Tüzük İdari Yapı Bildirimler
Üyelik İşlemleri Belgeler İrtibat
 
21. Madde’de Bilgi ve İletişim Güvenliği Tedbirleri Değerlendirmesi
Ana Sayfa
Tüzük
Mevzuat
İdari Yapı
Faaliyetler
Bildirimler
Basın
Üyelik İşlemleri
İrtibat

Belgeler
@bg.org.tr E-Posta Girisi

 
Sertifika Dogrulama


 
 
  ANA SAYFA > Haberler

21. Madde’de Bilgi ve İletişim Güvenliği Tedbirleri Değerlendirmesi

1 - Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurt içinde güvenli bir şekilde depolanacaktır.

1.1– Bu madde bana daha önce yaşanan nufüs bilgilerinin içeriden belirli terörist hacker gruplarına sızdırılması vakasını akıllara getiriyor. Nitekim bu tür vakalar genellikle kurum içine public edilmiş fakat korumalı bir ağ üzerinden depolanan verilerin; belirli kişilerce sızdırılması ile gerçekleşen vaka türlerindendi. Bu maddenin ise tamamen verilerin dışarıdan gelecek saldırılara karşı güvenliğini hedefliyor. Yurt içi sunucuların bu madde de rolü büyük olacak. Kritik bilgilere erişimin yetkilendirilmesinden ise bir sonraki maddelerde bahsedilmiş.

2 – Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları değiştirilmeye karşı önlem alarak saklanacaktır.2.1 – Internete kapalı ortam üzerinden denmesi ve güvenli bir ağdan bahsedilmesi Intranet’i akıllara getiriyor. Cihazlara erişimin belirli kontroller ile olması/log kontrolünün olması ve bu sistemin sağlıklı bir biçimde yürümesi çok güzel bir avantaj olacaktır.

3 – Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolünde ki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.

3.1 – Google , Microsoft , Amazon v.b gibi servislerin sunduğu bulut depolama hizmetlerinde verilerin saklanmayacağı kesin olarak belirtilmiş. Özellikle kamu kurum ve kuruluşlarında bir bilgisayardan diğer bilgisayara aktarma yaparken pratik olsun diye bu servislerin kullanıldığı sıklıkla görülüyordu. Kurum içi verilerin Bulut’a bir defaya mahsus olmak şartıyla aktarılmamasının da altını çizmekte fayda var.

4 – Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.

4.1 - En dikkat çekici maddelerden biri. Bir çok kamu kuruluşunda Whatsapp/Telegram gruplarında mevcut, genel iş akışı ve gündelik işlere yönelik mevzular bu gruplardan konuşuluyor. Bu maddenin önemli noktası ise “gizlilik dereceli veri paylaşımı ve haberleşmenin” yapılmayacağı yönünde. Kurum içi veriler ve kişisel verilerin sıklıkla Whatsapp üzerinden gönderildiğini ele alırsak “gizlilik dereceli” ibaresinin kaldırılması genel kapsamda ‘resmi daire’ ele alınması daha uygun bir güvenli iletişim şeklini oluşturabilir. Yine de bu haliyle tedbirlerin alınması ve hatırlatılması güzel bir başlangıç olmuş.

5 – Sosyal Medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.

5.1 – Sosyal mecrada bu konunun önüne geçmek zor olsa da kurum içerisinde resmi makamlardan gelen bir uyarının olması güzel. Bir çok fake hesap veya anonim hesaplar ile veri paylaşımı yapılabiliyor. Aynı şekilde belirli algılar oluşturularak belli bir kitle üzerinde hakimiyet sağlanabiliyor. Bu tür olasılıkların önüne geçmek için bu maddenin yanında kurum içi takibin sıklıkla yapılması ve gerekli kişilerce denetimin sağlanması çok büyük önem arz ediyor.

6 – Sosyal Medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir.

6.1- Bu konuda yerli sosyal medya servisimizin olmaması büyük dezavantaj. Kurum içi kullanımı arka plana alırsak genel kullanım için bir sosyal medya aracımız yok. Dolayısıyla popüler uygulamalar yanında şuan bir sosyal medya servisi geliştirilmesi ve tanıtımının yapılması, yapılacak tanıtımlar sonucu servisin sürekli takip edilmesi ve kullandırılmaya teşvik edilmesi haliyle zor olacaktır.  Haberleşme uygulamalarından Turkcell’in servisi tercih edilebilir.

7 – Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlede yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.

7.1 – TEMPEST tanımı : gizlilik dereceli bilgi işleyen elektriksel ve elektronik teçhizattan kaynaklanan istenmeyen elektromanyetik enerji emisyonlarını ve bu emisyonların araştırılması, incelenmesi ve kontrol altına alınması konularında test ve değerlendirmeler yapmak. Bu kapsamda alınacak güvenlik tedbirlerinin sağlanması gerekli teknolojik imkanların ve iş gücüne hakim bireylerin olmasına tamamen doğru orantılı. Dolayısıyla yapılacak yetkilendirmeler ve teknik konuda hakim personellerin seçilmesinin yanı sıra bu seçilen personellerin ve kullanılacak cihazların yayma güvenliğinde profesyonel olmasının büyük rolü olacak.

8 – Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır.

8.1 – Bu kural üst düzeyler için de geçerli olacaksa gizli ses kaydı, hayalet dinleme, dosya aktarma gibi olasılıkların önüne geçecektir.

9 - Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır.

9.1 – Verinin saklanması ilkelerinden biri de; veri dijital ortamda azami düzeyde bulunmalı. Bu kapsam da dijital ortamda saklanan veriler de kişiselleştirilmiş bilgisayarlarda kesinlikle tutulmamalı. Bunun olumsuz sonuçları kurumsal ortamdan kişisel ortama veri akışı sağlanırken kişisel bilgisayar veya korunmasız bilgisayar üzerinden veriye erişimin çeşitli yollarla gerçekleşmesidir. Kurumsal olarak yetkilendirilmiş bilgisayar olsa dahi; kullanılan işletim sistemi, güncelleme logları, kullanılan programlar, fiziksel erişim gibi koşullar bu madde için büyük önem sarf etmektedir.

10 - Kişisel olarak kullanılanlar da dâhil olmak üzere kaynağından emin olunmayan taşınabilir cihazlar (dizüstü bilgisayar, mobil cihazlar, harici bellek/disk, CD/DVD vb.) kurum sistemlerine bağlanmayacaktır. Gizlilik dereceli verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanımsal ve/veya yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek; bu amaçla kullanılan cihazlar kayıt altına alınacaktır.

10.1 – 9. Maddeye benzer olan bu madde de kurum içine dışarıdan müdahalenin azami düzeye düşürülmesi için çeşitli donanım ve yazılımların kurum içine minumum seviyede bağlanması hedeflenmiş. Dikkat çekici nokta ise kurum içinden çıkarılacak verinin mutlaka kriptolanmış olması şartı. Kritolanma sürecinde hangi şifreleme türlerinin kullanılacağı ve güncel teknolojik yöntemler ile ele geçirilip geçirilmeyeceğinin muhasebesi iyi yapılmalıdır.

11 - Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır.

11.1 – Kriptolama türlerinin öneminden bahsetmiştik. Yerli ve milli kripto sistemleri TUBITAK aracılığıyla ön plana çıkarılabileceği gibi yine sektörün değerli isimlerinden tavsiyeler alınarak çalışmalar ileriye taşınmalıdır. Kamu/Özel siber güvenlik kümelenmesinin aktifliği daha da artırılılarak nokta atışı çalışmalara ağırlık verilmelidir.

12 - Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır.

12.1 – Bunun önüne geçilmesi kesinlikle o kadar kolay bir şey değildir. Verilen taahhütname hukuksal açıdan önlem olarak değerlendirilse de arka kapının her hangi bir sistemde bulunması ve tespit edilememesi yıkıcı sonuçlar doğurur. Yine belirli bir süre sonra tespit edilip açıklığın kapatılması, tespit edilemeyen süre içerisinde hangi verilere erişildiğini/takibinin yapıldığını ve bunun sonuçlarını ortaya çıkaracaktır. İmkanlar ölçüsünde alınacak taahhütnamenin hukuksal boyutu bir yana teknik açıdan değerlendirilerek tam kapsamlı pentest işlemleri yapılmalı, zafiyet ve fix kavramları üzerinde kamu kurumları kendi ekibini oluşturmalıdır.

13 - Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacaktır. Temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacaktır.

13.1 – 12. Maddede bahsedilen taahhütnamenin teknik kısmı, açıklamasını yaptığım pentest/zafiyet/fix kavramları da yeni madde olarak belirlenmiş. Bu noktada yine tecrübeli ve güvenilir personel (siber güvenlik uzmanları) önemli düzeyde aktif rol alacaktır.

14 - Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacaktır.

14.1 – Her kurumun SOME birimi ve sektörel çalışmaların gerçekleştirilmesi önemli etkenlerden biridir. Her sektöre ayrı bir siber tehdit olasılığı gerçekleşebileceği gibi bu olasılıkların araştırılarak en azami düzeye indirilmesi yine SOME’ler aracılığıyla kurumsal olarak değerlendirilmelidir. Ayrıca her kurumun veri paylaşımı içermeyen sistemlerinde Bounty tarzı yapılar oluşturması ve beyaz şapkalı hackerlar üzerinden kritik zafiyetleri değerlendirmesi/fixlemesi ve bunun sonucunda sağlam bir Bounty/Acknowledgements sistemi kurması dışarıdan gelebilecek siber tehditlerin savuşturulmasında çok faydalı olacaktır.

15 - Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak yapılması sağlanacaktır.

15.1 – Yani üst düzey yönetici olsanda sistemi amacı dışında kullanamayacaksın diyor. Güzel ve caydırıcı bir etken.

16 - Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise gerekli güvenlik önlemleri (güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb.) alınacaktır.

16.1 – 2. Maddeye ek olarak endüstriyel kontrol sistemleri de eklenmiş.

17 - Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması veya arşiv araştırması yaptırılacaktır.

17.1 – Güvenlik soruşturması yıllardır yapılan bir şey. Siber güvenlik kapsamında değerlendirilmesi de nokta atışı olmuş.

18 - Kamu e-posta sistemlerinin ayarları güvenli olacak biçimde yapılandırılacak, e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.

18.1 – Kamuda Gmail kullanılması yaygın. Fakat bunu ilgili kamu kurumunun önem derecesine göre yayacak olursak, madde de bahsedilen ilk öncelikli kamu kurumlarıdır. E-posta sunucularının Türkiye üzerinde olması aynı zamanda ilgili kurumun kontrolünde bulundurulması ve sunucular arası iletişimin kriptolanmış olması sağlam bir alt yapı gerektirmektedir. Bu alt yapının ilgili kurumlarca geliştirilerek ciddi yatırımlar yapılması ve sürekliliğin sağlanması önemlidir.

19 - Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacaktır.

19.1 – Kişisel mail adresinden kurumsal mail adresine veya kurumsal mail adresinden kişisel mail adresine her hangi bir verinin gönderilmesi kesin olarak yasaklanmış. Fakat bunun tüm kamu kurumlarında yaygınlaştırılması oldukça zor. Zira kontrolün tam olarak sağlanmadığı mail servisleri kamu kurumlarında halen kullanılıyor ve takibinin yapılması da kolay bir yöntem değil.

20 - Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de internet değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.

20.1 – IDN’lerin kurulması yerli ve güvenilir bir firmanın olacağına işaret ediyor. Yapılacak işlemlerin devlet kontrolünde olması ve firmanın aracı olarak hizmet sağlaması beraberinde çeşitli anlaşmazlıklar getirebilir. Fakat bu sorunun önüne geçildiği takdirde kamu hizmetlerinde en önemli etken olan kurumsal iletişimin tam yetki ile kontrol edilmesi sağlanabilir.

21 - İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacaktır. Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır.

21.1 – Radyolink yöntemiyle gerçekleştirilecek iletişim her ne kadar daha kolay olsa da bu iletişimin güvenlik açısından (frekans, baz istasyonunun yeri olmaması, santraller, kriptolanması) sıkıntılı sonuçlar doğurabilir. Dolayısıyla bu madde; ‘fiber optik kablolar ile verilerin taşınması’ veri güvenliğinin bütünlüğünü sağlayacak sonuçlar için ‘radyolink haberleşmesinin kullanılmaması’ ise iletişimin bütünlüğü için amaçlanmış.

 

Bilişim Güvenliği ve Bilişim Suçlarına Karşı Mücadele Derneği – Bahtiyar PALTACI bg.org.tr • [email protected]