(Makalenin tamamını okumak için tıklayın)
Risk, tarih boyunca insanlığın gelişim hikayesinde her zaman başrolde yer aldı. Ateşi keşfetmemizi sağlayan karanlık, tıbbın ilerlemesine zemin hazırlayan ise hastalıkların getirdiği ölüm tehdidiydi. Bugün ise insanlık, teknolojinin bizzat kendisinin yarattığı yeni risklerle karşı karşıya. Özellikle ekonomilerin sürekliliğini sağlayan ve toplumların temel yaşam kaynaklarını ayakta tutan enerji sektörü için bu riskler artık her zamankinden daha önemli.
Dijitalleşme enerji sistemlerini daha verimli, daha esnek ve daha akıllı hale getirirken yeni siber güvenlik zafiyetlerinin de ortaya çıkmasına neden oluyor. Ancak gelişimle birlikte gelen risk, başlı başına bir tehdit değildir. Asıl mesele, bu riski doğru okumak ve doğru yönetmektir. Çünkü riskin doğru tanımlandığı noktada zayıflık, güce dönüşür. İşte tam da bu eşikte, Birleşik Arap Emirlikleri’nin enerji dönüşümünü hem takip eden hem de dönüşüme yön veren bir ülke olarak öne çıktığını görüyoruz.
Birleşik Arap Emirlikleri’nin Güçlenen Rolü
Birleşik Arap Emirlikleri’nde siber dayanıklılık ihtiyacı her geçen gün daha net biçimde kendini gösteriyor. Güneş enerjisi santrallerinden veri merkezlerine kadar uzanan, ülkenin iddialı ulusal vizyonlarıyla uyumlu yeni nesil ve büyük ölçekli altyapılar, tüm coğrafyada hızla hayata geçiriliyor. Ancak bu altyapılar, doğaları gereği yüksek verimlilik ile birlikte gelişmiş ve bütüncül koruma yaklaşımları da gerektiriyor.
Su güvenliği ise bu tabloyu daha da önemli hale getiriyor. Ülkedeki içme suyunun yüzde kırkından fazlası deniz suyu arıtma tesislerinden sağlanıyor. Bu tesislerde yaşanabilecek olası bir kesinti, toplumun günlük yaşamını doğrudan etkileyebilecek sonuçlar doğuruyor. Bu nedenle söz konusu altyapılar, siber zafiyet arayan kötü niyetli aktörler için stratejik hedefler arasında yer alıyor.
Geçtiğimiz ay Abu Dhabi’de düzenlenen MEICA Expo’da, enerji hizmeti sağlayıcılarının liderleri tarafından aynı soru sıkça dile getirildi:
“Görünmeyen tehditlere karşı kritik altyapıyı nasıl koruyabiliriz?”
Bu soru, içinde bulunduğumuz dönemin en önemli liderlik sorularından biri olarak karşımıza çıkıyor.
Dayanıklılık Yönetim Masasında Başlar
OT güvenliğini yalnızca teknik bir konu olarak görmek kolaydır. Oysa gerçek dayanıklılık, sadece kontrol odalarında ya da veri merkezlerinde inşa edilmez. Dayanıklılık yönetim kurullarında, kamu kurumlarında ve riskin nasıl tanımlanıp nasıl yönetileceğine dair alınan liderlik kararlarında şekillenir. Güvenlik, teknoloji kadar yönetişim meselesidir.
Gerçek ve sürdürülebilir dayanıklılık ancak şu unsurlar bir araya geldiğinde mümkün olur:
Uyum süreçlerinin yaşayan güvenlik çerçevelerine dönüşmesi. IEC 62443, NIS2 ve NIST CSF gibi standartlar önemlidir. Ancak bu çerçeveler birer hedef değil güvenliğin asgari başlangıç noktasıdır. Asıl fark, bu standartların denetim zamanlarının yanında günlük operasyonların ve karar alma süreçlerinin doğal bir parçası haline gelmesiyle ortaya çıkar. Güvenlik, davranışlarda yaşamalıdır.
İnsan kapasitesinin riski öngörebilecek şekilde güçlendirilmesi. Siber güvenlikte pek çok olay hâlâ insan hatasıyla başlar. Bu nedenle eğitim, yalnızca prosedür öğretmekle sınırlı kalmamalıdır. Çalışanları anormallikleri fark edebilen, erken uyarı sinyallerini okuyabilen ve doğru zamanda doğru tepkiyi verebilen bir yetkinlik seviyesine taşımayı hedeflemelidir. Teknoloji yatırımları ne kadar güçlü olursa olsun, insan faktörü ihmal edildiğinde dayanıklılık eksik kalır.
Endüstriyel gerçekliklere uygun savunma mimarilerinin kurulması. Bir petrol terminali, bir enerji santrali ya da bir solar inverter, bir dizüstü bilgisayar gibi çalışmaz. Bu nedenle OT güvenliği, IT dünyasından ödünç alınmış kalıplardan ziyade operasyonun fiziksel ve dijital gerçekleriyle tasarlanmalıdır. Katmanlı savunma yaklaşımı, bu farklılığı kabul eden ve sahaya uyarlayan tek sürdürülebilir yöntemdir.
Küresel Görünüm: Potansiyel Neden Körfez Bölgesinden Çıkıyor?
Avrupa ve Amerika’da endüstriyel kuruluşlara yönelik fidye yazılımı saldırıları son bir yıl içinde neredeyse iki katına çıktı. Bu artış, düzenleyici kurumların güvenlik gerekliliklerini sıkılaştırmasına da doğrudan yansıdı. Avrupa’da yürürlüğe giren NIS2 Direktifi, bu dönüşümün en somut örneklerinden biri olarak öne çıkıyor.
Birleşik Arap Emirlikleri ve genel olarak Körfez İşbirliği Konseyi (GCC) ülkeleri ise bu küresel tablonun tam ön cephesinde yer alıyor. Bölge liderleri, siber güvenliği artık teknik bir konu değil, doğrudan ulusal dayanıklılık meselesi olarak ele alıyor. Plansız duruş sürelerinin, yatırımcı güveninden kamu hizmetlerine kadar tüm ekosistemi kısa sürede etkileyen zincirleme sonuçlar doğurabileceği açık biçimde kabul ediliyor.
Bu nedenle, Birleşik Arap Emirlikleri ve Körfez ülkelerinin OT güvenliği alanında atacağı adımların küresel ölçekte bir referans noktası oluşturması bekleniyor. Çünkü bu bölgede riskler ertelenemez; çözümler ise gecikmeksizin hayata geçirilmek zorundadır.
Risk Sürecin Yalnızca Başlangıcıdır
Bu yazının başında da vurguladığımız gibi, risk tarih boyunca ilerlemenin çıkış noktası olmuştur. Bizi asıl tanımlayan ise riskin kendisi değil, ona verdiğimiz karşılıktır.
OT sistemleri belirsizliği azaltmak için tasarlanmıştır. Bu misyon bugün de geçerliliğini koruyor. Ancak artık aynı disiplinin, aynı ciddiyetle OT siber güvenliğine de uygulanması gerekiyor. Çünkü dijitalleşen enerji ve altyapı dünyasında dayanıklılık yönetişim, öngörü ve liderlik meselesidir.
Hem operatörler hem de kamu otoriteleri için OT güvenliği artık yalnızca teknik bir koruma katmanı olmasının yanı sıra toplumun ve kritik hizmetlerin sürekliliğini güvence altına alan stratejik bir yönetim sorumluluğudur.