Rusya'nın Ukrayna'yı işgali sırasında yükselen enerji fiyatları ve artan jeopolitik gerilimler, Avrupa enerji güvenliğinin ön plana çıkmasına neden oldu
Özellikle enerji tedariki ve küresel enerji ticareti söz konusu olduğunda, dünyanın birbiriyle derinden bağlantılı olduğu anlaşılıyor. Karmaşık ancak güvenilir iş dünyası ve ulus-devlet ilişkilerini sürdürmek, enerji tedarik zincirinin sorunsuz ve sürekli işleyişini sağlamak için önceliklidir.
Ancak Ukrayna'daki kriz ve bu makalenin odak noktası olarak, bu krizin Avrupa ve küresel enerji piyasaları üzerindeki zincirleme etkisi, genellikle uzun süreli olan bu ilişkilerin bozulabileceğini ve ülkelerin ne kadar enerji ürettiklerini, enerjiyi nereden satın aldıklarını ve ürettiklerini, enerjinin iletimini ve dağıtımını giderek artan siber saldırı riskinden nasıl koruduklarını yeniden düşünmeleri gerektiğini gösteriyor.
Ayrıca, başta elektrik olmak üzere sınırsıza yakın enerji tedarikinin esas olduğu bu dijital çağda, enerji ihtiyacımızı karşılamanın yanı sıra güvenli bir şekilde enerjinin iletimini ve dağıtılmasını da garanti altına almak zorunludur. Bu bağlamda, enerji ve enerji güvenliği hakkında konuşmak giderek artan bir şekilde siber güvenlik sorunu haline geliyor.
"Sorunsuz ve sürdürülen" vizyon, gezegendeki yaklaşık sekiz milyar insan için insanlık açısından daha öngörülebilir ilerlemeler anlamına gelir. Ancak bunu sağlamak ve ilerlemeyi korumak için birkaç önemli soru sorulmalıdır. Kaç kişinin enerjiye ihtiyacı var? Enerji boşlukları ne kadar geniş ve nerede? Ekonomi ve tedarikle ilgili öncelikleri sürdürmek üzere başka hangi koşullar gerekli? Bu sorulara verilen cevaplar genellikle Uluslararası Enerji Ajansı (IEA), ekonomik kalkınmaya öncelik etmeyi amaçlayan Dünya Bankası ve pazar payı için yarışan Total Direct, Énergie, Exxon, BP veya Gazprom gibi başlıca enerji şirketler için önemlidir.
Bununla birlikte mevcut ortam hükümetlerin, kurumların ve şirketlerin enerji tedarik zinciri genelinde siber ve dijital güvenliğin durumunu inceleme ihtiyacını da vurgulamalıdır. Ve enerji tüketicileri ve BT kullanıcıları olarak bizler, küresel ölçekte bilgi işlemin büyük ölçüde yoğun enerji gerektirdiğini ve birçok popüler ve gelecek vaat eden dijital teknolojinin enerji yoğunluklu operasyonların en başında yer aldığını kabul etmeliyiz.
AB’nin temiz enerjiye geçişi
Enerji sektöründeki Ar-Ge, son birkaç on yılda kayda değer ilerleme gösterdi. Yenilenebilir enerji, bu tartışmanın merkezinde yer alıyor ve daha az karbon ayak izi ile büyük enerji kaynağı sağlama düşüncesini anlaşılır kılıyor.
AB, yeşil enerjiye geçişi için yenilenebilir enerjilere odaklanırken, diğer bir büyük kaynak olan nükleer enerji seçeneği, geçtiğimiz birkaç on yılda pek rağbet görmüyordu. Ancak bu durum değişiyor olabilir. Bu yıl Şubat ayında Fransa Cumhurbaşkanı Emanuel Macron, 2050 yılına kadar Fransa’nın en az altı yeni reaktör inşa edeceğini duyurdu. Bu, ülkenin karbon nötrlüğüne ve enerji bağımsızlığına ulaşma yolunu tanımlayan yükseliş hareketidir. Ancak Fransa Cumhurbaşkanı, “15 yıldan az bir sürede bir nükleer santral inşa edilmeyeceğini” hatırlatarak, bu arada Fransa'nın “büyük ölçüde yenilenebilir enerji geliştirmesi” gerektiğini de vurguladı.
Fransa şu anda AB Konseyi Dönem Başkanlığını yürüttüğü için (FPEU2022), bu girişim aynı zamanda Avrupa'nın enerji bağımsızlığı ve iklim hedeflerine ulaşmak için uzun vadeli stratejisinin simgesidir. Kesinlikle bu yönde bir ivme vardır.
Pandemi, Avrupalı politikacılar arasında ulusal düzeyde ve blok genelinde gerçek ve etkili adımların atılması gerektiğine dair bir bilinç yarattı. Geri Kazanım ve Dayanıklılık Tesisi (Yeni Nesil AB) aracılığıyla benzeri görülmemiş finansman hatları, birkaç üye ülkede enerji verimliliğine, yenilikçi sürdürülebilir çözüme yatırım yapmanın yanı sıra hidrojen üretimine yönelik yeni projeleri finanse etmek için şimdiden harekete geçti. Konsey, Avrupa düzeyinde Haziran 2021 tarihinde AB'nin Connecting Europe Facility Programme 2.0’da ve Trans-Avrupa enerji ağında enerji konusunda, batıdan doğuya sıvılaştırılmış doğal gaz (LNG) için yeni rotalar oluşturmak gerekliliğini vurgulayarak yeni yaklaşımlara ihtiyaç olduğuna karar verdi.
Enerji bağımsızlığı arayışı
AB’nin endişeleriyalnız çevreyle ilgili değildir. 2014 yılında Rusya-Ukrayna gaz taşıma krizi, enerji tedariki ve ters akışlı gaz kapasitesi konusunda AB çapında yeni mevzuat için baskı oluşturan bir uyarı işaretiydi. Şu an AB’nin enerji ihtiyacı ürettiğinin oldukça üzerindedir ve bu ihtiyaç temel olarak Rusya’dan çıkarılan gaz ile karşılanıyor: Gaz ihtiyacının %40’ı ve ham petrol ihtiyacının %27’si Rusya'dan ithal ediliyor.
2022'de, 2014 krizinin yarattığı korkular gerçeğe dönüştü ve AB'nin mevcut enerji karışımını yeniden şekillendirmek ve enerji özerkliği ihtiyacını ele almak için acil eylem çağrılarının yenilenmesine yol açtı. Geçen hafta, AB iklim politikası şefi Frans Timmermans, yalnızca bir sağlayıcıya bu tür aşırı bağımlılığın, “yenilenebilir kaynaklara ve tedarikin çeşitlendirilmesine” yatırım yapmanın ele alınması gereken “güvenliğimizle ilgili bir endişe” olduğunu belirtti.
Bu endişe, halihazırda harekete geçirilmekte olan bir “Avrupa enerji bağımsızlığı stratejisi” çağrısında bulunan Fransız Macron tarafından da desteklendi. Fransa marjinal bir gaz üreticisi iken, LNG taşımacılığında liderdir. Avrupa üretiminin %80'ini oluşturan Norveç, Hollanda ve Birleşik Krallık ile ittifak halinde olan Fransa, doğu kaynaklarına bağımlılığı azaltmak için güçlü bir ele sahiptir.
Timmermans’a göre, geçen yıl hazırlanan Fit for 55 planı 2030 yılına kadar gaz tüketimini %30 azaltma hedefini öngörüyor. Bu rakam bugün ihtiyaç duyulandan 100 milyar metreküp daha azdır. Ancak mevcut kriz nedeniyle AB, bu yılın sonuna kadar Rusya'dan gaz ithalatında bu miktarı azaltmayı planlıyor. Avrupa Komisyonu, bunu yaparken Moskova ile gaz ticareti ilişkisinin önümüzdeki 12 ay içinde üçte iki oranında azalması gerektiğini garanti ediyor.
Şu an öne sürülen plan yeni bir paradigmaya odaklanıyor: “Enerji kaynaklarımızda özgür olmak”, “kendi enerjimiz”. Yeni nükleer santraller inşa etmenin onlarca yıl alması gibi, yenilenebilir enerji veya LNG dağıtımı hakkında yeniden düşünmenin de zorlukları var. Büyük güneş enerjisi çiftlikleri veya açık deniz rüzgar türbinleri kurmak maliyetlidir ve yeterli enerji üretimi bile uygun koşullar ve uygun yönetim gerektirir, her ikisi de BT sistemleri aracılığıyla performans verilerinin geniş çaplı ve büyük ölçüde otomatik analizinden yararlanır.
Komisyon ve AB Konseyi Başkanlığı, benzeri görülmemiş bir çabayla şimdiden buna öncülük ediyor. Gaz tedarikçilerini çeşitlendirmenin yanı sıra önümüzdeki aylarda AB, önceden planlanmış tüm geçiş hedeflerini hızlandırmak için çalışacaktır. Bu hedefler arasında, daha yüksek biyometan üretimi ve yenilenebilir hidrojen ithal etme, evlere ve geniş çaplı güneş enerjisi tesislerine enerji sağlamak üzere milyonlarca güneş panelini daha hızlı bir şekilde lisanslama da yer alıyor. Kaynak bulma ve/veya enerji tedarikini değiştirme konusundaki ilerleme haricinde, bu süreç giderek daha da fazla BT tarafından yönlendirilir, dolayısıyla bu sürecin güvenliği hayati önem taşıyor.
Altyapının güvenliğini sağlamak - Industroyer korkusu
Enerji sektörü için BT güvenliği konusu bazıları için ilgisiz görünse de aslında konu son 15 yıla kıyasla çok daha iyi anlaşılabilecek noktadadır. Bununla birlikte, öneminin farkına varılmasıyla BT güvenliği, enerji tüketimi alanında öncelikli konuma gelmiştir. Bu dijitalleşme çağı, büyük ölçüde “20. yüzyılın en büyük mühendislik başarısı” olan elektrikli yaşama geçişin bir uzantısıdır. Giderek genişleyen ve akıllı evlerden tarımsal üretime, ticari ulaşıma ve enerji dahil diğer kritik sektörlere kadar uzanan her şey için geçerli olan bir süreçtir.
Bu nedenle, özellikle de ilerlemenin artık büyük ölçüde BT tarafından yönlendirilen otomasyona giderek daha fazla bağımlı olduğunu göz önünde bulundurursak, elektrik şebekemizin güvenliğinden emin olmak, dünyamıza güç sağlamak için gereken enerjiyi sağlayabildiğimizden emin olmak kadar önemlidir. Endüstride sözlü anlatım, üretim, iletim ve dağıtım (T&D), Merkezi Kontrol ve Veri Toplama Sistemi (SCADA) gibi endüstriyel kontrol yazılımlarına ve dijital çağda artık kritik altyapının bir parçası olan internete dayanıyor. Ayrıca sistemlerde güvenlik açıkları olduğunda nelerin yanlış gidebileceğine dair birkaç örneğimiz var.
2010 yılında, beş yıllık bir geliştirme sürecinin ardından, İran'ın nükleer programına karşı Stuxnet adlı kötü amaçlı bir bilgisayar solucanı dağıtıldı ve bu solucan uranyum zenginleştirme süreçlerine zarar vermek üzere SCADA sistemlerini hedef aldı. Bu siber silahın dağıtımı, endüstriyel süreçlerin doğrudan kesintiye uğraması için zemin hazırladı. Kasım 2015'te ESET'in araştırdığı ve Ukraynalı medya şirketlerini hedef alan BlackEnergy grubu tarafından oluşturan sistemlerin yeniden başlatılmasını engelleyen yıkıcı KillDisk kötü amaçlı yazılımının neden olduğu bir dizi benzersiz siber saldırıyı hızlıca inceleyelim. Bir ay sonra, Aralık ayında ESET, elektrik dağıtım şirketlerinde, belirli endüstriyel kontrol sistemlerini sabote etme işlevleri içerdiği anlaşılan başka bir KillDisk varyantını tespit etti. BlackEnergy operatörleri 23 Aralık 2015'te Ukrayna'nın Ivano-Frankivsk bölgesinde yaklaşık 230.000 kişinin 4–6 saatlik bir elektrik kesintisi yaşamasına neden oldu. Bu olayla tarihte ilk kez bir siber saldırının bir elektrik dağıtım sistemine zarar verdiği görüldü. Bir yıl sonra, yaygın olarak bir silah testi olarak kabul edilen ESET telemetrisi, Industroyer adında yeni bir kötü amaçlı yazılım tespit etti. ESET araştırmacıları, Industroyer’ın güç kaynağı, ulaşım kontrolü, su ve gaz için kritik altyapı sistemlerinde dünya genelinde kullanılan çeşitli endüstriyel iletişim protokolleriyle iletişim kurabildiğini keşfetti. Bu protokoller onlarca yıl önce geliştirildiğinden ve çevrimdışı sistemlerde kullanılmak üzere tasarlandığından güvenlik açısından tasarımsal eksikliklere sahiptir. Dolayısıyla Industroyer bu protokolleri çalıştıran sistemlere erişim sağlayarak, elektrik trafo merkezi anahtarlarını ve devre kesicilerini doğrudan kontrol edebilir ve gücü kolaylıkla kesebilir. Sonuç olarak Ukrayna, Kiev’de önemli bir elektrik kesintisi gerçekleşti.
Industroyer operatörleri için dış dünyadan izole edilmek üzere tasarlanmış endüstriyel sistemlerin dilini öğrenmek basit bir iş olmasa da, artık dijital alana bağlı daha eski ve modern protokoller tasarımsal açıdan güvenliğin daha iyi uygulamasıyla daha az risk altındadır. Çevrim içi olarak bağlanarak neredeyse tüm güç veya enerji sistemlerine sızmak, bu sistemlerde kalmak ve bu sistemlere zarar vermek için daha geniş tehditler, taktikler ve teknikler mevcuttur.
Ukrayna’daki krizden önce, kritik ulusal altyapıyı ve onun tedarik zincirini gasp, zarar verme ve siber casusluk için hedef alan fidye yazılımı grupları ve devlet aktörleri tarafından artan etkinlik ve etkiyi zaten görmüştük. AB sınırında devam eden bir savaşın, AB’nin Rus liderliği (ve başka yerlerdeki destekçileri) ile anlaşmazlık içinde olmasıyla birlikte, AB'nin bu konudaki tutumuna misilleme olarak sözde “gri bölge”de gelişmiş saldırıların yayılma riski yüksektir.
Enerji güvenliğini sağlamak
Teknolojinin sunduğu olanakların keyfini çıkarmak, daha yeşil ve daha güvenli bir ortamın keyfini çıkarmak demektir. Ve tüm zorluklara rağmen, bazı çabalarda bulunulduğunu görebiliyoruz. Politikaya yön verenler, iklim değişikliği konusunda bilim topluluğuyla ve gelecek nesiller için ilerlemenin devam etmesini sağlamak üzere siber güvenlik uzmanlarıyla artık daha fazla bir arada çalışıyor.
Industroyer ölçeğinde herhangi bir kötü yazılımla henüz karşılaşılmamış olsa da, geçen yaz ABD'deki Colonial Boru Hattı saldırısı gibi diğer olaylar bize tepki kapasitemizi artırmanın aciliyetini hatırlatıyor. İçme suyu depoları, demir yolları ve hatta uçaklar gibi kritik altyapılarla ilgili fidye yazılımlarından ve diğer tehditlerden kaçınabilmek üzerine çalışmamız gerektiğini unutmayalım.