ISO 27019:2013 Enerji Altyapıları – Bilgi Güvenliği Standardı

Bilgi Güvenliği konusu, mevzuat ve içerik itibariyle hemen hemen tüm sektörlerde üretilen bilginin güvenliğini sağlamaya yönelik  uygulamalar getirmiştir. Bu husus ISO tarafından yayımlanan ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ile dünya çapında ISO ya üye ülkeler tarafından kullanılarak ivme kazanmıştır. Bu standardın uygulamasının yapılabilmesi içinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Uygulama Rehberi yayımlamıştır. ISO’da 27000 ailesini çalışan çalışma grupları tarafından bazı sektörlerin hassasiyetlerine göre bilgi güvenliği çatısından kopmadan, o sektöre özel kontrol maddeleri eklemek suretiyle yeni standart yada uygulama rehberleri yayımlamıştır.

Örnek vermek gerekirse :

ISO/IEC 27011:2008 – Bilgi teknolojisi – Güvenlik teknikleri – ISO / IEC 27002 dayalı telekomünikasyon kuruluşlar için bilgi güvenliği yönetim kuralları içerir.

ISO 27799:2008 – ISO/IEC 27002 Kullanılarak Sağlık Sektöründe Bilgi Güvenliğinin Sağlanması ile ilgili bilgileri içerir.

bu makaleye konu mevzuat ise,

ISO/IEC 27019:2013 – Bilgi teknolojisi – Güvenlik teknikleri – Enerji sektöründe özel proses kontrol sistemleri için ISO/IEC 27002 dayalı güvenlik yönetimi kurallarına ait bilgileri içerir.

Önemli Not : bu rehberler tek başına sistem olarak kurulamaz. Bilgi Güvenliği çalışacak kurum ve kuruluşlar öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı gerekliliklerine göre yönetim sistemlerini kuracaktır. Kendi sektörlerine özel yayımlanmış rehberlerden destek alacaktır.

ISO’nun Bilgi Güvenliği Standartları ve ve uygulama rehberleri tarafından durumu bu şekilde açıkladıktan sonra gelelim bu standardın detaylarına.

EPDK (Enerji Piyasaları Denetleme Kurumu) tarafından Enerji sektöründe faaliyet gösteren kurum ve kuruluşların artan bilgi güvenliği ihtiyaçlarına dikkat çekebilmek maksadıyla çeşitli dönemlerde bu hususta bazı yönetmelik değişiklikleri yaparak konuya dikkat çekmiştir.

EPDK, Aralık 2014 tarihinde bilgi güvenliğine dönük gereksinimleri göz önünde  bulundurarak aşağıda belirtilen üç yönetmeliği güncellemiş ve lisans sahiplerine bilişim sistemleri güvenliğini sağlama doğrultusunda yükümlülükler vermiştir.

Bu kapsamda,
1. Elektrik Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik
2. Doğal Gaz Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik 
3. Petrol Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik,
26 Aralık 2014 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.  Yönetmeliklerle bilgi güvenliği kapsamında yükümlülüğe tabi olan kurumlar şunlardır:

1. Elektrik piyasasında,
a. OSB (Organize Sanayi Bölgesi) üretim lisansı sahipleri hariç olmak üzere, kurulu
gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri,
b. İletim lisansı sahibi,
c. Piyasa işletim lisansı sahibi,
d. OSB dağıtım lisansı sahipleri hariç olmaküzere dağıtım lisansı sahipleri (elektrik
dağıtım şirketleri)

2. Doğal gaz piyasasında,
a. İletim lisansı sahibi şirketler,
b. Sevkiyat kontrol merkezi kurmakla yükümlü dağıtım lisansı sahibi şirketler

3. Petrol piyasasında,
a. Rafinerici lisansı sahipleri

Tüm bu kurumlara, aşağıdaki yükümlülük getirilmiştir:

Üretim Lisansı sahipleri için ilgili madde:

f) Geçici kabul tarihinden itibaren yirmi dört ay içerisinde OSB üretim lisansı sahipleri hariç olmak üzere, işletmeye geçmiş kurulu gücü 100 MWe ve üzerinde olan bütün üretim tesisleri için kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak, TS ISO/IEC 27001’e göre kuracakları Bilgi Güvenliği Yönetim Sisteminde TS ISO/IEC 27002 Uygulama Rehberine ek olarak ISO/IEC TR 27019 rehber dokümanını da referans almak,

ifadesi eklenmiştir.

böylece yukarıda bahsi geçen enerji dağıtım işi ile uğraşan kurum ve kuruluşlar ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun hale gelmeleri yeterli gelmeyip aynı zamanda ISO 27019 rehberinde yer alan sektöre has kontrol maddelerini de titizlikle çalışmaları gerekmektedir.

Peki ISO 27019 Sektöre Özel Gelen Maddeler Nelerdir.

ISO 27019:2013 standardına ISO 27002:2005’e ek yeni maddeler eklendiğini görüyoruz. 4 ana ve 11 alt başlıklarla birlikte 15 yeni maddeye ilişkin liste aşağıdaki gibidir.

• Madde 9.1.7 Kontrol odaları güvenliği (Securing control centers)
• Madde 9.1.8 Teçhizat odalarının güvenliği (Securing equipment rooms)
• Madde 9.1.9 Uç işletmelerin güvenliği (Securing peripheral sites)
• Madde 9.3 Üçüncü taraf lokasyonlarda güvenlik (Security in premises of 3rd parties)
• Madde 9.3.1 Tesis bünyesinde bulunmayan teçhizat (Equipment sited on the premises of other energy utility organizations)
• Madde 9.3.2 Müşteri lokasyonundaki teçhizat (Equipment sited on customer’s premises)
• Madde 9.3.3 Bağlantılı kontrol ve iletişim sistemleri (Interconnected control and communication systems)
• Madde 10.6.3 Kontrol sistemi verilerinin güvenliği (Securing process control data communication)
• Madde 10.11 Güncel olmayan sistemler (Legacy systems)
• Madde 10.11.1 Güncel olmayan sistemlerin iyileştirilmesi (Treatment of legacy systems)
• Madde 10.12 Emniyet fonksiyonları (Safety functions)
• Madde 10.12.1 Emniyet fonksiyonlarının erişebilirliği ve bütünlüğü (Integrity and availability of safety functions)
• Madde 11.4.8 Kontrol sistemlerinin mantıksal harici bağlantıları (Logical coupling of external process control systems)
• Madde 14.2 Gerekli acil iletişim servisleri (Essential emergency services)
• Madde 14.2.1 Acil iletişim (Emergency communication)

Sonuç olarak;

27002 standardında bulunmayıp enerji sektörüne özel uygulama kılavuzu 27019’da yer alan önlemler gözden geçirildiğinde, şu konularda hassasiyet gösterildiği
gözlenmektedir:
a. Sistem kontrol merkezlerinde yaşanabilecek aksaklıkların neden olabileceği geniş kapsamlı etkiler göz önünde bulundurularak, kontrol merkezlerinin, merkezlerde kritik
cihazların bulunduğu odaların ve kontrol merkezlerine ev sahipliği yapan tesislerin fiziksel ve çevresel güvenliğinin sağlanması.

b. Enerji sektörünün (üretim, iletim, dağıtım vb.) çok katmanlı, kurumlararası etkileşimli yapısı göz önünde bulundurularak, paydaş kurumların ve müşterilerin tesislerinde
yer alan sistem bileşenlerinin güvenliğinin sağlanması, kontrol ve iletişim sistemleri arasındaki bağlantıların yönetilmesi, izlenmesi ve gerektiğinde paydaşların sistemlerinden ayrılmak üzere tedbirler alınması.

c. Özellikle geniş alanlara yayılan dağıtım ve iletim sistemlerinde söz konusu olabilecek riskler göz önünde bulundurularak, süreç kontrol verisinin gizlilik, bütünlük ve
sürekliliğinin güvence altına alınması.

d. Kurumsal bilişim sistemlerinden çok daha uzun süre hizmet veren ve güvenlik işlevlerinden yoksun olabilen Endüstriyel Kontrol Sistemlerin’den kaynaklanan risklerden korunma.

e. Kurum içinden ve paydaş kurumlardan afet ve acil durumlarda iletişim halinde kalınması gereken personel ile ve vazgeçilmez kontrol sistemleri ile muhaberenin sürdürülmesini ve olağanüstü durumun atlatılmasını güvence altına alacak
planlamanın yapılması, önlemlerin alınması. 27019 standardında yukardaki konuların herbiri ile ilgili  olarak son derece somut öneriler bulunmaktadır.
27011 standardının da benzer başlıklara yoğunlaştığı görülmektedir. İlave olarak SPAM (yığın E-posta) ve DoS (servis dışı bırakma) saldırılarına dikkat çekilmekte ve bu
bağlamda alınabilecek önlemlerden bahsedilmektedir. Standartlarda dile getirilen risklerin tamamı, Türkiye için de söz konusu olan risklerdir. Şöyle ki, kritik enerji altyapıları her tür fiziksel ve çevresel riskle karşı karşıyadır. Türkiye, geniş
bir coğrafyaya yayılmış olması dolayısı ile enerji altyapıları geniş alan ağları ile haberleşmektedir. Enerji altyapılarında miyadı dolmuş kontrol sistemleri ile karşılaşmak sürpriz olmamaktadır.

Afet ve acil durumlar Türkiye’de gündelik yaşamın ayrılmaz, nerede ise kanıksanmış parçası haline gelmiştir. Her tür bilgi sistemine SPAM ve Dos saldırıları yapılmaya devam etmektedir. Dolayısı ile standartlarda dile getirilen önerilerin yurdumuz için de gerekli ve geçerli olduğu, Kritik Enerji Altyapısı işleten kuruluşlar tarafından gözden
geçirilmelerinin son derece faydalı olacağı kesindir.

Faruk Çalıkuşu
Kıdemli Danışman

Kaynak :http://www.iscturkey.org , https://www.biznet.com.tr/enerji-altyapilari-icin-iso-270192013-standardi/

Siber Tehdit Durum Raporu Temmuz – Eylül 2016

Türkiye dünyada zararlı yazılıma en çok maruz kalan üçüncü ülke

Türkiye’nin siber güvenlik ve büyük veri konusundaki lider teknoloji şirketi  Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. (STM), yeni siber tehdit durum raporunu yayımladı.  Temmuz-Eylül aylarını içeren STM Siber Tehdit Durum Raporuna göre,  fidye yazılım saldırıları küresel ölçekte yüzde 172 oranında arttı. Türkiye, Avrupa bölgesinde fidye yazılım saldırılarını en fazla yaşayan ülke durumundayken, dünyada ABD ve Brezilya’dan sonra üçüncü sırada yer alıyor.

Rapor, kişisel ve kurumsal verilere zarar verilmesi veya bu tür verilerin çalınması, yolsuzluk, hırsızlık, dolandırıcılık,  şeklinde sınıflandırılan küresel siber suçlardaki artışa işaret ediyor.

STM’nin raporuna göre, özellikle son dönemde on-line bankacılık siber korsanların hedefinde. Tespitler, ülkemizin 11 bin 516 saldırı ile Avrupa bölgesinde en fazla on-line bankacılık saldırısı alan ülke olduğunu, Türkiye’yi 4 bin 880 saldırı ile Almanya’nın ve 3 bin 529 saldırı ile Fransa’nın izlediğini söylüyor.

Endüstri 4.0 ile birlikte sanayi ve mühendislik şirketleri tehdidin ilk sırasında!

STM’nin, 2016 yılı Temmuz-Eylül dönemi raporunda öne çıkan siber tehditlerin başında sanayi ve mühendislik şirketlerinin verilerinin çalınması ve kötü amaçlı kullanılması riski yer alıyor. Buna gerekçe olarak Endüstri 4.0 uygulamalarının yaygınlaşması gösteriliyor. FTP sunucularından, internet tarayıcı hesaplarından, kişisel e-posta kutularından, Google AIM’daki gibi müşteri mesajlaşma araçlarından ve ofis programlarından çeşitli yöntemlerle, izinsiz elde edilen veriler, kötü amaçlı kullanılarak şirketlere ve kişilere maddi ve manevi zaralar veriliyor. Mühendislik ve sanayi şirketlerinden sonra en çok siber saldırıya nakliyat, ilaç, üretim, ticaret ve eğitim şirketleri maruz kalıyor.

Diğer yandan Endüstriyel Kontrol Sistemleri (EKS) günümüzde elektrik, su, atık su, petrol, doğal gaz, ulaştırma, kimya, ilaç üretimi, kâğıt, yiyecek, içecek ve otomotiv, uzay/havacılık ve dayanıklı tüketim malları gibi parçalı/montaj tipi imalat sektörlerinde kullanılıyor. Akıllı şehirler, akıllı evler ve arabalar, tıbbi cihazlar hep EKS’ler tarafından kontrol ediliyor. Rapora göre uzaktan kontrol edilebilen EKS’lerin yüzde 92’sinde saldırılara karşı açık bulunuyor.

ATM’lerin yanı sıra Üç Boyutlu yazıcılar bile siber korsanların hedefinde…

Son dönemlerde yapılan araştırmalara atıfta bulunan STM’nin Siber Tehdit Durum Raporu, giyilebilir teknoloji ürünlerinin siber korsanların ATM makinalarında kullanılan parolaları ele geçirmede nasıl kullanılabileceğini gözler önüne seriyor. Giyilebilir ürünler, kullanıcılarının hareketlerini takip eden gömülü sensörlere sahipler. Korsanlar bu sensörler aracılığıyla kullanıcılarının klavye ve ATM tuş takımlarındaki el hareketlerini de yakalayarak kişisel şifreleri ele geçiriyorlar.

Raporda bir diğer dikkat çekilen husus da kullanımı giderek yaygınlaşan üç boyutlu yazıcıların siber sabotajların aracı olması… Korsanlar üretim süreçlerine müdahale ederek özellikle otomotiv gibi milyonlarca kişiyi ilgilendiren kritik sektörlerde insan hayatını etkileyen üretim hatalarına sebep olabiliyorlar.

Sahte profillerle terör propagandası yapılıyor…

Dünyada siber saldırılarının yüzde 56’sının Çin kaynaklı olduğuna işaret edilen raporda, sanatçıların fan kulüpleri de tehdit altında yer alıyor. Sosyal medya ve siber güvenlik uzmanları, sosyal medya platformlarında bazı sanatçı ya da tanınmış kişilerin isimleriyle sahte profiller oluşturulduğu, takipçi sayısının artmasının ardından da bu hesapların terör örgütlerinin propagandası için kullanıldığı uyarısını yapıyorlar.

Veri ve dosya paylaşımı platformları da siber korsanların en önemli saldırı hedefleri arasında yer alıyor. Bu popüler platformlardaki kişisel bilgi sızıntıları, müşterilere getirilen parola değişim zorunluluğu ile önlenmeye çalışılıyor.

Locky Fidye Zararlı Yazılımı Yayılıyor

Raporda Ağustos 2016 ayında gözlemlenen Locky fidye zararlı yazılımı yayan yoğun e-posta operasyonuna da yer veriliyor. Bu operasyonlardan sektör olarak, başta sağlık olmak üzere, telekomünikasyon, ulaşım, üretim ve servis sağlayıcı sektörlerinin, ülke olarak ise başta ABD olmak üzere, Japonya, Kore Cumhuriyeti, Tayland ve Singapur’un etkilendiği belirtiliyor. Bu saldırılardan etkilenen 50 ülke arasında Türkiye 40’ıncı sırada yer alıyor. Uzmanlar bu tür e-posta operasyonların kurumsal/kişisel iş süreçlerine verebilecekleri zararlara dikkat çekiyor ve bunları engellemenin en önemli adımlarından birinin, kullanıcıların e-posta eklerini açarken çok dikkatli olmaları gerektiği olduğunu ifade ediyor.

Siber Uzay NATO gündeminde…

STM’nin Raporu, Temmuz ayında gerçekleşen NATO Zirvesi’ne de atıfta bulunuyor. Varşova’da düzenlenen bu zirvede, siber uzay, NATO tarafından; kara, deniz ve hava gibi, ilave bir harekât alanı olarak resmen kabul edildi. Bu kararla birlikte üye ülkelerin siber saldırılara karşı konvansiyonel silahlarla mücadele etmesinin önü açıldı. Ülkemizde de Ulaştırma Denizcilik ve Haberleşme Bakanlığı ve STK’ların öncülüğünde 2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı uygulamaya konularak önümüzdeki üç yıllık süre için milli siber güvenliği sağlayacak tedbirler belirlendi.

Raporun Tamamına BURADAN ERİŞEBİLİRSİNİZ.

STM