Standartlar için farkındalık yetmiyor

TSE Yazılım Test ve Belgelendirme Dairesi Başkanı Mariye Umay Akkaya, Ortak Kriterler Tanıma Anlaşması (CCRA) kapsamında verdikleri sertifikaların doğrudan yerli ürünlerimizin ihracat şansını artırdığına vurgu yaptı.

Türk Standartları Enstitüsü’nü (TSE) Türkiye’nin milli standardizasyon ve sertifikasyon kuruluşu olarak tanımlayan Mariye Umay Akkaya, kurumun çok köklü olduğunu ve çok farklı alanlarda çalışmaları bulunduğunu kaydetti.  Elekroteknikten gıdaya, kimyadan makineye ve inşaata çalışma yelpazesinin genişliğini aktaran Akkaya, bilişimin sadece bu alanlardan bir tanesi olduğuna işaret etti. Akkaya, “TSE, gerek Türk standartları çıkarıyor gerekse uluslararası standartlardan adapte yaparak uluslararası standartları kullanıyor. Bunlardan test ve belgelendirme yapıyor. Hem TSE laboratuvarları var hem de belgelendirme merkezleri mevcut. Bilişim alanındaki belgelendirmeler TSE’de 2003 yılından beri yapılıyordu. Bizim daire başkanlığımız; Bilgi İşlem Daire Başkanlığı’ndan farklı. Bilgi İşlem hep vardı ve TSE’ye hizmet ediyor. Yazılım Test ve Belgelendirme ise; TSE dışına hizmet ediyor” açıklamasını yaptı.

Sertifika üretici ülke konumundayız

TSE, 2003 yılında ilk olarak 26 ülkenin taraf olduğu Ortak Kriterler Tanıma Anlaşması’nı (CCRA) imzaladı.  Türkiye adına TSE’nin 26 ülkenin toplantılarına katıldığını ifade eden Akkaya, konuşmasını şöyle sürdürdü: “Ortak kriteler dediğimiz bir standart var: ISO 15408. Bu standart kapsamında 26 ülke birbirinin sertifikasını tanıyor. Bizim verdiğimiz sertifika böylece 26 ülkede geçerli oluyor. Bu da doğrudan yerli ürünlerimizin ihracat şansını artırıyor. Bu standart bilişim ürünlerinin güvenliğiyle ilgili; cep telefonundan güvenlik duvarına ve akıllı kartlara kadar uzanıyor. Ortak Kriterler alanında Türkiye, ilk belgelendirmesini 2008 yılında yaptı. Taraf olan 26 ülkeyi sayacak olursak; Avustralya, Kanada, Fransa, Almanya, Hindistan, İtalya, Japonya, Malezya, Hollanda, Yeni Zelanda, Norveç, Güney Kore, İspanya, İsveç, İngiltere, Amerika, Avusturya, Çek Cumhuriyeti, Danimarka, Finlandiya, Yunanistan, Macaristan, İsrail, Pakistan, Singapur ve Türkiye. Bu da standardın, bütün dünyada çok geniş bir coğrafyada önemli ülkeleri kapsamış olduğunu gösteriyor. Bu anlaşmada; sertifika üretici ülke ve sertifika tanıyan ülke olarak 2 çeşit taraflılık var. 2010 yılından beri de sertifika üretici ülke olduk. Uluslararası denetimden başarıyla geçtik.”

Türkiye’deki kanunlar yeterli değil – kamunun güvenliğini sağlamak gerekiyor

“Yazılım Test ve Belgelendirme olarak; öncelikle 2012’nin ekim ayında müdürlük olarak kurulduk. 2013 mayısında daire başkanlığı olduk. Yazılım Belgelendirme Müdürlüğü ve Yazılım Test Müdürlüğü olarak 2 müdürlüğümüz var. Çalışmalarımız donanım da dahil tüm bilişim ürünlerini kapsıyor. Kapsamımız çok geniş. Bilişim alanında çok fazla belgelendirmemiz var; öncelikle ürünlerin belgelendirmesi, ikinci olarak bilişim alanındaki kişilerin, personelin, üçüncüsü firmaların, dördüncüsü de bilişimdeki süreç belgelendirmesi. Beşinci olarak da; hizmet yeri belgelendirmesi yapılıyor” diyen Akkaya, Ortak Kriteler belgesini şimdiye kadar 28 firmanın 28 ürünü için aldığını belirtti. Ortak Kriterler’in NATO’da zorunlu olduğunu ifade eden Akkaya, NATO’nun bu toplantılarına Türkiye adına TSE’nin katıldığına ve oy kullandığına dikkat çekerek “Avrupa ülkelerinin de kendi aralarında SOGIS-MRA adlı bir grupları var; böylece kendi içlerinde ithalat- ihracatı artırıyorlar. Avrupa’daki o gruba girmek için Smart Card Security / SCS Turkey adlı bu konsorsiyumu oluşturduk. SCS Turkey’in de 5 üyesi bulunuyor: TSE, TÜBİTAK, İTÜ, TOBB ETÜ ve Sabancı Üniversitesi. Amacımız Avrupa’daki bu gruba üye olmak. Uluslararası çalışmalarımız var; hem yerli üretcileri teşvik etmek hem de ihracatı artırmayı hedefliyoruz” şeklinde konuştu. Türkiye’deki mevzuat eksikliğinin altını çizen Mariye Umay Akkaya, şunları ifade etti: “Mevzuatlar yeterli değil; zorunluluk yok. Kanada, İngiltere, Hollanda Almanya, Fransa gibi ülkelerde ‘Ortak Kriterler’ zorunlu. Bu nedenle kamuda bilgi açıklığı olmuyor, yazılımları güvenli. ABD ve Kanada’daki kamu kurumlarında kriptolu ürün kullanmak mecburi, bu yüzden de güvenlik problemleri yaşamıyorlar. Biz ise zorunlu olmadığından güvenlik problemleri yaşıyoruz. Oysa kamunun güvenliğini sağlamak gerekiyor. TS13298 – EBYS için kamunun alması gereken zorunlu bir standart. Bizden zorunlu olduğu halde 30 tane ürün için belge alındı ki bu sayı çok az.  Regülasyonu ve yönetmeliği olmayınca bu durumla karşılaşıyoruz. Ücretli olduğundan firmalar çok yaklaşmıyor, oysa örneğin Amerika’da belgelendirmeden ücret alınmıyor. ‘Bilgi güvenliği milli güvenlik’ deniyor. Türkiye’deki kanunlar yeterli değil.”

USOM ve SOME çalışanlarına sertifika zorunluluğu getirilmeli

“Siber Güvenlik Eylem Planı ve Stratejisi’ne göre madde 12’nin yükümlülüğü TSE’ye verildi.  Bu madde siber güvenlik alanında çalışan kişi ve firmaların belgelendirmesini kapsıyor.  Bu madde 2’ye ayrılıyor; ‘a’ya göre; sızma testi uzmanı belgelendirmesini başlattık. Önce bu konuda bir standart çıkarttık, daha sonra da 2014 mayıs ayından itibaren eğitimlere başladık. Stajyer, kayıtlı, sertifikalı ve kıdemli olmak üzere 4 seviye var. Henüz hiç kimse kıdemli olamadı! 100 üzerinden 90 alması gerek. 100 üzerinde 50’yi geçen ise sadece yüzde 11. Yetkinliği ve tecrübeyi ölçen bir sınav yapıyoruz. Bu sınavlardan sonra iş imkânı yaratmak üzerine regülasyon olması için uğraşıyoruz. Kamudaki her kurumda bulunan SOME ve USOM ekip çalışanlarının en az bizden kayıtlı sızma testi uzmanı olması gerek. Bu ekiplerin yetişmesi şart. Niye bizim yerli setifikasyonumuz varken yabancı sertifikasyon alsın? Milli serfikasyonumuz varken bunu almalılar. SOME ekip liderinin ise sertifikalı olması gerek. Şu an kayıtlı ve sertifikalı sayısı topu topu 30 kişi. USOM ve SOME için zorunluluk olsa, herkes eğitime ve sınava katılır. Regülasyonların çıkması için uğraşıyoruz. ‘b’ ise; kamu kurumlarının kritik BT ürün ve sistemlerinin asgari güvenlik gereksinmelerinin belirlenip belgelendirmesinin yapılmasından bahsediyor. Bu bağlamda tüm kamuyu analiz ettik; 25 tane yeni güvenlikle ilgili standart çıkarttık. Bu çıkardığımız standartlar saydığımız 26 ülkede de geçerli olmuş oluyor” açıklamasını yapan Akkaya, standartların daha yaygın kullanılması için büyük çaba harcadıklarını kaydetti.

Artık ihaleleri ‘en ucuz’ kazanamayacak! Derecelendirme geliyor…

Bilim ve Teknoloji Yüksek Kurulu kararları doğrultusunda; kamu bilişim alımlarında standartların zorunluluğuyla ilgili kararlar çıkartılacak. Akkaya konuyla ilgili şu değerlendirmeyi yaptı: “Bununla ilgili bir çalışma yapıyoruz. KİK mevzuatının da bu bağlamda revize olması veya etkili regülasyonların durumu var. Artık firma derecelendirmesi olacak. Hakikaten ürünleri iyi olan firmalar o ihaleye girebilecekler. Bu konuda çalışmalarımız ve  hazırlıklarımız devam ediyor. Amacımız farkındalığı artırmak ama farkındalığın yanı sıra regülasyon da şart.

En önemli konu mevzuatlar çıkarılmalı. Mevzuatlarla; siber güvenlikle ilgili standartların ve sertifikasyonun özellikle kamunun hizmet alımlarında zorunlu hale getirilmesi gerekiyor. Amaç da milli bilgi güvenliğinin sağlanması. Altyapımız hazır ve var: Tek eksik olan şey mevzuat. Regülasyonlar ve mevzuatlar tamamlanınca bilişim ürünlerinin ve yazılımlarının hem kalitesini hem de güvenliğini sağlamış olacağız.”