Kritik tesis ve altyapı güvenliği
Sağlık hizmeti veren organizasyonlarda çalışanların, hastaların, ziyaretçilerin ve ekipmanların güvende tutulması için; X-Ray cihazları, video yönetim sistemleri ve kameraların kullanımı, kişi ve envanter takip sistemleri ve kapılar için geçiş kontrol sistemleri gibi farklı güvenlik önlemleri uygulanmaktadır.
Ülkelerin kritik tesis ve alt yapılarının savaşan taraflar veya teröristler tarafından hedef alınması tarih boyunca çok sık kullanılan bir taktik, kimi zaman da savaşı sonlandırıcı stratejik bir hamle olmuştur. Bu tarz saldırıların amacı, savaş veya gerginlikte karşı tarafın savaşma azim ve iradesini kırmak, terörizmde ise devletin sosyal ve ekonomik işleyişini istikrarsızlaştırmaktır.
Kritik tesis ve altyapıların, savaşın doğal bir hedefi olarak muhtelif tedbirlerle korunması planlansa da birçoğu barış zamanında olası saldırılara karşı neredeyse savunmasızdır.
Bu nedenle, söz konusu hedeflerin özellikle terörist saldırılara karşı korunması önemli bir endişe kaynağı olmaya devam etmektedir. Nitekim, günümüzde savaş, savaş benzeri harekât, iç savaş ve terörizm gibi istikrarsızlıkların sürdüğü coğrafyalarda, yeni silah teknolojileri ve taktikleriyle yapılan bu tür saldırıların yeni örnekleri sıklıkla görülmektedir.
2022 yılı içerisinde, Ukrayna’nın Başkenti Kiev’deki kritik tesislere Rusya Federasyonu tarafından gerçekleştirilen füze ve dron saldırıları, Yemen’deki isyancı Houti militanlarının kendi ülkelerinin ve Suudi Arabistan’ın güneyindeki Petrol Terminallerine füze ve dron saldırıları, RF’nun Ukrayna’nın enerji, internet ve bankacılık sistemine siber saldırıları ve çeşitli siber suç örgütlerinin muhtelif ülkelerin, kurumların veya şirketlerin finansal ve endüstriyel sistemlerine siber saldırıları kritik tesislerin güvenliğine yönelik endişeleri kuvvetlendiren örneklerden bazılarıdır.
Bu ve benzeri saldırılar gerçekleştirilirken genellikle tesis ve altyapıların hassas/zayıf noktalarının hedef alındığı görülmektedir. Hedef alınacak tesis/altyapının o ülke için ne kadar kritik veya hayati olduğunu ise eylemin yaratacağı etkinin büyüklüğü, sürekliliği, oluşacak zararın telafi edilebilirliği, alternatif çözümlerin bulunup bulunmaması ve dolaylı etkileri gibi faktörler ortaya koymaktadır. Öyleyse kritik alt yapı ve tesislerin belirlenmesi ve sınıflandırılması her ülke için farklı olabilecektir.
“Birleşmiş Milletler; kritik altyapı ve tesisleri, su gibi yaşamsal ürünlerin tedariklerinin sağlanması, enerji, ulaşım hizmetleri olarak değerlendirmektedir.”
Kritik altyapı ve tesis tanımı:
Birleşmiş Milletler; kritik altyapı ve tesisleri, su gibi yaşamsal ürünlerin tedariklerinin sağlanması, enerji, ulaşım hizmetleri olarak değerlendirmektedir. Avrupa Birliği’nin tanımlamasına göre ise kritik altyapı ve tesisler, barındırdığı bilginin özelliği ve ulaşılabilirliği bozulduğunda, can ve mal kaybına, büyük ve telafi edilemez ekonomik zarara, kişisel ve ulusal güvenlik zafiyetine ve kamu düzeninin bozulmasına sebep olabilecek alt sistemleri içeren kompleks ve büyük sistemlerdir1.
Daha kapsamlı bir tanımda ise;
“fiziksel veya sanal varlıkları, sistemleri ve ağların, mevcut hassasiyetlerinin istismar edilmesi veya yıkılması halinde, ulusal güvenlik, ekonomik, ulusal halk sağlığı sorunlarının veya bunların herhangi bir kombinasyonunun oluşabileceği, ülke için hayati öneme sahip olduğu düşünülen altyapı ve tesisler kritik olarak sınıflandırılır” şeklinde ifade edilmektedir.
Avrupa Birliği tarafından 2004 yılında yapılan tanımlama temel alınarak, kritik tesis/altyapıya dahil olabilecek sektörler 9 başlık altında kategorize edilmiştir2.
Bu sektörler şunlardır:
- Enerji kurulumları ve ağları
- Bilgi ve İletişim teknolojileri ile bağlantılı yapılar
- Finansman hizmetleri
- Sağlık hizmetleri ve ilişkili yapılar
- Gıdanın kendisi, yapıları ve ağları
- Suyla ilgili altyapılar
- Ulaşım araçları ve ağları
- Nükleer, kimyasal, biyolojik maddeler gibi tehlike arz eden maddelerin üretimi, saklanması ve nakliyesi
- Hükümete ait değerli varlıklar ve işlevler3.
Listeden de anlaşılabileceği üzere kritik altyapı/tesis kavramı sadece enerji ağlarını değil, birçok ürün ve hizmetin sunulmasını ve tedarik edilmesini sağlayan alt yapıları da bünyesinde barındırmaktadır.
Bu çerçevede kritik altyapı/tesis kavramı şunları da içerebilir:
- Elektrik üretimi, depolanması ve dağıtımında ihtiyaç duyulan enerji (petrol, gaz, rüzgar türbinleri, güneş çiftlikleri, nükleer reaktörler, vs.) ve atık yönetimi.
- Karayolu, demiryolu, hava (uçaklar, havaalanları ve hava trafiği), deniz ve iç su yolu taşımacılığında mümkün olan tüm ulaşım biçimlerini içerecek şekilde ulaşım. (Bu ağların ülke sınırlarının ötesine uzandığı göz önüne alındığında, bu bölüm aynı zamanda sınır güvenliği ve gözetimi açısından da önemlidir.)
- İnternet ve bilgi sistemleri (sistem ve fiziksel ağın korunmasının yanı sıra mobil ve sabit telekomünikasyon ile uydular ve navigasyon için de gereklidir).
- Televizyon ve radyo yayını yapan iletişim sektörü.
- Barajları içeren su ve atık su sistemleri (kanalizasyon çiftlikleri) ve arıtılmış su temininin izlenmesi ve sürdürülmesi.
- İnsan tüketimine uygun gıdaların üretilmesi ve ulaştırılmasına yönelik gıda ve tarım lojistik zinciri.
- Tehlikeli maddelerin üretimi ve depolanmasında dikkat ve yönetim gerektiren kimya endüstrileri.
- Genel Sağlık ve halk sağlığı, acil servisler.
- Bankacılık ve ödeme hizmetlerine ilişkin finansal hizmetler.
- Kritik üretim.
- Alışveriş, iş, eğlence veya konaklama için büyük insan kalabalıklarını çeken ticari tesisler.
- Bir ülkenin ulusal kimliğini veya dini değerlerini temsil eden önemli olan ulusal anıtlar.
- Devlet tesisleri.
- Askeri silah sistemlerinin, alt sistemlerinin ve bileşenlerinin veya parçalarının araştırılması, geliştirilmesi, tasarımı, üretimi, teslimi ve bakımını sağlayan savunma sektörü.
Varlıkların ve sistemlerin kritikliğinin, önem ve önceliğinin belirlenmesi
Yarattığı katma değer dikkate alındığında, her tesis, sahibi, işletmecisi ve/veya çalışanları açısından kritik olarak sınıflandırılabilir. Tesisin işleyişini olumsuz yönde etkileyebilecek her türlü fiziki veya siber saldırı ya da doğal afet, sebep olabileceği çevresel, toplumsal, ekonomik ve siyasal etkilerinin en aza indirgenmesi maksadıyla, güvenlik ve emniyetine yönelik planlamanın yapılması ve tedbirlerin geliştirilmesi önemlidir.
Bu nedenle, ilk adım kritik tesis ve altyapı kavramının tanımlanmasıdır. Bazı ülkelerin tanımlarında kritiklik, ilgili sektörün temel toplumsal işlevlerinin performansıyla ifade edilirken, diğerlerinde hizmet kesintisi veya yıkımın etkileri ile vurgulanır. İkinci aşama kritik sektörlerin önceliklendirilmesidir. Bu aşamada tartışmasız birçok ülke ve sektör tarafından enerji tesis ve alt yapıları genellikle öncelikli olarak değerlendirilmektedir. Üçüncü adım ise önceden tanımlanmış kritik sektörlerin alt grubunda yer alan spesifik tesis ve altyapı listesinin oluşturulmasıdır.
Kritik tesis ve altyapı varlıklarının korunmasını değerlendirmek ve önceliklendirmek için dört farklı bileşene ait sorunun cevaplandırılması gerekir;
1. Kritiklik: Varlık ne kadar önemlidir?
2. Güvenlik açığı: Varlık gözetim veya saldırıya ne kadar duyarlıdır?
3. Yeniden yapılanma yeteneği: Verilen zarardan kurtulmak ne kadar zor olacak?
4. Tehdit: Bu varlığa saldırı olasılığı nedir?
Bu soruların içinde tarafımızdan kontrol edilemeyecek tek faktör tehdittir. Bu nedenle mevcut tehdit senaryoları içerisinde olasılığı ve yaratacağı etkisi en yüksek (en tehlikeli) olan potansiyel tehdit senaryonun tanımlanması ve tedbirlerin en az bu tehdidi karşılayacak şekilde geliştirilmesi gerecektir. Günümüzde, kritik tesis ve alt yapılara yönelik olasılığı en yüksek ve tehlikeli tehdit senaryosunun, asimetrik yapısı, sürpriz tesiri ve barış koşullarında bile maruz kalınma riski göz önüne alındığında, terörizm olduğu görülmektedir.
Kritik tesis ve alt yapılara yönelik terör tehdidi
Kritik tesis ve altyapılara yönelik tehditler genel olarak fiziksel ve siber müdahalelerle gerçekleştirilmektedir. Bunlar günümüzde bir kritik tesis ve altyapının;
- Tamamen veya kısmen hasar görmesini, çökmesini veya yok edilmesini sağlayabilecek uzun/ orta menzilli silahlarla (Karadan Havaya Füzeler (SAM) veya İnsan Taşınabilir Hava Savunma Sistemleri (MANPADS), roketler, bombalar, El Yapımı Patlayıcılar IED’ler, İnsansız Hava Araçları (İHA/Dronlar) ve hatta basit kundaklama araçları gibi),
- Fiziksel saldırının farklı bir türü olarak, kimyasal, biyolojik, radyolojik veya nükleer malzemelerin salınması şeklinde,
- Ayrıca, sistem ve süreçlerinin kasıtlı olarak değiştirilmesini veya manipüle edilmesini hedefleyen (operasyonel sistemleri kapatma, boru sistemlerindeki kapakları açma/kapama, iletişim sinyallerinin kesilmesi, sistem ve cihazlarda arıza sinyalleri veya alarmlar üretme gibi) elektronik (siber) saldırı yöntemleriyle yapılabilir4.
Siber tehditler doğası gereği fiziksel olanlardan farklı olsa da nihai sonuç aynı olabilir.
Kritik tesis ve altyapılara yönelik koruma stratejileri
Kritik tesis ve altyapının türüne bağlı olarak, proaktif önlemler, özel karşı önlemler geliştirirken ve uygularken aşağıdaki temel stratejileri dikkate almalıdır.
Caydırmak
Bu proaktif önlemler, saldırganların hedefe olan ilgisini, özellikle de bir saldırıdan önce tespit edilme riskini artırarak veya teröristlerin bir saldırı başlatmaya karar vermeleri durumunda potansiyel başarıyı azaltacak önlemleri uygulayarak hedefi sertleştirmek suretiyle azaltır.
Tespit Etmek
Tehdit, risk ve güvenlik açığı değerlendirmeleri yoluyla potansiyel bir tehdidin tanımlanması, potansiyel suçlunun tespiti veya saldırı emarelerinin değerlendirilmesi açısından önemli proaktif önlemlerdir.
Ayrıca, tehdit ve risklerin tespiti için tesis güvenlik personeli ile güvenlik/kolluk güçleri/kurumları (özellikle istihbarat kurumları) arasındaki iş birliği son derece önemlidir.
Kritik tesis ve altyapılar açısından, şüpheli davranan kişilerin ve saldırı emarelerinin tespit ve değerlendirilmesinde istihbarata ilave olarak en önemli teknolojik ekipmanlar AI teknolojilerini içeren CCTV sistemleri, İnsansız Hava Araçları (İHA), Çevre İzinsiz Giriş Algılama Sistemleri (PIDS), ayrıca İHA/Dronlarla yapılacak saldırılara karşı kullanılan dron radarları, statik/mobil dedektörler, radyo frekansı (RF) sensörleri, termal kamera ve sensörleri kullanılabilir.
Geciktirmek
Erken tespit, uygun karşı önlemlerin uygulanmasına izin verecek olsa da saldırganların amaçlanan hedeflerine ulaşmalarını ve hedefe erişmelerini geciktirmek için ek önlemler alınmalıdır. Fiziksel engeller en yaygın olanıdır (çitler, bariyerler, kapılar, vb.). Bu önlemlerin mümkün olduğunca fazla zaman kazandıracak şekilde konumlandırılması gerekmektedir. Savunma ve Müdahale Yetenekleri Korunacak tesisin niteliğine, tehdit ve risk değerlendirmelerinin sonucuna bağlı olarak, yüksek değerli tesislerin saldırılara dayanabilmesi gerekir. Bu nedenle her tesisin acil müdahale planlarının çeşitli tehdit ve riskleri senaryolarını karşılayacak şekilde hazırlanmış olması ve tesis personelinin bu plana uygun şekilde görevlendirmesi önemlidir. Tesisin kendini savunma yeteneği sınırlı olsa bile, takviye kuvvetler gelene kadar yeterli olmalıdır. Ayrıca kolluk güçleriyle iletişim planlaması ve uygulamalarının belirli periyotlarla denenmesi, kurum içi eğitim ve talimler ile kurumlar arası tatbikatların aksatılmadan yapılması gereklidir.
Hedef Değerini Azaltma
Uygulanacak strateji ve tedbirlerin tümü, kayıpların sayısını azaltmak ve tesisin tahrip edilmesini önlemek veya sınırlamak da dahil olmak üzere bir saldırı girişiminin etkisini en aza indirecektir. Saldırganların perspektifinden bakıldığında bu durum, belirli bir hedefe saldırmanın değerini azaltacaktır.
Sonuç olarak;
Kritik tesis ve altyapılar, toplumsal hayatın devamlılığı, sosyal düzenin korunması, ulusal güvenliğin sağlanması ve refahın gelecek kuşaklara aktarılması için hayati değerlerdir. Bu nedenle kritik tesis ve altyapıların güvenliği ve devamlılığının sağlanması için bütünsel bir yaklaşım zorunludur. Günümüzde terörizm ve siber saldırılara karşı hassasiyeti bilinen kritik altyapı ve tesislerin sürdürülebilir güvenlik stratejileri, taktik ve teknikleri ile korunması ve bunun için gerek ülke kurumları arasında ve gerekse uluslararası iş birliğinin tesis edilmesi gereklidir.
1 https://dergipark.org.tr/tr/download/article-file/1456164
2 KAYTEK | KAMU YÖNETIMI VE TEKNOLOJI DERGISI
3 EU COM, 2004
4 https://www.un.org/securitycouncil/ctc/sites/www.un.org.securitycouncil.ctc/files/files/documents/2021/Jan/compendium_of_good_practices_eng.pdf
Related Post
Submit a Review