Siber güvenlik tedbirleri şirketlere zorunlu oluyor
Avrupa Birliği Komisyonu son aldığı karar ile enerji, ulaşım, bankacılık ve finans sektöründeki şirketlerin zorunlu olarak siber güvenlik tedbirleri almalarını istedi. 2012 yılının üçüncü çeyreğinin sonuna dek yürürlüğe girmesi beklenen bu yaptırımlar söz konusu şirketlerin siber güvenlik alanında daha fazla yatırım yapmalarını sağlayacak. Sayısal Gündem’den Sorumlu Avrupa Birliği Komisyon Üyesi ve Başkan Yardımcısı Neelie Kroes’in koordinasyonunda hazırlanan taslağa göre siber saldırılardan korkan ama bu konuda yeteri kadar tedbir almaktan kaçınan şirketlere zorunluluklar getiriliyor. Avrupa Birliği Komisyonu’nda yaptırımlara baz teşkil etmek üzere hazırlanan rapora göre pek çok şirketin siber saldırılara karşı güvenlik duvarlarında açıklar var ama itibar kaybetmek kaygısıyla bunları dile getirmekten çekiniyorlar. Yeni yönetmelik güvenlik açığı olan şirketlerin bu bilgileri rutin raporlarla ilgili merciilere bildirmelerini zorunlu hale getiriyor. Rapora göre, yönetmelik uygulandığında, güvenlik açıkları olan şirketler tedbir almazlarsa siber saldırılardan önce itibar yitirerek piyasada zarar uyrayacaklar. Bunu göze alamayacakları için güvenlik tedbirlerini hızla artırma gereğini hissedecekler. Böylece, Avrupa Komisyonu’nun istediği gibi hassas sektörlerin güvenlik sorunları kolayca ve kendiliğinden çözülmüş olacak.
Avrupa Birliği Komisyonu yetkililerinin açıklamalarına göre, başlangıçta enerji, ulaşım, bankacılık ve finans sektöründeki şirketleri kapsayan yaptırımlar, zaten telekom ve internet şirketlerininde kısmen uygulanıyordu. Bunların yanı sıra gelecekte yeni ekonomi ile ortaya çıkan şirketleri de içine alacak şekilde genişletilecek.
Telekom ve internet şirketleri daha önce başladı
Şu an geçerli olan e-Güvenlik (e-Privacy) Direktifine göre, bazı yaptırımların uygulandığı bir telekom şirketi ya da servis sağlayıcı, eğer şebeke üzerindeki güvenlik duvarlarında bir zafiyet varsa bunun yaratacağı riskleri açık ve net olarak müşterilerine (abonelerine) duyuruyor. Siber güvenlik tedbirleri için sadece bir referans olabilecek e-Güvenlik Direktifinde eksik kalan hususlar yakında daha katı kurallar ile tamamlanacak. Bu yılın başında Avrupa Komisyonu’nun isteği doğrultusunda Avrupa Birliği ülkelerinde, bilişim sektöründe faaliyet gösteren şirketler için yeni bir yasa taslağı hazırlanmış ve veri iletişiminde güvenlik açıkları varsa özellikle bunu bildirmeleri istenmişti. Bulut bilişimin yaygınlaştığı bugünlerde konu çok önem ve aciliyet taşıyor. Nitekim, Avrupa Komisyonu’nda Adaletten Sorumlu Komisyon Üyesi Vivien Reding geçtiğimiz Ocak ayında getirdiği bir öneri ile telekom ve internet şirketleri için yeni yaptırımlar hazırladığını duyurdu. Buna göre, bir telekom ya da internet şirketi herhangi bir veri kaybını tespit ederse, 24 saat içerisinde bunu kesinlikle bildirmekten yükümlü olacak.
İşbirliği şart
Avrupa Birliği Komisyonu bir şeyin çok farkında. Yaptırımları sadece kamu kurum ve kuruluşlarına uygulayarak sonuç almak mümkün değil. Güvenlik açısından kritik olarak değerlendirilebilecek altyapının neredeyse yüzde 90’ı özel sektöre ait kurumlar tarafından işletiliyor. O nedenle, bu durumda, siber saldırılara karşı hazırlık yapmak için özel sektörü ikna etmek ve onları da sürecin içine katmak şart. Ayrıca ulusal ve Avrupa Birliğini kapsayacak hatta dışına çıkacak şekilde uluslararası iş yapan kuruluşların desteğini almak gerekiyor. Koordinasyonu sağlamak üzere Avrupa Komisyonu çoktan girişimde bulundu. 2013 yılının Ocak ayında faaliyete başlayacak şekilde Avrupa Siber Suçlar Merkezi adı altında bir örgütlenmeye gitti. Yine de sayısız miktarda güvenlikle uğraşan şirket olmasına rağmen bunların hepsinin katılımını ve desteğini alacaklarından emin değiller. Avrupa Birliği Komisyonu’na göre şu anda bile yeteri kadar siber suç işleniyor ve bunlarla mücadelede ne yazik ki hala çok uzaklarda kalınıyor.
Avrupa ve ABD birlikte hazırlanıyor
Geçtiğimiz yıl, 3 Kasım tarihinde Avrupa Birliği ile Amerika Birleşik Devletleri, Brüksel’de bir işbirliği anlaşması imzaladıladır. Anlaşmaya göre Avrupa Birliği’nde ENISA (The European Network and Information Security Agency) ve Amerika Birleşik Devletleri’nde Anayurt Güvenliği Bakanlığı ‘Cyber Atlantic’ adı altında bir etkinlikle birbirlerine destek vereceklerdi. Etkinlik çeşitli siber saldırılar için senaryolar üretmek ve bunlara karşı koymak üzere yapılacak çalışmaları kapsıyordu.
Hazırlanacak senaryolardan birisi belirli bir hedefe yönelik siber saldırıyı (Advanced Persistent Threat-APT) başlatacak, diğeri ise büyük bir enerji kaynağının SCADA’sını (Supervisory Control And Data Acquisition) işlemez hale getirecekti. Her iki senaryoya dahil olup kendi ülkesinde uygulatmak isteyen 20 Avrupa Birliği Üyesi çıktı. Bunlardan onaltısı aktif olarak oyunlara katıldı.
ENISA, Avrupa Birliği sınırları içerisinde 2004 yılında kuruldu. Şebekelerde dolaşan bilgilerin üst düzeyde ve etkin biçimde güvenliğinden sorumlu bu kurumun faaliyetleri 10 yıl için geçerli olacak, 2013 yılının Eylül ayında sona erdirilecekti. Ancak, konunun hassasiyeti ve yapılacak şeylerin önemini yitirmemesi ve en önemlisi, daha yapılacak pek çok şeyin olması Avrupa Parlamentosu, Endüstri, Araştırma ve Enerji Komitesi’ni etkiledi ve süre 2020 yılına kadar uzatıldı. Bu arada yeni sorumluluklar da üstlenildi. Örneğin, ENISA, eğer Avrupa Birliği içerisindeki herhangi bir kuruma, kuruluşa ya da ajansa bir siber saldırı olursa; Avrupa Birliği Bilgisayarlarını Acil Kurtarma Ekibi (European Union Computer Emergency Response Team -EU CERT) olarak görev yapacak. Aynı zamanda üye ülkeleri bilgilendirecek ve onların şebekelerinin zarar görmemesi için yardım edecek. Özel sektörde yer alan şirketlerin kendi güvenlik duvarlarını eksiksiz oluşturmaları ve varsa güvenlik açıklarını önce ortaya çıkarıp sonra bertaraf etmeleri için çalışacak.
Bu konuda son derece kararlı olan Avrupa Birliği Komisyon Üyesi Kroes, yaptığı bir konuşmada şu satırların altını çizdi: “İnternete yapılabilecek siber saldırılar her zamankinden daha fazla tehditkar oldu ve yaşantımızı zorlaştırıyor. Politik ve ekonomik zararlar vermek için yeni enstrümanlar kullanılıyor. Terörist gruplar ve bazı yabancı devletler farklı istihbarat yöntemlerine başvuruyorlar ve topyekün saldırı için her yolu deniyorlar. İnternet sadece askerlerin korumasına ya da ikili uluslararası anlaşmaların maddelerine terkedilemeyecek kadar hassas bir konu haline geldi. Ulusal gücümüzü sınayabileceğimiz yeni bir alan oldu.”
Gerçekten de, zamanında tedbir almayan ülkeler geleceğin savaşı denilebilecek siber savaşta ayakta kalmak için yapacak bir şey bulamayacaklar. Enerji üretmeyen barajları, çalışmayan havaalanları, limanlar, demiryolları, içi görülemeyen banka hesapları, işletilemeyen tıbbi cihazlar, dönmeyen fabrika çarkları onların sonu olacak ve top-tüfek kullanmadan teslim olacaklar. Böylesine kritik bir konuda her şeyi devletten beklemek yanlış olacaktır. Zaten Avrupa Birliği Komisyonu’nun siber güvenlik için özel sektördeki şirketleri zora koşmasının başlıca nedeni de budur.
