Kritik Enerji Altyapılarına

Gerçekleşmiş Siber Saldırılara

İlişkin bir Degerlendirme

Ayhan GÜCÜYENER

Kritik Enerji Altyapılarını Koruma Semineri

10-11 Mart, İstanbul

GİRİŞ

2007 Estonya Saldırıları The most ‘wired’

nation ! (%95 Online Bankacılık, e-voting, e-

hükümet)

Karşı eylem planları Siber saldırılar, kritik

altyapılar için ‘yaşamsal’ tehditler olarak

algılanmakta

‘Siber Savaş’ teorileri artık yalnızca bir

komplo teorisi ya da efsane degil

I. Siber Zarar Bilançosu

Yükselmektedir

Siber alanda zarar bilançosu artmaktadır.

‘Siber Terörizm’Bir gerçeklik haline geldi.

Siber silahlar artık daha gelişmiş ve

karmaşık.

II. Siber Silahlar

Çeşitlenmektedir Kritik Altyapılar için Büyüyen tehdit APT

(Advanced Persistant Threats)

Basit şifre tahmin etme, hesap patlatma,

ticari amaçlı data hırsızlıgından Stratejik

bilgileri ele geçirme operasyonlarına dogru

evrim

Bilinen APT saldırıları Stuxnet, Flame,

Duqu…

III. Siber Silahlar

Çeşitlenmektedir: ‘Gelişmiş

Sürekli Tehditler’APT (Advanced Persistant Threats)

- Hedef odaklıdır.

- Özel ve gelişmiş teknikler kullanır.

- Saldırının ve saldırganların fark edilmesi güçtür.

- Kalıcıdır, uzun süre fark ettirmeden sistemde kalır.

- Arkasında yetkin bir grup ya da ülke vardır.

- Ciddi bir hazırlık süreci, yüksek motivasyon ve

detaylı bilgi toplama aşaması gerektirir.

- Siber saldırıların pek azı bilinmektedir.

- Stuxnet, kritik ‘enerji’ altyapılarını hedef almış

ilk siber saldırı, siber güvenligin ’11 Eylül’ü !

- StuxnetSofistike, devlet destekli, yüksek

bütçeli bir silah, tüm enerji sektörü için bir

uyanış çagrısı

- Siber saldırılar sınır aşan özelliklere sahiptir.

Stuxnet Chevron’un IT sistemlerine sıçramıştır.

IV. Kritik Enerji Altyapılarına

Yönelik Siber Saldırılar

Artmaktadır ABD’de, ICS-CERT’in

verilerine göre, 257 siber vakanın %56’sı enerji sektörüne yönelik (2012’de %40)

İngiltere’de siber saldırıların enerji endüstrisine yıllık tahmini zararı 664 milyon dolar.

Siber saldırıların, küresel ölçekte petrol ve dogalgazendüstrisine zararı 2018’de 1,87 milyar dolar

Enerji güvenligi kavramının kapsamını genişletmek şart

(reliable-sustainable-secure-safe..?)

V. Türkiye Kritik Enerji Altyapıları

ve Siber Saldırılar- Türkiye’ye yönelik siber saldırılar

ortalamanın üzerinde (Arbor)

- 2014’ün ikinci çeyreginde tüm dünyada %68 azalırken, Türkiye’ye yönelik siber saldırılar %6 artıyor.

- Petrol ve dogalgaz şirketlerinin %60’ının bir siber saldırı karşısında ‘acil durum planı’ yok (Oil and Gas Survey)

- Dragonfly ve Satır Operasyonları Türkiye’deki kritik enerji altyapılarını da hedefledi (ICS’ler hedef)

VI. Bir Enerji Merkezi Olma Yolunda

Türkiye ve Siber Güvenlik

Yalnızca birkaç milyon dolara geliştirilebilecek silahlarla bir ülkenin tamamını elektriksiz bırakmak ve ekonomik çöküntüye ugratmak mümkün !

Bir enerji merkezi olma yolunda Türkiye siber saldırılara hazır mı?

? Sorulması gereken sorular:

Türkiye’ye yönelik siber saldırılar hangi aktörlerden, hangi silahlarla gerçekleşebilir? (Kaynak-Yöntem)

Siber saldırılar Türkiye’de hangi kurumu, ne ölçüde hedef alabilir? (Hedef-Kapsam)

Saldırıların sosyal, ekonomik, ticari, siyasal sonuçları ne olur? (Etki-Sonuç)

BÖLÜM-I

Kritik Enerji Altyapılarına Saldırıların

Degerlendirilmesi

1. Trans-Sibirya Boru Hattı Patlaması-

1982

-Devlet destekli (CIA)

-Siber teknolojinin enerji altyapılarını hedef aldıgıilk saldırı

-Nükleer olmayan en büyük patlama (3 kiloton TNT)

-Siber saldırının fiziki dünyadaki sonuçlarına örnek

II. Chevron Acil Durum Alarm

Sistemi-1992

-Eski bir Chevron

çalışanı (Insider)

-Saldırı acil bir durum

ortaya çıkana kadar

fark edilmiyor

-Sistem 10 saat

boyunca kapalı

kalmış, insan yaşamı

tehlikeye girmiş

III. Salt Nehri Projesine Saldırı-

1994

-Salt Nehri Projesinin

bir çalışanı projenin

bilgisayar agına

erişmeyi başarmış

(Insider)

-Müşteri bilgilerinden

finansal detaylara,

şifre ve oturum açma

bilgilerine kadar birçok

kritik bilgiyi ele

geçirmiş

IV. Bellingham Boru Hattı

Patlaması-1999Saldırı degilEn zayıf halka olarak ‘insan’ (İnsan Hatası)

-SCADA sisteminden kaynaklanan bir hata

-3 kişi hayatını kaybetmiş, 8 kişi dumandan zehirlenmiş

-45 milyonluk bir zarar ortaya çıkmış

-58.000 kullanıcı elektriksiz kalmış

-Birçok mülk zarar görmüş

-Petrol sızması önemli bir çevre kirliliği doğurmuştur.

V. Gazprom-2000

Devlet/İstihbarat Destekli

Saldırganlar şirket içinden bir çalışanla işbirligiyapmış (insider)

Kullanıcıların faaliyetleri anlık izlenmiş, ana kontrol paneline erişim saglanmış

VI. Davis-Besse Nükleer Tesisi-

2003 İzole olduğu düşünülen

şirket bilgisayar ağına,

şirketin dışarıdan

çalıştığı bir danışmanın

vasıtasıyla Slammer

solucanı bulaşmış

Güvenlik sadece kritik

hizmetler veren

sektörlere ve sektörlerin

sınırlarına baglı degil

3. Firmalar ve

taşeronların erişimleri ve

yetkileri büyük

problemler yaratabilir

VII. Brezilya-Espirito Santo-Elektrik

Sistemlerine Saldırı-2005/2007 Saldırının kaynagının

Çin ya da Rusya oldugutahmin edilmekte (istihbarat)

2005’te Başkent Rio de Janerio’nun kuzeyinde 3 farklı şehri etkilenmiş on binlerce insan karanlığa gömülmüş

2007’de Espirito Santo 3 milyondan fazla kişi elektrik kesintilerinden etkilenmiş , Vitoria şirketi 7 milyon dolar civarında bir zarara uğramış

VIII. Dragonfly-2011- Siber Casusluk

İçinde Türk enerji şirketlerinin de olduğu sayısı 1000’den fazla Batılı elektrik, petrol boru hattı şirketi ve endüstriyel kontrol sistemi üreticisi şirket etkilendi

Gelişmiş teknikler, saldırıların arkasında bir ya da birkaç devlet/istihbarat örgütü bulunabilir

‘Pnishing’ denilen e-mail saldırıları, şirket yöneticilerinin hesap bilgilerine erişim

IX. İran Kharg Petrol Terminali-2012

İran’ın petrol ihracatının %90’ını gerçekleştirdiği Kharg adasındaki petrol rafinerisi, tesisleri ve aynı zamanda ülkenin petrol bakanlığının web sitesi hedeflendi.

Virüsün sadece belli verileri toplamaya mı yönelik olduğu yoksa petrol üretim sürecine zarar vermeyi mi hedefledigi netlik kazanmadı.

X. Saudi Aramco-Shamoon-2012

Saldırının İran

istihbaratıyla işbirligi

halinde çalışan ve

önemli sistemlere erişimi

olan bir Aramco çalışanı

tarafından başlatıldı.

Şirketin 30.000 ila

55.000 bilgisayarındaki

bilgiler geri dönülemez

şekilde silindi ve tahrip

edildi.

Ulusal ve uluslararası

petrol üretimi ve akışı

operasyonlarına zarar

gelmedi.

BÖLÜM-II

Türkiye Kritik Enerji Altyapılarını Hedef

Alan bir Vaka Çözümlemesi: Satır

Operasyonu-2014

2014 Aralık ayında, İran’lı hackerların Türkiye’ye

sızdığı ve Türk enerji şirketlerini hedef aldığı

haberleri Türk basınında yer buldu.

I. Satır Operasyonu-2014

Cylance16

ülkenin ve 50

şirketin gizli

belgelerini içeren

altyapılara sızıldı ve

operasyonu yaklaşık

2 sene sürdürüldü.

4 aşamalı bir

çözümleme

kaynak, hedef,

saldırı biçimi ve

sonuçlar

II. Satır Operasyonu-

Kaynak CylanceSaldırının sponsor bir devlet ya

da devletler tarafından desteklenen, orta

seviyede bir bütçeyle çalışmış, teknik

becerileri ileri seviyede en az 20 kişiden

oluşan bir hacker grubu tarafından

gerçekleştirildi

IP adresleri ve saldırıyı gerçekleştiren

hacker isimleri incelendiğindeİranlı

hackerlar

Stuxnet’in intikamı??

III. Kaynak: İran’ın Siber Kapasitesi

Stuxnet’ saldırısı, ardından yine İran’ın

enerji ve kritik altyapılarını hedef alan Duqu,

Flame ve Gauss gibi saldırılar İran için bir

‘uyanış çağrısı’

Siber silahlanmaya ciddi bir kaynak

İran’ın siber silahları kullanma biçimi !!!

Siber casusluk ya da ticari bilgi çalmak gibi

faaliyetlerin ötesinde siber kapasitesini

‘misilleme’ ve ‘caydırıcılık’ faaliyetleri için

geliştirmekte.

IV. Hedef: Kritik Altyapılar

Satır Operasyonunun kapasitesi ve etki

alanı henüz tam anlamıyla çözülemedi.

16 ülkeden en az 50 şirketin hedef

Kanada, Kuveyt, Güney Kore, Çin, Meksika,

U.K, Pakistan, Türkiye, Fransa, Katar,

Almanya, Amerika Birleşik Devletleri,

Hindistan, Suudi Arabistan ve İsrail

Petrol ve doğalgaz şirketleri saldırının esas

hedefi + askeri altyapılar, kimya şirketleri,

ulaştırma şirketleri, havaalanları,

hastaneler, iletişim ve kamu altyapıları

V. Modus Operandi (Saldırı Biçimi):

Basit bir siber saldırının ya da siber

casusluk operasyonunun çok daha ötesinde

Saldırı ticari amaçlarla bilgi toplamak için

degil kritik bilgileri ele geçirmek amacıyla

yapılmış

SCADA sistemleri gibi Endüstriyel Kontrol

Sistemlerine sızabilme ya da onları ele

geçirebilme yeteneğine ilişkin bir bulgu yok

Stratejik bilgilerin siber dünyadan öte

fiziksel zarar verme hedefiyle kullanılabilir !

VI. Sonuç Yerine: Büyük Resmi

Anlamak Kritik altyapıları hedef alan siber saldırılar

‘caydırıcılık’ gücü veren stratejik bilgilerin ele geçirilmesi amacıyla yapılıyor. (Siber SogukSavaş)

Siber silahlar politik bir araç olarak da görülmekte ve bazı ülke ve şirketlerin enerji arzını tehdit edebilecek boyutlara gelmektedir. (Dragonfly)

Hedef Odaklı Saldırılar’ bir gerçeklik haline geldi.Ancak, siber silahlar, nükleer silahlara benzer şekilde kullanıldıktan sonra etkilerini yitirdiklerinden devletler ve devlet dışı aktörler siber silahlarını ve siber kapasitelerini açıklamaktan ve kullanmaktan kaçınıyor.

Saldırıların gerçekleştirilebilmesi için şirket içerisinden, kritik sistemlere ve bilgilere erişimi olan çalışanların yardımına ihtiyaç duyulmakta. (Insider)

BÖLÜM III- Bu Saldırılardan Neler

Öğrendik?

Kritik Enerji Sektörüne ‘Teknik

Olmayan’ Öneriler

1. Siber Güvenlikte En Zayıf Halka

İnsandır: Eğitimin Önemi

Stuxnet operasyonu, teknik açıdan tüm

gelişmişligine ragmen, insan hatası

olmasaydı gerçekleşmeyecekti !

‘İnsan merkezli’ düşünerek güvenlik algısı

oluşturmak gereklidir.

Kritik Enerji Sektörüne ‘Teknik

Olmayan’ Öneriler

2. ‘Son Kullanıcı Farkındalığı’: Şifreler ve

Davranış Kodları

Güçlü ve bütüncül bir şirket güvenlik kültürü

Belirli standartlar ve şirket çalışanları için

‘doğru davranış kodları

Güçlü şifre politikaları

Şirket içi şifre, kullanıcı bilgileri, hassas bilgi

ve belgelerin paylaşımı, kötü amaçlı e-

mailler

Kritik Enerji Sektörüne ‘Teknik

Olmayan’ Öneriler

3. Tehditlere Değil Zafiyetlerinize Odaklanın

‘Self Assessment Tool’

‘Check List’

ICS-CERT ve diğer siteler tarafından yayınlanan zafiyet ve saldırıların takip edilerek yama ve önlemlerin zamanında alınması .

Kritik Enerji Sektörüne ‘Teknik

Olmayan’ Öneriler

4. Anahtar Sistemlerinizi İzole Edin ve Düzenli

Olarak İzleyin-Belgelendirin !

SCADA Kontrolü ve şirkete ait hayati önem

taşıyan bilgi teknolojisi ağlarının diğer tüm

ağlardan ayrılması

SCADA konrol merkezlerine erişimin

denetlenmesi

SCADA sunucularının kilit altına alınması

Tüm denetim ve izlemelerden sonra tarih, saat

ve sonuçların kayıt altına alınması yani

belgelendirilmesi

Kritik Enerji Sektörüne ‘Teknik

Olmayan’ Öneriler

5. Senaryolaştırın ve Oynayın

Şirket içi zafiyetlerle beraber, olası siber saldırı senaryolarını tespit edebilecek ve canlandırabilecek ‘Kırmızı Takım’ların (RedTeams) kurulması

Senaryolara uygun ‘acil durum eylem planlarının’ ve ‘kurtarma, yedekleme’ planlarının hazırlanması

Görev ve sorumlulukların açıkça belirtildiği bir Olay Güvenlik Politikası, Çalıştırmayı Sürdürme Planı ve Kurtarma Tedbirleri Planları

Kritik Enerji Sektörüne ‘Teknik

Olmayan’ Öneriler

6. Ticari Partnerlerinizi Akıllıca Seçin

Kritik altyapı şirketlerinin servis sağlayıcılarının ve beraber çalıştıkları taşeronların siber zafiyetleri

SCADA tedarikçisinin ürün güvenlik sertifikasyonlarının talep edilmesi

Misafir kullanıcılar, uzaktan erişim sağlayan kullanıcılar ve taşeronlar yani üçüncü taraf yüklenicilere özel erişim kontrol politikalarının geliştirilmesi

Kritik Enerji Sektörüne ‘Teknik

Olmayan’ Öneriler

7. Sektör içi ve Sektörler Arası Bilgi

Paylaşımını Sağlayın

Yaşanılan deneyimlerin, çıkarılan derslerin

ve ‘en iyi önlemlerin’ paylaşılması

Kritik sektörler birbirleriyle karşılıklı

bağımlılık ilişkisi içinde !!

Kritik Enerji Sektörüne ‘Teknik

Olmayan’ Öneriler

8. Millileştirin ve Çeşitlendirin

SCADA yazılımlarının geliştirilmesi ve bu

çerçevede AR-GE’ye yapılacak yatırımlar

Siber insan gücünün yaratılması

Pacific North West, Idaho, Sandy,

Türkiye’de Ulusal Lab’ler?

Birden fazla SCADA tedarikçisinin

kullanılmasının sağlanması Çeşitlendirme