Kritik Altyapı Güvenliği, Türkiye ve Öneriler – I

Bu makale

– Prof. Dr. Şeref Sağıroğlu, Gazi Üniversitesi Bilgisayar Mühendisliği Bölümü Başkanı, Bilgi Güvenliği Derneği Başkanı,
– Alper Özbilen, Bilgi Teknolojileri ve İletişim Kurumu,
– Prof. Dr. İlhami Çolak, Gazi Üniversitesi Teknoloji Fakültesi Elektrik Müh Bölümü Başkanı,

tarafından hazırlanmıştır.

Elektrik, gaz, petrol, su ve telekomünikasyon sistemleri, üretimde ve sosyal yaşantısında sürekli hizmet vermesi gereken sistemler olup, birçok ülke ve uluslararası kuruluşlarca kritik altyapı sistemleri olarak tanımlanmanmış ve korunmalarına yönelik düzenlemeler ve yasalar çıkarılmıştır.

İlk olarak 1998 yılında 63. ABD Başkanlık Karar Direktifi (PDD-63) ile Amerikan hükümeti ve ekonomisi için önem arz eden her türlü fiziki ve bilişim altyapısının korunması ve işlevinin devamlılığının sağlanması için ilgili kurum ve ajanslardan gerekli tedbirlerin alınması istenmiş [1] ve 11 Eylül 2001 saldırısına müteakip olarak USA PATRIOT ACT 2001 (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001) yasalaştırılmıştır.

USA PATRIOT ACT 2001 göre, “hasar görmesi veya etkisizleştirilmesi halinde ulusal halk sağlığını, güvenliği, ekonomik güvenliği veya tümünü olumsuz etkileyecek fiziki veya sanal tüm varlık ve sistemler” kritik altyapı sistemler olarak tanımlanmıştır. Tehditler arasında ise siber saldırı ve açıklıklara geniş yer verilmiştir.

Aynı yasa ile bu altyapıların korunmasına yönelik ABD’de ciddi tedbirler getirilmiştir [2]. 2003 yılında ABD’de yayınlanan 7 numaralı Ülke Güvenliği Başkanlık Direktifi (HSPD-7) ile her türlü kritik altyapının korunmasını temin için, ilgili idare ve kuruluşlardan gerekli her türlü yöntem ve teknolojiyi geliştirmesi istenmiştir [1].

ABD’nin ardından Avrupa’da ise, Avrupa Konseyinin talebi üzerine ilgili komisyonca hazırlanan ve Avrupa Birliği (AB) Meclisine sunulan “Terörist Saldırılara Karşı Kritik Altyapıların Korunması” başlıklı 2004 yılı tebliğinde Kritik Altyapılar, “kesilmesi veya hasar görmesi halinde vatandaşların güvenliğini, sağlığı ve ekonomik refahı üzerinde veya üye hükümetlerin etkin ve verimli işleyişi üzerinde ciddi olumsuz etkiler oluşturacak fiziki ve bilgi teknolojileri tesisleri, hizmetleri ve varlıkları ” olarak tanımlanmış ve aynı yıl içinde Kritik Altyapılar İçin Avrupa Programı (EPCIP: European Programme for Critical Infrastructure Protection) ve Kritik Altyapı Erken Bilgi Ağı (CIWIN : Critical Infrastructure Warning Information Network ) yasalaştırılmıştır [3-4].

Farklı önem sıralamalara sahip olsalarda hem ABD hem de AB tarafından finans, ulaşım ve gıda gibi alanlar da ülke kritik altyapısı olarak değerlendirilmektedir. Bu sistemlerin pek çoğunda otomasyon sitemleri kullanıldığı için, bu çalışma sadece “üretim ve dağıtım sürecinde endüstriyel denetim ve otomasyon sistemi kullanan altyapılara” odaklanılmıştır.

Konuyu henüz ele almadan belki de sorulması gereken ilk soru şu olabilir: Kritik altyapılara ve otomasyon sistemi kullanan her türlü endüstriyel tesislere yönelik gerçek bir tehdit mevcut mudur? Yoksa tüm bu düzenlemeler bir paranoyanın eseri midir?

British Columbia Institute of Technology’den (BCIT) Eric Byres ve arkadaşlarının [5], 2001-2006 yılları arasında yaptıkları Endüstriyel Güvenlik Olayları Veritabanı (ISID), 2002 yılı ve sonrasında endüstriyel otomasyon (veya Denetim Sistemleri / SCADA) yaşanan güvenlik olaylarında ciddi bir artış olduğunu göstermektedir.

1982’den 2006 yılı ortasına kadar hakkında bilgi topladıkları ve ISID veritabanına kaydettikleri 116 olay ile ilgili olarak Eric Byres ve arkadaşlarının hazırladıkları rapor, literatürde gerçek olayları içeren en önemli kaynak olarak dikkati çekmektedir. Bu rapora göre, 2002 yılı ve sonrasında denetim/otomasyon sistemlerinde yaşanan güvenlik vakalarında ciddi artış olduğunu ve 1982’den bu yana bilgi sahibi olunan toplam 116 olayın 78’inin 2002-2006 yılları arasında gerçekleştiği görülmektedir.

Yine aynı raporda, 1982-2001 yılları arasındaki 23 güvenlik olayının sadece %26’sı dış kaynaklı ve çoğunluğu kazara iken 2002-2006 döneminde olayların %60’ının dış kaynaklı ve saldırı amaçlı olduğu tespiti yer almaktadır. Ayrıca unutulmamalıdır ki birçok güvenlik olayı, işletmecilerin, kamuoyunun duyması ve neticesinde itibar kaybı yaşaması gibi endişelerinden ötürü duyurulmamaktadır. Kısacası, tehditler birer varsayım veya paranoya değildir.

Makalenin devamını burayı tıklayarak okuyabilirsiniz..

Kaynaklar

[1] USA Homeland Security, “Critical Infrastructure Identification, Prioritization, and Protection”, Homeland Security Presidential Directive 7, December 17 2003, (www.dhs.gov/xabout/laws/gc_1214597989952.shtm) (Erişim 03.10.2009)

[2] “Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT ACT) Act of 2001”, The Senate Of The United States, Washington, October 24 2001, (epic.org/privacy/terrorism/hr3162.pdf) (Erişim 03.10.2009)

[3] “Critical Infrastructure Protection in The Fight Against Terrorism”, Commission Of The European Communities COM(2004) 702 Final, Brussels, October 10 2004, (eur-lex.europa.eu/LexUriServ/LexUriServ.do) (Erişim 03.10.2009 )

[4] “Communication From The Commission on a European Programme for Critical Infrastructure Protection 786 Final”, COMMISSION OF THE EUROPEAN COMMUNITIES, Brussels, December 12 2006, (eur-lex.europa.eu/LexUriServ/ site/en/com/2006/com2006_0786en01.pdf) (Erişim 03.10.2009)

[5] Byres, E., Leversage, D., “Security Incidents And Trends In SCADA And Process Industries”, British Columbia Institute of Technology, 2006 (www.ethernet.industrial-networking.com (Erişim 01.10.2009)