Geçen yıl temmuz ayında yayınlanan Cumhurbaşkanlığı Genelgesi, sektörde bir hayli heyecana yol açtı[1]. Çünkü bilişim ve telekom alanındaki bazı sahipsiz konuların ele alınmaya başladığını gösterdi. Arkasından da ekim ayında dijital dönüşüm ofisine e-Devlet, Siber Güvenlik, Dijital Dönüşüm, Yapay Zeka, Büyük Veri ve bir çok başka görev tevdi edildi [2].
Biz de bu konulardaki süreçlerin neler olduğu ve nasıl çalıştırılacağı gibi konulardaki soruları Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisine sorduk. Aldığımız cevaplar şu şekilde;
turk-internet.com : Devletin Bilgi ve İletişim Teknolojileri konusunda, bir takım strateji ve yol planları var (geniş bant stratejisi ya da siber güvenlik stratejisi gibi). Bir kısmı da son yılını bitirdi. Bu stratejiler aynen yayınlanmaya devam edecek mi? Ya da tek bir strateji altında toplanacak mı? Buna nasıl bakıyorsunuz?
Hâlihazırda var olan ve 2019 sonunda süresi dolan mevcut stratejiler, hedeflerin gerçekleşme durumu değerlendirilerek 2020 programı çerçevesinde yenilenecek ve yayınlanacak. Bunun yanında, ilk kez hazırlanmakta olan Ulusal Yapay Zekâ Stratejisi de tamamlanarak yayınlanacak. Tüm stratejilerin ilerde bütüncül bir bakış açısıyla Dijital Türkiye Stratejisi altında birleştirilmesi düşünülüyor.
turk-internet.com : Cumhurbaşkanlığının 48 nolu genelgesi ile e-devlet, siber güvenlik, yapay zeka gibi konular Dijital Dönüşüm Ofisinin görevi haline geldi. Acaba bu konuda nasıl ilerleyeceksiniz? Bunları hemen üstlendiniz mi? Zaman içinde mi olacak?
Sizin de ifade ettiğiniz üzere 1 sayılı Cumhurbaşkanlığı Kararnamesinde değişiklik yapan 48 sayılı Cumhurbaşkanlığı Kararnamesinin 30928 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdiği 24.10.2019 tarihi itibariyle, Dijital Dönüşüm Ofisi’nin görevleri ve sorumlulukları daha da arttı. Bu doğrultuda, 2019 yılı Ekim ayından bu yana Kararnamede yer alan görevlerinin yerine getirilmesine ilişkin yoğun bir mesai yürütülmektedir.
Bu çerçevede Ofis bünyesinde, Dijital Dönüşüm Koordinasyon Dairesi, Dijital Uzmanlık, İzleme ve Değerlendirme Dairesi, Siber Güvenlik Dairesi, Büyük Veri ve Yapay Zekâ Uygulamaları Dairesi, Uluslararası İlişkiler Dairesi, Dijital Teknolojiler, Tedarik ve Kaynak Yönetimi Dairesi Başkanlıklarına Cumhurbaşkanlığı Kararnamesi ile tevdi edilen görevler çerçevesinde bir çok proje üstlenmiş durumdadır.
İlaveten 11. Kalkınma Planı ve 2020 yılı yıllık programında Ofisimizin koordinasyonuna verilen politika ve tedbirlere ilişkin çalışmalarımızı da hız kesmeden sürdürmekteyiz.
turk-internet.com : Temmuz ayında yayınlanan Cumhurbaşkanlığı Genelgesi, yerli sektör açısından 30 yıl kadar gecikmiş ama yerinde bir genelge şeklinde değerlendirildi. Ama bu 30 yıllık gecikme bu genelgede yazılı pek çok konunun gerçekleştirilmesini zorlaştırıyor. Bunu nasıl yapacaksınız?
Toplumların hayatına yön verebilme potansiyeli bulunan ve içinde bulunduğumuz çağın en kıymetli unsuru olan verinin dijital ortama taşınması, siber tehdit ve saldırıların doğasını da değiştirmiş durumda. Geçmişte daha sade yöntemler, basit amaçlar ve belirli yetkinlikte kişiler tarafından gerçekleştirilen siber saldırılar, artık devletler düzeyinde, otomatize edilmiş, daha sık, karmaşık, yıkıcı ve hedef odaklı olmaya başlamıştır. Bu da ülkelerin tıpkı sınırları gibi verilerini ve dijital altyapılarını da korumasını zorunlu hale getirmiştir.
Şüphesiz dünyanın hiçbir yerinde bu alanda yüzde yüz bir güvenlikten bahsetmek mümkün değildir. Ancak, siber güvenlikte yeterli olgunluğa erişmenin en önemli bileşenleri olan insan, teknoloji, organizasyon yapısı, yasal düzenleme, ulusal ve uluslararası işbirliği boyutlarının her birinde atılacak doğru ve bilinçli adımlarla yıkıcı etkilerden uzak durmak mümkündür.
Bu anlamda, Genelge ve beraberinde hazırlanmakta olan Rehber, yasal düzenleme boyutunda ülke çapında bilgi güvenliğini seviyesini artırmak için önemli bir adım olmuştur. Bir bütün olarak değerlendirildiğinde tüm maddelerin arkasındaki temel yaklaşımın ülkemizin verisinin ülkemizde kalması, veri mahremiyetine dikkat edilmesi, yerli ve milli çözümler üretilmesi ve kullanılması başlıkları altında toplandığı görülebilir.
Kamu kurumlarını, kritik kamu hizmeti veren şirketleri ve hatta bireyleri, anonimleştirilmemiş ve gizliliği, bütünlüğü ve erişilebilirliği bozulduğunda milli güvenliği ve kamu düzenini tehlikeye sokacak kritik türdeki verilerin güvenliğini riske atacak yaklaşımlardan uzak tutmak en önemli hedeflerden biridir.
Yasal düzenleme boyutunun yanında, siber güvenliğin diğer boyutlarına yönelik herkesin hemfikir olduğu ve yıllardır üzerinde durulan önlemlerin hayata geçirilmesinde karşılaşılan zorlukların ve tıkanıklıkların aşılarak hedeflenen seviyeye ulaşılmasında organizasyon yapısının en kritik bileşen olduğunu görüyoruz. Bu anlamda farklı kurumlarda ayrı ayrı sürdürülen çalışmaların Cumhurbaşkanlığı çatısı altında üst seviye koordinasyonu amacıyla doğrudan Cumhurbaşkanına bağlı Dijital Dönüşüm Ofisi’nin kurulması en önemli adımlardan birisi olmuştur.
turk-internet.com : Bir yandan da kamu ihalelerinde, genellikle bazı maddelerin yerli firmaları zorladığını görüyoruz. Örneğin Gartner listesi gibi bir madde konuluyor ki, Bu Gartner denilen liste tarafsız bir liste değil. Ancak çok yüz bin $’lı ücret ödenerek girilen bir liste. Bilişim ve İletişim ihaleleri açısından düşünceleriniz nelerdir?
Bağımsız değerlendirme kuruluşlarının, bilgi ve iletişim teknolojilerine ilişkin ürünleri kıyaslayarak gelişim ve olgunluk seviyelerini değerlendirmesi rekabeti ve buna bağlı olarak ürünlerin yetkinliklerini artırmayı desteklemesi yönünden değerli bir konu. Ancak tek başına bu kriterin ihalelerde teknik gereksinimlerin ötesine geçerek seçilecek ürün konusunda belirleyici olması durumu kabul edilebilir değildir.
Yerli firmaların ürünlerinin olgunluk seviyelerini geliştirerek global rakipleri ile rekabet edebilecek duruma gelmelerini, bu sayede “global ve milli” şeklinde nitelendirebileceğimiz ürünlerin sayılarının giderek artmasını hedefliyoruz. İhalelerde ihtiyaç duyulan teknik yeterliliğin milli ürünler ile karşılanabileceği durumlarda ise, bu ürünlerin tercih edilmesini sağlayacak düzenlemeleri de arttıracağız.
Temmuz ayında yayınlanmış olan Bilgi ve İletişim Güvenliği Tedbirleri konulu ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi ile hazırlık çalışmalarını sürdürdüğümüz “Bilgi ve İletişim Güvenliği Rehberi” bu kapsamda değerlendirilebilecek önemli düzenlemeler getirmektedir.
turk-internet.com : Aynı kapsamda denilebilir. Siber saldırı almış –kişisel verilerin de hacklenmiş olduğu– firmaların yayınlanması konusunda da bir çalışmanız olabilir mi?
Gerçekleşen siber saldırılara ilişkin sorumlu bildirim yükümlülüğü, henüz dünyada kapsamı ve sınırları net olarak tanımlanabilmiş ve yaygın olarak uygulanabilmiş bir düzenleme değil. Ancak bu konuda Avrupa Birliği, OECD ve NATO nezdinde yürütülen çalışmalar var ve biz bunları yakından takip ediyoruz.
Konunun ulusal güvenliği ilgilendirebilecek hassas bir boyutu olmakla birlikte, diğer taraftan saldırılara ilişkin bilgilerin anonimleştirilerek paylaşılması, önceki saldırılara ilişkin öğrenilmiş derslerin tüm kurum, kuruluş ve işletmelerce incelenerek güvenlik tedbir seviyelerinin buna göre düzenli olarak gözden geçirilmesini gerekli görüyoruz. Bu kapsamda ulusal çapta etkin bir siber tehdit istihbarat ağının oluşturulması ve yaygın olarak kullanılması yönünde çalışmalar başlattık.
turk-internet.com : Yanısıra, bir yandan Türkiye’nin verileri Türkiye’de kalsın diyoruz ama… gerek internet trafik değişim noktasının olmayışı, gerek elektrik (enerji) ve internet fiyatlarının pahalı olması (en azından veri merkezi için teşvik olmaması) nedeniyle ülkemizde sağlıklı bir veri merkezi sektörü + bulut hizmetleri sektörü oluşamıyor.. Sadece kamu tarafına mı bakacaksınız? Özel sektör tarafında da önlem alacak mısınız?
Ülkemizde veri merkezi ve bulut hizmetleri sektörleri son dönemde kayda değer bir hızla gelişiyor. Bu gelişimin daha üst seviyelere çıkartılabilmesini sağlayacak teşvik dışında birçok faktör var. Bulunduğumuz çağın en kıymetli unsuru olarak nitelendirilen verinin ülkemize çekilmesini sağlayabilirsek bağlantılı sektörlerin gelişimi de daha kolay olacaktır. Bu amaçla “Türkiye’nin verisi Türkiye’de kalacak” söylemiyle çıktığımız yolda hedefimiz yalnızca Türkiye’nin verisi değil, küresel firmaların verilerini de ülkemize getirecek çözümler üretmek. Bunun önemli bir aşamasını hem kamu hem de özel sektör için getirilecek yasal düzenlemeler ile sağlamak mümkün, ancak ihtiyaç görülmesi halinde teşviklerin sağlanması da değerlendirilebilir.
turk-internet.com : Yabancı üretici kurumların yazılım ve donanımları konusunda, taahhütname alınacağını belirtiyorsunuz. Bir yandan da bunları inceleyecek, ülkeye giren yazılım ve donanımın güvenliğinin inceleneceği bir yapı düşünüyor musunuz?
Bilgi ve iletişim teknolojilerinin doğası gereği zaman içerisinde bu ürünlere ilişkin güvenlik açıklıkları oluşabilir ya da tespit edilebilir. Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi kapsamında getirilen düzenleme, bazı ülkelerin, üreticilerine istihbarat amaçlı arka kapı bırakma zorunluluğu getirme girişimleri de göz önünde bulundurularak, uygulama, veri ve sistem güvenliği kapsamında, yazılım ve donanımlarda kasıtlı oluşturulan arka kapı zafiyetlerine karşı alınan caydırıcı nitelikte bir tedbirdir. Kurum ve kuruluşlarca yapılacak yazılım ve donanım teminleri için hazırlanacak şartnamelerde bu konuda hassasiyet gösterilmesi, mümkünse ürünün arka kapı içermediğine dair taahhütname alınması istenmektedir. Taahhütname alınsın veya alınmasın, arka kapı tespiti durumunda, mevcut mevzuat çerçevesinde adli ve idari soruşturma süreçlerinin işletilmesi, arka kapı zafiyetinin duyurularak alımın iptali ve firmanın yasaklı duruma düşürülmesi gibi yaptırımlar uygulanabilecektir.
Bununla birlikte, yerli test altyapı envanterini oluşturmak, Türkiye’de yapılması gereken bazı testlerin yurtiçinde yapılabilmesini sağlamak ve kamu adına bağımsız ve güvenilir test otoritesi olmak amacıyla kurulmuş olan TRTEST Test ve Değerlendirme A.Ş.’nin bu alanda başlattığı çalışmalar mevcuttur. Bu çalışmalar sonucunda, ilerideki dönemde siber güvenlik ürünlerinden başlamak üzere tüm bilgi ve iletişim teknolojisi ürünlerinin belirlenen güvenlik kriterleri uyarınca ulusal olarak kabul görecek bir nitelikte etiketlenmesi düşünülebilir.
turk-internet.com : Endüstriyel kontrol sistemleri ve kritik altyapılar konusunda ne tür yaklaşımlar planlıyorsunuz?
Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi, tüm kamu kurum ve kuruluşları ile kritik altyapı sektörlerinden “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Ulaştırma”, “Bankacılık ve Finans”, “Sağlık”, alanlarında kamu hizmeti veren işletmeleri kapsıyor. Hazırlık çalışmaları sürdürülen Bilgi ve İletişim Güvenliği Rehberi’nde kritik altyapıların güvenliği konusu özel bir alt başlık olarak ele alınıyor ve faaliyet alanına özgün güvenlik tedbirlerinin alınmasını zorunlu tutuluyor. Rehberin uygulama süreçlerinde, endüstriyel kontrol sistemleri ile kritik bilgi altyapıları için varlık gruplarına dayalı olarak kritiklik derecesi belirleme ve bu kritiklik derecesi ile uyumlu olarak gerekli asgari güvenlik tedbirlerinin alınması sağlanacak. Gerçekleştirilecek iç ve dış denetimler ile de kritik altyapıların güvenliğine ilişkin mevcut durumumuzu ve potansiyel gelişim alanlarımızı daha net bir biçimde izleyebileceğiz.
turk-internet.com : Genelgede çok önemli bir madde de 19cu madde.. İstanbul’un Kafkaslar, Ortadoğu (hatta Asya), Afrika ve Avrupa arasında bir kavşak noktası olma özelliği bugüne kadar değerlendirilmedi. İnternet Trafik Noktası kurulumu yıllardır mümkün olmadı. Bunu nasıl gerçekleştirmeyi planlıyorsunuz?
Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi’nin 20. maddesi haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmecilerce yerine getirilmek üzere, veri güvenliği, iletişim güvenliği ve yurt içi iletişim trafiğinin yurt dışına çıkarılmamasına yönelik genel çerçeveyi belirten düzenleyici bir tedbirdir. Söz konusu tedbirin uygulanmasına ilişkin teknik, hukuki ve ticari hususlar yetkili düzenleyici ve denetleyici kurum tarafından yapılacak düzenlemeyle belirlenecektir. Hâlihazırda Türkiye’de faaliyet gösteren yabancı menşeili bir internet değişim noktası bulunmakla birlikte; gerek fiber optik veri iletimine ilişkin altyapı yatırımlarının artması, gerekse küresel ölçekteki sosyal medya ve içerik sağlayıcılarına ait verinin Türkiye’ye gelmesini sağladığımız koşullarda yurtiçindeki İnternet Değişim Noktası sayısının artması mümkün olacaktır.
turk-internet.com : Bilgi ve İletişim Rehberi hazırlıkları ne durumda?
Bilgi ve İletişim Güvenliği Genelgenin yürürlüğe girmesini müteakiben, Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, “Bilgi ve İletişim Güvenliği Rehberi” hazırlama çalışmaları başlatılmıştır.
Bu kapsamda içerik ve formatla ilgili hazırlanan ilk taslak görüş, öneri ve katkıların alınması amacıyla ilgili tüm paydaşlara gönderildi. Gelen görüşler değerlendirilerek hazırlanan 2. taslak
Rehberin içeriğinin olgunlaştırılması amacıyla, kamu kurum ve kuruluşlarıyla, kritik altyapı hizmeti veren özel işletmelerde çalışan yaklaşık 180 uzmanın katılımıyla 5 gün süren bir değerlendirme çalıştayı gerçekleştirildi.
Veri mahremiyetinin önemine değinilen çalıştayda, karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanmasına yönelik tedbirler tartışıldı.
Çalıştay sonrası oluşan 1600’ün üzerinde öneri ve katkının değerlendirme süreci devam ediyor. Beklenenin üzerinde öneri ve katkı gelmesi 2019 sonu olan tamamlanma takvimini biraz öteledi. Uzun vadede ülkemizin bilgi sistemlerinde, bilgi ve iletişim güvenliğinin sağlanmasına kılavuzluk etmesi hedeflenen rehberin 2020’nin ilk aylarında tamamlanması ve ardından kurumların rehberde belirtilecek program çerçevesinde kademeli olarak sistemlerini rehbere uyumlu hale getirmesi hedefleniyor.
turk-internet.com : Kamu Verilerinin halka açılması konusunda bilgi alabilir miyiz?
Ülkelerin en büyük veri üreticisi olan kamu kurumları iş süreçlerinde çok farklı çeşitlilikte veri üretmektedir. Bu verilerden üretilecek değerlerin ise sosyo-ekonomik getirileri olmaktadır. Devlet verilerinin paylaşımı ve yeniden kullanılabilirliğinin sağlanması adına ülkelerde açık devlet verisi portalleri kurulmaktadır. Açık devlet girişimleri olarak adlandırılan bu süreçlerde açık devlet verilerinden değer üretmek ve bu sayede ekonomik ve sosyal kazanımlar sağlamak amaçlanmaktadır. Türkiye’de de açık devlet girişimleri ekseninde CBDDO bünyesinde veri.gov.tr. projesi başlatılmış ve çalışmalar yapılmaya başlanmıştır. Kamu kurumlarının ürettiği veriler açık devlet verisi ilkeleri çerçevesinde gizlilik koşulları belirlenip, tanımlanarak halka açılacaktır. Söz konusu verilerin açıklığının sağlanması ile birçok alanda dünya örneklerinde de olduğu gibi katma değerli ürünler ve hizmetler ortaya çıkmasını beklemekteyiz.
turk-internet.com : Elektronik kimliklerle ilgili çalışmalar ne durumda?
Teknolojik gelişmeler, bürokrasinin azaltılması, hizmetlere erişimin kolaylaştırılması, usulsüzlük ve mali kayıpların en aza indirilmesi ihtiyacı, nüfus cüzdanlarının yerini alacak kimlik kartı uygulaması gerektirmiş ve T.C. İçişleri Bakanlığı tarafından vatandaşlarımıza yeni çipli kimlik kartları dağıtılmıştır. 2020 yılı itibariyle yeni kimlik kartları 45 milyondan fazla kişiye verilmiş durumdadır.
Çipli kimlik kartları birçok dijital hizmete erişimi kolaylaştıracak bir kapıyı aralamıştır. Ancak bu kartların güvenli bir şekilde dijital hizmetlerde kullanılabilmesi için çeşitli sertifikasyon ve doğrulama süreçlerine ihtiyaç duymaktadır. Bu kapsamda Dijital Dönüşüm Ofisi, İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü ve TÜBİTAK Kamu SM ile birlikte elektronik kimlik doğrulamasına ilişkin bir mevzuat çalışmasına başlamıştır. Bu çalışma kimlik kartı ile gerçekleştirilecek kimlik doğrulama sisteminin usul ve esasları yasal bir çerçeveye oturtacaktır. Elektronik kimlik doğrulama sistemine ilişkin yasal sürecin tamamlanması ve güvenli kimlik doğrulama cihazlarının yaygınlaşması ile birlikte, alışveriş, bankacılık ve noter işlemleri, sağlık hizmetleri ve hatta sosyal medya hesaplarının yönetilmesine kadar birçok alanda kimlik kartlarının kullanılması mümkün hale gelecektir.
turk-internet.com : Dijital Dönüşüm Ofisi eleman arıyor mu? Buraya başvurmak isteyenler nereye başvurabilir?
Dijital Dönüşüm Ofisi, 5523 sayılı Kanunun 10. Maddesi, 1 sayılı Cumhurbaşkanlığı Kararnamesi’nin 529. Maddesi ve 375 sayılı Kanun Hükmünde Kararname Ek-25 ve Ek-26’ncı Maddeleri çerçevesinde personel istihdam etmektedir.
Başkanlığımızın uzman ekibi tarafından ihtiyaç duyulan niteliklere uygun özgeçmiş havuzu oluşturulmasının ardından, öncelik ve ihtiyaçlar doğrultusunda yetenek ve yetkinlik kıstaslarına göre iş mevzuatı çerçevesinde sınavlar gerçekleştirilmektedir.
Yetenek ve yetkinlik kıstaslarımızın belirlenmesinde; Adayın, Başkanlığımızın ilgili birimlerinin görev tanımları çerçevesinde, misyon ve vizyonumuza sahip çıkıp daha iyi noktalara getirebileceğine inandığımız, alanında deneyim, ehliyet ve liyakat sahibi olması hususlarına önem vermekteyiz.
[1] Cumhurbaşkanlığı, Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Yayınladı