İnternet, son yirmi yılda, esas olarak bilim çevreleriyle sınırlı çok küçük bir ağdan, iki milyardan fazla kullanıcıdan oluşan bir küresel ağa kadar, nefes kesici bir genişleme yaşadı. Bilişim sektörü ve BT güvenliği bu devam eden hızlı genişleme ve büyümeye göre çeşitli riskler ve yeniliklere maruz kalmaya devam etmektedir. Sanal genişleme ile daha fazla yayılma ve hala daha fazla uygulamayla beslenen İnternet için yenilikçi uygulamaların artmasıyla, siber bir ekonominin yükselişini, finansal işlemlerin, kilit kontrol sistemlerinin yaygın olarak düzenlemesini, bilgi paylaşımını ve büyük veri depolanmasını içeren bir sistemde nimetleri yanında yeni risk ve tehditleri de getirmiştir.
Pek çok toplumsal ve bilimsel faydaları olmakla birlikte siber alanın da kara ve hava alanları gibi suiistimal, suç ve çatışmaya yabancı olmadığı görülmektedir. Zira insanoğlu tarihsel süreçte her türlü ortamda güç ve menfaat mücadelesi için mevcut olanaklardan en iyi şekilde yararlanma noktasında rekabet ederken çoğunlukla da birbirilerine zarar vererek veya başkalarının afiyetlerinden yararlanarak ilerlemeyi tercih edebilmiştir. Birden fazla finansal sistemi içeren siber ekonomi, kolay kazanç kapılarını araladığı için siber suç, siber terör ve siber savaşları gündeme getirmiştir.
Veri, kimilerine göre yeni bir petrol kaynağı gibi değerli bir avantaj iken kimileri için de hava gibi temel bir ihtiyaç haline gelmiştir. Hassas bilgilerin sanal ağlar üzerinde depolanması, hükümetlere karşı siber casusluğa ve işletmelere karşı siber ekonomik savaşa yol açmıştır. Endüstri 4.0, akıllı şehirler ve IoT uygulamalarının yaygınlaşmasıyla nesnelerin birbirileriyle internet üzerinden iletişimde bulunarak otomasyonun giderek artması iş süreçlerinde verimliliği getirmekle birlikte bu cihazların botnet olarak zombileştirilmesi veya sabotaj için kullanılma riski de artmıştır. İnsan hayatı ve kurumsal kaynaklar siber korsanların sahip olacakları üstünlüklerden dolayı daha fazla tehlikeye girmiştir. Kriz veya çatışma dönemlerinde savaşın hem taktik hem de operasyonel seviyelerinde çeşitli siber saldırı biçimlerine maruz kalındığına şahit olmaktayız.
Günümüzde teknolojinin gelişmesiyle birlikte insan hayatını kolaylaştıran ve üretim süreçlerinde zamanı daha verimli ve üretken hale getiren araç ve yöntemler sürekli yenilenmekte ve gelişmektedir. Bununla birlikte yeni teknoloji, aynı zamanda kötü niyetliler tarafından da kullanılabildiği için bazen sadece kötülük amaçlı olarak da yöntem ve araçlar geliştirilebilmektedir. Bu nedenle etkin bir savunma ile zararların defedilmesi için mevcut risklerin, saldırı yöntemlerinin ve zafiyetlerinin detaylı bir şekilde bilinmesine gerek vardır.
Esasında insanlığın başlangıcı olarak bilinen Hz. Âdem zamanından beri ebedi bir hayatı kazanmak veya kaybetmek noktasında hak ile batıl, hayır ile şer mücadelesi şeytanlar ile melekler arasındaki çekişme gibi durmadan devam etmektedir. Siber alanda da benzer şekilde haksız yere zarar vermek veya suiistimal etmek isteyenler ile bu zararlardan masumları kurtarmak veya caydırmak için çalışan siber güvenlik elemanları ve kurumlar mücadele etmektedirler. Dolayısıyla aslında işin felsefi boyutunda motivasyon ve niyetler aynı olmakla birlikte değişen şey, kullanılan araç ve teknikler, zararların niteliği ile hedeflenen varlıkların niceliğidir. Özellikle bulut sistemlerinin yaygınlaşması, IoT ve mobil uygulamaların hızla yayılmasıyla erişilebilecek hedefler nitelik ve nicelik olarak cazibesini giderek arttırmaktadır. Bu alanda elektronik uygulamaların suiistimal edilmesiyle trilyon dolarları geçen bir ekonomi oluşturduğundan siber güvenlik seviyesinin yükseltilmesi için harcanan bütçe miktarları da hızlı bir şekilde artmaktadır. Öte yandan yapay zeka ile makine öğrenmesine dayanan ileri düzey otomasyon sistemleri de büyük avantajlar sağlarken büyük suiistimal ve zararların gerçekleşmesine de bir potansiyel alan açmıştır.
Son zamanlardaki birçok saldırı maddi menfaat için başlatılmamış, bunun yerine endüstriyel kontrol sistemlerini (ICS) ve yardımcı programlarını bozmaya odaklanmıştır. ICS’ler, Yönetim Bilgi Sistemleri (YBS) ve Kurumsal Kaynak Planlama (ERP) sistemlerine göre nispeten olgunlaşmamış ve ana bilgisayar dünyasındaki diğer sistemlerle karşılaştırıldığında kolay suistimale açık olup, çoğu modern işletim sistemlerinin ve uygulamalarının güvenliğinden yoksundur. Ancak bunların ele geçmesi üretim süreçlerini ciddi bir şekilde olumsuz etkileyebilecektir. Siber alanda başarılı bir saldırı gerçekleştirmek için, saldırgan, ona karşı düzenlenmiş savunmalarını yenmeli veya atlatabilmelidir. Siber savunma durumunda, birkaç temel zayıflık alanı vardır. Birincisi, bazı önemli süreçleri veya fonksiyonları düzenleyen bir endüstriyel gözetim SCADA sistemi gibi, tek hata noktalarının göreceli yaygınlığıdır. Birçok karmaşık sistemde, bu tek hata (single point of faillury) noktalarından taviz vermek, tüm süreci veya tesisi hızlı bir duruşa getirebilir. Bu tür sistemlerin ve ağların performansını düşürmek için siber saldırı başlatılabilir. Saldırılar başarılı olursa, sistemin ya da ağın bölümlerinin düzensiz bir şekilde ya da hiç bozulmamış şekilde işlev görmesine neden olabilirler. En azından, savunmacı sorun gidermek ve sorunu gidermek için çok fazla zaman harcayabilir. SCADA sistemlerinin, kendi tabanlarından sapmalarına neden olarak, düzenledikleri üretim sisteminin, gaz boru hatlarının veya güç jeneratörlerinin arızalanmasına yol açabilir.
Herhangi bir fiziksel sınır geçmeden, siber uzayın kara, hava, uzay ve deniz alanlarının yanında bağımsız bir alan haline geldiği siber çağda, devletler ve devlet dışı aktörler, kritik altyapıları, kurumları, e-devlet hizmet ağlarını ve her türlü insan iletişim biçimini görünmez bir şekilde etkileyebilir, aksatabilir veya işlemez hale getirebilirler. İşin zor tarafı da bazen aktörleri tam olarak tespit etmek ve birilerine sorumluluk yükleyerek tazmin edilmesini sağlamak da giderek güçleşmektedir. Günümüzün bilgi savaşında bireylerin ve kurumların korunması büyük bir zorunluluk haline gelmiştir. Savaşın doğası değiştikçe, uluslararası toplumun yanı sıra devletlerin de hızlı bir şekilde adapte olması gerekmekte, aksi takdirde demokratik kurumlara ve ulusal sistemlere olan inanç ve güven çökecek ve özgür dünyamızda bilinmeyen bir büyüklükte bir hasar getirecektir. Önleme, koruma ve esneklik oluşturma politikalar arası bir yaklaşım ve çoklu disipliner bir bilgi alt yapısı gerektirir. Çünkü bu durumda ulusal güvenlik ve kolluk kuvvetleri tehlikeyi sadece belli bir seviyeye kadar çözebilir.
Sosyal mühendislikte kimlik avı için kullanılan en yaygın programlar, Adobe Reader ve insanların internette gezinmeyi kolaylaştırmak için sıklıkla kullandıkları tarayıcı eklenti programlarıdır. Bu bağlamda dikkate alınması gereken bir husus da yazılım güncellemeleri ve yamalardır. Herkes, normalde daha erken yapılan yamanın, riski azaltmanın harika bir yolu olduğunu bilir. Ancak uygulamada özellikle sıfır gün suiistimalleri olarak bilinen güncellemelerin uygulanmasında geç kalınması, kritik ve hassas bilgilerin ele geçmesi veya sistemlere sızılması büyük bir ihtimal olarak değerlendirilmektedir.
Her şeyden çok, her teşebbüsün savunma ve tedbirlerinin en büyük tehditlerle uyumlu olduğundan emin olmaları zor ama gerekli bir durumdur. Endüstri 4.0 ile birlikte, üretim tesisleri IoT cihazlarının entegrasyonunu ve dağıtımını arttırdığı için, bu cihazların imalat, üretim ve kurumsal ağlara karşı getirdiği güvenlik risklerini göz önünde bulundurmak daha da önemli hale gelmektedir. Bağlantılı IoT cihazları ve endüstiyel makineler siber korsanlar tarafından ele geçirilerek kurumlara ve insanlara zarar verecek şekilde kullanılabilirler. Riskli IoT cihazlarının zafiyetlerini tespit edecek analiz sonuçları, üretim aksama süresini, ekipmanın hasar görmesini veya felaket ekipmanı arızasını içerebilecek tesisler ve aşırı durumlarda yaşam kaybını içermek durumundadır. Buna ek olarak, potansiyel parasal kayıplar, üretimin aksama süresi ve olayın telafisi ile sınırlı olmayıp gerçek bir olayın ötesinde, aylar hatta yıllar boyunca sürebilen marka itibar kayıplarından para cezalarına, dava masraflarına ve gelir kaybına kadar uzanabilmektedir.
Dr. Ahmet EFE
CISA-CRISC-PMP
Ankara Kalkınma Ajansı İç Denetçisi
ISACA 2018 Küresel Başarı ödül sahibi