Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
Ulusal Siber Güvenlik Stratejisi2023’ün siber uzayında güçlü ve önder
T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı
Ulusal Siber Güvenlik Stratejisin siber uzayında güçlü ve önder bir Türkiye
T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı
Ulusal Siber Güvenlik Stratejisi Türkiye için
T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı
Ulusal Siber Güvenlik Stratejisi | 2
Bilgi Güvenliği Derneği Haziran 2012
(BU SAYFA BOŞ BIRAKILMIŞTIR.)
Ulusal Siber Güvenlik Stratejisi | 3
Bilgi Güvenliği Derneği Haziran 2012
HAZIRLAYANLAR:
Prof. Dr. Mustafa ALKAN, Bilgi Güvenliği Derneği / Gazi Üniversitesi
Ahmet Hamdi ATALAY, Bilgi Güvenliği Derneği / NETAŞ
Cabir BİLİRGEN, Bilgi Güvenliği Derneği / Ulaştırma Denizcilik ve Haberleşme Bakanlığı
Gürol CANBEK, Bilgi Güvenliği Derneği / HAVELSAN
Mehmet Ali İNCEEFE, Bilgi Güvenliği Derneği / ANEL
Prof. Dr. Şeref SAĞIROĞLU, Bilgi Güvenliği Derneği / Gazi Üniversitesi
Alper ÖZBİLEN, Bilgi Güvenliği Derneği / TİB
Dr. Tolga TÜFEKÇİ, Bilgi Güvenliği Derneği / TÜRKTRUST
Mustafa ÜNVER, Bilgi Güvenliği Derneği / BTK
Ali YAZICI, Bilgi Güvenliği Derneği / ASELSAN
Ulusal Siber Güvenlik Stratejisi | 4
Bilgi Güvenliği Derneği Haziran 2012
Yönetici Özeti Türkiye, birçok alanda olduğu gibi gelişmiş ülkelerin bilişim teknolojileri ile rekabet içindedir.
Bu rekabetin gereği,bilim ve teknolojinin zamanın da ötesine giden ihtiyaçları kapsamında
Türkiye, bilişim teknolojilerini Türkiye Cumhuriyeti vatandaşlarına çağdaş düzeyde
sunabilmek, bireylerin temel hak ve hürriyetlerini temin etmek, kişisel ve toplumsal gelişimi
uyum içinde artırmak, kamu ve özel kuruluşların tüm faaliyetlerini kolaylaştırmak,
hızlandırmak ve etkinleştirmek için mümkün olduğunca hızlı bir şekilde bu teknolojileri
özümseyip uyarlayarak yaygınlaştırılmalarını sağlamak ve kendi milli çözümlerini üretmek
kararlılığındadır. Bu kararlılığın bir dayanağı da Türk insanının televizyon, bilgisayar, İnternet,
taşınabilir bilgisayar ve cep telefonu gibi bilişim teknolojilerini ve çok sayıda yazılım tabanlı
küresel toplum ortamlarını yaygın ve başarılı bir şekilde kullanmasıdır.
Bilişim teknolojilerinin geldiği nokta itibariyle; fiziki sınır ve kuralların ötesinde bir boyutun
ortaya çıktığı ve "Siber Uzay" olarak ifade edilen bu olgunun, bir söylenti olmaktan öteye
gittiği ve sanallıktan sıyrılarak yadsınamaz bir gerçeklik haline geldiği açık olarak
görülmektedir. Artık, dünyada olduğu gibi Türkiye’de de, neredeyse her türlü hizmet ve
faaliyet Siber Uzay içinde gerçekleşmektedir.
Siber uzay, Türkiye’yi geleceğin güçlü ve önder ülkesi; vatandaşlarını da mutluluk ve refah
içinde önde gelen bireyleri yapacak başlıca unsurdur.
Siber uzay, bu fırsatlarının yanında risklerini de beraberinde getirmektedir. Siber saldırı, siber
suç, siber terörizm ve nihayetinde siber savaşlar; siber uzayın her parçasında ve seviyesinde
etkisini günbegün artan ölçüde hissettirmektedir. Kötü niyetli amaçlar için kullanılan bu
araçlar, kişisel düzeyde ya da çeşitli çıkar ve suç örgütleri tarafından kullanıldığı gibi artık
devletlerin de kullanabileceği seviyeye gelmiştir. 21.yüzyılın yaşadığımız ilk on yılı, "Siber
Savaş" olgusunun ortaya çıktığı ve geleceğe yönelik derin tesirlerin evrimleştiği sıra dışı bir
zaman olarak tarihe geçecektir.
Ulusal Siber Güvenlik Stratejisi | 5
Bilgi Güvenliği Derneği Haziran 2012
Bu evrim ve çevresini saran riskler dâhilinde; Türkiye’nin ülkesini, vatandaşlarını ve her türlü
varlığını, bugününü ve geleceğini korumak için Siber Uzayın güvenliğinin sağlanması şarttır.
Siber güvenlik olarak ifade edilen bu zorunluluğun, dağınık ve birbirinden habersiz ve
eşgüdümsüz, gerçeklerden ve çağdaş uygulama örneklerinden uzak bir şekilde sağlanabilmesi
mümkün değildir. Siber güvenlik ülkemizin en üst seviyede ve en geniş kapsamda ele alacağı
bir konudur.
Bu gerçekten hareketle Ulaştırma Denizcilik ve Haberleşme Bakanlığı himayelerinde Bilgi
Güvenliği Derneği olarak uzun zamandır yoğun bir şekilde faaliyetlerimizi sürdürmekteyiz.
Siber güvenlik konusunda toplumun tüm kesimlerinde yukarıda izah etmeye çalıştığımız
kapsamda farkındalık ve bilinç oluşturmayı, ülkemizin bu alandaki politika ve stratejilerine
katkı sağlamayı milli bir görev sayıyoruz. Bu güne kadar bu alanda ulusal ve uluslar arası
düzeyde gerçekleştirmiş olduğumuz etkinliklerle önemli bir bilgi birikimi ve kazanım elde
ettiğimizi düşünüyoruz. Bu etkinlikler ve çalıştaylar sonrası edinilen bilgi ve birikimleri
toplumun tüm kesimleriyle paylaşarak siber güvenlik konusundaki bilinç düzeyini artırmayı
hedefliyoruz. Kamu, Üniversite, Sektör ve sivil toplum kuruluşları başta olmak üzere toplumun
tüm bileşenlerini bir araya getirerek ortak platformlarda milli çözümlerin ve milli projelerin
hayata geçirilmesine öncülük etmeye çalışıyoruz.
Gelinen bu noktada ülkemiz için son derece önemli ve kritik bir konu olan “Siber Güvenlik
Strateji Belgesi Hazırlık Çalıştayı” bu anlamda büyük önem arzetmekte olup, hazırlanan taslak
dökümanın bir an önce nihai hale getirilip uygulamaya konulmasını önemsiyor buna öncülük
etmiş olmaktan da büyük mutluluk duyuyoruz.
İş bu belge, Türkiye’nin Ulusal kapsamda Siber Güvenliğine yönelik ilkelerini, stratejik
hedeflerini, bu hedeflere ulaşmak için ele alması gereken temel uygulamaları ve ilk planda
atması gereken somut adımları özetlemektedir.
Ulusal Siber Güvenlik Stratejisi | 6
Bilgi Güvenliği Derneği Haziran 2012
Siber güvenlik; yönetimsel, teknik, sosyolojik, tarihsel, yasal, politik, askeri ve akademik gibi
çok sayıda alanın devreye girdiği bir konudur. Bu konuların etkin bir şekilde ele alınıp en doğru
yöntem ve doğrultuda yönetilmesi, pek çok gelişmiş ve bu konuyu ciddiye alan ülkenin yaptığı
gibi ilke ve stratejilerin belirlenmesi ile mümkündür.
İlke ve stratejilerin belli olmadığı her türlü girişimin başarısız olmaya mahkûm olduğunu göz
önüne alarak; Siber Uzay gibi geleceğin şekillendiği bir ortamda, Türkiye'nin dönüşümünü,
vatandaş, devlet, kamu kurum ve kuruluşları, özel sektör, üniversite ve sivil toplum kuruluşları
gibi tüm paydaşlarının işbirliği ve emeği ile başarılı bir şekilde gerçekleştirmek için Siber
Güvenlik Stratejisinin oluşturulması ve uygulanması büyük önem arz etmektedir.
Ulusal Siber Güvenlik Stratejisi | 7
Bilgi Güvenliği Derneği Haziran 2012
İÇERİK
Yönetici Özeti 4
Giriş 9
Temel Kavramlar 11
Stratejik Hedefler 12
Stratejinin Uygulanması 14
Uluslararası İşbirliği 14
Siber Güvenlik Kültürünün Oluşturulması 15
Yasal Düzenlemeler 15
Kurumsal Yapılanma 16
Eğitim ve Öğretim 16
Kamu, Üniversite, Özel Sektör İşbirliği 16
Milli Teknoloji Geliştirme 17
Somut Adımlar 17
Ulusal Siber Güvenlik Kurulu 18
Türkiye Ulusal Siber Olaylara Müdahale Ekibi (TC-SOME) 21
Ulusal Siber Tehdit ve Korunmasızlık İnceleme Laboratuvarı 22
Siber Güvenlik Farkındalığının Arttırılması 22
Kişisel ve Kurumsal Bilginin Korunmasının Teşviki 23
Uluslararası İşbirliğinin Güçlendirilmesi 24
Milli Teknolojilerin Geliştirilmesinin Özendirilmesi 25
Ulusal Ar-Ge Stratejisinin Oluşturulması 26
Ulusal Siber Güvenlik Stratejisi | 8
Bilgi Güvenliği Derneği Haziran 2012
Üniversitelerde Bilimsel Çalışmaların Geliştirilmesi 27
İnsan Kaynakları ile Yetenekleri Geliştirilmesi 27
Yasal Mevzuatın Düzenlenmesi 28
Sonuç ve Değerlendirmeler 29
EK - Ulusal Siber Güvenlik Strateji Çalıştayı Sonuç Değerlendirme Raporu 31
Ulusal Siber Güvenlik Stratejisi | 9
Bilgi Güvenliği Derneği Haziran 2012
Giriş Günümüzde, gerek ülkemizde gerekse dünyada büyük kitleler İnternet veya diğer bilgisayar ve
iletişim ağları üzerinde siber uzayı oluşturan bilgi ve hizmetleri kullanmaktadır.
Bilişim Teknolojileri alanındaki hızlı gelişmeler; vatandaşlara, iş ve ticaret dünyasına ve
nihayetinde devletlere yeni kolaylıklar ve fırsatlar sağlamaktadır. "Bilgi Çağı" olarak sıkça
adlandırılan bu dönemde, toplumsal ve ekonomik yaşam, siber uzayın sağladığı olanakların
sürekli kullanımı ve gelişimi üzerine dayanmaktadır.
Bugün, hızla genişleyen bu dünyanın parçası olan Türkiye’de de, iş ve ticaret dünyası ile
toplumun büyük bir kesimi; vatandaşlık hizmetleri, bankacılık, elektrik, su ve benzeri kritik
altyapılar dâhil pek çok hizmetten, öncelikle Bilişim Teknolojilerinin sağladığı olanaklarla
yararlanmaktadır. Bu bakımdan, bilgisayar ve iletişim altyapılarının veya genel olarak
İnternet’in, sürekli, güvenli ve kesintisiz çalışması hayati önem arz eder hale gelmiştir.
Bu önem özellikle kötü niyet besleyen her türlü odağın da gözünü diktiği bir konudur. Nitekim
İnternet veya diğer bilgisayar ve iletişim ağı altyapılarına karşı düzenlenen saldırılar son
yıllarda hızla artmakta, daha karmaşık hale gelmekte, devleti ve vatandaşı hedef alarak hayati
bir tehdit oluşturmaktadır.
Niteliği gereği, ulusal ve uluslararası düzeyde gerçekleştirilen siber saldırılar, devletleri toplum
ve ekonomilerini korumak için hazırlıklı olmaya zorlarken; siber güvenliğin sağlanması için
uluslararası işbirliklerini de gerekli hale getirmiştir.
Bilgi Toplumu olma yolunda hızla ilerleyen Türkiye'de de, devletin öncülüğünde gerekli
adımların atılarak;
� Siber uzayın güvenliğinin arttırılması,
Ulusal Siber Güvenlik Stratejisi | 10
Bilgi Güvenliği Derneği Haziran 2012
� Siber saldırılara karşı kritik altyapıların dayanıklılığının ve koruma sürekliliğinin temin
edilmesi,
� Kurumsal ve kişisel verilerin güvenliğinin sağlanması
temel hedeflerinin yerine getirilmesi gerekmektedir.
Bu hedefler etkin ve verimli bir biçimde yerine getirilirken, Bilişim Teknolojilerinin kullanımının
engellenmemesi ve vatandaşların bu teknolojilerden sağladığı yararın düşmemesi amacıyla da
aşağıda belirtilen ilkeler önemle gözetilmelidir:
� Temel hak ve hürriyetlerinin korunması
� Demokratik toplum düzeninin gereklerine uyulması
� Hukukun üstünlüğüne ve ölçülülük ilkesine uyulması
� Karar alma süreçlerine tüm paydaşların katılımının sağlanması
� Mahremiyet, güvenlik ile kullanılabilirlik arasında denge kurulması
� Uluslararası düzenlemelerin göz önünde bulundurulması ve olabildiğince uyumluluğun
sağlanması
� Bütüncül bir yaklaşımla hukuki, teknik, idari, ekonomik, politik ve sosyal boyutların ele
alınması
� Uluslararası işbirliğinin sağlanması
Bu belge, Türkiye’nin stratejik hedeflerine sayılan ilkeleri gözeterek ulaşılmasına yönelik bir yol
haritası oluşturulmasına katkı sağlamak üzere, Bilgi Güvenliği Derneği üyeleri tarafından
oluşturulmuş “Siber Güvenlik Ulusal Strateji Belgesi” taslak metninin, yine Bilgi Güvenliği
Derneği’nin 19 Haziran 2012’de düzenlediği ve çok sayıda kurum ve sektör temsilcilerinin
katıldığı “Ulusal Siber Güvenlik Strateji Çalıştayı” sonuçları ile şekillendirildiği bir öneri
belgesidir. Strateji Öneri Belgesinin ilgili birimlerin de görüş ve önerilerini alarak kısa sürede
Ulusal Siber Güvenlik Stratejisi | 11
Bilgi Güvenliği Derneği Haziran 2012
hayata geçirilmesi gerek ülke bilgi varlıkları güvenliği gerekse ulusal güvenliğimize büyük
katkılar sağlayacaktır.
Bu belge, altı başlık altında tertip edilmiştir. İkinci bölümde ulusal siber güvenlik ile ilgili temel
kavramlar ifade edilmiştir. Üçüncü bölümde Ulusal Stratejik Hedefler, Dördüncü bölümde bu
hedeflere ulaşmak için önerilen uygulamalar, Beşinci bölümde atılması önerilen somut adımlar
ve son bölümde sonuç ve değerlendirmeler aktarılmıştır.
Temel Kavramlar Siber uzay, İnternet veya başka bir bilgisayar ve iletişim ağı üzerinden kullanılabilir tüm Bilişim
Sistemlerini içerir.
Siber saldırı, hedef seçilen şahıs, şirket, kurum veya devletin Bilişim Sistemlerinin işleyişinin
engellenmesi, bozulması veya değiştirilmesi yoluyla, iş, ticaret, yönetim veya toplumsal hayat
üzerinde olumsuz etki oluşturacak girişimlerdir. Ulusal veya uluslararası düzeyde, ticari, politik
veya askerî amaçlı olarak, planlı ve eşgüdümlü bir faaliyet olarak gerçekleştirilebileceği gibi
çeşitli kişi ve gruplar tarafından da çok değişik amaçlarla gerçekleştirilebilirler.
Siber güvenlik, siber saldırılara karşı alınan tedbirler bütünüdür. Kurum, kuruluş ve
kullanıcıların varlıklarını korumak amacıyla kullandığı araçlar, geliştirilen politika ve
uygulamalar; yazılı belgeler, elektronik ortam dokümanları, etkinlikler, eğitimler ve bilişim
alanında kullanılan güvenlik teknolojilerinin tamamı siber güvenliğin unsurları arasındadır.
Siber tehdit ve saldırının bir ülkeye karşı olması halinde, söz konusu ülke, tehdit ve saldırıları
bertaraf etmek için siber savunma yapar.
Siber savunma amacıyla ülkeler, kritik altyapılarını belirler. Kritik altyapı, zarar görmesi veya
yok olması toplumsal düzenin ve kamu hizmetlerinin devamlılığının sağlanmasında güçlük
yaratacak; işlevlerini kısmen veya tamamen yerine getiremediğinde vatandaşların sağlığına,
Bilgi Güvenliği Derneği
emniyetine, güvenliğine ve ekonomik faaliyetler veya hükümetin etkin ve verimli işleyişine
olumsuz etki edecek yapıdır. Bu bağlamda, aşağıda sayılan yapılar kritik altyapı olarak
görülmelidir:
� Bilişim
� Enerji
� Mali işler
� Sağlık
� Gıda
� Su
� Ulaşım
� Savunma
� Kamu güvenliği
� Nükleer, biyolojik, kimyasal tesisler
Kritik altyapıların güvenlik risklerinin
tanımlanması, işlenmesi ve çabuk
iyileşebilirliliğin sağlanması gerekmektedir.
uygulanması esastır.
Stratejik HedeflerStratejilerin başarılı olması;
bağlıdır. Bu hedefler, diğer alanlarda olduğu gibi siber güvenlik alanında da, ülkenin içinde
bulunduğu, ekonomik ve teknolojik gelişmişlik ile doğal kaynaklara sahiplik ve jeopolitik
açıdan önem derecesine göre farklılıklar göstermektedir.
Siber güvenlik stratejisi, ülkenin kritik altyapılarının hassasiyetine
saldırılara karşı önleyici tedbirle
Ulusal Siber Güvenlik Stratejisi
Savunma, kamu güvenliği NBK
Tesisleri
Gıda, Su, Ulaşım
Enerji, Mali işler, Sağlık
Bilişim
emniyetine, güvenliğine ve ekonomik faaliyetler veya hükümetin etkin ve verimli işleyişine
olumsuz etki edecek yapıdır. Bu bağlamda, aşağıda sayılan yapılar kritik altyapı olarak
Nükleer, biyolojik, kimyasal tesisler
Kritik altyapıların güvenlik risklerinin
tanımlanması, işlenmesi ve çabuk
iyileşebilirliliğin sağlanması gerekmektedir. Bu alanda milli teknolojilerin geliştirilmesi ve
Stratejik Hedefler ; açık, anlaşılabilir ve gerçekleştirilebilir hedeflerinin varlığına
bağlıdır. Bu hedefler, diğer alanlarda olduğu gibi siber güvenlik alanında da, ülkenin içinde
eknolojik gelişmişlik ile doğal kaynaklara sahiplik ve jeopolitik
açıdan önem derecesine göre farklılıklar göstermektedir.
Siber güvenlik stratejisi, ülkenin kritik altyapılarının hassasiyetine göre
saldırılara karşı önleyici tedbirleri içermelidir. Ayrıca; siber saldırılara karşı yasal bir çerçeve
Ulusal Siber Güvenlik Stratejisi | 12
Haziran 2012
Savunma, kamu güvenliği NBK
Tesisleri
Gıda, Su, Ulaşım
Enerji, Mali işler, Sağlık
Bilişim
emniyetine, güvenliğine ve ekonomik faaliyetler veya hükümetin etkin ve verimli işleyişine
olumsuz etki edecek yapıdır. Bu bağlamda, aşağıda sayılan yapılar kritik altyapı olarak
Bu alanda milli teknolojilerin geliştirilmesi ve
açık, anlaşılabilir ve gerçekleştirilebilir hedeflerinin varlığına
bağlıdır. Bu hedefler, diğer alanlarda olduğu gibi siber güvenlik alanında da, ülkenin içinde
eknolojik gelişmişlik ile doğal kaynaklara sahiplik ve jeopolitik
göre yapılması olası siber
siber saldırılara karşı yasal bir çerçeve
Ulusal Siber Güvenlik Stratejisi | 13
Bilgi Güvenliği Derneği Haziran 2012
oluşturmak, konuyla ilgili uluslararası ve kurumsal işbirliklerini geliştirmek, kamu bilinci ve
araştırma programlarını oluşturmak için bir çerçeve hazırlanmalıdır.
Siber güvenlik stratejisinin hedefi bireylerin, şirketlerin ve kamu kuruluşlarının iş ve
hizmetlerinde kullandıkları sistem ve altyapıların güvenliğini artırıp sağlamlaştırmaktır.
Böylece bilgisayar ve iletişim ağı altyapıları yasal ve teknolojik açılardan korunurken,
toplumsal ve ekonomik düzen de koruma altına alınmış olacaktır.
Ülkemizde siber güvenlik alanında, kısa ve orta dönemde aşağıdaki hedefler önem ve
önceliklere sahip olup, bu hedefler gelişmelere paralel olarak güncellenip değiştirilmelidir:
� Ülke kritik altyapılarını tanımlamak ve dökümünü oluşturmak,
� Bireyleri siber güvenlik konusunda bilgilendirip bilinçlendirmek ve siber güvenlik
kültürünün oluşturulması ve yaygınlaştırılmasını sağlamak,
� Siber güvenlik alanında milli teknolojilerin geliştirilmesini teşvik etmek ve kullanılmasını
özendirmek,
� Siber güvenlik ve savunma konularında yasal mevzuatı geliştirmek,
� Siber güvenlik uzmanları yetiştirmek,
� Siber güvenlik stratejisinin tesisi ve geliştirilmesi için Ulusal Siber Güvenlik Danışma
Kurulu oluşturmak,
� Siber saldırılara karşı ulusal eşgüdümü sağlamakla görevli merkezler kurmak,
� Belgelendirme kuruluşlarınca onaylanmış güvenlik hizmeti ve sistemlerinin kullanılması
teşvik etmek veya zorunlu kılmak
� Uluslararası kurumlar ile yakın işbirliği ve eşgüdümü sağlamak ve geliştirmek.
Ulusal Siber Güvenlik Stratejisi | 14
Bilgi Güvenliği Derneği Haziran 2012
Stratejinin Uygulanması Stratejik hedeflere ulaşabilmek için gerekli görülen uygulamalar şu şekilde sıralanabilir:
� Uluslararası işbirliği
� Kurumsal yapılanma
� Eğitim ve Öğretim
� Kamu, Üniversite, Özel Sektör İşbirliği
� Milli Teknoloji Geliştirme
Bu uygulamalar aşağıda alt başlıklar halinde açıklanmıştır.
Uluslararası İşbirliği
Siber uzaydaki tehdit araçları, yayılma ve kullanılma şekilleri itibariyle, bir ülke üzerinde
planlanan saldırının başka ülkelerdeki araç ve kaynaklar kullanılarak üçüncü bir ülkedeki
yapılara zarar verilebilmesini mümkün kılmaktadır. Ayrıca, siber suç şebekeleri, İnternet
ortamı üzerinden kolaylıkla örgütlenebilmekte ve farklı ülkelerdeki birden çok kaynaktan
saldırılar düzenlemektedir. Bu tür suç ve saldırılar karşısında ülkeler arasındaki bilgi ve
deneyim paylaşımı ve işbirliği zorunlu hale gelmiştir.
Türkiye’nin siber güvenlik alanında müttefik ülkelerle ikili veya toplu işbirlikleriyle; bilgi ve
tecrübe değişimi, siber istihbarat paylaşımı ve sabotaj girişimleriyle ilgili mücadelenin
güçlendirilmesi önem arz etmektedir.
BM, AB, OECD ve NATO gibi örgütler bünyesindeki siber güvenlik çalışmalarında aktif olarak
bulunmak, küresel ve bölgesel anlaşmalara taraf olmak, uluslararası seminer, çalıştay ve
konferanslara aktif katılım sağlamak, ülke stratejisi temelinde katkılarda bulunmak
gerekmektedir.
Ulusal Siber Güvenlik Stratejisi | 15
Bilgi Güvenliği Derneği Haziran 2012
Siber Güvenlik Kültürünün Oluşturulması
Siber güvenlik tehditlerine karşı, kritik öneme sahip altyapıların korunmasına yönelik olarak
öncelikle kurum, kuruluş ve işletmelerden başlayarak; yönetici, çalışan ve kullanıcı düzeyinde
bilgi güvenliği farkındalığını arttırıcı eğitim, seminer, çalıştay, konferans ve “farkındalık ayı” vb.
faaliyetlerin düzenlenmesi.
Yasal Düzenlemeler
Siber suçlarla ilgili yasal mevzuatın caydırıcı ve uygulanabilir olması, uluslararası mevzuatla
uyumun gözetilmesi, kamu ve kişisel verilerin korunması dikkate alınmalıdır.
Bilişim Teknolojilerinin hızlı gelişimi, geleneksel suçların yanında, yeni suç türlerini de
beraberinde getirmiştir. Bu sebeple; bilgisayar ve iletişim ağlarının ve bilgi varlıklarının, ülke
ekonomisi, kamu refahı ve güvenliği için çok önemli olduğu; kritik altyapıların güvenliğinin de
ülke ve toplum güvenliğiyle eşdeğer olduğundan, kapsamlı yasal çözüm ve düzenlemelerin
geliştirilmesi gerekmektedir.
Yasal düzenlemeler yapılırken aşağıdaki hususlar dikkate alınmalıdır:
� Devlet; herkesin bilgiye serbestçe erişim hakkını, etkin ve adil bir biçimde
kullanılabilmesi için gereken düzenlemeleri yapmakla yükümlüdür. Bilgiye erişim,
kişinin haber ya da fikir alması ya da vermesi serbestliğini kapsamalıdır.
� Haberleşmenin gizliliği esastır. Herkes, kişisel verilerinin korunmasını; düşünce ve
kanaatlerinin gizliliğine saygı gösterilmesini isteme hakkına sahiptir. Usulüne uygun
olarak verilmiş bir hâkim kararı olmadıkça, Bilişim Teknolojileri vasıtasıyla yapılan
haberleşme engellenemez ve gizliliğine dokunulamaz.
� Yasalar; verilerin ve bilgi varlıklarının ileri düzeyde korunmasına yönelik kullanılabilirliği,
bütünlüğü, gizliliği, inkâr edilemezliği ve kimlik doğrulaması unsurlarının sağlanabilmesi
için kurum ve kuruluşların bilgi varlıklarının hedeflenen amaçlar doğrultusunda insani,
Ulusal Siber Güvenlik Stratejisi | 16
Bilgi Güvenliği Derneği Haziran 2012
mali, teknik ve bilgi değerlerini dikkate alarak, varlıklara ve diğer unsurlara zarar
vermeden etkili ve uygulanabilir tedbirlerin alınmasına uygun zemin sunmalıdır.
Kurumsal Yapılanma
Ülkenin siber güvenlik politikalarının Siber Güvenlik Stratejisine uygun olarak belirlenmesi,
uygulamaların hedeflere uygun ilerleyip ilerlemediğinin değerlendirilmesi, denetlenmesi ve
ulusal seviyede gerçekleşen saldırılara müdahale edilebilmesi amacıyla kurumsal yapıların
oluşturulması gerekmektedir. Bu bağlamda, “Ulusal Siber Güvenlik veya Danışma Kurulu”,
“Ulusal Siber Güvenlik Yürütme ve Eşgüdüm Merkezi”, “ Ulusal Siber Erken Uyarı ve Müdahale
Merkezi”, “Ulusal Siber Güvenlik Mükemmeliyet Merkezi ” gibi birimlerin
oluşturulması/kurulmalıdır.
Ulusal ve uluslararası siber saldırı tipleri, saldırgan kişi ve grup tür ve yapıları, saldırı
senaryoları, gerekçeleri, güdüleri ve zamanları izlenmeli ve karşı senaryoların ve çözümlerin
sistemli bir şekilde oluşturulabilmesi için kayıtların tutulması ve çözümlemelerin kurumsal
yapılanmaların planlamaları ve girişimleri ile gerçekleştirilmesi siber güvenliğe büyük katkı
sağlayacaktır.
Eğitim ve Öğretim
Siber güvenlik alanında ihtiyaç duyulan nitelikli insan kaynağının sağlanması amacıyla ulusal
ve uluslararası düzeyde geliştirilmiş programların hazırlanması gerekmektedir. Siber güvenlik
alanında lisans ve lisansüstü düzeyde programlar açılması, araştırma enstitüleri ve test
merkezleri kurulması ve belgelendirme programlarının teşvik edilmesi gerekmektedir.
Kamu, Üniversite, Özel Sektör İşbirliği
Kamu kurumları, üniversiteler ve özel sektör arasında bilgi birikiminin arttırılması, tecrübelerin
paylaşılması, bilgi güvenliği ve siber savunma alanında kuramlar üretme, teknolojiler
Ulusal Siber Güvenlik Stratejisi | 17
Bilgi Güvenliği Derneği Haziran 2012
geliştirme, eğitim ve danışmanlık faaliyetlerini arttırma gibi çabalara destek verilmesi ve son
dönemde kamu ve özel sektör desteklerinin bu konuları daha çok kapsaması, kamu-üniversite
ve özel sektör-üniversite işbirliklerini arttırıcı adımların sıklaştırılması, kamunun farkındalığının
arttırılması, özel sektörün bu alana yönelmesi ve ürün geliştirmesi, üniversitelerinde bu alanda
Ar-Ge yaparak bu alana destek vermesiyle ancak sağlıklı bir işbirliği geliştirilebilecektir.
Uzman kişilerin bilgi ve becerilerinden faydalanmak amacıyla, kamuda sözleşmeli siber
güvenlik uzmanlarının istihdamıyla ilgili özel düzenlemeler yapılmalıdır.
Sektörün geliştirilmesine yönelik altyapılar kurulması, üniversitelerde konuya akademik ilginin
arttırılmasına yönelik programlar açılması, konuda ar-ge yapılmasının özendirici işbirliği
modellerinin geliştirilmesi gerekmektedir.
Milli Teknoloji Geliştirme
Siber güvenlik alanında kullanılan teknolojik araçlar (yazılım, donanım vb.) mümkün
olduğunca iç kaynaklardan temin edilmeli, sektörün bu konuya ilgisini arttırıcı önlemler
alınması, altyapıla kurulması, geliştirilen ürünlerin de uluslararası standartlara ve
sertifikasyonlara uygun olması gerekmektedir.
Siber güvenlik alanında, milli teknolojilerin üretiminin ve kullanımının teşvik edilmesi ve
desteklenmesi hayati önem taşımaktadır. Bu amaçla, konuya özel Ar-Ge destek programları
açılmalıdır.
Somut Adımlar Stratejik hedeflere yönelik atılabilecek somut adımlar şunlardır:
� Ulusal Siber Güvenlik Strateji Belgesinin Kısa Sürede Yayımlanması,
� Ulusal Siber Güvenlik Kurulu Oluşturulması,
� Siber Güvenlik Farkındalığının Arttırılması,
Ulusal Siber Güvenlik Stratejisi | 18
Bilgi Güvenliği Derneği Haziran 2012
� Siber Güvenlik Kültürünün Yaygınlaştırılması,
� Kişisel ve Kurumsal Bilginin Korunmasına Yönelik Daha Sıkı Tedbirler Alınması,
� Uluslararası İşbirliğinin Güçlendirilmesi,
� Ulusal Siber Güvenlik Ar-Ge Politikasının Oluşturulması ve Milli Teknolojilerin
Geliştirilmesinin Özendirilmesi,
� Üniversitelerde Bilimsel Çalışmaların Arttırılmasına Yönelik Çalışmalar Yapılması,
� İnsan Kaynakları Yetiştirilmesine ve Mevcutların Geliştirilmesine Yönelik Çalışmalar
Yapılması,
� Kurumsal Siber Güvenlik Yeteneklerin Arttırılmasına Yönelik Çalışmalar Yapılması,
� Kurumlara Siber Güvenlik Sızma Testleri Yapan Bağımsız Merkezlerin Kurulması,
� Yasal Mevzuatın Düzenlenmesi.
Bu somut adımlar aşağıda alt başlıklar halinde açıklanmıştır.
Ulusal Siber Güvenlik Kurulu
Siber güvenlikte siber olayların yapısal ve kök nedenlerinin araştırılması ve bu nedenlerin
engellenmesine yönelik alınacak tedbirlerin belirlenmesi en etkin yöntem olarak
görülmektedir. Ulusal seviyede bu yöntemi uygulatacak, kurumlar arası eşgüdümü ve veri
akışını sağlayacak, yapılan ölçme ve değerlendirmeleri çözümleyecek, riskleri üst seviyede
değerlendirecek, yapılması gerekenleri önceliklendirecek görev ve sorumlulukları açıkça
belirlenmiş bir organa ihtiyaç duyulmaktadır.
Bu nedenle Bakanlıklar, kamu ve özel sektör arasında işbirliği ve eşgüdümü sağlamak için daha
etkin olması açısından tercihen Başbakanlık eşgüdümünde Ulusal Siber Güvenlik Kurulu
oluşturulmalıdır.
Ulusal Siber Güvenlik Stratejisi | 19
Bilgi Güvenliği Derneği Haziran 2012
Ulusal Siber Güvenlik Kurulunda;
� Milli Savunma Bakanlığı,
� İçişleri Bakanlığı,
� Dışişleri Bakanlığı,
� Ulaştırma, Denizcilik ve Haberleşme Bakanlığı,
� Bilim Sanayi ve Teknoloji Bakanlığı,
� Adalet Bakanlığı,
� Enerji ve Tabii Kaynaklar Bakanlığı
� Orman ve Su Bakanlığı
� Çevre ve Şehircilik Bakanlığı
� İlgili müsteşarlıkların (MİT, Kamu Güvenliği vb.), kurumların (BTK, BDDK, SPK, TSE vb.)
ve Savunma Sanayi firmaları (ASELSAN, HAVELSAN vb.) ve
� Genel Kurmay Başkanlığı ve Türk Silahlı Kuvvetleri temsilcileri
� Emniyet Genel Müdürlüğü Temsilcileri
� Üniversiteler
� Konuyla İlgili Sivil Toplum Kuruluşları
Sektör Temsilcilerine yer almalıdır.
Özel durumlarda farklı bakanlıklar ve kurumlarda kurula dâhil edilebilecektir. Özel sektör iş
temsilcileri ortak üye olarak kurulda yer almalıdır. Gerektiği durumlarda akademik ve sivil
toplum kuruluşları temsilciler de davetli olarak çalışmalara katılabilecektir. Sonuç olarak siber
güvenlik ile ilgili tüm paydaşların işbirliği ve eşgüdümü sağlanmalıdır.
Ulusal Siber Güvenlik Kurulu, önleyici araçların ve kamu ve özel sektörün siber güvenlik
yaklaşımlarının eşgüdümünü sağlayacaktır. Ulusal Siber Güvenlik Kurulu ülke seviyesinde
güvenli Bilişim Teknolojileri altyapısının oluşturulması ve yönetimlerinin güvenli olarak
Ulusal Siber Güvenlik Stratejisi | 20
Bilgi Güvenliği Derneği Haziran 2012
tümleştirilmesinden ve siber güvenlik alanında politika ve stratejilerin belirlenmesi
çalışmasından sorumlu olacaktır.
Bu kapsamda aşağıda belirtilen faaliyetlerin yürütülmesi hedeflenmiştir:
� Gerçek anlamda bir güvenlik uygulaması; olası korunmasızlık ve tehditlerin
belirlenmesi, zafiyetlerin saptanması ve alınacak önlemlerin analizini içeren bir risk
değerlendirmesinin yapılmasıyla sağlanacaktır. Ulusal Siber Güvenlik Kurulu tarafından
Ulusal Risk Değerlendirmesi yıllık olarak yapılması ve raporlanması.
� Ulusal Risk Değerlendirmesi sonucunda belirlenecek yeni siber güvenlik yeteneklerinin
ulusal seviyede kazanılması için gerekli girişimlerin başlatılması.
� Siber suç ve siber güvenlik konusundaki ulusal ve uluslararası eğilimleri ele alan ve
güncel siber tehditleri kapsayan dönemsel raporların hazırlanması.
� İçerik ve kapsamı önceden belirlenmiş planlı siber güvenlik tatbikatlarının dönemsel
olarak gerçekleştirilmesi ve sonuçlarının ulusal siber güvenlik yeteneğinin
güçlendirilmesi amacıyla ilgili paydaşlar ile paylaşılması ve iyileştirme amacıyla
kullanılması.
� Siber saldırılara karşı koymak için Siber Saldırı Eylem Planları hazırlanarak ve dönemsel
olarak güncellenmesi. Siber saldırı eylem planlarının “bilmesi gereken” ilkesine uygun
olarak ilgili paydaşlarla paylaşılması.
� Kritik alt yapıları işleten kamu veya özel kurum ve kuruluşları, bilişim teknolojileri
altyapılarının 2013 yılı sonuna kadar TS ISO/IEC 27001 Bilgi Güvenliği Yönetim
Sistemine standardına uyumlu hale getirilmesi.
� Ulusal Siber Güvenlik Tatbikatlarına kritik altyapıya sahip tüm kurumların dâhil
edilmesi.
Ulusal Siber Güvenlik Stratejisi | 21
Bilgi Güvenliği Derneği Haziran 2012
� Kamu kurumların ve isteğe bağlı öncelikli özel sektör şirketlerinin siber güvenlik
düzeyleri açısından denetlenmesi. Bu çalışmalar ışığında en iyi uygulamaların sürekli
güncel tutularak taraflara bildirilmesi.
� Siber Olaylara Müdahale Ekiplerinin oluşturulması (TC-SOME)
� Ulusal Siber Tehdit ve Korunmasızlık İnceleme Merkez Laboratuvarı
Türkiye Ulusal Siber Olaylara Müdahale Ekibi (TC-SOME)
Ülke genelinde kamu kurum ve kuruluşları ile özel sektöre, siber saldırılara (bilgisayar güvenliği
olaylarına) müdahale yeteneğini kazandırmak ve ulusal seviyede gerçekleşen saldırılara
müdahale etmek amacıyla Türkiye Ulusal Siber Olaylara Müdahale Ekibi (TC-SOME)
kurulacaktır.
Türkiye Ulusal Siber Olaylara Müdahale Ekibinde (TC-SOME) farklı disiplinlerden ve
kurumlardan uzman personel bulunduracaktır. Çalışmaları saydam ve denetlenebilir olacaktır.
TC-SOME tarafından kamu kurum ve kuruluşları ile kritik altyapılarda ve özel sektörde
kendilerine özel SOME’lerin kurulması çalışmalarına gerekli teknik destek ve uygulamalı
eğitimi sağlayacaktır. Kurumlara özel SOME’lerin, TC-SOME’ye belgelendirmesi yapılacak ve
SOME’ler arasında eşgüdüm ve bilgi paylaşımı sağlanacaktır.
TC-SOME tarafından ulusal ve uluslararası meydana gelen tüm bilgisayar olayları izlenerek,
kullanılan saldırı yöntemleri ve saldırı gerçekleştirilen adreslerle ilgili ulusal bir veri tabanı
oluşturulacaktır. TC-SOME tarafından oluşturulan ulusal veri tabanı ülke seviyesinde siber
uzayın daha güvenilir hale getirilmesi ve kurumlar arası eşgüdümün sağlanması amacıyla özel
SOME’ler ile paylaşılacaktır. Gerek kişilerin ve kurumların siber güvenlik ile ilgili yardım ve bilgi
almaları için gerekse TC-SOME’nin kişi ve kurumları bilgilendirmesi ve uyarması için çağdaş ve
hızlı iletişim kanalları oluşturulmalıdır.
Ulusal Siber Güvenlik Stratejisi | 22
Bilgi Güvenliği Derneği Haziran 2012
TC-SOME siber saldırı sırasında yapılacakları esaslar ve uygulamalar tabanında belirlemeli ve
siber saldırı ya da kriz sırasında eşgüdümün nasıl yapılacağı ve saldırılara müdahale etmek için
sorumluluk ve görevlerin neler olacağı saptanmalıdır. Bu çalışmalar yapılan tatbikatlar ve
gerçek olaylardan alınan derslerle sürekli olarak iyileştirilmelidir.
TC-SOME olaylara olduktan sonra müdahale edecek bir yaklaşımdan öte riskleri ve durumu
değerlendirerek olayları olmadan önce önlemeye çalışan bir yaklaşıma göre çalışmalıdır.
Ulusal Siber Tehdit ve Korunmasızlık İnceleme Laboratuvarı
Siber güvenlik tehdit ve korunmasızlıkları özel inceleme ve sürekli araştırma ve takip
gerektiren bir alandır. Bu alandaki önemli eksikliği gidermek ve milli teknolojilere de destek
olması amacıyla merkezi ulusal bir inceleme laboratuvarı oluşturulmalıdır. Bu laboratuvar
kötücül yazılımları ve korunmasızlık sömürülerini izlemeli ve araştırmalıdır. Ayrıca dünya
genelinde korunmasızlıkları da takip edip değerlendirmelidir. Bu çalışmalarla risk seviyesi daha
gerçekci belirlenecek ve sıfır gün saldırılarına edinilen tecrübe ile daha hızlı ve etkin cevap
verilinebilir. Bu laboratuvar siber güvenlik ile ilgili standartların uygulanmasına yönelik
yöntemleri oluşturur ve yayınlar. Son olarak piyasada bulunan yerli ve yabancı siber güvenlik
ürünlerini de tasnifi ve derecelendirmesi de bu laboratuvar tarafından yapılabilir.
Aurıca, bu merkez laboratuarı, üniversiteler ile ortak çalışmalar, işbirliği, araştırmalar ve
etkinlikler yapar.
Siber Güvenlik Farkındalığının Arttırılması
Etkin ve sürdürülebilir bir siber güvenliğin sağlanması, ancak tüm paydaşların ortak olarak
hareket etmesi ve görevlerini birlikte yerine getirmeleri durumunda gerçekleştirilebilir. Siber
güvenlik paydaşları olan, vatandaş, iş ve ticaret dünyası ve devletin bahse konu bireysel ve
kurumsal yükümlülüklerini yerine getirebilmeleri için, bu alanda farkındalık oluşturacak, bilgi
Ulusal Siber Güvenlik Stratejisi | 23
Bilgi Güvenliği Derneği Haziran 2012
seviyesini arttıracak faaliyetlerin düzenlenmesi gerekmektedir. Bu kapsamda aşağıda
belirtilen faaliyetlerin yapılması hedeflenmiştir;
� Ulusal farkındalığın arttırılmasına katkı sağlamak amacıyla Mayıs ayının “Siber Güvenlik
Farkındalık Ayı” olarak kabul edilmesi ve tüm kamu ve özel sektör kurumlarının bu ayda
konuyla ilgili olarak belirli bir plan dâhilinde çalışmalar yürütmesi,
� Vatandaşın, kamu ve özel sektörde çalışan ve sadece bilişim teknolojileri hizmetlerini
kullanan personelin bilgi güvenliği seviyesini arttırmak ve bu alanda farkındalık
oluşturmak için kamuya açık alanlarda kullanmak üzere afişler hazırlanması, Yazılı ve
görsel basın ve medya kuruluşlarıyla işbirliği yapılması
� Üniversitelerde "Siber Güvenlik ve Savunma" konulu ders programlarının zorunlu hale
getirilmesi.
� Siber güvenlik farkındalık eğitimlerinin ilk ve orta öğretimde ve hatta okul öncesi
dönemde seviyelerine göre verilmesi ve güvenli internet kullanımı ile de
ilişkilendirilmesi
� Siber farkındalıkta en önemli katmanlardan biri de yöneticilerin bilinçlendirilmesidir.
Kamuda ve özel sektörde yönetici ve karar vericilerin desteğini ve kararlılığını almak ve
siber güvenlik risklerinin üst seviyede bilinmesi için yöneticilere özel eğitimler
sağlanmalıdır.
Kişisel ve Kurumsal Bilginin Korunmasının Teşviki
Bilişim teknolojileri kullanılarak sunulan hizmetlerde bireye ilişkin temel hak ve özgürlük
alanının müdahaleye açık hale gelmesi ve bu durumun kötüye kullanılması riski, vatandaşların
hizmet sağlayıcılara olan güvenini azaltmaktadır. Bireyin sosyal hayatını daha sağlıklı ve rahat
bir şekilde sürdürebilmesine ve kurumların itibarlarının zedelenmemesini ve iş ve ticaret
faaliyetlerinin güvence altında yürütülmesine olanak tanıyacak şekilde kişisel ve kurumsal
bilgilerin Bilişim Sistemlerinde ne şekil ve kapsamda kullanılacağını belirleyecek; bu bilgilerin
Ulusal Siber Güvenlik Stratejisi | 24
Bilgi Güvenliği Derneği Haziran 2012
sadece hizmetin amacına yönelik ve hizmetle orantılı şekilde kullanılmasını sağlayacak yasal
tedbirlerin uluslararası yaklaşımlar da dikkate alınarak belirlenmesi sağlanmalıdır.Kurumsal
bilgi güvenliğine yönelik standartların ya da en iyi uygulamaların kurumlar tarafından
uyarlanmasına destek olunmalı; verilerin korunması yanında güvenli imhasının da temin
edilmesi gereklidir.
Uluslararası İşbirliğinin Güçlendirilmesi
Siber uzayın ülkenin fiziki sınırlarından bağımsız olduğu düşünüldüğünde, etkin ve
sürdürülebilir bir siber güvenliğin sağlanması ancak uluslararası düzeyde etkin işbirliği ile
sağlanabilir. Türkiye’nin küresel ölçekte örgütlenmiş organizasyonlarla işbirliğinin daha da
güçlendirmesi gerekmektedir.
Bu amaç ile Avrupa Birliği (AB), Avrupa Konseyi, Avrupa Ağ ve Bilgi Güvenliği Ajansı (ENISA),
Birleşmiş Milletler (BM) ve Kuzey Atlantik Antlaşması Örgütü (NATO) ile işbirliği yapılarak,
ulusal siber uzayımızın güvenli hale getirilmesi ve olası siber saldırılara karşı ortak müdahale
yeteneği kazanılması hedeflenmektedir.
Ulusal Siber Olaylara Müdahale Ekibinin (TC-SOME), uluslararası ikili anlaşmalar ile diğer ülke
SOME’ler ile etkin işbirliği yaparak bilgi paylaşması, NATO Siber Savunma Mükemmeliyet
Merkezi’ne ulusal bir gözlemcinin katılımının sağlanması ve AB ve NATO tarafından her yıl
düzenli olarak gerçekleştirilen siber savunma tatbikatlarına etkin olarak katılım
hedeflenmelidir.
Bölgede Türkiye’nin önder ülke olma ufkunu da güçlendirecek olan bölgesel bir siber güvenlik
organizasyonunun kurulmasına öncülük edilmesi önemli olacaktır.
Ayrıca siber güvenlik alanında yapılan uluslararası konferanslara her seviyede etkin katılımın
gerçekleştirilmesi ve teşvik edilmesi ile kamu, özel sektör ve üniversite başta olmak üzere farkı
disiplinler arasında ortak bir farkındalık oluşturulması ve ulusal seviyede yürütülecek Ar-Ge
Ulusal Siber Güvenlik Stratejisi | 25
Bilgi Güvenliği Derneği Haziran 2012
faaliyetleri ve akademik çalışmalar için yol haritası hazırlanmasına katkı sağlanması
amaçlanmaktadır.
Milli Teknolojilerin Geliştirilmesinin Özendirilmesi
Bilişim Teknolojileri çok hızlı gelişmektedir. Bugün için alınacak siber güvenlik önlemleri,
yarınlarımızın güvenli olacağını garanti altına alamamaktadır. Sürdürülebilir siber güvenlik
ancak yeni nesil teknolojiler ile mümkün olabilmektedir. Yeni nesil ve yenilikçi teknolojilerin
satın alım yolu ile yurtdışından tedarik edilmesi mümkün olsa da; ileri ve tam güvenlik için bu
yaklaşım kabul edilebilir değildir. Ayrıca, yurtdışından tedarik edilecek siber güvenlik
teknolojilerinin arka kapı ve/veya Truva atı gibi kötücül yazılımlar içermediğinin bilinmesi veya
belirlenebilmesi de bazen mümkün olamayacaktır.
Bu neden ile yeni nesil, yenilikçi ve akıllı teknolojilerin yakından takip edilmesi; milli ve özgün
yaklaşımlar, çözümler ve teknolojiler geliştirilmesi önem arz etmektedir. FATİH projesi
kapsamında desteklenmeye başlayan projeler gibi siber güvenlik alanına da destek verebilecek
milli işletim sistemi, milli İnternet tarayıcı ve milli arama motoru gibi önemli ya da yaygın
kullanılan bilişim teknolojileri, yazılım ve donanımların da milli unsurlar tarafından kısa, orta ve
uzun vade önceliklendirmeler göz önüne alınarak geliştirilmesi dışa bağımlılığı önlemesi ve
sürdürülebilir gelişme açısından önemlidir. Siber güvenlik kapsamında kötücül yazılım önleme,
virüs önleme, güvenlik duvarı, saldırı tespit ve önleme sistemleri milli kaynaklarla geliştirilmeli,
özel sektörün milli teknoloji üretmesi teşvik edilmeli ve bu ürünlerin kamu ve özel sektörde
kullanımı özendirilmelidir.
Bilişim teknolojileri ve siber güvenlik kapsamında özellikle ürün güvenliği kapsamında milli test
ve milli belgelendirme merkezlerinin tesis edilmesi ve milli koruma profillerinin oluşturulması
gereklidir.
Ulusal Siber Güvenlik Stratejisi | 26
Bilgi Güvenliği Derneği Haziran 2012
Kriptografik algoritmalar ve veri toplama ve kontrol birimlerinin (SCADA) güvenliği konusunda
milli kaynaklar kullanılmalıdır.
Ulusal Ar-Ge Stratejisinin Oluşturulması
Devlet, üniversite ve sanayi işbirliği ile milli ve özgün yeni nesil ve akıllı siber güvenlik
teknolojilerin geliştirilmesi desteklenmelidir. Bu kapsamda aşağıda belirtilen düzenlemelerin
yapılması hedeflenmiştir:
� Savunma Sanayii Müsteşarlığı (SSM) bünyesinde oluşturulacak Siber Güvenlik
Mükemmeliyet Ağı (MÜKNET) ile bu alanda faaliyet gösteren sanayi, üniversite ve
araştırma kuruluşları bir araya getirilerek; oluşturulacak görevdeşlik ile kısa, orta ve
uzun vadede oluşturulacak bir yol haritasına uygun olarak Ar-Ge faaliyetlerinin
yürütülmesi ve yeni nesil siber güvenlik ürünlerinin milli olarak geliştirilmesinin
sağlanması,
� Türkiye Bilimsel ve Teknik Araştırma Kurumu (TÜBİTAK) "1511 Öncelikli Alanlar
Araştırma Teknoloji Geliştirme ve Yenilik Projeleri Destekleme Programı" kapsamında
belirlenen öncelikli alanlara “siber güvenliğin” eklenmesi,
� AB Çerçeve Programları kapsamındaki güvenlik teması altında yer alan "İşbirliği" ,
"Kişiyi Destekleme" , "Fikirler" ve "Kapasiteler" özel programlarına sanayi, üniversite ve
araştırma kuruluşlarının siber güvenlik teknolojilerinin geliştirilmesine yönelik olarak
katılımının özendirilmesi ve desteklenmesi,
� Bilim, Teknoloji ve Sanayi Bakanlığı bünyesinde desteklenen Sanayi Tezleri
Programında (SAN-TEZ) siber güvenlik alanlarındaki çalışmaların da özellikle
desteklenmesi,
� Ar-Ge Merkezlerine desteklerin sürmesi için bu merkezlerde siber güvenlik konularında
Ar-Ge çalışması yapılmasının zorunlu hale getirilmesi,
Ulusal Siber Güvenlik Stratejisi | 27
Bilgi Güvenliği Derneği Haziran 2012
� Ülkemizde bazı teknoparkların Bilgi Güvenliği veya Siber Güvenlik alanında
uzmanlaşmalarına yönelik çalışmalar yapılması,
� Yazılım güvenliği, akıllı telefonlar ve uygulamaları ile bulut bilişim gibi yeni
teknolojilerin güvenliği ile ilgili çalışmalara öncelik verilmesi.
Üniversitelerde Bilimsel Çalışmaların Geliştirilmesi
Siber Güvenliğe yönelik temel araştırmaların yapılabilmesi amacıyla üniversitelerde lisans ve
lisansüstü programların açılmasının teşvik edilmesi gerekmektedir. Bu kapsamda aşağıda
belirtilen düzenlemelerin yapılması hedeflenmektedir:
� Ülkemiz üniversitelerinde siber güvenlik alanında lisans ve lisansüstü eğitim yapan
öğrencilere devlet bursu verilmesinin sağlanması; siber güvenlik ile ilgili enstitülerin
kurulması için gerekli teşvikin devlet tarafından sağlanması,
� Üniversitelerin Bilimsel Araştırma Projeleri birimlerinin bu konularda sunulan projeleri
özellikle desteklemesi,
� Ülkemizde bu konuya meraklı olan ve siber güvenlik korunmasızlık ve tehditleri
konusunda kendisini geliştiren gençlerin üniversiteler ile bağlarının geliştirilmesi,
kuramsal ve uygulamaları kazanımlardan faydalanılması,
� Bu konularda uzmanlaşmış olan yurtdışı üniversitelere devlet bursu ile öğrenci
gönderilmesi.
İnsan Kaynakları ile Yetenekleri Geliştirilmesi
Bilişim teknolojilerinin ekonomik ve toplumsal hayatın her alanında artan kullanımı, bu
teknolojilerin güvenli olarak kurulup, etkin ve güvenilir bir şekilde işletilmesini sağlayacak
nitelikli insan kaynağına olan ihtiyacı artırmıştır.
Ulusal Siber Güvenlik Stratejisi | 28
Bilgi Güvenliği Derneği Haziran 2012
Kamu ve özel sektörde öncelikli olarak siber güvenlik ile ilgili kendi bölüm ya da birimlerinin
ihtiyaca göre tesis edilmesi gereklidir. Her kurumda Siber Güvenlik ya da Bilgi Güvenliği
Yöneticilerinin atanması ve bu bölüm ve birimlere gerekli önem ve desteğin sağlanması şarttır.
Bilgi güvenliği uzmanlık alanında çalışanların eğitim aldıkları okullardan mezun olduktan veya
iş hayatına girdikten sonra da niteliklerini, gelişen siber güvenlik teknolojilerine uygun olarak
geliştirmelerine olanak sağlayacak, meslek içi uygulamalı eğitimler ve belgelendirme
programları açılmalı; bu programların düzenli olarak sürdürülebilmesi ve kurum ve kuruluşlar
tarafından bu hizmetlerin verilmesini teşvik amacıyla gerekli her yıl belirli sayıda doktora
öğrencisi, yüksek lisans öğrencisi ve kamu görevlisine uygulamalı eğitim ve belgelendirme
programlarına katılım için gerekli desteğin karşılıksız olarak devlet tarafından sağlanması. Bu
desteği alan kişilerin mecburi hizmet zorlaması olmadan ülkemizde bir kamu veya özel
sektörde sadece çalışması beklenmektedir. Özellikle kamuda görevlendirilen siber güvenlik
alanında çalışanların teşvik edilmesi ve sürekli eğitimlerin sağlanması ve yeteneklerinin
geliştirilmesi gerekmektedir.
Yasal Mevzuatın Düzenlenmesi
İnternet ve bilgisayar ve iletişim ağları ortamında işlenen suçlarla (siber suç) ilgili yasal
düzenlemelerin yapılması çok önemlidir. Siber suçlar ile ilgili yasal düzenlemeler; caydırıcı,
uygulanabilir ve uluslararası normlara uygun olmalıdır. Siber suçların küresel kapsamda ve çok
değişken tarzlarda gerçekleşmesi nedeniyle siber suçlar ile mücadelede uluslararası işbirliği
önem arz etmektedir. Yasal düzenlemelerin siber güvenlik kültürüne uygun bir şekilde tüm
paydaşların katılımı sağlanarak oluşturulması esastır.
Bu kapsamda aşağıda belirtilen faaliyetlerin/düzenlemelerin yapılması hedeflenmektedir:
� Avrupa Konseyi Siber Suçlar Sözleşmesine uygun olarak yasal düzenlemelerin
gerçekleştirilmesi,
Ulusal Siber Güvenlik Stratejisi | 29
Bilgi Güvenliği Derneği Haziran 2012
� Kolluk kuvvetlerinin bu alandaki yeteneklerini arttırılması,
� Kamu kurum ve kuruluşları ile özel sektörün siber casusluk (sanayi casusluğu) ve
sabotajlara karşı güvenlik ve tepki yeteneklerinin güçlendirilmesi,
� Siber suçlar ile küresel olarak mücadele edebilmek amacıyla başta AB ve NATO üyesi
ülkeler olmak üzere diğer ülkeler ile ikili ya da toplu işbirliği anlaşmalarının yapılması,
� Bu alanda bilgi birikiminin paylaşımı için sanayi ve yetkili kolluk kuvvetlerinin
danışmanlık seviyesinde katılımı ile ortak bilgi ve tecrübe paylaşım zeminlerinin
oluşturulması.
Ayrıca, bu alanda BM seviyesinde ek anlaşmaların gerekli olup olmadığı incelenmelidir.
Ülkelerin yasal mevzuatları incelendiğinde Ulusal Siber Güvenlik Yasa Tasarılarının bulunduğu
görülmektedir. Ülkemizde de bu konuda yasa tasarısının öncelikle gündeme alınması ve
yasalaştırılması gereklidir.
Sonuç ve Değerlendirmeler Türkiye, çağdaş seviyede bilim ve teknolojinin zamanın ötesinde gerektirdiği seviyesine
ulaşabilmek için çok önemli adımlar atmaktadır. Birey olarak vatandaşlar ve toplum, kurum,
kuruluş, iş ve ticaret dünyası ve devletin bizzat kendisi, artık fiziki sınır ve kuralların ötesinde
Siber Uzay denilen yepyeni bir alanda tümüyle bilişim teknolojilerine bağlıdır. Bu bağımlılık
Türkiye’nin politik, ekonomik ve sosyolojik olarak gelişmesi ve ilerlemesi için önemli fırsatlar
sunmaktadır. Siber uzay aynı zamanda bu yönelimi ciddi ölçüde sekteye uğratacak ya da yok
edecek risklere sahiptir. Günümüzde siber dünyayı tehdit eden siber saldırılar ile baş etmenin
en önemli adımı, bu kapsamda yapılması gerekenleri belirli bir strateji çerçevesinde ilkelerle
beraber ortaya koymak ve bunları belli önceliklerle adım adım uygulamaktan geçmektedir.
Bunun başarılabilmesi için uç kullanıcıdan en üst düzeydeki yöneticiye kadar herkesin uymak
veya yapmak zorunda olduğu pek çok husus vardır.
Ulusal Siber Güvenlik Stratejisi | 30
Bilgi Güvenliği Derneği Haziran 2012
Ulusal siber güvenliğin sağlanması noktasında; hukuki düzenlemelerin hazırlanması, siber
güvenliği kapsamında ülke kapasite ve yeteneklerinin arttırılmasına yönelik çalışmalar
yapılması, politika, düzenleme ve denetleme işlerini yerine getirecek kurumsal yapıların
belirlenmesi, her seviyede bilgilendirme ve bilinçlendirme çalışmalarının gerçekleştirilmesi,
kritik altyapıların tanımlanması, bu altyapıların güvenliğinin risk tabanlı bir yaklaşımla
sağlanması, gerek ulusal gerekse uluslararası boyutta işbirliği ve eşgüdümün sağlanması
gerekmektedir.
Ulusal Siber Güvenlik Stratejisinin bu açıdan tüm bireyler ve ilgili ve sorumlu tüm yapılar
tarafından benimsenip ulusal öncelikli bir mesele olarak ele alınması ve bu bakış açısıyla
gözden geçirilip gelişen teknolojiler ve durumlar gözetilerek iyileştirilmesi şarttır.
Ulusal Siber Güvenlik Stratejisi | 31
Bilgi Güvenliği Derneği Haziran 2012
EK - Ulusal Siber Güvenlik Strateji Çalıştayı Sonuç Değerlendirme Raporu Bilgi Güvenliği Derneği tarafından hazırlanan taslak Siber Güvenlik Stratejisi Belgesinin ilgili
kuruluşların temsilcileri tarafından ele alınıp incelendiği Siber Güvenlik Stratejisi Çalıştayı 19
Haziran 2012 tarihinde Ankara'da geniş katılımla gerçekleşmiştir.
Bu kısımda, yapılan çalıştayın sonuçları ortaya konulmaktadır. Ulusal Siber Güvenlik Strateji
Çalıştayına aşağıda dökümü sunulan kurum ve kuruluşlardan 137 temsilci iştirak etmiştir.
Çizelge 1 Çalıştaya katılan kurum/Kuruluş dağılımı
Kurum Kuruluş Türü Sayısı
Özel Sektör 19
Kamu 12
Bakanlık 7
Dernekler ve Odalar 7
Enstitü 5
Emniyet 3
Basın Yayın 2
Hizmet Sağlayıcı 2
Müstejarlık 2
Türk Silahlı Kuvvetleri 2
Savunma Sanayii Şirketleri 2
Geniş bir yelpazeden katılımın gerçekleştiği çalıştayda, Taslak Siber Güvenlik Stratejisi iki
oturum halinde gözden geçirilmiştir. Gözden geçirmenin yapıldığı çalıştayın bu kısmında
yukarıda listelenen kuruluşlardan 81 kişi katılmıştır. Katılımcılar Bilgi Güvenliği Derneği
yetkililerinin başkanlığını yaptığı dokuz (9) çalışma grubunda toplanmışlardır.
Ulusal Siber Güvenlik Stratejisi | 32
Bilgi Güvenliği Derneği Haziran 2012
Bu kısımda katılımcılara sunulan Değerlendirme ve Öneri Formlarına 35 temsilci, Siber
Güvenlik Strajesi ile ilgili 171 adet görüş sunmuştur.
Çalıştay sonrası bu görüşlerin yönelimi ve tasnifi Bilgi Güvenliği Derneği görevlileri tarafından
incelenilerek ortaya çıkartılmıştır. Görüşlerin dağılımı ve hangi alanlara odaklandığını
aşağıdaki çizelgede görebilirsiniz.
Çizelge 2 Siber Güvenlik Strateji Belgesi Yazılı Görüş Tasnifi
Görüş Türü Sayısı
Milli Teknolojilerin Geliştirilmesi/Sürdürülmesi 16
Uzman Yetiştirme ve İstihdam 12
Ulusal Siber Güvenlik Teşkilatı Görev ve Sorumlulukları 10
Ulusal Siber Güvenlik İzleme, Kayıt, Bilgilendirme ve Tepki Teşkilatı 8
Okul ve Üniversite Öncesi Siber Güvenlik Bilinçlendirmesi 7
Siber Güvenlik Farkındalığı Eğitimi 7
Siber Saldırı Eşgüdümü 7
Siber Güvenlik Farkındalığı Eğitimi (Yönetici) 5
Hukuki Düzenleme Gereği 4
Kamu Siber Güvenlik Uzmanlığının Özendirilmesi 4
Kritik Altyapı Güvenliği 4
SCADA ve Gelişen Teknolojilerin Güvenliği 4
Siber Güvenlik Denetleme 4
Siber Güvenlik Standartları Geliştirme/Kullanım 4
SOME Yapılanması ve İletişimi 4
Ulusal Siber Tehdit İnceleme Laboratuvarı 4
Kurumlarda Bilgi Güvenliği Teşkilatının Oluşturulması 3
Milli Güvenlik Teknolojilerinde Özel Sektöre Teşvik 3
Milli Test ve Milli Belgelendirme Merkezleri 3
Siber Saldırı (Önleyici) 3
Kişisel/Kurumsal Veri Güvenliği 2
Kripto Algoritmaları 2
Kurumsal Bilgi Güvenliği Belgelendirmeye Destek 2
Kurumsal ve Toplumsal Paydaşlar Arasında İşbirliği 2
Siber Güvenliğin Akademik Yönden Güçlendirilmesi 2
Siber Güvenlik Kültürü 2
Siber Güvenlik Tatbikatı 2
Siber Suçlar Sözleşmesi Olumsuzlukları 2
Stratejinin Dönemsel Güncellenmesi 2
Ulusal Koruma Profili 2
Ulusal Siber Güvenlik Stratejisi | 33
Bilgi Güvenliği Derneği Haziran 2012
KATKI SAĞLAYANLAR ve KURUMLARI:
Hakan YILDIRIM TBMM Murat GÜNDÜZ TRCOM Serhat KOÇ TBV Taner UĞURLU DHMİ Osman DOĞAN TTNET Ali Yılmaz KUMCU DELOİTTE Burak ÖZÇAKMAK GAZİ ÜNİVERSİTESİ Gökhan ÇİFTÇİ TCDD Celil ÇIRAK TCDD Cem Cihangir ÜSTÜN KALKINMA BANKASI Zuhuri YAMAN TTNET M. Hasan TUNCER BTK Serkan CECELİOĞLU BAŞBAKANLIK S. Bahri CEBECİOĞLU BAŞBAKANLIK Fatih TURGUT DHMİ Metin TAŞKIN DHMİ Sevgi KÖYLÜ HALİLOĞLU DHMİ Yılmaz KARACA TOBB Fatih Ayhan HAKTANIR ORATECH Oğuz BOZOKLU GENELKURMAY BAŞKANLIĞI Volkan ERTÜRK BARİKAT Özge TULİS MEB Yunus BALİ EGM Evren BİLGİÇ SYMTURK Okan YÜCEL BARİKAT Bilal ÇATAKOĞLU HUAWEİ Merve CİHANGİROĞLU İNFONET Türksel KAYA BENGSHİR TODAİE Orhan TURAN TÜRKİYE NOTERLER BİRLİĞİ Hasan Hüsnü BİLGİN ADALET BAKANLIĞI Razmazan AKDUMAN NETAŞ Ali Osman HARMANKAYA KAMU DÜZENİ VE GÜVENLİĞİ MÜSTEŞARLIĞI Cenk TAŞTAN TURKCELL Çiğdem AY TODAİE Özkan ÇELİK EGM Atfi İNAL EGM Nazife BAYKAL ODTÜ Hakan AKKURT T.C. ÇSGB Kemal ÖZAT T.C. ÇSGB Eren SAVAŞ T.C. ÇSGB Hakan ŞENTÜRK KHO Hakan TEKEDERE GAZİ ÜNİVERSİTESİ Mesut EKİNCİ TSE Okan YILDIRIM VİGASİS Fikret OTTEKİN TÜBİTAK BİLGEM Sedat AKLEYLEK ODTÜ Volkan KONUK DHMİ
Ulusal Siber Güvenlik Stratejisi | 34
Bilgi Güvenliği Derneği Haziran 2012
M.Özgür ATALAY HAZİNE MÜSTEŞARLIĞI Ali IŞIKLI ASELSAN Uğur KAYA ASO S.Barış DİNLER VİGASİS Kadir Murat BİÇER GENEL KURMAY BAŞKANLIĞI Umay AKKAYA TSE Ayşenur KAÇTIOĞLU MEB Y.Şahin ARSEL TC.İÇİŞLERİ BAKANLIĞI Volkan KAPLAN T.C. GÜMRÜK VE TİCARET BAKANLIĞI Bülent GÜNEŞ T.C. ORMAN GENEL MÜDÜRLÜĞÜ Osman GÜYÜM TURKSAT Dr. Cemal GEMİCİ CYMSOFT Burak ÖZÇAKMAKÇI GAZİ ÜNİVERSİTESİ Kadriye Yıldız BARLAS BİLGİ GÜVENLİĞİ DERNEĞİ Ümit Rıfat ERDEM GENELKURMAY BAŞKANLIĞI A.Akın ŞAHİN HAZİNE MÜSTEŞARLIĞI Uğur ÖZTÜRK T.C. İÇİŞLERİ BAKANLIĞI Mehmet Serkan KILIÇ EGM Namık ERYÜREKLİ BAŞBAKANLIK Ayhan YILDIRIM VİGASİS Murat LOSTAR LOSTAR Serkan ADIGÜZEL TUTED Hakan BAKIR HUAWEİ Fatih ÇAKMAKÇI HAZİNE MÜSTEŞARLIĞI Akif Mücahit UZUN TSE Osman GÜYÜM TURKSAT Bünyamin KARADENİZ HAVELSAN Ümit ÖZDEMİR BİLİM,SANAYİ VE TEKNOLOJİ BAKANLIĞI Muhammet Ali EREN T.C. İÇİŞLERİ BAKANLIĞI Engin Volkan ÇOLPAN T.C. İÇİŞLERİ BAKANLIĞI Fatih TALAS TÜRKİYE TAŞKÖMÜRÜ KURUMU Emrah BALCILAR TURKSAT Uraz YAVANOĞLU BİLGİ GÜVENLİĞİ DERNEĞİ Ersen ELMAOĞULLARI BİLGİ GÜVENLİĞİ DERNEĞİ Volkan ÖZTÜRK BİLGİ GÜVENLİĞİ DERNEĞİ Mustafa MACAR BİLGİ GÜVENLİĞİ DERNEĞİ