E-Siber.com
M. Mekin Pesen
Sitede 1775 okunmaya değer yazı var.

Kritik Altyapýlara Yönelik Siber Tehditler ve Türkiye için Siber Güvenlik ?nerileri

Dün (29.09.11) Ankara'da Bilgi Güvenliði Derneði tarafýndan gerçekleþtirilen "Siber Güvenlik Çalýþtayý"nda ufuk açýcý bildiriler sunuldu. Bunlardan biri de siber altyapýlarýn iç yapýsýndaki bir takým stratejik ve kritik altyapýlara karþý siber tehditler ve alýnabilecek güvenlik önerilerinden bahsedildiði TÜBÝTAK-BÝLGEM'den araþtýrmacý Bilge Karabacak'ýn bildirisi olan "Kritik Altyapýlara Yönelik Siber Tehditler ve Türkiye için Siber Güvenlik Önerileri" idi.

 

Not: Bu yazýdaki tüm metinler bildirinin kendisinden alýnma bir özettir. Tüm bildiriye sayfanýn en altýnda verilen ilgili resmi baðlantýsýndan ulaþabilirsiniz.

 

Kritik altyapýlar, ekonominin ve devletin iþlemesi için gerekli olan fiziksel ve siber sistemlerdir. Kritik altyapýlar kamu ve özel sektör tarafýndan iþletilen iletiþim, enerji, finans, ulaþým, su sistemleri, acil durum servislerini kapsar ancak bu sistemlerle de sýnýrlý olmayabilir. Geçmiþte kritik altyapýlar fiziksel ve mantýksal olarak ayrýkken, bilgi teknolojilerindeki geliþmeler, kritik altyapýlarýn otomasyonunu, birbirlerine olan baðýmlýlýklarýný ve iliþkilerini gün geçtikçe artýrmaktadýr.

 

 

Kritik altyapýlar ve bilgi teknolojileri (BT) arasýndaki iliþki, BT’yi kullanan kritik altyapýlar, tamamen BT’den oluþan kritik altyapýlar ve SCADA ile kontrol edilen ve izlenen kritik altyapýlar olmak üzere üç ana baþlýkta toplanabilir.

BT’yi kullanan kritik altyapýlar:

  • Ulaþým
  • Bankacýlýk ve finans
  • Saðlýk ve acil durum servisleri
  • Kritik kamu servisleri

 

Tamamen BT’den oluþan kritik altyapýlar:

  • Telekomünikasyon

 

SCADA ile kontrol edilen ve izlenen kritik altyapýlar:

  • Kritik üretim tesisleri
  • Enerji ve su

 

Kritik altyapýlar devlet ve toplum düzeninin saðlýklý bir þekilde iþlemesi için gerekli olan ve birbirleri arasýnda baðýmlýlýklarý olan fiziksel ve sayýsal sistemlerdir. Kritik altyapýlarýn korunmasý konusu geliþmiþ ülkelerin önemli gündem maddelerinden biridir. Çalýþma yapan ülkeler, kritik altyapýlarýn korunmasý ile ilgili yasal ve teknik çalýþmalarda ciddi yol almýþlardýr.

 

Ülkemiz, kritik altyapýlarýný henüz belirlemiþ durumda deðildir. Bu nedenle, kritik altyapýlarýn birbirleri ile olan iliþkileri, bu altyapýlarýn bilgi teknolojilerine baðýmlýlýklarý, kritik altyapýlarýn barýndýrdýðý fiziksel ve sayýsal açýklýklar ve kritik altyapýlara yönelik siber tehditlerin kabiliyetleri konusunda da veri bulunmamaktadýr. Geliþmiþ birçok ülke kritik altyapýlarýn korunmasý ile ilgili programlar yürütmektedir. Bu programlarda, siber tehditler ve bu tehditlere karþý alýnmasý gereken önlemler çok önemli bir yer tutmaktadýr. Ülkemizde de kritik altyapýlarýn korunmasý ile ilgili çalýþmalar gerçekleþtirilmelidir.

 

Makalede kritik altyapý tanýmý yapýlmýþ ve kritik altyapýlarýn siber altyapýya olan baðlýlýðý konusunda deðerlendirmelere yer verilmiþtir. Kritik altyapýlara yönelik gerçekleþtirilen siber güvenlik olaylarýna deðinilmiþtir. Ülkemizin hâlihazýrdaki durumu aktarýldýktan sonra kritik altyapý güvenliði için gerçekleþtirilmesi gereken çalýþmalara yer verilmiþtir.

Makalenin ikinci bölümünde siber altyapýnýn kritik altyapýlar içerisinde yeri ve önemi anlatýlmýþtýr. Ýkinci bölümde kritik altyapýlarý kontrol etmek ve izlemek amacýyla kullanýlan SCADA (Supervisory Control and Data Acquisition) teknolojisinden bahsedilmiþ ve siber tehditlerin SCADA sistemlerini kullanarak kritik altyapýlara verdiði zararlar örnek olaylarla anlatýlmýþtýr.

Makalenin üçüncü bölümünde ülkemizde kritik altyapýlar konusunda geçmiþ senelerde gerçekleþtirilen çalýþmalar özetlenmiþ ve ülkemizin hâlihazýrdaki durumu ortaya konmuþtur.

Makalenin dördüncü bölümünde ülkemizde gerçekleþtirilmesi gereken teknik ve yasal çalýþmalar ayrýntýlý olarak aktarýlmýþtýr. Makalenin beþinci bölümü sonuç bölümüdür.

Sonuç bölümünde siber tehditler ile ilgili gelecek öngörüsü yapýlmýþ ve sonuç ifadelere yer verilmiþtir.

 

Bildiride SCADA sistemlerine yönelik ilk siber tehdit olarak Ýran’ýn nükleer enerji altyapýsýný hedef alan Stuxnet olayý da ele alýnýyor:

"Stuxnet isimli SCADA sistemlerine yönelik programlanmýþ olan ve en karmaþýk siber silah olarak nitelendirilen zararlý yazýlýmdýr. Stuxnet, SCADA sistemler için yazýlmýþ bilinen ilk zararlý yazýlýmdýr. Özellikle Ýran'ýn nükleer tesislerini etkilemiþtir. Bilgi güvenliði uzmanlarý böylesine karmaþýk bir yazýlýmýn ancak ulusal düzeyde bir çabayla yazýlmýþ olabileceðini ve baðýmsýz bilgisayar korsanlarýnýn baþaramayacaðý bir çalýþma olduðu belirtmiþlerdir. Stuxnet yazýlýmý, Ýran’ýn nükleer enerji altyapýsýný hedef alan bir yazýlým olarak uzunca bir süre bilgi ve enerji güvenliði profesyonellerinin gündemini meþgul etmiþtir. Zararlý yazýlým Temmuz 2010’da keþfedilip tanýmlanmýþtýr. Aðustos 2010 tarihi itibarýyla dünyada etkilenen bilgisayarlarýn %60’ýnýn Ýran’da olduðu tespit edilmiþtir. Stuxnet, Ýran’ýn Natanz þehri uranyum iþleme merkezindeki santrifuj sistemlerini ve Bashehr þehrindeki nükleer reaktör türbinlerini hedef almýþtýr. Bu ekipmanlarýn kontrol sistemlerini ele geçirmiþ ve operatörler tarafýndan kullanýlamaz duruma getirmiþtir. Stuxnet’in daha önce hiç bir zararlý yazýlýmda görülmeyen özellikleri tespit edilmiþtir. Öncelikle, sadece nükleer santrallerde kullanýlan belli marka ve model SCADA sistemlerini hedef alan bir yazýlýmdýr."

 

Bildirinin tümüne alttaki baðlantýdan ulaþabilirsiniz. Ýndireceðiniz dosya aslýna bir .ISO dosyasýdýr. Bu dosyayý tekrar CD ortamýna aktarmanýz gerekmektedir.

 

Siber Güvenlik Çalýþtayý Bildirileri: iscturkey.org/calistay/.../siberguvenlik.rar
Bilgi Güvenliði Derneði: http://www.bilgiguvenligi.org.tr/


· · · · · · · · · · · · · ·
Yazan: | 30.09.2011 | 6479 kez okundu.

Yazılar E-Posta Kutunuza Gelsin:

Bu yazıyı izinsiz olarak alıp başka herhangi bir yerde yayınlayamazsınız (Bkz "dijital at hırsızı" kimdir?). Yazıların başka yerlerde yayınlanmasına ücreti mukabili izin veriyoruz. Yazıları izinsiz olarak başka bir yerde yayınlamanız, her türlü hukuki sonucu kabul ettiğiniz manasına gelir. Yazıları izin almak ve kaynak göstermek kaydıyla sadece kamu kurumları ve akademik araştırmacılar ücretsiz olarak kullanabilir. Bunların dışında kalan herkes ücret öder. Detaylar için bize ulaşın.

Yorum altyapısı: Disqus

Yukarı Çık

M. MEKİN PESEN
© 2007-2015 E-SİBER BİLGİ-İLETİŞİM TEKNOLOJİLERİ
E-Siber.com | E-Siber.net | ESiber.com | ESiber.net | RSS | Facebook | Twitter | E-Posta Aboneliği
IP: 54.224.153.234 | Yüklenme: 0.752 saniye. | Hakkımızda | İletişim | Reklam Verin | Site Politikaları | Atıflar