Hepsi onları uzaktan izleyen ve kontrol eden uydu iletişimini bozarak geçersiz kılınan 5.800 rüzgar türbini ile noktalı bir kıyı şeridi hayal edin.
Şüpheli Rus bilgisayar korsanlarının ENERCON Servisi tarafından sağlanan rüzgar enerjisi dönüştürücülerini hedef aldığı Şubat ayında Avrupa’da olan tam olarak buydu. Şirket, rüzgar santrallerinin çoğunun tekrar devreye alınmasının iki ay sürdüğünü söyledi.
Şirket, Nisan ayında yaptığı açıklamada, “Uydu aracılığıyla sağlanan iletişim hizmetleri, Rus birliklerinin Ukrayna’yı işgal etmesiyle hemen hemen aynı anda düştü” dedi.
“Avrupa çapında çeşitli sektörlerden şirketler ve kuruluşlar tarafından kullanılan yaklaşık 30.000 uydu terminali etkilendi. Bunların arasında, orta Avrupa’da toplam kurulu gücü 10 gigawatt’tan fazla olan 5.800 ENERCON WEC bulunuyor.”
Yenilenebilir enerji çekiş kazanmaya devam ettikçe, enerji sektörü giderek daha fazla siber tehditlere maruz kalıyor. Yeşil enerji sistemlerinin birbirine bağlı doğası, bilgisayar korsanlarının hızla yararlandığı güvenlik açıkları oluşturur.
Çatışma veya artan gerilimler sırasında, enerji üretimi ve dağıtımı için bu sistemlere güvenmek, onları enerji sektörüne geniş çaplı siber saldırılar düzenleyen bilgisayar korsanları için çekici hedefler haline getiriyor.
Cyble tarafından hazırlanan bir raporda, “Güç şebekelerini, enerji depolama tesislerini ve akıllı teknolojileri, konum açıklarını ve kötü niyetli aktörlerin istismar etmesi için cazip olan yanlış yapılandırmaları kapsayan yeşil enerji sistemlerinin birbirine bağlı doğası” dedi.
Siber saldırılar çeşitli sektörler için risk oluştururken, elektrik enerjisi ve gaz şirketleri özellikle savunmasızdır. Ancak, enerji sektörüne yönelik siber saldırılarla ilgili riskleri önemli ölçüde azaltmanın yolları var.
Enerji sektörüne yönelik siber saldırıların manzarasını anlama
McKinsey & Company, sektörü özellikle modern siber tehditlere karşı savunmasız hale getiren üç geniş özelliği paylaştı.
İlk olarak, güvenlik ve ekonomik alt üst etme peşinde koşan ulus-devlet aktörleri, sektördeki ekonomik değeri fark eden siber suçlular ve kamu hizmetlerinin projelerine veya daha geniş gündemlerine karşı çıkan bilgisayar korsanları dahil olmak üzere kamu hizmetlerini hedef alan artan tehditler ve aktörler var.
İkincisi, kamu hizmetleri, genellikle merkezi olmayan siber güvenlik liderliği ile coğrafi ve organizasyonel karmaşıklıkları nedeniyle geniş ve karmaşık saldırı yüzeylerine sahiptir.
Son olarak, elektrik-güç ve gaz sektöründeki fiziksel ve siber altyapı arasındaki karşılıklı bağımlılıklar, şirketleri fatura dolandırıcılığı, operasyonel teknoloji (OT) sistem devralmaları ve hatta fiziksel yıkım gibi suiistimale açık hale getiriyor.
Fotovoltaik izleme ve teşhis çözümlerinin güvenlik açıklarını keşfetme
Cyble’a göre fotovoltaik (PV) izleme ve teşhis çözümleri, yenilenebilir enerji sistemlerinin izlenmesi ve yönetilmesinde kritik öneme sahiptir. Bu sistemler, güneş enerjisi kurulumunun gerçek zamanlı performansı, veri verimliliği, arıza tespiti ve daha fazlası hakkında bilgi sağlar.
PV izleme ve teşhis çözümleri, şebeke entegrasyonu, güç akışı optimizasyonu ve şebeke kararlılığı açısından önemlidir. Bununla birlikte, PV teşhis ve izleme sistemlerinin artık internete maruz kalması göz korkutucu olabilir çünkü bu karmaşık teknolojiler için potansiyel riskler getirir.
Araştırmalar, bu tür 130.000’den fazla sistemin internete açık olduğunu ve tehdit aktörlerine geniş bir saldırı yüzeyi sağladığını gösteriyor. Bu maruz kalma, bu sistemleri siber saldırılara karşı savunmasız hale getirerek potansiyel olarak enerji üretiminin azalmasına, sistem istikrarsızlığına, fiziksel hasara ve diğer siber güvenlik sorunlarına yol açar.
PV izleme ve ölçüm çözümlerinin güvenliğini sağlamak, güvenlik açıklarının ve zorlukların ele alınmasını gerektirir. Eski üretici yazılımı, yanlış yapılandırmalar ve güvenliği ihlal edilmiş uç noktalar risklere katkıda bulunur.
Bu sistemlerden yararlanmak, eski üretici yazılımları kullanıyorlarsa veya güvenli olmayan iletişim, güncelleme eksikliği, uygun olmayan ağ bölümlemesi veya zayıf erişim kontrolü gibi yanlış yapılandırmalara sahiplerse daha erişilebilir hale gelir.
Erişim kimlik bilgilerinin çalındığı ve karanlık ağda satıldığı güvenliği ihlal edilmiş uç noktalar, bu sistemlerin güvenliği için önemli bir tehdit oluşturmaktadır. PV izleme çözümlerine yönelik saldırıların, enerji sektörünün ötesinde geniş kapsamlı etkileri vardır.
Genişleyen tehdit ortamı ve enerji sektörüne yönelik siber saldırılar
Yıllar boyunca, birçok bilgisayar korsanı, ülkenin jeopolitik düzeniyle hiçbir ilgisi olmayanlar bile, enerji sektörüne yönelik saldırılar üstlendi. Ancak görülmüştür ki ulus-devlet aktörleri ve diğer bilgisayar korsanı grupları, enerji sektörüne yönelik siber saldırılar başlatma konusunda daha istekli.
Siber suçlular ayrıca kar için kamu hizmetlerini ve kritik altyapıyı hedefler. Dikkate değer bir örnek, Baltimore City bilgisayarlarına yapılan ve talep edilen fidyeyi aşan büyük zararlara neden olan fidye yazılımı saldırısıdır.
Cyble raporunda, “Fabrika varsayılan parolalarının kullanılması, güvenli olmayan iletişim, güncelleme eksikliği, uygun olmayan ağ segmentasyonu, zayıf erişim kontrolü vb. gibi yaygın yanlış yapılandırmalar, davetsiz misafirlere bu cihazların veri manipülasyonuna daha kolay bir yaklaşım sağlayabilir” dedi.
“Hacktivist gruplarının çoğu, ICS ortamıyla ilgili varlıklara erişim elde etmek için yanlış yapılandırmalara güveniyor.”
Bir gaz şirketinin boru hattı operasyonlarını kesintiye uğratmak için ransomware konuşlandırılmasının da gösterdiği gibi, saldırılar artık yalnızca BT ağlarıyla sınırlı değil, üretkenlik ve gelir kayıplarına yol açıyor.
Hacktivistler, daha az karmaşık olabilecek ancak yine de elektrik enerjisi ve gaz operasyonlarını kesintiye uğratma potansiyeline sahip tehditler oluşturur.
Genellikle dağıtılmış hizmet reddi (DDoS) gibi halka açık saldırıları kullanırlar. Hacktivistler, endüstri liderlerine karşı siber güvenlik saldırıları gerçekleştirmek için kullanılabilecek iklim liderlerinden kişisel verileri de çaldılar.
Çoğu kamu kuruluşu siber güvenlik risklerini bilse de, OT ve BT siber güvenlik kontrolleri için fon sağlama becerilerinde tutarsızlıklar mevcuttur.
Düzenleyiciler genellikle siber güvenlik bütçelerini gözden geçirmek için daha fazla yeteneğe ihtiyaç duyar ve bu da siber yeteneklere sınırlı yatırım yapılmasına neden olur. Bağımsız enerji hizmetleri sunan belediyeler, yeterli siber güvenlik kontrollerini uygulamak için daha fazla kaynağa ihtiyaç duyabilir ve bu da riski artırır.
Enerji sektörüne yönelik siber saldırılar: Başlıca zorluklar
“Sistemimizde ne sıklıkla boşluklar bulduğumuz konusunda yorum yapmak istediğimden emin değilim. Ancak söyleyebileceğim şey, sistemimizde delikler bulduk” dedi.
BT ve OT sistemlerinin görünürlüğü ve bakımı zordur. COVID-19’dan bu yana büyük sektörler çalışmalarını çeşitlendirdi ve uzaktan çalışma seçenekleri de tehdit aktörlerinin ağlara sızması için yeni ve benzersiz yollar açtı.
Ayrıca, tüketici elektroniği ve güvenlik açıkları da enerji sektörünün bilgisayar korsanları için birincil hedef olabilmesinin büyük bir nedenidir. Örneğin, kablosuz akıllı sayaçlar, kurcalama için hedef alındı ve sonuçta şirketler için gelir kayıplarına neden oldu.
Elektrikli araç şarj istasyonları gibi yeni teknolojilerin ortaya çıkması, bu istasyonlara yönelik koordineli saldırılar tüm elektrik şebekesini çökertebileceğinden, riskleri daha da artırıyor.
Enerji üretimi ve dağıtımının farklı yönlerinden sorumlu birden çok iş birimi ile kamu hizmetleri içindeki organizasyonel karmaşıklığın, genel ağ güvenliğini sağlamak için iyileştirilmesi gerekir. Test edilmemiş IoT teknolojisi de dahil olmak üzere ayrı OT ve BT politikası rejimleri güvenlik açıklarına neden olabilir.
Bu karmaşıklık, hizmet sistemlerine erişim gerektiren çalışanların, yüklenicilerin ve satıcıların sayısıyla birleşerek potansiyel saldırı yüzeyini artırır.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.