Kritik altyapılara yönelik siber saldırılar, ciddi ekonomik ve sosyal sonuçları nedeniyle günümüzün önemli tehditlerinden biri haline geldi. 2015 Noelinde binlerce Ukraynalı elektriksiz kaldı. Rusya devletine bağlı bir gelişmiş kalıcı tehdit (APT) grubu, BlackEnergy kötü amaçlı yazılımını kullanarak üç enerji şirketine saldırdı ve ülkenin batı bölgelerinde elektrik kesintilerine neden oldu. Bu olaydan neredeyse 10 yıl sonra, kritik altyapılara yönelik siber saldırılar, Batı demokrasileri ve elektrik ve su tedarik sektörlerinde faaliyet gösteren şirketler için önemli bir tehdit haline geldi.

Örneğin, geçtiğimiz aylarda gerçekleşen bir siber saldırı İrlanda’da bir bölgeyi iki gün boyunca susuz bıraktı ve bir başka güvenlik olayında düşman aktörler Pensilvanya’daki bir su istasyonunun endüstriyel kontrol sistemini (ICS) tehlikeye atmayı başardı. Kritik altyapılara yönelik her iki siber saldırı da Cyber Av3ngers’ın işiydi. İran tarafından finanse edilen bu siber suç grubu, bir düzine İsrail su arıtma istasyonuna saldırdığını iddia ediyor, ancak bunların herhangi bir sistemi etkileyebildiğine dair hiçbir kanıt yok.

Ayrıca Rus istihbaratına bağlı bir siber suç birimi olan Sandworm, Rus işgalinin başlangıcından bu yana Ukrayna’da çok sayıda elektrik kesintisine neden oldu.

Son dönemde yaşanan vakalar, kritik altyapılara yönelik siber saldırıların İran, Rusya, Kuzey Kore veya Çin gibi ülkeler tarafından Batılı devletlerin işleyişini baltalamak amacıyla ve askeri çatışmalarda (Rusya-Ukrayna; İsrail-Hamas) silah olarak kullanıldığını gösteriyor.

Bu nedenle Amerika Birleşik Devletleri, Birleşik Krallık ve Avrupa Birliği’ndeki kamu yetkilileri, enerji ve su arıtma ve tedarik şirketlerini, kritik altyapılara yönelik siber saldırılara karşı dayanıklılıklarını artırmak için gelişmiş siber güvenlik hizmetlerine duyulan ihtiyaç konusunda uyardı.

ICS ve IIoT Cihazları: Kurumsal Siber Güvenliğin Kritik Unsurları

Endüstriyel kontrol sistemleri (ICS), üretkenliklerini ve karlılıklarını artırmalarına ve tüm endüstriyel süreçleri kontrol etmelerine olanak tanıdığı için dünya çapında endüstrilerde devrim yarattı. Endüstriyel faaliyetleri geliştiren şirketlerde robotlaşmayı eklemeli, akıllı cihazları yaygınlaştırmalı, parlak ışıklar veya su sayaçları gibi IoT cihazlarını bünyemize dahil etmeliyiz.

ICS’nin ekonomik ve üretken avantajları açık olmakla birlikte, artan şirketlerin teknolojik altyapılarının siber risklerinin artmasına yol açtığını da görmek kolaydır.

ICS, elektrik üreten ve/veya dağıtan şirketlerin enerji tedarikini düzenlemesine olanak tanır ve su tedarikçileri de basıncı düzenleyebilir, rezervleri yönetebilir, suyun durumunu izleyebilir veya dağıtımını kontrol edebilir.

Bu nedenle kritik altyapılara yönelik siber saldırılar, ICS sistemlerinin işleyişini zayıflatmayı, manipüle etmeyi ve hatta bozmayı amaçlamaktadır. Bazı saldırılar aynı zamanda endüstriyel mülkiyeti çalmayı ve bir ICS’nin çalışmasıyla ilgili gizli bilgileri elde etmeyi de amaçlayabilir.

ICS’yi koruyan güvenlik önlemlerinin artırılmasının önemi, kötü niyetli aktörlerin taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) anlamak için küresel bir standart olan MITRE ATT&CK çerçevesinin oluşturulması, ICS sistemleri için özel bir matrisin oluşturulması ve Avrupa’da Siber Dayanıklılık Yasası veya NIS2 gibi endüstri için düzenleyici çerçevelerin oluşturulmasıyla sonuçlanmıştır.

Tedarik Zinciri Fırtınanın Ortasında

Açıkça görüldüğü gibi, ICS’leri kullanan birçok şirket bunları geliştirmiyor, ancak bu tür ileri teknolojide uzmanlaşmış şirketler tarafından geliştirilen sistemlere sahip.

Örneğin, Pensilvanya’daki bir su şirketinin karıştığı güvenlik olayında İranlı suç grubu, şirket tarafından kullanılan ancak İsrailli Unitronics şirketi tarafından geliştirilen programlanabilir mantık denetleyicisini (PLC) hedef aldı. Bu nedenle, saldırı yalnızca ABD’nin bir bölgesindeki bir şirkete ve vatandaşlara zarar vermeyi değil, aynı zamanda İran ile İsrail arasındaki çatışma bağlamında önemli bir İsrail şirketinin itibarını da zedelemeyi amaçlıyordu.

Yazılım tedarik zinciri aynı zamanda kritik sektörlerdeki şirketlere yönelik en son siber saldırılardan birinin de merkezinde yer alıyor. Nisan 2024’ün ortalarında Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Sisense’yi etkileyen bir güvenlik olayına müdahale üzerinde çalıştığını duyurdu. Bu şirket, kritik altyapı işleten şirketlere veri analitiği hizmetleri sunmaktadır.

Ayrıca geçen yıl, Kuzey Koreli bir suç grubunun meşru yazılımı (X_Trader) bir Truva Atı’na dönüştürerek ve Amerika Birleşik Devletleri ve Avrupa’daki iki enerji şirketi de dahil olmak üzere çok sayıda şirkete bulaşarak bir tedarik zinciri saldırısı başlattığı kamuoyuna duyuruldu.

Ve Snowflake veya Cyclogreen’e yönelik en son tedarik zinciri saldırıları bu eğilimi daha da kötüleştiriyor.

Suçlular Endüstriyel Kontrol Sistemlerinin Kontrolünü Ele Geçirmeye Çalışıyor

Enerji ve su şirketlerine fidye yazılımı saldırıları Enerji üretim ve dağıtım şirketleri ile içme suyu ve atık suyu yöneten şirketler, kritik altyapılara yönelik siber saldırıların ötesinde, çağın en büyük tehditlerinden biri olan fidye yazılımı saldırılarıyla uğraşmak zorunda kalıyor.

Bu yılın başlarında İngiliz su şirketi Southern Water, bir fidye yazılımı saldırısı sonucunda veri ihlali yaşadı.

Black Basta fidye yazılımı grubu, 5 milyon müşterisi olan bir şirketin uğradığı bu olayla, kişisel veriler ve hassas kurumsal bilgilerin de aralarında bulunduğu 750 gigabaytlık belgeyi çaldığını iddia ediyor.

Çalınan bu veriler Dark Web’de alınıp satılabilir veya kritik altyapıları kontrol eden sistemlere erişim sağlamak amacıyla şirketin müşterilerine ve profesyonellerine karşı gelecekte saldırılar başlatmak için kullanılabilir. Bu nedenle fidye yazılımı saldırıları, duyarlı sektörlerde faaliyet gösteren şirketler için önemli bir risk oluşturabilir.

Kritik Altyapılara Yönelik Siber Saldırıların Sonuçları

Kritik altyapılara yönelik siber saldırılar, şiddet düzeyine, etkilenen sistemlere ve olayların süresine bağlı olarak enerji ve su şirketlerinin yanı sıra yazılım ve endüstriyel cihaz geliştiren şirketleri de farklı şekillerde etkileyebiliyor. Sonuçta bu şirketler, vatandaşlar ve kamu idareleri çalışabilmek ve yaşayabilmek için elektrik ve suya bağımlıdır.

Şirketlere Ekonomik ve İtibar Kaybı

Kritik altyapılara yönelik siber saldırıların yayıldığı yönündeki korkular artarken, dünyanın önde gelen kredi kuruluşlarından biri olan Moody’s, bu tür olayların su tedarik şirketlerinin ödeme gücü üzerindeki sonuçları konusunda uyardı.

Kritik altyapılara yönelik siber saldırılar, hizmetlerin kesintiye uğraması halinde şirketler için hesaplanamayacak ekonomik kayıplara neden olabiliyor. Ayrıca, itibarın zarar görmesi telafisi mümkün olmayabilir ve bir şirketin pazardaki konumunu zayıflatabilir.

Siber saldırılar yalnızca şirketlerin faaliyetlerini felce uğratmakla kalmıyor, aynı zamanda temel altyapıyı da yok ediyorsa kuruluşların yok olmasına bile yol açabilir.

Tüm Üretken Yapının İş Sürekliliğini Tehdit Etmek

Kesinlikle kritik altyapılara yönelik siber saldırılar, şirketlerin iş sürekliliğini doğrudan tehdit ediyor.

İş sürekliliğinin korunması her şirket için hayati öneme sahiptir ancak enerji veya su arıtma ve tedarik şirketleri için daha da önemlidir. Nedenmiş? Enerji veya su dağıtımının etkilenmesi durumunda müşterilerinin iş sürekliliği risk altına girer. Günümüzde neredeyse hiçbir işletme elektrik olmadan çalışamıyor ve su, gıda gibi sektörler için hayati önem taşıyor.

İnsanların Sağlığı ve Güvenliği Üzerinde Olumsuz Etki

En kötü senaryoda, kritik altyapılara yönelik siber saldırılar doğrudan insanların sağlığına ve refahına zarar verebilir:

• Teknolojik ekipmanların hatalı çalışması nedeniyle yaralanan şirket çalışanları.
• Hastane ve tıp merkezlerinde elektrik kesintisi nedeniyle çalışamaz hale gelen hastalar.
• Saldırı sonucu kirlenen suyu tüketen vatandaşlar.

Bu üç örnek, siber saldırıların elektrik veya su şebekeleri gibi kritik altyapılara ne kadar zarar verebileceğini gösteriyor.

Kritik Altyapılara Yönelik Siber Saldırılar, Gelişmiş Kalıcı Tehdit Grupları Tarafından Gerçekleştiriliyor

NIS2 Direktifi: Kritik Sektörlerin Dayanıklılığının Artırılması

Daha önce kamu kurumlarının şirketleri kritik altyapılara yönelik siber saldırı riskleri konusunda uyardığını ancak Avrupa Birliği’nin bir adım daha ileri gittiğini belirtmiştik.

NIS direktifi ve onun güncellemesi olan NIS2 direktifi, kritik sektörlerdeki şirketler için siber güvenlik gereksinimlerini belirler. Bu sektörler şunları içerir:

• Su tedarik etmek.
• Enerji.
• Dijital servis sağlayıcılar.
• Atık su.

2023’ün başında onaylanan NIS2 direktifinin, uyumsuzluğa ilişkin ceza rejimi de dahil olmak üzere 2025’te yürürlüğe girmesi için bu yıl içinde üye devletlerin iç mevzuatlarına aktarılması gerekiyor.

Yönetmelik, bu sektörlerde faaliyet gösteren şirketlerin, aşağıdaki gibi somut önlemleri içeren siber güvenlik risk yönetimini optimize etmesi gerektiğini ortaya koymaktadır:

• İş sürekliliğini korumak.
• Tedarik zinciri güvenliğinin güçlendirilmesi.
• Güvenlik denetimleri ve sızma testleri yapmak.
• Olayları 24 saat içinde yetkililere bildirmek.

Bu yükümlülüklere uymayan şirketler, 10 milyon Euro’ya kadar veya ihlalde bulunan şirketin küresel cirosunun %2’sine kadar idari yaptırımlarla karşı karşıya kalacak, ancak devletlerin yaptırım modelini bu referanslara göre yapılandırması gerekiyor.

Devletlerin Desteklediği Düşman Aktörler

Kritik altyapılara yönelik siber saldırıların sonuçlarının ciddiyetinin ötesinde, hayati önem taşıyan bir başka unsuru da göz önünde bulundurmalıyız: Bu tür tehditlerin arkasındaki suç grupları.

Bu yazıda sıraladığımız örneklerde de görebildiğimiz gibi, kritik altyapılara yönelik siber saldırılar gerçekleştiren düşman aktörler şu gruplardır:

• Belirli şirketlere, sistemlere ve altyapılara yönelik hedefli saldırılar başlatan.
• Devletler tarafından desteklendikleri için gelişmiş kalıcı tehditler geliştirecek kaynaklara ve uzmanlığa sahipler.
• Hedefleri tamamen ekonomik değil; Çoğu durumda misyonları jeostratejiktir ve hedefledikleri devletlerin şirketlerine, kurumlarına ve vatandaşlarına zarar vermeye çalışırlar: Avrupa ülkeleri, Amerika Birleşik Devletleri, Birleşik Krallık, İsrail, Kanada, Avustralya.
• Son derece karmaşık taktikleri, teknikleri ve prosedürleri önlemeyi, tespit etmeyi ve müdahaleyi zorlaştırıyor.

Kritik Altyapılara Yönelik Siber Saldırılara Karşı Nasıl Korunulur?

Bu düşman aktörlerle mücadele etmek için enerji ve su şirketlerinin yanı sıra endüstriyel yazılım ve cihazlar geliştiren şirketler şunları yapabilir:

• Yazılım ve cihazları tasarımdan itibaren yaşam döngüleri boyunca güvenli bir şekilde geliştirin. Bunu yapmak için kaynak kodu denetimleri gerçekleştirmek, yazılım bileşenlerini listelemek, kitaplıkları analiz etmek ve güvenlik açıklarını tespit edip azaltmak amacıyla yazılımı değerlendirmek önemlidir.
• Kritik altyapılara karşı kullanılabilecek olası güvenlik açıklarını belirlemek için tedarik zincirinin sürekli izlenmesi gereklidir. Bu kuruluşlarla bağlantılı güvenlik olayları ve ihlalleri de izlenmektedir. Tehdit İstihbaratı hizmetleri bu bağlamda önemli bir rol oynamaktadır.
• Tehdit Avcılığı ve Kırmızı Takım hizmetleri, suç gruplarının TTP’lerini önceden tespit ederek ve gelişmiş kalıcı tehditlere dayanma yeteneğini ölçmek ve elektrik veya su kaynağını kontrol eden ICS sistemlerinin çalışmasını korumak için özel Kırmızı Takım senaryoları tasarlayarak APT’lere karşı dayanıklılığı artırır. Bu hizmetler şirketlerin savunma yeteneklerini geliştirmek için gereklidir.
• Saldırılara yanıt vermek, kötü niyetli aktörleri hızla uzaklaştırmak, iş sürekliliğini güvence altına almak ve kritik altyapıları korumak için proaktif olay müdahale hizmeti.

APT Karşısında Dayanıklılık

Sonuçta elektrik şebekesi, içme suyu temini ve atık su yönetimi herhangi bir ülkenin işleyişi için kritik altyapılardır. Bunlar olmadan üretken doku durma noktasına gelir ve insanların refahı önemli ölçüde etkilenir.

Bu nedenle kritik altyapılara yönelik siber saldırılar birinci büyüklükte bir tehdit haline geldi. Özellikle son aylarda Rusya’nın Ukrayna’yı işgal etmesi ve İsrail ile Hamas arasındaki çatışmanın ardından Orta Doğu’da artan gerilim nedeniyle bu durum daha da arttı.

Bu tür güvenlik olaylarını önlemek ve meydana gelmeleri halinde bunların elektrik ve su tedarikini etkilemesini önlemek için şirketlerin, gelişmiş kalıcı tehditlere dayanmalarını sağlayacak sağlam siber güvenlik stratejileri tasarlamaları gerekir.