Son yıllarda gelişen teknoloji trendleri bizi daha bağlı ve birbirimize bağlantılı hale getirmesi Nesnelerin İnterneti Siber güvenlik Önlemleri konusunu da gündeme getirdi.. Otonom araçlar birbirinden bilgi alarak daha güvenli olacağımızı anlatmakta, akıllı cihazlar bizi çok daha konforlu ve güvenli bir yaşam ve çalışma ortamı sunacağı, uzaklarda iken değerli eşya, kişi v.b. gözetilerek güvenliklerini sağlayabileceklerini her yeni haber, makale ve reklamda bize altın tepsilerde sunulmaktadır.
Peki gerçekten de öyle mi? Bağlı olmak veya bağlantıda kalmak bizi güvenli hale getirdiğini savunsa da aslında tehlikeye mi atmaktadır?
Akıllı Cihaz mı Akıllı İnsan mı?
Akıl aslında bizi hayvanlarda ayıran en önemli özelliktir. Biyoloji dersinde en azından böyle anlatılmıştı. Durumu irdeleyebilir ve ona göre aksiyonlarda bulunabilir, sonsuz seçenekler içinde bize en uygun olanı seçer ve harekete geçebiliriz. Teknolojinin bize sağladıkları aslında bu karar verme sürecini biraz daha hızlı yapmak, bazı durumlarda ise bizim yerimize karar vermesini sağlamaktır.
Evlerimizde eski tip TV setleri yerinde görüntü kalitesinin yüksek olmasının yanında internete bağlı Akıllı TV’ler, yollarda giderken internete bağlı araç kullanmaya, mobil telefonlardan söz bile etmiyorum ki, çoğumuzda birden fazla cihaz cebimizde (şirket hatları, özel hatlar v.b.).
Son aylarda Mark Zuckerberg ile Elon Musk ın sanal zekalı robotlar konusundaki tartışmayı hatırlayabiliriz belki de. İnsanlar karar verme yetilerini cihazlara bırakınca ne kadar büyük bir tehlikeye maruz kaldıklarını farkında bile olmadıkları kimi görünen saldırılardan ortaya çıkmaktadır.
Enerji sistemlerine yapılan saldırılar
Anahtar kelime STUXNET. Devlet tarafından geliştirilmiş, basit bir bakım çalışması sırasında yüklenmiş, kuluçkaya yatmış, ÖĞRENEREK en doğru saldırı anını seçerek aktif hale İran Hükümetinin nükleer zenginleştirme programını hedef alan virüs saldırısını sanırım pek çok kişi duymuştur veya okumuştur. Olay o kadar kritik ki kitapların yayınlanmasının yanında belgeseli bile çekilmiştir. ABD karşıtı olan İran Hükümetine saldırının aslında ABD ve destekçisi İsrail tarafından yapıldığı defalarca dile getirildi. Söz konusu saldırının tazeliğini korurken, gene ABD karşıtı olan Venezuela da benzer olaylar ardı ardına yaşanması devlet saldırısını yeniden gündeme getirmiştir. “WannaCry” ve “Petya” gibi benzer amaçlar güden ve milyonlarda dolar zarara yol açmış ve insan hayatını ciddi anlamda etkilenmiştir.
Yaşanmış bazı başka olayları World Energy Council (Dünya Enerji Konseyi) tarafından tek sayfalık bir görsel ile sunulmuştur “The road to resilience managing cyber risks”. Ukrayna, ABD, Suudi Arabistan, hatta İsrael v.b. ülkelerde de görülmüş ve kimse etkilerinden kaçamamıştır.
Yaşanan zararlar arasında insanların enerjisiz kalması, elektrik enerjisine dayalı pek çok hizmetin yapılamaması, engellenmesi, elektrik enerji üretimin aksaması, arz-talep dengesinin bozulması v.b. sorunlar yaşanmıştır ve yaşanacaktır. Hatta 2015 yılında yaşadığımız ve tüm Türkiye’yi etkisi altına alan enerji kesintisinin de bu tip bir saldırı olduğu bile dile getirilmiştir.
Bilgi İşlem sistemleri enerji ve benzeri kritik altyapılara daha fazla erişirken, oluşan bağlı dünyalar sendromu ne yazık ki ciddi güvenlik açıklarını da beraberinde getirmektedir.
Bağlı olmanın kaçınılmaz riski
Bu yıl (2019) DEFCON (Las Vegas / ABD) da ele alınan konular arasında bağlı dünyaların riski, IoT World Today (Brian Buntz / 15 Ağustos 2019) de bir makaleye dönüşmüştür. Yukarıda sıralanan kısa olayların yanı sıra çok daha ciddi sıkıntıların yaşanabileceğini belirtilmektedir. Potansiyel riskler arasında güvenlik kameraları, akıllı TV ‘ler, akıllı araçlar, güvenlik kameraları v.b. anılırken, birkaç ay önce İngiltere de yaşanan bir sorunu hatırladım.
İngiltere, Avrupa genelinde Akıllı Sayaç ortamına geçen ilk ülkelerden birisi olmakla beraber, uygulamayı yavaşlatma kararı aldı. Benzer durum ABD de de yaşanmış. Konu konut ve kişisel verilerin güvenliğiydi. Tüketim bilgilerinden yola çıkarak, evde hangi saatlerde bulunulacağı döngülerin, akıllı sayaçlara yüklenecek ödeme verilerin çalışabileceği, hesap bilgilerin ifşa edileceği v.b. sıralanmıştır.
Aslında bağlı olmanın avantajları kadar riskleri de bir o kadar büyüktür. Brian Buntz un makalesinde sıralanan 12 IoT tehditlerinden söz ediliyor ki, Hacker lerin yeni hedefi özellikle IoT cihazları olacağı konusunda bir ortak görüş var. Yazıda yer alan ve bizim de mutlaka dikkate almamız gereken bazı kritik uyarılar.
Olası örnekler
Bağlı sistemlerin bize yaşatabileceği olası sorunları kısa birkaç örneklerle sunmak isterim.
Programlanabilen Mantıksal Denetleyiciler (PLC)
Cihazlar daha çok endüstri de kullanılmakta ve bazı enerji çözümlerde de görülmektedir. Aslında biraz “akılsız” olan bu cihazlara komut gönderilir ve “YAP” denileni yapar, denetleme veya irdeleme yapılmaz.
Bir düşünün kritik bir ortamda birisi cihazlara durmaması gereken bir ortamda “DUR” komutu giderse ne olur? Su şebekesinde su verilmesi gereken yerde DUR denilirse, enerji üretiminde türbinlere bir anda DUR denilirse, trafikte ışıklar bir anda SÖNERSE, ya da tersi durması gerekenler DEVAM ET denilirse oluşabilecek faciaları düşünün.
Akıllı Sayaçlar
Yukarıda kısaca kişisel verilerin riski anlatılmış ve bunun dışında da sayaçlarınıza yüklenen kredilerin çalındığını, elektronik verilerinize erişebilmek için RANSOMWARE de olduğu gibi PARA istenirse, çalışması gereken bağlı nesnelerin sizden PARA istediğini bir düşünün.
Diğer bir tehdit ise sayaçlar üzerinde bulunan tüketim bilgilerinin silinmesi veya değiştirilmesi hem kurum hem de müşteri açısından istenmeyen durumlar yaşanabilir. Söz konusu değişimin harici değil, güvenli olarak kabul edilen haberleşme sistemi üzerinden geldiğini unutmamak gerekir.
Kurumsal Güvenlik Açıkları
Mobil cihazlar üzerinden hemen herkes kurumsal verilere erişmeye, intranete girmeye ve e-postalarına göz atmaktadır. Cihazlar denenmiş uygulamalarla korunmaması halinde kritik ve hassas verilerin yanlış kişilerin eline geçmesi an meselesidir. İlgili verilere dayanarak şirketlere şantaj yapılabilir, kritik verileri kullanarak sanayi casusluğu yapılabilir, çok önemli anlaşmaların maddeleri ifşa edilebilir, hatta haritalarda bile görünmemesi gereken kimi kritik tesisin açıkları ortaya çıkabilir.
Akıllı TV ler
Hangi yayınları izlediğinizi kayıt edildiğini ve paylaşıldığını söylersem, nasıl hissedersiniz? Kimi TV üreticileri yeni nesil Akıllı Cihazlarla elde ettikleri verileri üçüncü şahıslarla paylaşmakta olduğunu ve bundan ek kazanç elde ettiğini, izininiz olmadan paylaşıldığını vurgulamak isterim.
Diğer bir konu ise kameralar. Laptop lar üzerinde bulunan kameranın sizi görüntülememesi için kağıt ile kapatan arkadaşlar, evdeki akıllı TV nin kamerasını kapatmak için benzer bir şey yapıyor mu? İnternet e bağlı olan TV setiniz uzaktan kamerası siz farkında olmadan açılabildiğini ve siz TV yi izlerken, başkasının sizi izlediğini desem nasıl hissedersiniz?
İnternet e bağlanmak için WiFi a otomatik bağlanılırsa nasıl hissedersiniz? Akıllı TV sadece görüntü kalitesini artırarak evinize veya iş yerinize gelmiyor.
Otonom veya bağlı araçlar
Tamamen elektronik donanımla yeniden düzenlenen arabalarımızın yolda diğer araçlardan bilgi alıp verdiğini, yolda giderken hızınızı, telefon kullanım alışkanlıklarınızı, mikrofondan sizi dinleyebildiğini, hatta dış müdahale ile aracınıza hükmedildiğini desek? Yakıt tüketimini artırarak, azaltarak, aküyü aşırı şarj ederek veya deşarj ederek v.b. müdahaleler ne yazık ki olası örnekler arasındadır. Bunlar Hollywood sinemalarından gelmiş gibi görünse de artık yeni gerçekliklerdir.
Nesnelerin İnterneti Siber Güvenlik Önlemleri – Kritik Altyapı tesisleri
Güvenliği zedelenmiş veya düzgün yapılmamış kritik altyapılı tesisler (kimyasal, biyolojik, akaryakıt v.b.) dış müdahale ile akıtmamaları gereken tehlikeli maddelerini yanlış yere ve zamanda boşaltması, çevreye ve dolasıyla size ve yakınlarınızı tehdit edebildiğini söylersem ne derdiniz?
Güvenli ortamlar olmadan ASLA
Yazımdaki ŞEYTANI anlatırken yanlış anlaşılmalar olmazsın lütfen. Teknoloji bize HİZMET etmek için var, bizi KÖLELEŞTİRMEK ve KONTROLÜ kaybettirmek için değil. Güvenlik önlemlerinin doğru dürüst uygulamadan, bağımsız kurumlarca denetlemeden, devamlı olarak iyileştirme önlemleri olmadan uygulanmamalıdır.
Önlemler nasıl alınmalıdır? Aslında bunun basit bir yanıtı olmadığını itiraf etmek gerekir, ancak kısmen korunan bir yapı, korunmamış bir yapıdan çok daha iyidir ve ne yazık ki eskiden çokça yapıldığı gibi “Firewall u tak geç arkadaş” düşüncesi de artık uygulanacak bir tarafının olmadığını bilmemiz gerekir.
Nesnelerin İnterneti Siber Güvenlik Önlemleri
Bazı adımları önermek isterim:
- Bağlanılacak hizmetlerin listesi çıkartılmalı ve olası kayıpları / ele geçirilmesi halinde yaşanabilecek kayıplar ve hataların sıralanması gerek
- Korunması için neler yapılabilir? Örnekleri ve daha önce uygulanan güvenlik önlemleri irdelenmeli ve incelenmelidir. Hatalardan ders çıkartılmalıdır
- Bütçe doğru tespit edilmeli, aşırı büyük veya aşırı küçük olmamalıdır.
- Kurum içinde işi sıradan kabul edip alışılageldiği gibi Bilgi İşleme devredilmemeli, ayrı bir GÜVENLİK departmanı oluşturulmalıdır. GÜVENLİK departmanı doğrudan YÖNETİM KURULU veya YÖNETİM KURULU BAŞKANI na rapor vermelidir. Bilgi İşlem departmanı saha uygulama departmanı olmalıdır, denetleyen değil.
- İşi yapabilecek en iyi firma aranmalı ve seçilmelidir. Bulunması konusunda sorunlar varsa bir danışman şirket seçilmeli, seçilen danışman şirketi GÜVENLİK departmanına destek olmalı / asist etmelidir.
- Ayağa kaldırılan sistem BAĞIMSIZ bir kurum tarafından test edilmeli ve saldırılmalıdır. Danışmanlık yapan firma veya başka kurum için departmanlar kesinlikle devrede olmamalıdır.
- Aksaklıklar varsa tespit edilmeli, giderilmeli, yeninden test edilmeli ve saha uygulaması planlanmalıdır.
- Yapılan uygulama GÜVENLİK departmanı tarafından devamlı denetlenmeli, farklı güvenlik uzmanı şirketlerince test edilmeli ve saldırılmalıdır. Malum yeni ve geliştirilmiş saldırılar her zaman olabilir
- GÜVENLİK departmanı şirket içinde devamlı aktif ve hayatta tutulmalıdır.
Bağlı olmak yeni dünyanın gerçekliğidir ve paralelinde güvenlik bir lüks değil bir zorunluluk olduğunu bilmeliyiz. En kritik nokta GÜVENLİK birimi / departmanıdır. Kurumun her departmanı, hizmeti ve uygulaması için uygulanabilir GÜVENLİK YÖNERGELERİ kaleme alınmalı ve uygulandığından emin olunmalıdır. Bunu bir kültür haline getirmeli ve yaşamın bir parçası haline getirmelidir. Bağlı olan her cihaz, nesne, akıllı veya akılsız olsun uygulanmalıdır.
Kişisel kullanımda ise benzer önlemler veya bağımlılık konusunda biraz daha az hevesli olmamız yararımıza olacaktır.
Güvenli ama basit
Nesnelerin İnterneti Siber güvenlik Önlemleri; Güvenlik kaçınılmaz bir olgudur ve mutlaka hayata geçirilmelidir. Çoğu zaman güvenlik karmaşık ve denetlenmesi zor yapılarla karıştırılmakta ve çoğu kez ilerleyen zamanda açıklara neden olmaktadır. Güvenliğiniz basit, uygulanabilir ve etken olsun. Yeni saldırılara karşı geliştirilebilen bir yapı sunmalıdır ve sürdürülebilir bir hizmet olarak yönetilmelidir. Devamlı güncellenmesi, yeni tehditlere karşı ek önlemleri alabilmeli, sunabilmelidir.
Yanlış yerlere bağlanmamak dileğiyle…
Gökhan Yanmaz
Ağustos / Eylül 2019
