2020-2023 arasını kapsayan, “Ulusal Siber Güvenlik Stratejisi ve Eylem Planı”na ilişkin Cumhurbaşkanlığı genelgesi yılın son günlerinde Resmi Gazete’de yayınlandı [1]. Cumhurbaşkanlığı Genelgesinde şöyle denildi :
“2023 hedeflerimiz doğrultusunda birçok alanda olduğu gibi siber güvenlik alanında da ülkemizin öncü konumunu ve bugüne dek gerçekleştirilen çalışmalarda elde edilen kazanımları daha da ileriye taşımak amacıyla önümüzdeki dönemin hedef, strateji ve eylemlerini belirleyen Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023), 5 Kasım 2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu uyarınca verilen görevler kapsamında Ulaştırma ve Altyapı Bakanlığı tarafından kamu, özel sektör, sivil toplum kuruluşları ve üniversitelerle iş birliği içinde hazırlanmıştır.
Bu itibarla, Ulusal Siber Güvenlik Stratejisi (2020-2023) Ulaştırma ve Altyapı Bakanlığının resmi internet sitesinde yayımlanacak olup bu strateji doğrultusunda hazırlanmış olan Ulusal Siber Güvenlik Eylem Planı (2020-2023) ise belirlenen faaliyetlerden sorumlu olan ve bu faaliyetlerin gerçekleştirilmesinde iş birliği yapılacak olan kurumlarla paylaşılacaktır.”
Stratejinin amacı şöyle özetlenmiş;
“Kamu ya da özel sektör tarafından işletilen kritik altyapılara ait bilişim sistemlerinin güvenliğinin sağlanmasına, Siber güvenlik olaylarının etkilerinin en düşük düzeyde kalmasına, olayların ardından sistemlerin en kısa sürede normal çalışmalarına dönmesine yönelik stratejik siber güvenlik eylemlerinin belirlenmesine ve oluşan suçun adli makam ve kollukça daha etkin araştırılmasının ve soruşturulmasının sağlanmasına yönelik bir altyapı oluşturmak”
Eylem Planı Verilmemiş
Ancak Ulaştırma Bakanlığı sitesinde yayınlanan raporda “Eylem Planı” yok [2]. O sayfalarda şöyle diyor ;
“Eylem Planı’nın yer aldığı 36 – 115 arasındaki sayfalar “Hizmete Özel” nitelikte olduğundan ilgili kurum ve kuruluşlarla paylaşılmaktadır.”
Önceki 2 “Strateji ve Eylem Planı” “2013-2014″ü ve “2016-2019″u kapsıyordu. İlkinde eylem planı detaylı yer alıyordu [3]. Ama ikincisi uyarımızdan sonra yapıldı. Çünkü 2015’de plan yapılmamış ve boş geçmişti. 2015 sonundaki ODTÜ dDOS saldırıları sırasında yazdığımız yazıda buna işaret etmiş ve Lütfi Elvan zamanında strateji ve eylem planı yapılmadığını hatırlatmıştık [5].
Dolayısıyla 2016-2019 strateji eylem planı da alelacele yapıldığı için eylem planı için 5 madde sayılmış ve detay verilmemişti.
2015 yılının atlanması gibi 2020 yılı da atlandı. Gerçi stratejinin tarihi 2020 verilmiş ama yılın son günlerinde yayınlandı. Atlamamış görünsün diye böyle konulduğunu düşünüyoruz.
Eylem Planı Neden Gizli?
Eylem planının gizli olması çok anlamlı gelmiyor. Çünkü “Siber Güvenlik” Halkın Kendisi + Özel Sektör + Kamu Sektörünün tamamını kapsar. Özellikle de “zayıf halka” arar. Eğer bu eylem planında halkın kendisi ya da özel sektör yoksa, bu nasıl uygulanacak?
Eylem planında 5-10 tane çok gizli madde olabilir ve bunlar saklanabilir. Ama hem içimizin rahat etmesi, hem de devletin parasıyla yapılan işlemlerin neler olduğunu görmemiz açısından bunların açık olması gerekir.
O zaman eylem planı niye yok? 2 farklı seçenek geliyor akla;
- Ulusal Siber Güvenlik Stratejisi ve 2013-2014 ve 2015-2016 dönemlerindeki 2 strateji ve eylem planlarında gerçekleşenlerin çok az olduğunu görmüştük. Bu sefer “eylem planı var ama yapılmadığı görülmesin” diye mi gizli acaba?
- Yılın bitiminde alelacele siber güvenlik stratejisinin eksik olduğunu farkettiler ve laf kısmını yazıp, “sorumluluk içeren” eylem kısmı için “gizli” bahanesi mi attılar?
Eylem Planı varsa açıklanmalıdır. En azından halkı ve özel sektörü ilgilendiren tarafları ki, biz de siber güvenlikte bir şeyler yapılıyor diye düşünebilelim, rahat edebilelim. Mesela bankalar hala ddos korunma servisini dışarıdan alıyor. Bunu ne zaman düzelteceksiniz?
[1] Cumhurbaşkanlığı Genelgesi (2020/15) – Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023)
[2] Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023) Yayımlandı
[3] Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı (Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı
[4] Ulusal Siber Güvenlik Stratejisi ve 2016-2019 Eylem Planı
[5] ODTÜ’ye ‘Haddinize mi?’ Diyen Lütfi Elvan, Bakan Olduğu Sürede Siber Güvenlik Konusunda Neler Yaptı