Siber terörizm ve Nesnelerin İnterneti

Siber terörizm, güncel iki konu olan siber güvenlik ile terörizmin medya açısından bakınca çekici gözüken kesişim alanında bulunuyor.

Literatürde terörizm tanımı konusunda ortak anlayış bulunmuyorken, siber terörizmin tanımlanmasında konsensüs beklemek elbette zor. Öte yandan hangi eylemlerin terörizm kapsamına girdiğine dair üzerinde anlaşılmış belirli noktalar mevcut.

Örneğin, silah ve benzeri unsurlar kullanılmadan gerçekleştirilen şiddet içermeyen hiçbir faaliyet terörizm olarak tanımlanmaz. Akademik literatürdeyüzde yüz mutabakat olmasa da terörizmle ilgili çoğunlukla kabul edilen başka bir gerçek de terörü gerçekleştiren grupların devlet dışı aktörler olmasıdır. En azından uluslararası hukuk metinlerinde terörizm konusunda böyle bir ortak tutuma rastlanabiliyor. Sonuç olarak siber terörizm eğer terörizmin altında bir tanımlamaya sahip olacaksa devlet dışı aktörlerin silahlı şiddete başvurması karakteristik özellik olarak karşımıza çıkıyor.

Terörist bulmak için propaganda yapılması, eylemlerin toplumda infiale yol açması için iletişim araçlarının kullanılması ve teröristlerin birbirleri ile iletişime geçmeleri gibi faaliyetler de terörist eylemlerin bir parçası olarak kabul ediliyor. İnternet ve bilişim sistemlerinin terör eylemlerinin bu süreçlerinde yoğun şekilde kullanıldığı görülüyor. Sosyal medya hesapları, web siteleri ve diğer bilgi sistem servisleri teröristler tarafından sıklıkla başvurulan bilişim sistemi araçları. Fakat uzmanların önemli bir kısmı bu illegal faaliyetleri siber terörizm tanımı ile değil daha çok teröristlerin siber ortamı kullanması olarak tanımlıyor.

Peki o zaman siber terörizmin sınırları tam olarak nasıl belirlenecek? Bir eylemin siber terörizm kapsamına girmesi için, bilişim sistemlerinin doğrudan siber saldırı hedefi olarak belirlenmesi ve bu siber saldırı sonucu cana ve mala zarar gelmesi şartı aranıyor. Elbette bu tanımda da bir uzlaşı sağlanmış değil ama önemli bir kesimin konuyu bu şekilde değerlendirdiğini söyleyebiliriz. Örneğin, bir teröristin siber saldırı ile baraj kapaklarını yetkisiz erişim ile açması ve baraj çevresindeki insanlara ve mallara zarar vermesi bir siber terörizm faaliyeti olarak tanımlanabilir.

O zaman, Nisan 2015 tarihinde Fransız TV5Monde ve ilgili 11 televizyon kanalının web sitesi, sosyal medya hesaplarına ve e-posta sistemine IŞİD tarafından yapıldığı söylenen siber saldırıların hangi kategoriye dahil edilmesi gerekir? Bahsedilen saldırılar, doğrudan can ve mal kaybına neden olmadığı ama toplumda bir infiali tetiklediği ve hayatın doğal seyrinde akışına zarar verdiği üstelik politik ve ideolojik hedefli olduğu için bu tür saldırıları da siber terörizm olarak tanımlayan uzmanlar var. Kanımca, bu tür saldırılar şiddete bulaşmış silahlı bir örgüt tarafından yapılsa ve şiddeti destekleyici bir propaganda aracı olarak kullanılsa bile gerçekleşen eylemi siber terörizm olarak değil, teröristlerin siber ortamı kullanması olarak tanımlamak daha doğru olur.

REDHACK NEDEN SİBER TERÖRİST DEĞİLDİR?

Tanımı başka bir olay üzerinde test edelim. Örneğin ülkemizde Redhack adlı grubun çeşitli devlet kurumlarını hedef alan siber saldırıları kamu otoritelerince terörizm faaliyeti olarak değerlendirildi. Yapılan saldırılar doğrudan mal ve canı hedef almadığı için siber terörizm olarak tanımlanamaz. Ayrıca yapılan faaliyetlerin şiddete bulaşmış silahlı bir örgütün doğrudan propaganda aracı olarak kullanılması da söz konusu olmadığından teröristlerin siber ortamı kullanması olarak da değerlendirilemez. Bu grubun bilişim sistemlerine zarar veren faaliyetleri ancak siber suç olarak tanımlanabilir.

Peki, siber terörizm ile teröristlerin siber ortamı kullanması arasında kavramsal bir ayrışmaya neden gerek duyuluyor? Detay gibi duran böyle bir konu üzerinde çalışmak ne kadar gerekli? Bu ayrıma siber terörizm kavramı altında siber saldırıların doğrudan oluşturabileceği fiziksel etkilerin tehlikesine odaklanmamızı sağlayabileceği için ihtiyacımız olduğunu düşünüyorum. Böylece bu kavram ile önceliklendirebileceğimiz bir alanın sınırlarını belirlemiş oluyoruz. Ayrıca bu iki farklı eylemin hukukta farklı karşılıkları olabilmesi için de tanımlamaların net şekilde yapılması gerekiyor.

SİBER TERÖRİZMDE ÇİFTE ASİMETRİ

Siber alanın asimetrikliğinden çokça bahsedilir. Siber alanda, az bir güçle ve küçük bir saldırgan grubunun devletler gibi büyük organizasyonlara zarar verilebildiği ifade edilir. Söz konusu asimetrikliğin boyutu ayrı bir tartışma konusu olsa da siber alanda belirli bir asimetriklik söz konusu olduğu muhakkak. Terörizmin doğasında da bir asimetriklik söz konusu. Terörist gruplar, nispeten çok az bir güçle devletlere karşı gelmektedir. Burada önümüzdeki en önemli tehlike, siber alanın asimetrikliği ile terörizmin asimetrikliğinin çakışması ve sonucunda terörist grupların siber saldırıları doğrudan terör eylemi gerçekleştirmede kullanmasıdır.

İLGİLİ YAZI >> SİBER UZAY VE ULUS DEVLLET EGEMENLİĞİ

İyi haber, yukarıda ifade edilen asimetriklik çakışması henüz gerçekleşmedi. Yani terör örgütleri siber saldırılarla doğrudan mal ve can kaybına sebep olacak yetkinliğe henüz ulaşamadılar ve şu ana kadar yukarıda açıkladığımız anlamıyla siber terörizm faaliyetine rastlanmadı.

Bugüne kadar gerçekleştiği kesin kabul edilen ve mal kaybına neden olan tek saldırı Stuxnet (SSCB’de 1980’lerde Sibirya’daki bir enerji tesisinin zararlı yazılımla patlatılması olayına değinilirfakat bu olay Sovyet otoriteleri tarafından yalanlanmıştır). Stuxnet, arkasında ABD ve İsrail gibi devletin olduğu iddia edilen, daha çok siber sabotaj olarak kategorilendirilebilecek bir hadise. Arkasında devlet olduğu için siber terörizm olarak tanımlanmıyor. Ama önemli bir soru işaretine de neden oluyor. Ya bir terörist örgüt bu tür bir eylem yaparsa?

İLGİLİ HABER >> STUXNET’İN PERDE ARKASINDAKİ ŞİRKETLER

Risk analizi mantığı ile irdelersek siber terörizm eyleminin riskine bir bakalım. Risk, bir tehdidin olma olasılığı ile etkisinin bileşkesinden oluşur. Siber terörizmin etkisi konusunda bir soru işareti yok. Çünkü tanım gereği can ve mal güvenliğini etkilediği için çok yüksek etki oluşturan bir tehdit. Burada incelenmesi gereken nokta olma olasılığı. Yani terörist gruplar, fiziksel sonuca neden olan siber saldırı kabiliyetine erişebilirler mi? Bu kabiliyete sahip olmanın maliyeti nedir? Gerekli maliyet doğrudan fiziksel saldırı yapmaktan daha az mıdır ki terörist gruplar siber saldırı metotlarını tercih etsin? Tüm bu soruların cevaplarını bulmalıyız. Bu cevaplar sadece zamanımızı değil geleceği de kapsamalı ki bu tehditlere karşı önceden hazırlık yapılabilsin.

İlk olarak, siber saldırı gerçekleştiğinde doğrudan fiziksel sonuca ulaşılabilecek bilişim sistemlerinin belirlenmesi gerekmektedir ki, siber fiziksel sistemler (cyber physical systems-SFS) bu listeyi oluşturmaktadır. Enerji, otomotiv, sağlık, üretim vb. gibi birçok endüstride iş süreçlerinde kullanılan gömülü sistemler içeren endüstriyel kontrol sistemleri, sensör sistemleri, mobil cihazlar ve bu yapıları merkezi olarak yöneten SCADA sistemleri gibi çok farklı teknolojiler söz konusu listede bulunmaktadır.Siber güvenlik uzmanları sıklıkla söz konusu sistemlerin güvenli tasarlanmadığını, çok kritik ve kolayca istismar edilebilen açıklıklar içerdiğini, az sayıda olan üreticilerin uzaktan sistemlerin bakımını yapabilmeleri için bu sistemlerin İnternete bağlanması gerektiğini dolayısıyla siber saldırılara çok açık olduklarını ifade etmektedir.

Öte taraftan bu sistemlerde güvenlik olayları yaşansa da, fiziksel sonuçlara neden olacak siber alan kaynaklı olaylara rastlanmamaktadır. Özellikle can ve mal kayıplı olaylar gerçekleşmemektedir. Siber güvenlik uzmanlarının yorumları ile bu durum arasında bir tezat varmış gibi gözükse de, konuya daha dikkatli bakınca şöyle bir değerlendirme yapılabilir. Yukarıda bahsi geçen teknolojileri kullanan, enerji, su, ulaşım  vb gibi kritik altyapı sektörlerinde endüstriyel kontrol sistemler siber saldırılara maruz kalsa da çevresel etmenleri izleyen diğer izleme sistemleri ortamın fiziksel değişikliklerini takip ediyor, alarm üretiyor ve ilgili teknik uzmanların konuya müdahale etmesini sağlıyor. Bir siber saldırının fiziksel sonuç vermesi için hem endüstriyel sistemin hem çevresel izleme sistemlerinin başarılı bir şekilde ele geçirilmesi ya da zarara uğratılması gerekmekte. Özellikle izleme sistemlerinin ilgili teknik uzmanlara işlerin normal gittiğini raporlaması gerekir ki bu uzmanların siber saldırı ile oluşabilecek teknik problemleri çözmelerinin önü alınsın. Bu durumda saldırganın gerçekten çok sofistike saldırı yöntemlerini kullanması, dahası kullanılan sistemlerle ilgili içeriden bilgilere sahip olması gerekiyor. Dolayısıyla bu tür bir saldırı teknik bilgi yanında değişik tipte istihbarat gerektirmektedir. Nitekim Stuxnet’in tüm bu bileşenlerin bir araya getirilmesi ile gerçekleştiği dolayısıyla bunu ancak bir devletin hatta gelişmiş bir devletin yapabileceği iddia ediliyor. Uzmanların çok büyük bir kısmı bu tür seviyede yeteneği olan bir terör örgütünün olmadığını düşünüyor. Bu da aslında henüz bir siber terörizm vakasının neden gerçekleşmediğini açıklıyor.

Fakat yakın gelecekte önemli bir tehlike ile karşılaşabileceğimizi düşünüyorum. Nesnelerin interneti (internet of things) teknolojisinin gelişmesi ile hasta takip sistemleri, otomobiller arası iletişim sistemleri, akıllı şebeke gibi siber fiziksel sistemler kategorisinde de yer alan uygulamaların yaygınlaşması bekleniyor. Fakat bu sistemlerin örneğin enerji üretim tesisinden farkı insan hayatının doğrudan içerisinde olması ve enerji üretim tesislerindeki gibi çevresel izleme sistemlerine ahip olmaması. Yani örneğin hasta takip sistemine yapılabilecek bir siber saldırının doğrudan cana zarar verme olasılığı mümkün. Oysa enerji üretim tesisinde olabilecek bir problem yukarıda açılandığı gibi ortam değişimlerin algılanması ile teknik uzmanların müdahalesi ile çözülebilir. Son zamanlarda şeylerin interneti temelli teknolojilerin güvenlik açıklıkları ile ilgili bir çok olabilirlik kanıtlama (proof of concept) gösterimleri yapılmakta. Eğer gereken tedbirler alınmazsa, yaygın kullanılması ile birlikte  bu sistemlerin siber terörizm hedefi olma ihtimali epey yüksek. Çünkü teröristler için söz konusu sistemler hem sofistike olmayan yöntemlerle saldırabilecekleri, hem sistemlerle ilgili detaylı bilgileri üst düzey istihbarat kaynakları gerektirmeyen yöntemlerle elde edebilecekleri hem de bir çok insanın canına kast edebilecekleri bir ortam sağlamakta. Aman dikkat!

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ


Verdiğiniz bilgiler 3. parti firma veya kişilerle paylaşılmayacaktır, sadece verdiğiniz talimat istikametinde kullanılacaktır.

Cihangir Sevimli

Cihangir Sevimli uzun süre ülkemizde ve yurtdışındaki üniversitelerde akademisyen olarak bulunmuş bir bilgi güvenliği sevdalısı.

Türkiye'de kamu kurumlarında kritik açıkları ortaya çıkararak devletin dikkatini çekmiş olan Sevimli halen çeşitli kurumlara danışmanlık yapmaktadır.
Cihangir Sevimli

Latest posts by Cihangir Sevimli (see all)

1 Yorum

  1. Pingback: Yerel imkanlarla dijitalleşme Türkiye'yi 2023 ve ötesine taşıyacak

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Cihangir Sevimli

Cihangir Sevimli uzun süre ülkemizde ve yurtdışındaki üniversitelerde akademisyen olarak bulunmuş bir bilgi güvenliği sevdalısı.

Türkiye'de kamu kurumlarında kritik açıkları ortaya çıkararak devletin dikkatini çekmiş olan Sevimli halen çeşitli kurumlara danışmanlık yapmaktadır.
Cihangir Sevimli

Latest posts by Cihangir Sevimli (see all)

%d blogcu bunu beğendi: