Enerji tesisleri için siber güvenlik testi
EPDK’nın bu yıl ilk kez 24-25 Mayıs 2022’de Ankara’da kendi yerleşkesinde gerçekleştirdiği Ex4S: Enerji Sektöründe Siber Savunma Simülasyonu’22 etkinliğinin teknik yürütücüsü Cyberwise oldu. Etkinliğe elektrik üretim, elektrik iletim, elektrik dağıtım, rafineriler, doğalgaz iletim ve dağıtım gibi tüm kritik enerji altyapılarında faaliyet gösteren şirketler ve kamu kurumları yoğun ilgi gösterdi. Bu etkinlikte Cyberwise’ın teknik yürütücülüğünü gerçekleştirdiği simülasyonlar, enerji tesislerine yönelik siber saldırı senaryolarını deneyimleme ve bunlarla baş etme metotlarını öğrenme fırsatı sundu. Etkinlik ile ayrıca enerji altyapılarında siber dayanıklılığın artırılması, siber olaylara karşı teknik ve yönetsel yetkinliklerin geliştirilmesi, bireysel ve kurumsal farkındalık oluşturulması ve kuruluşlar arası paylaşım kültürünün oluşturulması da amaçlandı.
Türkiye’de ilk defa düzenlenen kritik enerji altyapıları ve endüstriyel kontrol sistemleri odaklı simülasyona, EPDK regülasyonlarına tabi olan kuruluşlardan 238 uzman ve yönetici katılırken iki gün süren etkinlik boyunca toplamda 350 davetli ağırlandı. Endüstriyel kontrol sistemlerinin güvenliği hakkında önemli bilgiler ve ipuçları verilen bir konferansla başlayan etkinlikte, olası siber saldırıların senaryolaştırıldığı savunma ve saldırı yeteneklerini test eden çeşitli simülasyonlar gerçekleştirildi.
Etkinlikte farklı şirketlerden katılımcıların oluşturduğu karma ekipler, Cyberwise’ın teknik yürütücülüğünü yaptığı simülasyonlarla olası siber saldırılara karşı takım halinde ya da bireysel olarak nasıl savunma gerçekleştireceklerini ve bir saldırganın nasıl davranacağını deneyimleme şansı elde ettiler. Öğrenme deneyimini artırmak için etkinlik öncesinde belirlenen ekipler, Cyberwise uzmanlarınca bilgilendirildiler ve simülasyonu deneme fırsatı buldular. Böylece hedeflenen bilgi ve deneyim aktarımı ile tecrübe edinimi etkinlik öncesinden başlayarak, yoğun bir şekilde gerçekleştirilmiş oldu.
Cyberwise Yönetim Kurulu Üyesi ve Genel Müdürü Aret Kıllıoğlu, “Kritik altyapı sistemlerinin siber güvenliğinin kusursuza yakın olması zorunludur. Pek çok kurumun siber güvenlik ihtiyaçlarını her aşamada karşılayabilen bir güvenlik şirketi olarak bu etkinliğin çok önemli olduğunu düşünüyoruz. Ülke, kurum ve şirketler olarak siber saldırılara hazırlıklı olmanın en etkin yolu hazırlıkları test etmektir” dedi.
Cyberwise Endüstriyel Siber Güvenlik Danışmanı ve ICSFusion Ürün Yöneticisi Can Demirel ise “Simülasyonlar özellikle mevcut savunma yeteneklerinin değerlendirilmesi ve olası saldırılar karşısında hazırlıklı olunması için oldukça önemli. Siber güvenliğin sadece güvenlik uzmanlarının sorumluluğunda olmadığını, tüm çalışanları ilgilendirdiğini de yaşanan saldırılardan görebiliyoruz. EPDK’nın etkinliği kapsamında hazırladığımız oyunlaştırılmış platform, Türkiye’de hatta birçok özellik bakımından dünyada da ilkleri barındırıyor. Etkinlik kapsamında, sektörler arası bilgi ve tecrübe aktarımını sağlamak ve farklı bakış açılarını da ortaya koyabilmek adına farklı şirketlerde ve pozisyonlarda çalışan kişilerden oluşan karma ekiplerin bir araya gelmesiyle ya da bireysel olarak deneyimlenen simülasyon çalışmaları hazırladık. Böylece hem şirketler olası saldırılara ne kadar hazır olduklarını gördüler, hem de çalışanlar yeteneklerini test ederken, yeni bilgiler öğrenme ve deneyimleme fırsatı kazandılar” bilgisini verdi.
Simülasyon çalışmalarına bakış
Yönetici odaklı simülasyon: Takımlar halinde iki ayrı oturumda gerçekleştirilen simülasyonda, endüstriyel bir enerji işletmesine yönelik bir siber saldırı sırasında zaman, ekip, bütçe ve üretim odağında en doğru kararların alınmasına odaklanıldı. Simülasyonda hızlı ve doğru kararlar vererek birinci olan takım üyelerine çeşitli hediyeler verildi.
Teknik odaklı simülasyon: Ekinliğin iki gününde de gerçekleşen simülasyonda 32 takım yarıştı. Her takıma bir adet iş istasyonu verilen simülasyon sırasında, kırmızı ve mavi olmak üzere ayrılan takımların farklı yetkinliklerinin ölçülmesi ve değerlendirilmesi amaçlandı. Etkinlik öncesi simülasyon platformuna test erişimleri sağlanarak, takım üyelerinin maksimum öğrenme deneyimi yaşamaları ve yarışmada en iyi performansı sunmaları hedeflendi. İlk üçe giren takım üyelerine çeşitli hediyeler verildi.
Bireysel odaklı simülasyon: Bireysel yeteneklerin değerlendirildiği simülasyona 40 kişi katıldı. Katılımcılar kişisel bilgisayarlarından simülasyon platformunu deneyimleyerek hem olası siber saldırılar karşısındaki yeterliliklerini hem de ofansif yeteneklerini test ettiler. İlk üçe girerek simülasyonu tamamlayanlara çeşitli hediyeler verildi.
Ex4S CTF (Capture the Flag): En fazla iki kişilik takımların yer alabildiği bu simülasyona katılımcılar, kişisel bilgisayarları üzerinden katılım sağladı. Etkinlik sırasında bu simülasyona 35 kişi katıldı. CTF kapsamında özellikle enerji konusuna özel senaryolar hazırlandı. İlk üçe girmeyi başaran katılımcılara çeşitli hediyeler verildi.
Ofansif odaklı simülasyon: Bireysel ya da en fazla 2 kişilik takımlar halinde yer alınan bu simülasyonda katılımcılar gerçek endüstriyel ekipmanlara karşı yeteneklerini test ettiler. Saldırganların bakış açısını ve yaklaşımının da anlaşılmasının tam bir güvenlik stratejisi oluşturmada önemli olduğu prensibinden yola çıkılarak hazırlanan senaryoda katılımcıların bir trafo merkezinde elektriği en kısa sürede kesmesi beklendi. İlk üçe girmeyi başaran katılımcılara çeşitli hediyeler verildi.