Siber saldırılar yeni bir Fukuşima’ya sebep olur mu?

Nükleer enerji, her ne kadar büyük tartışmalar yaratsa da, fosil yakıtlardan sonra günümüzde dünyanın hala en tercih edilen enerji üretim kaynaklarından biri. Bununla beraber, 2011’de Japonya’da yaşanan Fukuşima kazası sonrası, nükleer enerji sektörünün büyük bir yara alacağı iddia edildiyse de, kazanın beş yıl sonrasında günümüz rakamlarına bakıldığında nükleer endüstrinin bugün de canlı ve dünya genelinde etkin olduğunu söylemek mümkün. Bugün, dünya elektrik üretiminin hala %10’dan fazlası nükleer santrallerden karşılanıyor. Buna ek olarak, Kasım 2016 rakamları itibariyle, Nükleer Enerji Enstitüsü, dünyada 30 ülkede 450 tane nükleer reaktörün faaliyette olduğu ve 15 ülkede de 60 nükleer reaktörün yapım çalışmalarının sürdüğünü kaydediyor.

İlgili haber >> Nükleer dünyadan siber uzaya: İktidarın yeni boyutu

Enerji politikaları ve bu ölçekteki farklı görüşler bir kenara bırakıldığında, nükleer enerji sektörünün güvenlik boyutunun bugünlerde küresel ölçekte kamuoyunu ve karar alıcıları en meşgul eden noktalardan biri olduğu söylenebilir. Nitekim nükleer enerjinin birçok ülkede yaygın kullanımı, tesis ve radyoaktif materyallerin güvenliği konusunu da kritik hale getirmiş durumda. Bununla beraber, bilgisayar teknolojilerinin yaygın kullanımı ve verimliliğin artışına dayalı hızla daha çok başvurulan dijitalleşme süreci, nükleer sektör için Stuxnet vakasından beri zaten tartışmakta olan bir başka konuyu yeniden ön plana çıkarmış oldu: Siber güvenlik. Bugün birçok uzman, bir nükleer santralin faaliyetlerini doğrudan hedef alan gelişmiş bir siber saldırının sonuçlarının en az Fukuşima kazası kadar ölümcül olabileceği konusunda hem fikir. Bununla beraber, her ne kadar, günümüze kadar ölümcül bir vakanın örneği yaşanmamış olsa da, nükleer santraller bilgisayar korsanlarının öncelikli hedefleri arasında.

İlgili haber >> Stuxnet’in perde arkası: İran’da hedef alınan şirketler

Nükleer santrallerin güvenliği, küresel ölçekte düzenleyici ve koordinatör kurum olan, Uluslararası Atom Enerjisi Ajansı (UAEA)’nın da uzun zamandır gündeminde. Bu çerçevede, Ajans her yıl, tüm dünyadan uzmanların davet edildiği ve sektörün nabzı tutan “Nükleer Güvenlik” konferansını düzenliyor. Benim de bu sene katıldığım gelenekselleşmiş konferans, 2000’den fazla katılımcı ile 5-9 Aralık 2016 tarihleri arasında Viyana’da gerçekleşti. Yoğun bir ilgiyle takip edilen konferansta “Bilgisayar Güvenliği” konusu birçok panelde ele alındı ve siber güvenlik en çok ön plana tartışılan konulardan biri oldu. Uzmanlara göre,2010 yılından bu yana siber saldırılar nicelik olarak artarken, niteliksel olarak da daha karmaşık bir hal aldı. Her ne kadar, santral faaliyetlerine zarar vermese de 2014 yılında, Japonya’nın Monjo Santralindeki kontrol odasının bilgisayar korsanlarınca hedef alınması ve Güney Kore’de nükleer tesisten siber saldırı methodları kullanılarak teknik ve kritik olmayan bilgilerin ve dataların dışarı sızdırılması endüstri içerisindeki kaygıları arttırdı.

Nükleer Santralleri Hedef Alan Siber Saldırılar Artıyor[1]

Kaynak: Nuclear Threat Inıtiative (NTI), Outpacing Cyber Threats: Priorities for Cyber Security at Nuclear Facilities, 2016

Viyana’daki konferans süresince, dünya genelinden uzmanlar ulusal düzeyde uyguladıkları siber güvenlik pratiklerini aktardılar ve en başarılı uygulamalardan yola çıkarak, küresel ölçekte ortama güvenlik seviyesinin nasıl arttırılabileceğine ilişkin önerilerde bulundular. Bu sunumlar içerisinde en çok ilgi çekenlerden biri, Idaho Ulusal Laboratuvarları uzmanlarının sunduğu “Siber Güvenlikle Zenginleştirilmiş Mühendislik Dizaynı” modeliydi. İdaho uzmanlarına göre, nükleer reaktörlerde kullanılanlara benzer karmaşık sistemleri veya yapıları hedef alan hackerlar, sıklıkla geniş bir saldırı yüzeyinin avantajlarından ve sistemi inşa ederken dikkate almamış siber güvenlik açıklarıyla dolu yapılardan yani mühendislik açıklarından faydalanarak hedeflerine ulaşıyor. Bu çerçevede risklerin yönetilebilmesi ve ya daha düşük seviyelere çekilebilmesi içim uzmanlara göre, sistemler henüz inşa sürecindeyken sistemin içerisine siber güvenlik perspektifinin yerleştirilmesi ya da bir başka deyişle Siber-Bilgilendirilmiş Mühendislik (Cyber-Informed Engineering) metodunun mühendislik döngüsü içerisine yerleştirilmesi şart.

Nükleer Tehdit Girişimi (NTI) kurumuna göre de nükleer tesislere yönelik siber saldırıların sayısı kayda değer derecede arttı. Dahası, rapor edilmeyen saldırıların sayısı kaydedilenlerden çok daha fazla olabilir. Bu çerçevede, çözüm yolları üzerinde çalışan uzmanlar, nükleer tesislerde siber güvenliğin arttırılması için alınması gereken dört ana önlemden bahsediyorlar.

  1. Siber Güvenliği Kurumsallaştırın: Nükleer endüstri, endüstrinin doğası gereği, oldukça güçlü ve yerleşik bir emniyet ve güvenlik kültürüne sahiptir. Sektör özellikle bu alanlardaki kazanımlarından yola çıkarak deneyimlerini ve pratiklerini siber güvenlik programlarına da entegre edebilir. Bu çerçevede karar alıcılara ve düzenleyicilere büyük bir ödev verilmekte. Nitekim karar alım sürecine aktif bir siber güvenlik kültürü yerleştirilebilir ve bu alandaki yetişmiş insan gücüne daha büyük bir önem atfedilebilir.
  2. Aktif bir Savunma Sistemi İnşa Edin: Nükleer tesislerin siber güvenlik inşasında, firewall’lar ve güvenlik ürünlerinin de bir adım ilerisine gidilmeli ve sistemlere bir kere sızıldığında tesis bu saldırılara cevap verebilme kapasitesini geliştirmelidir.
  3. Karmaşıklığı Azaltın: Karmaşıklıklar güvenlik inşa sürecini en zora sokan unsurlardan biridir. Bu çerçevede uzmanlar, karmaşık sistemlerden mümkün olduğunca kaçınılmasını ve hatta karmaşık sistemlerin dijital olmayan sistemlerle ikame edilmesini önermektedir.
  4. Dönüşümü Takip Edin: Uluslararası camia, siber tehditlerin henüz yeni farkına varmakta, bu çerçevede, araştırma ve AR-GE süreçleri özellikle kritik altyapılar için “hard-to-hack” ya da sızılması zor sistemlerin geliştirilmesini öncelemeli. Bu çerçevede, hükümetler ARGE çalışmalarını teşvik etmeli ve bu alandaki yatırımlar desteklenmeli, uluslararası organizasyonlar ise siber tehditlerin üzerine daha yoğun bir şekilde eğilmeli.[2]

Son olarak, nükleer enerjinin kullanımı ve nükleer santrallerin inşası Türkiye’nin de önde gelen gündemlerinden biriyken, inşanın kendisi kadar siber güvenliğin de ön planda olduğu unutulmamalı. Bu çerçevede, önerilebilecek noktalardan biri, inşaat ya da sistem dizaynı henüz tamamlanmadan siber güvenlik kültürünün ve önlemlerinin mühendislik süreci içerisine yerleştirilmesidir. Öte yandan, söz konusu endüstride insan kaynağı ve siber güvenlik farkındalığına sahip personelin yetiştirilmesi en kritik noktalardan birini oluşturmaktadır. Unutulmamalıdır ki, her ne kadar UAEA, nükleer güvenlik için kural koyucu ve düzenleyici yapı olsa da, tehditler ve riskler doğrultusunda güvenlik dizaynının yapılması ve buna bağlı önlemlerin alınması egemen devletlerin sorumluluğundadır.

Siber Bülten abone listesine kaydolmak için formu doldurun


Verdiğiniz bilgiler 3. parti firma veya kişilerle paylaşılmayacaktır, sadece verdiğiniz talimat istikametinde kullanılacaktır.

 

Yazıyı PaylaşTweet about this on TwitterShare on Facebook0Share on LinkedIn37Share on Google+0Email this to someonePrint this page
Ayhan Gücüyener

Ayhan Gücüyener

Ayhan Gücüyener, kritik altyapı güvenliği, stratejik siber güvenlik ve enerji politikaları üzerinde araştırmalar yapmaktadır. Şu an bölge direktörlüğünü yürütüttüğü IACIPP (International Association of Critical Infrastructure Protection Professionals) taki faaliyetlerinin yanı sıra, kendi projesi olan CriticalSec altında da çeşitli eğitim ve proje faaliyetleri yürütmektedir.
İletişim için: ayhan.gucuyener@criticsec.com
Ayhan Gücüyener

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*