Uzun bir süredir ve heyecanla beklediğimiz “Bilgi ve İletişim Güvenliği Tedbirleri” konulu Genelge yayınlandı. 6 Temmuz 2019 Cumartesi günü yayınlanan bu çok önemli genelge ile birlikte Cumhurbaşkanlığı düzeyinde siber güvenliğe verilen önem de gözler önüne serilmiş oldu. Cumhurbaşkanımızın Başbakanlığı döneminde yayınlanan milli teknolojileri teşvik eden birçok genelge ile geleceğe daha güvenle bakan bir Türk genci olarak, Bilgi ve İletişim Tedbirleri başlıklı genelgenin önemine dikkat çekmek isterim.
Bilindiği gibi özellikle son günlerde milletin açıkça kurumlarda kalite çıtasını yükseltmek için atanan sözde yöneticileri “işlevsizlik” ve “kişisel menfaatler” gibi başlıklarla eleştirdiği hepimizin malumu. Bu genelge ile birlikte Bilgi Güvenliği üzerine kendi saltanatlarını kurmaya çalışanlarında hükmünün bittiğini kolaylıkla söyleyebiliriz. Üstelik bir dönem Ulaştırma Bakanlığı düzeyinde tavsiye edilen “Bulut Teknolojilerinin’de” Genelge’nin 3. Maddesinde belirtildiği hali ile daha iyi bir çerçevede sunulduğunu görebiliyoruz. Özellikle 3. Maddenin Avrupa birliğine vizesiz girebilmek adına kabul ettiğimiz maddelerin Kişisel Verilerin Korunması Kanununda bulunan “Kişisel verilerin yurt dışına aktarılması MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.” Maddesini de hükümsüz kıldığını göstermektedir.
Pek yakında KVKK programı olarak bilinen ve ISO27001 standartları gereği kullanılması zorunlu olan veri kaybı önleme platformlarının önemine herkes dikkat kesilecek düşüncesindeyim. Bu dikkat kesilmesi, tamamı yabancı menşei olan DLP çözümlerinin yerli ürünler olmadan istediğimiz kadar yerli dediğimiz servis sağlayıcısı olmadan yok hükmünde olacağı şeklinde yorumlanacak gibi. Aslında basitçe özetlemek gerekirse, bir tarafta uluslararası standartlar ve bu standartların ülkemizdeki kurumlara entegre edebilmek için bizlere dayatılan yazılım, donanım gibi daha nice platformlar karşısında kendi standartları ile uluslararası standartları eşleştirme ve elbette ki “dijital bağımsızlık mücadelesinden” öte bir çaba değildir.
Devletimiz Var Olsun!
Genelgenin 15. Maddesi de yine Türk gençliğinin evvelden beridir dikkat çektiği bir husustu. Bu ilk yayınlanan genelge olduğu için ileriki günlerde maddelerin içeriklerinin daha da genişletileceğini düşünüyoruz. Özellikle bilgi işlem departmanları ile bilgi güvenliği departmanlarının ayrı olması gerektiği teorik olarak bilinirken, pratikte işlerin göründüğü kadar basit olmadığı da yine giderilmesi gereken bir eksiklikti. Hangi yönetici, ne zaman, nerede ve ne için bu işlemi yaptı “ gibi sorulara yanıt veren AUDIT platformlarının da tamamı yabancı menşei ve uzaktan bağlantı izni verilen 3. Parti firmaların bu sistemleri satan tarafta olmasından kaynaklı ve elbette ki root yetkisi ile sunuculara erişim sağlayıp, yaptıkları iyi ya da kötü işlemlerin izini dahi bırakmaması da iyice ayyuka çıkmıştı. Bu genelgenin hemen ardından yeni ve yerli bilgi güvenliği markalarının çok daha fazla duyulacağını da şimdiden belirtmekte fayda var. Umarız bu süreci, devlet teşviklerini eş, dost, akraba ve haksız kazanç uğruna çar-çur edenlerin kaybettirdiği zamanı telafi edebilecek haysiyetli devlet adamlığına yakışır hallerde yönetebiliriz. Aksi halde, Cumhurbaşkanımızın Başbakanlığı döneminde büyük bir gururla takip ettiğimiz“eğer bir ürünün yerlisi varsa ve daha pahalı olsa bile alın” içerikli genelgeyi işletmemek için bin bir takla atan ve haysiyetsizce ülkesine ihanet edip ısrarla yabancı ürün tercih edenlerle yeniden karşılaşabiliriz. Gerçi olası benzer bir durumda devletin en yüksek makamı tarafından yayınlanan genelgenin işletilmediğini görenler www.cimer.gov.tr adresi üzerinden ihbarda bulunabilirler.
Genelgede, Bilgi ve İletişim Güvenliği isimli bir rehberin oluşturulacağı bilgisine de yer veriliyor ;
Güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren “Bilgi ve İletişim Güvenliği Rehberi” Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, ilgili kamu kurum ve kuruluşları tarafından gereken katkı sağlanarak hazırlanacak ve www.cbddo.gov.tr adresinde yayımlanacaktır. Rehber ihtiyaçlar, gelişen teknoloji, değişen şartlar ile Ulusal Siber Güvenlik Stratejisi ve eylem planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecektir. Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen usul ve esaslara uyulması zorunludur. Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak yayımlanmasını müteakip Rehberde yer alacak plan çerçevesinde kademeli olarak bu esaslara uyumlu hale getirilecektir. Uyum çalışmalarında ve yeni kurulacak bilgi sistemlerinde, belirtilen adreste yayımlanan güncel sürüm dikkate alınacaktır.
Milli güvenliğin sağlanması ve gizliliğin korunması kapsamında yürütülen görev ve faaliyetler hariç olmak üzere kurum ve kuruluşlar, Rehberin uygulanmasına ilişkin denetim mekanizmalarını oluşturacak ve yılda en az bir defa uygulamayı denetleyecektir. Denetim sonuçlan ile yapılan düzeltici ve önleyici faaliyetler, Rehberde belirtilen usul ve esaslara göre bir rapor halinde Dijital Dönüşüm Ofisine iletilecektir.
Genelgenin sonunda belirtilen hususlar da oldukça önemli. Rehberin yayınlanacak olması mükerrer ve angarya işlerle vakit kaybının önüne geçerken, bu denetim mekanizmasının Cumhurbaşkanlığının önderliğinde ve ilgili kurum ve kuruluşlar ile birlikte oluşturulan mekanizma ile sağlanacak olması takdire şayan diğer bir husus. Neden derseniz? Bu güne kadar sızma testleri yaptırıp bu testlerin raporları da belli kurumlar tarafından denetime tabi tutuluyordu. Ancak, sızma testi raporlarının doruluğunu denetleyen kurumların siber güvenlik direktörlüğünün Palo alto gibi yabancı menşei olan ürün ve hizmetler için “ne yapalım yerli merli olmuyor işte biz de Palo Altoyu çakıp geçiyoruz” gibi yaklaşımların ulusal güvenliğimize tehdit oluşturmasının yanı sıra tıpkı BTK’nın Milli ve Yerli Siber Güvenlik başlıklı etkinliklerini Palo Alto gibi bir İsrail markasının sponsorluğunda yapıp övünmesi sonrası bu işe en üst düzeyden de el atılmış oldu.
Son olarak kurumlarımızda daha önce birçok kurum içi genelge yayınlanmış olmasına rağmen hiçe sayılan gmail, Hotmail gibi mail adreslerinin ve whatsapp benzeri uygulamaların da kullanılması yasaklanıyor. Alternatif olarak da yerli ve milli platformların kullanılması isteniyor.
Bilgi ve İletişim Tedbirleri hususlarında denetimi ele alan Cumhurbaşkanlığı’nın birbirinden kıymetli tüm çalışanlarına yürekten teşekkür ederek Siber Güvenilir bir Türkiye için özellikle gençlerin http://www.cbddo.gov.tr/ internet sayfası üzerinden çok daha fazla etkileşimde kalmalarını da tavsiye ederim.
