Dünya genelinde kritik altyapıları hedef alan siber saldırıların artması üzerine Hindistan Merkez Elektrik Kurumu (CEA), ülkenin elektrik sektörünün siber güvenliğini korumayı amaçlayan yeni düzenlemeler getirdi.
Merkezi Elektrik Kurumu (Güç Sektöründe Siber Güvenlik) Yönetmelikleri, 2024’te özetlenen bu önerilen düzenlemeler, Hindistan’ın elektrik sisteminin siber dayanıklılığını artırmak için kapsamlı bir çabayı yansıtmaktadır. Resmi Gazete’de yayımlanmalarından altı ay sonra yürürlüğe girmesi planlanan bu düzenlemeler, Hindistan’ın hayati enerji altyapısını korumaya yönelik önemli bir adımdır.
Merkezi Elektrik Kurumu (Elektrik Sektöründe Siber Güvenlik) Yönetmeliği
Bu Siber Güvenlik Güç Sektörü düzenlemelerinin temeli, elektrik sektörünün tüm segmentlerinde sıkı siber güvenlik önlemlerini zorunlu kılan 2003 Elektrik Yasası’nın 177. Bölümü altında atılmıştır. CEA’nın önerdiği düzenlemeler, üretim firmalarında, iletim ve dağıtım lisans sahiplerinde ve diğer ilgili kuruluşlarda gelişmiş siber güvenliğe yönelik kritik ihtiyacı vurgulamaktadır. Bu kapsamlı yaklaşım, küresel olarak giderek daha fazla temel hizmetleri hedef alan artan siber tehdit dalgasına karşı proaktif bir önlemdir.
Önerilen düzenlemelerin temel unsurlarından biri, özellikle enerji sektörü için özel bir Bilgisayar Güvenlik Olay Müdahale Ekibi (CSIRT) kurulmasıdır. Bu ekip, güvenlik çerçeveleri geliştirmede, sektör genelinde savunma stratejilerini koordine etmede ve olay müdahalesini ve kurtarmayı yönetmede önemli rol oynayacaktır.
Ayrıca CERT-In ve NCIIPC gibi ulusal siber güvenlik kuruluşlarıyla iş birliği yaparak Standart İşletim Prosedürleri (SOP’ler), güvenlik politikaları ve olay müdahalesine yönelik en iyi uygulamaların oluşturulmasından da sorumlu olacak.
Baş Bilgi Güvenliği Sorumlusu (CISO) Görevi
Yönetmelikler, enerji sektöründeki her kuruluşun bir Baş Bilgi Güvenliği Görevlisi (CISO) ve alternatif bir CISO ataması gerektiğini şart koşmaktadır. Bu üst düzey roller, siber güvenlik çabalarının yerel ve sektöre özgü zorluklar konusunda derin bir anlayışa sahip kişiler tarafından yönetilmesini sağlayarak Hindistan vatandaşları tarafından doldurulmalıdır. CISO, ulusal enerji varlıklarını korumada siber güvenliğin stratejik önemini vurgulayarak, ilgili kuruluşlarının üst düzey yöneticilerine doğrudan rapor verecektir.
Siber Kriz Yönetim Planları (CCMP’ler)
Her kuruluşun bir Siber Kriz Yönetim Planı (CCMP) geliştirmesi ve sürdürmesi gerekir. Siber olaylara verilen yanıtları yönetmek ve koordine etmek için kritik öneme sahip olan bu planlar, kuruluşun en üst düzey yönetimleri tarafından onaylanmalıdır. CCMP’ler, kritik süreçleri etkileyen siber tehditlerin hızlı bir şekilde tanımlanması, bilgi alışverişi yapılması ve düzeltilmesi için prosedürleri ana hatlarıyla belirtecektir.
Yönetmelikler, anormal davranışları tespit etmek ve azaltmak için güvenlik duvarları, saldırı tespit sistemleri (IDS) ve saldırı önleme sistemleri (IPS) dahil olmak üzere gelişmiş güvenlik teknolojilerinin gerekliliğini ana hatlarıyla belirtir. Ek olarak, iyi bilgilendirilmiş ve hazırlıklı bir iş gücü sağlamak için BT ve operasyonel teknoloji (OT) sistemlerinin işletimi ve bakımıyla ilgilenen tüm personel için zorunlu siber güvenlik eğitimi vurgulanır.
Taslak yönetmeliklerdeki yeni bir özellik, ‘Güvenilir Tedarikçi Sistemi’nin uygulanmasıdır. Bu sistem, tüm BT tabanlı ekipman ve hizmetlerin doğrulanmış ve güvenilir kaynaklardan tedarik edilmesini gerektirir. Bu önlem, kötü amaçlı yazılım enfeksiyonlarını önlemeyi ve güç kaynağı sisteminin bütünlüğünü korumayı amaçlamaktadır.
Kamuoyu Danışması ve Uygulama Zaman Çizelgesi
Taslak yönetmelikler, CEA’nın web sitesinde ve Yeni Delhi’deki Baş Mühendis (Hukuk) ofisinde kamuoyunun incelemesine ve geri bildirimine sunulmuştur. Paydaşlar ve genel halk, 10 Eylül 2024’e kadar yorumlarını sunmaya davetlidir. Yönetmelikler, Resmi Gazete’de yayımlanmalarından altı ay sonra yürürlüğe girecek ve bazı hükümlerin daha erken yürürlüğe girmesi muhtemeldir.
Merkezi Elektrik Kurumu (Güç Sektöründe Siber Güvenlik) Yönetmeliği, 2024’ün I. Bölümü, resmi yayınlarından altı ay sonra yürürlüğe girecek olan bu yönetmelikler için resmi başlığı ve uygulama takvimini ana hatlarıyla belirtir. Bu çerçevede belirli yönetmelikler için farklı başlangıç tarihleri olabilir. II. Bölüm, siber güvenliği güçlendirmek ve siber saldırıları önlemek için veri toplama ve analizi gibi önemli işlevlerle görevli Bilgisayar Güvenliği Olay Müdahale Ekibi’nin (CSIRT) – Güç rolünü belirler.
CSIRT-Power ayrıca siber güvenlik çerçeveleri geliştirmek ve sürdürmek, CERT-In ve NCIIPC gibi ulusal ajanslarla iş birliği içinde olay yanıtlarını yönetmek ve akademik kurumlarla ortaklıklar aracılığıyla siber güvenlik araştırmalarını teşvik etmekten sorumludur. Bölüm III, kuruluşlar için genel siber güvenlik gereksinimlerini ayrıntılı olarak açıklayarak, kıdemli yönetim çalışanları ve Hindistan vatandaşı olması gereken Baş Bilgi Güvenliği Görevlileri (CISO) ve alternatif CISO’ların atanmasını zorunlu kılar. Bu roller, siber güvenlik girişimlerini denetlemek ve kuruluşun en üst düzey liderliğine rapor vermek için çok önemlidir.
Yönetmelikler, kuruluşların kapsamlı siber güvenlik politikaları ve bir Siber Kriz Yönetim Planı (CCMP) sürdürmesini gerektirir ve her ikisi de yönetim kurulu veya kuruluş başkanı tarafından onaylanmalıdır. Güvenlik önlemleri arasında gelişmiş güvenlik duvarları, saldırı tespit ve önleme sistemleri konuşlandırmak ve tüm BT ve operasyonel teknoloji (OT) personelinin zorunlu siber güvenlik eğitiminden geçmesini sağlamak yer alır.
Devam eden uyumluluğun sağlanması için düzenli denetimler ve değerlendirmeler zorunludur. Ayrıca, Güvenilir Tedarikçi Sisteminin tanıtımı, tüm BT ekipmanlarının ve hizmetlerinin doğrulanmış ve güvenilir kaynaklardan tedarik edilmesini sağlayarak enerji sektörünü korumayı ve böylece tedarik zinciri risklerini azaltmayı amaçlamaktadır.
Siber Güvenlik Programı Genel Bakışı
Yönetmelikler, birkaç temel alanı kapsayan kapsamlı bir siber güvenlik programını zorunlu kılıyor. Personelin riskler ve en iyi uygulamalar konusunda güncel kalmasını sağlamak için düzenli programlar, deneme tatbikatları ve kampanyalar aracılığıyla sürekli siber güvenlik farkındalığı ve eğitimi gerektiriyorlar. Olay raporlaması ve güvenli veri yedeklemeleri, güvenlik açıklarını tespit etmek ve çözmek için BT ve OT sistemlerinin rutin denetimleriyle birlikte önemlidir.
Baş Bilgi Güvenliği Görevlisi (CISO) tarafından yönetilen Bilgi Güvenliği Bölümü (ISD), yeterli kaynaklar ve gerekli sertifikalarla 7/24 çalışmalıdır. CISO ve Alternatif CISO, siber güvenlik çerçevesini yönetmek ve yetkililerle iletişim kurmak için çok önemlidir ve her ikisi de önemli BT ve siber güvenlik deneyimi gerektirir. Yönetmelikler ayrıca düzenli öz denetimler, üçüncü taraf denetimleri ve siber güvenlik standartlarına uyum dahil olmak üzere katı uygulama ve uyumluluk önlemlerini de ana hatlarıyla belirtir.