EN
EN

Enerji Sektöründe Siber Güvenlik


Enerji Sektörü Nedir?

Enerji sektörü veya endüstrisi, yakıt çıkarma, imalat, rafine etme ve dağıtım dahil olmak üzere enerji üretimi ve satışı ile ilgili tüm endüstrilerin toplamıdır. Enerji endüstrisi aynı zamanda yenilenebilir enerji ve kömür gibi entegre enerji hizmeti şirketlerini de içerir. Modern toplum büyük miktarlarda yakıt tüketir ve enerji endüstrisi hemen hemen tüm ülkelerde toplumun altyapısının ve bakımının çok önemli bir parçasıdır.

Enerji Sektöründe Siber Güvenlik İçin Neden Özel Bir Süreç Gerekli?

Son zamanlarda BT güvenlik araçlarının ve süreçlerinin OT sistemler için uygulanabilirliği yaklaşımı gündeme gelmeye başladı. BT ortamları için tasarlanmış güvenlik çözümleri, bazı önemli nedenlerden dolayı OT ve endüstriyel teknolojilerin ihtiyaçlarını karşılamayabilir. Örneğin "OT, gizliliğin yerine kullanılabilirliğe öncelik verir."

BT ve OT'nin her ikisi de gizliliği, bütünlüğü ve kullanılabilirliği sağlamaya çalışır fakat öncelikler farklıdır:

BT'nin en yüksek önceliği gizliliktir. BT verilerle ilgilenir ve BT'nin paydaşları bu verileri (ticari sırlardan kullanıcıların ve müşterilerin kişisel bilgilerine kadar) korumakla ilgilenir.

OT'nin en yüksek önceliği kullanılabilirliktir. OT süreçleri, ağır hizmet ekipmanlarını fiziksel alanda çalıştırır ve onlar için kullanılabilirlik, güvenlik anlamına gelir. Bir yüksek fırın veya endüstriyel kazan tankı kapatılırken arıza süresi savunulamaz.

Ayrıca güvenlik açığı taraması gibi temel işlevler, OT işlemlerini kesintiye uğratabilir ve sistemleri tamamen çevrimdışı duruma getirebilir ve çoğu cihazda uç nokta güvenliği, anti-virüs veya diğer aracıları desteklemek için yeterli CPU/RAM yoktur.

Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği

Enerji Piyasası Düzenleme Kurumu tarafından, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esasları düzenlemek amacıyla  06.06.2023 tarihli ve 32213 sayılı resmî gazete ile “Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği” yayımlanmıştır.

Yönetmelik; elektrik iletim lisansı sahibi, elektrik dağıtım lisansı sahibi, geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, doğal gaz depolama lisansı sahibi (LNG, yer altı), ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişilerden oluşan kuruluşların endüstriyel kontrol sistemlerinin güvenliğinin ve güvenilirliğinin sağlanmasına ilişkin uygulanacak hükümleri kapsamaktadır.

Yükümlü kuruluşlar, yükümlü oldukları kontrol maddelerine hedeflenen tamamlama süresi sonunda tam uyumlu olmak zorundadır.

Yönetmelik aşağıda verilen ana başlıkları içermektedir:

- Endüstriyel ağ güvenliği
- Endüstriyel istemci ve sunucu güvenliği
- Endüstriyel tehdit ve zafiyet yönetimi
- Endüstriyel siber güvenlik risk yönetimi
- Endüstriyel varlık, değişim ve konfigürasyon yönetimi
- Endüstriyel kimlik ve erişim yönetimi
- Endüstriyel olay yönetimi ve süreklilik
- Akıllı cihaz güvenliği
- Endüstriyel operasyon güvenliği
- İnsan kaynakları güvenliği
- Fiziksel güvenlik
- Tedarikçi yönetimi
- PLC güvenliği

Yazar: Nazlıcan Tanın/ Bilgi Sistemleri Denetim Uzmanı