Denizcilik ve siber güvenlik… İlk bakışta alakasız gözüken iki alan. Ancak durum hiç de öyle değil! Uluslararası Denizcilik Örgütü (IMO), siber risklerin denizcilik üzerindeki potansiyel etkilerini ciddiye alarak, bu konuda farkındalığı artırmak ve sektörü korumak adına önemli bir rehber yayınladı. Ben bu 6 sayfalık rehberi okudum ve kolayca sindirebilmeniz için bu yazıda özetliyorum.

IMO Siber Güvenlik Rehberi: Denizciliği Tehdit Eden Siber Riskler

IMO’nun Farklılaştırma Komitesi (4-7 Nisan 2017) ve Deniz Güvenliği Komitesi (7-16 Haziran 2017) toplantılarında, siber risk tehditleri ve zafiyetleri konusundaki acil farkındalık ihtiyacı masaya yatırıldı. Bu toplantıların sonucunda, Denizcilik Siber Risk Yönetimi Rehberleri yayınlanması onaylandı.

Peki, bu rehber ne işe yarıyor?

Bu rehberler, denizciliği mevcut ve gelişmekte olan siber tehditlerden ve zafiyetlerden korumak amacıyla siber risk yönetimi konusunda yüzeysel bir yaklaşım ile tavsiyeler sunuyor. Ayrıca, etkili bir siber risk yönetimini destekleyen fonksiyonel unsurları da içeriyor. Yani sadece “dikkatli olun” demekle kalmıyor, aynı zamanda bu riskleri nasıl yöneteceğinize dair pratik bilgiler de veriyor.

Kime hitap ediyor?

IMO, üye devletlerini bu genelgenin içeriğini ilgili tüm paydaşlarının dikkatine sunmaya davet ediyor. Bu da demek oluyor ki, gemi sahiplerinden operatörlere, limanlardan denizcilik teknolojisi sağlayıcılarına kadar denizcilik sektöründeki herkesin bu rehberin farkında olması ve içeriğini uygulaması büyük önem taşıyor.

Siber Risk Yönetimi: Denizcilikte Yeni Bir Gereklilik

Denizcilik sektörü için risk yönetimi, güvenli ve emniyetli operasyonların temel taşıdır. Geleneksel olarak, risk yönetimi daha çok fiziksel alandaki operasyonlara odaklanmıştır. Ancak, günümüzde dijitalleşme, entegrasyon, otomasyon ve ağ tabanlı sistemlere olan bağımlılığın artmasıyla birlikte, denizcilik sektöründe siber risk yönetimine duyulan ihtiyaç da ciddi anlamda yükselmiştir.

Neden Siber Risk Yönetimi Bu Kadar Önemli?

Günümüz gemileri, navigasyon sistemlerinden motor kontrol ünitelerine kadar birçok alanda dijital teknolojilere emanet. Bu durum, siber saldırılara karşı yeni kapılar aralıyor ve operasyonel aksaklıklardan ciddi güvenlik ihlallerine kadar geniş bir yelpazede tehditler oluşturabiliyor. Bir siber saldırı, geminin rota dışına çıkmasına, sistemlerin kapanmasına veya hatta tehlikeli durumların ortaya çıkmasına neden olabilir. İşte tam da bu noktada siber risk yönetimi devreye giriyor.

Mevcut Süreçlere Entegre Edilebilir Tavsiyeler

Denizcilik sektörünün siber risklere karşı operasyonel olarak dirençli, güvenli ve emniyetli seyirler gerçekleştirmesini destekleme hedefiyle hazırlanan bu rehber, mevcut risk yönetimi süreçlerine dahil edilebilecek tavsiyeler sunuyor. Yani, sektördeki firmaların sıfırdan yeni bir sistem kurmasına gerek kalmadan, halihazırdaki güvenlik ve emniyet yönetim pratiklerine bu yeni siber risk yönetimi unsurlarını eklemesi mümkün. Bu rehberler, kuruluşun belirlediği güvenlik ve emniyet yönetimi uygulamalarını tamamlayıcı niteliktedir.

Sayfa 3

– Arka Plan
2.1.1 Siber teknolojiler, nakliye ve deniz ortamının korunması için kritik olan çok sayıda sistemin işletilmesi ve yönetimi için elzem hale gelmiştir. Bazı durumlarda, bu sistemler uluslararası standartlara ve Bayrak Yönetimi gerekliliklerine uymalıdır. Ancak, bu sistemlere erişim, bunları birbirine bağlama veya ağ oluşturma yoluyla oluşan güvenlik açıkları, ele alınması gereken siber risklere yol açabilir. Güvenlik açığı olan sistemler şunları içerebilir, ancak bunlarla sınırlı değildir:
1. Köprü sistemleri;
2. Kargo yönetim sistemleri;
3. Tahrik ve makine yönetimi ve güç kontrol sistemleri;
4. Erişim kontrol sistemleri;
5. Yolcu servis ve yönetim sistemleri;
6. Yolcuya bakan kamu ağları;
7. İdari ve mürettebat refah sistemleri; ve
8. İletişim sistemleri.

Bilgi Teknolojileri (BT) ve Operasyonel Teknolojiler (OT) Arasındaki Siber Güvenlik Farkı

Siber güvenlik söz konusu olduğunda, bilgi teknolojileri (BT) ve operasyonel teknolojiler (OT) sistemleri arasındaki ayrımı anlamak kritik öneme sahiptir. Her iki sistem de veri kullanır, ancak bu veriyi kullanma amaçları ve dolayısıyla güvenlik ihtiyaçları oldukça farklıdır.

Bilgi Teknolojileri (BT): Verinin Bilgi Olarak Kullanımı

Bilgi teknolojileri sistemleri, genellikle verinin bilgi olarak kullanılmasına odaklanır. E-postalarınız, müşteri veritabanlarınız, finansal kayıtlarınız veya web siteleriniz gibi sistemler BT kapsamına girer. Bu sistemlerde bir siber güvenlik ihlali, veri kaybına, gizliliğin ihlaline veya iş sürekliliğinin aksamasına yol açabilir. BT sistemlerinin korunmasında temel amaç, bilginin bütünlüğünü, gizliliğini ve erişilebilirliğini sağlamaktır.

Operasyonel Teknolojiler (OT): Verinin Fiziksel Süreçleri Kontrol Etmesi
Öte yandan, operasyonel teknolojiler sistemleri, veriyi fiziksel süreçleri kontrol etmek veya izlemek için kullanır. Endüstriyel kontrol sistemleri (ICS), SCADA sistemleri, bir geminin motor kontrol üniteleri, navigasyon sistemleri veya bir limanın yükleme-boşaltma ekipmanları OT sistemlerine örnektir. Bu sistemlerdeki bir siber saldırı, fiziksel hasara, ekipman arızalarına, operasyonel aksaklıklara ve hatta can kaybına neden olabilecek çok daha ciddi sonuçlar doğurabilir. OT güvenliğinde öncelik, fiziksel güvenliği ve operasyonel devamlılığı sağlamaktır.

Veri ve Bilgi Alışverişinin Korunması

Her iki sistem türünde de, hem bilginin hem de veri alışverişinin korunması hayati önem taşır. BT sistemleri arasındaki iletişimde hassas verilerin şifrelenmesi ve yetkisiz erişime karşı korunması gerekirken, OT sistemlerinde kontrol sinyallerinin bütünlüğü ve güvenilirliği operasyonel güvenlik için esastır. Bu sistemler arasındaki entegrasyonun artmasıyla birlikte, bir alandaki güvenlik zafiyeti diğerini de etkileyebilir. Bu nedenle, kapsamlı bir siber güvenlik stratejisi, hem BT hem de OT ortamlarının kendine özgü ihtiyaçlarını göz önünde bulundurarak entegre bir yaklaşım benimsemelidir.

Siber Tehditler ve Zafiyetler: Kapsamlı Bir Bakış

Siber dünyadaki tehditler, genellikle iki ana kategoriye ayrılabilir: kötü niyetli eylemler ve iyi niyetli eylemlerin istenmeyen sonuçları. Kötü niyetli eylemler, siber saldırganların bir sisteme sızmak veya zarar vermek amacıyla gerçekleştirdiği hackleme veya kötü amaçlı yazılım (malware) bulaştırma gibi faaliyetleri içerir. Diğer yandan, iyi niyetli eylemlerin istenmeyen sonuçları, yazılım bakımı veya kullanıcı izinlerinin yanlış yapılandırılması gibi masum görünen işlemlerden kaynaklanabilir. Her iki durumda da, bu eylemler genellikle sistemlerdeki zafiyetleri (örneğin, güncel olmayan yazılımlar veya etkisiz güvenlik duvarları gibi) ortaya çıkarır veya bunları istismar eder. Etkili bir siber risk yönetimi, bu tehditlerin her ikisini de göz önünde bulundurmalıdır.

Zafiyetler ve Etkileri

Zafiyetler, sistemlerin tasarımındaki, entegrasyonundaki ve/veya bakımındaki eksikliklerden kaynaklanabileceği gibi, siber disiplin eksikliklerinden de ortaya çıkabilir. Operasyonel teknoloji (OT) ve/veya bilgi teknolojisi (BT) sistemlerindeki zafiyetler doğrudan (örneğin, zayıf parolaların yetkisiz erişime yol açması) veya dolaylı olarak (örneğin, ağ segmentasyonunun olmaması) istismar edildiğinde, güvenliği ve bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini olumsuz etkileyebilir.

Dahası, OT ve/veya BT zafiyetleri istismar edildiğinde, özellikle köprü navigasyon veya ana itici güç sistemleri gibi kritik sistemler tehlikeye girdiğinde, emniyet üzerinde de ciddi sonuçlar ortaya çıkabilir. Bir siber saldırı sadece veri kaybına yol açmakla kalmayabilir, aynı zamanda fiziksel operasyonları durdurabilir veya tehlikeli durumlara neden olabilir.

Güvenliğin Kapsamı: BT Sistemlerindeki Zafiyetlerin Etkisi

Etkili bir siber risk yönetimi, bilgi teknolojileri sistemlerindeki zafiyetlerin ortaya çıkması veya istismar edilmesinden kaynaklanan emniyet ve güvenlik etkilerini de dikkate almalıdır. Bu durum, OT sistemlerine uygunsuz bağlantılardan veya operasyonel personel veya üçüncü tarafların prosedürel hatalarından (örneğin, bir bellek çubuğu gibi çıkarılabilir medyanın uygunsuz kullanımı) kaynaklanabilir. Bu tür zafiyetler, kritik OT sistemlerini tehlikeye atarak, genel operasyonel güvenliği ve emniyeti riske atabilir.

IMO Siber Güvenlik Rehberinin Uygulama Alanı

Bu rehberler, öncelikli olarak denizcilik sektöründeki tüm kuruluşlara hitap ediyor. Temel amacı, siber alanda güvenlik ve emniyet yönetimi pratiklerini teşvik etmek. Yani, sadece teknoloji şirketleri değil, gemi işleten firmalardan liman otoritelerine kadar tüm denizcilik ekosisteminin siber güvenliğe dikkat etmesi hedefleniyor.

Denizcilik sektöründeki her kuruluşun kendine özgü olduğunu biliyoruz. Bu yüzden, rehberler genel terimlerle kaleme alındı ve bu sayede geniş bir uygulama alanı bulabiliyor. Siber sistemleri kısıtlı olan gemiler için basit bir uygulama yeterli olabilirken, daha karmaşık siber sistemlere sahip gemilerin daha fazla özen göstermesi ve güvenilir endüstri veya devlet ortaklarından ek kaynaklar araması gerekebilir.

Siber Risk Yönetiminin Temel Unsurları

Siber risk yönetimi, siberle ilgili bir riski tanımlama, analiz etme, değerlendirme ve iletme sürecidir. Bu süreçte riskler; paydaşlara yönelik eylemlerin maliyet ve faydaları göz önünde bulundurularak kabul edilir, kaçınılır, transfer edilir veya kabul edilebilir bir düzeye indirilir. Amacımız, siber risklere karşı operasyonel olarak dirençli, güvenli ve emniyetli denizcilik faaliyetlerini desteklemektir.

Üst Yönetimden Sürekli Değerlendirmeye

Etkili bir siber risk yönetimi, üst yönetim seviyesinde başlamalıdır. Üst yönetim, siber risk farkındalığı kültürünü kuruluşun her seviyesine yaymalı ve sürekli işleyen, geri bildirim mekanizmalarıyla düzenli olarak değerlendirilen bütünsel ve esnek bir siber risk yönetimi rejimi sağlamalıdır.

Bu hedefe ulaşmanın kabul görmüş bir yolu, kuruluşun mevcut ve arzu edilen siber risk yönetim duruşlarını kapsamlı bir şekilde değerlendirip karşılaştırmaktır. Bu karşılaştırma, öncelikli bir siber risk yönetim planı aracılığıyla ele alınabilecek boşlukları ortaya çıkarabilir. Bu risk tabanlı yaklaşım, bir kuruluşun kaynaklarını en etkili şekilde kullanmasını sağlar.

Siber Risk Yönetiminin Fonksiyonel Elementleri

Bu rehberler, etkili siber risk yönetimini destekleyen fonksiyonel elementleri sunar. Bu elementler sıralı değildir; uygulamada eş zamanlı ve sürekli olmalı ve bir risk yönetim çerçevesine uygun şekilde dahil edilmelidir:

Tanımla: Siber risk yönetimi için personel rollerini ve sorumluluklarını belirleyin; aksadığında gemi operasyonları için risk oluşturan sistemleri, varlıkları, verileri ve yetenekleri tanımlayın.
Koru: Siber olaylara karşı koruma sağlamak ve denizcilik operasyonlarının sürekliliğini temin etmek için risk kontrol süreçleri ve önlemleri ile acil durum planlamasını uygulayın.
Tespit Et: Siber bir olayı zamanında tespit etmek için gerekli faaliyetleri geliştirin ve uygulayın.
Müdahale Et: Bir siber olay nedeniyle bozulan denizcilik operasyonları veya hizmetleri için gerekli sistemleri eski haline getirmek ve direnç sağlamak amacıyla faaliyetler ve planlar geliştirin ve uygulayın.
Kurtar: Siber bir olaydan etkilenen denizcilik operasyonları için gerekli siber sistemleri yedeklemek ve geri yüklemek için önlemleri belirleyin.

Bu işlevsel unsurlar, deniz operasyonlarını ve bilgi alışverişini etkileyen kritik sistemler genelinde etkili siber risk yönetiminin faaliyetlerini ve istenen sonuçlarını kapsar ve etkili geri bildirim mekanizmalarına sahip devam eden bir süreci oluşturur.

Etkili siber risk yönetimi, bir organizasyonun tüm seviyelerinde siber riskler hakkında uygun düzeyde farkındalık sağlamalıdır. Farkındalık ve hazırlık düzeyi, siber risk yönetim sistemindeki rollere ve sorumluluklara uygun olmalıdır.

Siber Risk Yönetimi Uygulamasında En İyi Pratikler

Burada açıklanan siber risk yönetimi yaklaşımı, siber riskleri daha iyi anlamak ve yönetmek için bir temel sağlıyor. Böylece, siber tehdit ve zafiyetlere karşı risk tabanlı bir yaklaşım benimsemenizi mümkün kılıyor. Siber risk yönetimi konusunda daha detaylı rehberlik için, bu kılavuzları kullananların üye devletlerin ve Bayrak İdarelerinin gerekliliklerine ek olarak, ilgili uluslararası ve endüstri standartlarına ve en iyi uygulamalarına da başvurmaları gerekiyor.

Ek Rehberlik ve Standartlar Neler Olabilir?

Ek rehberlik ve standartlar şunları içerebilir, ancak bunlarla sınırlı değildir:

BIMCO, CLIA, ICS, INTERCARGO, INTERTANKO, OCIMF ve IUMI tarafından hazırlanan ve desteklenen “Gemilerde Siber Güvenlik Rehberleri”.
Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından ortaklaşa yayımlanan ISO/IEC 27001 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri – Gereklilikler standardı.
Amerika Birleşik Devletleri Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) Kritik Altyapı Siber Güvenliğini İyileştirme Çerçevesi (NIST Çerçevesi).
Kullanılan tüm rehberlik ve standartların en güncel versiyonlarına atıfta bulunulması gerektiğini unutmayın.