Sektörden Haberler

Rüzgar Enerjisi Sektöründe karşılaşılan Siber Güvenlik Tehditleriyle Mücadele Zorlukları

06 Mart 2023

“Atın Ölümü Arpadan Olsun”, ‘risk veya olumsuz sonuçlar hakkında endişelenmeden bir şeyler yapmak' olarak tanımlanırken, Hepimiz bu bilge sözleri kendi kişisel yaşamlarımızda en az bir kere uygulamışızdır ancak bu rüzgar enerjisi endüstrisine uygulanmamalıdır.

Dünyanın dört bir yanındaki ülkeler rüzgâr enerjisinin faydalarını benimserken, türbinlerin ve güneş enerjisi PV (fotovoltaik) santrallerinin yerleştirilmesindeki en önemli zorluklardan biri; merkeze olan uzaklığı diğeri ise izleme, kontrol ve operasyon merkezine olan dijital bağlantıdır. Rüzgâr enerjisinin başarılı olması için, nerede olursa olsun altyapının dijital olarak birbirine bağlı olması kritik öneme sahiptir.

Bu zorluklar, ıssız alanlarda bulunan boru hatları, vanalar, sensörler ve izleme ekipmanlarının bulunduğu petrol ve gaz endüstrilerinde karşılaşılan zorluklardan farklı değildir. Ancak, fiziksel ve siber tehditlerin izlenmesini, tespit edilmesini ve uyarılmasını gerektiren güvenlik gereksinimlerine sahip olan petrol ve gaz endüstrisinin aksine rüzgâr endüstrisi gereksinimlerini küresel olarak belirlemede emekleme aşamasındadır. Ne yazık ki, son yıllardaki yaşanan olaylar altyapının ne kadar savunmasız olduğunu gözler önüne sermektedir.

2022 yılı şubat ayında Alman rüzgâr türbini üreticisi olan Enercon Şirketi, Viasat uydu ağında yaşanan önemli bir kesinti sonrasında 5.800 türbine uzaktan bağlantısını kaybetmiştir. Bu kesinti, Rusya'nın Ukrayna'yı işgali gibi fiziksel bir çatışmayla doğrudan ilişkilendirilse de bir siber tehdidin veya sistem arızasının da kesintiye sebep olma olasılığı vardır. Türbinler otomatik modda olduklarından hasar görmemiştir. Fakat arıza binlerce yer terminali ünitelerine hasar vermiş ve değiştirilmesine neden olmuştur.

2022 yılı mart ayında başka bir Alman rüzgar türbini üreticisi olan Nordex, BT sistemlerinde bir fidye yazılımı saldırısına maruz kalmıştır. Saldırının OT altyapısına yayılmasını önlemek için, rüzgâr türbinlerine uzak bağlantılar ile dahili OT sistemlerinin ağ bağlantıları kesilmiştir. Bu olayda da rüzgâr türbinleri hasar görmemiştir. Saldırı fark edilmemiş olması durumunda santrifüjlere, yüksek fırınlara ve su kontrol mekanizmalarına yönelik diğer siber saldırılarda görüldüğü gibi, rüzgâr türbinleri hasar görürlerse ne olacağı konusundaki artan endişeyi açıkça ortaya koymaktadır.

Endüstri raporları ve tehdit göstergelerine dayalı olarak, günümüzde OT sektörünün karşı karşıya olduğu temel tehdit vektörü fidye yazılımı olarak görülmektedir ancak kimlik avı, fiziksel saldırılar, insan ve sistem hatası gibi diğer tehdit vektörleri de her zaman mevcuttur ve endişe vericidir.

Rüzgâr enerjisi çiftliklerine yönelik; türbin veya yer terminalleri altyapısının zayıf yerinden fiziksel olarak kırmak, sistem ağlarına veya sistemlere bağlamak gibi istismar edilebilecek birkaç saldırı vektörü bulunmaktadır. Bir diğer saldırı vektörü ise VPN kullanımı gibi uzaktan bağlı bir sistemin güvenliğini aşmak ve türbinleri kontrol eden sistemlerin kontrolünü ele geçirmektir. Son olarak tesiste bulunan ve paylaşılan ağ ve sistemler üzerinden internete bağlı olan, kapalı devre güvenlik kameraları (CCTV) veya hava durumu kontrol sistemi üzerinden yanal hareket ile rüzgâr türbini çekirdek sistemlerini ele geçirmektir. Hangi saldırı vektörü kullanılırsa kullanılsın SCADA (denetimsel kontrol ve veri toplama) sistemine erişim sağlanması ve rüzgar enerjisi çiftliği altyapısının komuta ve kontrolünün ele geçirilmesi hedefine ulaşılabilir.

Rüzgâr enerjisi çiftlikleri birçok kişi tarafından hala kritik olmayan (çoğu zaman türbinlerin boşta durduğunu gördükleri için) ikincil bir üretim kaynağı olarak görülse de açıkça küresel enerji şebekesinin temel bir parçasıdır ve her zaman bu şekilde ele alınmalıdır.

Tüm kritik altyapılarda olduğu gibi şirketler çalışanlarının süreçler ve teknolojileri hakkında bilgilendirmeye ihtiyacı vardır. Bu bilgi, varlıklar, ağ bağlantıları, veri akışları, erişim yöntemleri, kullanıcılar ve üçüncü taraf bağlantıları da dahil olmak üzere altyapıların eşlenmesini içermektedir. Rüzgâr enerji çiftliklerinin kritik altyapılar olduğu konusunda hepimiz hemfikir olarak rüzgar enerji çiftliklerini desteklemek için sadece keşfetmemiz, masaya yatırmamız ve değerlendirmemiz gerekmiyor aynı zamanda türbinler ve sistemlerle ilgili olarak alınan her kararın ve eylemin merkezinde güvenlik ve dayanıklılığın olmasını sağlamak için gerçekten harekete geçmeliyiz.

Güçlü küresel düzenlemeler henüz olmasa da işletim şirketleri (Opco) kullanıcı erişim kontrolü, güvenlik duvarı yerleşimi, ağ segmentasyonu, ağ çeşitliliği, güçlü varlık yönetimi, VPN kullanımını azaltma, paylaşılan kimlik bilgilerini ortadan kaldırma, ayrıca denetimli/tam zamanında erişimi ve çok faktörlü kimlik doğrulama (MFA) gibi temel uygulamaları benimsemelidir. Bu en iyi uygulamaların tam bir listesi olmasa da sektör için bir başlangıç ​​noktasıdır.

Bu öneriler, gerçekte sıfır güveni (Zero trust) uygulamak gibi görünse de güçlü değişiklik yönetimi uygulamaları ve olay müdahale planlarının rüzgar enerji çiftliklerinin karşılaştığı tehditleri ve yalıtılmış koşulları karşılayacak şekilde uyarlanmasını sağlama gibi en iyi temel uygulamalardır.
Son olarak, altyapı projeleri, siber tehdit müdahalesi söz konusu olduğunda şirketlerin enerji/endüstriyel alana odaklanan OT Siber güvenlik firmalarından yararlanmaları gerekir. Bu durum BT şirketlerinin genel alanlarda yeteneksiz olduğu anlamına gelmez fakat süreçlerde her şeyden önce insan ve altyapı güvenliği üzerindeki etkiyi anlamak ve bu alana yönelik uzmanlaşmak çok önemlidir.

 

Kaynak: https://industrialcyber.co/utilities-energy-power-water-waste/the-challenges-of-wind-power-throwing-caution-to-the-wind/