Enerji Sektöründe Bilgi Güvenliği Tebliği

Enerji Piyasası Düzenleme Kurumu (EPDK), enerji sektöründe bilişim güvenliğinin sağlanmasına yönelik bir tebliğ yayınlamaya hazırlanıyor.

Sektörden edindiğimiz bilgilere göre “Enerji Sektöründe Bilişim Güvenliğinin Sağlanmasına Dair Yönetmelik” kapsamında yayınlanacak olan tebliğ ile enerji sektöründe bilişim güvenliği süreçleri detaylı bir biçimde ele alınacak.

Malum, artık bilişim güvenliği konuları hükümetlerin ve karar alıcıların öncelikli konuları arasında yer alıyor. Türkiye’nin de aralarında bulunduğu birçok ülke artık bilgi güvenliği birimlerini kuruyor, bilgi güvenliği alanında özel ve kamu sektöründe önemli tedbirler alınıyor. Bir ülkenin enerji, haberleşme, finans gibi kritik altyapı ve tesislerinin devre dışı bırakılması demek o ülkenin beyaz bayrak çekmesi anlamını taşıyor. Bu yüzden günümüz siber saldırılarının - İran nükleer tesislerine ve Estonya bilişim altyapısına yapılan saldırılarda olduğu gibi- hedefinde de enerji sektörü yer alıyor.

Günümüz sistemlerinin ve insan yaşamı için hayati önem taşıyan enerji sektöründe; elektrik, doğalgaz, petrol, nakil hatları, yük dengeleyici sistemler ve SCADA sistemleri gibi birbirini tamamlayıcı altyapıların ve hammadde trafiğinin sağlıklı bir biçimde çalışmasını gerektiriyor.

EPDK bilişim güvenliğinde önemli adımlar atıyor

Türkiye’de Enerji Piyasası Düzenleme Kurumu (EPDK), Enerji ve Tabii Kaynaklar Bakanlığı bünyesindeki kurum ve kuruluşlar ile özel sektör şirketlerinin yer aldığı bu yapı içerisinde son dönemde bilgi güvenliği de sıkça konuşulan başlıklar arasında. Enerji sektörü bileşenlerinin ağırlıklı olarak bilişim altyapıları üzerinde kurulu olması, buradaki verilerin dijital ortamda dolaşması, bilgi sistemleri süreçlerinin izlenmesi ve güvenliğinin sağlanmasını da zorunluluk haline getirmeye hazırlanıyor.

EPDK’nın, enerji sektöründe bilişim güvenliğinin sağlanmasına yönelik çalışmalarda son aşamaya geldiği ve bir tebliğ hazırlığında olduğu edindiğimiz bilgiler arasında. Hazırlanan tebliğ ile EPDK’nın amacı, enerji sektöründe yer alan kuruluşların, bilişim sistemlerinin ve bu sistemler üzerinde dolaşan bilgilerin bütünlüğünü, sürekliliğini ve gizliliğini sağlamak için yapılması gereken çalışmaları tanımlamak olacak. Hazırlanan düzenlemede, bu tebliğe tabi olan kuruluşların ISO27001 Bilgi Güvenliği Yönetim Sistemi sertifikasını 2014 sonuna kadar almaları gerektiği belirtiliyor.

Bu sayede enerji sektörü oyuncularının, ortak bir dil ile olası risklere karşı en hızlı ve sistematik bir biçimde müdahalesi ve ilgili kurum ve kuruluşlarla işbirliğinin oluşturulması sağlanacak.

Enerji sektöründe kritik bilişim altyapılarında atılması gereken adımlar

Enerji sektöründe kritik bilişim altyapılarının varlık envanterinin oluşturulması ve risk yönetiminin belirlenmesi ilk adım olarak karşımıza çıkıyor. Enerji sektörü ekosistemi üzerinde yer alan özel ve kamu kurum ve kuruluşlarının yetkinlik durumu bilgi güvenliğinin ilk kuralı olan “zincirin en zayıf halkası kadar güçlüsünüz” yaklaşımının da belirlenmesi açısından kritik öneme sahip.

Sistemler ve ağlar üzerinde yer alan sistem bileşenlerinin topolojisinin oluşturulması, bir başka önemli başlık olacak. Bu sayede sistemler üzerindeki hareketliliğin adreslenebilmesi ve lokal önlemlerin hızlıca alınması sağlanacak.

Asgari düzeyde alınacak önlemlerin belirlenmesi noktasında ise ekosistem içerisinde yer alan bileşenlerin değişen risklere karşı güncelliğinin korunması ve standartların oluşturulması hedeflenecek. Tabi ki burada bilgi güvenliği açısından ISO27001 standartlarının benimsenmesi de bilgi güvenliği yönetimi açısından da önem taşıyor olacak. Ayrıca ISO27001 bir sonraki adımda sisteme dahil olan üçüncü taraflarla işbirliğinde de belirleyici unsur olarak yer alacak.

Ağlara erişim ve yetkilendirmeler ise uç nokta kullanıcılarından üst kademe karar alıcılara kadar dikkatle belirlenmesi gereken süreçler olarak karşımızda duruyor olacak. Bilişim ağlarında öğrendiğimiz en temel kavram sistemlerin fiziksel güvenliğini ne kadar sağlarsanız sağlayın bireysel hata, ihmal ve suistimaller bu yapıları savunmasız bırakacağıdır.

Bilgi güvenliği durağan bir süreç değil, özellikle enerji sektörü gibi yoğun hareketlerin yaşandığı bir sektör için çok daha fazla dikkati gerektiriyor. Bu yüzden süreçlerin doğru tanımlandığı, kendi iç dinamiklerinde kendisini güncelleyen, otokontrol mekanizmalarının işlediği ve raporlama süreçleriyle kendisini geliştiren bir yapının hayata geçirilmesi bu alanda sağlanacak kritik altyapı güvenliği için ayrıca önem taşıdığını belirtmekte fayda var.