OT (EKS) Siber Güvenliği ve EPDK Enerji Sektöründe Siber Güvenlik YetkinlikModeli Yönetmeliği

Kritik altyapılar, bir ülkenin ulusal güvenliği, ekonomik refahı, kamu sağlığı, kamu

düzeni ve toplumsal yaşamın sürekliliği için hayati öneme sahip olan, fiziksel ve siber sistemlerden oluşan yapıların bütünüdür. Bu altyapılar hem kamu hem de özel sektör tarafından işletilebilir ve birçoğu karşılıklı olarak birbirine bağımlıdır. Kritik altyapılar işlevini yerine getiremediğinde; vatandaşların sağlığı, emniyeti, refahı ve ekonomisi olumsuz etkilenebilir. Devlet organlarının işleyişinde olumsuz etkiler oluşabilir. Bilişim altyapı tesis ve hizmetleriyle bilgi varlıkları olumsuz etkilenebilir.

Ülkelere göre değişmekle birlikte, Dünya genelinde; enerji (elektrik, doğal gaz,

petrol, nükleer), su ve atık su sistemleri, iletişim ve bilgi teknolojileri, ulaşım (karayolu, havayolu, denizyolu, demiryolu), finans ve bankacılık, sağlık hizmetleri, gıda üretimi ve dağıtımı, kamu güvenliği ve acil durum hizmetleri, kamu yönetimi ve adli altyapılar kritik altyapılar olarak kabul edilmektedir. Türkiye’de enerji, su yönetimi, finans, ulaştırma, elektronik haberleşme ve kritik kamu hizmetleri kritik altyapılar olarak kabul edilmektedir. Kritik altyapıların bazıları IT, bazıları da OT tabanlıdır.

Devlet düzeninin ve aynı zamanda günümüzde normal hayatın vazgeçilmeyen, önemli bir parçası haline gelen, kritik altyapıların yönetilmesinde ve işletilmesinde önemli bir yeri olan, Endüstriyel Kontrol Sistemleri (EKS), son sanayi devrimi kabul edilen Endüstri 4.0 ile dış Dünyaya açılmıştır. Bu açılım daha önce kapalı sistem olarak çalışan Endüstriyel Kontrol Sistemlerinin saldırı yüzeyini artırmış ve uzaktan yapılabilecek saldırılara karşı daha açık ve kolay hedef haline getirmiştir. Bu sistemlere yapılan saldırıların insan hayatına etki eden yıkıcı ve ölümcül sonuçları olabilmektedir.

IT (Information Technologies) sistemlerde gizlilik ön plandayken OT (Operational

Technology) sistemlerde erişebilirlik yani sistemlerin kesintisiz çalışması önemlidir.

Hâlihazırda IT sistemlere yapılan fidye saldırıları veya veri hırsızlığı, saldırganlar tarafından kısa zamanda kazanca dönüştürülebildiği için, daha yaygın yapılan bir saldırı türüdür. OT sistem saldırıları ise genellikle ekonomik ve ticari rakipler veya hasım ülkeler tarafından, ulus devletlerin kontrolünde bulunan ve desteklenen gelişmiş sürekli tehdit grupları (APT) kullanılarak, özellikle kriz ortamlarında, planlı ve organize bir şekilde yapılır ve insanlık adına etkileri hissedici ve yıkıcıdır.

OT sistemler IT sistemlere göre daha uzun ömürlü planlanır, geniş alanlara

yayılmışlardır ve bu sistemlerin durdurulması, kapatılması çoğu zaman mümkün

olmamaktadır. OT sistemlerinin IT sistemlere göre daha savunmasız olduğu ve daha basit saldırılara maruz kalacağı göz önünde bulundurulursa, geriye kalan tek faktör saldırganların motivasyonudur. Siyasi veya ekonomik krizler sonucu devletler ya da ticari rakipler tarafından motive edilen saldırganlar, gerekli tedbirler alınmadığı takdirde, çok kısa sürede OT sistemlerine büyük zararlar verecek saldırılar yapabilirler. Motivasyon kaynakları saldırganlara temas ettiğinde hedefteki OT sistemlerine karşı düzenlenecek saldırılar artacaktır. Rusya-Ukrayna savaşı ve Ortadoğu’daki sıcak gelişmeler, konvansiyonel savaş teknikleriyle birlikte, NATO’nun 5. savaş alanı olarak kabul ettiği siber dünyada uygulanan siber savaş tekniklerinin, özellikle OT sistemlere yönelik saldırıların planlı bir şekilde yapıldığını göstermektedir. OT sistemlerin kapatılması ya da devre dışına alınması pek mümkün olmayacağından ve siber güvenlik tedbirlerini uygulamak IT sistemlere göre daha fazla zaman alacağından, OT sistemlerin siber güvenlik tedbir ve önlemlerinin önceden alınması ve saldırılara karşı hazırlıklı olunması hayati öneme haizdir.Bu nedenle başta ABD, Japonya ve Avrupa Birliği olmak üzere gelişmiş ülkeler kendi kritik altyapılarını korumak üzere çeşitli regülasyonlar düzenlemişlerdir. Ülkemizde; Ulusal Siber Güvenlik Stratejisi ve Eylem Planları (2013-2014, 2016-2019, 2020- 2023, 2024-2028 dönemlerini kapsayan), Bilgi ve

İletişim Güvenliği Tedbirleri (2019),

Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul ve Esasları 

(2023), EPDK Siber Güvenlik Rehberi ve Tebliği (2020), Enerji

Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği (06.06.2023). Bu yönetmelik 28.01.2024 ve 08.09.2024 tarihlerinde 2 defa güncellenmiştir. Bu yönetmelikle enerji sektöründe var olan kuruluşların siber güvenliğinin sağlanması konusundaki usul ve esasların düzenlemesi hedeflenmektedir.

Yetkinlik modeli;

• Endüstriyel ağ güvenliği,

• Endüstriyel istemci ve sunucu güvenliği,

• Endüstriyel tehdit ve zafiyet yönetimi,

• Endüstriyel siber güvenlik risk yönetimi,

• Endüstriyel varlık, değişim ve konfigürasyon yönetimi,

• Endüstriyel kimlik ve erişim yönetimi,

• Endüstriyel olay yönetimi ve süreklilik,

• Akıllı cihaz güvenliği, endüstriyel operasyon güvenliği,

• İnsan kaynakları güvenliği,

• Fiziksel güvenlik,

• Tedarikçi yönetimi

• PLC güvenliği adı altında 13 ana kontrol başlığından oluşmaktadır.

Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği Kapsamı

• Elektrik iletim lisansı sahibi,

• Elektrik dağıtım lisansı sahibi,

• Geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi,

• Boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi,

• Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi,

• Doğal gaz depolama lisansı sahibi (LNG, yer altı),

• Ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi

• Kabulü yapılmış, Black-Start özelliğine sahip olup ulusal şebekeye katkı verebilecek olan elektrik üretim tesisi sahibi tüzel kişiler,

• Kabulü yapılmış, TEİAŞ SCADA/EMS Sistemi ile seri tabanlı iletişim yöntemlerini

kullanmadan haberleşmekte olan elektrik üretim tesisi sahibi tüzel kişiler, bu

yönetmelik kapsamındadır. Bu yönetmelikte şimdilik OSB’ler kapsam dışı bırakılmıştır. Aynı yönetmelik, sektörleri ve kuruluşları sınıflandırarak, bir takvim belirleyip, tedbirlerin hangi tarih aralığında ve ne şekilde yapılacağını da belirlemiştir. Yükümlü kuruluşlar, yükümlü oldukları kontrol maddelerine hedeflenen tamamlama süresi sonunda tam uyumlu olmak zorundadır.

Yönetmelik Uygulama Süreleri:

Yükümlü kuruluşların yetkinlik modeline uyumluluğu üç aşamada gerçekleştirilir. Bu süreç EPDK’nın kapsam dahilinde olan kuruluşlara tebliğde bulunduğu 1 Mart 2024 tarihinde başlamıştır.

Öz denetim Raporu süresi :

Seviye 1,2,3 = 3 ay + 1 ay (EBİS Bildirim Sisteme Giriş)

Projelendirme Süreleri:

06.06.2023 tarihinde yayınlanan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli

Yönetmeliğinin uygulamaya konulmasıyla enerji sektöründeki firmalar güvenlik tedbirleri alınmaya başlamıştır ve uygulama süreçleri devam etmektedir. Bu yönetmelikle bir farkındalık yaratılarak enerji sektöründeki kritik altyapıların kırılganlığı azaltılarak, tehditlere ve saldırılara karşı daha dirençli olması sağlanmıştır. Benzer yönetmelik ve uygulamaların diğer kritik altyapı sektörlerinde de uygulanması ülkemizin geleceği açısından önemlidir,

çünkü kritik altyapıların her alanı önemlidir ve kritik altyapılar birbiri ile bağlantılıdır. Herhangi bir sektördeki kritik alt yapıların güvensiz olması veya direnç seviyesinin düşük olması, bu sektörlerin herhangi bir sebeple devre dışı kalması, ülke genelinde olumsuzluk yaşanmasına sebep olacaktır.

Mehmet AKDEMİR

Cyber Security Senior Auditor

Mehmet.akdemir@trsiber.com.tr

TRSİBER Bilişim ve Danışmanlık A.Ş: