Page 22 - bilgem-teknoloji-dergisi-5
P. 22
Bilge KARABACAK Kritik Altyapılar: Dünya ve Türkiye Özeti
1. Giriş Yeni bir kavramı tanıtmak amacıyla hazırlanan bu rapordan sırasıyla kritik altyapıların korunması konusunda Dünya’da ve yapılmaktadır [6]. Özellikle son birkaç yıldır daha sık sözü
yedi ay sonra, 18 sayfalık “Başkanlık Karar Direktifi”, dönemin ülkemizde gerçekleştirilen çalışmalara yer verilmiştir. Altıncı edilmeye başlanan bulut bilgi işlem (Cloud Computing) ile
Ülkelerin, kurumların, toplumların ve bireylerin bilgi ve Amerikan Başkanı Bill Clinton tarafından 22 Mayıs 1998 bölümde, ülkemizde gerçekleştirilmesi gereken çalışmalar birlikte hem veriye hem de uygulamalara erişim internet
iletişim teknolojilerine bağımlılığı gün geçtikçe artmaktadır. tarihinde imzalanmıştır [3]. Bu direktif, ABD’nin kritik özetlemiştir. Makalenin yedinci bölümü sonuç bölümüdür. üzerinden gerçekleştirilebilmektedir [7]. Bu da internetin
Amerikan Ticaret Bakanlığı’nın bir araştırması, gelişmiş altyapılarını işleten ve ulusal güvenlikten sorumlu tüm kamu önemini artıran bir diğer etkendir.
ülkelerde, kurumların gerçekleştirdiği yatırımların yarısının kurumlarına gönderilmiştir. Söz konusu direktifte başkanın 2. Tanımlar
bilgi ve iletişim teknolojilerine yapıldığını göstermektedir [1]. hedefi, ulusal hedefler, kritik altyapıların listesi, kurumların Kritik altyapılar arasında çok sayıda ve karmaşık bağımlılıklar,
Kritik altyapılar devlet düzeninin ve toplumsal düzenin sağlıklı
gerçekleştirmesi gereken adımlar, eşgüdüm ile ilgili hususlar, bir şekilde işlemesi için gerekli olan ve birbirleri arasından ilişkiler bulunmaktadır [8]. Bilgi ve iletişim teknolojileri bazı
1200 yeni yapılanmalar ve ulusal koordinatör ile ilgili bilgilere yer bağımlılıkları olan fiziksel ve sayısal sistemlerdir. Enerji üretim kritik altyapılar arasındaki bağımlılıkları başlatmış, var olan
verilmiştir. Başkanlık karar direktifinde, silahlı kuvvetlerin ve bazı bağımlılıkları ise önemli ölçüde artırmıştır. Örneğin
1000 ve dağıtım sistemleri, telekomünikasyon altyapısı, finansal barajlardaki bir arıza, elektrik üretiminin durmasına, elektrik
ekonominin, kritik altyapılara ve sayısal sistemlere, artan bir
800 hızla bağımlı olduğunun altı çizilmiştir. Kritik altyapılar, servisler, su ve kanalizasyon sistemleri, güvenlik servisleri, üretimindeki problemler internet altyapısının işlevselliğinin
sağlık servisleri ve ulaştırma servisleri en başta gelen kritik
ekonominin ve hükümetin sağlıklı bir şekilde işlemesi için çok bozulmasına neden olabilir. İnternetteki kesintiler ise başta
600 altyapılar olarak sıralanabilir. bankacılık olmak üzere birçok kritik altyapıyı etkileyecektir.
Toplam Yatırım önemli fiziksel ve sayısal sistemler olarak tanımlanmıştır. Kritik
400 altyapıların kamu kurumları veya özel sektör tarafından Günümüzde hemen hemen bütün kritik altyapılar, bilgi ve Bir sonraki bölümde kritik altyapıların bilgi ve iletişim
işletilebildiğinin altı çizilmiş, iletişim, enerji, bankacılık, ulaşım, iletişim teknolojilerini az veya çok içermekte ve bu teknolojiler teknolojileri ile kesişimi örnekler verilerek detaylandırılmıştır.
200 Bilgi Teknolojileri Yatırımı
32%
su sistemleri ve acil durum servisleri örnek kritik altyapılar ile değişik şekillerde kesişmektedir [5]. Barajlar, enerji üretim
0 olarak zikredilmiştir. Geçmiş senelerde, kritik altyapıların ve dağıtım santralleri gibi kritik altyapılar bilgi teknolojileri 3. Örnekler ve İhlaller
fiziksel ve mantıksal olarak ayrı ve bu nedenle bağımlılığı tarafından kontrol edilmekte ve izlenmektedir. Telekomünikasyon Barajlar, termik santralleri, enerji dağıtım üniteleri gibi
olmayan sistemler olduğu belirtilmiş, bilgi teknolojilerindeki gibi kritik altyapılar ise tümüyle bilgi ve iletişim teknolojilerinden geçmişte tümüyle fiziksel unsurlardan ve bağıntısı olmayan
Bilgi ve iletişim teknolojilerin sağladığı birçok yararın yanı gelişmelerin hem altyapıların kendisini etkilediğini hem de oluşmaktadır. Giriş bölümünde de belirtildiği gibi, kritik altyapı endüstriyel kontrol sistemlerinden oluşan kritik altyapıların
sıra bu teknolojiler ile birlikte yeni bir tehdit türü olan sayısal altyapılar arasındaki ilişkileri ve bağımlılığı önemli bir biçimde kavramı bilgi ve iletişim teknolojilerindeki gelişmelerden sonra birçoğu günümüzde bilgi ve iletişim teknolojileri ile yönetilebilir
tehditler hayatımıza girmiştir. Sayısal tehditlerden korunmak belirtilmiştir. tanımlanmıştır. Bu tanımlamadan sonra, bilgi ve iletişim ve izlenebilir duruma gelmiştir. Kritik altyapıların yönetimi ve
için bireyler seviyesinden ülkeler seviyesine kadar alınması teknolojilerinin önemini vurgulamak amacıyla kritik bilgi izlenmesinde uzun yıllardan bu yana SCADA olarak adlandırılan
gereken karşı önlemler bulunmaktadır. Ülke seviyesinde altyapısı kavramı tanımlanmış ve kullanılmaya başlamıştır. endüstriyel kontrol sistemleri kullanılmaktadır [5]. Geçmişte,
gerçekleştirilmesi gereken önemli çalışmalardan birisi de, kritik Kritik bilgi altyapıları, başka ağlar ile bağlantısı olmayan, bilgi ve iletişim teknolojileri
altyapıların korunması (Critical Infrastructure Protection-CIP) a. Kritik altyapıları destekleyen bilgi ve iletişim teknolojilerinin içermeyen veya altyapıya özel olarak geliştirilmiş teknolojileri
konusudur. Bu kapsamda bir devlet politikası olarak belirlenen unsurları olabilir; içeren SCADA sistemleri, günümüzde yaygın olarak kullanılan
adımlar kamu kurumları ve özel şirketler tarafından ve bilinen yazılım, donanım ve ağ protokollerini barındırmaya
gerçekleştirilmektedir. “Kritik altyapı” terimi ilk defa Ekim b. Ulusal ekonomi ve devlet fonksiyonlarının düzgün işlemesi başlamıştır. Ayrıca, kritik altyapıları yöneten ve izleyen birçok
1997 tarihli “Amerika Birleşik Devletleri Başkanlık için gerekli bilgi ve iletişim teknolojilerinin altyapıları olabilir. SCADA sistemi kurumsal ağlara ve internete bağlantılı hale
Komisyonu’nun Kritik Altyapıların Korunması Hakkında gelmeye başlamıştır [9].
Raporu”nda kullanılmıştır [2]. 192 sayfa ve 12 bölümden oluşan Kritik altyapı kavramının ortaya çıkmasının en önemli nedeni Bu genel kapsam OECD tarafından belirlenmiş bir çerçevedir Sonuç olarak, SCADA sistemleri sayısal savaşa ve sayısal terörist
söz konusu raporda temel tanımlamalar ve durum analizi bilgi teknolojilerinin yaygın bir şekilde kullanılmasıdır. Kritik [4]. Bu tanım şu şekilde örneklendirilebilir: ataklarına çok daha fazla bir şekilde açık duruma gelmiş ve
yapılmış, alınması gereken önlemler listelenmiştir. altyapılar ve bilgi teknolojileri birçok yönden kesişmektedir. a. Telekomünikasyon altyapısı gibi kritik altyapılar tümüyle güvenlikleri geçmişe göre önemli biçimde sorgulanmaya
Bu kesişimler bilgi teknolojilerinin önemini çok açık bir biçimde bilgi ve iletişim teknolojilerinden oluşurlar.
göstermektedir. Bu önem, “kritik bilgi altyapıları” teriminin başlamıştır [10], [11]. 2003 senesinde ABD’nin sekiz adet
ortaya çıkmasına yol açmıştır. OECD, kritik bilgi altyapılarını, b. Enerji üretim ve dağıtım sistemleri, su ve kanalizasyon eyaletinde 50 milyon kişiyi etkileyen, bazı şehirlerde 2 gün
işlevini yitirmesi durumunda sağlık hizmetlerine, toplumsal sistemleri gibi kritik altyapıların kontrol edilmesi ve izlenmesini süren, 11 kişinin ölümüne ve 6 milyar dolar zarara yol açan ve
emniyet ve güvenliğe, vatandaşların ekonomik refahına veya sağlayan SCADA (Supervisory Control And Data Acquisition) tarihe “2003 Northeast Blackout” olarak geçen ABD tarihinin
hükümetin/ekonominin verimli çalışmasını büyük ölçüde sistemlerinin bir bölümü, bilgi ve iletişim teknolojilerinden en önemli elektrik kesintisinin nedenlerinden birisinin elektrik
etkileyen bilgi ağları ve sistemleri olarak tanımlamaktadır [4]. oluşur. dağıtımında kullanılan yazılımdaki bir hatanın olduğu
Diğer taraftan, kritik bilgi altyapıları terimi ülkelerin ulusal saptanmıştır.
politikalarında ve stratejilerinde daha az kullanılan bir terimdir. c. Finans sistemi, güvenlik servisleri gibi kritik altyapılar bilgi
ve iletişim teknolojilerini yoğun şekilde kullanırlar.
İkinci bölümde, kritik altyapıların ve kritik bilgi altyapılarının
daha ayrıntılı tanımları yapılmıştır. Üçüncü bölümde, kritik Üç farklı örnekte kendisine yer bulan tüm bilgi ve iletişim
altyapılara yönelik olarak gerçekleştirilmiş sayısal saldırı teknolojileri, “kritik bilgi altyapıları” olarak adlandırılmaktadır.
olaylarına yer verilmiştir. Bu örnekler verilirken aynı zamanda Kritik bilgi altyapılarının da aslında bir kritik altyapı olduğu
kritik altyapılar, kritik bilgi altyapıları ve SCADA kavramları söylenebilir. İnternet de başlı başına bir kritik altyapı olarak
birbirleri ile ilişkilendirilmiştir. Dördüncü ve beşinci bölümde, değerlendirilmekte ve bu konuda bilimsel çalışmalar
20 Sayı 05 Ocak-Nisan 2011 http://www.bilgem.tubitak.gov.tr/ 21
·