Başlığa bakıp ilk başta ‘o kadar da değildir!’ diye düşünebilirsiniz. Ama bir süre önce ABD’de tam da böyle bir olay gerçekleşmek üzereydi. Operatör erken fark edip müdahale etmeseydi, tarihin en büyük siber katliamlarından biri bile gerçekleşebilirdi.

Siber Güvenlik Türkiye Platformu’nu anlattığımız her ortamda, siber güvenliğin artık yalnızca bir bilişim teknolojileri konusu olmadığını, tıpkı teknolojinin kendisi gibi yaşamın her alanında vazgeçilmez bir hale geldiğinden bahsediyoruz. Kısa süre içinde sitemizde yayınladığımız yazılara baktığınızda denizcilik sektörü, ilkokullardan üniversitelerin araştırma laboratuvarlarına kadar tüm eğitim sektörü, finans dünyasının neredeyse her alanı, enerji, otomotiv, sağlık gibi insana ve iş dünyasına temas eden her alanda siber güvenlik olaylarına ve risklerine değindik.

Aşağıda detaylarını bulabileceğiniz olay ise giderek daha akıllı hale gelen altyapıların aslında ne kadar da kırılgan olduğunun bir göstergesi. ABD’nin Florida eyaletindeki yaklaşık 15 bin nüfuslu Oldsmar’da Şubat ayı başlarında yaşanan bir olay, eğer sistemleri izleyen operatörün dikkati olmasa binlerce kişinin zehirlenmesine neden olabilecekti.

Sayaçlardan akıllı sayaçlara, fiziksel güvenlikten siber güvenliğe…

Uzun yıllar sahadaki sayaçlar görevli personeller tarafından bizzat gidilerek, sayaç değerlerine bakılarak faturalandırıldı. Bir süredir ise iletişim teknolojilerinin gelişmesi ve dijital altyapılara geçişle birlikte akıllı sayaçlar geleneksel yöntemlerin yerini aldı. Bugün altyapı operatörleri yalnızca sayaç yönetiminde değil, sahada bulunan her tür cihazı uzaktan izleme, kontrol etme, çalıştırma ya da durdurma ve anlık arıza izleme gibi kolaylıklardan faydalanıyor.

Bununla birlikte dijitalleşen sistemler beraberinde çeşitli siber riskleri de getirebiliyor. Oldsmar’da yaşanan olay, CNN’e; “Oldmsar’daki su arıtma tesisine erişim sağlayan bir bilgisayar korsanı, şehrin suyundaki sodyum hidroksit düzeyini artırmaya çalıştı, bu da binlerce kişiyi zehirlenme riskiyle karşı karşıya bıraktı.” ifadesiyle yansımıştı.

Bu olayda sistemi takip eden operatörün dikkatiyle ‘kül suyu’ olarak da adlandırılan sodyum hidroksit seviyesi normale çekildi ve su kaynağında bir sıkıntı olmadan sistem yoluna devam edebildi. Oldsmar’ın bağlı olduğu Pinellas bölgesinin şerifi Bob Gualtieri’nin açıklamasına göre saldırgan sodyum hidroksit seviyesini 100 kattan fazlasına getirmeye çalışmıştı.

Küçük ya da büyük, su ve altyapı tesisleri risk altında

Oldsmar’daki vakaya kadar pek çok kişinin aklına dahi gelmeyen bu risk artık daha fazla gündemde. Government Technology’de “Cybersecurity: The Latest Challenge for Local Water Utilities” başlığıyla yayınlanan bir yazı, bu konunun Oldsmar ile sınırlı kalmayacağına işaret ediyor. Jed Pressgrove imzasıyla yayınlanan yazıya göre Albuquerque Bernalillo bölgesindeki su hizmetleri kurumunun CIO’su Krister Sanders, bu olay öncesinde küçük su tesisi işletmecilerinin, siber saldırganların hedefi haline geleceğini düşünmediklerini belirtiyor. Ana hedefin enerji endüstrisi olarak algılandığını belirten Sanders, ABD’deki Su Altyapısı Yasası’nın (Water Infrastructure Act), tesislerin siber güvenliğe daha fazla dikkat etmeleri gerektiğini ortaya koyduğunu da kaydediyor.

Sanders’ın dikkat çektiği noktalardan biri de akıllı sayaçlara ilk geçiş dönemlerinde bu cihazların konuşmak, yani veri iletme dışında bir görevle konumlandırılmamış olması. Bu sistemlerin bazılarının neredeyse 20 yıllık olduğunu kaydeden Sanders, bu nedenle standart siber güvenlik önlemleri arasında bulunan “açığı kapama için yama” gibi durumların sayaçlar ya da benzer ekipmanlar olduğunda geçerli olmadığının altını çiziyor.

Ne gibi önlemler alınabilir?

Her şeyden önce bu tip bir durumla yeniden karşılaşılmaması için ağ güvenliğine daha fazla yatırım yapılması gerekiyor. Çalışanlar için düzenli siber güvenlik eğitimleri, tüm sektörlerde olduğu gibi farkındalık oluşturma, erişim için yetkilendirmenin daha iyi planlanması ve yetkili kullanıcılar için çift faktörlü kimlik doğrulaması bu tip altyapı sunan kurumlar için de geçerliliğini koruyor.