Türkiye’nin siber güvenlik yapılanması son 13 yılda üç kurumsal dönüşüm geçirdi. 2012 yılında Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde kurulan Siber Güvenlik Kurulu ve uzantısındaki Ulusal Siber Olaylara Müdahale Merkezi (USOM) ve SOME yapısıyla başlayan süreç, 2019’da Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin kurulması ve siber güvenlik koordinasyonunun önemli bölümünün bu kuruma aktarılmasıyla yeni bir evreye girdi. 2025’te ise bu kez Siber Güvenlik Başkanlığı kuruldu. Dijital Dönüşüm Ofisi’nin ilgili birimleri, BTK’daki USOM yapılanması ve Türksat’ın bazı ekipleri yeni çatı altında toplandı.
Kâğıt üzerinde bakıldığında bu süreç, Türkiye’nin siber güvenlik kapasitesini güçlendirmeye yönelik ardışık reformlar olarak görülebilir. Ancak geriye dönüp bakıldığında akla gelen ilk soru şu oluyor: “Bunca kurumsal yapılanma değişikliği, Türkiye’yi daha güvenli hale getirdi mi?”
İlk Adım: USOM ve SOME Yapılanması
Türkiye’nin ulusal siber güvenlik mimarisi 2012 yılında BTK bünyesinde kurulan Siber Güvenlik Kurulu ve altındaki Ulusal siber olaylara müdahele merkezleri (USOM) ile şekillenmeye başladı. Kamu kurumları, bankalar gibi bazı özel şirketler ve kritik altyapılar için SOME (Siber Olaylara Müdahale Ekipleri) modeli oluşturuldu. Amaç; siber saldırıları erken tespit etmek, tehdit istihbaratı üretmek ve kurumlar arasında koordinasyonu sağlamaktı. Bu model bir süre Türkiye’nin ana siber güvenlik omurgasını oluşturdu. Ama yaptığı iş proaktif yaklaşım ya da siber istihbarattan yani aktif korumaktan çok, antivirüs firmalarının zaten duyurmuş olduğu zararlı yazılımları, sunucularda duyurulan güvenlik açıklarını ve Microsoft gibi firmaların yayınladığı yamaları duyurmak oldu. Örneğin siber dolandırıcılıklar ya da fidye ve ddos saldırılar durmadığı gibi, çok milyonlu kimlik verileri sızmaları yaşadık.
2019: Dijital Dönüşüm Ofisi Dönemi
Cumhurbaşkanlığı Hükümet Sistemi sonrasında kurulan Dijital Dönüşüm Ofisi’ne yalnızca e-Devlet projeleri değil, bilgi ve iletişim güvenliği politikalarının oluşturulması görevi de verildi. Aynı yıl yayımlanan Bilgi ve İletişim Güvenliği Tedbirleri Genelgesini çok olumlu karşıladık. Çünkü, kamu kurumları için yerli ürün kullanımından kritik verilerin Türkiye’de tutulmasına kadar birçok yeni yükümlülük getirdi. Birkaç ay sonra da BTK’nın yürüttüğü birçok koordinasyon görevi Dijital Dönüşüm Ofisi’ne devredildi.
O dönemde bu gelişme, siber güvenliğin teknik bir BTK faaliyeti olmaktan çıkıp doğrudan Cumhurbaşkanlığı koordinasyonuna taşınması olarak yorumlandı. Ama dijital dönüşüm ofisi aradan geçen 6-7 yılda, tam bir hayal kırıklığı oldu.
Zaten aynı dönemde İlginç Bir Çelişki Yaşandı
Zaten aynı dönemde –devlette çekişme olarak yorumlayabileceğimiz– dikkat çekici bir gelişme daha oldu. Görevlerin önemli kısmı Dijital Dönüşüm Ofisi’ne aktarılmış olmasına rağmen, 2020 yılının Şubat ayında Cumhurbaşkanı Recep Tayyip Erdoğan bu kez BTK yerleşkesinde yeni USOM ve Siber Güvenlik Operasyon Merkezi’nin açılışını yaptı. Aradan geçen 4-5 seneye rağmen, bu açılışa ait haber ve resim yakın zamana kadar BTK’nın açılış sayfasında yer alıyordu.
Bu durum, kamuoyunda doğal olarak şu soruyu gündeme getirdi: Madem koordinasyon Cumhurbaşkanlığı’na geçmişti, neden operasyonel kapasite BTK’da büyütülmeye devam ediliyordu? Aslında o dönemde iki farklı yapı aynı anda varlığını sürdürüyordu. Bir tarafta politika ve standart belirleyen Dijital Dönüşüm Ofisi, diğer tarafta operasyonel müdahaleyi sürdüren BTK.
Son Perde: Siber Güvenlik Başkanlığı
2025 yılında çıkarılan yasa ile bu kez Siber Güvenlik Başkanlığı kuruldu. Yeni Başkanlık yalnızca USOM’u devralmadı. Dijital Dönüşüm Ofisi’nin siber güvenlikle ilgili görevleri, BTK’nın bazı yetkileri ve Türksat’ın ilgili ekipleri de yeni yapıya aktarıldı.
Üstelik Başkanlığın görev alanı yalnızca klasik anlamda siber saldırılarla mücadele etmekle sınırlı tutulmadı. İnternet altyapıları, sosyal medya platformları, çevrim içi oyun platformları, bulut sistemleri ve dijital hizmetlerin önemli bölümü de yeni Başkanlığın ilgi alanına girdi.
Bu da yeni bir tartışmayı beraberinde getirdi. Siber Güvenlik mi, Dijital Alanın Merkezileştirilmesi mi? Yeni Başkanlığın görev tanımı incelendiğinde, yalnızca teknik güvenlikten sorumlu bir kurumdan söz etmek zorlaşıyor. Görev alanı, internet altyapıları, sosyal medya platformları, dijital servisler, kritik altyapılar, yapay zekâ ve bulut sistemleri gibi çok geniş bir alanı kapsıyor.
Devlet açısından bakıldığında bunun gerekçesi anlaşılabilir. Bugün enerji santrallerinden bankalara, bulut servislerinden sosyal ağlara kadar hemen her dijital sistem kritik altyapının bir parçası haline gelmiş durumda. Dolayısıyla “siber güvenlik” kavramı artık yalnızca firewall veya antivirüsle sınırlı değil.
Ancak madalyonun diğer yüzü de var. Görev alanı genişledikçe, devletin dijital alan üzerindeki düzenleme ve denetim yetkisi de büyüyor. Bu nedenle tartışma artık yalnızca “daha güvenli internet” değil; aynı zamanda dijital yönetişimin sınırlarının nerede başlayıp nerede biteceği üzerine yoğunlaşıyor.
Asıl Ölçü Kurum Sayısı mı, Sonuçlar mı?
Belki de en önemli soru burada başlıyor. Türkiye son 13 yılda üç farklı kurumsal model denedi. Ancak aynı dönemde;
- milyonlarca vatandaşın kişisel verilerinin internete sızdığı iddiaları,
- kimlik bilgilerinin yasa dışı veri tabanlarında dolaşması,
- telefon ve SMS dolandırıcılıklarının hızla artması,
- kamu kurumlarına yönelik fidye yazılımı saldırıları,
- belediyelerden üniversitelere kadar uzanan veri ihlalleri
kamuoyunun gündeminden hiç düşmedi.
Örneğin 2024 yılında kamuoyunda büyük yankı uyandıran ve yaklaşık 85 milyon vatandaşın kişisel verilerinin sızdırıldığı iddiaları üzerine açılan davalar ve yapılan açıklamalar, Türkiye’nin kişisel veri güvenliği konusundaki tartışmaları yeniden alevlendirdi. Olayın ardından “veri ne zaman çalındı?”, “hangi kurum sorumluydu?” ve “neden yıllarca fark edilmedi?” soruları kamuoyunda geniş şekilde tartışıldı.
Dolayısıyla bugün başarıyı yalnızca yeni kurumların kurulmasıyla ölçmek yeterli görünmüyor. Asıl ölçüt şu olmalı:
- Vatandaşın verileri gerçekten daha mı güvende?
- Kritik altyapılar daha mı dayanıklı?
- Fidye yazılımı saldırıları azaldı mı?
- Dolandırıcılık şebekeleri zayıfladı mı?
- Kamu kurumları uluslararası güvenlik standartlarına daha mı uyumlu hale geldi?
Bu soruların çoğuna ilişkin kamuoyuyla düzenli performans verileri paylaşılmıyor.
Başarı Yetkiyle Değil, Sonuçla Ölçülür
Siber güvenlikte kurumsal yapılanma elbette önemlidir. Ancak dünyanın gelişmiş ülkelerinde başarı, kurulan kurumların sayısıyla değil, engellenen saldırılar, azaltılan veri ihlalleri, kritik altyapıların dayanıklılığı, ulusal tehdit istihbaratı üretimi ve vatandaşın kişisel verilerinin korunması gibi somut göstergelerle ölçülüyor.
Türkiye de artık benzer bir aşamaya gelmiş durumda. 2012’den bu yana üç kez değişen kurumsal mimarinin ardından kamuoyunun beklediği şey yeni bir kurum değil, ölçülebilir sonuçlar. Çünkü vatandaş açısından kurumun adı değişse de beklenti değişmiyor: Kimlik bilgilerinin internete düşmediği, telefon dolandırıcılarının kişisel verilere kolayca ulaşamadığı ve kritik altyapıların güvenle çalıştığı bir dijital Türkiye.
Belki de bugün sorulması gereken en önemli soru artık şu: 13 yılda kurumlar değişti, yetkiler merkezileşti. Peki Türkiye’nin siber dayanıklılığı gerçekten aynı hızda arttı mı, yoksa sadece organizasyon şemaları mı değişti?

Kaynak : 