DOÇ. DR. SEDAT BAŞTUĞ

DENİZCİLİKTE SİBER GÜVENLİK ve RİSK YÖNETİMİ

Küresel ticaretin hayati bir vazgeçilmezi olan denizcilik sektörü, şu anda siber saldırılardan kaynaklanan endişe verici ve hızla artan bir tehditle karşı karşıya. Dijital teknolojiler deniz operasyonlarının ayrılmaz bir parçası haline geldikçe, sağlam siber güvenlik önlemlerine duyulan ihtiyaç kritik ve acil bir noktaya ulaşmıştır.

Siber güvenlik, ulusal sınırları aşan küresel bir sorundur. Denizcilik operasyonlarının birbirine bağlı doğası, kökeni ne olursa olsun tek bir siber olayın derin ve geniş kapsamlı sonuçlar doğurabileceği anlamına gelir. Denizcilik sektöründe Bilgi Teknolojileri (BT) ve Operasyonel Teknolojinin (OT) entegrasyonu benzersiz siber güvenlik zorlukları ortaya çıkarmaktadır. Seyrüsefer, gemi makinaları yönetimi ve yük elleçleme gibi fiziksel süreçleri kontrol eden OT sistemleri, giderek artan bir şekilde BT ağlarına bağlanmakta ve bu da onları siber tehditlere maruz bırakmaktadır. Deniz taşımacılığında tedarik zincirinin kritik düğümleri olarak limanlar, siber saldırılara karşı özellikle savunmasızdır.

Denizcilik sektöründeki güvenlik açıklarını vurgulayan birkaç yüksek profilli siber olay şunlardır:

- Maersk NotPetya Saldırısı (2017): Saldırı, yaklaşık 300 milyon dolar olarak tahmin edilen büyük mali kayıplara yol açarak denizcilik sektöründe güçlü siber güvenlik önlemlerinin kritik gerekliliğini ortaya koymuştur.

- San Diego Limanı Fidye Yazılımı Saldırısı (2018): Bu olay, liman altyapısının siber tehditlere karşı savunmasızlığını ve hem BT hem de OT sistemlerinin güvenliğinin sağlanmasının önemini vurgulamıştır.

- COSCO Shipping Lines Siber Saldırısı (2018): Saldırı, iletişim ve rezervasyon sistemlerini kesintiye uğratarak siber olayların küresel denizcilik operasyonları üzerindeki geniş kapsamlı etkisini göstermiştir.

- Mediterranean Shipping Company (MSC) Siber Olayı (2020): MSC, bir siber olay yaşamış ve bu da denizcilik operasyonlarının sürekliliğini sağlamak için siber güvenliğin önemini ortaya koymuştur.

Bu sektör, 1958 Cenevre Açık Deniz Sözleşmesi, 1972 Çatışmayı Önleme Uluslararası Düzenlemeleri, 1974 Denizde Can Güvenliği Uluslararası Sözleşmesi (SOLAS) ve 1982 Birleşmiş Milletler Deniz Hukuku Sözleşmesi (UNCLOS) dahil olmak üzere birçok uluslararası sözleşme ve düzenleme tarafından yönetilmektedir. Ancak bu sözleşmelerin çoğu fiziksel güvenlik ve seyire odaklanmış olup siber güvenlik konusunda neredeyse hiçbir hüküm içermemektedir.

2016 yılında Uluslararası Denizcilik Örgütü (IMO), siber güvenliğin önemini kabul etmiş ve geçici risk yönetimi yönergeleri yayınlamıştır. 2017 yılında ise IMO, MSC.428(98) sayılı Kararı benimseyerek denizcilik şirketlerinin Ocak 2021 itibarıyla Emniyetli Yönetim Sistemlerine siber güvenlik risk yönetimini dahil etmelerini zorunlu kılmıştır. Bununla birlikte, denizcilik sektörü siber güvenliğini güçlendirmek için NIST CSF çerçevesine de büyük ölçüde güvenmektedir. 2.0 versiyonuna güncellenen bu çerçeve, genel organizasyon yönetimiyle siber güvenlik uygulamalarının entegrasyonunu vurgulayan yeni bir “Yönetim” fonksiyonu sunmaktadır.

Ancak, denizcilik sektörü NIST CSF ile uyum sağlamada ilerleme kaydetse de özellikle tedarik zinciri siber güvenlik risk yönetimi konusunda önemli boşluklar bulunmaktadır. Mevcut ilkeler ve yönergeler, uygulama stratejileri açısından ayrıntılı kılavuzlar sunmamaktadır. Siber tehditlerin giderek daha karmaşık hale gelmesi nedeniyle mevcut düzenlemelerin yetersiz kaldığına dair artan bir fikir birliği bulunmaktadır.

AB'nin güncellenmiş Ağ ve Bilgi Sistemleri Direktifi (NIS2) ve Kritik Varlıklar Direktifi (CED), denizcilik sektörünü önemli ölçüde etkileyecektir. NIS2, orijinal NIS Direktifi'nin kapsamını genişleterek denizcilik sektöründeki şirketlere daha sıkı siber güvenlik gereksinimleri getirmektedir. Denizcilik şirketleri, bu yeni düzenlemelere uyum sağlamak için siber güvenliğe daha fazla yatırım yapmak zorundadır. AB üye devletleri, siber güvenlik standartlarının oluşturulması ve uygulanmasında kilit bir rol oynamaktadır. Örneğin, AB'nin Genel Veri Koruma Yönetmeliği (GDPR) ve NIS Direktifleri (1 ve 2), denizcilik sektöründeki şirketlerin güçlü siber güvenlik önlemleri uygulamasını ve olayları zamanında bildirmesini zorunlu kılmaktadır.

Kritik Varlıklar Direktifi (CED), limanlar ve deniz taşımacılığı tesisleri de dahil olmak üzere kritik altyapının dayanıklılığına odaklanarak NIS2'yi tamamlamaktadır. CED, üye devletlerin kritik varlıkları belirlemesini ve fiziksel ve siber tehditlere karşı güçlü güvenlik önlemleri uygulamasını gerektirmektedir.

AB'nin Yapay Zeka Yasası (AI Act) da özellikle operasyonel teknoloji ve limanlarda yapay zeka kullanımına ilişkin denizcilik sektörü için önemli sonuçlar doğurmaktadır. AI Act, yapay zeka sistemlerinin güvenli, şeffaf ve temel haklara saygılı olmasını sağlamaktadır.

Sektör, artan siber tehditlerle karşı karşıya olup koordineli ve kapsamlı bir yanıt gerektiren kritik bir dönüm noktasındadır. Mevcut düzenlemelerin güncellenmesi ve uyumlu bir çerçeveye dönüştürülmesi denizcilikte siber güvenliği artırmak için elzemdir. Bununla birlikte, uluslararası iş birliği, güçlü standartlar ve şirketlerin proaktif önlemler alması da aynı derecede önemlidir. Küresel denizcilik topluluğu, bilgi, en iyi uygulamalar ve kaynakları paylaşarak siber güvenlik savunmasını topluca güçlendirebilir. Bu, denizcilik sektörünün dijital çağda güvenli ve emniyetli bir şekilde ilerlemesini sağlayacaktır.