HABER MERKEZİ

Enerji sektöründe dijitalleşmenin hızlanmasıyla birlikte siber güvenlik, operasyonel süreklilikten ulusal dayanıklılığa kadar kritik bir başlık olarak öne çıkıyor. CyberArts CEO’su Erdem Eriş, Analiz Gazetesi’ne yaptığı değerlendirmede, EPDK tarafından devreye alınan Sektörel Siber Güvenlik Yetkinlik Modeli’nin (SGYM) enerji şirketleri için yalnızca bir regülasyon değil, aynı zamanda stratejik bir dönüşüm programı anlamına geldiğini ifade etti. 7545 sayılı Siber Güvenlik Kanunu’yla birlikte kritik altyapı işletmeleri açısından yeni bir dönemin başladığını vurgulayan Eriş, enerji sektöründe gerçek siber dayanıklılığın artık kurumsal yönetişimin ayrılmaz bir parçası haline geldiğine dikkat çekti.

EPDK tarafından hayata geçirilen Sektörel Siber Güvenlik Yetkinlik Modeli (SGYM), enerji sektöründe nasıl bir dönüşüm başlatıyor?

SGYM, enerji sektöründe siber güvenliği “iyi niyetli teknik çaba” olmaktan çıkarıp ölçülebilir, denetlenebilir ve sürdürülebilir bir olgunluk modeline dönüştürüyor. Bu çok kritik; çünkü enerji altyapıları artık yalnızca üretim, iletim ve dağıtım kapasitesiyle değil, dijital dayanıklılığıyla da değerlendiriliyor. EPDK’nın modelinde amaç, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin güvenliğini gelişen tehditlere göre sürekli iyileştirmek, asgari güvenlik seviyesini tanımlamak ve siber dayanıklılığı olgunluk seviyeleriyle takip edilebilir hale getirmek. Bu nedenle SGYM’yi sadece bir uyum yükümlülüğü değil, enerji şirketleri için operasyonel sürekliliği, arz güvenliğini ve ulusal dayanıklılığı güçlendiren stratejik bir dönüşüm programı olarak görmek gerekir.

Enerji şirketleri için siber güvenlik neden artık yalnızca teknik ekiplerin değil, yönetim kurullarının da gündeminde olmak zorunda?

Çünkü enerji sektöründe yaşanabilecek bir siber olayın etkisi artık yalnızca bir sunucunun, uygulamanın veya kullanıcı hesabının etkilenmesiyle sınırlı değil. Üretim tesisleri, dağıtım şebekeleri, kontrol merkezleri, sayaç altyapıları ve tedarik zinciri birlikte düşünüldüğünde, siber risk doğrudan iş sürekliliği, regülasyon uyumu, itibar, finansal kayıp ve hatta kamu hizmetinin devamlılığı meselesine dönüşüyor. Yönetim kurullarının buradaki rolü bütçe onayı vermekten ibaret değil; risk iştahını belirlemek, kritik varlıkların korunmasını sahiplenmek, denetlenebilirlik ve hesap verebilirlik mekanizmalarını kurmak ve siber güvenliği kurumsal yönetişimin parçası haline getirmek zorundalar. Bugün siber güvenlik, CEO ve yönetim kurulu ajandasının kalıcı bir maddesi olmak durumunda.

Kanunun getirdiği sorumluluklar

7545 sayılı Siber Güvenlik Kanunu, kritik altyapı işletmeleri açısından hangi yeni sorumlulukları beraberinde getiriyor?

7545 sayılı Siber Güvenlik Kanunu ile Türkiye’de siber güvenlik daha bütüncül ve bağlayıcı bir çerçeveye oturdu. Kanunun amacı; siber tehditlerin tespit edilmesi, bertaraf edilmesi, siber olayların etkilerinin azaltılması, kamu ve özel sektör dahil ilgili aktörlerin siber saldırılara karşı korunması ve ulusal siber güvenlik stratejisinin kurumsal zemine kavuşmasıdır. Kritik altyapı işletmeleri açısından bunun anlamı şudur: Siber güvenlik artık “varsa iyi olur” yaklaşımıyla yönetilemez. Kurumların varlık envanteri, risk yönetimi, olay müdahale kapasitesi, log bütünlüğü, denetlenebilirlik, tedarikçi güvenliği, teknik ve idari kontroller, SOME olgunluğu ve yönetimsel sorumlulukları daha disiplinli bir yapıya kavuşmak zorunda. Enerji sektörü gibi kesintinin toplumsal ve ekonomik etkisinin yüksek olduğu alanlarda bu sorumluluk daha da stratejik hale geliyor.

Türkiye’de enerji sektörünün siber saldırılar açısından en kırılgan alanları sizce hangileri?

Enerji sektöründe en kırılgan alanların başında OT/EKS altyapıları, uzaktan erişim mekanizmaları, saha cihazları, SCADA sistemleri, kontrol merkezleri, eski nesil endüstriyel ekipmanlar ve üçüncü taraf bağlantıları geliyor. Bu sistemlerin önemli bir kısmı yıllar önce “kapalı devre” varsayımıyla tasarlandı; ancak bugün bakım, izleme, raporlama, veri analitiği ve entegrasyon ihtiyaçları nedeniyle IT sistemleriyle çok daha fazla temas ediyorlar. Bu temas arttıkça saldırı yüzeyi de genişliyor. Bir diğer önemli kırılganlık alanı ise tedarik zinciri. Enerji şirketleri sadece kendi sistemlerinden değil, sistemlerine erişen yüklenicilerden, bakım firmalarından, yazılım sağlayıcılarından ve entegratörlerden kaynaklanan riskleri de yönetmek zorunda. Dolayısıyla kırılganlık yalnızca teknolojide değil; süreçlerde, insan kaynağında ve yönetişim yapısında da ortaya çıkıyor.

Şirketleri zorlayacak olan başlıklar

SGYM kapsamında gerçekleştirilecek denetimlerde enerji şirketlerini en çok zorlayacak başlıklar neler olacak?

Enerji şirketlerini en çok zorlayacak başlıkların başında güncel ve doğru varlık envanteri, OT ağ segmentasyonu, erişim yönetimi, merkezi loglama, olay müdahale süreçleri, yedekleme ve kurtarma kabiliyeti, tedarikçi erişimlerinin kontrolü ve teknik kontrollerin sürdürülebilir şekilde işletilmesi geliyor. SGYM’nin önemli tarafı şu: Sadece “doküman var mı?” diye bakmıyor; uygulamanın sahada gerçekten çalışıp çalışmadığını, kontrollerin sürekliliğini ve kanıtlanabilirliğini gündeme getiriyor. Bu da kurumların kâğıt üzerinde uyumdan gerçek operasyonel olgunluğa geçmesini gerektiriyor. Özellikle OT ortamlarında kesinti toleransı düşük olduğu için güvenlik iyileştirmelerini üretimi aksatmadan yapmak ciddi planlama, deneyim ve sektör bilgisi gerektiriyor.

OT güvenliği güvenlik mimarisiyle ele alınmalı

Endüstriyel Kontrol Sistemleri (EKS) ve Operasyonel Teknoloji (OT) altyapıları neden klasik IT sistemlerinden daha farklı bir güvenlik yaklaşımı gerektiriyor?

Çünkü IT dünyasında öncelik çoğu zaman veri gizliliği, bütünlüğü ve erişilebilirliği iken; OT dünyasında öncelik emniyet, süreklilik ve fiziksel süreçlerin güvenli işletilmesidir. Bir IT sisteminde güncelleme yapmak, sistemi yeniden başlatmak veya kısa süreli kesinti planlamak daha yönetilebilir olabilir; ancak bir enerji üretim tesisinde, dağıtım şebekesinde veya kontrol merkezinde aynı yaklaşım operasyonel risk doğurabilir. OT sistemlerinde kullanılan protokoller, cihaz ömürleri, yama yönetimi, üretici bağımlılıkları ve gerçek zamanlı çalışma gereklilikleri klasik IT güvenlik reçetelerinden farklıdır. Bu nedenle OT güvenliği; saha gerçekliğini bilen, iş sürekliliğini merkeze alan, risk bazlı ve aşamalı bir güvenlik mimarisiyle ele alınmalıdır.

Türkiye avantajlı

Jeopolitik gelişmelerin enerji altyapılarına yönelik siber tehditleri artırdığını görüyoruz. Türkiye bu konuda ne kadar hazırlıklı?

Türkiye bu konuda önemli bir farkındalık ve kurumsallaşma eşiğini geçmiş durumda. Siber Güvenlik Başkanlığı’nın kurulması, 7545 sayılı Kanun, EPDK’nın SGYM yaklaşımı ve kritik altyapılara yönelik düzenlemeler, ülke seviyesinde doğru yönde atılmış güçlü adımlar. Ancak hazırlık seviyesi yalnızca mevzuatla ölçülemez; kurumların sahadaki uygulama kapasitesi, SOME olgunluğu, nitelikli insan kaynağı, tatbikat kültürü, tedarik zinciri güvenliği ve yerli teknolojilerin etkin kullanımı da belirleyicidir. Türkiye’nin avantajı, bu konuyu artık ulusal güvenlik ve dijital egemenlik perspektifiyle ele almaya başlamasıdır. Bundan sonraki kritik başarı faktörü, bu stratejik iradenin tüm kritik altyapı işletmelerinde aynı olgunluk seviyesine taşınmasıdır.

Mevzuata uyum mu gerçek dayanıklılık mı?

Siber güvenlikte “mevzuata uyum” ile “gerçek siber dayanıklılık” arasında nasıl bir fark var?

Mevzuata uyum, gerekli kontrollerin tanımlanması ve belirli yükümlülüklerin yerine getirilmesidir; gerçek siber dayanıklılık ise saldırı olduğunda kurumun bunu ne kadar hızlı tespit ettiği, etkisini ne kadar sınırladığı, operasyonlarını ne kadar sürdürebildiği ve ne kadar hızlı normale dönebildiğiyle ölçülür. Yani uyum bir başlangıç noktasıdır; dayanıklılık ise yaşayan bir kapasitedir. Bir kurum denetimden geçebilir ama olay müdahale planı test edilmemişse, yedekleri çalışmıyorsa, logları bütün ve anlamlı değilse, kritik tedarikçi erişimleri kontrolsüzse gerçek anlamda dayanıklı değildir. Bizim yaklaşımımızda amaç sadece regülasyona uyum sağlamak değil; güvenliği kurum kültürüne, süreçlere ve teknoloji mimarisine kalıcı biçimde yerleştirmektir.

İlk adım durum analizi yapmak

Enerji şirketlerinin siber olgunluk seviyelerini artırabilmesi için öncelikli olarak hangi adımları atmaları gerekiyor?

İlk adım, gerçekçi bir mevcut durum analizi yapmak ve kritik varlıkları doğru tanımlamaktır. Neyi koruduğunuzu bilmiyorsanız, ne kadar risk taşıdığınızı da bilemezsiniz. Ardından risk bazlı bir yol haritası oluşturulmalı; OT ve IT ağları arasındaki ilişkiler netleştirilmeli, erişim yönetimi sıkılaştırılmalı, loglama ve izleme kapasitesi güçlendirilmeli, olay müdahale süreçleri test edilmeli ve tedarikçi bağlantıları disipline edilmelidir. Bunun yanında yönetim kurulu seviyesinde sahiplenme, yeterli bütçe, nitelikli insan kaynağı ve düzenli tatbikat kültürü şarttır. Siber olgunluk tek seferlik bir proje değil; insan, süreç ve teknolojiyi birlikte geliştiren sürdürülebilir bir programdır.

Yeni saldırı yüzeyleri

Önümüzdeki dönemde enerji sektöründe siber güvenlik tarafında hangi yeni riskler ve regülasyonlar gündeme gelebilir?

Önümüzdeki dönemde enerji sektöründe en önemli risk başlıkları; OT sistemlerine yönelik hedefli saldırılar, ransomware, tedarik zinciri saldırıları, yapay zekâ destekli tehditler, bulut ve uzaktan erişim kaynaklı riskler, akıllı şebekeler, elektrikli araç şarj altyapıları ve dağıtık enerji kaynaklarının yarattığı yeni saldırı yüzeyleri olacak. Regülasyon tarafında ise daha fazla denetlenebilirlik, olay bildirimi, kritik varlık sınıflandırması, üçüncü taraf güvenliği, log bütünlüğü, siber tatbikatlar ve yerli/milli güvenlik teknolojilerinin kullanımına yönelik beklentilerin artacağını öngörüyorum. Enerji sektörü dijitalleştikçe siber güvenlik de bu dönüşümün ayrılmaz bir güven unsuru haline gelecek. Burada kazanan kurumlar, güvenliği sonradan eklenen bir maliyet değil, iş sürekliliği ve rekabet avantajı olarak görenler olacak.