Nisan 2025’te, kimliği belirsiz hacker’lar Norveç’in güneybatısında yer alan Lake Risevatnet barajının kontrol sistemlerine sızarak su vanasının tamamen açılmasına neden oldu. Olay, barajın sahibi Breivika Eiendom tarafından 7 Nisan’da tespit edildi. İlgili devlet kurumları — NSM (Norveç Ulusal Güvenlik Kurumu), NVE (Norveç Su ve Enerji İdaresi) ve Kripos (Norveç Polis Teşkilatı’na bağlı özel bir birim) — 10 Nisan’da bilgilendirildi. Olayla ilgili teknik ve adli soruşturma başlatıldı.
Saldırganların, internet üzerinden erişilebilen kontrol panelindeki zayıf parola güvenliğinden faydalanarak sisteme uzaktan erişim sağladığı tespit edildi. Barajın teknik yöneticisi Bjarte Steinhovden, saldırının muhtemelen bu zafiyetten kaynaklandığını ifade etti.
Vananın dört saat boyunca açık kaldığı belirlenirken, saniyede 497 litre fazladan su salındığı raporlandı. Yetkililer, bu miktarın nehir yatağı için risk oluşturmadığını, çünkü bölgenin saniyede 20.000 litreye kadar su taşıyabilecek kapasitede olduğunu belirtti.
Bu olay, temel güvenlik önlemlerinin ihmal edilmesinin kritik altyapılar için ne denli ciddi sonuçlar doğurabileceğini gözler önüne serdi. Özellikle zayıf parola kullanımı ve yetersiz kimlik doğrulama mekanizmalarının, operasyonel teknoloji ortamlarında ciddi güvenlik açıklarına yol açabileceği bir kez daha ortaya kondu. SCADA ve OT (operasyonel teknoloji) sistemlerinde yeterli erişim kontrolü sağlanmadığında bu tür sistemler kolaylıkla hedef haline gelebiliyor.
Ayrıca saldırının dört saat boyunca tespit edilememesi, izleme ve alarm mekanizmalarının yetersizliğini de net bir şekilde ortaya koyarak, sürekli ve etkili izleme sistemlerinin ne kadar hayati olduğunu göstermiş oldu. Benzer tehditler başka ülkelerde de yaşanmıştır. 2023 yılında, İsrail’de çeşitli sulama ve atık su altyapılarına yönelik siber saldırılar gerçekleştirilmiş; Hula Vadisi, Ürdün Vadisi ve Galil Kanalizasyon Kurumu gibi bölgelerde su sistemlerinin devre dışı kaldığı raporlanmıştır. Bu saldırıların da zayıf parola ve güvensiz erişim yapılarını hedef aldığı belirlenmiştir.
Türkiye’de şu ana kadar benzer nitelikte, doğrudan fiziksel etkiye yol açan bir baraj saldırısı kamuya açık kaynaklara yansımamıştır. Ancak USOM verilerine göre, 2024’ün ilk üç ayında 37.000’i aşkın siber saldırı engellenmiş; kritik altyapılara yönelik tehditlerin arttığı belirtilmiştir. 2025 yılında yürürlüğe giren Siber Güvenlik Kanunu ile bu tür altyapılara yönelik saldırılar ağır cezalara tabi hale getirilmiştir.
Sonuç olarak, bu olay, temel güvenlik önlemlerinin alınmaması durumunda küçük bir güvenlik açığının dahi kritik sistemlerde ciddi risklere yol açabileceğini göstermektedir.
Özellikle barajlar, enerji tesisleri ve su yönetim sistemleri gibi altyapılar için güçlü parola politikaları, çok faktörlü kimlik doğrulama, erişim sınırlamaları ve etkin izleme sistemleri zorunlu hale getirilmelidir.
