Geçen ay SpaceX, dünyanın en büyük aktif uydu takımyıldızının operatörü oldu . Ocak ayı sonu itibariyle, şirketin önümüzdeki on yıl içinde 42.000 fırlatmayı planlayan gezegenin yörüngesinde 242 uydusu vardı. Bu, dünya çapında internet erişimi sağlama konusundaki iddialı projesinin bir parçası. Amazon, İngiltere merkezli OneWeb ve diğer şirketler, önümüzdeki aylarda binlerce uyduyu yörüngeye yerleştirmek için biraz uğraşırken, uzaya uydu yerleştirme yarışı devam ediyor.
Bu yeni uydular, internet erişimini dünyanın uzak köşelerine taşımaktan çevreyi izlemeye ve küresel navigasyon sistemlerini geliştirmeye kadar günlük yaşamın birçok alanında devrim yaratma potansiyeline sahip. Tüm bu tantananın ortasında, kritik bir tehlike radarın altından uçtu: ABD’de ve uluslararası alanda ticari uydular için siber güvenlik standartlarının ve düzenlemelerinin eksikliği. Siber çatışmalar üzerine çalışan bir akademisyen olarak , uyduların karmaşık tedarik zincirleri ve paydaş katmanları ile birleştiğinde bunun onları siber saldırılara karşı oldukça savunmasız bıraktığının kesinlikle farkındayım.
Bilgisayar korsanları bu uyduların kontrolünü ele geçirirse, sonuçlar korkunç olabilir. Ölçeğin sıradan ucunda, bilgisayar korsanları uyduları kapatarak hizmetlerine erişimi reddedebilir. Bilgisayar korsanları ayrıca uydulardan gelen sinyalleri bozabilir veya yanıltabilir , bu da kritik altyapı için tahribat yaratabilir. Buna elektrik şebekeleri, su şebekeleri ve ulaşım sistemleri dahildir.
Bu yeni uyduların bazıları, uzayda hızlanmalarını, yavaşlamalarını ve yön değiştirmelerini sağlayan iticilere sahiptir. Bilgisayar korsanları bu yönlendirilebilir uyduların kontrolünü ele geçirirse, sonuçlar felaket olabilir. Bilgisayar korsanları uyduların yörüngelerini değiştirebilir ve onları diğer uydulara ve hatta Uluslararası Uzay İstasyonuna çarpabilir.
Emtia parçaları bir kapı açar
Bu uyduların yapımcıları, özellikle küçük CubeSats, maliyetleri düşük tutmak için kullanıma hazır teknolojiyi kullanır. Bu bileşenlerin geniş kullanılabilirliği, bilgisayar korsanlarının onları güvenlik açıkları için analiz edebileceği anlamına gelir. Ek olarak, bileşenlerin çoğu açık kaynak teknolojisinden yararlanır. Buradaki tehlike, bilgisayar korsanlarının uyduların yazılımına arka kapılar ve diğer güvenlik açıklarını ekleyebilmesidir.
Bu uyduların son derece teknik doğası, aynı zamanda, çeşitli bileşenlerin yapımında birden fazla üreticinin yer aldığı anlamına gelir. Bu uyduları uzaya götürme süreci de karmaşıktır ve birden fazla şirketi içerir. Bir kez uzayda olsalar bile, uydulara sahip olan kuruluşlar genellikle günlük yönetimlerini diğer şirketlere devrederler. Her ek satıcıyla birlikte, bilgisayar korsanlarının sisteme sızmak için birden fazla fırsatı olduğu için güvenlik açıkları artar.
Bu CubeSats’lardan bazılarını hacklemek , birinin tepeden geçmesini beklemek ve ardından özel yer antenleri kullanarak kötü niyetli komutlar göndermek kadar basit olabilir. Daha karmaşık uyduları hacklemek de o kadar zor olmayabilir.
Uydular tipik olarak yer istasyonlarından kontrol edilir. Bu istasyonlar, bilgisayar korsanları tarafından istismar edilebilecek yazılım açıklarına sahip bilgisayarları çalıştırır. Bilgisayar korsanları bu bilgisayarlara sızarsa, uydulara kötü amaçlı komutlar gönderebilirler.
Bir hack tarihi
Bu senaryo 1998’de bilgisayar korsanlarının ABD-Alman ROSAT X-Ray uydusunun kontrolünü ele geçirmesiyle gerçekleşti. Maryland’deki Goddard Uzay Uçuş Merkezi’ndeki bilgisayarları hackleyerek yaptılar. Bilgisayar korsanları daha sonra uyduya güneş panellerini doğrudan güneşe hedeflemesi talimatını verdi. Bu, pillerini etkili bir şekilde kızarttı ve uyduyu işe yaramaz hale getirdi. Artık kullanılmayan uydu, sonunda 2011’de Dünya’ya düştü . Bilgisayar korsanları, 1999’da bilgisayar korsanlarının Birleşik Krallık’ın SkyNet uydularının kontrolünü ele geçirdiğinde olduğu gibi, uyduları fidye karşılığında da tutabilirdi .
Yıllar geçtikçe, uydulara yönelik siber saldırı tehdidi daha korkunç hale geldi. 2008’de, muhtemelen Çin’den gelen bilgisayar korsanlarının, biri yaklaşık iki dakika, diğeri yaklaşık dokuz dakika olmak üzere iki NASA uydusunun tam kontrolünü ele geçirdiği bildirildi. 2018’de, Çin devlet destekli başka bir hacker grubunun , uydu operatörlerini ve savunma müteahhitlerini hedef alan sofistike bir bilgisayar korsanlığı kampanyası başlattığı bildirildi. İranlı hacker grupları da benzer saldırılara giriştiler .
ABD Savunma Bakanlığı ve Ulusal Güvenlik Ajansı, uzay siber güvenliğini ele almak için bazı çabalar gösterse de , hız yavaştı. Şu anda uydular için siber güvenlik standartları ve bunların siber güvenliklerini düzenleyecek ve sağlayacak bir yönetim organı bulunmamaktadır. Ortak standartlar geliştirilebilse bile, bunları uygulayacak mekanizmalar mevcut değildir. Bu, uydu siber güvenliğinin sorumluluğunun onları inşa eden ve işleten bireysel şirketlere düştüğü anlamına gelir.
Piyasa güçleri uzay siber güvenliğine karşı çalışıyor
SpaceX ve rakip şirketler, baskın uydu operatörü olmak için rekabet ederken, maliyetleri düşürme baskısı altındalar . Geliştirme ve üretimi hızlandırmak için de baskı var. Bu, şirketlerin, siber güvenlik gibi, aslında bu uyduları uzaya götürmek için ikincil olan alanlarda köşeleri kesmelerini cazip kılıyor.
Siber güvenliğe yüksek öncelik veren şirketler için bile, her bir bileşenin güvenliğini garanti etmeyle ilgili maliyetler fahiş olabilir. Bu sorun, siber güvenliği sağlamanın maliyetinin uydunun maliyetini aşabileceği düşük maliyetli uzay görevleri için daha da şiddetlidir.
Konuları birleştirmek için, bu uyduların karmaşık tedarik zinciri ve bunların yönetimine dahil olan çok sayıda taraf , siber ihlaller için kimin sorumluluk ve mesuliyet taşıdığının genellikle net olmadığı anlamına gelir . Bu netlik eksikliği, gönül rahatlığı yarattı ve bu önemli sistemlerin güvenliğini sağlama çabalarını engelledi.
Düzenleme gerekli
Bazı analistler, uydular ve diğer uzay varlıkları için siber güvenlik standartlarının geliştirilmesi ve düzenlenmesinde güçlü hükümet katılımını savunmaya başladılar. Kongre, ticari uzay sektörü için kapsamlı bir düzenleyici çerçeve benimsemeye çalışabilir. Örneğin, uydu üreticilerinin ortak bir siber güvenlik mimarisi geliştirmesini gerektiren yasaları çıkarabilirler.
Ayrıca uyduları içeren tüm siber ihlallerin rapor edilmesini de zorunlu kılabilirler. Siber güvenlik çabalarına öncelik vermek için hangi uzay tabanlı varlıkların kritik kabul edildiği konusunda netlik olması gerekir. Uydulara yönelik siber saldırıların sorumluluğunu kimin üstlendiğine ilişkin net yasal rehberlik, sorumlu tarafların bu sistemlerin güvenliğini sağlamak için gerekli önlemleri almalarını sağlamak için de uzun bir yol kat edecektir.
Kongre eyleminin geleneksel olarak yavaş temposu göz önüne alındığında, siber güvenlik standartlarını sağlamak için kamu-özel işbirliğini içeren çok paydaşlı bir yaklaşım garanti edilebilir. Hükümet ve sektör ne gibi adımlar atarsa atsın, şimdi harekete geçmek zorunludur. Bu konuyu ele almadan önce bilgisayar korsanlarının ticari bir uydunun kontrolünü ele geçirmesini ve onu – burada Dünya’da veya uzayda – yaşamı, uzuvları ve mülkiyeti tehdit etmek için kullanmasını beklemek büyük bir hata olur.