SlideShare une entreprise Scribd logo

Kritik Enerji Altyapılarına Gerçekleşmiş Siber Saldırılara İlişkin bir Değerlendirme

Télécharger en tant que PPTX, PDF
HASEN - HAZAR STRATEJİ ENSTİTÜSÜ
HASEN - HAZAR STRATEJİ ENSTİTÜSÜ

Günümüzde siber saldırılar, kritik altyapılar için ‘yaşamsal’ tehditler olarak algılanmaktadır. Enerji altyapıları da diğer altyapıları belirleyici ve etkileyici doğası gereği 'siber zafiyetler' barındırmaktadır. Bu sunumda bugüne kadar enerji altyapılarına karşı gerçekleşmiş siber saldırılar değerlendirilecek ve 'teknik olmayan' çözüm önerileri sunulacaktır.

Économie & finance
1  sur  34
Kritik Enerji Altyapılarına Gerçekleşmiş Siber Saldırılara İlişkin bir Degerlendirme Ayhan GÜCÜYENER Kritik Enerji Altyapılarını Koruma Semineri 10-11 Mart, İstanbul
GİRİŞ  2007 Estonya Saldırıları The most ‘wired’ nation ! (%95 Online Bankacılık, e-voting, e- hükümet)  Karşı eylem planları Siber saldırılar, kritik altyapılar için ‘yaşamsal’ tehditler olarak algılanmakta  ‘Siber Savaş’ teorileri artık yalnızca bir komplo teorisi ya da efsane degil
I. Siber Zarar Bilançosu Yükselmektedir Siber alanda zarar bilançosu artmaktadır. ‘Siber Terörizm’Bir gerçeklik haline geldi. Siber silahlar artık daha gelişmiş ve
II. Siber Silahlar Çeşitlenmektedir  Kritik Altyapılar için Büyüyen tehdit APT (Advanced Persistant Threats)  Basit şifre tahmin etme, hesap patlatma, ticari amaçlı data hırsızlıgından Stratejik bilgileri ele geçirme operasyonlarına dogru evrim Bilinen APT saldırıları Stuxnet, Flame, Duqu…
III. Siber Silahlar Çeşitlenmektedir: ‘Gelişmiş Sürekli Tehditler’ APT (Advanced Persistant Threats) - Hedef odaklıdır. - Özel ve gelişmiş teknikler kullanır. - Saldırının ve saldırganların fark edilmesi güçtür. - Kalıcıdır, uzun süre fark ettirmeden sistemde kalır. - Arkasında yetkin bir grup ya da ülke vardır. - Ciddi bir hazırlık süreci, yüksek motivasyon ve detaylı bilgi toplama aşaması gerektirir.
- Siber saldırıların pek azı bilinmektedir. - Stuxnet, kritik ‘enerji’ altyapılarını hedef almış ilk siber saldırı, siber güvenligin ’11 Eylül’ü ! - StuxnetSofistike, devlet destekli, yüksek bütçeli bir silah, tüm enerji sektörü için bir uyanış çagrısı - Siber saldırılar sınır aşan özelliklere sahiptir. Stuxnet Chevron’un IT sistemlerine sıçramıştır.
IV. Kritik Enerji Altyapılarına Yönelik Siber Saldırılar Artmaktadır ABD’de, ICS-CERT’in verilerine göre, 257 siber vakanın %56’sı enerji sektörüne yönelik (2012’de %40)  İngiltere’de siber saldırıların enerji endüstrisine yıllık tahmini zararı 664 milyon dolar.  Siber saldırıların, küresel ölçekte petrol ve dogalgaz endüstrisine zararı 2018’de 1,87 milyar dolar  Enerji güvenligi kavramının kapsamını genişletmek şart (reliable-sustainable-secure- safe..?)
V. Türkiye Kritik Enerji Altyapıları ve Siber Saldırılar - Türkiye’ye yönelik siber saldırılar ortalamanın üzerinde (Arbor) - 2014’ün ikinci çeyreginde tüm dünyada %68 azalırken, Türkiye’ye yönelik siber saldırılar %6 artıyor. - Petrol ve dogalgaz şirketlerinin %60’ının bir siber saldırı karşısında ‘acil durum planı’ yok (Oil and Gas Survey) - Dragonfly ve Satır Operasyonları Türkiye’deki kritik enerji altyapılarını da hedefledi (ICS’ler hedef)
VI. Bir Enerji Merkezi Olma Yolunda Türkiye ve Siber Güvenlik  Yalnızca birkaç milyon dolara geliştirilebilecek silahlarla bir ülkenin tamamını elektriksiz bırakmak ve ekonomik çöküntüye ugratmak mümkün !  Bir enerji merkezi olma yolunda Türkiye siber saldırılara hazır mı? ? Sorulması gereken sorular:  Türkiye’ye yönelik siber saldırılar hangi aktörlerden, hangi silahlarla gerçekleşebilir? (Kaynak-Yöntem)  Siber saldırılar Türkiye’de hangi kurumu, ne ölçüde hedef alabilir? (Hedef-Kapsam)  Saldırıların sosyal, ekonomik, ticari, siyasal sonuçları ne olur? (Etki-Sonuç)
BÖLÜM-I Kritik Enerji Altyapılarına Saldırıların Degerlendirilmesi 1. Trans-Sibirya Boru Hattı Patlaması- 1982 -Devlet destekli (CIA) -Siber teknolojinin enerji altyapılarını hedef aldıgı ilk saldırı -Nükleer olmayan en büyük patlama (3 kiloton TNT) -Siber saldırının fiziki dünyadaki sonuçlarına örnek
II. Chevron Acil Durum Alarm Sistemi-1992 -Eski bir Chevron çalışanı (Insider) -Saldırı acil bir durum ortaya çıkana kadar fark edilmiyor -Sistem 10 saat boyunca kapalı kalmış, insan yaşamı tehlikeye girmiş
III. Salt Nehri Projesine Saldırı- 1994 -Salt Nehri Projesinin bir çalışanı projenin bilgisayar agına erişmeyi başarmış (Insider) -Müşteri bilgilerinden finansal detaylara, şifre ve oturum açma bilgilerine kadar birçok kritik bilgiyi ele geçirmiş
IV. Bellingham Boru Hattı Patlaması-1999 Saldırı degilEn zayıf halka olarak ‘insan’ (İnsan Hatası) -SCADA sisteminden kaynaklanan bir hata -3 kişi hayatını kaybetmiş, 8 kişi dumandan zehirlenmiş -45 milyonluk bir zarar ortaya çıkmış -58.000 kullanıcı elektriksiz kalmış -Birçok mülk zarar görmüş -Petrol sızması önemli bir çevre kirliliği
V. Gazprom-2000  Devlet/İstihbarat Destekli  Saldırganlar şirket içinden bir çalışanla işbirligi yapmış (insider)  Kullanıcıların faaliyetleri anlık izlenmiş, ana kontrol paneline erişim saglanmış
VI. Davis-Besse Nükleer Tesisi- 2003  İzole olduğu düşünülen şirket bilgisayar ağına, şirketin dışarıdan çalıştığı bir danışmanın vasıtasıyla Slammer solucanı bulaşmış  Güvenlik sadece kritik hizmetler veren sektörlere ve sektörlerin sınırlarına baglı degil  3. Firmalar ve taşeronların erişimleri ve yetkileri büyük problemler yaratabilir
VII. Brezilya-Espirito Santo-Elektrik Sistemlerine Saldırı-2005/2007  Saldırının kaynagının Çin ya da Rusya oldugu tahmin edilmekte (istihbarat)  2005’te Başkent Rio de Janerio’nun kuzeyinde 3 farklı şehri etkilenmiş on binlerce insan karanlığa gömülmüş  2007’de Espirito Santo 3 milyondan fazla kişi elektrik kesintilerinden etkilenmiş , Vitoria şirketi 7 milyon dolar civarında bir zarara uğramış
VIII. Dragonfly-2011- Siber Casusluk  İçinde Türk enerji şirketlerinin de olduğu sayısı 1000’den fazla Batılı elektrik, petrol boru hattı şirketi ve endüstriyel kontrol sistemi üreticisi şirket etkilendi  Gelişmiş teknikler, saldırıların arkasında bir ya da birkaç devlet/istihbarat örgütü bulunabilir  ‘Pnishing’ denilen e-mail saldırıları, şirket yöneticilerinin hesap bilgilerine erişim
IX. İran Kharg Petrol Terminali-2012  İran’ın petrol ihracatının %90’ını gerçekleştirdiği Kharg adasındaki petrol rafinerisi, tesisleri ve aynı zamanda ülkenin petrol bakanlığının web sitesi hedeflendi.  Virüsün sadece belli verileri toplamaya mı yönelik olduğu yoksa petrol üretim sürecine zarar vermeyi mi hedefledigi netlik kazanmadı.
X. Saudi Aramco-Shamoon-2012  Saldırının İran istihbaratıyla işbirligi halinde çalışan ve önemli sistemlere erişimi olan bir Aramco çalışanı tarafından başlatıldı.  Şirketin 30.000 ila 55.000 bilgisayarındaki bilgiler geri dönülemez şekilde silindi ve tahrip edildi.  Ulusal ve uluslararası petrol üretimi ve akışı operasyonlarına zarar gelmedi.
BÖLÜM-II Türkiye Kritik Enerji Altyapılarını Hedef Alan bir Vaka Çözümlemesi: Satır Operasyonu-2014 2014 Aralık ayında, İran’lı hackerların Türkiye’ye sızdığı ve Türk enerji şirketlerini hedef aldığı haberleri Türk basınında yer buldu.
I. Satır Operasyonu-2014  Cylance16 ülkenin ve 50 şirketin gizli belgelerini içeren altyapılara sızıldı ve operasyonu yaklaşık 2 sene sürdürüldü.  4 aşamalı bir çözümleme kaynak, hedef, saldırı biçimi ve sonuçlar
II. Satır Operasyonu- Kaynak  CylanceSaldırının sponsor bir devlet ya da devletler tarafından desteklenen, orta seviyede bir bütçeyle çalışmış, teknik becerileri ileri seviyede en az 20 kişiden oluşan bir hacker grubu tarafından gerçekleştirildi  IP adresleri ve saldırıyı gerçekleştiren hacker isimleri incelendiğindeİranlı hackerlar  Stuxnet’in intikamı??
III. Kaynak: İran’ın Siber Kapasitesi  Stuxnet’ saldırısı, ardından yine İran’ın enerji ve kritik altyapılarını hedef alan Duqu, Flame ve Gauss gibi saldırılar İran için bir ‘uyanış çağrısı’  Siber silahlanmaya ciddi bir kaynak  İran’ın siber silahları kullanma biçimi !!!  Siber casusluk ya da ticari bilgi çalmak gibi faaliyetlerin ötesinde siber kapasitesini ‘misilleme’ ve ‘caydırıcılık’ faaliyetleri için geliştirmekte.
IV. Hedef: Kritik Altyapılar  Satır Operasyonunun kapasitesi ve etki alanı henüz tam anlamıyla çözülemedi.  16 ülkeden en az 50 şirketin hedef  Kanada, Kuveyt, Güney Kore, Çin, Meksika, U.K, Pakistan, Türkiye, Fransa, Katar, Almanya, Amerika Birleşik Devletleri, Hindistan, Suudi Arabistan ve İsrail  Petrol ve doğalgaz şirketleri saldırının esas hedefi + askeri altyapılar, kimya şirketleri, ulaştırma şirketleri, havaalanları, hastaneler, iletişim ve kamu altyapıları
V. Modus Operandi (Saldırı Biçimi):  Basit bir siber saldırının ya da siber casusluk operasyonunun çok daha ötesinde  Saldırı ticari amaçlarla bilgi toplamak için degil kritik bilgileri ele geçirmek amacıyla yapılmış  SCADA sistemleri gibi Endüstriyel Kontrol Sistemlerine sızabilme ya da onları ele geçirebilme yeteneğine ilişkin bir bulgu yok  Stratejik bilgilerin siber dünyadan öte fiziksel zarar verme hedefiyle kullanılabilir !
VI. Sonuç Yerine: Büyük Resmi Anlamak  Kritik altyapıları hedef alan siber saldırılar ‘caydırıcılık’ gücü veren stratejik bilgilerin ele geçirilmesi amacıyla yapılıyor. (Siber Soguk Savaş)  Siber silahlar politik bir araç olarak da görülmekte ve bazı ülke ve şirketlerin enerji arzını tehdit edebilecek boyutlara gelmektedir. (Dragonfly)  Hedef Odaklı Saldırılar’ bir gerçeklik haline geldi. Ancak, siber silahlar, nükleer silahlara benzer şekilde kullanıldıktan sonra etkilerini yitirdiklerinden devletler ve devlet dışı aktörler siber silahlarını ve siber kapasitelerini açıklamaktan ve kullanmaktan kaçınıyor.  Saldırıların gerçekleştirilebilmesi için şirket içerisinden, kritik sistemlere ve bilgilere erişimi olan çalışanların yardımına ihtiyaç duyulmakta. (Insider)
BÖLÜM III- Bu Saldırılardan Neler Öğrendik? Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 1. Siber Güvenlikte En Zayıf Halka İnsandır: Eğitimin Önemi Stuxnet operasyonu, teknik açıdan tüm gelişmişligine ragmen, insan hatası olmasaydı gerçekleşmeyecekti ! ‘İnsan merkezli’ düşünerek güvenlik algısı oluşturmak gereklidir.
Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 2. ‘Son Kullanıcı Farkındalığı’: Şifreler ve Davranış Kodları Güçlü ve bütüncül bir şirket güvenlik kültürü Belirli standartlar ve şirket çalışanları için ‘doğru davranış kodları Güçlü şifre politikaları Şirket içi şifre, kullanıcı bilgileri, hassas bilgi ve belgelerin paylaşımı, kötü amaçlı e- mailler
Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 3. Tehditlere Değil Zafiyetlerinize Odaklanın  ‘Self Assessment Tool’  ‘Check List’  ICS-CERT ve diğer siteler tarafından yayınlanan zafiyet ve saldırıların takip edilerek yama ve önlemlerin zamanında alınması .
Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 4. Anahtar Sistemlerinizi İzole Edin ve Düzenli Olarak İzleyin-Belgelendirin !  SCADA Kontrolü ve şirkete ait hayati önem taşıyan bilgi teknolojisi ağlarının diğer tüm ağlardan ayrılması  SCADA konrol merkezlerine erişimin denetlenmesi  SCADA sunucularının kilit altına alınması  Tüm denetim ve izlemelerden sonra tarih, saat ve sonuçların kayıt altına alınması yani belgelendirilmesi
Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 5. Senaryolaştırın ve Oynayın Şirket içi zafiyetlerle beraber, olası siber saldırı senaryolarını tespit edebilecek ve canlandırabilecek ‘Kırmızı Takım’ların (Red Teams) kurulması Senaryolara uygun ‘acil durum eylem planlarının’ ve ‘kurtarma, yedekleme’ planlarının hazırlanması Görev ve sorumlulukların açıkça belirtildiği bir Olay Güvenlik Politikası, Çalıştırmayı Sürdürme Planı ve Kurtarma Tedbirleri Planları
Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 6. Ticari Partnerlerinizi Akıllıca Seçin Kritik altyapı şirketlerinin servis sağlayıcılarının ve beraber çalıştıkları taşeronların siber zafiyetleri SCADA tedarikçisinin ürün güvenlik sertifikasyonlarının talep edilmesi Misafir kullanıcılar, uzaktan erişim sağlayan kullanıcılar ve taşeronlar yani üçüncü taraf yüklenicilere özel erişim kontrol politikalarının geliştirilmesi
Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 7. Sektör içi ve Sektörler Arası Bilgi Paylaşımını Sağlayın Yaşanılan deneyimlerin, çıkarılan derslerin ve ‘en iyi önlemlerin’ paylaşılması Kritik sektörler birbirleriyle karşılıklı bağımlılık ilişkisi içinde !!
Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 8. Millileştirin ve Çeşitlendirin SCADA yazılımlarının geliştirilmesi ve bu çerçevede AR-GE’ye yapılacak yatırımlar Siber insan gücünün yaratılması Pacific North West, Idaho, Sandy, Türkiye’de Ulusal Lab’ler? Birden fazla SCADA tedarikçisinin kullanılmasının sağlanması Çeşitlendirme

Recommandé

Siber güç ve türkiye
Siber güç ve türkiyeSiber güç ve türkiye
Siber güç ve türkiyeMusTafa ARı
 
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014Ahmet Hamdi Atalay
 
Dogal sivi yakacaklar
Dogal sivi yakacaklarDogal sivi yakacaklar
Dogal sivi yakacaklarProf.Dr. İbrahim USLU
 
Istanbul Sözleşmesi - İstanbul Hepimizin Girişimi
Istanbul Sözleşmesi - İstanbul Hepimizin Girişimi Istanbul Sözleşmesi - İstanbul Hepimizin Girişimi
Istanbul Sözleşmesi - İstanbul Hepimizin Girişimi İstanbul Hepimizin Girişimi - İHG
 
1.Hafta Slide
1.Hafta Slide1.Hafta Slide
1.Hafta Slideerince
 
Hafta2_CasusYazılımlar
Hafta2_CasusYazılımlarHafta2_CasusYazılımlar
Hafta2_CasusYazılımlarerince
 
Hafta5_SosyalMuhendislik
Hafta5_SosyalMuhendislikHafta5_SosyalMuhendislik
Hafta5_SosyalMuhendislikerince
 
Hafta3_WebGüvenliği
Hafta3_WebGüvenliğiHafta3_WebGüvenliği
Hafta3_WebGüvenliğierince
 

Recommandé

Siber güç ve türkiye
Siber güç ve türkiyeSiber güç ve türkiye
Siber güç ve türkiyeMusTafa ARı
 
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014Ahmet Hamdi Atalay
 
Dogal sivi yakacaklar
Dogal sivi yakacaklarDogal sivi yakacaklar
Dogal sivi yakacaklarProf.Dr. İbrahim USLU
 
Istanbul Sözleşmesi - İstanbul Hepimizin Girişimi
Istanbul Sözleşmesi - İstanbul Hepimizin Girişimi Istanbul Sözleşmesi - İstanbul Hepimizin Girişimi
Istanbul Sözleşmesi - İstanbul Hepimizin Girişimi İstanbul Hepimizin Girişimi - İHG
 
1.Hafta Slide
1.Hafta Slide1.Hafta Slide
1.Hafta Slideerince
 
Hafta2_CasusYazılımlar
Hafta2_CasusYazılımlarHafta2_CasusYazılımlar
Hafta2_CasusYazılımlarerince
 
Hafta5_SosyalMuhendislik
Hafta5_SosyalMuhendislikHafta5_SosyalMuhendislik
Hafta5_SosyalMuhendislikerince
 
Hafta3_WebGüvenliği
Hafta3_WebGüvenliğiHafta3_WebGüvenliği
Hafta3_WebGüvenliğierince
 
Hafta4_BilgisayarveErisimGuvenligi
Hafta4_BilgisayarveErisimGuvenligiHafta4_BilgisayarveErisimGuvenligi
Hafta4_BilgisayarveErisimGuvenligierince
 
Hafta6_Dosya Erişim ve Paylaşım Güvenliği
Hafta6_Dosya Erişim ve Paylaşım GüvenliğiHafta6_Dosya Erişim ve Paylaşım Güvenliği
Hafta6_Dosya Erişim ve Paylaşım Güvenliğierince
 
Kerkuk 2012
Kerkuk 2012Kerkuk 2012
Kerkuk 2012Dr.Zeynep Elif Yildizel
 
Global Perspective for Oil and Gas in Energy Policies
Global Perspective for Oil and Gas in Energy PoliciesGlobal Perspective for Oil and Gas in Energy Policies
Global Perspective for Oil and Gas in Energy PoliciesDr.Zeynep Elif Yildizel
 
Kenya afrika
Kenya afrikaKenya afrika
Kenya afrikaDr.Zeynep Elif Yildizel
 
GDA Kazilan Kuyular 2007
GDA Kazilan Kuyular 2007GDA Kazilan Kuyular 2007
GDA Kazilan Kuyular 2007Dr.Zeynep Elif Yildizel
 
6491 Yeni Petrol Kanunu
6491 Yeni Petrol Kanunu6491 Yeni Petrol Kanunu
6491 Yeni Petrol KanunuDr.Zeynep Elif Yildizel
 
Irak Refinery Status 2011
Irak Refinery Status 2011Irak Refinery Status 2011
Irak Refinery Status 2011Dr.Zeynep Elif Yildizel
 
Yasamımız elektrik
Yasamımız elektrikYasamımız elektrik
Yasamımız elektrikglcnpaus
 
Basics for LNG 2011
Basics for LNG 2011Basics for LNG 2011
Basics for LNG 2011Dr.Zeynep Elif Yildizel
 
Git ile versiyon kontrolü
Git ile versiyon kontrolüGit ile versiyon kontrolü
Git ile versiyon kontrolüIlhan Çetin
 
Fieldbus Sistemlerinin Temelleri ve Karşılaştırılması
Fieldbus Sistemlerinin Temelleri ve KarşılaştırılmasıFieldbus Sistemlerinin Temelleri ve Karşılaştırılması
Fieldbus Sistemlerinin Temelleri ve KarşılaştırılmasıMES Sistemleri
 
Geotermal Energy / Jeotermal Enerji
Geotermal Energy / Jeotermal EnerjiGeotermal Energy / Jeotermal Enerji
Geotermal Energy / Jeotermal EnerjiDr.Zeynep Elif Yildizel
 
SIEM – VAR OLAN VERİLERİN ANLAMI - Hacktrickconf
SIEM – VAR OLAN VERİLERİN ANLAMI - HacktrickconfSIEM – VAR OLAN VERİLERİN ANLAMI - Hacktrickconf
SIEM – VAR OLAN VERİLERİN ANLAMI - HacktrickconfMehmet KILIÇ
 
Git Sürüm Takip Sistemi
Git Sürüm Takip SistemiGit Sürüm Takip Sistemi
Git Sürüm Takip Sistemiözge Barbaros
 
Nano ders 2
Nano ders 2Nano ders 2
Nano ders 2Prof.Dr. İbrahim USLU
 
Küresel Isınmanın Faydaları
Küresel Isınmanın FaydalarıKüresel Isınmanın Faydaları
Küresel Isınmanın FaydalarıProf.Dr. İbrahim USLU
 
Kuslar
KuslarKuslar
KuslarProf.Dr. İbrahim USLU
 
Ilk kutuphaneler
Ilk kutuphanelerIlk kutuphaneler
Ilk kutuphanelerProf.Dr. İbrahim USLU
 
Standart model atom alti parcaciklar
Standart model atom alti parcaciklarStandart model atom alti parcaciklar
Standart model atom alti parcaciklarProf.Dr. İbrahim USLU
 
Kritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukKritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukOsman Doğan
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
 

Contenu connexe

En vedette

Hafta4_BilgisayarveErisimGuvenligi
Hafta4_BilgisayarveErisimGuvenligiHafta4_BilgisayarveErisimGuvenligi
Hafta4_BilgisayarveErisimGuvenligierince
 
Hafta6_Dosya Erişim ve Paylaşım Güvenliği
Hafta6_Dosya Erişim ve Paylaşım GüvenliğiHafta6_Dosya Erişim ve Paylaşım Güvenliği
Hafta6_Dosya Erişim ve Paylaşım Güvenliğierince
 
Global Perspective for Oil and Gas in Energy Policies
Global Perspective for Oil and Gas in Energy PoliciesGlobal Perspective for Oil and Gas in Energy Policies
Global Perspective for Oil and Gas in Energy PoliciesDr.Zeynep Elif Yildizel
 
Yasamımız elektrik
Yasamımız elektrikYasamımız elektrik
Yasamımız elektrikglcnpaus
 
Git ile versiyon kontrolü
Git ile versiyon kontrolüGit ile versiyon kontrolü
Git ile versiyon kontrolüIlhan Çetin
 
Fieldbus Sistemlerinin Temelleri ve Karşılaştırılması
Fieldbus Sistemlerinin Temelleri ve KarşılaştırılmasıFieldbus Sistemlerinin Temelleri ve Karşılaştırılması
Fieldbus Sistemlerinin Temelleri ve KarşılaştırılmasıMES Sistemleri
 
SIEM – VAR OLAN VERİLERİN ANLAMI - Hacktrickconf
SIEM – VAR OLAN VERİLERİN ANLAMI - HacktrickconfSIEM – VAR OLAN VERİLERİN ANLAMI - Hacktrickconf
SIEM – VAR OLAN VERİLERİN ANLAMI - HacktrickconfMehmet KILIÇ
 
Git Sürüm Takip Sistemi
Git Sürüm Takip SistemiGit Sürüm Takip Sistemi
Git Sürüm Takip Sistemiözge Barbaros
 

En vedette (20)

Hafta4_BilgisayarveErisimGuvenligi
Hafta4_BilgisayarveErisimGuvenligiHafta4_BilgisayarveErisimGuvenligi
Hafta4_BilgisayarveErisimGuvenligi
 
Hafta6_Dosya Erişim ve Paylaşım Güvenliği
Hafta6_Dosya Erişim ve Paylaşım GüvenliğiHafta6_Dosya Erişim ve Paylaşım Güvenliği
Hafta6_Dosya Erişim ve Paylaşım Güvenliği
 
Kerkuk 2012
Kerkuk 2012Kerkuk 2012
Kerkuk 2012
 
Global Perspective for Oil and Gas in Energy Policies
Global Perspective for Oil and Gas in Energy PoliciesGlobal Perspective for Oil and Gas in Energy Policies
Global Perspective for Oil and Gas in Energy Policies
 
Kenya afrika
Kenya afrikaKenya afrika
Kenya afrika
 
GDA Kazilan Kuyular 2007
GDA Kazilan Kuyular 2007GDA Kazilan Kuyular 2007
GDA Kazilan Kuyular 2007
 
6491 Yeni Petrol Kanunu
6491 Yeni Petrol Kanunu6491 Yeni Petrol Kanunu
6491 Yeni Petrol Kanunu
 
Irak Refinery Status 2011
Irak Refinery Status 2011Irak Refinery Status 2011
Irak Refinery Status 2011
 
Yasamımız elektrik
Yasamımız elektrikYasamımız elektrik
Yasamımız elektrik
 
Basics for LNG 2011
Basics for LNG 2011Basics for LNG 2011
Basics for LNG 2011
 
Git ile versiyon kontrolü
Git ile versiyon kontrolüGit ile versiyon kontrolü
Git ile versiyon kontrolü
 
Fieldbus Sistemlerinin Temelleri ve Karşılaştırılması
Fieldbus Sistemlerinin Temelleri ve KarşılaştırılmasıFieldbus Sistemlerinin Temelleri ve Karşılaştırılması
Fieldbus Sistemlerinin Temelleri ve Karşılaştırılması
 
Geotermal Energy / Jeotermal Enerji
Geotermal Energy / Jeotermal EnerjiGeotermal Energy / Jeotermal Enerji
Geotermal Energy / Jeotermal Enerji
 
SIEM – VAR OLAN VERİLERİN ANLAMI - Hacktrickconf
SIEM – VAR OLAN VERİLERİN ANLAMI - HacktrickconfSIEM – VAR OLAN VERİLERİN ANLAMI - Hacktrickconf
SIEM – VAR OLAN VERİLERİN ANLAMI - Hacktrickconf
 
Git Sürüm Takip Sistemi
Git Sürüm Takip SistemiGit Sürüm Takip Sistemi
Git Sürüm Takip Sistemi
 
Nano ders 2
Nano ders 2Nano ders 2
Nano ders 2
 
Küresel Isınmanın Faydaları
Küresel Isınmanın FaydalarıKüresel Isınmanın Faydaları
Küresel Isınmanın Faydaları
 
Kuslar
KuslarKuslar
Kuslar
 
Ilk kutuphaneler
Ilk kutuphanelerIlk kutuphaneler
Ilk kutuphaneler
 
Standart model atom alti parcaciklar
Standart model atom alti parcaciklarStandart model atom alti parcaciklar
Standart model atom alti parcaciklar
 

Similaire à Kritik Enerji Altyapılarına Gerçekleşmiş Siber Saldırılara İlişkin bir Değerlendirme

Kritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukKritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukOsman Doğan
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriSparta Bilişim
 
Kritik altyapilardasiber guvenlik ahatalay_2020
Kritik altyapilardasiber guvenlik ahatalay_2020Kritik altyapilardasiber guvenlik ahatalay_2020
Kritik altyapilardasiber guvenlik ahatalay_2020Ahmet Hamdi Atalay
 
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!Eylül Medya
 
KritikaltyapıGÜZproje
KritikaltyapıGÜZprojeKritikaltyapıGÜZproje
KritikaltyapıGÜZprojeMehmet Doruk
 

Similaire à Kritik Enerji Altyapılarına Gerçekleşmiş Siber Saldırılara İlişkin bir Değerlendirme (6)

Kritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukKritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel Casusluk
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
 
Kritik altyapilardasiber guvenlik ahatalay_2020
Kritik altyapilardasiber guvenlik ahatalay_2020Kritik altyapilardasiber guvenlik ahatalay_2020
Kritik altyapilardasiber guvenlik ahatalay_2020
 
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!
 
KritikaltyapıGÜZproje
KritikaltyapıGÜZprojeKritikaltyapıGÜZproje
KritikaltyapıGÜZproje
 

Kritik Enerji Altyapılarına Gerçekleşmiş Siber Saldırılara İlişkin bir Değerlendirme

  • 1. Kritik Enerji Altyapılarına Gerçekleşmiş Siber Saldırılara İlişkin bir Degerlendirme Ayhan GÜCÜYENER Kritik Enerji Altyapılarını Koruma Semineri 10-11 Mart, İstanbul
  • 2. GİRİŞ  2007 Estonya Saldırıları The most ‘wired’ nation ! (%95 Online Bankacılık, e-voting, e- hükümet)  Karşı eylem planları Siber saldırılar, kritik altyapılar için ‘yaşamsal’ tehditler olarak algılanmakta  ‘Siber Savaş’ teorileri artık yalnızca bir komplo teorisi ya da efsane degil
  • 3. I. Siber Zarar Bilançosu Yükselmektedir Siber alanda zarar bilançosu artmaktadır. ‘Siber Terörizm’Bir gerçeklik haline geldi. Siber silahlar artık daha gelişmiş ve
  • 4. II. Siber Silahlar Çeşitlenmektedir  Kritik Altyapılar için Büyüyen tehdit APT (Advanced Persistant Threats)  Basit şifre tahmin etme, hesap patlatma, ticari amaçlı data hırsızlıgından Stratejik bilgileri ele geçirme operasyonlarına dogru evrim Bilinen APT saldırıları Stuxnet, Flame, Duqu…
  • 5. III. Siber Silahlar Çeşitlenmektedir: ‘Gelişmiş Sürekli Tehditler’ APT (Advanced Persistant Threats) - Hedef odaklıdır. - Özel ve gelişmiş teknikler kullanır. - Saldırının ve saldırganların fark edilmesi güçtür. - Kalıcıdır, uzun süre fark ettirmeden sistemde kalır. - Arkasında yetkin bir grup ya da ülke vardır. - Ciddi bir hazırlık süreci, yüksek motivasyon ve detaylı bilgi toplama aşaması gerektirir.
  • 6. - Siber saldırıların pek azı bilinmektedir. - Stuxnet, kritik ‘enerji’ altyapılarını hedef almış ilk siber saldırı, siber güvenligin ’11 Eylül’ü ! - StuxnetSofistike, devlet destekli, yüksek bütçeli bir silah, tüm enerji sektörü için bir uyanış çagrısı - Siber saldırılar sınır aşan özelliklere sahiptir. Stuxnet Chevron’un IT sistemlerine sıçramıştır.
  • 7. IV. Kritik Enerji Altyapılarına Yönelik Siber Saldırılar Artmaktadır ABD’de, ICS-CERT’in verilerine göre, 257 siber vakanın %56’sı enerji sektörüne yönelik (2012’de %40)  İngiltere’de siber saldırıların enerji endüstrisine yıllık tahmini zararı 664 milyon dolar.  Siber saldırıların, küresel ölçekte petrol ve dogalgaz endüstrisine zararı 2018’de 1,87 milyar dolar  Enerji güvenligi kavramının kapsamını genişletmek şart (reliable-sustainable-secure- safe..?)
  • 8. V. Türkiye Kritik Enerji Altyapıları ve Siber Saldırılar - Türkiye’ye yönelik siber saldırılar ortalamanın üzerinde (Arbor) - 2014’ün ikinci çeyreginde tüm dünyada %68 azalırken, Türkiye’ye yönelik siber saldırılar %6 artıyor. - Petrol ve dogalgaz şirketlerinin %60’ının bir siber saldırı karşısında ‘acil durum planı’ yok (Oil and Gas Survey) - Dragonfly ve Satır Operasyonları Türkiye’deki kritik enerji altyapılarını da hedefledi (ICS’ler hedef)
  • 9. VI. Bir Enerji Merkezi Olma Yolunda Türkiye ve Siber Güvenlik  Yalnızca birkaç milyon dolara geliştirilebilecek silahlarla bir ülkenin tamamını elektriksiz bırakmak ve ekonomik çöküntüye ugratmak mümkün !  Bir enerji merkezi olma yolunda Türkiye siber saldırılara hazır mı? ? Sorulması gereken sorular:  Türkiye’ye yönelik siber saldırılar hangi aktörlerden, hangi silahlarla gerçekleşebilir? (Kaynak-Yöntem)  Siber saldırılar Türkiye’de hangi kurumu, ne ölçüde hedef alabilir? (Hedef-Kapsam)  Saldırıların sosyal, ekonomik, ticari, siyasal sonuçları ne olur? (Etki-Sonuç)
  • 10. BÖLÜM-I Kritik Enerji Altyapılarına Saldırıların Degerlendirilmesi 1. Trans-Sibirya Boru Hattı Patlaması- 1982 -Devlet destekli (CIA) -Siber teknolojinin enerji altyapılarını hedef aldıgı ilk saldırı -Nükleer olmayan en büyük patlama (3 kiloton TNT) -Siber saldırının fiziki dünyadaki sonuçlarına örnek
  • 11. II. Chevron Acil Durum Alarm Sistemi-1992 -Eski bir Chevron çalışanı (Insider) -Saldırı acil bir durum ortaya çıkana kadar fark edilmiyor -Sistem 10 saat boyunca kapalı kalmış, insan yaşamı tehlikeye girmiş
  • 12. III. Salt Nehri Projesine Saldırı- 1994 -Salt Nehri Projesinin bir çalışanı projenin bilgisayar agına erişmeyi başarmış (Insider) -Müşteri bilgilerinden finansal detaylara, şifre ve oturum açma bilgilerine kadar birçok kritik bilgiyi ele geçirmiş
  • 13. IV. Bellingham Boru Hattı Patlaması-1999 Saldırı degilEn zayıf halka olarak ‘insan’ (İnsan Hatası) -SCADA sisteminden kaynaklanan bir hata -3 kişi hayatını kaybetmiş, 8 kişi dumandan zehirlenmiş -45 milyonluk bir zarar ortaya çıkmış -58.000 kullanıcı elektriksiz kalmış -Birçok mülk zarar görmüş -Petrol sızması önemli bir çevre kirliliği
  • 14. V. Gazprom-2000  Devlet/İstihbarat Destekli  Saldırganlar şirket içinden bir çalışanla işbirligi yapmış (insider)  Kullanıcıların faaliyetleri anlık izlenmiş, ana kontrol paneline erişim saglanmış
  • 15. VI. Davis-Besse Nükleer Tesisi- 2003  İzole olduğu düşünülen şirket bilgisayar ağına, şirketin dışarıdan çalıştığı bir danışmanın vasıtasıyla Slammer solucanı bulaşmış  Güvenlik sadece kritik hizmetler veren sektörlere ve sektörlerin sınırlarına baglı degil  3. Firmalar ve taşeronların erişimleri ve yetkileri büyük problemler yaratabilir
  • 16. VII. Brezilya-Espirito Santo-Elektrik Sistemlerine Saldırı-2005/2007  Saldırının kaynagının Çin ya da Rusya oldugu tahmin edilmekte (istihbarat)  2005’te Başkent Rio de Janerio’nun kuzeyinde 3 farklı şehri etkilenmiş on binlerce insan karanlığa gömülmüş  2007’de Espirito Santo 3 milyondan fazla kişi elektrik kesintilerinden etkilenmiş , Vitoria şirketi 7 milyon dolar civarında bir zarara uğramış
  • 17. VIII. Dragonfly-2011- Siber Casusluk  İçinde Türk enerji şirketlerinin de olduğu sayısı 1000’den fazla Batılı elektrik, petrol boru hattı şirketi ve endüstriyel kontrol sistemi üreticisi şirket etkilendi  Gelişmiş teknikler, saldırıların arkasında bir ya da birkaç devlet/istihbarat örgütü bulunabilir  ‘Pnishing’ denilen e-mail saldırıları, şirket yöneticilerinin hesap bilgilerine erişim
  • 18. IX. İran Kharg Petrol Terminali-2012  İran’ın petrol ihracatının %90’ını gerçekleştirdiği Kharg adasındaki petrol rafinerisi, tesisleri ve aynı zamanda ülkenin petrol bakanlığının web sitesi hedeflendi.  Virüsün sadece belli verileri toplamaya mı yönelik olduğu yoksa petrol üretim sürecine zarar vermeyi mi hedefledigi netlik kazanmadı.
  • 19. X. Saudi Aramco-Shamoon-2012  Saldırının İran istihbaratıyla işbirligi halinde çalışan ve önemli sistemlere erişimi olan bir Aramco çalışanı tarafından başlatıldı.  Şirketin 30.000 ila 55.000 bilgisayarındaki bilgiler geri dönülemez şekilde silindi ve tahrip edildi.  Ulusal ve uluslararası petrol üretimi ve akışı operasyonlarına zarar gelmedi.
  • 20. BÖLÜM-II Türkiye Kritik Enerji Altyapılarını Hedef Alan bir Vaka Çözümlemesi: Satır Operasyonu-2014 2014 Aralık ayında, İran’lı hackerların Türkiye’ye sızdığı ve Türk enerji şirketlerini hedef aldığı haberleri Türk basınında yer buldu.
  • 21. I. Satır Operasyonu-2014  Cylance16 ülkenin ve 50 şirketin gizli belgelerini içeren altyapılara sızıldı ve operasyonu yaklaşık 2 sene sürdürüldü.  4 aşamalı bir çözümleme kaynak, hedef, saldırı biçimi ve sonuçlar
  • 22. II. Satır Operasyonu- Kaynak  CylanceSaldırının sponsor bir devlet ya da devletler tarafından desteklenen, orta seviyede bir bütçeyle çalışmış, teknik becerileri ileri seviyede en az 20 kişiden oluşan bir hacker grubu tarafından gerçekleştirildi  IP adresleri ve saldırıyı gerçekleştiren hacker isimleri incelendiğindeİranlı hackerlar  Stuxnet’in intikamı??
  • 23. III. Kaynak: İran’ın Siber Kapasitesi  Stuxnet’ saldırısı, ardından yine İran’ın enerji ve kritik altyapılarını hedef alan Duqu, Flame ve Gauss gibi saldırılar İran için bir ‘uyanış çağrısı’  Siber silahlanmaya ciddi bir kaynak  İran’ın siber silahları kullanma biçimi !!!  Siber casusluk ya da ticari bilgi çalmak gibi faaliyetlerin ötesinde siber kapasitesini ‘misilleme’ ve ‘caydırıcılık’ faaliyetleri için geliştirmekte.
  • 24. IV. Hedef: Kritik Altyapılar  Satır Operasyonunun kapasitesi ve etki alanı henüz tam anlamıyla çözülemedi.  16 ülkeden en az 50 şirketin hedef  Kanada, Kuveyt, Güney Kore, Çin, Meksika, U.K, Pakistan, Türkiye, Fransa, Katar, Almanya, Amerika Birleşik Devletleri, Hindistan, Suudi Arabistan ve İsrail  Petrol ve doğalgaz şirketleri saldırının esas hedefi + askeri altyapılar, kimya şirketleri, ulaştırma şirketleri, havaalanları, hastaneler, iletişim ve kamu altyapıları
  • 25. V. Modus Operandi (Saldırı Biçimi):  Basit bir siber saldırının ya da siber casusluk operasyonunun çok daha ötesinde  Saldırı ticari amaçlarla bilgi toplamak için degil kritik bilgileri ele geçirmek amacıyla yapılmış  SCADA sistemleri gibi Endüstriyel Kontrol Sistemlerine sızabilme ya da onları ele geçirebilme yeteneğine ilişkin bir bulgu yok  Stratejik bilgilerin siber dünyadan öte fiziksel zarar verme hedefiyle kullanılabilir !
  • 26. VI. Sonuç Yerine: Büyük Resmi Anlamak  Kritik altyapıları hedef alan siber saldırılar ‘caydırıcılık’ gücü veren stratejik bilgilerin ele geçirilmesi amacıyla yapılıyor. (Siber Soguk Savaş)  Siber silahlar politik bir araç olarak da görülmekte ve bazı ülke ve şirketlerin enerji arzını tehdit edebilecek boyutlara gelmektedir. (Dragonfly)  Hedef Odaklı Saldırılar’ bir gerçeklik haline geldi. Ancak, siber silahlar, nükleer silahlara benzer şekilde kullanıldıktan sonra etkilerini yitirdiklerinden devletler ve devlet dışı aktörler siber silahlarını ve siber kapasitelerini açıklamaktan ve kullanmaktan kaçınıyor.  Saldırıların gerçekleştirilebilmesi için şirket içerisinden, kritik sistemlere ve bilgilere erişimi olan çalışanların yardımına ihtiyaç duyulmakta. (Insider)
  • 27. BÖLÜM III- Bu Saldırılardan Neler Öğrendik? Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 1. Siber Güvenlikte En Zayıf Halka İnsandır: Eğitimin Önemi Stuxnet operasyonu, teknik açıdan tüm gelişmişligine ragmen, insan hatası olmasaydı gerçekleşmeyecekti ! ‘İnsan merkezli’ düşünerek güvenlik algısı oluşturmak gereklidir.
  • 28. Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 2. ‘Son Kullanıcı Farkındalığı’: Şifreler ve Davranış Kodları Güçlü ve bütüncül bir şirket güvenlik kültürü Belirli standartlar ve şirket çalışanları için ‘doğru davranış kodları Güçlü şifre politikaları Şirket içi şifre, kullanıcı bilgileri, hassas bilgi ve belgelerin paylaşımı, kötü amaçlı e- mailler
  • 29. Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 3. Tehditlere Değil Zafiyetlerinize Odaklanın  ‘Self Assessment Tool’  ‘Check List’  ICS-CERT ve diğer siteler tarafından yayınlanan zafiyet ve saldırıların takip edilerek yama ve önlemlerin zamanında alınması .
  • 30. Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 4. Anahtar Sistemlerinizi İzole Edin ve Düzenli Olarak İzleyin-Belgelendirin !  SCADA Kontrolü ve şirkete ait hayati önem taşıyan bilgi teknolojisi ağlarının diğer tüm ağlardan ayrılması  SCADA konrol merkezlerine erişimin denetlenmesi  SCADA sunucularının kilit altına alınması  Tüm denetim ve izlemelerden sonra tarih, saat ve sonuçların kayıt altına alınması yani belgelendirilmesi
  • 31. Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 5. Senaryolaştırın ve Oynayın Şirket içi zafiyetlerle beraber, olası siber saldırı senaryolarını tespit edebilecek ve canlandırabilecek ‘Kırmızı Takım’ların (Red Teams) kurulması Senaryolara uygun ‘acil durum eylem planlarının’ ve ‘kurtarma, yedekleme’ planlarının hazırlanması Görev ve sorumlulukların açıkça belirtildiği bir Olay Güvenlik Politikası, Çalıştırmayı Sürdürme Planı ve Kurtarma Tedbirleri Planları
  • 32. Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 6. Ticari Partnerlerinizi Akıllıca Seçin Kritik altyapı şirketlerinin servis sağlayıcılarının ve beraber çalıştıkları taşeronların siber zafiyetleri SCADA tedarikçisinin ürün güvenlik sertifikasyonlarının talep edilmesi Misafir kullanıcılar, uzaktan erişim sağlayan kullanıcılar ve taşeronlar yani üçüncü taraf yüklenicilere özel erişim kontrol politikalarının geliştirilmesi
  • 33. Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 7. Sektör içi ve Sektörler Arası Bilgi Paylaşımını Sağlayın Yaşanılan deneyimlerin, çıkarılan derslerin ve ‘en iyi önlemlerin’ paylaşılması Kritik sektörler birbirleriyle karşılıklı bağımlılık ilişkisi içinde !!
  • 34. Kritik Enerji Sektörüne ‘Teknik Olmayan’ Öneriler 8. Millileştirin ve Çeşitlendirin SCADA yazılımlarının geliştirilmesi ve bu çerçevede AR-GE’ye yapılacak yatırımlar Siber insan gücünün yaratılması Pacific North West, Idaho, Sandy, Türkiye’de Ulusal Lab’ler? Birden fazla SCADA tedarikçisinin kullanılmasının sağlanması Çeşitlendirme