Nükleer santrallar tamamen bilgisayar ve otomasyon kontrolünde olan yapılar olduğundan siber güvenlik konusu öne çıkmaktadır. Ancak nükleer santralların güvenliği denildiğinde Ülkemizde genelde nükleer sızıntı, nükleer yakıtın ve atıkların güvenli bir şekilde depolanması ve taşınması, nükleer santralın yangın, sel, deprem, hırsızlık, terör saldırısı ve sabotaj vb olarak değerlendirilmektedir. Halbuki tüm bu olguların ötesinde siber güvenlikteki risk ve tehditler aslında yukarıda sayılan diğer tüm risklerin hepsinden çok daha önceliklidir ve öyle de olması gerekir.
Nükleer enerji santralına yapılacak siber saldırı sonucu akla gelen gelmeyen her şey yapılabilir, santralın susturulması, soğutma sistemlerinin çalışmasının engellenmesi ki olabilecek en büyük felaketlerden birisidir, santralda istenmeyen anlık bir çalışmanın gerçekleştirilmesi ya da engellenmesi vb. Bu nedenle nükleer santrala arada sırada siber güvenlik sıkılaştırması amacıyla sızma testlerinin yapılması ve alınacak sonuçlara göre siber güvenlik zincirindeki zayıf halkaların bulunup güçlendirilmesi son derece önemlidir.
Nükleer Santrallarda BİT ve Siber Güvenlik Olgusu
Nükleer santrallarda başta SCADA olmak üzere nesnelerin ağı, W/LAN, 5G/6G, yapay zeka, kurgu ötesi ve I&C gibi çok sayıda Bilgi ve İletişim Teknolojileri (BİT) kullanıldığından, kullanılacağından ve kullanımı her geçen gün daha da yaygınlaşacağından siber güvenlik olgusu ve önemi daha da artmaktadır.
Nükleer santrallara yapılan siber saldırı sadece dışardan değil, aynı zamanda içerden de yapılabilmektedir. Örneğin nükleer santralda çalışan bir kişinin bellek çubuğunun casus yazılımla yüklü olması da en büyük risklerden bir tanesidir.
Kritik Altyapı Güvenliği
Aslında sadece nükleer tesisler değil, su, enerji, sağlık, eğitim, ulaştırma, bankacılık ve finans, sigortacılık gibi aklınıza gelen gelmeyen yaşamın hemen hemen her alanında siber güvenlik konusu birincil öncelikli olmalıdır. Nitekim tüm bu sektörler AB ve ABD’de kritik altyapı ve kritik altyapı güvenliği konusu içinde ele alınmaktadır.
Güvenlik Kültürü
Kısaca özetlemek gerekirse nükleer santralda çalışan tüm personelde siber güvenlik kültürünün özümsenmesinin ve ilgili teknik standartlara uygun davranmalarının sağlanması için örneğin “Temiz masa, temiz ekran.” sloganında olduğu gibi gerekli ve yeterli eğitimin verilmesi son derece önemlidir. Nitekim siber güvenlik olgusu sadece teknik standartlarla sağlanabilecek bir husus değildir.
Siber güvenlik kültürü, aslında teknik standartlar, teknik güvenlik önlemleri ve ilgili düzenlemelerden bile önemlidir. Nitekim teknik standartlar, yasal düzenlemeler vb ne kadar doğru olursa olsun, sonuçta bir zincir en zayıf halkası kadar güçlüdür ki, bu en zayıf halka da siber güvenlik olgusunda çoğunlukla insan faktörüdür yani kişilerin siber güvenlik konusunda ne kadar bilgili, bilinçli ve bu konuya önem vermesiyle doğru orantılıdır.
Çok daha geniş bir açıdan konu incelendiğinde, nükleer güvenlik kültürü denildiğinde, nükleer güvenlik, siber güvenlik, fiziki güvenlik, nükleer yakıtları taşıma ve depolama güvenliği ve son olarak da uluslararası ilişkiler boyutu olarak tüm bu olgular beraber göz önüne alınarak gerekli teknik, idari ve hukuki düzenlemeler yapılıp uygulanmalıdır.
Yurtdışındaki Teknik Standardizayon Çalışmaları
ISO/IEC Ortak Teknik Komitesi JTC 1’in hazırlayıp yayınlamış olduğu ISO/IEC 27001 teknik standart, günümüzde bilgi güvenliği, siber güvenlik konularında yayınlanmış olan yüzlerce standarttan sadece bir tanesidir.
IAEA, ENISA, NSA, AB, ABD, ITU vb bünyesinde nükleer tesislerdeki siber güvenlik konusuna yönelik çok sayıda çalıştay ve toplantı yapılmakta ve bunların en sonuncusu ise IAEA bünyesinde Haziran 2022’de yapılmış olup, Ülkemizin de üyesi, bulunduğu bu toplantı ve çalıştayların çok yakından ve etkin bir şekilde izlenmesi gerekmektedir.
Nükleer tesislerde kullanılacak olan yazılım ve donanımın içinde casus yazılım, açık ve gedik olup olmadığının EAL4+ ve ISO/IEC 15408 gibi çeşitli teknik standart serisi açısından kontrol edilmesi de son derece önemlidir.
ABD Nükleer Düzenleyici Komisyonu, Nuclear Energy Institute, IEC, ISO/IEC, ISO ve HMG IA Standard No. 1, ITU, NSA, ENISA, AB, NATO, OSCE, ANS, NPIC HMIT vb tarafından nükleer tesislerdeki siber güvenliğin sağlanmasına yönelik çok özel yazılım, program ve teknik güvenlik standartları yayınlanmıştır.
Nükleer santralların siber güvenliğinin sağlanması konusunda başta IAEA olmak üzere AB, ABD, Almanya, Japonya ve Kore gibi çok sayıda uluslararası katılımlı toplantı ve raporlar yayınlanmış ve bunların yakından izlenmesi Ülkemiz açısından son derece önemlidir.
Her ne kadar teknik bir konu olmasa da, nükleer tesislerde dış kaynak kullanımı son derece büyük risk ve tehditler içermektedir. Dolayısıyla bir ülkenin olası bu risk ve tehditleri ortadan kaldırabilmesi ya da en aza indirebilmesi için olabildiğinde dış kaynak kullanımına sınırlandırma getirmesi gerekir.
Siber Saldırılar
IDS, ateş duvarı, oltalama, EMP, solucan, Truva atı, DDOS vb açısından da gerekli teknik önlemlerin alınması son derece önemlidir. Her ne kadar bu konuda bazı teknik önlemler alınsa da yine de siber saldırının yapılması önlenememektedir. Nitekim %100 siber güvenlik olgusu neredeyse olanaksızdır. Yani daima bir açık nokta bulunacaktır ve işte o açık noktadan da siber saldırı yapılmaktadır.
Son 30 yıllık sürede çok sayıda nükleer santrala siber saldırı yapılmıştır.
Örneğin nükleer enerji karşıtı bazı kişilerce 2012 yılında ABD’nin Tennessee eyaletindeki Oak Ridge nükleer tesisine yapılan saldırı belki de en ilginç siber saldırı olayıdır.
Başta Korea Hydro & Nuclear Power (KHNP) olmak üzere ABD, Almanya gibi birçok ülkedeki nükleer santralların saldırıya uğradıkları bilinmektedir.
2003 yılında Davis-Bess nükleer enerji tesisine yapılan siber saldırıda büyük bir zarar meydana gelmiş ve tesis uzun bir süre çalışamaz hale gelmiştir.
2006 yılında ABD’nin Alabama eyaletindeki Browns Ferry nükleer enerji tesisindeki kritik reaktör bileşenlerine çok geniş çaplı bir siber saldırı yapılmış ve tesis uzun bir süre çalışamaz hale gelmiştir.
Bilindiği üzere enerji ve nükleer tesislere yapılan en önemli ve geniş çaplı siber saldırılardan bir tanesi de Stuxnet saldırısıdır. ABD ve İsrail‘in, İran’ın nükleer çalışmalarını kesintiye uğratabilmek için kullandığı solucan yazılımdır. Haziran 2010’da varlığı açığa çıkan virüs İran’ın Buşehr ve Natanz kentlerindeki nükleer tesislerini etkilemiş ve bu tesisler uzun bir süre kullanılamaz hale gelmiştir.
Akkuyu Nükleer Santralı
Rusya ile yapılan anlaşma incelendiğinde, nükleer santralda ne siber güvenlik konusuna yönelik bir madde bulunmakta ne de burada çalışacak Türk personelin siber güvenlik konusunda eğitilmesine yönelik bir maddenin yer almadığı görülmektedir.
Bu husus, gerek Akkuyu nükleer santralın siber güvenliğinin sağlanması açısından ve gerekse de Ülkemizin geleceğe yönelik güvenliği açısından son derece önemli olduğu değerlendirilmektedir.
Akkuyu nükleer tesisinin tüm proje ve tasarımı konusunda tek yetkili, bilgili ve deneyim sahibi olan Ruslar, doğal olarak bu tesisin siber güvenlik açısından olası açıklıklarını bizden çok daha iyi bilmektedir ki, Ülkemiz açısından esas risk ve tehdit de burada bulunmaktadır.
Sonuç ve Değerlendirmeler
Ülkemizde ilgili tüm kamu kurum ve kuruluşları, üniversiteler vb sadece nükleer tesis güvenliği değil, kritik altyapı güvenliği konusunda gerek yurtiçi ve gerekse de yurtdışı çalışmaları yakından izlemeli ve bu çerçevede gerektiğinde idari, hukuki ve teknik standartlar anlamında gerekli güncellemeler günümüzün teknolojik gelişmelerine uygun olarak ivedilikle yapılmalıdır.
Bunun için de öncelikle yeterli nitelikte personelin yetiştirilmesi gerekir. Çünkü nükleer santralların siber güvenlik olgusu, yapıları itibariyle ayrı bir uzmanlık gerektirdiğinden sadece bu konuya özgü bir siber güvenlik eğitimi verilmeli ve yine bu konuya özgü nitelikte personel yetiştirilmelidir.
Benzer şekilde nükleer tesislerin siber güvenliğine özgü teknik standartları ve yine bu konuya özgü düzenlemelere işlevsellik kazandırılmalıdır, var olan eksiklikler bulunup ivedilikle giderilmelidir.
Ayrıca gerek BİT ve gerekse de siber güvenlik konusundaki hukuki ve teknik gelişmeler olabildiğinde çok yakından izlenip, uygun ve gerekli olanlar ivedilikle uygulamaya konulmalıdır.
Özetlemek gerekirse konuya sadece nükleer tesislerin siber güvenliği açısından bakmayıp, tam tersine konuyu bütüncül bir yapıda göz önüne alıp, siber güvenlik konusu, aslında ANAVATAN ve MAVİ VATAN olgusuna benzer şekilde son derece önemli olup, SİBER VATAN olgusu eksik olursa, TÜRKİYEM’in güvenliğinin asla ama asla sağlanamayacağı bilinmelidir.
Kaldı ki, günümüzün ve gelecek yüzyılların BİT olgusu göz önüne alındığında SİBER VATAN olgusu, ANAVATAN ve MAVİ VATAN’dan çok daha ön plana çıkacağı ve çıkması gerektiği de göz önüne alınmalı ve şimdiden buna göre olası hukuki, idari ve teknik eksiklikler çok ivedilikle giderilmelidir.
Ülkemizde siber güvenlik konusundaki çalışmalar çeşitli kamu kurumları tarafından yapıldığı bilinmekte ve Ülkemizin bu konuda oldukça başarılı olduğu da bilinmektedir. Ancak hiç şüphesiz bu konuda Ülkemizde başta hukuki, teknik ve idari düzenlemeler konusunda yapılması gereken bazı önemli adımların olduğu da bir gerçektir. Bu eksikliklerin ivedilikle tamamlanması Ülkemizin, daha doğrusu BİT anlamında düşünüldüğünde SİBER VATANIMIZIN geleceği açısından son derece önemlidir.