Söz konusu değişiklik FBI’ın siber suçlarla mücadele yönetimindeki kayda değer bir değişikliği yansıtıyor. Bu, suçluları hapsetmek yerine onları alt etmeye ve uzaktan engellemeye odaklanıyor. Bunun bir alt sebebiyse siber suçluların çoğunun ABD dışında yaşaması.
Söz konusu mücadele yöntemi değişikliğini belki de en iyi tanımlayan başsavcı yardımcısı Lisa Monaco. Monaco, nisan ayında RSA güvenlik konferansında yaptığı açıklamada, FBI’ın eski standartlarına göre böyle büyük bir davayı herhangi bir tutuklama olmadan kutlamanın “sapkınlık” olacağını söylemişti. Ancak Monaco, “Artık başarımızı sadece mahkeme salonundaki eylemlerle ölçmüyoruz.” diye sözlerine devam etmişti.
HIVE’A SIZMAK 130 MİLYON DOLARI KURTARDI
Hive bir zamanlar dünyanın en üretken suç örgütlerinden biriydi ve Amerikan okullarının, işletmelerinin ve sağlık tesislerinin ağlarını kapatması ve ardından erişimi yeniden sağlamak için fidye talep etmesiyle ünlüydü.
FBI, Temmuz 2022’de Hive’ın ağına girerek hem Hive kurbanlarına büyük bir yardım yaptı hem de siber suçluların potansiyel saldırılarını engelledi.
Hive’ın çökertildiği dönemde Adalet Bakanlığı’nın ulusal güvenlik biriminde başsavcı yardımcısı olarak görev yapan Adam Hickey, FBI’ın bu operasyonla dünya genelindeki mağdurlara yaklaşık 130 milyon dolar kazandırdığını ve bunun da yaklaşımın ne kadar etkili olduğunu kanıtladığını söyledi.
Hickey, “İnsanları hapse atmanın siber tehdide karşı koymanın tek yolu olduğunu düşünmek için goril olmak gerekir.” dedi.
Ancak bu yaklaşımın da sınırları var. FBI yetkilileri ve bağımsız siber güvenlik uzmanlarıyla yapılan röportajlar, FBI’ın bu işi nasıl başardığı ve Hive operasyonunu neden tam olarak bitiremeyip sadece zayıflatabildiği konusunda yeni ayrıntılar sunuyor.
Çeteye sızma çabası uzun ve yoğun emek gerektirdi. Hive, ilk olarak Temmuz 2021’de FBI’ın radarına girdi.
Yüksek profilli fidye yazılım grupları Amerikan gaz boru hatlarına ve et işleyicilerine felç edici saldırılar düzenlerken, o zamanlar bilinmeyen Hive çetesi Florida’da adı açıklanmayan bir kuruluşun ağını kilitledi.
Hive’ın Amerika Birleşik Devletleri’nde bilinen ilk saldırısı olduğu için FBI prosedürü, büronun kurbana en yakın olan Tampa saha ofisinin gelecekteki tüm Hive vakalarının sorumluluğunu üstlenmesini gerektiriyordu.
Tampa ofisinde özel ajan olarak görev yapan Justin Crenshaw, kendisinin ve ekibinin o sırada grup hakkında hiçbir şey bilmediklerini, ancak hızla araştırmaya başladıklarını söyledi.
ABD kolluk kuvvetlerinin tahminlerine göre, sonraki 18 ay içinde Hive dünya genelinde 1.500’den fazla saldırı düzenledi ve kurbanlarından yaklaşık 100 milyon dolar kripto para topladı.
Grup, kısmen acımasızlığı güçlü bir büyüme motoruna dönüştürerek, diğer siber suçluların sınır dışı ilan ettiği hastaneler ve sağlık hizmeti sağlayıcıları gibi kuruluşları hedef alarak bu kadar hızlı büyüdü.
Hive birbiri ardına saldırılar düzenlerken, Tampa ajanları büroya başvuran her kurbanla görüştü ve bu süreç yavaş yavaş çete hakkında değerli istihbaratlar elde edilmesini sağladı.
Örneğin, Hive’ın nasıl tek bir grup değil de birkaç grup olduğunu, sıkı bir mafyadan ziyade McDonald’s gibi markalaşmış bir franchise’a daha yakın olduğunu öğrendiler.
Grup, siber suç uzmanlarının “hizmet olarak fidye yazılımı” adını verdikleri bir modelle çalışıyordu; bu modelde Hive’ın çekirdek üyeleri şifreleme yazılımlarını, ağlara sızma ve fidye yazılımı yükünü dağıtma konusunda uzmanlaşmış diğer suçlulardan oluşan geniş bir ağa ya da “bağlı kuruluşlara” kiralıyordu.
İLK ADIM 12 AY SONRA ATILDI
İlk vakanın Tampa masasına ulaşmasından on iki ay sonra, Crenshaw nihayet bir atılım yaptı.
Grubun uzaktan yönetim paneline, yani çete üyelerinin ellerine geçen her hastane, okul ve küçük işletmenin verilerini karıştırmalarına ve ardından kurtarmalarına olanak tanıyan anahtarları korudukları dijital bir sinir merkezine girmenin bir yolunu buldu.
Bu buluş FBI’a dikkate değer bir fırsat sundu: Hive’ın kurbanlarını, grup onlara saldırır saldırmaz tespit etme ve ardından ağlarını eski hâline getirmek için ihtiyaç duydukları şifre çözme anahtarlarını onlara iletme.
Sonraki altı ay boyunca FBI Tampa dünya çapında 300’den fazla yeni kurbana anahtar sağladı.
Crenshaw’ın ekibi mağdurlara teknik yardım sunma konusunda o kadar başarılı oldu ki sonunda Crenshaw ve ekibi kendilerine bir lakap taktı: Hive yardım masası.
Ancak FBI’ın Hive’a sızmadaki başarısı hiçbir zaman grubun toptan imhasına dönüşmedi. Verilere göre grup, içlerine FBI sızmışken bile istikrarlı bir saldırı temposunu sürdürdü.
Hive’ın ödeme yapmayı reddeden kurbanların isimlerini ve hassas bilgilerini yayınladığı dark web sitesinde, ağustos ayında yedi, eylül ayında sekiz, ekim ayında yedi, kasım ayında dokuz ve aralık ayında 14 kurban listelendi. Bu rakamlar sızma öncesi rakamlarla tutarlıydı.
Hive’ın bu kadar aktif kalmasının bir nedeni, hassas dosyalarını internete sızdırmakla tehdit ederek kurbanlar üzerinde ek baskı kurabileceğini öğrenmiş olması.
HIVE DAVASI HÂLÂ SÜRÜYOR
Bu yılın Ocak ayı başlarında Tampa ofisi, Hive davasını tamamen değiştirecek olan ikinci büyük keşfine ulaştı.
Daha titiz bir araştırma sonucunda FBI, Hive’ın saldırılarını düzenlemek için kullandığı ana sunucuları Los Angeles’taki bir veri merkezinden kiraladığını öğrendi. Sadece iki hafta sonra donanıma el koydu. Kısa bir süre sonra da Hive’ın kapatıldığını duyurdu.
Crenshaw, Hive üyeleri hâlâ dışarıda olduğu için davanın bitmediğini söyledi. Hatta bu sunucular, FBI’ın 18 ay boyunca Hive ile çalışan bağlı kuruluşların maskesini düşürmesine yardımcı olabilir.
YENİ STRATEJİNİN ARTISI VE EKSİSİ
Geçtiğimiz ay ABD Adalet Bakanlığı, Hive’a bağlı olarak çalışmakla suçlanan bir Rus vatandaşı hakkındaki iddianameyi duyurmuştu. Mikhail Matveev adlı bu kişi hâlâ firarda ve iki farklı fidye yazılım grubu için çalışmış. Bu da siber suçluların çeteler arasında dolaşmasının ve birinin çökmesi halinde yeniden ortaya çıkmasının ne kadar kolay olduğunun bir işareti.
Birçok kurban adına fidye yazılımı müzakerecisi olarak görev yapan siber güvenlik şirketi GroupSense’in CEO’su Kurtis Minder, “Liderliği ele geçirmediğiniz ve onları tam anlamıyla kilit altına almadığınız sürece, ‘fidye yazılımı’ gruplarının anlamlı bir şekilde yeniden ortaya çıkmasını durdurmanız pek olası değil.” dedi.
Minder, “FBI’ın elindekilerle en iyisini yapmaya çalıştığını, yine de bu insanların tekrar geri dönmesinin oldukça basit olduğunu” söyledi.
NSA’in siber güvenlik direktörü Rob Joyce, bu stratejinin asıl hedeflediği şeyin suç ekosistemine olan güveni sarsmak olduğunu söyledi.
Joyce, Hive’ın ele geçirilmesi gibi operasyonların “Kime güvenebileceklerinden ya da neye inanabileceklerinden emin olmayan pek çok suçlunun aklının karışmasına neden olduğunu” belirtti. Joyce, “Bu kafa karışıklığı onları yavaşlatıyor ve faaliyet gösterme yeteneklerini engelliyor.” dedi.
FBI’ın dijital sabotajı geçici kazanımlar sağlasa da suçlular şimdi ABD kolluk kuvvetlerinin peşlerinde olduğunu çok iyi bilerek yeniden toparlanabilir ve faaliyetlerine yeniden başlayabilirler.
Fidye yazılımı çetesi Cl0p, İngiltere’nin su alt yapısına hizmet veren şirkete sızabileceğini iddia etti.
Yüksek profilli saldırılara imza atan grup Cl0p, bir su tedarikçisini izinsiz erişim elde ettiğini duyurdu.
Cl0p çetesi, İngilliz su tedarikçisi South Staff Water’ı hacklediğini ve kontrol sistemlerinin dâhili ağına erişim sağlayıp su akışını bozabileceğini ileri sürdü.
KANIT OLARAK SU AKIŞ ARAYÜZLERİNİ SUNDULAR
Yüksek profilli saldırılara imza atması ve geçen yıl Binance’tan 500 milyon dolarlık fidye almasıyla bilinen Cl0p fidye yazılımı çetesi, İngiliz su tedarik sağlayıcısı South Staff Water’ın sistemlerine girdiğini iddia etti.
Kanıt olarak su kaynaklarını kontrol etmek için kullanılan arayüzleri gösteren ekran görüntülerini içeren şirket verilerini paylaşan çete, potansiyel olarak su akışını bozabileceğini iddia etti.
Kanıtları inceleyen endüstriyel kontrol sistemleri üzerinde uzmanlaşan siber güvenlik araştırmacılarından bazıları, söz konusu kanıtların gerçek olduğunu düşünüyor.
Siber güvenlik şirketi Dragos’un tehdit istihbaratı Mark Plemmons, “İsterlerse daha fazla operasyon yürütmek yeterli erişime sahip görünüyorlar.” açıklaması yaptı.
Görüntüler hakkında yorum yapan Plemmons, “İki ayrı görüntü, Cl0p çetesinin SSW şirketinin operasyonel teknolojisine erişim iddiasının kanıtı gibi görünüyor. Cl0p çetesinin veri sızdırmaya başlamasından iki gün sonra alınan bir Opus SCADA Master istasyonu İnsan Makine Arayüzü’nün gerçek ekran görüntüleri gibi duruyor.” dedi.
SCADA, endüstriyel bir ortamda makineleri ve süreçleri kontrol etmek ve izlemek için grafik arayüzleri içeren bir sistem olarak biliniyor.
“İNSANLARA ZARAR VERMEK İSTEMİYORUZ”
Bir Cl0p üyesinin yaptığı açıklamada, “Erişimimiz vardı ancak sadece ekran görüntüleri aldık.” dedi. Tehdit aktörü, “İnsanlara zarar vermek istemiyoruz ve kritik altyapılara saygılı davranıyoruz. Kimseye zarar vermek istemediğimiz için sisteme gerçekten girmedik.” ifadelerini kullandı.
South Staffs Water, konu hakkında yorum yapmasa da olayın kamuoyuna duyurulmasının ardından, “Bu olay, güvenli su sağlama yeteneğimizi etkilemedi. Cambridge Water ve South Staffs Water müşterilerimize hâlâ güvenli bir şekilde su sağlıyoruz.” açıklamasını yaptı.
“GÖRÜNTÜLER KONTROL EDEBİLECEKLERİ ANLAMINA GELMİYOR”
Bir başka siber güvenlik araştırmacısı Danielle Jablanski, tehdit aktörlerinin bu arayüzleri görmelerinin, onları kontrol edebilecekleri anlamına gelmediğini ve bunu kanıtlayan hiçbir kanıt bulunmadığını belirtti.
Jablanski, “İnsan Makine Arayüzü ekran görüntüsü, bir şirket ağından operasyonel bir teknoloji ağına geçebileceklerini gösteriyor ancak değişiklik yapma ve komutları iletme yeteneği, potansiyel olarak bir izleme veya uzaktan görüntüleme yeteneğine erişmekten farklıdır.” dedi.
Nozomi Networks’ten bir siber güvenlik stratejisti, “Bu komuta ve kontrol yeteneğini kurmuş olabilirler ancak mevcut ekran görüntüleri bunu açıkça doğrulamıyor.” dedi. Ekran görüntülerini yorumlayan stratejist, “Ekran görüntüleri, kontrol panelinde kimin oturum açtığını veya ekran görüntüsünün alındığı makinenin erişimin süreç kontrol sistemlerinde değişiklik yapma yeteneğine sahip olup olmadığını göstermiyor.” cümlelerini kullandı.
Batı Avrupa’nın en büyük petrol limanları, enerji fiyatlarının yükseldiği bir dönemde siber saldırı mağduru oldu.
Saldırılarda Almanya’da Oiltanking, Belçika’da SEA-Invest ve Hollanda’da Evos şirketlerinin hedef alındığı belirtiliyor. Saldırıların eş güdümlü olup olmadığı ise bilinmiyor.
ROTTERDAM VE ANTWERP’TE SEVKİYAT DURMA NOKTASINA GELDİ
Rotterdam’ın ardından Avrupa’nın en büyük ikinci limanı olan Antwerp de dahil olmak üzere ülkenin limanlarda bulunan petrol tesislerinin hacklenmesiyle ilgili soruşturma başlatıldı.
Alman savcılar, hackerların kilitledikleri ağları yeniden açmak için para talep ettiği olası bir fidye yazılımı saldırısı olarak tanımladığı petrol tesislerini hedef alan siber saldırıyı araştırdıklarını söyledi.
Geçtiğimiz ay gaz Rusya ile yaşanan diplomatik gerilimler nedeniyle petrol fiyatları, yedi yılın en yüksek seviyesine ulaştı.
Konunun uzmanı bir gemi brokerına göre hack iddiası birçok Avrupa limanını etkiliyor ve zaten gergin olan bu pazardaki yüklerin boşaltılmasını engelliyor. Rotterdam’daki Riverlake’in kıdemli brokerı Jelle Vreeman, “Birçok tesiste siber saldırı oldu, bazı terminaller çöktü.” dedi.
Yazılımların ele geçirilmesi suretiyle gerçekleşen saldırılar mavnaların işleyişini sekteye uğratıyor. Vreeman, “Kısacası, operasyonel sistem çökmüş durumda.” diyor.
Europol sözcüsü Claire Georges, “Bu aşamada soruşturma devam ediyor ve hassas bir aşamada.” dedi.
SALDIRILARIN EN BÜYÜK MAĞDURU BELÇİKA HOLLANDA HATTI
Saldırıların başlıca kurbanlarından biri, şirket bilişim sistemlerinin siber saldırı kurbanı olduğu Hollanda ve Belçika ortaklığında faaliyet gösteren Amsterdam-Rotterdam-Antwerp petrol ticaret merkezi gibi görünüyor.
Belçika’da yayın yapan De Morgen gazetesinin haberine göre, Antwerp’te depolama tesisleri bulunan SEA-TANK tesisi de saldırılardan nasibini aldı. Hollanda Ulusal Siber Güvenlik Merkezi, “gerekirse” yeni adımlar atacaklarının sözünü verdi.
Almanya’da iki petrol şirketi, 29 Ocaktan bu yana siber saldırının kurbanı olduklarını söyledi.
Hem Oiltanking Deutschland GmbH hem de Mabanaft, fors majör (bir sözleşmenin yürürlüğünü engelleyen beklenmedik durum) ilan etti. Şirket sözcüleri, “Sorunu çözmeye ve etkilerini olabildiğince çabuk bir şekilde en aza indirmeye kararlıyız.” dediler.
ALMANYA’DAKİ SALDIRILARDA BLACKCAT ŞÜPHESİ
Alman gazetesi Handelsblatt’a göre, Alman güvenlik servislerinden gelen ilk değerlendirmelere göre Almanya’daki siber saldırıda kullanılan aracın BlackCat fidye yazılımı olduğu belirtiliyor.
BlackCat, Kasım 2021’in ortalarında hackerların hedef sistemlerin kontrolünü ele geçirmesine izin veren bir yazılım aracı olarak ortaya çıktı ve gelişmişliği ve yenilikçiliği nedeniyle hızla ün kazandı.
Uzmanlar ayrıca Blackcat’in programcılarının Rusça dilini kullandıklarına dikkat çekiyor.
Amerika Birleşik Devletleri ve diğer batı ülkelerindeki hedeflere yönelik son fidye yazılımı saldırıları, Rusça konuşan hacker gruplarına veya Rus topraklarından faaliyet gösterenleri işaret ediyor.
Haziran ayında ABD makamları, Colonial Pipeline’ın büyük bir yakıt ağının kapatılmasını zorlayan Rusya merkezli fidye yazılımı grubu Darkside’a ödenen fidye ödemesini geri aldıklarını söyledi.
Saldırı kısa vadeli yakıt kıtlığına neden olmuş ve fidye yazılımının temel altyapı ve hizmetlere yönelik oluşturduğu tehdidin boyutuna dikkat çekmişti.
Türkiye’de bir ilke imza atarak kritik altyapılar ulusal test yatağı merkezine öncülük eden Sakarya Üniversitesi (SAÜ) öğretim üyesi Prof. Dr. İbrahim Özçelik, stratejik hedeflerinin yerli ve milli ürünlere katkı sağlamak ve uluslararası iş birlikleri kurmak olduğunu söyledi.
Türkiye’nin ilk kritik alt yapılar test yatağı merkezi SAÜ ve Siber Güvenlik Firması Savunma Teknolojileri Mühendislik ve Ticaret A.Ş (STM) iş birliğiyle geçen hafta açıldı. Prof. Dr. İbrahim Özçelik, Siber Bülten’e kritik alt yapılar ve test yatağı merkezine ilişkin değerlendirmelerde bulundu.
Özçelik, Sakarya Üniversitesi’nin kritik altyapıların korunması amacıyla Test Yatağı Merkezlerinin kurulumunu bir ihtiyaç olarak gördüğünü ve bu alanda sahip olduğu bilgi birikimi ile Türkiye’nin siber güvenlik eylem planındaki stratejik amaç ve hedeflere katkı sunmak istediğini, bu vizyon doğrultusunda da STM firmasıyla iş birliği yaparak Türkiye’de bir ilk olan kritik altyapılar ulusal test yatağı merkezini kurduğunu söyledi.
Prof. Dr. Özçelik’in doktora (2002) ve sonrasındaki çalışma alanı, genelde ağ sistemleri özelde de endüstriyel otomasyon sistemleri üzerine oldu. Bu konularda birçok akademik çalışma yaptı ve özel sektöre de birçok eğitimler verdi. Bu çalışmalar, test yatağı merkezinin kurulumuna katkı açısından özellikle üretim sistemlerinin otomasyonu ile önemli birikimler elde etmesine vesile oldu. Elde edilen birikim sonunda 2010 yılında Sakarya Üniversitesi’nin desteği ile “Gerçek Zamanlı Ağ Sistemleri” laboratuvarı kuruldu.
Sakarya Üniversitesi, 2014 yılında Siber Güvenlik alanını tematik alan olarak belirledi, aynı yıl içerisinde SauSiber isimli Türkiye’de ilk siber güvenlik öğrenci topluluğunu kurdu, 2015 yılında Siber Güvenlik yüksek lisans programını açtı. Sakarya Üniversitesi’nin desteği ile yine 2015 yılında “Siber Güvenlik Araştırma ve Uygulama Laboratuvarı Kurulumu” projesi hayata geçti ve “Gerçek Zamanlı Ağ Sistemleri” laboratuvarının “SCADA Güvenliği” laboratuvarına dönüşümü gerçekleşti.
Tecrübeli akademisyen “Test Yatağı Merkezi” kurulumu da dahil olmak üzere Sakarya Üniversitesi’nin siber güvenlik ile alakalı tüm faaliyetlerinde başkanlık, koordinatörlük ve yürütücülük görevleri üstlendi.
Özçelik, kritik altyapıların yeteri kadar korunmadığı takdirde toplum ve devlet düzeninin bozulmasına, can ve mal kayıplarının yaşanmasına neden olabilen en öncelikli korunması gereken varlıklar arasında yer aldığını söyledi.
Kritik alt yapılara yönelik saldırıların tarihine değinen Özçelik şu hatırlatmalarda bulundu:
“İran’ın uranyum zenginleştirme tesislerini hedef alan 2010 yılındaki Stuxnet saldırısı, kritik altyapılara yapılan siber saldırıların miladı olarak kabul edilir. Bu saldırıda santrifüj anahtarlar devre dışı bırakılarak nükleer tesise zarar verilmişti.
Bu olay sonrasında da başka ülkelerdeki farklı kritik altyapılara birçok siber saldırı yapıldı. Bu konuda verilebilecek önemli örnek Ukrayna’nın akıllı enerji şebekelerine yapılan BlackEnergy ve Crashoverride isimli siber saldırılar. Bu saldırılar 2014, 2015, 2016 ve 2017 yıllarında tekrar düzenlendi. Saldırılarda ortaya çıkan en olumsuz etki, 30 trafo merkezi içerisindeki kesicilerin devre dışı bırakılarak 230 bin kişinin 6 saat elektriksiz kalması olmuştu.
Söz konusu siber saldırılar sabotaj amaçlı yapılmış ve sonunda da toplum ve devlet düzenini bozan ve mal kayıplarına neden olan zararlar ortaya çıkarmıştı. Bu saldırılar haricinde, endüstriyel kontrol sistemlerinden sadece veri toplama ve bilgi sızdırma amaçlı yapılan siber saldırılar da var. Duqu, Flame ve ülkemizin de etkilendiği ifade edilen Dragonfly saldırısı bu tür saldırılara örnek olarak verilebilir. Bu siber saldırılar sonucunda elde verilerin, başka siber saldırılarda ya da farklı amaçlar doğrultusunda kullanılma ihtimali çok yüksek.”
“KRİTİK ALT YAPILARDAKİ SİBER TEHDİTLER YÜKSEK RİSKLER OLUŞTURUYOR”
Gerçekleşen tüm bu siber saldırıların hedef odaklı yapıldığı, saldırı vektörlerinin sürekli değiştirildiğine işaret eden Özçelik, “Yapılan saldırıların çok uzun süreli sistemlerde kaldığı ve tespitinin uzun süreler aldığı bilgilerini birlikte değerlendirdiğimizde, siber tehditlerin kritik altyapılar üzerinde ne denli yüksek riskler oluşturduğu anlaşılıyor. Zira ülkemizin fiziki coğrafya olarak ender bir konumda olması ve enerji koridoruna da ev sahipliği yapması bu riskleri daha da artırıyor. “ diye konuştu.
Özçelik, Ulaştırma ve Altyapı Bakanlığı, Türkiye’de siber güvenliğin sağlanması, risklerin minimize edilmesi ve kabul edilebilir düzeyde tutulması için “Ulusal Siber Güvenlik Stratejisi ve Eylem Planları” hazırladığını hatırlattı. Daha önceki eylem planlarında olduğu gibi 2020-2023 yılını kapsayan eylem planında da “Kritik Altyapıların Korunması ve Mukavemetinin Artırılması” birinci stratejik amaç olarak belirlendiğine işaret eden Özçelik, “Bu amacı sağlamak için eylem planları yapılmıştı. Eylem planlarının hedeflerine ulaşabilmesi için de kurumlara yetki ve sorumluluklar yüklenmişti. Fakat alanın kendine özgü kalıcı problemleri bulunuyor ve bu problemler de varlığını devam ettiriyor.” ifadelerini kullandı.
Özçelik söz konusu problemleri şöyle sıraladı:
Uzman açığının bulunması: Hem ülkemizde hem de dünya da çok fazla uzman açığı bulunmaktadır. Kritik altyapıların güvenliği proses, kontrol sistemi, ağ mimarisi, siber güvenlik gibi birçok disiplin hakkında bilgi ve birikim gerektiriyor. Bu konuda bir kişinin yetişmesi oldukça uzun zaman alıyor.
Ar-ge ve test ortamının bulunmaması: Çalışan bir kritik altyapı üzerinde siber güvenlik çalışması yapmak, prosese ve kontrol sistemine doğrudan zarar verebiliyor ve prosesin çalışmasını engelleyebiliyor. Böyle bir çalışma tarzını da hiçbir işletme kabul etmiyor. ABD (2003), Japonya (2012) ve Singapur (2015) gibi ülkeler, kritik altyapıların güvenliği ile alakalı sektörel ve akademik çalışmalar yapmak için test yatağı merkezi kurulumları yapmış durumda. Fakat ülkemizde bu amaç doğrultusunda kullanılabilecek bir ar-ge ve test ortamı bulunmuyor.
Akademi desteğinin yetersiz olması: Üniversiteler, hem siber güvenlik hem de kritik altyapıların siber güvenliği ile alakalı ar-ge çalışmaları içerisinde yeteri kadar bulunamıyor ya da bulunmuyorlar.
Özçelik, söz konusu sebeplerin hem kritik altyapıların korunması stratejik amacına ulaşılma noktasındaki ivmeyi azalttığını hem de yerli ve milli ürünlerin geliştirilmesini olumsuz etkilediğini belirtti.
ULUSAL TEST YATAĞI MERKEZİNİN KAPSAMI
Test yatağı merkezinde hem Elektrik Enerji Şebekesi hem de Su Yönetimi olmak üzere iki kritik altyapı modellendi. Kurulum Ekim 2019’da başladı, 14 aylık sürenin sonunda Aralık 2020’de tamamlandı.
Proje kapsamında elektrik enerji şebekesi kritik altyapısı, enerjinin üretiminden tüketim sürecine kadar tüm aşamalar dikkate alınarak modellendi. Modellemede TEİAŞ’ın ve dağıtım şirketlerinin şartnameleri esas alınarak gerçeğe yakın bir ortam oluşturuldu.
Su Yönetimi altyapısında ise bir belediyenin şehre dağıttığı içme suyu prosesi ile şehirden topladığı atık su prosesi gerçeğe yakın bir şekilde modellendi. Su yönetimi modellemesinde ise büyükşehir belediyelerinin kullandığı kontrol sistemleri referans alındı.
https://www.youtube.com/watch?v=CBvZa2S2wH8
Her iki kritik altyapı 4 ana bileşenden oluşuyor:
Birinci bileşen altyapıya ait prosesi ve kontrol sistemini tanımlayan saha tarafı. Elektrik tarafında trafo merkezleri ve dağıtım panoları kullanılırken, su tarafında ise arıtma, terfi ve depo istasyonları kullanıldı.
İkinci bileşen ise SCADA tarafı. Her iki kritik altyapıya ait proseslerin izlenmesini ve kontrolünü sağlamak amacıyla farklı üretici firmalara ait SCADA uygulama yazılımları geliştirildi.
Üçüncü bileşen test yatağı merkezine özgü geliştirilen maket sistemi. Maket sistemi saha tarafı ve SCADA yazılımları ile birlikte entegre çalışıyor. Proses üzerinde oluşan bir olay maket sistemine yansıtıldı.
Dördüncü bileşen ise siber güvenlik operasyonlarının izlendiği ekranlar. Gerek uç sistem gerekse de ağ tabanlı yapılacak siber saldırılara karşı tespit ve alarm sistemleri yapılandırıldı ve üretilen alarmlar bu ekranlara yansıtıldı.
Projeye Savunma Sanayi Başkanlığı öncülük etti, STM ve Sakarya Üniversitesi iş birliği ile gerçekleştirildi. STM ana yükleniciliği yaparken, Sakarya Üniversitesi kurulum sürecini gerçekleştirdi ve yönetti.
TEST MERKEZİ HANGİ AMAÇ DOĞRULTUSUNDA ÇALIŞACAK?
Prof.Dr. Özçelik, en büyük hayallerinin yerli ve milli siber güvenlik ürünleri geliştirmek olduğunu belirterek, “Bu hayali gerçekleştirirken akademik destek sunmak bizim için en büyük motivasyon kaynağı olacak. En önemli katma değerimiz ise akademisyen ve uzman insan kaynağı yetiştirmek olacak. Akademi tarafındaki hedefe ulaşmak için yüksek lisans, doktora çalışmalarında ve projelerde diğer üniversitelere imkanlarımızı kullandırmak ve birlikte akademik çalışmalar yapılacak. Sektör tarafında ise farkındalık eğitimleri, özel kurslar, siber güvenlik kampları ve CTF yarışmaları düzenlenecek.
Özçelik, kritik altyapılarda kullanılan donanımlar, yazılımlar ve çözümlerin sahip olduğu kritik güvenlik zafiyetlerini keşfetmek ve güvenli ağ mimarisi yaklaşımları önermeyi amaçladıklarını vurguladı.
Özçelik, en önemli hedeflerinin “bilimi sadece bilim için değil, topluma ve insanlığa fayda sağlamak amacıyla yapmak” misyonu ile hareket etmek olduğunu işaret ederek belirledikleri stratejik hedefleri ise şöyle sıraladı:
Test yatağı merkezi imkanlarının özel sektör, üniversiteler ve kamu tarafından kullanımı sağlanarak ekosistemin merkezinde olmak,
Hem yerli ve milli ürünlere hem de akademik çalışmalara katkı sunmak,
Test yatağı merkezinin yeteneklerini artırmak, kapsamını genişletmek ve diğer benzer test yatağı merkez kurulumlarına yardımcı olmak,
Uluslararası diğer test yatağı merkezleri ile iş birlikleri kurmak ve ortak çalışmaların yapılması için gerekli adımları atmak,
Ulusal ve uluslararası arenada geliştirilen ürünlerin ya da çözümlerin test ve akreditasyon süreçlerinde rol almak.
MERKEZ ÖĞRENCİLER İÇİN DE BÜYÜK AVANTAJ SAĞLAYACAK
Sakarya Üniversitesi, siber güvenlik alanını tematik alan olarak belirlediği 2014 yılından itibaren günümüze kadar gelen süreçte topluluk içi eğitimler, yapılan proje çalışmaları ve sektörle birlikte düzenlenen siber güvenlik kampları ve etkinliklerle sektöre en fazla uzman kaynağı yetiştiren lider üniversitelerden biri oldu.
Prof. Dr. Özçelik merkezin öğrenciler için de çok faydalı olacağını belirterek, “Altyapıların güvenliği alanında çalışmak isteyen lisans ve lisansüstü öğrencilerimiz, test yatağı merkezimize doğrudan erişim sağlayabilecek. Bu merkez Sakarya Üniversitesi öğrencilerine büyük avantajlar sunacak. Üniversitemizin kritik altyapıların güvenliği alanına da uzman insan kaynağı yetiştirmesine büyük katkı sunacaktır.” diye konuştu.
SİBER GÜVENLİK SEKTÖRÜ İÇİN DE DEĞERLİ
Özçelik, merkezin siber güvenlik şirketleri için önemine de değinerek, ”Hem IT hem de OT alanı bileşenlerine sahip bir test yatağı merkezinin sektör firmaları tarafından siber güvenlik kampları ve CTF yarışmalarının düzenlenmesi noktasında daha çok tercih sebebi olacaktır.” ifadelerini kullandı.
Prof.Dr. Özçelik, Sakarya Üniversitesinin Tübitak’ın 2020 yılında yayınlamış olduğu yetkinlik analizine göre akademik alanda yapmış olduğu çalışmalar sonucunda Bilgi Güvenliği alanında Türkiye’de tüm üniversiteler arasında ilk üçe girdiğini kaydetti. Özçelik ayrıca Sakarya Üniversitesi’nin test yatağı merkezi çerçevesinde yapacağı çalışmalarla genelde bilgi güvenliği özelde de siber güvenlik ve kritik altyapıların güvenliği alanlarındaki başarısının sürdürülebilir olmasının sağlanacağını sözlerine ekledi.
KAMU-ÖZEL SEKTÖR VE AKADEMİ İŞ BİRLİĞİ
Kamu, özel sektör ve akademi arasında başarılı iş birliği kurmanın en önemli faktörlerinin altyapı, kazan kazan formüllü kamu-üniversite-sanayi iş birliği modeli, tarafsızlık-gizlilik ve sinerji-mükemmeliyet merkezi olduğunu ifade eden Özçelik, iş birliği yapmak isteyen her bir tarafın kazanması (kazan…kazan formülü) gerektiğine dikkati çekti.
Prof. Dr. Özçelik, bir firmanın kritik altyapıların güvenliği ile alakalı bir proje geliştirme durumunda en önemli gider kalemleri personel ve kullanmak istediği ürünlere ait giderler olacağını belirterek, “Firma proje giderlerini dış kaynak desteğiyle ya da kendi öz kaynakları ile karşılamak isteyebilir. Dış kaynak destekli projelerde bir test yatağı boyutundaki bir altyapı için hiçbir zaman bu kadar ürün desteği verilmez. Firmalar da kendi öz kaynakları ile bir test yatağı boyutunda bir yatırım yapmaz. Bu durumda firma ürün satın almak yerine test yatağı merkezimizden hizmet talebinde bulunması kazan kazan adına önemli bir adım olacaktır. Zira kendi öz kaynakları ile proje yaptığında daha az maliyetle süreci yönetecek, dış kaynak destekli yapıldığında, örnek Tübitak, her firmaya ayrı ürün desteği vermeden ülkemizdeki kaynakların etkin kullanımı sağlanacak, test yatağı merkezi sahibi ise sunmuş olduğu altyapıya ait işletme giderlerini sağlayabilmek için bir imkân elde etmiş olacaktır. “ ifadelerini kullandı.
Söz konusu çalışma tarzının personel giderlerine de katkısı olacağını vurgulayan Özçelik, “Malum üniversiteler eğitim ve araştırma ortamlarıdır. Projelerde lisans ve yüksek lisans öğrencilerinin çalışması sağlanarak firmalar açısından maliyeti daha uygun bir iş gücü elde edilme imkânı ortaya çıkacaktır. Diğer taraftan bilimsel danışmanlık ihtiyaç görülürse geliştirilen ürünlerin bilimsel altyapıya sahip olması, akademisyenlerin sektörle birlikte çalışması noktasında önemli kazanımlar ortaya çıkacaktır. Verilen bilgiler değerlendirildiğinde hem sektör açısından hem de üniversite açısından kazan kazan formülüne önemli bir örnek olduğu çıkarımı yapılabilir. Kazan-kazan formülünün bir eğitim amacıyla yapılacak kamu-üniversite-sanayi iş birliği kapsamında da sağlanabilir olduğunu düşünüyorum.” diye konuştu.
TARAFSIZLIK VE GİZLİLİK İLKESİ ÖNEMLİ FAKTÖR
Özçelik bir diğer önemli faktörün ise tarafsız olmayı başarmak ve gizliliğe riayet etmek olduğuna dikkati çekerek, “Firmaların projelerini test ortamına taşımaları durumunda projenin gizliliğini korumak ve hukukunu korumak en önemli beklenti olacaktır. Bu durum hem firmalarla yapılacak görüşmelerde hassasiyet dereceleri belirlenecek ve sistemsel olarak koruma altına almak için yöntemler geliştirilecektir. Ayrıca test yatağı merkezinin imkanlarını kullandırma noktasında her firmaya eşit mesafede olarak tarafsız olmak da bir başarı faktörü olacaktır.” değerlendirmesinde bulundu.
Proje fikrinin başından kurulumun tamamlanmasına kadar tüm aşamalarda sunduğu maddi ve manevi desteklerinden ötürü STM firmasına, Sakarya Üniversitesi’ne ve Savunma Sanayi Başkanlığı Sanayileşme Daire Başkanlığı ve Siber Güvenlik Kümelenmesine teşekkür eden Prof. Özçelik, “14 aylık bir sürede tamamladığımız test yatağı merkezi projesinin tüm süreçlerinde çok yoğun bir tempoda çalışan ve pandemi şartlarında birlikte çalışma zorluğuna rağmen çok büyük bir özveri gösteren proje ekibiminde yer alan araştırmacılar Dr. Öğr. Üyesi Murat İskefiyeli, Dr. Öğr. Üyesi Kevser Ovaz Akpınar, Dr. Öğr. Üyesi Musa Balta, Arş. Gör. Firdevs Sevde Toker ve Arif Seyda Özçelik’e de ayrı ayrı teşekkürlerimi sunuyorum.” ifadelerini kullandı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Bir grup İranlı hacker yayınladıkları videoda İsrail’de bulunan bir su dağıtım şebekesinin kontrol sistemine nasıl sızdıklarını gösterdi.
Siber güvenlik firması OTORIO’nun verdiği bilgiye göre, hackerlar internete doğrudan bağlı olan insan-makine arayüzüne (HMI) izinsiz erişim sağladı. Erişimi ele geçirmelerinde arayüzün doğrulama gibi bir koruma önleminin olmaması etkili oldu. Hackerlar böylece su dağıtım şebekesindeki herhangi bir değeri istedikleri gibi değiştirme imkanına sahip oldu. Sisteme sızan hackerlar suyun sıcaklığından uygulanan basınca kadar şebekenin birçok ayrıntısını kontrol etme olanağı buldu.
1 Aralık’ta yayınlanan videodan sonra sistemi işleten yetkililerin doğrulama vb. gib çeşitli güvenlik önlemlerini artırdıkları açıklandı. Fakat OTORIO araştırmacıları sistemin hala açık barındırdığını tespit etti.
İsrail’in sistemlerine ilk saldırı değil
Yaşanan olay İranlı hackerların İsrail su sistemlerini ilk hedef aldıkları vaka değil. Güvenlik araştırmacılarının tespit ettiği iki saldırı daha İsrail’de bulunan küçük ve yerel su dağıtım şebekelerini yönelik olarak gerçekleşti. Yetkililer, saldırıların sistemlerde herhangi bir zarara sebep olmadığını belirtse de, hackerların endüstriyel sistemlere nasıl sızılacağına dair bilgi birikim ve siber kabiliyetlerinin geliştiği yorumu yapılıyor.
İsrail’e saldıran hackerlar geçtiğimi günlerde de Texas’ta faaliyet gösteren bir eğitim sitesini hedef almış ve eylemlerini İran’ın nükleer faaliyetlerini yöneten Muhsin Fakhrizade’nin ölümüyle sonuçlanan ve İsrail tarafından gerçekleştirilen suikaste cevap olarak nitelemişti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
