“Enerji sektörünün ileri seviye yazılımlara ve daha etkin dijital çözümlere ihtiyacı var”

Enerji sektörünün önemli bir değişim içerisinde olduğunu belirten Schneider Electric Dijital Servisler Müdürü Güney Erkolukısa, sektörün ileri seviye yazılımlara ve verimliliği arttırmak için dijital çözümlere ihtiyacı olduğunu belirtiyor. Türkiye’nin sibergüvenlik altyapısını ve Endüstri 4.0 alanındaki değişimleri değerlendiren Erkolukısa, bu iki alandaki gelişmeleri enerji sektörün altyapısı ve güvenliği açısından ele aldı. 

Türkiye’deki siber güvenlik sektörünün durumu hakkında ne düşünüyorsunuz?

Türkiye dijital dönüşüm çalışmalarına geç başlamasına rağmen dünya çapında en yüksek ivmeyle ilerleyen ülkelerden biri. Dijitalleşme Türkiye’de özellikle endüstriyel alanda hala başlangıç aşamasında olduğumuzu söyleyebiliriz ama hem geliştirilen projeler hem de yapılan çalışmaların hedeflediği sonuçlar dünyadakilerle eşdeğer. Sibergüvenlik sektörü ise yapısı gereği dijital dönüşüm ile eş zamanlı gelişen bir konu; Türkiye’de endüstride dijital çözümler yaygınlaşmaya ve Nesnelerin İnterneti’ne dayalı uygulamaların örnekleri artmaya başladıkça siber güvenlik konusunda da aynı ivme ile yükseleceğimizi düşünüyorum. Özellikle petrokimya ve telekominkasyon gibi enerji sürekliliğinin öneminin yüksek olduğu sektörlerde siber güvenlik çalışmaları çoktan başladı bile; ihtiyaçlar arttıkça siber güvenlik hem bir pazar hem de bir istihdam sahası olarak ülkemizin ekonomisinde önemli bir yer tutacak.

Enerji yönetimi ve otomasyonda sunduğunuz çözümlerle Siber Güvenlik Birliği'ne katıldığınızı duyurdunuz. Siber güvenlik tehditlerini daha iyi tespit etmek, önlemek ve çözmek adına sunmuş olduğunuz tedbirler nelerdir?

Enerji endüstrisi ciddi bir dönüşümün içerisinde. Bir yandan artan enerji talebi nedeniyle büyüyen ve karmaşıklaşan sistemleri yönetmek için ileri seviye yazılımlara, verimliliği arttırmak için dijital çözümlere ihtiyacımız var; diğer yandan da böyle bir yapının siber saldırılarla karşılaşma riski ortaya çıkıyor. Bu bağlamda oluşan riskleri minimuma indirmek yine bu sistemi ve kurulan sistemlerin önemini çok iyi bilen bizim gibi firmalara düşüyor. Schneider Electric olarak Siber Güvenlik Birliği’ne kurucu üye olarak katıldık. Bu platform, siber saldırılara karşı standartları temel alan en iyi süreç, uygulama ve ilkelerin oluşturulmasında görev alacak. Ayrıca iş birliği, açık-şeffaf bilgi paylaşımı ve eğitim-yönlendirme taahhütlerini karşılayarak gerekli değişimin gerçekleşmesi amacıyla çalışacak. Schneider Electric olarak ISA Siber Güvenlik Birliği ile yaptığımız çalışmaların yanında müşterilerimize uçtan uca siber güvenlik danışmanlığı sağlıyor ve endüstriyel tesislerinin güncel sibergüvenlik standardlarında çalışması için gerekli tüm ekipman değişimi, yazılım güçlendirmeleri, eğitimler ve haberleşme altyapısında gerçekleştirilmesi gereken değişiklikler konusunda yön gösteriyoruz. Siber güvenlik çalışmaları diğer uygulamaların aksine başı ve sonu olan bir konu değil, sürekli bir yolculuk. Dolayısıyla müşterilerimize işletmeleri süresince güvenlik yamalarının yönetimi ve sistem güncellemeleri konusunda da sürekli destekte bulunuyor, sistemlerin herhangi bir açığa karşı sürekli korunduğundan emin oluyoruz. Sunduğumuz danışmanlık çözümlerinin yanında çoğu firmadan farklı olarak sahip olduğumuz haberleşmeli cihazlarımızı da IEC 62443 standardının gerekliliklerini sağlayacak şekilde geliştiriyor, tip test ve sertifikalarının güncel ve eksiksiz olması konusunda gereken tüm çalışmaları yapıyoruz. Böylece müşterilerimizin sistemlerinde yaptığı her yenileme, aldıkları her ekipman geleceğe hazır hale geliyor. 

Siber güvenlik sektörünün büyük bir bölümünü kritik enerji altyapıları ve güvenliği oluşturmaktadır. Kritik enerji altyapılarının korunması adına sürdürülebilir bir siber mücadele için enerji sektörünün tüm bileşenlerinin bütüncül bir bakış açısıyla korunması adına yapılması gerekenler nelerdir?

Öncelikle anlamamız gereken en önemli nokta kapalı sistemler kurmanın – tabiri caizse fişi çekmenin – bir çözüm olmadığı. Hızla artan şehirleşme, artan üretim kapasiteleri ve büyüyen tesisler dijitalleşmenin ve büyük verinin anlamlı aksiyonlara dönüştürülmesini elzem kılan konular. Atmamız gereken en önemli ikinci adım ise siber güvenlik konusunu sadece IT altyapısına ait bir konu olmadığını anlayıp bu bilincin saha operatörlerinden şirketlerin üst düzey yöneticilerine kadar oluştuğundan emin olmak. Siber saldırıların yarısından fazlası kullanıcıların hataları ve gerekli önlemleri almamaları nedeniyle gerçekleşiyor, dolayısıyla yapmamız gereken en önemli şey gerekli bilinci oluşturmak. Sonrasında ise üretici bağımsız, uçtan uca, hem IT hem de OT teknolojilerini entegre eden, sistemin kendisi gibi kendini de sürekli güncel tutacak bir yönergeler bütünü ile tüm endüstrinin ilerlemesini sağlamak olacak. Bu konuda endüstrideki oyuncular kadar devletin farklı kademelerinin ve farklı kollarının birlikte çalışması şart.

Enerji sektöründe siber güvenlik pazarının ve tehditlerin bugünkü durumu nedir? Bir siber savaşta neler tehdit altında?

Siber güvenlik pazarı ve bu alana verilen önem ne yazık ki şu an olması gerektiği yerin çok çok gerisinde ve herhangi bir savaşta olacağı gibi siber saldırılar söz konusu olduğunda da enerji altyapısı ilk hedeflerden biri olarak büyük bir tehdit altında. Bir şehrin veya büyük bir üretim tesisinin enerji altyapısını 9-12 saat arasında durdurmak hastaneler ve güvenlik sistemleri dahil olmak üzere kritik önemi yüksek noktaların ve enerjiye bağımlı tüm sistemlerin durmasına yol açıp hem günlük hayatı hem de ülke ekonomisini çok büyük zararlara sokabiliyor.

Dünyada ve ülkemizde elektrik şebekelerine yönelik işlenen suçlarda artış var. Bunu nasıl açıklayabiliriz? Yapılan saldırıların yol açtığı maddi zarar ne boyuttadır?

Günümüzde çatışmalar artık cephelerden çok siber dünyada gerçekleşiyor. Günün herhangi bir anında farklı gruplar ve ülkeler arasında yaşanan çatışmayı siber saldırıları takip eden internet sitelerinden anlık olarak izleyip konunun ciddiyetini anlamanız mümkün. Bir ülkeye, bir firmaya zarar vermek istediğinizde yapabileceğiniz en büyük şey ekonomilerine ve standart akışlarına zarar vermek olacaktır. Sistemdeki herhangi bir duraksama ve düzensizlik zincirleme birçok aksaklığa ve zarara yol açabiliyor. Elektrik şebekeleri ise daha önce de belirttiğim gibi en büyük zararı verebileceğiniz sistemler. 2015’in sonunda Batı Ukrayna’da elektrik şebekesine yapılan saldırı hem 225 bin abonenin enerjisini kesti, hem de operatörlerin sisteme erişimini çok daha uzun süre engelledi. Saldırıları ekonomik açıdan değerlendirmek için yapılan çalışmaların gösterdiği kadarıyla Londra’da şehir şebekesinin 1 gün boyunca çökmesi, 111 milyon Pound değerinde bir ekonomik hasara yol açıyor. Bu rakamlar bir ülkenin böyle bir saldırının etkilerini atmasının ne kadar maliyetli olacağını ve uzun süreceğini gösteriyor. 

Enerji sektöründeki şirketlerde genelde SCADA sistemleri kullanılıyor fakat bu sistemler neredeyse 50 yıl öncesine ait. Yani bugünün tehditlerine oldukça açıklar. Bu sistemlerin yenilenmesi ve çözümlerin sağlanması adına güncel çözümlere çok ihtiyacımız var diyebilir miyiz? 

Kesinlikle. Özellikle bu sistemlerin sadece izleme değil kontrol amacıyla da kurulduğunu, dolayısıyla herhangi bir kötü niyetli saldırı durumunda tüm enerji altyapısının bir grup hacker’ın insafına kalacağını söyleyebiliriz. Bu konuda sistemlerin güncellenmesi, en azından siber güvenlik şartnamelerine uygun güçlendirmelerin hem haberleşme altyapısında hem de ekiplerin farkındalığı seviyesinde artırılmasının büyük önemi var. Sisteminizi ne kadar dışarıdan erişime kapatırsanız kapatın, sahadaki herhangi bir haberleşen cihazdan – eğer doğru güvenlik duvarı uygulamaları ve gerekli protokollere uygun cihazlar kullanılmamışsa – tüm sisteme erişim sağlamak oldukça basit. Yine benzer bir örnek vereceğim, bu konuda Ukraynalı iki üniversite öğrencisi 2015 siber saldırısını takiben sistemlerin dayanımını test etmek amacıyla şehirlerindeki rüzgar güllerini sadece bir demir makası ve bir laptop kullanarak durdurmayı başardılar ki bu öğrenciler profesyonel hacker’lar değillerdi. 
Eğer enerji sürekliliğini ve üretim performansımızı garantiye almak, riskimizi minimuma indirmek istiyorsak hem IT hem OT konusunda tüm açıkları tespit etmemiz ve her zaman güncel kalacak sibergüvenlik mimarilerini kurmamız şart. Bu konuda yapılan çalışmaların ve yatırımların hızlanması bizim de benzer senaryolara maruz kalmamamız için oldukça önemli.