Ulusal Siber Güvenlik Stratejisi ve Eylem Planı, 2020-2023
22/12/2022 10:14
Siber güvenlik kavramının farklı tanımlamaları olmakla birlikte basit ve kapsayıcı tanımı, Bilişim Teknolojileri Bileşenlerini kapsayan siber uzayda her noktaya uygulanan güvenlik disiplini olarak ifade edilebilir. 2011’de başlayan ve 2050’de bitmesi öngörülen Endüstri 4.0, Bilişim Teknolojileri ile tüm yaşamsal mekanizmaları bir araya getirmeyi hedefleyen bir devrim olduğundan, bu devrimin güvenlik adaptasyonu olarak siber güvenlik disiplininin yaşam disiplinimize entegre olması beklenir. Örneğin, eve aldığımız veya bahçemizi izleyen bir kamera, IoT (Nesnelerin İnterneti) dünyasının bir bileşeni olmaktadır.
Disiplinine uygun olarak hareket edilmediğinde, güvenlik (security) ve mahremiyet (privacy) problemleri oluşacaktır. Ulusal çapta düşünüldüğünde; kurum ve kuruluşlar arası veri paylaşımının güvenli biçimde sağlanması, kaynağı ve hedefi yurt içi olan veri trafiğinin yurt içinde kalması stratejik hedefleri gündeme gelmektedir. Kurumsal, sektörel ve ulusal bazda siber olaylara hazırlık seviyelerinin risk temelli analizler ve planlamalara dayalı yaklaşımlarla artırılması hedeflenmelidir.
Dijital dünyada güvenliği sağlayabilmek için dünya devletleri siber güvenlik stratejileri hazırlamakta, yayınlamakta ve ilgili kurumlarını görevlendirilerek gerçekleştirme ve denetimi sağlanmaktadır. Ülkemiz, bu konuda üzerine düşen görevi yerine getirmektedir. Ülkemizin bu konuda Ulaştırma ve Altyapı Bakanlığı koordinasyonunda yapılan çalışmaları sonucunda sırasıyla yayınlanan stratejileri aşağıda listelenmiştir:
- Ulusal Siber Güvenlik Stratejisi ve Eylem Planı 2013-2014
- Ulusal Siber Güvenlik Stratejisi ve Eylem Planı 2016-2019
- Ulusal Siber Güvenlik Stratejisi ve Eylem Planı 2020-2023
Ulusal Siber Güvenlik Stratejisi ve Eylem Planları, birbirinin devamı şeklinde bütünselliği sağlayacak yaklaşımla ilerlemekte ve hayatımıza giren yeni teknolojilere yönelik güvenliği sağlama amaçlı olarak stratejileri ve eylem planlarını içermektedir. Ulusal Siber Güvenlik Stratejisi ve Eylem Planı 2020-2023 ile belirlenen toplam 8 (sekiz) adet stratejik amaç ve bu stratejik amaçların anlaşılabilmesine, başarılı olarak gerçekleşebilmesine katkı oluşturabileceği düşünülen açıklamalar/değerlendirmeler aşağıda listelenmiştir:
Kritik Altyapıların Korunması ve Mukavemetin Artırılması
Kritik altyapılar denildiğinde öncelikli olarak; Enerji, Elektronik Haberleşme, Ulaştırma ve Su Yönetimi akla gelmekle birlikte genel olarak kritik altyapıların kapsamını sorun oluştuğunda can kaybına, büyük ölçekli ekonomik zarara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran tüm bilişim altyapıları olarak ifade edebiliriz.
Kritik altyapılar büyük ölçekte endüstriyel kontrol sistemlerini içermektedir. Endüstriyel Kontrol Sistemleri (Industrial Control Systems, ICS); Denetleyici Kontrol ve Veri Toplama Sistemleri (Supervisory Control and Data Acquisitions, SCADA), Dağıtılmış Kontrol Sistemleri (Distributed Control Systems, DCS) ve Programlanabilir Mantık Denetleyicileri (Programmable Logic Controllers, PLC) gibi diğer daha küçük kontrol sistemi yapılandırmaları dahil olmak üzere çeşitli kontrol sistemlerini kapsayan genel bir terimdir.
Kritik altyapılara gerçekleştirilebilecek bir siber saldırı çok ciddi derecede zararlar ortaya çıkarabileceğinden, siber saldırganlar için bu durum ciddi bir saldırı motivasyonu oluşturmaktadır. Bu saldırıları engellemeye yönelik olarak kritik altyapıların IEC 62443 Standardı kapsamında sertifikalandırılması değerlendirilmelidir. Bilişim sistemleri için özelleşmiş olan ISO/IEC 27001 standardının Endüstriyel Otomasyon ve Kontrol Sistemleri için karşılığı IEC 62443 olarak ifade edilebilir. Kritik altyapı sektörlerinde düzenleme ve denetlemeye dayalı siber güvenlik yaklaşımının geliştirilmesi stratejiktir.
Kritik altyapılarda en önemli hususlardan bir tanesi iş sürekliliği olduğundan, kritik altyapılarımızın siber güvenliğinin 7/24 konsepti ile korunması ve sürekli ayakta tutulacak şekilde yedeklilik yaklaşımıyla işletilmeleri gerekmektedir.
Ulusal Kapasitenin Geliştirilmesi
Siber güvenlik alanında en önemli konulardan bir tanesi de yetişmiş nitelikli insan gücü ve siber güvenlik farkındalığıdır. Bu kapsamda örnek olarak; Savunma Sanayi Başkanlığı (SSB) himayesinde kurulan SiberKüme (Türkiye Siber Güvenlik Kümelenmesi, www.siberkume.org.tr) tarafından, yetişmiş insan gücü sağlamaya ve siber güvenlik farkındalığına yönelik çalışmalar artarak devam etmektedir. Özellikle üniversitelerde, siber güvenlik lisans ve yüksek lisans programları başlatılmakta ve kamu kurumları tarafından siber güvenlik yaz okulları, tatbikatları ve yarışmaları düzenlenmektedir. Kurumlarda Siber Olaylara Müdahale Ekipleri (SOME) oluşturulması ve güçlendirilmesi de bu stratejik amaç doğrultusunda planlanmaktadır. SOME’nin yetkinlik seviyelerinin ölçülmesi/ izlenmesi ve ekip üyeleri yetkinliklerinin artırılması stratejiktir. Ayrıca toplum genelinde siber güvenlik farkındalığını artırıcı etkinliklerin her kesime (aileler, çocuklar, öğrenciler, gençler, kadınlar, yaşlılar ve engelliler) ulaşılması öncelikli hedefler arasında yer almaktadır.
Siber güvenliğin sağlanması kapsamında birey olarak güvenlik farkındalığı son derece önemli olup, özellikle insan unsuruna yönelik sosyal mühendislik saldırıları konusunda dikkatli olunması her zaman hatırlanmalıdır.
Organik Siber Güvenlik Ağı
Siber saldırılara [zararlı yazılımlar (fidye yazılımları, virüs, solucan, truva atı vb.) oltalama saldırıları, gelişmiş kalıcı tehditler, sıfırıncı gün saldırıları, vb.] ilişkin işbirliği ve anlık bilgi paylaşımının sağlanabileceği bir platformun etkinliğinin artırılması önemlidir. Burada özellikle Ulusal Siber Olaylara Müdahale Merkezi (BTK USOM) koordinasyonunda, siber güvenlik alanında çalışan veya siber güvenliğe ilgi duyan her kesimden insanın bilgi ve tecrübe paylaşımına katılmasına imkan ve yön verecek organik siber güvenlik ağının etkinleştirilmesi hedeflenmektedir. Özellikle kurumlarda bulunan SOME ve üniversitelerde oluşturulabilecek siber güvenlik kulüplerinin bu platforma katkısının son derece yüksek olacağı değerlendirilmektedir.
Yeni Nesil Teknolojilerin Güvenliği
Yeni nesil teknolojilerin (örneğin bulut bilişim, nesnelerin interneti, 5G) hayatımıza girmesi veya yakın zamanda girecek olması ile birlikte bunların getireceği konfor ile birlikte güvenli kullanımları için önlemler alınması da son derece önemli olacaktır. Bu önlemlerin etkinliğinin artırılabilmesi için de yapay zeka teknolojisinin kullanılabilmesi bu stratejik hedef kapsamında gündeme gelmektedir. Otonom/yarı-otonom olarak inceleme sağlayacak algoritmaların yapay zeka teknolojisi ile kullanılması, olası siber güvenlik saldırılarının gerçek zamanlı tespitini ve alınabilecek önlemlerin tetiklenebilmesini sağlayacaktır.
Siber Suçlarla Mücadele
Bu alanda özellikle siber suçların (bilgisayar ve internete özgü suçlar) azaltılabilmesine yönelik olarak gerekli güvenlik önlemlerini içeren bilişim altyapılarının standardizasyonu, saldırganların tespit edilebilmesi ve caydırıcılığı sağlayacak etkinlikte yasal yaptırımların gündemde olması önemlidir. Siber suçlarda hedef insan, mal varlığı veya işletilen sistem olabilmektedir. Özellikle maddi çıkar elde etmeye yönelik saldırılarda talep edilen maddi tutarın anonim veya takip edilemeyen bir şekilde transfer edilebilmesi, saldırganların bu alana yönelik yoğun bir şekilde saldırı mesaisi harcamasına sebep olmaktadır. Uluslararası saldırgan motivasyonunun da yüksek olduğu bu alanda saldırı engelleme ve olası saldırı durumunda saldırgan tespiti için ilgili kolluk kuvvetleri arasında uluslararası işbirliklerinin tesis edilebilmesi için çalışmalar yapılması önemlidir.
Yerli ve Milli Teknolojilerin Geliştirilmesi ve Desteklenmesi
Yerli ve Milli Siber Güvenlik Çözümleri, test ve sertifikasyonun gündeme alındığı bu stratejik amacın gerçekleştirilebilmesi için ilgili kuruluşlar (kamu-akademi-özel sektör) yoğun bir çaba içerisindedir. Burada işbirliği ve birlikte çalışma son derece önemlidir. Bu stratejik amaç doğrultusunda, uluslararası pazarda da ülkemizde geliştirilmiş siber güvenlik çözümlerinin rekabet edebilmesi hedeflenmektedir.
SiberKüme üye kuruluşlar tarafından siber güvenlik çözümlerinin geliştirildiği, ilgili siber güvenlik test kuruluşları (TÜBİTAK, TR-TEST, özel laboratuvarlar) tarafından test edildiği ve sertifikasyon kapsamında da Türk Standartları Enstitüsü (TSE), TR-TEST tarafından gerekli belgelendirmelerin yapıldığı ulusal bir mekanizmanın bu stratejik hedef kapsamında ortaya çıkarılması ve geliştirilmesi önemlidir. Test ve sertifikasyon altyapısının, ülkemizde kullanılan yabancı siber güvenlik çözümlerine de aynı disiplinin uygulaması hedeflenmektedir.
Siber Güvenliğin Milli Güvenliğe Entegrasyonu
Siber olaylara müdahalenin olay öncesi, esnası ve sonrasını kapsayan bir bütün olmasından hareketle; proaktif siber savunma anlayışının geliştirilmeye devam edilmesi son derece önemlidir. Bu stratejik amaç doğrultusunda iç ve dış siber güvenlik tehditlerinden korunabilmek için milli güvenlik politikalarımızda siber güvenlik ile ilişkili önlemlerin de yer alması sağlanacaktır. Bu kapsamda; Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (CB DDO), Savunma Sanayi Başkanlığı, Siber Savunma Komutanlığı, BTK USOM ve TÜBİTAK kurumlarının koordinasyonunun son derece önemli olduğu değerlendirilmektedir.
Uluslararası İş Birliğinin Geliştirilmesi
Siber saldırılar, fiziksel mekan bağımsız saldırılardır. Saldırgan, bulunduğu fiziksel mekandan bağımsız olarak istediği fiziksel noktaya sınır ötesinden saldırı gerçekleştirebilir. Bu sebeple saldırı analizi, saldırgan tespiti kapsamında ve saldırılara karşı birlikte önlem alabilmek için uluslararası işbirlikleri ve uluslararası organik savunma platformlarının oluşturulması gerekmektedir. Bu stratejik amaç doğrultusunda uluslararası siber güvenlik tatbikatları düzenlenmesi, mevcut işbirliklerinin geliştirilmesi, siber saldırı engelleme ve saldırgan tespitine hizmet edecek yeni işbirliklerinin oluşturulması sağlanacaktır.
Yukarıda belirtilen stratejik amaçların gerçekleştirilmesine yönelik olarak ülkemizde ilgili uzman kurum ve kuruluşlar (Kamu, Özel Sektör, Akademi ve STK’lar) 2020-2023 dönem aralığı için 40 (kırk) adet eylem ve 75 (yetmiş beş) adet uygulama adımı kapsamında görevlendirilmiş olup, ilgili görevlerin gerçekleştirilmesi Ulaştırma ve Altyapı Bakanlığı koordinasyonunda periyodik olarak denetlenmektedir.
