Romanya’nın ulusal su idaresi olan Romanya Suları (Administrația Națională Apele Române), 20 Aralık 2025 tarihinde başlayan büyük bir ransomware saldırısından kurtulmak için çalışıyor.

Ulusal Siber Güvenlik Direktörlüğü (DNSC) basın açıklamasına göre, olay yaklaşık 1,000 bilgisayar sistemini etkilemiş durumda; bunlar arasında iş istasyonları, e-posta hizmetleri ve web sunucuları yer alıyor.

DNSC, Romanya’nın ulusal kritik altyapısını korumakla sorumlu resmi bir kurumdur. Su, Romanya Hükümeti Acil Durum Kararnamesi No. 98/2010 kapsamında kritik altyapı olarak kabul edildiğinden, yönetimine yönelik her tehdit ulusal güvenlik için doğrudan bir risk olarak görülmektedir.

Etki Alanı

Saldırı, ana ofisten başlayarak 11 bölgesel nehir yönetim şubesinden 10’una ulaştı ve Oradea, Cluj, Iași, Siret ve Buzău’daki ofisleri etkiledi. Kesinti, birkaç önemli dijital aracı devre dışı bıraktı:

  • Veritabanı ve Alan Adı Sunucuları (DNS).
  • E-posta, web sunucuları ve Windows iş istasyonları.
  • Su verilerini haritalamak için kullanılan Coğrafi Bilgi Sistemleri (GIS).

Resmi web sitesi çevrimdışı kaldığı için, yetkililer bilgileri sosyal medya gibi alternatif kaynaklar aracılığıyla paylaşıyor. Dijital araçlar devre dışı kalsa da, barajlar ve sel savunmaları gibi en kritik altyapılar güvende kalıyor ve ajansın Operasyonel Teknolojisi (OT) de öyle. Yerinde çalışanlar, sistemleri manuel olarak radyo ve telefon kullanarak yönetiyor ve her şeyin sorunsuz çalışmasını sağlıyorlar.

Açıkta Gizli Bir Tehdit

Başlangıçta yapılan araştırmalar, hackerların ajansı dosyalarından kilitlemek için benzersiz bir yöntem kullandığını öne sürüyor. Özel bir virüs yerine, Windows’a entegre edilmiş meşru bir güvenlik aracı olan BitLocker’ı istismar ettiler. Bu aracı ajansa karşı kullanarak, hackerlar verileri şifrelerken güvenlik yazılımlarının sorunu tespit etmesini zorlaştırdılar. Ancak, saldırganların ağa nasıl girdiği henüz bilinmiyor.

DNSC, saldırganların yedi gün içinde müzakere talep eden bir dijital not bıraktığını doğruladı. Ancak ajans kararlı bir duruş sergiliyor. Resmi politika, siber saldırganlarla iletişim kurmamak ve müzakere etmemek; böylece suç faaliyetlerinin ödüllendirilmemesi veya finanse edilmemesi sağlanıyor.

Geleceği Koruma

Romanya Suları ağı, henüz ülkenin Ulusal Siber Güvenlik Merkezi (CNC) tarafından işletilen merkezi siber koruma sisteminin bir parçası değildi. Ancak, ajansı bu ulusal güvenlik şemsiyesi altına almak için akıllı teknolojiler kullanarak adımlar atılıyor.

Şu anda, Romanya İstihbarat Servisi (SRI) ve diğer devlet otoritelerinden teknik ekipler, etkinin sınırlanması için çalışıyor. DNSC, bu güncellemeyi paylaştı:

🔔 GÜNCELLEME – Cibernetic incident Administrația Națională Apele Române

Ransomware saldırısının araştırması devam ediyor ve teknik ekipler ile yetkili otoriteler, etkinin sınırlanması ve BT sistemlerinin restorasyonu için harekete geçiyor. pic.twitter.com/65S9yXloI4

— Directoratul Național de Securitate Cibernetică (@DNSC_RO) 22 Aralık 2025

Temizlik devam ederken, kamuoyundan ajansın BT personeliyle iletişime geçmemeleri isteniyor, böylece sistemlerin geri çevrimiçi alınmasına odaklanabiliyorlar.

OT Zayıflıkları ve Su Altyapısına Yönelik Siber Tehditler

Romanya Suları’na yapılan ransomware saldırısı, bir artan trendi vurguluyor: fiziksel altyapıyı kontrol eden operasyonel teknoloji (OT) sistemleri, siber saldırganlar tarafından giderek daha fazla tehdit altındadır.

Su hizmetleri, barajlar, arıtma tesisleri ve ilgili OT ortamları, ağ bağlantılı dijital sistemleri fiziksel süreçlerle birleştirerek hem suçlular hem de devlet bağlantılı aktörler için yüksek değerli hedefler haline getiriyor.

2025’in başlarında Norveç’te meydana gelen dikkat çekici bir örnekte, saldırganlar bir barajın kontrol sistemine sızarak, açık bir kontrol arayüzündeki zayıf kimlik bilgilerini istismar ederek, deşarj vanasını saatlerce açtılar. Olay, Rusya yanlısı hackerlar tarafından gerçekleştirildiği iddia edildi ve birkaç saat boyunca tespit edilemedi; bu durum, basit güvenlik açıklarının altyapı sistemlerinin doğrudan manipülasyonuna yol açabileceğini gösteriyor.

Amerika Birleşik Devletleri’nde, federal uyarılar, su tesisleri ICS/SCADA sistemlerine karşı ransomware ve diğer saldırılara sıkça dikkat çekti ve yıllar içinde birden fazla tesis etkilendi.

Birleşik Krallık’ta da su altyapısı güvenliği ile ilgili endişeler artıyor. Araştırmalar birçok kontrol sisteminin çevrimiçi olarak açık olduğunu ve genellikle en temel korumadan bile yoksun olduğunu ortaya koydu.

Ayrıca, zayıf şifreler, güncel olmayan yazılımlar ve kötü ağ segmentasyonu bu sistemleri müdahaleye açık hale getiriyor. Hedef alındıklarında, bu zayıflıklar temiz su erişimini, sel savunmalarını veya arıtma tesislerini riske atabilir. Bu, fiziksel sistemlerin güvenli görünse de, çevrimiçi tarafının da dikkat gerektirdiğini hatırlatıyor.

Fotoğraf: Amritanshu Sikdar Unsplash'tan