Endüstri 4.0 dönüşümüyle birlikte fabrikalar, enerji santralleri, su arıtma tesisleri ve boru hatları artık kurumsal IT ağlarıyla giderek daha fazla entegre çalışmaktadır. Bu dijitalleşme, operasyonel verimliliği ve uzaktan izleme kapasitesini artırırken, fiziksel süreçleri yöneten Operasyonel Teknoloji (OT) sistemlerini de siber tehditlere doğrudan açık hâle getirmektedir.
Peki tesisinizin mevcut güvenlik durumunu gerçekten biliyor musunuz? Hangi PLC’ler kurumsal ağa köprülenmiş, hangi uzaktan erişim oturumları denetimsiz açık kalıyor, hangi eski SCADA bileşeni hiç yama almamış? Bu soruların yanıtı, yalnızca sistematik bir OT GAP analizi ile elde edilebilir.
Bu yazıda OT GAP analizinin ne olduğunu, IT güvenlik değerlendirmelerinden neden köklü biçimde farklılaştığını, hangi uluslararası standartların çerçeve olarak kullanılması gerektiğini ve saha gerçekliğiyle uyumlu doğru metodolojinin nasıl kurgulanacağını adım adım ele alıyoruz.
OT GAP Analizi Nedir?
GAP analizi (boşluk analizi), bir organizasyonun mevcut güvenlik durumu ile hedef uyum seviyesi arasındaki farkı sistematik biçimde ortaya koyan değerlendirme yöntemidir. OT bağlamında bu karşılaştırma; IEC 62443, NIST SP 800-82 ve ISO 27001 gibi endüstriyel siber güvenlik standartlarının gerektirdiği kontroller ile tesisin sahadaki gerçek durumu arasında yapılır.
Bir OT GAP analizinin çıktısı, yalnızca teknik açıkların listelendiği bir rapor değildir. Doğru yapıldığında elde edilen ürün; risk önceliğine göre sıralanmış, bütçe ve operasyonel kısıtlara göre şekillendirilmiş, uygulanabilir bir güvenlik yol haritasıdır. Başka bir ifadeyle, kurum yöneticisine “nereye, neden ve hangi sırayla yatırım yapılmalı?” sorusunun veri destekli yanıtını sunar.
OT GAP analizi aynı zamanda şu soruları da yanıtlar:
- Tesis genelinde hangi OT/EKS varlıkları mevcut ve bunların güvenlik durumu nedir?
- Ağ segmentasyonu endüstriyel en iyi pratiklere uygun mu?
- Uzaktan erişim, yama yönetimi ve kimlik doğrulama kontrolleri kritik altyapı için yeterli mi?
- Mevcut güvenlik olgunluk seviyesi regülatif uyum gerekliliklerini karşılıyor mu?
IT Güvenlik Değerlendirmesiyle OT GAP Analizi Arasındaki Temel Farklar
Birçok kurum, kurumsal ağlarında kullandıkları siber güvenlik yaklaşımlarını doğrudan OT ortamlarına uygulamaya çalışır. Bu, teknik ve metodolojik açıdan ciddi bir hatadır. İki dünya arasındaki yapısal farklılıklar, değerlendirme sürecini de kökten etkiler.
1. CIA Üçgeninin Ters Öncelik Sırası
IT güvenliğinde öncelik sırası Gizlilik (Confidentiality) → Bütünlük (Integrity) → Erişilebilirlik (Availability) şeklindedir. OT dünyasında ise bu sıra tam tersine döner: Erişilebilirlik ve İşlevsel Güvenlik (Safety) her şeyin önündedir. IT ağında bir sunucuyu karantinaya almak olağan bir olay müdahale adımıdır; bir enerji santralinde aynı müdahale üretim kaybına, fiziksel tehlikeye ve milyonlarca dolarlık sonuçlara yol açabilir. Bu nedenle bir OT GAP analizinde her kontrol önerisi, operasyonel kesinti riski hesaba katılarak değerlendirilmek zorundadır.
2. Endüstriyel Protokoller ve Doğasında Var Olan Güvenlik Eksiklikleri
IT ağlarında standart TCP/IP altyapısı ve modern şifreleme protokolleri kullanılırken, OT sahasında Modbus RTU/TCP, Profinet, DNP3, IEC 61850 ve OPC-UA gibi protokoller yaygındır. Bu protokollerin önemli bir kısmı, güvenlikten önce kesintisiz çalışma önceliğiyle tasarlanmıştır; kimlik doğrulama ve şifreleme mekanizmaları ya yok denecek kadar azdır ya da hiç bulunmamaktadır. Dolayısıyla bir OT GAP analizinde protokol düzeyindeki açıkların ayrı bir metodoloji ile incelenmesi gerekir.
3. Yama Yönetimi ve Yaşam Döngüsü Kısıtları
IT sistemleri haftalık veya aylık periyotlarla yamalanabilirken, 7/24 kesintisiz çalışan bir EKS (Endüstriyel Kontrol Sistemi) ortamında yama uygulamak aylar süren planlı bakım duruşları gerektirmektedir. Öte yandan sahadaki PLC, RTU ve HMI cihazlarının önemli bir kısmı üreticisi tarafından artık desteklenmediğinden (End-of-Life) yama almaya teknik olarak elverişli değildir. Bu gerçeklik, bir OT GAP analizinde “yamalanamayan sistemler için telafi edici kontroller” başlığını kritik hâle getirir.
4. Pasif Keşif Zorunluluğu
IT ortamlarında ağ tarama, zafiyet tarama ve aktif testler standart uygulamalardır. OT ortamında ise aktif tarama araçlarının gönderdiği ağ trafiği, hassas endüstriyel cihazlarda arıza, yanlış komut veya proses durmasına neden olabilir. Bu nedenle OT GAP analizi sırasında varlık keşfi ve ağ haritalama büyük ölçüde pasif izleme yöntemleriyle yürütülmek zorundadır.
5. Fiziksel-Dijital Sınırın Bulanıklığı
IT güvenliğinde fiziksel güvenlik ve siber güvenlik çoğunlukla ayrı departmanların sorumluluğundadır. OT ortamında ise bir şalt sahasına yetkisiz fiziksel erişim, doğrudan siber erişimle eşdeğer sonuçlar doğurabilir. GAP analizinin kapsamı; kontrol odası erişim kontrolleri, mühendislik istasyonlarının fiziksel güvenliği ve saha cihazlarına USB/seri port erişimi gibi fiziksel boyutları da kapsamalıdır.
OT GAP Analizi İçin Referans Çerçeveler
Başarılı bir OT GAP analizi, tek bir standarda bağlı kalmaz; endüstrinin kabul gördüğü birden fazla çerçeveyi katmanlı biçimde kullanır. Sahadaki değerlendirmelerimizde merkeze aldığımız üç temel çerçeve şöyledir:
IEC 62443 — Endüstriyel Otomasyon ve Kontrol Sistemleri Güvenliği
IEC 62443, OT güvenliği söz konusu olduğunda küresel ölçekte en kapsamlı ve en bağlayıcı standarttır. Standart, güvenliği sadece IT altyapısında değil, doğrudan sahadaki PLC, RTU, IED ve DCS bileşenlerinde arar. Temel kavramları şöyle özetlenebilir:
- Security Level (SL) Sınıflandırması: Sistemler SL 1’den SL 4’e kadar seviyelere ayrılır. Bu seviyeler; tesadüfi tehditlerden devlet destekli saldırılara uzanan bir spektrumda, her bölge için hangi güvenlik kapasitesinin gerektiğini tanımlar.
- Zone ve Conduit Mimarisi: Tesis ağı, güvenlik gerekliliklerine göre “Zone” (bölge) ve bu bölgeler arasındaki güvenli geçiş yolları olan “Conduit” yapısına göre segmente edilir. Bir saldırının tüm sisteme yayılması bu mimari ile sınırlandırılır.
- Defense-in-Depth (Derinlemesine Savunma): Tek bir güvenlik katmanının yeterli olmayacağı varsayımıyla, her katmanda bağımsız güvenlik kontrolleri tanımlanır.
OT GAP analizinde IEC 62443’ün IACS güvenlik gerekliliklerini belirleyen bölümleri (özellikle IEC 62443-2-1 ve IEC 62443-3-3) mevcut durumu değerlendirmek için doğrudan soru seti olarak kullanılır.
NIST SP 800-82 — Endüstriyel Kontrol Sistemleri Güvenlik Kılavuzu
NIST’in Rev. 3 sürümüyle güncellenen bu kılavuz, EKS güvenliğini tehdit modelleme perspektifinden ele alır. Purdue Referans Modeli’ne dayalı ağ segmentasyonu, güvenlik duvarı konumlandırma, DMZ tasarımı ve güvenli uzaktan erişim mimarisini detaylı biçimde işler. OT GAP analizimizde NIST 800-82; mimari boşlukları tespit etmek, saldırı yüzeyini haritalamak ve her katmanda hangi güvenlik kontrollerinin eksik olduğunu görünür kılmak için kullanılır.
Özellikle Purdue Modeli’nin katmanları (Level 0’dan Level 5’e) arasındaki trafik akışlarının denetimi ve IDMZ (Industrial DMZ / Level 3.5) mimarisinin doğruluğu, mimari analiz aşamasının merkezini oluşturur.
ISO 27001 — Bilgi Güvenliği Yönetim Sistemi (BGYS)
ISO 27001, sahadaki teknik kontrolleri kurumsal bir yönetim disiplini çatısı altında birleştirir. Risk analizi, iş sürekliliği planlaması, tedarikçi güvenliği, personel farkındalığı ve denetim süreçleri gibi yönetimsel boyutları sistematize eder. IEC 62443’ün teknik derinliğini, ISO 27001’in yönetimsel disipliniyle birleştirmek; güvenliği tek seferlik bir proje değil, sürdürülebilir bir yönetim döngüsü hâline getirir.
Özellikle EPDK Siber Güvenlik Yeterlilik Modeli kapsamındaki değerlendirmelerde ISO 27001 ve IEC 62443 gerekliliklerinin entegre bir çerçevede ele alınması, hem teknik hem regülatif uyumu aynı anda sağlamanın en etkin yoludur.
OT GAP Analizi Nasıl Yürütülür? Adım Adım Metodoloji
OT ortamlarında gerçekleştirilecek bir GAP analizi, kurumsal IT değerlendirmelerinden farklı bir metodolojik sıra izler. Sahada uyguladığımız yaklaşım beş temel fazdan oluşmaktadır:
Faz 1: Kapsam Tanımlama ve Saha Hazırlığı
Analiz başlamadan önce tesisin hangi bölgeleri ve sistemlerin kapsama dahil edileceği netleştirilir. Proses sahası, kontrol odası, mühendislik iş istasyonları, historian sunucuları ve uzaktan erişim altyapısının tamamı kapsama alınmalıdır. Bu fazda tesis yönetimi, IT/OT ekipleri ve saha mühendisleriyle başlangıç toplantısı yapılarak kritik süreçler ve kesintiye duyarlı sistemler önceden tanımlanır.
Faz 2: Pasif Varlık Keşfi ve Ağ Haritalama
Sahada aktif tarama yapmaksızın, pasif ağ izleme araçları aracılığıyla mevcut OT varlıkları tespit edilir. PLC, RTU, HMI, historian, SCADA sunucusu, mühendislik iş istasyonu ve endüstriyel switch gibi tüm bileşenler envanterleştirilir. Cihaz üreticisi, model, firmware versiyonu ve iletişim protokolü bilgileri bu aşamada toplanır.
“Bilmediğiniz cihazı koruyamazsınız” — bu ilke, OT GAP analizinin temel çıkış noktasıdır.
Faz 3: Ağ Mimarisi ve Segmentasyon Analizi
Purdue Modeli referans alınarak mevcut ağ mimarisi katman katman incelenir. Level 0–3 (saha/üretim katmanı) ile Level 4–5 (kurumsal ağ) arasındaki sınırlar denetlenir. Güvenlik duvarı kuralları, DMZ yapılandırması, IT-OT bağlantı noktaları ve varsa uzaktan erişim altyapısı değerlendirilir. Bu aşamada kritik zayıflıklar genellikle çok açık biçimde görünür hâle gelir: Flat ağ yapıları, IT sistemlerinden OT ağına doğrudan erişim, güvenlik duvarı atlatma noktaları.
Faz 4: Standart Bazlı Kontrol Değerlendirmesi
IEC 62443 ve NIST 800-82 kontrol listeleri referans alınarak mevcut durum ile hedef seviye arasındaki boşluklar kategorik olarak listelenir. Değerlendirme kapsamına şunlar girer:
- Kimlik doğrulama ve erişim yönetimi (özellikle mühendislik istasyonları ve uzaktan erişim)
- Yamalanamayan cihazlar için telafi edici kontroller
- Endüstriyel protokol güvenliği (Modbus, DNP3, OPC vb.)
- Olay izleme ve loglama kapasitesi
- Fiziksel erişim kontrolleri ve çevresel güvenlik
- Tedarikçi ve üçüncü taraf erişim yönetimi
- Olay müdahale ve iş sürekliliği planları
Faz 5: Risk Önceliklendirme ve Yol Haritası Oluşturma
Tespit edilen açıklar; saldırı olasılığı, operasyonel etki ve iyileştirme maliyeti üç boyutunda değerlendirilerek önceliklendirilir. Çıktı olarak kısa vadeli (0–3 ay), orta vadeli (3–12 ay) ve uzun vadeli (12+ ay) aksiyonları içeren, bütçe ve kaynak gerçekliğiyle uyumlu bir güvenlik yol haritası sunulur. Kritik açıklar için “quick win” olarak uygulanabilecek telafi edici kontroller de yol haritasına dahil edilir.
OT GAP Analizi Hangi Sektörlerde Zorunlu Hâle Geliyor?
Kritik altyapı sektörlerinde artan regülatör baskısı, OT GAP analizini artık bir tercih değil, zorunluluk hâline getirmektedir. Türkiye özelinde değerlendirildiğinde:
- Enerji Sektörü: EPDK Siber Güvenlik Yeterlilik Modeli (SGYM), lisanslı enerji şirketleri için periyodik siber güvenlik değerlendirmesi ve olgunluk raporlaması zorunlu kılmaktadır. Bu modelin gerektirdiği değerlendirmeler, kapsamlı bir OT GAP analizi ile karşılanmaktadır.
- Nükleer: Nükleer enerji santrallerinde işletici güvenlik gereklilikleri ve uluslararası nükleer güvenlik standartları (IAEA NSS serileri) kapsamında OT güvenlik değerlendirmesi zorunludur.
- Ulaşım ve Demiryolu: CLC TS 50701 standardı, demiryolu sistemlerinde siber güvenliği düzenlemekte ve açık bir risk değerlendirme süreci öngörmektedir.
- Su ve Atıksu Yönetimi: Su arıtma ve dağıtım sistemlerindeki SCADA altyapıları, her geçen yıl daha fazla siber saldırı hedefi hâline gelmektedir.
- Doğalgaz ve Petrol: Boru hattı SCADA sistemleri, uzaktan RTU erişimleri ve proses otomasyonu, yüksek etkili siber olayların yaşandığı en kritik alanlardır.
OT GAP Analizinden Elde Edilen Somut Çıktılar
Doğru yapılandırılmış bir OT GAP analizi sonunda kurumunuza şunlar kazandırılır:
- Kapsamlı OT Varlık Envanteri: Sahadaki tüm dijital bileşenlerin güncel, doğrulanmış listesi
- Mimari Açık Haritası: Ağ segmentasyonu, DMZ tasarımı ve IT-OT bağlantı noktalarındaki zafiyetlerin görsel ve yazılı dökümü
- Standart Uyum Raporu: IEC 62443 ve NIST 800-82 kontrol gerekliliklerine karşı mevcut uyum seviyesinin puanlı değerlendirmesi
- Önceliklendirilmiş Risk Listesi: Kritiklik ve etki analizine dayalı, aksiyon alınabilir format
- Güvenlik Yol Haritası: Kısa, orta ve uzun vadeli iyileştirme planı ve bütçe tahmini
- Yönetim Özeti: Teknik detayları olmayan, karar alıcılara yönelik icra özeti
Bu çıktılar; hem iç denetimler hem regülatif değerlendirmeler hem de sigorta süreçlerinde (siber sigorta poliçesi süreçleri dahil) doğrudan kanıt niteliği taşır.
Sık Yapılan Hatalar: OT GAP Analizi Neden Yanlış Gidebilir?
Uygulamada gördüğümüz yaygın hataları paylaşmak, beklentileri doğru yönetmek açısından önemlidir:
- IT odaklı ekibin sahaya gönderilmesi: OT protokolleri, cihaz davranışları ve operasyonel kısıtlar konusunda deneyimsiz bir ekip, hem yetersiz analiz üretir hem de sahada operasyonel riske yol açabilir.
- Aktif tarama araçlarının kullanılması: Nessus, OpenVAS gibi araçların OT ağında çalıştırılması; cihazlarda beklenmedik yeniden başlatmaya veya haberleşme kesintisine neden olabilir.
- Kapsamın yalnızca IT bileşenleriyle sınırlı tutulması: Historian sunucusu ve mühendislik iş istasyonunu tarayıp PLC’leri ve saha protokollerini kapsam dışında bırakmak, analizin değerini sıfıra yaklaştırır.
- Tek standarda bağlı kalma: Yalnızca ISO 27001 ile yapılan bir değerlendirme, OT’ye özgü teknik kontrolleri kaçırır. Yalnızca IEC 62443 ise kurumsal yönetim boyutunu göz ardı eder.
- Yol haritasız rapor teslimi: Açık listesi sunmak yeterli değildir; iyileştirmelerin nasıl, hangi sırayla ve hangi kaynaklarla gerçekleştirileceği net olarak planlanmalıdır.
Kritik Altyapınızı Şansa Bırakmayın
Günümüzde siber saldırganların hedefi artık yalnızca verileriniz değil, doğrudan fiziksel üretim yeteneğiniz ve operasyonel sürekliliğinizdir. Kritik altyapılara yönelik siber saldırıların sayısı ve etki kapsamı her geçen yıl artmaktadır. Sizi bekleyen tehdidi, sizi bulmadan siz keşfetmelisiniz.
CBERNET olarak; IEC 62443, NIST SP 800-82 ve ISO 27001 çerçevelerinde, saha deneyimli OT güvenlik uzmanlarımızla bağımsız ve kapsamlı OT GAP analizi hizmeti sunuyoruz. Enerji, doğalgaz, ulaşım ve sanayi tesislerinde gerçekleştirdiğimiz değerlendirmelerle, kurumunuzun OT güvenlik olgunluk seviyesini somut verilerle ortaya koyuyor; uygulanabilir, önceliklendirilmiş ve bütçeyle uyumlu bir yol haritası hazırlıyoruz.
