunca da, farklı paydaşların zaman zaman da birbiri ile çakışabilecek çıkarlarının uyuşturulması ya da faydanın maksimize edilmesi önemli bir noktayı teşkil ediyor. Öte yandan, enerji altyapılarının sınır tanımayan doğaları, bu işbirliğine uluslararası aktörlerin dahil edilmesini de şart koşuyor.

Avrupa Birliği ve ABD’deki uygulamalara bakıldığında, kamu-özel sektör işbirliği modellerinin siber güvenlik için uygulamaları gündemi epeyce meşgul eden bir konu. Örneğin Temmuz 2016’da Avrupa Komisyonu siber güvenlik için yeni bir işbirliği modeli ortaya koymak istediğini dile getirirken, AR-GE faaliyetlerinin teşvik edilebilmesi ve rekabetçiliğin sağlanması için yaklaşık 450 milyon dolarlık bir yatırım başlattı. Komisyona göre, kamu ve özel sektörün uyumlaştırmasına yönelik bu yatırımlar 2020 yılında 1,8 milyar dolarlık bir getiri sağlayacak.

İlgili haber >> ‘ABD siber ordu için Silikon Vadisi ile çalışıyor’

ABD’deki uygulamalar ise, oldukça geniş bir yelpazede değişmekle beraber, 2009’da faaliyete başlamış Ulusal Siber Güvenlik İletişim ve Entegrasyon Merkezi gibi çatı kurumlar, kamu-özel sektör arasında siber güvenliğe ilişkin köprülerin güçlendirilmesi anlamında önemli görevler üstleniyor. Benzer şekilde, ülkemizdeki uygulaması USOM (Ulusal Siber Olaylara Müdahale Ekipleri) olan ekiplerin koordine edildiği ve bilgi paylaşımının sağlandığı CERT CC (Computer Emergency Response Team Coordination Center) uzmanlar arasındaki faydalı bir bilgi ağı olarak görülüyor.

Yine de altını çizmek gerekir ki, yegâne ve her sektör için geçerli bir kamu-özel sektör işbirliği modeli tanımı ya da uygulaması mevcut değil. Bu işbirliğini tanımlayan ifadeler doğru zamanda, doğru insanları, doğru işler yapmak için bir araya getirmek olarak düşünülebilecekken, kamu-özel sektör işbirliği platformları gerçekten de ulusal siber güvenlik stratejisinin güçlenmesinde oldukça işlevsel. “Peki nereden başlamalıyız” sorusu için önerilebilecek güzel bir okuma ENISA (European Network Information Security Agency)’nin yayınladığı, kamu-özel sektör iş birliği yol haritası kılavuzu olarak örneklendirilebilir. Bu kılavuz, var olan işbirliği modelleri üzerinde çalışmış ve bu bağlamda kamu-özel sektör işbirliği mekanizmalarının yaşadığı sorunları ve bu bağlamdaki çözüm önerilerini yansıtmış. Temel olarak bahsedilecek olunursa, aslında siber güvenlik için doğru bir kamu-özel sektör işbirliği modelinin kurulması sırasıyla beş temel sorunun cevaplanmasıyla mümkün: Bu işbirliğine neden ihtiyacımız var (1), bu işbirliğine kimler dâhil olmalı (2), bu işbirliği nasıl yönetilmeli (3), bu işbirliği hangi temel servisleri sunmalı (4) ve işe ne zaman başlamalıyız (5)?

Siber Güvenlik için Kamu-Özel Sektör İşbirliği Methodolojisi

Neden İhtiyacımız Var? Kimler Dâhil Olmalı? Nasıl Yönetilmeli? Hangi Hizmetler Sunulmalı? Ne Zaman Aksiyon Alınmalı?
Tehditlerin tespit edilmesi Ulusal seviye Yönetimin belirlenmesi Araştırma ve analiz Yukarıdan aşağıya yaklaşım (top-down approach)
Tehditlere karşı savunma Sektör düzeyinde Rollerin ve sorumlulukların belirlenmesi Erken uyarı sistemleri İhtiyaçlar üzerine, tabandan gelen talep (bottom-up approach)
Caydırıcılık Tematik Gelir kaynaklarının yaratılması Farkındalık çalışmaları  
Tehditlere cevap vermek Uluslararası İletişim standartlarının belirlenmesi Eğitim ve uygulamalar  
İyileşme ve geri dönüş süreci Bölgesel   Kullanıcı yol haritaları  

 

Her ne kadar doğru soruları sormak ve sistematik bir çalışma yapmak kamu-özel sektör işbirliği modellerinin kurulmasında oldukça faydalı da olsa, bir takım engellerin de aşılması şart görünüyor. Öncelikle meselenin birden fazla paydaşı kapsaması, taraflar arasında güven eksikliğini ortaya çıkarırken bu güvensizlik bilgi paylaşımının ve aksiyon alım sürecinin de önünü tıkamış oluyor.

İkincisi, böyle bir işbirliği modelinin kazan-kazan felsefesine dayandırılması yani tüm paydaşlar açısından ölçülebilir faydalar sağlaması farklı çıkarların uyuşturulması açısından şart. Eylem planlarının muhakkak ortak olarak geliştirilmesi gerekirken, hemen hemen her konuda olduğu gibi üst yönetimin desteği bu platformların yaşaması ve sürdürülebilir olmasında hemen hemen belirleyici faktör olarak öne çıkıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

 

Makale & Analiz

Siber saldırılar yeni bir Fukuşima’ya sebep olur mu?

Yorum yapın

Nükleer enerji, her ne kadar büyük tartışmalar yaratsa da, fosil yakıtlardan sonra günümüzde dünyanın hala en tercih edilen enerji üretim kaynaklarından biri. Bununla beraber, 2011’de Japonya’da yaşanan Fukuşima kazası sonrası, nükleer enerji sektörünün büyük bir yara alacağı iddia edildiyse de, kazanın beş yıl sonrasında günümüz rakamlarına bakıldığında nükleer endüstrinin bugün de canlı ve dünya genelinde etkin olduğunu söylemek mümkün. Bugün, dünya elektrik üretiminin hala %10’dan fazlası nükleer santrallerden karşılanıyor. Buna ek olarak, Kasım 2016 rakamları itibariyle, Nükleer Enerji Enstitüsü, dünyada 30 ülkede 450 tane nükleer reaktörün faaliyette olduğu ve 15 ülkede de 60 nükleer reaktörün yapım çalışmalarının sürdüğünü kaydediyor.

İlgili haber >> Nükleer dünyadan siber uzaya: İktidarın yeni boyutu

Enerji politikaları ve bu ölçekteki farklı görüşler bir kenara bırakıldığında, nükleer enerji sektörünün güvenlik boyutunun bugünlerde küresel ölçekte kamuoyunu ve karar alıcıları en meşgul eden noktalardan biri olduğu söylenebilir. Nitekim nükleer enerjinin birçok ülkede yaygın kullanımı, tesis ve radyoaktif materyallerin güvenliği konusunu da kritik hale getirmiş durumda. Bununla beraber, bilgisayar teknolojilerinin yaygın kullanımı ve verimliliğin artışına dayalı hızla daha çok başvurulan dijitalleşme süreci, nükleer sektör için Stuxnet vakasından beri zaten tartışmakta olan bir başka konuyu yeniden ön plana çıkarmış oldu: Siber güvenlik. Bugün birçok uzman, bir nükleer santralin faaliyetlerini doğrudan hedef alan gelişmiş bir siber saldırının sonuçlarının en az Fukuşima kazası kadar ölümcül olabileceği konusunda hem fikir. Bununla beraber, her ne kadar, günümüze kadar ölümcül bir vakanın örneği yaşanmamış olsa da, nükleer santraller bilgisayar korsanlarının öncelikli hedefleri arasında.

İlgili haber >> Stuxnet’in perde arkası: İran’da hedef alınan şirketler

Nükleer santrallerin güvenliği, küresel ölçekte düzenleyici ve koordinatör kurum olan, Uluslararası Atom Enerjisi Ajansı (UAEA)’nın da uzun zamandır gündeminde. Bu çerçevede, Ajans her yıl, tüm dünyadan uzmanların davet edildiği ve sektörün nabzı tutan “Nükleer Güvenlik” konferansını düzenliyor. Benim de bu sene katıldığım gelenekselleşmiş konferans, 2000’den fazla katılımcı ile 5-9 Aralık 2016 tarihleri arasında Viyana’da gerçekleşti. Yoğun bir ilgiyle takip edilen konferansta “Bilgisayar Güvenliği” konusu birçok panelde ele alındı ve siber güvenlik en çok ön plana tartışılan konulardan biri oldu. Uzmanlara göre,2010 yılından bu yana siber saldırılar nicelik olarak artarken, niteliksel olarak da daha karmaşık bir hal aldı. Her ne kadar, santral faaliyetlerine zarar vermese de 2014 yılında, Japonya’nın Monjo Santralindeki kontrol odasının bilgisayar korsanlarınca hedef alınması ve Güney Kore’de nükleer tesisten siber saldırı methodları kullanılarak teknik ve kritik olmayan bilgilerin ve dataların dışarı sızdırılması endüstri içerisindeki kaygıları arttırdı.

Nükleer Santralleri Hedef Alan Siber Saldırılar Artıyor[1]

Kaynak: Nuclear Threat Inıtiative (NTI), Outpacing Cyber Threats: Priorities for Cyber Security at Nuclear Facilities, 2016

Viyana’daki konferans süresince, dünya genelinden uzmanlar ulusal düzeyde uyguladıkları siber güvenlik pratiklerini aktardılar ve en başarılı uygulamalardan yola çıkarak, küresel ölçekte ortama güvenlik seviyesinin nasıl arttırılabileceğine ilişkin önerilerde bulundular. Bu sunumlar içerisinde en çok ilgi çekenlerden biri, Idaho Ulusal Laboratuvarları uzmanlarının sunduğu “Siber Güvenlikle Zenginleştirilmiş Mühendislik Dizaynı” modeliydi. İdaho uzmanlarına göre, nükleer reaktörlerde kullanılanlara benzer karmaşık sistemleri veya yapıları hedef alan hackerlar, sıklıkla geniş bir saldırı yüzeyinin avantajlarından ve sistemi inşa ederken dikkate almamış siber güvenlik açıklarıyla dolu yapılardan yani mühendislik açıklarından faydalanarak hedeflerine ulaşıyor. Bu çerçevede risklerin yönetilebilmesi ve ya daha düşük seviyelere çekilebilmesi içim uzmanlara göre, sistemler henüz inşa sürecindeyken sistemin içerisine siber güvenlik perspektifinin yerleştirilmesi ya da bir başka deyişle Siber-Bilgilendirilmiş Mühendislik (Cyber-Informed Engineering) metodunun mühendislik döngüsü içerisine yerleştirilmesi şart.

Nükleer Tehdit Girişimi (NTI) kurumuna göre de nükleer tesislere yönelik siber saldırıların sayısı kayda değer derecede arttı. Dahası, rapor edilmeyen saldırıların sayısı kaydedilenlerden çok daha fazla olabilir. Bu çerçevede, çözüm yolları üzerinde çalışan uzmanlar, nükleer tesislerde siber güvenliğin arttırılması için alınması gereken dört ana önlemden bahsediyorlar.

  1. Siber Güvenliği Kurumsallaştırın: Nükleer endüstri, endüstrinin doğası gereği, oldukça güçlü ve yerleşik bir emniyet ve güvenlik kültürüne sahiptir. Sektör özellikle bu alanlardaki kazanımlarından yola çıkarak deneyimlerini ve pratiklerini siber güvenlik programlarına da entegre edebilir. Bu çerçevede karar alıcılara ve düzenleyicilere büyük bir ödev verilmekte. Nitekim karar alım sürecine aktif bir siber güvenlik kültürü yerleştirilebilir ve bu alandaki yetişmiş insan gücüne daha büyük bir önem atfedilebilir.
  2. Aktif bir Savunma Sistemi İnşa Edin: Nükleer tesislerin siber güvenlik inşasında, firewall’lar ve güvenlik ürünlerinin de bir adım ilerisine gidilmeli ve sistemlere bir kere sızıldığında tesis bu saldırılara cevap verebilme kapasitesini geliştirmelidir.
  3. Karmaşıklığı Azaltın: Karmaşıklıklar güvenlik inşa sürecini en zora sokan unsurlardan biridir. Bu çerçevede uzmanlar, karmaşık sistemlerden mümkün olduğunca kaçınılmasını ve hatta karmaşık sistemlerin dijital olmayan sistemlerle ikame edilmesini önermektedir.
  4. Dönüşümü Takip Edin: Uluslararası camia, siber tehditlerin henüz yeni farkına varmakta, bu çerçevede, araştırma ve AR-GE süreçleri özellikle kritik altyapılar için “hard-to-hack” ya da sızılması zor sistemlerin geliştirilmesini öncelemeli. Bu çerçevede, hükümetler ARGE çalışmalarını teşvik etmeli ve bu alandaki yatırımlar desteklenmeli, uluslararası organizasyonlar ise siber tehditlerin üzerine daha yoğun bir şekilde eğilmeli.[2]

Son olarak, nükleer enerjinin kullanımı ve nükleer santrallerin inşası Türkiye’nin de önde gelen gündemlerinden biriyken, inşanın kendisi kadar siber güvenliğin de ön planda olduğu unutulmamalı. Bu çerçevede, önerilebilecek noktalardan biri, inşaat ya da sistem dizaynı henüz tamamlanmadan siber güvenlik kültürünün ve önlemlerinin mühendislik süreci içerisine yerleştirilmesidir. Öte yandan, söz konusu endüstride insan kaynağı ve siber güvenlik farkındalığına sahip personelin yetiştirilmesi en kritik noktalardan birini oluşturmaktadır. Unutulmamalıdır ki, her ne kadar UAEA, nükleer güvenlik için kural koyucu ve düzenleyici yapı olsa da, tehditler ve riskler doğrultusunda güvenlik dizaynının yapılması ve buna bağlı önlemlerin alınması egemen devletlerin sorumluluğundadır.

Siber Bülten abone listesine kaydolmak için formu doldurun

[wysija_form id=”2″]