Hep söylediğimiz gibi, en yeni siber güvenlik haberleri ve tehditlerine karşı bilinçli olmak çok önemlidir. Hazırlıklı olmak savaşın yarısından çoğunu oluşturur.
Ancak, siber güvenlikle ilgili her şeyi bilen, güvenli şifreler kullanan ve düzenli olarak onları değiştiren, kimlik avı amaçlı mesajları ilk bakışta anlayabilen ve cihazlarını en iyi güvenlik çözümleriyle koruyan hatta her şeyi doğru yapan biri bile tamamen güvende değildir. Çünkü hepimiz büyük bir topluluğun parçasıyız.
Sorun şu ki, kişisel cihazlarımızda kontrol bizdedir ancak endüstriyel ekipmanlar ulaşabileceğimizin ötesinde.
Siber güvenlik mi? Bizim ne işimiz olur?
Siber güvenlik uzmanlarımız endüstriyel sistemlerin kontrolüne ilişkin bir araştırma yaptı.
Bağlı cihazlar için arama motoru olan Shodan bize 170 ülkede 188,019 endüstriyel sistemin internet üzerinden erişilebilir olduğunu gösterdi. Bunların çoğu Amerika ve Avrupa’da (%30.5), bazıları ise Almanya (%13.9), İspanya (%5.9) ve Fransa’da (%5.6).
Industrial #cybersecurity threat landscape https://t.co/k6q9DAtQyX #klreport pic.twitter.com/ML6LnxFa9B
— Kaspersky (@kaspersky) July 11, 2016
Endüstriyel kontrol sistemlerinin (ICS) %92’sinin (172,982) savunmasız olduğu tespit edildi. Şaşırtıcı olarak, %87’si orta düzey riskli buglara ve %7’si kritik durumlara sahip.
Geçtiğimiz beş yıl içerisinde, uzmanlarımızın etraflıca yaptığı araştırmalar sonucunda böyle sistemlerin birçok güvenlik açığı olduğunu keşfettiler: bu süre zarfında endüstriyel kontrol sistemlerinin temel bileşenlerindeki açıklar on kat arttı.
Uzmanlarımızın analiz ettiği sistemlerden %91.6’sı güvenli olmayan protokoller kullanarak suçlulara man-in-the-middle kullanarak verileri kesme ve düzenleme etme fırsatı verdi.
Sistemlerin %7.2’si (13,700 kadar) havacılık, taşımacılık, enerji, petrol, gaz, metalürji, içki ve gıda üretimi, inşaat ve diğer kritik alanlarda çalışan şirketlere ait.
Maritime industry is easy meat for cyber criminals – http://t.co/arylkFBOTc pic.twitter.com/v6QKzcjJXM
— Kaspersky (@kaspersky) May 22, 2015
Diğer bir deyişle, yetenekli siber suçlular herhangi bir ekonomik sektöre saldırabilir. Kurbanları yani hacklenmiş şirketler milyonlarca insanı pis sularla, yenmeyecek gıdalarla ya da kışın doğal gazını keserek zarar verebilir.
Bu hepimiz için ne anlama geliyor?
Muhtemel etkiler siber suçluların hangi şirketleri hedef olarak seçtiğine ve bu şirketlerin hangi endüstriyel kontrol sistemini kullandığına bağlı.
Endüstriyel saldırıların birkaçını çoktan gördük. Aralık 2015’de Ukrayna’nın bir şehri olan Ivano-Frankivsk’de bulunan evlerin yarısı APT Black Energy saldırısı yüzünden elektrik kesintisine uğramıştı. Aynı sene, Kemuri Water Company‘ye yapılan bir saldırı açığa çıktı. Siber suçlular ağa girerek sistemleri manipüle edip temiz suya kimyasal madde kattıldığını da gördük.
Ek olarak, Warsaw’da bulunan Chopin Havaalanı siber suçlular tarafından saldırıya uğradı. Dahası, bir sene öncesinde suçlular Almanya’da bir çelik fabrikasında üfleme fırınının çalışmasını kesintiye uğrattı.
Black Hat and DEF CON: Hacking a chemical plant – https://t.co/KSnCTtLt5U
— Kaspersky (@kaspersky) August 19, 2015
Yani endüstriyel kontrol sistemleri suçluların saldırması için açık hedef haline gelmiş durumda. Kaspersky Lab bu konu hakkında sürekli uyarı yaptı ancak muhalifler “Bu açıkların sömürüldüğü gerçek bir olay anlat” diyerek bizi geçiştirdi. Ne yazık ki, şimdi anlatabiliyoruz.
Tabiki tek bir kişinin elinden sistematik bir problemi çözmek için çok az şey gelir. Endüstriyel ekipmanlar bir günde hatta bir senede bile değiştirilemiyor. Ancak, daha önce de belirttiğimiz gibi, en önemli siber güvenlik koruması bilgidir. Bu problem hakkında ne kadar çok insan bilgi sahibi olursa berbat bir olay yaşanmadan endüstriyel altyapının düzeltilmesinin şansı o kadar artar.