EPDK Siber Güvenlik Yönetmeliği Kapsamında Denetim Hizmetleri
EPDK Bağımsız Denetim Firması Denetleme Formu
Enerji sektörü, kritik altyapılar arasında en yüksek öneme sahip alanlardan biridir. Bu kapsamda, Enerji Piyasası Düzenleme Kurumu (EPDK) tarafından yayımlanan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği, sektörde faaliyet gösteren tüm kuruluşlar için siber güvenlik olgunluğunu artırmayı zorunlu hale getirmiştir.
National Keep Cyber Security Services olarak, EPDK tarafından yetkilendirilmiş bir denetçi firma olarak; enerji üretim, iletim ve dağıtım süreçlerinde kullanılan tüm bilgi teknolojileri (IT) ve operasyonel teknolojiler (OT) için kapsamlı, standartlara uyumlu ve teknik derinliği yüksek denetim hizmetleri sunmaktayız.
Hizmetin Amacı
EPDK Siber Güvenlik Yönetmeliği kapsamında sunduğumuz denetim hizmetlerinin temel amacı:
- Kuruluşların mevcut siber güvenlik olgunluk seviyesini belirlemek
- EPDK düzenlemelerine ve uluslararası standartlara uyum düzeyini analiz etmek
- Kritik zafiyetleri ve riskleri ortaya çıkarmak
- Sürdürülebilir ve uygulanabilir iyileştirme planları oluşturmak
- ICS/SCADA sistemlerinin güvenliğini sağlamak
Sorgula butonuna bastıktan sonra
Kapsam: IT ve OT Entegrasyonlu Denetim Yaklaşımı
Denetimlerimiz yalnızca klasik IT sistemleri ile sınırlı değildir. Enerji sektörüne özel olarak:
🔹 Operasyonel Teknolojiler (OT)
- SCADA sistemleri
- DCS (Distributed Control Systems)
- PLC (Programmable Logic Controllers)
- RTU (Remote Terminal Units)
- HMI (Human Machine Interface)
- Historian sistemleri
🔹 Bilgi Teknolojileri (IT)
- Kurumsal ağ altyapısı
- Sunucu ve istemci sistemleri
- Active Directory ve kimlik yönetimi
- Uygulama ve veri güvenliği
🔹 Ağ ve İletişim Katmanları
- Purdue Model uyumluluğu
- VLAN segmentasyonu
- OT-DMZ mimarisi
- Endüstriyel protokoller (IEC 60870-5-104, Modbus TCP, OPC-UA, DNP3)
Denetim Metodolojimiz
Denetimlerimiz, ulusal ve uluslararası standartlara uyumlu olarak yapılandırılmıştır:
- ISO/IEC 27001:2022
- ISO/IEC 27019 (Enerji sektörü)
- IEC 62443 (Endüstriyel siber güvenlik)
- NIST Cybersecurity Framework
- BİGR (Bilgi ve İletişim Güvenliği Rehberi)
- USOM SOME Rehberi
🔍 1. Hazırlık ve Kapsam Belirleme
- Varlık envanteri analizi
- Kritik sistemlerin belirlenmesi
- Denetim kapsamının netleştirilmesi
🔍 2. Teknik Değerlendirme
- Ağ topolojisi analizi
- Segmentasyon kontrolleri
- Erişim kontrol mekanizmaları
- Zafiyet taramaları ve konfigürasyon analizleri
- Ağ segmentasyonu (çoğu yerde zayıf)
- Yetkisiz erişimler
- Güncellenmeyen sistemler
- OT ve IT’nin yanlış şekilde birbirine bağlı olması
- Olay müdahale planının olmaması
- Tedarikçi erişimlerinin kontrolsüz olması
🔍 3. Yerinde ve Uzaktan Denetim
- SCADA ve OT sistemlerinin yerinde incelenmesi
- Log ve olay yönetimi kontrolleri
- Fiziksel güvenlik değerlendirmeleri
🔍 4. Olgunluk Seviyesi Analizi
- EPDK Yetkinlik Modeline göre skorlandırma
- Kontrol bazlı değerlendirme
- Gap analizi
🔍 5. Raporlama ve Yol Haritası
- Yönetici özeti
- Teknik bulgular ve risk seviyeleri
- Önceliklendirilmiş aksiyon planı
- Uyum ve iyileştirme roadmap’i
Denetim Alanlarımız
Denetim kapsamında ele alınan başlıca kontrol alanları:
- Endüstriyel Ağ Güvenliği
- Kimlik ve Erişim Yönetimi (IAM)
- Varlık ve Konfigürasyon Yönetimi
- Zafiyet ve Patch Yönetimi
- Olay Müdahale ve Süreklilik
- Fiziksel Güvenlik
- Tedarik Zinciri Güvenliği
- Operasyonel Güvenlik Prosedürleri
- İnsan Kaynakları Güvenliği
- PLC ve saha cihaz güvenliği
⚠️ Neden Bu Denetim Kritik?
Enerji sektöründe yaşanabilecek bir siber saldırı:
- Elektrik üretim ve dağıtım kesintilerine
- Fiziksel hasarlara
- Ulusal güvenlik risklerine
- Regülasyon cezalarına
Sebep olabilir.
Bu nedenle EPDK uyumlu denetimler yalnızca bir zorunluluk değil, aynı zamanda kritik bir güvenlik yatırımıdır.
🏆 Neden National Keep?
✔️ EPDK tarafından yetkilendirilmiş denetim yetkinliği
✔️ ICS/SCADA odaklı uzman ekip
✔️ Enerji sektörü tecrübesi
✔️ Teknik derinliği yüksek analiz ve raporlama
✔️ Uygulanabilir ve gerçekçi çözüm önerileri