Havacılık Sektörüne Yönelik Siber Tehditlere Genel Bir Bakış
“Nesnelerin/Şeylerin İnterneti”, bazıları için çok yeni bir kavram ancak birbiriyle haberleşen nesneler şimdiden günlük hayatın birçok alanında kullanılmakta. Yol üzerindeki sensörler, kameralar, ev eşyaları, saatler, hatta üzerimizdeki giysiler, birbirleriyle iletişim kuruyor, veri alışverişi yapıyor. Bu sayede hayat, daha kolay ve konforlu. Mesela sabah 07.00’de telefonun alarmı çalmasıyla birlikte, telefondan gönderilen bir komutla mutfakta çayınız demlenmeye başlıyor. Ancak bazı sorunlar mevcut. Bu teknoloji, “yaşam tarzınıza” yönelik elektronik müdahaleye de imkan veriyor olabilir. Sizden pek hoşlanmayan komşunuz, ev eşyalarınızın işleyişini, bir siber saldırı ile sabote edebilir, acil yetişmeniz gereken bir toplantı için yoldayken trafik ışıklarına müdahale edebilir, banka hesabınızı boşaltabilir.
Siber saldırılar sonucu bilindik, güvenilir firmaların bile büyük maddi zararlara ve itibar kaybına uğradığını öğreniyoruz. Yakın zamanda ciddi siber güvenlik bütçeleri olan bankalardan bazıları, siber suçlular tarafından milyonlarca dolar zarara uğratıldı.
Siber suçlular, yüzünden kurumların, firmaların güvenlik hassasiyetinin arttığı bir süreçteyiz. Bu nedenle siber güvenlik konusu, birçok sektörün olduğu gibi havacılık sektörünün de önemli gündem maddelerinden. Günümüz hava araçları artık birer donanım ve yazılım harikası. Düşünün.. en modern savaş uçaklarından F-35 için yaklaşık 30 milyon satır kod kullanılmış. Bu durum, kokpit içerisindeki donanımları, daha küçük, daha görsel, daha fonksiyonel hala getirirken, kokpite yeni donanımlar eklenebilmesi için de alan açıyor. Ancak her yazılım projesinde olduğu gibi, bu savaş makinelerinin yazılımlarında da bazı hatalı satırlar mevcut. Uzmanlar bunları birer “time bomb” olarak nitelendiriyor, yani birileri tarafından her an istismar edilebilir.
Wright Kardeşler açısından sorun olmayan siber saldırılar, modern havacılık sektörü açısından sürekli takip edilmesi ve yönetilmesi gereken önemli bir risk unsuru. Teknolojideki ilerlemeye bağlı olarak yer ve uçuş operasyonlarının son otuz yılda ağırlıklı olarak bilgisayar sistemlerine bağımlı hale geldiğini görüyoruz. Bilişim uzmanları açısından bir yolcu uçağı, karmaşık aerodinamik ilkelere göre hareket eden taşıma aracından öte, kurumsal veri tabanına giriş kapısı niteliğinde.
Havacılık sektöründe, operasyonel zorunlulukları göz önünde bulundurmak kaydıyla, öncelik uçuş emniyetindedir. Her geçen gün en yeni ve fonksiyonel teknolojiler, sistemlere entegre edilerek, hatalar en aza indirilmekte, uçuş emniyeti ve operasyonel verimlilik en üst düzeye çıkarılmaya çalışılmaktadır. Bu teknolojik gelişmeler sayesinde, uçuş sistemlerinin karşılıklı bağımlı ve etkileşim içerisinde olması, operasyonel etkinliği, uçuş emniyetini ve müşteri memnuniyetini maksimize etmektedir. Ancak yeni teknolojilerin, istismar edilebilecek bir çok alan ortaya çıkardığı da açık.
Bu yeniliklerden birisi EFB (electronic flight bag), yani kokpit ekibinin, uçuş yönetimi görevlerini daha etkin ve ekonomik şekilde yerine getirmesine imkân veren bir elektronik sistem. Pilotlar tarafından yaygın bir şekilde kullanılan bu sistem sayesinde, hava durumu, NOTAM gibi bilgiler alınıp, yer ekibine bazı bilgi ve dokümanlar gönderilebilmektedir.
Bir diğer teknoloji ise, havayolları arasındaki rekabetin unsurlarından olan uçak içi eğlence ve internet bağlantı sistemleri olan IFEC’lerdir. Oyun, müzik, video ve internet erişim imkanı sağlayan bu sistem, havayolu şirketlerinin yolcularına “benzersiz bir seyahat deneyimi yaşatma” hedeflerinin en önemli araçlarından biri haline geldi.
Bu sistemler, hali hazırda kokpitlerdeki bilgisayar sistemlerinden ayrılmış durumda. Bir çok otorite tarafından da bu sistemlerin uçuş güvenliğini tehlikeye atmadığı ifade edilmekte. Ancak bu sistemlerin siber saldırılar için önemli fırsatlar sunduğu, ortaya çıkan tehditlerin bütünsel olarak, havacılık endüstrisinin tüm paydaşlarının yakın işbirliğiyle yönetilmesi gerektiği dile getirilmekte.
Yukarıda bahsedilen “masum sistemlerin” yanında uçuş emniyeti için hayati öneme sahip bir diğer yenilik ise NextGen (Next Generation Air Transportation System) olarak gösterilmektedir. NextGen, havacılık sektöründeki network etkinliğini software temelli ve internete bağlı GPS sayesinde artırmayı hedeflemekte. Böylece hava trafik kontrol sistemleri modernize edilerek “daha etkin ve esnek hale” getirilmiş olacak.
NextGen’in havacılık sektörünü; uçuş bilgilerinin hızlı ve hassas şekilde güncellendiği, uçuş rötarlarının önemli oranda azaltıldığı ve esnek planlamalara izin veren daha güvenilir; hatta daha az yakıt tüketimi sayesinde doğaya daha saygılı bir sektör haline getireceği belirtilmekte. NextGen ile yer bazlı hava kontrol sisteminden, daha fazla iletişim imkânı sunan uydu temelli hava kontrol yönetimine geçilmekte.
Böylece uçuş ekibi ile yer görevlileri ve hava trafik sistemleri arasındaki iletişim artacak. Her ne kadar bu teknolojik devrim, finansal ve operasyonel performansta önemli iyileştirme sağlayacak olsa da, bu durumu istismar etmek isteyenler için önemli fırsatlar yaratacağı konuşulmakta.
Günümüz teknolojisi ile, güvenli bir ortamda bulunan cüretkâr bir “hava korsanının”, uzak mesafelerden uçuş sistemlerine ciddi bir tehdit oluşturabilmesi mümkün. 1990'lı yıllara kadar bu tür saldırılar için gerekli olan ekipmanın, özel askeri birimlerde olabileceği öngörülürdü ve bu varsayıma göre hareket edilirdi. Ancak 90’lı yılların sonunda üretilen ve bugün çok ucuz maliyetlerle herkesin alabileceği yazılım bazlı telsizler (Software-defined radio — SDR) sayesinde bilgisayarınızın işlemci gücüne göre, çok geniş bant aralığında telsiz erişimine sahip olabilirsiniz, sivil havacılıkta kullanılan yayın frekans aralığı dâhil.
Ayrıca herkesin erişimi olan havacılıkla ilgili sitelerden, havacılık sisteminin işleyişini de anlamak oldukça kolay. Hatta “flightradar24” gibi ücretsiz uygulamalarla, hangi meydana hangi uçağın hangi saatte indiği, uçağın o anki pozisyonu, sürati, irtifası gibi bilgileri elde edebilirsiniz.
Bu bilgiler ne işe yarayabilir? Bu bilgiler sayesinde, kötü niyetli uzmanlar; uçakların yaklaşma kanalına karıştırma uygulayarak, özellikle 10000 ft altında (uçuşun kritik safhası kabul edilir) kalkış veya iniş yaklaşması yapan trafiklerin telsiz temasını kaybetmelerine, bu nedenle pisti pas geçmelerine, bir kısmının mevcut yakıtları sebebiyle yedek meydana “divert” etmelerine sebep olabilirler.
Daha kötü senaryolar da kurmak mümkün. Örnek mi? VHF (Very High Frequency) kanaldan yapılan konuşmalara dahil olarak trafiklere hatalı talimat vermek yoluyla yakın geçişlere (near miss) ve hatta özellikle kapalı (IMC) durumlarda pilotların geç reaksiyon göstermesi durumunda çarpışmalara (midair collision) sebep olunabilir.
Bu kötümser senaryolara yönelik, havacılık sektöründe sıkı kontrol tedbirleri alınıyor ve bu kontrol tedbirler her geçen gün daha da geliştiriliyor. Artan siber tehditlere yönelik yaratıcı çözüm yolları geliştiriliyor. Bu çalışmalara 2015 yılında United Airlines’ın siber güvenliğini güçlendirmek amacıyla başlattığı “bug bounty” (böcek avlama) programı örnek gösterilebilir. Bu programda, katılımcılar United Airlines’a ait sistemlerde siber güvenlik açığı tespit etmeleri halinde ödüllendirilmektedirler.
PWC’nin 2015 yılında küresel çapta CEO’lar arasında yaptığı ankete göre havacılık sektöründeki yöneticilerin yüzde 85’i siber güvenlik alanındaki riskleri önemli bir tehdit olarak görüyor. Diğer sektörlerde bu oranın yüzde 61 oranında olduğu bildirilmiş. Bu çalışmaya göre diğer sektörlere nazaran, havacılık sektörünün, müşteri ve şirket bilgilerinin çalınması konusunda daha hassas olduğu düşünülebilir. Çok teknik ve karmaşık bir sektörde siber güvenlik alanındaki riskler konusunda yönetim kademelerindeki farkındalığın yüksek olması sevindirici bir durum.
Havacılık sektörünün teknolojik ilerlemeyle ortaya çıkan veya değişen siber risklerini iyi yönetebilmesi gerek. Sonuçta bir bilgisayar kullanıcısı siber saldırıya uğrayan bilgisayarının fişini çekerek durumu bir yere kadar kurtarma imkanına sahip. Ancak havada uçak kokpitinde bu tür bir saldırı için daha kompleks çözümlere ihtiyaç var. Havacılık sektörü açısından siber risklerin etkin şekilde yönetilebilmesi için;
- Değişen risk faktörlerinin iyi analiz edilip, tanımlanması,
- Bu risklerin yönetilmesi için uygun bir risk kültürünün oluşturulması,
- Araştırma ve geliştirme faaliyetlerinin paydaşlarla yakın işbirliği içerisinde yürütülmesi,
- Olaylara müdahale prosedürlerinin geliştirilmesi,
- Havacılık sistemleri için müşterek siber standartların geliştirilmesine ihtiyaç olduğu,
uzmanlar tarafından dile getirilmekte.
