Skip to main content

Uçak çarpmasında bile sızma yapmayan nükleer santralleri Twitter gibi sosyal medya kanalları kullanarak hackerlar patlatabiliyor. Kritik altyapılarda siber güvenlik fiziksel güvenlik kadar önem kazanıyor

1986 yılında o zamanki adıyla Sovyet Sosyalist Cumhuriyetler Birliği’nin (SSCB) bir parçası olan Ukrayna’nın Kiev şehrine 140 km uzaklıktaki Çernobil kasabası dünya gündemine aniden oturdu. Ukrayna’nın bu ufak kasabasında yer alan nükleer santralde hem dört reaktörün hatalı tasarımı hem de bir deney için reaktörlerden birinde güvenlik sisteminin devre dışı bırakılması 20. yy’ın en büyük felaketinin yaşanmasına neden olmuştu. Reaktörden yayılmaya başlayan radyasyon Türkiye’de de dâhil çevresindeki birçok yerde ciddi hasarlar bıraktı.

Nükleer santral denince Türkiye’de hâlâ akıllara Çernobil faciası gelir. Hal böyle olunca da insanlar nükleer santrallara çok daha korku ile yaklaşıyor. Bu korkunun farkında olan politikacılar ise nükleer santralların artık çok daha güvenli olduklarına insanları ikna etmek için ciddi savlarla insanların karşısına çıkmaya çalışıyor. Öte yandan güvenlik önlemleri arttıkça saldırganlar da kendilerini geliştirmeye başladılar. Bugün nükleer santrallara bir uçak çarpmasının veremeyeceği zararı Twitter aracılığı ile vermek mümkün.

Günümüzde nükleer santrallar gibi kritik öneme sahip altyapılarda siber güvenlik her geçen gün daha da önem kazanan bir konu. Çünkü ülkeler artık top ve tüfekle savaşmak yerine klavyelerle savaşmayı tercih ediyor. Bir uçağı düşürmek için bir uçak göndermektense masa başı hacker’ına bunu yaptırmak çok daha tehlikesiz ve ucuz.

Siber saldırıya uğrayanlar ve uğradıklarını bilmeyenler

Bugün ülkeler arasında yaşanan siber savaşlarda en büyük hedef enerji altyapıları oluyor. Suudi Arabistan’ın en fazla siber saldırıya uğrayan ülkeler arasında en üst sıralarda olması zaten durumu gözler önüne seriyor. Ancak ben sizinle birkaç ilginç örnek daha paylaşacağım. 2008 yılında Bakü Tiflis Ceyhan boru hattında yaşanan patlamanın siber bir saldırı nedeniyle yaşandığı iddia ediliyor. Tabii, yetkili mercilerden bu konuyu doğrulayan bir açıklama gelmedi. Bir başka siber terör olayı da İran’da yaşandı. Nükleer güce kavuşup dünyayı tehdit etmekle suçlanan İran’ın bu çalışmalarını engellemek için “stuxnet” adlı bir yazılım gönderildiği öne sürülüyor. Dünyanın önemli antivirüs yazılım şirketlerinden Kaspersky’nin Başkanı Eugene Kaspersky yazılımın basit bir korsanlık işi olmadığını ifade ediyor. İddiaya göre bu yazılımı sıradan korsanların yapma ihtimali yok. İran’a bu virüsün yayılması konusunda, ülkedeki nükleer güce karşı çıkan ABD sorumlu görülüyor. 28 Ağustos 2014’te resmî devlet kaynaklarına göre Norveç’te 300 petrol ve gaz şirketi ülkede yaşanan en büyük siber saldırıdan etkilendi. Yine 7 Kasım 2014’te ABD’nin nükleer tesisleri de dâhil bazı kritik enerji altyapıları Rus hacker’lar tarafından saldırıya uğradı. İran’ın hacking için ayırdığı bütçenin 20 milyar dolar olduğu söyleniyor. Nitekim İranlı hacker’lar tarafından 2014 yılında enerji altyapılarına siber saldırı yapılan ülke sayısı 16 idi. Bu ülkeler arasında Türkiye de yer alıyordu. İngiltere’deki gaz ve petrol şirketlerine yapılan siber saldırıların maliyetinin yaklaşık 672 milyon dolar olduğu tahmin ediliyor. ABD Başkanı Barrack Obama’nın 2016 yılı bütçe önerisinde siber güvenlik için ayırdığı miktar 14 milyar dolar.

Çalışmanın üzerine tıklayarak; yüksek çözünürlüklü versiyonuna ulaşabilirsiniz.

siber-suclar-ve-enerji_sektoru

Kuzey Kore de bu konuda ciddi çalışmalar yapan bir ülke. 2014 yılı Kasım ayında Kuzey Kore ile ilişkilendirilen bir güvenlik ihlali ile Sony Pictures firmasının ağına sızıldığı bilgisi basında yer aldı. Haberlere göre Sony Pictures firmasının gelecekte yayınlanacak film kopyaları ve hassas bilgileri çalınarak firma bu bilgilerin yayınlanması ile tehdit edildi. İhlal sonrasında Sony Pictures firması Kuzey Kore lideri Kim Jong-un ile dalga geçilen “The Interview” filminin dağıtımını iptal etme kararı aldı. ABD Başkanı yapılan ihlali ABD topraklarına yapılmış bir işgal girişimine yakın seviyede değerlendirdi, hatta savaş sebebi olup olmayacağı tartışıldı.

En zayıf halkayı sosyal medya ile ele geçiriyorlar

Açıkçası nükleer reaktörler fiziksel saldırılara karşı ne kadar korumalı olursa olsunlar siber saldırılar ile bu reaktörlere zarar vermek mümkün. Siber saldırganlar bir sisteme saldırırken genelde en zayıf halkayı hedefliyor. Bir sistemi hack’lemeniz için doğrudan ana bilgisayarı ele geçirmenize gerek yok. İçerideki bir kişinin bilgisayarına girebilirseniz zaten sisteme giriş yapıyorsunuz. Bu açıdan en önemli araç sosyal medya oluyor. Türkiye de bu açıdan ciddi tehlikenin olduğu bir ülke. Türkiye’de genel seçimlerden sonra sosyal medya platformu Twitter üzerinden pek çok kişiye ‘Koalisyon’ başlığı ile doğrudan mesajlar gelmeye başladı. Ancak antivirüs yazılım kuruluşu ESET’in tespitlerine göre bu koalisyon sahte ve virüslü. Siber suçluların bir phishing (oltalama) operasyonu yaptıklarını dile getiren ESET Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu, “Hacker’ler, Türkiye gündemindeki güncel koalisyon görüşmeleri ile ilgili merak uyandırıp, bilgisayarlara virüs bulaştırmayı hedefliyor.”

Sosyal medya oltalama saldırıları için önemli bir mecra. Alev Akkoyunlu’ya göre kullanıcılar sosyal medyada çok fazla rahat davranıyor. Bu rahatlık tehlikeye dönüşebiliyor. Türkiye’nin dünyanın en aktif sosyal medya kullanan ülkeler arasında en üst sıralarda olması bu tür saldırıların riskini artırıyor. Üstelik Türkiye siber güvenlik anlamında çok da bilinçli bir ülke değil. Alman basını Eylül 2014’te İngiltere İstihbarat Teşkilatı GCHQ’nun (ve NSA’in) 2009’dan bu yana Türkiye’yi dinlediğini iddia etti. Bu dönemde Maliye Bakanı Mehmet Şimşek’in iki telefon hattı ile kişisel e-posta adresinin takip edildiği de ayrıca iddia edildi. İddialar bunlarla da sınırlı değil, İngiliz istihbaratının 2008 tarihli gizli bir belgesinde Enerji Bakanlığı ve Türk enerji şirketlerine sızılmasının hedeflendiği Der Spiegel tarafından yazıldı. BTRisk – Bilgi Güvenliği ve BT Yönetişim Hizmetleri Şirket Ortağı Fatih Emiral, “Ülkeyi ve bizi koruma konusunda iş kamu bürokrasisine düşüyor. Eğer bu alanda da yeterli algı ve kaynak yok ise ülkemizin bu alanda kurban olmama ihtimali çok düşük” diyor ve Intel’in genel müdürlüğünü yapmış olan Andrew S.Grove’un “Sadece paranoyaklar hayatta kalır” sözünü hatırlatıyor.

Dergimizin yazarlarından Osman Kurt’un “Twitter ile nükleer santral nasıl patlatılır?” yazısı, Digital Age Ağustos 2015 sayısında yer alıyor.

Ana fotoğraf: Flickr kullanıcısı Riku Lu

Fotoğraflar: Flickr kullanıcısı Ross Breadmore, Flickr kullanıcısı Esther Vargas