Teknolojinin hakim olduğu günümüz dünyasında hiçbir firma, siber güvenlik danışmanları tarafından tasarlanan ve en son teknolojiye sahip siber güvenlik araçlarının yardımıyla uygulanan sağlam bir Siber Güvenlik Planı olmadan kendini güvende kabul edemez. Birçok firma gibi havacılık endüstriside, havacılık operasyonlarını tehlikeye atabilecek, finansal/veri kayıplarına yol açabilecek, hatta ticari uçakların güvenliğini ve insanların hayatını tehlikeye atabilecek siber güvenlik sorunlarıyla karşı karşıyadır. Ancak askeri havacılıkta siber güvenlik, siber güvenlik şirketleri için “keşfedilmemiş alan” olmaya devam ediyor. Bu nedenle, siber güvenlik şirketlerinin askeri havacılığın ve varlıklarının siber güvenliğini sağlamaya yönelik uygun önlemleri önerebilmesi için, askeri havacılığın ve operasyonlarının daha net bir şekilde anlaşılması gerekmektedir.
Sivil Havacılık ve Siber Güvenlik
Sivil Havacılık endüstrisi, faaliyetlerini yürütmek için dış dünyayla bağlantıya ihtiyaç duyar ve bu durum saldırganlar için kazançlı bir hedef haline gelebilir. Bu nedenle havacılık sektörü, siber saldırılar ve ihlaller bakımından diğer tüm işletmeler kadar tehdit altındadır. Havacılık endüstrisinde son birkaç yıldaki devasa dijital dönüşüm, endüstrinin tümünde havayolu operasyonlarını ve sistemlerini birbirine bağlayan en son teknolojilere büyük ölçüde güvenilmesiyle sonuçlandı.
Ancak, teknolojik ilerlemenin bu şaşırtıcı nimetleri bir bedel olmadan bizlere ulaşmıyor. Havayolu yer sistemlerinin karmaşık bağlantılarının güvenliği ve öngörücü bakım; hava taşıtının emniyeti, hava yolu operasyonları, hava yolu ve yolcu verileri, hizmetler, itibar ve endüstrinin finansal sağlığı açısından oldukça önemlidir. Siber suçlular, teröristler ve APT grupları (siber tehdit aktörleri) havacılık sistemlerini; operasyonel, finansal, fiziksel veya itibar açısından tehlikeye atmak için yenilikçi teknikler keşfetmeye devam ediyor. Türkiye’de sivil havacılığın siber güvenliğiyle ilgili olarak Sivil Havacılık Genel Müdürlüğü’nün hazırladığı ve tüm işletmelere uyguladığı bir siber güvenlik talimatı bulunmaktadır. Eurocontrol (Avrupa havacılığını desteklemeye adanmış bir sivil asker kuruluşu) tarafından yayınlanan verilere göre, havacılık endüstrisine yönelik siber saldırılar her geçen gün artıyor. Son 3 yıla ait saldırı istatistikleri aşağıdaki grafikte yer almaktadır.
Bağımsız araştırma firması KonBriefing tarafından yayınlanan bir makaleye göre, Şubat 2023’te havacılık sektörüne yönelik 38 siber saldırı gerçekleşti. Ayrıca veriler 2020, 2021 ve 2022 yılında en çok görülen saldırı türlerinin Ransomware (%22), Veri İhlali (%18,6), Phishing (%15,3) ve DDoS (%7,3) olduğunu gösteriyor.
Havacılık endüstrisindeki her yeni teknolojinin tanıtılması, aslında siber saldırganların yararlanabileceği mevcut saldırı yüzeyini genişletiyor. Bu durum, havacılık endüstrisi operasyonlarının; güvenliğini, bütünlüğünü, güvenilirliğini ve dayanıklılığını sağlamak için uzmanlar tarafından havacılık endüstrisi siber alanının düzenli analizini gerektirir. Sivil havacılık endüstrisinin geniş saldırı yüzeyi ve siber saldırıların/tehditlerin ilişkili sonuçları göz önüne alındığında, sivil havacılık sektörü için siber güvenlik genellikle ticari siber güvenlik şirketleri ve ICAO (International Civil Aviation Organization) gibi kuruluşlar tarafından iyi anlaşılmaktadır. Sivil havacılık endüstrisinin siber güvenliğini sağlamak için güvenlik önlemleri ve güvenlik protokolleri düzenli olarak uygulanmalıdır.
Askeri Havacılık ve Siber Güvenlik
Sivil ve askeri havacılık için siber güvenlik dijital ortamda birbirinden ayrı düşünülemez. NATO uzmanları, sivil ve askeri havacılığın kullanıcıları ve paydaşları arasında çok güçlü karşılıklı bağımlılıklar olduğunu gözlemliyor. ATM (Air Traffic Management) sistemine yönelik herhangi bir olası siber saldırı, yalnızca sivil ve askeri uçuşların güvenli bir şekilde yürütülmesini ve yönetimini engellemekle kalmaz, aynı zamanda NATO ve üye devletlerin genel güvenlik ve dayanıklılık duruşuna olan güveni de baltalayabilir. Bu nedenle, sivil havacılığın büyük ölçüde herhangi bir kesintiye uğraması ulusal güvenlik sonuçları anlamına gelir ve bu durum riskleri bir sonraki seviyeye yükseltir.
Ayrıca askeri havacılık operasyonlarının ve siber güvenlik gerekliliklerinin, askeri operasyonların doğasını ve yelpazesini anlamak için gerekli teknik bilgilerin açığa çıkmaması ve mevcut olmaması nedeniyle sivil siber güvenlik şirketleri tarafından daha az anlaşıldığı da bir gerçektir. Bu nedenle, dünyadaki birçok ordu kendi siber güvenlik uzmanlarından oluşan siber komutanlıklarını kurmuştur. Ancak, tüm ordular teknik olarak ayrıntılı siber güvenlik kurulumlarına ve en son siber güvenlik tehditlerini ele almak için gerekli uzmanlığa sahip değildir.
En son siber güvenlik teknolojisi ve tehdit istihbaratının mevcudiyeti söz konusu olduğunda, büyük ölçüde sivil siber güvenlik uzmanlığına bağlıdırlar. Bu doğal sınırlamalar nedeniyle, ordular ve askeri havacılık varlıkları da dünya çapında siber saldırıların hedefi haline geldi. Konbriefing’e göre, 2022’de dünya çapında 26 ülkenin askeri tesislerine karşı (ABD, İngiltere, Türkiye, Fransa, İtalya, Almanya, Kanada, Polonya, Finlandiya, Romanya, Danimarka, Estonya vb. gibi önemli ülkeler de dahil olmak üzere 15’i NATO üyesi) 34 siber saldırı bildirildi. Bununla birlikte; Rusya, İtalya, İngiltere, Romanya ve Peru’nun askeri kurulumlarına yönelik gerçekleştirilmiş olan maksimum sayıda saldırı bildirildi.
Sivil havacılıktan farklı olarak, havacılık da dahil olmak üzere askeri operasyonel varlıkların çekirdeği genellikle dış dünyayla bağlantı gerektirmez. Askeri yapılara yönelik yukarıda belirtilen saldırıların çoğu, operasyonel nedenlerle doğrudan veya dolaylı olarak dış dünyayla bağlantılı olan sistemleri hedef aldı. Bu nedenle, hava, kara, deniz, uzay ve siber kuvvetlerin stratejik, operasyonel ve taktik düzeyindeki askeri harekâtlarının tüm tuvalini anlamak çok geniş bir konu ve bu makalenin kapsamını çok aşıyor. Bununla birlikte, aşağıdaki paragraflar, askeri havacılığın ana bileşenlerini, bunların başlıca siber güvenlik endişelerini ve olası iyileştirici önlemleri açıklamaya çalışmaktadır.
Askeri Havacılıkta Aviyonik Sistemler ve Siber Güvenlik Endişeleri
Genel olarak havacılık varlıklarına, kara, hava, deniz ve uzay da dahil olmak üzere tüm silahlı kuvvetler tarafından yoğun bir şekilde ihtiyaç duyulmaktadır. Askeri havacılık varlıkları yalnızca uçan varlıklara bağlı değildir. Atanan görevleri gerçekleştirmek için operasyonel olarak gerekli olan başka temel kurulumlar da vardır. Askeri havacılık ve havacılıkla ilgili varlıklar, rollerine ve görevlerine bağlı olarak genellikle aşağıdaki ana kategorilere ayrılabilir:
- Ön Cephe Harekat Unsurları (savaş uçakları, bombardıman uçakları, keşif ve uzman rolündeki uçaklar)
- Ağır/Hafif Nakliye ve Haberleşme Uçağı
- Havadan Havaya Yakıt İkmal Cihazları
- Arama ve Kurtarma (S&R) Unsurları
- Komuta ve Kontrol (C2) Merkezleri ve ilgili Bilgi Servisleri
- Hava/Kara tabanlı Seyir Yardımcıları
- Uçuş Bilgi Hizmetleri (FIS) / Hava Trafik Yönetimleri (ATM) Hizmetleri
- Havadan Erken Uyarı ve Kontrol (AEW&C) Sistemleri
- Entegre Hava Savunma Merkezleri Sistemleri
Tüm bu unsurların nadiren bağımsız olarak çalıştığını ve sinerji elde etmek, verilen görevi verimli ve güvenli bir şekilde gerçekleştirmek için çeşitli kombinasyonlarda kullanıldığını anlamak önemlidir. Bu unsurların sinerji içinde çalışabilmeleri için, gerektiğinde diğer varlıklarla hayati bilgi alışverişinde bulunmak üzere bir tür bağlantıya ihtiyacı vardır. Havadaki sistemler bu bilgileri çoğunlukla radyo frekansları, veri bağlantıları ve özellikle askeri kullanım için tahsis edilmiş frekanslarda çalışan SATCOM’lar aracılığıyla değiştirir. Bunlar yaygın siber saldırıların gerçekleşmesi sonucu sızma işlemine karşı güvenlidir.
Bununla birlikte, havadaki bu sistemlerin ve ilgili yer istasyonlarının (örn: Heavy/light transport & communications a/c, AEWCs, Air-to-Air Refuellers, Navigational services, C2 centers, S&R elements, FIS & ATM services) bazıları, operasyonel zorunluluklar için dış kurumlarla bağlantı gerektirebilir ve uygun önlemler alınmadığı takdirde siber tehditlere karşı savunmasız hale gelebilir. Ayrıca hayati askeri havacılık varlıkları ve ilgili ekipman, görevden önce veya sonra veri indirme/yükleme, yazılım güncellemeleri, bakım, kripto-anahtar değişimi vb. için test cihazları, yer terminalleri, özel araçlar vb. gibi özel ekipmanlarla sık sık bağlantı gerektirir. Bunlar, sağlam siber güvenlik önlemleri/araçları dahil edilmemişse, ilgili sistemlerin tehlikeye girmesine yol açabilecek operasyonel varlıklar için en savunmasız noktalardır. Diğer operasyonel askeri havacılık varlıkları ve sistemleri yaygın siber tehditlere karşı nispeten güvenli kılınacak şekilde dış dünyadan izole edilmiştir.
Bugün tüm askeri havacılık varlıkları; yer tabanlı ve hava varlıkları, yaygın olarak kullanılan bilgisayarlar, IT/OT Sistemler ve özel yapım ürün yazılımı çalıştıran uzman donanımlar içeriyor. Havacılık varlıklarında kullanılan tüm elektronik cihazlar Aviyonik olarak da bilinir. BAE Systems firmasına göre aviyonik, havacılıkta (hava, uzay, uydular) kullanılmak üzere özel olarak tasarlanmış bir elektronik sistem ve ekipman kategorisidir. Tipik bir modern savaş uçağındaki aviyonikler; motor kontrolleri, uçuş kontrol sistemleri (birincil ve ikincil), navigasyon, iletişim, iniş takımı sistemi, uçuş kayıt cihazları, aydınlatma sistemleri, tehdit algılama sistemleri, yakıt sistemleri, EO/ IR sistemleri, meteoroloji radarı, performans izleme sistemleri, silah yönetim sistemleri, görev bilgisayarları (Entegre bilgi işlem sistemleri) vb. içerir. Modern askeri hava araçlarının çeşitli harekât şartlarında işletilebilmesi için aviyonik sistemlerin birbirleriyle güvenli ve verimli iletişim kurabilmesi gerekmektedir.
Havacılık elektroniği veya aviyonik, çoğunlukla bağımsız veya daha büyük bir sistemin parçası olarak çalışan gömülü sistemler kullanır. Askeri havacılıkta gömülü sistemler, temel olarak kullanıcı odaklı cihazlar veya C/C++ gibi gömülü programlamaya dayalı kendi yazılımı veya işletim sistemine sahip mini bilgisayarlardır. Bu bilgisayarlar, LRU (Line Replaceable Unit) olarak bilinirler. LRU’lar çok özel aletler kullanılmadan kısa sürede uçaktan kolayca çıkarılıp, arızalı olanlar bakıma girerken servis verilebilir bir LRU ile değiştirilir. Bu sayede performanstan ödün vermeden verimlilik sağlanır.
Bu aşamaya kadar yapılan anlatımdan şu çıkarımlar yapılabilir:
- Sivil havacılık sistemleri, operasyonları gerçekleştirmek için zorunlu olarak dış dünyayla ve dünyadaki diğer benzer sistemlerle bağlantı gerektirir.
- Sivil havacılıkta siber saldırılar çoğunlukla izole askeri sistemlere göre çok daha kolay bir hedef olan havayolu/yolcu verilerine veya uçuş operasyonlarına odaklanır.
- Dış dünya ile bağlantılı askeri sistem çeşitli nedenlerle düşman, suçlu veya teröristler tarafından kolayca hedef alınabilir.
- Askeri ve askeri havacılık sistemleri çoğunlukla dışarıdan izole edilmiş durumda ve aşılması zor olan hava aralığı prensibiyle çalışır.
- Siber saldırganların izole edilmiş askeri havacılık sistemlerine doğrudan erişimi yoktur (sistemlerin RF’de çalışması hariç).
- Yüksek değerli havacılık varlıkları için geliştirilen aviyonik sistemlerin tasarım ve geliştirme aşamasında önemli siber güvenlik önlemleri sağlanmaktadır. (F-35, Eurofighter, Rafael, F-16 Block 70/72 ve geliştirilmekte olan TAI MMU Kaan)
Aviyonikleri Etkileyen Güvenlik Açıkları
Yüksek değerli hassas havacılık platformları için tasarlanmış aviyoniklerin siber güvenlik açıklarını kategorize edecek olursak, üç ana kategoriye ayrılabilirler:
- Spesifikasyon Güvenlik Açıkları
Bu zafiyetler, aviyoniklerin kritik tasarım ve geliştirme aşamasında gözden kaçan veya dikkate alınmayan doğal zayıflıklardır. Tasarım spesifikasyonlarında, uluslararası askeri standartları karşılamada veya operasyonel protokollere uymak için özel gerekliliklerde eksiklikler olabilir. Örneğin, iletişim sistemleri ulusal şifreleme standartlarını veya dost ülkelerden gelen diğer operasyonel varlıklarla güvenli iletişim gerekliliğini içerecek şekilde tasarlanmadıysa, sistemler sadece operasyonel gereklilikleri karşılamayacaktır. Aynı zamanda güvenlik açıklarından taviz vermeye karşı da savunmasız olacaktır. Bu nedenle, modern askeri havacılık sistemleri için geliştirilen forma uygun arayüzlerin (LRU’lar), bu sistemlerin güvenliğini sağlamak için çok katı ulusal/uluslararası askeri standartları (hem kablolu hem de kablosuz iletişim için) karşılaması gerekir. Spesifikasyon güvenlik açıkları, yalnızca bu sistemlerin tasarım ve geliştirme aşamasında giderilebilir. Güvenlik açıklarının giderilmesi, siber güvenlik uzmanlarının sürekli önerilerini ve rehberliğini gerektirir.
- Uygulama Güvenlik Açıkları
Bu zafiyetler, havacılık sistemleri için geliştirilen yazılım, aygıt yazılımının kaynak kodu vb. kusurlardır. Sahadaki siber güvenlik uzmanlarından gerekli girdilerin doğru aşamada aranmaması, yazılımda/firmware’de doğal boşluklara yol açabilir. Bu boşluklardan yararlanılarak exploitation gerçekleştirilebilir. Böylece aviyoniklerin güvenliği tehlikeye atılabilir.
- Operasyonel Güvenlik Açıkları
Bu zafiyetler, son teknoloji aviyonik sistemlerin tasarımına/geliştirilmesine ve müteakip operasyonlarına dahil olan kurumların güvenlik kültürüne bağlıdır. Aviyoniklerin güvenli olmayan konfigürasyonları veya zayıf/yetersiz prosedürler/SOP’ler nedeniyle tespit edilemeyen herhangi bir kusur, siber güvenlik ihlallerine yol açarak bu sistemlerin bütünlüğünü tehlikeye atabilir. Bu da doğrudan görev başarısızlığına dönüşebilir. Bu güvenlik açıkları, sistemlerin kurulumunda ve işletilmesinde yer alan kişiler sağlam bir prosedüre dayalı en iyi uygulamaları takip ederse kolayca önlenebilir.
Hassas uçak sistemlerinin ve aviyoniklerin tasarımı ve geliştirilmesinde yer alan şirketlerin kapsamlı siber güvenlik risk değerlendirmesi yapması ve olası tüm güvenlik açıklarını gidermek için tüm teknik/operasyonel spektrumda saldırı yüzeyini net bir şekilde tanımlaması da çok önemlidir. Bu nedenle, bir sistemdeki varlıkların (donanım + yazılım) derinlemesine analizi/risk değerlendirmesi ve bu sistemlerin dış dünya ile konuşacağı olası tüm noktaların (bakım/operasyonel arayüzler vb.) değerlendirilmesi gerekmektedir. Hassas aviyonik sistemlerin tasarımı ve geliştirilmesinin bu kritik aşamasında, alanında uzmanlığı ve profesyonelliği ile bilinen siber güvenlik uzmanlarından yardım alınması en uygun yaklaşım olacaktır.
Çözüm
Hiçbir dijital kuruluşun kendisini sürekli gelişen siber güvenlik tehditlerine karşı güvende göremediği bir dünyada yaşıyoruz. Sivil havacılık sektörüne yönelik siber güvenlik tehditleri genel olarak sivil sektörde faaliyet gösteren siber güvenlik uzmanları/şirketleri tarafından iyi anlaşılır. Bu tehditler ele alınırken, askeri havacılık operasyonları ve beraberindeki siber güvenlik gereksinimleri, sivil siber güvenlik sektörlerinde genellikle daha az anlaşılır. Askeri havacılık sistemlerine ve ilgili kuruluşlara yönelik artan siber güvenlik tehditleri, en son siber güvenlik eğilimlerine ve önlemlerine dayalı en uygun önerileri ve çözümleri sunabilmek için sivil siber güvenlik uzmanlarının askeri havacılığı kapsamlı bir şekilde anlamasını gerektirmektedir. Askeri havacılık sistemleri ve aviyonikler, farklı ortamlarda (dış dünya ile bağlantılı veya bağlantısız) çalışırken en zorlu koşullarda görev başarısını sağlamak için özel olarak tasarlandığından, hem tasarım/geliştirme hem de devreye alma/operasyon aşamalarında sağlam bir siber güvenlik planı gerektirir. Hassas aviyonik sistemler için en iyi siber güvenlik önlemleri, gerekli teknik bilgilerin işlenmek üzere uzmanlara sunulması koşuluyla, yalnızca alanındaki en iyi siber güvenlik uzmanlarından düzenli öneriler, gözetim ve rehberlik yönünden destek alınarak sağlanmalıdır.
Yazar: Nasim Abbas