Umut Çelik / Business World Global Yazı İşleri Müdürü
Türkiye’de enerji sektörü artık yalnızca üretim kapasitesi, arz güvenliği ya da maliyet baskısıyla değil, giderek büyüyen bir başka risk alanıyla karşı karşıya: Siber tehditler. Özellikle son dönemde küresel ölçekte yaşanan jeopolitik kırılmalar, enerji altyapılarını fiziksel olduğu kadar dijital saldırıların da merkezine yerleştirmiş durumda. Bu yeni denklemde enerji şirketleri için mesele artık yalnızca elektriğin kesintisiz akması değil; sistemlerin siber saldırılar karşısında ayakta kalabilmesi.
Tam da bu nedenle Enerji Piyasası Düzenleme Kurumu’nun (EPDK) devreye aldığı Sektörel Siber Güvenlik Yetkinlik Modeli (SGYM), sektör açısından yeni bir dönemin başlangıcı olarak görülüyor. Çünkü bu model klasik güvenlik anlayışının ötesine geçerek, enerji şirketlerinin siber güvenlik süreçlerini ölçülebilir, denetlenebilir ve sürdürülebilir hale getirmeyi hedefliyor. Teknik kontrollerin ötesinde yönetişimden risk yönetimine, operasyonel süreçlerden kurumsal dayanıklılığa kadar uzanan bütüncül bir çerçeve sunuyor.
Aslında mesele tam olarak burada düğümleniyor. Çünkü enerji sektörü artık yalnızca teknoloji yatırımı yapan değil, aynı zamanda siber dayanıklılığını kurumsal refleks haline getirmek zorunda olan bir yapı haline geliyor.
Bu dönüşümün sahadaki en önemli aktörlerinden biri de yaklaşık 9 yıldır Türkiye’nin büyük ölçekli kurumlarına siber güvenlik hizmeti veren CyberArts. Şirket, EPDK tarafından yetkilendirilen denetim firmaları arasına katılarak enerji sektöründe hem denetim hem de danışmanlık tarafında aktif rol üstlenmeye başladı. SGYM uyum danışmanlığı, olgunluk seviyesi analizi, stratejik yol haritası oluşturulması ve resmi denetim süreçlerinin yanında özellikle EKS (Endüstriyel Kontrol Sistemleri) ve OT (Operasyonel Teknoloji) alanındaki sızma testleriyle kritik altyapılara yönelik uçtan uca hizmet sunuyor.
CyberArts CEO’su Erdem Eriş ile yaptığımız sohbetin merkezinde de tam olarak bu dönüşüm vardı. Eriş’e göre enerji sektöründe yaşanan değişim, yalnızca regülasyon kaynaklı değil; küresel güvenlik dengelerinin yeniden şekillenmesinin doğal sonucu.
Eriş, “EPDK’nın Siber Güvenlik Yetkinlik Modeli yaklaşımı, enerji sektöründe siber güvenliği teknik bir gereklilik olmaktan çıkararak doğrudan kurumsal risk yönetimi ve operasyonel sürekliliğin merkezine yerleştiren çok önemli bir adım” derken aslında sektörün yeni rotasını da tarif ediyor. Çünkü artık enerji altyapıları sadece ekonomik sistemin değil, doğrudan ulusal güvenliğin bir parçası olarak görülüyor.
Özellikle ABD, İsrail ve İran hattında yaşanan gerilimlerin ardından enerji altyapılarının küresel ölçekte siber saldırıların ana hedeflerinden biri haline geldiğine dikkat çeken Eriş, daha önce finans ve telekom sektörlerinin ön planda olduğunu ancak bugün saldırı ekseninin kritik altyapılara kaydığını söylüyor.
Rakamlar da bu dönüşümün boyutunu ortaya koyuyor. Küresel siber güvenlik ekosisteminin büyüklüğü yaklaşık 300 milyar dolara ulaşırken, siber saldırıların dünya ekonomisine verdiği zararın 12 trilyon doları bulduğu ifade ediliyor. Bu tablo, siber tehditlerin artık yalnızca teknik bir sorun değil, doğrudan makroekonomik bir risk unsuru haline geldiğini gösteriyor.
Türkiye tarafındaki veriler de dikkat çekici. Eriş’e göre Türkiye’de siber güvenlik pazarının büyüklüğü yaklaşık 2,5 milyar dolar seviyesinde. Ancak saldırıların oluşturduğu ekonomik maliyet bunun yaklaşık 40 katına ulaşıyor. Bu durum hem özel sektör hem de kamu tarafında ciddi bir finansal baskı oluşturuyor.
Peki şirketler bu dönüşüme hazır mı?
İşte bu sorunun yanıtı sektörün geleceği açısından belirleyici olacak gibi görünüyor. Eriş, Türkiye’de şirketleri temelde ikiye ayırıyor: Regüle edilenler ve edilmeyenler. Regülasyona tabi şirketlerin lisans baskısı nedeniyle siber güvenlik konusunda daha ileri seviyede olduğunu belirten Eriş, regülasyon dışında kalan şirketlerde ise tabloyun çok daha heterojen olduğunu söylüyor.
Özellikle vizyon sahibi şirketlerin dijital dönüşümü doğru okuyarak hızlı hareket ettiğini belirten Eriş, “Bazılarının vizyonu çok temiz ve bunlar çok hızlı büyüyorlar. Çağı doğru okuyor ve dijital dönüşümün kaçınılamaz olduğunun farkındalar. Bunlarda siber güvenlik daha iyi ancak kalan çoğunluk için aynı durumdan bahsetmek mümkün değil” ifadelerini kullanıyor.
En dikkat çekici uyarılarından biri ise şirketlerin geleceğine ilişkin. Eriş’e göre yapılan araştırmalar, yalnızca siber güvenlikte değil genel dijital dönüşüm tarafında da alarm veriyor. “2030’a kadar dijital dönüşümünü tamamlamayan şirketler iflas edecek” sözleri aslında önümüzdeki dönemin en sert rekabet koşulunu özetliyor.
Sorunun bir diğer kritik boyutu ise insan kaynağı.
Türkiye’de bugün yaklaşık 85 bin siber güvenlik uzmanı bulunduğunu söyleyen Eriş, gerçek ihtiyacın 200 bine yaklaştığını ifade ediyor. Aradaki devasa fark, özellikle kritik altyapılar açısından ciddi bir risk oluşturuyor. Çünkü tehdit büyürken savunma kapasitesinin aynı hızda gelişememesi, şirketleri daha kırılgan hale getiriyor.
Türkiye’nin aynı zamanda hem en fazla saldırı gerçekleştiren hem de en fazla saldırıya maruz kalan ilk beş ülke arasında yer aldığını belirten Eriş, bunun jeopolitik konum ve hızlanan dijitalleşme ile doğrudan bağlantılı olduğunu düşünüyor.
Tam da bu nedenle enerji sektöründeki dönüşüm artık ertelenebilir değil. 7545 sayılı Siber Güvenlik Kanunu ile birlikte siber güvenlik, kritik altyapı işletmecileri açısından teknik bir BT başlığından çıkıp doğrudan yönetim kurulu seviyesinde ele alınması gereken stratejik bir risk alanına dönüşmüş durumda.
Eriş’in şu sözleri aslında yeni dönemin özetini yapıyor: “Bu yeni dönemde kurumların sadece mevzuata uyum sağlaması değil, aynı zamanda ölçülebilir, denetlenebilir ve sürdürülebilir bir siber olgunluk seviyesine ulaşması kritik önem taşıyor.”
Bugün enerji sektöründe konuşulan mesele yalnızca regülasyona uyum değil. Asıl mesele, kriz anında sistemi ayakta tutabilecek dayanıklılığı inşa edebilmek. Çünkü artık dijital dünyada enerjiyi korumak, ülkenin güvenliğini korumak anlamına geliyor.
