ISO 27001 TEK BAŞINA OT GÜVENLİĞİ İÇİN YETERLİ Mİ?

OT güvenliği (Operasyonel Teknoloji güvenliği), endüstriyel kontrol sistemleri (EKS) ve SCADA gibi fiziksel süreçleri yöneten ağların siber tehditlere karşı korunmasını kapsar. Günümüzde birçok kuruluş, bilgi güvenliği yönetimi amacıyla ISO 27001 standardını uygulamaktadır. Ancak enerji santralleri, üretim tesisleri ve diğer kritik altyapıların bulunduğu OT ortamlarında, yalnızca ISO 27001’e dayanmak güvenlik açısından yeterli midir?

Bu kapsamda, ISO 27001’in temel yapısı ve OT sistemleri üzerindeki uygulama sınırları ele alınmakta; IEC 62443 ve NIST SP 800-82 gibi OT’ye özgü çerçevelerle karşılaştırmalı bir değerlendirme yapılmaktadır. Gerçek dünyadan örnekler aracılığıyla, ISO 27001’in OT ortamlarında karşılaştığı zorluklar ortaya konulmakta ve OT güvenliğini pekiştirmek adına uygulanabilecek stratejiler aktarılmaktadır. Ayrıca, bu alanlardaki teknik ve yönetsel açıkların giderilmesinde CBERNET gibi uzmanlaşmış yapılarla iş birliğinin taşıdığı önem vurgulanmaktadır.

ISO 27001 Nedir? Bilgi Güvenliği Yönetimine Genel Bakış

ISO/IEC 27001, dünya genelinde yaygın olarak benimsenen bir Bilgi Güvenliği Yönetim Sistemi (BGYS) standardıdır. Bu standart, kuruluşların bilgi varlıklarını korumak için sistematik bir yaklaşım geliştirmesine yardımcı olur. ISO 27001, risk temelli bir yöntem benimser; yani kuruluşlar önce kritik bilgi varlıklarını ve bunlara yönelik riskleri belirler, sonra bu riskleri yönetmek için kontroller uygular. Standart, Planla-Uygula-Kontrol Et-Önlem Al (PUKÖ) döngüsü çerçevesinde sürekli iyileştirmeyi teşvik eder. Amaç, kuruluşun gizlilik, bütünlük ve erişilebilirlik (CIA üçlüsü) gereksinimlerini karşılayan bir güvenlik politikası ve kontrol seti oluşturmaktır.

ISO 27001’in önemli bir özelliği, genel geçer bir standart olmasıdır. Yani tüm sektörler ve organizasyon tipleri için uygulanabilir şekilde tasarlanmıştır. Standartın gereksinimleri teknoloji bağımsız olup, her türlü organizasyonun büyüklüğü veya türünden bağımsız olarak uygulanabilir. Bu esneklik, ISO 27001’i bilgi güvenliği yönetimi için evrensel bir çerçeve haline getirir. Bankacılıktan sağlığa, telekomdan kamuya birçok sektör ISO 27001 sertifikasyonu ile güvenlik olgunluğunu belgelendirmektedir.

ISO 27001, 2022’de güncellenen son versiyonuyla birlikte 93 maddelik kontrol listesi (ISO 27002’de tanımlı) sunar. Bu kontroller; varlık yönetimi, erişim kontrolü, şifreleme, fiziksel güvenlik, tedarikçi güvenliği gibi geniş bir yelpazeye yayılır. Ancak bu kontrollerin büyük bölümü BT (IT) sistemleri odaklıdır. Standart, OT veya endüstriyel sistemlere özgü terminoloji veya detaylı teknik gereksinimler içermez. Yani bir kuruluş dilerse OT sistemlerini de ISO 27001 kapsamına alabilir, ancak bunu yaparken OT’nin özel ihtiyaçlarına dair ek önlemleri kendisi tanımlamalıdır. Kısacası, ISO 27001 bilgi güvenliğinin temel prensiplerini ortaya koyar ve güvenlik yönetimi için bir yönetimsel çerçeve sağlar; ancak spesifik teknik detayları organizasyonlara bırakır.

OT Ortamlarında Siber Güvenlik: IT ve OT Arasındaki Farklar

Operasyonel Teknoloji (OT), üretim hattını yöneten PLC’ler, enerji şebekesini kontrol eden SCADA sistemleri veya bir kimya tesisindeki dağıtılmış kontrol sistemleri (DCS) gibi fiziksel süreçleri yöneten donanım ve yazılımları kapsar. OT sistemleri, bir fabrikanın, elektrik şebekesinin veya tesisin sürekli ve güvenli çalışmasını sağlamak üzere tasarlanmıştır. Bu yönüyle OT’nin öncelikleri, geleneksel Bilgi Teknolojileri (IT) sistemlerinden farklılık gösterir.

BT güvenliği çoğunlukla veri gizliliği ve bütünlüğüne odaklanırken, OT güvenliği söz konusu olduğunda insan emniyeti, operasyonel süreklilik ve fiziksel hasarın önlenmesi ön plana çıkar. OT sistemlerinde erişilebilirlik (availability) kritik önem taşır; zira bir saniyelik kesinti bile üretimde büyük kayıplara, hatta tehlikeli durumlara yol açabilir. NIST’in OT güvenlik kılavuzu, IT ve OT sistemleri arasındaki farkları şu şekilde özetler:

• Gerçek Zaman ve Kesintisizlik: IT sistemlerinde yüksek gecikme tolere edilebilir ve sistemlerin yeniden başlatılması genelde kabul edilebilirken, OT sistemleri gerçek zamanlı çalışır. Örneğin, bir üretim hattında veya enerji santralinde sistemin anlık durması kabul edilemez; sürekli çalışma esastır.
• Güvenlik Öncelikleri: IT’de en büyük risk genellikle veri sızıntısı veya hizmet kesintisi nedeniyle iş operasyonlarının aksamasıdır. OT’de ise insan hayatı ve çevre güvenliği en büyük önceliktir; bir güvenlik açığı can kaybı, çevresel felaket veya ekipmana fiziksel zarar yol açabilir. Bu nedenle OT’de güvenlik ve iş güvenliği (safety) iç içedir.
• Sistem Ömrü ve Güncellemeler: OT cihazları (PLC, RTU vb.) genellikle 10-15 yıl veya daha uzun süre hizmet verirken, BT ekipmanları her birkaç yılda bir yenilenir. OT sistemlerinde kullanılan yazılımlar ve işletim sistemleri eski olabilir ve güncelleme/yama uygulanması zor veya riskli olabilir. Zira bir yamada çıkacak uyumsuzluk, bütün fabrikanın durmasına neden olabilir. Bu nedenle yama yönetimi OT’de çok temkinli ele alınır.
• Kaynak ve Destek Kısıtları: Birçok OT cihazı sınırlı bellek ve işlemciye sahiptir, bu yüzden antivirüs gibi BT’de yaygın güvenlik çözümlerini çalıştıramayabilir. Ayrıca OT sistemlerinde özelleştirilmiş ve tedarikçi bağımlı yazılımlar vardır; güvenlik desteği genellikle üretici firmaya bağlıdır ve her cihazın farklı uzmanlık gerektiren yanları olabilir.
• İletişim Protokolleri ve Ağlar: IT ağlarında yaygın olarak TCP/IP protokolleri kullanılırken, OT ağlarında Modbus, OPC-UA, DNP3, Profibus gibi özel ve eski protokoller bulunur. Bu protokoller çoğu zaman güvenlik düşünülmeden tasarlanmıştır (şifreleme ya da kimlik doğrulama içermeyebilir). Ağ topolojileri de farklıdır; OT’de sensörlerden kontrol sistemine hiyerarşik yapılar ve sahada kablosuz iletişim (ör. radyo haberleşme) olabilir. Bu durum, geleneksel BT güvenlik araçlarının OT’ye doğrudan uygulanmasını zorlaştırır.

Bu farklılıklar, OT güvenliği için özelleşmiş yaklaşımlar gerektirir. IT’de işe yarayan birçok güvenlik kontrolü (örneğin otomatik yazılım güncelleme, aylık şifre zorunlu değişimi, vb.) OT’de ya uygulanamaz ya da kısıtlı uygulanır. Örneğin, IT ağlarında rutin sızma testleri yapmak yaygındır; ancak OT ağlarında kontrol sistemine yapılacak agresif taramalar üretimi aksatabilir. Yine IT’de kullanıcılar işletim sistemi yamalarını sık sık uygulayabilirken, OT’de bir SCADA sunucusunu güncellemek için üretim duruşu planlamak gerekebilir.

BT-OT yakınsaması: Son yıllarda Endüstri 4.0 ile birlikte OT sistemleri, verimlilik ve izlenebilirlik amacıyla kurumsal IT ağlarına bağlanmaya başladı. Bu yakınsama, OT sistemlerinin geleneksel BT tehditlerine de maruz kalmasına yol açıyor. Eskiden kapalı kalan fabrika ağı, şimdi veri alışverişi için internete veya buluta açılıyor. Sonuç olarak fidye yazılımları, virüsler, ağ saldırıları gibi tehditler OT’ye sıçrayabiliyor. Bu durum, OT güvenliğini sağlamanın artık hiç olmadığı kadar kritik olduğunu gösteriyor.

Özetle, OT ortamları kendine has riskler ve gereksinimler barındırır. ISO 27001 gibi genel çerçeveler, bu farklılıkları doğrudan adreslemez; dolayısıyla OT güvenliği, IT güvenliğinden ayrı bir uzmanlık alanıdır. Aşağıda, ISO 27001’in OT bağlamındaki sınırlamalarını ve neden tek başına yeterli gelmeyebileceği detaylı olarak ele alınacaktır.

ISO 27001’in OT Ortamlarındaki Sınırlamaları

ISO 27001, bilgi güvenliği yönetimi için güçlü bir genel çerçeve sunsa da OT ortamlarına özgü ihtiyaçları doğrudan karşılamada yetersiz kalabilir. ISO 27001’in OT güvenliği açısından başlıca sınırlamaları:

• Genel Geçer ve BT Odaklı Kontroller: ISO 27001’in kontrol seti tüm sektörler için geçerli olacak şekilde geneldir. Standart, hangi teknolojik kontrollerin uygulanacağı konusunda spesifik olmaz. Örneğin, ISO 27001’de “ağ güvenliği” kontrolü vardır ama SCADA ağı nasıl segmentlere ayrılmalı veya PLC’lere özel erişim denetimi nasıl olmalı gibi detaylar yoktur. Bu, OT özelinde kritik önlemlerin atlanmasına neden olabilir. Standart esasen BT güvenliği kuralları üzerine kurulmuştur ve OT’nin ayrıntılı ihtiyaçlarını içermez. Dolayısıyla, bir kuruluş ISO 27001 sertifikası alsa bile, eğer OT sistemlerini kapsam dışında tutar ya da OT’ye özgü kontrolleri eklemezse, OT tarafında boşluklar kalabilir.
• Emniyet (Safety) Konularının Dışında Kalması: OT sistemlerinde fiziksel emniyet ve siber güvenlik iç içedir. Bir siber saldırı, sadece veri çalmakla kalmaz, bir makineyi kontrol ederek çalışanlara zarar verebilir veya çevreye ciddi etkiler yapabilir. ISO 27001 ise bilgi güvenliğine odaklanır; insan güvenliği ve cihazların fiziksel emniyeti doğrudan ele alınmaz. Örneğin, bir kimya tesisinde güvenlik vanalarının siber manipülasyonla devre dışı bırakılması riski, ISO 27001 risk değerlendirmesinde atlanabilir çünkü bu daha çok operasyonel/safety risk olarak görülebilir. OT’de insan ve çevre güvenliği öncelik olduğundan, ISO 27001 tek başına bu riskleri yönetmekte yetersiz kalır.
• Gerçek Zamanlı ve Süreklilik Gereksinimlerine Uyum Sağlamaması: ISO 27001, “kabul edilebilir risk” prensibiyle bazı kesintileri veya gecikmeleri tolere edebilir. Örneğin, ISO 27001 kapsamında düzenli sistem yamaları yapmak veya gerektiğinde sistemi kapatmak normaldir. Ancak OT’de sistem kapatmak çoğu zaman seçenek değildir; %99.99 çalışma zamanı hedeflenir. ISO 27001, kesintisizlik için özel gereksinimler tanımlamaz. Bu durumda, bir OT ağı ISO 27001’e göre güvenli yapılandırılsa bile, sürekli çalışması gereken bir PLC’nin reboot edilmesi gereken bir güvenlik güncellemesi çıkarsa ikilem oluşur. Standart bu pratik zorluğu çözmez, kuruluşun insiyatifine bırakır.
• Eski ve Kapatılamayan Sistemler: Birçok fabrika veya enerji santrali ortamında eski sistemler (Windows XP, legacy Linux dağıtımları veya özel RTOS’lar) kullanılmaya devam eder. ISO 27001 kapsamında güncel olmayan yazılımlar risk olarak tanımlansa da, pratikte bu sistemleri yenilemek veya yamalamak mümkün olmayabilir. ISO 27001 “risk işleme” aşamasında belki bu risk kabul edilir veya transfer edilir, ancak risk orada durmaya devam eder. Standardın kendisi, eski OT cihazları için spesifik çözümler sunmaz; örneğin erişim sadece fiziksel olarak kısıtlansın veya network seviyesinde yalıtılsın gibi yaklaşımlar ISO 27001 kontrol setinde belirtilmez.
• OT’ye Özgü Tehditlere Duyarsızlık: ISO 27001 risk analizi, genellikle kuruluşun geçmiş olayları ve bilinen tehditlerine dayanır. OT dünyasında ise Stuxnet, Triton, Industroyer gibi çok özel tehditler mevcuttur. Bu zararlı yazılımlar PLC’lere yüklenebilen kodlar, sahte sensör verileri ile operatörü yanıltma veya güvenlik sistemlerini devre dışı bırakma gibi BT’de görülmeyen saldırı teknikleri kullanır. ISO 27001 kılavuzları bu tür OT spesifik saldırı senaryolarına değinmez. Eğer kuruluşun risk değerlendirme ekibi OT tehditleri konusunda bilgili değilse, ISO 27001 süreçlerinde bu senaryolar değerlendirme dışında kalabilir. Örneğin, Stuxnet solucanı 2010’da İran’ın nükleer tesisindeki santrifüjleri hedef alarak fiziksel hasar verdi. ISO 27001 uygulayan bir kuruluş, eğer OT tarafında USB bellek kullanımını ve PLC erişimlerini özel olarak kısıtlamadıysa, bu tür bir saldırıyı engellemesi zordu.
• Ağ Segmentasyonu ve Katmanlı Savunmaya Yönelik Belirsizlik: ISO 27001 “ağ güvenliği” dese de hangi ağın nasıl segmentlere ayrılacağı detaylandırılmaz. Oysa OT güvenliğinin en temel prensiplerinden biri, üretim ağı ile ofis/kurumsal ağın ayrılması, hatta üretim ağı içinde farklı güvenlik bölgeleri (zone) oluşturulmasıdır. ISO 27001 kontrolü, genel olarak “ağları bölümlere ayırın” diyebilir ancak hangi bölümlerin kritik olduğunu veya EKS protokollerinin ayrı segmentte tutulması gerektiğini belirtmez. Bu nedenle, eğer kurum özel bir çaba harcamazsa, ISO 27001 uyumlu bir ağ tasarımı yaparken OT sistemleri yanlışlıkla BT ağıyla düz bağlantılı kalabilir. Nitekim bazı saldırılarda, saldırganlar ofis ağından fabrikadaki kontrol ağına geçiş yaparak OT cihazlarını hedef alabildi. ISO 27001’in genel yaklaşımı, bu spesifik segmentasyon ihtiyacını garanti altına almaz.
• İnsan ve Organizasyonel Faktörler: ISO 27001, politika ve prosedürlerle insan hatasını azaltmaya çalışır (ör. güvenlik farkındalık eğitimleri, görev ayrılığı ilkesi vb.). Ancak OT alanında genellikle bakım mühendisi, operatör gibi IT eğitimine sahip olmayan personel çalışır. ISO 27001 kapsamındaki klasik farkındalık eğitimleri, ofis çalışanlarına odaklıdır; OT personeli için özel sosyal mühendislik senaryoları veya endüstriyel süreçlere yönelik sabotaj eğitimleri yoksa, bu bir açıklık oluşturur. Ayrıca ISO 27001 projeleri çoğunlukla IT departmanı liderliğinde yürütülür; OT ekipleri süreçlere dahil edilmezse, kurum içinde BT-OT kopukluğu olabilir. Böylece kâğıt üzerinde ISO 27001 evrakları tam olsa da saha gerçeklerinde OT çalışanları bu prosedürleri uygulamayabilir.

Yukarıdaki nedenlerden ötürü, ISO 27001 tek başına OT siber güvenliğini kapsamlı şekilde sağlamakta yetersiz kalabilir. Bu, ISO 27001’in değersiz olduğu anlamına gelmez; aksine iyi bir temel ve yönetim sistemi sağlar. Ancak OT ortamlarında ISO 27001’i OT odaklı standartlar ve kontrollerle desteklemek şarttır. Bir benzetme yaparsak, ISO 27001 genel bir sağlık protokolüyse, OT güvenliği için bunun üzerine kardiyoloji veya ortopedi gibi uzmanlık eklemek gerekir. İşte bu noktada IEC 62443 ve NIST SP 800-82 gibi OT’ye özel çerçeveler devreye giriyor.

OT Odaklı Güvenlik Çerçeveleri: IEC 62443 ve NIST SP 800-82

Yukarıda tartıştığımız sınırlamaları gidermek için, OT sistemlerine özel geliştirilmiş uluslararası standartlar ve rehberler bulunmaktadır. Bunların başında IEC 62443 standart serisi ve NIST SP 800-82 rehberi gelir. Bu bölümde ISO 27001 OT odaklı çerçevelerle kıyaslanarak ele alınacaktır.

IEC 62443: Endüstriyel Kontrol Sistemleri için Siber Güvenlik Standartları

IEC 62443 (aynı zamanda ISA-62443 olarak da bilinir), endüstriyel otomasyon ve kontrol sistemlerinin (IACS/ICS) siber güvenliği için hazırlanmış kapsamlı bir standartlar serisidir. IEC 62443, bileşen üreticilerinden sistem entegratörlerine ve son kullanıcı işletmecilere kadar tüm paydaşlar için güvenlik gereksinimleri tanımlar. Bu standartlar serisi, EKS yaşam döngüsünün her aşamasına (tasarım, geliştirme, kurulum, işletim ve bakım) yönelik en iyi uygulamaları içerir.

IEC 62443’ün kritik bir yönü, “derinlemesine savunma” (defense-in-depth) ilkesini OT ortamlarına uyarlamasıdır. Standart, varlıkları “güvenlik zonları” halinde gruplayarak, benzer güvenlik ihtiyaçlarına sahip sistemleri bir araya toplamayı önerir. Farklı güvenlik seviyeleri tanımlayarak, örneğin bir tesisin kritik kontrol ağı ile daha az kritik izleme ağı ayrı zonlarda tutulur. Bu zonlar arasındaki iletişim ise “conduit” denilen kontrollü kanallar üzerinden yapılır. Böylece, bir saldırgan bir zonu ele geçirirse, diğer zonlara sıçraması zorlaştırılır. IEC 62443 ayrıca her bir zon için gereken Güvenlik Seviyelerini (SL 1-4) tanımlar; seviye arttıkça, daha katı teknik kontroller uygulanması beklenir (ör. seviye 4’de çok faktörlü kimlik doğrulama, tek yönlü veri diyotları, vb.).

Örneğin, IEC 62443-3-3 standardı sistem düzeyinde teknik gereksinimleri listelerken, IEC 62443-4-2 cihaz düzeyinde (PLC, RTU gibi) güvenlik özelliklerini tanımlar. Ayrıca IEC 62443-2-1 ve 2-4 gibi bölümleri, OT için bir tür BGYS (benzeri ISO 27001) oluşturur ancak OT odaklıdır. İlginç bir şekilde, IEC 62443 konsept olarak ISO 27001 üzerine inşa edilmiştir. Phoenix Contact’ın bir yayınına göre, IEC 62443 standardı esas olarak ISO 27001’in BT güvenliği için koyduğu kuralları temel alır, ancak bunu endüstriyel ortamlara uygular ve genişletir. Yani ISO 27001’in yönetimsel çerçevesini alır, üzerine OT’ye özel teknik detaylar ekler. ISO 27001 + IEC 62443 birlikteliği, BT ve OT’yi kapsayan bütünsel bir güvenlik yaklaşımı sağlar.

IEC 62443’ün pratik faydalarını bir senaryo ile düşünelim: Bir otomotiv fabrikasında üretim hattı robotları ve onları kontrol eden PLC’ler var. ISO 27001 genel olarak bu cihazların da envanterini tutmayı ve risklerini değerlendirmeyi söyler, ama tam olarak ne yapılacağını tarif etmez. IEC 62443 ise der ki: Robotların bağlı olduğu kontrol ağı ayrı bir üretim zonu olsun, bu zonu ofis IT ağından ayırın, araya bir güvenlik duvarı koyun, belki veri alışverişini sadece tek bir arayüzle kısıtlayın. PLC’lerin güvenlik seviyesi 2 olsun, yani kimlik doğrulama, rol tabanlı erişim gibi özellikler aktif olsun. Ayrıca üretici firmanın PLC’yi geliştirirken güvenli yazılım geliştirme uygulamış olması (IEC 62443-4-1) beklenir. Görüldüğü gibi, IEC 62443 çok daha spesifik ve yönlendirici bir dizi kriter sunar.

Kritik altyapı koruması konusunda birçok kurum, IEC 62443’ü referans almaktadır. Özellikle enerji, imalat, kimya, ulaşım gibi sektörlerde IEC 62443, OT siber güvenliğinin “altın standardı” haline gelmiştir. ISO 27001 sertifikalı bir kuruluş, eğer OT sistemleriyle ciddi şekilde uğraşıyorsa, mutlaka IEC 62443 gereksinimlerini de göz önünde bulundurmalıdır. IEC 62443 sayesinde, ISO 27001’in belirsiz bıraktığı alanlar (örn. “hangi teknik önlem, ne düzeyde alınmalı?”) netleşir ve OT için bir yol haritası oluşur.

NIST SP 800-82: OT/EKS Güvenlik Rehberi

NIST SP 800-82, ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayınlanan “Endüstriyel Kontrol Sistemleri (ICS) Güvenliği Rehberi”dir. İlk olarak 2006’da yayınlanmış, en son Revizyon 3 sürümü Eylül 2023’te güncellenmiştir. Bu rehber, OT sistemlerini siber tehditlere karşı korumak için kapsamlı bir kaynak sağlar ve tüm dünyada OT güvenliği profesyonellerince referans alınır.

NIST SP 800-82, OT ve IT arasındaki farklılıkları detaylandırarak başlar ve EKS sistemlerinin nasıl güvence altına alınabileceğine dair en iyi uygulamaları tanımlar. Bu rehberin önemli bir özelliği, NIST SP 800-53 (Federal bilgi sistemleri için güvenlik kontrolleri kataloğu) ile birlikte çalışmasıdır. NIST 800-53 içinde tanımlanmış yüzlerce kontrol maddesi vardır (erişim kontrolü, olay kayıtları, kötü amaçlı yazılımdan koruma vb.). NIST 800-82, bu 800-53 kontrollerini OT sistemlerine uyarlamak için bir “overlay” (katman) sunar. Yani 800-53’teki bazı kontroller OT için fazla katı veya uygulanamaz olabileceğinden, 800-82 bunların hangilerinin nasıl uygulanabileceğine dair rehberlik verir. Örneğin, 800-53 “tüm sistemlere antivirüs kurulacak” diyorsa, 800-82 “OT sistemlerinde antivirüs kurulamayabilir, bunun yerine ağ tabanlı zararlı yazılım tespiti yapılmalı” gibi yönlendirme yapabilir.

NIST 800-82’nin içeriğinde şunlar bulunur: EKS sistem tipleri ve mimarileri (SCADA, DCS, PLC yapıları), tehdit modelleri ve zafiyetler, EKS’lere yönelik atak teknikleri, savunma prensipleri (ağ bölümlendirme, katmanlı savunma, güvenli uzaktan erişim, olay müdahale planlaması vb.), BT-OT entegrasyonu için güvenlik adımları. Aynı zamanda, enerji sektörü için NERC CIP, su sektörü için EPA tavsiyeleri gibi sektörel standartlarla da ilişkiler kurar.

ISO 27001 ile kıyaslandığında, NIST SP 800-82 bir yönetim standardı değil, bir teknik kılavuzdur. Yani ISO 27001 “neyi yapmanız gerektiğini” söylerken (örneğin risk analizi yap, kontrol seç, sürekli iyileştir), NIST 800-82 “nasıl yapacağınızı” konusunda detaylı öneriler sunar. Örneğin ISO 27001 bir OT ağı için “güvenlik duvarı kullanın” derse, NIST 800-82 “güvenlik duvarını nasıl konumlandırmalı, endüstriyel protokoller için ne tür kurallar tanımlamalı” gibi pratik bilgilere girer. Bu nedenle, ISO 27001 uygulayan ve OT sistemlerini kapsamına almak isteyen bir kuruluş, NIST 800-82’yi bir rehber kitap gibi kullanıp, oradaki en iyi uygulamaları ISO’nun risk yönetimi sürecine dahil edebilir.

Bir başka önemli nokta, NIST Siber Güvenlik Çerçevesi (CSF) ile EKS güvenliğinin entegrasyonudur. NIST CSF, tanımla-koru-tespit et-müdahale et-iyileş beş fonksiyonlu genel bir güvenlik çerçevesidir. Bir SANS anketine göre, endüstriyel firmalar OT siber güvenliği için en çok NIST CSF, ISA/IEC 62443, NIST 800-53, NIST 800-82 ve ISO 27001 kombinasyonlarını kullanmaktadır. Bu sonuç, genellikle kurumların tek bir standartla yetinmediğini, birden çok çerçevenin güçlü yanlarını birleştirme yoluna gittiğini gösteriyor. Özellikle NIST CSF’nin genel yol göstericiliği, ISO 27001’in yönetişim yapısı, 800-82’nin teknik detayları ve IEC 62443’ün OT odaklı kontrolleri bir arada kullanıldığında, OT güvenliği için oldukça kapsamlı bir program oluşturulabilir.

Özetlemek gerekirse, IEC 62443 ve NIST SP 800-82, ISO 27001’in OT alanındaki boşluklarını doldurmak üzere tasarlanmış iki önemli kaynaktır. IEC 62443 standart serisi, OT sistemleri için “ne yapmalı” sorusuna detaylı yanıtlar verirken, NIST 800-82 rehberi “nasıl yapmalı” sorusunda derinleşir. ISO 27001 tek başına genel bir güvenlik omurgası sağlar, ancak OT ortamlarında bu omurgayı mutlaka bu tip OT odaklı rehberlerle desteklemek gerekir. Sıradaki bölümde, yalnızca ISO 27001’e bel bağlamanın getirebileceği riskler, gerçek olaylar veya örnek senaryolar üzerinden incelenecektir.

Neden ISO 27001 Tek Başına Yetersiz: Gerçek Dünya Örnekleri

Teorik olarak ISO 27001 uygulamak, bir kurumun tüm bilgi sistemlerini güvence altına almalı gibi görünse de pratikte OT sistemlerine yönelik spesifik tehditler karşısında tek başına yetersiz kalındığı örnekler yaşanmıştır. İşte bu durumu somutlaştıran bazı gerçek dünya örnekleri ve senaryolar:

• Stuxnet (2010) Vakası – Özel Ama Yıkıcı Bir OT Saldırısı: 2010 yılında keşfedilen Stuxnet solucanı, İran’ın Natanz nükleer tesisindeki uranyum zenginleştirme santrifüjlerini hedef alarak, bu cihazların hızlarını kontrolsüz biçimde değiştirip fiziksel hasar vermiştir. Stuxnet’in en dikkat çekici yanı, standart IT sistemlerine değil, Siemens marka PLC’lere ve endüstriyel kontrol yazılımlarına bulaşmasıydı. Bu saldırı, hava boşluklu (internet bağlantısı olmayan) bir ortama USB bellek yoluyla sızacak kadar sofistike tasarlanmıştı. Bir ISO 27001 programı, genel olarak USB bellek kullanımını kısıtlayın veya antivirüs kullanın diyebilirdi; ancak Stuxnet imza tabanlı antivirüslerle kolay tespit edilemedi ve meşru mühendislik yazılımlarının içine gömülerek çalıştı. Ders: ISO 27001, eğer OT risklerini özel olarak analiz etmiyorsa, bu çapta bir devlet destekli OT saldırısını öngöremezdi. Stuxnet sonrasında dünyadaki pek çok kritik altyapı, ISO 27001’in yanı sıra OT için özel güvenlik denetimlerini (ağ izleme, PLC’lerin değişiklik denetimi, sıkı erişim kontrolü vb.) uygulamaya başladı.
• Ukrayna Elektrik Şebekesi Saldırıları (2015 & 2016) – OT’ye Yönelik İleri Düzey İhlaller: Aralık 2015’te ve tekrar Aralık 2016’da Ukrayna’da elektrik dağıtım merkezlerine yönelik siber saldırılar gerçekleşti. Saldırganlar, elektrik şirketlerinin SCADA sistemlerine sızarak uzaktan devre kesicileri kapattılar ve yüzbinlerce insan saatlerce elektriksiz kaldı. 2016’daki saldırıda, Industroyer/CrashOverride adlı zararlı yazılım kullanılarak doğrudan güç iletim kontrol protokolleri hedef alındı. Bu saldırılar, tamamen OT ağı üzerinde gerçekleştirildi ve saldırganlar IT sistemlerine girdikten sonra OT’ye yayıldılar. ISO 27001 bakış açısıyla, belki saldırganların IT sistemine girişine engel olunabilirdi (daha güçlü kimlik doğrulama, izinsiz erişim tespiti vb.). Ancak bir kez içeri girdiklerinde, OT ağı ile BT ağı arasında yalıtım olmaması veya zayıf olması felakete davetiye çıkardı. Ders: ISO 27001, IT ve OT ağları arasında düzgün segmentasyon olmadığında, saldırının tesirini azaltamaz. Bu olaylar, 62443’ün öngördüğü zone-conduit modelinin önemini kanıtlamıştır; eğer uygulansaydı saldırganlar OT ağındaki tüm kontrol cihazlarına yayılmakta bu kadar başarılı olamayabilirdi.
• Triton (2017) – Emniyet Sistemine Sızma Girişimi: 2017’de Ortadoğu’da bir petrokimya tesisine gerçekleştirilen Triton/Trisis saldırısında, saldırganlar Schneider Electric markalı Emniyet Enstrümanlı Sistem (SIS) denetleyicilerine zararlı kod yüklemeye çalıştı. SIS, tesislerde tehlikeli durumları algılayıp sistemi güvenli duruma alan kritik bir son savunma hattıdır. Saldırının amacı muhtemelen kazaya yol açabilecek bir sabotajdı. Şans eseri hatalı kod nedeniyle denetleyici kendini kapattı ve tesis emniyet gereği durdu; büyük bir kaza olmadı. Bu olayda ISO 27001’in ötesinde dersler vardı: SIS gibi çok özel OT sistemleri, IT güvenlik kontrollerinin genelde tamamen dışında kalır. ISO 27001 dokümanlarında SIS kelimesini bulamazsınız. Eğer o tesis, ISO 27001 sertifikalıydıysa bile, SIS cihazlarının güvenliğine dair özel önlemleri tanımlamadıysa, standart uyumluluk bu saldırıyı önleyemezdi. Ders: OT’nin alt alanları (ör. güvenlik sistemleri, saha sensör ağları) için özel risk değerlendirmeleri yapmak gerekir. Standart bir ISO 27001 risk analizi, “SIS’e kod yüklenmesi” gibi spesifik bir senaryoyu atlayabilir. Bu nedenle, OT kapsamındaki her alt sistemi ayrı ayrı ele alan bir yaklaşım şarttır.
• Colonial Pipeline (2021) – BT İhlalinin OT’yi Etkilemesi: Mayıs 2021’de ABD’nin en büyük akaryakıt boru hattı işletmecisi olan Colonial Pipeline, DarkSide adlı fidye yazılımı çetesinin saldırısına uğradı. Saldırganlar şirketin BT ağındaki sunucuları kilitledi. Doğrudan OT sistemlerine dokunmasalar da şirket tedbir amaçlı tüm boru hattı operasyonlarını durdurdu. Sonuç, doğu yakasında yakıt kıtlığı ve paniğe yol açan bir haftalık kesinti oldu. Colonial Pipeline’ın bir bilgi güvenliği programı vardı; muhtemelen ISO 27001 gibi çerçevelere de yabancı değillerdi. Ancak fidye yazılımının yaratabileceği operasyonel etki öngörülememişti. Yedek sistemler veya manuel işletim prosedürleri hazır değildi. Ayrıca BT ve OT ağları arasında tam bir ayrım olmadığı için, güvenlik ekibi OT’ye sıçrama riskini göz önüne alarak proaktif kapanma kararı aldı. Ders: ISO 27001, fidye yazılımlarına karşı yedeklilik ve iş sürekliliği planları gerektirse de OT operasyonlarının devamlılığı için özel planlar yoksa, kuruluş kendini kapatmak zorunda kalabilir. Bu olay, OT iş sürekliliği ve siber güvenlik planlarının ne kadar bütünleşik olması gerektiğini gösterdi. ISO 27001 kapsamında iş sürekliliği planları yapılmış olsa da kritik altyapı işletmecilerinin OT için ayrı acil durum prosedürleri geliştirmesi gerektiği anlaşıldı.

Yukarıdaki örnekler çoğaltılabilir (örneğin Almanya’da bir çelik fabrikasının fırınlarının 2014’te siber saldırıyla hasar görmesi, 2015’teki priz saldırıları vb.). Temel mesaj şudur: ISO 27001 compliance (uyumluluk) eşittir gerçek güvenlik değil, özellikle OT gibi alanlarda. Kâğıt üzerinde tüm kontroller “uygun” görünse bile, saldırganlar OT’nin zayıf noktasını bulabilirler. ISO 27001 tek başına bu noktaları aydınlatamaz; onun yerine OT bağlamında düşünmek ve eyleme geçmek gerekir.

OT Güvenliğini Güçlendirmek İçin Öneriler

ISO 27001’in sağladığı çerçevenin üzerine, OT sistemlerine özgü en iyi uygulamaların entegre edilmesi hem standart uyumluluğu hem de gerçek dünyadaki güvenlik seviyesini önemli ölçüde artırmaktadır. Bu doğrultuda, OT güvenliğini güçlendirmek ve ISO 27001’in boşluklarını tamamlayacak uygulamalara aşağıdaki adımlarla yer verilmelidir:

• Ağ Segmentasyonu Uygulanmalı:

OT ağları, kurumsal IT ağlarından ve kendi içlerinde alt bölgelere ayrılmalıdır. Üretim katmanındaki cihazların ofis ağına doğrudan bağlı olmaması sağlanmalı, kritik kontrol sistemleri (örneğin SCADA/DCS) ayrı bir güvenlik bölgesinde konumlandırılarak bu bölgelere erişim, sıkı güvenlik duvarı kurallarıyla sınırlandırılmalıdır. Böylece olası bir ihlal durumunda saldırının yayılma etkisi azaltılabilir.

• Güvenli Uzaktan Erişim ve Bakım Sağlanmalı:

Uzaktan bağlantılar şifreli protokoller (örneğin VPN, tek kullanımlık şifreler, jump server) aracılığıyla denetlenmeli; doğrudan kontrol ağına erişim engellenmeli, bunun yerine DMZ veya güvenli geçiş noktaları kullanılmalıdır. Gerektiğinde erişimin yalnızca sahadaki yetkili personel tarafından başlatılabileceği sistemler tercih edilmelidir.

• IEC 62443 Standartları Entegre Edilmeli:

Mevcut ISO 27001 bilgi güvenliği yönetim sistemine, IEC 62443’ün kontrol setleri uyarlanmalı; risk değerlendirmeleri, bu standardın temel güvenlik gereksinimlerini içerecek biçimde genişletilmelidir. Yeni OT ekipmanlarının seçiminde IEC 62443-4-2 uyumluluğu aranmalı; mümkünse IEC 62443-2-1 ile OT’ye özgü yönetim sistemi kurgulanmalıdır.

• NIST SP 800-82 ve NIST CSF Kılavuzları Dikkate Alınmalı:

Bu kılavuzlarda sunulan kontrol önerileri ile mevcut ISO 27001 uygulamaları kıyaslanmalı; OT varlık envanteri oluşturulmalı, ağlar güvenli şekilde yapılandırılmalı, olay müdahale planları OT senaryolarına uygun biçimde geliştirilmelidir.

• Varlık Envanteri ve Risk Analizleri Yapılmalı:

Tüm OT varlıklarının (örneğin PLC, HMI, saha sensörleri) kapsamlı bir envanteri çıkarılmalı ve düzenli olarak güncellenmelidir. Her varlığın güvenlik açıkları değerlendirilerek risk kayıtlarına işlenmeli, bu bilgiler yönetişim süreçlerine entegre edilmelidir.

• Siber Olay İzleme ve Anomali Tespiti Uygulanmalı:

Endüstriyel protokolleri tanıyabilen özel EKS/OT IDS çözümleri kullanılmalı, sistem günlükleri merkezi olarak toplanmalı ve analiz edilmelidir. Bu yaklaşım, olayların erken tespiti ve etkilerinin azaltılması açısından önem taşımaktadır.

• Fiziksel Güvenlik ve Erişim Kontrolleri Güçlendirilmeli:

Kritik alanlara erişim sınırlandırılmalı; USB bellek ve dizüstü bilgisayar gibi harici cihazların kullanımı kontrol altına alınmalı, sadece yetkili personelin erişimine izin verilmelidir. Bu uygulamalar, OT sistemlerinin sahadaki fiziksel açıklarını azaltacaktır.

• Yama ve Güncelleme Süreçleri Kontrollü Yürütülmeli:

Yamaların uygulanabilirliği önceden test edilmeli, bakım duruşları sırasında uygulanmalı, gerekirse telafi edici önlemler alınmalıdır. Eski sistemler için sanallaştırma veya izolasyon gibi yöntemler değerlendirilmelidir.

• Personel Eğitimi ve Farkındalık Çalışmaları Özelleştirilmeli:

OT çalışanlarına özel senaryolar içeren eğitimler sunulmalı; benzer şekilde IT ekiplerine de OT sistemlerinin işleyişi konusunda farkındalık kazandırılmalıdır. Bu çift yönlü yaklaşım, disiplinler arası iletişimi güçlendirecektir.

Yukarıdaki adımlar ISO 27001’in sağlayacağı yönetimsel disipline ek olarak, OT ortamlarında atılması gereken somut teknik ve süreç adımlarını örneklemektedir. Bu öneriler hayata geçirildiğinde, bir kuruluş sadece sertifikasyon için doküman doldurmuş olmaz; gerçekten sahada karşılaşabileceği tehditlere karşı hazırlıklı hale gelir. Unutulmamalıdır ki, siber güvenlikte güçlü bir zincir, en zayıf halkası kadar güvenlidir, OT sistemleri de çoğu kurum için en zayıf halka konumundadır. Dolayısıyla bu halkayı güçlendirmek, bütünsel güvenlik için vazgeçilmezdir.

CBERNET ile Güvenlik Açıklarını Kapatma

OT güvenliğini geliştirmek ve ISO 27001’in ötesine geçmek için uzman desteği almak isteyen organizasyonlar, bu alanda deneyimli danışmanlık firmalarından faydalanabilir. CBERNET, Türkiye’de Endüstriyel Kontrol Sistemleri (EKS) ve OT siber güvenliği alanında uzmanlaşmış bir siber güvenlik danışmanlık şirketidir. CBERNET, enerji, üretim ve diğer kritik altyapı sektörlerinde, müşterilerinin mevcut güvenlik yapılarını analiz ederek IEC 62443, NIST SP 800-82 ve ISO 27001 gibi uluslararası standartlara uyumluluk seviyelerini değerlendirmektedir. Bu analizler sonucunda, OT sistemlerindeki eksiklikleri tespit edip iyileştirme önerileri sunar.

CBERNET’in uçtan uca yaklaşımları sayesinde, kurumlar ISO 27001 BGYS’lerini OT boyutunda zenginleştirebilirler. Şirket; ağ segmentasyonu tasarımı, OT varlık envanteri oluşturma, endüstriyel güvenlik cihazları kurulumu (ör. firewall, veri diyotları, EKS izleme sistemleri), güvenlik politikalarının geliştirilmesi ve OT personeline özel eğitimler gibi alanlarda destek vermektedir. Ayrıca CBERNET, proje & kurulum hizmetleriyle OT güvenlik çözümlerini tesislere entegre eder ve bakım & destek hizmetleriyle bu çözümlerin sürdürülebilirliğini sağlar.

Kısacası, ISO 27001’in tek başına yeterli olmadığı OT güvenliği alanında, 
CBERNET gibi uzman bir ortakla çalışmak organizasyonlara büyük avantaj sağlar. 
Böylece hem uluslararası standartlara uyum sağlanır hem de gerçek hayattaki tehditlere 
karşı proaktif önlemler alınır. CBERNET, BT ve OT dünyalarını birleştiren tecrübesiyle, 
kritik altyapıların siber dayanıklılığını artırmak için gereken stratejik danışmanlık ve 

teknik çözümleri sunarak işletmelere destek olmaktadır.