Enerji Piyasası Düzenleme Kurumu(EPDK) , kritik altyapılar arasında ön plana çıkan enerji sektörünün siber güvenliği için kritik bir yönetmelikle “Siber Güvenlik Yetkinlik Modeli” getirdi.
Enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini iyileştirme ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin esaslar belirlendi.
EPDK Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği, Resmi Gazete’de yayımlanarak yürürlüğe girdi. Yönetmeliğe göre, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esaslar belirlendi.
100 MEGAVAT VE ÜZERİ LİSANSA SAHİP TESİSLERİ KAPSIYOR
Yönetmelik, elektrik iletim ve dağıtım lisansı sahibi, geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 megavat elektrik ve üzeri lisansa sahip her bir elektrik üretim tesisi, boru hattıyla iletim yapan doğal gaz iletim lisansı, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı, depolama lisansı (LNG, yer altı), ham petrol iletim lisansı ve rafinerici lisansı sahibi tüzel kişilerden oluşan kuruluşların endüstriyel kontrol sistemlerinin güvenliğine ilişkin uygulanacak hükümleri kapsayacak.
Organize Sanayi Bölgesi dağıtım ve üretim lisansı sahipleri ise kapsam dışında tutulacak. Yetkinlik modeli kapsamında üç temel yetkinlik seviyesi belirlenirken, yükümlü kuruluşların sahip olmaları gereken yetkinlik seviyesi, EPDK tarafından belirlenen sektörel kritiklik dereceleriyle tespit edilecek.
EPDK KRİTİKLİK DERECELERİNİ BELİRLEYECEK
Kurum tarafından yapılacak güncellemelerle 3 yıllık periyotlarda kontrol maddeleri ve kontrol maddeleri için tespit edilen yetkinlik seviyeleri değiştirilebilecek. “Yetkinlik modeli” uygulama yükümlülüğü, Kurum tarafından kritiklik dereceleri belirlenip yükümlü kuruluşlara tebliğ edildiğinde başlayacak.
Yönetmelik kapsamında denetim yapma yetkisi verilen firmaların unvanları, Kurumun internet sitesinde yayımlanacak. Öte yandan, Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği yürürlükten kaldırıldı.
Türkiye’de ilk defa enerji sektöründe meydana gelebilecek bir siber saldırıya karşı savunma simülasyonu etkinliği gerçekleştirildi
EPDK’nın bu yıl ilk kez Ankara’da kendi yerleşkesinde gerçekleştirdiği Ex4S’22’, enerji sektöründe Siber Savunma Simülasyonu’22 etkinliğinin teknik yürütücüsü Cyberwise oldu.
Etkinliğe elektrik üretim, elektrik iletim, elektrik dağıtım, rafineriler, doğalgaz iletim ve dağıtım gibi tüm kritik enerji altyapılarında faaliyet gösteren şirketler ve kamu kurumları yoğun ilgi gösterdi. Programda simülasyonlar, enerji tesislerine yönelik siber saldırı senaryolarını deneyimleme ve bunlarla baş etme metotlarını öğrenme fırsatı sundu.
Etkinlik ile ayrıca enerji altyapılarında siber dayanıklılığın artırılması, siber olaylara karşı teknik ve yönetsel yetkinliklerin geliştirilmesi, bireysel ve kurumsal farkındalık oluşturulması ve kuruluşlar arası paylaşım kültürünün oluşturulması da amaçlandı.
Türkiye’de ilk defa düzenlenen kritik enerji altyapıları ve endüstriyel kontrol sistemleri odaklı simülasyona, EPDK regülasyonlarına tabi olan kuruluşlardan 238 uzman ve yönetici katılırken iki gün süren etkinlik boyunca toplamda 350 davetli ağırlandı. Endüstriyel kontrol sistemlerinin güvenliği hakkında önemli bilgiler ve ipuçları verilen bir konferansla başlayan etkinlikte, olası siber saldırıların senaryolaştırıldığı savunma ve saldırı yeteneklerini test eden çeşitli simülasyonlar gerçekleştirildi.
Etkinlikte farklı şirketlerden katılımcıların oluşturduğu karma ekipler, simülasyonlarla olası siber saldırılara karşı takım halinde ya da bireysel olarak nasıl savunma gerçekleştireceklerini ve bir saldırganın nasıl davranacağını deneyimleme şansı elde ettiler. Öğrenme deneyimini artırmak için etkinlik öncesinde belirlenen ekipler, Cyberwise uzmanlarınca bilgilendirildiler ve simülasyonu deneme fırsatı buldular. Böylece hedeflenen bilgi ve deneyim aktarımı ile tecrübe edinimi etkinlik öncesinden başlayarak, yoğun bir şekilde gerçekleştirilmiş oldu.
Cyberwise Yönetim Kurulu Üyesi ve Genel Müdürü Aret Kıllıoğlu konuya ilişki şu değerlendirmelerde bulundu:
“Kritik altyapı sistemlerini barındıran enerji sektöründe olası bir siber felaket sonrasında çevre felaketleri, enerji kesintileri, finansal kayıplar hatta ulusal güvenliğin tehlikeye girmesi gibi hayati sorunların ortaya çıkması söz konusu. Bu nedenle bu sistemlerin siber güvenliğinin kusursuza yakın olması zorunludur. Pek çok kurumun siber güvenlik ihtiyaçlarını her aşamada karşılayabilen bir güvenlik şirketi olarak bu etkinliğin çok önemli olduğunu düşünüyoruz. Ülke, kurum ve şirketler olarak siber saldırılara hazırlıklı olmanın en etkin yolu hazırlıkları test etmektir. Bu etkinlik, bu prensibin ilk ve en önemli kilometre taşı oldu.EPDK’nın tecrübe ve uzmanlığımıza güvenerek bu özel etkinliğin yürütülmesinde bizi tercih etmesi gurur verici. Etkinliğe, enerji sektörünün elektrik üretim, dağıtım, iletim, rafineriler, doğalgaz iletim ve dağıtım gibi tüm paydaşları yoğun ilgi gösterdi. Ex4S’22 etkinliği için hazırladığımız oyunlaştırılmış simülasyon platformu üzerinden katılımcılar farklı senaryolarda siber saldırılarla baş edebilme yeteneklerini geliştirme fırsatı elde ettiler.”
Ex4S’22 Enerji Sektöründe Siber Savunma Simülasyonu etkinliğinde gerçekleştirilen simülasyon çalışmalar şöyle gerçekleşti
Yönetici odaklı simülasyon: Takımlar halinde iki ayrı oturumda gerçekleştirilen simülasyonda, endüstriyel bir enerji işletmesine yönelik bir siber saldırı sırasında zaman, ekip, bütçe ve üretim odağında en doğru kararların alınmasına odaklanıldı. Simülasyonda hızlı ve doğru kararlar vererek birinci olan takım üyelerine çeşitli hediyeler verildi.
Teknik odaklı simülasyon: Ekinliğin iki gününde de gerçekleşen simülasyonda32 takım yarıştı. Her takıma bir adet iş istasyonu verilen simülasyon sırasında, kırmızı ve mavi olmak üzere ayrılan takımların farklı yetkinliklerinin ölçülmesi ve değerlendirilmesi amaçlandı. Etkinlik öncesi simülasyon platformuna test erişimleri sağlanarak, takım üyelerinin maksimum öğrenme deneyimi yaşamaları ve yarışmada en iyi performansı sunmaları hedeflendi. İlk üçe giren takım üyelerine çeşitli hediyeler verildi.
Bireysel odaklı simülasyon: Bireysel yeteneklerin değerlendirildiği simülasyona 40 kişi katıldı. Katılımcılar kişisel bilgisayarlarından simülasyon platformunu deneyimleyerek hem olası siber saldırılar karşısındaki yeterliliklerini hem de ofansif yeteneklerini test ettiler. İlk üçe girerek simülasyonu tamamlayanlara çeşitli hediyeler verildi.
Ex4S CTF (Capture the Flag): En fazla iki kişilik takımların yer alabildiği bu simülasyona katılımcılar, kişisel bilgisayarları üzerinden katılım sağladı. Etkinlik sırasında bu simülasyona 35 kişi katıldı. CTF kapsamında özellikle enerji konusuna özel senaryolar hazırlandı. İlk üçe girmeyi başaran katılımcılara çeşitli hediyeler verildi.
Ofansif odaklı simülasyon: Bireysel ya da en fazla 2 kişilik takımlar halinde yer alınan bu simülasyonda katılımcılar gerçek endüstriyel ekipmanlara karşı yeteneklerini test ettiler. Saldırganların bakış açısını ve yaklaşımının da anlaşılmasının tam bir güvenlik stratejisi oluşturmada önemli olduğu prensibinden yola çıkılarak hazırlanan senaryoda katılımcıların bir trafo merkezinde elektriği en kısa sürede kesmesi beklendi. İlk üçe girmeyi başaran katılımcılara çeşitli hediyeler verildi.
Türkiye’nin önde gelen bilgi güvenliği şirketlerinden Biznet’in İç Girişimcilik Direktörü Hakan Terzioğlu’nun hazırladığı podcast serisinin son bölümünde Türkiye’nin siber güvenlik yönetişimi ve kümelenme gibi konularda geldiği nokta konuşuldu.
Serinin son bölümünde Biznet iş geliştirme direktörü Eser Ateş’i ağırlayan Terzioğlu siber güvenliğin altın çağını yaşadığını belirterek, uluslararası boyutta çeşitli kümelenmelerin oluşmasını bu durumun bir göstergesi olduğunu söyledi. 2003 yılından bu yana Biznet’te çalışan tecrübeli yönetici kümelenme ve ekosistem alanlarında Türkiye’nin gelişimini değerlendirdi: “Biznet’te bu alanın öncülerindeniz. Ama Türkiye’de konunun stratejik olarak ele alınması 2011’e dayanıyor. Türk Silahlı Kuvvetleri’nin 2011’de siber güvenliği bir çalışma sahası olarak belirlemesiyle çalışmaların ilk tohumları atılıyor.”
TSK’daki faaliyetlerin başlamasından bir sene sonra ulusal siber güvenlik çalışmalarının yürütülmesi için Bakanlar Kurulu kararı ile sivil alanda da düğmeye basıldığına değinen Ateş, “O zamandan beri çok şey değişti. Ulaştırma, Denizcilik ve Habercilik Bakanlığı koordinasyon görevi üstlendi. 2012’de üst düzey katılımla siber güvenlik koordinasyon kurulu toplantılarına başladı. Ancak şu an bu kurul hala toplanıyor mu bilmiyoruz” dedi.
Daha sonra 2013-14 Siber Güvenlik Eylem Planının yayınlanması, siber olaylara müdahale ekiplerinin kurulması gibi çok hızlı ve birbirini takip eden adımlar atıldığını anlatan Ateş, bu dönemin konunun üst düzeyde ele alındığını hissettikleri, hareketli bir dönem olduğunu söyledi. Bu dönemdeki dinamizmi umut verici bulan Eser Ateş, “Her ne kadar başlangıçta çok katkı yapabildiğimizi hissetmesek de sonraki dönemin stratejik plan hazırlıklarında kamu, akademi ve özel sektörün içinde olduğu bir çalıştay gerçekleştirildi. Bu da bizi umutlandıran önemli bir çıkıştı,” şeklinde konuştu.
‘Siyasi dalgalanma çalışmaları duraksattı’
Biznet yöneticisi, siber güvenlik ile ilgili adımların etkili şekilde atıldığı bir dönemden sonra Türkiye’nin siyasi anlamda yaşadığı çalkantılı dönemi, yakalanan ivmenin düşüşe geçmesinde ana faktörlerin başında gördüğünü dile getirdi ve ekledi: “Hazırladığımız eylem planını 2015-2017 dönemi için yaptığımızı düşünüyorduk. Fakat planın pratiğe geçmesi siyasi hareketlilikten dolayı sekteye uğradı. Bir senelik bir boşluk oluştu.”
Ateş, siyasi dalgalanmaların yanı sıra süreçteki en önemli eksiğin yapılan stratejik planlarda yer alan aksiyonların ne kadarının tamamlandığının ya da bu aksiyonlarda hangi noktaya gelindiğinin şeffaf bir şekilde takip edememeleri olduğunu belirtti. Terzioğlu da hedeflere yönelik ilerleme sağlanabilmesi için sadece vizyon olarak iyi bir yerde olmanın yetersiz olduğunu; vizyon ve icra dengesinin siber güvenlik alanında kritik olduğunu söyledi.
Ateş, siber güvenlik gibi önemli bir konunun siyasi gelişmelerden etkilenmeden sürekli olarak gündemde olması gerekliliğini de sözlerine ekledi: “Örneğin darbeden sonra duraksama yaşandı. Seçimler yaklaşıyor. Önümüzdeki yıl yeni stratejik plan için hazırlıkların başlaması gerekiyor. Merak ediyorum bu yeni plan bu arada 2020 yılını kapsayacak mı? Yoksa yine bir sene duraksama yaşayacak mıyız? Siber güvenlik ara verebileceğimiz bir konu değil.”
Siber güvenlik alanındaki duraksamalara rağmen, Siber Olaylara Müdahale Ekibi (SOME) sayısının 850’ye ulaşması ve KAMUNET’in kurulması gibi olumlu gelişmelerin yaşandığına da podcast’te dikkat çekildi. Ulaştırma, Denizcilik ve Haberleşme Bakanlığı müsteşar yardımcısı Galip Zerey’in açıklamasına göre, bugüne kadar 73 kamu kurumu KAMUNET’e dahil oldu. Eser Ateş, siber güvenlik altyapısının güçlendirilmesi ve bilincin artması için KAMUNET’i iyi bir motivasyon aracı olarak değerlendirdiğini ifade etti.
“2017 yılındaki bir tebliğ ile Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nın koordinasyonunda kamu kurumlarının güvenli bir ağ üzerinden haberleşmesi için KAMUNET kuruldu. Tebliğin sonuçlarını gördük. ISO 27001 sertifikası alabilmek için ciddi bir hareketlenme yaşandığını gözlemledik. Sadece sertifikayı alıp yola devam etmekten ziyade altyapıyı güvenli yönetmek için bilinç arttı.”
EKS güvenliği için EPDK ve Enerji Bakanlığı kritik kurumlar
Podcast’te siber güvenlik alanındaki regülasyonlar hakkındaki görüşlerini de paylaşan Ateş, şunları söyledi: “Endüstriyel kontrol sistemleri ve kritik altyapıların güvenliğinden 2017’deki SOME tebliğinde bahsedilmişti. EKS güvenliğiyle ilgili Enerji Piyasası Düzenleme Kurumu (EPDK) ve Enerji Bakanlığı önemli adımlar atıyor. Örneğin, EPDK hem kendi SOME’sini kurdu hem de kendi denetimine tabii firmaları çıkardığı regülasyonlarla konuyu belli bir olgunluğa eriştirmeye çalışıyor.”
Ateş, EPDK’nın aynı zamanda EKS güvenliği için risk analizini zorunlu hale getirmesi, rehber hazırlaması, tebliğe göre düzenli denetimler yapılması gibi milli güvenlik açısından önemli adımlar attığına değindi. “Enerji Bakanlığı da yine kritik altyapı olarak nitelendirebileceğimiz kurumların güvenlik seviyesini arttırmak için çalışmalarını hızla yürütüyor.”
Kümelenme en büyük eksiklerimizden
Eser Ateş’in altını çizdiği noktalardan bir diğeriyse kümelenme, ekosistem ve siber güvenlikte yerli ve milli çözümlerin üretimi gibi konularda Türkiye’nin yol alamıyor olması: “Aynı alanda çalışıyor, ürünler geliştiriyoruz. Ama bilgi paylaşımı ve iş birliği eksikliği sebebiyle sürekli rekabet ortamında yerimizde sekiyoruz. Bu da yerli ürün konusunda kurumlarda çekince oluşturuyor. Ürünün devamı gelmiyor. Siber güvenlikte yerlilik ve millilik önemli. Bunun için el ele bir şeyler yapmamız lazım. Kümelenme bu yüzden önemli,” dedi.
Çeşitli kamu kurumları, teknokentler ve sivil toplum kuruluşlarının kümelenme çabalarının sonuçsuz kaldığına değinen Ateş, hedefin niş alanlarda herkesin tek tek çaba gösterdiği çalışmaları birleştirerek dünyaya açılmak olması gerektiğini söyledi.
Terzioğlu da kümelenme konusunda yurtdışındaki modellere değindi ve özellikle sarmal yapıdaki iş birlikleri sayesinde önceliklendirilmiş alanların çok daha rahat ortaya çıktığını, böylece sınırlı sayıda kaynakla daha efektif çözümler geliştirilebildiğini söyledi
“Rekabet aslında iyi bir şey ama bir alan üzerinde 10 firma birden kafa yoruyorsa ve asıl proje yerine tek bir konu üzerine 10 firma uğraşıyorsa çaba ve zaman kaybı söz konusu oluyor. Halbuki güvenlik konusunda çok niş alan var. Kümelenme tam olarak burada işe yarıyor, çünkü ortaya bir harita çıkıyor.”
Türkiye’de siber güvenliğin gelişimi için kümelenmenin çok önemli bir yer tuttuğuna değinen Terzioğlu, yurtdışında uluslararası çapta kümelenmelerin senkronizasyonun bile tartışıldığını söyledi.
“Mesela Global Epic programı buna bir örnek. Biznet’in de üyesi olduğu Hague Security Delta (HSD), Global Epic’in bir parçası. Farklı ülkelerdeki kümelenmelerle iş birliği yapılarak çalışma alanları çok daha rahat belirleniyor, ilerleme daha hızlı sağlanıyor.”
Terzioğlu aslında siber güvenlikte yerli kümelenmeyi ateşleyecek kurumun Savunma Sanayi Müsteşarlığı (SSM) olduğunu ve bu konuda halihazırda önemli adımlar atıldığını ekledi. Ateş de SSM’nin iyi bir vizyona sahip olduğunu ve güzel çalışmalar yürüttüğüne değindi. “Özel sektör, kamu ve akademi temsilcileriyle çalışmalar yaptılar. Somut adımlar atıldı ve bunlar, kamuoyuna duyuruldu. Her ne kadar eksikliklerimize değinmiş olsam da bu konuda ciddi ilerlemeler olduğuna söylemem lazım. SSM’nin büyük gelişmelerin yolunu açacağını düşünüyorum.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Enerji sektörü için siber güvenlik uzun zamandır hem uluslararası camiada hem de ülkemizde oldukça hararetle tartışılan bir konu. İran’daki nükleer santrali bir süre kullanılmaz hale getiren ve siber güvenlikte giderek katlanan devasa bir literatür oluşturan Stuxnet saldırısından sonra, Aralık 2015’te Ukrayna’yı hedef alan planlı ve hedef odaklı siber saldırı neticesinde ülkenin büyük bölümünün elektrik sisteminin sabote edilmesi, enerji sektörünün siber güvenliğe ilişkin kaygılarını daha da arttırmıştı. Bu itibarla, Dünya Enerji Konseyi (WEC) son zamanlarda yaptığı çalışmalarda, “siber riskleri” enerji sektörü için en önde gelen risk faktörlerinden biri olarak değerlendiriyor. Konsey’in verdiği rakam ve öngörülere göre, küresel ölçekte petrol ve gaz endüstrisinin siber güvenlik yatırımlarının 2018’e kadar 1,87 milyar dolara ulaşması bekleniyor.
Siber güvenliğin IT yani bilgi teknolojileri tarafını ilgilendiren bölümü için son yıllarda kaydedilen başarı gerçekten muazzam. Siber güvenlik pazarının hacmi ile ihtiyaç duyulan nitelikli personel sayısı her yıl artarak büyüyor. Uluslararası literatürde, kritik enerji altyapı güvenliği dendiği zaman akılda tutulması gereken asıl unsur, OT yani operasyonel teknolojilerin güvenliği olarak öne çıkıyor.
OT dendiği zaman akla gelen ilk bileşenler ise otomasyon sistemleri ve Endüstriyel Kontrol Sistemleri (EKS). Aslında, elektrik üretiminde, doğalgaz taşınması ve sevkiyatında, sağlık sektöründe, rafineriler ve üretim sektöründeki yaşamsal döngünün devamını oluşturan EKS’lerin hayatımızdaki ve modern ekonomideki rolü tahminimizden çok daha kritik. Giderek dijitalleşen ve sayısallaşan otomasyon teknolojilerini hedef alacak başarılı bir saldırının hem ekonomik hem de sosyal bilançosu oldukça ağır olabilir.
STM (Savunma Teknolojileri Mühendisliği)’nin periyodik olarak yayınladığı Siber Tehdit Durum Raporu’na göre, EKS’lerde güvenlik seviyesi endişe verici derecede ve uzaktan kontrol edilebilen EKS’lerin yüzde 92’sinde saldırılara karşı açık var. Öte yandan Şekil 1’de de ifade edildiği gibi, IT ve OT güvenlik mimarisi açısından birbirinden çok farklı alanlar ve EKS güvenliğine ilişkin yetişmiş insan kaynağı gerçekten de oldukça kısıtlı.
Şekil 1: EKS Güvenliği ile ilgili insan kaynağı oldukça kısıtlı
Kaynak: Joe Weiss, Applied Control Solutions
Bütün bu gelişmeler akılda tutulduğunda, Nisan ayının başında EPDK (Enerji Piyasaları Düzenleme Kurulu) enerji sektöründe siber güvenliğe ilişkin oldukça önemli bir hamle yaparak kurumun resmi web sitesinde “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmelik Taslağı” ve “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri Envanter ve Risk Yönetimi Rehberi Taslağı”nı yayınladı ve bu belgeleri kamuoyunun değerlendirmelerine açtı. EPDK’nın duyurusuna göre, gerek duyduğu takdirde ilgililer yönetmelik ve rehber taslaklarla ilgili görüşlerini 20 Nisan tarihine kadar EPDK’nın Strateji Geliştirme Dairesi Başkanlığına iletebilecek.
Yönetmelik taslağı incelendiğinde, EPDK’nın kritik enerji altyapılarını “işlevlerini kısmen veya tamamen, yerine getiremediğinde, toplumsal düzenin sürdürülebilirliğinin ve/veya kamu hizmetlerinin sunumunun olumsuz etkileneceği enerji ağı, varlığı, sistemi ve yapıları bütünü” olarak tanımladığı görülüyor. Yönetmeliği uygulamaya yükümlü kuruluşlar ise elektrik iletim lisansı sahibi, Organize Sanayi Bölgesi (OSB) dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi, OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişiler olacak.
Yönetmeliği uygulaması gereken yükümlü kurumların ise EKS tanıma ve EKS envanter bildirimleri ile, EKS risk değerlendirme tablosu ve EKS risk azaltma tablosunu bu yılın Temmuz ayının sonuna kadar kurula iletmesi gerekiyor. Bu çerçevede, EPDK’nin yayınladığı yönetmelik ne anlama geliyor? EKS’ye ilişkin gerçekleştirilecek siber güvenlik düzenlemelerinde dikkat edilmesi gereken hususlar neler?
Uzmanların yorumlarına değinmekte fayda var. Litvanya’da bulunan NATO Enerji Güvenliği Mükemmeliyet Merkezi (ENSECCOE) kıdemli uzmanı Vytautas Butrimas’a göre, EKS’ye ilişkin getirilecek siber güvenlik düzenlemelerinde en önemli unsur “IT güvenliği temelli yaklaşımdan kaçınmak”. Butrimas’a göre, “IT ve OT sistemlerinin güvenlik gereksinimleri birbirinden çok farklı. Bu farklılığı göz önünde tutarak, ABD ve Norveç gibi ülkeler, geleneksel IT merkezli siber güvenlik yaklaşımından ayrılıp EKS merkezli siber güvenlik politikaları oluşturdular ve diğer SOME (Siber Olaylara Müdahale Ekipleri)’lerden ayrı olarak birer EKS-SOME kurdular.”
Merkezi İspanya’da bulunan Endüstriyel Güvenlik Merkezi (CCI) Eş Başkanı, Miguel Garcia-Menendez’e göre ise, “EKS’lerinde siber güvenliğe ilişkin kanunen zorunluluk haline getirilen uygulamaların yürürlüğe koyulması kimi zaman kurumlar için zorlu bir görev olabilir ancak çoğu zaman sistemin işler hale gelmesinin tek yolu düzenlemeler olarak karşımıza çıkıyor” diye konuşuyor. Menendez’e göre, “Örneğin, AB’de sıkça gündeme gelen “Kişisel Verilerin Korunması Kanunu”nun uygulanması kurumlar için oldukça zorlu bir sınav oldu ancak sonuçları oldukça tatmin edici. Bu noktada, düzenlemelerde dikkat edilmesi gereken esas unsur, kanunen getirilen zorunluluklar ve piyasaların kendi realitesinin dengede tutulabilmesi, bu denge tüm aktörlerin farkındalık derecesinin yükseltilmesinde büyük rol oynayacaktır.”
ABD merkezli BBA firmasının EKS Siber Güvenlik baş uzmanı Ernie Hayden ise EKS’lerin siber güvenliğine ilişkin yöneltilen sorular karşısında “EKS’lere ilişkin güvenlik ve emniyet konusu fiziksel bir tahribat yaratmış Stuxnet siber saldırısından beri gündemde. ABD, EKS güvenliği konusunda araştırmalar yapan ve bu çerçevede uygulamalar, standartlar ortaya koyan ilk ülkelerden biri ancak başka ülkelerin de özellikle son dönemde EKS güvenliği konusunda çalışmalarını oldukça yoğunlaştırdığını söyleyebiliriz. Hollanda ve Katar EKS güvenliği konusunda milli sistemlerini korumak için standartlar oluşturdular. Birleşik Krallık ve Fransa da bu hususta çalışmalarını yoğunlaştırdı. En son katıldığım konferansta ise, Birleşik Arap Emirlikleri ve Kuveyt’in EKS güvenliği ile ilgili standartlar yaratmak üzerine yoğun çalışmalar yaptığını gözlemledim” diye konuştu.
Ancak Hayden’a göre, hukuki düzenlemelerin niteliği ne olursa olsun dikkat edilmesi gereken iki ana unsur var, birincisi düzenlemenin efektif olarak çalışıp çalışmadığı, bir diğeri ise uygulamaların doğru olarak işleyip işlemediğinin sürdürülebilir bir denetim altında tutulması. Nitekim EKS ve bu sistemlere ilişkin teknolojiler oldukça hızlı değişip dönüşüyor, bu anlamda düzenleme ve standartların da sistemlerin yapısı ve tehditlerin değişen doğası bağlamında geride kalmaması gerekiyor.
Örneğin, EKS’lerin fidyeci yazılımlarca da hedef alınabileceği uzmanlar tarafından tartışılan bir konu ancak var olan EKS güvenlik standartlarında buna ilişkin bir düzenleme henüz yok. Elbette bir ülkenin EKS’ye ilişkin güvenlik standartları yaratması oldukça faydalı olacaktır ancak burada esas olan nokta “katılımcı” bir yaklaşımın belirlenmesi yani ulusal EKS siber güvenlik standartları oluşturulurken, kamu, özel sektör ve diğer paydaşların beraber çalışması elzem.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
