Türkiye elektrik dağıtım sektörüne özel endüstriyel kontrol sistemleri (EKS) güvenliği standartlarının oluşturulması ELDER Ar-Ge Çalıştayı sunumu 1
Kritik enerji altyapılarına ilişkin yasal çerçeve ve literatür 2
Kritik altyapıların korunması Avrupa daki yasal çerçeve "Terörizmle Mücadelede Kritik Altyapının Korunması" tebliği http://eurlex.europa.eu/legalcontent/en/txt/pdf/? uri=celex:52004dc07 02&from=EN Kritik Altyapıların Korunması için Avrupa Programı (KAKAP) tebliği http://eurlex.europa.eu/legalcontent/en/txt/pdf /?uri=celex:52005 DC0576&from=EN Kritik Altyapıların Korunması için Avrupa Programı (KAKAP) European Programme for Critical Infrastructure Protection (EPCIP) http://eurlex.europa.eu/lexuriserv/lexuris erv.do?uri=com:2006:0786:fin:e N:PDF 2008 tarihli 114 sayılı Avrupa Kritik Altyapılarının Belirlenmesi ve Koruyucu Tedbirlerin Arttırılması başlıklı direktif http://eurlex.europa.eu/lexuriserv/lexuriserv.d o?uri=oj:l:2008:345:0075:0082:en: PDF 2004 2005 2006 2008 2013 Dokümanda 11 ayrı sektör tanımlanarak, üye ülkelerin, sahip olduğu kritik altyapılarının bu sektörler bazında her türlü saldırı, terör, sabotaj ve kazaya karşı korunması için yapması gerekenleri belirlemiş ve ülkelerin kendi mevzuatlarını bu sürece uyumlaştırmaları gerektiğini belirtilmiştir. AB üyesi ülkelerdeki mevzuat yaklaşımları Politika / prosedür ile Mevcut kanunlarla KAKAP ın uygulamasına ilişkin önlemler almak, aksiyon planları hazırlamak, Kritik Altyapı Uyarı Bilgi Ağı (KAUBA) kurmak, Kritik Altyapı Koruma Uzman Grubu oluşturmak ve bu uzmanların bilgi birikiminden yararlanmak, kritik altyapı koruma bilgi paylaşımını sağlamak, ve karşılıklı dayanışmayı artırmak, analizler gerçekleştirmek, Ulusal Kritik Altyapılarının (UKA) korunmasına destek olmak, Süreklilik planları hazırlamak, 2007-2013 yılları için terörizm ve diğer güvenlikle ilgili riskleri önleme, hazırlık ve sonuç yönetimi, Avrupa Kritik Altyapıların(AKA) tanımlanması, belirlemesi ve korunmasına yönelik önlemler geliştirmek. Yeni kanunla Kararname ile Kanun değişikliği ile 3
Kritik altyapıların korunması Türkiye deki yasal çerçeve Afet ve acil durumlar ile sivil savunmaya ilişkin hizmetlerin ülke düzeyinde etkin bir şekilde gerçekleştirilmesi için gerekli önlemlerin alınması ve olayların meydana gelmesinden önce hazırlık ve zarar azaltma, olay sırasında yapılacak müdahale ve olay sonrasında gerçekleştirilecek iyileştirme çalışmalarını yürüten kurum ve kuruluşlar arasında koordinasyonun sağlanmasından ve bu konularda politikaların üretilmesinden, uygulanmasından AFAD sorumlu kılınmıştır. 5902 Sayılı "AFET VE ACİL DURUM YÖNETİMİ BAŞKANLIĞININ TEŞKİLAT VE GÖREVLERİ HAKKINDA KANUN" Afet ve Acil Durum Yönetimi Başkanlığı https://www.afad.g ov.tr/userfiles/file/ 5902%20say%C4%B 1l%C4%B1%20afet% 20ve%20acil%20dur um%20y%c3%b6net imi%20ba%c5%9fka nl%c4%b1%c4%9f% C4%B1n%C4%B1n%2 0te%C5%9Fkilat%20 ve%20g%c3%b6revl eri%20hakk%c4%b1 nda%20kanun.pdf Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi ve Koordinasyonuna ilişkin Bakanlar Kurulu Kararı http://www.resmigaze te.gov.tr/eskiler/2012 /10/20121020-18- 1.pdf Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı http://www.resm igazete.gov.tr/es kiler/2013/06/2 0130620-1- 1.pdf Lisans Yönetmeliklerindeki değişiklik Kritik enerji Altyapılarında Bilişim Sistemleri Güvenliği Minimum Güvenlik Önlemleri https://gunce.pmum.gov.tr/dokuman/pmumduyuru/1946_001.pdf 2009 2012 2013 2014 AFAD ın yukarıda sayılan yetki ve görevleri kapsamında, kurum ve kuruluşların koordinasyonu ve teknolojik afetlerin etkin yönetimi amacıyla Kritik Altyapıların Korunması Yol Haritası Belgesi hazırlaması ihtiyacı ortaya çıkmış ve bu belge sadece AFAD tarafından değil aynı zamanda diğer kurum, kuruluşlar ve Türkiye çapındaki faydalanıcı grupların yetkililerinin de katılımıyla hazırlanmıştır. 4
Türkiye de kritik (enerji) altyapıların güvenliğine ilişkin literatür 5
EKS (veya OT) nedir? OT sistemlerine BT sistemleri gibi yaklaşmak doğru mudur? 6
EKS; fiziksel cihazları, süreçleri veya olayları doğrudan izleyerek (monitor) ve/veya yöneterek (control) bir değişikliği saptayan veya gerçekleştiren donanım ve yazılım bütününe verilen isimdir EKS; fiziksel cihazları, süreçleri veya olayları doğrudan izleyerek (monitor) ve/veya yöneterek (control) bir değişikliği saptayan veya gerçekleştiren donanım ve yazılım bütününe verilen isimdir. EY olarak, EKS ye yaklaşımımız daha geniş bir kavram olan ve EKS nin yanısıra endüstriyel otomasyon, süreç kontrol ağları (process control networks PCN), dağıtık kontrol sistemleri (distributed control systems DCS) vb. konuları da içeren operasyonel teknolojiler (OT) adı altında olmaktadır. Bu sebeple dokümanın bu bölümünden sonra EKS kavramına OT ismiyle atıfta bulunulacaktır. EPDK nın OT ve BT tanımları OT Endüstriyel Kontrol Sistemleri: Enerjinin üretilmesi, enerji sağlayan ham petrol, taş kömürü ve benzeri hammaddelerin işlenip tüketime hazır hale getirilmesi, enerjinin iletim veya dağıtım katmanları aracılığı ile aktarılması gibi süreçlerin bir veya birden fazla merkezden izlenmesini, bazen de yönetilmesini sağlayan bilgi ve iletişim sistemleri BT Kurumsal Bilişim Sistemi: Kuruluş çalışanları tarafından kullanılan bilgisayarlar, bunlara hizmet veren dosya, uygulama, veri tabanı ve e-posta sunucusu ve ağ altyapısının tamamı EY olarak, EKS kavramına yaklaşımımız operasyonel teknolojiler (OT) adı altında olmaktadır. 7
Farklı tarihçelere sahip olan OT ve BT sistemleri, birbirlerine yakınsamaya başlamıştır Başlangıçta, OT sistemlerinin geleneksel BT sistemleriyle hemen hemen hiçbir benzerliği olmamıştır. OT sistemleri izole sistemler olmakla beraber kendilerine has kontrol protokollerini çalıştıran belirli donanım ve yazılımlardan meydana gelmiştir. Bu sebeple yakın zamana kadar, BT alanından tamamen bağımsız bir OT dünyasının geliştiği görülmektedir. Ancak ilerleyen dönemde OT sistemleri kurumsal yönetim sistemleri ile bağlantı kurabilen ve uzaktan erişimi sağlayabilen BT çözümlerini benimsemeye başlamıştır. Buna ek olarak OT sistemleri tasarımında ve kurulumunda endüstri standardı olan bilgisayarlar, işletim sistemleri ve ağ protokolleri kullanılır duruma gelmiştir. Bu gelişmelerin sonucunda OT sistemleri, BT sistemlerine yakınsamaya başlamıştır. 8
OT sistemlerine BT sistemleri gibi yaklaşmak doğru değildir 9
OT nin güvenlik yaklaşımı da BT güvenliğinden farklı olmalıdır 10
OT güvenliği tanımı insanları, varlıkları ve bilgiyi korumak ve fiziksel cihazları, süreçleri ve olayları yönetmek ve/veya izlemek için kullanılan uygulamalar ve teknolojiler şeklinde yapılabilir Yönetimsel süreçlere ilişkin teknik güvenlik ve etkililik alanlarındaki en iyi uygulamaların gelişmesi yaklaşık 15 yıl sürmüş ve nihayet BT dünyasının olgun yöntem ve standartları ortaya çıkmıştır. Özellikle yasal düzenleyicilerin baskısı ve yaşanan güvenlik ihlalleri, BT kontrolleri ve güvenliğinin gelişimi için itici güç olmuştur. Ek olarak, ticari gereklilikler BT nin maliyet açısından etkin bir şekilde işletilmesini sağlamıştır. Günümüzde kurumsal BT mimarisi prensipleri, karmaşık BT ortamlarını etkin bir şekilde yönetmek için model olarak kullanılmaktadır. OT tarafında kurulumlar ilk başlarda sadece yerel tehditler gözetilerek yapılmıştır. Bunun sebebi bileşenlerin çoğunun fiziksel olarak emniyet altına alınmış sahalarda konumlanması ve bu bileşenlerin BT ağlarına veya sistemlerine bağlı olmamasıdır. Ancak OT sistemlerinin giderek BT ağlarıyla bütünleşmesi, dış dünyadan izole olan durumunu önemli ölçüde ortadan kaldırmış ve uzaktan / dış tehditlere karşı güvenlik ihtiyacını ortaya çıkarmıştır. Artık OT güvenliğine ilişkin daha fazla konu BT güvenliğindeki konularla özellikle iletişim ağına ilişkin olanlarla benzerlik göstermeye başlamıştır. Son dönemde, OT alanında siber güvenlik açıkları ve vakaları ihtimalini artıran düşük maliyetli IP (Internet protocol internet protokolü) cihazları yaygın bir şekilde görülmeye başlamıştır. OT iletişim ağlarındaki IP kullanımının yanı sıra, gerçek zamanlı şebeke / üretim verisi erişimine ilişkin iş gereksinimleri, OT sistemlerinin işletme ağlarıyla ve diğer dış ağlarla bağlı olmasını gerektirmekte ve büyük güvenlik sorunlarını ortaya çıkarmaktadır. Bu bilgiler ışığında; OT güvenliği tanımı insanları, varlıkları ve bilgiyi korumak ve fiziksel cihazları, süreçleri ve olayları yönetmek ve/veya izlemek için kullanılan uygulamalar ve teknolojiler şeklinde yapılabilir. Olgular ve öngörüler Ponemon Enstitüsü nün gerçekleştirdiği ankete katılan şirketlerin % 85'i, kontrol sistemi ağlarına başarılı bir saldırı yapmanın mümkün olduğunu kabul etmiştir. Hâlihazırda, ticari kontrol sistemlerinin ve endüstriyel otomasyon cihazlarının çoğu, internetten ücretsiz olarak indirilebilen otomatik araçlar ile ele geçirilmeyi mümkün kılan, bilinen güvenlik açıklarına sahiptir. Symantec e göre, 2009 yılında bilinen SCADA açığı sayısı 14, 2010 da 15 iken, 2012 yılında düzinelere ulaşmıştır. Şirketlerde genellikle sabotaj gibi iç tehditler ihmal edilmekte ve kritik varlıkları korumak için uygun periyodik izleme ve güvenlik ilkeleri uygulanmamaktadır. Gartner ın öngörüsüne göre; kısa vadede G20 ülkelerindeki kritik altyapılardan biri çevrimiçi olarak sabote edilecek ve zarar görecektir. SANS Enstitüsü ne göre; SCADA sistem açıklarına ilişkin bilgiler yayınlandıkça, artan sayıda kullanıcı açık SCADA portu taraması yapacaktır. 11
BT ve OT güvenliği arasındaki belirgin farklar mevcuttur Sıklıkla vurgulandığı üzere OT sistemlerini BT sistemlerinden ayıran, risk ve öncelikleri de içeren birçok tipik özellik vardır. OT güvenliğinde yaşanan sıkıntıların; ulusal ekonominin zarar görmesi, gizli bilgilerin riske atılması ve şebeke / üretim kesintilerinin sebep olduğu finansal problemlere ek olarak, insan sağlığı ve hayatını ilgilendiren riskler ve ciddi çevresel zararlar gibi sonuçları olabilmektedir. OT güvenliğindeki sorunlar sonucunda ortaya çıkan OT sistemi aksamalarının kelimenin tam anlamıyla insan hayatını sonlandırma ve çevreye büyük zararlar verme potansiyeli vardır. Bunlar, BT sistemlerindeki güvenlik ihmalleri sonucunda ortaya çıkan veri kaybı ve kurumsal kimliğin zarar görmesi gibi endişelerin oldukça ötesinde konulardır. Sözü edilen farklılıklardan dolayı; BT sistemlerine özel alanlarda geliştirilmiş olan güvenlik çözümleri OT sistemleri için uygulamaya koyulurken özel tedbirlerin alınması ve çoğu durumda OT ortamına özel yeni güvenlik çözümlerinin oluşturulması gerekmektedir. Buna ek olarak, enerji şirketlerinin güvenlik ve verimliliğe ilişkin belirlemiş olduğu hedefler, kontrol sistemlerinin tasarımı ve işletimine ilişkin güvenlik konularıyla çatışabilmektedir. Örneğin şifre doğrulama ve yetkilendirme prosedürleri OT sistemlerindeki acil durum aksiyonlarını engelleyici olmamalı, ölümlere sebebiyet verebilecek acil durumlarda teknisyenler karmaşık bir şifreyi hatırlamak zorunda bırakılmamalıdır. 12
AR-GE Projesi Önerisi 13
ISO 27001 standardı da dâhil olmak üzere, OT güvenliğinin her alanını içeren, kapsamlı ve özelleşmiş bir standart hâlihazırda bulunmamaktadır EPDK nın, enerji şirketlerinin OT sistemlerini ISO 27001 standartlarına göre işletmesini zorunlu kılması, OT güvenliği için önemli bir ilk adımdır. Ancak bilinmelidir ki; ISO 27001 standardı da dâhil olmak üzere, OT güvenliğinin her alanını içeren, kapsamlı ve özelleşmiş bir standart hâlihazırda bulunmamaktadır. Bu sebeple elektrik dağıtım sektörüne özel bir EKS güvenliği standart seti oluşturulmasını önermekteyiz. 14
EY Assurance Tax Transactions Advisory EY Hakkında EY bağımsız denetim, vergi, kurumsal finansman ve danışmanlık hizmetlerinde bir dünya lideridir. Anlayışımız ve kaliteli hizmetlerimiz dünya ekonomisi ve sermaye piyasalarında güvenin oluşmasına katkıda bulunmaktadır. EY, güçlü yönetim ekibiyle tüm paydaş gruplarına verdiği sözleri yerine getirmekte ve bu şekilde çalışanları, müşterileri ve içinde yer aldığı diğer çevreler için daha iyi bir çalışma hayatı oluşturulmasında önemli bir rol üstlenmektedir. EY adı küresel organizasyonu temsil eder ve Ernst & Young Global Limited'in her biri ayrı birer tüzel kişiliğe sahip olan, bir veya daha çok, üye firmasını temsil edebilir. Sınırlı sorumlu bir Birleşik Krallık şirketi olan Ernst & Young Global Limited müşteri hizmeti sunmamaktadır. Daha fazla bilgi için lütfen ey.com adresini ziyaret ediniz. 2015 EY Türkiye. Tüm Hakları Saklıdır. Sadece genel bilgi verme amacıyla sunulan bu yayın muhasebe, vergi veya diğer profesyonel hizmetler alanında geçerli bir kaynak olarak kullanılması amacıyla hazırlanmamıştır. Belirli bir konuya ilişkin olarak ilgili danışmana başvurulmalıdır. ey.com/tr vergidegundem.com facebook.com/ernstyoungturkiye twitter.com/ey_turkiye 15