Enerji Sektöründe Yapay Zeka Güvenliği
SCADA, Kritik Altyapı ve EPDK Çerçevesi · 2026

Kritik Altyapının Özgün Konumu

Enerji sektörü, ulusal yaşamın temel altyapılarından biridir. Bir bankada yaşanan kesinti müşteri memnuniyetini etkiler; bir e-ticaret platformunda yaşanan aksama gelir kaybı doğurur. Ancak bir elektrik şebekesinde yaşanan büyük çaplı kesinti hastanelerin acil bakım kapasitesini düşürür, sanayi üretimini durdurur, ulaşımı sekteye uğratır ve milyonlarca insanın günlük yaşamını anında etkiler.

Bu özgün konum, enerji sektöründe yapay zeka güvenliğinin diğer sektörlerden ayrılmasını zorunlu kılan üç boyut doğurur. Birincisi etkinin fiziksel olması: model kararı yalnızca bir veriyi değil, gerçek dünyadaki bir fiziksel sistemi etkiler. Bir trafik tahmin modelinin yanlış kararı bir veri merkezinde hesaplama hatasıdır; bir şebeke yük dengeleme modelinin yanlış kararı bir elektrik kesintisidir.

İkincisi düşman aktör profilinin farkı: kritik altyapı saldırılarının arkasında çoğunlukla ulus seviyesinde aktörler bulunur. Bu aktörlerin teknik kapasitesi, sabırı ve kaynakları bireysel siber suçlulardan çok ötededir; saldırılar uzun planlama dönemlerinin sonunda gerçekleşir. Üçüncüsü operasyonel teknoloji ile bilgi teknolojisi sınırının erimesi: enerji sektöründe yapay zeka geleneksel BT katmanlarıyla sınırlı kalmaz, doğrudan SCADA ve PLC katmanlarına temas eder. Bu durum saldırı yüzeyini hem genişletir hem de zarar potansiyelini artırır.

AI Kullanım Alanları

Türk enerji sektörü yapay zekayı altı temel alanda yoğun olarak kullanıyor.

Birincisi talep tahmini. Elektrik şebekesinde bir sonraki saatin, bir sonraki günün ve önümüzdeki haftanın talep eğrisinin tahmini, yapay zeka modelleriyle yapılır. Bu tahminler doğrudan üretim planlamasını ve dengeleme piyasası kararlarını besler; isabet kalitesi şirketin maliyet yapısını belirler.

İkincisi arıza önleme ve öngörücü bakım: trafolar, hatlar, rüzgâr türbinleri ve güneş panelleri üzerindeki sensör verisi yapay zeka modelleriyle işlenir; bir cihazın arızalanma olasılığı arızadan önce tahmin edilir. Bu yaklaşım hem sürdürülebilirlik kazandırır hem operasyonel kesintileri azaltır.

Üçüncüsü şebeke optimizasyonu: yenilenebilir enerjinin değişken üretimi (rüzgâr, güneş) ile geleneksel kaynakların (doğal gaz, hidroelektrik) dengelenmesi yapay zekayla yapılır. Akıllı şebeke (smart grid) altyapısı bu modellerin gerçek zamanlı kararına bağlı çalışır. Dördüncüsü akıllı sayaç verisi analizi: dağıtım şirketleri abone tüketim örüntülerini analiz ederek hem kayıp-kaçak tespiti hem talep yönetimi ürünleri geliştiriyor.

Beşincisi müşteri hizmetleri: çağrı merkezi asistanları, fatura sorularının otomatik yanıtlanması, kesinti bilgilendirmesi gibi alanlarda yapay zeka tabanlı asistanlar yaygınlaşıyor. Altıncısı içerik üretimi ve iç verimlilik: raporlama, EPDK bildirimleri, teknik dokümantasyon gibi alanlarda dil modeli tabanlı araçlar kullanılır. Bu kategori operasyonel açıdan en düşük risk taşır ama veri sızıntısı açısından dikkat ister.

IT-OT Sınırının Erimesi

Enerji sektöründe yapay zeka güvenliğinin diğer sektörlerden en belirgin ayrımı, bilgi teknolojisi (IT) ile operasyonel teknoloji (OT) arasındaki sınırın yapay zeka ile erimesidir. Geleneksel anlayışta IT kurumsal verileri, e-postaları, raporları yöneten katmandı; OT ise PLC'leri, SCADA sistemlerini, fiziksel saha cihazlarını yöneten ayrı bir katmandı. Bu iki katman arasındaki hava boşluğu (air gap) güvenliğin önemli bir unsuruydu.

Yapay zekanın enerji operasyonlarına girmesi bu sınırı yumuşatıyor. Talep tahmini modeli OT tarafındaki sensör verisini IT tarafında işliyor, kararını OT'ye geri yazıyor. Şebeke optimizasyon modeli IT tarafındaki yapay zeka altyapısında yaşarken, kararları OT tarafındaki röleleri etkiliyor. Bu iki yönlü bilgi akışı, geleneksel hava boşluğunun fiilen kalmamasına yol açıyor.

Bu erime saldırı tarafında önemli sonuçlar doğurur. IT katmanına yapılan bir sızma artık doğrudan OT'ye uzanabilir; bir yapay zeka modelinin manipülasyonu, fiziksel sistemde bir röleyi yanlış zamanda tetikleyebilir. Saldırgan açısından IT ile OT arasındaki köprü, daha önce mümkün olmayan operasyonel etki kapısını açar.

Bu kapı kapatılamaz; çünkü yapay zekanın değeri tam da bu iki katmanın bir araya gelmesinden doğar. Yapılması gereken, geçişi kontrollü ve denetimli kılmaktır. IT-OT köprüsündeki yapay zeka modelleri için yetki, izleme ve müdahale mimarisi bu noktada kritiktir.

Kritik Altyapıya Özgü Altı Tehdit

Enerji sektörünün bağlamı altı belirgin tehdit kategorisini öne çıkarır.

1. Talep Tahmini Manipülasyonu

Şebeke operatörü talep eğrisini yanlış tahmin ettiğinde fazla üretim ya da yetersiz üretim arasında dengesizliğe düşer; ikisi de finansal ve operasyonel zarar doğurur. Saldırgan, dağıtım tarafındaki akıllı sayaç verisini ya da hava durumu beslemesini manipüle ederek modeli yanıltabilir. Daha sofistike senaryolarda saldırgan, model girdilerine düşman örnekler enjekte ederek tahmin sapmasına yol açar.

2. SCADA Üzerinde AI Manipülasyonu

SCADA sistemlerine doğrudan müdahale klasik kritik altyapı saldırılarının tipik vektörüdür; yapay zekanın bu sistemlere entegre olması manipülasyona yeni bir yüzey ekler. Saldırgan, SCADA üzerinde çalışan yapay zeka modeline (örneğin trafo aşırı yük tespit modeli) sahte sinyaller besleyerek modelin gerçek anomaliyi kaçırmasını ya da olmayan bir anomaliyi bildirmesini sağlayabilir. Birincisi gerçek arızayı görmeyi engeller; ikincisi sahte alarmlarla operatörü yorar ve gerçek olayı gürültü içinde gizler.

3. Akıllı Sayaç Verisi Manipülasyonu

Akıllı sayaç ekosistemi, abone tüketiminin gerçek zamanlı izlenmesini sağlar; ancak bu sayaçlar fiziksel olarak müşteri tarafındadır ve manipülasyona açıktır. Yapay zeka bağlamında bu manipülasyon iki yönde işler. Bir yön, sayaç verisini değiştirerek aboneye olduğundan az tüketim yansıtmaktır; klasik kayıp-kaçak. Diğer yön, dağıtım şirketinin yapay zeka tabanlı dolandırıcılık tespit modelini yanıltarak yasadışı tüketimi normal göstermektir.

4. Şebeke Optimizasyon Modeli Sapması

Şebeke optimizasyon modelleri büyük ölçüde geçmiş veriye dayanır; gerçek dünya verisi zamanla değişir ve model bu değişimi takip edemezse karar kalitesi düşer. Saldırgan açısından bu durum doğal bir zaaftır; ancak bilinçli bir saldırgan modelin sapmasını da hızlandırabilir. Eğitim verisinde küçük ama sistematik anomaliler enjekte ederek modelin uzun vadede güvenilirliğini bozabilir.

5. Müşteri Asistanı Sosyal Mühendisliği

Enerji şirketlerinin müşteri asistanları, telekom ve bankacılıkta gördüğümüz tehditlere benzer saldırılara açıktır; ancak enerji bağlamında eklenen bir başlık şudur: kesinti dezenformasyonu. Saldırgan, sahte "kesinti haberi" iletmesini sağlayan bir manipülasyonla, ya panik yaratabilir ya da abonelerin gerçek bir kesintiyi görmezden gelmesine yol açabilir. Kritik anlarda bilgi akışının doğruluğu, fiziksel güvenlik açısından kritiktir.

6. Tedarik Zinciri Saldırıları

Enerji sektörünün yapay zeka çözümleri genellikle uluslararası tedarikçilerden gelir; SCADA tarafındaki yapay zeka modülleri, dağıtım analitiği platformları, akıllı sayaç firmware'i çoğunlukla dış ürünlerdir. Bu tedarik zinciri, yabancı aktörlerin sektöre dolaylı erişim kapısıdır. SolarWinds tipi tedarik zinciri saldırılarının enerji sektörüne yansıyan etkileri 2020'lerin başında küresel düzeyde görüldü; sektör bu konuda hala olgunlaşmaktadır.

EPDK ve Düzenleyici Çerçeve

Enerji Piyasası Düzenleme Kurumu (EPDK), Türk enerji sektörünün düzenleyici otoritesidir. 6446 sayılı Elektrik Piyasası Kanunu, 4646 sayılı Doğal Gaz Piyasası Kanunu ve ikincil mevzuatı operatörlerin yükümlülüklerini belirler.

Yapay zeka açısından EPDK'nın çerçevesi birkaç noktada dikkati hak eder. Birincisi bilgi sistemleri güvenliği: enerji şirketlerinin bilgi sistemleri yönetiminin asgari standartları tanımlıdır ve yapay zeka uygulamaları bu standartlara dahildir. İkincisi operasyonel süreklilik: şirketlerin kritik operasyonların kesintisiz sürdürülmesi için risk yönetim süreçlerine sahip olması beklenir; yapay zeka tabanlı karar mekanizmalarının arıza durumunda devre dışı kalma protokolleri bu kapsamdadır.

Üçüncüsü raporlama ve şeffaflık: enerji şirketleri faaliyetlerini EPDK'ya düzenli raporlar; bu raporlamalarda yapay zeka tabanlı kararların payı zamanla netleşmektedir. Dördüncüsü uluslararası uyum: Türkiye'nin Avrupa Elektrik İletim Sistemi İşletmecileri Şebekesi (ENTSO-E) ile entegrasyonu, sektörü Avrupa standartlarına da bağlar. EU AI Act kapsamında "kritik altyapıda kullanılan yapay zeka" yüksek risk kategorisine girer; bu durum AB pazarına bağlı Türk enerji şirketleri için ek yükümlülük doğurur.

Beşincisi kişisel veri tarafı: akıllı sayaç verisi abonenin yaşam örüntüleri hakkında bilgi taşır (evde olduğu saatler, kullandığı cihazlar); bu veri KVKK kapsamında değerlendirilir. Madde 4 ölçülü işleme ilkesi, dağıtım şirketlerinin sayaç verisini yapay zekayla işlerken ne kadarını ne kadar süreyle saklayacağı sorusunu doğrudan etkiler.

Kurumsal Savunma Yaklaşımı

Enerji sektöründe yapay zeka güvenliği genel ilkelerin üzerine sektöre özgü beş katman daha ekler.

Birinci katman IT-OT köprüsü denetimidır. IT katmanından OT katmanına geçen her veri akışı; doğrulanmış kimlik, sınırlı izin, kayıt altına alınmış olay zincirine bağlı olmalıdır. Yapay zeka modeli OT tarafındaki sensörü okur ve OT tarafındaki röleyi tetiklerken, bu iki uçtaki yetkilendirme ayrı ayrı yönetilmeli; "tek model, sınırsız erişim" yaklaşımı yasaklanmalıdır. Kritik karar zincirinde insan denetim katmanı muhakkak olmalıdır.

İkinci katman model çıktısı sınır kontrolüdır. Şebeke optimizasyon ve talep tahmin modellerinin çıktıları, fiziksel anlamda mantıklı sınırlar içinde tutulmalıdır. Modelin "olağanüstü" bir karar önermesi durumunda otomatik kabul mekanizması devreye girmemeli; insan operatörün onayı aranmalıdır. Bu kontrol model manipülasyonunu engellemenin en doğrudan yoludur.

Üçüncü katman tedarik zinciri kontrolüdır. SCADA tarafına entegre yapay zeka çözümleri, model imzalama ve tedarikçi doğrulama disipliniyle alınmalı; her güncelleme bağımsız denetimden geçmelidir. Akıllı sayaç firmware'inin yapay zeka bileşenleri için aynı disiplin uygulanır. Tedarikçi sözleşmelerinde denetim hakkı, ihlal bildirim süresi ve veri yerleşimi açık olarak tanımlanmalıdır.

Dördüncü katman arıza güvenli moddır. Yapay zeka karar sisteminin arızalanması ya da güvenirliğinin tehlikeye girmesi durumunda otomatik olarak güvenli moda geçen bir geri dönüş tasarımı gereklidir. Bu modda klasik kural tabanlı sistemler devreye girer; insan operatörler manuel kontrolü ele alır. Yapay zekanın "olmazsa olmaz" haline geldiği bir mimari, tek bir model arızasının zincirleme felaket doğurmasına açık kapı bırakır.

Beşinci katman kritik altyapı tehdit izlemedır. Sektöre özel CTI kaynakları (uluslararası ICS-CERT, ulusal USOM koordinasyonu, sektörel paylaşım çerçeveleri) düzenli takip edilmelidir. Tehdit istihbaratı operasyonel güvenliğin doğal beslemesidir; izole çalışan bir kurum yeni saldırı kalıplarını öğrendiğinde çoğu zaman geç kalmıştır.

Sık Yapılan Hatalar

Enerji sektöründe yapay zeka güvenliği çalışmalarında en sık karşılaştığımız tuzakların başında "OT tarafı zaten ayrı, AI'dan etkilenmez" varsayımı gelir. Yapay zekanın IT-OT entegrasyonunu derinleştirmesiyle bu varsayım artık geçersizdir; eski hava boşluğu modeli üzerinden yapılan güvenlik tasarımı yeni saldırı yüzeyini kapsamaz.

İkinci yaygın hata model otonomisini fazla genişletmektir. Şebeke kararlarında modelin doğrudan etkili olduğu mimariler operasyonel hız kazandırır ama bir manipülasyonda zincirleme zarar potansiyelini de büyütür. İnsan denetiminin katı sınırları tanımlı olmalıdır.

Üçüncü tuzak tedarikçi denetimini operasyonel kabule sıkıştırmaktır. Yapay zeka bileşenli SCADA çözümleri için tedarikçi doğrulaması, satın alma sürecinin başında değil sonunda yapılırsa, kritik şartlar pazarlık dışı kalır.

Dördüncüsü arıza güvenli modu test etmemektir. Yapay zekanın çalışmadığı varsayımıyla geri dönülecek manuel kontrolün gerçekten işler olup olmadığı düzenli aralıklarla tatbikatlarla doğrulanmalıdır; sadece dokümantasyonda yer alan bir yedek plan gerçek bir krizde fiilen yoktur.

Son olarak akıllı sayaç verisinin "anonim" sanılması: tüketim örüntüleri abonenin günlük yaşam alışkanlıklarını rahatlıkla ifşa eder, bu nedenle anonim sayılmaz. KVKK kapsamında özenle işlenmesi gerekir.

Sonuç

Enerji sektörü, yapay zekanın geleneksel bilgi teknolojisi sınırlarını aşıp doğrudan fiziksel altyapıya temas ettiği sektörlerin başında gelir. Bu özgün konum talep tahmini manipülasyonundan SCADA üzerindeki yapay zeka saldırılarına, akıllı sayaç manipülasyonundan tedarik zinciri saldırılarına kadar uzanan altı kritik tehdit kategorisini doğurur.

Sağlam bir kurumsal savunma; IT-OT köprüsü denetimi, model çıktısı sınır kontrolü, tedarik zinciri disiplini, arıza güvenli mod tasarımı ve kritik altyapı tehdit izleme üzerine kurulur. EPDK çerçevesi, KVKK yükümlülükleri ve uluslararası ENTSO-E entegrasyonu bu mimarinin çevresel arka planıdır.

AltaySec olarak enerji sektörüne özel yapay zeka tehdit değerlendirmesi, IT-OT köprü güvenliği ve kritik altyapı kırmızı takım çalışmaları üzerine danışmanlık yürütüyoruz. Sektörel seri eğitim, sigorta ve lojistik gibi alanlara da uzanmaya devam edecek.