Bu çalışma sadece dokümantasyon mu içerir?
Hayır. 566 kontrol maddesinin teknik ortama karşılık gelmesi, kanıt üretimi ve sorumluluk ataması gereklidir. Biz hem doküman hem teknik kontrol tarafında aktif rol alıyoruz.
EPDK Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Uyum Denetim Çalışması
EPDK Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli kapsamında uyum denetim çalışması, SCADA/EKS güvenliği ve endüstriyel kontrol sistemleri güvenlik danışmanlığı hizmetleri.
EPDK kapsamındaki enerji kuruluşları için yetkinlik modeli, yalnızca bir mevzuat zorunluluğu değil; SCADA, EKS ve OT ortamlarındaki güvenliği ölçülebilir hale getiren kapsamlı bir çerçevedir.
Cato Teknoloji, 566 kontrol maddesini teknik ortamla eşleştiriyor; belge üretiminden EBİS bildirimine, ağ segmentasyonundan olay müdahaleye kadar tam ortaklık anlayışıyla destek veriyor.
Bu hizmet kimler için uygundur?
- EPDK düzenlemelerine tabi elektrik dağıtım, üretim, doğalgaz ve rafineri kuruluşları
- SCADA ve EKS altyapısının güvenliğini operasyonel süreklilikle birlikte yönetmek isteyen ekipler
- EBİS bildirimi ve denetim hazırlığını süre ve kaynak kısıtları içerisinde tamamlamak isteyen kurumlar
Neler teslim ediyoruz?
- Seviye bazlı mevcut durum ve gap analizi
- Kontrol maddelerine göre aksiyon planı ve önceliklendirme
- SCADA/EKS ağ mimarisi ve segmentasyon önerisi
- Politika, prosedür ve EBİS kanıt seti hazırlığı
- Aylık ilerleme raporları ve denetim hazırlığı
EPDK Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Uyum Denetim Çalışması
06/06/2023 tarihinde Enerji Piyasası Düzenleme Kurumu (EPDK) tarafından resmi gazetede yayınlanan "Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği", enerji sektöründeki kuruluşların Endüstriyel Kontrol Sistemlerini (EKS) ve SCADA altyapılarını siber tehditlere karşı korumak için uygulanacak usul ve esasları belirler. Cato Teknoloji olarak bu yönetmelik kapsamında uyum denetim süreçlerini, teknik kontrolleri ve SCADA/EKS güvenlik çözümlerini bütünleşik bir yaklaşımla yönetiyoruz.
Yönetmelik Kapsamındaki Kuruluşlar
Aşağıda belirtilen lisans sahibi tüzel kişiler bu yönetmelik kapsamında yükümlülük taşımaktadır:
- Elektrik Dağıtım lisansı sahibi
- Black-Start özelliğine sahip olup ulusal şebekeye katkı verebilecek üretim lisansı sahibi
- TEİAŞ SCADA/EMS sistemi ile seri tabanlı iletişim yöntemlerini kullanmadan haberleşen elektrik üretim lisansı sahibi
- 100 MWe ve üzerinde olan üretim lisansı sahibi
- Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi
- Rafinerici Lisansı sahibi
13 Ana Kontrol Başlığı ve 566 Kontrol Maddesi
Yönetmelik kapsamında Enerji Kontrol Sistemlerinde (EKS) toplam 566 kontrol maddesi belirlenmiş olup bunlar 13 ana başlık altında toplanmıştır:
- Endüstriyel ağ güvenliği
- Endüstriyel istemci ve sunucu güvenliği
- Endüstriyel tehdit ve zafiyet yönetimi
- Endüstriyel siber güvenlik risk yönetimi
- Endüstriyel varlık, değişim ve konfigürasyon yönetimi
- Endüstriyel kimlik ve erişim yönetimi
- Endüstriyel olay yönetimi ve süreklilik
- Akıllı cihaz güvenliği
- Endüstriyel operasyon güvenliği
- İnsan kaynakları güvenliği
- Fiziksel güvenlik
- Tedarikçi yönetimi
- PLC güvenliği
Seviye Takvimi ve EBİS Yükleme Süreçleri
EPDK, tüzel kişilerin seviye kontrollerini tamamlama ve EBİS bildirimi için yükleme takvimini şu şekilde belirlemiştir:
| Seviye | Açıklama | Hedeflenen Tamamlama Süresi |
|---|---|---|
| Seviye 1 | Giriş seviyesi kontroller; halihazırda uygulandığı ya da kolayca uygulanabileceği değerlendirilen maddeler. | 18 Ay |
| Seviye 2 | Uygulanabilmesi için kurum içi değişikliklerin yapılması gereken kontroller. | 24 Ay |
| Seviye 3 | Yeni projelendirme ya da uzun soluklu değişim gerektiren kontroller. | 30 Ay |
| Ek Kontrol | Zorunlu olmayan, faydalı olabileceği değerlendirilen opsiyonel kontroller. | — |
SCADA ve EKS Teknik Güvenlik Çözümleri
SCADA sistemleri, enerji tesislerinin uzaktan izlenmesi ve kontrolünde kullanılan kritik altyapılardır. Bu sistemlerin siber saldırılara karşı korunması, hem operasyonel süreklilik hem de yönetmelik uyumu açısından hayati önem taşımaktadır. SCADA ortamları, merkezi görünürlük ile saha operasyonlarını birleştirdiği için saldırganlar açısından yüksek değerli hedeflerdir.
Ağ Segmentasyonu
OT ve IT ortamlarını güvenli biçimde ayırarak saha cihazlarına yetkisiz erişimi engelleyen mimari tasarım ve güvenlik duvarı kural seti oluşturuyoruz.
Varlık Envanteri ve İzleme
SCADA ağındaki tüm kritik varlıkları görünür hale getiriyor; anomali tespiti ve güvenlik izleme süreçlerini yapılandırıyoruz.
Kimlik ve Erişim Yönetimi
Saha cihazları ve bakım erişimlerini kontrol altına alarak uzaktan ve yerel erişim güvenliğini kayıt altında tutuyoruz.
Zafiyet ve Yama Yönetimi
EKS ortamlarına özgü protokol ve cihaz kısıtları gözetilerek yama ve güncelleme yönetimini operasyonel sürekliliğe zarar vermeden yürütüyoruz.
Olay Müdahale
ICS/SCADA olaylarına özgü müdahale süreçleri oluşturuyor; teknik ekipleri ve saha operatörlerini olası senaryolara karşı hazırlıyoruz.
EBİS Hazırlığı ve Raporlama
EPDK bildirimi için gerekli kanıt setlerini hazırlıyor; EBİS yükleme süreçlerinde kurumlara uçtan uca destek veriyoruz.
EKS Güvenlik Danışmanlığı Yaklaşımımız
EKS güvenliği, klasik BT güvenliğinden farklı olarak operasyonel süreklilik, insan güvenliği ve saha cihazlarının hassasiyetleriyle birlikte ele alınmalıdır. OT ortamındaki riskleri üretim gerçekliğiyle değerlendiriyor; güvenliği operasyonu durdurmadan olgunlaştıracak yol haritaları üretiyoruz.
- EKS risk ve mimari değerlendirmesi
- Segmentasyon, uzaktan erişim ve hesap yönetimi önerileri
- İzleme, log ve olay müdahale akışlarının tasarlanması
- Saha ekipleri için uygulanabilir iyileştirme planı
- Politika, prosedür ve kayıt seti hazırlığı
- Aylık ilerleme raporları ve EPDK denetimlerine hazırlık
Neden Cato Teknoloji?
EPDK ile olan ilişkinizi bir danışmanlık firması gibi değil, tam anlamıyla bir ortak gibi yönetiyoruz. Yönetmeliğin 566 kontrol maddesini yalnızca belgelemekle kalmıyor; teknik ortama karşılık gelen kanıtların üretilmesini, sorumluluk atamalarını ve seviye takviminin takibini operasyonel disiplinle birlikte yürütüyoruz. Sızma testleri, personel eğitimleri, sistem kurulumları ve periyodik raporlama ile yıl boyunca yanınızda yer alıyoruz.
Hangi senaryolarda devreye giriyoruz?
- EBİS bildirimi ve kanıt yükleme hazırlığının yönetilmesi
- SCADA ağlarında varlık görünürlüğü ve anomali izleme kurulması
- OT/IT ağ segmentasyonu ve uzaktan erişim kontrolü
- Yıllık denetim veya yönetim sunumu öncesi hazırlık
Sonraki adımlar
Projenizi netleştirmek için önce teknik kapsam ve önceliklerinizi belirliyoruz. Ardından iletişim sayfamız üzerinden ekiplerinizle hizalanıp gerekli adımları planlıyoruz. Güncel örnekler ve açıklamalar için blog yazılarımızı de inceleyebilirsiniz.
Sık Sorulan Sorular
SCADA sistemlerimiz için güvenlik çalışmasında üretim kesintisi olur mu?
Hedefimiz kesinti yaratmadan ilerlemektir. Analiz, önceliklendirme ve kontrollü geçiş planıyla üretim gerekliliklerini dikkate alarak çalışıyoruz.
İç teknik ekibimiz yoksa yine de destekleyebilir misiniz?
Evet. İç ekiplerle birlikte çalışabildiğimiz gibi dış kaynak koordinasyonu, teknik yönlendirme ve tedarikçi takibi tarafında da aktif rol alıyoruz.
İlgili hizmetler
Güvenlikte Öncü Hizmetlerimiz
Güçlü Güvenlik
Verilerinizi en üst düzeyde koruyun.
Kişiselleştirilmiş Hizmet
İhtiyaçlarınıza özel çözümler sunuyoruz.
Hızlı Destek
Sorularınıza anında yanıt alın.
Güncel Teknoloji
En son güvenlik teknolojileriyle donatılmış sistemler.
700+
Güvenli Müşteri
1000+
Güvenli Sistem Kurulumu
24/7
Destek
Cato Teknoloji ile Bilgi İşlem ve Siber Güvenlik Planınızı Netleştirin
Bilgi işlem destek hizmetleri, siber güvenlik projeleri ve kritik altyapı ihtiyaçlarınız için ekibimizle doğrudan iletişime geçin.
İletişime Geç →