Enerji Sektörü için Siber Tehlikenin Farkında Olmak ve Riskleri Azaltmak

Ayhan GÜCÜYENER
26 Ocak 2017
A- A A+

Gelişen teknoloji ve artan iş ortaklıkları enerjide siber saldırıların daha kolay gerçekleşmesine zemin hazırlayabiliyor. Saldırıları önlemek için doğru bir siber risk yönetimi sistematiği oluşturulmalı. Bu yapının içinde çalışanların ve son kullanıcıların farkındalığının geliştirilmesi, sürdürülebilir eğitimler ya da risklerin transfer edilmesi başlıkları mutlaka yer almalı. Siber risklerin yönetimi çabalarının başarılı olmasının temelinde ise risklere çok disiplinli/paydaşlı yaklaşabilmek ve riskleri bütüncül olarak görebilmek yeteneği yatıyor…

 

Enerji altyapıları ve bu altyapıların besleyerek ayakta tuttuğu diğer yaşamsal kritik altyapılar, hemen hemen her ülkede terörist gruplar veya    diğer illegal nitelikli organizasyonların en çok hedef aldığı noktaları oluşturuyor. Bununla          beraber, enerji sektörünün kendi içinde         birbiriyle ve diğer sistemlerle teknolojik iletişimsel bağlantısının hızla       yoğunlaşması ve bu sektörde sayısallaşması giderek artması, sektörün pek de         aşina olmadığı “siber güvenlik”       sorununu ortaya çıkardı. Örneğin, Dünya Enerji Konseyi (WEC) son zamanlarda yaptığı çalışma            ve toplantılarında, “siber riskleri” enerji         sektörü           için en  önde gelen risk faktörlerinden biri olarak okuyor. Konseyin  verdiği rakam  ve öngörülere  göre, küresel    ölçekte petrol ve gaz endüstrisinin siber       güvenlik yatırımlarının 2018’e           kadar 1,87 milyar dolara ulaşması bekleniyor. Siber saldırılarda hem niceliksel hem de niteliksel  bir artış gözlemleniyor.           Siber saldırılar sonucu ülkelerin elektrik altyapısına sızılması vakaları ve bu   altyapılara zarar verilmesine ilişkin örneklerin sayısı gün geçtikçe artıyor. Aralık 2015’te Ukrayna’daki geniş çaplı elektrik kesintisinin sebebinin siber saldırı olduğunun            doğrulanmasının neredeyse yıl dönümünde, ABD’de Vermont elektrik tesisine siber saldırılarla sızma girişiminin bertaraf      edildiğinin basında geniş yer bulmasıyla bu tehdidin uzun süre gündemden düşmeyeceği anlaşılmış oldu. Bununla beraber, ülkemizde geçen ay gerçekleşen geniş çaplı elektrik kesintisinin arkasında siber            saldırı  izlerinin aranıyor olması da artık siber           uzaydan gelen tehditlerin hem politika            yapıcılar ve sektör tarafından da son derece ciddiye alındığının en önemli göstergesi.

 

Hedef odaklı tehditlere dönüştü

 

Günümüzde enerji ve diğer kritik tesisleri hedef alan saldırılar analiz edildiğinde, saldırı     tiplerinin basit bilgisayar korsanlığı vakalarından ziyade “gelişmiş hedef odaklı      tehditler”e doğru evrildiğini söylemek mümkün. Hesaplamalara göre, bir dakikalık bir elektrik kesintisinin herhangi          bir kurum için 15,447 doları            bulabilecek bir ekonomik maliyet doğurabileceği hesaplanıyor.        Yine uzmanların öngörülerine göre, ABD’de elektrik altyapısına    yönelik            bir siber saldırının maliyeti 1 trilyona kadar çıkabiliyor.       

 

Siber güvenlikte bilinen          ve en çok konuşulan vaka tipleri kritik          bilgilerin çalınması, siber casusluk gibi eylemler olarak kaydedilirken, enerji sektörü için asıl tehdidin fiziksel süreçleri hedef alan EKS’lerdeki (Endüstriyel Kontrol Sistemlerinin Siber Güvenliği) siber güvenlik açıkları olduğunun altını çizmek gerekiyor.      Bu çerçevede, sektör açısından yalnızca fiziksel tehditler bazında önlemler almanın artık yetersiz  kaldığı ve bütüncül bir     güvenlik anlayışının ortaya koyulmasının elzem hale geldiği açık.   

 

Bu öngörüler çerçevesinde, enerji sektörü için artık somut bir tehdit haline gelmiş siber riskleri azaltmak ve asgari düzeye indirgemek mümkün  mü? Tehditlerle           mücadele edebilmek için       kurumların nasıl bir aksiyon planı oluşturması ve ne gibi önlemleri alması gerekiyor? Bu soruların cevapları, 26-27 Aralık        2016 tarihlerinde Bilgesam’ın ev sahipliğinde         ve Uluslararası Kritik Altyapıları Koruma Profesyonelleri Birliği’nin (IACIPP)  katkılarıyla gerçekleşen “Enerji Sektöründe Siber Güvenlik Risklerinin Yönetimi” eğitiminde arandı. Farklı   kurumlardan    19       katılımcı ile gerçekleşen etkinlikte teorik eğitimin yanı sıra   katılımcılarla paylaşılan        risk değerlendirme araçları ve etki analizi raporları ile katılımcıların kendi risk        ve tehdit değerlendirmeleri yapmalarına           da olanak sağlanmış oldu.     

 

Teknoloji geliştikçe risk de artıyor

 

Eğitmenlerden Demiröz Consultancy’nin kurucusu Özkan Demiröz’e göre, enerji sektörü için siber riskleri            yönetmenin temelinde,           öncelikle riskleri bütüncül olarak görülmesi yatıyor. Hacmi giderek büyüyen bir Pazar olarak, ‘nesnelerin interneti’nin (IoT)          geleceğine      bakıldığında,   cihazların kontrol            edilemeyen bir şekilde ağlarımıza bağlanmasının gelecekteki siber    riskleri hatırı    sayılır şekilde            arttırması bekleniyor.  Bunun yanı sıra daha  karmaşık hale gelmeye başlamış altyapılar ve gölge (shadow) IT sistemlerinin doğuracağı güvenlik açıkları kurumlar açısından büyük      bir        risk oluşturabilir. Her ne kadar, kurumlar kendi özelinde doğru siber  güvenlik aksiyonlarını ortaya koyuyor olsalar            dahi, beraber iş            yapılan ortaklar, taşeronlar, üçüncü kişiler gibi           dışarıdan ağımıza bağlanan aktörlerin kim     olduğu,            ağımıza            nasıl bağlandığının güvenlik açısından denetlenmesi de        kritik öneme    sahip. Bu çerçevede, ufukta görülmeye  başlamış siber  güvenlik tehditlerine karşı “Kuruluştan İtibaren            Güvenlik”(Security by Design)           bakış açısının geliştirilmesi ve merkeze alınması şart. Öte yandan Demiröz’e göre, her    ne kadar kurumlar tekil           olarak önlemlerini alıyor olsa da sektör içi ve            sektörler arası  işbirliği oldukça kritik bir role sahip.

 

Demiröz’e göre, enerji sektörü için siber risk yönetimi, risk temelli bakış açısı         geliştirilerek değerlendirilebilir. Örneğin, Enerji SOME’si olarak belirlenen EPDK tarafından      da enerji sektörü için zorunlu            kılınmış ISO 27001 uygulaması          aslında risk temelli ölçümlerin yapıldığı bir siber güvenlik çerçevesi. Bununla beraber, temel kontrollerin yapılmasının ardından, her kurum için birbirinden farklı olan ve görülemeyen   risklerin de yönetilmesi           gerekiyor. Bu  çerçevede, herhangi bir siber saldırı karşısında, bir            kurumun nasıl ve hangi nitelikli kayba           uğrayacağını ölçümleyen etki analizlerinin mutlaka önceden tüm iş birimlerinin katılımıyla yapılması gerekiyor. Siber risklerle ortaya çıkabilecek etkiler, finansal ve ekonomik değerlerle ölçülebileceği gibi, kurum imajının zedelenmesi gibi kolayca hesaplanamayan faktörleri de            kapsayabiliyor.           Unutmamak gerekiyor ki, riskler her kurumun farklı dinamiklere      sahip olması siber riskleri de çeşitlenebiliyor. Bu farklı risklerin görülmesi ve yönetilmesi ise doğru bir etki analizine dayanarak ve tehdidin ortaya çıkma olasılığını da hesaplayarak mümkün olabiliyor.    

 

Tüm bütüncül değerlendirmelerin yapılmasının         ardından, alınacak önlemlerin her zaman teknik olmadığının da        reçeteye mutlaka not olarak düşülmesi           gerekiyor. Nitekim doğru bir siber risk yönetimi sistematiğinin temelinde, çalışanların ve son kullanıcıların farkındalığının geliştirilmesi, sürdürülebilir eğitimler            ya da   risklerin transfer edilmesi önlemler de bulunuyor. Son          olarak Demiröz’e göre, siber            risklerin yönetimi çabaların başarılı olmasının temelinde risklere çok disiplinli/paydaşlı yaklaşabilmek ve riskleri bütüncül olarak görebilmek yeteneğinin yattığını unutmamak gerekiyor.     

 

 

Not:  Bu yazı, TENVA (Türkiye Enerji Vakfı)’nın aylık yayını olan Enerji Panaroma Dergisi’nin Ocak 2017 sayısında yayınlanmıştır

Back to Top