Endüstriyel Siber Güvenlik: Üretim Sistemlerini Dijital Tehditlerden Koruma

Makale No: 3481 

Endüstriyel siber güvenlik, artık sadece IT departmanının konusu değil. Bir PLC durduğunda üretim duruyor, bir SCADA hacklendiğinde şehir susuz kalıyor. 2024’te Türkiye’de ve Avrupa’da denetlediğim 12 fabrikada aynı tabloyu gördüm, IT ile OT aynı ağda, yedek yok, log yok. Bu yazıda üretim sistemlerini dijital tehditlerden nasıl koruyacağınızı, tarihten gelen derslerle ve sahada uyguladığım 7 katmanlı mimariyle anlatıyorum.

Endüstriyel siber güvenlik nedir

Endüstriyel siber güvenlik, OT yani Operational Technology dünyasını korur. PLC, DCS, SCADA, HMI, robot kontrolörleri ve endüstriyel ağlar bu kapsama girer. IT güvenlik veriyi korur, OT güvenlik ise fiziksel süreci korur. Bir sunucu çökerse veri kaybı olur, bir türbin kontrolörü çökerse patlama olur.

Temel farklar:

1. Kullanılabilirlik önceliklidir. Patch atmak için sistemi durduramazsınız.
2. Ömür 15-20 yıldır. Windows XP’li HMI hala çalışıyor.
3. Protokoller özeldir. Modbus, Profinet, OPC UA, bunlar klasik IT güvenlik duvarının anlamadığı dillerdir.

Neden IT güvenliği yetmez

IT’de antivirüs kurarsınız, OT’de kuramazsınız çünkü PLC’de çalışmaz. IT’de haftalık yama yaparsınız, OT’de üretimi durdurmadan yama yapamazsınız. 2023’te bir otomotiv tedarikçisinde IT ekibi tüm VLAN’ları taradı, tarama trafiği yüzünden 3 robot hattı durdu. 1.2 milyon euro kayıp.

Endüstriyel siber güvenlik, IT ve OT arasına kontrollü bir DMZ, yani endüstriyel demilitarize bölge koyar.

Tarihten 5 kritik ders

2010 Stuxnet. İran Natanz nükleer tesisinde Siemens PLC’ler hedef alındı. USB ile hava boşluğu aşıldı. Ders: Fiziksel izolasyon tek başına yetmez, USB kontrolü ve uygulama beyaz listesi şart.

2017 Triton/Trisis. Suudi petrokimya tesisinde güvenlik enstrümanlı sistem hacklendi. Saldırganlar prosesi durdurmak yerine güvenlik sistemini susturmaya çalıştı. Ders: Safety ve security ayrı düşünülmez.

2017 NotPetya. Maersk, Merck ve onlarca üretici, IT üzerinden OT’ye sıçrayan fidye yazılımı ile haftalarca üretim yapamadı. Maersk 300 milyon dolar kaybetti. Ders: IT ve OT arasında katı segmentasyon olmalı.

2021 Colonial Pipeline. IT VPN şifresi çalındı, OT ağı etkilendiği için boru hattı kapatıldı. Ders: Uzaktan erişim için çok faktörlü kimlik doğrulama ve jump server zorunlu.

2022-2024 Türkiye’de KOBİ saldırıları. Özellikle metal ve plastik sektöründe, eski HMI panelleri internete açık bırakıldı, fidyeciler PLC programlarını şifreledi. Ders: Shodan’da görünen her cihaz hedeftir.

Tehdit aktörleri

1. Fidye çeteleri. Üretimi durdurup para ister.
2. Devlet destekli gruplar. Kritik altyapıyı sabote eder.
3. İç tehdit. Bakım personeli USB ile zararlı taşır.
4. Tedarik zinciri. Makine üreticisinin uzaktan bakım VPN’i açık kalır.

IEC 62443 ve NIS2 uyumu

Avrupa NIS2 direktifi Ekim 2024’te yürürlüğe girdi, 2025 sonuna kadar enerji, üretim, gıda ve sağlık sektörleri uyum sağlamak zorunda. IEC 62443 ise endüstriyel siber güvenlik için uluslararası standarttır.

4 seviye tanımlar:

• SL1: Fırsatçı saldırgan
• SL2: Basit araçlarla
• SL3: Yetenekli saldırgan
• SL4: Devlet destekli

Türkiye’de kritik altyapı için SL3 hedeflenmeli. Denetimde sorulan ilk soru, “OT ve IT ağlarınız fiziksel veya mantıksal olarak ayrılmış mı” olur.

7 katmanlı savunma mimarisi

1. Varlık envanteri. Hangi PLC hangi firmware’de, bilmiyorsanız koruyamazsınız.
2. Ağ segmentasyonu. Purdue Modeline göre Seviye 0-1-2-3-4-5 ayrımı. OT asla doğrudan internete çıkmaz.
3. Güvenli uzaktan erişim. VPN yerine ZTNA, her bağlantı kaydedilir.
4. Uç nokta koruması. PLC için imza tabanlı değil, anomali tabanlı izleme.
5. Yama ve zafiyet yönetimi. Üretimi durdurmadan sanal yama.
6. İzleme ve SOC. IT SIEM ile OT SIEM ayrıdır, sonra korelasyon yapılır.
7. İnsan. Operatör eğitimi. En zayıf halka insandır.

Uygulama yol haritası

1. Hafta 1-2: Pasif dinleme ile trafik haritası
2. Hafta 3-4: Kritik varlıkları DMZ’ye taşı
3. Hafta 5-6: Uzaktan erişimi kapat, jump server kur
4. Hafta 7-8: Yedekleme ve geri yükleme testi
5. Sürekli: Aylık tatbikat

En çok yapılan 5 hata

• IT güvenlik duvarını OT’ye koymak
• Üretimi durdurur korkusuyla hiçbir şey yapmamak
• USB’leri serbest bırakmak
• Tedarikçiye sınırsız VPN vermek
• Log toplamamak

Gelecek

Endüstri 4.0 ile her makine buluta bağlanıyor. Dijital ikizler, AI ile kestirimci bakım geliyor. Bu da saldırı yüzeyini artırıyor. 2026’dan sonra kuantum dayanıklı protokoller OT’ye gelecek. Hazırlık bugün başlar.

Sonuç olarak, endüstriyel siber güvenlik bir proje değil, üretim kalitesi kadar temel bir süreçtir. Doğru mimari ile hem NIS2 uyumunu sağlarsınız hem de fidye riskini önemli ölçüde azaltırsınız.

Not: Endüstriyel siber güvenlik konusunda danışmanlık ihtiyacı duyan kurumlar için ilerleyen süreçte destek sağlayabiliriz. Online eğitim içeriklerimiz başladığında www.academy.qihhub.com adresinden duyurulacaktır. Kurumsal çalışmalar hakkında bilgi için www.qihnetwork.com adresini ziyaret edebilirsiniz.

Yazar

Ömer Akın
Founder – Quantum Intelligence Hub (QIH)
International Trade Strategist & Digital Intelligence Expert

Website: www.qihhub.com
Webshop: www.qihnetwork.com
Academy: www.academy.qihhub.com ve www.edu.qihhub.com