EPDK Bilişim Hizmetleri Grup Başkanı Mehmet Yılmazer ile Söyleşi

EPDK Bilişim Hizmetleri Grup Başkanı Mehmet Yılmazer ile Söyleşi

Kurum;

• 4628 sayılı Enerji Piyasası Düzenleme Kurumunun Teşkilat ve Görevleri Kanunu,
• 4646 sayılı Doğal Gaz Piyasası Kanunu,
• 5015 sayılı Petrol Piyasası Kanunu,
• 5307 sayılı Sıvılaştırılmış Petrol Gazları (LPG) Piyasası Kanunu,
• 6446 sayılı Elektrik Piyasası Kanunu

ile kendisine verilen görevleri yerine getirmekte ve yetkileri kullanmaktadır. Kurum, kamu tüzel kişiliğini haiz olup idari ve mali özerkliğe sahiptir. 

Anılan Kanunlar, elektrik, doğal gaz, petrol ve LPG'nin; yeterli, kaliteli, sürekli, düşük maliyetli ve çevreyle uyumlu bir şekilde tüketicilerin kullanımına sunulması için, rekabet ortamında özel hukuk hükümlerine tabi faaliyet gösterilebilecek, mali açıdan güçlü, istikrarlı ve şeffaf bir enerji piyasasının oluşturulmasını ve bu piyasada bağımsız bir düzenleme ve denetimin sağlanmasını amaçlamaktadır.

Bu amacın yerine getirilmesinde Kurum;

• Elektrik piyasasında; tüzel kişilerin yetkili oldukları faaliyetlerden kaynaklanan hak ve yükümlülüklerini tanımlayan lisansların verilmesi ve ilgili diğer işlemlerin yapılması; piyasa performanslarının izlenip, performans standartlarının oluşturulması; ikincil mevzuatın oluşturulması, geliştirilmesi ve uygulanmasının sağlanması; lisans sahibi tüzel kişilerin denetlenmesi; düzenlemeye tabi tarifelerin hazırlanması, tadili ve uygulanmasının sağlanması; piyasada Elektrik Piyasası Kanunu’na uygun şekilde davranılmasının sağlanması,
• Doğal gaz piyasasında; doğal gazın ithalatı, iletimi, dağıtımı, depolanması, ticareti ve ihracatı ile bu faaliyetlere ilişkin tüm gerçek ve tüzel kişilerin hak ve yükümlülüklerini tanımlayan lisans ve sertifikaların verilmesi ve ilgili diğer işlemlerin yapılması; piyasa ve sistem işleyişinin incelenmesi; ikincil mevzuatın oluşturulması, geliştirilmesi, uygulanmasının sağlanması; lisans ve sertifika sahiplerinin, denetlenmesi, düzenlemeye tabi tarifelerin hazırlanması, tadili ve uygulanmasının sağlanması; piyasada Doğal Gaz Piyasası Kanunu’na uygun şekilde davranılmasının sağlanması,
• Petrol piyasasında; petrol ile ilgili rafinaj, işleme, madeni yağ üretimi, depolama, iletim, serbest kullanıcı ve ihrakiye faaliyetlerinin yapılması amacıyla tesis kurulması, işletilmesi, akaryakıt dağıtımı, taşıması ve bayilik faaliyetleri için lisans verilmesi ve ilgili diğer işlemlerin yapılması; lisans gerektiren faaliyet ve işlemlerin kapsamları, lisans ile kazanılan hak ve üstlenilen yükümlülükler, lisans kapsamındaki faaliyetlerin kısıtlanması, faaliyetin yürütülmesine ilişkin olarak özel şartların belirlenmesi; ikincil mevzuatın oluşturulması, geliştirilmesi ve uygulanmasının sağlanması; tarifelerin onaylanması; piyasada oluşan fiyatların ve fiyat listelerinin takibi, piyasada Petrol Piyasası Kanunu’na uygun şekilde davranılmasının sağlanması,
• Sıvılaştırılmış petrol gazları (LPG) piyasasında; LPG dağıtımı, taşınması, otogaz bayilik faaliyetleri, depolanması, LPG tüpü imalatı, muayenesi, tamiri ve bakımı amacıyla tesis kurulması ve işletilmesi için lisans verilmesi ve ilgili diğer işlemlerin yapılması; lisans gerektiren faaliyet ve/veya işlemlerin kapsamları, lisans ile kazanılan hak ve yükümlülükler, faaliyetin yürütülmesine ilişkin olarak özel koşulların belirlenmesi; ikincil mevzuatın oluşturulması, geliştirilmesi ve uygulanmasının sağlanması; piyasa faaliyetlerine ilişkin gerekli yönlendirme, gözetim ve denetim faaliyetlerinin yapılması; piyasada oluşan fiyatların takibi, piyasada Sıvılaştırılmış Petrol Gazları Piyasası Kanunu’na uygun şekilde davranılmasının sağlanması, konularında yetkili ve sorumludur.

Bu kapsamda, siber güvenlik sektörünün büyük bir bölümünü kritik enerji altyapıları ve güvenliği oluşturmaktadır. Sürdürülebilir bir siber mücadele için enerji sektörünün tüm bileşenlerinin siber güvenlik farkındalığını arttıracak etkinlikler düzenlenmeli, çalışanların siber güvenlik farkındalığının dinamik tutulması için zaman zaman bilgi işlem birimlerince hatırlatma mesajları ve dâhili tatbikatlar yapılmalıdır.

Kritik enerji altyapılarının korunması çalışmalarının tüm enerji sektörünü içine alan bütüncül bir bakış açısıyla ele alınması ve takip edilmesi gerekmektedir. Bu bilgiler ışığında, kritik enerji varlıklarının güvenliği alanında toplumun her kesiminde bilgi ve bilinç düzeyini arttırmak, bu konu ile ilgili teknolojik gelişmeleri izlemek, milli teknolojilerin geliştirilmesine katkı sağlamak; bireysel, kurumsal ve ulusal düzeydeki riskler konusunda farkındalık oluşturmak amacı ile güvenilirlik, süreklilik ve gizlilik politikaları ile yoluna devam eden EPDK Bilişim Hizmetleri Grup Başkanı Mehmet Yılmazer ile Türkiye’de enerji sektörünün durumu, devletimizin kalkınmasında kritik enerji altyapılarının korunması ve bilhassa bilgi güvenliği alanında bilinmesi gerekenler ve çözüm önerileri hususunda ülkemizin dünü, bugünü ve geleceği adına yapılması gerekenleri konuştuk.

CyberMag: Yıllarca bu sektörde görev almış birisi olarak;  devletimizin kalkınmasında kritik enerji altyapılarının korunmasının önemi nedir?

Mehmet Yılmazer: Enerji sektörü, ekonomik büyümede diğer sektörlerin de önünde lokomotif olarak karşımıza çıkmaktadır. Enerjinin sürdürülebilir olması toplumun sağlıklı büyümesi için şarttır. Bu nedenle enerji arz güvenliğinin yanı sıra kritik enerji altyapılarının korunması da önemli bir başlık olarak karşımıza çıkmaktadır.

Ülkemiz coğrafi konumu itibariyle enerji kaynakları (petrol ve doğal gaz) bakımından zengin olan Orta Doğu ve Hazar Bölgesi ülkeleriyle tüketimi yüksek olan Avrupa ülkeleri arasında doğal bir enerji koridoru konumunda yer almaktadır. Bu durum bize avantaj sağlamakla birlikte fiziksel ve siber saldırılardan korunması daha da önem kazanan enerji altyapıları olarak karşımıza çıkmaktadır. Arap baharı sonrası devrimler ve Ukrayna krizi gibi yaşananlar sonucu Avrupa’nın enerji arz güvenliği doğrudan etkilenmiş, ülkemizden geçen boru hatları daha da önem kazanmıştır. Bu yüzden, gelecekte ülkemizin Batılı ülkelerinin enerji merkezi olmasını önlemek amacıyla bu altyapılar terör saldırılarına maruz kalmaktadır.

CyberMag: Ulusal güvenlik açısından siber güvenliğin önemi nedir?

Mehmet Yılmazer: Siber güvenlik ilk olarak 1990’lı yıllarda ağa bağlı bilgisayarlarla ilgili güvenlik sorunlarını tanımlamak için kullanılmıştır. Fakat bu güvenlik açıklarının toplum hayatını etkileyebilecek yıkıcı sonuçlar doğurabileceğini gösteren gelişmeler “Siber Pearl Harbor”, “İnsansız 11 Eylüller” olarak tanımlanmıştır. Teknolojik gelişmeler uluslararası güvenliğin şekillenmesinde büyük bir öneme sahiptir. Günümüzde de kötü niyetli saldırganlar fiziksel ve dijital altyapılara saldırarak kritik altyapıları devre dışı bırakabilir ve kaosa neden olabilirler. Ülkeler siber ordular kurup savaşları siber alana taşımaktadır. Bu nedenle Sayın Başbakanımızın da dediği gibi: Siber güvenlik eşittir ulusal güvenliktir.

CyberMag: Türkiye’nin siber savunma alanında, diğer ülkelere göre durumu hakkında ne söyleyebilirsiniz?

Mehmet Yılmazer: İstatistikler ne der bilmiyorum ama son katıldığımız tatbikatı dikkate aldığımızda özellikle kamuda siber alanda zayıf olduğumuz ortadadır. Kamu personeline yönelik acil yetiştirme programları hayata geçirilmelidir.

CyberMag: Son yıllarda internetin kullanımının artmasıyla birlikte ortaya çıkan IoT(Nesnelerin İnterneti) kavramı ve internete bağlı cihaz sayısının artışı; bir başka hayati husus olarak kritik enerji altyapılarında siber güvenlik konusunun önemini, yerel ve milli çözümlerin ülkemiz adına geliştirilmesi gerektiğini gösteriyor. Bu bilgiler ışığında, EPDK Bilişim Hizmetleri Grup Başkanlığı olarak, Türkiye’deki enerji sektöründe siber güvenlik durumunu nasıl değerlendirirsiniz?

Mehmet Yılmazer: Tabi bu konuda öncelik sizin de belirttiğiniz gibi kritik enerji altyapılarında kullanılan ekipmanların yerli üretim olmasını hepimiz isteriz. Neticede kendinizin üretmediği, çoğunlukla üretici firma (yabancı ülke menşeili) uzmanlarının yönettiği sistemlerde ne kadar güvenlik önlemi alsanız da anahtar onların elinde olduğundan tam anlamıyla bir güvenlikten bahsetmek zor. Özellikle ülkelerin birbirlerine yaptırımlarının son zamanlarda siber savaş ile gerçekleştirildiğini de göz önünde bulundurursak bu oldukça riskli bir durumdur.

Ancak diğer taraftan kurum olarak işe ilk olarak 2014 yılı sonunda sektöre işlettikleri kurumsal bilişim ve endüstriyel kontrol sistemlerini ISO/IEC 27001 BGYS standardına uygun bir şekilde işletmelerini zorunlu hale getirerek başladık. Bu kapsamda işletmedeki kurulu gücü 100MWe ve üzeri olan elektrik üretim santralleri, elektrik dağıtım ve iletim lisansı sahipleri, doğalgaz iletim ve dağıtım lisansı sahipleri ile petrol tarafında rafinerici lisansı sahiplerini değerlendirdik. Yaklaşık 228 işletmeden 176’sı bu sertifikayı almış durumda. Bununla birlikte ülkemizdeki siber güvenlik yapılanması BTK altında Ulusal Siber Olaylara Müdahale Ekibi(USOM) tarafından yönetilmektedir. EPDK olarak biz de enerji sektöründe faaliyet gösteren ve ISO/IEC 27001 ile yükümlü kılınan 228 kuruluşa Siber Olaylara Müdahale Ekipleri(SOME)’ni kurdurduk. Böylece ulusal siber güvenliğin enerji ayağında aslına bakarsanız oldukça büyük bir teşkilatlanmayı gerçekleştirdik. Diğer taraftan 2017 yaz aylarında kritik enerji altyapılarının bilişim güvenliğine yönelik hazırladığımız mevzuat ile çok basit gibi görünen fakat önlem alınmadığında ciddi sorunlara yol açabilecek siber risklerin değerlendirildiği bir metodoloji hazırlayarak sektörde bu metodolojinin uygulanmasını sağladık. Gerek kamu gerekse özel sektör kuruluşlarında endüstriyel kontrol sistemleri varlık envanterinin çıkarılması ile bir anlamda ulusal kritik enerji altyapı varlık envanterini oluşturduk.

CyberMag: Siber güvenlik önlemleri bundan 35 yıl önce sadece savunma sanayiinde akla gelirdi. Her yıl dünyada tüketilen enerjinin yüzde 2,5'i bilgisayar, dizüstü bilgisayarı ve cep telefonu gibi bilgi işlem cihazları tarafından tüketiliyor. Bugün siber güvenlik enerji ve endüstri sektörünün ayrılmaz parçalarından biridir diyebilir miyiz?

Mehmet Yılmazer: Kesinlikle evet. Bundan yaklaşık 30-35 yıl öncesinde enerji üretim, iletim ve dağıtımını yöneten sistemler güvenlik kaygıları ile değil enerji arzının sürekliliğini sağlamak üzere tasarlanmış. Ancak günümüze geldiğimizde bu sistemler birçok güvenlik zafiyetini barındırmakta ve siber grupların, korsanların ve hatta devlet destekli grupların hedefinde yer almaktadır.

CyberMag: Enerji sektöründe siber güvenlik pazarının ve tehditlerin bugünkü durumu nedir? Bir siber savaşta neler tehdit altında?

Mehmet Yılmazer: Enerji sektörü diğer kritik sektörlerle kıyaslandığında ciddi bir farklılık göstermektedir.  Enerjinin sağlıklı temin edilemediği bir ortamda diğer sektörlerin faaliyet göstermesi mümkün olamıyor. Bu durum da enerji sektöründe faal bulunan tesis ve altyapıları siber saldırganlar için cazip bir hedef haline getirmekte. Siber güvenlik algısının gelişmesi güvenlik ürünlerine olan talebi arttırmaktadır. Sektör incelemelerimizde, bu talebi karşılamaya dönük olarak geliştirilen ve endüstriyel sistemler için özelleştirilmiş siber güvenlik ürünlerinin enerji şirketleri tarafından değerlendirmeye alındığını görmekteyiz.

Olası bir siber savaş durumunda enerji iletim ve dağıtım altyapıları ile üretim tesislerinin öncelikli hedefler olacağı öngörülebilir. Bugüne kadar dünya genelinde enerji sistemlerine yapılmış olan saldırıların da bu alt sektörlerin faaliyetlerine dönük olduğu görülmektedir. Bu noktada, ülkemiz açısından hassasiyetle değerlendirilmesi gereken husus, bir yandan mevcut tesislerimizi ve altyapımızı siber saldırılara karşı güçlendirirken, öte yanda yeni yatırımların kurumsal ve endüstriyel sistemlerinin çağdaş dünya gerekliliklerine uyumlu olarak faaliyete başlamasını temin etmek olmalıdır.

CyberMag: Dünyada ve ülkemizde elektrik şebekelerine yönelik işlenen suçlarda artış var. Bunu nasıl açıklayabiliriz? Yapılan saldırıların yol açtığı maddi zarar ne boyuttadır?

Mehmet Yılmazer: Devletler artık tanklarla ve uçaklarla yapılan savaştan çok daha az maliyetli ve etkili sonuçları olan siber savaşlar yapıyorlar. Bir düşünün; bir bölgeye askeri müdahale ile o bölgenin hayati tüm fonksiyonlarını durdurabilirsiniz ancak 2015 yılı sonunda Ukrayna örneğinde de gördüğümüz gibi, ülkenin elektrik dağıtım şebekesinin siber saldırıya uğraması o bölgede yaşayan insanların saatlerce enerjisiz kalmasına yol açtı. Bu saldırı sağlıktan endüstriye birçok sektörü etkiledi. Saldırıların maddi boyutunu tahmin etmek dünya genelinde zor, çünkü bu saldırılarla ilgili net bilgiler pek paylaşılmıyor, bu nedenle de ancak tahmini değerler verilebiliyor. 2015 yılında mart ayı sonunda ülke genelinde yaşadığımız elektrik kesintisinin maliyeti 2014 yılı GSYİH değerleriyle 6 saatlik yaklaşık olarak 600 milyon $ olmuştur.

CyberMag: Endüstriyel kontrol sistemlerini hedef alan geçmiş saldırılara örnek verebilir misiniz?

Mehmet Yılmazer: Bu saldırıların örnekleri daha çok dünya çapında. 2010 yılında İran’ın uranyum zenginleştirme programına yönelik yapılmış bir saldırı var, Stuxnet. İran’ın nükleer programını 2 yıl geciktirdi. Diğer taraftan 2012 yılında Suudi Arabistan’ın ve dünyanın en büyük petrol ve gaz üreticisi olan Saudi Aramco şirketinin bilgisayarlarına yönelik gerçekleştirilmiş bir saldırı, Shamoon. Yaklaşık 30 bin bilgisayarı etkilemiş ve donanımların %85’i imha edilmiştir. 2015 yılında Ukrayna’nın elektrik dağıtım şebekesine yönelik gerçekleştirilen saldırı; yaklaşık 255 bin kişinin saatlerce enerjisiz kalmasına yol açmıştır. Bunlar onlarca saldırı örneklerinden sadece birkaçı. Son örneği de hawaii de yaşanan trajikomik olaydır. (özçekim detayından bir parolanın ifşası ile sistemlere girilmesi).

https://www.haber3.com/dunya/abd/bu-fotograf-tum-ulkeyi-panige-surukledi-haberi-4909939

https://www.posta.com.tr/hawaii-de-balistik-fuze-saldirisi-panigi-haberi-1371581

CyberMag: Endüstriyel kontrol sistemleri için temel güvenlik protokolleri nelerdir?

Mehmet Yılmazer: Yaptığımız denetimlerde de vurguladığımız üzere önceliğimiz zaafiyetlerin giderilmesi yönünde, bu saglanamıyor ise sistemler izole edilerek riski azaltmak yönündedir.

CyberMag: Kurumsal bilgi sistemleri ve endüstriyel kontrol sistemlerinin siber güvenlik açısından farkları nelerdir?

Mehmet Yılmazer: Esasen bu iki yapının siber güvenlik açısından farklılıklarını incelerken, bahis konusu yapıların nasıl ortaya çıktığını ve geliştiğini de göz önüne almak gerekir. Gelişimleri itibarı ile bakıldığında, kurumsal bilgi sistemlerinin verinin hızlı olarak işlenmesini, güvenli olarak saklanmasını ve iletilmesini, endüstriyel kontrol sistemlerinin ise fiziksel prosesin daha verimli, güvenli ve sürekli olarak devamını sağlamayı amaç edindiği görülmektedir. Bu açıdan bakıldığında kurumsal bilgi sistemlerinin, verinin, verinin işlenip barındırıldığı ve iletildiği ortamların güvenliğine yönelik gelişiminin erken safhalarından itibaren önem veren bir yaklaşım sergilediği görülebilecektir. Endüstriyel kontrol sistemleri ise dijitalleşmenin hız kazanıp, iletişim imkânlarının gelişiminden önce fiziksel kontroller hariç herhangi bir güvenlik yaklaşımı benimsememiş, izole bir dünyada faaliyet göstermenin rahatlığını yaşayagelmiştir. Ancak endüstriyel kontrol sistemlerinin kurumsal bilgi sistemleriyle hatta doğrudan internet ortamı ile erişim sağlama ihtiyacı duyması ile birlikte siber güvenlik yaklaşımı belirgin şekilde değişim göstermiştir. Endüstriyel kontrol sistemi yöneticileri seviye 1 ve üstünde, artık bilgi sistemlerine benzer şekilde sınır güvenliği, saldırı tespiti ve engellenmesi, ağ güvenliği ve segmentasyonu, ayrıcalıklı kullanıcı yönetimi, log analizi gibi teknolojileri hayat geçirme noktasına gelmiştir. Burada dikkat edilmesi gereken endüstriyel protokollerin bilgi sistemlerinde karşımıza çıkan protokollerden farklı yapıda olduğu ve çok daha fazla zafiyet barındırdıkları gerçeğidir.

CyberMag: Enerji sektöründeki şirketlerde genelde SCADA sistemleri kullanılıyor fakat bu sistemler neredeyse 50 yıl öncesine ait. Yani bugünün tehditlerine oldukça açıklar. Bu sistemlerin yenilenmesi ve çözümlerin sağlanması adına milli çözümlere çok ihtiyacımız var diyebilir miyiz?

Mehmet Yılmazer: Tabi ki. Ancak sistemler ne kadar eski olursa olsun çalışıyorsa, bu sistemlerin kurulum maliyetlerinin de yüksek olduğunu göz önünde bulundurup, kısa vadede etkin bir çözüm olması açışından harici ağlardan mümkün olduğunca izole ederek çalıştırmaya devam etmek gerektiği görüşündeyiz. Kritik altyapıların önemli bir bileşeni olması noktasından hareketle milli çözümlerin mutlaka desteklenmesi gerekliliğine inanmaktayız; ancak çok kısa vadede yerliye dönüşümün mümkün olamayacağı bilinciyle elimizdeki sistemlerin daha güvenli ve verimli olarak işletilmesine dönük çabaları aksatmamalıyız.

CyberMag: Bu bilgiler ışığında, siber güvenlikle ilgili strateji ve politikalar nasıl oluşturulmalı? Türkiye’de siber güvenlikten kim sorumlu? Bugüne kadar bu konuda neler yapıldı?

Mehmet Yılmazer: Ülkemizde Siber Güvenlik Kurulu 2012 yılı sonunda kuruldu. Ondan öncesinde TSK bünyesinde Siber Savunma Komutanlığı’nın kurulması, TÜBİTAK bünyesinde Siber Güvenlik Enstitüsü’nün oluşturulması da var. Fakat resmi anlamda yapılanma ilk olarak Siber Güvenlik Kurulu’nun kurulmasıyla başlıyor. Ardından USOM’un kurulması, Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nın yürürlüğe girmesi ve 2016-2019 Siber Güvenlik Stratejisi ve Eylem Planı’nın yayımlanması ile süreç devam ettirildi. İlk etapta kritik olarak belirlenen 6 sektörden elektronik haberleşme, bankacılık, finans, enerji sektörlerinde siber güvenlik konusunda düzenlemeler yapıldı. EPDK ise, eylem planları çerçevesinde enerji sektörü adına aksiyonlar alarak çalışmalarını hayata geçirdi.

CyberMag: Yerli ve milli çözümlerin üretilmesi adına, teknokentlerimize, yerli ve milli firmalarımıza düşen görevler nelerdir?

Mehmet Yılmazer: Bu konu sektörümüzde çok tartışılan bir konu. Yerli firmalarımızın bu konuya fazlasıyla kafa yorduğunu ve yatırım yaptıklarını biliyoruz. Ancak yerli firmaları zorlayan hususların varlığını da kabul etmek gerekir. Endüstriyel kontrol sistemleri özelinde geçerli referanslar olmadan piyasaya girebilmenin oldukça fazla çaba gerektirdiğinin farkındayız. Endüstriyel kontrol sistemleri gibi sürekliliği esas alan yapılarda, işleticilerin yeni teknoloji adaptasyonu konusunda fazlasıyla çekingen davrandıklarını görmekteyiz. İşleticiler kullanacakları ürünü bir PoC ortamı yerine ürünü üretim ortamında görmeyi ve değerlendirmeyi yeğlemekteler. Pratiğin bu şekilde oluşu, düşüncelerini yatırıma evirmeye çalışan yerli firmaları tereddüde düşürmekte. Bu noktada, düşüncemiz kritik altyapılarda hizmet verecek olan gerek donanım gerekse yazılımlar için teknokent destekleri haricinde teşvik mekanizmalarının benimsenmesinin çok faydalı olacağıdır. Sadece enerji sektöründen bahsedecek olursak, kısa vadede ülkemizin devreye almayı öngördüğü büyük hacimde bir kapasite, buna bağlı olarak da yatırım yapılması gereken endüstriyel sistemler, endüstriyel kontrol sistemleri ve güvenlik bileşenleri yatırımları mevcut. 2020 yılı için planlanan Akkuyu Nükleer Santrali bile tek başına 4800MW’lık bir kurulu güce sahip olacaktır. Tamamen olmasa bile bu tesis içerisinde belirli bileşenlerin yerli olması önemli bir mesaj olabilir. Bu alanda faaliyet gösteren, yatırım yapmayı planlayan firmaların da hızla büyüyen enerji sektörünün içerisinde yer alabilmek için her türlü gayreti sarf etmeleri gerektiğini düşünüyoruz.

CyberMag: Kritik enerji altyapılarının korunması çalışmalarının tüm enerji sektörünü içine alan bütüncül bir bakış açısıyla ele alınması ve takip edilmesi gerekmektedir. Bunun için ETKB bünyesinde enerji sektöründe çalışan işletmecilerin, ilgili STK’ların ve ilgili kamu kurumlarının temsilcilerinden oluşan bir siber güvenlik koordinasyon kurulu oluşturmak gerekmekte midir?

Mehmet Yılmazer: Aslına bakarsanız daha üst seviyeden bakıldığında Siber Güvenlik Kurulu’nda enerji sektörünün de temsil edilmesi gerekmektedir. Sorunuza dönecek olursak ETKB bünyesinde hâlihazırda bir Siber Güvenlik Koordinasyon Kurulu var, ancak üyeleri daha çok ETKB’nin kendi bağlı ve ilgili kuruluşlarından temsilerden oluşmakta. Diğer taraftan tüm sektörü SOME kapsamında koordine etmek ise Kurumumuzun görevidir.

CyberMag: EPDK Bilişim Hizmetleri Grup Başkanlığı olarak, kurum içi eğitimler ve seminerler düzenliyor musunuz?

Mehmet Yılmazer: Evet, ISO/IEC 27001 BGYS sertifikamız kapsamında kurum personeline her yıl farkındalık eğitimleri düzenliyoruz. Bu farkındalık eğitimleri ayrıca Kurumumuza stajyer olarak gelenler için de düzenleniyor. Kısacası Kurumumuzda herhangi bir nedenle belirli bir süre kalacak olan geçici personele de bu eğitimi veriyoruz.

CyberMag: Son olarak, yeni projelerinizden, çalışma ve faaliyetlerinizden bahseder misiniz?

Mehmet Yılmazer: Bugünlerde EKS’ler özelinde daha önce ülkemizde yapılmamış bir çalışma olan sızma testi metodolojisi üzerine yoğunlaştık. Kurumsal bilişim tarafında gerek sektörde gerekse kamu kurumlarında belirli bir metodoloji ile sızma testleri yapılıyor, ancak EKS tarafında, testleri yapanlar da dahil,  sınırları belirlemekte haklı olarak çekingen davranıyorlar. Çünkü söz konusu olan 7/24 çalışan sistemler; sızma testi esnasında sistemin herhangi bir noktasında problem oluşsa bu elektrik üreten bir santralse santralin durması, üretim yapamaması demektir. Bu nedenle çalışmamızı hassasiyetle sürdürüyoruz. Taslağı tamamladığımızda, sektörün görüşlerini almak için belirli bir süre tanıyacağız. Diğer taraftan 2016 yılında yapmayı planlayıp da ülkenin içinde bulunduğu durumdan ötürü ertelemek zorunda kaldığımız sektör içi siber güvenlik tatbikatını 2018 yılı içerisinde yapmayı planlıyoruz.