Kritik Altyapılarda Siber Güvenlik Cyber Security for Critical Infrastructure

1. Ahmet Hamdi ATALAY – Nisan 2020
KRİTİK ALTYAPILARDA
SİBER GÜVENLİK

2. Ahmet Hamdi ATALAY – Nisan 2020
Günlük hayat her yönüyle dijitalleşmeye devam etmektedir;
ekonomik, sosyal ve iş hayatının tümüyle dönüşmesi anlamına gelen
bu süreç, canlı ve cansız nesnelerin bir birleriyle bağlantılı hale
geldiği SİBER EVRENİ oluşturmaktadır.
Siber Evren
Halen 5 milyarı İNSAN,
20 miyarı NESNE olmak
üzere yaklaşık 25 milyar
olan bağlantılı nesne
“Siber Evreni”
oluşturmaktadır.

3. Ahmet Hamdi ATALAY – Nisan 2020
3
Zarar görmesi, erişilememesi veya yok olması halinde,
 Vatandaşların sağlığına, emniyetine, güvenliğine ve ekonomik
refahına veya hükümetin etkin ve verimli işleyişine ciddi
olumsuz etki edecek
 Fiziki ve bilgi teknolojileri tesisleri, şebekeler, hizmetler ve
varlıklar
Kaynak: AB Komisyonu
Kritik Altyapılar

4. 4
AB ABD
Su
Gıda
Sağlık
Enerji
Finans
Ulaşım
Sivil yönetim
Bilgi ve iletişim
Uzay ve araştırmaları
Kimyasal ve nükleer endüstri
Kamu düzeni ve güvenlik alanı
Su
Enerji
Ulaşım
Tarım ve gıda
Kolluk hizmetleri
Bilgi ve iletişim
Bankacılık ve finans
Bayındırlık hizmetleri
Federal ve yerel hizmetler
Acil hizmetler (sağlık, itfaiye, vb.)
Kaynak: Brunner, E. M., Suter, M., Güvenlik Çalışmaları Merkezi, İsviçre
Kritik Altyapılar-Dünya

5. Ahmet Hamdi ATALAY – Nisan 2020
Kritik Altyapılar- Türkiye

6. Ahmet Hamdi ATALAY – Nisan 2020
Siber Saldırıların Yıkıcı Etkisi
LevelofImpact
Probability of Occurrence
HIGH
LOW HIGH
Spectrum of Threats to
National Security & Emergency Preparedness
Civil Disorder
Earthquakes
Special Operations
Terrorism (includes Cyber)
Mobilization
Floods
Tornados
Hurricanes
Nuclear War
Cable Cut
Power
Outage
Theater Cyber War
Strategic Cyber War
Conventional War
Ref:NCS

7. Ahmet Hamdi ATALAY – Nisan 2020
Siber Evrene Yönelik Yatırımlar

8. Ahmet Hamdi ATALAY – Nisan 2020
Siber Güvenlik
Siber güvenlik, kritik alt yapıların ve
bilgi varlıklarının tespit edilerek
zafiyetlerinin belirlenmesi, tehditlerden
korunması amacıyla risk analizlerinin
yapılarak önlemlerinin alınmasıdır.
Siber güvenliğinin temel amaçları;
• Veri bütünlüğünün korunması,
• Bilgiye erişimin, erşim hız ve
kalitesinin korunması,
• İzinsiz erişimin engellenmesi,
mahremiyet ve gizliliğin korunması,
• Kritik alt yapılarda iş sürekliliği ve
performansının devamlılığının
sağlanmasıdır.

9. Ahmet Hamdi ATALAY – Nisan 2020
Siber Güvenlik
Risk Yönetim Süreci
Siber Güvenliğin sağlanması bir “KORUMA” faaliyeti olup Risk
Yönetim Süreci olarak ele alınıp yürütülmesi gereklidir.

10. Ahmet Hamdi ATALAY – Nisan 2020
Siber Güvenlik
Siber Tehditler ve Sonuçları
 Sisteme yetkisiz erişim
 Sistemin bozulması
 Hizmetin engellenmesi
 Mahremiyetin kaybolması
 Bilgilerin değiştirilmesi
 Bilgilerin yok edilmesi
 Bilgilerin ifşa edilmesi
 Bilgilerin çalınması

11. Ahmet Hamdi ATALAY – Nisan 2020
Siber Güvenlik
Siber Saldırı Araçları
 Hizmetin engellenmesi saldırıları (DoS, DDoS)
 Kötücül yazılımlar (malware), Truva atı (trojan), Kurtçuk
(worm), Klavye izleme (key logger) yazılımları, Casus /
köstebek (spyware) yazılımlar, Yemleme (phishing)
 Şebeke trafiğinin dinlenmesi (sniffing ve monitoring)

12. Ahmet Hamdi ATALAY – Nisan 2020
12
Siber Güvenlik Kültürünün Oluşturulması
Kaynak: ITU
Siber Güvenlik

13. Ahmet Hamdi ATALAY – Nisan 2020
Siber Güvenlik
Ülke Çapında Siber Güvenlik Çerçevesi

14. 14
Siber Saldırılar
Siber Suça Motivasyonlar
Devlet Destekli Oluşumlar
- İstihbarat toplama, ekonomik ve endüstriyel espiyonaj,
Altyapılar hakkında bilgi toplanma, gözetleme (fişleme)
Suç Örgütleri
- Dolandırıcılık, Ideoloji, Para..

15. 15
Siber Saldırılar
 Profesyoneller tarafından yapılan Hedefli saldırılar. Bu
amaç için bir araya gelen organize ekipler, devletler tarafından
finanse edilen gruplar veya bu amaçlar için kurulmuş Şirketler di
 APT hedefleri
- Kritik Altyapılar
- Devlet Kuruluşları
- Askeri Kuruluşlar
- Savunma Sanayii
- Ticari İşletmeler
- Bankacılık ve Finans
- Sivil Toplum Kuruluşları
- Önemli bilgiye sahip yetkili bireyler
- Sosyal mühendislik kapsamındaki bireyler
Gelişmiş Kalıcı Tehditler (APT-Advanced Persistent Threat)

16. Ahmet Hamdi ATALAY – Nisan 2020
16
Siber Saldırı Örnekleri
Geçmişte gerçekleştirilen ve bir ülkeyi topyekün hedef
alan Siber Saldırı örnekleri:
• 2007 – Estonya tüm altyapılarını çökerten siber saldırıları
• 2008 – Gürcistan’ı çökerten siber saldırıları
• 2008 - Bakü-Tiflis Ceyhan boru hattı saldırı
• 2009 – İran nükleer santral siber saldırısı
• 2016 – Ukrayna elektrik şebekesini çökerten saldırılar
• 2017 - S.Arabistan Petrokimya tesislerine yapılan saldırı
• 2018 - Rusya elektrik şebekesine yönelik saldırılar
• 2019 - ABD elektrik şebekesine yönelik saldırılar

17. 17
Siber Savaşlar
ABD 2009’da Çin 2011’de
Siber Komutanlığı kurmuştur.
Çin, 2050 yılına kadar
elektronik egemenliği
hedeflemektedir ve bu
kapsamda bir siber doktrin
geliştirmiştir.
 Giderek artan oranda devletlerarası
mücadele siber alanda
yoğunlaşmaktadır.
 Siber savaşlar, ülkelerin güvenlik
stratejilerinde yer almaya
başlamıştır.
 Devletler, siber kuvvetler tesis
etmeye yönelmiştir
 Siber Güvenlik ulusal ve uluslararası
güvenliğin bir parçası haline
gelmiştir.
100 Dolarlık bir Virus 100 milyon
Dolarlık bir Savaş uçağından Kritik
Altyapılara daha fazla zarar
verebilmektedir.

18. Ahmet Hamdi ATALAY – Nisan 2020
Kritik Altyapılara Siber Saldırılar
Kritik Altyapılarını hedefleyen Siber saldırıların yarısından çoğunu
(%53) Enerji sistemlerine yapılan saldırılar oluşturmaktadır

19. Ahmet Hamdi ATALAY – Nisan 2020
Enerji Sistemlerinin Güvenliği
Enerji Sistemlerinin güvenliği hayati öneme sahip olup bunun
teknoloji boyutu gerekli standartların oluşturulup uygulanması
gerekir.
Güvenlik İçin Standardizasyon

20. Ahmet Hamdi ATALAY – Nisan 2020
Güvenlik İçin Standardizasyon
TSE-ISO 27001
Standart aşağıdaki konuları kapsamaktadır;
1. Risk Değerlendirme ve Tehditlendirme
2. Güvenlik Politikası
3. Güvenlik Organizasyonu
4. Varlık Yönetimi ve Sınıflandırma
5. İnsan Kaynakları Yönetimi
6. Fiziksel ve Çevresel Güvenlik
7. İletişim ve Operasyon Güvenliği
8. Erişim Denetimi
9. Bilgi Sistemleri Temini, Geliştirilmesi ve
Yönetimi
10.Güvenlik İhlal Yönetimi
11.İş Devamlılık Yönetimi
12.Yasalar ve Standartlarla Uyumluluk

21. Ahmet Hamdi ATALAY – Nisan 2020
Türkiye’nin Siber Indeksleri
ITU_Global Cybersecurity Index 2018

22. Ahmet Hamdi ATALAY – Nisan 2020
22
Sonuç-Neler Yapıldı

23. Ahmet Hamdi ATALAY – Nisan 2020
23
Siber Güvenlik konusu, salt teknik bir konu olmayıp, tüm boyutları
ile ele alınıp yönetilmelidir. Bu kapsamda;
 Ulusal strateji gözden geçirilerek güncellenmeli,
 Yasal boşluklar giderilmeli,
 Kurumların yetki ve sorumlulukları netleştirilmeli
 Kamu-Özel tüm ilgililerin işbirliği sağlanmalı
 Eğitim müfredatlarına eklenerek, orta okuldan başlayarak tüm
eğitim aşamalarında ders olarak okutulmalı
 Uzman açığı hızla giderilmeli, kurumlarda SG kadroları tahsis
edilmeli
 Yerli-milli ürün ve çözümler tercih edilmeli, bu konudaki
girişimler teşvik edilmeli
 Sürekli tadbikatlar ve denetimler yapılmalı
Sonuç-Neler Yapılmalı

24. Ahmet Hamdi ATALAY – Nisan 2020
Teşekkürler