1. Genel Bakış
OT dendiği zaman ilk önce otomasyon sistemleri ve elektrik üretiminde, doğalgaz taşınması ve sevkiyatında, sağlık sektöründe, rafineriler ve üretim sektöründeki yaşamsal döngünün devamını oluşturan EKS’ler akla geliyor. Aslında, hayatımızdaki ve modern ekonomideki rolü tahminimizden çok daha kritik. Otomasyon teknolojilerini hedef alacak başarılı bir saldırının hem ekonomik hem de sosyal bilançosunun oldukça ağır olacağı günümüzde herkes tarafından bilinen bir gerçek.
EKS’lerde güvenlik seviyesi endişe verici derecede ve uzaktan kontrol edilebilen EKS’lerin büyük bir oranı siber saldırılara karşı açıklar barıdırmaktadır. Öte yandan IT ve OT güvenlik mimarisi açısından birbirinden çok farklı alanlar ve EKS güvenliğine ilişkin yetişmiş insan kaynağı gerçekten de oldukça kısıtlı.
Bütün bu gelişmeler ışığında EPDK (Enerji Piyasaları Düzenleme Kurulu) enerji sektöründe siber güvenliğe ilişkin oldukça önemli bir çalışmayı tamamlayarak Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliğini Resmî Gazete’de yayınladı.
Buna göre, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esaslar belirlenmiş oldu. Bununla birlikte Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği yürürlükten kaldırıldı.
Söz konusu düzenleme ile endüstriyel kontrol sistemlerinin güvenliğinin ve güvenilirliğinin sağlanmasına ilişkin kapsam dahiline alınan kuruluşlar şu şekilde belirlenmiştir.
- Elektrik iletim lisansı sahibi kuruluşlar.
- Elektrik dağıtım lisansı sahibi kuruluşlar.
- Geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MegaWatt ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi kuruluşlar.
- Boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi kuruluşlar.
- Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi kuruluşlar.
- Doğal gaz depolama lisansı sahibi (LNG, yer altı) kuruluşlar.
- Ham petrol iletim lisansı sahibi kuruluşlar.
- Rafinerici lisansı sahibi kuruluşlar.
OSB dağıtım lisansı sahipleri ile OSB üretim lisansı sahipleri kapsam dışında tutulmuştur.
Yükümlü kuruluşların bilgi sistemleri altyapı uyumluluğu için Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından hazırlanan Bilgi ve İletişim Güvenliği Rehberini referans alması ve yetkinlik modeli kapsamında TS ISO/IEC 27001 uyumluluğunun devamı amaçlanmış, modele kapsayıcı ve EKS odaklı yeni kontrollerin eklenmesi sağlanmıştır.
2. Yetkinlik Modeli ve Ana Kontrol Başlıkları
Yetkinlik modeli, enerji alt sektörleri özelinde farklılık göstermekle birlikte aşağıdaki Ana Kontrol Başlıklarından oluşmaktadır. Ayrıca her bir ana kontrol başlığı kendi içerisinde alt kontrol başlıklarına bölünerek ele alınmaktadır.
Ana Kontrol Başlığı | Açıklama |
|---|---|
Endüstriyel Ağ Güvenliği | Endüstriyel altyapılar için yerel ağ güvenliği, geniş alan ağı güvenliği, iletişim güvenliği, protokol güvenliği, kablosuz ağ güvenliği, entegrasyon güvenliği kontrollerini içerir. |
Endüstriyel İstemci ve Sunucu Güvenliği | Endüstriyel altyapıda yer alan tüm istemci ve sunuculara ilişkin mantıksal ve fiziksel güvenlik kontrollerini içerir. |
Endüstriyel Tehdit ve Zafiyet Yönetimi | Endüstriyel altyapılarda uygulanan tehdit ve zafiyet yönetimi kontrollerini içerir. |
Endüstriyel Siber Güvenlik Risk Yönetimi | Endüstriyel altyapının dinamiklerine uygun endüstriyel siber güvenlik risk yönetimi kontrollerini içerir. |
Endüstriyel Varlık, Değişim ve Konfigürasyon Yönetimi | Endüstriyel altyapılarda bulunan varlıkların yönetimi, bileşenlerin değişim ve konfigürasyon yönetimi kontrollerini içerir. |
Endüstriyel Kimlik ve Erişim Yönetimi | Endüstriyel altyapıda bulunan bileşenler için kimlik ve erişim yönetimi kontrollerini içerir. |
Endüstriyel Olay Yönetimi ve Süreklilik | Endüstriyel siber güvenlik olay yönetimi, süreklilik, yedekleme ve yedeklilik kontrollerini içerir. |
Akıllı Cihaz Güvenliği | Sayaç ve nesnelerin interneti teknolojisinin kullanıldığı endüstriyel altyapılar için güvenlik kontrollerini içerir. |
Endüstriyel Operasyon Güvenliği | Endüstriyel operasyon güvenliğine yönelik kontrolleri içerir. |
İnsan Kaynaklari Güvenliği | Kritik enerji altyapılarında çalışan tüm personel için istihdam öncesi, sırası ve sonrasında uygulanması gereken kontrolleri içerir. |
Fiziksel Güvenlik | Endüstriyel altyapıların sektörlerine uygun, dağıtık veya tekil yapıdaki fiziksel ortamların güvenlik kontrollerini içerir. |
Tedarikçi Yönetimi | Endüstriyel altyapılar için teknoloji, insan ve altyapı tedarikçilerine ilişkin siber güvenlik kontrollerini içerir. |
PLC güvenliği | PLC güvenliğine ilişkin güvenlik kontrollerini içerir. |
Tablo 1: Yetkinlik Modeli Ana Kontrol Başlıkları
Yetkinlik modeli kapsamında üç temel yetkinlik seviyesi belirlenirken, yükümlü kuruluşların sahip olmaları gereken yetkinlik seviyesi, EPDK tarafından belirlenen sektörel kritiklik dereceleriyle tespit edilecektir.
Açıklama | Zorunlu Tamamlanma Süresi (TUS) | ||
|---|---|---|---|
Elektrik | Doğal Gaz | ||
Seviye 1 | Giriş seviyesi kontroller, bu seviyede yer alır. İlgili kontrollerin hali hazırda uygulandığı ya da kolayca uygulanabileceği değerlendirilen maddeler bu seviyede toplanır. | 12 Ay | 18 Ay |
Seviye 2 | İkinci aşama kontroller, bu seviyede yer alır. İlgili kontrollerin uygulanabilmesi için yükümlü kuruluş sistemlerinde veya süreçlerinde değişiklik yapılmasını gerektiren maddeler bu seviyede toplanır. | 18 Ay | 24 Ay |
Seviye 3 | Üçüncü seviye kontroller, bu seviyede yer alır. Bu seviyede yer alan kontroller yeni bir projelendirme ya da uzun soluklu değişim gerektirir. | 24 Ay | 30 Ay |
Ek Kontrol | Zorluk derecesi yüksek ya da uygulanması faydalı olabileceği değerlendirilen kontroller, bu seviyede toplanmış olup uygulanması zorunlu değildir. | – | – |
TUS: Tanımlanan Uygulama Süresi
Tablo 2: Temel Yekinlik Seviyeleri
Her bir seviyede yer alan kontrollerin uygulanması için hedeflenen tamamlama süresi; enerji alt sektörlerine göre farklılık göstermektedir. (Bkz. Tablo-2)
EPDK tarafından yapılacak güncellemelerle 3 yıllık periyotlarda kontrol maddeleri ve kontrol maddeleri için tespit edilen yetkinlik seviyeleri değiştirilebilecektir.
Yükümlü kuruluşların zorunlu olarak gerçekleştirmeleri gereken kontrol maddeleri belirlenirken aşağıdaki tablolarda yer alan sınıflandırma kullanılacaktır.
Sektör | Asgari Seviye | Kritiklik Derecesi |
|---|---|---|
Elektrik Dağıtım | Seviye 2 | Yükümlü kuruluşun kritiklik derecesine göre A, B veya C olabilir. |
Doğalgaz Dağıtım | Seviye 1 | Yükümlü kuruluşun kritiklik derecesine göre A, B veya C olabilir. |
Tablo 3: Sektörel Asgari Seviyeler Tablosu
Kritiklik Derecesi | Asgari Seviye | Açıklama |
|---|---|---|
A | Seviye 3 | İlgili sektörde kritiklik derecesi en yüksek olan yükümlü kuruluşların sınıfını ifade eder. |
B | Seviye 2 | İlgili sektörde kritiklik derecesi orta olan yükümlü kuruluşların sınıfını ifade eder. |
C | Seviye 1 | İlgili sektörde kritiklik derecesi beklenen seviyede olan yükümlü kuruluşların sınıfını ifade eder. |
Tablo 4: Kritiklik Derecesi Tablosu
Asgari seviye parametresi, sektörel olarak belirlenmekte olup yükümlü kuruluşlar bu seviyeye uyumlu hareket eder. Kritiklik derecesi ise EPDK tarafından çeşitli parametreler kullanılarak belirlenmekte olup belirlenen kritiklik derecelerine göre uygulanan asgari kontrol maddelerine yeni kontroller eklenebilecektir.
EPDK tarafından yapılacak güncellemelerle 3 yıllık periyotlarda sektörlerin kritiklik derecelendirmesinde kullanılan parametreler ve yükümlü kuruluşların kritiklik dereceleri değiştirilebilecektir.
3. Yetkinlik Modeli Uygulama Esasları
Yetkinlik modeli uygulama yükümlülüğü, EPDK tarafından kritiklik dereceleri belirlenip yükümlü kuruluşlara tebliğ edildiğinde başlayacak.
Yükümlü kuruluşlar, kritiklik dereceleri ve sektörleri özelinde hazırlanmış olan yetkinlik modeli asgari seviye kontrolleri kapsamında yükümlülüklerini gerçekleştirecekler. Burada önemli bir husus, Yetkinlik Seviyesinin kritiklik derecesi bildirildikten sonra Tablo 4’te karşılık gelen asgari seviye ile Tablo 3’te karşılık gelen asgari seviyelerden en yüksek olanının seçilmesi gerektiğidir.
Örneğin Elektrik Dağıtım sektöründe faaliyet gösteren bir kuruluşun kritiklik derecesi C olarak bildirilmiş olsun. Bu kritiklik derecesine karşılık gelen asgari yetkinlik seviyesi Seviye 1 olmasına rağmen Elektrik Dağıtım Sektörüne özel olarak asgari yetkinlik seviyesi Seviye 2 olduğu için kuruluş için zorunlu olarak uygulanacak kontroller hem Seviye 2 hem de Seviye 1 kontroller olacaktır.
Yükümlü kuruluşlar, hedeflenen tamamlama süresinde uygulamakla yükümlü oldukları kontrolleri değerlendirirken aşağıda yer alan uyum sınıflandırmasını kullanacaklar.
Açıklama | |
|---|---|
Tam Uyum | Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin modelde yazıldığı şekilde karşılanması durumudur. |
Kısmen Uyum | Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin tam olarak karşılanamadığı, geçici ya da iyileştirici önlemlerin uygulandığı durumdur. |
Uyumsuz | Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin hiçbir şekilde karşılanamadığı durumdur. |
Kapsam Dışı | Yetkinlik modeli kapsamında yer alan alt kontrol başlıklarında birbirine alternatif olabilecek teknoloji veya yöntem bulunması durumunda yükümlü kuruluşta mevcut bulunan teknoloji ve yönteme uygun kontrollerin uygulanması, diğer alternatif teknoloji ve yöntemlere ilişkin kontrol maddelerinin kapsam dışı bırakılması durumudur. |
Yükümlü kuruluşlar, yükümlü oldukları kontrol maddelerine hedeflenen tamamlama süresi sonunda tam uyumlu olmak zorundadır.
4. Uyumluluk ve Denetim Faaliyetleri
Yükümlü kuruluşlar yetkinlik modeline uyumluluğu üç aşamada gerçekleştirecekler;
4.1. Öz Denetim/Fark Analizi
Öz denetimler, yükümlü kuruluşların ilgili kontrol maddelerini kendi iç kaynakları ile denetlemesi sürecidir. Bu aşama, bir fark analizi olarak değerlendirilir. Bu sürecin, yükümlülüklerin başlamasından itibaren üç ay içerisinde tamamlanması gerekir.
4.2. Sektörel Denetim
Sektörel denetimler, EPDK tarafından belirlenen şartlara uyan firma ve personeli tarafından gerçekleştirilen çalışmalardır. Bu çalışmalar, bağımsız denetim olarak değerlendirilir.
4.3. EPDK Denetimleri
EPDK tarafından; öz kaynakları ile denetçi firmaları ve yükümlü kuruluşları denetlediği çalışmalardır. Bu çalışmalar çapraz denetim ya da kontrol denetimi olarak değerlendirilir. Kurum, bu denetimleri süreç içerisinde her zaman yapabilir.
4.4. Yükümlü Kuruluşlar;
- Öz denetim/fark analizini tamamladıktan sonra en geç bir ay içerisinde EPDK’ya raporlarını Enerji Piyasası Bildirim Sistemi aracılığı ile iletir.
- Her bir yetkinlik seviyesinde yer alan kontroller için; tanımlanan uygulama süreleri sonunda ilerleme raporlarını EPDK’ya Enerji Piyasası Bildirim Sistemi aracılığı ile iletir.
- Belirlenen asgari yetkinlik seviyesine ulaşmalarının ardından sektörler özelinde hazırlanan yetkinlik modeli dokümanlarında yer alan hedeflenen tamamlama süresi periyotlarında, sektörel denetimlerini tekrarlamak zorundadır.
Faaliyet | Sorumlu | Süre | Açıklama | |
0 | Kritiklik Derecesinin Bildirilmesi (T0) | EPDK | T0 | – |
1 | Yetkinlik Seviye Tespiti | YK | – | Tablo 3 ve 4 kullanılacaktır. |
2 | Öz Denetim ve Fark Analizi | YK | T2: T0 + 3 ay | – |
3 | Öz Denetim/Fark Analiz Raporu EPBS Girişleri | YK | T3: T2 + 1 ay | En geç bir ay içerisinde. |
4 | Belirlenen Asgari Yetkinlik Seviyesine Ulaşım | YK | T5 : T0 + TUS (bkz. Tablo 2) | Yükümlü oldukları kontrol maddelerine hedeflenen tamamlama süresi sonunda tam uyumlu olmak zorundadır. |
5 | İlerleme Raporları EPBS Girişleri | YK | T4: T0 + TUS (bkz. Tablo 2) | Her bir yetkinlik seviyesinde yer alan kontroller için TUS sonunda ilerleme raporları EPBS aracılığı ile iletilecektir. |
6 | Sektörel Denetim (Bağımsız Denetim) | YK + YDF | T6 : T5 + 12 ay | Yetkinlik modeline uygun seviye süreçlerinin tamamlanmasından itibaren on iki ay içerisinde yapılır. |
7 | Sektörel Denetim Sonuçları EPBS Girişleri | YK + YDF | T7 : T6 + 1 ay | – |
YK: Yükümlü Kuruluş
YDF:Yetkili Denetim Firması
TUS: Tanımlanan Uygulama Süresi
Tablo 5: Uygulama Planı
4.5. Yetkilendirilmiş Denetim Firmaları;
- Sektörel denetimleri yetkinlik modeline uygun seviye süreçlerinin tamamlanmasından itibaren on iki ay içerisinde yaparak, denetim raporlarını en geç bir ay içerisinde EPDK’ya Enerji Piyasası Bildirim Sistemi aracılığı ile iletir.
- Yükümlü kuruluşlar, öz denetim/fark analizi çalışmaları esnasında danışmanlık hizmeti almaları durumunda sektörel denetimi, danışmanlık hizmeti aldıkları firma ile gerçekleştiremez.
Danışmanlık ve sektörel denetim hizmetleri, alt yüklenici kullanmak suretiyle de gerçekleştirilemez. - Sektörel denetim, aynı firma ile üst üste en fazla üç kez gerçekleştirilebilir.
5. Denetçi Firma ve Personeli
Bilgi ve İletişim Güvenliği Denetim Rehberinde hizmet alımı ile oluşturulan denetim ekibi için belirlenen kriterlere ek olarak, yetkinlik modeli denetimlerini yapacak firma personelinde Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimleri sonrası başarı sertifikası aranacaktır.
Halihazırda eğitim içeriği, başarı sertifikası, eğitim tarihleri ve ilişkili konularda EPDK ve Merekez arasında çalışmalar devam etmektedir. Tamamlanmasını müteakip gereken tüm bilgiler paylaşılması beklenmektedir.
5.1. Denetim Yapma Yetkisinin Verilmesi
Yetkinlik modeli denetimi yapmak üzere başvuruda bulunan firmalara, EPDK tarafından mesleki ve teknik açıdan yeterliliklerinin değerlendirilmesi sonucunda gereken yeterliliğe sahip olduklarının tespit edilmesi halinde denetim yapma yetki sertifikası verilecek ve bu firma “yetkinlik modeli denetim kuruluşları” listesine eklenecektir.
Firmalar denetim yapma yetkisinin alınmasını sağlayan unsurların devamlılığı sağlamak zorunda. EPDK gerekli gördüğü durumlarda bu unsurların varlığını her zaman kontrol edebilecek. Denetim yapma yetkisi verilen firmaların unvanları, EPDK internet sitesinde yayımlanacak.
5.2. Denetim Yapma Yetkisinin Kaldırılması
Denetçi firma, sahip olması gereken nitelikleri gösterir bilgi ve belgeleri altı aylık periyotlarda EPDK’ya resmî olarak iletmekle yükümlü olacak.
Denetçi firma, sahip olması gereken niteliklerin bir veya birkaçını kaybetmesi durumunda en geç bir hafta içerisinde EPDK’yı resmî olarak bilgilendirmekle yükümlü. Söz konusu bilgilendirmenin süresi içinde yapılmadığının tespiti durumunda ilgili firmanın denetim yapma yetkisi sona erdirilecek ve tespitin yapıldığı tarihten itibaren ilgili firma üç yıl süre ile denetçi firma yetkisi alamayacak.
Denetçi firmanın EPDK tarafından istenilen bilgi ve belgeleri vermemesi halinde denetim yapma yetkisi sona erdirilecek. Denetim yapma yetkisi sona erdirilen firmaların unvanları Kurumun internet sitesinde yayımlanacak.
5.3. Değerlendirme
Söz Konusu Yönetmelil ile elektrik üretiminde, doğalgaz taşınması ve sevkiyatında, rafineriler ve üretim sektöründeki yaşamsal döngünün devamını oluşturan EKS’lerin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esaslar belirlenerek Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği yürürlükten kaldırıldı.
EPDK Yönetmelikte baz model olarak DDO Bilgi ve İletişim Güvenliği Rehberi’ni aldığını açık bir şekilde ortaya koymaktadır. Bu noktadan hareketle, kritik altyapı kategorisinde olan enerji şirketleri için zorunlu olan DDO Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimleri daha da önemli hale gelmiştir.
EPDK tarafından da söz konusu zorunluluk geçen yıl ayrıca tüm ilgili şirketlere bildirildi. Yılda bir kez yapılması gereken BİGR Uyum Denetim çalışmasının, 2023 yılı için yıl sonundan önce planlanıp gerçekleştirilmesinde büyük yarar vardır.
Bu denetim çalışması kapsamında yükümlü kuruluşların gerçekleştireceği denetim öncesi hazırlık çalışmaları (sızma testleri, öz denetimler, fark analizleri vb.), denetim esnasında ortaya çıkan uyum eylem planları ve denetim sonrası alınan aksiyonlar aynı zamanda EPDK “Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği” gereklerinin karşılanması hususunda önemli bir fayda sağlayacaktır.
Yönetmelik ve Ek’leri ile ilgili detaylı bilgiye EPDK | Enerji Piyasası Düzenleme Kurumu resmi web sitesinden ulaşabilirsiniz.
