FBI gerçek dünya siber saldırılarını test etmek için kendi yapay kasabasını kurdu

FBI, siber saldırı senaryolarını gerçek altyapı üzerinde test etmek üzere ABD'de tam ölçekli bir yapay kasaba kurdu. TechCrunch'ın haberinde, tesisin elektrik şebekesi, su altyapısı, bankacılık ve eğitim sistemleri dahil bir kasaba ölçeğindeki tüm dijital ve fiziksel altyapıları taklit ettiği belirtiliyor. Bu tür siber poligonların ne işe yaradığına yakından bakalım.

Siber poligon (cyber range) kavramı, son on yılda büyüdü. Klasik dijital test ortamları, sanal makineler ve simülasyon yazılımları üzerinde çalışıyor; fiziksel test ortamları ise gerçek donanımı ve gerçek ağ ekipmanını içeriyor. FBI'ın tesisi, fiziksel bir poligon. ABD Ulusal Standartlar ve Teknoloji Enstitüsü'nün (NIST) belgelerinde de fiziksel poligonların "daha gerçekçi tehdit modelleri" sağladığı vurgulanıyor.

İlk soru: neden gerçek altyapı? Çünkü endüstriyel kontrol sistemleri (ICS), enerji şebekesi, su arıtma, üretim hatları gibi alanlar, klasik IT testlerinde yakalanamayan dinamiklere sahip. Programlanabilir mantık denetleyicileri (PLC), insan-makine arayüzleri (HMI) ve özel iletişim protokolleri (Modbus, DNP3, IEC 61850) saldırı yüzeylerinin çok azını ortak masaüstü test ortamlarında modelleyebiliyor.

İkinci soru: poligon neyi test eder? Üç ana eksen var. Birincisi, müdahale ekiplerinin eğitimi. Olay müdahale (incident response) ekipleri, bir saldırı sırasında dakika dakika karar verme süreçlerini simülasyonda öğreniyor. İkincisi, savunma ekipmanının değerlendirilmesi. Yeni izleme sistemleri, ağ segmentasyon araçları ve EDR (endpoint detection and response) ürünleri, gerçek saldırı senaryolarına karşı sınanıyor. Üçüncüsü, prosedür gözden geçirme. Yeni bir saldırı yöntemine karşı mevcut prosedürün etkili olup olmadığı belirleniyor.

FBI tesisi, kamu ortağı modeline işaret ediyor. Federal kurumlar, eyalet düzeyindeki yetkililer, özel sektör altyapı operatörleri ve akademik araştırmacılar için ortak bir test sahası sağlıyor. Bu, kritik altyapı koruması için gerekli olan kurum içi koordinasyonun sahada provasını yapmak demek.

Küresel resimde benzer örnekler var. İsrail'in Cyberbit ve Be'er Sheva'daki National Cyber Park, Avrupa'da Estonya'nın NATO Cooperative Cyber Defence Centre of Excellence'i ve İngiltere'nin Cranfield siber poligonu örnek gösterilebilir. Almanya, Cyber Innovation Hub aracılığıyla benzer bir model geliştirdi.

Türkiye için bağlam: Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve Ulusal Siber Olaylara Müdahale Merkezi (USOM), kritik altyapı operatörleri için tatbikat ve sertifikasyon programları yürütüyor. Türk Silahlı Kuvvetleri Siber Komutanlığı ile özel sektör arasında, BTK düzenleyiciliğinde gerçekleştirilen ulusal tatbikatlar, FBI tesisi benzeri bir tam ölçekli poligonun ülke gündemine daha fazla gelmesini bekliyor.

Kritik altyapı saldırılarının son yıllarda artan görünürlüğü, bu yatırımları motive ediyor. ABD'de 2021'deki Colonial Pipeline saldırısı, 2024'teki Ulta Beauty ve hospital ağlarına yönelik fidye yazılımı operasyonları ve Avrupa'daki çeşitli enerji şirketlerinin maruz kaldığı operasyonel kesintiler, fiziksel etkilerin gerçek olduğunu gösterdi. CISA'nın 2024 raporu, kritik altyapı sektörlerindeki güvenlik olayı sayısının yıllık iki haneli oranlarda arttığını belirtiyor.

Maliyet tarafı: fiziksel poligon kurulumu pahalı. Tek bir tesisin yıllık operasyon maliyeti milyonlarca dolar düzeyinde olabiliyor. Bu, küçük ülkeler ve özel sektör operatörleri için "poligona zaman satın alma" modelini öne çıkarıyor. ABD'de Idaho National Laboratory'nin uzun süreli ICS poligonu, kendi altyapısını saatlik bazda kiralayabiliyor.

FBI tesisinin somut çıktıları, doğrudan kamuoyu ile paylaşılmaz; siber savunma poligonlarının doğası gereği test çıktıları gizli kalıyor. Ancak federal düzeyde tatbikat sıklığının artması, daha kapsamlı tehdit briefingleri, ve özel sektör eğitim programlarının yaygınlaşması beklenebilir.

Kısa vadeli ipucu: kurumsal okuyucular için, kendi kurumlarının siber tatbikatlara katılım sıklığını gözden geçirmek, bu haberin somut çıkarımı. Yıllık tatbikat sayısı, ekipman testi prosedürü ve olay müdahale ekibinin saha çalışması sıklığı, FBI tesisi gibi büyük altyapıların ortaya koyduğu standartlar ışığında değerlendirilmeli. Bu yazı bir güvenlik denetimi tavsiyesi değildir.