EPDK’nın bu yıl birinci kere 24-25 Mayıs 2022’de Ankara’da kendi yerleşkesinde gerçekleştirdiği Ex4S: Güç Bölümünde Siber Savunma Simülasyonu’22 aktifliğinin teknik yürütücüsü Cyberwise oldu. Aktifliğe elektrik üretim, elektrik iletim, elektrik dağıtım, rafineriler, doğalgaz iletim ve dağıtım üzere tüm kritik güç altyapılarında faaliyet gösteren şirketler ve kamu kurumları ağır ilgi gösterdi. Bu aktiflikte Cyberwise’ın teknik yürütücülüğünü gerçekleştirdiği simülasyonlar, güç tesislerine yönelik siber hücum senaryolarını deneyimleme ve bunlarla baş etme metotlarını öğrenme fırsatı sundu. Aktiflik ile ayrıyeten güç altyapılarında siber dayanıklılığın artırılması, siber olaylara karşı teknik ve yönetimsel yetkinliklerin geliştirilmesi, kişisel ve kurumsal farkındalık oluşturulması ve kuruluşlar ortası paylaşım kültürünün oluşturulması da amaçlandı.
Türkiye’de birinci kere düzenlenen kritik güç altyapıları ve endüstriyel denetim sistemleri odaklı simülasyona, EPDK regülasyonlarına tabi olan kuruluşlardan 238 uzman ve yönetici katılırken iki gün süren aktiflik boyunca toplamda 350 davetli ağırlandı. Endüstriyel denetim sistemlerinin güvenliği hakkında kıymetli bilgiler ve ipuçları verilen bir konferansla başlayan aktiflikte, mümkün siber akınların senaryolaştırıldığı savunma ve atak yeteneklerini test eden çeşitli simülasyonlar gerçekleştirildi.
Etkinlikte farklı şirketlerden iştirakçilerin oluşturduğu karma gruplar, Cyberwise’ın teknik yürütücülüğünü yaptığı simülasyonlarla mümkün siber akınlara karşı ekip halinde ya da ferdi olarak nasıl savunma gerçekleştireceklerini ve bir saldırganın nasıl davranacağını deneyimleme talihi elde ettiler. Öğrenme tecrübesini artırmak için aktiflik öncesinde belirlenen takımlar, Cyberwise uzmanlarınca bilgilendirildiler ve simülasyonu deneme fırsatı buldular. Böylelikle hedeflenen bilgi ve tecrübe transferi ile deneyim edinimi aktiflik öncesinden başlayarak, ağır bir halde gerçekleştirilmiş oldu.
“Kritik altyapı sistemlerini barındıran güç dalında mümkün bir siber felaket sonrasında etraf felaketleri, güç kesintileri, finansal kayıplar hatta ulusal güvenliğin tehlikeye girmesi üzere hayati problemlerin ortaya çıkması kelam konusu. Bu nedenle bu sistemlerin siber güvenliğinin kusursuza yakın olması zaruridir. Pek çok kurumun siber güvenlik muhtaçlıklarını her etapta karşılayabilen bir güvenlik şirketi olarak bu aktifliğin çok değerli olduğunu düşünüyoruz. Ülke, kurum ve şirketler olarak siber hücumlara hazırlıklı olmanın en aktif yolu hazırlıkları test etmektir. Bu aktiflik, bu prensibin birinci ve en değerli kilometre taşı oldu.” diyen Cyberwise İdare Şurası Üyesi ve Genel Müdürü Aret Kıllıoğlu şunları ekledi: “EPDK’nın deneyim ve uzmanlığımıza güvenerek bu özel aktifliğin yürütülmesinde bizi tercih etmesi gurur verici. Aktifliğe, güç kesiminin elektrik üretim, dağıtım, iletim, rafineriler, doğalgaz iletim ve dağıtım üzere tüm paydaşları ağır ilgi gösterdi. Ex4S’22 aktifliği için hazırladığımız oyunlaştırılmış simülasyon platformu üzerinden iştirakçiler farklı senaryolarda siber akınlarla baş edebilme yeteneklerini geliştirme fırsatı elde ettiler.”
Cyberwise olarak güç bölümünün tüm güvenlik muhtaçlıklarını göz önüne alarak, yaşanmış hücum senaryolarına yakın bir tecrübe sunan, farklı senaryolarda hem savunma hem de akın odaklı farklı simülasyonlar oluşturduklarını söyleyen Cyberwise Endüstriyel Siber Güvenlik Danışmanı ve ICSFusion Eser Yöneticisi Can Demirel şöyle konuştu: “Simülasyonlar bilhassa mevcut savunma yeteneklerinin kıymetlendirilmesi ve mümkün taarruzlar karşısında hazırlıklı olunması için hayli değerli. Siber güvenliğin yalnızca güvenlik uzmanlarının sorumluluğunda olmadığını, tüm çalışanları ilgilendirdiğini de yaşanan hücumlardan görebiliyoruz. EPDK’nın aktifliği kapsamında hazırladığımız oyunlaştırılmış platform, Türkiye’de hatta birçok özellik bakımından dünyada da birincileri barındırıyor. Aktiflik kapsamında, bölümler ortası bilgi ve deneyim transferini sağlamak ve farklı bakış açılarını da ortaya koyabilmek ismine farklı şirketlerde ve durumlarda çalışan bireylerden oluşan karma grupların bir ortaya gelmesiyle ya da ferdî olarak tecrübelenen simülasyon çalışmaları hazırladık. Böylelikle hem şirketler muhtemel akınlara ne kadarhazır olduklarını gördüler, hem de çalışanlar yeteneklerini test ederken, yeni bilgiler öğrenme ve deneyimleme fırsatı kazandılar.”
Ex4S’22 Güç Bölümünde Siber Savunma Simülasyonu etkinliğinde gerçekleştirilen simülasyon çalışmaları şu biçimdeydi:
Yönetici odaklı simülasyon: Takımlar halinde iki farklı oturumda gerçekleştirilen simülasyonda, endüstriyel bir güç işletmesine yönelik bir siber akın sırasında vakit, grup, bütçe ve üretim odağında en gerçek kararların alınmasına odaklanıldı. Simülasyonda süratli ve hakikat kararlar vererek birinci olan grup üyelerine çeşitli armağanlar verildi.
Teknik odaklı simülasyon: Ekinliğin iki gününde de gerçekleşen simülasyonda32 kadro yarıştı. Her gruba bir adet iş istasyonu verilen simülasyon sırasında, kırmızı ve mavi olmak üzere ayrılan ekiplerin farklı yetkinliklerinin ölçülmesi ve kıymetlendirilmesi amaçlandı. Aktiflik öncesi simülasyon platformuna test erişimleri sağlanarak, grup üyelerinin azamî öğrenme tecrübesi yaşamaları ve yarışta en âlâ performansı sunmaları hedeflendi. Birinci üçe giren kadro üyelerine çeşitli armağanlar verildi.
Bireysel odaklı simülasyon: Bireysel yeteneklerin değerlendirildiği simülasyona 40 kişi katıldı. İştirakçiler şahsî bilgisayarlarından simülasyon platformunu deneyimleyerek hem mümkün siber taarruzlar karşısındaki yeterliliklerini hem de ofansif yeteneklerini test ettiler. Birinci üçe girerek simülasyonu tamamlayanlara çeşitli armağanlar verildi.
Ex4S CTF (Capture the Flag): En fazla iki kişilik kadroların yer alabildiği bu simülasyona iştirakçiler, ferdî bilgisayarları üzerinden iştirak sağladı. Aktiflik sırasında bu simülasyona 35 kişi katıldı. CTF kapsamında bilhassa güç konusuna özel senaryolar hazırlandı. Birinci üçe girmeyi başaran iştirakçilere çeşitli ikramlar verildi.
Ofansif odaklı simülasyon: Bireysel ya da en fazla 2 kişilik gruplar halinde yer alınan bu simülasyonda iştirakçiler gerçek endüstriyel ekipmanlara karşı yeteneklerini test ettiler. Saldırganların bakış açısını ve yaklaşımının da anlaşılmasının tam bir güvenlik stratejisi oluşturmada kıymetli olduğu prensibinden yola çıkılarak hazırlanan senaryoda iştirakçilerin bir trafo merkezinde elektriği en kısa müddette kesmesi beklendi. Birinci üçe girmeyi başaran iştirakçilere çeşitli armağanlar verildi.
Kaynak: (BHA) – Beyaz Haber Ajansı
