Bir yandan, yerel liderlerden ulusal figürlere kadar Amerika Birleşik Devletleri’ndeki politika yapıcılar, Çin ürünlerine güçlü bir şekilde karşı olduklarını dile getirerek, Çin teknolojisinin Amerikan topraklarında kapsamlı yasaklanması çağrısında bulundular. Ancak Çin etkisinin ülkenin teknoloji altyapısını ne kadar derinden etkilediğine dair söylem ile gerçeklik arasında önemli bir kopukluk var gibi görünüyor. Rahatsız edici gerçek şu ki, Amerikan sistemlerinde kullanılan neredeyse her kritik elektronik bileşen ve yazılım, doğrudan veya dolaylı olarak bir şekilde Çin menşelidir.
Bu rahatsız edici gerçek, kamu ve özel kuruluşları, devlet aktörlerinin oluşturduğu siber tehditlerden korumaya adanmış Florida merkezli bir şirket olan Fortress Information Security’nin yakın tarihli bir raporunda gün ışığına çıkarıldı. “Malzeme Listesinin Ötesinde: Kritik Altyapı Yazılımında Gizlenen Sessiz Tehdit” başlıklı rapor, Çin yapımı yazılım kodunun ABD ekonomisini ve güvenliğini destekleyen kritik altyapıya ne kadar derinden gömülü olduğuna dair çarpıcı bir tablo çiziyor.
Sorunun Boyutu
Raporun bulguları endişe verici olmaktan başka bir şey değil. Fortress’e göre, ABD’nin kritik altyapısındaki yazılıma güç veren ürünlerin %90’ı şaşırtıcı bir şekilde Çin kaynaklı kod içeriyor. Enerji, ulaşım ve telekomünikasyon gibi sektörlerde yaygın olarak kullanılan bu yazılımın istismara karşı oldukça savunmasız olduğu belirlendi. Genellikle gizli arka kapılar veya yama yapılmamış kusurlar şeklinde mevcut olan bu güvenlik açıkları, düşman bir devlet aktörünün bunları istismar etmeyi seçmesi durumunda altyapıyı siber saldırılara veya sabotajlara açık hale getirir.
Bu sonuçlara ulaşmak için Fortress, Kuzey Amerika Enerji Yazılım Güvencesi Veritabanında (NAESAD) depolanan ürünler için bir Yazılım Malzeme Listesi (SBOM) oluşturmak amacıyla gelişmiş İkili Analiz teknolojisini kullandı. Bu veritabanı, ağ yönetimi, operasyonel teknoloji ve diğer kritik sistemlerde kullanılan bileşenler de dahil olmak üzere binlerce ürüne ilişkin verileri barındırır.
Raporda, 2.000’den fazla üründe kullanılan 8.700’den fazla bileşende toplamda 9.535 güvenlik açığının altı çiziliyor. 240’ı aşkın satıcıdan temin edilen bu ürünler, kritik altyapının işleyişi için gereklidir ve bu da onları kötü niyetli aktörlerin istismarına yönelik birincil hedefler haline getiriyor. Bu güvenlik açıkları yıllardır mevcut olsa da, şimdiye kadar büyük ölçüde arka planda gizlenen ve fark edilmeyen “sessiz tehditler” olarak kaldılar.
Çin Kanununun Sessiz Tehdidi
Fortress Information Security, gerçek dünya senaryolarında güvenlik açıklarından yararlanma olasılığını değerlendirmeye yönelik bir yöntem olan Exploit Tahmin Puanlama Sistemini (EPSS) kullanarak tehlikenin boyutunu daha da vurguluyor. Bulgular, Çin yapımı kodun Çin hükümetine veya bağlı bilgisayar korsanlarına ABD’nin ekonomik ve fiziksel güvenliğini baltalama araçları sağlayabileceğini gösteriyor. ABD ile Çin arasında gerilim artarken Fortress CEO’su Alex Santos, çatışmanın tırmanması durumunda bu zayıf noktaların feci sonuçlar doğuracak şekilde silah haline getirilebileceği konusunda uyarıyor.
Santos yaptığı açıklamada, “Dolayısıyla Çin koduyla çalışan tüm yazılım ve fiziksel ürünlerin ulusal kritik altyapıdan ayıklanması gerekiyor” dedi. Bu eylem çağrısı, durumun ciddiyetinin altını çiziyor ve politika yapıcıları çok geç olmadan hızlı ve kararlı adımlar atmaya çağırıyor.
Küresel Tedarik Zinciri İkilemi
Kritik altyapıdaki Çin yapımı bileşenler sorunu, Çin-ABD ilişkilerinin ötesine uzanıyor. Küreselleşmiş bir ekonomide, tedarik zincirleri derinden iç içe geçmiş durumdadır ve Çin üretiminin erişim alanı geniş kapsamlıdır. Genellikle jeopolitik müttefik olarak görülen Vietnam, Güney Kore veya Japonya gibi ülkelerde üretilen ürünler bile önemli miktarda Çin yapımı bileşen içeriyor. İster mikroçip ister yazılım modülü olsun, modern elektronik ürünlerin temel parçalarının çoğu Çin’den geliyor.
Bu zor bir ikilemi ortaya çıkarıyor. Bir yandan, birçok elektronik cihazın işleyişinin ayrılmaz bir parçası olan Çin bileşenlerine olan güven kolaylıkla göz ardı edilemez. Öte yandan, bu bileşenlerin oluşturduğu güvenlik riskleri gerçektir ve riskler inanılmaz derecede yüksektir. Fortress’in raporunun da belirttiği gibi, bu güvenlik açıkları kontrol edilmezse ABD’yi önemli siber risklere maruz bırakabilir ve potansiyel olarak ulusal güvenliğe, ekonomik istikrara ve hatta kamu güvenliğine zarar verebilir.
Acil Eylem Çağrısı
Ufukta başkanlık seçimi varken, bu raporun zamanlaması bundan daha kritik olamazdı. Bir sonraki ABD başkanı, kritik altyapıda yabancıların etkilediği yazılım ve donanımın oluşturduğu büyüyen tehdidin farkına varmalı. Ülkeyi potansiyel siber saldırılardan korumak ve ekonomik ve fiziksel güvenliğini sağlamak için politika yapıcıların bu güvenlik açıklarını değerlendirip gidermeye yönelik acil adımlar atması gerekiyor.
Olası çözümlerden biri, kritik altyapı sistemlerindeki yabancı kaynaklı yazılım ve donanımların daha fazla incelenmesini zorunlu kılan daha güçlü, daha kapsamlı politikaların geliştirilmesidir. Bu, daha sıkı siber güvenlik denetimlerini, daha sağlam yazılım tedarik zinciri standartlarının oluşturulmasını ve güvenlik açıklarını istismar edilmeden önce tespit edip ortadan kaldırmak için kamu ve özel sektör arasında daha güçlü bir işbirliğini içerebilir.
Riskler büyük ve şimdi harekete geçme zamanı. Önümüzdeki yıllar, ABD’nin bu sessiz ve büyüyen tehdide nasıl yanıt vereceğinin belirlenmesinde çok önemli olacak. Teknoloji ülkenin güvenliği için giderek daha önemli hale geldikçe, kritik altyapıyı dış etkilerden korumanın önemi de artmaya devam edecek.
Reklam