2024 yılında yayımlanan Dragos Endüstriyel Siber Güvenlik Raporu, kritik altyapı sektörlerinde tespit edilen olay sayısının bir önceki yıla göre yüzde kırk üç arttığını ortaya koydu. Aynı dönemde enerji şirketleri, su idareleri ve üretim tesislerine yönelik fidye yazılımı saldırılarının toplam maliyeti 28 milyar doları aştı. Bu sayılar, siber güvenliğin artık yalnızca bir IT departmanı meselesi olmadığını çarpıcı biçimde gösteriyor: boru hatlarının durması, su arıtma kimyasallarının hatalı dozlanması ya da elektrik şebekesinin çökmesi, ekran başındaki bir güvenlik açığından kaynaklanabilir.
OT ve IT Sistemleri Neden Ayrı Düşünülmeli?
Bilgi Teknolojisi (IT) dünyasında güvenlik öncelikleri genellikle şu sırayla dizilir: gizlilik, bütünlük, erişilebilirlik. Bir finans sisteminde veri sızması felakettir; birkaç saatlik kesinti ise tolere edilebilir bir aksaklıktır. Operasyonel Teknoloji (OT) tarafında ise bu öncelik sırası tersine döner.
Bir enerji santralinin kontrol sisteminin birkaç saniyeliğine bile çevrimdışı kalması, üretim duruşuna, ekipman hasarına, hatta can kaybına yol açabilir. Bu nedenle OT sistemlerindeki güvenlik güncellemeleri son derece dikkatli planlanmak zorundadır; çünkü bir yama uygulaması için sistemi kapatmak mümkün olmayabilir. IT ekiplerinin alışık olduğu "hızlı yama, hızlı dağıt" anlayışı burada geçersizdir.
Bir diğer kritik fark, sistem ömrüdür. IT altyapısı genellikle 3-5 yılda bir yenilenir. OT ekipmanı ise 20-30 yıl çalışmak üzere tasarlanmıştır. 1998 yılında sahaya sürülen bir PLC (Programlanabilir Mantık Denetleyicisi), günümüzde bir Ethernet bağlantısıyla internete açılmış olabilir; ancak bu cihaz için hiçbir zaman güvenlik güncellemesi yayımlanmamıştır.
SCADA ve ICS Güvenlik Açıkları
SCADA (Supervisory Control and Data Acquisition) sistemleri ve genel olarak Endüstriyel Kontrol Sistemleri (ICS), fiziksel süreçleri izlemek ve yönetmek amacıyla tasarlanmıştır. Güvenlik ise bu tasarımın önceliği olmamıştır; çünkü bu sistemler kurulduklarında izole ağlarda çalışacakları varsayılıyordu.
Air-gap yanılgısı olarak bilinen bu varsayım, endüstriyel siber güvenliğin en tehlikeli efsanelerinden biridir. Bir sistemi fiziksel olarak izole etmek teoride güvenlik sağlar; ancak pratikte operatörler uzaktan bakım için modemi sisteme bağlar, bir teknisyen USB belleğiyle veri aktarır ya da kurumsal ağla geçici bir köprü kurulur. Bu küçük istisnalar, air-gap'i devre dışı bırakmaya yeter.
Protokol tarafında ise tablo daha da kaygı vericidir. Modbus, 1979'da seri haberleşme için geliştirilmiş bir protokoldür; kimlik doğrulama mekanizması yoktur. DNP3, elektrik dağıtım sistemlerinde yaygın kullanılır; bazı uygulamalarında şifreleme desteği bulunmaz. Bu protokoller, şebeke üzerinde dinlenen her mesajın saldırgan tarafından okunabildiği ve değiştirilebildiği anlamına gelir.
Çoğu endüstriyel tesiste OT ekipmanının yüzde altmıştan fazlası, üreticinin güvenlik desteğini sonlandırdığı "end-of-life" cihazlardan oluşmaktadır. Bu cihazlar için kritik güvenlik yamalarına erişim mümkün değildir; bazı durumlarda yamayı uygulamak teknik olarak da olanaksızdır. Saldırganlar bu boşluğu son derece iyi bilmektedir.
Gerçek Dünya Vakaları
Stuxnet (2010): Siber savaşın kilometre taşı sayılan Stuxnet solucanı, İran'ın Natanz nükleer tesisindeki uranyum zenginleştirme santrifüjlerini fiziksel olarak tahrip etmek amacıyla geliştirildi. Solucan, Siemens S7-300 PLC'lerini hedef alıyor ve santrifüjlerin dönüş hızını gizlice değiştirirken kontrol paneline normal değerleri gösteriyordu. Air-gap aşılması için USB bellekler kullanıldığı tahmin edilmektedir. Stuxnet, yazılımın fiziksel dünyada somut hasar yaratabileceğini kanıtlayan ilk örnek olarak tarihe geçti.
Colonial Pipeline (2021): ABD'nin en büyük yakıt boru hattı operatörü, bir fidye yazılımı saldırısı sonucunda faaliyetlerini altı gün askıya almak zorunda kaldı. Saldırı aslında IT ağını hedef almıştı; ancak şirket ihtiyati tedbir olarak OT sistemlerini de kapattı. Bu karar, Doğu ABD kıyısındaki benzin istasyonlarında panik alımlara ve yakıt kıtlığına neden oldu. Fidye olarak 4,4 milyon dolar Bitcoin ödendi.
Oldsmar Su Arıtma Tesisi (2021): Florida'daki bu vakada saldırgan, uzaktan erişim yazılımı aracılığıyla tesise sızdı ve içme suyuna eklenen sodyum hidroksit miktarını normalin 111 katına çıkarmaya çalıştı. Bir operatörün anlık müdahalesi felaket senaryosunu önledi. Güvenlik açığı ise şaşırtıcı derecede basitti: çoklu kullanıcılar arasında paylaşılan eski bir Windows 7 makinesi.
Norsk Hydro (2019): Norveç'in alüminyum devi, LockerGoga fidye yazılımının kurumsal ağı ele geçirmesinin ardından küresel operasyonlarını manuel süreçlere geçirmek zorunda kaldı. Toplam mali zararın 71 milyon dolara ulaştığı tahmin ediliyor. Şirketin fidye ödeme yerine sıfırdan yeniden yapılanmayı tercih etmesi ise endüstride örnek bir duruş olarak değerlendirildi.
Saldırı Yöntemleri
Endüstriyel sistemlere yönelik saldırıların büyük çoğunluğu, klasik kurumsal IT ağına yapılan bir spear-phishing e-postasıyla başlar. Hedef, çoğunlukla mühendislik departmanı ya da saha teknisyeni gibi hem kurumsal hem de endüstriyel sistemlere erişimi olan kişilerdir.
IT ağına ilk erişim sağlandıktan sonra saldırgan lateral movement tekniklerini kullanarak ağ içinde yayılır. Bu süreçte kimlik bilgileri ele geçirilir, iç ağ haritası çıkarılır ve OT sistemlerine giden yollar araştırılır. Tarihsel olarak "izole" kabul edilen OT ağı ile IT ağı arasındaki köprülerin varlığı, bu geçişi mümkün kılar.
OT ağına geçişin ardından saldırgan hareketsiz kalarak sistemi öğrenir. Bu keşif aşaması bazen aylarca sürer. Saldırgan, operatörlerin çalışma rutinlerini, bakım pencerelerini ve alarm eşiklerini öğrenir. Aksiyon fazına geçildiğinde ise ya fidye yazılımı devreye sokulur ya da fiziksel süreci manipüle edecek komutlar gönderilir.
Savunma Mimarisi
Endüstriyel güvenliğin temel çerçevesi, Purdue Referans Modeli olarak bilinen hiyerarşik katman yapısına dayanır. Bu modelde kurumsal IT ağı ile OT ağları birbirinden açıkça ayrılır ve her katman arasındaki iletişim sıkı erişim kontrollerine tabi tutulur.
Ağ segmentasyonu bu mimarinin temel taşıdır. OT ağı kendi içinde de bölümlere ayrılmalı; bir SCADA sunucusu, PLC'lerle doğrudan iletişim kurabilen bir mühendislik iş istasyonuyla aynı ağ segmentinde bulunmamalıdır. IT ve OT ağları arasına yerleştirilen DMZ (Demilitarized Zone) katmanı, iki dünya arasındaki veri transferini denetimli bir tampon bölge üzerinden yönetir.
ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) tarafından yayımlanan öneriler şu başlıklar altında özetlenebilir: uzaktan erişim için çok faktörlü kimlik doğrulama, varsayılan parolaların değiştirilmesi, gereksiz servislerin kapatılması, OT'ye özgü tehdit izleme çözümlerinin konuşlandırılması ve düzenli güvenlik tatbikatları.
1. Tüm OT varlıklarının envanterini çıkarın — neyin ağa bağlı olduğunu bilmeden koruyamazsınız.
2. Varsayılan kullanıcı adı ve parolaları değiştirin; özellikle HMI ve uzaktan erişim araçlarında.
3. IT ile OT ağları arasındaki tüm bağlantı noktalarını belgeleyin ve gereksiz olanları kapatın.
4. Uzaktan erişimi VPN ve MFA ile koruyun; RDP'yi internete doğrudan açmayın.
5. Olağandışı ağ trafiğini izlemek için pasif OT izleme araçları kullanın (Claroty, Dragos, Nozomi gibi).
Türkiye'de Kritik Altyapı Güvenliği
Türkiye'de siber olaylara müdahale ve koordinasyon görevi, Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesindeki USOM (Ulusal Siber Olaylara Müdahale Merkezi) tarafından yürütülmektedir. USOM, sektörel SOME'ler (Siber Olaylara Müdahale Ekipleri) aracılığıyla enerji, ulaştırma, su yönetimi ve finans gibi kritik sektörlerdeki kurumlarla koordineli çalışmaktadır.
2022 yılında yürürlüğe giren Kritik Altyapıların Siber Güvenliği Genelgesi, belirli sektörlerdeki operatörlerin siber güvenlik olaylarını USOM'a bildirmesini ve asgari teknik güvenlik gereksinimlerini karşılamasını zorunlu kılmaktadır. Enerji Piyasası Düzenleme Kurumu (EPDK) da lisanslı enerji şirketleri için ICS güvenlik standartlarını kapsamak üzere mevzuatını genişletmiştir.
Ancak düzenleyici çerçevenin hayata geçirilmesi, özellikle küçük ölçekli altyapı operatörlerinde yavaş ilerlemektedir. Uzman insan kaynağı açığı ve eski ekipman altyapısı, sektörün önündeki en büyük iki engel olmaya devam etmektedir. Bu tabloda, ulusal siber güvenlik tatbikatlarının kapsamının genişletilmesi ve özel sektör-kamu iş birliğinin güçlendirilmesi kritik önem taşımaktadır.