Shunlongwei Co. Ltd

Ulusal altyapının güvenliğinin sağlanması

Haberler
Güncelleme: 18 Mayıs 2021

Ulusal altyapının güvenliğinin sağlanması

Ulusal altyapının güvenliğinin sağlanması

Bilgisayar korsanları giderek daha karmaşık hale geliyor ve banka hesaplarından ve akıllı cihazlardan bir ülkenin altyapısını hedef almaya yöneliyor. Sonuç olarak siber güvenlik hiç bu kadar önemli olmamıştı.

Dünyanın her yerinde, modern toplumları destekleyen ve ayakta tutan kritik altyapı, ister ulus devletlerden ister suçlular veya teröristler gibi devletle bağlantılı olmayan aktörlerden saldırı altında.

Bu saldırılar, yalnızca ekipmanlara zarar vermekle kalmayıp aynı zamanda operasyonları kesintiye uğratarak kritik altyapıyı zayıflatabilir ve bu da kuruluşlara çözülmesi milyonlarca sterline mal olabilir.

Ancak tehdidin düzeyine rağmen birçok kuruluş hâlâ karşılaşabilecekleri riskleri ele almakta ve hatta anlamakta başarısız oluyor.

Tesisler, sistemler, siteler, bilgiler, insanlar, ağlar ve süreçlerin tümü, işlevsel ve operasyonel bir toplumun sürdürülmesinde temel kabul edilmektedir.

Avrupa Birliği'ne göre, “Elektrik şebekesi, ulaşım ağı ve bilgi ve iletişim sistemleri, hayati toplumsal işlevlerin sürdürülmesi için gerekli olan 'kritik altyapılar' olarak adlandırılanlar arasındadır. Güvenilir enerji kaynakları veya öngörülebilir ulaşım olmasaydı mevcut yaşam tarzımız mümkün olmazdı.”

Peki altyapımız siber saldırılara karşı ne kadar savunmasız? Günümüzde bombalama kampanyaları gibi fiziksel saldırılar yerini siber saldırılara bırakmıştır; organize edilmesi çok daha ucuz, karşı konulması ise çok daha zordur ve temel hizmetlerin kullanılabilirliği, bütünlüğü ve sunumu üzerinde önemli bir etkiye sahip olabilir.

Saldırıların boyutu şaşırtıcı. Carbon Black'in son raporlarına göre, Birleşik Krallık'taki şirketlerin yüzde 88'i son on iki ay içinde güvenlik ihlallerine maruz kaldı ve Birleşik Krallık'taki küçük bir işletme her 19 saniyede bir saldırıya uğruyor!

Devlet aktörlerine yönelik tehdit de aynı derecede zorlayıcı ve kesinlikle artıyor ve Uluslararası Kriminal Polis Teşkilatına göre, "Dijital ve fiziksel dünyanın örtüşmesi, dünyanın herhangi bir yerinden altyapıyı izlememize ve hatta kontrol etmemize olanak tanırken artık giderek daha da yaygınlaşıyor" tehditlere karşı savunmasızdır.”

Daha fazla bağlantı, modern altyapıların internet tabanlı altyapılara güvenme eğiliminde olduğu anlamına gelir teknoloji işlev görmesi – geçmişte bu tür ağlar bağımsız ve ayrı ayrı kurulup işletiliyordu.

Günümüzün sistemleri, hizmetleri kontrol etmek ve denetlemekten ve bu kontrollü altyapıyla ilgili bilgileri toplayıp göndermekten sorumludur; ancak bu, onları siber saldırılara karşı son derece savunmasız bırakmaktadır.

Bu yılın başlarında bir bilgisayar korsanı Florida'daki bir şehrin su sistemine erişim sağladı ve şehrin su arıtma sistemine 'tehlikeli' miktarda kimyasal pompalamak istedi.

Bu münferit bir vaka değildi. Bu daha önce ABD'de de yaşanmıştı ve 2020'de İsrail'in su kaynaklarına çok sayıda, başarısız da olsa saldırı düzenlendi.

Dünyanın her yerinde su, elektrik, nükleer santraller ve ulaşım, güncelliğini yitirmiş ve savunmasız BT sistemlerinden yararlanmak isteyen bilgisayar korsanları nedeniyle herhangi bir zayıflık belirtisi açısından araştırılıyor.

İnternet tabanlı birbirine bağımlı ve birbiriyle ilişkili altyapımız, siber kesintilere karşı daha savunmasızdır ve saldırılar, 'basamaklı etkiler' nedeniyle yaygın kesintilere neden olabilir.

Interpol'e göre. "Tek bir arıza noktasına yapılacak bir saldırı, doğrudan etkilenen ülkedeki birden fazla hayati sistemin bozulmasına veya yok olmasına yol açabilir ve dünya çapında bir dalgalanma etkisine yol açabilir."

Saldırganlar çeşitlidir ve teröristlerin yanı sıra suç gruplarını, bilgisayar korsanlarını, çalışanları ve casusluk ve bilgi savaşıyla uğraşan yabancı ülkeleri içerir. Sonuç olarak, onların harekete geçme yetenekleri ve onları harekete geçiren güdüler farklılık gösterecektir. Örneğin Florida su sistemi saldırısı hoşnutsuz bir çalışana atfediliyor.

Bu tür saldırılara karşı koymak ve ulusal altyapıyı güvence altına almak için kuruluşların güvenlik açıklarını tespit edebilmeleri ve olaylara hazırlanabilmeleri gerekecektir; bu da yalnızca olası saldırıları tespit etmekle kalmayıp, farklı unsurların ne zaman ve saldırı altında olup olmadığını belirleme becerisini de gerektirir.

Kritik altyapının korunması

Organizasyonlara çevik planlama, uygulama güvenliği ve yazılım tesliminin bir kombinasyonu yoluyla yardımcı olan Digital.ai Güvenlik Ürün Yönetimi Başkan Yardımcısı Paul Dant, "Kritik altyapı koruması, hem fiziksel hem de sanal altyapı sistemlerini güvence altına alan çok yönlü bir yaklaşım gerektirir" dedi. ve dijital ürün ve hizmetler sunmak için yapay zekanın kullanılması.

“Tersine mühendislik ve bilgisayar korsanlarının yazılıma nasıl müdahale edip onu kendi kontrolleri altına alabilecekleri konularını kapsayan uzun yıllardır güvenlikle ilgileniyorum. Bu sorunlar uzun yıllara dayanıyor ancak bugün kritik altyapının karşı karşıya olduğu zorluklarla kesinlikle alakalı.

“Ben, av bekçisine dönüşen kaçak avcı diyebileceğiniz türden biriyim. Oyun geliştirmeye başladım ve zamanla yazılımdaki güvenlik açıklarını gördüm ve güvenlik konusunu ve şirketlerin bu sorunu nasıl çözmeye çalıştığını daha iyi anlamak istedim.

"Yazılım savunmasızdır ve zamanla nükleer santralleri, hastaneleri ve hatta film setlerini inceleyen bir dizi güvenlik değerlendirmesine liderlik ettim."

Kritik altyapının karşı karşıya olduğu tehditlerin anlaşılması ve kuruluşların operasyonlarının siber güvenliğini artırmak için gerekli adımları daha iyi atabilmesi için bu tür değerlendirmeler hayati önem taşıyor.

"Digital.ai'de, şirketlerin dijital ürünleri 'doğru şekilde' oluşturmasına yardımcı olmayı amaçlayan çok daha geniş bir Değer Akışı Yönetimi platformunun parçasını oluşturan uygulama güvenliği ürünleri üzerinde çalışıyorum."

Dant'a göre, endüstriler arasında çok daha fazla dijitalleşme yaşanırken, Digital.ai'nin platformu, kuruluşların, kullanıcıları kritik altyapılara bağlayan güvenli platformlar geliştirmeyle ilgili incelikleri ve karmaşıklıkları daha iyi anlamalarına yardımcı oluyor.

"Doğru yapılmazsa ciddi ihlallere veya sistemlerin çökmesine yol açabilir" uyarısında bulundu.

Dijitalleşmenin hızı da sorunlara neden oluyor ve pek çok şirket, kısmen de olsa COVID-19'un etkisi nedeniyle teknolojiye yönelirken, pek çoğu da konu güvenli platformlar sunma konusunda gerçekten hazırlıklı değil.

“Kuruluşların, siber saldırıların büyümekle kalmayıp sürekli olarak gelişip değiştiğinin farkında olması gerekiyor; Kritik altyapıyı hedef alan bilgisayar korsanlarının faaliyetleri artık otomatikleştiriliyor. Kötü amaçlı yazılım saldırıları genellikle otomatiktir ve sosyal mühendislik, kötü amaçlı yazılımların bir kuruluşun ön kapısına ulaşması için değerli bir araç olmaya devam etmektedir."

Özellikle kritik altyapıya değinen Dant, onu benzersiz kılan birkaç şey olsa da elbette ortak sorunlar ve güvenlik açıkları da bulunduğunu söyledi: "Günün sonunda yalnızca bilgisayarlar ve ağlardan bahsediyoruz."

Altyapının en büyük farkı, çoğu durumda sensörlerin ve "gerçekten eski" olabilecek diğer kritik bileşenlerin etrafında inşa edilmiş olmasıdır.

Dant, "Hem fiziksel olarak hem de bu sistemlerin oluşturulma, geliştirilme ve dağıtılma biçimleri açısından" dedi.

"Bu sistemlerde çok sayıda güvenlik açığı var. Yükseltmek veya daha yeni, daha güvenli bileşenler eklemek için hizmet dışı bırakılması zor olan kritik bileşenler vardır. Dijitalleşmeye olan talep nedeniyle uzaktan bağlantıya olan ihtiyaç artıyor ve bu da bilgisayar korsanlarının erişebileceği bir kanal sağlıyor; her türlü uzaktan bağlantı bir güvenlik riski oluşturuyor.”

Dant'e göre, eğer bu tür tehditlerle mücadele edeceksek (ki son Florida su sistemi saldırısına dikkat çekti), o zaman tehdit modellemenin daha ciddiye alınması gerekiyor.

“Karmaşık terminolojide kaybolma eğilimindedir. Günün sonunda risklerin nerede olduğunu, bunlarla nasıl mücadele edilmesi gerektiğini ve hangilerinin öncelikli olması gerektiğini daha iyi anlamak için bir araçtır.

"Etkili modelleme, tehditleri tanımlayacak ve bu saldırıların etkisini daha iyi anlayacaktır. Bu, organizasyonlar için korkutucu ama kritik bir konu.”

Dant, organizasyonları geciktiren şeyin yalnızca terminoloji değil, maliyet ve gerçekten ne yapılacağını bilememek olduğunu öne sürdü.

Ancak Dant, elektrik şebekesindeki herhangi bir kesintinin felç edici etkisinin altını çizmek için bu yılın başlarında Teksas'ta milyonlarca insanın elektrik kaybına yol açtığı dondurucu sıcaklıkların neden olduğu ABD şebeke kesintilerine dikkat çekti.

"Bu bir siber saldırı olmasa da bir tehdit riski vardı ve uygun bir tehdit yönetiminin uygulanması, bu tehdidi tespit edebilir ve çok farklı sonuçlarla daha iyi planlama yapılmasına olanak sağlayabilirdi."

Ulusal Güvenlik

Yakın zamanda Japonya'dan, Çin ordusunun, bilgisayar korsanlarına ülkenin uzay ajansı ve savunmayla ilgili firmalar da dahil olmak üzere Japonya'daki yüzlerce hedefe saldırma emri verdiğinden şüphelenildiği yönünde haberler çıktı.

Polise göre, Japonya'da birkaç sunucu kiralayan Çinli bir adam, bunları saldırı için kullandı ve sunucuların kimliği ve diğer kimlik bilgileri, çalıştığı düşünülen özel bir hacker grubu olan "Tick" olarak bilinen Çinli bir hacker grubuna aktarıldı. Çin'in ulusal güvenlik otoritelerinin talimatları altında.

Dant, "Her türden hizmet ve kuruluş tehdit altında" diye uyardı. “Sistemleri değerlendirmek için yıllarımı harcadım ama tehdit yalnızca hackleme değil. İnsanlar, uygulamaya konulabilecek herhangi bir güvenliği ortadan kaldıracak hatalar yapıyor."

Dant'a göre hem fiziksel güvenliğin hem de insan bileşeninin dikkate alınması gerekiyor.

“Bir nükleer tesis üzerinde bir değerlendirme yaptım ve sistem güvenli olsa da tesis kesinlikle güvenli değildi; çevredeki çitlerde bir delik vardı. Güvenlik söz konusu olduğunda bütünsel bir yaklaşım olması gerekiyor, aksi takdirde kritik sistemlerinizi savunmasız bırakacaksınız.”

Yapay zekanın saldırılardan ders alma ve ardından gelecekteki saldırılara hazırlanma konusunda önemli bir role sahip olduğu görülüyor.

“Bir rolü olsa da sistemlerin korunması açısından yapay zeka ve makine öğrenimine tamamen inanmıyorum. Saldırıların daha iyi anlaşılmasına yardımcı olabilir ve her ne kadar bilgilendirilmiş olsa da, bu hâlâ büyük oranda bir tahmin oyunudur" dedi Dant. "Saldırılar meşru görünebilir, dolayısıyla her seferinde uyarı almayacağız ve yapay zeka sorunları çözmek için kullanılabilirken bence temel bilgilere geri dönmemiz gerektiğini düşünüyorum; olası tehditler nelerdir, benim değerim nedir ve nasıl olabilir?" Bir güvenlik ihlalinin nasıl bir etkisi olur? Bunu anlamak için karmaşık yapay zeka algoritmalarına ihtiyacınız yok."

Dant'a göre dijitalleşmenin faydalarının güvenlikle dengelenmesi gerekiyor ve konu sistem geliştirmeye geldiğinde mesele yamalar veya güvenlik duvarları değil, ilk etapta tasarımdaki zayıf noktaların ele alınması olmalı.

Hükümet tepkileri

ABD'de Biden yönetimi yakın zamanda dünya çapında yüzbinlerce Microsoft müşterisini etkileyen ve ayrı bir karmaşık saldırı dizisi olan SolarWinds'in hemen ardından gelen agresif bir siber saldırıyı ele almak için birden fazla kurumdan oluşan bir acil durum görev gücü başlattı. Hem İngiltere hem de ABD hükümetleri, yaklaşık 100 ABD şirketi ve dokuz federal kurumun ihlalini Rusya'ya atfetti.

Ancak, ortaya çıkan bariz tehditlere rağmen Başkan Biden'ın 2.25 trilyon dolarlık altyapı planı, tehdit büyüse bile kritik altyapıyı siber saldırılara karşı koruyacak herhangi bir fon içermiyor.

Birleşik Krallık'ta NCSC'nin yeni genel müdürü Lindy Cameron kısa süre önce temel siber hijyenin, fişin nasıl bağlanacağını bilmek kadar önemli bir yaşam becerisi olduğunu ve toplantı odalarında dijital okuryazarlığın finansal okuryazarlık kadar tartışılamaz olduğunu öne sürdü.

Cameron, "Siber güvenlik hâlâ olması gerektiği kadar ciddiye alınmıyor ve Birleşik Krallık'taki toplantı odalarına yerleştirilmiyor" dedi ve son fidye yazılımı vakaları ile SolarWinds ve Microsoft Exchange uzlaşmaları gibi örneklerin siber güvenliğin gerçek tehlikesini gösterdiğini belirtti. İngiltere yüzleri.

Günün sonunda kritik altyapının, onu bozmak isteyenler için mümkün olduğunca sert bir hedef haline getirilmesi ve üretilen ve işlenen verilerin uygun şekilde korunması gerektiği konusunda uyardı.

Ancak hükümetin ve iş dünyasının bu konuyu ele alıp almayacağı henüz bilinmiyor.
«
»