28-SİBER GÜVENLİK ÖNLEMLERİ

Rüzgar santrallerinde var olan altyapı bileşenleri aşağıdaki gibidir:

1-Endüstriyel Kontrol Sistemleri (EKS) bileşenleri: SCADA, PLC, HMI, kontrolör, DCS bileşenleri
2-Kurumsal Bilişim Sistemleri (KBS) bileşenleri: Masaüstü/Kişisel bilgisayarlar, dosya, uygulama, veri tabanı, e-posta sunucuları vb.
3-Fiziksel Bileşenler: Çit, bariyer, sistem odası, donanım güvenliği vb.

ISA 99 (Industry Standards on Automation) bir endüstriyel otomasyon ve kontrol sistemleri güvenlik standardıdır. Ağ üzerinde etkin ve güvenli üretim uygulamalarının tasarlanması için politikaları ve yapıları tanımlar [2]. ISA/IEC 62443 standardı ile şirketlerin kritik altyapı ve kontrol sistemlerindeki olası açıkların incelenmesi ve etkin koruma önlemlerinin geliştirilmesi için temel oluşturulması hedeflenmektedir. IEC 62443 standardı, dört temel üzerinde şekillendirilmiştir [3]:

1-Standart fonksiyonları içerir.
2-Zorunlu şartları karşılayan endüstriyel otomasyon ve kontrol sistemleri için IT güvenlik yönetimi sisteminin çerçevesini belirlemektedir.
3-Endüstriyel otomasyon ve kontrol sistemleri (IACS) için tasarım kılavuzu olarak kullanılabilecek teknik özelliklerdir.
4-Kontrol sistemi bileşenlerine ilişkin tasarım ve geliştirme şartlarından oluşmaktadır.

ISA 99 komitesi, Purdue Enterprise Reference Architecture (PERA) modeli ve ICS ağ bölümlemesi için bu modeli kullanmıştır. Purdue modeli katmanlı mimarisi, her katmanın gereksinimlerini dikkate alarak BT ve kritik ağları alt ağlara (alt ağlar veya VLAN) ayırma ilkesine dayanır. Purdue modeli 6 katmandan oluşur ve belirtilen 6 katmanın her biri için, aşağıdaki dört ana odak alanı üzerinde ayrı ayrı durulmalıdır.

1.Giriş kontrolü, 2.Log Yönetimi, 3.Ağ güvenliği 4.Uzaktan erişim

-Bu kapsamda değerlendirilen her yapı için ayrı ayrı çok katmanlı mimari işletilmeli ve genel olarak da aşağıdaki siber güvenlik önlemleri alınmalıdır.
-Endüstriyel kontrol sistemleri doğrudan internete bağlanmamalıdır.
-Sisteme giriş yapmak için kimlik doğrulama ve çok faktörlü koruma (2FA, MFA) zorunlu yapılmalıdır.
-Hesap kilitleme özelliği aktif hale getirilmeli ve ağdan dışarı ve içeri yetkisiz uzaktan bağlanma programları kullanılmamalıdır.
-Türbinlere ve merkezi veri toplama sistemlerine yapılacak uzak bağlantı altyapısı için güvenli VPN yapısı kurulmalı ve bu oturumlar kayıt edilmelidir.
-Varsayılan sistem hesaplarını kaldırılmalı, devre dışı bırakılmalı veya yeniden adlandırılmalıdır.
-Tüm hesaplar için güçlü karmaşıklığı olan şifreler seçilmeli ve 3-6 ayda bir bunlar değiştirilmelidir.
-Yönetici hesaplar sürekli incelenmeli, loglar sürekli kontrol edilmeli ve korelasyon kuralları yazılmalıdır.
-Saha düzeyinde(OT) zaafiyet ve tehlikelerden haberdar olunmalıdır.
-Donanımlar ve yazılımlar güvenli bir yama mekanizmasıyla olabildiğince güncel olmalıdır.
-Çalışan farkındalığı sürekli eğitimle arttırılmalıdır.
-Kritik bir durumda ne yapılması gerektiği bilinmeli ve belirli aralıkla tatbikatlar yapılmalıdır.
-Risk analizleri, politikalar, dökümante edilmiş süreçler ve kontrol listelerinin hayati önemdedir. ISO 27001 bilgi güvenliği yönetim sistemi standartlarına yönelik zorunlu bir sertifikadır ancak günümüz koşullarında bu sertika saldırılarak karşı yeterli değildir.
-Network seviyesinde önlemler (üretim FW, VLAN ayrılması, ACL, anti-virüs, USB bloklama vb.) alınmalıdır.
-Sızma testleri belirli aralıklar ile yapılmalı ve çıktıları dikkatle incelenmelidir.

Yazar: Çağrı Polat-Maxion S.A.