Denizde siber saldırılara ilişkin bir senaryo

MDN İstanbul

Siber güvenlik teknolojinin gelişmesiyle birlikte hayatımızda daha çok yer etmeye başladı. Deniz Hukuku alanında doktora öğrenimi gören GURLER L/LC Law & Legal Consultancy Hukuk & Danışmanlık kurucusu ve avukat Halil Emre Gürler, gemilerdeki mevcut yazılımlara yönelik olası bir siber saldırıyı ve saldırının yol açacağı zararların boyutlarını olası bir senaryo üzerinden değerlendirdi

Denizcilik sektöründe, deniz ticareti ve donanmalarda teknolojinin gelişmesi ve neredeyse her alanda yaygın kullanımı ile siber güvenliğin önemi biraz daha artmaktadır. Yazının devamında yer alan ve ülkemiz deniz ticareti sektöründe gerçekleştiği varsayılan siber saldırı senaryosu farazi olaylardan ibaret olup, olası tehlikelere ve etkilere yönelik örnekleme amaçlıdır. Bu amaçla, küresel çapta taşımacılık yapan yerli bir deniz taşımacılık şirketine ait bütün siber sistemlerin dış kaynaklı kötü niyetli bir yazılım tarafından ele geçirildiği varsayımından hareketle, siber saldırı sonrası 1 hafta boyunca şirketin yaşayacağı sürecin bütüncül olarak ele alınması değerlendirilmiştir. Bu kapsamda, farazi bir siber saldırının şirket, şirket ortakları, müşteriler ve olası diğer ilgililer üzerindeki etkisi, mali kayıplar, gecikmeler, şirketin değer kaybı vb. sonuçlar değerlendirilmektedir:

GÜRLER Farazi Taşımacılık Ticaret A.Ş. (GURLER SHIPPING) adlı borsaya kote uluslararası deniz taşımacılığı yapan İstanbul/Türkiye merkezli şirket Eylül 2021 ayında MUCILAGE93 adlı kötü niyetli bir yazılım (malware attack) ile siber saldırıya uğramıştır. Saldırının boyutuna bakılırsa politik etki ve ticari zarar verme amacıyla gerçekleştirildiği düşünülmektedir. Şirketin bütün siber sistemleri ele geçirilerek faaliyetlerinin aksamasına sebep olunmuştur. Şirketin siber sistemlerini ele geçiren yazılım; Mersin, İskenderun, İzmir, İstanbul, Rotterdam, Port Said, Londra, Mumbai, Savannah, Sydney limanları dâhil dünya çapındaki önemli limanlarda faaliyet gösteren şirketin operasyonlarının durmasına, iletişim kesintisine (şirket içi, limanlar ve diğer gemiler) sebep olmuş, şirket veri tabanının bir kısmı tahrip ve yok edilmiş, bazı operasyon bilgileri sızdırılmıştır.

Siber saldırı GURLER SHIPPING’e ait 56 gemiden oluşan filonun en büyük kargo gemisi olan MV GÖRKEMLİ SEYİR adlı dev konteyner gemisinin Mumbai-İstanbul seferinde, Süveyş Kanalı istikametinde Yemen Denizi açıklarında iken korsan saldırısı tehlikesi bulunan sıcak noktadan geçişi esnasında gerçekleştirilmiştir. Şirketin merkez sistemlerine ve en büyük kargo gemisine eşzamanlı olarak gerçekleştirilen saldırı tüm iletişim ve elektronik sistemlerini çalışmaz hâle getirmiştir.

Siber saldırının başlangıcında, korsan bölgesinden geçiş esnasında siber sistemlerin kesintiye uğraması sebebiyle korsan saldırısı olduğu düşünülse de ekranların çalışmaması, herhangi bir fidye ve sair maddi talepte bulunulmaması sonucu saldırının ciddiyeti anlaşılarak kaptanın talimatı ile önleme ve savunma mekanizmaları harekete geçirilmiştir.

Tüm gemilerle iletişim kesilmiş, GÖRKEMLİ SEYİR gemisinin AIS (Automatic Identification System) ve ECDIS (Electronic Chart Display and Information System) dâhil dijital sistemleri ele geçirilerek veri akışına, motor ve dümenine müdahale edilmek istenmiştir.

Ancak geminin dijital sistemlerini yöneten IT (Information Technology/Bilgi Teknolojileri) ile tahrik ve güç kontrolü sistemleri gibi fiziksel fonksiyonları yöneten OT (Operational Technology/Operasyon Teknolojileri) sistemlerinin tam entegre olmamaları sayesinde geminin fiziksel yönetimi manuel olarak (gemi adamları tarafından elle) sağlanarak geminin kötü niyetli yazılım tarafından kontrol edilmesi, sürüklenmesi, karaya oturma, çatma riskleri bertaraf edilmiştir. Geminin siber saldırılara ilişkin tespit, savunma, karşılık verme mekanizmaları ve gemi adamlarının eğitimli olması sayesinde 2 saat kadar süren çalışmaların ardından gemi kısa sürede kontrol altına alınmıştır. IT ve OT sistemleri arasındaki bağlantı manuel olarak kesilmiş, geminin fiziksel kontrolü tekrar gemi adamlarının kontrolüne alınmıştır. Radar ve GPS cihazının da kontrol dışı kalmış olması sebebiyle gemi geleneksel yöntemlerle idare edilerek Süveyş Kanalı’na doğru istikametini yönlendirebilmiştir. Bölge korsan saldırıları riski taşıyan bir bölge olmasına rağmen, gemi GPS çalışmaması sebebiyle uzak noktalara karşı kör olsa da herhangi bir korsan saldırısı gerçekleşmemiştir. Gemi manuel olarak seyir hâlinde iken çevresi ile haberleşebilmek amaçlı ışıldak aracılığıyla mors kodlarıyla haberleşme yöntemini kullanmıştır.

Gemi üzerindeki personelin cep telefonunun uzaktan erişim (remote access / remote control) ile geminin köprü sistemine bağlı olması sonucu siber saldırının kişisel erişim cihazının hacklenerek şirkete ait izole ağlara müdahale için araç olarak kullanılması yoluyla gerçekleştirildiği anlaşılmıştır.

Şirketin dijital (siber) sistemlerini güncel tutması sayesinde siber sistemlerin tekrar kontrol altına alınması ise erişim kesintisinin ardından 8 saati bulmuştur. Elektronik sistemler aracılığıyla gemi ile şirket bağlantı kurana kadar gemi planlanan istikametinde seyre devam etmiştir. Ancak bu süreç dolayısıyla büyük maddi zarar meydana gelmiştir.

Gemiler haricinde limanlardaki yükleme, boşaltma faaliyetleri de aksamıştır. Limanlarda çalışan, açıkta demir atarak bekleyen ve seyir hâlindeki gemilerin faaliyetleri aksamış, makine arızaları ve sürüklenmeler meydana gelmiştir.

Şirketin veri tabanının büyük kısmı siber saldırı sonucu tahrip edilmiş, elektronik olarak tutulan konişmentolar, yük manifestoları, sertifikalar ve diğer evraklara gerçekleştirilen siber müdahale ile en büyük zarar buradan ortaya çıkmıştır.

Şirketin, siber saldırı dolayısıyla gerçekleşen iletişim kesintisinden etkilenen diğer gemilerinden 6 bin konteyner taşıyan bir kargo gemisi İstanbul Boğazı’ndan geçişi esnasında manuel olarak kontrol altına alınamadan sürüklenerek bir tanker ile çatma gerçekleştirmiş; çatmanın şiddeti tankerde yakıt sızıntısı meydana getirerek çevre zararına yol açmıştır.

Siber saldırının gerçekleştirildiği günden 1 gün sonra hisse sahiplerinin bilgilendirilmesi amaçlı kamuoyu duyurusu yapılmış, ivedilikle kargo sahipleri, konişmento tarafları, müşteriler, gönderilenler ve diğer tüm ilgililer durumdan haberdar edilerek mağduriyet yaşatılmayacağı bildirilmiştir.

GÖRKEMLİ SEYİR adlı gemi değeri 600 milyon dolar olan 12 bin konteyner, bazı konteynerlerde meyve-sebze gibi gecikme hâlinde ziya/hasara uğrayabilecek yük taşımaktaydı. 8 saat boyunca geminin siber sistemlerinin çalışmaması sebebiyle gemi ağır bir şekilde seyretmek zorunda kaldığından tahmini seyir süresi yaklaşık 22 saatlik bir gecikmeye uğradı. Gecikme bozulabilir yükün bir kısmının ziyanına yol açmıştır.

Yalnızca GÖRKEMLİ SEYİR’de oluşan zarar yaklaşık 200 milyon dolar, şirketin diğer gemilerinde meydana gelen gecikmeler, makinelerdeki arızalar ve tedarik zincirinin aksaması sebebiyle zararı yaklaşık 150 milyon dolar olarak ortaya çıkarken, veri kaybı ve operasyon bilgilerinin tahribi ve ele geçirilmesi sonucu ortaya çıkan zarar şirkete 250 milyon dolara mâl olmuştur.

Borsada listelenen GRLR hissesi siber saldırının duyulmasının ardından 2’nci gün piyasaların kapanışına kadar yüzde 6 değer kaybetmiştir. Devam eden 5’inci gün sonuna kadar ancak yüzde 2 oranında toparlanma görülmüştür.

Siber saldırının sona erdirilerek şirketin tüm gemilerine erişim sağlaması ve siber uzayını güvenlik altına almasına kadar geçen süreçte can kaybı yaşanmamıştır. Ancak saldırının politik etki yaratmak ve ticari zarar vermek amaçları amacına ulaşmış, Türkiye’nin en büyük kargo filosunda kayda değer bir zarar meydana gelmiştir.

Ancak, herhangi bir mağduriyet yaşanmayacağına dair kamuoyu duyurusu karşısında ve siber saldırı ile müdahale edilen elektronik konşimentolar, yük manifestolarındaki karmaşa sebebiyle elde olmayan bir zarar meydana gelmiştir. Bu durum ticari itibarın zedelenmesine yol açmıştır.

GURLER SHIPPING’in IMO tavsiyeleri doğrultusunda Güvenlik Yönetim Sistemlerinde Deniz Siber Risk Yönetimi (Maritime Cyber Risk Management in Safety Management Systems-Res. MSC.428(98)) kararı uyarınca 01.01.2021 tarihine kadar siber uzayını güvenlikli hâle getirme çabaları saldırı karşısında avantaj sağlamıştır. Siber güvenlik önlemleri haricinde şirketin genel sigorta poliçeleri yanında 2021 öncesinde Siber Güvenlik Poliçesi akdetmiş olması, GURLER SHIPPING açısından ortaya çıkan ticari kaybın telafisi için avantajı olmuştur. Sigorta şirketine büyük bir mâli külfet yüklendiği gibi şirketin üzerine de ciddi bir mâli külfet kalmıştır. Özel siber güvenlik poliçesi akdedilmişse de poliçe doğrudan ve makul zararı kapsamakta olup, hisse değer kaybı, tedarik zincirinin aksaması ve çatma sonucu ortaya çıkan gemideki zarar ve çevre zararını kapsamadığından, toplam riskin ancak yüzde 30-50 olan kısmının telafisini sağlayabilecek pozisyondadır.

Meydana gelen bu siber saldırı neticesinde saldırının bertaraf edilmesinden 3 gün sonra acil olarak yapılan toplantıda, şirket her ne kadar siber saldırılara karşı hazırlıklı olup tespit, savunma ve karşılık verme mekanizmalarına sahip olsa da gemi adamlarının siber saldırılar konusunda eğitimi, risk analizi, siber saldırılara karşı hazırlıklı olma ve proaktif mekanizmalarını geliştirme hususunda eksik olduğu anlaşılarak bu konularda çalışmalar başlatma kararı alınmıştır. Bununla birlikte, şirket kendi siber sistemlerini geliştirmek amacıyla periyodik olarak sızma testleri (penetration testing) uygulama ve devlet ile organize şekilde siber istihbarat çalışmaları yapma kararı almıştır.

GURLER SHIPPING’in GÖRKEMLİ SEYİR gemisi ile iletişim kurularak geminin sıhhati sağlanmış, ancak İstanbul Boğazı’nda çatma gerçekleştiren gemi Kıyı Emniyeti römorkörleriyle tamir için çekilmiş, gemi bir süreliğine çalışmaz hâle gelmiştir. Çatma sonucu meydana gelen yakıt sızıntısı ancak 3 gün içinde kontrol altına alınarak ciddi bir çevre zararına sebebiyet vermiştir. Limanlardaki gemiler siber saldırının bertaraf edilmesi ile çalışmalarına devam etmiştir. Ancak şirket içi operasyon bilgileri ve birtakım ticari sırlar veri sızıntısı ve tahribi dolayısıyla ciddi zarara yol açarak şirket ortakları ve işbirliklerini tehdit altına sokmuştur. Müşterilerin kargolarında yaşanan gecikmeler ve veri kayıpları kargoların gecikmeli teslimi veya hiç teslim edilememesine yol açmıştır. Yatırım planları, bazı ihale, kredi kartı ve kişisel bilgiler ele geçirilerek şirket ve müşterileri bakımından olası zararlar ortaya çıkmıştır. Bu durum kişilik haklarının ihlâli ve haksız rekabet ortamı hazırlayacak potansiyeldedir.

Birleşmiş Milletler’in denizcilik endüstrisine yönelik düzenleyici kuruluşu olan Uluslararası Denizcilik Örgütü (IMO-InternationalMaritime Organization)’nün yayımladığı Denizde Siber Risk Yönetimine İlişkin Kılavuz (Guidelines on Maritime Cyber Risk Management, MSC-FAL.1/Circ.3)’da siber risk yönetimine ilişkin alınması gereken etkin önlemleri ifade eden 3.5 maddesindeki unsurlar denizde siber güvenliğin sağlanmasında büyük önem taşımaktadır.

Buna göre, şirketin tespit, savunma ve karşılık verme mekanizmaları gelişmiş olsa da hâlâ siber tehdide açık olması saldırının gerçekleşmesine ön ayak olmuştur. Bahse konu madde 3.5’teki belirleme, koruma, tespit, karşılık verme, telafi olarak sıralanan önerilerin tam olarak uygulanması siber riskin ve sonuçlarının asgari düzeye çekilmesini sağlayacaktır.

Şirketin siber saldırı karşısında avantaj olarak nitelendiği önlemler tespit, savunma ve karşılık verme mekanizmaları ile IT sistemlerinin güncel tutulması olarak sayılabilirken; bir diğeri IT ve OT sistemlerini tam entegre hâlde barındırmaması, bu sistemlerin ayrı ayrı da çalışabilir hâlde bulundurularak IT sistemindeki siber saldırı, elektrik kesintisi veya hata ihtimali karşısında OT sistemlerinin manuel olarak kullanılabilir hâlde bulundurulmasıdır. Her ne kadar IT ve OT sistemlerinin entegre çalışması denizcilik operasyonlarının gerçekleştirilmesinde avantajlı olsa da olası bir siber saldırının vereceği zarar karşısında bu sistemlerin bölünebilir olması fayda sağlamaktadır. Örnek senaryoda filonun en büyük gemisinin yükü ile birlikte tamamen kaybedilmesi ihtimali önlenmiş, saldırının daha büyük zarar vermesinin önüne geçilmiştir. Ayrıca gemi personelinin siber saldırıya karşı eğitimli olması zararın daha büyük olmasının önüne geçmiştir. Her türlü siber güvenlik sisteminde insan unsurunun dâhil olması sistemlerin gelişmişliği karşısında bir zafiyet olduğundan personelin eğitimli, bilinçli ve dikkatli olması önem taşımaktadır.

Bu haberin/makalenin tamamı ya da bir kısmı kaynak gösterilmeden yayımlanamaz. Kaynak gösterilse dahi aktif link verilerek kullanılabilir. Kaynak göstermeden ve aktif link vermeden yayımlayanlar hakkında yasal işlem başlatılır.

Bunu Paylaşın