Kritik tesis güvenliğine 21. Yüzyıl yaklaşımları
“Kritik tesis” ile ne kastediliyor?
Kritik tesis ifadesi bir mekânın hem stratejik hem de fiziksel önemine işaret eden bir adlandırma. Bir diğer deyişle kritik tesis ifadesini, bir ülkenin askeri donanımını, biyokimyasal veri toplama ve biyokimyasal savunma faaliyetlerini, nükleer santralleri ve büyük bir ecza şirketinin ilaç formüllerini bulundurduğu, yüksek toksisiteye sahip yani zehirli maddeleri barındırıp işlediği veya serbest pazarda satışı yasak ya da sınırlı maddeleri ürettiği tüm laboratuvar, kompleks, fabrika ve kurumlar için kullanılabilir.
Kritik tesisler ülkeler ve şirketlerin güvenliği ve kurulu düzenin sürdürülebilirliği açısından kilit öneme sahiptirler. Örneğim, bir ülkenin yerli hava savunma ve taarruz sistemlerine ait tasarımlar ve planların dışarıya sızması, söz konusu devletin dış politikada stratejik avantajını kaybetmesi anlamına gelir. Benzer şekilde ticaret sırlarının, formüllerin, daha da vahimi malzemelerin dışarıya çıkarılması büyük şirketlerin pazar avantajlarını kaybetmelerine ve ülke ekonomisinin ciddi boyutta zarar görmesine neden olabilir. Bunların da ötesinde, nükleer santraller ve Fort Detrick benzeri biyosavunma laboratuvarlarında önemli alanlara yetkisiz ve eğitimsiz personelin girmesi, çevre faciaları, ölümcül hastalıkların yayılması gibi ciddi sonuçlar doğurabilir.
Özetle, hem toplumsal, ekonomik ve politik akisleri hem de içeriklerinin önemi kritik merkezlerin çok katmanlı ve çok adımlı sistemlerle korunması zorunlu kılıyor. Fakat iş merkezleri ve oto galerilerde dahi kimlik bırakarak giriş yapılırken, personel kartları ve ziyaretçi defterleri ile ya da basit kamera sistemleri ile bu merkezleri korumak mümkün değil. Her şeyden önce bu tarz yerlerde kimlik bilgilerinin yalnızca alınması yeterli olmadığından bir teyit süreci gerekir.
Bütüncül teknoloji, bütüncül ilerleme
Kalkınma ve ilerleme, yalnızca teknoloji veya teknik ilerlemeyle değil, bu ilerlemeyi çevreleyen faktörlerle de ilgilidir. Dolayısıyla bir teknolojinin üretildiği ve korunduğu ortamın da söz konusu teknolojiyle uyum göstermesi gerekir.
Örneğin, Sovyetlerin kapitalist dünya devleri ile yarışmak adına ürettiği askeri donanım, kaliteli olmasına rağmen rakip üretimlere kıyasla ağır ve manevraya elverişsiz olduğundan sürekli üretim yapılmasına karşın Sovyetlerin askeri donanım olarak geri kalmasına neden olmuş ve birlik ülkelerinde sefalete yol açacak kadar kaynak israfına sebep olmuştur Yine Sovyetlerde yüksek teknoloji ve bu teknolojiyi sürekli kontrol altında tutacak sistemler paralel gelişim göstermediğinden Çernobil gibi bir yıkım yaşanmıştır.
Bu da gösteriyor ki, kritik üretim, korunum ve enerji tesislerinin güvenliğini sağlamada kullanılacak sistemler muhakkak yüksek teknolojinin getirdiği sorumluluk ve hassas denge prensibi ile örtüşmeli ve muhakkak çok katmanlı, yani bütüncül olmalı. Gelin, bu sistemleri oluşturan donanım ve yazılım unsurlarına yakından bakalım.
Adım I: Dışarıda
Bilindiği üzere, kritik tesisler teknik donanım ve yüksek süpervizyon ihtiyacından dolayı kampüs, kompleks gibi geniş alanlara kurulurlar. Bu da, dışarıda, kapıda ve içeride farklı önlemlerin alınmasını gerektirir.
Güvenliğin kampüs girişinden itibaren sağlanmasının esas sebebi araçlı girişlerdir. Taşıt kontrolü, aracı kullananın yetkili personel veya önceden bildirilmiş ziyaretçi olduğundan emin olmak içindir. Burada yapılacak kontrol iki adımlı olup, hem aracın hem de sürücünün kampüse giriş izni olduğunun saptanmasını sağlar. Araç kontrolü taşıt tanıma ve plaka tanıma ve X-Ray/termal kamera taraması şeklinde üç aşamadan oluşur. Yapay zekâ ile eğitilen obje tanıma yazılımları önce aracı tanır. Bu aşamada karakter tanıma teknolojileri (OCR) ile yalnızca plaka tanıması yapmak, elinde plaka ile giriş yapmaya çalışan kimseleri engellemeyecek ve güvenlik açığı yaratacaktır. Aracın tanınmasının ardından plaka algılanarak izleme listesine alınmış şüpheli plakaların bulunduğu verisetinde ve geçiş yetkisi bulunan araçların plakalarının saklandığı verisetinde sorgulanır. Geçiş yetkisi bulunan araçların kampüs kapısından geçişine izin verilir. Araçlar geçiş sırasında X-Ray ve termal kameralar ile taranarak şüphe çekecek ve içeri girmesi sakıncalı maddeler tespit edilerek alınır ve gerekli incelemeler ve tahliller yapılır.
Adım II: Kapıda
Araç girişinden veya kampüs kapısından geçmek binalara giriş için yeterli değildir. Bina girişlerinde bulunan iris ve yüz tanıma cihazları ile kimlik doğrulaması yapılır. Kişinin anlık yüz ve iris görüntüsü daha önce yerel veri setlerine kaydedilen yetkili personele ait iris ve yüzlerle kıyaslanır ve eşleşme sağlanırsa geçiş izni verilir. Ayrıca izleme listelerindeki şüphelilere ait biyometrik verinin saklandığı veri setlerinde de kontrol sorgusu yapılarak verilen geçiş izninin sağlaması yapılır. Bu iki adımlı biyometrik kimlik doğrulaması, yaya girişlerinde güvenliğin sağlanması ve yetkili araç marka yetkili kişilerin eşleştirilmesi için oldukça önemlidir. Bu sayede, yetkili araçlar kullanılarak yapılan yetkisiz girişler önlenebilir.
Adım III: İçeride
Bina içlerinde güvenliğin sağlanması kritik tesis güvenliğinin en hassas kısmıdır. Zira bu adımda içerideki hassas malzeme, belge, bilgi ve donanımı korumak daha zordur. Binaya giriş yetkisi tüm alanlara ulaşma izni sağladığında, yönetim, teknik ve idari personel, uzmanlıkları olmayan alanlara ait bilgilere ve yine kullanma yetisine sahip olmadıkları donanıma ulaşabilir. Bu da, nükleer santrallerde çevre felaketi, laboratuvarlarda yasadışı ticaret ve bulaş, askeri donanım ve mühimmat üreten kurumlarda ise terör eylemleri ve casusluk faaliyetlerine karşı kırılganlık riski oluşturur. Bu yüzden bu tarz tesislerde bina için korumanın ilk adımı seçici yahut hiyerarşik yetkilendirme diye adlandırabileceğimiz bir uygulamadır.
Seçici ya da hiyerarşik yetkilendirme, bina içindeki bazı alanlara erişim izninin yalnızca ilgili uzmanlarla veya tesisin üst rütbeli yetkililerine verilmesi demektir. Bu uygulamada erişilebilecek alan sayısı ve bu alanların önemi, rütbe veya görev tanımına göre belirlenir. Örneğin askeri araçlara ait proje çizimleri ve üretim bantlarına mühendisler, ilgili teknik personel, yönetici ve denetleyici otorite ulaşabiliyorken muhasebe departmanı, idari personel ve benzeri kadroların bu alanlara erişimi yoktur. Benzer şekilde mühendisler, kurumun finansal verisine ulaşamazlar. Bu uygulama hem yüzlerce, hatta binlerce hayata mal olabilecek ciddi riskleri minimize etmenin yanı sıra, kurum içi istihbaratı dağıtarak olası bir sızıntıda tüm hassas bilgilerin ele geçmesini önler ve görünmez bir koruma kalkanı işlevi görür.
Seçici yetkilendirme uygulamaları birkaç teknolojiye dayanır. Bunların ilki, yetkisi kısıtlandırılmış personel kartlarıdır. Bu kartlar, ilgili personelin birimindeki kart okuma donanımı ile uyumlu fakat diğer birimlerde kullanılan donanım ile uyumsuzdur. Bu sayede söz konusu kartlar yalnızca ilgili personelin yetkili bulunduğu alanları açar. Bununla birlikte bu kartların bir başkası tarafından ele geçmesi bu alanlara yetkisiz girişleri kolaylaştırdığından, bir tür kimlik doğrulamasının kullanılması daha güvenli bir usuldur. Ofis ve departman kapılarına yerleştirilen yüz ve iris tarayıcılar giriş-çıkış kontrolünde kullanılabilir. Bu usulde önce her alana giriş yetkisi bulunan personel tespit edilerek her bir cihaz için bu yetkili kişilerin biyometrik verisini içeren bir yerel veri seti hazırlanır. Cihaza okutulan her bir görüntü, bu veri setindekiler ile karşılaştırılır ve ancak eşleşme sağlanırsa geçişe izin verilir.
Bu usul, personel kartları ile de desteklenerek güvenlik artırılabilir. Buna göre, asansörlerde kullanılan algoritmalar, kartla çalışmaya imkân verecek şekilde yazılır/düzenlenir. Personel kartlarındaki çiplere, söz konusu personelin kat bazlı erişim yetkisi gömülür. Asansöre binen personel, kartı okutarak asansörü aktif hale getirir. Çipteki bilginin okunması sayesinde asansör sadece personelin erişim yetkisi bulunan katlara çıkar. Buna ek veya alternatif olarak, her kat girişinde biyometrik tanıma ve doğrulama donanımlarının entegre edildiği kapılar veya turnikeler bulundurulabilir. Bu sayede, kapı ve turnikeler ancak yetkili veri setinde eşleşme bulunduğunda tetiklenir ve yetkisiz giriş teşebbüsleri tamamen bloke edilir. Yetkili personelin belli bir alana erişim süresi kısıtlanabilir ve biyometrik cihazlardan alınan veriyle giriş ve çıkış saatleri içeride geçirilen süre kaydedilerek şüpheli durumlara erken müdahale imkânı oluşturulur.
Kritik tesislerde iç mekân güvenliği sağlanırken güvenlik teknolojilerinin öncülerinden ve olmazsa olmazlarından olan görüntü izleme sistemleri, daha yaygın kullanılan adları ile güvenlik kameraları muhakkak olmalı. Fakat böylesine önemli ve geniş alanlarda bu kamera sistemlerinin kalitesi ve fonksiyonlarının doğru seçilmesi hayati öneme sahip. Zira bu noktaya kadar anlatılan teknolojiler kişileri mercek altına almak ve izlemek üzerine. Bu teknolojiler ise mekâna bütünlüklü bir şekilde bakabilmeyi ve tüm kompleksi kuşbakışı izlemeyi mümkün kılıyor. Önceden bu vazife, vardiyalı çalışan gözcüler, güvenlik personeli ve askerlerce yapılırdı. Fakat bildiğimiz üzere insan yorulan, dikkati dağılan ve ihtiyaçları olan bir varlık. Halbuki en ufak kıpırtı ve izin kaçırılmaması için, kişilere gösterilen dikkatin yanı sıra, mekâna gösterilen dikkat de en üst düzeyde ve kesintisiz olmalı. Bir diğer deyişle, gözcü personelin yerini alan bu sistemler 7/24 çalışabilmeliler. Buna ek olarak, kritik tesisler oldukça geniş alanlara yayıldığından bu sistemlerin mekân izleme ve ekran aktarma kapasitesi yüksek olmalı. Yani bir ekranda çok sayıda mekâna ait anlık görüntüyü bulabilmelisiniz. İlaveten bu sistemler, ani ışık değişimleri ve ani hareketlere duyarlı olmalı. Işık ve hareket sensörleri veya termal kameralar ile desteklenerek olağandışı her hamle, obje ve çevresel değişikliği algılayabilmeliler. Fakat burada üzerinde durulması gereken bir detay var. Her ne kadar izleme adımı kameralarla otomatize edilmiş olsa da, kameraların aldığı görüntüyü takip eden ve söz konusu ekranların arkasında oturan hala bir insan. İnsan faktörünün süreçten tamamen çıkarılması, insan yargısının ve muhakemesinin makinelerle kıyaslanamayacak kapsamı ve gücü. Fakat ekran başındaki personelin onlarca ekrandaki her bir ayrıntıyı an be an takibi oldukça zor. Bu yüzden, bu sistemler, kamera yerleştirilmiş her bir mekândan eş zamanlı kayıt alacak ve aynı anda bu kayıtları arşivleyecek donanım ve hafızaya sahip olmalı. Bu sayede alınan görüntüler istendiğinde geriye dönük oynatılarak şüphe yaratabilecek durumlar tespit ve analiz edilebilir. Bu sistemlerin ses de kaydedebiliyor olması, izlenen görüntünün doğru bağlamlaştırılması, haksız itham ve meslektaşlar arası güvensizlik gibi problemlerin oluşmaması adına işlevsel olabilir.
Bu sistemler, mekâna dair bütünlüklü ve ayrıntılı veri sundukları ve yüzlerce saat kaydı sakladıkları için tesise dair en zengin ve anlamlı veri dağarcığını barındırıyorlar. Bu da, tıpkı fiziksel alanlara erişimde olduğu gibi, bu sistemlerin sunduğu bilginin de hiyerarşik bir yapı içerisinde dağıtılması ve bilgi ve istihbarat dağılımını zorunlu kılıyor. Daha açık bir ifadeyle, her güvenlik personeli, her mekâna ait görüntüye erişememeli. Bunu sağlamak için, görüntülerin kaydedildiği ve yansıtıldığı bilgisayarlarda farklı kullanıcı hesapları yaratılarak bu hesaplar yalnızca belli alanlara ait görüntülere erişebilecek şekilde yetkilendirilir. Her personel hesabına yalnızca kendisinin bildiği bir kullanıcı adı ve şifre kombinasyonu ile, eğer istenirse, bilgisayar kamerasına entegre yüz tanıma yazılımı sayesinde yüzünü okutup kimliğinizi doğrulayarak giriş yapar. Özellikle iki adımlı sistemin kullanımı, kurum içi dengeli ve güvenli bilgi dağılımını maksimum düzeye çıkararak aldatma ve ihlal teşebbüslerini minimuma indirir. Bu donanımı, drone’lar ve bina dışı kameralar sayesinde yalnızca iç mekanları değil, tüm kampüsü izlemek için kullanmanın mümkün olması, kör nokta kalmaması açısından da önemli.
Bu tesislerde maksimum güvenliğin sağlanması, kullanılan teknolojilerin şu üç soruyu tatmin edici şekilde cevaplamasına bağlı; “kim”, “nerede” ve “nasıl?”. Bu noktaya kadar anlatılan yazılım ve donanım ağı, ilk iki soruyu cevaplamak için yeterli. Fakat bu soruların en mühimi olan üçüncü soruyu cevaplayacak bir komponentten henüz bahsetmedik. Daha genişletilmiş bir ifadeyle “Nasıl?” sorusu, bir kişinin, tesis içerisindeki belli bir alanda nasıl davrandığını sormaktadır. Çünkü, bu noktaya kadar anlatılan sistemler bize doğru kişilerin doğru yerlerde olduğunun ve mekânsal ihlaller olmadığının garantisini verebilir. Ama söz konusu kişilerin bu mekanlarda doğru şekilde davrandıklarını ve etik ihlallerin olmadığını garantilemez. Bu açığı kapatmak ise, son teknoloji ürünü olan ve henüz sektörde kullanımı alışkanlık haline gelmemiş birkaç teknoloji ile mümkün.Üç boyutlu kameraların kullanıldığı iskelet izleme ve obje tanıma sistemleri, yapay zeka temelli yazılımların da desteğiyle tesis içerisinde bulundurulması ve kullanılması sakıncalı olan objeleri tespit edebilir ve güvenlik birimlerini alarmlar vasıtasıyla uyarabilir. Eylem tanıma yazılımları ise, hem iskelet analizi sistem ve donanımları ile, hem de görüntülü izleme sistemleri ile birlikte kullanılabilir. Her türlü görüntü alan, görüntüyü rekonstrükte eden ve analiz eden donanımla kullanılabilir oluşu, eylem tanıma yazılımlarının tüm tesisi kapsayacak şekilde kullanılmasına imkân verir. Bu sistemlerde yapay zekâ eğitilerek yürüme, koşma, içme, yeme, kesme, spor yapma gibi onlarca fiziksel aktivitenin sistem tarafından tanınması sağlanır. Daha sonra vurma, zorlama (kapı vs.) sarsma açma (önemli belge, plan ve kültürlerin saklandığı dolaplar için) belli eylemler, tesis ihtiyacına göre, sakıncalı olarak işaretlenerek sistem eğitilir. Bu sayede, bu eylemlerin yapılması halinde sistem yetkili güvenlik personeli veya birimini alarma geçirerek anında müdahale sağlar. Farklı alanlarda kullanılacak yazılımlar ayrı ayrı eğitilerek her alanda farklı bir eylem grubunun sakıncalı olarak işaretlenmesi sağlanabilir. Son olarak, görüntülü izleme sistemlerine entegre edilecek gerçek zamanlı yüz tanıma yazılımı, sistemi tamamlayarak doğrulama ve takibin giriş ve çıkışlarla sınırlı kalmamasına, sürekli ve kolay anlamlandırılabilir güvenlik verisi akışına imkân verir.
2018 verilerine göre Dünyanın 31 ülkesine yayılmış toplam dört yüz elli nükleer santral var. Büyük kimya laboratuvarlarının, biyosilah analiz ve biyosavunma merkezlerinin, askeri donanım ve teknoloji üreten kurumların tam sayısını bilmek ise mümkün değil. Fakat dikkatli bir tahminle toplam sayının on binin üzerinde olduğu söylenebilir. Gündelik hayatta zihnimizi meşgul etmeyen ve daima sinematografik bir gizeme sahip bu mekânların güvenliği, uluslararası diplomatik ve siyasi ilişkileri, ülkelerin ekonomileri ve kaynak döngülerini ve kamu sağlığını dengede tutuyor. Bu merkezlerde yaşanabilecek ihmal veya kötü niyet kaynaklı bir aksilik, istihbarat sızıntısı, teknik aksaklık veya yetkisiz kullanım milyonların hayatına mal olabilir. Bu sebeple bu tesislerde çalışanların ve tesislerin işleyişinin sürekli gözetim altında tutulması şart. Bunu ise kartlar ve kameralardan ibaret tekil ve anaakım sistemlerle yapabilmek, suçun da karmaşıklaştığı ve teknolojiden hatırı sayılır ölçüde yardım aldığı günümüz dünyasında mümkün değil. Öte yandan teknoloji ve teknoloji güvenliğinin paralel işlememesi felakete davetiye çıkaran bir durum. Bu yüzden kritik tesis güvenliğinde bütüncül, esnek, son teknoloji ürünü ve kolay ölçeklendirilebilir sistemlerin kullanımı şart.