Son yıllarda neredeyse yaşamımızın vazgeçilmez unsurları arasında sayılan bilgisayar ve internet ile bilgi alışverişinin “veri” ile sağlandığı gerçeği yeni güvenlik alanlarını da beraberinde getirmiştir. Haberleşmenin ve bilgi alışverişinin bilgisayar ve internet ile yapılması hem günlük hayatı kolay kılmış hem de bazı alanların da korunmasını mecbur kılmıştır. Bilişim ve internetin küresel anlamda hızla yaygınlaşması, kişilere sınırsız bir özgürlük sağlarken, güvenlik açıkları söz konusu olduğunda ise bilişim sistemlerinin kötüye kullanılmaması adına bir takım fiillerin “suç” olarak tanımlanarak koruma altına alınması sağlanmıştır.
İşte, son yıllarda bilgi ve teknolojinin iç içe olması, “veri” lerin korunması ve bilişim araçları ile gerçekleştirilebilecek her türlü hukuk dışı fiillerin engellenmesi “siber güvenlik” tanımının da ortaya çıkmasına sebebiyet vermiştir. Peki, son yıllarda sıkça karşımıza çıkan “siber güvenlik” nedir?
En genel ifade ile “siber güvenlik” bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen bilginin, verinin güvence altına alınmasını, oluşabilecek saldırıların tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının devreye alınmasını ve sonrasında ise sistemlerin yaşanan siber olay öncesi durumlarına geri döndürülmesini kapsayan faaliyetler bütünüdür.
Siber güvenlik kavramını tanımlarken aslında “siber” ifadesine de yer vermek gerekebilir.“Siber” kavram olarak bilgisayar, teknoloji ve ağları da içine alan varlıkları tanımlamak için kullanılmaktadır. Bu varlıklar“bilgisayar, sunucu, ağ cihazları, internet bağlantılı televizyonlar, bu cihazlardaki yazılım ve donanım bileşenlerini” olarak sayılabilir. Söz konusu varlıklar aracılığıyla yaratılan ve bilgi güvenliğini, gizliliğini tehdit edebilecek her türlü fiili engelleyebilecek mekanizmadan söz edildiğinde ise karşımıza “siber güvenlik” kavramı çıkmaktadır.
Bilişim alanlarında güvenliği tehdit edebilecek nitelikte yaratılan fiiller “siber suç” olarak nitelendirilebilir. Bir “suç” kavramından söz ediliyorsa orada bu suçun sonuçları karşısında verilecek cezalardan da söz etmek gerekmektedir. Diğer bir ifade ile bir siber saldırı söz konusu olduğunda karşılığında bir “hukuk” dan da bahsedilecektir. İşte, bilişim alanlarına yönelik işlenebilecek “suç” niteliğindeki fiillerin “cezai” karşılığı “siber güvenlik hukuku”nun da doğmasına neden olmuştur.
Siber güvenlik hususunun “yenilenebilir enerji” sektörü için değerlendirilmesi, Dünya’da enerji sistemlere yönelik siber saldırıların artması nedeniyle oldukça önem taşımaktadır. Özellikle dijitalleşmenin enerji sektörüne entegrasyonu, enerji altyapısını daha verimli hale getirirken, aynı zamanda saldırılara karşı savunmasız bırakmıştır. Konu küresel noktada önemsendikçe ve Dünya giderek daha fazla birbirine bağlı enerji sistemlerine bağımlı hale geldikçe, bu hayati altyapılara yönelik siber-fiziksel saldırı tehdidi ve gelecekteki enerji sistemlerinin güvenliği ve güvenilirliği için bazı stratejik politikalarında geliştirtmesine sebebiyet vermiştir.
Yenilenebilir enerjiye yönelik küresel anlamda da kabul gören “siber güvenlik tehditleri” şu başlıklar ile sıralanabilir;
- Akıllı Şebekelere Yönelik Saldırılar: Yenilenebilir enerji sistemleri genellikle akıllı şebekelerle entegre çalışır. Bu şebekelere yapılacak siber saldırılar, enerji dağıtımını kesintiye uğratabilir.
- SCADA Sistemleri: Yenilenebilir enerji tesislerinde kullanılan SCADA (Supervisory Control and Data Acquisition) sistemleri, uzaktan kontrol ve izleme için kritik öneme sahiptir. SCADA sistemlerindeki zafiyetler, siber saldırılara açık bir kapı bırakabilir.
- IoT Cihazları ve Sensörler: Güneş panelleri, rüzgar türbinleri ve enerji depolama sistemlerinde kullanılan IoT cihazları, yetersiz güvenlik önlemleri nedeniyle saldırganlar tarafından hedef alınabilir.
- Veri Güvenliği: Enerji üretimi ve tüketimiyle ilgili verilerin çalınması veya manipüle edilmesi, sistemin işleyişini etkileyebilir.
Global dünyada yenilenebilir enerji üzerine gerçekleşmiş birçok siber saldırı örneği mevcuttur. Öne çıkan saldırılar arasında 2015 ve 2016 yıllarında Ukrayna’nın enerji altyapısına yönelik saldırılar gerçekleşmiş olup, siber savaşın enerji sektörüne yönelik risklerini gözler önüne sermiştir. Bu saldırılarda, SCADA sistemlerinin ele geçirilmesiyle enerji kesintileri yaşanmıştır. Bir diğer önek; 2021 yılındaki Koloni Boru Hattı Saldırısıdır. ABD’de Colonial Pipeline’a yönelik fidye yazılım saldırısı, petrol ve gaz sektörünü hedef almış, bu olay, enerji sektörünün savunmasızlığını ortaya koyarak yenilenebilir enerji tesislerinin de benzer riskler altında olduğunu göstermiştir. Yine Almanya ve İspanya gibi ülkelerdeki yenilenebilir enerji tesislerinde IoT cihazlarına yönelik siber saldırılar, enerji yönetiminde büyük aksaklıklara neden olmuştur.
Peki, Dünya’da yenilenebilir enerji üzerine yaşanılması muhtemel “siber saldırılara” yönelik hangi politikalar ve regülasyonlar geliştirilmiştir?
- Avrupa Birliği (AB): NIS Direktifi (Network and Information Security), kritik altyapılar için daha güçlü siber güvenlik önlemleri getirmiştir.
- ABD: Enerji Bakanlığı (DOE), yenilenebilir enerji altyapısını korumak için kapsamlı bir siber güvenlik stratejisi uygulamaktadır.
- Asya-Pasifik: Çin ve Japonya gibi ülkeler, enerji sektöründe siber güvenlik standartlarını artırmak için çalışmalar yapmaktadır.
- Türkiye; Türkiye’nin siber güvenliğin milli güvenliğe entegrasyonu konusunda ciddi mesafe kat etmiş olup, “Global Siber Güvenlik Endeksi”verilerine göre dünya genelinde ilk 10, Avrupa’da da 6. sırada yer almaktadır. ASELSAN’ın enerji altyapılarına yönelik geliştirdiği “Milli Akıllı Şebeke Yönetimi Sistemi” ve“Milli Merkezi Denetleme Kontrol ve Veri Toplama Sistemi” (SCADA)’nde yenilenebilir enerji kaynak alanları için güç dönüşüm ve enerji depolama yönetimi sistemleri yer almaktadır. ASELSAN bünyesinde geliştirilen Akıllı Şebeke Sistemleri bileşenleri son olarak BOTAŞ petrol ve doğal gaz şebekelerinde kullanılmaya başlanmış olup, BOTAŞ’ın ihtiyaçlarına yönelik olarak ASELSAN ile Cumhurbaşkanlığı Savunma Sanayii Başkanlığı arasında “Batman-Dörtyol Ham Petrol Boru Hattı SCADA Temin ve Tesisi Projesi” imzalanmıştır.
- Danimarka: Ülke, rüzgar enerjisi üretiminde dijital güvenliği artırmak için IoT cihaz güvenlik standartlarını zorunlu hale getirmiştir.
- Avustralya: Güneş enerjisi çiftlikleri için geliştirilen merkezi olmayan kontrol sistemleriyle siber saldırılara karşı dayanıklılık artırılmıştır.
- Singapur: Mikro şebekelerde blockchain tabanlı enerji yönetim sistemleriyle veri güvenliği sağlanmıştır.
- NATO: Rusya’nın 2014 yılında Ukrayna’yı işgal etmesinden bu yana, fosil yakıtlara alternatif sağlayan enerji şirketleri giderek daha fazla siber saldırıya uğradığından NATO üye ülkeleri yenilenebilir enerji kaynaklarına yönelik olası siber saldırılara karşı eğitmeye başlamıştır.
- IEC 101 veya T 101 protokolü; IEC 101 veya T 101 protokolü olarak da adlandırılan IEC 60870-5-101 protokolü, öncelikle Avrupa, Kuzey Afrika, Orta Doğu, Çin ve dünyanın başka yerlerindeki elektrik enerjisi endüstrisi ana terminal birimleri ile uzak terminal birimleri arasındaki verimli iletişimi desteklemek için kullanılan, yönlendirilemeyen yaygın bir SCADA protokolüdür. Protokol, coğrafi olarak dağıtılmış verilerin gerçek zamanlı olarak izlenmesini ve kontrolünü sağlamak için gerekli ayrıntılı verileri toplamak ve göndermek için tasarlanmıştır.
- Enerji Sektörü ve Siber Güvenlik Forumu: Uluslararası işbirliği platformları, bilgi paylaşımı ve saldırılara karşı ortak çözümler geliştirilmesi için önemli bir rol oynamaktadır.
- Kritik Altyapı Koruma Programları: NATO ve diğer uluslararası kuruluşlar, enerji altyapısının korunmasına yönelik siber güvenlik projelerine öncülük etmektedir.
- Blockchain tabanlı enerji yönetimi sistemleri; güvenliği artırmak için kullanılmaktadır.
- Yapay zeka (AI) destekli siber tehdit tespit sistemleri; saldırıları önceden belirlemek için yaygınlaşmaktadır.
Görülmektedir ki; dünyada yenilenebilir enerjiye geçiş hızlandıkça, bu sistemlerin siber güvenlik tehditlerine karşı daha dirençli hale getirilmesi kritik öneme sahiptir. Bu noktada, “Daha Güçlü Regülasyonlar”, “Bilgi Paylaşımı”, “Yatırımlar” ve “Enerji altyapısının güvenliği” ile elbette bu alana yönelik “farkındalık çalışmaları” ve en önemlisi gelecekte daha güvenli bir enerji altyapısı için hem devletlerin hem de özel sektörün işbirliğinin sağlanması oldukça kıymetlidir.
Yararlanılan Kaynaklar
Cyber-physical attack and the future energy systems: A review – ScienceDirect
“Planning the electrical energy system 2.0 with Smart Grids”; https://ieeexplore.ieee.org/document/6673065/
Tarek, CHERIFI, Lamia, HAMAMI; A practical implementation of unconditional security for the IEC 60780-5-101 SCADA protocol – ScienceDirect
2005 yılında Çankaya Üniversitesi Hukuk Fakültesinden mezun olmuştur. Aynı yıl Çankaya Üniversitesi Kamu Hukuku Ana Bilim Dalı-Anayasa Hukuku alanında yüksek lisans yapmıştır. 2011 yılına kadar Ulaştırma Bakanlığına bağlı Mesleki Eğitim Merkezlerinde ODY-ÜDY Eğitmeni olarak görev yapmış olup, yaklaşık 15 yıldır Türkiye Odalar ve Borsalar Birliğinde hukukçu olarak çalışmaktadır. TOBB’da ilk olarak Dış Ticaret ve Uluslararası Lojistik alanında çalışmalarda bulunmuş olup, 7 yıla yakın Birleşmiş Milletler temsilciliği yapmış olup şimdi TOBB Reel Sektör AR-GE ve Uygulama Daire Başkanlığında KOBİ Politikaları Müdürlüğünde uzman hukukçu olarak görev yapmaktadır.
Diğer yandan, Gazi Üniversitesi Kamu Hukuku-İdare Hukuku Ana Bilim Dalında idare hukuku kürsüsünde doktora tezini tamamlamaya çalışmaktadır. Türkiye’de YÖK tarafından kabul gören TOBB konulu tezin tamamlanmasından sonra bunu kitaplaştırmayı planlamaktadır.
Bununla birlikte, halihazırda 2023 yılından bu yana Türkiye’de özellikle enerji sektörü ile yenilebilir enerji konusunda kendini uluslararası alanda da kanıtlamış “DÜNDAR HUKUK” VE “DÜNDAR LEGAL SERVICE CONSULTANCY” de Londra bloğunda köşe yazısı yazmaktadır.