Denizcilik sektörü, kendisini deniz ulaştırma sistemi olarak da tanımlayabilmemize imkân veren karmaşık, geniş, açık ve bütünleşik bir sosyo-teknik yapıya sahiptir. Bu sistem, dünya ekonomisinde büyük rol oynayan kritik altyapıları ve bu altyapıların inşalarını, işletilmelerini ve yönetilmelerini sağlayan organizasyonları kapsamaktadır. Günümüzde, bilgisayar ve enformasyon teknolojileri ile böylesine karmaşık bir sistemin yürütülmesi doğrudan sağlanmaktadır. Bu açıdan bakıldığında, denizcilik alanında siber güvenlik, siber alanların denizel alanlar ile kesiştiği fiziksel ve enformasyon altyapıları ile ilgilidir. Kritik altyapıların tanımına göre, bu yapılara gelebilecek herhangi bir saldırının ulusal boyutta ekonomik ve sosyal düzende zarar oluşturması beklenmektedir. Limanlar ve gemiler, bu bağlamda, endüstriyel kontrol sistemleri ile bütünleşmiş olan bilişim teknolojilerine sahip kritik altyapılar olarak karşımıza çıkmaktadırlar.
Siber tehdide maruz kalabilecek sistemler arasında; köprü üstü sistemleri, kargo elleçleme ve yönetim sistemleri, makine yönetim ve güç kontrol sistemleri, giriş kontrol sistemleri, yolcu hizmet ve yönetim sistemleri, yolcu açık kamu ağları, idari ve mürettebat refah sistemleri ve haberleşme sistemleri ilk sırada yer alır.
Avrupa Ağ ve Bilgi Güvenliği Ajansı (ENISA) da denizcilikte siber güvenlik temalı bir rapor sonunda denizcilikte siber güvenlik açısından yedi büyük eksiklik bildirmiştir. Bu eksiklikler; düşük farkındalık ve odaklanma, deniz sistemlerinin karmaşık yapısı, denizcilik alanındaki ulusal ve uluslararası bağlamda bütüncül yönetim anlayışının olmaması, deniz düzenlemelerinde siber alanın güvenliğine ilişkin yetersizlikler, siber güvenlik konusunda bütüncül bir anlayışın olmaması, denizcilik sektöründe siber güvenliğin artırılması için ekonomik teşvikler ve girişimlerin olmaması ve çalışmaları motive etmek için teşviklerin eksikliği olarak sıralanabilir.
Literatürde yapılan diğer çalışmalarla birlikte değerlendirildiğinde, siber güvenlik açıkların ortak noktası, çözümlerinin, farkındalık ve bilgi eksikliğinden kaynaklanan boşlukları dolduran insan merkezli yaklaşımlarla bulunabilmesidir. Böylelikle, deniz bilgi teknolojileri (BT) sistemlerinde güvenlik açıklarının düşük farkındalığı, denizcilik sektöründe denizcilik siber güvenliği için doğrudan tehdit oluşturan başlıca faktörlerden biri olarak alınabilir. Dolayısıyla denizel alanda siber güvenlik sosyo-teknik bir yaklaşımla ele alınması gereken bir konu durumuna gelmiştir. Teknik bilgi, insan faktörü ve ulusal/uluslararası regülasyon ve politikalarla birlikte ele alınmalıdır.
Liman temelli siber uzay
Liman teknolojileri, donanım ve yazılım teknolojileri olmak üzere iki grupta incelenmektedir. Donanım kısmında ekipman teknolojileri, liman inovasyonlarının önemli bir bölümünü teşkil ederken liman bilgi sistemleri bilgi işlem teknoloji sistemleri Liman Yönetim Bilgi Sistemleri (LYBS), Terminal İşletim Sistemleri (TİS) ve Liman Topluluğu Bilgi Sistemleri (LTBS) olarak üç ana başlık altında toplanabilir. Bilgi İşlem Teknolojileri (BİT) sistemleri, genellikle son derece karmaşık ve aynı zamanda özelleştirilmiş teknolojik elemanları içermektedir. Güvenlik özelliklerine odaklanırken bir yandan da denizcilik sektöründe tam otomasyon yolunda hızlı bir şekilde teknoloji geliştirme süreci içerisindedir. Sektörde düşünülen güvenlik açıkları genellikle BİT karmaşıklığı ile eşleşmemekte ya da buna bağlı teknoloji bakış açılarını kapsamamaktadır. BİT sistemlerindeki açıklar yapı itibariyle günümüz teknolojisine uyum sağlayamamakta ve farklı bakış açılarını kapsamamaktadır.
Gemi temelli siber uzay
Teknoloji gelişmeye devam ederken, gemilerdeki bilgi teknolojisi ve operasyonel teknoloji giderek hem birbirine hem de dünya çapındaki ağa bağlanmaktadır. Bu iletişim ağı, geminin sistemlerine ve ağlarına kötü niyetli saldırıları ya da yetkisiz erişimleri daha büyük bir risk haline getirmektedir. Dolayısıyla bir geminin tüm makine, navigasyon ve iletişim sistemleri siber tehditlere maruz kalabilir. Bu tehditler, sistemde ya da yazılımda teknik insan hatası veya siber suçlular tarafından sistemin zayıf noktaları veya açıklıkları bulunduğu zaman siber saldırıya dönüşebilir.
Gemi ortamı dikkate alındığında, elektromanyetik alana sahip, siber uzay olarak nitelendirebileceğimiz iletişim ve ağ teknolojilerinin başında aşağıdaki cihazlar gelmektedir: GPS, AIS ve ECDIS.
Bunların yanı sıra RADAR, VDR, INMARSAT, GNSS, DSC, LORAN da gemi üzerinde kullanılabilen diğer enformasyon araçlarındandır.
Ayrıca, güç kaynağı kontrolü ve makine izlenmesi için SCADA, CCTV, BNWAS, geçmişi izleme ve elektronik seyir defteri, uzaktan izleme, gemide Wİ-Fİ ya da internet bağlantısı LAN ve VOIP teknolojileri ile birbirine entegre edilmiştir.
Liman ve gemilere
yönelik siber saldırı yolları
Liman ve gemilere yönelik tehditler; politik aktörler, rakip şirketler, suç örgütleri, özgür hackerler ve kullanıcılar olabilir. Dolayısıyla gemi ve liman sistemleri için riskler çeşitlidir ve şu şekilde listelenebilir; Gemideki sistemler, seyir bilgisi ‘Hayal Aleminde’, ana limanlardaki sistemler, denizcilik şirketlerindeki ana bilgisayar sistemleri, diz üstü bilgisayar, akıllı telefonlar, USB anahtarlar.
Limanlar açısından ele aldığımızda dört temel saldırı açığı karşımıza çıkmaktadır. Bu saldırılar:
Kargo izleme sistemlerine erişerek kargo veri tabanı silmek veya değiştirmek, liman kontrol sistemlerine erişerek otomatik vinç sistemlerinde kesintiye neden olarak elleçleme, yükleme ve boşaltma işlemlerinin yapılmasını önlemek, GPS sinyallerini keserek liman operasyonlarının sekteye uğratılması, kontrol sistemlerine erişilerek faturalama veya kredilendirme ile ilgili verilerin değiştirilmesi.
Gemi tabanlı saldırılar ise; GPS yayınının Bozulması, ECDIS ve AIS manipülasyonu, sensör verilerinin bozulması, kontrol sistemlerine girerek geminin hızının değiştirilmesi şeklinde karşımıza çıkabilir.
Dyryavyy (2016) yaptığı araştırmada ECDIS üzerinde çok fazla açıkla karşılaşılabildiğini belirtmiştir. Bu açıklar şöyle tanımlanmaktadır: Dizin Geçişi, İzin Verilen Tehlikeli HTTP Yöntemleri, Eski Apache Web Sunucusu Yazılımı, HTPP Üst Bilgi Enjeksiyonu
Denizcilik alanındaki
güvenlik regülasyonları ve
siber güvenlik
Denizcilik sektöründe, siber güvenlik ile ilgili regülasyonlar ve kodlar mevcut durum için eksiktir. Literatür incelendiğinde “Gemi Güvenlik Planı (SSP) ve Emniyet Yönetimi Manueli (SSM) denizcilik siber politikaları ile entegre edilmesi gerektiği yönünde görüşler vardır. Bu görüşlere göre, geliştirilecek ya da diğer denizcilik güvenlik kodlarına dahil edilmesi gereken konular şu şekilde listelenebilir; Bilgi Teknoloji IT sistemleri risk analizi, IT sistemlerdeki uygulanabilir seviye, IT sistemlerinde kabul edilebilir bir seviyede riskleri azaltmak için gemi ve kıyılarda koruyucu güvenlik ölçümleri geliştirilmeli, gemide çalışan operasyonlara bağlı olarak uygulanabilir kısıtlamaları gösteren internet erişim güvenlik politikası, taşınabilir depolama medyası kullanımı politikaları örneği, USB, harici hafıza, CD/ DVD, Wi-Fi ağı ve personel için ağ erişim kontrolleri ve politikaları, bilgi ve seyir sistemlerinin güncellenmesi ve bakımı için prosedürler ve politikalar, çeşitli gemi sistemlerinin duyarlılık seviyelerine göre temellenmiş fiziksel ve uygun erişimler, sistemin görüntülenmesi ve bakımı için şirket personeli tarafından uzaktan kumanda erişimi için yetki kriterleri, bilgi sistemleri için acil plan, siber olay yönetim prosedürü: keşif, raporlama, değerlendirme, karar tepki, kurtarma ve öğrenilen ders, siber güvenlik riskleri ve kontrolleri üzerine mürettebatın, makinecilerin, zabitlerin ve kaptanın farkındalığı ve eğitimi.
Denizcilik Sektöründe İnsan
Faktörü ve Siber Güvenlik
Farkındalığı
Denizcilik sektöründe siber güvenlik algısı ve farkındalığını anlamak için çeşitli kuruluşlar anket düzenlemeye başladılar. Örneğin, denizcilik sektörü için 22 Temmuz 2016’da BİMCO ile birlikte IHS Markit tarafından bir siber güvenlik anketi yapıldı. Ankete göre, 300 sektör katılımcısının 65’i bir siber saldırı yaşamıştır ve siber saldırıların yüzde 70’i güvenlik duvarları tarafından engellenmekle birlikte, saldırı niteliklerinin yüzde 77’sini kötü amaçlı yazılımlar, yüzde 52’sini ise savunmasız gemi kaynaklı konumlandırma sistemleri oluşturmaktadır.
Aynı organizasyon, 2017’de BIMCO ile birlikte “Denizde Siber Güvenlik Anketi 2017” olarak adlandırılan ve “Denizde Siber Bilinç Oluşsun – Be Cyber Aware At Sea” Kampanyası tarafından desteklenen denizcilik siber güvenlik anketi yapmıştır. Örgütler, şirketlerin personelini hazırlamak için ne yaptıklarını ya da ne yapmaları gerektiğini ve organizasyonların yükselen siber tehdidine karşı nasıl önlem aldıklarını bulmaya çalışmışlardır. Sonuçlara göre, katılımcıların yüzde 34’ü son 12 ay içinde bir siber saldırıya maruz kalmıştır.
Öte yandan, “Maritime Cyberwatch” adlı çalışma denizcilik sektöründe türünün ilk araştırmalarından biridir. Anket, deniz organizasyonlarının siber tehditlere yönetim seviyesinde nasıl yaklaştığını araştırmıştır. Anketin sonuçları, katılımcı denizcilik ve denizcilik şirketlerinin yüzde 90’ının BT bütçelerinin siber güvenlik ve esneklik üzerinde yüzde 20’sinden azını, yüzde 70’inin BT bütçelerinin yüzde 10’u altında harcanmasını ve yüzde 10’u kesinlikle hiçbir şey harcamadığını ortaya koymuştur.
Türkiye’de denizcilik sektöründe teknolojiye olan bağımlılığın anlaşıldığı, ulusal literatür incelemlerinde ortaya konuldu. Bununla birlikte, denizcilik sektöründe artan otomasyon eğilimi de olumlu karşılanıyor. Buna ek olarak teknolojinin insan kaynağının yerine geçmesi ile doğabilecek problemler için de endişe duyuluyor. Bunun nedenleri arasında; Güverte sistemlerinin saldırılara karşı korumasız olduğuna, gemide güverte sistemlerinde oluşabilecek hataları farkedecek zabit ve sistem operatörlerin olmadığını, gemi mürettabatının çevrimiçi işlemleriyle ilgili olarak güvenlik protokollerini genel olarak anlamadığı ve bu protokole uymadığını, gemi elektronik sistemlerin bakımı ve güncelleştirilmesinde, eğitimli personelin olmaması, maliyetin yüksek olması farkındalığın düşük olması ve lojistik zorluklarla karşılaşılması nedenleriyle engeller çıktığını düşünmesi olarak gösterilebilir.
Ulusal ve uluslararasında yukarıda bahsedilen çalışmalar temelinde denizcilik sektörü için siber güvenlik farkındalığı düşük fakat siber güvenlik riskleri yüksek olan bir sektör şeklinde bir tanımlama yapabiliriz. Denizcilikle ilgili yapılan az sayıda çalışma, siber güvenlikle ilgili denizel alan dışındaki çalışmaların, denizel alana aktarılması ve ulusal ve uluslararası olarak denizcilik alanında, siber güvenlik farkındalığının eğitimler yoluyla artırılması önerilmiştir.
Endüstri 4 çerçevesi kapsamında dijital dönüşüm kaçınılmaz olmuştur. Deniz Ulaştırma Sistemi de bu dönüşüm sürecinde de tüm bileşenleri ile yerini alacaktır ve her geçen gün BİT sistemlerine bağımlı hale gelecektir. BİT kaynaklı güvenlik açıkları siber saldırıların hedefi olma riskini her zaman taşıyacaktır. Bu açıdan ele alındığında ulusal ve uluslararası politikalarda deniz güvenliği gündemlerinden biri de siber güvenlik olmuştur. Fakat siber güvenlik, diğer güvenlik saldırılarından farklı olarak saldırı sürecinde saldırılanı aktif olarak saldırının gerçekleşmesi için kullanabilen bir yapıya sahip olması nedeniyle ayrışabilir. Dolayısıyla sadece teknik açıdan değil, deniz siber uzayında insan faktörü, son kullanıcı, kullanıcı davranışı ve psikolojisi gibi konuları da kapsayacak şekilde ele alınmalıdır.
