EN
TR
Enerji Piyasası Düzenleme Kurulunun 25/04/2019 tarihli toplantısında: ekteki “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul ve Esasları’nın kabul edilerek Resmi Gazetede yayımlanmak üzere Cumhurbaşkanlığına gönderilmesine,
karar verilmiştir.
Ek
Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul Ve Esasları
BİRİNCİ BÖLÜM
Amaç, Kapsam, Hukuki Dayanak, Tanımlar ve Kısaltmalar
Amaç
(1) Bu usul ve esasların amacı, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinde (EKS) yetkisiz erişim elde edilmesine veya hassas bilgilere ulaşılmasına ve sistem sürekliliğinin aksamasına neden olabilecek güvenlik açıklıklarının sömürülmeden önce tespit edilip giderilmesinin sağlanmasıdır.
Kapsam
(1) Bu usul ve esaslar bunlarla sınırlı olmamak kaydıyla:
a) EKS ağının ve mimari yapının incelenmesi analizini,
b) EKS yapılarında görevli personele yönelik sosyal mühendislik testlerini,
c) EKS ağında zafiyet tarama analizini,
ç) EKS ağında zararlı yazılım analizini,
d) EKS kablosuz ağ ve bileşenleri testlerini,
e) EKS ağında sömürü testlerini,
kapsar.
(2) Testler üç yılda bir tekrarlanır. İşletmeye yeni girecek olan tesisler için işletmenin aktif duruma gelmesinden itibaren on sekiz ay içerisinde testler yaptırılır.
(3) Teste tabi kuruluş test esnasında envanterinde bulunan EKS bileşenlerine hâkim en az bir uzman personel ve test sürecine refakat edecek bir personel bulundurur.
Hukuki dayanak
(1) Bu usul ve esaslar; 13/07/2017 tarih ve 30123 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğinin 8 inci maddesinin ikinci fıkrasına dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
(1) Bu usul ve esaslarda geçen;
a) Aktif tarama: Çoğunlukla otomatize edilmiş araçlarla gerçekleştirilen ve ortamda mevcut cihazlara da gerektiğinde erişim sağlanan taramayı,
b) APN: Mobil iletişim altyapısı üzerinde sanal özel ağ kurulmasını sağlayan teknolojiyi,
c) Bilmesi gereken prensibi: Herhangi bir konu veya işi, ancak görev ve sorumlulukları gereği öğrenmekle, incelemekle, gereğini yerine getirmekle ve korumakla sorumlu bulunanların yetkisi düzeyinde bilgi sahibi olması ve nüfuz etmesini,
ç) DKS: EKS'lerin "dağıtık kontrol sistemi” bileşenini.
d) EKS: Endüstriyel Kontrol Sistemlerini,
e) Gömülü Sistem: Bir bilgisayardan farklı olarak, kendisi için önceden özel olarak tanımlanmış görevleri yerine getirmek üzere tasarlanmış, çekirdeği belirli bir sayıda görevi yerine getirmek için programlanan mikroişlemcilerden ya da mikro denetleyicilerden oluşan, üzerinde güncellenebilir yazılımların koştuğu RTU, PLC, MTU gibi sistemleri.
f) Güvenlik duvarı: EKS'lerin bulunduğu ağı korumaya yönelik konumlandırılan ve erişim kontrolü yapmak için kullanılan bileşeni,
g) HMI: EKS'lerin “insan-makine arayüzü” bileşenini,
ğ) IDS: EKS'lerin bulunduğu ağı korumaya yönelik konumlandırılan “saldırı tespit sistemi" bileşenini,
h) IED: Bir veya birden fazla işlemciye sahip, harici bir kaynaktan veri alma veya gönderme özelliğine sahip akıllı elektronik cihazları.
ı) IP: Internet Protokolünü,
i) IPS: EKS'lerin bulunduğu ağı korumaya yönelik konumlandırılan “saldırı önleme sistemi” bileşenini,
j) İlgili mevzuat: Enerji piyasasına ilişkin kanun, yönetmelik, tebliğ, genelge ve Kurul kararlarını,
k) KBS: Kurumsal Bilişim Sistemlerini,
l) Kurul; Enerji Piyasası Düzenleme Kurulunu.
m) Kuruluş: 13/07/2017 tarihli ve 30123 sayılı Resmi Gazetede yayımlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bitişim Güvenliği Yönetmeliğinin 6 ncı maddesinin birinci fıkrasında belirtilen lisans sahipleri tüzel kişileri,
n) Kurum: Enerji Piyasası Düzenleme Kurumunu,
o) MTU: EKS'lerin “ana telemem birimi” bileşenini,
ö) OSI: Açık sistemler bağlantısını,
p) OSINT: Açık kaynak istihbaratını,
r) Pasif tarama: Cihazlara erişim sağlanmadan sadece ağ trafiğinin analizi ile yapılan taramayı,
s) PLC: EKS'lerin “programlanabilir mantık denetleyici” bileşenini,
ş) PERA: Purdue Kurumsal Referans Mimarisini,
t) RF: Radyo frekansı,
u) RTU: EKS’lerin “uzak terminal birimi” bileşenini.
ü) SCADA: EKS'lerin “merkezi denetim ve veri toplama” bileşenini,
v) Sömürü Testi: Bir uygulamada veya sistemdeki bir güvenlik açığından yararlanarak hedef sistem veya uygulama üzerinde yetki elde etme işlemini,
y) Zafiyet tarama: Ağ altyapılarındaki güvenlik açıklarının belirlenmesi ve sınıflandırılması işlemini ifade eder.
(2) Bu usul ve esaslarda geçen ve birinci fıkrada yer almayan tanım ve kısaltmalar için ilgili mevzuatta geçen tanım ve kısaltmalar geçerlidir.
İKİNCİ BÖLÜM
Güvenlik Analiz ve Test Metodolojisi
EKS Ağının ve Mimari Yapının İncelenmesi Analizi
(1) Bu analizde EKS'nin bulunduğu mevcut ağ yapısı incelenerek güvenlik pratikleri açısından değerlendirilmesi sağlanır. Bu amaçla, incelenen yapıların mantıksal topolojisi, uzak saha bağlantılarını da içerecek şekilde analizi gerçekleştiren kişi tarafından oluşturulur. Eğer kuruluş tarafından bir topoloji bilgisi sağlanır ise, bunun güncel olup olmadığı ve mevcut durumu yansıtıp yansıtmadığı doğrulanır. Yapılan analiz ile EKS'yi oluşturan IP'ye sahip MTU, RTU, HMI, SCADA/DKS sunucu, yönlendirici, anahtar gibi bileşenlerin ağ üzerindeki konumları belirlenir. Analiz sonucunda, ilgili bileşenlerin topolojideki konumlarına istinaden EKS’leri etkileyebilecek, erişilebilirlik, bütünlük ve gizlilik açılarından tehdit unsuru oluşturan riskler bulgu olarak ortaya konulur.
a) Kapsam ve Uygulama; (1) EKS ağının ve mimari yapının incelenmesi aşağıdaki başlıkların detaylı analizini ve raporlamasını içermektedir;
a) Topoloji analizi,
b) Konfigürasyon analizi,
c) EKS sınır güvenliği analizi,
ç) Erişim analizi,
d) Diğer analizler:
1) Yetkili hesap yönetimi.
2) Kurum altyapısındaki varlıkların konumlandırılması,
3) İnternete erişebilen varlıklar,
4) İnternetten erişilebilen varlıklar.
5) SSL kullanımı,
6) İş sürekliliği analizi,
b) Kullanılacak Yöntem: (1) EKS ağının ve mimari yapının incelenmesi çalışmaları, bu altyapıya hâkim kuruluş personeli ile soru-cevap şeklinde ve altyapıda OSI 3. katmanda çalışmakta olan ağ ve güvenlik cihazlarının yapılandırmalarını ve erişim politikalarını inceleyerek gerçekleştirilir. Bu kapsamda yapılması öngörülen analizlerin detayları konu
başlıklarına göre aşağıdaki gibidir:
(2) Topoloji Analizi; Topoloji analizi çalışması sırasında EKS altyapısında çalışmakta olan ve IP adresine sahip sunucu, ağ bileşenleri, güvenlik bileşenleri ve MTU, RTU, HMI, PLC gibi saha ekipmanları soru-cevap ya da saha incelemesi ile belirlenir. Belirlenen ağ cihazlarından OSI 3. katmanda çalışmakta olanların yapılandırmalarını incelemek için, ara yüz bağlantısı sağlanır ve yapılandırma çıktısı temin edilir. Elde edilen verilerle mevcut altyapının topoloji çizimi sağlanır. Mevcut topolojiye göre EKS altyapısı için yüksek erişilebilirlik olmaması durumu, IDP/IPS bulunmaması gibi riskli konular bulgu olarak raporlanır.
(3) Konfigürasyon Analizi; Konfigürasyon analizi çalışması sırasında kritik öneme sahip omurga anahtarı, güvenlik duvarı, IDS/IPS gibi ağ ve güvenlik cihazlarının yapılandırmaları incelenerek bu sistemlerin yedekliliği, güvenlik duvarının SSL denetimi yapması ve segmentasyon gibi konular değerlendirilir. Mevcut altyapıda rutin işleyişin aksamasına sebebiyet verebilecek yedeklilik yapılandırmasının eksik/yanlış olması, ağdaki diğer sistemlere sıçrama riskini minimize edecek segmentasyon yapılandırmasının olup olmaması gibi riskli konular bulgu olarak ortaya konur.
(4) EKS Sınır Güvenliği Analizi: Bu analiz ile EKS altyapısını tehdit eden unsurların EKS altyapısına etki etmeden önce engellenebilmesi adına alınan;
a) İş ihtiyacı olan güvensiz servislerin güvenli olan alternatifleri ile değiştirilmesi,
b) EKS ağında, internete hizmet veren sistemlerin bulundurulmaması,
c) EKS ve KES ağlarında IDS/IPS sistemlerinin mevcudiyeti,
ç) 802.1x ile bağlantı kontrolü yapılması,
konulan denetlenir ve riskli konular bulgu olarak raporlanır.
(5) Erişim Analizi: Erişim analizi çalışması sonucu KBS ve EKS ağları arasındaki erişimlerin durumu ortaya konur. Bu çalışma esnasında;
a) EKS ağında kamu ve hizmet sağlayıcıların erişimleri gibi zorunlu olarak sağlanması gereken bağlantıların uygun şekilde yapılandırılmış olması,
b) EKS ağı ile kuruluşta çalışan kullanıcıların e-posta alma-gönderme, kurumsal sistemlere erişim, dosya sunucusuna erişim, İnternet erişimi gibi kurumsal işlemlerini gerçekleştirdikleri bilgisayarların/tabletlerin/telefonların bulunduğu ağ arasında kontrol edilen ve tanımlanmış izleme gibi erişimlerin haricinde bir erişimin olmaması,
c) Mevcut erişim izinlerinin bilmesi gereken prensibine uygunluğu, gibi konular denetlenir.
(6) Diğer Analizler:
a) Yetkili Hesap Yönetimi: Yetkili hesap yönetimi konusunda gerçekleştirilen analiz çalışması ile EKS'de kullanılmakta olan hesapların yetkilendirmesinin nasıl yapıldığı, parola yönetimi ve bilmesi gereken prensibinin uygulanıp uygulanmadığının denetimi gerçekleştirilir.
b) Kuruluş Altyapısındaki Varlıkların Konumlandırılması: Kuruluş altyapısındaki varlıkların konumlandırılması incelenirken PERA, NIST SP800-82r2 ve SANS Secure Architecture for Industrial Control Systems dokümanlarında belirtilen en iyi uygulama örneklerine uygun ve/veya DEC-62443 standartlarına uyumlu ağ segmentasyonu yapılıp yapılmadığı denetlenir.
c) İnternete Erişebilen Varlıklar: EKS altyapısında İnternete erişebilen varlıkların bulunup bulunmadığı incelenir. Varsa gerekliliklerinin sorgulanması ile birlikte İnternete erişimlerin hangi izinlerle gerçekleştiği ortaya konur.
ç) İnternetten Erişilebilen Varlıklar: EKS altyapısında İnternetten erişilebilen varlıkların bulunup bulunmadığı incelenir. Varsa gerekliliklerinin sorgulanması ile birlikte ne amaçla ve hangi izinlerle erişildiği belirlenir.
d) SSL Kullanımı: EKS altyapısında kullanıcı arayüzlerinin şiire ile korunup korunmadığı ve bunların SSL üzerinden hizmet verip vermediği belirlenir.
e) İş Sürekliliği Analizi: İş sürekliliği analiz çalışmasıyla kuruluşun mevcut EKS altyapısındaki bileşenlerden herhangi birinde sorun yaşanması durumunda rutin işleyişin aksamamasını sağlayacak önlemlerin alınıp alınmadığı belirlenir. Güvenlik ve ağ cihazlarında problem olması durumunda fiziksel bir yedeğinin olup olmadığı ve yapılandırma yedeklerinin düzenli olarak alınıp alınmadığı kontrol edilir.
c) Kullanılacak Araçlar: (1) Bu analiz çalışması kapsamında, bir kontrol listesi üzerinden hareket edilmesi önerilir. Bu liste yukarıdaki analiz yöntemlerinin gereksinimlerini kapsayacak şekilde hazırlanmalı ve herhangi bir isterin gözden kaçmasını önlemek için takip edilmelidir. Bunun yanında, ağ ve güvenlik cihazları üzerinde konfigürasyon incelemeleri, temin edilecek IP bazlı envanter listesi, ağ topolojisi, ilgililere sorulacak somların bulunduğu soru listeleri ve güvenlik duvarı analiz yazılımı gibi otomatik analiz araçları kullanılabilir.
EKS Yapılarında Görevli Personele Yönelik Sosyal Mühendislik Testleri
(1) Sosyal mühendislik testleri ile, EKS ağına erişim yetkisi olan personelin güvenlik davranışları ve farkındalık seviyeleri analiz edilir.
a) Kapsam ve Uygulama: (1) EKS yapılarında görev yapan personele yönelik yapılacak olan sosyal mühendislik testi siyah kutu veya beyaz kutu olarak uygulanabilir. Uygulanacak yönteme göre test kapsamı belirlenir. Kuruluş tarafından siyah kutu testi istenildiği takdirde, testi gerçekleştirecek ekip kuruluş personeline ait bilgileri pasif tarama yöntemleriyle araştırıp kuruluşun bilgisi dâhilinde kapsamı belirler. Beyaz kutu olması halinde test kapsamı kuruluş tarafından belirlenip testi gerçekleştirecek ekibe verilir.
b) Kullanılacak Yöntem: (1) Siyah Kutu: Siyah kutu yöntemiyle gerçekleştirilecek olan sosyal mühendislik testinde, testi gerçekleştirecek kişi kurumdan daha önceden kapsam bilgisi almadan OSINT (Açık Kaynak İstihbaratı) araçları ile kuruluşa özel saldın vektörlerini geliştirmek amacıyla e-posta adreslerini, telefon numaralarını ve fiziksel güvenlik kontrolleri ile ilgili bilgileri toplar. Bu bilgilerin kullanım ve uygulanacak senaryolar kuruluş yetkilisinin onayına sunulur.
(2) Beyaz Kutu: Beyaz kutu yöntemiyle gerçekleştirilecek sosyal mühendislik testinde kuruluş tarafından, testi gerçekleştirecek kişiye, kapsam dâhilindeki personelin telefon numaraları, e-posta adresleri ve fiziksel lokasyon bilgileri verilir. Bu bilgilerin kullanımı ve uygulanacak senaryolar kuruluş yetkilisinin onayına sunulur.
c) Kullanılacak Araçlar: (1) EKS’lere yönelik gerçekleştirilecek sosyal mühendislik testlerinde OSINT araçları kullanılarak kuruluş ve kuruluş personeline ait bilgiler toplanır. Toplanan bilgiler sosyal mühendislik testi gerçekleştirmek amacıyla kullanılır.
(2) Toplanan bilgiler doğrultusunda kuruluş personelinin farkındalık seviyesini tespit etmeye yönelik oltalama testi gerçekleştirilir. Bu test gerçekleştirilirken, zararlı eklenti barındıran e- posta veya sahte web sitelerine yapılan yönlendirmelerle hassas kuruluş bilgileri veya operasyonel bilgilerin toplanması gibi farklı yöntemler kullanılabilir. Testler kapsamında, 7/4/2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu'na aykırı olarak değerlendirilebilecek kişisel verilerin alınmaması uygun olacaktır.
(3) Kuruluş personeline yönelik sesle oltalama testinde hassas personel bilgileri ele geçirilmeye çalışılır. Test, telefon numaralarını taklit ederek veya farklı bir kimlik bilgisiyle aranarak gerçekleştirilebilir. Test kapsamında VoIP, cep telefonu veya dâhili hatlar gibi farklı erişim kanalları kullanılabilir.
(4) Fiziksel güvenlik değerlendirmesinde, kuruluşların fiziksel güvenlik kontrolleri çeşitli atlatma teknikleri kullanılarak yerinde denetlenir ve kuruluşun iyileştirme yapması gereken alanlar belirlenir. Fiziksel güvenlik testinde;
a) Video gözetimi,
b) İzole alanlara erişim,
c) Güvenlik görevlilerinin kuruluşun inisiyatifinde olacak şekilde atlatılması/kandırılması, test edilebilir.
(5) Test edilecek şirket politikaları asgari olarak:
a) Yabancılara/misafırlere yönelik uygulamalar,
b) Kilit, şifre ve biyometrik sistemler gibi geçiş kontrollerinin etkinliği,
c) Çöpe atılan kritik bilgilerin elde edilmesi,
ç) Taşınabilir donanımların kullanımına yönelik çalışanların farkındalığı, konularından oluşur.
EKS Ağında Zafiyet Tarama Analizi
(1) Kuruluşun EKS ağındaki bileşenlere yönelik zafiyet taramasının pasif tarama yöntemleriyle gerçekleştirilmesi esastır. Teknik olarak pasif tarama yapılamaması durumunda ise bu maddede belirtilen uygun aktif tarama yöntemlerinden biri kullanılabilir. Yapılan tarama sonrasında keşfedilen zafiyetlerin doğrulaması ve bu zafiyetlerin sömürülmesi sonucu oluşabilecek etkilerin değerlendirilmesi yapılır. Tespit edilen zafiyetler aynı zamanda sömürü testlerinde saldırı yöntemlerinin belirlenmesi için kullanılabilir.
(2) Kuruluşta aktif zafiyet tarama;
a) Duruş yapılabilen EKS'lerde duruş esnasında,
b) Parçalı duruş yapılabilen EKS'lerde sadece duruş yapılan EKS'ler üzerinde,
c) Duruş yapılamayan EKS'lerde, enerji talebinin düşük olduğu dönemlerde EKS’leri en az etkileyecek şekilde,
ç) Yukarıdaki seçenekler değerlendirilemiyor ise. testin neden olabileceği riskler detaylı olarak analiz edildikten sonra uygun görülen bir ortamda, yapılabilir.
a) Kapsam ve Uygulama: (1) Test yaptıracak kuruluşların, EKS’de kullanılan tüm bileşenlerin aynı yazılım sürümleri ve yapılandırma ayarlarıyla birlikte var olacağı bir test yatağı hazırlaması canlı ortamda mevcut olan zafiyetlerin belirlenmesi açısından fayda sağlayacaktır. Test yatağının canlı ortam ile uyumluluğu testi gerçekleştirecek uzman tarafından doğrulanacaktır.
(2) Kuruluşun belirtilen koşullarda test yatağı bulunuyorsa bu ortamda aktif zafiyet tarama yöntemiyle gerçekleştirilir. Aksi durumda zafiyet taraması canlı ortamda pasif tarama yöntemiyle gerçekleştirilir. EKS bileşenleri arasında seri haberleşme teknolojileri mevcut ise ve EKS ağı içerisinde seri haberleşme ortamından TCP/IP haberleşme ortamına geçişi sağlayan dönüştürücü varsa bu sistem üzerinden güvenlik testi gerçekleştirilebilir.
b) Kullanılacak Yöntem: (1) EKS üzerinde zafiyet taraması sırasında dikkat edilmesi gereken hususlar aşağıdaki gibidir:
a) Taranan cihazın işlevinin bozulmayacağından veya bu cihazın kaybının rutin işleyişi etkilemeyeceğinden emin olunmalıdır,
b) Herhangi bir olumsuzluk durumunda teste tabi bileşenin, hızlı bir şekilde eski haline geri döndürülmesi için gerekli hazırlıklar ve planlar yapılmış olmalıdır. Söz konusu durumlar için adi durum eylem planının hazırlanmamış olması mevcut bir zafiyet olarak değerlendirilmelidir.
c) Taranacak sistem yedekti değil ise. yapılacak olan zafiyet tarama işlemi risk teşkil etmeyecek şekilde sınırlandın imalıdır.
c) Kullanılacak Araçlar: (1) Zafiyet taramasında kullanılacak araç, içerisinde endüstriyel protokollerin ve uygulamaların. EKS ağında bulunan işletim sistemlerinin zafiyetlerini tespit edebilecek özellikler barındırır.
(2) Zafiyet tarama aracı ile bütün bir IP bloğu taraması yapılmaksızın taraması yapılacak olan cihazların IP adresleri tekil olarak tanımlanır ve uygun parametre ile taranır. Parametrelerin seçimi iki farklı yaklaşımla gerçekleştirilir:
a) Açık portlartn belirlenmesi için port taraması gerçekleştirilir. Tespit edilen bulgulara göre uygun tarama yöntemi ile teste devam edilir. Port taraması yapılırken sisteme zarar vermeyecek parametreler seçilir.
b) Sunucu hakkında kuruluş tarafından verilecek bilgiye göre uygun parametrelerle teste devam edilir.
(3) Servis dışı bırakma ve kaba kuvvet gibi tehlikeli sayılabilecek yöntemler kullanılmamalıdır.
EKS Ağında Zararlı Yazılını Analizi
(1) Zararlı yazılını analizi ile EKS ağında oluşan trafik analiz edilerek zararlı yazılım kaynaklı herhangi bir iletişimin mevcut bulunup bulunmadığı tespit edilir. Bu tür bir iletişimin tespiti durumunda, anormal trafiğin kaynağı ve EKS bileşenlerine etkisi incelenir.
a) Kapsam ve Uygulama: (1) Bu analiz EKS ağı trafiğinin aynalanabildiği sistemler üzerinde uygulanır. EKS ağı trafiğinin aynalanamadığı ortamlarda işletim sistemi seviyesinde zararlı yazılım tespiti yapılabilir.
b) Kullanılacak Yöntem: (1) EKS ağı trafiği üzerinde zararlı yazılımın tespit edilebilmesi için yapılacak analiz. EKS ağında mevcut yönlendirici veya anahtarlar üzerinden port aynalaması yapılarak gerçekleştirilir. Port aynalama için elverişli olmayan ortamlarda işletim sistemi seviyesinde, taşınabilir bellek üzerinden kurulum yapmaksızın çalıştırılabilen zararlı yazılım tespit araçları ile zararlı yazılımlar tespit edilebilir. Gerekli görüldüğü durumlarda zararlı yazılım analizi teknikleri ile zararlı olarak tespit edilen içeriğin EKS bileşenlerine olan etkileri incelenir.
(2) Zararlı yazılını analizi kapsamında imzası henüz bilinmeyen yeni zararlılar veya kurumları hedef alarak hazırlanmış olan gelişmiş kalıcı tehdit saldırılarının da tespit edilip engellenmesi hedeflenir.
c) Kullanılacak Araçlar: (1) Zararlı yazılım analizinin gerçekleştirilmesi için, EKS bileşenlerini ve protokollerini destekleyen zararlı yazılım tespit ve analiz araçlarının kullanılması tercih sebebidir. Bu araçlara kullanımı, test yapılacak ortamın kullanılacak yöntemlerde belirtildiği üzere zararlı yazılım tespiti için elverişli olup olmamasına göre belirlenir. Elverişli olan ortamlarda port aynalama yöntemiyle ağ trafiğinin kopyasını alarak ağ trafiği üzerinde zararlı yazılım tespit ve analizi yapan araçlar kullanılabilir. Elverişli olmayan ortamlarda taşınabilir bellek üzerinden kurulum yapmaksızın çalıştırılabilen zararlı yazılım tespit araçları kullanılabilir.
EKS Kablosuz Ağ ve Bileşenleri Testleri
(1) Kablosuz EKS ağları ve kablosuz ağ bileşenleri ile bu ağlar üzerinden haberleşen uygulamaların güvenliği analiz edilir.
a) Kapsam ve Uygulama: (1) Kablosuz ağ testlerinin amacı, kablosuz ağa yetkisiz erişim imkanı olup olmadığının ve ağdaki trafik üzerinde manipülasyon yapılıp yapılamayacağının değerlendirilmesidir. EKS bileşenlerinin bağlı olabileceği kablosuz ağların şifreleme ve anahtar güvenliği, APN yapısı kullanılıyorsa hu sistemlerin güvenlik seviyeleri ve sahte erişim noktaları açılarak kullanıcıların veya operatörlerin tepkileri ölçülür. Bu kapsamda aşağıdaki testler yapılır:
a) 802.11x, 802.15.1 ve 802.15.4 güvenlik testleri,
b) Mobil ağ iletişiminin güvenlik testleri,
c) APN güvenlik testleri,
ç) RF (Radyo Frekans) iletişiminin güvenlik testleri.
b) Kullanılacak Yöntem: (1) Kablosuz ağ keşif çalışmalarının amacı, kuruluş yerleşkesinde bilinen veya bilinmeyen kablosuz ağ erişim noktalarının tespit edilmesidir. Bu kapsamda aşağıdaki özellikler belirlenmeye çalışılır:
a) 802.11 x güvenlik testleri kapsamında:
1) Kullanıcı denetimleri,
2) Çevresel tehdit analizleri,
3) Yetkilendirme saldırıları,
4) Erişim noktası hizmeti veren cihazların denetlenmesi,
5) Kablosuz ağ güvenlik çözümlerinin denetlenmesi.
b) 802.15.1 ve 802.15.4 güvenlik testleri kapsamında:
1) İlgili cihazın bileşenlerinin tespit edilmesi,
2) İlgili cihaz hakkında yetkili ve yetkisiz bir şekilde toplanabilecek bilgilerin kontrol edilmesi,
3) İlgili cihazın kullandığı yetkilendirme tipinin test edilmesi,
4) İlgili cihazın kullandığı şifreleme yönteminin test edilmesi.
c) Mobil ağ iletişiminin güvenlik testleri kapsamında:
1) İlgili cihazın bileşenlerinin tespit edilmesi,
2) İlgili cihaz hakkında yetkili ve yetkisiz bir şekilde toplanabilecek bilgilerin kontrol edilmesi,
3) İlgili cihazın mobil ağ iletişimini sağlamak amacı ile kullandığı SIM kartın test edilmesi,
4) İlgili cihazın mobil ağ iletişiminin yayın bozma saldırılarına karşı tepkilerinin ölçülmesi,
5) İlgili cihazın mobil ağ araya girme saldırılarına karşı tepkilerinin ölçülmesi ve elde edilebilecek bilgilerin incelenmesi.
ç) APN güvenlik testleri kapsamında:
1) Kuruluşun vereceği izinler doğrultusunda APN bulutuna dâhil edilmesi,
2) APN bulutuna bağlı cihazların tespit edilmesi,
3) APN bulutundaki cihazların haberleşme protokollerinin tespit edilmesi ve zafiyetlerinin raporlanması.
d) RF iletişimin güvenlik testleri kapsamında:
1) İlgili cihazın bileşenlerinin tespit edilmesi.
2) İlgili cihaz hakkında yetkili ve yetkisiz bir şekilde toplanabilecek bilgilerin kontrol edilmesi,
3) İlgili cihazın RF iletişiminin tekrarlanabilirliğinin test edilmesi,
4) İlgili cihazın RF iletişiminin yayın bozma saldırılarına karşı tepkilerinin ölçülmesi,
5) İlgili cihazın RF araya girme saldırılarına karşı tepkilerinin ölçülmesi ve elde edilebilecek bilgilerin incelenmesi.
c) Kullanılacak Araçlar: (1) EKS kablosuz ağ ve bileşenleri testlerinde, güvenlik ortamında sahte kablosuz yerel ağlar tespit etmek için saldırı tespit ve önleme sensörleri, tarayıcılar gibi araçlar kullanılır. Kablosuz yerel ağları tespit etmek için kablosuz ağ kartları ve test araçları bulunan bir veya daha fazla taşınabilir bilgisayar kullanılabilir.
EKS Ağında Sömürü Testleri
(1) Analiz, ve test çalışmasının son adımıdır. Sömürü testlerinin uygulanması için kuruluşun onayı ve uygun şartları sağlaması, testlere dair ön şartların belirlenerek kuruluş tarafından testi yapan firmaya yazılı olarak sunulması gerekmektedir,
(2) Bu testler 3 alt aşamadan oluşur:
a) EKS Ağında Koşan Bilinen İşletim Sistemlerine Sömürü Testleri
1) Kullanılacak Yöntem: (1) EKS’nin yönetimi amacıyla kullanılan sunuculardaki işletim sistemlerinin sömürü testlerinin canlı ortamda gerçekleştirilmesi önerilmez. Tespit edilen zafiyetlerin sömürü testi, yükümlü kuruluşun sağlayacağı test yatağında veya canlı ortamı etkilemeyeceği bir sistem üzerinde gerçekleştirilir.
2) Kullanılacak Araçlar: (1) İşletim sistemlerinin sömürü testlerini gerçekleştirecek araçlar KBS'lerde sömürü testleri için kullanılan zafiyet sömürü araçları ile aynıdır. Kullanılan işletim sistemleri üzerinde tespit edilen zafiyetler ticari veya açık kaynak kodlu ilgili araçlarla test edilir.
b) EKS Ağında Koşan Bilinen Uygulamalara Sömürü Testleri
1) Kullanılacak Yöntem: (1) Kuruluş tarafından kapsama dahil edilen veya test sırasında tespit edilen uygulamalar statik ve dinamik olarak test edilir. İlgili uygulamalara, İnternet ortamından veya KBS ağından testin gerçekleştirilmesi gerekir. Yapılan sömürü testi sonucunda zafiyet barındıran uygulamalara erişim ve yetki kontrolü sağlanır. Canlı ortamda yapılan sömürü testi, ilgili uygulamada bazı değişikliklere sebebiyet verebileceğinden risk teşkil etmekte olup, söz konusu testin test yatağı üzerinde gerçekleştirilmesi tavsiye edilir.
2) Kullanılacak Araçlar: (1) EKS veya gerektiğinde KBS uygulamalarına özel geliştirilmiş zafiyet sömürü araçları kullanılabilir.
c) EKS Ağında Çalışan Gömülü Sistemlere Yönelik Sömürü Testleri
1) Kullanılacak Yöntem: (1) EKS ağı üzerinde ilk katmanda yer alan PLC, RTU, IED gibi bileşenlere yönelik daha önce tespit edilen zafiyetlerin sömürü testleri gerçekleştirilir. Bu aşamada birkaç farklı yöntem kullanılabilir. Söz konusu test, EKS ağı içerisindeki tüm bileşenlerin işletim sistemi, yazılım ve donanım sürümlerinin aynı olması koşulu ile sağlanacak test yatağında gerçekleştirilebilir. Test yatağı olmaması durumunda yapılacak testler bu usul ve esasların 7 nci maddesinin ikinci fıkrasında belirtilen koşullar göz önüne alınarak gerçekleştirilir.
2) Kullanılacak Araçlar: (1) Testin bu aşamasında KBS ve EKS için geliştirilmiş zafiyet sömürü testi araçları veya otomatize olmayan teknikler kullanılacaktır. Söz konusu sömürü testi ticari veya açık kaynak kodlu ilgili araçlarla gerçekleştirilebilir.
Güvenlik Analiz ve Test Sonuçlarının Takibi
(1) Kuruluşlar güvenlik analiz ve testleri sonucu tespit edilen bulguları, bulguların önem derecelerini, birlikte oluşturabilecekleri riskleri ve bunların yer aldığı rapordaki önerileri dikkate alarak, kendi yönetim kurullarınca onaylanan ve bu bulguların en kısa sürede giderilmesini amaçlayan bir aksiyon planını uygular. Güvenlik analizi ve testi sonuçlarının yer aldığı rapor, tamamlanmasının ardından talep edildiği takdirde Kuruma sunulmak üzere saklanır.
(2) Bulgu önem dereceleri beş kategoride ele alınır. Acil, kritik, yüksek, ona ve düşük şeklinde olan kategorilere ilişkin açıklamalar aşağıda yer almaktadır:
| Bulgu Önem Derecesi | Açıklama |
| Acil | Niteliksiz saldırgan tarafından kuruluşun dış ağından gerçekleştirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır. |
| Kritik | Nitelikli saldırgan tarafından kuruluşun dış ağından gerçekleştirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır. |
| Yüksek | Kuruluşun dış ağından gerçekleştirilen ve kısıtlı hak yükseltilmesi veya hizmet dışı kalma ile sonuçlanan, ayrıca yerel ağdan ya da sunucu üzerinden gerçekleştirilen ve hak yükseltmeyi sağlayan |
| saldırılara sebep olan açıklıklardır. | |
| Orta | Yerel ağdan veya sunucu üzerinden gerçekleştirilen ve hizmet dışı bırakılma ile sonuçlanan saldırılara sebep olan açıklıklardır. |
| Düşük | Etkilerinin tam olarak belirlenemediği ve literatürdeki en iyi sıkılaştırma yöntemlerinin izlenmemesinden kaynaklanan eksikliklerdir. |
(3) Kapsam bölümünde belirtilen başlıkların her biri altında raporlanacak bulguların sunuş biçimi aşağıda belirtilmektedir:
| Bulgu Referans No | Rapordaki her bulguyu tekil olarak niteleyen harf/rakam dizisi |
| Bulgu Adı | Bulguyu özet olarak ifade eden tanımlayıcı isim |
| Önem Derecesi Etkisi | Bulgunun, aynı maddenin ikinci fıkrasında yer verilen önem derecesi Bulguda yer verilen açıklığın/eksikliğin kötüye kullanılması durumunda oluşabilecek potansiyel sonuç |
| Kullanılan Yöntem | Bulguya erişimde kullanılan yöntem |
| Araçlar | Bulguya erişirken kullanılan araçlar |
| Kullanıcı Profili | Bulguya hangi kullanıcı profili ile erişildiği bilgisi |
| Erişim Noktası | İnternet, intranet veya spesifik bir ağ segmenti |
| Bulgunun Tespit Edildiği Bileşen(ler) | Bulgunun tespit edildiği bileşeni niteleyen IP adresi, URL, sistem, servis, sunucu veya varlık adı gibi bilgiler |
| Bulgu Açıklaması | Bulgunun detaylı açıklaması |
| Çözüm Önerisi | Bulgunun giderilmesi için testi gerçekleştiren firma tarafından yapılacak çözüm önerisi |
Güvenlik Analiz ve Testlerini Yapacak Kişilerde Aranacak Özellikler
(1) Güvenlik analiz ve testlerini yapacak kişide aranacak özellikler aşağıda belirtilmiştir:
a) EKS mimarisi, çalışma prensipleri ve iletişim protokolleri ile ilgili üretici veya üreticilerin yetkilendirdiği firmalardan, eğilim içeriği ve katılım belgesi ibraz edilecek şekilde, eğitim almış olmak,
b) Ağ güvenliği konusunda uluslararası kabul görmüş kuruluşlardan alınmış Comptia Security+, GSEC, CND, SSCP gibi sertifikalardan en az birine sahip olmak,
c) CEH, OSCP, en az Sertifikalı Sızma Testi Uzmanı seviyesinde olmak üzere TSE Ağ ve Sistem Altyapısı Sızma Testi Uzmanı, GPEN’den en az ikisine sahip olmak,
ç) GICSP sertifikasına sahip olmak.
(2) "EKS Ağının ve Mimari Yapısının İncelenmesi" analizini yapacak kişilerde yukarıda belirtilen (c) ve (ç) bentlerindeki yetkinlikler aranmaz.
(3) Güvenlik analizi ve testlerini gerçekleştirecek firmada TS 13638 sayılı yeterlilik belgesi aranır.
(4) Güvenlik analizi ve testlerini gerçekleştirecek firma ile kuruluş arasında gizlilik sözleşmesi yapılır.
ÜÇÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Geçiş süreci
(1) 12 nci maddenin birinci fıkrasının (ç) bendinde belirtilen yetkinlik düzenlemenin yayımı tarihinden itibaren yirmi dört ay sonrasında aranır.
(1) Bu usul ve esasların yürürlüğe girdiği tarihten itibaren on sekiz ay içerisinde EKS üzerinde güvenlik analizleri ve testleri yaptırılır.
Yürürlük
(1) Bu usul ve esaslar yayımı tarihinde yürürlüğe girer.
Yürütme
(1) Bu usul ve esaslar hükümlerini Enerji Piyasası Düzenleme Kurumu Başkanı yürütür.
