ABD, kritik altyapısının siber dayanıklılığını artırmaya çalışırken, Kongre raporu ülkenin deniz taşımacılığı ve liman operasyonlarının, yazılımları genellikle savunmasız olan ve uzaktan iletişim kurulabilen Çin yapımı vinçlere ve diğer sistemlere aşırı derecede bağımlı olduğunu vurguladı.
Geçtiğimiz hafta, Temsilciler Meclisi’nin Çin Komünist Partisi Seçme Komitesi, ABD liman altyapısına yönelik potansiyel tehditler hakkında bir rapor yayınladı ve ABD limanlarındaki gemiden kıyıya (STS) vinçlerin %80’inin tek bir Çin hükümetine ait şirket olan Shanghai Zhenhua Heavy Industries (ZPMC) tarafından üretildiğini ortaya koydu. Komite, şirketin erişimini kötü niyetli kullandığına dair bir kanıt ortaya koymasa da, şirket yazılım açıklarını ele almada başarısız oldu ve genellikle açık bir bildirimde bulunmadan hücresel bir modem aracılığıyla vincin sistemlerine uzaktan erişme yeteneğini korudu.
Raporda kesin bir kanıt bulunmasa da endişelerin makul olduğunu belirten Phosphorus Cybersecurity adlı Nesnelerin İnterneti (IoT) güvenlik firmasının baş bilgi güvenliği sorumlusu (CISO) John Terrill, şunları söyledi:
“Meşru amaçlar olabilir [a cellular modem]ancak genel düşüncenin -Çin’e ait bir şirket olduğu için- [committee] “Erişime izin vermenin bir saatli bomba kurmaktan endişe ediyor” diyor. “Jeopolitik olarak bir şey olursa, limanlar aniden vinçleri çalıştıramayabilir.”
Kritik ekonomik sektörler için tedarik zincirleri, politika yapıcılar ve güvenlik örgütleri tarafından yoğun bir incelemeye tabi tutuluyor. Rusya Ukrayna’yı işgal ettiğinde, ordu altyapıya yönelik siber saldırıları hedef aldı, örneğin uydu iletişimleri olarak Ve nükleer enerji üretimiABD hükümeti tarafından terör örgütü olarak kabul edilen Lübnan merkezli Hizbullah militanlarına yönelik son saldırılar tedarik zinciri saldırısıyla muhtemelen tehlikeye atılan çağrı cihazları kullanılıyor İsrail’in siber-fiziksel saldırıların potansiyelini ortaya koydu.
Tedarik Zinciri Odaklılığında Deniz Değişimi
Liman tesisleri genellikle göz ardı edilir, ancak özellikle ekonominin itici güçleri olarak kritik öneme sahiptir. ABD liman tesisleri, tüm uluslararası yüklerin değerinin yaklaşık %40’ını ele alır ve en büyük 12 liman 2023 yılında yaklaşık 47 milyon yirmi fit eşdeğer birim (TEU) kargo işlenecek. Bu tür tesislere yönelik siber-fiziksel saldırılar ABD ekonomisini önemli ölçüde bozabilir. Siber güvenlik uzmanları, Çin bağlantılı siber casusluk gruplarının Tesislerdeki kritik altyapı sistemlerinin tehlikeye atılması — limanlar gibi — gelecekteki çatışmalara hazırlık olarak.
Ucuz liman ekipmanı satın almanın uzun vadeli riskleri, kısa vadeli kazançlarından daha ağır basmaktadır. Temsilciler Meclisi Seçme Komitesi şunları belirtti: Raporunda.
“Ortak soruşturmamız sırasında toplanan kanıtlar, ZPMC’nin istenirse ÇKP ve ÇHC ordusunun kendi istekleri üzerine ABD deniz ekipmanlarını ve teknolojisini istismar etmesine ve manipüle etmesine yardımcı olabilecek bir Truva atı olarak hizmet edebileceğini gösteriyor,” diye belirtti yasa koyucular. “Kritik altyapımızdaki bu güvenlik açığı, kıyıdan kıyıya Amerikalıları etkileme potansiyeline sahip.”
Tarihsel olarak göz ardı edilmiş olsa da, deniz tedarik zinciri güvenliği ve siber güvenlik giderek artan bir sorun haline geldi. Şubat ayında, ABD Ulaştırma Bakanlığı, liman tesislerinin Çinli tedarikçilere aşırı güvenmesinin Çin hükümetinin ticaret hakkında bilgi toplamasına izin verdiğini ve Çin-Amerikan ilişkileri kötüleşirse potansiyel uzlaşmalara yol açabileceğini söyledi.
Siber Güvenlik İçin Zorlu Denizler
Limanlara ve gemilere yönelik saldırılar duyulmamış bir şey değil. Şubat ayında, ABD İran askeri gemisine saldırı düzenlendiği bildirildi Kızıldeniz’deki Husi isyancılarına yardım etmek ve iletişimleri bozmak. Bir Hint ulus-devlet siber operasyon grubu deniz tesislerine ve limanlara saldırıldı Hint Okyanusu’nda ve Akdeniz’e kadar. Ve GPS sinyallerinin sahteciliği haydut devletlerin kıyılarına yakın bölgelerdeki yük gemileri ve diğer nakliye araçlarına sorun çıkarmasına olanak sağladı.
ICS/OT güvenlik firması Xona’nın stratejik danışmanı Ron Fabela, altyapının büyük bir kısmının fiziksel ekipmanları kontrol eden yazılımlara bağlı entegre iletişimlere sahip olması nedeniyle siber güvenliğin önemli bir konu olduğunu söylüyor.
“Artık her şeye uzaktan erişilebiliyor,” diyor. “Eğer sektörde olmadıysanız, süper kritik işlerimizin internetten erişilemeyeceğini düşünebilirsiniz, değil mi? Ve çoğu zaman durum böyle değildir.”
Liman operatörleri vinçler gibi ucuz liman ekipmanları satın almak istiyor ancak daha sonra hizmet sağlamak için üreticiye güveniyorlar, bu da uzaktan iletişim ve veri toplamaya yol açıyor. Ayrıca, ZPMC ekipmanlarında çok sayıda güvenlik açığı bulundu ancak hata raporları ortadan kayboluyor ve asla kamuoyuna duyurulmuyor ve muhtemelen asla düzeltilmiyor. Çin’in güvenlik açıklarının hükümete açıklanmasını zorunlu kılan yasası göz önüne alındığında, bu güvenlik açıklarının kullanılması veya kullanım için stoklanması muhtemeldir, diyor Phosphorus’tan Terrill.
“Bilinen ve yama yapılmamış bir güvenlik açığı, başka bir tanıma göre arka kapıdır” diyor.
Güvenilmeyen Altyapının Korunması
Temsilciler Meclisi ÇKP Komitesi’nin raporunda, İç Güvenlik Bakanlığı ve ABD Sahil Güvenliği’nin ZPMC vinçlerindeki hücresel modemleri devre dışı bırakmaları, operasyon sırasında vinçlerin güvenliğini izlemek ve sağlamak için teknoloji kurmaları ve Pasifik Okyanusu’ndaki ABD ordusu için bir ikmal noktası olan Guam limanı ve Savunma Bakanlığı tarafından kritik olarak belirlenen limanlar gibi kritik limanlara ekstra güvenlik önlemleri yoğunlaştırmaları yönünde önerilerde bulunmaları öneriliyor.
Ancak liman operatörleri hücresel cihazları devre dışı bırakma zorunluluklarını geri çekebilir. Hücresel modemleri kapatmak muhtemelen vinçlerin ve diğer ekipmanların bakımını aksatmak anlamına gelecektir, diyor Xona’dan Fabela.
“Kritik altyapıda gördüğüm şey, varlık sahibinin -bu ekipmanı satın alan kişinin- onu korumak istememesidir,” diyor. “Bir şey ters giderse, birinin sorumlu olmasını istiyorlar… OEM’in veya üreticinin bunu desteklediğinden emin olmak istiyorlar ve ağır sanayimizin çoğu hala sınırlarımız dışında üretildiği için bu zor bir sorun haline geliyor.”
Bunun yerine, operatörlerin dijital erişimi fiziksel erişim gibi ele alması gerektiğini söylüyor. Herhangi bir oturum sıkı bir şekilde kontrol edilmeli ve planlanmalı, cihazlar diğer tüm zamanlarda çevrimdışı tutulmalı.
“İzleyeceğiz ve erişimlerini omzunun üzerinden takip edeceğiz – fiziksel erişimle bunu böyle yapıyorlar,” diyor. “Bir satıcı bir limana girip öylece dolaşamaz. Orada bulunmak için bir nedeniniz olmalı, genellikle bir iş emri; bir geçmiş kontrolünüz olmalı; ve biri size eşlik edecek. Bu yüzden sadece bu en iyi uygulamaları siber alana genişletmek genellikle gereken tek şeydir.”
Uzun vadede, Temsilciler Meclisi ÇKP Komitesi raporu, ABD Ticaret Bakanlığı’nın ABD’de vinç üretiminin uygulanabilir olup olmadığını ve ABD’nin imalat sektöründeki rekabet gücünü artırmanın yollarını araştırmasını öneriyor.