İnternet üzerinden gelen saldırılara otomobiller de maruz kalıyor. En kötü senaryoda yolcuların hayatı riske girebilir. Bu tür gerçek zamanlı hack olaylarına karşı siber koruyucuların devreye girmesinin zamanı geldi.
Kevin Costner insanların nasıl korunması gerektiğini iyi biliyor: Aktör, “The Bodyguard” filminde Whitney Houston’ın canlandırdığı pop şarkıcısı Rachel’ı bir grup fanatik seveninden korumak için çaba göstermiş ve olay yerinden kaçmak için bir limuzin kullanmıştı. 

Bu çok izlenen filmin vizyona giriş tarihi 1992’ydi. Bugün ise çok daha farklı bir dünyada yaşıyoruz. Saldırılardan korunmak için işini iyi bilen bir şoför ve güçlü motora sahip bir otomobil artık yeterli değil. Dijital savunma da önem kazanıyor. Farklı araştırmalardan gelen verilere göre otomobillerin bağlantılı olma oranı yüzde 10 ila 30 arasında seyrediyor ve bu eğilim artmaya devam ediyor. Bu gelişim sadece mobil oyuncuların değil hacker’ların da ilgisini çekiyor. Eğer güçlü bir koruma kalkanı oluşturulmazsa siber suçluların otomobillere online erişim sağlaması mümkün. Bu durumda Kevin Costner bile pek bir şey yapamayabilir.

Yaşanan birkaç güncel olay otomobillerin de güvenlik açıklarına sahip olabileceğini net biçimde gösterdi. Belçikalı uzmanlar, Ağustos 2018’de Tesla’nın Model S modelinin kontakt sisteminde bir açık bulduklarını duyurdu. Bu açık üzerinden aracın anahtarını saniyeler içerisinde kopyalayıp, otomobilin kapılarını açıp motoru çalıştırabildiler. Bu araba hırsızları için çok güzel bir haber olsa da araç sahipleri için hiç de iyi bir haber değil.

BAŞINDAN İTİBAREN GÜVENLİK

Otomobil sektörü riskin farkına vardı ve siber güvenliğe dair güncellemeler yapıyor. Bir hukuk firması olan Foley & Lardner, ABD’de ve Asya’da faaliyet gösteren şirketlerdeki otomobil ve teknoloji yöneticilerini kapsayan bir araştırma gerçekleştirerek bağlantılı ve sürücüsüz otomobillere dair görüşlerini aldı. Bu çalışmaya katılanların yaklaşık üçte ikisi siber saldırılardan çekindiklerini belirtti. Bunun yanı sıra Avrupa Otomobil Üreticileri Derneği (ACEA) çatısında yer alan 5 otomobil üreticisi; devlet kurumlarıyla, sektör oyuncularıyla ve diğer üçüncü partilerle yeni siber güvenlik riskleri konusunda görüşmekten memnuniyet duyacaklarını belirtti. Peki tüm bu çabalar yeterli mi? T-Systems’da otomotiv ve üretim sektörlerinde güvenlikten sorumlu kıdemli yönetici Christian Olt, “Otomobiller IT güvenliği anlamında ne kadar dikkatli üretilirse üretilsin bir açık kalabilir ya da zamanla yeni açıklar oluşabilir” diyor. Bu nedenle otomobilleri tüm ömürleri boyunca siber saldırılara karşı düzenli biçimde kontrol edecek ve acil durumlarda devreye girecek bir koruyucu yapı ile bir otomotiv güvenlik operasyonları merkezine (SOC) ihtiyaç var. 

İÇERİDEKİ GÜVELİK

Otomotive yönelik bir SOC yapısında araçtan ve çevresinden gelen her türlü veri bir araya toplanır. Bu verilere dair kritik kaynaklardan biri de aracın bünyesinde yer alan sızma denetim sistemidir. (IDS) Otomotiv sektörü bu tür sistemleri araçlara entegre etmek için yoğun biçimde çalışmaya devam ediyor. Ancak mobil şebekelerdeki ve üreticilerin arka planlarındaki farklılıklar da dikkate alınması gereken faktörler arasında. Örneğin, araca gelen beklenmedik mesajların tamamı bir sızma girişimine işaret etmeyebilir. Ancak kısa bir süre öncesinde otomobil üreticisinin veri tabanında sıradışı bir sorgulama yapılmışsa bu durum bir hack olayına işaret edebilir. 

Siber saldırıları tespit etmek için dışarıdan gelen veriler de önemlidir. Örneğin tehditlere dair istihbarat sürecinde zararlı olduğu bilinen IP’lerin bir listesi, güvenlik uzmanlarının tavsiyeleri ve diğer SOC’lerden gelen bilgiler kullanılır. Hatta yeni saldırı kalıplarını görmek üzere hacker’ların ilgisini çekecek otomobil simülasyonları gibi bal tuzakları bile kurulabilir. 

SIEM SİSTEMİYLE HIZLI DİRENÇ

Güvenlik kontrolü ve olay yönetimi (SIEM) adı verilen özel bir sistem tüm verileri analiz eder ve aralarındaki ilişkileri tespit etmeye çalışır. Eğer sistem bir siber saldırıya dair belirtiler tespit ederse otomobil bir dashboard üzerinden SOC’deki uzmanlara alarm verir. Buradaki analistler durumu kontrol eder, yanlış alarm olup olmadığına bakar ve kendi araştırmalarını yaparlar. Zorlu vakalar merkezdeki dijital dedektifler tarafından özel olarak ele alınır. Bu dedektifler, ele geçirilen sistemleri inceleyen ve saldırganın süreçlerini belirlemeyi hedefleyen IT olay yeri inceleme ekipleri gibidir. Gerekli görürlerse ilgili verileri araçlardan izole edebilirler. 

Tüm bunlara karşın SOC’deki uzmanlar acil bir durumda saldırganları nasıl püskürtebilir? Bu prosedür en ince detayına kadar tanımlanmıştır. Güvenlik uzmanlarının hangi tehditte nasıl hareket edeceklerine dair bir olay yanıt planı oluşturulmalıdır. Olt, “Örneğin, zararlı yazılımlar şebekede saniyeler içerisinde yayılabilir. Bu durumda detaylı tartışmalar yapacak vakit yoktur. Ne kadar hızlı yanıt verirseniz o kadar az zarar görürsünüz” diyor. İdeal senaryoda otomobil üreticisi, bir analistin bir uyarıya ne kadar zamanda yanıt vermesi gerektiğini de belirlemelidir.

Sıra dışı kritik vakalarda veya yapılacak müdahalenin saldırgan tarafından görüleceği durumlarda otomotiv SOC ekibinin net ve belirlenmiş yönergelere veya karar vericilere acil erişim imkanına ihtiyacı olacaktır. Örneğin araçtaki SIM kart sürekli paralı hatları arayabilir ve SOC ekibi aracın mobil şebeke modülünü devre dışı bırakmak isteyebilir. Bu yapıldığında aracın gerçek zamanlı navigasyon özelliği de çalışmayacaktır. 

VERİ KORUMA YÖNTEMİ İLE GÜVENLİK

Otomotiv SOC’lerinde veriyle çalışırken dikkat edilmesi gereken önemli bir konu da veri korumasıdır. Örneğin Almanya Otomotiv Sektörü Birliği (VDA), federal ve kamu otoriteleri, bir plaka veya araç tanımlama numarası ile ilişkilendirilen tüm verilerin kişisel veri olduğunu dolaysıyla koruma altında olması gerektiğini kabul eder. GPS verileri veya aracın hızına dair veriler de bu kapsamdadır. Buradaki sorun şudur: Herhangi bir kimliği adreslemese de bazı veriler belirli sürücülerin kimliklerini ortaya çıkaracak kadar spesifik olabilir. Örneğin sürücünün sürüş tarzını yansıtan bir veri olan tekerleğin dakikada attığı tur. Olt, “Eğer araç üreticileri güvenli tarafta durmak istiyorlarsa otomobil SOC’lerindeki tüm verilerin kişisel kabul edilmesi gerekir” diyor. 

Bağlantılı Araçların Gelişimi:

Araçlarda bağlantı olup olmayacağı artık bir soru işareti olmaktan çıkıyor. En azından Avrupa Birliği içerisinde. 31 Mart 2018’den bu yana tüm yeni araçlarda, aracın türünü tanımlamaya yönelik bir acil durum çağrı sistemi olan eCall bulunması zorunlu hale geldi. Bu sistemde bir SIM kart bulunuyor. Bir kaza olması durumunda eCall acil durum araması yapıyor. AB komisyonu bu yöntemle yılda 2 bin 500 kişinin hayatını kurtarmayı hedefliyor.

Diğer yandan bazı analizleri gerçekleştirmek için SOC’nin belirli verilerin hangi araca veya kişiye ait olduğunu bilmesine gerek yoktur. Bu noktada araç üreticileri siber savunma merkezine göndermeden önce verileri anonimleştirebilir veya sahte kimlikli hale getirebilir. Eğer üretici ileride araç sahibiyle temas kurmak isterse sahte kimlikleştirmeye gitmesi daha mantıklıdır. Anonimleştirme durumunda bu tür bir iletişim mümkün olamayacaktır. 

ÇİFTE KNOW-HOW’A SAHİP UZMANLAR

Güvenlik operasyon merkezleri yeni bir kavram değildir. Otomotiv de dahil olmak üzere birçok sektörde şirketin IT altyapısını korumak için bu tür merkezler kurulmuştur. Ancak geleneksel anlamda IT odaklı SOC’ler hem otomotiv özelinde hem de araçlara özgü tehditler konusunda yeterince tecrübe sahibi değildir. Bu nedenle bağlantılı araçlara yönelik siber savunma yaklaşımında hem IT güvenliğini hem de araçların IT sistemlerine dair uzmanlıklarını bir arada bulunduran özel merkezler kurgulanması gereklidir. Diğer taraftan her iki SOC arasında direkt iletişimin olması da önemlidir zira ana sistemde başlayan bir saldırı araçlara da sıçrayabilir. 

Deutsche Telekom, 2017’nin sonbaharından bu yana Avrupa’nın en büyük ve en gelişmiş güvenlik operasyon merkezlerinden birini yönetmektedir. 200 uzmandan oluşan bir ekip Deutsche Telekom’un ve  müşterilerinin gerek yapı içerisindeki gerekse uzak noktalardaki sistemlerini izliyor. Saldırılar gerçek zamanlı tespit ediliyor, savuşturuluyor ve ardından siber suçluların yöntemleri analiz edilerek güvenlik yapısı güçlendiriliyor. Bu çabalar, Deutsche Telekom’un şebekesindeki 2 bin 200 bal tuzağı noktadan gelen önemli bilgilerle de destekleniyor. 

Otomobil SOC’lerinde önemli olan otomotiv know-how’ı şirketin DNA’sında var: Deutsche Telekom’un iştiraki T-Systems, bağlantılı ve sürücüsüz otomobil alanında çalışan önde gelen üreticilere, tedarikçilere ve dağıtıcılara destek oluyor. Olt, “Güvenlik ve otomotiv alanındaki uzmanlığımız sayesinde bağlantılı araçlara yönelik özel siber savunma yapıları kurma konusunda otomobil üreticilerine yardımcı olabiliyoruz” diyor ve ekliyor: “İhtiyaç çerçevesinde, operasyonda bazı görevleri de üstlenebiliyoruz. Örneğin güvenlik uyarılarına yönelik standart ilk analiz hizmeti verebiliyoruz.”

Eğer “The Bodyguard” filmi yeniden çekilseydi Kevin Costner, Whitney Houston’ın limuzinini uzaktan ele geçiren bir hacker’dan kurtulmak için telefonuna davranır ve siber güvenlik birimindeki arkadaşlarından aracın mobil şebeke bağlantısını kesmelerini isteyebilirdi.

Deutsche Telekom güvenlik operasyon merkezine veri sağlayan veri kaynaklarının sayısı: 3,300

Deutsche Telekom’un güvenlik operasyonları merkezinin günde incelediği güvenlik olayı sayısı: 1,5 milyar

Deutsche Telekom’un bal tuzağı sensörlerine günlük gelen saldırı sayısı: 12 milyon