EPDK Sızma Testi (EKS/SCADA Güvenlik Denetimi)
EPDK Sızma Testi ve Endüstriyel Kontrol Sistemleri Güvenlik Denetimi için TSE A Sınıfı tecrübesiyle EKS/SCADA sistemlerine yönelik sızma testi.
Denetim süreçlerine uygun raporlama ve teknik doğrulama.
EPDK Siber güvenlik Yetklinlik Modeli ile ilgili bilgi ve danışmanlık arıyorsanız aşağıdaki butona basabilirsiniz:
5 Adım
EPDK gerekliliklerini 5 ana başlık altında ele alırız.
TSE A Sınıfı
EPDK ve TSE metodolojisiyle uyumlu test gerçekleştiririz.
7-10 Gün
Erişim ve kapsam netleştiğinde testleri 7–10 günde tamamlarız.
Ücretsiz Danışma
Test tamamlandığında 1 günlük ücretsiz danışmanlık veririz.
EPDK Sızma Testi:
Enerji Tesisleriniz İçin Zorunlu Güvenlik Denetimi
EPDK sızma testi, Enerji Piyasası Düzenleme Kurumu tarafından 16 Temmuz 2023 tarihinde yürürlüğe giren yönetmelik kapsamında enerji sektöründeki lisans sahipleri için zorunlu kılınmış siber güvenlik denetimidir. EPDK sızma testi, Endüstriyel Kontrol Sistemleri (EKS) ve SCADA altyapılarının siber tehditlere karşı dayanıklılığını ölçer ve kritik enerji altyapılarının güvenliğini sağlar.
Sparta Siber Güvenlik, TS 13638 – TSE A Sınıfı yetkinlik ve GICSP sertifikalı uzman kadrosuyla EPDK sızma testi hizmetini EPDK standartlarına tam uyumlu şekilde gerçekleştirmektedir. Elektrik üretim, iletim ve dağıtım tesisleri, doğal gaz altyapıları ve petrol rafinerilerinde çok sayıda başarılı EPDK sızma testi deneyimine sahibiz.
30 Dakikada Ön Değerlendirme
EPDK Sızma Testi: Tanım ve Kapsam
EPDK sızma testi, enerji sektöründe kullanılan Endüstriyel Kontrol Sistemleri (EKS) ve SCADA (Supervisory Control and Data Acquisition) sistemlerinin siber güvenlik açıklarını tespit etmek, potansiyel riskleri değerlendirmek ve operasyonel sürekliliği korumak amacıyla gerçekleştirilen kapsamlı bir güvenlik analizidir.
Endüstriyel Kontrol Sistemleri, enerji üretiminden dağıtıma kadar kritik süreçleri yöneten, SCADA, DCS (Dağıtık Kontrol Sistemleri), PLC (Programlanabilir Mantık Denetleyicileri), RTU (Uzak Terminal Üniteleri) ve HMI (İnsan-Makine Arayüzü) gibi bileşenlerden oluşan karmaşık yapılardır. Bu sistemlerin siber saldırılara maruz kalması, elektrik kesintilerinden üretim durdurmalara, büyük maddi kayıplardan ulusal güvenlik tehditlerine kadar geniş bir yelpazede ciddi sonuçlar doğurabilir.
Son yıllarda dünya genelinde gerçekleşen Stuxnet, BlackEnergy ve Triton gibi siber saldırılar, endüstriyel kontrol sistemlerinin ne denli kritik hedefler olduğunu ve yetersiz güvenlik önlemlerinin ne tür felaketlere yol açabileceğini somut olarak göstermiştir. EPDK’nın getirdiği zorunluluk, Türkiye’nin kritik enerji altyapılarını bu türden tehditlere karşı proaktif olarak koruma amacı taşımaktadır.
Yasal Yükümlülük: Hangi Kuruluşlar EPDK Sızma Testi Yaptırmak Zorunda?
6 Haziran 2023 tarihli “Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği” kapsamında belirli kriterleri karşılayan enerji lisans sahipleri, düzenli aralıklarla EKS sızma testi yaptırmakla yasal olarak yükümlüdür.
Elektrik Piyasası Lisans Sahipleri
Kurulu gücü 100 MWe ve üzerinde olan elektrik üretim tesisi sahipleri, elektrik iletim lisansı sahipleri, elektrik dağıtım lisansı sahipleri ve Black-Start özelliğine sahip üretim tesisleri EPDK düzenlemesi kapsamındadır.
Doğal Gaz Piyasası Lisans Sahipleri
Boru hattı ile doğal gaz iletim lisansı sahipleri, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahipleri ve doğal gaz depolama lisansı (LNG ve yeraltı depolama) sahipleri yasal yükümlülük altındadır.
Petrol Piyasası Lisans Sahipleri
Ham petrol iletim lisansı sahipleri ve rafinerici lisansı sahipleri düzenleme kapsamında yer almaktadır.
Bu yükümlülük sadece büyük ölçekli şirketleri değil, yukarıda belirtilen kriterleri karşılayan tüm kuruluşları kapsamaktadır. Yükümlülüğü yerine getirmeyen kuruluşlar, idari para cezalarından lisans askıya alma işlemlerine kadar değişen yaptırımlarla karşı karşıya kalabilir.
Konunun resmi duyuru ve açıklamalarını EPDK sayfasından inceleyebilirsiniz:
https://www.epdk.gov.tr/Detay/Icerik/4-13050/enerji-sektorunde-siber-guvenlik-yetkinlik-modeli
Yönetmelik metnine Resmi Gazete üzerinden ulaşmak için:
https://www.resmigazete.gov.tr/eskiler/2023/06/20230606-2.htm
Bu noktada kurumların ihtiyacı genellikle şudur: “EPDK bizden ne bekliyor?” sorusunu aşıp, “Bu beklentiyi nasıl doğru kapsamda, doğru sırayla ve denetime hazır bir şekilde tamamlarız?” seviyesine gelebilmek.
EPDK Sızma Testi’ni Her Firma Yapamaz: Yönetmelikte Aranan Yetkinlikler
EPDK sızma testi, klasik IT sızma testlerinden farklı olarak EKS ve SCADA ortamlarının özgün mimarisi ve operasyonel kısıtları göz önünde bulundurularak yürütülmektedir. Bu testleri gerçekleştiren uzmanların hem endüstriyel kontrol sistemleri dünyasına hakim olması hem de EPDK yönetmeliğinde belirtilen sızma testi ve ağ güvenliği sertifikasyonlarını taşıması gerekmektedir.
EPDK kapsamındaki güvenlik denetimi, yönetmelikte tanımlanan denetçi yetkinlikleri ve uzmanlık şartlarının karşılanmasını zorunlu kılmaktadır. Hizmet alacağınız firmanın EPDK gerekliliklerine tam uyumlu personel ve yeterlilik yapısına sahip olması, testin hem yasal geçerliliği hem de operasyonel güvenliği açısından büyük önem taşımaktadır.
Güvenlik analiz ve testlerini gerçekleştirecek firmalarda aranan özellikler aşağıda incelenebilir:
TS 13638 Sertifikası
Bu madde ile EPDK güvenlik analiz ve testlerini gerçekleştirecek firmanın TS 13638 – TSE Sızma Testi yapan firma belgesine sahip olması istenmektedir. Sparta Siber Güvenlik TSE A Grubu Sızma Testi firması belgesine sahiptir.
ISO IEC 27001 Belgesine Sahip Olması
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi denetim yapacak firmada aranan belgelerden biridir. Sparta, TÜRKAK Akredite ISO 27001 belgesine sahiptir.
GICSP Sertifikası
EPDK Güvenlik analiz ve testlerini gerçekleştirecek personelde mutlaka bulunması gereken sertifikalardan biri GIAC tarafından verilen Global Industrial Cyber Security Professional (GICSP) sertifikasıdır. Sparta Siber Güvenlik kıdemli teknik ekibinde GICSP sertifikalı uzmanlar yer almaktadır.
Bu sertifikaya sahip olmayan personellerin ise Kritik Alt Yapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimi sonrası başarı sertifikasına sahip olması beklenir.
Ağ Güvenliği Sertifikası (en az 1 sertifika)
EPDK sızma testlerinde görev alacak personellerin aşağıdaki sertifikaların en az birine sahip olması gerekir:
- ComptiaSecurity+
- GSEC
- CND
- SSCB
- CISSP
- CNSS
Sparta Siber Güvenlik kıdemli teknik ekibinde yukarıda yer alan sertifikalardan birden fazlası bulunmaktadır.
Sızma Testi Uzmanlığı Sertifikaları (en az 2 tane)
EPDK sızma testlerinde görev alacak personellerin aşağıdaki sertifikaların en az ikisine sahip olması gerekir:
- CEH
- OSCP
- ICS / SCADA Cybersecurity
- TSE Ağ ve Sistem Altyapısı Kıdemli ya da Sertifikalı Uzman Belgesi
- GPEN
Sparta Siber Güvenlik kıdemli teknik ekibinde yukarıda yer alan sertifikalardan ikiden fazlası bulunmaktadır.
Sparta Siber Güvenlik ile EPDK Sızma Testi Yaklaşımı
Sparta Siber Güvenlik olarak EPDK sızma testi çalışmalarını; EKS/SCADA ortamlarının doğası gereği “kesintisiz çalışma” ihtiyacını gözeterek, kontrollü ve planlı bir yaklaşımla yürütürüz. Testin amacı; operasyonu riske atmadan zayıf noktaları görünür kılmak, saldırı yüzeyini anlaşılır hale getirmek ve aksiyonları uygulanabilir bir sıraya oturtmaktır.
Testleri, EPDK gerekliliklerine uygun şekilde planlar; bulguları hem teknik ekipler hem de yönetim tarafı için okunabilir ve karar aldırabilir formatta raporlarız.
Bu testi sadece ‘bulgu bulmak’ için değil, denetimde savunulabilir ve sahada uygulanabilir aksiyon planı çıkarmak için yapıyoruz.
EPDK Sızma Testi Kapsamında Neleri Test Ediyoruz?
EPDK sızma testi kapsamında EKS/SCADA ortamlarında aşağıdaki başlıklarda çalışırız:
EKS ağının ve mimari yapısının incelenmesi (topoloji, segmentasyon, erişimler)
Topoloji analizi ve saha bileşenlerinin değerlendirilmesi
SCADA / HMI / RTU / PLC bileşenlerine yönelik güvenlik değerlendirmesi
Zafiyet taramaları (operasyonel kısıtlar gözetilerek)
Kontrollü sızma testi ve sömürü doğrulama adımları (planlı, kurum onaylı)
Kablosuz ağ bileşenlerinin incelenmesi (varsa)
Sosyal mühendislik testleri (kapsama dahil edildiyse)
Zararlı yazılım ve anomali kontrolü (kurumun altyapısına göre)
Bulgular için uygulanabilir iyileştirme adımları ve önceliklendirme
Kontrol / doğrulama testleri (re-test) ve final raporlama
EPDK Sızma Testi Süreci Nasıl İlerler?
EPDK sızma testi sürecini kurumların operasyon temposunu bozmadan, yönetilebilir parçalara bölerek ilerletiyoruz:
Kapsam ve planlama
Saha erişimleri, test yöntemleri, sistem envanteri ve kritik kısıtlar netleştirilir.Kontrollü test aşaması
EKS/SCADA bileşenleri üzerinde belirlenen kapsamda analizler yapılır. Aktif adımlar gerekiyorsa, kurumla birlikte en güvenli zamanlama planlanır.Raporlama
Bulgular teknik detaylarıyla birlikte yazılır; yönetim için ayrıca özet ve aksiyon planı çıkarılır.Düzeltme & doğrulama
Kurumun yaptığı iyileştirmeler sonrası kontrol testleri ile kapanış doğrulanır.1 günlük ücretsiz danışma görüşmesi
Test tamamlandığında raporu birlikte değerlendirir, “hangi bulgular önce kapanmalı, hangi adımlar denetim açısından kritik?” sorularını netleştiririz.
Kritiklik seviyesi ve kapsamınıza göre kısa bir ön değerlendirme ile hızlıca netleştirebiliriz.
Yetkinlik ve Ekip
EPDK sızma testi gibi OT odaklı denetimlerde en önemli fark; sadece araç çalıştırmak değil, EKS/SCADA sistemlerinin çalışma mantığını bilen bir ekiple, doğru yöntemle ilerlemektir. Sparta Siber Güvenlik ekibi, EKS/SCADA ortamlarına yönelik saha gerçeklerini gözeten bir test yaklaşımına ve deneyimine sahiptir.
Ekip Sertifikaları
Ekibimizde GICSP (Global Industrial Cyber Security Professional), CompTIA Security+, CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional) ve GPEN (GIAC Penetration Tester) gibi uluslararası alanda kabul gören kıymetli sertifikaların yanı sıra TSE Ağ ve Sistem Altyapısı Kıdemli ve Sertifikalı Uzman sertifikalarına sahip uzmanlar bulunmaktadır.
Kuruluşlar Neden Sparta'yı Tercih Ediyor?
- EPDK isterlerini karşılayan firma,
- Tecrübeli ve uzman teknik ekip,
- 15+ yıl deneyim,
- EPDK gereksinimine uygun planlama ve raporlama yaklaşımı,
- OT/EKS ortamlarında kesinti riskini gözeten kontrollü test metodolojisi,
- Teknik bulguyu “aksiyon planına” çeviren net raporlama dili,
- Yönetim + teknik ekip için ayrı okunabilirlik (özet + detay),
- Test sonrası 1 günlük ücretsiz danışma görüşmesi ile yol haritası netleştirme.
Sıkça Sorulan Sorular (FAQ)
EPDK Sızma Testi kimler için zorunludur?
EPDK tarafından Yetkinlik Modeli kapsamına alınan enerji lisans sahipleri için EKS/SCADA güvenlik analiz ve testleri zorunludur. Kapsam ve kritiklik seviyesi EPDK bildirimi üzerinden netleşir.
EPDK Sızma Testi’nde ne test ediliyor?
Test kapsamında EKS/SCADA ağ mimarisi, erişimler, segmentasyon, kritik bileşenler ve operasyonel risk doğuran açıklıklar değerlendirilir. Amaç, hem teknik zafiyetleri hem de olası saldırı senaryolarını denetim çıktısına dönüştürmektir.
EPDK Sızma Testi kaç günde tamamlanır?
Süre; tesis büyüklüğüne, EKS bileşen sayısına ve operasyonel kısıtlara göre değişmekle birlikte çoğu çalışma birkaç iş günü ile birkaç hafta arasında tamamlanır. Net süre, kapsam toplantısından sonra belirlenir.
Canlı EKS/SCADA sistemlerinde test yapmak riskli değil mi?
EKS ortamlarında en önemli öncelik operasyonel sürekliliktir. Bu nedenle testler kontrollü, planlı ve kurumun operasyonel kısıtları gözetilerek yürütülür; gerekli durumlarda belirli adımlar yalnızca onaylı zaman pencerelerinde uygulanır.
Test sırasında üretim veya operasyon etkilenir mi?
Doğru planlama ile test süreci üretim ve operasyonu etkilemeyecek şekilde yönetilebilir. Kritik adımlarda kurum onayı alınır ve düşük riskli yaklaşımlar tercih edilir.
Hangi sistemler kapsama dahil edilir?
Genellikle SCADA sunucuları, HMI, RTU/PLC bileşenleri, EKS ağ cihazları, güvenlik duvarları ve ilgili erişim noktaları değerlendirmeye dahil edilir. Kapsam, kurumun mimarisi ve EPDK beklentisine göre netleştirilir.
EPDK Sızma Testi’ni her firma yapabilir mi?
Hayır, bu çalışmalar için yönetmelikte güvenlik analiz ve testlerini yapacak firma ve kişilerde aranan şartlar tanımlanmıştır. Bu nedenle teklif aşamasında ekip yetkinlikleri ve belgelendirilebilir uygunluk net şekilde sorgulanmalıdır.
EPDK Sızma Testi Raporunda neler yer alır?
Rapor; bulguların teknik detaylarını, risk seviyelerini, olası etkileri ve uygulanabilir iyileştirme adımlarını içerir. Ayrıca yönetim ekibinin hızlı karar verebilmesi için özet ve önceliklendirme sunulur.
Düzeltmelerden sonra doğrulama (re-test) yapıyor musunuz?
Evet, kurum isterse kritik bulgular kapatıldıktan sonra doğrulama testleri planlanabilir. Böylece yapılan iyileştirmelerin gerçekten etkili olup olmadığı netleşir.
Sürece başlamak için hangi bilgiler gerekiyor?
Başlangıç için EPDK bildirimi/kritiklik seviyesi, varsa mevcut ağ topolojisi, temel EKS bileşen listesi ve operasyonel kısıt bilgisi yeterlidir. İlk toplantı sonrası kapsam, sorumluluklar ve takvim netleştirilir.