Siber güvenlik bilinci: Avrupa Birliği ve Türkiye

*Mustafa Gayır
 
Birçok sistemin internete bağlı olduğu günümüzde, siber güvenlik kavramı, kişiler, kurumlar ve ülkeler için hayati bir öneme sahiptir. Aynı zamanda siber güvenli kavramı, çok hızlı bir şekilde gelişen teknolojik kavramlara paralel olarak aynı hızda ilerleyiş göstermektedir. Üzerinde durduğumuz siber güvenlik kavramının, günümüzde ve gelecekte, ulusal devlet güçlerinin politikalarının vazgeçilmez ve en belirleyici unsuru olacağı öngörülmektedir.
Ülkelerin bilişim teknolojilerine ve özellikle internete olan bağımlılıkları her geçen gün artmaktadır. Bugüne baktığımızda internet üzerinde 294 milyar e-posta mesajı gönderildiği tahmin edilmektedir. Youtube platformuna günlük 864.000 saatlik video yüklenmekte, Netflix kullanıcıları bir günde 22 milyon saat TV veya film seyretmektedirler. Dünya nüfusunun yaklaşık üçte ikisinin internet bağlantısı bulunmakta ve yine dünya nüfusunun yüzde 20’sinin sosyal ağlara üyelikleri bulunmaktadır. Aynı zamanda günümüz teknolojileri içerisinde en yaygın kullanım alanına sahip cep telefonları, dünya nüfusunun yüzde 85’i tarafından kullanılmakta ve bunların yüzde 15’i cep telefonlarıyla alışveriş yapmaktadırlar. Aslında bu rakamlar bizlere, bilişim teknolojilerine olan bağımlılığın ne derece arttığını göstermektedir. Günümüzdeki bilişim teknolojilerinin hızlı gelişimi, hepimizin hayatı kolaylaştırma adına sağladıkları imkânların yanında, güvenlik boyutunda da yeni kaygıların gelişmesine sebep olmuştur. Artık bu yeni ve küreselleşen dünyada, fiziksel temasa gerek duymadan hırsızlık, dolandırıcılık gibi suç fiilleri kolayca işlenir hale gelmiştir. Bunun yanında bilişim teknolojileri suç gruplarının veya terör örgütlerinin iletişim becerilerini artırmış, propaganda imkânlarını güçlendirmiş ve yeni faaliyet sahalarının ortaya çıkmasını sağlamıştır. İnternetin dünya çapında yaygınlık kazanması ile mekân kavramı bir anlamda ortadan kalkmış, kıtalararası iletişim ve bilgi aktarımı bir tuşa basmaktan ibaret hale gelmiştir. Teknolojideki bu gelişmelerden toplumlar pozitif anlamda yararlandıkları gibi, organize suç örgütleri ve terör örgütleri de gelişen bu teknolojiyi yakından takip ederek, hem kazançlarını katlamakta hem de geleneksel suç türlerinin dışında yeni suç türleri geliştirmektedirler.
 
 
Suçların çok çeşitli olması, suçların sınıflandırılmasını da güçleştiriyor
 
 
Devletlerin iç güvenliğini tehdit eden ve hedefine ulaşmada hiçbir sınır tanımayan suç örgütleri, her gün gelişen bilgisayar teknolojileri yardımıyla tahminlerin ötesinde bir hareket kabiliyeti kazanarak uluslararası suç trafiğine yeni bir boyut kazandırmıştır. Bundan dolayı, bilgisayarların büyük gelişimi ve yaygın kullanımı, hiç şüphesiz, toplum hayatının yönünü değiştirmektedir. İnternet ortamında işlenen suçların çok çeşitli olması, suçların sınıflandırılmasını da güçleştirmektedir. Böylece küreselleşme olgusu ile mekân – zaman kavramı ortadan kalkmaya başlamış, bununla birlikte geleneksel suç ve terör kavramlarında da değişimler olmuştur.
 
Küreselleşen ve her gün değişen günümüz dünya düzeni içerisinde uluslararası aktörler, bu gelişmeleri yakından takip etmekte ve Avrupa Birliği’nde olduğu gibi siber güvenlik, bilgi toplumunun önemli bir bileşeni olarak ele alınmaktadır. Siber güvenlik kavramı içerisinde şebeke güvenliği, elektronik ticaret, kişisel verilerin korunması, fikri haklar gibi konulara ilişkin araştırma, geliştirme ve düzenleme faaliyetleri yürütülmektedir. Avrupa Birliği bir yandan bilgi iletişim teknolojilerinin gelişimini destekleyici araştırma ve geliştirme projeleri yürüterek, bir yandan da Avrupa Birliği vatandaşlarının söz konusu teknolojilerden mümkün olduğunca yararlanmalarını sağlamak amacıyla kişisel verilerin korunması ve şebeke güvenliği gibi hususlarda tavsiye kararlar ve direktifler oluşturarak bilgi toplumuna dönüşüme katkıda bulunmaktadır. Avrupa Şebeke ve Bilgi Güvenliği Ajansı (European Network and Information Security Agency – ENISA) 10 Mart 2004 tarihli düzenleme ile kurulmuştur. Avrupa Birliği’nin işleyen ortak bir siber strateji üretmek ve siber güvenlik anlamında başlattığı belki de en somut girişim olarak ENISA’yı görebiliriz. Bu anlamda Avrupa Birliği üyesi ülkeler arasındaki işbirliğini arttırma ve olası bir siber kriz anında karmaşanın önlenmesi adına 2010 yılından bu yana her sene düzenlenen “Cyber Europe” tatbikatının hayata geçirilmesi de iddialı bir uygulama olarak öne çıkmaktadır.
 
İkinci Dünya Savaşı’nın Avrupa’da yarattığı yıkım, bu acı tecrübenin bir daha yaşanmamasını sağlamak için ülkelerin işbirliğine gitmesine yol açmıştır. Bunun için atılan ilk adım Fransa, Batı Almanya, İtalya, Belçika, Hollanda ve Lüksemburg’un 1951’de imzaladıkları Paris Antlaşması ile kurdukları Avrupa Kömür ve Çelik Topluluğu olurken, 1957’de aynı ülkeler Avrupa Ekonomik Topluluğu ve Avrupa Atom Enerjisi Topluluğu’nu kuran Roma Antlaşması’na imza atmışlardır. Bu ekonomik bütünleşme hareketi zamanla son derece önemli bir yapı haline dönüşmüştür. Avrupa Birliği, bilgi güvenliği politikalarının ana hedefi olarak, ekonomi alanında bilgi ve iletişim teknolojilerinin kullanım etkinliğini artırabilmek için gerekli güvenlik önlemlerinin belirli bir standart çerçevesinde sağlanması, temel hak ve özgürlüğün korunması ve bireylerin çevrimiçi ticarete karşı güven kazanmaları sağlanarak bireyin refahının artması ve ticari genişlemeye katkı sağlamak olarak belirlemiştir. AB’de bu hedefe ulaşmak için, uluslararası sözleşmeler ve direktiflerin temel araçlar olarak kullanıldığı görülmektedir.  Uluslararası sözleşmelerle; uluslararası bilişim suçlarının büyük bölümünü düzenleyerek, AB sınırlarının da ötesinde bir güvenlik şemsiyesi oluşturulması hedeflenmektedir.  Veri koruma direktifleriyle de; “Avrupa Ekonomik Alanı” içerisinde bulunan tüm kurum ve bireylerin verilerinin en üst seviyede korunmasına çalışılmaktadır. 
 
Bilgi ve iletişim teknolojilerindeki hızlı gelişim, mevcutta yapılmış veri koruma direktifinin yerini alacak güncel bir direktif için hazırlıkların başlamasına neden olmuştur. AB bilgi güvenliği politikalarında; bireysel hakları koruyan yasal düzenlemelerle yeni bilgi ve iletişim teknolojilerinin kullanımını yaygınlaştırmak ve çevrimiçi ekonomiyi canlandırarak rekabetçi bir ortak pazarın oluşumunu hızlandırmak öncelikli hedef olarak görülmeye başlanmıştır. AB bilgi güvenliği politikalarının belirlenen hedefler çerçevesinde; bilgi kaynakları, bilgi sistem altyapısı, bilgi sistemleri ve bilgi hizmetlerinin tümünü kapsayacak şekilde çok yönlü olarak oluşturulduğu görülmektedir.  Özellikle son 20 yıl içerisinde uygulanan bilgi güvenliği politikaları, her ne kadar yeterli seviyede olmasa da dünyanın diğer bölgeleri ile kıyaslandığında; bireysel hakların ve mahremiyetin korunması konusunda AB sınırları içindeki bireyleri ayrıcalıklı bir noktaya taşımış olduğu görülmektedir.
Avrupa Birliği üyelik sürecinde olan; gelecek on yıl içerisinde dünyanın en büyük on ekonomisi içerisinde yer alma hedefi olan; bulunduğu jeostratejik ve jeopolitik konum itibariyle dünya siyasetinde kritik bir öneme sahip olan ülkemizde de ulusal bilgilerin güvenliğinin sağlanması hayati öneme sahiptir.  Ulusal bilgi güvenliğinin ve aynı zamanda ulusal siber güvenliğin sağlanması; bireyler, kurum ve kuruluşlar ile ulusal güvenliği sağlayacak şekilde stratejik seviyede planlama ve söz konusu planın sağlıklı uygulaması ile Türkiye’de Avrupa’da olduğu gibi sağlam bir siber güvenlik alt yapısı gerçekleştirilmek istenmektedir.
Siber güvenlik, bilişim teknolojilerinin yaygınlaşması ve internet kullanımının artmasıyla beraber ulusal güvenlik stratejilerinde yer almaya başlamasından sonra bu kapsamda başta gelişmiş ülkeler olmak üzere pek çok ülke ve NATO, AB gibi uluslararası kuruluşlar siber güvenlik stratejileri üretmiştir. Ülkemizde bilgi teknoloji sistemleri kullanımının hızla yaygınlaşması pozitif faydalar sağladığı gibi güvenlik, bilişim suçları ve gizli bilgilerin ihlali gibi birçok tehlikeyi de Avrupa’da olduğu gibi beraberinde getirmiştir. BT sistemlerinin kamu kurum ve kuruluşlarının yanında kritik altyapı sektöründe de kullanılması bu konunun güvenlik açısından önemini daha da artırmaktadır. Kritik altyapıların maruz kalabileceği herhangi bir siber saldırının; ülke çapında önemli derecede maddi zarara, can kaybına, ulusal güvenliğin sarsılmasına ve kamu işleyiş düzeninin zedelenmesine sebep olabileceği gerçeği de diğer tüm gelişmiş ülkeler de olduğu gibi bizim içinde ulusal güvenliğimiz açısından tehdit oluşturabilecek önemli bir faktörüdür.
Siber ortamda meydana gelen her türlü siber saldırı girişiminin, kimin tarafından yapıldığının bulunması ya da saldırıyı düzenleyen kişi/kişilerin kimlik tespitinin net bir şekilde yapılmasının zor hatta imkânsıza yakın olduğu bilinen bir gerçektir. Özellikle kritik altyapıların güvenliğine ilişkin yapılan siber saldırıların kaynağının tespit edilmesi oldukça zordur. Bu durum siber saldırılardan doğan risk ve tehditlerin, önceden alınacak önemlerle engellenmesinin ve en az zararla atlatılması için yapılacak düzenlemelerin önemini arttırmaktadır.
 
Türkiye’nin siber güvenlik yaklaşımı
 
 
Avrupa Birliği üyelik sürecindeki Türkiye, birçok gelişmiş ülke ve Avrupa’daki gelişmeleri takip etmektedir. Bakanlar Kurulu’nun 11 Haziran 2012 tarihli ve 2012/3842 sayılı ”Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Kararı” 20 Ekim 2012 tarihinde 28447 sayılı resmi gazetede yayınlanmıştır. İlgili bakanlar kurulu kararınca; Siber güvenlikle ilgili olarak alınacak önlemleri belirlemek, hazırlanan plan program rapor usul esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla Ulaştırma, Denizcilik ve Haberleşme Bakanı’nın başkanlığında Siber Güvenlik Kurulu kurulmuştur.
Ülkemizde siber güvenlik stratejisi çalışmalarının çok fazla bir geçmişi bulunmamaktadır. Siber güvenliğin sağlanması açısından ülkemiz adına göze çarpan önemli faaliyetlerin başında bu alanı düzenleyen bazı kanunların kabulü gelmektedir. 2004 yılında kabul edilen 5070 sayılı Elektronik İmza Kanunu, 2008 yılında kabul edilen haberleşme sektörünü düzenlemeyi hedefleyen Elektronik Haberleşme Güvenliği Yönetmeliği, siber güvenliğin tesisine yönelik yapılan düzenlemelerin ilkleri olarak sayılabilmektedir. Bunların yanında 2006 yılında 28242 sayılı Resmi Gazete’de yayınlanan 2006/38 sayılı Yüksek Planlama Kurulu Kararında bulunan Bilgi Toplumu Stratejisi ve Eki Eylem Planında “Güvenlik ve Kişisel Bilgilerin Mahremiyeti” başlığı altında iki eylem sayılmıştır. Bunların ilki, bilgi güvenliğine ilişkin yasal düzenlemelerin yapılmasını; ikincisi, bilgisayar olaylarına acil müdahale merkezinin kurulmasını ve kamu kurumlarının bilişim güvenliğinin sağlanmasına yönelik faaliyetleri planlamaktadır. Bu kapsamda, Bilgisayar Olaylarına Müdahale Ekibi (TR-BOME) olarak faaliyet göstermesi kararlaştırılan ekip, TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi (BİLGEM) bünyesinde kurulmuş ve faaliyete geçirilmiştir. Siber güvenliğe ilişkin olarak makro düzeyde yapılmış olan adımlara baktığımızda ise bunun en somut örneği olarak 2012/3842 sayılı “Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar” başlıklı Bakanlar Kurulu Kararı olduğunu görmekteyiz. Bu karar da en çok göze çarpan ve dikkat çeken husus ise siber güvenlikle ilgili alınacak kararları belirlemek, hazırlanan plan, program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla bir Siber Güvenlik Kurulu’nun kurulması olmuştur. Bu kurul,  Ulaştırma, Denizcilik ve Haberleşme Bakanlığı başkanlığında faaliyet gösterirken, Dışişleri, İçişleri, Milli Savunma, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı müsteşarları, Kamu Düzeni ve Güvenliği Müsteşarlığı, Milli İstihbarat Teşkilatı Müsteşarı, Genelkurmay Başkanlığı Muhabere Elektronik ve Bilgi Sistemleri Başkanı, Bilgi Teknolojileri ve İletişim Kurumu Başkanı, TÜBİTAK Başkanı, Mali Suçları Araştırma Kurulu Başkanı, Telekomünikasyon İletişim Başkanı ile Ulaştırma, Denizcilik ve Haberleşme Bakanınca belirlenecek bakanlık ve kamu kurumlarının üst düzey yöneticilerinden oluşmaktadır. Oluşturulan bu kurulun görevleri içerisinde, “ulusal bilgi teknolojileri, iletişim altyapısı ve sistemleri ile veri tabanlarının güvenliğini sağlamak, kritik altyapıları belirleyerek bunlara yönelik siber tehdit ve saldırı izlemek, müdahale ve önleme sistemlerini oluşturmak, oluşturulan bu sistemlerin denetimi, işletimi ve sürekli güçlendirilmesine yönelik” çalışmalar en önemliler olarak öne çıkmaktadır. Bu kapsamda Ulusal Siber Olaylara Müdahale Merkezi (USOM) adı verilen bir yapı kurulmuştur. USOM, ulusal ve uluslararası seviyede siber ortamda ortaya çıkan tehditler ile ilgili kendisine ulaştırılan ihbarları da değerlendirerek, söz konusu tehditlerin tespit ve bertaraf edilmesi için Kamu Kurumları ve özel kişiler ile koordinasyonunu sağlamaktadır. Bu itibarla gelen ihbar ilk aşamadan başlanarak, çözüm sürecine kadar takip edilerek değerlendirilmektedir. Diğer taraftan ulusal ve uluslararası siber güvenlik tatbikatları düzenlenerek kamu kurum ve kuruluşlarının siber saldırılara karşı farkındalığının ve hazırlığının arttırılması faaliyetleri ile bilinçlendirme ve yönlendirme faaliyetleri hâlihazırda devam etmektedir.
 
 
Risklerimiz giderek büyüyor
 
 
Ülke olarak bilişim altyapılarına ve internete olan bağımlılığımız her geçen gün artmakta ve buna bağlı olarak siber alanda taşıdığımız risklerimiz de giderek büyümektedir. Siber tehdidi doğru ölçebilmek ve strateji geliştirebilmek için öncelikle gözlem, takip, analiz ve tahmin kapasitesi olan birimlere ihtiyaç olduğu görülmektedir. Siber güvenliğin sadece internet güvenliğini değil tüm iletişim altyapılarını kapsayan geniş bir kavram olması nedeniyle sonraki adım olarak çok sektörlü bir yaklaşımla ulusal siber güvenlik politikasının belirlenmesi gerekmektedir. Avrupa ülkelerinde olduğu gibi ülkemizin de ciddi bir siber saldırı ile karşı karşıya kalabilmesi ihtimali her zaman vardır. Bu yüzden pasif savunma alanında yapılan çalışmaların yanı sıra aktif savunma anlamında da gerekli tedbirlerin alınması önemli bir konudur. Siber suçlarla mücadeleye yönelik hukuki altyapımız pek çok ülkeyle kıyaslandığında gelişmiş gözükse de yine de görece yeni bir suç dalı olarak görülen siber suçlar çerçevesinde önemli eksikliklerimiz bulunmaktadır. Ulusal siber güvenliğe yapılan ve/veya yapılacak olan katkılar, kurumsal olarak alınacak tedbirlerle de desteklenmelidir. Kurumların gerek normal kullanıcıları gerekse bilgi-işlem personeli için standart çalışma politikaları belirlemeleri ve bu standartların uygulanmasını denetlemeleri sistemlerin güvenliğine yönelik tehditlerin önemli bir kısmını ortadan kaldıracaktır. Kurulan sistemlerin denetlenmesi ve işleyişinin her daim kontrol altında tutulması da denetim mekanizmasını canlı tutacaktır ve bu yolla da siber güvenlik bilinci hem kurumsal hem de ulusal ölçüde birbirini destekleyici ve geliştirici olacaktır. Tabii bunların hepsinden önce özellikle kamuda ve kritik sektörlerde kullanılan donanım ve yazılımların test edilmiş ve güvenlik açıkları kapatılmış olmaları gerekmektedir. Bu yüzden hem devlet yapılanması olarak hem de özel sektöre ait bilişim altyapılarına siber güvenliğe ilişkin belli standartların kazandırılması hedeflenmeli ve bu konuda çalışmalar yükselen bir ivme ile devam etmeli, küreselleşen ve küçülen dünyada değişimleri takip etmeyi ya da bizzat bu değişimi yaratmak için çalışmayı sürdürmeliyiz.
*Negmar Bilgi Sistemleri Müdürü.