IEC 62443 Nedir? OT ve Endüstriyel Siber Güvenlik
IEC 62443 (ISA/IEC 62443), endüstriyel otomasyon ve kontrol sistemleri (IACS) ile operasyonel teknoloji (OT) ortamlarının siber güvenliğini sağlamak için geliştirilmiş, risk temelli ve çok parçalı bir uluslararası standart serisidir. Fabrikalardaki PLC'ler, SCADA sistemleri, enerji şebekeleri, su arıtma tesisleri ve üretim hatları gibi fiziksel süreçleri yöneten sistemleri siber tehditlere karşı korumayı hedefler. Geleneksel BT güvenliğinden farklı olarak, sistemlerin sürekli çalışması (availability) ve fiziksel güvenliğin (safety) öne çıktığı ortamlar için tasarlanmıştır.
Özetle:
- IACS/OT odaklıdır: Endüstriyel kontrol sistemleri ve operasyonel teknoloji güvenliği için tasarlanmıştır; BT (IT) yerine üretim ve saha ortamlarını hedefler.
- Zones and Conduits: Sistemi güvenlik bölgelerine (zones) ayırır ve bölgeler arası veri geçişlerini (conduits) kontrollü kanallar üzerinden yönetir — yani ağ segmentasyonu yapar.
- Güvenlik Seviyeleri (SL1–SL4): Tehdidin karmaşıklığına göre dört kademeli koruma seviyesi tanımlar; SL1 kazara ihlallere, SL4 ileri düzey ve kaynağı bol saldırganlara karşıdır.
- Çok parçalı seri: 62443-1-x (kavramlar), 62443-2-x (politika/prosedür), 62443-3-x (sistem), 62443-4-x (bileşen/ürün) olmak üzere katmanlı bir yapıya sahiptir.
- ISO 27001'i tamamlar: ISO 27001 BT bilgi güvenliğine, IEC 62443 ise OT/endüstriyel kontrole odaklanır; ikisi birlikte uçtan uca güvenlik sağlar.
- Roller netleştirilmiştir: Varlık sahibi, sistem entegratörü ve ürün tedarikçisi için ayrı sorumluluklar tanımlar.
IEC 62443 Neden Önemli?
Üretim tesisleri, enerji santralleri ve kritik altyapılar uzun yıllar boyunca internetten izole (air-gapped) ortamlarda çalıştı. Ancak dijitalleşme, Endüstri 4.0 ve IIoT (Endüstriyel Nesnelerin İnterneti) ile birlikte OT sistemleri BT ağlarına ve internete bağlandı. Bu bağlantı, verimliliği artırırken siber saldırı yüzeyini de genişletti.
OT ortamlarındaki bir siber saldırı sadece veri kaybına değil; üretim duruşuna, çevresel felaketlere ve hatta can güvenliği risklerine yol açabilir. IEC 62443, bu yüksek riskli ortamlar için ortak bir dil, ölçülebilir güvenlik seviyeleri ve paydaşlar arası net sorumluluk dağılımı sunarak boşluğu doldurur. Stuxnet gibi olaylar, endüstriyel sistemlerin hedef alınabileceğini açıkça gösterdiğinden, standardın benimsenmesi giderek yaygınlaşmaktadır.
IEC 62443 Standart Serisinin Yapısı
IEC 62443, tek bir doküman değil; farklı paydaşlara ve farklı soyutlama seviyelerine hitap eden bir belgeler ailesidir. Seri dört ana gruba ayrılır.
| Grup | Odak | Öne çıkan bölümler | Hedef paydaş |
|---|---|---|---|
| 62443-1-x | Genel kavramlar, terminoloji ve modeller | Temel kavramlar ve ortak sözlük | Tüm paydaşlar |
| 62443-2-x | Politika ve prosedürler, güvenlik programı yönetimi | Güvenlik yönetim sistemi gereksinimleri | Varlık sahibi |
| 62443-3-x | Sistem seviyesi gereksinimler ve risk değerlendirme | 62443-3-2 (risk değerlendirme), 62443-3-3 (sistem güvenlik gereksinimleri ve SL) | Sistem entegratörü |
| 62443-4-x | Bileşen/ürün seviyesi gereksinimler | 62443-4-1 (güvenli geliştirme yaşam döngüsü), 62443-4-2 (bileşen teknik gereksinimleri) | Ürün tedarikçisi |
Bu katmanlı yapı sayesinde, bir fabrika sahibi (varlık sahibi) politika tarafına; sistemi kuran entegratör sistem mimarisine; cihaz üreticisi de ürünün güvenli geliştirilmesine odaklanabilir. 62443-3-3 ve 62443-4-2, özellikle sertifikasyon süreçlerinde en sık başvurulan bölümlerdir.
Zones and Conduits: Bölgeler ve Geçişler
IEC 62443'ün temel mimari yaklaşımı, sistemi mantıksal "bölgelere" (zones) bölmek ve bu bölgeler arasındaki tüm iletişimi kontrollü "geçişler" (conduits) üzerinden yönlendirmektir. Aynı güvenlik gereksinimlerini paylaşan varlıklar bir bölgede gruplanır; örneğin bir kurumsal BT bölgesi, bir üretim hücresi bölgesi ve bir saha cihazları bölgesi birbirinden ayrılır.
Conduit'ler ise bölgeler arası veri akışını sağlayan ve denetleyen kanallardır. Her geçişte güvenlik duvarları, tek yönlü geçitler (data diode) veya katı erişim kontrolleri uygulanabilir. Bu yaklaşım, bir bölgedeki ihlalin tüm sisteme yayılmasını (lateral movement) engelleyerek derinlemesine savunma (defense in depth) sağlar. Bölge ve geçişlerin tasarımı, 62443-3-2 kapsamında yürütülen risk değerlendirmesinin sonucuna göre şekillenir.
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
Güvenlik Seviyeleri (Security Levels: SL1–SL4)
IEC 62443, her bölge ve geçiş için ulaşılması gereken bir Güvenlik Seviyesi (Security Level – SL) tanımlar. Bu seviyeler, sistemin ne tür bir saldırgana karşı dayanıklı olması gerektiğini ifade eder ve risk değerlendirmesi sonucunda belirlenir.
| Seviye | Tehdit profili | Saldırganın motivasyonu ve kaynağı |
|---|---|---|
| SL1 | Kazara veya tesadüfi ihlaller | Niyet yok; yanlışlıkla oluşan ihlaller |
| SL2 | Basit araçlarla kasıtlı ihlal | Düşük kaynak, genel beceri, düşük motivasyon |
| SL3 | Gelişmiş araçlarla kasıtlı ihlal | OT'ye özel bilgi, orta düzey kaynak ve motivasyon |
| SL4 | İleri düzey, kaynağı bol saldırılar | Yüksek kaynak, ileri OT uzmanlığı, yüksek motivasyon (örn. devlet destekli) |
Standartta SL kavramı üç farklı şekilde kullanılır: hedeflenen seviye (SL-T, Target), bileşen/sistemin sağladığı seviye (SL-C, Capability) ve gerçekte ulaşılan seviye (SL-A, Achieved). Amaç, hedeflenen seviye ile gerçekleşen seviyeyi örtüştürmek ve aradaki boşluğu ek önlemlerle kapatmaktır. SL seviyeleri yedi temel gereksinim (Foundational Requirement) ekseninde değerlendirilir: erişim kontrolü, kullanım kontrolü, veri bütünlüğü, veri gizliliği, veri akışının kısıtlanması, olaylara zamanında müdahale ve kaynak erişilebilirliği.
IT ve OT Güvenliği Arasındaki Fark
IEC 62443'ü anlamak için, BT (IT) ve OT güvenliği arasındaki önceliklerin neden farklı olduğunu kavramak gerekir. Klasik BT güvenliği "gizlilik–bütünlük–erişilebilirlik" (CIA) önceliğini benimserken, OT ortamlarında bu sıralama genellikle tersine döner.
| Kriter | BT (IT) Güvenliği | OT / Endüstriyel Güvenlik |
|---|---|---|
| Birincil öncelik | Gizlilik (Confidentiality) | Erişilebilirlik ve güvenlik (Availability & Safety) |
| Tipik varlıklar | Sunucular, veritabanları, son kullanıcı cihazları | PLC, SCADA, RTU, DCS, saha sensörleri |
| Yaşam döngüsü | 3–5 yıl | 15–25 yıl (uzun ömürlü ekipman) |
| Yama yönetimi | Sık ve hızlı güncelleme | Kısıtlı; duruş gerektirdiği için planlı |
| Bir ihlalin sonucu | Veri sızıntısı, finansal kayıp | Üretim duruşu, fiziksel hasar, can riski |
| Öne çıkan standart | ISO 27001 | IEC 62443 |
Bu farklar nedeniyle, BT için tasarlanmış güvenlik kontrollerini olduğu gibi OT'ye taşımak çoğu zaman mümkün değildir. IEC 62443 tam olarak bu boşluğu, OT'nin gerçeklerini gözeterek doldurur.
Roller ve Sorumluluklar
IEC 62443'ün güçlü yanlarından biri, güvenliği tek bir tarafa yüklemek yerine sorumluluğu paydaşlar arasında paylaştırmasıdır. Üç temel rol tanımlanır:
- Varlık sahibi (Asset Owner): Tesisi işleten ve sistemleri kullanan taraftır. Güvenlik politikalarını, prosedürlerini ve genel güvenlik programını yönetir (öncelikle 62443-2-x ile ilgilenir).
- Sistem entegratörü (System Integrator): Bileşenleri bir araya getirerek otomasyon çözümünü kuran taraftır. Bölge/geçiş mimarisini ve sistem seviyesi gereksinimleri uygular (62443-3-x).
- Ürün tedarikçisi (Product Supplier): PLC, yazılım veya ağ cihazı gibi bileşenleri geliştiren taraftır. Güvenli geliştirme yaşam döngüsü ve bileşen gereksinimlerinden sorumludur (62443-4-x).
IEC 62443'ün ISO 27001 ve NIST ile İlişkisi
IEC 62443, diğer güvenlik çerçeveleriyle rekabet etmez; onları tamamlar. ISO 27001, kurumsal bilgi güvenliği yönetim sistemi (BGYS) için BT odaklı bir çerçeve sunar. Bir kuruluş, kurumsal ağı için ISO 27001'i, üretim/OT ortamı için ise IEC 62443'ü birlikte uygulayarak uçtan uca bir güvenlik duruşu oluşturabilir.
Benzer şekilde, ABD merkezli NIST SP 800-82 (Operasyonel Teknoloji Güvenliği Rehberi) ve NIST Siber Güvenlik Çerçevesi (CSF) ile IEC 62443 birlikte anılır ve eşleştirilebilir. Ayrıca IEC 62443, tedarikçi siber güvenlik denetimlerinde giderek daha fazla referans gösterilmekte; yeni AB Makine Tüzüğü (2023/1230) kapsamındaki siber güvenlik gereksinimlerinde de temel dayanaklardan biri olarak öne çıkmaktadır.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
Evet, aynı standart serisidir. Standart başlangıçta ISA (International Society of Automation) tarafından geliştirilmiş, ardından IEC (Uluslararası Elektroteknik Komisyonu) tarafından uluslararası standart olarak kabul edilmiştir. Bu nedenle literatürde "ISA/IEC 62443" şeklinde birlikte anılır.
IEC 62443 genel olarak gönüllü bir standarttır; ancak birçok sektörde tedarikçi denetimlerinde, ihale şartnamelerinde ve düzenleyici gereksinimlerde referans alınır. AB Makine Tüzüğü gibi yeni düzenlemeler ve kritik altyapı mevzuatları, pratikte uyumu giderek zorunlu hale getirmektedir.
İkisi arasında seçim yapmak yerine, kapsamınıza göre ikisini birlikte değerlendirmek daha doğrudur. Kurumsal BT bilgi güvenliği için ISO 27001, endüstriyel kontrol ve OT ortamları için IEC 62443 uygundur. Hem ofis ağı hem üretim sahası olan kuruluşlar genellikle her ikisini birlikte uygular.
SL, bir bölge veya geçiş için yürütülen risk değerlendirmesi (62443-3-2) sonucunda belirlenir. Önce hedeflenen seviye (SL-T) tanımlanır, bileşenlerin sağlayabildiği seviye (SL-C) ile karşılaştırılır ve aradaki açık, ek teknik veya organizasyonel önlemlerle kapatılarak ulaşılan seviyeye (SL-A) erişilir.
Evet. Hem ürünler hem de süreçler için sertifikasyon mümkündür. Örneğin ürün tedarikçileri, geliştirme süreçlerini 62443-4-1 ve bileşenlerini 62443-4-2 kapsamında belgelendirebilir. Ayrıca uzmanlar için eğitim ve bireysel yetkinlik sertifikaları da bulunmaktadır.
