Akıllı şehir teknolojisi konusunda endişelenmeli miyiz?

16:00 gibi New York’taki trafik ışıklarının kapatıldığını düşünün – ya da daha anlaşılır şekilde ifade edelim: İstanbul’da iş çıkış saatinde şehirdeki tüm trafik ışıklarının kapatıldığını düşünün.

Bu düşünce Ryan Naraine’nin Black Hat’te yaptığı ‘Akıllı Şehirleri Koruma’ konuşmasından beri aklımı kurcalıyor.

Bu konu teknik araştırmacılar arasındaki öncelikli konuydu. Dünyanın en işlek şehirlerinin birinde trafik ışıklarının çalışmama ihtimali pek kaldırabileceğim bir şey değil. Bugünlerde her şey internete bağlı – telefonunuz, televizyonunuz, saatiniz, fitness uygulamanız, hatta belki evinizin kapısı. Peki trafik ışıklarının, raylı sistemlerin ve enerji şebekelerinin de internete bağlandığını biliyor muydunuz?

Aslında hayatımızı etkileyen ve her gün kullandığımız endüstriyel sistemlerin devre dışı bırakılabileceğini düşünmek baya korkutucu.

Elektrik?

Raylı sistemler?

Trafik ışıkları?

 
Bu üçünden birini bile tam olarak kullanamazsak durum ölümcül bir hal alabilir. Ama birçok şeyde olduğu gibi, akıllı şehir güvenliği olması gereken yerde değil.

https://www.instagram.com/p/BIqLhaeA32B/

Güvenlik sistemleri genellikle sistemlerin bürokratik süreci ve geliştirme süreçleri tamamlandıktan sonra akla geliyor.

Bu konunun güvenlik tarafı ile ilgili yapılan konuşmalar epey rahatsız edici. Tartışan güvenlik zümresi sürekli aynı konuyu konuşup duruyorlar – hiçbir ilerleme kaydedemiyorlar. Çünkü projeler hayata geçirilirken güvenlik konusunda onca şey yapmaları gerekmesine rağmen, hiçbir şey yapmıyorlar.

Konu güvenlik olunca genellikle günlük hayatta kullandığımız şeylere odaklanıyoruz: bilgisayarlar, telefonlar, telefon uygulamaları vb. Ama bunları gerekli değil, lüks olarak değerlendiriyorlar. Hacklenmek büyük sıkıntılar doğurur, ama genellikle canınıza mal olmaz.

Yemeği, suyu ve elektriği hacklemek https://t.co/LtyOzURylf pic.twitter.com/uUL2SyVuCK

— Kaspersky Türkiye (@KasperskyTR) July 19, 2016

Geçen haftalarda yaptığımız AMA konferansında bir soru soruldu; ‘Merak ediyorum, sizce gelecekte endüstriyel kontrol sistemlerine yapılacak bir hack saldırısı sonucunda büyük sorunlar doğurur ya da belki ölüm ile sonuçlabilir mi? Şimdilik böyle bir şey mümkün mü? Alman çelik fabrikası saldırısı, Kara Enerji fidye yazılımı ve İsviçre hava trafik kontrol saldırısı bu tarz facialardan pek uzak olmadığımızı hissettiriyor.

Brian Bartholomew şöyle cevap verdi: Uzmanlara sorulabilecek harika bir soru. Bana göre, herhangi bir hackerın sınırı aşıp birilerinin hayatına mal olması an meselesi. Eğer dikkat ettiyseniz, bütün bu kritikal sistemler hala güvenli değil ve tehditlere açık, bütün olay sadece endüstriyel kontrol sistemlerinin nasıl çalıştığını bilen bir çılgına bakıyor.

Bu yüzden sahadaki uzmanların ilk önceliği endüstriyel kontrol sistemlerinin güvenliğini sağlamak olmalı. Ayrıca bu sert soruları sorabilecek bilinçteki başka insanlara da ihtiyacımız var. Bu soruyu sorabilecek bilinçteki insanlara gelecek olursak.. aslında, onlar da bu konuda ”pek” iyi değiller. Hatta ”pek” kelimesi bile yeterli değil. İnsanlar bu konuda huzursuz olmalılar, hatta sadece bu konuda da değil. Bu mitolojik bir hikaye değil. Çok daha kötü hal almadan önce atılması gereken bir adım.

Black Hat and DEF CON: Hacking a chemical plant – https://t.co/KSnCTtLt5U

— Kaspersky (@kaspersky) August 19, 2015

Vitaly Kamluk ise şöyle cevap verdi: Dürüst olmak gerekirse, bu konuda düşünmek dahi istemiyorum. En son zararlı bir yazılımının sanal ve gerçek dünya sınırını aşıp fiziksel objelere zarar vermesini düşünmemden bir ay sonra Stunex olayı gerçekleşti. Daha sonra şunu düşündüm “neden bu kadar erken?” Uçak kazası, raydan çıkmış trenler gibi haberler gördüğümde aynı garip şeyi hissediyorum.

Bu yılın başlarında HalvarFlake olarak bilinen güvenlik araştırmacısı şöyle bir şey dedi (aklımda kaldığı kadarıyla): “Fiziksel objelere sahip olabilirsiniz. Bilgisayar sistemlerinin farklı bir boyutu vardır, kontrol: bir bilgisayarınız olabilir, ama sistemini kimin kontrol ettiğinden asla emin olamazsınız.”

Bu beni geceleri uykumdan eden bir düşünce, çünkü bilgisayarımızın kontrolünün bizde olduğunu sanmamız, elindeki gücü başkalarına karşı kullanan insanların yapabilecekleri sınırsız ihtimalleri aklıma getiriyor.

Peki, bu konuda neler yapılabilir?

Başlangıçta, sıradan bir vatandaş olarak, yapmamız gereken ve yapmak zorunda olduğumuz şey, seçtiğimiz devlet yetkililerin vatandaşların güvenliği için neler yaptığına dikkat etmek.

Before #Stuxnet, there was little thought about proactively securing industrial facilities https://t.co/2r3pXlbf7Z pic.twitter.com/vvj9ChCHAb

— Kaspersky (@kaspersky) November 18, 2014

Eğitim ve farkındalık hayati önem taşıyor. Güvenlik firmalarının ve ana haberlerin bu konuya daha fazla önem vermesi gerekiyor. Bu hassas sistemlerden herhangi birinin hacklenmesi tam anlamıyla felaket olur. Bu konu gerçekten arkadaşlık sitelerinin hacklenmesi ya da ünlülerin skandallarından fazla önem vermemiz gereken bir konu.