Orta Doğu dijital dönüşüm sürecini hızlandırırken, enerji ve kamu hizmetleri şirketleri çift yönlü bir zorlukla karşı karşıya kalıyor. Bir yandan verimlilik ve sürdürülebilirlik için inovasyonu benimsemek zorundalar. Diğer yandan ise giderek daha özel ve daha sık hale gelen siber tehditlere karşı altyapılarını korumaları gerekiyor.

Senkron Digital Genel Müdürü Ali İnal, kritik altyapılara yönelik siber saldırıların artık bir ihtimal değil kaçınılmaz bir zamanlama meselesi olduğuna dikkat çekiyor:

“Kritik altyapılara yönelik siber saldırılara ‘olur mu’ sorusundan ziyade ‘ne zaman olur’ sorusu sorulur. Bu nedenle enerji, kamu hizmetleri ve diğer kritik sektörlerin tehditlere karşı daha akıllı, daha hızlı ve daha çevik proaktif savunmalar uygulaması gerekiyor.”

İnal, Utilities Middle East’e verdiği demeçte BAE Siber Güvenlik Konseyi verilerine atıfta bulunarak günde 200.000’den fazla siber saldırı gerçekleştiğinin tahmin edildiğini belirtiyor. Elektrik şebekeleri, su ağları ve LNG terminalleri gibi kritik altyapılar bu saldırıların başlıca hedefleri arasında yer alıyor.

Bir siber ihlal yalnızca veri kaybı anlamına gelmiyor. Elektrik kesintilerine yol açabiliyor, su tedarikini durdurabiliyor, kamu güvenliğini tehlikeye atabiliyor, ulusal tedarik zincirleri boyunca zincirleme etkilere neden olabiliyor.

İnal, dijitalleşmenin tehdit ortamını nasıl dönüştürdüğüne de dikkat çekerek, bilgi teknolojileri (IT) ile operasyonel teknolojilerin (OT) bir zamanlar ayrı sistemlerken endüstriyel IoT ve otomasyonun ilerlemesiyle artık derin biçimde birbirine bağlandığını vurguluyor.

“Tek bir oltalama e-postası ya da bulut ortamına yönelik bir saldırı, operasyonel sistemlere açılan bir kapıya dönüşebilir ve enerji santrallerinin veya LNG operasyonlarının durmasına neden olabilir. OT güvenliği artık yalnızca mühendisliğin konusu değildir. Yönetim kurulu seviyesinde ele alınması gereken bir meseledir” diyor İnal.

Son dönemde yaşanan saldırılar, bu riskin boyutunu somut biçimde ortaya koyuyor. Ağustos 2024’te RansomHub grubu, BAE’de Halliburton’un sistemlerine sızarak IT altyapısını devre dışı bıraktı. Müşteri bağlantılarının kesilmesi ve sistem kesintileri, yaklaşık 35 milyon dolarlık zarara yol açarken, operasyonel aksaklıkların tedarik zincirleri boyunca ne kadar hızlı yayılabildiğini de gözler önüne serdi.

İnal, zafiyetlerin her tesiste aynı olmadığını vurguluyor. Bazı tesisler, siber güvenlik dikkate alınmadan tasarlanmış onlarca yıllık OT ekipmanlarına dayanırken bazıları yapay zeka, bulut platformları ve yüksek dijital bağlantılılık nedeniyle yeni risk alanlarıyla karşı karşıya kalıyor.

Zayıf parolalar, oltalama saldırıları ve yanlışlıkla yapılan tıklamalar gibi insan hataları da hala en yaygın risk faktörlerinden biri olmayı sürdürüyor. Bu nedenle şirketlerin teknolojinin yanı sıra süreçlere ve IEC 62443, NIS2 ve NIST gibi çerçevelerin birlikte uygulanmasına dayanan bütüncül bir yaklaşıma ihtiyaç duyuyor diyor.

Bu doğrultuda İnal, enerji ve kamu hizmetleri operatörlerinin katmanlı savunma mimarileri, sürekli izleme ve saldırıların yayılmasını önlemek için ağ segmentasyonu uygulamalarını önceliklendirmesi gerektiğini söylüyor. Yedek sistemlerin kurulması, test edilmiş olay müdahale protokolleri ve düzenli kriz tatbikatlarını içeren acil durum planlamasının da artık vazgeçilmez olduğunu vurguluyor.

“Siber güvenlik önlemleri sektörler ile birlikte kurumların kendi operasyonel gerçekliklerine göre özel olarak tasarlanmalıdır” diyor İnal.

İnal, siber güvenlik ile verimliliğin birbiriyle çelişmediğinin de altını çiziyor. “Bir ihlalin maliyeti, önleyici yatırımdan çok daha yüksektir” diyen İnal liderlerin önceliği, aksamanın en büyük zararı yaratacağı sistemlerden başlayarak risk bazlı yatırımlara vermesi gerektiğini ifade ediyor. Bu yaklaşım, güvenliğin dijital dönüşüm projelerine entegre edilmesini sağlayarak inovasyon ile dayanıklılığın birlikte ilerlemesine olanak tanıyor.

İleriye dönük olarak İnal, üç temel önceliğe işaret ediyor. İlk olarak, IEC 62443 ve NIST gibi çerçevelerin yalnızca uyum kontrol listeleri olarak değil stratejik araçlar olarak da ele alınması gerektiğini vurguluyor. İkinci olarak IT ekiplerinin yanında yöneticilerin ve operatörlerin de eğitilmesiyle teknoloji kadar insan kapasitesine de yatırım yapılmasının önemine dikkat çekiyor. Üçüncü olarak ise yapay zeka ve dijital araçların sorumlu, bilinçli ve güvenli şekilde kullanılmasının kritik olduğunu belirtiyor.

“Saldırganlar bu teknolojileri kullanırken, biz de onları sistemleri daha etkili biçimde savunmak için kullanabiliriz,” diyen İnal, kamu hizmetleri şirketleri, düzenleyiciler ve siber güvenlik kuruluşlarının savunmaları güçlendirmek için birlikte çalışmasının artık bir zorunluluk olduğunu vurguluyor.

“Gelecek teknoloji ile birlikte onu koruyan insanlara da yatırım yapanların olacak” sözleriyle değerlendirmesini tamamlıyor.

Simone Liedtke