Günümüzde en çok korkulan siber saldırılar, altyapılara düzenlenmesi mümkün olanlar. Bunların başında da elektrik sistemlerine saldırı yapılması olasılığı geliyor. 31 mart 2015 tarihinde meydana gelen büyük elektrik kesintisinin de bir siber saldırı olabileceğini düşündüğümüzü yazmıştık [1]. O zamandan bu yana bu konuda çeşitli yazılarımızda bu konunun önemini dile getirmiştik. İşte EPDK sonunda bu konuya yönelik bir çalışma yaptı.
Enerji piyasalarını düzenleyen üst kurul olan Enerji Piyasaları Düzenleme Kurulu (EPDK), siber saldırılara karşı endüstriyel kontrol sistemlerinin daha dirençli ve güvenli hale getirilmesi için “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği yönetmelik” taslağı hazırladı [2].
Görüşe açılan yönetmelik taslağıyla kritik enerji altyapılarında kullanılan endüstriyel kontrol sistemlerinin bilişim süreçlerinin izlenmesi ve güvenliğinin sağlanmasına ilişkin esaslar düzenlenecek. Firmalardan siber güvenlik tehditleri, aldıkları önlemlerin bildirilmesi istenecek.
Yönetmelikle, enerji piyasasında faaliyet gösteren kuruluşların kullandığı sistemlerde bilişim sistemlerinin güvenliği ve güvenilirliğinin sağlanması için tehditlerden ve zafiyetlerden kaynaklanan risklerin azaltılması veya ortadan kaldırılması için uygulanacak esasları belirledi. Böylece enerji zincirindeki kritik sistemlerin tehdit ve zafiyetlere karşı güvenliğinin artırılması hedefleniyor.
Elektrik dağıtım lisansı sahipleri, 100 MW ve üzeri üretim tesisi sahipleri, boru hattı ile iletim yapan doğalgaz iletim lisansı sahipleri, doğalgaz dağıtım lisansı sahibi, ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişiler yükümlü olacaklar.
EPDK, öncelikle mühendislerin ve operatörlerin kullandıkları bilgisayarlar, ağlara yönelik envanterler çin hazırlanan bildirim formlarının doldurulmasını isteyecek. Daha sonra riskleri tanıyacak, bunların gerçekleşme ihtimallerini anlayacak.
Bunun için kuruluşlara, “Firmanızın siber güvenlik tehditleri algısı nedir, aktif güvenlik önlemleri nelerdir? Son 12 ay içinde meydana gelen güvenlik ihlallerinin temel sebepleri nelerdir? Firmanızda son 12 ay içerisinde gerçekleşen siber güvenlik olayı sayısı kaçtır? Endüstriyel kontrol sistemlerinin operatör/mühendis bilgisayarlarının dahil olduğu ağın internete erişimi var mıdır? Endüstriyel kontrol sistemleriniz için fiziksel güvenlikte tesisin izlenmesini sağlıyor musunuz? (Kamera vb.)” gibi sorular yöneltecek.
Firmalar daha sonra risk değerlendirmesine yönelik formu dolduracak. Risklerin gerçekleşme ihtimalleri “imkansız, düşük, normal, yüksek, muhtemel” gibi kategorilere ayrılacak ve riski azaltmak için alınacak önlemler de bildirilecek
[1] Elektrik Kesintisi Neden Siber Saldırıyı Düşündürtüyor?
[2] ENERJİ SEKTÖRÜNDE KULLANILAN ENDÜSTRİYEL KONTROL SİSTEMLERİNDE BİLİŞİM GÜVENLİĞİ YÖNETMELİĞİ