Enerji sektörünün tüm bileşenleri için siber güvenlik farkındalığı gerekiyor

ELDER ve BGD’nin birlikte düzenlediği ‘Kritik Enerji Altyapılarının Korunması ve Siber Güvenlik Sempozyumu’nun Sonuç Bildirgesi, BGD Denetleme Kurulu Başkanı Mustafa Ünver tarafından paylaşıldı. 200 kişinin katılımıyla gerçekleştirilen sempozyum; TEDAŞ Genel Müdürü Mükremin Çepni, Yenilenebilir Enerji Genel Müdürü Münip Karakılıç,  ELDER Genel Sekreteri Uğur Yüksel, BGD Yönetim Kurulu Başkanı Ahmet Hamdi Atalay ve GAZBİR Dernek Müdürü M. Cem Önal’ın açılış konuşmalarıyla başladı ve dağıtım sektörü özelinde ‘Siber Güvenlik Stratejisi ve Eylem Planı’ oluşturulmasının önemine dikkat çekildi. Sempozyumun ardından Bilgi Güvenliği Derneği Denetleme Kurulu Başkanı Mustafa Ünver ‘Sempozyum Sonuç Bildirgesi’ni katılımcılarla paylaştı.

‘Enerji Sektörü Siber Güvenlik Koordinasyon Kurulu’ oluşturulmalı

Bildirgede şu maddeler yer alıyor: Enerji sektörü STK’ları ile başta BGD olmak üzere siber güvenlik konusunda faaliyet gösteren STK’ların iş birliği arttırılmalıdır. Enerji sektöründe bilgi güvenliği farkındalığın artırılması, eğitim altyapı ve içeriğinin oluşturulması, sektöre özgü siber güvenlik politika ve stratejilerinin belirlenmesi, çözüm süreçleri geliştirilmesi gibi ana başlıklarda ortak çalışma grupları oluşturulmalıdır. Siber güvenliğin sağlanmasında en kritik bileşen insandır. Enerji sektöründe çalışan personele, mutlaka temel bilgi güvenliği eğitimi verilmelidir. Enerji sektörü çalışanları için ‘Bilgi Güvenliği Eğitimi’nin ELDER tarafından organize edilmesi, eğitimin içeriği ve eğitim verilmesinin BGD tarafından yapılmasının faydalı olacağı değerlendirilmektedir. Sürdürülebilir bir siber mücadele için enerji sektörünün tüm bileşenlerinin siber güvenlik farkındalığını arttıracak etkinlikler düzenlenmelidir. Çalışanların siber güvenlik farkındalığının dinamik tutulması için zaman zaman bilgi işlem birimlerince hatırlatma mesajları gönderilmeli ve dahili tatbikatlar yapılmalıdır. Kritik enerji altyapılarının korunması çalışmalarının tüm enerji sektörünü içine alan bütüncül bir bakış açısıyla ele alınması ve takip edilmesi gerekmektedir. ETKB bünyesinde enerji sektöründe çalışan işletmecilerin, ilgili STK’ların ve ilgili kamu kurumlarının temsilcilerinden oluşan ‘Enerji Sektörü Siber Güvenlik Koordinasyon Kurulu’ oluşturulmalı ve bu kurul eliyle siber güvenlik çalışmaları koordine ve takip edilmelidir. Siber saldırıların kritik altyapıları hedef almak suretiyle doğrudan ülkelerin milli güvenliğini tehdit ettiği gerçeğinden hareketle ETKB ya da EPDK tarafından tüm paydaşların katılımıyla enerji sektörüne özel ‘Kritik Enerji Altyapılarının Korunmasına Yönelik Politika ve Strateji Belgesi ve Eylem Planı’ hazırlanmalıdır. Bu çalışmanın kritik altyapı olarak tespit edilen diğer sektörler için de yapılması gerekmektedir. Öncelikli olarak dağıtım şirketlerinin siber güvenlik durum tespiti yapılmalıdır – ELDER ve BGD, 2016 yılında bu konuda bir çalışma yapmayı planlayacaklardır. Kritik enerji altyapılarının korunmasına yönelik çok sayıda standart mevcuttur. Bu standartların tüm yönleriyle incelenmesi ve raporlanması gerektiği değerlendirilmektedir. İşletmecilerin bilgi güvenliği standartlarına uygun hizmet vermesi yönünde hem belgelendirme hem de denetim çalışmaları yapılmalıdır. Kritik enerji altyapılarının korunması maksadıyla kullanılan donanım ve yazılımların başka güvenlik sorunlarına yol açıp açmadığı ciddi bir endişe olarak karşımıza çıkmaktadır. Bu endişenin bertaraf edilebilmesi için gerek donanım gerek yazılım alanında milli çözümler üretilmesinin şart olduğu düşünülmektedir. EPDK’nın Ar-Ge desteğinin, milli çözümlerin geliştirilmesi yönünde arttırılarak devam ettirilmesi gerekmektedir. USOM-SOME yapısının henüz bilgilendirmenin ötesine geçmediği belirtilmektedir, SOME’lerin USOM’dan beklentilerini ortaya koyacak bir çalışma yapılması yararlı olacaktır. Kurumsal SOME’lerin bazı uygulama zorlukları yaşadığından bahisle ‘Kurumsal SOME’lerin katkısıyla ‘Sektörel SOME’lerde fon oluşturulması ve bu fonun Kurumsal SOME’ler için kullanılması yönünde görüş sunulmaktadır. Endüstriyel Kontrol Sistemi (EKS) kullanan kurumlar için EKS-SOME kurulması değerlendirilmelidir. EKS’lerin kurulum aşamasında siber güvenlik ihtiyaçlarının düşünülmesi gerektiği aksi halde hem maliyetin arttığı hem de istenilen seviyede hizmet alınamayabileceği ifade edilmektedir. USOM, yıllık faaliyet raporu yayımlamalıdır.