Amerika Birleşik Devletleri'ndeki trenlerde on yılı aşkın süredir var olan bir güvenlik açığı, siber saldırganların lokomotiflerin frenlerini uzaktan tetiklemesine olanak tanıyor. Bağımsız bir güvenlik araştırmacısı tarafından ortaya çıkarılan bu kritik zafiyet, tren sektörünün yıllardır farkında olduğu ancak yama çalışmalarına yeni başladığı bir sorun olarak öne çıkıyor.
ABD Trenlerindeki Zafiyet İlk Olarak 2012'de Keşfedildi
ABD Siber Güvenlik ve Altyapı Ajansı (CISA), bu güvenlik açığı hakkında kamuoyunu bilgilendirdi. Güvenlik araştırmacısı Neil Smith tarafından 2012 yılında keşfedilen bu açık, trenlerin fren sistemleriyle radyo frekansları aracılığıyla iletişim kurulmasına izin veriyor. Smith'e göre, bu tür bir saldırıyı gerçekleştirebilecek bilgi internette mevcut ve kötü niyetli kişiler, yapay zeka araçlarını kullanarak bu demiryolu araçlarını hedef alabilir.
Smith, bu zafiyeti oldukça geniş bir mesafeden kullanabilen bir hacker'ı tanıdığını iddia ediyor. Araştırmacı, düşük güçlü bir cihazla bile birkaç yüz metre mesafeden bir treni durdurmanın mümkün olduğunu, ancak yeterli güçle bu mesafenin yaklaşık 240 kilometreye kadar çıkabileceğini belirtiyor. Ancak Smith, bu kadar büyük bir mesafeden saldırı yapmanın, değerli bir şeyi çalma amacıyla trenleri durdurmak isteyen saldırganlar için verimli bir yöntem olmayacağını da ekliyor.
Smith ayrıca, Amerikan Demiryolları Birliği'ni (AAR) sorun hakkında bilgilendirdiğinde, durum gerçek hayatta gösterilene kadar bunu kabul etmediklerini belirtiyor. Yetkililerin herhangi bir test yapılmasına da izin vermediği ifade ediliyor. CISA'nın Siber Güvenlikten Sorumlu Başkan Yardımcısı Chris Butera, bu zafiyetin 'demiryolu sektörü paydaşları tarafından on yılı aşkın bir süredir anlaşıldığını ve izlendiğini' ve yetkililerin bu sorunu hafifletmek için stratejiler geliştirmek üzere ortaklarla çalıştığını bildirdi.
Smith'e göre, CISA'nın güvencelerine rağmen sorunun çözülmesi yıllar alabilir. Araştırmacı, AAR'nin duruma yaklaşımı nedeniyle çok zaman gerektiğini, demiryolu sektörünün siber güvenliği sigorta şirketlerinin talep edildiğinde kapsamı geciktirmesi ve reddetmesiyle aynı şekilde ele aldığını savunuyor.
