Thread Starter
#0

Siber güvenlik uzmanları yıllarca "bir gün nükleer tesisler hacklenebilir" diye uyardı. O gün çoktan geldi ve geçti. Artık "ya olursa" senaryolarını değil, "nasıl oldu ve ne hasar verdi" gerçeklerini konuşuyoruz.
Aşağıdaki vaka analizleri, nükleer tesisleri hedef alan görünmez orduların (APT Grupları) bilim kurgu değil, somut bir tehdit olduğunu ve hukuki savunma stratejilerinin bu gerçeklere göre şekillenmesi gerektiğini kanıtlamaktadır.
2. Vaka Analizi 1: Stuxnet (Sıfır Noktası)
Hedef: Natanz Nükleer Tesisi, İran (2010)Saldırı Türü: Dünyanın İlk Dijital Silahı- Olayın Özeti: İnternete kapalı (Air-gapped) olduğu sanılan sisteme, enfekte olmuş bir USB bellek aracılığıyla sızıldı. Zararlı yazılım (Malware), Siemens PLC'leri hedef alarak santrifüjlerin dönme hızlarını fiziksel olarak parçalanacakları seviyeye çıkardı. Aynı anda, izleme ekranlarında operatörlere "her şey normal" verisi gösterildi (Replay Attack).
- Teknik Analiz: Saldırganlar 4 adet Zero-Day (Sıfır Gün) açığı kullandı. Bu, siber casusluk tarihinde eşi görülmemiş bir bütçe ve hazırlık demektir.
- Hukuki ve Eğitici Ders:
- Air-Gap Yalanı: Fiziksel izolasyon tek başına yeterli değildir. İnsan faktörü (içeriden tehdit veya ihmal) en kalın duvarı bile deler.
- Tedarik Zinciri Güvenliği: Donanımlar tesise girmeden önce sıkı bir karantina ve kod denetiminden geçmelidir.
- Air-Gap Yalanı: Fiziksel izolasyon tek başına yeterli değildir. İnsan faktörü (içeriden tehdit veya ihmal) en kalın duvarı bile deler.
3. Vaka Analizi 2: Davis-Besse Nükleer Santrali
Hedef: Ohio, ABD (2003)Saldırı Türü: Kasıtsız Bulaşma / SQL Slammer Solucanı- Olayın Özeti: Bir yüklenici firma çalışanı, santralin kurumsal ağına güvenli olmayan bir bağlantı üzerinden (VPN yerine direkt hat) bağlandı. "Slammer" solucanı bu hattan girerek santralin Güvenlik Parametre Görüntüleme Sistemini (SPDS) devre dışı bıraktı.
- Teknik Analiz: Hedefli bir saldırı değildi, ancak ağ segmentasyonunun (IT ve OT ayrımı) yapılmamış olması kritik izleme sistemlerini çökertti.
- Hukuki ve Eğitici Ders:
- Ağ Segmentasyonu Zorunluluğu: IAEA standartlarına göre, idari ağlar (muhasebe, e-posta) ile operasyonel ağlar (reaktör kontrolü) arasında Veri Diyotu (Data Diode) kullanılmalıdır.
- 3. Taraf Risk Yönetimi: Taşeron firmaların güvenlik standartları, ana tesisin standartlarıyla aynı yasal bağlayıcılıkta olmalıdır.
- Ağ Segmentasyonu Zorunluluğu: IAEA standartlarına göre, idari ağlar (muhasebe, e-posta) ile operasyonel ağlar (reaktör kontrolü) arasında Veri Diyotu (Data Diode) kullanılmalıdır.
4. Vaka Analizi 3: Kudankulam Nükleer Santrali
Hedef: Tamil Nadu, Hindistan (2019)Saldırı Türü: Lazarus Grubu (Dtrack Malware)- Olayın Özeti: Kuzey Kore bağlantılı Lazarus grubu, nükleer santralin idari ağına sızdı. Amaç muhtemelen sabotajdan ziyade casusluk ve reaktör tasarım bilgilerini çalmaktı. Yetkililer önce inkar etti, ancak sonra ihlali kabul etmek zorunda kaldı.
- Teknik Analiz: Saldırganlar, sistemde uzun süre fark edilmeden kalmayı başardı (APT). Bu durum, tesisin "Siber Tehdit İstihbaratı" yeteneğinin zayıf olduğunu gösterdi.
- Hukuki ve Eğitici Ders:
- Şeffaflık ve Bildirim Yükümlülüğü: Nükleer bir sızıntı olmasa bile, veri sızıntısının örtbas edilmesi uluslararası güveni sarsar ve yasal yaptırımlara yol açar.
- Sürekli İzleme (Continuous Monitoring): Sadece girişi engellemek yetmez; içerideki şüpheli hareketleri (Lateral Movement) izleyen yapay zeka destekli sistemler şarttır.
- Şeffaflık ve Bildirim Yükümlülüğü: Nükleer bir sızıntı olmasa bile, veri sızıntısının örtbas edilmesi uluslararası güveni sarsar ve yasal yaptırımlara yol açar.
5. Yasal Çerçeve ve Sonuç: "Siber İhmal, Suçtur"
Yukarıdaki olaylar göstermektedir ki; nükleer tesis yöneticileri için siber güvenlik bir "IT sorunu" değil, bir "Hukuki Bekam" (Legal Survival) sorunudur.Nükleer Tesis Yöneticileri İçin Yasal Kontrol Listesi:
- Kanıtlanabilir Güvenlik: Bir olay anında, "elimizden geleni yaptık" demek yetmez. Uluslararası standartlara (NIST SP 800-82, ISO 27001) uygunluğun belgelerle kanıtlanması gerekir.
- Kriz Yönetim Planı: Bir siber saldırı altında reaktörün nasıl güvenli moda (SCRAM) alınacağı sadece mühendislerin değil, hukuk departmanının da dahil olduğu tatbikatlarla denenmelidir.
KONU KAYNAKLARI :
📚 Kaynaklar ve Referanslar (Doğrulanmış Haber ve Raporlar)
Makalede analiz edilen vaka çalışmalarına dair resmi raporlar ve uluslararası haber kaynakları aşağıdadır:1. Vaka: Stuxnet (İran - Natanz)
- Haber Kaynağı: Wired Magazine - Kim Zetter
- Başlık: "An Unprecedented Look at Stuxnet" (Stuxnet'e Eşi Görülmemiş Bir Bakış)
- Önemi: Saldırının nasıl planlandığını en detaylı anlatan araştırmacı gazetecilik dosyasıdır.
- 🔗 Link: https://www.wired.com/2014/11/countdown-to-zero-da…
- Resmi Rapor: U.S. Nuclear Regulatory Commission (NRC)
- Belge: Information Notice 2003-14
- Önemi: ABD hükümetinin, solucanın güvenlik sistemlerini nasıl devre dışı bıraktığını kabul ettiği resmi devlet belgesidir.
- 🔗 Link: https://www.nrc.gov/reading-rm/doc-collections/gen-comm/info-notices/2003/in200314.html
- Haber Kaynağı: TechCrunch
- Başlık: "India confirms malware attack on nuclear power plant" (Hindistan nükleer santrale yapılan malware saldırısını doğruladı)
- Önemi: Yetkililerin inkar sürecinden sonra saldırıyı nasıl kabul ettiğini belgeleyen önemli bir kaynaktır.
- 🔗 Link: https://techcrunch.com/2019/10/30/india-nuclear-plant-malware/
[IMG width="249px" size="1050x1050"]https://i.hizliresim.com/a6d55tm.png[/IMG]