Kritik enerji alt yapılarında, bilişim güvenliği sorunu yaşanıyor

Türkiye’nin kritik enerji altyapılarında önemli bilişim güvenliği açıklarının bulunduğunu ortaya çıktı. Elektrik enerjisinin iletim ve dağıtımını denetlemek için kullanılan SCADA sistemlerinin güvenlik açığı, önemli boyuta ulaştı....

Kritik enerji alt yapılarında, bilişim güvenliği sorunu yaşanıyor

Türkiye’nin kritik enerji altyapılarında önemli bilişim güvenliği açıklarının bulunduğunu ortaya çıktı. Elektrik enerjisinin iletim ve dağıtımını denetlemek için kullanılan SCADA sistemlerinin güvenlik açığı, önemli boyuta ulaştı. Silber saldırılara açık olan sisteme yapılacak bir saldırıda enerjinin tüketiciye ulaştırılamaması söz konusu olabileceği gibi elektrik sistemlerinde de kalıcı hasar meydana geleceği ifade ediliyor. Enerji Piyasası Düzenleme Kurulu (EPDK) uzmanı Nuray Dedeoğlu Sanlı, kritik enerji altyapılarındaki bilişim güvenliği ile igbili açıkların bir an önce giderilmesi,

bu sistemlerin gözden geçirilmesi uyarısında bulunuyor.

Enerji ve Tabii Kaynaklar Bakanlığı verilerine göre elektrik enerjisi Türkiye’nin tükettiği toplam enerji içinde yüzde 18, 4’lük paya sahip. Otoprodüktörler tarafından üretilen enerjiden arta kalan yüzde 17,33’lük pay, Türkiye Elektrik İletim AŞ Milli Yük Tevzi SCADA/EMS sistemi tarafından izlenen ve denetlenen iletim altyapısı aracılığı ile dağıtım şirketlerine aktarılıyor. Çoğu SCADA sistemleri tarafından yönetilen veya yönetilme arifesinde olan dağıtım sistemleri, elektrik enerjisini tüketicilere ulaştırıyor.

Elektrik altyapı sistemlerinin topolojisi ile ilgili yayınlar ve Türkiye Elektrik İletim AŞ (TEİAŞ) verileri göz önünde bulundurulduğunda sistemlerin ağaç topolojisine (belli koşulları sağlayan kümeler) yakın olduğu anlaşılıyor. Elektrik iletim ve dağıtım sistemlerindeki en önemli bilgi varlıkları, ağacın tepesinde yer alan kontrol sunucuları olan SCADA sistemi. Bu sunucunun devre dışı kalması halinde sistemin tamamının etkilenebileceği belirtiliyor. SCADA kontrol sunucusunun devre dışı kalmaması Türkiye’nin güvenliği açısından sonra derece önemli. Ancak, bu öneme sahip kontrol sunucusunun Türkiye’de risk altında olduğu öğrenildi.

Ayrıca kontrol sunucusunu sistemin geri kalanına bağlayan yönlendirici, modem, ağ bileşenleri de sunucunun kendisi kadar değerli. 'Güvenlik Duvarı', 'Operatör Terminali', 'Bölgesel Kontrol Merkezi Sunucuları' da sistemin güvenliği açısından önemli diğer alanlar. Uzmanlara göre, bu sistemlerde risk altında.

Enerji ve Tabi Kaynaklar Bakanlığı’ndan alınan bilgilere göre Türkiye’de sistemin devre dışı kalmasına neden olacak faktörler, ‘fiziksel tehditler, çevresel ve siber tehditlerden’ olarak ikiye ayrılmış durumda. Ayrıca donanım, yapılandırma, yazılım, iletişim ve insan kaynakları açıklıklarının da söz konusu olduğu öğrenilen bilgiler arasında.

“KURUMSAL BİLİŞİM AĞI RİSK ALTINDA”

Sistemdeki açıklar ve tehditler üzerine araştırma yapan TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü (SGE) Başuzmanı Araştırmacı Fikret Ottekin’ in 'Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler' adlı çalışması, Türkiye’nin enerji alt yapısı ve SCADA sistemindeki açıkları gösterir mahiyette.

Çalışmaya göre elektrik iletim ve dağıtım sistemlerinin hemen hepsi, kısıtlı da olsa, kurumsal bilişim ağı ve Internet’le bağlantısı mevcut. Güvenlik açığı arz ettikleri bilindiği halde pratik gereksinimler dolayısı ile bu bağlantılar kullanılıyor.

“YETKİLİ PERSONEL İZLENMİYOR”

Çalışmaya göre elektrik altyapı sistemlerinin önemli bölümünde sistem yöneticisi, operatör ve benzeri yetkili kullanıcıların sistemde işlem yapmadan önce kendilerine özgü kullanıcı isimleri ve parolalarla kimlik tespitine zorlanmıyor. Bu sistemlerin bir bölümünde uygulama yazılımında güvenli oturum açma işlevinin olmadığını vurgulanan çalışmada durumun kayıt yönetimi sistemleri eksiksiz olarak çalışsa bile herhangi bir tarihte yetkili kullanıcılardan biri tarafından yapılan işlemin kim tarafından yapıldığını belirlemeyi olanaksız hale getirdiği tespiti yapılıyor. Bu kapsamda diğer bir açıklığın ise elektrik altyapı sistemlerinin hemen hepsinde sistem yöneticilerinin yaptıkları işlemlerle ilgili kayıtları silme hakkına sahip olduğu yönünde.

“DAĞITIM ŞİRKETLERİ VE TEİAŞ GÜVENLİK ÖNLEMLERİNİ PAYLAŞIYOR”

Ottekin, çalışmasında akıllı şebekelerin güvenliğinin, ağırlıklı olarak iletişim kanallarının güvenliğinin sağlanmasından geçtiğine işaret etti. Ara yüzlerin sahiplerinin belirlenmesi ve her bir ara yüzde alınacak güvenlik önlemlerinin kararlaştırılması gerektiğini ifade eden Ottekin, şu tespitlerde bulunuyor:

“Hali hazırda çalışır durumda bulunan ara yüzler TEİAŞ ile üreticiler ve dağıtım şirketleri arasındaki ara yüzdür. İlave olarak, EPİAŞ’ın bilgi sistemi faal durumdadır. Bu iki kurumun kendi ara yüzleri ile ilgili güvenlik önlemlerini paylaşmaları gözden geçirilmeli ve standartlaştırmaları beklenebilir. Diğer ara yüzlerle ilgili olarak çalışma yapılması gerekmektedir.”

“KİŞİSEL VERİLER RİSK ALTINDA”

Akıllı şebekelerle birlikte tüketici katmanında devreye girmesi beklenen yeni sistem bileşenlerinin mevcut olduğunu çalışmasında dile getiren Ottekin, bunlardan ilki, tüketim verilerinin gerçek zamanda dağıtım sistemi merkezine akmasını sağlayacak akıllı sayaçlar olduğunu, ikincisinin ise, tüketicilerin güneş panelleri ve rüzgâr türbinleri aracılığıyla ürettikleri enerjiye ilişkin veriyi dağıtım sistemi merkezine iletecek invertör bileşenlerinin olduğunu dile getirdi. Ottekin, bu tablonun bilgi güvenliği bakış açısı ile değerlendirilmesi sonucunda, ‘son kullanıcıların sayaç verilerine müdahale ederek tüketim verilerini değiştirebileceği, tüketicinin kişisel mahremiyetinin kaybolacağı, son kullanıcıların invertör verilerine müdahale ederek üretim verilerini değiştirebileceği’ risklerinin bulunduğunu savundu.

“KRİTİK ENERJİ ALT YAPILARDA BİLİŞİM GÜVENLİĞİ SORUNU”

EPDK Uzmanı Nuray Dedeoğlu Sanlı Enerji Piyasası Bülteni Dergisi’nde yer alan 'Türkiye Enerji Bilişim Güvenliği Mevzuatı, Elektrik Altyapılarında Mevcut Durum ve Kritik Belirleme Metedolojisi' konulu makalesinde kritik enerji altyapılarında önemli bilişim güvenliği açıklarının bulunduğunu belirterek, bu sistemlerin gözden geçirilmesi gerektiğini kaydediyor. Açıkların kapatılması için iyileştirme çalışmaları ile bir takım kuralların belirlenmesini gerektiğini vurgulayan Sanlı, çalışmalar kapsamında enerji altyapılarının kritik birimlerinin belirlenmesi, bu birimlerde uygulanacak güvenlik önlemlerinin kararlaştırılması ve bir geri bildirim mekanizması olarak alınan önlemlerin ne kadarının uygulandığını izleyen bir denetim mekanizmasının çalıştırılmasının faydalı olacağı tavsiyesinde bulunuyor.

“UYGULAMA VE KURALLAR YASAL ZEMİNE OTURTULMALI”

Sürecin tamamının işlerliği içinse uygulama ve kuralların yasal bir zemine oturtularak değerlendirilme-si ve yayımlanması gerektiğini dile getiren Sanlı, bu durumun gerek sektör otoriteleri gerekse enerji altyapı işletmecileri adına gerçekleştirilmesi gereken bir durum olduğunu aktarıyor.

Enerji ve Tabi Kaynaklar Bakanlığı'nın ise konuya ilişkin ne tür önlemler aldığı konusunda kamuoyu şu ana kadar aydınlatılmış değil. Bakanlığın, konuya ilişkin yapılan çalışmalar hakknda bilgi paylaşması bekleniyor. CİHAN


İlgili Galeriler
Yorum Ekle
İsim
Yorumunuz onaylanmak üzere yöneticiye iletilmiştir.×