Değerli Enerji Günlüğü okurları, Türkiye batarya enerji depolama (BESS) yatırımlarında hızla büyüyen bir pazar.
Başarılı BESS yatırımları (projeleri) esas olarak yerli üretim, hibrit entegrasyon ve şebeke ölçekli projeler üzerinden şekilleniyor.
Bu çalışmalar bir taraftan enerji depolama kapasitemizi arttırırken diğer taraftan yeni problemleri ve tabii ki bunları fırsatlara çevirebilenler için birçok avantajları ve yenilikleri de beraberinde getiriyor.
Ortaya çıkan problemlerin merkezinde enerji güvenliği açısından en önemli konu olan siber riskler yer alıyor. Siber güvenlik, söz konusu yatırımlar için hem kritik alt yapı güvenliği hem de uluslararası ve ulusal regülasyonlarla uyum açısından son derecede önemli.
Ülkemizde BESS’lerle ilgili siber güvenlik yatırımlarında risk-fırsat dengesi, enerji dönüşümünün hızlanmasıyla birlikte yatırımcılar için kritik bir analiz alanı haline geldi. Hem regülasyon avantajları (Başta Enerji Piyasası Düzenleme Kurumu EPDK’nin depolama entegrasyonuna verdiği lisans kolaylıkları vb.) hem de regülasyonların hızla değişebilmesi ve uyum maliyetlerinin artması ve teknoloji riskleri bu dengeyi belirliyor.
Öte yandan, hibrit enerji entegrasyonu yatırımcılara gelir çeşitliliği sağlarken, yenilenebilir enerji üretimindeki dalgalanmalar enerji depolama sistemlerine ek yükler de getirebiliyor. Ayrıca yurt dışından teknoloji sağlayıcılarıyla yapılan ve/veya yapılabilecek iş birlikleri küresel standart uyumu ve finansal destekler sağlarken, jeopolitik gerilimler tedarik zinciri bağımlılığının artması riskine neden olabiliyor.
Gelelim bu yazının konusuna...
BESS’LER İÇİN SİBER GÜVENLİK NEDEN ÖNEMLİ?
Birincisi, şebekede arz-talep dengesinin sağlanmasında BESS’ler stratejik/kritik bir rol oynadığı için önemli bir hedef haline gelebiliyor.
İkincisi, Yüksek Bağlantılılık olarak ifade edilebilir. Özellikle SCADA ve IoT cihazları ile Bulut İletişim platformlarının birbirine entegre biçimde çalışmaları siber saldırılara uğrayacak ortamı çok geniş bir alana yayıyor.
Üçüncüsü, bağlantılarda/entegrasyonda yer alan ve değişik görevler üstlenen farklı teçhizat (donanım) ve yazılımların farklı üreticiler tarafından üretilmiş olmaları önemli açıklara/risklere neden olabiliyor. Burada bir parantez açarak Ruslar tarafından yapımı gerçekleştirilen Akkuyu Nükleer Santralının ana iletim sistemine entegrasyonu konusundaki endişelerimi bir kez daha hatırlatmakta fayda görüyorum (Bu riske, yapımı düşünülen diğer Nükleer Santral entegrasyonlarını da ekleyebiliriz).
Yukarıda açıklanmış hususlar dışında başka nedenler olsa da yukarıdaki üç konu, özellikle BESS’lerin niçin tehlikelere (ve bu bağlamda tehditlere) açık olduğunu net bir biçimde ortaya koyuyor. Bunların nasıl çözüleceği bu yazının konusu olmadığı için daha fazla ayrıntıya girmiyorum. Bununla birlikte, BESS’ler neden siber saldırılara açık sorusuna cevaben kısa bir açıklama yapmak gerekirse, zayıf (ya da uygun olmayan) kimlik doğrulama, güvenli olmayan iletişim kanalları, iletişim ağlarının aşırı yüklenmesi ve şebeke istikrarsızlığından söz edilebilir. Ayrıca saldırganlarca her gün geliştirilen teknik ve taktikleri, örneğin grup saldırılarını bunlara eklemek mümkün. Buraya bir parantez açarak, özellikle enerji altyapısını hedef alan bilinen bazı tehdit grupları hakkında kısa bir bilgi verelim.
Mustang Panda/Çin bağlantılı/Hedef alanı: Enerji, kamu hizmetleri, hükümet,
Volt Typhoon/Çin bağlantılı/Hedef alanı: ABD elektrik şebekeleri,
Lazarus Grubu/Kuzey Kore bağlantılı/Hedef Alanı: Enerji sektörü, finansal hırsızlık,
Sandworm/Rusya bağlantılı/Hedef Alanı: Elektrik şebekeleri, yenilenebilir enerji.
Charming Kitten/İran bağlantılı/Hedef Alanı: Enerji altyapısı ve kritik altyapılar,
Sylvanite/Rusya ve Çin bağlantılı/Hedef Alanı: ABD kamu hizmetleri.
Siber güvenlik konusuna yalnızca teknik bir konu olarak bakılmaması gerektiğinin bir kez daha altını çizelim. Konuyu aynı zamanda uluslararası ve ulusal mevzuat açısından da ele almak gerekiyor.
Enerji sektöründe yer alan oyuncular (ya da paydaşlar) hem enerji sektörüne özgü mevzuat ve kurallara (standartlar dahil) hem de kritik alt yapıların (santrallar, rafineriler, askeri tesisler, vb) korunma esaslarına ait yönetmelik, yönerge, sözleşme vb. hususlara da uymak zorunda. Özellikle ilgili uluslararası Sözleşmeler ve Anlaşmalar (ikili ya da çok taraflı anlaşmalar) ile standartlar büyük önem taşıyor.
Örneğin Uluslararası Bilgi Güvenliği Yönetim Sistemi ISO 27001, sadece bilgi güvenliği yönetim sistemlerinde değil BESS operasyonlarında da kullanılıyor. Ayrıca Avrupa Birliğinde siber güvenliği arttırmak için çıkarılmış ve kritik alt yapıların siber güvenlik yükümlülüklerini belirleyen EU NIS2 direktifi; endüstriyel otomasyon ve kontrol sistemleri (IACS) için IEC 62443 siber güvenlik standardı bunlar arasında sayılabilir. Bunlara her ülkenin kendisine ait Ulusal Enerji Strateji ve Politika belgelerini ve enerji düzenlemelerini de eklemek gerekiyor.
Unutmayalım ki siber güvenlik düzenlemeleri yalnızca şirketler/kurumlar için güvenlik esaslarını/politikalarını kapsamıyor, uluslararası standartlara uyumu ve kritik alt yapı koruma yükümlülüklerini de şekillendiriyor. Bu açıdan siber güvenlik konusunun başta enerji sektöründe yer alan paydaşlar olmak üzere, diğer unsurları da kapsayacak biçimde (güvenlik, istihbarat, vb.) geniş bir şekilde ele alınması, görev ve sorumlukların tanımlanması, uygulama esaslarının ve yükümlülüklerin belirlenmesi gerekiyor. Bu çalışmalar aynı zamanda yeni işlerin, dolayısıyla istihdamın ve yeni gelir kaynaklarının yaratılmasına, ARGE ve inovasyona, yatırım maliyetlerinin düşürülmesine ve sürdürülebilirliğe de önemli katkılar sağlayabilecektir.
Son söz olarak, siber güvenlik konusundaki gecikmelerin, yapılabilecek hataların ve gösterilecek zafiyetlerin, özellikle BESS Enerji Depolama projelerinde ve yatırımlarında ileride kapana kısılmamıza neden olabileceğini belirtelim.
Tüm okurlara esenlikler diliyorum.
Saygılarımla,
H. Zafer ARIKAN
zafer@enerjigunlugu.net