:: Ulusal Siber Güvenlik Stratejisi ve 2013 – 2014 Eylem Planı…
Bakanlar Kurulunun 11/6/2012 tarihli ve 2012/3842 sayılı Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar, 20/10/2012 tarihli ve 28447 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmişti. İlgili karar kapsamında hazırlana Eylem Planı 2013-2014 döneminde gerçekleştirilmesi planlanan işleri tanımlamakla beraber, bu yılları aşan periyodik faaliyet ile eğitim ve bilinçlendirme çalışmaları gibi sürekli yürütülmesi gereken faaliyetlere de yer verilmektedir.
Bu karar kapsamında Kritik alt yapılar;
“İşlediği bilginin gizliliği, bütünlüğü ve erişilebilirliği bozulduğunda,
* Can kaybına,
* Büyük ölçekli ekonomik zarara,
* Ulusal güvenlik açıkların ve kamu düzeninin bozulmasına,
yol açabilecek bilişim sistemlerini barındıran altyapılar,”
olarak tanımlanmıştır.
Özetle;
EYLEM PLANININ AMACI;
a) Kamu kurum ve kuruluşlarınca bilgi teknolojileri üzerinden sağlanan her türlü hizmet, işlem ve veri ile bunların sunumunda kullanılan sistemlerin güvenliğinin sağlanmasına,
b) Kamu ya da özel sektör tarafından işletilen kritik altyapılara ait bilişim sistemlerinin güvenliğinin sağlanmasına,
c) Siber güvenlik olaylarının etkilerinin en düşük düzeyde kalmasına, olayların ardından sistemlerin en kısa sürede normal çalışmalarına dönmesine yönelik stratejik siber güvenlik eylemlerinin belirlenmesine ve oluşan suçun adli makam ve kollukça daha etkin araştırılmasının ve soruşturulmasının sağlanmasına,
yönelik bir altyapı oluşturmaktır.
…
EYLEM PLANI KAPSAMI;
Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı, kamu bilişim sistemlerini ve kamu ya da özel sektör tarafından işletilen kritik altyapılara ait bilişim sistemlerini kapsar.
EYLEM PLANININ GÜNCELLEMESİ
Ulusal Siber Güvenlik Stratejisi gelişen teknoloji, değişen şartlar ve ihtiyaçlar göz önünde bulundurularak kamu ve özel sektörden gelecek talepler doğrultusunda en az yılda bir kez olmak üzere ulusal düzeyde sağlanacak eşgüdüm ile güncellenecektir.
SİBER GÜVENLİK RİSKLERİ,
Dikkat çekici maddeler;
5) Siber güvenliğin ulusal düzeyde bütün vatandaşlarca topyekün sağlanabileceği gerçeğine rağmen bu konudaki ulusal bilincin yetersiz olması.
9) Kritik altyapı hizmet ve servislerinin, gerçekleştirilen siber saldırılara ek olarak bilişim sistemlerinin kendi hatalarından, kullanıcı hatalarından ya da doğal afetlerden de olumsuz etkilenmesi ve bu tür olaylara yönelik alınabilecek tedbirler açısından gerekli yeterliliğe sahip olunmaması.
10) Kurumlarda bilgi güvenliği yönetim altyapılarının yeterli düzeyde olmaması.
11) Siber güvenlik konusunda kurumsal ve kişisel seviyede yeterli bilgi ve bilinç seviyesine ulaşılamamış olması.
12) Siber güvenlik konusunda kurumların üst düzey yöneticilerinin yeterli bilince sahip olmamaları veya siber güvenlik konusunda yeterince sahiplenmemeleri.
13) Siber güvenlik konusunda kurumların yapılanmalarının yetersiz olması ve siber güvenliğin, kurumların sadece bilgi işlem birimlerinin sorumluluğunda görülmesi.
14) Bilgi işlem birimlerinde çalışanların siber güvenlik konusunda yeterli bilgi seviyesine ve tecrübeye sahip olmaması.
15) Siber güvenlik olaylarının detaylı araştırılması ve ihlal ile ortaya çıkan suçun soruşturulması alanlarında az sayıda yeterli personel bulunması.
16) Kurumsal iç denetim süreçlerinde siber güvenliğe ilişkin denetim adımlarının yeterli seviyede ele alınmaması.
17) Siber güvenliğin, geliştirilen veya tedarik edilen bilişim sistemlerinin vazgeçilmez bir unsuru olarak ele alınmaması, buna bağlı olarak kamu kurumlarının bilgi ve iletişim teknolojileri alanındaki ürün ve hizmet tedariklerinde siber güvenliğin yeterli seviyede göz önünde bulundurulmaması.
18) Donanım ve yazılım alanında yerli üretimin yeterli düzeyde olmaması.
EYLEM PLANI İLKELER
Dikkat çekici maddeler;
13) Siber güvenlik gereksinimlerinin karşılanmasında yerli ürün ve hizmet kullanımı teşvik edilir, bunların geliştirilmesi için araştırma ve geliştirme projeleri desteklenir, inovasyon (yenileşim) anlayışı esas kabul edilir.
STRATEJİK SİBER GÜVENLİK EYLEMLERİ
4.2 Adli Süreçlere Yardımcı Olacak Çalışmaların Yürütülmesi: Uluslararası hukuk kuralları çerçevesinde, siber saldırılara maruz kalan tarafların haklarının korunabilmesi için, saldırı kaynağının tespiti ve saldırılan sistemler ile bu sistemlerden hizmet alan taraflarda hangi boyutta etki oluştuğunun belirlenmesi gerekir. Bu bilgilerin üretilmesi için ulusal siber ortamın günün teknolojisine uygun ve güvenilir kayıt mekanizmaları ile donatılması gerekmektedir.
4.3 Ulusal Siber Olaylara Müdahale Organizasyonunun Oluşturulması: Kısa vadede; siber ortamda ortaya çıkan tehditlerin hızla belirlenmesi, yaşanabilecek olayların etkilerini azaltmaya veya ortadan kaldırmaya yönelik önlemlerin geliştirilmesi ve paylaşılması için ulusal ve uluslararası düzeyde etkin bir şekilde çalışacak Siber Olaylara Müdahale Organizasyonu oluşturulacak, böylece kurum ve kuruluşların siber güvenlik olaylarına müdahale yeteneği kazanması sağlanacaktır. Ülkemizi etkileyebilecek tehditlere karşı, 7/24 müdahale esasına göre çalışacak “Ulusal Siber Olaylara Müdahale Merkezi (USOM)” kurularak, USOM’un koordinasyonunda çalışacak sektörel “Siber Olaylara Müdahale Ekipleri (SOME)” oluşturulacaktır. Sektörel SOME’ler siber olaylara müdahalenin yanı sıra kendisine bağlı SOME’lere ve ilgili olduğu sektöre özel bilgilendirme ve bilinçlendirme faaliyetleri yürütülecektir. Kurum ve kuruluşlar bünyesinde de sektörel SOME’lerin koordinasyonunda çalışacak SOME’ler kurulacaktır. USOM ve SOME’ler olaylara müdahale ederken suç soruşturmasına destek sağlayacak verilerin sağlanması için adli makam ve kolluk birimleri ile koordineli hareket edeceklerdir. USOM ulusal temas noktası olarak diğer ülkelerin eşdeğer makamlarıyla ve uluslararası kuruluşlarla yakın işbirliği yapacaktır.
4.4. Ulusal Siber Güvenlik Altyapısının Güçlendirilmesi
Kısa ve orta vadede tüm kurummlar, kurumsal bilişim sistemlerinin siber güvenliğini destekleyecek geniş kapsamlı altyapı projeleri gerçekleştirilecektir. Öncelikli olarak kritik altyapılara ait bilişim sistemleri olmak üzere kurumsal siber güvenliğin sağlanması için çalışmalar yapılacaktır. Kritik altyapılara ait bilişim sistemleri, kritiklik seviyeleri, birbirleriyle ilişkileri ve sorumlulukları belirlenecektir.Kritik altyapılara ait bilişim sistemlerinin siber güvenliği, teknolojik önlemlerin yanı sıra idari tedbir ve süreçlerle de sağlanacaktır. Bunun için kurumlarda idari ve teknolojik içerikli eğitimler aracılığıyla üst düzey yöneticiler başta olmak üzere tüm çalışanların siber güvenlik konusunda yetkinlik düzeyi artıtılacaktır. Kurumsal siber güvenliği sağlama konusunda gerekli yetkinliğe sahip olmayan kurumlar teknolojik ve idari boyutta sağlanacak hizmetlerle desteklenecektir.
4.5 Siber Güvenlik Alanında İnsan Kaynağının Yetiştirilmesi ve Bilinçlendirme Faaliyetleri
Orta ve uzun vadede siber güvenlik alanında yeterli sayıda ve yetkin insan kaynağı oluşturulmasına yönelik çalışmalar yapılacaktır. İlk, orta,lise öğrenimi ve yaygın eğitim ile yükseköğretimde siber güvenlik konusunun yer alması için düzenlemeler yapılacaktır. Bilişim sistemleri denetçilerinin, teknoloji eliştiricilerinin, sistem yöneticilerinin ve ilgili tüm tarafların siber güvenlik bilincinin arttırılması ve üstlerine düşen sorumluluklar konusunda bilgilendirilmeleri amacıyla etkinlikler gerçekleştirilecektir. Kurumsal iç denetim süreçlerinde siber güvenliğe ilişkin denetim adımlarının yeterli seviyede ele alınması için çalışmalar yapılacaktır. Ayrıca, siber güvenlik bilincini oluşturmak ve geliştirmek üzere tüm vatandaşlara yönelik bir eğiyim platformu oluşturulacak ve bu eyleme hizmet eden girişimler desteklenecektir.
4.6. Siber Güvenlikte Yeterli Teknolojilerin Geliştirilmesi
Orta ve uzun vadede siber güvenlik konusunda ülkemizin sahip olduğu teknik birikim, olanak ve kabiliyetler arttırılacaktır. Kamu ve özel sektörün araştırma ve geliştirme gereksinimlerinin karşılanmasına yönelik tüm eylemlerde işbirliği içerisinde çalışması sağlanacaktır. Kurumların bilişim sistemlerinde yerli olarak geliştirilmiş ürünleri tercih etmeleri, yerli ürünlerin mevcut olmadığı durumlarda ise güvenlik değerlendirmesi yerli olarak gerçekleştirilmiş sertifikalı ürünleri tercih etmeleri teşvik edilecektir.
5. 2013-2014 DÖNEMİ ULUSAL SİBER GÜVENLİK EYLEM PLANI
3. Siber Olayların Delillenmesi > Olay sonrasında incelemek üzere güvenilir delillerin elde edilmesi için ilgili kamu kurumlarının, günün teknolojisine ve uluslararası standartlara uygun kayıt mekanizmalarını devreye alması,
(TÜM KAMU KURUMLARI – Mayıs 2014)
Olay sonrasında incelenmek üzere güvenilir delillerin elde edilmesi için kritik sektörlerde faaliyet gösterem kuruluşların, günün teknolojisine ve uluslararası standartlara uygun kayıt mekanizmalarını devreye almalarının sağlanması (KRİTİK SEKTÖRLERİ DÜZENLEMEK VE DENETLEMEKLE SORUMLU KURUMLAR -Mayıs 2014)
5. Kamu Bilgi Güvenliği Programı > Kamu kurumlarının uyması gereken asgari güvenlik kriterleri dokümanlarının hazırlanması.
17. Kamu Kurumlarında Verilere Erişim Düzeylerinin Belirlenmesi > Uluslararası standartlarla (örn. TS ISO/IEC 27001) uyumlu erişim kontrol prensiplerinin oluşturulması (TÜM KAMU KURUM ve KURULUŞLARI – Ekim 2013)
Kamu e-devlet uygulamalarının internet üzerinden yetkisiz veriye erişimi engelleyecek şekilde tekrar düzenlenmesi (TÜM KAMU KURUM ve KURULUŞLARI- Şubat 2014)
18. Açık Kaynak Kodlu Ürünlerin Kullanımının Teşvik Edilmesi > Kamu ve özel sektör kurumlarının kullanabileceği, belirlenmiş asgari güvenlik kriterlerini sağlayan açık kaynak kodlu ürünler hakkında bilgilendirme yapılması (Üniversiteler – Ekim 2013)
* Açık kaynak kodlu yeni siber güvenlik ürünlerinin geliştirilmesi için platformların oluşturulması (Üniversiteler – Şubat 2014)
* Uygun kritik bilişim sistemlerinin açık kaynak kodlu işletim sistemlerine taşınması için planlama yapılması (Üniversiteler – Mayıs 2014)
20. Üniversitelerde Siber Güvenlik Eğitimlerinin Yaygınlaştırılması > İlgili branşların lisans, yüksek lisans ve doktora seviyesi müfredatlarına siber güvenlik ile ilgili derslerin eklenmesi. (Üniversiteler – Mart 2014)
En az iki siber güvenlik yüksek lisans programının açılması (Ekim 2013)
26. Siber Güvenlik Konusunda AR-GE Laboratuvarlarının Kurulması >
* Üniversitelerde siber güvenlik konusunda AR-GE laboratuvarlarının kurulmasını teşvik edecek ve destekleyecek programların oluşturulması (Mart 2014)
* Siber Güvenlikte Yerli Ürün ve Çözüm Çalışmaları > Kamu ve özel sektör, üniversite, sivil toplum kuruluşu ve benzeri tüm bilgi güvenliği paydaşlarının katılacağı düzenli çalışmalar yapılması.
Katılımcılarınıni bilgi teknolojileri ürünlerinin siber güvenlik kapsamında doğru kullanımı, teknolojik önlemler ve gereksinimler, AR-GE gereksinimleri, geliştirilmekte olan bilgi teknolojileri ürünleri ile idari önlemler ve mevzuat konularında işbirliği yapması (Kasım 2013 – Üniversiteler)
28. Yerli Ürünlerin Teşvik Edilmesi > Kurumların bilgi ve iletişim sistemlerinde,
a) Yerli olarak geliştirilmiş, güvenlik değerlendirmesi ve sertifikalandırması gerçekleştirilmiş ürünlerin tercih etmeleri (Şubat 2014)
b) Yerli ürünlerin mevcut olmadığı durumlarda güvenlik değerlendirmesi ve sertifikalandırması gerçekleştirilmiş ürünleri tercih etmeleri için teşvik mekanizmaları oluşturulması. (Şubat 2014)
Eylem planının tamamına https://www.resmigazete.gov.tr/eskiler/2013/06/20130620-1-1.pdf adresinden erişebilirsiniz.
https://www.bilgiguvenligi.org.tr/index_files/pdf/Ulusal_Siber_Guvenlik_Stratejisi.pdf
https://www.resmigazete.gov.tr/eskiler/2013/11/20131111-6.htm