ISO 27019:2013 Enerji Altyapıları – Bilgi Güvenliği Standardı

27001ISO 27019:2013 Enerji Altyapıları – Bilgi Güvenliği Standardı

Bilgi Güvenliği konusu, mevzuat ve içerik itibariyle hemen hemen tüm sektörlerde üretilen bilginin güvenliğini sağlamaya yönelik  uygulamalar getirmiştir. Bu husus ISO tarafından yayımlanan ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ile dünya çapında ISO ya üye ülkeler tarafından kullanılarak ivme kazanmıştır. Bu standardın uygulamasının yapılabilmesi içinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Uygulama Rehberi yayımlamıştır. ISO’da 27000 ailesini çalışan çalışma grupları tarafından bazı sektörlerin hassasiyetlerine göre bilgi güvenliği çatısından kopmadan, o sektöre özel kontrol maddeleri eklemek suretiyle yeni standart yada uygulama rehberleri yayımlamıştır.

Örnek vermek gerekirse :

ISO/IEC 27011:2008 – Bilgi teknolojisi – Güvenlik teknikleri – ISO / IEC 27002 dayalı telekomünikasyon kuruluşlar için bilgi güvenliği yönetim kuralları içerir.

ISO 27799:2008 – ISO/IEC 27002 Kullanılarak Sağlık Sektöründe Bilgi Güvenliğinin Sağlanması ile ilgili bilgileri içerir.

bu makaleye konu mevzuat ise,

ISO/IEC 27019:2013 – Bilgi teknolojisi – Güvenlik teknikleri – Enerji sektöründe özel proses kontrol sistemleri için ISO/IEC 27002 dayalı güvenlik yönetimi kurallarına ait bilgileri içerir.

Önemli Not : bu rehberler tek başına sistem olarak kurulamaz. Bilgi Güvenliği çalışacak kurum ve kuruluşlar öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı gerekliliklerine göre yönetim sistemlerini kuracaktır. Kendi sektörlerine özel yayımlanmış rehberlerden destek alacaktır.

ISO’nun Bilgi Güvenliği Standartları ve ve uygulama rehberleri tarafından durumu bu şekilde açıkladıktan sonra gelelim bu standardın detaylarına.

Energy-security_banner-678x381EPDK (Enerji Piyasaları Denetleme Kurumu) tarafından Enerji sektöründe faaliyet gösteren kurum ve kuruluşların artan bilgi güvenliği ihtiyaçlarına dikkat çekebilmek maksadıyla çeşitli dönemlerde bu hususta bazı yönetmelik değişiklikleri yaparak konuya dikkat çekmiştir.

EPDK, Aralık 2014 tarihinde bilgi güvenliğine dönük gereksinimleri göz önünde  bulundurarak aşağıda belirtilen üç yönetmeliği güncellemiş ve lisans sahiplerine bilişim sistemleri güvenliğini sağlama doğrultusunda yükümlülükler vermiştir.

Bu kapsamda,
1. Elektrik Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik
2. Doğal Gaz Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik 
3. Petrol Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik,
26 Aralık 2014 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.  Yönetmeliklerle bilgi güvenliği kapsamında yükümlülüğe tabi olan kurumlar şunlardır:

1. Elektrik piyasasında,
a. OSB (Organize Sanayi Bölgesi) üretim lisansı sahipleri hariç olmak üzere, kurulu
gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri,
b. İletim lisansı sahibi,
c. Piyasa işletim lisansı sahibi,
d. OSB dağıtım lisansı sahipleri hariç olmaküzere dağıtım lisansı sahipleri (elektrik
dağıtım şirketleri)

2. Doğal gaz piyasasında,
a. İletim lisansı sahibi şirketler,
b. Sevkiyat kontrol merkezi kurmakla yükümlü dağıtım lisansı sahibi şirketler

3. Petrol piyasasında,
a. Rafinerici lisansı sahipleri

Tüm bu kurumlara, aşağıdaki yükümlülük getirilmiştir:

Üretim Lisansı sahipleri için ilgili madde:

f) Geçici kabul tarihinden itibaren yirmi dört ay içerisinde OSB üretim lisansı sahipleri hariç olmak üzere, işletmeye geçmiş kurulu gücü 100 MWe ve üzerinde olan bütün üretim tesisleri için kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak, TS ISO/IEC 27001’e göre kuracakları Bilgi Güvenliği Yönetim Sisteminde TS ISO/IEC 27002 Uygulama Rehberine ek olarak ISO/IEC TR 27019 rehber dokümanını da referans almak,

ifadesi eklenmiştir.

böylece yukarıda bahsi geçen enerji dağıtım işi ile uğraşan kurum ve kuruluşlar ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun hale gelmeleri yeterli gelmeyip aynı zamanda ISO 27019 rehberinde yer alan sektöre has kontrol maddelerini de titizlikle çalışmaları gerekmektedir.

Peki ISO 27019 Sektöre Özel Gelen Maddeler Nelerdir.

ISO 27019:2013 standardına ISO 27002:2005’e ek yeni maddeler eklendiğini görüyoruz. 4 ana ve 11 alt başlıklarla birlikte 15 yeni maddeye ilişkin liste aşağıdaki gibidir.

  • Madde 9.1.7 Kontrol odaları güvenliği (Securing control centers)
  • Madde 9.1.8 Teçhizat odalarının güvenliği (Securing equipment rooms)
  • Madde 9.1.9 Uç işletmelerin güvenliği (Securing peripheral sites)
  • Madde 9.3 Üçüncü taraf lokasyonlarda güvenlik (Security in premises of 3rd parties)
  • Madde 9.3.1 Tesis bünyesinde bulunmayan teçhizat (Equipment sited on the premises of other energy utility organizations)
  • Madde 9.3.2 Müşteri lokasyonundaki teçhizat (Equipment sited on customer’s premises)
  • Madde 9.3.3 Bağlantılı kontrol ve iletişim sistemleri (Interconnected control and communication systems)
  • Madde 10.6.3 Kontrol sistemi verilerinin güvenliği (Securing process control data communication)
  • Madde 10.11 Güncel olmayan sistemler (Legacy systems)
  • Madde 10.11.1 Güncel olmayan sistemlerin iyileştirilmesi (Treatment of legacy systems)
  • Madde 10.12 Emniyet fonksiyonları (Safety functions)
  • Madde 10.12.1 Emniyet fonksiyonlarının erişebilirliği ve bütünlüğü (Integrity and availability of safety functions)
  • Madde 11.4.8 Kontrol sistemlerinin mantıksal harici bağlantıları (Logical coupling of external process control systems)
  • Madde 14.2 Gerekli acil iletişim servisleri (Essential emergency services)
  • Madde 14.2.1 Acil iletişim (Emergency communication)

Sonuç olarak;

27002 standardında bulunmayıp enerji sektörüne özel uygulama kılavuzu 27019’da yer alan önlemler gözden geçirildiğinde, şu konularda hassasiyet gösterildiği
gözlenmektedir:
a. Sistem kontrol merkezlerinde yaşanabilecek aksaklıkların neden olabileceği geniş kapsamlı etkiler göz önünde bulundurularak, kontrol merkezlerinin, merkezlerde kritik
cihazların bulunduğu odaların ve kontrol merkezlerine ev sahipliği yapan tesislerin fiziksel ve çevresel güvenliğinin sağlanması.

b. Enerji sektörünün (üretim, iletim, dağıtım vb.) çok katmanlı, kurumlararası etkileşimli yapısı göz önünde bulundurularak, paydaş kurumların ve müşterilerin tesislerinde
yer alan sistem bileşenlerinin güvenliğinin sağlanması, kontrol ve iletişim sistemleri arasındaki bağlantıların yönetilmesi, izlenmesi ve gerektiğinde paydaşların sistemlerinden ayrılmak üzere tedbirler alınması.

c. Özellikle geniş alanlara yayılan dağıtım ve iletim sistemlerinde söz konusu olabilecek riskler göz önünde bulundurularak, süreç kontrol verisinin gizlilik, bütünlük ve
sürekliliğinin güvence altına alınması.

d. Kurumsal bilişim sistemlerinden çok daha uzun süre hizmet veren ve güvenlik işlevlerinden yoksun olabilen Endüstriyel Kontrol Sistemlerin’den kaynaklanan risklerden korunma.

e. Kurum içinden ve paydaş kurumlardan afet ve acil durumlarda iletişim halinde kalınması gereken personel ile ve vazgeçilmez kontrol sistemleri ile muhaberenin sürdürülmesini ve olağanüstü durumun atlatılmasını güvence altına alacak
planlamanın yapılması, önlemlerin alınması. 27019 standardında yukardaki konuların herbiri ile ilgili  olarak son derece somut öneriler bulunmaktadır.
27011 standardının da benzer başlıklara yoğunlaştığı görülmektedir. İlave olarak SPAM (yığın E-posta) ve DoS (servis dışı bırakma) saldırılarına dikkat çekilmekte ve bu
bağlamda alınabilecek önlemlerden bahsedilmektedir. Standartlarda dile getirilen risklerin tamamı, Türkiye için de söz konusu olan risklerdir. Şöyle ki, kritik enerji altyapıları her tür fiziksel ve çevresel riskle karşı karşıyadır. Türkiye, geniş
bir coğrafyaya yayılmış olması dolayısı ile enerji altyapıları geniş alan ağları ile haberleşmektedir. Enerji altyapılarında miyadı dolmuş kontrol sistemleri ile karşılaşmak sürpriz olmamaktadır.

Afet ve acil durumlar Türkiye’de gündelik yaşamın ayrılmaz, nerede ise kanıksanmış parçası haline gelmiştir. Her tür bilgi sistemine SPAM ve Dos saldırıları yapılmaya devam etmektedir. Dolayısı ile standartlarda dile getirilen önerilerin yurdumuz için de gerekli ve geçerli olduğu, Kritik Enerji Altyapısı işleten kuruluşlar tarafından gözden
geçirilmelerinin son derece faydalı olacağı kesindir.

Faruk Çalıkuşu
Kıdemli Danışman

Kaynak :http://www.iscturkey.org , https://www.biznet.com.tr/enerji-altyapilari-icin-iso-270192013-standardi/
Reklamlar

ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi Standardı Yeni Versiyon Mu Çıktı ?

tseBilindiği üzere ISO 27001; Bilgi Güvenliği Yönetim Sistemi Standardı olarak bilinmektedir.  Yönetim Sistemi Standartları dünya üzerinde ISO  Uluslararası Standartlar Örgütü  (International Standards of Organisations) tarafından planlanmakta ve yayımlanmaktadır.

Ülkemizde de ISO standartları TSE (Türk Standartları Enstitüsü) tarafından TS (Türkturkak-logo (1) Standardı olarak kabul eder. Orjinal dilinde ingilizce olarak yayınlanan standardı Türkçe’ye çevirme işini gerçekleştirir ve satışa sunar. Ülkemizdeki ISO tarafından yayınlanmış ve TSE tarafından benimsenerek satışa sunulmuş standartların kurum ve kuruluşlarda kurulumu tamamlandıktan sonra Akredite olmuş (TÜRKAK – Türk Akreditasyon Kurumu) firmalar tarafından belgelendirme işlemleri tamamlanır.

ISO 27001 ülkemizde son olarak 2013 yılında  TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı olarak kabul edilmiş ve yürürlüktedir. ISO 27001:2013 versiyonu ile ilgili detaylı bilgiye erişmek için lütfen TIKLAYINIZ.

ISO zaman zaman ülkelerden gelen istekler ve talepler doğrultusunda standartlarda revizyonlar yada değişiklikler yapabilir.

27001Son olarak ISO / IEC 27001:2017 CEN/CENELEC ( Comite Europeen de Normalisation / Comite Europeen de Normalisation Electrotechnique – Avrupa Standartlaştırma Komitesi / Avrupa Elektroteknik Standartlaştırma Komitesi); 34 ülkenin (Ayrıntılı bilgi için tıklayınız lütfen) standartlaştırma örgütlerinin ve elektroteknik komitelerinin bir araya geldikleri bir birliktir.
CEN’in amacı uyumlu bir Avrupa pazarı yaratmak için telekomünikasyon (ETSI) ve elektroteknik (CENELEC) alanının dışında kalan bütün teknik sektörler için standartlar üretmektir.)  tarafından onaylanarak yeni bir Avrupa sürümü olarak 2016 yılından itibaren duyurulmuştur.

Yapılan bu düzenlemede Standart üzerinde iki maddede değişiklik yapılmıştır. Standart maddelerinden 6.1.3 ile Standardın EK A Kontrol Maddelerinden 8.1’de değişiklik yapılmıştır.

Ülkemiz CEN/CENELEC birliğinin üyesidir. Bu bağlamda TSE standardı benimsemiş ve ingilizce orjinal dilinde satışa sunmuştur. Henüz standardın Türkçe tercümesi yapılmamıştır.

Peki bundan sonra ne olacak ??

1- Türkak henüz yeni versiyondan akreditasyon değişlikliği yapmamıştır.

2- Daha önce 2013 versiyonundan alınmış sertifikalar hala geçerliliğini korumaktadır.

3- Yeni sertifika alacak olan kurum yada kuruluşlar 2013 versiyonundan yönetim sistemini kurmaya ve 2013 versiyonu üzerinden sertifika alabileceklerdir.

4- Yeni versiyondan sertifika almak isteyen kuruluşlar talep halinde 2017 versiyonu üzerinde sertifika alabileceklerdir.

Saygılarımla
Faruk Çalıkuşu
Kıdemli Danışman

Kişisel Verilerin Korunması Mümkün Mü ?

data_165879647-thumb-380xauto-3949

24.03.2016 tarih ve 6698 kanun numarasıyla “Kişisel Verilerin Korunması Kanunu” yayımlandı. Artık kanun da çıktığına göre kişisel verilerimiz güvendemi sorusu insanın aklına gelmiyor değil ?

Bu soruya sağlıklı bir cevap verebilmek için öncelikle “Kişisel Veri” nedir bunu tanımlamak gerek. TBMM  117 sıra sayılı Kişisel Verilerin Korunması Tasarısı ve Adalet Komisyonu raporunda  şu şekilde ifade edilmiştir.

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

Tanımdan da anlaşılacağı üzere kişinin kendisi ile ilişkilendirebileceğimiz her türlü veri kişisel veri olarak tanımlamak mümkün. T.C. Kimlik numaramız, telefon numaramız hemen hemen her gün bir yerlere verdiğimiz bilgilerin başında gelmektedir. Telefonlarımıza her gün – en azından benim telefonuma 🙂 –  daha önce hiç alışveriş yapmadığım yada tanımadığım bir yerden reklam mesajı gelmektedir. Eeee tanımıyoruz, tanımadığım yerden geliyor. Kanun da çıktı…

Gerek kamu kurumlarımız olsun gerekse özel şirketler olsun  vatandaşın kişisel verileriyle doludur. Kanun dediğimiz husus kural koyar ve çerçeveyi çizer. 6698 Kişisel Verilen Korunması Kanunu da aynı şekilde kuralları belirledi ve çerçeveyi çiziyor. Gerisi …!!!  gerisi bilinçli vatandaş ve sorumluluğunu bilen yöneticilere kalıyor.

Kanun ne diyor ???

MADDE 3- (1) Bu Kanunun uygulanmasında;

  1. a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
  2. b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Kanunun 3. maddesinin 1.a) bendinde Açık Rıza kavramından bahsediyor. Nedir açık rıza ? Sizin kendi isteğiniz ve onayınızla size ait olan bilgilerin ve verilerin kullanılması durumudur. Örneğin sizin sağlık verileriniz, size ait olan tüm veriler. Eğer kendi rızanızla bu verilerin kullanılmasını isterseniz bu veriler açık bir şekilde yine kanunun 4. Maddesinde belirtilen hususlar çerçevesinde kullanılacaktır.

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma.
  2. b) Doğru ve gerektiğinde güncel olma.
  3. c) Belirli, açık ve meşru amaçlar için işlenme.

yine 3. maddede ifade edilen başka bir kavram ise Anonim Hale Getirme  kavramıdır. Sizi açıkça ifade etmeyecek verilerdir. Örneğin Kastamonu ili Tosya ilçesinde yaşayan 90 yaş üstü erkek sayısı yada 90 yaş üzeri bakıma muhtaç olan kişi sayısı gibi. Bakanlıklar genelde çalışma alanlarına göre çeşitli konularda vizyon belirleme, politika geliştirme gibi konular için bu tarz istatistikleri sıkça kullanmaktadır.

T.C. Sağlık Bakanlığı Kamu Hastaneleri Kurumu tarafından http://rapor.saglik.gov.tr/istatistik/rapor/index.php hazırlamış olduğu bu web sitesi kişisel verilerin anonim hale getirilmesi ile ilgili güzel bir çalışmadır. Göreceğiniz üzere verilen istatistiklerden herhangi bir kişi verisi mevcut değildir.

Kanunda;

  • Kişisel verilerin işlenme şartları
  • Özel nitelikli kişisel verilerin işlenme şartları
  • Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
  • Kişisel verilerin aktarılması
  • Kişisel verilerin yurt dışına aktarılması
  • Veri sorumlusunun aydınlatma yükümlülüğü
  • İlgili kişinin hakları (Kişisel Verinin Sahibinin Hakları)
  • Veri güvenliğine ilişkin yükümlülükler
  • Başvuru, Şikâyet ve Veri Sorumluları Sicili
  • Suçlar ve Kabahatler

konulara değinilmiştir.

İnternet ortamında size ait bir veri olduğunu düşündüğünüz bir durumda ( sosyal medyada paylaşılmış bir fotograf, size ait bir bilgi, veri vs .) kanunun 11. maddesinde tanımlanmıştır.

MADDE 11 – (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,27
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

bu çerçevede ilgili web sitesinin yetkililerine ulaşıp yukarıdaki haklarınız doğrultusunda taleplerinizi iletebilirsiniz. Bu adımı izlediniz ve hala sonuç alamadıysanız o halde kanunun 13., 14. ve 15. Maddeleri devreye giriyor. Ne mi onları ??? işte buyrun.

DÖRDÜNCÜ BÖLÜM
Başvuru, Şikâyet ve Veri Sorumluları Sicili

Veri sorumlusuna başvuru
MADDE 13 – (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Kurula şikâyet
MADDE 14 – (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.

(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15 – (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

Peki, sizin açık izniniz olmadan size ait bir verinin paylaşıldığını düşündünüz ve yukarıdaki adımları işlettiniz. Sonuç ne olur dersiniz. Yani kanuna uygun olmayan bir kullanım karşısında, kullananlar bu durumda cezai olarak ne gibi yaptırımlarla karşı karşıya kalırlar.

kanunun 5. Bölümünde 16. ve 17. Maddelerde Suç ve Kabahatler başlığında konuya açıklık getirmiştir.

BEŞİNCİ BÖLÜM
Suçlar ve Kabahatler

Suçlar
MADDE 17 – (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.

5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri

Kişisel verilerin kaydedilmesi
Madde 135 – (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

Verileri hukuka aykırı olarak verme veya ele geçirme
Madde 136 – (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Nitelikli haller
Madde 137 – (1) Yukarıdaki maddelerde tanımlanan suçların;

a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

işlenmesi halinde, verilecek ceza yarı oranında artırılır.

Verileri yok etmeme
Madde 138 – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

Şikayet
Madde 139 – (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.

Tüzel kişiler hakkında güvenlik tedbiri uygulanması
Madde 140- (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.”

(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

5237 sayılı Kanunun 138 inci maddesi

Verileri yok etmeme
Madde 138 – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.”

Kabahatler 
MADDE 18 – (1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.32

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

şeklinde ifade edilmiştir.

Son olarak,

Vatandaş olarak kanun koyucu kuralları koymuş ve anlaşılacağı üzere açıkça da tanımlamıştır. Tüm kamu ve özel kurumların artık bu çerçevede gerekli tedbirleri alma ve uygulama zorunluluğu doğmuştur. Bu doğrultuda kurumların kişisel verileri sakladıkları, işledikleri, transfer ettikleri tüm bilişim altyapılarını gözden geçirme ve gerekli düzenlemeleri yapmaları gerekmektedir.

Nedir bu düzenlemeler ???

Konuyla yakından ilişkili iki tane standarttan bahsetmek mümkün,

1- TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı

2- BS 10012 Veri koruma, Kişisel Bilgi Yönetimi Sistemi Standardı’dır.

bu standartlar ne işe yarar, kişisel verilen daha güvenli hale nasıl getirmek gerekir, bu konularada bir sonraki makalemde anlatmaya çalışacağım..

Eeeee Kişisel Verilerimiz Güvendemi ? Hayırlı olsun kanunumuz var artık 🙂

Siber güvenlikte 2017’de neler yaşanacak?

mtu4mjawmzyxmznhnje
Kaspersky Lab’ın 2017 Tehdit Öngörüleri’ne göre, şirketin 2016’da her bir kurbanı için ayrı araçlar yaratabilen bir APT tespit etmesiyle birlikte “Tehlike Göstergeleri”ni kullanmak, güvenilir bir zararlı yazılım tespit etme yolu olmaktan çıktı.

Tehdit Öngörüleri, yıllık olarak Kaspersky Lab’ın uzman Küresel Araştırma ve Analiz Ekibi* tarafından ve şirketin geniş çaplı içgörülerine ve uzmanlığına dayanarak hazırlanıyor. 2017 için hazırlanan listede; kişiye özel ve tek kullanımlık araçların etkisi, saldırgan kimliğini saklamak amacıyla yanlış yönlendirme yöntemlerinin kullanımındaki artış, ayrım yapılmaksızın her alanda internete bağlı bir dünyanın kırılganlığı ve bilgi savaşlarında siber saldırıların kullanımı gibi konular öne çıkıyor.

“Tehlike Göstergeleri”nin Düşüşü

Tehlike Göstergeleri, bilinen zararlı yazılımların özelliklerini paylaşmak ve aktif bir zararlı yazılımı tespit etmekte uzun zamandır başarıyla kullanılan bir yöntem olarak biliniyor. Kaspersky uzmanlarının ProjectSauron APT‘yi keşfetmesiyle birlikte bu durum artık değişti. Analizler sonucunda, tüm özelliklerini her bir kurbanına özel değiştirebilen bir zararlı yazılım platformuyla karşı karşıya olunduğu ve dolayısıyla güçlü YARA** kuralları gibi önlemlerin desteği olmaksızın IoC’ler yardımıyla diğer kurbanların tespit edilemeyeceği ortaya çıkmış oldu.

Kısa Ömürlü Zararlı Yazılımların Yükselişi

Kaspersky Lab uzmanları, 2017 yılında cihazların belleklerinde konuşlanan ve ilk yeniden başlatma sırasında kendisini silecek olan zararlı yazılımların ortaya çıkacağını öngörüyor. Söz konusu yazılımların, genel anlamda bir keşif ve kimlik bilgileri toplama amacını taşıdığı ve tespit edilmemeye önem veren saldırganların son derece hassas ortamlarda kullanacağı yöntemler olarak belirtiliyor.

Kaspersky Labs’da Kıdemli Güvenlik Uzmanı görevi yapan ve Küresel Araştırma ve Analiz Ekibi üyesi Juan Andrés Guerrero-Saade, konuyla ilgili olarak şöyle diyor: “Bunlar çarpıcı gelişmeler, fakat saldırganlar karşısında çaresiz olduğumuz anlamına gelmiyor. YARA kurallarının daha geniş bir kabul görmesinin zamanının geldiğine inanıyoruz. Bu sayede araştırmacılar şirketleri uçtan uca tarayabilecek, ikili öğelerde saklı özellikleri inceleyip tespit edebilecek ve bilinen saldırıların parçalarını bulmak üzere bellekleri tarayabilecek. Kısa ömürlü bulaşıcılar, gelişmiş anti-zararlı yazılım çözümlerinde proaktif ve sofistike buluşsal yöntemlerin önemini ortaya çıkarıyor.”

2017 ile ilgili diğer Tehdit Öngörüleri:

Saldırıları kimin yaptığını tespit etmek zorlaşacak: Siber saldırıların uluslararası ilişkilerde giderek daha önemli bir rol oynamasıyla birlikte, saldırıları kimin yaptığını bilmek politik açıdan atılacak misilleme gibi adımlar bağlamında temel bir sorun teşkil edecek. Kimlik tespiti arayışı ise kimliği konusunda yanıltıcı ipuçları bırakan suçluların sayısında bir artışı beraberinde getirecek.

Bilgi Savaşlarının Yükselişi: 2016’da dünya hack edilmiş bilgilerin agresif amaçlarla kullanılması konusunu ciddiye almaya başladı. Bu tarz saldırıların 2017’de artması bekleniyor ve insanların bu tarz verilere inanmaya eğilimli oluşlarından faydalanabilecek saldırganların söz konusu bilgileri kısmen veya manipüle edilmiş olarak açıklamaları riski bulunuyor.

Kaspersky Lab uzmanları, sözde, çoğunluğun iyiliği için hackleyip veri ortaya döken “Robin Hood” tarzında hackerların sayısında da artış öngörüyor.

Siber Sabotaja Karşı Artan Savunmasızlık: Hayati önem taşıyan altyapı ve üretim sistemleri, hiç korunmayarak veya çok az korunarak internete bağlı kaldığı sürece, özellikle de jeopolitik gerginlik dönemlerinde saldırganların ilgisini çekmeye devam edecek.

Mobil Casusluk: Kaspersky Lab uzmanları özellikle mobil cihazları hedef alan ve güvenlik endüstrisinin adli analiz amacıyla mobil işletim sistemlerine tam erişim almakta zorlanacak olması gerçeğinden faydalanacak casusluk harekatlarıyla daha fazla karşılaşılacağını öngörüyor.

Finansal Saldırıların Metalaştırılması: 2016’da yaşanan SWIFT soygunu gibi saldırıların “metalaşacağı” öngörülüyor. Bu konuda uzmanlaşan kaynakların yeraltı forumlarında paylaşılması veya hizmet olarak satılması söz konusu.

Ödeme Sistemleri Tehlikede: Çeşitli Ödeme sistemleri giderek popülerleşerek yaygın hale gelirken, Kaspersky Lab bunların suçluların ilgisini de daha fazla çekeceğini öngörüyor.

Fidye Yazılımlarında “Güven”in Kırılması: Uzmanlar fidye yazılımlarının yükselişinin devam edeceğini öngörürken, diğer yandan da kurbanların artık saldırganlara giderek daha az güveneceğini, yani ödeme yapmaları durumunda verilerinin iade edileceğine inanmayacaklarını tahmin ediyor. Bunun ödeme yapmaya hazır insanlar için bir dönüm noktası teşkil edeceği öngörülüyor.

Aşırı Kalabalık İnternette Cihaz Bütünlüğü: Nesnelerin interneti (IoT) cihazları üreticileri piyasaya güvenliği sağlanmamış ve sorun teşkil eden cihazlar çıkartmaya devam ederken, hackerların bu işe el atması ve mümkün olduğunca çok sayıda cihazı kullanım dışı bırakması riski yüksek.

Dijital Reklamların Kriminal Cazibesi: Önümüzdeki yıl içerisinde, reklamcılık sektöründe görmeye alıştığımız takip ve hedefleme araçlarının benzerlerinin sözde aktivistlerin ve muhaliflerin izlenmesinde kullanıldığını göreceğiz. Benzer şekilde, IP adresi kombinasyonları, tarayıcı bilgileri tespiti, ilgi alanları ve oturum açma seçimleri sayesinde mükemmel hedef profilleme imkanları sunan reklam ağları, gelişmiş siber casusluk failleri tarafından hedeflerini vurmada kullanılacak.

“Kaspersky Lab 2017 Tehdit Öngörüleri” raporu orijinalinin tam metnine Securelist.com üzerinden ulaşabilirsiniz.

 

Öte yandan Siber tehdit 2016 Temmuz ve Eylül ayları arası durum raporuna da aşağıdaki adresten ulaşabilirsiniz.

Siber Tehdit Durum Raporu

 

Siber Tehdit Durum Raporu Temmuz – Eylül 2016

sibertehditdurumraporutemmuz-eylul2016Türkiye dünyada zararlı yazılıma en çok maruz kalan üçüncü ülke

Türkiye’nin siber güvenlik ve büyük veri konusundaki lider teknoloji şirketi  Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. (STM), yeni siber tehdit durum raporunu yayımladı.  Temmuz-Eylül aylarını içeren STM Siber Tehdit Durum Raporuna göre,  fidye yazılım saldırıları küresel ölçekte yüzde 172 oranında arttı. Türkiye, Avrupa bölgesinde fidye yazılım saldırılarını en fazla yaşayan ülke durumundayken, dünyada ABD ve Brezilya’dan sonra üçüncü sırada yer alıyor.

Rapor, kişisel ve kurumsal verilere zarar verilmesi veya bu tür verilerin çalınması, yolsuzluk, hırsızlık, dolandırıcılık,  şeklinde sınıflandırılan küresel siber suçlardaki artışa işaret ediyor.

STM’nin raporuna göre, özellikle son dönemde on-line bankacılık siber korsanların hedefinde. Tespitler, ülkemizin 11 bin 516 saldırı ile Avrupa bölgesinde en fazla on-line bankacılık saldırısı alan ülke olduğunu, Türkiye’yi 4 bin 880 saldırı ile Almanya’nın ve 3 bin 529 saldırı ile Fransa’nın izlediğini söylüyor.

Endüstri 4.0 ile birlikte sanayi ve mühendislik şirketleri tehdidin ilk sırasında!

STM’nin, 2016 yılı Temmuz-Eylül dönemi raporunda öne çıkan siber tehditlerin başında sanayi ve mühendislik şirketlerinin verilerinin çalınması ve kötü amaçlı kullanılması riski yer alıyor. Buna gerekçe olarak Endüstri 4.0 uygulamalarının yaygınlaşması gösteriliyor. FTP sunucularından, internet tarayıcı hesaplarından, kişisel e-posta kutularından, Google AIM’daki gibi müşteri mesajlaşma araçlarından ve ofis programlarından çeşitli yöntemlerle, izinsiz elde edilen veriler, kötü amaçlı kullanılarak şirketlere ve kişilere maddi ve manevi zaralar veriliyor. Mühendislik ve sanayi şirketlerinden sonra en çok siber saldırıya nakliyat, ilaç, üretim, ticaret ve eğitim şirketleri maruz kalıyor.

Diğer yandan Endüstriyel Kontrol Sistemleri (EKS) günümüzde elektrik, su, atık su, petrol, doğal gaz, ulaştırma, kimya, ilaç üretimi, kâğıt, yiyecek, içecek ve otomotiv, uzay/havacılık ve dayanıklı tüketim malları gibi parçalı/montaj tipi imalat sektörlerinde kullanılıyor. Akıllı şehirler, akıllı evler ve arabalar, tıbbi cihazlar hep EKS’ler tarafından kontrol ediliyor. Rapora göre uzaktan kontrol edilebilen EKS’lerin yüzde 92’sinde saldırılara karşı açık bulunuyor.

800x500xsiber-tehdit-pagespeed-ic-idb7mtwd6y

ATM’lerin yanı sıra Üç Boyutlu yazıcılar bile siber korsanların hedefinde…

Son dönemlerde yapılan araştırmalara atıfta bulunan STM’nin Siber Tehdit Durum Raporu, giyilebilir teknoloji ürünlerinin siber korsanların ATM makinalarında kullanılan parolaları ele geçirmede nasıl kullanılabileceğini gözler önüne seriyor. Giyilebilir ürünler, kullanıcılarının hareketlerini takip eden gömülü sensörlere sahipler. Korsanlar bu sensörler aracılığıyla kullanıcılarının klavye ve ATM tuş takımlarındaki el hareketlerini de yakalayarak kişisel şifreleri ele geçiriyorlar.

Raporda bir diğer dikkat çekilen husus da kullanımı giderek yaygınlaşan üç boyutlu yazıcıların siber sabotajların aracı olması… Korsanlar üretim süreçlerine müdahale ederek özellikle otomotiv gibi milyonlarca kişiyi ilgilendiren kritik sektörlerde insan hayatını etkileyen üretim hatalarına sebep olabiliyorlar.

Sahte profillerle terör propagandası yapılıyor…

Dünyada siber saldırılarının yüzde 56’sının Çin kaynaklı olduğuna işaret edilen raporda, sanatçıların fan kulüpleri de tehdit altında yer alıyor. Sosyal medya ve siber güvenlik uzmanları, sosyal medya platformlarında bazı sanatçı ya da tanınmış kişilerin isimleriyle sahte profiller oluşturulduğu, takipçi sayısının artmasının ardından da bu hesapların terör örgütlerinin propagandası için kullanıldığı uyarısını yapıyorlar.

Veri ve dosya paylaşımı platformları da siber korsanların en önemli saldırı hedefleri arasında yer alıyor. Bu popüler platformlardaki kişisel bilgi sızıntıları, müşterilere getirilen parola değişim zorunluluğu ile önlenmeye çalışılıyor.

Locky Fidye Zararlı Yazılımı Yayılıyor

Raporda Ağustos 2016 ayında gözlemlenen Locky fidye zararlı yazılımı yayan yoğun e-posta operasyonuna da yer veriliyor. Bu operasyonlardan sektör olarak, başta sağlık olmak üzere, telekomünikasyon, ulaşım, üretim ve servis sağlayıcı sektörlerinin, ülke olarak ise başta ABD olmak üzere, Japonya, Kore Cumhuriyeti, Tayland ve Singapur’un etkilendiği belirtiliyor. Bu saldırılardan etkilenen 50 ülke arasında Türkiye 40’ıncı sırada yer alıyor. Uzmanlar bu tür e-posta operasyonların kurumsal/kişisel iş süreçlerine verebilecekleri zararlara dikkat çekiyor ve bunları engellemenin en önemli adımlarından birinin, kullanıcıların e-posta eklerini açarken çok dikkatli olmaları gerektiği olduğunu ifade ediyor.

Siber Uzay NATO gündeminde…

STM’nin Raporu, Temmuz ayında gerçekleşen NATO Zirvesi’ne de atıfta bulunuyor. Varşova’da düzenlenen bu zirvede, siber uzay, NATO tarafından; kara, deniz ve hava gibi, ilave bir harekât alanı olarak resmen kabul edildi. Bu kararla birlikte üye ülkelerin siber saldırılara karşı konvansiyonel silahlarla mücadele etmesinin önü açıldı. Ülkemizde de Ulaştırma Denizcilik ve Haberleşme Bakanlığı ve STK’ların öncülüğünde 2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı uygulamaya konularak önümüzdeki üç yıllık süre için milli siber güvenliği sağlayacak tedbirler belirlendi.

Raporun Tamamına BURADAN ERİŞEBİLİRSİNİZ.

STM

 

 

Ulusal e-Devlet ve Siber Güvenlik Strateji ve Eylem Planı’nda hangi hedefler var?

cyber_security_banner_internal

Türkiye’nin kamusal alanda dijitalleşmesini sağlayacak çok önemli stratejilerin ilk adımı bugün Ankara’da atıldı. 2016-2019 Ulusal e-Devlet Strateji ve Eylem Planı ile Siber Güvenlik Strateji ve Eylem Planı‘nın tanıtımı Ulaştırma, Denizcilik ve Haberleşme Bakanı Ahmet Arslan, Haberleşme Genel Müdürü Mustafa Koç ve TÜBİTAK Başkanı Prof. Dr. Arif Ergin tarafından yapıldı.

Ulusal e-Devlet Strateji ve Eylem Planı

E-Devlet Strateji ve Eylem Planı, Türkiye’nin dijital devlet dönüşümünü hızlandırmayı hedefleyen ve sadece kamuyla sınırlı tutulmayan bir plan. Plan kapsamında 4 stratejik amaç, 13 hedef ve 43 eylem belirlenmiş ve hem sivil toplum kuruluşları ve eğitim kurumları hem de birey işbirliklerini de kapsayacak şekilde geniş tutulmuş.

Devlet ve özel sektör katılımıyla hazırlana 168 sayfalık E-Devlet Strateji ve Eylem Planı’ndan bir kaç bilgi paylaşmak gerekirse;

  • Avrupa Birliği (AB) tarafından 2015 yılında yayınlanan e-Devlet ölçümleme çalışmasına göre Türkiye 33 ülke arasında kullanıcı odaklılık açısından 8. sırada.
  • Birleşmiş Milletler (BM) 2014 ölçümleme çalışmasına göre; Türkiye 193 ülke arasında, e-Devler Gelişmişlik Endeksi’nde 71.,
  • Çevrimiçi Hizmet Endeksinde 53. ve e-Katılım Endeksinde 65. sırada yer alıyor.
  • Dünya Bankası 2016 İş Yapma Kolaylığı Endeksi’nde Türkiye 189 ülke arasında 55. sırada yer alıyor.
  • Uluslararası Telekomünikasyon Birliği (ITU) 2013 BİT Gelişmişlik Endeksi’nde Türkiye 166 ülke arasında 68. sırada yer alıyor.
  • Türkiye’de e-Devlet kullanıcı sayısı 30 milyona, hizmet sağlayıcı sayısı 263’e, hizmet sayısı 1572’e ulaşmış.
  • Kalkınma Bakanlığı Kamu Bilgi ve İletişim teknolojileri Yatırımları (Nisan 2015) raporuna göre 2015 yılında kamu sektörü
  • BİT yatırımları 3 milyar 708 milyon TL düzeyine yükselmiştir. Kamu sektörü BİT yatırımlarının tüm kamı yatırımlarına oranı %6,9’dur.
  • 2015 Türkiye İstatistik Kurumu (TÜİK) Hanealkı Bilişim Teknolojileri Kullanı Araştırması istatistiklerine göre bireylerde e-Devlet hizmetlerini kullanım oranı yüzde 53,2. Özel sektörde e-Devlet hizmetleri kullanım oranı ise yüzde 81,4.

E-Devlet Strateji ve Eylem Planı’nın hazırlanmasında 21 ayrı üst düzey politika belgesi incelenmiş. E-Devlet ölçümlemelerinde ve çalışmalarında ön sıralarda yer alan 8 ülkenin (Güney Kore, Avustralya, Fransa, ABD, İngiltere, Estonya, Malezya) e-Devlet yaklaşımları detaylı olarak analiz edilmiş. Ayrıca 12 uluslararası kuruluş ve 4 uluslararası danışmanlık firması tarafından gerçekleştirilen e-Devlet çalışmaları ve eğitim analizleri incelenmiş.

E-Devlet Strateji ve Eylem Planı’ndan ye alan bazı hedef ve eylemlere de yer vermeden geçmeyelim;

  • Kurumsal bilişim stratejilerinin oluşturulması ve kamu bilişim personeli istihdamının düzenlenmesi
  • Kamu bilişim yetkinlik merkezi kurulması ve kamu bulut bilişim altyapısı oluşturulması
  • Kamu entegre veri merkezlerinin kurulması ve uygulamaya alınması
  • Türkiye coğrafi bilgi stratejisi ve eylem planının hazırlanması
  • Akıllı kentler programı geliştirilmesi ve kent yönetimi bilgi sistemi geliştirilmesi
  • E-Sağlık kayıtlarının entegrasyonunun sağlanması ve e-Sağlık standardizasyonu ve Akreditasyonunun gerçekleştirilmesi
  • Kullanıcı odaklı e-Devlet hizmet sunumunun sağlanması ve entegre bakım hizmetlerinin yaygınlaştırılması
  • E-Devlet hizmetlerinde mobil platformlar ve sosyal medyadan yararlanılması
  • Kamu Politikalarının oluşturulmasında BİT destekli katılımcılık programı geliştirilmesi

Siber Güvenlik Stratejisi ve Eylem Planı

Siber Güvenlik Stratejisi ve Eylem Planı’nda ise 5 stratejik amaç doğrultusunda 41 eylemin hayata geçirilmesi planlanıyor. Söz konusu stratejik amaçlar siber tehditlere karşı korunma, siber güvenlik alanında iş gücünün artırılması, yerli siber güvenlik çözümlerinin geliştirilmesi ve siber güvenliğin milli güvenlik sistemlerine entegrasyonu gibi başlıklar içeriyor.

Ulaştırma, Denizcilik ve Haberleşme Bakanı Ahmet Arslan, Türkiye’de 500’den fazla siber saldırılara müdahale ekibi kurulduğu bilgisini verirken, yılda ortalama 90 milyon siber saldırı aldığımızı da paylaştı. Forbes tarafından yapılan bir araştırmaya göre 2019 yılında siber saldırıların devletlere zararının 2 trilyon dolar seviyesinde olacağını paylaşan Bakan Arslan, ülkemize yönelik siber tehditlerin son dönemde bu katlanarak arttığını da dile getirdi.

Kısa bir bilgilendirme yapmak gerekirse; 20/10/2012 tarih ve 28447 sayılı Resmi Gazete’de yayınlanan “Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Bakanlık Kurulu Kararı” ile 5809 Elektronik Haberleşme Kanunu gereğince ulusal siber güvenliğin sağlanmasına ilişkin politika, strateji ve eylem planlarının hazırlanması ve koordinasyonun sağlanması Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’na devredilmişti.

Siber Güvenlik Stratejisi ve Eylem Planı, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı nezdinde hazırlanırken; kamu kurumları, kritik altyapı işletmecileri, bilişim sektörü, üniversiteler ve sivil toplum kurumlarını temsilen 73 kurum ve kuruluştan toplam 126 uzmanın katılımıyla (Ortak Akıl Platformu) gerçekleştirilmiş. Sözü fazla uzatmadan, siber güvenliği ulusal güvenliğimizin ayrılmaz bir parçası yapmak isteyen plandaki dikkat çeken eylem hedeflerini sıralayayım;

  • Kurumsal Siber Olaylara Müdahele Ekibi (SOME) kurması gereken kamu kurumlarında siber güvenlik bütçesinin oluşturulması
  • SOME’lerde çalışan siber güvenlik personelinin iş tanımlarının belirlenmesi
  • Kurumlarda sızma testlerinin zorunlu hale getirilmesi
  • Kamu ve kritik altyapı sistem odalarının sahip olması gereken asgari kriterler
  • Siber suçlar ile ilgili ceza ve muhakeme mevzuatının düzenlenmesi
  • Güvenli IPv6 kullanımınını yaygınlaştırılması
  • Milli adli analiz kapasitesinin geliştirilmesi
  • Adli analiz uzman havuzu oluşturulması ve kriterlerinin belirlenmesi
  • Siber suçları tespit için büyük veri analizi altyapısının kurulması
  • Siber güvenlik terimleri sözlüğünün oluşturulması
  • İlk, orta, lise ve yaygın eğitimde siber güvenlik eğitimlerinin yaygınlaştırılması
  • Siber güvenlik yaz kampları, yarışmaları ve tatbikatlarının düzenlenemsi
  • Bilişim hukukçusu yetiştirilmesi
  • Siber güvenlik farkındalığı kamu spotlarının oluşturulması
  • Yüksek lisans ve doktora düzeyinde siber güvenlik ders içeriklerinin oluşturulması
  • Siber güvenlik ekosistemi ulusal iş modelinin oluşturulması
  • Siber güvenlik teknoloji yol haritasının ve araştırma gruplarının oluşturulması
  • Siber güvenlik ilgili yerli teknoloji ve ürünlerin desteklenmesi
  • “Güvenli yazılım geliştirme ve güvenli yazılım kullanımı” kültürünün yaygınlaştırılması
  • Pardus’un yaygınlaştırılması
  • Laboratuvar/test yatağı altyapısının kurulması ve kritik siber güvenlik teknolojilerinin kazanımı
  • Kritik ürünleri denetleyecek ve sertifikalandıracak mekanizmaların çalıştırılması
  • Ulusal Siber Güvenlik Portalı’nın oluşturulması

Her iki alanda da incelenen örneklerden hareketle detaylı bir çalışma yapıldığını tahmin ediyor ve hedeflerin uygulamaya konulmasında gecikme yaşanmamasını temenni ediyorum. Özellikle siber güvenlik çalışmalardaki gecikmelerin e-Devlet sistemlerini tehdit edeceği ve ekonomik anlamda daha zararlı olabileceği de hepimizin malumu.

Ek olarak STM’nin henüz kurmuş olduğu Siber Füzyon Merkezi‘nin de eylem planının uygulanmasına yardımcı olacağını paylaşabilirim. Bu yeni adımlarla birlikte siber tehditlere karşı başarılı olup olmadığımızı da önümüzde dönemde izlemeye devam edeceğiz.

Eylem planının tamamına BURADAN ULAŞABİLİRSİNİZ.

webrazzi.com  e-devlet.gov.tr

Dünden Bugüne İstihbarat ve Siber İstihbaratın Önemi

top-secret-stamp-clip-art-5313İstihbarat, özellikle genç yaşlarda ilgi duyulan bir bilim dalı. Yüzyıllardır gizemini korumakta olan, bunun neticesi olarak da birçok insanın önyargıyla yaklaştığı istihbarata son yıllarda Türkiye‘de de farklı bir yaklaşım sergilenmeye başladı. Bunun neticesi olarak ülkemizde de bazı üniversiteler, terörle mücadele ve istihbaratla ilgili konularda programlar açarak, akademik bilgiye sahip, istihbaratı bir bilim dalı olarak gören kişilerin yetişmesine katkıda bulunmaktadır.

Sinema filmlerindeki hikayelerde sürekli olarak ıslak operasyonların ön plana çıkarılması sebebiyle de kimilerinin korku duymasına sebep olan istihbarat, doğru bir şekilde kullanıldığı takdirde, bir ülkenin kısa ve uzun vadedeki geleceğini tayin etmede büyük bir rol oynamaktadır.İstihbarat, haber alma teknolojilerinden kriptolojiye, yabancı dil uzmanlığından psikolojiye kadar birçok müspet ilmi kapsamaktadır. Bir başka deyişle, istihbaratın elde edilmesi için bilginin elde edilmesi ve bunun işlenmesi, ardından analiz edilmesi gibi süreçler bulunmaktadır.

İstihbarat, günün şartlarına uygun olarak gelişmektedir ve çeşitli sözlüklerde “akıl, zeka, malumat, haber, bilgi, havadis, bilgi toplama, haber alma” şeklinde tanımlanmaktadır. İstihbarat bilimcileri tanım yaparken, akıl ve haber alma öğelerini bir arada kullanmaktadır. Dolayısıyla akılcı yöntemlerle haberin alınması ve yine akılcı yöntemlerle bunların işlenmesi neticesinde istihbarat elde edilmektedir. İşlenmemiş haber, istihbarat olamaz. Dolayısıyla elde edilen haberlerin belli bir metodoloji kullanılarak tasnif edilmesi, işlenmesi ve son olarak da raporlanması gereklidir. Aksi takdirde gelen haber, sadece bilgi olarak kalmaktadır.

 

İstihbarat, planlama, araştırma, deliller toplama ve çeşitli ilmi metotlar kullanarak bunların değerlendirilip, kullanılabilecek bilgi olarak sunulmasını hedeflemektedir. İstihbaratın sistemli bir şekilde toplanması da oldukça önemlidir. Bu sistemin dışına çıkılması bilginin, dolayısıyla da elde edilecek istihbaratın bozulmasına sebebiyet verecektir. Bu da özellikle müşterilerin (teknik terimdir) yanlış karar vermesine sebep olacak, düşman ya da rakiplerine karşın yanlış hareket etmelerini sağladığından başarısızlığın en büyük temeli olacaktır.

5585519-a-top-secret-folder-isolated-on-a-white-background-stock-photo

İstihbarat toplamak için teknik, insan kaynaklı ve açık kaynak istihbarat toplama teknikleri kullanılmaktadır. Kapalı kaynak olarak adlandırılan istihbarat toplama tekniği, eskiden daha çok sahada yapılmaktayken, bugün siber uzay üzerinden de etkin bir şekilde gerçekleşmektedir. Üstelik elde edilen neticeler, eskiye oranla çok daha düşük maliyetli, hızlı ve güncel olmaktadır. İnternetin yaygınlaşmasıyla birlikte artık çeşitli web siteleri, sosyal medya ve sohbet odaları gibi ortamlardan açık kaynak istihbarat toplamak da yine çok daha kolay bir şekilde gerçekleşmektedir.

İstihbaratın ne olduğunu özetleyecek olursak; “İstihbarat, ulaşılabilen açık, yarı açık ve gizli kaynaklardan elde edilen bilginin, ulusal güvenliği tehdit edecek unsurlara karşı koruma sağlamak amacıyla yahut politika yapıcıların, ulus menfaatlerini olumlu şekilde etkileyecek kararların alınması hususunda ihtiyaç duyduğu bilgilerin elde edilip, doğruluğuna göre sınıflandırılması, karşılaştırılması, analiz edilmesi süreci sonucunda ulaşılan bilgidir.”

Bilginin ne kadar önemli olduğu bu tanımla birlikte bir kere daha ortaya çıkmaktadır. Bugün, bilgiyi elde etmek bir tık ötede olduğuna göre, akılcı yöntemler kullanarak istihbarat elde etmek de daha hızlı bir şekilde mümkün olmaktadır. Burada dikkat edilmesi gereken en önemli husus, artık istihbaratın internet üzerinden kolayca elde edilebildiğidir. Özellikle sosyal medya hesaplarında paylaşılan bilgi burada büyük bir ehemmiyet teşkil etmektedir. Bugüne kadar pek çok kullanıcınınhassas bilgilerini internet üzerinden paylaşması neticesinde çeşitli kaçırma, fidye isteme ve hatta cinayet haberleri basına yansımıştır. Bu durumda internetin kullanımı kadar, bilginin derecelendirilmesi ve korunması da devreye girmektedir. İnternet kullanıcılarının, sadece sahip oldukları, depolama alanlarında kayıtlı bulunan belgeleri değil, aynı zamanda kişisel bilgilerini de muhafaza etmeleri günümüzün olmazsa olmazları arasına girmektedir.

Bugün, teknolojinin geldiği nokta neticesinde siber istihbarata da oldukça büyük bir önem verilmektedir. Ülkeler ve kurumlar, birbirlerine üstünlük kurmak için rakiplerin bilgi sistemlerine karşı saldırılar yapmakta, siber sistemlerini devre dışı bırakarak ekonomik olarak zarar vermeyi amaçlamaktadır. Bunun dışında siber uzayda saklanan verilerin ele geçirilmesi sağlanmış ve böylelikle gelecek planları, kullanılan teknolojiler ve diğer birtakım gizli bilgiler elde edilebilmiştir.

7796813-top-secret-blue-stamp

Yapılan bir siber saldırı neticesinde, bir ülkenin tüm elektrik hizmetlerini bir anda kesmek mümkün kılınabilmektedir. SCADA sistemlere yapılacak saldırılarla hedef ülkeye sadece ekonomik olarak değil, aynı zamanda fiziksel saldırılar dahi gerçekleştirilebilmekteidir. Günlerce sürebilecek bir saldırı sonucu, ülkenin tüm banka ve finans kurumlarının sistemleri çökertilebilmekte, hizmet veremez hale getirilebilmektedir. Artık tankla tüfekle savaşma devrinin kapandığı, savaşların siber ortamda gerçekleşeceği çeşitli uzmanlar tarafından belirtilmektedir. ABD’li yetkililer yaptığı bir açıklamada, kendilerine karşı yapılacak herhangi bir siber saldırının, konvansiyonel savaş sebebi olacağını ifade etmiştir.

ABD tarafından yapılan bu resmi açıklama, siber güvenlik ve siber istihbarat öğelerinin önemini vurgulamaktadır. Siber istihbarat, HACKINT olarak da tanımlanan, hackleme üzerine olabileceği gibi, daha önce de ifade ettiğimiz gibi sosyal medya ve çeşitli internet yayınlarından faydalanılarak da elde edilebilmektedir. Bunun haricinde son dönemde, özellikle Suriye ve İran gibi Ortadoğu ülkelerinde de sıkça kullanılan, siber baltuzağı operasyonları da maddi manevi tahribatlara sebebiyet verebilmektedir.

Bugün internet, espiyonaj faaliyetleri için oldukça kullanışlı bir alan haline gelmiştir. ABD’ninSavunma Araştırmaları Servisi‘ne göre, bilgisayarlar ve internet, en hızlı gelişmekte olan istihbarat toplama alanı olarak nitelendirilmektedir. “Tradecraft” olarak adlandırılan ve istihbarat paylaşımı olarak tanımlayabileceğimiz faaliyet, günümüzde internet sayesinde çok daha kolay bir hale gelmiştir.

ABD istihbarat servisinin, kendi haberleşme ağını kurdurması, şifreleme özelliğine sahip haberleşme yazılımlarını geliştirmesi de siber uzaydaki istihbari faaliyetlerin önemini tekrar gözler önüne sermektedir. Bireysel olarak da kullanıcıların, hassas bilgilerini koruyabilmek, başkalarının eline geçmemesini sağlamak amacıyla WhatsApp gibi uygulamalar yerine, açık kaynak şifreleme destekli uygulamalar kullanmaları gerekmektedir.

Mobil cihazlar ve bilgisayarlar için geliştirilmiş zararlı yazılımlar sayesinde pek çok bilgiye anında ulaşmak mümkün olmaktadır. Dolayısıyla kullanılan cihaz, yazılım ve internet ağlarına dikkat etmek gerekmektedir. Ayrıca; önem teşkil edebilecek bilgileri paylaşmaktan kaçınmakta fayda bulunmaktadır.

k12669022

Siber uzay içerisinde yer alan cihazlar üzerinden bilgi elde etmenin çeşitli yolları bulunmaktadır. Bunlar arasında, yukarıda belirttiğimiz sosyal medya araçlarının kullanılması, casus yazılımların sızdırılması ve hacking yöntemleri olabileceği gibi, doğrudan cihazın fiziksel olarak ele geçirilmesi yer almaktadır.

Buraya kadar anlatılanlar, temel bilgi niteliğinde olup, teknik bilgilere ulaşabilmek için açık kaynakların takip edilmesi, istihbarat, siber istihbarat ve siber güvenlikle ilgili yazılmış olan kitapların okunması tavsiye olunur.

h4cktimes.com