OT Güvenlik Standartları
OT (Operational Technology) siber güvenlik alanında birden fazla standart ve çerçeve mevcuttur. Hangisini takip etmeli? Bu makalede en önemli standartlar karşılaştırılır ve Türkiye bağlamı değerlendirilir.
Standart vs. Çerçeve Farkı
Standart (Standard): Uygunluğu belgelenebilen, denetlenebilen spesifik teknik gereksinimler. ISO belgesi gibi sertifika alınabilir.
Çerçeve (Framework): Yol gösterici prensipler ve en iyi pratikler. Sertifika yok, ancak kılavuz olarak kullanılır.
| IEC 62443 | NIST CSF | ISA-99 | |
|---|---|---|---|
| Tür | Standart | Çerçeve | Standart (IEC 62443 ile birleşti) |
| Sertifika | Evet | Hayır | IEC 62443 ile |
| Odak | ICS güvenliği | Genel siber güvenlik | ICS güvenliği |
| Zorunluluk | Bazı sektörlerde | Gönüllü | IEC 62443 ile |
IEC 62443: Endüstriyel Siber Güvenlik Standardı
Yapısı
IEC 62443, birden fazla belgeden oluşan bir aile:
- IEC 62443-1.x: Genel (terimler, modeller, metrikler)
- IEC 62443-2.x: Politika ve prosedürler (asset owner için)
- IEC 62443-3.x: Sistem gereksinimleri (integrator için)
- IEC 62443-4.x: Bileşen gereksinimleri (ürün geliştirici için)
En çok kullanılan:
- IEC 62443-2-1: ICS güvenlik yönetim sistemi
- IEC 62443-3-3: Sistem güvenlik gereksinimleri
Zone ve Conduit Modeli
Tesis, mantıksal güvenlik bölgelerine (zone) ayrılır. Her zone, benzer güvenlik gereksinimleri olan cihazları içerir. Zoneler arası iletişim conduit (kanal) üzerinden güvenlik politikasıyla kontrol edilir.
Uygulama adımları:
- Tüm OT varlıkları envantere al
- Güvenlik gereksinimlerine göre zone gruplandır
- Her zone için Security Level (SL) belirle
- Conduit politikaları yaz
- Gap analizi: Mevcut vs. hedef SL
- Aksiyonları uygula
Security Level (SL) Seviyeleri
| SL | Açıklama | Hedef Saldırgan |
|---|---|---|
| SL-1 | Kazara veya tesadüfi tehditler | Düşük beceri, kasıtsız |
| SL-2 | Kasıtlı, düşük kaynaklar | Orta beceri, içeriden veya dışarıdan |
| SL-3 | Sofistike saldırı | İleri teknik, örgütlü |
| SL-4 | Devlet destekli | Çok ileri kaynaklar, uzun vadeli |
Çoğu sanayi tesisi için SL-2 başlangıç hedefi uygun.
Ürün Sertifikasyonu (EDSA/ISASecure)
Otomasyon ürünlerinin (PLC, SCADA) IEC 62443-4.1/4.2 uygunluğu bağımsız laboratuvarlarca belgelenir. Satın alımda sertifikalı ürünleri tercih etmek, teknik borcu azaltır.
NIST Cybersecurity Framework (CSF)
ABD NIST tarafından geliştirilen, sektör agnostik çerçeve. Kritik altyapı sektörleri için rehber olarak hazırlanmış.
5 Temel Fonksiyon
Identify (Tanımla): Varlıklar, riskler, politikalar
- Tüm OT/IT varlık envanteri
- Risk değerlendirmesi
- Uyum gereksinimleri
Protect (Koru): Erişim kontrolü, farkındalık, veri güvenliği
- Kimlik doğrulama ve yetkilendirme
- Ağ segmentasyonu
- Koruyucu teknolojiler
Detect (Tespit et): Anomali ve olay tespiti
- Sürekli izleme
- Tespit süreçleri
Respond (Müdahale et): Olay müdahale planlaması
- Müdahale prosedürleri
- İletişim planı
- Analiz ve azaltma
Recover (Kurtar): Kurtarma planı, iyileştirme
- Kurtarma planlaması
- Geliştirmeler
- İletişim
NIST CSF 2.0 (2024)
Şubat 2024'te yayımlanan 2.0 sürümü Govern (Yönet) fonksiyonunu ekledi:
- Cybersecurity politikası ve stratejisi
- Organizasyonel hesap verebilirlik
- Tedarik zinciri risk yönetimi
NERC CIP (Enerji Sektörü)
Türkiye'nin enerji sektörü için referans olan Kuzey Amerika NERC CIP standartları:
- Kritik varlık tanımı
- Elektronik güvenlik çevresi
- Personel güvenliği
- Sistem güvenlik yönetimi
- Olay raporlama
Türkiye enerji sektöründe EPDK düzenlemeleri NERC CIP prensiplerinden beslenmiştir.
Türkiye'deki Yasal Çerçeve
Kritik Altyapı Koruması
- Bilgi ve İletişim Güvenliği Rehberi (2019): Kamu kurumları ve kritik altyapı operatörleri için. OT güvenliğine özel hükümler içeriyor.
- BTK Siber Güvenlik Düzenlemeleri: Telekomünikasyon ve elektronik haberleşme sektörü.
- EPDK: Enerji sektörü için siber güvenlik yükümlülükleri (gelişmekte).
KVKK ve OT Kesişimi
OT sistemlerinden toplanan veriler çalışan performansı bilgisi içeriyorsa KVKK kapsamına girebilir:
- Kamera kayıtları (görüntü işleme kalite kontrolü)
- Operatör bazlı üretim verileri
- Biyometrik veriler (parmak izi ile hat başı giriş)
AB Uyumu (İhracat Yapan Firmalar)
AB pazarına ihracat yapan Türk üreticiler dolaylı olarak:
- NIS2 Direktifi: AB'deki alıcı firmaların tedarikçi güvenlik gereksinimlerine uyum
- CRA (Cyber Resilience Act): AB'de satılan dijital ürünlere uygulanan güvenlik zorunlulukları (2025+)
Standart Seçimi: Hangi Firmaya Hangisi?
| Firma Profili | Önerilen Başlangıç |
|---|---|
| Küçük üretici, temel güvenlik | NIST CSF — ücretsiz, kapsamlı |
| Enerji sektörü | IEC 62443 + EPDK gereksinimleri |
| AB'ye ihracat yapan | NIS2 uyumu + IEC 62443 referans |
| Büyük sanayi tesisi, sertifika hedefi | IEC 62443 2-1 sertifikasyonu |
| Kritik altyapı operatörü | Devlet rehberleri + IEC 62443 |
Sertifikasyon Yolculuğu
IEC 62443-2-1 sertifikası için tipik süreç:
- Gap analizi (4-8 hafta): Mevcut durum vs. standart gereksinimleri
- Aksiyon planı (2-4 hafta): Önceliklendirme ve kaynak planı
- Uygulama (6-18 ay): Politikalar, prosedürler, teknik kontroller
- İç denetim (4-8 hafta): Hazırlık kontrolü
- Bağımsız denetim (2-4 hafta): Sertifikalandırma kuruluşu
- Sertifika alımı ve 3 yıllık gözetim denetimleri
Maliyet: 500K-3M TL aralığı (tesisin büyüklüğüne ve mevcut olgunluk düzeyine göre).
Özet
OT güvenlikte standart seçmekten daha önemli olan, tutarlı uygulamadır. NIST CSF ile başlayın — ücretsiz, kapsamlı ve sektör agnostik. Sektörünüz veya müşterileriniz IEC 62443 gerektiriyorsa bu yönde ilerleyin. Her ikisi birbirini tamamlar.
Daha fazla bilgi: Fabrikalarda OT Güvenliği | ICS/SCADA Güvenliği