Enerji tesislerinde EKS ağlarının kurumsal BT altyapısından ayrıştırılmaması, siber tehditlerin tüm operasyonel sistemlere yayılmasına zemin hazırlar. EPDK’nın EKS Güvenlik Kontrolleri çerçevesinde ağ güvenliği ve sınır koruma, en kapsamlı ele alınan konulardan biridir.
Neden Ağ Segmentasyonu?
EKS ağları ile kurumsal ağların aynı omurgada bulunması, her iki tarafın güvenlik açıklarının birbirini doğrudan etkilemesine yol açar. Ofis ortamında kullanılan bir cihaza bulaşan zararlı yazılım, segmentasyon yoksa saniyeler içinde SCADA sistemlerine ulaşabilir.
Temel Riskler
EKS Ağının Diğer Ağlardan Ayrılmamış Olması
Kurumsal ağ, kablosuz ağ veya misafir ağı gibi ortamlardan EKS sistemlerine kontrolsüz erişim mümkün olduğunda saldırı yüzeyi büyük ölçüde genişler. Fiziksel ve mantıksal ağ yapılandırmaları ile ağların birbirinden ayrılması bu riski önemli ölçüde azaltır.
EKS Sistemlerinin İnternet’ten Erişilebilir Olması
Kontrol sistemlerine doğrudan internet erişimi, hizmet engelleme (DDoS) saldırıları ve uzaktan istismar için kolay bir hedef oluşturur. K16.1 ve K16.2 kapsamında; iç veya dış ağlara açılan arayüzlerin kısıtlanması ya da tamamen engellenmesi sınır güvenliğinin temelini oluşturur.
Güvensiz Protokoller Kullanımı
FTP, Telnet, HTTP gibi şifrelenmemiş protokoller; EKS trafiğinin dinlenmesine ve manipüle edilmesine olanak tanır. K16.3 gereğince işletme, trafik gizliliğini ve bütünlüğünü güvence altına almalıdır.
Gereksiz Port ve Protokollerin Açık Kalması
Bilgi sistemlerinde açıkça tanımlanmamış port, protokol ve servislerin çalışması engellenmelidir. K16.2, K16.3 ve K1.1 kontrolleri bu zorunluluğu açıkça ifade etmektedir.
Sınır Güvenliği Mimarisi: Temel Bileşenler
- Güvenlik duvarları (Firewall) — OT/IT sınırında
- Demilitarize bölge (DMZ) mimarisi
- Tek yönlü ağ geçitleri (Data Diode)
- Ağ tabanlı saldırı tespit/önleme sistemleri (IDS/IPS)
- Güvenli VPN tünelleri — zorunlu uzaktan erişim durumları için
- Ağ geçidi güvenlik duvarları ve yönlendiriciler arası erişim kontrol listeleri
Sınır Güvenliği Sistemlerinin Sürdürülmesi
Pasif konumda bırakılan ya da EKS trafiğine özgü kural setleriyle yapılandırılmamış sınır güvenliği sistemleri, kâğıt üzerinde var olan ancak pratikte işlevsiz bir koruma sağlar. Sistemlerin aktif, güncel ve EKS protokollerine (Modbus, DNP3, IEC 61850 vb.) uyumlu biçimde yapılandırılmış olması kritik önem taşır.
Sonuç
Ağ segmentasyonu ve sınır güvenliği, EKS siber güvenlik olgunluğunun temel göstergesidir. Doğru mimarisi kurulmamış ağlar, diğer tüm güvenlik yatırımlarının değerini önemli ölçüde düşürür.
Esbilgi (Esmer Bilgi Teknolojileri) EPDK tarafından SGYM/1302490/BSU3L225NZ4 nolu sertifika ile Denetim Firması olarak yetkilendirilmiştir. Hizmetlerimiz hakkında daha detaylı bilgi almak için bize info@esbilgi.com e-posta adresinden veya 0 216 606 02 87 numaralı telefondan ulaşabilirsiniz.