Yenilenebilir enerji sektörü hızlı ilerliyor. Dünya çapında, küçük ve orta ölçekli işletmeler (KOBİ’ler), güneş enerjisi girişimlerinden topluluk rüzgâr enerjisi geliştiricilerine ve dijital şebeke yenilikçilerine kadar temiz enerjiye geçişi destekleyen yeniliklere öncülük ediyor. Ölçeklendirme yarışında, bu firmaların çoğu kendilerini ve icatlarını tehlikeli bir şekilde riske atıyor. Bir proje geliştiricisine veya hizmet sağlayıcısına yönelik tek bir siber saldırı, finansmanı durdurabilir, kurulumları geciktirebilir ve tüm ekosistemdeki güveni sarsabilir.
Enerji sektöründeki siber güvenlik endişeleri büyük kamu hizmetleri etrafında dönüyor ve öncelikle operasyonel teknoloji (OT) risklerine odaklanıyor. Bu anlaşılabilir bir durum çünkü şebeke düzeyinde bir ihlal kaosa neden olur. Bunun en belirgin örneği 2015 yılında Ukrayna’da elektrik şebekesini bozmak için tasarlanmış bilinen bir kötü amaçlı yazılım saldırısıydı. Bu olay, kullanılan kötü amaçlı yazılımın adı olan Industroyer olarak anılır ve endüstriyel kontrol sistemlerini enfekte etmek için özel olarak yazılmış kötü amaçlı yazılımların bir örneğidir. Ancak dikkatler kontrol odaları ve trafo merkezlerine odaklanırken sektörün gerçek zayıf noktası potansiyel olarak gözden kaçırılmaktadır: Sektöre hayati hizmetler sunan KOBİ’lerin BT sistemleri. Bu şirketler tamamen e-posta sunucularına, bulut platformlarına ve müşteri veri tabanlarına bağımlıdır. Bu nedenle saldırganlar, bu şirketleri saldırı için en kolay yol olarak görebilirler.
Yenilenebilir enerji alanında yenilik yapan KOBİ’ler benzersiz zorluklarla karşı karşıyadır. Çoğu, ürün ve hizmetlerin yeterince güvenli olmasını sağlayacak şirket içi siber güvenlik uzmanlığına sahip değildir ve işletmenin dayandığı daha düzenli BT hizmetlerinin güvenliğini sağlamaya da odaklanmamaktadır.
Önce siber güvenlik
Güçlü bir siber güvenlik duruşuna sahip olma ihtiyacını göz ardı etmenin sonucu yıkıcı olabilir; çalışanları kimlik bilgilerini vermeye ikna eden kimlik avı dolandırıcılığı, sessizce yayılan kötü amaçlı yazılım enfeksiyonları, projeleri durma noktasına getiren fidye yazılımı saldırıları ve hatta siber saldırganların şirketin müşterilerine sunduğu ürün ve hizmetlerin tedarik zincirini enfekte etme olasılığı. Yatırımcılar, ortaklar ve düzenleyiciler yakından izlerken basit yapılandırma hataları veya kazara veri sızıntıları bile büyük sonuçlara yol açabilir. Müşteriler, finansörler ve düzenleyiciler, temiz enerji şirketlerinin sadece sürdürülebilirlik değil, aynı zamanda mükemmel bir siber güvenlik duruşu sergilemelerini de giderek daha fazla bekliyor. Burada bir paradoks ortaya çıkıyor; yenilenebilir enerji sektöründeki KOBİ’ler inovasyona odaklanırken çoğu modern siber güvenlik araçlarını benimsemekte tereddüt ediyor. Bazıları maliyetlerden korkarken diğerleri operasyonların karmaşıklaşmasından endişe duyuyor. Ancak harekete geçmemenin riski çok daha büyük.
Siber güvenlik, sadece büyük ve zengin kamu hizmetleri kuruluşlarının tekelinde olan bir alan olarak görülmemelidir. Günümüzün araçları, küçük şirketler için erişilebilir, ölçeklenebilir ve pratik olacak şekilde tasarlanmıştır. Şirketlerin içlerinde siber güvenlik konusunda uzman kaynakları bulunmadığı durumlarda, dış kaynaklı çözümler sunan çok sayıda şirket bulunmaktadır.
Siber güvenlik için alınacak önlemler
Siber güvenlik şirketi ESET, mütevazı adımların bile dayanıklılığı önemli ölçüde artırıp riski azaltabileceğini gördü. İşletmenizin bir sonraki ibret hikâyesi hâline gelmesini önlemek için öncelikle önleme odaklı bir zihniyet benimsemek çok önemlidir.
● En kritik güvenlik açıklarının hızla kapatılması için sağlam yama yönetimi uygulamak,
● Kimlik ve erişim politikalarını sıfır güven yaklaşımıyla güncellemek – ihlal olduğunu varsaymak, en az ayrıcalık politikalarını uygulamak,
● Çok faktörlü kimlik doğrulamayı uygulamak,
● Sunucular, dizüstü bilgisayarlar, bulut hizmetleri ve diğer cihazlar dâhil olmak üzere tüm cihazlara güvenilir güvenlik yazılımı yüklemek,
● En iyi uygulamalara göre hassas dosyaları yedeklemek ve geri yüklemenin denenmiş ve test edilmiş olmasını sağlamak,
● Paydaşlarla birlikte bir olay müdahale planı oluşturmak ve test etmek,
● Ağları ve uç noktaları, güvenlik ihlallerinin erken uyarı işaretleri için sürekli izlemek,
● Personele güncel siber güvenlik farkındalık eğitimi vermek ve kimlik avı simülasyonları gerçekleştirmek; çalışanlar hem şirketin en güçlü varlığı hem de en zayıf halkasıdır.
İç uzmanlığa sahip olmayan firmalar için Yönetilen Tespit ve Müdahale (MDR) hizmetleri, uzman güvenlik analistleri tarafından 24 saat izleme ve hızlı müdahale sağlayarak olaylar meydana geldiğinde daha da büyümeden hızlı bir şekilde kontrol altına alınabilmesini sağlar. Güçlü siber güvenlik savunmaları, inovasyon ve büyümeden uzaklaştırmaz; aksine bunları mümkün kılar. KOBİ’lerin yatırımcıların güvenini kazanmasını, AB’nin NIS2 Direktifi gibi çerçeveler altında sıkılaşan düzenleyici gereklilikleri karşılamasını ve start-up’ları bu kadar değerli kılan çevikliği korumalarını sağlar. Şebeke daha akıllı ve daha bağlantılı hâle geldikçe BT ve kritik altyapı arasındaki sınır bulanıklaşıyor. Her KOBİ, daha büyük sistemde çok önemli bir rol oynar ve her boşluk önemli.
Temiz enerji, teknolojiye, şebekeye ve geçişi destekleyen şirketlere duyulan güvene bağlıdır. BT veya OT’de siber güvenlik ikinci planda kalırsa bu güven kaybolacaktır. KOBİ’lerin zayıf halka olması için hiçbir mazeret yoktur. Doğru korumalarla, güvenli ve sürdürülebilir bir enerji geleceğinin dayanıklı omurgası olabilirler.
Kaynak : 