Enerji Piyasası Düzenleme Kurumu - 06.06.2022
Karar Dilini Çevir:


(4628 S. K. m. 4)

 

RGT: 03.05.2019

RG NO: 30763

Karar No: 8560

Karar Tarihi: 25/04/2019

 

Enerji Piyasası Düzenleme Kurulunun 25/04/2019 tarihli toplantısında; ekteki “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul ve Esasları’nın kabul edilerek Resmi Gazetede yayımlanmak üzere Cumhurbaşkanlığına gönderilmesine,

 

karar verilmiştir.

 

EK

 

ENERJİ SEKTÖRÜNDE KULLANILAN ENDÜSTRİYEL KONTROL SİSTEMLERİ İÇİN GÜVENLİK ANALİZ VE TEST USUL VE ESASLARI

 

BİRİNCİ BÖLÜM: Amaç, Kapsam, Hukuki Dayanak, Tanımlar ve Kısaltmalar

 

Amaç

 

MADDE 1 - (1) Bu usul ve esasların amacı, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinde (EKS) yetkisiz erişim elde edilmesine veya hassas bilgilere ulaşılmasına ve sistem sürekliliğinin aksamasına neden olabilecek güvenlik açıklıklarının sömürülmeden önce tespit edilip giderilmesinin sağlanmasıdır.

 

Kapsam

 

MADDE 2 - (1) Bu usul ve esaslar bunlarla sınırlı olmamak kaydıyla:

 

a) EKS ağının ve mimari yapının incelenmesi analizini,

 

b) EKS yapılarında görevli personele yönelik sosyal mühendislik testlerini,

 

c) EKS ağında zafiyet tarama analizini,

 

ç) EKS ağında zararlı yazılım analizini,

 

d) EKS kablosuz ağ ve bileşenleri testlerini,

 

e) EKS ağında sömürü testlerini,

 

kapsar.

 

(2) Testler üç yılda bir tekrarlanır, işletmeye yeni girecek olan tesisler için işletmenin aktif durama gelmesinden itibaren on sekiz ay içerisinde testler yaptırılır.

 

(3) Teste tabi kuruluş test esnasında envanterinde bulunan EKS bileşenlerine hâkim en az bir uzman personel ve test sürecine refakat edecek bir personel bulundurur.

 

Hukuki dayanak

 

MADDE 3 - (l) Bu usul ve esaslar; 13/07/2017 tarih ve 30123 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğinin 8 inci maddesinin ikinci fıkrasına dayanılarak hazırlanmıştır.

 

Tanımlar ve kısaltmalar

 

MADDE 4 - (1) Bu usul ve esaslarda geçen;

 

a) Aktif tarama: Çoğunlukla otomatize edilmiş araçlarla gerçekleştirilen ve ortamda mevcut cihazlara da gerektiğinde erişim sağlanan taramayı,

 

b) APN: Mobil iletişim altyapısı üzerinde sanal Özel ağ kurulmasını sağlayan teknolojiyi,

 

c) Bilmesi gereken prensibi: Herhangi bir konu veya işi, ancak görev ve sorumlulukları gereği öğrenmekle, incelemekle, gereğini yerine getirmekle ve korumakla sorumlu bulunanların yetkisi düzeyinde bilgi sahibi olması ve nüfuz etmesini,

 

ç) DKS: EKS'lerin "dağıtık kontrol sistemi” bileşenini.

 

d) EKS: Endüstriyel Kontrol Sistemlerini,

 

e) Gömülü Sistem: Bir bilgisayardan farklı olarak, kendisi için önceden özel olarak tanımlanmış görevleri verine getirmek üzere tasarlanmış, çekirdeği belirli bir sayıda görevi yerine getirmek için programlanan nıikroişlemcilerden ya da mikro denetleyicilerden oluşan, üzerinde güncellenebilir yazılımların koştuğu RTU, PLC, MTU gibi sistemleri.

 

f) Güvenlik duvarı: EKS'lerin bulunduğu ağı korumaya yönelik konumlandırılan ve erişim kontrolü yapmak için kullanılan bileşeni,

 

g) HMI: EKS'lerin “insan-makine arayüzü” bileşenini,

 

ğ) IDS: EKS'lerin bulunduğu ağı korumaya yönelik konumlandırılan “saldırı tespit sistemi" bileşenini,

 

h) IED: Bir veya birden fazla işlemciye sahip, harici bir kaynaktan veri alma veya gönderme özelliğine sahip akıllı elektronik cihazları,

 

ı) IP: Internet Protokolünü,

 

i) IPS: EKS'lerin bulunduğu ağı korumaya yönelik konumlandırılan “saldın önleme sistemi”

bileşenini,

 

j) İlgili mevzuat: Enerji piyasasına ilişkin kanun, yönetmelik, tebliğ, genelge ve Kurul kararlarını,

 

k) KBS: Kurumsal Bilişim Sistemlerini,

 

1) Kurul: Enerji Piyasası Düzenleme Kurulunu,

 

m) Kuruluş: 13/07/2017 tarihli ve 30123 sayılı Resmi Gazetede yayımlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bitişim Güvenliği Yönetmeliğinin 6 ncı maddesinin birinci fıkrasında belirtilen lisans sahipleri tüzel kişileri,

 

n) Kurum: Enerji Piyasası Düzenleme Kurumunu,

 

o) MTU: EKS'lerin “ana telemetri birimi” bileşenini,

 

ö) OSI: Açık sistemler bağlantısını,

 

p) OSINT: Açık kaynak istihbaratını,

 

r) Pasif tarama; Cihazlara erişim sağlanmadan sadece ağ trafiğinin analizi ile yapılan taramayı,

 

s) PLC: EKS'lerin “programlanabilir mantık denetleyici” bileşenini,

 

ş) PERA: Purdue Kurumsal Referans Mimarisini,

 

t) RF: Radyo frekansı,

 

u) RTU: EKS’lerin “uzak terminal birimi” bileşenini,

 

ü) SCADA: EKS'lerin “merkezi denetim ve veri toplama” bileşenini,

 

v) Sömürü Testi: Bir uygulamada veya sistemdeki bir güvenlik açığından yararlanarak hedef

sistem veya uygulama üzerinde yetki elde etme işlemini.

 

y) Zafiyet tarama: Ağ altyapılarındaki güvenlik açıklarının belirlenmesi ve sınıflandırılması

işlemini,

 

ifade eder.

 

(2) Bu usul ve esaslarda geçen ve birinci fıkrada yer almayan tanım ve kısaltmalar için ilgili mevzuatta geçen tanım ve kısaltmalar geçerlidir.

 

İKİNCİ BÖLÜM: Güvenlik Analiz ve Test Metodolojisi

 

EKS Ağının ve Mimari Yapının İncelenmesi Analizi

 

MADDE 5 - (1) Bu analizde EKS'nin bulunduğu mevcut ağ yapısı incelenerek güvenlik pratikleri açısından değerlendirilmesi sağlanır. Bu amaçla, incelenen yapıların mantıksal topolojisi, uzak saha bağlantılarını da içerecek şekilde analizi gerçekleştiren kişi tarafından oluşturulur. Eğer kuruluş tarafından bir topoloji bilgisi sağlanır ise, bunun güncel olup olmadığı ve mevcut durumu yansıtıp yansıtmadığı doğrulanır. Yapılan analiz ile EKS'yi oluşturan IP'ye sahip MTU, RTU, HMI, SCADA/DKS sunucu, yönlendirici, anahtar gibi bileşenlerin ağ üzerindeki konumları belirlenir. Analiz sonucunda, ilgili bileşenlerin topolojideki konumlarına istinaden EKS’îeri etkileyebilecek, erişilebilirlik, bütünlük ve gizlilik açılarından tehdit unsuru oluşturan riskler bulgu olarak ortaya konulur.

 

a) Kapsam ve Uygulama; (1) EKS ağının ve mimari yapının incelenmesi aşağıdaki başlıkların detaylı analizini ve raporlamasını içermektedir;

 

a) Topoloji analizi,

 

b) Konfigürasyon analizi,

 

c) EKS sınır güvenliği analizi,

 

ç) Erişim analizi,

 

d) Diğer analizler;

 

1) Yetkili hesap yönetimi.

 

2) Kurum altyapısındaki varlıkların konumlandırılması,

 

3) İnternete erişebilen varlıklar,

 

4) İnternetten erişilebilen varlıklar.

 

5) SSL kullanımı,

 

6) İş sürekliliği analizi,

 

b) Kullanılacak Yöntem: (1) EKS ağının ve mimari yapının incelenmesi çalışmaları, bu altyapıya hâkim kuruluş personeli ile soru-cevap şeklinde ve altyapıda OSI 3. katmanda çalışmakta olan ağ ve güvenlik cihazlarının yapılandırmalarını ve erişim politikalarını inceleyerek gerçekleştirilir. Bu kapsamda yapılması öngörülen analizlerin detayları konu başlıklarına göre aşağıdaki gibidir;

 

(2) Topoloji Analizi; Topoloji analizi çalışması sırasında EKS altyapısında çalışmakta olan ve IP adresine sahip sunucu, ağ bileşenleri, güvenlik bileşenleri ve MTU, RTU, HMI, PLC gibi saha ekipmanları soru-cevap ya da saha incelemesi ile belirlenir. Belirlenen ağ cihazlarından OSI 3. katmanda çalışmakta olanların yapılandırmalarını incelemek için, ara yüz bağlantısı sağlanır ve yapılandırma çıktısı temin edilir. Elde edilen verilerle mevcut altyapının topoloji çizimi sağlanır. Mevcut topolojiye göre EKS altyapısı için yüksek erişilebilirlik olmaması durumu, IDP/IPS bulunmaması gibi riskli konular bulgu olarak raporlanır.

 

(3) Konfigürasyon Analizi; Konfigürasyon analizi çalışması sırasında kritik öneme sahip omurga anahtarı, güvenlik duvarı, IDS/IPS gibi ağ ve güvenlik cihazlarının yapılandırmaları incelenerek bu sistemlerin yedekliliği, güvenlik duvarının SSL denetimi yapması ve segmentasyon gibi konular değerlendirilir. Mevcut altyapıda rutin işleyişin aksamasına sebebiyet verebilecek yedeklilik yapılandırmasının eksik/yanlış olması, ağdaki diğer sistemlere sıçrama riskini minimize edecek segmentasyon yapılandırmasının olup olmaması gibi riskli konular bulgu olarak ortaya konur.

 

(4) EKS Sınır Güvenliği Analizi: Bu analiz ile EKS altyapısını tehdit eden unsurların EKS altyapısına etki etmeden önce engellenebilmesi adına alınan;

 

a) İş ihtiyacı olan güvensiz servislerin güvenli olan alternatifleri ile değiştirilmesi,

 

b) EKS ağında, internete hizmet veren sistemlerin bulundurulmaması.

 

c) EKS ve KBS ağlarında IDS/IPS sistemlerinin mevcudiyeti,

 

ç) 802.1x ile bağlantı kontrolü yapılması,

 

konuları denetlenir ve riskli konular bulgu olarak raporlanır.

 

(5) Erişim Analizi: Erişim analizi çalışması sonucu KBS ve EKS ağları arasındaki erişimlerin durumu ortaya konur. Bu çalışma esnasında;

 

a) EKS ağında kamu ve hizmet sağlayıcıların erişimleri gibi zorunlu olarak sağlanması gereken bağlantıların uygun şekilde yapılandırılmış olması.

 

b) EKS ağı ile kuruluşta çalışan kullanıcıların e-posta alma-gönderme, kurumsal sistemlere erişim, dosya sunucusuna erişim, İnternet erişimi gibi kurumsal işlemlerini gerçekleştirdikleri bilgisayarların/tabletlerin/telefonların bulunduğu ağ arasında kontrol edilen ve tanımlanmış izleme gibi erişimlerin haricinde bir erişimin olmaması,

 

c) Mevcut erişim izinlerinin bilmesi gereken prensibine uygunluğu,

 

gibi konular denetlenir.

 

(6) Diğer Analizler:

 

a) Yetkili Hesap Yönetimi: Yetkili hesap yönetimi konusunda gerçekleştirilen analiz çalışması ile EKS'de kullanılmakta olan hesapların yetkilendirmesinin nasıl yapıldığı, parola yönetimi ve bilmesi gereken prensibinin uygulanıp uygulanmadığının denetimi gerçekleştirilir.

 

b) Kuruluş Altyapısındaki Varlıkların Konumlandırılması: Kuruluş altyapısındaki varlıkların konumlandırılması incelenirken PERA, NIST SP800-82r2 ve SANS Secure Architecture for Industrial Control Systems dokümanlarında belirtilen en iyi uygulama örneklerine uygun ve/veya IEC-62443 standartlarına uyumlu ağ segmentasyonu yapılıp yapılmadığı denetlenir.

 

c) İnternete Erişebilen Varlıklar: EKS altyapısında internete erişebilen varlıkların bulunup bulunmadığı incelenir. Varsa gerekliliklerinin sorgulanması ile birlikte İnternete erişimlerin hangi izinlerle gerçekleştiği ortaya konur.

 

ç) İnternetten Erişilebilen Varlıklar: EKS altyapısında İnternetten erişilebilen varlıkların bulunup bulunmadığı incelenir. Varsa gerekliliklerinin sorgulanması ile birlikte ne amaçla ve hangi izinlerle erişildiği belirlenir.

 

d) SSL Kullanımı: EKS altyapısında kullanıcı arayüzlerinin şifre ile korunup korunmadığı ve bunların SSL üzerinden hizmet verip vermediği belirlenir.

 

e) İş Sürekliliği Analizi: İş sürekliliği analiz çalışmasıyla kuruluşun mevcut EKS altyapısındaki bileşenlerden herhangi birinde sorun yaşanması durumunda rutin işleyişin aksamamasını sağlayacak önlemlerin alınıp alınmadığı belirlenir. Güvenlik ve ağ cihazlarında problem olması durumunda fiziksel bir yedeğinin olup olmadığı ve yapılandırma yedeklerinin düzenli olarak alınıp alınmadığı kontrol edilir.

 

e) Kullanılacak Araçlar: (1) Bu analiz çalışması kapsamında, bir kontrol listesi üzerinden hareket edilmesi önerilir. Bu liste yukarıdaki analiz yöntemlerinin gereksinimlerini kapsayacak şekilde hazırlanmalı ve herhangi bir isterin gözden kaçmasını önlemek için takip edilmelidir. Bunun yanında, ağ ve güvenlik cihazları üzerinde konfigürasyon incelemeleri, temin edilecek IP bazlı envanter listesi, ağ topolojisi, ilgililere sorulacak somların bulunduğu soru listeleri ve güvenlik duvarı analiz yazılımı gibi otomatik analiz araçları kullanılabilir.

 

EKS Yapılarında Görevli Personele Yönelik Sosyal Mühendislik Testleri

 

MADDE 6 - (1) Sosyal mühendislik testleri ile, EKS ağına erişim yetkisi olan personelin güvenlik davranışları ve farkındalık seviyeleri analiz edilir.

 

a) Kapsam ve Uygulama: (1) EKS yapılarında görev yapan personele yönelik yapılacak olan sosyal mühendislik testi siyah kutu veya beyaz kutu olarak uygulanabilir. Uygulanacak yönteme göre test kapsamı belirlenir. Kuruluş tarafından siyah kutu testi istenildiği takdirde, testi gerçekleştirecek ekip kuruluş personeline ait bilgileri pasif tarama yöntemleriyle araştırıp kuruluşun bilgisi dâhilinde kapsamı belirler. Beyaz kutu olması halinde test kapsamı kuruluş tarafından belirlenip testi gerçekleştirecek ekibe verilir.

 

b) Kullanılacak Yöntem: (1) Siyah Kutu: Siyah kutu yöntemiyle gerçekleştirilecek olan sosyal mühendislik testinde, testi gerçekleştirecek kişi kurumdan daha önceden kapsam bilgisi almadan OSINT (Açık Kaynak İstihbaratı) araçları ile kuruluşa özel saldın vektörlerini geliştirmek amacıyla e-posta adreslerini, telefon numaralarını ve fiziksel güvenlik kontrolleri ile ilgili bilgileri toplar. Bu bilgilerin kullanım ve uygulanacak senaryolar kuruluş yetkilisinin onayına sunulur.

 

(2) Beyaz Kutu: Beyaz kutu yöntemiyle gerçekleştirilecek sosyal mühendislik testinde kuruluş tarafından, testi gerçekleştirecek kişiye, kapsam dâhilindeki personelin telefon numaraları, e-posta adresleri ve fiziksel lokasyon bilgileri verilir. Bu bilgilerin kullanımı ve uygulanacak senaryolar kuruluş yetkilisinin onayına sunulur.

 

c) Kullanılacak Araçlar: (1) EKS’lere yönelik gerçekleştirilecek sosyal mühendislik testlerinde OSINT araçları kullanılarak kuruluş ve kuruluş personeline ait bilgiler toplanır. Toplanan bilgiler sosyal mühendislik testi gerçekleştirmek amacıyla kullanılır,

 

(2) Toplanan bilgiler doğrultusunda kuruluş personelinin farkındalık seviyesini tespit etmeye yönelik oltalama testi gerçekleştirilir. Bu test gerçekleştirilirken, zararlı eklenti barındıran e- posta veya sahte web sitelerine yapılan yönlendirmelerle hassas kuruluş bilgileri veya operasyonel bilgilerin toplanması gibi farklı yöntemler kullanılabilir. Testler kapsamında, 7/4/2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu"na aykırı olarak değerlendirilebilecek kişisel verilerin alınmaması uygun olacaktır.

 

(3) Kuruluş personeline yönelik sesle oltalama testinde hassas personel bilgileri ele geçirilmeye çalışılır. Test, telefon numaralarını taklit ederek veya farklı bir kimlik bilgisiyle aranarak gerçekleştirilebilir. Test kapsamında VoIP, cep telefonu veya dâhili hatlar gibi farklı erişim kanalları kullanılabilir.

 

(4) Fiziksel güvenlik değerlendirmesinde, kuruluşların fiziksel güvenlik kontrolleri çeşitli atlatma teknikleri kullanılarak yerinde denetlenir ve kuruluşun iyileştirme yapması gereken alanlar belirlenir. Fiziksel güvenlik testinde;

 

a) Video gözetim.

 

b) İzole alanlara erişim,

 

C) Güvenlik görevlilerinin kuruluşun inisiyatifinde olacak şekilde atlatılması/kandırılması, test edilebilir.

 

(5) Test edilecek şirket politikaları asgari olarak:

 

a) Yabancılara/misafirlere yönelik uygulamalar,

 

b) Kilit, şifre ve biyometrik sistemler gibi geçiş kontrollerinin etkinliği,

 

c) Çöpe atılan kritik bilgilerin elde edilmesi,

 

ç) Taşınabilir donanımların kullanımına yönelik çalışanların farkındalığı,

 

konularından oluşur.

 

EKS Ağında Zafiyet Tarama Analizi

 

MADDE 7 - (1) Kuruluşun EKS ağındaki bileşenlere yönelik zafiyet taramasının pasif tarama yöntemleriyle gerçekleştirilmesi esastır. Teknik olarak pasif tarama yapılamaması durumunda ise bu maddede belirtilen uygun aktif tarama yöntemlerinden biri kullanılabilir. Yapılan tarama sonrasında keşfedilen zafiyetlerin doğrulaması ve bu zafiyetlerin sömürülmesi sonucu oluşabilecek etkilerin değerlendirilmesi yapılır. Tespit edilen zafiyetler aynı zamanda sömürü testlerinde saldırı yöntemlerinin belirlenmesi için kullanılabilir.

 

(2) Kuruluşta aktif zafiyet tarama;

 

a) Duruş yapılabilen EKS'lerde duruş esnasında.

 

b) Parçalı duruş yapılabilen EKS’lerde sadece duruş yapılan EKS’ler üzerinde,

 

c) Duruş yapılamayan EKS'lerde, enerji talebinin düşük olduğu dönemlerde EKS'leri en az etkileyecek şekilde,

 

ç) Yukarıdaki seçenekler değerlendirilemiyor ise, testin neden olabileceği riskler detaylı olarak analiz edildikten sonra uygun görülen bir ortamda,

 

yapılabilir.

 

a) Kapsam ve Uygulama: (1) Test yaptıracak kuruluşların, EKS’de kullanılan tüm bileşenlerin aynı yazılım sürümleri ve yapılandırma ayarlarıyla birlikte var olacağı bir test yatağı hazırlaması canlı ortamda mevcut olan zafiyetlerin belirlenmesi açısından fayda sağlayacaktır. Test yatağının canlı ortam ile uyumluluğu testi gerçekleştirecek uzman tarafından doğrulanacaktır.

 

(2) Kuruluşun belirtilen koşullarda test yatağı bulunuyorsa bu ortamda aktif zafiyet tarama yöntemiyle gerçekleştirilir. Aksi durumda zafiyet taraması canlı ortamda pasif tarama yöntemiyle gerçekleştirilir. EKS bileşenleri arasında seri haberleşme teknolojileri mevcut ise ve EKS ağı içerisinde seri haberleşme ortamından TCP/IP haberleşme ortamına geçişi sağlayan dönüştürücü varsa bu sistem üzerinden güvenlik testi gerçekleştirilebilir.

 

b) Kullanılacak Yöntem: (1) EKS üzerinde zafiyet taraması sırasında dikkat edilmesi gereken hususlar aşağıdaki gibidir;

 

a) Taranan cihazın işlevinin bozulmayacağından veya bu cihazın kaybının rutin işleyişi etkilemeyeceğinden emin olunmalıdır.

 

b) Herhangi bir olumsuzluk durumunda teste tabi bileşenin, hızlı bir şekilde eski haline geri döndürülmesi için gerekli hazırlıklar ve planlar yapılmış olmalıdır. Söz konusu durumlar için acil durum eylem planının hazırlanmamış olması mevcut bir zafiyet olarak değerlendirilmelidir.

 

c) Taranacak sistem yedekli değil ise, yapılacak olan zafiyet tarama işlemi risk teşkil etmeyecek şekilde sınırlandırılmalıdır.

 

c) Kullanılacak Araçlar: (I) Zafiyet taramasında kullanılacak araç, içerisinde endüstriyel protokollerin ve uygulamaların. EKS ağında bulunan işletim sistemlerinin zafiyetlerini tespit edebilecek özellikler barındırır.

 

(2) Zafiyet tarama aracı ile bütün bir IP bloğu taraması yapılmaksızın taraması yapılacak olan cihazların IP adresleri tekil olarak tanımlanır ve uygun parametre ile taranır. Parametrelerin seçimi iki farklı yaklaşımla gerçekleştirilir:

 

a) Açık portların belirlenmesi için port taraması gerçekleştirilir. Tespit edilen bulgulara göre uygun tarama yöntemi ile teste devam edilir. Port taraması yapılırken sisteme zarar vermeyecek parametreler seçilir.

 

b) Sunucu hakkında kuruluş tarafından verilecek bilgiye göre uygun parametrelerle teste devam edilir.

 

(3) Servis dışı bırakma ve kaba kuvvet gibi tehlikeli sayılabilecek yöntemler kullanılmamalıdır.

 

EKS Ağında Zararlı Yazılım Analizi

 

MADDE 8 - (1) Zararlı yazılım analizi ile EKS ağında oluşan trafik analiz edilerek zararlı yazılım kaynaklı herhangi bir iletişimin mevcut bulunup bulunmadığı tespit edilir. Bu tür bir iletişimin tespiti durumunda, anormal trafiğin kaynağı ve EKS bileşenlerine etkisi incelenir.

 

a) Kapsam ve Uygulama: (1) Bu analiz EKS ağı trafiğinin aynalanabildiği sistemler üzerinde uygulanır. EKS ağı trafiğinin aynalanamadığı ortamlarda işletim sistemi seviyesinde zararlı yazılım tespiti yapılabilir.

 

b) Kullanılacak Yöntem: (1) EKS ağı trafiği üzerinde zararlı yazılımın tespit edilebilmesi için yapılacak analiz, EKS ağında mevcut yönlendirici veya anahtarlar üzerinden port aynalaması yapılarak gerçekleştirilir. Port aynalama için elverişli olmayan ortamlarda işletim sistemi seviyesinde, taşınabilir bellek üzerinden kurulum yapmaksızın çalıştırılabilen zararlı yazılım tespit araçları ile zararlı yazılımlar tespit edilebilir. Gerekli görüldüğü durumlarda zararlı yazılım analizi teknikleri ile zararlı olarak tespit edilen içeriğin EKS bileşenlerine olan etkileri incelenir.

 

(2) Zararlı yazılım analizi kapsamında imzası henüz bilinmeyen yeni zararlılar veya kurumları hedef alarak hazırlanmış olan gelişmiş kalıcı tehdit saldırılarının da tespit edilip engellenmesi hedeflenir.

 

c) Kullanılacak Araçlar: (1) Zararlı yazılım analizinin gerçekleştirilmesi için, EKS bileşenlerini ve protokollerini destekleyen zararlı yazılım tespit ve analiz araçlarının kullanılması tercih sebebidir. Bu araçların kullanımı, test yapılacak ortamın kullanılacak yöntemlerde belirtildiği üzere zararlı yazılım tespiti için elverişli olup olmamasına göre belirlenir. Elverişli olan ortamlarda port aynalama yöntemiyle ağ trafiğinin kopyasını alarak ağ trafiği üzerinde zararlı yazılım tespit ve analizi yapan araçlar kullanılabilir. Elverişli olmayan ortamlarda taşınabilir bellek üzerinden kurulum yapmaksızın çalıştırılabilen zararlı yazılım tespit araçları kullanılabilir.

 

EKS Kablosuz Ağ ve Bileşenleri Testleri

 

MADDE 9 - (i) Kablosuz EKS ağları ve kablosuz ağ bileşenleri ile bu ağlar üzerinden haberleşen uygulamaların güvenliği analiz edilir.

 

a) Kapsam ve Uygulama: (1) Kablosuz ağ testlerinin amacı, kablosuz ağa yetkisiz erişim imkanı olup olmadığının ve ağdaki trafik üzerinde manipülasyon yapılıp yapılamayacağının

değerlendirilmesidir. EKS bileşenlerinin bağlı olabileceği kablosuz ağların şifreleme ve anahtar güvenliği, APN yapısı kullanılıyorsa bu sistemlerin güvenlik seviyeleri ve sahte erişim noktaları açılarak kullanıcıların veya operatörlerin tepkileri ölçülür. Bu kapsamda aşağıdaki testler yapılır:

 

a) 802.11x, 802.15.1 ve 802.15.4 güvenlik testleri,

b) Mobil ağ iletişiminin güvenlik testleri,

c) APN güvenlik testleri.

ç) RF (Radyo Frekans) iletişiminin güvenlik testleri.

b) Kullanılacak Yöntem: (1) Kablosuz ağ keşif çalışmalarının amacı, kuruluş yerleşkesinde bilinen veya bilinmeyen kablosuz ağ erişim noktalarının tespit edilmesidir. Bu kapsamda aşağıdaki özellikler belirlenmeye çalışılır:

 

a) 802.11 x güvenlik testleri kapsamında:

 

1) Kullanıcı denetimleri,

 

2) Çevresel tehdit analizleri,

 

3) Yetkilendirme saldırılan,

 

4) Erişim noktası hizmeti veren cihazların denetlenmesi.

 

5) Kablosuz ağ güvenlik çözümlerinin denetlenmesi.

 

b) 802.15.1 ve 802.15.4 güvenlik testleri kapsamında:

 

1) İlgili cihazın bileşenlerinin tespit edilmesi,

 

2) İlgili cihaz hakkında yetkili ve yetkisiz bir şekilde toplanabilecek bilgilerin kontrol edilmesi,

 

3) İlgili cihazın kullandığı yetkilendirme tipinin test edilmesi,

 

4) İlgili cihazın kullandığı şifreleme yönteminin test edilmesi.

 

c) Mobil ağ iletişiminin güvenlik testleri kapsamında:

 

1) İlgili cihazın bileşenlerinin tespit edilmesi,

 

2) İlgili cihaz hakkında yetkili ve yetkisiz bir şekilde toplanabilecek bilgilerin kontrol edilmesi,

 

3) İlgili cihazın mobil ağ iletişimini sağlamak amacı ile kullandığı SIM kartın test edilmesi,

 

4) İlgili cihazın mobil ağ iletişiminin yayın bozma saldırılarına karşı tepkilerinin ölçülmesi,

 

5) İlgili cihazın mobil ağ araya girme saldırılarına karşı tepkilerinin ölçülmesi ve elde edilebilecek bilgilerin incelenmesi,

 

ç) APN güvenlik testleri kapsamında:

 

1) Kuruluşun vereceği izinler doğrultusunda APN bulutuna dâhil edilmesi,

 

2) APN bulutuna bağlı cihazların tespit edilmesi,

 

3) APN bulutundaki cihazların haberleşme protokollerinin tespit edilmesi ve zafiyetlerinin raporlanması.

 

d) RF iletişimin güvenlik testleri kapsamında:

 

1) İlgili cihazın bileşenlerinin tespit edilmesi.

 

2) İlgili cihaz hakkında yetkili ve yetkisiz bir şekilde toplanabilecek bilgilerin kontrol edilmesi,

 

3) İlgili cihazın RF iletişiminin tekrarlanabilirliğinin test edilmesi.

 

4) İlgili cihazın RF iletişiminin yayın bozma saldırılarına karşı tepkilerinin ölçülmesi,

 

5) İlgili cihazın RF araya girme saldırılarına karşı tepkilerinin ölçülmesi ve elde edilebilecek bilgilerin incelenmesi.

 

c) Kullanılacak Araçlar: (1) EKS kablosuz ağ ve bileşenleri testlerinde, güvenlik ortamında sahte kablosuz yerel ağlar tespit etmek için saldın tespit ve önleme sensörleri, tarayıcılar gibi araçlar kullanılır. Kablosuz yerel ağları tespit etmek için kablosuz ağ kartları ve test araçları bulunan bir veya daha fazla taşınabilir bilgisayar kullanılabilir.

 

EKS Ağında Sömürü Testleri

 

MADDE 10 - (1) Analiz ve test çalışmasının son adımıdır. Sömürü testlerinin uygulanması için kuruluşun onayı ve uygun şartları sağlaması, testlere dair ön şartların belirlenerek kuruluş tarafından testi yapan firmaya yazılı olarak sunulması gerekmektedir,

 

(2) Bu testler 3 alt aşamadan oluşur:

 

a) EKS Ağında Koşan Bilinen İşletim Sistemlerine Sömürü Testleri

 

1) Kullanılacak Yöntem: (1) EKS’nin yönetimi amacıyla kullanılan sunuculardaki işletim sistemlerinin sömürü testlerinin canlı ortamda gerçekleştirilmesi önerilmez. Tespit edilen zafiyetlerin sömürü testi, yükümlü kuruluşun sağlayacağı test yatağında veya canlı ortamı etkilemeyeceği bir sistem üzerinde gerçekleştirilir.

 

2) Kullanılacak Araçlar: (1) İşletim sistemlerinin sömürü testlerini gerçekleştirecek araçlar KBS'lerde sömürü testleri için kullanılan zafiyet sömürü araçları ile aynıdır. Kullanılan işletim sistemleri üzerinde tespit edilen zafiyetler ticari veya açık kaynak kodlu ilgili araçlarla test edilir.

 

b) EKS Ağında Koşan Bilinen Uygulamalara Sömürü Testleri

 

1) Kullanılacak Yöntem: (1) Kuruluş tarafından kapsama dahil edilen veya test sırasında tespit edilen uygulamalar statik ve dinamik olarak test edilir. İlgili uygulamalara, İnternet ortamından veya KBS ağından testin gerçekleştirilmesi gerekir. Yapılan sömürü testi sonucunda zafiyet barındıran uygulamalara erişim ve yetki kontrolü sağlanır. Canlı ortamda yapılan sömürü testi, ilgili uygulamada bazı değişikliklere sebebiyet verebileceğinden risk teşkil etmekte olup, söz konusu testin test yatağı üzerinde gerçekleştirilmesi tavsiye edilir.

 

2) Kullanılacak Araçlar: (1) EKS veya gerektiğinde KBS uygulamalarına özel geliştirilmiş zafiyet sömürü araçları kullanılabilir.

 

c) EKS Ağında Çalışan Gömülü Sistemlere Yönelik Sömürü Testleri

 

1) Kullanılacak Yöntem: (1) EKS ağı üzerinde ilk katmanda yer alan PLC RTU, IED gibi bileşenlere yönelik daha önce tespit edilen zafiyetlerin sömürü testleri gerçekleştirilir. Bu aşamada birkaç farklı yöntem kullanılabilir. Söz konusu test, EKS ağı içerisindeki tüm bileşenlerin işletim sistemi, yazılım ve donanım sürümlerinin aynı olması koşulu ile sağlanacak test yatağında gerçekleştirilebilir. Test yatağı olmaması durumunda yapılacak testler bu usul ve esasların 7 nci maddesinin ikinci fıkrasında belirtilen koşullar göz önüne alınarak gerçekleştirilir.

 

2) Kullanılacak Araçlar: (1) Testin bu aşamasında KBS ve EKS için geliştirilmiş zafiyet sömürü testi araçları veya otomatize olmayan teknikler kullanılacaktır. Söz konusu sömürü testi ticari veya açık kaynak kodlu ilgili araçlarla gerçekleştirilebilir.

 

Güvenlik Analiz ve Test Sonuçlarının Takibi

 

MADDE 11 - (1) Kuruluşlar güvenlik analiz ve testleri sonucu tespit edilen bulguları, bulguların önem derecelerini, birlikte oluşturabilecekleri riskleri ve bunların yer aldığı rapordaki önerileri dikkate alarak, kendi yönetim kurullarınca onaylanan ve bu bulguların en kısa sürede giderilmesini amaçlayan bir aksiyon planını uygular. Güvenlik analizi ve testi sonuçlarının yer aldığı rapor, tamamlanmasının ardından talep edildiği takdirde Kuruma sunulmak üzere saklanır.

 

(2) Bulgu önem dereceleri beş kategoride ele alınır. Acil, kritik, yüksek, orta ve düşük şeklinde olan kategorilere ilişkin açıklamalar aşağıda yer almaktadır:

 

Bulgu Önem Açıklama

Derecesi

 

Acil Niteliksiz saldırgan tarafından kuruluşun dış ağından gerçekleştirilen

ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır.

 

Kritik Nitelikli saldırgan tarafından kuruluşun dış ağından gerçekleştirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır.

 

Yüksek Kuruluşun dış ağından gerçekleştirilen ve kısıtlı hak yükseltilmesi veya hizmet dışı kalma ile sonuçlanan, ayrıca yerel ağdan ya da sunucu üzerinden gerçekleştirilen ve hak yükseltmeyi sağlayan saldırılara sebep olan açıklıklardır.

 

Orta Yerel ağdan veya sunucu üzerinden gerçekleştirilen ve hizmet dışı

bırakılma ile sonuçlanan saldırılara sebep olan açıklıklardır.

 

Düşük Etkilerinin tam olarak belirlenemediği ve literatürdeki en iyi

sıkılaştırma yöntemlerinin izlenmemesinden kaynaklanan

eksikliklerdir.

 

(3) Kapsam bölümünde belirtilen başlıkların her biri altında raporlanacak bulguların sunuş biçimi aşağıda belirtilmektedir:

 

Bulgu Referans No Rapordaki her bulguyu tekil olarak niteleyen harf/rakam dizisi

Bulgu Adı Bulguyu özet olarak ifade eden tanımlayıcı isim

Önem Derecesi Bulgunun, aynı maddenin ikinci fıkrasında yer verilen önem derecesi

Etkisi Bulguda yer verilen açıklığın/eksikliğin kötüye kullanılması

durumunda oluşabilecek potansiyel sonuç

Kullanılan Yöntem Bulguya erişimde kullanılan yöntem

Araçlar Bulguya erişirken kullanılan araçlar

Kullanıcı Profili Bulguya hangi kullanıcı profili ile erişildiği bilgisi

Erişim Noktası İnternet, intranet veya spesifik bir ağ segmenti

Bulgunun Tespit

Edildiği

Bileşen(ler) Bulgunun tespit edildiği bileşeni niteleyen IP adresi, URL, sistem, servis, sunucu veya varlık adı gibi bilgiler

Bulgu Açıklaması Bulgunun detaylı açıklaması

Çözüm Önerisi Bulgunun giderilmesi için testi gerçekleştiren firma tarafından

yapılacak çözüm önerisi

 

Güvenlik Analiz ve Testlerini Yapacak Kişilerde Aranacak Özellikler

 

MADDE 12 - (1) Güvenlik analiz ve testlerini yapacak kişide aranacak özellikler aşağıda belirtilmiştir:

 

a) EKS mimarisi, çalışma prensipleri ve iletişim protokolleri ile ilgili üretici veya üreticilerin yetkilendirdiği firmalardan, eğitim içeriği ve katılım belgesi ibraz edilecek şekilde, eğitim almış olmak,

 

b) Ağ güvenliği konusunda uluslararası kabul görmüş kuruluşlardan alınmış Comptia Security+, GSEC, CND, SSCP gibi sertifikalardan en az birine sahip olmak,

 

c) CEH, OSCP, en az Sertifikalı Sızma Testi Uzmanı seviyesinde olmak üzere TSE Ağ ve Sistem Altyapısı Sızma Testi Uzmanı, GPEN’den en az ikisine sahip olmak,

 

ç) GICSP sertifikasına sahip olmak.

 

(2) "EKS Ağının ve Mimarî Yapısının İncelenmesi" analizini yapacak kişilerde yukarıda belirtilen (c) ve (ç) bentlerindeki yetkinlikler aranmaz.

 

(3) Güvenlik analizi ve testlerini gerçekleştirecek firmada TS 13638 sayılı yeterlilik belgesi aranır.

 

(4) Güvenlik analizi ve testlerini gerçekleştirecek firma ile kuruluş arasında gizlilik sözleşmesi yapılır.

 

ÜÇÜNCÜ BÖLÜM: Çeşitli ve Son Hükümler

 

Geçiş süreci

 

GEÇİCİ MADDE l - (1) 12 nci maddenin birinci fıkrasının (ç) bendinde belirtilen yetkinlik düzenlemenin yayımı tarihinden itibaren yirmi dört ay sonrasında aranır.

 

GEÇİCİ MADDE 2 - (1) Bu usul ve esasların yürürlüğe girdiği tarihten itibaren on sekiz ay içerisinde EKS üzerinde güvenlik analizleri ve testleri yaptırılır.

 

Yürürlük

 

MADDE 13 - (1) Bu usul ve esaslar yayımı tarihinde yürürlüğe girer.

 

Yürütme

 

MADDE 14 - (1) Bu usul ve esaslar hükümlerini Enerji Piyasası Düzenleme Kurumu Başkanı yürütür. (¤¤)


Full & Egal Universal Law Academy