Üretimde IT ve OT Ayrımı Neden Hâlâ Kritik? Segmentasyon, DMZ ve Ortak Çalışma Kültürü Üzerine

12.06.2026

Dijital dönüşüm projelerinde en sık karşılaştığım yanlış algılardan biri şu:

"Artık her şey birbirine bağlıysa, IT ve OT ayrımına neden ihtiyaç duyuyoruz?"

Aslında tam da her şey birbirine bağlandığı için bu ayrım her zamankinden daha önemli hale geldi.

MES sistemleri, IoT sensörleri, yapay zekâ uygulamaları, bulut entegrasyonları ve gerçek zamanlı üretim analitiği projeleri sayesinde fabrikalar hiç olmadığı kadar veri üretiyor. Ancak bu dönüşüm beraberinde yeni bir sorumluluk da getiriyor:

Üretim sistemlerini korumak.

Çünkü bir ERP sisteminin durması ile üretim hattının durması aynı şey değildir.

Bir e-posta sistemindeki kesinti rahatsız edici olabilir. Ancak bir PLC'nin veya SCADA sisteminin etkilenmesi, üretim kaybına, kalite problemlerine hatta iş güvenliği risklerine yol açabilir.

Bu nedenle modern üretim tesislerinde IT ve OT ayrımı artık yalnızca teknik bir tercih değil, kurumsal risk yönetiminin temel unsurlarından biridir.

IT ve OT Aynı Şey Değildir

IT (Information Technology) dünyasının amacı veriyi yönetmek, saklamak ve iş süreçlerini desteklemektir.

ERP sistemleri, CRM uygulamaları, e-posta altyapıları, dosya sunucuları ve kullanıcı bilgisayarları bu dünyanın parçalarıdır.

OT (Operational Technology) ise fiziksel dünyayı yönetir.

PLC'ler, SCADA sistemleri, DCS yapıları, üretim hatları, robotlar, sensörler ve operatör terminalleri OT ekosisteminin bileşenleridir.

İki dünya arasındaki temel fark önceliklerdir.

IT tarafında öncelik çoğunlukla:

  • Gizlilik (Confidentiality)

  • Veri bütünlüğü (Integrity)

  • Erişilebilirliktir (Availability)

OT tarafında ise öncelik sıralaması tersine döner:

  • Erişilebilirlik

  • Güvenlik

  • Süreklilik

Çünkü üretimde birkaç dakikalık duruş bile ciddi maliyetler yaratabilir.

Bu nedenle OT ortamlarında uygulanan güvenlik yaklaşımı klasik kurumsal IT güvenliğinden farklı olmak zorundadır. NIST'in OT Güvenliği Rehberi (SP 800-82) de bu farklılığın özellikle altını çizmektedir.

En Büyük Risk: Kontrolsüz IT-OT Yakınsaması

Son yıllarda birçok saldırının ortak özelliği dikkat çekiyor.

Saldırganlar doğrudan PLC'lere saldırmıyor.

Önce kurumsal IT ağını ele geçiriyorlar.

Daha sonra yatay hareket ederek OT ağına ulaşıyorlar.

Burada asıl problem üretim sistemlerinin internete açık olması değil.

Problem, kurumsal ağ ile üretim ağının yeterince ayrıştırılmamış olması.

Bugün hâlâ birçok fabrikada şu ifadeleri duyabiliyoruz:

  • "PLC'ler aynı ağda çalışıyor."

  • "SCADA sunucusuna doğrudan erişiyoruz."

  • "Bakım firması VPN ile direkt hatta bağlanıyor."

Bu yaklaşımlar kısa vadede kolaylık sağlasa da uzun vadede büyük risk oluşturuyor.

Endüstriyel güvenlik alanında referans kabul edilen ISA/IEC 62443 standardı tam da bu nedenle "Zones and Conduits" yaklaşımını öneriyor. Sistemlerin güvenlik seviyelerine göre bölümlenmesini ve kontrollü iletişim kanalları üzerinden haberleşmesini tavsiye ediyor.

Segmentasyon Bir Güvenlik Yatırımı Değil, İş Sürekliliği Yatırımıdır

Segmentasyon çoğu zaman yalnızca siber güvenlik konusu olarak görülüyor.

Oysa gerçek faydası iş sürekliliğidir.

İyi tasarlanmış bir mimaride:

  • ERP ağı ayrı çalışır.

  • Kullanıcı ağı ayrı çalışır.

  • Sunucu ağı ayrı çalışır.

  • MES ağı ayrı çalışır.

  • SCADA ağı ayrı çalışır.

  • PLC ağı ayrı çalışır.

Bu sayede bir bölgede yaşanan problem tüm üretim ortamına yayılmaz.

Purdue Model olarak bilinen endüstriyel mimari yaklaşımı yıllardır bu prensibe dayanıyor. Sensörlerden başlayarak ERP sistemlerine kadar her katmanın kontrollü şekilde ayrıştırılmasını öneriyor.

Modern üretim tesislerinde artık hedef yalnızca ağları ayırmak değil, her sistemin yalnızca ihtiyacı olan sistemlerle konuşmasını sağlamaktır.

DMZ: IT ve OT Dünyalarının Gümrük Kapısı

Bir fabrikanın en kritik güvenlik bileşenlerinden biri Industrial DMZ'dir.

DMZ'yi iki dünya arasındaki kontrollü geçiş bölgesi olarak düşünebiliriz.

Kurumsal IT ağı ile üretim ağı arasında doğrudan bağlantı olmamalıdır.

Bunun yerine;

  • Historian sunucuları

  • Veri toplama servisleri

  • Jump Server'lar

  • Uzaktan erişim sistemleri

  • Entegrasyon servisleri

DMZ içerisinde konumlandırılmalıdır.

Böylece ERP'den gelen bir kullanıcı doğrudan PLC'ye ulaşamaz.

Ya da üretim hattındaki bir sistem doğrudan internete çıkamaz.

CISA, NIST ve SANS tarafından yayımlanan OT güvenlik rehberleri de OT ortamlarına erişimlerin Industrial DMZ üzerinden gerçekleştirilmesini önermektedir.

Benim görüşüme göre üretim şirketlerinin önemli bir kısmında güvenlik yatırımlarının ilk adımı yeni bir güvenlik ürünü satın almak değil, doğru DMZ mimarisini kurmak olmalıdır.

Güvenlik Teknolojiyle Değil, Organizasyonla Başlar

Konunun çoğu zaman gözden kaçan tarafı ise insan faktörüdür.

Birçok şirkette IT ve otomasyon ekipleri ayrı dünyalarda çalışıyor.

IT ekibi güvenliği önceliklendiriyor.

Otomasyon ekibi üretimin devamlılığını.

Her iki taraf da kendi açısından haklı.

Ancak dijital fabrikalarda başarı için bu iki ekip artık aynı hedefe hizmet etmek zorunda.

Çünkü:

MES projeleri ortak yürütülüyor.

SCADA entegrasyonları ortak yürütülüyor.

Yapay zekâ projeleri ortak yürütülüyor.

Veri platformları ortak yürütülüyor.

Siber güvenlik çalışmaları ortak yürütülüyor.

Dolayısıyla artık "IT'nin ağı" ve "otomasyonun ağı" yaklaşımından çıkıp "şirketin üretim platformu" yaklaşımına geçmek gerekiyor.

ISA/IEC 62443 standart ailesinin en önemli mesajlarından biri de tam olarak budur: OT güvenliği yalnızca teknoloji değil; süreç, organizasyon ve iş birliği konusudur.

Sonuç

Dijital dönüşüm yolculuğunda sensörlerden yapay zekâya kadar her şeyi konuşuyoruz.

Ancak çoğu zaman görünmeyen temel unsuru gözden kaçırıyoruz:

Mimari.

Doğru segmentasyon olmadan,

Doğru DMZ yapısı kurulmadan,

IT ve OT ekipleri ortak çalışmadan,

en iyi MES'i, en güçlü ERP'yi veya en gelişmiş yapay zekâyı devreye alsanız bile sürdürülebilir bir dijital dönüşüm elde etmek mümkün değil.

Çünkü üretimde dijitalleşmenin ilk şartı bağlantı kurmak değil;

güvenli bağlantı kurmaktır.

Share