Bilgi ve İletişim teknolojilerinin (Bilişim) olağan üstü yaygınlaşması, eğitimden eğlenceye, ticaretten bankacılığa günlük hayatın her alanına girmesi, hemen hemen tüm işlerin Bilişim altyapıları kullanılarak yerine getirilmesi verimlilik, etkinlik, maliyet, zamandan ve mekândan bağımsızlık gibi pek çok konuda insanlığa çok önemli kazanımlar sunmaktadır.

Bilişimin yaygınlaşması ile sosyal ve ekonomik düzenin de önemli bir parçası haline gelmeleri, bu teknolojileri kullanan ve bu sistemlerin devamlılığına dayanan varlıkları siber güvenlik konusunda hassas hale getirmiş ve güvenliğinin ihlali durumunda doğacak zararın boyutunu artırmıştır.

Tüm dünyada olduğu gibi ülkemizde de Kritik Altyapılarda Dijitalleşme ülkelerin ve kuruluşların stratejik hedeflerinden biri haline gelmiştir. Bugüne kadar geleneksel yöntemlerle yürüyen pek çok iş ve işlem Bilgi ve İletişim Teknolojileri kullanılarak yapılır hale gelmektedir. Ülkeler Dijitalleşmeyi gerçekleştirecek yatırımlara öncelik vermekte, bu alana önemli miktarda kaynak harcamaktadırlar. Ancak Bilişim teknolojilerine olan bu bağımlılık birtakım riskleri de beraberinde getirmektedir.

Dünya Ekonomik Forumu (WEF) tarafından yayınlanan Küresel Risk Raporuna göre, Siber Riskler, gelecek 10 yılda gerçekleşme olasılığı ve etkisi en yüksek 10 risk içinde yer almaktadır.

Kritik Altyapılar konusunda çeşitli tanımlar yapılabilmekle birlikte tüm tanımlar aşağı yukarı benzer şeyleri içermektedir. Avrupa yaklaşımını gösteren AB Komisyonu tanımına göre Kritik Altyapılar;

Zarar görmesi veya yok olması halinde, Vatandaşların sağlığına, emniyetine, güvenliğine ve ekonomik refahına veya hükümetin etkin ve verimli işleyişine ciddi olumsuz etki edecek

• Fiziki ve bilgi iletişim teknolojileri (bilişim) tesisleri, şebekeleri,
• hizmetleri ve
• varlıkları dır.

ABD’nin ya da başka ülkelerin bu tanım kapsamına giren altyapı listesi neredeyse aynı ama sadece sıralaması değişebilmektedir. Bunlar;

Türkiye’de Kritik Altyapılar, tüm diğer ülkelerde olduğu gibi, faaliyetlerini yerine getiremediği takdirde sosyal ve ekonomik düzenin işlerliğini zayıflatacak olan fiziksel ve sayısal altyapılara kritik altyapılar olarak belirlenmiştir. 20/06/2013 tarih ve 2 sayılı Siber Güvenlik Kurulu kararı ile Enerji, Su Yönetimi, Ulaştırma, Bankacılık ve Finans, Elektronik Haberleşme ve Kritik Kamu Hizmetleri Kritik Altyapılar olarak ilan edilmiştir.

Kritik Altyapılarda Siber Güvenlik, tabii ki bu altyapıların neler olduğunun (envanterin) belirlenmesi ile başlar. Belli bir gelişmişlik seviyesindeki hemen hemen tüm ülkeler bizde de olduğu gibi bu belirlemeyi yapmışlardır. Ancak bu, işin ilk adımıdır, bunun devamında yapılması gereken çok iş vardır. Yapılması gerekenleri 3 ana boyutta ele almak yerinde olur. Bunlar;

1. İnsan (kullanıcı, yönetici, işletmeci, uzman vb.)
2. Teknoloji (kullanılacak teknolojik ürün ve çözümler)
3. Sistem (organizasyonlar, süreçler, prosedürler, planlar vb.)

Bu 3 boyutun ulusal ve uluslararası seviyede ilişki ağının kurulması, koordinasyonu ve etkin bir şekilde işletilmesi başarı için hayati öneme sahiptir.

Aşağıdaki gösterimde bu 3 boyutun alt unsurları görülmekte olup bunların her birinin bir uyum ve eşgüdüm içinde yerine getirilmesi başarı için elzemdir. Bu konuda birlikte ulusal ve uluslararası boyutta çalışma, veri paylaşımı ve eşgüdüm olmazsa olmazdır.

Doğru politika ve stratejilerin belirlenip, uygun süreç ve teknolojilerin seçilmesi ile uygulamaya geçilmesi; süreç ve sonuçların sürekli izlenip periyodik olarak gözden geçirilmesi başarının anahtarıdır.

Yasal zeminin ve ilgili düzenlemelerin yapılıp yetki, sorumluluklar ile bunları uygulayacak organizasyonların oluşturulması, teknik ve insan kaynağına ilişkin kapasite oluşturularak tüm bunların bir sistem çerçevesinde işletilmesi gerekmektedir.

Özetle Siber Güvenlik salt teknolojik bir iş olmayıp çok boyutlu ve çok taraflı bir iş ve işlemler zinciridir. Bu zincirin en önemli unsuru ve en zayıf halkası insandır. İnsan unsuru kullanıcı, işletmen, uzman, karar verici ve yönetici olmak üzere alt unsurlarını içerir. Bu zincirin tüm halkalarında yer alan insanların farkındalıktan uzmanlığa uzanan bir eğitim sürecinden geçirilmesi ve bilgi birikimine sahip olması hayati öneme sahiptir.

Kritik altyapılar ve kritik altyapıları destekleyen bilgi ve iletişim teknolojileri unsurları, ulusal ekonomi ve devlet fonksiyonlarının düzgün islemesi için bunların Siber Güvenliğinin sağlanması bir “KORUMA” faaliyeti olup Risk Yönetim Süreci olarak ele alınıp yürütülmesi gereklidir.

Koruma faaliyetleri özetle;

• Envanteri belirleme, risk alanlarını belirleme, risklerin etki ve olasılıklarını belirleme,
• Güvenlik sistemleri kurma, güvenlik protokol ve süreçleri geliştirme,
• Tesisleri güçlendirme, açıklıkları giderme, felakete dayanıklılığa dikkat etme,
• Uygun teknolojiler kullanma, güncelliğini takip etme
• Farkındalık ve uzmanlık eğitimleriyle iş gücü güvenceye alma,
• Sürekli eksersiz, test ve tatbikatlar ile iş ve işlemleri doğrulama,
• Yedeklilik inşa etme, İş sürekliliği planlama,

şeklinde sıralanabilir.

Risk Yönetim Süreci

Risk Yönetim Süreci çerçevesinde yer alan;

• Hedef ve amaçları belirleme; etkin risk yönetimi duruşunu oluşturan önceden belirlenmiş çıktıları, koşulları ve performans hedeflerini belirlemeyi,
• Varlık, sistem ve ağları belirleme; varlıkların, sistemlerin, ağların envanterini çıkarmayı ve her bir sektörün karakteristiklerini hesaba katan risk yönetimi hususunda bilgi toplamayı,
• Riskleri değerlendirme; saldırı veya felaketlerin potansiyel direk ve dolaylı etkilerini, çeşitli saldırı yöntemlerine karşı bilinen açıklıkları ve tehdit bilgisini hesaba katarak risk değerlendirmesi yapmayı,
• Önceliklendirme; varlık, sistem ve/veya ağ riskleri ve ilgili görev devamlılığı konusunda uygun bakış açısını kazanmak için, risk değerlendirme sonuçlarını bir araya getirme ve karşılaştırmayı, risklere dayalı olarak öncelikler belirlemeyi, yatırım sonunda riskin azaltılması geri dönüş sağlayabilen koruma, esneklik ve iş devamlılığı kuruluşlarını belirlemeyi,
• Programları uygulama; Koruma programları ve esneklik stratejileri uygulama, belirlenen riski azaltmak veya yönetmek için uygun programları ve eylemleri seçmeyi ve önceliklere hitap etmek için gerekli kaynakları belirleme ve sağlamayı,
• Etkinliği ölçme; ölçütler ve diğer değerlendirme prosedürlerini uygun yönetim seviyelerinde koruma programlarının gelişimini ölçmek ve etkinliği değerlendirmeyi,

ifade eder.

Bir risk yönetim süreci olarak Siber Güvenlik, insandan başlayıp cihaz/altyapı ile devam eden, süreçler ve uygulamalar ile vücut bulan bu olguda strateji ve politikalar büyük önem taşımaktadır. Bu sürecin en zayıf halkası insandır. Bu süreçte kullanıcı, uygulayıcı ve karar verici konumundaki her insanın konunun öneminin farkında olmasına, bilgi ve bilinç düzeyinin arttırılmasına ihtiyaç vardır.

Gerçek anlamda güvenlik ancak milli siber güvenlik teknolojilerinin geliştirilip kullanılması ile mümkündür. Kullanılacak İthal siber güvenlik teknolojileri (backdoor vb. riskleri nedeniyle) bizatihi siber güvenlik risk ve tehdidi oluşturabilirler. Ulusal güvenliğin önemli unsurlarından biri haline gelen siber güvenliğin sağlanması ancak bu alanda milli çözümlerin geliştirilip kullanılması ile mümkündür.

O halde şu aşamada Siber Güvenlik tarifini yapma zamanı gelmiştir.

Siber Güvenlik konusu da çok sayıda tanımı olan kavramlardan biri olmakla birlikte kapsamı konusunda genel bir konsensüs olduğunu söylemek yanlış olmaz. Bu konuda en uzun süredir çalışmalar yapan ve konunun uzmanlarını bünyesinde barındıran Bilgi Güvenliği Derneği (BGD)’nin aşağıdaki tanımı en çok kabul görmüş tanımdır.

Siber Güvenlik, kritik alt yapıların ve bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi, tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik risk analizlerinin yapılarak önlemlerinin alınmasıdır. Siber güvenliğinin temel amaçları şunlardır;

• Veri bütünlüğünün korunması,
• Bilgiye erişimin, erşim hız ve kalitesinin korunması,
• İzinsiz erişimin engellenmesi, mahremiyet ve gizliliğin korunması,
• Kritik alt yapılarda iş sürekliliği ve performansının devamlılığının sağlanmasıdır.

Siber Güvenliği ortadan kaldırmaya yönelik her türlü çaba ve faaliyeti ise Siber Tehdit ya da Siber Saldırı olarak adlandırılır. Bunlara ayrı ayrı bakacak olursak;

Siber Tehditler

Siber güvenliğe yönelik tehditler, olayın aktörlerinin amaç ve hedefi ile kimliğine bağlı olarak aşağıdakilerin bir yada bir kaçını gerçekleştirmeyi hedefler;

• Kritik altyapı ve sistemlerine yetkisiz erişim,
• Sistemlerin bozulması ve hizmetin engellenmesi,
• Bilgilerin değiştirilmesi ve veri bütünlüğünün bozulması,
• Bilgilerin yok edilmesi,
• Bilgilerin ifşa edilmesi,
• Bilgilerin çalınması,

Siber Saldırılar,

Siber saldırıları gerçekleştiren aktörlerinin amaç, hedef ve kimliğine bağlı olarak çok değişik araçlar kullanırlar. Giderek daha da karmaşık ve teknolojik hale gelen Siber saldırılar sırasında aşağıdaki araçların biri yada bir kaçı kullanılabilmektedir;

• Hizmetin engellenmesi saldırıları (DoS, DDoS)
• Bilgisayar virüsleri
• Kurtçuk (worm)
• Truva atı (trojan)
• Klavye izleme (key logger) yazılımları
• Casus / köstebek (spyware) yazılımlar
• Yemleme (phishing)
• Şebeke trafiğinin dinlenmesi (sniffing ve monitoring)

ABD Anayurt Güvenliği (Homeland Security) departmanının yayınlarında yer alan aşağıdaki gösterimden de anlaşılacağı üzere Siber saldırılar ve Siber Savaş, gerçekleştirilmesi en kolay olmasına rağmen tahrip etkisi en yüksek saldırı türlerinin başında gelmektedir.

Geçmişte gerçekleştirilen ve bir ülkeyi topyekün hedef alan bazı Siber Saldırı örnekleri:

• 2007 - Estonya tüm altyapılarını çökerten siber saldırılar
• 2008 - Gürcistan’ı çökerten siber saldırılar
• 2008 - Bakü-Tiflis Ceyhan boru hattı saldırısı
• 2009 - İran nükleer santral siber saldırısı (stuxnet)
• 2016 - Ukrayna elektrik şebekesini çökerten saldırılar
• 2017 - S.Arabistan Petrokimya tesislerine yapılan saldır
• 2018 - Rusya elektrik şebekesine yönelik saldırılar
• 2019 - ABD elektrik şebekesine yönelik saldırılar

 

SPECOPS tarafından 2021 yılında yayınlanan aşağıdaki grafikten de görüleceği üzere Türkiye “önemli büyüklükte siber saldırı”ya maruz kalmış ilk 20 ülke arasında yer almaktadır.

Siber suçların dünya çapındaki maliyeti her yıl önemli ölçüde artmakta olup Statista tarafından yayınlanan aşağıdaki grafiğe göre 2023 yılında yaklaşık 8 trilyon dolar olan siber suçların küresel maliyetinin yaklaşık %25 artışla 2025 yılında 10 trilyon dolarlık bir büyüklüğe ulaşması tahmin edilmektedir. Bu nedenle tüm ülkeler bu konuda tedbir almak ve alt yapılarını güçlendirmek için önemli yatırımlar yapmaktadır.

Geçtiğimiz yıl, dünyanın kritik altyapıları (insanları ve makineleri birbirine bağlayan bilişim, sağlık, enerji, ulaşım ve üretim ve ulaşım sistemleri) neredeyse sürekli saldırı altındaydı. 

Forescout Research raporuna göre Ocak ve Aralık 2023 arasında bir önceki yıla göre %30 artışla 420 milyondan fazla saldırı yapıldı. Diğer bir deyişle 2023'te dünyanın çeşitli yerlerinde kritik altyapılara her saniyede bir 13 Siber saldırı gerçekleştirildi.

Siber Güvenlik araştırma şirketlerince yayınlanan çeşitli raporlara göre ufak farklılıklar olmakla birlikte 2023’de gerçekleştirilen Siber saldırıların sektörel dağılımı aşağıdaki gibidir.

Yukarıdaki garfikten de anlaşılacağı üzere 2023 yılında dünya çapında gerçekleştirilen siber saldırıların yarısından fazlası (%57si) Enerji (%18), Bankacılık (17), İletişim (11,7) ve Ulaşım (%10,3) olmak üzere 4 ana altyapılara yönelik olmuştur.

Değerlendirme ve Öneriler:

Siber tehditlerin Kritik Altyapıları hedef alıp sosyal ve ekonomik düzeni etkiler hale gelmesi sonucunda devletler, Siber Güvenlik konusuna öncelik vermeye, bu yönde önemli yatırımlar yapmaya ve gereken önlemleri almaya başlamışlardır. Tehdidin kapsamı, miktarı ve maliyeti arttıkça, pek çok ülke bu konuyu startejik öncelikleri arasına almıştır. Devletler sadece kendi kamusal sistemlerine yönelik değil ülkedeki tüm varlıkların ve kuruluşların güvenliğine dair adımlar atmakta; kamu ve özel sektörde bulunan kritik altyapıların güvenliğini sağlama sorumluluğu üstlenmektedir.

Gerek ülke içindeki ve gerekse ülkeler arası tüm kurum/kuruluşların Bilgi ve İletişim altyapıları ile bağlantılı ve bağımlı hale gelmiş olduğu günümüz dünyasında hiç bir kurum/kuruluş veya ülkenin tek başına kendini siber evrende güvenli hale getirmesi mümkün değildir. Bağlantılı haldeki tüm kurum/kuruluş ve ülkeler iş birliği içinde olmadıkça güvenlik sağlanamaz. Bunlardan herhangi birindeki bir açık yada zaafiyet bağlantılılık nedeniyle diğerlerinin de güvenliği için tehdit oluşturur. Bu nedenle Siber Güvenliğin sağlanması için “hattı müdafaa yetmez sathı müdafaa” gereklidir.

Ülke çapında Siber Güvenliğin sağlanması için ulusal bir strateji çerçevesinde mevcut altyapıları daha güvenli ve dayanıklı hale getirecek, tüm paydaşların sürece dâhil edildiği top yekün bir “KORUMA” faaliyeti yürütülmelidir.

29 Aralık 2020 tarihinde yayınlanan 2020-2023 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı güncel gelişme ve ihtiyaçlar doğrultusunda güncellenmelidir.

11 Kasım 2013 tarihinde yayınlanan Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliği, Ulusal Siber Olaylara Müdahale Merkezini (USOM) ve Siber Olaylara Müdahale Ekibi (SOME) etkinliğini arttıracak şekilde,  güncel gelişme ve ihtiyaçlar doğrultusunda güncellenmelidir

Zaman zaman yapılmakta olan (en son Ekim 2022’de yapılmıştır) Ulusal Siber Güvenlik tatbikatları düzenli olarak ve özel sektörü de kapsayacak şekilde düzenli olarak yapılmalıdır.

 

Kaynaklar:

• ITU International Telecommunication Union www.itu.int/cybersecurity
• WEF Global Risk Report https://www.weforum.org/publications/global-risks-report-2024/
• https://www.enisa.europa.eu/topics/critical-information-infrastructures-and-services
• https://energy.ec.europa.eu/topics/energy-security/critical-infrastructure-and-cybersecurity_en
• https://hgm.uab.gov.tr/uploads/pages/strateji-eylem-planlari/ulusal-siber-guvenlik-stratejisi-ve-eylem-plani-2020-2023.pdf
• https://securitytoday.com/articles/2024/01/29/world-critical-infrastructure-suffered-13-cyber-attacks-every-second-in-2023
• Bilgi Teknolojileri ve İletişim Kurumu Genel Bilgi - Bilgi Teknolojileri ve İletişim Kurumu (btk.gov.tr)
• Bilgi Güvenliği Derneği   http://www.bilgiguvenligi.org.tr/