Kritik Enerji Tesislerinde Yazılım Güvenliği ve SCADA Koruması
SSDLC, CI/CD Güvenliği, Zero Trust ve HYDROWISE Çözümü
Renewasoft | 2026
Seviye: Ileri Hedef Kitle: SCADA Mühendisi, HES İşletmecisi, CTO, Altyapı Yatırımcısı
Giriş
Hidroelektrik santrallerin dijitalleşmesiyle (SCADA, IIoT) otomatize sistemler enerji üretimini optimize ederken, bu sistemlerdeki küçük bir güvenlik açığı bile fiziki hasar, verim düşüşü veya operasyonel kesintilere yol açabilir. 2025’te Norveç’teki Bremanger Barajı’na yapılan siber saldırıda, kontrol sistemi üzerinden vanalar açılarak dört saat boyunca fazla su salındığı tespit edilmiştir [1]. NIST’e göre OT/ICS ortamları yüksek güvenilirlik, süreklilik ve emniyet gereksinimi taşır [1]; bu nedenle hem ağ hem de yazılım katmanında katmanlı savunma ve proaktif güvenlik önlemleri şarttır.
Bu blog yazısında; SCADA/OT mimarisindeki zayıflıklar, savunma katmanları, yazılım geliştirme güvenliği (SSDLC), CI/CD pipeline güvenlik kontrolleri, tedarik zinciri saldırıları, risk skorlama modeli ve Renewasoft HYDROWISE platformunun bu sorunlara sunduğu çözümler uçtan uca ele alınmaktadır.
► https://renewasoft.com.tr/index.php/tr/hizmetimiz/
TL;DR — Yönetici Özeti
- IT/OT Ayrımı: HES’ler gerçek zamanlı kontrol ve yüksek süreklilik önceliklidir. Purdue modeli segmentasyonu OT/IT izolasyonu sağlar[1].
- Saldırı Yüzeyi: Modbus, DNP3, IEC-104 gibi eski protokoller kimlik doğrulama veya şifreleme içermez. Açık portlar ve mühendislik istasyonları zayıf konfigürasyon riski taşır[1][2].
- Savunma Katmanları: DMZ, ağ segmentasyonu, Zero Trust ve derin paket inceleme ile OT ağı korunur[1][2].
- SSDLC + CI/CD: Yazılım geliştirme sürecine entegre güvenlik; SAST, DAST, container scan, SBOM ve imza doğrulama[3][4].
- HYDROWISE: Renewasoft’un AI destekli anomali tespiti, ag segmentasyonu ve guvenli yazilim gelistirme prensipleriyle HES korumasi[1].
İnfografik: HES Yazılım Güvenliği — Saldırı Yüzeyi, Savunma Katmanları ve SSDLC Pipeline [1][2][3]
Paradigma Değişimi: Purdue Modeli Işıgında IT/OT Ayrımı
Endustriyel kontrol sistemlerinin temel ag mimarisi Purdue modeline gore katmanlidir. Bu modelde, seviye 0-1 fiziksel surec ve PLC/RTU katmanlari; seviye 2 ise SCADA/HMI/DCS katmanidir. Ust seviyeler (3-5) kontrol merkezi ve kurumsal IT’yi icerir. Bu ayrim, OT/IT arasinda bir hava boslugu yaratarak etkin erisim kontrolune olanak tanir[1].
Ancak dijitallesmeyle bu katmanlar giderek ic ice geciyor. Is surecleri bulut, IoT ve uzaktan erisimle butunlesti. Bu durum, OT aglarinin tehlike yuzeyini genisletti. NotPetya saldirisi sirasinda zayif segmentasyon, kotu yazilimin fabrika otomasyon aglarina yayilmasina neden olmustu[5]. NIST’in belirttigi gibi, ICS aglari beklenmedik sekilde girilir hale gelirse, fiziki surecler uzerindeki kontrol hizla kaybolabilir[1]. Bu nedenle HES’de defense-in-depth stratejisi ve Zero Trust anlayisi kacinilmazdir.
| Seviye | Katman | Bilesenler | Guvenlik Onlemi |
|---|---|---|---|
| 0-1 | Fiziksel Surec + PLC/RTU | Turbin, jenerator, sensor, PLC, RTU | Mikro-segmentasyon, fiziksel erisim kontrolu |
| 2 | SCADA / HMI / DCS | SCADA server, HMI terminal, historian | DPI, ML baseline, oturum izleme |
| 3 | Kontrol Merkezi | Muhendislik istasyonu, patch server | Jump server, MFA, yama yonetimi |
| 3.5 | OT DMZ | Data diode, log broker, proxy | Tek yonlu veri akisi, SIEM entegrasyonu |
| 4-5 | Kurumsal IT / Bulut | ERP, SOC/SIEM, Hydrowise UI | Dogrudan OT erisimi yok; DMZ uzerinden |
Tablo 1: Purdue Modeli Katmanlari ve Guvenlik Onlemleri [1][2]
İnfografik: Purdue Modeli + IEC 62443 Güvenlik Zonları [1][2]
Saldırı Yüzeyi Haritalama: HES’lerdeki Zayıf Noktalar
HES’lerdeki OT cihazları ve protokoller tarihsel olarak güvenlik yerine işlevsellik gözetilerek tasarlanmıştır. NIST’in vurguladığı gibi, birçok endüstriyel protokolde kimlik doğrulama bulunmamaktadır [1]. Modbus TCP, DNP3 veya IEC 60870-5-104 gibi yaygın protokoller; şifreleme, doğrulama veya bütünlük kontrollerinden yoksundur [1]. Bu protokoller, ağ üzerinde dinlenerek ya da tekrar oynatılarak kolayca manipüle edilebilir.
| Protokol / Bilesen | Zayıflık | Saldırı Vektörü | Önlem |
|---|---|---|---|
| Modbus TCP (502) | Auth/şifreleme yok | Komut enjeksiyonu, replay | DPI + allowlist, TLS wrapper |
| DNP3 (20000) | Auth opsiyonel, seyrek | Man-in-the-middle, spoof | DNP3 Secure Auth, segmentasyon |
| IEC 60870-5-104 | Sifreleme/dogrulama yok | Sahte komut, dinleme | IEC 62351 TLS, VPN tunelleme |
| HMI/RTU (Windows) | Yamalanmamis OS, varsayilan parola | Lateral movement, RCE | Yama yönetimi, uygulama beyaz listesi |
| Mühendislik Ist. | USB, vendor yazılım, dual-homed | PLC program manipülasyonu | PAM, jump host, USB kontrolü |
| Uzaktan Erişim | Zayıf VPN, tek faktör | Credential harvesting | MFA + zaman bazlı + oturum kaydı |
Tablo 2: HES Saldırı Yüzeyi Haritası ve Karşı Önlemler [1][2]
NIST uyarır: ICS bileşenleri güncelleme ve yamalama bakımından sıkıntılıdır, birçok cihaz artık desteklenmeyen eski işletim sistemleri üzerinde çalışır[1]. Dolayısıyla, HES ağında açık portlar, izinsiz uzaktan erişim kanalları ve test edilmemiş üçüncü parti uygulamalar ağır risk taşır.
Savunma Katmanları ve Zero Trust: Asla Güvenme, Her Zaman Doğrula
HES’lerde korunma öncelikle çok katmanlı savunma ile sağlanır. OT ağına giden trafik katmanlara ayrılır ve her seviyede farklı önlemler uygulanır. Kontrol ağı ile kurumsal ağ arasında DMZ oluşturularak ağ erişimi sınırlandırılır. Endüstriyel firewall’lar yalnızca gerekli SCADA trafiğine izin verir. Dahili ICS ağında ise zone/conduit segmentasyonu ile santral bölümleri izole edilir [1][2].
Zero Trust modelinde kullanıcılar, cihazlar ve uygulamalar hiçbir zaman otomatik olarak güvenilir kabul edilmez; erişim her seferinde sınanır ve kısıtlanır. Örneğin, bir PLC’ye erişim isteyen mühendis önce kimlik denetimine (MFA) tabi tutulur. Ağ trafiği sürekli izlenir; anormal hareketlilik algılandığında anında izolasyon sağlanır. ISA/IEC 62443 standartları da bu katmanlı mimariyi öngörür [2].
| Katman | Teknik İşlem | HES Uygulaması |
|---|---|---|
| Perimeter FW | deny-all / permit-by-exception; stateful + DPI [1] | NGFW: Modbus FC, DNP3, OPC UA parser ile komut filtre |
| DMZ | Kurumsal ağdan OT’ye doğrudan erişimi engeller [1] | Hydrowise OT gateway, log broker, zaman senkron proxy |
| Jump Server | OT erişimini tek kontrollu hop noktasına yonlendirir [1] | MFA + zaman bazlı + oturum kaydı; split tunneling kapatılır |
| Mikro-Segmentasyon | Cell/area bazlı segment; PEP ile en az ayrıcalık [2] | SCADA, sensör, PLC grubu ayrı güvenli bölgeler |
| Data Diode | OT→DMZ tek yonlu veri akışı; C2 kanali fiziksel engel [1] | Kritik telemetri disinda tum ters akış engellenir |
| IDS/IPS + SIEM | Trafik anomali tespiti, log korelasyonu, playbook [1] | Deterministik baselining + ML anomali skorlama |
Tablo 3: Savunma Katmanlari ve HES Uygulamalari [1][2]
Güvenli Yazılım Geliştirme (SSDLC) ve CI/CD Güvenliği
Yazılım geliştirme sürecine entegre güvenlik kritik öneme sahiptir. NIST SSDF rehberi, statik analiz ve gizli anahtar taramasını şiddetle önermektedir [4]. IEC/ISA 62443-4-1 standardı ise endüstriyel ürünler için güvenli ürün geliştirme ilkelerini tanımlar [2].
| # | Asama | Güvenlik Aktivitesi | Araçlar / Standart |
|---|---|---|---|
| 1 | Tasarım | Tehdit modelleme, güvenlik gereksinimleri, mimari inceleme | STRIDE, siber-HAZOP, IEC 62443-3-3 |
| 2 | Geliştirme | Kod inceleme, statik analiz, bağımlılık tarama, gizli anahtar tespiti | SAST (SonarQube, Semgrep), Snyk, GitLeaks |
| 3 | Test | Dinamik analiz, penetrasyon testi, fuzzing, performans testi | DAST (OWASP ZAP, Burp), fuzzer, load test |
| 4 | Dağıtım | Container zafiyet tarama, imza doğrulama, SBOM üretimi | Trivy, Cosign, SBOM (CycloneDX/SPDX) |
| 5 | İzleme | Runtime anomali tespiti, log denetimi, SIEM entegrasyonu | Falco, ELK/Splunk, Hydrowise AI |
Tablo 4: SSDLC Pipeline Aşamaları ve Güvenlik Kontrolleri [2][4]
Renewasoft, HYDROWISE geliştirirken bu SSDLC önlemlerini uygular: her yazılım bileşeni konteynerlere paketlenip zafiyet tarama sistemlerinden geçirilir; CI/CD hattındaki her adim güvenlik kontrollerinden geçer. Hiçbir imzasız yazılım üretim hattına kabul edilmez[2].
Tedarik Zinciri Saldırıları ve Korunma
Tedarik zinciri saldırısı, yazılım geliştirici yerine üçüncü taraf bileşenlerin veya güncelleme kanallarının hedeflenerek sisteme sızılmasıdır. 2020’deki SolarWinds vakasında, saldırganlar meşru Orion yönetim yazılımına kötü amaçlı kod enjekte etmiş ve bu yazılımı kullanan binlerce kuruma erişim sağlamıştır [5]. Enerji altyapısında benzer bir durum, sahte PLC firmware güncellemesi aracılığıyla kontrol sistemine sızılması şeklinde yaşanabilir.
🔒 Tedarik Zinciri Korunma Kontrol Listesi
SBOM (Software Bill of Materials): Tüm bağımlılıkların envanteri tutulur; CycloneDX veya SPDX formatı kullanılır.
Bağımlılık İmzalama: Her kütüphanenin kriptografik imzası doğrulanır; dependency hijacking saldırıları önlenir.
Sürüm Sabitleme: CI/CD süreçlerinde bağımlılık sürümleri sabitlenir (pinning); beklenmedik güncellemeler engellenir.
Firmware Doğrulama: PLC/RTU firmware güncellemeleri, üretici sertifikası ve hash doğrulaması ile gerçekleştirilir.
Güvenli Kanal: Güncellemeler yalnızca şifreli ve kimlik doğrulanmış kanallar üzerinden sağlanır (TLS ve mutual authentication).
Teknik Risk Skorlama Modeli
Enerji tesislerinde risk analizi nicel olarak yapılmalıdır. Yaygın kullanılan model şu şekildedir:
Risk = Tehdit × Zafiyet × Etki
Tehdit: Aktörün yetenek ve niyeti
Zafiyet: Açığın büyüklüğü
Etki: Operasyonel kayıp, donanım hasarı veya güvenlik ihlali
Hidroelektrik projelerde etki kriterleri arasında üretim kaybı, donanım arızası ve çevresel zarar yer alır. Heluany ve ark., HES’ler için siber-HAZOP yöntemiyle detaylı bir risk değerlendirme yaklaşımı önermiştir [5]. Bu kapsamda, her kontrol elemanına 0–100 aralığında bir risk skoru atanarak yatırım ve güvenlik kaynaklarının en yüksek riskli alanlara öncelikli olarak yönlendirilmesi sağlanır.
| Varlık / Senaryo | Tehdit | Zafiyet | Etki | Risk Skoru |
|---|---|---|---|---|
| SCADA Server (yamalanmamış) | 0.8 | 0.9 | 0.9 | 0.648 → Kritik |
| PLC (Modbus, auth yok) | 0.7 | 0.8 | 0.9 | 0.504 → Yüksek |
| Muhendislik Ist. (dual-homed) | 0.6 | 0.7 | 0.8 | 0.336 → Orta-Yüksek |
| Hydrowise Gateway (DMZ, TLS) | 0.5 | 0.2 | 0.7 | 0.070 → Düşük |
Tablo 5: HES Varlık Bazlı Risk Skorlama örneği [1][5]
Vaka Analizi: Gerçek Senaryolar
💥 Kanıta Dayalı Arka Plan
Bowman Avenue Barajı (2013, ABD): İran kaynaklı hackerların barajın SCADA sistemine sızdığı tespit edilmiştir. Fiziksel bir hasar oluşmamış, ancak yetkisiz erişim kanıtlanmıştır [5].
Bremanger/Risevatnet Barajı (2025, Norveç): Zayıf bir parola nedeniyle kontrol sistemi ele geçirilmiş; vanalar tamamen açılarak dört saat boyunca su çıkışı normalin 497 L/s üzerinde artırılmıştır [1].
NotPetya (2017): Tedarik zinciri üzerinden yayılan saldırı, zayıf ağ segmentasyonu nedeniyle fabrika otomasyon ağlarına bulaşmıştır [5].
SolarWinds (2020): Meşru Orion yazılımına enjekte edilen kötü amaçlı kod, binlerce kuruma erişim sağlamıştır [5].
Tipik bir HES saldırı senaryosu: Saldırgan, oltalama (phishing) e-postası ile mühendislik istasyonuna erişim kazanır, PLC kimlik bilgilerini ele geçirir ve su debisini yanlış verilere göre ayarlayan kumanda komutlarını değiştirir. Sonuç olarak türbinlerin aniden durması, enerji üretiminde kesinti ve mekanik sistemlerde ani yük değişimine bağlı hasar meydana gelebilir. Bu nedenle erken uyarı ve anomali algılama sistemleri ile hızlı müdahale yeteneği hayati öneme sahiptir.
HYDROWISE Güvenlik Mimarisi: Renewasoft’un Çözümü
Renewasoft’un HYDROWISE platformu, yukarıda belirtilen tüm risk ve güvenlik açıklarını ele almak üzere tasarlanmıştır. Bulut tabanlı ve ölçeklenebilir bir mimariye sahip olan HYDROWISE; SCADA sistemleri, IoT sensörleri ve meteorolojik veri kaynakları dâhil olmak üzere tüm operasyonel verileri merkezi bir platformda toplar. Bu birleşik veri katmanı üzerinde çalışan ileri düzey yapay zekâ algoritmaları sayesinde üretim tahminleri, tahmine dayalı bakım senaryoları ve erken uyarılar otomatik olarak oluşturulur [1].
| Güvenlik Katmanı | HYDROWISE Uygulaması | Referans Standart |
|---|---|---|
| Ağ Güvenliği | Ağ segmentasyonu, TLS şifreleme, DMZ konumlandırma | NIST SP 800-82, IEC 62443 |
| Yazılım Güvenliği | SSDLC, SAST/DAST, container scan, SBOM, imza doğrulama | NIST SSDF, IEC 62443-4-1 |
| Erisim Kontrolu | RBAC, MFA, oturum kaydi, PAM entegrasyonu | Zero Trust, IEC 62443-3-3 |
| AI Anomali Tespiti | Gerçek zamanlı anomali skorlama, erken uyarı aksiyon önerisi | NIST SP 800-82, MITRE ICS |
| Log / Denetim | Tüm işlemler loglanır, SIEM entegrasyonu, forensik destek | IEC 62443, SOC 2 |
Tablo 6: HYDROWISE Güvenlik Katmanları ve Referans Standartlar [1][2][4]
🔍 Hydrowise AI Yetenekleri
Su Akışı Tahmini: Meteorolojik veri + havza parametreleri + tarihsel akim kayıtları ile ML modeli. 72 saatlik tahmin penceresi.
Üretim Tahmini: Rezervuar seviye + su akışı + türbin verim + piyasa fiyat sinyalleri entegre tahmin.
Kestirimci Bakım: Türbin titreşim, rulman sıcaklık, yağ kalitesi, sargı yalıtım direnci çok değişkenli anomali skorlama.
EPIAS Entegrasyonu: GOP/GIP fiyat sinyalleri ile optimizasyon. Otomatik teklif, dengesizlik risk analizi.
Sık Sorulan Sorular (FAQ)
S1: Enerji santrali yazılımları neden diğer sektörlere göre daha kritik kabul edilir?
Enerji santralleri, kesintisiz güç sağlama görevi nedeniyle gerçek zamanlı kontrol ve yüksek güvenilirlik gerektirir. NIST’e göre ICS/OT sistemleri anlık yanıt süreleri ve sürekli çalışma gereksinimine tabidir. Bir yazılım hatası fiziksel süreçleri etkileyebilir ve ciddi mali kayıplara yol açabilir [1].
S2: HES’lerdeki yaygın ICS protokollerinin güvenlik zayıflıkları nelerdir?
Modbus, DNP3 ve IEC-104 gibi eski protokoller kimlik doğrulama ve şifreleme içermez. Bu nedenle veriler dinlenebilir veya sahte komutlar gönderilebilir. SCADA cihazları genellikle standart portlar kullanır; kontrolsüz bırakıldıklarında komut enjeksiyonuna fırsat verebilir [1][2].
S3: HES’lerde Zero Trust nasıl uygulanır?
OT ağı segmentlere bölünür ve segmentler arası geçiş firewall’lar ile sınırlandırılır. Kritik cihazlara erişim çok faktörlü kimlik doğrulama (MFA) ile doğrulanır. Ağ trafiği sürekli izlenir; anormallik tespit edildiğinde sistem anında izole edilir. ISA/IEC 62443 standartları bu katmanlı mimariyi öngörür [2].
S4: Teknik risk skorlama nasıl uygulanır?
Risk = Tehdit × Zafiyet × Etki formülü kullanılır. Her varlığın riski 0–100 aralığında puanlanır. Siber-HAZOP yöntemi ile detaylı senaryolar oluşturulur ve güvenlik yatırımları en yüksek riskli alanlara önceliklendirilir [1][5].
S5: SSDLC ve CI/CD süreçlerinde hangi güvenlik önlemleri alınmalıdır?
Kod inceleme, SAST, bağımlılık tarama, DAST, container güvenlik taraması, SBOM oluşturma ve imza doğrulama uygulanmalıdır. NIST SSDF, statik analiz ve gizli anahtar taramasını önerir. İmzası doğrulanmamış hiçbir yazılım üretim ortamına alınmamalıdır [3][4].
S6: Tedarik zinciri saldırılarına karşı nasıl korunulur?
SBOM envanteri oluşturma, bağımlılık imzalama, sürüm sabitleme, firmware sertifika doğrulama ve güvenli güncelleme kanalları kullanılır. SolarWinds vakası, meşru güncelleme kanallarının bile saldırı vektörü olabileceğini göstermiştir [5].
Sonuç
Kritik enerji tesislerinde güvenlik, rekabet üstünlüğü kadar operasyonel sürekliliği de belirler. Bu yazıda SCADA/OT mimarisindeki zayıflıklar, savunma katmanları, risk analiz yöntemleri, yazılım geliştirme güvenliği ve tedarik zinciri korunması ele alınmıştır. Tüm bu aşamalarda sorun–çözüm odaklı, katmanlı ve proaktif bir yaklaşım benimsenmesi büyük önem taşımaktadır [1][2][4].