‘Bilgi ve İletişim Güvenliği Rehberi’ alanında ilk resmi ve özgün doküman

BThaber’in 3 Mart tarihinde düzenlediği ‘Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi’ dijital etkinliğinin açılış konuşmasını Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanı Dr. Ali Taha Koç gerçekleştirdi. Rehberin canlı bir kılavuz halinde ve hep yeni gündemleri olacağına dikkat çeken Koç, denetim sürecinin detaylandırılmasına yönelik de bir ‘Denetim Rehberi’ hazırlığının devam ettiği bilgisini verdi.

Dr. Ali Taha Koç, ‘Bilgi ve İletişim Güvenliği Rehberi Tanıtımı ve Veri Mahremiyeti’ başlıklı konuşmasına; “Dünyada son 2 senede üretilen veri miktarının, insanlığın başlangıcından itibaren üretilmiş veriden daha fazla olduğunun farkında mıyız?” sorusunu yönelterek başladı ve “Günümüz dünyasında devletlerin gücü de veriden anlamlı çıkarımlar yapabildikleri ölçüde artıyor. Koruyamadığınız veriler kolaylıkla size karşı kullanılan bir silaha dönüşebilme potansiyeline sahip. Giderek artan dijitalleşmeyle birlikte, mevcut veritabanı araçlarıyla yönetmenin imkânsız olduğu, çok farklı kaynaklardan çeşitli formatlarda ve yüksek hızlarda akan, büyük hacimli veriler çağında yaşıyoruz. Veri mahremiyetine çok önem vermemiz ve dijital altyapılarımızı korumamız elzem” değerlendirmesini yaptı. “Verinin büyümesi riskin de büyümesi demek” ifadesini kullanan Koç, “Son 25 yıllık süreçte siber tehditlerin doğası da akıl almaz ölçüde değişmiş durumda. Her geçen yıl şiddetini artıran siber saldırılar günümüzde devletler düzeyinde gerçekleşmeye, daha sık, yıkıcı ve hedef odaklı olmaya başladı. Kritik altyapı, sistem ve hizmetlerin kısmen ya da tamamen devre dışı bırakılması, ülkelerin milli güvenliğini tehlikeye sokma potansiyeli taşımakta. Sosyal medya ve iletişim araçları üzerinden yayılan sahte veya manipüle edilmiş bilgi ve belgeler, toplumsal olayların tetiklenmesine ve kamu düzenini bozabilecek olaylara sebep olabilmekte. Hızla artan siber tehditlere karşı vatandaşlarımızın, kurumlarımızın ve dijital altyapılarımızın korunmasına her zamankinden daha fazla ihtiyaç duyulmakta” dedi.

Rehber; ‘2020-2023 Ulusal Siber Güvenlik Strateji ve Eylem Planı’nın bir eylem adımı

“Siber güvenlikte yeterli olgunluğa erişmenin en önemli bileşenleri olan; insan, teknoloji, organizasyon yapısı, yasal düzenleme, ulusal ve uluslararası iş birliği boyutlarının her birinde atılacak doğru ve bilinçli adımlarla yıkıcı etkilerden uzak durmak mümkün” şeklinde konuşan Koç, şunları kaydetti: “Son yıllarda artan siber tehditler, ülkeleri dijital altyapılarının korunmasıyla ilgili yeni tedbirler almaya, politika ve stratejilerini yeni ve bütüncül bir bakış açısıyla yeniden değerlendirmeye sevk etti. Bu amaçla Ulaştırma ve Altyapı Bakanlığımız ile Dijital Dönüşüm Ofisimiz öncülüğünde yeni ‘Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’ hazırlanarak yayımlandı. İlgili tüm kurumların katkılarıyla, 8 stratejik amaca yönelik yapılması gereken 40 adet eylem ve 75 adet uygulama adımı belirlendi. 2020-2023 dönemini kapsayan ‘Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nda belirlenen faaliyetlerin hayata geçirilmesiyle hem ülke çapında dijital altyapılarımıza gelebilecek siber saldırılara karşı mukavemetimizi artıracağız hem de uluslararası siber güvenlik endeksindeki seviyemizi yükselteceğiz. Diğer yandan 2019 yılında yayımlanan Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesindeki görev kapsamında Başkanlığımız koordinasyonunda başlattığımız Rehber hazırlık süreci de tamamlandı ve 27 Temmuz 2020 tarihinde web sitemizden yayımlanarak erişime sunuldu. Aynı zamanda ‘2020-2023 Siber Güvenlik Strateji ve Eylem Planı’nın bir eylem adımı olan Rehber ülkemizin bilgi güvenliği seviyesini artırmak ve veri mahremiyetini sağlamak için önemli bir adım oldu. Alanında ülke çapında referans alınacak ilk resmi ve özgün doküman olan Rehberin sürekli geliştirilerek uzun vadede ülkemizin bilgi ve iletişim güvenliğinin sağlanmasına kılavuzluk etmesini hedefliyoruz.”

Siber saldırılara karşı mukavemetimiz artacak, mükerrer yatırımlar önlenecek

Koç, Rehberin oluşturmasındaki temel amaçları şöyle sıraladı: “Bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması, milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve uygulanması.” “Rehber; devlet teşkilatı içerisinde yer alan kurumlar ve kritik altyapı hizmeti veren işletmelerden müstakil bir bilgi işlem birimi barındıranları veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alanları kapsamakta” ifadesini kullanan Dr. Ali Taha Koç, ‘Bilgi ve İletişim Güvenliği Rehberi’nin sağlayacağı kazanımları da şu şekilde vurguladı: “Siber saldırılara karşı mukavemetimizin artırılması, veri mahremiyeti kültürünün oluşturulması, milli güvenliğe ve kamu düzenine yönelik kritik verilerin güvenliğinin sağlanması, bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, kritik altyapı ve sistemlerimizin sürdürülebilirliğine katkı sağlanması, yerli milli siber güvenlik ürün ve çözümlerinin kullanımının artırılması, mükerrer yatırımların önlenmesi, bilgi güvenliği ve siber güvenlikte ülke seviyesinin uluslararası arenada yükselmesi, ülkemizin verisinin ülkemizde kalması.”

Uyum süreci ve güncellemede kamudaki yöneticilerimize önemli sorumluluklar düşüyor

“‘Bilgi ve İletişim Güvenliği Rehberi’nin içeriğinde dijital altyapılara yönelik özgün bir kritiklik derecelendirme metodolojisi ve bu derecelendirmeye göre seviyelendirilmiş güvenlik tedbirleri de yer almakta. Bu çerçevede kullanılan metodoloji, sistemlerin ve altyapıların sekiz boyutlu bir analizini içerir. İşlenen verilerle ilgili boyutlar; gizlilik, bütünlük ve erişilebilirlik üzerine odaklanır ve etkiyle ilgili boyutlar, bağımlı sistemleri, kurumsal sonuçları, sektörel etkiyi, sosyal sonuçları ve bir siber saldırı durumunda etkilenen tahmini kişi sayısını değerlendirir” açıklamasını yapan Koç, konuşmasını şöyle sürdürdü: “Rehberde tüm paydaşların görüşleri alınarak 24 aylık uyum planına, 15 tedbir alanı ve 62 tedbir ana başlığı altında sınıflandırılmış olan toplam 659 adet tedbire ve bu tedbirlere ilişkin denetim maddelerine yer verildi. Rehber; Creative Commons Atıf 4.0 Uluslararası lisansıyla lisanslandı ve bu sayede uygun biçimde atıf yapılmak koşuluyla özgürce kullanımı ve paylaşımı mümkün kılındı. Hedeflenen kazanımların elde edilebilmesi kapsam dâhilindeki kurum ve kuruluşlarda Rehber uyum sürecinin etkin bir şekilde denetimi ve takibi ile mümkün olacak. Bu amaçla denetim sürecinin detaylandırılmasına yönelik de bir ‘Denetim Rehberi’ hazırlığımız devam ediyor. Bu kapsamda gerek Rehbere uyum süreci gerekse ikincil mevzuatların güncellenmesi gibi konularda kamudaki yöneticilerimize önemli sorumluluklar düştüğünü de belirtmek istiyorum. Rehberde tanımlanan tedbirleri uygulamak, ülkemizi olası siber güvenlik tehditlerine karşı hazırlıklı hale getirecek ve tehdit düzeyini kontrol altında tutmamıza yardımcı olacak.” Dr. Ali Taha Koç, “Teknolojiye yön veren bir ülke olma yolunda, ‘Dijital Türkiye’ ve ‘Milli Teknoloji Hamlesi’ vizyonu doğrultusunda birçok alanda olduğu gibi siber güvenlik alanında da uluslararası seviyede ülkemizin öncü konumunu daha da ileriye taşıyacağız ve siber tehditlerle mücadeleye kararlılıkla devam edeceğiz” ifadesini kullanarak şunları kaydetti: “Küresel bir güç olmanın gereği olarak Mavi vatandaki egemenlik haklarımızı nasıl koruyorsak, siber uzaydaki gücümüzle de siber vatandaki egemenlik haklarımızı muhafaza edeceğiz. Gerek pandemi süreci gerekse ülke olarak karşılaştığımız tek taraflı ve haksız yaptırımlar ise milli siber güvenlik teknolojisi geliştirmenin önemini bir kez daha ortaya çıkardı. Bu alanda güçlü ve caydırıcı olmak, doğru politika ve stratejiler belirlemekle ve yeni nesil milli teknolojiler geliştirmekle ve Rehberde de altını çizdiğimiz gibi bu teknolojileri yaygın olarak kullanmakla mümkündür. Bu Rehber canlı bir kılavuz halinde ve hep yeni gündemler olacak. Diğer yandan Rehber, tüm dünyanın kullanımına açılmış durumda.”

Rehberden birçok ülke yararlanıyor ve kendi referans dokümanlarında gösteriyor

‘Bilgi ve İletişim Güvenliği Rehberi’ etkinliğinde; ‘Bilgi ve İletişim Güvenliğinin Ulusal Kapsamda Önemi’ başlıklı bir panel düzenlendi. Moderatörlüğünü BTHABER Şirketler Grubu Başkanı Murat Göçe’nin yaptığı panele; Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Siber Güvenlik Dairesi Başkanlığı Birim Müdürü Salih Talay, Aruba Ülke Müdürü Ersin Uyar, Oracle Teknoloji Çözüm ve Bulut Mühendisliği Kıdemli Direktörü Sedat Zencirci, Barikat Satış Direktörü Sine Kumrulu katıldı. Rehberin alanında ilk özgün referans olduğunun altını çizen Talay, “Rehberde çok ipucu bulunduğuna dair sadece kamudan değil, bireysel anlamda da ciddi olumlu geri dönüşler aldık. Rehber; başucu referans kitabı olarak karşımıza çıkmaka. Diğer yandan Rehber birçok dile çevrildi. Birçok ülke yararlanıyor ve kendi referans dokümanlarında gösteriyor” dedi. Taslak sürüm hazırlandıktan sonra 5 günlük bir çalıştay gerçekleştirildiğine dikkat çeken Talay, taslağın değerlendirildiğini ‘Biz yaptık, oldu’ yaklaşımıyla hareket edilmediğini, toplumsal uzlaşıyla yola çıktıklarını vurguladı. Zencirci, güvenlik deyince veri gizliliğinin yanında verinin bütünlüğünün ve erişilebilirliğinin de güvenlik sorunu olduğunun altını çizerek “Güvenlik, güvenilirlik ve performans çok önemli” ifadesini kullandı. Kumrulu, yapay zekânın hem saldırı hem de savunma tarafında kullanılan bir yöntem olduğunu kaydederek “Eskiden sadece altyapıları koruyorduk. Yeni dönemde verileri korumamız gerekiyor. Gelecek saldırılarının sofistike, BT tarafında hedef odaklı saldırılar olacağını düşünüyoruz. IoT tarafındaki saldırılar yükselecek” değerlendirmesinde bulundu. Uyar, otoritenin önemine değinerek “Ki burada Dijital Dönüşüm Ofisi otorite. Rehber baz alındığı taktirde ciddi anlamda ağlar ve ekipmanlar korunmuş olacak” dedi.

Rehbere uymamanın maliyeti maruz kalınacak siber saldırılardır

‘Bilgi ve İletişim Güvenliği Eğitim Rehberi’ni de çıkaracaklarını söyleyen Salih Talay, “Rehber, kapsam dahilindeki kurum ve kuruluşlar için zorunlu. Zaten Rehbere uymamanın maliyeti maruz kalınacak siber saldırılardır. Denetleyicileri 2021 ortasında yayımlayacağımız ‘Denetim Rehberi’nde detaylandıracağız. Kamu kurum kuruluşlarında iç denetim birimleri sorumlu olacak. ‘Denetim Rehberi’ne özel denetimlerin şeffaf yürütülmesi için TSE ile birlikte standart çalışması başlattık. Dijital Dönüşüm Ofisi doğrudan da kurumları denetleme hakkına sahip” açıklamasını yaptı. Sedat Zencirci, Rehberin çok önemli olduğunun altını çizerek “Umarım uygulanabilirliği konusunda da, denetimlerinde de bu şekilde olur. Rehberin içeriği gibi uygulaması da muhteşem olursa kamu kurumları kadar özel sektör için de çok faydalı olacak” şeklinde konuştu. Sine Kumrulu da Rehberin önemine dikkat çekerek şunları vurguladı: “Ülkemiz için böyle bir Rehberin gerekliliğini dile getiriyorduk. Devlet eliyle regülatif bir çalışma, kamu kurum kuruluşlarında ciddi farkındalık yarattı. Sahada gördüğümüz en büyük problemlerden biri; kurumların siber güvenlik yol haritası olmaması, nereden başlayacaklarını bilememeleriydi. Rehber; bu soru işaretleri, siber güvenlik olgunluk seviyesi açısından çok önemli oldu.” “İlk okuduğumuzda kendi ekosistemimizle paylaşmalıyız dedik” ifadesini kullanan Ersin Uyar, “Özel sektör ya da kamu herkes bu Rehberin farkında olmalı. Güvenlik; bir süreçtir. Bunun sağlıklı yürümesi için elimizden gelen desteği vereceğiz” açıklamasını yaptı.

Yeni sürümler ‘Dijital Rehber Platformu’nda takip edilebilecek

Şu anda Rehberin ilk sürümünde olduğunu belirten Talay, “Amacımız; yaşayan, canlı bir Rehber oluşturmak. Yeni sürümler ‘Dijital Rehber Platformu’nda takip edilebilecek. Bakanlıkların da Rehbere içerik katkıları olacak. ‘Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’ ile ‘Bilgi ve İletişim Güvenliği Rehberi’nin kapsamları ve içerikleri birbirini tamamlayıcı. Yerli milli ekosistem de, küresel ekosistem de hazır olmalı. Rehber, ekosistemin hazırlanmasında da itici güç oldu” şeklinde konuştu. “Rehber de bilgi güvenliğinin en zayıf halkasının insan olduğunu kaydediyor” ifadesini kullanan Zencirci, “Güven ve güvenlik yan yana gelmez. Yeter ki güvenli bir Türkiye altyapısı kuralım; bu bir hedeftir. Tüm paydaşlar desteklemeli. Yeter ki kuruluşlarımızı Rehbere uyumlu hale getirelim” dedi. Kumrulu, Rehberin yurt dışında referans olmasının çok gurur verici olduğuna dikkat çekerek kurumlar tarafında büyük bir boşluğu doldurduğunu vurguladı. ‘Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi’ etkinliğini; Aruba a Hewlett Packard Enterprise Company, Oracle Türkiye ve Barikat destekledi.