Uçak hacklemek

Havacılık sektöründe kullanılan noktadan noktaya birbirine bağlı sistemlerin yerini bütün sistemlerin birbirine bağlı olduğu bir “bulut” yapısına geçmesi ile havacılık sistemlerinin güvenlik seviyesi değişmektedir.

24 Nisan 2015

GAO (U.S. Government Accountability Office – ABD Hükümeti Hesap Verilebilirlik Birimi) geçtiğimiz hafta yayınladığı bir raporda uçakların siber tehditlerle karşı karşıya olabileceğini açıkça belirtti.

5

Yayınlanan rapora göre Federal Havacılık Kurulu (FAA – Federal Aviation Administration) en az 3 temel konuda siber tehditlerle karşı karşıya bulunmaktadır. Bu 3 kritik alan:

Hava trafik kontrol sistemlerinin güvenliği (ATC – air-traffic control)

Uçakların uçuş sistemlerinin güvenliği

Çeşitli FAA birimleri arasında siber güvenlik sorumluluğunun dağıtılması ve görevlerin belirlenmesi

Rapora verilen “FAA yeni nesil sistemlere geçiş yaparken siber güvenlik konusunu daha kapsamlı biçimde ele almalı.” başlığı raporun temel bulgularını özetler nitelikte. “Yeni nesil” olarak adlandırılan sistemlere geçiş aslında 2004 yılında başlayan ve uçakların, uçuş denetimi ve yönetiminin ve hava trafik kontrol birimleri arasındaki iletişimin IP (Internet Protokolü) temelli bir yapıya geçirilmesi sürecidir. Bu sayede aşağıdaki kazanımların elde edilmesi planlanmaktadır:

Rotalar ve uçuş kontrolü üzerindeki iş yükünün azaltılması

Hava durumu gibi bilgilerin tek bir kaynaktan alınıp dağıtılması

Olası hava durumu tahmini ile 4 boyutlu rota belirleme imkanı

Dijital iletişim ile uçak konumların daha yakından takip edilebilmesi

Bu geçiş şimdiye kadar nispeten soyutlanmış olan ve bu sayede siber saldırılardan uzak kalabilen pek çok havacılık sisteminin internete bağlanması, dolayısıyla da siber saldırılara açık hale gelmesine neden olabileceği düşünülmektedir

Havacılık sektöründe kullanılan noktadan noktaya birbirine bağlı sistemlerin yerini bütün sistemlerin birbirine bağlı olduğu bir “bulut” yapısına geçmesi ile havacılık sistemlerinin güvenlik seviyesi değişmektedir. Şimdiye kadar havacılık sektörünün kritik sistemlerinde yeri olmayan “kurumsal bilgi güvenliği” yaklaşımlarının hızla havacılık sektörüne uygulanması gerekmektedir. Rapora görüşleriyle katkıda bulunan 15 bilgi güvenliği uzmanından 12 tanesi havacılık sektörünün bütüncül bir güvenlik yaklaşımını benimsemesinin güvenlik seviyesini artıracağını söylemiş. Yapılacak tehdit modelleme çalışması kapsamında siber güvenlik tehditlerinin ortaya konulmasını sağlayacağı ve daha güvenli bir yapıya kavuşulmasını sağlayacak bir yol haritası oluşturacaktır.

Sistemlerin internet altyapısına taşınması ile gerçek zamanlı izleme ihtiyacı da ortaya çıkacaktır. Bu kapsamda ağ ve sistemlerin gerçek zamanlı olarak izlenmesi, olası saldırganların taramalarının tespit edilmesi, kullanıcı davranışlarının izlenmesi ve siber olaylara müdahale gibi destek süreçlerinin oluşturulmasına ihtiyaç olacaktır.

Raporda ele alınan ikinci kritik nokta, uçak ve uçuş sistemlerinin güvenliğinin sağlanmasıdır. İnternet altyapısına geçiş yapmadan önce kendi içerisinde kapalı sistemler olarak çalışan uçuş kontrol sistemlerinin yeni yapıyla dışarıdan erişilebilir hale gelebilir. Şu anda uçuş sistemleri ile uçak içi eğlence sistemlerinin bulunduğu ağlar, kısaca uçakta önünüzde bulunan ekranla pilotun önündeki ekranlar arasında, güvenlik duvarları (firewall) bulunmaktadır. Uçuş sırasında kablosuz internet hizmeti verilen uçuşlarda bu hizmetin aslında uçuş sistemleri ile dış dünya arasında bir bağlantı kurduğunun hatırlanması güvenlik konusunda gerekli tedbirlerin alınmasını sağlayacaktır. Uçaklarda kullanılan sistemlerin tescillenmesi ve “uçakta kullanılabilir” raporlarının verilmesi çok özel şartların yerine getirilmesine bağlıdır. Bu kriterlerin, özellikle güvenlik duvarları gibi, siber güvenlik bileşenlerine uygun hâle getirilmesi gerekecektir.

FAA birimleri arasındaki işbirliğini geliştirmek ve birimlerin görev, yetki ve sorumluluklarını belirlemek için düzenli olarak siber saldırı tatbikatları düzenlemektedir. Bu tatbikatların 2016-2020 yılları arası için geliştirilen ve birimler arası işbirliğinin de geliştirilmesini amaçlayan siber güvenlik stratejisinde yeri vardır.

Uçak ve uçuş sistemlerinin “ayrılarak” güvenliğinin sağlandığı günlerin sonuna geldiğimiz görünüyor. Havacılık sektörünün bu konuda hızlıca bir eylem planı ve yol haritası belirleyerek risklerini ortaya koyması ve gerekli tedbirleri alması gerekmektedir.

Bu raporu okurken aklıma yine geçtiğimiz hafta uçaktan attığı bir tweet yüzünden gözaltına alınan ve United Airlines tarafından “uçamaz” listesine eklenen Bilgi Güvenliği Uzmanı Chris Roberts geldi. Uçağın sistemlerinden birini “kurcalayabileceğini” ima eden bir tweet atan Roberts, uçak yere iner inmez havaalanında FBI tarafından gözaltına alındı. İddia göre Bilgi Güvenliği Uzmanı dizüstü bilgisayarını koltuğunun altında bulunan bir girişe bağlayarak uçağın sistemlerine erişebilmişti. Olaydan sonra yaptığı bir açıklamada ise “teorik olarak, 35,000 feette uçarken, uçağın motorlarını durdurup, hiç bir uyarı ışığının yanmamasını sağlayabiliriz.” dedi.

Siber güvenliğin düşünmemeyi tercih edecek kadar korkutucu yepyeni bir boyutu olarak karşımıza çıkacak “uçak hacklemek” olaylarının önümüzdeki günlerde daha geniş yankı uyandıracak örneklerle karşımıza çıkabilme ihtimali var gibi görünüyor.

 

trtradyo1
Bizi Takip Edin

Bu habere yorum yap