Ana Sayfa Öne Çıkanlar ABD su tesisleri siber saldırı alarmı, Türkiye için yol haritası

ABD su tesisleri siber saldırı alarmı, Türkiye için yol haritası

Yazar

Eyl 20, 2025 @ 20:12 Değiştirilme tarihi: Eyl 20, 2025 @ 21:51

ABD’de son güncel haberler su arıtma/dağıtım tesislerinin siber saldırıları artık “günlük risk setine” eklediğini gösteriyor.

Bu tablo, Türkiye’de hızla dijitalleşen su idareleri için erken uyarı niteliğinde: su siber guvenligi ve SCADA guvenligi, verimlilik kazanımlarıyla birlikte ele alınmalı.

Hızlı bakış

ABD’de su tesisleri siber saldırıları artık günlük risk listesine koyuyor.
Türkiye’de SCADA tabanlı dijitalleşme hızlanıyor; verimlilik artarken güvenlik katmanları kritik.
İstanbul baraj doluluğu %33,5; Ege ve Marmara’da kuraklık baskısı sürüyor.

ABD haberi: Su tesisleri siber riskleri gündemine aldı

NPR’in 20 Eylül 2025 tarihli haberinde, ABD’de bir arıtma tesisinin “siber saldırıları” fiziksel işletme sorunlarıyla (ör. tıkanma, ekipman yükleri) birlikte rutin risk listesine eklediği aktarılıyor. Bu yaklaşım, özellikle küçük ve orta ölçekli işletmelerin kaynak ve uzmanlık kısıtları nedeniyle siber güvenliğe kırılgan kaldığını gösteriyor.

ABD tecrübesi: Son 2–3 yıldan öne çıkan bulgular ve su güvenliği

Cihaz/hedef odaklı saldırılar

2023 sonundan itibaren su/atıksu sektöründe yaygın kullanılan Unitronics PLC’lere yönelik dalgalar tespit edildi; yalnızca ABD’de onlarca cihazın ele geçirildiği raporlandı.

Denetim ve uyum eksikleri

EPA’nın 2024 tarihli denetim/rapor yazıları, yüz milyonlarca kişiye hizmet veren içme suyu sistemlerinde kritik ve yüksek riskli açıkların yaygınlığına dikkat çekti. Uyum ve uygulama boşlukları göze çarpıyor.

Kimyasal güvenlik açısından gerçek risk

2021’de Florida Oldsmar vakasında uzaktan erişim yoluyla sodyum hidroksit dozajı kısa süreliğine tehlikeli seviyelere yükseltildi; operatör müdahalesiyle etkisiz kılındı. Olay, uzaktan erişim ve temel hijyen eksiklerinin doğrudan halk sağlığına yansıyabileceğini gösterdi.

Politika/rehberlik altyapısı

CISA, EPA, FBI ve NIST-NCCoE su/atıksu sektörü için olay müdahale rehberleri, ağ segmentasyonu, varlık yönetimi ve uzaktan erişim kontrollerine dair uygulama kılavuzları yayımladı.

Türkiye tablosu: Dijitalleşme artarken görünürlük sınırlı

Türkiye’de büyükşehir su idareleri başta olmak üzere SCADA ile uzaktan izleme/komuta yaygınlaşıyor. Bu, su kayıp-kaçaklarının azaltılması ve enerji verimliliği bakımından kritik bir fırsat. Öte yandan, sektöre özel siber durum resmi, olay istatistikleri ve denetim çıktıları kamuya açık kaynaklarda sınırlı görünüyor. Ulusal siber güvenlik stratejisi ve kurumsal yapılanma güçlenirken, su idarelerinin sahadaki dijital dönüşümünü asgari siber standartlar ve düzenli denetimlerle birlikte yürütmek belirleyici olacaktır.

Türkiye için uygulanabilir minimumlar (pragmatik kontrol listesi)

Ağ mimarisi ve erişim

1) OT/SCADA ağını kurumsal IT’den kesin ayır (segmentasyon, VLAN, katmanlı firewall).
2) Uzaktan erişimde VPN + MFA zorunlu. Varsayılan/ortak parolaları yasakla. Ayrı operatör hesapları ve en az yetki ilkesini uygula.
3) Tedarikçi/bakım firması erişimlerini zaman, kapsam ve kayıtla sınırla.

Varlık yönetimi, izleme ve yamalama

4) Tüm PLC/HMI/RTU ve yazılım sürümlerinin envanterini tut. Değişiklikleri kayıt altına al.
5) ICS’e özgü sürekli izleme/anomali tespiti devreye al. Kritik açıklar için planlı yama pencereleri uygula. Gereksiz servis/portları kapat.
6) USB/taşınabilir medya politikası oluştur. Zararlı bulaşma riskini en aza indir.

Kimyasal/fiziksel güvenlik ve iş sürekliliği

7) Kimyasal dozaj ve havuz seviyelerinde fiziksel fail-safe limitler/alarmlar kur. Siber by-pass edilemeyen bağımsız katmanlar bulundur.
8) PLC/RTU konfigürasyonlarının offline yedeklerini tut. Elektrik/siber olayda “manuel mod”a dönüş tatbikatları yap.

Olay yönetimi, raporlama ve eğitim

9) ICS/OT’e özel olay müdahale planı hazırla. Kim/ne zaman/kime bildirecek netleşsin; ulusal otoritelerle bildirim hatlarını tanımla.
10) Operatörler ve IT/OT ekipleri için ortak tatbikatlar. Sosyal mühendislik farkındalığı eğitimi.
11) Belediye çatısı altında sektöre özel asgari siber kontrol standardı ve yıllık raporlama düzeni oluştur.

Yönetişim ve kaynak

12) Küçük belediye/idarelere teknik destek ve finansman sağlayan bir kapasite geliştirme programı başlat. Ortak satın alma ve ortak SOC/izleme gibi paylaşımlı hizmet modellerini değerlendir.

Neden şimdi?

Su hizmetleri iklim baskılarıyla birlikte daha kırılgan hale gelirken, dijitalleşme verimlilik için şart. Ancak temel siber hijyen sağlanmadan atılacak her dijital adım, operasyonel kesinti ve halk sağlığı riskini büyütür. ABD’deki güncel haber akışı ve kurumsal rehberlik, Türkiye’de “asgari standart + denetim + kapasite” denklemine hız verilmesi gerektiğini gösteriyor.

Türkiye’de siber güvenlik düzenlemeleri, OT/ICS koruma ve SCADA güvenliği yaklaşımları

Türkiye, siber güvenlik alanında kritik altyapıları korumaya yönelik yasal çerçeveyi 2025’te güçlendirdi; kamu ve özel sektördeki bilgi sistemleri ile kritik altyapılar bu kapsamda. Kurulan/güçlendirilen Siber Güvenlik Başkanlığı, siber olay müdahale ekipleri (SOMAE) ve Siber Güvenlik Kurulu; etkin izleme, standart belirleme ve uyum denetimi işlevlerini üstleniyor. Özellikle OT (Operasyonel Teknoloji) ve ICS (Endüstriyel Kontrol Sistemleri) güvenliği için standartlar ve rehberler geliştirilmekte; kritik sektörlerde ağ segmentasyonu, erişim kontrolü ve veri bütünlüğü denetimleri zorunlu hale geliyor. Ancak su yönetimi gibi kamu hizmeti alanlarında siber güvenlik farkındalığı ve kapasite artırımı için ek politika destekleri, mevzuat uyumu ve pratik rehberlik ihtiyacı sürüyor.

Türkiye için çağrı: Dijitalleşme ve iklim direnci için entegre siber güvenlik stratejisi

Su altyapıları dijitalleşme ile verimlilik kazanırken, hızla artan siber saldırı tehditleri operasyonel kesintiler ve halk sağlığı riskleri yaratmakta. Türkiye’nin su idareleri, asgari siber hijyen standartlarının ötesinde, katmanlı güvenlik, düzenli denetim, olay müdahale hazırlığı ve kurumsal kapasite geliştirme stratejilerine öncelik vermeli. Politika yapıcılar ve sektörel paydaşlar; teknolojik altyapı yatırımlarını, kuraklık gibi iklim baskılarını gözeten entegre güvenlik yaklaşımlarıyla harmanlayarak, sürdürülebilir ve dirençli su hizmetleri için iş birliği yapmalı. Ulusal ve uluslararası mevzuat, finansman mekanizmaları ve eğitim programları hızla yaygınlaştırılmalı. Ortak izleme ve olay yönetim merkezleri kurulmalı. Bu çok katmanlı strateji, Türkiye’nin enerji ve su güvenliği hedeflerini gerçekleştirmesinde temel taş rolü oynayacak.

Firecarrier bakışı: Kuraklık, dijitalleşme ve güvenliğin katmanlı zorlukları

Su sistemleri yalnızca siber güvenlik penceresinden değil, kuraklık ve iklim baskısı bağlamında da kritik. Türkiye’de 2023 ve 2024 yaz aylarında baraj doluluk oranları birçok büyükşehirde %30’un altına düştü; İstanbul’da İSKİ’nin verilerine göre bazı dönemlerde 10 yıllık ortalamanın yarısına gerileme yaşandı. Bu tablo, her damlanın değerli olduğunu ve kayıp-kaçak yönetiminin artık milli güvenlik unsuru haline geldiğini gösteriyor.

Baraj doluluk oranı 2025

2025 Eylül itibarıyla tablo daha da çarpıcı. İstanbul’daki 10 barajın ortalama doluluk oranı %33,5 seviyesinde; Kazandere Barajı yaklaşık %7, Istrancalar %19 dolulukla kritik sınıra dayanmış durumda. Bursa’daki barajların ortalama doluluk oranı yerel kaynaklara göre %9,4 seviyelerinde (resmi kaynak yayımlandıkça güncellenecektir). Ege Bölgesi’nde de yaz aylarında yağışların uzun dönem ortalamalarının oldukça altında kalmasıyla su kaynaklarına baskı artmış durumda. Meteoroloji Genel Müdürlüğü’nün kuraklık analizleri, özellikle Ege ve Marmara için normallerin altında yağış eğilimini teyit ediyor.

SCADA güvenliği yaklaşımları

Dijitalleşme burada devreye giriyor. SCADA ve sensör tabanlı sistemler sayesinde kaçakların anlık tespiti, enerji tüketim optimizasyonu ve arz-talep dengesinin daha hassas yönetimi mümkün. Örneğin ASKİ ve GASKİ’nin yayınladığı SCADA projeleri, milyonlarca metreküp suyun tasarruf edilmesini ve işletme maliyetlerinin ciddi ölçüde düşmesini sağlamış durumda.

Ancak bu kazanımların yanında katmanlı güvenlik zorlukları beliriyor. Dijitalleşme arttıkça, SCADA ağlarına izinsiz erişim, uzaktan kumanda riskleri ve veri bütünlüğü tehditleri de büyüyor. ABD’de Oldsmar ve Unitronics saldırılarında görüldüğü gibi, küçük bir yazılım açığı dahi doğrudan halk sağlığını etkileyebilir. Türkiye’de su yönetimi kurumlarının aynı anda hem iklim kaynaklı arz riski hem de dijital kaynaklı güvenlik riski ile karşı karşıya olduğu bir dönem başlamış bulunuyor.

Firecarrier bakışı bu çelişkiyi şöyle çerçeveliyor: İklim krizinin dayattığı verimlilik ve şeffaflık ihtiyacı dijitalleşmeyi kaçınılmaz kılıyor. Fakat bu dijitalleşme, asgari siber hijyen katmanlarıyla desteklenmediğinde faydayı riske dönüştürüyor. Çözüm, su idarelerinin yatırımlarını sadece baraj, hat veya SCADA projelerine değil, aynı zamanda siber dayanıklılık ve kurumsal kapasite geliştirmeye de yöneltmesinde yatıyor. Böylece kuraklık ve güvenlik krizleri aynı anda yönetilebilir.

Sık sorulanlar

Su siber guvenligi neden şimdi bu kadar konuşuluyor?

ABD’de artan olaylar ve Türkiye’deki hızlı dijitalleşme aynı anda risk ve fırsat yaratıyor.

Bu riskler pratikte ne anlama geliyor?

Yanlış dozaj, basınç sorunları, hizmet kesintisi ve veri bütünlüğü kaybı gibi sonuçlar doğurabilir.

Ne yapmalı?

OT/IT ayrımı, MFA, yamalama disiplini, olay planı ve kimyasal fail-safe katmanları.

Niçin şimdi, niçin birlikte?

Kuraklık her damlayı değerli kılıyor. Dijitalleşme her vanayı akıllı hale getiriyor. Ama akıllı vanalar, akıllı güvenlik olmadan kırılgan. Türkiye için yol basit: verimlilik projelerini siber hijyenle eşleştir, küçük belediyeye ortak kapasite sun, olay anında “manuel”e dönecek kası canlı tut. Böylece hem suyu koruruz hem de kesintisiz ve güvenli hizmet veririz.

Okur çağrısı

Siz bu konuda ne düşünüyorsunuz? Yaşadığınız şehirde su idaresinin dijitalleşme ve su siber güvenliği uygulamalarında gördüğünüz iyi ya da eksik yönleri, somut önerilerinizi ve varsa resmi veri bağlantılarını yorumlarda paylaşır mısınız?