| Sektörden Haberler
Kritik Altyapılar ve Endüstriyel Kontrol Sistemleri Büyük Tehlikede
Son yıllarda endüstriyel kontrol sistemleri (EKS) ve operasyonel teknoloji (OT) cihazlarına yönelik tehditler hızla artıyor. Yapılan bir araştırma, dünya genelinde 175 ülkede 145.000’den fazla EKS cihazının internete açık olduğunu ve bu durumun ciddi güvenlik riskleri oluşturduğunu ortaya koydu.
ABD, bu cihazların üçte birinden fazlasına ev sahipliği yaparken, Avrupa ve Asya gibi bölgelerde de yüksek sayıda açık cihaz tespit edildi.
Tehdit avcılığı ve saldırı yüzeyi yönetimi konularında faaliyet gösteren Censys tarafından yapılan analize göre, cihazların %38’i Kuzey Amerika’da, %35,4’ü Avrupa’da, %22,9’u Asya’da, %1,7’si Okyanusya bölgesinde, %1,2’si Güney Amerika’da ve %0,5’i Afrika’da yer alıyor.
En fazla EKS hizmetini kullanan ülkeler arasında ABD (48.000’den fazla), Türkiye, Güney Kore, İtalya, Kanada, İspanya, Çin, Almanya, Fransa, Birleşik Krallık, Japonya, İsveç, Tayvan, Polonya ve Litvanya bulunuyor.
Bu veriler, Modbus, IEC 60870-5-104, CODESYS, OPC UA gibi yaygın olarak kullanılan EKS protokollerinin internete açık durumları üzerinden elde edildi.
Öne çıkan önemli bir nokta ise, saldırı yüzeylerinin bölgesel olarak farklılık göstermesi: Modbus, S7 ve IEC 60870-5-104 protokollerine Avrupa’da daha sık rastlanırken, Fox, BACnet, ATG ve C-more protokolleri daha çok Kuzey Amerika’da kullanılıyor. Her iki bölgede de kullanılan ortak EKS hizmetleri arasında EIP, FINS ve WDBRPC yer alıyor.
Ayrıca, C-more protokolü kullanan insan makine arayüzlerinin (HMI) %34’ünün su ve atık su sistemleriyle, %23’ünün ise tarımsal süreçlerle ilişkili olduğu tespit edildi.
Censys’in kurucu ortağı ve baş bilimcisi Zakir Durumeric, yaptığı açıklamada şunları söyledi:
“Bu protokollerin birçoğu 1970’lere kadar uzanıyor, ancak endüstriyel süreçlerin temel taşları olmaya devam ediyor ve dünya genelinde görülen güvenlik iyileştirmelerine aynı ölçüde uyum sağlayamıyor.
EKS cihazlarının güvenliği, bir ülkenin kritik altyapısını korumanın temel bir unsuru. Bu altyapıyı korumak için, bu cihazların nasıl açığa çıktığını ve savunmasız hale geldiğini anlamalıyız.”
EKS sistemlerini hedef alan siber saldırılar nadir olsa da bugüne kadar yalnızca dokuz kötü amaçlı yazılım tespit edilmiştir. Bununla birlikte, özellikle devam eden Rusya-Ukrayna savaşı sonrasında EKS’ye odaklanan kötü amaçlı yazılımlarda bir artış gözlenmiştir.
Temmuz ayında Dragos, Ukrayna’da bir enerji şirketinin, OT ağlarını kesintiye uğratmak için Modbus TCP iletişiminden faydalandığı tespit edilen FrostyGoop adlı bir kötü amaçlı yazılımla hedef alındığını açıkladı.
Kritik Altyapılar Neden Saldırganların Hedefinde?
Kritik altyapılar, endüstriyel kontrol sistemlerinin (EKS) temelini oluşturuyor ve su sistemlerinden enerji üretimine, tarımdan ulaşım altyapılarına kadar pek çok sektörde kullanılıyor. Ancak bu sistemlerin büyük bir kısmı, 1970’lerde geliştirilen eski protokolleri kullanıyor. Bu eski yapılar, modern güvenlik önlemleriyle uyumlu değil ve saldırganların sistemlere sızmasını kolaylaştırıyor.
Örneğin, insan-makine arayüzleri (HMI), EKS sistemlerini izlemek ve yönetmek için kullanılıyor. Ancak HMI’ların internete açık şekilde bırakılması, saldırganların bu sistemlere erişerek operasyonları bozmasına neden olabiliyor. Araştırmalara göre, açıkta bulunan HMI’larin çoğu ABD’de yer alıyor. Almanya, Kanada, Fransa, Avusturya ve Türkiye gibi ülkeler de yüksek risk grubunda.
Botnetler ve Kötü Amaçlı Yazılımlar Tehdidi Artırıyor
Kötü niyetli yazılımlar, EKS ve OT cihazlarına yönelik en büyük tehditlerden biri. Örneğin, FrostyGoop (diğer adıyla BUSTLEBERM) adlı bir kötü amaçlı yazılım, Modbus TCP gibi yaygın olarak kullanılan protokolleri hedef alarak cihazların çalışmasını bozuyor ve hizmet reddi (DoS) saldırıları düzenliyor. FrostyGoop, saldırılarda yalnızca ENCO cihazlarını hedef almakla kalmıyor, aynı zamanda Modbus TCP protokolünü kullanan diğer sistemlere de kolayca erişebiliyor.
Ayrıca, Aisuru, Kaiten ve Gafgyt gibi botnet yazılımları, EKS cihazlarının varsayılan kimlik bilgilerini ele geçirerek bu cihazları dağıtılmış hizmet reddi (DDoS) saldırılarında kullanabiliyor ve bazen cihaz içindeki verileri silebiliyor.
Saldırganlar, su idareleri gibi diğer kritik altyapı kuruluşlarını da hedef almaktadır. Geçen yıl ABD’de kaydedilen bir olayda, Pennsylvania’daki Aliquippa Belediye Su İdaresi, internete açık Unitronics programlanabilir lojik kontrolörler (PLC) üzerinden sistemlerine sızılarak anti-İsrail mesajı içeren bir saldırıya uğradı.
Censys, EKS sistemlerini izlemek ve etkileşim kurmak için kullanılan insan-makine arayüzlerinin (HMI), uzaktan erişimi desteklemek amacıyla giderek daha fazla internete açık hale getirildiğini ortaya koydu. Açık durumda bulunan HMI’ların çoğu ABD’de yer alırken, bunu sırasıyla Almanya, Kanada, Fransa, Avusturya, İtalya, Birleşik Krallık, Avustralya, İspanya ve Polonya takip ediyor.
İlginç bir şekilde, tespit edilen HMI’lerin ve EKS hizmetlerinin büyük çoğunluğu Verizon, Deutsche Telekom, Magenta Telekom ve Turkcell gibi mobil ya da kurumsal düzeyde internet hizmet sağlayıcılarına (ISP) ait altyapılarda barındırılıyor. Ancak, bu sistemlerin kimler tarafından kullanıldığına dair metadata neredeyse hiç sunulmuyor.
Censys’e göre, “HMI’lar genellikle şirket logolarını veya tesis adlarını içerir, bu da sahibi ve sektör hakkında bilgi edinmeyi kolaylaştırabilir. Ancak EKS protokolleri genellikle bu bilgileri sunmaz, buda cihazların açık olduğunu sahiplerine bildirmeyi neredeyse imkansız hale getirir. Bu sorunun çözümü için bu hizmetleri barındıran büyük telekom şirketlerinin iş birliği muhtemelen gereklidir.”
Bu Tehlikelerle Nasıl Mücadele Edilir?
EKS ve OT cihazlarını korumak için aşağıdaki adımlar atılabilir:
- Cihazları tanımlayın ve internete açık yüzeylerini en aza indirin.
- Varsayılan kimlik bilgilerini güçlü parolalarla değiştirin.
- Sistemi kötü amaçlı etkinliklere karşı sürekli izleyin.
- Ağları segmentlere ayırarak hassas cihazları koruyun.
- Hizmet sağlayıcılarla iş birliği yaparak açık cihazların güvenliğini artırın.
Sağlık Sektörü de Tehdit Altında
Tehditler yalnızca endüstriyel sistemlerle sınırlı değil. Sağlık sektöründe kullanılan dijital görüntüleme sistemleri (DICOM) ve tıbbi cihazlar da ciddi risk altında. Forescout’un yaptığı bir çalışmaya göre, internet bağlantılı tıbbi cihazlar (IoMT) arasında en çok kullanılan hizmetlerden biri olan DICOM, aynı zamanda en çok açıkta kalanlardan biri. Bu sistemlerin büyük bir kısmı ABD, Hindistan, Almanya, Brezilya ve Çin gibi ülkelerde bulunuyor.
Eski veya standart dışı sistemlerle çalışan bu cihazlar, sağlık kuruluşları için büyük bir güvenlik açığı oluşturuyor. Forescout Güvenlik Araştırma Başkanı Daniel dos Santos’a göre, tek bir zayıf nokta bile hassas hasta verilerine erişim sağlayabilir. Bu nedenle, tıbbi cihazların düzenli izlenmesi, ağların segmentlere ayrılması ve iletişim akışlarının haritalandırılması büyük önem taşıyor.
Sonuç: Önlem Almak Şart
Endüstriyel kontrol sistemleri ve kritik altyapılar, günümüzün en önemli güvenlik alanlarından biri. Saldırganlar, sistemdeki en küçük bir açık noktayı kullanarak operasyonları durdurabilir, verileri silebilir veya büyük ölçekli zararlar verebilir. Bu yüzden hem kamu hem de özel sektör bu tehditleri ciddiye almalı ve gerekli önlemleri hızla hayata geçirmelidir. Güvenli bir altyapı için sürekli izleme, güncel protokoller ve güçlü bir güvenlik stratejisi şarttır.