Siber Güvenlik Perspektifinden Havacılık Endüstrisi
Havacılık sektörü, ülkemizde ve dünyada hızlı bir gelişme ve büyüme gösteren en önemli sektörlerden biridir. Birçok alt sektörü de olan havacılık sektörü işlevini kısmen veya tamamen yerine getiremediğinde çevre, toplumsal düzen ve kamu hizmetlerinin yürütülmesi üzerinde çeşitli olumsuz sonuçlar ortaya çıkar. O nedenle havacılık sektörü ağ, varlık, sistem ve yapıları kritik altyapı sektörleri arasında yer almaktadır.
Havacılık sektörünün kendi yapısına özgü, çok sayıda optimizasyon ve karar problemi söz konusudur ve bunlar tartışma konusudur. Literatürde; havacılık endüstrisinin yolcu sayısının ve trafiğinin tahmini, yedek parça talep tahmini, kapı atama, filo atama, uçuş çizelgeleme ve gelir yönetimi gibi problemlerinin çözümüne yönelik çok sayıda çalışma yer almaktadır. Ayrıca, havacılık endüstrisindeki yeni bir havaalanı seçimi, havayolu rekabetinin değerlendirilmesi, havaalanı hizmet kalitesinin değerlendirilmesi, stratejik ortak seçimi, tedarikçi seçimi, dış kaynak sağlayıcı seçimi ve verimlilik analizi gibi karar verme problemleri bulunmaktadır[1].
Yukarıda sayılan problemlerin çözümünde kullanılan yazılımlar ve havayolu şirketlerinin kullandığı üçüncü parti uygulamalar doğrudan veya dolaylı olarak siber saldırıların hedefinde olan uygulamalardır. Sivil havacılığın yasadışı müdahalelere karşı korunması için işgücü, zaman ve maddi kaynak faktörlerinin birlikte ele alındığı bir senaryo düşünülmesi gerekir. Bu sektörde sadece güvenlik yatırımı veya sadece nitelikli işgücü yatırımıyla sürdürülebilir güvenlikten söz edilemez.
Havacılık endüstrisinin bağlayıcı sektörlerine baktığımızda, bu kritik altyapının
- Savunma ve Milli Güvenlik,
- Ulaşım,
- Haberleşme,
- Bankacılık,
- Enerji Sistemleri
ile doğrudan bağlantılı olduğu görülür. O nedenle bu sektörlerde meydana gelebilecek bir bilgi güvenliği ihlali veya bir siber saldırıda havacılık sektörünün de doğrudan etkilenebileceği açıktır. Havacılık sektöründe güvenlik değerlendirmesi birkaç ana başlık altında yapılmaktadır. Uçuş güvenliği, sivil havacılık güvenliği, siber güvenlik ve siber güvenlik yönetişimi bizi doğrudan ilgilendiren ana başlıklardır.
Risk Bazlı Yönetim Yaklaşımı
Risklerle ilgili uygun önlemlerin belirlenebilmesi için tehdit seviyesi sürekli gözden geçirilmeli ve güncel tutulmalıdır. Ulusal ve bölgesel gelişmeler göz önünde bulundurularak risk değerlendirilmesi yapılmalıdır Havacılık sektörüne yönelik belirli bir tehdit oluştuğunda, önceden belirlenmiş güvenlik önlemleri uygulanmalıdır. Bu noktada “Siber Güvenlik” ekosistemi, havacılık sektörü için kritik seviye önem ifade etmektedir.
Havayolu Araçları Güvenliği
Havayolu araçları genelinde siber güvenlik; bir havayolu aracının sistemlerini doğrudan ya da dolaylı olarak tehlikeye sokmak amacıyla, siber araçlarla yapılan kasıtlı kötü niyetli eylemlerin önlenmesi ve/veya tepki gösterilmesi olarak tanımlanabilir. Airbus’ın siber güvenlik için kurduğu “Airbus Cybersecurity” isimli şirketin bünyesinde 10’dan fazla ülkeden 650’nin üzerinde güvenlik uzmanı bulunması havacılık sektöründe siber güvenliğin çok uluslu kurum ve kuruluşlar tarafından önemsendiğini göstermektedir. Bir Airbus A380 seyrüseferdeyken yaklaşık bin kadar uygulama çalışır haldedir. Bir keresinde Chris Roberts isimli bir güvenlik uzmanının uçak eğlence sistemi üzerinden motorlardan birini tırmanma moduna geçirdiği bilinmektedir. Bu kişinin FBI’ya verdiği dokümanlarda Boeing 737,757 ve Airbus A-320 uçaklarına 15 ila 20 kez sızdığı görülmektedir[2].
Bir Airbus A380 uçağında yer alan elektronik haberleşme sisteminin bir kısmı
Chris Roberts’in konuyla ilgili Twitter paylaşımı
Motor indikasyonu ve Kabin Alarm Sistemini (EICAS) devreye alarak oksijen maskelerini açmanın mümkün olduğunu iddia eden Roberts, FBI tarafından Syracuse’de yaklaşık 4 saat süren bir sorguya maruz kalmıştır.
Temel Güvenlik Prensipleri
Bir havayolu aracıyla ilgili dikkat edilmesi gereken birçok faktör bulunmaktadır. Temel güvenlik prensipleri; uçuş kontrolü, kabin (operasyonel) ve kabin (yolcu) olmak üzere üç ana başlık altında toplanır[3]:
a.Uçuş Kontrolü: Uçağı uçurmak için gerekli kritik emniyet sistemlerini ifade eder. Bozulma ya da devre dışı kalma güvenliği doğrudan etkiler. Yüksek Etki / Düşük Olasılık
b. Kabin (Operasyonel): Uçağı çalıştırmak ve korumak için kullanılan sistemlerini ifade eder. Bozulma ya da devre dışı kalma kritik operasyonları ve bakımı doğrudan etkiler. Orta Etki / Orta Olasılık
c. Kabin (Yolcu): Yolcuların doğrudan etkileşime girdiği sistemler/ara yüzleri ifade eder. Bozulma veya devre dışı kalma en az etkiye sahiptir, fakat güvenilmeyen cihazlar ile belirtilen sistemler ortak kullanım alanı olarak kabul edilmektedir. Düşük etki / Yüksek olasılık
Sivil Havacılık ve Siber Güvenlik
Siber saldırılar, sivil havacılık endüstrisi için giderek büyüyen bir tehdit oluşturmaktadır. Havacılık kurumları rutin operasyonlarının dışında kritik operasyonlar için de giderek artan ölçüde elektronik sistemlere bel bağlamaktadır. Elektronik sistemlerin saldırılardan korunması (yasa dışı müdahale) ve güvenlik seviyesinin 7/24 sürdürülebilir olması zorunluluk haline gelmiştir.
Uluslararası Sivil Havacılık Organizasyonu (ICAO), 2016 yılında ICAO Meclisinin 39uncu oturumunda siber güvenlik için sivil havacılığın kritik altyapısını, bilgi ve iletişim teknolojisi sistemlerini ve verileri koruma kapsamında koordineli bir yaklaşım çağrısında bulunmuştur. Bu amaçla, alınan A39-19 nolu kararda; sivil havacılıkta siber güvenlik için devletler ve diğer paydaşlar tarafından sivil havacılığa karşı çapraz, yatay ve işbirlikçi bir yaklaşımla siber tehditlere karşı alınan önlemleri ortaya koyma zorunluluğu açıklanmıştır.
Havacılık sektörünün ana ve ara bağlayıcı sektörleri arasında yer alan sektörlere yönelik saldırıların doğrudan ya da dolaylı olarak havacılık endüstrisini de etkilediğinden yazının başında bahsetmiştik. Level One Robotics isimli yedek parça üreticisi ve çizim şirketinin uğradığı saldırı sonucu içinde Volkswagen, Tesla, Boeing gibi büyük üreticilerin de olduğu şirketlere yönelik çizimler, sözleşmeler ve personel bilgisinde sızıntı olmuştur[4]. Yıl içinde birçok havayolu şirketinin siber saldırıya maruz kaldığı ve bu saldırılar sonucunda maddi boyutu yüksek olan sızıntıların meydana geldiği basına yansımıştır. Hatta British Airways şirketi bir ay arayla iki kez saldırıya uğramış ve bu saldırı neticesinde yaklaşık 570.000 kişinin kredi kartı verisinde sızıntı olmuştur.