Endüstriyel Kontrol Sistemleri Siber Dayanıklılık Vizyon Planı

Biznet Bilişim Ankara, Şubat 2018

2

Amaç ve Kapsam Bu vizyon planı ile amaç, ulusal Endüstriyel Kontrol Sistemleri’nin ve bu sistemlere bağlı kritik altyapıların siber dayanıklılığını artırmak adına ortak akıl oluşturulması ve bu sorumluluğunun ilgili taraflarca paylaşılmasını sağlamaktır. Bu bağlamda, öncelikli olarak oluşturulacak çekirdek bir kadro ile Endüstriyel Kontrol Sistemleri Siber Güvenlik Ekosisteminin kurulması önerilmektedir.

Hedef Endüstriyel Kontrol Sistemleri Siber Güvenlik Ekosistemi’nin temel amacı, ilgili uluslararası ekosistemlerle aktif etkileşimli yerel bir platform kurarak, ülkemizin kritik altyapıların siber güvenlik dayanıklılığının arttırılmasıdır. Bu amaçla, uzman kaynağının yetiştirilmesi, bilgi birikiminin oluşturulması ve küresel örnekleri ile rekabet edebilecek yerli ürün ve hizmetlerinin geliştirilmesi hedeflenmektedir. Ekosistem kapsamında, hizmet sağlayıcı firmalar ve işletmeler (“asset owners”), kamu ve akademilerle (üniversite, araştırma enstitüleri v.b) birlikte üçlü güvenlik sarmalı oluşturulmalıdır. Bu üçlü sarmal yapısı kamu, regülasyon kurumları ve gönüllü organizasyonlarla desteklenmelidir. Ülkemizde kritik altyapıların siber güvenliğini temin etmek üzere üç ana çatı adımın planlanmasının fayda sağlayacağı öngörülmektedir. Bu adımların hayata geçirilmesi ile ulaşılması hedeflenen vizyon ve adımların ne şekilde yürütüleceği, takip eden bölümlerde detaylı olarak açıklanmıştır.

Ad

ım 1 Ekosistem

Kurulumu

Ad

ım 2 Çekirdek

Kadronun Yetiştirilmesi A

dım

3 Olgunluk Modeli

3

Ekosistem Ekosistem bünyesinde bütün kurumlar paydaş olarak yer almalıdır. Paydaşlar arasındaki ilişkinin, karşılıklı güven ve ortak kazanç olguları üzerine inşa edilmesi gereklidir. Paydaşlar iki ana kategoride gruplanabilir:

• Kurucu paydaşlar: Ekosistemin kurulmasına öncülük eden ve kurulum aşamasından itibaren ekosistemin içerisinde yer alan kurumlar.

• Üye paydaşlar: Kurulum sonrası ekosistem bünyesine dahil olan kurumlar.

Ekosistem ve Paydaşlar Bu dokümanın başında önerilen üçlü sarmalda yer alacak farklı paydaşların oluşturduğu ekosisteme ilişkin üst seviye bir görsel aşağıda sunulmuştur.

Paydaşlar arası etkileşim Her bir paydaş ekosistem bünyesinde karşılıklı güven ve ortak kazanç ilkesi ile aşağıdaki katkıları sağlayabiliyor olması beklenmektedir.

1. İşletmeler (“Asset Owners”) a. Yaşanmış ihlal ya da tehditlere ilişkin bilgi paylaşımı ve analizler b. LAB için süreç (“process”) bilgisi ve altyapı/ekipman sağlama c. İş ve staj imkânı sağlanması

2. Hizmet ve Teknoloji Sağlayıcılar a. TR EKS CERT kurulumu ve işletimi b. EKS Siber İstihbarat desteği c. EKS siber güvenlik eğitimleri d. LAB için araştırmacı desteği sağlama e. Üniversite araştırmacılarının EKS SG konularında yapacağı uluslararası sunum

ve konferans için sponsorluk sağlanması f. İş ve staj imkânı sağlanma

EKOSİSTEM

Enerji Firmaları

Hizmet & Teknoloji

Sağlayıcıları

Gönüllü Kuruluşlar

Kamu ve Regülasyon Kurumları

Üniversite ve

Araştırma Enstitüleri

Uluslararası Kuruluşlar

4

3. Akademi a. Araştırmacı kaynağının sağlanması b. İnsan kaynağı yetiştirme c. EKS siber güvenlik laboratuvarının kurulumu ve işletimi d. Teknik araştırmalar e. EKS siber güvenlik yüksek lisans tez seviyesinde araştırma sağlanması f. Referans dokümanların yayımlanması

Kamu, regülasyon kurumları ve gönüllü kuruluşlar oluşturulacak yol haritası kapsamında destekleyici bir rol üstlenmelidir. Bunlar temel anlamda aşağıdaki gibi listelenebilir.

• Rehberlik

• Regülasyon

• Standartlaşma

• Yaygınlaştırma

Eğitim Seferberliği Hayata geçirilmesi planlanan tüm aksiyonlar konsolide bir bilgi birikimi gerektirmektedir. Bu bağlamda eğitmen eğitimleri stratejisi ile eğitim seferberliği başlatılmasının yararlı olacağı değerlendirilmektedir. Endüstriyel Kontrol Sistemleri’nde siber dayanıklılığının arttırılması için aşağıdaki konu başlıklarında bilgi birikiminin arttırılması önem taşımaktadır. Eğitmen eğitimlerinin tamamlanması ile birlikte yaygınlaştırma faaliyetleri yürütülmelidir.

1. Endüstriyel Uzmanlık a. Process bilgisi b. Endüstriyel protokoller, endüstriyel ağlar c. Endüstriyel yazılımlar d. Endüstriyel ürünler e. Destekleyici eğitimler (safety, iş sağlığı, iş güvenliği, hazop v.b)

2. Siber Güvenlik a. Savunma teknikleri eğitimleri b. Saldırı teknikleri eğitimleri c. Süreç eğitimleri

3. İş sürekliliği a. İş sürekliliği b. Felaketten kurtarma

Elde edinilen bilgiler, saha bilgisi ile harmanlanıp pratik uygulamalara dönüştürülmeli ve yaygınlaştırılmalıdır. Yaygınlaştırma çalışmaları;

1. Farkındalık ve tutundurma programları 2. Dijital eğitim platformu 3. Sınıf içi eğitimler 4. Üniversite ve araştırma enstitülerinde ders, tez, doktora ile desteklenmelidir.

5

Olgunluk Modeli Ekosistemin’in kurulmasını takiben kamu kurumlarının desteğiyle oluşturulacak çekirdek bir kadro aracılığıyla tüm sektördeki kuruluşları kapsayacak bir olgunluk modelinin oluşturulması önerilmektedir. Bu olgunluk modeli, kuruluşların mevcut durumlarının belirlenmesine ve aşamalı bir mimari oluşturulmasına olanak tanımalıdır. Mevcut durum tespitiyle birlikte, olgunluk modelinde ulaşılması hedeflenen seviye de adreslenmelidir. Mevcut durumdan hedeflenen seviyeye geçiş için yapılması gerekenler bir iyileştirme planı kapsamında ele alınmalıdır. Bu noktada kritik başarı faktörleri aşağıdakiler olacaktır.

• Olgunluk modelini belirleme

• Olgunluk modeline göre mevcut durum belirleme

• İyileştirme planı ve aksiyonların alınması (Bu aksiyonlar eğitim ve gerekli süreçlerin oluşturulmasına ek olarak teknik önlemleri de içermelidir. Alınabilecek temel önlemler aşağıda detaylandırılmıştır.)

Olgunluk modelinin oluşturulması ile birlikte ulaşılması gereken vizyon aşağıda bölümler halinde adreslenmiştir.

Vizyon Siber dayanıklılığın sağlanması ve sürdürülmesi için oluşturulması gereken vizyon üç temel kategori altında yer alabilir.

1. TR-E-ISAC

Ekosistem bünyesinde enerji güvenliğinin başlangıç noktası olarak seçilmesine yarar görülmektedir. Bu bağlamda çatı yapı olarak TR-E-ISAC kurulmasının faydalı olacağı değerlendirilmektedir. TR-E-ISAC enerji ekosisteminde yer alan tüm paydaşların teknik çalışmaları yürüteceği bilgi paylaşım çatısı olarak düşünülebilir. Bu alanda ulaşılması gereken kilometre taşları aşağıda listelenmiştir.

a. Bilgi paylaşım platformu b. Enerji ve EKS özelinde siber istihbarat c. Saldırı ve savunmaya yönelik teknik araştırma laboratuvarı d. Ulusal test yatakları (National test-beds)

TR-E-ISAC

• TR-EKS-CERT

• Bilgi Paylaşım Altyapısı

Yerli Çözümler

• Girişim Programı

• Yatırım Ajansı

• Yerli ürün, protokoller

Tutundurma ve Sürekli İyileştirme

• Olgunluk Modeli

• Dayanıklılığın attrılması ve sürdürülmesi

6

2. Yerli Çözüm Geliştirme Siber dayanıklılığın sağlanması ve sürdürülmesi adına en önemli noktalardan biri yerli ürün ve hizmetlerin geliştirilmesidir. Bu yerli ürün ve hizmetlerin kritik başarı faktörü küresel rakipleri ile rekabet edebilir şekilde konumlandırılabilir olmasıdır. Bu bağlamda ülkemizde yer alan girişim ekosistemlerinde bu alana özel destek programlarının sağlanmasında yönünde adımlar atılması gereklidir. Bununla birlikte özel bir yatırım ajansı kurulmasının faydalı olacağı değerlendirilmektedir. Bir “Venture Capital” yapılanması ile girişimlerin küresel pazarlara hazırlanması, küresel oyuncuların yerlileştirilmesi de önem arz etmektedir. Küresel başarılı örnekler incelendiğinde siber güvenlik alanında özel teşvik programlarının geliştirildiği görülmüştür. Ülke kültürümüze uygun teşvik programlarının geliştirilmesinin de yararlı olacaktır. Bu noktada çalışmaların üç bacaktan ilerlemesi öngörülmektedir.

a. Yerli siber güvenlik ürünleri b. Yerli endüstriyel ürünler c. Yerli endüstriyel protokoller

3. Tutundurma ve Sürekli İyileştirme

Siber dayanıklılığın sağlanması kadar sürdürülmesi de ayrı bir önem taşımaktadır. Tutundurma ve sürekli iyileştirme faaliyetleri kapsamında aşağıda detayları verilen konuların ele alınması ve gerekli aksiyonların planlanması önerilmektedir.

a. Rehberlik ve Danışma Kurumların ve bireylerin farkındalığının arttırılması adına rehberlerin hazırlanması ve danışma mekanizmalarının kurulması önem arz etmektedir.

b. Regülasyon Siber dayanıklılığın sağlanması adına kritik altyapıların korunmasını temin etmek üzere regülasyonların düzenlenmesi gerekmektedir. Bu regülasyonlar olgunluk modeli kapsamında oluşturulmalı, standartlar ve akreditasyon faaliyetleri ile bir bütün olarak ele alınmalıdır. Regülasyonlar kapsamında olgunluk modeline uygun olarak denetimler gerçekleştirilmeli, bu denetimleri yapabilecek kuruluşlar belirlenmeli, ek olarak denetleyici kuruluşların denetimi de bu süreç kapsamında ele alınmalıdır.

c. Akreditasyon Regülasyonlar kapsamında faaliyet gösterecek danışmanlık ve denetim kuruluşları ve lisans sahibi kuruluşlar belirli bir akreditasyona tabi tutulmalıdır. Bu akreditasyonlar hem firmalar hem de çalışanlar için geçerli olmalıdır. Teknik yeterliliğin yanı sıra merkezi güvenlik soruşturma mekanizmaları da sürece dahil edilmelidir.

d. Standartlaşma Regülasyon, akreditasyon ve denetimlerin standartlarla desteklenmesi son derece önemlidir. Farklı kişi ve kurumların aynı kalitede çıktılar üretmesini sağlamak adına, bu süreç standartlaşma ile desteklenmelidir.

a. Ulusal faaliyetler Gerçekleştirilen tüm iyileştirme faaliyetleri belirli periyotlarla test edilmeli ve bu test süreçleri ulusal boyutta yürütülmelidir. Tüm paydaşların faydalanacağı ulusal tatbikatlar ve çalıştaylar düzenlenmelidir. Siber dayanıklılığın sürekli teste tabi tutulmasını sağlayacak masa başı ve saha tatbikatları gerçekleştirilmeli, ulusal simülasyon sistemleri devreye alınmalıdır.

7

Örnek ve Referanslar

Alan Örnek Akademi ve Test Yatakları Hollanda, National Testbed

A.B.D, Idaho National Laboratory Singapur, SUTD

Ulusal Tatbikat Gridex, Amerika

Ekosistem HSD, Hollanda E-ISAC Amerika EE-ISAC Hollanda JP-ISAC Japonya ICS-CERT Amerika

Siber Milliyetçilik ve Yerlileşme Çin Amerika İngiltere

Teşvik Askerlik muafiyeti, İsrail