Söyleşi: EPDK Bilgi İşlem Dairesi Başkanı Mehmet Yılmazer
Türkiye Bilişim Derneği (TBD) ’nin 4. Siber Güvenlik Ekosisteminin Geliştirilmesi Zirvesi’nde Siber Güvenlik Ekosistemine Katkı Veren Kamu Görevlisi olarak ödül olan Enerji Piyasası Düzenleme Kurumu’nda Bilgi İşlem Dairesi Başkanı Mehmet Yılmazer ile görüştük.
Anılan ödül, siber güvenlik alanında yapmış olduğu çalışmalar ve/veya yürütmüş olduğu projeler ile yerli ve milli çözümler üretilmesine, yerli ve milli siber güvenlik ürünlerin kamuda kullanımının yaygınlaştırılmasına ve güncel siber güvenlik teknolojilerin uygulama ve kullanımına yönelik olarak siber güvenlik ekosistemine katkı sağlamayı hedefleyen kamu kurumlarını kapsamakta.
Yılmazer, 2009 – 2013 yıllarında TBD Kamu Bilgi İşlem Merkezleri Yöneticileri Birliği’nin (TBD Kamu-BİB) Başkanlığı yaptı.
Sayın Yılmazer, kısaca kendinizden söz eder misiniz?
1964 Tarsus’ta doğdum. 1986 yılında Hacettepe Üniversitesi Fen Fakültesi Matematik Bölümünden mezun oldum. İş hayatına Temmuz 1986’da Mersin’de bilişim sektöründe faaliyet gösteren Alpan Bilgisayar’da başladım. 1989-2000 yılları arasında Başbakanlık Bilgi İşlem Başkanlığı’nda çözümleyici ve Yazılım Geliştirme Müdürlüğü yaptım. Avrupa Birliği Genel Sekreterliği’nde kuruluşundan itibaren 2002 yılının ikinci çeyreğine kadar Bilgi İşlem Koordinatörlüğü yaptım. 2002 yılında Enerji Piyasası Düzenleme Kurumu’nda (EPDK) Bilişim Hizmetleri Grup Başkanı olarak göreve başladım. Mart 2019’da EPDK’da Bilgi İşlem Dairesi Başkanlığı kurulmasıyla birlikte Bilgi İşlem Dairesi Başkanı olarak görev yapmaya başladım ve halen bu görevi sürdürmekteyim.
EPDK’nın Görev, Yetki ve Sorumlulukları nelerdir?
EPDK, kamu tüzel kişiliğini haiz olup idari ve mali özerkliğe sahiptir. İlişkili olduğu Bakanlık, Enerji ve Tabii Kaynaklar Bakanlığı.
EPDK; 4628 sayılı Enerji Piyasası Düzenleme Kurumunun Teşkilat ve Görevleri Hakkında Kanun, 4646 sayılı Doğal Gaz Piyasası Kanunu, 5015 sayılı Petrol Piyasası Kanunu, 5307 sayılı Sıvılaştırılmış Petrol Gazları (LPG) Piyasası Kanunu ve Elektrik Piyasası Kanunu’nda Değişiklik Yapılmasına Dair Kanun ve 6446 sayılı Elektrik Piyasası Kanunu ile kendisine verilen görevleri yerine getirmekte ve yetkileri kullanmaktadır.
Anılan Kanunlar, elektrik, doğal gaz, petrol ve LPG’nin; yeterli, kaliteli, sürekli, düşük maliyetli ve çevreyle uyumlu bir şekilde tüketicilerin kullanımına sunulması için, rekabet ortamında özel hukuk hükümlerine tabi faaliyet gösterilebilecek, mali açıdan güçlü, istikrarlı ve şeffaf bir enerji piyasasının oluşturulmasını ve bu piyasada bağımsız bir düzenleme ve denetimin sağlanmasını amaçlamaktadır.
Bu amacın yerine getirilmesinde Kurum;
Elektrik piyasasında; tüzel kişilerin yetkili oldukları faaliyetlerden kaynaklanan hak ve yükümlülüklerini tanımlayan lisansların verilmesi ve ilgili diğer işlemlerin yapılması; piyasa performanslarının izlenip, performans standartlarının oluşturulması; ikincil mevzuatın oluşturulması, geliştirilmesi ve uygulanmasının sağlanması; lisans sahibi tüzel kişilerin denetlenmesi; düzenlemeye tabi tarifelerin hazırlanması, tadili ve uygulanmasının sağlanması; piyasada Elektrik Piyasası Kanununa uygun şekilde davranılmasının sağlanması,
Doğal gaz piyasasında; doğal gazın ithalatı, iletimi, dağıtımı, depolanması, ticareti ve ihracatı ile bu faaliyetlere ilişkin tüm gerçek ve tüzel kişilerin hak ve yükümlülüklerini tanımlayan lisans ve sertifikaların verilmesi ve ilgili diğer işlemlerin yapılması; piyasa ve sistem işleyişinin incelenmesi; ikincil mevzuatın oluşturulması, geliştirilmesi, uygulanmasının sağlanması; lisans ve sertifika sahiplerinin, denetlenmesi, düzenlemeye tabi tarifelerin hazırlanması, tadili ve uygulanmasının sağlanması; piyasada Doğal Gaz Piyasası Kanununa uygun şekilde davranılmasının sağlanması,
Petrol piyasasında; petrol ile ilgili rafinaj, işleme, madeni yağ üretimi, depolama, iletim, serbest kullanıcı ve ihrakiye (havaalanı ve limanlardaki taşıtlara ücret karşılığı verilen akaryakıt) faaliyetlerinin yapılması amacıyla tesis kurulması, işletilmesi, akaryakıt dağıtımı, taşıması ve bayilik faaliyetleri için lisans verilmesi ve ilgili diğer işlemlerin yapılması; lisans gerektiren faaliyet ve işlemlerin kapsamları, lisans ile kazanılan hak ve üstlenilen yükümlülükler, lisans kapsamındaki faaliyetlerin kısıtlanması, faaliyetin yürütülmesine ilişkin olarak özel şartların belirlenmesi; ikincil mevzuatın oluşturulması, geliştirilmesi ve uygulanmasının sağlanması; tarifelerin onaylanması; piyasada oluşan fiyatların ve fiyat listelerinin takibi, piyasada Petrol Piyasası Kanununa uygun şekilde davranılmasının sağlanması,
Sıvılaştırılmış Petrol Gazları (LPG) piyasasında; LPG dağıtımı, taşınması, otogaz bayilik faaliyetleri, depolanması, LPG tüpü imalatı, muayenesi, tamiri ve bakımı amacıyla tesis kurulması ve işletilmesi için lisans verilmesi ve ilgili diğer işlemlerin yapılması; lisans gerektiren faaliyet ve/veya işlemlerin kapsamları, lisans ile kazanılan hak ve yükümlülükler, faaliyetin yürütülmesine ilişkin olarak özel koşulların belirlenmesi; ikincil mevzuatın oluşturulması, geliştirilmesi ve uygulanmasının sağlanması; piyasa faaliyetlerine ilişkin gerekli yönlendirme, gözetim ve denetim faaliyetlerinin yapılması; piyasada oluşan fiyatların takibi, piyasada 5307 sayılı Kanuna uygun şekilde davranılmasının sağlanması,
konularında yetkili ve sorumludur.
Bilişim Teknolojileri alanında bugüne kadar yapılan çalışmalar hakkında bilgi verebilir misiniz?
EPDK 19 Kasım 2001’de kuruldu. Enerji sektöründe düzenleme ve denetim faaliyetlerini yürütmektedir.
EPDK’da 2002 yılından beri bilişim hizmetlerinde neler yaptığımızdan bahsetmek istiyorum. Yapılanların günümüze ne tür faydalarının olduğunu görmek için.
Uzaktan erişim ile çalışma sadece Bilgi İşlem personeli tarafından 2004 yılında başlandı. Kurum personeli tarafından 2011 yılında.
Enerji sektöründe hizmet veren firmalar kurumumuzdan lisans almadan faaliyette bulunamaz. Lisans başvuruların elektronik ortamda alınıp aynı zamanda ıslak imzalı olarak posta ile gönderilmesine 2005 yılında, ıslak imzalı olarak posta ile gönderilen evrakların iptal edilerek başvuruların e-İmza ile alınmasına da 2009 Ocak’ta başlandı.
Bildiğiniz üzere e-devlet kapısı 2008 Aralık ayında açıldı. EPDK e-Devlet’te hizmetlerini sunmaya başlayan ilk kurumlar arasındadır. İlk hizmetimizi e-Devlet üzerinden 2009 yılında sunmaya başladık.
EPDK’da Kayıtlı Elektronik Posta Nisan 2014’te, e-Tebligat Haziran 2015’te kullanılmaya başlandı.
Bilindiği üzere tebligatlar 2019 Ocak’tan itibaren Ulusal Elektronik Tebligat Sisteminden gönderilmeye başlandı.
Kamu Kurum ve Kuruluşları arasındaki PTT vasıtasıyla taahhütlü, tebligat vs. şeklinde gönderilerle ya da kurye vasıtasıyla yapılan resmi yazışmaların, kağıt kullanılmadan, Kayıtlı Elektronik Posta altyapısı kullanılarak elektronik ortamda yürütülmesini sağlamak için e-Yazışmanın ortaya çıkması ile EPDK Ocak 2016’da ilk olarak özel sektörle daha sonra da Kamu ile e-Yazışma yapmaya başladı.
EPDK’da 150 yakın iş süreci bulunmakta. Süreçlerin belli bir kısmı 2013 yılında, tamamı ise 2017’den itibaren elektronik ortamda yapılmaya başlanmasıyla tüm süreçler elektronik ortama taşınmış oldu. Bu süreçlerden birkaçını kısaca açıklayayım.
Elektronik Bildirim Sistemi(EBİS) Modülü:
Petrol ve LPG piyasalarında faaliyet gösteren lisans sahiplerinin piyasa faaliyetlerine ilişkin veriler 2009, Elektrik, Doğal Gaz piyasalarında 2015 yılından itibaren elektronik ortamda e-imza/mobil imza ile alınmaktadır.
Lisans sahiplerinin EBİS üzerinden Kurumumuza göndermekte oldukları Dönemsel Bildirimler günlük, aylık, üç aylık, altı aylık, yıllık, 3 yıllık/5 yıllık periyotlarda olup, Oluşuma Bağlı Bildirimler söz konusu durumun oluşmasını müteakip Kurumumuza bildirilmektedir.
Akaryakıt Bayileri Otomasyon Sistemi modülü:
Petrol Piyasasında faaliyet gösteren Dağıtıcı lisansı sahiplerine, Kurum tarafından belirlenen esaslara uygun olarak bayilerinde kaçak petrol satışının yapılmasını önleyen teknolojik yöntemleri de içeren bir Bayi Denetim Sistemi kurması sağlanmıştır.
Bayi Denetim Sistemi’ne İlişkin Kurul Kararı kapsamında dağıtıcı lisansı sahiplerinin, kurdukları denetim sistemi vasıtasıyla topladıkları verileri günlük ve aylık olarak Kurumumuza bildirme yükümlülüğü getirilmiştir.
Söz konusu verilerin bir kısmı web servisleri aracılığıyla Akaryakıt Bayileri Otomasyon Sistemi üzerinden Kurumumuza ulaştırılmaktadır.
Kurumumuza ulaşan istasyon otomasyon sistemi verileri, Petrol Piyasası Kanunu kapsamında kaçak akaryakıt ile mücadelede görevli kurum ve kuruluşlar ile görevlerinin gerektirdiği ölçüde paylaşılmaktadır.
EDVARS (Elektrik Dağıtım Veri Ambarı ve Raporlama Sistemi):
Elektrik Dağıtım lisansı sahiplerine ilk etapta müşteri bilgi sistemleri (MBS), otomatik sayaç okuma sistemleri (OSOS) vb. sayaç veri sistemleri, varlık kayıt sistemleri, tedarik sürekliliği kayıt sistemleri (TSKS), tedarik sürekliliği uzaktan izleme sistemleri (TSUİS), uzaktan izleme ve kontrol sistemleri (SCADA), arıza yönetim sistemleri (AYS), bakım yönetim sistemleri (BYS), coğrafi bilgi sistemleri (CBS), çağrı merkezi bilgi sistemleri, yatırıma ilişkin sistemler, muhasebe sistemleri ve elektronik belge yönetim sistemleri (EBYS)’ni kurmaları sağlanmıştır.
Enerji Piyasası Bildirim Yönetmeliği kapsamında Kuruma bildirmekle yükümlü oldukları bu veriler ile Kurum tarafından gerekli görülebilecek ilave verilerin gerçek zamanlı olarak izlenmesi ve Kurum tarafından belirlenecek güncellikte raporlanması amacıyla veri ambarı ve raporlama sistemini kurmaları ve bu sisteme Kurumun uzaktan erişim yapması Kasım 2017’de sağlanmıştır.
Tüketici Şikâyetleri Modülü:
Tüketiciler, Kuruma Bilgi Edinme, Şikâyet ve Görüş/Öneri başvurularını Tüketici Şikâyet Portal Modülünden giriş yaparak iletebilmekte ve takip edebilmektedirler. Tüketiciler, Kurum internet sayfasından yapmış olduğu başvuruların yanı sıra ayrıca CİMER aracılığıyla Kuruma ulaşan başvurularının durumunu ve verilen cevapları da yine bu sayfadan takip edebilmektedirler.
Yapılan şikayetlere hızlı çözüm üretebilmek için özel sektör ile e-Yazışma yapılmaktadır. CİMER ile de web servisleri aracılığıyla veri alışverişi sağlanmaktadır.
Denetim Modülü:
Kurum bünyesinde takip edilen denetim süreçlerinin yönetildiği, gerekli yazışma ve müzekkerelerin EBYS ile entegre olarak otomatik hazırlandığı sistemdir. Denetim bilgileri Kurumun protokol imzaladığı ve Kurum adına denetim yapan protokolcü Kurumların (Emniyet Genel Müdürlüğü, Jandarma Genel Komutanlığı, Sahil Güvenlik Komutanlığı, Sanayi ve Teknoloji Bakanlığı ve Ticaret Bakanlığı Gümrükler Muhafaza Genel Müdürlüğü) personeli tarafından elektronik ve mobil imza altyapısı kullanılarak E-Devlet ile bütünleşik biçimde çevrimiçi girilebilmektedir. Denetim süreci denetim modülü üzerinden yönetilmektedir.
Kamulaştırma Modülü:
Lisans Sahibi Şirketlerin tesis kurması için gerekli kamulaştırma işlemlerinin takip edildiği, gerekli yazışma ve müzekkerelerin EBYS ile bütünleşik olarak otomatik hazırlandığı sistemdir. Kamulaştırma başvuruları elektronik ve mobil imza altyapısı kullanılarak E-Devlet ile entegre biçimde online olarak alınmaktadır.
Ulusal Marker Modülü:
Ulusal marker (ülke akaryakıt kimliği) Tübitak tarafından üretilmektedir. Akaryakıtlara Ulusal Marker ekleme yükümlülüğü bulunan lisans sahiplerinin Ulusal Markerı Tübitak’tan temin edebilmeleri için başvuru, randevu, EPDK onayı ve Ulusal Marker Teslimi süreçlerinin online olarak yönetildiği sistemdir. Ulusal Marker Başvuruları elektronik ve mobil imza altyapısı kullanılarak E-Devlet ile bütünleşik biçimde alınmaktadır.
Akaryakıt Harici Ürün Modülü:
Akaryakıt harici ürün izin başvuruları elektronik ve mobil imza altyapısı kullanılarak E-Devlet ile bütünleşik biçimde alınmaktadır. Akaryakıt Harici Ürün modülü Ticaret Bakanlığı Tek Pencere sistemi ile bütünleşik çalışmakta ve Kurum tarafından onaylanan izin bilgileri anlık olarak Tek Pencere sistemine aktarılmaktadır.
Doğal Gaz Spot Boru Gazı Yarışmaları Modülü:
BOTAŞ tarafından belirlenen Spot Boru gazı kapasitelerinin kullanımı için Doğal Gaz Piyasasında yurt dışından Spot Boru Gazı ithal edecek ithalat lisansı sahipleri arasında yapılacak yarışma bilgilerinin düzenlendiği ve yarışma sonuçlarının online olarak yayınlandığı e-Devlet arayüzü bulunan modüldür
Petrol Depo Stok Takip Sistemi Modülü:
Petrol piyasasında ulusal stok kapsamına giren depolama tesislerinde bulunan tanklardaki petrol miktarını ve seviyelerinin saatlik olarak elektronik ortamda izlenmesi ve bu sistemlerde oluşan verilerin, Kurumumuz tarafından da doğrudan takip edebilmesi için kullanılan Petrol Depo Stok Takip Sistemidir.
Lisans ve Talep Modülü:
Elektrik, Doğal Gaz, Petrol ve LPG piyasalarında faaliyet gösteren gerçek ve tüzel kişilere Kurum tarafından verilen lisans bilgilerin ve lisans başvuru, tadil, süre uzatma, sona erdirme, devir, suret çıkarma, vb süreçlerinin yönetildiği modüldür. Lisans başvuruları elektronik ve mobil imza altyapısı kullanılarak e-Devlet ile bütünleşik biçimde online alınmaktadır.
Bu süreci kısaca anlatayım. Hepimiz araçlarımıza akaryakıt alıyoruz. Akaryakıt istasyonları faaliyet gösterebilmeleri için EPDK’dan lisans almak zorundadır. Elektronik ya da mobil imza ile lisans başvurusunu sistemimize girerek yapabilir ve lisansı alabilir. Elektronik başvuru sistemine geçmeden muhatabımız lisans başvuru evraklarını posta ile göndermekte ya da elden teslim etmekteydi. Başvurunun ilgili birime ulaşıp lisans işleminin sonuçlanması elden teslim ise 3, posta ile gönderildiyse postanın kuruma gelmesine bağlı olarak 7 gün içinde olmaktadır. Elektronik başvuru sistemine geçtikten sonra muhataplarımız 20 dakika içinde lisansını almaktadır. İşlemin bu kadar hızlanmasının iki nedeni bulunmaktadır. Birincisi başvuru evraklarının elektronik ortamda gelmesiyle ilgili uzmana anında sevk edilmesi, ikincisi ise başvuru için istenilen evrakların bazı kamu kurum ve kuruluşlarından elektronik başvuru esnasında web (bilgiağı) servisler ile alınmasıdır. Aksi taktirde bu evrakların doğrulaması kamu kurum ve kuruluşları ile yazışmalar ile yapılmaktaydı.
Yapılanların günümüze ne tür faydalarının olduğunu görmek için Son olarak da Kurum yeni hizmet binasına 2 Aralık 2019’da taşınılması ve veri merkezinin son teknolojiler ile kurulması.
Salgın sırasında çalışanlarımızın virüsten etkilenmemesi ve salgını, oluşabilecek en az zararla atlatmak adına, 16 Mart 2020 itibariyle idari izinli olan personele evden çalışma imkanı ve uzaktan erişim yetkisi verildi. Küresel salgın sürecinde, hafta içi ortalama 400, tatil günlerinde ortalama 175 uzaktan bağlantı sayısı ile Kurum personeli Kurumdaymış gibi çalıştı. Kuruma günlük gelen ortalama 100 personeli de düşünürsek hafta içinde personelin tamamı bilişim sistemlerini kullanmış demektir.
2002 yılından beri özetlediğim bu çalışmalar ile kurum personeli sanki kurumdaymış gibi çalışması, hizmet alanların kuruma gelmeden tüm işlerini gerçekleştirebilmelerini sağlamıştır.
Dijital (sayısal) dönüşümüzdeki bu başarı EPDK’da üst yönetimin bilgi ve iletişim teknolojilerine verdiği destek ile bilgi ve iletişim teknolojileri alanında uzmanlaşmış, nitelikli personelin istihdam edilmesiyle sağlanmıştır.
Siber Güvenlik Ekosistemine Katkı Veren Kamu Görevlisi ödülünü aldınız. Siber Güvenlik altyapı kuruluşuna dönük çalışmalar Kurumunuzda ne zaman başladı? Hangi aşamalardan geçildi?
EPDK Ulusal Siber Güvenlik Strateji Eylem Planı ile 2012 yılında, enerji sektörüne yönelik “Sektörel Siber Olaylara Müdahale Ekibi (SOME) olarak görevlendirilmiştir. Bu çerçevede, ilk olarak 2014 yılı sonunda sektöre, işlettikleri kurumsal bilişim ve endüstriyel kontrol sistemlerini TS ISO/IEC 27001 BGYS standardına uygun bir şekilde işletmeleri zorunlu hale getirilmiştir. Bunun için 26.12.2014 tarih ve 29217 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren “Elektrik Piyasası Lisans Yönetmeliği, Doğal Gaz Piyasası Lisans Yönetmeliği ve Petrol Piyasası Lisans Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik” hazırlanmıştır. Bu kapsamda işletmedeki kurulu gücü 100MWe ve üzeri olan elektrik üretim santralleri, elektrik dağıtım ve iletim lisansı sahipleri, doğalgaz iletim ve dağıtım lisansı sahipleri ile petrol tarafında rafinerici lisansı sahipleri değerlendirilmiştir. 237 işletmeden 231’i bu sertifikayı almış durumdadır. Ayrıca Elektrik Piyasası Lisans Yönetmeliği’ne 24.02.2017 tarihinde ve 29989 sayılı R.G.’de yayımlanan değişiklikle, Doğalgaz Piyasası Lisans Yönetmeliğine 24.5.2017 tarihli ve 30075 sayılı R.G.’de yayımlanan değişiklikle, Petrol Piyasası Lisans Yönetmeliğine 13.7.2017 tarihli ve 30123 sayılı R.G.’de yayımlanan değişiklikle eklenen
“TS ISO/IEC 27001’e göre kuracakları Bilgi Güvenliği Yönetim Sisteminde TS ISO/IEC 27002 Uygulama Rehberine ek olarak ISO/IEC TR 27019 rehber dokümanını da referans almak”
ifadesi ile Enerji Sektörüne Özgü Proses Kontrol Sistemleri için TS ISO/IEC 27002’ye Dayalı Bilgi Güvenliği Yönetimi Rehberi’nin kaynak olarak kullanılması zorunlu hale getirilmiştir.
Yükümlü kılınan kuruluşlar TS ISO/IEC 27001 BGYS sertifikalarını almışlardır.
Bununla birlikte ülkemizdeki siber güvenlik yapılanması BTK altında Ulusal Siber Olaylara Müdahale Ekibi (USOM) tarafından yönetilmektedir. EPDK olarak enerji sektöründe faaliyet gösteren ve TS ISO/IEC 27001 ile yükümlü kılınan 237 kuruluşun Siber Olaylara Müdahale Ekipleri (SOME)’ni kurmaları sağlanmıştır. SOME’lerde yer alan bilgilerin güncelliği dönem dönem sektöre yapılan hatırlatmalarla sağlanmakta, ETKB, MİT Başkanlığı ve BTK-USOM tarafından iletilen zafiyetler ilgili SOME’lere aktarılmaktadır. Şirketlerin zafiyetler üzerine aldıkları aksiyonların yer aldığı geri dönüşler sorumlu otoritelerle paylaşılmaktadır. Böylece ulusal siber güvenliğin enerji ayağında oldukça büyük bir teşkilatlanma gerçekleştirilmiştir. Diğer taraftan 13.07.2017 tarihli ve 30123 sayılı R.G.’de yayımlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği ile çok basit gibi görünen fakat önlem alınmadığında ciddi sorunlara yol açabilecek siber risklerin değerlendirildiği bir metodoloji hazırlanarak sektörde bu metodolojinin uygulanması sağlanmıştır. Gerek kamu gerekse özel sektör kuruluşlarında endüstriyel kontrol sistemleri varlık envanterinin çıkarılması ile bir anlamda ulusal kritik enerji altyapı varlık envanteri oluşturulmuştur.
Elektrik, doğalgaz ve petrol piyasalarında 2016 yılı içerisinde toplam 8, 2017 yılı içinde 15, 2018 yılı içerisinde 19, 2019 yılı içerisinde 1 lisans sahibinin bilgi güvenliği yönünden denetim ve inceleme işlemleri EPDK bilgi işlem personeli tarafından gerçekleştirilmiştir. 2020 yılında dünya çapında yaşanan COVID-19 salgını nedeniyle yerinde denetim faaliyetleri gerçekleştirilememiştir.
- Elektrik dağıtım şirketlerinden tüketim miktarına göre ilk 10 şirketten 7’si,
- Elektrik üretim şirketlerinden üretimdeki paylarına göre ilk 10 şirketten 6’sı,
- Elektrik iletim ve doğal gaz iletim lisansı sahipleri,
- Doğalgaz dağıtım lisansı sahiplerinden enerji satış miktarlarına göre ilk 10 şirketten 8’i,
- Rafinerici lisansı sahibi (TÜPRAŞ),
bu kapsamda denetlenmiştir.
EPDK mevzuat değişiklikleri doğrudan sızma testi yükümlülüğü getirmese de TS ISO/IEC 27001 zorunluluğu getiren lisans yönetmelikleri ile enerji sektöründe sızma testi ihtiyacı ortaya çıkmıştır. Enerji sektöründe uygulanacak sızma testi metodolojisinin belirlenmesiyle ilgili endüstriyel kontrol sistemlerinin hassasiyeti göz önüne alınarak yapılan çalışma tamamlanmış ve Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul ve Esasları 03.05.2019 tarihli ve 30763 Sayılı R.G.’de yayımlanarak yürürlüğe girmiştir. Bu testleri yapmakla yükümlü kuruluşlara testleri ilk defa yaptırmaları için 18 ay süre tanınmış, sonrasında 3’er yıllık periyotlarda testleri tekrarlamaları talep edilmiştir.
2019 yılı içerisinde Cumhurbaşkanlığı Savunma Sanayi Başkanlığı ile gerçekleştirilen ortak bir toplantıda enerji sektöründe yer alan kritik altyapı işletmecilerinin bilgi güvenliğinde çözüm üreten yerli firmalarla buluşmaları sağlanmıştır. Bununla birlikte yabancı menşeili EKS ürün bağımlılığı yüksek olan enerji sektöründe EKS bileşeni üreten yerli üreticiler, yürürlükteki mevzuat kapsamında ihtiyaç duyulan hizmetlerle ilgili öncelikli olarak bilgilendirilmişlerdir.
Geçmişten bugüne enerji sektöründe sektör temsilcileri ile yapılan toplantı ve etkinlikler aşağıda listelenmiştir:
- 04.2017 EPDK – GAZBİR SOME İstişare Toplantısı
- 11-12.05.2017 ELDER Enerji Sektöründe Siber Güvenlik Çalıştayı
- 05.2017 EPDK – Elektrik Üreticileri SOME İstişare Toplantısı
- 10.2017 EPDK – EÜD Siber Güvenlik Toplantısı
- 16-17, 22-25.01.2018 EPDK – KRİTİK ENERJİ ALTYAPILARI Siber Güvenlik Mevzuatı Bilgilendirme Çalıştayları
- 03.2019 EPDK – ENERJİ UZM. DERNEĞİ Siber Güvenlik Mevzuat Bilgilendirme Çalıştayı
- 08.2020 EPDK-ELDER Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi Çalıştayı (Çevrimiçi)
- 03.2021 EPDK-ELDER Siber Güvenlik Değerlendirme Toplantısı (Çevrimiçi)
- 04.2021 EPDK-GAZBİR Siber Güvenlik Değerlendirme Toplantısı (Çevrimiçi)
- 04.2021 EPDK-TEİAŞ, BOTAŞ, EÜAŞ, Rafineriler Siber Güvenlik Değerlendirme Toplantısı (Çevrimiçi)
- 14-16.04.2021 EPDK-Elektrik Üretim Lisansı Sahipleri (100MW üzeri) Siber Güvenlik Değerlendirme Toplantısı (Çevrimiçi)
Ülkemizde bu alana yönelik olarak gözlemlediğiniz eksiklikler var mı? Bunlar nelerdir? Giderilmesi için önerileriniz nelerdir?
Enerji sektörü, ekonomik büyümede diğer sektörlerin de önünde lokomotif olarak karşımıza çıkmaktadır. Enerjinin sürdürülebilir olması toplumun sağlıklı büyümesi için şarttır. Bu nedenle enerji arz güvenliğinin yanı sıra kritik enerji altyapılarının korunması da önemli bir başlık olarak karşımıza çıkmaktadır. Bu bağlamda en önemli eksiklik, Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri için Yerli ve milli çözümlerin olmaması. Yabancı menşeli ürünleri yerlileştirmektense ülkemiz öz kaynakları ile yabancı teknolojiler kullanılarak yerlilik oranlarını artırarak milli ürünler ortaya çıkarabiliriz. Yerli bir ürünün aynı zamanda milli olmama ihtimali de bulunmaktadır. Yabancı bir firma sadece üretim tesisini bir ülkeye taşıyarak orada üretim kararı verebilir ve yerli bir hale gelebilir. Ancak bir kriz durumunda kendi isteğiyle üretime son verebilir. Siber güvenlik ürünlerinde ise bu durum son derece hassas bir niteliğe sahiptir. Ancak ülkemiz kaynakları ve değerleri ile üretilen yerli ürünler bu negatif etkiyi ortadan kaldırmaktadır.
Yabancı menşeli yerli ürünlerde ürünün bütün bileşenleri dışardan geliyor olabilir. Üretimin yapıldığı ülkenin hukuku altında üretildiği için gerçekte sadece orada monte edilse bile o ülkenin ürünü sıfatını taşır. Ya da ülkemiz içerisinde, ülkemiz değerleri ile üretilen yerli bir ürün bazı parçalarını dışarıdan temin edebilir. Ancak şunu unutmamalıyız, ülkemiz değerleri ile üretilmeyen yabancı menşeli ürünler olası bir kriz durumunda desteğini veya üretimini geri çekebileceği gibi siber savaşlarda kritik bir sorun olarak karşımıza çıkacaktır.
Yerli firmalarımızın bu konuya fazlasıyla kafa yorduğunu ve yatırım yaptıklarını biliyoruz. Bu noktada, düşüncemiz kritik altyapılarda hizmet verecek olan gerek donanım gerekse yazılımlar için teknokent destekleri haricinde teşvik mekanizmalarının benimsenmesinin çok faydalı olacağıdır.
Kurumsal bilgi sistemleri ve endüstriyel kontrol sistemlerinin siber güvenlik açısından farkları nelerdir?
Esasen bu iki yapının siber güvenlik açısından farklılıklarını incelerken, bahis konusu yapıların nasıl ortaya çıktığını ve geliştiğini de göz önüne almak gerekir. Gelişimleri itibarı ile bakıldığında, kurumsal bilgi sistemlerinin verinin hızlı olarak işlenmesini, güvenli olarak saklanmasını ve iletilmesini, endüstriyel kontrol sistemlerinin ise fiziksel prosesin daha verimli, güvenli ve sürekli olarak devamını sağlamayı amaç edindiği görülmektedir. Bu açıdan bakıldığında kurumsal bilgi sistemlerinin, verinin, verinin işlenip barındırıldığı ve iletildiği ortamların güvenliğine yönelik gelişiminin erken safhalarından itibaren önem veren bir yaklaşım sergilediği görülebilecektir. Endüstriyel kontrol sistemleri ise dijitalleşmenin hız kazanıp, iletişim imkânlarının gelişiminden önce fiziksel kontroller hariç herhangi bir güvenlik yaklaşımı benimsememiş, izole bir dünyada faaliyet göstermenin rahatlığını yaşayagelmiştir. Ancak, endüstriyel kontrol sistemlerinin kurumsal bilgi sistemleriyle hatta doğrudan internet ortamı ile erişim sağlama ihtiyacı duyması ile birlikte siber güvenlik yaklaşımı belirgin şekilde değişim göstermiştir. Endüstriyel kontrol sistemi yöneticileri seviye 1 ve üstünde, artık bilgi sistemlerine benzer şekilde sınır güvenliği, saldırı tespiti ve engellenmesi, ağ güvenliği ve yalıtımı (segmentasyonu), ayrıcalıklı kullanıcı yönetimi, log analizi gibi teknolojileri hayat geçirme noktasına gelmiştir. Burada dikkat edilmesi gereken endüstriyel protokollerin bilgi sistemlerinde karşımıza çıkan protokollerden farklı yapıda olduğu ve çok daha fazla zafiyet barındırdıkları gerçeğidir.
Bilişim teknolojileri alanında Kurumunuzdaki geleceğe dönük çalışmalarla ilgili neler söylersiniz?
Aralık 2019’da hizmet vermeye başladığımız binamızda önümüzdeki 5 yılı hedefleyerek bir veri merkezi kurduğumuz ve tüm süreçler elektronik ortamda yürütüldüğü için bilişim teknolojileri alanında Kurumumuzda sistemimizin devamlılığı dışında geleceğe dönük çalışmalar bulunmamaktadır. Ancak, Sektörde siber güvenlik olgunluk modeli oluşturularak, sektör oyuncularının değişen siber tehditlere karşı önlem almaları hususunda sürekli geliştirmeyi sağlamaktır. Bu konuda hem enerji sektörünün hem de bilişim güvenliği sektörünün önde gelen firmalarının temsilcileri ve akademisyenlerden bir çalışma grubu oluşturulmuştur. Çalışma salgın koşullarından dolayı yavaş ilerlemekte, 2022 yılının ikinci çeyreğine kadar bitirmeye gayret ediyoruz.
Son olarak Bilişim Dergisi okurlarına neler söylemek istersiniz?
Bilgi teknolojileri altyapısı ve siber güvenliğin salgın döneminde yine önemli konulardan birisi olduğunu gözlemliyoruz. COVID-19 ve Korona Virüs benzeri alan adı alımlarında artış olduğu, salgının yüksek oranda yayıldığı ülkelerde de oltalama saldırılarının aynı ölçüde arttığı görülüyor.
Özellikle kendilerine sağlık veya araştırma kuruluşu görünümü veren saldırganların kullanıcıları e-posta yoluyla suiistimal etmeye çalıştığı görülüyor. Yaşanan bu gibi durumlar, siber güvenliğin afet durumlarında sürdürülebilirliğinin sistemlerin ve kritik süreçlerin devamı için ne kadar önemli olduğunu yansıtıyor.
Uzaktan erişim altyapılarının kullanımının yaygınlaşması, kuruluşlar tarafından kullanılan uzaktan erişim sistemleri ve video/tele-konferans sistemleriyle ilgili risklerin azaltılması için bu sistemlere yönelik tatbikat ve risk/güvenlik değerlendirmelerinin gerçekleştirilmesini önemli kılıyor.
Sistemdeki bir zafiyet veya kesinti, kuruluşa ait önemli bilgilerin sakıncalı kişilerin eline geçmesine veya operasyonların aksamasına neden olabilir. Kurum ortak alanlarında bulunan önemli dosyalar şifrelenmeli ve yetkisi olmayan kişilerce kesinlikle açılamıyor olmalıdır.
Ayrıca sistemlere giriş ve çıkışlar sürekli izlenmelidir. Sistemlerin sadece mesai saatlerinde izlenmesi siber güvenlik saldırılarından korunmak için yeterli değildir.
Ernst&Young’ın Küresel Bilgi Güvenliği araştırmasına göre enerji sektöründe 1800 büyük ölçekli şirket bazında yapılan çalışmada firmaların %89’u siber güvenlik sistemlerinin şirket ihtiyaçlarını karşılamada yetersiz kaldığını belirtmektedir. Bu konuda sadece sistemleri tek başına sorumlu tutmak elbette ki doğru bir yaklaşım olmaz. Çünkü siber saldırıların eğer kuruluş açısından kötü bir sonucu oluyorsa bu durumun en büyük sebeplerinden biri de kuruluş çalışanlarının ihmali ve/veya bilgisizliği kaynaklı olmasıdır. Bu nedenle saldırılardan korunmak için kuruluşların çalışanlarına farkındalık eğitimlerini düzenlemesi önem arz ediyor. Yapılacak uzaktan bağlantıların etkin ve güvenliği sağlanmış kanallar üzerinden gerçekleştirilmesi gerekiyor.
Bilgisayarların, telefonların ya da içerisinde kurumsal verilerin olduğu cihazların çalınma ihtimaline karşın bu cihazlarda bulunan verilerin güvenliğinin sağlanmasına yönelik etkili önlemlerin alınması gerekiyor.
Uzaktan bağlantıların sağlanmasında ilgili kişilere işlerinin gerektirdiği kadar erişim yetkisinin verilmesi; ağ, sunucu ve sistemlerdeki yetkilerin iş gereklilikler temel alınarak özelleştirilmesi de kritik öneme sahip.
Bunların dışında, kuruluşların olası siber vakaları bertaraf edebilmek için olay yönetimi süreçlerinin varlığından ve işlerliğinden emin olmaları önem arz ediyor.
Kritik dönemlerden geçerken bilgi teknolojilerine yönelik anahtar personelin ve bu kişilerin yedeklerinin mevcut olduğundan emin olmak gerekiyor.
Ek olarak, bilgi teknolojileri servis sağlayıcılara ait risklerin ve alınan hizmetlere yönelik alternatiflerinin göz önünde bulundurulması önemli.
Kuruluşlar, sistemlerin kullanımına devam edilebilmesi için veri merkezleri ve felaket kurtarma merkezlerinin sürekliliğinin sağlanması da olmazsa olmazlardan birisi.
Küresel salgın sırasında hem evden çalışanların hem de tüm bilgisayar kullanıcılarının sıklıkla karşılaştığı KOVİD-19 ile ilgili bilgilendirme içerdiği iddia edilen e-posta ve internet sitelerine dikkat edilmelidir.
Son olarak, kuruluşlar çalışanların sağlık ve güvenlik durumunu takip ederken, bu tür bilgilerin kişisel veri sınıfına girdiğini unutmamalı ve bu tür bilgilerin kuruluş içinde ve dışında işlenmesi ve paylaşılması konusunda gerekli önlemleri ve tedbirleri almalılar.
Benzer Yazılar
Söyleşi: TOBB Türkiye Yazılım Meclisi Başkanı Ertan Barut
TOBB Türkiye Yazılım Meclisi 2021 Dönemi Plan ve Programı 7