NİLAY ÇAĞLAR
Yer Batı Ukrayna, tarih 23 Aralık 2015, saat 15:30. Dışarıda soğuk etrafı sarmış. Dağıtım şirketinin vardiya bitimine yalnızca yarım saat var. Kontrol odasındaki operatör beş dakika sonra başına geleceklerden habersiz, iki gün sonraki Noel’in hayalini kuruyor. Etraf sessiz, sakin. Her şey olağan seyrinde fakat operatörün bilgisayar ekranında bir hareketlenme var. Fare kendi kendine hareket ediyor! Durum operatörün gözünden kaçmıyor. Fareyi ters çevirip üflerken ekranlar kendi kendine açılıp kapanmaya da başlıyor.
Ekranı gören operatör yerinden fırlıyor! Gördükleri gerçekleşmeden, biran önce bir şeyler yapıp durdurması gerek. Bildiği tüm komutları yazıyor, sayısız kere deniyor, tüm tuşlara tekrar tekrar adeta kırarcasına basıyor ama nafile. Bilgisayar komutları almıyor. Kan beynine hücum etmiş umutsuzca ekrandan olup bitenleri izlerken daha fazla ne yapabilirler ki diye mırıldanıyor. Çok geçmeden kendisi de karanlıkta kaldığında cevabı alıyor!
SİBER SALDIRIYLA ELEKTRİK KESİNTİSİ
Yukarda anlatılanlar bir film senaryosu değil. Geçtiğimiz Aralık ayında Ukrayna’daki üç farklı enerji dağıtım şirketi eş zamanlı olarak siber saldırıya uğradı. Bu da tarihte siber saldırı sonucu yaşanan en geniş çaplı elektrik kesintisine yol açtı. Daha önce gerçekleşmesi mümkün değil denilen senaryo herkesin gözü önünde, alenen hayat buldu.
NE OLDU?
Özetle, saldırganlar enerji şirketlerinin bilgisayarlarına ve SCADA (Gözetimsel Denetim ve Veri Toplama) dağıtım yönetim sistemlerine girdiler. Bu sayede 7 tane 110 kV ve 23 tane 35 kV’luk trafo merkezinin bağlantısını kestiler. Devamında gerçekleştirdikleri saldırılarla operatörlerin sistemi uzaktan kontrol etmesine de mani oldular. Bu yüzden trafo merkezlerinin tekrar sisteme bağlanabilmesi için gidip fiziken müdahale edilmesi gerekti, manuel operasyonlara geri dönüldü!
ELEKTRİK SİSTEMLERİNİN GÜVENİRLİLİĞİNE DERİN DARBE
Siber saldırı sonucu yaşanan elektrik kesintisinden, Ukrayna’da farklı bölgelerde bulunan yaklaşık 225 bin kullanıcı etkilendi. Kesinti bir kaç saat içinde son buldu. Zaten ülkede özellikle kış mevsiminde, 6 saatten az süren elektrik kesintileri sıra dışı bir durum değil. Durumu sıra dışı yapan ise; Ukrayna’nın çok ötesinde, dünyadaki mevcut elektrik sistemlerinin, sistem ve operasyon güvenirliliğine yapılan darbe!
UKRAYNA’YA AMERİKAN ÇIKARMASI
Durumu öğrenince Ukrayna’ya “geçmiş olsun”a giden herhangi bir bayi heyetimiz oldu mu bilmiyorum ama bu darbenin hemen ardından Ukrayna’ya yardıma ve incelemelere giden Amerikan heyetinin hayli renkli bir profile sahip olduğu gerçek!
ABD Enerji Bakanlığı, Güvenlik Bakanlığı ve FBI’dan konunun uzmanları. Aynı zamanda, Amerika’daki elektrik servis sağlayıcılarına ve operatörlerine güvenlik hizmeti veren E-ISAC ile bilgi güvenliği ve siber güvenlik çalışmalarında uluslararası üne sahip SANS Enstitüsü.
Tüm bu heyetlerin yaptığı incelemeler sonucu varılan ortak kanı, saldırının bir hayli “sofistike” ve “dahice” olduğu yönünde. Ayrıntılara inildikçe etkilenmemek ise mümkün değil zaten.
Ukrayna elektriğine siber saldırı
ADIM ADIM SİBER SALDIRI
Saldırının mazisi kesintilerin yaşandığı günden en az 6 ay öncesine dayanıyor. Saldırganların ilk adımı kimlik hırsızlığı. Bu amaçla dağıtım şirketlerinin çalışanlarını hedef alan e-mailler gönderiyorlar. Gelen mesajlar tanıdık uzantılı adreslerden gönderildiği için kullanıcılar bu e-mailleri açmakta herhangi bir sakınca görmüyor.
E-maillerin eklerinde ise Word ve Excel dokümanları bulunuyor. Kullanıcılar bu dokümanları açtıkları anda makroları çalıştırmaya yönlendiriliyor. Onay verilir verilmez de virüs programı yükleniyor ve şirketlerin bilgisayar ağlarına erişim gerçekleşiyor.
Sisteme atılan bu ilk adımdan sonra aylar süren bir operasyon süreci başlıyor. Saldırganlar büyük bir titizlikle bilgisayar ağını keşfediyor. Farklı kapıları açmak için gerekli olan kullanıcı adı ve şifreleri ele geçiriyorlar. Hedeflerine ulaşmak için ağ yapısını modifiye ediyor ve kendilerine özel ayrıcalıklar yaratıyorlar. Tüm birimlerin bilgi teknolojileri ağını ele geçirip esas hedef olan SCADA’ya, dağıtım şirketlerinin şebeke operasyonlarını izleyip yönettikleri kontrol sistemlerine, erişmeyi başarıyorlar.
Saldırganlar tüm bunları aylar boyunca fark edilmeden ve sistemde herhangi bir sıkıntıya yol açmadan yapmayı başarıyorlar. Nihayetinde 23 Aralık 2015’te sistem üzerinde edindikleri bilgi ve erişim yetkinliklerini üstün bir koordinasyonla saldırıya döküyorlar.
Önce şebeke operasyon merkezlerinin kontrolünü ele geçiriyorlar ve 30 trafo merkezinin devre kesicilerini açıyorlar. Bu sayede trafo merkezlerini devre dışı bırakarak elektrik kesintilerine sebep oluyorlar.
ELEKTRİK ŞİRKETİ KARANLIĞA GÖMÜLÜYOR!
Saldırıyı ilginç kılan ayrıntılardan bir diğeri de kesintisiz güç kaynaklarının (UPS) da devre dışı bırakılması. Saldırganlar eyleme geçmeden önce dağıtım şirketlerinden birinin bilgisayar ağında bu kaynaklara olan bağlantıları bulup yeniden yapılandırıyor. Böylece elektrik kesintisine neden oldukları anda, kesintisiz güç kaynaklarının da devre dışı kalarak dağıtım şirketinin binasının ve bilgi merkezinin de elektriksiz kalmasını sağlıyorlar.
Elektrik şirketini elektriksiz bırakmak yalnızca manidar bir espri değil. Bu aynı zamanda operatörlerin sisteme müdahalesine ve trafo merkezlerinin uzaktan kontrolüne engel olan bir adım. Böylelikle devre kesicilerin uzaktan komutla tekrar kapatılıp elektriğin geri gelmesinin de önüne geçiliyor.
TÜM KÖPRÜLERİ YAKAN SON ADIM
Fakat siber saldırının asıl en yıkıcı adımı; operatörlerin sisteme girişlerinin engellenmesi ve bilgi merkezlerinin komutasının saldırganlar tarafından ele geçirilmesi.
Böylelikle saldırganlar sistemdeki kimi öğeleri (bilgi merkezleri, sunucular, uzak terminal birimlerindeki (RTU) işlemciler, vd.) tamamen yok edip kimisine geri dönüşü olmayan zararlar veriyorlar. Bu da trafo merkezlerinin uzaktan verilen komutlarla tekrar devreye alınma ihtimalini ortadan kaldırıyor. Bir diğer tabirle, tüm köprüleri de arkalarından yakıyorlar.
GİDERAYAK YAPILAN HAYLAZLIK: MÜŞTERİ ÇAĞRI MERKEZİNİN ÇÖKERTİLMESİ
Bir de tüm bu saldırılardan bihaber kullanıcıları çileden çıkaran, çağrı merkezlerinin ulaşılamama durumu var. Saldırganlardan biri yapılanları az mı buldu bilinmez giderayak bir de çağrı merkezini çökertiyor. Her ne kadar bu adım ilk anda haylazlık olarak algılansa da aslında dağıtım şirketlerinin nerelerde kesintilerin yaşandığını öğrenmesini ve müdahalesini bir hayli geciktiriyor.
SALDIRI İLE ORTAYA ÇIKAN GERÇEKLER
Ukrayna’da yaşanan bu olaya kadar siber saldırı sonucu elektrik kesintisine imkansız gözüyle bakılıyordu. Zira elektrik şebekesini kontrol eden SCADA yazılımlarının başlıca özellikleri arasında ileri derecede güvenlik sistemlerine sahip olmaları gelir fakat bu saldırı ile çok güvenilen SCADA’nın da saldırılara açık olduğu kanıtlanmış oldu.
Bu da şu demek: dünyadaki mevcut elektrik sistemlerinin, sistem ve operasyon güvenliği artık tehlikede!
SON SORU: AMERİKALILAR NİYE BU KADAR PANİKLEDİ?
Amerikalıların bu saldırıyı bu kadar önemseyip paniklemesinin nedenine gelmeden önce, 31 Mart 2015’de Türkiye’de yaşamış olduğumuz elektrik kesintisini hatırlayalım. Ne olmuştu? Büyük miktarda güç üreten bir santralin devre dışı kalmasıyla sistemde yüksek bir dalgalanma yaşanmış, bu dalgalanma domino etkisiyle tüm sistemi etkilemiş ve iletim sistemini çökertmişti.
İşte Ukrayna’daki siber saldırının Amerikalılarda yaratmış olduğu paniğin nedeni de tam da bu! Uzmanlar Amarika’nın Kuzeydoğu bölgesinde stratejik önemi olan sadece 100 jeneratörün benzer bir saldırıya uğraması durumunda; bölgede yer alan eyaletlerde birbiri ardına elektrik kesintilerinin yaşanacağını belirtiyor. Öyle ki kimi bölgelere tekrar elektrik verilmesi için haftalara ihtiyaç duyulacağı öngörülüyor.
Ki 2003 senesinde söz konusu bölgede 55 milyon kişiyi etkileyen elektrik kesintisinde, pek çok yere ancak 2 günde elektrik verilebilirken uzak bölgelere elektriğin ulaşması 1 haftayı bulmuştu.
Diğer bir deyişle Amerikalılar boş yere paniklemediler çünkü ellerindeki malzemeyi iyi biliyorlar!
Bakalım bunun sisteme ve bize yansıması nasıl olacak?