Bu makale
- – Prof. Dr. Şeref Sağıroğlu, Gazi Üniversitesi Bilgisayar Mühendisliği Bölümü Başkanı, Bilgi Güvenliği Derneği Başkanı,
– Alper Özbilen, Bilgi Teknolojileri ve İletişim Kurumu,
– Prof. Dr. İlhami Çolak, Gazi Üniversitesi Teknoloji Fakültesi Elektrik Müh Bölümü Başkanı,
tarafından hazırlanmıştır.
Makalenin ilk bölümünü burayı tıklayarak okuyabilirsiniz.
Bugüne kadar endüstriyel sistemlerin güvenliğinin doğal olaraksağlandığını düşündüren en önemli dayanak, bu sistemlerin internet vb.açık iletişim kanallarına bağlı olamayışına olan inançtı. Eric Byresve arkadaşlarının hazırladıkları rapor, 2000’li yıllarda artık tümsistemlerin doğrudan olmasa dahi dolaylı olarak internet ortamındangelebilecek saldırılara veya güvenlik tehditlerine maruzkalabileceğini göstermesi bakımından oldukça dikkat çekicidir.
ABD’de yapılan yasal düzenlemelerin altında, yapılan pratik ve ciddi çalışma ve araştırmalar bulunmaktadır. Başta ABD Enerji Bakanlığı veSavunma Bakanlığı olmak üzere, elektrik, su, gaz üretim ve dağıtımşebekeleri ile diğer endüstriyel tesislerde kullanılan sinyalizasyonve denetim sistemlerin fiziki ve siber güvenliğiyle ilgili çokkapsamlı çalışmalar yapılmıştır. Bu çalışmalar arasında, en dikkatçeken ve sonuç raporları kamuoyuyla kısmen paylaşılanlar, 2008 yıllınaait Denetim Sistemleri Değerlendirmelerinde Gözlenen Genel GüvenlikAçıklıkları (INL- NSTB 2008) [6] raporu ve 2009 yılına ait DenetimSistemleri Güvenlik Programı (CSSP) raporudur [7].
Her iki raporda farklı kritik altyapı işletmecisi ve bu işletmelerdekullanılan denetim sistemleri kapsamaktadır. Başka bir ifadeyle yürütülen çalışmalar hem işletme biçim ve prosedürlerini hem de altyapıda kullanılan donanım ve yazılımları kapsamaktadır. Raporlarda yer alan ve alt başlıklarda detaylandırılan kusur bileşenleri aşağıdaki gibi özetlenebilir:
- Erişim Yönetimi (Fiziksel Erişim, Uzaktan Erişim, Erişim YetkisininSeviyelendirme ve Trafik Filtreleme)
- Güncelleme Yönetimi – Uyumluluk (Cihazların Geriye Dönük Uyumluluğu, Eski Yeni Kabiliyet Farkı)
- Yazılım ve konfigürasyon hataları
Yukarıda sayılanlara ilaveten, endüstriyel denetim sistemlerinde kullanılan iletişim protokollerinin günümüz iletişim güvenliği, şifreli trafik iletimi tekniklerinin oldukça gerisinde kalışıdır. Bunun temel sebebleri olarak da, eski sistemlerle veya diğerüreticilerin sistemleriyle uyumluluk problemlerinden kaynaklandığı anlaşılmaktadır.
Ülkemizde ise e-Dönüşüm Türkiye Projesi kapsamında hazırlanan2006-2010 Bilgi Toplumu Stratejisi ve Ek’i Eylem Planının, 76 numaralıeyleminde, ilgili ve sorunlu kuruluşlarca “Kamu kurumlarının ortak ihtiyaçları doğrultusunda bilgi sistemlerini olağanüstü durum yönetim merkezi kurulması, hizmet verilecek kurumların acil durumlarda kritikfonksiyonlarını sürdürmelerini sağlayacak sistemlerin ve bilgiyedeklerinin oluşturulması” yükümlülüğü yer almaktadır [10].
87 numaralı eylemi ile Adalet Bakanlığı’na, “Ülke güvenliğiniilgilendiren bilgilerin elektronik ortamda korunması ve devletin bilgigüvenliği sistemlerinin geliştirilmesi amacına uygun yasal altyapılailgili düzenleme yapma ve uygulama koyma” görevi verilmiştir [10, 11].Ayırıca, 88 numaralı eylemde, “Siber alemdeki güvenlik tehditlerinisürekli olarak takip edecek, uyarılar yayınlayacak, bu risklere karşıne şekilde tedbir alınabileceğine dair bilgilendirme yapacak,risklerin ortaya çıkması durumunda karşı tedbirleri koordineedebilecek bir bilgisayar olaylarına acil müdahale merkezi (CERT) “kurulması hususunda TUBİTAK UEKAE sorumlu kurum olarak belirlenirken,Üniversiteler ve Kamu Kurumları ilgili kuruluşlar olaraknitelendirilmiştir [10].
Ayrıca, Başbakanlık Kanunlar ve Kararlar Genel Müdürlüğü bünyesindeçalışmalarına Mart 2009 tarihinde başlayan e-Mevzuat Çalışma grubununhazırladığı e-Devlet ve Bilgi Toplumu Kanun Tasarısı Taslağında,”kritik altyapı” kavramına yer verilmemiş olup; “kritik bilgi sistemi”kavramı ver almaktadır [12]. Adı geçen taslakta, kritik bilgi sistemi,” İşlevlerinin tamamen veya kısmen yerine getirilememesihalinde kamu güvenliği ve düzenini önemli derecede etkileyen bilgisistemleri” olarak tanımlanmıştır [13]. Ancak, kamu sağlığı, güvenliğive ülke ekonomisi için kritik olarak nitelendirilebilecek özelişletmelere ait altyapılar için sorunluluk, bağımlılık veyükümülülüklerin neler olacağı tam netlik kazanmamıştır. Örneğin,kamuya hizmet veren özel bir gaz veya elektrik dağıtım firmasınınkarşılaşabileceği siber saldırı için hem şirketin hem de kamununalması gereken tedbirler neler olmalıdır?
Mart 2008 de Meclise gönderilen ve 41 Maddeden oluşan “KişiselVerilerin Korunması” Kanunu Taslağı kişisel verilerin korunmasınabüyük katkı sağlamanın yanında kurum ve kuruluşların altyapılarınadaha çok önem vermeleri sağlayacak ve kurumlara daha büyüksorumluluklar getirecektir.
Bu taslak çalışmalar dışında ülkemizde kritik altyapıların güvenliği konusunda bir çalışma bulunmamaktadır. Ülkemiz kritik altyapıların bilgi güvenliğinin sağlanmasına yönelik olarak, üniversitelerle veyakamuoyuyla paylaşılan benzer bir çalışma bilindiği kadarıyla henüz gerçekleşmemiştir.
Gazi Üniversitesinde, kritik endüstriyel altyapıların siber güvenlikleilgili bir doktora çalışması yürütülmektedir [9]. Her ne kadarAnkara’da faliyet gösteren ilgili altyapı işletmecilerine çalışmamız hakkında bilgi veren, rapor özetleri sunan ve birlikte çalışmaisteğini belirten yazılar gönderilmişse de şu ana kadar herhangi birgeri dönüş olmamıştır. Dolayısıyla ülke güvenliği için önem taşıdığına inandığımız ve ülkemizdeki ilgili her türlü altyapı işletmecisinin istifadesine açık olan çalışmamız, şu an için laboratuar ortamında ve büyük bir bölümü gerçek ortamları benzetim yazılımları üzerinden yürütülmektedir.
Ülkemizde bu tür çalışmaların ivme kazanması ve çıkan sonuçlardan işletmelerin ve ürün tedarikçilerinin istifade edebilmesi için, sosyalve ekonomik açıdan modern toplum yaşantısı için hayati öneme sahip endüstriyel kritik altyapı bilgi güvenliğiyle ilgili yapılacak yasal düzenlemelerin daha sağlıklı olarak yapılmasına önemli katkılar sağlayacaktır.
Makalenin son bölümünü burayı tıklayarak okuyabilirsiniz.
[6] “Common Cyber Security Vulnerabilities Observed in Control System Assessments by the INL NSTB Program”, U.S. Department of Energy Office of Electricity Delivery and Energy Reliability, November 2008, www.controlsystemsroadmap.net (Erişim 04.10.2009)
[7] “Common Cyber Security Vulnerabilities Observed in DHS Industrial Control Systems Assessments”, The U.S. Department of Homeland Security National Cyber Security Division’s Control Systems Security Program (CSSP), July 2009 www.us-cert.gov/control_systems/ (Erişim 05.10.2009)
[8] Ş. Sağıroğlu, İ. Çolak, R. Bayındır, A. Özbilen, Dağıtık Denetim Sistemlerine Yönelik Elektronik Tehditler, TÜBAV Bilim Dergisi, Cilt.1, No:2, s.82-88, 2008.
[9] R. Bayındır, Ş. Sağıroğlu, İ. Çolak, A. Özbilen, İzlenebilir Elektrik Enerjisi Dağıtım Sisteminin Bilgi Güvenliği Açısından Endüstriyel Risklerinin Araştırılması Ve Çözüm Önerileri, Gazi Üniv. Müh. Mim. Fak. Dergisi, Cilt 24, No 4, 715-723, 2009.
[10] Bilgi Toplumu Stratejisi Eylem Planı 2006-2010, Devlet Planlama Teşkilatı, Temmuz 2006
[11] M. Ünver, C. Canbay, H.B. Özkan, “Kritik Altyapıların Korunması”, Bilgi Teknolojileri ve İletişim Kurumu, Mayıs 2010,
[12] B. Karabacak, “İki Kritik Kavram: Kritik Altyapılar ve Kritik Bilgi Altyapıları”,TÜBİTAK-UEKAE,13.02.2010
[13] T.C. Başbakanlık, 7 Agustos 2009, E-devlet ve Bilgi Toplumu Kanun Tasarısı Taslağı
Kaynak : 