ABD Enerji Bakanlığı, elektrik altyapısındaki siber güvenlik risklerini ele alıp daha güvenli bir altyapı kurmak için 100 günlük bir program başlattı.
Enerji altyapıları ekonominin tamamına temas etmesi nedeniyle kritik öneme sahip. Geçmişte dünya genelinde yaşanan çeşitli olaylar giderek dijitalleşen altyapıların da etkisiyle siber saldırıların bu yapıları ne kadar kırılgan hale getirdiğini kanıtlamıştı. Örneğin İran’da nükleer santralin durmasına yol açan Stuxnet vakası halen hafızalardaki yerini koruyor. Keza yine aynı ülkenin geçtiğimiz günlerde benzer bir siber saldırı yaşadığını açıklaması ise oldukça taze. Ukrayna’nın 2015 yılında BlackEnergy isimli bir truva atıyla elektrik santrallerinin etkilenmesi, Venezuela’nın benzer bir olayda ABD’yi siber saldırı yaptığı gerekçesiyle suçlaması, Türkiye’de saatler süren ve neredeyse ülkenin tümünü etkileyen kesintinin ardında bir siber saldırı olduğu iddiası ilk akla gelen örnekler. Altyapıların yalnızca elektrik şebekesinden ibaret olmadığını bir örneği ise burada sizlerle paylaştığımız, saldırganların içme suyu şebekesine müdahale ederek sodyum hidroksit seviyesini yukarı çekmesinde kendini göstermişti.
ABD’nin enerjide siber güvenlik planında neler var?
ABD Enerji Bakanlığı’nın açıklamalarına baktığımızda Biden yönetiminin kapsamlı bir çalışma planladığı kendini gösteriyor. Kritik altyapıları kalıcı ve karmaşık tehditlerden koruma çabasının bir parçası olarak devreye alınan bu 100 günlük program, elektrik hizmetlerinde kullanılan endüstriyel kontrol sistemlerinin siber güvenlik seviyelerini yükseltmek için Enerji Bakanlığı ile Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) arasında kapsamlı bir çalışmayı kapsıyor.
Yeni program kapsamında atılacak adımlar ise bir çeşit manifestoyla tanımlanmış:
- Program, operatörleri ve ilgili kurumları siber risklerin tespiti, azaltılması ve adli tıp yeteneklerini geliştiren önlemler ya da teknolojiler uygulamaya teşvik eder.
- Program, operatörler ve ilgili kurumların kritik endüstriyel kontrol sistemleri ve operasyonel teknoloji (OT) ağlarında gerçek zamanlıya yakın farkındalık ve müdahale yeteneklerini etkinleştiren teknolojileri ve sistemleri belirlemesi ve dağıtması için somut kilometre taşları içerir.
- Kritik altyapılarda kullanılan bilgi teknolojisi ağlarının siber güvenlik duruşu güçlendirilir ve geliştirilir.
Sektörün tedarik zinciri güvenliği için yeni çalışma
Yapılan resmi duyuruda, Enerji Bakanlığı’nın, ABD enerji sistemlerindeki tedarik zinciri güvenliği için ilgililerin öneri ve tavsiyelerini dinlemek için yeni bir kanal açacağı da yerini aldı. Buna göre elektrik hizmeti sunan şirketler, enerji sektöründe ürün ya da çözüm sunan diğer şirketler, akademisyenler, araştırma laboratuvarları, kamu kurumları yayınlanan Bilgi Talebi kapsamında görüşlerini iletecekler.
ABD Enerji Bakanlığı, 7 Haziran 2021 tarihine kadar açık olacak bu bilgi toplama süresinde toplanacak önerilerin daha verimli olarak kullanılabilmesi için “Kritik Savunma Tesislerinin Güvenliğini Sağlama Yasası”nda da bir düzenlemeye gideceğini açıkladı. Bu kapsamda kritik altyapıları güçlendirmek ve olası siber saldırılara karşı daha güçlü olmak için yerli üretim tabanını güçlendirme dahil çeşitli faaliyetler gerçekleştirilecek.