ICAO Annex 17 ve Siber Güvenlik İlişkisi Nedir?
Sivil havacılığın uluslararası güvenlik anayasası olarak kabul edilen ICAO Annex 17, teknolojinin gelişmesiyle birlikte geleneksel fiziksel güvenlik (havaalanı/yolcu kontrolü) standartlarını genişleterek siber güvenliği merkeze almıştır. Modern havacılıkta hava trafik yönetimi, yer hizmetleri ve dijital uçuş planlama sistemlerine yönelik siber saldırılar, doğrudan fiziksel felaketlere ve operasyonel aksamalara yol açma potansiyeli taşır. Bu nedenle ICAO Annex 17; siber tehditleri yalnızca bir “bilgi güvenliği” sorunu olarak değil, “uçuş güvenliği” (operasyonel güvenlik) riski olarak tanımlar. Türkiye’de SHGM düzenlemeleriyle de desteklenen bu yaklaşım; kurumların kritik sistemleri belirlemesini, risk bazlı güvenlik kontrolleri uygulamasını, sistemleri sürekli izlemesini ve personeline güçlü bir siber güvenlik kültürü aşılamasını uluslararası bir zorunluluk haline getirir.
Havayolu Şirketlerinde Veri Güvenliği
Havayolu şirketleri, günlük operasyonlarında milyonlarca yolcunun pasaport, kredi kartı ve uçuş detayları gibi son derece hassas kişisel verilerini (PII ve PCI verileri) işler. Dijitalleşen rezervasyon sistemleri ve sadakat programları, bu verileri siber saldırganlar için oldukça cazip ve kârlı bir hedefe dönüştürmektedir. Kritik yolcu verilerinin korunması; “En Az Yetki” (Least Privilege) prensibine dayalı katı erişim kontrollerinin uygulanmasını, verilerin hem depolanırken (at-rest) hem de aktarılırken (in-transit) güçlü algoritmalarla şifrelenmesini gerektirir. Ayrıca, entegre çalışılan üçüncü taraf sistemlerin (ödeme geçitleri, yer hizmetleri) taşıdığı dolaylı riskleri minimize etmek ve API zafiyetlerini tespit etmek için düzenli Sızma Testleri (Pentest) gerçekleştirilmesi zorunludur. Havacılıkta veri güvenliği, sadece teknik bir IT problemi değil; KVKK/GDPR gibi yasal uyumlulukların ve şirket itibarının temel taşıdır.
Havalimanları İçin Sızma Testi Neden Gerekli?
Havalimanları; uçuş operasyonları, bagaj yönetimi, X-ray güvenlik sistemleri ve hava trafik kontrolleri gibi birbirine entegre birçok karmaşık dijital altyapıyı barındırır. Bu devasa ekosistem, siber saldırganlar için çok geniş bir saldırı yüzeyi oluşturur. Havalimanlarına yönelik sızma testleri (Penetration Testing), sıradan bir BT ağından farklı olarak doğrudan “Kritik Altyapı” güvenliğini hedefler. Yetkili güvenlik uzmanları; yolcu bilgilendirme ekranlarından (FIDS) iç ağa sızma, ağ içi yatay hareket (Lateral Movement) ile operasyonel teknolojilere (OT) erişim ve hizmet aksatma (DDoS) gibi gerçek dünya saldırı senaryolarını simüle ederler. SHGM ve ICAO gibi uluslararası otoritelerin regülasyonlarına tam uyum sağlamak, potansiyel veri sızıntılarını engellemek ve uçuş operasyonlarının kesintisiz devam etmesini garanti altına almak için sızma testleri havacılık sektörünün en temel zorunluluğudur.