BTYÖN olarak, Enerji sektörü deneyimimiz ile EPDK SGYM (Siber Güvenlik Yetkinlik Modeli) yükümlülüğünüzün yerine getirilmesi ve devamında kontrollerin etkin işletimi için gerekli destekler sağlanmaktadır.
Siber Güvenlik Yetkinlik Modeli, Enerji Piyasası Düzenleme Kurumu tarafından yayımlanan bir yönetmeliktir. Yönetmelik, elektrik iletim, elektrik dağıtım, işletmedeki kurulu gücü 100 MWe ve üzeri olan elektrik üretim tesisleri, boru hattı ile iletim yapan doğal gaz iletim tesisleri, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım tesisleri, doğal gaz depolama tesisleri, ham petrol iletim ve rafinerici lisansına sahip tüm tüzel kişilerin endüstriyel kontrol sistemlerinin güvenliğini sağlanmasında uyacakları yükümlülükleri belirlemek amacıyla yayımlanmıştır.
Yetkinlik modeli ile birlikte düzenleme ve uyumluluk gereksinimleri için Bilgi ve İletişim Güvenliği Rehberi, enerji sektöründe kullanılan endüstriyel kontrol sistemleri için Güvenlik Analiz ve Test Usul ve Esasları, TS ISO/IEC 27001 Standardı ve TS EN ISO/IEC 27019 Standardında yer alan kontroller kapsamlı olarak ele alınması gerekmektedir.
Yetkinlik modeli, sektörler özelinde farklılık göstermekle birlikte toplam 13 ana kontrol maddesinden oluşmaktadır.
1. Endüstriyel Ağ Güvenliği
2. Endüstriyel İstemci ve Sunucu Güvenliği
3. Endüstriyel Tehdit ve Zafiyet Yönetimi
4. Endüstriyel Siber Güvenlik ve Risk Yönetim
i5. Endüstriyel Varlık, Değişim ve Konfigürasyon Yönetimi
6. Endüstriyel Kimlik ve Erişim Yönetimi
7. Endüstriyel Olay Yönetimi ve Süreklilik
8. Akıllı Cihaz Güvenliği
9. Endüstriyel Operasyon Güvenliği
10. İnsan Kaynakları Güvenliği
11. Fiziksel Güvenlik
12. Tedarikçi Yönetimi
13. PLC Güvenliği
Siber Güvenlik Yetkinlik Modelinde, Seviye-1, Seviye-2 ve Seviye-3 olarak üç yetkinlik seviyesi bulunmaktadır. İlgili kuruluşlar için EPDK tarafından kritiklik dereceleri belirlenmekte ve tebliğ edilmektedir. Yükümlü kuruluşlar kendilerine tebliğ edilen ilgili seviyedeki tedbir maddelerini hedeflenen tamamlanma süresi doğrultusunda uygulamak zorundadır.
Kontrol maddeleri değerlendirilirken, Tam Uyum, Kısmen Uyum, Uyumsuz ve Kapsam Dışı olarak dört sınıfta değerlendirilir. Yükümlü kuruluşlar, yükümlü oldukları kontrol maddelerine hedeflenen tamamlama süresi sonunda tam uyumlu olmak zorundadır.
Siber güvenlik yetkinlik modeli uyum süreçleri Öz Denetim/Fark Analizi, Sektörel Denetim ve Kurum Denetimi olarak üç aşamada gerçekleştirilmektedir.
Öz Denetim/Fark Analizi: 1 Mart 2024 tarihinde başlayıp, 3 ay içerisinde tamamlanması ve ilgili çalışma raporunun da Enerji Piyasası Bildirim Sistemine en geç 1 ay içerisinde iletilmesi/gönderilmesi süreci tamamlanmıştır.
Sektörel Denetim: EPDK tarafından yetki verilen bağımsız denetim kuruluşları tarafından yönetmeliğe tabii olan kuruluşlara yapılan denetimlerdir. Her bir yetkinlik seviyesi (Seviye-1, Seviye-2, Seviye-3) tamamlandığında, kuruluşlar bu denetimleri bağımsız denetim kuruluşlarına yaptırmak zorundadır. Denetim raporu, Enerji Piyasası Bildirim Sistemine en geç 1 ay içerisinde iletilmesi/gönderilmesi gerekmektedir.
Kurum Denetimi: EPDK tarafından yapılan denetimlerdir. EPDK, hem bu yönetmeliğe tabii olan kuruluşları, hem de yetkilendirdiği bağımsız denetim kuruluşlarını denetler. EPDK bu denetimleri süreç içerisinde herhangi bir zamanda yapabilir.
Elektrik Dağıtım, Doğal Gaz Dağıtım, Elektrik Üretim ve Rafineri sektörlerindeki tüm kuruluşlar için uyum çalışmalarını yapmaları beklenmekte ve bu çalışmaya ait bildirimlerin hedeflenen sürede Enerji Piyasası Bildirim Sistemi 'ne yüklemeleri gerekmektedir.
Uyum danışmanlığı çalışmalarımız değerlendirme, analiz ve raporlama aşamaları olmak üzere üç seviyeden oluşmaktadır.
Kuruluşlara EPDK tarafından tebliğ edilen yetkinlik seviyesine istinaden ana kontrol maddelerinde bulunan tedbir maddeleri değerlendirilir. İyileştirmeye açık alanlar tespit edilir. Kurum tarafından SGYM (Siber Güvenlik Yetkinlik Modeli) uyumluluğun sağlanması için yatırım veya çalışma yapılması gerekiyorsa belirlenerek planlama yapılır. Yapılan çalışmalar sonucunda uyumluluk durumu raporlanır.
Siber Güvenlik Yetkinlik Modeli Uyum Danışmanlığı Sürecimiz:
1. Mevcut Durum Değerlendirmesi: Kritik altyapının değerlendirilmesi ve uyum hedeflerinin belirlenmesi sürecini kapsamaktadır. SCADA sistemlerinin mevcut siber güvenlik durumu değerlendirilir.
2. Boşluk Analizi ve Risk Değerlendirmesi: SGYM (Siber Güvenlik Yetkinlik Modeli) kapsamında kuruluşun mevcut güvenlik seviyesindeki eksiklikleri tespit edilir. Kritik altyapılara yönelik potansiyel tehditler, zafiyetler ve olası siber saldırı senaryoları üzerinden risk değerlendirmesi yapılır.
3. Politika ve Prosedürlerinin Oluşturulması: Bilgi güvenliği ve siber güvenlik politikaları oluşturulur. SCADA gibi endüstriyel sistemler için özel güvenlik yönetim prosedürleri oluşturulur.
4. Teknolojik Güçlendirme ve Altyapı İyileştirmeleri: Ağların güvenliği için güvenlik duvarları, ağ segmentasyonu, izleme sistemleri, erişim kontrolleri ve şifreleme teknolojileri gibi kontroller sağlanır. SCADA sistemlerinin güvenliği için endüstriyel sistemlerin zayıf noktaları belirlenir.
5. Erişim Kontrolleri ve Kimlik Doğrulama: Kritik sistemlere erişim için güçlü kimlik doğrulama yöntemleri belirlenir. Sadece yetkili çalışanların kritik verilere ve sistemlere erişmesini sağlamak için rol tabanlı erişim kontrolleri belirlenir.
6. İzleme ve Olay Müdahale: Siber saldırılara anında hızlı ve etkili bir müdahale yapılmasını sağlamak amaçlı kritik altyapıdaki tüm sistemler, şüpheli etkinlikleri tespit etmek ve müdahale etmek için müdahale planları hazırlanır.
7. Eğitim ve Farkındalık: Çalışanların bilgi güvenliği ve sosyal mühendislik saldırılarına karşı farkındalığını oluşturmak amaçlı siber güvenlik farkındalık eğitimi verilir.
8. Uyum Denetimi: SGYM (Siber Güvenlik Yetkinlik Modeli) kapsamında iç denetim çalışmaları planlanır ve gerçekleştirilir.
9. Raporlama: SGYM (Siber Güvenlik Yetkinlik Modeli) uyum süreçleri kapsamında olgunluk değerlendirme raporu hazırlanır.
BTYÖN, EPDK Siber Güvenlik Yetkinlik Modeli danışmanlığı çerçevesinde özet olarak aşağıda sunulan konularda destek sağlamaktadır;
• Süreçlere yönelik kontrollerde kontrolün uygulanması konusunda uygulanacak yöntemlere ve çözümlere yönelik yönlendirme ve danışmanlık hizmeti sağlanacaktır. İlgili kuralların süreç ve prosedürlerde tanımlanması sağlanacaktır.
• EPDK tarafından yayınlanan referans topolojilere değerlendirme gerçekleştirilecek ve öneriler sunulacaktır. Referans topolojiye uygunluk için yönlendirme ve danışmanlık hizmeti sağlanacaktır. Topolojinin çizilmesi sağlanacaktır. Endüstriyel ağ izolasyonu ve segmantasyonu ile ilgili kurallar süreç ve prosedürlere aktarılacaktır.
• Topoloji dokümantasyonu, endüstriyel ağ güvenliği ile ilgili politika, prosedür ve süreçler oluşturulacaktır.
• EKS içerisinde hizmet veren sunucular ve istemciler için endüstriyel üretici tarafından onaylanan ve operasyonel sürekliliği tehlikeye atmayacak uç nokta (endpoint) güvenlik önlemleri (kötü amaçlı yazılım koruma uygulamaları, uç nokta tehdit tespit sistemi, uç nokta güvenlik duvarı vb.) tanımlanacak ve uygulanmasına destek sağlanacaktır.
• EKS içerisinde hizmet veren istemcilerde ve sunucularda harici medya kullanımlarının devre dışı bırakılması için yönlendirme ve danışmanlık desteği sağlanacaktır.
• EKS içerisinde hizmet veren sunucu ve istemcilerde "Olay Yönetimi ve Süreklilik" başlığı altındaki maddelere uygun olarak logların tutulması ve yönetilmesine danışmanlık desteği verilecektir.
• EKS içerisinde hizmet veren sunucu ve istemcilerde güvenli BIOS yapılandırmalarının neler olduğuna dair bilgiler sağlanacak ve uygulanmasına danışmanlık desteği verilecektir.
• EKS içerisinde hizmet veren sunucu ve istemcilerde disk şifreleme yöntemlerinin uygulanmasına yönelik yönlendirme ve danışmanlık desteği verilecektir.
• Güvenli bir kurulum imaj dosyası, uzak erişim, ağ ayrıştırma, güvenli atlama ve uç nokta güvenlik duvarı ile erişim gibi konularda kontrolün uygulanmasına yönelik yöntemin belirlenmesi konusunda danışmanlık desteği verilecektir.
• EKS içerisinde hizmet veren sunucu ve istemcilerde sadece yetkili kullanıcıların uygulama kurmasına izin verme ve sadece güvenlik onayından geçmişuygulamaların yüklenmesine ve kullanılmasına izin verilecek şekilde kontrol uygulama tanımı gerçekleştirilecektir.
• GPS temelli saldırılara karşı koruma önlemleri hakkında danışmanlık desteği sağlanacaktır.
• EKS içerisinde hizmet veren sunucu ve istemciler üzerinde bulunan uygulamalar, üretici güncelleme ve yamalarının yayınlanmış olma ihtimaline karşı belirlenen aralıklarla kontrol edilmesi ve güvenlik açısından önem arz eden güncellemelerin endüstriyel üretici gözetiminde gerçekleştirilmesine yönelik destek sağlanacaktır.
• Beyaz liste (Whitelisting) uygulamaları hakkında yönlendirme ve danışmanlık desteği verilecektir.
• HMI güvenliği ile ilgili olarak en düşük yetki prensibi, devre dışı bırakma (bypas) ve kaçış saldırıları gibi konularda danışmanlık desteği verilecek ve alınan kurallar prosedürlerde tanımlanacaktır.
• EKS’lerine yönelik olarak politika, prosedür ve süreçler oluşturulacaktır.
• EKS’ye yönelik tehditlerin yönetilebilmesi amacı ile belirlenen kaynaklardan siber güvenlik tehdit bilgisinin toplanması, güvenlik ve süreklilik risklerinin belirlenmesi, tehdit istihbaratı gibi konularda yönlendirme ve danışmanlık desteği sağlanacaktır.
• EKS zafiyet yönetimi süreci oluşturulacak ve uygulanmasına destek sağlanacaktır.
• EKS tehdit yönetimi süreci oluşturulacak ve uygulanmasına destek sağlanacaktır.
• Endüstriyel siber güvenlik risk yönetimi süreci oluşturulacak ve uygulanmasına destek sağlanacaktır.
• Endüstriyel siber güvenlik risk yönetimi süreci oluşturulacak ve uygulanmasına destek sağlanacaktır.
• Endüstriyel siber güvenlik varlık yönetimi süreci oluşturulacak ve uygulanmasına destek sağlanacaktır.
• EKS envanterinin oluşturulması konusunda danışmanlık desteği sağlanacaktır.
• Temel konfigürasyon mimarisi oluşturulacaktır. Konfigürasyonlarda siber güvenlik açısından gerekli olan minimum isterler dokümante edilecektir.
• Temel konfigürasyon mimarisi, periyodik olarak, sistem değişiklikleri ve siber güvenlik mimarisindeki değişikliklere göre gözden geçirilmesi ve güncellenmesi için gerekli danışmanlık desteği sağlanacaktır.
• Endüstriyel Varlık, Değişim ve Konfigürasyon Yönetimi süreci oluşturulacaktır.
• Parola yönetimi prensipleri belirlenecek ve dokümante edilecektir. EKS ağında uygulanmasına yönelik yönlendirme ve danışmanlık desteği sağlanacaktır.
• EKS’de kullanılan bileşenlerde erişim ve yetki yönetimi gereklerine yönelik danışmanlık desteği sağlanacaktır. İlgili kontrol pratikleri dokümante edilecektir.
• EKS operatör kullanıcılarına ait hesapların tekil kullanıcı esasına göre oluşturulması, EKS bileşenlerine ait kullanıcı adı ve parolalar ilgili sistemden farklı bir dijital ortamda ya da fiziksel olarak saklanmasına yönelik yöntem önerileri sunulacaktır.
• Olay müdahale politika ve prosedürleri EKS’yi kapsayacak şekilde genişletilecektir. Olay izleme, raporlama, müdahale, olaylardan öğrenme gibi konularda danışmanlık hizmeti sağlanacaktır.
• Siber güvenlik olaylarının analiz edilmesi ve bildirilmesi konusunda iyi pratiklere yönelik bilgilendirme yapılacak ve ilgili kontrole yönelik yönlendirme ve danışmanlık desteği sağlanacaktır. • Hizmet kesintisi, görüntü kaybı, kontrol kaybı, üretim kaybı gibi durumlara yönelik süreklilik planlarının hazırlanması, test edilmesi ve olayın yaşanmaması ile ilgili risk değerlendirmesine girdi sağlanacaktır.
• Yedekleme (Backup) ve yedeklilik (redundancy) konularında yedekleme listesi, yedekleme planı, yedekleme prosedürü gibi konularda gerekli hazırlıkların yapılması için destek sağlanacaktır. • Hizmet kesintisi, görüntü kaybı, kontrol kaybı, üretim kaybı gibi durumlara yönelik süreklilik planlarının hazırlanması, test edilmesi ve olayın yaşanmaması ile ilgili risk değerlendirmesine girdi sağlanacaktır.
• EKS için acil durum yönetimi prosedürleri hazırlanacaktır.
• Sayaç yapısında yer alan tüm bileşenlerin ve iletişim cihazlarının envanterinin oluşturulması, güvenli yapılandırma kontrol listesi, risk yönetimi, güvenli yönetim gibi konularda danışmanlık desteği verilecektir.
• Endüstriyel operasyonda kullanılan ekipman ve cihazların güvenli konfigürasyonuna dair yapılandırma parametreleri hazırlanacak ve uygulanması için danışmanlık desteği verilecektir.
• EKS için kullanılan SCADA konfigürasyon dosyaları ve lojik dosyaları için bütünlük kontrolleri tanımlanacak ve uygulanması için yönlendirme desteği sağlanacaktır.
• EKS için kullanılan SCADA konfigürasyon dosyaları ve lojik dosyaları sürüm numaraları ile takip edilebilmesine yönelik süreç hazırlanacaktır.
• EKS için kullanılan SCADA konfigürasyon dosyaları ve lojik dosyalarının saklandığı alanlara sadece yetkili kişi ve grupların eriştiği garanti altına alınması için gerekli süreç hazırlanacak ve destek sağlanacaktır.
• EKS için ek olarak kullanılan safety/emniyet sistemleri (yangın, acil durum vb.) ağ seviyesinde izole edilmesi için gerekli danışmanlık desteği sağlanacaktır.
• EKS altyapılarında çalışan tüm personelin yasal mevzuata uygun alınması, çalıştırılması ve görevlerinin sonlandırılmasına kadar geçen zamanda gerekli kontrollerin uygulanmasına destek sağlanacaktır. Gizlilik sözleşmeleri, geçmiş doğrulamaları, farkındalık eğitimleri gibi tüm konularda danışmanlık desteği sağlanacaktır.
• EKS altyapılarında üçüncü taraflarca sağlanan taşeron personellerin hem birinci derece bağlı oldukları hem de hizmet sundukları kuruluşlar için bu başlık altındaki süreçlerin işletimi için danışmanlık desteği sağlanacaktır.
• Yerleşke, Veri merkezi, uç saha, kontrol merkezi ve acil durum kontrol merkezi giriş çıkışı, yetkisiz erişimler, izleme sistemleri vb alınması gereken tüm tedbirler için danışmanlık desteği sağlanacaktır.
• Tedarik zinciri ve dış bağımlılıklar konusunda gerekli prosedür ve süreçler hazırlanacaktır.
• Tedarikçi risk yönetimi süreci hazırlanacak ve devreye alımı konusunda danışmanlık hizmeti sağlanacaktır.
Siber güvenlik yetkinlik modeli uyum danışmanlığının sağladığı başlıca faydalar şunlardır:
• Kritik altyapıların siber saldırılara karşı dayanıklı hale gelmesini sağlar
• Siber güvenlik açıklarının belirlenmesi ve potansiyel tehditlere karşı risklerin minimize edilmesini sağlar
• Düzenleyici kurumlar tarafından yapılan denetimlerde olumlu sonuçlar alınmasını sağlar,• Potansiyel siber saldırılara karşı daha hızlı ve etkili bir müdahale süreci sağlar
• Çalışanlar arasında siber güvenlik farkındalığının artırılması, olası sosyal mühendislik saldırılarının engellenmesine katkı sağlar
• Siber güvenlik tehditlerine karşı güçlü bir savunma mekanizması oluşturulmasını sağlar.
BTYÖN olarak, Enerji sektörü deneyimimiz ile EPDK SGYM (Siber Güvenlik Yetkinlik Modeli) yükümlülüğünüzün yerine getirilmesi ve devamında kontrollerin etkin işletimi için gerekli destekler sağlanmaktadır.