Bu Help Net Security röportajında, Avrupa Siber Güvenlik Ağı (ENCS) Genel Müdürü Anjos Nijk, yenilenebilir kaynaklar ve akıllı şebeke teknolojileriyle modernleşen enerji sektöründeki siber güvenliği tartışıyor.
Nijk ayrıca uluslararası işbirliği ihtiyacını, IoT’nin güvenlik üzerindeki etkisini ve kritik enerji altyapısının dayanıklılığını ve güvenilirliğini artırabilecek yeni teknolojileri ele alıyor.
Enerji sektörü, özellikle yenilenebilir enerji kaynaklarının ve akıllı şebeke teknolojilerinin entegrasyonuyla önemli bir modernizasyon sürecinden geçerken, enerji altyapısının dayanıklılığını ve güvenilirliğini sağlamada siber güvenliğin rolünü nasıl algılıyorsunuz?
Enerji altyapısının kullanılabilirliği uzun süredir, düzenlenmiş piyasalarda yetkililer tarafından şebeke operatörlerinin değerlendirilmesinde temel ölçüt olmuştur. Bu dayanıklılık ve güvenilirlik olmadan yapılamaz. Sonuç olarak, güvenilirliği yönetmek operasyonel süreçlerin ve organizasyonların (OPO’lar) özünde merkezi bir öneme sahiptir.
Enerji dönüşümü nedeniyle şebekelerin dijitalleşmesi, elektrik kesintilerine bile yol açabilecek önemli bir potansiyel başarısızlık faktörü haline geldi. Bu nedenle siber güvenlik iş açısından kritik bir öncelik haline geldi. Son yıllarda şebeke operatörleri BT ve siber güvenlik becerilerini OPO’larına entegre etmek için çalışıyorlar.
Ancak yenilenebilir enerji kaynakları ve EV şarj ağları gibi bağlantılı altyapılar, şebeke operatörlerinin doğrudan kontrolünün dışında kalıyor ve aynı zamanda şebekede kesintilere de neden olabiliyor. Bağlantılı altyapıların kontrolünün hack yoluyla tahrif edilmesi veya tedarik zincirindeki güvenlik açıklarından yararlanılması, enerji altyapısının dayanıklılığı ve güvenilirliği açısından gerçek ve büyük bir risk oluşturmaktadır.
Enerji sektörünün dijitalleşmesiyle birlikte tüm enerji altyapısının dayanıklılığını ve güvenilirliğini doğrudan etkileyen çeşitli siber güvenlik sorunları ortaya çıkıyor.
Nesnelerin İnterneti (IoT) enerji altyapısı güvenliğini nasıl etkiler?
IoT, tamamıyla müşteri tabanı ve pazar payı oluşturmaya odaklanan, ağırlıklı olarak Avrupalı olmak üzere yenilikçi, yüksek teknolojili şirketler ve start-up’lar tarafından yönlendirilmektedir. Siber güvenlik genellikle iş yapmanın önünde bir engel haline gelinceye kadar bir öncelik değildir, bu da siber güvenlik olgunluk seviyelerinin düşük olduğu anlamına gelir. IoT bileşenlerini ve sistemlerini test ettiğimizde ve risk değerlendirmeleri yaptığımızda bunu tekrar tekrar görüyoruz.
Yenilenebilir enerji kaynaklarına yönelik bağlantılı altyapılar çoğu durumda yeni şirketler ve hatta konut kullanıcıları tarafından işletilmektedir. Güvenilirliği yönetme konusunda bir geçmişe sahip değiller ve genel olarak çok sınırlı bir siber güvenlik uzmanlığına sahipler veya hiç yoklar. Buna rağmen hepsi dijital olarak kontrol edilen ve dolayısıyla bilgisayar korsanlığına karşı savunmasız olan internete bağlı sistemleri denetlemektedir. Birbirine bağlı birçok tarafın kontrol ettiği birikmiş güç aynı zamanda elektrik kesintisi riskini de beraberinde getiriyor.
Tüketicilere güvenlik düzenlemeleri dayatmak mümkün olmadığından endişe, özellikle tüketici ekipmanları konusunda tedarikçilerle ilgilidir. Siber Dayanıklılık Yasası tedarikçilere hitap etmeye çalışıyor ancak muhtemelen yeterli değil.
Bu nedenle, kontrolü sürdürmek için teknolojiyi uygulamamız gerekiyor, ancak aynı zamanda konut kullanıcılarının, operatörlerin ve entegratörlerin altyapılarını güvenli bir şekilde kurmaları, işletmeleri ve bakımlarını yapmaları için koşullar yaratmamız gerekiyor.
Enerji sektörünü etkileyen son siber olayları dikkate alarak, kritik enerji altyapısının siber güvenlik duruşunu geliştirmek için hangi önemli dersler çıkarılabilir?
Kamu kaynaklarına göre, ENISA tarafından 2023 yılında enerji sektöründe bildirilen 200 olaydan yalnızca 8’i OT alanını hedef aldı. OT sistemlerine yönelik siber saldırılar, iş BT sistemlerine yapılan saldırılardan daha az sıklıkta olsa da, enerji sektörü için ayrı ve acil bir zorluk teşkil ediyor.
Bu OT saldırılarının etkisi, Ukrayna 2015/2016 olaylarının da gösterdiği gibi çok daha yüksek olabilir. Bu tür operasyonlar yüksek düzeyde beceri gerektirir ve bu operasyonlar, onları suçlu hackerlarınkinden farklı amaçlara sahip ulus devlet aktörlerinin etki alanına yerleştirir. Karmaşıklıkları ve yaygın kesinti potansiyeli, hem BT hem de OT ortamlarına özel olarak tasarlanmış sağlam güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır.
Enerji sektörü sınırlar arasında birbirine bağlıdır. Siber güvenlik risklerinin azaltılmasında uluslararası işbirliği nasıl bir rol oynuyor? Başarılı örnekler var mı?
Birbirine bağlı enerji şebekelerinin oluşturduğu siber güvenlik risklerinin ele alınmasında uluslararası işbirliği hayati önem taşıyor. Ülkeler bilgiyi paylaşarak, standartları uyumlu hale getirerek ve ortak olaylara müdahale çabalarını koordine ederek hazırlıklı olma ve dayanıklılıklarını kolektif olarak artırabilirler.
ENTSO-E ve DSO Kuruluşu SEEG gibi çeşitli resmi uluslararası işbirlikleri, NIS’deki WG8 gibi koordinasyon grupları ve NCCS gibi gruplarda uzmanlar ve yetkililer arasında ortaklıklar bulunmaktadır. ENISA ve NATO gibi kuruluşların öncülük ettiği uluslararası tatbikatlar da bu girişimleri desteklemektedir.
Bu resmi işbirliklerine ek olarak ENCS gibi gayri resmi ortaklıklar da önemli bir rol oynamaktadır. ENCS, farklı ülkelerden üyeler arasında güvenilir bilgi paylaşımını kolaylaştırarak uyumlaştırılmış standartların ve en iyi uygulamaların geliştirilmesini teşvik eder. Bu bilgiler daha sonra resmi yasama ve standardizasyon kurumlarına iletilerek enerji sektöründeki küresel siber güvenlik çabaları güçlendiriliyor.
Kritik enerji altyapısının siber güvenliğini artırmak için en umut verici gelişen teknolojiler hangileridir? Tehditleri tespit etmek ve bunlara yanıt vermek için makine öğreniminden nasıl yararlanılabilir?
Şimdiye kadar, özellikle OT izinsiz giriş tespiti alanında makine öğreniminin performansı beklentilerin altında kaldı. Bununla birlikte, OT alanında tam olarak neler olup bittiğine dair daha iyi bir görünürlük oluşturmak ve kötü niyetli eylemlerin veya gelişmiş kalıcı tehditlerin (bir kısmını) neyin oluşturduğunu analiz etmek için açık bir fırsat vardır.
Biz “sihirli değnekler” görmüyoruz; bunun yerine teknolojilerin ve onların potansiyel etkilerinin en önemli şey olduğu anlayışını görüyoruz. Teknolojiden çok insan ve uzmanlıkla ilgilidir. Mevcut teknolojiler OT’yi güvence altına almaya yetecek kadar iyidir; sorun onları iyi kullanabilecek insanları bulmaktır.