ABD’nin Altyapısı Tehlikede mi?

Suçla savaş artık topla tüfekle cephelerde değil, siber alanda hackerlara karşı veriliyor. Geçtiğimiz on yıl içerisinde hackerların oluşturduğu tehdit konusunda ise kesin bir bilgi yok. ABD istihbarat birimlerine göre, devletin altyapısına erişebilecek hackerlar var; ancak tehlikenin boyutları henüz bilinmiyor.

Bazı üst düzey devlet yetkilileri, devletin altyapısına karşı düzenlenip en az Pearl Harbour düzeyinde bir siber felakete neden olabilecek bir saldırıya karşı ikazda bulunurken; bir kısmı da tehditlerin gerçek olduğunu ve ciddiye alınması gerektiğini, fakat taşıdığı risklerin düşünüldüğü kadar büyük olmadığını belirtip felaketi öngörenlerin aslında toplumda korku, belirsizlik ve şüphe yarattığını düşünüyor.

Tenable Network Security’de stratejist olarak çalışan C. Thomas, yazılarından birinde bu yaklaşımı destekliyor. ABD güç şebekesi veya diğer endüstriyel kontrol sistemleri için tehdit oluşturanın hackerlar değil, aslında her yıl yüzlerce elektrik kesintisine neden olan kemirgenler olduğunu belirtti. Bugüne dek maddi hasarla sonuçlanan ve gerçekleştiği resmi kaynaklar tarafından da doğrulanan ilk altyapı siber saldırısı, İran nükleer programında kullanılarak santrifüjleri bozan Stuxnet’in saldırısıdır.
Wikistrat baş analisti Thomas P. M. Barnett da blogunda çok sayıda uzmanın tartıştığı bu teoriye değindi. Bu saldırıları kıyaslamanın, soğuk algınlığını kanserden daha büyük bir tehdit gibi göstermekle eşdeğer olduğunu, soğuk algınlığının aslında daha yaygın olup kanserden daha az tehdit oluşturduğunu belirtti. Nitekim kanserin görülme ihtimali daha düşük, fakat sonuçları daha büyüktür.

Endüstriyel Kontrol Sistemleri Siber Acil Durum Müdahale Ekibi’nin verileri, geçtiğimiz yıl önemli altyapıların da hedefler arasında olduğu 295 olayı gösteriyor. Associated Press’in raporuna göre, güvenlik araştırmacısı Brian Wallace 18 eyalette ve Kanada’da faaliyet gösteren güç üreticisi Calpine’in hackerların hedefi olduğunu açıkladı. Bu saldırıda milyonlarca evin elektrik kaynağını kesebilecek mühendislik çizimleri ele geçirildi. Wall Street Journal da 2013 yılında New York barajına sızıldığını duyurmuştu. Şimdiye kadar herhangi bir şebekenin ele geçirilmesiyle sonuçlanmayan bu saldırıların izini sürmek ne kadar zor olsa da dijital kanıtlar İran’ı gösteriyor. Dragos Güvenlik’in kurucusu ve eski ABD Hava Kuvvetleri Siber Savaş Operasyon Yetkilisi Robert M. Lee, İran ve ABD arasındaki ilişkilerin kötüye gitmesi durumunda İran’ın elinde yeterli istihbaratı varsa bu tesisleri hedef almak isteyeceğini, fakat hackerların ellerindeki verilerle birkaç saat süreyle enerji kaynaklarını kesecek güçleri olmadığı için bunun bir felaketle sonlanmayacağını belirtti.

Solutionary araştırma analisti Jeremy Scott da “Tehdit oldukça gerçek ve ciddi, yaşantımız bir noktada bu altyapılara bağlı. Hackerlar kendini geliştirdikçe olası zararı da artacak saldırılar bizi tabii ki etkiler, ama elimizi kolumuzu da bağlamaz.” şeklinde konuştu. Büyük veri analiz platformu ThetaRay’in CEO’su Mark Gazit, hackerların savurduğu tehditlerin felaket habercisi olmadığını, fakat hackerların her geçen gün siber güvenliği zayıf, güncellenmesi veya değiştirilmesi zor olan Endüstriyel Kontrol Sistemleri’ne bir adım daha yaklaşmak için çalıştıklarını belirtti.

Düşman devletler bile ABD’yi saf dışı bırakmayı düşünmezler, aksi halde ABD’ye cevap hakkı doğuran ve dünyadaki ekonomileri etkileyen bir savaş nedeni meydana gelir. Kuzey Kore, Rusya, Çin ve İran gibi devletlerin ABD’deki endüstriyel kontrol sistemlerine sızması durumunda, ABD’nin de onların sistemlerine sızacağına dair resmi olmayan iddialar var. Her ne kadar Lee ve Scott bu konuda sessiz kalmayı tercih etse de, Gazit tarih sayfalarında savunması olmayan bir oyun görmediğini söylüyor.
Ancak bu koşullar, IŞİD gibi uluslararası ilişkiler konusunda daha farklı bir tutum sergileyen terörist grupları için geçerli değil. Şu an için bir siber tehdit oluşturmadıkları doğru, fakat bir gün olmayacağı anlamına gelmiyor. Fidelis Security CSO’su Justin Harvey “IŞİD gibi gruplar, interneti daha çok kendilerine yandaş bulmak için kullanıyor. Fakat bence IŞİD’in siber terörizme destek vermesi an meselesi.” sözleriyle bu fikre katılıyor.

Fu, siber tehditler konusunda en fazla makul tahminlerde bulunulabileceğini, on yıl boyunca her şey mükemmel bir şekilde seyrederken sonra birden bozulmayacağının garantisini vermenin imkânsız olduğunu ve hangi noktada terörist gruplarının kendini bu ölçüde büyüteceğini bilmediklerini dile getirdi.

Tehdit düzeyi yüksek olsun veya olmasın, endüstriyel kontrol sistem operatörlerinin güvenliklerini geliştirmek için hem kullanılan teknolojide hem de bu teknolojiyi kullanan kişilerin becerilerinde iyileştirme çalışmaları yapması gerekiyor. Konu teknoloji olunca, üzerinde durulması gereken engellemeden çok, sorunu saptamak ve çabuk müdahale edebilmektir. Harvey’e göre, koruma teknolojilerine çok fazla yatırım yapmanın, uç noktaları inceleyip durmanın bir anlamı yok.

Gazit, gelişmiş algoritmaları kullanan çözümlerin eyleme geçirilebilir istihbarat ve kesintisiz müdahale ile insanlara doğru zamanda doğru kararı vermeleri için gerekli uyarıları vermesinin önemini belirtirken; Lee de tehditlerin insan işi olduğunu ve teknoloji tek başına yeterli olmayacağı için güvenlik personelinin eğitimine odaklanılması gerektiğini vurguluyor. Endüstriyel Kontrol Sistemleri’nin, Milli Standartlar ve Teknoloji Enstitüsü’nün belirlediği çözümleri kullanması durumunda, güvenlikleri büyük ölçüde artacak. Fu’ya göre ilk adım riskleri ve riskleri azaltmak için yapılması gerekeni belirlemek, ikinci adım ise müdahalenin etkili olup olmadığını ölçmektir.