CISA Uyarısı: Yakıt Deposu İzleme Sistemlerine Yönelik Siber Saldırılar ve Korunma Yöntemleri

Giriş

ABD federal kurumları, özellikle CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), FBI, NSA ve Enerji Bakanlığı, kritik altyapı sektörlerinde kullanılan otomatik tank ölçüm (ATG) sistemlerine yönelik artan siber saldırı tehditlerine karşı resmi uyarılar yayınladı. Bu sistemler, yakıt ve sıvı depolama tanklarının izlenmesi için yaygın olarak kullanılmakta olup, internete açık olmaları durumunda ciddi güvenlik riskleri oluşturmaktadır.

Sorun Tanımı

Hedeflenen Sistemler ve Riskler

Otomatik Tank Ölçüm (ATG) Sistemleri, depolama tanklarındaki sıvı seviyelerini, sıcaklıkları ve diğer parametreleri otomatik olarak izleyen cihazlardır. Bu sistemler genellikle SCADA (Supervisory Control and Data Acquisition) sistemleri ile entegre çalışır ve endüstriyel tesislerde yaygın olarak kullanılmaktadır. Ancak, bu sistemlerin internete açık olması durumunda, aşağıdaki risklere maruz kalabilirler:

• Yetkisiz erişim ve veri manipülasyonu
• Tank seviyelerinin yanlış gösterilmesi ve dolum/boşaltım işlemlerinde hatalar
• Siber saldırılar yoluyla fiziksel hasar veya patlama riski
• Veri ihlalleri ve gizlilik ihlalleri

Saldırı Yöntemleri

Saldırganlar, ATG sistemlerine genellikle aşağıdaki yöntemlerle erişim sağlamaktadır:

1. Zayıf Kimlik Doğrulama: Sistemlerde varsayılan veya zayıf şifrelerin kullanılması.
2. Güncel Olmayan Yazılımlar: Sistemlerdeki yazılımların ve firmware'in güncel olmaması.
3. Güvensiz Ağ Bağlantıları: Sistemlerin internete doğrudan bağlanması ve korumasız ağlarda bulunması.
4. Sosyal Mühendislik: Çalışanların güvenlik prosedürlerini atlatmak için manipüle edilmesi.

Çözüm Adımları

1. Ağ İzolasyonu ve Segmentasyon

ATG sistemlerinin güvenliğini artırmak için ilk adım, bu sistemlerin diğer ağlardan izole edilmesidir. Bu, sistemlerin internete doğrudan maruz kalmasını engelleyerek saldırı yüzeyini azaltır.

1. Fiziksel ve Mantıksal İzolasyon:
   • ATG sistemlerini, SCADA ve diğer endüstriyel kontrol sistemlerinden ayrı bir ağ segmentine yerleştirin.
   • Sistemler arası iletişimi güvenli bir VPN (Virtual Private Network) veya özel MPLS (Multiprotocol Label Switching) bağlantıları üzerinden sağlayın.
2. Güvenlik Duvarı Kuralları:

   # Güvenlik duvarı kurallarını uygulamak için iptables kullanımı (Linux örneği)
   iptables -A INPUT -p tcp --dport 22 -j DROP
   

   Uyarı: Güvenlik duvarı kurallarını uygulamadan önce yedek alın ve sisteminizin erişilebilirliğini test edin.

2. Kimlik Doğrulama ve Yetkilendirme

ATG sistemlerine erişim, güçlü kimlik doğrulama mekanizmaları ile korunmalıdır.

1. Çok Faktörlü Kimlik Doğrulama (MFA):
   • Sisteme erişim için MFA kullanın (örneğin, SMS, e-posta veya kimlik doğrulama uygulamaları).
   • Windows Active Directory veya LDAP entegrasyonunu kullanarak merkezi kimlik yönetimi sağlayın.
2. Varsayılan Şifrelerin Değiştirilmesi:

   # Varsayılan kullanıcı adı ve şifreleri değiştirmek için örnek komut (Cisco cihazı)
   configure terminal
   username admin secret 
   

   İpucu: Tüm sistemlerde varsayılan kullanıcı adlarını ve şifreleri değiştirin. Örneğin, 'admin/admin' gibi varsayılan kimlik bilgilerini kullanmayın.

3. Yazılım ve Firmware Güncellemeleri

ATG sistemlerinin ve bağlı cihazların yazılımları düzenli olarak güncellenmelidir.

1. Güncelleme Kontrolleri:
   • Üreticinin yayınladığı güvenlik bültenlerini takip edin ve acil güncellemeleri uygulayın.
   • Sistemlerinizi yama yönetimi (patch management) sistemleriyle izleyin.
2. Otomatik Güncellemelerin Devre Dışı Bırakılması:

   # Windows sistemlerinde otomatik güncellemeleri devre dışı bırakmak için (Grup İlkesi)
   gpedit.msc → Bilgisayar Yapılandırması → Yönetim Şablonları → Windows Bileşenleri → Windows Update → Otomatik Güncellemeleri Devre Dışı Bırak

   Uyarı: Otomatik güncellemeleri devre dışı bırakmadan önce, sisteminizin uyumluluğunu ve güvenlik gereksinimlerini değerlendirin.

4. Ağ İzleme ve Olay Tespiti

ATG sistemlerine yönelik saldırıları tespit etmek ve yanıt vermek için sürekli izleme ve olay tespit sistemleri kullanılmalıdır.

1. SIEM (Security Information and Event Management) Sistemleri:
   • Splunk, IBM QRadar veya ELK Stack gibi SIEM sistemleri kullanarak ağ trafiğini izleyin.
   • Anormal aktiviteleri (örneğin, beklenmedik bağlantı girişimleri) otomatik olarak tespit edin.
2. IDS/IPS Kurulumu:

   # Snort IDS/IPS kurulumu ve yapılandırılması (Linux örneği)
   sudo apt-get install snort
   sudo snort -c /etc/snort/snort.conf -i eth0
   

   İpucu: IDS/IPS sistemlerini, ATG sistemlerine özel imza kurallarıyla yapılandırın. Örneğin, SCADA protokollerine yönelik saldırıları tespit etmek için özel kurallar ekleyin.

5. Personel Eğitimi ve Farkındalık

Siber saldırıların çoğu, insan hatası nedeniyle gerçekleşmektedir. Bu nedenle, personelin siber güvenlik konusunda bilinçlendirilmesi kritik önem taşır.

1. Sosyal Mühendislik Farkındalığı:
   • Çalışanlara phishing ve diğer sosyal mühendislik saldırıları hakkında eğitim verin.
   • Güvenlik politikalarını ve prosedürlerini düzenli olarak gözden geçirin.
2. Simülasyon ve Testler:

   # Phishing simülasyonu için kullanılan araçlar (örneğin, GoPhish)
   sudo apt-get install gophish
   sudo gophish
   

   Uyarı: Phishing simülasyonları, çalışanların farkındalığını artırmak için kullanılmalıdır, ancak gizlilik ve etik kurallara uygun olarak gerçekleştirilmelidir.

Özet ve En İyi Uygulamalar

Aşağıda, ATG sistemlerinin güvenliğini artırmak için özetlenen en iyi uygulamalar yer almaktadır:

• Sistemleri internete kapalı tutun ve sadece gerekli durumlarda erişime izin verin.
• Güçlü kimlik doğrulama mekanizmaları kullanın (MFA, güçlü şifreler).
• Yazılımları ve firmware'leri düzenli olarak güncelleyin.
• Ağ trafiğini sürekli izleyin ve anormal aktiviteleri tespit edin.
• Personelin siber güvenlik konusunda eğitimini sağlayın ve farkındalığını artırın.

Kaynaklar ve Referanslar

• CISA Resmi Web Sitesi
• NIST Siber Güvenlik Çerçevesi
• ICS-CERT (Endüstriyel Kontrol Sistemleri Siber Acil Müdahale Ekibi)