View
321
Download
1
Embed Size (px)
Citation preview
Kritik Enerji Altyapılarına
Gerçekleşmiş Siber Saldırılara
İlişkin bir Degerlendirme
Ayhan GÜCÜYENER
Kritik Enerji Altyapılarını Koruma Semineri
10-11 Mart, İstanbul
GİRİŞ
2007 Estonya Saldırıları The most ‘wired’
nation ! (%95 Online Bankacılık, e-voting, e-
hükümet)
Karşı eylem planları Siber saldırılar, kritik
altyapılar için ‘yaşamsal’ tehditler olarak
algılanmakta
‘Siber Savaş’ teorileri artık yalnızca bir
komplo teorisi ya da efsane degil
I. Siber Zarar Bilançosu
Yükselmektedir
Siber alanda zarar bilançosu artmaktadır.
‘Siber Terörizm’Bir gerçeklik haline geldi.
Siber silahlar artık daha gelişmiş ve
karmaşık.
II. Siber Silahlar
Çeşitlenmektedir Kritik Altyapılar için Büyüyen tehdit APT
(Advanced Persistant Threats)
Basit şifre tahmin etme, hesap patlatma,
ticari amaçlı data hırsızlıgından Stratejik
bilgileri ele geçirme operasyonlarına dogru
evrim
Bilinen APT saldırıları Stuxnet, Flame,
Duqu…
III. Siber Silahlar
Çeşitlenmektedir: ‘Gelişmiş
Sürekli Tehditler’APT (Advanced Persistant Threats)
- Hedef odaklıdır.
- Özel ve gelişmiş teknikler kullanır.
- Saldırının ve saldırganların fark edilmesi güçtür.
- Kalıcıdır, uzun süre fark ettirmeden sistemde kalır.
- Arkasında yetkin bir grup ya da ülke vardır.
- Ciddi bir hazırlık süreci, yüksek motivasyon ve
detaylı bilgi toplama aşaması gerektirir.
- Siber saldırıların pek azı bilinmektedir.
- Stuxnet, kritik ‘enerji’ altyapılarını hedef almış
ilk siber saldırı, siber güvenligin ’11 Eylül’ü !
- StuxnetSofistike, devlet destekli, yüksek
bütçeli bir silah, tüm enerji sektörü için bir
uyanış çagrısı
- Siber saldırılar sınır aşan özelliklere sahiptir.
Stuxnet Chevron’un IT sistemlerine sıçramıştır.
IV. Kritik Enerji Altyapılarına
Yönelik Siber Saldırılar
Artmaktadır ABD’de, ICS-CERT’in
verilerine göre, 257 siber vakanın %56’sı enerji sektörüne yönelik (2012’de %40)
İngiltere’de siber saldırıların enerji endüstrisine yıllık tahmini zararı 664 milyon dolar.
Siber saldırıların, küresel ölçekte petrol ve dogalgazendüstrisine zararı 2018’de 1,87 milyar dolar
Enerji güvenligi kavramının kapsamını genişletmek şart
(reliable-sustainable-secure-safe..?)
V. Türkiye Kritik Enerji Altyapıları
ve Siber Saldırılar- Türkiye’ye yönelik siber saldırılar
ortalamanın üzerinde (Arbor)
- 2014’ün ikinci çeyreginde tüm dünyada %68 azalırken, Türkiye’ye yönelik siber saldırılar %6 artıyor.
- Petrol ve dogalgaz şirketlerinin %60’ının bir siber saldırı karşısında ‘acil durum planı’ yok (Oil and Gas Survey)
- Dragonfly ve Satır Operasyonları Türkiye’deki kritik enerji altyapılarını da hedefledi (ICS’ler hedef)
VI. Bir Enerji Merkezi Olma Yolunda
Türkiye ve Siber Güvenlik
Yalnızca birkaç milyon dolara geliştirilebilecek silahlarla bir ülkenin tamamını elektriksiz bırakmak ve ekonomik çöküntüye ugratmak mümkün !
Bir enerji merkezi olma yolunda Türkiye siber saldırılara hazır mı?
? Sorulması gereken sorular:
Türkiye’ye yönelik siber saldırılar hangi aktörlerden, hangi silahlarla gerçekleşebilir? (Kaynak-Yöntem)
Siber saldırılar Türkiye’de hangi kurumu, ne ölçüde hedef alabilir? (Hedef-Kapsam)
Saldırıların sosyal, ekonomik, ticari, siyasal sonuçları ne olur? (Etki-Sonuç)
BÖLÜM-I
Kritik Enerji Altyapılarına Saldırıların
Degerlendirilmesi
1. Trans-Sibirya Boru Hattı Patlaması-
1982
-Devlet destekli (CIA)
-Siber teknolojinin enerji altyapılarını hedef aldıgıilk saldırı
-Nükleer olmayan en büyük patlama (3 kiloton TNT)
-Siber saldırının fiziki dünyadaki sonuçlarına örnek
II. Chevron Acil Durum Alarm
Sistemi-1992
-Eski bir Chevron
çalışanı (Insider)
-Saldırı acil bir durum
ortaya çıkana kadar
fark edilmiyor
-Sistem 10 saat
boyunca kapalı
kalmış, insan yaşamı
tehlikeye girmiş
III. Salt Nehri Projesine Saldırı-
1994
-Salt Nehri Projesinin
bir çalışanı projenin
bilgisayar agına
erişmeyi başarmış
(Insider)
-Müşteri bilgilerinden
finansal detaylara,
şifre ve oturum açma
bilgilerine kadar birçok
kritik bilgiyi ele
geçirmiş
IV. Bellingham Boru Hattı
Patlaması-1999Saldırı degilEn zayıf halka olarak ‘insan’ (İnsan Hatası)
-SCADA sisteminden kaynaklanan bir hata
-3 kişi hayatını kaybetmiş, 8 kişi dumandan zehirlenmiş
-45 milyonluk bir zarar ortaya çıkmış
-58.000 kullanıcı elektriksiz kalmış
-Birçok mülk zarar görmüş
-Petrol sızması önemli bir çevre kirliliği doğurmuştur.
V. Gazprom-2000
Devlet/İstihbarat Destekli
Saldırganlar şirket içinden bir çalışanla işbirligiyapmış (insider)
Kullanıcıların faaliyetleri anlık izlenmiş, ana kontrol paneline erişim saglanmış
VI. Davis-Besse Nükleer Tesisi-
2003 İzole olduğu düşünülen
şirket bilgisayar ağına,
şirketin dışarıdan
çalıştığı bir danışmanın
vasıtasıyla Slammer
solucanı bulaşmış
Güvenlik sadece kritik
hizmetler veren
sektörlere ve sektörlerin
sınırlarına baglı degil
3. Firmalar ve
taşeronların erişimleri ve
yetkileri büyük
problemler yaratabilir
VII. Brezilya-Espirito Santo-Elektrik
Sistemlerine Saldırı-2005/2007 Saldırının kaynagının
Çin ya da Rusya oldugutahmin edilmekte (istihbarat)
2005’te Başkent Rio de Janerio’nun kuzeyinde 3 farklı şehri etkilenmiş on binlerce insan karanlığa gömülmüş
2007’de Espirito Santo 3 milyondan fazla kişi elektrik kesintilerinden etkilenmiş , Vitoria şirketi 7 milyon dolar civarında bir zarara uğramış
VIII. Dragonfly-2011- Siber Casusluk
İçinde Türk enerji şirketlerinin de olduğu sayısı 1000’den fazla Batılı elektrik, petrol boru hattı şirketi ve endüstriyel kontrol sistemi üreticisi şirket etkilendi
Gelişmiş teknikler, saldırıların arkasında bir ya da birkaç devlet/istihbarat örgütü bulunabilir
‘Pnishing’ denilen e-mail saldırıları, şirket yöneticilerinin hesap bilgilerine erişim
IX. İran Kharg Petrol Terminali-2012
İran’ın petrol ihracatının %90’ını gerçekleştirdiği Kharg adasındaki petrol rafinerisi, tesisleri ve aynı zamanda ülkenin petrol bakanlığının web sitesi hedeflendi.
Virüsün sadece belli verileri toplamaya mı yönelik olduğu yoksa petrol üretim sürecine zarar vermeyi mi hedefledigi netlik kazanmadı.
X. Saudi Aramco-Shamoon-2012
Saldırının İran
istihbaratıyla işbirligi
halinde çalışan ve
önemli sistemlere erişimi
olan bir Aramco çalışanı
tarafından başlatıldı.
Şirketin 30.000 ila
55.000 bilgisayarındaki
bilgiler geri dönülemez
şekilde silindi ve tahrip
edildi.
Ulusal ve uluslararası
petrol üretimi ve akışı
operasyonlarına zarar
gelmedi.
BÖLÜM-II
Türkiye Kritik Enerji Altyapılarını Hedef
Alan bir Vaka Çözümlemesi: Satır
Operasyonu-2014
2014 Aralık ayında, İran’lı hackerların Türkiye’ye
sızdığı ve Türk enerji şirketlerini hedef aldığı
haberleri Türk basınında yer buldu.
I. Satır Operasyonu-2014
Cylance16
ülkenin ve 50
şirketin gizli
belgelerini içeren
altyapılara sızıldı ve
operasyonu yaklaşık
2 sene sürdürüldü.
4 aşamalı bir
çözümleme
kaynak, hedef,
saldırı biçimi ve
sonuçlar
II. Satır Operasyonu-
Kaynak CylanceSaldırının sponsor bir devlet ya
da devletler tarafından desteklenen, orta
seviyede bir bütçeyle çalışmış, teknik
becerileri ileri seviyede en az 20 kişiden
oluşan bir hacker grubu tarafından
gerçekleştirildi
IP adresleri ve saldırıyı gerçekleştiren
hacker isimleri incelendiğindeİranlı
hackerlar
Stuxnet’in intikamı??
III. Kaynak: İran’ın Siber Kapasitesi
Stuxnet’ saldırısı, ardından yine İran’ın
enerji ve kritik altyapılarını hedef alan Duqu,
Flame ve Gauss gibi saldırılar İran için bir
‘uyanış çağrısı’
Siber silahlanmaya ciddi bir kaynak
İran’ın siber silahları kullanma biçimi !!!
Siber casusluk ya da ticari bilgi çalmak gibi
faaliyetlerin ötesinde siber kapasitesini
‘misilleme’ ve ‘caydırıcılık’ faaliyetleri için
geliştirmekte.
IV. Hedef: Kritik Altyapılar
Satır Operasyonunun kapasitesi ve etki
alanı henüz tam anlamıyla çözülemedi.
16 ülkeden en az 50 şirketin hedef
Kanada, Kuveyt, Güney Kore, Çin, Meksika,
U.K, Pakistan, Türkiye, Fransa, Katar,
Almanya, Amerika Birleşik Devletleri,
Hindistan, Suudi Arabistan ve İsrail
Petrol ve doğalgaz şirketleri saldırının esas
hedefi + askeri altyapılar, kimya şirketleri,
ulaştırma şirketleri, havaalanları,
hastaneler, iletişim ve kamu altyapıları
V. Modus Operandi (Saldırı Biçimi):
Basit bir siber saldırının ya da siber
casusluk operasyonunun çok daha ötesinde
Saldırı ticari amaçlarla bilgi toplamak için
degil kritik bilgileri ele geçirmek amacıyla
yapılmış
SCADA sistemleri gibi Endüstriyel Kontrol
Sistemlerine sızabilme ya da onları ele
geçirebilme yeteneğine ilişkin bir bulgu yok
Stratejik bilgilerin siber dünyadan öte
fiziksel zarar verme hedefiyle kullanılabilir !
VI. Sonuç Yerine: Büyük Resmi
Anlamak Kritik altyapıları hedef alan siber saldırılar
‘caydırıcılık’ gücü veren stratejik bilgilerin ele geçirilmesi amacıyla yapılıyor. (Siber SogukSavaş)
Siber silahlar politik bir araç olarak da görülmekte ve bazı ülke ve şirketlerin enerji arzını tehdit edebilecek boyutlara gelmektedir. (Dragonfly)
Hedef Odaklı Saldırılar’ bir gerçeklik haline geldi.Ancak, siber silahlar, nükleer silahlara benzer şekilde kullanıldıktan sonra etkilerini yitirdiklerinden devletler ve devlet dışı aktörler siber silahlarını ve siber kapasitelerini açıklamaktan ve kullanmaktan kaçınıyor.
Saldırıların gerçekleştirilebilmesi için şirket içerisinden, kritik sistemlere ve bilgilere erişimi olan çalışanların yardımına ihtiyaç duyulmakta. (Insider)
BÖLÜM III- Bu Saldırılardan Neler
Öğrendik?
Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
1. Siber Güvenlikte En Zayıf Halka
İnsandır: Eğitimin Önemi
Stuxnet operasyonu, teknik açıdan tüm
gelişmişligine ragmen, insan hatası
olmasaydı gerçekleşmeyecekti !
‘İnsan merkezli’ düşünerek güvenlik algısı
oluşturmak gereklidir.
Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
2. ‘Son Kullanıcı Farkındalığı’: Şifreler ve
Davranış Kodları
Güçlü ve bütüncül bir şirket güvenlik kültürü
Belirli standartlar ve şirket çalışanları için
‘doğru davranış kodları
Güçlü şifre politikaları
Şirket içi şifre, kullanıcı bilgileri, hassas bilgi
ve belgelerin paylaşımı, kötü amaçlı e-
mailler
Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
3. Tehditlere Değil Zafiyetlerinize Odaklanın
‘Self Assessment Tool’
‘Check List’
ICS-CERT ve diğer siteler tarafından yayınlanan zafiyet ve saldırıların takip edilerek yama ve önlemlerin zamanında alınması .
Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
4. Anahtar Sistemlerinizi İzole Edin ve Düzenli
Olarak İzleyin-Belgelendirin !
SCADA Kontrolü ve şirkete ait hayati önem
taşıyan bilgi teknolojisi ağlarının diğer tüm
ağlardan ayrılması
SCADA konrol merkezlerine erişimin
denetlenmesi
SCADA sunucularının kilit altına alınması
Tüm denetim ve izlemelerden sonra tarih, saat
ve sonuçların kayıt altına alınması yani
belgelendirilmesi
Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
5. Senaryolaştırın ve Oynayın
Şirket içi zafiyetlerle beraber, olası siber saldırı senaryolarını tespit edebilecek ve canlandırabilecek ‘Kırmızı Takım’ların (RedTeams) kurulması
Senaryolara uygun ‘acil durum eylem planlarının’ ve ‘kurtarma, yedekleme’ planlarının hazırlanması
Görev ve sorumlulukların açıkça belirtildiği bir Olay Güvenlik Politikası, Çalıştırmayı Sürdürme Planı ve Kurtarma Tedbirleri Planları
Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
6. Ticari Partnerlerinizi Akıllıca Seçin
Kritik altyapı şirketlerinin servis sağlayıcılarının ve beraber çalıştıkları taşeronların siber zafiyetleri
SCADA tedarikçisinin ürün güvenlik sertifikasyonlarının talep edilmesi
Misafir kullanıcılar, uzaktan erişim sağlayan kullanıcılar ve taşeronlar yani üçüncü taraf yüklenicilere özel erişim kontrol politikalarının geliştirilmesi
Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
7. Sektör içi ve Sektörler Arası Bilgi
Paylaşımını Sağlayın
Yaşanılan deneyimlerin, çıkarılan derslerin
ve ‘en iyi önlemlerin’ paylaşılması
Kritik sektörler birbirleriyle karşılıklı
bağımlılık ilişkisi içinde !!
Kritik Enerji Sektörüne ‘Teknik
Olmayan’ Öneriler
8. Millileştirin ve Çeşitlendirin
SCADA yazılımlarının geliştirilmesi ve bu
çerçevede AR-GE’ye yapılacak yatırımlar
Siber insan gücünün yaratılması
Pacific North West, Idaho, Sandy,
Türkiye’de Ulusal Lab’ler?
Birden fazla SCADA tedarikçisinin
kullanılmasının sağlanması Çeşitlendirme