Kontrol merkezleri arasındaki iletişim protokolü (ICCP veya IEC 60870-6 / TASE.2), hizmet kontrol merkezleri arasında geniş alan ağları (WAN’lar) üzerinden veri alışverişi sağlamak için dünya genelinde kabul görmüş bir protokol yapısıdır.

1) Protokol Geçmişi
İşletmeler arası gerçek zamanlı veri alışverişi, dünyanın birçok yerinde birbirine bağlı sistemlerin çalışması için kritik hale gelmiştir. Örneğin, elektrik piyasalarının gelişmesi, ticari ağların sınırlarını aşan işlevsel bir hiyerarşi ile elektrik ağlarının yönetimini arttırmıştır. En üst seviyede tipik olarak, sevk ve genel sistem güvenliği için koordinasyon sorumlulukları olan bir sistem operatörü vardır. Bunun altında, dağıtım şirketlerini ve üretici şirketleri bir araya getiren bölgesel iletim şirketleri bulunmaktadır. Kıtasal enerji sistemlerinde uluslararası sınırlar arasında artık önemli bir bağlantı vardır. ICCP, durum ve kontrol verilerini, ölçülen değerleri, zamanlama verilerini, enerji verilerini ve operatör mesajlarını içeren gerçek zamanlı ve geçmişe dayalı güç sistemi bilgilerinin değişimini sağlar.
Elektrik enerjisi endüstrisi, belki de diğer sektörlerden daha fazla işletme verisi kullanır. Bu bilgilerin uygun yerlere sorunsuz bir şekilde iletilmesi, elektrik üretme, iletme ve dağıtma sürecini geliştirmektedir. Bu amaca ulaşmak için, enerji şirketleri yıllar içinde, bu verilerin bir yerden diğerine değişimini kolaylaştırmak için kendi özel tasarım iletişim protokollerini geliştirdiler. Ne yazık ki, bu protokoller sıklıkla ihtiyaç duyulan bir temelde geliştirildi, bu da özel, uyumsuz protokollerin çoğalmasına yol açtı. 1980 civarında, kontroller arası merkez iletişim yeteneklerine sahip çoğu enerji şirketi, bu özel, özel olarak geliştirilmiş protokolleri noktadan noktaya iletim için kullandı.
Geçmişe dayalı sistemler arasında gerçek zamanlı veri alışverişinde bulunmak için özel veya tescilli bağlantılara ve protokollere güvenilmektedir. ICCP, elektrik enerjisi hizmet sektöründe gerçek zamanlı veri değişimi için uluslararası bir standart geliştirme çabası olarak başlamıştır. 1991 yılında bir protokol standardı geliştirmek, şartnameyi test etmek için bir prototip geliştirmek, şartnameyi standartlaştırma için IEC’ye göndermek ve gelişmekte olan satıcılar arasında birlikte çalışabilirlik testi yapmak için bir çalışma grubu kurulmuştur. İlk girişimler 1992’de Avrupa Ortak Pazarı gerekliliklerini karşılamaktadır. İlk protokolün resmi tanımı TASE.1 (Telecontrol Application Service Element-1) idi. Üretim Mesajı Spesifikasyonundan (MMS) yararlanan ikinci protokol olan TASE.2, en popüler hale gelen versiyon olarak kullanılmaktadır.
ABD’de, ICCP ağları, genellikle iletim hizmetleri, dağıtım hizmetleri ve üreticilerle bölgesel bir sistem operatörü olan kamu hizmeti grubu gruplarını birbirine bağlamak için yaygın olarak kullanılmaktadır. Bölgesel operatörler, bölgeler arasındaki güç ithalat ve ihracatını koordine etmek için birlikte bağlanabilmektedir.
2) Protokol Mimarisi
ICCP, istemci/sunucu ilkelerine dayanmaktadır. Veri aktarımı, bir kontrol merkezinden (istemciden) başka bir kontrol merkezine (sunucuya) yapılan bir talepten kaynaklanır. Kontrol merkezleri hem istemciler hem de sunucular olabilir. ICCP, OSI modelindeki uygulama katmanında çalışır. Herhangi bir fiziksel arayüz gibi, bu modele uyan taşıma ve ağ servisleri de desteklenir. Ethernet üzerinden TCP/IP (802.3) en yaygın şekilde kullanılmaktadır. ICCP iki kontrol merkezi arasında tek bir noktadan noktaya bağlantı üzerinde çalışabilir; ancak, daha genel durum birçok kontrol merkezi ve yönlendirilmiş geniş alan ağı için tasarlanmıştır. Kontrol merkezleri arasındaki mantıksal bağlantılar veya “ilişkiler” tamamen geneldir. Bir müşteri birden fazla sunucuyla ilişki kurabilir ve bir müşteri aynı sunucuyla birden fazla ilişki kurabilir. Aynı hizmet sunucusuyla çok sayıda ilişkilendirme farklı hizmet seviyelerinde kurulabilir, böylece yüksek öncelikli gerçek zamanlı veri düşük öncelikli veya gerçek zamanlı olmayan veri transferleri tarafından geciktirilmez.
ICCP, kimlik doğrulama veya şifreleme sağlamaz. Bu hizmetler normalde düşük protokol katmanları tarafından sağlanır. ICCP erişimi kontrol etmek için “İkili Tablolar (Bilateral Tables)” kullanılmaktadır. İkili Tablo, bir ICCP bağlantısı ile bağlantılı iki kontrol merkezi arasındaki anlaşmayı temsil eder. Anlaşma bağlantı yoluyla erişilebilecek veri unsurlarını ve nesneleri ve izin verilen erişim seviyesini tanımlar. Bir ICCP bağlantısı kurulduktan sonra, sunucudaki ve istemcideki İkili Tabloların içeriği, her bir taraf için neyin erişilebilir olduğu üzerinde tam kontrol sağlar. Verilere ve nesnelere erişim sağlamak için sunucu ve istemci tablolarında eşleşen girişler bulunmalıdır.
ICCP’nin kamu hizmet endüstrisi tarafından geniş çapta kabul edilmesi, çeşitli ICCP ürünlerinin pazarda kalmasına neden olmuştur. Birlikte çalışabilirlik yüksek riskli bir alan olarak kabul edilmese de, standart, bir uygulamanın standarda uygunluk talep etmek için tüm uygunluk bloklarını desteklemek zorunda kalmamasıdır. Minimal bir uygulama yalnızca Blok 1’i gerektirir. Sadece gerekli işlevselliği elde etmek için gerekli olan blokların uygulanması gerekir. Ayrıca, belirli bir blok için standartta tanımlanan tüm nesneleri desteklemek gerekli değildir. Bazı büyük üreticilerin ürünleri arasındaki kapsamlı birlikte çalışabilirlik testi, ICCP protokolü geliştirme özelliği olmuştur. Bir ICCP alıcısı, gereken uygunluk blokları ve bu bloklar içindeki nesneler açısından gereken işlevselliği tanımlamalıdır. ICCP istemcisi ve sunucu uygunluklarına ait uygulama profilleri, bağlantının başarılı bir şekilde çalışması için eşleşmelidir.
Uluslararası Elektroteknik Komisyonu (IEC) ve Uluslararası Standartlar Örgütü (ISO) ICCP’yi aşağıdaki uluslararası standartlar biçiminde kabul etmiştir:

  • TASE.2 Hizmetler ve Protokol (IEC 60870-6-503)
  • TASE.2 Nesne Modelleri (IEC 60870-6-802)
  • TASE.2 Uygulama Profili (IEC 60870-6-702)
3) Uygulama Sorunları
ICCP standart bir gerçek zamanlı veri değişim protokolüdür. Veri teslimi, değerlerin izlenmesi, program kontrolü ve cihaz kontrolü için sayısız özellik sunar. Farklı üreticilerin ICCP ürünleri arasında birlikte çalışabilirliği sağlamak için gereken tüm protokol özellikleri teknik özelliklere dahil edilmiştir.
Bununla birlikte ICCP spesifikasyonları, bir ICCP yazılım ürününde uygulanması gereken ancak birlikte çalışabilirliği etkilemeyen diğer alanları belirlemeye çalışmaz. Bu alanlara teknik özelliklerde “yerel uygulama sorunları” denir. Spesifikasyondaki yerel uygulama sorunlarından bazılarını aşağıda listeliyorum:

  • Yerel uygulamaların veri göndermek veya almak için ICCP’ye arabirim oluşturduğu API
  • ICCP veri bağlantılarının kullanıcı yönetimi için ICCP’ye bir kullanıcı arayüzü
  • ICCP veri bağlantılarını kontrol etmek ve izlemek için yönetim fonksiyonları
  • Yedekli ICCP sunucularının, genellikle EKS/SCADA sistem ortamında deneyimli olanlar gibi katı kullanılabilirlik gereksinimlerini karşılamak için gerekli olduğu yük devretme planları
  • ICCP veri bağlantısı yoluyla gelen taleplere cevap vermek için yerel SCADA/EKS’de veri, program veya cihazların nasıl kontrol edileceği veya yönetileceği.
4) ICCP'deki Zafiyetler ve Tehditler
Merkez veri güvenliğini kontrol etmedeki en büyük tehditler kontrolleri atlamak, dürüstlük ihlali, izin ihlali, personelin düşüncesizce davranışları, yasal olmayan kullanım ve bilgi sızmasıdır. Kontrol merkezi saldırılarına yönelik motivasyonlar arasında, mevcut ve önceki çalışanlar (tüm veri güvenliği saldırılarının yüzde 80’ini başlatan), finansal ödüller, “nedenler” ve yetenek gösterme yeteneği yer alıyor. NERC, kötü niyetli harici bilgisayar korsanlarını, hoşnutsuz çalışanları, kasıtsız çalışan hatalarını ve “güvenilir” harici kullanıcılarını Bölgesel Güvenlik Ağı’na (ISN) yönelik dört genel tehdit olarak tanımlamıştır.
ICCP ile ilgili aşağıdaki kategorilere göre tehditleri tanımlayabiliriz;

  • Kasıtlı insan müdahalesi – veri bağlantısının kasıtlı olarak kesilmesi. Bu tür izinsiz girişlerin kaynağı genellikle kuruluş içinde olsa da, bilgili dış bilgisayar korsanları da bu kategoriye girer.
  • Kazara insan müdahalesi – bir bireyin veri bağlantısına erişebileceği kazara veya usule ilişkin başarısızlık.
  • Fiziksel tehditler – hatalı veriye veya ekipman ve hizmetlerin fiziksel olarak kaybına neden olabilecek tehditler.
  • Doğal tehditler – Fırtına ve yangın gibi doğal tehditler.

Bu dört tehditten ilk ikisi veri güvenliği, son ikisi fiziksel güvenlikle ilgili tehditlerdir. Enerji şirketi iletişim sistemlerine yönelik saldırılar hakkında kamuya açık çok az bilgi bulunmasına rağmen, bu tür saldırıların gerçekleşmesi ihtimalini dışlamaz. Örneğin, birçok enerji şirketi bu tür saldırıların gerçekleştiğinin farkında olmayabilir veya her ikisi de diğer endüstrilerde endemik olan bu olayları ifşa etmemeyi tercih edebilir. Bu belirttiğimiz tehditleri tiplerine göre ayırıp detaylı olarak incelersek;

  • Baypas Kontrolleri: Son FERC siparişleri ve endüstri yeniden yapılandırması, kontrol merkezi EKS sistemlerinde tutulan operasyonel maliyet verilerine erişmek için istemeden finansal teşvikler yarattı. Hacker, hoşnutsuzçalışanlar (veya eski çalışanlar) veya rakipler, finansal kazanç için gizli veriler elde etmek ve/veya güç sistemi işlemlerini sabote etmek için verileri değiştirmek amacıyla kimlik doğrulama ve bilgisayar erişim kontrol şemalarını atlayabilir. ICCP’de, bu, ICCP’ye yerleşik iki taraflı erişim kontrol formu tablosunun atlanmasını içerir. Hacker’lar, doğrudan MMS’e erişerek ICCP’yi kullanan verilere de erişebilirler.
  • Bütünlük İhlali: Yetkisiz bir kullanıcı bir ICCP ağına veya SCADA ağına dokunarak EMS’ye yanlış bilgi gönderebilir. Yanlış veri, bir RTU’dan gönderilen geçerli veri olarak görünecektir. Bu, bir kontrol merkezi EKS operatörünün yanlış işlemler yapmasına neden olabilir (örneğin, bir limitsiz ölçüm dışı okumaya yanıt olarak veya bir devre kesiciden bir yanlış açma okumasına yanıt olarak verilebilir). Operatör uygunsuz bir işlem yapmazsa, güç sistemine zarar gelmez. Benzer şekilde, yetkisiz bir kullanıcı bir ICCP veya SCADA ağına dokunabilir ve bir alt istasyona veya elektrik santraline yanlış bilgi gönderebilir. Trafo merkezi durumunda, bu durum ayırıcı veya kesicilerin açılıp kapanmasına, lokal kesintilere ve hatta kritik iletim trafo merkezlerinde geniş alan kesintilerine neden olabilir. Bir enerji santrali durumunda, sonuçlar bir jeneratör üzerinde bir ayar noktasını yanlış şekilde değiştirmeyi içerebilir. Bir bütünlük ihlali oluşması için, verilerin aşağıdaki konumlardan birinde değiştirilmesi gerekir:
    • Bir kontrol merkezindeki EKS/SCADA veritabanı ve/veya ICCP müşterileri/sunucuları
    • Trafo merkezinde SCADA ana veya trafo merkezi bilgisayarı
    • Santraldeki kontrol sistemi bilgisayarı
    • Kontrol merkezi ile trafo merkezi, elektrik santrali veya diğer kontrol merkezi arasındaki veri devresi
  • Yetki İhlali: Yetkisiz kullanıcılar verilere ve/veya yazılımlara erişebilir. Bu tehdit, belirli erişim haklarına sahip, ancak verilen erişim haklarını ihlal eden güvenilir bir dış kaynaktan kaynaklanabilir. Fiziksel güvenlik ve kimlik doğrulamaya dayanan kontrol merkezleri ve yalnızca yerleşik iki taraflı tablo erişim kontrolüne dayanan ICCP tek başına korunmasızdır.
  • Personel kaynaklı hatalar: Çalışanlar tarafından yapılan aşağıdaki istemsiz hatalar, sistem operasyonlarını ve ağ güvenilirliğini etkileyebilir:
    • Veri girişi hatası
    • Gizli verilerin yanlışlıkla ifşa edilmesi (örneğin, uygun olmayan elden çıkarma yöntemleri ile)
    • Yanlış sistem komut girişi
    • Yazılım kaynak kodunda değişiklikler
  • Yasadışı Kullanım ve Bilgi Kaçakları: Hassas bilgilerin gizliliğini tehlikeye atan yasadışı kullanım ve bilgi sızması, Enerji ekosistemi için kilit bir tehdittir. Kontrol merkezleri arasında aktarılan maliyet, zamanlama ve kesinti verileri, yasal olmayan kullanım için potansiyel hedeflerdir.