2025’in sonunda Polonya’nın elektrik sistemine yönelik gerçekleştirilen ELECTRUM siber saldırısını, “elektrik kesintisi olmadı” diyerek geçiştirmek büyük bir hata olur. Dragos’un yayımladığı analiz, bu olayın aslında modern enerji altyapılarının ne kadar kırılgan bir noktaya geldiğini çok net şekilde gösteriyor.
Bu saldırının en çarpıcı tarafı, hedefin klasik anlamda iletim ya da merkezi dağıtım altyapıları olmaması. Saldırı doğrudan dağıtık enerji kaynaklarını, yani rüzgâr, güneş ve kombine ısı-güç tesislerini hedef alıyor. Enerji dönüşümüyle birlikte bu yapılar hızla yaygınlaşıyor ama aynı hızda olgunlaşan bir siber güvenlik yaklaşımından söz etmek zor. Polonya örneğinde saldırganlar, şebeke operatörleri ile sahadaki tesisler arasındaki kontrol ve haberleşme katmanına odaklanıyor. RTU’lar ve edge haberleşme cihazları üzerinden OT ortamlarına erişim sağlanıyor ve bazı ekipmanlar geri döndürülemeyecek şekilde devre dışı bırakılıyor. Bu tablo bize açıkça şunu söylüyor: Bu bir keşif faaliyeti değil, doğrudan saldırı.
Teknik detaylara bakıldığında, olay tek bir kritik zafiyetin sömürülmesiyle açıklanamaz. Asıl problem, sahalar arasında tekrarlanan mimariler. Aynı firewall’lar, benzer VPN yapılandırmaları ve neredeyse kopya RTU konfigürasyonları. Operasyonel verimlilik için tercih edilen bu standart yapı, saldırgan açısından ölçeklenebilir bir hedef yüzeyi yaratıyor. Bir sahada işe yarayan yöntem, hızla onlarca sahaya uygulanabiliyor. Üstelik birçok OT ortamında yeterli loglama ve ağ görünürlüğü olmadığı için, saldırganların tam olarak ne yaptığını bugün bile net biçimde söylemek zor. Sadece haberleşmeyi mi kestiler, yoksa bazı tesislerde operasyonel komutlar vermeye de çalıştılar mı, bunu kesin olarak bilmiyoruz. Bu belirsizlik bile başlı başına ciddi bir risk göstergesi.
Polonya’daki saldırıyı, ELECTRUM’un geçmişini dikkate almadan değerlendirmek de mümkün değil. 2015’te Ukrayna’da yaşanan saldırılar, siber bir operasyonun ilk kez geniş çaplı elektrik kesintisine yol açtığı vakalardı. 2016’da ise CRASHOVERRIDE ya da Industroyer ile bambaşka bir seviyeye geçildi; endüstriyel protokollerle doğrudan konuşabilen, fiziksel etki yaratmak üzere tasarlanmış zararlı kodlar sahaya indi. Bu saldırılar ELECTRUM’un yalnızca IT bilgisine değil, elektrik şebekelerinin nasıl çalıştığına dair derin bir operasyonel bilgiye sahip olduğunu gösteriyor.
2016’dan sonra bu grubun ortadan kaybolduğunu düşünmek de yanlış. Aksine, Avrupa genelinde uzun süreli keşif faaliyetleri yürüttüklerini, altyapıları haritaladıklarını ve uygun zamanı beklediklerini görüyoruz. 2022’de KA-SAT uydu altyapısına yapılan saldırı ve Industroyer2 gibi gelişmiş araçların ortaya çıkması, bu yeteneklerin hâlâ canlı ve gelişmekte olduğunu açıkça ortaya koyuyor. Bu açıdan Polonya saldırısı bir “deneme” değil; uzun süredir biriken bilgi ve tecrübenin, yeni bir enerji mimarisine uygulanmış hali gibi duruyor.
Polonya’da büyük bir kesinti yaşanmamasının temel nedeni, ülkenin hâlâ yüksek termal üretim kapasitesine ve sistem ataletine sahip olması. Ama daha yüksek yenilenebilir penetrasyonuna sahip, düşük ataletli bir şebekede aynı senaryonun çok daha ağır sonuçlar doğuracağı açık. Mevzuatların genellikle büyük tesislere odaklandığı bir ortamda, tek tek bakıldığında küçük görünen ama birlikte ele alındığında gigawatt seviyesinde etki yaratabilen DER’ler ciddi bir sistemik risk oluşturuyor.
Kritik altyapı kavramı artık sadece büyük ve merkezi tesislerle sınırlı değil. Toplam etki yaratma potansiyeli olan dağıtık sistemler, bugün devlet destekli OT tehdit aktörlerinin doğrudan radarında. Enerji dönüşümünü konuşurken OT güvenliğini ikinci plana atan her yaklaşım, yarının ulusal güvenlik ve süreklilik sorunlarını bugünden davet ediyor. Polonya vakası, “ışıklar sönmedi” rahatlığının arkasında ne kadar ciddi bir risk biriktiğini çok açık şekilde gösteriyor. Dragos'un raporunu okumak isteyeneleri çin link aşağıya bırakıyorum.
Poland Power Grid Attack Targets Distributed Energy Facilities
Inside the Poland electrical grid attack: Dragos reveals ELECTRUM's methods, distributed energy RTU targeting, and OT security lessons for protecting power systems.
