Dijitalleşmenin yaşamın her alanını büyük ölçüde dönüştürdüğü 21. yüzyılda enerji sektörü de söz konusu değişimden payını alıyor. Fakat dijital dönüşümün bu denli aktif bir paydaş hâline geldiği modern çağ, siber saldırı tehditlerini de beraberinde getiriyor. Çeşitli veri ihlali durumlarına yol açabilecek dijital sorunlar siber güvenlik ihtiyaçlarını ise zorunlu kılıyor. Kurumların, itibar kaybının ve ekonomik zararların önüne geçebilmek için en başta erişim güvenliği ile ilgili birtakım önlemler alması gerekiyor.
Enerji sektöründeki kurumların, veri güvenliği açısından faaliyete geçirmesi gereken önlemleri detaylı şekilde incelemeden önce söz konusu sektörün siber güvenlik bağlamında neden savunmasız olduğunu ele almak yararlı olabilir.
Sektörün can damarını oluşturan elektrik, petrol ve doğal gaz şirketlerinin karşılaştığı tipik siber saldırılar arasında; fidye yazılımı, veri hırsızlığı, fatura dolandırıcılığı gibi diğer sektörlerin de maruz kaldığı tehditleri görmek pekala mümkün. Fakat enerji sektörünün mücadele ettiği siber tehditler sadece o sektörü değil, geniş kapsamlı kamu hizmetlerini olumsuz etkileyeceği için büyük önem taşıyor.
Nitekim enerji sektörünün büyük ölçüde savunmasız olması da tam olarak bununla ilgili. Finansal kâr elde etme ve altyapı hizmetlerini durdurma isteği ile enerji sektörünü hedef alan siber suçlular; sadece BT ağlarına değil, bir gaz şirketinin boru hattı operasyonuna da saldırabilir. Hatta ağlardan ziyade fiziksel görünürlüğe sahip bileşenleri hedef almak siber saldırganlar için daha kolay. Zira enerji sektöründeki kurumların kompleks organizasyon yapıları ve coğrafi mesafenin çabuk önlem alınabilir düzeyin çok üstünde olması ilgili sektörü otomatik olarak siber tehditlere karşı savunmasız konuma getiriyor.
Yakın zamanda Amerika Birleşik Devletleri’nde enerji sektörünün tehditlere açık pozisyonunu ve neden siber tehditler konusunda güvenlik önlemleri alınması gerektiğini gözler önüne seren olaylar yaşandı. 7 Mayıs 2021’de Amerikan petrol boru hattı Colonial Pipeline fidye yazılımı saldırısına uğradı. Ayrıca Amerika Birleşik Devletleri İç Güvenlik Bakanlığı tarafından yapılan açıklamaya göre Şubat 2020’de bir doğalgaz kompresör tesisini iki gün boyunca çalışamaz hâle getiren bir siber saldırı meydana geldi.
Örneklerde de gördüğünüz üzere, fidye yazılımı saldırıları (Ransomware) enerji sektörünü ve toplumları uzun süreli kayıplarla baş başa bırakabilecek kadar önemli bir problem.
Detaylı şekilde bahsettiğimiz siber saldırıların önüne geçmek amacıyla enerji sektörü birtakım regülasyonlara tabi tutuluyor. Ancak hem regülasyonları uygulamadaki yetersizlikler hem de doğru bilinen yanlışlar enerji sektörünün veri ihlallerine karşı başarıyla korunmasının önüne geçiyor.
Türkiye’de enerji sektörüne yönelik uygulanan temel siber güvenlik regülasyonu ise ISO 27001. Resmi Gazete’de yayımlanarak 2014’te yürürlüğe giren kanuna göre enerji sektöründeki firmaların ISO standartlarında belirtilen şekli ile bir BT yönetim sistemi kurması gerekiyor. Standartlara uygun biçimde BT yönetim sistemi kuran firmalar ISO 27001 belgesini almaya hak kazanıyor ancak söz konusu belgeye sahip olmak siber tehditlerden tam anlamıyla korunmak için tek başına yeterli değil. ISO 27001’e ek olarak farklı siber güvenlik çözümlerine yönelmeniz gerekiyor.
Öte yandan enerji sektöründe siber güvenlik ve Operational Technology (OT) ile ilgili doğru olduğu zannedilen yanlışlar da şirketleri tehditlere açık duruma getiriyor. Örnek vermek gerekirse OT sistemlerinde air-gapping yönteminin güvenliği tahsis etmenin en iyi yollarından biri olduğu hep ifade ediliyor. Fakat bugün siber saldırganlar bir air gap uygulamasının var olduğu ağlara laptop ve USB aygıtları kullanarak rahatlıkla sızıyor. Konuyla ilgili bir diğer mit ise güvenlik duvarlarının şirketinizi her türlü tehditten koruyacağı. Bir güvenlik duvarının tek başına müthiş bir koruma ortamı sağlamasının mümkün olmadığını not düşmekte yarar var.
Ayrıcalıklı Erişim Yönetimi (PAM), enerji sektöründeki siber güvenlik tehditlerini veri ve erişim güvenliği açısından gidermek amacıyla tercih edilebilecek en iyi metodolojilerden biri.
IoT aygıtları ve üçüncü paydaşlar için güvenli bir uzaktan erişim hizmeti sunan PAM, ağ üzerinde yetkili hesap erişim yetkisi verdiğiniz tüm hesapların etkinliğini gözlemlemenize ve kontrol altında tutmanıza yardım ediyor. Otomatik parola kontrolleri uygulayan Ayrıcalıklı Erişim Yönetimi, şifreler de dahil olmak üzere, tüm kimlik bilgilerini şifreli kasalarda saklamanızı mümkün kılıyor. Söz konusu özelliklerin tamamı PAM’in bünyesinde yer alan modüller sayesinde ortaya çıkıyor.
Kritik düzeydeki enerji altyapılarının korunması için en iyi çözümlerden biri olan PAM izleme, koruma ve kontrol etme işlevlerini sorunsuz şekilde yerine getiriyor. Biz de Kron olarak geliştirdiğimiz PAM ürünümüz Single Connect ile enerji sektöründe faaliyet gösteren şirketlerin veri ve erişim güvenliği ile ilgili endişelerini gidererek kapsamlı bir siber güvenlik çözümü ortaya koyuyoruz.
2021 Gartner Magic Quadrant for PAM raporunda yer alarak üst üste ikinci kez bu rapora giren ve dünyanın önde gelen PAM çözümlerinden biri olduğunu kanıtlayan Single Connect hakkında detaylı bilgi almak için uzman ekiplerimiz ile bağlantı kurabilirsiniz.