Bilge KARABACAK  Kritik Altyapılar: Dünya ve Türkiye Özeti

 1. Giriş  Yeni bir kavramı tanıtmak amacıyla hazırlanan bu rapordan  sırasıyla kritik altyapıların korunması konusunda Dünya’da ve  yapılmaktadır [6]. Özellikle son birkaç yıldır daha sık sözü
 yedi ay sonra, 18 sayfalık “Başkanlık Karar Direktifi”, dönemin  ülkemizde gerçekleştirilen çalışmalara yer verilmiştir. Altıncı  edilmeye başlanan bulut bilgi işlem (Cloud Computing) ile
 Ülkelerin, kurumların, toplumların ve bireylerin bilgi ve  Amerikan Başkanı Bill Clinton tarafından 22 Mayıs 1998  bölümde, ülkemizde gerçekleştirilmesi gereken çalışmalar  birlikte hem veriye hem de uygulamalara erişim internet
 iletişim teknolojilerine bağımlılığı gün geçtikçe artmaktadır.  tarihinde imzalanmıştır [3]. Bu direktif, ABD’nin kritik  özetlemiştir. Makalenin yedinci bölümü sonuç bölümüdür.  üzerinden gerçekleştirilebilmektedir [7]. Bu da internetin
 Amerikan Ticaret Bakanlığı’nın bir araştırması, gelişmiş  altyapılarını işleten ve ulusal güvenlikten sorumlu tüm kamu  önemini artıran bir diğer etkendir.
 ülkelerde, kurumların gerçekleştirdiği yatırımların yarısının  kurumlarına gönderilmiştir. Söz konusu direktifte başkanın  2. Tanımlar
 bilgi ve iletişim teknolojilerine yapıldığını göstermektedir [1].  hedefi, ulusal hedefler, kritik altyapıların listesi, kurumların  Kritik altyapılar arasında çok sayıda ve karmaşık bağımlılıklar,
           Kritik altyapılar devlet düzeninin ve toplumsal düzenin sağlıklı
 gerçekleştirmesi gereken adımlar, eşgüdüm ile ilgili hususlar,  bir şekilde işlemesi için gerekli olan ve birbirleri arasından  ilişkiler bulunmaktadır [8]. Bilgi ve iletişim teknolojileri bazı
 1200  yeni yapılanmalar ve ulusal koordinatör ile ilgili bilgilere yer  bağımlılıkları olan fiziksel ve sayısal sistemlerdir. Enerji üretim  kritik altyapılar arasındaki bağımlılıkları başlatmış, var olan
 verilmiştir. Başkanlık karar direktifinde, silahlı kuvvetlerin ve   bazı bağımlılıkları ise önemli ölçüde artırmıştır. Örneğin
 1000    ve dağıtım sistemleri, telekomünikasyon altyapısı, finansal  barajlardaki bir arıza, elektrik üretiminin durmasına, elektrik
 ekonominin, kritik altyapılara ve sayısal sistemlere, artan bir
 800  hızla bağımlı olduğunun altı çizilmiştir. Kritik altyapılar,  servisler, su ve kanalizasyon sistemleri, güvenlik servisleri,  üretimindeki problemler internet altyapısının işlevselliğinin
         sağlık servisleri ve ulaştırma servisleri en başta gelen kritik
 ekonominin ve hükümetin sağlıklı bir şekilde işlemesi için çok      bozulmasına neden olabilir. İnternetteki kesintiler ise başta
 600     altyapılar olarak sıralanabilir.                            bankacılık olmak üzere birçok kritik altyapıyı etkileyecektir.
 Toplam Yatırım  önemli  fiziksel ve sayısal sistemler olarak tanımlanmıştır. Kritik
 400  altyapıların kamu kurumları veya özel sektör tarafından  Günümüzde hemen hemen bütün kritik altyapılar, bilgi ve  Bir sonraki bölümde kritik altyapıların bilgi ve iletişim
 işletilebildiğinin altı çizilmiş, iletişim, enerji, bankacılık, ulaşım,  iletişim teknolojilerini az veya çok içermekte ve bu teknolojiler  teknolojileri ile kesişimi örnekler verilerek detaylandırılmıştır.
 200  Bilgi Teknolojileri Yatırımı
 32%
 su sistemleri ve acil durum servisleri örnek kritik altyapılar  ile değişik şekillerde kesişmektedir [5]. Barajlar, enerji üretim
 0  olarak zikredilmiştir. Geçmiş senelerde, kritik altyapıların  ve dağıtım santralleri gibi kritik altyapılar bilgi teknolojileri  3. Örnekler ve İhlaller
 fiziksel ve mantıksal olarak ayrı ve bu nedenle bağımlılığı  tarafından kontrol edilmekte ve izlenmektedir. Telekomünikasyon  Barajlar, termik santralleri, enerji dağıtım üniteleri gibi
 olmayan sistemler olduğu belirtilmiş, bilgi teknolojilerindeki  gibi kritik altyapılar ise tümüyle bilgi ve iletişim teknolojilerinden  geçmişte tümüyle fiziksel unsurlardan ve bağıntısı olmayan

 Bilgi ve iletişim teknolojilerin sağladığı birçok yararın yanı  gelişmelerin hem altyapıların kendisini etkilediğini hem de  oluşmaktadır. Giriş bölümünde de belirtildiği gibi, kritik altyapı  endüstriyel kontrol sistemlerinden oluşan kritik altyapıların
 sıra bu teknolojiler ile birlikte yeni bir tehdit türü olan sayısal  altyapılar arasındaki ilişkileri ve bağımlılığı önemli bir biçimde  kavramı bilgi ve iletişim teknolojilerindeki gelişmelerden sonra  birçoğu günümüzde bilgi ve iletişim teknolojileri ile yönetilebilir
 tehditler hayatımıza girmiştir. Sayısal tehditlerden korunmak  belirtilmiştir.  tanımlanmıştır. Bu tanımlamadan sonra, bilgi ve iletişim  ve izlenebilir duruma gelmiştir. Kritik altyapıların yönetimi ve
 için bireyler seviyesinden ülkeler seviyesine kadar alınması  teknolojilerinin önemini vurgulamak amacıyla kritik bilgi  izlenmesinde uzun yıllardan bu yana SCADA olarak adlandırılan
 gereken karşı önlemler bulunmaktadır. Ülke seviyesinde  altyapısı kavramı tanımlanmış ve kullanılmaya başlamıştır.  endüstriyel kontrol sistemleri kullanılmaktadır [5]. Geçmişte,
 gerçekleştirilmesi gereken önemli çalışmalardan birisi de, kritik  Kritik bilgi altyapıları,  başka ağlar ile bağlantısı olmayan, bilgi ve iletişim teknolojileri
 altyapıların korunması (Critical Infrastructure Protection-CIP)  a.  Kritik altyapıları destekleyen bilgi ve iletişim teknolojilerinin  içermeyen veya altyapıya özel olarak geliştirilmiş teknolojileri
 konusudur.  Bu kapsamda bir devlet politikası olarak belirlenen  unsurları olabilir;  içeren SCADA sistemleri, günümüzde yaygın olarak kullanılan
 adımlar kamu kurumları ve özel şirketler tarafından                 ve bilinen yazılım, donanım ve ağ protokollerini barındırmaya
 gerçekleştirilmektedir. “Kritik altyapı” terimi ilk defa Ekim  b.  Ulusal ekonomi ve devlet fonksiyonlarının düzgün işlemesi  başlamıştır. Ayrıca, kritik altyapıları yöneten ve izleyen birçok
 1997 tarihli “Amerika Birleşik Devletleri Başkanlık  için gerekli bilgi ve iletişim teknolojilerinin altyapıları olabilir.  SCADA sistemi kurumsal ağlara ve internete bağlantılı hale
 Komisyonu’nun Kritik Altyapıların Korunması Hakkında                gelmeye başlamıştır [9].
 Raporu”nda kullanılmıştır [2]. 192 sayfa ve 12 bölümden oluşan  Kritik altyapı kavramının ortaya çıkmasının en önemli nedeni  Bu genel kapsam OECD tarafından belirlenmiş bir çerçevedir  Sonuç olarak, SCADA sistemleri sayısal savaşa ve sayısal terörist
 söz konusu raporda temel tanımlamalar ve durum analizi  bilgi teknolojilerinin yaygın bir şekilde kullanılmasıdır. Kritik  [4]. Bu tanım şu şekilde örneklendirilebilir:  ataklarına çok daha fazla bir şekilde açık duruma gelmiş ve
 yapılmış, alınması gereken önlemler listelenmiştir.  altyapılar ve bilgi teknolojileri birçok yönden kesişmektedir.  a.  Telekomünikasyon altyapısı gibi kritik altyapılar tümüyle  güvenlikleri geçmişe göre önemli biçimde sorgulanmaya
 Bu kesişimler bilgi teknolojilerinin önemini çok açık bir biçimde  bilgi ve iletişim teknolojilerinden oluşurlar.
 göstermektedir. Bu önem, “kritik bilgi altyapıları” teriminin       başlamıştır [10], [11]. 2003 senesinde ABD’nin sekiz adet
 ortaya çıkmasına yol açmıştır. OECD, kritik bilgi altyapılarını,  b.  Enerji üretim ve dağıtım sistemleri, su ve kanalizasyon  eyaletinde 50 milyon kişiyi etkileyen, bazı şehirlerde 2 gün
 işlevini yitirmesi durumunda sağlık hizmetlerine, toplumsal  sistemleri gibi kritik altyapıların kontrol edilmesi ve izlenmesini  süren, 11 kişinin ölümüne ve 6 milyar dolar zarara yol açan ve
 emniyet ve güvenliğe, vatandaşların ekonomik refahına veya  sağlayan SCADA (Supervisory Control And Data Acquisition)  tarihe “2003 Northeast Blackout” olarak geçen ABD tarihinin
 hükümetin/ekonominin verimli çalışmasını büyük ölçüde  sistemlerinin bir bölümü, bilgi ve iletişim teknolojilerinden  en önemli elektrik kesintisinin nedenlerinden birisinin elektrik
 etkileyen bilgi ağları ve sistemleri olarak tanımlamaktadır [4].  oluşur.  dağıtımında kullanılan yazılımdaki bir hatanın olduğu
 Diğer taraftan, kritik bilgi altyapıları terimi ülkelerin ulusal    saptanmıştır.
 politikalarında ve stratejilerinde daha az kullanılan bir terimdir.  c.  Finans sistemi, güvenlik servisleri gibi kritik altyapılar bilgi
         ve iletişim teknolojilerini yoğun şekilde kullanırlar.
 İkinci bölümde, kritik altyapıların ve kritik bilgi altyapılarının
 daha ayrıntılı tanımları yapılmıştır. Üçüncü bölümde, kritik  Üç farklı örnekte kendisine yer bulan tüm bilgi ve iletişim
 altyapılara yönelik olarak gerçekleştirilmiş sayısal saldırı  teknolojileri, “kritik bilgi altyapıları” olarak adlandırılmaktadır.
 olaylarına yer verilmiştir. Bu örnekler verilirken aynı zamanda  Kritik bilgi altyapılarının da aslında bir kritik altyapı olduğu
 kritik altyapılar, kritik bilgi altyapıları ve SCADA kavramları  söylenebilir. İnternet de başlı başına bir kritik altyapı olarak
 birbirleri ile ilişkilendirilmiştir. Dördüncü ve beşinci bölümde,  değerlendirilmekte ve bu konuda bilimsel çalışmalar


 20  Sayı 05   Ocak-Nisan 2011  http://www.bilgem.tubitak.gov.tr/  21
 ·