Amerika Birleşik Devletleri’nin Florida eyaletinde bulunan Oldsmar kentinde, halka içme suyu sağlayan su şebekesine bir bilgisayar korsanının sızması ve suyu zehirleme teşebbüsünde bulunması güvenlik uzmanlarını harekete geçirdi. Siber Güvenlik kuruluşu ESET tarafından da mercek altına alınan bu taarruz, halk sıhhati açısından siber güvenliğin ne kadar kıymetli olduğunu bir sefer daha gözler önüne serdi.
Geçen hafta Amerika’da su şebekesine yapılan siber akının akabinde polis yetkilileri yaptıkları açıklamada halk sıhhatine yönelik bir tehlike oluşmadan tedbir alındığını belirtmişti. Su şebekesinde çalışan bir bilişim uzmanı uzaktan denetim edilen arıtma sisteminde, sudaki sodyum hidroksit ölçüsünün 100 kat artırıldığını fark ederek çok tehlikeli olabilecek bir durumun vaktinde önlenmesine katkıda bulundu.
Belediyeler su temin sistemlerini daha yeterli korumak için ne yapabilir?
Florida’da yapılan siber taarruz başarılı olmasa bile güzel korunmayan ve kâfi tedbir almayan içme suyu şebekelerinin risk altında olduğunu gösteriyor. ESET, halk sıhhatini direkt ilgilendiren bu bahis ile ilgili olarak neler yapılabileceğini irdeledi. Uzmanlar suçluların su kaynağındaki kimyasal düzeyleri değiştirmek için uzaktan erişim araçlarını kullandığını belirterek taarruzun maksatlı olduğunun altını çizdiler. Bu olayın sinsi bir sıfır gün saldırısı olmasa da, makus niyetli kişi ya da bireylerin uzun müddettir gayeyle ilgilendiği ihtimali üzerinde duruyorlar.
Bu türlü bir taarruz nasıl gerçekleştiriliyor?
Bilgisayar korsanlarının su arıtma ve idare sistemleri hakkında özel bilgi sahibi oldukları ya da bunun üzerinde uzun mühlet çalıştıkları görülüyor. Evvel saldırganlar gayesi belirliyor, bilgi topluyor ve bir plan oluşturuyorlar. Erişim sağlandıktan sonra, direkt su arıtma süreciyle etkileşime giren denetim sistemleri için ağı araştırıyorlar. Potansiyel hücum alanı belirlendikten sonra ayrıntılı ve maksatlı çalışmalar yaparak nasıl ziyan verecekleri konusuna yoğunlaşıyorlar.
Mahallî idarelerin ve belediyelerin neler yapması gerekiyor?
Florida’da yaşanan bu olay yakın gelecekte halk sıhhatini direkt ilgilendirecek yerlere siber akın yapılabileceğine dikkatleri çekmiş oldu. ESET Siber Güvenlik Uzmanları, küçük ya da büyük olduğuna bakılmaksızın tüm idarelerin ve belediyelerin, içme suyu şebekeleri ya da su arıtma tesislerinde bu tip atakların olabileceğini düşünerek planlama yapması gerektiğinin altını çizerek şu tekliflerde bulundular;
- Her vakit mümkün siber akınlara hazırlıklı olunmalı
- Bu ünitelerde çalışan siber güvenlik uzmanları bir bilgisayar korsanı üzere düşünerek berbat niyetli bireylerin sisteme girmelerini engelleyecek yolları belirlemeli, planlamaları yapmalılar
- Çalışanlar siber akınlar bahislerinde bilgilendirilmeli ve eğitilmeliler
- İdareler 2FA (Çift Faktörlü Koruma) uygulamalarını devre almalılar
- Teknik uzmanlar yama uygulamalarını dikkatle takip etmeliler
- Mevcut yapı ve denetim süreçlerinin üzerinden tekrar tekrar geçilmeli.
- Bir ihlal ya da siber akın olabileceği göz önüne alınarak planlamalar ve sonrasında tatbikatlar yapılmalı