Ulusal Siber Guvenlik Stratejisi · Kritik altyapıların güvenlik risklerinin tanımlanması, işlenmesi ve çabuk iyileşebilirliliğin sağlanması gerekmektedir. uygulanması

Ulusal Siber Güvenlik Stratejisi2023’ün siber uzayında güçlü ve önder

T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı

Ulusal Siber Güvenlik Stratejisin siber uzayında güçlü ve önder bir Türkiye


Ulusal Siber Güvenlik Stratejisi Türkiye için


Ulusal Siber Güvenlik Stratejisi | 2

Bilgi Güvenliği Derneği Haziran 2012

(BU SAYFA BOŞ BIRAKILMIŞTIR.)



HAZIRLAYANLAR:

Prof. Dr. Mustafa ALKAN, Bilgi Güvenliği Derneği / Gazi Üniversitesi

Ahmet Hamdi ATALAY, Bilgi Güvenliği Derneği / NETAŞ

Cabir BİLİRGEN, Bilgi Güvenliği Derneği / Ulaştırma Denizcilik ve Haberleşme Bakanlığı

Gürol CANBEK, Bilgi Güvenliği Derneği / HAVELSAN

Mehmet Ali İNCEEFE, Bilgi Güvenliği Derneği / ANEL

Prof. Dr. Şeref SAĞIROĞLU, Bilgi Güvenliği Derneği / Gazi Üniversitesi

Alper ÖZBİLEN, Bilgi Güvenliği Derneği / TİB

Dr. Tolga TÜFEKÇİ, Bilgi Güvenliği Derneği / TÜRKTRUST

Mustafa ÜNVER, Bilgi Güvenliği Derneği / BTK

Ali YAZICI, Bilgi Güvenliği Derneği / ASELSAN



Yönetici Özeti Türkiye, birçok alanda olduğu gibi gelişmiş ülkelerin bilişim teknolojileri ile rekabet içindedir.

Bu rekabetin gereği,bilim ve teknolojinin zamanın da ötesine giden ihtiyaçları kapsamında

Türkiye, bilişim teknolojilerini Türkiye Cumhuriyeti vatandaşlarına çağdaş düzeyde

sunabilmek, bireylerin temel hak ve hürriyetlerini temin etmek, kişisel ve toplumsal gelişimi

uyum içinde artırmak, kamu ve özel kuruluşların tüm faaliyetlerini kolaylaştırmak,

hızlandırmak ve etkinleştirmek için mümkün olduğunca hızlı bir şekilde bu teknolojileri

özümseyip uyarlayarak yaygınlaştırılmalarını sağlamak ve kendi milli çözümlerini üretmek

kararlılığındadır. Bu kararlılığın bir dayanağı da Türk insanının televizyon, bilgisayar, İnternet,

taşınabilir bilgisayar ve cep telefonu gibi bilişim teknolojilerini ve çok sayıda yazılım tabanlı

küresel toplum ortamlarını yaygın ve başarılı bir şekilde kullanmasıdır.

Bilişim teknolojilerinin geldiği nokta itibariyle; fiziki sınır ve kuralların ötesinde bir boyutun

ortaya çıktığı ve "Siber Uzay" olarak ifade edilen bu olgunun, bir söylenti olmaktan öteye

gittiği ve sanallıktan sıyrılarak yadsınamaz bir gerçeklik haline geldiği açık olarak

görülmektedir. Artık, dünyada olduğu gibi Türkiye’de de, neredeyse her türlü hizmet ve

faaliyet Siber Uzay içinde gerçekleşmektedir.

Siber uzay, Türkiye’yi geleceğin güçlü ve önder ülkesi; vatandaşlarını da mutluluk ve refah

içinde önde gelen bireyleri yapacak başlıca unsurdur.

Siber uzay, bu fırsatlarının yanında risklerini de beraberinde getirmektedir. Siber saldırı, siber

suç, siber terörizm ve nihayetinde siber savaşlar; siber uzayın her parçasında ve seviyesinde

etkisini günbegün artan ölçüde hissettirmektedir. Kötü niyetli amaçlar için kullanılan bu

araçlar, kişisel düzeyde ya da çeşitli çıkar ve suç örgütleri tarafından kullanıldığı gibi artık

devletlerin de kullanabileceği seviyeye gelmiştir. 21.yüzyılın yaşadığımız ilk on yılı, "Siber

Savaş" olgusunun ortaya çıktığı ve geleceğe yönelik derin tesirlerin evrimleştiği sıra dışı bir

zaman olarak tarihe geçecektir.



Bu evrim ve çevresini saran riskler dâhilinde; Türkiye’nin ülkesini, vatandaşlarını ve her türlü

varlığını, bugününü ve geleceğini korumak için Siber Uzayın güvenliğinin sağlanması şarttır.

Siber güvenlik olarak ifade edilen bu zorunluluğun, dağınık ve birbirinden habersiz ve

eşgüdümsüz, gerçeklerden ve çağdaş uygulama örneklerinden uzak bir şekilde sağlanabilmesi

mümkün değildir. Siber güvenlik ülkemizin en üst seviyede ve en geniş kapsamda ele alacağı

bir konudur.

Bu gerçekten hareketle Ulaştırma Denizcilik ve Haberleşme Bakanlığı himayelerinde Bilgi

Güvenliği Derneği olarak uzun zamandır yoğun bir şekilde faaliyetlerimizi sürdürmekteyiz.

Siber güvenlik konusunda toplumun tüm kesimlerinde yukarıda izah etmeye çalıştığımız

kapsamda farkındalık ve bilinç oluşturmayı, ülkemizin bu alandaki politika ve stratejilerine

katkı sağlamayı milli bir görev sayıyoruz. Bu güne kadar bu alanda ulusal ve uluslar arası

düzeyde gerçekleştirmiş olduğumuz etkinliklerle önemli bir bilgi birikimi ve kazanım elde

ettiğimizi düşünüyoruz. Bu etkinlikler ve çalıştaylar sonrası edinilen bilgi ve birikimleri

toplumun tüm kesimleriyle paylaşarak siber güvenlik konusundaki bilinç düzeyini artırmayı

hedefliyoruz. Kamu, Üniversite, Sektör ve sivil toplum kuruluşları başta olmak üzere toplumun

tüm bileşenlerini bir araya getirerek ortak platformlarda milli çözümlerin ve milli projelerin

hayata geçirilmesine öncülük etmeye çalışıyoruz.

Gelinen bu noktada ülkemiz için son derece önemli ve kritik bir konu olan “Siber Güvenlik

Strateji Belgesi Hazırlık Çalıştayı” bu anlamda büyük önem arzetmekte olup, hazırlanan taslak

dökümanın bir an önce nihai hale getirilip uygulamaya konulmasını önemsiyor buna öncülük

etmiş olmaktan da büyük mutluluk duyuyoruz.

İş bu belge, Türkiye’nin Ulusal kapsamda Siber Güvenliğine yönelik ilkelerini, stratejik

hedeflerini, bu hedeflere ulaşmak için ele alması gereken temel uygulamaları ve ilk planda

atması gereken somut adımları özetlemektedir.



Siber güvenlik; yönetimsel, teknik, sosyolojik, tarihsel, yasal, politik, askeri ve akademik gibi

çok sayıda alanın devreye girdiği bir konudur. Bu konuların etkin bir şekilde ele alınıp en doğru

yöntem ve doğrultuda yönetilmesi, pek çok gelişmiş ve bu konuyu ciddiye alan ülkenin yaptığı

gibi ilke ve stratejilerin belirlenmesi ile mümkündür.

İlke ve stratejilerin belli olmadığı her türlü girişimin başarısız olmaya mahkûm olduğunu göz

önüne alarak; Siber Uzay gibi geleceğin şekillendiği bir ortamda, Türkiye'nin dönüşümünü,

vatandaş, devlet, kamu kurum ve kuruluşları, özel sektör, üniversite ve sivil toplum kuruluşları

gibi tüm paydaşlarının işbirliği ve emeği ile başarılı bir şekilde gerçekleştirmek için Siber

Güvenlik Stratejisinin oluşturulması ve uygulanması büyük önem arz etmektedir.



İÇERİK

Yönetici Özeti 4

Giriş 9

Temel Kavramlar 11

Stratejik Hedefler 12

Stratejinin Uygulanması 14

Uluslararası İşbirliği 14

Siber Güvenlik Kültürünün Oluşturulması 15

Yasal Düzenlemeler 15

Kurumsal Yapılanma 16

Eğitim ve Öğretim 16

Kamu, Üniversite, Özel Sektör İşbirliği 16

Milli Teknoloji Geliştirme 17

Somut Adımlar 17

Ulusal Siber Güvenlik Kurulu 18

Türkiye Ulusal Siber Olaylara Müdahale Ekibi (TC-SOME) 21

Ulusal Siber Tehdit ve Korunmasızlık İnceleme Laboratuvarı 22

Siber Güvenlik Farkındalığının Arttırılması 22

Kişisel ve Kurumsal Bilginin Korunmasının Teşviki 23

Uluslararası İşbirliğinin Güçlendirilmesi 24

Milli Teknolojilerin Geliştirilmesinin Özendirilmesi 25

Ulusal Ar-Ge Stratejisinin Oluşturulması 26



Üniversitelerde Bilimsel Çalışmaların Geliştirilmesi 27

İnsan Kaynakları ile Yetenekleri Geliştirilmesi 27

Yasal Mevzuatın Düzenlenmesi 28

Sonuç ve Değerlendirmeler 29

EK - Ulusal Siber Güvenlik Strateji Çalıştayı Sonuç Değerlendirme Raporu 31



Giriş Günümüzde, gerek ülkemizde gerekse dünyada büyük kitleler İnternet veya diğer bilgisayar ve

iletişim ağları üzerinde siber uzayı oluşturan bilgi ve hizmetleri kullanmaktadır.

Bilişim Teknolojileri alanındaki hızlı gelişmeler; vatandaşlara, iş ve ticaret dünyasına ve

nihayetinde devletlere yeni kolaylıklar ve fırsatlar sağlamaktadır. "Bilgi Çağı" olarak sıkça

adlandırılan bu dönemde, toplumsal ve ekonomik yaşam, siber uzayın sağladığı olanakların

sürekli kullanımı ve gelişimi üzerine dayanmaktadır.

Bugün, hızla genişleyen bu dünyanın parçası olan Türkiye’de de, iş ve ticaret dünyası ile

toplumun büyük bir kesimi; vatandaşlık hizmetleri, bankacılık, elektrik, su ve benzeri kritik

altyapılar dâhil pek çok hizmetten, öncelikle Bilişim Teknolojilerinin sağladığı olanaklarla

yararlanmaktadır. Bu bakımdan, bilgisayar ve iletişim altyapılarının veya genel olarak

İnternet’in, sürekli, güvenli ve kesintisiz çalışması hayati önem arz eder hale gelmiştir.

Bu önem özellikle kötü niyet besleyen her türlü odağın da gözünü diktiği bir konudur. Nitekim

İnternet veya diğer bilgisayar ve iletişim ağı altyapılarına karşı düzenlenen saldırılar son

yıllarda hızla artmakta, daha karmaşık hale gelmekte, devleti ve vatandaşı hedef alarak hayati

bir tehdit oluşturmaktadır.

Niteliği gereği, ulusal ve uluslararası düzeyde gerçekleştirilen siber saldırılar, devletleri toplum

ve ekonomilerini korumak için hazırlıklı olmaya zorlarken; siber güvenliğin sağlanması için

uluslararası işbirliklerini de gerekli hale getirmiştir.

Bilgi Toplumu olma yolunda hızla ilerleyen Türkiye'de de, devletin öncülüğünde gerekli

adımların atılarak;

� Siber uzayın güvenliğinin arttırılması,



� Siber saldırılara karşı kritik altyapıların dayanıklılığının ve koruma sürekliliğinin temin

edilmesi,

� Kurumsal ve kişisel verilerin güvenliğinin sağlanması

temel hedeflerinin yerine getirilmesi gerekmektedir.

Bu hedefler etkin ve verimli bir biçimde yerine getirilirken, Bilişim Teknolojilerinin kullanımının

engellenmemesi ve vatandaşların bu teknolojilerden sağladığı yararın düşmemesi amacıyla da

aşağıda belirtilen ilkeler önemle gözetilmelidir:

� Temel hak ve hürriyetlerinin korunması

� Demokratik toplum düzeninin gereklerine uyulması

� Hukukun üstünlüğüne ve ölçülülük ilkesine uyulması

� Karar alma süreçlerine tüm paydaşların katılımının sağlanması

� Mahremiyet, güvenlik ile kullanılabilirlik arasında denge kurulması

� Uluslararası düzenlemelerin göz önünde bulundurulması ve olabildiğince uyumluluğun

sağlanması

� Bütüncül bir yaklaşımla hukuki, teknik, idari, ekonomik, politik ve sosyal boyutların ele

alınması

� Uluslararası işbirliğinin sağlanması

Bu belge, Türkiye’nin stratejik hedeflerine sayılan ilkeleri gözeterek ulaşılmasına yönelik bir yol

haritası oluşturulmasına katkı sağlamak üzere, Bilgi Güvenliği Derneği üyeleri tarafından

oluşturulmuş “Siber Güvenlik Ulusal Strateji Belgesi” taslak metninin, yine Bilgi Güvenliği

Derneği’nin 19 Haziran 2012’de düzenlediği ve çok sayıda kurum ve sektör temsilcilerinin

katıldığı “Ulusal Siber Güvenlik Strateji Çalıştayı” sonuçları ile şekillendirildiği bir öneri

belgesidir. Strateji Öneri Belgesinin ilgili birimlerin de görüş ve önerilerini alarak kısa sürede



hayata geçirilmesi gerek ülke bilgi varlıkları güvenliği gerekse ulusal güvenliğimize büyük

katkılar sağlayacaktır.

Bu belge, altı başlık altında tertip edilmiştir. İkinci bölümde ulusal siber güvenlik ile ilgili temel

kavramlar ifade edilmiştir. Üçüncü bölümde Ulusal Stratejik Hedefler, Dördüncü bölümde bu

hedeflere ulaşmak için önerilen uygulamalar, Beşinci bölümde atılması önerilen somut adımlar

ve son bölümde sonuç ve değerlendirmeler aktarılmıştır.

Temel Kavramlar Siber uzay, İnternet veya başka bir bilgisayar ve iletişim ağı üzerinden kullanılabilir tüm Bilişim

Sistemlerini içerir.

Siber saldırı, hedef seçilen şahıs, şirket, kurum veya devletin Bilişim Sistemlerinin işleyişinin

engellenmesi, bozulması veya değiştirilmesi yoluyla, iş, ticaret, yönetim veya toplumsal hayat

üzerinde olumsuz etki oluşturacak girişimlerdir. Ulusal veya uluslararası düzeyde, ticari, politik

veya askerî amaçlı olarak, planlı ve eşgüdümlü bir faaliyet olarak gerçekleştirilebileceği gibi

çeşitli kişi ve gruplar tarafından da çok değişik amaçlarla gerçekleştirilebilirler.

Siber güvenlik, siber saldırılara karşı alınan tedbirler bütünüdür. Kurum, kuruluş ve

kullanıcıların varlıklarını korumak amacıyla kullandığı araçlar, geliştirilen politika ve

uygulamalar; yazılı belgeler, elektronik ortam dokümanları, etkinlikler, eğitimler ve bilişim

alanında kullanılan güvenlik teknolojilerinin tamamı siber güvenliğin unsurları arasındadır.

Siber tehdit ve saldırının bir ülkeye karşı olması halinde, söz konusu ülke, tehdit ve saldırıları

bertaraf etmek için siber savunma yapar.

Siber savunma amacıyla ülkeler, kritik altyapılarını belirler. Kritik altyapı, zarar görmesi veya

yok olması toplumsal düzenin ve kamu hizmetlerinin devamlılığının sağlanmasında güçlük

yaratacak; işlevlerini kısmen veya tamamen yerine getiremediğinde vatandaşların sağlığına,

Bilgi Güvenliği Derneği

emniyetine, güvenliğine ve ekonomik faaliyetler veya hükümetin etkin ve verimli işleyişine

olumsuz etki edecek yapıdır. Bu bağlamda, aşağıda sayılan yapılar kritik altyapı olarak

görülmelidir:

� Bilişim

� Enerji

� Mali işler

� Sağlık

� Gıda

� Su

� Ulaşım

� Savunma

� Kamu güvenliği

� Nükleer, biyolojik, kimyasal tesisler

Kritik altyapıların güvenlik risklerinin

tanımlanması, işlenmesi ve çabuk

iyileşebilirliliğin sağlanması gerekmektedir.

uygulanması esastır.

Stratejik HedeflerStratejilerin başarılı olması;

bağlıdır. Bu hedefler, diğer alanlarda olduğu gibi siber güvenlik alanında da, ülkenin içinde

bulunduğu, ekonomik ve teknolojik gelişmişlik ile doğal kaynaklara sahiplik ve jeopolitik

açıdan önem derecesine göre farklılıklar göstermektedir.

Siber güvenlik stratejisi, ülkenin kritik altyapılarının hassasiyetine

saldırılara karşı önleyici tedbirle

Ulusal Siber Güvenlik Stratejisi

Savunma, kamu güvenliği NBK

Tesisleri

Gıda, Su, Ulaşım

Enerji, Mali işler, Sağlık

Bilişim



Nükleer, biyolojik, kimyasal tesisler

Kritik altyapıların güvenlik risklerinin

tanımlanması, işlenmesi ve çabuk

iyileşebilirliliğin sağlanması gerekmektedir. Bu alanda milli teknolojilerin geliştirilmesi ve

Stratejik Hedefler ; açık, anlaşılabilir ve gerçekleştirilebilir hedeflerinin varlığına


eknolojik gelişmişlik ile doğal kaynaklara sahiplik ve jeopolitik

açıdan önem derecesine göre farklılıklar göstermektedir.

Siber güvenlik stratejisi, ülkenin kritik altyapılarının hassasiyetine göre

saldırılara karşı önleyici tedbirleri içermelidir. Ayrıca; siber saldırılara karşı yasal bir çerçeve


Haziran 2012

Savunma, kamu güvenliği NBK

Tesisleri

Gıda, Su, Ulaşım

Enerji, Mali işler, Sağlık

Bilişim



Bu alanda milli teknolojilerin geliştirilmesi ve

açık, anlaşılabilir ve gerçekleştirilebilir hedeflerinin varlığına


eknolojik gelişmişlik ile doğal kaynaklara sahiplik ve jeopolitik

göre yapılması olası siber

siber saldırılara karşı yasal bir çerçeve



oluşturmak, konuyla ilgili uluslararası ve kurumsal işbirliklerini geliştirmek, kamu bilinci ve

araştırma programlarını oluşturmak için bir çerçeve hazırlanmalıdır.

Siber güvenlik stratejisinin hedefi bireylerin, şirketlerin ve kamu kuruluşlarının iş ve

hizmetlerinde kullandıkları sistem ve altyapıların güvenliğini artırıp sağlamlaştırmaktır.

Böylece bilgisayar ve iletişim ağı altyapıları yasal ve teknolojik açılardan korunurken,

toplumsal ve ekonomik düzen de koruma altına alınmış olacaktır.

Ülkemizde siber güvenlik alanında, kısa ve orta dönemde aşağıdaki hedefler önem ve

önceliklere sahip olup, bu hedefler gelişmelere paralel olarak güncellenip değiştirilmelidir:

� Ülke kritik altyapılarını tanımlamak ve dökümünü oluşturmak,

� Bireyleri siber güvenlik konusunda bilgilendirip bilinçlendirmek ve siber güvenlik

kültürünün oluşturulması ve yaygınlaştırılmasını sağlamak,

� Siber güvenlik alanında milli teknolojilerin geliştirilmesini teşvik etmek ve kullanılmasını

özendirmek,

� Siber güvenlik ve savunma konularında yasal mevzuatı geliştirmek,

� Siber güvenlik uzmanları yetiştirmek,

� Siber güvenlik stratejisinin tesisi ve geliştirilmesi için Ulusal Siber Güvenlik Danışma

Kurulu oluşturmak,

� Siber saldırılara karşı ulusal eşgüdümü sağlamakla görevli merkezler kurmak,

� Belgelendirme kuruluşlarınca onaylanmış güvenlik hizmeti ve sistemlerinin kullanılması

teşvik etmek veya zorunlu kılmak

� Uluslararası kurumlar ile yakın işbirliği ve eşgüdümü sağlamak ve geliştirmek.



Stratejinin Uygulanması Stratejik hedeflere ulaşabilmek için gerekli görülen uygulamalar şu şekilde sıralanabilir:

� Uluslararası işbirliği

� Kurumsal yapılanma

� Eğitim ve Öğretim

� Kamu, Üniversite, Özel Sektör İşbirliği

� Milli Teknoloji Geliştirme

Bu uygulamalar aşağıda alt başlıklar halinde açıklanmıştır.

Uluslararası İşbirliği

Siber uzaydaki tehdit araçları, yayılma ve kullanılma şekilleri itibariyle, bir ülke üzerinde

planlanan saldırının başka ülkelerdeki araç ve kaynaklar kullanılarak üçüncü bir ülkedeki

yapılara zarar verilebilmesini mümkün kılmaktadır. Ayrıca, siber suç şebekeleri, İnternet

ortamı üzerinden kolaylıkla örgütlenebilmekte ve farklı ülkelerdeki birden çok kaynaktan

saldırılar düzenlemektedir. Bu tür suç ve saldırılar karşısında ülkeler arasındaki bilgi ve

deneyim paylaşımı ve işbirliği zorunlu hale gelmiştir.

Türkiye’nin siber güvenlik alanında müttefik ülkelerle ikili veya toplu işbirlikleriyle; bilgi ve

tecrübe değişimi, siber istihbarat paylaşımı ve sabotaj girişimleriyle ilgili mücadelenin

güçlendirilmesi önem arz etmektedir.

BM, AB, OECD ve NATO gibi örgütler bünyesindeki siber güvenlik çalışmalarında aktif olarak

bulunmak, küresel ve bölgesel anlaşmalara taraf olmak, uluslararası seminer, çalıştay ve

konferanslara aktif katılım sağlamak, ülke stratejisi temelinde katkılarda bulunmak

gerekmektedir.



Siber Güvenlik Kültürünün Oluşturulması

Siber güvenlik tehditlerine karşı, kritik öneme sahip altyapıların korunmasına yönelik olarak

öncelikle kurum, kuruluş ve işletmelerden başlayarak; yönetici, çalışan ve kullanıcı düzeyinde

bilgi güvenliği farkındalığını arttırıcı eğitim, seminer, çalıştay, konferans ve “farkındalık ayı” vb.

faaliyetlerin düzenlenmesi.

Yasal Düzenlemeler

Siber suçlarla ilgili yasal mevzuatın caydırıcı ve uygulanabilir olması, uluslararası mevzuatla

uyumun gözetilmesi, kamu ve kişisel verilerin korunması dikkate alınmalıdır.

Bilişim Teknolojilerinin hızlı gelişimi, geleneksel suçların yanında, yeni suç türlerini de

beraberinde getirmiştir. Bu sebeple; bilgisayar ve iletişim ağlarının ve bilgi varlıklarının, ülke

ekonomisi, kamu refahı ve güvenliği için çok önemli olduğu; kritik altyapıların güvenliğinin de

ülke ve toplum güvenliğiyle eşdeğer olduğundan, kapsamlı yasal çözüm ve düzenlemelerin

geliştirilmesi gerekmektedir.

Yasal düzenlemeler yapılırken aşağıdaki hususlar dikkate alınmalıdır:

� Devlet; herkesin bilgiye serbestçe erişim hakkını, etkin ve adil bir biçimde

kullanılabilmesi için gereken düzenlemeleri yapmakla yükümlüdür. Bilgiye erişim,

kişinin haber ya da fikir alması ya da vermesi serbestliğini kapsamalıdır.

� Haberleşmenin gizliliği esastır. Herkes, kişisel verilerinin korunmasını; düşünce ve

kanaatlerinin gizliliğine saygı gösterilmesini isteme hakkına sahiptir. Usulüne uygun

olarak verilmiş bir hâkim kararı olmadıkça, Bilişim Teknolojileri vasıtasıyla yapılan

haberleşme engellenemez ve gizliliğine dokunulamaz.

� Yasalar; verilerin ve bilgi varlıklarının ileri düzeyde korunmasına yönelik kullanılabilirliği,

bütünlüğü, gizliliği, inkâr edilemezliği ve kimlik doğrulaması unsurlarının sağlanabilmesi

için kurum ve kuruluşların bilgi varlıklarının hedeflenen amaçlar doğrultusunda insani,



mali, teknik ve bilgi değerlerini dikkate alarak, varlıklara ve diğer unsurlara zarar

vermeden etkili ve uygulanabilir tedbirlerin alınmasına uygun zemin sunmalıdır.

Kurumsal Yapılanma

Ülkenin siber güvenlik politikalarının Siber Güvenlik Stratejisine uygun olarak belirlenmesi,

uygulamaların hedeflere uygun ilerleyip ilerlemediğinin değerlendirilmesi, denetlenmesi ve

ulusal seviyede gerçekleşen saldırılara müdahale edilebilmesi amacıyla kurumsal yapıların

oluşturulması gerekmektedir. Bu bağlamda, “Ulusal Siber Güvenlik veya Danışma Kurulu”,

“Ulusal Siber Güvenlik Yürütme ve Eşgüdüm Merkezi”, “ Ulusal Siber Erken Uyarı ve Müdahale

Merkezi”, “Ulusal Siber Güvenlik Mükemmeliyet Merkezi ” gibi birimlerin

oluşturulması/kurulmalıdır.

Ulusal ve uluslararası siber saldırı tipleri, saldırgan kişi ve grup tür ve yapıları, saldırı

senaryoları, gerekçeleri, güdüleri ve zamanları izlenmeli ve karşı senaryoların ve çözümlerin

sistemli bir şekilde oluşturulabilmesi için kayıtların tutulması ve çözümlemelerin kurumsal

yapılanmaların planlamaları ve girişimleri ile gerçekleştirilmesi siber güvenliğe büyük katkı

sağlayacaktır.

Eğitim ve Öğretim

Siber güvenlik alanında ihtiyaç duyulan nitelikli insan kaynağının sağlanması amacıyla ulusal

ve uluslararası düzeyde geliştirilmiş programların hazırlanması gerekmektedir. Siber güvenlik

alanında lisans ve lisansüstü düzeyde programlar açılması, araştırma enstitüleri ve test

merkezleri kurulması ve belgelendirme programlarının teşvik edilmesi gerekmektedir.

Kamu, Üniversite, Özel Sektör İşbirliği

Kamu kurumları, üniversiteler ve özel sektör arasında bilgi birikiminin arttırılması, tecrübelerin

paylaşılması, bilgi güvenliği ve siber savunma alanında kuramlar üretme, teknolojiler



geliştirme, eğitim ve danışmanlık faaliyetlerini arttırma gibi çabalara destek verilmesi ve son

dönemde kamu ve özel sektör desteklerinin bu konuları daha çok kapsaması, kamu-üniversite

ve özel sektör-üniversite işbirliklerini arttırıcı adımların sıklaştırılması, kamunun farkındalığının

arttırılması, özel sektörün bu alana yönelmesi ve ürün geliştirmesi, üniversitelerinde bu alanda

Ar-Ge yaparak bu alana destek vermesiyle ancak sağlıklı bir işbirliği geliştirilebilecektir.

Uzman kişilerin bilgi ve becerilerinden faydalanmak amacıyla, kamuda sözleşmeli siber

güvenlik uzmanlarının istihdamıyla ilgili özel düzenlemeler yapılmalıdır.

Sektörün geliştirilmesine yönelik altyapılar kurulması, üniversitelerde konuya akademik ilginin

arttırılmasına yönelik programlar açılması, konuda ar-ge yapılmasının özendirici işbirliği

modellerinin geliştirilmesi gerekmektedir.

Milli Teknoloji Geliştirme

Siber güvenlik alanında kullanılan teknolojik araçlar (yazılım, donanım vb.) mümkün

olduğunca iç kaynaklardan temin edilmeli, sektörün bu konuya ilgisini arttırıcı önlemler

alınması, altyapıla kurulması, geliştirilen ürünlerin de uluslararası standartlara ve

sertifikasyonlara uygun olması gerekmektedir.

Siber güvenlik alanında, milli teknolojilerin üretiminin ve kullanımının teşvik edilmesi ve

desteklenmesi hayati önem taşımaktadır. Bu amaçla, konuya özel Ar-Ge destek programları

açılmalıdır.

Somut Adımlar Stratejik hedeflere yönelik atılabilecek somut adımlar şunlardır:

� Ulusal Siber Güvenlik Strateji Belgesinin Kısa Sürede Yayımlanması,

� Ulusal Siber Güvenlik Kurulu Oluşturulması,

� Siber Güvenlik Farkındalığının Arttırılması,



� Siber Güvenlik Kültürünün Yaygınlaştırılması,

� Kişisel ve Kurumsal Bilginin Korunmasına Yönelik Daha Sıkı Tedbirler Alınması,

� Uluslararası İşbirliğinin Güçlendirilmesi,

� Ulusal Siber Güvenlik Ar-Ge Politikasının Oluşturulması ve Milli Teknolojilerin

Geliştirilmesinin Özendirilmesi,

� Üniversitelerde Bilimsel Çalışmaların Arttırılmasına Yönelik Çalışmalar Yapılması,

� İnsan Kaynakları Yetiştirilmesine ve Mevcutların Geliştirilmesine Yönelik Çalışmalar

Yapılması,

� Kurumsal Siber Güvenlik Yeteneklerin Arttırılmasına Yönelik Çalışmalar Yapılması,

� Kurumlara Siber Güvenlik Sızma Testleri Yapan Bağımsız Merkezlerin Kurulması,

� Yasal Mevzuatın Düzenlenmesi.

Bu somut adımlar aşağıda alt başlıklar halinde açıklanmıştır.

Ulusal Siber Güvenlik Kurulu

Siber güvenlikte siber olayların yapısal ve kök nedenlerinin araştırılması ve bu nedenlerin

engellenmesine yönelik alınacak tedbirlerin belirlenmesi en etkin yöntem olarak

görülmektedir. Ulusal seviyede bu yöntemi uygulatacak, kurumlar arası eşgüdümü ve veri

akışını sağlayacak, yapılan ölçme ve değerlendirmeleri çözümleyecek, riskleri üst seviyede

değerlendirecek, yapılması gerekenleri önceliklendirecek görev ve sorumlulukları açıkça

belirlenmiş bir organa ihtiyaç duyulmaktadır.

Bu nedenle Bakanlıklar, kamu ve özel sektör arasında işbirliği ve eşgüdümü sağlamak için daha

etkin olması açısından tercihen Başbakanlık eşgüdümünde Ulusal Siber Güvenlik Kurulu

oluşturulmalıdır.



Ulusal Siber Güvenlik Kurulunda;

� Milli Savunma Bakanlığı,

� İçişleri Bakanlığı,

� Dışişleri Bakanlığı,

� Ulaştırma, Denizcilik ve Haberleşme Bakanlığı,

� Bilim Sanayi ve Teknoloji Bakanlığı,

� Adalet Bakanlığı,

� Enerji ve Tabii Kaynaklar Bakanlığı

� Orman ve Su Bakanlığı

� Çevre ve Şehircilik Bakanlığı

� İlgili müsteşarlıkların (MİT, Kamu Güvenliği vb.), kurumların (BTK, BDDK, SPK, TSE vb.)

ve Savunma Sanayi firmaları (ASELSAN, HAVELSAN vb.) ve

� Genel Kurmay Başkanlığı ve Türk Silahlı Kuvvetleri temsilcileri

� Emniyet Genel Müdürlüğü Temsilcileri

� Üniversiteler

� Konuyla İlgili Sivil Toplum Kuruluşları

Sektör Temsilcilerine yer almalıdır.

Özel durumlarda farklı bakanlıklar ve kurumlarda kurula dâhil edilebilecektir. Özel sektör iş

temsilcileri ortak üye olarak kurulda yer almalıdır. Gerektiği durumlarda akademik ve sivil

toplum kuruluşları temsilciler de davetli olarak çalışmalara katılabilecektir. Sonuç olarak siber

güvenlik ile ilgili tüm paydaşların işbirliği ve eşgüdümü sağlanmalıdır.

Ulusal Siber Güvenlik Kurulu, önleyici araçların ve kamu ve özel sektörün siber güvenlik

yaklaşımlarının eşgüdümünü sağlayacaktır. Ulusal Siber Güvenlik Kurulu ülke seviyesinde

güvenli Bilişim Teknolojileri altyapısının oluşturulması ve yönetimlerinin güvenli olarak



tümleştirilmesinden ve siber güvenlik alanında politika ve stratejilerin belirlenmesi

çalışmasından sorumlu olacaktır.

Bu kapsamda aşağıda belirtilen faaliyetlerin yürütülmesi hedeflenmiştir:

� Gerçek anlamda bir güvenlik uygulaması; olası korunmasızlık ve tehditlerin

belirlenmesi, zafiyetlerin saptanması ve alınacak önlemlerin analizini içeren bir risk

değerlendirmesinin yapılmasıyla sağlanacaktır. Ulusal Siber Güvenlik Kurulu tarafından

Ulusal Risk Değerlendirmesi yıllık olarak yapılması ve raporlanması.

� Ulusal Risk Değerlendirmesi sonucunda belirlenecek yeni siber güvenlik yeteneklerinin

ulusal seviyede kazanılması için gerekli girişimlerin başlatılması.

� Siber suç ve siber güvenlik konusundaki ulusal ve uluslararası eğilimleri ele alan ve

güncel siber tehditleri kapsayan dönemsel raporların hazırlanması.

� İçerik ve kapsamı önceden belirlenmiş planlı siber güvenlik tatbikatlarının dönemsel

olarak gerçekleştirilmesi ve sonuçlarının ulusal siber güvenlik yeteneğinin

güçlendirilmesi amacıyla ilgili paydaşlar ile paylaşılması ve iyileştirme amacıyla

kullanılması.

� Siber saldırılara karşı koymak için Siber Saldırı Eylem Planları hazırlanarak ve dönemsel

olarak güncellenmesi. Siber saldırı eylem planlarının “bilmesi gereken” ilkesine uygun

olarak ilgili paydaşlarla paylaşılması.

� Kritik alt yapıları işleten kamu veya özel kurum ve kuruluşları, bilişim teknolojileri

altyapılarının 2013 yılı sonuna kadar TS ISO/IEC 27001 Bilgi Güvenliği Yönetim

Sistemine standardına uyumlu hale getirilmesi.

� Ulusal Siber Güvenlik Tatbikatlarına kritik altyapıya sahip tüm kurumların dâhil

edilmesi.



� Kamu kurumların ve isteğe bağlı öncelikli özel sektör şirketlerinin siber güvenlik

düzeyleri açısından denetlenmesi. Bu çalışmalar ışığında en iyi uygulamaların sürekli

güncel tutularak taraflara bildirilmesi.

� Siber Olaylara Müdahale Ekiplerinin oluşturulması (TC-SOME)

� Ulusal Siber Tehdit ve Korunmasızlık İnceleme Merkez Laboratuvarı

Türkiye Ulusal Siber Olaylara Müdahale Ekibi (TC-SOME)

Ülke genelinde kamu kurum ve kuruluşları ile özel sektöre, siber saldırılara (bilgisayar güvenliği

olaylarına) müdahale yeteneğini kazandırmak ve ulusal seviyede gerçekleşen saldırılara

müdahale etmek amacıyla Türkiye Ulusal Siber Olaylara Müdahale Ekibi (TC-SOME)

kurulacaktır.

Türkiye Ulusal Siber Olaylara Müdahale Ekibinde (TC-SOME) farklı disiplinlerden ve

kurumlardan uzman personel bulunduracaktır. Çalışmaları saydam ve denetlenebilir olacaktır.

TC-SOME tarafından kamu kurum ve kuruluşları ile kritik altyapılarda ve özel sektörde

kendilerine özel SOME’lerin kurulması çalışmalarına gerekli teknik destek ve uygulamalı

eğitimi sağlayacaktır. Kurumlara özel SOME’lerin, TC-SOME’ye belgelendirmesi yapılacak ve

SOME’ler arasında eşgüdüm ve bilgi paylaşımı sağlanacaktır.

TC-SOME tarafından ulusal ve uluslararası meydana gelen tüm bilgisayar olayları izlenerek,

kullanılan saldırı yöntemleri ve saldırı gerçekleştirilen adreslerle ilgili ulusal bir veri tabanı

oluşturulacaktır. TC-SOME tarafından oluşturulan ulusal veri tabanı ülke seviyesinde siber

uzayın daha güvenilir hale getirilmesi ve kurumlar arası eşgüdümün sağlanması amacıyla özel

SOME’ler ile paylaşılacaktır. Gerek kişilerin ve kurumların siber güvenlik ile ilgili yardım ve bilgi

almaları için gerekse TC-SOME’nin kişi ve kurumları bilgilendirmesi ve uyarması için çağdaş ve

hızlı iletişim kanalları oluşturulmalıdır.



TC-SOME siber saldırı sırasında yapılacakları esaslar ve uygulamalar tabanında belirlemeli ve

siber saldırı ya da kriz sırasında eşgüdümün nasıl yapılacağı ve saldırılara müdahale etmek için

sorumluluk ve görevlerin neler olacağı saptanmalıdır. Bu çalışmalar yapılan tatbikatlar ve

gerçek olaylardan alınan derslerle sürekli olarak iyileştirilmelidir.

TC-SOME olaylara olduktan sonra müdahale edecek bir yaklaşımdan öte riskleri ve durumu

değerlendirerek olayları olmadan önce önlemeye çalışan bir yaklaşıma göre çalışmalıdır.

Ulusal Siber Tehdit ve Korunmasızlık İnceleme Laboratuvarı

Siber güvenlik tehdit ve korunmasızlıkları özel inceleme ve sürekli araştırma ve takip

gerektiren bir alandır. Bu alandaki önemli eksikliği gidermek ve milli teknolojilere de destek

olması amacıyla merkezi ulusal bir inceleme laboratuvarı oluşturulmalıdır. Bu laboratuvar

kötücül yazılımları ve korunmasızlık sömürülerini izlemeli ve araştırmalıdır. Ayrıca dünya

genelinde korunmasızlıkları da takip edip değerlendirmelidir. Bu çalışmalarla risk seviyesi daha

gerçekci belirlenecek ve sıfır gün saldırılarına edinilen tecrübe ile daha hızlı ve etkin cevap

verilinebilir. Bu laboratuvar siber güvenlik ile ilgili standartların uygulanmasına yönelik

yöntemleri oluşturur ve yayınlar. Son olarak piyasada bulunan yerli ve yabancı siber güvenlik

ürünlerini de tasnifi ve derecelendirmesi de bu laboratuvar tarafından yapılabilir.

Aurıca, bu merkez laboratuarı, üniversiteler ile ortak çalışmalar, işbirliği, araştırmalar ve

etkinlikler yapar.

Siber Güvenlik Farkındalığının Arttırılması

Etkin ve sürdürülebilir bir siber güvenliğin sağlanması, ancak tüm paydaşların ortak olarak

hareket etmesi ve görevlerini birlikte yerine getirmeleri durumunda gerçekleştirilebilir. Siber

güvenlik paydaşları olan, vatandaş, iş ve ticaret dünyası ve devletin bahse konu bireysel ve

kurumsal yükümlülüklerini yerine getirebilmeleri için, bu alanda farkındalık oluşturacak, bilgi



seviyesini arttıracak faaliyetlerin düzenlenmesi gerekmektedir. Bu kapsamda aşağıda

belirtilen faaliyetlerin yapılması hedeflenmiştir;

� Ulusal farkındalığın arttırılmasına katkı sağlamak amacıyla Mayıs ayının “Siber Güvenlik

Farkındalık Ayı” olarak kabul edilmesi ve tüm kamu ve özel sektör kurumlarının bu ayda

konuyla ilgili olarak belirli bir plan dâhilinde çalışmalar yürütmesi,

� Vatandaşın, kamu ve özel sektörde çalışan ve sadece bilişim teknolojileri hizmetlerini

kullanan personelin bilgi güvenliği seviyesini arttırmak ve bu alanda farkındalık

oluşturmak için kamuya açık alanlarda kullanmak üzere afişler hazırlanması, Yazılı ve

görsel basın ve medya kuruluşlarıyla işbirliği yapılması

� Üniversitelerde "Siber Güvenlik ve Savunma" konulu ders programlarının zorunlu hale

getirilmesi.

� Siber güvenlik farkındalık eğitimlerinin ilk ve orta öğretimde ve hatta okul öncesi

dönemde seviyelerine göre verilmesi ve güvenli internet kullanımı ile de

ilişkilendirilmesi

� Siber farkındalıkta en önemli katmanlardan biri de yöneticilerin bilinçlendirilmesidir.

Kamuda ve özel sektörde yönetici ve karar vericilerin desteğini ve kararlılığını almak ve

siber güvenlik risklerinin üst seviyede bilinmesi için yöneticilere özel eğitimler

sağlanmalıdır.

Kişisel ve Kurumsal Bilginin Korunmasının Teşviki

Bilişim teknolojileri kullanılarak sunulan hizmetlerde bireye ilişkin temel hak ve özgürlük

alanının müdahaleye açık hale gelmesi ve bu durumun kötüye kullanılması riski, vatandaşların

hizmet sağlayıcılara olan güvenini azaltmaktadır. Bireyin sosyal hayatını daha sağlıklı ve rahat

bir şekilde sürdürebilmesine ve kurumların itibarlarının zedelenmemesini ve iş ve ticaret

faaliyetlerinin güvence altında yürütülmesine olanak tanıyacak şekilde kişisel ve kurumsal

bilgilerin Bilişim Sistemlerinde ne şekil ve kapsamda kullanılacağını belirleyecek; bu bilgilerin



sadece hizmetin amacına yönelik ve hizmetle orantılı şekilde kullanılmasını sağlayacak yasal

tedbirlerin uluslararası yaklaşımlar da dikkate alınarak belirlenmesi sağlanmalıdır.Kurumsal

bilgi güvenliğine yönelik standartların ya da en iyi uygulamaların kurumlar tarafından

uyarlanmasına destek olunmalı; verilerin korunması yanında güvenli imhasının da temin

edilmesi gereklidir.

Uluslararası İşbirliğinin Güçlendirilmesi

Siber uzayın ülkenin fiziki sınırlarından bağımsız olduğu düşünüldüğünde, etkin ve

sürdürülebilir bir siber güvenliğin sağlanması ancak uluslararası düzeyde etkin işbirliği ile

sağlanabilir. Türkiye’nin küresel ölçekte örgütlenmiş organizasyonlarla işbirliğinin daha da

güçlendirmesi gerekmektedir.

Bu amaç ile Avrupa Birliği (AB), Avrupa Konseyi, Avrupa Ağ ve Bilgi Güvenliği Ajansı (ENISA),

Birleşmiş Milletler (BM) ve Kuzey Atlantik Antlaşması Örgütü (NATO) ile işbirliği yapılarak,

ulusal siber uzayımızın güvenli hale getirilmesi ve olası siber saldırılara karşı ortak müdahale

yeteneği kazanılması hedeflenmektedir.

Ulusal Siber Olaylara Müdahale Ekibinin (TC-SOME), uluslararası ikili anlaşmalar ile diğer ülke

SOME’ler ile etkin işbirliği yaparak bilgi paylaşması, NATO Siber Savunma Mükemmeliyet

Merkezi’ne ulusal bir gözlemcinin katılımının sağlanması ve AB ve NATO tarafından her yıl

düzenli olarak gerçekleştirilen siber savunma tatbikatlarına etkin olarak katılım

hedeflenmelidir.

Bölgede Türkiye’nin önder ülke olma ufkunu da güçlendirecek olan bölgesel bir siber güvenlik

organizasyonunun kurulmasına öncülük edilmesi önemli olacaktır.

Ayrıca siber güvenlik alanında yapılan uluslararası konferanslara her seviyede etkin katılımın

gerçekleştirilmesi ve teşvik edilmesi ile kamu, özel sektör ve üniversite başta olmak üzere farkı

disiplinler arasında ortak bir farkındalık oluşturulması ve ulusal seviyede yürütülecek Ar-Ge



faaliyetleri ve akademik çalışmalar için yol haritası hazırlanmasına katkı sağlanması

amaçlanmaktadır.

Milli Teknolojilerin Geliştirilmesinin Özendirilmesi

Bilişim Teknolojileri çok hızlı gelişmektedir. Bugün için alınacak siber güvenlik önlemleri,

yarınlarımızın güvenli olacağını garanti altına alamamaktadır. Sürdürülebilir siber güvenlik

ancak yeni nesil teknolojiler ile mümkün olabilmektedir. Yeni nesil ve yenilikçi teknolojilerin

satın alım yolu ile yurtdışından tedarik edilmesi mümkün olsa da; ileri ve tam güvenlik için bu

yaklaşım kabul edilebilir değildir. Ayrıca, yurtdışından tedarik edilecek siber güvenlik

teknolojilerinin arka kapı ve/veya Truva atı gibi kötücül yazılımlar içermediğinin bilinmesi veya

belirlenebilmesi de bazen mümkün olamayacaktır.

Bu neden ile yeni nesil, yenilikçi ve akıllı teknolojilerin yakından takip edilmesi; milli ve özgün

yaklaşımlar, çözümler ve teknolojiler geliştirilmesi önem arz etmektedir. FATİH projesi

kapsamında desteklenmeye başlayan projeler gibi siber güvenlik alanına da destek verebilecek

milli işletim sistemi, milli İnternet tarayıcı ve milli arama motoru gibi önemli ya da yaygın

kullanılan bilişim teknolojileri, yazılım ve donanımların da milli unsurlar tarafından kısa, orta ve

uzun vade önceliklendirmeler göz önüne alınarak geliştirilmesi dışa bağımlılığı önlemesi ve

sürdürülebilir gelişme açısından önemlidir. Siber güvenlik kapsamında kötücül yazılım önleme,

virüs önleme, güvenlik duvarı, saldırı tespit ve önleme sistemleri milli kaynaklarla geliştirilmeli,

özel sektörün milli teknoloji üretmesi teşvik edilmeli ve bu ürünlerin kamu ve özel sektörde

kullanımı özendirilmelidir.

Bilişim teknolojileri ve siber güvenlik kapsamında özellikle ürün güvenliği kapsamında milli test

ve milli belgelendirme merkezlerinin tesis edilmesi ve milli koruma profillerinin oluşturulması

gereklidir.



Kriptografik algoritmalar ve veri toplama ve kontrol birimlerinin (SCADA) güvenliği konusunda

milli kaynaklar kullanılmalıdır.

Ulusal Ar-Ge Stratejisinin Oluşturulması

Devlet, üniversite ve sanayi işbirliği ile milli ve özgün yeni nesil ve akıllı siber güvenlik

teknolojilerin geliştirilmesi desteklenmelidir. Bu kapsamda aşağıda belirtilen düzenlemelerin

yapılması hedeflenmiştir:

� Savunma Sanayii Müsteşarlığı (SSM) bünyesinde oluşturulacak Siber Güvenlik

Mükemmeliyet Ağı (MÜKNET) ile bu alanda faaliyet gösteren sanayi, üniversite ve

araştırma kuruluşları bir araya getirilerek; oluşturulacak görevdeşlik ile kısa, orta ve

uzun vadede oluşturulacak bir yol haritasına uygun olarak Ar-Ge faaliyetlerinin

yürütülmesi ve yeni nesil siber güvenlik ürünlerinin milli olarak geliştirilmesinin

sağlanması,

� Türkiye Bilimsel ve Teknik Araştırma Kurumu (TÜBİTAK) "1511 Öncelikli Alanlar

Araştırma Teknoloji Geliştirme ve Yenilik Projeleri Destekleme Programı" kapsamında

belirlenen öncelikli alanlara “siber güvenliğin” eklenmesi,

� AB Çerçeve Programları kapsamındaki güvenlik teması altında yer alan "İşbirliği" ,

"Kişiyi Destekleme" , "Fikirler" ve "Kapasiteler" özel programlarına sanayi, üniversite ve

araştırma kuruluşlarının siber güvenlik teknolojilerinin geliştirilmesine yönelik olarak

katılımının özendirilmesi ve desteklenmesi,

� Bilim, Teknoloji ve Sanayi Bakanlığı bünyesinde desteklenen Sanayi Tezleri

Programında (SAN-TEZ) siber güvenlik alanlarındaki çalışmaların da özellikle

desteklenmesi,

� Ar-Ge Merkezlerine desteklerin sürmesi için bu merkezlerde siber güvenlik konularında

Ar-Ge çalışması yapılmasının zorunlu hale getirilmesi,



� Ülkemizde bazı teknoparkların Bilgi Güvenliği veya Siber Güvenlik alanında

uzmanlaşmalarına yönelik çalışmalar yapılması,

� Yazılım güvenliği, akıllı telefonlar ve uygulamaları ile bulut bilişim gibi yeni

teknolojilerin güvenliği ile ilgili çalışmalara öncelik verilmesi.

Üniversitelerde Bilimsel Çalışmaların Geliştirilmesi

Siber Güvenliğe yönelik temel araştırmaların yapılabilmesi amacıyla üniversitelerde lisans ve

lisansüstü programların açılmasının teşvik edilmesi gerekmektedir. Bu kapsamda aşağıda

belirtilen düzenlemelerin yapılması hedeflenmektedir:

� Ülkemiz üniversitelerinde siber güvenlik alanında lisans ve lisansüstü eğitim yapan

öğrencilere devlet bursu verilmesinin sağlanması; siber güvenlik ile ilgili enstitülerin

kurulması için gerekli teşvikin devlet tarafından sağlanması,

� Üniversitelerin Bilimsel Araştırma Projeleri birimlerinin bu konularda sunulan projeleri

özellikle desteklemesi,

� Ülkemizde bu konuya meraklı olan ve siber güvenlik korunmasızlık ve tehditleri

konusunda kendisini geliştiren gençlerin üniversiteler ile bağlarının geliştirilmesi,

kuramsal ve uygulamaları kazanımlardan faydalanılması,

� Bu konularda uzmanlaşmış olan yurtdışı üniversitelere devlet bursu ile öğrenci

gönderilmesi.

İnsan Kaynakları ile Yetenekleri Geliştirilmesi

Bilişim teknolojilerinin ekonomik ve toplumsal hayatın her alanında artan kullanımı, bu

teknolojilerin güvenli olarak kurulup, etkin ve güvenilir bir şekilde işletilmesini sağlayacak

nitelikli insan kaynağına olan ihtiyacı artırmıştır.



Kamu ve özel sektörde öncelikli olarak siber güvenlik ile ilgili kendi bölüm ya da birimlerinin

ihtiyaca göre tesis edilmesi gereklidir. Her kurumda Siber Güvenlik ya da Bilgi Güvenliği

Yöneticilerinin atanması ve bu bölüm ve birimlere gerekli önem ve desteğin sağlanması şarttır.

Bilgi güvenliği uzmanlık alanında çalışanların eğitim aldıkları okullardan mezun olduktan veya

iş hayatına girdikten sonra da niteliklerini, gelişen siber güvenlik teknolojilerine uygun olarak

geliştirmelerine olanak sağlayacak, meslek içi uygulamalı eğitimler ve belgelendirme

programları açılmalı; bu programların düzenli olarak sürdürülebilmesi ve kurum ve kuruluşlar

tarafından bu hizmetlerin verilmesini teşvik amacıyla gerekli her yıl belirli sayıda doktora

öğrencisi, yüksek lisans öğrencisi ve kamu görevlisine uygulamalı eğitim ve belgelendirme

programlarına katılım için gerekli desteğin karşılıksız olarak devlet tarafından sağlanması. Bu

desteği alan kişilerin mecburi hizmet zorlaması olmadan ülkemizde bir kamu veya özel

sektörde sadece çalışması beklenmektedir. Özellikle kamuda görevlendirilen siber güvenlik

alanında çalışanların teşvik edilmesi ve sürekli eğitimlerin sağlanması ve yeteneklerinin

geliştirilmesi gerekmektedir.

Yasal Mevzuatın Düzenlenmesi

İnternet ve bilgisayar ve iletişim ağları ortamında işlenen suçlarla (siber suç) ilgili yasal

düzenlemelerin yapılması çok önemlidir. Siber suçlar ile ilgili yasal düzenlemeler; caydırıcı,

uygulanabilir ve uluslararası normlara uygun olmalıdır. Siber suçların küresel kapsamda ve çok

değişken tarzlarda gerçekleşmesi nedeniyle siber suçlar ile mücadelede uluslararası işbirliği

önem arz etmektedir. Yasal düzenlemelerin siber güvenlik kültürüne uygun bir şekilde tüm

paydaşların katılımı sağlanarak oluşturulması esastır.

Bu kapsamda aşağıda belirtilen faaliyetlerin/düzenlemelerin yapılması hedeflenmektedir:

� Avrupa Konseyi Siber Suçlar Sözleşmesine uygun olarak yasal düzenlemelerin

gerçekleştirilmesi,



� Kolluk kuvvetlerinin bu alandaki yeteneklerini arttırılması,

� Kamu kurum ve kuruluşları ile özel sektörün siber casusluk (sanayi casusluğu) ve

sabotajlara karşı güvenlik ve tepki yeteneklerinin güçlendirilmesi,

� Siber suçlar ile küresel olarak mücadele edebilmek amacıyla başta AB ve NATO üyesi

ülkeler olmak üzere diğer ülkeler ile ikili ya da toplu işbirliği anlaşmalarının yapılması,

� Bu alanda bilgi birikiminin paylaşımı için sanayi ve yetkili kolluk kuvvetlerinin

danışmanlık seviyesinde katılımı ile ortak bilgi ve tecrübe paylaşım zeminlerinin

oluşturulması.

Ayrıca, bu alanda BM seviyesinde ek anlaşmaların gerekli olup olmadığı incelenmelidir.

Ülkelerin yasal mevzuatları incelendiğinde Ulusal Siber Güvenlik Yasa Tasarılarının bulunduğu

görülmektedir. Ülkemizde de bu konuda yasa tasarısının öncelikle gündeme alınması ve

yasalaştırılması gereklidir.

Sonuç ve Değerlendirmeler Türkiye, çağdaş seviyede bilim ve teknolojinin zamanın ötesinde gerektirdiği seviyesine

ulaşabilmek için çok önemli adımlar atmaktadır. Birey olarak vatandaşlar ve toplum, kurum,

kuruluş, iş ve ticaret dünyası ve devletin bizzat kendisi, artık fiziki sınır ve kuralların ötesinde

Siber Uzay denilen yepyeni bir alanda tümüyle bilişim teknolojilerine bağlıdır. Bu bağımlılık

Türkiye’nin politik, ekonomik ve sosyolojik olarak gelişmesi ve ilerlemesi için önemli fırsatlar

sunmaktadır. Siber uzay aynı zamanda bu yönelimi ciddi ölçüde sekteye uğratacak ya da yok

edecek risklere sahiptir. Günümüzde siber dünyayı tehdit eden siber saldırılar ile baş etmenin

en önemli adımı, bu kapsamda yapılması gerekenleri belirli bir strateji çerçevesinde ilkelerle

beraber ortaya koymak ve bunları belli önceliklerle adım adım uygulamaktan geçmektedir.

Bunun başarılabilmesi için uç kullanıcıdan en üst düzeydeki yöneticiye kadar herkesin uymak

veya yapmak zorunda olduğu pek çok husus vardır.



Ulusal siber güvenliğin sağlanması noktasında; hukuki düzenlemelerin hazırlanması, siber

güvenliği kapsamında ülke kapasite ve yeteneklerinin arttırılmasına yönelik çalışmalar

yapılması, politika, düzenleme ve denetleme işlerini yerine getirecek kurumsal yapıların

belirlenmesi, her seviyede bilgilendirme ve bilinçlendirme çalışmalarının gerçekleştirilmesi,

kritik altyapıların tanımlanması, bu altyapıların güvenliğinin risk tabanlı bir yaklaşımla

sağlanması, gerek ulusal gerekse uluslararası boyutta işbirliği ve eşgüdümün sağlanması

gerekmektedir.

Ulusal Siber Güvenlik Stratejisinin bu açıdan tüm bireyler ve ilgili ve sorumlu tüm yapılar

tarafından benimsenip ulusal öncelikli bir mesele olarak ele alınması ve bu bakış açısıyla

gözden geçirilip gelişen teknolojiler ve durumlar gözetilerek iyileştirilmesi şarttır.



EK - Ulusal Siber Güvenlik Strateji Çalıştayı Sonuç Değerlendirme Raporu Bilgi Güvenliği Derneği tarafından hazırlanan taslak Siber Güvenlik Stratejisi Belgesinin ilgili

kuruluşların temsilcileri tarafından ele alınıp incelendiği Siber Güvenlik Stratejisi Çalıştayı 19

Haziran 2012 tarihinde Ankara'da geniş katılımla gerçekleşmiştir.

Bu kısımda, yapılan çalıştayın sonuçları ortaya konulmaktadır. Ulusal Siber Güvenlik Strateji

Çalıştayına aşağıda dökümü sunulan kurum ve kuruluşlardan 137 temsilci iştirak etmiştir.

Çizelge 1 Çalıştaya katılan kurum/Kuruluş dağılımı

Kurum Kuruluş Türü Sayısı

Özel Sektör 19

Kamu 12

Bakanlık 7

Dernekler ve Odalar 7

Enstitü 5

Emniyet 3

Basın Yayın 2

Hizmet Sağlayıcı 2

Müstejarlık 2

Türk Silahlı Kuvvetleri 2

Savunma Sanayii Şirketleri 2

Geniş bir yelpazeden katılımın gerçekleştiği çalıştayda, Taslak Siber Güvenlik Stratejisi iki

oturum halinde gözden geçirilmiştir. Gözden geçirmenin yapıldığı çalıştayın bu kısmında

yukarıda listelenen kuruluşlardan 81 kişi katılmıştır. Katılımcılar Bilgi Güvenliği Derneği

yetkililerinin başkanlığını yaptığı dokuz (9) çalışma grubunda toplanmışlardır.



Bu kısımda katılımcılara sunulan Değerlendirme ve Öneri Formlarına 35 temsilci, Siber

Güvenlik Strajesi ile ilgili 171 adet görüş sunmuştur.

Çalıştay sonrası bu görüşlerin yönelimi ve tasnifi Bilgi Güvenliği Derneği görevlileri tarafından

incelenilerek ortaya çıkartılmıştır. Görüşlerin dağılımı ve hangi alanlara odaklandığını

aşağıdaki çizelgede görebilirsiniz.

Çizelge 2 Siber Güvenlik Strateji Belgesi Yazılı Görüş Tasnifi

Görüş Türü Sayısı

Milli Teknolojilerin Geliştirilmesi/Sürdürülmesi 16

Uzman Yetiştirme ve İstihdam 12

Ulusal Siber Güvenlik Teşkilatı Görev ve Sorumlulukları 10

Ulusal Siber Güvenlik İzleme, Kayıt, Bilgilendirme ve Tepki Teşkilatı 8

Okul ve Üniversite Öncesi Siber Güvenlik Bilinçlendirmesi 7

Siber Güvenlik Farkındalığı Eğitimi 7

Siber Saldırı Eşgüdümü 7

Siber Güvenlik Farkındalığı Eğitimi (Yönetici) 5

Hukuki Düzenleme Gereği 4

Kamu Siber Güvenlik Uzmanlığının Özendirilmesi 4

Kritik Altyapı Güvenliği 4

SCADA ve Gelişen Teknolojilerin Güvenliği 4

Siber Güvenlik Denetleme 4

Siber Güvenlik Standartları Geliştirme/Kullanım 4

SOME Yapılanması ve İletişimi 4

Ulusal Siber Tehdit İnceleme Laboratuvarı 4

Kurumlarda Bilgi Güvenliği Teşkilatının Oluşturulması 3

Milli Güvenlik Teknolojilerinde Özel Sektöre Teşvik 3

Milli Test ve Milli Belgelendirme Merkezleri 3

Siber Saldırı (Önleyici) 3

Kişisel/Kurumsal Veri Güvenliği 2

Kripto Algoritmaları 2

Kurumsal Bilgi Güvenliği Belgelendirmeye Destek 2

Kurumsal ve Toplumsal Paydaşlar Arasında İşbirliği 2

Siber Güvenliğin Akademik Yönden Güçlendirilmesi 2

Siber Güvenlik Kültürü 2

Siber Güvenlik Tatbikatı 2

Siber Suçlar Sözleşmesi Olumsuzlukları 2

Stratejinin Dönemsel Güncellenmesi 2

Ulusal Koruma Profili 2



KATKI SAĞLAYANLAR ve KURUMLARI:

Hakan YILDIRIM TBMM Murat GÜNDÜZ TRCOM Serhat KOÇ TBV Taner UĞURLU DHMİ Osman DOĞAN TTNET Ali Yılmaz KUMCU DELOİTTE Burak ÖZÇAKMAK GAZİ ÜNİVERSİTESİ Gökhan ÇİFTÇİ TCDD Celil ÇIRAK TCDD Cem Cihangir ÜSTÜN KALKINMA BANKASI Zuhuri YAMAN TTNET M. Hasan TUNCER BTK Serkan CECELİOĞLU BAŞBAKANLIK S. Bahri CEBECİOĞLU BAŞBAKANLIK Fatih TURGUT DHMİ Metin TAŞKIN DHMİ Sevgi KÖYLÜ HALİLOĞLU DHMİ Yılmaz KARACA TOBB Fatih Ayhan HAKTANIR ORATECH Oğuz BOZOKLU GENELKURMAY BAŞKANLIĞI Volkan ERTÜRK BARİKAT Özge TULİS MEB Yunus BALİ EGM Evren BİLGİÇ SYMTURK Okan YÜCEL BARİKAT Bilal ÇATAKOĞLU HUAWEİ Merve CİHANGİROĞLU İNFONET Türksel KAYA BENGSHİR TODAİE Orhan TURAN TÜRKİYE NOTERLER BİRLİĞİ Hasan Hüsnü BİLGİN ADALET BAKANLIĞI Razmazan AKDUMAN NETAŞ Ali Osman HARMANKAYA KAMU DÜZENİ VE GÜVENLİĞİ MÜSTEŞARLIĞI Cenk TAŞTAN TURKCELL Çiğdem AY TODAİE Özkan ÇELİK EGM Atfi İNAL EGM Nazife BAYKAL ODTÜ Hakan AKKURT T.C. ÇSGB Kemal ÖZAT T.C. ÇSGB Eren SAVAŞ T.C. ÇSGB Hakan ŞENTÜRK KHO Hakan TEKEDERE GAZİ ÜNİVERSİTESİ Mesut EKİNCİ TSE Okan YILDIRIM VİGASİS Fikret OTTEKİN TÜBİTAK BİLGEM Sedat AKLEYLEK ODTÜ Volkan KONUK DHMİ



M.Özgür ATALAY HAZİNE MÜSTEŞARLIĞI Ali IŞIKLI ASELSAN Uğur KAYA ASO S.Barış DİNLER VİGASİS Kadir Murat BİÇER GENEL KURMAY BAŞKANLIĞI Umay AKKAYA TSE Ayşenur KAÇTIOĞLU MEB Y.Şahin ARSEL TC.İÇİŞLERİ BAKANLIĞI Volkan KAPLAN T.C. GÜMRÜK VE TİCARET BAKANLIĞI Bülent GÜNEŞ T.C. ORMAN GENEL MÜDÜRLÜĞÜ Osman GÜYÜM TURKSAT Dr. Cemal GEMİCİ CYMSOFT Burak ÖZÇAKMAKÇI GAZİ ÜNİVERSİTESİ Kadriye Yıldız BARLAS BİLGİ GÜVENLİĞİ DERNEĞİ Ümit Rıfat ERDEM GENELKURMAY BAŞKANLIĞI A.Akın ŞAHİN HAZİNE MÜSTEŞARLIĞI Uğur ÖZTÜRK T.C. İÇİŞLERİ BAKANLIĞI Mehmet Serkan KILIÇ EGM Namık ERYÜREKLİ BAŞBAKANLIK Ayhan YILDIRIM VİGASİS Murat LOSTAR LOSTAR Serkan ADIGÜZEL TUTED Hakan BAKIR HUAWEİ Fatih ÇAKMAKÇI HAZİNE MÜSTEŞARLIĞI Akif Mücahit UZUN TSE Osman GÜYÜM TURKSAT Bünyamin KARADENİZ HAVELSAN Ümit ÖZDEMİR BİLİM,SANAYİ VE TEKNOLOJİ BAKANLIĞI Muhammet Ali EREN T.C. İÇİŞLERİ BAKANLIĞI Engin Volkan ÇOLPAN T.C. İÇİŞLERİ BAKANLIĞI Fatih TALAS TÜRKİYE TAŞKÖMÜRÜ KURUMU Emrah BALCILAR TURKSAT Uraz YAVANOĞLU BİLGİ GÜVENLİĞİ DERNEĞİ Ersen ELMAOĞULLARI BİLGİ GÜVENLİĞİ DERNEĞİ Volkan ÖZTÜRK BİLGİ GÜVENLİĞİ DERNEĞİ Mustafa MACAR BİLGİ GÜVENLİĞİ DERNEĞİ

Documents

Ulusal Siber Guvenlik Stratejisi · Kritik altyapıların güvenlik risklerinin tanımlanması, işlenmesi ve çabuk iyileşebilirliliğin sağlanması gerekmektedir. uygulanması