OT/IT Ag Segmentasyonu ve Mikro Segmentasyon
HES’lerde Guvenli SCADA Mimarisi: Purdue Modeli, IEC 62443 ve Zero Trust
Renewasoft | 2026
Seviye: Ileri Hedef Kitle: SCADA Muhendisi, HES Isletmecisi, CTO, Altyapi Yatirimcisi
Giriş: Dijital Dönüşümün Güvenlik Önkoşulu
HES operasyonlarında verimlilik hedefleri; gerçek zamanlı izleme, uzaktan erişim, merkezi raporlama ve AI tabanlı kestirimci analitiği hızla standart operasyon haline getiriyor[13].
Ancak bu dijitalleşme, çoğu sahada aynı soruyu büyütüyor: Veriyi güvenli biçimde dışarı çıkarırken kontrol katmanlarını nasıl koruyacağız? NIST SP 800-82r3, OT sistemlerinin performans, güvenilirlik ve emniyet gereksinimleri nedeniyle güvenlik önlemlerinin dikkatle tasarlanması gerektiğini vurgular[1].
TL;DR — Yönetici Özeti
OT/IT ayrımı; gecikme, determinism ve safety gereksinimleri nedeniyle IT güvenlik pratiklerinin OT’ye kopyalanamayacağı bir mimari gerçektir[1].
Düz ağlar IT’den OT’ye yatay hareketi kolaylaştırır; dual-homed sistemler, zayıf kimlik doğrulama ve açık uzaktan erişim kanalları pivot noktası olur[5][6].
Purdue modeli + DMZ yaklaşımı; OT ile kurumsal ağ arasında zorunlu enforcement boundary kurarak veri akışlarını denetlenebilir hale getirir[1].
Zero Trust mimarisinde mikro segmentasyon; PEP üzerinden asla güvenme, her zaman doğrula prensibini pratikte uygular[2].
Güvenli veri akışı yalnızca kontrollü conduit üzerinden sağlanmalıdır[13].
Paradigma Değişimi: Purdue Modeli Işığında IT/OT Ayrımı
OT sistemleri fiziksel süreçleri izler ve kontrol eder; guvenlik tasarımı CIA üçlüsü kadar emniyet ve süreklilik hedefleriyle birlikte ele alınmalıdır. NIST SP 800-82r3, OT’nin benzersiz performans, güvenilirlik ve safety gereksinimleri nedeniyle güvenlik önlemlerinin OT’ye uygun uyarlanmasını temel çerçeve olarak tanımlar[1].
| Kriter | IT Ağı | OT Ağı |
|---|---|---|
| Trafik Deseni | Değişken, kullanıcı kaynaklı | Deterministik, tekrarlanabilir, öngörülebilir |
| Gecikme Toleransi | Saniye-dakika kabul edilebilir | ms seviyesi jitter proses stabilitesini etkiler |
| Yasam Dongusu | 3-5 yil, duzenli guncelleme | 15-25 yil, legacy cihazlar yaygin |
| Oncelik Sirasi | Gizlilik → Bütünlük → Eriiebilirlik | Erişebilirlik → Emniyet → Bütünlük |
| Anomali Tespiti | Zor: yüksek varyans | Fırsat: deterministik baselining |
Tablo 1: IT ve OT Ağ Karakteristiklerinin Karşılaştırması [1]
Bu dönüşümün zorlu tarafı, HES’lerde verinin artık yalnızca kontrol odasında kalmamasıdır. Modern tehdit manzarası ise OT/IT sınırının tek bir firewall ile yönetilemeyeceğini gösterdi. 2015 Ukrayna saldırısında saldırganlar kurumsal ağdan OT’ye uzanan VPN yollarını kullandı; 2FA eksikliği riski büyüttü ve HMI üzerinden breaker operasyonlarına gidildi[5].
İnfografik: Purdue Modeli + IEC 62443 Güvenlik Bölgeleri ve İletişim Kanalları [1][9]
IEC 62443: Güvenlik Bölgeleri ve İletiŞim Kanalları
IEC 62443 yaklaşımı, ağı güvenlik bölgeleri (zones) ve iletişim kanalları (conduits) olarak düşünür. ENISA, zoning/conduit yaklaşımını tehdit aktör profillerine göre güvenlik seviyelerinin türetilebilmesi çerçevesinde ele alır[9].
Saldırı Yüzeyi Haritalama: HES’lerdeki Zayıf Noktalar
Ağ segmentasyonunu doğru tasarlamak için önce “nereden saldırılır?” sorusunu HES’e özel bir saldırı yüzeyi haritasına çevirmek gerekir[1].
⚠ Teknik Not: HES’lerde Kırılgan Alanlar
Uzaktan Erişim (VPN/RDP): Ukrayna raporu, saldırganın VPN bağlantılarını keşfedip kullandığını; 2FA eksikliğinin risk yarattığını ve remote access DMZ/jump host/split tunneling kapatma tedbirlerini öne çıkarır[5].
Dual-homed Sistemler: ICS taktik çerçevesi, saldırganların varsayılan şifreler ve dual-homed cihazlarla yatay hareket ettiğini açıklar. Düz ağlarda segment bariyeri yoktur[6].
Mühendislik İstasyonları: PLC/RTU programları, governor setpoint’leri genellikle EWS’den yönetilir. Hem OT’ye yakın hem USB/vendor yazılım gerektiren yüksek öncelikli saldırı yüzeyi[1].
Legacy Protokoller: OT protokollerinin bir bölümü güvenlik tasarımıyla doğmadı. NIST, OT firewall’ların DNP3/CIP/Modbus parser’ları ile DPI yapabildiğini belirtir[10].
Bowman Barajı İhlali (2013): ABD’de Bowman Barajı SCADA’ya yetkisiz erişim; su seviyesi, sıcaklık ve savak kapı bilgilerine ulaşıldı. İyileştirme: $30.000+[12].
Savunma Katmanları ve Zero Trust
Katmanlı Savunma: VLAN / Firewall / DMZ / Jump Server / Data Diode
| Katman | Teknik İşlev | HES Uygulaması |
|---|---|---|
| DMZ | Kurumsal ağdan OT’ye direkt erişimleri engeller; servisleri tek noktada toplar [1] | OT gateway, log broker, time sync proxy DMZ’de konumlanır |
| Jump Server | OT erişimini tek denetimli sıçrama noktası üzerinden geçtirir [5] | MFA + time-based + session kaydı; split tunneling kapalı |
| Firewall (DPI) | deny-all / permit-by-exception; stateful + DPI [10] | OT NGFW: Modbus FC, DNP3, OPC UA parser ile komut bazlı filtreleme |
| Data Diode | OT→DMZ tek yönlü veri akışı; C2 kanalını fiziksel olarak imkânsız kılar [1] | Kritik telemetri dışında tüm ters akış fiziksel olarak engellenir |
| VLAN | Başlangıç için değerli; trunk/routing/ACL bypass riski [10] | Mümkünse fiziksel ayrım + enforcement cihazı ile desteklenmeli |
Tablo 3: Katmanlı Savunma Bileşenleri [1][5][10]
Zero Trust ve Mikro Segmentasyon
Zero Trust, ağın ihlal edilmiş olabileceği varsayımı altında her istekte en az ayrıcalıkla erişim kararı verir. NIST SP 800-207, mikro segmentasyonda kaynakların ayrı segmentlere konduğunu ve her segmentin gateway/PEP tarafından korunduğunu açıklar[2]. OT’de bu; cell/area bazlı segmentler, mühendislik istasyonu → PLC akışlarının yalnızca tanımlı bakım pencerelerinde açılması, HMI → PLC komutlarının operasyon rolü + MFA + jump host üzerinden gelmesi anlamına gelir.
Deterministik Trafik Baselining
OT ağlarında trafik desenleri IT’ye kıyasla çok daha deterministiktir. NIST, bu determinizmin IDS/IPS/BAD/SIEM ile anomali yakalamada kritik olduğunu ve sensörlerin öğrenme modu ile OT trafiğine göre tune edilmesini önerir[1][10].
Protokol Güvenliği: OPC UA ve IEC 62351
OPC UA güvenlik modeli; client/server doğrulama, X.509 sertifikaları, iletişim bütünlüğü/gizliliği ve audit trail içerir[13]. IEC 62351 ise IEC 60870-5, IEC 61850 gibi enerji kontrol protokollerinin iletişim güvenliğine odaklanır[14].
Teknik Risk Skorlama Modeli
NIST riski etki ve olasılık fonksiyonu olarak tanımlar[3]. NREL’in VaR cercevesi kontrol uygulama düzeyi (CI) ile riskin indirgenebileceğini formülleştirir[7]:
L = Olay olasiligi (0-1) | CI_seg = Segmentasyon olgunluğu (0-1) | I = Etki (0-1)
| Durum | L | CI_seg | I | VaR |
|---|---|---|---|---|
| Başlangıç (VLAN var, DMZ sınırlı) | 0.40 | 0.20 | 0.70 | 0.224 |
| Hedef (DMZ+jump+mikro seg+DPI) | 0.40 | 0.70 | 0.70 | 0.084 |
Tablo 4: NREL VaR — Segmentasyon Olgunluğunun Etkisi [7]
Segmentasyon olgunluğu, risk göstergesini ~%62 azaltmaktadir (0.224 → 0.084)[7][3].
Infografik: Segmentasyon Olgunluk Seviyeleri ve Risk Azaltma [7]
Vaka Analizi: HES Saldırı Simülasyonu
💥 Kanıta Dayalı Arka Plan
Ukrayna 2015: Saldırganlar kontrol sistemlerini doğrudan kullanarak operasyon gercekleştirdi; BlackEnergy/KillDisk erişimi kolaylaştırdı[5].
ICS-CERT: KillDisk MBR’yi bozarak sistemleri kullanılmaz hale getirdi; Windows HMI’lar ve seri-Ethernet firmware etkilendi[6].
Bowman Baraji 2013: Yetkisiz SCADA erişimi; $30K+ iyileştirme maliyeti[12].
| # | Asama | Teknik Adim | Segmentasyon Etkisi |
|---|---|---|---|
| 1 | Initial Access | Spearphishing ile kurumsal ağa giriş [5] | IT segmentasyonu ilk bariyeri oluşturur |
| 2 | Credential Access | Domain kimlik bilgileri + VPN keşfi [5] | MFA + PAM credential harvesting’i bloke eder |
| 3 | Pivot (IT→OT) | Dual-homed EWS üzerinden OT’ye geciş [6] | DMZ + jump server + data diode pivot’u engeller |
| 4 | Lateral Movement | OT icinde RDP/SMB ile yayılım [6] | Mikro segmentasyon cell bazlı izolasyon |
| 5 | Impact | Breaker/gate kontrol, wiper, DoV/DoC [5][6] | Segmentasyon 3-4. adımları zorlaştırır |
Tablo 5: Model Saldiri Akışı ve Segmentasyonun Etkisi [5][6]
DOE’nin dokumani HES siber olaylarinin kamu guvenligi, kritik altyapi ve sebeke enerji dagitimini etkileyebilecegini vurgular[8]. 100 MW HES’te 4 saatlik durak = 400 MWh kayip + piyasa/restart maliyetleri.
Kurumsal Entegrasyon Yaklaşımı: Güvenli Veri Akışı
HES’lerde dijital sistemlerin entegrasyonu, OT kontrol bütünlüğünü koruyarak veri erişimi sağlamayı gerektirir.
Bu nedenle entegrasyon mimarisi şu prensiplere dayanmalıdır:
• OT sistemlerinden yalnızca read-only veri akışı
• DMZ üzerinden kontrollü veri geçişi
• Jump server ile denetimli erişim
• Mikro segmentasyon ile hücre bazlı izolasyon
• OPC UA gibi güvenli protokoller ile kimlik doğrulama
Bu yaklaşım sayesinde veri erişimi sağlanırken kontrol katmanları korunur.
DMZ Referans Mimarisi
| Zone | Bilesenler | Guvenlik Kontrolleri |
|---|---|---|
| Zone 0-2 (Field/Control) | PLC/RTU, I/O aglari, turbin-gate kontrol hucreleri | Mikro seg: her hucre izole; DPI ile Modbus FC kontrolu |
| Zone 3 (Supervisory) | SCADA sunuculari, historian, HMI | HMI→PLC yalnizca izinli host/protokol; ML baseline |
| Zone 3.5 (OT DMZ) | OT gateway, jump server, log broker | MFA + time-based + session kaydi; opsiyonel data diode |
| Zone 4-5 (Enterprise/Cloud) | SOC/SIEM, kurumsal IAM, UI | OT’ye dogrudan erisim yok; DMZ uzerinden kontrollu akis |
Tablo 6: DMZ Referans Mimarisi [1][2][9]
Kritik ilke: OT collector yalnizca read-only telemetri toplar; kontrol komutu uretmez. Kimlik dogrulama OPC UA X.509 sertifika tabanlıdır[13].
🔍 HPP-Ozgu AI Yetenekleri
Su Debisi Tahmini: ML modeli; yagis, kar erimesi, havza parametreleri ile egitilir. 72 saat tahmin penceresi.
Uretim Tahmini: Rezervuar + su debisi + turbin verimi + piyasa fiyatlari entegre. EPİAŞ GOP/GIP hizali.
Kestirimci Bakim: Turbin titresim, yatak sicakligi, yag kalitesi, sargi yalitimi coklu degisken anomali skorlamasi.
EPİAŞ Entegrasyonu: GOP/GIP fiyat optimizasyonu, otomatik teklif, dengesizlik risk analizi ve gelir maksimizasyonu.
Sonuç
OT/IT segmentasyonu ve mikro segmentasyon; HES’lerde üretim sürekliliği ve güvenliğin ayrılmaz bir parçasıdır.
Doğru segmentasyon mimarisi, saldırı yüzeyini daraltır, yatay hareketi sınırlar ve kritik kontrol sistemlerini korur.
Bu nedenle modern enerji altyapılarında güvenlik, statik bir önlem değil; sürekli izlenen ve iyileştirilen bir sistem olarak ele alınmalıdır.
Bu konuda daha fazla bilgi almak için bizimle iletişime geçebilirsiniz: