TÜRKİYE ATOM ENERJİSİ KURUMU NÜKLEER TESİSLERDE...
150
TÜRKİYE ATOM ENERJİSİ KURUMU NÜKLEER TESİSLERDE SİBER EMNİYET, SİBER SALDIRI SENARYOLARI, SONUÇLARI VE SAVUNMA SİSTEMLERİ UZMANLIK TEZİ Hazırlayan Merve ÇETİN Kasım, 2017 -ANKARA
Transcript of TÜRKİYE ATOM ENERJİSİ KURUMU NÜKLEER TESİSLERDE...
TÜRKİYE ATOM ENERJİSİ KURUMU
NÜKLEER TESİSLERDE SİBER EMNİYET, SİBER SALDIRI SENARYOLARI,
SONUÇLARI VE SAVUNMA SİSTEMLERİ
UZMANLIK TEZİ
Hazırlayan
Merve ÇETİN
Kasım, 2017 -ANKARA
TÜRKİYE ATOM ENERJİSİ KURUMU
NÜKLEER TESİSLERDE SİBER EMNİYET, SİBER SALDIRI SENARYOLARI,
SONUÇLARI VE SAVUNMA SİSTEMLERİ
UZMANLIK TEZİ
Hazırlayan
Merve ÇETİN
Tez Danışmanı
Dr. Fatih ALİM
Kasım, 2017 -ANKARA
Merve ÇETİN tarafından hazırlanan “NÜKLEER TESİSLERDE SİBER EMNİYET,
SİBER SALDIRI SENARYOLARI, SONUÇLARI VE SAVUNMA SİSTEMLERİ” adlı bu
tezin Atom Enerjisi Uzmanlık tezi olarak uygun olduğunu onaylarım.
Dr. Fatih ÂLİM
Tez Danışmanı
Bu çalışma, aşağıdaki tez jürisi tarafından Atom Enerjisi Uzmanlık tezi olarak kabul edilmiştir.
Başkan Yardımcısı, Veysel UYAR
Başkan V.
Başkan Yardımcısı, Suat ÜNAL
Uye
Başkan Yardımcısı T., Dr. İsmail Hakkı ARIKAN
Üye
IMİD Başkanı T., Süheyla SUNER
Üye
AGKD Başkanı T., Ayşegül Menent AVGIN
Yedek Üye
Bu tez Atom Enerjisi Uzmanlığı Tez Hazırlama Yönergesi‘ne uygundur.
ÖNSÖZ
Bu çalışma süresince her türlü yardım ve desteği sağlayan, bilgi ve tecrübeleriyle
çalışmama ışık tutan, danışmanım Sayın Fatih ALİM’e vermiş oldukları maddi manevi
katkılarından dolayı teşekkürlerimi bir borç bilirim.
ÖZET
NÜKLEER TESİSLERDE SİBER EMNİYET, SİBER SALDIRI
SENARYOLARI, SONUÇLARI VE SAVUNMA SİSTEMLERİ
Merve Çetin
TÜRKİYE ATOM ENERJİSİ KURUMU
Kasım 2017
Tez Danışmanı: Fatih ALİM
Günümüzde internetin yaygınlaşması ile birlikte sürekli gelişen ve değişen bilgi ve iletişim
teknolojilerinin hayatımızın her alanında var olması yeni tehditleri de beraberinde
getirmektedir. Bu yeni tehditler karşımıza siber silahlar olarak çıkmakta ve bize yeni yüzünü
zararlı yazılımlar ile göstermektedir. Siber uzaydaki bu tehditler geliştikçe, emniyet ve
savunma konusu da önem kazanmaya başlamıştır. Bu çalışmada nükleer tesislerde siber
emniyet ve savunma konusu ayrıntılı olarak araştırılmış, gerek uluslararası alanda yaşanmış
siber saldırıların incelenmesiyle, gerek yeni senaryoların oluşturulmasıyla olası siber
tehditler değerlendirilmiş ve Türkiye Atom Enerjisi Kurumu (TAEK) için alınması gereken
tedbirler tezde belirtilmiştir. Türkiye’de kritik altyapılarla ilgili siber çalışmalara dair yapılan
yasal düzenlemeler ve siber emniyetle ilgili yapılan faaliyetler incelenmiş, kamu kurumlarını
ve özel sektörü ilgilendiren siber emniyet çalışmaları hakkında bilgi verilmiştir.
TAEK’in görev alanına giren nükleer tesislerin ve nükleer maddelerin emniyeti için siber
alanda karşılaşılabilecek tehditlere karşı yapılması gereken başlıca kontroller ve önlemler
değerlendirilerek, TAEK için öneriler getirilmiştir.
Yapılan literatür araştırması sonucu mevzuatta yapılması gereken iyileştirmeler bulunduğu
değerlendirilmiştir. Elde edilen bulgulara göre düzenleyici ve denetleyici kurum olarak
TAEK, ilk olarak bir siber emniyet politikası, uygulama ve yürütme planı oluşturmalıdır.
Ulusal Siber Olaylara Müdahale Merkezine(USOM) ile koordineli bir şekilde nükleer
tesislere yönelik düzenli risk değerlendirmesi çalışmalarını gerçekleştirmelidir. Nükleeriii
tesislere veya nükleer maddelere yönelik bir siber saldırı olması halinde bağlı bulunduğu
Sektörel Siber Olaylara Müdahale Ekibi (Sektörel SOME)aracılığı ile veya doğrudan
USOM’a olayı bildirmelidir. Ayrıca siber emniyet ile ilgili düzenleyici gereksinimleri
belirlemeli ve nükleer tesislerin bu gereksinimlere uyumlu olup olmadığını düzenli ve resmi
denetimlerle kontrol etmelidir. Bununla birlikte yetkilendirdiği kişi aracılığı ile tesise
yapılan denetimlerde tesisin bilgi varlıklarını tanımlayıp sınıflandırdığını denetlemeli, yasal
risk analizlerinin gerçekleştirilip gerçekleştirilmediğini göz önünde bulundurmalıdır. Siber
emniyet olaylarının anlık analizi ve uygun raporlanıp raporlanmadığını denetlemeli ve
gerekli tedbirleri almalıdır.
Anahtar Kelimeler: Nükleer tesislerde siber emniyet, siber saldırılar, kritik altyapı, siber
uzay.
iv
ABSTRACT
CYBER SECURITY, CYBER ATTACK SCENARIOS, RESULTS AND
DEFENSE SYSTEMS IN NUCLEAR FACILITIES
Merve Çetin
TURKISH ATOMIC ENERGY AUTHORITY
January, 2017
Supervisor: Fatih ALİM
Today, with the widespread use of the internet, constantly evolving and changing
information and communication technologies are present in all areas of our lives. These new
threats come as cyber weapons and show us the new face with malicious software.
As these threats in cyberspace have developed, security and defense has become more
important. In this study, cyber security and defense in nuclear facilities were investigated in
detail. Potential threats were evaluated by examining previous cyber attacks on the
international scene and the creation of new scenarios. Measures to be taken for our Institution
were mentioned in the thesis. In our country, legal arrangements about cyber activities
related to critical infrastructures and activities related to cyber security have been examined
and information has been given about cyber security studies related to public institutions and
the private sector.
The main controls that should be done against the threats to be encountered in the cyber area
for the safety of the nuclear facilities and the nuclear materials entering our duty area have
been evaluated and proposals have been made for our authority.
There are improvements to be made in the resulting legislation in the literature survey.
According to the findings, the Turkish Atomic Energy Authority as the regulatory and
supervisory authority should first establish a computer security policy, implementation and
execution plan. Regular risk assessment activities for nuclear facilities should be coordinated
v
with the USOM. It should inform the USOM through the Sectoral SOME, which it depends
on if there is a cyber attack on nuclear facilities or nuclear materials. It should also determine
regulatory requirements related to computer security and check with regular and official
inspections whether the nuclear facilities comply with these requirements. Supervise
whether the facility identifies and classify the information assets in the audits carried out
through the person authorized by it, and consider whether the legal risk analyzes have been
carried out. It should monitor the instantaneous analysis of computer security incidents and
properly report them and take the necessary measures.
Keywords: Cyber security in nuclear facilities, cyber attacks, critical infrastructure, cyber
space.
vi
İÇİNDEKİLER
Ö Z E T ...............................................................................................................................................iii
A B STR A C T.................................................................................................................................... v
ŞEK İLLER D İZİN İ......................................................................................................................xi
TABLOLAR D İZİN İ.................................................................................................................. xii
SİM GELER VE K ISALTM ALAR........................................................................................ xiii
TA N IM LA R..................................................................................................................................xv
G İR İŞ .................................................................................................................................................1
1. LİTERATÜR Ö Z E T İ........................................................................................................... 3
2. NÜKLEER TESİSLERDE SİBER EM NİYET, SİBER SALDIRISENARYOLARI, SONUÇLARI VE SAVUNMA SİSTEM LER İ..................................... 9
2.1 Nükleer Tesislerde Siber Emniyet..................................................................................... 92.1.1 Siber emniyetin önemi ve nükleer güvenlik ile ilişkisi....................................... 10
2.1.2 Nükleer tesisler için özel durumlar........................................................................ 10
2.1.3 M etodoloji.................................................................................................................11
2.1.4 Anahtar term inoloji................................................................................................. 112.1.5 Mevzuata ilişkin ve yönetimsel olarak göz önünde bulundurulacak hususlar 12
2.1.5.1 Yasal gözden geçirmeler...............................................................................12
2.1.5.2 Düzenleyici gözden geçirmeler.................................................................... 13
2.1.5.3 Saha emniyeti taslağı..................................................................................... 14
2.1.5.4 Tehdit çevresinin değerlendirilmesi............................................................ 152.1.6 Yönetim sistemleri....................................................................................................16
2.1.7 Organizasyon konuları............................................................................................. 17
2.1.7.1 Yetkiler ve sorumluluklar..............................................................................17
2.1.7.2 Siber emniyet kültürü.................................................................................... 19
2.1.8 Siber emniyet uygulam ası...................................................................................... 20
2.1.8.1 Siber emniyet planı........................................................................................ 21
2.1.8.2 Siber emniyetin diğer alanlarla olan ilişkisi...............................................21
2.1.8.3 Varlık analizi ve yönetimi............................................................................ 22
2.1.8.4 Devletin rolleri ve sorumlulukları............................................................... 23
2.1.8.5 Nükleer emniyet rejiminde siber emniyet stratejisi geliştirme................ 232.1.9 Tehditler, zayıflıklar ve risk yönetim i.................................................................. 24
2.1.9.1 Risk.................................................................................................................. 24
2.1.9.2 Risk değerlendirmesi ve yönetimi............................................................... 25
2.1.9.3 Tehdit tanımı ve karakteri............................................................................ 26
vii
2.1.10 Nükleer tesisler için göz önünde bulundurulacak siber emniyet hususları . 26
2.1.11 Düzenleyici denetim ve iç denetimler.............................................................27
2.2 Dünya’da Siber Emniyet ve Kritik Altyapılar.............................................................. 28
2.2.1 Dünya’daki kritik altyapılara yönelik siber tehditler.......................................... 28
2.2.2 Dünya’daki nükleer tesislere yönelik tehditler.................................................... 33
2.2.2.1 Slammer solucanı ve David Besse Nükleer Enerji Santrali.....................36
2.2.2.2 Browns Ferry Nükleer Enerji Santrali.........................................................37
2.2.2.3 Hatch Nükleer Enerji S antrali......................................................................38
2.2.2.4 ABD’deki nükleer santrallere yönelik kötücül yazılım saldırıları..........38
2.2.2.5 Nükleer enerji santrallerine yönelik uluslararası sabotaj ve yetkisiz erişimgirişimleri........................................................................................................................... 39
2.2.2.6 Monju Nükleer Enerji Santrali.....................................................................40
2.2.2.7 ICS ve SCADA sistemleri açısından bir dönüm noktası: Stuxnet.......... 41
2.3 Türkiye’de Siber Emniyet ve Kritik Altyapılar............................................................. 46
2.3.1.1 Siber emniyet çalışmaları............................................................................. 49
2.3.1.2 Siber güvenlik stratejisi ve eylem p lan ı......................................................51
2.3.1.3 USOM ve kurumsal siber olaylara müdahale ek ib i..................................52
2.3.1.4 Sektörel siber olaylara müdahale ek ib i.......................................................52
2.3.1.5 Siber güvenlik inisiyatifi...............................................................................53
2.3.1.6 Siber emniyet tatbikatı..................................................................................552.3.1.7 Farkındalık çalışmaları..................................................................................56
2.3.1.8 Türkiye’de hali hazırda siber emniyetle ilgili mevzuat............................ 57
2.3.1.9 Siber emniyet uygulamalarında mevcut durum ve TAEK’in ro lü .........622.3.1.10 ISO 27001.......................................................................................................65
2.4 Siber Saldırı Senaryoları ve Sonuçları.......................................................................... 66
2.4.1 Siber saldırı tanımı ................................................................................................. 66
2.4.2 Siber saldırı süreci................................................................................................... 66
2.4.3 Saldırgan profilleri................................................................................................... 67
2.4.3.1 İç tehditler.......................................................................................................68
2.4.3.2 Dış tehditler.................................................................................................... 69
2.4.4 Saldırı senaryoları oluşturma..................................................................................70
2.4.5 Siber saldırılarda kullanılan m etotlar....................................................................70
2.4.6 Siber saldırı senaryoları...........................................................................................75
2.4.6.1 Senaryolara genel g iriş..................................................................................75
2.4.6.2 Neden SCADA?.............................................................................................77
2.4.6.3 SCADA nedir?...............................................................................................78
viii
2.4.6.4 Senaryo 1.........................................................................................................80
2.4.6.5 Senaryo 2 .........................................................................................................82
2.4.7 Nükleer tesislere yönelik siber saldırıların olası sonuçları............................... 82
2.5 Savunma Sistemleri.............................................................................................................83
2.5.1 Siber savunma sisteminin unsurları....................................................................... 84
2.5.1.1 Güvenlik duvarı..............................................................................................84
2.5.1.2 Anti virüs.........................................................................................................85
2.5.1.3 Sayısal imza.................................................................................................... 852.5.1.4 İçerik filtreleme.............................................................................................. 85
2.5.1.5 Adli bilişim......................................................................................................85
2.5.1.6 Bal küpü ..........................................................................................................85
2.5.1.7 Siber tehditleri algılama sistemi...................................................................85
2.5.1.8 Şifreleme sistemleri....................................................................................... 86
2.5.1.9 Kimlik doğrulama sistemleri........................................................................ 86
2.5.2 Kötücül yazılımlar için ortak koruma stratejileri...............................................86
2.5.2.1 İmza tabanlı.................................................................................................... 86
2.5.2.2 Sağlama .......................................................................................................... 862.5.2.3 Davranış tabanlı............................................................................................. 86
2.5.3 Acil müdahale ve siber olaya karşılık verme...................................................... 87
2.5.3.1 Olay müdahale hayat döngüsü.....................................................................89
2.5.4 Önleme, yok etme, iyileştirme.............................................................................. 90
2.5.4.1 Önlem e............................................................................................................ 90
2.5.4.2 Yok etm e.........................................................................................................91
2.5.4.3 İyileştirme...................................................................................................... 91
2.5.4.4 Olay sonrası müdahale ................................................................................. 91
2.5.4.5 Olay müdahale hedefleri ............................................................................. 91
2.5.4.6 Olay müdahalesinin faydaları...................................................................... 92
2.5.4.7 Olaylara müdahalede sorumluluklar .......................................................... 922.5.5 Kritik altyapıların siber emniyeti kapsamında alınabilecek önlemler ............. 92
3. ÜLKE UYGULAMALARI VE KARŞILAŞTIRMALARI...................................... 99
3.1 Düzenleyici Çerçeve........................................................................................................ 1023.2 Yönetmelikler ve Kılavuz............................................................................................... 104
3.3 TET Karşılaştırmaları ve Diğer Hususlar..................................................................... 105
4. TEZİN TAEK’E KATKISI........................................................................................... 114
4.1 Yönetmeliğe Esas Teşkil Edecek Mevzuat Çalışması.................................................114
4.2 TAEK’in Alması Gereken Kurum İçi Tedbirler.......................................................... 116ix
SO N U Ç.........................................................................................................................................117KAYNAKLAR............................................................................................................................126
Ö Z G E Ç M İŞ................................................................................................................................ 130
ET İK KURALLARA UYGUNLUK B E Y A N I................................................................... 131
x
ŞEKİLLER DİZİNİ
Şekil SayfaŞekil 1. Örnek araçlar.................................................................................................................... 13
Şekil 2. Saldırılara maruz kalan kritik altyapı sektörleri.........................................................31
Şekil 3. Norse Siber Tehdit Haritası.......................................................................................... 32
Şekil 4. Nükleer tesislerde siber olayların sıklığı.....................................................................34
Şekil 5. USOM, Sektörel SOME ve Kurumsal SOME ilişkisi...............................................59
Şekil 6. Siber emniyet uygulamalarıyla ilgili Türkiye’deki mevcut durum ......................... 63
Şekil 7. Siber emniyet uygulamalarıyla ilgili TAEK'in üstlenmesi gereken r o l ................. 64
Şekil 8. Olay müdahale hayat döngüsü.....................................................................................89
Şekil 9. Kritik altyapı korunma aşamaları.................................................................................93
Şekil 10. Kritik altyapılarda 21 siber emniyet adımı............................................................... 94
xı
TABLOLAR DİZİNİ
Tablo SayfaTablo 1. Nükleer tesisler için göz önünde bulundurulacak siber emniyet hususları............26
Tablo 2: Uluslararası yaşanmış örnekler.................................................................................... 35
Tablo 3. Stuxnet sonrası öğreniler...............................................................................................44
Tablo 4 .Siber emniyet tatbikatı.................................................................................................. 55
Tablo 5. İç tehditler.......................................................................................................................68
Tablo 6. Dış tehditler.....................................................................................................................69
Tablo 7. Nükleer emniyet mevzuatının özgünlüğü.................................................................100
Tablo 8. Siber emniyet için nükleer mevzuat içerisindeki referanslar................................100
Tablo 9. Siber emniyet mevzuatı............................................................................................... 101
Tablo 10. Siber emniyet politikaları........................................................................................ 102
Tablo 11. Yetkili makam(siber/nükleer olmayan)................................................................. 102
Tablo 12. Yetkili makam (nükleer)...........................................................................................103
Tablo 13. Nükleer tesislerde siber emniyet için yetkili m akam ...........................................103
Tablo 14. Nükleer tesislerde siber emniyet için ayrılmış birimin varlığı............................103
Tablo 15. Siber emniyet düzenlemelerinin nükleer tesislere uygulanması........................104
Tablo 16. Nükleer tesislerin siber emniyet düzenlemesinde teknik desteğin varlığı........104
Tablo 17. Nükleer tesisler için siber tehdit değerlendirmesi................................................. 106
Tablo 18. Nükleer tesisler için siber TET................................................................................. 107
Tablo 19. Nükleer tesislerin siber emniyet denetimleri.......................................................... 107
Tablo 20. Siber emniyet eğitim i................................................................................................ 108
Tablo 21.Ülkeler bazında NTI indekste geçen hırsızlık verilerinin karşılaştırılması........111
Tablo 22.Türkiye’ye ait NTI indekste geçen hırsızlıkla ilgili veriler..................................112
Tablo 23. Ülkeler bazında NTI indekste geçen sabotaj verilerinin karşılaştırılması.........113
xii
SİMGELER VE KISALTMALAR
ABD : Amerika Birleşik Devletleri
BTK : Bilgi Teknolojileri Kurumu
CERT : Bilgisayar Acil Durum Ekibi (Computer Emergency Response Team)
CNCAN : Romanya’nın Nükleer ve radyolojik tesislerin, nükleer ve diğer radyoaktif materyallerin ve ilgili tüm faaliyetlerin düzenlenmesi, lisanslanması ve kontrolünden sorumlu ulusal yetkili makamları (the National Commission for Nuclear Activities Control)
CPU : Merkezi İşlem Birimi, çalıştırılmakta olan yazılımın içinde bulunan komutları işler.(Central Processing Unit)
DDoS : Saldırganın saldırıya geçmeden önce oluşturduğu makine veya bilgisayar topluluğu ile hedefe saldırmasıdır ve bu saldırılarda hizmet aksatma veya hiç hizmet veremez hale getirme amaçlanmaktadır (Distrubuted Denial o f Service)
DoS : Hizmet dışı bırakma saldırısı (Denial o f service)
EKS : Endüstriyel Kontrol Sistemleri (ICS/ Industrial Control Systems)
ERIPP : Kritik altyapılar üzerine yoğunlaşan bir arama motoru (the Every Routable IP Project)
IDS : Kötü niyetli ağ hareket ve bağlantılarının tespiti için kullanılan sistem (Intrusion Detection Systems)
IED : Akıllı Elektronik Cihaz (Intelligent Electronic Unit)
ISO/IEC13335 : Bilgi yönetimi ve iletişim teknolojisi emniyeti ile ilgili bir standart (Management o f information and communications technology security)
ISO/IEC270005: Bilgi emniyeti risk yönetimi(Information security risk management)
NRC : Amerika Birleşik Devletleri Nükleer Düzenleyici Komisyonu (Nuclear Regulatory Commission)
PAC : Proses Otomasyon Kontrol Cihazı (ProcessAutomation Controller)
PLC : Programlanabilir Mantık Kontrolörleri (Programmable Logic Control)
RTU : Uzak Terminal Ünitesi(Remote Terminal Unit)
xııı
SCADA
SOMETAEKUAEA
UDHBUSOMSQL
: Uzaktan Kontrol ve Gözetleme Sistemi (Supervisory Control And Data Acquisition)
: Siber Olaylara Müdahale Ekibi : Türkiye Atom Enerjisi Kurumu : Uluslararası Atom Enerjisi Ajansı (International Atomic Energy Agency)
: Ulaştırma, Denizcilik ve Haberleşme Bakanlığı : Ulusal Siber Olaylara Müdahale Merkezi: Yapılandırılmış Sorgu Dili, Microsoft tarafından geliştirilmiş ilişkisel veri
tabanı yönetim sistemidir.(Structured Query Language)
xiv
TANIMLAR
Hacker: Şahsi bilgisayarlara, kurum kuruluşlara veya ağlara izinsiz olarak saldıran ve o
sistemleri kontörlüne alan veya sistemlere zarar veren kişileri ifade eder.
Hırsızlık: Nükleer maddelerin çalınmasını ifade eder.
Kurum: Türkiye Atom Enerjisi Kurumunu ifade eder.
Nükleer emniyet: Nükleer madde ve nükleer tesisleri hedef alan hırsızlık, sabotaj, yetkisiz
erişim ve diğer kötü niyetli girişimleri engellemek, tespit etmek ve gerektiğinde karşılık
vermek üzere gerekli fiziksel koruma önlemlerinin alınmasını ve etkinliğinin sürdürülmesini
ifade eder.
Nükleer emniyet kültürü: Nükleer emniyet ile ilgili faaliyetlerde yer alan tüm kişi, kurum
ve kuruluşların söz konusu faaliyetler yürütülürken nükleer emniyeti garanti altına almak
için gereken her türlü inanış, davranış ve alışkanlıkları edinmesi, desteklemesi, geliştirmesi
ve önem vermesini ifade eder.
Nükleer güvenlik: Nükleer tesislere ilişkin faaliyetler sırasında birey, toplum ve çevrenin
radyasyondan korunmasını sağlamak üzere uygun koşulların oluşturulması, kazaların
önlenmesi veya kaza sonuçlarının hafifletilmesini ifade eder.
Nükleer tesis: Kurum tarafından nükleer emniyetin ve nükleer güvenliğin göz önüne
alınması gerektiği belirlenen, nükleer maddenin üretildiği, işlendiği, kullanıldığı,
bulundurulduğu, yeniden işlendiği veya depolandığı her türlü tesise denir.
Sabotaj: Radyoaktif madde salmak veya radyasyona maruz bırakmak suretiyle doğrudan
veya dolaylı olarak tesis çalışanlarının, halkın ve çevrenin sağlık ve güvenliğini tehlikeye
sokabilecek, nükleer tesislere veya nükleer maddelere karşı yapılan saldırı dahil her türlü
kötü niyetli, zarar verici ve kasıtlı hareketi ifade eder.
Saha: Nükleer tesisin yer aldığı etrafı fiziksel bariyerlerle çevrili, giriş ve çıkışı kontrollü ve
yetkilendirilen kişinin otoritesi altında olan yeri ifade eder.
Stuxnet: Stuxnet SCADA sistemleri için özel olarak yazılmış bir kötücül yazılımdır. Stuxnet
İran’ın Natanz şehri uranyum işleme merkezindeki santrifüj sistemlerini ve Bashehr
şehrindeki nükleer reaktör türbinlerini hedef almıştır.
xv
Tasarıma Esas Tehdit (TET): Fiziksel koruma sisteminin tasarımına temel teşkil eden,
nükleer madde hırsızlığı veya sabotajla sonuçlanabilecek olan potansiyel olarak en güçlü
tehdide denir.
Yetki: Bir faaliyeti yerine getirmek üzere Kurum tarafından verilen lisans, izin veya onayı
ifade eder.
Yetkilendirilen kişi: Nükleer emniyet veya nükleer güvenlik ile ilgili olarak Kurumdan
yetki alınmasını gerektiren herhangi bir faaliyeti yerine getirmek üzere Kurum tarafından
yetkilendirilmiş gerçek veya tüzel kişiyi ifade eder.
Yetkilendirme: Nükleer emniyet veya nükleer güvenlik ile ilgili faaliyetlerini Kurumun
düzenlemelerine uygun şekilde yürütmesi için gerçek veya tüzel kişilere
belirli prosedürler uyarınca Kurum tarafından yetki verilmesi işlemini, ifade eder.
xvi
GİRİŞ
Bilindiği üzere son yıllarda siber emniyete olan ilgi artmış, birçok ulusal ve uluslararası
makam, giderek karmaşıklığı artan tehdit senaryolarına karşı yeni düzenlemeler ve
savunmalar hazırlama gereği duymuştur. Bu düzenlemeler nükleer tesislerdeki siber
emniyet gerekliliklerini ortaya koymaktadır. Siber emniyetin amacı, genelde elektronik veri,
bilgisayar sistem ve süreçlerinin gizlilik, bütünlük ve geçerlilik açısından korunmasıdır. Bu
tezin amacı da nükleer tesislerde bu dijital sistemlerin sabotaj, veri hırsızlığı vb. kötü amaçlı
faaliyetlere karşı korunmasıyla ilgili farkındalık uyandırmak, bu amaçları
gerçekleştirebilmek için nasıl bir savunma sistemi geliştirilebileceğine değinmek, siber
emniyet planının hazırlanmasına katkıda bulunmak, mevzuata katkı yapabilecek konulara
değinmek ve iyileştirici önerilerde bulunmaktır. Ayrıca diğer ülke uygulamalarına ve uzman
görüşlerine yer verilerek Türkiye’nin nükleer emniyet altyapısının güçlendirilmesine de
katkıda bulunmaktır.
Nükleer tesislerin ve nükleer maddelerin emniyetinin sağlanmasına yönelik siber emniyet
konusunda hazırlanan bu tezin; siber emniyet konusunda bilgi birikimini arttırması, siber
emniyet ile fiziksel koruma arasındaki ilişkinin kurulmasına yönelik katkı sağlaması,
oluşturulan senaryolarla siber saldırıların karakteristiğinin tanımlanması, olası tehditlerin
değerlendirilmesi ve siber emniyeti sağlayacak bir savunma mekanizmasının geliştirilmesi
bakımından katkı sağlayacağı düşünülmektedir.
Bu tez, genel hatlarıyla siber emniyet ile alakalı, politika ve planların nasıl olması
gerektiğini, diğer ülke uygulamalarını, Uluslararası Atom Enerjisi Ajansının (UAEA) bu
konuyla ilgili tavsiyelerini, Türkiye mevzuatındaki siber emniyetiyle ilgili eksiklikleri ve
nasıl iyileştirileceği ile ilgili faaliyetleri, kurumlara ve bireylere düşen sorumlulukları
kapsamaktadır. Ayrıca geçmişten günümüze nükleer tesislere yönelik düzenlenen siber
saldırılara, siber saldırı metotlarına, siber saldırı analizlerine, yaşanmış örnekler üzerinden
çıkarılan derslere ve olası tehditler göz önüne alınarak hazırlanan senaryolara yer verilmiştir.
Siber saldırı olması durumunda müdahale mekanizmasının nasıl işletilmesi gerektiği ile ilgili
temel bilgilere değinilerek siber savunma sistemlerinin gerekleri ortaya koyulmaya
çalışılmıştır.
Bu tezde gelişme bölümü üç ana başlık altında incelenmiş olup, ilk olarak Nükleer
1
tesislerde siber emniyet başlığı altında temel kavramlara, mevzuata ilişkin göz önünde
bulundurulması gereken hususlara, yönetim sistemleri ve örgütsel konulara, siber
emniyetin uygulamasına, tehdit, zafiyet ve risk yönetimi konularına yer verilmiş, ayrıca
Türkiye’de siber emniyet ve kritik altyapılar konusu ayrıntılı olarak incelenmiştir.
İkinci alt başlıkta dünyadaki siber tehditler, öncelikle tüm kritik altyapılara yönelik
saldırılarla sonrasında da nükleer tesislere yönelik saldırılarla genelden özele verilmiş,
dünyanın nasıl büyük bir tehlike altında olduğu gözler önüne serilmeye çalışılmıştır. Ayrıca
bu bölümde dünyanın siber tehditleri canlı olarak izlediği siber haritalara, ,yaşanmış örnek
olaylara ve Türkiye’deki yeni oluşumlara yer verilmiştir.
Sonrasında Türkiye’de Siber Emniyet ve Kritik Altyapılar başlığı altında Türkiye’deki
siber emniyet çalışmalarına, ilgili mevzuata, kurumların yetki ver sorumluluklarına, hali
hazırda uygulamalardaki mevcut duruma ve TAEK’in bundan sonra rolünün ne olacağına
değinilmiştir.
Siber Saldırı Senaryoları ve Sonuçları başlığı ile siber saldırı tanımı, siber saldırı süreci,
saldırgan profilleri, saldırı amaçlarının neler olabileceği, siber saldırı metotları konuları
işlenmiştir. Sonuçları düşük ve orta seviyede zarara sebebiyet verebilecek 2 ayrı senaryo
oluşturulmuş ve sonuçları anlatılmıştır. Bu senaryolar kapsam olarak Uzaktan Kontrol ve
Gözetleme Sistemlerinin (SCADA) seçilmesi ile sınırlandırılmış, SCADA sistemlerinin
önemine değinilmiş ve son zamanlarda SCADA sistemlerine yönelik artan saldırılardan
bahsedilmiştir.
Son olarak savunma sistemlerinde; acil müdahale ve siber olaylara karşılık vermenin nasıl
olması gerektiği üzerinde durulmuştur. Ayrıca kritik altyapıların siber emniyetinde
alınabilecek önlemlerden bahsedilmiştir.
İkinci ana başlık ülke uygulamaları ve karşılaştırmalarında genel ifadeyle Almanya, ABD,
Rusya, Güney Afrika, Çin, Fransa ve Japonya‘nın yer aldığı 7 ülke ile ilgili nükleer
tesislerdeki siber emniyete dair ulusal yaklaşımlar incelenmiş ve ülkeler arası
karşılaştırmalara yer verilmiştir. Bu karşılaştırmalar düzenleyici çerçeve, yönetmelikler ve
kılavuzlar bazında tek tek ele alınmıştır.
Son ana başlıkta bu tezin TAEK’e olan katkısı, kurum içi alınması gereken tedbirler ve
mevzuat çalışmasına yer verilmiştir.
2
1. LİTERATÜR ÖZETİ
Bilgi ve iletişim sistemlerinin kullanımının hızla arttığı günümüzde aynı hızla önem
kazanan siber emniyet konusuyla ilgili literatürde pek çok çalışma bulunmaktadır. Siber
emniyet konusu özellikle devlet düzeninin ve toplumsal düzenin sağlıklı bir şekilde
işlemesi için gerekli olan kritik altyapılar için önem arz etmektedir. Enerji üretim ve
dağıtım sistemleri de bu kritik altyapıların başında geldiğinden nükleer tesislerde siber
emniyetin önemi bir kez daha ortaya çıkmaktadır.
Literatürde pek çok çalışmada nükleer alandaki siber saldırılara ve sonuçlarına yer veren
makaleler (Bıçakçı,2017; Yılmaz, 2017), bu siber tehditleri engelleme adına nasıl önlemler
alınacağı ve nasıl bir metot geliştirilebileceği ile ilgili çalışmalar (IAEA, 2015c) göze
çarpmaktadır.
Bunun dışında söz konusu tezde yararlanılan UAEA dokümanları olası tehditlerle başa
çıkabilmek için düzenleyici kuruma rehberlik sağlamaktadır. Ayrıca henüz taslak
aşamasında olan ve yayıma hazırlanırken Türkiye Atom Enerjisi Kurumu (TAEK)
tarafından da uluslararası toplantılar vasıtası ile görüş alınan yeni UAEA dokümanlarında
siber emniyet değerlendirilmesinin nasıl yürütüleceği, nükleer tesislerdeki siber emniyetin
uygulaması ve bu konudaki tavsiyeler üzerinde durulmaktadır (IAEA, 2013 a) (IAEA,
2016a). Ayrıca bu tezde yakın zamanda dünyada yaşanan siber saldırılara ve bazı terör
gruplarının siber ağlara sızma girişimlerine siber tehditlerin muhtemel eğilimlerine ve
bütün bunlardan yola çıkılarak oluşturulan siber saldırı senaryolarına yer verilmiştir.
Günümüzde pek çok örneği bulunan siber saldırı olaylarının tarihine bakıldığında ilk olarak
soğuk savaş döneminde Rusya’nın 1982 yılında Kanada’da bulunan bir şirketten doğalgaz
boru hatlarının kontrolünde kullanılan bir yazılımı çalması olayı görülmektedir. Bu olay
üzerine (ABD) durumu fark ederek, düşmanı kendi silahıyla vurmuş, karşı atakta bulunarak
yazılımın içine virüs yerleştirmiştir. Rusların çaldığı bu yazılım bir süre sonra virüs
tarafından bozularak doğalgaz borusundan geçen gaz miktarını aşırı seviyede arttırmış ve
doğalgaz borusunun patlamasına sebep olmuştur. Sonuç olarak çok büyük bir patlama
gerçekleşmiştir.
Nükleer alanda yapılan siber saldırılara bakıldığında ise, 2010 yılında İran’daki nükleer
tesisleri hedef alan ve SCADA sistemleri için özel olarak tasarlanmış Stuxnet adlı kötücül
yazılımla gerçekleştirilen siber saldırı tam bir dönüm noktası olmuştur. Endüstriyel komuta
3
ve kontrol sistemlerinin gelişmiş hali olarak da adlandırılan SCADA sistemleri, ağlara ve
internete kolayca bağlanabildiğinden sistemlerin kullanımını kolaylaştırırken bir yandan da
güvenlik tehditlerine açık hale gelmektedir. Uzaktan internet aracılığı ile kumanda edilen bu
sistemlere yapılan bir saldırı, tüm sistemleri etkilemektedir. Dolayısıyla bu olay sonrasında
dünyada siber emniyet konusu daha çok önem kazanmıştır.
Nükleer alanda yaşanan diğer önemli siber saldırılar ise; ABD’deki David Besse Nükleer
Enerji Santraline yapılan siber saldırı, Alabama Athens yakınlarındaki Browns Ferry
Nükleer Enerji Santraline yönelik saldırı, Baxley, Georgia yakınlarındaki Hatch Nükleer
Enerji Santraline yönelik saldırı şeklinde örneklendirilebilir. Bu saldırılara ve sonuçlarına
ilişkin detaylar tezde yer almaktadır. Yaşanan bu olaylardan çıkarılan dersler siber savunma
sistemlerinin gelişmesine katkıda bulunmuş, bu konuda yapılan çalışmalar hız kazanmıştır
(Bıçakçı, 2017).
Siber alandaki bu tehditler devletleri de karşı karşıya getirmiş, Şentürk ve diğerlerinin
çalışmasında da(Şentürk, Çil, Sağıroğlu, 2012) bahsedildiği üzere; ilk kez 2007'de
Estonya'da yapılan devletler seviyesindeki siber savaştan günümüze kadar, Rusya-
Gürcistan, Kuzey Kore-ABD, Çin-Hindistan başta olmak üzere pek çok siber savaş meydana
gelmiştir. Bu saldırılar, siber savaşın zaman içindeki ağırlığını artıracağını ve 21.yüzyılda
siber alanın güvenliğinin sağlanmasının kritik önem arz ettiğini göstermektedir.
Bununla birlikte Haziran 2009'da İngiltere Bakanlar Kurulu tarafından hazırlanan "Birleşik
Krallığın Siber Güvenlik Stratejisi" raporuna göre 19.yüzyılda kendileri için denizlerin
güvenliğini, 20.yüzyılda havanın güvenliğini, şimdi ise 21.yüzyılda siber uzaydaki güvenliği
sağlamaları gerektiğini ifade ederek siber emniyetin önemine vurgu yapılmıştır.
Bu çalışmada özellikle siber güvenlik stratejisi hazırlamanın bir ülke için ne kadar önemli
olduğu vurgusu yapılmaktadır. Şentürk ve diğerlerinin çalışmasında siber bir tehdit
karşısında uygulanabilecek üç temel stratejinin caydırıcılık, silahsızlanma ve savunma
olduğuna ancak silahsızlanma ve caydırıcılıktan ziyade, savunmanın diğerleri arasında en
iyi strateji olduğuna değinilmiştir. İyi bir savunma içinse, bir ulusun, stratejik hedefleri ve
alınacak önlemleri içeren bir ulusal strateji belgesi geliştirmesinin zorunlu olduğunu dile
getirmiştir. Şentürk ve diğerleri makalelerinde Libicki’yi referans göstererek gelecekteki
tüm askeri ve siyasi uyuşmazlıkların bir siber emniyet boyutu olacağını, bu nedenle siber
güvenlik stratejisi olmayan, merkezi bir savunma ve tepki kabiliyeti olan ülkelerin zayıf
4
olacağı yönünde düşüncelerini dile getirmiştir. Ayrıca söz konusu çalışmada ulusal siber
güvenlik stratejilerinin dünya üzerindeki öneklerine değinilmiş ve bu tezde detaylı olarak
verilmiştir.
Türkiye’de de siber güvenlik stratejisi ve eylem planı düzenli olarak Ulaştırma, Denizcilik
ve Haberleşme Bakanlığı(UDHB) tarafından hazırlanmakta ve güncellenmektedir. Bu tezde
de 2016-2019 Ulusal Siber Güvenlik Stratejisinden faydalanılmış, Türkiye’deki bilgi ve
iletişim sistemlerinin güvenliğindeki gereksinimlerine değinilmiştir.
Bu tezde en çok yararlanılan UAEA’nın Computer Security at Nuclear Facilities(Nuclear
Security Series No.17/ NSS17) başlıklı dokümanında; düzenleyici kurumların siber
emniyet planını nasıl kuracağı, geliştireceği ve ilgili mevzuatın nasıl yapılanacağı
anlatılmaktadır. Bahse konu dokümanda ayrıca siber tehditler, risk yönetimi, yönetimle
siber emniyet sorumlusunun ve diğer tüm çalışanların bireysel sorumlulukları
tanımlanmıştır.
NSS 17 dokümanında da belirtildiği üzere, bu dokümanın birincil amacı; siber emniyetin,
nükleer tesisteki tüm emniyet planının temel bir parçası olduğunu ifade etmektir. İkinci
amacı, siber emniyet programının nükleer tesislere uygulanması için özel bir rehberlik
sağlamaktır. Bunun için bu yayın bazı tavsiye edici yaklaşımları, yapılar ve nükleer tesisler
için tasarlanmış uygulama prosedürlerini içermektedir. Bu yayının diğer bir amacı ise
mevcut programda denge sağlamak ve risk azaltmaktır (IAEA, 2011a). Bu sebeple
Türkiye’de de siber emniyet konusundaki mevzuatın geliştirilmesinde, sorumlulukların
belirlenmesinde ve bu tezin yazılmasında söz konusu dokümanın faydalı olduğu
düşünülmektedir.
Bu tezde yararlanılan diğer bir kaynak Computer Security for Nuclear Security
Professionals (IAEA, 2013c) dokümanı bir ders kitabı olup, kaynakta NSS 17’den farklı
olarak siber olaylarla ilgili güncel bilgilere, kimlik doğrulama konusuna ve bilgisayar
erişim kontrolü konusuna değinilmiştir. Bilgi ve bilgisayar kaynaklarının fiziksel ve
elektronik erişimlerinin yönetimi anlamına gelen erişim kontrolü konusundaki bilgilerin
ilgili tezde savunma sistemleri konusunda faydalı olduğu düşünülmektedir. Ayrıca bu
dokümanda tipik saldırı adımları anlatılmış, varsayıma dayalı dış kaynaklardan gelebilecek
potansiyel saldırılara değinilmiştir. Bu bilgilerden siber saldırı senaryosu oluşturulurken
faydalanılmıştır.
5
Henüz taslak doküman olan UAEA’nın üzerinde çalıştığı NST045 “Computer Security for
Nuclear Security (NST 045/NSGC 9 Draft)” dokümanında ise siber emniyetin uygulaması
konusuna daha detaylı olarak yer verilmiş olup NSS 17 dokümanında olmayan strateji
geliştirme ve uygulama konusuna yer verilmiştir. Siber emniyetin uygulanması konusunda
çeşitli ülke faaliyetleri ve mevzuatları da bu konuya örnek teşkil etmektedir. Bunun dışında
Türkiye’de kritik altyapıların siber emniyeti için Karabacak ve diğerleri tarafından yapılan
çalışmada (Karabacak, Yıldırım, Baykal, 2016) düzenleyici yaklaşımın nasıl olacağı
konusuna yer verilmiştir. Bu çalışmaya göre siber emniyet açısından düzenleyici yaklaşımla
alakalı iki farklı görüş bulunmaktadır. Bazı emniyet uzmanları ve yetkililer bir yandan kritik
altyapıların korunması için mevzuatın zorunlu olduğunu düşünürken diğer yandan özel
sektördeki yöneticiler ise mevzuatın siber emniyet konusundaki yeniliklerin önünde bir
engel teşkil ettiğini savunmaktadırlar. Bu makalede 3 fazlı yaklaşımdan bahsedilmektedir.
İlk olarak kritik altyapılara ait verilerin nitel olarak analizi, ikinci olarak zafiyetleri azaltmak
için gerekli düzenlemeleri belirlemek için uzmanlarla yürütülen araştırma, son olarak da
Türkiye’deki kritik altyapılarla ilgili düzenleyici yaklaşımı belirlemede çalışanlarla
görüşmeler yapılması şeklindedir. Makalede yer alan araştırmalar Türkiye’de kritik
altyapılar için düzenlemelerin olması yönünde bir sonuç göstermektedir(Karabacak,
Yıldırım, Baykal, 2016).
Bununla birlikte siber emniyet ile ilgili Türkiye’de sorumlu kuruluşlardan biri olan Bilgi
Teknolojileri Kurumu (BTK) tarafından yayınlanan siber saldırılara yönelik tatbikat
raporları da bu teze ışık tutmuştur (BTK, 2012). Bu tezde ayrıca tüm sorumlu kuruluşların
görev ve yetkilerine yer verilmiş, bunun için ilgili kurumların internet sitelerinde verilen
bilgilerden, mevzuattan, yayınlanan tebliğ ve yönetmeliklerden faydalanılmıştır. Hâlihazırda
bulunan mevzuata göre siber emniyetten sorumlu kurumların görevleri özetlenecek olursa;
Ulaştırma Denizcilik ve Haberleşme Bakanlığı (UDHB) politika, strateji ve eylem planını
hazırlar, Siber Güvenlik Kurulu bu politika, strateji veya eylem planını onaylar, BTK ise
gereklerini yerine getirir. Siber emniyetle ilgili bir olay olduğunda Sektörel Siber Olaylara
Müdahale Ekipleri (SOME) Ulusal Siber Olaylara Müdahale Merkezine(USOM)olayı
bildirir, USOM alarm ve uyarı verir, ayrıca olaylara müdahalede ulusal ve uluslararası
koordinasyonu sağlar. Sektörel SOME’ler ise gerekli tedbirleri alır. Ayrıca Bilgi
Teknolojileri ve İletişim Kurumu (BTK) Sektörel SOME’lerin eşgüdümünü de yürütür.
Bunun dışında bir diğer grup Siber Güvenlik İnisiyatifi ise tüm paydaş görüşlerini toplar ve
6
UDHB ‘ye sunar. Özetle mevzuatta sorumlulukları bu şekilde yer alan kurumlar arasında
TAEK’in üstlenmesi gereken sorumluluk bu tezde öneriler kısmında detaylıca verilmiştir
(Resmi Gazete, 2008) (BTK, tarih yok) (Resmi Gazete, 2013) (Resmi Gazete, 2012),
(UHDB, 2016)Bu tezde ayrıca UAEA’nın yazılı dokümanları dışında ayrıca eğitim
notlarından da (IAEA, 2015b) (IAEA, 2015a) faydalanılarak teze katkı sağlanmıştır.
Özellikle 2011 yılından itibaren UAEA bu konuya eğilmiştir. NSS17, 2011 yılında basımı
gerçekleştirilen dokümanı ilk yayımlanmış dokümandır. Şu an taslak doküman olan ve hala
çalışmaları devam eden yayınlardan “NST036 Computer Security Controls to for
Instrumentation and Control Systems at Nuclear Facilities” dokümanı nükleer tesislerde
Endüstriyel Kontrol Sistemlerinde (EKS) siber emniyet kontrollerinin uygulanması ile ilgili
rehberlik sağlamaktır. Bir diğer taslak doküman olan ”NST037 Conducting Computer
Security Assessments for Nuclear Facilities (TECDOC)” dokümanı nükleer tesislerde siber
emniyet değerlendirmeleri yapmak için bir yöntem ve süreç sağlamaktadır.
Son olarak “NST038 Incident Response Planning for Computer Security Events (Technical-
Fast Track Document)” isimli taslak dokümanın amacı ise, nükleer/radyolojik bir tesiste bir
siber emniyet olayı müdahale planının geliştirilmesi için bir yöntem sunmaktır. Özellikle,
nükleer ve diğer radyoaktif materyallerin, ilgili tesislerin veya nakliye araçlarının emniyetini
tehlikeye atabilecek bir bilgisayar/bilgisayar sistemleri saldırısı veya uzlaşması ile bağlantılı
kapsamlı bir güvenlik önleme planı geliştirmek ve uygulamak için gerekli temel unsurlar
hakkında rehberlik etmektedir.
Tezde ayrıca diğer ülkelerin siber emniyet konusundaki uygulamalarına yer verilmiş,
düzenlemeleri incelenmiştir. Nükleer tesislerde siber emniyet hususundaki mevzuatları
temel alınarak seçilen ülkeler, Türkiye ile karşılaştırmalı bir şekilde bu tezde verilmiştir.
İlgili bölümde genel olarak Almanya, ABD, Rusya, Güney Afrika, Çin, Fransa ve
Japonya‘nın yer aldığı 7 ülke ile ilgili nükleer tesislerdeki siber emniyete dair ulusal
yaklaşımlar incelenmiş ve ülkeler arası karşılaştırmalara yer verilmiştir. Ayrıca Tasarıma
Esas Tehdidin (TET) siber emniyete entegresi konusunda bu ülkelerin dışında Polonya ve
Romanya’ya ait bilgiler de bu teze eklenmiştir. Ülkemizin siber yaklaşımı da bu
karşılaştırmalara dahil edilmiş ve böylece hangi iyileştirmelerin yapılması gerektiği ortaya
konmaya çalışılmıştır.
7
Tezin bu bölümü 2 kısımda ayrı ayrı karşılaştırma yapılarak verilmiştir. İlk olarak Güvenlik
ve Emniyet Enstitüsü (ISS /Institute for Security and Safety) ve Nükleer Tehdit Girişimi’nin
(NTI/the Nuclear Threat Initiative) işbirliği ile gerçekleştirilen bir araştırma projesinin
bulgularından da faydalanılmış, nükleer tesislerdeki siber emniyete ulusal yaklaşımların
nasıl olduğu incelenmiştir. Söz konusu araştırma projesinde Almanya, ABD, Rusya, Güney
Afrika ve Çin’in yer aldığı 5 ülke ele alınmıştır.
Bu çalışma ulusal mevzuat, düzenleyici çerçeveler, düzenlemeler, lisanslama ve diğer ilgili
düzenleyici faaliyetler ile ilgili karşılaştırmalar üzerine odaklanmaktadır.
Bu çalışmada seçilen beş ülkedeki uzmanlara, yetkililere ve akademisyenlere yönelik
yapılan ve anket formlarının bir araya getirilmesiyle e-postayla, mülakatlarla ve kilit ulusal
uzmanlardan doğrudan geribildirim yoluyla toplanan anket verilerine yer verilmiştir.
Bu çalışmada yer almayan başka bir ülke Fransa da karşılaştırmalara dahil edilmiş, Ulusal
İlerleme Raporundan, 24 ve 25 Mart 2014'te Lahey'de (Hollanda) düzenlenen üçüncü
Nükleer Emniyet Zirvesi sırasında, bulunulan taahhütlere değinilmiştir.
Ülke uygulamalarına dair diğer bir çalışma ise; 2016 NTI Nükleer Güvenlik İndeksidir.
Ekonomist İstihbarat Birimi (EIU) tarafından geliştirilen ve saygın bir uluslararası nükleer
güvenlik uzmanı paneli tarafından hazırlanan Nükleer Tehdit İnisiyatifi (NTI) Nükleer
Emniyet İndeksi, dünyanın en ölümcül materyalleri olan yüksek oranda zenginleştirilmiş
uranyum ve plütonyumdan oluşan emniyeti değerlendirmektedir (NTI, 2017b). Türünün ilk
örneği olan indeks hükümetleri hareket ettirmeye ve malzemelerinin emniyetini sağlamaya
teşvik edecek şekilde tasarlanmıştır. Bu çalışmada Rusya, Fransa, Japonya, ABD ve Türkiye
örneklerine yer verilmiş hırsızlık ve sabotaj verileri temelinde ayrı ayrı ele alınmıştır.
İncelenen tüm bu araştırmalar ve yayınlar ışığında nükleer tesislerdeki dijital sistemlerin
kötü amaçlı faaliyetlere karşı korunmasıyla ilgili farkındalık uyandıracak, siber emniyet
planının hazırlanmasına fayda sağlayabilecek, mevzuata katkı yapabilecek bir tez
hazırlanmıştır.
8
2. NÜKLEER TESİSLERDE SİBER EMNİYET, SİBER SALDIRI
SENARYOLARI, SONUÇLARI VE SAVUNMA SİSTEMLERİ
2.1 Nükleer Tesislerde Siber Emniyet
Giderek gelişmekte olan Türkiye’nin ekonomisi büyüdükçe beraberinde enerji talebi ve
elektrik tüketim talebi de artış göstermektedir. Elektrik tüketim talep artışında Türkiye
dünyada ilk sıralarda yer almaktadır. Artan bu talep doğrultusunda ülke hedefimiz enerji
tedarikinde dışa bağımlılığın en alt düzeye indirilmesi, yeni ve yenilenebilir kaynaklara
yönelme şeklindedir. Bu temel politikada nükleer santraller de yerini almıştır.
Türkiye, 2023 yılına kadar iki nükleer santrali işletmeye almayı üçüncüsünün de inşaatına
başlamayı planlamaktadır (ETKB, tarih yok). Akkuyu ve Sinop nükleer santrallerinin
işletmeye alınması yerli ve yenilenebilir enerji kaynaklarımızdan daha verimli şekilde
faydalanılmasını sağlayacaktır.
Nükleer santraller yalnızca elektrik üretiminde değil, aynı zamanda sanayi, tıp ve tarım gibi
sektörlerde de kullanılmakta ve bu konuda istihdam sağlamaktadır. Nükleer santrallerin
inşası ve işletilmesi sırasında bu projeden birçok sektör doğrudan ve dolaylı olarak
etkilenecektir. Ekonomi, teknoloji ve istihdamın yanı sıra nükleer santraller Türkiye’de
kalite yönetim standartlarının uygulanması, standartlara uygunluk denetimi ile güvenlik ve
emniyet kültürünün gelişmesine de büyük katkı sunacaktır.
Dolayısıyla bu tesislerin emniyetini sağlamak da en az tesisin tasarımı ve işletilmesi kadar
önem arz etmektedir.
TAEK tarafından nükleer emniyetin ve nükleer güvenliğin göz önüne alınması gerektiği
belirlenen, nükleer maddenin üretildiği, işlendiği, kullanıldığı, bulundurulduğu, yeniden
işlendiği veya depolandığı her türlü tesise nükleer tesis denilmektedir (Resmi Gazete, 2012).
Bu tesisler için söz konusu nükleer emniyet; “nükleer madde ve nükleer tesisleri hedef alan
hırsızlık, sabotaj, yetkisiz erişim ve diğer kötü niyetli girişimleri engellemek, tespit etmek
ve gerektiğinde karşılık vermek üzere gerekli fiziksel koruma önlemlerinin alınması ve
etkinliğinin sürdürülmesidir” (Resmi Gazete, 2012). Bu amaçların başarılmasında siber
emniyet hayati bir rol oynamaktadır.
Bilgisayar sistemlerinin veri hırsızlığı, sabotaj ve diğer kötü niyetli faaliyetlere karşı
korunması için bilgisayar sistemleri ve ağlarla ilgili siber emniyet programı oluşturulmalıdır.
9
Bilgisayar sistemlerini içeren ve nükleer emniyetle ilgili kötü niyetli faaliyetler şu şekilde
gruplandırılabilir:
• Her türlü kötü faaliyeti planlamayı ve yürütmeyi amaçlayan bilgi toplama saldırıları,
• Tesisin güvenlik ve emniyeti için çok önemli olan bir veya daha fazla bilgisayarını
bozan ve hizmet dışı bırakan saldırılar,
• Hedeflenen yerlere fiziksel sızmalar gibi eş zamanlı saldırılarla kombine edilen siber
saldırılar (IAEA, 2011a).
Söz konusu kötü niyetli faaliyetlere karşı asıl amacı bilgisayar sistemlerinin ve süreçlerinin
bütünlük, erişilebilirlik ve gizlilik açısından korunmasını sağlamak olan siber emniyetin
sağlanması nükleer tesislerin tüm emniyet programını etkileyen kritik bir kavramdır.
2.1.1 Siber emniyetin önemi ve nükleer güvenlik ile ilişkisi
Nükleer emniyet ve nükleer güvenlik için kişi, mülkiyet, toplum ve çevreyi korumak ortak
amaçtır. Emniyet tedbirleri ve güvenlik önlemleri bu iki alan arasında sinerji oluşturacak
şekilde bir bütün olarak ve bir bakıma güvenlik emniyetten ödün vermeyecek, emniyet de
güvenlikten ödün vermeyecek şekilde tasarlanmak zorundadır (IAEA, 2013b). Dolayısıyla
siber emniyet planı hazırlanırken tesisin güvenliği de muhakkak göz önünde bulundurulmalı
buna göre önlemler alınmalıdır. Zira bu iki olgu birbirini kısır döngü şeklinde etkileyecektir.
Bu iki alanı desteklemek için ortaklaşa çalışma grupları kurulmalı ve vaka analizi çalışmaları
yapılmalıdır. Benzerliklerinin yanı sıra farklılıkları da bulunan bu iki alana şöyle bir
bakılırsa, güvenliğin aksine emniyette İnsanların kötü niyetli eylemleri ile mevcut bilgi ve
erişimin olası iç tehditten de kaynaklanabileceği göz önünde bulundurulması gerekmektedir
(IAEA, 2015a).
Ayrıca nükleer tesislerde siber emniyetin sağlanmasında hibrit saldırılar adı verilen hem
siber hem de fiziksel olarak saldırıları kapsayan kapsamlı tehditlere karşı fiziksel koruma
programının hazırlanmasında da siber emniyet göz önünde bulundurulmalıdır.
2.1.2 Nükleer tesisler için özel durumlar
Nükleer tesisler için göz önünde bulundurulması gereken bazı özel durumlar olabilmektedir.
Bunlar:
10
• Nükleer tesisler, bilgisayar sistemleri veya kılavuzlarını dolaylı veya doğrudan
düzenleyebilen ulusal düzenleyici kurumlar tarafından belirlenen gereksinimlerle
uyumlu olmalıdır.
• Nükleer tesisler diğer sanayilerde genellikle dikkate alınmayan ek tehditlere karşı
korunmak zorundadır. Böyle tehditler ayrıca nükleer sanayinin hassas doğası
sebebiyle azaltılmalıdır.
• Nükleer tesisler daha geniş bir temelde ele alınmalıdır çünkü bu durum örneğin
ticareti, bankacılığı hatta askeri uygulamaları bile etkileyebilir (IAEA, 2011a). Bu
sebeplerle nükleer tesislerde siber emniyetin sağlanması hususunda özen
gösterilmelidir.
2.1.3 Metodoloji
Siber emniyetteki metodoloji de tıpkı nükleer emniyeti sağlamak için gerekli olan metodoloji
gibidir. Başarılı bir siber emniyet programında nükleer sanayinin özellikleri göz önünde
bulundurulmalı iyi uygulama metotları ve araçları kullanılmalıdır.
UAEA’nın tavsiyesine göre, bir nükleer tesisin siber emniyeti nasıl geliştireceği,
uygulayacağı ve sürdüreceği ile ilgili takip etmesi gereken adımlar şu şekildedir:
• Ulusal yasal ve düzenleyici gereksinimleri takip etmek,
• Ajansla ilgili ve diğer uluslararası kılavuzları takip etmek,
• Birincil yönetim desteği ve yeterli kaynakları garantileyerek siber emniyet
parametrelerini tanımlamak,
• Siber emniyet, tesis işletimi, nükleer güvenlik ve saha emniyetinin diğer yönleri
arasındaki etkileşimleri tanımlamak,
• Siber emniyet mevzuatını hazırlamak,
• Risk değerlendirmesi yapmak,
• Koruyucu siber emniyet tedbirlerini seçmek, tasarlamak ve uygulamak,
• Tesisin yönetim sistemi ve siber emniyeti bütünleştirmek,
• Sistemi düzenli olarak gözden geçirmek ve geliştirmek (IAEA, 2011a).
2.1.4 Anahtar terminoloji
Bilgisayar ve bilgisayar sistemlerinden kasıt; nükleer tesislerin fonksiyonel elementlerini
oluşturan hesaplama, iletişim, enstrümantasyon ve kontrol araçlarıdır. Yalnızca masaüstü
11
bilgisayarlarını, merkezi işlemcileri, sunucu ve ağ araçlarını değil programlanabilir mantık
kontrolörleri (PLC) gibi daha düşük seviyeli bileşenleri de içerir (IAEA, 2011a). Merkezi
işlemci dijital bilgisayarların veri işleyen ve yazılım komutlarını gerçekleştiren bölümüdür.
Server yani diğer bir adıyla sunucu ise, bilgisayar ağlarında, diğer kullanıcıların
erişebileceği, kullanımına ve paylaşımına açık kaynakları içeren bilgisayar birimidir (IAEA,
2011a).
2.1.5 Mevzuata ilişkin ve yönetimsel olarak göz önünde bulundurulacak
hususlar
Bu bölüm nükleer tesislerde siber emniyetin genel hatlarıyla yapısının temel bileşenlerinin
altını çizmektedir. Özellikle tesislerin yönetim ve emniyet stratejisinin yanı sıra yasal ve
düzenleyici kurumlarla ilgili konulara atıfta bulunmaktadır. Şekil 1 nükleer tesislerde siber
emniyet programının kurulması ve uygulamasıyla alakalı örnek araçların hiyerarşik olarak
gösterimidir (IAEA, 2011a).
2.1.5.1 Yasal gözden geçirmeler
Siber emniyet konusunun özgünlüğünden dolayı özel yasal hükümler göz önünde
bulundurulmalıdır. Devletler hali hazırdaki mevzuatın bilgisayar destekli suçları kapsayıp
kapsamadığını dikkatlice gözden geçirmelidirler. Siber emniyet ve uygulamasını
etkileyebilen önemli kanunlar şunları içerir:
• Bilgisayar suçlularıyla ilgili kanunlar,
• Terörizmle alakalı kanunlar,
• Kritik altyapıların korunmasıyla ilgili kanunlar,
• Bilgilerin ifşasıyla alakalı kanunlar,
• Kişisel bilgilerin gizliliği ve idaresiyle ilgili kanunlar.
Beş ayrı seviyede incelenen örnek araçlar Şekil 1’de verilmiştir.
12
Şekil 1 . Örnek araçlar
Yeni doğan ve gelişen suçlara ve siber emniyeti tehdit eden potansiyel tehditlere karşı
hükümleri içeren kanunların sürekli gözden geçirilmesi ve güncellenmesi önemlidir (IAEA,
2011a). UAEA tarafından yapılan bu öneriler ışığında Türkiye’nin mevzuatı, içeriği ve
yapılması tavsiye edilen iyileştirmeler tezin ilerleyen kısımlarında karşılaştırılmalı olarak
verilmiştir.
2.1.5.2 Düzenleyici gözden geçirmeler
UAEA’nın tavsiyesine göre; düzenleyici kurum yasal yükümlülüklerin doğru yorumlanması
ve uygulanması için işleticiye araçları sağlamalı ve bunu yaparken de ilgili mevzuatını
dikkate almalıdır. Düzenleyiciler ayrıca uluslararası standartlar veya UAEA yayınları gibi
kılavuz referansları takip etmeli ve kullanmalıdır.
Siber emniyet ile ilgili düzenleyici faaliyetler; istenmeyen radyolojik sonuçların doğmasına
sebep olabilecek sabotaj ve nükleer maddelerin çalınmasına karşı korunmanın amaçlarını
açıkça tanımlamalıdır. Bu yüzden nükleer emniyet ve nükleer güvenlik için var olan mevzuat
aynı zamanda siber emniyet için mevzuat hazırlanırken de incelenmelidir.
Düzenleyici gereksinimlerin ayrıca içermesi gereken hükümler şu şekildedir:
• Siber emniyet için yönetim taahhüttü (İçeriği için bakınız: Bölüm 2.1.7.1),
• Siber emniyet programı mülkiyeti (Bölüm 2.1.7.1),
• Siber emniyet çalışanları ve takımların rollerinin tasarımını içerir.13
• Siber emniyet politikası, uygulama ve yürütme planı, (Bölüm 2.1.8)
• Siber emniyet çevresi tanımlanmasını,
• Risk tanımlanmasını,
• Risk yönetim stratejisini,
• Siber emniyet eğitim ve farkındalık programını,
• Faaliyetlerin sürekliliği planını içerir.
• Denetim ve gözden geçirme sürecidir.
Ayrıca Gereksinimler teknik detayları içermemeli, daha az teknoloji bağımlı olmalıdır
(IAEA, 2011a). Burada bahsi geçen siber emniyet için yönetim taahhüdünden kasıt
yönetimin üstlenmesi gereken görevlerdir. Bu hükümlere ait detaylı bilgiler tezin ilerleyen
bölümlerinde detaylıca anlatılacaktır.
2.1.5.3 Saha emniyeti taslağı
Saha emniyeti öncelikle üst düzey yönetimin sorumluluğudur. Bütün emniyet disiplinleri
arasındaki etkileşim ve bütünlük saha emniyet planında tanımlanabilir. Herhangi bir emniyet
disiplinindeki nota diğerlerini etkiler ve ekstra gereksinimlere yol açar. Siber emniyet
nükleer tesisteki diğer tüm emniyet alanlarıyla etkileşim içinde olan ortak ilgi alanıdır.
Bütün nükleer tesisler üst düzey yönetim tarafından uygulanacak ortak ilgi alanı politikasına
sahip olmalıdır. Bu politika tesisin tüm ortak ilgi alanı hedeflerini belirtir. Siber emniyet
politikası tüm saha emniyet politikasının bir parçası olmalı ve diğer ilgili emniyet
sorumluluklarıyla koordine halinde olmalıdır. Bir siber emniyet politikası kurulurken
hukuken etkili olması ve insan kaynakları göz önünde bulundurulmalıdır (IAEA, 2011a).
Nükleer tesislerdeki bilgisayar sistemleri; özelleştirilmiş endüstriyel kontrol sistemlerini,
erişim kontrol sistemlerini, alarm ve izleme sistemlerini, acil durum, güvenlik ve emniyetle
ilgili bilgi sistemlerini içermektedir (IAEA, 2011a). Bu sistemler yine yönetim tarafından
derinlemesine bir savunma ile korunmalıdır.
Derinlemesine savunmanın, ilk amacı emniyet ihlallerinin sonuçlarını azaltmak ve
önlemektir. Bilgisayar sistemi savunması bir dizi bağımsız koruma seviyesinin
kombinasyonu aracılığıyla uygulanır. Eğer koruma seviyelerinden biri başarısız olursa
diğerleri de ardışık olarak başarısız olur (IAEA, 2011a). Bu sebeple yönetime düşen görev
14
bu koruma seviyelerinin her birinde başarıyı sağlamak ve her seviyedeki tehdidi göz önünde
bulundurmaktır.
2.1.5.4 Tehdit çevresinin değerlendirilmesi
Siber emniyet tehdit çevresi sürekli ve hızlı değişen bir durumdur. Siber emniyet programları
bazen günümüz tehditleri karşısında yetersiz kalmaktadır.
Siber emniyetinden sorumlu devlet kurumu periyodik olarak tehdit değerlendirmesi
yapmalıdır. Fiziksel koruma sisteminin tasarımına temel teşkil eden, nükleer madde
hırsızlığı veya sabotajla sonuçlanabilecek olan potansiyel olarak en güçlü tehdide tasarıma
esas tehdit denilmektedir (Resmi Gazete, 2012).Tasarıma esas tehdit (TET) tehdit
seviyelerini belirlemek ve emniyet duruşunu geliştirmek için kullanılan tipik bir araçtır.
Tesislerin yönetime düzenli bilgilendirme veren devamlı ve aktif tehdit değerlendirmesini
sürdürmesi hayati önem taşımaktadır (IAEA, 2011a). Tasarıma esas tehdit siber emniyet
tehdit bileşenlerini içermelidir ve hatta siber tehditler için ayrı bir tasarıma esas tehdit
geliştirilmelidir.
TET, olası düşmanların motivasyon, niyet ve yeteneklerini tanımlayan korunma
sistemlerinin nasıl olması gerektiği konularına detaylı bir şekilde yer verilen bir kavramdır.
TET, iç ve dış saldırganların, olası kötü niyetli eylemlerinin özelliklerini tanımlar.
Geleneksel olarak TET, nükleer tesislere fiziksel yollarla zarar verme eğilimi olan
saldırganları hedef kitle olarak belirleyip buna yönelik tedbirlere odaklanmıştır, ancak TET
kavramları, siber saldırıları (yani siber tehdit) kullanan düşmanları da kapsamalıdır. Birden
çok ülke TET süreçlerinde siber tehditlere yönelmeye başlamış, ya geleneksel bir siber TET
ya da ayrı TET geliştirmeye karar vermişlerdir. Geleneksel TET ve siber TET arasında
benzer çizgiler olsa da, farklılıklar ve zorlukların da olması ülkeleri bu konuda ayrıntılı
olarak çalışmaya itmektedir. Türkiye’nin fiziksel koruma programında da siber emniyetin
nasıl entegre edilmesi gerektiği, TET’in siber tehditler göz önüne alınarak nasıl
gerçekleştirileceği konuları farklı ülke uygulamaları ve UAEA’nın bu konudaki tavsiyeleri
göz önünde bulundurularak bu tezde yer verilmiştir.
Etkili bir fiziksel programı kurabilmek için öncelikle iyi bir tehdit değerlendirmesi
çalışmasına ihtiyaç vardır. Bu tehdit değerlendirmesi çalışmasında her ülke kendine uygun
bir TET belirlemektedir. 22 Mayıs 2012 tarihli ve 28300 sayılı Resmi Gazete ’de yayımlanan
15
Nükleer Tesislerin ve Nükleer Maddelerin Fiziksel Korunması Yönetmeliği’nde verilen
tanıma göre fiziksel koruma programının temelini oluşturan, nükleer madde hırsızlığı veya
sabotajla sonuçlanabilecek olan potansiyel olarak en güçlü tehdide tasarıma esas tehdit
denilmektedir. Bahsi geçen bu olası iç ve dış düşmanların kimler olabileceği, tesise bir
şekilde girebilecek yeteneklerinin olup olmadığının belirlenmesi de bu tehdit
değerlendirmesi çalışmalarında gerçekleştirilmelidir. Tesise yönelik kötü niyetli eylemler
hırsızlık veya sabotaj şeklinde olabilir. Bu kötü eylemlerin gerçekleşmesi halinde
sonuçlarının ne olacağı da bu çalışmada yer almalıdır. Fiziksel koruma sisteminin tasarım
aşamasında düşmanların olası yetenekleri sorgulanmalı, sahip olabilecekleri ekipman,
eğitim durumları, sayıları, amaçları değerlendirilip göz önünde bulundurmalıdır ve etkinliği
test edilmelidir. Siber tehditleri karakterize etmek fiziksel tehditlere göre daha zordur.
Bilgisayarları karakterize ederken tıpkı fiziksel bir ekipman gibi işlemcisi, işletim sistemi
vb. fiziksel özellikleri ile karakterize edebildiğimiz gibi saldırganın hedef yöntem ve olası
etkilerini karakterize edemeyiz. Siber tehditler hem bireysel saldırıların hem de fiziksel
saldırıların bir parçası olarak düşünülmelidir (IAEA,2017).
Siber emniyet çok disiplinli bir alandır, dolayısıyla hükümleri diğer emniyet alanlarını
olduğu gibi diğer tesis programlarını da etkiler. Bu nedenle, siber emniyet programı, işletme,
bakım, fiziksel koruma, güvenlik, acil durum hazırlığı, komuta ve kontrol ve bilgi teknolojisi
göz önünde bulundurularak geliştirilmelidir. Siber tehditlere karşı geliştirilecek olan bir
siber emniyet planı siber emniyetin hedeflerini açıkça belirtmeli, siber emniyetle ilgili
talimat ve prosedürleri içermelidir (IAEA,2017).
2.1.6 Yönetim sistemleri
Nükleer emniyet sistemleri için yönetim sistemleri çok büyük bir destek öğesidir. Yönetim
sistemleri saha emniyeti politikaları ile uyumu için gözden geçirilmelidir. Siber emniyet için
anahtar elementler gözden geçirilmeli ve gerekli hükümler eklenmelidir. Gözden geçirme ve
siber emniyet için gerekli hükümlere eklenmesi gereken ana elementler şu şekildedir:
• Bilgi varlığı tanıma ve sınıflandırma,
• Yasal risk analizleri,
• Yasama ve düzenleyici uyumu,
• Ticari gereklilikler,
• Anahtar kişiler için yetki gereksinimleri,
16
• İş sürekliliği,
• Sistem yaşam döngüsü emniyeti,
• Siber emniyet tedbirlerinin onayı ve değişimi,
• Siber emniyet tedbirlerinin tanıtımı ve uygulanması,
• Siber emniyet tedbirlerinin uygulanmasının kabulü,
• Siber emniyet olaylarının anlık analizi ve uygun raporlanması,
• Düzenli rapor,
• Uygulanan emniyet tedbirlerinin (iç ve dış denetim) gözden geçirilmesinin düzenli
yapılması,
• Farkındalık eğitimi,
• Yeni riskler veya değişen risklerin tanımlanması,
• Mevzuatın güncellenmesi,
• Bilgi emniyeti için orta dönem planlama (IAEA, 2011a).
2.1.7 Organizasyon konuları
2.1.7.1 Yetkiler ve sorumluluklar
Organizasyonda yöneticisinden siber emniyet yetkilisine herkesin üzerine düşen bir ödev
bulunmaktadır. Örneğin; tesisin üst düzey yönetimi organizasyonu destekleyerek uygun bir
şekilde siber emniyeti başlatır. Bunu başarmak için yönetim aşağıdakileri yapmalıdır:
• Siber emniyetin tüm açılardan bütün sorumluluğunu üstlenmeli,
• Tesisin emniyet amaçlarını tanımlamalı,
• Kanunlar ve yönetmelikler arasındaki uyumu garanti altına almalı,
• Tesis için risk kabulü eşiğini belirlemeli,
• Siber emniyet sorumluluklarını atamalı,
• Emniyetin farklı yönleri arasında yeterli iletişimi garanti altına almalı,
• Yürürlüğe konulabilen bir siber emniyeti sağlamalı,
• Uygulanabilir bir siber emniyet programı uygulaması için yeterli kaynakları
sağlamalı,
• Siber emniyet politikası ve prosedürlerinin güncellemeleri ve periyodik denetimleri
garanti altına almalı,
• Eğitim ve farkındalık programlarını desteklemelidir.
17
Genel olarak kalıcı bir siber emniyet sürecinin uygulanması teşkilat içindeki uzmanlara
devredilir (IAEA, 2011a).
Siber emniyet yetkilisi hem siber emniyet ile ilgili hem de tesiste var olan diğer emniyet
konularıyla ilgili profesyonelliğe, bilgi donanım ve yürütme becerisine sahip kişilerdir.
Dijital sistemlerin bütünlük, erişilebilirlik ve gizliliğini korumak için yönetimden
devraldıkları sorumlulukları yerine getirirler.
UAEA’nın NSS 17 dokümanında tavsiye ettiği gibi siber emniyet yetkilisinin üstüne düşen
sorumluluklar şöyledir:
• Yönetimi siber emniyet konusunda bilgilendirmek,
• Siber emniyet takımına liderlik yapmak,
• Siber emniyet faaliyetlerinin gelişimini koordine ve kontrol etmek,
• Emniyet olaylarına cevap vermek için fiziksel emniyet ile diğer emniyet ve güvenlik
disiplinlerini koordine etmek,
• Tesisteki bilgisayar sistemler için kritik sistemleri tanımlamak,
• Periyodik siber emniyet risk değerlendirmesini yürütmek,
• Siber emniyet dayanağını gözden geçirmek ve periyodik denetimleri yürütmek ve üst
yönetime durum raporu sunmak,
• Siber emniyet eğitim ve değerlendirmelerini geliştirmek ve uygulamak,
• Siber emniyet acil durumlarıyla ilgili olay müdahalesini geliştirmek ve yönetmek,
• Siber emniyet olaylarını araştırmak ve olay sonrası prosedürleri ve önleyici
faaliyetleri geliştirmek,
• Saha emniyeti değerlendirme çalışmalarına katılımda bulunmak,
• Yeni sitemlerin gelişimindeki gerekli analizlere katılım sağlamaktır (IAEA, 2011a).
Siber emniyet, tesis güvenliği dışında fiziksel koruma ve personel emniyeti ile ilgili yeterli
profesyonelliğe sahip olan siber emniyet yetkilisinin pek çok sorumluluğu vardır. Üstlendiği
bu görevlerde ona destek olan takıma siber emniyet takımı denir.
Bir işletmedeki değişik yönetim seviyeleri, kendi sorumluluk alanındaki uygun düzeydeki
bilişim emniyetini sağlamalıdır. Tipik sorumluluklar aşağıdakileri içerir:
• Siber emniyet konusunda siber emniyet yetkilisine geri besleme sağlamak ve işletme,
güvenlik ve emniyet konuları ile arasındaki potansiyel çatışmaları çözmek,
18
• Personel, donanım veya süreç değişimi gibi bilişim emniyeti yapısında değişim
gerektiren konularda siber emniyet yetkilisini bilgilendirmek,
• Ekibinin kendi konusunda yeterince eğitimli olması ve kendi konularındaki bilişim
emniyeti hakkında kısaca bilgilendirilmesini sağlamak,
• Yüklenici ve taşeronlardaki çalışanların saha emniyet planına uygun çalışmalarını
sağlamak,
• Emniyetle ilgili olayları izleme, görüntüleme ve raporlama,
• Personelinin emniyet önlemlerine uygun çalışmasını sağlamak ve zorlamaktır
(IAEA, 2011a).
Siber emniyet planı yürütmede organizasyon içerisindeki her birey sorumludur. Ayrıca her
bireyin üzerine düşen görevler şu şekildedir:
• Siber emniyet prosedürü dayanağı (mevzuat) bilgisine sahip olmak,
• Spesifik Siber emniyet prosedürleri bilgisine sahip olmak,
• Siber emniyet politikasının parametrelerini kullanarak yönetmek,
• Siber emniyetten ödün verilmesiyle olabilecek kazalar hakkında bilgi sahibi olmak
veya herhangi bir kazanın yönetime bildirmek,
• Düzenli aralıklarla ilk ve güncelleyici emniyet eğitimlerine katılmak (IAEA, 2011a).
2.1.7.2 Siber emniyet kültürü
Güçlü bir siber emniyet etkili bir emniyet planının temel bir parçasıdır. Nükleer emniyet
kültürünün karakteristikleri; toplamı daha etkili bir nükleer emniyet programı oluşturan
davranışlar, tutumlar, inançlar ve yönetim sistemleri bütünüdür. Siber emniyet kültürü tüm
bu emniyet kültürlerinin bir alt kümesidir ve siber emniyet farkındalığı oluşturmak için
gerekli söz konusu karakteristiklerin uygulanmasına temel teşkil eder.
Siber emniyet ile ilgili yaşanan kazaların çoğu insan hatasından kaynaklanmaktadır ve
bilgisayar sistemlerinin güvenliği büyük çoğunlukla tüm kullanıcıların davranışlarına
bağlıdır. Siber emniyet kültürü personeli bilgilendirmek için tasarımlanmış bazı faaliyetlerin
toplamı ve siber emniyet farkındalığının (posterler, notlar, yönetim tartışmaları, eğitim ve
testler vb.) arttırılması yoluyla geliştirilir. Siber emniyet kültürü katkıları periyodik olarak
ölçülmeli, gözden geçirilmeli ve sürekli geliştirilmelidir.
19
Bir organizasyon içerisinde Siber emniyet kültürünü değerlenmek için aşağıdaki göstergeler
kullanılabilir.
• Siber emniyet gereksinimleri açıkça raporlanmalı ve personel tarafınca iyi
anlaşılmalı,
• İçeride ve dışarda organizasyondaki bilgisayar sistemlerini yönetmek için açık ve
etkili prosesler ve protokoller mevcut olmalı,
• Personel siber emniyet programı içerisinde kontrollere bağlılığın önemi ile ilgili
uyanık olmalı ve bunları anlamalı,
• Bilgisayar sistemleri emniyette olduklarını garantilemek ve siber emniyet dayanak ve
prosedürleri ile uyumlu bir şekilde yönetilmesi için sürdürülmelidir (IAEA, 2011a).
Güçlü bir eğitim programı siber emniyet kültürünün temel taşlarından biridir. Emniyet
kültürünü sürdürmek ve emniyet prosedürlerini gözlemlemede personeli, yüklenici ve
üçüncü parti satıcılarını eğitmek hayati bir önem taşımaktadır. Farkındalık programı şu
gereksinimleri içermelidir:
• Farkındalık programı ve/veya siber emniyet eğitiminin başarılı şekilde sonuçlanması
bilgisayar sistemlerine erişimin bir ön koşulu olmalıdır. Eğitim, sistemin emniyet
seviyeleri ve kullanıcıların kendilerinden beklenen rolleri ile uyumlu olmalıdır.
• Geliştirilmiş eğitim/kalifikasyon bireylere temel emniyet sorumluluklarını
sağlamalıdır (siber emniyet takımı, proje yöneticileri, bilişim yöneticileri vb.)
• Eğitim yeni doğan tehditler ve yeni prosedürleri içermesi açısından tüm personele
periyodik olarak verilmelidir.
• Personelin kendi emniyet sorumluluklarını anladığını onaylaması gerekir.
Eğitim siber emniyet farkındalığını, etkinliğini yeniden eğitimin veya sürekli gelişmek için
prosesleri değerlendirmede bazı ölçüler içermelidir (IAEA, 2011a).
2.1.8 Siber emniyet uygulaması
Siber emniyetin etkin bir şekilde uygulanabilmesi ve denetlenebilmesi için mevzuat uygun
düzenleyici gereksinimleri karşılamalıdır. Ek olarak mevzuat mutlaka uygulanabilir,
başarılabilir ve denetlenebilir olmalıdır (IAEA, 2011a).
20
Türkiye’deki siber emniyet ile ilgili mevzuat Türkiye’de siber emniyet ve kritik altyapılar
başlığı altında ilerleyen bölümlerde incelenmiş olup, sonuç ve değerlendirme kısmında
öneriler yapılmıştır.
2.1.8.1 Siber emniyet planı
Yürürlükteki siber emniyet ile ilgili hukuk kurallarının örgütsel roller, sorumluluklar ve
prosedürler şeklinde uygulanması olan siber emniyet planı var olan emniyet planının bir alt
kümesi olup, tesisin başarmak istediği siber emniyet hedeflerini daha açık ve detaylı şekilde
ortaya koymaktadır.
Siber emniyet planı; zayıflıklara karşı hassasiyet açısından birincil faaliyetleri, koruyucu
tedbirleri, sonuç analizlerini ve tesisin kabul edilebilir siber riskini tanımlamak ve emniyeti
sürdürmek ayrıca güvenli işletme durumunu iyileştirmek için gerekli olan tedbirleri
içermelidir (IAEA, 2011a).
Siber emniyet planı üst yönetimden, siber emniyet yetkilisine kadar tesisin tüm varlıklarının
sorumluluklarını açıkça ortaya koymalıdır. PARK JaeKwan ve arkadaşlarının yaptığı
çalışmaya (Park, Park, Suh, 2016) göre; bir siber emniyet planı siber emniyet ekibi
organizasyonunu ve emniyet faaliyetlerinin uygulanmasını içermelidir. Ekibin başlıca
görevleri şunlardır:
• Sistemin emniyet açığı ve penetrasyon testinin analizi,
• Siber emniyet gereksinimlerini tanıtmak,
• Emniyet konularını takip etmek ve çözmek,
• Sistem bütünlüğü üzerindeki emniyet etkisini değerlendirmektir.
2.1.8.2 Siber emniyetin diğer alanlarla olan ilişkisi
Siber emniyet planı tesisin tüm koruma planı ile ayrılmaz bir bütündür dolayısıyla birlikte
ele alınmalı ve bu çerçevede yürütülmelidir. Tesisin spesifik siber emniyet planı fiziksel
koruma, güvenlik, işletme ve bilişim uzmanlarının yakın danışmanlığında geliştirilmelidir.
Siber emniyet planı düzenli olarak gözden geçirilmeli ve emniyetin herhangi bir alanındaki
emniyet olaylarına ve saha emniyet sistemlerindeki işletme tecrübesine yansıtmak için
güncellenmelidir (IAEA, 2011a).
Fiziksel koruma, nükleer güvenlik, nükleer madde sayımı ve kontrolünde kullanılan
bilgisayar tabanlı sistemler, tehdit değerlendirmesi veya tasarıma esas tehdit21
doğrultusundaki risklere (siber saldırı, güdümleme veya sahtecilik) karşı korunmalıdır
(IAEA, 2011b).
Fiziksel koruma programı ilgili yönetmelikteki tanıma göre;
a) Fiziksel koruma sorumlularını gösteren bir organizasyon şemasını,
b) Sahanın bulunduğu yerin imar planını,
c) Saha yerleşim planını,
ç) Nükleer tesis ve ilgili diğer bina ve bölümleri tanımlayan planları, bu bölümlerde
bulundurulan, kullanılan veya depolanan nükleer maddelere ilişkin bilgileri,
d) Fiziksel koruma sistemine ait tüm bileşenleri,
e) Koruma görevlileri ve kolluk kuvvetlerinin eğitimini ve korunan alanlara intrüzyon
olduğunda uygun karşılık verme prosedürlerini ve fiziksel koruma acil durum eylem
planını içerir (Resmi Gazete, 2012).
Fiziksel koruma planı ve siber emniyet planı birbirlerini tamamlayan iki kavramdır. Saldırı
senaryoları hem fiziksel hem de elektronik saldırıların kombinasyonunu içerebilir. Fiziksel
koruma planından ve siber emniyet planından sorumlu ekipler planı hazırlama sürecinde
herkesi bilgilendirmelidir ve proseslerin geliştirilmesi ve gözden geçirilmesi sürecinde
planın sürekliliğini garantilemek için onların çabalarını koordine etmelidir (IAEA, 2011a).
Farkındalık ve eğitimin yanı sıra, emniyetin diğer yönleri (genellikle personel emniyeti
alanında ele alınan) sürekli siber emniyet kurmak için temel teşkil eder. Uygun bir denetim
seviyesi kurmak için gerekli hükümler ve gizlilik taahhütleri siber emniyet ve personel
emniyet yönetimi arasında koordine edilmelidir. Özellikle personelle ilgili temel emniyet
sorumlulukları (sistem yöneticileri, emniyet takımı) daha yüksek seviyede güvenlik
incelemesi gerektirebilir (IAEA, 2011a).
2.1.8.3 Varlık analizi ve yönetimi
Nükleer tesislerdeki bilgisayar sistemleri arasındaki ilişki, emniyeti de etkiler. Bu sebeple
emniyet planının tüm varlıkları tanımlaması ve tesis emniyeti ile güvenlik fonksiyonları için
kritik olan o varlıkların daha kapsamlı envanterini içermesi önemlidir. Envanter verileri,
bilgisayar sistemlerini, onların ara yüzlerini ve kullanıcılarını içerir.
Bir nükleer tesiste bilgisayar sistemlerinin kapsamlı bir analizi;22
• Mevcut tüm bilgisayar sistemlerinin fonksiyonlarını/ görevlerini,
• Güç kaynaklarını içeren ilişkili ara bağlantıların tanımını,
• Veri akışı analizini,
• İletişimi başlatan prosedürleri, iletişimin sıklığı ve protokolleri,
• Bilgisayar sistemleri ve donanım lokasyonlarını,
• Kullanıcı gruplarının analizlerini,
• Mülkiyeti (veri ve bilgisayarlı sistemler için),
• Eş seviyedeki emniyet seviyelerini,
İçermelidir (IAEA, 2011a).
2.1.8.4 Devletin rolleri ve sorumlulukları
Devlet, nükleer tesislerdeki siber emniyete yönelik ulusal siber emniyet stratejisi ve eylem
planı oluşturması için yetkili bir makam belirlemeli ve düzenli olarak güncellemelidir.
Ayrıca düzenleyici kuruma düşen sorumlulukları belirlemeli, yetkilendirdiği kurumlar
aracılığı ile gerekli denetimleri sürdürmelidir.
Bununla birlikte mevzuatında bilgisayar suçlularıyla ilgili kanunlar, terörizmle alakalı
kanunlar, bilgilerin ifşasıyla alakalı kanunlar, kişisel bilgilerin gizliliği ve idaresiyle ilgili
kanunlar, kritik altyapıların korunmasıyla ilgili kanunlara yer vermeli, usulsüz davranışları
gerektiği şekilde cezalandırmalıdır.
Devlet, yetkili makamlar arasından nükleer emniyet rejiminde siber emniyetten sorumlu
yetkili makamı belirlemelidir. Çok sayıda ve çeşitli faaliyetleri yürüten siber emniyetten
sorumlu birçok yetkili makamı kurabilir. Örnek olarak; nükleer güç tesislerinin siber
emniyetten sorumlu yetkili makamın sınır gözetleme operasyonlarında kullanılan siber
emniyetten sorumlu yetkili makamdan farklı olması olasıdır (IAEA, 2016a).
2.1.8.5 Nükleer emniyet rejiminde siber emniyet stratejisi geliştirme
Strateji, devletin nükleer emniyet rejiminin üst düzey siber emniyet hedeflerini belirlemeli
ve strateji'nin uygulanması ve kontrolünde kullanılacak olan alt düzey belgeler üzerinde ele
alınmalıdır. Ayrıca, içeriği aşağıdaki gibi olmalıdır:
• Uygulanabilir,
Başarılabilir,
23
• Denetlenebilir.
Strateji aşağıdaki unsurları içermelidir:
• Tehdit değerlendirmesinin nasıl yapılacağı,
• Siber emniyet hedeflerinin nasıl belirleneceği,
• Siber emniyet yetkinlikleri ve yeterlilik seviyelerinin nasıl belirlenebileceği,
• İlgili tüm kurumlar için siber emniyet rolleri ve sorumluluklarının nasıl atanacağı,
• İlgili kurumların siber emniyet faaliyetlerinin nasıl uygulanacağı (bütünleşme ve
koordinasyon),
• Nükleer emniyet rejimi içerisinde siber emniyet yeteneklerinin nasıl muhafaza
edileceği ve sürdürüleceği
Bu bölüm, devletin ve onun yetkili makamlarının nükleer emniyet rejimindeki siber emniyet
için aşağıdakileri içeren bir strateji oluşturmayı taahhüt etmesi gereken hazırlık faaliyetlerini
tanımlamaktadır:
• Tehdit değerlendirme faaliyetlerinin yürütülmesi,
• Performansa dayalı yaklaşımlara karşı kuralcı yaklaşımların kullanımının
belirlenmesi,
• Siber emniyet yetenekleri ve yetkinlikleri için bir çerçeve belirlenmesi (IAEA,
2016a).
2.1.9 Tehditler, zayıflıklar ve risk yönetimi
2.1.9.1 Risk
Siber emniyet içeriğinde risk, varlık grupları veya bir varlığın zayıflığını suiistimal edecek
belirli bir potansiyel tehdittir ve bu sebeple sisteme zarar verir. Risk bir olayla benzerliğinin
kombinasyonu açısından ve sonuçlarının çeşitliliği açısından ölçülür (IAEA, 2011a).
• Siber emniyetin temel görevi sistemin dijital varlıklarına yönelik siber riskleri
tanımlamak, azaltmak ve yönetmektir.
• Siber emniyet sistemin en kritik fonksiyonlarından biri risk değerlendirmesidir.
• Etkili politikalar, emniyet uygulamaları, kaynak dağıtımı ve olay müdahale hazırlığı
hepsi sistemin karşılaştığı riskleri ve tehditleri anlamaya bağlıdır.
24
• Risk temelli yaklaşım kullanmak sistemi korumak, bütçeyi ve kaynakları etkin
kullanmak için daha bilgili karar vermeye imkân sağlar (ISACA, tarih yok).
Risk ve tehdit kavramlarını birbirinden ayırt etmek önemlidir. Çoğu insan bu iki kelimeyi eş
anlamlı kullansa da iki farklı anlamı vardır.
• Risk: Olay ve sonuçlarının olasılığının kombinasyonuna risk denir. Risk kontroller
ve tedbirler yoluyla azaltılır.
• Tehdit: ISO/IEC 13335 ‘e göre tehdit genel olarak istenmeyen bir olayın potansiyel
sebebidir.
• Varlık: İnsan bilgi altyapı finans ve itibarı içeren maddi veya manevi tüm değerlere
varlık denir.
• Zafiyet: Sistemi düşman tehditlerine maruz bırakabilen sürecin iç kontrolü, işletim,
tasarım ve uygulamadaki zayıflıklardır (ISACA, tarih yok).
2.1.9.2 Risk değerlendirmesi ve yönetimi
Risk Yönetimi tesis sistemlerinin yaşam döngüsünün tasarım, geliştirme, işlemler ve
süreklilik dahil tüm aşamalarıyla ilgilidir.
Risk değerlendirmesinin temel adımları ve yönetim metodolojisi (IAEA, 2011a):
• Çevre ve içerik tanımı,
• Tehdit tanımı ve karakteristiği,
• Zafiyet değerlendirmesi,
• Saldırı senaryo detaylandırma,
• Risk seviyesinin değerlendirilmesi,
• Karşı tedbir tanımıdır.
Sürekli bir risk analizi ve değerlendirmesi uygulamak için mevcut standartlarla uyumlu iyi
tanımlanmış bir süreç kullanılmalıdır. Çeşitli risk değerlendirmesi, yönetim metodolojisi ve
araçları olgunluğa ulaşmıştır ve böyle bir süreci etkili bir şekilde yapılandırabilir. Böylece
geniş bir izleyici tarafından kabul görür. Çoğu genel kavramlar ve mantığa bağlıdır.
Hâlihazırda uluslararası standart ISO/IEC 270005 bilgi güvenliği risk yönetimidir. Ulusal
makamlar spesifik risk değerlendirme metodolojisi veya politikasına gereksinim
duyabilirler.
25
2.1.9.3 Tehdit tanımı ve karakteri
Tasarıma esas tehdit, tehdit seviyelerini belirlemek için genellikle kullanılan ve emniyet
duruşunu geliştirmek için bir temel oluşturmada önemli bir araçtır. Tasarıma esas tehdit
potansiyel iç ve dış düşmanların karakteristikleri ve katkılarını ifade eder (IAEA, 2011a).
2.1.10 Nükleer tesisler için göz önünde bulundurulacak siber emniyet
hususları
Tablo 1. Nükleer tesisler için göz önünde bulundurulacak siber emniyet hususlarıNÜKLEER TESİSLERDEKİ TİPİK SİSTEMLERSistem Siber Emniyet Üzerindeki Etkileri Tesis Üzerindeki
Potansiyel EtkileriÖnerilen Karşı Tedbirler
Reaktör koruma sistemi
• Kritik veri ve güvenlik yazılımların bütünlüğünün bozulması
• Fonksiyon geçerliliğinin bozulması
• Kritik• Tesis emniyetinin riske
atılması, radyolojik salım
1. Emniyet Seviyesi Tedbirleri
Proses kontrol sistemi
• Kontrol yazılım/verilerinin bütünlüğünün bozulması
• Fonksiyon geçerliliğinin bozulması
• Yüksek• Tesis işletiminin riske
atılması
2. Emniyet Seviyesi Tedbirleri
Çalışma izni ve iş emri sistemi
• Veri bütünlüğünün ve sistemin erişilebilirliğinin bozulması
• Orta• Bileşenler üzerindeki
yanlış faaliyetler• Normal işletmemenin ve
sürekliliğin bozulması
4. Emniyet Seviyesi Tedbirleri
Fiziksel erişim kontrol sistemi
• Sahaya erişim sisteminin bütünlüğünün ve erişilebilirliğinin bozulması
• Sahaya erişim verilerinin gizliliğinin bozulması
• Yüksek• Yetkisiz kişilerin erişimi• Yetkili kişilerin erişim
ihtiyaçları oldukları alanlara erişiminin engellenmesi
2. Emniyet Seviyesi Tedbirleri
Doküman yönetim sistemi
• Verilerin gizlilik bütünlük ve erişilebilirliğinin kaybı
• Orta• Daha şiddetli saldırıları
planlamak için kullanılan bilgi
4.Emniyet Seviyesi Tedbirleri
E-mail • Gizlilik bütünlük ve erişilebilirliğinin kaybı
• Düşük• İdari yük• Günlük işlerin daha zor
yapılması
5.Emniyet Seviyesi Tedbirleri
(IAEA, 2011a)
26
2.1.11 Düzenleyici denetim ve iç denetimler
Bir bilgi emniyet programının sürdürülebilmesi için düzenli olarak güvence faaliyetlerinin
yürütülmesi gerekir. Üçüncü partiler de dahil olmak üzere hassas bilgileri elinde tutan
kuruluşlarda yer alan güvenlik programlarının ulusal politika ve kanunlarla tüm açılardan
uyumlu olması için güvenceye ihtiyaç vardır.
Uygulanabilir olduğunda bilgi güvenliği önlemleri yetkili makamlar tarafından resmi onay
alınmadan önce gözden geçirilmelidir. Güvence, organizasyonun veya tesisin düzenli, resmi
düzenleyici denetimleri veya iç denetimleri ile sağlanabilir.
İç denetim genellikle organizasyonun iç kısmında bulunurken, düzenleyici denetimler hem
iç hem de dış ortamda yapılabilir. Buna ek olarak, düzenleyici denetimler duyurulabilir veya
habersiz olabilir (önceden haber verilmek suretiyle veya değil).
Düzenleyici denetimler ve iç denetimler, mevcut emniyet programının onaylanmış bilgi
emniyet planına uyup uymadığının belirlenmesi ve düzenleyici gerekliliklere uyulup
uyulmadığının belirlenmesi için organizasyon tarafından gerçekleştirilen denetimlerdir. Bu
tür düzenleyici denetimler, bir kuruluşun kendi denetimini düzenleyici denetime göre daha
sıklıkla kontrol etmesine izin verir. Dahası, iç gereklilikleri, prosedürleri ve sistemleri bilen
personel tarafından yapılan düzenleyici denetimler veya iç denetimler, düzenleyici
denetimin keşfedebileceğinden farklı gelişme fırsatlarını belirleyebilir.
Dış düzenleyici denetimler, yetkili makamlar veya diğer yetkili dış kuruluşlar tarafından
gerçekleştirilen denetimlerdir. Bu denetimlerin amacı, bir devletin bilgi güvenliği
politikasına uyum düzeyini değerlendirmektir. Dış düzenleyici denetimler, kuruluşun
kendisi tarafından yapılan düzenleyici denetimlerle karşılaştırıldığında bağımsız bir
değerlendirme sağlar. Dış denetçiler kullanırken, gizlilik ve güvenilirlik konuları ele
alınmalıdır. Düzenleyici denetim ve iç denetim sonuçları, eylem veya iyileştirme için belirli
alanları vurgulamalıdır. Tanımlanmış önleyici ve düzeltici faaliyetlere, düzeltme veya
uygulama için belirli zaman çizelgeleri atanmalıdır. Düzeltme ve uygulama eylemleri takip
edilmeli ve etkinlikleri değerlendirilmelidir (IAEA, 2015ç).
27
2.2 Dünya’da Siber Emniyet ve Kritik Altyapılar
2.2.1 Dünya’daki kritik altyapılara yönelik siber tehditler
Bilgi ve iletişim teknolojileri sayesinde işten eğitime, alışverişten eğlenceye hayatımızın
hemen hemen her alanını içine alan siber uzay, sağladığı pek çok imkân ve kabiliyetin
yanında gerçek dünyadaki tüm tehdit ve tehlikelere açık olduğu gibi kendine özgü özellikleri
dolayısıyla ortaya çıkan yeni tehdit ve tehlikeleri de içinde barındırmaktadır. Siber
tehditlerin tarihçesine bakıldığında pek çok olay göze çarpmaktadır.
“ 1971 yılında internetin atası olarak adlandırıla ARPA’nın (Advanced Research Projects
Agency Network) ortaklarından birinde çalışan Bob Thomas, Creeper adını verdiği ilk
kendini çoğaltan programı yazmıştır. ARPANET üzerinde süratle yayılan program ilk
emniyet ihlali olmuştur. Sözü edilen programın, uzmanlar tarafından bilgi paylaşımı
amacıyla kullanılan ağ üzerinde zarar vermek için değil, programcılık bilgisini göstermek
amacıyla yazılmış olduğu değerlendirilmektedir” (Yılmaz, 2017).
Soğuk savaş döneminde, Rusya ile ABD birbirilerinin açıklarını aramaktadırlar. “Rusya
1982 yılında Kanada’da bulunan bir şirketten doğalgaz boru hatlarının kontrolü maksadıyla
kullanılan bir yazılımı çalmaya başlamıştır. ABD olayın farkına vardıktan sonra çok stratejik
bir yol izleyerek operasyonu durdurmak yerine yazılımın içine virüs yerleştirerek kaşı atakta
bulunmuştur. Rusların çalmış olduğu yazılım bir süre sonra virüs tarafından bozularak
doğalgaz borusundan geçen gaz miktarını aşırı seviyede arttırmış ve doğalgaz borusunun
patlamasına sebep olmuştur. Sonuç olarak o güne kadar uzaydan görülebilen en büyük
(nükleer olmayan) patlama gerçekleşmiştir. Bu olay dünya tarihine ilk siber saldırı olarak
geçmiştir” (Yılmaz, 2017).
“ABD 1992 yılında daha savaş başlamadan Irak Devletinin tüm telekomünikasyon
altyapısını siber saldırı düzenleyerek çökertmiştir. Oysaki Irak Devleti saldırıdan önce çok
ciddi yatırımlarla en son teknolojik sayısal haberleşme sistemlerini kurmuştu. Yapılan siber
saldırı yöntemi ile Irak’ta tüm askeri birliklerin birbirleri ile iletişimleri bir anda kesilmiştir.
2003 yılında ABD, Irak’ı işgal etmeyi planlarken, Irak Savunma Bakanlığı’nda çalışan
binlerce kişi, işgalden hemen önce bilgisayar ekranlarında ABD Merkez Komutanlığı’ndan
gelen bir mesaj görmüşlerdir. Bu mesajın içeriğinde;
28
“Yakın bir zamanda Irak’ı işgal edebiliriz. Sizlere zarar vermek istemiyoruz. Başınıza bir
şey gelmesini istemiyorsanız, savaş başladığında evlerinize gidin” deniyordu.
Aralarında askerlerin de bulunduğu birçok kişi bu mesajı aldıktan sonra bırakıp gitmişlerdir
ve ABD Irak işgalinde kayda değer bir direnişle karşılaşmamıştır” (Yılmaz, 2017).
“Aralık 1994’te Rus-Çeçen çatışması esnasında Çeçenlerin ölü Rus askerlerinin
fotoğraflarını internet üzerinden yayınlayarak propaganda yapmaları siber uzaydaki bilgi
savaşlarının ilk etkili örneklerinden birini oluşturmuştur. Bu örnekte de amaç karşı tarafa
somut anlamda zarar vermekten ziyade, siber uzay bünyesinde bilginin yayılma hızını etkin
şekilde kullanarak avantaj yakalamak olmuştur.
1999’da NATO, üyelerini askeri haberleşme sistemlerine karşı saldırılara hazırlıklı olmaları
konusunda uyarmıştır.
Avustralya’da 2000 yılında atık kontrol sistemlerine giren bir kişi bir milyon litre atığın
deniz ve nehir sularına salınmasına neden olarak önemli bir zarara neden olmuştur. Kişisel
bilgisayarı ile SCADA sistemlerine girmeyi başaran eski firma çalışanı saldırgan, 150 atık
istasyonuna komuta ederek olayı gerçekleştirmiş ve olay sonrasında yargılanarak 2 yıl hapis
cezası almıştır. Saldırganın aynı işlem için 44 başarısız girişimin ardından başarılı olması ve
SCADA sisteminin ve yöneticilerinin bunu fark etmemeleri altyapı kontrol sisteminde
önemli bir güvenlik zafiyeti olduğunu göstermiştir.
2003 yılında Kanada’nın Ontario eyaleti ile ABD’nin orta batı ve kuzeydoğu eyaletlerinde
yaşanan elektrik kesintisi 4 gün ile 7 gün arasında sürmüş, toplam 50 milyon insanı etkilemiş
ve bu sürede sadece ABD’de 4 ila 10 milyar dolar arasında zarara neden olmuştur” (Yılmaz,
2017).
“Yine 2003 yılında Slammer adlı solucan dünya çapında yayılmayı başarmış ve aralarında
kritik altyapıların da bulunduğu pek çok sisteme zarar vermiştir. Basit bir yapısı olan
solucan, yerleştiği cihaz üzerinden başka bir cihaza sızabilmek için rastgele IP adresleri
deneyerek trafiğin artmasına ve böylece işlemlerin yavaşlamasına neden olmaktadır.
Microsoft yazılımını kullanarak yayılan solucandan korunmak için ise altı ay önce ilgili
şirketin yayınladığı yamanın yüklenmiş olması gerekmektedir. Buna rağmen Washington’da
911 hatlarına ulaşımın engellenmesine, 13000 adet ATM’nin kullanım dışı kalmasına, bazı
uçak seferlerinin iptaline ve Güney Kore’nin yarım gün süreyle internet bağlantısının
kesilmesine neden olabilecek kadar önemli bir etki yaratabilmiştir. Ayrıca Ohio’da internet29
bağlantısı olmayan Davis-Besse Nükleer tesisinin ağına da bir uzmanın bilgisayarı
vasıtasıyla sızmayı başarmış ve SCADA sistemleri tarafından sağlanan gözlem ve kontrol
işlevinin 5 saat süreyle bloke olmasına neden olmuştur.
Siber uzayın öneminin uluslararası aktörler tarafından en iyi şekilde anlaşıldığı bir diğer
örnek Soğuk Savaş sonrasında NATO’ya üye olan ve Rus kökenli nüfusun artışıyla güç
mücadelesine sahne olan Estonya’da meydana gelmiştir. Bireysel internet kullanım oranının
oldukça yüksek olduğu, aynı zamanda devletin birçok hizmetini internet üzerinden
gerçekleştirdiği (2005 yılında yerel seçim oylaması ağlar üzerinden yapılabilmiştir) ülkede
Nisan 2007’de; kızıl ordunun Tallinn’e girişini simgeleyen ‘Bronz Asker’ heykelinin
yerinden sökülerek askeri mezarlığa taşınması sonrası hâlihazırda yaşanan mücadele
yoğunluk kazanmıştır. Başkent Tallinn’de Sokak gösterileri ve olaylar sırasında 1300
tutuklama, 100 yaralanmanın yanı sıra 1 can kaybı meydana gelmiştir.
Ağustos 2008’de Güney Osetya’da Rusya ve Gürcistan arasında başlayan sıcak çatışmaların
Rusya tarafından eş zamanlı olarak siber uzayda desteklenmesi siber emniyetin öneminin
algılanması açısından önem arz eden bir diğer olaydır. Öncelikle Gürcistan’ın devlet
sitelerine ve medya kuruluşlarına erişim engellenmiştir. Siber uzay alanını savunmaya
çalışan Gürcistan Rusya’dan gelen trafiği engellemiş, bu kez Çin, Kanada, Türkiye ve
Estonya üzerinden saldıran Ruslar önce Gürcü bankalarına ve onların üzerinden tüm dünya
bankalarına saldırılar yöneltmiştir. Bunun üzerine bankalar Gürcistan ile ağ bağlantılarını
kapatmışlardır. Tıpkı Estonya’da olduğu gibi Rus hükümeti suçlamaları inkâr ederek,
insiyatifi dışında gerçekleştiğini açıklamıştır.
Kasım 2008’de ise Microsoft işletim sistemlerini hedef alan Conficker adı verilen solucan
tespit edilmiştir. Dünya çapında milyonlarca bilgisayara bulaşan virüs nedeniyle her
seviyede kullanıcı, kurum ve kuruluşlar etkilenmiştir. Fransız savaş uçaklarının uçuş
planlarının yüklenememesinden dolayı havalanamadığı, Atatürk Havalimanı’nda ise 29
Ocak 2009 tarihinde bilet ve bagaj işlemlerinin yapılamadığı bilinmektedir.
Bir başka siber savaş ise Ruslar ve Estonyalılar arasında gerçekleşmiştir. Estonya’nın
başkenti Tallinn’de Sovyetler Birliğinin dağılmasından sonra etnik Ruslar ve Estonyalılar
arasında gerilimler oluşmaya başlamıştır. Gerilimin sebebi Sovyetler birliği döneminden
kalma bronz “Kahraman Kızıl Ordu Askeri” heykeli olmuştur. 27 Nisan 2007 yılında iki
taraf arasında karşılıklı çatışmalar yaşanmaya başlayınca Estonya Devleti heykelin
30
kaldırılmasına karar vermiştir. Konu Rusya medyasına ve meclisine yansıyınca çatışmalar
siber ortama taşınmıştır. Rusya’nın siber saldırıları neticesinde Estonya’nın bankaları, kamu
kurumlan, özel sektör kuruluşları çalışamaz hale gelmiştir” (Yılmaz, 2017).
Şekil 2 . Saldırılara maruz kalan kritik altyapı sektörleri
Saldırılara Maruz Kalan Kritik Altyapı Sektörleri - 2014
79
(Yılmaz, 2017)
Yukarıda sunulan örnek olaylar ve saldırılara maruz kalan kritik altyapı sektörleri
grafiğinden anlaşılacağı üzere bütün kritik altyapılar tehdit altındadır.
Geçmişten günümüze etkileri de artarak devam eden bu zararlı uygulamaları ya da
istenmeyen e-postaları yaymak artık sadece birkaç dakika almaktadır. Bu sebeple dünya
çapında gerçek zamanlı olarak gerçekleşen siber emniyet olaylarını görselleştiren interaktif
pek çok “siber tehdit haritası” bulunmaktadır. Siber saldırıları gösteren siber tehdit haritaları
şu şekildedir:
1. FireEye Siber Tehdit Haritası (FireEye Cyber Threat Map),
2. Kaspersky Siber Tehdit Haritası (Kaspersky Cyberthreat Map),
3. Norse Siber Tehdit Haritası (Norse Attack Map ),
4. Dijital Siber Tehdit Haritası (Google Ideas and Arbor Networks - Digital Attack
Map),
31
5. Honey Siber Tehdit Haritası (Honey Project - HoneyMap),
6. Deutsche Telekom Siber Tehdit Haritası (Deutsche Telekom Cyber Attack Map),
7. CTF365 Siber Tehdit Haritası (CTF365 Cyber Attack Map).
Bu siber saldırı izleme haritaları arasındaki en popüleri olan Norse Siber Tehdit Haritası
üzerinde bir ülkeden diğer ülkeye siber saldırıları görmek mümkündür. Norse bu izleme işini
ağ cihazları üzerinden aldığı DDoS verileri üzerinden sağlamaktadır (Uzmanım, 2017).
ABD merkezli güvenlik firması olan Norse Şirketi, dünya üzerinde siber saldırıların ne kadar
sık olduğunu gözler önüne sermektedir. Bu harita saldırı kaynağı, saldırı türü, hedefleri ve
canlı saldırıları göstermektedir. Oluşturulan dünya haritasında en çok saldıran ülke,
saldırıların kaynağı, saldırıların türü ve hangi konuma doğru olduğu gibi bilgiler de yer
almaktadır. En çok siber saldırı alan ülke Amerika Birleşik Devletleri olurken en çok siber
saldırı yapan ülke ise Çin olarak görülmektedir. Türkiye’de ise saldırıların İstanbul ve
Ankara üzerinde yoğunlaştığı görülmektedir (Shiftdelete, 2017).
Şekil 3. Norse Siber Tehdit Haritası
Diğer bir harita “Kaspersky Cyberthreat Map” gösterilen tehdit türleri arasında, erişim
esnasında ve talep üzerine yapılan taramalarda, e-posta ve web anti-virüs tespitlerinde
algılanan zararlı nesneler ile zayıf nokta ve yetkisiz giriş tespiti alt sistemleri tarafından
tanımlanan nesneler yer almaktadır. Harita, güvenlik olaylarına ilişkin en yeni bilgileri
32
içermektedir. Böylece herkes çeşitli yaygın tehditleri ve bunların yayılma hızını
görebilmektedir (Itnetwork, 2017).
Türkiye de diğer ülkeler gibi siber saldırılarını takip etmek için bu haritalardan
faydalanmaktadır. Norse Siber Tehdit Haritası üzerinden takip edilen siber saldırılar için
Türkiye'de de bir askeri oluşum bulmaktadır. Türk Silahlı Kuvvetleri'ne bağlı Siber Saldırı
Komutanlığı'nda yer alan siber birlikler Türkiye’yi hem çevrimiçi ortamda korumak hem de
gerektiğinde operasyon düzenleme görevini üstlenmektedir.
Bu yeni alanda tehditleri önleyerek, gelişmiş savunma ikaz ve tepki sistemlerine sahip güçlü
bir siber savunma yeteneği kazanmak amacıyla 2012 yılında kurulan TSK Siber Savunma
Merkezi Başkanlığı, 30 Ağustos 2013'te TSK Siber Savunma Komutanlığı'na
dönüştürülmüştür (Webtekno, 2017).
TSK Siber Savunma Komutanlığı mevcut yeteneklerinin geliştirilmesi ve kısa vadede yeni
yeteneklerin kazanılması maksadıyla yürütülen TSK Siber Savunma Merkezi Projesi
(SİSAMER) kapsamında 7 gün 24 saat esasına göre görev yapacak Harekât Merkezi tesisi
ilk safha modernizasyonu tamamlanmıştır (TSK, 2017).
Ayrıca HAVELSAN bünyesinde Teknoloji, Ar-Ge, Test ve İzleme Merkezi Olacak Siber
Savunma Teknoloji Merkezi (SİSATEM) açılmıştır. Türkiye’de aynı zamanda ulusal Siber
Tehdit ağının geliştirilmesi ile ilgili projelerde mevcuttur. Bunlardan biri olan USTA (Ulusal
Siber Tehdit Ağı) geliştirilmeye 2012 yılında başlanmış olan, Savunma Sanayi
Müsteşarlığı’nın iştiraki olan Teknopark İstanbul'un onayladığı Ar-Ge projesidir. Bu proje
kapsamında siber suçluların faaliyet gösterdiği araçlar, teknikler ve prosedürler tespit
edilerek, elde edilen istihbarat ilgili kuruma platform üzerinden gönderilir. USTA
Türkiye’nin ilk ve tek siber istihbarat platformudur (Siberistihbarat, 2017).
2.2.2 Dünya’daki nükleer tesislere yönelik tehditler
Dünya’da siber emniyet başlığı altında daha geniş çerçevede verildiği gibi geçmişten
günümüze pek çok kritik alt yapıya devletler çapında siber saldırılar düzenlenmiştir. Bu
kritik altyapılardan biri de nükleer altyapılardır. Nükleer tesislere düzenlenen bir siber
saldırı, herhangi bir kritik altyapıya düzenlenen siber saldırılarla karşılaştırıldığında benzer
sonuçlar doğurmaktadır. Geçmişten günümüze nükleer tesislerde yaşanan siber olayların
sıklığı şekildeki gibi bir dağılım göstermektedir.
33
Şekil 4. Nükleer tesislerde siber olayların sıklığı
“Nükleer enerji tesislerinde SCADA ve endüstriyel kontrol sistemlerinin kullanılıyor olması,
siber emniyet olaylarını ve bilgisayar sorunlarını araştırmacıların dikkatine taşımaktadır.
Nükleer enerji tesislerinin yanı sıra, bu kategorideki her türlü bilgi yüksek hassasiyet
düzeyindedir. Nükleer enerji santraliyle ilgili bilgilerin yüklü olduğu platformlara yönelik
olarak düzenlenmiş saldırı örnekleri bulunmaktadır. Aşağıda tabloda özeti verilen ve daha
sonra başlıklarda detaylıca anlatılan örnekler, bizlere siber aksaklık ve saldırının boyutları
ve ciddiyeti hakkında bir fikir verecektir” (Bıçakçı, 2017).
34
Tablo 2: Uluslararası yaşanmış örneklerÜlke/Tesis
İran / Natanz
nükleer enerji santrali
ABD/David
Besse Nükleer
Enerji
Kötücül Tarih Saldırı Sonuç
Yazılım
Stuxnet Haziran Stuxnet, bir USB sürücüsünün sisteme
2010 virüs bulaştırması yoluyla ortaya
çıkmaktadır.
Saldırı sonucunda 1000 adet
santrifüjün zarar gördüğü ve
bunların 600’ünün
değiştirildiği belirtilmektedir.
Slammer
solucanı
Santrali
ABD/Browns Aşırı trafik
Ferry Nükleer yaratarak
Enerji sistemin
Santrali çökmesine
neden olan
kod
ABD/Hatch
NükleerEnerji
Santrali
Ocak Solucanın sebep olduğu tıkanıklık, tesisin SPDS’nin yeniden çalışır hale
2003 Emniyet Parametreleri Gösterge Sistemi getirilmesi 4 saat 50 dakika,
(SPDS) olarak adlandırılan kompüterize PPC’nin ki ise 6 saat 9
edilmiş gösterge panelini ve Tesis Süreç dakikayı aldı.”
Bilgisayarını(PPC) çökertmiştir
Aşırı trafik Ağustos Su devridaim pompası ağda yaşanan
2006 yüksek trafik nedeniyle faaliyeti
durmuştur.
2008
Japonya/Mon
ju Nükleer
Enerji
Santrali
Virüs Ocak
2014
Nükleer tesisin 2 numaralı ünitesi, tesisin
idari ağında kullanılan bir yazılımın
güncellenmesiyle bilgisayar süreç kontrol
ağından sistem kontrol bilgisi toplamaya
başladı. Bu, kontrol sisteminin eşleme
programının tekrar kurulmasını ve
sistemin, reaktörün rezervuarındaki su
miktarında ani su azalması olarak
algılayarak otomatik kapatma sistemini
başlatmasına neden oldu.
Normal şartlarda tesisin nöbetçi
personelinin şirketin gündelik evrak işleri
için kullanmakta olduğu bir bilgisayar 2
Ocak 2014 saat 15.00’de, şüpheli bir
biçimde, bilinmeyen bir web sitesinden
bilgi alıp göndermeye başlamıştır. Yapılan
dikkatli ve ayrıntılı inceleme neticesinde
virüsün, bilgisayara kayıtlı görüntüleri
yeniden oynatmak için yüklenmiş olan bir
programın düzenli güncellemesi
yüklenirken bulaştığı anlaşılmıştır.
Olay sonrası santralin iki
reaktöründen birisi manuel
olarak kapatılmak zorunda
kalınmıştır.
Hatch Nükleer Enerji Santralı,
bir yazılım güncellemesi
nedeniyle 48 saatliğine acil bir
biçimde zorunlu kapatılmayla
karşı karşıya kalmıştır.
Monju Nükleer Enerji
Santrali’nde yaşanan bu olay,
tesislerde, tesisin siber
saldırılardan korunması
amacıyla, olay inceleme
ekiplerinin bulundurulmasının
ne kadar önemli olduğunu
göstermektedir
35
“Slammer solucanı, son kullanıcı bilgisayarına bulaşmak amacıyla yazılan bir solucan
olmadığı için, tipik bir kötücül yazılım olarak kabul edilemez. Slammer solucanı, Microsoft
SQL sağlayıcılarını ve Microsoft Data Engine (MSDE) 2000’le çalışan bilgisayarları
etkilemeyi amaçlamaktadır.
Solucan, bilgisayarın hard diskine yerleşip herhangi bir dosyaya virüs bulaştırmadığı için
teknik elemanlar solucanı temizlemek için basitçe sistemi yeniden başlatmaktadırlar.
Solucanın esas rolü ağın yükünü artırmak ve bu sayede “buffer overflow” olarak adlandırılan
bir hataya yol açarak SQL sağlayıcıları kullanıcılarına görünmez kılmaktır.
24 Ocak 2003’te ABD’de bu şekilde solucanın bulaştırılmış olduğu bilgisayar sayısı en üst
seviyeye ulaşmıştır. Bu bilgisayarlar arasında, Ohio’daki David-Besse Nükleer Enerji
Santrali’nin bilgisayarları da yer almaktadır. Araştırmacılar, temizleme sürecinin sonunda,
solucanın nükleer santrale First Energy Nuclear isimli bir yüklenicinin ağından ulaştığını
saptamışlardır. Solucanın yolunu, lisans sahibinin David-Besse’nin kurumsal ağına bağlanan
T1 hattını kullanarak bulduğu anlaşılmıştır. David-Besse nükleer santralinin güvenlik
duvarının aslında Slammer solucanının kullandığı portu bloke etmek üzere programlanmış
olmasına rağmen, David-Besse’nin iş ağı üzerinde bulunan çeşitli geçişlerin varlığı, bu türde
bir sonuca neden olmuştur. Microsoft, Slammer solucanının tesisi vurmasından altı ay kadar
önce, bu konuda yardımcı olacak ağ yamaları konusundaki bilgiyi yayınlamış olsa da, tesisin
bilgisayar mühendisleri bu ağ yamalarını sisteme yüklememişlerdir.
Güvenlik odaklı çalışmalar yapan SecurityFocus web sitesi olayları anlatan zaman
çizelgesinin tutanaklarını şöyle yayınlamıştır: Tesis çalışanları saat 16:00’da tesisin ağındaki
yavaşlamayı fark ettiler. Saat 16:50’de solucanın sebep olduğu tıkanıklık, tesisin Emniyet
Parametreleri Gösterge Sistemi (Safety Parameter Display System/ SPDS) olarak
adlandırılan kompüterize edilmiş gösterge panelini çökertti. SPDS monitörleri; soğutma
sistemleri, çekirdek ısı sensörleri ve harici radyasyon sensörleri gibi tesisin en önemli
güvenlik göstergeleridir. Bir uzman, bunların çoğunluğunun tesis kapalı durumdayken dahi
izlenmesi gereken göstergeler olduğu bilgisini vermektedir. Bir SPDS’nin 8 saatten daha
uzun bir süre çalışmaması durumunda Nükleer Düzenleme Komisyonu’nun (Nuclear
Regulatory Commission /NRC) bilgilendirilmesi gerektirmektedir. Saat 17:13’de Tesis
Süreç Bilgisayarı (Plant Process Computer/PPC) olarak adlandırılan, daha az önemde bir
2.2.2.1 Slammer solucanı ve David Besse Nükleer Enerji Santrali
36
izleme sistemi daha çökmüştür. Her iki sistemin de solucandan etkilenmemiş durumda,
kullanılmayan analog yedekleri bulunmaktaydı. Fakat danışman kuruluş niteliğindeki March
“SPDS ve PPC’nin ulaşılabilir olmaması, işletmeci açısından ağır bir sorumluktur”
değerlendirmesini yapmaktadır. SPDS’nin yeniden çalışır hale getirilmesi 4 saat 50 dakika,
PPC’nin ki ise 6 saat 9 dakikayı aldı. Davis-Besse örneği, nükleer enerji tesislerinin kötücül
yazılım saldırılarına karşı korumasız ve SCADA sistemlerine yapılan uzaktan izleme
bağlantılarının da siber saldırılara karşı artan bir riskle karşı karşıya olduğu gerçeğinin altını
açıkça çizmektedir” (Bıçakçı, 2017).
2.2.2.2 Browns Ferry Nükleer Enerji Santrali
“ 1974 yılında Alabama Athens yakınlarında inşa edilen Browns Ferry Nükleer Enerji
Santrali, dünyanın en büyük nükleer enerji santrallerinden biridir. Bu tesiste Ağustos
2006’da yaşanan olay, reaktörlerin kritik unsurlarının da siber saldırıların yarattığı
aksaklıklar karşısında zafiyet içinde olduklarını göstermiştir.
Tennessee Valley Authority (TVA) işletmecisi, su devridaim pompasının, ağda yaşanan
yüksek trafik nedeniyle faaliyetinin durması sonrasında santralin iki reaktöründen birisini
manuel olarak kapatmak zorunda kalmıştır. Devridaim pompaları, reaktöre pompalanan
suyun akışını kontrol ettikleri ve kaynar sulu reaktörlerin (boiling-water reactors) enerji
çıktısını yönettikleri için kritik bir role sahiptirler.
NRC raporunda da belirtildiği üzere, ruhsat sahibi, olayın ana sebebinin tesisin ICS ağındaki
yoğun trafik nedeniyle devridaim pompasının VFD (variable frequency drive)
kontrolörünün arıza vermesi olduğu kararına varmıştır. Devridaim pompalarının
kapatılmasının sonuçları bilinmekle birlikte arızaya neden olan ağdaki yoğun trafiğin
nedenini ortaya koyacak mantıklı bir açıklama bulunmamaktadır.
Byres Security isimli şirketin CEO’su Eric Byres, sorunun kontrolörün, tesisin devridaim
pompasında yanlış ağ kodları kullanması olduğundan şüphelenmektedir. Byres, aşırı trafik
yaratarak sistemin çökmesine neden olan kod, bilinen bir yazılım hatasıdır. Diğer taraftan
NRC raporu, şu noktaya dikkat çekmektedir: ağdaki aşırı yüklenmenin sebebi
açıklanamadığı sürece, ne lisans sahibi olan şirketin ne de NRC’nin bunun dışarıdan
kaynaklanan bir hizmet dışı bırakma saldırısı (denial-of-service attack) olup olmadığını
bilmesine imkân yoktur. Bu iddiayı desteklemek için logların ve ilgili verilerin bağımsız
denetçilerce incelenmesi gerekmektedir” (Bıçakçı, 2017).37
2.2.2.3 Hatch Nükleer Enerji Santrali
“Hatch Nükleer Enerji Santrali olayı, nükleer tesislerdeki ağ bağlantısı sorunlarının altını
çizmektedir. Baxley, Georgia yakınlarındaki Hatch Nükleer Enerji Santralı, bir yazılım
güncellemesi nedeniyle 48 saatliğine acil bir biçimde zorunlu kapatılmayla karşı karşıya
kalmıştır.
Nükleer tesisin 2 numaralı ünitesi, Southern Company isimli lisanlı şirketin bir
mühendisinin, tesisin idari ağında kullanılan bir yazılımı güncellemesine kadar düzgün bir
biçimde çalışmaktaydı. Mühendisin güncelleme sonrasında bilgisayarı yeniden
başlatmasıyla (reboot) birlikte bilgisayar süreç kontrol ağından (process control network)
sistem kontrol bilgisi (diagnostic data) toplamaya başladı. Bu, kontrol sisteminin eşleme
programının tekrar kurulmasını ve sistemin, reaktörün rezervuarındaki su miktarında ani su
azalması olarak algılayarak otomatik kapatma sistemini başlatmasına neden oldu.
Southern Company’nin sözcüsü Carrie Phillips, devreye giren acil durum sistemlerinin,
nükleer enerji santralinin emniyetinin sağlanması için tasarlandığını açıklamıştır. Phillips,
güncellemeyi yükleyen mühendisin yazılımın bu şekilde tasarlandığını bilmediğini ve
herhangi bir yeniden başlatma (reboot) durumunda sistemin kendisini tekrar kurduğunu
(system reset) ve diğer ağları da buna zorladığını sözlerine eklemiştir. Bu olay enformasyon
teknoloji sistemleri ile endüstriyel kontrol sistemleri, gerekli tasarım öncelikleri dikkate
alınmadan bağlandığında beklenilmeyen sonuçlarla karşılaşılacağını göstermektedir. Hatch
olayı bize SCADA sistemlerinin korunmasının, ayrıntılı iş bölümünün olduğu bir müdahale
stratejisi gerektirdiğini kanıtlamıştır” (Bıçakçı, 2017).
2.2.2.4 ABD’deki nükleer santrallere yönelik kötücül yazılım saldırıları
“Nükleer enerji santrallerinin zafiyetleri kritik bilgi olarak kabul edildiği için bu tesislerde
meydana gelen olaylar genellikle kitlesel medyada yer almamaktadır. NRC raporlarına
bakıldığında, 2008-2010 döneminde bilgisayarların işleyiş, depolama ve taşınması sırasında
çeşitli olayların meydana geldiği anlaşılmaktadır.
Stuxnet olayının ortaya çıkması ise nükleer tesislerde kullanılan SCADA/ICS sistemlerine
yönelik tehditlere dair algıyı değiştirmiştir. Stuxnet saldırısında virüs bulaştırılmış bir
USB’in (Universal Serial Bus) kullanılmış olması, bu tür araçlara yönelik bir hassasiyet
38
yaratmıştır. ABD’de yaşanan benzer tecrübeler USB olarak adlandırılan sürücülerin kritik
altyapıya bir tehdit oluşturabileceğini göstermektedir.
Ekim 2012’de bir teknisyenin, nükleer enerji santralinin ekipmanının planlı bakımı için,
santralın çalışmasının durdurulduğu sırada sorunlu bir USB’yi sisteme bağlaması sebebiyle
santral, üç hafta boyunca kapalı kalmıştır. Yüklenici firmada çalışan teknisyen bunu,
USB’nin virüslü olduğunu bilmeden gerçekleştirmiştir. ABD İç Güvenlik Müsteşarlığı
santralin adını ve konumunu belirtmese de, yüklenicinin USB’siyle sisteme yüklenen
kötücül yazılımın Mariposa virüsünün değişik bir türü olduğunu açıklamıştır.
Mariposa, siber emniyet listesinde, bir virüsten ziyade virüs bulaştırılmış bilgisayarlardan
kişisel bilgi, hesap numarası, kullanıcı adı, şifre ve banka bilgilerini toplayan bir böcek
olarak sınıflandırılmıştır. Bu virüslü bilgisayarlar aynı zamanda DDoS saldırısı düzenlemek
için de kullanılabilmektedirler.
Benzer bir diğer olay, bir çalışanın sorun yaşadığı bir USB sürücüsünü kontrol etmeleri için
IT birimine vermesiyle yaşanmıştır. IT görevlisi USB’yi güncel bir virüs programının yüklü
olduğu bir bilgisayara takması sonucunda, USB’de yüklü olduğu anlaşılan üç kötücül
yazılımdan birinin gelişmiş bir virüs olduğu anlaşılmıştır. Sonuçları gören IT görevlisi
tesisteki çeşitli bilgisayarları kontrol etmiş, bunlara da adı geçen gelişmiş virüsün
bulaştırılmış olduğu anlaşılmıştır.
Bu türde örnekler bize, USB sürücülerinin nükleer enerji santrallarının siber emniyeti
açısından kritik roller oynayabildiğini göstermektedir. İki araştırmacının BlackHat
Konferansı’nda yaptıkları bir sunum, nükleer tesise yönelik olarak bir USB sunucusuyla
düzenlenecek bir saldırının sadece kötücül bir yazılımın yüklü olduğu USB sürücüsü
aracılığıyla değil, bilgisayarla USB bağlantıları sayesinde iletişim halinde olan yazıcı,
tarayıcı gibi diğer bağlantılar aracılığıyla da düzenlenebileceğini göstermiştir” (Bıçakçı,
2017).
2.2.2.5 Nükleer enerji santrallerine yönelik uluslararası sabotaj ve yetkisiz
erişim girişimleri
“Kritik altyapıya yönelik tehditlerin başında, üst düzey hackerların gündelik faaliyetleri
arasında yer alan, sistemlerin kontrolünü elde etmek için çeşitli alternatif yollar arama olarak
kabul edilebilecek olan, geniş çaplı siber keşif aktiviteleri yer almaktadır.
39
ABD’de yaşanan olaylar arasından seçilen iki farklı örnek, bize devletlerin diğer devletlerin
kritik altyapı ve kaynaklarını koruma imkân ve kabiliyetlerini nasıl sınadıklarını
göstermektedir. Bir grup hacker, sistemlerinin nasıl aşılabildiğini test etmek amacıyla Kuzey
ABD’deki çeşitli doğal gaz üreticilerinin sistemlerine saldırmıştır.
Bu saldırıların birinde, bir nükleer tesisin yönetiminin haber bülteninin alıcı listesi hackerlar
tarafından ele geçirilmiş ve bülten gönderilmeden önce, bu listede yer alan e-posta
adreslerine bir casus yazılımın yüklü olduğu e-postalar gönderilmiştir. Bu girişim, Santa
Barbara’nın kuzeyindeki Diablo Canyon nükleer enerji santralinin bilgisayar ağına zorla
girilmesi başarısıyla neticelenmiştir.
Ağustos 2012’de Çinli bir hacker grubunun bir ABD nükleer tesisine sızması bu türde
saldırılara örnek teşkil eden bir diğer girişimdir. ABD İç Güvenlik Müsteşarlığı, saldırıya
uğrayan bu tesisin ve benzer saldırılarla karşılaşmış olan diğer tesislerin adlarını, tesisleri
ileride yaşanabilecek benzer saldırılardan korumak amacıyla açıklamamıştır. Çinli askeri
hackerlar tesisin kıdemli yöneticisinin bilgisayarının kontrolü ele geçirmeyi başarmışlardır.
Tesisin olay inceleme ekibi, yaptığı araştırma neticesinde, Çinli hackerların bir ABD nükleer
reaktörünün güvenlik ve işletim zafiyetlerini tanımlamayı amaçladıkları sonucuna varmıştır”
(Bıçakçı, 2017).
2.2.2.6 Monju Nükleer Enerji Santrali
“Japonya’daki Fukui bölgesindeki Tsuruga şehrinde kurulu bulunan Monju nükleer
reaktöründe, normal şartlarda tesisin nöbetçi personelinin şirketin gündelik evrak işleri için
kullanmakta olduğu bir bilgisayar 2 Ocak 2014 saat 15:00’de, şüpheli bir biçimde,
bilinmeyen bir web sitesinden bilgi alıp göndermeye başlamıştır. Yapılan dikkatli ve ayrıntılı
inceleme neticesinde virüsün, bilgisayara kayıtlı görüntüleri yeniden oynatmak için
yüklenmiş olan bir programın düzenli güncellemesi yüklenirken bulaştığı anlaşılmıştır.
Japon Atom Enerjisi Kurumu, virüs bulaşan bilgisayarın, daha sonra düzenlenebilecek
saldırılarda kullanılması muhtemel bir takım hassas bilgi, çalışan bilgi formları ve eğitim
programına dair loglar içermesine rağmen, sızan bilgilerin tesisin güvenliğine herhangi bir
tehdit oluşturmadığını iddia etmiştir. Monju Nükleer Enerji Santrali’nde yaşanan bu olay,
tesislerde, tesisin siber saldırılardan korunması amacıyla, olay inceleme ekiplerinin
bulundurulmasının ne kadar önemli olduğunu göstermektedir.
40
Bu tesislerde olay inceleme ekiplerinin görevlendirilmesi, nükleer enerji santrali
işletmecilerince, ekonomik açıdan maliyetli ve uygulanmaz olarak görüldüğü için bu türde
görevler genelde tesis mühendislerine verilmektedir. Fakat olay incelemesi, siber saldırıların
anlaşılması ve izlerinin sürülmesi açısından bir takım özel tekniklerin bilinmesini
gerektirmektedir” (Bıçakçı, 2017).
2.2.2.7 ICS ve SCADA sistemleri açısından bir dönüm noktası: Stuxnet
“Haziran 2010 başında, İran’daki bir güvenlik mühendisi Belarus’ta bulunan anti-virüs
yazılımları geliştiren VirusBlokAda’yı telefonla arayıp, Windows işletim sistemi ile çalışan
bilgisayarların ekranlarının mavi bir ekran haline dönüşerek donduğu ve bilgisayarların
sistemi kendiliğinden yeniden yüklemeye başladığı bilgisini vermiştir. VirusBlokAda’nın
sistem kurtarma teknolojilerinden sorumlu programcısı Sergey Ulasen, İran’daki
meslektaşıyla yaptığı ilk değerlendirme sonrasında hatayı saptamış ancak sorunun
çözümünü tespit edememiştir. Ulasen’e, sorunun çözümü için derinlemesine inceleme
yapmak üzere, sisteme uzaktan erişim yetkisi verilmiştir. Ulasen, ilk incelemeler
neticesinde, kötücül yazılımın kendisini Tayvanlı güvenilir bir donanım sağlayıcısı, Realtek
Semiconductor’un gerçek dijital sertifikasına sahip, sıfır-gün zafiyeti kullanmakta olan
işletim sistemine bir sürücü olarak tanıttığını fark etmiş, böylece Stuxnet’in en iyi biçimde
yamanmış Windows bilgisayarlara dahi bulaşabileceği ve sertifikalarının çalınabileceği
açıklığa kavuşmuştur. VirusBlokAda, bu zafiyeti 12 Haziran’da Microsoft’a iletmiş ve
saptamalarını daha sonra bir güvenlik forumunda paylaşmıştır. Tanınmış güvenlik
bloggerları da güvenlik sektöründe ilgi uyandıran bu bilgileri 15 Temmuz’da internette
paylaşmışlardır. Son dönemde Symantec tarafında yapılan çalışmalar, Stuxnet 0,5’in ilk
sürümünün Kasım 2005’den bu yana aktif olduğunu açığa çıkartmıştır. VirusBlokAda
tarafından “Rootkit Tmphider” ismi verilen kötücül yazılım sonradan Symantec tarafından
ilk önce “W32 Temphid” olarak adlandırılmış ve takiben “W32 Stuxnet” şeklinde
değiştirilmiştir. Stuxnet internette yayılmak üzere tasarlanmamıştır. Aksine, Stuxnet ’in
virüs bulaştırılmış bir USB vasıtasıyla yerel ağdaki bir programlanabilir Mantıksal Kontrol
Aygıtına (Programmable Logic Control) bulaştırıldığı hedeflenmiştir. Bir USB sürücüsü
vasıtasıyla sisteme bulaştırılan bu kötücül yazılım, komuta kontrol servis sağlayıcısına
bağlanmak üzere programlanmıştır. Stuxnet, bu sayede saldırıyı düzenleyene hareket
serbestliği kazandırmakta ve bulaştırılan bilgisayar vasıtasıyla sisteme daha fazla kötücül
kod yüklemesi yapılabilmektedir. Stuxnet, bir USB sürücüsünün sisteme virüs bulaştırması41
yoluyla ortaya çıkmaktadır. Stuxnet, dört farklı sıfır gün zafiyetini ve çalınmış dijital
sertifikaları kullanmaktadır. Bu sıfır gün zafiyetlerinden biri, virüsün ortak yazıcıyı kullanan
Windows yüklü bilgisayarların tamamına yayılmasına yol açan yazıcı belge yönetim
sistemindeki bir hatadır. Microsoft bu yamayı kullanmayı, Nisan 2009’da Polonya’da
yayınlanan bir güvenlik dergisinin bunu açığa çıkartmasıyla bırakmıştır. Tüm bu ipuçları
saldırganların hedeflerinin internete bağlı olmadığını bildiklerini göstermektedir.
Symantec’in tersine mühendislik girişimlerinin ortaya çıkarttığı biçimiyle; Stuxnet’in, Rus
matruşka bebekleri gibi şifrelenmiş tabakalardan oluşan ve tamamı birbirine sarmalanmış 3
ana parçası ve buna bağlı 15 bileşeni vardır. Kötücül yazılım, kötü niyetle yazılmış kodların
bulaştırılması yoluyla Siemens kontrol sistemlerinin kullanıldığı PLC’leri ele geçirmeyi
hedeflemiştir.
Endüstriyel kontrol sistemlerinin kullanımı, bu saldırının İran’daki Buşehr ya da Natanz
nükleer enerji santrallerini hedeflediği yönündeki spekülatif değerlendirmelerin yapılmasına
neden olmuştur. Daha sonra yapılan incelemeler neticesinde, Stuxnet’in Natanz nükleer
enerji santralini hedeflediği anlaşılmıştır. Yapılan incelemeler, Stuxnet’in işletim kodu
hakkında da bir fikir vermektedir. Kötücül yazılım, muhtemelen sistemin nasıl çalıştığını
anlamak amacıyla sisteme yerleşerek iki hafta boyunca keşif yapmaktadır. Saldırı, İran’ın
uranyum zenginleştirmesi için kullandığı santrifüjlerin dönen motorlarının 1,064Hz olan
hızının 15 dakikalığına çok çabuk biçimde ve sessizce 1,410Hz’ a çıkartılmasıyla
başlamıştır. Kötücül yazılım, takip eden 27 gün boyunca, hızın 50 dakikalığına 2Hz’e
düşürüldüğü diğer saldırı başlatılıncaya kadar sesiz kalmıştır. Saldırının bu rastgele
örüntüsü, kötücül yazılımı anti-virüs programlarından da gizlemiştir. Kontrolün yapıldığı
monitörlerin kapanması da kötücül yazılımın neden olduğu normal dışı faaliyetin kontrol
odasındaki operatör tarafından fark edilmesinin önüne geçmiştir.
Stuxnet sadece İran’daki tesislere saldırı düzenlemede kullanılmamıştır. Stuxnet, Kaspersky
Security Network tarafından verilen bilgiye göre, Eylül 2010 sonu itibarıyla dünya çapında
yaklaşık 30.000 kurumdaki 100.000’den fazla bilgisayar sistemine bulaşmıştır” (Bıçakçı,
2017).
Ağustos 2010 yılından itibaren dünya genelinde bu yazılımdan etkilenen bilgisayarların %
60’ının İran’da olduğu tespit edilmiştir (Yılmaz, 2017). “Stuxnet’ten sonra ortaya çıkan
Flame, Duqu ve Regin gibi benzer kötücül yazılımlar enerjiden bankacılığa birçok sektörü
42
tehdit etmektedir. Bu yazılımlar, Stuxnet’in yazılım mantığıyla dikkatleri çeken düzeyde bir
benzerlik taşımaktadırlar” (Bıçakçı, 2017).
“Bu olayın hitamında yapılan incelemeler kapsamında stuxnet’in daha önce hiçbir zararlı
yazılımda görülmeyen özellikleri tespit edilmiştir. Öncelikle sadece nükleer enerji
santrallerinde kullanılan belli marka ve özellikteki cihazları ve SCADA sistemlerini hedef
alan bir yazılım olduğu anlaşılmıştır. Bilgi güvenliği uzmanları bu şekilde karmaşık bir
yazılımın ancak ulusal düzeyde bir çalışmayla yazılmış olabileceğini, bu yazılımın bağımsız
bilgisayar korsanları tarafından başarılamayacağını bildirmişlerdir” (Yılmaz, 2017)
“2010 yılının Mayıs ayında Virusblokada adlı Ukraynalı bir bilişim şirketi Microsoft
Windows işletim sisteminde zararlı etkileri olabileceğini değerlendirdiği bir virüs tespit
etmiştir. Stuxnet adı verilen virüs yazılımının benzerlerinden çok daha karmaşık bir yapıda
olmasından hareketle Microsoft ile birlikte Kaspersky ve Symantec bilişim güvenlik ve
yazılım şirketlerinin katılımıyla yazılım incelenmiştir. Araştırma sonuçlarına göre virüs
İran’ın Natanz nükleer yakıt-uranyum zenginleştirme tesislerindeki bilgisayar ağlarına
Haziran ve Temmuz 2009 tarihlerinde iki saldırı gerçekleştirmiştir.” (Yılmaz, 2017)
“Stuxnet ilk aşamada tesisin SCADA sistemine bağlı çalışan ve uranyumun ayrıştırılması ile
konsantrasyonunu yöneten programlanabilir mantıksal denetleyicileri (PLC) komutasına
almıştır. İkinci aşamada ise kontrol cihazlarını kullanarak her 100 milisaniyede bir
gönderdiği komutlarla santrifüjlere enerji sağlayan elektrik akım frekanslarını alçaltıp
yükseltmiştir. Böylece sürecin kesintiye uğramasını sağlamıştır. Üstelik saldırı boyunca
işlemlerin normal seyrinde devam ettiğine dair kullanıcılara bilgi göndermeye devam
etmiştir. Bunu yaparken faaliyete geçmeden önce sistem üzerinde uç birimlerden kontrol
merkezlerine iletilirken gözlemleyip kaydettiği verileri kullanmıştır.” (Yılmaz, 2017)
“Hedefine ulaşabileceği yolu bulana kadar 100.000’den fazla bilgisayara sızan Stuxnet’in en
önemli özelliği spesifik olarak belirli bir ana kartı hedef alacak şekilde programlanmış
olmasıdır. Microsoft Windows üzerinden yayılan bu solucan, Siemens S7 300 modüllerini
kullanan PLC ve SCADA’yı hedef almıştır. Bu yönüyle doğrudan kritik altyapı sistemlerine
yönelik olduğu tespit edilen ilk siber saldırı olma özelliği taşımaktadır.” (Yılmaz, 2017)
“Natanz’daki tesisin ve SCADA sistemlerinin internet bağlantısının olmayışı virüsün
taşınabilir bir cihaz vasıtasıyla sisteme giriş yaptığı ihtimalini kuvvetlendirmektedir. Saldırı
sonucunda 1000 adet santrifüjün zarar gördüğü ve bunların 600’ünün değiştirildiği
43
belirtilmektedir. Uluslararası Atom Enerjisi Kurumu tarafından yayınlanan bir raporda ise
İran’ın Stuxnet sonrasında sistem ve üretim kayıplarını telafi ederek uranyum geliştirme
programında saldırı öncesi seviyesine kısa sürede ulaştığı belirtilmiştir.
Üzerinde incelemelerin halen sürdüğü Stuxnet virüsü sayısı tam olarak bilinemeyen pek çok
sıfır gün açıklığını, kripto referansını (yetkilendirme) ve diğer gizemli giriş yöntemlerini
kullanarak sızdığı kontrol sistemlerinde belirli hedeflere ulaşana kadar faaliyete geçmemeye
programl anmı ştır.
Stuxnet’in oldukça teferruatlı ve karmaşık yapısı daha etkin kullanılabilseydi çok daha geç
tespit edilebileceği yönünde varsayımlara neden olmaktadır. Eğer kontrol cihazlarına
ulaşmak için kullandığı Windows tabanlı sunucularda izlerini silseydi belki de faaliyetlerini
halen sürdürüyor olacaktı. Bu soruların yanıtları şimdilik varsayımlardan öteye
gitmemektedir ancak gerçek olan şudur ki; Stuxnet özellikle kritik altyapıların siber
emniyetine yönelik farkındalığın artmasına neden olmuştur. Stuxnet’in bu anlamda ortaya
çıkardığı bazı gerçekler Tablo 3’te sunulmuştur.” (Yılmaz, 2017)
Tablo 3. Stuxnet sonrası öğreniler
Önceki Kabuller Stuxnet Sonrası Öğrenilenler
Kontrol sistemleri dış ağlardan izole edildiğinde
siber saldırı riski ortadan kalkar.
Kontrol sistemleri halen insan unsuruna
bağımlıdır: güçlü bir güvenlik; dikkatsiz/
meraklı bir kullanıcı, taşınabilir aygıt veya
zayıf farkındalık ile aşılabilir.
Modern sayılabilecek sistemleri yönetmeyen PLC
ve RTU’lara saldırı ihtimali yoktur.
PLC’ler hedef alınabilir ve zararlı
yazılımlardan etkilenebilirler.
Güvenlik duvarları kontrol sistemlerini
saldırılardan korumak için yeterlidir.
İmza ve kod tabanlı tespit ve önleme
sistemleri yeterli değildir. Bilinmeyen
saldırıların tespitine yönelik geniş kapsamlı
savunma sistemlerine odaklanılmalıdır.
SCADA ve benzeri sistemlere erişmek kolay
değildir. Etkili bir saldırının gerçekleşmesi
imkânsızdır.
Motivasyon, niyet ve yeterli kaynak var
olduğu sürece saldırılar mümkündür.
(Yılmaz, 2017)
44
“Stuxnet’i tasarlayanlar tarafından ya da Stuxnet kaynak kodu geliştirilerek üretilen bu
virüsün amacı sistemlere zarar vermek değildir. Sistem içerisindeki şifreleri kopyalayabilen,
dokümanları ve ekran görüntülerini kaydedebilen bu kötücül yazılımın; Fransa, Hollanda,
İsviçre, Ukrayna, Hindistan, İran, Sudan ve Vietnam’da faaliyet gösteren 6 ayrı şirketi
etkilediği bilinmektedir.” (Yılmaz, 2017)
“Mayıs 2012’de bu kez İran Ulusal Bilgisayar Acil Müdahale Ekibi (Computer Emergency
Response Team-CERT) tarafından yerleştiği bilgisayarlarda her türlü sesli görüşmeyi, ekran
görüntüsünü ve klavye hareketlerini kaydedebilen, Arapça ve İbranice metinleri analiz
edebilen bir kötücül yazılımın tespit edildiği duyurulmuştur. Flame adı verilen yazılım
Stuxnetten 20 kat daha büyük ve çok daha karmaşık bir yapıdadır. Yerleştiği bilgisayarın
bluetooth özeliğini açarak bağlanabildiği cihazlardan veri toplayabilen, bu yolla ulaştığı
akıllı telefonlarda da benzer bilgileri edinebilen yazılımın Orta Doğu’da pek çok ülkeye ama
özellikle İran’ın petrol ve gaz şirketlerine sızdığı tespit edilmiştir. Yazılımın 2007 tarihinden
itibaren faaliyette olduğu ve 2012 yılına kadar tespit edilemediği belirtilmektedir. Stuxnet,
Duqu, Flame, Gauss ve Suudi Arabistan’da faaliyet gösteren Aram Co şirketine ait 30000
işletme birimine zarar veren Shamoon virüslerinin ortak özelliği Ortadoğu ülkelerinin resmi
sitelerine zarar vermeyi hedeflemiş olmalarıdır. Bu saldırılar göstermiştir ki; siber emniyete
yönelik tehditler her geçen gün etkisini ve ciddiyetini arttırmaktadır.” (Yılmaz, 2017)
“2014 yılı kasım ayında ise siber emniyet şirketi Symantec tarafından en gelişmiş bilgisayar
virüsünün tespit edildiği duyurulmuştur. Regin adı verilen gelişmiş siber tehdidin, yerleştiği
bilgisayarlarda ekran görüntüsünü alma, şifreleri çalma ve silinen dosyaları yükleme
işlemlerini yapabildiği belirtilmiştir. 2008 yılından beri aktif şekilde çalıştığı bildirilen
virüsün çok katmanlı olarak tanımlanan kriptolu yazılımı henüz tam anlamıyla
çözümlenememiştir. Yazılımının üst düzey teknik yapısı ve kod uzunluğu dikkate
alındığında bir kuruluş ya da devlet desteğiyle tasarlandığı değerlendirilen Regin; aralarında
Rusya, Suudi Arabistan, Meksika ve İrlanda’nın olduğu pek çok ülkeye ait kamu ve özel
sektör kuruluşları, enerji, telekomünikasyon, sağlık gibi altyapıları hedef aldığı belirtilmiştir.
Aralık 2014’te Almanya’da demir çelik üretim tesislerine yönelik saldırılarda ele geçirilen
endüstriyel kontrol sistemleri kullanılarak üretimin durması sağlanmıştır. Saldırı sonrasında
meydana gelen maddi zarar ve nasıl gerçekleştiğine dair detaylar paylaşılmazken siber
saldırının doğrulandığına yönelik haberler yayınlanmıştır. Enerji, su, barajlar ve diğer kritik
45
altyapı sektörlerinden verilerin derlenmesi ile oluşturulan ICS-CERT (Industrial Control
Systems-Computer Emergency Response Team) 2013 raporuna göre 2009 yılında 9 olarak
bildirilen olay sayısı, 2010 yılında 41, 2012 yılında ise 198 olarak belirtilmiştir. Bu sayı 2014
yılı için 245 olarak gerçekleşmiştir. Olay sayılarının alınan tedbirlere rağmen yükselmesi,
saldırı kaynaklarının ve yeteneklerinin de hızla arttığını göstermektedir.” (Yılmaz, 2017)
“2014 yılında rapor edilen 245 siber saldırının sektörel dağılımına bakıldığında; Enerji
altyapısının ve ICS/SCADA sistemleri ile faaliyetlerini sürdüren kritik üretim tesislerinin en
çok saldırıya maruz kalan sektörler olduğu görülmektedir. Kritik üretim tesislerine yönelik
saldırıların çoğunlukla istihbarat ve bilgi toplama amaçlı oldukları değerlendirilmektedir.
Saldırılar çoğunlukla; internet bağlantısı bulunan SCADA sistemleri, çalışanların
kasıtlı/kasıtsız zafiyetleri ile yazılım ve donanımların sıfır gün açıklıkları kullanılarak
gerçekleştirilmededir.” (Yılmaz, 2017)
2.3 Türkiye’de Siber Emniyet ve Kritik Altyapılar
Tüm dünyada olduğu gibi Türkiye’de de bilgi ve iletişim teknolojilerinin kamu kurumlarında
ve özel sektörde kullanımı ivme kazanmıştır. Bu teknolojiyle beraber siber emniyetle ilgili
tehditler de sürekli değişmekte ve çoğalmaktadır.
Siber emniyet1, siber ortamda kurum, kuruluş ve kullanıcıların varlıklarını korumak
amacıyla kullanılan araçlar, politikalar, emniyet kavramları, emniyet teminatları, kılavuzlar,
risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulamalar ve teknolojiler
bütünüdür. Kurum, kuruluş ve kullanıcıların varlıkları, bilgi işlem donanımlarını, personeli,
altyapıları, uygulamaları, hizmetleri, telekomünikasyon sistemlerini ve siber ortamda iletilen
ve/veya saklanan bilgilerin tümünü kapsamaktadır.
Siber emniyet, kurum, kuruluş ve kullanıcıların varlıklarına ait güvenlik özelliklerinin siber
ortamda bulunan güvenlik risklerine karşı koyabilecek şekilde oluşturulmasını ve idame
edilmesini sağlamayı amaçlamaktadır. Siber emniyetin temel hedefleri erişilebilirlik,
bütünlük (aslına uygunluk ve inkâr edilemezliği de kapsar) ve gizliliktir (BTK, tarih yok).
1 Bilgisayar güvenliği, siber güvenlik, siber emniyet veya bilgisayar emniyeti terimlerinin hepsi aynı anlamdadır. UAEA’nın dokümanlarında bilgisayar emniyeti tercih edilirken, Türkçe dokümanlarda ise siber güvenlik veya bilgisayar güvenliği terimi kullanılmaktadır. Bu tezde direk alıntılar, değiştirilmesi mümkün olmayan kurul isimleri, ,kanun maddeleri, bazı özel isimler (ör: Siber Güvenlik Kurulu, Siber Güvenlik İnisiyatifi, Siber Güvenlik Stratejisi ve Eylem Planı, Siber Güvenlik Tatbikatı) dışında ortak bir paradigma kullanılması açısından siber emniyet terimi tercih edilmiştir.
46
Kurum ve kuruluşlarımızın hizmet sunumlarında bilgi ve iletişim sistemlerini her geçen gün
daha fazla kullanmaları ile birlikte, söz konusu bilgi ve iletişim sistemlerinin güvenliğinin
sağlanması hem ulusal güvenliğimizin, hem de rekabet gücümüzün önemli bir boyutu haline
gelmiştir. Bilgi ve iletişim sistemlerinde bulunan güvenlik zafiyetleri, bu sistemlerin hizmet
dışı kalmasına veya kötüye kullanılmasına, can kaybına, büyük ölçekli ekonomik zarara,
kamu düzeninin bozulmasına ve/veya ulusal güvenliğin ihlaline neden olabilecektir (UHDB,
2016).
Bu nedenle Ulaştırma Denizcilik ve Habercilik Bakanlığı 2016-2019 Ulusal Siber Güvenlik
Stratejisi ve Eylem Planını hazırlayarak Türkiye’deki bilgi ve iletişim sistemlerinin
güvenliğindeki gereksinimleri ulusal boyutta ortaya koymuşlardır. Bu eylem planının hedefi
Türkiye ‘ye yönelik siber saldırıların engellenmesi, tespit edilmesi ve olabilecek bir saldırı
sonucu ortaya çıkabilecek olağan üstü maddi zararların önüne geçilmesidir.
2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planında olduğu gibi diğer ülkelerin
strateji dokümanlarında da olası siber emniyet risklerine ve riskleri ortadan kaldıracak
eylemler uygulanırken göz önünde bulundurulacak ilkelere yer verilmekte, risklerin ve
ilkelerin ülkeden ülkeye çok fazla değişiklik arz etmediği gözlemlenmiştir.
Bu kapsamda dikkat çeken ilkeler şunlardır:
a. Siber emniyetin sağlanmasında birey, kurum, toplum ve devletin tüm hukuki ve sosyal
sorumluluklarını yerine getirmeleri,
b. Kamu, özel sektör, üniversiteler ve sivil toplum örgütleri koordinasyonu, müşterek
katılım, iş birliği ve bilgi paylaşımı,
c. Uluslararası Siber Güvenlik Operasyon Merkezleri arasında gelişmiş siber olay
yönetimi işbirliği.
İncelenen dokümanlarda dikkat çeken riskler ise şunlardır:
a) Toplumun sosyal ağlara bağımlılığı,
b) Kritik kurum ve kuruluşların siber uzaydaki konumları,
c) Çeşitli siber casusluk çalışmaları ve hedefli saldırılar,
d) Personel ve yetkinlik bağlamında yetersizlik,
e) Kurumlar arası koordinasyon eksikliği,
f) Siber uzayda faaliyet gösteren farklı ölçeklerdeki sektörlere yönelik ekonomik
kaygılar. Bu ilkeler ve riskler de göz önünde bulundurularak ulusal siber emniyet47
ilkeleri, riskleri, stratejik siber emniyet amaçları ve eylem planı belirlenmiştir
(UHDB, 2016).
Sayısal tehditlerden korunmak için bireyler seviyesinden ülkeler seviyesine kadar alınması
gereken karşı önlemler bulunmaktadır. Ülke seviyesinde gerçekleştirilmesi gereken önemli
çalışmalardan birisi de kritik altyapıların korunması (Critical Infrastructure Protection-CIP)
başlığı altına değerlendirilmektedir (Karabacak, 2010).
Kritik altyapı terimi ilk olarak 1996 yılında Birleşik Devletler Başkanı'nın kararnamesi ile
kullanılmıştır. Bu kararname kritik altyapılara karşı iki tür tehdit olduğunun altını çizmiştir:
fiziksel ve siber tehditler (Karabacak, Yıldırım, Baykal, 2016). Devletler için özellikle de
kritik altyapılar için siber emniyetin sağlanması büyük bir öneme sahiptir. Çünkü Kritik
altyapılar devlet düzeninin ve toplumsal düzenin sağlıklı bir şekilde işlemesi için gerekli
olan ve birbirleri arasında bağımlılıkları olan fiziksel ve sayısal sistemlerdir. Enerji üretim
ve dağıtım sistemleri, telekomünikasyon altyapısı, finansal servisler, su ve kanalizasyon
sistemleri, güvenlik servisleri, sağlık servisleri ve ulaştırma servisleri en başta gelen kritik
altyapılar olarak sıralanabilir. Kritik altyapıların korunması, gelişmiş ülkelerin önemli
gündem maddelerinden birisi olarak karşımıza çıkmaktadır (Karabacak, 2010).
Türkiye’nin 2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nda, kritik
altyapılar; işlediği bilgi/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda, - can
kaybına, büyük ölçekli ekonomik zarara, - ulusal güvenlik açıklarına veya kamu düzeninin
bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapılar olarak tanımlanmıştır
(UHDB, 2016).
OECD (Organisation for Economic Co-operation and Development) Kritik altyapıları;
Fonksiyonelliğini yitirmesi durumunda sağlık hizmetlerine, toplumsal emniyet ve güvenliğe,
vatandaşların ekonomik refahına veya devletin/ekonominin verimli çalışmasına ciddi yönde
tesir eden bilgi ağları ve sistemleri olarak tanımlamaktadır ( Kara ve Çelikkol, 2011).
Barajlar, termik santralleri, enerji dağıtım üniteleri gibi geçmişte tamamen fiziksel
unsurlardan ve izole endüstriyel kontrol sistemlerinden oluşan kritik altyapıların birçoğu
günümüzde bilgi ve iletişim teknolojileri ile yönetilebilir ve izlenebilir duruma gelmiştir.
Kritik altyapıların yönetimi ve izlenmesinde uzun yıllardan bu yana SCADA (Supervisory
Control And Data Acquisition) olarak adlandırılan endüstriyel kontrol sistemleri
kullanılmaktadır. Geçmişte, başka ağlar ile bağlantısı olmayan, bilgi ve iletişim teknolojileri
48
içermeyen veya altyapıya özel olarak geliştirilmiş teknolojileri içeren SCADA sistemleri,
günümüzde yaygın olarak kullanılan ve bilinen yazılım, donanım ve ağ protokollerini
barındırmaktadır. Ayrıca, kritik altyapıları yöneten ve izleyen birçok SCADA sistemi
kurumsal ağlara ve Internet’e bağlantılı hale gelmeye başlamıştır. Sonuç olarak, SCADA
sistemleri sayısal savaşa ve sayısal terörist ataklarına çok daha fazla bir şekilde açık duruma
gelmiş ve güvenlikleri geçmişe göre ciddi şekilde sorgulanmaya başlamıştır (Karabacak,
2010).
Bu sebeple bu tezde ele alınacak senaryoda da SCADA sistemleri üzerinde durulacaktır. Bu
konuda detaylı bilgiye tezin ilerleyen kısımlarında yer verilmiştir.
2.3.1.1 Siber emniyet çalışmaları
Türkiye ‘de siber emniyetle ilgili olarak kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler
tarafından alınacak önlemleri belirlemek, hazırlanan plan, program, rapor, usul, esas ve
standartları onaylamak ve bunların uygulanmasını ve koordinasyonu Siber Güvenlik Kurulu
tarafından yürütülmektedir.
11.6.2012 tarihli ve 2012/3842 sayılı Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi,
Yönetilmesi ve Koordinasyonuna İlişkin Bakanlar Kurulu Kararı ile kurulan Siber Güvenlik
Kurulu’nun tüzel kişiliği 5809 sayılı Kanun maddesine eklenen ve 19.02.2014 tarihli ve
28918 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Elektronik ve Haberleşme
Kanunu Ek Madde 1 ile güncellenmiştir (BTK, tarih yok).
EK MADDE 1 - (1) Siber güvenlikle ilgili olarak kamu kurum ve kuruluşları ile gerçek ve
tüzel kişiler tarafından alınacak önlemleri belirlemek, hazırlanan plan, program, rapor, usul,
esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak
amacıyla; Bakanın başkanlığında Siber Güvenlik Kurulu kurulmuştur. Siber Güvenlik
Kurulunda yer alacak bakanlık ve kamu kurum ve kuruluşları ile üyelerinin temsil düzeyi
Bakanlar Kurulu tarafından belirlenir.
(2) Kurulun görevleri şunlardır:
1. Siber güvenlik ile ilgili politika, strateji ve eylem planlarını onaylamak ve ülke çapında
etkin şekilde uygulanmasına yönelik gerekli kararları almak
2. Kritik altyapıların belirlenmesine ilişkin teklifleri karara bağlamak
49
3. Siber güvenlikle ilgili hükümlerin tamamından veya bir kısmından istisna tutulacak
kurum ve kuruluşları belirlemek
4. Kanunlarla verilen diğer görevleri yapmak.
(3) Siber Güvenlik Kurulunun çalışma usul ve esasları Başbakanlıkça çıkartılacak
yönetmelikle belirlenir.
5809 sayılı Elektronik ve Haberleşme Kanunu’na eklenen Ek Madde 1 de Siber Güvenlik
Kurulunda yer alacak bakanlık ve kamu kurum ve kuruluşları ile üyelerinin temsil düzeyi
Bakanlar Kurulu tarafından belirlenir denilmektedir. Söz konusu Kanun ile işaret edilen
11.6.2012 tarihli ve 2012/3842 sayılı Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi,
Yönetilmesi ve Koordinasyonuna İlişkin Bakanlar Kurulu kararına göre Siber Güvenlik
Kurulu Ulaştırma, Denizcilik ve Haberleşme Bakanı’nın başkanlığında,
• Dışişleri Bakanlığı Müsteşarı,
• İçişleri Bakanlığı Müsteşarı,
• Milli Savunma Bakanlığı Müsteşarı,
• Ulaştırma, Denizcilik ve Haberleşme Bakanlığı Müsteşarı,
• Kamu Düzeni ve Güvenliği Müsteşarı,
• Milli İstihbarat Teşkilatı Müsteşarı,
• Genelkurmay Başkanlığı Muhabere Elektronik ve Bilgi Sistemleri Başkanı,
• Bilgi Teknolojileri ve İletişim Kurumu Başkanı,
• Türkiye Bilimsel ve Teknolojik Araştırma Kurumu Başkanı,
• Mali Suçları Araştırma Kurulu Başkanı,
• Telekomünikasyon İletişim Başkanı,
• Ulaştırma, Denizcilik ve Haberleşme Bakanınca belirlenecek bakanlık ve kamu
kurumlarının üst düzey yöneticilerinden oluşmaktadır.
5.11.2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 5 inci maddesinin birinci
fıkrasına eklenen h bendi ile Ulaştırma Denizcilik ve Haberleşme Bakanlığı’na siber emniyet
alanında aşağıdaki görev ve yetkiler verilmiştir.
h) Ulusal siber güvenliğin sağlanması amacıyla politika, strateji ve hedefleri belirlemek,
kamu kurum ve kuruluşları ile gerçek ve tüzel kişilere yönelik siber güvenliğin sağlanmasına
ilişkin usul ve esasları belirlemek, eylem planlarını hazırlamak, Siber Güvenlik Kurulunun
50
sekretaryasını yapmak, ilgili faaliyetlerin koordinasyonunu sağlamak, kritik altyapılar ile ait
oldukları kurumlan ve konumları belirlemek, gerekli müdahale merkezlerini kurmak,
kurdurmak ve denetlemek, her türlü siber müdahale aracının ve millî çözümlerin üretilmesi
ve geliştirilmesi amacı ile çalışmalar yapmak, yaptırmak ve bunları teşvik etmek ve siber
güvenlik konusunda bilinçlendirme, eğitim ve farkındalığı artırma çalışmaları yürütmek,
siber güvenlik alanında faaliyet gösteren gerçek ve tüzel kişilerin uyması gereken usul ve
esasları hazırlamak.
5809 sayılı Kanunun 6 ncı maddesinin birinci fıkrasının (ü) bendinden sonra gelmek üzere
aşağıdaki bent eklenerek Bilgi Teknolojileri ve İletişim Kurumu görevleri, arasında siber
emniyet ile ilgili görev eklenmiştir.
v) Siber güvenlik ve internet alan adları konularında Bakanlar Kurulu, Bakanlık ve/veya
Siber Güvenlik Kurulu tarafından verilen görevleri Telekomünikasyon İletişim Başkanlığı
veya diğer birimleri marifetiyle yerine getirmek (BTK, tarih yok).
21 Aralık 2012 tarihinde Siber Güvenlik Kurulunun ilk toplantısı gerçekleştirilmiş ve bu
toplantıda ; “Siber Güvenlik Kurulunun Görevleri, Çalışma Usul ve Esasları Yönergesi” ve
“Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” kabul edilmiştir.
Siber Güvenlik Kurulu’nun ikinci toplantısı 20.06.2013 tarihinde toplanmıştır. Bu toplantıda
ilk toplantı ile ikinci toplantı arasında geçen altı aylık süre içerisinde Ulusal Siber Olaylara
Müdahale Merkezi'nin (USOM) kurulduğu ve 15 Mayıs 2013 tarihi itibarıyla USOM’un
faaliyet göstermeye başladığı bildirilmiştir. Siber Güvenlik Kurulu'nun üçüncü toplantısı
19.12.2013 tarihinde yapılmıştır (BTK, tarih yok).
2.3.1.2 Siber güvenlik stratejisi ve eylem planı
Siber Güvenlik Kurulu kurulduktan sonra Türkiye ‘nin mevcut durumu ve dünya örnekleri
de incelenerek Ulusal Siber Güvenlik Stratejisi ve Eylem Planları oluşturulmaya
başlanmıştır. Bu bağlamda bu planlardan ilki 25.03.2013 tarihinde kararlaştırılan Ulusal
Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’dır. 2015-2016 yıllarını kapsayacak
eylem planı Ulaştırma Denizcilik ve Haberleşme Bakanlığı koordinasyonunda devam
ettirilmektedir (BTK, tarih yok).
51
2.3.1.3 USOM ve kurumsal siber olaylara müdahale ekibi
Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı çerçevesinde Türkiye ‘de siber
emniyet olaylarına müdahalede ulusal ve uluslararası koordinasyonun sağlanması adına
Ulusal Siber Olaylara Müdahale Merkezi (USOM), kritik altyapı alanlarından elektronik ve
haberleşme sektörünü düzenleyip denetlemek ile yükümlü bulunan Bilgi Teknolojileri ve
İletişim Kurumu altında Elektronik ve Haberleşme sektörüne yönelik olarak Sektörel Siber
Olaylara Müdahale Ekibi (Sektörel SOME) kurulmuştur.
USOM, Türkiye ‘de siber emniyet olaylarına müdahalede ulusal ve uluslararası
koordinasyonun sağlanması adına kurulmuştur. İnternet aktörleri, kolluk güçleri,
uluslararası kuruluşlar, araştırma merkezleri ve özel sektör arasındaki iletişim ve
koordinasyon USOM vasıtasıyla gerçekleştirilmektedir. USOM siber emniyet olaylarına
yönelik alarm, uyarı, duyuru faaliyetleri yapmakta, kritik sektörlere yönelik siber saldırıların
önlenmesinde ulusal ve uluslararası koordinasyonu sağlamaktadır (BTK, tarih yok).
2.3.1.4 Sektörel siber olaylara müdahale ekibi
Siber Güvenlik Kurulu’nun 20.06.2013 tarihli ve 2 sayılı kararının ekinde yer alan 7
numaralı kararı ile elektronik haberleşme altyapısı kritik altyapı olarak kabul edilmiştir.
Siber Güvenlik Kurulu’nun söz konusu kararı çerçevesinde, USOM ile gerçekleştirilen
koordinasyon toplantısının ardından 10.09.2014 tarihli ve 34374171-951.01.09/55144 sayılı
Makam Oluru ile BTK bünyesinde Bilgi Teknolojileri Dairesi Başkanlığı koordinasyonunda
elektronik haberleşme sektörüne yönelik olarak Sektörel SOME oluşturulmuştur.
Diğer taraftan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği
ile işletmecilerin;
• Siber saldırılara yönelik tedbirler alması,
• Kurumsal SOME kurması ve Sektörel SOME koordinesinde çalışması,
• DoS/DDoS saldırıları, zararlı yazılım yayılması ve benzeri siber saldırılara karşı,
USOM’un koordinesinde gerekli tüm tedbirleri alması,
• Sunucular, yönlendiriciler ve diğer şebeke elemanlarının DoS/DDoS saldırıları,
zararlı yazılım yayılması gibi siber saldırılara karşı korunması amacıyla, elektronik
haberleşme hizmetinin tipi de dikkate alınarak, IP adreslerinde, haberleşme
portlarında ve uygulama protokollerinde; sinyal işleme kontrolü, kullanıcı doğrulama
52
ve erişim kontrolleri gibi mekanizmalar kurması ve talep edilmesi halinde siber
saldırılara karşı koruma hizmeti sunması zorunlu hale getirilmiştir.
Bu çerçevede Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği ve
Bilgi Teknolojileri ve İletişim Kurulu Kararı kapsamında belirlenen 33 işletmeci bünyesinde
Kurumsal SOME kurulması sağlanmış, Kurumsal SOME'lere ilişkin 7/24 erişilebilir iletişim
bilgileri ve Kurumsal SOME personeline ait bilgiler alınmıştır.
Sektörel SOME’nin elektronik haberleşme sektörünü doğrudan ilgilendiren faaliyetlerinin
söz konusu işletmecilerle koordinasyon içerisinde yürütülmesi amacıyla Sektörel SOME ve
işletmecilerin Kurumsal SOME temsilcilerinden meydana gelecek şekilde Sektörel Çalışma
Grubu oluşturulmuştur (BTK, tarih yok).
2.3.1.5 Siber güvenlik inisiyatifi
Sektör Paydaşlarının katılım sağladığı ve hedefi siber emniyet alanında çalışmalar yaparak,
tüm paydaşların görüşlerini toplayarak, kurumlar arasında fikir alışverişini ve işbirliğini
sağlayarak, ortak fikirler ortaya çıkararak, yaptığı çalışmaları Ulaştırma, Denizcilik ve
Haberleşme Bakanlığı’na sunmak olan Siber Güvenlik İnisiyatifi ise İnternet Geliştirme
Kurulu çatısı altında kurulmuştur.
Siber Güvenlik İnisiyatifi; İnternet Geliştirme Kurulu çatısı altında, sektör paydaşlarının
katılım sağladığı ve hedefi siber emniyet alanında çalışmalar yaparak, tüm paydaşların
görüşlerini toplayarak, kurumlar arasında fikir alışverişini ve işbirliğini sağlayarak, ortak
fikirler ortaya çıkararak, yaptığı çalışmaları Ulaştırma, Denizcilik ve Haberleşme
Bakanlığı’na sunmaktır.
Siber Güvenlik İnisiyatifinin faaliyetlerinden bazıları; vatandaş ve küçük işletmeleri siber
emniyet konusunda bilinçlendirme, farkındalık oluşturma, koruma tedbirlerini oluşturma ve
anlatma, pozitif içerik üretimi, veri merkezlerinin, internet servis sağlayıcıların minimum
güvenlik kriterlerini belirleme, sektörel risk analizi, siber emniyet standartlarını belirleme,
raporlar ve kılavuzlar yayınlamak olarak sıralanabilir.
Siber Güvenlik İnisiyatifi kapsamında bazı çalışma grupları oluşturulmuştur. Söz konusu
gruplar ve sorumlulukları aşağıda belirtilmektedir:
Siber Güvenlik İnisiyatifi Çalışma Grupları
1. Farkındalık, Eğitim ve Rapor Çalışma Grubu53
1.1. Ev Kullanıcıları için Farkındalık ve Eğitim
1.2. Öğrenciler için Farkındalık ve Eğitim
1.3. KOBİ’ler için Farkındalık ve Eğitim
1.4. Kamu Kurumlan ve Kurumsal İşletmeler için Farkındalık
1.5. ISS ve Veri Merkezleri için Farkındalık
2. Siber Olaylarla ilgili Mevzuat ve Koordinasyon Çalışma Grubu
2.1. Mevzuat
2.2. Kamu Özel Sektör İşbirliği ve Uluslararası Koordinasyon
2.3. Adli Bilişim ve Delillendirme
2.4. Adli Makamlar ve Kolluk Kuvvetleri ile Koordinasyon
3. Ulusal Siber Olaylara Müdahale Organizasyonu Çalışma Grubu
3.1. SOME’lerin Yapısı ve Buralarda Çalışacak Personel Nitelikleri
3.2. Kritik Altyapılarda Bilgi Güvenliği Yönetimi
3.3. Risk Analizi ve Acil Eylem Planları Hazırlanması
3.4. Siber Tatbikat
4. Teknik Araştırmalar ve Standartlar Çalışma Grubu
4.1. Network Güvenliği ve Ürünlerin Sertifikasyonu
4.2. İşletim Sistemleri ve Güvenlik Seviyesinin Belirlenmesi
4.3. Yazılım Güvenliği ve Standartlarının Belirlenmesi
4.4. Mobil Cihazlar Güvenlik
4.5. Bulut Bilişim Standartları
4.6. Veri Merkezleri İçin Standardizasyon Çalışması Yapılması
5. Siber Tehditlerle Mücadele Çalışma Grubu (BTK, tarih yok)
54
2.3.1.6 Siber emniyet tatbikatı
Siber emniyetin sağlanmasına yönelik girişimler içerisinde uzmanlık seviyesinin
geliştirilmesi, bilgi güvenliği standartlarının uygulanması ve kullanıcı eğitimlerinin yanı
sıra, siber emniyet konusunda farkındalığın arttırılmasına yönelik siber emniyet tatbikatı
önemli bir yer tutmaktadır. Bu kapsamda pek çok ülkede aşağıda listesi verilen tatbikat
düzenlenmiştir.
Tablo 4 .Siber emniyet tatbikatıÜlke Tatbikat
ABD ve bölge ülkelerinde(2006, 2008 ve 2010) CyberStorm TatbikatıNATO bünyesinde (2008, 2009 ve 2010) CyberCoalition ve LockedShields
TatbikatıAvrupa Birliği bünyesinde(2010) Cyber Europe TatbikatıMalezya(2008-heryıl) X-Maya Tatbikatı
Almanya LUKEX Tatbikatı
İngiltere FSA Tatbikatı
Fransa PIRANET Tatbikatı
Türkiye Ulusal Siber Güvenlik Tatbikatı 2011 Ulusal Siber Kalkan Tatbikatı 2012 Ulusal Siber Güvenlik Tatbikatı 2013 Uluslararası Siber Kalkan Tatbikatı
Siber saldırıları önlemek amacıyla günümüzde tüm dünyada olduğu gibi Türkiye’ de de
uluslararası ve ulusal pek çok çalışma yürütülmektedir. Bu çalışmalardan belki de en
önemlileri ve uygulamaya yönelik olanları da BTK tarafından yürütülen siber emniyet
tatbikatıdır.
Siber emniyette en önemli tedbirlerden birisi de farkındalığı artırmaktır. Farkındalığı
artırmanın, ulusal ve uluslararası oyuncular ile bir araya gelmenin en etkin yollarından birisi
de siber emniyet tatbikatı düzenlemek ve tatbikata katılmaktır. Bilgi Teknolojileri ve İletişim
Kurumu bu bağlamda oyuncuları bir araya getirmiş, Nisan 2015 tarihi itibari ile 3 adet ulusal,
1 adet uluslararası düzeyde 4 adet siber tatbikat organizasyonu tertip etmiştir (BTK, tarih
y°k)-
Bunlardan biri olan “Siber Kalkan Tatbikatı 2012” ile erişim sağlayıcıların test sistemlerine
gerçek Dağıtık Hizmeti Engelleme Saldırıları yapılarak güvenlik seviyesinin yeterliliği
55
tespit edilmeye çalışılmış, siber olaylara müdahalede yeteneklerimizin geliştirilmesi, bu
konuda farkındalığın arttırılması amaçlanmıştır.
Siber Kalkan Tatbikatı 2012’nın 08-28 Mayıs tarihleri arasında gerçekleştirilen uygulama
süreci saldırı ve savunma aşamalarından oluşmaktadır. Saldırı aşaması, erişim sağlayıcıların
test sistemlerine yapılan saldırı senaryolarından oluşmakta, senaryolar ise gerçek saldırılar
ve yazılı senaryolar olmak üzere ikiye ayrılmaktadır. Savunma aşamasında ise erişim
sağlayıcılar, hedef sistemlerine yöneltilen gerçek saldırılara karşılık vermeye ve yazılı
enjeksiyonlara cevap vermeye çalışmıştır.
Bu tatbikat sonucunda ulaşılan tespitlere göre, Siber Saldırılara Müdahale Konusunda
Teknik Uzmanlık Seviyesinin Önemi Siber Kalkan Tatbikatında, siber saldırılara zamanında
ve uygun yöntemlerle müdahale edilmesinin ve saldırılara müdahale eden personelin bu
deneyimlere sahip olmasının saldırıların yol açabileceği zararları önlemede kritik önemde
olduğu gözlemlenmiştir.
Ayrıca DDoS Saldırıları Önlenebilir Yüksek trafik miktarları ile gerçek saldırıların
uygulandığı Siber Kalkan Tatbikatı sonucunda, DDoS saldırılarının etkin ve hızlı bir
koordinasyon ile doğru önlemler alındığında önlenebildiği görülmüştür DDoS saldırılarına
karşı yeterli önlemler alınması durumunda ortaya çıkması muhtemel yıkıcı etkilerin
önlenebildiği Siber Kalkan Tatbikatında test edilen gerçek saldırı senaryoları ile ortaya
konmuştur. Bu sonuç, kamuoyundaki yanlış algının aksine DDoS saldırılarının da diğer siber
saldırılarda olduğu gibi doğru ve etkili önlemler alınarak önlenebileceğini göstermiştir
(BTK, 2012).
Bu da göstermektedir ki gerçekleştirilen tatbikat oluşmuş bazı önyargıları kırmakta ve
gerçeklikleri gün yüzüne çıkarmada etkisi ve önemi büyüktür.
2.3.1.7 Farkındalık çalışmaları
Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı 23. maddesi çerçevesinde
Bilgisayar kullanıcılarının siber emniyet alanında bilinçlendirilmesi ve farkındalığının
artırılması çalışmaları yapılmaktadır (BTK, tarih yok). Bu çalışmalarda genel olarak bilgi
emniyeti ve siber emniyete yönelik tehditler, genel emniyet tedbirleri, sosyal medya ve
mobil cihazlara yönelik siber emniyet konularında bilgilendirmeler yapılmaktadır.
Türkiye’deki siber emniyetle alakalı mevzuat ve hakkında faaliyetler yürütülmektedir.
56
Ayrıca bu konuda bazı rapor, tez ve makalelere de zaman zaman BTK bünyesinde yer
verilmektedir.
2.3.1.8 Türkiye’de hali hazırda siber emniyetle ilgili mevzuat
Bakanlar Kurulunca alınan 11.6.2012 tarihli ve 2012/3842 sayılı Ulusal Siber Güvenlik
Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar, 20.10.2012
tarihli ve 28447 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Bu karar
gereğince Siber Güvenlik Kurulu oluşturulmuş, Ulaştırma Denizcilik ve Haberleşme
Bakanlığı’na siber emniyet alanında görev ve yetkiler verilmiş, siber emniyet ile ilgili
çalışma grupları ve geçici kurulların oluşturulabileceği karara bağlanmıştır.
Ayrıca Bakanlar Kurulunca alınan Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi,
Yönetilmesi ve Koordinasyonuna İlişkin Karar ve 5809 sayılı Elektronik Haberleşme
Kanunu’na eklenen ilgili maddeler çerçevesinde BTK siber emniyet ile ilgili faaliyetler
yürütmektedir (BTK, tarih yok).
5809 sayılı Elektronik Haberleşme Kanunu’nun 5. Maddesinin (h) bendine göre “Ulusal
siber güvenliğin sağlanması amacıyla politika, strateji ve hedefleri belirlemek, kamu kurum
ve kuruluşları ile gerçek ve tüzel kişilere yönelik siber güvenliğin sağlanmasına ilişkin usul
ve esasları belirlemek, eylem planlarını hazırlamak, Siber Güvenlik Kurulunun
sekretaryasını yapmak, ilgili faaliyetlerin koordinasyonunu sağlamak, kritik altyapılar ile ait
oldukları kurumları ve konumları belirlemek, gerekli müdahale merkezlerini kurmak,
kurdurmak ve denetlemek, her türlü siber müdahale aracının ve millî çözümlerin üretilmesi
ve geliştirilmesi amacı ile çalışmalar yapmak, yaptırmak ve bunları teşvik etmek ve siber
güvenlik konusunda bilinçlendirme, eğitim ve farkındalığı artırma çalışmaları yürütmek,
siber güvenlik alanında faaliyet gösteren gerçek ve tüzel kişilerin uyması gereken usul ve
esasları hazırlamak (Resmi Gazete, 2008) Ulaştırma Denizcilik ve Haberleşme Bakanlığının
görev ve yetkileri kapsamındadır.”
Ayrıca, “Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve
Koordinasyonuna İlişkin Karar, 06.02.2014 tarihinde yayımlanan 6518 sayılı kanun ile
5.11.2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu’na bazı maddeler eklenerek
ilgili Bakanlar Kurulu kararı güncellenmiş, Bilgi Teknolojileri ve İletişim Kurumu’na siber
emniyet ile ilgili yeni görevler verilmiştir.
57
5809 sayılı Elektronik Haberleşme Kanunu’na ilave edilen Ek Madde
ile:
• Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi (4 üncü madde birinci fıkra (ı)
bendi),
• İzinsiz erişime karşı şebeke güvenliğinin sağlanması (12 nci madde ikinci fıkra (j)
bendi),
• Elektronik haberleşme sektörüne yönelik olarak, millî güvenlik, kamu düzeni veya
kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirlerin
alınması (6 ncı madde birinci fıkra (ş) bendi),
• Siber emniyet ve internet alan adları konularında Bakanlar Kurulu, Bakanlık ve/veya
Siber Güvenlik Kurulu tarafından verilen görevleri Telekomünikasyon İletişim
Başkanlığı veya diğer birimleri marifetiyle yerine getirmek (6 ncı madde birinci fıkra
(v) bendi)görevleri BTK‘ya verilmiştir (BTK, tarih yok).
3842 sayılı Bakanlar Kurulu kararınca “Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi,
Yönetilmesi ve Koordinasyonuna İlişkin Karar” ile Siber Güvenlik Kurulu kurulmuş,
Ulaştırma Denizcilik ve Haberleşme Bakanlığının görev ve yetkileri tanımlanmıştır. Ayrıca
ulusal siber emniyet ilgili çalışma gruplarının kurulabileceğine dair ifadelere yer verilmiştir.
Ulusal siber emniyette rol oynayan Kurumsal SOME’ler kurumlarına doğrudan ya da dolaylı
olarak yapılan veya yapılması muhtemel siber saldırılara karşı gerekli önlemleri alma veya
aldırma, bu tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini
kurma veya kurdurma ve kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları
yapmak veya yaptırmakla yükümlüdürler. Kurumsal SOME’ler, siber olayların önlenmesi
veya zararlarının azaltılmasına yönelik olarak, kurumlarının bilişim sistemlerinin kurulması,
işletilmesi veya geliştirilmesi ile ilgili çalışmalarda teknik ve idari tedbirler konusunda öneri
sunarlar (BTK, tarih yok).
58
Şekil 5. USOM, Sektörel SOME ve Kurumsal SOME ilişkisi
Kurumsal SOME’ler tüm kamu kurum ve kuruluşları kendi bünyelerinde kurulurlar.
Kurumsal SOME’lerin kuruluşunun eşgüdümü Ulaştırma, Denizcilik ve Haberleşme
Bakanlığı tarafından yürütülür.
Kurumsal SOME’lerin görev ve sorumlulukları aşağıdaki gibidir: (Resmi Gazete, 2013)
• Kurumsal SOME’ler kurumlarına doğrudan ya da dolaylı olarak yapılan veya
yapılması muhtemel siber saldırılara karşı gerekli önlemleri alma veya aldırma, bu tür
olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma
veya kurdurma ve kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları
yapmak veya yaptırmakla yükümlüdürler.
• Kurumsal SOME’ler, siber olayların önlenmesi veya zararlarının azaltılmasına
yönelik olarak, kurumlarının bilişim sistemlerinin kurulması, işletilmesi veya
geliştirilmesi ile ilgili çalışmalarda teknik ve idari tedbirler konusunda öneri sunarlar.
• Kurumsal SOME’ler, siber olayların önlenmesi veya zararlarının azaltılmasına
yönelik faaliyetlerini varsa birlikte çalıştığı Sektörel SOME ile eşgüdüm içerisinde
yürütürler. Durumdan gecikmeksizin USOM'u haberdar ederler.
• Kurumsal SOME’ler bir siber olayla karşılaştıklarında, USOM ve birlikte çalıştığı
Sektörel SOME'ye bilgi vermek koşulu ile öncelikle söz konusu olayı kendi imkân ve59
kabiliyetleri ile bertaraf etmeye çalışırlar. Bunun mümkün olmaması halinde varsa
birlikte çalıştığı Sektörel SOME'den ve/veya USOM'dan yardım talebinde
bulunabilirler.
• Kurumsal SOME’ler siber olaya müdahale ederken suç işlendiği izlenimi veren bir
durumla karşılaştıklarında gecikmeksizin durumu kanunen yetkili makamlara
bildirirler. Durumu gecikmeksizin USOM'a da bildirirler.
• Kurumsal SOME’ler kurumlarına yapılan siber olayları raporlar ve gecikmeksizin
USOM ve birlikte çalıştığı Sektörel SOME'ye bildirirler.
• Kurumsal SOME’ler USOM ve/veya birlikte çalıştığı Sektörel SOME tarafından
iletilen siber olaylara ilişkin alarm, uyarı ve duyuruları dikkate alarak kurumlarında
gerekli tedbirleri alırlar.
• Kurumsal SOME’ler 7/24 erişilebilir olan iletişim bilgilerini belirleyerek birlikte
çalıştığı Sektörel SOME’lere ve USOM'a bildirirler.
Sektörel SOME’ler düzenleyici ve denetleyici kurumların bünyesinde kendi sektörlerinde
faaliyet gösteren kurum, kuruluş ve işletmeleri kapsayacak şekilde kurulur. İhtiyaç
duyulması halinde, düzenleyici ve denetleyici kurumların yetki alanı dışında kalan diğer
sektörlerde ilgili olduğu Bakanlık bünyesinde Sektörel SOME kurulabilir. Kritik
sektörlerde, Sektörel SOME kurulması zorunludur. Kritik sektörlerin listesi Kurul tarafından
belirlenir, ilgililere duyurulur ve güncellenir. Düzenleyici ve denetleyici kurumlardaki
Sektörel SOME’lerin eşgüdümü Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından
yürütülür (Resmi Gazete, 2013).
Sektörel SOME’lerin görev ve sorumlulukları aşağıdakiler gibidir: (Resmi Gazete, 2013):
• Sektörel SOME’ler, siber olayların önlenmesi veya zararlarının azaltılmasına yönelik
faaliyetlerini USOM'la koordineli şekilde yürütürler.
• Sektörel SOME’ler birlikte çalıştıkları SOME’lerde yaşanan siber olayları
gecikmeksizin USOM'a bildirirler.
• Sektörel SOME’ler siber olaylara ilişkin USOM tarafından iletilen alarm, uyarı ve
duyuruları dikkate alarak birlikte çalıştıkları SOME’lerde gerekli tedbirlerin
alınmasına yönelik çalışmaları yürütürler.
• Sektörel SOME’ler birlikte çalıştıkları SOME’lerin yapılanması konusunda
düzenleyici faaliyetleri yürütürler.
60
• Sektörel SOME’ler ilgili oldukları sektörde, bilgilendirme, bilinçlendirme ve eğitim
faaliyetleri ile siber emniyetle ilgili kabiliyetlerinin geliştirilmesi ve önlemlerin
alınması konusunda gerekli düzenleyici faaliyetleri yürütürler.
• Sektörel SOME’ler 7/24 erişilebilir olan iletişim bilgilerini belirleyerek birlikte
çalıştıkları SOME’lere ve USOM'a bildirirler.
• SOME’ler 7/24 erişilebilir olan iletişim bilgilerini Sektörel SOME’lere ve USOM'a
bildirirler.
• Sektörel SOME’ler birlikte çalıştıkları SOME’lerde yaşanan siber olaylarda imkânları
ölçüsünde gerekli desteği sağlarlar. Sektörel SOME’ler, imkânlarının yetersiz olması
durumunda USOM'dan destek alırlar.
• Sektörel SOME’ler siber olaya müdahale ederken suç işlendiği izlenimi veren bir
durumla karşılaştıklarında gecikmeksizin durumu kanunen yetkili makamlara
bildirirler. Durumu gecikmeksizin USOM'a da bildirirler.
• Sektörel SOME’ler gerekmesi durumunda birlikte çalıştıkları SOME’ler arasındaki
işbirliğini koordine ederler.
SOME’lerin Bakanlık ve diğer kurumlar içinde nasıl yapılandırılacağı, hangi birim içinde
çalışacağı, Bakanlığın veya kurumun diğer birimleri ile ilişkileri, bilişim ve endüstriyel
kontrol sistemlerinin yapısı da dikkate alınarak ilgili Bakanlık veya kurum tarafından
belirlenir ve kurum içerisinde uygun yöntem ile duyurulur.
SOME’ler kurumların bilişim ve endüstriyel kontrol sistemlerinin büyüklük ve kritikliği
dikkate alınarak meydana gelebilecek siber olaya müdahale edebilecek yeterlilikte personel
ve teçhizatla desteklenirler.
SOME’ler; bilgi güvenliği, bilişim ağları, yazılım ve sistem uzmanlığı gibi alanlarda bilgili
ve tecrübeli personel öncelikli olmak üzere ilgili bakanlık ve kurumların belirleyeceği
personelden teşkil edilir.
Mevcut ve olası siber olayların niteliği ve yoğunluğuna göre USOM tarafından bu yapıların
geliştirilmesi önerilebilir.
Kurumsal ve Sektörel SOME’lerin yapısına bakıldığında:
• SOME’ler iletişim kanallarını 7/24 açık tutarlar.
• SOME’ler siber olaylara imkânları dâhilinde 7/24 esasına göre müdahale ederler.
61
• SOME’ler, ilgili kurumların teşkilat yapılarına ve hizmet gereklerine göre farklı birim
personelinden oluşturulabilir (Resmi Gazete, 2013).
• SOME’lerin USOM ile ilişkilerini varsa birlikte çalıştıkları Sektörel SOME’ler
üzerinden yürütmesi esastır.
• Birlikte çalıştıkları bir sektörel SOME olmayan kurumsal SOME’ler, faaliyetlerini
doğrudan USOM ile koordineli yürütürler.
• Siber olaylar ile ilgili olarak diğer ülkelerin eşdeğer makamları ve uluslararası
kuruluşlarla işbirliği USOM tarafından yerine getirilir.
• USOM gerekli gördüğü durumlarda kurumsal SOME’ler ve Sektörel SOME’ler ile
doğrudan çalışma yürütebilir.
• Kurumsal/Sektörel SOME’ler siber olayların tespiti, önlenmesi, zararlarının en aza
indirilmesi gibi konularda USOM tarafından geliştirilen veya yürütülen projelerin
gerçekleştirilmesinde USOM ile işbirliği içerisinde hareket ederler (Resmi Gazete,
2013).
2.3.1.9 Siber emniyet uygulamalarında mevcut durum ve TAEK’in rolü
Ancak siber emniyet uygulamalarıyla ilgili Türkiye’deki mevcut durumun yalın haliyle şekil
6’da sunulmuştur.
62
Şekil 6. Siber emniyet uygulamalarıyla ilgili Türkiye’deki mevcut durum
Politika, strateji, eylem planını hazırlar
Politika, strateji, eylem planını onaylar
Kurumsal SOME'nin eşgüdümünü yürütür
Politika, strateji, eylem planının gereklerini yerine getirir.
Sektörel SOME'lerin eşgüdümünü yürütür
Görüşleri UHDB'ye sunaru
Olayı USOM'a bildirir Alarm ve uyarı verir
Çalışma grupları kurar
nGerekli tedbirleri alır.
Tüm paydaş görüşlerini toplar
Nükleer tesislere veya nükleer maddelere yönelik bir siber saldırı olması halinde TAEK’ e
düşen roller de bu tezde belirlenmiş olup, öncelikle yetkilendirilen kişi Kuruma, Kurum da
bağlı bulunduğu Sektörel SOME aracılığı ile veya doğrudan USOM’a olayı bildirmelidir.
Nükleer tesislere veya nükleer maddelere yönelik bir siber saldırı tehdidi karşısında gerekli
uyarıları USOM tarafından direk veya Sektörel SOME aracılığı ile alan yetkilendirilen kişi
tehdidi değerlendirmeli ve gerekli tedbirleri almalıdır. Kurum ise alınan bu tedbirleri
denetlemelidir. TAEK’in bir siber olay karşısında nasıl davranması gerektiği ve üstleneceği
rol şekildeki gibi olmalıdır:
63
Şekil 7. Siber emniyet uygulamalarıyla ilgili TAEK'in üstlenmesi gereken rol
Kurumsal SOME’ler, USOM ve/veya birlikte çalıştıkları Sektörel SOME’lerin planladığı
eğitimlere katılım sağlar. Sektörel SOME’ler, USOM'un planladığı eğitimlere katılım sağlar
(Resmi Gazete, 2013).
2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı, kamu bilişim sistemlerine ve
kamu ya da özel sektör tarafından işletilen kritik altyapılara ait bilişim sistemlerine ilave
olarak küçük ve orta ölçekli sanayi, tüm özel ve tüzel kişiler de dâhil olmak üzere ulusal
siber uzayın Türkiye ölçeğindeki bütün bileşenlerini kapsar (UHDB, 2016).
2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planının ana amacı; siber emniyetin
ulusal güvenliğin ayrılmaz bir parçası olduğu anlayışının tüm kesimlerde yerleşmesi, ulusal
siber uzayda bulunan sistem ve paydaşların tamamının güvenliğini sağlamak üzere idari ve
64
teknolojik önlemlerin alınmasını sağlayacak yetkinliğin eksiksiz bir şekilde kazanılmasıdır.
Bu ana amacı gerçekleştirmek üzere, hedeflerin ve alt eylem maddelerinin belirlenmesi,
bunların gerçekleştirilmesinin sağlanması ve denetlenmesi de bu dokümanın
amaçlarındandır. Bu amaçlar doğrultusunda:
• Ulusal siber uzayın tamamını kapsamak şartıyla, bilgi teknolojileri üzerinden
sağlanan her türlü hizmet, işlem ve bilgi/veri ile bunların sunumunda kullanılan
sistemlerin güvenliğinin, gizliliğinin ve mahremiyetinin sağlanmasına,
• Siber emniyet olaylarının etkilerinin en düşük düzeyde kalmasına, olayların ardından
sistemlerin en kısa sürede normal çalışmalarına dönmesine yönelik stratejik siber
emniyet eylemlerinin belirlenmesine ve oluşan suçun adli makam ve kolluk
kuvvetlerince daha etkin araştırılmasının ve soruşturulmasının sağlanmasına,
• Siber emniyetin, gizliliğin ve mahremiyetin sağlanmasında kritik teknolojilerin ve
ürünlerin Türkiye’de üretilmesine, üretilemiyorsa, dışarıdan alınan teknoloji ve
ürünlerin salt bu maksatla ve güvenle kullanılabilmesini sağlayacak önlemlerin
alınmasına yönelik bileşenler bu planda yer almaktadır (UHDB, 2016).
2.3.1.10 ISO 27001
ISO/IEC 27001:2005 - Bilişim Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim
Sistemleri - Gereksinimler standardı, bir Bilgi Güvenliği Yönetim Sistemi’ni (BGYS)
(ISMS - Information Security Management System) kurmak, geliştirmek, işletmek, izlemek,
gözden geçirmek, sürdürmek ve iyileştirmek için bir model oluşturmak amacıyla
hazırlanmıştır. ISO/IEC 27001, bilgi güvenlik yönetim standardıdır.
Bu standart ISO tarafından 14 Ekim 2005 tarihinde yayınlanmış ve ISO/IEC 27000 standart
serisi altında yerini almıştır. Türkiye'de ise, ISO tarafından kabul edilen, ISO/IEC
27001:2005 standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim İhtisas Grubu’nca
hazırlanmış ve TSE Teknik Kurulu'nun 2 Mart 2006 tarihli toplantısında Türk Standardı
olarak kabul edilerek, “TS ISO/IEC 27001 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi
Güvenliği Yönetim Sistemleri - Gereksinimleri “adıyla yayınlanmıştır.
65
2.4 Siber Saldırı Senaryoları ve Sonuçları
2.4.1 Siber saldırı tanımı
Teknolojinin her geçen gün hayatımıza bir yenilik katmasıyla beraber saldırıların da altyapılı
olduğu görülmektedir. Bilgisayar teknolojisinde kendini geliştirmiş hackerların devlet veya
şahıslara yönelik gerçekleştirdiği saldırılara siber saldırı denilmektedir.
2016-2019 Ulusal Siber Güvenlik Stratejisindeki tanıma göre; “siber saldırı Ulusal siber
uzayda bulunan bilişim sistemlerinin gizlilik, bütünlük veya erişilebilirliğini ortadan
kaldırmak amacıyla, siber uzayın her hangi bir yerindeki kişi ve/ veya bilişim sistemleri
tarafından kasıtlı olarak yapılan işlemleri ifade eder” (UHDB, 2016).
2.4.2 Siber saldırı süreci
Genelleştirilmiş saldırı süreci her bir saldırı farklı olsa da çoğu düşman tehditleri genel bir
süreçten geçer. Süreç şu şekilde ilerler:
1. Keşif yapmak: Düşman çeşitli teknikler kullanarak bilgi toplar. Bunlar:
• Ağ çevresini taramak,
• Organizasyonel bilginin açık kaynaklı bulgularını kullanmak,
• Potansiyel tehditleri tanımlamak için kötücül yazılım kullanmaktır.
2. Saldırı araçları yaratmak: Düşman aşağıdaki araçları kullanarak gelecek saldırıları
yürütür.
• E-dolandırıcılık veya e dolandırıcılık saldırıları,
• Sahte web sitesi veya sertifikalar yapmak,
• Tedarik zincirine kötü niyetli bileşenleri enjekte etmek için sahte organizasyonlar
yaratmak.
3. Kötü niyetli yetenekleri sunmak:
• Düşman aşağıdaki taktikleri kullanarak saldırıyı yürütmek için ne gerekiyorsa kurar.
• Örgütsel bilgi sistemleri içerisine kötücül yazılım tanıtmak,
• Örgüt içerisinde ayrıcalıklı pozisyonlara huzuru bozucu kişileri yerleştirmek,
• Hedeflenen sitem veya ağlar üzerinde tarayıcı cihazların kurulumudur.
4. İstismar ve tehlikeye atmak:
• Sıfır gün saldırısı başlatmak (sistemde yeni fark edilen bir açığı fark ederek saldırıdır)
66
5. Saldırıyı yürütmek
• DoS ve DDoS saldırıları,
• Tesis ve altyapılara yönelik fiziksel saldırı veya uzaktan müdahale.
6. Sonuçları başarmak
• Sistemlere ve veya hassas bilgiye yetkisiz erişim edinme,
• Kritik verilerin yaratılması, tahrip edilmesi veya silinmesi.
7. Varlığını veya yeteneklerini sürdürmek:
• Düşman şaşırtmaca veya saldırı tespit sistemi ile müdahale,
• Örgütsel emniyet tedbirlerine tepki olarak siber saldırılara adaptasyon.
8. Kampanya düzenlemek:
• Çok aşamalı saldırılar,
• İç ve dış saldırılar,
• Kötücül yazılım ve saldırı tipleri (ISACA, tarih yok).
2.4.3 Saldırgan profilleri
Nükleer tesislere ve nükleer maddelere yönelik siber emniyet ile alakalı sürekli değişen ve
gelişen tehditler incelendiğinde saldırgan profillerinin, saldırganları güdüleyen saldırı
hedeflerinin ve kullandıkları araçların da değiştiği görülmektedir. Mevcut tehditler iç
tehditler ve dış tehditler olarak iki grupta incelenebilmektedir. Her birinin birbirine üstün ve
avantajlı olduğu durumlar olabilmektedir.
67
2.4.3.1 İç tehditler
Tablo 5. İç tehditler
Saldırgan K aynaklar Zam an A raçlar M otivasyon
Gizli Ajan Kolaylaştırılmış sosyal mühendislik (iç tehditlerden biri olduğu için sosyal mühendislikle toplanan bilgilerin elde edilmesi daha kolaydır)
Değişken, fakat genellikle uzun saatler almayan
Mevcut erişim, programlama bilgisi ve sistem mimarisi:
Mevcut şifrenin olası bilgisi Özel hazırlanmış arka kapı ve Truva
atlarını ekleme olasılığı Olası dış uzmanlık desteği
Ticari bilgilerin, teknoloji sırlarının ve kişisel bilgilerin
hırsızlığıEkonomik kazanç
Şantaj
M em nuniyetsizÇalışan/K ullanıcı
Bazı seviyelerde sisteme erişim Sistem dokümantasyonu ve mevcut
uzmanlık
Değişken, fakat genellikle uzun saatler almayan
Mevcut erişim, programlama bilgisi ve sistem mimarisi.
Mevcut şifrenin olası bilgisi Scriptkiddie ekleme yeteneği (eğer özel bilgisayar yetenekleri varsa potansiyel
olarak daha dikkatli)
İntikam, karışıklık, kargaşa Ticari bilgi hırsızlığı
Çalışanları para sıkıntısına sokmak
Kamuoyu imajını ve güvenini zedelemek
(IAEA, 2011a)
68
2.4.3.2 Dış tehditler
Tablo 6. Dış tehditler
Saldırgan K aynaklar Zam an A raçlar M otivasyonRekreasyonel
HackerÇeşitli yetenekler mevcut fakat
genellikle sınırlı.Zaman kaybı, çok sabırlı değil Genel olarak mevcut scriptler
ve araçlarBazı araçların gelişimi olası
Eğlence, statü, fırsat, tesadüfi hedef,(ani hedef)
Saldırgan Rakip Sınırlı kaynak kullanımı fakat gizli kanallar tarafından finanse edilebilen
tehditler
Saldırılarda önceden kesin olarak bilinen olaylar
hedeflenebilir(kutlamalar, seçimler vb.)
Zaman kaybı, sabırlı, motivasyonlu
Bilgisayar yetenekleri var Sosyal mühendislik
Dünyanın saygısını kazanma İşle ilgili rakip firmayı alıkoymak, engellemek
İşine son verilm iş M em nuniyetsiz
Çalışan/K ullanıcı
Daha büyük bir insan grubuyla bağıntılı olmadığı sürece kaynak kullanımı sınırlı,
tesis personeli ile olası bağlantıları olabilen tehditler
Değişken ve ilişkili gruplara bağlı olarak
Olası mevcut şifre bilgisi İntikam, kargaşa ve kargaşa Bilgi hırsızlığı
Rahatsız edici çalışan veya işveren
O rganize Suç Güçlü kaynak kullanımı Siber uzman kullanımı
Değişken fakat genellikle kısa dönem
Komutlar ve kodlar Sosyal mühendislik
ŞantajNükleer malzeme hırsızlığı
Ulus Devlet Güçlü kaynak ve uzmanlık kullanımı Değişken Eğitimli siber uzman grupları
Sosyal mühendislik
İstihbarat toplama Teknoloji hırsızlığı
Terörist Çeşitli yeteneklerin varlığı Sistem üzerindeki olası eğitim ve işletme
tecrübesi
Zaman kaybı, çok sabırlı Komutlar ve kodlar Sosyal mühendislik
İstihbarat toplama Kaos yaratma
İntikam(IAEA, 2011a)
69
2.4.4 Saldırı senaryoları oluşturma
Saldırı senaryolarını yaratırken çeşitli olasılıklar olabilir. Nükleer tesise şu amaçlarla
saldırılabilir:
• Nükleer maddelerin taşınmasında veya tesise bir sabotaja yönelik saldırı düzenleme,
• İnsan ve çevre güvenliğini tehlikeye atma,
• Karışıklık ve korku yaratma,
• Bir grup suçlu insan için maddi kar amacı gütme,
• Büyük pazar dengesizlikleri yaratma ve seçilen pazar aktörlerini kazanma.
Saldırının amaçları ve hedefleri doğrultusunda saldırgan farklı sistem zayıflıklarını
sömürmeyi deneyecektir. Böyle saldırılar aşağıdakilere sebep olabilir:
• Bilgiye yetkisiz erişim(gizliliğin bozulması),
• Bilgiyi, yazılım ve donanımı değiştirme veya engelleme(bütünlüğün bozulması),
• Veri iletim hatlarının tıkanıklığı ve/veya sistemin kapatılması (erişilebilirliğin
bozulması),
• Veri iletişim sistemlerine veya bilgisayarlara yetkisiz sızma (güvenilirliğin
bozulması).
Tüm bu bakış açılarının bilgisayar sistemlerinin fonksiyonelliğinde tesisin güvenlik ve
emniyetini direk veya dolaylı etkileyebilecek büyük sonuçları ve etkileri vardır. Saldırı
senaryoları oluştururken teknolojik eğilimler ve saldırı teknolojilerine erişim kolaylığı göz
önünde bulundurulmalıdır (IAEA, 2011a).
2.4.5 Siber saldırılarda kullanılan metotlar
Kötü Amaçlı Yazılım: Zararlı yazılım veya malware, bilgisayar sistemlerine zarar vermek,
bilgi çalmak veya kullanıcıları rahatsız etmek gibi amaçlarla hazırlanmış yazılımlara genel
olarak verilen ad. Bu yazılımlara örnek olarak virüsler, solucanlar, truva atları, rootkitler
verilebilir. Genellikle yazılım olarak tanımlanmalarına rağmen bazen basit kodlar halinde de
olabilirler.
Bilgisayar teknolojilerinin gelişmesi ile bilgi ve siber emniyet konusunda en ciddi tehditlerin
başında kötü amaçlı yazılımlar gelmektedir. Bu yazılımlar bulaştığı bir bilgisayar sisteminde
veya ağ üzerindeki diğer makinelerde zarara yol açmak veya çalışmalarını aksatmak
amacıyla hazırlanmış yazılımların genel adıdır.
70
En genel kötücül yazılım türleri şunlardır:
• B ilg is a y a r v i r ü s ü : Kullanıcının izni ya da bilgisi dahilinde olmadan bilgisayarın
çalışma şeklini değiştiren ve kendini diğer dosyaların içerisinde gizlemeye çalışan
aslında bir tür bilgisayar programıdır.
• B ilg is a y a r so lu c a n ı (Worm): Solucan da, virüs gibi, kendisini bir bilgisayardan
diğerine kopyalamak için tasarlanmıştır ancak bunu otomatik olarak yapar. İlk olarak,
bilgisayarda dosya veya bilgi ileten özelliklerin denetimini ele geçirir. Solucan bir kez
sisteminize girdikten sonra kendi başına ilerleyebilir. Örneğin bir solucan, e-posta
adres defterinizdeki herkese kopyalarını gönderebilir ve sonra aynı şeyi onların
bilgisayarları da yapabilir. Bu, domino etkisinin getirdiği yoğun ağ trafiği işyeri
ağlarını ve Internet'in tümünü yavaşlatabilir. Yeni solucanlar ilk ortaya çıktıklarında
çok hızlı yayılırlar. Ağları kilitlerler ve olasılıkla sizin ve başkalarının internetteki
web sayfalarını görüntülerken uzun süreler beklemenize yol açarlar.
Solucan, virüslerin bir alt sınıfıdır. Bir solucan genellikle kullanıcı eylemi olmaksızın
yayılır ve kendisinin tam kopyalarını (olasılıkla değiştirilmiş) ağlardan ağlara dağıtır.
Bir solucan bellek veya ağ bant genişliği tüketebilir, bu da bilgisayarın çökmesine yol
açabilir.
Solucanlar yayılmak için bir "taşıyıcı" programa veya dosyaya gereksinim
duymadıklarından, sisteminizde bir tünel de açabilir ve başka birinin uzaktan
bilgisayarınızın denetimini eline geçirmesini sağlayabilir. Yakın geçmişteki
solucanlara örnek olarak sasser solucanı ve blaster solucanı verilebilir.
• T ru v a A tı (Trojan Horse): Bilgisayar yazılımı bağlamında Truva atı zararlı program
barındıran veya yükleyen programdır (Bazen "zararlı yük" veya sadece "truva"
ibareleriyle de nitelendirilmektedir.) Terim klasik truva atı mitinden türemiştir. truva
atları masum kullanıcıya kullanışlı veya ilginç programlar gibi görünebilir ancak
yürütüldüklerinde zararlıdırlar.
Truva atlarının iki türü vardır. Birincisi, kullanışlı bir programın bir hacker tarafından
tahribata uğrayıp içine zararlı kodlar yüklenip program açıldığında yayılan cinsi.
Örnek olarak çeşitli hava durumu uyarı programları, bilgisayar saati ayarlama
yazılımları ve paylaşım programları verilebilir.
71
Diğer türü ise bağımsız bir program olup başka bir dosya gibi görünür. Örneklemek
gerekirse oyun veya kalıp dosyası gibi kullanıcıyı aldatmaya yönelik bir takım
yönlendirici karışıklık ile programın harekete geçirilmesine ihtiyaç duyulmaktadır.
Truva atları diğer kötücül yazılımlar, bilgisayar virüsleri ve bilgisayar solucanı gibi
kendi başlarına işlem yapamazlar. Aynen Yunanların planlarının işleyebilmesi için
atın Truvalılar tarafından içeri alınması gerektiği gibi truva atlarının zararlılığı da
kullanıcının hareketlerine bağlıdır. truva atları kendilerini kopyalayıp dağıtsalar bile
her kurbanın programı çalıştırması gerekir. Bu yüzden Truva atlarının zararlılığı
bilgisayar sistem açıklarına veya ayarlarına değil toplum mühendisliğinin başarılı
uygulamalarına bağlıdır.
• A r k a k a p ı (Backdoor): Bir sisteme dışarıdan sızılabilmesi için o sistemde açık
oluşturma işlemidir. Genellikle bazı portları açarak kendi üreticisinin ve/veya başka
bir yazılımın sisteme sızmasını sağlayan yazılımlardır.
• K ö k k u lla n ıc ı ta k ım ı (Rootkit): Kök kullanıcı takımı ya da rootkit; çalışan süreçleri,
dosyaları veya sistem bilgilerini işletim sisteminden gizlemek suretiyle varlığını
gizlice sürdüren bir program veya programlar grubudur. Amacı yayılmak değil,
bulunduğu sistemde varlığını gizlemektir. Önceleri çok kullanıcılı sistemlerde sıradan
kullanıcıların yönetim programlarına ve sistem bilgilerine erişimini gizlemek için
geliştirilmiş ve kullanılmış olmasına rağmen, kötü niyetli kullanımına da rastlamak
mümkündür.
• K la v y e d in le m e s is te m i (Keylogger): Klavye dinleme sistemi veya klavye yakalama
sistemi, klavyede bir harfe dokunulduğunda casus yazılım dinler ve klavye harflerini
kaydeder. Klavye dinleme sisteminin olmaması için spam amaçlı mesajların
güvenilmeyen mesajların açılmaması gerekir.
• T a ra y ıc ı ele g e ç irm e (Browser Hijacking): Tarayıcı ele geçirme , casus bir
yazılımın bilgisayardaki web tarayıcısının ayarlarını değiştirerek tarayıcının
kontrolünü ele geçirerek kullanıcının isteğinden çıkartmasıdır. Tarayıcı ele geçirme
olunca tarayıcı açıldıktan sonra "404 Error" sayfası çıkar ve açılmaz. Tarayıcı ele
geçirme programlarının hepsi casus yazılımlardan meydana gelmektedir.
• K a b lo y a s a p la m a y a p m a ( WireTapping) : Özel cihaz ve tekniklerle yeterli güvenlik
önlemi alınmamış olan iletişim ağı kablolarına fiziki olarak saplama yapılması ve72
ilgili iletişim ağı ile bağlantıya geçilmesidir. Bu metotla iletişim faaliyetinde bulunan
her iki unsurunda bilgi trafiği ele geçirilmiş bulunmaktadır. Bilgisayar ağları, telefon
trafiği ve fiber hatların da bu yöntemle dinlenebilmektedir (Yılmaz, 2017).
• H iz m e t d ış ı b ı r a k m a (Denial o f service, DoS): Bilgisayar sistemlerinin hedef
kullanıcılar tarafından kullanılmasını engellemek veya sistemleri çalışamaz hale
getirmek maksadıyla gerçekleştirilen saldırılardır. Bu metodu daha etkili kılmak
maksadıyla “Dağınık Hizmet Dışı Bırakma” (Distributed Denial of Service-DDoS)
saldırıları da yaygın olarak kullanılmaktadır
DDoS; DoS saldırısının dağıtık yapıda uygulanmasıdır. Bu saldırı türü, birçok
bilgisayar tarafından hedef seçilen bir servisin legal olarak kullanımını engellemek
maksadıyla yapılır. Burada amaç, sistemlere sızma girişimi değil bilişim sistemlerine
erişimi etkisiz kılma çabasıdır
• O r ta d a k i A d a m S a ld ır ıs ı (Man-in-the-Middle-Attack) : “Bir ağ üzerinde kurban
bilgisayar ile diğer ağ araçları (yönlendirici, switch, modem ya da sunucu gibi) arasına
girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir
saldırı çeşididir.” (Yılmaz, 2017)
• K r ip to g r a f ik s a ld ı r ı l a r : “Şifre ile korunmaya çalışılan mesaj veya verilerin
şifrelerinin çözülmesi maksadıyla uygulanan saldırılardır. Bu tarz saldırılarda
sistemin genel kriptolojisinin zayıf tarafları araştırılarak çözmeye çalışılır.” (Yılmaz,
2017)
• Y e m le m e (Phishing): “Bilişim sistemleri kullanıcılarının, kandırılmaları veya ikna
edilmeleri neticesinde kişisel bilgilerini alarak kişilerin bilgisayar sitemlerine
gönderilen virüsler aracılığıyla sistemi ele geçirme girişimleridir. Bu durumda elde
edilen bilgiler dolandırıcılık faaliyetlerinde kullanılabileceği gibi siteme zara vermek
maksadıyla da kullanılmaktadır” (Yılmaz, 2017).
• Y e r in e G e ç m e (Masquerading): “Bilişim sistemlerinde bir bilgisayarın başka bir
bilgisayarın yerine geçerek onun nüfuzunu kazanma eylemidir. Bu eylem, bir ağdaki
dâhili bir bilgisayar aracılığı ile diğer bütün bilgisayarları dış dünyaya bağlamak için
veya herhangi bir saldırı yapmak içinde kullanılabilir. Yerine geçme saldırısında,
kullanıcı hesapları, parola, kişilik bilgilerinin elde edilerek güvenlik zafiyetlerinden
faydalanarak sisteme zarar vermeyi amaç edinmektedir.” (Yılmaz, 2017)
73
• K ö le B i lg is a y a r la r (Zombie):" Bilişim sistemleri kendilerine erişen herhangi bir
kötücül yazılım veya program vasıtasıyla uzaktan kontrol altına alınabilmektedir.
Uzaktan kontrol edilebilen ve kötücül kullanımlara açık olan ve birçok bilgisayardan
oluşan yapıya köle bilgisayarlar (zombie) denir.” (Yılmaz, 2017)
• R e k la m Y a z ılım la r ı (Adware): “ Bilgisayarda çoğu zaman farkında olmadan kurulan
küçük programlardır. Bedava yazılımların içinde bulunabilmektedir. Reklam
yazılımları açılır pencere (pop-up) reklamlarının ekranınızda çıkmasına izin vermekte
ve aynı zamanda internette ne ile ilgilendiğinizin izini sürmek için kullanılmaktadır.
Reklam yazılımı internette gezdiğiniz tüm sayfaları kaydetmektedir. Bu bilgiler
periyodik olarak reklam programının sahibine gönderilmekte ve size özel
reklamlarının iletilmesinde kullanılmaktadır.”
• C a s u s y a z ıl ım la r : ‘Caredo’ ve ‘Reign’: e-Posta ve web üzerinden yayılan fidye
amaçlı kötücül yazılımlar kullanıcıların dosyalarını şifreleme, hesaplarını ele geçirme
gibi işlemler için kullanılabilir. Bu yazılımları kontrol eden kişiler daha sonra şifreleri
kaldırmak için para talebinde bulunmaktadır. ABD başta olmak üzere tüm dünyada
etkili olan ‘CryptoLocker’, 2014 yılında fidye amaçlı kullanılan kötücül yazılımların
en önemli örneği olmuştur. 2014’te adını en çok duyuran casus yazılımlar ise ‘Caredo’
ve ‘Reign’dir. Özellikle Caredo, başta Fas olmak üzere Kuzey Afrika ülkelerinde
diplomatik ve devlete ait merkezleri hedef alarak önemli zararlar vermiştir” (Yılmaz,
2017).
• M a n t ık B o m b a s ı (Logic Bomb) ” Belirli bir zamanda veya belirli şartların
oluşmasında çalışabilen yazılımlardır. Bu yazılımın bozucu, aldatıcı, yıkıcı etkileri
mevcuttur. Mantık bombası sistem içinde çalışacağı günü bekleyebilir veya kullanılan
bir program içinde zamanı geldiğinde zararlı girişimlerde bulunmak maksadıyla
kendini muhafaza edebilmektedir. Söz konusu kötücül yazılım, kullanacağı bilgileri
önceden kodlar, saldırgan tarafından talimat gönderilince de görevini icra eder.”
(Yılmaz, 2017)
• Y e tk i A r t ı r ım ı (Privilege Escalation): “Siber saldırı yöntemlerinden bir diğeri ise
ayrıcalıkların yükseltilmesidir. Bu yöntemde, saldırgan sistem zafiyetlerini ya da
kullanıcı hesaplarından birini kullanarak içeri girer. Sistemlerin kendi içlerindeki
yetkilendirme kodlarına ulaşarak ayrıcalıklarını arttırabilir. Böylece sistem
içerisinden bazı uygulamaların kodlarını değiştirerek zarar verebilir. Aynı yöntemde
74
yönetici giriş şifrelerine ulaşabilir ve bu şifreleri sisteme zarar vermek için
kullanabilir. Bu yöntem sisteme erişim yetkisi bulunan içeriden bir kullanıcı
tarafından da uygulanabilir” (Yılmaz, 2017)
• Payload: “Bir sistemde yetkisiz erişim elde edilmesi sonrasında, kod çalıştırıp,
saldırganın sistemde yapmak istediği değişikliği yapmasını sağlayan, yetkisiz
işlevleri gerçekleştiren kod parçacıkları veya bunların derlenerek çalıştırılabilir dosya
haline getirilmiş şeklidir. İstismar kodları ile birlikte kullanılmaktadır.” (Yılmaz,
2017)
• Sıfırıncı Gün Açıklığı:” Herhangi bir üründe bulunan, o ürünün üreticisi veya diğer
siber emniyet ile ilgilenen kişi ve kuruluşların bilmediği fakat saldırganların farkında
olduğu ve kullandığı açıklıklardır. Gelişmiş zararlı yazılımlar hızlı bir şekilde
yayılabilmek için sıfırıncı gün açıklığını kullanmaktadır.” (Yılmaz, 2017)
• Zehirlem e (Poisoning): “Haberleşme esnasında adres ve makine bilgileri gibi
eşleştirme değerlerinin tutulduğu tablolarda değişiklik yaparak, kullanıcının
haberleşmesini manipüle etme veya kesme saldırılarına verilen isimdir” (Yılmaz,
2017).
2.4.6 Siber saldırı senaryoları
2.4.6.1 Senaryolara genel giriş
Enerji tedariğinde dışa bağımlılığımızı azaltacak, enerji kaynaklarımızın çeşitlerini
arttıracak, elektrik enerjisi üretim maliyetlerinde istikrar sağlayacak olan nükleer
teknolojinin Türkiye’ye katkıları açıktır ancak bize bunca katkıyı sağlayan santrallerin
düşmanlar için stratejik bir öneme sahip olduğu bu sebeple de gerek fiziksel saldırılar gerek
ise siber saldırılara karşı derinlemesine bir savunma sistemi ile korunması gerektiği
unutulmamalıdır. Bu bölümde bahsedilen siber saldırı senaryoları ile nükleer santrallerimize
yönelik ne tür saldırılar olabileceği ve sonuçlarının neler olabileceğine yer verilmiştir. Tezin
daha önceki bölümlerinde de bahsedildiği üzere son günlerde SCADA sistemlerine yönelik
siber saldırıların artması sebebiyle bu tezde yer alan iki senaryodan ilkinde SCADA
sistemlerine yer verilmiştir.
Siber saldırılara yönelik geliştirilmesi gereken derinliğine savunma stratejisinin amacı şu
şekilde özetlenebilir:
• Santralde meydana gelebilecek insan ve donanım hatalarını ortadan kaldırmak75
• Fisyon ürünlerinin dışarı çıkmasını engelleyen fiziksel bariyerlerin etkinliğinin her
koşulda devamını sağlamak
• Bu fiziksel bariyerlerin işlevlerini yerine getirememesi halinde dahi halkın ve
çevrenin zarar görmesini engellemektir.
Nükleer santrallerde derinliğine savunma stratejisi beş ayrı seviyede uygulanır:
1. Seviye - Normal işletme koşullarından sapm aların ve bu sapm alara neden olabilecek
arızaların önlenmesi:
Nükleer santraller arızalanmalara ve belirli değişimlere karşı direnç gösterebilecek şekilde
tasarımlanır. Tesisin normal ve öngörülebilir işletme koşulları altında karşılaşabileceği en
kötü mekanik, ısıl ve basınç yüklerini veya tesisin donanım ve bileşenleri üzerindeki çevresel
etkileri dikkate alan kapsamlı ve detaylı bir tasarım çalışması yapılır. Tasarımda yeterli
güvenlik payları bırakılır ve “kendiliğinden güvenli” tasarım özelliklerine yer verilir. Tesis
bileşenleri gereken en üst düzeyde kalite standartlarında tasarımlanır, imal ve inşa edilir,
işletilir.
2. Seviye - Anorm al işletme durum ların ın kontrolü, arızaların tespiti ve arızaların
kazaya yol açm alarının önlenmesi:
Bu seviyenin hedefi, tesisin işletme koşullarının dışına çıkmasını önlemek veya işletme
koşullarının dışına çıkılması durumunda tesisi mümkün olan en kısa zamanda normal işletme
durumuna geri döndürmektir. Bu amaçla bir ekipmana o donanım için öngörülen işletme
koşullarının ötesinde bir yük binmeden önce, herhangi bir olağandışı olayın gelişimini
engelleyecek kapasitede “otomatik kontrol ve koruma sistemleri” bulunur. Meydana
gelebilecek bir olağan dışı olayın gelişimini önlemek üzere otomatik sıcaklık, basınç,
nükleer ve ısıl güç kontrol sistemleri devreye girer. Hataları, arızaları ve normal işletmeden
sapmaları haber veren ışıklı ve sesli uyarı sistemleri bulunur.
Diğer üç seviye ise şu şekildedir;
• 3.seviye: Kazaların tasarım içinde kontrolü ve ciddi bir kazaya dönüşmesinin
önlenmesi,
• 4.seviye: Ciddi kazanın gerçekleşmesi durumunda, kazanın daha fazla büyümesinin
önlenmesi ve kaza koşullarının sonuçları hafifletecek şekilde kontrol altında
tutulması,
76
• 5.seviye: Tesis dışına ulaşabilecek radyoaktif madde sızıntısının radyolojik
sonuçlarının hafifletilmesi (TAEK, 2007b).
Ancak bu bölümdeki senaryolarda hayali bir nükleer tesisteki 2. seviyedeki otomatik kontrol
ve koruma sistemlerinin siber saldırı sonucu devre dışı kalma durumu ele alınacaktır. Bu
yüzden diğer üç seviyede detaya yer verilmemiştir.
Normal işletme koşullarında güvenlik sistemleri herhangi bir insan müdahalesine ihtiyaç
duymadan otomatik olarak devreye girerler. Ancak siber saldırılardaki manipülasyonlarla bu
güvenlik sistemleri hatalı çalıştığı halde uyarı vermeden sorunsuz çalışıyormuş izlenimi
verilebilir.
Reaktör kontrolünde ve kapatmada kullanılan kontrol çubukları, sistem basıncını ayarlayan
basınçlayıcı ve bir kaza durumunda reaktör kalbini soğutan acil durum kalp soğutma sistemi
önemli bileşenler ve sistemler arasında sayılabilir (TAEK, 2007a).
Bahsedilen bu güvenlik sistemleri kritik bir rol oynamakta ve siber saldırılar da hedef haline
gelmektedir. Bu bölümde örnek olarak basınçlayıcı kullanılmış, varsayılan senaryolar
üzerinden nükleer tesislere siber saldırı yapılması durumunda ne gibi sonuçlar doğuracağına
yer vererek farkındalık oluşturulmaya çalışılmıştır. Senaryolarda kapsam olarak SCADA
sistemleri seçilmiştir.
Ayrıca bu tez çalışmasında bir siber saldırının radyolojik bir salıma yol açmadığı
varsayılmış, bu sebeple senaryolarda kapsam dışı tutulmuştur.
2.4.6.2 Neden SCADA?
Günümüz ağ teknolojisi sayesinde izleme ve kontrol işlemi uzaktan
gerçekleştirilebilmektedir. SCADA endüstriyel komuta kontrol ağlarının gelişmiş haline
denilmektedir. SCADA sistemleri ağlara ve internete bağlanabilen sistemlerdir. Ancak bu
sebeple sistem internetin güvenlik problemleri ile mücadele etmek zorundadır. Bunun
anlamı; cihazlar internet üzerinde kontrol ediliyor ise SCADA sistemine yapılan bir saldırı
tüm sistemi etkileyebilir. Bu saldırı çok ağır kayıplara sebebiyet verebilir. Ayrıca Stuxnet
örneğinde de görüldüğü gibi sadece internet vasıtasıyla değil USB gibi dışarıdan bir cihazla
da saldırı tetiklenebilmektedir. Yani dış dünyaya kapalı olduğuna inanılan, güvenlik
gerekçesiyle internet bağlantısı olmayan süreç kontrol ve otomasyon programları kullanan
bilgisayarlarda harici belleklerin takılıp içeriğinin görüntülenmesiyle sisteme bulaştırılan bu
77
kötücül yazılımlardan etkilenebilir. Bu yüzden SCADA sistemlerin güvenliğinin öncelikli
olması gerekir.
Bu çalışmada yukarıda belirtilen sebeplerle ele alınacak olan siber saldırı senaryoları, hayali
bir nükleer tesisin kontrolünü sağlayan SCADA (Uzaktan Kontrol ve Gözetleme Sistemi)
sistemleri hedef alınarak kurulacaktır. SCADA aracılığı ile bir tesise ait tüm birimlerin
otomatik kontrolü ve gözlenmesi sağlanabilmektedir. Bu nedenle SCADA sistemlerinin
hedef olarak seçilmesi ve saldırıya açık hale gelme olasılığı yüksektir.
2.4.6.3 SCADA nedir?
“Günümüz network ağ sistemleri, operatörlere veya yetkililere uzaktan kumanda etme
olanağı sağlamaktadır. Günümüz teknolojisinde endüstriyel komuta ve kontrol sistemlerinin
gelişmiş hali SCADA (Süpervisory Control and Data Acquisition) olarak adlandırılmaktadır.
SCADA sistemleri ağlara ve internete kolayca bağlanabilmektedir. Bu bağlanma özelliği,
sitemlerin kullanımını ve kontrolünü kolaylaştırmış olsa da ciddi boyutta güvenlik
problemlerini de beraberin de getirmiştir. Eğer sistemler internet vasıtasıyla uzaktan
kumanda ediliyorsa SCADA sistemlerine yapılabilecek bir saldırı tüm sistemi
etkileyebilecektir. Böyle bir saldırı neticesinde maddi zararların olmasının yanında insanlar
başta olmak üzere diğer canlılarda zarar görebilecektir “ (Yılmaz, 2017)
“SCADA vasıtasıyla kumanda edilen sistemlere günümüze kadar birçok siber saldırı
gerçekleştirilmiştir. Bunlardan bazıları;
• 1992 yılında, yangın ve hırsızlığın engellenmesi amacı için kurulan Chevron alarm
sistemi devre dışı bırakılmıştır.
• 2000 yılında, Gazprom boru hatlarının siber korsanlar tarafından ele geçirilmesi olayı
gerçekleşmiştir.
• 2003 yılında, Ohio’da Davis-Besse nükleer santral emniyet sistemleri Slammer
solucanından etkilenmiştir.
• 2003 yılında, ABD’nin doğu yakası Blaster solucanı nedeniyle elektriksiz kalmıştır.
• 2004 yılında, “Codered” virüsü nedeniyle ABD’de Amtrak demiryolu hatları
kapanmıştır.
• 2008 yılında, ABD’de Hatch nükleer enerji santrali, yazılım güncellemesi yaptıktan
sonra kapanmıştır.
78
2009-2010 yıllarında, İran’ın nükleer tesisleri Stuxnet solucanından dolayı
etkilenmiştir.
• 2010 yılında, Çin’in dünyada ki internet trafiğinin % 15’ini 18 dakika boyunca
kendine yönlendirmesi, olarak gerçekleştirilmiştir “ (Yılmaz, 2017).
“Nükleer enerji santrallerinin çoğundaki SCADA sistemleri su üç unsuru içermektedir:
• Belirli bir noktadaki durumu ölçen sensörler,
• Pompa ve vanalar gibi işletim ekipmanı,
• İşletim ekipmanı ile sensörler arasındaki iletişimi sağlayan yerel işlemciler.
Dört çeşit yerel işlemci bulunmaktadır: Programmable Logic Controller(PLC), Remote
Terminal Unit (RTU), Intelligent Electronic Unit (IED), ve Process Automation
Controller (PAC). Bu işlemcilerin başlıca görevleri ise şunlardır:
• Sensörlerden bilgi toplamak,
• Daha önceden yüklenmiş programlara ya da uzaktan komutlara bağlı olarak işletim
ekipmanının açılıp kapanmasını sağlamak,
• İletişim sensörlerine ve işletim ekipmanına protokollerin bilgisini tanımlamak,
• Acil durum koşullarını tanımlamak ve yerel işlemciler, işletim ekipmanı ve sensörler
arasında kısa mesafeli iletişimi sağlamak.
Bu türde iletişim çoğunlukla kısa kablolar ya da kablosuz ağ bağlantısı aracılığıyla
yürütülmektedir. Sunucu bilgisayar ise izleme ve denetlemenin merkezi olarak görev
yapmaktadır. Bireysel operatörler her türlü faaliyeti bu anabilgisayar üzerinden izlemekte ve
gerekli durumlarda denetimsel faaliyette bulunmaktadırlar.
SCADA sistemleri, farklı süreçleri denetlemek ve operasyonun düzenli biçimde
devamlılığını sağlayabilmek amacıyla gerekli düzeltme ve düzenlemeleri yapabilmek için
çeşitli PLC’leri kullanmaktadırlar. Bu PLC’ler aynı zamanda insani müdahale gerektiğinde
operatörü uyarmaktadırlar.
Nükleer enerji santrallerinde çalışan bireyler, bir kazanın önlenmesi ya da herhangi bir
aksaklığın fark edilmesi açısından emniyet zincirinin ilk aşamasını oluşturmaktadırlar.
Kontrol odasında görev yapan operatör, tesisin görev tanımı yapılmış göstergelerini kontrol
etmek ve gerektiğinde sürecin devamlılığını sağlayacak düzeltmelerin yapılmasını sağlamak
durumundadır.
79
SCADA sistemlerinin yürüttüğü denetleme ve iletişimi sağlayan yazılım, gerekli bilgiyi
sağlamak ve bir sorun oluşması halinde görevli operatörü uyaracak alarmı başlatmak için
tasarlanmıştır.
Ancak bu sisteme yapılan bir siber saldırı ile görevli operatör sistem tarafından
uyarılmayabilir ve bu yolla göz ardı edilen tehlike bir şekilde patlak verip amacına
ulaşacaktır” (Bıçakçı, 2017).
2.4.6.4 Senaryo 1
Saldırgan Profili: Saldırgan Rakip
Saldırı Metodu: Arka Kapı, Truva Atı, Solucan
Saldırı Amacı: İşle ilgili rakip firmayı alıkoymak, engellemek, rakip firmanın saygınlığını
azaltmak
Sonuç: Mali kayıp
Bu örnekte saldırgan hayali bir nükleer tesise flame adlı kötücül yazılımı kullanarak siber
saldırı gerçekleştirmektedir. Rakip firmanın adına gerekli bilgileri toplayan, uzun süre
sistemde varlığını gizleyerek Flame adlı kötücül yazılım ile siber saldırıyı gerçekleştiren
gizli ajan tesisin bir çalışanıymış gibi kimliğini gizlemiştir. Kullandığı bu kötücül yazılım
Flame; siber casusluk için kullanılan ve hedefe yönelik atak yapabilmek için tasarlanan, çok
karmaşık bir saldırı kitidir. Hem arka kapı, hem bir Truva atı, hem de solucan gibi farklı
zararlı yazılımların özelliklerini barındıran bir yapıda çalışmaktadır (TÜBİTAK BİLGEM,
tarih yok). Bu zararlının ilk yayılma yöntemi olarak, mail üzerinden oltalama saldırıları
kullanılarak veya çeşitli web sitelerine zararlı kod yükleyip, bu zararlı yazılımın
indirilmesini sağlanması ile gerçekleştirildiği düşünülmektedir.
Enfekte olan PC’ler yerel ağa bağlı diğer bilgisayarların ve taşınabilir bellekler ile daha fazla
bilgisayarın etkilenmesine sebep olmuştur. Başka bilgisayarlara yayılmak için Stuxnet
tarafından da kullanılan açıklıklar kullanılmıştır (TÜBİTAK BİLGEM, tarih yok).
Flame’in boyutu Stuxnet ya da Duqu ile karşılaştırıldığı zaman arada 20 kat büyüklük farkı
ortaya çıkmaktadır. Bu büyüklük zararlı yazılımın analizini de zorlaştırmaktadır. Stuxnet’in
analizinin 6 ay kadar sürdüğü düşünüldüğünde Flame’in analizinin daha uzun süreceği
aşikârdır.
80
G enelde zararlı y az ılım la r s is tem den g iz len m ek iç in o ld u k ça k ü çü k b o y u tla rd a yazılırlar.
F la m e ’in ise b ir nev i b u b ü y ü k lü ğ ü n ü n ark asın a sak lan arak g ü n ü m ü ze k ad a r te sp it
ed ilm ed en yay ıld ığ ı d ü şü n ü lm ek ted ir (T Ü B İT A K B İL G E M , ta rih yok).
T esisin g ü v en liğ in d ek i en önem li b ile şen le r v e sis tem lerd en biri o lan sistem basıncın ı
ayarlayan b asın ç lay ıc ıy a y ö n e lik o lan b u sib er sald ırı ile b as ın ç gösterge le ri a rıza d u ru m u n a
geçm iş, ancak uyarı verm em iştir.
H ata ları, a r ız a lan v e no rm al iş le tm ed en sapm aları h ab e r v eren ışık lı v e sesli uyarı sistem leri
o pera tö rü gerek tiğ i şek ilde uy arm am ış, s istem deki b ir p a rça anorm al şek ilde çalıştığ ı ha ld e
k o n tro lü n yap ıld ığ ı m o n itö rle rin kapanm ası da k ö tücü l y az ılım ın ned en o lduğu no rm al dışı
faa liy e tin kon tro l o dasındak i o p era tö r ta ra fın d an fa rk ed ilm esin in önüne g eçm iştir. S C A D A
sistem lerin in üç ana u n su ru n d an b iri o lan sensö rle rin b u siber sa ld ırıdan etk ilenm esi
n e ticesin d e arıza g eç fa rk ed ilm iş, b u arıza du ru m u n u n n erd en v e n eden kaynak land ığ ın ı
b u lm ak iç in sistem kapa tılm ış, tesis geçic i sü rey le durduru lm uştu r. S istem deki a rızan ın b ir
s iber sa ld ırıdan k ay n ak lan d ığ ın ın an laşılm ası u zu n sürm üş, b ü y ü k o lasılık la rak ip firm a
ta ra fın d an y ap ılan b u sib er sa ld ırıdan dolayı geçic i sü rey le g erçek leşen b u du rm an ın tes ise
b ü y ü k ö lçüde m ali yap tırım ı o lm uştur.
A rıza süresin i m in im ize e tm ek iç in en k ısa sü rede em n iy et o lay m ü d ah ale ekibi
o luştu ru lm uş, olayı o luştu ran , m ey d an a ge tiren öğelerin tan ım lan m ıştır. G erek li
d o k ü m an tasy o n v e rap o rlam a y ap ıld ık tan son ra o lay ana liz ed ilm iştir. Y aşan an b u siber
sald ırı sonucu tesis bazı k a ra rla r a lm ıştır; b u n d an son ra daha sıkı o lay m ü d ah a le p lan ları ve
p rosedürle rin i ta tb ik e tm eye k a ra r v e rm iş le r v e h erhang i b ir k o ord ine li b ir b ilg isa y a r o lay
ta tb ik a tın a k a tılm a kararı a lm ışlard ır.
Ö ncelik le ID S uyarıla rı sayesinde kö tü n iyetli ağ h a rek e t v e b ağ lan tıla rın ın tesp iti
gerçek leştirilm iştir. A y rıca n o rm alin ü s tü n d e b ir y o ğ u n lu k ta ağ trafiğ i ile karşılaşılm ıştır.
O laya ait h asa rın b ü y ü m esin i en g e llem ek iç in o lay ön ce lik le an a liz ed ilm iş sald ırgan ın
k im liğ i v e ne am aç la sald ırd ığ ı so ru ların a cevap aranm ıştır. O lay ın tek ra rlan m am ası iç in
sistem çevrim dışı ik en p ro b lem in k ö k en in e in ilm iştir. V e son rasın d a y ed ek len m iş sis tem ler
y en id en ku ru lm uştu r. Y en id en b ağ lan tı k u ru lm u ş v e sistem tam am en iy ileştirilm iştir.
B u n d an so n ra y aşan ab ilecek olası sa ld ırıla r iç in o lay b ilg isi top lanm ıştır.
81
Saldırgan Profili: Hacktivist grup
Saldırı Metodu: DDoS
2.4.6.5 Senaryo 2
Saldırı Amacı: Siyasi amaçlar, karalama çalışmaları, kamuoyuna karşı itibarsızlaştırma
Sonuç: Sansasyon yaratma, toplum düzenini bozma ve kamuoyu güvenini azaltma
Pek çok ülkede şubesi olan çevreci bir sivil toplum kuruluşu ile işbirliği halinde bulunan
hacktivist bir grup eylemci düzenleyici ve denetleyici kurumun, ayrıca hayali bir nükleer
tesisin inşasından sorumlu şirketin bilgisayarlarına yönelik hackleme sonucu yanlış haberler
medyaya sızmıştır. Nükleer enerji karşıtı haberler yayınlayarak, halkın yanlış
bilgilendirilmesi kamuoyunda güvensizlik yaratılmaya çalışılmıştır. Ayrıca gizli bilgileri ele
geçiren grup radyoaktif salınım ile ilgili bilgileri çarpıtarak sanki düzenleyici kurumun
gerçek verileriymiş gibi internet sayfasında yayınlamıştır. Sonuç olarak konuyla ilgili üst
yetkililer bunun bir siber saldırı olduğunu halkın bilinçsizce kışkırtılmaya çalışıldığını
belirtecek bir kamuoyu açıklaması yapmıştır.
Bu senaryolara bakıldığında nükleer tesislere yönelik bu tarz siber saldırılar hem maddi
olarak hem de manevi olarak gerek düzenleyici kurumu gerekse devlet yetkililerini zarara
uğratmaktadır. İlk senaryo örneği nükleer enerji tesislerinin siber saldırılar karşısında
savunmasız olduğunu ve SCADA sistemlerinin de saldırıya açık olduğu için büyük bir risk
atında olduğunu vurgulamaktadır. Bunu önlemek amaçlı güçlü bir siber savunma sistemi
kurulmalı, söz konusu tesislerde siber emniyet kültürü geliştirilmelidir.
2.4.7 Nükleer tesislere yönelik siber saldırıların olası sonuçları
İşlemlerini bilgi teknolojileri üzerinden gerçekleştiren, gündelik yaşamımızın vazgeçilmez
parçaları olan, kayıpları durumunda ikame edilmeleri neredeyse imkânsız olan kritik
altyapıların işleyişlerinin aksamaları; yaşamımızın bir anda durmasına, işlerimizin sekteye
uğramasına neden olabilirler.
Özellikle de diğer altyapılarla karşılıklı bağlantıları ve bağımlılıkları mevcut olan kritik
altyapıların sorunsuz bir şekilde işlemesi çok önemlidir. Herhangi bir kritik alt yapıya siber
saldırı düzenlenmesinin nasıl sonuçlanabileceğine önceki bölümlerde yaşanmış örnekler
yoluyla detaylıca yer verilmiştir.
82
Yine aynı şekilde bir nükleer tesise düzenlenebilecek siber saldırı, sistem bilgisinin gizliliği,
bütünlüğü veya erişilebilirliğini bozarak; can kaybına, büyük ölçekli ekonomik zarara, ulusal
emniyet açıklarına veya kamu düzeninin bozulmasına yol açabilir. Hatta ülkeler arası
savaşlara bile sebebiyet verebilir.
Nükleer tesislere yönelik siber saldırıların olması halinde;
• Tesis sistem ve bileşenlerine zarar vererek tesis güvenliği riske atılabilir.
• Radyolojik salıma sebebiyet verebilir, halkın sağlığı tehlikeye atılabilir.
• Normal işletmemenin sürekliliği bozulabilir, sistem geçici süreyle durdurulmak
zorunda kalabilir veya tamamen kapatılabilir. Sistemin durdurulması ekonomik
zarara yol açarken bu mali kayıplar da çalışanları maddi olarak sıkıntıya sokabilir.
• Yetkisiz kişilerce sistemlere erişim gerçekleştirilebilir veya tam tersi yetkili kişilerin
erişim ihtiyaçları oldukları alanlara erişimi engellenebilir.
• Yetkisiz erişimler vasıtasıyla daha şiddetli saldırıları planlamak için sistemden bilgi
toplanılabilir.
• Nükleer malzemelere yönelik hırsızlık ve sabotaj gerçekleşebilir.
• Ticari bilgiler, teknoloji sırları ve kişisel bilgiler çalınabilir. Bu bilgilerin
çalınmasıyla şantaj yoluna başvurulabilir.
• İntikam, karışıklık, kargaşaya sebep olunabilir. Toplumda ve uluslararası alanda
güvensizlik ortamı oluşturulabilir.
• Kamuoyu imajını ve güvenini zedelenebilir.
• Dahası yapılan bu siber saldırılar savaş sebebi sayılarak ülkeyi çok büyük kargaşaya
sürükleyebilir.
Tüm bu sebeplerle olası siber saldırılara karşı yetkili makamlar tedbirler almalı iyi bir
savunma sistemi geliştirmelidir.
2.5 Savunma Sistemleri
“Siber alanın doğuşu hem kullanıcılar hem de ulus devletlerin güvenlik kurumları için pek
çok güvenlik riskini beraberinde getirmiştir. Siber alanı kullanarak saldırı düzenleyen kişiler,
mali kurumları hedef alarak, ulusal sırlara erişip sızdırarak ve İran’ın nükleer tesislerini
hedef alan Stuxnet solucanının da aralarında bulunduğu birçok örnekte görüldüğü gibi,
ulusal altyapılara saldırıp kinetik bir saldırının gerçekleştirebileceği boyutta fiziksel hasarlar
83
vererek, ciddi boyutta zarara yol açabilirler. Siber saldırıları kimin yaptığını belirlemek
oldukça zordur, çünkü saldırganlar nadiren arkalarında iz bırakırlar ve hatta kendi
konumlarını gizlemek için çabalarlar. Çoğu durumda siber saldırganların pahalı ya da nadir
bulunan araçlara ihtiyacı olmaz. Hatta kamunun bilişim teknolojilerine erişiminin
kolaylaşması ve bilişim teknolojilerinin hem kamu kurumlarının hem de özel kuruluşların
işletilmesindeki rolünün git gide artması güvenlik zaaflarını daha da arttırmaktadır. Dağınık
servis dışı bırakma (DDoS) saldırıları gibi birkaç istisna dışında, siber saldırılar, hedef
sistemde ve siber emniyet önlemlerinde var olan açıklardan yararlanarak yapılır; müdafaa
eden taraf bu açıkların ve dolayısıyla saldırının nereden gelebileceğinin farkında
olmadığından siber saldırılara karşı savunma oldukça zordur. Ayrıca siber saldırganları
öngörmek, silahsızlandırmak ve caydırmak daha zordur, bu da siber alanda taarruzun
müdafaaya nazaran daha fazla avantajı olmasını sağlar. Bu sıkıntılara rağmen, ulus devletler
siber tehditlerle kendi kaynaklarıyla başa çıkmaya mecburdurlar. Dolayısıyla ulusların siber
tehditlere ne kadar açık olduğunun ilk belirteci, ülkenin kendi kabiliyetleri ve siber emniyet
algısıdır” (Bıçakçı, Ergun Doruk, Çelikpala, 2015).
“Bir ülkenin varlıklarına yöneltilen siber saldırılar, ülkenin kendi sınırları içinden doğmak
zorunda değildirler. Ancak Türkiye ilginç bir vaka oluşturmaktadır, zira 2013 itibariyle
Türkiye vatandaşlarının yalnızca yüzde 46’sının internet erişimi varken (bu Türkiye’yi
dünyada 97. sıraya koymaktadır), Türkiye dünyadaki siber saldırıların üçüncü büyük çıkış
noktası olmuştur” (Bıçakçı, Ergun Doruk, Çelikpala, 2015).
Derinlemesine bir savunma sistemini benimsemek tüm emniyet unsurlarında olduğu gibi
siber emniyette de çok önemlidir. Düşmanlarla baş etmede hem yapısal hem teknik hem de
kişisel koruma yöntemlerini göz nünde bulundurmak gerekir. Ayrıca hibrit saldırılarına karşı
siber emniyeti güçlendirirken fiziksel korumayı da unutmamak gerekir.
2.5.1 Siber savunma sisteminin unsurları
2.5.1.1 Güvenlik duvarı
Güvenlik duvarı yazılımları, bilgisayar sisteminin bir parçası olmakla birlikte kuruldukları
konumda bir kural kümesi prensibinde çalışan, bilgisayara ve internet ağına gelen giden veri
trafiğini kontrol eden ve sisteme yetkisiz erişimleri engelleyen güvenlik sistemleridir.
84
2.5.1.2 Anti virüs
Bilgisayar ve ağ sistemlerinin, zararlı programlardan korunmak için programlanmış olan ve
aynı zamanda temizleme ve kurtarma işlevlerini yerine getiren güvenlik yazılımlarına
denmektedir.
2.5.1.3 Sayısal imza
“Verinin içeriğinin değiştirme durumu ve gönderen kaynağın gerçekliliğini ispat etme söz
konusu olduğunda kullanılır. Sayısal imza kısaca yazılan mesajın özetinin gizli bir anahtar
ile şifrelenmesi ve bir sıra numarası verilmesi ile elde edilmektedir” (Yılmaz, 2017).
2.5.1.4 İçerik filtreleme
“İçerik filtreleme, iletişim ağı veya bilgisayara giren ve bilgisayardan çıkan tüm trafiğin
incelenmesi sonucunda gerek zararlı olarak nitelendirilen gerekse istenmeyen verileri
filtreleyen yazılımlardır. Bu yazılımlar aracılığıyla istenmeyen web siteleri, elektronik
postalar, belirli kelimeler, resimler, uygulamalar filtrelenerek engellenebilmektedir.
Son yıllarda ailelerin çocuklarını sanal dünyanın zararlı etkilerinden bir nebze olsun
koruyabilmek maksadıyla başvurduğu yollardan birisidir” (Yılmaz, 2017).
2.5.1.5 Adli bilişim
“Genel olarak adli bilişim, bilişim sistemlerinden delil elde edilmesi, elde edilen delillerin
veri bütünlüğü bozulmadan analiz edilerek gerekli işlemlere tabi tutulmasına denmektedir”
(Yılmaz, 2017).
2.5.1.6 Bal küpü
“Bal küpü, bilişim sistemlerine karşı saldırıların tespit edilmesinde kullanılmaktadır.
İnternet ağı üzerine yerleştirilen Bal Küp’leri saldırganları üzerine çekerek saldırı ve
saldırgan konusunda ipucu elde etmeye yarayan yazılım türleridir” (Yılmaz, 2017).
2.5.1.7 Siber tehditleri algılama sistemi
“BİT sistemlerine yapılan saldırıların tespit ve teşhis edilmesinde kullanılan bir başka yolda
algılama sistemlerinin kullanılmasıdır. Burada güvenliği yalıtılmış bir ortamın içeriği
kaydedilip faaliyetleri izlenerek bir saldırı girişiminin tespit edilmeye çalışılması söz
konusudur. Bu amaçla üretilen “ Siber Tehditleri Algılama Merkezi Projesi” aracılığıyla ağın
85
herhang i b ir n o k tas ın a y ap ılm ak ta o lan siber sa ld ırıla r an ın d a te sp it ed ileb ilm ek ted ir”
(Y ılm az, 2017).
2.5.1.8 Şifreleme sistemleri
“A ç ık anah tarlı ş ifre lem e; şifre v e deşifre iş lem le rin in yap ılab ilm esi iç in fark lı anah ta rların
ku llan ıld ığ ı b ir şifre lem e sistem id ir. H ab erleşen ta ra fla rd an h e r ik is in d e de b ire r ç ift anah ta r
b u lunm ak tad ır. B u an ah ta rla rd an b iris i g izli an ah ta r o larak, d iğeri ise aç ık (g izli o lm ayan)
an ah ta r o la rak ad lan d ırılm ak tad ır. B u an ah ta rla rd an h iç b iris i hem şifre lem e hem de deşifre
iş lem lerin in h e r ik isin i b e rab e r yap am am ak tad ır. B ir ev in g ü v en liğ in in a larm sistem i ile
sağ lanm ası gibi b ir v e rin in v ey a b ir d o sy an ın da ş ifre len erek k o runm ası sağ lanab ilm ek ted ir.
B u şek ilde iz in siz b ir şek ilde şahsi v ey a ku ru m sal b ilg isay ara erişim sağ land ığ ında
do sy aların şifre lenm esi v asıtas ıy la v eriy e eriş im sağ lan am ay acak tır” (Y ılm az , 2017).
2.5.1.9 Kimlik doğrulama sistemleri
“A ğ sistem lerine v e b ilg isay arla ra ku llan ıc ı m aksa tlı g iriş y ap acak şah ısların k im lik
b ilg ile rin in güven li b ir şek ilde so rgu lanm ası, s is tem lere erişim iç in atılm ası g e rek en ilk
ad ım d ır” (Y ılm az, 2017).
2.5.2 Kötücül yazılımlar için ortak koruma stratejileri
K ötücü l yaz ılım la rın ın te sp itin d e şu m eto tla r ku llan ılır:
2.5.2.1 İmza tabanlı
• Z ararlı k o d la r iç inde b ilin en k a lıp la ra b akm ak ,
• A nti v irü s yaz ılım ı ku llanm ak .
2.5.2.2 Sağlama
• B oyut, tarih ler,
• D eğ iş ik lik le rin p eriy o d ik o larak kon tro lü .
2.5.2.3 Davranış tabanlı
• Z ararlı k o d la rd an b ilin en faa liy e tle re bakm ak ,
• İm za ağ erişim i o lup o lm ad ığ ın ı kon tro l etm ek,
• T eh likeli sistem çağ rıların ı b ek len m ed ik k u llan ım ları iç in kon tro l e tm ek (IA E A ,
2015c).
86
2 0 0 7 ’den beri, sa ld ırg an la r çok say ıd a son ku llan ıc ı ta ra fın d an k u llan ılan em n iy et ü rü n lerin i
sö m ü rm ek iç in hed efle rin i d eğ iştirm ek ted irler. B u anti v irü s v e k işise l g ü v en lik duvarı
y az ılım ların ı içe rm ek ted ir (IA E A , 2015 c). İyi b ir k o ru n m a için;
• T üm anti v irü s y az ılım la rın ız ın düzen li v e o to m atik o larak g ü n ce llen d iğ in d en em in
olun.
• G ü v en lik tav siy e leri y am ala r v e y ü k se ltm ele r iç in satıcı w eb siten izi düzen li
kon tro l edin.
K ö tücü l y az ılım la rın b u laşm asın ı en g e llem ek ad ın a a tılm ası g e rek ad ım lar şu şek ilde
say ılab ilm ekted ir:
• Z ararlı k od b u laşm asın ı en g e llem ek iç in anti v irü s ku llan ın ,
• A nti v irü s p ro g ram ın ız ın güncel tan ım ları k arşılad ığ ın d an em in olun,
• Ş üpheli dosyaları d u rd u ru n (ö rneğ in e-m ail gibi),
• A ç ık W in d o w s p ay laşım ların ı ku llanm ay ın ,
• İn te rn e t ta ray ıc ın ız ın em niyetin i e tk in leştirin ,
• D ah a güven li h a rek e t e tm ek iç in e-m ail a lıc ıların ı yap ıland ırın ,
• K işise l fa rk ın d a lık o luştu run ,
s A sla b ilin m ey en v e şüpheli ad resle rd en gelen m aille ri açm ayın ,
s Sadece b ilin en tan ın m ış site lerden in d irm e yapın ,
s M ail ek lerin i açm ad an ön ce taray ın ,
• K u llan ılm ay an tüm p o rtla rı(b ağ lan tı n o k ta la rın ı) k ap a tın (IA E A , 2015c).
2.5.3 Acil müdahale ve siber olaya karşılık verme
G ünüm üzdek i s ib e r sa ld ırıların d in am ik olm ası v e sürek li değ işen teh d itle r sebeb iy le söz
ko n u su n ü k leer te s is te b ü tü n ö n lem lerin a lınd ığ ı, iyi ta sa rlan m ış v e iyi yö n etild iğ i düşünü len
b ir s ib e r em n iy et p lan ın a sahip o lu n m asın a rağ m en y in e de sa ld ırıla rın o lm ası ih tim ali h e r
zam an vard ır. S iber em n iy et kazası ile ilg ili tan ım U A E A ’n ın re ferans d o k ü m an ın d a şu
şek ilde geçm ek ted ir;
B ilg isay a r taban lı ağ taban lı v ey a dijita l b ilg i s is tem lerine v ey a sistem in iş led iğ i, sak lad ığ ı,
ile ttiğ i b ilg ile r y a da em n iy et p o litik a v e p ro sed ü rle rin in y ak ın zam an d ak i risk leri, ih lal
ed ilm esi v ey a kabu l ed ileb ilir k u llan ım p o litika la rın ı teşk il eden b ilg ile rin b ü tü n lü k
87
erişilebilirlik ve gizliliğine fiilen veya potansiyel olarak zarar veren olaylara siber emniyet
kazası ya da olayı denilmektedir (IAEA, 2011a).
2016-2019 Ulusal Siber Güvenlik Stratejisi’ndeki tanıma göre;
Siber olay: Bilişim ve endüstriyel kontrol sistemlerinin veya bu sistemler tarafından işlenen
bilgi/verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesini veya teşebbüste
bulunulmasını ifade eder (UHDB, 2016).
UAEA’nın düzenlediği temel bir siber emniyetteki notlarda da siber emniyet olaylarına şu
şekilde örnekler verilmiştir:
• Sisteme veya verilere yetkisiz erişimi gerçekleştirilen için girişimler,
• İstenmeyen bozulma veya hizmetin reddi,
• Verilerin işlenmesi ve saklanması için sistemin yetkisiz kullanımı,
• Sahibinin bilgi talimat ve onayı olmadan sistem donanım ve yazılımını değiştirmek,
• İnsan hatasından kaynaklı yanlış tasarlanmış güvenlik duvarı,
• Ağ üzerinden kötücül yazılımın yayılmasıdır (IAEA, 2015b).
Böyle bir durumda olaya anında müdahale uygun şekilde saldırıya cevap verme ve tabi
sonrasında sistemin iyileştirilmesi iyi bir emniyet planı ve savunma sistemi kadar önemlidir.
Tesisin bir anlığına bile durması hem maddi hem de manevi açılardan büyük zararlar
doğurabilir. Ancak organizasyonun bütün çabalarına rağmen, siber emniyet olayı olabilir.
Bu emniyet alanının amacı potansiyel etkiyi etkili bir şekilde azaltmasını ve siber emniyette
etkili bir iletişimi yürütmesini sağlamaktır (IAEA, 2013a).
Bunu sağlarken de doküman ve rapor analizinde bir takım ipuçları yol gösterebilmektedir.
Bu ipuçları UAEA’nın henüz taslak olan bir dokümanında şu şekilde yer almaktadır:
• Siber emniyet olay yönetimi yeterli dış ve iç (içeriden) tehditleri ele almalıdır.
• Olayı karakterize etmek için açık bir sınıflandırma şeması olmalıdır.
• İyileştirme sürecini, düzeltici önlemler ve uygulamasını değerlendiriniz.
• Olay yönetimi ve süreklilik yönetimi arasındaki uyumu kontrol ediniz.
• Siber emniyet olay yönetimi ve genel tesis olay yönetimi arasındaki bağlantıyı kontrol
ediniz.
• Nasıl ve ne sıklıkta olay müdahale planları ve prosedürlerini tatbik ettiklerini
inceleyiniz.
88
• Tesis herhangi bir koordineli bir bilgisayar olay tatbikatına katılmalıdır (IAEA,
2013a).
Olası bu olaylara karşı müdahale ve yanıt verme ise bir geri besleme şeklindedir.
Şekil 8. Olay müdahale hayat döngüsü
2.5.3.1 Olay müdahale hayat döngüsü
İnsanlar süreç teknoloji ve tesisleri tehdit eden problemleri tespit etme ve giderme
yeteneğine emniyet olay müdahalesi denir (IAEA, 2015b). Emniyet olay müdahalesi hazırlık
aşaması:
• Emniyet olay müdahale yeteneğini organize etme,
• Olayı oluşturan, meydana getiren öğelerin tanımlanması,
• Olay müdahale politikası ve prosedürlerinin geliştirilmesi,
• Olay müdahale ekibinin belirlenmesi,
• Dokümantasyon ve raporlama gereksinimlerinin tanımlaması,
• Gerekli yazılım ve donanım araçları şeklindedir (IAEA, 2015b).
Bir olayın belirtileri aşağıdakilerden herhangi birini içerebilir:
• Alışılmadık sayıda olayların tam günlük dosyaları,
• Antivirüs veya IDS uyarıları,
• Engelli antivirüs yazılımı ve diğer güvenlik kontrolleri,
• Beklenmedik yama değişiklikleri,
• Sosyal mühendislik girişimleri,
• Yapılandırma ayarlarında beklenmedik değişiklikler,
• Beklenmedik sistem kapatma (IAEA, 2015b),
• Olağandışı yoğunlukta ağ trafiği,
89
• Disk alanı yetersiz veya önemli ölçüde azaltılmış boş disk alanı,
• Sıra dışı yüksek CPU kullanımı,
• Yeni kullanıcı hesaplarının oluşturulması,
• Yönetici düzeyinde hesapların gerçek kullanımı ya da teşebbüsü,
• Kullanıcı iş yerinde değilken kullanımda gözüken kullanıcı hesabı,
• Temizlenmiş günlük dosyaları (IAEA, 2015b).
Analiz hedefleri ise şu şekildedir;
• Saldırının doğası ve sebep olduğu hasarın büyüklüğünü anlamak,
S Olayın kapsamı boyutu ve etkisi.
• Hasarın büyümesini önlemek,
• Olaya dair kim, ne, ne zaman, nerede, niçin, nasıl sorularına cevap bulmak,
• Saldırı kökenini keşfetme arzusu,
• Saldırıyı izleme.
S Saldırı devam ederken gerçek zamanlı yapılabilir.
S Post-saldırı yapılabilir (IAEA, 2015b).
2.5.4 Önleme, yok etme, iyileştirme
2.5.4.1 Önleme
İstismarın yayılmasını ve daha fazla hasarı durdurmak için yapılan eylemler ve düşmanların
sistemin derinliklerine nüfuz etmesini engellemektir.
Hızlı ve etkili karar almayı kolaylaştırmak için önleme ölçüt ve prosedürleri açıkça
raporlanmış olmalıdır. Uygun strateji belirlemede kriterler şunlardır:
• Potansiyel zarar ve kaynak hırsızlığı,
• Kanıtların korunmasının gerekliliği,
• Servis kullanılabilirliği(ağ bağlantısı),
• Stratejiyi uygulamak için gerekli zaman ve kaynak,
• Stratejinin etkinliği(olayı bütünüyle veya kısmen içermesi),
• Çözüm süresi (örneğin acil durum geçici çözümün en kısa sürede kaldırılması)
(IAEA, 2015b).
Önleme stratejileri aşağıdaki gibidir:
90
• Kullanıcı Katılım yoluyla Engelleme (ör; manüel yapılır),
• Otomatik Algılama yoluyla engelleme (örnek anti-virüs programları),
• Devre Dışı Bırakma Hizmetleri aracılığıyla Engelleme (ör: kapatma hizmetleri/
fonksiyonları),
• Devre Dışı Bırakma Bağlantı aracılığıyla Engelleme (Ağ bağlantısını kaldırma)
(IAEA, 2015b).
2.5.4.2 Yok etme
Bir olay engellendikten sonra mevcut siber saldırıyı yok etmek için önce saldırıyı anlamak
gerekir. Sistem yeniden çevrimiçi olmadan problemin kökenine inmek ve çözmek gerekir.
Aksi takdirde yeniden tekrarlanabilir (IAEA, 2015b).
2.5.4.3 İyileştirme
• Tamamen operasyonel duruma dönmek,
• İyi bilinen yedeklerden sistem, yazılım ve ağları yedeklemek,
• Yeniden bağlantı kurmak,
• Benzer veya aynı tarzda saldırının tekrarını önlemek,
• Sistemi yeniden kurmak (IAEA, 2015b).
2.5.4.4 Olay sonrası müdahale
• Emniyet kontrolü ve emniyet programının etkinliğini belirleyin,
• Her olay için gelecekte kullanımı oldukça faydalı olabilecek bir izleme raporu
oluşturun,
• Gelecek olayları önlemek adına olay bilgisi toplayın (IAEA, 2015b).
2.5.4.5 Olay müdahale hedefleri
Olay müdahale hedefleri şu şekilde belirtilmiştir (IAEA, 2015b):
• Organize tepki sağlayın,
• Arıza süresini minimize edin,
• Ne olduğunu araştırın (adli),
• Gelecekteki saldırıya karşı savunma oluşturun,
• Kötü adamları yakalayın,
91
Ders çıkarın.
2.5.4.6 Olay müdahalesinin faydaları
• Uygun adımları sağlamak için sistematik tepki (karşılık verme müdahale),
• Bilgi hırsızlığı ve hizmetlerin kesintiye uğraması ve kayıpların en aza indirilmesi için
emniyet olaylarına hızlı ve verimli bir şekilde müdahale,
• Çıkarılan dersler - Daha iyi gelecek olaylar müdahalesi hazırlamak için olay sırasında
elde edilen bilgileri kullanma,
• Olay sırasında ortaya çıkabilecek hukuki konuları yürütme (IAEA, 2015b).
2.5.4.7 Olaylara müdahalede sorumluluklar
Bir siber olay gerçekleştiğinde olaya müdahale aşamasında devlete düşen sorumluluklar şu
şekildedir (IAEA, 2015b):
• Mevzuat hazırlama,
• Siber emniyetin müdahalesi için ulusal seviyede kaynak sağlanması,
• İstihbaratların uygun şekilde yayılması,
• Ulusal veya uluslararası vaka durumunda paydaşlar arasında koordinasyonun
sağlanması.
Siber emniyet olay müdahale yeteneğini geliştirmek için tehdit değerlendirme veya tasarıma
esas tehdidi kabul etme (IAEA, 2015b) yetkili makamın sorumluluğundadır.
2.5.5 Kritik altyapıların siber emniyeti kapsamında alınabilecek önlemler
“Kritik altyapı sistemlerinin kaşı karşıya olduğu en önemli güvenlik problemlerinden
bazıları: Artan bağlantı sayısı, karşılıklı bağımlılık, karmaşık yapı ve sistem
erişilebilirliğinin kesintisiz olma zorunluluğudur. Bu problemlerin etkilerinin nispeten
azaltılabilmesi amacıyla sistemlerin sürekli güncel kalması ve yeni tehditleri tanıyabilmeleri
mümkün kılınmalıdır. Temel amaç sistemlerin korunması yerine saldırılara karşı dirençli ve
kendi kendini iyileştirebilir olmasını sağlamak olmalıdır” (Yılmaz, 2017).
“Kritik altyapıların korunmasına yönelik; saldırıların öncesinde, esnasında ve sonrasında
olacak uygulanmak üzere 6 ana aşama belirlenmiştir. Aşağıda sırasıyla açıklanan ve Şekil-
10‘da sunulan aşamalar altyapı güvenliği ile ilgili kapsamlı çözümler üretilebilecek ana
çerçevenin oluşturulması açısından değerlidir” (Yılmaz, 2017).
92
Şekil 9. Kritik altyapı korunma aşamaları
“ A n a liz v e d e ğ e r le n d irm e : Kritik altyapı korunmasının en temel ve en önemli aşamasıdır.
Bu aşamada; sistem içerisindeki birim ve fonksiyonların kritiklik dereceleri, zafiyetleri,
karşılıklı bağlantıları, konfigürasyonları ve temel özellikleri ortaya konur. Ardından sistemin
zarar görmesi ya da çökmesi durumunda ortaya çıkacak etki belirlenir. Bunun için testler,
taramalar ve tatbikat yapılmaktadır.
Bu aşama aslında bir risk yönetim sürecidir. Öncelikle varlıkların ya da muhtemel hedeflerin
önemleri belirlenerek, karşı karşıya olunan risk belirlenmektedir. Risk yönetimi oluşabilecek
azami zarar üzerinden yapılmalıdır. Altyapı sağlayıcılarının, bilişim ve risk uzmanlarının ve
yönetim kademesinin katılımıyla bütünsel bir şekilde tanımlanacak riskler; bundan sonraki
aşamaların daha sıhhatli gerçekleşmesini sağlayacaktır” (Yılmaz, 2017).
İy i le ş tirm e : ” Bu aşama; kritik altyapı, birim ve fonksiyonlarında zarara neden olabilecek
bilinen zafiyetlerin herhangi bir tahribat meydana gelmeden önce önlemler alınmasını içerir.
Eğitim ve farkındalık seviyesinin arttırılmasına yönelik çalışmalar bu aşamanın konusudur”
(Yılmaz, 2017).
B e lir t i le r v e u y a r ı la r : “Sistem içerisindeki birim ve fonksiyonların izlenmesini,
oluşabilecek belirti ve uyarıların rapor edilmesini kapsayan aşamadır. Belirtiler altyapı
bünyesinde bir aksaklık olup olmayacağına dair ipuçları veren olaylardır ve her seviyede
gözlenebilirler.
A z a ltm a : Kritik birim ve fonksiyonların kaybı ya da zayıflaması durumunda oluşacak etkiyi
azaltma çalışmalarını içeren aşamadır. Saldırı öncesinde ve saldırı esnasında altyapı hizmet
sağlayıcıları, uzmanlar, askeri birimler ve kamuya ait savunma birimleri tarafından
yürütülürler” (Yılmaz, 2017).
93
“Siber saldırıların tamamen engellenmesi oldukça zordur ancak sonuçları azaltılabilir.
Bunun sağlanabilmesi için saldırı anında dahi süreçlerin devam ettirilebilmesi için iş
devamlılık planları ve acil durum planları hazırlanmalı ve denenmelidir” (Yılmaz, 2017).
“ S a ld ır ı s o n ra s ı te p k i: Olay sonrasında saldırı kaynağını saf dışı bırakmaya yönelik plan
ve faaliyetleri içerir” (Yılmaz, 2017).
Y e n id e n y a p ı la n d ırm a : “Son aşamadır. Zarar gören altyapıları normale döndürme
çalışmalarını içerir. En zorlu ancak en az hazır olunan süreçtir.
SCADA ve benzeri sistemlerinin siber emniyetinin sağlanmasına yönelik ABD Başkanlık
Kritik Altyapılar Koruma Kurulu tarafından hazırlanmış çalışma önemlidir. Şekil-11‘de
sunulan maddelerden ilk 11’i sistem güvenliğinin arttırılmasına yönelik atılacak somut
adımlara, sonraki maddeler ise etkin bir siber emniyet programı inşa edilmesi ve
yönetilmesine dair yapılması gerekenlere vurgu yapmaktadır” (Yılmaz, 2017).
Şekil 10. Kritik altyapılarda 21 siber emniyet adımı
Kalan Ağların Analizi ve
Güçlendirilmesi
Özel ProtokolTüm Ağların Gereksiz İşlemlerin Güvenliğinin
Tanımlanması Ağların İptali Azaltılması YetersizliğininKabulü
*------------------------------------------------------------------------------------------------------------------
GüvenlikYazılımlarınınUygulanması
Arka Kapıların Kapatılması
24 Saatlik Kontrol
Mekanizması
GüvenlikPerformans
TestleriFiziki Güvenlik
Testleri
________________________________________ ı-----------Acil Durum Ekiplerinin Kurulması
Yetki ve Sorumlulukların
Belirlenmesi | f g j > Risk Yönetim Süreci > Derinliğine
Savunma
ı-----------Siber Güvenlik İhtiyaçlarının Belirlenmesi
Etkin Yönetim Süreçleri Öz Denetim
SistemYedeklemesi /
Acil Durum Planları
Hedeflenen Siber Güvenlik Performansı
1-----------
Farkındalık ve Eğitimler
(Yılmaz, 2017)
“Sistem üzerindeki tüm ağların tanımlanması: modem bağlantıları, yerel ağlar, iş ortakları
ile bağlantılar, internet, kablosuz ağlar ve uydu bağlantıları ayrı ayrı değerlendirilmelidir.
94
1. Gereksiz ağ bağlantılarının iptal edilmesi: Siber emniyetin üst düzeyde
sağlanabilmesi için sistem mümkün olduğunca ağ bağlantılarından arındırılmalıdır.
2. Kalan ağların değerlendirilmesi ve güçlendirilmesi: Sızma testleri ve hassasiyet
analizleri ile kalan ağların durumu tespit edilmeli, tüm giriş noktaları güvenlik
duvarları, sızma tespit sistemleri(IDS) ve diğer gerekli güvenlik araçları ile
güçlendirilmelidir. Unutulmamalıdır ki, sistem en zayıf bağlantısı kadar güvenlikli
olacaktır.
3. Sistem içindeki gereksiz hizmetlerin devre dışı bırakılması: Doğrudan saldırıların
engellenmesi için hali hazırda ticari veya açık kaynak yazılımlarıyla tasarlanmış olan
sistemlerin risk değerlendirmesi yapılmamış, kullanılmayan veya arka planda
bekletilen hizmet bağlantıları kesilmelidir.
4. Sistemin korunması için özel protokollere güvenilmemesi: SCADA sistemlerinin
güvenliği çoğunlukla; saha araçları ve sunucularla iletişimin sağlanabilmesi
amacıyla özel olarak üretilen protokollerin sahip olduğu korunma seviyeleri ile
sağlanır. Ancak bu korunma seviyeleri çok az güvenli olabilir. Protokol temininde
arka kapıların, zafiyetlerin giderilmesi, sistemin güvenliğine özel önem verilmesi
şartı aranmalıdır.
5. Alt sistem ve cihazların güvenlik bileşenlerinin uygulanması: Üretici tarafından
yayınlanan tüm sistem, alt sistem, cihaz ve güvenlik duvarları gibi bileşenlere ait
yamalar/eklentiler ve/veya güncellemeler mutlaka yüklenmelidir.
6. Sistem üzerinde arka kapı olabilecek tüm araçların iyi şekilde kontrol edilmesi:
Sistem içerisinde bulunması gereken modemler, kablolu ve kablosuz ağlar güçlü
kimlik doğrulama sistemleri ile korunmalıdır.
7. İçeriden ve dışarıdan olabilecek sızma girişimlerini izlemeye yönelik 24 saat esasıyla
çalışacak kontrol mekanizmasının kurulması
8. Sistem içinde çalışan ve bağlantısı olan tüm ağ ve araçların güvenlik performans
denetimlerinin yapılması
9. Sisteme bağlı tüm uç/uzak birimlerin fiziki güvenlik inceleme ve
değerlendirilmelerinin yapılması: Uç birimlerden özellikle ağlara doğrudan
bağlantılı olanlar korunmasız bırakılmamalıdır.
10. Muhtemel saldırı senaryolarının tanımlama ve değerlendirmesini yapacak ekiplerin
oluşturulması: Sistem ve ağların zayıf noktalarını en iyi onu iyi seviyede kullananlar
95
bilebilir. Muhtemel saldırı senaryolarını ve yapılması gerekenleri belirlemek üzere
bir ekip oluşturulmalıdır.
11. Tüm yöneticilerin, sistem idarecilerinin ve kullanıcıların siber emniyet rollerinin,
yetki ve sorumluluklarının açık bir şekilde belirlenmesi
12. İlave korunma seviyeleri gerektiren hassas bilgi ve kritik fonksiyon uygulamalarının
belirlenmesi ve ağ mimarisinin hazırlanması
13. Özenli ve devamlı bir risk yönetim sürecinin kurulması: Teknolojinin hızlı değişimi
ve yeni tehditlerin ortaya çıkışı risk yönetim sürecinin etkinliğinin sağlanabilmesi
için sürekli tekrarlanmasını gerektirmektedir.
14. Derinliğine savunma (defense-in-depth) prensibine bağlı koruma stratejisinin hayata
geçirilmesi: Tüm seviyelerde ve alınan tüm teknik ve idari kararlarda hiçbir hataya
yer vermeksizin, tanımlanmış tehditleri azaltmaya yönelik hareket edilmelidir.
15. Siber emniyet ihtiyaçlarının açık bir şekilde tanımlanması: Tüm çalışanların siber
emniyet kapsamında görev tanımlamaları ve sorumlulukları ile hata sonucunda
karşılaşacakları sonuçlar belirlenmelidir. Kriz durumunda yapılması gerekenler ve
işlem süreçlerinde gerekli uyarılar tekrar edilmelidir.
16. Etkin yapılandırma (configuration) yönetim süreçlerinin kurulması: Yazılım ve
donanım yapılandırmalarında meydana gelen değişiklikler güvenlik yapısını da
etkileyeceğinden, tüm işlem ve kontrol süreçleri bu değişikliklere göre
yapılandırılmalıdır.
17. Öz-denetim anlayışını tesisi: Bireysel ve kurumsal anlamda geri besleme ve öz
denetim kültürünün tesis edilmesi siber emniyetin güçlendirilmesi için önem arz
etmektedir.
18. Sistem yedeklemesinin ve acil durum planlarının yapılması: Acil durum tatbikatı ve
sistem yedeklemeleri, personelin aşinalığını arttırmak ve yapılan hataların tekrar
edilmemesine yönelik tedbirler alabilmek maksadıyla periyodik olarak
gerçekleştirilmelidir.
19. Üst yönetim tarafından hedeflenen siber emniyet performansını belirlenmesi ve tüm
bireylerin performans kayıtlarının tutulması
20. Sistemin tasarımı, operasyonlar ve güvenliği ile ilgili hassas bilgilerin personel
tarafından kasıtsız da olsa açığa çıkarılmasının engellenmesine yönelik hareket
tarzlarının belirlenmesi ve eğitimlerin icra edilmesi” (Yılmaz, 2017).
96
“Kritik altyapılarda siber emniyetin tesisi güçlendirilmesi kapsamında icra edilecek
çalışmalar temelde 4 farklı yetenek üzerinde incelenebilir. Bunlar sırasıyla önleme,
caydırma, tespit etme ve cevap verebilme yetenekleridir.
Ö n le m e : Siber saldırıların önlenebilmesi için yapılabilecek temel uygulamalardan bazıları;
güvenlik denetimleri, sızma testleri, yetkilendirmelerin uygunluğu, altyapı bünyesindeki
cihazlara erişim imkânı bulunan tüm kullanıcılara yönelik farkındalık eğitimleri olarak
sıralanabilir. Ancak bu önlemler sistemlerin tespit edilebilecek olan ya da sonradan ortaya
çıkan zafiyetlerine yöneliktir. Özellikle gelişmiş siber saldırıların sıfır gün açıklıkları gibi
yazılım hatalarını kullandıkları düşünüldüğünde saldırıların engellenmesinin imkânsıza
yakın olduğu değerlendirilebilir. Dolayısıyla var olmayan bir zafiyetin giderilmesi mümkün
olmayacağından, saldırı sonucunda ortaya çıkabilecek zararın sınırlandırılması ya da
azaltılmaya çalışılması daha makul bir hedef olarak düşünülebilir.
C a y d ırm a : Muhtemel bir saldırganın; sistemin kendisini koruyacağı veya hasar durumunda
hızlıca düzeltebileceğini bilmesi saldırma ihtimalini azaltacaktır.
T e s p it e tm e : Siber saldırıların kaynaklarının tespit edilebilmesi oldukça zordur. Saldırgan
bulunmamak için bilgisayar teknolojilerinin pek çok üst düzey olanağını kullanacağından
tespit edebilecek ekiplerin de iyi eğitilmiş personelden oluşturulması gerekmektedir.
Gelişmiş siber saldırıların ortaya çıkışı ile birlikte saldırganların tespiti zorluğunun yanı sıra
saldırının kendisinin tespit edilebilme güçlüğü konuya yeni bir boyut kazandırmıştır. 2007
yılında faaliyetlerine başlayan Flame adlı yazılımın ancak 2012’de tespit edilebilmesi örnek
olarak verilebilir.
C e v a p v e re b ilm e : Kritik altyapı şirketlerinin kendi bünyelerinde kuracakları siber olaylara
müdahale ekipleri(SOME) ya da birçok ülke tarafından kurulan ulusal SOME’ler vasıtasıyla
yürütülebilecek kabiliyettir. İşbirliği içerisinde yürütülecek gayretler diğer yeteneklerin de
geliştirilmesine katkıda bulunabilecektir.
Kritik altyapıların korunmasına yönelik alınması gereken tedbirler hayati derecede
önemlidir. Sistemler içerisinde yer alan tüm unsurların üzerlerine düşen görevleri tam olarak
yaptıklarında güvenliğin sağlanabileceği unutulmamalıdır. Ancak tüm önlemlere rağmen
geniş çaplı bir saldırının gerçekleşmesi halinde bu kez acil müdahale sistemleri ve ekipleri
olumsuz etkilerin süratle atlatılabilmesi aşamasında kritik bir rol oynayacaklardır.
Kritik altyapı koruma programları yalnızca acil durum ve hasar durumunda verilecek
tepkilerle sınırlı değildir. Saldırıların engellenmesini ve etkilerinin azaltılarak normale
97
dönülmesini içeren geniş kapsamlı değerlendirilebilecek aşamaları mevcuttur”(Yılmaz,
2017).
98
3. ÜLKE UYGULAMALARI VE KARŞILAŞTIRMALARI
Tezin bu bölümünde genel olarak Almanya, ABD, Rusya, Güney Afrika, Çin, Fransa ve
Japonya‘mn yer aldığı 7 ülke ile ilgili nükleer tesislerdeki siber emniyete dair ulusal
yaklaşımlar incelenmiş ve ülkeler arası karşılaştırmalara yer verilmiştir. Ayrıca TET’in siber
emniyete entegresi konusunda bu ülkelerin dışında Polonya ve Romanya’ya ait bilgiler de
bu çalışmaya eklenmiştir. Türkiye’nin siber yaklaşımı da bu karşılaştırmalara dahil edilmiş
ve böylece hangi iyileştirmelerin yapılması gerektiği ortaya konmaya çalışılmıştır.
İlk olarak Güvenlik ve Emniyet Enstitüsü (IS S/Institute for Security and Safety) ve Nükleer
Tehdit Girişimi’nin (NTI/The Nuclear Threat Initiative) işbirliği ile gerçekleştirilen bir
araştırma projesinin bulgularından da faydalanılmış, nükleer tesislerdeki siber emniyete
ulusal yaklaşımların nasıl olduğu incelenmiştir. Söz konusu araştırma projesinde Almanya,
ABD, Rusya, Güney Afrika ve Çin’in yer aldığı 5 ülke ele alınmıştır.
Bazı ülkelerde (Almanya, ABD) siber emniyet programı tamamen kurumsallaşmış ve
bileşenlerinin çoğu, kısmen ya da tamamen geliştirilmiş ve uygulanmıştır, diğer ülkelerde
ise uygulamalar ya mevcut değildir ya da kurumsal destek görmemektedir.
Bu çalışma ulusal mevzuat, düzenleyici çerçeveler, düzenlemeler, lisanslama ve diğer ilgili
düzenleyici faaliyetler ile ilgili karşılaştırmalar üzerine odaklanmaktadır.
Bu çalışmada seçilen beş ülkedeki uzmanlara, yetkililere ve akademisyenlere yönelik
yapılan ve anket formlarının bir araya getirilmesiyle e-postayla, mülakatlarla ve kilit ulusal
uzmanlardan doğrudan geribildirim yoluyla toplanan anket verilerine yer verilmiştir.
Seçilen beş ülkenin hepsi de nükleer enerji santrallerine sahiptir. Bu çalışma, ABD (99
nükleer enerji santrali olan) gibi büyük altyapısı olan bir ülkeden Güney Afrika’ya kadar çok
geniş bir coğrafi, kültürel ve ekonomik dağılımı kapsaması açısından önemlidir.
Çin dışında, incelenen her ülkenin genel bir nükleer kanunu bulunmaktadır. Çin, nükleer
emniyeti kapsayacak ve şu an bakanlık düzenlemeleri vasıtasıyla nükleer tesisleri
düzenleyen nükleer ile ilgili iki adet kanun tasarısı hazırlamaktadır. Nükleer faaliyetler ile
ilgili kanunlar, UAEA tarafından sürekli teşvik edilen köklü, olgun bir uygulama
olduğundan bu genel kanunların çoğu en az 15 yıllıktır.
Özellikle nükleer emniyete yönelik bir mevzuat hazırlamak yeni bir uygulama olmasına
rağmen, ankete katılan beş ülkenin üçünde (Almanya, Rusya Federasyonu ve ABD) nükleer
99
emniyete dair yasamalı araçları olduğu ve bu araçların genellikle son 10 yılda ilan edildiği
görülmektedir. Diğer iki ülkeye bakıldığında ise Çin’in şu anda nükleer emniyetle ilgili
kanunlarını hazırlamakta olduğu ve Güney Afrika’nın ise mevzuatını, emniyetle ilgili bazı
referansların bulunduğu 1999 Genel Nükleer Kanun’unun ötesine geçirmediği
anlaşılmaktadır. Ayrıca bazı durumlarda emniyet ve güvenlik aynı mevzuatta ele alınmıştır.
Türkiye’ye bakıldığında ise nükleer kanun mevcuttur ancak 9/11/2007 tarihli ve 5710 sayılı
Nükleer Güç Santrallarının Kurulması ve İşletilmesi ile Enerji Satışına İlişkin Kanunda ve
9/7/1982 tarihli ve 2690 sayılı Türkiye Atom Enerjisi Kanununda nükleer emniyete dair
detaylı bölümlere yer verilmemiştir.
Tablo 7. Nükleer emniyet mevzuatının özgünlüğüÖzellikler Ülkeler
Nükleer kanun yok Çin
Nükleer emniyetle ile ilgili açık referanslar içermeyen veya hiç referansı
olmayan genel bir nükleer kanun
Güney Afrika, Türkiye
Nükleer emniyetle ilgili açık referansları veya detaylı bölümleri olan
genel bir nükleer kanun
Özellikle nükleer emniyete adanmış bir kanun ABD, Almanya, Rusya
Siber emniyetin önemi arttıkça, tüm ülkeler bu konuya eğilse de yalnızca Rusya ve
Almanya'nın nükleer kanunları ya da nükleer emniyet kanunları siber emniyeti ele
almaktadır. Türkiye de aynı şekilde siber emniyet konusuna önem vermekle birlikte nükleer
alanda kanun seviyesinde bir düzenleme bulunmamaktadır. Yalnızca yönetmelik
seviyesinde bilgi güvenliği konusunda kapsamı çok geniş olmayan bir atıf söz konusudur.
Tablo 8. Siber emniyet için nükleer mevzuat içerisindeki referanslarÖzellikler Ülkeler
Siber emniyet veya bilgi güvenliği veya gizliliğin korunmasından
bahsetmeyen nükleer veya nükleer emniyet kanunları
Güney Afrika, ABD, Türkiye
Siber emniyet veya bilgi güvenliği veya gizliliğin korunmasına
açıkça gönderme yapan nükleer veya nükleer emniyet kanunları
Siber emniyete özel bölümlerde yer veren nükleer veya nükleer
emniyet kanunları
Almanya, Rusya
100
Genel siber emniyet mevzuatı, nükleer ve kritik altyapı sektörlerinden bağımsız olarak
hazırlanır. Beş ülke arasında yalnızca ABD ve Çin'in siber emniyetle ilgili genel ulusal
mevzuatı bulunmamakla birlikte, Rusya ve Almanya, siber emniyet kanunlarında nükleer
emniyete açık bir şekilde yer vermektedir. Türkiye’de siber emniyete özgü bir kanun
bulunmamakla birlikte 5809 sayılı Elektronik Haberleşme Kanunu’na eklenen ilgili
maddeler ile siber emniyetteki sorumluluklara yer verilmiştir.
Tablo 9. Siber emniyet mevzuatı
Özellikler Ülkeler
Siber emniyetle ilgili hiçbir mevzuat mevcut değil ABD, Çin
Siber emniyetle ilgili mevzuat yürürlükte ancak kritik altyapılar veya
nükleer tesislerle ilgili açık bir hüküm yok
Güney Afrika, Türkiye
Siber emniyetle ilgili mevzuat yürürlükte ve her iki durumda da kritik
altyapı veya nükleer tesisler için özel bölümler veya bunların siber
emniyetini kapsayan ayrı kanunlar mevcuttur
Almanya, Rusya
Anket yapılan beş ülkenin tamamı, siber emniyete yönelik bir veya daha fazla ulusal politika
yayınlamıştır. Bu politikalardan hiçbiri nükleer tesislere ayrılmış değildir, ancak bazı
durumlarda özel olarak ulusal kritik altyapıların siber emniyetlerine (Almanya, ABD) ithaf
edilmiştir (ISS&NTI, 2015).
ISS ve NTI işbirliği ile gerçekleşen bu çalışmada yer almayan bir başka Avrupa ülkesi
Fransa’ya bakıldığında; Fransa siber savunma politikasında "Fransa’nın egemenlik
alanlarını muhafaza etmesi gerektiği, bunun için ulusun stratejik ve siyasi özerkliğini
koruması, nükleer caydırıcılık; balistik füzeler ve siber emniyetin önceliklerin arasında
olduğu belirtilmekte olup başka bir detaya yer verilmediği görülmektedir (NATO CCD
COE, 2017). Dolayısıyla Fransa’nın da çalışmada yer alan diğer beş ülke gibi siber emniyete
yönelik bir veya daha fazla ulusal politika yayınladığını söylemek yanlış olmayacaktır.
Türkiye’de ise Ulaştırma Denizcilik ve Habercilik Bakanlığı tarafından hazırlanan 2016
2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planını ulusal politikayı ortaya koymakla
birlikte nükleer tesisler için özel bir bölüm bulunmamaktadır.
101
Tablo 10. Siber emniyet politikalarıÖzellikler Ülkeler
Siber emniyetle ilgili ilgili ulusal bir politika yayınlanmamıştır. -
Siber emniyetle ilgili ulusal politika yayımlanmıştır ve nükleer
tesislerde kısmen uygulanabilir şekildedir.
ABD, Çin, Güney Afrika,
Almanya, Rusya, Fransa,
Türkiye
Siber emniyetle ilgili ulusal politika yayımlanmıştır ve nükleer
tesisler için özel bölümler veya bunları kapsayan ayrı politikalar
bulunmaktadır.
(ISS&NTI, 2015)
3.1 Düzenleyici Çerçeve
Çalışmanın bu bölümünde hangi yetkililerin bulunduğu, sahip olduğu yetkinlikler ve
birbirleriyle nasıl ilişkili olduğuna odaklanan, nükleer ve siber emniyetle ilgili düzenleyici
çerçeveler incelenmektedir.
Çalışma aynı zamanda bu yetkililere sunulan özel yeteneklere ve siber emniyet
programlarının özelliklerine de değinmiştir. Araştırılan tüm ülkeler, (nükleer olmayan) siber
emniyet için bazı düzenleyiciler kurmuştur. Türkiye’de (nükleer olmayan) siber emniyetten
sorumlu pek çok kuruluş bulunmakla birlikte “Siber emniyet çalışmaları ’’başlığı altında
detaylı olarak yer verilmiştir.
Tablo 11. Yetkili makam(siber/nükleer olmayan)Özellikler Ülkeler
Ülkede siber emniyeti düzenleyen yetkili bir makam
bulunmamaktadır
Siber emniyetle ilgili düzenleyici faaliyetler birden fazla
yetkili makama dağıtılmıştır.
Güney Afrika, ABD, Rusya, Türkiye
Tek yetkili bir makam ya da iyi tanımlanmış ve koordine
edilmiş düzenleyici makamlar mevcuttur.
Çin, Almanya
Nükleer alanda düzenleyici faaliyetlerden sorumlu, yetkili makamların varlığı tablodaki
gibidir:
102
Tablo 12. Yetkili makam (nükleer)Özellikler Ülkeler
Düzenleyici faaliyetler birden fazla yetkili makama
dağıtılmıştır.
Tek yetkili bir makam ya da iyi tanımlanmış ve koordine
edilmiş düzenleyici makamlar mevcuttur.
Güney Afrika, ABD, Rusya, Çin,
Almanya, Türkiye
Almanya, ABD, Güney Afrika’da da olduğu gibi Türkiye’de de nükleer tesislerde siber
emniyet nükleer düzenleyici kurum olan TAEK’in sorumluluğundadır.
Tablo 13. Nükleer tesislerde siber emniyet için yetkili makamÖzellikler Ülkeler
Nükleer tesislerde siber emniyeti açıkça düzenleyen yetkili
bir makam bulunmamaktadır.
Çin
Nükleer tesislerde siber emniyet, nükleer düzenleyici
kurumun sorumluluğundadır.
Almanya, ABD, Güney Afrika,
Türkiye
Nükleer tesislerde siber emniyet, siber düzenleyici
kurumun sorumluluğundadır.
Rusya
Türkiye’de TAEK bünyesinde siber emniyet ile ilgili özel bir birim olmamakla birlikte
nükleer tesislerin emniyetinden sorumlu ilgili birim bu konudaki düzenlemeleri de
gerçekleştirecektir.
Tablo 14. Nükleer tesislerde siber emniyet için ayrılmış birimin varlığıÖzellikler Ülkeler
Siber emniyeti düzenleyen hiçbir birim mevcut değil. Güney Afrika, Çin, Türkiye
Siber emniyet düzenlemeleri kendisine özel birimler tarafından
gerçekleştirilir.
Almanya, Rusya
Siber emniyet düzenlemeleri, kendi program, bütçe ve üst düzey
yönetimi olan bağımsız birimlerce gerçekleştirilmektedir.
ABD
Nükleer tesislerdeki siber emniyeti resmi olarak düzenleyen üç ülke (Almanya, Rusya,
ABD), bu düzenlemeleri tek bir organ aracılığı ile gerçekleştirmektedir. Bununla birlikte
Güney Afrika, Çin ve Türkiye’de henüz nükleer tesislerdeki siber emniyet resmi olarak
düzenlenmemiştir.
103
Tablo 15. Siber emniyet düzenlemelerinin nükleer tesislere uygulanması
Özellikler Ülkeler
Nükleer tesislerdeki siber emniyet resmi olarak düzenlenmemiştir. Güney Afrika, Çin, Türkiye
Nükleer tesislerdeki farklı sistemlerin siber emniyetleri farklı
yetkililer tarafından düzenlenmektedir.
Nükleer tesislerin siber emniyet düzenlemeleri tek bir organ altında
birleştirilmiştir.
Almanya, Rusya, ABD
Tablo 16. Nükleer tesislerin siber emniyet düzenlemesinde teknik desteğin varlığıÖzellikler Ülkeler
Siber emniyet için teknik destek yok Güney Afrika, Türkiye
Siber emniyet için geçici olarak teknik destek sağlanmaktadır. Çin
Siber emniyet için teknik destek bulunur ve resmi anlaşmalarla
düzenlenir.
Almanya, Rusya, ABD
3.2 Yönetmelikler ve Kılavuz
Çin ve Güney Afrika’da nükleer tesislerdeki siber emniyetle ilgili yazılı düzenleme
bulunmamaktadır. Siber emniyet düzenlemelerinin kapsama alanının nükleer sektörü de
içine almasına ilişkin olarak ülkeler arasında karşılaştırmalı bir analiz yapıldığında şu
sonuçlara ulaşılmaktadır:
• Almanya'nın düzenlemeleri siber tehdit analizini kapsamamaktadır.
• Yönetmelikte nükleer madde sayım ve kontrolünün siber emniyetini sağlayan tek
ülke Rusya'dır.
• Rusya'nın düzenlemeleri nükleer tedarik zincirini kapsamamaktadır.
Siber emniyet düzenlemelerini uygulamak için mekanizmalar üç ülkede (Rusya, ABD,
Almanya) ortaktır ve lisanslama, inceleme ve gözetim süreçleri içerir.
Siber emniyet hususlarının lisans sürecine açıkça dâhil edildiği üç ülkede Rusya, ABD ve
Almanya’dır (ISS&NTI, 2015).
104
3.3 TET Karşılaştırmaları ve Diğer Hususlar
Bu bölümde ISS ve NTI işbirliği ile gerçekleştirilen araştırma projesinin bulgularının yanı
sıra UAEA’nın TET konusunda gerçekleştirdiği toplantı bilgilerine ve UAEA
dokümanlarına yer verilmiştir. 9-12 Şubat 2016 tarihinde UAEA tarafından Viyana’da
gerçekleştirilen ve Türkiye tarafından da katılım sağlanan; “Nükleer Tesislerde Siber Tehdit
Değerlendirilmesinin Yürütülmesi” başlıklı toplantıdaki görüşlere göre, Almanya;
saldırganlar, olası taktikler, uygulama, doğrudan ve dolaylı saldırı, harmanlanmış saldırılar
vb. konulara yer verdiği ilk siber tasarıma esas tehdidini 2000 yılında oluşturmuştur.
Almanya, tesisler için TET, siber emniyet için TET, nükleer madde taşınması ile ilgili TET,
diğer radyoaktif maddelerin taşınması ile ilgili TET olmak üzere 4 ayrı TET’e sahiptir
(IAEA, 2016b). Tasarıma esas tehdidin uygulaması ile ilgili deneyimlerini aktaran bir başka
ülke Polonya da tıpkı Türkiye’deki gibi IPPAS çalışmaları devam etmekte olduğunu ancak
5. modül olan siber emniyet modülünün henüz programlarına dahil etmediklerini ifade
etmişlerdir (IAEA, 2016ç). Çin tarafından yapılan önerilerde fiziksel korumayla siber
emniyetin hem TET bazında hem de fiziksel koruma programı hazırlanırken, gerek politika
ve prosedür oluştururken gerek eğitimlerin alınmasında gerek organizasyonun
yürütülmesinde her aşamada entegrasyonun gerekliliği vurgulanmıştır. Ancak ayrı bir TET
hazırlanmasından bahsedilmemiştir (IAEA, 2016d). Söz alan bir başka ülke Romanya kendi
ülke uygulamalarından bahsederken; siber tasarıma esas tehdit adında ayrı bir taslak bir
doküman hazırladıklarını, CNCAN ve lisans sahiplerinin görüşlerinden aldıkları geri
beslemelerle bu dokümanın revize edileceğini belirtmişlerdir (IAEA, 2016c). Bu konuda en
detaylı çalışmaları yapan ülke ABD’de ise 2015 yılında, NRC tarafından, özellikle siber
emniyet olaylarına hitap eden reaktörlerin (10 CFR 73.77) yeni raporlama gereksinimlerinin
yayınladığını belirtmiştir. Bu gereksinimlere göre; siber emniyet olaylarının, etkinliğin
şiddetine bağlı olan belirli bir zaman çerçevesinde NRC’ye bildirilmesi gerektiği
belirtilmektedir. Örneğin; emniyetle ilgili veya güvenlik açısından önemli fonksiyonları,
güvenlik fonksiyonlarını veya acil durum hazırlık fonksiyonlarını olumsuz etkileyen bir
siber saldırının keşfinden sonra 1 saat içerisinde, dijital bilgisayar ve iletişim sistemlerine ve
ağlarına fiziksel veya elektronik olarak erişebilen personel tarafından başlatılan şüpheli veya
fiili bir siber saldırının keşfinden sonra 4 saat içerisinde NRC’ ye bildirilmesi gerekmektedir
(IAEA, 2016e).
105
Görüldüğü üzere uygulamalar ülkeden ülkeye farklılık göstermekte olup siber emniyet için
ayrı bir TET hazırlanması gerektiğini savunan ülkeler olduğu gibi ayrı bir TET olmaksızın
var olan TET’ e siber emniyetin entegre edilebileceğini savunan ülkeler de mevcuttur. Ortak
görüş siber emniyetin muhakkak fiziksel koruma programında yer alması gerektiği ve tehdit
değerlendirmesinin çok büyük titizlikle yürütülmesi gerektiğidir. Ülkeler genel başlıklara
yer vermekle birlikte gizlilik sebebiyle TET içeriklerinden bahsetmekten kaçınmışlardır.
Ayrıca ABD örneğine bakıldığında Türkiye’de yapılacak TET çalışmasında da benzer bir
uygulamaya gidilebileceği ve siber emniyet olaylarının derecelendirilmesi yapılarak belirli
saatler içerisinde gerekli makamlara bildirilmesi gerektiği görüşü ortaya çıkmaktadır.
Önceki bölümlerde de anlatıldığı üzere ISS ve NTI projesince incelenen beş ülkenin(ABD,
Çin, Güney Afrika, Almanya, Rusya, Fransa) üçünde nükleer tesisler için siber tehdit
değerlendirmeleri yapan (Almanya, ABD ve Güney Afrika) ulusal istihbarat tehdit bilgisi
hazırlanmaktadır ve söz konusu bilgiler doğrudan nükleer tesislere açık hale getirilmiştir.
Hem Güney Afrika hem de ABD, tesislere yönelik tehditleri iletmek için araç olarak TET
kullanmaktadır ancak ABD, bunu yapmak için ek araçlar (Danışmanlıklar) da
kullanmaktadır.
Tablo 17. Nükleer tesisler için siber tehdit değerlendirmesiÖzellikler Ülkeler
Siber tehdit değerlendirmesi yapılmadı. Çin, Türkiye, Polonya
Siber tehdit değerlendirmesi gerçekleştirildi. Rusya, Romanya
Siber tehdit değerlendirmesi yapılır, ulusal istihbarat girdisi alır
ve düzenli olarak paydaşlara iletilir.
Almanya, ABD, Güney Afrika
Söz konusu beş ülke de nükleer tesislere yönelik tehditlerle mücadelede TET'i
kullanmaktadırlar. Güney Afrika ve ABD’de siber, ana TET'in bütünleşmiş bir bileşenidir.
Almanya'da ayrı bir TET belgesi (Siber TET) bulunmaktadır. Rusya ve Çin'de ise TET ve
siber tehdit değerlendirmeleri farklı metodolojiler kullanılarak yapılmaktadır. Daha önce
bahsedildiği gibi; Polonya ve Türkiye’nin de ayrı bir Siber TET belgesi bulunmamaktadır.
Romanya ise siber TET adında ayrı bir taslak bir doküman hazırladıklarını, CNCAN ve
lisans sahiplerinin görüşlerinden aldıkları geri beslemelerle bu dokümanın revize edileceğini
belirtmişlerdir.
106
Tablo 18. Nükleer tesisler için siber TETÖzellikler Ülkeler
Siber tehditler TET veya benzeri belgelerde dikkate alınmaz. Çin, Türkiye, Polonya
Siber tehditler TET'e bütünleşmiş şekildedir. Güney Afrika, ABD
Siber tehditler TET'ten ayrı olarak TET olmayan biçimde
sunulmaktadır.
Rusya
Siber TET, TET için ayrı bir tamamlayıcı belgedir. Almanya, Romanya
Yine, Rusya, Almanya, ABD nükleer tesislerde siber emniyet konularına odaklanan düzenli
denetimler gerçekleştirmektedir. Kullanım metodu her durumda mevzuata uygunluğun
doğrulanmasını içerir, ancak Almanya ve ABD'de performansa dayalı değerlendirmeleri de
ekler. ABD ve Rusya, denetimlerini yılda birkaç kez yerine getirebilirken, aksine
Almanya'daki denetimlerin süresi (1-2 gün), ABD'dekinden (1 hafta) veya Rusya'dan (3 gün)
daha kısa olan denetimlerini üç yıllık bir döneme dayandırmaktadır. Hem Rusya'da hem de
ABD'de, tesislerin kendi kendilerini değerlendirmeleri istenmektedir.
Tablo 19. Nükleer tesislerin siber emniyet denetimleriÖzellikler Ülkeler
Yetkili makam siber emniyet denetimi yapmaz. Güney Afrika, Çin
Yetkili makam, siber emniyet üzerine reaktif / geçici denetimler yapar. -
Ayrıca siber emniyet denetimi olmamakla birlikte fiziksel koruma
denetimleri kapsamında siber emniyet denetimine de yer verilmektedir.
Türkiye
Yetkili makam siber emniyet konusunda düzenli denetimler yapar. Almanya, ABD, Rusya
(ISS&NTI, 2015)
Nükleer tedarik zincirini (ABD, Rusya ve Güney Afrika) üç ülke düzenlemektedir ancak
yalnızca Rusya ve ABD tedarik zincirinin bu siber bileşenini açık bir şekilde
düzenlemektedir.
Tüm ülkeler hassas dijital sistemlere erişen veya bunları yöneten üçüncü şahıslar üzerinde
birtakım denetim veya güvenilirlik kontrolleri yapar; Rusya durumunda denetimler
istihbarat / emniyet hizmetleri tarafından yerine getirilir ve yalnızca kişinin gizli bilgilere
erişimi olması durumunda olur, ancak kendi başına sistemler gizlilik açısından
sınıflandırılmış mı belli değildir. Buna ek olarak, Güney Afrika ve ABD hassas dijital
107
sistemlere erişen veya yöneten kişiler veya üçüncü şahıslar için siber emniyet konusunda
zorunlu eğitimler yürütürler.
Nükleer sektöre yönelik faaliyetlerin, ancak nükleer emniyetle ilgili faaliyetlerin siber
emniyeti ile ilgili yanıtlar, karşılaştırmalı bir yaklaşımı mümkün kılmak için çok parçalanmış
ancak kanunların ve inisiyatiflerin farklı vade seviyesinde yerinde olduğu açıktır (ISS&NTI,
2015).
Türkiye’de de nükleer tesislerde siber emniyet nükleer düzenleyici kurum olan TAEK’in
sorumluluğundadır. Yetkili makam kendi bünyesinde bir eğitim vermemekle birlikte
uluslararası eğitimlere katılım sağlanmaktadır.
Tablo 20. Siber emniyet eğitimiÖzellikler Ülkeler
Yetkili makam eğitim sağlamaz. Çin, Almanya, Güney Afrika, Türkiye
Yetkili makam, eğitim verir ABD, Rusya
Bu çalışmada yer almayan başka bir ülke Fransa, Ulusal İlerleme Raporuna göre, 24 ve 25
Mart 2014'te Lahey'de (Hollanda) düzenlenen üçüncü Nükleer Emniyet Zirvesi sırasında,
özellikle radyoaktif kaynakların emniyeti alanında bir takım taahhütlerde bulunmuştur. NSS
2014'ten bu yana Fransa bu taahhütleri yerine getirmek ve küresel nükleer emniyete önemli
bir katkı sağlamaya devam etmek için çok aktif olmuştur.
Fransa 2014 ve 2015 yıllarında UAEA'nın önemli teknik faaliyetlerinden biri olan siber
emniyetle ilgili gelecekteki öneri düzeyinde belgeleri geliştirmeye yönelik danışmanlık
toplantıları, siber emniyet değerlendirmesinin yürütülmesine ilişkin ilk eğitim kursunun
Fransa'da yapılması, nükleer tesislerde siber emniyet ile ilgili bir belgenin gözden
geçirilmesi, danışman toplantıları gibi eğitim kursları yoluyla katkıda bulundu (NSS, 2016).
Siber suçluların yeteneklerindeki büyüme ile kritik altyapılara düzenlenebilecek saldırılar
bile daha kolay ve daha ucuz hale gelmiştir. Örneğin, kullanıcıların arama yapmalarını ve
İnternet'e bağlı SCADA sistemlerini bulmalarını sağlayan arama motoru Shodan, popülerlik
kazanmıştır. Shodan'ı kullanarak yapılan bir araştırmayla Fransa'daki internete bağlı nükleer
santrallerin hepsi ve özellikle, Shodan'ın coğrafi konumlandırma kapasitesi ile belirlenen
SCADA sistemlerinin haritadaki yeri bulunabilmektedir. Nükleer tesislerin yeri gibi bilinen
gerçeklerle, Fransa'da, iki veri kümesini ilişkilendirmek ve tanımlanan SCADA
108
sistemlerinden hangisinin nükleer tesislerde olduğunu bulmak tamamen mümkündür.
Shodan'a çok benzer başka bir arama motoru, ERIPP (the Every Routable IP Project), kritik
altyapı üzerine yoğunlaşmaktadır. Kullanıcı bir nükleer tesisteki sistemlerin internete bağlı
olduğunu tespit ettikten sonra varsayılan şifrelere erişim avantajı sağlayabilmektedir.
Honeywell ve Siemens gibi bazı fizikse tarafından kullanılan şifreler, bilgisayar hacker
internet sitelerinde yaygın şekilde paylaşılmaktadır ve bazı nükleer tesisler ekipmanındaki
varsayılan şifreleri değiştirmemektedir. Şirket X için varsayılan şifre her zaman söz gelimi
“ 1234” ise bilgisayar hackerları nükleer tesislerin yöneticilerinin beklediğinden daha kolay
erişim kazanabilmektedir (Chatham House, 2015), (Darkreading, 2017).
Ülke uygulamalarına dair diğer bir çalışma ise; 2016 NTI Nükleer Güvenlik İndeksidir.
Ekonomist İstihbarat Birimi (EIU) tarafından geliştirilen ve saygın bir uluslararası nükleer
güvenlik uzmanı paneli tarafından hazırlanan Nükleer Tehdit İnisiyatifi (NTI) Nükleer
Emniyet İndeksi, dünyanın en ölümcül materyalleri olan yüksek oranda zenginleştirilmiş
uranyum ve plütonyumdan oluşan emniyeti değerlendirmektedir. Türünün ilk örneği olan
indeks, hükümetleri hareket ettirmeye ve malzemelerinin emniyetini sağlamaya teşvik
edecek şekilde tasarlanmıştır.
NTI İndeksi, 24 ülkede, nükleer emniyetini şekillendiren politikalar, eylemler ve diğer
koşulları sağlayan geniş bir çerçevede bir kilogram veya daha fazla silahlar tarafından
kullanılabilen nükleer madde ile nükleer madde emniyet koşullarını değerlendirir. Bir
kilogramdan daha az silahlarda kullanılabilen nükleer madde içeren veya hiç bulunmayan
152 ülke, çerçevenin bir alt kümesinde değerlendirilmiştir. Bu "hırsızlık sıralaması", NTI
İndeksinin 2012 ve 2014 sürümlerine dahil edilmiştir.
2016 NTI İndeksi, ilk kez, yeni bir "sabotaj sıralamasında" üçüncü bir grup ülkeyi de dahil
etmektedir. Bir nükleer tesise karşı sabotaj yapılması, Fukuşima ile aynı veya daha büyük
ölçekte bir kazaya ve sonuç olarak önemli bir radyasyon salınıma neden olabilir. Bu
değerlendirme, nükleer tesislerin sabotaja karşı korunması açısından 45 ülkenin nükleer
emniyet koşullarını gözden geçirmektedir. Önemli olan, bu yeni değerlendirme, bir
kilogramdan daha az veya silahlarda kullanılabilen nükleer maddeler içermeyen, ancak
nükleer enerji santralleri veya araştırma reaktörleri bulunan devletleri de sıralamaya dahil
ederek emniyet koşullarına ilk kez yeni bir bakış açısı getirmektedir (NTI, 2017b).
109
Siber tehditlerin artması sebebiyle NTI İndeks çalışmasında da siber emniyete yer vermiş,
hem hırsızlık hem de sabotaj sıralamasında yer alan yeni siber emniyet göstergesi şu dört
soruyu sormaktadır:
• Yerel kanunlar, yönetmelikler veya lisanslama gereksinimleri nükleer tesislerin siber
saldırılardan korunması ile ilgili hükümleri içeriyor mu?
• Yerel kanunlar, yönetmelikler veya lisanslama gereksinimleri kritik dijital varlıkların
siber saldırılardan korunması ile ilgili hükümleri içeriyor mu?
• Devlet siber tehditleri nükleer tesisler için tasarıma esas tehdit hazırlanmasında veya
tehdit değerlendirmesinde dikkate alıyor mu?
• Düzenleyici kurum nükleer tesislerde siber emniyet değerlendirmelerini ve testlerini
içeren performansa dayalı bir sistem gerektiriyor mu?
NTI indeksi hırsızlık sıralamasında iki veri kümesi bulunmaktadır: bir kilogram veya daha
fazla silahlar tarafından kullanılabilen nükleer madde bulunan ülkeler ve bir kilogramdan
daha az, silahlarda kullanabilen nükleer madde bulunan veya hiç kullanılmayan ülkeler.
Tüm ülkeler 0-100 puan alır, burada NTI indeksi kriterleriyle ölçülen 0 ve 100 en düşük
veya en yüksek puanı temsil eder (NTI, 2017c).
NTI İndeks hırsızlık sıralamasında kategori ve ülke seçerek karşılaştırma yapmaya imkan
tanımaktadır. NTI indeks verilerinde Türkiye’de silahlar tarafından kullanılabilen nükleer
malzemeler olmadığından 2. kategori ülkeleri arasında değerlendirilmiş ve bu sebeple sistem
Türkiye ile bu dört ülke arasında karşılaştırma yapmaya izin vermemektedir. Bu
karşılaştırmaya göre siber emniyetin, seçilen dört ülkede Rusya, ABD ve Fransa’daki skorlar
eşittir. Japonya 2. sıradadır. Ayrıca 2014 yılı verileri ile karşılaştırma yapıldığında
Rusya’daki iyileştirme 100 puanla birinci sırada, Fransa 25 puanla ikinci sıradadır. Diğer iki
ülkede ise geçen bu üç yıl süresinde herhangi bir değişim görülmemektedir. Bu sistem ayrıca
ülkelere simülasyon özelliği sayesinde verilen kriterlere göre alınan skorlarda iyileştirmeler
yapıldığı takdirde kendilerinde ne kadar gelişme gösterebilecekleri ve hatta diğer bölgelerle
karşılaştırma yaparak grafiklerle durumunu açıkça gözler önüne sermesi bakımından
önemlidir. Ancak siber emniyet kriteri ile ilgili Türkiye’ye herhangi bir değer
atanmadığından tez de bu simülasyon sonuçlarına yer verilmemiştir.
110
Tablo 21 .Ülkeler bazında NTI indekste geçen hırsızlık verilerinin karşılaştırılması
| FranceHas W capons- Usablc Nuclear Materials
RANK
= 8
SCORE CHANGE
81 + 1
Security and Control Measures
7 88 +3
On-site Physical P rotection
=1 100 -
Control and Accounting Procedures
=1 100 -
Insider Threat Prevention =13 56 -
Physical S ecurity During Transport
=1 100 -
Response Capabilities =0 86 -
Cybersecurity =1 100 +25
RussiaA * Has Weapons-
Usable Nuclear Materials
HANK
18SCORE
6 4CHANGt
+ 2
ecu rity and Control leasures
12
On-site Physical P rotection
=13
Control and A ccounting Procedures
=1
Insider Threat Prevention =4
Physical S ecurity D uring Transport
=12
Response Capabilities =9
Cybersecurity =1
SÛ +10
100
78
50
86 -
100 +100
M= United StatesHas W eapons- RANK SCORE CHANGEUsable Nuclear Materials 10 8 0 +3
scurity and Control leasures
2 98 -
On-site Physical P rotection
=1 too -
Control and A ccounting Procedures
=1 100 -
Insider Threat Prevention 3 89 -
Physical Security D uring Transport ='
100 -
Response Capabilities =1 100 -
Cybersecurity =1 100 -
• Japan^ Has W eapons-U sable RANK SCORE CHANGE
N uclear Materials 13 78 + 4
Security and Control Measures
=9 82 -
On-site Physical P rotection =1 1O0 -
C ontrol and Accounting Procedures
=1 1O0 -
Insider Threat Prevention = 6 67 -
Physical Security During Transport
=12 SO -
Response Capabilities =1 100 -
C yber security =10 75 -
(NTI, 2017ç)
A y rıca k arş ılaş tırm alı o larak değil ü lk e b az ın d a b ir d eğ erlen d irm e y ap ıld ığ ın d a “E m n iy e t v e
K on tro l Ö n lem leri” b ö lü m ü n d e T ü rk iy e ’ye y e r v e rilm em iş d o lay ıs ıy la siber em niyet ile
ilg ili herhang i b ir skor b e lirtilm em iştir.
111
Tablo 22.Türkiye’ye ait NTI indekste geçen hırsızlıkla ilgili veriler
NTI İndeksi sabotaj sıralamasında, aşağıdaki tesislerden bir ya da daha fazlasına sahip
ülkeler yer almaktadır:
• Son 5 yıl içerisinde kapatılan nükleer güç reaktörleri veya hala işletilen nükleer güç
reaktörleri
• İki megawatt veya daha büyük kapasiteli araştırma reaktörleri
• Yeniden işleme tesisleri veya kullanılmış yakıt havuzları(ancak yakıt son beş yıl
içinde boşaltılmışsa ve kullanımdaki bir reaktör ile ilişkilendirilmemişse)
Türkiye ile ilgili veriler bu sıralamada yer almamaktadır. Ülke genelindeki skorlara göz
atıldığında eşittir işareti (=), ülkeler arasında bir bağ oluşturduğunu gösterir. Tüm ülkeler 0
100 puan alır, burada NTI İndeks kriterleriyle ölçülen 0 ve 100 en düşük veya en yüksek
puanı temsil eder. Seçilen dört ülkeye dair sabotaj verileri şu şekildedir:
112
Tablo 23. Ülkeler bazında NTI indekste geçen sabotaj verilerinin karşılaştırılması
(NTI, 2017d)
S ıra lam alara b ak ıld ığ ın d a b u d ö rt ü lk e a rasın d a siber em n iy ette en iyi puan ı a larak A B D
R u sy a v e F ran sa b e rab e r b irin c iliğ i göğüslem ek ted ir.. G e lişm ek te o lan küresel teh d itle r göz
önüne alınd ığ ında , b u y ılk i N T I İndeksi, ü lk e le rin n ü k leer te s is le rin i s ib er teh d itle re karşı
nasıl k o ru d u ğ u n u ilk defa d eğerlend irm ek ted ir.
2016 N T I İndeksi, s iber em n iy etle ilg ili b ir dizi tem el göstergey i içe rm ek ted ir v e sonuçlar
bazı ü lk e le rin n ü k leer te s is le rin sib er sa ld ırıdan k o runm ası iç in ad ım lar a tm asın a rağm en ,
etkili s iber em niyet sağ lam ak iç in hen ü z k an u n v e y ö n e tm elik le re sah ip o lm ad ık la rın ı
gösterm ek ted ir. S ilah ta k u llan ab ilir n ü k lee r m ad d e le re sahip 24 ü lk ed en 9 'u sib er em niyet
göstergesi iç in en y ü k sek puan ı (7 p uan) alm ıştır. N ü k lee r te s is le re sah ip ancak silah ta
k u llan ılab ilecek n ü k leer m ad d e k u llan m ay an 23 ü lk en in 4 'ü sib er em n iy et göstergesi iç in en
y ü k sek p u an ı(7 ) a lm ıştır; 13 ü lk e n ü k leer enerji ku llan ım ın ı g en iş le ten baz ıla rı da dahil
o lm ak ü ze re 0 pu an alm ıştır. Son iki y ılda, silah ta k u llan ılab ilen n ü k leer m aterya lle ri o lan 8
ü lk e n ü k leer tesisle rdek i s iber em niyetle ilg ili k an u n v e y ö n e tm elik lerin i günce lleştirm iştir .
2012-2 0 1 4 d önem inde 9 ü lk e b en ze r g ü n ce llem e le r yapm ıştır. A n cak N T I in d ek sin d e bu
v erile rin hang i ü lk e le re a it o lduğu b e lirtilm em iş tir (N T I, 2 0 1 7 e).
113
4. TEZİN TAEK’E KATKISIN ü k lee r te s is le re ait s iber em niyetin a lty ap ısın ın nasıl o luştu ru lacağ ı v e geliş tirileceğ i ile
ilg ili o lan b u tez, T A E K ’e b ir tak ım ö n erile r getirm ek ted ir. T ez k ap sam ın d a düşü n ü ld ü ğ ü n d e
y ap ılacak o lan n ü k leer em niyetle ilg ili y ö n e tm e lik v e y ö n erg e sev iyesindek i d ü zen lem elerin
b ir sonrak i alt b aş lık la r b ak ım ın d an d eğ erlen d irilm esi gerekm ek ted ir. B ahsi geçen
ye tk ilen d irilen k işi; n ü k lee r em n iy et v ey a n ü k leer g ü v en lik ile ilg ili o la rak K u ru m d an yetki
a lınm asın ı g e rek tiren h erhang i b ir faaliyeti y e rin e g e tirm ek ü ze re T A E K tara fın d an
ye tk ilen d irilm iş g erçek v ey a tüzel k işiy i, K u ru m ise T A E K ’i ifad e etm ekted ir.
4.1 Yönetmeliğe Esas Teşkil Edecek Mevzuat Çalışması
B u b ö lü m d e y e r a lan y ö n e tm elik ça lışm asın ın am acı, T ü rk iye C um huriyeti sın ırları iç inde
barışç ıl n ü k lee r faa liy e tle rd e k u llan ılan n ü k leer m ad d e le r ile n ü k leer te s is le rin sabotaj ve
h ırs ız lığ a karşı ko ru n m ası iç in alınm ası g e rek en s ib er em n iy e t ö n lem lerin e ilişk in esasları
d üzen lem ek tir. N ü k lee r T esisle rin v e N ü k lee r M ad d e le rin F iz ikse l K orunm ası
Y ö n e tm e liğ i’n in 15 .m addesinde b ilg i em n iy etin e ilişk in h u su s la r aşağ ıdak i g ib idir.
M A D D E 15 - (1) N ü k lee r te s is le rin v e n ü k lee r m ad d e le rin fiz ik se l k o runm ası ile ilg ili b ilg i
em niyetin in sağ lan m asın d an y e tk ilen d irilen k işi so rum ludur.
(2) F iz ikse l k o ru m a p rog ram ları “ Ç ok G iz li” g iz lilik derecesi ile K u ru m a su n u lu r ve
saklanır. N ü k lee r te s is le rin v e n ü k leer m ad d e le rin fiz ik se l ko ru n m asın ı teh lik ey e a tacak özel
v e detay lı b ilg ile re y e tk is iz erişim i v e b u b ilg ile rin aç ık lanm asın ı en g e lley ecek uygun
k o ru m a ön lem leri alınır.
(3) F iz iksel k o ru m a sistem ine ait hassas b ilg ile re erişim , b ilm esi gereken p ren sib in e
u y g u n o larak sın ırland ırılır. S abo taja v ey a n ü k lee r m ad d e h ırs ız lığ ın a im k ân v ereb ilecek
b ilg ile r idari o la rak y ü k sek derecede g iz lilik le korunur.
(4) F iz ikse l k o ru m a sistem in d e y e r alan b ü tü n b ilg isayarla r, e lek tro n ik ile tiş im
araçları, b ilg isay a r p ro g ram la rı v e b ilg isay a r k ü tük leri kö tü n iyetli am aç la ra karşı korunur.
B u b ilg isay arla ra in te rn e t bağ lan tısı y ap ılam az (R esm i G azete, 2012).
B u tez ile önerilen , k ap sam ın ın gen iş o lm ası sebebiyle , n ü k lee r te s is le re y ö n e lik siber
em niyet ile ilg ili yen i b ir y ö n e tm eliğ in h az ırlan m asıd ır. Y eni y ö n etm eliğ e ise N ü k lee r
114
Tesislerin ve Nükleer Maddelerin Fiziksel Korunması Yönetmeliğindeki 15.Maddenin
aynen eklenmesidir. Yeni yönetmelikte yer alması gerektiği değerlendirilen diğer maddeler
aşağıdaki gibidir:
• Nükleer tesislerin, nükleer maddelerin ve bu varlıklarla ilgili verilerin işlendiği ve
saklandığı tüm dijital sistemlerin siber emniyetinin sağlanmasından yetkilendirilen
kişi sorumludur. Kurum siber emniyet ile ilgili denetimleri yapar.
• Kurum, siber emniyet sistemine ilişkin düzenleyici çerçeveyi belirler, nükleer
tesislerin bu çerçevedeki gereksinimlerle uyumunu denetler.
• Yetkilendirilen kişi, tesise ait siber emniyet planını hazırlamakla ve hazırladığı planı
yürütmekle yükümlüdür. Yetkilendirilen kişi nükleer tesislerin siber saldırılardan
korunması ve siber emniyetle ilgili alınacak önlemleri ve acil durum eylem planını da
içeren siber emniyet planı “Çok Gizli” gizlilik derecesi ile Kurumun onayına sunar.
Siber Emniyet Planı Kurum tarafından onaylanmadan uygulanmaz.
• Yetkilendirilen kişi nükleer tesislere yönelik bir saldırı durumunda nasıl bir yol
izleneceği ile ilgili düzenli tatbikat gerçekleştirmekle yükümlüdür.
• Yetkilendirilen kişi Kurumun belirlediği koruyucu siber emniyet tedbirlerini almakla
yükümlüdür.
• Nükleer tesislere veya nükleer maddelere yönelik bir siber saldırı tehdidi karşısında
gerekli uyarıları doğrudan USOM tarafından veya Sektörel SOME aracılığı ile alan
yetkilendirilen kişi, tehdidi değerlendirmek ve gerekli tedbirleri almakla yükümlüdür.
• Nükleer tesislere veya nükleer maddelere yönelik bir siber saldırı olması halinde
yetkilendirilen kişi olayı Kuruma bildirir. Kurum bağlı bulunduğu Sektörel SOME
aracılığı ile veya doğrudan USOM’a olayı bildirir.
• Kurum nükleer tesislere veya nükleer maddelere yönelik bir siber saldırı tehdidi
karşısında yetkilendirilen kişinin aldığı tedbirleri denetler.
• Kurum olası iç tehditlere karşı personel alımında gerekli tedbirleri alır. Sabotaj
ihtimaline karşı sistemdeki mevcut erişimi ve yetkileri denetler.
• Yetkilendirilen kişi, nükleer tesislere yönelik düzenli risk değerlendirmesi
çalışmalarını USOM ile koordineli olarak gerçekleştirir ve gerekirse dışarıdan uzman
desteği alır.
• Yetkilendirilen kişi siber emniyete yönelik iç denetimleri gerçekleştirir ve Kuruma iç
denetim sonucunu raporlar.115
• Yetkilendirilen kişi;
a) Gerçekleştirdiği denetimlerde tesisin bilgi varlıklarının tanımlanıp tanımlanmadığını
denetler,
b) Yasal risk analizlerinin gerçekleştirilip gerçekleştirilmediğini göz önünde
bulundurur,
c) Siber emniyet olaylarının anlık analizi ve uygun raporlanıp raporlanmadığını
denetler ve gerekli tedbirleri alır.
4.2 TAEK’in Alması Gereken Kurum İçi Tedbirler
Bu bölümde nükleer tesislerde siber emniyetin sağlanmasına ilişkin hazırlanacak yönergeye
esas teşkil etmesi bakımından düzenleyici kurum olan TAEK tarafından alınması gereken
kurum içi tedbirlere yer verilmiştir. Bu yönergenin amacı nükleer tesislerde siber emniyetin
sağlanması ve olası siber saldırıların önlenmesinden sorumlu Kurum personeline izlemesi
gereken aşamalarla ilgili yol göstermektir. Bu yönerge çalışması 4.2.Yönetmeliğe Esas
Teşkil Edecek Mevzuat Çalışması başlığı altında bir önceki bölümde verilen yönetmelik
çalışmasında önerilen hükümlere dayanılarak hazırlanmıştır.
• Kurum siber emniyet politikası oluşturur ve gerekli denetimleri gerçekleştirir.
• Kurum bilgisayar sistemlerinin korunmasıyla ilgili düzenleyici gereksinimleri sürekli
olarak yeniler ve tesisin bu gereksinimlere uyumunu takip eder.
• Kurum siber emniyet çalışanları ve takımların rollerini2, belirler
• Kurum koruyucu siber emniyet tedbirlerini belirler ve gerekli denetimleri
gerçekleştirir.
• Kurum USOM tarafından listelenen zararlı yazılımlarla ilgili gerekli tedbirleri alır
2 Bölüm 2.1.7.1 de Yetkiler ve sorumluluklar başlığı altında siber emniyet çalışanları ve takımlara düşen roller detaylı olarak verilmiştir. Yönerge de bu bilgiler ışığında hazırlanabilir.
116
SONUÇ
B ilg i v e ile tiş im tek n o lo jile rin d ek i ilerlem eler; in terne t, te lek o m ü n ik asy o n ağ ları ve
b ilg isay a r s is tem lerin i de iç in e a lan siber uzayı o rtay a çıkm ıştır. İn te rn e tin a rtık h e r a landa
olm ası ile d ev le tle r de ile tiş im v e b ilg i a lan ındak i b u değ işim i göz önünde
bu lu n d u rm ak tad ırla r. B u tek n o lo ji y aşam ın h e r a lan ın d a b ü y ü k k o lay lık la r v e im k ân la r
sunarken , d iğ er yan d an da yeni teh d itle rin o rtay a ç ık m asın a sebep o lm uştu r. Ö zellik le de
k ritik a lty ap ıla r ü ze rin d ek i s ib er teh d itle rin v e b u n a karşı sav u n m an ın önem i b ir k a t daha
artm ıştır. Ü ste lik m ev cu t teh d itle r h e r geçen g ün daha k arm aşık ha le g e lm ek te v e çözü lm esi
iç in m u tlak a u zm an lık g erek tirm ek ted ir. B u u zm an lık ise sib er em n iy et g e rek sin im lerin i gün
y ü zü n e ç ıkarm ıştır.
B u tez in am acı, n ü k lee r te s is le rd ek i b ilg isay a r v e d ijita l sis tem lerin sabotaj, veri h ırsız lığ ı
vb. kö tü am açlı faa liy e tle re karşı k o ru n m asın ı sağ lam aktır. B u am aç la u lusla rarası
ça lışm alar incelenm iş, u lusa l m ev zu a tta o lab ilecek iy ile ş tirm e le r b e lirtilm iştir. S iber
em niyetin sağ lan m asın d a göz ö nünde b u lu n d u ru lm ası g e rek en h u su s la ra v e so ru m lu lu k la ra
değ in ilm iştir. A y rıca tez in d iğ er b ir am acı, o lası s iber sald ırı teh d itle rin i incelem ek ,
u lusla rarası yaşan m ış ö rn ek v ak a la rla k o n u n u n önem in e değ inm ek , s iber savunm a
sistem in in ge liş tirilm esiy le ilg ili iy ileştiric i ö n erile rd e b u lu n m ak tır . B u sebep le ilg ili tezd e
d iğer ü lk e u y g u lam ala rın a v e u zm an g ö rü şle rin e y e r v erilm iş v e T ü rk iy e ’n in n ü k leer
em niyet a lty ap ıs ın ın g ü çlen d irilm esin e katk ı sağ lanm aya çalışılm ıştır.
N ü k lee r te s is le rd e sib er em n iy et k o n u lu b aş lık a ltın d a siber em niyetin önem i v e d iğer
a lan la rla ilişk isi, n ü k lee r te s is le r iç in özel durum lar, m etodo lo ji, m ev zu a ta ilişk in göz
ö nünde b u lu n d u ru lacak hususlar, y ö n etim sistem leri, ö rgü tsel k onu lar, s ib er em niyet
uygu lam ası, tehd itle r, zay ıflık la r v e risk yönetim i k onu ları tek tek in ce len m iştir. A yrıca
düzen ley ic i den e tim v e iç d en e tim lerin nasıl gerçek leştirileceğ i h ususları ele alınm ıştır.
U A E A ’n ın öneri v e tav siy e leri b aş ta o lm ak ü ze re in ce len en u lu sla rarası m ev zu a t
d eğ e rlen d irile rek e lde ed ilen b u lg u la r sonucu , n ü k leer te s is le rd e siber em n iy etin iş ley işin in
nasıl o lm ası gerek tiğ i an la tılm ıştır
D ü n y ad ak i s iber tehd itle r, yaşan m ış o lay lar y o lu y la g en e ld en öze le v erilm iştir . Sadece
n ü k leer tesisle rdek i sa ld ırıla rla değil, dev le tle rarası savaşlardan , d o ğ alg az b o ru h a ttın ın
patlam asına, b ü y ü k çaplı e lek trik kesin tile rin d en , A T M ’lerin k u llan ım dışı ka lm asına , u çak
seferlerin in ip ta lin e v a rın cay a k ad a r p ek çok ö rn ek le dü n y an ın nasıl b ü y ü k b ir teh lik e
117
a ltında o lduğu g ö z le r önüne serilm eye ça lış ılm ıştır. T ü rk iy e ’n in de a rasın d a b u lu n d u ğ u p ek
çok ü lk e b u teh lik e leri v e siber teh d itle ri N o rse S iber T eh d it H aritası gibi p ek çok örneği
b u lu n an w eb siteleri aracılığ ı ile canlı o la rak iz lem ekted ir. N ü k lee r sis tem lerdek i d ijital
v a rlık la rla ilg ili b ilg i top lam ay a , te s is in g ü v en liğ in in tak ip ed ild iğ i b ilg isay arla rı bozm aya,
devre dışı b ırak m ay a y ö n e lik siber sa ld ırıla r düzen leneb ileceğ i gibi, h ed e flen en tes is le re
fiz iksel erişim am açlı da eş zam an lı h ib rit sa ld ır ılan la r da dü zen len eb ilm ek ted ir. S iber
em niyet s is tem in in am acı b ilg isay a r s is tem lerin i v e sü reçlerin i b u sa ld ırıla rd an korum aktır.
D ü n y a ’daki n ü k lee r te s is le re y ö n e lik teh d itle r yaşan m ış ö rnek lerle an la tılm ıştır.
T ü rk iy e ’de S iber E m n iy e t v e K ritik A lty ap ıla r başlığ ı a ltın d a T ü rk iy e ’deki s iber em niyet
ça lışm alarına , ilg ili m evzuata , k u ru m ların yetk i v e r so rum lu luk la rına , m ev cu t u y g u lam ala ra
y e r v erilm iş v e T A E K ’in b u n d an son ra ro lü n ü n ne o lacağı u lusal s ib er em n iy et ağ ac ın d a
gösterilm iştir. T ü rk iy e ’de b u em n iy et sis tem in d e rol o ynayan p ek çok d ev le t k u ru m u yer
alm aktad ır. B u n la rın b aşlıca la rı U laş tırm a D en izc ilik v e H ab erleşm e B akan lığ ı, S iber
G ü v en lik K uru lu , B ilg i T ekno lo jileri v e İle tiş im K uru m u , U lu sa l S iber O lay lara M ü d ah a le
E k ib i, K u ru m sa l v e S ektörel S O M E ’le r ile d iğ er bakan lık lard ır. G enel h a tla rıy la
b ak ıld ığ ın d a sib er em n iy etin sağ lan m asın d a gerek li po litika , strateji v e ey lem p lan ı U D H B
ta ra fın d an haz ırlan ır, S iber G ü v en lik K u ru lu ta ra fın d an onay lan ır. A y rıca b u s tra te jilerin
gerek lilik leri B T K ta ra fın d an yerine getirilm ek ted ir. S iber o lay ların m ü d ah a lesin d e u lusal
v e u lu sla rarası k o o rd in asy o n u n sağ lan m asın d an ise U S O M sorum ludur. B u ku ru m ve
k u ru lu ş la r d ış ın d a u lusal s iber em n iy et s is tem in in b ir öğesi de S iber G ü v en lik İn is iy a tif i’dir.
B u kuru l, tü m p ay d aş gö rüşlerin i d eğ iş ik k o n u la rd a to p la r v e d eğ e rlen d irm ek üzere
U D H B ’ye sunar, ça lışm a g rup ları k u ra rak siber em n iy etin sağ lan m asın a k a tk ıd a bu lunur. B u
em niyet z in c irin d e g ö rev a lan d iğ er b ir o luşum ise K u ru m sa l S O M E ’le rd ir v e Sektörel
S O M E ’lerd en a ld ık ları b ilg ile rle ilg ili faa liy e tle re k a tılım gösterm ek ted irle r. İlg ili m ev zu a t
çerçev esin d e kanun , y ö n e tm elik v e teb liğ sev iyesinde siber em n iy etin gerek lilik le ri ve
so ru m lu lu k la r tezd e detay lı o larak v erilm iştir.
D ev le tle r iç in öze llik le de k ritik a lty ap ıla r iç in sib er em n iy etin sağ lanm ası b ü y ü k b ir önem e
sahiptir. Ç ü n k ü k ritik a lty ap ıla r d ev le t dü zen in in v e to p lu m sa l d üzen in sağlık lı b ir şek ilde
iş lem esi iç in gerek li o lan v e b irb irle ri a rasın d a b ağ ım lılık la rı o lan fiz ik sel v e sayısal
sistem lerd ir. 2 0 1 6 -2 0 1 9 U lusal S iber G ü v en lik S tra te jis inde b e lirtild iğ i ü ze re m ev cu t
risk leri, b e lirlen en ilk e le r ış ığ ın d a asgari düzeye ind irm ey i h ed e fley en stra te jik am aç lardan
ilki, u lu sal k ritik altyapı en v an te rin in o luştu ru lm ası, k ritik a lty ap ıla rın em niyet
118
g erek sin im lerin in k arşılan m ası v e b u k ritik a lty ap ıla rın bağ lı o lduk ları düzen ley ic i k u ru m lar
ta ra fın d an denetlenm esid ir. B u d o k ü m an d a b e lirtilen e göre; enerji sek tö rü n ü n bağ lı o lduğu
düzen ley ic i ku rum E nerji P iy asası D ü zen lem e K u ru m u B aşk an lığ ı( E P D K ) v e b ü n yesindek i
S ektörel S O M E ’le rd ir (U H D B , 2016).
K ritik a lty ap ıla ra y ö n e lik olası sa ld ırıların d eğ e rlen d irilm esin d e senaryo ça lışm aları öne
ç ıkm aktad ır. B u senaryo ça lışm aları T Ü B İT A K v e B T K ’daki u zm an personel ta ra fın d an
gerçek leştirilm ek ted ir. U lu sa l S iber G ü v en lik T atb ikatı 2011 (B T K v e T Ü B İT A K
işb irliğ i)U lusa l S iber K a lk an T atb ikatı 2012 (B ak an lığ ım ız k o o rd in asy o n u n d a B T K
ta ra fın d an )U lu sa l S iber G ü v en lik T atb ikatı 2013 (B ak an lığ ım ız k o o rd in asy o n u n d a B T K ve
T Ü B İT A K işb irliğ i ile )U lu slararası S iber K a lk an T atb ikatı 2014 (U D H B koord in asy o n u n d a ,
B T K , IT U v e IT U -IM P A C T işb irliğ i ile) o lm ak ü ze re to p lam d a 4 ta tb ik a t
gerçek leştirilm iştir.
Bu ta tb ik a t rapo rları in ce len d iğ in d e ta tb ika tın , s iber sa ld ırıla rla m ü cad e led e u lusal
fa rk ın d a lık v e b ilin ç düzey in in a rtm asın a katk ı sağ lad ığ ı k u ru m la r v e k am u o y u aç ısından
kazan ım ları o lduğu d eğerlend irilm ek ted ir. A n cak y ap ılan b u ta tb ik a t öze llik le n ü k leer
tes is le re y ö n e lik o lm ayıp genel sa ld ırıla r ele a lınm ıştır. T A E K ’in de düzen ley ic i kurum
o larak k ritik a lty ap ıla rd an b iri o lan enerjide ro lü n ü y ad sım am ak g erek ir b u sebep le öze llik le
n ü k lee r tes is le re y ö n e lik b ir sald ırı d u ru m u n d a nasıl b ir yol iz leneceğ i ile ilg ili yen i ta tb ik a t
g erçek leştirilm eli v e T A E K ’in de katılım ı sağ lanm alıd ır.
T ü rk iy e ’deki m ev cu t m ev zu a ta göre; b ir s ib er o lay o ld u ğ u n d a o lay la ilg ili Sektörel SO M E,
U S O M ’a olayı b ild irirk en , U S O M ise alarm v e uyarıla rın ı S ektörel S O M E ’ye
b ild irm ek ted ir. S onuç o larak gerek li ted b irle r Sektörel S O M E ’le r ta ra fın d an a lın m ak ta ve
siber o lay ların m üdahalesi k o n u su n d a U S O M ile Sektörel S O M E ’le r koord ineli
ça lışm ak tad ırla r. K ritik a lty ap ıla ra olası b ir sald ırı d u ru m u n d a ilk o larak U S O M b ir
d eğ erlen d irm e y ap ıp U D H B v e S O M E ’lerle ile tiş im e geçm ekted ir. N asıl b ir yol iz leneceğ i
detaylı o la rak resm i m ev zu a tta b u lu n m am ak tad ır. K ritik a lty ap ıla ra o lası b ir saldırı
d u ru m u n d a iz len ecek ro ta v e ad ım lar ilg ili k u ru m larla to p lan tıla r d ü zen len erek v e g ö rü ş le r
d eğ e rlen d irile rek b e lirlen m eli, ç iz ilecek ro tad a T A E K ’in ro lü v e so rum lu luk ları da
b e lirlenm elid ir.
N ü k lee r tes is le re v ey a n ü k lee r m ad d ele re y ö n e lik b ir s iber sald ırı o lm ası h a lin d e T A E K ’ e
düşen ro lle r de b u tezd e b e lirlen m iş olup, ö n ce lik le y e tk ilen d irilen k işi K urum a, K u ru m da
119
bağ lı b u lu n d u ğ u Sektörel S O M E aracılığ ı ile v ey a do ğ ru d an U S O M ’a o layı b ild irm elid ir.
N ü k lee r te s is le re v ey a n ü k leer m ad d ele re y ö n e lik b ir s iber sald ırı tehd id i k a rş ıs ın d a gerek li
uyarıla rı U S O M ta ra fın d an d irek v ey a Sektörel S O M E aracılığ ı ile a lan y e tk ilen d irilen kişi
tehd id i değerlend irm eli v e gerek li tedb irle ri a lm alıd ır. K u ru m ise a lınan b u tedb irleri
denetlem elid ir.
S iber em n iy ette önem li b ir b aş lık o lan risk değerlen d irm esi U S O M tara fın d an
gerçek leştirilm ek ted ir. N ü k lee r te s is le re y ö n e lik risk d eğerlend irm esi ça lışm aları da
yap ılm alı, T A E K de b u ça lışm alard a y e r a lm alıd ır. U S O M ayrıca zararlı yaz ılım ları da
lis te lem ek ted ir. T eh d it değ e rlen d irm esin d e b u n d an fay d alan ılab ileceğ i düşünü lm ek ted ir.
A y rıca b u so rum lu k u ru lu şla rın yanı sıra T Ü B İT A K siber a lan d a ça lışan ilk kurum dur.
U D H B de T Ü B İT A K ’tan dan ışm an lık a lm ış v e a lm aya d a devam etm ekted ir. S iber
sa ld ırıların tesp itin d en so rum lu k u ru lu ş ise U S O M ’ dur.
N ü k lee r tesisle rin , u lusal düzen ley ic i ku ru m o lan T A E K tara fın d an b e lirlen en
g erek sin im lerle u y u m lu o lup o lm adığ ı düzen li v e resm i d en e tim lerle kon tro l ed ilm elid ir.
K o ru y u cu s ib er em n iy et tedb irle ri b e lirlen m eli v e uygu lan d ığ ı denetlenm elid ir. B ü tü n le ş ik
b ir tes is in yönetim sistem i v e sib er em n iy et o luştu ru lm alıd ır. S istem düzen li o la rak gözden
geç irm eli v e geliş tirilm elid ir.
B ö lü m 2.1.5.1 Y asal G ö zd en G eç irm ele r başlığ ı a ltın d a an la tıld ığ ı ü ze re U A E A ’nın
tav siy esin e gö re s ib er em n iy et k o n u su n u n ö zg ü n lü ğ ü n d en dolay ı baz ı özel yasal h ü k ü m ler
göz ö nünde b u lu n d u ru lm alıd ır. D ev le tle r hali haz ırdak i m ev zu a tın b ilg isay ar destek li suçları
kapsay ıp k ap sam ad ığ ın ı d ik k atlice g ö zd en g eç irm elid irle r. S iber em niyet v e uygu lam asın ı
e tk iley eb ilen önem li k an u n la r b iliş im su ç larıy la ilg ili kanun lar, te rö rizm le alakalı kanun lar,
k ritik a lty ap ıla rın k o ru n m asıy la ilg ili kanun lar, b ilg ile rin ifşas ıy la alakalı k an u n la r v e k işise l
b ilg ile rin g iz liliğ i v e id a resiy le ilg ili kanun lard ır.
H ali haz ırdak i m ev zu a tta b iliş im su ç larıy la ilg ili kanun lar, T ü rk C eza K a n u n u ’nd a “B iliş im
A lan ın d a S uçlar” başlığ ı a ltın d a y e r alm akta, b an k a v e k red i k a rtla rın a karşı iş len en suçları
v e tüzel k işile rin b iliş im suçları iş lem esin e y ö n e lik m addele ri kapsam ak tad ır. T ü rk C eza
K an u n u n 243, 244, 245 v e 2 4 6 .m ad d e le rin d e ilg ili b iliş im suçlarından bahse tm ek ted ir.
Y in e k işise l b ilg ile rin g iz liliğ i v e id aresiy le ilg ili k an u n la r ile b ilg ile rin ifşasıy la alakalı
k an u n la r da m ev zu a tım ızd a yerin i alm ış, 7 /4 /2016 ta rih li v e 2 9677 sayılı R esm i G azete ’de
6698 sayılı “K işise l V erile rin K o ru n m ası K an u n u ” yay ım lanm ıştır.
120
A n cak k ritik a lty ap ıla rın k o ru n m asıy la ilg ili k an u n la r h â lih az ırd a detay lı o la rak m ev cu t
o lm ayıp b u k o n u d a gerek li ça lışm ala r yap ılm alıd ır. B aşb ak an lık K an u n la r v e K a ra rla r G enel
M ü d ü rlü ğ ü b ü n y esin d e o lu ştu ru lan e -M ev zu a t Ç a lışm a g ru b u ta ra fın d an “ e-D ev le t v e B ilg i
T o p lum u K an u n T asarısı T aslağ ı” h az ırlan m ıştır. B u ta s lak ta k ritik a ltyap ı v e k ritik b ilg i
altyap ısı te rim leri geçm em ek ted ir. A n cak “K ritik B ilg i S istem i” tan ım ı y ap ılm ış v e K an u n d a
geçen “B ilg i T o p lu m u A jan sı” içerisin d ek i “B ilg i T o p lu m u D a ires i” g ö rev le rin in b ir
tan esin d e “k ritik b ilg i s is tem le ri” ifade leri y e r alm aktad ır. K ritik a lty ap ıla rın k o ru n m asıy la
ilg ili k an u n v ey a k an u n la r T ürk C eza K an u n u n d a yerin i alm alı, n ü k lee r tes is le re aç ık ça a tıfta
bu lu n u lm alıd ır. A y rıca yeni doğan v e sürek li g e lişen suçlara v e s ib er em niyeti teh d it eden
yeni teh d itle re karşı b u k an u n la r sürek li g ö zd en geç irilm eli v e güncellenm elid ir.
D ü zen ley ic i k u ru m o lan T A E K ’in hali h az ırd a b ir b ilg i güven liğ i p o litik ası m evcu ttu r. B u
p o litik a IS O 27001 standard ı k ap sam ın d a ça lışan la rın u y m ası g e rek en ku ra lla rı
içerm ek ted ir. Söz k o n u su ku ru m p o litik ası önce lik le tüm p erso n e lin b ilg i gü v en liğ in in
sağ lan m asın a y ö n e lik b ireyse l y ü k ü m lü lü k lerin i, b ilg i g üven liğ i am açların ı, b ilg i
g ü v en liğ in in kapsam ın ı, r isk yönetim in i, in te rn e t k u llan ım ı ile ilg ili gerek li ta lim atla rı,
ro lleri v e so rum lu luk la rı kapsam ak tad ır. P o litik a b ilg i g üven liğ i k ap sam ın d a düzen lenm esi
şart o lan eğ itim v e içeriğ in i, zararlı y az ılım la ra karşı k o ru n m ak iç in g e liş tir ilen po litikala rı,
e -p o sta güven liğ i iç in alınm ası g erek en tedb irle ri, ih la lle r k arş ıs ın d a nasıl b ir yol iz lenm esi
gerek tiğ in i içerm ek ted ir.
A n cak b u ku rum p o litik ası çok genel o lup n ü k lee r tes is le rd e sib er em n iy etin sağ lanm ası ile
ilg ili a tıfla r söz ko n u su değild ir. B u sebep le b ilg i güven liğ i k ap sam ın a n ü k lee r te s is le rin de
dahil ed ild iğ i özel h u su s la r ek lenm elid ir.
B u n u n la b irlik te s ib er em n iy et ça lışan ları v e tak ım la rın ro lle rin in d e tay lıca b e lirtild iğ i b ir
s iber em niyet p rog ram ı haz ırlam alıd ır. B u n u n iç in sib er em n iy et u y g u lam a v e y ü rü tm e p lanı
o luştu ru lm alıd ır. B u p lan a gö re g erçek leştirilen ça lışm aların sü rek liliğ i sağ lanm alıd ır.
H az ırlan an m ev zu a t u y g u n düzen ley ic i g erek sin im leri karşılam alıd ır. A y rıca siber em niyet
n ü k lee r tesistek i d iğ er tü m em niyet a lan la rıy la ilg isi o lan d is ip lin le r arası b ir k o n u d u r bu
sebep le d iğ e r em n iy et a lan la rıy la en teg rasy o n u n u sağ lam ak y ö n e tim in görev id ir.
D ü zen ley ic i ku ru m ay rıca p eriy o d ik o larak teh d it değerlen d irm esi yapm alıd ır. Y ap ılacak
den e tim lerd e tes is in y ö n e tim e düzen li o la rak b ilg i verip , devam lı b ir teh d it d eğerlend irm esi
yap ıp y ap m ad ığ ı so rgu lanm alıd ır.121
G özden geç irm e v e d eğ e rlen d irm e ça lışm ala rın d a tes is in b ilg i v arlık la rın ı tan ım lay ıp
sın ıflan d ırd ığ ın a d ik k at ed ilm eli, yasal risk an a liz le rin in g erçek leştirilip gerçek leştirilm ed iğ i
göz ö nünde b u lu n d u ru lm alıd ır. S iber em n iy et o lay ların ın an lık ana liz i v e uygun
raporlanm ası yap ılm ası g erek tiğ in d en y ap ılan d en e tim lerd e b u husus d ik k ate a lınm alıd ır.
A y rıca sib er em n iy et ted b irle rin in iyi b e lirlen ip b e lirlen m ed iğ i v e u y g u lam ası den e tim lerd e
d ikkate a lınm alıd ır.
Son o larak iyi b ir s ib er em niyet k ü ltü rü o lu ştu ru ld u ğ u n d an em in o lunm alı b u n u n iç in se siber
em niyet g erek sin im leri aç ık ça rapo rlanm alı v e p ersonel ta ra fın ca iyi an laşılm alıd ır.
T A E K ’e d üşen görev , tüm b u gereksin im leri k arş ılay acak b ir m ev zu a t v e so rum lu luk la rı net
b ir şek ilde be lirten b ir s iber em niyet p lan ı h az ırlam ak v e h ay a ta geç irm ektir.
Ö zellik le de d iğ er a lty ap ıla rla ilişk isi o lan k ritik a lty ap ıla rın so runsuz b ir şek ilde işlem esi
çok önem lid ir. Y in e aynı şek ilde b ir n ü k leer te s ise d ü zen len eb ilecek sib er sald ırı, sistem
b ilg is in in g izliliğ i, b ü tü n lü ğ ü v ey a e riş ileb ilirliğ in i bozarak ; can kayb ına, b ü y ü k ö lçek li
ek o n o m ik zarara, u lusal em n iy et aç ık la rın a v ey a k am u dü zen in in b o zu lm asın a yo l açabilir.
H a tta ü lk e le r arası sav aşla ra b ile seb eb iy e t vereb ilir. T esisin sistem v e b ileşen le rin e za ra r
v e re rek tes is in güven liğ in i risk e a tacak v e h a tta rad y o lo jik sa lım a seb eb iy e t vererek , halk ın
sağ lığ ın ı teh lik ey e a tab ilecek b u sib er sa ld ırıla ra karşı T A E K , gerek li ted b irle ri alm alı v e bu
is ten m ey en sonuçların önüne geçm elid ir. N o rm al iş le tm em en in sü rek liliğ in i korum alı,
sis tem in geçic i sü rey le d u rd u ru lm asın a v ey a tam am en k ap a tılm asın a sebep o lab ilecek
herhang i b ir s ib er sald ırı iç in sav u n m a m ek an izm ası g e liş tirm elid ir. Y e tk is iz k işile rce
sis tem lere e riş im in önüne geçm eli, y e tk is iz e riş im ler v asıtas ıy la d ah a şiddetli sald ırıları
p lan lay an sald ırgan ları te sp it e tm elid ir.
N ü k lee r m alzem ele re y ö n e lik h ırs ız lık v e sabotaj, in tikam , karışık lık , k arg aşay a sebep olm a,
to p lu m d a v e u lu sla rarası a lan d a g ü v en siz lik o rtam ı o lu ştu rm a g ib i p ek çok am aç g üdeb ilen
b u sa ld ırıla r k am u o y u im ajın ı v e güven in i zed eley eb ilm ek ted ir. D ahası y ap ılan b u siber
sa ld ırıla r savaş sebebi say ıla rak ü lkey i çok b ü y ü k k arg aşay a sü rük leyeb ilir.
T üm b u sebep lerle o lası s iber sa ld ırıla ra karşı ye tk ili m ak am lar ted b irle r alm alı iyi b ir
savunm a sistem i geliş tirm elid ir. A cil m ü d ah ale v e sib er o lay lara k a rş ılık v erm en in nasıl
o lm ası gerek tiğ i ü ze rin d e duru lm alı, k ritik a lty ap ıla rın siber em n iy etin d e a lın ab ilecek
ö n lem ler d ikkate a lınm alıd ır. D ü zen ley ic i ku ru m o lan T A E K tara fından , ku ru m içi a lınm ası
122
gereken ted b irle r be lirlen m eli v e ye tk ilen d irilen k iş in in yetk i v e so rum lu luk la rı ile ilg ili b ir
m ev zu a t ça lışm ası yü rü tü lm elid ir.
Y u k arıd a sonuçların ın ne k ad a r v ah im o lab ileceğ ine y e r v e rilen sib er sald ırılar, S iber
Saldırı S enaryo ları v e Sonuçları başlığ ı ile b u tezd e y e r alm ış, s ib er sald ırı tan ım ı, siber
sald ırı süreci, sa ld ırgan p rofilleri, sald ırı am aç ların ın n e le r o lab ileceğ i, s iber saldırı
m eto tla rı konu ları işlenm iştir. S onuçları d ü şü k v e o rta sev iyede za rara sebeb iye t
v e reb ilecek iki ayrı senaryo o lu ştu ru lm u ş v e sonuçları an la tılm ıştır. B u sen ary o lar kapsam
o larak U zak tan K o n tro l v e G ö zetlem e S istem lerin in (S C A D A ) seçilm esi ile
sın ırland ırılm ış, S C A D A sistem lerin in önem in e değ in ilm iş v e son zam an la rd a S C A D A
sistem lerine y ö n e lik artan sa ld ırılardan b ah sed ilm iştir . A y rıca b u tez ça lışm asın d a b ir siber
sa ld ırın ın rad y o lo jik b ir sa lım a yol açm adığ ı varsay ılm ış, b u sebep le sen ary o lard a kapsam
dışı tu tu lm uştu r.
T ezin ü çü n cü b ö lü m ü n d e genel o la rak A lm anya, A B D , R usya, G üney A frika, Ç in, F ran sa
v e Jap o n y a‘n ın y e r ald ığ ı 7 ü lk e ile ilg ili n ü k lee r tesisle rdek i s iber em n iy ete d a ir u lusal
y ak laş ım lar in ce len m iş v e ü lk e le r arası k arş ılaş tırm ala ra y e r verilm iştir . U luslara rası
m ev zu a t uy g u lam aları in ce len d iğ in d e n ü k leer em niyete y ö n elik b ir m ev zu a t h az ırlam ak yeni
b ir u y g u lam a o lm asın a rağm en , A lm anya, R u sy a F ed erasy o n u v e A B D n ü k lee r em niyete
d a ir yasam alı araçları o lduğu v e b u araçların g en e llik le son 10 y ıld a ilan ed ild iğ i
g ö rü lm ek ted ir. T ü rk iy e ’ye b ak ıld ığ ın d a ise n ü k leer k an u n m ev cu ttu r ancak 9 /11 /2007 ta rih li
v e 5710 sayılı N ü k lee r G üç S an tra lla rın ın K u ru lm ası v e İşle tilm esi ile E nerji S atış ına İlişk in
K an u n d a n ü k leer em niyete v ey a sib er em niyete herhang i b ir a tıfta b u lunu lm am ak tad ır.
T ürk iye de d iğ e r g e lişm iş ü lkeleri ö rnek alarak , ö ze llik le n ü k lee r em n iy ete adanm ış b ir
k an u n ç ık arm ak iç in gerek li ça lışm aları y ü rü tm elid ir v e b u ça lışm ala rd a A lm an y a v e R u sy a
ö rneğ inde g ö rü ld ü ğ ü gibi n ü k leer em niyet kanun ları s iber em niyeti de kapsam alıd ır.
A lm an y a v e R u sy a ’da siber em n iy et düzen lem eleri k en d is in e özel b ir im le r ta ra fın d an
gerçek leştirilirk en , A B D ’de siber em n iy et düzen lem eleri, kend i p rogram , b ü tçe v e ü s t düzey
yönetim i o lan b ağ ım sız b irim le rce g e rç ek le ş tir ilm ed ed ir . T ü rk iy e ’de ise n ü k leer tes is le rd e
siber em niyet iç in ay rılm ış özel b ir b irim in v arlığ ın d an b ah se tm ek m ü m k ü n değild ir. M ev cu t
du rum da, A B D örneği u y g u lan ab ilir g ö rü lm em ek le b irlik te , d iğ er iki ü lk e ö rn ek a lın arak bu
h u su sta özel b irim le r kuru lab ilir. F ransa , A lm anya , R usya, A B D , G üney A frik a v e Ç in ’in
123
h ep sin d e sib er em n iy ete y ö n e lik b ir v ey a dah a faz la u lusa l p o litik a y ay ın land ığ ı
g ö rü lm ek ted ir. T ürk iye de b u g ru b a dahild ir.
A lm an y a R u sy a v e A B D siber em n iy et iç in tek n ik d estek a lırken T ü rk iy e ’ de b ö y le b ir durum
söz k o n u su d eğ ild ir ancak değ e rlen d irm ey e alınm alıd ır.
Ç in v e G üney A frik a ’d a da T ü rk iy e ’de o lduğu g ib i n ü k leer te s is le rd ek i s ib er em n iy etle ilgili
yazılı d ü zen lem e bu lu n m am ak tad ır. S iber em n iy et d ü zen lem ele rin in k ap sam a alan ın ın
n ü k leer sek tö rü de iç ine a lm asın a ilişk in o larak ü lk e le r a rasın d a karş ılaş tırm alı b ir ana liz
y ap ıld ığ ın d a A lm an y a 'n ın d ü zen lem ele rin in sib er teh d it ana liz in i kapsad ığ ı, y ö n etm elik te
n ü k leer m ad d e say ım v e k o n tro lü n ü n siber em niyetin i sağ layan tek ü lk en in R u sy a o lduğu
göze çarpm aktad ır. B u rad an y ap ılan çıkarım la , T ürk iye ‘de de yap ılm ası tav siy e ed ilen
n ü k leer te s is le rd ek i s ib er em n iy etle ilg ili d ü zen lem ele r s iber teh d it ana liz le ri ile n ü k leer
m ad d e say ım k o n tro lü n ü kapsam alıd ır. S iber em n iy et düzen lem elerin i u y g u lam ak için
m ekan izm ala r; lisanslam a, in ce lem e v e göze tim süreçlerin i içerm elid ir.
T asarım a E sas T eh d it (T E T ) ça lışm aları ü lk ed en ü lk ey e fa rk lılık gösterm ek ted ir. S iber
em niyet iç in ayrı b ir T E T h az ırlan m ası gerek tiğ in i savunan ü lk e ler(A lm an y a , R o m an y a)
o lduğu g ib i ayrı b ir T E T o lm ak sız ın v a r o lan T E T ’ e sib er em n iy etin en teg re ed ileb ileceğ in i
savunan ü lk e ler(A B D , G üney A frik a) de m evcu ttu r. B u n u n la b irlik te R u sy a siber tehd itle rin i
T E T 'ten ayrı o la rak T E T o lm ayan b iç im d e su n m ak tad ır O rtak gö rüş sib er em niyetin
m u h ak k ak fiz ik se l k o ru m a p ro g ram ın d a y e r alm ası gerek tiğ i v e teh d it d eğ erlen d irm esin in
çok b ü y ü k titiz lik le y ü rü tü lm esi gerek tiğ id ir. B u tezd e de T ürk iye iç in ayrı b ir T E T
o lm ak sız ın v a r o lan T E T ’ e sib er em n iy etin en teg re ed ilm esi tav siy e ed ilm ekted ir.
Y ine, R usya, A lm anya, A B D n ü k lee r te s is le rd e sib er em n iy et k o n u la rın a odak lan an düzenli
d en e tim ler gerçek leştirm ek ted ir. A B D v e R u sy a , dene tim lerin i y ıld a b irk aç kez yerine
getireb ilirken , ak sin e A lm an y a dene tim lerin i ü ç y ıllık b ir d önem e dayand ırm ak tad ır. A y rıca
hem R u sy a 'd a hem de A B D 'de , te s is le rin kend i ken d ile rin i değerlend irm eleri istenm ek ted ir.
T ü rk iy e ’deki y ak laş ım d a y in e b en z e r şek ilde d en e tim lerin y ıld a b irk aç kez o lm asıy la
sın ırland ırılab ilir, gerek li g ö rü ld ü ğ ü tak d ird e tes is le rd en iç denetim b ilg isi isteneb ilir.
E ğ itim k o n u su n a b ak tığ ım ızd a A B D v e R u sy a ’da ye tk ili m ak am lar eğ itim i g erçek leştirirk en
T ü rk iy e ’de de ye tk ili m akam kend i b ü n y es in d e b ir eğ itim v erm em ek le b irlik te u lusla rarası
eğ itim lere k a tılım sağ lanm aktad ır.
124
D ev le tle rin yerel kanun lar, y ö n e tm e lik le r v ey a lisan slam a gereksin im leri sev iyesinde
n ü k leer te s is le rin v e k ritik d ijita l v a rlık la rın siber sa ld ırıla rd an k o runm ası ile ilg ili hüküm leri
içerip içerm ed iğ in i kon tro l eden, N T I İn d ek s ça lışm ası, hem h ırs ız lık hem de sabotaj b az ın d a
ü lkeleri s ıralam ıştır. B u ça lışm a ay rıca d ev le tle rin T E T ça lışm asın d a siber teh d itle re y e r
verip v erm ed iğ in e bakm ak tad ır. B u ça lışm ad a R usya, A B D , Jap o n y a v e F ran sa o lm ak üzere
dö rt ü lk e seçilm iştir.
N T I İndeks h ırs ız lık s ıra lam asın d a kategori v e ü lk e seçerek k a rş ıla ş tırm a y ap m ay a im kan
tan ım ak tad ır. N T I in d ek s v erile rin d e T ü rk iy e ’de s ilah lar ta ra fın d an k u llan ılab ilen n ü k leer
m alzem ele r o lm ad ığ ın d an 2 .k a teg o ri ü lk e leri a rasın d a değ e rlen d irilm iş v e b u sebep le sistem
T ürk iye ile b u dö rt ü lk e a rasın d a k arş ılaş tırm a y ap m ay a iz in verm em ek ted ir. B u
k arş ılaş tırm ay a g ö re sib er em niyetin , seçilen dö rt ü lkede; R usya, A B D , Jap o n y a ve
F ra n sa ’daki skorları eşittir. A y rıca 2014 y ılı verile ri ile k a rş ılaş tırm a y ap ıld ığ ın d a
R u sy a ’daki iy ile ş tirm e 100 p u an la b irin c i sırada, F ran sa 25 p u an la ik inci sıradadır. D iğ e r iki
ü lk ed e ise geçen b u ü ç yıl sü resinde herh an g i b ir değ işim g ö rü lm em ek ted ir. B u sistem ay rıca
sim ü lasyon öze lliğ i sayesinde , v erilen k rite rle re gö re a lınan sk o rla rd a iy ile ş tirm e le r
yap ıld ığ ı tak d ird e ü lk e le re k en d ile rin d e ne k ad a r g e lişm e g ö stereb ilecek lerin i g ö z le r önüne
serm ekted ir. H a tta d iğ er b ö lg e le rle k a rş ılaş tırm a y ap a rak g ra fik le rle d u rum unu
iz len eb ilm ek ted ir. A n cak sitem de siber em n iy et k riteri ile ilg ili T ü rk iy e ’ye h erhang i b ir
d eğ er a tan m ad ığ ın d an tez de b u sim ü lasyon so n u ç la rın a y e r verilem em iştir.
S abo tajla ilg ili s ıra lam ala ra b ak ıld ığ ın d a ise b u d ö rt ü lk e a rasın d a siber em n iy ette en iyi
puan ı a la rak A B D , R u sy a v e F ran sa b e rab e r b irin c iliğ i göğ ü slem ek ted ir. Jap o n y a ik inci
sıradadır. G e lişm ek te o lan küresel teh d itle r göz önüne a lınd ığ ında , b u y ılk i N T I İndeksi,
ü lk e le rin n ü k leer tesisle rin i s ib er teh d itle re karşı nasıl k o ru d u ğ u n u ilk defa
d eğerlend irm ek ted ir. T ü rk iye ile ilg ili v e r ile r b u sıra lam ad a y e r a lm am aktad ır.
Son o larak T A E K ’ e d üşen en önem li görev , n ü k lee r te s is le re y ö n e lik siber em niyet ile ilgili
y ö n e tm elik v e y ö n erg e sev iy esin d e m ev zu a t h az ırlam ak tır. B u m ev zu a t ça lışm asın a esas
teşk il edeceği d ü şü n ü len m ad d e le r 4 .b ö lü m d e detay lı o la rak verilm iştir . S iber em n iy et ile
ilg ili yen i o lu ştu ru lacak hük ü m lerin k ap sam ın ın gen iş o lm ası sebebiy le , N ü k lee r T esislerin
v e N ü k lee r M ad d e le rin F iz ikse l K o ru n m ası Y ö n e tm e liğ i’nde 1 5 .M ad d e’de b e lirtilen b ilg i
em niyeti ile ilg ili h u su s la r söz ko n u su y ö n etm elik ten ç ıkarılıp h az ırlan acak yen i y ö n etm eliğ e
ek lenm elid ir.
125
KAYNAKLAR
B IÇ A K Ç I Salih, E R G U N D oruk , Ç E L İK P A L A M itat, 2015 , T ü rk iy e ’de S iber G üven lik , E D A M S iber P o litik a K ağ ıtları Serisi
B IÇ A K Ç I Salih , 2017 , N ü k lee r T esisle rin S iber G ü v en liğ in e G iriş: T ü rk iy e ’de S iber G ü v en lik v e N ü k lee r E nerji, K a d ir H as Ü n iv ersites i, İstanbul
B T K , 2012, S iber K a lk an T atb ikatı, B ilg i T ekno lo jileri v e İle tiş im K urum u,h ttp ://w w w .b tk .g o v .tr/F ile /?p a th = R O O T % 2 f1 % 2 fD o cu m en ts% 2 fS ay fa la r% 2 fB T D N ew F o l d e r% 2 f4 _ 2 _ 1 _ S ib er+ K alk an + R ap o r+ T % C 3 % B C rk % C 3 % A 7 e .p d f, (09 .09 .2016)
B T K , (tarih yok), S iber G üven lik , B ilg i T ekno lo jileri v e İle tiş im K urum u,h ttp s://w w w .b tk .g o v .tr/tr-T R /S ay fa la r/S G -U S O M -v e-K u ru m sa l-S O M E , (31 .10 .2 0 1 6 )
C H A T H A M H O U S E , 2015,h ttp s://w w w .ch a th am h o u se .o rg /s ites /file s /ch a th am h o u se /fie ld /f ie ld _ d o cu m en t/2 0 1 5 1 0 0 5 C y b erS ecu rity N u clea rB ay lo n B ru n tL iv in g sto n e .p d f, (20 .10 .2017)
D A R K R E A D IN G , 2015, h ttp ://w w w .d ark read in g .co m /risk /n u c lea r-p lan ts-cy b e rsecu rity -is- b a d — an d -h ard -to -fix -/d /d -id /1 3 2 2 4 8 9 , (19 .10 .2 0 1 7 )
E T K B , (tarih yok), T ü rk iy e ’n in N ü k lee r Santral P ro je leri: S oru-C evap , E nerji v e T abii K ay n ak la r B akan lığ ı,h ttp ://w w w .en e rji.g o v .tr /F ile /?p a th = R O O T % 2 F 1 % 2 F D o cu m en ts% 2 F S ay fa la r% 2 F T % C 3 % B C rk iy en in + N % C 3 % B C k leer+ S an tra l+ P ro je le ri+ S o ru -C ev ap .p d f, (26 .12 .2 0 1 6 )
IA E A , 2011a, C o m p u te r S ecurity at N u c le a r F ac ilitie s , IA E A N u c le a r S ecu rity S eries N o .17 , In terna tional A to m ic E n erg y A gency , V ien n a
IA E A , 2011b , N u c le a r Security R eco m m en d a tio n s on P hysica l P ro tec tio n o f N u c le a r M ateria l and N u c le a r F ac ilitie s (IN F C IR C /2 2 5 /R ev 5 ), IA E A N u c le a r S ecurity Series N o .13 , In ternational A to m ic E n erg y A gency , V ien n a
IA E A , 2013 a, C o n d u ctin g C o m p u te r S ecurity A ssessm en ts, IA E A T echn ical D o cu m en ts D raft, In te rna tional A to m ic E n erg y A gency , V ien n a
IA E A , 2013b , O b jec tive and E ssen tia l E lem en ts o f a S ta te ’s N u c le a r S ecurity R eg im e, N u c le a r S ecurity Series N o .20 , In terna tional A to m ic E n erg y A gency , V ien n a
IA E A , 2013c, C o m p u te r S ecurity fo r N u c le a r S ecurity P ro fessio n a ls , In te rna tional N u c le a r Security E d u ca tio n N e tw o rk (IN S E N ) T ex tb o o k N u c le a r S ecurity N o .2 2 , In ternational A to m ic E n erg y A gency , V ien n a
IA E A , 2015a, C o m p u te r S ecurity In terp lay w ith o th er D o m ain s, In te rn a tio n al T ra in ing C ourse on In fo rm atio n and C o m p u te r S ecurity fo r F ac ilitie s T hat H an d le N u c le a r and O th er R ad io ac tiv e M ateria l, In ternational A to m ic E n erg y A gency , V ien n a
126
IA E A , 2015b , C o m p u te r Security In c id en t R esp o n se , In te rna tional T ra in in g C o u rse on In fo rm atio n and C o m p u te r S ecu rity fo r F ac ilitie s T hat H an d le N u c le a r and O ther R ad io ac tiv e M ateria l, In ternational A to m ic E n erg y A gency , V ien n a
IA E A , 2015c, M eth o d s o f C om prom ise , In te rna tional T ra in in g C o u rse on In fo rm atio n and C o m p u te r S ecurity fo r F ac ilitie s T hat H an d le N u c le a r and O th er R ad io ac tiv e M ateria l, In ternational A to m ic E n erg y A gency , V ien n a
IA E A , 2015ç, S ecurity o f N u c le a r In fo rm ation , Im p lem en tin g G uide, IA E A N u c lea r Security S eries N o. 23-G , In ternational A tom ic E n erg y A gency , V ien n a
IA E A , 2016a, C o m p u te r Security fo r N u c le a r Security , Im p lem en tin g G uide, N S T 0 45 /N S G C 9 D raft, In te rn a tio n al A to m ic E n erg y A gency , V ien n a
IA E A , 2016b , In teg ra tin g C y b er in th e D B T : M erg e o r S p lit,T echn ica l M ee tin g on C on d u ctin g C y b er T h rea t A ssessm en ts at N u c lea r F ac ilite s , In te rna tional A to m ic E n erg y A gency , V ien n a
IA E A , 2016c, In teg ra tin g C y b er T h rea t A ssesm en t in C y b ersecu rity P lan s at C ern av o d a N PP , T echn ical M ee tin g on C o n d u ctin g C y b er T h rea t A ssessm en ts at N u c lea r F acilite s , In ternational A to m ic E n erg y A gency , V ien n a
IA E A , 2016ç, E x p erien ces in d ev e lo p in g D B T , T echn ical M ee tin g on C o n d u ctin g C y b er T h rea t A ssessm en ts at N u c lea r F acilite s , In te rna tional A to m ic E n erg y A gency , V ien n a
IA E A , 2016d , C o n sid e ra tio n s O n In teg ra tin g C y b er In to D B T In N u c le a r Security R eg u la tio n System , T echn ical M ee tin g on C o n d u ctin g C y b er T h rea t A ssessm en ts at N u c lea r F acilites, In te rna tional A to m ic E n erg y A gency , V ien n a
IA E A , 2016e, U S N R C C y b er E v en t R ep o rtin g R eq u irem en ts and R esp o n se A ctiv ities, T echn ical M ee tin g on C o n d u ctin g C y b er T h rea t A ssessm en ts at N u c lea r F acilites, In ternational A to m ic E n erg y A gency , V ien n a
IA E A , 2017, N u c le a r S ecurity In fo rm atio n P orta l /N U S E C , In ternational A to m ic E n erg y A gency ,h ttp s ://n u sec .iaea .o rg /p o rta l/U se rG ro u p s/C y b erS ecu rity /C y b e rT h rea t(N ew )/tab id /1 2 1 5 /D ef au lt.aspx , (20 .02 .2 0 1 7 )
IS A C A , (ta rih yok), C y b ersecu rity F u n d am en ta ls , S tudy G uide
IS S & N T I, 2017 , C y b er Security at N u c le a r F acilitie s: N a tio n al A p p ro ach es,T h e N u c lea r T hreatIn itia tiv e ,h ttp ://w w w .n ti.o rg /m ed ia /p d fs/C y b er_ S ecu rity _ in _ N u clea r_ F IN A L _ U Z N M g g d. pd f?_ = 1 4 6 6 7 0 5 0 1 4 , (20 .10 .2017)
IT N E T W O R K , 2017, h ttp ://w w w .itn e tw o rk .co m .tr/k asp e rsk y -lab -g ercek -zam an li-s ib er- teh d it-in te rak tif-h aritay i-c ik a rd i/, (02 .11 .2 0 1 7 )
127
K A R A M ehm et, Ç E L İK K O L Soner, 2011 , IV. A ğ V e B ilg i G üven liğ i S em pozyum u B ild irile r K itab ı, A tılım Ü n iv ersites i, A n k ara
K A R A B A C A K B ilge , 2010 , İki K ritik K avram : K ritik A lty ap ıla r v e K ritik B ilg i A ltyap ıları, T ü b itak B ilgem , A n k ara
K A R A B A C A K B ilge , Y IL D IR IM Sevgi, B A Y K A L N azife , 2016 , R eg u la to ry app roaches fo r cy b er security o f critica l in frastructu res: T he case o f T urkey , C ilt 32, Sayı 3, s .381-554
N A T O C C D C O E , 2012, F ren ch C y b erd efen ce Policy , h ttp s://ccd co e .o rg /cy co n /2 0 1 2 /p ro ceed in g s/d 2 r3 s2 _ tro m p aren t.p d f, (10 .10 .2 0 1 7 )
N S S , 2016 , N u c le a r S ecurity Sum m it, h ttp ://w w w .n ss2 0 1 6 .o rg /d o cu m en t-cen te r- d o cs/2 0 1 6 /3 /3 1 /n a tio n a l-p ro g ress-rep o rt-fran ce , (18 .10 .2 0 1 7 )
N T I, 2017a, T he N u c le a r T h rea t In itia tive,h ttp ://w w w .n ti.o rg /m ed ia /d o cu m en ts/N T I_ C y b erT h rea ts__F IN A L .p d f, (20 .10 .2 0 1 7 )
N T I, 2017b , T he N u c le a r T h rea t In itia tive , h ttp ://w w w .n tiin d ex .o rg /b eh in d -th e- in d ex /ab o u t-th e-n ti-in d ex /, (20 .10 .2017)
N T I, 2017c, T he N u c le a r T h rea t In itia tive, h ttp ://w w w .n tiin d ex .o rg /d a ta -re su lts /th e ft-d a ta /,(20 .10 .2017)
N T I, 2017ç, T he N u c le a r T h rea t In itia tive , h ttp ://w w w .n tiin d ex .o rg /d a ta -re su lts /th e ft- d a ta /?co m p are% 5 B % 5 D = 2 7 3 & co m p are% 5 B % 5 D = 2 8 6 & co m p are% 5 B % 5 D = 2 9 0 & co m p ar e% 5B % 5D = 279 , (20 .10 .2 0 1 7 )
N T I, 2017d , T he N u c le a r T h rea t In itia tive , h ttp ://w w w .n tiin d ex .o rg /d a ta -re su lts /sab o tag e - data/, (20 .10 .2017)
N T I, 2017e, T he N u c le a r T h rea t In itia tive , h ttp ://w w w .n tiin d ex .o rg /o v e rv iew - h ig h lig h ts /cy b ersecu rity /, (20 .10 .2017)
P A R K JaeK w an , P A R K C heol, S U H Y ongS uk , 2016 , Im p lem en ta tio n o f cy b er secu rity fo r safety system s o f n u c lea r facilities , P ro g ress in N u c le a r E nergy , S outh K o rea , C ilt 88, s .8 8 - 94
R esm i G azete, 2012 , N ü k lee r T esisle rin v e N ü k lee r M ad d e le rin F iz ik se l K orunm ası Y önetm eliğ i, 22 M ay ıs 2012 ta rih li v e 2 8300 sayılı, A n k ara
R esm i G azete, 2013 , S iber O lay lara M ü d ah a le E k ip le rin in K uru luş, G örev V e Ç alışm a la rın a D a ir U su l V e E sas la r H ak k ın d a T ebliğ , 11 K asım 2013 ta rih li v e 28818 sayılı, A n k ara
128
R esm i G azete, 2008 , E lek tro n ik H ab erleşm e K an u n u , 5 K asım 2008 ta rih li v e 5809 sayılı, A nkara
S H IF T D E L E T E , 2017 , h ttp s ://sh iftd e le te .n e t/s ib e r-sa ld irila ri-tak ip -ed in -6 7 0 7 7 ,(06 .11 .2 0 1 7 )
S İB E R İS T İH B A R A T , 2017, h ttp ://w w w .sib eris tih b ara t.co m /m o d u le /sib e r-is tih b a ra t- m o d u lu /, (16 .11 .2 0 1 7 )
Ş E N T Ü R K H akan , Ç İL Z aim , S A Ğ IR O Ğ L U , 2012, C y b er S ecurity A n a ly sis o f T urkey, In terna tional Journa l O f In fo rm atio n S ecurity S cience, C ilt 1, Sayı 4
T A E K , 2007a, N ü k lee r R eak tö rle r, T A E K Y ay ın ları, T ü rk iye A tom E nerjis i K urum u, A nkara
T A E K , 2007b , N ü k lee r S an tra llerde G ü v en lik F e lsefesi v e G ü v en lik S istem leri, T A E K Y ayın ları, T ü rk iye A tom E nerjisi K urum u, A n k ara
T SK , 2017, T S K H aberleri, h ttp ://w w w .tsk .tr/T S K d an H ab erle r/H ab er_ 2 3 4 , (01 .11 .2 0 1 7 )
S İB E R İS T İH B A R A T , 2017, h ttp ://w w w .sib eris tih b ara t.co m /m o d u le /sib e r-is tih b a ra t- m o d u lu / (30 .10 .2017)
T Ü B İT A K B İL G E M , (tarih yok), U lu sa l B ilg i G üven liğ i K apısı, h ttp s://w w w .b ilg ig u v en lig i.g o v .tr/za ra rli-y az ilim la r/f lam e-en -b u y u k -en -k arm asik -s ib er- casu s lu k -y az ilim i.h tm l, (21 .12 .2016)
U H D B , 2016, 2 0 1 6 -2 0 1 9 U lu sa l S iber G ü v en lik S tratejisi, U laş tırm a D en izc ilik ve H ab erleşm e B akanlığ ı, A n k ara
U Z M A N IM , 2017, h ttp s ://u zm an im .n e t/so ru /s ib er-sa ld irila ri-g o s te ren -s ite /6 4 0 7 2 ,(10 .09 .2017)
W E B T E K N O , 2017,h ttp ://w w w .w eb tek n o .co m /in te rn e t/tsh ttp ://w w w .w eb tek n o .co m /in te rn e t/tsk -s ib er- sav u n m a-k o m u tan lig i-h 1 7 6 1 6 .h tm lk -sib er-sav u n m a-k o m u tan lig i-h 1 7 6 1 6 .h tm l,(30 .10 .2017)
Y IL M A Z E rcan N urcan , 2017 , K ritik A lty ap ıla r v e G üven liğ i D ers N o tla rı, G azi Ü n iv ersitesi, B ilg i G üven liğ i M ü h en d is liğ i B ö lüm ü , A nkara , en y ilm az@ g azi.ed u .tr
129
ÖZGEÇMİŞ1988 y ılın d a A n k a ra ’da doğdu. İlk, o rta v e lise öğ ren im in i A n k a ra ’da tam am lad ı. 2012
y ılın d a G azi Ü n iv ersites i, E n d ü stri M ü h en d is liğ i B ö lü m ü n d en m ezu n oldu. 2016 y ılın d a
G azi Ü n iv ersitesi, F en B ilim leri E n stitü sü B ilg i G üven liğ i M ü h en d is liğ i A n ab ilim D a lın d a
Y ü k sek L isan s p ro g ram ın a başlad ı. 2014 y ılın d a T ürk iye A tom E n erjis i K u ru m u n d a , A tom
E nerjis i U zm an Y ard ım cısı o la rak g ö reve başlad ı. H a len A tom E n erjis i U zm an Y ard ım cısı
o larak çalışm ak tad ır. E v li v e b ir çocuk annesid ir.
130
ETİK KURALLARA UYGUNLUK BEYANIU zm an lık tezi o la rak sunduğum b u ça lışm ay ı, b ilim sel ah lak v e g e len ek le re aykırı d üşecek
b ir yol v e y ard ım a b aşv u rm ak sız ın yazd ığ ım ı, ya ra rlan d ığ ım ese rle rin k ay n ak lis tes in d e
g ö sterilen lerd en o luştuğunu , b u n la rd an h e r seferinde değ inm e y ap arak yararlan d ığ ım ı ve
A tom E nerjis i U zm an lığ ı T ez H az ırlam a Y ö n erg esin e u y g u n o larak h az ırlad ığ ım ı b e lirtir ve
b u n u doğru larım .
T ürk iye A tom E nerjis i K u ru m u ta ra fın d an be lirli b ir zam an a bağ lı o lm aksız ın , tez im le ilg ili
y ap tığ ım b u b ey an a aykırı b ir d u ru m u n sap tanm ası du rum unda, o rtaya ç ık acak tü m ahlaki
v e hukuk i sonuçlara k a tlan acağ ım ı b ild iririm .
17 .11 .2017
M erv e Ç E T İN
131
