Ulusal Siber Güvenlik Stratejisi Raporu paylaşıldı
Tüm dünyada ve ülkemizde sıkça görülmeye başlanan siber saldırıların ülke güvenliğini tehdit ettiğini kabul etmeye başlıyoruz. Bu doğrultuda ülke olarak yapmamız gerekenlerin sıralandığı, Bilgi Güvenliği Derneği tarafından hazırlanan rapor ilgili bakanlığa sunuldu. Bilgi Güvenliği Derneği, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’na sunulmak üzere hazırladığı Ulusal Siber Güvenlik Stratejisi Raporu’nu paylaştı. Gazi Üniversitesi Teknoloji Fakültesi Elektrik Elektronik Mühendisliği Bölüm Başkanı Prof.Dr. Mustafa Alkan’ın başkanlık ettiği derneğin hazırladığı raporda, fiziki sınır ve kuralların ötesinde bir boyutun ortaya çıktığı, “Siber Uzay” denilen kavramın artık gerçeğe dönüştüğü bilgisi verildi ve eklendi:
“Türkiye’nin ülkesini, vatandaşlarını ve her türlü varlığını, bugününü ve geleceğini korumak için Siber Uzayın güvenliğinin sağlanması şarttır.”
Bilindiği üzere son dönemlerde tüm dünyada ülkeler arasında önemli siber savaşlar yaşanıyor. Hazırlanan zararlı yazılımlar belirli bölgelere dağıtılıyor. Özellikle Ortadoğu’yu hedef alan Flame virüsünün doğrudan hükümetlerden veri sızdırma amacı taşıdığı görülüyor. Yine Flame üzerinden gidersek, bu virüsün uzunca bir süre keşfedilemediği ve yıllarca veri sızdığı öğrenildi. Daha önce de özellikle İran’ı hedef alan Stuxnet virüsünün bir yıldan fazla bir süre boyunca bulunamadığı ortaya çıkmıştı. DuQu virüsünün de veri çalmak için programlandığı ve uzunca bir süre antivirüs şirketlerinin dahi ortaya çıkaramadığını – ya da çıkarmadıklarını- hatırlatalım.
Kimler tarafından gönderildiği bilinmeyen bu sanal istihbaratçılar, bölgede yaşananları ve önemli verileri dışarı taşımayı başardı. F-Secure şirketinin başındaki isim Mikko Hypponen’in verdiği bilgilere göre, bu tehditleri geliştirenler, saldırıyı gerçekleştirmeden önce piyasada bulunan tüm antivirüs sistemleri üzerinde geçirgenlik testleri yaparak ürünlerini mükemmele taşıyorlar.
Dışarıdan gelebilecek bu tehditlerin yanında bir protesto yöntemine dönüşen site haklama olayları da gün geçtikçe artıyor. Genellikle DDoS saldırılarının kullanıldığı bu haklama eylemlerinin önüne geçebilmek hem ülke prestiji hem de gizli verilerin ortaya çıkmasının engellenmesi açısından önem taşıyor.
Bu doğrultuda ülkemizin doğrudan kendi önlemlerini almasının önemi tekrar ortaya çıkıyor. Bilgi Güvenliği Derneği’nin çalışmalarında atılması gereken somut adımlar, siber güvenlik kültürünün oluşturulması, yasal düzenlemeler, kurumsal yapılanma, uluslararası işbirliğinin güçlendirilmesi, milli teknolojilerin geliştirilmesinin özendirilmesi, ulusal Ar-Ge stratejisinin oluşturulması gibi konu başlıklarına yer verildi.
Ulusal siber güvenlik kurulunun oluşturulması hedefleniyor
Ulusal siber güvenlik kurulunun oluşturulması gerektiği bilgisi verilen raporda, bu kurula başta Milli Savunma Bakanlığı olmak üzere birçok bakanlık, MİT, BTK gibi ilgili müsteşarlık ve kurumlar ile ASELSAN gibi savunma sanayi şirketlerinin yer alması gerektiği vurgulandı. Konuyla ilgili sivil toplum kuruluşları ve sektör temsilcilerinin de kurula katılması istendi.
Oluşturulan kurulun öncelikleri arasında ulusal risk değerlendirmesinin yıllık olarak yapılması ve raporlanması, güncel siber tehditleri kapsayan dönemsel raporların hazırlanması, siber güvenlik tatbikatlarının dönemsel olarak gerçekleştirilmesi, saldırılara karşı koymak için “siber saldırı eylem planı” hazırlanması, kamu ya da özel kurumların BT altyapılarını 2013 yılı sonuna kadar TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uyumlu hale getirilmesi, kamu kurumlarının ve isteğe bağlı olarak özel sektör şirketlerinin siber güvenlik düzeyleri açısından denetlenmesi, siber olaylara müdahale ekiplerinin oluşturulması ve ulusal siber tehdit ve korunmasızlık inceleme merkez laboratuvarının kurulması yer aldı.
Oluşturulması hedeflenen Türkiye Ulusal Siber Olaylara Müdahale Ekibi (TC-SOME) ile ülke genelinde kamu kurum ve kuruluşları ile özel sektöre, siber saldırılara müdahale yeteneği kazandırmak ve ulusal seviyede gerçekleşen saldırılara müdahale etmek amacı güdülüyor.
TC-SOME tarafından ulusal ve uluslararası meydana gelen bilgisayar olaylarının izlenerek kullanılan saldırı yöntemleri ve saldırı gerçekleştirilen adreslerle ilgili ulusal bir veritabanı oluşturması amaçlanıyor.
Ulusal Siber Tehdit ve Korunmasızlık İnceleme Laboratuvarı oluşturulmalı
Siber güvenlik tehditlerinin özel inceleme ve sürekli araştırma ve takip gerektirdiği belirtilen raporda, bu alandaki eksikliğin giderilmesi için merkezi ulusal bir inceleme laboratuvarının oluşturulması gerektiği belirtildi. Bilişim sektörünü de yakından ilgilendiren bir öneri de; kurulacak laboratuvar sayesinde yerli ve yabancı siber güvenlik ürünlerinin derecelendirilmesi oldu. Zira kurulacak laboratuvarda yapılan analizler sonucunda antivirüs şirketlerinin yazılımlarının da tasnif edilmesi gündeme gelecek.
Mayıs ayı “Siber Güvenlik Farkındalık Ayı” olsun
Raporda ulusal farkındalığın artırılmasına önem verilirken, ilk olarak Mayıs ayının “Siber Güvenlik Farkındalık Ayı” olarak kabul edilmesi ve tüm kamu ve özel sektör kurumlarının bu ayda çalışmalar yürütmesi istendi. Konuyla ilgili afişler hazırlanması, yazılı ve görsel basın ve medya kuruluşlarıyla işbirliği yapılması gerektiği raporda belirtildi.
Bir diğer dikkat çekici öneri de üniversitelerde “Siber Güvenlik ve Savunma” konulu ders programlarının zorunlu hale getirilmesi. Bunun yanında güvenli internet kullanımıyla ilişkilendirilmek üzere siber güvenlik farkındalık eğitimlerinin ilk ve orta öğretimde ve hatta okul öncesi dönemde verilmesinin gerekliliğine dikkat çekildi.
Siber farkındalığın en üst düzeyde anlaşılabilmesi için kamu ve özel sektör yöneticilerine özel eğitimler verilmesi gerektiği aktarıldı.
Kişisel ve kurumsal bilginin koruması teşvik edilmeli
Rapordaki maddelere bakıldığında sayısal ortamlardaki kişisel mahremiyetin yok olması ve kurumsal sırların ortaya çıkması gibi endişeler ortaya çıkıyor. Bu konunun da ele alındığı raporda, vatandaşların güvence altında olduğunu bilecek şekilde kişisel ve kurumsal bilgilerin bilişim sistemlerinde ne şekil ve kapsamda kullanılacağının belirlenmesi gerektiği vurgulandı.
Ulusal siber güvenlik stratejisinde, toplanacak bilgilerin sadece hizmetin amacına yönelik ve hizmetle orantılı şekilde kullanılmasını sağlayacak yasal tedbirlerin uluslararası yaklaşımlar da dikkate alınarak belirlenmesinin önemi üzerinde duruldu.
Yasal düzenlemeler gerçekleştirilmeli
Siber güvenlik kültürüne uygun şekilde yasal düzenlemelere ihtiyaç duyulduğu belirtilen raporda, Avrupa Konseyi Siber Suçlar Sözleşmesine uygun olarak hazırlıkların tamamlanması istendi. Bununla birlikte başta AB ve NATO üyesi ülkeler olmak üzere ikili ya da toplu işbirliklerine imza atılmasının önemi belirtildi.
Siber Güvenlik Mükemmeliyet Ağı kurulmalı
Savunma Sanayi Müsteşarlığı bünyesinde oluşturulacak Siber Güvenlik Mükemmeliyet Ağı (MÜKNET) ile bu alandaki sanayi, üniversite ve araştırma kuruluşlarının bir araya getirilmesi önerildi. Hazırlanan raporda, TÜBİTAK’ın siber güvenliği öncelikli alan olarak belirlenmesi, siber güvenlik konularınında Ar-Ge çalışmalarının zorunlu hale getirilmesi ve yazılım güvenliği, akıllı telefonlar ile bulut bilişim gibi yeni teknolojilere öncelik verilmesi istendi.
Rapora ulaşabilmek için http://www.bilgiguvenligi.org.tr adresini kullanabilirsiniz.
Türkiye’nin atması gereken somut adımlar şu şekilde sıralandı:
• Ulusal siber güvenlik strateji belgesinin kısa sürede yayımlanması,
• Ulusal siber güvenlik kurulu oluşturulması,
• Siber güvenlik farkındalığının artırılması,
• Siber güvenlik kültürünün yaygınlaştırılması,
• Kişisel ve kurumsal bilginin korunmasına yönelik daha sıkı tedbirler alınması,
• Uluslararası işbirliğinin güçlendirilmesi,
• Ulusal siber güvenlik Ar-Ge politikasının oluşturulması ve milli teknolojilerin geliştirilmesinin özendirilmesi,
• Üniversitelerde bilimsel çalışmaların artırılmasına yönelik çalışmalar yapılması,
• İnsan kaynakları yetiştirilmesine ve mevcutların geliştirilmesine yönelik çalışmalar yapılması,
• Kurumsal siber güvenlik yeteneklerinin artırılmasına yönelik çalışmalar yapılması,
• Kurumlara siber güvenlik sızma testleri yapan bağımsız merkezlerin kurulması,
• Yasal mevzuatın düzenlenmesi.