Kritik altyapılarda siber risk analizi ve yönetimine yönelik çerçeve önerisi

Abstract

Toplum sağlığı ve ekonomisi ile kamu güvenliği üzerinde ciddi etkileri olan varlık ve sistemlerden oluşan yapılar bütünü, fonksiyonlarını kısmi veya tamamıyla yitirmesi durumunda kamu hizmetlerinin yürütülmesi ile toplumsal düzeni olumsuz etkilemesi nedeniyle kritik altyapı olarak değerlendirilmektedir. Bahse konu yapıların hayati önemi nedeniyle korunması ve bunu sağlayabilmek için varlık değerinin ortaya konarak hangi riskleri taşıdığının tespit edilmesi gerekmektedir. Bu kapsamda yapılacak çalışmalar risk analizi olarak değerlendirilmekte olup, risk analizi kritik altyapıların kısmi veya tamamıyla devre dışı kalmasının olası etkileri ve zayıf noktalarını değerlendirebilmek için olumsuz durum senaryolarının ortaya konmasıdır. Konunun öneminin gün geçtikçe artması nedeniyle hem ülkeler hem de uluslar arası kuruluşlar tarafından standartların belirlenmesi, koruma çerçeveleri oluşturulması çalışmaları hız kazanmıştır. Söz konusu standart ve koruma çerçevelerinin, risk analizi ve yönetimine yönelik oluşturulacak veri setlerinde önemli bir referans olacağı görülmüş ve bunlardan faydalanarak kritik altyapıların korunması, risk analizi ve yönetiminin yapılmasına yönelik bir çatı önerilmiştir. Ayrıca ortaya konan çatının, kritik altyapılara yönelik özelleşmesi için literatürde kabul görmüş çalışmaların güçlü yönlerinden faydalanılmıştır. Risk analizi ve yönetimi çalışmalarına yönelik kurulan çatı modellerinin, en kabul görmüş değerlendirme yöntemi olan jenerik bir senaryo üzerinden vaka çalışması yapılarak sonuçlar ortaya konmuştur. Sonuçlar, dolaylı etkileri ile birlikte tüm aşamaları içerisine alarak değerlendirme yapmayı sağlayacak bir çatı oluşturulduğunu ve çatının her katman için ayrı değerlendirme imkânı sunduğunu göstermiştir. Bununla birlikte çatının modüler yapısı sayesinde değişen standart ve çerçevelerin hızlı bir şekilde yapıya dâhil edilebileceği de görülmüştür.

Structures consisting of assets and systems that have serious effects on public health, economy, and public safety are considered as critical infrastructure, as they adversely affect the execution of public services and social order in case of partial or complete loss of their functions. Due to the vital importance of the mentioned structures, it is necessary to protect them and in order to achieve this, it is necessary to determine the risks they carry by revealing the asset value. The studies to be carried out in this context are evaluated as risk analysis, and risk analysis is the revealing of adverse situation scenarios in order to evaluate the possible effects and weak points of partial or complete failure of critical infrastructures. As the importance of the issue has increased day by day, efforts have been accelerated by both countries and international organizations to set standards and to establish protection frameworks. It has been seen that the said standards and protection frameworks will be an important reference in the data sets to be created for risk analysis and management, and a framework has been proposed for the protection of critical infrastructures, risk analysis and management by taking advantage of them. In addition, the strengths of the studies accepted in the literature were used to privatize the revealed framework for critical infrastructures. A case study was conducted over a generic scenario, which is the most accepted evaluation method for the framework models established for risk analysis and management studies, and the results were presented. The results show that a framework has been created that will allow evaluation by taking into account all the stages together with its indirect effects, and that the framework offers an opportunity to evaluate separately for each layer. However, thanks to the modular structure of the framework, it has been observed that changing standards and frames can be quickly incorporated into the structure.