Enerji Altyapılarının Korunması için Siber Güvenlik Stratejisi

Tacettin Köprülü

Tacettin Köprülü, Ph.D. | 2 Nis 2015

Giriş

Türkiye’de daha önce TEDAŞ tarafından sağlanan elektrik dağıtımı servisi, 21 ayrı dağıtım bölgesine ayrılmış ve yıllarca süren dağıtım bölgelerinin özel sektöre devredilme süreci 2013 senesinde tamamlanabilmiştir. Son dönemde özellikle dağıtım şirketlerinin özelleştirilmesi sonrasında şebeke altyapısının modernizasyonu ve iyileştirilmesi kapsamında teknoloji yatırımları hızlanarak uzaktan izleme ve kontrol sistemleri olarak adlandırılan SCADA otomasyon sistemleri, Otomatik Sayaç Okuma Sistemleri (OSOS), Coğrafi Bilgi Sistemleri (CBS) ile dağıtım ve perakende operasyonlarının yönetimi için gereken sistemler tedarik edilmeye başlanmıştır. Ancak enerji sistemlerinin bilgi ve iletişim teknolojileri ve altyapıları ile entegrasyonu, bu sistemleri siber tehditlere daha da açık hale getirmekte ve enerji arz güvenliği için siber güvenlik önlemlerinin alınmasını zaruri hale getirmektedir.

Stuxnet Saldırısı ve Siber Savaşlar

Siber Güvenlik ürünlerinde bugünün dünyasında büyük çapta ABD ve İsrail kaynaklı ürünlerin tekeli mevcuttur. Burada kurumlar/enterprise seviyesinden taşıyıcı/carrier seviyesine doğru ilerledikçe bu tekel daha da sertleşmekte, neredeyse hiçbir alternatif bulunmamaktadır. Oysa günlük hayatımızdaki iş ve süreçler hızla Internet üzerine taşınmakta, bununla birlikte siber suçlar, siber casusluk ve siber savaş da hızla yaygınlaşmaktadır. Bugün hiçbir ülkenin ABD ve İsrail’in gelmiş olduğu sızma ve dinleme seviyesinde onlara karşı direnme şansı olmamaktadır.

Bunun en güzel örneği 2010 senesinde İran’ın nükleer programını sabote etmek amacıyla, Siemens’in kontrol sistemi kullanılarak ABD ve Israil’in birlikte işbirliği yaparak geliştirildiği iddia edilen Stuxnet saldırısıdır. Stuxnet saldırısı keşfedildiği güne kadar karşılaşılan en gelişmiş siber saldırı olup aşağıdaki yöntemlerin hepsini kullanarak İran’ın Natanz’daki uranyum zenginleştirme programını sabote etmiş ve 1000 kadar sentrifuju kontrol dışı bırakmıştır:

• Çok sayıda Zero-day (0-gün) exploit (tanesi 100.000 ABD Doları değerinde)
• Windows rootkit
• Siemens WinCC SCADA/Step7 exploit
• Siemens Simatic PLC (Programmable Logic Controller) kodunun Step7 Proje dosyalarını kullanarak değiştirilmesi
• Bugüne kadar karşılaşılan ilk PLC Rootkit
• Anti-virüs’e karşı kamuflaj
• Gelişmiş nükleer santral proses enjeksiyonu ve sabotaj
• Ağ enfeksiyonu
• Peer-to-Peer güncellemeler
• Komuta-Kontrol Arayüzü

Stuxnet saldırısı aylar boyunca sinsice gerçekleştirilmiş ve hasarın anlaşılması uzun bir zaman almıştır. Ancak İran’a yönelik siber saldırılar sadece Stuxnet ile sınırlı kalmamış olup 2011 senesinde Duqu ve Stars virüsleri İran’lı Siber Güvenlik uzmanları tarafından tespit edilmiştir. En son olarak 2012 senesinde yine İran’daki petrol ve enerji tesislerini hedef alan ve beş sene önce devreye sokulduğu anlaşılan Flame siber casusluk silahı tespit edilmiş ve Stuxnet saldırısı ile benzer teknikler içerdiği Rus menşeli Kaspersky Labs firması tarafından dünyaya açıklanmıştır. Flame siber casusluk saldırısının İran’da 189, West Bank’te 98, Sudan’da 32 ve Suriye’de 30 noktada etkili olduğu saptanmıştır.

İran’ın enerji altyapısına yönelik devlet destekli sistematik siber saldırılar bize bu asimetrik siber şeffaflık/geçirgenliğin Türkiye gibi gelişmekte olan ülkelerin en büyük riskleri haline dönüştüğünü göstermiştir. Kaldı ki bu konuya eğilen ve önem veren diğer bazı ülkelerin geliştirdikleri siber saldırı yetenekleri sayesinde sürpriz global riskler, ittifaklar görmek de sürpriz olmayacaktır.

Ülkemiz savunma sanayine stratejik bir yaklaşımla son yıllarda büyük önem vermekte ve yatırım yapmaktadır. Bununla birlikte savunma sanayinin büyük bölümü kinetik savaşlara yönelik kurulmaktadır. Üstelik çok gelişmiş kinetik silahları hem teknolojik hem de ekonomik olarak geliştirebilecek ülke sayısı bir elin parmaklarını geçmezken, kritik bir altyapıya yönelik Stuxnet veya Flame benzeri bir siber silahı geliştirme maliyeti çok daha az olup bu tip saldırılar devletlerin desteğinde veya organize suç örgütleri tarafından da yapılabilmektedir (Tablo 1). Bugün başta telekom, finans enerji vb. gibi tüm kritik altyapılarımız, gerek başka ülkelerin, gerek terör ve mafya örgütlerinin, gerekse bireysel saldırganların yol açabileceği büyük yıkım riskleri taşımaktadırlar.

Tablo 1: Silah Geliştirme Maliyeti

Oysa günümüz savaşlarının önemli bir kısmı siber dünyada gerçekleşmektedir. Siber dünyanın koşulları gereği ve sonucu olarak, burada savaş ilanına veya uzun süreli lojistik hazırlıklara ihtiyaç yoktur. Zafiyetler önceden tespit edilir, saldırılar kaynağını gizleyecek şekilde planlanır ve savaş gerçekleşir. Böyle bir savaşın olduğunu ve hatta hasar görüldüğü Stuxnet ve Flame saldırılarında olduğu gibi anlamak bile uzun yıllar alabilir.

Tekelleşen Enerji Otomasyonu Sektörünün Doğurduğu Riskler

Nasıl siber güvenlik teknolojisinde ve pazarında belli başlı ülkeler tekel durumundaysa, enerji otomasyonu ve teknolojilerinde de aynı durum söz konusudur. Siemens, General Electric, ABB, ALSTOM ve Schneider Electric gibi global pazara hakim firmalar daha çok Almanya, Fransa, İsviçre ve A.B.D. menşeli olup bu firmalar bazı ülkelerde neredeyse tekel durumuna gelmişlerdir. Ülkemizde enerji otomasyonu konusunda milli ürünlerin geliştirilmesini teşvik eden unsurlar ve koşullar bugüne kadar bir türlü oluşmadığı için ulusal pazarın tamamı yabancı firmalar tarafından ele geçirilmiştir. Ancak en çok siber güvenlik açığı da yine tekelleşme yolundaki global firmaların ürünlerinde tespit edilmektedir. Bu konu ile ilgili yayınlanan son araştırma raporunda, Internet’e bağlı endüstriyel kontrol sistemlerinin %40’ının kolaylıkla hack edilebileceği vurgulanarak güvenlik zafiyetlerinin daha çok hangi firmalarda olduğu aşağıdaki grafikte verilmiştir.

Şekil 2: Endüstriyel Kontrol Sistemlerinde Bulunan Zafiyetler

Positive Technologies “SCADA Safety in Numbers” Report (http://www.ptsecurity.com/download/SCADA_analytics_english.pdf).

Güvenlik zafiyetleri kullanılarak yapılabilecek siber saldırıların enerji arz güvenliğine ve daha da önemlisi bireylerin can güvenliğine etkisi aşağıdaki örnek tabloda olduğu gibi derecelendirilebilir. Basit seviyedeki siber saldırılar, bir kaç saat boyunca bir mahalledeki onlarca abonenin elektriksiz kalmasına yol açarken, Stuxnet gibi ciddi bir siber saldırı ise aylarca geniş bir bölgede binlerce kişinin elektriksiz kalmasına yol açabilecek kadar tehlikeli sonuçlar doğurabilmektedir.

Tablo 2: Elektrik Altyapısına Yönelik Siber Saldırıların Etkisinin Derecelendirilmesi

Siber Güvenlik açısından kritik altyapıların başında gelen enerji sistemlerini siber tehditlerden korumak üzere tüm dünyada yoğun çalışmalar ve önemli ölçüde yatırımlar yapılmaktadır. Uluslararası standart kuruluşlarınca çeşitli standartlar oluşturulmuş olup ISO/IEC 27001 (Information Security Management), IEEE 1402 (Electric Power Substation Physical and Electronic Security), IEC 62351 (Data and Communication Security), NERC 1300 (Cyber Security Standards), NERC CIP ve NISTIR 7628 (Smart Grid Cyber Security) bunların en önemlilerinin başında gelmektedir. Ülkemizde bu standartların bazıları Türkçe diline çevrilmesine rağmen bu standartlara uygun olarak siber güvenlik önlemlerini ve altyapısını uygulamaya geçiren elektrik dağıtım şirketi henüz yoktur. Daha da kötüsü, teknolojik sistem tedarik şartnamelerinde, siber güvenlik çözümünün yine yurt dışı tedarikçiler tarafından karşılanacağı varsayılmakta, dolayısı ile ulusal kritik altyapılarımız gelişmiş siber saldırılara karşı yine korunmasız duruma düşmektedir.

Sonuç ve Öneriler

Özellikle enerji sektöründeki stratejik kurum ve kuruluşlarımız, enerji altyapılarını ve siber güvenliğini hala yurt dışı orijinli techizat ve yazılımlarla koruma yoluna gitmektedirler. Ancak yaşanan tecrübeler göstermiştir ki bu teknolojilere sahip ülkelerden biri veya ikisiyle bir sorun yaşanması durumunda, bu durum ülkemiz için önemli bir kırılganlık riski yaratmaktadır. İran’ın nükleer programı, barışçıl olsun veya olmasın, siber saldırılar ile önemli bir sekteye uğratılmıştır. Sonuçta bu İran’ın nükleer bağımlılığının başka ülkelerin tasarrufuna kalması anlamına gelmektedir. Yarın ülkemizin de benzer bir durum ile karşılaşmayacağına kimse teminat veremez. Dolayısı ile bu riski azaltmaya yönelik olarak enerji altyapısının işletilmesinden sorumlu olan kamu kuruluşları ve özel şirketlerin karşılaşabileceği siber tehditlere karşı önlem alabilmek için aşağıdaki hususların dikkate alınmasında fayda vardır:

• Tedarik edilecek kontrol sistemlerinin mümkünse kaynak kodunun tedarikçi firma tarafından verilmesinin sağlanması
• Ülke genelinde birden fazla farklı teknoloji tedarikçisinin kullanılması sağlanarak tek bir siber saldırı yöntemi ile tüm ülke şebekesinin arz güvenliğinin tehlikeye düşürülmesinin engellenmesi
• Teknoloji tedarikçisinin ürün güvenlik sertifikasyonlarının talep edilmesi
• Bilişim Sistemleri ile Kontrol Sistemlerinin farklı güvenlik seviyesine sahip ağlar bazında birbirinden ayrıştırılması
• Tedarik edilen sistemlerin siber güvenlik altyapısının yabancı tedarikçiler tarafından değil, akredite yerli güvenlik danışman şirketleri tarafından tasarlanması ve test edilmesi
• The Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) ve diğer siteler tarafından yayınlanan zafiyet ve saldırıların takip edilerek gereken yama ve önlemlerin zamanında alınması
• Dağıtım Şirketine ait bilişim ve otomasyon-kontrol sistemlerinin periyodik güvenlik testlerinin bu konuda uzman yerli şirketlere yaptırılması.

Enerji Sektörü için aşağıdaki düzenlemelerin ve uygulama esaslarının başlatılması önerilmektedir.

• Milli SCADA Sistemlerinin geliştirilmesine yönelik AR-GE programlarının başlatılması
• Endüstriyel Kontrol ve SCADA Sistemlerine yönelik Siber Güvenlik ürünlerinin milli olarak geliştirilmesi
• Ulusal Akıllı Şebeke Siber Güvenlik Standartlarının oluşturulması ve kamu ve özel şirketlerin bu standartlara uygunluğunun denetlenmesi
• Yabancı firmalardan tedarik edilen enerji otomasyonu ekipmanları ile SCADA yazılımlarının, ulusal bir merkezde güvenlik, güvenilirlik ve birlikte çalışabilirlik testlerinin yapılarak sertifikasyona tabi tutulması ve bu sertifikasyonu karşılamayan ürünlerin kullanımının yasaklanması.
• Her sene düzenlenen Siber Tatbikat Programına EÜAŞ, TEİAŞ ve EDAŞ’lara ait bilgi ve kontrol-kumanda sistemlerinin dahil edilmesi
• Ulusal Siber Güvenlik Kurulu çalışmalarında ETKB temsilcilerinin de katılması ve Endüstriyel Kontrol Sistemlerinin güvenliğinin ayrı bir başlık olarak ele alınması
• Siber Saldırılardan dolayı şebeke arz güvenliğinin tehlikeye düşmesi ve ilgili bölgedeki dağıtım şirketinin yeterli siber güvenlik önlemlerini almadığının tespiti durumunda Dağıtım Şirketlerinin bundan dolayı sorumluluk altına alınmasının sağlanması.

Sonuç olarak Stuxnet benzeri siber saldırılar, enerji altyapıları için SCADA ve kontrol sistemlerinin zayıflıkları veya arka-kapı kullanarak yapılabilir. Bu tip saldırıların gerçekleşme olasılığı son yıllarda artmış olup iki sene içinde dünyada Stuxnet saldırısından çok daha ciddi sonuçlara yol açacak, kritik altyapılara yönelik yeni bir saldırı beklenmektedir. Bir kaç milyon dolara geliştirilebilecek Stuxnet benzeri bir siber saldırının enerji santrallarına veya elektrik dağıtım şebekelerine düzenlenerek Türkiye’nin tamamının saatlerce elektriksiz bırakılması ve çok büyük bir ekonomik zarar verilmesi uzak bir ihtimal değildir. Sadece barış zamanı değil, savaş zamanında da yapılacak bu tip siber saldırılar askeri gücümüzü de sekteye uğratabilecektir. En etkin çözüm gelişmiş ülkelerde olduğu gibi güvenlik testlerinden geçirilmiş ve ulusal sertifikasyona sahip milli SCADA ve siber güvenlik ürünlerine sahip olmaktır.