5 Mayıs 2026 tarihli ve 33244 sayılı Resmi Gazete’de Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik yayınlanarak yürürlüğe girmiştir. Söz konusu yönetmelik içeriğini bir başka yazıda değerlendireceğim ancak öncesinde nükleer tesisler siber saldırılara açık mıdır? Ne gibi riskler vardır? Bu konuları değerlendirmek üzere sizlere geçmişte yaşanan bazı olayları anlatmak istiyorum.
Sapphire adıyla da bilinen Slammer bilgisayar solucanı, ilk kez Ocak 2003’te ortaya çıkmıştır. Microsoft SQL Server 2000 yazılımındaki bir güvenlik açığından yararlanan bu zararlı yazılım, çok kısa sürede pek çok sistemi enfekte ederek internet trafiğinde ciddi kesintilere yol açmıştır.
25 Ocak 2003 tarihinde Slammer solucanı, bu kez ABD’nin Ohio eyaletinde bulunan Davis–Besse Nükleer Santrali’nin (David-Besse Nuclear Power Station) ağ sistemine, dış yükleniciye ait internete bağlı bir bilgisayar üzerinden sızmıştır. Her ne kadar saldırı herhangi bir fiziksel hasara yol açmamış olsa da, santral operasyonları üzerinde önemli etkiler yaratmıştır.
Belirtmek isterim ki, bu olaydan yaklaşık bir yıl önce, Şubat 2002’de ABD Nükleer Düzenleme Komisyonu (U.S. Nuclear Regulatory Commission (NRC)), lisans sahiplerini ağ sınırı korumalarını aşabilecek harici bağlantılar konusunda uyaran bir güvenlik emri yayımlamıştır. Davis-Besse Nükleer Santrali’nin bilgi teknolojileri personeli bu emrin gerekliliklerini büyük ölçüde yerine getirmiştir. Ancak dış yüklenicilere ilişkin güvenlik prosedürlerinin uygulanmasında ortaya çıkan bir zafiyet, söz konusu zararlı yazılımın tesise erişmesine neden olmuştur.
Saldırı sonucunda santralin “Emniyet Parametreleri Görüntüleme Sistemi” (Safety Parameter Display System – SPDS) ile “Tesis Süreç Bilgisayarı” (Plant Process Computer – PPC) etkilenmiştir.
SPDS; reaktör soğutma sistemleri, çekirdek sıcaklık sensörleri ve çevresel radyasyon sensörleri gibi kritik güvenlik göstergelerinin izlenmesini sağlayan son derece önemli bir sistemdir. Bu sistem yaklaşık beş saat boyunca devre dışı kalmış ve bu süre boyunca kritik güvenlik verilerine erişim sağlanamamıştır. PPC ise altı saatten fazla süreyle çalışamaz hale gelmiş ve bazı operasyonel verilere erişim geçici olarak kesilmiştir. Santralin bu süreçte internet bağlantısının kesilmiş olması, zararlı yazılımın daha geniş sistemlere yayılmasını ve olayın etkilerinin büyümesini önlemiştir.
Davis-Besse olayı, nükleer tesislerde siber güvenliğin yalnızca bilgi teknolojileri sistemlerinin korunmasından ibaret olmadığını; aynı zamanda nükleer emniyetin ayrılmaz bir parçası olduğunu açıkça ortaya koymuştur. Bu olaydan önemli dersler çıkarılmış olmakla birlikte, sonraki yıllarda da nükleer tesislerin siber tehlikelere ne denli açık olabildiği görülmüştür.
Örneğin; İran’ın Natanz Nükleer Tesisi de siber saldırıların hedefi olmuştur. Resmi kaynaklarda yer almamakla beraber New York Times yazarlarından David Sanger tarafından yayınlanan bir dizi makalede ve daha sonra Sanger’ın 2012 yılında yayınladığı “Yüzleşme ve Gizleme: Obama’nın Gizli Savaşları ve Amerikan Gücünün Şaşırtıcı Kullanımı” (Confront and Conceal : Obama’s Secret Wars and Surprising Use of American Power) isimli kitabında bunun ABD ve İsrail tarafından “Olimpik Oyunlar (Olympic Games)” olarak bilinen bir operasyonun parçası olarak gerçekleştirildiği iddia edilmektedir. Söz konusu saldırıda Stuxnet isimli bir zararlı yazılım kullanılmıştır. Stuxnet bazı kaynaklarda dünyanın ilk “siber silahı” olarak değerlendirilmektedir. İlk kez Haziran 2010’da Belarus merkezli bir siber güvenlik şirketi olan VirusBlokAda tarafından tespit edilen Stuxnet solucanı, belirli bir endüstriyel kontrol sistemi (Industrial Control System – ICS) türünü hedef almak üzere tasarlanmıştır. Zararlı yazılım, santrifüjler ve gaz vanaları gibi fiziksel altyapıyı kontrol eden bilgisayar sistemlerini hedef almıştır. Stuxnet, uzun süre fark edilmeden kalacak ve santrifüjler üzerinde sürekli bir mekanik yük oluşturarak bunların performansını kademeli olarak bozacak şekilde tasarlanmıştır. Kısaca ifade etmek gerekirse, virüs kısa bir süre boyunca (yaklaşık 15 dakika) IR-1 tipi santrifüjlerin dönüş frekansını güvenli çalışma hızının biraz üzerine çıkarmakta, ardından sistemi 10 ila 20 gün boyunca normal çalışma durumuna döndürmekteydi. Daha sonra santrifüjlerin dönüş hızını uranyum zenginleştirmesi için gerekli seviyenin altına düşürmekte (yaklaşık 50 dakika süreyle) ve sonrasında sistemi yeniden 10 ila 20 gün boyunca normal çalışma düzenine getirmekteydi. Bu döngü sürekli olarak tekrarlanıyordu. Bu yöntem sayesinde Natanz tesisindeki operatörlere santrifüjlerin normal şekilde çalıştığına ilişkin yanlış veriler gösterilirken, gerçekte santrifüjler dönüş hızlarının sürekli artırılıp azaltılması suretiyle fiziksel olarak zorlanmakta ve yıpratılmaktaydı. Saldırı sonucunda yaklaşık 1.000 santrifüjün(o dönemde faaliyette bulunan santrifüjlerin yaklaşık yüzde 10’unun) devre dışı kaldığı veya kullanılamaz hale geldiği iddia edilmektedir. Stuxnet ile önemli teknik benzerlikler taşıyan ve ilk kez 2011 yılında tespit edilen Duqu zararlı yazılımı da yine İran’ın nükleer programıyla bağlantılı olarak kullanılmıştır. İnternet güvenliği şirketi Kaspersky’nin tespitine göre; 18 aylık bir süre içerisinde Duqu 2.0 solucanı P5+1 ülkeleri ile Avrupa Birliği arasında 2013-2015 arasında gerçekleştirilen müzakerelere ev sahipliği yapan üç Avrupa oteline yönelik saldırılarda kullanılmıştır.
Bir başka örnek de Almanya’da yaşanmıştır. 24 Nisan 2016 tarihinde gerçekleştirilen rutin güvenlik kontrolleri sırasında, Münih’in yaklaşık 120 kilometre kuzeybatısında bulunan Almanya’daki Gundremmingen Nükleer Güç Santrali (Gundremmingen Nuclear Power Plant)’nin B ünitesinde, nükleer yakıt çubuklarının taşınmasında kullanılan ekipmanla ilişkili veri görselleştirme yazılımını çalıştıran ve 2008 yılında sonradan kurulan bir bilgisayar sisteminde W32.Ramnit ve Conficker adlı zararlı yazılımlar tespit edilmiştir. Söz konusu sistemin internet bağlantısından izole edilmiş olması nedeniyle, bu zararlı yazılımların tesisin operasyonel güvenliği açısından doğrudan bir tehdit oluşturmadığı açıklanmıştır.
Aynı zararlı yazılımlar, tesisin işletim sistemlerinden ayrı tutulan ofis bilgisayarlarında kullanılan 18 adet çıkarılabilir veri depolama aygıtında (USB bellek) da tespit edilmiştir. Symantec’e göre W32.Ramnit, enfekte ettiği sistemlerden dosya çalmak amacıyla tasarlanmış olup, 2010 yılında keşfedilmiş ve USB bellekler de dahil olmak üzere çeşitli yollarla yayılabilen bir zararlı yazılımdır. İnternet bağlantısı sağlandığında saldırganlara uzaktan erişim imkanı verebilmektedir. İlk olarak 2008 yılında tespit edilen Conficker ise ağlar üzerinden yayılan, kendisini çıkarılabilir veri depolama aygıtlarına kopyalayabilen ve dünya genelinde milyonlarca bilgisayarı etkileyen bir bilgisayar solucanıdır.
Her iki zararlı yazılımın da önemli siber güvenlik riskleri barındırdığı değerlendirilmekle birlikte, yapılan incelemelerde enfeksiyonun yalnızca bilgi teknolojileri (IT) sistemleriyle sınırlı kaldığı; nükleer yakıt taşıma süreçlerinde kullanılan endüstriyel kontrol sistemleri (ICS) ve SCADA altyapılarının etkilenmediği tespit edilmiştir. Ayrıca, olayın meydana geldiği sırada B ünitesi planlı bakım ve yakıt değişimi nedeniyle zaten devre dışı olduğundan, zararlı yazılımların nükleer güvenlik üzerinde herhangi bir fiziksel etkisi olmamıştır.
Nükleer tesislere yönelik siber saldırı girişimlerini çoğaltmak mümkün; 2014 yılında Kuzey Kore ile ilişkilendirilen siber saldırılar ile Kore Hidroelektrik ve Nükleer Enerji Şirketi (Korea Hydro & Nuclear Power)’ne ait bazı reaktör çizimleri, teknik dokümanlar ve çalışan bilgileri ele geçirilmişken; 2022 yılında Cold River olarak adlandırılan Rus hacker ekibi ise ABD’de üç nükleer araştırma laboratuvarını hedef almıştır. Bir başka örnekte ise Hindistan’daki Kudankulam Nükleer Enerji Santrali Kuzey Kore ile ilintili hacker grubu Lazarus tarafından Eylül 2019’da siber saldırıya maruz kalmıştır.
Netice itibarıyla bütün bu örnekler bize en üst düzey güvenlik önlemlerinin alındığı yapıların dahi siber tehlikelere açık olduğunu göstermiştir. Teknoloji ile beraber riskler de gelişmektedir ve dolayısıyla bu risklerin doğru değerlendirilip hukukun da teknoloji ile uyumlu bir şekilde şekillenmesi olası riskleri azaltmak için zorunludur.
Hepimize emniyetli ve güvenli günler dilerim,
1. S. Sandu, “Conflict Analysis: Operation Olympic Games,” Academia.edu. [Online]. Available: https://www.academia.edu/42320191/CONFLICT_ANALYSIS_OPERATION_OLYMPIC_GAMES. (e.t. 9 Mayıs 2026)
2. M. A. Kamiński, “Operation ‘Olympic Games’: Cyber-sabotage as a tool of American intelligence aimed at counteracting the development of Iran’s nuclear programme,” Security and Defence Quarterly, vol. 29, no. 2, pp. 63–71, 2020, doi: 10.35467/sdq/121974. [Online]. Available: https://securityanddefence.pl/Operation-Olympic-Games-nCyber-sabotage-as-a-tool-of-American-nintelligence-aimed,121974,0,2.html. (e.t. 9 Mayıs 2026)
3. J. Alvarez, “Stuxnet: The World’s First Cyber Weapon,” , Feb. 3, 2015. [Online]. Available: https://cisac.fsi.stanford.edu/news/stuxnet. (e.t. 9 Mayıs 2026)
4. J. Vijayan, “Duqu cyberespionage group compromised venues hosting Iran nuke talks,” Computerworld, Jun. 11, 2015. [Online]. Available: Duqu cyberespionage group compromised venues hosting Iran nuke talks – Computerworld (e.t. 9 Mayıs 2026)
5. “Throwback Attack: The Slammer Worm Hits Davis-Besse Nuclear Plant,” Control Engineering, Nov. 1, 2003. [Online]. Available: https://www.controleng.com/throwback-attack-the-slammer-worm-hits-davis-besse-nuclear-plant/. (e.t. 11 Mayıs 2026)
6. Mariusz Antoni Kamiński, “Operation ‘Olympic Games.’ Cyber-sabotage as a Tool of American Intelligence Aimed at Counteracting the Development of Iran’s Nuclear Programme,” Security and Defence Quarterly, vol. 29, no. 2, pp. 63–71, 2020. doi: 10.35467/sdq/121974.
7. S. Gibbs, “Duqu 2.0: Computer virus ‘linked to Israel’ found at Iran nuclear talks venue,” The Guardian, Jun. 11, 2015. [Online]. Available: https://www.theguardian.com/technology/2015/jun/11/duqu-20-computer-virus-with-traces-of-israeli-code-was-used-to-hack-iran-talks . (e.t. 11 Mayıs 2026)
8. Melissa Robbins, “Cyberattack Hits Indian Nuclear Plant,” Arms Control Today, vol. 49, no. 10, Dec. 2019. [Online]. Available: https://www.armscontrol.org/act/2019-12/news/cyberattack-hits-indian-nuclear-plant (e.t. 11 Mayıs 2026)