BUSINESS LIFE Ayl�k �� Hayat� & Ekonomi Dergisi

B�LG�SAYARLAR S�BER TEHD�T ALTINDA

Kurumlar�n end�striyel altyap�s�n�n bir par�as� olarak kabul edilen End�striyel Kontrol Sistemi (ICS) bilgisayarlar�n�n neredeyse yar�s�nda zararl� yaz�l�m aktivitesi tespit edildi. Bu durumdan en �ok etkilenen �lkelerin ba��nda Vietnam, Cezayir ve Tunus geliyor.

ICS bilgisayarlar�na yönelik siber sald�r�lar, endüstriyel tesislerde maddi kay�plara ve üretimin durmas�na neden olabildi�inden çok tehlikeli. 2017’de bu tür zararl� faaliyetlere maruz kal�nma %44 iken, 2018’de bu oran %47.2’ye ç�kt�. �lk üç s�rada �u ülkeler yer ald�: Vietnam (%70.09), Cezayir (%69.91) ve Tunus (%64.57). En az etkilenenler ise �rlanda (%11.7), �sviçre (%14.9) ve Danimarka (%15.2) oldu.

ALINACAK TEKN�K ÖNLEMLER:
- Kurumun endüstriyel a��ndaki sistemlerin uygulama yaz�l�mlar�n� ve i�letim sistemlerini düzenli olarak güncelleyin.
- ICS a�lar�nda kullan�lan uygun PLC, RTU ve a� ekipmanlar�nda güvenlik önlemleri al�n.
- Uç router’larda ve kurumun OT a�lar�nda kullan�lan portlar�n ve protokollerin a� trafi�ini k�s�tlay�n.
- Kurumun endüstriyel a��nda ve çevresindeki ICS bile�enlerin eri�im kontrolünü denetleyin.
- ICS sunucular, i� istasyonlar� ve HMI’larda uç nokta korumas�nda özelle�mi� çözümler kullan�n. Bu; a� trafi�i takibi, analiz ve tespit özellikleriyle OT ve endüstriyel altyap�y� zararl� yaz�l�m bula�mas�na ve hedefli endüstriyel tehditlere kar�� korur.
- Güvenlik çözümlerinizin güncel oldu�undan ve hedefli sald�r�lara kar�� çözüm sa�lay�c�n�z taraf�ndan önerilen tüm teknolojilerin kullan�ld��ndan emin olun.
- A��n�za eri�imi bulunan çal��anlar, i� ortaklar� ve tedarikçilere özel e�itim ve destek verin.
- Teknolojik i�lemleri ve kurumun ana varl�klar�n� tehdit edebilecek sald�r�lara kar�� daha iyi koruma için ICS a� trafi�i takibi, analiz ve tespit çözümleri kullan�n.

'ÇALI�ANLAR E��T�LMEL�'
San�lan�n aksine, endüstriyel bilgisayarlara yönelik tehditlerin ana kayna�� hedefli sald�r�lar de�il. Temelini, internet üzerinden veya USB bellek gibi ç�kar�labilir medya cihazlar� ya da e-postalarla endüstriyel sistemlere kazara giren geni� ölçekli zararl� yaz�l�mlar olu�turuyor. Çal��anlar�n siber güvenli�e dikkat etmemesi nedeniyle ba�ar�l� olan bu sald�r�lar ekiplerin e�itilmesi ve fark�ndal�klar�n�n art�r�lmas�yla önlenebilir.

ENDÜSTR�YEL MAK�NELERDE HACKER ALARMI
Radyo frekans (RF) teknolojisine, çe�itli endüstriyel makineleri kontrol etmek için uzun zamand�r ba�vuruluyor. Ama RF ileti�im protokollerindeki yetersiz güvenlik, üretimin sabote edilmesinden sistemlerin kontrollerinin ele geçirilmesine ve izinsiz eri�imlere kadar büyük sorunlara yol açabiliyor. Endüstri 4.0 ve ard�ndan Endüstriyel Nesnelerin �nterneti (Industrial Internet of Things-IIoT)’nin günlük operasyonlarda çokça kullan�lmas�, büyük boyutlu makinelerle çal��an sektörlerde, güvenli�e daha fazla ihtiyaç duyulmas�na neden oluyor.

Endüstriyel makineleri kontrol etmeye yarayan radyo frekansl� (RF) kumandalar, günlük hayattaki uzaktan kumandalara benziyor. Her cihazda istenileni yerine getirecek komutu radyo dalgalar�yla gönderen bir verici (TX) var. Komutlar da di�er cihazdaki al�c� (RX) taraf�ndan harekete dönü�türülüyor.

GARAJ KAPISI AÇAN KUMANDALAR DAHA GÜVENL�KL�
Bu kumandalar�n kritik güvenlik aç�klar� da bulunuyor. RF kullanan garaj kap�s� uzaktan kumandalar�n�n endüstriyel uzaktan kumandalara göre daha iyi güvenli�e sahip oldu�unu fark edildi. Ara�t�rmac�lar, in�aat alanlar�nda ve fabrikalardaki vinçler gibi büyük boyutlu makinelerin kontrollerindeki zay�fl�klar nedeniyle d��ar�dan eri�im sa�lanabildi�ini de ke�fetti.

BAS�T B�R RADYO VER�C�S�YLE ELE GEÇEB�L�YOR!
Farkl� sald�r� çe�itleri sonucunda operatörler, acil durdurma dü�mesine (e-stop) basmalar�na ra�men makine çal��yor. RF ile kontrol edilen cihazlar�n yak�n�ndaki bir sald�rgan radyo trafi�ini yakalayabiliyor, verileri istedi�i gibi de�i�tirebiliyor ve kendi iste�ine ba�l� komutlar üretebiliyor. Pille çal��an ve bozuk para büyüklü�ündeki basit bir radyo vericisiyle endüstriyel makinelerin kontrolü fazla zorlanmadan ele geçirilebiliyor.

RF TEKNOLOJ�S�YLE SALDIRI:
- SABOTAJ: Di�er i�letmelere ve hatta tüketiciye kadar zararlara da yol aç�labiliyor. Örne�in bir in�aat alan�ndaki olay firmaya aylar kaybettirebilir. Bir fabrikadaki hadise ise uzun süreli kesintiye, bunun giderilmesi için harcanacak yüksek mebla�lara ve üründe ortaya ç�kabilecek problemlere yol açabilir.
- HIRSIZLIK: Büyük alanlarda kablolu ba�lant�yla i�lerin yürütülmesi, çe�itli zorluklara neden olabilece�inden, otomatik i�leyen limanlar ve terminallerde endüstriyel RF teknolojisi kullan�l�yor. Sald�rganlar yükleme operasyonlar�na s�zarak nakledilmekte olan ürünleri çalabilir.
- F�DYE: Sald�rgan bir ar�za yaratarak üretim tesisine sürekli olarak zaman ve para kaybettirebilir, bunun durdurulmas� için de fidye isteyebilir.

GÜVENL�K AÇIKLARINI KAPATMANIN YOLLARI:
- Baz� üreticiler gerekli önlemleri al�rken, yaz�l�m güncellemelerini bile haz�rrlad�. Bir k�sm� ise güvenlik aç�klar�n�n, gerekli önlemleri uygulayan yeni nesil cihazlar� etkilemeyece�ini söylüyor.
- Üreticilerin 2.4 GHz band�na geçmesi müdahale giri�imlerini azalt�rken mesafeyi de s�n�rl�yor.
- Dü�ük enerjili Bluetooth gibi standart ve aç�k protokollerin benimsenmesiyle güvenlik seviyeleri art�yor. Böylece, üreticilerin s�rt�nda yük olan özel RF protokollerinin tasarlanmas� ve entegre edilmesi i�i de ortadan kalk�yor.
- Sistem entegratörleri olarak adland�r�lan kullan�c�lar da sanal engelleme özelliklerine sahip cihazlar seçmeli. Bu �ekilde kumanda belli bir mesafenin d��na ç�kt��nda endüstriyle makineler i�lemez hale geliyor.
- Endüstriyel RF cihazlar�n�n yenileme maliyetleri yüksek; ama kullan�m süresi çok daha uzun. Bu, güvenlik aç�klar�n�n uzun y�llara yay�labilece�ini gösteriyor.
- “Yamalama” konusundaki çekincenin nedeni, i�lerin kesintiye u�ramas�ndan dolay� zarara u�ranacak olmas�.

***

EYVAH! ELEKTRON�K E�YALARIM B�LG� M� SIZDIRIYOR?
Özellikle IoT (Internet of Things-Nesnelerin �nterneti) cihazlar�, siber suçlular için ne yaz�k ki kolay lokma olarak görülüyor. Varsay�lan, de�i�meyen ve zay�f �ifreler; savunmas�z gömülü firmware (ürün yaz�l�m�), güncelleme yamalar�n�n olmamas�, internet ba�lant�l� bu cihazlar� riske aç�k hale getiriyor.

Japonya’da 2017'de gerçekle�tirilen siber sald�r�lar�n yar�s�ndan fazlas�nda ak�ll� cihazlar hedeflendi veya kullan�ld�. 2010 Tokyo Olimpiyatlar�'nda, tehdit aktörleri de göz önünde bulunduran yetkililer harekete geçirdi. Yeni nesil televizyon, buzdolab� ya da f�r�n gibi yakla��k 200 milyon nesnelerin interneti (IoT) cihaz�n�n güvenli�i test ediliyor. Kas�m 2018’de kabul edilen ve �ubat ay�nda ba�layan bu büyük ölçekli penetrasyon testinin önünü açan yasa, 5 y�ll�k bir süreyi kaps�yor.

C�HAZLARIN SAH�PLER�NE B�LG�
Varsay�lan ve yayg�n kullan�lan �ifrelerin listeleriyle donat�lan Japonya Ulusal Bilgi ve �leti�im Teknolojisi Enstitüsü (NICT) çal��anlar�, rastgele seçilen ak�ll� cihazlara giri� yap�yor. Hem ev hem de i� a�lar�ndaki router cihazlar ve web kameralar� öncelikle inceleniyor. Kurum daha sonra internet servis sa�lay�c�lar� ve yerel yetkililerle i� birli�ine gidecek. Böylece güvenli olmayan cihazlar�n sahipleri bilgilendirilebilecek ve ak�ll� teknolojilerin kontrol alt�na al�nmas� sa�lanacak. Herhangi bir veri s�z�nt�s�n� önlemek için planlar da haz�r.

GEÇEN YIL TECRÜBE ED�N�LM��T�
Savunmas�z IoT cihazlar�yla ili�kili tehditler, geçen y�l VPNFilter olarak bilinen kötü amaçl� bir yaz�l�mla tecrübe edildi. Yar�m milyon router cihaz� tehlikeye at�lm��, ve ABD Federal Ara�t�rma Bürosu (FBI) konuyla ilgili uyar�da bulunmu�tu. �lk önlem olarak modem kapat�p aç�larak geçici bellekte saklanan bu tehdit silinmi�ti.

AKILLI B�NALARA D�J�TAL KU�ATMA TEHL�KES�
Yeni bina ve plazalar�n neredeyse hepsi; Bina Otomasyon Sistemi (BAS-Building Automation System)’e sahip. Is�tma, iklimlendirme, havaland�rma, yang�n alarmlar�, ��kland�rma ve güvenlik gibi pek çok özellik uzaktan kontrol edebiliyor. Siber suçlular tam da bunu istismar etmeye odaklan�yor. ESET K�demli Güvenlik Ara�t�rmac�s� Stephen Cobb, “Siegeware” yani “ku�atma yaz�l�m�” ad�n� kullan�yor.

“X adresindeki binan�z�n tüm kontrol sistemlerini ele geçirdik ve 24 saat içinde Bitcoin kar��l�� olarak 50 bin dolar ödemezseniz üç gün boyunca kapal� tutaca��z” �eklindeki bir mesaj art�k hayal de�il. Böyle biriyle tan��t�m ve bu bir aldatmaca de�ildi. �lgili bina yöneticisi, cesurca bir hareketle sald�rganlara ödeme yapmay� reddetti�inde hedeflenen binan�n kullan�m� gerçekten altüst oldu.

�u anda bir suçlu, yaln�zca ABD’de 30 bine yak�n hedef tespit edebilir. Bunlar, bir web taray�c�s�na girildi�inde BAS giri� ekranlar� üretebilen IP adresleri. Sald�rgan için bir sonraki ad�m, geçerli olabilecek varsay�lan kullan�c� ad� ve parolalar� denemek.

MODEM�MDE B�R� M� VAR?
�u an neredeyse her evde en az 4 internet ba�lant�l� cihaz var. Bu rakam�n, 2025 y�l�na kadar dünyada 75 milyar� bulaca�� tahmin ediliyor. Bu nedenle ortak ba�lant� noktas� olan modemlerdeki güvenlik büyük önem ta��yor. Ki�isel Wi-fi a��n�za s�z�labilir, çe�itli verileriniz elde edilebilir.

ENDÜSTR� 4.0 DEVR�M� 5G �LE HIZLANACAK
2020’den itibaren kullan�lmaya ba�lanmas� planlanan 5G teknolojisi, mobil cihazlar�n internet h�z�n� art�racak. Sürücüsüz araçlarda, sanayide, tar�mda, sa�l�kta, e�itimde ve ba�ka birçok alanda yeni bir ça�� ba�latan 4. Sanayi Devrimi’ni h�zland�racak. Ayr�ca gecikmeyi azaltacak ve Nesnelerin �nterneti (IoT) uygulamalar�n� kolayla�t�racak.

2G’de telefonda konu�ulup SMS at�labilirken, �imdi taksi rezervasyonu yapabiliyor, banka hesaplar�n� yönetebiliyoruz. Hatta tarladaki mahsulümüzün durumunu kontrol edebiliyor, t�bb� yard�m alabiliyoruz. Ak�ll� telefonlar, bireyler ve toplumlar için ola�anüstü de�er olu�turdu. �imdi s�rada, dünya ekonomisi için büyük bir kald�raç etkisi yaratacak Endüstri 4.0 devriminin tam anlam�yla i�lerlik kazanabilmesi için 5G var.

- MCKINSEY ORTA�I MEHMET BA�ER:
5G teknolojisi, �ebeke/ileti�im katmanlar� yaratabilmeyi ve bunlar�n farkl� özelliklere sahip olmas�n� mümkün k�l�yor. Endüstri 4.0 uygulamalar�ndaki her kullan�c�n�n farkl� h�z, gecikme gibi özelliklere ihtiyac� oldu�unu dü�ündü�ümüzde 5G’nin getirdi�i esneklik çok önemli. Fabrikalarda çal��an bir operatörün kulland�� art�r�lm�� gerçeklik uygulamas�, uzaktan kontrollü robot üzerinde bak�m hizmeti verebilme veya tedarik zincirinin otomasyonu vs. 5G sayesinde farkl� �ebeke/ileti�im katmanlar�nda ba�lant� kurabilecek. 5G’nin sa�lad�� yüksek h�z ve dü�ük gecikmeyle sürücüsüz (otonom) araçlar�n geli�imi ve yayg�nl�� daha da artacak. Türkiye, 5G’ye geçi�te Avrupa’dan avantajl�.

�NTERNETE BA�LANAN C�HAZLAR �Ç�N YASA GEL�YOR
�ngiltere’de, her IoT (Nesnelerin �nterneti) ürününün ne kadar güvenli oldu�unu göstermeye yönelik yeni bir etiketleme sistemi konu�uluyor. Buna göre; IoT cihazlar�n�n; benzersiz bir parolas� olmal�, güvenlik güncelle�tirmelerinin ne kadar süreyle kullan�labilece�i aç�kça belirtilmeli. Bu giri�im, 2020’de ABD’nin Kaliforniya Eyaleti’nde yürürlü�e girecek olan ve internet ba�lant�l� cihazlarda zay�f parolalar� yasaklayan mevzuat�n yolundan gidiyor.

�ngiltere ve ABD’nin ad�mlar� do�ru. Üreticilerin bir IoT ürünü geli�tirirken güvenli�i göz önünde bulundurmalar�n� sa�layacak. Fakat mevzuat yeterli çözüm olacak m�?

D��ERLER�YLE AYNI PAROLA!
Birkaç y�l sonra, evinize yepyeni bir IoT cihaz�n� al�yorsunuz, etiketinde benzersiz bir parolaya sahip oldu�unu ve 5 y�l boyunca güncellemeleri alaca��n� belirten ibareler görüyorsunuz. �lk kullan�mda ve de kolayl�k için, evdeki di�er tüm cihazlardaki parolalarla ayn�n� belirliyorsunuz, i�levselli�inin rahatl��n� ya��yorsunuz.

‘ÇALI�IYOR, NEDEN GÜNCELLEYEY�M K�?’
Üretici, cihaz� kaydetti�inizi varsayarak, bir yaz�l�m güncellemesi oldu�unu belirten bir e-posta bildirimi gönderdi�inde, “Cihaz çal��yor, çal��an bir �eyi neden güncelleyeyim ki?” diye dü�ünerek büyük olas�l�kla bu e-postay� silersiniz. Dolay�s�yla; mevzuat, cihazlar� kutudan ç�kt�� gibi daha güvenli hale getirmeye çal��rken, tüketicilerin evlerinde daha güvenli olmas�n� sa�layacak e�itim ve i� birli�ine ihtiyaç duydu�u da bir gerçek.

OKUL TAT�L�N� S�BER GÜVENL�KL� HALE DÖNÜ�TÜRMEN�N 10 YOLU
Dijital ça��n çocuklar�, yaz aylar�n�n önemli bölümünü sokakta de�il, tablet veya telefon ba��nda geçirecek. Tüm anne, baba ve ö�renciler; huzurlu bir yaz tatili için siber güvenli�i elden b�rakmay�n? Dikkat edilmesi gereken konular, 10 ba�l�k alt�nda topland�.

1- Verilerinizi yedekleyin! Güvenli bir ortamda saklay�n. Böylece bilgisayar veya tabletinizde yer alan ödevler, yaz�lar ve notlar, cihaz�n�z bozuldu�u veya kayboldu�u zaman da ula��labilir halde olur.
2- Çocuklar�n�z� internette gizlili�in önemi hakk�nda bilgilendirin! Telefon numaras�, ev adresi ya da parolalar gibi özel ve ki�isel bilgileri payla�mamas� gerekti�i konusunda uyar�n.
3- Online oyun oynay�n; ama oyuna gelmeyin! Siber suçlular, dijital oyunlar yoluyla zararl� yaz�l�m bula�t�rmay� severler. Bundan koruman�n yolu ancak güncel ve lisansl� bir antivirüs veya internet güvenli�i yaz�l�m�yla olabilir.
4- USB ayg�tlar� virüse kar�� kontrol edin! Filmlerin kaydedildi�i ve belgelerin payla��ld�� ta��nabilir bellekler, ne yaz�k ki virüslerin bula�mas�na neden olan en yayg�n ta��y�c� durumunda. Güncel bir virüs taray�c�yla taratmak faydal�.
5- Sistem yamalar�n� ihmal etmeyin! Windows, Adobe Reader, Flash, iTunes ve benzeri uygulamalar�n güncellemelerini yak�ndan takip etmeli ve bunlar� güncel tutmal�s�n�z.
6- Bedava �eyler güzel ama tehlikeli olabilir! �nternette ‘kazand�n�z‘, ‘bedava‘, ‘ücretsiz‘, ‘100 ki�i aras�ndan size ç�kt�‘ gibi sizi t�klamaya te�vik eden web siteleri ve pencerelere temkinli yakla��n. Her gördü�ünüz linke do�rudan t�klamak yerine öncelikle bu gerçekli�ini sorgulay�n ve ilgili ki�i veya kurulu�tan geldi�ine emin olun.
7- �nternette payla��lan bilgilerin kaybolmad��n� hat�rlay�n, hat�rlat�n! Bir foto�raf� sildi�inizde hatta tüm hesab�n�z� kapatt��n�zda tüm verinizi otomatik olarak sildi�inizi zannetmeyin. Resimler veya ki�isel bilgiler çoktan ba�ka birinin bilgisayar�na kaydedilmi� olabilir. Çocuklar ve aileleri, hangi resim ve bilgilerin internete koyulaca��n� iki defa dü�ünmeli.
8- Güncel güvenlik yaz�l�m� kullan�n! Global ölçekte her gün milyonlarca zararl� yaz�l�m sanal alemde dola�arak önce ki�isel bilgilerinize oradan da finansal kaynaklar�n�za ula�maya çal��yor. Profesyonel dijital önlem almadan bunlarla ba�a ç�kmak art�k mümkün de�il.
9- Aile koruma ve ebeveyn kontrolü yaz�l�mlar�yla s�n�rlar� çizin! Ya�a göre belirlenebilen koruma filtreleri kullanabir ve uygun olmayan web siteleriyle uygulamalara eri�imi engelleyebilirsiniz.
10- Ak�ll� telefonunuza bilgisayar muamelesi yap�n! Cep telefonlar�nda sadece oyun oynanm�yor. Bilgisayarlar ya da mobil cihazlar için ald��n�z önlemleri almay� ihmal etmeyin.

Tunç Alt�nba�
t.altinbas@businesslife.com.tr