Dünya

ABD, Çin'in elektrikli araçlara yönelik siber saldırılarından neden korkuyor?

Beyaz Saray, bu hafta, Çin veya Rusya menşeli olabilecek “belirli donanım ve yazılım parçaları” içeren bağlı araçların satışını veya ithalatını yasaklama planını duyurdu.

Abone Ol

Bu karar, ulusal güvenlik endişeleri nedeniyle alındı. Bağlantılı araçların siber saldırılara maruz kalma riski oldukça gerçekken, ABD’nin bu açıklamasının zamanlaması dikkate değer bir durum.

ABD yetkilileri, bu tür araçların, özellikle de kamyonlar ve otobüslerin, Çin sabotajı için Trojan atlar haline gelebileceğinden korktuklarını belirtti. Bu, son altı ayda elektrikli araçlara yönelik ikinci duyuru oldu. Washington, Mayıs ayında Çin’den gelen elektrikli araçlara %100 gümrük vergisi uygulamıştı; bu karar, Çin otomobil endüstrisinin devlet sübvansiyonlarıyla desteklendiği için Kuzey Amerika işlerini koruma amacı taşıyordu.

Yeni yasak, Moskova ve Pekin’i hedef alacak olsa da, yine de Çin otomobil endüstrisi ana hedef konumunda. Hem Çin hem de ABD, dünyanın en büyük elektrikli araç şirketlerine ev sahipliği yapıyor. Ancak “dış bağlantı ve otonom sürüş yetenekleri için gereken” donanım ve yazılımın yalnızca küçük bir kısmı Rusya’da üretiliyor.

Trojan Araba Nedir?

Eğer Kongre tarafından onaylanırsa, yeni yasaklar yazılım için 2027’de ve donanım için 2030’da yürürlüğe girecek. Ticaret Bakanlığı’na göre, “Bu sistemlere kötü niyetli erişim, düşmanların en hassas verilerimize ulaşmasını ve ABD yollarındaki araçları uzaktan manipüle etmesini sağlayabilir.”

Jake Sullivan, ABD ulusal güvenlik danışmanı, bağlantılı araçların getirdiği yeni zafiyet ve tehditler hakkında basın toplantısı düzenledi. Sullivan, ABD istihbarat yetkililerinin Şubat ayında Volt Typhoon adlı Çinli hacker grubunun, ABD’de iletişim, enerji, ulaşım, su ve atık su sistemlerini hedef aldığını bildirdiğini belirtti. 

ABD istihbaratı, bu tür grupların kritik ağlara gizli kodlar yerleştirerek, ABD ile Çin arasında gerginlik yükseldiğinde altyapıyı uzaktan sabote edebileceği riskine dikkat çekiyor.

Bağlantılı araçlar, yeni bir altyapı ağı kullanıyor; ancak “bağlı arabaların hacklenme riskinin yaklaşık 10 yıldır bilindiği” belirtiliyor. Ancak şu ana kadar araçların hacklenmesine dair örnekler, uluslararası casusluk aracı olduklarını göstermiyor. “Şu anda, esasen araçların güvenlik sistemlerini aşmak ve çalmak için yapılan hackleme vakalarıyla karşı karşıyayız,” diyor CyberArk’tan Jean-Christophe Vitu.

Bağlantılı araçlar, çok sayıda giriş noktası sunuyor; bunlar esasen ABD’nin son yasakla hedef aldığı yazılımlar aracılığıyla sağlanıyor. “Her bağlantılı aracın, aracın yapımcısı tarafından üretilmeyen bir modem veya SIM kartı var; bu, aracı ağa bağlamasına ve verileri sunuculara iletmesine olanak tanıyor,” diyor F5 şirketinden Matthieu Dierick.

Bu seviyedeki bir zafiyet, bir hackerın iletilen verileri kesmesine olanak tanıyabilir. Ayrıca, “çoklayıcıyı” hedef alarak aracın elektronik ve bağlı arayüzlerini (GPS veya radyo gibi) kontrol edebilir. Bağlantılı araçların ve üreticilerin topladığı kişisel verilerin miktarının büyük olduğu da unutulmamalı.

Bağlantılı araçların fiziksel olarak da manipüle edilebileceği bilinmektedir. Henüz bu tür bir durumun gerçekleştiği bilinmiyor; ancak güvenlik konferanslarında yapılan gösterimlerde bağlantılı bir aracın durdurulabileceği veya uzaktan sürüş destek sisteminin devre dışı bırakılabileceği gösterildi.

Kontrol Sorunu Yaşanıyor

Kuzey Amerika’da Çin yapımı parçaları olan bağlantılı araç sayısı oldukça az ve bir bağlantılı aracı hacklemek, ileri düzey bir siber suçlu becerisi gerektiriyor. “Belirli bir aracı hedefliyorsanız, uzaktan etkinleştirmek veya durdurmak istediğiniz yazılım parçalarının hangi marka olduğunu tespit etmek için önceden istihbarat toplamanız gerekebilir,” diyor Dierick.

Mevcut tehdit ABD için küçük olsa da, “ilgilenecek zamanın erken olmadığını” ekliyor Dierick. “Tüm güncel jeopolitik gerginliklerle birlikte, bu dijital kontrol meselesidir. Kullanılan tüm yazılımlar üzerinde tam kontrol sağlamak ve bunları üreten şirketlere güven duymak gereklidir ve bunun kurulması zaman alabilir.”

Ancak ABD topraklarındaki bağlantılı araçlardan risklerin tamamen ortadan kaldırılması, yalnızca Kuzey Amerika veya Avrupa’da üretilen yazılımlardan oluşan bir üretim zincirinin oluşturulmasını gerektirir. Beyaz Saray’ın basın bülteni, yasaklamanın yüksek riskli yazılım ve donanım bileşenleri için 2030 yılına kadar uygulamaya konulmasını amaçladığını belirtmektedir.

Yine de, bağlantılı araçlara odaklanmanın, ABD’nin büyük ölçekli bir siber saldırıyı ortadan kaldırma amacıyla dar bir yaklaşım olduğu düşünülüyor. “Uzak bir saldırıya karşı savunmasızlık riski, yazılımın kökeni ne olursa olsun vardır,” diyor Viou. 

Bir elektrikli aracın parçası Huawei gibi Çin’de yapılmışsa, bu durumun onu Çinli veya Rus siber suçlularının hackleme girişimlerine karşı daha fazla veya daha az savunmasız hale getirmediği ifade ediliyor.

Sonuç olarak, “Bağlantılı araç, Çin casuslarının girebileceği dijital kapıları kapatma konusunda en öncelikli hedef olmayabilir. Daha fazla sayıda cep telefonunun Çinli bileşenlerle dolaşımda olduğu da unutulmamalıdır,” diyor Dierick.

Yeni ABD yasağı, “özellikle 2022 Biden yönetiminin yeni teknolojilerin ABD üretimini teşvik etme amacıyla başlattığı Chips and Science Act” sonrasında, Amerikan elektronik bileşen üreticilerine avantaj sağlama yolunda bir adım olabilir.

ABD başkanlık seçimlerine bir aydan az bir süre kalmışken, yasak belki de siyasi bir fırsat anı olarak değerlendirilmekte; Demokrat Parti’nin Çin güç korkusundan etkilenmediğini göstermek amacıyla bir jest yapıldığı düşünülüyor.

Çin ise, Salı günü yaptığı açıklamada, ABD’nin yasaklarını “sert bir şekilde reddettiğini” belirtti ve bunun “pazar ekonomisi ve adil rekabet ilkelerini ihlal ettiğini ve tipik bir korumacı eylem” olduğunu ifade etti.