Giriş

Tüm ülkeler için gelişmişliğin bir göstergesi olan enerji kullanımı aynı zamanda kalkınmışlığın da bir ölçütü olarak kabul edilmektedir. Dolayısıyla kalkınma ile toplum refahının yükseltilmesi, büyüme ve gelişmenin sağlanmasına ilişkin vazgeçilmez unsur, enerji olmaktadır. Bu bağlamda, enerjinin yönetimi, denetimi, güvenilirliği ve güvenliği günümüzde, belki de en önemli olguyu oluşturmaktadır.

Kalkınma ve ülke ekonomisi açısından enerjinin; kesintisiz, zamanında, emre amade, temiz ve ucuz olarak temini esas olmaktadır. Emre amadelik ifadesi ile, sürekli ve her tür şartta önemli miktarlarda (özellikle de tam güçte) enerji üretebilme kabiliyeti ve kapasitesi kastedilmektedir. Bir başka deyişle, “emre amade” ifadesi ile kesintisiz ve güvenilir enerji temini betimlenmiş olmaktadır.

Burada şunu ifade etmek gerekir ki; gece-gündüz ve mevsimsel farklılık gözetmeden, her an ve her yerde enerji talebini karşılayabilecek olan santrallar ülkeler için ayrı bir öneme sahip olmaktadırlar. Zira, içinde bulunduğumuz bilişim çağında toplumlar elektriksiz kalmaya tahammül edemez hale gelmiş bulunmaktadırlar. Dolayısıyla günümüzde emre amade santrallar öne çıkmaktadır. Bu tip santrallar ise fosil yakıtlı santrallar ile nükleer enerji santraları olup “Baz Santrallar” olarak nitelenmektedirler.

Emre amade santrallardan olan nükleer enerji santrallarının güvenliği, çok katmanlı teknik sistemler ve de sıkı yasal düzenlemelerle çok boyutlu anlamda güvenliğin temini ve denetimlerle sağlanmaktadır. Burada çok boyutluluk kapsamında öne çıkan bir güvenlik unsuru da “Siber Güvenlik” konusu olmaktadır.

Siber Güvenliğin Önemi

Nükleer güç santralları için vazgeçilmez bir husus “Siber Güvenlik” olup fiziksel ve nükleer güvenlik kadar kritik bir öneme sahip bulunmaktadır. Nükleer santrallar, baz santral olarak ülkelerin enerji üretiminin temel unsurları arasında yer aldığından süreklilikle enerji üretebilmeleri son derece önem arz etmektedir.

Bu bakımdan ele alındığında; nükleer santrallara yapılan herhangi bir siber saldırı ülke çapında enerji kesintilerine ve güvenlik risklerine yol açabilme tehdidini içermektedir. Bir başka deyişle nükleer santrallar, kritik tesisler kapsamında yer almaktadırlar.

Öte yandan, nükleer enerji santralları; reaktör kontrol sistemleri, soğutma sistemleri ve radyasyon izleme sistemleri gibi yüksek hassasiyetli sistemler içermektedirler. Bu bakımdan da siber tehlikelerin, olası önemli sorun olarak ele alınıp analiz edilmesi gerekmektedir. Dolayısıyla bu durum, ulusal güvenlik riski oluşturmaya kadar evrilebilecek tehditleri içinde barındırmaktadır denebilir.

Siber saldırılar çoğu kez, bilgi sızdırma, sabotaj veya manipülasyon gibi atakların da alt yapısını oluşturabilmektedirler. Böylelikle sadece nükleer enerji santralına ilişkin değil, çevre ve halk sağlığı için de önemli riskleri içeriyor olabilmektedirler.

Siber güvenlik, farklı güvenlik kavramlarıyla da yakından ilişkili olabilmektedir. Söz konusu güvenlik alanlarının tamamının siber güvenlik faaliyetleri açısından güvence altına alınmış olması gerekmektedir.

Bunlar;

• Personel güvenliği;
• Fiziksel güvenlik;
• Bilgi güvenliği;
• Bilişim teknolojileri güvenliği.

olarak sayılabilir.

Farklı güvenlik alanları açısından konu ele alındığında (personel, fiziksel, bilgi ve bilişim teknolojileri dahil) hepsinde ilk seçimden, tesisin hayata geçirilmesi ve işletmesine kadar her aşamada siber güvenliğin göz önüne alınması gerektiği anlaşılmaktadır. Bir başka deyişle, siber güvenlik bağlamında, farklı güvenlik alanlarının birbiriyle etkileşimde kalarak birbirini tamamlamaları elzem olmaktadır. Şekil 1, bu güvenlik alanları arasındaki ilişkiyi şematik olarak göstermektedir. Güvenlik alanlarından herhangi birindeki siber açık, diğer güvenlik alanlarını da etkileyebilmekte ve sonuçta tesisisin bütünü için sorun ve/veya tehditler oluşturabilmektedir.

Nükleer Enerji Santrallarında Ortaya Çıkabilecek Siber Tehditler

Nükleer enerji santralları için siber güvenliğin önemini öz olarak belirttikten sonra nükleer enerji santrallarında karşılaşılabilecek olası siber tehditlerin üzerinde durmak yerinde olacaktır.

Öncelikle, “SCADA Yönetim Sistemi” olarak betimlenen sistemler üzerinde durmak gerekmektedir. Bilindiği üzere; “SCADA (Supervisory Control And Data Acquisition), bir başka deyişle “Denetleyici Kontrol ve Veri Toplama” Yönetim Sistemi; geniş bir alanda konumlanan tesislerin tüm ekipmanlarının kontrolünden üretim planlamasına, çevre kontrol ünitelerinden yardımcı işletmelere kadar tüm birimlerin otomatik kontrolü, gözetlenmesi ve sonuçların raporlanması işlemlerini gerçekleştiren bir sistem olarak betimlenmektedir.

Nükleer enerji santrallarında, esas itibariyle yüksek duyarlılıkla SCADA Yönetim Sistemleri kullanılmaktadır. Bu sistemlere yapılacak siber saldırılar ile; sahadaki sensörlerden ve cihazlardan gelen verilerin toplanması ve işlenmesi dolayısıyla gerçek zamanlı izleme ve buna bağlı olarak uzaktan kumanda ile alarm ve bildirim yetisi ve ilaveten veri kaydı sekteye uğrayabilir. Bu durum reaktörün işleyişini bozabilir ve/veya engelleyebilir ve santralın devre dışı kalmasına da sebep olabilir.

Tesisin dijital ağının kendine has olması ve dış bağlantısız olması da önemli bir diğer hususu olarak ifade edilebilir. Ayrıca, dijital ağ için özel şifreleme ve konuya ilişkin yetkilendirilecek personelin limitli tutulması ve ilgili sistemlere giriş-çıkışların izlenmesi ve denetlenmesi de önem arz etmektedir.

Ayrıca, veri hırsızlığı ve sabotaj bağlamında da siber ataklar yapılabilmektedir. Kimi zaman da yetersiz eğitimli personel ve/veya kötü niyetli çalışanlar, sistem güvenliğini riske atabilecek ve siber atağa zemin oluşturacak eylemlerde bulunabilmektedirler.

Nükleer Enerji Santrallarında Siber Ataklara Karşı Alınması Gereken Önlemler

Ülkelerin kritik tesislerinden olan nükleer enerji santrallarında siber ataklara karşı alınması gereken bazı tedbirler söz konusudur. Burada öncelikle şu husus belirtilmelidir ki; bir nükleer enerji santralının kurulumunun her aşamasında olabilecek siber ataklar göz önünde bulundurularak hareket edilmesi gerekmektedir. Bir başka deyişle, nükleer enerji santrallarının tasarımından, inşasına işletmesine ve söküm aşamasına kadar böylesi ataklara karşı önlemler düşünülerek sitemlerin hayata geçirilmesi yadsınamaz önemdedir.

Yapım aşamasında “Siber Güvenlik Mimarisi” oluşturulması düşünülmelidir. Burada “Siber Güvenlik Mimarisi” betimlemesi ile nükleer enerji santralının dijital varlıklarını korumak üzere çeşitli bileşenlerden oluşan bir yapının tasarımı ve inşası kastedilmektedir. Söz konusu bileşenler olarak; ağ güvenliği, veri güvenliği, tehdit istihbaratı ve davranışsal analitik şartlara göre tasarım argümanları betimleniyor olmaktadır.

Bu bağlamda ilgili tasarımların, bazı temel bileşenleri içeriyor olması beklenmektedir. Bunlardan önemli biri; “Ağ Güvenliği” olmaktadır ve güvenlik duvarlarını oluşturmayı ifade etmektedir. Burada “VPN (Virtual Private Network) Sanal Özel Ağ”ı, “IDS (Intrusion Detection System) Saldırı Tespit Sistemleri” ve “IPS (Intrusion Prevention System) İzinsiz Giriş Önleme Sistemi” gibi teknolojilerle ağların korunmasını kapsamaktadır. Bu durum, nükleer tesislerde de diğer kritik tesislerde olduğuna benzer şekilde oluşturulmaktadırlar (Şekil 2).

İlaveten veri sınıflandırma, şifreleme, “DLP (Data Loss Prevention) Veri Kaybı Önlemesi” çözümlerinin göz önüne alınması gerekmektedir. Bu bağlamda yedekleme stratejilerinin geliştirilmesi ve bunların özel bölmelerdeki sistemlerde muhafazası ve korunması da önem arz etmektedir.

Önemli bir diğer konu da “Sıfır Güven Mimarisi (Zero Trust) konseptinin benimsenmesi, dolayısıyla kullanıcı ve sistemlere otomatik olarak güvenilmemesi ve her erişimin doğrulanması bu kapsamda yerleşim düzeninin sağlanmasıdır. Dolayısıyla bulut güvenliği, güvenlik açıklarının erken tespiti ve güvenli uygulama geliştirme ile beraber siber dayanıklılık elzem kavramlar olmaktadır.

Bütün bunlarla “Modern Siber Güvenlik Mimarileri” felsefesinin benimsenmiş olması ve derinlemesine savunma, endişelerin ayrılması ve tasarım yoluyla güvenlik gibi yaklaşımların uygulanıyor olması gerekmektedir. Ayrıca, “Siber Güvenlik Mesh Mimarisi (CSMA “Carrier Sense Multiple Access”)” gibi merkezi olmayan yapılarda da tehditlere karşı daha hızlı ve esnek bir yanıt sağlanabiliyor olması da önemli olabilmektedir. Sistemlerin tesis dışından dijital bağlantılarının olması genellikle istenmemektedir. Zira, böylesi bağlantılar siber zafiyet yaratabilmektedir.

İlgili Mevzuat ve uygulamalar

Nükleer enerji santrallarının siber güvenliğine ilişkin olarak geliştirilmiş özel ulusal ve uluslararası düzenlemeler bulunmaktadır. Bir başka deyişle nükleer santrallar için tüm güvenlik önlemleri için olduğu gibi siber güvenlik için de geliştirilmiş ilgili mevzuat ve yasal zorunluluklar söz konusudur. Özellikle son yıllarda artan dijitalleşme, kritik tesisleri “hibrit saldırılara” karşı daha savunmasız hale getirebilmekte ve karşı tedbirlerin alınmasını daha da önemli hale getirmektedir.

Küresel Perspektifte bakıldığında, Uluslararası düzeyde nükleer tesislerin siber güvenliği; IAEA (International Atomic Energy Agency – Uluslararası Atom Enerjisi Ajansı) gibi kurumlar tarafından denetlenmektedir. Fazla olarak nükleer enerji santrallarına sahip ve/veya sahip olma durumundaki ülkeleri rehberlikle desteklemektedirler.

Türkiye’de de, bu alanda detaylı planlar ve yönetmeliklerin yürürlükte olduğu görülmektedir. Bu bağlamda, Türkiye’de Siber Güvenlik Yaklaşımı benimsenmiş olup nükleer enerji santrallar için siber güvenlik planları, Nükleer Düzenleme Kurumu (NDK) tarafından belirlenen yönetmeliklere göre hazırlanmaktadır. 2024 yılında yayımlanan “Nükleer Tesislerin ve Nükleer Maddelerin Emniyetine İlişkin Yönetmelik” kapsamında, nükleer enerji santralları için Siber güvenlik planı hazırlanması zorunlu hale getirilmiştir.

Söz konusu plan; organizasyon yapısı, dijital varlık yönetimi, risk ve zafiyet analizi, olaylara müdahale prosedürleri, personel eğitimi gibi bölümler içermektedir. Burada şunu da belirtmek gerekir ki; her tesisin kendine özgü tehdit ve hassasiyetleri dikkate alınarak sistemler kurulması temel siber güvenlik felsefesini oluşturmaktadır.

Nükleer enerji santrallarının siber güvenlik planının temel bileşenlerini; Siber Güvenlik Organizasyonu, Risk ve Zafiyet Yönetimi ve Personel Eğitimi oluşturmaktadır. Siber Güvenlik Organizasyonu; görev dağılımını, sorumlulukları ve denetim mekanizmalarını içermektedir. Risk ve Zafiyet Yönetimi; tehdit analizi, önleyici tedbirler ve sürekli izlemeyi kapsamaktadır. Olaylara Müdahale ise; acil durum planları, müdahale ekipleri ve raporlama süreçlerini betimlemektedir. Personel Eğitimi ile de; farkındalık artırıcı programlar, teknik eğitimler ve disiplin prosedürleri ifade edilmektedir.

Sonuç

Tüm ülkeler için stratejik tesislerinden olan nükleer enerji santrallarının Siber Güvenliği son derece önem arz etmektedir. Burada üzerinde özellikle durulması gereken bir husus; “Siber Güvenlik” nükleer enerji santrallarında sadece teknik bir sorun değil, stratejik bir bileşen olduğunun gözden kaçırılmaması gerektiğidir. Bu alandaki ihmallerin bedeli düşünülebilenlerden bile daha ağır olabilir. Bu bağlamda ilgili yönetmelik ve planlara hassasiyetle uyulması ve uygulanması hayati önem arz etmektedir.

Bilgi çağının yadsınamaz gerekliliği olarak ortaya çıkan bilişim teknolojilerinin çok yakından takip edilmesi ve olabilecek yeni versiyon siber atakların tespiti ve bunlara karşı alınacak tedbirlerin geliştirilmesi son derece önem taşımaktadır. Bu bağlamda var olan sistemlerin sürekli ve düzenli olarak güncellenmesi elzem olmaktadır.

Hemen anlaşıldığı üzere; nükleer enerji santrallerinde Siber Güvenlik kritik önem taşımaktadır. Bu bağlamda nükleer enerji santrallarının güvenli işletilebilmesi için risklerin gerçekçi olarak belirlenmesi, uluslararası standartlarla beraber Ulusal ve Uluslararası Yönetmelik ve ilgili mevzuata uyum önem taşımaktadır.

Bütün bu söz konusu açıklamalardan sonra, nükleer santralların tasarımından işletmesine kadar her aşamasında göz önüne alınması gereken hususları da üç başlık altında ifade etmek mümkündür. Bunlar; Personel eğitimi ve farkındalık çalışmalarının yapılması, Olay müdahale planlarının önceden hazırlanması ve test edilmesi ve Zafiyet yönetimi ile sistem açıklarının düzenli olarak taranması ve gerekli kapatma önlemlerinin alınmasıdır.

Öz olarak belirtilmek istenirse hem ulusal hem uluslararası güvenlik ve hem de halk sağlığı açısından kritik öneme sahip olan nükleer enerji santrallarının siber güvenliği; dijitalleşmenin giderek arttığı günümüz şartlarında büyük önem taşımakta olup dijital sistemlerin korunması, olası abnormal olayların önlenmesi ve enerji arzının güvenliği için ulusal denetimler ve uygulamalarla üzerinde hassasiyetle durulması gereken vazgeçilmez bir güvenlik unsurunu oluşturmaktadır.