Yeni Türkiye’de Siber Güvenliğin Mevzuattaki Yeri ve Yapılan Çalışmalar

Ferhat

Orgeneral
Site Yöneticisi
Misafir
VIP
Siber güvenlik, kurum, kuruluş ve kullanıcıların varlıklarına ait güvenlik özelliklerinin siber ortamda bulunan güvenlik risklerine karşı koyabilecek şekilde oluşturulmasını ve idame edilmesini sağlamayı amaçlamaktadır. Siber güvenliğin temel hedefleri erişilebilirlik, bütünlük ve gizliliktir. [1]

Bilişim ve teknoloji sürekli gelişip yenilendiği için, her yeni bir gün siber saldırıya mahal verecek yeni bir açıklık ve tehdit ortaya çıkmaktadır. Bu açıklık ve tehditlerin oluşturduğu riskleri ve hasarları minimize etmek adına ülkemizde ilgili mevzuatların yayınlanması ve uygulanması gerekmektedir.

Bu makalede Siber Güvenliğin mevzuattaki yeri, yapılan uygulamalar ve yapılması planlanan çalışmalar hakkında bahsedilmiştir.

Türk Hukuk Sisteminde Normlar Hiyerarşisine Genel Bakış
Hukuk sisteminde yer alan normlar farklı katmanlarda yer almaktadır ve altlık üstlük ilişkisi prensibi söz konusudur. Yani her bir norm, kendi altındaki normun geçerlilik yükümlülüklerine sahiptir. Normlar hiyerarşisine baktığımızda; en üstte temel hukuki metin olan Anayasa yer almaktadır. Anayasayı, Uluslararası Sözleşmeler, Kanun, Kanun Hükmündeki Kararnameler, Bakanlar Kurulu Kararı, Tüzük, Yönetmelik, HSYK kararları, Genelge ve Tebliğ takip etmektedir. Bu normların belirtilen sırayla yer aldığı piramide ise; “ Hukuk Düzeni Piramidi” denir.

Siber Güvenliğin Kanunda Yer Alması
19 Şubat 2014 günü ve 28918 sayılı Aile ve Sosyal Politikalar Bakanlığının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname ile Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun’un 106. Maddesinde, 5809Sayılı Elektronik Haberleşme Kanununa EK madde eklenmiştir. Bu ek maddeye baktığımızda Siber Güvelik Kuruluna (SGK);

Siber güvenlik ile ilgili politika, strateji ve eylem planlarını onaylamak ve ülke çapında etkin şekilde uygulanmasına yönelik gerekli kararları almak, Kritik altyapıların belirlenmesine ilişkin teklifleri karara bağlamak ve Siber güvenlikle ilgili hükümleri tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek gibi görevler yüklenmiştir.

Bu torba kanunun 102. Maddesinde ise; 5809 Sayılı Elektronik Haberleşme Kanunun 5. maddesi olan, Ulaştırma, Denizcilik ve Haberleşme Bakanlığının görev ve sorumluluklarından bahseden maddeye (h) bendi eklenmiştir. Bu bent de; Ulusal siber güvenliğin sağlanması, her türlü siber müdahale aracının ve milli çözümlerin üretilmesini ve geliştirmesini sağlamak, siber güvenlik konusunda bilinçlendirme ve farkındalık eğitimleri oluşturma gibi görevler UDHB ye verilmiştir. Ayrıca 6. Maddesinin 1. Fıkrasının (ü) bendinden sonra gelmek üzere (v) bendi eklenmiştir. Bu bent de ise; “Siber güvenlik ve internet alan adları konularında Bakanlar Kurulu, Bakanlık ve/veya Siber Güvenlik Kurulu tarafından verilen görevleri Telekomünikasyon İletişim Başkanlığı veya diğer birimleri marifetiyle yerine getirmek.” açıklaması yer almaktadır.

Yine torba kanunun 95. Maddesinde; 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’un 10. Maddesine eklenen 6. Fıkra ile; “Başkanlık(TİB), ulusal siber güvenlik faaliyetleri kapsamında, siber saldırıların tespiti ve önlenmesi konusunda, içerik, yer, erişim sağlayıcılar ve ilgili diğer kurum ve kuruluşlarla koordinasyon sağlar, gerekli tedbirlerin aldırılması konusunda faaliyet yürütür ve ihtiyaç duyulan çalışmaları yapar.” açıklaması yer almaktadır.

Kanunda yapılan bu değişiklikler, 20 Ekim 2012 tarihinde ve 28447 sayılı Resmi Gazetede yayımlanan, 2012/3842 sayılı, bakanlar kurulu tarafından alınan; ‘Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar’ın yerine geçmiş ve bu kararın yükümlülüğünü üstlenmiştir.

Siber Güvenlik Eylem Planı
Siber Güvenlik Kurulu tarafından kararlaştırılan Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı, 25/10/2013 tarihli ve 28683 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Kamu hizmet sunumlarında bilişim ve iletişim sistemlerinin her geçen gün daha yaygın olarak kullanılmasıyla birlikte belirli güvenlik zaafların da ortaya çıktığı görülüyor. Özellikle kritik öneme sahip kurum ve kuruluşlara yapılması muhtemel siber saldırıların, alınan strateji kararları ve eylem maddeleri ile birlikte, önüne geçilmesi planlanmaktadır.

Stratejik Siber Güvenlik Eylem Maddelerine baktığımızda, bu maddelerin yedi ana başlık altında toplandığını görüyoruz. Bunlar;

  1. Yasal Düzenlemelerin Yapılması

  2. Adli Süreçlere Yardımcı Olacak Çalışmaların Yürütülmesi

  3. Ulusal Siber Olaylara Müdahale Organizasyonunun Oluşturulması

  4. Ulusal Siber Güvenlik Altyapısının Güçlendirilmesi

  5. Siber Güvenlik Alanında İnsan Kaynağının Yetiştirilmesi

  6. Siber Güvenlikte Yerli Teknolojilerin Geliştirilmesi

  7. Ulusal Güvenlik Mekanizmalarının Kapsamının Genişletilmesi ’dir.
Bu ana başlıklar altında ise 29 eylem maddesi ve bu eylem maddelerine ait 95 alt eylem maddesi bulunmaktadır. Tüm bu eylemlerle ilişkili ve bu eylem maddelerinden sorumlu toplam 31 adet kurum ve kuruluş bulunmaktadır.

Eylem planında alınan kararlarla, ülke genelinde siber ortam ve bilişim sistemlerine yönelik yapılacak muhtemel saldırıların önüne geçilmesi hedeflenmiştir. Her geçen gün bilişimdeki yeniliklerle birlikte saldırı yöntemlerinin değişmesiyle farklı açıklıklar meydana gelmektedir. Bu eylem planında, bu açıklıkların minimize edilip ulusal güvenli bilgi toplumu olma yolunda hedefler konmuştur. Siber saldırıların kolay ve ucuz yapılabilmesi ve kim tarafından yapıldığının tespiti zor olduğu için, özellikle eylem maddelerinde kullanıcı farkındalığı ve eğitimi üzerinde çok durulmuştur. Ayrıca kullanıcıların siber ortamda ifade özgürlükleri, yalın ve etik olmaları desteklenmektedir.

Eylemin 4.maddesi; Ulusal Siber Olaylara Müdahale Merkezinin(USOM) kurulması ve Sektörel ve Kurumsal Siber Olaylara Müdahale Ekiplerinin(SOME) oluşturulmasıdır. Eylem maddesine dayanak olarak, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından 11 Kasım 2013 günü ve 28818 Sayılı Resmi Gazetede, Siber Olaylara Müdahale Ekiplerinin Kuruluş Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ yayınlanmıştır.

Kurulması planlanan bu ekiplerle birlikte, siber suçlara müdahalenin daha hızlı ve sistemli olması beklenmektedir. Bu ekipler, bulundukları sektör ve kurumlarda olası siber saldırılara karşı hep tetikte olacaklardır. Karşılaştıkları siber tehlikelerde ilgili kuruluşlarla irtibata geçerek ulusal koordinasyona da katkı sağlayacaklardır.

Şekil 1’de USOM ve SOME ‘ler arasındaki ilişki gösterilmektedir.

image1.png

Şekil 1: Ulusal Siber Olaylara Müdahale Organizasyonu

USOM (Ulusal Siber Olaylara Müdahale Merkezi)
USOM, ülkemizde siber güvenlik olaylarına müdahalede ulusal ve uluslararası koordinasyonun sağlanması adına kurulmuştur. İnternet aktörleri, kolluk güçleri, uluslararası kuruluşlar, araştırma merkezleri ve özel sektör arasındaki iletişim ve koordinasyon USOM vasıtasıyla gerçekleştirilecektir. Siber güvenlik olaylarına yönelik alarm, uyarı, duyuru faaliyetleri de yapacak olan USOM, kritik sektörlere yönelik siber saldırıların önlenmesinde ulusal ve uluslararası koordinasyonu sağlayacaktır.[2]

22.05.2013 Tarih ve 2013/DK-TİB/278 sayılı BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURULU KARARI ile USOM Görevleri, Çalışma Usul ve Esasları belirlenmiştir. USOM, Telekomünikasyon İletişim Başkanlığı (TİB) altında kurulmuştur. Şu anda çok büyük bir yapıya sahip olmasa da, Kurumsal ve Sektörel SOME'lerin kurulmasıyla birlikte 7/24 işleyen ve ulusal siber güvenlik koordinasyonunu sağlayan bir kurum haline gelecektir. Şekil 1 ‘den de anlaşılacağı üzere herhangi bir siber olay ile karşılaşılması halinde tüm kurumlar USOM ‘a bilgi ve haber vermekle yükümlüdürler. USOM ise kurumlardan gelen bu bilgiler ışığında, saldırılara karşı öncelikli olarak gerekli önlemleri alıp, daha sonrasında ise irtibat halinde olduğu kuruluşları geri bildirimle yükümlüdür. Ulusal ve uluslararası paydaşlardan alınan istihbari bilgiler doğrultusunda ise çeşitli önlemler almakla sorumludur. Siber olaylarla ilgili uluslararası bir konu olduğunda, diğer ülkelere ait eşdeğer bir kurum ya da uluslararası kuruluşlarla işbirliği USOM tarafından yerine getirilir.

Sektörel SOME
2009 yılında İran’da meydana gelen Stuxnet olayı ile birlikte, dünya genelinde kritik sektörlere karşı yapılması muhtemel siber saldırıların önemi artmıştır. Kurulacak Sektörel SOMEler ise Türkiye’deki kritik sektörlerin siber güvenliğinin sağlanmasından sorumludur. Siber Güvenlik Kurulu tarafından ülkemize ait kritik sektörler; Enerji, Elektronik Haberleşme, Finans, Ulaşım, Su Yönetimi ve Kritik Kamu Hizmetleri olarak belirlenmiştir. Sektörel SOMEler kritik sektörlere ait düzenleyici ve denetleyici kuruluşlar varsa bu kuruluşların altında, eğer yoksa ilgili bakanlık bünyesinde kurulacaktır.

Sektörel SOMEler devamlı USOM ile iletişim halindedir ve çift taraflı bir bilgi akışı vardır. USOM tarafından iletilen uyarı, alarm ve duyuruları ilgili oldukları SOMElere ileterek gerekli tedbirleri alırlar. Aynı zamanda Kurumsal SOMElerde yaşanan olayları raporlayarak en hızlı biçimde USOM’ a iletirler. Müdahale esnasında suç niteliğinde bir bulgu ile karşılaşılırsa gecikmeksizin kanunen yetkili birimlere haber verirler. Sektörel SOMElerin bir diğer sorumluluğu ise; sektörlerinde farkındalık eğitimleri vermek ve siber güvenlik kabiliyeti yüksek bireyler oluşturmaktır.

Kurumsal SOME
Muhtemel siber tehdit ve olaylara karşı ilgili kurumun korunması ve ulusal koordinasyonu sağlamak amaçlı olarak bakanlıklara bağlı kurum ve kuruluşlarda Kurumsal SOME'lerin kurulması planlanmaktadır. Bakanlıklar da kritiklik derecelerine göre kendi bünyelerinde Kurumsal SOME kurabileceklerdir. Ayrıca diğer tüm kamu kurum ve kuruluşları da kendi SOME lerini kurabileceklerdir. Şekil 1 de görüldüğü üzere iki farkı şekilde Kurumsal SOMEler olacaktır. Bunlardan ilki; Sektörel SOME’ye bağlı kurulacak olanlar, diğeri ise; bakanlıklar ve bilgi işleme sahip tüm kamu kuruluşları bünyesinde kurulması hedeflenenlerdir.

Kurumsal SOME'ler kurumların bilişim sistemlerine destekte bulunup, güvenlik adına alınması gereken önlemler için öneriler sunarlar. USOM ve Sektörel SOME den gelen bilgiler doğrultusunda kurumlarda gerekli tedbirleri alırlar. Çözülmesi güç bir siber olayla karşılaşmaları durumunda varsa Sektörel SOME'lerine yoksa direkt USOM’ a bilgi verirler. Eğer suç unsuru bir bulguya rastlamaları durumunda direkt kanunen yetkili makama bildirirler.[3]

Sonuç ve Öneriler
Her geçen gün bilişim ve bilgi sistemlerinin daha yaygın kullanılmasıyla beraber, siber saldırılar büyük bir tehlike haline gelmiştir. Ulusal siber güvenliğin sağlanması için planlanan USOM ve SOME'ler sistemine baktığımızda, USOM’un rolü önemli ve kritiktir. Tüm Sektörel ve Kurumsal SOMEler siber olay bildirimlerini, teknik destek yardımını ve gerekli eğitim ihtiyaçlarını USOM’dan talep edecektir. Ayrıca USOM ulusal siber güvenlik koordinasyonunu sağlamaktan sorumlu kuruluştur. Bu görevler ışığında BTK‘nın yayınlamış olduğu USOM’ un çalışma usul ve esasları yeterli değildir. Bu usul ve esasların USOM’ un yetkilerini arttıracak şekilde yeniden hazırlanmalı ve resmi gazetede mevzuat normunda yayınlanmalıdır.

Sektörel ve Kurumsal SOME rehberleri hazırlanırken mevcut bulunan “Siber Olaylara Müdahale Ekiplerinin Kuruluş Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ” ‘in yeterli olmadığı görülmektedir. Örneğin, USOM ile SOMEler veya Sektörel SOME ile Kurumsal SOME arasındaki bilgi iletişiminin nasıl olması gerektiği ya da hangi ölçülerde bilgi paylaşılması gerektiği bulunmamaktadır. Bu ve benzeri eksikliklerden ötürü tebliğin geliştirilip tekrardan yayınlanması ile rehberlerin güncellenmesi gerekmektedir.

2013-2014 Siber Güvenlik Eylem Planının 2. Eylem maddesi olan; ‘siber güvenlik konusunda mevzuat çalışmasının yapılması’ na dair Adalet Bakanlığı kanun tasarısı hazırlamıştır. Bu tasarı 3. Siber Güvenlik Kurulu toplantısında görüşülmüş fakat karara bağlanmamıştır. Kanun tasarısının kabul edilmesiyle siber güvenlik kapsamında yapılacak çalışmaların ivmesi ve hassasiyeti artacaktır. Bu yüzden bir sonraki SGK toplantısında kanun tasarısındaki eksiklikler giderilerek kabul edilmesi beklenmektedir.
 

Online ISO Standart Eğitimleri

Geri
Üst