Enerji Sektöründe Siber Güvenlik

Kritik Altyapı Siber Güvenliği

Kritik altyapı, toplumun işleyişi için hayati önem taşıyan ve zarar gördüğünde can kaybına, ekonomik zarara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek sistemlerdir. Bu sistemler, fiziksel varlıklardan, insan kaynaklarından ve bilişim sistemlerinden oluşur.

Kritik altyapı sektörleri:

Enerji: Elektrik üretimi ve dağıtımı, petrol ve doğalgaz altyapısı
Ulaşım: Havaalanları, deniz limanları, demiryolları, karayolu ağları
Haberleşme: Telefon şebekeleri, internet altyapısı, uydu iletişimi
Su: Su şebekeleri, arıtma tesisleri, barajlar.
Sağlık: Hastaneler, klinikler, acil durum hizmetleri
Finans: Bankalar, borsalar, sigorta şirketleri
Kamu Güvenliği: Polis teşkilatı, itfaiye, askerlik
Gıda: Tarım, gıda işleme, dağıtım
Toplu Taşıma: Otobüsler, tramvaylar, metrolar
Bilişim: Veri merkezleri, internet servis sağlayıcıları

Kritik altyapı tanımı ve hangi sektörlerin bu kapsamda değerlendirildiği ülkeden ülkeye değişiklik gösterebilir. Bu değişiklikler, bir ülkenin coğrafi konumu, siyasi yapısı, ekonomik sistemi ve tehdit algısı gibi faktörlere bağlıdır. Örneğin, bir ada ülkesinde denizcilik sektörü kritik altyapı olarak değerlendirilirken, karayla çevrili bir ülkede bu durum geçerli olmayabilir. Benzer şekilde, nükleer enerji kullanan bir ülkede nükleer tesisler kritik altyapı olarak kabul edilirken, nükleer enerji kullanmayan bir ülkede bu durum söz konusu olmayabilir.

Gartner’a göre 16 sektör kritik altyapı kapsamında değerlendirilmektedir.

Enerji
Ulaşım
Su ve Atık Su
Haberleşme
Hükümet ve Kamu Hizmetleri
Finans ve Sigorta
Sağlık
Savunma
Kamu Güvenliği
Posta ve Kargo
Perakende
Üretim
Gıda
Madencilik
Kimyasallar
Nükleer

Gartner’ın yayımladığı kritik altyapı diyagramını dikkatli incelediğimizde enerji sektörünün birçok kritik yapıyı doğrudan etkilediği görülmekte. Bu açıdan enerji sektörünün siber güvenliği diğer birçok kritik altyapıyı doğrudan etkilemektedir. Bu nedenle siber saldırıların daha fazla hedefinde olması kaçılmazdır.

Enerji Sistemlerine Yönelik Siber Saldırı Örnekleri

Siber saldırıların sektörel dağılımına bakıldığında enerji sektörüne yapılan saldırıların ilk sırada bulunduğunu ve enerji altyapısında ICS/SCADA sistemlerin barındırarak faaliyetlerini devam ettiren kritik tesislerin saldırıya maruz kalma kalma durumunu en fazla olan sektörler arasında birinci sırada olduğu görülmektedir (Kaspersky ICS CERT, 2020). Enerji sitemlerine yönelik en önemli ve bilinen siber saldırı örneği olarak “Stuxnet” yazılımı gösterilmektedir. Stuxnet ile yapılan bir saldırıda birinci aşamada hedef tesisin SCADA sistemine bağlı olarak çalışan ve sistemin yönetilmesini sağlayan programlanabilir mantıksal denetleyicileri (PLC) kontrolünü ele geçirmiştir. Daha sonraki aşamada kontrol için kullanılan SCADA cihazları ile 100 milisaniyede aralıklarla komut göndererek santrifüjlere enerji sağlayan elektrik akım frekanslarında dalgalanmalar meydana getirmiştir. Bu yöntemle genel sürecin kesintiye uğramasına neden olmuştur. Stuxnet siber güvenlik açıklıklarını kullanarak İran’da bulunan nükleer tesislere yönelik zarar vermeye yönelik faaliyetlerini, mevcut imkân ve gelişerek sürekli güncellenme halinde olan bütün güvenlik önlemlerine rağmen devam ettirmiştir. Stuxnet yöntemiyle devlet kurumlarından bağımsız kişi ve kişiler tarafından yürütülen siber saldırılar; artık sistemler üzerinde büyük oranda fiziksel hasar verebilecek, etkili siber silahlar oluşmasının yolunu açılmıştır. SCADA protokollerinden Modbus protokolüne yönelik Command Injection, Reconnaissance and DoS (Denial of Service) gibi kategorilerde çeşitli ataklar gerçekleştirilmiş ve en doğru sınıflandırma oranının Random Tree algoritması ile sağlandığı görülmüştür.

2010 yılından önce bilgisayar virüsleri aracılığıyla küçük ölçekte karıştırma, bozma, veri kaybı gibi olaylar yaşanan SCADA sistemlerinde, stuxnet yöntemi kullanılarak bir devletin ulusal kritik altyapılarına sızma girişimiyle karşılaşılmıştır. Halihazırda elektrik dağıtım yönetim sistemleri ve SCADA sistemleri de internete bağımlı olmayan yazılımlar olmasına karşın Stuxnet örneğinde olduğu gibi siber savaş ve siber terörizmin etkisi altında olduğu bir gerçektir. Tablo 1 üzerinde SCADA sistemlerine yönelik gerçekleştirilen ve kayıt altına alınmış olan saldırılar verilmiştir (Çiftçi, 2013; Kaspersky ICS CERT, 2020).

Enerji sektörüne “Siber Güvenlik Yetkinlik Modeli”

Ülkemizde enerji sektörünün siber güvenliğini arttırmaya yönelik önemli çalışmalar yapılmaktadır. Enerji Piyasası Düzenleme Kurumunun (EPDK) Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği, Resmi Gazete’de yayımlanarak yürürlüğe girerek bu alanda faaliyet gösteren ve belli şartları karşılayan kurumların uyması gereken kontroller tanımlandı.

Çalışma sonucunda, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esaslar belirlendi.

Enerji sektöründe siber güvenlik yaklaşımında üç temel yetkinlik (Seviye 1, seviye 2, seviye 3) alanı tanımlanmıştır. Yetkinlik modeli kapsamında üç temel yetkinlik seviyesi belirlenirken, yükümlü kuruluşların sahip olmaları gereken yetkinlik seviyesi, EPDK tarafından belirlenen sektörel kritiklik dereceleriyle tespit edilecek.

Kurum tarafından yapılacak güncellemelerle 3 yıllık periyotlarda kontrol maddeleri ve kontrol maddeleri için tespit edilen yetkinlik seviyeleri değiştirilebilecek.

EPDK’nın yayınladığı bu çalışma enerji sektöründe siber güvenliğe çok önemli faydalar sağlamakta. 13 ana kontrol maddesi altığında enerji sektörünün siber risklerini nasıl yönetmesi gerektiğine dair önemli başlıkları içermekte. Bu ana kontrol maddelerini dikkatle incelediğimizde enerji sektöründe siber güvenliği sağlamanın çok farklı boyut ve yaklaşımları olduğunu görmemiz mümkün. IK sürecinden PLC güvenliğine kadar her ayrıntı değerli. Bazı başlıklar birbirinden uzak gibi görünse de aralarında güçlü bir bağlantı olduğu net. Bu kontrollerin etkin bir şekilde uygulanıyor olması siber güvenliğe çok değerli katkılar sağlayacağı söylememiz mümkün.

Kaynak:

https://dergipark.org.tr/tr/download/article-file/1784661

https://www.epdk.gov.tr/Detay/Icerik/5-13196/enerji-sektorunde-siber-guvenlik-yetkinlik-modeli

Enerji Sektöründe Siber Güvenlik

Sosyal medyada paylaş

2024 Yılında Enerji Sektörüne Yönelik Siber Tehditler

Siber Saldırı Tatbikatı Nedir?

Siber Güvenlik Testlerine Genel Bakış

Siber Dayanıklılık Kazanmak İçin Yapılması Gerekenler

Siber Kriz Anını Yönetmek: Tabletop Egzersizi

ISO 27001:2022’ye Geçiş Nasıl Olmalıdır ?

Yazılım Güvenliğinde Statik ve Dinamik Kod Analizi Yaklaşımları

BİGDES 2024 Yılı Denetim Sonuçları Veri Girişi

Siber Güvenlik Krizleri Nasıl Yönetilir?

Veri Sınıflandırma Nedir ? Veri Sınıflandırma Yöntemleri Nelerdir ?

BGYS: Bilgi Güvenliği Yönetim Sistemi Nasıl Kurulur?

Bilgi Güvenliği Danışmanlığı Nedir?

Menü

Hizmetler

İletişim

bilgi@securefors.com

Pzt–Cum:10:00–18:00

0850 305 4223

Genel Müdürlük: Cevizli Mah.Mustafa Kemal Cad.Hukukçular Towers A Blok No:66 Kartal İstanbul

Azerbeycan Ofis : H.Cavid Caddesi 25, AZTU. Bakü, Azerbaycan