Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT), Standartlar, Düzenlemeler ve Uyumluluk
Yeni Kurallar, Enerji Şebekesi Operatörlerine Tüm OT Ağ Trafiğini Günlüğe Kaydetmelerini Söyleyecek
Shaun Waterman’ın •
12 Aralık 2025
ABD ve Kanada elektrik şebekelerine yönelik yeni bir güvenilirlik standardı, büyük enerji şirketlerine operasyonel teknolojileri ve endüstriyel kontrol sistemleri ağlarındaki trafiği izlemelerini ve kaydetmelerini söylüyor. Düzenleyiciler, operatörlerin Kuzey Amerika güç kaynağını sabote etmeyi amaçlayan izinsiz girişleri tespit edebilmesi, önleyebilmesi ve bunlara yanıt verebilmesi gerektiğini söyledi.
Ayrıca bakınız: İsteğe Bağlı | Güvenlik Çerçevelerini Görev Kritik Varlıklarınızla Eşleştirme – Hindistan Yönergelerine Odaklanma
OT güvenlik uzmanları, Rus bilgisayar korsanlarının Ukrayna elektrik şebekesine düzenlediği saldırılar ve ABD enerji şirketlerinin ağlarında yer alan Çinli tehdit aktörlerinin keşfedilmesinin ardından zorunlu kılınan yeni kuralların elektrik sektörü için ağır bir yük olacağını söylüyor.
Yetki yeterince basit görünebilir, ancak yeni gereksinimlerin genişliği ve kapsadıkları sistemlerin karmaşıklığı hiç de zahmetsiz değildir. “Görev sadece ‘Kuzey-Güney’ trafiğini kapsamıyor [from outside the OT network]ancak ‘Doğu-Batı’ trafiği [within the OT network]OT ve IoT güvenliği konusunda uzmanlaşmış bir siber firma olan Armis’te OT CTO’su olan kontrol sistemleri mühendisi Carlos Buenano, bunu da açıklıyor.
“Bu sadece güvenlik duvarından anahtar odasındaki son cihaza kadar değil, bunun ötesinde operatör ve mühendis istasyonlarından, insan arayüzü iş istasyonlarından kontrolörlere ve oradan da saha cihazlarına giden trafik.”
İzlenmesi gereken ağların mimarisine bağlı olarak Buenano, bunun “her kabine veya her trafo merkezindeki her anahtara” yeni donanım sensörlerinin yerleştirilmesini içerebileceğini söyledi.
“Dolayısıyla dağıtım açısından bakıldığında oldukça karmaşık olabilir” dedi.
OT siber güvenlik firması Dragos’un baş ürün danışmanı Kristine Martz, ‘Doğu-Batı’ trafiğinin yeni standarda dahil edilmesinin önemli olduğunu söyledi. North American Electric Reliability Corporation tarafından uygulanan önceki siber güvenlik talimatlarının tamamı çevre güvenliğiyle ilgiliydi.
NERC-CIP-15-1 olarak bilinen yeni standart, “Biraz farklı, çünkü yapmaya çalıştıkları şey şunu söylemek: ‘Tamam ama ya biri çevre güvenliğini aşarsa… ve güven bölgesinin içindeyse ve ağınızda yapmalarını istemediğiniz şeyler yapıyorsa – o değerli varlıklarla iletişim kuruyorsa.'”
Tenable’da OT Güvenliği ürün müdürü Dan Hewitt, CIP-15-1 sıfır güven yaklaşımını benimsiyor ve “Gelişmiş saldırganların kaçınılmaz olarak çevreyi ihlal edeceğini kabul ederek” dedi. E-posta yoluyla, yeni kuralın “tamamen önleyici bir modelden tespit ve yanıt verme çerçevesine kritik bir geçişi zorunlu kıldığını” söyledi.
Yeni standart, izleme ve günlüğe kaydetmenin yanı sıra, şirketlerin izinsiz girişlere nasıl yanıt vereceklerini belirlemek için anormal trafiği tespit etmelerini ve analiz etmelerini gerektiriyor.
Martz, anormallikleri tespit etmenin günlük trafik modeli oluşturarak bir temel oluşturmak anlamına geldiğini söyledi. “Normal neye benziyor? Ve bu resmi elde ettiğinizde, ağ trafiğini sürekli olarak izleyebilir ve bu normdan sapmaları tespit edebilirsiniz.”
Martz, SIEM’ler ve BT ağlarında kullanılan diğer güvenlik araçları gibi, OT ağlarını izlemek için kullanılan özel araçların da genellikle bir güvenlik operasyon merkezinde insan analistler tarafından önceliklendirilmesi gereken bir dizi uyarı sağladığını söyledi. Ancak bu uyarıları anlama ve değerlendirme konusunda uzman becerileri vardır.
“Başarılı olduğunu gördüğüm modellerden biri, tek bir SOC’ye ve onun altında iki takıma sahip olmanızdır” dedi. Biri kurumsal BT ağlarıyla ilgileniyor – “çünkü bu aynı zamanda benzersiz bir beceri seti” – diğeri ise OT ile ilgileniyor. “Bunları tek bir merkezi SOC altında birleştirmek faydalıdır çünkü sonuçlarla ilgili konuşmaları bir araya getirmelerine yardımcı olur. BT ortamında meydana gelen ve OT’nin ilgisini çekebilecek şeyler ve bunun tersi de geçerlidir.”
Martz, kuralın, en azından elektrik hizmetleri gibi sıkı düzenlemeye tabi sektörlerde siber güvenliği düzenleme yoluyla iyileştirmenin mümkün olduğunu gösterdiğini söyledi.
“Taslak ekibi bu konuda gerçekten iyi bir iş çıkardı” dedi. Standart, risk temelli bir yaklaşım gerektirir ancak hızla geçerliliğini yitirebilecek belirli yaklaşımları veya teknolojileri zorunlu kılmaz.
Ancak bu, şirketlerin hangi ağ veri beslemelerinin saklanacağı konusunda karar vermesi gerektiği anlamına geliyordu. Martz, “Bu çok zorlayıcı olabilir. Dahili ağ güvenliğini izlemeye yönelik her türlü aracın uygulanmasının bir parçası olan bir ayarlama yönü vardır. Ne saklanmalı, ne tutulmamalı” dedi.
Buenano, düzenlemenin birçok şeyi denetlenen şirketlere bıraktığını söyledi. “Görev, anormal davranışları anlayarak bu varlıkları korumaktır. Bunu yapmak için ne kadar derine inmeniz gerektiğini gerçekten belirtmiyor.” Yüksek düzeyde izleme, bilinmeyen bir IP adresinden gelen veya beklenmeyen bir iletişim protokolü veya bağlantı noktası kullanan belirli türde anormal trafiği tespit edebilir, ancak iletişim içeriğini incelemek ve yetkili kanallar aracılığıyla gönderilen kötü amaçlı talimatları tespit etmek daha zordur. Buenano, “Ne kadar derine inmek istiyorsunuz? Bu şeyler pahalı” dedi.
Karmaşıklığa ek olarak, çok sayıda yerde faaliyet gösteren bir şirket, bunlardan yalnızca bazılarının, yalnızca “yüksek etkili” ve “orta etkili” sistemler (elektrik güç kaynağının bakımı için en kritik olanlar) için geçerli olan yeni kuralların kapsamında olduğunu görebilir. Buenano, eski sistemlerin bazı sitelerde mevcut olabileceğini, bazılarında ise mevcut olamayacağını söyledi. “Bunu standart bir şekilde sunabilmeyi ne kadar istesek de” gerçekte gereksinimlerin nasıl karşılanacağı sorusunun “site bazında, hatta bazen anahtar bazında” yanıtlanması gerekecek.
Kuralın yüksek etkili alanlar için üç yıllık, orta etkili alanlar için ise beş yıllık bir uygulama süresi bulunuyor; bu da önlemlerin kritik ağlar için 1 Ekim 2028’e kadar, yalnızca önemli olanlar için ise iki yıl sonra yürürlüğe girmesi gerektiği anlamına geliyor.
Bu uzun bir süre gibi görünebilir, ancak özellikle de başlangıçtan itibaren çalışan şirketler için değil. Buenano, “Bir RFP süreciyle başlamanız ve birden fazla tedarikçiyi ihaleye davet etmeniz gerekiyorsa, bu süreçler zaman alır” dedi.
7/24, %100 çalışması gereken kritik bir altyapıdan bahsediyoruz” dedi. “Çok dikkatli olmalısınız. Değişim yönetimine, program yönetimine sahip olmalısınız, bu değişiklikleri uygulamaya konulmadan aylar önce planlamaya başlamalısınız.”
Buenano, yeni kuralların her büyüklükteki şirketi etkilediğini ve genelleme yapmak mümkün olmasa da, “Milyonlarca olmasa da yüzbinlerce dolardan bahsediyorsunuz” yatırımının yapıldığını söyledi.