Düşman, takip edilmesi zor ve tamamen düşmana atfedilmesi daha da zor olan siber silahlar kullanıyor; şirketlerin hemen harekete geçmesi gerekiyor
Yazan: Richard Staynings, Cylera’nın Baş Güvenlik Stratejisti
Avrupa ve Asya’da artan jeopolitik gerilimler, Batı Kritik Ulusal Altyapı Endüstrilerini (CNI’ler) çok büyük bir hedef haline getiriyor. Düşmanınıza saldırmanın, takip edilmesi zor ve tamamen bir düşmana atfedilmesi daha da zor olan siber silahları kullanmaktan daha iyi bir yolu olabilir mi? Dahası, ilişkilendirme nihayet gerçekleştiğinde, bu genellikle yıllar sonra gerçekleşir. O zamana kadar dünya genellikle unutup yoluna devam etti veya daha da yıkıcı bir siber saldırı karşısında şaşkına döndü. Şu ana kadar gerçekleşen siber saldırıların ve siber saldırganların neredeyse tamamı cezasız kaldı. Bu da onu failler için mükemmel bir suç haline getiriyor.
Suçlu vekillerinin, içeriden tehdit ajanlarının kullanılması ve sosyal medya platformları tarafından yayılan sahte kışkırtıcı anlatılarla ulusal söylemin manipüle edilmesi, hepsi bir rakibi zayıflatmak için tasarlanmıştır. Batılı hükümet kurumlarına olan güveni baltalamak gibi bu taktiklerin çoğu, doğrudan 1950’lerin KGB taktik kitabından çıkmış, ancak 2020’lerde Facebook, Twitter ve TikTok gibi görünüşte bağımlılık yaratan ortamlar aracılığıyla yeni bir amaç bulmuşlardır. Yirminci yüzyılın sonlarındaki savaşlar ve ulus devletlerin güç rekabeti casuslar ve nükleer savaş tehditleriyle damgalanmışsa, yirmi birinci yüzyıl da gri savaşların, toplumsal manipülasyonun ve siber kitle imha silahlarının gelişimiyle damgalanmış gibi görünüyor.
Gerçekten de, Amerika’nın düşmanlarının saldırgan siber yetenekleri, ülkenin siber savunma konusundaki yerel yeteneklerini aşıyor gibi görünüyor. Yalnızca Çin’in 100.000’e yakın Halk Kurtuluş Ordusu (PLA) siber savaşçısını istihdam ettiği düşünülüyor. Bu özel askeri birimlerin görevi, diğer ülkelerin BT sistemlerine erişimi geliştirmek, hassas ağlar üzerinde dayanak noktaları oluşturmak ve büyük miktarlarda ulusal sırları, fikri mülkiyeti ve ticari ticari sırları batılı işletmelerden sızdırmaktır. Bütün bunlar, Xi Jinping’in, Çin’in devlete ait endüstrilerini çalıntı IP kullanarak güçlendirmeyi ve Çin’i baskın küresel askeri ve ekonomik güç merkezi olarak konumlandırmayı amaçlayan ‘Çin Malı 2025’ planının bir parçası gibi görünüyor.
Rusya da, Rusça olmayan bilgisayar sistemlerine karşı büyük siber hırsızlık ve siber gasp kampanyaları yürüten organize suç örgütlerinin ve mafya siber çetelerinin açgözlülüğüyle tanınıyor. Buna, İrlanda HSE’ye (Sağlık Hizmetleri Yöneticisi) karşı 2021’de Sihirbaz Örümcek siber kartel saldırısı da dahildir ve bu saldırı 600 milyon dolar zararla sonuçlandı ve Royal Mail’e karşı uluslararası paketlerin gönderilmesini birkaç hafta boyunca engelleyen 2023 Lockbit fidye yazılımı saldırısı da buna dahildir. Bu tür siber şantaj saldırıları bir araya getirildiğinde, suçlu Rus devletine her yıl net milyarlarca dolar yasa dışı kazanç elde edilmesine neden oluyor. Her ne kadar görünüşte fırsatçı olsa da ve devlet kurumları fidye ödemeyi reddetse bile parasal kazanç elde etme ihtimaliyle motive olsa da, bu saldırılar Kremlin tarafından daha da karanlık amaçlar için de sipariş edilebilir. Bu durumda Royal Mail saldırısı, İngiltere’nin Ukrayna’ya daha uzun menzilli füze sistemleri göndermeyi kabul etmesinden hemen sonra gerçekleşti. Her ne kadar tam atıf henüz gerçekleşmemiş olsa da çoğu siber adli tıp araştırmacısı tesadüflere inanmamaktadır.
Diğer ülkelerdeki kritik altyapılar da benzer şekilde Rus fidye yazılımı çetelerinin saldırısına uğradı. 2021 yılında, Meksika Körfezi’ndeki rafinerilerden ABD’nin Doğu Kıyısı’na benzin ve jet yakıtı sağlayan Colonial Boru Hattı, bir Rus çetesi olan DarkSide tarafından birkaç gün süreyle kapatıldı. Yakıtın yarısını ABD’nin doğu kıyısına New Jersey’e kadar tedarik eden Başkan, ulusal acil durum ilan etmek zorunda kaldı.
Bakü-Tiflis-Ceyhan (BTC) boru hattı, ham petrolü Azerbaycan’ın Bakü kentinden Gürcistan üzerinden dünyanın geri kalanına ihraç edilmek üzere Türkiye’nin Ceyhan limanına taşıyor. 2008 yılında Türkiye’nin doğusundaki Refahiye’de büyük bir patlama sonucu, muhtemelen Kürt PKK’lı ayrılıkçılar tarafından ya da muhtemelen boru hattına aşırı basınç uygulayan bir Rus siber saldırısı sonucu havaya uçtu. Patlama, uygun bir şekilde, Rusya’nın Gürcistan’ı işgalinden iki gün önce ve Rusya’nın desteklediği Dağlık Karabağ, Ermenistan-Azerbaycan savaşının ortasında meydana geldi. Birkaç ay boyunca Bakü’yü petrol gelirinden, Tiflis’i ise ulaşım ücretlerinden gerekli gelirden mahrum etti.
Kremlin bu siber-fiziksel saldırılara karışmış olsa da olmasa da, Rusya açıkça en iyi siber-kinetik saldırı teknolojilerinden bazılarını geliştirdi ve bunu 1990’lardan beri ve Çeçenya, Gürcistan ve diğer yerlere karşı yürüttüğü savaşlardan bu yana yapıyor. Ukrayna elektrik şebekesi, ülkenin Kırım’ın işgali sonrasında Rus hegemonyasına boyun eğdiremediği veya 2014’teki Turuncu Devrim ve BM’nin ardından doğuya bakan bir Başkan yerleştiremediği 2015’ten bu yana birçok kez Rus siber saldırısının kurbanı oldu. -Viktor Yanukoviç’in törenle görevden alınması, kendine güvenen sadık bir Putin. Elektrik güç transformatörleri aşırı yüklendi ve havaya uçtu ya da ülkenin bazı yerlerinde kış mevsiminin en yoğun olduğu zamanlarda elektrik şebekeleri kapatıldı. Hastaneler ve diğer CNI’lar da Rus hackerların gazabından kurtulamadı. Birçoğu askerlerin yaralarının tedavisini görebileceği ön cephelerden uzakta çok sayıda hastaneye siber saldırı düzenlendi. Kasıtlı olarak hedef alınan tıbbi tesisler arasında kadın doğum ve pediatri hastaneleri ve klinikleri de yer alıyor; bunlardan bazıları aynı zamanda füze saldırılarının hedefi oldu.
Ancak Rus askeri teşkilatı, Rus GRU’sunun (Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı Ana Müdürlüğü) bir parçası olan ‘Sandworm’ gibi gruplar aracılığıyla, şimdiye kadarki en maliyetli ve en yıkıcı siber saldırı ödülünü alıyor. 2017’de dünyaya ‘Petya Değil’ adlı viral bir silme yazılımı saldırısı başlatıldı. Pek çok küresel işletmeyi çökertti ve dünyaya 8 ila 12 milyar ABD doları arasında bir maliyete neden oldu. Bu Rus askeri tedarik zinciri siber saldırısı, Ukraynalı vergi muhasebesi yazılım satıcısı ME Doc’u hedef aldı ve Ukraynalı işletmeleri felce uğratmayı amaçladı, ancak endişe verici sayıda Rus şirketi de dahil olmak üzere ülkede iş yapan her kuruluşa hızla Ukrayna sınırlarının ötesine yayıldı. Bu nedenle siber saldırı aynı zamanda tüm zamanların en büyük ‘iç saha golü’ ödülünü de alıyor ve dünyanın geri kalanıyla birlikte Rusya ekonomisini de olumsuz etkiliyor. Not Petya saldırısına karışanlardan kaç tanesinin daha sonra balkonlardan düştüğü bilinmiyor, ancak her açıdan Putin bundan memnun değildi. Rusya şu ana kadar zarara uğrayanlara tazminat ödemedi.
İran ve Kuzey Kore gibi daha küçük ulus devletler de, çoğuna on yıl önce İranlı saldırganların sızdığı düşünülen ABD enerji şirketleri de dahil olmak üzere CNI’lere yönelik saldırılar yoluyla bu gri savaş oyununda rol oynuyor. Bu arada Kuzey Kore, Bangladeş Bankası gibi ulusal bankalara baskın düzenledi ve Asya bankalarına ve NHS gibi sağlık hizmeti sağlayıcılarına karşı WannaCry gibi ayrım gözetmeyen fidye yazılımı saldırıları başlattı.
Küçük bir hastane sisteminin, bir elektrik dağıtımcısının veya telekomünikasyon sağlayıcısının kendisini kararlı ve iyi kaynaklara sahip bir ulus devlet düşmanına karşı savunmak zorunda kalması ihtimali kesinlikle hiçbir anlam ifade etmiyor. Bu savunmacılar her zaman silah bakımından geride kalacak ve hiç şansları olmayacak. Pek çok CNI’nin kolayca saldırıya uğraması ve fidye için alıkonulması, ulusal ekonomileri ve genel olarak toplumu etkilemesi belki de sürpriz değil. Bu nedenle, ulusal hükümetlerin yalnızca CNI’leri siber saldırılara karşı koruma ve savunma görevi yoktur, aynı zamanda vatandaşlarının bu son derece savunmasız saldırı vektörleri aracılığıyla dışlanmış devlet düşmanlarından korunmasında aktif bir rol oynamaları gerekir.
Ancak bugün ABD’deki devlet kurumları (İç Güvenlik’in bir parçası olan FBI, Gizli Servis ve CISA dahil) yalnızca çok sınırlı bir rol oynuyor. Bu çoğunlukla FBI ve InfraGuard brifingleri aracılığıyla tehdit istihbaratının paylaşılmasını veya bir saldırı veya ihlalin ardından adli soruşturmaya yardım edilmesini içerir. CNI’lerin ekonomi açısından kritikliği göz önüne alındığında, belki de hükümetin daha fazlasını yapmasının zamanı gelmiştir. Sorun şu ki, Amerika Birleşik Devletleri’nde çoğu CNI özel mülkiyettedir. Örnek olarak, askeri DHA hastaneleri, Gaziler İdaresi ve devlet klinikleri dışında ABD’deki sağlık hizmeti sağlayıcılarının büyük çoğunluğu özel mülkiyettedir ve özel sektör tarafından işletilmektedir. Bunların neredeyse tamamı kronik siber güvenlik finansmanı ve personel yetersizliğinden muzdariptir ve bırakın devlet destekli olanı, düzenli bir siber saldırıya karşı koruma veya savunma konusunda yalnızca sınırlı yeteneklere sahiptirler. Diğer CNI’ler de benzer bir durumdan muzdarip.
Sağlık sistemleri modernleşmeye ve hastalara ve topluluklara kritik sağlık hizmetleri sağlamanın değişen doğasına uyum sağlamaya devam ettikçe, siber saldırılara karşı özellikle savunmasız hale geliyor. Geniş tıbbi veri göllerinin, yapay zeka tabanlı tıbbi uygulamaların ve giderek artan sayıda yönetilmeyen bağlantılı IoT cihazının giderek genişleyen dijital ayak izi, güvenliğe yapılan tarihsel yetersiz yatırımı daha da artırıyor. Çoğu sağlayıcı, yeterli kaynaklara sahip olsa bile, hangi iç güvenlik açıklarının ve risklerin acilen ele alınması gerektiğini bir kenara bırakın, ağlarına neyin bağlandığını anlamakta bile zorluk çekiyor.
Buradaki tehlike, ABD CNI’lerine karşı planlı ve koordineli bir ulus devlet saldırısının, şüphesiz, dikkati dağıtacak ve kilit kaynakları savaş alanından uzaklaştıracak şekilde tasarlanmış olmasıdır. Dokuz önemli trafo merkezi devre dışı bırakılırsa, ABD 18 ay boyunca veya yedek transformatörlerin mevcut olmaması ve artık inşa edilmemesi nedeniyle daha uzun bir süre boyunca kıyıdan kıyıya felç edici bir elektrik kesintisine maruz kalabilir. Pil yedekleri bittiğinde tıbbi cihazlarına güç sağlamak için elektriğe bağımlı olanların ölümlerinin yanı sıra, içilebilir su eksikliği veya kanalizasyon pompalama ve arıtma yeteneğinin olmayışı nedeniyle pandemik hastalıklara yol açan bir halk sağlığı krizinden sonraki haftalar içinde milyonlarca şehir sakini daha ölecekti. ABD 19’dan bu yana tanık olmadıbu yüzyıl. Sonuç olarak toplum büyük olasılıkla hızla çökecek ve anarşiye yol açacaktır. Bu, düşman bir ulus-devlet için, hiç ateş etmeden ve her zaman makul inkar edilebilirliğin arkasına saklanarak ABD’yi zayıflatmak ve devre dışı bırakmak için çok çekici ve uygun bir saldırı vektörü olabilir.
Kritik endüstrilere olan güvenimiz göz önüne alındığında, Amerika Birleşik Devletleri ve diğer batılı ülkeler bu tür bir saldırıya karşı özellikle savunmasızdır. Hava trafik kontrolünün olmaması tüm uçuşları durduracak, trenler ve kamyonlar ise pazarlara mal taşımayı bırakacaktır. Oldukça gelişmiş batı ülkeleri, her nüfusun çoğunluğunun kendi gıdasını yetiştirmeye devam ettiği Rusya ve Çin’e veya elektriğin son derece güvenilmez olduğu ve Pyongyang dışında büyük ölçüde mevcut olmadığı Kuzey Kore’ye kıyasla CNI’lere çok daha fazla bağımlıdır. Bu nedenle Batı’nın karşılıklı saldırısının etkisi yalnızca sınırlı olacaktır. Birkaç caydırıcı faktörle, bir düşmanın böyle bir saldırı başlatmasını ne engelleyebilir?
Belki de batılı hükümetlerin, modern siber silahlar ve son saldırılar ışığında kritik sektörlerinin zayıflıklarına ve kırılganlıklarına daha yakından bakmalarının zamanı gelmiştir. Vatandaşları savunma ve koruma sorumluluğu verildiğinde, belki de ABD Kongresi iç çatışmalara daha az zaman harcamalı ve ABD halkını, ABD iş dünyasını ve geri kalan ABD endüstrilerini ülkeyi zayıflatmak ve ona zarar vermek isteyenlerden en iyi şekilde nasıl koruyacağını düşünmelidir.
yazar hakkında
Richard Staynings, dünya çapında tanınan bir düşünce lideri, yazar ve konuşmacıdır. Otuz yıllık bir siber güvenlik uzmanı olarak, hükümetin Soruşturma Komitelerinde en yüksek profilli sağlık hizmeti ihlallerinden bazılarına ilişkin konu uzmanı olarak görev yaptı.
Richard şu anda tıbbi cihaz güvenliği alanında öncü olan Cylera’nın Baş Güvenlik Stratejistidir. Siber Düşünceler kitabının yazarıdır, Denver Üniversitesi’nde siber güvenlik ve sağlık bilişimi alanlarında lisansüstü dersler vermektedir ve birçok dost hükümet ve özel şirkete danışmanlık yapmaktadır.
Richard Staynings’e online olarak [email protected] adresinden ve şirketimizin web sitesi https://www.cylera.com/ adresinden ulaşılabilir.