Enerji sektörü büyük değişikliklerin olduğu bir çağda bulunmaktadır. Akıllı Enerji Şebekeleri, enerji arzının daha da geliştirilmesinin önemli ayağı olarak yenilenebilir enerji ve enerji depolama sistemlerini de içermektedir.

Enerjinin gelişimi ve geçişi devam etmektedir ve gelecekte, müşterilerin, enerjinin yönetiminde aktif olarak rol almaları öngörülmektedir. Bu değişim çok çeşitli operasyonel süreçleri, şebeke kontrol ve izleme sistemlerini, üretim tesislerini, iletişim ve şirketler ve müşteriler arası bilgi alış-verişini etkilemektedir. Geleneksel iş modelleri değişmektedir ve yeni teknolojilerin devreye alınması ile izole olarak çalışan sistemler, açık standartları kullanarak birbirleri ile sürekli iletişim kurabilen hale geleceklerdir. Böylece, çok büyük miktarda hassas bilgi alış verişi gerçekleşecektir.
 

Bu trendler, kaynak güvenliği, şebeke istikrarı ve giderek artan şebeke güvenliği konularında bir çok zorluğu da beraberinde getirmektedir. Kötü amaçlı yazılımlardan kaynaklanan tehditler ve siber ataklar gittikçe artmaktadır. Kritik altyapıların korunması, veri iletişim bağlantıları gibi modern yönlendirme ve kontrol teknolojileri artık Enerji Sektörü’nün temel görevleri arasında yer almaktadır. Siber güvenlik risklerinin iş perspektifleri açısından anlaşılması hizmetlerin ve enerji arzının buna göre korunması, saldırıların tanımlanması, tam vaktinde tespit edilmesi, gerekli karşı tedbirlerin uygulanması ve hizmet devamlılığının hedeflenen acil durum yönetim tedbirlerinin hızlıca uygulanarak sağlanması şirketler için daha da önemli hale gelmektedir.

Uluslararası yayınlanan raporlara göre elektrik şebekeleri günlük bazda çeşitli siber saldırıların hedefinde yer almaktadır. Onlarca elektrik kurumu bu siber saldırıları ‘günlük’, ‘sabit’, ya da ‘sık’ olarak tanımlamakla birlikte genel anlamda e-dolandırıcılıktan kötü amaçlı yazılımların bulaşmasına kadar düşmanca saldırılar olarak raporlamaktadırlar.



Bir başka Elektrik kurumu tarafından yayınlanan raporda, her ay yaklaşık 10.000 siber saldırının hedefinde oldukları belirlenmiştir. Yine birçok devlete ait elektrik sağlayıcı kurum tarafından yayınlanan raporda “kötü amaçlı yazılımların saldırısı ve iç sistemlere erişmek amaçlı saldırıların” hedefinde oldukları yayınlanmıştır.

Sonuç olarak bu durum tek başına devletin elektrik kurumlarının ya da özel elektrik kurumlarının problemi olmaktan çıkmıştır. Elektrik şebekeleri ulusların kritik altyapılarının bir parçası olduğundan mevzuatsal açıdan da tepki gösterilmesi gerekmektedir.

Böylece siber güvenlik organizasyonel, ekonomik, teknolojik ve regulasyon bakış açılarını da değerlendirecek bir yaklaşımla entegre bir çözüm olarak ele alınmalıdır. Akıllı şebekelerin ve diğer kritik altyapıların uzun dönemlerde planlanmaları ve sürdürülebilir sistemlere geçişi ele alındığında bu yaklaşım bir gecede gerçekleştirilemeyecektir. Gelişimin dikkatli bir şekilde değerlendirilmesi, önceliklendirilmesi, ekonomik açıdan kademeli olarak ve verimli bir şekilde ele alınması gereklidir.
 

SEVİYE 0 – “ZARARSIZ”

► Neden: yok
► Gerçekleşme: eğitim eksikliği veya hatalı görev ayrımı veya eğlence
► Araçlar: yanlışlıkla yapılan hatalar, yanlış arayüz (HMI) tasarımı …
► Ortaya Çıkarma: çok kolay ve en sık/muhtemel


SEVİYE 1 – “SIRADAN”

► Neden: örn. Şirkete zarar vermek…
► Gerçekleşme: fırsatçılk
►  Araçlar: Deneyimsizlik, yetersiz kaynaklar, bilinen güvenlik açıklarını hedefler, başkaları tarafından geliştirilmiş araçları kullanır
► Ortaya Çıkarma: kolay




SEVİYE 2 – “PROFESYONEL”

► Neden: gasp, kötüleme, ideoloji…
► Gerçekleşme: her türlü bilinen veya bilinmeyen güvenlik açıklarını değerlendirir.
► Araçlar: üst-seviye yetkinlikler, finanse edilmiş. Virüs, solucan ve trojanlar üreterek daha gelişmiş araçların kullanımının önünü açar.
► Ortaya Çıkarma: zor

SEVİYE 3 – “ORGANİZE”

► Neden: terörizm, istihbarat
► Gerçekleşme: sosyal mühendislik aracılığı ile
► Araçlar: karmaşık/gelişmiş casusluk yöntemleri, çok iyi finanse edilmiş. Hassas bilgilerin dolaştığı ağlarda gizli varlığını sürdürür.
► Ortaya Çıkarma: çok zor
 

►İlginizi Çekebilir: Bilgi Güvenliği Nedir? |2. Bölüm

 

Şebeke işletmecileri siber-güvenliğe neden duyarlı (olmalı)?

Başarılı siber saldırıların muhtemel etkileri aşağıdaki şekilde gruplanabilir;

Dolaylı siber-saldırılar

► Asıl hedef başka bir kritik altyapı olabilir

► Kritik altyapılar arasında domino etkisi riski

Örnek senaryo:

Yerel ya da bölgesel elektrik kesintisi durumunda siber saldırıyı ilk fark eden kurum ne kadar süre ile bu saldırıya karşı koyabilir?




Siber güvenlik bir bütün olarak ele alınmalıdır.





Şafak Karahan ve Yusuf Dönmez
Siemens Sanayi ve Ticaret A.Ş.
Enerji Yönetim Bölümü