Segmentasyon ve güvenlik duvarı
PLC, HMI ve SCADA ayrı VLAN veya zone’larda olmalı; yalnızca gerekli portlar (ör. HTTPS, VPN) dışarıya açılmalıdır. Ofis Wi‑Fi ile üretim kontrolörü aynı yayında olmamalıdır.
Mümkünse endüstri cihazına doğrudan genel IP vermek yerine VPN concentrator veya site‑to‑site tünel kullanılır.
Jump host (ara sunucu) modeli, otomasyon mühendisinin dizüstü bilgisayarından doğrudan PLC’ye uzanmayı keser; bağlantı logları tek noktada toplanır.
Hesaplar ve erişim süresi
Paylaşılan tek “servis şifresi” yerine, kişisel veya firma bazlı hesaplar; mümkünse çok faktörlü kimlik ve oturum süresi sınırı tercih edilir.
Duruş sonrası VPN oturumunun açık kalması operasyonel konfor sağlasa da risk artırır; prosedürle kapatılması gerekir.
ERP veya kişisel veri içeren sistemlerle aynı VPN profilini kullanmayın; OT için ayrı profil ve minimum yetki uygulayın.
Kayıt ve müşteri politikası
Hangi IP’nin hangi tarihte bağlandığı, yapılan yazılım değişikliği ve versiyon notu birlikte arşivlenmelidir. Bu hem güvenlik hem de sonradan oluşan uyuşmazlıklar için önemlidir.
Tesis IT ekibinizin güvenlik politikası varsa, otomasyon tarafında buna uyum için ön kabuller keşifte yazılmalıdır.
Yedekleme: Uzaktan yüklenen proje dosyası müşteri arşivinde ve tedarikçi ticket’ında eş zamanlı tutulmalı; “bir yerde kaldı” senaryosuyla karşılaşmayın.
Saha gerçeği: ne zaman VPN yetmez?
Donanım değişimi, ölçüm cihazı ile sahadaki gerilim/akım teyidi veya EMC kaynaklı arıza takibi genelde fizikî müdahale ister.
Bursa ve Marmara’da planlı saha, uzak bölgelerde önce VPN ile daraltma sonra seyahat — modeli önceden yazın; beklenti uyumsuzluğu çoğu anlaşmazlığın kaynağıdır.