Günümüzde siber saldırılar, kritik altyapılar için ‘yaşamsal’ tehditler olarak algılanmaktadır. Enerji altyapıları da diğer altyapıları belirleyici ve etkileyici doğası gereği 'siber zafiyetler' barındırmaktadır. Bu sunumda bugüne kadar enerji altyapılarına karşı gerçekleşmiş siber saldırılar değerlendirilecek ve 'teknik olmayan' çözüm önerileri sunulacaktır.
Kritik Enerji Altyapılarına Gerçekleşmiş Siber Saldırılara İlişkin bir Değerlendirme
1. Kritik Enerji Altyapılarına
Gerçekleşmiş Siber Saldırılara
İlişkin bir Degerlendirme
Ayhan GÜCÜYENER
Kritik Enerji Altyapılarını Koruma Semineri
10-11 Mart, İstanbul
2. GİRİŞ
2007 Estonya Saldırıları The most ‘wired’
nation ! (%95 Online Bankacılık, e-voting, e-
hükümet)
Karşı eylem planları Siber saldırılar, kritik
altyapılar için ‘yaşamsal’ tehditler olarak
algılanmakta
‘Siber Savaş’ teorileri artık yalnızca bir
komplo teorisi ya da efsane degil
3. I. Siber Zarar Bilançosu
Yükselmektedir
Siber alanda zarar bilançosu artmaktadır.
‘Siber Terörizm’Bir gerçeklik haline geldi.
Siber silahlar artık daha gelişmiş ve
4. II. Siber Silahlar
Çeşitlenmektedir
Kritik Altyapılar için Büyüyen tehdit APT
(Advanced Persistant Threats)
Basit şifre tahmin etme, hesap patlatma,
ticari amaçlı data hırsızlıgından Stratejik
bilgileri ele geçirme operasyonlarına dogru
evrim
Bilinen APT saldırıları Stuxnet, Flame,
Duqu…
5. III. Siber Silahlar
Çeşitlenmektedir: ‘Gelişmiş
Sürekli Tehditler’
APT (Advanced Persistant Threats)
- Hedef odaklıdır.
- Özel ve gelişmiş teknikler kullanır.
- Saldırının ve saldırganların fark edilmesi güçtür.
- Kalıcıdır, uzun süre fark ettirmeden sistemde kalır.
- Arkasında yetkin bir grup ya da ülke vardır.
- Ciddi bir hazırlık süreci, yüksek motivasyon ve
detaylı bilgi toplama aşaması gerektirir.
6. - Siber saldırıların pek azı bilinmektedir.
- Stuxnet, kritik ‘enerji’ altyapılarını hedef almış
ilk siber saldırı, siber güvenligin ’11 Eylül’ü !
- StuxnetSofistike, devlet destekli, yüksek
bütçeli bir silah, tüm enerji sektörü için bir
uyanış çagrısı
- Siber saldırılar sınır aşan özelliklere sahiptir.
Stuxnet Chevron’un IT sistemlerine sıçramıştır.
7. IV. Kritik Enerji Altyapılarına
Yönelik Siber Saldırılar
Artmaktadır ABD’de, ICS-CERT’in
verilerine göre, 257 siber
vakanın %56’sı enerji
sektörüne yönelik (2012’de
%40)
İngiltere’de siber
saldırıların enerji
endüstrisine yıllık tahmini
zararı 664 milyon dolar.
Siber saldırıların, küresel
ölçekte petrol ve dogalgaz
endüstrisine zararı 2018’de
1,87 milyar dolar
Enerji güvenligi kavramının
kapsamını genişletmek şart
(reliable-sustainable-secure-
safe..?)
8. V. Türkiye Kritik Enerji Altyapıları
ve Siber Saldırılar
- Türkiye’ye yönelik siber saldırılar
ortalamanın üzerinde (Arbor)
- 2014’ün ikinci çeyreginde tüm dünyada
%68 azalırken, Türkiye’ye yönelik siber
saldırılar %6 artıyor.
- Petrol ve dogalgaz şirketlerinin %60’ının bir
siber saldırı karşısında ‘acil durum planı’
yok (Oil and Gas Survey)
- Dragonfly ve Satır Operasyonları
Türkiye’deki kritik enerji altyapılarını da
hedefledi (ICS’ler hedef)
9. VI. Bir Enerji Merkezi Olma Yolunda
Türkiye ve Siber Güvenlik
Yalnızca birkaç milyon dolara geliştirilebilecek
silahlarla bir ülkenin tamamını elektriksiz bırakmak
ve ekonomik çöküntüye ugratmak mümkün !
Bir enerji merkezi olma yolunda Türkiye siber
saldırılara hazır mı?
? Sorulması gereken sorular:
Türkiye’ye yönelik siber saldırılar hangi aktörlerden,
hangi silahlarla gerçekleşebilir? (Kaynak-Yöntem)
Siber saldırılar Türkiye’de hangi kurumu, ne ölçüde
hedef alabilir? (Hedef-Kapsam)
Saldırıların sosyal, ekonomik, ticari, siyasal
sonuçları ne olur? (Etki-Sonuç)
10. BÖLÜM-I
Kritik Enerji Altyapılarına Saldırıların
Degerlendirilmesi
1. Trans-Sibirya Boru Hattı Patlaması-
1982
-Devlet destekli (CIA)
-Siber teknolojinin enerji
altyapılarını hedef aldıgı
ilk saldırı
-Nükleer olmayan en
büyük patlama (3 kiloton
TNT)
-Siber saldırının fiziki
dünyadaki sonuçlarına
örnek
11. II. Chevron Acil Durum Alarm
Sistemi-1992
-Eski bir Chevron
çalışanı (Insider)
-Saldırı acil bir durum
ortaya çıkana kadar
fark edilmiyor
-Sistem 10 saat
boyunca kapalı
kalmış, insan yaşamı
tehlikeye girmiş
12. III. Salt Nehri Projesine Saldırı-
1994
-Salt Nehri Projesinin
bir çalışanı projenin
bilgisayar agına
erişmeyi başarmış
(Insider)
-Müşteri bilgilerinden
finansal detaylara,
şifre ve oturum açma
bilgilerine kadar birçok
kritik bilgiyi ele
geçirmiş
13. IV. Bellingham Boru Hattı
Patlaması-1999
Saldırı degilEn zayıf
halka olarak ‘insan’
(İnsan Hatası)
-SCADA sisteminden
kaynaklanan bir hata
-3 kişi hayatını
kaybetmiş, 8 kişi
dumandan zehirlenmiş
-45 milyonluk bir zarar
ortaya çıkmış
-58.000 kullanıcı
elektriksiz kalmış
-Birçok mülk zarar
görmüş
-Petrol sızması önemli
bir çevre kirliliği
14. V. Gazprom-2000
Devlet/İstihbarat
Destekli
Saldırganlar şirket
içinden bir
çalışanla işbirligi
yapmış (insider)
Kullanıcıların
faaliyetleri anlık
izlenmiş, ana
kontrol paneline
erişim saglanmış
15. VI. Davis-Besse Nükleer Tesisi-
2003
İzole olduğu düşünülen
şirket bilgisayar ağına,
şirketin dışarıdan
çalıştığı bir danışmanın
vasıtasıyla Slammer
solucanı bulaşmış
Güvenlik sadece kritik
hizmetler veren
sektörlere ve sektörlerin
sınırlarına baglı degil
3. Firmalar ve
taşeronların erişimleri ve
yetkileri büyük
problemler yaratabilir
16. VII. Brezilya-Espirito Santo-Elektrik
Sistemlerine Saldırı-2005/2007
Saldırının kaynagının
Çin ya da Rusya oldugu
tahmin edilmekte
(istihbarat)
2005’te Başkent Rio de
Janerio’nun kuzeyinde 3
farklı şehri etkilenmiş on
binlerce insan karanlığa
gömülmüş
2007’de Espirito Santo 3
milyondan fazla kişi
elektrik kesintilerinden
etkilenmiş , Vitoria şirketi
7 milyon dolar civarında
bir zarara uğramış
17. VIII. Dragonfly-2011- Siber Casusluk
İçinde Türk enerji
şirketlerinin de olduğu
sayısı 1000’den fazla
Batılı elektrik, petrol boru
hattı şirketi ve
endüstriyel kontrol
sistemi üreticisi şirket
etkilendi
Gelişmiş teknikler,
saldırıların arkasında bir
ya da birkaç
devlet/istihbarat örgütü
bulunabilir
‘Pnishing’ denilen e-mail
saldırıları, şirket
yöneticilerinin hesap
bilgilerine erişim
18. IX. İran Kharg Petrol Terminali-2012
İran’ın petrol ihracatının
%90’ını gerçekleştirdiği
Kharg adasındaki petrol
rafinerisi, tesisleri ve
aynı zamanda ülkenin
petrol bakanlığının web
sitesi hedeflendi.
Virüsün sadece belli
verileri toplamaya mı
yönelik olduğu yoksa
petrol üretim sürecine
zarar vermeyi mi
hedefledigi netlik
kazanmadı.
19. X. Saudi Aramco-Shamoon-2012
Saldırının İran
istihbaratıyla işbirligi
halinde çalışan ve
önemli sistemlere erişimi
olan bir Aramco çalışanı
tarafından başlatıldı.
Şirketin 30.000 ila
55.000 bilgisayarındaki
bilgiler geri dönülemez
şekilde silindi ve tahrip
edildi.
Ulusal ve uluslararası
petrol üretimi ve akışı
operasyonlarına zarar
gelmedi.
20. BÖLÜM-II
Türkiye Kritik Enerji Altyapılarını Hedef
Alan bir Vaka Çözümlemesi: Satır
Operasyonu-2014
2014 Aralık ayında, İran’lı hackerların Türkiye’ye
sızdığı ve Türk enerji şirketlerini hedef aldığı
haberleri Türk basınında yer buldu.
21. I. Satır Operasyonu-2014
Cylance16
ülkenin ve 50
şirketin gizli
belgelerini içeren
altyapılara sızıldı ve
operasyonu yaklaşık
2 sene sürdürüldü.
4 aşamalı bir
çözümleme
kaynak, hedef,
saldırı biçimi ve
sonuçlar
22. II. Satır Operasyonu-
Kaynak
CylanceSaldırının sponsor bir devlet ya
da devletler tarafından desteklenen, orta
seviyede bir bütçeyle çalışmış, teknik
becerileri ileri seviyede en az 20 kişiden
oluşan bir hacker grubu tarafından
gerçekleştirildi
IP adresleri ve saldırıyı gerçekleştiren
hacker isimleri incelendiğindeİranlı
hackerlar
Stuxnet’in intikamı??
23. III. Kaynak: İran’ın Siber Kapasitesi
Stuxnet’ saldırısı, ardından yine İran’ın
enerji ve kritik altyapılarını hedef alan Duqu,
Flame ve Gauss gibi saldırılar İran için bir
‘uyanış çağrısı’
Siber silahlanmaya ciddi bir kaynak
İran’ın siber silahları kullanma biçimi !!!
Siber casusluk ya da ticari bilgi çalmak gibi
faaliyetlerin ötesinde siber kapasitesini
‘misilleme’ ve ‘caydırıcılık’ faaliyetleri için
geliştirmekte.
24. IV. Hedef: Kritik Altyapılar
Satır Operasyonunun kapasitesi ve etki
alanı henüz tam anlamıyla çözülemedi.
16 ülkeden en az 50 şirketin hedef
Kanada, Kuveyt, Güney Kore, Çin, Meksika,
U.K, Pakistan, Türkiye, Fransa, Katar,
Almanya, Amerika Birleşik Devletleri,
Hindistan, Suudi Arabistan ve İsrail
Petrol ve doğalgaz şirketleri saldırının esas
hedefi + askeri altyapılar, kimya şirketleri,
ulaştırma şirketleri, havaalanları,
hastaneler, iletişim ve kamu altyapıları
25. V. Modus Operandi (Saldırı Biçimi):
Basit bir siber saldırının ya da siber
casusluk operasyonunun çok daha ötesinde
Saldırı ticari amaçlarla bilgi toplamak için
degil kritik bilgileri ele geçirmek amacıyla
yapılmış
SCADA sistemleri gibi Endüstriyel Kontrol
Sistemlerine sızabilme ya da onları ele
geçirebilme yeteneğine ilişkin bir bulgu yok
Stratejik bilgilerin siber dünyadan öte
fiziksel zarar verme hedefiyle kullanılabilir !
26. VI. Sonuç Yerine: Büyük Resmi
Anlamak
Kritik altyapıları hedef alan siber saldırılar
‘caydırıcılık’ gücü veren stratejik bilgilerin ele
geçirilmesi amacıyla yapılıyor. (Siber Soguk
Savaş)
Siber silahlar politik bir araç olarak da görülmekte
ve bazı ülke ve şirketlerin enerji arzını tehdit
edebilecek boyutlara gelmektedir. (Dragonfly)
Hedef Odaklı Saldırılar’ bir gerçeklik haline geldi.
Ancak, siber silahlar, nükleer silahlara benzer
şekilde kullanıldıktan sonra etkilerini yitirdiklerinden
devletler ve devlet dışı aktörler siber silahlarını ve
siber kapasitelerini açıklamaktan ve kullanmaktan
kaçınıyor.
Saldırıların gerçekleştirilebilmesi için şirket
içerisinden, kritik sistemlere ve bilgilere erişimi olan
çalışanların yardımına ihtiyaç duyulmakta.
(Insider)
27. BÖLÜM III- Bu Saldırılardan Neler
Öğrendik?
Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
1. Siber Güvenlikte En Zayıf Halka
İnsandır: Eğitimin Önemi
Stuxnet operasyonu, teknik açıdan tüm
gelişmişligine ragmen, insan hatası
olmasaydı gerçekleşmeyecekti !
‘İnsan merkezli’ düşünerek güvenlik algısı
oluşturmak gereklidir.
28. Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
2. ‘Son Kullanıcı Farkındalığı’: Şifreler ve
Davranış Kodları
Güçlü ve bütüncül bir şirket güvenlik kültürü
Belirli standartlar ve şirket çalışanları için
‘doğru davranış kodları
Güçlü şifre politikaları
Şirket içi şifre, kullanıcı bilgileri, hassas bilgi
ve belgelerin paylaşımı, kötü amaçlı e-
mailler
29. Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
3. Tehditlere Değil
Zafiyetlerinize
Odaklanın
‘Self Assessment Tool’
‘Check List’
ICS-CERT ve diğer
siteler tarafından
yayınlanan zafiyet ve
saldırıların takip
edilerek yama ve
önlemlerin zamanında
alınması .
30. Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
4. Anahtar Sistemlerinizi İzole Edin ve Düzenli
Olarak İzleyin-Belgelendirin !
SCADA Kontrolü ve şirkete ait hayati önem
taşıyan bilgi teknolojisi ağlarının diğer tüm
ağlardan ayrılması
SCADA konrol merkezlerine erişimin
denetlenmesi
SCADA sunucularının kilit altına alınması
Tüm denetim ve izlemelerden sonra tarih, saat
ve sonuçların kayıt altına alınması yani
belgelendirilmesi
31. Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
5. Senaryolaştırın ve Oynayın
Şirket içi zafiyetlerle beraber, olası siber
saldırı senaryolarını tespit edebilecek ve
canlandırabilecek ‘Kırmızı Takım’ların (Red
Teams) kurulması
Senaryolara uygun ‘acil durum eylem
planlarının’ ve ‘kurtarma, yedekleme’
planlarının hazırlanması
Görev ve sorumlulukların açıkça belirtildiği
bir Olay Güvenlik Politikası, Çalıştırmayı
Sürdürme Planı ve Kurtarma Tedbirleri
Planları
32. Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
6. Ticari Partnerlerinizi Akıllıca Seçin
Kritik altyapı şirketlerinin servis
sağlayıcılarının ve beraber çalıştıkları
taşeronların siber zafiyetleri
SCADA tedarikçisinin ürün güvenlik
sertifikasyonlarının talep edilmesi
Misafir kullanıcılar, uzaktan erişim sağlayan
kullanıcılar ve taşeronlar yani üçüncü taraf
yüklenicilere özel erişim kontrol
politikalarının geliştirilmesi
33. Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
7. Sektör içi ve Sektörler Arası Bilgi
Paylaşımını Sağlayın
Yaşanılan deneyimlerin, çıkarılan derslerin
ve ‘en iyi önlemlerin’ paylaşılması
Kritik sektörler birbirleriyle karşılıklı
bağımlılık ilişkisi içinde !!
34. Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
8. Millileştirin ve Çeşitlendirin
SCADA yazılımlarının geliştirilmesi ve bu
çerçevede AR-GE’ye yapılacak yatırımlar
Siber insan gücünün yaratılması
Pacific North West, Idaho, Sandy,
Türkiye’de Ulusal Lab’ler?
Birden fazla SCADA tedarikçisinin
kullanılmasının sağlanması Çeşitlendirme