28-SİBER GÜVENLİK ÖNLEMLERİ

Rüzgar santrallerinde var olan altyapı bileşenleri aşağıdaki gibidir:

-Endüstriyel Kontrol Sistemleri (EKS) bileşenleri: Scada, PLC, HMI, controller, DCS bileşenleri
-Kurumsal Bilişim Sistemleri (KBS) bileşenleri: Masaüstü/Kişisel bilgisayarlar, Dosya, uygulama, veri tabanı, e-posta sunucuları vb.
-Fiziksel Bileşenler: Çit, bariyer, sistem odası, donanım güvenliği vb.

ISA 99 (Industry Standards on Automation) Endüstriyel Otomasyon ve Kontrol Sistemleri Güvenlik Standardıdır. Ağ üzerinde etkin ve güvenli üretim uygulamalarının tasarlanması için politikaları ve yapıları tanımlar [2]. ISA/IEC 62443 standart ile şirketlerin kritik altyapı ve kontrol sistemlerindeki olası açıkları incelenmesi ve etkin koruma önlemleri geliştirilmesi için temel oluşturulması hedeflenmektedir. IEC 62443 standardı, dört temel üzerinde şekillendirilmiştir [3]:

-Standart fonksiyonları içerir.
-Zorunlu şartları karşılayan endüstriyel otomasyon ve kontrol sistemleri için IT güvenlik yönetimi sisteminin çerçevesini belirlemektedir.
-Endüstriyel otomasyon ve kontrol sistemleri (IACS) için tasarı kılavuzu olarak kullanılabilecek teknik özelliklerdir.
-Kontrol sistemi bileşenlerine ilişkin tasarım ve geliştirme şartlarından oluşmaktadır.
ISA 99 komitesi, Purdue Enterprise Reference Architecture (PERA) modeli ve ICS ağ bölümlemesi için bu modeli kullanmıştır. Purdue model katmanlı mimarisi, her katmanın gereksinimlerini dikkate alarak BT ve kritik ağları alt ağlara (alt ağlar veya VLAN) ayırma ilkesine dayanır. Purdue modeli 6 katmandan oluşur ve belirtilen 6 katmanın her biri için, aşağıdaki dört ana odak alanı üzerinde ayrı ayrı durulmalıdır.

1.Giriş kontrolü, 2.Log Yönetimi, 3.Ağ güvenliği ve 4.Uzaktan erişim

-Bu kapsamda değerlendirilen her yapı için ayrı ayrı çok katmanlı mimari işletilmeli ve genel olarak da aşağıdaki siber güvenlik önlemleri alınmalıdır.
-Endüstriyel kontrol sistemleri direkt internete bağlanmamalı.
-Sisteme giriş yapmak için kimlik doğrulamayı ve çok faktörlü korumayı (2FA, MFA) zorunlu yapılmalı.
-Hesap kilitleme özelliğini aktif hale getirilmeli ve ağdan dışarı ve içeri yetkisiz uzaktan bağlanma programları kullanılmamalı.
-Türbinlere ve merkezi veri toplama sistemlerine yapılacak uzak bağlantı altyapısı için güvenli VPN yapısı kurulmalı ve bu oturumlar kayıt edilmeli.
-Varsayılan sistem hesaplarını kaldırın, devre dışı bırakın veya yeniden adlandırılmalı.
-Tüm hesaplar için güçlü karmaşıklığı olan şifreler seçilmeli ve 3/6 ayda bir bunlar değiştirilmeli.
-Yönetici hesaplar sürekli incelenmeli.Loglar sürekli kontrol edilmeli ve korelasyon kuralları yazılmalı.
-Saha düzeyinde(OT) zafiyet ve tehlikelerden haberdar olunmalı!
-Donanımlar ve yazılımlar olabildiğince güncel olmalı. Güvenli yama mekanizması!
-Çalışan farkındalığı ve eğitim sürekli yapılmalıdır.
-Kritik bir durumda ne yapılması gerektiği bilinmeli ve belirli aralıkla tatbikatlar yapılmalıdır.
-Risk analizleri, politikalar, dökümantize edilmiş süreçler ve kontrol listeleri hayat kurtarabilir! ISO27001 zorunlu alınıyor ama bizi bu sertifika saldırılara karşı korumaz!
-Network seviyesinde önlemler (üretim FW, VLAN ayrılması, ACL, anti-virüs, USB bloklama vb.) alınmalı.
-Sızma testleri belirli aralıklar ile yapılmalı ve çıktıları üzerinde durulmalı!

Yazar: Çağrı Polat-Maxion S.A.
Kaynak:
[1] https://www.slideshare.net/ZhreAydn/kritik-enerji-altyapilarinin-korunmasi-ve-siber-gvenlik
[2]https://otomasyonadair.com/2014/11/07/bilinmesi-gereken-4-it-standardi/
[3]https://www.tuv-sud.com.tr/tr-tr/merkez/kaynak-merkezi/yayimlar/e-ssentials-haber-buelteni/demiryolu-hizmetleri-ile-ilgili-e-ssentials/e-ssentials-3-2015/certification-according-to-iec-62443-boosting-security-against-cyber-attacks