Cumhurbaşkanlığı tarafından bir kaç gün önce “Bilgi ve iletişim güvenliği tedbirleri” genelgesi yayınlandı[1]. Bu tedbirleri turk-internet.com okuyucuları için detaylı inceledik. Daha ileride yayınlanacağı belirtilen rehberin içeriği için bazı tartışmalı konuları da belirledik.
Gecikmiş Bir Genelge, Zararın Neresinden Dönülebilir?
Genelge, “Dijital Dönüşüm Ofisi” tarafından hazırlanmış. Daha önce yayınladığımız haberde de belirttik. Bu genelge, çok gerekli ve önemli konuları vurguluyor. Bu nedenle tebrik edilmesi lazım.
Ancak bazı açılardan gecikmiş bir genelge. Geciktiren “Dijital Dönüşüm ofisi” değil. Geciktiren Türkiye Cumhuriyetinin diğer ilgili bölümleri. Örneğin; ben bunun 2007’de adına Bilişim teknolojileri eklenen BTK tarafından çok daha önce yayınlanması gereken bir genelge olduğunu düşünüyorum.
Gerçi Ulaştırma Bakanlığı Haberleşme Genel Müdürlüğü 2014 yılında, “Kamu Kurumların Uyması Gereken Asgari Kriterler” yayınlamıştı. Ama o da gecikmeliydi. Orada daha farklı teknik yaklaşımlar yer alıyordu.
“Her neyse gecikmeli, mecikmeli de olsa yayınlandı ya” denilebilir. Ama üzerinde durmamızın nedeni, dönülecek noktanın çok ileride olması. Yani bu 10 yıl önce yayınlansaydı –ki o günlerde Alman hükümetinin sistemlerinden Microsoft’u çıkardığını yazıp, çiziyorduk. Yani önlerinde örnek de vardı. Belki daha az yabancı yazılım ve donanım alınırdı. Oysa tam tersine, bir çok kamu ihale haberimizde de yazdığımız üzere, bırakın yerliye avantaj sağlamayı, yerliyi dışlayan ihaleler yapıldı hep.
Bazı kamu bilgi işlemcilerine “neden yerliyi dışlayan ihale şartnameleri yazıyorsunuz” diye sorduğumuzda, “Ben teftiş ediliyorum. Yabancı ürünler kaliteli, yerliler değil. Eğer yerli alıp da sonra yazılımı yapan firma kapanırsa, ben teftişte ne yaparım” diyen yöneticilerle karşılaştık.
Oysa, yabancı ürünlerin kalitesi de, kendisinden menkul. Örneğin “Gartner Magic Quadrant” isimli rapor bir “kaliteli ürün” raporu. Kamu ihalelerinde şartlardan birisi olarak konulabiliyor. Ancak bu rapora girebilmek için 300.000-400.000 $ gibi paralar ödeniyor. Üstelik bazen baktığınızda, bir firmanın kardeş şirketinin ürünlerinin hep birlikte ilk 2-3’ü kapattığı görülüyor. Bir anlamda bu listelerde yerli firmaların yer alması zor.
Yani yerli bir ürünsünüz. Belki iyisiniz de ama 300 bin $ vermek istemezseniz, ya da veremezseniz, kamu ihalesinden dışlanabilirsiniz. Yabancı bir ülkenin kamu ihalesi olsa anlaşılabilir bir şey. Ama Türkiye’de yabancı bir araştırma firmasının, nasıl sıralandığı da bilinmeyen sıralaması, kamu kurumlarında belirleyici oluyor.
Böylesine traji-komik bir durumu, böyle bir genelge daha önceki zamanlarda engelleyebilirdi. Şimdi nasıl dönülecek? Ya da bu genelge de sadece ALGI olarak mı kalacak?
Şimdi yıl 2019. Bugüne kadar alınan o kadar donanım ve yazılım nasıl değiştirilir, ne kadar zamanda değiştirilir. Ya da değiştirilebilir mi? Genelgenin bütün iyi niyetine rağmen, ortada böyle bir soru var.
Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Neyi Amaçlıyor?
21 maddelik Genelge, güvenlik risklerine dikkat çekiyor. Bilginin dijital ortamlara taşınması, bilgiye erişimin kolaylaşması, altyapıların dijital hale gelmesi ve bilgi yönetim sistemlerinin yaygın olarak kullanılmasının ciddi güvenlik risklerini beraberinde getirdiği belirtiliyor.
Bu kapsamda karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla alınacak tedbirler belirlendi.
Özetle, verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak amacıyla, özellikle milli güvenliği tehdit edebilecek türdeki verilerin korunmasına yönelik tedbirler sıralanmış.
Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi maddeleri
1 | Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır. |
50 milyon vatandaşın kişisel verilerinin çalındığı hatırlanırsa, bu önemli bir madde. Ancak verilerin yurtiçinde kalması, örneğin IBM, Amazon ya da Azure gibi bulut servislerinden hizmet alımının gözden geçirilmesi anlamına geliyor. Bunu nasıl yapacaklar merakla bekliyoruz. Kişisel Verilerin Korunması Kanununa rağmen, sağlık verilerinin hala tartışma konusu olması da bir başka odak noktası. SGK’nın geçmişte bu verileri AKPli bir milletvekilinin şirketine satmış olduğu konusu da hala hatırlarda. | |
2 | Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları değiştirilmeye karşı önlem alınarak saklanacaktır. |
Bu da önemli bir madde. Ancak ağın ve ağdaki cihazların güvenliğinden nasıl emin olacağız. Dünyanın en büyük internet erişim firmalarından Cisco, Juniper, Fortinet gibi pek çok cihazda arka kapı açığı ya da bilinçli böcek koyma olayları hala hatırlarda. | |
3 | Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır. |
Kamuda bir Kamu Entegre Veri Merkezi planlanıyordu. Ancak bu yıllardır tamamlanamadı. Diğer yandan yerli veri hizmeti sektörü de, yine Türk Telekom’un tekel olması (toptan fiyatların pahalılığı) ve trafik değişim noktası olmaması nedeniyle bir türlü varlığını yükseltemiyor. | |
4 | Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır. |
PTT tarafından geliştirilen PTT Messanger (adı bile yerli değildi) % 100 yerli ve milli olarak, bizzat zamanın başbakanı tarafından tanımlanmıştı. Bu nedenle bu maddeye de “çok gerekli” ama “nasıl” diye bakıyoruz. | |
5 | Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır. |
Sosyal medyanın “doğrudan haberleşme kanalları”nın hedeflendiğini düşünüyoruz. Buradan haberleşme yapan gizlilik dereceli bilgiye sahip yöneticiler varsa, çok ilginç bir durum olur. | |
6 | Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir. |
Bunun anlamı, sosyal medya ve haberleşme uygulamalarında yerli olanların . teşvik edileceği midir? Çünkü önceki yıllarda geliştirilen bazı uygulamalar bizzat BTK tarafından engellendi. | |
7 | Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır. |
Tempest ABD’nin ve NATO’nun uyguladığı güvenlik standartlarına verilen ad [2]. | |
8 | Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır. |
Önemli bir başka madde. | |
9 | Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır. |
Avustralyalı bir bakanın, Çin’e giderken bilgisayarını yanına almadığını hatırlatalım. Kamuda kullanılan herşeyin kontrol altında olması lazım. Malum zincir en zayıf halkası kadar güvenlidir. Siber saldırılar da hep bu zayıf halkaları bulur. | |
10 | Kişisel olarak kullanılanlar da dâhil olmak üzere kaynağından emin olunmayan taşınabilir cihazlar (dizüstü bilgisayar, mobil cihazlar, harici bellek/disk, CD/DVD vb.) kurum sistemlerine bağlanmayacaktır. Gizlilik dereceli verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanımsal ve/veya yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek; bu amaçla kullanılan cihazlar kayıt altına alınacaktır. |
Yine aynı konu. Yani zayıf halka konusu. Bu da önemli bir madde. | |
11 | Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır. |
Önemli diğer bir madde. | |
12 | Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır. |
Taahhütname yeter mi? Emin değiliz. Çünkü arka kapıları ortaya çıkan donanım firmalarının “aaa bilmiyorduk” yaklaşımı içine girdiğini gördük. Bu firmalar soruşturma açtıklarını söylediler ama sonrasında bu soruşturmaların sonuçları da hiç açıklanmadı. Bu nedenle taahhütname yerine test merkezi kurmak gereklidir. | |
13 | Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacaktır. Temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacaktır. |
Önemli bir madde daha. | |
14 | Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacaktır. |
Siber tehditlerin yükseldiği düşünülürse, SOME ve USOM organizasyonlarının daha iyi çalıştırılması gerekli. | |
15 | Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak yapılması sağlanacaktır. |
Yetkilendirme konusu yetersiz olduğu ve kamu kurumlarına yazılım yapan firmalardaki yetkisiz elemanların bile verilere eriştiği görülmüştü. Bunun yeniden ele alınacağını düşünüyoruz. | |
16 | Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise gerekli güvenlik önlemleri (güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb.) alınacaktır. |
Endüstriyel kontrol sistemlerinin günümüzde ne kadar önemli olduğu biliniyor. Bunlar hackerların hedefinde. Bu nedenle de kritik altyapılara yönelik güvenlik önlemlerinin alınması çok önemli | |
17 | Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması veya arşiv araştırması yaptırılacaktır. |
Bugün sadece kamu değil, özel sektördeki altyapı personelinin aynı şekilde güvenlik soruşturmasından geçmesi, belki bir sınıflandırma yaratılması gerekir. | |
18 | Kamu e-posta sistemlerinin ayarlan güvenli olacak biçimde yapılandırılacak, e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacaktır. |
Bu önemli bir karar. Özellikle kamu kurumu yöneticilerinin haberleşmesi açısından. Bugün çoğunun gmail hesabı var. Zaman zaman bu hesaplardan haberleşme yapılıyor. | |
19 | Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de internet değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır. |
Bu yıllardır bahsettiğimiz bir konu. Sektördeki alternatif operatörleri oluşturmak için 2000 yılında kurulan BTK, 2004 yılında serbestleşme ilan edilmesine karşın yaptığı uygulamalarla, Türk Telekom’un tekel kalmasına yardımcı oldu. Bu nedenle diğer operatörlerin kurduğu TNAP gibi değişim noktalarına Türk Telekom girmediği zaman trafik değişim noktaları olamıyor. Oysa trafik değişim noktaları –ticari yararlarından bahsetmek bir yana– ülkelerin siber güvenliğinde ilk cephe olarak çalışır. | |
20 | İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacaktır. Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır. |
Radyolink haberleşme yani havadan haberleşme güvenlik riski taşıdığı için fiber optik kablolarla taşınma öngörülüyor. | |
21 | Bunların dışında genelgede bir Bilgi ve İletişim Güvenliği Rehberi hazırlanması gerektiği ve uygulanması konusunda düzenli denetimlerin yapılması gerektiği belirtilmiş. |
Bu madde zaten olmazsa olmazı. Yani hem yukarıdaki işlemlerin nasıl yapılacağına dair bir rehberin hazırlanması, hem de işlemin yapıldığına dair denetimlerin yapılıyor olması. |
[1] Cumhurbaşkanlığı, Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Yayınladı