Geçmişte fiziksel olarak izole edilmiş endüstriyel kontrol sistemleri, dijital dönüşüm dalgasıyla birlikte kurumsal IT ağlarına ve internete bağlanmaya başladı. Bu konverjans, üretim verimliliği ve uzaktan yönetim açısından önemli avantajlar sunarken, aynı zamanda kritik altyapıları siber tehditlere açık hale getiriyor.
OT/IT Konverjansının Yarattığı Güvenlik Boşlukları
Operasyonel Teknoloji (OT) sistemleri — SCADA, DCS (Dağıtık Kontrol Sistemleri), PLC'ler — tarihsel olarak güvenlik yerine güvenilirlik ve erişilebilirlik önceliğiyle tasarlanmıştır. Bu sistemlerin büyük bölümü 10-20 yıllık ömre sahip olup modern siber güvenlik standartları gözetilmeden geliştirilmiştir.
Temel güvenlik sorunları şunlardır:
- Yama yapılamayan veya destek süresi dolmuş işletim sistemleri (Windows XP, Windows 7)
- Fabrika ayarı değiştirilmemiş kimlik bilgileri
- Şifrelenmemiş endüstriyel protokoller (Modbus, DNP3, OPC)
- Güvenlik güncellemelerini desteklemeyen firmware
- Uzaktan bakım için açık bırakılan servis portları
Purdue Referans Modeli: OT Güvenliğinin Temeli
Purdue Enterprise Reference Architecture (PERA), endüstriyel sistemleri 5 hiyerarşik seviyeye ayırır. Bu model, OT/IT sınırının nerede çizileceğini ve güvenlik kontrollerinin nasıl katmanlandırılacağını belirler:
- Seviye 0-1 (Saha Cihazları): Sensörler, aktüatörler, PLC'ler
- Seviye 2 (Proses Kontrolü): HMI, SCADA işstasyonları
- Seviye 3 (Üretim Operasyonları): Tarihçi, MES
- Seviye 3.5 (DMZ): Güvenli veri transferi bölgesi
- Seviye 4-5 (Kurumsal): ERP, IT altyapısı, internet
DMZ (Demilitarized Zone) Kritikliği
OT ve IT ağları arasındaki DMZ, tek yönlü veri akışını zorunlu kılan Data Diode veya Güvenli Veri Transferi çözümleriyle güçlendirilmelidir. Doğrudan OT/IT bağlantısı kabul edilemez bir risk oluşturur.
OT Güvenlik Duvarı ve IDS/IPS
Geleneksel IT güvenlik duvarları endüstriyel protokolleri anlayamaz. Fortinet FortiGate, Cisco Firepower veya Dragos/Claroty gibi OT-aware güvenlik platformları, Modbus, DNP3, EtherNet/IP gibi protokolleri derin paket incelemesiyle analiz edebilir.
Pasif anomali tespiti (non-intrusive monitoring) OT ortamlarında tercih edilmelidir — aktif tarama, hassas endüstriyel cihazları devre dışı bırakabilir.
IEC 62443: OT Güvenlik Standardı
IEC 62443, endüstriyel otomasyon ve kontrol sistemleri için kapsamlı güvenlik standartları ailesidir. Bu standart, Security Level (SL) kavramını tanımlayarak farklı risk profillerine göre güvenlik gereksinimlerini belirler. Türkiye'deki enerji, petrokimya ve üretim tesisleri için bu standardın benimsenmesi hem siber güvenlik hem de sigorta kapsamı açısından kritik öneme sahiptir.
Sonuç
SCADA ve endüstriyel sistem güvenliği, hem OT hem de IT uzmanlığını birleştiren bütünleşik bir yaklaşım gerektiriyor. Fiziksel süreç güvenliği ile siber güvenliği birlikte değerlendiren, Purdue modeline dayalı segmentasyon uygulayan ve OT-farkında izleme platformları kullanan tesisler, sektördeki en kritik tehditlerden korunmayı başarıyor.