Kritik Altyapılarda Tehdit Aktörleri
Kritik altyapılar; enerji şebekeleri, su arıtma tesisleri, ulaşım sistemleri ve sağlık hizmetleri gibi modern toplumun işlemesini sağlayan temel direklerdir. Bu sistemlerin (OT/ICS) hedef alınması, sadece veri kaybına değil, fiziksel yıkıma ve can kaybına yol açabilecek potansiyele sahiptir.
1. Kim, Neden Saldırıyor?
Kritik altyapılara saldıran aktörler, genellikle sıradan "hacker" gruplarından daha donanımlı ve stratejik hedefleri olan yapılardır.
Devlet Destekli Aktörler (Nation-States): En tehlikeli gruptur. Amaçları genellikle casusluk, jeopolitik baskı kurmak veya bir savaş durumunda düşman ülkenin enerjisini keserek kaosa yol açmaktır.
Siber Suç Örgütleri: Genellikle Ransomware (Fidye Yazılımı) kullanarak sistemleri kilitlerler. Kritik altyapıların bir dakika bile durmaya tahammülü olmadığını bildikleri için çok yüksek fidyeler talep ederler (Örn: Colonial Pipeline saldırısı).
Hacktivistler: Siyasi veya sosyal bir mesaj vermek amacıyla sistemlere zarar verir veya verileri sızdırırlar.
İç Tehditler (Insiders): Kötü niyetli veya ihmalkar bir çalışan, hava boşluğu (air-gap) ile korunan sistemlere USB üzerinden zararlı yazılım bulaştırabilir.
2. Tarihe Geçen Dönüm Noktası Saldırılar
Kritik altyapı güvenliği tarihini "Stuxnet öncesi" ve "Stuxnet sonrası" olarak ikiye ayırmak mümkündür.
A. Stuxnet (2010) - İlk Dijital Silah
İran'ın Natanz nükleer tesisindeki uranyum zenginleştirme santrifüjlerini hedef alan bu saldırı, bir yazılımın fiziksel bir cihazı nasıl parçalayabileceğini dünyaya kanıtladı.
Yöntem: PLC (Programmable Logic Controller) cihazlarına sızarak santrifüjlerin hızını anormal şekilde artırıp azalttı, ancak operatör ekranlarında her şeyin normal görünmesini sağladı.
B. BlackEnergy (2015):
Ukrayna elektrik şebekesine yapılan bu saldırı, siber saldırı sonucu meydana gelen ilk kitlesel elektrik kesintisidir.
Yöntem: Saldırganlar, kontrol sistemlerine (SCADA) sızarak şalterleri uzaktan kapattılar ve ardından operatörlerin müdahalesini engellemek için sistemleri "KillDisk" yazılımıyla sildiler.
C. TRITON / TRISIS (2017) - En Tehlikeli Saldırı
Suudi Arabistan'daki bir petrokimya tesisinde, doğrudan Güvenlik Enstrümanlı Sistemleri (SIS) hedef aldı.
Kritiklik: SIS sistemleri, bir patlama veya sızıntı riskinde tesisi güvenli şekilde kapatmakla görevli "son savunma hattı"dır. Bu saldırı, doğrudan insan hayatını tehlikeye atmayı amaçlayan ilk bilinen saldırıdır.
D. Colonial Pipeline (2021) - Ekonomik Felç
ABD'nin doğu kıyısının yakıt ihtiyacının %45'ini karşılayan boru hattı, bir fidye yazılımı (DarkSide) nedeniyle durduruldu.
Ders: Saldırı aslında OT (üretim) tarafına değil, BT (fatura kesme) tarafına yapılmıştı. Ancak şirket, fatura kesemediği için yakıt dağıtımını durdurmak zorunda kaldı. BT/OT yakınsamasının risklerini net bir şekilde gösterdi.
3. Kritik Altyapıları Bekleyen Yeni Riskler
Gelecekteki saldırıların daha karmaşık ve tespit edilmesi zor olması bekleniyor:
Supply Chain (Tedarik Zinciri) Saldırıları: Doğrudan tesise saldırmak yerine, tesisin kullandığı bir yazılımın (Örn: SolarWinds) güncelleme dosyasına zararlı kod yerleştirmek.
AI Tabanlı Sabotajlar: Yapay zekanın ağdaki normal trafiği taklit ederek IDS/IPS sistemlerinden kaçması.
Bulut Entegrasyonu: Sahadaki sensörlerin verilerinin doğrudan buluta aktarılması, saldırı yüzeyini fabrikadan tüm internete yaymaktadır.
Savunma İçin Ne Yapılmalı?
Bu sistemleri korumak; Fortinet'in endüstriyel serisi (Rugged) cihazlarıyla doğru segmentasyon (Purdue Modeli) yapmak ve Kaspersky KICS (Kaspersky Industrial CyberSecurity) gibi sistemlerle PLC seviyesindeki anomaliyi izlemekten geçer.
yazar: Asrın Haktan Şahin