Yıkıcı bir federal denetim, Amerika'nın havacılık altyapısının merkezinde derin siber güvenlik eksikliklerini ortaya koydu; Federal Aviation Administration (FAA)'ın en güvenlik açısından kritik onlarca sistemini tehlikeli şekilde korumasız bıraktığını ve ülkenin hava sahasında yıkıcı bir siber saldırı olasılığını gündeme getirdiğini gösteriyor.

The Department of Transportation's Office of the Inspector General (OIG) bu ayın başında bulguları yayımladı; bu, Ekim 2024 ile Ocak 2026 arasında yapılan bir incelemenin ardından geldi. Denetim, ABD sivil havacılığının omurgası olan Ulusal Hava Sahası Sistemi (NAS) içindeki FAA'ya ait 45 yüksek etkili bilgi teknolojisi sisteminin tamamını değerlendirdi; bunlar hava trafik kontrol kuleleri, seyrüsefer, iletişim ve havalimanı altyapısını kapsıyor. Bunlar, ele geçirilmesi durumunda National Institute of Standards and Technology (NIST) tarafından ciddi veya felaket düzeyinde risk oluşturduğu sınıflandırılan sistemlerdir.

Denetleyicinin bulguları alarm vericiydi.

{{AD}}

OIG raporu, 45 FAA sisteminden 15'inin hâlâ güncelliğini yitirmiş NIST standartlarına göre yapılandırıldığını ve FAA'nın gerekli 16.245 güvenlik kontrolünün 1.836'sını, yani toplamın %11,3'ünü tam olarak uygulamadığını belirtti. Bu gerekli kontroller penetrasyon testleri, tedarik zinciri koruması ve erişim yönetimini kapsıyor; bunlar düşmanca aktörleri dışarıda tutmak için tasarlanmış mekanizmalar.

OIG, otomasyon, iletişim, seyrüsefer ve hava durumu yeteneklerini destekleyen tüm sistemlerde, departman genelindeki sistemde bildirilmemiş, izlenmemiş ve hafifletilmemiş güvenlik açıkları bulunduğunu; gözetim sistemlerinin 17'sinden 14'ünde aynı sorunun olduğunu tespit etti. 

Daha da kötüleştirerek, FAA hükümetin resmi siber güvenlik takip altyapısını tamamen devre dışı bırakıyordu. Departmanın birincil siber güvenlik değerlendirme ve yönetim sistemini kullanmak yerine, FAA zafiyetleri belgelemek ve yönetmek için dahili bir takip aracı kullanıyor ve verileri federal sisteme elle aktarıyordu; bu da raporlama gecikmelerine yol açıyordu. OIG bunun ne anlama geldiği konusunda açık oldu: 

"FAA, DOT'un geri kalanına şeffaflık sağlamıyor. Şeffaflığın olmaması, FAA ve Bakanlığın ortak tehditleri ve zafiyetleri belirleyememe veya kapsamlı BT zayıflık takip ve raporlaması sunamama riskini artırıyor." 

Denetim ayrıca FAA'nın kendi dokümantasyonuna güvenilemeyeceğini ortaya koydu. Denetçiler, bazı kontrollerin gereksinimleri karşılamamasına rağmen uygulanmış olarak işaretlendiğini ve bu durumun yetkilileri güvenlik önlemlerinin gerçekte nasıl işlediği konusunda güvenilir bilgiden yoksun bıraktığını belirtti. 

Mesele daha da ağır. Ocak 2023'te, Notice to Air Missions (NOTAM) sistemindeki bozuk bir veritabanı dosyası, 11 Eylül 2001'den bu yana ilk ülke çapındaki yerde kalmaya yol açtı ve yaklaşık 10.000 uçağın gecikmesine neden oldu. Olay bir siber saldırıdan çok bir yüklenici hatası nedeniyle yaşanmış olsa da, denetim belgelenmiş boşlukları kötüye kullanacak kasıtlı bir girişimin aynı veya daha büyük ölçekli sonuçlar doğurabileceğini açıkça ortaya koyuyor. 

{{REC}}

Bu, OIG'nin alarm verdiği ilk sefer değil. 2021 tarihli bir OIG denetimi, NAS'yi yüksek etkili bir sistem olarak yeniden sınıflandırdıktan sonra FAA'nın NIST güvenlik standartlarını karşılamadığını ilk olarak tespit etti. 2024'te yapılan ayrı bir Government Accountability Office incelemesi, FAA'nın 138 hava trafik kontrol sisteminden 105'ini "sürdürülemez" olarak nitelendirdi. Eğilim açık; verilen yanıtlar ise tutarlı biçimde yetersiz kaldı.

FAA, yönetişim boşluklarının finansman kısıtları, teknik sınırlamalar ve operasyonel karmaşıklıklardan kaynaklandığını; mevcut birçok sisteminin önemli teknik değişiklikler veya tamamen yeni alımlar gerektireceğini, bunun da maliyet aşımlarına ve süre gecikmelerine yol açacağını belirtti. Eleştirenler için, bu açıklama riskin boyutu göz önüne alındığında inandırıcı görünmüyor.

"Düzeltmeler olmadan," OIG uyardı ki "FAA, sistemlerin ele geçirilmesini önleyecek gerekli korumaların yerinde olduğunu garanti edemez; bu da NAS ve uçan halk üzerinde ciddi etki yaratabilir."

FAA ise sorumluluğu kabul etti. "Taslak raporun incelenmesi sonucunda, dört tavsiyeyi yazıldığı şekilde kabul ediyoruz ve bunları 31 Aralık 2026'ya kadar tamamen uygulamayı planlıyoruz," FAA denetime yanıt olarak belirtti. 

Kongre bu konuya aktif şekilde müdahil oldu. Mayıs 2024'te kanunlaşan FAA Reauthorization Act of 2024 ile Kongre, FAA'ya havacılık siber güvenliği üzerinde münhasır düzenleme yetkisi verdi ve ajansa NAS için siber tehdit yönetimi süreçleri kurma talimatı verdi. FAA, daha geniş taahhüdünün bir parçası olarak NAS güvenliğini modernize etmeye yardımcı olabilecek satıcıları belirlemek üzere Mart 2026'da bir siber güvenlik piyasa araştırması yayımladı ve yeni bir hava trafik kontrol sistemi teslim etmeyi 2028 sonuna kadar hedefliyor. 

{{AD}}

Ajansın daha ileriye dönük taahhütleri arasında, NAS, ATC ve BT sistem altyapısını post-quantum kriptografiye taşımayı planlaması da bulunuyor; bu kavram, gelecekteki kuantum bilgisayarların saldırılarını yeni şifreleme yöntemleri benimseyerek hafifletmeye odaklanıyor. Ajans bu adımı kendi piyasa talebinde çarpıcı biçimde şöyle ifade etti:

“Kuantuma dirençli, kripto-esnek güvenlik olmadan NAS, önümüzdeki on yıllarda gereken güvenilirlik, performans veya uluslararası liderliği sağlayamaz.”

OIG'nin zaten belgelediği boşlukları bir tehdit aktörünün kullanmasından önce bu hedeflerin gerçekleştirilebilip gerçekleştirilemeyeceği temel soru olmaya devam ediyor ve her gün Amerikan göklerine çıkan milyonlarca yolcu için bu soru rahatsız edici biçimde açık kalıyor.