Embed Size (px)
Citation preview
1
Türkiye elektrik dağıtım sektörüne özelendüstriyel kontrol sistemleri (EKS)güvenliği standartlarının oluşturulmasıELDER Ar-Ge Çalıştayı sunumu
2
Kritik enerjialtyapılarına ilişkinyasal çerçeve veliteratür
3
Kritik altyapıların korunması – Avrupa’daki yasal çerçeve
"TerörizmleMücadelede KritikAltyapınınKorunması" tebliğihttp://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52004DC0702&from=EN
2006 20132004
Kritik AltyapılarınKorunması için AvrupaProgramı (KAKAP) –European Programme forCritical InfrastructureProtection (EPCIP)http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2006:0786:FIN:EN:PDF
2005 2008
Dokümanda 11 ayrı sektör tanımlanarak, üye ülkelerin, sahipolduğu kritik altyapılarının bu sektörler bazında her türlü saldırı,terör, sabotaj ve kazaya karşı korunması için yapması gerekenleribelirlemiş ve ülkelerin kendi mevzuatlarını bu süreceuyumlaştırmaları gerektiğini belirtilmiştir.
2008 tarihli 114 sayılı “AvrupaKritik AltyapılarınınBelirlenmesi ve KoruyucuTedbirlerinArttırılması” başlıklı direktifhttp://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:345:0075:0082:EN:PDF
• KAKAP’ın uygulamasına ilişkin önlemler almak, aksiyon planları hazırlamak,Kritik Altyapı Uyarı Bilgi Ağı (KAUBA) kurmak, “Kritik Altyapı Koruma UzmanGrubu” oluşturmak ve bu uzmanların bilgi birikiminden yararlanmak, kritikaltyapı koruma bilgi paylaşımını sağlamak, ve karşılıklı dayanışmayı artırmak,analizler gerçekleştirmek,
• Ulusal Kritik Altyapılarının (UKA) korunmasına destek olmak,• Süreklilik planları hazırlamak,• 2007-2013 yılları için terörizm ve diğer güvenlikle ilgili riskleri önleme, hazırlık
ve sonuç yönetimi,• Avrupa Kritik Altyapıların(AKA) tanımlanması, belirlemesi ve korunmasına
yönelik önlemler geliştirmek.
KritikAltyapılarınKorunması içinAvrupa Programı(KAKAP) tebliğihttp://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52005DC0576&from=EN
Mevcut kanunlarla
Yeni kanunla
Politika / prosedür ile
Kanun değişikliği ile
Kararname ile
AB üyesiülkelerdekimevzuatyaklaşımları
4
Kritik altyapıların korunması – Türkiye’deki yasal çerçeve
5902 Sayılı"AFET VE ACİLDURUMYÖNETİMİBAŞKANLIĞININTEŞKİLAT VEGÖREVLERİHAKKINDAKANUN"
https://www.afad.gov.tr/UserFiles/File/5902%20say%C4%B1l%C4%B1%20afet%20ve%20acil%20durum%20y%C3%B6netimi%20ba%C5%9Fkanl%C4%B1%C4%9F%C4%B1n%C4%B1n%20te%C5%9Fkilat%20ve%20g%C3%B6revleri%20hakk%C4%B1nda%20kanun.pdf
Afet ve Acil Durum YönetimiBaşkanlığı
Afet ve acil durumlar ile sivil savunmaya ilişkin hizmetlerin ülke düzeyinde etkin bir şekildegerçekleştirilmesi için gerekli önlemlerin alınması ve olayların meydana gelmesinden önce hazırlıkve zarar azaltma, olay sırasında yapılacak müdahale ve olay sonrasında gerçekleştirilecekiyileştirme çalışmalarını yürüten kurum ve kuruluşlar arasında koordinasyonun sağlanmasından vebu konularda politikaların üretilmesinden, uygulanmasından AFAD sorumlu kılınmıştır.
AFAD’ın yukarıda sayılan yetki ve görevleri kapsamında, kurum ve kuruluşlarınkoordinasyonu ve teknolojik afetlerin etkin yönetimi amacıyla “KritikAltyapıların Korunması Yol Haritası Belgesi” hazırlaması ihtiyacı ortaya çıkmışve bu belge sadece AFAD tarafından değil aynı zamanda diğer kurum,kuruluşlar ve Türkiye çapındaki faydalanıcı grupların yetkililerinin de katılımıylahazırlanmıştır.
2009 2012
Ulusal SiberGüvenlikÇalışmalarınınYürütülmesi veKoordinasyonunailişkin BakanlarKurulu Kararıhttp://www.resmigazete.gov.tr/eskiler/2012/10/20121020-18-1.pdf
2014
Ulusal SiberGüvenlikStratejisi ve2013-2014Eylem Planıhttp://www.resmigazete.gov.tr/eskiler/2013/06/20130620-1-1.pdf
2013
Kritik enerji Altyapılarında Bilişim Sistemleri Güvenliği– Minimum Güvenlik Önlemlerihttps://gunce.pmum.gov.tr/dokuman/pmumduyuru/1946_001.pdf
Lisans Yönetmeliklerindeki değişiklik
5
Türkiye’de kritik (enerji) altyapıların güvenliğine ilişkin literatür
6
EKS (veya OT) nedir?OT sistemlerine BTsistemleri gibiyaklaşmak doğrumudur?
7
EPDK’nın OT ve BT tanımları
OT | Endüstriyel Kontrol Sistemleri: Enerjinin üretilmesi,enerji sağlayan ham petrol, taş kömürü ve benzerihammaddelerin işlenip tüketime hazır hale getirilmesi,enerjinin iletim veya dağıtım katmanları aracılığı ileaktarılması gibi süreçlerin bir veya birden fazla merkezdenizlenmesini, bazen de yönetilmesini sağlayan bilgi veiletişim sistemleri
BT | Kurumsal Bilişim Sistemi: Kuruluş çalışanlarıtarafından kullanılan bilgisayarlar, bunlara hizmet verendosya, uygulama, veri tabanı ve e-posta sunucusu ve ağaltyapısının tamamı
EKS; fiziksel cihazları, süreçleri veya olayları doğrudan izleyerek(monitor) ve/veya yöneterek (control) bir değişikliği saptayan veyagerçekleştiren donanım ve yazılım bütününe verilen isimdir
EKS; fiziksel cihazları, süreçleri veya olaylarıdoğrudan izleyerek (monitor) ve/veyayöneterek (control) bir değişikliği saptayanveya gerçekleştiren donanım ve yazılımbütününe verilen isimdir. EY olarak, EKS’yeyaklaşımımız daha geniş bir kavram olan veEKS’nin yanısıra endüstriyel otomasyon, süreçkontrol ağları (process control networks – PCN),dağıtık kontrol sistemleri (distributed controlsystems – DCS) vb. konuları da içerenoperasyonel teknolojiler (OT) adı altındaolmaktadır. Bu sebeple dokümanın bubölümünden sonra EKS kavramına OT ismiyleatıfta bulunulacaktır.
EY olarak, EKS kavramınayaklaşımımız operasyonelteknolojiler (OT) adıaltında olmaktadır.
8
Farklı tarihçelere sahip olan OT ve BT sistemleri, birbirlerineyakınsamaya başlamıştır
Başlangıçta, OT sistemlerinin geleneksel BT sistemleriyle hemen hemen hiçbir benzerliği olmamıştır. OT sistemleri izole sistemler olmakla beraberkendilerine has kontrol protokollerini çalıştıran belirli donanım ve yazılımlardan meydana gelmiştir. Bu sebeple yakın zamana kadar, BT alanındantamamen bağımsız bir OT dünyasının geliştiği görülmektedir. Ancak ilerleyen dönemde OT sistemleri kurumsal yönetim sistemleri ile bağlantıkurabilen ve uzaktan erişimi sağlayabilen BT çözümlerini benimsemeye başlamıştır. Buna ek olarak OT sistemleri tasarımında ve kurulumundaendüstri standardı olan bilgisayarlar, işletim sistemleri ve ağ protokolleri kullanılır duruma gelmiştir. Bu gelişmelerin sonucunda OT sistemleri, BTsistemlerine yakınsamaya başlamıştır.
9
OT sistemlerine BT sistemleri gibi yaklaşmak doğru değildir
10
OT’nin güvenlikyaklaşımı da BTgüvenliğinden farklıolmalıdır
11
Olgular ve öngörüler
Ponemon Enstitüsü’nün gerçekleştirdiğiankete katılan şirketlerin % 85'i, kontrolsistemi ağlarına başarılı bir saldırı yapmanınmümkün olduğunu kabul etmiştir.
Hâlihazırda, ticari kontrol sistemlerinin veendüstriyel otomasyon cihazlarının çoğu,internetten ücretsiz olarak indirilebilenotomatik araçlar ile ele geçirilmeyi mümkünkılan, bilinen güvenlik açıklarına sahiptir.
Symantec’e göre, 2009 yılında bilinen SCADAaçığı sayısı 14, 2010’da 15 iken, 2012 yılındadüzinelere ulaşmıştır.
Şirketlerde genellikle sabotaj gibi iç tehditlerihmal edilmekte ve kritik varlıkları korumakiçin uygun periyodik izleme ve güvenlik ilkeleriuygulanmamaktadır.
Gartner’ın öngörüsüne göre; kısa vadede G20ülkelerindeki kritik altyapılardan biri çevrimiçiolarak sabote edilecek ve zarar görecektir.
SANS Enstitüsü’ne göre; SCADA sistemaçıklarına ilişkin bilgiler yayınlandıkça, artansayıda kullanıcı açık SCADA portu taramasıyapacaktır.
Yönetimsel süreçlere ilişkin teknik güvenlik veetkililik alanlarındaki en iyi uygulamalarıngelişmesi yaklaşık 15 yıl sürmüş ve nihayet BTdünyasının olgun yöntem ve standartları ortayaçıkmıştır. Özellikle yasal düzenleyicilerin baskısıve yaşanan güvenlik ihlalleri, BT kontrolleri vegüvenliğinin gelişimi için itici güç olmuştur. Ekolarak, ticari gereklilikler BT’nin maliyetaçısından etkin bir şekilde işletilmesinisağlamıştır. Günümüzde kurumsal BT mimarisiprensipleri, karmaşık BT ortamlarını etkin birşekilde yönetmek için model olarakkullanılmaktadır.
OT tarafında kurulumlar ilk başlarda sadeceyerel tehditler gözetilerek yapılmıştır. Bununsebebi bileşenlerin çoğunun fiziksel olarakemniyet altına alınmış sahalarda konumlanmasıve bu bileşenlerin BT ağlarına veya sistemlerinebağlı olmamasıdır. Ancak OT sistemleriningiderek BT ağlarıyla bütünleşmesi, dışdünyadan izole olan durumunu önemli ölçüdeortadan kaldırmış ve uzaktan / dış tehditlere
karşı güvenlik ihtiyacını ortaya çıkarmıştır. ArtıkOT güvenliğine ilişkin daha fazla konu BTgüvenliğindeki konularla – özellikle iletişimağına ilişkin olanlarla – benzerlik göstermeyebaşlamıştır. Son dönemde, OT alanında sibergüvenlik açıkları ve vakaları ihtimalini artırandüşük maliyetli IP (Internet protocol – internetprotokolü) cihazları yaygın bir şekildegörülmeye başlamıştır.
OT iletişim ağlarındaki IP kullanımının yanı sıra,gerçek zamanlı şebeke / üretim verisi erişimineilişkin iş gereksinimleri, OT sistemlerinin işletmeağlarıyla ve diğer dış ağlarla bağlı olmasınıgerektirmekte ve büyük güvenlik sorunlarınıortaya çıkarmaktadır.
Bu bilgiler ışığında; OT güvenliği tanımı“insanları, varlıkları ve bilgiyi korumak vefiziksel cihazları, süreçleri ve olaylarıyönetmek ve/veya izlemek için kullanılanuygulamalar ve teknolojiler” şeklindeyapılabilir.
OT güvenliği tanımı “insanları, varlıkları ve bilgiyi korumak vefiziksel cihazları, süreçleri ve olayları yönetmek ve/veya izlemekiçin kullanılan uygulamalar ve teknolojiler” şeklinde yapılabilir
12
Sıklıkla vurgulandığı üzere OTsistemlerini BT sistemlerinden ayıran,risk ve öncelikleri de içeren birçok tipiközellik vardır. OT güvenliğinde yaşanansıkıntıların; ulusal ekonominin zarargörmesi, gizli bilgilerin riske atılması veşebeke / üretim kesintilerinin sebepolduğu finansal problemlere ek olarak,insan sağlığı ve hayatını ilgilendirenriskler ve ciddi çevresel zararlar gibisonuçları olabilmektedir. OTgüvenliğindeki sorunlar sonucundaortaya çıkan OT sistemi aksamalarınınkelimenin tam anlamıyla insan hayatınısonlandırma ve çevreye büyük zararlarverme potansiyeli vardır. Bunlar, BTsistemlerindeki güvenlik ihmallerisonucunda ortaya çıkan veri kaybı vekurumsal kimliğin zarar görmesi gibiendişelerin oldukça ötesinde konulardır.
Sözü edilen farklılıklardan dolayı; BTsistemlerine özel alanlarda geliştirilmişolan güvenlik çözümleri OT sistemleriiçin uygulamaya koyulurken özeltedbirlerin alınması ve çoğu durumdaOT ortamına özel yeni güvenlikçözümlerinin oluşturulmasıgerekmektedir.
Buna ek olarak, enerji şirketleriningüvenlik ve verimliliğe ilişkin belirlemişolduğu hedefler, kontrol sistemlerinintasarımı ve işletimine ilişkin güvenlikkonularıyla çatışabilmektedir. Örneğinşifre doğrulama ve yetkilendirmeprosedürleri OT sistemlerindeki acildurum aksiyonlarını engelleyiciolmamalı, ölümlere sebebiyetverebilecek acil durumlardateknisyenler karmaşık bir şifreyihatırlamak zorunda bırakılmamalıdır.
BT ve OT güvenliği arasındaki belirgin farklar mevcuttur
13
AR-GE Projesi Önerisi
14
EPDK’nın, enerji şirketlerininOT sistemlerini ISO 27001standartlarına göreişletmesini zorunlu kılması,OT güvenliği için önemli birilk adımdır. Ancak bilinmelidirki; ISO 27001 standardı dadâhil olmak üzere, OTgüvenliğinin her alanınıiçeren, kapsamlı veözelleşmiş bir standarthâlihazırdabulunmamaktadır.
Bu sebepleelektrik dağıtımsektörüne özel birEKS güvenliğistandart setioluşturulmasınıönermekteyiz.
ISO 27001 standardı da dâhil olmak üzere, OT güvenliğinin heralanını içeren, kapsamlı ve özelleşmiş bir standart hâlihazırdabulunmamaktadır
15
EY | Assurance | Tax | Transactions | Advisory
EY Hakkında
EY bağımsız denetim, vergi, kurumsal finansman ve danışmanlıkhizmetlerinde bir dünya lideridir. Anlayışımız ve kalitelihizmetlerimiz dünya ekonomisi ve sermaye piyasalarında güveninoluşmasına katkıda bulunmaktadır. EY, güçlü yönetim ekibiyletüm paydaş gruplarına verdiği sözleri yerine getirmekte ve buşekilde çalışanları, müşterileri ve içinde yer aldığı diğer çevreleriçin daha iyi bir çalışma hayatı oluşturulmasında önemli bir rolüstlenmektedir.
EY adı küresel organizasyonu temsil eder ve Ernst & Young GlobalLimited'in her biri ayrı birer tüzel kişiliğe sahip olan, bir veya dahaçok, üye firmasını temsil edebilir. Sınırlı sorumlu bir Birleşik Krallıkşirketi olan Ernst & Young Global Limited müşteri hizmetisunmamaktadır. Daha fazla bilgi için lütfen ey.com adresiniziyaret ediniz.
© 2015 EY Türkiye.
Tüm Hakları Saklıdır.
Sadece genel bilgi verme amacıyla sunulan bu yayın muhasebe,vergi veya diğer profesyonel hizmetler alanında geçerli bir kaynakolarak kullanılması amacıyla hazırlanmamıştır. Belirli bir konuyailişkin olarak ilgili danışmana başvurulmalıdır.
ey.com/tr
vergidegundem.com
facebook.com/ErnstYoungTurkiye
twitter.com/EY_Turkiye
