Havacılıkta iletişim, navigasyon ve gözetim ortamı oldukça kompleks bir yapıya sahiptir. Havacılık işletme ağlarına bağlı bir uçağın “güvenlik açısından kritik öneme sahip sistemlerle, sürekli dünyayı dolaşan bir uçan veri merkezi” olarak tanımlanması uygundur.

Havacılık, güvenliği, verimliliği, kabiliyeti, uçuş rotalarını ve uçak menzilini geliştirmek için siber özellikli teknolojilere dayanır. Daha fazla veri toplamak ve analiz etmek daha verimli uçuş rotaları, daha düşük uçuş süreleri, daha düşük yakıt tüketimi ve karbon emisyonları gibi faydalar sağlar.

Verilere dayalı öngörüler, ayrıca etkileşimli uçuş içi sorun giderme, erken arıza tespiti, öngörücü bakım ve arıza bulunmayan sonuçları ve AOG (Aircraft on ground) olaylarında bir azalma sağlar. Sonuç olarak işçilik, malzeme ve bakım maliyetleri azalır. Teknoloji ve yenilik ilerledikçe, faydalar harika bir şekilde gelişecektir. Veri, planlama, iletişim ve yönetim de en temel uçuş işletme varlıkları olduğu için siber güvenlik sürekli değişen bu ortamın dertlerine derman olmak zorundadır.

Dünya Ekonomik Forumu Küresel Riskler Raporu 20191 , siber saldırıları en olası 10 küresel risk arasında 5. sırada yer alıyor. Etkileri sıralamasında ise siber saldırılar 7. sırada yer alıyor. Siber saldırının yakın arkadaşı kabul edebileceğimiz “Veri sahtekarlığı veya hırsızlığı” ise aynı listede 4. sırada yer alıyor. Raporda 2019’da oranı artması beklenen risklerde “Cyber-attacks: disruption of operations and infrastructure” %80, “Cyber-attacks: Theft of data/money” %82 olarak öngörülmektedir. Görünen o ki siber saldırıların olması krizler yaratması kuvvetle muhtemel.

PILOTLARIN SIBER SALDIRILARA KARŞI SAVUNMADAKI ROLÜ

Pilotlar, uçuşun emniyetli ve güvenli bir şekilde yapılmasından sorumludur. Uçak içi siber saldırının doğasına bağlı olarak, uçuş ekibi bunun farkında olmayabilir ve buna karşı hazırlıklı olmayabilir. İyi eğitimli ve kalifiye bir profesyonel pilot, uçak güvenliğinin sağlanması için kritik bir unsurdur.

Donanım ve yazılım içeren havacılık ağları ile her zamankinden daha fazla etkileşim içinde olan yeni uçuş ve uçak sistemleri uçuş ekiplerinin çok daha fazla bilgili ve eğitimli olmasını gerektirmektedir. Bu gibi durumlarda, siber saldırılar pilotları büyük belirsizliğe ve belirsiz ipuçlarına dayalı olarak bilgisiz kararlar alma olasılığına maruz bırakır. Profesyonel pilotların siber güvenlik konusunda daha fazla bilgi sahibi olmaları gerektiği aşikardır.

Yeni sistemler ise yeni arıza işleme felsefeleri gerektiriyor. Havacılıkta donanım arızaları, genellikle sorunlu alt sistemi manuel olarak izole ederek çözülür. Fakat yazılımdan kaynaklanan arızalar sistemin nasıl çalıştığına vakıf olmayan pilotlar için büyük sorundur.

Komuta eden pilot (pilot in command), uçaktaki siber saldırılarla ilgili olanlar da dahil olmak üzere, uçağın kullanma yetkisinden sorumludur ve nihai yetkiye sahiptir.

Pilotlar, siber güvenlik de dahil olmak üzere rutin kokpit işlemlerinde bir risk ve güvenlik açığı yönetimi kültürüne ve veri paylaşımına uymalı ve telkin etmelidir. Ayrıca, makine özerkliği ve insan destekli operasyonlar arasında tasarlanan denge geliştikçe, pilotu aşamalı olarak fiziksel uçak kontrolünden izole etme eğilimindedir. Durumsal farkındalığı korumak için ilgili zorlukların üstesinden gelmek esastır.

Tüm ATC (hava trafik kontrolü) ve zorunlu olmayan ekipman arızalansa bile, pilotlar uçağı kumanda ve kontrol edebilmeli ve emniyetle inebilmelidir. Pilotlar, uçakları riske sokan veya kontrol etmeye çalışan bir siber saldırı durumunda son savunma hattıdır. Bu nedenle daima uçağın risklere karşı esnekliğini korumaya gayret etmelidir.

Havacılıkta güven her şeydir ve siber güvenlik de bir istisna değildir. Uyumlu aviyonikler, güvenlik açısından kritik gerçek zamanlı işletim sistemlerinde gizlilik, bütünlük ve kullanılabilirlik gereksinimlerini karşılamalıdır. Sonuçta, pilotlar için uçuş verilerinin veya iletişimin bir teyit yolu bulunmalı ve kullanılmalıdır.

BAĞLANTILAR, SIBER TEHDITLER VE SIBER SALDIRILAR

Yer tabanlı veri dağıtım hizmetlerine bağlı uçakların, belirli kullanıcı grupları için işlevsel olarak uyarlanmış 3 işletme alanı vardır - (closed, private, public) kapalı, özel ve genel. Bu veri dağıtım hizmetleri, kokpit ve kabin ekiplerini, bakım personelini ve yolcuları farkındalık, bilgilendirme ve eğlendirme bilgileri toplamak, yönetmek ve dağıtmak için tasarlanmıştır

Ağlara ve sistemlere müdahale (siber saldırı), arayüzlerin enfeksiyonu veya yetkisiz erişim, kullanım, ifşa, inkar, aksama, değişiklik veya elektronik bilgilerin imhasını içerebilir.

Havacılık Sistemleri birbirleri ile daha bağlantılı hale geldikçe, siber güvenlik risklere daha açık hale getirilir. Siber tehditler, genellikle hain amaçlarla, sahiplerinin izni olmadan bir bilgisayar ağına erişimi zorlamaya çalışır. Siber tehdit, şimdilik uçağın güvenlik açıklarına ve bağlı oldukları veri dağıtım hizmetlerine odaklanan bir eylemdir.

Bir siber tehdidin tespit ettiği zarara dayanamama potansiyeli zayıflık olarak adlandırılır. Tehditlerin yüzeye çıkmasını beklemek, genellikle onları yasaklamak için çok geç kalmaya yol açar. Güvenlik açıklarını proaktif olarak tanımlama ihtiyacı, daha fazla dijitalleştirme ve bağlanabilirlik ile yoğunlaşmaktadır. Amaç, ihlal edilen siber güvenlik olasılığını makul düzeyde mümkün olduğunca düşük tutmaktır (109 olayda 1).

Bağlı bir siber saldırı, hedef güvenlik açıklarından yararlanmak için birden çok yol (vektör) kullanabilir. Evet profesyonel pilotlar uçuşta hata yönetimi konusunda kapsamlı bir eğitim alırlar, ancak gelişmiş uzmanlıkları siber tehditleri tanımak ve siber saldırıların spektrumunu ve genişliğini yönetmek için tam donanımlı olmayabilir.

SAVUNMA SISTEMI

Büyük havacılık örgütleri, siber güvenliğin geliştirilmesi, yayılması ve anlaşılmasını sağlamak ve önerilerde bulunmak için ortaklık kurmuştur. Aşağıdakiler özellikle pilotlar için üst düzey tanıtıcı materyal olarak yararlı bulunmuştur:

International Federated Air Line Pilots Association Position on Cyber Threats (2016) and Briefing Leaflet on Cyber Threats (2017). (Uluslararası Federasyon Hava Yolu Pilotları Birliği’nin Siber Tehditler Konusundaki Görüşü (2016) ve Siber Tehditler Üzerine Brifing Broşürü (2017).

Air Line Pilots Association’s White Paper Aircraft Cybersecurity: The Pilot’s Perspective (2017). (Hava Yolu Pilotları Birliği White Paper Uçak Siber Güvenliği: Pilot Bakış Açısı (2017).)

IATA Position on Aviation Cyber Security (2019) and IATA Safety Report 2019 Edition 56 (2020). (Havacılık Siber Güvenlikinde IATA Konumu (2019) ve IATA Güvenlik Raporu 2019 Baskı 56 (2020).)

Siber güvenliğin doğası çok yönlü ve çok disiplinlidir ve çok çeşitli alanları aynı anda etkileyebilir ve hızla yayılabilir. ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) Kritik Altyapıları Geliştirmek için Siber Güvenlik Çerçevesi, bir kuruluşun siber güvenlik riski yönetim döngüsü, siber tehditleri belirlemek, korumak, tespit etmek, yanıtlamak ve kurtarmak için rehberlik sağlar.

ICAO, 2019’un sonlarında, insan unsurunun siber güvenliğin merkezinde olduğunu kabul ederek Havacılık Siber Güvenlik Stratejisini yayınladı.7 ICAO’nun çerçevesi 7 sütun üzerine inşa edilmiştir ve uluslararası işbirliği ile ilgili siber güvenliği sağlamak için devlet çabalarının küresel olarak uyumlu hale getirilmesini amaçlamaktadır; Yönetim; etkili mevzuat ve düzenlemeler; siber güvenlik politikası; bilgi paylaşımı; olay yönetimi ve acil durum planlaması; ve kapasite geliştirme, eğitim ve siber güvenlik kültürü.

EĞITIM

ICAO, siber güvenlik ve havacılığa özgü siber güvenliğin her düzeyde ilgili müfredatının ulusal eğitim çerçevesine ve ilgili uluslararası eğitim programlarına dahil edilmesi gerektiğini vurgulamaktadır. Veri işleme (uçuş ekibi, kabin görevlileri ve bakım personeli dahil) içeren uçak, ekipman ve altyapı ile etkileşime giren tüm personele siber güvenlik eğitimi verilmelidir. Bu tür ekipman, bunlarla sınırlı olmamak üzere, FMS, FANS, ACARS, CPDLC ve EFB’leri içerir.

Eğitim, uçak, ATM (Hava Trafik Yönetimi) ve veri hizmeti sağlayıcısı alanlarının üst düzeyde ve uygun şekilde ayrıntılı incelemelerini içermelidir; (siber güvenlik risk alanları; ve ulusal ve uluslararası savunma çerçeveleri.) Anekdot eğitim örnekleri siber tehditlere, güvenlik açıklarına ve siber saldırılara odaklanmalıdır; (siber saldırıları önlemek veya sonuçlarını en aza indirmek için önlemler; bir uçuş ekibine bir siber saldırı nasıl görünebilir; uçaklarında veya havacılık altyapısının herhangi bir bölümünde şüpheli bir siber saldırı durumunda uygun acil durum prosedürleri de dahil olmak üzere yapılabilecek olası eylemler; bilgisayarla ilgili şüpheli olayların zorunlu raporlanması; ve mürettebatın hassas verilerinin sosyal ağ sitelerinden toplanabileceği)

Pilotlar, bir uçağın EFB USB bağlantı noktasından bir cep telefonunu şarj ederek nasıl kötü amaçlı yazılım alabileceği gibi günlük örneklerle, potansiyel tehditler ve bir uçağın nasıl ele geçirilebileceği konusundaki ortak farkındalıklarını artıran eğitime tabi tutulmalıdır. Bunun için eğitim simülatörü, sınıf simülasyonu oyunları veya muhtelif olaylar kullanabilir.

Siber güvenliği izlemek ve ihlalleri azaltmak için tüm fonksiyonlar kokpitte bulunmalıdır ve bunların etkili bir şekilde uygulanmasını sağlamak için eğitim kritik öneme sahiptir. Her ne kadar olası siber saldırı senaryolarının sadece bir kısmı eğitilebilse de, temeldeki değerlendirme, karar verme ve hafifletme becerileri kapsamlı olmalıdır. Yani, pilotlar beklenmedik ve olağandışı olayları ve ipuçlarını ele alacak şekilde eğitilmelidir.

ICAO’nun 2019 Havacılık Siber Güvenlik Stratejisi8 , mevcut siber dayanıklılığı test etmek ve iyileştirmeleri belirlemek için alıştırmaları yararlı araçlar olarak önermekte ve teşvik etmektedir. Bu tür alıştırmalar farklı biçimleri (masa üstü, simülasyonlar veya gerçek zamanlı tatbikatlar) izleyebilir ve ayrıca ölçeğe göre (örgütsel, ulusal, uluslararası) değişebilir. Bu tür yaklaşımlar, minimum maliyet doğarken öngörülemeyen olaylar için karar verme becerilerinin geliştirilmesini kolaylaştırır.

Havacılık kazalarında uyarı/ikaz sistemlerinin oynadığı rolün yakın tarihli bir analizi, pilotların genellikle gelen görsel veya işitsel uyarıları tespit edemediklerini ve hatta anlayamadıklarını tespit etmiştir.9 Bu, özellikle bir asırdan fazla süren bir uçuş safahatından sonra pilotların hala uyarı sistemlerinin uyarıları tarafından yanlış yönlendirildiğini fark ettiğinde önemsizleştirilemez. Kötü tasarlanmış alarmlar, özellikle kritik uçuş aşamalarında, uyarı yapamayan pilotları büyük ölçüde strese sokabilir veya rahatsız edebilir.

şte bu nedenle iyi tasarlanmış bir siber güvenlik uyarı sistemlerine ihtiyaç vardır. Hatta, etkilenen sistem(ler)i, tanımlamakta, düzeltici işlem yapmakta kokpit dışından kokpite destek kanalları olmalıdır. Uyarı sistemi, yaklaşmakta olan tehdidin ele alınması için her seçenek için kısa bir gerekçe de dahil olmak üzere farklı seçenekler önermelidir. Hiçbir siber güvenlik sistemi, iyi bir karar verme ve farkındalık eğitiminin yerini alamaz.

ABD Hava Kuvvetleri, aşağıdakiler de dahil olmak üzere çeşitli sistemlerde potansiyel siber güvenlik saldırı modlarını ve sonuçlarını tanımlamıştır.

HABERLEŞME SISTEMLERI

• “Rogue” frekansı ile bağlantılar / kullanıcı bilgisi olmadan kanal / bağlantı

• Güvenli olmayan bir şekilde ses / veri yayınlama veya olmadan güvenli frekans / kanal / bağlantı kullanıcı bilgisi

• Mikrofonu “sıcak mikrofon” da tutma durumu

• Sistemlere veya veri bağlantısı iletişimine yanlış mesajlar enjekte etmek

• Veri bağlantısı yoluyla yerleşik bir sistemi hedefleyen bir siber yükün enjekte edilmesi

SEYRÜSEFER VE UÇUŞ GÖSTERGE SISTEMLERI

• GPS doğruluğunu / okumasını devre dışı bırakma, kimlik sahtekarlığı veya kötüleştirme

• Uçuş mürettebatını yanlış yönlendiren uçak oryantasyon göstergelerinin bozulması

UÇUŞ KONTROL SISTEMLER

• Yatış / dalış / yalpalama için uçuş kontrol girişlerini enjekte

• Yatış / dalış / yalpalama için kullanıcı uçuş kontrol girişlerine yanıt verme veya reddetme

TRAFIK VE ARAZI GÜVENLIĞI UYARI SISTEMLERI

Uçağın Konumunu ekle / kaldır / değiştir

• Arazi veya yer engelleri konumu ekle / kaldır / değiştir

• Kullanılamaz hale getirmek için “gürültü” verileriyle aşırı yükleme

• Uçuş ekibini sistem durumu hakkında yanlış yönlendirecek bozuk sistem durum göstergeleri

HAVA ARACI SAĞLIK VE KULLANIM İZLEME SISTEMLERI

• Gerekli olmadığı halde onarım gerektiğinin belirtilmesi

• Gerektiğinden daha düşük / daha az, daha yüksek / daha fazla veya farklı onarımların gerektiğini belirtilmesi

• Onarım gerektiği halde uçağın uygun olduğunun belirtilmesi

HAVA TRAFIK AĞLARI

• Hava Trafik Kontrol sistemleri tehlikeye sokan, çalınan şifreler, yüklü kötü amaçlı yazılımlar, pilotlara yanlış mesajlar, sahte tehlike çağrıları vb.

OTOMATIK BAĞIMLI GÖZETIM-YAYIN

• Fantom uçağı (gölge) oluştur

• Sistem protokolünde sınırlı güvenlik

• Sahte hava durumu raporları oluşturun

• Karıştırma

• Pilotlara ve hava trafik kontrolörlerine yanlış / yanıltıcı bilgi aktarma

ACARS (UÇAK ILETIŞIM ADRESLEME VE RAPORLAMA SISTEMI)

• Sahte uçuş planı güncellemesi

• Yanlış hava durumu bilgileri

• Uçak ve yer arasındaki sahte mesajlar

Sonuç olarak;

1. Dijitalleşen ve globalleşen bu çağda bilginin korunması, milli güvenlik çerçevesinde değerlendirilmelidir.

2. Özellikle gelecekte daha da artacak “kritik altyapıların” “dijitalleşen kamu süreçlerinin”, “özel sektör” ihtiyaçlarının artması ve bu sistemleri korumakla sorumlu genç nesillerin yetiştirilmesi birinci önceliğimiz olmalıdır.

3. Ülkemizdeki siber güvenlik teknoloji sisteminin sağlıklı bir şekilde oluşması, milli değerler çerçevesinde kurumlar ile iş birlikteliklerinin yapılması, kurumsal yada girişimci düzeyinde yerli üretimin desteklenmesi önceliklerimiz arasında olmalıdır.

4. Havacılık endüstrisi, yer ve uçuş operasyonlarında büyük ölçüde bilgisayar sistemlerine dayanmaktadır.  Havayolu sistemlerinin güvenliği, endüstrinin operasyonel güvenliğini ve verimliliğini doğrudan etkileyebilir ve dolaylı olarak hizmetini, itibarını ve finansal sağlığını etkileyebilir.

5. Uçak ve havacılık endüstrisi birbiriyle daha bağlantılı hale geldikçe, siber saldırılara karşı daha savunmasız hale gelmektedir.

6. Havacılık, özellikle siber güvenlikteki gecikmeler için hazırlıksızdır. 2020 tarihli bir raporda, “uçakların siber güvenlik açıkları hakkında çok az araştırma yapıldığını” bildirilmektedir.

7. Havacılık endüstrisi şirketleri iş ortakları ile birlikte uçakların elektronik sistemlerine karşı potansiyel siber saldırıları uyarmak için yeni teknolojiler geliştirmektedirler.

8. Havacılık sektörü, uçak içi siber güvenlik olaylarını azaltmak için stratejiler ve esneklik planları geliştirmek zorundadır.

9. Genel olarak bir olağanüstü durumda “kurtarma” harcamaları, önlemeye göre neredeyse dokuz kat daha fazladır.

10.Bilgi, yedekli veya alternatifli planlama ve uygun bir eğitim ise havacılık ağları ve sistemleri arasındaki siber tehditlere karşı en iyi savunmadır.

11. Profesyonel pilotlar ise, siber güvenlikte hala son savunma hattıdır.

KAYNAKÇA

1 http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf

2 https://www.alpa.org/-/media/ALPA/Files/ pdfs/news-events/white-papers/white-paper-cybersecurity.pdf?la=en

3 https://www.ifalpa.org/publications/library/ cyber-threats--1665

4 https://www.alpa.org/-/media/ALPA/Files/ pdfs/news-events/white-papers/white-paper-cybersecurity.pdf?la=en

5 https://www.iata.org/contentassets/e55ae27b2fc34343a1143fca5129c8dd/aviation-cyber-security-position.pdf

6 https://www.nist.gov/cyberframework

7 https://www.icao.int/cybersecurity/Documents/AVIATION%20CYBERSECURITY%20 STRATEGY.EN.pdf

8 https://www.icao.int/cybersecurity/Pages/ Cybersecurity-Strategy.aspx

9 https://www.researchgate.net/publication/250158978_Auditory_Alert_Characteristics_A_Survey_of_Pilot_Views

10 “Managing Cybersecurity Risk in Weapon Systems” Dr. Raju Patel, Aircraft Systems Authorizing Official, US AIR FORCE, LCMC, March 21, 2017

 

 

SIBER GÜVENLIK VE HAVACILIK