spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
İki Kritik Kavram: Kritik Altyapılar ve Kritik Bilgi Altyapıları Yazdır E-posta
Bilge Karabacak, TÜBİTAK BİLGEM   
13.02.2010

Kritik altyapılar devlet düzeninin ve toplumsal düzenin sağlıklı bir şekilde işlemesi için gerekli olan ve birbirleri arasında bağımlılıkları olan fiziksel ve sayısal sistemlerdir. Enerji üretim ve dağıtım sistemleri, telekomünikasyon altyapısı,  finansal servisler, su ve kanalizasyon sistemleri, güvenlik servisleri, sağlık servisleri ve ulaştırma servisleri en başta gelen kritik altyapılar olarak sıralanabilir. Kritik altyapıların korunması, gelişmiş ülkelerin önemli gündem maddelerinden birisi olarak karşımıza çıkmaktadır. Bu ülkeler, kritik altyapıların korunması ile ilgili yasal, teknik, idari, kurumsal ve dokümanter çalışmalarda ciddi yol almışlardır. Ülkemizde, bu konuda 2009 senesinde bazı resmi başlangıç çalışmaları yapılmıştır ancak Türkiye’nin önünde uzun bir yol olduğu söylenebilir. Makalede öncelikle anahtar kavramların tarihsel gelişimi aktarılmış ve tanımlamaları yapılmıştır. Kritik altyapılar konusunda Dünya’da ve Türkiye’de yaşanan güvenlik olaylarına yer verilmiştir. Gelişmiş ülkelerin yaptığı çalışmalar ayrıntılı olarak aktarılmış, ülkemizde yapılan başlangıç çalışmaları hakkında bilgi verilmiştir. Makalenin son bölümünde ülkemizde bir devlet politikası olarak gerçekleştirilmesi gereken temel adımlara yer verilmiştir.

Ülkelerin, kurumların, toplumların ve bireylerin bilgi ve iletişim teknolofjilerine bağımlılığı gün geçtikçe artmaktadır. Amerikan Ticaret Bakanlığı’nın yaptığı bir araştırma, ABD’deki firmaların gerçekleştirdiği yatırımın yarısının bilgi ve iletişim teknolojileri yatırımı olduğunu göstermektedir [1]. Bilgi ve iletişim teknolojilerin sağladığı birçok faydanın yanı sıra bu teknolojiler ile birlikte yeni bir tehdit türü olarak sayısal tehditler hayatımıza girmiştir. Sayısal tehditlerden korunmak için bireyler seviyesinden ülkeler seviyesine kadar alınması gereken karşı önlemler bulunmaktadır. Ülke seviyesinde gerçekleştirilmesi gereken önemli çalışmalardan birisi de kritik altyapıların korunması (Critical Infrastructure Protection-CIP) başlığı altına değerlendirilmektedir.   Bu kapsamda bir devlet politikası olarak belirlenen adımlar ülkede faaliyet gösteren kamu kurumları ve özel şirketler tarafından gerçekleştirilmektedir. “Kritik altyapı” terimi ilk defa Ekim 1997 tarihli “Amerika Birleşik Devletleri Başkanlık Komisyonu’nun Kritik Altyapıların Korunması Hakkında Raporu”nda kullanılmıştır [2]. 192 sayfa ve 12 bölümden oluşan söz konusu raporda temel tanımlamalar ve durum analizi yapılmış, alınması gereken önlemler listelenmiştir. Yeni bir kavramı tanıtmak ve bu kavram hakkında bilgilendirme yapmak amacıyla hazırlanan bu rapordan yedi ay sonra 18 sayfalık “Başkanlık Karar Direktifi” dönemin Amerikan Başkanı Bill Clinton tarafından 22 Mayıs 1998 tarihinde imzalanmıştır [3, 4]. Bu direktif, ABD’nin kritik altyapılarını işleten ve ulusal güvenlikle ilgili tüm kamu kurumlarına gönderilmiştir. Söz konusu direktifte başkanın hedefi, ulusal hedefler, kritik altyapıların listesi, kurumların gerçekleştirmesi gereken adımlar, eşgüdüm ile ilgili hususlar, yeni yapılanmalar ve ulusal koordinatör ile ilgili bilgilere yer verilmiştir. Başkanlık karar direktifinde, silahlı kuvvetlerin ve ekonominin kritik altyapılara ve sayısal sistemlere artan bir hızla bağımlı olduğunun altı çizilmiştir.  Kritik altyapılar, ekonomi ve hükümetin sağlıklı bir şekilde işlemesi için ciddi öneme sahip olan fiziksel ve sayısal sistemler olarak tanımlanmıştır. Kritik altyapıların kamu kurumları veya özel sektör tarafından işletilebildiğinin altı çizilmiş, iletişim, enerji, bankacılık, ulaşım, su sistemleri ve acil durum servisleri örnek kritik altyapılar olarak zikredilmiştir. Geçmiş senelerde, kritik altyapıların fiziksel ve mantıksal olarak ayrı ve bu nedenle bağımlılığı olmayan sistemler olduğu belirtilmiş, bilgi teknolojilerindeki gelişmelerin hem altyapıların kendisini etkilediğini hem de altyapılar arasındaki ilişkileri ve bağımlılığı ciddi bir şekilde artırdığı ifade edilmiştir. Her iki raporun da Internet bağlantıları makalenin referanslar bölümünde verilmiştir. Yazar daha fazla bilgi için söz konusu raporlara başvurmayı tavsiye etmektedir. 

Kritik altyapı kavramının ortaya çıkmasının en önemli nedeni bilgi teknolojilerinin yaygın bir şekilde kullanılmasıdır [3]. Kritik altyapılar ve bilgi teknolojileri birçok yönden ve ciddi şekilde kesişmektedir. Bu kesişimler bilgi teknolojilerinin önemini çok açık bir şekilde göstermektedir. Bu önem, “kritik bilgi altyapıları” teriminin ortaya çıkmasına yol açmıştır. OECD, kritik bilgi altyapılarını, fonksiyonelliğini yitirmesi durumunda sağlık hizmetlerine, toplumsal emniyet ve güvenliğe, vatandaşların ekonomik refahına veya hükümetin/ekonominin verimli çalışmasına ciddi yönde tesir eden bilgi ağları ve sistemleri olarak tanımlamaktadır [5]. Diğer taraftan, kritik bilgi altyapıları terimi ülkelerin ulusal politikalarında ve stratejilerinde daha az kullanılan bir terimdir [6].

Makalenin ikinci bölümünde, kritik altyapılara yönelik gerçekleştirilen sayısal saldırıların toplum düzenini ve ekonomiyi ne şekilde etkilediğine yönelik yaşanmış örneklere yer verilmiştir. Bu örnekler verilirken aynı zamanda kritik altyapılar, kritik bilgi altyapıları ve SCADA sistemlerinin tanımları ve birbirleri ile olan ilişkileri ortaya konulmuştur. Üçüncü bölümde, kritik altyapıların korunması (Critical Infrastructure Protection) konusunda Dünya’da ve ülkemizde gerçekleştirilen çalışmalara yer verilmiştir. Dördüncü bölümde, ülkemizde gerçekleştirilmesi gereken kritik çalışmalara yer verilmiştir. Makalenin beşinci bölümü sonuç bölümüdür.

Tanımlar ve Örnekler

Günümüzde hemen hemen bütün kritik altyapılar, bilgi ve iletişim teknolojilerini az veya çok içermekte ve bu teknolojiler ile değişik şekillerde kesişmektedir [7]. Barajlar, enerji üretim ve dağıtım santralleri gibi kritik altyapılar bilgi teknolojileri tarafından kontrol edilmekte ve izlenmektedir. Telekomünikasyon gibi kritik altyapılar ise tümüyle bilgi ve iletişim teknolojilerinden oluşmaktadır. Makalenin giriş kısmında da belirtildiği gibi kritik altyapı kavramı bilgi ve iletişim teknolojilerindeki gelişmelerden sonra tanımlanmıştır. Bu tanımlamadan sonra, bilgi ve iletişim teknolojilerinin önemini vurgulamak amacıyla kritik bilgi altyapısı kavramı kullanılmaya başlamıştır.

Kritik altyapılar devlet düzeninin ve toplumsal düzenin sağlıklı bir şekilde işlemesi için gerekli olan ve birbirleri arasından bağımlılıkları olan fiziksel ve sayısal sistemlerdir. Enerji üretim ve dağıtım sistemleri, telekomünikasyon altyapısı,  finansal servisler, su ve kanalizasyon sistemleri, güvenlik servisleri, sağlık servisleri ve ulaştırma servisleri en başta gelen kritik altyapılar olarak sıralanabilir. Kritik bilgi altyapıları ise,

  • Kritik altyapıları destekleyen bilgi ve iletişim teknolojileri unsurları olabilir.

  • Ulusal ekonomi ve devlet fonksiyonlarının düzgün işlemesi için gerekli bilgi ve iletişim teknolojileri altyapıları olabilir.

Bu genel kapsam OECD tarafından belirlenmiş bir çerçevedir [8]. Kritik bilgi altyapılarının da aslında bir kritik altyapı olduğu söylenebilir. Son yıllarda Internet’i de bir kritik altyapı olarak değerlendiren akademik çalışmalar yapılmaya başlanmıştır [9].

Kritik altyapılar arasında çok fazla sayıda ve karmaşık bağımlılıklar, ilişkiler bulunmaktadır [10]. Bilgi ve iletişim teknolojileri bazı kritik altyapılar arasındaki bağımlılıkları başlatmış, hâlihazırdaki bazı bağımlılıkları ise ciddi şekilde artırmıştır.  Örneğin barajlardaki bir arıza, elektrik üretiminin durmasına, elektrik üretimindeki problemler Internet altyapısının işlevselliğinin bozulmasına neden olabilir. Internet’teki kesintiler ise başta bankacılık olmak üzere birçok kritik altyapıyı etkileyecektir. Aşağıdaki paragraflarda kritik altyapıların bilgi ve iletişim teknolojileri ile kesişimi örnekler verilerek detaylandırılmıştır.

Barajlar, termik santralleri, enerji dağıtım üniteleri gibi geçmişte tamamen fiziksel unsurlardan ve izole endüstriyel kontrol sistemlerinden oluşan kritik altyapıların birçoğu günümüzde bilgi ve iletişim teknolojileri ile yönetilebilir ve izlenebilir duruma gelmiştir. Kritik altyapıların yönetimi ve izlenmesinde uzun yıllardan bu yana SCADA (Supervisory Control And Data Acquisition) olarak adlandırılan endüstriyel kontrol sistemleri kullanılmaktadır [7]. Geçmişte, başka ağlar ile bağlantısı olmayan, bilgi ve iletişim teknolojileri içermeyen veya altyapıya özel olarak geliştirilmiş teknolojileri içeren SCADA sistemleri, günümüzde yaygın olarak kullanılan ve bilinen yazılım, donanım ve ağ protokollerini barındırmaktadır. Ayrıca, kritik altyapıları yöneten ve izleyen birçok SCADA sistemi kurumsal ağlara ve Internet’e bağlantılı hale gelmeye başlamıştır [11]. Sonuç olarak, SCADA sistemleri sayısal savaşa ve sayısal terörist ataklarına çok daha fazla bir şekilde açık duruma gelmiş ve güvenlikleri geçmişe göre ciddi şekilde sorgulanmaya başlamıştır [12, 13, 14]. 2003 senesinde ABD’nin sekiz adet eyaletinde 50 milyon kişiyi etkileyen, bazı şehirlerde 2 gün süren, 11 kişinin ölümüne ve 6 milyar dolar zarara yol açan ve tarihe “2003 Northeast Blackout” olarak geçen ABD tarihinin en önemli elektrik kesintisinin nedenlerinden birisinin elektrik dağıtımında kullanılan yazılımdaki bir hata olduğu saptanmıştır. Ekim 2003’de ABD’nin en yoğun limanlarından olan Houston Limanı’nın bilgisayar sistemi saldırıya uğramış ve limanın bir süre hizmet vermesi engellenmiştir. Saldırının İngiltere’nin Shaftesbury isimli küçük bir kasabasındaki bir bilgisayardan yapıldığı anlaşılmıştır.  Ancak, bir süre sonra, bilgisayarın sahibinin suçsuz olduğu, bilgisayarın sayısal teröristlerin kontrolüne geçmiş bir zombi bilgisayar olduğu anlaşılmıştır. Bu olay sayısal teröristlerin ne derece profesyonel çalıştıklarını göstermektedir. Rus bilgisayar korsanlarının Estonya bilgi ve iletişim sistemlerine karşı gerçekleştirdiği sayısal saldırılarda, saldırı yapan bilgisayarların birçoğunun ABD’de ve Türkiye’de olduğu tespit edilmiştir. Sayısal savaşlarda, bu örneklerde olduğu gibi zombi durumuna getirilmiş bilgisayarlar kullanılmaktadır. Zombi bilgisayarların kullanıcıları genellikle bilgisayarlarının başkaları tarafından kötü amaçla kullanıldığının farkına varacak bilgiye ve tecrübeye sahip değillerdir. Son örnek olarak, Ağustos 2003’te Ohio’da faaliyet gösteren, Davis-Besse nükleer santralinin izole bilgisayar ağına Slammer solucanı bulaşmış ve santralin izleme sistemini beş saat boyunca çalışamaz duruma getirmiştir. Internet kaynaklı bilgisayar solucanlarının izole ağlara bulaşması, bu ağların ne derece izole olduğunun sorgulanmasına yol açmaktadır.

ABD, etkin ve verimli kullanım için kritik altyapıları yöneten SCADA sistemlerini büyük oranda standartlaştırmış ve ortak ağlardan ulaşılabilir duruma getirmiştir.  Bu nedenle verilmiş olan tüm örnekler, ABD’nin sahibi olduğu kritik altyapılar ile ilgilidir. Ancak, dünyadaki gelişmiş diğer ülkeler ile beraber ülkemizin de güncel teknolojiyi SCADA sistemlerine adapte etmeye başladığı söylenebilir. Adana ilindeki Sugözü Termik Santrali’nin bilgisayar sistemleri aracılığıyla 24 saat izlendiği, TÜBİTAK’ın desteği ile barajlar için Türkçe yazılım geliştirildiği, Akköprü Barajı’nın uydu bağlantılı bilgisayar sistemi ile yönetildiği, Batman Barajı’nın bilgisayarlarının Alman firması tarafından parasını alamadığı gerekçesiyle kilitlendiği medyada yer almıştır. Bu haberlere Internet’teki gazete arşivlerinden erişilebilir. Batman Barajı örneği, milli yazılımın önemini gösteren bir haber olarak dikkat çekmektedir. Ülkemizde, kritik altyapıları kontrol eden SCADA sistemlerinin çoğunluk itibarıyla uzun yıllar önce kurulduğu, altyapıya özel olarak tasarlanmış bilgi/iletişim teknolojilerinden oluştuğu ve Internet/kurumsal ağlarla bağlantısı olmadığı/kısıtlı olduğu söylenebilir. Teknolojiyi çok hızlı bir şekilde adapte eden ve kullanan Türkiye, kısa zaman içerisinde SCADA sistemlerinde de günümüz teknolojisini yakalayacaktır. Gazetelerde çıkmış olan haberler bu durumun bir habercisi olarak nitelendirilebilir.

Telekomünikasyon (sabit telefon ve cep telefonu operatörleri, Internet altyapısı), e-devlet uygulamaları ve bankacılık gibi kritik altyapıların bilgi ve iletişim teknolojileri ile ilişkisi bir önceki paragrafta anlatılan kritik altyapılardan (barajlar, santraller v.b.) oldukça farklıdır. Bu tip kritik altyapılar çok büyük oranda bilgi ve iletişim teknolojilerinden oluşmaktadır, bazılarının varlık sebebi ise bilgi ve iletişim teknolojileridir. 

2007 Nisan ve Mayıs aylarında, Rus bilgisayar korsanlarının Estonya bilgi sistemlerine sızması, bu sistemlerin faaliyetlerini durma noktasına getirmesi ve sonuç olarak Estonya’nın ekonomik ve toplumsal zararlar yaşaması birçok ülkenin gündeminde aylarca yer almıştır. Bu örnek, bir ülkenin Internet altyapısının önemli bir kritik altyapı olduğunu göstermektedir. Estonya’nın ekonomik ve toplumsal düzeninin sayısal saldırılardan etkilenmesinin en önemli nedeni bu ülkenin çok büyük bir oranda e-devlet yapısına geçmiş olması ve birçok kamu hizmetinin Internet üzerinden gerçekleştirilmesidir. İlerleyen senelerde birçok ülke ve Türkiye en az Estonya kadar Internet’e bağımlı hale gelecektir. Burada dikkat çeken diğer bir husus bir kritik altyapı olarak Internet’in sahip olduğu özel durumdur.  Internet, ülkelerin hayati fonksiyonlarının bağlı olabileceği bir kritik altyapıdır, Internet aynı zamanda saldırganların da kullandığı ve yer aldığı bir ortamdır [9, 11].

Bir sıcak savaş senaryosu olarak bir ülkenin diğer ülkenin barajını bombalanması dünya konjonktüründe kolay yapılabilecek bir saldırı değilken, sayısal savaşçıların Internet üzerinden barajın SCADA sistemine erişip barajın kapaklarını açması daha kolaylıkla yapılabilir. Diğer taraftan, Internet üzerinden bir SCADA sisteminin kontrol altına alınması zor veya imkansız olabilir. Bunun yerine kolay olduğundan ve hızlı sonuç verdiğinden dolayı ülkenin Internet altyapısının öncelikle hedef alınması çok büyük bir ihtimaldir. Bir ülkenin Internet çıkışını servis dışı bırakmak, e-devlet uygulamalarını hizmet veremez duruma getirmek, bankacılık ve borsa sistemlerini çalışmasını engellemek, merkezi yönlendirici (router) cihazlarını ele geçirmek, ülkenin en üst seviye DNS sunucusunu ele geçirmek ve yanlış websitelerine yönlendirmek kolaylıkla yapılabilen, sıklıkla yaşanmış ve Estonya gibi Internet’e yüksek seviyede bağımlılığı olan ülkelerde ciddi ekonomik ve toplumsal sonuçları olan sayısal saldırı örnekleridir.

İMKB, Türkiye ekonomisi için büyük öneme sahip olan bir kritik altyapı olarak nitelendirilebilir. 29 Kasım 2007’de yol çalışması yapan bir kepçenin fiber kabloyu koparması sonucunda borsa ilk seansı gerçekleştirememiş ikinci seansa ise yarım saat geç başlamıştı. Borsanın işlem yapmaması her ne kadar bir sayısal saldırının sonucu olmasa da, bilgi teknolojisindeki bir sorunun ekonomik karşılığını görmek açısından önemli bir örnektir.  30 Ocak 2009’da birçok ülkenin bilgisayar sistemine yayılan ve önemli zararlar veren Conficker virüsü Atatürk Havalimanı’nın dış hatlar terminalinde çalışan bilgisayarları da etkilemiştir. Yaşanan aksaklıklardan dolayı birçok yolcunun bagajı işleme konamamış, uzun kuyruklar oluşmuştur. Her iki olay hakkında haberlere gazete arşivlerinden erişilebilir.

Bilgisayar güvenliği konusunda yazılımlar üreten ve hizmetler veren Symantec firması tarafından hazırlanan Nisan 2009 tarihli son Internet Güvenliği Tehdit Raporu’nda Türkiye spam e-postanın kaynaklandığı ülkeler arasında Dünya’da üçüncü sırada yer almıştır [15]. Spam e-postaların çoğunlukla başkalarının eline geçmiş zombi bilgisayarlar tarafından gönderildiği düşünülürse bu durum Türkiye’deki zombi bilgisayarların sayısı hakkında da bir fikir vermektedir. Firmanın 2007 senesinde yayınladığı raporda ise zombi bilgisayar sayısı dikkate alındığı zaman Ankara EMEA bölgesinde (Avrupa, Orta Doğu ve Afrika) yer alan şehirler içerisinde yedinci sırada yer almıştır. Aynı raporda, Ankara spam e-posta gönderen şehirler arasında altıncı sırada yer almıştır. Sonuç olarak, Türkiye sınırları içerisinde yer alan ve Türk vatandaşlarının kullandığı ancak zombi duruma gelmiş olan binlerce bilgisayar, Internet’te faaliyet gösteren kritik bilgi sistemlerini hedef alabilirler. Başka ülkelerin hükümetleri tarafından desteklenen sayısal teröristlerin kontrolünde olması uzak bir ihtimal olmayan bu bilgisayarlar olası bir sayısal savaşta başrol oynayacaklar.

ABD’de bir hükümet kuruluşu olarak faaliyet gösteren ABD-Çin Ekonomik ve Güvenlik İnceleme Komisyonu’nun (USCC) 2008’de hazırladığı ve Amerikan Kongresi’ne sunduğu raporda çok çarpıcı ifadeler yer almaktadır [16]. Raporda yer alan bazı ifadeler şunlardır:

  • Çin’in dünyanın herhangi bir yerine ve herhangi bir zamanda sayısal operasyon yapacak niyeti ve kabiliyeti bulunmaktadır.

  • Çin’de 250 adet sayısal korsan grubu yer faaliyet göstermektedir. Bu gruplar Çin Hükümeti tarafından bilgisayar ağlarına girmesi ve zarar vermesi için desteklenmektedir.

  • Çin Hükümeti aktif bir sayısal casusluk programını yürütmektedir.

  • Çin’in sayısal savaş teknikleri ABD’nin karşı koyamayacağı hatta fark edemeyeceği kadar karmaşık ve ileri düzeydedir.

Güvenlik alanında faaliyet gösteren Northrop Grumman firması tarafından ABD-Çin Ekonomik ve Güvenlik İnceleme Komisyonu için hazırlanan 9 Ekim 2009 tarihli raporda ise Çin’in sayısal casusluk tehdidinin gün geçtikçe arttığı ifade edilmiştir. Raporda, 2007 senesi itibarıyla ABD devlet ve savunma birimlerinin ağlarına girilmesi sonucunda 10 ile 20 terabayt arası verinin dışarıya sızdırıldığı ifade edilmiştir [17].

Gerçekleştirilen Çalışmalar

Gelişmiş ülkeler kritik altyapıların korunması ile ilgili programını oluşturmuş ve bu program çerçevesinde çalışmalarına başlamıştır. Ayrıca, NATO’nun bu konuda çalışmaları bulunmaktadır. Bu bölümde Dünya’da ve ülkemizde gerçekleştirilen çalışmalar konusunda bilgi verilmiştir.

Hemen hemen tamamı aynı zamanda OECD üyesi olan gelişmiş ülkeler kritik altyapıların korunması ile ilgili olarak yasalarını düzenlenmiş, bu ülkelerde yeni kurumlar kurulmuş, hâlihazırdaki kurumlarda değişiklikler yapılmış, koordinatörler belirlenmiştir. Bu faaliyetler bizzat devlet başkanlarının direktifi ile başlatılmış ve himayesinde devam etmektedir. Bu ülkeler aynı zamanda devlet başkanı himayesinde ve bilgisinde hazırlanmış ulusal bilgi güvenliği politikası belgesine sahiptirler. Söz konusu politika belgelerine de bakıldığı zaman kritik altyapı teriminin sıklıkla kullanıldığı görülmekte, sayısal savaşta öncelikli hedef olacak bu altyapıların etkilenmesi durumunda ülke ekonomisinin ve toplumsal düzenin ciddi zararlar göreceği belirtilmektedir. Kritik altyapıların korunması ulusal seviyede bir güvenlik kültürünün oluşmasının temel etkenlerinden birisi olarak görülmektedir [18].
ABD, İngiltere, Almanya, Finlandiya, Güney Kore ve Japonya’da gerçekleştirilen çalışmalar konusunda detaylı bilgiye Bilişim Kurultayı 2009’da sunulan “Sayısal Ortamda Savunma ve Bilgi Güvenliği Yol Haritası” isimli bildiriden ulaşılabilir [19].

Avrupa Birliği kritik altyapıların korunması ile ilgili ilk adımı 2004 senesinde atmıştır. Bu kapsamda, Avrupa Konseyi’nden gelen talep doğrultusunda Avrupa Komisyonu “Terörle Mücadele için Kritik Altyapı Korunması” başlıklı bir belge yayınlamış ve bu belgeyi Avrupa Konseyi ve Avrupa Parlamentosu’na göndermiştir [20]. Hazırlanan 11 sayfalık belgede, kritik altyapıların tanımı yapılmış ve bu konuda yapılması gereken çalışmalar özetlenmiştir. Bu raporun ardından, “Kritik Altyapıların Korunması için Avrupa Programı” başlıklı bir program açılmıştır [21].

ABD’nin başlatmış olduğu çalışmalara makalenin giriş kısmında yer verilmiştir. 2009’daki gelişmelerden bahsedilecek olursa; Amerikan Başkanı Barack Obama 9 Şubat 2009 günü, ulusal güvenlik yetkililerinden Amerika’nın sayısal ortamı için güvenlik gözden geçirmesi yapmalarını talep etmiştir. Gözden geçirme raporu Beyaz Saray’ın sayfasında geçtiğimiz aylarda yayınlanmıştır [22]. Otuz bir defa “kritik altyapılar” ifadesinin kullanıldığı raporda, sayısal güvenlik konusunda tam yetkili koordinatörün atanması, ABD sayısal güvenlik stratejisinin güncellenmesi gibi 10 adet maddenin yer aldığı yakın zamanlı bir eylem planı yer almıştır. Diğer taraftan Obama, 29 Mayıs 2009 günü Beyaz Saray’da yaptığı 15 dakikalık konuşmada Amerika’nın sayısal altyapısının güvenliğinin son derece önemli olduğunu belirtmiş ve konusu sayısal ortamda güvenlik olan bu konuşması basında geniş yankı bulmuştur. Konuşmanın metni Beyaz Saray’ın Internet sayfasında yer almaktadır.

Estonya bilgi sistemlerine Rus bilgisayar korsanları tarafından Nisan ve Mayıs 2007’de gerçekleştirilen koordine ataklardan sonra, NATO tarafından önemli adımlar atılmıştır. Öncelikle, Brüksel’de NATO Sanal Savunma Yönetim Otoritesi  (Cyber Defense Management Authority-CDMA) kurulmuştur. NATO Sayısal Savunma Konsepti tamamlanmış ve onaylanmıştır.  NATO Sayısal Savunma Konsepti’ne göre NATO üyesi ülkeler, CDMA’ya ulusal temas noktalarını bildirmişlerdir. Yine NATO Sayısal Savunma Konsepti’ne göre NATO üyesi ülkeler ulusal sayısal ortam savunma politikalarını hazırlamaya başlamışlardır. Dışişleri Bakanlığımız TÜBİTAK-UEKAE’yi (Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü) NATO’ya ulusal temas noktası olarak bildirmiştir.  Türkiye’nin Ulusal Sanal (Sayısal) Ortam Güvenlik Politikası 19 adet kamu kurumu tarafından hazırlanmıştır. Şubat 2009’da Başbakanlık’a teslim edilen belgenin resmiyet kazanması beklenmektedir. Ülkemizde kritik altyapıların güvenliği ile ilgili atılmış ilk adım bu politika belgesidir. Politika belgesinde “Kritik bilgi ve iletişim sistem altyapılarının güvenliği sağlanmalıdır. Ülke içerisindeki kritik bilgi ve iletişim sistem altyapıları, bunların birbirleriyle ilişkileri, kritiklik seviyeleri ve sorumluları tespit edilmelidir. Tespit edilen kritik bilgi ve iletişim sistem altyapıları sanal ortamdan gelebilecek tehditlere karşı korunmalıdır” ifadeleri yer almaktadır.

Ülkemizde kritik altyapılar ile ilgili yakın bir gelişme 2009 Sonbaharı’nda gerçekleşmiştir. Başbakanlık Kanunlar ve Kararlar Genel Müdürlüğü bünyesinde oluşturulan ve çalışmalarına fiilen 3 Mart 2009 tarihinde başlayan e-Mevzuat Çalışma grubu, 7 Ağustos 2009 tarihi itibarıyla “e-Devlet ve Bilgi Toplumu Kanun Tasarısı Taslağı”nı hazırlamıştır. E-devlet ve Bilgi Toplumu Kanun Tasarısı Taslağı’nda kritik altyapı ve kritik bilgi altyapısı terimleri geçmemektedir. Bununla beraber taslak içerisinde “Kritik Bilgi Sistemi”nin tanımı “İşlevlerinin tamamen veya kısmen yerine getirilememesi halinde kamu güvenliği ve düzenini önemli derecede etkileyen bilgi sistemleri” olarak tanımlanmıştır. Kanunda geçen “Bilgi Toplumu Ajansı” içerisindeki “Bilgi Toplumu Dairesi”nin görevlerinden bir tanesi de “kritik bilgi sistemlerini belirlemek ve bu sistemler için uygulanacak asgari güvenlik standartlarını tespit etmek” şeklinde belirtilmiştir.

Bu iki taslak çalışma dışında ülkemizde kritik altyapılar konusunda resmi bir çalışma bulunmamaktadır. Sonuç olarak, Türkiye kritik altyapıların korunması ile ilgili çalışmaların henüz başındadır.

Ülkemizde Atılması Gereken Kritik Adımlar

Kritik altyapıların korunması ile ilgili olarak gelişmiş ülkelerde olduğu gibi ülkemizde de resmi çalışmaların başlatılması gerekmektedir. Resmi çalışmaların ana çerçevesinin sayısal güvenlik olması ve kritik altyapıların korunmasının bu ana çerçevenin bir alt maddesi olması bazı gelişmiş ülkelerin izlediği ve ülkemize de uygun bir yapıdır.  Bu kapsamda:

Ulusal sayısal güvenlik politikasının resmiyet ve işlerlik kazanması gerekmektedir. Bu politika belgesini destekleyen strateji belgesinin ve eylem planının da hazırlanması sıradaki önemli adımlardır. Bütün bu belgeler için destekleyici mevzuat hazırlanmalı, güncellenmesi ve değiştirilmesi gereken halihazırdaki mevzuat tespit edilmelidir. Mevzuat resmiyet kazanmalıdır.

Sayısal savunma ile ilgili çalışmaları organize edecek bir ulusal yürütme organı oluşturulmalıdır. Yürütme organının asıl sorumluluğu koordinasyon olmalıdır. Kritik altyapıları işleten kamu sektörüne ve özel sektöre yapılması gereken çalışmaları bildirmelidir. Yürütme organı, devletin belirlediği politikaları uygulatan bir kurum olmalıdır.

Sayısal savunma ve kritik altyapıların korunması ile ilgili ulusal bilincin oluşturulması adına çalışmalar gerçekleştirilmelidir. Kritik altyapıları işleten kurumların gerçekleştirmesi gereken çalışmalardan vatandaşın yapması ve yapmaması gerekenlere kadar birçok konuyu kapsayan bilinçlendirme programı için ulusal medya, Internet siteleri gibi kaynaklar kullanılmalıdır.

Sayısal ihlallere karşı tepki yeteneği geliştirmek amacıyla ulusal bilgisayar olaylarına müdahale ekibinin yetenekleri geliştirilmelidir. Kritik altyapıları işleten kurumlar da etkin bilgisayar olaylarına müdahale ekiplerini oluşturulmalıdırlar. Ayrıca farklı bilgisayar olaylarına müdahale ekipleri arasında koordinasyon yeteneği oluşturulmalıdır.

Internet altyapısının güçlü ve alternatifli bir duruma getirilmesi dağıtık servis dışı bırakma saldırılarından en az seviyede zarar görmek için gereklidir. Telekomünikasyon altyapısı ve Internet önemli kritik altyapılardır. Bu bağlamda, Internet servis sağlayıcıları ile koordinasyon diğer önemli bir husustur.

Son olarak, ülkemiz sayısal savaş konusunda uluslararası işbirliğine önem vermelidir. Gelişmiş ülkeler ve OECD, NATO gibi organizasyonlar sayısal güvenlik ve sayısal savunma konusunda oldukça fazla yol almışlardır. Türkiye bu tecrübelerden faydalanmalıdır. Tüm dünyayı içine alan ve sınırları olmayan devasa bir ağ durumundaki Internet sayısal saldırıların da kaynağıdır. Ülkemiz bilgi sistemlerine yapılacak bir sayısal saldırının kaynağı herhangi bir ülkedeki bilgisayarlardan kaynaklanabilir. Uluslar arası işbirliğinin önemi saldırılara karşı önlem alma noktasında önemli bir diğer husustur.

Sonuç

Makalede yer verilen sayısal saldırıların başarıya ulaşmış olmasının en önemli nedeninin yönetimi sağlıklı bir şekilde yapılmayan bilgi ve iletişim teknolojileri olduğu değerlendirilmektedir. Kritik altyapıların güvenliğinin sağlanmasında insan faktörünün ve güvenlik bilincinin en önemli parametrelerin başında geldiği düşünülmektedir. Bilgi ve iletişim sistemlerinin güvenlik hedefleri göz önüne alınarak yönetilmesi ve temel güvenlik önlemlerinin alınması durumunda sayısal güvenliğin büyük oranda sağlanacağı ve sistemlerin sayısal saldırılara karşı korunaklı duruma geleceği şüphesizdir. Bunun sağlanabilmesi için ülkemizde öncelikle konunun üst düzey devlet birimlerince sahiplenilmesi, yasal altyapının oluşturulması ve sorumlulukların belirlenmesi gerekmektedir. Ülkemizde sayısal güvenlik konusunda yarım kalan çalışmaların tamamlanması gerekmektedir. Ayrıca, kritik altyapıların belirlenmesi, kritik altyapılara yönelik risklerin tespit edilmesi,  rol ve sorumlulukların belirlenmesi ve bu çerçevede çalışmaların başlatılması gerekmektedir.

Kaynaklar

[1] U.S. Department of Commerce, Bureau of Economic Analysis, “National Income and Product Accounts”, 2008.

[2] The Report of the President’s Commission on Critical Infrastructure Protection, Critical Foundations: Protecting America’s Infrastructures, 1997

[3] USA Presidential Decision Directive/NCS-63, “http://www.fas.org/irp/offdocs/pdd/pdd-63.htm”, 1998

[4] Jones A., “Critical Infrastructure Protection”, Computer Fraud & Security, s. 11-15, Nisan 2007

[5]  OECD, Working Party on Information Security and Privacy, “Recommendation of the Council on the Protection of Critical Information Infrastructures”, Ocak 2008

[6] OECD, Committee for Information, Computer And Communications Policy, “Fact Finding Questionnaire for Candidate  Countries to Accession”, Ekim 2008

[7] Jayawickrama, W., “Managing Critical Information Infrastructure Security Compliance: A Standard Based Approach Using ISO/IEC 17799 and 27001”, Book Chapter: On the Move to Meaningful Internet Systems 2006: OTM 2006 Workshops, Cilt 4277/2006, s. 565-574, 2006

[8] OECD Recommendations of the Council on the Protection of Critical Information Infrastructures, 2008

[9] Beltran F., Fontenay A., Alameida M. W., “Internet as a critical infrastructure: lessons from the backbone experience in South America”, Communications & Strategies, No. 58, 2005

[10] Lewis T. G., “Critical Infrastructure Protection In Homeland Security - Defending A Networked Nation”, A John Wiley & Sons, Inc., Publication, 2006

[11] Fischer W., Lepperhoff N., “Can Critical Infrastructure rely on the Internet”, Computers & Security, Cilt. 24, s. 485-491, 2005

[12] Shea D. A., “Report for Congress, Critical Infrastructure: Control Systems and the Terrorist Threat”, 2003

[13] Lemos R., "SCADA system makers pushed toward security". SecurityFocus. http://www.securityfocus.com/news/11402, 2006

[14] Maynor D., Graham R., “SCADA Security and Terrorism: We're Not Crying Wolf”, Blackhat Conference, http://www.blackhat.com/presentations/bh-federal-06/BH-Fed-06-Maynor-Graham-up.pdf, 2006

[15] Symantec Global Internet Security Threat Report Trends for 2008, Volume XIV, Nisan 2009

[16] USCC 2008 Annual Report, 2008 Report to Congress of the U.S.-China Economic and Security Review Commission, Kasım 2008

[17] Capability of the People’s Republic of China to Conduct Cyber Warfare and Computer Network Exploitation, Prepared for The US-China Economic and Security Review Commission, Ekim 2009

[18] OECD, "The Promotion of a Culture of Security for Information Systems and Networks in OECD Countries", OECD Digital Economy Papers, No. 102, OECD publishing, doi:10.1787/232017148827, 2005

[19] Bahşi H., Karabacak B., Tatar Ü., Sayısal Ortamda Savunma ve Bilgi Güvenliği Yol Haritası, Bilişim Kurultayı, Ankara, 2009

[20] Commission of the European Communities, “Critical Infrastructure Protection in the Fight Against Terrorism”, 2004

[21] EPCIP – European Programme for Critical Infrastructure Protection, http://ec.europa.eu/justice_home/funding/2004_2007/epcip/funding_epcip_en.htm

[22] Cyberspace Policy Review, Assuring a Trusted and Resilient Information and Communications Infrastructure, PDF doküman Internet adresi: http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf


Favori olarak ekle (0) | Görüntüleme sayısı: 13236

Yorumlar (1)
1. 17-02-2010 19:52
 
Makale son derece faydalı bilgiler içermektedir. Bu güzel makaleden dolayı size sonsuz teşekkürler.
 
Onur Karamanlı

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2017 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB