İçimizdeki casus: Endüstri 4.0 – İran örneği

27 Temmuz 2019 tarihli ve 'İçimizdeki casus: Endüstri 4.0' başlıklı yazımızda tam bağımsız Türkiye'nin bilişim ve buna bağlı sektörlerde ancak açık kaynak kodlu ve özgür yazılımlarla mümkün olabileceğine değinmiş ve aynı zamanda küresel ölçekte rekabet etmeye çalışan bir şirketin rakip firmalarının genel merkezi ile bu şirkete ait Endüstri 4.0 uyumlu üretim makinalaranın yazılım geliştiricisi konumundaki şirketin genel merkezinin aynı ülkede olmasının endüstriyel casusluğa ne kadar açık olduğunu vurgulamıştık.

Bugünkü yazımızda ise Endüstri 4.0'ın yeri geldiğinde küresel güçler tarafından nasıl silah olarak kullanılabildiğine dair İran örneğini değerlendireceğiz.

Endüstri 4.0'ın iki önemli ana bileşeni bulunmaktadır: Yeni nesil donanımlar ve donanımları kontrol eden akıllı yazılımlar. Akıllı yazılımlar sayesinde internet/bulut teknolojilerinin de getirdiği yeniliklerden de faydalanılarak artık büyük bir fabrikanın, üretim bantlarının hatta çiftliklerin yönetimi otomatik veya yarı otomatik yapılmakta ve üretime ilaveten geleceğe dönük gerek tedarik zinciri gerekse satışa yönelik planlamalar da bu sayede daha net yapılabilmektedir.

Gerek donanım gerekse yazılım planından ele alındığında Endüstri 4.0'ın ilk örneklerini aslında (henüz Endüstri 4.0'ın adının bile konmadığı tarihlerde) askeri projelerin ve aynı zamanda stratejik öneme sahip tesislerin yönetiminde görmek mümkündür. Dolayısı ile en iyi uygulama alanlarından birinin nükleer santraller olduğu da söylenebilir.

İran'ın nükleer santral programının hız kazanması ile birlikte 2010 yılı başlarında İran'a ait Buşehr ve Natanz nükleer santrallerinde birbiri ardına 'tuhaf' arızalar meydana geldi.

Başlangıçta doğal karşılanan bu arızaların donanımsal olmadığına kanaat edilmesi üzerine santral yönetiminde kullanılan Siemens'e ait Step7 yazılım altyapısı incelendi.

Belaruslu VirusBlokAda şirketinden Sergey Ulasen İran'a yaptığı ziyaretlerle birlikte Step7 yazılımının bugüne kadar yazılmış en karmaşık ve yapay zeka sahibi bir virüs programı (Stuxnet) tarafından adeta ele geçirildiği tespit edilir. Öyle ki; Stuxnet virüsü Step7 üzerinde işletme düzeyinde fiziksel arızalara da yolaçabilen değişiklikler yapmakta ama yöneticilere ise her şey yolundaymış gibi normal değerler döndürmektedir.

Aynı dönemde Stuxnet'in hedef aldığı Step7 sistemlerinin üreticisi konumunda olan Siemens'ten bir sözcü, 'virüsün hedefiyle ilgili spekülasyonlar' konusunda yorum yapmayacağını belirtirken İran'ın nükleer tesislerinin bir Rus taşeron firmanın yardımıyla inşa edildiğini ve Siemens'in konuyla bir ilgisi olmadığını söyledi. 

Virüs'ün Rus güvenlik şirketi Kaspersky Labs tarafından da incelenmesi sonrası virüsün kendisini flaş disklerde sakladığı, altı farklı yayılma metodu kullandığı ve ayrıca Stuxnet'in Windows'ta bugüne kadar bilinmeyen ve yamanmamış güvenlik açıklarını bulup saldırdığı da ortaya çıktı.

F-Secure güvenlik şirketinin araştırma biriminin başındaki isim Mikko Hypponen de 'henüz kapatılmamış bir güvenlik açığını kullanarak bir saldırı düzenlemek çok da anormal değildir ama Stuxnet bu açıkların birini, ikisini değil dördünü birden yakalayıp kullanıyor' demişti.

Gerçekten de Endüstri 4.0 artık kulağa söylenişindeki cazibe kadar güzel gelmiyor değil mi?

21. Yüzyıl, 'Bilişim Teknolojileri Çağı' veya 'Bilgi Çağı' olarak tanımlanmaktadır ve bilgiyi edinmek, bilgiyi saklamak ve belirlenen vakitte belirlenen bilgileri paylaşmak da tarihin hiçbir döneminde olmadığı kadar da güçlü bir silah haline geldi.

Devletlerarası düzeyde ise hangi devlet bilgiye (istihbarata) daha hızlı ve daha kesin bir doğrulukla ulaşırsa daha erken pozisyon veya önlem alabilme ve dolayısı ile avantaj elde etme imkanına sahip olmaktadır. Tam da bu noktada elde edilen bilginin (güvenilir ellerde olsa dahi) 'güvenilir ortam'da saklanma ihtiyacı belirmektedir.

Sanal dünyada güvenilir ortam var mıdır ya da bilgiyi nasıl saklamalıyız? Aslında soruya tersten yaklaşırsak çözüme ulaşmamız çok daha kolay olabilir: Kaynak kodları halka açık (public) olmayan ve aynı zamanda özgür (free/freedom) olmayan bir işletim sistemi kullanıyor olmamız halinde sistemin üreticilerine doğrudan/dolaylı olarak sonsuz güven duyuyoruz ve arka kapılar (backdoors) vasıtası ile büyük olasılıklı bilgilerimizi paylaşıyoruz demektir. Konu hakkında daha geniş bilgiye kullandığınız işletim sisteminin ismi ile birlikte "backdoor" kelimesini internette aratarak ulaşabilirsiniz, sonuçlara siz de şaşıracaksınız.

Endüstri 4.0 ile birlikte kullandığımız ya da kullanacağımız yazılımlar açık kaynak kodlu veya milli olmadıkları sürece uzaktan erişime ve aynı zamanda uzaktan yönetime ya da bilgi hırsızlığına açık demektir. 

Türkiye, Endüstri 4.0'ın getireceği nimetlerden faydalanmak istiyorsa hızla ve derhal yazılım mühendisliğine ağırlık vermeli ve aynı zamanda Milli İşletim Sistemi projesine de devam etmelidir.

Tam Bağımsız Türkiye hiç kuşkusuz öncelikle ekonomisi tam bağımsız bir Türkiye demektir. Yeni Mesaj kadrosunun uzun yıllardan beri Prof. Dr. Haydar Baş'ın Milli Ekonomi Modeli üzerinde ısrarı da tam da bu sebepledir. Benzeri şekilde bilgi teknolojilerindeki bağımsızlığımız da, Endüstri 4.0 devrinin yükselen yıldızı olmak da ancak yine açık kaynak kodlu özgür ve millileştirilmiş bir işletim sistemi ve yazılımlar ile mümkün olabilir ve böylesi bir çalışma da yine Tam Bağımsız Türkiye diyen kadrolar ile ancak mümkün olabilecek görünmektedir.