Bilişim teknolojileri aracılığıyla enerji tesislerinde yürütülen faaliyetler izlenip denetlenebilmekte, arz edilen ve tüketilen enerji miktarlarına ait veriler toplanarak piyasada öngörü oluşturulabilmektedir. Bu nedenle, enerji sistemlerinin fiziki güvenliği yanında bilişim güvenliğinin sağlanması da önem arz etmektedir. Bu yazımızda, enerji sektörü özelinde siber güvenlik konusunu ve Türkiye’de mevcut olan hukuki çerçeveyi inceledik.
Enerji Sektöründe Siber Güvenlik Kavramları
Enerji sistemleri günümüzde üretim ve sanayide olduğu kadar bireylerin gündelik yaşantılarının da vazgeçilmez bir parçasını oluşturmaktadır. Diğer birçok sektör ile bütünleşik yapısı dikkate alındığında enerji sistemlerinde meydana gelecek aksamalar toplumsal olarak büyük zararlara yol açabilecek potansiyele sahiptir. Bu sebeple, enerji sektörü, kritik altyapı barındıran sektörler arasında kabul edilmektedir. Kritik altyapılar “işlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapıları” olarak tanımlanmaktadır.
Siber güvenlik ise, genel olarak, siber ortamda yer alan bilgileri istismar etmek, bozmak, değiştirmek, sistemlere erişimi engellemek ya da zarar vermek amacıyla gerçekleştirilen saldırıları önleme veya bunlara karşı savunma, ağların ve altyapının kullanılabilirliğini ve bütünlüğünü ve bunların içerdiği bilgilerin gizliliğini koruma yetisini ifade etmektedir. Buna göre, siber güvenlik tanımı gizlilik, bütünlük ve erişilebilirlik boyutlarını barındırmaktadır. Enerji sistemleri özelinde ise, gizlilik; bilgiye yalnızca üretim, iletim, dağıtım şirket personeli ve tüketicilerin ulaşabilmesi; bütünlük; gerilim, frekans, elektrik gücü, yük akışı ve faturalandırmaya ilişkin bilgilerin değiştirilmemesi, bozulmaması ve yok edilmemesi; erişilebilirlik ise sektörde rol alan aktörlerin belirli bir hiyerarşi içinde bilgiye erişmesi anlamına gelmektedir.
Enerji sektöründe faaliyetlerin bir veya birden fazla merkezden izlenmesini bazen de yönetilmesini sağlayan çeşitli yönetim ve kontrol sistemleri mevcuttur. Endüstriyel kontrol sistemleri olarak anılan bu sistemler, uygulanmakta olan mevzuatta da genel hatlarıyla tanımlanmıştır. Bunlar arasında en sık tercih edilen sistem olarak bilinen Veri Tabanlı Kontrol ve Gözetleme Sistemi (“SCADA”) öne çıkmaktadır. Bu sistemlerin fonksiyonu, en yalın ifadeyle, gerçek zamanlı verileri toplamak ve işlemek, cihazlarla doğrudan etkileşim kurarak olay kayıtlarını tutmaktır. Günümüzde enerji tesisleri endüstriyel kontrol sistemleri ile donatılmış olup bu sayede veriler kolaylıkla toplanabilmekte ve enerji piyasalarında arz talep dengesi açısından güvenilir tahminlerde bulunulabilmektedir.
Siber Güvenliğin Enerji Sektöründeki Önemi
Enerjinin ulaşım, aydınlatma gibi günlük hayatın pek çok alanında daimi bir ihtiyaç olma niteliği dolayısıyla, enerji tesislerinin işlevlerini kesintisiz olarak sürdürmesi büyük önem arz etmektedir. 2022 yılına ilişkin veriler uyarınca, enerji sektörüne karşı şu ana kadar 403 siber saldırının gerçekleştiği ve her bir saldırının ortalama 4.72 milyon dolar zarara yol açtığı tespit edilmiştir.
Siber saldırılar sonucu yaşanan hizmet kesintisi kısa süreli dahi olsa sağlık ve ulaşım gibi pek çok temel hizmetin aksamasına sebep olabilmektedir.7 Örneğin, 2021 yılında gerçekleşen Colonial Pipeline saldırısında doğal gaz iletim sistemlerinde basınç artışı oluşturularak borular işlevsiz hale getirilmiştir. Bu nedenle devre dışı kalan akaryakıt kara yolu ile transfer edilmiştir. Saldırı neticesinde yerel halk panik halinde benzin stoklamak üzere benzin istasyonlarına hücum etmiş ve bu durum karşısında benzinin fiyatı ülkede son dönemin en yüksek seviyelerine ulaşmıştır.
Siber saldırılar, günlük yaşantının yanı sıra enerji piyasalarının işleyişine de olumsuz etki edebilmektedir. Elektrik piyasasında gün öncesi ve sonrası tahminler yapılmakta, söz konusu tahminlere esas teşkil eden veriler ise santrali donatan bilişim sistemlerinden alınmaktadır. Bu sistemlere yönelik bilgiyi değiştiren veya yok eden saldırılar gerçekleştirildiğinde enerji arz talep dengesi bozulabilecek ve sistemde dengesizlikler oluşturabilecektir. Ayrıca, üretim, iletim ve dağıtım altyapılarının birbiri ile iç içe olması sebebiyle bu altyapılardan birinin zarar görmesi halinde enerji altyapılarının tümü etkilenebilmektedir. Örneğin, 2015 yılında Ukrayna’da bir tedarik şirketine yapılan siber saldırı sonucunda zararlı yazılım aracılığıyla SCADA sistemlerine erişilmiş ve trafo merkezleri güçten kesilmiştir. O gün 3 MWh elektrik arz edilememiş ve yaşanan elektrik kesintisi sonrasında ülke 1 ila 6 saat süreyle karanlığa gömülmüştür. İran’da bulunan bir nükleer santrale düzenlenen Stuxnet saldırısında ise santrifüjlere enerji sağlayan elektrik akım frekanslarında dalgalanmalar meydana getirilerek santrifüjlerin patlamasına yol açılmış ve buna bağlı radyoaktif zararlar meydana gelmiştir.
Tüm bunlardan hareketle, enerji sektöründe siber güvenliğin oynadığı kritik rol nedeniyle, ilgili otoriteler kadar sektörde faaliyet gösteren yatırımcılar tarafından da saldırıların önlenmesi, saldırı anında ve sonrasında gerekli aksiyonların en kısa sürede alınabilmesi için uygun bilişim altyapısının kurulması ve düzenli olarak kontrol edilmesi hayati önem taşımaktadır.
Türkiye’de Enerji Sistemlerinin Siber Güvenliğine İlişkin Hukuki Çerçeve
Her sektörde olduğu gibi enerji sektöründe de artan dijitalleşme siber tehditleri beraberinde getirmekte ve bu doğrultuda devletler siber güvenlik stratejileri oluşturmaktadır. Buna yönelik olarak, Türkiye’de siber güvenlik alanında 1999 yılından itibaren günümüze kadar birçok eylem planı oluşturulmuştur. Güncel olarak ise, 2020/15 Sayılı Cumhurbaşkanlığı Genelgesi12 uyarınca Ulaştırma ve Altyapı Bakanlığı tarafından hazırlanmış olan 2020-2023 dönemlerini kapsayan Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (“Eylem Planı”) uygulanmaktadır.
Eylem Planı’nda, enerji sektörünün de sayıldığı kritik altyapı sektörlerinin siber güvenliğinin sağlanmasına yönelik ilke ve hedefler belirlenmiş, ilgili kurum ve kuruluşların bu amaç doğrultusunda düzenlemeler ve uygulamaya yönelik çalışmalar yapması gerektiğinden bahsedilmiştir. Eylem Planı’nda belirlenen hedefler arasında kritik altyapıların siber güvenliğinin 7/24 korunması, kritik altyapı sektörlerinde düzenleme ve denetlemeye dayalı siber güvenlik yaklaşımının geliştirilmesi ve siber olaylara müdahale amacıyla proaktif siber savunma anlayışının geliştirilmeye devam edilmesi sayılmaktadır. Bu çerçevede, elektrik, doğal gaz ve petrol piyasalarında siber güvenliğin sağlanmasına yönelik çalışmalar Enerji Piyasası Düzenleme Kurumu (“EPDK”) tarafından yürütülmektedir. Haziran ayında yayımlanan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği13 (“Yönetmelik”) ile yine Temmuz ayında yayımlanmış olan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul ve Esasları14 siber güvenlik amacıyla sağlanacak asgari standartları ve kontrol esaslarını düzenlemektedir.
Yönetmelik ile, önceki düzenlemelerden farklı olarak, ana kontrol başlıkları, sektörel kritiklik dereceleri, uygulama ve denetim hususları detaylı olarak ortaya konulmuştur. Bununla birlikte, Yönetmelik uyarınca;
yükümlü kuruluş olarak tayin edilmiştir. Organize Sanayi Bölgesi dağıtım ve üretim lisansı sahipleri ise Yönetmelik kapsamı dışında tutulmuştur.
Öte yandan, Yönetmelik enerji alt sektörlerinde lisans sahibi olan birçok kuruluşu kapsam dâhilinde saymakta ise de, Yönetmelik ile henüz sadece elektrik ve doğal gaz dağıtım sektörleri için modeller belirlenmiştir. Bu sektörler özelinde ilgili modeller çerçevesinde öngörülen yükümlülükler Yönetmelik’in Resmi Gazete’de yayımlandığı tarihte yürürlüğe girmiştir. Bununla beraber, elektrik ve doğal gaz dağıtım lisansı sahipleri dışında kalan lisans sahiplerinin Yönetmelik kapsamındaki yükümlülükleri, bu sektörlere ilişkin model çalışmaları tamamlandıktan ve EPDK tarafından yayımlandıktan sonra uygulama alanı bulacaktır.
Yetkinlik modeli üç temel yetkinlik seviyesinden oluşmaktadır. Yükümlü kuruluşların sahip olması gereken yetkinlik seviyeleri parametreleri EPDK tarafından sektörel kritiklik dereceleri ile tespit edilecek ve belirlenen kritiklik dereceleri yükümlü kuruluşlara tebliğ edilecektir. Kritiklik derecelerine göre ise yükümlü kuruluşların yerine getirmesi gereken ana kontrol başlıkları belirlenecek, yükümlü kuruluşun yine bu başlıklar kapsamında belirlenen tamamlama süresi sonunda altyapısını kontrol başlıkları ile uyumlu hale getirmesi gerekecektir.
Yükümlü kuruluşların yetkinlik modeline uyumluluğu ise üç aşamalı bir denetime tabi olacaktır. Buna göre; ilk aşamada kuruluşun kendi iç kaynaklarıyla kendisini denetlediği “öz denetim/ fark analizi” denetimi, ikinci aşamada EPDK’nın belirlediği şartlara uyan firma ve personeller tarafından gerçekleştirilecek olan “sektörel denetim” ve nihayet üçüncü aşamada ise EPDK’nın öz kaynakları ile gerçekleştirilecek “kurum denetimi” bulunmaktadır.
Yönetmelik tahtında yükümlülüklerin ihlali halinde uygulanacak yaptırımlara ilişkin özel bir hüküm bulunmamaktadır. Bu nedenle, yaptırım türü ve miktarları her bir yükümlü kuruluş için faaliyet gösterdikleri piyasaların ana kanunlarında öngörülen hükümlere göre tayin edilecektir.
Sonuç
Kritik altyapı olarak enerji sektörü, giderek dijitalleşen enerji sistemleriyle birlikte artan siber güvenlik tehditlerine maruz kalmaktadır. Siber saldırılar sonrası artan farkındalık ile beraber enerji sistemlerinin bilişim güvenliği hususu Türkiye dâhil pek çok ülkenin gündeminde yer edinmiştir. Bu doğrultuda, Türkiye’de elektrik, doğal gaz ve petrol sektörleri özelinde uygulanacak standartlar ve kontroller EPDK tarafından yürütülmektedir. Haziran ayında yayımlanan Yönetmelik, enerji şirketlerine yönelik siber tehditleri tespit etmek, önlemek ve bu tehditlere müdahale etmek üzere kapsamlı bir çerçeve sunmakta ve elektrik, doğal gaz ve petrol piyasalarında faaliyet gösteren lisans sahibi kuruluşlar açısından çeşitli yükümlülükler öngörmektedir. Şirketlerin Yönetmelik’teki yükümlülüklere riayet etmesi sadece işletilen enerji tesisleri için değil tüm ulusal şebeke ve enerji altyapısının entegre olduğu tedarik zinciri ve bireylerin gündelik hayatları açısından büyük önem taşımaktadır.
KIDEMLI AVUKAT
Müşavvir Enerji / Elektrik Petrol ve Doğal Gaz Madencilik Taşımacılık ve Lojistik Kamu Özel İşbirlikleri ve İmtiyazlar İnşaat ve Altyapı Finansal Hizmetler Projeler ve Proje Finansmanı Bankacılık ve Finans Şirketler ve Ticaret Hukuku Sermaye Piyasası Hukuku Kamu İhale Hukuku Gayrimenkul Hukuku
STAJYER AVUKAT
Avukat Tüketim Ürünleri Enerji / Elektrik Madencilik Savunma Şirketler ve Ticaret Hukuku Birleşme ve Devralmalar Dava ve Uyuşmazlık Çözümleri
Haberdar Olun
Yasal ve mevzuat hakkında güncel bilgilere sahip olmak için abone olun.
ÇAKMAK © 2024 | Tüm hakları saklıdır.