Fabrikalarda OT Güvenliği — Kapsamlı Teknik Rehber

OT Güvenliği: IT ile Aynı Değil

İT güvenliğinin temel üçgeni "CIA" — Confidentiality (gizlilik), Integrity (bütünlük), Availability (kullanılabilirlik) — OT'de farklı öncelik sırasıyla uygulanır:

Bir fabrikada SCADA sisteminin 4 saat çevrimdışı kalması, veri ihlalinden çok daha pahalı olabilir. Bu yüzden OT'deki her güvenlik kararı "Bu önlem sistemi durduracak mı?" sorusunu içermek zorundadır.

OT'nin Yapısal Özellikleri Güvenliği Zorlaştırır

Uzun ömür: PLC ve endüstriyel ekipmanların ömrü 15-25 yıldır. 2005'te kurulan bir PLC bugün Windows XP veya daha eski sistemlerle çalışıyor olabilir. Bu sistemler güvenlik yaması almıyor, modern şifreleme protokollerini desteklemiyor.

Üretici kısıtlamaları: OT ekipmanına yapılan müdahaleler üreticinin onayını gerektirir. İzinsiz yapılan güvenlik yaması garantiyi geçersiz kılar veya sistemi bozabilir.

Gerçek zamanlı gereksinim: Bir PLC milisaniyeler içinde yanıt vermek zorundadır. Geleneksel IT güvenlik araçları bu gecikmeyi bozabilir — OT ağında çalışan ağ tarama aracı PLC'yi resetleyebilir.

Tescilli protokoller: OT ağlarında Modbus, PROFIBUS, DNP3, EtherNet/IP, OPC-UA gibi endüstriyel protokoller kullanılır. IT güvenlik araçları bu protokolleri çoğunlukla anlamaz.

Purdue Reference Model: OT Güvenliğinin Mimari Temeli

Purdue Reference Model (PERA — Purdue Enterprise Reference Architecture), 1990'larda Purdue Üniversitesi'nde Theodore Williams tarafından geliştirilen ve bugün ISA-95 ile IEC 62443'ün temelini oluşturan mimari modeldir.

Model, endüstriyel sistemi 5 katmana böler:

Katman 4-5: Kurumsal Ağ (IT)
  ERP, e-posta, iş istasyonları, internet erişimi
  ─────────────────────────────────────────────
        [DMZ — Demilitarized Zone]
  ─────────────────────────────────────────────
Katman 3: Üretim Yönetimi
  MES, tarih sunucusu (Historian), vardiya raporlama
  ─────────────────────────────────────────────
Katman 2: Gözetim (Supervision)
  SCADA, DCS, HMI workstation'ları, mühendislik PC'leri
  ─────────────────────────────────────────────
Katman 1: Kontrol
  PLC, DCS kontrol modülleri, CNC kontrolörler
  ─────────────────────────────────────────────
Katman 0: Fiziksel Süreç
  Sensörler, aktüatörler, motorlar, valfler

Her katman arası geçiş firewall veya unidirectional security gateway (tek yönlü veri diyotu) ile korunur.

DMZ'nin Rolü Nedir?

DMZ (Demilitarized Zone), Katman 3 (OT) ve Katman 4 (IT) arasındaki tampon bölgedir. ERP-MES entegrasyonu gibi meşru veri akışları, doğrudan IT-OT bağlantısı yerine DMZ üzerindeki ara sunuculardan geçer:

ERP (IT) → DMZ veri köprüsü → MES (OT)

Böylece IT ağında bir ihlal olduğunda OT'ye doğrudan erişim sağlanamaz. Ve tersine, OT'den IT'ye yetkisiz veri çıkışı engellenir.

Türkiye'deki yaygın hata: DMZ kurulmuş, ama ERP-MES entegrasyonu için IT-OT arasında doğrudan güvenlik duvarı açığı bırakılmış. "Sadece bu port için açtık" — bu açık, tüm DMZ'nin değerini sıfırlar.

Türkiye'de OT Tehditleri: 2024-2026 Tehdit Tablosu

Ransomware — En Büyük Tehdit

2023-2025 döneminde küresel ölçekte imalat sektörü, en fazla ransomware saldırısı alan üçüncü sektör haline geldi (sağlık ve finans'ın ardından). Türk tesislerinde gözlemlenen örüntüler:

Saldırı vektörü: IT ağına phishing veya güvenli olmayan VPN üzerinden giriş → IT-OT geçişinde yetersiz segmentasyon → SCADA sistemine ulaşım → üretim hattı şifreleme ve fidye talebi.

Üretim etkisi: Ortalama 3-7 günlük üretim duruşu. Bazı vakalarda sistem yeniden kurulumu 2-3 hafta sürmüştür. Türk imalat tesislerinde belgelenmiş vakalarda kayıp 2-15 milyon TL arasında.

Örnek senaryo: Bursa'da bir otomotiv yan sanayi tesisinde, muhasebe çalışanına gelen phishing maili ile IT ağına giriş sağlandı. Üretim sistemleri IT'den yeterince ayrılmamıştı. 4 gün üretim tamamen durdu. OEM müşteriye geciken parça nedeniyle tazminat ödendi.

Uzaktan Erişim Açıkları

COVID-19 döneminde fabrikaların uzaktan servis ve destek için açtığı bağlantıların önemli bir kısmı hâlâ güvenli değil:

• Doğrudan RDP (Remote Desktop Protocol): İnternete doğrudan açık, çoğunlukla zayıf parola ile korunan RDP, brute-force saldırılarının birincil hedefidir.
• Eski VPN ekipmanı: Güncellenmeyen VPN cihazları bilinen açıklar içerir. Fortinet, Pulse Secure, Citrix gibi markaların eski versiyonlarında kritik açıklar 2020-2024 döneminde kötüye kullanıldı.
• Tedarikçi uzaktan erişimi: Makine üreticisi veya entegratör için açılan uzaktan erişim noktaları, kullanılmadığı dönemlerde devre dışı bırakılmıyor.

"Türkiye'deki OT güvenlik denetimlerinde en sık karşılaştığımız bulgu, IT ve OT ağlarının 'ayrılmış' sanılmasına rağmen ERP-MES entegrasyonu veya uzaktan erişim için açılmış ve unutulmuş portlardır. Shodan veya Censys gibi araçlarla internete açık OT cihazlarını bulmak dakikalar alıyor — saldırganlar bunu fabrikadan çok önce yapıyor."

İç Tehdit ve İnsan Hatası

Verizon DBIR ve ICS-CERT raporlarına göre OT güvenlik ihlallerinin önemli bir bölümü iç tehdit veya insan hatasından kaynaklanmaktadır. En yaygın iç tehdit vektörleri:

USB bellek: Bir operatör kişisel USB belleğini HMI bilgisayarına taktı — USB üzerindeki zararlı yazılım SCADA ağına yayıldı. Stuxnet 2010'da nükleer tesise bu yolla girdi; aynı vektör bugün fabrikalarda aktif.

Bakım laptopu: Makine bakım teknisyeni kendi laptobuyla PLC'ye bağlandı. Laptupta zararlı yazılım vardı. OT ağı etkilendi.

Eski kullanıcı hesapları: Ayrılan mühendis veya operatörün SCADA erişim bilgileri devre dışı bırakılmadı. Bu hesap sonradan kötüye kullanıldı.

Tedarik Zinciri Saldırıları

Endüstriyel yazılım ve ekipman tedarikçileri üzerinden hedef tesise saldırı giderek yaygınlaşıyor. SolarWinds saldırısı (2020) IT dünyasında bu vektörün etkinliğini kanıtladı; OT sektöründe benzer vakalar artıyor.

Risk: Makine üreticisinin yazılım güncellemesi veya bakım araçları içine yerleştirilen zararlı yazılım.

Koruma: Tedarikçi erişimini minimum ayrıcalıkla yönetin, erişim loglarını izleyin, her erişim sonrası oturumu kapatın.

IEC 62443: Standart Uyum Çerçevesi

IEC 62443, endüstriyel otomasyon ve kontrol sistemi (IACS) güvenliği için uluslararası standarttır. ISO 27001'in OT karşılığıdır ve bugün Türkiye'de savunma, enerji, petrokimya sektörlerinde zorunlu; imalat sektöründe ise giderek yaygınlaşan referans standart haline gelmektedir.

IEC 62443'ün Yapısı

Güvenlik Seviyeleri (Security Levels — SL)

Türkiye'deki çoğu imalat tesisi için SL 2 hedefi anlamlıdır. Bu seviye; ağ segmentasyonu, güçlü kimlik doğrulama, erişim kontrolü, güvenlik izleme ve olay müdahalesi planını kapsar.

IEC 62443'e Göre Zones ve Conduits

Standart, tesis içindeki sistemleri benzer güvenlik gereksinimlerine sahip gruplara (zones) ayırır. Zones arası iletişim conduit (kanal) üzerinden yönetilir ve denetlenir.

Zone 1: Üretim Hattı PLC'leri (kritik, yüksek güvenlik)
Zone 2: SCADA / HMI (kritik, yüksek güvenlik)
Zone 3: MES / Historian (orta güvenlik)
Zone 4: Mühendislik iş istasyonları (orta güvenlik)

Conduit A: Zone 1-2 arası → minimum trafik, sıkı kural
Conduit B: Zone 3-4 arası → log izleme zorunlu

OT Ağ Segmentasyonu: Uygulama Rehberi

Adım 1: Mevcut Ağı Haritalayın

İlk adım, ağda ne olduğunu bilmektir. OT ortamında aktif tarama tehlikelidir — bunun yerine pasif ağ izleme araçları kullanılır:

• Claroty, Nozomi Networks, Dragos: OT'ye özgü pasif monitoring platformları
• Wireshark: Belirli segment üzerinde trafik yakalama ve protokol analizi
• Tenable.ot: OT varlık keşfi

Haritalama çıktısı: IP adresleri, cihaz tipi, firmware versiyonu, ağ bağlantıları, protokol profili.

Adım 2: IT-OT Sınırını Belirleyin

Mevcut ağda IT-OT sınırı nerede? Çoğu eski tesiste bu sınır belirsiz veya fiilen yok.

Tespit: Kurumsal switch'e bağlı OT cihazı var mı? Makinelerin internete doğrudan erişimi var mı? HMI bilgisayarlarında e-posta veya web tarayıcı kullanılıyor mu?

Adım 3: Segmentasyonu Uygulayın

Minimum segmentasyon (başlangıç):

• OT cihazlarını ayrı VLAN'a taşı
• IT-OT geçişine bir firewall yerleştir
• Default deny + izin verilen trafik kuralları tanımla

Hedef mimari (IEC 62443 SL 2):

IT Ağı ← Firewall → DMZ ← Firewall → OT Ağı

DMZ'de: Historian, uzaktan erişim jump server, dosya transferi sunucusu, antivirus güncelleme sunucusu.

Adım 4: Uzaktan Erişimi Güvenli Hale Getirin

Tedarikçi/bakım erişimi için:

• Jump server (bastion host): Tüm uzaktan bağlantılar önce jump server'a gider, oradan OT cihazlarına bağlanır. Jump server'da oturum kaydı tutulur.
• MFA (çok faktörlü kimlik doğrulama): Parola tek başına yeterli değil.
• Zaman kısıtlı erişim: Tedarikçi bakım için 4 saatlik erişim verilir, iş bitince otomatik kapanır.
• Session recording: Tüm tedarikçi oturumları kaydedilir.

Adım 5: Monitoring Kurun

Segmentasyon pasif savunmadır — monitoring aktif savunmadır. OT'de monitoring:

• Firewall logları: IT-OT sınırındaki trafik
• OT network monitoring: anomali tespiti (Purdue katmanları arası beklenmedik trafik)
• Login takibi: Kim, hangi sistemde, hangi saatte oturum açtı?
• PLC/HMI erişim logları

OT Patch Yönetimi: IT'den Çok Farklı

IT'de yamalar neredeyse otomatik uygulanır. OT'de bu imkânsızdır — ve yanlış uygulandığında sistemleri bozar.

OT Yama Uygulama Süreci

1. Üretici onayı alın

Her üretici, kendi ekipmanına hangi yamaların uygulanabileceğini belgeler. Onaysız yama uygulamak garanti geçersizliği riski taşır ve sistemin kararlılığını bozabilir.

2. Test ortamında doğrulayın

Varsa, üretim olmayan bir ortamda yamayı test edin. Çoğu KOBİ bu test ortamına sahip değil — bu durumda üreticinin test raporunu talep edin.

3. Bakım penceresinde uygulayın

Planlı duruş sırasında, hafta sonu veya gece vardiyasında uygulayın. Yama öncesi tam sistem yedeği alın.

4. Geri dönüş planı hazırlayın

Yama sonrası sistem beklenen gibi çalışmıyorsa, yedekten geri dönüş adımları önceden yazılmış ve test edilmiş olmalıdır.

Yama Yapılamayan Sistemler

Türkiye'deki birçok tesiste yama desteği sona ermiş OT sistemleri çalışmaya devam ediyor. Bu sistemler için alternatif kontroller:

OT Güvenlik Değerlendirmesi: Adım Adım

Aşama 1: Varlık Envanteri

Pasif izleme araçlarıyla ağdaki tüm OT cihazlarını tespit edin:

• IP adresi ve hostname
• Cihaz tipi (PLC, HMI, switch, vb.)
• Üretici ve model
• Firmware versiyonu
• Ağ bağlantıları (hangi cihazla iletişim kuruyor?)
• IT ağıyla bağlantı var mı?

Aşama 2: Ağ Topolojisi ve Akış Analizi

• IT-OT sınırını haritalayın
• Firewall kurallarını gözden geçirin
• Gereksiz açık portları tespit edin
• İnternete açık OT cihazlarını tespit edin (Shodan ile kendiniz kontrol edin)
• Uzaktan erişim noktalarını listeleyin

Aşama 3: Güvenlik Açığı Analizi

Passive scan veya üretici danışmanlığıyla:

• Bilinen güvenlik açıkları içeren firmware versiyonları (CVE lookup)
• Varsayılan parolalar değiştirilmiş mi?
• Şifresiz protokol kullanımı (Telnet, FTP, HTTP — bunlar OT'de yaygın)
• Gereksiz servis ve portlar açık mı?

Aşama 4: Prosedürel Gap Analizi

IEC 62443-2 gerekliliklerine karşı:

• USB politikası var mı ve uygulanıyor mu?
• Uzaktan erişim politikası var mı?
• Incident response planı var mı?
• Personel OT güvenlik eğitimi aldı mı?
• Yedekleme planı var mı ve test edildi mi?

Aşama 5: Risk Skorlama ve Yol Haritası

Tespit edilen bulgular risk puanı ile sıralanır:

• Kritik (hemen müdahale): İnternete açık PLC, varsayılan admin parolası
• Yüksek (30 gün içinde): IT-OT segmentasyon eksikliği
• Orta (90 gün içinde): Monitoring altyapısı eksikliği
• Düşük (yıllık plan): Dokümantasyon eksiklikleri

Türkiye İmalat Tesisleri İçin Pratik Yol Haritası

Faz 1: Temel Görünürlük (Maliyet: Düşük, Süre: 2-4 hafta)

Bu adımlar hiçbir özel bütçe gerektirmez ve büyük risk azaltımı sağlar:

1. İnternete açık OT cihazlarını tespit et: Shodan.io'da kendi IP bloğunuzu arayın. Açık görünen OT cihazı varsa hemen kapatın.
2. Varsayılan parolaları değiştirin: PLC, HMI, switch yönetim arayüzleri. Liste: [CISA varsayılan parola rehberi]
3. USB portlarını fiziksel kilitleyin: Kritik HMI ve mühendislik PC'lerinde USB portlarına fiziksel kilit veya port blocker uygulayın.
4. Ayrılan kullanıcıların erişimini kapatın: Son 12 ayda ayrılan çalışanların SCADA/HMI hesaplarını devre dışı bırakın.

Faz 2: Segmentasyon (Maliyet: Orta, Süre: 1-3 ay)

5. IT-OT VLAN ayırımı: OT cihazlarını ayrı VLAN'a alın.
6. Firewall kuralları: IT-OT sınırına Purdue modeline uygun firewall kuralları yazın.
7. Uzaktan erişimi VPN + jump server'a taşıyın: Doğrudan RDP/VNC'yi kapatın.
8. MFA uygulayın: Uzaktan erişim için çok faktörlü kimlik doğrulama.

Faz 3: İzleme ve Uyum (Maliyet: Orta-Yüksek, Süre: 3-6 ay)

9. OT pasif monitoring: Claroty, Nozomi veya benzeri OT-native izleme aracı.
10. Log merkezi: Firewall ve kritik sistem loglarını merkezi toplama.
11. Incident response planı: OT güvenlik olayında ne yapılacağı yazılı ve tatbikat yapılmış.
12. IEC 62443 gap analizi: Tam uyum yol haritası.

İlgili Rehberler

• MES Nedir? — MES'in OT Güvenliği ile İlişkisi
• Endüstriyel AI — OT Ortamında AI Uygulamaları
• Fabrika Dijitalleşmesi: Nereden Başlamalı?

Sözlük: OT Güvenliği · SCADA · PLC · Purdue Modeli · IEC 62443 · DMZ · Air Gap