Siber güvenlik, günümüzün dijital dünyasında her sektör için kritik bir öneme sahiptir. Özellikle havacılık gibi can güvenliğinin ön planda olduğu sektörlerde, siber güvenlik tehditleri çok daha ciddi sonuçlara yol açabilir. Geçmişte dış dünyadan izole olan aviyonik sistemler, teknolojinin gelişimiyle birlikte daha fazla bağlantılı hale gelmiş ve bu durum, siber saldırılara karşı savunmasızlık riskini artırmıştır. Bu makalede, aviyonik siber güvenliğin önemini, tarihsel gelişimini, standartlarını, geleceğini ve ASELSAN’ın bu alandaki çalışmalarını ele alacağız.

Havacılık endüstrisi, dijitalleşmenin hızla arttığı sektörlerden biri olarak karşımıza çıkmaktadır. 5G, bulut bilişim, Wi-Fi, uydu haberleşmesi ve yapay zeka gibi teknolojiler, yeni nesil aviyonik sistemlerde yerini almaktadır. Bu gelişmeler, uçakların daha verimli, güvenli ve konforlu olmasını sağlarken, aynı zamanda siber saldırılara karşı daha savunmasız hale gelmesine de neden olmuştur. Artan bağlantı noktaları, donanım ve yazılım karmaşıklığının büyümesi, modern aviyonik sistemler için tehdit yüzeyini artırmaktadır. Bu nedenle, aviyonik siber güvenlik, havacılık endüstrisindeki en önemli konulardan biri haline gelmiştir.

Aviyonik Siber Güvenliğin Tarihsel Gelişimi

Aviyonik sistemlerin siber güvenlik konusundaki evrimi, askeri havacılığın gelişimiyle paralel bir şekilde ilerlemiştir. İlk nesil savaş uçaklarında iletişim ve navigasyon gibi fonksiyonlar için aviyonik sistemler kullanılmazken, ikinci nesil uçaklarda radarlar ve güdümlü füzeler gibi daha karmaşık sistemler kullanılmaya başlanmıştır. Üçüncü nesil uçaklarda federe mimarilerle birlikte daha gelişmiş aviyonik sistemler ortaya çıkmıştır. Dördüncü nesil uçaklarda dijital veri yolları ve entegre modüler aviyonik (IMA) mimarisi kullanılmaya başlanmıştır. Beşinci nesil savaş uçakları ise 2. nesil IMA mimarisi, 5G, bulut bilişim, makine öğrenimi ve yapay zeka gibi teknolojilerle  donatılmıştır. Bu süreçte, aviyonik sistemlerin karmaşıklığı arttıkça, siber güvenlik tehditleri de artmıştır.

Aviyonik Siber Güvenlik Standartları

Sivil havacılık düzenleyicileri, iletişim, navigasyon ve gözetim teknolojilerini geliştiren şirketler için yeni politikalar, düzenlemeler ve kılavuzlar geliştirmeye başlamıştır. 2019 yılında Avrupa ve Amerikan havacılık endüstrisi, EASA ve FAA ile koordine olarak, hava aracı geliştirme aşamasında kılavuz olarak kullanılmak üzere Uçuşa Elverişlilik Güvenlik Süreci Spesifikasyonu’nu (Airworthiness Security Process Specification ED202/DO326) yayınlamıştır. ED202/DO326 spesifikasyonu, aviyonik sertifikasyon sürecine en büyük etkisi, değişken siber tehdit unsurlarına karşı yazılım ve donanımların belli aralıklarla güncellenmesi gerekliliği olmuştur. Bunun sonucunda, güncel siber güvenlik ihtiyacını karşılamak için döngüsel bir sertifikasyon süreci başlamıştır.

RTCA DO-326A, “Uçuşa Elverişlilik Güvenlik Süreci Spesifikasyonu”, uçaklarda siber güvenlik için fiili endüstri yol haritasıdır. Siber güvenlik tehditleri olarak da bilinen uçak sistemlerine yönelik kötü niyetli müdahalelerin sistematik olarak nasıl önleneceği ve azaltılacağı konusunda rehberlik sağlamaktadır. Endüstride genellikle “havacılık siber güvenliğine giriş” olarak adlandırılmaktadır.

DO-326A, tüm hava taşıtları, motorlar, rotorlu taşıtlar ve pervaneler için resmi uyumluluk gereksinimlerini temsil eder. Standardın içeriği, üreticiler için uyumluluk hedefleri ve veri gereksinimlerinin ana hatlarını çizerken, güvenli bir ekosistem oluşturmanın ne anlama geldiğini belirtir. DO-326A’nın ana odak noktası, bir saldırının uçağın çalışma şeklini ciddi şekilde etkileyebileceği ve yolcu ile operatör güvenliğini tehlikeye atabileceği durumlarda, geliştirme ve uçuş operasyonları sırasında kötü amaçlı yazılımların aviyonik sistemlere bulaşmasının nasıl önleneceğinin ana hatlarını çizmektir.

DO-326/ED-202 seti içerisindeki her bir spesifikasyon bir amaca yönelik oluşturulmuştur. DO-326/ED-202 spesifikasyonu sertifikasyon sürecinde ne yapılması gerektiğini belirtirken, DO-356/ED-203 spesifikasyonu, nasıl yapılması gerektiğini anlatır. DO-355/ED-204 dokümanı üretim sonrası yapılması gerekenleri, ED205 de ağırlıklı olarak Avrupa kullanımına yönelik yer sistemleri spesifikasyonunu içermektedir.

Çip Seviyesinden Platform Seviyesine Siber Güvenlik Çözümleri

Siber saldırılara karşı güvenli ve dayanıklı sistemler geliştirmek için çip seviyesinden platform seviyesine kadar çok katmanlı bir güvenlik mimarisinin oluşturulması gerekmektedir. Bu kapsamda değerli verilerin ve bilgilerin korunduğu, saldıralar karşısında sistemin kritik faaliyetlerini sürdürebildiği savunma mekanizmalarının katmanlaştırıldığı siber güvenlik yaklaşımları izlenmektedir. Fazla bileşenlere sahip bu çok katmanlı yaklaşım, bir bütün olarak sistemin güvenliğini artırır ve birçok farklı saldırı vektörünü dikkate alır. Bu sebeple çip, kart, montaj, platform ve veriyollarına yönelik gerekli siber güvenlik mekanizmalarının oluşturulması önemlidir.

Çip seviyesinde en çok karşılaşılan saldırılar, tersine mühendislik, yan kanal, voltaj sıçraması, bit değişimi ve kötücül yazılım saldırılarıdır. Çip seviyesindeki saldırılara karşı alınacak önlemler, entegre devrenin tasarımına yöneliktir. Bu önlemler tedarik zinciri sürecinde ve üretim sürecinde uygulanır.

Kart seviyesinde yaygın olarak tersine mühendislik saldırıları, gömülü işletim sistemi ve uygulamalara yönelik saldırılar, veri yolu zafiyetini kullanan saldırılar, test birimine yönelik saldırılar ve donanım eklentisi saldırıları gerçekleştirilir. Baskı devre kartının tasarım aşamasında ürünlerin işlevsel özelliklerine yönelik saldırılar düşünülerek bileşenler arasında güvenilir ilişki ve veri akışları tanımlanmalıdır.

Montaj seviyesinde Hatta Değiştirilebilir Cihazlar (LRU) ve Elektronik Kontrol Cihazları (ECU) olarak adlandırılan entegre bileşenler, platformun alt sistemlerini oluşturmaktadır. Montaj seviyesinde alınacak önlemler ile bu alt sistemlerin kapsadığı güç kaynaklarının, sinyal kontrol panellerinin, sensör işleyicilerin ve aktüatörlerin güvenliğini ve gizliliğini korumayı amaçlamaktadır.

Platformlarda bulunan uçuş yönetim sistemi, haberleşme ve navigasyon sistemleri, silah sistemleri gibi alt sistemler, birçok cihazın birbiriyle bir veri yolu üzerinden haberleşmesi prensibiyle çalışır. Bu alt sistemler, çok çeşitli üretici, veri yolu, sensör, işlemci ve aktüatörlerden oluşabilmektedir. Bu çeşitlilik aynı zamanda farklı saldırıların yapılabilmesine olanak sağlamaktadır. Platform seviyesinde güvenli haberleşme için sistemin çalışma karakteristiklerine uygun tasarlanmış kriptografik protokollere ihtiyaç duyulmaktadır.

ASELSAN’ın Aviyonik Siber Güvenlik Çalışmaları

ASELSAN, aviyonik siber güvenlik alanında önemli çalışmalar yürütmektedir. Aviyonik platformlara özel siber güvenlik çözümleri, kuantum sonrası kriptografik algoritmaların aviyonik sistemlerde kullanımı ve aviyonik siber güvenlik standartlarının var olan süreçlere adapte edilmesi konusunda çalışmalar gerçekleştirilmektedir.

2022 yılında, elde edilen birikim doğrultusunda Aviyonik Siber Güvenlik Saldırı Tespit Sistemi ve Aviyonik Sistemlere Özgü Atak Ağacı Modelleme ana başlıkları altında AR-GE projesi başlatılmıştır. Bu çalışmalardaki nihai amaç, ASELSAN tarafından geliştirilen aviyonik platformlarda uçtan uca güvenliği sağlamaktır. Bu kapsamda, Saldırı Tespit Sistemi ile aviyonik platformlarda koşan yazılımlar ve aviyonik veriyolları üzerinde oluşabilecek anomalilerin tespit edilmesi ve kuantum ataklara karşı dayanıklı güvenli kimlik doğrulama, anahtar değişimi ve imzalama protokol geliştirilmesi amaçlanmaktadır. Geliştirilecek aviyonik siber saldırı tespit sisteminin 2025’te halihazırdaki aviyonik platformlarımıza entegre edilmesi öngörülmektedir. 2027 yılında elde edinilen bilgi birikimi ve geliştirilmiş teknolojik çözümler ışığında Aviyonik Siber Güvenlik Laboratuvarının kurulumu ve faaliyete geçirilmesi planlanmaktadır. Bu laboratuvarın işler hale geçmesiyle birlikte karşılaşılan siber tehditlere karşı hızlı çözümlerin oluşturulması ve aviyonik siber güvenlik alanında yenilikçi çözümlerin hayata geçirilmesi planlanmaktadır.

Aviyonik sistemlerde siber güvenlik, günümüzün en önemli konularından biri haline gelmiştir. Teknolojinin gelişimiyle birlikte artan bağlantılılık, siber saldırı riskini de beraberinde getirmiştir. Bu riskleri bertaraf etmek ve uçuş güvenliğini sağlamak adına, uluslararası standartlar ve düzenlemeler geliştirilmekte, siber güvenlik çözümleri sürekli olarak güncellenmektedir.

Çip seviyesinden platform seviyesine kadar çok katmanlı bir güvenlik yaklaşımı benimsenerek, olası saldırı vektörlerine karşı savunma mekanizmaları oluşturulmaktadır. Bu kapsamda, ASELSAN gibi öncü kuruluşlar, aviyonik sistemlere özel siber güvenlik çözümleri geliştirmekte, kuantum sonrası kriptografi gibi geleceğin teknolojilerine yönelik araştırmalar yapmaktadır.

Aviyonik siber güvenlik, sürekli gelişen ve değişen bir alandır. Bu nedenle, sektördeki tüm paydaşların işbirliği içinde olması, bilgi paylaşımı yapması ve en güncel teknolojileri takip etmesi büyük önem taşımaktadır. Gelecekte, yapay zeka, makine öğrenimi ve bulut bilişim gibi teknolojilerin aviyonik sistemlere entegrasyonuyla birlikte, siber güvenlik tehditlerinin daha da karmaşık hale gelmesi beklenmektedir. Bu nedenle, proaktif bir yaklaşımla, sürekli olarak yeni nesil siber güvenlik çözümleri geliştirilerek, havacılık sektörünün güvenliği en üst seviyede tutulmalıdır. Unutulmamalıdır ki, gökyüzünde güvenliği sağlamak, sadece teknolojik bir zorluk değil, aynı zamanda insan hayatına duyulan saygının da bir gereğidir.