DÜNYA PETROL KONGRESİ’NİN ARDINDAN ENERJİDE BİLİŞİM SİSTEM GÜVENLİĞİ
H.Çiğdem Yorgancıoğlu 15 Temmuz 2017
Ransomware,Wannacry siber saldırısı, dijital dönüşüm çağında siber saldırı riskinin artması, özellikle enerji gibi stratejik sektörlerde güvenlik çözümlerinin giderek daha öne çıkmasına neden olmakta. Dünya Enerji Konseyi’nin 2016 da yayımladığı[i] “Dirençliliğe Giden Yol: Siber Risk Yönetimi / The Road to Resilience–Managing Cyber risks ” raporuna göre, enerji şirketlerine yönelik siber saldırı sayılarında büyük artış yaşandı. Elektrik enerjisinin üretim endüstrisinin , dijital dönüşüm sayesinde daha verimli bir geleceğe hazırlandığı bir çağda yaşamaktayız. Davos’ta ‘Dördüncü Sanayi Devrimi' sloganı ile toplanan, Digital Transformation of Industries (DTI)-Sanayilerin Dijital Dönüşümleri üzerine pek çok oturumun gerçekleştiği 2016 yılında Dünya Ekonomik Forumu (WEF) ’na göre 2025 yılına kadar elektrik alanındaki[ii] bu dönüşümüne dair projeksiyon 1,3 trilyon dolarlık fırsatı öngörmekteydi. Forum bunu şu sözlerle ifade ediyordu “The electricity sector is ripe for realizing value from rapid digital transformation; we estimate that there is more than $1.3 trillion of value for industry with a further $1.7 trillion for society to be captured globally from 2016 to 2025” Enerji santrallerinin servis platformlarıyla donatılması, bulut bilişim ve endüstriyel İnternet olanaklarının kullanılması bu dijital dönüşümün bir parçasıdır ve bu sayede enerji üretiminde ve enerji altyapılsında öngörülebilirlik, güvenilirlik, gelişmiş altyapı verimliğin yanısıra enerjinin kullanıcılara kesintisiz iletimi açısından avantajlar taşımaktadır.
1933 yılında ilki düzenlenen, her üç yılda bir gerçekleşen WPC, World -Dünya Petrol Kongreleri Küresel petrol ve doğalgaz sektörünün geleceğini belirleyen ve Petrol ve Gaz endüstrisinin en büyük ve prestijli etkinliği olarak anılan ve bu sene “Enerji Geleceğimize Köprüler” (Bridges to our Energy Future) teması ile düzenlenen 22. Dünya Petrol Kongresi [iii] 9-13 Temmuz tarihleri arasında İstanbul’da gerçekleşti. BT Haber’i temsilen katıldığım, sektörü doğrudan ve dolaylı olarak etkileyen ekonomi, teknoloji, işbirliği gibi bütün bileşenlerin bütüncül bir yaklaşımla irdelendiği ve enerji arzının sürekliliğinin sağlanmasının önemine de dikkat çeken Kongrenin sona erdiği gün sektörde bu sürekliliğin sağlanmasına dair önemli bir gelişme oldu. Enerji Piyasası Düzenleme Kurumundan (EPKD) kritik enerji altyapılarında kullanılan endüstriyel kontrol sistemlerinin (EKS) bilişim süreçlerinin takibi, sistem sürekliliğinin sağlanmasıyla siber güvenliğinin sağlanmasına yönelik usul ve esasları düzenleyen Enerji Sektöründe kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği 13 Temmuz 2017 tarihinde Resmi gazetede yayınlandı.
Enerji piyasasında faaliyet gösteren ve EPKD tarafından kritik altyapı olarak belirlenen yükümlü kuruluşların EKS’lerinde kullanılan bilişim sistemlerinin güvenlik ve güvenilirliğinin sağlanması için risklerin değerlendirilerek azaltılması veya ortadan kaldırılması veya gerçekleşmesi durumunda etkilerinin azaltılması için aksiyonların tespit edilmesi için uygulanacak usul ve esasları kapsayan, hizmet kalitesinin yükseltilmesi ve enerji arzının sürekliliğinin sağlanmas,ulusal düzenleme ile ulusal ve/veya uluslararası standartların dikkate alınması, kaynakların düzenli, şeffaf ve etkin kullanımının sağlanması,lisans sahibi tüzel kişilerin Yönetmelik kapsamında EKS bilişim güvenlik önlemlerini almalarının ve uygulamalarının temini ve enerji zincirindeki kritik sistemlerin tehdit ve zafiyetlere karşı güvenliğinin arttırılması gibi temel ilkeler ışığında ilerleyen sözkonusu yönetmeliğe; dayanak açısından baktığımızda 20/2/2001 tarihli ve 4628 sayılı EPKD’nin Teşkilat ve Görevleri Hakkında Kanunun ilgili madde,fıkra ve bendiyle Ulusal Siber Güvenlik Stratejisi ve Eylem Planını görmekteyiz.
Burada Endüstriyel Kontrol Sistemi (EKS)’dan kasıt: Enerjinin üretilmesi, enerji sağlayan ham petrol, taş kömürü ve benzeri hammaddelerin işlenip tüketime hazır hale getirilmesi, enerjinin iletim veya dağıtım katmanları aracılığı ile aktarılması gibi süreçlerin tek veya çoklu merkezden izlenmesini, bazen de yönetilmesini sağlayan, kendisi ve/veya bileşenleri bilinen işletim sistemleri üzerinde koşan ya da bilinen zafiyetleri bulunan özel işletim sistemine sahip yönetim ve kontrol sistemlerini (enerji hattındaki tüm OG koruma rölelerinin izlemesi ile sahadan gelen tüm bilgileri operatöre sunmaya ve sahanın kontrolüne olanak sağlayan, Veri toplama ve arıza analizinden raporlama ve arşivlemeye kadar pek çok işi yapan ve ActiveX, COM/DCOM, OPC ve Windows DNA teknolojilerini kullanan yazılım sayesinde arızaları anlık olarak gösteren ve kaydeden Veri Tabanlı Kontrol ve Gözetleme Sistemi “SCADA”, Dağıtılmış Kontrol Sistemi “DKS”, Gelişmiş Süreç Kontrol Sistemi “APC”, Programlanabilir Mantık Kontrolcüsü “PLC”, Uzak Terminal Ünitesi (RTU) vb.) olarak anlaşılabilir. Bu noktada Enerji izleme sistemiyle AG ve OG enerji sistemleri izleme ve kontrollerinin sağlandığına ve SCADA’nın da,minimum maliyette daha çok ve daha kaliteli ürün üretmek, insan gücüne bağımlılığı azaltmak, can ve mal güvenliği temini ve kaynakları verimli olarak kullanmaya yönelik bir işletme aracı olduğunu belirtmekte fayda var. Diğer yandan örneğin PLC sayesinde otomatik kontrolü sağlanan sistemlerin tek merkezde gözetim altında tutulması, daha kaliteli ürün üretmesi ve kaynakların daha verimli kullanılması sağlanabilir ya da bir enerji şebekesinin otomasyonu uzaktan etkin bir şekilde izlenip, kontrolü sağlandığı gibi sistemde elektriksel ve endüstriyel parametreler bilgisayardan izlenebilir.Öte yandan ayarlanan değerler için feedback alarm alınabilir, Grafik izleme ve kaydetme imkanı sağlanır, İstenen değerler talep edilen doğrultuda periyotlarla kaydedilir,enerji tasarrufuna imkan sağlayan veri tabanı vardır.ürün bazına indirgenebilen enerji maliyeti,elektrik sarfiyatının faturalandırılması,tek bir merkezden yük kontrolü,uzaktan izleme ve control, arıza takibi mümkündür..Ayrıca tesis,kumanda odasındaki PC’den izlenilebilmekte ve kontrolleri de yapılabilmektedir.Yönetmeliğe “yükümlü kuruluşlar” açısından baktığımızda, elektrik iletim lisansı sahibi, OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi, OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, doğal gaz depolama lisansı sahibi (LNG, yer altı depolama), ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişilerden oluşur.
Şirketler her geçen gün SCADA,PLC vb teknolojilere yatırımlarını arttırmakta ve dijital dönüşüm çağında enerji sektöründeki siber saldırılarla mücadelede regülasyonların yanısıra gerek kamu gerekse özel şirketlerin geleceğe yapacağı en önemli yatırımlardan birinin de siber-güvenliğin bütçe planlamasında üst sıralara taşınması olduğunu söyleyebiliriz.
[i] Dünya Enerji Konseyi’nin 2016 https://www.worldenergy.org/wp-content/uploads/2016/09/Resilience_Managing-cyber-risks_Exec-summary.pdf
[ii] World Economic Forum 2016 - http://reports.weforum.org/digital-transformation/wp-content/blogs.dir/94/mp/files/pages/files/wef1601-digitaltransformation-200116.pdf
[iii] 22.Dünya Petrol Kongresi resmi sitesi http://www.22wpc.com/
Comments