Siber güvenlik, telekomünikasyon sistemlerinin her zaman yüksek öncelikli ve vazgeçilmez bir parçasıydı. Geleneksel aviyonik mimariler ise, doğası gereği, dış dünya ile veri etkileşimlerinden izole olacak şekilde tasarlandı ve kötücül yazılımların erişimine büyük ölçüde kapalı kaldı. Erişime açık olmayan aviyonik yazılım ve donanımların kullanımı da siber saldırganların ihtiyaç duyduğu spesifik bilgilerin erişimini engelliyordu.
Diğer birçok sektörde olduğu gibi havacılık endüstrisi de hızlı dijitalleşirken, 5G, Bulut, Wi-Fi, Uydu Haberleşmesi ve Yapay Zeka gibi teknoloji ve konseptler yeni nesil aviyonik süitlerde yerlerini aldı. Bu gelişmeler akabinde dış dünya ile iletişime geçen aviyonik platformlar ise siber saldırılara açık hale geldi. Artan bağlantı noktaları, donanım ve yazılım karmaşıklığının büyümesi de modern aviyonik sistemler için tehdit yüzeyinin artmasına yol açtı.
Yeni nesil sivil ve askeri uçaklardaki gelişmelere paralel olarak, dünyadaki sivil havacılık düzenleyicileri, iletişim, navigasyon ve gözetim teknolojilerini geliştiren şirketler için yeni politikalar, düzenlemeler ve kılavuzlar geliştirmeye başladı. 2019 yılında Avrupa ve Amerikan havacılık endüstrisi, EASA ve FAA ile koordine olarak, hava aracı geliştirme aşamasında kılavuz olarak kullanılmak üzere Uçuşa Elverişlilik Güvenlik Süreci Spesifikasyonu’nu (Airworthiness Security Process Specification ED202/DO326) yayınladı. ED202/DO326 spesifikasyonunun aviyonik sertifikasyon sürecine en büyük etkisi ise değişken siber tehdit unsurlarına karşı yazılım ve donanımların belli aralıklarla güncellenmesi gerekliliği oldu. Bunun sonucunda güncel siber güvenlik ihtiyacını karşılamak için döngüsel bir sertifikasyon süreci başlamış oldu.
Askeri Havacılığın Evrimi
Birinci Dünya Savaşı sırasında ve hemen sonrasında, savaş uçaklarının ilk versiyonları havacılık sahnesine çıktı. Bu uçaklar birinci nesil jet avcı uçakları olarak sınıflandırıldı ve iletişim, navigasyon gibi fonskiyoneliteler için aviyonik sistemler kullanılmadı.
İkinci nesil askeri hava araçlarında yüksek hızlarda kullanılan silah sistemlerinin doğruluğu ve etkinliği artırmak için radarlar ve güdümlü füzeler kullanıldı. Ayrıca, savaş pilotlarının daha fazla savaş alanı desteğine ihtiyaç duyduğu da ortaya çıktı. Bu nedenle jet avcı uçakları bu ihtiyaçların bir kısmını karşılayacak çok rollü bir pozisyona adapte edildi. Merkezi ve dağıtık mimariler, analog veri gönderimi, dijital ve senkro arayüzler, kısıtlı tümleşik ekranlar ve görev emniyet kritik aviyonikler bu nesilde kullanılmaya başlandı.
Üçüncü nesil askeri hava araçlarında ise federe mimarilerin kullanıldığı, uzak terminal sayılarının arttığı ve hataya dayanaklı aviyonik sistemlerin yer aldığı görüldü. Sadece gerekli silahları taşımakla kalmadılar, aynı zamanda havadan havaya müdahalede bulunabildiler Ayrıca darbeli doppler radarı ve saha dışı hedefleme aviyonikleri gibi teknolojiler de bu nesilde karşımıza çıktı.
Bu nesildeki en önemli gelişmelerden biri federe mimari yapısı doğrultusunda “tek işlev -bir bilgisayar” prensibiyle yeni nesil aviyonik sistemlerin geliştirilmesi oldu. Federe yapılar hava aracının her bir fonksiyonunun kendine ait işlemci ve sensörden oluştuğu, verinin farklı fonksiyonlar arasında paylaşılmadığı, tek bir görevi icra eden kutuların yer aldığı mimarilerdi. Federe sistemler geleneksel metodolojileri kullanması, sertifikasyon ve tasarımı nispeten kolaylaştırması ve hali hazırda bir tedarik zincirine sahip olması gibi avantajlar sağlarken; yer, ağırlık ve güç tüketiminin fazla olması, yazılımların yeniden kullanılabilirlik, taşınabilirlik ve modülerlik özelliklerini yeterince karşılayamaması gibi dezavantajları getirdi.
Dördüncü nesil askeri hava araçları dijital veri yollarının yoğun olarak kullanıldığı ve 1. Nesil IMA (Integrated Modular Avionics) mimarisinin görüldüğü nesil olarak yer aldı. Manevra kabiliyetleri, kablolu uçuşları, daha hafif kompozit malzemeleri, sentetik radarları ve kızılötesi yetenekleri ile karakterize edilen bu jetler, aerodinamik ve gizlilik açısından büyük bir gelişmeydi.
IMA mimarisi federe mimarilerin aksine ortak donanım modüllerinin bir araya getirildiği, sensör verilerinin birden fazla sistem bileşeni tarafından paylaşıldığı, bir ana işlemcinin aviyonik fonksiyonların çoğunu yerine getirdiği, aynı zamanda alan ve zaman bölütlendirmesine imkan sağlandığı mimari yapılardı. IMA mimarisi yer güç ve ağırlıktan kazanç sağlarken aynı zamanda yeniden kullanılabilirlik , taşınabilirlik ve modülerite açısından da yazılımda büyük avantaj sağladı. Ancak tasarım ve sertifikasyonunun daha kompleks olmasına yol açtı.
Dijital hesaplama ve mobil ağ, beşinci nesil savaş uçaklarını tanımlandığı nesil oldu. Yeni pilot kaskları, iletişim ağları, sensörler, yardımcı saldırı dronları ve daha güçlü motorlar, savaş havacılığında sınırları zorladı. 2. Nesil IMA mimarisi sayesinde iyileştirilmiş modülerlik ve hataya dayanıklılık, 5G, Bulut Bilişim, Makine Öğrenme, yapay zeka gibi teknolojilerin kullanımı yaygınlaştı. Ayrıca Aviyonik Siber güvenlik standartları da yerini almaya başladı.
ED202/DO326 Uçuşa Elverişlilik Güvenlik Süreci Spesifikasyonu
Aviyonik endüstrisindeki siber güvenlik tehditleri diğer endüstrilere göre çok daha uzun süre sonra sorun teşkil etti. Bu durumun en önemli nedenleri arasında IT sistemlerinin ve aviyonik sistemlerin doğası gereği birbirinden farklı olması ve aviyonik altyapıya yönelik bu tür karmaşık saldırılarda kullanılabilecek bilgi birikiminin yalnızca içeride çalışanlar tarafından bilinmesi başka bir ifadeyle dışarıya kapalı kalmasıydı.
Aviyonik endüstrisinin hızla dijitalleşmesiyle COTS ürünler, Bulut Bilişim, 5G ve Yapay Zeka gibi teknolojilerin kullanımı yaygınlaştı. Dış dünya ile bağlantılı hale gelen aviyonik platformların siber ataklara açık hale gelmesi siber güvenlik çözümlerinin kullanımını zorunlu hale getirdi. Aviyonik sistemlerin kendine has bir disipline ve uzmanlık alanına ihtiyaç duyması, siber güvenlik çözümlerinde de özelleşmiş analiz tekniklerine ve güvence hususların gelişmesine yol açtı. Bu gelişmeler ışığında EASA hava aracı geliştirme aşamasında kullanılmak üzere Uçuşa Elverişlilik Güvenlik Süreci Spesifikasyonunu (Airworthiness Security Process Specification ED202/DO-326) yayınladı.
RTCA DO-326A, “Uçuşa Elverişlilik Güvenlik Süreci Spesifikasyonu”, uçaklarda siber güvenlik için fiili endüstri yol haritasıdır. Siber güvenlik tehditleri olarak da bilinen uçak sistemlerine yönelik kötü niyetli müdahalelerin sistematik olarak nasıl önleneceği ve azaltılacağı konusunda rehberlik sağlamaktadır. Endüstride genellikle “havacılık siber güvenliğine giriş” olarak adlandırılmaktadır.
DO-326A, tüm hava taşıtları, motorlar, rotorlu taşıtlar ve pervaneler için resmi uyumluluk gereksinimlerini temsil eder. Standardın içeriği, üreticiler için uyumluluk hedefleri ve veri gereksinimlerinin ana hatlarını çizerken, güvenli bir ekosistem oluşturmanın ne anlama geldiğini belirtir. DO-326A'nın ana odak noktası, bir saldırının uçağın çalışma şeklini ciddi şekilde etkileyebileceği ve yolcu ve operatör güvenliğini tehlikeye atabileceği durumlarda, geliştirme ve uçuş operasyonları sırasında kötü amaçlı yazılımların aviyonik sistemlere bulaşmasının nasıl önleneceğinin ana hatlarını çizmektir.
DO-326/ED-202 seti içeresindeki her bir spesifikasyon bir amaca yönelik oluşturulmuştur. DO-326/ED-202 spesifikasyonu sertifikasyon sürecinde ne yapılması gerektiğini belirtirken DO-356/ED-203 spesifikasyonu, nasıl yapılması gerektiğini anlatır. DO-355/ED-204 dokümanı üretim sonrası yapılması gerekenleri, ED205 de ağırlıklı olarak Avrupa kullanımına yönelik yer sistemleri spesifikasyonunu içermektedir.
Çip Seviyesinden Platform Seviyesine Siber Güvenlik Çözümleri
Siber saldırılara karşı güvenli ve dayanıklı sistemler geliştirmek için çip seviyesinden platform seviyesine kadar çok katmanlı bir güvenlik mimarisinin oluşturulması gerekmektedir. Bu kapsamda değerli verilerin ve bilgilerin korunduğu, saldıralar karşısında sistemin kritik faaliyetlerini sürdürebildiği savunma mekanizmalarının katmanlaştırıldığı siber güvenlik yaklaşımları izlenmektedir. Fazla bileşenlere sahip bu çok katmanlı yaklaşım, bir bütün olarak sistemin güvenliğini arttırır ve birçok farklı saldırı vektörünü dikkate alır. Bu sebeple çip, kart, montaj, platform ve veriyollarına yönelik gerekli siber güvenlik mekanizmalarının oluşturulması önemlidir.
Çip seviyesinde en çok karşılaşılan saldırılar tersine mühendislik, yan kanal, voltaj sıçraması, bit değişimi ve kötücül yazılım saldırılarıdır. Tersine mühendislik saldırılarının başlıca amacı entegre devrenin tasarımının, gömülü program kodunun ve kriptografik verilerin elde edilmesidir. Çip üzerindeki kriptografik hesaplamalarda ortaya çıkan fiziksel veriler önbellek, zamanlama, güç analizi ve elektromanyetik saldırı yöntemleri kullanılarak analiz edilir. Voltaj sıçraması saldırısı ile bir veya daha fazla makine kodunun yürütülmesi kesintiye uğratılarak kimlik doğrulama gibi kritik işlemler atlatılabilir. Bit değişimi saldırısı ile çip üzerindeki hafıza alanlarının değeri değiştirilerek kritik fonksiyonlara erişim amaçlanır. Kötücül yazılımlar, kasıtlı veya çip tasarımından kaynaklı güvenlik açıklıklarından yararlanarak çip üzerinde arka kapı oluşturulabilir.
Çip seviyesindeki saldırılara karşı alınacak önlemler entegre devrenin tasarımına yöneliktir. Bu önlemler tedarik zinciri sürecinde ve üretim sürecinde uygulanılır. Tersine mühendislik yaklaşımlarına karşı entegre devreye müdahaleyi önleme amaçlı teknikler kullanılır. Yan kanal saldırılarına karşı entegre devrenin ürettiği her türlü veri emisyon yöntemleri için tasarım çözümleri uygulanır.
Kart seviyesinde yaygın olarak tersine mühendislik saldırıları, gömülü işletim sistemi ve uygulamalara yönelik saldırılar, veri yolu zafiyetini kullanan saldırılar, test birimine yönelik saldırılar ve donanım eklentisi saldırıları gerçekleştirilir. Baskı devre kartına yönelik tersine mühendislik saldırılarında kartın içerdiği özel donanım modüllerinin tasarımı, aygıt yazılımları, kartın katmanlı yapısının analizi sonucu kriptografik anahtarların çıkarılması mümkündür. Gömülü işletim sistemi ve uygulamaların sahip olduğu güvenlik açıklıkları kullanılarak kritik fonksiyonlara erişim sağlayacak şekilde yazılıma müdahale etme amaçlanır.
Baskı devre kartının tasarım aşamasında ürünlerin işlevsel özelliklerine yönelik saldırılar düşünülerek bileşenler arasında güvenilir ilişki ve veri akışları tanımlanmalıdır. Kartın tasarımında, sahip olduğu verileri elde etmek için yapılacak tersine mühendislik saldırılarına karşı caydırıcı karşı önlemler alınmalıdır. Kart tasarımında yer alan yazılım kurulumu, ürün testi, hata algılama ve onarım desteği sağlamak için oluşturulan test noktaları kritik fonksiyonlara erişim sağladıklarından bu noktaların azaltılması veya güvenli hale getirilmesi gereklidir. Veri yolları tersine mühendislik ve zararlı eklentiler için bir giriş noktası olduğu için bileşenler arasında veri ve mesaj bütünlüğünü sağlayan kriptografik çözümler uygulanmalıdır.
Montaj seviyesinde Hatta Değiştirilebilir Cihazlar (LRU) ve Elektronik Kontrol Cihazları (ECU) olarak adlandırılan entegre bileşenler platformun alt sistemlerini oluşturmaktadır. Montaj seviyesinde alınacak önlemler ile bu alt sistemlerin kapsadığı güç kaynaklarının, sinyal kontrol panellerinin, sensör işleyicilerin ve aktuatörlerin güvenliğini ve gizliliğini korumayı amaçlamaktadır. LRU’lar arasındaki haberleşme çoğu sistemde birbirine güvene dayalı şekilde modellenmiştir. Kimlik doğrulamanın yapılmadığı bu sistemlerde birimler arasındaki haberleşmelerde mesajların orijinalliği garanti edilememektedir. Güvenlik açığı barındıran bir LRU ele geçirildikten sonra diğer LRU’ların çalışmalarını bozmaya yönelik ataklar için bir başlangıç noktası oluşturarak platformun işlerliğine zarar verilebilir. Çoğu sistemde LRU’lar konfigürasyon dosyaları üzerinden yönetilmektedir. Saldırganlar güvenli şekilde tutulmayan bu dosyalar üzerinden de konfigürasyonda değişiklikler yaparak platformun çalışmasını bozabilmektedir.
Montaj seviyesinde güvenliği sağlamak için LRU’ların kriptografik kimlik doğrulama metotlarını kullanması gerekmektedir. Bu yöntemle sistemde yetkisiz LRU’ların var olmadığı garanti edilerek zararlı birimlerin diğer birimlerle haberleşmesinin önüne geçilmesi amaçlanmaktadır. LRU’larda yüklü yazılımların yetkisiz olarak değiştirilmesini önleme amaçlı kriptografik protokoller yürütülmeli ve LRU seviyesinde anomalileri tespit etmek için saldırı tespit sistemleri kullanılmalıdır.
Platformlarda bulunan uçuş yönetim sistemi, haberleşme ve navigasyon sistemleri, silah sistemleri gibi alt sistemler, birçok cihazın birbiri ile bir veri yolu üzerinden haberleşmesi prensibi ile çalışır. Bu alt sistemler, çok çeşitli üretici, veri yolu, sensör, işlemci ve aktüatörlerden oluşabilmektedir. Bu çeşitlilik aynı zamanda farklı saldırıların yapılabilmesine olanak sağlamaktadır. Saldırganın birimler arasındaki doğrudan iletişimi engellemesi, veriyolu üzerinden yapılan atakların başında yer alır. Saldırgan, birimler arasındaki mesaj akışını bozan sahte mesajlar enjekte edebilir. Bu tür ataklar bir cihaz tarafından gerçekleştirilebildiği gibi, sistemde daha önceden bulunan masum bir cihazın ele geçirilmesiyle de gerçekleştirilebilir. Casus cihaz veri yolu üzerindeki mesajları gizlice dinleyebilir, dinlediği mesajları modifiye edebilir ve veri yoluna modifiye ettiği mesajları gönderebilir. Bu sayede sistem fonksiyonlarını kontrol dışı değiştirerek, sistemi saldırılara karşı savunmasız hale getirebilir.
Veriyolu üzerinden yapılacak ataklara karşı veri yolu saldırı tespit sistemleri geliştirilmektedir. Bu sistemler veriyolunun normal şartlar altındaki çalışma koşullarını makine öğrenmesi ve derin öğrenme gibi yöntemlerle modelleyerek çalışma sırasında oluşabilecek anomalileri tespit etmeyi amaçlar. Mesajların periyodu, kaynak ve varış adresleri, mesaj boyutu, veriyolunu kullanan cihazın sinyal karakteristiği gibi özellikler modelleme aşamasında kullanılmaktadır.
Platform seviyesinde yapılan saldırılar platform altyapısını, platformlar arası iletişimleri ve platform bakım arayüzlerini hedef almaktadır. Platformun bağlantı kurduğu sistemler (akıllı yollar, yer kontrol istasyonları, ağlar) üzerinden aktarılan verilerin bilinçli olarak üçüncü partiler tarafından bozulması, diğer platformlara eksik/bozulmuş veri aktarımı, diğer platformun saklı verilerini gizlice dinleme yöntemiyle edinmesi gibi saldırıları içerir. Platformun haberleşme sistemlerine yönelik sinyal karıştırma saldırıları da bu seviyede karşılaşılan ataklar arasındadır.
Platform seviyesinde güvenli haberleşme için sistemin çalışma karakteristiklerine uygun tasarlanmış kriptografik protokollere ihtiyaç duyulmaktadır. Yetki kontrolü, kimlik doğrulama, bütünlük, kriptografik anahtar paylaşımı, anahtar dağıtımı ve yönetimi kullanılması gereken kriptografik bileşenlerdendir. Aynı zamanda, bakım, onarım ve yazılım güncelleme faaliyetlerinin yapılacağı arayüzler tanımlanmalı ve bu arayüzlerin kullanımı için yetki kontrolü oluşturulmalıdır. Kritik sistem elemanlarının güvenli tedariği, doğrulanması ve sahte,eksik ya da üretim hatalı parça olmaması amacıyla tedarik zincirinin kontrolü ve incelenmesi için yeni kontrol planları ve prosedürleri oluşturulmalıdır.
ASELSAN Aviyonik Siber Güvenlik Çalışmaları
Aselsan Aviyonik Yazılım Tasarım Müdürlüğü bünyesinde aviyonik platformlarda siber güvenlik çalışmaları 2019 yılında başlatılmıştır. Aviyonik platformlara özel siber güvenlik çözümleri, kuantum sonrası kriptografik algoritmaların aviyonik sistemlerde kullanımı ve aviyonik siber güvenlik standartlarının var olan süreçlere adapte edilmesi konusunda çalışmalar gerçekleştirilmiştir.
2022 yılında, elde edilen birikim doğrultusunda Aviyonik Siber Güvenlik Saldırı Tespit Sistemi ve Aviyonik Sistemlere Özgü Atak Ağacı Modelleme ana başlıkları altında ARGE projesi başlatılmıştır. Bu çalışmalardaki nihai amaç Aselsan tarafından geliştirilen aviyonik platformlarda uçtan uca güvenliği sağlamak olarak belirlenmiştir. Bu kapsamda Saldırı Tespit Sistemi ile aviyonik platformlarda koşan yazılımlar ve aviyonik veriyolları üzerinde oluşabilecek anomalilerin tespit edilmesi ve kuantum ataklara karşı dayanıklı güvenli kimlik doğrulama, anahtar değişimi ve imzalama protokol geliştirilmesi amaçlanmaktadır.
Aviyonik siber güvenlik yol haritası doğrultusunda Aviyonik Siber Güvenlik Standartlarının süreçlere adapte edilmesi için gerekli çalışmalar başlanmış olup 2023 yılı içerisinde tamamlanması planlanmaktadır. Geliştirilecek aviyonik siber saldırı tespit sisteminin 2025’de halihazırdaki aviyonik platformlarımıza entegre edilmesi öngörülmektedir. 2027 yılında elde edinilmiş bilgi birikimi ve geliştirilmiş teknolojik çözümler ışığında Aviyonik Siber Güvenlik Laboratuvarının kurulumu ve faaliyete geçirilmesi planlanmaktadır. Bu laboratuvarın işler hale geçmesiyle birlikte karşılaşılan siber tehditlere karşı hızlı çözümlerin oluşturulması ve aviyonik siber güvenlik alanında yenilikçi çözümlerin hayata geçirilmesi planlanmaktadır.
Diğer birçok sektörde olduğu gibi havacılık endüstrisi de hızlı dijitalleşirken, 5G, Bulut, Wi-Fi, Uydu Haberleşmesi ve Yapay Zeka gibi teknoloji ve konseptler yeni nesil aviyonik süitlerde yerlerini aldı. Bu gelişmeler akabinde dış dünya ile iletişime geçen aviyonik platformlar ise siber saldırılara açık hale geldi. Artan bağlantı noktaları, donanım ve yazılım karmaşıklığının büyümesi de modern aviyonik sistemler için tehdit yüzeyinin artmasına yol açtı.
Yeni nesil sivil ve askeri uçaklardaki gelişmelere paralel olarak, dünyadaki sivil havacılık düzenleyicileri, iletişim, navigasyon ve gözetim teknolojilerini geliştiren şirketler için yeni politikalar, düzenlemeler ve kılavuzlar geliştirmeye başladı. 2019 yılında Avrupa ve Amerikan havacılık endüstrisi, EASA ve FAA ile koordine olarak, hava aracı geliştirme aşamasında kılavuz olarak kullanılmak üzere Uçuşa Elverişlilik Güvenlik Süreci Spesifikasyonu’nu (Airworthiness Security Process Specification ED202/DO326) yayınladı. ED202/DO326 spesifikasyonunun aviyonik sertifikasyon sürecine en büyük etkisi ise değişken siber tehdit unsurlarına karşı yazılım ve donanımların belli aralıklarla güncellenmesi gerekliliği oldu. Bunun sonucunda güncel siber güvenlik ihtiyacını karşılamak için döngüsel bir sertifikasyon süreci başlamış oldu.
Askeri Havacılığın Evrimi
Birinci Dünya Savaşı sırasında ve hemen sonrasında, savaş uçaklarının ilk versiyonları havacılık sahnesine çıktı. Bu uçaklar birinci nesil jet avcı uçakları olarak sınıflandırıldı ve iletişim, navigasyon gibi fonskiyoneliteler için aviyonik sistemler kullanılmadı.
İkinci nesil askeri hava araçlarında yüksek hızlarda kullanılan silah sistemlerinin doğruluğu ve etkinliği artırmak için radarlar ve güdümlü füzeler kullanıldı. Ayrıca, savaş pilotlarının daha fazla savaş alanı desteğine ihtiyaç duyduğu da ortaya çıktı. Bu nedenle jet avcı uçakları bu ihtiyaçların bir kısmını karşılayacak çok rollü bir pozisyona adapte edildi. Merkezi ve dağıtık mimariler, analog veri gönderimi, dijital ve senkro arayüzler, kısıtlı tümleşik ekranlar ve görev emniyet kritik aviyonikler bu nesilde kullanılmaya başlandı.
Üçüncü nesil askeri hava araçlarında ise federe mimarilerin kullanıldığı, uzak terminal sayılarının arttığı ve hataya dayanaklı aviyonik sistemlerin yer aldığı görüldü. Sadece gerekli silahları taşımakla kalmadılar, aynı zamanda havadan havaya müdahalede bulunabildiler Ayrıca darbeli doppler radarı ve saha dışı hedefleme aviyonikleri gibi teknolojiler de bu nesilde karşımıza çıktı.
Bu nesildeki en önemli gelişmelerden biri federe mimari yapısı doğrultusunda “tek işlev -bir bilgisayar” prensibiyle yeni nesil aviyonik sistemlerin geliştirilmesi oldu. Federe yapılar hava aracının her bir fonksiyonunun kendine ait işlemci ve sensörden oluştuğu, verinin farklı fonksiyonlar arasında paylaşılmadığı, tek bir görevi icra eden kutuların yer aldığı mimarilerdi. Federe sistemler geleneksel metodolojileri kullanması, sertifikasyon ve tasarımı nispeten kolaylaştırması ve hali hazırda bir tedarik zincirine sahip olması gibi avantajlar sağlarken; yer, ağırlık ve güç tüketiminin fazla olması, yazılımların yeniden kullanılabilirlik, taşınabilirlik ve modülerlik özelliklerini yeterince karşılayamaması gibi dezavantajları getirdi.
Dördüncü nesil askeri hava araçları dijital veri yollarının yoğun olarak kullanıldığı ve 1. Nesil IMA (Integrated Modular Avionics) mimarisinin görüldüğü nesil olarak yer aldı. Manevra kabiliyetleri, kablolu uçuşları, daha hafif kompozit malzemeleri, sentetik radarları ve kızılötesi yetenekleri ile karakterize edilen bu jetler, aerodinamik ve gizlilik açısından büyük bir gelişmeydi.
IMA mimarisi federe mimarilerin aksine ortak donanım modüllerinin bir araya getirildiği, sensör verilerinin birden fazla sistem bileşeni tarafından paylaşıldığı, bir ana işlemcinin aviyonik fonksiyonların çoğunu yerine getirdiği, aynı zamanda alan ve zaman bölütlendirmesine imkan sağlandığı mimari yapılardı. IMA mimarisi yer güç ve ağırlıktan kazanç sağlarken aynı zamanda yeniden kullanılabilirlik , taşınabilirlik ve modülerite açısından da yazılımda büyük avantaj sağladı. Ancak tasarım ve sertifikasyonunun daha kompleks olmasına yol açtı.
Dijital hesaplama ve mobil ağ, beşinci nesil savaş uçaklarını tanımlandığı nesil oldu. Yeni pilot kaskları, iletişim ağları, sensörler, yardımcı saldırı dronları ve daha güçlü motorlar, savaş havacılığında sınırları zorladı. 2. Nesil IMA mimarisi sayesinde iyileştirilmiş modülerlik ve hataya dayanıklılık, 5G, Bulut Bilişim, Makine Öğrenme, yapay zeka gibi teknolojilerin kullanımı yaygınlaştı. Ayrıca Aviyonik Siber güvenlik standartları da yerini almaya başladı.
ED202/DO326 Uçuşa Elverişlilik Güvenlik Süreci Spesifikasyonu
Aviyonik endüstrisindeki siber güvenlik tehditleri diğer endüstrilere göre çok daha uzun süre sonra sorun teşkil etti. Bu durumun en önemli nedenleri arasında IT sistemlerinin ve aviyonik sistemlerin doğası gereği birbirinden farklı olması ve aviyonik altyapıya yönelik bu tür karmaşık saldırılarda kullanılabilecek bilgi birikiminin yalnızca içeride çalışanlar tarafından bilinmesi başka bir ifadeyle dışarıya kapalı kalmasıydı.
Aviyonik endüstrisinin hızla dijitalleşmesiyle COTS ürünler, Bulut Bilişim, 5G ve Yapay Zeka gibi teknolojilerin kullanımı yaygınlaştı. Dış dünya ile bağlantılı hale gelen aviyonik platformların siber ataklara açık hale gelmesi siber güvenlik çözümlerinin kullanımını zorunlu hale getirdi. Aviyonik sistemlerin kendine has bir disipline ve uzmanlık alanına ihtiyaç duyması, siber güvenlik çözümlerinde de özelleşmiş analiz tekniklerine ve güvence hususların gelişmesine yol açtı. Bu gelişmeler ışığında EASA hava aracı geliştirme aşamasında kullanılmak üzere Uçuşa Elverişlilik Güvenlik Süreci Spesifikasyonunu (Airworthiness Security Process Specification ED202/DO-326) yayınladı.
RTCA DO-326A, “Uçuşa Elverişlilik Güvenlik Süreci Spesifikasyonu”, uçaklarda siber güvenlik için fiili endüstri yol haritasıdır. Siber güvenlik tehditleri olarak da bilinen uçak sistemlerine yönelik kötü niyetli müdahalelerin sistematik olarak nasıl önleneceği ve azaltılacağı konusunda rehberlik sağlamaktadır. Endüstride genellikle “havacılık siber güvenliğine giriş” olarak adlandırılmaktadır.
DO-326A, tüm hava taşıtları, motorlar, rotorlu taşıtlar ve pervaneler için resmi uyumluluk gereksinimlerini temsil eder. Standardın içeriği, üreticiler için uyumluluk hedefleri ve veri gereksinimlerinin ana hatlarını çizerken, güvenli bir ekosistem oluşturmanın ne anlama geldiğini belirtir. DO-326A'nın ana odak noktası, bir saldırının uçağın çalışma şeklini ciddi şekilde etkileyebileceği ve yolcu ve operatör güvenliğini tehlikeye atabileceği durumlarda, geliştirme ve uçuş operasyonları sırasında kötü amaçlı yazılımların aviyonik sistemlere bulaşmasının nasıl önleneceğinin ana hatlarını çizmektir.
DO-326/ED-202 seti içeresindeki her bir spesifikasyon bir amaca yönelik oluşturulmuştur. DO-326/ED-202 spesifikasyonu sertifikasyon sürecinde ne yapılması gerektiğini belirtirken DO-356/ED-203 spesifikasyonu, nasıl yapılması gerektiğini anlatır. DO-355/ED-204 dokümanı üretim sonrası yapılması gerekenleri, ED205 de ağırlıklı olarak Avrupa kullanımına yönelik yer sistemleri spesifikasyonunu içermektedir.
Çip Seviyesinden Platform Seviyesine Siber Güvenlik Çözümleri
Siber saldırılara karşı güvenli ve dayanıklı sistemler geliştirmek için çip seviyesinden platform seviyesine kadar çok katmanlı bir güvenlik mimarisinin oluşturulması gerekmektedir. Bu kapsamda değerli verilerin ve bilgilerin korunduğu, saldıralar karşısında sistemin kritik faaliyetlerini sürdürebildiği savunma mekanizmalarının katmanlaştırıldığı siber güvenlik yaklaşımları izlenmektedir. Fazla bileşenlere sahip bu çok katmanlı yaklaşım, bir bütün olarak sistemin güvenliğini arttırır ve birçok farklı saldırı vektörünü dikkate alır. Bu sebeple çip, kart, montaj, platform ve veriyollarına yönelik gerekli siber güvenlik mekanizmalarının oluşturulması önemlidir.
Çip seviyesinde en çok karşılaşılan saldırılar tersine mühendislik, yan kanal, voltaj sıçraması, bit değişimi ve kötücül yazılım saldırılarıdır. Tersine mühendislik saldırılarının başlıca amacı entegre devrenin tasarımının, gömülü program kodunun ve kriptografik verilerin elde edilmesidir. Çip üzerindeki kriptografik hesaplamalarda ortaya çıkan fiziksel veriler önbellek, zamanlama, güç analizi ve elektromanyetik saldırı yöntemleri kullanılarak analiz edilir. Voltaj sıçraması saldırısı ile bir veya daha fazla makine kodunun yürütülmesi kesintiye uğratılarak kimlik doğrulama gibi kritik işlemler atlatılabilir. Bit değişimi saldırısı ile çip üzerindeki hafıza alanlarının değeri değiştirilerek kritik fonksiyonlara erişim amaçlanır. Kötücül yazılımlar, kasıtlı veya çip tasarımından kaynaklı güvenlik açıklıklarından yararlanarak çip üzerinde arka kapı oluşturulabilir.
Çip seviyesindeki saldırılara karşı alınacak önlemler entegre devrenin tasarımına yöneliktir. Bu önlemler tedarik zinciri sürecinde ve üretim sürecinde uygulanılır. Tersine mühendislik yaklaşımlarına karşı entegre devreye müdahaleyi önleme amaçlı teknikler kullanılır. Yan kanal saldırılarına karşı entegre devrenin ürettiği her türlü veri emisyon yöntemleri için tasarım çözümleri uygulanır.
Kart seviyesinde yaygın olarak tersine mühendislik saldırıları, gömülü işletim sistemi ve uygulamalara yönelik saldırılar, veri yolu zafiyetini kullanan saldırılar, test birimine yönelik saldırılar ve donanım eklentisi saldırıları gerçekleştirilir. Baskı devre kartına yönelik tersine mühendislik saldırılarında kartın içerdiği özel donanım modüllerinin tasarımı, aygıt yazılımları, kartın katmanlı yapısının analizi sonucu kriptografik anahtarların çıkarılması mümkündür. Gömülü işletim sistemi ve uygulamaların sahip olduğu güvenlik açıklıkları kullanılarak kritik fonksiyonlara erişim sağlayacak şekilde yazılıma müdahale etme amaçlanır.
Baskı devre kartının tasarım aşamasında ürünlerin işlevsel özelliklerine yönelik saldırılar düşünülerek bileşenler arasında güvenilir ilişki ve veri akışları tanımlanmalıdır. Kartın tasarımında, sahip olduğu verileri elde etmek için yapılacak tersine mühendislik saldırılarına karşı caydırıcı karşı önlemler alınmalıdır. Kart tasarımında yer alan yazılım kurulumu, ürün testi, hata algılama ve onarım desteği sağlamak için oluşturulan test noktaları kritik fonksiyonlara erişim sağladıklarından bu noktaların azaltılması veya güvenli hale getirilmesi gereklidir. Veri yolları tersine mühendislik ve zararlı eklentiler için bir giriş noktası olduğu için bileşenler arasında veri ve mesaj bütünlüğünü sağlayan kriptografik çözümler uygulanmalıdır.
Montaj seviyesinde Hatta Değiştirilebilir Cihazlar (LRU) ve Elektronik Kontrol Cihazları (ECU) olarak adlandırılan entegre bileşenler platformun alt sistemlerini oluşturmaktadır. Montaj seviyesinde alınacak önlemler ile bu alt sistemlerin kapsadığı güç kaynaklarının, sinyal kontrol panellerinin, sensör işleyicilerin ve aktuatörlerin güvenliğini ve gizliliğini korumayı amaçlamaktadır. LRU’lar arasındaki haberleşme çoğu sistemde birbirine güvene dayalı şekilde modellenmiştir. Kimlik doğrulamanın yapılmadığı bu sistemlerde birimler arasındaki haberleşmelerde mesajların orijinalliği garanti edilememektedir. Güvenlik açığı barındıran bir LRU ele geçirildikten sonra diğer LRU’ların çalışmalarını bozmaya yönelik ataklar için bir başlangıç noktası oluşturarak platformun işlerliğine zarar verilebilir. Çoğu sistemde LRU’lar konfigürasyon dosyaları üzerinden yönetilmektedir. Saldırganlar güvenli şekilde tutulmayan bu dosyalar üzerinden de konfigürasyonda değişiklikler yaparak platformun çalışmasını bozabilmektedir.
Montaj seviyesinde güvenliği sağlamak için LRU’ların kriptografik kimlik doğrulama metotlarını kullanması gerekmektedir. Bu yöntemle sistemde yetkisiz LRU’ların var olmadığı garanti edilerek zararlı birimlerin diğer birimlerle haberleşmesinin önüne geçilmesi amaçlanmaktadır. LRU’larda yüklü yazılımların yetkisiz olarak değiştirilmesini önleme amaçlı kriptografik protokoller yürütülmeli ve LRU seviyesinde anomalileri tespit etmek için saldırı tespit sistemleri kullanılmalıdır.
Platformlarda bulunan uçuş yönetim sistemi, haberleşme ve navigasyon sistemleri, silah sistemleri gibi alt sistemler, birçok cihazın birbiri ile bir veri yolu üzerinden haberleşmesi prensibi ile çalışır. Bu alt sistemler, çok çeşitli üretici, veri yolu, sensör, işlemci ve aktüatörlerden oluşabilmektedir. Bu çeşitlilik aynı zamanda farklı saldırıların yapılabilmesine olanak sağlamaktadır. Saldırganın birimler arasındaki doğrudan iletişimi engellemesi, veriyolu üzerinden yapılan atakların başında yer alır. Saldırgan, birimler arasındaki mesaj akışını bozan sahte mesajlar enjekte edebilir. Bu tür ataklar bir cihaz tarafından gerçekleştirilebildiği gibi, sistemde daha önceden bulunan masum bir cihazın ele geçirilmesiyle de gerçekleştirilebilir. Casus cihaz veri yolu üzerindeki mesajları gizlice dinleyebilir, dinlediği mesajları modifiye edebilir ve veri yoluna modifiye ettiği mesajları gönderebilir. Bu sayede sistem fonksiyonlarını kontrol dışı değiştirerek, sistemi saldırılara karşı savunmasız hale getirebilir.
Veriyolu üzerinden yapılacak ataklara karşı veri yolu saldırı tespit sistemleri geliştirilmektedir. Bu sistemler veriyolunun normal şartlar altındaki çalışma koşullarını makine öğrenmesi ve derin öğrenme gibi yöntemlerle modelleyerek çalışma sırasında oluşabilecek anomalileri tespit etmeyi amaçlar. Mesajların periyodu, kaynak ve varış adresleri, mesaj boyutu, veriyolunu kullanan cihazın sinyal karakteristiği gibi özellikler modelleme aşamasında kullanılmaktadır.
Platform seviyesinde yapılan saldırılar platform altyapısını, platformlar arası iletişimleri ve platform bakım arayüzlerini hedef almaktadır. Platformun bağlantı kurduğu sistemler (akıllı yollar, yer kontrol istasyonları, ağlar) üzerinden aktarılan verilerin bilinçli olarak üçüncü partiler tarafından bozulması, diğer platformlara eksik/bozulmuş veri aktarımı, diğer platformun saklı verilerini gizlice dinleme yöntemiyle edinmesi gibi saldırıları içerir. Platformun haberleşme sistemlerine yönelik sinyal karıştırma saldırıları da bu seviyede karşılaşılan ataklar arasındadır.
Platform seviyesinde güvenli haberleşme için sistemin çalışma karakteristiklerine uygun tasarlanmış kriptografik protokollere ihtiyaç duyulmaktadır. Yetki kontrolü, kimlik doğrulama, bütünlük, kriptografik anahtar paylaşımı, anahtar dağıtımı ve yönetimi kullanılması gereken kriptografik bileşenlerdendir. Aynı zamanda, bakım, onarım ve yazılım güncelleme faaliyetlerinin yapılacağı arayüzler tanımlanmalı ve bu arayüzlerin kullanımı için yetki kontrolü oluşturulmalıdır. Kritik sistem elemanlarının güvenli tedariği, doğrulanması ve sahte,eksik ya da üretim hatalı parça olmaması amacıyla tedarik zincirinin kontrolü ve incelenmesi için yeni kontrol planları ve prosedürleri oluşturulmalıdır.
ASELSAN Aviyonik Siber Güvenlik Çalışmaları
Aselsan Aviyonik Yazılım Tasarım Müdürlüğü bünyesinde aviyonik platformlarda siber güvenlik çalışmaları 2019 yılında başlatılmıştır. Aviyonik platformlara özel siber güvenlik çözümleri, kuantum sonrası kriptografik algoritmaların aviyonik sistemlerde kullanımı ve aviyonik siber güvenlik standartlarının var olan süreçlere adapte edilmesi konusunda çalışmalar gerçekleştirilmiştir.
2022 yılında, elde edilen birikim doğrultusunda Aviyonik Siber Güvenlik Saldırı Tespit Sistemi ve Aviyonik Sistemlere Özgü Atak Ağacı Modelleme ana başlıkları altında ARGE projesi başlatılmıştır. Bu çalışmalardaki nihai amaç Aselsan tarafından geliştirilen aviyonik platformlarda uçtan uca güvenliği sağlamak olarak belirlenmiştir. Bu kapsamda Saldırı Tespit Sistemi ile aviyonik platformlarda koşan yazılımlar ve aviyonik veriyolları üzerinde oluşabilecek anomalilerin tespit edilmesi ve kuantum ataklara karşı dayanıklı güvenli kimlik doğrulama, anahtar değişimi ve imzalama protokol geliştirilmesi amaçlanmaktadır.
Aviyonik siber güvenlik yol haritası doğrultusunda Aviyonik Siber Güvenlik Standartlarının süreçlere adapte edilmesi için gerekli çalışmalar başlanmış olup 2023 yılı içerisinde tamamlanması planlanmaktadır. Geliştirilecek aviyonik siber saldırı tespit sisteminin 2025’de halihazırdaki aviyonik platformlarımıza entegre edilmesi öngörülmektedir. 2027 yılında elde edinilmiş bilgi birikimi ve geliştirilmiş teknolojik çözümler ışığında Aviyonik Siber Güvenlik Laboratuvarının kurulumu ve faaliyete geçirilmesi planlanmaktadır. Bu laboratuvarın işler hale geçmesiyle birlikte karşılaşılan siber tehditlere karşı hızlı çözümlerin oluşturulması ve aviyonik siber güvenlik alanında yenilikçi çözümlerin hayata geçirilmesi planlanmaktadır.