KRİTİK ENERJİ ALTYAPILARININ KORUNMASI VE SİBER GÜVENLİK
ZÜHRE AYDIN GAZİ ÜNİVERİSTESİ YBS DOKTORA-2016
Kritik Altyapıların Korunması
“Kritik altyapı” terimi ilk defa Ekim 1997 tarihli “Amerika Birleşik Devletleri Başkanlık Komisyonu’nun Kritik Altyapıların Korunması Hakkında Raporu”nda kullanılmıştır.
Ülkemizin siber güvenliğinin sağlanması konusunda "Siber Güvenlik Kurulu" oluşturulmuştur. Bu kurulun ilk toplantısında "Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı" kabul edilmiş ve 20 Haziran 2013 tarihinde Bakanlar Kurulu Kararı olarak yayımlanmıştır.
Eylem planının 5 numaralı maddesinde Siber Güvenlik Kurulu'nca ülkemizin kritik altyapıları bilgi güvenliği kapsamında ilk etapta "Ulaşım, Enerji, Elektronik Haberleşme, Finans, Su Yönetimi, Kritik Kamu Hizmetleri" olarak belirlenmiştir
Enerji Sektöründe Kritik Altyapı Bileşenleri
Kurumsal Bilişim Sistemleri(KBS) Masaüstü bilgisayarlar, Dosya, uygulama, veri tabanı, e-posta sunucuları vb.
Endüstriyel Kontrol Sistemleri(EKS) SCADA (Veritabanlı Merkezi Kontrol ve Gözetleme Sistemi) DCS (Dağınık Kontrol Sistemleri)
Dağınık Kontrol Sistemleri (DCS)-SCADADCS ve SCADA uzaktan ölçüm yapan telemetri sistemleridir. Veri toplama ve sahadaki cihazları denetleme özelliğine sahiptirler.
Tarihsel gelişim olarak bakıldığında, Amerikan yerlilerinin av hayvanları hakkındaki sayı ve yer bilgilerini uzun mesafelere duman yolu ile iletmesi, telemetri sistemlerinin aslında 1900’lü yılların öncesinde kullanıldığını gösterir.
Dağınık Kontrol Sistemleri (DCS)-SCADA
DCS(Dağınık Kontrol Sistemleri) veri elde edilmesi, kontrol ünitelerinin daha kapalı mekanlarda konumlandırılması ve iletişimin yüksek hızda LAN bağlantısıyla gerçekleştirilmesi yönüyle SCADAdan farklılık gösterir.
SCADA sistemi geniş bir coğrafyaya yayılan farklı konumlardaki süreçleri, DCS tek bir konumdaki farklı noktalara yayılan süreçleri izleme ve yönetme görevi üstlenmektedir.
SCADA’nın temel mantığı tüm üretim aşamalarının tek merkezden ağ bağlantılarıyla gözlenmesi, denetlenmesi, veri toplanması-raporlanması ve ünitelerin kontrol edilebilmesidir.
SCADA Sistemlerinin Başlıca Özellikleri Grafik Arayüz İzleme Sistemi Alarm Sistemi Veri Toplama, Analiz ve Raporlama Sistemleridir.
SCADA-Merkezi Denetleme Kontrol ve Veri Toplama
SCADA-Merkezi Denetleme Kontrol ve Veri Toplama Bir SCADA sisteminde MTUlar (Master Terminal Unit) ana kontrol
merkezleridir. SCADA üç temel bölümden oluşur;
Üretimde kullanılan PLC’ler (programlanabilir mantıksal denetleyiciler, yüksek hızlı
küçük mikroişlemciler), ölçme sistemlerinin bağlandığı IED’ler (akıllı gömülü sistemler), ve RTU’lar (sahadan ölçüm bilgisi toplama birimleri)
Üretim alanı ile kontrol merkezi arasında bilgi alışverişini sağlayan, bakır, fiber ya da telsiz bağlantıları kullanan haberleşme ağı
Kontrol merkezinde kontrol ve bilgi depolama işlemini yapan bilgisayarlar, yazılımlar, grafik ekran sistemleri ve iletişim cihazları
Mimari yapı olarak SCADA’yı; Birinci nesil monolitik, İkinci nesil dağıtık (distributed) Üçüncü nesil ağ tabanlı (networked) olarak üç nesle ayırmak
mümkündür.
SCADA-Merkezi Denetleme Kontrol ve Veri Toplama
SCADA-Merkezi Denetleme Kontrol ve Veri Toplama
İletişim Protokolleri
Endüstriyel uygulamalarda kullanılan birçok cihaz bilgisayarlara veya birbirlerine bağlanabilmek için EIA standartları olan RS-232, RS-422 ve RS-485 kullanmaktadır.
En çok kullanılan SCADA yazılımlarına örnek olarak; WinCC, Citect, ICONICS,
iFIX, Indusoft, Entivity Studio verilebilir.
SCADA SİSTEMİNE YÖNELİK TEHDİTLER SCADA-IT arası haberleşmede standart IT veri iletimi protokolleri (Modbus
RTU, RP-570, Profi-Bus, Can-Bus )kullanılmaktadır. Bu zayıflıkların bir sonucu olarak SCADA sistemleri de birçok IT tehdidinin etki alanı içine girmektedir: Ülkeler ve gizli servisler Organize suç örgütleri Rakip şirketler Genel ya da özel amaçlar için üretilmiş zararlı yazılımlar (virüs, solucan, truva atı
vs.) Politik amaçlarla hareket eden gruplar Çevreci amaçlarla hareket eden gruplar Eğlence ya da ün kazanmak amacıyla saldırı düzenleyen bireyler Şirketten ayrılmış ve şirketle uyuşmazlık içinde bulunan personel Çalışmakta olan şirket personeli
SCADA-TEHDİTLERE KARŞI ALINABİLECEK TEDBİRLER
Anti virüs, FW, IDS/IPS IT-SCADA bağlantısı SCADA giriş noktasında bir FW ile korunmalıdır. Sahaya yeni alınan PLC, IED gibi cihazların güvenlik özelliklerinin olmasına dikkat edilmelidir. SCADA sistemi, alt ağlara bölünmeli ve her ağın girişine bir FW konulmalıdır. İnsansız çalışan uzak yerleşkelerle telsiz haberleşmede şifreleme ve kırılması güç iletişim protokolleri
kullanılmalıdır. Firmaların bakım için çevirmeli ağ kullanmaları bir arka kapı oluşturabileceği için sistemden tamamen
ayrılmalıdır. IT ve SCADA sistemleri için belli zaman aralıklarında değiştirilen şifre uygulaması yapılmalıdır. Parametre veri dosyaları yalnızca okunabilir konuma getirilmeli, değişiklik durumunda yetkili personel
görevlendirilmelidir. SCADA sistemi için veri yedekleme çizelgesi belirlenmelidir.
Türkiye Elektrik İletim Altyapısı Kontrol Sistemi
Elektrik üretim ve dağıtım sistemlerinde SCADA/EMS sistemlerine geçilmesi çalışmaları 1980’lerin ortalarında başlamıştır.
Tüm elektrik altyapısı sisteminin kontrolü Ankara Gölbaşı’nda bulunan Ulusal kontrol merkezinden yapılmaktadır. Bu merkez Genel Müdürlük binasında bulunan Acil Durum Kontrol Merkezi ile yedeklenmektedir. Hali hazırda Adapazarı, Gölbaşı, İzmir, Keban, İkitelli, Keban Samsun olmak üzere 6 adet bölgesel kontrol merkezi bulunmaktadır.
Elektrik iletim ve dağıtım sistemlerinin hemen hepsinin kısıtlı da olsa kurumsal bilişim ağı ile ve Internet’le bağlantısı mevcuttur.
Kurumsal bilişim sistemi ile bağlantı kurum yöneticilerinin iletim/dağıtım sürecine ilişkin parametreleri izlemesi, Internet ile bağlantı ise SCADA’nın bakım ve güncellemelerinin üretici firma tarafından uzaktan yapılabilmesi gereksiniminden kaynaklanmaktadır .
Türkiye SCADA Örnek Uygulamaları
TEİAŞ-İstanbul Kadıköy TEİAŞ Uzak Erişim Sistemine Bağlanma, Enerji İzleme Sistemi
Ankara Konya Yüksek Hızlı Tren-13 trafo merkezi enerji otomasyonu ve haberleşme Balıkesir Kepsut Rüzgar Enerji Santrali- Rüzgar Türbinlerine yerleştirilen I/O Modüller
ile türbin bilgileri Trafo Merkezindeki RTU sistemine aktarılmıştır. Edinilen veriler Scada HMI sistemine aktarılarak izleme, kumanda ve raporlama fonksiyonları ile kullanıcıya sunulmaktadır. TEİAŞ haberleşme sistemi ve RTU aracılığı ile telemetrik sinyaller TEİAŞ Milli Yük Tevzi Merkezine gönderilmektedir.
Türkiye Elektrik İletim Altyapısı Kontrol Sistemi
Kurumsal bilişim sistemi ile bağlantı kurum yöneticilerinin iletim/dağıtım sürecine ilişkin parametreleri izlemesi, Internet ile bağlantı ise SCADA’nın bakım ve güncellemelerinin üretici firma tarafından uzaktan yapılabilmesi gereksiniminden kaynaklanmaktadır .
Türkiye Elektrik İletim Altyapısı Kontrol Sistemi –Yol Haritası
Kontrol ağı ile kurumsal ağ arasında bir DMZ (Demilitarized Zone) Ağlar arasında bilgi paylaşımı için kullanılacak kayıt sunucusu vb. sistemlerin bu bölgede konuşlandırılması DMZ’e erişimin mümkünse birden çok güvenlik duvarı ile korunması önerilmektedir. Sistem merkezine uzaktan erişim politikasının oluşturulması SCADA’ya erişim yetkisine sahip (sistem yöneticisi, operatör, vb.) personele tekil kullanıcı ismi atayacak kurumsal
süreç oluşturulmalı, aynı süreç kapsamında yetkili personel, sistem tarafından karmaşık parolalar seçmeye ve parolalarını düzenli aralıklarla değiştirmeye zorlanmalıdır
Güvenli oturum açma Kayıt Yönetimi Güncelleme Yedekleme Eylem Planı-Risk Yönetimi Kamu Özel Sektör İşbirliği Yerli teknolojiden faydalanama-Yerli yazılımları SCADA sistemlerine dahil etmek Farkındalık
Kurumsal Bilgi Sistemleri ve İlgili Standartlar
Genel Bilgi Güvenliği: 27001
Kurumsal Bilişim Sistemlerİ Güvenliği: 27002 Endüstriyel Kontrol Sistemleri Güvenliği: 27002, 27011 ve 27019
KRİTİK ENERJİ ALTYAPILARINA YAPILAN SALDIRILAR-TEHDİTLER
HEDEF ODAKLI SALDIRILAR Bilinen ilk siber salgın, 1988’de Robert Morris’in ürettiği Morris solucanıyken, bugün APT
(Advanced Persistant Threats) dediğimiz, Türkçeye ‘Gelişmiş Sürekli Tehdit’ ya da ‘Hedef Odaklı Saldırılar’ olarak çevrilen siber silahlar kamu kurumlarını, kritik altyapıları ve büyük şirketleri hedef alan en önemli tehditlerdir.
APT’ler klasik virüslerden ve siber silahlardan birçok özelliği ile ayrılmakta, günümüzde siber savaşlarda aktif olarak kullanılmakta ve özellikle kritik altyapıları hedef almaktadır.
Saldırganlar genellikle basit siber saldırılarda olduğu gibi veri çalmayı değil, stratejik öneme sahip bilgilere erişmeyi hedeflemektedirler.
İran’ın nükleer programını hedef almış Stuxnet, hemen arkasından benzer kodlarla geliştirildiği düşünülen Duqu ve Flame, APT saldırılarının en iyi örneklerindendir.
KRİTİK ENERJİ ALTYAPILARINA YAPILAN SALDIRILAR-TEHDİTLER
APT’lerin birtakım karakteristik özelliklerinden bahsetmek mümkündür: Hedef odaklıdır. Belli sistemleri ve kişileri hedef alırken, kurban siyasi, ticari ya da güvenliğe
ilişkin nedenlerle seçilmektedir. Siber savunma sistemlerini kolaylıkla atlatabilen, özel geliştirilmiş teknikler kullanmaktadır. Saldırıların ve saldırganların tespit edilmesi oldukça güçtür. Kalıcıdır ve bulaştığı sistemlerde uzun süre fark edilmeden çalışabilmektedir. Arkasında yetkin bir grup veya ülke bulunmaktadır. Ciddi hazırlık süreci ve detaylı bilgi toplama aşaması gerektirmektedir. Saldırılarda sistematik bir yöntem izlenmektedir. Saldırganın yüksek bir motivasyonu vardır.
APT Yaşam DöngüsüBir APT Atağının mükemmelliği sistemde hiçbir iz bırakmadan amaca ulaşıp oradan gizlice ayrılmaktır.
KRİTİK ENERJİ ALTYAPILARINA YAPILAN SALDIRILAR-TEHDİTLERKritik Servislerde Uzun Zamandır Devam Eden Ancak Yeni Tespit Edilen Güvenlik Açıkları 2014 yılında cihazların %90 ına yetkisiz erişim sağlamaya neden olan dört büyük zafiyet
ortaya çıkmıştır.
KRİTİK ENERJİ ALTYAPILARINA YAPILAN ÖRNEK SALDIRILAR 1982 -Sibirya Boru Hattı Patlaması-trojen (mantık bombası) 2000 –Rusya Gazprom -trojen 2010-İran Buşehr nükleer reaktörü-stuxnet 2012-İran’ın Kharg Adası’ndaki petrol rafinerisi-viper 2012- Suudi Arabistan’ın milli petrol şirketi olan Saudi Aramco- Shamoon 2014-Batılı enerji firmaları-dragonfly 2014-TEİAŞ-hacking 2015 –Polonya Hava şirketi LOT -güç kesintisi, sabit diskte yaşanan bir hata, güvenlik
yazılımının devre dışı kalması 2015-New York Bowman Barajı-hücresel modem ile sızma 2016-Ukrayna elektrik sistemi- malware(BlackEnergy)-phishing- Python’da yazılan
GCat arka kapı açıklığı ekran görüntüsü alma ve keylogger
STUXNET Kendi kendini kopyalayan bir yazılım olan Stuxnet yazılımı öncelikle
motorları ve sıcaklığı kontrol eden merkezi mantık kontrol birimi olan PLC’yi ele geçiriyor.
Stuxneti özel kılan en önemli şey sadece internete bağlı bilgisayarları değil herhangi bir veri girişi yapılan (Usb, Cd vb. aracılığıyla )bilgisayarı da ele geçirebilmesi ve kendine yönelik kullanabilmesi
Türkiye ve Siber Saldırılar-İstatistikler 2014’ün ikinci çeyreğinde dünya genelinde siber saldırılar hız keserek %68 oranında
düşerken, Türkiye’ye yönelik siber saldırılarda %6 oranında bir artış kaydedilmiştir. Akıllı cihazlara ilişkin penetrasyonun artmasıyla beraber, Türkiye en çok siber saldırıya
uğrayan ülkeler listesinin başlarında yer almakta ve ABD, Çin, Almanya, İngiltere, Brezilya, İspanya,İtalya ve Fransa’dan sonra 9’uncu sırada gelmektedir.
ABD’de Ponemon Enstitüsü’nün 60 örnek firma üzerinde yaptığı araştırmaya göre, 2013’te siber saldırılar %26’lık bir artışla, ABD’de şirket başına ortalama 11,6 milyon dolarlık bir zarara yol açtı.
ABD’deki Stratejik ve Uluslararası Araştırmalar Merkezi’ne göre siber saldırıların dünya ekonomisi için doğurduğu zarar en iyi ihtimalle 400 milyar doları aştı.
Trend Micro’nun, 2014 yılı ikinci çeyrek araştırma raporu, Türkiye’nin en çok siber saldırıya uğrayan 6. ülke olduğunu ortaya koydu. Arbor Networks’ün açıkladığı veriler ise Türkiye’ye yönelik siber saldırıların küresel ortalamanın üzerinde seyrettiğini gösteriyor.
Türkiye’de Eylül 2014’e kadar gelen siber saldırı ihbarı sayısı 23,475’i buldu.
SONUÇ-ÖNLEM Ülkemiz için de ciddi tehdit taşıyan APT ataklarına karşı öncelikle kurumsal bilgi güvenliği yönetim
sistemi tesisi ve idamesi, hassas bir varlık yönetimi, tüm ağ trafiğinin izlenmesi, değişik kaynaklardan gelen kayıtların analizi/korelasyonu, güvenlik duvarı, e-posta güvenliği, veri kaybı koruması, anti-virüs sistemi, ağ izleme ve kayıt sisteminden oluşan etkin savunma mekanizmalarının kurulması ve tüm bu faaliyetlerin Telekomünikasyon İletişim Başkanlığı (TİB) bünyesinde kurulmuş olan Ulusal Siber Olaylara Müdahale Merkezi (USOM, TRCERT) ile koordineli çalışacak şekilde oluşturulacak Kurumsal Siber Olaylara Müdahale Ekipleri (SOME) tarafından takip edilmesi gereklidir .
Türkiye Ulusal Siber Güvenliği en zayıf SOME birimi kadar güçlü olacaktır.
KAYNAKÇA1. http://www.cybermagonline.com/dergi/yeni-sayi/2. http://www.Kurumsal Bilişim Sistemi k.gov.tr/File/?path=ROOT%2F1%2FDocuments%2FSayfalar%2FSiberGuvenlik%2FCIP_Rapor.pdf3. Avrupa Komisyonu, “Terörizmle Mücadele Kapsamında Kritik Altyapıların Korunması, Tebliğ”, s. 3, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?
uri=COM:2004:0702:FIN:EN:PDF4. Bilgi Güvenliği Politika Konseyi, "Kritik Altyapılar için Bilgi Güvenliği Önlemleri Üzerine Eylem Planı, Karar", s.2,
http://www.nisc.go.jp/eng/pdf/actionplan_ci_eng.pdf5. www.hazarworld.com6. https://books.google.com.tr7. http://www.slideshare.net/HazarEnstitusu/kritik-enerji-altyaplarna-gereklemi-siber-saldrlara-likin-bir-deerlendirme8. http://www.bosphorusenergyclub.org/enerji-altyapilarinin-korunmasi-icin-siber-guvenlik-stratejisi/9. http://www.bilgiguvenligi.gov.tr/siber-savunma/siber-savasta-yeni-cephe-iran-busehr-nukleer-santrali-ve-scada-plc-sistemler.html10. http://www.otomasyondergisi.com.tr/arsiv/yazi/60-stuxnet-scada-sistemlerine-yonelik-siber-saldirilara-bir-ornek11. https://www.linkedin.com/pulse/kritik-enerji-altyapıları-ve-siber-saldırılara-bir-ayhan-gucuyener?trk=prof-post&trkSplashRedir=true&forceNoSplash=true12. http://www.hazar.org/UserFiles/yayinlar/raporlar/10_11_Mart_Seminer/Eylul_2015_CIP_Seminer_Kitabi.pdf13. https://www.afad.gov.tr/Dokuman/TR/123-20141010111330-kritikaltyapi-son.pdf14. http://www.Kurumsal Bilişim Sistemi k.gov.tr/File/?path=ROOT%2F1%2FDocuments%2FSayfalar%2FSiberGuvenlik%2FCIP_Rapor.pdf15. https://
books.google.com.tr/books?id=oYr4AgAAQBAJ&pg=PT209&lpg=PT209&dq=kritik+altyap%C4%B1+enerji+senaryo&source=bl&ots=p-77qQ1WbR&sig=L5BsEP0z-4tQDRKfmqzoCe3lO0o&hl=en&sa=X&ved=0ahUKEwiDxtzEz-PLAhWnYJoKHQvxDHQQ6AEIQDAF#v=onepage&q&f=false
16. http://www.bilgiguvenligi.gov.tr/siber-savunma/iki-kritik-kavram-kritik-altyapilar-ve-kritik-bilgi-altyapilari.html17. http://www.slideshare.net/HazarEnstitusu/kritik-enerji-altyaplarna-gereklemi-siber-saldrlara-likin-bir-deerlendirme18. http://dijitalhayat.tv/dijital-dunya/siber-guvenlik-dijital-dunya/enerji-altyapilari-icin-yukselen-tehdit-siber-saldirilar19. http://www.siberguvenlik.org.tr/2013/12/akll-enerji-sebekeleri-ve-siber-guvenlik.html-*0 20. http://www.emo.org.tr/ekler/10e69b3a2411013_ek.pdf21. http://www.bilgiguvenligi.gov.tr/siber-savunma/elektrik-uretim-ve-dagitim-sistemleri-scada-guvenligi.html