EPDK Uyumlu Endüstriyel Kontrol Sistemleri (EKS/SCADA) Sızma Testi
Enerji sektörü, Türkiye’nin en kritik altyapılarının başında gelmektedir. Bu alanda faaliyet gösteren kurumların siber güvenlik olgunluğu, sadece kendi operasyonel süreklilikleri için değil, aynı zamanda ulusal güvenlik için de hayati bir öneme sahiptir. Enerji Piyasası Düzenleme Kurumu (EPDK), bu kritik önemin farkında olarak, 16 Temmuz 2023 tarihli Resmî Gazete’de yayımlanan “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul ve Esasları” ile sektöre yönelik siber güvenlik standartlarını net bir şekilde belirlemiştir.
ESBİLGİ olarak, enerji sektöründe faaliyet gösteren değerli kurumların bu yasal yükümlülükleri eksiksiz bir şekilde yerine getirmeleri ve siber dayanıklılıklarını en üst seviyeye çıkarmaları için EPDK regülasyonlarına tam uyumlu EKS/SCADA Sızma Testi hizmeti sunuyoruz. Uzman ve sertifikalı ekibimizle, endüstriyel kontrol sistemlerinizi potansiyel siber tehditlere karşı analiz ediyor, zafiyetlerinizi tespit ediyor ve aksiyon planlarınız için detaylı bir yol haritası sunuyoruz.
Endüstriyel Kontrol Sistemleri (EKS) Nedir ve Neden Bu Kadar Kritik?
Endüstriyel Kontrol Sistemleri (EKS), en genel tanımıyla endüstriyel süreçleri otomatikleştirmek, izlemek ve kontrol etmek için kullanılan donanım ve yazılım bileşenlerinin bütünüdür. Bu sistemler; enerji üretim ve dağıtım altyapıları, doğal gaz şebekeleri, petrol rafinerileri, su arıtma tesisleri ve savunma sanayi gibi son derece kritik alanlarda operasyonların kalbini oluşturur.
EKS yapıları; SCADA, DCS (Dağıtık Kontrol Sistemleri), PLC (Programlanabilir Mantık Kontrolcüsü), RTU (Uzak Terminal Ünitesi) ve HMI (İnsan-Makine Arayüzü) gibi birçok bileşenden oluşur. Geçmişte izole ağlarda çalışan bu sistemler, günümüzde verimliliği artırmak amacıyla kurumsal bilişim teknolojileri (IT) ağları ve internet ile entegre hale gelmiştir. Bu entegrasyon, sistemleri siber saldırılara karşı daha savunmasız hale getirmiştir. EKS’lere yönelik başarılı bir siber saldırı, üretimin durmasına, büyük finansal kayıplara ve hatta kamu güvenliğini tehdit eden felaketlere yol açabilir.
EPDK Siber Güvenlik Yönetmeliği Kapsamında Kimler Sorumlu?
6 Haziran 2023 tarihli “Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği”ne göre, EKS sızma testi ve güvenlik analizlerini yaptırmakla yükümlü olan kuruluşlar net bir şekilde tanımlanmıştır. Eğer kuruluşunuz aşağıdaki lisans sahiplerinden biriyse, bu yasal zorunluluğa tabisiniz:
Elektrik Piyasası:
Kurulu gücü 100 MWe ve üzerinde olan her bir elektrik üretim tesisi sahibi.
Elektrik iletim ve dağıtım lisansı sahipleri.
Black-Start özelliğine sahip üretim tesisleri.
Doğal Gaz Piyasası:
Boru hattı ile iletim yapan doğal gaz iletim lisansı sahipleri.
Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahipleri.
Doğal gaz depolama lisansı (LNG ve yer altı) sahipleri.
Petrol Piyasası:
Ham petrol iletim lisansı sahipleri.
Rafinerici lisansı sahipleri.
ESBİLGİ, yönetmelik kapsamında yer alan tüm bu kurumlar için uçtan uca bir denetim hazırlık ve sızma testi hizmeti sunarak yasal uyumluluk sürecinizi kolaylaştırır.
ESBİLGİ'nin EPDK Uyumlu EKS Sızma Testi Metodolojisi
ESBİLGİ olarak gerçekleştirdiğimiz testler, tek seferlik bir zafiyet taramasından çok daha fazlasıdır. Metodolojimizin temelinde, kurumunuzun siber güvenlik riskini sürekli olarak yönetmeyi ve azaltmayı hedefleyen bütünsel bir Güvenlik Açığı Yönetim Programı (VMP) felsefesi yatar. Etkili bir güvenlik açığı yönetimi, aşağıdaki temel süreçleri içeren sistematik bir yaklaşımdır:
Sistem Keşfi: Kurumunuzun ağındaki Endüstriyel Kontrol Sistemleri (EKS) ile ilişkili tüm altyapı varlıklarının eksiksiz bir şekilde belirlenmesi.
Varlık Sınıflandırması: Ağ altyapı bileşenleri, fiziksel ve sanal sunucular, son kullanıcı cihazları ve bulut tabanlı uç noktalar gibi varlıkların ortak özelliklerine göre gruplandırılması.
Güvenlik Açığı Algılama: Belirlenen varlıklar üzerindeki potansiyel güvenlik açıklarının ileri teknoloji araçlar ve uzman analizleriyle bulunması ve doğrulanması.
Güvenlik Açığı Triyajı: Tespit edilen zafiyetlerin, operasyonel ve ticari hedeflere olan potansiyel etkilerine göre “acil, kritik, yüksek” gibi seviyelerle önceliklendirilmesi.
Güvenlik Açığı Düzeltmesi: Belirlenen her bir sorun için net, uygulanabilir ve etkileri analiz edilmiş çözüm yollarının tavsiye edilmesi.
Bu çerçevede, EPDK’nın yasal mevzuatında zorunlu kıldığı tüm testleri eksiksiz bir şekilde kapsayarak kurumunuza özel bir yol haritası sunuyoruz.
Tipik Bir Sızma Testi Süreci (5 Günlük Plan Örneği)
Teorik yaklaşımımızı pratiğe döktüğümüz tipik bir sızma testi projesi, aşağıdaki adımları içerir:
1. Gün: Keşif ve Yerel Ağ (LAN) Zafiyet Taraması Kurumunuzun merkez yerel ağı (LAN) ve belirlenen IP aralıkları üzerinde kapsamlı bir tarama başlatılır. Bu aşamada, erişilebilen tüm sunucular, işletim sistemleri, yazılım sürümleri ve ağ servisleri tespit edilir. Ardından bu varlıklar üzerindeki bilinen güvenlik açıkları taranarak potansiyel riskler ortaya çıkarılır.
2. ve 3. Gün: Zafiyet Sömürme ve Sisteme Erişim Denemeleri İlk gün tespit edilen kritik zafiyetler üzerinde sömürü (exploitation) çalışmaları yapılır. Uzman ekibimiz, bu zafiyetleri kullanarak hedef sistemlere yetkili erişim elde etmeye çalışır. Amaç, bir saldırganın bu açıkları kullanarak ne kadar ilerleyebileceğini ve hangi verilere ulaşabileceğini somut olarak göstermektir.
4. Gün: Kaba Kuvvet (Brute Force) Saldırıları Kurum IP bloğunda tespit edilen ve kimlik doğrulama gerektiren servislere (Uzak Masaüstü, SSH, veritabanı vb.) yönelik kaba kuvvet saldırıları düzenlenir. Bu testler, sistemlerinizdeki varsayılan veya zayıf parolaların kullanımını tespit ederek parola politikalarınızın etkinliğini ölçer.
5. Gün: Kablosuz Ağ Güvenlik Testleri Kurumunuzdaki kablosuz ağ altyapısının güvenlik denetimi gerçekleştirilir. Şifreleme standartları, kimlik doğrulama mekanizmaları ve yetkisiz erişime karşı alınan önlemler test edilir.
Kapsamlı Raporlama ve Aksiyon Planı
Test sürecinin sonunda, tamamen Türkçe olarak hazırlanan detaylı bir rapor sunulur. Raporlarımızda;
Tespit edilen her bir güvenlik açığına ilişkin yeterli seviyede teknik detay,
Açığın giderilmesi için yapılması gereken adımların net bir şekilde anlatımı,
Önerilen çözümlerin uygulanması durumunda ortaya çıkabilecek olası etkiler belirtilir.
Bu rapor, EPDK’ya sunmanız gereken ve kurumunuzun siber dayanıklılığını artıracak olan aksiyon planını oluşturmanız için size stratejik bir yol haritası sağlar.
Neden ESBİLGİ ile Çalışmalısınız?
EPDK Yetkinliklerine Sahip Uzman Kadro: Ekibimiz, EPDK yönetmeliğinde belirtilen Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimleri sonrasına başarı sertifikasına sahip olmuş, uluslararası geçerliliği olan Comptia Security+ sertifikasına sahip kişilerden oluşmaktadır.
TSE 13638 Kapsamında Yetkinlik: ESBİLGİ, sızma testi hizmetleri için TSE 13638 standardı kapsamında B sınıfı yetkinliğe sahiptir.
Regülasyon Odaklı Yaklaşım: Tüm test süreçlerimizi ve raporlamalarımızı doğrudan “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul ve Esasları”na uygun olarak yürütüyoruz.
Detaylı Raporlama ve Aksiyon Planı: Test sonunda sadece bulguları listelemekle kalmıyor, aynı zamanda tespit edilen her bir zafiyet için önem derecesini, potansiyel riskleri ve bu riskleri gidermeye yönelik uygulanabilir önerileri içeren kapsamlı bir rapor sunuyoruz.
ESBİLGİ, TSE tarafından TS-STF-038 koduyla sızma testi yapan firma yetkilendirilmiştir. Sızma testi teklifi almak için info@esbilgi.com adresine e-posta iletebilir veya 0 216 606 02 87 numaralı telefondan irtibata geçebilirsiniz.
Referanslarımız
