TEMPEST NEDİR?

TEMPEST Elektromanyetik sinyal yayan cihazların güvenliğinin sağlanması için geliştirilmiş bir standarttır. “Telecommunications Electronics Material Protected from Emanating Spurious Transmissions” kelimelerinin baş harflerinden oluşmakta ve konusu 1960’lardan beri A.B.D. ordusunun gündemindedir.

Günümüzde başta NATO olmak üzere pek çok farklı standardın temelde bu konuyu kapsadığını görüyoruz. Bu standartların amacı elektromanyetik yayın yapan sistemlerin güvenliğinin sağlanmasıdır.

Konular; cihazların birbirinde parazit yapmasından klavye sinyallerinin yakalanarak yazılanların okunmasına kadar geniş bir alanda değerlendirilebilir.

Cumhurbaşkanlığı tarafından yayımlanan “Bilgi ve İletişim Güvenliği Tedbirleri” genelgesi çerçevesinde TEMPEST nedir?

Genelge çerçevesinde ele alındığında öncelikle yayılan sinyallerde hassas (kritik ve/veya gizli) veri olup olmadığına bakılacaktır. Bu yola veri sızdırılmasının engellenmesi için alınması gereken fiziksel tedbirler cihazları pencerelerden uzak tutmaktan Faraday kafesli odaların inşaatına kadar gidebilir.

TEMPEST için faraday kafesli sağır oda
Faraday kafesli sağır oda örneği

Uyum Süreci

TEMPEST’e uyum için en büyük yardımcınız üreticiler olacaktır. Doğru üreticilerle çalışmak sizi bu konuda yapılması gereken yatırımlardan büyük ölçüde kurtarabilir.

Kuruluş içerisinde milli güvenlik açısından hassas ve kritik verilerin tutulduğu sistemlerin üreticilerinden sahip oldukları sertifikaları talep etmenizde fayda var.

TEMPEST’in aslında tek bir güvenlik seviyesinden oluşmadığını biliyoruz.

NATO bu konuyu 3 seviyede ele alır ve bunlara alan (zone) der. Alanlar cihazların yaydığı elektromanyetik sinyallere göre belirlenir. Örneğin bir cihazın sinyalleri 20 metreden algılanabiliyorsa bu seviye B’dir (bu A.B.D. ordusunda NSTISSAM seviye II’ye eşittir).

Görüldüğü gibi TEMPEST uygulanabilmesi için cihazların yaydığı sinyallerden yol çıkmak gerekiyor. Bu aşamada sinyalleri ölçmeye çalışmak yerine, yukarıda belirttiğim gibi üreticilerin bu konudaki sertifikalarına bakmak daha kolay olacaktır.

Aşağıdaki örnek planda kırımızı kutucuğun kritik verinin bulunduğu sistem olduğunu düşünelim. Sinyallerin ulaştığı alanların uzaklığına bağlı olarak 3 seviye görebiliriz.

tempest sinyal seviyeleri

Üreticinin size vereceği değerlere bağlı olarak bunlardan hangisi veya hangilerinin düşünülmesi gerektiği ortaya çıkacak ve her biri için alınabilecek tedbirler belirlenebilecektir.

Siber güvenliğiniz konusunda yardımcı olmamızı isteyebileceğiniz her türlü konuda bize buradan adresinden ulaşabilirsiniz.

6 Temmuz 2019 CUMARTESİ tarihinde resmi gazetede yayınlanan Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri genelgesinin tamamını BURADAN inceleyebilirsiniz.

Başa dön