IV. Güç ve Enerji Sistemleri Sempozyumu Akıllı Şebekelerde ...
Transcript of IV. Güç ve Enerji Sistemleri Sempozyumu Akıllı Şebekelerde ...
IV.GüçveEnerjiSistemleriSempozyumu
AkıllıŞebekelerdeSiberGüvenlikÇağrıPOLAT|18.10.2019|14:00
Firma:MaxionİnciJantGrubu-TürkiyeITOperasyonlarıMd.Eğitim:YüksekLisans:BilgisayarMühendisliği(DEU)Lisans:Elektrik-ElektronikMühendisliği(AnadoluÜni.)Lisans:İşletmeFakültesi(AnadoluÜni.)Sertifikalar:MCSE+S&CEH(Eğitmen)ISO27001BaşDenetçiBilirkişiÇalışmaAlanları:#SiberGüvenlik,#Endüstri4.0,#KritikAltyapıGüvenliği#ISO27001,#SızmaTesti,#KVKKGüvenlik,#BlockchainMail/Telefon:[email protected],05533374811WebSitesi: https://www.cagripolat.com
ÇağrıPOLATSiberGüvenlikUzmanı/EğitmeniEndüstri4.0GüvenlikUzmanı
ISO27001BaşDenetçi&Danışman
Facebook.com/cagripolatmscTwitter.com/cagripolatmscInstagram.com/cagripolatmscLinkedin.com/in/cagripolat
Çağrı Polat | www.cagripolat.com
• KritikAltyapı/AkıllıŞebekeler/Aktörleri• ISA99
• IEC62443• PurdueModeli/Şeması
• AkıllıŞebekelerdeSiberGüvenlik(NIST-GuidelinesforSmartGridCybersecurity)
• Sorular
0 İçerik
1KritikAltyapı/AkıllıŞebekeler
Çağrı Polat | www.cagripolat.com
• “Kritikaltyapı”terimiilkdefaEkim1997tarihli“AmerikaBirleşikDevletleriBaşkanlıkKomisyonu’nunKritikAltyapılarınKorunmasıHakkındaRaporundakullanılmıştır.
• SiberGüvenlikKurulu2013-2014Eylemplanının5numaralımaddesindeülkemizinkritikaltyapılarıbilgigüvenliğikapsamındailketapta"Ulaşım,Enerji,ElektronikHaberleşme,Finans,SuYönetimi"KritikKamuHizmetleriolarakbelirlenmiştir.[1]
• Akıllışebeke(SmartGrid)mevcutelektrikaltyapısınıgünümüzotomasyon,gömülüsistemlervebilişimteknolojileriileharmanlayıpenerjiihtiyacınıkarşılayacaksistemedenir[2].
• AkıllıŞebekeBileşenleriveTeknolojisişunlardır[3];1)AkıllıÜretim2)Akıllıİstasyonlar3)AkıllıDağıtım4)AkıllıSayaçlar5)BütünleştirilmişHaberleşme6)İleriKontrolMetotları
Akıllışebekelerinyazılımvedonanımbileşenlerivardır:Yazılım:Verialtyapısı,internettabanlısistemler,sezgiselçalışanyazılımlarıDonanım:Akıllısayaçlarveakıllıevaletlerivb.
AkıllıŞebekeler
Çağrı Polat | www.cagripolat.com
https://www.muhendisbeyinler.net/akilli-sebekeler-smart-grid
2 ISA99(IndustrialAutomationandControlSystemsSecurity)
Çağrı Polat | www.cagripolat.com
• ISA99(IndustryStandardsonAutomation)EndüstriyelOtomasyonveKontrolSistemleriGüvenlikStandardıdır.Ağüzerindeetkinvegüvenliüretimuygulamalarınıntasarlanmasıiçinpolitikalarıveyapılarıtanımlar.[4]
• ISA99standartlarıgeliştirmekomitesi,endüstriyelotomasyonvekontrolsistemlerigüvenliğikonusundaISAstandartlarınıgeliştirmekiçindünyagenelindekiendüstriyelsibergüvenlikuzmanlarınıbirarayagetirir.
• Üretimvekontrolsistemlerielektronikgüvenliğikavramı,tümendüstrilerdekihertürtesisivesistemikapsayanmümkünolanengenişanlamdauygulanır.Üretimvekontrolsistemlerişunlarıiçerir,ancakbunlarlasınırlıdeğildir:[5]
• DCS,PLC,SCADA,ağbağlantılıelektronikalgılama,izlemevetanılamasistemlerigibidonanımveyazılımsistemleri
• Sürekli,toplu,ayrıkvediğerişlemlerdekontrol,güvenlikveüretimişlemlerininişlevselliğinisağlamakiçinkullanılaninsan,ağveyamakinearayüzleri
3 ISA/IEC62443
Çağrı Polat | www.cagripolat.com
• ISA99komitesitarafındangeliştirilmişstandartlarserisidir.[6](IEC:InternationalElectrotechnicalCommission)
• Bustandartileşirketlerinkritikaltyapıvekontrolsistemlerindekiolasıaçıklarıincelenmesiveetkinkorumaönlemlerigeliştirilmesiiçintemeloluşturulmasıhedeflenmektedir.
• EndüstriyelotomasyonvekontrolsistemlerineyönelikITgüvenliği,bustandardınodaknoktasıdır.[7]
• IEC62443standardı,dörttemelüzerindeşekillendirilmiştir.1.Standartfonksiyonlarıiçerir.2. ZorunluşartlarıkarşılayanendüstriyelotomasyonvekontrolsistemleriiçinIT
güvenlikyönetimisistemininçerçevesinibelirlemektedir.3. Endüstriyelotomasyonvekontrolsistemleri(IACS)içintasarıkılavuzuolarak
kullanılabilecektekniközelliklerdir.4. Kontrolsistemibileşenlerineilişkintasarımvegeliştirmeşartlarından
oluşmaktadır.
4 Purdue(PERA)Modeli
Çağrı Polat | www.cagripolat.com
• ISA99komitesi,PurdueEnterpriseReferenceArchitecture(PERA)modeliveICSağbölümlemesiiçinbumodelikullanmıştır.[8]
• Purdueçokkatmanlımimari,herkatmanıngereksinimlerinidikkatealarakBTveendüstriağlarınıaltağlaraayırmailkesinedayanır.
• Purduemodeli6katmandanoluşur:Seviye5:KurumsalağSeviye4:YerelağSeviye3:SahaişlemleriSeviye2:SahakontrolüSeviye1:MantıkkontrolSeviye0:Sensör,sürücüvb.
Yandabelirtilen6katmanınherbiriiçin,aşağıdakidörtanaodakalanıtartışılmalıdır:1.Girişkontrolü2.LogYönetimi3.Ağgüvenliği4.Uzaktanerişim
ÇokkatmanlıGüvenlikMimarisi!
Çağrı Polat | www.cagripolat.com
https://subscription.packtpub.com/book/networking_and_servers/9781788395151/1/ch01lvl1sec10/the-purdue-model-for-industrial-control-systems
PurdueŞeması
AkıllıŞebekeAktörleri
Çağrı Polat | www.cagripolat.com
AkıllıŞebekeMantıksalReferansModeli
Çağrı Polat | www.cagripolat.com
5 AkıllıŞebekelerdeSiberGüvenlik
Çağrı Polat | www.cagripolat.com
Gizlilik,güçsistemigüvenilirliğiiçinenazkritikolandır.•Müşteribilgileriningizliliği;•Elektrikpiyasasıbilgisi;•Bordro,içstratejikplanlama,genelkurumsalbilgilervb.[9]Erişilebilirlik,güçsistemigüvenilirliğiiçinenönemligüvenlikhedefidir.Kullanılabilirlikleilişkilizamangecikmesideğişebilir-•Koruyucuröleiçin4ms;•TrafomerkezivebesleyiciSCADAverileriiçinsaniye;•Sayaçokumaveuzunvadelipiyasafiyatbilgisiiçinsaatler;ve•Güçkalitesibilgisigibiuzunvadeliveritoplamakiçingünler/haftalar/aylar.Bütünlük,Güçsistemioperasyonlarınınbütünlüğü,aşağıdakilerigarantieder:•Verilerizinsizolarakdeğiştirilmedi;•Verikaynağıdoğrulandı;•Verilerleilişkilizamandamgasıbilinirvedoğrulanır;•Verikalitesibilinirvedoğrulanır.
AkıllıŞebekelerdeSiberGüvenlikGereksinimleri
Çağrı Polat | www.cagripolat.com
• ErişimKontrol(ErişimKontrolPolitika,UzaktanErişimPolitikasıveProsedürleri,HesapYönetimi,ErişimUygulaması,BilgiAkışıUygulaması,GörevlerinAyrılığı,EnDüşükAyrıcalık,BaşarısızGirişDenemeleri,AkıllıŞebekeBilgiSistemiKullanımBildirimi,ÖncekiOturumAçmaBildirimi,EşzamanlıOturumKontrolü,OturumKilitlenmesi,UzakOturumSonlandırma,KimlikTespitiveyaKimlikDoğrulamasıOlmadanİzinVerilenFaaliyetler,UzaktanErişim,KablosuzErişimKısıtlamaları,TaşınabilirveMobilCihazlariçinErişimKontrolü,DışBilgiKontrolSistemlerininKullanımı,KontrolSistemiErişimKısıtlamaları,GenelOlarakErişilebilirİçerik,Şifre)
• FarkındalıkveEğitim(FarkındalıkveEğitimPolitikasıveProsedürleri,Güvenlikfarkındalığı,GüvenlikEğitimleri,GüvenlikFarkındalığıveEğitimKayıtları,GüvenlikGruplarıveBirlikleriileİletişim,GüvenlikSorumlulukEğitimi,SüreçEğitimiPlanlaması)
• DenetimveHesapVerebilirlik(DenetimveHesapVerebilirlikPolitikasıveProsedürleri,DenetlenebilirEtkinlikleri,DenetimKayıtlarınınİçeriği,DenetimDepolamaKapasitesi,DenetimİşlemeHatalarınaYanıt,Denetimİzleme,AnalizveRaporlama,DenetimAnalizAraçlarıveRaporÜretimi,ZamanDamgası,DenetimBilgilerininKorunması,DenetimKayıtlarıMuhafaza,DenetimlerinYapılmasıveSıklığı,DenetçiYeterliliği,DenetimAraçları,GüvenlikPolitikasıUyumluluğu,DenetimÜretimi,İnkaredilemezlik)
AkıllıŞebekelerdeSiberGüvenlikGereksinimleri
Çağrı Polat | www.cagripolat.com
• GüvenlikDeğerlendirmesiveYetkilendirme(GüvenlikDeğerlendirmeveYetkilendirmePolitikasıveProsedürleri,GüvenlikDeğerlendirmeleri,Sürekligelişme,AkıllıŞebekeBilgiSistemiBağlantıları,GüvenlikYetkilendirmesi,Sürekliizleme)
• YapılandırmaYönetimi(YapılandırmaYönetimiPolitikasıveProsedürleri,TemelYapılandırma,YapılandırmaDeğişikliğiiçinErişimKısıtlamaları,FabrikaVarsayılanAyarlarıYönetimi,YapılandırmaYönetimPlanı,…)
• OperasyonlarınSürekliliği(OperasyonPolitikasınınSürekliliğiveProsedürleri,OperasyonPlanınınSürekliliği,OperasyonRollerininSürekliliğiveSorumlulukları,AlternatifTelekomünikasyonHizmetleri,…)
• TanımlamaveKimlikDoğrulama(KimlikveKimlikDoğrulamaPolitikasıveProsedürleri,KullanıcıKimliğiveKimlikDoğrulama,…)
• BilgiveBelgeYönetimi(BilgiveBelgeYönetimiPolitikasıveProsedürleri,BilgiDeğişimi,…)
• OlayMüdahalesi(OlayMüdahalePolitikasıveProsedürleri,OlayMüdahaleRolleriveSorumlulukları,Eğitim,İzleme,Raporlama,…)
AkıllıŞebekelerdeSiberGüvenlikGereksinimleri
Çağrı Polat | www.cagripolat.com
• AkıllıŞebekeBilgiSistemiGeliştirmeveBakım(AkıllıŞebekeBilgiSistemiBakımPolitikasıveProsedürleri,UzaktanBakım,…)
• OrtamKoruması(OrtamKorumaPolitikasıveProsedürleri,OrtamHassaslıkSeviyesi,OrtamTemizlikveBertarafı,OrtamTaşınması,…)
• FizikselveÇevreGüvenliği(FizikselveÇevreGüvenliğiPolitikasıveProsedürleri,FizikselErişimYetkileri,FizikselErişimiİzleme,ZiyaretçiKatıları,ZiyaretçiKontrol,FizikselErişimGünlüğüTutma,…)
• Planlama(StratejikPlanlamaPolitikasıveProsedürleri,AkıllıŞebekeBilgiSistemiGüvenlikPlanı,GüvenlikleİlgiliAktivitePlanlama,…)
• GüvenlikProgramıYönetimi(GüvenlikPolitikasıveProsedürleri,GüvenlikProgramPlanı,ÜstYönetimOtoritesi,GüvenlikMimarisi,RiskYönetimStratejisi,…)
• PersonelGüvenliği(PersonelGüvenlikPolitikasıveProsedürleri,PersonelKategorisi,Transferi,Görevleri,SorumlulukSonlandırma,…)
AkıllıŞebekelerdeSiberGüvenlikGereksinimleri
Çağrı Polat | www.cagripolat.com
• RiskYönetimiveDeğerlendirmesi(RiskDeğerlendirmePolitikasıveProsedürleri,RiskYönetimPlanı,GüvenlikEtkiSeviyesi,GüvenlikAçığıDeğerlendirmesiveFarkındalık,RiskDeğerlendirmesi,…)
• AkıllıŞebekeBilgiSistemiveServisSatınAlma(AkıllıŞebekeBilgiSistemiveHizmetleriSatınAlmaPolitikasıveProsedürleri,YaşamDöngüsüDesteği,YazılımLisansıKullanımSınırlamaları,GüvenlikMühendisliğiİlkeleri,GeliştiriciGüvenlikTesti,…)
• AkıllıŞebekeBilgiSistemiveİletişimKoruması(AkıllıŞebekeSistemiveİletişimKorumaPolitikasıveProsedürleri,GüvenlikFonksiyonuİzolasyonu,HizmetReddiKoruması(DoS),İletişimBütünlüğü,İşletimSistemindenBağımsızUygulamalar,GenelAnahtarAltyapıSertifikaları,GüvenlikRolleri,heterojenite,VoIP,Balküpleri,İletişimGizliliği,…)
• AkıllıŞebekeBilgiSistemiveBilgiBütünlüğü(AkıllıŞebekeSistemiveBilgiBütünlüğüPolitikasıveProsedürleri,KusurDüzeltme,KötüAmaçlıKodveSpamKoruması,AkıllıŞebekeBilgiSistemiİzlemeAraçlarıveTeknikleri,GüvenlikUyarılarıveTavsiyeler,BilgiGirişiDoğrulama,Hataişleme,YazılımveBilgiBütünlüğü,…)
Kaynaklar[1]https://www.slideshare.net/ZhreAydn/kritik-enerji-altyapilarinin-korunmasi-ve-siber-gvenlik[2]https://www.muhendisbeyinler.net/akilli-sebekeler-smart-grid-nedir/[3]http://www.emo.org.tr/ekler/e8fff8ce0a6ccb5_ek.pdf?dergi=1101(MehmetOktayELDEM)[4]https://otomasyonadair.com/2014/11/07/bilinmesi-gereken-4-it-standardi/[5]https://www.isa.org/isa99/[6]https://www.isa.org/intech/201810standards/[7]https://www.tuv-sud.com.tr/tr-tr/merkez/kaynak-merkezi/yayimlar/e-ssentials-haber-buelteni/demiryolu-hizmetleri-ile-ilgili-e-ssentials/e-ssentials-3-2015/certification-according-to-iec-62443-boosting-security-against-cyber-attacks[8]https://subscription.packtpub.com/book/networking_and_servers/9781788395151/1/ch01lvl1sec10/the-purdue-model-for-industrial-control-systems[9]https://nvlpubs.nist.gov/nistpubs/ir/2014/NIST.IR.7628r1.pdf
Çağrı Polat | www.cagripolat.com
SORULARTEŞEKKÜRLER