OT/IT Ag Segmentasyonu ve Mikro Segmentasyon
HES’lerde Guvenli SCADA Mimarisi: Purdue Modeli, IEC 62443 ve Zero Trust
Renewasoft | 2026
Seviye: Ileri Hedef Kitle: SCADA Muhendisi, HES Isletmecisi, CTO, Altyapi Yatirimcisi
Giriş: Dijital Dönüşümün Güvenlik Önkoşulu
HES operasyonlarında verimlilik hedefleri; gerçek zamanlı izleme, uzaktan erişim, merkezi raporlama ve AI tabanlı kestirimci analitiği hızla standart operasyon haline getiriyor. Hydrowise’in SCADA ve IoT sensörlerinden gerçek zamanlı veri toplayıp santral performansını izleyen; üretim ve su akışı tahmini ile erken uyarı/predictive maintenance çıktıları üreten bir platform olarak konumlanması, bu dönüşümün pratik bir örneği[13].
Ancak bu dijitalleşme, çoğu sahada aynı soruyu büyütüyor: Veriyi güvenli biçimde dışarı çıkarırken kontrol katmanlarını nasıl koruyacağız? NIST SP 800-82r3, OT sistemlerinin performans, güvenilirlik ve emniyet gereksinimleri nedeniyle güvenlik önlemlerinin dikkatle tasarlanması gerektiğini vurgular[1].
Bu noktada OT/IT ağ segmentasyonu ve mikro segmentasyon, yalnızca uyumluluk maddesi değil; HES’lerde dijital enerji yönetiminin güvenli çalışabilmesi için mimari bir önkoşul haline geliyor. Segmentasyon; saldırganın IT’den OT’ye sıçrama kapasitesini sınırlar, kritik kontrol yollarını en az ayrıcalık ile daraltır ve Hydrowise gibi platformlara veri akışını kontrollü bir conduit üzerinden tanımlar[1][2].
► https://renewasoft.com.tr/index.php/tr/hizmetimiz/
TL;DR — Yönetici Özeti
OT/IT ayrımı; gecikme, determinism ve safety gereksinimleri nedeniyle IT güvenlik pratiklerinin OT’ye kopyalanamayacağı bir mimari gerçektir[1].
Düz ağlar IT’den OT’ye yatay hareketi kolaylaştırır; dual-homed sistemler, zayıf kimlik doğrulama ve açık uzaktan erişim kanalları pivot noktası olur[5][6].
Purdue modeli + DMZ yaklaşımı; OT ile kurumsal ağ arasında zorunlu enforcement boundary kurarak veri akışlarını denetlenebilir hale getirir[1].
Zero Trust mimarisinde mikro segmentasyon; PEP üzerinden asla güvenme, her zaman doğrula prensibini pratikte uygular[2].
Hydrowise entegrasyonunu güvenli kılmanın yolu; OT veri toplama katmanını DMZ/jump server/mikro segmentasyon ile izole edip yalnızca izinli veri akışlarını açmaktır[13].
Paradigma Değişimi: Purdue Modeli Işığında IT/OT Ayrımı
OT sistemleri fiziksel süreçleri izler ve kontrol eder; guvenlik tasarımı CIA üçlüsü kadar emniyet ve süreklilik hedefleriyle birlikte ele alınmalıdır. NIST SP 800-82r3, OT’nin benzersiz performans, güvenilirlik ve safety gereksinimleri nedeniyle güvenlik önlemlerinin OT’ye uygun uyarlanmasını temel çerçeve olarak tanımlar[1].
| Kriter | IT Ağı | OT Ağı |
|---|---|---|
| Trafik Deseni | Değişken, kullanıcı kaynaklı | Deterministik, tekrarlanabilir, öngörülebilir |
| Gecikme Toleransi | Saniye-dakika kabul edilebilir | ms seviyesi jitter proses stabilitesini etkiler |
| Yasam Dongusu | 3-5 yil, duzenli guncelleme | 15-25 yil, legacy cihazlar yaygin |
| Oncelik Sirasi | Gizlilik → Bütünlük → Eriiebilirlik | Erişebilirlik → Emniyet → Bütünlük |
| Anomali Tespiti | Zor: yüksek varyans | Fırsat: deterministik baselining |
Tablo 1: IT ve OT Ağ Karakteristiklerinin Karşılaştırması [1]
Bu dönüşümün zorlu tarafı, HES’lerde verinin artık yalnızca kontrol odasında kalmamasıdır. Hydrowise gibi platformlar OT’den IT/Cloud’a veri akış ihtiyacını artırır[13]. Modern tehdit manzarası ise OT/IT sınırının tek bir firewall ile yönetilemeyeceğini gösterdi. 2015 Ukrayna saldırısında saldırganlar kurumsal ağdan OT’ye uzanan VPN yollarını kullandı; 2FA eksikliği riski büyüttü ve HMI üzerinden breaker operasyonlarına gidildi[5].
İnfografik: Purdue Modeli + IEC 62443 Güvenlik Bölgeleri ve İletişim Kanalları [1][9]
IEC 62443: Güvenlik Bölgeleri ve İletiŞim Kanalları
IEC 62443 yaklaşımı, ağı güvenlik bölgeleri (zones) ve iletişim kanalları (conduits) olarak düşünür. ENISA, zoning/conduit yaklaşımını tehdit aktör profillerine göre güvenlik seviyelerinin türetilebilmesi çerçevesinde ele alır[9].
Saldırı Yüzeyi Haritalama: HES’lerdeki Zayıf Noktalar
Ağ segmentasyonunu doğru tasarlamak için önce “nereden saldırılır?” sorusunu HES’e özel bir saldırı yüzeyi haritasına çevirmek gerekir[1].
⚠ Teknik Not: HES’lerde Kırılgan Alanlar
Uzaktan Erişim (VPN/RDP): Ukrayna raporu, saldırganın VPN bağlantılarını keşfedip kullandığını; 2FA eksikliğinin risk yarattığını ve remote access DMZ/jump host/split tunneling kapatma tedbirlerini öne çıkarır[5].
Dual-homed Sistemler: ICS taktik çerçevesi, saldırganların varsayılan şifreler ve dual-homed cihazlarla yatay hareket ettiğini açıklar. Düz ağlarda segment bariyeri yoktur[6].
Mühendislik İstasyonları: PLC/RTU programları, governor setpoint’leri genellikle EWS’den yönetilir. Hem OT’ye yakın hem USB/vendor yazılım gerektiren yüksek öncelikli saldırı yüzeyi[1].
Legacy Protokoller: OT protokollerinin bir bölümü güvenlik tasarımıyla doğmadı. NIST, OT firewall’ların DNP3/CIP/Modbus parser’ları ile DPI yapabildiğini belirtir[10].
Bowman Barajı İhlali (2013): ABD’de Bowman Barajı SCADA’ya yetkisiz erişim; su seviyesi, sıcaklık ve savak kapı bilgilerine ulaşıldı. İyileştirme: $30.000+[12].
Savunma Katmanları ve Zero Trust
Katmanlı Savunma: VLAN / Firewall / DMZ / Jump Server / Data Diode
| Katman | Teknik İşlev | HES Uygulaması |
|---|---|---|
| DMZ | Kurumsal ağdan OT’ye direkt erişimleri engeller; servisleri tek noktada toplar [1] | Hydrowise OT gateway, log broker, time sync proxy DMZ’de konumlanır |
| Jump Server | OT erişimini tek denetimli sıçrama noktası üzerinden geçtirir [5] | MFA + time-based + session kaydı; split tunneling kapalı |
| Firewall (DPI) | deny-all / permit-by-exception; stateful + DPI [10] | OT NGFW: Modbus FC, DNP3, OPC UA parser ile komut bazlı filtreleme |
| Data Diode | OT→DMZ tek yönlü veri akışı; C2 kanalını fiziksel olarak imkânsız kılar [1] | Kritik telemetri dışında tüm ters akış fiziksel olarak engellenir |
| VLAN | Başlangıç için değerli; trunk/routing/ACL bypass riski [10] | Mümkünse fiziksel ayrım + enforcement cihazı ile desteklenmeli |
Tablo 3: Katmanlı Savunma Bileşenleri [1][5][10]
Zero Trust ve Mikro Segmentasyon
Zero Trust, ağın ihlal edilmiş olabileceği varsayımı altında her istekte en az ayrıcalıkla erişim kararı verir. NIST SP 800-207, mikro segmentasyonda kaynakların ayrı segmentlere konduğunu ve her segmentin gateway/PEP tarafından korunduğunu açıklar[2]. OT’de bu; cell/area bazlı segmentler, mühendislik istasyonu → PLC akışlarının yalnızca tanımlı bakım pencerelerinde açılması, HMI → PLC komutlarının operasyon rolü + MFA + jump host üzerinden gelmesi anlamına gelir.
Deterministik Trafik Baselining
OT ağlarında trafik desenleri IT’ye kıyasla çok daha deterministiktir. NIST, bu determinizmin IDS/IPS/BAD/SIEM ile anomali yakalamada kritik olduğunu ve sensörlerin öğrenme modu ile OT trafiğine göre tune edilmesini önerir[1][10].
Protokol Güvenliği: OPC UA ve IEC 62351
OPC UA güvenlik modeli; client/server doğrulama, X.509 sertifikaları, iletişim bütünlüğü/gizliliği ve audit trail içerir[13]. IEC 62351 ise IEC 60870-5, IEC 61850 gibi enerji kontrol protokollerinin iletişim güvenliğine odaklanır[14].
Teknik Risk Skorlama Modeli
NIST riski etki ve olasılık fonksiyonu olarak tanımlar[3]. NREL’in VaR cercevesi kontrol uygulama düzeyi (CI) ile riskin indirgenebileceğini formülleştirir[7]:
L = Olay olasiligi (0-1) | CI_seg = Segmentasyon olgunluğu (0-1) | I = Etki (0-1)
| Durum | L | CI_seg | I | VaR |
|---|---|---|---|---|
| Başlangıç (VLAN var, DMZ sınırlı) | 0.40 | 0.20 | 0.70 | 0.224 |
| Hedef (DMZ+jump+mikro seg+DPI) | 0.40 | 0.70 | 0.70 | 0.084 |
Tablo 4: NREL VaR — Segmentasyon Olgunluğunun Etkisi [7]
Segmentasyon olgunluğu, risk göstergesini ~%62 azaltmaktadir (0.224 → 0.084)[7][3].
Infografik: Segmentasyon Olgunluk Seviyeleri ve Risk Azaltma [7]
Vaka Analizi: HES Saldırı Simülasyonu
💥 Kanıta Dayalı Arka Plan
Ukrayna 2015: Saldırganlar kontrol sistemlerini doğrudan kullanarak operasyon gercekleştirdi; BlackEnergy/KillDisk erişimi kolaylaştırdı[5].
ICS-CERT: KillDisk MBR’yi bozarak sistemleri kullanılmaz hale getirdi; Windows HMI’lar ve seri-Ethernet firmware etkilendi[6].
Bowman Baraji 2013: Yetkisiz SCADA erişimi; $30K+ iyileştirme maliyeti[12].
| # | Asama | Teknik Adim | Segmentasyon Etkisi |
|---|---|---|---|
| 1 | Initial Access | Spearphishing ile kurumsal ağa giriş [5] | IT segmentasyonu ilk bariyeri oluşturur |
| 2 | Credential Access | Domain kimlik bilgileri + VPN keşfi [5] | MFA + PAM credential harvesting’i bloke eder |
| 3 | Pivot (IT→OT) | Dual-homed EWS üzerinden OT’ye geciş [6] | DMZ + jump server + data diode pivot’u engeller |
| 4 | Lateral Movement | OT icinde RDP/SMB ile yayılım [6] | Mikro segmentasyon cell bazlı izolasyon |
| 5 | Impact | Breaker/gate kontrol, wiper, DoV/DoC [5][6] | Segmentasyon 3-4. adımları zorlaştırır |
Tablo 5: Model Saldiri Akışı ve Segmentasyonun Etkisi [5][6]
DOE’nin dokumani HES siber olaylarinin kamu guvenligi, kritik altyapi ve sebeke enerji dagitimini etkileyebilecegini vurgular[8]. 100 MW HES’te 4 saatlik durak = 400 MWh kayip + piyasa/restart maliyetleri.
Hydrowise: Güvenli Entegrasyon Mimarisi
Hydrowise, SCADA/IoT’den gerçek zamanlı veri toplayarak üretim tahmini, kestirimci bakim, su debisi öngörüsü ve EPİAŞ entegrasyonu sunan uçtan uca dijital enerji yönetim platformudur[13]. Güvenlik mimarisi: (1) OT kontrol bütünlüğünü korumak, (2) veriyi analitik katmana güvenli taşımak.
DMZ Referans Mimarisi
| Zone | Bilesenler | Guvenlik Kontrolleri |
|---|---|---|
| Zone 0-2 (Field/Control) | PLC/RTU, I/O aglari, turbin-gate kontrol hucreleri | Mikro seg: her hucre izole; DPI ile Modbus FC kontrolu |
| Zone 3 (Supervisory) | SCADA sunuculari, historian, HMI | HMI→PLC yalnizca izinli host/protokol; ML baseline |
| Zone 3.5 (OT DMZ) | Hydrowise OT gateway, jump server, log broker | MFA + time-based + session kaydi; opsiyonel data diode |
| Zone 4-5 (Enterprise/Cloud) | SOC/SIEM, kurumsal IAM, Hydrowise UI | OT’ye dogrudan erisim yok; DMZ uzerinden kontrollu akis |
Tablo 6: Hydrowise DMZ Referans Mimarisi [1][2][9]
Kritik ilke: Hydrowise OT collector yalnizca read-only telemetri toplar; kontrol komutu uretmez. Kimlik dogrulama OPC UA X.509 sertifika tabanlıdır[13].
🔍 HPP-Ozgu AI Yetenekleri
Su Debisi Tahmini: ML modeli; yagis, kar erimesi, havza parametreleri ile egitilir. 72 saat tahmin penceresi.
Uretim Tahmini: Rezervuar + su debisi + turbin verimi + piyasa fiyatlari entegre. EPİAŞ GOP/GIP hizali.
Kestirimci Bakim: Turbin titresim, yatak sicakligi, yag kalitesi, sargi yalitimi coklu degisken anomali skorlamasi.
EPİAŞ Entegrasyonu: GOP/GIP fiyat optimizasyonu, otomatik teklif, dengesizlik risk analizi ve gelir maksimizasyonu.
Sonuç
OT/IT segmentasyonu ve mikro segmentasyon; HES’lerde üretim sürekliliği ve safety’nin parçasıdır[1][10]. Hydrowise, doğru segmentasyonla dijital enerji yönetimini güvenli mimariye oturtur[13].