ISO 27019 EKS Bilgi Güvenliği Yönetim Sistemi Danışmanlığı
ISO/IEC 27019 elektrik enerjisi, elektrik, gaz, yağ ve ısı üretimini, iletimini, depolanmasını ve dağıtımını kontrol etmek ve izlemek amaçlarıyla ve ilgili destek süreçlerinin kontrolü için, enerji tedarik kuruluşlarında kullanılan süreç kontrol sistemlerinin (EKS-Endüstriyel Kontrol Sistemi), ISO/IEC 27002: 2013 kontrollerine dayalı rehberlik sağlar.
ISO/IEC 27019’un amacı, ISO/IEC 27000 standartlarını EKS ve otomasyon teknolojisi alanlarına genişleterek, enerji tedarik endüstrisinin kurumsal yönetişimden süreç kontrol seviyesine kadarki süreçlerde ISO/IEC 27001 gereklerine uygun Bilgi Güvenliği Yönetim Sistemi uygulamaktır.
Belirtilen kapsam özellikle şu sistemleri, uygulamaları ve bileşenleri içerir:
- Merkezi ve dağıtılmış süreç kontrolü, izleme ve otomasyon teknolojisi, programlama ve parametreleme cihazları gibi operasyonlar için kullanılan bilgi sistemleri,
- Djital/sayısal sensörler (algılayıcılar) ve aktüatör bileşenleri dahil olmak üzere kontrol ve saha cihazları veya Programlanabilir Lojik Kontrolörler (PLC) gibi dijital/sayısal kontrol cihazları ve otomasyon parçaları,
- Ek veri görselleştirme görevleri için ve kontrol, izleme, veri arşivleme, log kaydı, raporlama ve dokümantasyon amaçlarıyla EKS alanlarında kullanılan diğer tüm destekleyici bilgi sistemleri,
- Network, telemetri, telekontrol uygulamaları ve uzaktan kumanda teknolojisi gibi EKS alanlarında kullanılan genel iletişim teknolojisi,
- Akıllı sayaçlar gibi Gelişmiş Metraj Altyapısı (AMI) komponentleri,
- Emisyon değerleri için kullanılan ölçüm cihazları,
- Koruma röleleri, emniyet PLC’leri, acil durum governör mekanizmaları gibi dijital/sayısal koruma ve güvenlik sistemleri
- Dağıtılmış Enerji Kaynakları (DER), elektrik şarj altyapıları, özel konutlarda (2013 yayınında bu kapsam dışıydı) veya endüstriyel müşteri tesislerinde kullanılan enerji yönetim sistemleri,
- Enerji şebekelerinde, özel konutlarda veya endüstriyel müşteri tesislerinde kullanılan akıllı şebeke ortamlarının dağınık bileşenleri,
- Yukarıda bahsedilen sistemlere yüklenen tüm yazılım, firmware ve uygulamalar (DMS (Dağıtım Yönetim Sistemi) uygulamaları veya OMS (Kesinti Yönetim Sistemi) gibi),
- Yukarıda belirtilen ekipman ve sistemleri barındıran herhangi bir bina,
- Yukarıda adı geçen sistemler için uzaktan bakım sistemleri.
ISO / IEC 27019: 2017, nükleer tesislerin proses kontrol alanı için geçerli değildir. Bu alan adı IEC 62645 kapsamındadır. ISO / IEC 27019: 2017, ayrıca ISO / IEC 27001: 2013’te tanımlanan risk değerlendirme ve işleme süreçlerini, bu belgede verilen enerji endüstrisine özgü rehberliğe uyarlama gereksinimini de içermektedir.
20 Haziran 2013’te yayınlanarak yürürlüğe giren “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” belgesinde kritik altyapı, “İşlediği bilginin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda, can kaybına, büyük ölçekli ekonomik zarara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapıları ifade eder” şeklinde tanımlanmıştır.
20/06/2013 tarih, 2 sayılı Siber Güvenlik Kurulu kararı uyarınca, Kritik Altyapı Sektörleri; kritik altyapıları barındırmakta olan “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Kritik Kamu Hizmetleri”, “Ulaştırma” ve “Bankacılık ve Finans” sektörlerini ifade etmektedir.
Endüstriyel Kontrol Sistemleriyse; Geleneksel bilişim teknolojileri dışında, programlanabilir mantıksal denetleyiciler aracılığıyla üretim, ürün işleme ve dağıtım kontrolleri gibi endüstriyel işlemlerde kullanılan, SCADA (Supervisory Control and Data Acquisition) ve Dağınık Kontrol Sistemleri (DCS) kapsar.
23 Aralık 2008’de AB Resmi Gazetesi’nde yayınlanan “Avrupa Kritik Altyapılarının Belirlenmesi ve Güvenliklerinin İyileştirilme Gereksiniminin Değerlendirilmesine İlişkin 2008/114/AB Konsey Yönergesi” belgesinin 5. maddesinde yönergenin enerji ve ulaştırma sektörlerine odaklandığı, ilave olarak bilgi ve iletişim sektörlerinin de gözden geçirilebileceği belirtilmektedir.
2016-2019 Siber Güvenlik Stratejisine göre; kritik altyapılarla ilgili başlıca riskler şunlardır:
- Kritik altyapıların kullandığı bilişim sistemlerine yapılacak hizmet dışı bırakma ve benzeri hedef odaklı saldırılar sonucunda enerji, ulaştırma, vb. kritik hizmetlerin kesintiye uğraması.
- Kamu ve kritik altyapıların kullandığı bilişim sistemlerine yapılacak hedefe yönelik saldırılar sonucunda; vatandaşa ait kişisel bilgilerin veya kamuya ait gizli bilgilerin saldırganların eline geçmesi, ifşa olması, değiştirilmesi veya yok edilmesi.
- Araştırma, geliştirme ve üretim yapan kurum ve kuruluşların (özel firmalar, araştırma kurumları ve savunma sanayi) ticari sırlarını ve bilgi birikimini elde etmeye yönelik hedef odaklı saldırılar sonucunda hassas veya ticari değere sahip bilgilerin saldırganların eline geçmesi, ifşa olması, değiştirilmesi veya yok edilmesi.
ABD’de faaliyet göstermekte olan Endüstriyel Kontrol Sistemleri – Siber Olaylara Müdahale Ekibi (ICS-CERT)’nin 2016 değerlendirme raporuna göre ICS-CERT ekibinin tespit ettiği ve buna göre önerilerde bulunduğu 6 önemli EKS açıklık noktası şunlardır:
1. Hipervizör (VM monitör) ana bilgisayar yönetim arabirimine yetersiz kullanıcı erişim güvenlik kontrolleri,
2. Uzaktan erişimin güvensiz olarak uygulanması,
3. Sanal Yerel Alan Ağı’nın (VLAN) yanlış kullanımı,
4. EKS için zayıf taşınabilir cihaz (Bring-Your-Own-Device (BYOD)) güvenlik politikası,
5. Kritik EKS işlevleri için bulut hizmetleri güvenliği ve Hizmet Düzeyi Anlaşmalarının (SLA’lar) yetersiz kalması,
6. Bir kritik sistemde, saldırgan yaşam döngüsü için temel güvenlik önlemi olan EKS Ağ İzleme uygulaması stratejisinin yetersiz kalması.
EPDK, Aralık 2014 tarihinde bilgi güvenliğine dönük gereksinimleri göz önünde bulundurarak aşağıda belirtilen üç yönetmeliği güncellemiş ve lisans sahiplerine bilişim sistemleri güvenliğini sağlama doğrultusunda yükümlülükler getirmiştir:
- Elektrik Piyasası Lisans Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik
- Doğal Gaz Piyasası Lisans Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik ve
- Petrol Piyasası Lisans Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik
Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı kapsamında Ulusal Siber Olaylara Müdahale Merkezi (USOM) 27 Mayıs 2013 ‘de oluşturulmuştur. Söz konusu eylem planı çerçevesinde, kamu kurum ve kuruluşları bünyesinde Siber Olaylara Müdahale Ekipleri (Kurumsal SOME, sektörel SOME) oluşturulması öngörülmüş, enerji sektörü sektörel SOME olarak EPDK belirlenmiştir. 2016-2019 Siber Güvenlik Stratejisine göre; 2016-2019 döneminde, mevcut riskleri, belirlenen ilkeler ışığında asgari düzeye indirmeyi hedefleyen 18 adet stratejik amaç belirlenmiş, bunlardan kritik altyapılara ilişkin olarak; Ulusal kritik altyapı envanterinin oluşturulması, kritik altyapıların güvenlik gereksinimlerinin karşılanması ve bu kritik altyapıların bağlı oldukları düzenleyici kurumlar (EPDK gibi) tarafından denetlenmesi planlanmıştır.
ISO 27001 standardı, bilgi güvenliğini sağlamaya çalışan kurumun hangi sektörde yer aldığıyla ilgilenmez. ISO IEC 27001 Belgelendirmesi yapacak kurumda (enerji sektörü), “Madde 6.1.3. Risk İşleme” ve “Madde 8. İşletim” maddelerinde belirtilen Ek A ibaresi «Ek A ve ISO/ IEC TR 27019:2015-03» olarak algılanmalıdır.
Yönetmeliklerde yer alan “Kurumsal Bilişim Sistemi ve Endüstriyel Kontrol Sistemleri” kapsamı bilgi güvenliği standartları ile birlikte değerlendirildiğinde şu standartların göz önünde bulundurulması gerekmektedir:
- Kurumlarda genel Bilgi Güvenliği Yönetim Sistemini tanımlamak ve dokümante etmek için ISO 27001,
- Kurumsal Bilişim Sistemlerinde ve insan kaynağı da dahil olmak üzere diğer varlıklarda alınacak önlemlerle ilgili olarak ISO 27002,
- Endüstriyel Kontrol Sistemlerinde (EKS) alınacak önlemlerle ilgili olarak ise ISO 27001 EkA, ISO 27002 ve ISO 27019.
Ayrıca EKS Risk Yönetimi Sürecinde, NIST 800-82 Kontrolleri ve Güvenlik Mimarisi Geliştirme hususları da, uygulamaların verimliliği ve uygunluğu açısından, dikkate alınması yerinde olur.
ISO/IEC 27002 kılavuzuna ek olarak, enerji sektöründe kullanılan süreç kontrol sistemlerinin güvenliği için uygulanabilecek kontrolleri içeren bir kılavuzdur.
Alman Enerji ve Su Endüstrileri Birliği (BDEW) tarafından ilk olarak geliştirilen ISO/IEC 27019, Enerji sektöründe kullanılan Endüstriyel Kontrol Sistemlerine yönelik güvenlik kontrollerini hayata geçirmekle sorumlu kişilere yardımcı dokümandır.
ISO/IEC 27019’un ISO 27001’den en büyük farkı, bilgilendirme amaçlı olması, yönetim sistemi gereksinimlerini içermemesidir. 2013 yılında öncelikle Teknik Rapor (TR) olarak yayınlanan ISO/IEC TR 27019, ISO/IEC 27002 kılavuzuna ek olarak Enerji Sektörü Endüstriyel Kontrol Sistemleri Güvenliği için geliştirilmiştir. ISO/IEC 27019 Enerji sektörüne özel siber güvenlik yapılanmalarında ve tetkiklerde dikkat edilmesi gereken hedefler ve kontrol gereksinimlerini, EK A Genişletilmiş Kontrol Setinde ayrıca detaylandırmıştır.