Makale & Analiz

EPDK’nın bilişim güvenliği taslağı ve IT güvenliğinden OT güvenliğine geçiş

Enerji sektörü için siber güvenlik uzun zamandır hem uluslararası camiada hem de ülkemizde oldukça hararetle tartışılan bir konu. İran’daki nükleer santrali bir süre kullanılmaz hale getiren ve siber güvenlikte giderek katlanan devasa bir literatür oluşturan Stuxnet saldırısından sonra, Aralık 2015’te Ukrayna’yı hedef alan planlı ve hedef odaklı siber saldırı neticesinde ülkenin büyük bölümünün elektrik sisteminin sabote edilmesi, enerji sektörünün siber güvenliğe ilişkin kaygılarını daha da arttırmıştı. Bu itibarla, Dünya Enerji Konseyi (WEC) son zamanlarda yaptığı çalışmalarda, “siber riskleri” enerji sektörü için en önde gelen risk faktörlerinden biri olarak değerlendiriyor. Konsey’in verdiği rakam ve öngörülere göre, küresel ölçekte petrol ve gaz endüstrisinin siber güvenlik yatırımlarının 2018’e kadar 1,87 milyar dolara ulaşması bekleniyor.

Siber güvenliğin IT yani bilgi teknolojileri tarafını ilgilendiren bölümü için son yıllarda kaydedilen başarı gerçekten muazzam. Siber güvenlik pazarının hacmi ile ihtiyaç duyulan nitelikli personel sayısı her yıl artarak büyüyor. Uluslararası literatürde, kritik enerji altyapı güvenliği dendiği zaman akılda tutulması gereken asıl unsur, OT yani operasyonel teknolojilerin güvenliği olarak öne çıkıyor.

İlgili yazı >> Hackerların bir sonraki hedefini korumak: 10 adımda OT güvenliği  

OT dendiği zaman akla gelen ilk bileşenler ise otomasyon sistemleri ve Endüstriyel Kontrol Sistemleri (EKS). Aslında, elektrik üretiminde, doğalgaz taşınması ve sevkiyatında, sağlık sektöründe, rafineriler ve üretim sektöründeki yaşamsal döngünün devamını oluşturan EKS’lerin hayatımızdaki ve modern ekonomideki rolü tahminimizden çok daha kritik. Giderek dijitalleşen ve sayısallaşan otomasyon teknolojilerini hedef alacak başarılı bir saldırının hem ekonomik hem de sosyal bilançosu oldukça ağır olabilir.

STM (Savunma Teknolojileri Mühendisliği)’nin periyodik olarak yayınladığı Siber Tehdit Durum Raporu’na göre, EKS’lerde güvenlik seviyesi endişe verici derecede ve uzaktan kontrol edilebilen EKS’lerin yüzde 92’sinde saldırılara karşı açık var. Öte yandan Şekil 1’de de ifade edildiği gibi, IT ve OT güvenlik mimarisi açısından birbirinden çok farklı alanlar ve EKS güvenliğine ilişkin yetişmiş insan kaynağı gerçekten de oldukça kısıtlı.

Şekil 1: EKS Güvenliği ile ilgili insan kaynağı oldukça kısıtlı

 

 

 

 

 

Kaynak: Joe Weiss, Applied Control Solutions

Bütün bu gelişmeler akılda tutulduğunda, Nisan ayının başında EPDK (Enerji Piyasaları Düzenleme Kurulu) enerji sektöründe siber güvenliğe ilişkin oldukça önemli bir hamle yaparak kurumun resmi web sitesinde “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmelik Taslağı” ve “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri Envanter ve Risk Yönetimi Rehberi Taslağı”nı yayınladı ve bu belgeleri kamuoyunun değerlendirmelerine açtı. EPDK’nın duyurusuna göre, gerek duyduğu takdirde ilgililer yönetmelik ve rehber taslaklarla ilgili görüşlerini 20 Nisan tarihine kadar EPDK’nın Strateji Geliştirme Dairesi Başkanlığına iletebilecek.

Yönetmelik taslağı incelendiğinde, EPDK’nın kritik enerji altyapılarını işlevlerini kısmen veya tamamen, yerine getiremediğinde, toplumsal düzenin sürdürülebilirliğinin ve/veya kamu hizmetlerinin sunumunun olumsuz etkileneceği enerji ağı, varlığı, sistemi ve yapıları bütünü” olarak tanımladığı görülüyor. Yönetmeliği uygulamaya yükümlü kuruluşlar ise elektrik iletim lisansı sahibi, Organize Sanayi Bölgesi (OSB) dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi, OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişiler olacak.

Yönetmeliği uygulaması gereken yükümlü kurumların ise EKS tanıma ve EKS envanter bildirimleri ile, EKS risk değerlendirme tablosu ve EKS risk azaltma tablosunu bu yılın Temmuz ayının sonuna kadar kurula iletmesi gerekiyor. Bu çerçevede, EPDK’nin yayınladığı yönetmelik ne anlama geliyor? EKS’ye ilişkin gerçekleştirilecek siber güvenlik düzenlemelerinde dikkat edilmesi gereken hususlar neler?

Uzmanların yorumlarına değinmekte fayda var. Litvanya’da bulunan NATO Enerji Güvenliği Mükemmeliyet Merkezi (ENSECCOE) kıdemli uzmanı Vytautas Butrimas’a göre, EKS’ye ilişkin getirilecek siber güvenlik düzenlemelerinde en önemli unsur “IT güvenliği temelli yaklaşımdan kaçınmak”. Butrimas’a göre, “IT ve OT sistemlerinin güvenlik gereksinimleri birbirinden çok farklı. Bu farklılığı göz önünde tutarak,  ABD ve Norveç gibi ülkeler, geleneksel IT merkezli siber güvenlik yaklaşımından ayrılıp EKS merkezli siber güvenlik politikaları oluşturdular ve diğer SOME (Siber Olaylara Müdahale Ekipleri)’lerden ayrı olarak birer EKS-SOME kurdular.”

Merkezi İspanya’da bulunan Endüstriyel Güvenlik Merkezi (CCI) Eş Başkanı, Miguel Garcia-Menendez’e göre ise, “EKS’lerinde siber güvenliğe ilişkin kanunen zorunluluk haline getirilen uygulamaların yürürlüğe koyulması kimi zaman kurumlar için zorlu bir görev olabilir ancak çoğu zaman sistemin işler hale gelmesinin tek yolu düzenlemeler olarak karşımıza çıkıyor” diye konuşuyor. Menendez’e göre, “Örneğin, AB’de sıkça gündeme gelen “Kişisel Verilerin Korunması Kanunu”nun uygulanması kurumlar için oldukça zorlu bir sınav oldu ancak sonuçları oldukça tatmin edici. Bu noktada, düzenlemelerde dikkat edilmesi gereken esas unsur, kanunen getirilen zorunluluklar ve piyasaların kendi realitesinin dengede tutulabilmesi, bu denge tüm aktörlerin farkındalık derecesinin yükseltilmesinde büyük rol oynayacaktır.”

ABD merkezli BBA firmasının EKS Siber Güvenlik baş uzmanı Ernie Hayden ise EKS’lerin siber güvenliğine ilişkin yöneltilen sorular karşısında “EKS’lere ilişkin güvenlik ve emniyet konusu fiziksel bir tahribat yaratmış Stuxnet siber saldırısından beri gündemde. ABD, EKS güvenliği konusunda araştırmalar yapan ve bu çerçevede uygulamalar, standartlar ortaya koyan ilk ülkelerden biri ancak başka ülkelerin de özellikle son dönemde EKS güvenliği konusunda çalışmalarını oldukça yoğunlaştırdığını söyleyebiliriz. Hollanda ve Katar EKS güvenliği konusunda milli sistemlerini korumak için standartlar oluşturdular. Birleşik Krallık ve Fransa da bu hususta çalışmalarını yoğunlaştırdı. En son katıldığım konferansta ise, Birleşik Arap Emirlikleri ve Kuveyt’in EKS güvenliği ile ilgili standartlar yaratmak üzerine yoğun çalışmalar yaptığını gözlemledim” diye konuştu.

Ancak Hayden’a göre, hukuki düzenlemelerin niteliği ne olursa olsun dikkat edilmesi gereken iki ana unsur var, birincisi düzenlemenin efektif olarak çalışıp çalışmadığı, bir diğeri ise uygulamaların doğru olarak işleyip işlemediğinin sürdürülebilir bir denetim altında tutulması. Nitekim EKS ve bu sistemlere ilişkin teknolojiler oldukça hızlı değişip dönüşüyor, bu anlamda düzenleme ve standartların da sistemlerin yapısı ve tehditlerin değişen doğası bağlamında geride kalmaması gerekiyor.

Örneğin, EKS’lerin fidyeci yazılımlarca da hedef alınabileceği uzmanlar tarafından tartışılan bir konu ancak var olan EKS güvenlik standartlarında buna ilişkin bir düzenleme henüz yok. Elbette bir ülkenin EKS’ye ilişkin güvenlik standartları yaratması oldukça faydalı olacaktır ancak burada esas olan nokta “katılımcı” bir yaklaşımın belirlenmesi yani ulusal EKS siber güvenlik standartları oluşturulurken, kamu, özel sektör ve diğer paydaşların beraber çalışması elzem.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

Hiç bir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Başa dön tuşu
%d blogcu bunu beğendi: