Ukrayna savaşından alınacak enerji güvenliği dersleri

H. Zafer ARIKAN

Değerli Okurlar,

Birçok ülkenin elektrik şebekelerini ve enerji tesislerini modernize etmekte (dijital dönüşüm) olduğu bugünlerde, enerji kaynaklarını “hacker” saldırılarından uzakta tutmak daha da önemli hale gelmiş bulunuyor.

Deutsche Welle’nin (Almanya’nın Sesi) bildirdiğine göre, Şubat sonunda Rus birliklerinin Ukrayna’ya girmesinden hemen önce, Orta Avrupa’da bir uydu linki üzerinden birbiriyle bağlantılı 5.800 adet rüzgar türbininin faaliyeti birdenbire durdu. Türbin kanatları dönmeye devam etmekle birlikte oto-pilot modunda çalışmakta olan türbinler bir türlü uzaktan “reset” edilemiyordu.

Rüzgar türbini üreticisi Enercon’un basın açıklamasında belirttiğine göre, haberleşme hizmetleri hemen hemen Rusya’nın Ukrayna’yı istilasıyla eş zamanlı olarak, devre dışı kalmıştı. Bu arızanın gerçek nedeni tam olarak bilinmiyor; ancak firma tarafından bilgi güvenliğinden sorumlu kuruluşa teknik bir arıza olduğu bildirildi.

Ne Enercon ne de ilgili kamu kuruluşu, arıza ile ilgili değerlendirmede bulunulması taleplerine bir yanıt vermedi. Bununla birlikte hemen herkes bunun bir siber saldırı olduğunu düşünüyor (1).

Burada şöyle bir soru ortaya çıkıyor:
Enerji altyapısının siber saldırılardan korunması ve gerekli önlemlerin alınması, ilgili kurum ve kuruluşlarla koordinasyon ve faaliyetlerin sürekliliğinin sağlanması açısından denetimlerden kim(ler) sorumlu olacaktır? Bilindiği gibi enerji üretim tesislerimizin bir kısmı kamuya ve bir kısmı özel sektöre, iletim tesislerimizin tamamı kamuya ve dağıtım sistemlerimiz ise bütünüyle özel sektör eliyle işletiliyor. Burada özellikle, iletim hatlarımızdan sorumlu TEİAŞ’ın durumuna dikkat çekmek istiyorum.

Ayrıca enerji altyapıları füze ya da bomba saldırılarında olduğu gibi bir defada tahrip olmuyor. Siber saldırılar sonucu, başta sistemin kendisinin fiziksel tahribi olmak üzere, verilerin yok edilmesi, çalınması, çevresel felaketler, vb. birbirini izleyen bir dizi başka tahribat da yaşanıyor. Dolayısıyla bütün bunların ayrıntılı olarak ele alınması ve incelenmesi gerekiyor.

Değerli okurlarım belki hatırlayacaklardır, birkaç yıl önce Enerji Günlüğünde yayınlanmış bir yazımda (2), yine Ukrayna’da yaşanan bir siber saldırıdan söz etmiş, enerji alt yapısının bir süreliğine çalışamaz hale geldiğini, benzer saldırıların başka birçok ülkede de gerçekleştiğini belirtmiştim.

Üretim-iletim-dağıtım faaliyetleri başta olmak üzere, enerji sektöründe yer alan tüm paydaşlar için, siber saldırılardan kaynaklanan çok fazla sayıda ve önemli riskler söz konusudur. Bu riskler, yalnızca dijital teknoloji uygulamalarının yoğun olarak uygulandığı günümüz tesislerine ilişkin değil, aynı zamanda geçmişte siber saldırı tehdidinin söz konusu olmadığı dönemlerde kurulmuş, eski teknoloji altyapısına sahip tesisler için de geçerlidir. Zira bu tesisler ya tehdide tamamen açıktır ya da bazı dijital teknolojilerle (akıllı sayaçlar, SCADA, muhtelif işletme yazılımları, vb.) yenilenmiş, imkan ve kabiliyetleri arttırılmış durumdadır.

Burada belki bir parantez açıp yenilenebilir enerji tesislerinin, bu sistemlerde veri akışının ağırlıklı olarak internet üzerinden yapılması nedeniyle, fosil yakıtlı eski tesislere göre siber saldırılardan daha fazla etkileneceğini söylemek yanlış olmaz. Bu durum, enerjinin üretildiği yerde tüketilmesinin ve ayrık sistemlerin önemini bir kez daha ortaya koyuyor.

Öte yandan, yukarıda anlattığımız hususlar, ulusal ölçekte bir Siber Güvenlik Stratejisinin en kısa zamanda oluşturulması gerekliliğini de bize söylüyor. Ama aynı zamanda, bazı sınır aşan enerji altyapıları nedeniyle (örneğin petrol ve doğalgaz boru hatları, uluslararası elektrik iletim hatları, vb.) ülkeler arasında yakın iş birliklerini ve standardizasyonu da zorunlu kılıyor. Kim bilir belki de bu durum, komşu ülkeler arasındaki kriz riskini azaltarak uluslararası barışa da katkıda bulunur.

Tüm okurlara esenlikler dilerim.

(1) Deutsche Welle, 07.03.2022

(2) Enerji Günlüğü, Enerji Dünyasında Siber Riskleri Yönetmek, 22.07.2018