v Security 1 – SCADA v Güvenlik Serisi 1
İlk inceleme fırsatı bulduğum yer Kayseri KASKİ oldu. Bilmeyenler için KASKİ, Su ve Kanalizasyon idaresi olarak biliniyor. Atık suyu arıtma ve dönüştürme tesisi olarak da tanımlayabiliriz. Her ne kadar bunları içme suyu olarak kullanmasak da bu konuda şüphelerim olduğunu inceleme fırsatı bulduğum yerde de dile getirdim fakat bundan önce SCADA ne demek isterseniz ona cevap verelim?
Kısaca, akıllıların ürettiği kapsamlı, komplike hatta kaotik fakat düzenli izleme sistemi olarak tanımlayabiliriz. Bu tanımda bana ait. Örneğin; ülkenin elektriklerini acil kesmeniz gerektiğinde bir hem mekanik hem yazılımsal kontrol merkezi bulundurmak zorundasınızdır. Şebekeleri 50 Hertz dolaylarında arasında çalışan Türkiye şebekelerini hala elle kapattığımız yerler mevcut, bir taraftan elle müdahele daha güvenli gözükse de yüksek oranda zaman kaybıdır, diğer taraftan dijital kontrol merkezleri daha efektif ve pratik iken güvenlik aşamaları da bir o kadar sıkıntılıdır. Türkiye’de SCADA güvenliği hususunda bireysel çalışma yapan tanıdığım çok az insan var, aslında tam olarak var mı onu bile bilemiyorum duyduklarım kadarıyla yorum yapabiliyorum. Günümüzün web, masaüstü ve mobil saldırıları her zaman insanlığı tehdit edecek elbette ki fakat gelecek, dünden belli diyorum ve el atılmadığı sürece ciddi sorunlar ile karşılaşacağımızı düşünüyorum.
Aşağıda görmüş olduğunuz Grafik-1 isimli diyagramda Türkiye en çok hacking saldırıları yapılan ve kişisel hesaplarını hackerlara kaptıran 5. ülke konumunda. Yani daha kişisel kullanım alanlarımız olan bilgisayar için bile vahim durumdayken siz gelin bir de elektronik sistemlerimizi hayal edin. Comodo EMEA bölgesi satıştan sorumlu başkan yardımcısı olan Erdem Eriş’in açıklaması ise “Bizden önce Amerika, Rusya, Çin ve Hindistan geliyor. Sıralama değişebiliyor ancak biz hep ilk 5’teyiz” dedi. İlk 5’te olmamız çok vahimdir, neden?
Çünkü, Çin ve Hindistan gibi ülkelerin nüfusları aşikar, Amerika ve Rusya’da bizden çok daha kalabalık ülkeler, zaten oranlara baktığınızda Çin ve Hindistan hep ilk sıraları paylaşacaktır. Fazlaca popüler olan Amerika, onun kimi zaman ebedi müttefiki kimi zaman düşmanı olan Rusya’da bu dertten muzdarip, eğer popülerseniz saldırı almanız kaçınılmaz. Zamanında bu yüzden çok popüler olmak istemediğimi belirtmek isterim. 🙂
Geçtiğimiz günlerde Arbor Network yani Uluslararası Siber İstihbarat örgütü Eylül ayı için bir grafik yayımladı. Geçtiğimiz Ekim ayında Türkiye’nin almış olduğu siber saldırının günlük azami 516 olduğunu belirtti. Yapılan açıklamaya göre saldırıların %29’u ABD kaynaklı iken %29’u ise Türkiye içinden gerçekleştirildi. Gelen saldırıların en büyük iki diğer kaynağı ise %21 ile Hollanda ve %20 ile Almanya. FETÖ yani Fethullahçı Terör Örtügü’nün neredeyse tüm sunucularının Almanya ve Hollanda’da olduğunu düşünürsek çokta yanılmamış olduğumuzu düşünüyorum.
Fakat bu konuda öz eleştiri yapmamız gerektiğine inanıyorum; Symantec tarafından 2016 yılında yayınlanan veriler Türkiye’nin DDOS ve diğer saldırılar için en çok “bot” ağına takılmış ülke durumunda olduğunu belirtiyor. İkinci sırada İtalya ve daha sonra Macaristan geliyor. İnsanların siber suçlar ile ilgili hiçbir bilgisinin olmadığını buradan net bir şekilde anlayabiliyoruz.
Durumun bu kadar vahim olduğunu anladıktan sonra, yahu ne SCADA güvenliği ilk önce kişisel bilgisayarlarımızı koruyalım dediğinizi duyar gibiyim bu makalemi bir çok devlet kurumuna mail attım. Buradan yazmamış olduğum çözüm önerilerini ve teklifleri de aynı mail de ilettim. Burada da kısa kısa değineceğim. SCADA’nın kapsadığı alanlar öncelikli olarak Su, Elektrik ve Doğalgaz’dır. Ülkemizde SCADA güvenliğini sağlayan sadece tek bir kurum vardır o da HAVELSAN’dır. Şu an müdahale edebildikleri en ciddi alan ise haberleşme ağlarıdır. 2015 yılında başlayan bu proje aynı zamanda 20 Hidroelektrik Santrali otomasyon sistemlerinin iş sürekliliği ve siber güvenliğini artırmak için altyapı, donanım yazılım / lisans, bakım, servis, eğitim ve analiz ihtiyaçları sağlamaktadır.
Fakat yetersiz geldikleri aşikar, çünkü tek başına her şeye yetişmek ne yazık ki imkansız ayrıca Türkiye’de bazı açık kaynak kodlu yazılımları kullanarak, SCADA için “Security Operation Center” kurulumu yapan firmaların samimiyetine ne yazık ki çok inanamıyorum. Bu tarz konular maddi karşılıklar için değil, bir aşk bir vizyon için yapılmalıdır. Bu işin elbette bir mali külfeti vardır fakat tam güvenlik senaryosu adıyla devletin paralarıyla “güvenlikçi” olduğunu iddia edenlerin amaçlarının çokta bu olduğuna emin değilim.
Bunları yazıyorsun evet ama Türkiye’nin en kritik noktaları nere biraz bilgi verir misin, dediğinizi de duyuyorum. Öncelikli olarak diye bir paragraf belirtmiyorum çünkü hepsi birbirinden önemli ve kritik alt yapılar; Kamu servisleri, Telekomünikasyon, Ulaşım, Bankacılık, Sağlık diye sıralayabiliriz. Tabii bunların hepsi SCADA’yı kullanmıyor kimi servisler Bilişim Teknolojileri alanından faydalanırken kimileri de Elektronik sistemler başlığıyla SCADA’yı kullanıyor zaten detayları daha önce belirtmiştim. SCADA, kullandığımız suyu, bindiğimiz metroyu, nükleer santralleri derken bir çok konuyu otomasyon olarak kontrol eder. Ülkemizin SCADA güvenliğini ise genelde Siemens ve Alstom karşılamakta aşağıda görmüş olduğunuz grafikte firmaların ne kadar sistemi kontrol ettiğinin verileri bulunmaktadır.
Fazla uzatma öneri ver dediğinizi biliyorum, görünmez savaş uçağı elbette üretilmelidir, önemlidir veya nükleer denizaltı da şarttır ama ilk önce bu altyapıların oluşturulması için ciddi bir siber güvenlik yatırımı şarttır. Bugün tam kapsamlı bir savunma ve aynı zamanda saldırı merkezi için en az 1 milyar dolar civarında yatırım yapmamız önerilmektedir. Kan emici güvenlik firmalarının “balık ağından” kurtulmak için milli proje ve atılım şarttır. Bugün Türkiye’nin önde gelen siber güvenlik firmaları ki bunlar sadece web,mobil ve masaüstü uygulamaları için güvenlik sağlamaktadır bu güvenliklerin ise tamamen yazılımların inisiyatifinde olduğunu hepimiz bilmekteyiz. Siber güvenliğin içinde olan arkadaşlarım beni yanlış anlamasın ama varlığını sürdüren firmalar iki program, üç 7/24 cevap için devlet kurumlarıyla kurumlar bazında yıllık 400 bin Türk lirasına anlaşmaktadır, bilginiz var mı bilmiyorum 🙂 Rakamların farkında mısınız, Nessus ve NetSparker sağolsun diyorum ve tekelleşmesine izin vermememiz gereken SCADA güvenliğine geri dönüyorum.
Bir atık su ya da içme suyu otomasyonu nasıl çalışır, kısaca özetlemem gerekirse binalarımızın alt yapılarından bulunan kanalizasyon borularımız ile suyun takviyesi arıtma tesisine yapılır. Yükseltici istasyona ulaştıktan hemen sonra “grit” dediğimiz ayıklama bölümüne ilerler buradaki amaç suyun içindeki anti maddeleri ayrıştırmak için yapılmaktadır. Arkasına birinci havuzda çamurlu su kıvamında bulunan atık su veya içme suyu havalandırma havzasından geçirilerek üfleyici ünitesine gider. Bu üniteler de “Green Power” dediğimiz arındırma işlemi başlar, 2011 yılında Windows platformunda Green Power için çok ciddi bir remote exploit zero-day bulunmaktaydı. Arındırılmış su digester yani sindiriciye ardından katı maddelerden mikro seviye ayrıştırılmak için “arıtma havuzuna” ilerler, bu katı maddeler ise sulu çamura dönüştürülerek box dediğimiz geri dönüşüme ilerler.
Tabii ki bu çamurlar incelenmek üzere laboratuvara gönderilir çünkü suyun içinde aksi ve zararlı bir madde var mı ya da atılan parçanın güvenliği test edilir. Çamurdan ve katkı maddeden arındırılmış su merkezden ayrılır ve daha farklı akış borularından ilerleyerek “treatment” yani tedavi edilmeye, işlenecek hatta doğru yol alır. Devamı malum, kullanılabilir bir kaynak ise evlerimize değil ise denize ya da bitkileri sulamak için kooperatif tanklarına gönderilir. Buraya kadar elimden geldiği şekilde Türkçe ve özetlemiş şekilde anlatmak istedim.
Şimdi finale gelip, Kayseri KASKİ’deki durumu anlatmak istiyorum ama heyecanınızı diri tutmak adına, bunu ikinci bölüme bırakıyorum. İkinci bölümümüze fazlaca elektrikten bahsettiğimize göre “Elektrik hatlarına yapılacak saldırılar ve savunmaları” ile ilgili bir bilgilendirme makalesi yazmayı hedefliyorum. Esen kalın..