Kritik Altyapı Güvenliği, Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Dijital Cephelerde Kritik Altyapı
Shaun Waterman’ın •
16 Ekim 2025
Kırsal Amerika Tayvan’dan çok uzakta. Ancak siber güç coğrafyaya saygı duymaz. Çin, adayı zorla yeniden birleştirme yönündeki sürekli tehditlerini yerine getirirse, Amerika Birleşik Devletleri’nin dört bir yanındaki küçük kasabalara su ve elektrik sağlayan kamu hizmetleri kendilerini 21. yüzyılın süper güç savaşının dijital ön saflarında bulabilir.
Ayrıca bakınız: İsteğe Bağlı Panel | OT Güvenliğini HCLTech ve Microsoft ile Güçlendirme
CBS’nin bu hafta bildirdiğine göre, ABD’li yetkililerin iki buçuk yıl önce uyardığı bir tehdidi ayrıntılarıyla anlatan CBS’nin bu haftaki haberine göre, Çin bağlantılı hackerlar, bir çatışma durumunda Amerikan su ve enerji kaynaklarını sabote etmek amacıyla yüzlerce küçük ve orta ölçekli ABD su sistemi ve diğer tesislerin BT ağlarına erişti.
Açıklamalar, otomatik ve uzaktan kontrol edilen operasyonel teknoloji sistemlerinin çevrimiçi sabote edilmesine karşı savunmasızlığı ve bunları savunmakla görevli olanların karşı karşıya olduğu artan kaynak açığını vurguluyor. Pasifik’te bir savaş durumunda Çin, sivil altyapısını felce uğratarak Amerika’nın savaşma isteğini ve yeteneğini baltalamaya çalışırsa, küçük kasaba kamu hizmetleri tek başına kalabilir.
Kaynak açığını doldurmaya yardımcı olmak için geçen yıl iki kar amacı gütmeyen çalışma başlatıldı, ancak biri yeniden kalibre edilirken durakladı ve diğeri, bir avuç eyaletten daha fazlasında çalışacak kaynaklara sahip olmadığını söyledi.
Yıllardır hayati ancak yetersiz kaynaklara sahip altyapılar için siber güvenlik gönüllülerini harekete geçirmek için çalışan Josh Corman, olağan başkanlık geçiş sürtüşmesinin (Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın hâlâ Senato tarafından onaylanmış bir lideri yok) işten çıkarmalar ve işten çıkarmalarla birleştiğinde federal hükümetin küçük kasaba tesislerinin siber güvenliğini destekleme çabalarını sekteye uğrattığını söyledi.
Küresel düşmanların kritik altyapı saldırıları, ön konumlandırmanın hedeflerinin ABD ordusuyla hiçbir bağlantısı olmayan toplulukları da içerdiği göz önüne alındığında özellikle endişe vericidir. Corman, Information Security Media Group’a şunları söyledi: “Bunlar, sivil, savaş dışı altyapıyı silahlı çatışmanın öncüsü olarak hedefleyebilmek için önceden konumlandıran askeri bilgisayar korsanları. Bu çok çirkin bir şey.” “Olmak için kötü bir yer.”
Corman, ülkenin hayati önem taşıyan hizmetlerini 2027 yılına kadar olası bir ulus devlet siber saldırısına hazırlamayı amaçlayan, kar amacı gütmeyen bir kuruluş olan UnDisruptable27’yi kurdu. Tarih, Çin Devlet Başkanı Xi Jinping’in silahlı kuvvetlerine o yıl Tayvan’ı geri almaya hazır olmalarını (ve üstü kapalı olarak ABD güçleriyle yüzleşmeye) hazır olmalarını emrettiğini belirten ABD istihbarat raporlarına bir referanstır.
Su hizmetleri, enerji şirketleri ve hastaneler gibi küçük ve orta ölçekli altyapı sağlayıcıları, merkez topluluklardaki küçük ve çoğunlukla görülmeyen rolleri nedeniyle özellikle ulus devlet korsanlığına maruz kalıyor.
Cisco’dan Wendy Nather’in ilk kez dile getirdiği formülde olduğu gibi, küçük topluluklara hizmet veren kamu hizmetleri hedef bakımından zengin ancak siber açısından fakirdir. Corman, “Siber güvenlik personeli yok. Siber güvenlik bütçeleri yok. Bırakın OT’yi veya endüstriyel kontrol sistemlerini koruyacak kişileri, çoğu durumda BT personeli bile yok” dedi.
Elektrik üreticilerinin ve dağıtımcılarının siber güvenliği sıkı denetimlere tabidir. Buna karşılık, bir su şirketine yapılan başarılı bir siber saldırının ardı ardına gelen sonuçları ne kadar korkutucu olsa da “su korumasızdır”.
Corman, “Su yoksa hastane de yok demektir” dedi. Çoğu hastane birkaç saat sonra kapanacaktı. “HVAC’ın suya ihtiyacı var, sanitasyonun suya ihtiyacı var. Yangın söndürmenin suya ihtiyacı var, sterilizasyon cerrahisi fırçalaması… Bir hastaneye su basıncını kaybederseniz, özellikle Arizona gibi sıcak bir yerde ve klimanın çalışmayı bıraktığı 117 derece sıcaklıktaysa, iki ila dört saat içinde tahliye etmeniz gerekir.”
UnDisruptable27, siber güvenlik gönüllülerini kamu hizmeti sahiplerini ve operatörlerini sistemlerini nasıl güvence altına alacakları konusunda eğitmek için harekete geçirerek doldurabilecekleri bir “bilgi boşluğu” olduğu teorisiyle başladı.
Corman çok geçmeden sorunun bundan çok daha büyük ve karmaşık olduğunu fark etti. Sahipler ve operatörler, yerel siyasi liderler, vatandaşlar ve siber güvenlik uzmanlarının yanı sıra yalnızca bir grup paydaştan oluşuyordu. Ve kaynak açığı hayal ettiğinden daha büyüktü.
Amerika Birleşik Devletleri’nde yaklaşık 150.000 su tesisi bulunmaktadır. Corman, “Yetenek olmadan, zaman ve para olmadan başarılı bir şekilde koruma ve siber saldırı yapmamızın imkanı yok” dedi. “Bir bilgi açığımız olduğunu düşünüyorduk ama aslında bir motivasyon, yetkilendirme ve yetkilendirme açığımız var.”
Sorunun derinliği göz önüne alındığında UnDisruptable27, ilgili tüm paydaşlar için taktik kitabı görevi görecek 12 örnek olaydan oluşan bir dizi geliştirirken gönüllü alımını duraklattı.
Afet yönetiminin çok beğenilen taktik kitabından sayfalar ödünç alan UnDisruptable27, önce yerel, aşağıdan yukarıya bir yaklaşım kullanacak ve “yumruk atılacak ve bağlantı kurulacak” önermesiyle başlayacak, Corman şöyle dedi: “Etkiyi en iyi şekilde nasıl azaltabiliriz? Darbeyi alıp yuvarlanıp mümkün olduğunca çabuk ayağa kalkabileceğimizden nasıl emin olabiliriz?”
Çoğu durumda bunun, BT sistemlerini izinsiz girişlere karşı güçlendirmeye çalışmak anlamına gelmeyeceğini, ancak siber bilgilendirilmiş mühendislik olarak bilinen bir yaklaşımla, OT sistemlerini kaçınılmaz bir izinsiz girişten kaynaklanan hasarı en aza indirecek şekilde tasarlamak anlamına geldiğini ekledi.
Corman, “Siber durumda değil, bağlantıları kapalı” dedi.
Siber bilgili mühendislik, pratik sorunlara düşük maliyetli çözümler sunar. Corman, manuel geçersiz kılmaların bulunmadığı yeni sistemlere yönelik eğilimin bir örneğini verdi. Bazı yeni kurulumlarda, uzaktan kumandalı valfin üzerinde yer alan ve manüel geçersiz kılmaya izin veren bir tekerlek artık üretilmemektedir. “Bir tekerlek olduğundan emin olmak”, sağlayıcının dayanıklı olmasını sağlamaya yardımcı olacak düşük maliyetli bir önlemdir.
Chicago Üniversitesi Harris Kamu Politikası Okulu merkezli ve eski Biden Beyaz Saray siber güvenlik yetkilisi Jake Braun tarafından yönetilen bir girişim olan DEFCON Franklin de geçen yıl başlatıldı.
Braun, DEFCON Franklin’in dört eyalette (Indiana, Oregon, Utah ve Vermont) kamu hizmetleriyle çalışarak “bir dizi faaliyete düzinelerce gönüllü” kattığını söyledi.
Ancak şunu kabul etti: “Bu çabaları organik olarak 50.000’den fazla ABD su sistemi genelinde ölçeklendirmek son derece zor olacak. Su tesislerine geniş ölçekte hizmet ve uygulamalı destek sağlamak için, federal ve/veya eyalet ve yerel yönetimlerin önemli miktarda finansman sağlamaları gerekiyor.”
Braun, “kendi kimlik bilgileri ne olursa olsun, ‘dışarıdan’ birinin yardıma getirilmesine doğası gereği karşı olan” küçük su hizmeti sahipleri ve işletmecilerinden oluşan “sıkı sıkıya bağlı topluluklar” arasında güven sorunları bulunduğunu söyledi.
DEFCON Franklin’in “katılımcı su tesislerimizde bir güven düzeyi oluşturmak” ve çalışmalarını daha da ölçeklendirmek için Ulusal Kırsal Su Birliği ile birlikte çalıştığını ekledi.