EKS Yapılarındaki Siber Güvenlik Tehditleri

EKS yapılarındaki değişim ve dönüşüm otomatizasyon ve kolaylıklar sağlarken beraberinde bir dizi siber güvenlik risklerini getirdi. Eskiden EKS yapılarında mekanik pompa, kompresör, valf, röle ve tahrik düzenekleri kullanılırken, durum kontrolü; beceri sahibi, güvenilir mühendislerin analog ölçüm aletleriyle elde ettiği bilgileri, sabit telefonla genel merkeze iletmesiyle sağlanırdı. Bir sabotajcının tedarik zincirini sekteye uğratmak ya da bir çalışanı ayartmak dışında operasyona zarar vermesi zordu. Tek yolu tesise gidip kapı, bekçi ve silahlı güvenlikçilerden oluşan fiziksel güvenlik ayağını aşmasıydı. Dijitalleşmenin henüz yaşanmadığı yapılar, doğrudan internet üzerinden olası siber tehdit ve riskler henüz ciddi risk teşkil etmemekteydi.

Günümüzde ise EKS yapılarının siber güvenliği kamu düzenini etkileyebilecek, çok kritik bir eşiğe ulaştı. Kritik altyapı kapsamındaki bir kurumun maruz kalacağı siber saldırı sonucunda milli güvenliği tehdit edebilecek sonuçları doğurması bu alanda önemli tedbirlerin alınmasını kaçınılmaz kılmıştır. Büyük şirketlerin, devlet temsilciliklerinin ve akademik kurumların sistemi, dark web’deki otomatik araştırmalar yoluyla devamlı yoklanıyor ve zayıf noktaları bulunuyor. Bazısı ücretsiz, bazısıysa yüzlerce hatta binlerce dolar değerinde (daha pahalı olanların yanında teknik destek de veriliyor). Bunlar çoğu zaman en iyi siber güvenlik uygulamalarıyla engellenebilir ancak gerçekte aylarca titizlikle yürütülen, iyi planlanmış, hedefe yönelik saldırılara karşı kurumların kendisini koruması hemen hemen olanaksızdır.

Siber saldırıların finansal etkisi de büyüyor. 2017’de gerçekleşen WannaCry saldırısı 4 milyar dolar, NotPetya saldırısı ise 850 milyon dolar zarar verdi. ABD ve İngiltere’nin Kuzey Kore’yi sorumlu tuttuğu WannaCry saldırısında Ulusal Güvenlik Ajansından çalınan araçlar kullanıldı. Microsoft güvenlik yaması yüklenmemiş Windows kullanan bilgisayarlarda, bir açıktan yararlanarak veriler şifrelendi. Bu şekilde 150 ülkede hastane, okul, işyeri ve evlerdeki yüzbinlerce bilgisayara zarar verildi.

Dünyanın dört yanında Target, Sony Pictures, Equifax, Home Depot, Maersk, Merck ve Saudi Aramco gibi firmalara yönelik yüksek profilli siber saldırılar artıyor. Buna rağmen iş liderleri dijital teknolojinin ve sunduğu faydaların cazibesine direnemedi: verim artışı, daha az elemanla daha fazla iş yapma, insan kaynaklı hataları azaltma veya ortadan kaldırma, kalite artışı, müşteri hakkında daha fazla bilgi edinme fırsatı ve yeni arz yaratma.Liderler her geçen yıl yeni güvenlik çözümlerine ve pahalı danışmanlara büyük paralar harcayıp geleneksel siber güvenlik yaklaşımına devam ediyor ve şanslarının yaver gitmesini umuyor. Bu hüsnükuruntudan başka bir şey değil.

Siber hijyen uygulamaları ile şirketini ağır hasarlardan koruyabileceğini zannedilmekte. Sayısız yüksek profilli ihlal, bu varsayımın yanlışlığını açıkça ortaya seriyor. Saldırıya uğrayan şirketlerin tamamı o sırada geniş siber güvenlik ekibine sahipti ve siber güvenliğe yüklü miktarda harcama yapmıştı. Siber hijyen, sofistike bir düşmanın kritik varlıklara yönelik hedefli ve ısrarlı tehdidine değil; otomatiğe bağlanmış sıradan yoklamalar ve amatör hacker’lara karşı etkilidir.

Enerji, ulaşım ve ağır imalat sanayii gibi varlıkları yoğun olan sektörlerde ne kadar yetenekli kadrolarınız olursa olsun ve ne kadar para harcarsanız harcayın sofistike bir siber saldırıya karşı tam güven sağlayamazsınız. Global ölçekte pazar gerçeklerine bakıldığında şirketlerin büyük çoğunluğu daha ilk adımında, yani kapsamlı bir donanım ve yazılım envanteri çıkarma işinde çuvallıyor. Bu çok önemli bir eksiklik çünkü sahip olduklarınızı bilmiyorsanız onları koruyamazsınız. Bunu bir ülkenin sınırlarını koruma örneğine benzetebilirsiniz, kendi sınırlarının farkında olmayan bir ülke farklı ülkelerden gelebilecek saldırılara karşı kendini koruması olanaksızdır.

Envanter yönetimi konusunu aşabilen firmalar siber güvenlik konusunda daha etkin ve verimli adımlar atabilecektir ancak unutulmamalıdır ki bu giriş seviyesindeki bir gereksinimdir, bunu aştıktan sonra diğer adımlarda olası siber tehdit ve risklere karşı atılması gereken adımlar mevcuttur. Güvenlik güncellemesi kurulurken çoğunlukla sistemin kapatılmasını gerektirir; oysa EKS yapılarında koşullar her zaman buna uygun olmaz. Örneğin endüstriyel sürecinin ya da sisteminin ulaşılabilirliğine ve güvenilirliğine öncelik veren enerji dağıtım ya da kimya şirketi gibi organizasyonlar, yazılım firması yeni bir güvenlik yaması çıkardı diye her seferinde faaliyetini durduramaz. Bu nedenle bu tarz kurulumları genelde topluca, önceden planlanmış bir kesinti sırasında yaparlar ki çoğu kez bu, yamanın çıkışından aylar sonra mümkün olur. Diğer bir sorun da geniş ve dağınık durumdaki varlıkları korumaktır. Örneğin büyük enerji dağıtım kuruluşlarının binlerce kilometrekareye yayılan alt istasyonları bulunur. Bu bir ikileme yol açar. Eğer güncellemeleri bir ağ üzerinden alırsanız becerikli bir hasmınız bu yazılıma kolayca erişerek onu kötü niyetle kullanabilir. Eğer yazılımlar tüm tesislerde çalışanlarınızca bizzat güncellenirse bu kez de astarı yüzünden pahalıya gelebilir. Bu işi bağımsız bir kuruluşa yaptırayım derseniz süreci baştan sona denetleyebilmeniz mümkün olmaz.

EKS yapılarındaki siber güvenlik mimarisi çok daha hassas olduğundan bu yapılardaki boşluklar daha fazla olabilmektedir. Twitter’ın eski güvenlik şefi Bob Lord Wall Street Journal’a verdiği röportajda “Şirketin güvenlik sorumlularıyla konuştuğumda bir çeşit kadercilik görüyorum. En sofistike devlet saldırısına karşı ‘Ne yapabilirim ki? Biz oyunu baştan kaybetmişiz zaten. Problem üzerine derinlemesine kafa yormaya gerek yok’ diye düşünüyorlar” diyor. Benzer bir bakış açısı EKS yapılarında da olabilmektedir. Ancak bu siber güvenlikteki var olan gerçek tehdit ve riskleri değiştirmemektedir.

Saudi Aramco’ya yapılan 2012 Shamoon virüs saldırısı düzenlenmişti. ABD yetkililerinin İran’dan şüphelendiği bu saldırı ile petrol şirketinin bilgisayarlarındaki verilerin dörtte üçü silindi. Mart 2018’de gerçekleştirilen başka bir saldırıyla ise bir Suudi petrokimya tesisinin güvenlik kontrollerini bozarak bir patlama gerçekleştirmek amaçlanmıştı. New York Times’ın yazdığına göre saldırganların kodunda bir hata olmasaydı, planları başarıya ulaşacaktı. Saldırganların, sadece sisteme nasıl girileceğini değil aynı zamanda tesisin yerleşim düzenini (boruların nereden nereye gittiğini, bir patlamayı tetiklemek için hangi valfi çevirmek gerektiğini) de çözmeleri gerekiyordu.

EKS yapılarındaki siber güvenlik konusunda etkin ve verimli bir çözüm adına neler yapılabilir ?

Bu konuyla ilgili yapılmış çalışmalar ve global ölçekte kabul görmüş standartlar mevcuttur. Bunlardan en yaygın olarak bilinen ve kabul edilenlerden bazıları ISO 27019 ve 62443 standardı yer almaktadır. Bu standartların yanında lokalize standartlar ve mevzuatlara uyum oldukça önemlidir. EKS tarafına yapılan siber saldırıların atak yüzeylerini önemli ölçüde azaltmaktadır. Bu standartların yanında Idaho Ulusal Laboratuvarı aşamalı bir yaklaşım geliştirdi: Sonuca dönük, siber destekli mühendislik (CCE) metodolojisi. CCE’nin hedefi bir kereye özgü risk değerlendirmesi yapmak değildir. Daha çok üst düzey yöneticilerin, şirkete yönelik stratejik riskleri düşünme ve değerlendirme biçimini kalıcı şekilde değiştirmeyi amaçlar.

EKS Sistemlerine Yapılan Siber Saldırıların Motivasyonları Nelerdir ?

EKS Yapılarına gerçekleştirilen siber saldırıların çok farklı motivasyon kaynakları olabilir. Bunlardan en yaygınları şunlardır:

Finansal motivasyon : Saldırganlar, fidye yazılımları kullanarak enerji şirketlerini hedef alabilir ve sistemlerin kilidini açmak için fidye talep edebilirler. Bu tür saldırılar, özellikle kritik altyapıya sahip kuruluşlar için büyük mali kayıplara neden olabilir.
Siyasi ve İdeolojik Amaçlar: Bazı saldırganlar, siyasi veya ideolojik amaçlarla hareket edebilir. Bu tür saldırılar genellikle bir devlet tarafından desteklenir ve başka bir ülkenin enerji altyapısını hedef alabilir, ya da çevresel veya diğer ideolojik sebeplerle enerji şirketlerini hedef alabilir.
Terörizm: Terör örgütleri, korku ve kaos yaratmak amacıyla EKS gibi kritik altyapıları hedef alabilir. Bu tür saldırıların amacı, genellikle toplumda güvensizlik ve kargaşa oluşturmak ve hükümetlere zarar vermek olabilir.
Endüstriyel Casusluk: Global ölçekte rakip şirketler veya ülkeler, rekabet avantajı kazanmak için endüstriyel casusluk amacıyla siber saldırılarda bulunabilir. Bu tür saldırılar, teknolojik sırların, stratejik planların veya diğer önemli bilgilerin çalınmasını hedefleyebilir.
Halkla İlişkiler ve İtibar Zararı: Bazı saldırganlar, bir şirketin itibarına zarar vermek ve kamuoyunda olumsuz bir algı yaratmak için siber saldırılarda bulunabilir. Bu, özellikle kamuoyunun hassas olduğu çevresel veya güvenlikle ilgili konularda etkili olabilir.
Teknik ve Zorluk Motivasyonu: Bazı siber saldırganlar, sadece teknik becerilerini test etmek veya bir sistemi ele geçirebilme zorluğunu aşmak için saldırı düzenleyebilir. Bu tür saldırılar genellikle maddi kazanç veya siyasi amaç taşımaz.
Eğitim ve Araştırma: Bazı durumlarda, güvenlik araştırmacıları veya öğrenciler, güvenlik açıklarını ortaya çıkarmak veya eğitim amaçlarıyla EKS’ye yönelik sınırlı ve zararsız saldırılar düzenleyebilir.*

Dünyada Gerçekleşen EKS Siber Saldırıları

Şunu biliyoruz ki etki değeri ve finansal sonuçlarının büyük olduğu EKS yapılarına sürekli olarak belli ölçeklerde siber saldırılar düzenlenmektedir. Bu saldırılardan bazıları global ölçekte gündem olmuştur.Dünyada gerçekleşen en yaygın ve bilinen EKS siber saldırıları arasında şunlar bulunmaktadır:

Pipedream/Incontroller: Rusya ile bağlantılı bu ICS saldırı çerçevesi, enerji tesislerine yönelik olup on binlerce kritik altyapıyı kontrol eden endüstriyel sistemleri etkileyebilecek kapasiteye sahiptir.

Industroyer2: Enerji sağlayıcısına yönelik bir saldırıda kullanılan bu zararlı yazılım, ICS’yi manipüle ederek zarar vermeyi amaçlar.

Stuxnet, Havex, BlackEnergy2, CrashOverride, ve Trisis: Bu ICS zararlı yazılımları da dahil olmak üzere toplamda yedi adet zararlı yazılım keşfedilmiştir.

Chernovite ve Bentonite: Bu iki tehdit aktörü, 2022’de endüstriyel organizasyonları hedef alan gruplar listesine eklenmiştir.

LockBit: 2022’de kaydedilen tüm saldırıların %28’inden sorumlu olan grup LockBit’tir, ardından Conti ve Black Basta gelmektedir.Ayrıca, Dragos tarafından takip edilen 57 grup arasında, 2022’de aktif olan 39 grup bulunmaktadır ve bu saldırıların çoğunluğu imalat sektörüne yöneliktir. 2022’de ifşa edilen ICS güvenlik açıklıklarının %83’ü ICS ağlarının derinliklerinde bulunur ve bu güvenlik açıklıklarının yarısı görünüm kaybına ve kontrol kaybına yol açabilir.Bu bilgiler, endüstriyel kontrol sistemlerine yönelik siber saldırıların ciddiyetini ve sıklığını göstermektedir. Bu tür saldırılar, genellikle endüstriyel ve enerji sektörlerindeki organizasyonları hedef almakta ve bu durum, enerji sektöründeki siber güvenlik önlemlerinin ne kadar hayati olduğunu vurgulamaktadır.

EKS Yapılarındaki Siber Güvenlik Tehditleri

EKS yapılarındaki siber güvenlik konusunda etkin ve verimli bir çözüm adına neler yapılabilir ?

EKS Sistemlerine Yapılan Siber Saldırıların Motivasyonları Nelerdir ?

Dünyada Gerçekleşen EKS Siber Saldırıları

Sosyal medyada paylaş

Enerji Sektöründe Siber Güvenlik Yaklaşımları

Enerji Üretim, Dağıtım ve İletimde Siber Güvenlik Riskleri ve Korunma Yöntemleri

Kritik Altyapılara Yönelik Siber Saldırılar, Gelişmiş Kalıcı Tehditler

EPDK Siber Güvenlik Yetkinlik Modeli

Endüstriyel Kontrol Sistemlerinde Siber Güvenlik Mimari Tasarımı

Endüstriyel Kontrol Sistemlerinin Siber Güvenliği

Kritik Altyapılar ve SCADA Güvenliği

Menü

Hizmetler

İletişim

bilgi@securefors.com

Pzt–Cum:10:00–18:00

0850 305 4223

Genel Müdürlük: Cevizli Mah.Mustafa Kemal Cad.Hukukçular Towers A Blok No:66 Kartal İstanbul

Azerbeycan Ofis : H.Cavid Caddesi 25, AZTU. Bakü, Azerbaycan