Denizde Siber Güvenlik ve Uluslararası Denizcilik Örgütü'nün Siber Risk Yönetimi düzenlemesi

Teknoloji, dijitalleşme ve inovasyom denizcilik sektörünün sürdürebilirliği için önem arz etmektedir. Teknolojik gelişmelerin denizcilik sektörüne hızla yansıtılması deniz taşımacılığı ve ticari faaliyetlerin sürekliliğini sağlamaktadır. Dijital çağ gemi sistemlerinin uzaktan izlenmesinden otonom gemilerin geliştirilmesine kadar denizcilik endüstrisi için yeni olanaklar sunmaktadır. Ancak gemiler siber saldırılara karşı giderek daha savunmasız hale gelmektedir. Günümüzde dizayn edilen modern gemi ve limanların, bilgi teknolojisi ağlarına daha fazla entegre olması sebebiyle muhtemel risk ve tehditlere yönelik siber güvenlik önlemlerinin uygulanmasına ihtiyaç duyulmaktadır. Bu kapsamda yeni Uluslararası Denizcilk Örgütü (IMO) kararları ve düzenlemeleri, deniz taşımacılığı işletmelerinin siber güvenlik risklerini gemi güvenlik yönetimi sistemlerinde uygun şekilde ele almalarını sağlamaya çalışmaktadır. Bu çalışmada, IMO tarafından denizcilik siber risk yönetimi için yürürlüğe konulan düzenlemeler ele alınmakta olup deniz endüstrisi için siber risk yönetim düzenlemelerine genel bir bakış sunulmaktadır.

Günümüzün küresel rekabetin koşulları, denizcilik sektörünün bilgi teknolojisi ağlarına entegre olmasını ve teknolojik gelişmelere uyum sağlayarak dijitalleşmesini gerekli kılmaktadır. Dijital dönüşüm kapsamında, denizcilik endüstrisinde kullanılan teknolojilerin çehresi günbegün değişmektedir. Denizcilik sektörü iletişim ve operasyonel süreçleri, dijitalleşme dönüşümü içinde gelişim göstermektedir. Gemi operasyonlarının optimize edilmesi, insan kaynaklı hataların azaltılması, yakıt tüketimi ve sera gazı emisyonlarının düşürülmesi için gemilerde otonom teknolojiler kullanılmaktadır.

Denizcilikte siber risk, gemi işletimi kontrol eden sistem bilgilerinin hasar görmesi, bozulması veya tehlikeye maruz kalması neticesinde emniyet ve güvenlik açısından geminin potansiyel bir olumsuz durumdan ne ölçüde tehdide maruz kaldığının ölçüsü anlamına gelmektedir.1 Halihazırda, gemi işletiminin büyük bir kısmının otonomlaşmasıyla gemideki faaliyetler teknik sistemler üzerinden yapılmaktadır. Kullanılan yazılım sistemleri marifetiyle otonomlaşmanın denizcilik sektöründe yaygınlaşması siber güvenlik risklerini gündeme getirmektedir.

Etkili siber risk ve güvenlik yönetiminde, bilgi teknolojisi sistemlerindeki güvenlik açıklarının açığa çıkması veya bu açıklardan yararlanılmasından kaynaklanan güvenlik sorunları dikkate alınmasına ihtiyaç duyulmaktadır. Deniz taşımacılığı sistemlerinin sayısallaştırılması, entegrasyonu ve otomasyonu süreçleriyle ilgili tehdit ve güvenlik açıklarından gemileri korumak için denizcilik endüstrisi paydaşları tarafından gerekli kuralların belirlenmesi ve düzenlemelerin uygulanması gerekmektedir. Uluslararası sularda seyir güvenliğini sağlayarak deniz işletmeciliğini verimli hâle getirmeye çalışan bir kuruluş olan IMO’nun küresel düzeyde iş birliğini sağlama açısından önemli bir rolü bulunmaktadır.

Siber riskin kapsamı ve doğası ile başa çıkılaması için denizcilik endüstrisi tarafından alınması gereken bazı güvenlik tedbirleri bulunmaktadır. IMO’ya göre hâlihazırda çok sayıda siber güvenlik sorun alanı bulunmaktadır. Denizcilik sektöründeki siber tehditleri yaşanan birçok olayla örneklendirmek mümkündür; siber saldırı neticesinde Afrika kıyılarında bulunan yüzer bir petrol platformunun bir tarafa meyilli hâle getirilmesiyle faaliyetlerin askıya alınması, yasa dışı yollarla limana getirilen uyuşturucu yüklü konteynerleri alabilmek için limandaki siber sistemlere sızılması ve Aden Körfezi’nden değerli kargo yükleriyle geçen gemileri tespit etmek için deniz haydutlarının bir deniz nakliyat şirketinin sistemlerine sızmaya çalışmaları denizcilik alanındaki risk ve tehlikelere ışık tutmaktadır.2 Görüldüğü üzere bugüne kadar yaşanan çoğu siber saldırı, geminin kontrolünü ele geçirmek yerine kurumsal güvenliği ihlal etmeyi amaçlamıştır. Ancak, siber saldırılarla gemi kontrolünün ele geçirilebileceğine dair endişeler bulunmaktadır. Covid-19 salgını sebebiyle mürettebat, eğitim ve bakım bütçelerinin baskı altında olduğu bir zamanda, siber güvenliğin ihmal edilmemesi gerekmektedir. Siber riski indirgemek için mürettebat eğitimine ve sistemleri yedeklemeye yönelik önlemleri belirleme gibi standart uygulamalara ihtiyaç duyulmaktadır.

Bu kapsamda IMO, denizcilik işletmelerinin güvenlik yönetim sistemlerinde siber risklerin de uygun şekilde ele alınmasını amaçlayan deniz siber risk yönetimi konusunda 1 Ocak 2021 tarihi itibariyle yürürlüğe giren uygulama kararı almıştır. 1 Ocak 2021 tarihinden sonra uluslararası güvenlik yönetimi denetçilerince yapılacak ilk denetim öncesinde denizcilik işletmeleri tarafından, artan siber tehditleri azaltmak için risk zafiyetleri değerlendirilmeli ve güvenlik yönetim sistemlerine dâhil olan bilgi teknolojisi politikalarının geliştirilmesi gerekmektedir. Belirli siber güvenlik gereksinimlerine uyum sağlanmaması hâlinde, gemilere liman devleti kontrol yetkilileri tarafından işlem yapılacağı değerlendirilmektedir.

1. Denizcilikte Siber Risk ve Güvenlik

Günümüzde artan teknoloji imkânlarıyla gemilerin teknik olarak altyapısı dijitalleşmiş ve gemiler otonom işletimine bağlı hâle gelmiştir. Gemi işletimini Elektronik Harita Gösterim Bilgi Sistemi (ECDIS) ve Otomatik Radar Plotlama Sistemi (ARPA) vb. sistemleri kontrol eden operasyonel teknoloji (OT) sistemleri ile veri-iletişim sistemlerini kontrol eden bilgi teknolojisi (IT) sistemleri sağlamaktadır. Bu kapsamda, teknolojide yaşanan gelişmeler doğrultusunda internet üzerinden OT ve IT sistemleri birbirleriyle bağlantılı olarak çalışmaktadır.

Bu sistemler nedeniyle, günümüzde denizcilik endüstrisi siber saldırılara yüksek oranda maruz kalma riski taşımaktadır. Örneğin, spoofing (yanıltma) gibi yöntemler vasıtasıyla, Küresel Konumlama Sistemi (GPS) ve Otomatik Tanıma Sistemi’ne (AIS) etki edilerek gemiler rotasından saptırılma ve gelişmiş siber saldırılara maruz kalabilme riskiyle karşı karşıyadır. Ayrıca, gemi üzerinde bulunan kargo kontrol sistemleri gibi sistemlere zarar verilerek hatalı yükleme neticesinde gemi ve ekipmanlarında hasara da neden olunabilmektedir. Denizcilik faaliyetlerine yönelik siber saldırılarda hedef olarak en sık seçilen sistemler Şekil-1’de sunulmuştur.

Siber Saldırıya Açık Olan Sistem Alan Sayısı

 Dünyada hızla artan siber saldırılar karşısında bir hukuk oluşturulmaya çalışılmaktadır. Birçok şirket siber güvenlik konusunda ciddi yatırım yapmaktadır. 2019 yılı verilerine istinaden dünya ticaret filosunda faaliyette bulunan gemi sayısı 53.732 (300GT≥) olup dünya ticaretinin % 84’i denizyolu taşımacılığı marifetiyle gerçekleşmiştir.5 Harita-1’de sunulan yoğun deniz trafiğine bakıldığında siber güvenliğin denizcilik için hassasiyeti ve önemi daha iyi anlaşılmaktadır.

2. IMO’nun Siber Tehditlere Yönelik Çalışmaları

Denizde güvenliğin sağlanması Birleşmiş Milletler’e (BM) bağlı bir kurum olan IMO’nun sorumluluklarından biridir. Bunun yanında, deniz taşımacılığına yönelik siber risklerin önlenmesi de IMO’nun uzmanlık alanı kapsamında bulunmaktadır.6 Bu kapsamda IMO, “Güvenlik Yönetimi Sistemleri”ne (SMS) ilişkin olarak denizcilik sektöründe siber risk yönetimi ile ilgili 2017 yılında MSC.428 (98) numaralı kararını yayınlamıştır. Bu karar ile IMO, denizcilik siber risk yönetimini “Uluslararası Emniyetli Yönetim” (ISM) Koduna dâhil ederek gemicilik endüstrisi için zorunlu hâle getirmiştir. ISM Kodunun hedefleri ve işlevsel gereklilikleri uyarınca onaylanmış mevcut bir SMS’nin, siber risk kontrolüne yönelik prosedürleri içermesi gerektiği kararda belirtilmiştir. MSC.428 (98) kararı doğrultusunda, “Siber Güvenlik” ile ilgili politikalar, prosedürler, talimatlar, risk analizleri ile kontrol listelerinin hazırlanması ve hazırlanan doküman SMS’nin ilgili bölümlerine entegre edilmesi zorunlu hâle getirilmiştir.

Bunun yanında IMO, denizcilik sektörünün maruz kaldığı siber risklere karşı işletmeleri bilinçlendirme maksadıyla tavsiye niteliğinde “Gemilerde Siber Güvenlik Rehberi” olarak adlandırılan “MSC-FAL.1/Circ.3 Guidelines On Maritimecyber Risk Management”7 rehber kitapçığını hazırlamıştır. Bu kitapçık, hâlihazırda mevcut olan risk yönetimi süreçlerine siber risk yönetiminin de dâhil edilmesi için gereken tavsiyeleri kapsamaktadır. Bu rehber denizcilik sektöründeki tüm kuruluşlara yönelik olup siber alandaki emniyet ve güvenlik yönetimi uygulamalarını teşvik etmek için tasarlanmıştır. Bahse konu rehber kitapçıkta belirtilen siber risk yönetimi unsurları aşağıda sunulmuştur.

(1) Tanımlama: Siber risk yönetimi için personelin görev ve sorumlulukları ile sistem ve cihazların kesintiye uğraması veya bozulması hâlinde gemi faaliyetleri için risk oluşturan sistem, kaynak, veri ve yeteneklerin tanımlanması.

(2) Koruma: Siber tehdide karşı koruma sağlanması ve faaliyetlerin sürekliliği için risk kontrol süreçleri, önlemleri ve acil durum planlamalarının uygulanması.

(3) Tespit Etme: Siber tehdidin zamanında belirlenmesi için gerekli faaliyetlerin geliştirilmesi ve uygulanması.

(4) Karşılık Verme: Denizcilik faaliyetleri ve hizmetlerinin aksamasını önlemek için direnç gösterilmesi maksadıyla gerekli sistemlerin geri yüklenmesi, onarılması ve gerekli faaliyetlerin geliştirilmesi.

(5) Kurtarma: Siber saldırı sonrasında etkilenen siber sistemin onarılması ve yedeklenmesine yönelik önlemlerin alınması.

IMO’nun bahse konu çalışmaları ardından BIMCO, IUMI, ICS, Intertanko, Intercargo ve Cruise Lines International Association ve Oil Companies International Marine Forum deniz otoriteleri tarafından IMO rehberi esas alınarak yapılan ortak bir çalışma neticesinde “Gemilerde Siber Güvenlik Rehberi” olarak adlandırılan tavsiye niteliğindeki “The Guidelines on Cyber Security Onboard Ships” rehber kitapçığı hazırlanmıştır. Bu rehber, gemi donatan ve işletenlere faaliyetlerini değerlendirmeleri konusunda bilgilendirmek ve gemilerinde kullanılan siber sistemlerin güvenliğini sağlamayı amaçlamaktadır. Bu maksatla gerekli prosedürler ayrıntılı olarak ele alınmaktadır.8 Bu rehberin ekinde, siber risk yönetiminin ilgili gemi işletmeleri tarafından SMS’ye nasıl dâhil edileceğine dair örnek bir çalışma bulunmaktadır. “Siber Risk Yönetimi ve Güvenlik Yönetimi Sistemi”ne yönelik bahse konu çalışma Tablo-1’de sunulmuştur.

Bahse konu rehber ek olarak, siber güvenlik açıklarını ele almak için kullanılabilecek önlemler hakkında da rehberlik sağlamaktadır. Koruma önlemleri ile işletmelerin savunmalarını değerlendirip iyileştirmeleri için etkili bir yaklaşım sağlamalarına yardımcı olmak üzere önceliklendirilen ve incelenen Kritik Güvenlik Kontrollerinin (CSC) örnek listesi Tablo-2’de sunulmuştur. Tablo-2’de sunulan CSC’ler hem teknik hem de prosedürel yönleri içermektedir.

Makalenin yayınlandığı kaynak: Milli Savunma Üniversitesi Deniz Harp Enstitüsü Mavi Vatan’dan Açık Denizlere Dergisi Yıl: 2 Sayı: 7

Yorum yapın