Akıllı Enerji Şebekeleri ve Siber Güvenlik

Bilgi güvenliği firmalarından Kaspersky tarafından Almanya, İngiltere, Fransa, İtalya, İspanya, ABD, Japonya, Brezilya, Rusya, Hindistan ve Çin’de 1300’den fazla Şirket yöneticisi ile yapılan bir anketin sonuçları Haziran 2011’de “Global IT Security Risks” adıyla yayınlanmıştır. Sözkonusu rapora göre şirketler için en önemli riskler aşağıdaki grafikte gösterilmekte olup ankete katılanların yaklaşık yarısı (%46’sı) şirketleri için gelecekteki en yüksek riski, Bilişim ve Bilgi Sistemlerine yönelik tehditler olarak görmektedirler.

Rapora göre, Bilişim ve Bilgi Sistemlerine yönelik tehditleri ortadan kaldırıp buna ilişkin riskleri azaltabilmek için 10-99 çalışanı olan Küçük şirketler yıllık ortalama toplam 8.055 $ (kişi başı 93 $) yatırım yaparken, 100-999 çalışanı olan Orta İşletmeler yıllık ortalama toplam 83.200 $ (kişi başı 167 $), binden fazla çalışanlı büyük kuruluşlar ise yıllık ortalama 3.2 milyon $ (kişi başı 388 $) yatırım yapmışlardır. Tüm bunlara rağmen ankete katılanların yarısına yakını (%48) son 12 ay içinde Bilişim ve Bilgi Sistemlerine yönelik Siber tehditlerin artmış olduğunu ifade etmişlerdir. Gartner tarafından yapılan tahminlere göre Siber tehditlerden korunmak için 2010 yılında dünya çapında 16.5 milyar dolarlık güvenlik yazılımı harcaması yapılmış olup bunun her yıl yaklaşık %10 artması beklenmektedir. Bunca yatırıma rağmen şirketlerin %91’i geçen 12 ay içinde en az bir kez dış kaynaklı bir Bilgi Güvenliği olayı ile karşılaşmışlardır. Bu şirketlerin %31’i söz konusu olaylar nedeniyle bilgi kaybına uğramış, Bilgi kaybına uğrayan şirketlerin %10’u kaybettikleri bilgilerin kendileri için hassas ya da önemli olduğunu belirtmişlerdir.

Siber Tehdit Araçlarından Örnekler

  •  Bilgisayar virüsleri
  •  Yemleme (phishing), Truva atı (trojan)
  •  Klavye izleme yazılımları (key logger)
  •  Casus / köstebek yazılımları (spyware)
  •  İstem dışı elektronik posta (spam)
  •  Hizmetin engellenmesi saldırıları (DoS, DDoS)
  •  Şebeke trafiğinin dinlenmesi (sniffing ve monitoring)

Siber Tehditlerin Amaçları

  • Sisteme yetkisiz erişim
  •  Bilgilerin değiştirilmesi ya da yok edilmesi
  •  Bilgilerin çalınması ya da ifşa edilmesi
  •  Sistemin bozulması erişimin veya hizmetlerin engellenmesi

Symantec firması tarafından Ekim 2010’da yayınlanan “Kritik Altyapıların Koruması Araştırması“ raporuna göre Kritik altyapı sağlayıcılarının;

  •  %53’ü sürekli siber saldırılara maruz kalıyor,
  •  %48’i önümüzdeki yıl içinde saldırıya maruz kalacağını düşünüyor,
  •  %31’i gelecek saldırılara hazırlıklı olmadığını düşünüyor.
Kritik altyapıların Bilişim ve Bilgi Sistemlerine bağımlılığı her geçen gün artmaktadır. Dolayısıyle

Bilişim ve Bilgi Sistemlerinin güvenliği sadece Bilgi ve İletişim Teknolojilerini değil hayatın her alanını ilgilendiren bir boyut ve öneme sahiptir. O halde “Bilgi Güvenliği” konusu artık hem bireyler hem de kurumlar için çok önemli ve öncelikli hal almış demektir. Bilgi güvenliği ise, bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin garanti altına alınması demektir. Bilgi Güvenliği Derneği tarafından; bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda bilginin saklanması, göndericisinden alıcısına kadar gizlilik içerisinde (mahremiyeti korunarak), bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci olarak tanımlanmaktadır. Bu çerçevede bilgi güvenliğinin temel kavramı unsurları aşağıdaki modelde yer almaktadır;

Bu modelde yer alan bilgi güvenliğinin üç temel kavramı kısaca şöyle ifade edilmektedir;

  •  Gizlilik: Kuruma özel ve gizliliği olan bilgilere, sadece yetkisi olan kişilerin erişebilmesi,
  •  Bütünlük: Kurumsal bilgilerin yetkisiz değişim veya bozulmalara karşı korunması,
  •  Erişilebilirlik: Kurumsal bilgilerin ihtiyaç duyan anda erişilebilir durumda olması,

Bilgi Güvenliğinin (Siber Güvenlik) Temel Amaçları:

  • Veri bütünlüğünün korunması,
  •  Bilgiye erişimin, erşim hız ve kalitesinin korunması,
  •  İzinsiz erişimin engellenmesi, Mahremiyet ve Gizliliğin korunması,
  •  Siber kaynaklı hırsızlıkların önlenmesi,
  •  İş sürekliliğinin ve Sistemin devamlılığının sağlanmasıdır.

Teknik, ekonomik, siyasal ve sosyal etkileri açısından gerek bireysel, gerek kurumsal ve gerekse ülke boyutunda top yekün bir yaklaşım ve hassasiyet gerektiren Bilgi Güvenliği konusu, buna ilişkin bir kültür oluşturulmasını da gerekli kılmaktadır. Dünya Telekomunikasyon Birliği (ITU) tarafından önerilen aşağıdaki modele göre Bilgi Güvenliği Kültürü, Siyasi, Yasal, Ekonomik, Teknik ve Sosyal alt katmanları olan ve Politika belirleyicilerden başlayarak Adalet sistemine, İşletme sahiplerinden BT uzmanlarına ve nihayetinde Son kullanıcılara kadar uzanan zincirde her seviyedeki ilgililerin sahiplenip özümsemesini gerektirir. Bilgi Güvenliği Kültürü olmayan toplumların güvende olması ve Bilgi Toplumu olması mümkün olmayacaktır.


ITU Siber Güvenlik Kültürünün Oluşturulması Modeli Bilgi Güvenliği Kültürü, ülke güvenliği açısından da çok önemlidir, çünkü artık ülkeler arası savaşlar cephelerin yanında Siber dünyada da yapılmaya başlanmıştır. Siber Savaş, ekonomik, politik, askeri nedenlerle hedef seçilen ülkeye bilgi ve iletişim sistemleri üzerinden gerçekleştirilen saldırılardır.

Yakın geçmişte gerçekleştirilen bazı Siber Savaş/Saldırı örnekleri:

  •  2007 –Estonya siber saldırıları
  •  2008 –Gürcistan siber saldırıları
  •  2009 –İran nükleer santral siber saldırısı

Tüm bunlardan da anlaşılacağı üzere Bilgi Güvenliği son derece önemli bir konudur ve hak ettiği ölçüde ciddiye alınmalıdır.

KURUMSAL BİLGİ GÜVENLİĞİ (SİBER GÜVENLİK)

Kişilerin bilgi güvenliği çok önemlidir, ancak kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliği de en az onun kadar önemlidir. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. Kurumsal bilgilerin güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz. Kurumsal bilgi güvenliği, kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınmasıdır. Kurumsal bilgi güvenliği insan faktörü, eğitim, teknoloji gibi birçok faktörün etki ettiği tek bir çatı altında yönetilmesi zorunlu olan karmaşık süreçlerden oluşmaktadır. Bilgi Güvenliği Yönetim Sistemleri (BGYS) insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir.

Bilgi varlıklarının korunabilmesi, kurumların karşılaşabileceği risklerin en aza indirgenmesi ve iş sürekliliğinin sağlanması, ancak üst yönetimin desteğiyle BGYS’nin hayata geçirilmesiyle mümkündür. BGYS’nin kurulması demek, olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir. ITU tarafından önerilen BGYS modeli aşağıdaki gibidir;

Bu modele göre BGYS, Yönetim, Denetim ve Son kullanıcı düzeyinde tüm güvenlik boyutlarına yönelik tehdit ve saldırıları algılamayı ve önlemeyi, bunlara fırsat veren açıkları belirlemeyi ve kapatmayı güvence altına alacak bir yönetim sistemi oluşturulmasını hedeflemelidir. Bu hedefe ulaşmak için olmazsa olmazlar şunlardır;

  •  yönetimin kararlılığı ve desteği,
  •  politika ve prosedürlerin açıklığı ve tutarlılığı
  •  her seviyedeki çalışanların bilgili ve bilinçli olması,
  •  uygulamaların sürekli izlenmesi, denetimi ve iyileştirilmesi.
Bu süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek seviyede bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşmaya gidilmektedir. Bu amaçla geliştirilen ve uluslararası kabul görmüş Rehber ve Standartlar vardır. Bu standartların en başında Uluslararası Standartlar Organizasyonu (ISO) tarafından yayınlanan ve TSE tarafından da Türkçeleştirilip ülkemizde de uygulamaya konulan “ISO27000 Bilgi Güneliği Yönetim Sistem Standardı Ailesi” gelmektedir.

ISO 27001 standardı genel olarak aşağıdaki amaçları gerçekleştirmektedir.

  •  Kurumun bilgi güvenlik risklerini, bilgi varlıklarına yönelik tehditleri, varlıkların açıklıklarını sistematik olarak denetlemek;
  •  Risk işleme planları, artık risklerin transferleri ile tutarlı bilgi güvenliği kontrollerini tanımlamak ve gerçekleştirmek, riskleri kabul edilebilir seviyeler çekmek
  •  Bilgi güvenliği kontrollerinin sürekliliğini bilgi güvenliği esaslarına göre sağlamak üzere yönetim süreçlerini kabul etmek ve uygulamak

Stnadart yukarıdaki amaçları gerçekleştirmek üzere aşağıdaki konuları kapsamaktadır;

  1. Risk Değerlendirme ve Tehditlendirme
  2. Güvenlik Politikası
  3. Güvenlik Organizasyonu
  4. Varlık Yönetimi ve Sınıflandırma
  5. İnsan Kaynakları Yönetimi
  6. Fiziksel ve Çevresel Güvenlik
  7. İletişim ve Operasyon Güvenliği
  8. Erişim Denetimi
  9. Bilgi Sistemleri Temini, Geliştirilmesi ve Yönetimi
  10. Güvenlik İhlal Yönetimi
  11. İş Devamlılık Yönetimi
  12. Yasalar ve Standartlarla Uyumluluk

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ISO 27000 Bilgi Güvenliği Yönetim Sistemi standartlar ailesinin ana standardı olup sistem kurulumu ve belgelendirme bu standarda göre yapılmaktadır. Kurumlar, oluşturdukları Bilgi Güvenliği Yönetim Sisteminin standartlara uygunluğunu ve uygulamalarının etkinliğini akredite edilmiş (ülkemizde TURKAK tarafından) belgelendirme kuruluşlarına (TSE, TUV, SGS vb.) denetlettirerek belgelendirebilmektedirler. Yapılan çalışmalar hala pek çok kurumda bilgi güvenliği açıkları ve kayıplarının artması sebebiyle bu konunun henüz doğru olarak anlaşılmadığını, bireyler ve kurumlar tarafından konuya gereken önemin verilmediğini ve bilinçlenmenin gereken seviyede olmadığını göstermektedir. Bağımsız araştırma kuruluşlarının raporları kurum ve kuruluşların güvenlik teknolojilerine yeterli ölçüde yatırım yapmadıklarını göstermektedir. Kurumsal bilgi güvenliğinin üst seviyede sağlanabilmesi için bilgi güvenliğinin devamlılık gerektiren bir süreç olduğu ve bu sürecin kurumsal bilgi güvenliği standartları çerçevesinde yönetilmesi gerektiği unutulmamalıdır. Bilgi güvenliğinin sağlanmasında aşağıdaki hususlara gözden kaçırılmamalıdır:

  • %100 güvenlik mümkün değildir.
  • Kurumsal bilgi güvenliğini sağlamanın dinamik bir süreçtir, süreklilik ve sebat gerektirir.
  • Kurumsal bilgi güvenliği sadece teknolojik bir süreç değil, topyekün bir yaklaşım gerekirir.
  • BGYS uluslararası standartlara uygun olarak oluşturulmalı, uygulanmalı ve sürekli iyileştirilmelidir.

AKILLI ENERJİ ŞEBEKELERİ (SMART GRID) Günümüz dünyasında bir yandan enerjiye olan ihtiyaç hızla artarken diğer yandan bu talebi karşılayabilmek için kaynaklar çeşitlenmektedir.

Artık elektriksiz bir hayat düşünmek mümkün değildir. Evde, işte, sokakta, okulda, yaşamın her an ve aşamasında elektrik enerjisi kullanılmaktadır. Öncelikle Elektrik enerjisini insanın bulunduğu her noktaya taşıyabilmek ve onu erişilebilir kılmak, sonrasında da onun verimli kullanımı için ilgili altyapı ve süreçleri iyi yönetmek bir zorunluluk halini almıştır. Bunu zorlayan nedenler şunlardır;

• SÜRDÜRÜLEBİLİRLİK: Enerji ihtiyacı sürekli artıyor, ancak kaynaklar bu talebi karşılayamayacak kadar sınırlıdır,

• KAYNAK KISITI: Kaynakların azalması enerji maliyetlerini, çatışmaları ve güvenlik tehditlerini arttırmaktadır,

• İKLİM DEĞİŞİKLİĞİ: Enerji kullanımının artmasıyla birlikte sera gazı emisyonları artmakta ve küresel ısınmaya neden olmaktadır. Tüm bunlar için anahtar, “Verimlilik” artışı olup verimliliğin en önemli göstergesi ise “Enerji Yoğunluğu” dur. Enerji yoğunluğu, ”gayri safi milli hasıla başına tüketilen enerji miktarı” yada “bir dolarlık mal ya da hizmet üretmek için tüketilen enerji miktarı” olarak tanımlanmaktadır. Bu konuda en düşük değere sahip ülkeler enerjiyi en verimli kullanan ülkeler olarak kabul edilmektedir. Bir ülkenin enerji yoğunluğunun düşük olması; üretilen mal ya da hizmetin daha az enerjiyle elde edilmesi anlamına gelir.

Türkiye’nin kişi başına düşen enerji tüketimi OECD ortalamasının yaklaşık beşte biri olmasına karşın, enerji yoğunluğu OECD ortalamasının iki katıdır. Başka bir deyişle; Türkiye 1 birim mal ya da hizmet üretmek için OECD ülkelerinde kullanılan enerji miktarının 2 katı enerji kullanmaktadır. Türkiye’nin enerji yoğunluğu AB ülkelerinin yaklaşık iki buçuk, OECD ülkelerinin ise iki katıdır. Konunun uzmanları tarafından ülkemizde, binalarda % 30, sanayide % 20 ve ulaşımda % 15 olmak üzere önemli düzeyde enerji tasarruf potansiyeli olduğu iddia edilmektedir. Enerji ve Tabii Kaynaklar Bakanlığı’nın 2010-2014 Stratejik Planı göre Türkiye’de 2008 yılına göre birincil enerji yoğunluğunun 2023 yılına kadar yüzde 20 oranında düşürülmesi hedeflenmektedir. Avrupa Birliği “3x %20” olarak duyurduğu enerji konusundaki 2020 hedefleri şunlardır;

  • Enerji verimliliğinin %20 arttırılması
  • Yenilenebilir enerji kaynaklarının %20 arttırılması
  • Küresel ısınmaya neden olan seragazı salınımının % 20 azaltılması

Oldukça iddialı olan bu hedeflerin gerçekleştirilmesi, çoğu 30-50 yıl önce ve 50-80 yıl önceki teknolojiler ile kurulmuş şebekelerle mümkün değildir. Herşeyden önce şebekelerin yeni teknolojilerle yenilenmesi ve akıllı hale gelmesi gerekmektedir. Başta AB ülkeleri olmak üzere tüm gelişmiş ve gelişmekte olan ülkelerde enerji şebekelerinin akıllı hale getirilmesi için önemli çalışmalar ve yatırımlar yapılmaktadır. 2010 yılı itibariyle Danimarka, Almanya, İspanya ve İngiltere başta olmak üzere AB ülkelerinde bu konuda 5 milyar EU değerinde yatırım içeren 67 proje yürütülmektedir. Akıllı Şebeke yatırımlarında Çin 7,3 milyar $ ile birinci olup onu 7 milyar $ ile ABD, 850 milyon $ ile Japonya ve 800 milyon $ ile G.Kore izlemektedir. “Akıllı Şebekeler” (Smart Grid), bilgi ve iletişim teknolojilerinin kullanılarak otomasyonun sağlanması ve tedarikçiler ile tüketiciler arasında bilgi yoğun bir ağın oluşturulmasıdır. Bir yandan enerjinin kullanıldığı ortamlar akıllanırken buna paralel olarak şebekeler de akıllanmakta, üretimden tüketime sürekli birbiriyle iletişim halinde olan ve bilgi alışverişinde bulunan bir değer zinciri oluşmaktadır. Makinalar arası iletişimin (M2M) çok önemli uygulamalarından biri olan bu yeni olgu her geçen gün yaygınlaşıp gelişmektedir. Bu alanda yapılan bir çalışmaya göre en hızlı gelişme beklenen M2M uygulamalardan biri olan akıllı enerji sayaçları sayısı 2010-2015 yılları arasında yıllık ortalama %30 artışla yüzmilyonlara ulaşacaktır. Akıllı enerji şebekeleri, Bilgi ve Haberleşme teknolojileri ile Enerji üretim/iletim/dağıtım teknolojilerinin bir arada kullanıldığı altyapılardır.

Bu altyapıda enerjinin üretiminden son kullanıcı noktasına dağıtımına kadar her aşamada bu teknolojiler çok yoğun bir şekilde kullanılmaktadır. Akıllı şebeke bileşenleri, enerji sürecinin her aşamasında vardır.

Bu sayede aşağıdaki kazanımlar söz konusu olmaktadır;

  • İşletme verimliliğinin artması ve maliyetlerinin azaltılması,
  • Enerji verimliliğinin artması ve Sera gazı (CO2) salınımının azaltılması,
  • Kesinti sayısı ve kesinti süresinin azalması, enerji kalitesinin artması,
  • Kayıp/kaçak sorunlarının proaktif çözümü ve oranlarının düşmesi,
  • Üretim ve depolama sistemlerinin daha iyi yönetimi ile kapasite kullanımı,
  • Akıllı sayaç okuma ve yük yönetimi ile gerçek zamanlı arz-talep yönetimi,
 

IEA ve OECD tarafından yapılan bir çalışmaya göre akıllı şebekelere yapılan yatırımların maliyetinin 1.5 ile 4.5 katı oranında bir fayda elde edilebilmektedir. Bu da trilyonlarda dolar demektir.

Uluslararası Enerji Ajansı (IEA) tarafından hazırlanan aşağıdaki gösterimden de anlaşılacağına üzere elektrik enerjisi sistemlerinin evrimi, gittikçe akıllanmayı, akıllandıkça da Bilgi ve İletişim Teknolojileri ve altyapıları ile entegrasyonu getirecektir

Enerji sistemlerinin Bilgi ve İletişim Teknolojileri ve altyapıları ile bu entegrasyonu, onu siber tehditlere daha açık hale getirmekte ve bilgi güvenliğini daha önemli kılmaktadır. Siber Güvenlik açısından kritik altyapıların başında gelen enerji sistemlerini siber tehditlerden korumak üzere tüm dünyada yoğun çalışmalar ve önemli ölçüde yatırımlar yapılmaktadır. Akıllı şebekeler üzerine araştırmalarıyle ünlü Pike Research firması tarafından yayınlanan verilere göre 2015 yılına kadar artarak devam edecek dünya çapındaki akıllı şebekelerde siber güvenliğin sağlanmasına ilişkin yatırımların miktarı 1 milyar $’dan 2 milyar$’ın üzerine çıkacaktır.

Siber güvenlik konusu sadece bir teknik konu değildir ama teknik boyutu çok önemlidir. Teknik konuları düzenlemek üzere konu ile ilgili uluslararası kuruluşlarca çeşitli standartlar oluşturulmuştur

Tüm bunların yanında şunun altını çizmek şarttır; Bilgi güvenliği bilginin üretildiği, işlendiği, iletildiği ve saklandığı her ortamda sağlanmak durumundadır. Bunun için kullanılan yazılımlar, donanımlar ve ve kurulan sistemlerin yanında en önemli unsur “insan” faktörüdür. Bilgi güvenliği topyekün bir anlayış ve uygulama birliğini gerektirir. Bu sürecin en zayıf halkası insandır, en üst yöneticiden en alt kullanıcıya kadar kurumda yer alan her insan bu konuda kritik öneme sahiptir. Bilgi güvenliği konusunda kullanıcıların bilgi ve bilinç seviyesi ile bu konudaki teknolojilerin de gelişmesiyle tehdit ve saldırılar da değişiklik göstermektedir. Daha güvenli bir dünya için iyilerin de en az kötüler kadar işbirliği içinde olması (kamu kurumlarıözel sektör-sivil toplum örgütleri koordinasyonu) ve bu konuda tek başına yeterince etkin olunamayacağının kabul edilmesi şarttır.

Ahmet Hamdi Atalay

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.