Yerli olmayan e-posta ve bulut kullanılamayacak
Bu haftanın önemli gelişmelerinden birisi bilgi ve iletişim güvenliği alanında bir cumhurbaşkanlığı genelgesi yayınlanması idi. Bu genelgenin en önemli noktasını, kamu kurumları ile kritik altyapı işletmecilerinin bilgi güvenliği konusunda Cumhurbaşkanlığı Dijital Dönüşüm Ofisine raporlayacak olması olarak görüyorum. Kritik altyapı deyince elektrik üretim ve iletim tesislerinden, barajlara, finans ve telekom altyapılarına uzanan bir dizi altyapı anlıyoruz. Bu kritik altyapılar kendi düzenleyici kuruluşlarına, örneğin, EPDK, BDDK, BTK gibi kurumlara bağlı faaliyet göstermekte. Bu genelge ile hem bu kritik altyapı kurumlarının, hem de kamu kurumlarının bilgi ve iletişim güvenliği konusunda uygulayacakları kurallar ve düzenli denetimlerin kapsamı belirlenirken, denetim raporlarının da DDO’ya gönderileceği belirtiliyor.
Buna ek olarak, diğer önemli ve bence de çok doğru adım ise, kurumların görevleri ile ilişkili olarak yurt dışında bulunan bulut veri depolama ve işleme merkezlerini (Google Cloud, Amazon Web Services vb, Office 365, Onedrive, Dropbox vb.) kullanamayacakları, kurum işleri için e-posta iletişiminde de kişisel e-postaları (örneğin Gmail, Hotmail vb) kullanamayacakları emrediliyor. Diğer yandan sıklıkla kullanılan Facebook Messenger, WhatsApp ve benzeri tüm haberleşme ve sosyal medya uygulamalarının da gizlilik dereceli veri paylaşımı ve haberleşme için kullanılamayacağı, ancak yetkili yerli mobil uygulamaların kullanılabileceği belirtiliyor.
Genelgede, kamu kurum ve kuruluşlarınca temin edilecek sistemlerde kullanım amacına uygun olmayan bir özellik veya arka kapı bulunmadığı ile ilgili üretici veya tedarikçilerden “imkânlar ölçüsünde” bir taahhütname alınacağı belirtilmiş. Bu genelgenin en işlevsiz kısmı olarak ise bu kısmı görüyorum. Bir mevzuat ya uygulanır ya uygulanmaz. “İmkânlar ölçüsünde” diye muğlak bir ifade, bu taahhütnamenin alınmayacağı ya da alınmasının zor olacağı yabancı üreticiler için bir arka kapı bırakmaktadır. Yabancı üreticiler bu taahhütnameleri vermezken, yerli üreticiler elbette verecektir. Buna ek olarak bu tür bir taahhütnamenin işlevi de gayet tartışılır. Zira bir ürüne bilerek arka kapı koymak zaten kanunen de bir suç olacak ve taahhütnamenin doğuracağından daha ciddi sonuçlar doğuracaktır. Diğer yandan bir yabancı üreticinin verdiği (eğer verirse) taahhütnamenin yaptırımı ne olacaktır, bu belirsizdir, uygulanması da bugünkü mevzuat ile zordur. Bu taahhütname çözümü yerine, devletin kullanacağı tüm ürünlerin sertifikalandıracağı bir test ve sertifikasyon şeması oluşturulmalı ve uygulanmalıdır. Bu şemada elbette tüm yabancı ürünler de değerlendirilmelidir ki bu yerli ürünler için bir dezavantaja dönüşmesin. SSB öncülüğünde sivil bir araya gelme çabası olan Siber Güvenlik Kümelenmesi’nin, benim de geliştirilmesine dâhil olduğum, detaylı bir test ve sertifikasyon şeması çalışması mevcuttur. Bu tür bir yerli test ve sertifikasyonun itibarlı olması için iki koşul görüyorum. Birincisi test ve sertifikasyon ayağının teknik olarak güçlü ve zorlayıcı tasarlanması iken, diğeri de bu şemayı zorlayacak mevzuat altyapısının iyi çalışılmış olmasıdır. Kapsayıcı bir mevzuat için ise, siber güvenlik alanında rol almaya başlayan DDO, savunmanın adresi SSB ve bilgi ve iletişim teknolojilerinin adresi BTK arasında güçlü bir eş güdüm vazgeçilmezdir.
Genelge ile hazırlanacağı belirtilen “Bilgi ve İletişim Güvenliği Rehberi” de çok kıymetli bir çıktı olacak, tüm kamu kurumları ve kritik altyapı işletmecilerinde bilgi güvenliği için ana doküman olacaktır. Bu dokümandaki bilgilerin kamu çalışanlarına nasıl aktarılacağı da şimdiden çalışılmalıdır.
Bilgi ve iletişim sistemleri, çağı yakalamak, ekonominin güçlenmesi ve milli gelirin artması için önemli bir etkileyici iken, bu sistemlerin ülkemizin milli güvenliği için bir tehdit haline gelmemesi ancak kurallar dâhilinde kullanımı ile mümkün olacaktır. En üst seviyedeki bu genelge, kararname ve kanunlara dönüşerek güçlenmelidir. Ayrıca bu genelgede yer almayan, yerli ve milli bilgi ve iletişim sistemlerinin geliştirilmesi ve kullanılması konusu da takip eden çalışmalarda ele alınmalıdır.