Buhar, kömür ve demirin yanı sıra çelik, elektrik, petrol ve kimyasal maddelerde 2. Sanayi Devrimi’nin kaynağı idi. Dünyanın sahip olduğu kaynaklar insanoğlunun ürettiği teknoloji ile buluşmuş ve insanlık tarihinde görülmemiş gelişmelerin yaşanmasına sebep olmuştu. Ardından 3. Sanayi Devrimi geldi. İletişim teknolojileri ve bilgi merkezli yapıların gelişmesiyle üretimde otomasyon devri başladı.
Ancak 4. Sanayi Devrimi bambaşka bir yoldan geliyor. Hem yeni fırsatlar hem de yeni tehditleri ile yeni pencereler açıyor. Bu yeni devrimin farkı kaynağının insan olması! İnsanın ürettiği bilgi, sistem ve yazılımlar hayatımıza sanıldığından çok daha fazla etki ediyor ve de edecek.
Dünya robotik sistemleri, yapay zekâyı konuşuyor. Bir kısım görüşe göre, birçok mesleğin sonuna geliniyor. Birçok iş alanında insanların yerini sistemler, bilgisayarlar ve robotlar alacak. Bu noktada bir bilinmezlik oluşuyor: “Bu sistemler ne kadar güvenilir? Saldırıya ve yönlendirmeye ne kadar açık?”
Bu sorunun cevabı hem askeri hem sivil sistemlerin geleceğinin üzerinde tahmin edilenden çok daha büyük etki yaratacak. Dolayısı ile “siber güvenlik” artık sadece kişisel güvenliğin dışında, ülkelerin milli politika ve sistemleri ile ticari ilişkilerini de etkileyecek bir hal almıştır.
Askeri perspektiften bakarsak, ABD ve İsrail işbirliğiyle hazırlandığı iddia edilen ve İran’daki Natanz Nükleer Tesisi’ndeki uranyum saflaştırma çalışmalarını sekteye uğratmayı amaçlayan 2010 yılındaki siber saldırı bu anlamda bir ilk olarak nitelendirilebilir. Düşünün ki, silah yok, mermi yok, ateş yok, uçak yok, tank yok ama istenilen taktik hedefe ulaşım var.
2010 yılında “Olympic Games” adı verilen solucan yazılım ile siber güvenlik camiasında “Stuxnet” olarak adlandırılan saldırının gerçekleştiği iddia edildi. “Natanz’da nasıl etki yaptığı şöyle anlatıldı: Yazılım, uranyum işlemede kullanılan santrifüj borularındaki titreşimi çok artırarak veya çok azaltarak borularda metal yorgunluğu yaratıp boruların çatlamasını patlamasını sağladı.” Oysa kontrol odasına tüm veriler normal gözüküyordu! İnsanların fark edemediği bu saldırıyı 4. Sanayi Devrimi’nin robotları fark edebilecek mi?
Diğer yandan Maersk’ün, Haziran 2017’de uğradığı “NotPetya” isimli siber saldırı da ayrı bir başlık. Maersk’e maliyetinin 300 milyon dolar olduğu konuşuluyor. Ticaretin siyasetin ana enstrümanlarından biri olduğunu düşünürsek saldırının sadece ticareti etkilediği sonucuna varmak saflık olsa da, bugün siber saldırılar iş dünyasının önlem alması ve geleceğe ilişkin planlama yapması gereken alanların başında geliyor.
Deniz dünyası gemilerden limanlara her alanda teknolojiyi ve yazılımları üst seviyede kullanan bir sektör. Bir gemi düşünün ki, konumlandırma sistemleri (GPS), elektronik harita gösterge bilgi sistemleri (ECDIS), dinamik konumlandırma (DP) sistemleri, otomatik tanıma sistemleri (AIS), küresel deniz tehdit ve güvenlik sistemleri (GMDSS), radar ekipmanları, sefer veri kayıt cihazları (VDRs) ve bunlar gibi birçok sistemi kullanamasın. Siber öngörüsüzlük nedeniyle!
Yukarıdaki senaryo her halde “en kötü senaryo” tanımına en uygun hal tarzıdır. Bu sebeple ileriye dönük tehditlerin farkına varılması ve gerekli önlemlerin alınabilmesi maksadıyla, tuzlu suya virüs bulaşmaması dileği ile bir dosya hazırladık.
BEN, KORSAN
İnsansız gemi projeleri henüz hayata geçirilemese de, projeleri üzerinde çalışılıyor. Farklı yaklaşımların olduğu bu projelere yönelik tek soru işareti ise, Siber Saldırılar
Amerikalı yazar Isaac Asimov’un öyküsünden uyarlanan “Ben, Robot (I, Robot – 2004)” filminde ilginç bir sahne vardır. İki dedektif konuşuyorlardır ve aralarında şu diyalog geçer:
– Sanırım eski güzel günleri özleyeceğiz.
– Hangi güzel günleri?
– İnsanların insanları öldürdüğü günleri…
Öyküde, insanların yerini almaya başlayan robotlar işleniyor. Peki, gelecekte biz gemi adamlarının da yerini teknoloji devralacak mı?
Her ne kadar henüz insansız gemilerden bahsedemezsek de insansız gemi projelerinden bahsetmek mümkün. MUNIN (Maritime Unmanned Navigation through Intelligence in Networks) projesi, denizcilik sektöründe ses getiren ve duyan her gemi adamının canının sıkılmasına sebep olan ciddi bir proje. Kimilerine göre sadece bir hayal ürünü iken kimilerine göre hayata geçmesi engellenemeyecek ve denizcilik sektörünü baştan sona değiştirecek bir proje. Bugün, dünyadaki test amaçlı seyir sahaları bile belli olan bu projeyi geliştirenlerin kafalarında ise sadece tek bir soru işareti var: Siber Saldırı.
Kabaca ifade etmek gerekirse bilgisayar ve internet kullanımında uzmanlaşmış şahıs ya da kurumların bilgisayar sistemlerine sızarak zarar vermesi ya da bilgi hırsızlığı yapması siber saldırı olarak isimlendiriliyor. Genel olarak eğlence, bilgi hırsızlığı, ekonomik kazanç elde etme, medyanın dikkatini çekme ya da daha büyük saldırılara hazırlanmak amacı ile siber saldırılar gerçekleştiriliyor.
IMO, BIMCO, ICS, INTERTANKO gibi önemli denizcilik otoritelerinin ve class kuruluşlarının uyarılarına rağmen bu saldırı tipinin birkaç ay öncesine kadar denizcilik sektörü tarafından önemsendiğini söylemek pek de mümkün değildi. Ancak Danimarka merkezli dev denizcilik şirketi Maersk’ün, Haziran 2017’de siber saldırıya uğrayarak 300 milyon dolar kaybetmesi sektörün bu konuya dikkat kesilmesine neden oldu.
Gözlerinizi kapatın; ECDIS, GPS ve hatta AIS cihazınızın hacklendiğini hayal edin. Bir kanal seyri ya da boğaz geçişi sırasında ana makinenizin aniden durdurulduğunu düşünün. Şimdi uyanın; çünkü bunların hepsi, bugün denizcilik sektöründe yaşanıyor.
Geminize yapılacak siber saldırı sonrasında siz de bir anda olmanız gerekenden farklı bir yerde olduğunuzu anlayabilir ya da aniden karaya oturabilirsiniz. Bir başka gemi ile çarpışabilirsiniz. Gemi tipiniz bir petrol ya da kimyasal tanker, hatta LPG olabilir. Böyle bir durumda size, gemiye, yüke ve çevreye olabilecek olası etkileri değerlendirin. Kaç hayat sona erer?
Ticari maksatla işletilen gemilerde bir siber saldırı neticesinde etkilenebilecek başlıca sistemleri şu şekilde listelemek mümkün:
– Yük Elleçleme Sistemleri
– Köprüüstü Seyir Sistemleri
– Haberleşme Sistemleri
– Ana Makine ve Diğer Makine Sistemleri
– Gemi İçi İzleme ve Erişim Sistemleri
Peki, bu yukarıda sıralanan sistemleri korumak ve saldırılardan etkilenmemek mümkün mü; biraz da onu konuşalım? Şu an dünyadaki pek çok kişi bu sorunun cevabını arıyor ancak elle tutulur bir yanıt vermek kolay değil. Saldırılardan kaçmak mümkün olmasa bile riskler azaltılabilir. Kullanılan yazılımların güncel olmasını sağlayarak, antivirüs yazılımları kullanarak, yedekleme yöntemleri geliştirerek, cihaz kurulumlarından sonra varsayılan olarak belirlenen şifreleri derhal değiştirerek, dosya paylaşımlarını sınırlayarak, ağ yapılandırmasını sürekli olarak denetlenip (Bknz. Penetration Test) bulunan açıklıklar kapatılarak, gerek ofis gerek ise gemi personelinin bu konudaki farkındalığını ve bilgi düzeyini artırarak riskler minimize edilebilir.
Biraz da konu ile alakalı uluslararası gelişmelerden bahsedelim. Geldiğimiz noktada IMO – ISM Code gereğince 01 Ocak 2021 tarihine kadar denizcilik şirketlerinin SMS manuallerine “Siber Atak Risk Değerlendirme ve Güvenlik” bölümünün eklenmesi zorunluluğunu getirirken 01 Ocak 2018 tarihinde 3. versiyonu yürürlüğe girecek olan TMSA de benzeri taleplerle şirket yöneticilerinin terlemesine sebep oluyor. Başta bayrak devletleri ve class kuruluşları olmak üzere dünyadaki pek çok önemli kurum ya da kuruluş denizcilik sektöründe farkındalık oluşturmak için siber saldırılar ile ilgili eğitimler düzenliyor; sirkülerler yayınlıyor. Saygın class kuruluşlarından birisi olan DNV GL, Kasım 2017’de dünyada ilk defa siber güvenlik kapsamlı tip onay sertifikası vermeye başladı. Sigorta şirketleri ise poliçelerine siber risklerle ilgili konuları yansıtmaya başladı. Burada bahsettiklerim; dünyada olup bitenlerden sadece bir kısmı.
Galiba biz denizciler de yakında özlemeye başlayacağız.
Neyi mi?
Siber korsanlar yerine, Somali korsanlarını. Çünkü en azından bizimle olan işleri bitmeden önce, onları fark edebiliyoruz.
Siber güvenliğe hazırlığın önemi
Sınırların her geçen gün ortadan kalktığı dünyada siber etkinlik gemi sahipleri için hem iyi fırsat hem de büyük bir tehdit
Gün geçtikçe birbirine bağlanan bir dünyada, siber etkinlik, gemi sahipleri ve işleticilerinin performans ve verimliliği iyileştirmeleri için büyük fırsatların kapısını açmakta; ancak bununla birlikte güvenlik riskinin de artmasına neden olmaktadır. Bilgi teknolojisindeki (BT) güvenliğin önemi genellikle iyi bilindiği ve çoğu işletmenin koruyucu önlemler uygulamasına rağmen, operasyonel teknolojideki (OT) güvenlik daha az bilinmekte ve sınırlar bulanıklaşmaktadır. Bu nedenle, süreçleri, sistemleri ve cihazları kontrol eden donanım ve yazılımlar siber saldırılara karşı çok zayıf kalabilir.
Okuyucularınızın dikkatini çekeceğini inandığım bazı önemli bilgileri tarihsel süreçte paylaşmak isterim:
– 2011: Korsanların, saldırıya karşı korunmasız sevkiyatlarda kullanılacak siber zayıflıklardan yararlanmasından şüphelenildi.
– 2012: Yabancı askeri güçler ABD TRANSCOM tarafından sözleşmesi yapılmış ticari gemi üzerindeki “birden fazla sistemi” riske attı.
– 2012: Önemli Asya Sahil Güvenlik gemileri dahil olmak üzere 120’den fazla geminin GPS sinyalleri kötü niyetli olarak bozuldu.
– 2013: Avrupa otoriteleri, uyuşturucu kaçakçılarının tespiti önlemek için önemli Avrupa limanlarındaki yük takip sistemlerini “hack”lediğini duyurdu.
– 2014: Önemli bir ABD liman tesisinde, birden fazla konteyner vincini saatlerce çalışmaz hale getiren bir sistem bozulması yaşadı.
– 2014: Önemli bir Asya Denizcilik firmasına karşı kimlik avı kampanyası başlatıldı.
Denizcilik sektörünün genelinde, siber teknolojilerin gittikçe artan işlevinin farkındalık düzeylerinde, bu işleve hazırlıklı olma durumunda hala büyük farklar vardır. Siber hazırlık seviyenizi anlamak, bu riskin belirlenmesi, hafifletilmesi ve yönetiminde atılması gereken ilk adımdır.
Bu bağlamda tutarlı, güvenilir ve rekabetçi bir hizmet sunmak çok önemlidir. Maliyetli arıza süreleri, bakım ve onarımların en aza indirilmesi bu kapsamdadır. Teknoloji burada da bir rol oynayabilir ve bu sayede uzaktan teşhis ve işaretlerin tespiti, plansız bakımların azaltılması ve en etkin ve verimli bakım rejimlerinin uygulanması mümkün olabilir.
Siber risk hem insanlar için, hem de
çalıştıkları sistemler için gündem oluşturuyor
Otomasyon denizcilik sektöründe akıllı gemilerin yaygınlaşmasıyla daha da artıyor. Bu durum bazı gemi işletmecilerinin ilgisini çekse de, dijital riskleri de beraberinde getiriyor. Üstelik bu risklerin çıkış noktası ve savunması insana bağlı
Akıllı gemilerin okyanuslara çıkış hızı artıyor ve bu artışta gemilerin ömrü boyunca işletme verimliliğini ve seyir emniyetini iyileştirecek otomasyon sistemlerinin etkisi çok büyük.
Otomasyon bazı gemi işleticileri için ilgi çekici bir durum olmasına rağmen, otomasyonun kullanılmaya başlanması eski sistemlerin fonksiyonlarını basit bir şekilde başka bir şekle dönüştürmekten daha fazlasını gerektirdiği için, aynı zamanda karmaşıklığı da beraberinde getiriyor. Modern işlevsellik, daha üst düzey bağlanabilirlik özelliklerinin yanında, yeni risk faktörlerini de beraberinde getiriyor.
Rutin yazılım yükseltmelerinin getirdikleri de dahil olmak üzere, her fonksiyonel ilerleme, izinsiz giriş yapmak isteyenler için yeni giriş noktaları ve yeni operasyonel aksaklıklar oluşturuyor.
Her ne kadar risk ve karmaşıklığın kontrolü açısından gün geçtikçe daha çok kullanılmasına karşın, yönetilmesi zorunlu olan kendine ait ilave riskler de otomasyonla birlikte geliyor.
Dijital risklere karşı ilk savunma hattının insanlar olduğu, çünkü asıl sebebin de insanlar olduğu çok açıktır. Dijital ya da diğer her türlü, gelişmiş sistemin risk değerlendirme ve yönetim sürecinin esas unsuru, bu sistemlerin nasıl çalıştığının insan tarafından anlaşılmasını sağlamaya dayanıyor.
Burada gerek endüstriyel mühendislik gerekse de insan mühendisliğinde kullanılan mevcut yöntemlerin bir araya getirilmesi suretiyle büyük ölçüde çözülebilecek bir zorluktan bahsediyoruz.
Bu sistemlerin mimarisinde, kurallar, politikalar ve prosedürlerden oluşan daha operasyonel karmaşıklıkların, bireyin farkındalığını azaltmaya ve insan hatası ihtimalini artırmaya meyilli olduğunu anlamamız çok önemlidir.
Dolayısıyla, sistemler karmaşık hale geldikçe, insan hatası olasılığını azaltmak için daha fazla çaba sarf edilmesi gerekmektedir. Örneğin, USB portları olmayan bilgisayar sistemlerinin yapılması ya da bağlantılı olmayan veya güvenliği izleyen ve entegre eden “hava boşlukları” ile izole edilmiş kapalı sistemlerin oluşturulması suretiyle bir sistem dizayn edilmesi ve düzenlenmesi yoluyla bunu başarabiliriz.
Spesifik sistemlere erişimi kısıtlayan politikaları güçlendirmek, ağları birbirinden ayırmak, e-postaları filtrelemek ve tarayıcı blokları kurmak suretiyle iş gücü risklerinin hafifletilmesi de mümkündür.
Bu hedeflere yönelik politika ve prosedürlerin oluşturulması ve sürekli olarak güncellenmesi, insan faktörleri mühendisliğinin bir ilkesidir. İş gücünde siber farkındalık oluşturmak için, değişimi yönetmeye yönelik kılavuzlar dahil olmak üzere, zorlukları yenme gücüne odaklı ayrıntılı ve şirkete özgü bir yol haritası öneren bir yönetim sisteminin tesis edilmesi gerekir.
Kurumsal plan oluşturulduktan sonra, çalışanların bu planı uygulama becerilerinin olmasına ihtiyaç vardır. Tıpkı politika ve prosedürler gibi, bu becerilerin riskin sürekli değişen niteliğini yansıtacak şekilde sürekli güncellenmesi şarttır. Ticari ortam gün geçtikçe teknolojiye daha bağımlı hale geldiğinden, güvenlik eğitimleri ve özellikle doğru tutum ve davranışları teşvik eden girişimler daha kritik bir duruma gelmiştir.
Eğitimin verilmesi tek başına yeterli değildir. Yeterliklerin sürekli olarak kanıtlanması ve doğrulanması gerekir. Siber farkındalığın haddizatında kritik bir davranış haline gelmesine ihtiyaç duyulmaktadır. Ancak risk yönetim süreci personel alanının ötesine geçmektedir.
Mühendislik tarafından bakıldığında gemide kullanılan sistemlerin entegrasyonu çok önemlidir. Bu sebepten dolayı fonksiyonların birleştirilmesi ve uyumlu çalışmaları için modern sistemler kurulmaktadır. Bu sistemleri kuranlar, kendi ürettikleri sistemlerin bağlanırlık ve birlikte çalışılabilirlik özelliğinin sağlanması için önemli noktalarda ağ bağlantıları kurarlar. Otomasyonun en ilgi çeken kısmı işte bu süreçtir.
Ancak, sistemler arası bağlantılar öngörülmeyen iletişim yolları açabilmekte ve dolayısıyla sistem güvenliğinden personel eğitimine kadar birçok düzeyde süreci karmaşık hale getirebilmektedir.
Personel ve operatörler, sistemlerin orijinal dizayn ve kuruluş amacına uygun yöntem ve fonksiyonlara göre eğitim alırlar. Müstakil sistemlerin özellikleri ve performansları büyük ölçüde bunları dizayn edenler tarafından dokümante edilir. Bağlantılı, entegre ve/veya birbirine bağımlı yapıdaki sistemleri anlamak daha karmaşıktır.
Diğer yandan, operasyonel verimlilik ve sistem ekonomisine yönelik taleplerin artması, tasarımcılara sistem entegrasyonu konusunda zorlayıcı bir etki yapmaktadır. Ancak; sistemleri, bunların kullanıcılarını, gemileri ve bunların işletildiği doğal ortamları korumak için personelin kendi işletme ortamlarını, arıza modlarını ve zorlukları yenme kabiliyetlerini kavraması gerekmektedir.
Deniz Bilişim Sistemlerinde Siber Güvenlik
Devlet kurumları ve özel kuruluşlara siber tehditlerden korunma hizmeti veren HAVELSAN, özkaynakları ile oluşturduğu, siber güvenlik ekosistemi ile milli siber güvenlik ürünlerini pazara ulaştırmaya çalışıyor
Teknoloji, günlük hayatımızın her alanına girmiş; internet, bilgiye kolay erişim ve eğlencenin çok ötesine geçmiş, birçok alanda kullanılması zorunlu bir araç halini almıştır. Yaşamlarımızın teknoloji ve internet ile bu kadar bağımlı hale gelmesi kişisel bilgilerimizi siber saldırılara karşı tehlikeye attığı gibi ulusal güvenliğimizi tehdit edebilecek istenmeyen durumların oluşması da olasıdır. Bu nedenlerle etkin, güçlü, kaliteli ve ulusal, yerli siber savunma sistemlerinin geliştirilmesi, uygun çözüm ve hizmetlerin sunulması, siber tehditlerin ve kötü yazılımların siber güvenlik laboratuvarında analiz edilmesi, etkilerinin canlandırılması gibi birçok önemli kabiliyetin ulusal güvenliğimiz için önemi açıktır. Ulusal siber güvenliğimiz alanındaki bu gereksinimleri karşılayacak çözümler HAVELSAN kalite ve güvencesiyle sunulmaktadır.
Günümüzde ileri düzey siber saldırılar hedef sistem veya sistemlerde keşfedilmeden önce ortalama 200 gün varlığını sürdürebilmektedir. Amacına ulaşan bir siber saldırı, dikkatli bir planlama ve hassas bir yürütme gerektirmektedir.
Amacına ulaşan bir saldırının ilk adımı, araştırma ve keşif faaliyetlerine başlamaktadır. Saldırganlar ilk olarak hedef araştırması yapmakta ve sistemdeki zayıf halkayı belirlemektedir. Bu zayıf halka çoğu zaman teknik bir ekipman olmakla beraber, bazı durumlarda bir insan da olabilmektedir. Saldırganlar açık kaynaklar (sosyal medya, forum siteleri, erişime açık belgeler v.b.) üzerinden sistemin zayıf halkasını belirlemekte ve hedef üzerinde buldukları zafiyeti en iyi şekilde sömürmek için araştırmalar yapmaya başlamaktadır. Hedef üzerinden elde edilebilecek olası giriş noktaları açık kaynak kodlu programlar ve çeşitli ücretli/ücretsiz lisanslı araçlar ile elde edilebilmektedir. Deniz bilgi işlem alt yapıları ile ilgili bilgilerin de bu şekilde elde edilebilmesi olasıdır. Toplanan veriler saldırganın sayısal ve fiziksel zafiyetleri tespit etmesine yardımcı olmaktadır.
Zayıf nokta tespitinin ardından sıradaki hedef erişim elde etmektir. Hedefe erişim elde edebilmek için çeşitli teknikler mevcuttur. Bu tekniklerin deniz bilgi işlem alt yapılarına karşı kullanılabilmesi de mümkündür. Saldırganlar sisteme erişebilmek için deniz bilgi işlem altyapılarına iç ağdan veya uzak bağlantı aracılığıyla dışarıdan çeşitli saldırı teknikleri uygulayabilirler. Bilgi işlem personeline e-posta üzerinden gönderilen zararlı dosya ve bağlantılar aracılığı ile personelin bilgisayarında erişim elde etmek, tuzak web siteleri aracılığıyla personel hesap bilgilerinin elde edilmesi, sistemde bulunan bir cihaza zararlı yazılım barındıran USB belleğin takılması saldırgana sistem üzerinden erişim sağlayabilecek yöntemlerden bazılarıdır.
Erişim elde edildikten sonra sıradaki hedef yetki yükseltmektir. Sistemi tümüyle ele geçirebilmek için sistemde serbest bir şekilde dolaşabilmek, yetki sınırlamalarından kurtulmak gerekmektedir. Erişilen sistemde bulunan yetki yükseltme zafiyetleri kullanılarak saldırganın geniş yetkiler elde edebilmesi mümkündür.
Sistemde tam kontrol elde eden saldırganın sıradaki hedefi sisteme yerleşmek ve kendini belli etmeden sistemde kalıcı halde bulunabilmektir. Sisteme yüklenen zararlı yazılımlar (rootkit, truva atı, v.b.) ile saldırgan bu hedefini gerçekleştirmektedir.
Sisteme başarı ile yerleşen saldırgan çeşitli boyutlarda etkiler oluşturabilmektedir. Saldırganın elde ettiği yetkiler ve hedefine bağlı olarak oluşturabileceği belli başlı etkiler aşağıda belirtilmiştir:
– Sistemi tamamen kullanılmaz hale getirme,
– Sistemde varlığını sürdürerek hassas bilgilere erişme (kargo, yolcu, mürettebat, v.b. bilgilerinin elde edilmesi),
– Sistem işleyişini değiştirme (seyrüsefer cihazlarının kullandığı bilgilerin değiştirilmesi),
– Sistemin operasyonel süreçlerini aksatma (kritik kalkış/varış bilgilerinin silinmesi, sistemin aşırı yüklenmesi),
– Sistemin mekanik aksamını kontrol etme (makine yönetim sisteminin ele geçirilmesi),
– Sistem servislerini durdurma.
Amacına ulaşan bir saldırıdaki son adım izlerin silinmesidir. Saldırgan sistemde bıraktığı izleri temizleyerek veya değiştirerek saldırı sonrası araştırmaların başarılı sonuçlanmasını engellemeyi amaçlamaktadır. Böylece elde ettiği hassas bilgiler, yasa dışı kazanımlar ve sistemde yarattığı tahribatla beraber olay yerinden ayrılmış olur.
Olası bir siber saldırıdan korunmak amacıyla sağlanması gereken temel bilgi güvenliği prensipleri; gizlilik, bütünlük ve erişilebilirliktir. Gizlilik, bilginin yetkisiz kişilerin erişimine kapalı ve saklanabilir olmasıdır. Bütünlük, bilginin orijinal halinin korunması ve orijinal halini koruduğunun doğrulanabilmesidir. Erişilebilirlik, bilginin yetki sahibi kullanıcılar tarafından daima erişilebilir olmasıdır.
Denizlerdeki bilgi işlem altyapılarına bakıldığında olası hedef sistemlerin arasında iletişim alt yapısı, ağ alt yapısı, köprü sistemleri, itiş–makine yönetimi ve güç yönetim sistemleri, erişim yönetim sistemleri, kargo yönetim sistemleri, yolcu servis-yönetim sistemleri ve yolcu ağ alt yapısı bulunmaktadır.
İletişim alt yapısında karşımıza çıkabilecek bileşenler entegre iletişim sistemleri, uydu haberleşme sistemleri, IP üzerinden ses iletimi (VOIP) cihazları, kablosuz ağ cihazları ve genel alarm sistemleridir. Örneğin, VOIP sistemler aradaki adam saldırılarına ve servis dışı bırakma saldırılarına maruz bırakılarak iletişimin dinlenmesine ve kesilmesine sebebiyet verilebilir. Kablosuz ağ cihazlarının yapılandırmasındaki hatalar nedeniyle kapalı devre olarak çalıştığı düşünülen ağa izinsiz erişim sağlanabilir.
Ağ alt yapısında hedef alınabilecek bileşenler yönlendiriciler (router), anahtarlayıcılar (switch), güvenlik duvarları (firewall), sanal özel ağlar, sanal yerel ağlar, saldırı önleme sistemleri ve güvenlik olay kayıt sistemleridir. Örneğin, yönlendiriciler ve güvenlik duvarlarının ayarlarının yanlış veya eksik yapılması durumunda ağ alt yapısı saldırılara maruz kalabilmektedir. Korumasız liman kablosuz ağları aracılığıyla gemiyle bağlantı kurulması, bu anlamda risk teşkil edebilmektedir.
Köprü sistemlerinde entegre navigasyon sistemleri, konumlandırma sistemleri (GPS), elektronik harita gösterge bilgi sistemleri (ECDIS), dinamik konumlandırma sistemleri (DP), otomatik tanıma sistemleri (AIS), küresel deniz tehdit ve güvenlik sistemleri (GMDSS), radar ekipmanları, sefer veri kayıt cihazları (VDRs) mevcuttur. Örneğin, sefer veri kayıtlarının kara üzerindeki merkezlere taşınırken gizliliğinin veya bütünlüğünün ihlal edilmesine karşı önlemler alınmadığında bu bileşenlerin saldırılara maruz kalması olasıdır.
İtiş–makine yönetimi ve güç kontrol sistemleri arasında motor yönetimi, güç yönetimi, entegre kontrol sistemi, alarm sistemleri ve acil durum yanıt sistemleri yer almaktadır. Bu gibi sistemlerin üretiminde genellikle programlanabilir mantıksal denetleyiciler (PLC) kullanılmaktadır. 2009 yılında bu bileşenlerin kullanıldığı kapalı bir sistem olan İran nükleer tesislerine bir zararlı yazılım (stuxnet) aracılığı ile yapılan siber saldırıda tesisteki santrifüj cihazlarının hızları yükseltilmiş ve daha az verim elde edilmesi sağlanmıştır. Bu tarz saldırılar motor ve güç yönetim sistemlerine de zarar verebilmektedir. Altyapının kapalı bir sistem üzerine kurulmuş olması siber tehditlerin hedefi olmayacağı anlamına gelmemektedir.
Erişim yönetim sistemleri içerisinde gözetleme sistemleri (CCTV), köprü seyir izleme alarm sistemleri (BNWAS), gemi güvenlik alarm sistemleri (SSAS) ve elektronik güverte sistemleri bulunmaktadır. Örneğin, CCTV gibi IoT cihazlarına yönelik zafiyetlerin araştırmaları son yıllarda yükseliştedir. Bu sistemlerde çıkmış veya çıkabilecek bir zafiyet saldırganlar tarafından kullanılabilmektedir.
Kargo yönetim sistemleri arasında kargo kontrol odası (CCR) ve ekipmanları, seviye gösterge sistemleri, valf uzaktan kontrol sistemleri, balast suyu sistemleri ve su giriş alarm sistemleri bulunmaktadır. Örneğin, 2011 ve 2013 yıllarında dünyanın en büyük kargo limanlarından birisi olan Antwerp’in kargo izleme sistemlerine sızan bilgisayar korsanları uyuşturucu kaçakçılarının konteynerlerini sistemden silmiş ve konteynerlerini liman gözetmenlerinin haberi olmadan kendi kamyonlarına yükleyip götürmüşlerdir.
Yolcu servis ve yönetim sistemleri içerisinde eşya yönetim sistemi (PMS), elektronik sağlık kayıt sistemi, finans sistemleri, gemi yolcu/mürettebat giriş/çıkış platformu kontrol sistemleri ve yolcu eğlence sistemleri mevcuttur. Örneğin, yolcularının kendi cihazlarını bağlayabildikleri yolcu ağları ve eğlence sistemlerinin yapılandırmasının yanlış veya eksik yapılması durumunda bir yolcunun cihazından kaynaklanan bir zafiyet hem diğer yolcuların cihazlarını hem de bağlandıkları sistemi risk altında bırakabilmektedir.
Deniz bilişim altyapılarının siber saldırılardan zarar görebilmesi mümkündür. Olası güvenlik ihlallerinin engellenmesi, teşhis edilmesi ve etkilerinin hafifletilmesi için düzenli olarak sızma testi ve zafiyet denetimi gerçekleştirilmesi, gemi teknik personelinin siber güvenlik risklerinden haberdar olması ve yeterli eğitimi alması önem arz etmektedir. Ayrıca deniz bilişim altyapılarına kurulacak güvenlik verisi görselleştirme teknolojileri yardımıyla sistemlerin izlenmesi ve sistemlerde oluşan anomalilerin tespit edilip önlenmesi mümkündür.
Siber tehditlerin hayatımızın her alanında hızla arttığı günümüzde HAVELSAN Siber Savunma Teknolojileri Merkezi (SİSATEM), devlet kurumlarına ve özel kuruluşlara yönelik çeşitli hizmetler sunmaktadır. Siber Güvenlik Operasyon Merkezi hizmeti ile kurum ağları ve servisleri gerçek zamanlı olarak izlenmektedir. Bu kapsamda hizmetlerde meydana gelen olağandışı durumlar ve servis kesintileri raporlanmaktadır. Siber Yazılım Analiz ve Test hizmeti ile kurumların geliştirdiği yazılımlar statik ve dinamik kod analizi ile incelenmektedir. Kamu ve Özel Sektör Kurumsal Destek Hizmetleri ile kurumların ağ ve güvenlik ihtiyaçları analiz edilmekte ve ihtiyaç duyulan çözümler uygulanmaktadır. Eğitim Hizmetleri ile kurumların yetkin iş gücü artırılmakta ve ülkemizin ihtiyaç duyduğu siber güvenlik personeli yetiştirilmektedir. HAVELSAN öz kaynakları ile ve siber güvenlik ekosistemi ile birlikte geliştirilen yerli ve milli siber güvenlik ürünlerinin pazara ulaştırılması ve yaygınlaştırılması ile ülkemizin siber güvenlik ekosistemine katkı sağlanmaktadır.
Denizcilik sektörü ve siber saldırılar
Denizcilik sektörü, siber saldırılara karşı gerekli önlemleri almada tüm dünyada en son sırada gelen sektörlerden biri. Birçok “Hacking” olayının yaşanmasına rağmen, küresel boyutta siber saldırıları önlemeye yönelik çalışmalar henüz hayata geçirilmedi
M/V VICTIM yükünün bir kısmını üç gün önce Seyşeller’in Victorya limanına boşaltmış, bir sonraki limanı olan Manama-Bahreyn’e yolu neredeyse yarılamıştı. Kaptan Careless dürbünüyle ufku taradı. Görüş mesafesinde Victorya’dan ayrıldıklarından beri 2000 yarda pupalarından gelen M/V HACKER motor yatından başka bir gemi yoktu. ECDIS’teki elektronik haritada gemi rotasında görünüyordu. AIS’de pruva istikametinde 150-200 mil mesafede gemi trafiğinin, M/V VICTIM’in bulunduğu bölgeye göre daha yoğun olduğunu gördü. Yoğun deniz trafiği olan bölgenin, Aden Körfezi’nde 2009’da deniz haydutluğu ile mücadele için güvenli güzergâh olarak tesis edilen ve Uluslararası Deniz Kuvvetleri unsurlarınca korunan Uluslararası Tavsiye Edilen Transit Koridoru’nun (IRTC) batı girişi olduğunu ve ticari gemilerin orada konvoy oluşturduklarını anladı. Radara baktı, pupadaki temas haricinde ekran bomboştu. Victorya’dan beri 2000 yardadan adeta kendilerini takip eden bu gemiden önceleri biraz rahatsız olsa da Hint Okyanusu’nun deniz haydutlarıyla dolu bölgesinde seyreden bu küçük motor yatın, başka bir geminin yakınında bulunarak kendisini daha güvende hissediyor olabileceğini düşündü. Doğrusu yakınlarda birilerinin olması kendileri için de güven vericiydi. Muson mevsiminin ardından gelen hafif dalgalı bu güzel havada sorunsuzca seyretmek Kaptan Careless’ı oldukça rahatlatmıştı. Otopilotu kontrol edip, sancak taraftaki koltuğa oturdu.
Açık kaportadan esen rüzgârın harita masasından uçurduğu kâğıtların sesiyle gözlerini açtığında güneş batmak üzereydi. Birkaç saat kestirmiş olmalıyım diye düşündü. Pruva ve iskele baş omuzluk istikametinde karaltılar gördü. Hürmüz Boğazı’na bu kadar çabuk gelmiş olamazlardı. Hemen radarın başına koştu; pruva hattı ilk baktığındaki gibi planlı rotayı gösteriyordu ancak pruva 40 milde bir ada ve iskele baş omuzlukta ise ana kara görünüyordu. Haritaya baktığında en yakın adanın Sokotra Adası ve ana karanın ise karşısındaki Somali sahilleri olabileceğini düşündü. ECDIS’ten mevkii ve rotayı kontrol etti; haritada planlı rota bacağı üzerinde görünüyordu. Geminin rotadan çıkmış olduğunu ve ana rotadan bu kadar sapabilmek için uzun süredir farklı bir rotada gittiklerini anladı. O sırada iskele baş omuzlukta bir hareketlilik fark etti; iki skif botu yüksek süratle gemilerine yaklaşıyordu. Botlarda bulunan 5-6 kişinin ellerinde silah veya benzer donanım olduğu dürbünle görülebiliyordu. Destek ararcasına uzun süredir birlikte seyreden M/V HACKER’a baktı; motoryat sanki biraz daha yaklaşmış ve güvertesindeki birkaç kişi denize bir bot indirmeye çalışıyordu. Gemi alarmını çalarak personeli deniz haydutları ile mücadeleye çağırdığında, skiflerden yapılan seri atışların mermileri gemi bordasına isabet etmeye başlamıştı.
Capt. Dana Goward ve Prof. Todd Humpries’in “How To Steal A Ship?” (Bir Gemi Nasıl Çalınır?) başlıklı makalesini okurken, kurguladığım bu hayali senaryonun gerçekleşme olasılığı sizce ne kadar yüksektir?
Haziran 2017’de Karadeniz’de Novorossiysk Limanı açıklarında seyreden 25-30 civarında geminin GPS mevkilerinin aynı anda 125 mil kuzeydeki Gelendzig Havaalanı’nda görünmesi ve bu tür olayların aynı bölgede farklı zamanlarda en az iki kez daha meydana geldiğinin rapor edilmesi, seyir sistemlerine uzaktan da müdahale edilebileceğini gösteriyor.
Ne yazık ki gemilerdeki elektronik seyir, GPS, ECDIS ve AIS sistemleri, bu ve benzeri kötü niyetli elektronik müdahalelere karşı hassas ve açıktır.
Genelde “Hacking” olarak bildiğimiz bu kötü niyetli elektronik müdahalelerin denizcilik sektöründeki etki alanı maalesef bu kadarla sınırlı değildir.
En temel saldırıların iletişim sistemlerine yapıldığı rapor edilmektedir. Örneğin, Aralık 2014’te büyük bir denizcilik firmasının 10 milyon dolarlık bir para transferi “hacker”ların kasasına gitmiştir. 2017’de ise benzer şekilde 644.000 dolar başka bir denizcilik firmasından dolandırılmıştır.
Siber saldırıların en güncellerinden biri de Haziran 2017’de “notpetya-ransomware” türü bir virüsün A.P. Moller-Maersk denizcilik şirketinin dört farklı ülkedeki terminallerinin bilgisayar ağına bulaştırılması ile gerçekleştirilmiştir. Haftalarca yükleme ve boşaltma işlemleri sekteye uğrayan şirketin sadece bu saldırı nedeniyle uğradığı zarar 300 milyon dolar civarındadır. Bu saldırı sonucunda, siber saldırganlarca yük elleçleme sistemlerinin de hedef alınabildiği görülmüştür.
2010 yılındaki BP tankerinin Meksika Körfezi’nde sebep olduğu tarihin en büyük petrol sızıntısında bir siber saldırı izine rastlanmasa da, gemi ve denizdeki petrol platformlarına ait donanımların da bu tür müdahalelere açık olduğu bazı raporlardan bilinmektedir.
Söz konusu kötü niyetli elektronik müdahaleler; hedef gözeten karıştırma, şaşırma ve aldatma içerikli, uzaktan ve kasıtlı siber saldırılar olabileceği gibi, korumalı ağların açıklarından sızan, bir bilgisayara bulaştırılan, personelin şahsi ve kurumsal e-postalarının içeriğine ustaca saklanmış, gemi işletim ve seyir sistemlerinin yedekleme ya da güncelleme programlarının taşındığı hafıza kartlarına gizlenmiş bir virüs veya Truva Atı sayesinde de olabilir.
Sistemlerimize ne kadar güvenirsek güvenelim, bu tür saldırıların başlangıç noktası hiçbir şeyin farkında olmayan bir gemi adamının tedbirsizliği sayesinde gerçekleşebilir.
Siber saldırı uzmanları bir mülakatta “gemilerin uzaktan “hack”lenmesi hiç bu kadar kolay olmamıştı” sözleriyle, gemilerin kolay hedef konumunda bulunduğunu itiraf etmektedir.
Konuya başka bir açıdan yaklaşan FBI Direktörü ise; “İki tür işletme vardır; “Hack”lenenler ve “hack”lendiğinin farkında olmayanlar” diyerek tehlikenin yaygınlığına ve maruz kalanların kayıtsızlığına dikkat çekmektedir.
Bu yönde ilk siber strateji ve yöntemlerini 2014 ve 2015 yıllarında ortaya koyan ABD Hükümeti ve ABD Sahil Güvenlik teşkilatı olmuş, IMO, ICS ve BIMCO gibi uluslararası denizcilik örgütleri ancak 2016 yılından itibaren tedbirleri de içeren kılavuzlar yayımlayabilmişlerdir.
Bunun sonucunda, siber saldırılara karşı gerekli tedbirlerin uygulanmasında sadece ülkemizde değil, tüm dünyada denizcilik sektörü diğer sektörlerin gerisinde kalmıştır.
Başka bir ifadeyle, armatörler, gemi işletmecileri ve gemiler siber saldırganların atış hattındadır.
Söz konusu siber saldırı yöntemleri, devletlerin ulusal çıkarlarının gerçekleştirilmesi için bir araç olarak kullanılabileceği gibi, küresel veya yerel şirketlerin rekabetine yönelik kötü niyetli girişimlerde, deniz haydutluğunda ya da en basit şekliyle fidye elde etmek amacıyla kullanılabileceği unutulmamalıdır.
Bu nedenle tedbirler de devlet-şirket-personel seviyeleri için ayrı ayrı, detaylı ve ulusal çözümlerle geliştirilmelidir.
Denizcilik sektörüne yönelik siber saldırılara karşı alınabilecek tedbirlerden söz etmek gerekirse, IMO’nun 5 Haziran 2017’de yayımladığı Siber Risk Yönetim Kılavuzu bu konuda başlangıç noktamızı oluşturabilecektir. Nitekim IMEAK Deniz Ticaret Odası da bu kılavuzu uygulamaları için Türk denizcilik sektörü ile paylaşmıştır.
Gemiler için siber risk koruması gerektiren sistemleri bilgi ve operasyonel teknolojiler olarak iki kategoride ele almak gerekir. Bu sistemlerin zayıf ve hassas noktalarının kullanıcılar tarafından iyi bilinmesi son derece önemlidir.
Söz konusu sistemlere temel tehdit olan, kötü niyetli müdahale (hacking) veya virüs bulaştırılması, yazılım yenilenmesi ve kullanıcı izinleri gerektiren durumlar, güncelliğini yitirmiş yazılım ve etkisiz güvenlik duvarları öncelikle önlem alınması gereken hususlardır.
Denizcilik sektörü açısından birkaç yüz dolarlık basit cihazlarla veya küçük bilgisayar programlarıyla yaratılan milyonlarca dolarlık bu etkinin, ekonomi açısından çok önemli bir endişe kaynağı olduğu açıkça görülmektedir.
Tedbir alınmadığı takdirde, yakın bir gelecekte “autonomous ships” projesi ile kullanımına başlanacak insansız ticaret gemileri ile bu kaygılar daha da artacaktır.
Denizcilik alanında siber güvenlik
Bilgisayar teknolojileri günümüzde karmaşık sistemlerin yönetilmesini doğrudan sağlamaktadır. Ancak bu sistemlerdeki eksiklikler insanlar tarafından algılanabildiğinden önemli sorunların ortaya çıkmasını kolaylaştırıyor
Denizcilik sektörü, kendisini deniz ulaştırma sistemi olarak da tanımlayabilmemize imkân veren karmaşık, geniş, açık ve bütünleşik bir sosyo-teknik yapıya sahiptir. Bu sistem, dünya ekonomisinde büyük rol oynayan kritik altyapıları ve bu altyapıların inşalarını, işletilmelerini ve yönetilmelerini sağlayan organizasyonları kapsamaktadır. Günümüzde, bilgisayar ve enformasyon teknolojileri ile böylesine karmaşık bir sistemin yürütülmesi doğrudan sağlanmaktadır. Bu açıdan bakıldığında, denizcilik alanında siber güvenlik, siber alanların denizel alanlar ile kesiştiği fiziksel ve enformasyon altyapıları ile ilgilidir. Kritik altyapıların tanımına göre, bu yapılara gelebilecek herhangi bir saldırının ulusal boyutta ekonomik ve sosyal düzende zarar oluşturması beklenmektedir. Limanlar ve gemiler, bu bağlamda, endüstriyel kontrol sistemleri ile bütünleşmiş olan bilişim teknolojilerine sahip kritik altyapılar olarak karşımıza çıkmaktadırlar.
Siber tehdide maruz kalabilecek sistemler arasında; köprü üstü sistemleri, kargo elleçleme ve yönetim sistemleri, makine yönetim ve güç kontrol sistemleri, giriş kontrol sistemleri, yolcu hizmet ve yönetim sistemleri, yolcu açık kamu ağları, idari ve mürettebat refah sistemleri ve haberleşme sistemleri ilk sırada yer alır.
Avrupa Ağ ve Bilgi Güvenliği Ajansı (ENISA) da denizcilikte siber güvenlik temalı bir rapor sonunda denizcilikte siber güvenlik açısından yedi büyük eksiklik bildirmiştir. Bu eksiklikler; düşük farkındalık ve odaklanma, deniz sistemlerinin karmaşık yapısı, denizcilik alanındaki ulusal ve uluslararası bağlamda bütüncül yönetim anlayışının olmaması, deniz düzenlemelerinde siber alanın güvenliğine ilişkin yetersizlikler, siber güvenlik konusunda bütüncül bir anlayışın olmaması, denizcilik sektöründe siber güvenliğin artırılması için ekonomik teşvikler ve girişimlerin olmaması ve çalışmaları motive etmek için teşviklerin eksikliği olarak sıralanabilir.
Literatürde yapılan diğer çalışmalarla birlikte değerlendirildiğinde, siber güvenlik açıkların ortak noktası, çözümlerinin, farkındalık ve bilgi eksikliğinden kaynaklanan boşlukları dolduran insan merkezli yaklaşımlarla bulunabilmesidir. Böylelikle, deniz bilgi teknolojileri (BT) sistemlerinde güvenlik açıklarının düşük farkındalığı, denizcilik sektöründe denizcilik siber güvenliği için doğrudan tehdit oluşturan başlıca faktörlerden biri olarak alınabilir. Dolayısıyla denizel alanda siber güvenlik sosyo-teknik bir yaklaşımla ele alınması gereken bir konu durumuna gelmiştir. Teknik bilgi, insan faktörü ve ulusal/uluslararası regülasyon ve politikalarla birlikte ele alınmalıdır.
Liman temelli siber uzay
Liman teknolojileri, donanım ve yazılım teknolojileri olmak üzere iki grupta incelenmektedir. Donanım kısmında ekipman teknolojileri, liman inovasyonlarının önemli bir bölümünü teşkil ederken liman bilgi sistemleri bilgi işlem teknoloji sistemleri Liman Yönetim Bilgi Sistemleri (LYBS), Terminal İşletim Sistemleri (TİS) ve Liman Topluluğu Bilgi Sistemleri (LTBS) olarak üç ana başlık altında toplanabilir. Bilgi İşlem Teknolojileri (BİT) sistemleri, genellikle son derece karmaşık ve aynı zamanda özelleştirilmiş teknolojik elemanları içermektedir. Güvenlik özelliklerine odaklanırken bir yandan da denizcilik sektöründe tam otomasyon yolunda hızlı bir şekilde teknoloji geliştirme süreci içerisindedir. Sektörde düşünülen güvenlik açıkları genellikle BİT karmaşıklığı ile eşleşmemekte ya da buna bağlı teknoloji bakış açılarını kapsamamaktadır. BİT sistemlerindeki açıklar yapı itibariyle günümüz teknolojisine uyum sağlayamamakta ve farklı bakış açılarını kapsamamaktadır.
Gemi temelli siber uzay
Teknoloji gelişmeye devam ederken, gemilerdeki bilgi teknolojisi ve operasyonel teknoloji giderek hem birbirine hem de dünya çapındaki ağa bağlanmaktadır. Bu iletişim ağı, geminin sistemlerine ve ağlarına kötü niyetli saldırıları ya da yetkisiz erişimleri daha büyük bir risk haline getirmektedir. Dolayısıyla bir geminin tüm makine, navigasyon ve iletişim sistemleri siber tehditlere maruz kalabilir. Bu tehditler, sistemde ya da yazılımda teknik insan hatası veya siber suçlular tarafından sistemin zayıf noktaları veya açıklıkları bulunduğu zaman siber saldırıya dönüşebilir.
Gemi ortamı dikkate alındığında, elektromanyetik alana sahip, siber uzay olarak nitelendirebileceğimiz iletişim ve ağ teknolojilerinin başında aşağıdaki cihazlar gelmektedir: GPS, AIS ve ECDIS.
Bunların yanı sıra RADAR, VDR, INMARSAT, GNSS, DSC, LORAN da gemi üzerinde kullanılabilen diğer enformasyon araçlarındandır.
Ayrıca, güç kaynağı kontrolü ve makine izlenmesi için SCADA, CCTV, BNWAS, geçmişi izleme ve elektronik seyir defteri, uzaktan izleme, gemide Wİ-Fİ ya da internet bağlantısı LAN ve VOIP teknolojileri ile birbirine entegre edilmiştir.
Liman ve gemilere yönelik siber saldırı yolları
Liman ve gemilere yönelik tehditler; politik aktörler, rakip şirketler, suç örgütleri, özgür hackerler ve kullanıcılar olabilir. Dolayısıyla gemi ve liman sistemleri için riskler çeşitlidir ve şu şekilde listelenebilir; Gemideki sistemler, seyir bilgisi ‘Hayal Aleminde’, ana limanlardaki sistemler, denizcilik şirketlerindeki ana bilgisayar sistemleri, diz üstü bilgisayar, akıllı telefonlar, USB anahtarlar.
Limanlar açısından ele aldığımızda dört temel saldırı açığı karşımıza çıkmaktadır. Bu saldırılar:
Kargo izleme sistemlerine erişerek kargo veri tabanı silmek veya değiştirmek, liman kontrol sistemlerine erişerek otomatik vinç sistemlerinde kesintiye neden olarak elleçleme, yükleme ve boşaltma işlemlerinin yapılmasını önlemek, GPS sinyallerini keserek liman operasyonlarının sekteye uğratılması, kontrol sistemlerine erişilerek faturalama veya kredilendirme ile ilgili verilerin değiştirilmesi.
Gemi tabanlı saldırılar ise; GPS yayınının Bozulması, ECDIS ve AIS manipülasyonu, sensör verilerinin bozulması, kontrol sistemlerine girerek geminin hızının değiştirilmesi şeklinde karşımıza çıkabilir.
Dyryavyy (2016) yaptığı araştırmada ECDIS üzerinde çok fazla açıkla karşılaşılabildiğini belirtmiştir. Bu açıklar şöyle tanımlanmaktadır: Dizin Geçişi, İzin Verilen Tehlikeli HTTP Yöntemleri, Eski Apache Web Sunucusu Yazılımı, HTPP Üst Bilgi Enjeksiyonu
Denizcilik alanındaki güvenlik regülasyonları ve siber güvenlik
Denizcilik sektöründe, siber güvenlik ile ilgili regülasyonlar ve kodlar mevcut durum için eksiktir. Literatür incelendiğinde “Gemi Güvenlik Planı (SSP) ve Emniyet Yönetimi Manueli (SSM) denizcilik siber politikaları ile entegre edilmesi gerektiği yönünde görüşler vardır. Bu görüşlere göre, geliştirilecek ya da diğer denizcilik güvenlik kodlarına dahil edilmesi gereken konular şu şekilde listelenebilir; Bilgi Teknoloji IT sistemleri risk analizi, IT sistemlerdeki uygulanabilir seviye, IT sistemlerinde kabul edilebilir bir seviyede riskleri azaltmak için gemi ve kıyılarda koruyucu güvenlik ölçümleri geliştirilmeli, gemide çalışan operasyonlara bağlı olarak uygulanabilir kısıtlamaları gösteren internet erişim güvenlik politikası, taşınabilir depolama medyası kullanımı politikaları örneği, USB, harici hafıza, CD/ DVD, Wi-Fi ağı ve personel için ağ erişim kontrolleri ve politikaları, bilgi ve seyir sistemlerinin güncellenmesi ve bakımı için prosedürler ve politikalar, çeşitli gemi sistemlerinin duyarlılık seviyelerine göre temellenmiş fiziksel ve uygun erişimler, sistemin görüntülenmesi ve bakımı için şirket personeli tarafından uzaktan kumanda erişimi için yetki kriterleri, bilgi sistemleri için acil plan, siber olay yönetim prosedürü: keşif, raporlama, değerlendirme, karar tepki, kurtarma ve öğrenilen ders, siber güvenlik riskleri ve kontrolleri üzerine mürettebatın, makinecilerin, zabitlerin ve kaptanın farkındalığı ve eğitimi.
Denizcilik Sektöründe İnsan Faktörü ve Siber Güvenlik Farkındalığı
Denizcilik sektöründe siber güvenlik algısı ve farkındalığını anlamak için çeşitli kuruluşlar anket düzenlemeye başladılar. Örneğin, denizcilik sektörü için 22 Temmuz 2016’da BİMCO ile birlikte IHS Markit tarafından bir siber güvenlik anketi yapıldı. Ankete göre, 300 sektör katılımcısının 65’i bir siber saldırı yaşamıştır ve siber saldırıların yüzde 70’i güvenlik duvarları tarafından engellenmekle birlikte, saldırı niteliklerinin yüzde 77’sini kötü amaçlı yazılımlar, yüzde 52’sini ise savunmasız gemi kaynaklı konumlandırma sistemleri oluşturmaktadır.
Aynı organizasyon, 2017’de BIMCO ile birlikte “Denizde Siber Güvenlik Anketi 2017” olarak adlandırılan ve “Denizde Siber Bilinç Oluşsun – Be Cyber Aware At Sea” Kampanyası tarafından desteklenen denizcilik siber güvenlik anketi yapmıştır. Örgütler, şirketlerin personelini hazırlamak için ne yaptıklarını ya da ne yapmaları gerektiğini ve organizasyonların yükselen siber tehdidine karşı nasıl önlem aldıklarını bulmaya çalışmışlardır. Sonuçlara göre, katılımcıların yüzde 34’ü son 12 ay içinde bir siber saldırıya maruz kalmıştır.
Öte yandan, “Maritime Cyberwatch” adlı çalışma denizcilik sektöründe türünün ilk araştırmalarından biridir. Anket, deniz organizasyonlarının siber tehditlere yönetim seviyesinde nasıl yaklaştığını araştırmıştır. Anketin sonuçları, katılımcı denizcilik ve denizcilik şirketlerinin yüzde 90’ının BT bütçelerinin siber güvenlik ve esneklik üzerinde yüzde 20’sinden azını, yüzde 70’inin BT bütçelerinin yüzde 10’u altında harcanmasını ve yüzde 10’u kesinlikle hiçbir şey harcamadığını ortaya koymuştur.
Türkiye’de denizcilik sektöründe teknolojiye olan bağımlılığın anlaşıldığı, ulusal literatür incelemlerinde ortaya konuldu. Bununla birlikte, denizcilik sektöründe artan otomasyon eğilimi de olumlu karşılanıyor. Buna ek olarak teknolojinin insan kaynağının yerine geçmesi ile doğabilecek problemler için de endişe duyuluyor. Bunun nedenleri arasında; Güverte sistemlerinin saldırılara karşı korumasız olduğuna, gemide güverte sistemlerinde oluşabilecek hataları farkedecek zabit ve sistem operatörlerin olmadığını, gemi mürettabatının çevrimiçi işlemleriyle ilgili olarak güvenlik protokollerini genel olarak anlamadığı ve bu protokole uymadığını, gemi elektronik sistemlerin bakımı ve güncelleştirilmesinde, eğitimli personelin olmaması, maliyetin yüksek olması farkındalığın düşük olması ve lojistik zorluklarla karşılaşılması nedenleriyle engeller çıktığını düşünmesi olarak gösterilebilir.
Ulusal ve uluslararasında yukarıda bahsedilen çalışmalar temelinde denizcilik sektörü için siber güvenlik farkındalığı düşük fakat siber güvenlik riskleri yüksek olan bir sektör şeklinde bir tanımlama yapabiliriz. Denizcilikle ilgili yapılan az sayıda çalışma, siber güvenlikle ilgili denizel alan dışındaki çalışmaların, denizel alana aktarılması ve ulusal ve uluslararası olarak denizcilik alanında, siber güvenlik farkındalığının eğitimler yoluyla artırılması önerilmiştir.
Endüstri 4 çerçevesi kapsamında dijital dönüşüm kaçınılmaz olmuştur. Deniz Ulaştırma Sistemi de bu dönüşüm sürecinde de tüm bileşenleri ile yerini alacaktır ve her geçen gün BİT sistemlerine bağımlı hale gelecektir. BİT kaynaklı güvenlik açıkları siber saldırıların hedefi olma riskini her zaman taşıyacaktır. Bu açıdan ele alındığında ulusal ve uluslararası politikalarda deniz güvenliği gündemlerinden biri de siber güvenlik olmuştur. Fakat siber güvenlik, diğer güvenlik saldırılarından farklı olarak saldırı sürecinde saldırılanı aktif olarak saldırının gerçekleşmesi için kullanabilen bir yapıya sahip olması nedeniyle ayrışabilir. Dolayısıyla sadece teknik açıdan değil, deniz siber uzayında insan faktörü, son kullanıcı, kullanıcı davranışı ve psikolojisi gibi konuları da kapsayacak şekilde ele alınmalıdır.
