Dünya Petrol Kongresi’nin ardından: Enerji alanında bilişim sistemleri güvenliği
H. Çiğdem Yorgancıoğlu
Dijital dönüşüm çağında siber saldırı riskinin artması, özellikle enerji gibi stratejik sektörlerde güvenlik çözümlerinin giderek daha öne çıkmasına neden olmakta. Dünya Enerji Konseyi’nin 2016 yılında yayımladığı “Dirençliliğe Giden Yol: Siber Risk Yönetimi” raporuna göre, enerji şirketlerine yönelik siber saldırı sayılarında büyük artış yaşandı.
Elektrik enerjisinin üretim endüstrisini, dijital dönüşüm sayesinde daha verimli bir geleceğe hazırlandığı bir çağda yaşamaktayız. Davos’ta ‘Dördüncü Sanayi Devrimi' sloganı ile toplanan, Digital Transformation of Industries (DTI) – Sanayilerin Dijital Dönüşümleri üzerine pek çok oturumun gerçekleştiği 2016 yılında Dünya Ekonomik Forumu’na göre 2025 yılına kadar elektrik alanındaki bu dönüşümüne dair projeksiyon 1,3 trilyon dolarlık fırsatı öngörüyor.
“Enerji santrallerinin servis platformlarıyla donatılması, bulut bilişim ve endüstriyel internet olanaklarının kullanılması bu dijital dönüşümün bir parçasıdır ve bu sayede enerji üretiminde ve enerji altyapısında öngörülebilirlik, güvenilirlik, gelişmiş altyapı verimliğin yanı sıra enerjinin kullanıcılara kesintisiz iletimi açısından avantajlar taşımaktadır.”
1933 yılında ilki düzenlenen, her üç yılda bir gerçekleşen Dünya Petrol Kongresi; küresel petrol ve doğalgaz sektörünün geleceğini belirliyor. Petrol ve gaz endüstrisinin en büyük ve prestijli etkinliği olarak anılan ve bu sene “Enerji Geleceğimize Köprüler” (Bridges to our Energy Future) teması ile düzenlenen 22. Dünya Petrol Kongresi, 9-13 Temmuz günleri arasında İstanbul’da gerçekleşti. BThaber’i temsilen katıldığım, sektörü doğrudan ve dolaylı olarak etkileyen ekonomi, teknoloji, işbirliği gibi bütün bileşenlerin bütüncül bir yaklaşımla irdelendiği ve enerji arzının sürekliliğinin sağlanmasının önemine de dikkat çeken kongrenin sona erdiği gün sektörde bu sürekliliğin sağlanmasına dair önemli bir gelişme oldu. Enerji Piyasası Düzenleme Kurumu’ndan (EPKD) kritik enerji altyapılarında kullanılan endüstriyel kontrol sistemlerinin (EKS) bilişim süreçlerinin takibi, sistem sürekliliğinin sağlanmasıyla siber güvenliğinin sağlanmasına yönelik usul ve esasları düzenleyen enerji sektöründe kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği 13 Temmuz 2017 tarihinde Resmi Gazete’de yayınlandı.
Enerji piyasasında faaliyet gösteren ve EPKD tarafından kritik altyapı olarak belirlenen yükümlü kuruluşların EKS’lerinde kullanılan bilişim sistemlerinin güvenlik ve güvenilirliğinin sağlanması için risklerin değerlendirilerek azaltılması veya ortadan kaldırılması veya gerçekleşmesi durumunda etkilerinin azaltılması için aksiyonların tespit edilmesi için uygulanacak usul ve esasları kapsayan, hizmet kalitesinin yükseltilmesi ve enerji arzının sürekliliğinin sağlanması, ulusal düzenleme ile ulusal ve/veya uluslararası standartların dikkate alınması, kaynakların düzenli, şeffaf ve etkin kullanımının sağlanması, lisans sahibi tüzel kişilerin yönetmelik kapsamında EKS bilişim güvenlik önlemlerini almalarının ve uygulamalarının temini ve enerji zincirindeki kritik sistemlerin tehdit ve zafiyetlere karşı güvenliğinin arttırılması gibi temel ilkeler ışığında ilerleyen söz konusu yönetmeliğe; dayanak açısından baktığımızda 20/2/2001 tarihli ve 4628 sayılı EPKD’nin Teşkilat ve Görevleri Hakkında Kanunun ilgili madde, fıkra ve bendiyle Ulusal Siber Güvenlik Stratejisi ve Eylem Planın’ı görmekteyiz.
Endüstriyel Kontrol Sistemi’nden (EKS) kasıt; enerjinin üretilmesi, enerji sağlayan ham petrol, taş kömürü ve benzeri hammaddelerin işlenip tüketime hazır hale getirilmesi, enerjinin iletim veya dağıtım katmanları aracılığı ile aktarılması gibi süreçlerin tek veya çoklu merkezden izlenmesini, bazen de yönetilmesini sağlayan, kendisi veya bileşenleri bilinen işletim sistemleri üzerinde koşan ya da bilinen zafiyetleri bulunan özel işletim sistemine sahip yönetim ve kontrol sistemlerini (enerji hattındaki tüm OG koruma rölelerinin izlemesi ile sahadan gelen tüm bilgileri operatöre sunmaya ve sahanın kontrolüne olanak sağlayan, veri toplama ve arıza analizinden raporlama ve arşivlemeye kadar pek çok işi yapan ve ActiveX, COM/DCOM, OPC ve Windows DNA teknolojilerini kullanan yazılım sayesinde arızaları anlık olarak gösteren ve kaydeden Veri Tabanlı Kontrol ve Gözetleme Sistemi – SCADA, Dağıtılmış Kontrol Sistemi – DKS, Gelişmiş Süreç Kontrol Sistemi – APC, Programlanabilir Mantık Kontrolcüsü – PLC, Uzak Terminal Ünitesi – RTU vb.) olarak anlaşılabilir. Bu noktada Enerji İzleme sistemi ile AG ve OG enerji sistemleri izleme ve kontrollerinin sağlandığına ve SCADA’nın da minimum maliyette daha çok ve daha kaliteli ürün üretmek, insan gücüne bağımlılığı azaltmak, can ve mal güvenliği temini ve kaynakları verimli olarak kullanmaya yönelik bir işletme aracı olduğunu belirtmekte fayda var. Diğer yandan örneğin PLC sayesinde otomatik kontrolü sağlanan sistemlerin tek merkezde gözetim altında tutulması, daha kaliteli ürün üretmesi ve kaynakların daha verimli kullanılması sağlanabilir ya da bir enerji şebekesinin otomasyonu uzaktan etkin bir şekilde izlenip, kontrolü sağlandığı gibi sistemde elektriksel ve endüstriyel parametreler bilgisayardan izlenebilir. Öte yandan ayarlanan değerler için “feedback alarm” alınabilir, grafik izleme ve kaydetme imkanı sağlanır, istenen değerler talep edilen doğrultuda periyotlarla kaydedilir, enerji tasarrufuna imkan sağlayan veritabanı var. Ürün bazına indirgenebilen enerji maliyeti, elektrik sarfiyatının faturalandırılması, tek bir merkezden yük kontrolü, uzaktan izleme ve kontrol, arıza takibi mümkün. Ayrıca tesis, kumanda odasındaki PC’den izlenilebilmekte ve kontrolleri de yapılabilmekte.
Yönetmeliğe “yükümlü kuruluşlar” açısından baktığımızda, elektrik iletim lisansı sahibi, OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi, OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğalgaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğalgaz dağıtım lisansı sahibi, doğalgaz depolama lisansı sahibi (LNG, yer altı depolama), ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişilerden oluşuyor.
Şirketler her geçen gün SCADA, PLC gibi teknolojilere yatırımlarını arttırmakta ve dijital dönüşüm çağında enerji sektöründeki siber saldırılarla mücadelede ile ilgili düzenlememelerin yanı sıra gerek kamu gerekse özel şirketlerin geleceğe yapacağı en önemli yatırımlardan birinin de siber güvenlik olacağı ve siber güvenliğin bütçe planlamasında üst sıralara taşınması olduğunu söyleyebiliriz.
