Konu 18- Siber Güvenlik Hukuku

https://www.usom.gov.tr/index.html

  • Siber Güvenlik

Teknolojik hayat ve araçlarda bilgi güvenliğinin sağlanması, siber dünyanın içerisinde bulunan herkes için kritik konumdadır. Bu bilgi güvenliğini sağlayabilmek için taşınabilir sanal cihazlar, bilgisayarlar ve internet bağlantıları gibi siber saldırılara açık cihaz ve ortamları korumanın en iyi yolu siber güvenlik tedbirlerini almaktır. 

Günümüz siber dünyasında bilgisayarlar ve bilgisayar ağlarının kötü niyetli kullanımı ve virüsler, trojan atları ya da klavye okuyucular gibi siber tehditler nedeni ile milyon liralık ekonomik sorunlar meydana gelmektedir. Bu tip sorunların genellikle bireylere ait TC Kimlik Numaralarının elde edilmesi, banka hesaplarının çalınması ya da kredi kartı numaralarının elde edilmesi gibi kimlik hırsızlığı neticesinde meydana geldiği bilinmektedir. Kimlik hırsızlığı, bireylere ait ekonomik sorunlar oluşturmasının yanı sıra finansal şirketler açısından da hem para hem de itibar kaybına neden olmaktadır. Bu nedenle hem bireylere hem de finansal kuruluşlara kişi/müşteri bilgilerinin korunmasında siber önlemleri almak ve kamuoyunu bilinçlendirme konusunda büyük görevler düşmektedir. Bahse konu görevlerden en önemlisi, bilgi güvenliği perspektifi açısından verilerin gizliliğinin, bütünlüğünün ve erişilebilirliğinin (GBE) korunmasıdır. 

Bilgiyi saklayan kurumların, kurumsal verilerin ve müşterileri verilerinin gerçekliğini, eksiksizliğini, ulaşılabilirliğini ve yetkili kişiler arasında paylaşılabilirliğini garanti etmesi gerekmektedir. Bununla birlikte yukarıda belirtilmiş amaçlar doğrultusunda oluşturulmuş ve kullanılan programların da GBE kavramları doğrultusunda işlevlerini yerine getirmesi gerekmektedir. (https://dsy.usom.gov.tr/usom/19/02/190211082958_siber_guvenlige_giris_ve_temel_kavramlar.pdf )

Bilgi Güvenliği Anahtar Kavramları 

  1. a) Gizlilik: Bilişim sistem ve verilerine sadece yetkili kişi veya sistemlerce erişilebilmesini; bilişim sistemlerine ait veya sistemdeki gizli verinin yetkisiz kişi veya sistemlerce ifşa edilmemesi. 
  2. b) Bütünlük: Bilişim sistemlerinin ve bilginin sadece yetkili kişilerce veya sistemlerce değiştirilebilmesi. 
  3. c) Erişilebilirlik: Yetkili kişilerin ve işlemlerin ihtiyaç duyulan zaman içerisinde ve ihtiyaç duyulan kalitede bilişim sistemlerine ve bilgiye erişebilmesi.
  • Tanımlar

USOM tarafından yayınlanan Siber Güvenliğe İlişkin Temel Bilgiler’de tanımlar şu şekilde verilmiştir;

  • Erişim Kontrolü: Bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanmasıdır 
  • Kimlik Denetimi: Herhangi bir kişiye ait rol ya da kimliğin doğrulama mekanizmasıdır.
  • Yetkilendirme: Kimliğin belirli kaynaklara erişiminin olup olmadığının karar verilmesi sürecidir.
  • Varlık: Saldırılara karşı korunması gereken değerli bilgi kaynaklarını tanımlar (TC Kimlik numarası veritabanı, kredi kartı veritabanı ya da personel veritabanı gibi).
  • Güvenlik Açığı: Sistem üzerindeki yazılım ve donanımdan kaynaklanan ya da sistemin işletim kuralları ve/veya yönergelerindeki açık noktalar ve zayıf kalmış yönlerdir.
  • Risk: Siber saldırı neticesinde meydana gelebilecek olası zararlı sonuçlar.
  • Tehdit: Zararlı sonuçlar doğurabilecek olası saldırı ya da açıklık durumlarıdır.
  • Siber Saldırıların Türleri

USOM tarafından yayınlanan Siber Güvenliğe İlişkin Temel Bilgiler rehberinde siber saldırıların türleri aşağıdaki şekilde anlatılmıştır:

Siber uzayda, siber güvenlik uzmanlarının kendi bilgisayar ve bilgisayarlarını korumalarını gerektirecek çok fazla saldırı ve saldırı çeşidi bulunmaktadır. Örneğin trojan atları, virüsler, solucanlar, mantık bombaları, DDOS, sosyal mühendislik atakları, oltalama saldırıları vb … 

Saldırganlar bu saldırı yöntemlerini kullanarak sızmış oldukları bilgisayar ya da bilgisayar ağlarına değiştirici, yıkıcı, hizmet aksatıcı ya da verileri sızdırma şeklinde çeşitli zararlar verebilmektedir. Bu zararların organizasyon ya da kamu kurumuna maddi zararları olabileceği gibi itibarının azaltılması şeklinde zararları da olmaktadır. 

Zararlı Yazılımlar (Malware): En genel ifade ile bilgisayar sistemlerini kötü amaçlı kullanmak için sistem bilgilerine erişim sağlamaya yarayan ya da bilgisayar sistemlerine ciddi zararlar veren kötücül bilgisayar programlarıdır. Zararlı yazılımlar genel bir kavram olup virüsler, solucanlar, truva atları, rootkitler ve casus yazılımlar bu konseptin içerisinde kendine yer bulabilirler  Zararlı yazılımlar insanlara, süreçlere ve/veya teknolojilere karşı kullanılabilir. Buradaki temel ve en önemli nokta ise zararlı yazılımların amacının sistemlere yetkisiz erişim hakkını elde etmek veya kritik – önemli verilerin elde edilmesini sağlanması olduğudur. Virüsler; bilgisayar virüsleri en genel manada kendini sistemdeki dosyalardan ya da programlar biri olarak değiştiren bilgisayar kodlarıdır. Virüslerin anlaşılmasındaki kritik nokta ise bir kullanıcı tarafından çalıştırılmaları gerektiğidir. Genellikle bir kullanıcıdan gelen e-postanın açılması, ya da USB’nin otomatik çalıştırılması şeklinde meydana gelebilmektedir.

Solucanlar; virüs gibi kendini bir bilgisayardan başka bilgisayara kopyalamak için tasarlanmış zararlı yazılımlardır. Virüslerden farkı yayılma işlemini ağ üzerinden otomatik olarak yapmasıdır. Otomatik yayılmanın olması nedeni ile zamanla bilgisayar ağının yavaş çalışması, internet sayfalarının geç gelmesine neden olurlar. Solucanların genel yayılma yöntemleri arasında;  E-posta eki olarak gönderilen dosyalar ile yayılma,  Web veya FTP kaynağı bağlantısı ile yayılma,  ICQ veya IRC mesajında gönderilen bağlantılar ile yayılma  P2P (eşdüzeyler arası) dosya paylaşım ağları üzerinden yayılma sayılabilmektedir. Bununla birlikte bazı solucanlar, ağ paketleri olarak yayılmaktadır. Bunlar bilgisayar belleğine doğrudan girmekte ve ardından solucan kodu etkinleştirilmektedir. 

Truva Atı; bilgisayar kullanıcılarının içeriği hakkında derinlemesine bilgisi olmadan yükledikleri zararlı yazılımlardır. Örneğin bir kullanıcının “Flash Player” yüklediğini düşünürken aslında “Adobe” ya da güvenilir bir kaynak yerine rastgele bir kaynaktan “Flash Player” yüklemesi olarak düşünülebilir. Genel olarak Truva atı olan programlar, dosyanın sisteme indirilmesi sonrasında yüklenmesi neticesinde bilgisayar sistemlerine bulaşırlar. Truva atlarının karakteristiği kullanıcı bilgisayarının uzaktan kontrol edilebilmesi ya da izlenmesinin sağlanmasıdır. Truva atı yüklenmiş olduğu bilgisayarların zombi bilgisayarlar olarak da kullanılmasına izin vermektedir 

Rootkit; bilgisayara bulaşan, çalışan işlemler arasında kendini gizleyen, kötü niyetli kişilere, uzaktan bilgisayarınızın tam hakimiyetini sağlayan tespit edilmesi oldukça zor olan bilgisayar programıdır. Virüsler gibi amacı sisteminizi yavaşlatmak ve yayılmak değildir. Bilgisayarınızın kontrolünü ele geçirmek ve bulunduğu sistemde varlığını gizlemektir. Önceleri çok kullanıcılı sistemlerde sıradan kullanıcıların yönetim programlarına ve sistem bilgilerine erişimini gizlemek için geliştirilmiş ve kullanılmış olmasına rağmen, kötü niyetli kullanımına da rastlamak mümkündür. Güvenilir bir kaynaktan geldiğine inanılan bir programın üst düzey yetki ile (root gibi) çalıştırılması zararlı bir rootkitin sisteme kurulmasına sebep olur. Benzer şekilde, çok kullanıcılı bir sistemde kernel vs açıkları kullanılarak sistemde root yetkisi kazanıp rootkit kurulması en yaygın görülen bulaşma şeklidir. Rootkitin gerçekte hangi dosyaları değiştirdiği, kernele hangi modülü yüklediği, dosya sisteminin neresinde kayıtlı olduğu, hangi ağ servisi üzerinde dinleme yaparak uygun komutla harekete geçeceğini tespit etmek güçtür. Yine de, belli zamanlarda en temel komutların ve muhtemel rootkit bulaşma noktalarının öz değerlerinin saklanarak bunların daha sonra kontrol edilmesi gibi metodlar kullanılabilir. 

Yemleme (Phishing); yasadışı yollarla kullanıcıların herhangi bir sistem için kullandıkları kullanıcı adı, şifre, kimlik bilgileri, kredi kartı ayrıntıları gibi bilgilerin ele geçirilmesidir . Sözcük, İngilizce password (şifre) ve fishing (balık avlamak) sözcüklerinin birleşmesiyle oluşturulmuş phishing ifadesinin Türkçe karşılığıdır. “Yemleyici” diye tanımlanan şifre avcıları, genelde e-posta gibi yollarla kişilere ulaşır ve onların kredi kartı gibi ayrıntılarını sanki resmi bir kurummuş gibi ister. Bu tip mailleri cevaplayan kullanıcıların da hesapları, şifreleri vb. özel bilgileri çalınmaktadır. Örnek olarak; format açısından resmi bir banka konseptinde bir e-posta alınır, ve bu epostada şifre, kredi kartı numarası vb. bilgilerin verilmesi önerilir. Yemleme karşısında tüm bankalar vb. kurumlar hiçbir zaman kullanıcılarından e-posta aracılığı ile özel bilgilerini istemeyeceklerini, böyle bir durumda e-postayı vb. talepleri kendilerine iletmelerini önerirler. 

Casus Programlar (Spyware); Casus programlar bilgisayarınızda casusluk yapmak için yaratılmış programlardır. Casus yazılım, kullanıcılara ait önemli bilgilerin ve kullanıcının yaptığı işlemlerin, kullanıcının bilgisi olmadan toplanmasını ve bu bilgilerin kötü niyetli kişilere gönderilmesini sağlayan yazılım olarak tanımlanır. Bu casus yazılımlar, diğer kötücül yazılımlara göre özellikle İnternet kullanıcıları tarafından sistemlere farkında olmadan bulaştırılmaktadırlar . Casus yazılımlar, virüs ve solucanların aksine sisteme bulaştıktan sonra yayılmaya ihtiyaç duymaz. Amaç, bulaştırılan sistemde gizliliği sağlayarak bilgi toplamaktır. Bu bilgi kimi zaman bir kredi kartı numarası gibi önemli bir bilgi bile olabilir. Bunun dışında, Ticari firmalar İnternet üzerindeki kullanıcı alışkanlıklarını saptamak amacıyla casus yazılımları İnternet üzerinde yayabilmektedirler. 

Sosyal Mühendislik; temel olarak bilgisayar ya da bilgisayar ağlarındaki açıklıklardan faydalanarak bilgisayar sistemlerine zarar veren yaklaşımların aksine “sosyal mühendislik” yöntemi insanların iletişim, düşünce tarzı, güven ya da kısaca insani zaaflarından faydalanarak siber güvenlik süreçlerinin etkisiz hale getirilmesi ya da atlatılması şeklinde tanımlanabilir. Sosyal mühendislik yöntemleri; çeşitli yalanlar yolu ile sahte senaryolar üretmek, hedef kişiye kendini güvenilir bir kaynak olarak tanıtmak ya da basit ödüllendirme yöntemleri ile bilgi sızdırmak şeklinde özetlenebilir

(Kaynak: Siber Güvenliğe İlişkin Temel Bilgiler)

  • Siber Saldırıların Kaynakları

USOM tarafından yayınlanan Siber Güvenliğe İlişkin Temel Bilgiler’de siber saldırıların kaynakları aşağıdaki gibi gösterilmiştir; 

  • Hacker & Siber Suçlular: Kişisel bilgisayarlar ya da mobil cihazlara veya organizasyon – şirket – kamu bilgisayar ağlarına izinsiz giriş yapan kişilerdir. Türk Dil Kurumu sözlüğünde “Bilgisayar ve haberleşme teknolojileri konusunda bilgi sahibi olan, bilgisayar programlama alanında standardın üzerinde beceriye sahip bulunan ve böylece ileri düzeyde yazılımlar geliştiren ve onları kullanabilen kişi” olarak tanımlamaktadır.
  • İç (Dahili) Saldırganlar: Organizasyon içerisinde, belirli amaçlar çerçevesinde dahili sistemlere saldırı düzenleyen kurumsal kişilerdir. 
  • Siber Aktivistler: Dünya görüşleri çerçevesinde kötü veya uygunsuz gördükleri toplumsal ya da politik sorunları dile getirmek amacı ile kamu ya da özel sektör siber uzaylarına saldırı düzenleyen şahıs ya da gruplardır.
  • İstihbarat Kurumları: Uluslararası siber dünyada ülkeler birbirlerini siber tehdit olarak da görmeye başlamışlardır. Bu tehdit algısı nedeni ile ülkeler siber savunma ve siber saldırı takımları oluşturmakta ve diğer ülkelere ait kritik verilere erişmeye çalışmanın yanında hedef ülkenin kritik altyapılarına siber saldırılar yapmaya da devam etmektedir.
  • Türkiye’de Siber Güvenlik Aktörleri
  • Bilgi Teknolojileri ve İletişim Kurumu (BTK) 

2000 senesinin Ocak ayında kurulan Telekomünikasyon Kurumu, 2008 senesinin Kasım ayında Bilgi Teknolojileri ve İletişim Kurumu’na (BTK) dönüştürülmüştür. BTK’nın başlıca aşağıdaki 3 konuda görevleri vardır:

  • Elektronik haberleşme
  • Bilgi Teknolojileri
  • Posta

Bu kapsamda BTK, düzenleyici kurum olarak görev yapmaktadır ve yetkilendirme, denetleme, ihtilaf çözümü, tüketici haklarının korunması, sektör rekabetinin düzenlenmesi, teknik yönergeler yayınlamak ve spektrum yönetimi ve izlenmesinden sorumludur.

  • Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK)

TÜBİTAK tarafından yayınlanan kuruluş metnine göre, “Türkiye Bilimsel ve Teknik Araştırma Kurumu (TÜBİTAK), 24 Temmuz 1963 tarih ve 11462 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 278 sayılı Kanun ile kurulmuştur. 9 Eylül 1993 tarih ve 21693 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 498 sayılı K.H.K. ile değiştirilen Kuruluş Kanunu’nun 1. maddesine göre kuruluş amacı; “Türkiye’de müsbet bilimlerde araştırma ve geliştirme faaliyetlerini ülke kalkınmasındaki önceliklere göre geliştirmek, özendirmek, düzenlemek ve koordine etmek; mevcut bilimsel ve teknik bilgilere erişmek ve erişilmesini sağlamak”tır. Kurumun “tüzel kişiliği, idari ve mali özerkliği” vardır. Başbakan’a bağlı olan Kurum, kendi Kanununda belirtilmeyen hallerde özel hukuk hükümlerine tabidir. “

2006-2010 Eylem Planı uyarınca, TÜBİTAK 2007 senesinde dört kamu kurumuna Bilgi Güvenliği Yönetim Sistemini kurmuş ve farklı etkinliklerde kamu kurumları ve özel kuruluşlar için bilgi teknolojileri güvenliği günleri düzenlemeye başlamıştır. TÜBİTAK, Türkiye’de akreditasyona sahip iki SOME’den biri olan ve araştırma ve eğitim amacıyla işletilen ULAK-CSIRT’e ev sahipliği yapmaktadır.

  • Siber Güvenlik Kurulu

https://www.btk.gov.tr/siber-guvenlik-kurulu 

Bakanlar Kurulunca alınan 11/6/2012 tarihli ve 2012/3842 sayılı Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar, 20/10/2012 tarihli ve 28447 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Bu karar gereğince; Siber Güvenlik Kurulu oluşturulmuş, Ulaştırma Denizcilik ve Haberleşme Bakanlığı’na siber güvenlik alanında görev ve yetkiler verilmiş, siber güvenlik ile ilgili çalışma grupları ve geçici kurulların oluşturabileceği karara bağlanmıştır.

İlgili Bakanlar Kurulu Kararı’nın içeriği, 06/02/2014 tarihinde yayımlanan 6518 saylı kanun ile 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu’na ilave edilen Ek Madde 1 ile kanunlaştırılmış, 5809 sayılı Elektronik Haberleşme Kanunu’na ilave edilen ek fıkralar ile Bilgi Teknolojileri ve İletişim Kurumu’na siber güvenlik ile ilgili yeni görevler verilmiştir. 

Buna göre; “Siber güvenlikle ilgili olarak kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler tarafından alınacak önlemleri belirlemek, hazırlanan plan, program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla; Bakanın başkanlığında Siber Güvenlik Kurulu kurulmuştur. Siber Güvenlik Kurulunda yer alacak bakanlık ve kamu kurum ve kuruluşları ile üyelerinin temsil düzeyi Bakanlar Kurulu tarafından belirlenir.”

 Kurulun görevleri şunlardır:

  • Siber güvenlik ile ilgili politika, strateji ve eylem planlarını onaylamak ve ülke çapında etkin şekilde uygulanmasına yönelik gerekli kararları almak
  • Kritik altyapıların belirlenmesine ilişkin teklifleri karara bağlamak
  • Siber güvenlikle ilgili hükümlerin tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek
  • Kanunlarla verilen diğer görevleri yapmak.

Siber Güvenlik Kurulu aşağıdaki kişilerden oluşur:

  • Dışişleri Bakanlığı Müsteşarı,
  • İçişleri Bakanlığı Müsteşarı,
  • Milli Savunma Bakanlığı Müsteşarı,
  • Ulaştırma, Denizcilik ve Haberleşme Bakanlığı Müsteşarı,
  • Kamu Düzeni ve Güvenliği Müsteşarı,
  • Milli İstihbarat Teşkilatı Müsteşarı,
  • Genelkurmay Başkanlığı Muhabere Elektronik ve Bilgi Sistemleri Başkanı,
  • Bilgi Teknolojileri ve İletişim Kurumu Başkanı,
  • Türkiye Bilimsel ve Teknolojik Araştırma Kurumu Başkanı,
  • Mali Suçları Araştırma Kurulu Başkanı,
  • Telekomünikasyon İletişim Başkanı
  • Ulaştırma, Denizcilik ve Haberleşme Bakanınca belirlenecek bakanlık ve kamu kurumlarının üst düzey yöneticileri 

5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 5 inci maddesinin birinci fıkrasına eklenen h bendi ile Ulaştırma Denizcilik ve Haberleşme Bakanlığı’na siber güvenlik alanında aşağıdaki görev ve yetkiler verilmiştir.

Ulusal Siber Güvenlik eylem Planı 2020-2023 için tıklayınız

  • Ulusal Siber Olaylara Müdahale Merkezi (USOM)

Ülkemizin siber güvenliğine karşı;

  •  siber ortamda ortaya çıkan tehditlerin belirlenmesi, 
  • muhtemel saldırı ve olayların etkilerini azaltılması veya ortadan kaldırılmasına yönelik önlemlerin geliştirilmesi ve 
  • belirlenen aktörlerle paylaşılması amacıyla 

Bilgi Teknolojileri ve İletişim Kurumu bünyesinde Ulusal Siber Olaylara Müdahale Merkezi (USOM, TR-CERT) oluşturulmuştur.

Başkanlık bünyesinde kurulan USOM, ulusal ve uluslararası seviyede siber ortamda ortaya çıkan tehditler ile ilgili kendisine ulaştırılan ihbarları da değerlendirerek, söz konusu tehditlerin tespit ve bertaraf edilmesi için Kamu Kurumları ve özel kişiler ile koordinasyonunu sağlamaktadır. Bu itibarla gelen ihbar ilk aşamadan başlanarak, çözüm sürecine kadar takip edilerek değerlendirilmektedir.

https://www.youtube.com/watch?v=_T65PrFT88c 

  • 2019/12 Sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi

“Bilginin dijital ortamlara taşınması, bilgiye erişimin kolaylaşması, altyapıların dijital hale gelmesi ve bilgi yönetim sistemlerinin yaygın olarak kullanılması, ciddi güvenlik risklerini beraberinde getirmektedir. Karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla aşağıdaki tedbirlerin alınması uygun görülmüştür.

  1. Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurt içinde güvenli bir şekilde depolanacaktır.
  2. Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları değiştirilmeye karşı önlem alınarak saklanacaktır.
  3. Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.
  4. Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
  5. Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
  6. Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir.
  7. Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.
  8. Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır.
  9. Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır.
  10. Kişisel olarak kullanılanlar da dâhil olmak üzere kaynağından emin olunmayan taşınabilir cihazlar (dizüstü bilgisayar mobil cihazlar, harici bellek/disk, CD/DVD vb.) kurum sistemlerine bağlanmayacaktır. Gizlilik dereceli verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanımsal ve/veya yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek; bu amaçla kullanılan cihazlar kayıt altına alınacaktır.
  11. Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır.
  12. Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır.
  13. Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacaktır. Temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacaktır.
  14. Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacaktır.
  15. Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak yapılması sağlanacaktır.
  16. Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise gerekli güvenlik önlemleri (güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb.) alınacaktır.
  17. Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması veya arşiv araştırması yaptırılacaktır.
  18. Kamu e-posta sistemlerinin ayarları güvenli olacak biçimde yapılandırılacak, e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.
  19. Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacaktır.
  20. Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de internet değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.
  21. İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacaktır. Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır.

Güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren “Bilgi ve İletişim Güvenliği Rehberi” Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, ilgili kamu kurum ve kuruluşları tarafından gereken katkı sağlanarak hazırlanacak ve www.cbddo.gov.tr adresinde yayımlanacaktır. Rehber ihtiyaçlar, gelişen teknoloji, değişen şartlar ile Ulusal Siber Güvenlik Stratejisi ve eylem planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecektir.

Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen usul ve esaslara uyulması zorunludur. Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak yayımlanmasını müteakip Rehberde yer alacak plan çerçevesinde kademeli olarak bu esaslara uyumlu hale getirilecektir. Uyum çalışmalarında ve yeni kurulacak bilgi sistemlerinde, belirtilen adreste yayımlanan güncel sürüm dikkate alınacaktır.

Milli güvenliğin sağlanması ve gizliliğin korunması kapsamında yürütülen görev ve faaliyetler hariç olmak üzere kurum ve kuruluşlar, Rehberin uygulanmasına ilişkin denetim mekanizmalarını oluşturacak ve yılda en az bir defa uygulamayı denetleyecektir. Denetim sonuçlan ile yapılan düzeltici ve önleyici faaliyetler, Rehberde belirtilen usul ve esaslara göre bir rapor halinde Dijital Dönüşüm Ofisine iletilecektir.

Bu ders notları ve tüm içeriği ile ilgili Fikir ve Sanat Eserleri Kanunu ve ilgili mevzuat hükümleriyle  korunan mali (İşleme, yayma, çoğaltma, temsil,  İşaret, ses ve/veya görüntü nakline yarayan araçlarla umuma iletim hakkı) ve manevi fikri hakların tümü Avukat Öğretim Görevlisi Özge EVCİ ERALP’e aittir. Bu ders notları izinsiz çoğaltılamaz, yayımlanamaz ve izin alınmadan kullanılamaz, internet sitelerinde yayınlanamaz. Özge Evci Eralp 2023-2024