Siber güvenlik: savaş öncesi gerçeklik kontrolü
(berthub.eu)- Avrupa'da siber güvenlik, hack ve fidye yazılımına karşı koymanın ötesinde, savaş öncesi çağda iletişim, elektrik, köprüler ve devlet BT'sinin kaos içinde de ayakta kalıp kalamayacağını sorgulayan bir meseleye dönüşüyor
- Temel koşullar; kendi kendine çökmeyen sağlam altyapı, bilinen bağımlılıklar ve sorun çıktığında doğrudan onarılabilecek teknik sahipliktir
- Stuxnet, Viasat modemlerinin devre dışı bırakılması, Ukrayna elektrik şebekesi ve Kyivstar saldırıları; siber saldırıların hizmet kesintisinin ötesine geçerek ekipman tahribatı ve toplumsal altyapının felcine yol açabileceğini gösteriyor
- Hollanda'nın acil durum iletişim ağı ve köprü işletimi; bulut, telefon şebekesi, VPN ve yurtdışındaki bakım personeline dayanıyor, bu yüzden elektrik kesintisi ya da savaş durumunda toparlanma zinciri kopabiliyor
- Google, Microsoft, AWS ve yurtdışı telekom ekipmanı işletimine bağımlılık artarken, kurum içi teknik personel azalıyor ve kurumların kendi kendini toparlama kapasitesi de zayıflıyor
Savaş öncesi çağın siber güvenliği
- Donald Tusk, Avrupa'nın “yeni bir çağ”, yani savaş öncesi bir çağ içine girdiğini söyledi; bu bağlamda siber güvenlik, sırları koruma ya da fidye yazılımına karşı savunmanın ötesinde, toplumsal altyapının hayatta kalma meselesi olarak ele alınmalı
- NATO Genel Sekreteri Mark Rutte de 12 Aralık 2024 tarihli konuşmasında “savaş zamanı zihniyetine geçme zamanı” dedi
- Elektrik kesintisi, internet arızası, hastanelerin devre dışı kalması gibi yıkıcı siber olaylar herkesin endişesi olsa da, şimdilik yalnızca sınırlı ölçekte yaşandı
- 2013'te Brenno de Winter, Titanic'in batışı gibi büyük bir felaket yaşanmadan düzenlemelerin ciddi biçimde devreye girmeyeceğini düşünüyordu, ancak böyle bir olay olmadan da AB birçok siber güvenlik yasası hazırladı
- Hâlihazırda yazılmış 6-7 kadar yasa var, ancak bunlardan yalnızca biri kısmen etkinleşti ve geri kalanı hâlâ uygulamaya alınma sürecinde
- Bu yasalar, siber güvenlik durumunu bir ölçüde iyileştirebilecek Titanic sonrası bir ortama daha yakın
Gerçek askerî siber saldırı örnekleri
- Stuxnet, İran'ın uranyum santrifüj tesisini hedef alan bir operasyondu; tesisi yalnızca durdurmakla kalmadı, fiziksel olarak kendi kendini bozmasına yol açtı
- Rusya'nın Ukrayna'yı işgalinden hemen önce Viasat modem saldırısı yaşandı
- Saldırganlar, uydu iletişim modemlerinin firmware'ini silerek ekipmanın değiştirilmesini gerektiren bir duruma yol açtı
- Almanya'da bu modemleri kullanan 4.000 rüzgâr türbini artık işletilemez hâle geldi
- Ukrayna ordusunun iletişimi de ciddi biçimde aksadı ve bu durum Rusya'nın lehine oldu
- Rusya daha önce de benzer bir yöntemle Ukrayna elektrik şebekesini felç etmişti
- Ukrayna tarafı, sistemlerin basit ve sağlam olması ile müdahale kapasitesinin iyi olması sayesinde kesintiyi yaklaşık 6 saatle sınırlı tuttu
- Bu örnekler nadir olsa da, savaş koşullarındaki siber saldırıların ağ kesintisinin ötesine geçerek ekipman tahribatına ve toplumsal altyapının felcine yol açabileceğini gösteriyor
Kaos ortamında gereken üç koşul
- Savaş, büyük çaplı kaos ve elektrik kesintisi durumlarında üç özellik kritik önem taşıyor
- Sağlamlık: Altyapı saldırıya uğramasa bile kendi kendine çökmemeli
- Sınırlı ve bilinen bağımlılıklar: 5.000 km uzaktaki bilgisayarlara ya da insanlara bağımlı olunup olunmadığı bilinmeli
- Onarılabilir sahiplik: Ekipman, firmware, kablolama ve yapılandırma durumu doğrudan anlaşılabilmeli, gerekirse geçici çözümler üretilebilmeli
- Microsoft 365 gibi modern iletişim araçları saldırı olmasa bile yılda bir ya da iki gün kesinti yaşayabiliyor; bu nedenle bu anlamda sağlam altyapı sayılmaları zor
- Bakımı 5.000 km uzaktan yapılan telekom operatörleri, bağlantı koptuğunda yardım almakta zorlanabilir
- Acil durumlarda doğru kablo bulunamayabilir, resmi olmayan bir kablo kullanılabilir ya da firmware'in elde düzeltilmesi gerekebilir
Acil durum iletişim ağının gerileyişi
- sound-powered phone, elektriksiz çalışan basit bir cihazdır; gemi yanarken bile güverteyle konuşmayı sağlar
- Çekiçle vurulsa da çalışacak kadar basit ve sağlamdır
- En fazla 10 istasyonla görüşebilir ve 50 km kablo üzerinde de çalışabilir
- Hollanda'nın eski Mini-noodnet sistemi, 20 sığınağı bağlayan bakır hat tabanlı bir acil durum iletişim ağıydı
- Genel telefon şebekesinden tamamen bağımsızdı ve savaş ile afetlerde hayatta kalacak şekilde tasarlanmıştı
- A/B şeklinde tamamen yedekli bir yapıya sahipti
- Bu ağ kapatıldı ve modernleştirilmiş acil iletişim altyapısı artık KPN VPN hizmeti ile DSL modemlere dayanıyor
- Tüm görüşmeler KPN'in çeşitli router'larından geçiyor, dolayısıyla bir şey bozulursa ilk bozulanlardan biri olma ihtimali yüksek
- Birkaç yıl önceki elektrik kesintisinde bu sistem kullanılmak istendi ama çalışmadı
- WhatsApp, Hollanda hükümetinin fiilî afet iletişim aracı gibi yoğun biçimde kullanılıyor
- Kısa metin mesajı tabanlı acil ağ fikri başlı başına faydalı
- Ancak ABD ile olan kablolar koparsa WhatsApp da devre dışı kalabilir; yani acil ağın kendisindeki yedeklilik düşük
Köprüler ve sahada onarım kapasitesi
- Rijkswaterstaat, bir köprü kapanmadığında sık sık “mühendis çağrıldı” diye bilgilendirme yapıyor
- Köprüyü onarmak için telefon şebekesinin çalışması gerekiyor olabilir ve mühendisin telefon numarası bulutta tutulan bir Excel dosyasında bulunabilir
- 2024'te bir köprüyü toparlama zinciri; bulut, telefon şebekesi, saha aracı ve bazı durumlarda elektrikli van'ın bulut hizmetlerini bile içerebilir
- Modern toplumsal altyapı; elektrik, ABD'ye giden kablolar, bulut ve telefon şebekesi aynı anda çalıştığında ayakta duran bir yapıya dönüşmüş durumda
- Botlek Bridge modern bir köprü örneği ve toplam 250 kez arızalandı; ilk yıllarda yılda yaklaşık 75 arıza yaşanıyordu
- Kamyon trafiği için kritik bir güzergâh olduğu için arızaların etkisi büyüktü
- Özel bir mühendisin sahadaki van'da sürekli hazır tutulması kesinti süresini yaklaşık yarıya indirdi
- Hatta arıza takip sitesi ve SMS uyarı hizmeti bile var
- Yıllar sonra nedenin, durum ve sensörleri yöneten sunucudaki bozuk bir Ethernet kablosu veya port olduğu ortaya çıktı
- Nedenin 3 yıldan uzun süre bulunamaması, kurumun kendi altyapısı üzerindeki kontrol eksikliğini gösteriyor
- Maeslantkering ise bunun tersine, basit ve sağlam büyük altyapının bir örneği
- Yüksek suyu durdurmak için inşa edilmiş bir yapı ve kapanmayı sağlayan kırmızı motorlar yalnızca yapıyı iterek kapatma işini yapıyor
- Motorlar çalışmasa bile kapatmanın başka yolları var ve tamamen kapanmaması da tolere edilebiliyor
- Pasif bir yapı ve sensörlere bağımlı değil
İletişim altyapısı ve yurtdışı bağımlılığı
- 5G tartışmaları sırasında siyasette konu, sanki yeni Çin ekipmanı kullanılıp kullanılmayacağına karar verme meselesiymiş gibi ele alındı; oysa gerçekte Çin tarafı zaten birçok telekom ekipmanını işletiyordu
- KPN'in iş ilanlarında 5G ile ilgili işletim rolleri görülmemesi, operatörün bu altyapıyı doğrudan kendisinin işletmediğini gösteriyor
- Geçmişte iletişim o kadar önemli görülüyordu ki 20 sığınak ve bağımsız bir iletişim ağı kurulmuştu; bugün ise Pekin'den işletilen bir yapının kabul edildiği anlaşılıyor
- Operatörlerin Ericsson ve Nokia ekipmanına geçmesi olumlu, ancak bakım personeli İsveçli “Sven” değil, çok uzaktaki ekipler olabilir
- Çin ve Hindistan, Rusya ile yakın hizalanmış durumda ve Rus hacker saldırısı olduğunda Infosys gibi dış kuruluşların yardıma koşup koşamayacağı belirsiz
- Avrupa'nın ileri optik ve çip üretim ekipmanlarında güçlü yetkinlikleri var, ancak kritik altyapıyı bizzat işletmeye yeterince odaklanmış değil
Zafiyetler fazla temel ve fazla yaygın
- Hollandalı gazeteci Joost Schellevis, hafta sonu boyunca Hollanda internetini tarayarak hacker'lara açık 10.000 nokta buldu
- NCSC ve benzeri kurumlar iyileştirme çalışmaları yürütüyor ve zafiyet taraması yapmak artık mümkün hâle geldi
- Bir dönem bir gazeteci bu taramayı yapabiliyorken Hollanda devleti hukuki nedenlerle yapamıyordu
- “İyi bir firewall alırsanız güvendesiniz” türü tavsiyeler de artık pek işlemiyor
- Birçok büyük güvenlik üreticisi, her yıl yüzlerce sorun barındıran son derece güvensiz ürünler çıkarıyor
- Oracle ve Microsoft gibi büyük üreticilerin güvenlik güncellemelerinde her ay yüzlerce zafiyet ortaya çıkması tekrarlanan bir durum
- Son dönemdeki birçok güvenlik olayı, ileri düzey saldırılardan değil çok temel hatalardan kaynaklandı
- Bir help desk yazılımında, URL'nin sonuna tek bir slash eklenince yeni yönetici olarak erişilip parola sıfırlanabiliyordu
- GitLab'da parola sıfırlama sırasında bağlantı ikinci e-posta adresine gönderiliyor ama yönetici kontrolü yalnızca ilk e-posta için yapılıyordu; bu sorun yaklaşık 6 ay boyunca sürdü
- Ivanti'de
../gibi temel path traversal örnekleri 2024'te bile işe yarıyordu
- ABD hükümeti Ivanti kullanımını yasakladı, ancak Hollanda hükümeti önüne başka bir firewall koyulursa kabul edilebilir olduğu görüşünü benimsedi
Bulut otomatik çözüm değil
- “Buluta taşınırsak daha güvenli oluruz” sonucu geçerli değil
- Microsoft, ihlalin farkında olduğunu ve müdahale ettiğini söyledi ama daha sonra sistemlerin hâlâ hack'lenmiş durumda olduğunu kabul etti
- Bir şirketin gerçek güvenlik durumunu görmek için menkul kıymetler piyasası bildirimlerinin okunması gerektiği yorumu yapılabilir
- Bu bildirimlerde sorunlar gizlenirse yönetim kurulu cezalandırılabileceği için görece daha dürüst olunuyor
- ABD Cyber Safety Review Board, Microsoft ile ilgili olayı inceledi ve ilgili rapor önemli bir referans olarak anılıyor
- Avrupa ve Hollanda, çok sayıda BT yükünü Google, Microsoft ve AWS gibi büyük bulutlara taşıyor
- Hollanda hükümeti, gizli bilgiler ve temel devlet kayıtları gibi bazı alanları buluta taşımayacağını söylüyor
- Bunun dışındaki çoğu şey buluta taşınabilecek hedefler olarak görülüyor
- Kendi BT'sini işleten kurumlar buluta geçtiğinde, iç operasyon ekipleri kurumdan ayrılıyor
- Bazen iş sıkıcılaştığı için insanlar kendiliğinden gidiyor
- İyi teknik personel bulut şirketlerine geçiyor ve sonrasında o şirketlerin iç işletim biçimini anlamak zorlaşıyor
- Temel sorun, kritik kurumların içinde bilgisayarların gerçekte ne yaptığını bilen kimsenin kalmaması
Teknik olmayan kararların maliyeti
- Hollanda ve Avrupa'daki karar alma süreçleri çok teknik dışı ilerleyebiliyor
- Bulut stratejisi gibi kararların verildiği masalarda hukuk, tarih, sanat ya da Fransızca eğitimi almış kişiler bulunabiliyor, ancak bilgisayarların ne yaptığını bilen kişi sayısı az kalabiliyor
- Teknik ekip toplantıda yokken, bir şirket her şeyi yurtdışına outsource etme kararı alabiliyor
- Mevcut eğilim, işletilen şeyler hakkında giderek daha az şey bilmek ve giderek daha uzaktaki insanlara daha fazla bağımlı hâle gelmek yönünde
- Bu gidişat zaten fazla ileri gitti ve durmaktan çok daha da kötüleşmeye yakın
Kyivstar ve savaş zamanı toparlanma kapasitesindeki fark
- Ukrayna zaten 2 yıldır savaş yaşadığı için, basitçe kırılabilecek pek çok şey çoktan kırılmış durumdaydı
- Rusya daha sonra Ukrayna'nın büyük telekom operatörlerinden biri olan Kyivstar'a yıkıcı bir saldırı düzenledi
- Kyivstar ve Ukrayna tarafı kaosa hazırlıklıydı ve sistemleri sıfırdan geri kurabildiği için 2 gün içinde yeniden çalışır hâle geldi
- VodafoneZiggo ya da Odido aynı saldırıyı yaşasa ve dış yardım alamasa, 6 ay boyunca devre dışı kalabileceğine dair endişeler var
- Bunun nedeni, kendi sistemlerini yeterince iyi tanımamaları
- COVID döneminde kişisel koruyucu ekipman ve maskeleri doğrudan üretemeyip Çin'e bağımlı kalınması gibi, savaş ortamında bulut sorunlarını çözmesi için Hindistan'a ya da Donald Trump yönetimine muhtaç olmak da riskli
Küçük yazılım deneyi ve karmaşıklık sorunu
- Bulut kullanmadan görsel paylaşmaya çalışınca, Imgur gibi modern görsel paylaşım sitelerinin yaklaşık 5 milyon satır kod ve yüksek karmaşıklık barındırdığı görülüyor
- Doğrudan geliştirilen görsel paylaşım çözümü 1.600 satır koddandı ve rakip hizmetlerden binlerce kat daha küçüktü
- IEEE bu örneği ele aldı ve basılı dergide de yayımlandı
- Güvenlik uzmanları bu 1.600 satırlık kodu denetledi ve üç büyük zafiyet buldu
- Küçük kod tabanları bile ciddi açıkları gizleyebilir
- Bu da 5 milyon satırlık kod tabanlarının fiilen sürekli güvensiz kalabileceği sonucuna götürüyor
- Küçük kod, az bağımlılık ve anlaşılabilir yapı hâlâ mümkün; ancak bunlar tek başına güvenliği otomatik olarak garanti etmiyor
Mevcut durum ve pratik uyarı
- Günlük hayatı ayakta tutan sistemler o kadar karmaşık ve kırılgan ki saldırı olmasa bile kendi kendine başarısız olabiliyor
- Büyük bir telekom kesintisi olduğunda artık bunun siber saldırı mı yoksa basit bir yetersizlik mi olduğunu ayırt etmek gerekiyor
- Teknik bakım giderek daha uzağa taşınıyor ve operatörlerin iş ilanlarında bile kablosuz ağı doğrudan yönetecek personel pek görünmüyor
- Kurum içi teknik yetkinlik zayıflıyor ve iletişimin çalışmaya devam etmesi için dünyanın dört bir yanından destek gerekiyor
- Bu durum savaş zamanına uyarlandığında çok kötü sonuçlar bekleniyor
- Bunun nedeni, teknik olmayan karar vericilerin sistemi daha ucuz ya da daha az zahmetli olacak şekilde tasarlamayı seçmiş olması; daha fazla teknik düşünceye ihtiyaç var, ancak bunun nasıl hayata geçirileceği belirsiz
1 yorum
Hacker News yorumları
Yazarın bakış açısına tamamen katılıyorum. Örneğin European Train Control Systems tarafında trenlerin güvenli konum doğrulaması için GPS kullanmak isteyen çok kişi var; uzay sektörü de bunu seviyor, çünkü Galileo gibi uyduları yörüngeye çıkarmanın maliyetini gerekçelendirebiliyor.
Ama savaş öncesi bir kontrol tatbikatı yaptığınızda, GPS karıştırılır ya da parazite maruz kalırsa Avrupa’daki tüm trenlerin sürünerek gidip sonunda durmak zorunda kalacağı sonucuna hemen varıyorsunuz. Ukrayna savaşı öncesine kadar bu tür uyarılar pek dinlenmiyordu.
Kritik altyapı, uzaydaki ya da dünyanın öbür ucundaki bir şeye bağımlı olmamalı. Bu alanlarda piyasa mantığından önce düzenleme gelmeli; bir sonraki Titanic’i bekleyemeyiz.
Wabtec bir sızma olayı yaşadı, ancak bunun kontrol sistemleriyle değil yalnızca çalışan bilgileriyle ilgili olduğunu iddia ediyor.
https://www.wabteccorp.com/digital-intelligence/signaling-an...
https://industrialcyber.co/ransomware/wabtec-suffers-data-br...
Pandemide olduğu gibi, doğrudan etkilenene kadar önemsizmiş gibi görünen bir tarafı var.
https://en.wikipedia.org/wiki/Ascension_(healthcare_system)
https://www.wired.com/story/change-healthcare-admits-it-paid...
Ayrıca 5.000 km uzaktaki bir bilgisayarın mutlaka kötü bir şey olması gerekmez. Kasırgalara açık Gulf Coast’ta yaşıyorsanız, o bölgenin dışında yedek bilgi işlem kaynaklarının çalışır durumda olmasını istersiniz. Katrina’dan sonra Tulane tıp fakültesi, Romanya’daki bir VM üzerinde çalışan mesaj panosu sayesinde hızla yeniden örgütlendi; geri kalan her şey sular altında kalmıştı.
Ses gücüyle çalışan telefonlar konusunda, gemide hasar kontrolünde görev aldım; neredeyse hiç düzgün çalışmıyorlardı. Gerçek yangın müdahalesini koordine etmek için telsiz ve gemi içi anons sistemi gerekir; bunlar da elektriğe bağımlıdır.
2011’de San Diego genelinde iş çıkış saatinde 4 saatlik elektrik kesintisi yaşandığında bile cep telefonu şebekesi çalışıyordu; trafik ışıklarının olmadığı bir arabadan Tokyo’ya e-postayla belge gönderebilmiştim.
ABD tarafındaki kabloların koptuğu durumlar da var, ama kabloların sağlam kaldığı pek çok afet de var. Zarif performans düşüşü, geniş biçimde dağıtılmış seçeneklere sahip olmaktan gelir; IP ağlarının kırılgan olduğunu düşünüyorsanız Starlink terminali ve amatör telsiz lisansı edinmek bence daha iyi olur.
https://en.wikipedia.org/wiki/SpaceX_Starshield
HN’de şimdiye kadar okuduğum en iyi yazılardan biriydi; keşke daha çok kişi görse. Bir “nerd” olarak ben de, daha basit çözülebilecek sorunları gereksiz yere nerd yaklaşımıyla çözmeye çalışıp çalışmadığımızı sık sık düşünüyorum.
Çoğu zaman, yapmamız gerekip gerekmediğinden çok, yapabildiğimizi kendimize ve başkalarına kanıtlamak için en karmaşık ya da en nerd’çe yöntemi seçiyor gibiyiz. Elbette bu yaklaşım her zaman kötü demek değil; bazı sorunlarda basit çözüm daha uygundur.
https://en.m.wikipedia.org/wiki/Therac-25
Teknik olmayan kişilerin ucuz olanı optimize eden seçimler yaptığına katılıyorum; buna iki şey daha ekleniyor. Siber güvenlikteki kötü niyetli aktörler merkeziyetsiz ve dağıtık; hızla yenilik yapıp paylaşıyorlar. Savunmacılar ise merkezi, tekelci ve sınırların içine hapsolmuş durumda.
Ayrıca yazılım ve hizmet sağlayıcıları geleneksel olarak güvenli ağ iletişimini ürünlerine yerleşik biçimde koyamadı; bunu sonradan tüketicinin ekleyeceği bir şeye dönüştürdü. Ağ çoğu zaman en büyük ve en kırılgan saldırı yüzeyi olduğu için bu tehlikeli.
Bu yüzden yapılabilen tek şey, “bunu satın alırsanız güvende olursunuz” diyen binlerce tedarikçinin araçlarından bir tane daha almak oluyor; güvenli ürün geliştirmiş birine bunun saçmalık gibi gelmesi gerekir.
Çoğu araç biraz faydalıdır ya da tamamen işe yaramaz; asla her derde deva değildir. Güvenli ürün yapmak için güvenliği birinci sınıf gereksinim olarak görmek ve ilk günden tasarıma katmak gerekir. Söylemesi kolay, uygulaması zor.
Yaklaşık 10 yıl önce, Batı altyapısının siber operasyonlara açık olması nedeniyle ABD’nin küçük bir müttefikini desteklemek için müdahil olamayacağını öngören bir yazı yazmıştım. Mantık şuydu: altyapı saldırılarının yol açacağı iç karışıklığın maliyeti, denizaşırı bir savaşa müdahale konusunda tereddüt yaratacak; bu kırılganlık da Russia veya China gibi hasım ülkeleri cesaretlendirecekti.
Şimdiye kadar yanılmışım. Son dönemdeki bazı altyapı olayları, “geri adım atmazsanız size bu kadarını gösterebiliriz” diyen Russian caydırma operasyonları gibi görünse de ABD hâlâ Ukraine savaşına derinden dahil ve Iran’a karşı Israel’e de siper sağlıyor gibi. Her iki hasım ülkenin de ABD elektrik şebekesini durdurabilecek kapasiteye sahip olabileceği endişesi pek görünmüyor.
China da Taiwan konusunda sert, ama tam bir siyasi ilhak yerine onu yönetmekle yetiniyor gibi; ABD’nin Taiwan’a desteğini de ciddiye alıyor gibi görünüyor. China’nın, içinde yarı iletken bulunan ABD’deki neredeyse her şeyi durdurabileceğini varsaysak bile durum böyle.
Belki de yeni dünya düzeninde, ihtiyaç duyulan şeyler etkin biçimde yönetilebildiği sürece devletlerin egemen topraklarını genişletmesine gerek yoktur. Füze konuşlandırma gibi durumlar hariç, sütü elde edebiliyorsanız neden ineği işgal edip yönetme yükünü de üstlenesiniz? Böyle bakınca siber alan, uzay ve ağlar öncesi jeopolitiğin varsayımlarından daha akışkan bir dinamiğe oturuyor.
Saldırgan siber alana daha çok yatırım yapılması gerektiğine dair gürültülü tartışmalar çok olsaydı endişelenirdim. Yokmuş gibi davranılmasından bile yeterince anlaşılabiliyor.
Yazının yazarıyım. Merak ettiğiniz bir şey varsa söyleyin.
Ayrıca Microsoft savunmaya yardımcı olduğu için kötü bir yatırım da değildi. Russians’ın Netherlands’a benzer bir saldırı yapması hâlinde oluşabilecek potansiyel zararı anlamaya yönelik bir nicel risk değerlendirmesi yapılıp yapılmadığını merak ediyorum.
IT altyapısının her şeyi India’ya, daha iyi ihtimalle Poland’a dış kaynak olarak verilmişti. EU ofislerinde yetkin insanlar olsa bile kendi donanımlarını kullanma yetkileri yok. Dış kaynak şirketinin düşük yetkinlikli bilet sorumlularına haftalarca yalvarmak ve bitmek bilmeyen toplantılar yapmak gerekiyor.
EU çalışanları özellik fabrikasına ya da süreç yöneticisine itiliyor; operasyon ise hiç yok. “Temel yetkinlik değil” deniyor.
Bir daha “ulusal güvenlik açısından önemli” bir Avrupa büyük şirketinde çalışmayacağım. İnsanın ruhunu tüketiyor ve kimsenin umursamadığı çok açık.
EU egemenliği için onlarca milyar avro ayrıldığı haberlerini her gördüğümde içim acıyor. 10 yönetici, 2 mühendisten oluşan ekiplerde, fazla uzun toplantılarda $indian_outsourcing_company ekibine kendi işimi yapmama izin vermeleri için yalvardığım çok fazla deneyim yaşadım.
Gıda tedarikinin hassas ve kolayca karıştırılabilen bir uydu sistemine tamamen bağımlı olmasının sorunsuz olacağını düşünmek mümkün değil.
https://www.404media.co/solar-storm-knocks-out-tractor-gps-s...
Bulabildiğim bilgilerde temel ayrıntılar biraz farklı. Türbinler çalışmaya devam etmiş ve sayı 4.000 değil, 5.800 gibi görünüyor. Kaybedilen şey uzaktan izleme ve uzaktan kontrol yeteneği gibi duruyor.
https://cyberconflicts.cyberpeaceinstitute.org/law-and-polic...
Bu farkı açıklayabilirseniz iyi olur. Bu dökümü başkalarıyla kesinlikle paylaşmayı düşünüyorum, bu yüzden netleştirmeye değer.
Geçenlerde hava trafik kontrolörlerine GPS kullanılamaz hâle gelirse ne olacağını sordum; hepsi rahatsız edici tepkiler verdi.
Tüm uçakları inişe yönlendirmekle çok yoğun bir gün olurdu. Çünkü bir anda çoğu uçak güvenli şekilde seyrüsefer yapamaz ve fiilen kalkamaz hâle gelirdi.
Yer tabanlı seyrüsefer yardımcıları bütçesini kısmak bence delilik.
Ne yazık ki GPS waypoint’leri tercih edildikçe bu yöntemler giderek daha az kullanılıyor ve fiilen kullanımdan kaldırılma eğiliminde. Hâlâ mevcut olsalar bile pilotlar bunları her gün kullanmadığı için deneyim azalıyor.
Bu yazı, pilotların yalnızca GPS’e dayandığı bazı senaryoları anlatıyor. Elverişli rüzgârlar ve daha doğrudan rotalar için VOR bulunmayan yerlerde bile GPS tabanlı waypoint’ler kullanılıyor; RNAV kalkış ve varışları ise daha hassas aralık ve daha yüksek kapasite sağlamak için “radyo tabanlı yardımcılar değil, yalnızca GPS”e dayanıyor. Dağlık arazi gibi yerlerde bazı yaklaşmalarda ILS yerine GPS kullanılıyor.
https://simpleflying.com/gps-in-aviation-pilots-guide/
Ulusal altyapı bakımının bu kadar büyük bir kısmını China'a dış kaynak olarak vermek delilik gibi geliyor
China Taiwan'ı işgal ederse, bizim üzerimizde böyle bir kozu varken ne yapabiliriz? Russia gazına bağımlılık bile yeterince kötüydü
ABD'nin Middle East'te bu kadar büyük bir varlık sürdürmesinin nedenlerinden biri de bu
Gizlice, siber savaşta karşılıklı garantili imha olup olmadığını merak ediyorum
Büyük güçlerin her an yeterince 0-day'e sahip olduğu ve bunlar birlikte kullanıldığında dünya çapındaki bilgisayarların ve cep telefonlarının kayda değer bir bölümünü formatlayabilecekleri varsayımı epey makul görünüyor. Bir solucanın IP'leri akıllıca kullanarak belirli bir ülkeyi hedeflemesini sağlamak da çok zor olmasa gerek
İş ve ev bilgisayarlarının yalnızca %25'i silinse, 6 ay içinde güncellenmemiş cep telefonlarının çoğu ve çevrimiçi sunucuların oldukça büyük bir kısmı yok edilse, zararın ne kadar büyük olacağını hayal etmek zor
Kremlin'in 0-day'leri daha ciddi bir çatışma için sakladığı cevabı ikna edici değil. Kremlin, Ukraine durumunu Russian ulusal güvenliği için çok ciddi bir mesele olarak görüyor; atış başına bir milyon dolardan pahalı füzeleri büyük miktarlarda kullanarak Ukraine elektrik şebekesini zayıflatıyor ve Ukraine başkanına yönelik suikastı da birkaç kez denedi
Öyleyse neden siber saldırılarla Ukraine'e mümkün olan en büyük zararı vermek için tüm gücünü ortaya koymasın?
COVID-19, ayak işlerini yurt dışına havale etme bağımlılığını değiştiremediyse, savaşın hemen öncesindeki bir durumda da değişme ihtimalinin çok düşük olduğunu düşünüyorum
Biz en kısa yolu optimize eden ve bu süreçte köşeleri kesen bir türüz. Bir şeyler olup da küllerin üzerinde oturduğumuzda “Biz neyi yanlış yaptık?” diye düşüneceğiz
Bazı şirketler ve hükümetler, uluslararası pazarlara ve tedarik zincirlerine erişimi korurken jeopolitik riski azaltmak için Friendshoring'i teşvik ediyor. Bonnie Glick, Covid-19 pandemisinin başlarında USAID başkan yardımcısı olarak görev yaparken “allied shoring” ifadesini ilk kez kullandı; USMCA ve IPEF dahil yeni ABD ticaret politikaları da Friendshoring yapısıyla uyumlu
https://en.wikipedia.org/wiki/Friendshoring
Mahkeme ve yargı yazılımlarının güvenliğiyle ilgili çok sayıda endişe dile getirdikten kısa süre sonra fiilen işten çıkarılmış olmam canımı sıkıyor
O zamandan beri işsizim; gelirim belirsizleşiyor ama iş arama konusunda hiçbir ilerleme yok
Şu anda teknik becerisi yüksek olmasına rağmen iş bulmakta zorlanan kaç kişi var acaba? Gelir yüzünden black hat tarafa geçme cazibesini ne kadar hissediyorlardır? Bunu düşünen tek kişi ben olamam
Çalıştığım her şirkette devasa güvenlik açıkları gördüm. Sigorta için gereken kutucuklar işaretlendiği sürece kimse umursamıyor
Black hat tüyoları biliyorsanız benim tarafa da gönderin lütfen… şaka yapıyorum