IV.GüçveEnerjiSistemleriSempozyumu

AkıllıŞebekelerdeSiberGüvenlikÇağrıPOLAT|18.10.2019|14:00

Firma:MaxionİnciJantGrubu-TürkiyeITOperasyonlarıMd.Eğitim:YüksekLisans:BilgisayarMühendisliği(DEU)Lisans:Elektrik-ElektronikMühendisliği(AnadoluÜni.)Lisans:İşletmeFakültesi(AnadoluÜni.)Sertifikalar:MCSE+S&CEH(Eğitmen)ISO27001BaşDenetçiBilirkişiÇalışmaAlanları:#SiberGüvenlik,#Endüstri4.0,#KritikAltyapıGüvenliği#ISO27001,#SızmaTesti,#KVKKGüvenlik,#BlockchainMail/Telefon:cagripolat@gmail.com,05533374811WebSitesi: https://www.cagripolat.com

ÇağrıPOLATSiberGüvenlikUzmanı/EğitmeniEndüstri4.0GüvenlikUzmanı

ISO27001BaşDenetçi&Danışman

Facebook.com/cagripolatmscTwitter.com/cagripolatmscInstagram.com/cagripolatmscLinkedin.com/in/cagripolat

Çağrı Polat | www.cagripolat.com

•  KritikAltyapı/AkıllıŞebekeler/Aktörleri•  ISA99

•  IEC62443•  PurdueModeli/Şeması

•  AkıllıŞebekelerdeSiberGüvenlik(NIST-GuidelinesforSmartGridCybersecurity)

•  Sorular

0 İçerik

1KritikAltyapı/AkıllıŞebekeler

Çağrı Polat | www.cagripolat.com

•  “Kritikaltyapı”terimiilkdefaEkim1997tarihli“AmerikaBirleşikDevletleriBaşkanlıkKomisyonu’nunKritikAltyapılarınKorunmasıHakkındaRaporundakullanılmıştır.

•  SiberGüvenlikKurulu2013-2014Eylemplanının5numaralımaddesindeülkemizinkritikaltyapılarıbilgigüvenliğikapsamındailketapta"Ulaşım,Enerji,ElektronikHaberleşme,Finans,SuYönetimi"KritikKamuHizmetleriolarakbelirlenmiştir.[1]

•  Akıllışebeke(SmartGrid)mevcutelektrikaltyapısınıgünümüzotomasyon,gömülüsistemlervebilişimteknolojileriileharmanlayıpenerjiihtiyacınıkarşılayacaksistemedenir[2].

•  AkıllıŞebekeBileşenleriveTeknolojisişunlardır[3];1)AkıllıÜretim2)Akıllıİstasyonlar3)AkıllıDağıtım4)AkıllıSayaçlar5)BütünleştirilmişHaberleşme6)İleriKontrolMetotları

Akıllışebekelerinyazılımvedonanımbileşenlerivardır:Yazılım:Verialtyapısı,internettabanlısistemler,sezgiselçalışanyazılımlarıDonanım:Akıllısayaçlarveakıllıevaletlerivb.

AkıllıŞebekeler

Çağrı Polat | www.cagripolat.com

https://www.muhendisbeyinler.net/akilli-sebekeler-smart-grid

2 ISA99(IndustrialAutomationandControlSystemsSecurity)

Çağrı Polat | www.cagripolat.com

•  ISA99(IndustryStandardsonAutomation)EndüstriyelOtomasyonveKontrolSistemleriGüvenlikStandardıdır.Ağüzerindeetkinvegüvenliüretimuygulamalarınıntasarlanmasıiçinpolitikalarıveyapılarıtanımlar.[4]

•  ISA99standartlarıgeliştirmekomitesi,endüstriyelotomasyonvekontrolsistemlerigüvenliğikonusundaISAstandartlarınıgeliştirmekiçindünyagenelindekiendüstriyelsibergüvenlikuzmanlarınıbirarayagetirir.

•  Üretimvekontrolsistemlerielektronikgüvenliğikavramı,tümendüstrilerdekihertürtesisivesistemikapsayanmümkünolanengenişanlamdauygulanır.Üretimvekontrolsistemlerişunlarıiçerir,ancakbunlarlasınırlıdeğildir:[5]

•  DCS,PLC,SCADA,ağbağlantılıelektronikalgılama,izlemevetanılamasistemlerigibidonanımveyazılımsistemleri

•  Sürekli,toplu,ayrıkvediğerişlemlerdekontrol,güvenlikveüretimişlemlerininişlevselliğinisağlamakiçinkullanılaninsan,ağveyamakinearayüzleri

3 ISA/IEC62443

Çağrı Polat | www.cagripolat.com

•  ISA99komitesitarafındangeliştirilmişstandartlarserisidir.[6](IEC:InternationalElectrotechnicalCommission)

•  Bustandartileşirketlerinkritikaltyapıvekontrolsistemlerindekiolasıaçıklarıincelenmesiveetkinkorumaönlemlerigeliştirilmesiiçintemeloluşturulmasıhedeflenmektedir.

•  EndüstriyelotomasyonvekontrolsistemlerineyönelikITgüvenliği,bustandardınodaknoktasıdır.[7]

•  IEC62443standardı,dörttemelüzerindeşekillendirilmiştir.1.Standartfonksiyonlarıiçerir.2.  ZorunluşartlarıkarşılayanendüstriyelotomasyonvekontrolsistemleriiçinIT

güvenlikyönetimisistemininçerçevesinibelirlemektedir.3.  Endüstriyelotomasyonvekontrolsistemleri(IACS)içintasarıkılavuzuolarak

kullanılabilecektekniközelliklerdir.4.  Kontrolsistemibileşenlerineilişkintasarımvegeliştirmeşartlarından

oluşmaktadır.

4 Purdue(PERA)Modeli

Çağrı Polat | www.cagripolat.com

•  ISA99komitesi,PurdueEnterpriseReferenceArchitecture(PERA)modeliveICSağbölümlemesiiçinbumodelikullanmıştır.[8]

•  Purdueçokkatmanlımimari,herkatmanıngereksinimlerinidikkatealarakBTveendüstriağlarınıaltağlaraayırmailkesinedayanır.

•  Purduemodeli6katmandanoluşur:Seviye5:KurumsalağSeviye4:YerelağSeviye3:SahaişlemleriSeviye2:SahakontrolüSeviye1:MantıkkontrolSeviye0:Sensör,sürücüvb.

Yandabelirtilen6katmanınherbiriiçin,aşağıdakidörtanaodakalanıtartışılmalıdır:1.Girişkontrolü2.LogYönetimi3.Ağgüvenliği4.Uzaktanerişim

ÇokkatmanlıGüvenlikMimarisi!

Çağrı Polat | www.cagripolat.com

https://subscription.packtpub.com/book/networking_and_servers/9781788395151/1/ch01lvl1sec10/the-purdue-model-for-industrial-control-systems

PurdueŞeması

AkıllıŞebekeAktörleri

Çağrı Polat | www.cagripolat.com

AkıllıŞebekeMantıksalReferansModeli

Çağrı Polat | www.cagripolat.com

5 AkıllıŞebekelerdeSiberGüvenlik

Çağrı Polat | www.cagripolat.com

Gizlilik,güçsistemigüvenilirliğiiçinenazkritikolandır.•Müşteribilgileriningizliliği;•Elektrikpiyasasıbilgisi;•Bordro,içstratejikplanlama,genelkurumsalbilgilervb.[9]Erişilebilirlik,güçsistemigüvenilirliğiiçinenönemligüvenlikhedefidir.Kullanılabilirlikleilişkilizamangecikmesideğişebilir-•Koruyucuröleiçin4ms;•TrafomerkezivebesleyiciSCADAverileriiçinsaniye;•Sayaçokumaveuzunvadelipiyasafiyatbilgisiiçinsaatler;ve•Güçkalitesibilgisigibiuzunvadeliveritoplamakiçingünler/haftalar/aylar.Bütünlük,Güçsistemioperasyonlarınınbütünlüğü,aşağıdakilerigarantieder:•Verilerizinsizolarakdeğiştirilmedi;•Verikaynağıdoğrulandı;•Verilerleilişkilizamandamgasıbilinirvedoğrulanır;•Verikalitesibilinirvedoğrulanır.

AkıllıŞebekelerdeSiberGüvenlikGereksinimleri

Çağrı Polat | www.cagripolat.com

•  ErişimKontrol(ErişimKontrolPolitika,UzaktanErişimPolitikasıveProsedürleri,HesapYönetimi,ErişimUygulaması,BilgiAkışıUygulaması,GörevlerinAyrılığı,EnDüşükAyrıcalık,BaşarısızGirişDenemeleri,AkıllıŞebekeBilgiSistemiKullanımBildirimi,ÖncekiOturumAçmaBildirimi,EşzamanlıOturumKontrolü,OturumKilitlenmesi,UzakOturumSonlandırma,KimlikTespitiveyaKimlikDoğrulamasıOlmadanİzinVerilenFaaliyetler,UzaktanErişim,KablosuzErişimKısıtlamaları,TaşınabilirveMobilCihazlariçinErişimKontrolü,DışBilgiKontrolSistemlerininKullanımı,KontrolSistemiErişimKısıtlamaları,GenelOlarakErişilebilirİçerik,Şifre)

•  FarkındalıkveEğitim(FarkındalıkveEğitimPolitikasıveProsedürleri,Güvenlikfarkındalığı,GüvenlikEğitimleri,GüvenlikFarkındalığıveEğitimKayıtları,GüvenlikGruplarıveBirlikleriileİletişim,GüvenlikSorumlulukEğitimi,SüreçEğitimiPlanlaması)

•  DenetimveHesapVerebilirlik(DenetimveHesapVerebilirlikPolitikasıveProsedürleri,DenetlenebilirEtkinlikleri,DenetimKayıtlarınınİçeriği,DenetimDepolamaKapasitesi,DenetimİşlemeHatalarınaYanıt,Denetimİzleme,AnalizveRaporlama,DenetimAnalizAraçlarıveRaporÜretimi,ZamanDamgası,DenetimBilgilerininKorunması,DenetimKayıtlarıMuhafaza,DenetimlerinYapılmasıveSıklığı,DenetçiYeterliliği,DenetimAraçları,GüvenlikPolitikasıUyumluluğu,DenetimÜretimi,İnkaredilemezlik)

AkıllıŞebekelerdeSiberGüvenlikGereksinimleri

Çağrı Polat | www.cagripolat.com

•  GüvenlikDeğerlendirmesiveYetkilendirme(GüvenlikDeğerlendirmeveYetkilendirmePolitikasıveProsedürleri,GüvenlikDeğerlendirmeleri,Sürekligelişme,AkıllıŞebekeBilgiSistemiBağlantıları,GüvenlikYetkilendirmesi,Sürekliizleme)

•  YapılandırmaYönetimi(YapılandırmaYönetimiPolitikasıveProsedürleri,TemelYapılandırma,YapılandırmaDeğişikliğiiçinErişimKısıtlamaları,FabrikaVarsayılanAyarlarıYönetimi,YapılandırmaYönetimPlanı,…)

•  OperasyonlarınSürekliliği(OperasyonPolitikasınınSürekliliğiveProsedürleri,OperasyonPlanınınSürekliliği,OperasyonRollerininSürekliliğiveSorumlulukları,AlternatifTelekomünikasyonHizmetleri,…)

•  TanımlamaveKimlikDoğrulama(KimlikveKimlikDoğrulamaPolitikasıveProsedürleri,KullanıcıKimliğiveKimlikDoğrulama,…)

•  BilgiveBelgeYönetimi(BilgiveBelgeYönetimiPolitikasıveProsedürleri,BilgiDeğişimi,…)

•  OlayMüdahalesi(OlayMüdahalePolitikasıveProsedürleri,OlayMüdahaleRolleriveSorumlulukları,Eğitim,İzleme,Raporlama,…)

AkıllıŞebekelerdeSiberGüvenlikGereksinimleri

Çağrı Polat | www.cagripolat.com

•  AkıllıŞebekeBilgiSistemiGeliştirmeveBakım(AkıllıŞebekeBilgiSistemiBakımPolitikasıveProsedürleri,UzaktanBakım,…)

•  OrtamKoruması(OrtamKorumaPolitikasıveProsedürleri,OrtamHassaslıkSeviyesi,OrtamTemizlikveBertarafı,OrtamTaşınması,…)

•  FizikselveÇevreGüvenliği(FizikselveÇevreGüvenliğiPolitikasıveProsedürleri,FizikselErişimYetkileri,FizikselErişimiİzleme,ZiyaretçiKatıları,ZiyaretçiKontrol,FizikselErişimGünlüğüTutma,…)

•  Planlama(StratejikPlanlamaPolitikasıveProsedürleri,AkıllıŞebekeBilgiSistemiGüvenlikPlanı,GüvenlikleİlgiliAktivitePlanlama,…)

•  GüvenlikProgramıYönetimi(GüvenlikPolitikasıveProsedürleri,GüvenlikProgramPlanı,ÜstYönetimOtoritesi,GüvenlikMimarisi,RiskYönetimStratejisi,…)

•  PersonelGüvenliği(PersonelGüvenlikPolitikasıveProsedürleri,PersonelKategorisi,Transferi,Görevleri,SorumlulukSonlandırma,…)

AkıllıŞebekelerdeSiberGüvenlikGereksinimleri

Çağrı Polat | www.cagripolat.com

•  RiskYönetimiveDeğerlendirmesi(RiskDeğerlendirmePolitikasıveProsedürleri,RiskYönetimPlanı,GüvenlikEtkiSeviyesi,GüvenlikAçığıDeğerlendirmesiveFarkındalık,RiskDeğerlendirmesi,…)

•  AkıllıŞebekeBilgiSistemiveServisSatınAlma(AkıllıŞebekeBilgiSistemiveHizmetleriSatınAlmaPolitikasıveProsedürleri,YaşamDöngüsüDesteği,YazılımLisansıKullanımSınırlamaları,GüvenlikMühendisliğiİlkeleri,GeliştiriciGüvenlikTesti,…)

•  AkıllıŞebekeBilgiSistemiveİletişimKoruması(AkıllıŞebekeSistemiveİletişimKorumaPolitikasıveProsedürleri,GüvenlikFonksiyonuİzolasyonu,HizmetReddiKoruması(DoS),İletişimBütünlüğü,İşletimSistemindenBağımsızUygulamalar,GenelAnahtarAltyapıSertifikaları,GüvenlikRolleri,heterojenite,VoIP,Balküpleri,İletişimGizliliği,…)

•  AkıllıŞebekeBilgiSistemiveBilgiBütünlüğü(AkıllıŞebekeSistemiveBilgiBütünlüğüPolitikasıveProsedürleri,KusurDüzeltme,KötüAmaçlıKodveSpamKoruması,AkıllıŞebekeBilgiSistemiİzlemeAraçlarıveTeknikleri,GüvenlikUyarılarıveTavsiyeler,BilgiGirişiDoğrulama,Hataişleme,YazılımveBilgiBütünlüğü,…)

Kaynaklar[1]https://www.slideshare.net/ZhreAydn/kritik-enerji-altyapilarinin-korunmasi-ve-siber-gvenlik[2]https://www.muhendisbeyinler.net/akilli-sebekeler-smart-grid-nedir/[3]http://www.emo.org.tr/ekler/e8fff8ce0a6ccb5_ek.pdf?dergi=1101(MehmetOktayELDEM)[4]https://otomasyonadair.com/2014/11/07/bilinmesi-gereken-4-it-standardi/[5]https://www.isa.org/isa99/[6]https://www.isa.org/intech/201810standards/[7]https://www.tuv-sud.com.tr/tr-tr/merkez/kaynak-merkezi/yayimlar/e-ssentials-haber-buelteni/demiryolu-hizmetleri-ile-ilgili-e-ssentials/e-ssentials-3-2015/certification-according-to-iec-62443-boosting-security-against-cyber-attacks[8]https://subscription.packtpub.com/book/networking_and_servers/9781788395151/1/ch01lvl1sec10/the-purdue-model-for-industrial-control-systems[9]https://nvlpubs.nist.gov/nistpubs/ir/2014/NIST.IR.7628r1.pdf

Çağrı Polat | www.cagripolat.com

SORULARTEŞEKKÜRLER