Dr. Aybars ORUÇ
Cyber Onboard Kurucusu

Denizcilik sektörünün dijitalleşmeyle birlikte karşı karşıya kaldığı siber tehditler her geçen gün daha da karmaşıklaşıyor. Bu alandaki en dikkat çekici girişimlerden biri ise Cyber Onboard sektöre özel çözümler sunmakla kalmıyor; aynı zamanda dünya çapında saygın konferanslarda konuşmalar yaparak Türkiye’nin siber güvenlikteki temsil gücünü de artırıyor. Firma kurucusu Dr. Aybars Oruç ile sektördeki eksikliklerden vetting programlarına, sigorta avantajlarından gelecekteki tehdit senaryolarına kadar birçok konuyu konuştuk.

Cyber Onboard'un kuruluş hikâyesini ve şirketinizin denizcilik sektörüne odaklanma nedenini paylaşabilir misiniz?
Cyber Onboard, 3 Şubat 2018 tarihinde, denizcilik siber güvenliği konusunda bir bilgi arşivi oluşturmak amacıyla kuruldu. Bugün IMO’daki ülke temsilcilerinden, denizcilik otoriteleri ve class kuruluşlarındaki yöneticilere, armatör firmalardan tersanelerdeki profesyonellere kadar geniş bir uzman topluluğu Cyber Onboard'un üyeleri arasında yer alıyor.

Denizcilik sektörü siber tehditlere karşı ciddi zorluklarla karşılaşıyor ve yeterli çözümleri bulamıyor. Pek çok siber güvenlik firması, geleneksel IT güvenliği konusunda hizmet veriyor ama gemideki sistemlere ve denizcilik sektörünün dinamiklerine hâkim değiller. Oysa benim kariyerim denizcilik siber güvenliği alanında bilimsel araştırmalar, seminerler ve eğitimlerle geçti. Şu anda Avrupa Birliği tarafından fonlanan Tallinn Teknoloji Üniversitesi Denizcilik Siber Güvenliği Merkezi'nde halen aktif olarak çalışıyorum.

Sektörden gelen talepler doğrultusunda bu alandaki eksikliğin giderek daha fazla hissedildiğini gözlemledim. Bu nedenle, 6 Mart 2025’te, Cyber Onboard Estonya’da şirketleşti. Cyber Onboard, yalnızca denizcilik siber güvenliğine odaklanan dünyadaki nadir şirketlerden biri olarak, sektörün ihtiyaçlarına yönelik özel çözümler sunuyor. Gemideki sistemlerin, operasyonların ve kuralların karmaşıklığını anlayan bir uzmanlık sunarak, denizcilik sektörünün bu kritik alandaki ihtiyaçlarına cevap vermeyi amaçlıyor.

Cyber Onboard'un sunduğu danışmanlık hizmetleri kapsamında hangi stratejik çözümler ve uygulamalar bulunmaktadır? Bu hizmetlerin şirketlere sağladığı faydalar nelerdir?
Cyber Onboard, denizcilik sektöründeki siber güvenlik farkındalığının arttırılması amacıyla eğitim hizmetleri sunmaktadır. Ayrıca IMO tarafından yayınlanan siber güvenlik kuralları, class kuruluşlarının ve vetting programlarının siber güvenlik şartlarının sektör paydaşları tarafından karşılanabilmesi için danışmanlık hizmetleri veriyor. Bu hizmetler sayesinde, şirketler öncelikle siber saldırılara karşı daha hazırlıklı oluyorlar. Böylelikle olası deniz kazalarının önüne geçilebiliyor; finansal kayıpların yaşanması engellenebiliyor. Ayrıca bazı sigorta şirketleri, siber güvenlik önlemlerini mevcut kuralların üzerinde sağlayan gemi işletmecileri için, ödenmesi gereken yıllık prim miktarını düşürebiliyor. Yani siber güvenliğe yapılan yatırım, sadece güvenlik için değil finansal olarak da şirketlere fayda sağlayabiliyor.

Siber güvenlik konusunda konuşmacı olarak bir NATO konferansına davet edildiğinizi biliyoruz. Bu konuyu biraz açalım mı?
NATO’nun Estonya’da Cooperative Cyber Defence Centre of Excellence (CCDCOE) adlı bir merkezi bulunuyor. Bu merkez, her yıl dünya çapında büyük bir siber güvenlik konferansı olan CyCon’u düzenliyor. CyCon, dünyanın en saygın siber güvenlik konferanslarından biri olarak kabul ediliyor ve devlet yetkilileri, bilim insanları ve profesyonellerin geniş katılım gösterdiği bir platform sunuyor. Katıldığım yıl, konferansın açılış konuşmasını Estonya Cumhurbaşkanı yapmıştı. Bu açılış, CyCon’un küresel önemini ve prestijini bir kez daha ortaya koyuyordu.

Genellikle bir bilimsel konferansa katılmak için önce bir akademik yayın hazırlamak, hakem değerlendirmesinden geçmek ve gerekli revizyonları tamamlamak gerekiyor. Kabul alındığında ise, ulaşım ve konaklama gibi masraflarınızı karşılayarak konferansa katılabilir ve sunumunuzu yapabilirsiniz. Ancak, hakemlerin çalışmayı uygun bulmaması durumunda, doğrudan veya yapılan revizyonlara rağmen yayınınız reddedilebilir. Bu süreç, CyCon gibi prestijli konferanslar için oldukça zorlayıcı olabiliyor. Çünkü CyCon’a, sadece üst düzey bilimsel yayınlar kabul ediliyor.

Benim CyCon’a katılımım, bahsetmiş olduğum bu geleneksel başvuru sürecinden farklıydı. Denizcilik siber güvenliği alanındaki bilimsel yayınlarımın kalitesi nedeniyle, NATO CCDCOE benimle doğrudan iletişime geçti ve Davetli Konuşmacı unvanı ile konferansta yer almamı istedi. Bu davet ile, gemilerde kullanılan Entegre Seyir Sistemi için bir siber güvenlik test merkezinin nasıl tasarlanması gerektiğine dair bir sunum gerçekleştirdim. Bu sunum, benim zaten oldukça kaliteli bir bilimsel dergide yayınlanmış makaleme dayanıyordu.

Konferans süresince tüm masraflarım karşılandı ve etkinlikte en iyi şekilde misafir edildim. CyCon gibi prestijli bir etkinlikte davetli konuşmacı olarak yer almak bile benim için büyük bir onurdu. Çünkü bu tür davetler, genellikle yıllarca bu alanda çalışan ve büyük deneyime sahip bilim insanlarına yapılıyor. İtiraf etmem gerekirse, diğer davetli konuşmacıların birçoğu benim yaşım kadar tecrübeye sahip bilim insanlarından oluşuyordu. Ne mutlu ki bu davet, benim çalışmalarımın uluslararası düzeyde değer gördüğünün bir göstergesi oldu.

Denizcilik sektöründe siber güvenlik farkındalığını artırmak için ne tür eğitim programları sunuyorsunuz? Bu eğitimlerin içeriği ve hedef kitlesi hakkında bilgi verebilir misiniz?
Cyber Onboard, denizcilik sektöründe siber güvenlik farkındalığını artırmaya yönelik kapsamlı ve kişiye özel eğitim programları sunuyor. Eğitimlerin içeriği, katılımcıların sorumlulukları göz önünde bulundurularak hazırlanıyor. Bu yaklaşım, çeşitli standartlarda da açıkça tavsiye edilen bir uygulamadır. Örneğin, bir başmühendis, kaptan veya gemicinin eğitim içerikleri birbirinden tamamen farklı olmalıdır. Ancak, sektörde genellikle tüm çalışanlara aynı eğitim verilmektedir. Bu, yanlış bir eğitim yaklaşımıdır.

Cyber Onboard, etkinliği bilimsel olarak kanıtlanmış bir eğitim programı sunarak, gemi personeli ve ofis çalışanlarının her birinin sorumluluklarına uygun eğitimler almasına olanak sağlıyor. Eğitimler, kişisel görev ve sorumluluklarla uyumlu olarak tasarlanıyor. Bu eğitim modeli sebebi ile, IACS üyesi iki büyük class kuruluşu benimle yakın zamanda iletişime geçti ve oldukça ilgi çekici bulduklarını ifade ettiler.

Sunulan eğitim programının yanı sıra, farkındalığın artırılması amacıyla gemi ve ofis arasındaki siber güvenlik koordinasyonunu güçlendiren gemi-ofis ortak talimlerinin düzenlenmesine yönelik danışmanlık hizmeti de sağlanıyor. Bu talimler, şirketlere siber güvenlik konusundaki farkındalıklarını artırmada muhakkak yardımcı olacaktır. Ayrıca, şirketler tarafından düzenlenen etkinliklerde konuşmacı olarak yer alarak katılımcılara denizcilik sektörüne özel siber güvenlik riskleri ve çözüm yöntemleri hakkında bilgi verilmektedir. Bu tür etkinlikler ve uygulamalı örnekler, sektördeki bireylerin siber güvenlik farkındalığını artırmak için önemli fırsatlar sunuyor.

IMO ve çeşitli bayrak devletlerinin siber güvenlik konusundaki gerekliliklerine uyum sağlamak için şirketlere nasıl destek oluyorsunuz? Bu süreçte karşılaşılan en yaygın zorluklar nelerdir?
Bugün baktığımızda sektörümüz siber güvenlik şartları açısından IMO gereksinimlerini karşılıyor. Ancak, henüz zorunlu olmaması sebebi ile IMO’nun tavsiyelerinin armatör firmalar tarafından yeterince yerine getirilmediğini gözlemliyorum. Bayrak devleti ya da liman devleti kontrollerinde yazılan siber güvenlikle ilgili eksiklikleri sektörümüzün bildiğini düşünmüyorum. Örneğin liman devleti kontrolü sırasında siber güvenlik prosedürlerinin uygulanmaması sebebi ile gemilerin tutuklanabildiğinden, bunun yaşanan örnekleri olduğundan şirketlerimiz maalesef habersizler. Bir siber güvenlik planı hazırlayıp bunu gemiye koyuyorlar; ancak uygulanmasını takip etmiyorlar. Uygulamadaki sorunlar denetimler sırasında fark ediliyor. Bu da para ve prestij kaybına yol açıyor. Cyber Onboard, bu tür olumsuz durumlar yaşanmadan önce şirketlerin farkındalıklarını artırmayı hedefler. Danışmanlık hizmetleriyle, şirketlerin siber güvenlik prosedürlerinin yalnızca yazılı kalmamasını, aynı zamanda etkin bir şekilde uygulanmasını sağlamalarına yardımcı olur. Bu sayede, denetimlerde karşılaşılabilecek olumsuz durumların önüne geçilir ve kayıplar yaşanmadan şirketlerin gerekli uyum süreçlerini tamamlamalarına destek sağlar.

Tanker ve kuru yük gemileri için vetting programlarında siber güvenlik gereklilikleri nelerdir?
Vetting programları, bir gemi işletmecisinin ticari hayatı için kritik öneme sahiptir. Taşıyabileceği yükler ve çalışabileceği kiracılar gemi işletmecisinin vetting programlarında gösterdiği performansa bağlıdır. Gemi işletmecileri için SIRE 2.0, CDI, RightShip ve TMSA isimli vetting programları var. Bu bahsi geçen vetting programlarının tamamında siber güvenlikle ilgili gemi ya da ofis tarafının yerine getirmesi gereken şartlar var. USB’lerin kontrol altına alınması, siber güvenlik farkındalığının arttırılması, envanter listesinin düzenlenmesi, risk değerlendirmesinin yapılması, basılı bir siber güvenlik planının bulunması gibi şartlar sunabiliyorlar. Gemi işletmecilerinin bu gereksinimleri karşılaması, başarılı bir performans raporunun yanı sıra siber tehditlere karşı daha hazır olmalarına da imkân tanıyor.

IACS’ın UR E26 ve E27 gereklilikleri ile class kuruluşlarının siber güvenlik notasyonları hakkında bilgi verebilir misiniz?
Sizin de bahsettiğiniz gibi IACS UR E26 ve E27 isimli siber güvenlikle ilgili standartlar yayınladı. Akabinde ise bu standartlara göre class kuruluşları kendi kılavuzlarını hazırladılar. Siber güvenlik notasyonlarını da bu standartlarla eşleştirdiler. IACS’ın bu standartları, özellikle gemi işletmecilerini, tersaneleri ve üreticileri etkiliyor. Gemi, IACS üyesi bir class kuruluşu tarafından sertifikalandırmak isteniyorsa yeni inşa kontratı 1 Temmuz 2024 tarihinden sonra imzalanan gemiler için bu standartlara uymak artık zorunlu. Şu an bazı gemi işletmecileri, inşa ettirmekte oldukları gemiler için zorunlu olmamasına rağmen siber güvenlik notasyonunu almaya çalışıyor. Daha önce bahsettiğim üzere sigorta primleri ile ilgili finansal avantajları olmakla birlikte güvenlik kaygılarından ötürü de bu notasyonları almaya çalışıyorlar. Bu notasyonlar, sektördeki tecrübe eksikliğinden ötürü biraz zorlayıcı. Çünkü geminin sadece inşa sürecinde değil, işletmesi sırasında da uyulması gereken kurallar var. Alınması gereken önlemler sebebi ile inşa maliyetleri de artmış durumda. Armatör baskısı sebebi ile şu an Türkiye’deki bir-iki tersane bu siber güvenlik notasyonu ile ilgili çalışmalarına hız vermek zorunda kaldı. Tersaneler, bu notasyonun zorluklarını anlamaya henüz başladılar. Gemi işletmecileri ise henüz farkında değiller. Yeni inşa siparişleri ile birlikte muhakkak farkına varacaklardır.

Son yıllarda denizcilik sektöründe yaşanan siber güvenlik olaylarından bazı örnekler paylaşabilir misiniz? Bu tür olayların sektöre etkileri nelerdir?
Öncelikle IMO’dan başlayalım o halde. IMO’nun bazı hizmetleri saldırıya uğradı ve veri sızıntısı meydana geldi. Birkaç yıl sonra ise bir çalışanın hatası sonucu yine bir veri sızıntısı yaşandı. Birçok denizcilik şirketinin e-posta hesapları saldırıya uğradı. Türk firmalarının da saldırıya uğrayarak zarar gördüğü çeşitli raporlarda yer aldı. Bunlar her kurumun ve şirketin başına gelebilecek, sıradan IT ilişkili vakalar. Ancak denizcilik siber güvenliği denildiğinde deniz araçlarının sahip olduğu siber riskler öncelikle akla gelmeli. Gemi insanlarımızın da bu noktada farkındalık eksikliği var zaten. Bugün yüzbinlerce deniz aracında bulunan AIS çok sayıda açığa sahip. Birkaç saniye içerisinde belirli bir alanda binlerce sahte gemi yaratmak mümkün ve İtalya’nın Elba Adası yakınlarında bu yapıldı. GPS gibi uydu tabanlı konum belirleme sistemleri belirli bir bölgede geçici olarak servis dışı bırakılabiliyor. Gemiler olduklarından daha farklı bir konumda kendilerini görebiliyorlar. ECDIS ve RADAR gibi bir işletim sistemi üzerinde çalışan seyir ekipmanları, işletim sistemlerinde yer alan açıklardan ötürü çok sayıda riski barındırabiliyor. Bu zafiyetlerden bir saldırganın yararlanması durumunda, yani sisteme zarar vermesi halinde gemi denize elverişliliğini kaybedebiliyor. Bu durumda gemi limandan ayrılamayarak gemi işletmecisi ekonomik zarara uğruyor. Bu saldırının açık denizde de meydana gelebileceğini öngörürsek siber saldırılar sebebi ile seyir emniyetinin de riske atıldığı gerçeği ile karşılaşırız. 

Denizcilik sektöründe siber tehditlerin evrimi hakkında ne düşünüyorsunuz? Gelecekte hangi tür tehditlerin öne çıkmasını bekliyorsunuz?
Yapılan araştırmalar gösteriyor ki her geçen sene siber saldırıların sayısı artıyor. Yayınlanan güncel bilimsel makaleler ve meydana gelen yeni siber saldırılar, tehditlerin artan çeşitliliğini ortaya koyuyor. Açık kaynaklarda bulunmasa bile siber saldırıların deniz kazalarına sebep olduğu vakaların class kuruluşlarının ve sigorta şirketlerinin elinde olduğunu biliyorum. Artan siber saldırılardan ötürü ne yazık ki açık kaynaklara da çatışma gibi deniz kazalarının yakın tarihte yansımaya başlayacağını öngörüyorum. Deniz siber güvenliğine devletler de oldukça ilgili durumda. Bu devletler hem gemilere nasıl saldırı yapacaklarını araştırıyorlar hem de kendi ülkelerini, özellikle donanmalarını, bu saldırılara karşı nasıl savunacakları üzerine çalışıyorlar. Yayınlanan bir rapora göre, komşumuz olan bir ülke, gemilerin ballast sistemlerine siber saldırı yaparak gemiyi batırma senaryoları üzerine çalışıyor. Özetlersek devlet destekli saldırıların ilerleyen yıllarda daha ön plana çıkması büyük bir olasılık.

Daha önce Arkas Denizcilik ve Zenith Denizcilik’te gemi adamlarına yönelik eğitimler düzenlediniz. Sektörden böyle talepler geliyor mu? İlgi nasıl?
Türkiye özelinde kısaca cevap vermem gerekirse, hayır pek talep gelmiyor. Türkiye’de seminer verdiğimde çok fazla soru alıyorum; gemi insanlarımızın konuya duydukları ilgi muhakkak. Ancak eğitim hizmeti satın almaya gelindiğinde gemi işletmecilerimiz bu noktada isteksiz; para harcamak istemiyorlar. Bizim denizcilik sektörümüz, genellikle sadece mevcut kuralları karşılamaya çalışıyor; yürürlüğe girecek olanları ise takip etmiyorlar. Tersanelerimizin bugün siber güvenlik class notasyonuna hazırlıksız yakalanmasının sebebi de bu. 

Kurallar, aslında sadece minimum standartlardır. Zaman zaman şirketlerimizin, “Biz uluslararası standartlarda taşımacılık yapıyoruz” diye övündüğünü görüyorum. Norveç’te yaşadığım sırada fark ettim ki oradaki şirketler ve üniversiteler “Biz standartların ötesindeyiz” diye övünüyorlardı. Yani biz sektör olarak henüz söylediğimiz bir sözün bizim için iyi mi yoksa kötü mü olduğunu algılayabilecek kapasitede bile değiliz. Sadece çok az sayıdaki firmamız standartların ötesine geçmeye çalışıyor. Onların isimleri de zaten sektörde belirli bir saygı ile anılıyor.

Zaman zaman Türk denizcilik firmaları bana ulaşıyorlar ama konuşmaya başladığımızda bir kısmını ciddi görmüyorum. Ne zaman ciddiyetle yaklaşıyorlar? Zorunda kaldıkları zaman. Örneğin bir şirket ulaştı; online bir toplantı için planlama yaptık. Toplantıya gelmediler. Muhtemelen ben e-posta atınca toplantı olduğunu hatırladılar ve ertelemek istediler. Ben kabul etmedim; onlar da pek önemsemedi. Aradan zaman geçti; bir denet sebebi ile bana ulaşmak zorunda kaldılar. Bin bir rica ile hizmet almak istediler. Ben yine kabul etmedim ancak işin içine denet girince nasıl da ciddiyetle yaklaşmak zorunda kaldıklarına da şahit oldum. Bu, yaşadığım tek tatsız tecrübe değil. Benim kara listemde olan tek denizcilik şirketi de burası değil. Ben, zaten bir akademisyenim; yerim üniversite. Kısıtlı olan zamanımda da çoğunlukla Türkiye dışındaki şirketlere hizmet sağlayacağımı öngörüyorum.

Denizcilik sektöründe siber güvenlik alanında karşılaşılan en büyük eksiklikler veya zorluklar nelerdir? Bu konularda sektörün gelişimi için neler yapılmalıdır?
Gemiler, doğaları gereği uzun yıllar boyunca hizmette kalıyorlar. Bu sebeple üzerlerinde bulunan sistemlerin de teknolojisi eskiyor; zaman içerisinde zaafları ortaya çıkıyor. Bu zaafların çözümü her zaman için ne yazık ki kolay değil. Bir GPS’in çalışma mantığını küresel düzeyde kolay kolay değiştiremezsiniz. 

İkinci önemli zorluk, denizcilik sektörünün oldukça muhafazakâr olması. Yıllar önce oldukça iyi tanınan, büyük ölçekli bir Türk şirketinin gemisi siber saldırıya uğradı. Yaşanan bu saldırı bir raporla resmi olarak ilgili kurum ve kuruluşlara bildirildi. Yani şirket, sorumluluğunu yerine getirmiş ve konu kapanmıştı. Bu rapor benim elime geçti ve yaşanan siber saldırının detaylarını öğrenmek maksadı ile firmaya bir e-posta gönderdim. Firma bana cevap vermedi. Birkaç ay sonra dışarıya kapalı olarak yapılan bir toplantıda yöneticileri ile karşılaştım; yanıma geldiler. Rapora nasıl ulaştığımı sordular ancak yine de bilgi vermediler. Halbuki yaşanan bu kazalar duyulmalı ki şirketler önlem alma imkanına sahip olsunlar. Bugün, açık kaynaklara dayalı olarak denizcilik sektöründe yaşanan siber saldırıların yayınlandığı platformlar var ancak yeterli değiller. Şubat ayında IACS üyesi bir class kuruluşu bu konu ile ilgili olarak benimle iletişime geçti. Dilerim, yakın zamanda böyle bir girişim başlatırlar. 

Denizcilik siber güvenliğindeki en önemli eksikliklerimizden birisi de nitelikli araştırmacı sayısının azlığı. Henüz çok yeni bir alan. Ben bu konuda doktora yapan dünyadaki ilk araştırmacılardan birisiyim; bizler ilk jenerasyonuz. Gerek denizcilik gerek ise siber güvenlik kökenli daha fazla araştırmacıya, uzmana ihtiyaç var. Özel sektördeki girişimleri de dikkate alırsak giderek uzman sayısı artıyor ama hala ciddi bir eksik var. Umarım zaman içerisinde çözülür.