Enerji dağıtım sektöründe siber güvenlik iş stratejisinin ayrılmaz bir parçası olmalı

Serbest Kürsü
Serbest Kürsü

Erkan Baykuş -  EY Türkiye Enerji Sektörü Lideri

Enerji Dağıtım Sektörü Küresel Bilgi Güvenliği 2018-19 Araştırması (Global Information Security Survey-GISS), enerji dağıtım sektörü şirketlerinin bugün karşılaştığı en önemli siber güvenlik sorunlarını mercek altına alıyor. Dünya genelinden büyük ölçekli enerji dağıtım şirketi yöneticilerinin anket yoluyla katılımı ile hazırlanan araştırma, şirketlerin günümüzün dijital ekosisteminde siber güvenlik tehditleri ve saldırılarına karşı yaptıkları hazırlıklar ve yatırımlar ile ilgili çarpıcı bulgular ortaya koyuyor. Araştırma sonuçları; enerji dağıtım sektörü şirketlerinin güvenlik için ayırılan kaynakları artırdıklarını gösterirken, bununla birlikte yaşanabilecek olayların potansiyel olarak ölçeği ve şiddeti ile ilgili büyük endişe duyduklarını ortaya koyuyor. Bu anlamda gerçekten de günümüzde dijital ekosistemin giderek genişlemesi, enerji dağıtım sektörü şirketlerinin daha sık ve karmaşık, daha da önemlisi kritik öneme sahip fonksiyonları aksatabilecek siber saldırılarla karşılaşması riskini beraberinde getiriyor. Dolayısıyla şirketlerin hem işletmeyi korumaya hem de yeni teknolojilerle işletmeyi daha çevik, yenilikçi ve hazırlıklı hale getirmeye odaklanması gerekiyor.
Araştırmamız; siber güvenlik konusunun şirket yönetim kurullarının gündemini etkilemeye devam etmesi ile birlikte enerji dağıtım sektörü şirketlerinin işletmeyi koruma, siber güvenlik uygulamalarını optimize etme ve büyümeyi destekleme olmak üzere aşağıdaki üç temel alana odaklanmaları gerektiğine işaret ediyor.

1. İşletmeyi korumak

İlk alanda işletme, şebeke, müşteri etki alanları genelinde kritik öneme sahip varlıkların tanımlanması ve bu varlıklara yönelik olarak risk odaklı ve kademeli savunma sistemleri kurulması önem taşıyor. Buna karşın araştırma sonuçları, enerji dağıtım sektörü şirketlerinin üçte birinden fazlasının (%38) mevcut bir giriş ve erişim sisteminin bulunmadığını ya da bulunan sistemlerin modasının geçmiş veya kullanılamaz olduğunu gösteriyor.

2. Siber güvenlik uygulamalarını optimize etmek

İkinci alanda ise katma değer yaratmayan aktivitelerin azaltılması ve verimliliğin artırılması ile ortaya çıkacak kaynakların data analizi ve robotik süreç otomasyonu (RPA) gibi gelişmekte olan ve inovatif teknolojilere ayrılması sayesinde güvenlik sistemlerinin daha güvenilir hale getirilmesi yer alıyor. Araştırmamıza katılan yöneticilerin neredeyse yarısı (%47), yönetim kurulunun hedeflediği risk toleransı seviyesine ulaşılabilmesi için, siber güvenlik bütçelerinin %25’ten fazla yükseltilmesi ihtiyacı duyduklarını ifade ediyor.

3. Büyümeyi desteklemek

Üçüncü alan olan büyümenin desteklenmesi alanında ise günümüzde pek çok enerji dağıtım şirketinin uyguladığı dijital dönüşümün siber güvenlik perspektifi ile birlikte ele alınması gerekiyor. Araştırmamızın bu anlamda işaret ettiği sonuç oldukça çarpıcı; enerji dağıtım sektörü şirketlerinin yalnızca %14’ü mevcut stratejilerine güvenlik konusunun tam anlamıyla dâhil edildiğini ve risk operasyon modellerinin siber güvenlik tehditlerini, açıklarını ve potansiyel etkilerini kapsayıp takip ettiğini dile getiriyor.

Öte yandan enerji dağıtım sektörü şirketleri genelinde tekil olarak siber güvenlik alanında liderlik ve yönetişimin yetersiz olduğunu gözlemliyoruz. Araştırmamıza katılan yöneticilerin %26’sı siber güvenlik alanında yönetimin yeterince farkındalık sahibi olmamasının güvenlik fonksiyonunun işlevini sınırladığını belirtiyor. Bununla birlikte enerji dağıtım şirketi yöneticilerinin %26’sı ise yönetim kurullarında doğrudan siber güvenlikten sorumlu bir üye olduğunu ifade ediyor. Tüm sektörler dikkate alındığında ise yönetim kurullarında doğrudan siber güvenlikten sorumlu bir üye barındıran şirketlerin oranı %40 seviyesinde. Siber güvenlik ihlallerinin yaşanmasının da geleceğe yönelik planlama konusunda enerji dağıtım sektörü şirketlerini önlem alma yönünde teşvik etmesi gerekiyor. Katılımcıların %58’si yakın zamanda ciddi bir siber güvenlik olayı yaşadıklarını ifade ederken, yaklaşık yarısı (%49) halen bir güvenlik operasyon merkezlerinin olmadığını belirtiyor.

Enerji dağıtım sektörü şirketleri her ne kadar siber güvenlik konusunda geçtiğimiz yıllarda kaydedilen ilerleme ile birlikte tehditlere karşı daha iyi bir noktaya gelmiş olsalar da araştırma sonuçları daha gelişmiş ve hedefli saldırılarla baş etmede yetersiz kaldığına işaret ediyor. Siber tehditlere karşı dirençli bir yapı oluşturulması için şirketlerin öncelikle kurum genelinde benimsenen kapsamlı bir risk yönetimi stratejisine sahip olmaları gerekiyor. Siber güvenlik yönetim stratejisinde, karmaşıklaşan tehditler karşısında çok katmanlı bir yaklaşım ile hareket edilmesi ve başarısı kanıtlanmış öncü uygulamaların kullanılması önem taşıyor. Diğer taraftan şirketlerde güvenlikten sorumlu yetkililerin endişe duydukları konuları üst düzey yönetime taşıma kabiliyetlerinde eksiklik olduğunu gözlemliyoruz. Bu da risklerin azaltılmasını sağlayacak yatırımların yapılması önünde engel teşkil ediyor. Dolayısıyla siber güvenlik konusunun genel şirket stratejisinin ayrılmaz bir parçası olarak ele alınmasına ihtiyaç duyulduğunu gösteriyor.

Yazara Ait Diğer Yazılar Tüm Yazılar