Hackerların hedefi içme suyu şebekeleri

Amerika Birleşik Devletleri’nin Florida eyaletinde bulunan Oldsmar kentinde, halka içme suyu sağlayan su şebekesine bir bilgisayar korsanının sızması ve suyu zehirleme teşebbüsünde bulunması güvenlik uzmanlarını harekete geçirdi. Siber Güvenlik kuruluşu ESET tarafından da mercek altına alınan bu taarruz, halk sıhhati açısından siber güvenliğin ne kadar kıymetli olduğunu bir kere daha gözler önüne serdi. 

Geçen hafta Amerika’da su şebekesine yapılan siber akının akabinde polis yetkilileri yaptıkları açıklamada halk sıhhatine yönelik bir tehlike oluşmadan tedbir alındığını belirtmişti. Su şebekesinde çalışan bir bilişim uzmanı uzaktan denetim edilen arıtma sisteminde, sudaki sodyum hidroksit ölçüsünün 100 kat artırıldığını fark ederek çok tehlikeli olabilecek bir durumun vaktinde önlenmesine katkıda bulundu. 

Belediyeler su temin sistemlerini daha düzgün korumak için ne yapabilir?

Florida’da yapılan siber atak başarılı olmasa bile âlâ korunmayan ve kâfi tedbir almayan içme suyu şebekelerinin risk altında olduğunu gösteriyor. ESET, halk sıhhatini direkt ilgilendiren bu bahis ile ilgili olarak neler yapılabileceğini irdeledi. Uzmanlar suçluların su kaynağındaki kimyasal düzeyleri değiştirmek için uzaktan erişim araçlarını kullandığını belirterek taarruzun gayeli olduğunun altını çizdiler. Bu olayın sinsi bir sıfır gün saldırısı olmasa da, makus niyetli kişi ya da şahısların uzun müddettir maksatla ilgilendiği ihtimali üzerinde duruyorlar.  

Bu türlü bir taarruz nasıl gerçekleştiriliyor

Bilgisayar korsanlarının su arıtma ve idare sistemleri hakkında özel bilgi sahibi oldukları ya da bunun üzerinde uzun mühlet çalıştıkları görülüyor. Evvel saldırganlar gayesi belirliyor, bilgi topluyor ve bir plan oluşturuyorlar. Erişim sağlandıktan sonra, direkt su arıtma süreciyle etkileşime giren denetim sistemleri için ağı araştırıyorlar. Potansiyel atak alanı belirlendikten sonra ayrıntılı ve gayeli çalışmalar yaparak nasıl ziyan verecekleri konusuna yoğunlaşıyorlar.

Mahallî idarelerin, belediyelerin neler yapması gerekiyor

Florida’da yaşanan bu olay  yakın gelecekte halk sıhhatini direkt ilgilendirecek yerlere siber akın yapılabileceğine dikkatleri çekmiş oldu. ESET Siber Güvenlik Uzmanları, küçük ya da büyük olduğuna bakılmaksızın tüm idarelerin ve belediyelerin, içme suyu şebekeleri ya da su arıtma tesislerinde bu tip akınların olabileceğini düşünerek planlama yapması gerektiğinin altını çizerek şu tekliflerde bulundular;  

• Her vakit muhtemel siber hücumlara hazırlıklı olunmalı 
• Bu ünitelerde çalışan siber güvenlik uzmanları bir bilgisayar korsanı üzere düşünerek makûs niyetli bireylerin sisteme girmelerini engelleyecek yolları belirlemeli, planlamaları yapmalılar  
• Çalışanlar siber hücumlar hususlarında bilgilendirilmeli ve eğitilmeliler 
• İdareler 2FA (Çift Faktörlü Koruma) uygulamalarını devre almalılar
• Teknik uzmanlar yama uygulamalarını dikkatle takip etmeliler
• Mevcut yapı ve denetim süreçlerinin üzerinden tekrar tekrar geçilmeli. 
• Bir ihlal ya da siber atak olabileceği göz önüne alınarak planlamalar ve sonrasında tatbikatlar yapılmalı

Hibya Haber Ajansı