Siber Güvenlik ve Milli Sertifikasyon Mekanizması

Siber Güvenlik ve Milli Sertifikasyon Mekanizması

SİBER GÜVENLİK ve KAMU KURUMLARI için MİLLİ SERTİFİKASYON MEKANİZMASI
Mustafa AFYONLUOĞLU
afyonluoglu@gmail.com

21.01.2018

E-Devlet ve Siber Güvenlik

“Devletin, vermekte olduğu hizmetleri bilgi ve iletişim teknolojilerinden istifade etmek sureti ile daha hızlı, kolay, ekonomik şekilde her yerden ve her zaman vermesi” olarak hayatımıza giren “e-Devlet” kavramı, bu hizmetleri sağlarken temin ettiği ve hizmetler sonucunda oluşturduğu veriler bakımından “siber güvenliği” de beraberinde getirmiştir. Bu verileri genel çerçevede:

• Kişisel veriler
• Kamu verisi / kamu sırrı (Veri Gizlilik Seviyeleri)
• Ticari veriler / ticari sırlar
• Açık veri / anonim veri / istatistiki veri

olarak kategorize ettiğimizde, farklı güvenlik seviyelerinde korunması gereken bilgi kümelerinin olduğunu açıkça görürüz. Verinin güvenlik seviyesi yükseldikçe ona olan ilgi de artmakta ve siber saldırılara hedef olmaya başlamaktadır.

Özellikle kamu kurumlarında, e-Devlet çerçevesinde verilen hizmetlerin getirdiği entegrasyonlar sebebi ile siber güvenliği kurum bazında ele almak yeterli olmayıp bütüncül olarak yaklaşma zorunluluğu ortaya çıkmaktadır. Günümüzde olgunluk seviyeleri yüksek e-devlet projelerine sahip olan kurumlarımız, bir projede 10 ile 15 Bakanlık ve bazılarında 40’dan fazla kurumla entegrasyon yaparak hedeflediği hizmeti vermektedir. Böylesine yüksek sayıda ve karmaşık içerikte entegrasyonların yer aldığı projelerde, verilen hizmetin kalitesi ve sürekliliği kadar sistemin siber güvenliği de zincirin en zayıf halkasının güvenliği kadar olabilmektedir.

Siber Güvenlik ve Milli Güvenlik

MGK tarafından “Milli Güvenlik”, “Devletin milli varlığına, bekasına ve güvenliğine yönelik tehditlere karşı tedbirler almak için bölgesel ve küresel ortamın izlenerek tehdit ve fırsatların tespit edilmesi ile bu hususlara uygun siyasetin belirlenmesini ve en uygun politikaların uygulanmasını sağlayacak süreç ve unsurlar” olarak tanımlanmaktadır^*1. Bu çerçevede milli güvenliğin temel unsurları arasında yer alan askeri, siyasi, diplomatik ve ekonomik bileşenlerin yanına “siber” unsurlar da girmektedir. Nitekim, savunma sahası bakımından Temmuz 2017 tarihli NATO açıklamasında, kara, hava, deniz ve uzay’dan sonra siber alan 5. operasyonel alan olarak ilan edilmiş^*2, Aralık 2016’daki NATO toplantısında, uluslararası hukukun siber alanda da uygulanması gerektiği belirtilmiş ve 14 Aralık 2017 tarihinde, NATO’nun kolektif savunma çerçevesindeki çekirdek görevlerinden birisinin siber savunma olduğu vurgulanmıştır^*3.

Siber güvenliğin, milli güvenliğin bir parçası olduğu çağımızda, aşağıdaki tespitler dikkat çekicidir:

1. Türkiye’de kamu kurumlarında kullanılan siber güvenlik ürünlerinin temininde, hiç birisi için şart koşulan bir güvenlik sertifikasyonu / güvenlik onayı ve kontrol listesi mekanizması yoktur.
2. Türkiye’de kamu kurumlarında kullanılan siber güvenlik ürünlerinin %97’si yabancı menşeili olup sadece %3’ü yerli ve/veya milli üründür^*5.
3. Geçmişte yabancı menşeili birçok ürünün, kriz dönemlerinde kamu kurumları ve özel sektördeki ürünlere uzaktan müdahale ettiği veya bu ürünlerin hatalı karar vermesini sağladıkları görülmektedir. Örneğin İsrail menşeili Checkpoint marka güvenlik duvarı yazlımı, Mavi Marmara ile ilgili haber yapan sitelerin tamamını “hacker” veya “porno” kategorisine alarak erişimin engellenmesini sağlamıştır. Benzer şekilde ABD menşeili anti-virus programı, “Free Gazze”, “Filistin” adı altında yapılan aramaları “terör” kategorisine sokarak erişimi engellemiştir^*4.
4. Günümüzde en etkin ve yaygın hedef odaklı siber saldırı gruplarının tamamı devlet desteklidir. Bu grupların temel motivasyonu casusluk ve kritik altyapılara sabotajdır^*6.
5. 06 Nisan 2017 tarihli NATO’nun Varşova Zirvesi’ndeki açıklamasında, Denver Üniversitesi’ne yaptırdığı araştırmada, 2030 yılında Siber Güvensizlik hacminin 90 trilyon dolar olduğu öngörülmüştür.
6. Ülkelerin siber güvenlik bütçeleri gün geçtikçe savunma bütçeleri ile yarışacak seviyede artmakta olup Fransa’nın bu alandaki 2014 bütçesi 1 milyar €, İngiltere’nin 2016 yılı siber güvenlik bütçesi ise 5 milyar €’dur.
7. 2017’de Türkiye’deki siber güvenlik pazarının hacmi yaklaşık 5 milyar dolar olarak ölçülmüştür.
8. Siber güvenlik dünyasında oluşturulan ürün ve hizmetler, bu ciddi pazardan pay almak üzere önemli bir alan olarak gündeme gelirken, ayrıca siber istihbarat, siber casusluk, siber saldırı gibi alanlar için de olası bir araç olarak karşımıza çıkma potansiyeli barındırmaktadırlar.

Yazının tamamını okumak için buraya tıklayınız.