Günümüzde bir nükleer tesisi tehdit etmek için artık savaş uçaklarına, füzelere ya da fiziksel sabotaj ekiplerine ihtiyaç olmayabilir. Tek bir zararlı yazılım, fiziksel olarak hiçbir sınırı geçmeden kritik sistemleri hedef alabiliyor. Üstelik bunu yaparken çoğu zaman ilk anda fark edilmiyor bile.
“Nükleer Tesislerde Siber Güvenlik” Yönetmeliği
Dün Resmî Gazete’de yayımlanan yeni düzenleme ile Nuclear Regulatory Authority, nükleer tesislerde siber güvenliği bir çerçeveye oturttu. Yönetmelik, dijital sistemlerin korunmasını artık yalnızca teknik bir IT meselesi olarak değil, doğrudan nükleer güvenliğin ayrılmaz parçası olarak ele alıyor.
Bu yönetmeliğe göre tesislerde kullanılan tüm dijital varlıkların sınıflandırılması, risk analizlerinin düzenli olarak yapılması ve olası siber saldırılara karşı müdahale planlarının hazır tutulması zorunlu hale getiriliyor.
Bu önemli bir değişim. Çünkü modern dünyada enerji altyapıları, endüstriyel tesisler ve kritik üretim sistemleri giderek daha fazla dijitalleşiyor. Dijitalleşme verimlilik sağlıyor; ancak aynı zamanda yeni saldırı yüzeyleri oluşturuyor.
Yeni yönetmelik; tesislerde kullanılan dijital varlıkların sınıflandırılmasını, risk analizlerinin düzenli yapılmasını, siber olaylara müdahale planlarının hazır tutulmasını ve sistemlerin sürekli izlenmesini zorunlu hale getiriyor. Özellikle “katmanlı güvenlik” yaklaşımının merkeze alınması dikkat çekici. Yani artık tek bir güvenlik duvarına ya da tek bir izolasyon yöntemine güvenilmiyor; birbirini destekleyen çok katmanlı savunma yapıları hedefleniyor.
Bunun yanında düzenli siber tatbikatlar yapılması, sistemlerin sürekli izlenmesi ve olası bir saldırı sonrası hızlı toparlanma kapasitesinin geliştirilmesi de zorunlu tutuluyor.
15 yıl önce yaşanan Stuxnet
Aslında bu yaklaşımın neden gerekli olduğu yaklaşık 15 yıl önce yaşanan bir olayla tüm dünyaya gösterilmişti: 2010’da ortaya çıkan Stuxnet, İran’ın Natanz nükleer tesisindeki santrifüjleri hedef alan ilk büyük endüstriyel siber sabotaj örneklerinden biri olarak kabul ediliyor.
Stuxnet’i farklı kılan nokta, alışılagelmiş bir siber saldırıdan öteye geçmesiydi. Yazılım, yalnızca veri çalmak ya da sistemi durdurmak yerine, fiziksel ekipmanların yanlış çalışmasına neden olacak şekilde tasarlanmıştı. Bu saldırı, siber saldırıların artık doğrudan fiziksel sonuçlar doğurabileceğini gösterdi. Daha da önemlisi, Stuxnet’in yalnızca hedeflenen sistemle sınırlı kalmayıp farklı ülkelere ve kritik altyapılara da yayılması, bu tür tehditlerin kontrol edilmesinin ne kadar zor olduğunu ortaya koydu.
Bu noktada şu soruyu sormak kaçınılmaz hale geliyor: Eğer en kritik sistemler bile bu tür saldırılara açık olabiliyorsa, mevcut önlemler gerçekten yeterli mi? Uluslararası standartlar, nükleer tesislerdeki siber güvenlik önlemlerinin klasik IT güvenliğinden çok daha ileri bir yaklaşım gerektirdiğini vurguluyor. IAEA ve NIST gibi kurumların rehberlerine göre, bu tür tesislerde sistemlerin mümkün olduğunca dış dünyadan izole edilmesi temel
bir gereklilik.
Ancak Stuxnet örneği, tamamen izole olduğu düşünülen sistemlere bile dolaylı yollarla erişilebileceğini gösterdiği için, izolasyon tek başına yeterli kabul edilmiyor. Bu nedenle modern yaklaşım, sistemlerin katmanlı bir yapı içinde korunmasını öneriyor. Endüstriyel kontrol sistemlerinin özel olarak güvence altına alınması, tüm sistemlerin gerçek zamanlı olarak izlenmesi ve anormal davranışların erken tespit edilmesi kritik önem taşıyor.
Bununla birlikte, yalnızca teknik altyapı değil, tedarik zinciri de önemli bir risk alanı olarak öne çıkıyor. Kullanılan yazılım ve donanımın güvenilirliği, çoğu zaman sistemin kendisi kadar kritik hale geliyor. Bir diğer önemli nokta ise kriz anına hazırlık. Olası bir siber saldırı durumunda sistemlerin ne
kadar hızlı toparlanabileceği, en az saldırının önlenmesi kadar önemli. Bu nedenle felaket kurtarma merkezleri, düzenli tatbikatlar ve etkin müdahale planları, modern siber güvenlik yaklaşımının vazgeçilmez parçaları arasında yer alıyor.
Türkiye’de yayımlanan yeni yönetmelik, uluslararası standartlarla uyumlu bir çerçeve sunuyor. Ancak, asıl belirleyici olan, bu önlemlerin sahada nasıl uygulandığı olacak. Çünkü siber güvenlikte en zayıf halka çoğu zaman teknoloji değil, uygulama süreçleri oluyor. Örneğin sistemlerin gerçekten izole edilip edilmediği, çoğu zaman teoride kaldığı kadar net olmayabilir. Tedarik zincirinde kullanılan yazılımların ne kadar denetlendiği ya da personelin bu sistemleri ne kadar doğru kullandığı da ayrıca bir soru işareti yaratıyor.
Benzer şekilde, yapılan tatbikatların gerçekçi senaryolar içerip içermediği de kritik bir konu. Çünkü, kriz anında refleksler, yalnızca teorik planlarla değil, pratik hazırlıklarla şekilleniyor.
Tüm bunlar, nükleer tesislerde siber güvenliğin yalnızca teknik bir gereklilik olmadığını, doğrudan ulusal güvenliğin bir parçası olduğunu gösteriyor. Stuxnet örneği, bu alandaki risklerin ne kadar somut ve yıkıcı olabileceğini yıllar önce ortaya koymuştu. Bugün ise asıl soru şu: Aynı senaryonun tekrar yaşanmaması için gerçekten ne kadar hazırız?
Kaynak : 