
Enerji sektörü dijitalleşirken, kritik altyapılar da yeni nesil tehditlerin hedefi haline geliyor. Elektrik şebekelerinden doğal gaz iletim hatlarına, LNG terminallerinden rafinerilere kadar uzanan geniş bir alanda siber güvenlik artık yalnızca teknik bir konu değil; arz güvenliği, iş sürekliliği ve ulusal güvenliğin ayrılmaz bir parçası. Türkiye’nin enerji sektöründeki siber dayanıklılığını ve geleceğin risklerini, CyberArts Kurucusu ve CEO’su Erdem Eriş ile konuştuk.

Enerji sektörü son yıllarda yalnızca üretim kapasitesi, arz güvenliği ve enerji dönüşümü başlıklarıyla değil, giderek büyüyen bir başka risk alanıyla da gündemde: siber güvenlik.
Elektrik şebekelerinden doğal gaz iletim hatlarına, LNG terminallerinden rafinerilere kadar enerji altyapılarının büyük bölümü artık dijital sistemlerle yönetiliyor. Üretim tesisleri, iletim ve dağıtım ağları, uzaktan izleme sistemleri, otomasyon altyapıları ve saha ekipmanları arasında kurulan yoğun dijital bağlantılar operasyonel verimliliği artırırken, aynı zamanda yeni güvenlik risklerini de beraberinde getiriyor.
Uzmanlar, enerji sektörünün artık yalnızca fiziksel tehditlere karşı değil, dijital saldırılara karşı da hazırlıklı olması gerektiğine dikkat çekiyor. Çünkü enerji altyapılarına yönelik başarılı bir siber saldırının etkileri yalnızca ilgili şirketle sınırlı kalmıyor; telekomünikasyon, sağlık, ulaşım, finans, su yönetimi ve kamu hizmetleri gibi birçok kritik alanı doğrudan etkileyebiliyor.

KRİTİK ALTYAPILAR NEDEN HEDEFTE?
Enerji sektörü, dünya genelinde siber saldırganların en fazla ilgi gösterdiği kritik sektörlerin başında geliyor. Bunun temel nedeni, enerji sistemlerinin günlük yaşamın ve ekonomik faaliyetlerin temelini oluşturması.
Bir elektrik iletim sisteminde yaşanabilecek kesinti, yalnızca birkaç bölgenin karanlıkta kalması anlamına gelmiyor. Veri merkezlerinden hastanelere, mobil iletişim altyapılarından bankacılık sistemlerine kadar birçok hizmet elektrik altyapısına bağımlı şekilde çalışıyor.
Bu nedenle enerji sektörüne yönelik saldırılar yalnızca finansal zarar yaratmayı amaçlayan suç gruplarının değil, devlet destekli tehdit aktörlerinin de ilgi alanında bulunuyor. Özellikle son yıllarda dünya genelinde kritik altyapıları hedef alan saldırıların sayısında dikkat çekici bir artış yaşanıyor.
DİJİTALLEŞME GÜÇLENİRKEN RİSKLER DE ARTIYOR
Türkiye’de enerji sektöründe dijital dönüşüm hız kazanırken, şirketlerin koruması gereken sistemlerin sayısı da artıyor.
Geleneksel bilgi teknolojileri altyapılarının yanı sıra SCADA sistemleri, dağıtılmış kontrol sistemleri (DCS), programlanabilir lojik kontrolörler (PLC), uzaktan terminal üniteleri (RTU), saha haberleşme sistemleri ve uzaktan erişim altyapıları artık enerji operasyonlarının ayrılmaz parçaları haline gelmiş durumda.
Ancak bu sistemlerin önemli bir bölümü yıllar önce tasarlanmış endüstriyel teknolojilerden oluşuyor. Sürekli çalışması gereken bu altyapılarda güvenlik güncellemelerinin uygulanması, sistemlerin kapatılmasını gerektirebildiği için çoğu zaman oldukça karmaşık süreçlere dönüşebiliyor.
Uzmanlara göre enerji sektöründeki en büyük risklerden biri, bilgi teknolojileri (IT) ile operasyonel teknolojiler (OT) arasındaki sınırların giderek ortadan kalkması. Kurumsal ağlarda yaşanabilecek bir güvenlik ihlali, yeterli koruma mekanizmaları bulunmadığında üretim ve operasyon sistemlerine kadar ulaşabiliyor.
DOĞAL GAZ VE LNG TESİSLERİNDE RİSK DAHA KARMAŞIK
Siber güvenlik konusu özellikle doğal gaz iletim sistemleri, kompresör istasyonları, LNG terminalleri ve depolama tesislerinde daha kritik bir boyut kazanıyor.
Bu tesislerde siber saldırıların etkisi yalnızca veri kaybı ya da sistem kesintisiyle sınırlı kalmayabiliyor. Basınç kontrol sistemleri, vana otomasyonları, ölçüm altyapıları ve güvenlik enstrümantasyon sistemlerinde yaşanabilecek manipülasyonlar operasyonel güvenliği doğrudan etkileyebiliyor.
Özellikle LNG terminalleri; kriyojenik süreçler, depolama tankları, yükleme-boşaltma operasyonları ve terminal otomasyon sistemlerinin birlikte çalıştığı oldukça karmaşık yapılara sahip. Bu nedenle yanlış yönlendirilmiş bir komut, geciken bir alarm veya manipüle edilmiş bir veri akışı ciddi operasyonel sonuçlar doğurabiliyor.
TÜRKİYE’DE REGÜLASYONLAR GÜÇLENİYOR
Türkiye’de enerji sektörünün siber güvenlik kapasitesini artırmaya yönelik çalışmalar son yıllarda hız kazandı.
Enerji Piyasası Düzenleme Kurumu’nun (EPDK) hayata geçirdiği Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli, şirketlerin yalnızca temel güvenlik önlemleriyle yetinmemesini, ölçülebilir ve sürdürülebilir bir güvenlik olgunluğuna ulaşmasını hedefliyor.
Model kapsamında varlık yönetimi, ağ ayrıştırma, erişim kontrolü, olay müdahale süreçleri, güvenlik izleme, log yönetimi ve operasyonel teknoloji güvenliği gibi başlıklar ön plana çıkıyor.
Bununla birlikte uzmanlar, sektör genelinde hâlâ önemli gelişim alanları bulunduğuna dikkat çekiyor. Özellikle OT varlıklarının görünürlüğü, IT ve OT ekipleri arasındaki koordinasyon, tedarik zinciri güvenliği ve kriz senaryolarına yönelik tatbikatların artırılması gereken başlıklar arasında gösteriliyor.
YENİ DÖNEMİN ANAHTAR KAVRAMI: SİBER DAYANIKLILIK
Siber güvenlik yaklaşımında son yıllarda dikkat çeken en önemli değişimlerden biri de “siber dayanıklılık” kavramı.
Uzmanlara göre artık temel hedef yalnızca saldırıları engellemek değil. Asıl amaç, bir saldırı gerçekleştiğinde kritik operasyonların güvenli ve kontrollü şekilde sürdürülebilmesini sağlamak.
Bu yaklaşım; yedekleme sistemleri, felaket kurtarma planları, manuel operasyon prosedürleri, kriz iletişimi, olay müdahale ekipleri ve düzenli tatbikatları da güvenlik stratejisinin ayrılmaz parçası haline getiriyor.
Enerji sektöründe başarı, hiçbir zaman saldırıya uğramamakla değil; saldırı gerçekleştiğinde hizmet sürekliliğini koruyabilmekle ölçülüyor.
YAPAY ZEKA SAVUNMADA YENİ BİR ARAÇ OLABİLİR Mİ?
Enerji şirketleri için yapay zeka destekli güvenlik çözümleri de giderek daha fazla önem kazanıyor.
Büyük veri setleri üzerinde çalışan yapay zekâ sistemleri, ağ trafiğinde meydana gelen olağan dışı hareketleri, kullanıcı davranışlarındaki değişiklikleri ve operasyonel sistemlerdeki anormallikleri çok daha hızlı tespit edebiliyor.
Bunun yanında tehdit istihbaratı analizi, alarm korelasyonu ve olay müdahale süreçlerinde de yapay zekâ destekli sistemlerin kullanım alanı genişliyor.
Ancak uzmanlar, kritik enerji altyapılarında nihai karar mekanizmasının her zaman insan kontrolünde olması gerektiğinin altını çiziyor.
ENERJİ SEKTÖRÜ İÇİN STRATEJİK BİR ÖNCELİK
Enerji sektöründe siber güvenlik artık yalnızca bilgi işlem ekiplerinin sorumluluğunda olan teknik bir konu olarak değerlendirilmiyor. Elektrik, doğal gaz, petrol ve LNG altyapılarının güvenliği; ekonomik istikrar, kamu hizmetlerinin sürekliliği ve ulusal güvenlik açısından stratejik bir öneme sahip.
Dijitalleşmenin hız kazandığı yeni dönemde enerji şirketlerinin yalnızca saldırıları önlemeye değil, saldırılar karşısında ayakta kalabilecek dayanıklı sistemler kurmaya odaklanması gerekiyor.
Peki Türkiye enerji sektörü bugün bu noktada ne kadar hazır? Enerji şirketleri hangi tehditlerle karşı karşıya? Yapay zeka savunma tarafında nasıl kullanılabilir? Kritik altyapıların korunması için hangi adımların atılması gerekiyor?
Konuyla ilgili CyberArts firmasının kurucusu ve CEO’su Erdem Eriş, gazetemize özel açıklamalarda bulundu.

CyberArts Kurucusu ve CEO’su Erdem Eriş
“BÜYÜK ÖLÇEKLİ ENERJİ ŞİRKETLERİNDE FARKINDALIK ARTTI”
– Türkiye’deki enerji şirketleri siber güvenlik konusunda yeterince hazırlıklı mı?
Türkiye enerji sektörü siber güvenlik konusunda geçmişe göre çok daha bilinçli bir noktada; ancak “tam hazırız” demek için henüz erken. Özellikle elektrik, doğal gaz, petrol, rafineri, depolama ve dağıtım gibi alanlarda dijitalleşme hızlandıkça saldırı yüzeyi de büyüyor. Bugün enerji şirketleri yalnızca kurumsal e-posta, ERP veya veri merkezi sistemlerini değil; SCADA, DCS, PLC, RTU, saha haberleşme altyapıları, uzaktan erişim sistemleri ve tedarikçi bağlantılarını da korumak zorunda.
Türkiye’de EPDK’nın Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli bu açıdan çok kritik bir eşik oluşturdu. Bu model, enerji şirketlerini yalnızca kâğıt üzerinde uyum sağlamaya değil; varlık envanteri, ağ ayrıştırma, zafiyet yönetimi, olay müdahalesi, loglama, izleme, denetim ve OT güvenliği gibi başlıklarda ölçülebilir bir olgunluğa taşımayı hedefliyor.
Benim gözlemim şu: Büyük ölçekli enerji şirketlerinde farkındalık arttı, yatırım iştahı da yükseldi. Fakat sektör genelinde hâlâ üç temel açık var: OT varlıklarının tam görünür olmaması, IT ve OT ekipleri arasındaki koordinasyon eksikliği ve olay müdahale süreçlerinin yeterince tatbikatla test edilmemesi. Enerji sektörü artık klasik BT güvenliği yaklaşımıyla korunamaz. Bu alan, doğrudan iş sürekliliği, kamu hizmeti sürekliliği ve ulusal güvenlik meselesidir.
“HEDEF SİBER GÜVENLİKTEN SİBER DAYANIKLILIĞA GEÇMEKTİR”
– Bir elektrik iletim veya dağıtım şirketine yönelik başarılı bir siber saldırının sonuçları ne olabilir?
Elektrik iletim veya dağıtım altyapısına yönelik başarılı bir siber saldırının etkisi yalnızca ilgili şirketle sınırlı kalmaz. Elektrik, diğer tüm kritik altyapıların üzerinde çalıştığı temel katmandır. Dolayısıyla elektrik tarafındaki bir kesinti; telekomünikasyon, finans, sağlık, ulaşım, su, doğal gaz ve kamu hizmetlerini zincirleme şekilde etkileyebilir.
Böyle bir saldırıda ilk risk operasyonel kesintidir. Bölgesel elektrik kesintileri, dağıtım otomasyon sistemlerinin devre dışı kalması, uzaktan kumanda ve izleme kabiliyetinin kaybedilmesi, sayaç okuma ve faturalama süreçlerinin aksaması gibi sonuçlar ortaya çıkabilir. Daha ileri senaryolarda yük dengesinin bozulması, ekipman hasarı, saha ekiplerinin yanlış yönlendirilmesi veya kesintinin gereğinden uzun sürmesi gibi fiziksel etkiler de oluşabilir.
Burada kritik nokta şudur: Enerji sektöründe siber saldırının etkisi ekranda görünen bir veri kaybı değildir; sahada üretim, iletim veya dağıtım sürecinin aksamasıdır. Bu nedenle enerji şirketleri için başarı kriteri yalnızca “saldırıyı engelledik” olmamalı. Asıl başarı kriteri, “saldırı gerçekleşse bile kritik operasyonları güvenli ve kontrollü şekilde sürdürebildik” olmalıdır. Yani hedef siber güvenlikten siber dayanıklılığa geçmektir.
“SİBER RİSK İLE FİZİKSEL RİSK BİRBİRİNDEN AYRI DÜŞÜNÜLEMEZ”
– Doğal gaz iletim sistemleri ve LNG terminalleri gibi kritik tesislerde hangi riskler öne çıkıyor?
Doğal gaz iletim sistemleri, kompresör istasyonları, basınç kontrol sistemleri, vana otomasyonu, ölçüm istasyonları, LNG terminalleri ve depolama tesisleri çok hassas operasyonel süreçlere sahip. Bu tesislerde siber güvenlik riski yalnızca veri güvenliğiyle ilgili değildir; proses güvenliği, çevre güvenliği, iş sağlığı ve operasyonel süreklilikle doğrudan bağlantılıdır.
Öne çıkan risklerin başında OT sistemlerine yetkisiz erişim geliyor. Saha cihazları, uzaktan bakım bağlantıları, tedarikçi erişimleri, eski protokoller ve güncellenmesi zor endüstriyel sistemler saldırganlar için fırsat yaratabiliyor. İkinci önemli risk, IT ağından OT ağına sıçrama ihtimalidir. Kurumsal ağda başlayan bir fidye yazılımı saldırısı, doğru segmentasyon yoksa operasyonel teknolojileri de etkileyebilir.
LNG terminalleri özelinde ise proseslerin karmaşıklığı riski artırıyor. Kriyojenik süreçler, depolama tankları, yükleme-boşaltma operasyonları, gemi bağlantıları, terminal otomasyon sistemleri ve güvenlik enstrümantasyon sistemleri aynı ekosistem içinde çalışıyor. Bu nedenle yanlış bir komut, geciken bir alarm veya manipüle edilmiş bir ölçüm verisi ciddi operasyonel sonuçlar doğurabilir.
Bu tesislerde öncelik; görünürlük, ağ ayrıştırma, güvenli uzaktan erişim, sürekli izleme, yedekli çalışma, olay müdahale planı ve düzenli OT sızma testleri olmalıdır. Ayrıca siber güvenlik ekipleri ile proses güvenliği ekipleri aynı masada çalışmalıdır. Çünkü OT dünyasında siber risk ile fiziksel risk birbirinden ayrı düşünülemez.
“ENERJİ GİBİ KRİTİK SEKTÖRLERDE YAPAY ZEKA KARAR DESTEK MEKANİZMASI OLMALI”
– Enerji şirketleri yapay zekayı savunma tarafında nasıl kullanabilir?
Yapay zeka enerji şirketleri için çok güçlü bir savunma kapasitesi yaratabilir; ancak tek başına mucize çözüm değildir. Doğru veri, doğru süreç ve doğru insan uzmanlığıyla birleştiğinde gerçek değer üretir.
Savunma tarafında yapay zekanın ilk kullanım alanı anomali tespitidir. Enerji şirketleri çok büyük miktarda log, ağ trafiği, saha cihazı verisi, kullanıcı davranışı ve alarm üretir. Yapay zeka bu verilerde insanın kolay fark edemeyeceği olağan dışı davranışları tespit edebilir. Örneğin bir mühendislik istasyonundan beklenmeyen bir PLC bağlantısı, normal dışı veri trafiği, olağan saatler dışında yapılan erişimler veya saha cihazlarında alışılmadık komut setleri erken uyarı olarak yakalanabilir.
İkinci alan tehdit istihbaratıdır. Yapay zeka, dünya genelindeki tehdit aktörleri, zararlı yazılımlar, zafiyetler ve saldırı teknikleriyle ilgili bilgileri analiz ederek enerji şirketlerine önceliklendirilmiş risk görünümü sunabilir. Bu, özellikle yamalanması zor OT sistemlerinde çok değerlidir; çünkü her zafiyeti aynı anda kapatmak mümkün olmayabilir. Hangi zafiyetin operasyonel etki yaratabileceğini bilmek gerekir.
Üçüncü alan olay müdahalesidir. Yapay zeka, güvenlik operasyon merkezlerinde alarm yorgunluğunu azaltabilir, alarmları ilişkilendirebilir, ilk analizleri hızlandırabilir ve ekiplerin doğru aksiyona daha hızlı yönelmesini sağlayabilir. Ancak burada insan kontrolü şarttır. Enerji gibi kritik sektörlerde yapay zeka karar destek mekanizması olmalı; kritik operasyonel kararlar insan onayı ve prosedürleriyle yürütülmelidir.
“BİR ŞİRKET NEYE SAHİP OLDUĞUNU BİLMİYORSA ONU KORUYAMAZ”
– Türkiye enerji sektörünün siber dayanıklılığını artırmak için hangi adımları atmalı?
Türkiye enerji sektörünün siber dayanıklılığını artırmak için öncelikle güvenliği bir BT projesi olarak değil, yönetim kurulu seviyesinde sahiplenilmesi gereken stratejik bir risk alanı olarak görmemiz gerekiyor. Enerji şirketlerinde siber güvenlik yatırımı, bir maliyet kalemi değil; kesintisiz hizmet, regülasyon uyumu, itibar ve ulusal güvenliğin sigortasıdır.
Atılması gereken ilk adım kapsamlı varlık görünürlüğüdür. Bir şirket neye sahip olduğunu bilmiyorsa onu koruyamaz. Özellikle OT tarafında hangi cihazların, hangi yazılım sürümlerinin, hangi haberleşme protokollerinin ve hangi tedarikçi bağlantılarının bulunduğu net şekilde bilinmelidir.
İkinci adım IT ve OT ağlarının doğru ayrıştırılmasıdır. Kurumsal ağda yaşanan bir olayın operasyonel sistemlere sıçramaması için segmentasyon, erişim kontrolü, güvenli uzaktan bağlantı ve sıfır güven prensipleri uygulanmalıdır.
Üçüncü adım sürekli izleme ve olay müdahale kapasitesidir. Enerji şirketlerinin yalnızca yılda bir denetimden geçmesi yeterli değildir. 7/24 izleme, tehdit istihbaratı, log bütünlüğü, alarm korelasyonu ve OT’ye özel olay müdahale senaryoları hayati önemdedir.
Dördüncü adım düzenli tatbikattır. Kriz anında ne yapılacağı masa başında değil, önceden yapılan senaryo bazlı tatbikatlarla öğrenilir. Elektrik kesintisi, fidye yazılımı, tedarikçi ihlali, SCADA erişim kaybı veya veri manipülasyonu gibi senaryolar üst yönetim, teknik ekipler, saha ekipleri ve iletişim ekipleriyle birlikte test edilmelidir.
Beşinci adım ise ekosistem yaklaşımıdır. Enerji şirketleri tek başına güvenli olamaz. Tedarikçiler, entegratörler, bakım firmaları, yazılım üreticileri, saha ekipleri ve kamu kurumları bu zincirin parçasıdır. Zincirin en zayıf halkası tüm sistemi etkileyebilir.
“SİBER GÜVENLİĞİ TEKNİK EKİPLERİN KONUSU OLARAK GÖRMEYİN”
– Enerji şirketlerinin yöneticilerine vereceğiniz en önemli üç tavsiye ne olur?
Birinci tavsiyem: Siber güvenliği teknik ekiplerin konusu olarak görmeyin; iş sürekliliği ve kurumsal risk yönetimi konusu olarak sahiplenin. Enerji sektöründe siber güvenlik kesintisiz hizmetin, müşteri güveninin ve ulusal dayanıklılığın ayrılmaz parçasıdır. Bu nedenle yönetim kurulları düzenli olarak siber risk raporu almalı, kritik göstergeleri takip etmeli ve yatırımları stratejik öncelik olarak değerlendirmelidir.
İkinci tavsiyem: OT ortamlarınızı görünür hâle getirin ve IT-OT geçiş noktalarını sıkı kontrol edin. Enerji şirketlerinde en büyük risklerden biri bilinmeyen varlıklardır. Hangi cihazın nerede olduğunu, hangi sisteme bağlı olduğunu, hangi protokolü kullandığını ve kimlerin erişebildiğini bilmek zorundasınız. Görünürlük olmadan güvenlik olmaz.
Üçüncü tavsiyem: Sadece önlem almaya değil, saldırı sonrası çalışmaya devam edebilme kabiliyetine yatırım yapın. Yedekleme, felaket kurtarma, manuel operasyon prosedürleri, olay müdahale planı, kriz iletişimi ve tatbikatlar bu nedenle çok önemlidir. Enerji sektöründe hedef sıfır olay değil; olay yaşandığında güvenli, hızlı ve kontrollü toparlanma kapasitesidir.
“SİBER GÜVENLİĞİ ERTELEMEYİN”
– Yarın sabah Türkiye enerji sektöründeki tüm yöneticilerin okuyacağı tek bir mesaj bırakabilseydiniz, bu mesaj ne olurdu?
Bugün enerji sektöründe siber güvenlik, bir antivirüs, firewall ya da uyum dokümanı meselesi değildir; ülkenin ışıklarının yanmaya devam etmesi meselesidir. Elektrik, doğal gaz, petrol ve LNG altyapıları artık dijital sistemlerle yönetiliyor. Bu dijital sistemlerde oluşacak bir zafiyet, sadece şirketlerin bilançosunu değil; vatandaşın günlük hayatını, sanayinin üretimini ve kamu hizmetlerinin sürekliliğini etkileyebilir.
Bu nedenle enerji yöneticilerine mesajım çok net: Siber güvenliği ertelemeyin, yalnızca denetim dönemlerinde hatırlamayın ve sadece BT ekiplerine bırakmayın. Kritik altyapılarda siber dayanıklılık, bugünün değil dünün önceliği olmalıydı. Bugün atılacak her adım, yarın yaşanabilecek büyük bir kesintinin önüne geçebilir.
“Sıfır Atık ile Doğaya Saygı Duy” Projesi, Türkiye’nin 7 bölgesine ulaştı17 Temmuz 202615:52 Akaryakıt ve LPG sektörüne yönelik yeni düzenlemeler17 Temmuz 202615:28 Spot piyasada doğal gaz fiyatları17 Temmuz 202614:38 Spot piyasada elektrik fiyatları17 Temmuz 202614:34 M Oil Madeni Yağlar, büyümesini güçlü adımlarla sürdürüyor17 Temmuz 202614:03