KRİTİK ALTYAPILARIN KORUNMASI

Transkript

1 KRİTİK ALTYAPILARIN KORUNMASI Hazırlayanlar Mustafa ÜNVER Cafer CANBAY Hüseyin Burhan ÖZKAN Daire Başkanı Bilişim Uzmanı Bilişim Uzman Yardımcısı Bilgi Teknolojileri ve Koordinasyon Dairesi Başkanlığı Mayıs 2010

2 İÇİNDEKİLER 1 Giriş Kritik Altyapılar Kritik Altyapı Tanımı Kritik Altyapı Kapsamı Kritik Altyapıların Korunması Hususunda Düzenleyici Çerçeve ABD Tarihli Yurt Güvenliği Yasası (Patriot Act) Tarihli Kritik Altyapı Bilgi Yasası (CIIA) Tarihli Federal Bilgi Güvenliği Yönetim Yasası (FISMA) Tarihli Başkanlık Direktifi 7 (HSPD 7) AB /114/EC Sayılı Direktif COM (2004) / 702 sayılı Avrupa Komisyonu Tebliği COM (2005) / 576 sayılı Avrupa Komisyonu Tebliği COM (2006) / 786 sayılı Avrupa Komisyonu Tebliği COM (2006) / 787 sayılı Avrupa Komisyonu Direktif Önerisi COM (2008) / 676 sayılı Avrupa Komisyonu Karar Önerisi Japonya Gelişmiş Bir Bilgi ve İletişim Toplumu Kurulması için Temel Kanun (2000) Kritik Altyapılara Karşı Siber Tehditler Üzerine Özel Eylem Planı (2000) Bilgi Güvenliği Üzerine Kapsamlı Strateji(2003) Kritik Altyapılar için Bilgi Güvenliği Önlemleri Üzerine Birinci ve İkinci Eylem Planları (2005 & 2009) Kritik Altyapıların Korunması Hususunda Yapılan Çalışmalar ABD AB EPCIP JAPONYA TÜRKİYE Sonuç Sf. ii

3 Bu çalışma Bilgi Teknolojileri ve İletişim Kurumunun görüşlerini yansıtmaz. Sorumluluğu yazarlarına aittir. Yayın ve referans olarak kullanılması Bilgi Teknolojileri ve İletişim Kurumunun iznini gerektirmez. iii

4 1 Giriş Bilgi ve iletişim teknolojileri (BİT), özellikle de internet, son on yıllarda baş döndürücü bir hızla gelişmekte ve tüm dünya çapında yayılmaktadır. Bu hızlı gelişim ve yayılım ile birlikte klasik çalışma, düşünme, eğlenme yöntemleri değişmeye ve yaşam yeni şekilleriyle elektronik ortama taşınmaya başlamıştır. Yazılı bilgilerin yerini elektronik ortamdaki bilgiler almaya başlamış, işler ve işlemler elektronik ortamda yapılır hale gelmiş ve bilginin üretilmesi, işlenmesi, depolanması, kullanılması ve dağıtılmasında yeni imkânlar ortaya çıkmıştır. Bu gelişmeler, emek, kaynak ve zaman tasarrufu ile mekâna bağlılıktan kurtulma başta olmak üzere pek çok faydalar sağlamaktadır. Bununla birlikte, BİT lerin sunduğu imkânlar kötü niyetli kişilere; virüs, solucan (worm), truva atı (trojans), istekdışı (spam) e posta, dağıtık hizmet dışı bırakma saldırıları (DDoS), köle bilgisayarlar (KB zombi) ve köle bilgisayar ağları (KBA botnet) gibi araçlar kullanılarak, bilişim sistemlerine yetkisiz olarak erişilebilme, sistemlere zarar verilebilme, sistemde bulunan bilgilere erişebilme, bu bilgileri çalabilme, değiştirebilme ve silebilme gibi fırsatlar da sunmaktadır. Teknolojik gelişmelere paralel olarak kötü niyetli kişilerin sahip olduğu fırsatlar, ellerindeki araçların sayısı ve niteliği ile bu kişilerin yol açtığı zararlar katlanarak artmakta ve bu durum siber güvenlik sorununu uluslar arası toplumun önemli gündem maddelerinden biri haline getirmektedir. Siber güvenlik, üzerinde çokça tartışılan bir kavram olmakla birlikte Uluslar arası Telekomünikasyon Birliği (ITU) tarafından yapılan Siber güvenlik, siber ortamda kurum, kuruluş ve kullanıcıların varlıklarını korumak amacıyla kullanılan araçlar, politikalar, güvenlik kavramları, güvenlik teminatları, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulamalar ve teknolojiler bütünüdür. Kurum, kuruluş ve kullanıcıların varlıkları, bilgi işlem donanımlarını, personeli, altyapıları, uygulamaları, hizmetleri, telekomünikasyon sistemlerini ve siber ortamda iletilen ve/veya saklanan bilgilerin tümünü kapsamaktadır. Siber güvenlik, kurum, kuruluş ve kullanıcıların varlıklarına ait güvenlik özelliklerinin siber ortamda bulunan güvenlik risklerine karşı koyabilecek şekilde oluşturulmasını ve idame edilmesini 1

5 sağlamayı amaçlamaktadır. Siber güvenliğin temel hedefleri erişilebilirlik, bütünlük (aslına uygunluk ve inkâr edilemezliği de kapsar) ve gizliliktir. şeklindeki tanım tüm dünya çapında genel kabul görmüştür 1. Tanımdan da anlaşılabileceği üzere siber güvenlik, sadece bilginin değil bilgiyle beraber yazılım, donanım, ağ, altyapı ve personel güvenliği hususlarını da içermektedir. Yakın geçmişe kadar siber ortamdaki tehditler virüs, solucan gibi daha basit araçlar kullanan, kişisel tatmin ve kişisel maddi kazanç güdüsüyle hareket eden amatörlerden kaynaklanırken; son yıllarda İnternetin hayatın vazgeçilmez bir parçası haline gelmesi ve yaşamın her alanına nüfuz etmesiyle birlikte profesyonel kişilerin DDoS ve KBA gibi araçları kullanarak, enerji, ulaşım, BİT, sağlık, savunma gibi kritik altyapıları hedefleyen Bilinçli Organize Saldırıları (BOS) artmaya ve ağırlık kazanmaya başlamıştır. BOS daki bu artış, siber güvenlik konusunu, kişisel ve kurumsal düzeyde ele alınıp çözülecek bir husus olmaktan çıkarmış ve konunun ulusal ve uluslar arası düzeyde bütüncül bir yaklaşımla ele alınmasını zorunlu kılmıştır. Bu çerçevede, bu rapor, siber ortamdaki tehditlerin en önemli hedefi haline gelmekte olan kritik altyapılar konusuna dikkat çekmek amacıyla hazırlanmıştır. Raporda öncelikle kritik altyapıların tanımına ve kapsamına yer verilmiştir. Müteakiben, Amerika Birleşik Devletleri (ABD), Avrupa Birliği (AB) ve Japonya da kritik altyapılar ile ilgili düzenleyici çerçeveye ve yapılan çalışmalara değinilmiştir. Son olarak da Ülkemizdeki mevcut durumdan bahsedilmiş ve Ülkemize ilişkin önerilerde bulunulmuştur. 2 Kritik Altyapılar Son yıllarda meydana gelen saldırı ve olaylar ile yaşanan doğal afetler birçok ülke ile birlikte küresel ve bölgesel kuruluşu güvenlik kavramını tekrar gözden geçirmeye zorlamıştır. ABD de yaşanan 11 Eylül saldırıları ve Katrina Kasırgası, 2004 yılında İspanya da ve 2006 yılında İngiltere de yaşanan terör saldırıları, 2007 yılında Estonya da ve 2008 yılında Gürcistan da yaşanan siber savaşlar bu durum için öne çıkan örneklerdir. Yaşanan her saldırı, olay ve doğal 1 ITU, ITU_T X.1205 sayılı Tavsiye Kararı, Siber Güvenliğe Genel Bakış,

6 afet ülkelerin güvenliği ve vatandaşların refahı açısından önemli altyapıların belirlenmesi ve korunmasının gerekliliği konusunda ciddi bir görüş birliğinin oluşmasına yol açmıştır. 2.1 Kritik Altyapı Tanımı Kritik Altyapı kavramı son yıllarda dünyanın hemen her yerinde tartışılmakta olan kavramlardan biridir. Üzerinde yoğun tartışmalar yaşanmakla birlikte bu kavramın ortak bir tanımına henüz ulaşılamamıştır. AB Komisyonunun hazırlamış olduğu 2004 tarihli, 702 sayılı ve Terörizmle Mücadele Kapsamında Kritik Altyapıların Korunması başlıklı tebliğde Kritik altyapı insanların hayati sosyal fonksiyonlarının, sağlıklarının, emniyetlerinin, güvenliklerinin, ekonomik ve toplumsal refahlarının devamı için gerekli olan ve aksama veya yok edilmesi bu fonksiyonları sürdürmede yetersiz kalma sonucunda bir üye ülkede belirgin etki gösterecek varlık, sistem veya ilgili parçaları şeklinde tanımlanmıştır 2. Japonya da ise kritik altyapılar; Kritik altyapılar yeri doldurulamaz servisler sağlayan iş birimlerinden oluşur ve insanların sosyal hayatları ve ekonomik aktiviteler için vazgeçilmezdir. Eğer bir altyapının fonksiyonu durdurulur, azaltılır veya erişilmez hale gelirse insanların sosyal hayatları ve ekonomik aktiviteleri alt üst olur. olarak tanımlanmıştır 3. AB ve Japonya tarafından yapılan tanımlarda dikkat çeken husus kritik altyapıların tamamen İnsan unsuru eksen alınarak tanımlanmasıdır. ABD mevzuatında kritik altyapı tanımı; 2 Avrupa Komisyonu, Terörizmle Mücadele Kapsamında Kritik Altyapıların Korunması, Tebliğ, s. 3, 3 Bilgi Güvenliği Politika Konseyi, "Kritik Altyapılar için Bilgi Güvenliği Önlemleri Üzerine Eylem Planı, Karar", s.2, 3

7 ABD için hayati fiziksel veya sanal sistemler ve varlıklar öyle ki böyle sistemlerin ve varlıkların kapasitesiz bırakılması veya yok edilmesi güvenlik, ulusal ekonomik güvenlik, ulusal kamu sağlığı veya emniyeti veya bütün bu sayılanların bir birleşimi üzerinde zayıflatıcı etkiye sahip olacaktır. şeklindedir. Avustralya nın; Yok edilmesi, zayıf bırakılması veya erişilmez kılınması halinde, uzun dönemde, ulusun sosyal ve ekonomik sağlığı üzerinde olumsuz etki bırakacak veya Avustralya nın ulusal güvenliği sağlama kabiliyetini etkileyecek fiziksel tesisler, tedarik zincirleri, bilgi teknolojileri ve iletişim ağları olarak ifade ettiği kritik altyapı tanımı ise öncelikleri ve vurguları itibariyle ABD ile paralellik arz etmektedir 4. ABD nin ve Avustralya nın kritik altyapı tanımı devleti öncelemesi ve ulusal güvenliğe doğrudan vurgu yapması dolayısıyla AB nin ve Japonya nın insan eksenli tanımından farklılık arz etmektedir. Kritik altyapılar ile ilgili tanımlara bakıldığında toplumsal düzenin ve kamu hizmetlerinin devamlılığının sağlanmasının esas alındığı görülmektedir. Bu noktadan hareketle, kritik altyapılar daha kapsayıcı olarak; İşlevlerini, kısmen veya tamamen, yerine getir(e)mediğinde, toplumsal düzenin sürdürülebilirliğinin ve/veya kamu hizmetlerinin sunumunun olumsuz etkileneceği ağ, varlık, sistem ve yapılar bütünü şeklinde tanımlanabileceği değerlendirilmektedir. 2.2 Kritik Altyapı Kapsamı Kritik altyapıların tanımı gibi kapsamı da ülkeden ülkeye değişmektedir. ABD hükümeti kritik altyapıların korunması çalışmalarını Ulusal Güvenlik kapsamında değerlendirmiş ve kritik 4 Avustralya hükümeti, "Kritik Altyapı Koruma Ulusal Stratejisi", s. 3, pdf/$file/t0kmvcm4.pdf 4

8 altyapıları Ulusal Altyapı Koruma Planı ile belirlemiştir 5. Bu Planda, Şekil 1 de verilen 18 adet kritik altyapı sayılmıştır. Şekil 1. ABD Kritik Altyapılar Tarım ve Gıda Bankacılık Finans ve Kimya Ticari Tesisler İletişim Kritik Üretim Barajlar Savunma Sanayi Acil Servisler Enerji Hükümet Tesisleri Sağlık Hizmeti ve Kamu Sağlığı Bilgi Teknolojisi Ulusal Anıtlar ve Simgeler Nükleer Reaktörler, Maddeler ve Atıklar Posta ve nakliye Ulaşım Sistemleri Su ABD nin, diğer ülkelerle kıyaslandığında, Ulusal Anıtlar ve Simgeler, Ticari Tesisler ve Kritik Üretim altyapılarına da kritik altyapılar arasında yer verdiği görülmektedir. AB nin kritik altyapıların korunmasına bakışı ABD ye nazaran farklılık arz etmektedir. AB bu konuya üye ülkelerinde ikamet eden vatandaşların sağlık, emniyet, güvenlik ve ekonomik refahı ile üye ülke hükümetlerinin etkin işleyişinin korunması açısından bakmaktadır. AB Konseyi tarafından kritik olarak belirlenen altyapılar (Şekil 2): Enerji (örn. Elektrik, gaz, rafineriler, aktarım ve dağıtım sistemleri) Bilgi ve İletişim (örn. Telekomünikasyon, yayıncılık, yazılım, donanım, Internet) Finans (örn. Bankacılık, yatırım) Sağlık (örn. Hastaneler, laboratuarlar) Gıda (örn. Güvenlik, üretim, gıda endüstrisi) 5 Yurt Güvenlik Teşkilatı, Ulusal Altyapı Koruma Planı, s.19, 5

9 Su ( örn. Barajlar, depolama, dağıtım) Ulaşım (örn. Havaalanları, demir yolları, trafik kontrol sistemleri) Nükleer, Biyolojik, Kimyasal ve Radyoaktif madde endüstrileri Uzay araştırmaları Kamu düzeni ve güvenlik ve Sivil yönetimdir 6. Şekil 2. AB Kritik Altyapılar Japonya da kritik altyapıların korunması konusuna bakış ABD ve AB den daha farklıdır. Japonya da yapılan çalışmalar tüm kritik altyapıların BİT lere bağımlı olması sebebiyle telekomünikasyon altyapılarının korunmasına odaklanmıştır. Japonya Hükümeti tarafından belirlenmiş 10 kritik altyapı (Şekil 3) bulunmaktadır. Bunlar: Telekomünikasyon Finans Sivil havacılık Demiryolu Elektrik Gaz Sağlık Hizmetleri Kamu Yönetimi 6 Avrupa Komisyonu, "Kritik Altyapıların Korunması için Bir Avrupa Programı, Rapor, 6

10 Su Lojistiktir 7. Şekil 3. Japonya Kritik Altyapılar Japonya daki kritik altyapılar diğer ülkelerden farklılık arz etmektedir. Diğer ülkelerde örneğin enerji ve ulaşım kritik altyapı olarak belirlenip, bunların alt dallarına bakılmazken; Japonya da elektrik ve gaz gibi enerjinin alt dalları ile sivil havacılık ve demiryolları gibi ulaşımın alt dalları da kritik altyapı olarak belirlenmiştir. 3 Kritik Altyapıların Korunması Hususunda Düzenleyici Çerçeve Kritik altyapıların korunması ile ilgili düzenleyici çerçeve, tanımlarda ve kapsamda olduğu gibi, ülkeden ülkeye farklılık göstermektedir. Örneğin ABD de kritik altyapıların korunması ile ilgili düzenleyici çerçeveyi 2002 tarihli Yurt Güvenliği Yasası ve buna istinaden hazırlanan 2003 tarihli 7 nolu Başkanlık Direktifi oluştururken, AB de düzenleyici çerçeveyi AB Konseyi nin talebi üzerine AB Komisyonunun hazırladığı Tebliğ oluşturmuştur. Japonya da ise çerçevenin esası Hükümet tarafından hazırlanan özel bir Eylem Planıdır. 7 Bilgi Güvenliği Politika Konseyi, "Kritik Altyapılar için Bilgi Güvenliği Önlemleri Üzerine Eylem Planı, Karar", s.2, 7

11 3.1 ABD ABD de kritik altyapıların korunması ile ilgili kanunlar ve direktiflerden oluşan kuvvetli bir düzenleyici çerçeve bulunmaktadır Tarihli Yurt Güvenliği Yasası (Patriot Act) 8 Kritik altyapılar ve önemli kaynakların (Critical Infrastructure and Key Resources - CIKR) korunması konusunda sorumlu kurum olan Yurt Güvenliği Teşkilatını (Department of Homeland Security DHS) kuran yasadır. Bu yasa ile DHS nin görevleri, yetkileri ve yapısı belirlenmiştir. Yasaya göre DHS nin görevleri arasında; ABD sınırları içerisinde terörist saldırıları engellemek, ABD nin terörizme zafiyetlerini azaltmak, Doğal ve insan işi felaketler ve acil durum planlamasında merkez noktası olarak işlev görmek, Yurt güvenliği çalışmaları sırasında ülkenin ekonomik bütünlüğünün ve istikrarının zarar görmediğinden emin olmak yer almaktadır. Bu görevleri üstlenen DHS organizasyonunda; Kurumun tepe yöneticisi olarak Sekreter 9, Sekreter Vekili, Bilgi Analizi ve Altyapıların Korunması, Bilim ve Teknoloji, Acil Durum Hazırlık ve Müdahale gibi konular ile Sekreter Yardımcıları, Genel Müfettiş, Gizli Servis Direktörü, İnsan Kaynakları, Bilgi ve Finans Yöneticileri bulunmaktadır. 8 ABD Hükümeti, 2002 Tarihli Yurt Güvenliği Yasası, 9 ABD yönetim yapısında Sekreter ülkemizdeki Bakan a karşılık gelmektedir. 8

12 Terörist saldırılar ve doğal afetler gibi durumların planlanmasında üstlendiği merkezi rol ile ilişkili olarak DHS Kritik Altyapıların Korunması çalışmalarının koordinasyonundan da sorumlu kılınmıştır. Bu görev, DHS bünyesindeki Bilgi Analizi ve Altyapıların Korunması birimince yerine getirilmektedir. Yasaya göre bu birim; CIKR hakkında kapsamlı zafiyet analizleri yapmak; bu analizler sırasında olası terörist saldırıların vuku bulması ve başarılı olması gibi ihtimalleri göz önünde bulundurarak risk analizi yapmak, İlgili bilgileri, analizleri ve zafiyet değerlendirmelerini bütünleştirerek koruyucu ve destekleyici önlemlerin önceliklerini belirlemek, Bu görevleri yerine getirmek için gerekli bilgilere etkin ve zamanında erişimin sağlanması konusunda gerekli tedbirleri almak, CIKR nin korunması için kapsamlı bir Ulusal Plan hazırlamak, Diğer federal kurumlar, Eyalet ve Yerel yöneticiler, ajanslar ve özel sektörle koordineli bir şekilde CIKR nin korunması için gerekli tedbirleri önermekle yükümlüdür Tarihli Kritik Altyapı Bilgi Yasası (CIIA) 10 Esasında Yurt Güvenliği Yasasının alt başlığıdır. Yasa, kritik altyapı bilgileri kavramını tanımlamakta ve kamuya açık olmayan ve kritik altyapıların korunması için gerekli olan bilgilerin korunması ile ilgili yasal çerçeveyi belirlemektedir. Kritik altyapıların ve gönüllülük esasına dayalı olarak paylaşılan bilginin gizliliğinin korunması için gerekli şartlar bu Yasa ile belirlemektedir. Ayrıca, kamu yararı için devletle paylaşılan bilgilerin üçüncü taraflara açıklanması engellenerek bilgiyi sağlayan Kuruluşun zarar görmesinin önüne geçilmesi hedeflenmektedir. 10 ABD Hükümeti, 2002 Tarihli Kritik Altyapı Bilgi Yasası, 9

13 Tarihli Federal Bilgi Güvenliği Yönetim Yasası (FISMA) 11 FISMA, Kritik Altyapı Bilgi Yasasıyla birlikte Yurt Güvenliği Yasasının alt başlıklarından biridir. Bu yasanın amacı; Federal operasyon ve varlıkları destekleyen bilgi kaynaklarının üzerindeki kapsamlı koruma faaliyetlerinin bilgi güvenlik kontrollerinin etkinliğini sağlamak, Ülke çapında, tüm paydaşlarla işbirliği ve koordinasyon halinde, güvenlik riskleri konusunda etkin yönetim ve gözetim sağlamak, Federal bilgi ve bilgi sistemlerini korumak için gerekli asgari kontrollerin geliştirilmesi ve bakımı için destek sağlamak, Federal bilgi güvenliği programlarının gözetimi için altyapı oluşturmak olarak belirtilmiştir. Yasanın tanımlar bölümünde bilginin güvenliğinin korunması kavramı tanımlanmış olup, tanımda bütünlük, gizlilik, erişilebilirlik ve kimlik doğrulama hususları vurgulanmıştır. Yasaya göre her bir Federal Kurum kendisinin faaliyetlerini ve varlıklarını etkileyen bilgi ve bilgi sistemlerinin güvenliğini sağlamakla yükümlüdür. Federal Kurumlar; Bilgi ve bilgi sistemlerine izinsiz erişim, kullanım, ifşa etme, bozma, değiştirme ve yok etme sonucunda ortaya çıkabilecek zararla ilgili risk analizi yapmak, Bilgi sistemlerinin devamlılığı için gerekli çalışmaları yapmak, Güvenlik için gerekli prensip ve prosedürleri geliştirmek, Personelin farkındalık seviyesini arttırmak için çalışmalar yapmak, Yıllık olarak, alınan tedbirlerin etkinlik ve performansını değerlendirmek, Alınan tedbirlerin maliyeti ile ilgili analiz çalışmaları yapmak gibi görevleri yerine getirmekle yükümlüdürler. 11 ABD Hükümeti, 2002 Tarihli Federal Bilgi Güvenliği Yönetim Yasası, 10

14 Tarihli Başkanlık Direktifi 7 (HSPD 7) 12 Kritik Altyapı Belirleme, Önceliklendirme ve Koruma başlıklı HSPD 7, kritik altyapıların korunması konusundaki ana düzenlemelerden biridir. Bu Direktif, Federal kurumlara ve bakanlıklara terörist saldırılardan korunmak için kritik alt yapıları ve önemli kaynakları belirleme ve önceliklendirme yükümlülüğü getirmektedir. Direktif te teröristlerin hem fiziksel hem de siber tabanlı olan kritik altyapıları ve önemli kaynakları yok etmek, etkisiz kılmak veya kötü kullanmak yoluyla ulusal güvenliği tehdit etmekte olduğu ve bu kritik altyapıların ekonominin bütün sektörlerini kapsadığı vurgulanmıştır. Teröristlerin, önemli kaynakların kötüye kullanılması veya yok edilmesi yoluyla sağlık felaketleri veya toplu ölümlere yol açabileceği ve böylece neredeyse bir kitle imha silahının etkisine sahip olabilecekleri; bazı kritik altyapıların zarar görmesi veya yok edilmesinin ekonominin işleyişi ve güvenlik üzerinde yıkıcı etkileri olabileceği ifade edilmiştir. Ülke çapındaki bütün kritik altyapıların ve önemli kaynakların açıklıklarını ortadan kaldırmak mümkün olmamakla beraber güvenlik konusunda ilgili tarafların işbirliği ve yoğun çalışmaları ile saldırıların başarılı olma ihtimalinin düşürülebileceği ve yapılan saldırıların etkilerinin azaltılabileceği belirtilmiştir. Ayrıca Direktif te farklı sektörlerde faaliyet gösteren, sektörlere özel sorumlu kurumlar belirlenmiştir. Bu bağlamda; Tarım Bakanlığına çevre ve et, tavuk, yumurtayı içeren gıda sektörlerinde; Sağlık ve İnsan Hizmetlerine kamu sağlığı, sağlık bakımı ve et, tavuk, yumurta harici gıda sektörlerinde; Çevre Bakanlığına içme suyu ve su arıtma sistemlerinde; Enerji Bakanlığına enerji, benzin ve gazın rafine edilmesi, depolanması ve dağıtılması ve ticari güç üretim tesisleri hariç elektrik üretimi sektörlerinde; Hazine Bakanlığına bankacılık ve finans sektörlerinde; İçişleri bakanlığına ulusal anıtlar ve sembollerle ilgili ve Savunma Bakanlığına savunma sanayi üsleri ile ilgili Tarihli Başkanlık Direktifi 7, 11

15 sorumluluklar verilmiştir. HSPD 7 ye göre sorumlu kurumlar, ilgili diğer kurum ve kuruluşlarla birlikte çalışmak, sektörün açıklık ve zafiyet değerlendirmelerini yapmak ve kritik altyapılara ve önemli kaynaklara karşı olası saldırılara karşı korunmak ve bunların etkilerini azaltmak için strateji belirlemekle yükümlü kılınmıştır. Direktif, sorumlu kurumlar dışındaki diğer bakanlık ve kurumların yerine getirecekleri görevleri de belirlemiştir. Buna göre; Dışişleri Bakanlığı; ilgili diğer bakanlıklarla koordineli bir şekilde uluslar arası arenada gerekli çalışmaları yapacaktır, Adalet Bakanlığı; FBI ile birlikte kritik altyapılar ve önemli kaynaklara karşı yerli terörist tehditleri azaltacak ve fiili saldırıları veya saldırı teşebbüslerini soruşturacaktır, Ticaret bakanlığı; özel sektörle, araştırma, akademik ve devlet kuruluşlarıyla birlikte çalışarak siber sistemler için teknoloji geliştirecek ve diğer kritik altyapı çalışmalarını destekleyecek ve yetkilerini kullanarak yurt güvenliğini sağlamak için gerekli endüstri ürün ve servislerinin zamanında hazır bulunmasını temin edecektir, Bilim ve Teknoloji Politikaları Ofisi; kritik altyapılar ve önemli kaynakların korumasına ilişkin imkanları geliştirmek için kurumlar arası araştırma ve geliştirme faaliyetlerini koordine edecektir, Ulaştırma Bakanlığı; ulaşım güvenliği ve ulaştırma altyapısının korunması için çalışacak ve ulusal havacılık sisteminin aksamadan çalışmasını temin edecektir, Bütün kurum ve bakanlıklar; faaliyet gösterdikleri sektörlerde terörist saldırılar dışındaki sebeplerle meydana gelen yıkıcı aksaklıkların etkilerini azaltmak için sektörle birlikte çalışmalar yürüteceklerdir. HSPD 7 ye doğrultusunda kamu kurumları ve bakanlıklar bahsi geçen yükümlülükleri yerine getirirken özel sektörle koordinasyon halinde çalışacaktır. Bütün bu yükümlülükleri yerine getirmek için gerekli rapor ve stratejileri hazırlamak, koordinasyonu ve tehdit ve açıklıklar hakkında bilginin paylaşımını sağlamak DHS Sekreterliğinin sorumluluğundadır. Her bir sektörden sorumlu bakanlığın DHS Sekreterliğine yıllık olarak konuyla ilgili yapmış olduğu çalışmalar hakkında rapor vermesi öngörülmüştür. 12

16 3.2 AB İspanya nın başkenti Madrid de yolcu trenlerine yapılan terörist saldırıların ardından Avrupa Konseyi 2004 yılında AB Komisyonundan kritik altyapıların korunması konusunda genel bir strateji hazırlamasını istemiştir. Bunun üzerine Komisyon tarafından COM(2004) 702 sayılı Terörizmle Mücadele Kapsamında Kritik Altyapıların Korunması konulu tebliğ hazırlanmıştır. AB bünyesinde daha önce güvenlik konusunda yapılmış çalışmalar olmakla birlikte kritik altyapıların korunması konusunda genel bir yol haritası belirlenmesi çalışmaları bu Tebliğle birlikte başlamıştır. Bu tebliğe ek olarak AB de kritik altyapıların korunması konusunda Konsey Direktifi ve Komisyon Tebliğlerinden oluşan düzenleyici bir çerçeve mevcuttur /114/EC Sayılı Direktif /114 sayılı Direktif, Avrupa kritik altyapılarının belirlenmesi ve koruyucu tedbirlerin arttırılması ile ilgilidir. Bu Direktif, 2004 yılında başlayan Komisyon çalışmalarının sonucunda ortaya çıkmıştır. Direktif enerji ve ulaşım sektörlerine odaklanmış olmakla birlikte diğer sektörleri de, örneğin Bilgi Teknolojileri ve İletişim (BTİ) sektörünü de içerme vizyonu bulunmaktadır. Direktife göre Avrupa kritik altyapılarını koruma sorumluluğu bu altyapıların bulunduğu ülkelere ve bunların işletmecilerine verilmiştir. AB içerisinde var olan ve zarar görmesi veya yok edilmesi sınırlar ötesi etkiye yol açacak kritik altyapıların varlığı vurgulanmıştır ve bu altyapıların Avrupa Kritik Altyapısı (European Critical Infrastructure ECI) olarak adlandırılacağı belirtilmiştir. AB bünyesinde yer alan ECI lerin ortak bir yöntemle ve koruma tedbirlerinin ortak bir yaklaşımla belirlenmesi gerekmektedir. Sınır ötesi etkiye yol açacak altyapıların korunması için Üye Ülkeler arasında ikili ve çok taraflı işbirliğine dayalı bir yol izlenecektir. 13 Avrupa Konseyi, "Avrupa Kritik Altyapılarının Belirlenmesi ve Koruyucu Tedbirlerin Arttırılması, Direktif", 13

17 AB de sektörler hakkında yapılan değerlendirmeye göre; sektörlerin çoğunluğu kritik altyapıların korunması konusunda belirli tecrübe, uzmanlık ve tecrübeye sahip bulunmaktadır. Bu itibarla, kritik altyapılar korunurken sektör özellikleri ve var olan sektöre özel tedbirler hesaba katılarak bir topluluk yaklaşımı geliştirilmeli ve uygulanmalıdır. Bu bağlamda, kritik altyapıların korunması ile ilgili önceden var olan tedbirler değerlendirilmeli ve herhangi bir çatışmaya mahal vermemek amacıyla bu tedbirlerin üzerinden gidilerek gerekli eklemeler ve düzenlemeler yapılmalıdır. Belirli sektörlerde var olan riskler, tehditler ve açıklıklar ECI lerin sahipleri/işletmecileri ve Üye Ülkeler arasında ve Üye Ülkelerle Avrupa Komisyonu arasında yoğun iletişimi zorunlu kılmaktadır. Her bir Üye Ülke kendi sınırları içerisinde yer alan ECI ler hakkında bilgi toplamalı ve bu bilgileri Avrupa Komisyonu ile paylaşmalıdır. Bununla beraber birbirine bağımlı ECI ler ve sektörler konusunda Komisyon tarafından iyileştirme önerileri geliştirilebilir. Ayrıca ECI lerin sahiplerine/işletmecilerine ilgili Üye Ülke otoriteleri üzerinden kritik altyapıların korunması konusunda en iyi uygulamalara erişim hakkı verilmelidir. ECI ler hakkında bilgi paylaşımı güvenli ve güvenilir bir ortamda yapılmalıdır. Bilginin paylaşımı şirket ve kuruluşların, hassas ve gizli verilerinin yeterince korunacağından emin oldukları bir güven ilişkisini gerektirmektedir. ECI lerin korunmasında altyapı varlıklarına yönelik tehditler, riskler ve bunlarda bulunan açıklıklar için iyileştirmeler yapmak amacıyla genel yöntemler geliştirilmesi mümkündür. Direktif te yer alan ECI tanımında; ECI Üye ülkelerde yer alan ve zarar görmesi veya yok edilmesi en az iki üye ülkede ciddi etkiye sahip olacak kritik altyapıları belirtir. Etkinin ciddiyeti çapraz kesim kıstasları açısından çapraz sektör bağımlılıkları da göz önünde bulundurularak değerlendirilmelidir. denilmektedir. Tanımda yer alan çapraz kesim kıstasları arasında; Potansiyel can kaybı veya yaralanma sayısı, Ekonomik kayıp ve/veya ürünlerin veya hizmetlerin bozulması ve çevreye potansiyel etkiler bakımından değerlendirmesi, Kamuya güven kaybı, günlük yaşamın aksaması gibi konularda etkisi gibi hususlar yer almaktadır. 14

18 Direktife göre, bu kıstaslarla ilgili bir eşik değer belirlenmeli ve ancak bu eşik değerin üzerinde kalan kritik altyapılar ECI olarak belirlenmelidir. Üye Ülkeler topraklarında bulunan ve ECI olarak değerlendirilen altyapılarla ilgili olarak etkilenebilecek diğer ülkelere de bilgi vermeli ve bu ülkeler arasında ECI lerin korunması konusunda karşılıklı müzakereler yapmalıdır. Ayrıca kendi sınırları içerisinde bulunmayan potansiyel bir ECI nin varlığından etkileneceğini düşünen bir üye ülke eğer bahsi geçen alt yapı ait olduğu ülkede ECI olarak belirlenmemişse Komisyon a bu konuda bilgi verecektir. Bununla birlikte Üye Ülkeler sınırları içerisinde bulunan her bir sektörle ilgili ECI sayısı hakkında ve bunların zarar görmesi halinde etkilenebilecek Üye Ülkeler hakkında Komisyon u bilgilendirmekle yükümlüdürler. Bir Üye Ülke, sınırları içerisinde bulunan bir altyapının ECI olarak belirlenmesi halinde ilgili bu altyapının sahiplerini/işletmecilerini bu konuda bilgilendirmelidir. ECI lerle ilgili Operatör Güvenlik Planı (Operator Security Plan OSP) yapılmalıdır. OSP prosedürü, ECI nin kritik altyapı varlıklarını ve korunmaları için ne gibi çözümlerinin olduğunu veya oluşturulmakta olduğunu belirleyecektir. Her bir OSP asgari olarak; Önemli varlıkların belirlenmesi, Ana tehdit senaryolarına, her bir varlığın açıklığına ve potansiyel etkiye dayalı olarak risk analizi yapılması, Karşı tedbirlerin ve prosedürlerin belirlenmesi, seçilmesi ve önceliklendirilmesini içerecektir. Belirlenen ECI ler için bir OSP veya onun muadili olabilecek tedbirlerin bulunup bulunmadığı, ECI nin sınırları içerisinde bulunduğu Üye Ülke tarafından değerlendirilecektir. Eğer OSP veya muadili varsa ve düzenli olarak güncelleniyorsa tekrardan böyle bir çalışma yapmak gerekmemektedir. Bir diğer husus, ECI olarak atanan her bir kritik altyapı için ilgili ulusal kritik altyapı koruma otoriteleriyle işbirliği ve iletişimi kolaylaştırmak amacıyla Güvenlik İrtibat Görevlileri belirlenmesinin gerekli olduğudur. Güvenlik İrtibat Görevlisi ECI nin sahibi/operatörü ve ilgili Üye Ülke otoritesi arasında güvenlikle ilgili konularda irtibat noktası olarak işleyecektir. Ancak, ECI ye ait hâlihazırda bir Güvenlik İrtibat Görevlisi varsa onunla çalışılmaya devam edilebilecektir. 15

19 Son olarak her Üye Ülke kendi sınırları içerisinde bir kritik altyapının ECI olarak belirlenmesini müteakip bir yıl içerisinde ECI alt sektörleri ile ilgili tehdit analizi yapmalı ve ECI olarak belirlenen her bir sektörde karşılaşılan risk, tehdit ve açıklık türleri ile ilgili verilerin genel bir özetini her iki yılda bir Komisyon a raporlamalıdır COM (2004) / 702 sayılı Avrupa Komisyonu Tebliği 14 COM (2004) / 702 sayılı ve Terörizme Karşı Mücadelede Kritik Altyapıların Korunması başlıklı tebliğ AB bünyesinde kritik altyapıların korunması konusunda yapılan ilk çalışmalardan biridir. Tebliğde kritik altyapılar ve bunların korunmasını gerektiren sorunlar ve yapılacak çalışmalarla ilgili bilgi verilmiştir. Tebliğde kritik altyapıların neler olduğu, bu altyapıların zarar görmesi halinde ortaya çıkabilecek sorunlar ve kritik altyapı sektörleri ile ilgili bilgiler yer almaktadır. Tebliğde kritik altyapılar belirlenirken kapsam, büyüklük ve zaman etkisi faktörlerinin göz önünde bulundurulması önerilmektedir. Kapsam, kritik altyapının kaybı veya müsait olmaması durumunda etkilenecek alanın genişliğini; büyüklük ise Hiç, Az, Orta veya Büyük olarak sınıflandırılabilecek etki büyüklüğünü ifade etmektedir. Büyüklük değeri bulunurken; Kamu etkisi (etkilenen nüfus büyüklüğü, can kaybı vb.), Ekonomik etki, Çevresel etki, Diğer altyapı elemanlarıyla bağlılık, Politik etki (hükümete duyulan güven) gibi etkenlerin dikkate alınması gerekli görülmüştür. Zaman etkisi, kritik altyapının zarar görmesinden faaliyete geçeceği zamana kadar geçen süreyi ifade etmektedir. Kritik altyapıların korunması sırasında kullanılan güvenlik yönetimi yaklaşımı riskleri anlamaya ve bu riskleri makul bir maliyete ve kabul edilebilir bir seviyeye çekmeyi hedeflemektedir. Çalışmalarda risk seviyesinin en yüksek olduğu alanlara odaklanılmaktadır. AB nin kritik altyapıları koruma kabiliyetini geliştirmek amacıyla kritik altyapıların 14 Avrupa Komisyonu, Terörizme Karşı Mücadelede Kritik Altyapıların Korunması, Tebliğ, 16

20 korunmasında Avrupa programı (European Programme for Critical Infrastructure Protection EPCIP) kurulmasına yönelik çalışmalar yapılacaktır. Bütün Avrupa da bulunan kritik altyapıları AB çerçevesinde korumak mümkün olamayacağından sadece üye ülkenin sınırları ötesine taşan altyapıların korunmasına odaklanılacak ve diğer kritik altyapıların korunması Üye Ülkelerin kendilerine bırakılacaktır. Ayrıca EPCIP programına yardımcı olmak amacıyla, Üye Ülkelerden uzmanlar ve Komisyonun işbirliğiyle bir Kritik Altyapı Uyarı Bilgi Ağı (Critical Infrastructure Warning Information Network CIWIN) kurulacaktır. Bu ağın amacı tehditler, açıklıklar ve riski azaltıcı tedbir ve stratejiler üzerine bilgi alışverişini teşvik etmektir. Üye Ülkelerden sağlanan bilgiler doğrultusunda EPCIP in amacı kritik altyapıları belirlemeye devam etmek, açıklık ve bağımlılık analizi yapmak ve bütün tehlikelere karşı korunmak ve hazırlanmak olarak belirlenmiştir COM (2005) / 576 sayılı Avrupa Komisyonu Tebliği 15 Kritik Altyapıların Korunması için Bir Avrupa Programı Üzerine Rapor başlıklı ve COM(2005)/576 sayılı raporun temel amacı tüm paydaşlardan EPCIP politika seçenekleriyle ilgili geri bildirim alabilmektir. Kritik altyapıların etkin korunması ulusal seviyede veya AB seviyesinde bütün ilgili paydaşlar arasında iletişim, koordinasyon ve işbirliği gerektirmektedir. Paydaşlar, altyapı sahipleri ve işletmecileri, düzenleyici kurumlar, kamu kurum ve kuruluşları, uzmanlar ve özel sektör ile birliklerini içermektedir. EPCIP ve CIWIN kurulması konusunda Komisyon un izleyebileceği yöntemler de raporda yer almaktadır. Bu yöntemlerle ilgili paydaşların cevaplayacağı sorulara yer verilmiştir. Rapora göre, EPCIP in amacı kritik altyapılar üzerinde yeterli güvenlik tedbirleri alınmasını ve asgari sayıda temas noktası marifetiyle hızlı, test edilmiş kurtarma çalışmalarının yapılmasını temin etmektir. İzlenecek yöntemin terör odaklı bir yöntem mi olacağı yoksa tüm tehditleri mi içereceğine karar verilecektir. EPCIP in temelinde; 15 Avrupa Komisyonu, "Kritik Altyapıların Korunması için Bir Avrupa Programı, Rapor, 17

21 Kademeli yetki, Tamamlayıcılık, Gizlilik, Paydaşlar arası işbirliği, Orantılılık prensiplerine yer verilmesi düşünülmektedir. Katmanlı yetki prensibine göre kritik altyapıların korunması öncelikle bir ulusal sorumluluktur. Bunun karşılığında Komisyon AB sınırları ötesi etkiye sahip kritik altyapıların korunmasına odaklanacaktır. Sahiplerin ve işletmecilerin kendi varlıklarını koruma konusunda kendi kararlarını vermeleri ve planlarını yapmaları konusundaki yükümlülükleri ve sorumluluklarının değişmemesi esas alınacaktır. Tamamlayıcılık ilkesi EPCIP çalışmalarının mevcut tedbirleri tamamlayıcı olmasını ifade etmektedir. Gizlilik prensibi ise kritik altyapıları korumayla ilgili bilgi paylaşımı güven ve gizlilik ortamında yürütülmelidir şeklinde ifade edilebilir. Herhangi bir kritik altyapıyla ilgili belirli gerçekler kritik altyapı üslerinde zarara veya istenmeyen sonuçlara sebebiyet vermek amacıyla kullanılabileceğinden hem AB seviyesinde hem de ulusal seviyede kritik altyapı koruma bilgileri gizli olmalı ve sadece bilmesi gerekenlere erişim hakkı verilmesi gerekli görülmektedir. Paydaşlar arası işbirliği prensibine göre bütün paydaşlar kritik altyapıların korunması kapsamında EPCIP kurulmasına ve uygulanmasına katkıda bulunmalı ve diğer paydaşlarla işbirliği yapmalıdır denilmektedir. Önerilen son prensip olan orantılılık; bütün altyapıların bütün tehditlerden korunması mümkün olmadığı için koruma stratejileri ve tedbirleri var olan tehditle orantılı olması ve uygun risk yönetim tekniklerini kullanarak, dikkat en yüksek riske sahip alanlara odaklanılması şeklinde ifade edilebilir. Bir Üye Ülkede bulunan kritik altyapının zarar görmesinden diğer Üye Ülkelerin de zarar görme ihtimali, internet gibi yeni teknolojilerin ve pazar serbestîsinin yaygınlaşmasıyla ve altyapıların giderek daha büyük bir ağın parçası haline gelmesi ve birbirine bağımlı hale gelmesiyle birlikte, artmaktadır. Bu sebeple, AB nin kritik altyapıları koruma çabalarının, ortak bir EPCIP çerçevesinde (ortak hedefler, yöntemler vb. ) en iyi uygulamaların ve uyum izleme mekanizmalarının paylaşımıyla güçlendirilmesi önerilmektedir. Ortak Kritik Altyapı Koruma Prensipleri, genel kabul gören kılavuzlar/standartlar, ortak tanımlar, Kritik Altyapı Öncelik Alanları, çalışmalarda rol alan paydaşların sorumlulukların tanımları, kararlaştırılmış 18

22 performans ölçütleri, farklı sektörlerdeki altyapıları karşılaştıran ve önceliklendiren yöntemler çerçevenin ana elemanlarından bazılarıdır. ECI; zarar görmesi veya yok edilmesi halinde iki veya daha fazla Üye Ülkeyi etkileyebilecek fiziksel kaynakları, hizmetleri, bilgi teknolojisi tesislerini, ağları ve altyapı varlıklarını içerecektir. ECI lerin aşamalı olarak belirlenmesinde bağımlılıkların hesaba katılması tavsiye edilmektedir. Bağımlılıkların çalışılması, bir kritik altyapıya karşı tehditlerin potansiyel etkilerini ve özellikle kritik altyapılarla ilgili büyük bir hadisede hangi Üye Ülkenin etkileneceğini belirlemeye katkıda bulunmaktadır. Kamu kuruluşları, özel sektör, yargı kurumları ve Üye Ülke Otoriteleri içinde ve arasında bağımlılıklara dikkat edilecektir. Komisyon, Üye Ülkeler ve kritik altyapıların sahipleri/işletmecileri bu bağımlılıkları belirlemek ve riski azaltmak amacıyla uygun stratejileri uygulamak için birlikte çalışacaklardır. Komisyon, ECI lerin korunması ile ilgili çerçeveyi aşamalar halinde belirlemiştir. Öncelikle Komisyon, Üye Ülkelerle birlikte sektör bazında ECI leri belirlemekte kullanılacak kıstasları tespit etmektedir. Daha sonra Üye Ülkeler tarafından sektör ECI leri bu kıstaslar doğrultusunda belirlenir ve bunlar Komisyon tarafından teyit edilir. ECI lerin sınırlar ötesi bir yapıya sahip olmasından dolayı belirli bir kritik altyapının ECI olarak belirlenme kararı AB seviyesinde alınacaktır. Üye Ülkeler ve Komisyon ECI lerle ilgili güvenlik zaaflarını sektör bazında analiz edeceklerdir. ECI lerin belirlenmesinden sonra, Üye Ülkeler ve Komisyon öncelikli harekete geçilecek sektörleri/altyapıları, bağımlılıkları da göz önünde bulundurarak, kararlaştıracaktır. İlgili durumlarda, her sektör için, Komisyon ve Üye Ülkeler asgari koruma tedbir teklifleri üzerinde anlaşacaklardır. Bahsi geçen tedbirler belli standartları da içerebilecektir. Önerilerin Konsey tarafından onaylanmasından sonra bu tedbirler uygulanacaktır. Düzenli olarak izlemelerin yapılması Üye Ülkeler ve Komisyon tarafından sağlanacaktır. Uygun durumlarda tedbirlerde ve kritik altyapılarda güncellemeler yapılacaktır. 19

23 Bütünlüğün sağlanması açısından her bir Üye Ülke tarafından EPCIP çalışmalarını koordine edecek bir Kurumun belirlenmesi gerekmektedir. Belirlenecek olan kurumun yerine getireceği görevler sırasıyla; Bağlı olduğu Üye Ülkedeki EPCIP çalışmalarını izlemek, koordine etmek ve denetlemek, Komisyon, kritik altyapı işletmecileri ve sahipleri, diğer Üye Ülkeler ile bağlı olduğu üye ülke arasında iletişimi sağlamak, ECI lerin belirlenmesinde rol almak, Kendi yetki alanı içerisindeki bir altyapıyı kritik olarak belirlemek, Belirli altyapı sektörleri arasında bağımlılıkları belirlemek, Ulusal Kritik Altyapı Koruma Programının ve sektöre özel kritik altyapı koruma programlarının detaylandırılmasında görev almak olarak sayılmaktadır. ECI olarak belirlenmeyen ulusal düzeydeki kritik altyapıların EPCIP kapsamında ne oranda ele alınacağı da ayrıca belirlenmelidir. Üye Ülkeler ECI ye dâhil olmayan kendi kritik altyapılarıyla ilgili, EPCIP çerçevesine dayalı programlar geliştirebilecektir. Ulusal Kritik Altyapıların (National Critical Infrastructure - NCI) belirlenmesinde Üye Ülkelerin belirleyeceği aşamaların EPCIP yapısını örnek alması öngörülmektedir. NCI nin korunması kapsamında kritik altyapı sahiplerine ve işletmecilerine; İlgili Üye Ülke Kritik Altyapı Koruma Kurumuna bir altyapının kritik bir yapıya sahip olabileceği konusunda bilgi vermek, Bir temsilciyi kendisiyle ilgili Üye Ülke Otoritesi arasında Güvenlik İrtibat Memuru olarak atamak, İşletmeci Güvenlik Planının kurulması, uygulanması ve güncellenmesi, İlgili Üye Ülke sivil savunma ve kolluk kuvvetleri ile birlikte hazırlanan Acil durum planının geliştirilmesinde yer almak görevleri verilmektedir. 20

24 Ayrıca bu Tebliğde Komisyon en iyi uygulamaların ve anlık tehdit ve alarmların güvenli bir şekilde paylaşımı yoluyla uygun koruma tedbirlerinin geliştirilmesini teşvik edebilecek CIWIN oluşturmayı önermektedir. İlaveten, Tebliğ de tehditleri, yetenekleri ve açıklıkları belirlemek ve bir tehdidin bir altyapıya zarar verme ihtimali ve ciddiyeti hakkında sonuca varmak için ortak bir yöntem belirlenebileceği ve bu yöntemin meydana gelme ihtimali, etkisi ve diğer risk alanlarıyla ilgisi bakımından puanlanması ve önceliklendirilmesi hususlarına yer verilmiştir COM (2006) / 786 sayılı Avrupa Komisyonu Tebliği 16 COM(2006)/786 sayılı ve Kritik Altyapı Koruma için bir Avrupa Programı başlıklı tebliğ bir önceki raporda sunulan EPCIP hakkındaki önerilerin kesinlik kazanmış halinden müteşekkildir. Tebliğde ilgili kurum ve kuruluşlarla farklı ortamlarda yapılan görüş alış verişinin ardından ortaya çıkan kararlara yer verilmektedir. Tebliğe göre; terör tehdidi bir öncelik olarak görülmekle beraber izlenecek yöntem bir tüm tehlikeler yaklaşımı olacaktır. Bir kritik altyapı sektöründe koruyucu tedbirler yeterli görülürse paydaşlar kendi zafiyetleri konusuna odaklanabileceklerdir. Ayrıca daha önceki raporda geçen katmanlı yetki, tamamlayıcılık, gizlilik, paydaş işbirliği, orantısallık, sektör bazlı yaklaşım prensiplerinin benimsenebileceği kararına varılmıştır. EPCIP çerçevesinde; ECI lerin belirlenmesi için bir prosedür ve bu tarz altyapıların korunmasının gerekliliğini değerlendirmek için direktif yoluyla uygulanacak genel bir yaklaşıma, EPCIP in uygulanmasını kolaylaştırmak için, arasında EPCIP eylem planı, Kritik Altyapı Uyarı Bilgi Ağı (CIWIN), AB seviyesinde kritik altyapı koruma konusunda uzman grupların kullanımı, kritik altyapı bilgi paylaşım işlemleri ve bağımlılıkların belirlenmesi ve analizi gibi maddelerin yer aldığı tedbirlere, Üye Ülkelere ulusal kritik altyapılarını korumaları için desteğe, Uluslar arası ilişkileri de içeren harici boyuta, muhtemel durum planına ve finansman olanaklarına yer verilecektir. Ayrıca stratejik koordinasyon ve işbirliği platformu 16 Avrupa Komisyonu, "Kritik Altyapı Koruma için bir Avrupa Programı, Tebliğ, 21

25 olarak AB çapında Kritik Altyapı Koruma İletişim Grubu kurulacaktır. Bu grup her bir Üye Ülkeden irtibat noktalarını bir araya getirecek ve komisyon tarafından yönetilecektir. Tebliğe göre EPCIP devam eden bir süreçtir ve düzenli olarak EPCIP Eylem Planı şeklinde güncellenecektir. Bu Eylem Planı ulaşılması gereken hedefleri son tarihleriyle birlikte içerecektir. EPCIP Eylem Planı kritik altyapılarla ilgili faaliyetleri üç ana iş akışı etrafında organize etmektedir. Bunlar; EPCIP in stratejik yönleri ve bütün kritik altyapı koruma eylemlerine uygulanabilecek tedbirlerin geliştirilmesiyle ilgilenecek olan iş akışı 1, sektörel seviyede uygulanacak ve Avrupa Kritik Altyapılarıyla ilgilenecek olan iş akışı 2 ve Üye Ülkeleri kendi ulusal altyapılarını koruma çalışmalarında destekleyecek olan iş akışı 3 tür. EPCIP çerçevesinin uygulanmasında kritik altyapı konusunda uzman gruplardan yardım alınacaktır. Kritik Altyapı uzman gruplarının; belirgin açıklıkları azaltmak ve/veya ortadan kaldırmak için tedbirlerin geliştirilmesine ve performans ölçütlerinin geliştirilmesine yardım etmek, kritik altyapı bilgi paylaşımını, eğitimi, güven oluşturmayı kolaylaştırmak, sektör ortaklarını kritik altyapı korumaya teşvik etmek amacıyla iş örnekleri geliştirmek ve desteklemek, araştırma ve geliştirme gibi konularda sektöre özel uzmanlık ve tavsiye sağlamak ve benzeri görevleri yerine getirmesi beklenmektedir. İlgili paydaşlar arasında bilgi paylaşımı güven ilişkisini gerektirmektedir. Bu itibarla, gönüllü olarak paylaşılan ticari, kişisel veya hassas bilgiler kamuya açıklanmayacak ve bu bilgiler sadece kritik altyapıları korumak amacıyla kullanılacak ve korunacaktır. Gizlilik haklarına saygı gösterilecektir. Kritik altyapı koruma bilgilerinin paylaşılması ile bağımlılıklar, tehditler, açıklıklar, güvenlik olayları, karşı tedbirler, kritik altyapıların korunmasıyla ilgili en iyi uygulamalar hakkında gelişmiş ve doğru bilgi ve farkındalık, paydaşlar arası diyalog, kritik altyapı meseleleri hakkında farkındalık artışı ve daha iyi odaklanmış eğitim, araştırma ve geliştirme gibi imkânlar ortaya çıkacaktır. 22

26 Bir Üye Ülkedeki ulusal kritik altyapıların korunması görevi o ülkenin kendisine düşmektedir. Her bir Üye ülke ulusal kritik altyapılarını korumak amacıyla Kritik Altyapıları Koruma Planı geliştirmelidir. Ulusal Kritik Altyapılar belirlenirken dikkate alınacak faktörler kapsam ve riskin boyutudur. Kapsam bir kritik altyapı bu kritik altyapının zarar görmesinden etkilenebilecek coğrafi alanın büyüklüğüne göre puanlanacaktır. Riskin boyutu ise bir altyapının zarar görmesi veya yok edilmesinin sonuçlarını belirtir ve kamu etkisi, ekonomik etki, çevre etkisi, politik etki, psikolojik etki ve kamu sağlığı etkisi gibi faktörler dikkate alınarak değerlendirilir COM (2006) / 787 sayılı Avrupa Komisyonu Direktif Önerisi 17 Avrupa Kritik Alt yapılarının Belirlenmesi ve Korumalarının Arttırılma İhtiyacının Değerlendirilmesi başlıklı bu Direktif te öncelikle daha önceki gelişmelerden bahsedilmiş ve ECI lerin korunmasının önemi ve gerekliliği vurgulanmıştır. Direktif te EPCIP çerçevesinin önemi vurgulanmaktadır. Bununla birlikte bağlayıcı olmayan gönüllü tedbirlerin, esnek olmakla birlikte, kimin ne yapacağını ve ECI paydaşlarının hak ve yükümlülüklerini açıkça belirlemediğinden gerekli temeli sağlayamayacağı belirtilmiştir. Direktifin, ECI lerle ilgili yeterli seviyede koruma sağlanmasını, her bir ECI paydaşının benzer hak ve yükümlülüklere tabi olmasını ve iç pazarın istikrarının korunmasını garanti altına alabileceği ifade edilmektedir. BT, sağlık, finans, ulaşım, kimya ve nükleer sektörlerinde yasal hükümler var olmakla birlikte kritik altyapıların korunmasına yönelik hali hazırda yatay yasal hükümler yoktur. Bu kapsamda Komisyon, EPCIP çerçevesinin geliştirilmesine dair rapor, toplantı, seminer gibi farklı yollarla bütün ilgili paydaşlarla görüş alış verişinde bulunmuştur. Önerilen eylemler ECI lerin belirlenmesi ve korunmasının gerekliliğinin değerlendirilmesi için yatay bir çerçeve oluşturur yıllarını kapsayan Terörizm ve diğer Güvenlikle İlgili Risklerin Önlenmesi, bunlara karşı Hazırlıklı Olma ve Sonuç Yönetimi programı tarafından bu Direktifin uygulanmasına maddi katkı sağlanacaktır. 17 Avrupa Komisyonu, "Avrupa Kritik Alt yapılarının Belirlenmesi ve korumalarının Arttırılma İhtiyacının Değerlendirilmesi, 23

27 Direktif te; ECI lerin ne olduğu tanımlanmış, ECI lerin belirlenmesi için ortak bir programın varlığının önemi vurgulanmış, ECI ler belirlenirken izlenecek yol ve prosedürler tanımlanmıştır. Önerilen yönteme göre Komisyon önce Üye Ülkelerden alınan bilgilere göre taslak bir ECI listesi hazırlayacak ve hazırlanan bu liste daha sonra ilgili taraflarla görüşülerek son halini alacaktır. İşletmeci güvenlik planlarının (OSP) içermesi gereken asgari içerik; Önemli varlıkların tespiti, Büyük tehdit senaryoları, Her bir varlığın zafiyetine ve potansiyel etkiye dayalı risk analizi, Karşı tedbirler ve prosedürlerin tespiti, seçimi ve önceliklendirilmesi olarak belirlenmiştir. Ayrıca ECI olarak belirlenmiş bütün kritik altyapı sahipleri/işletmecileri Güvenlik İrtibat Görevlisi atamakla yükümlü olacaktır. Her bir Üye Ülke ECI lerle ilgili risk ve tehdit değerlendirmesi yapmalıdır. Her bir Üye Ülke Kritik Altyapı sektörlerinde karşılaşılan açıklık, risk ve tehditlerle ilgili genel bir değerlendirme hazırlamalı ve bu bilgiyi Komisyon a iletmelidir. Bu bilgi Komisyon un ek koruma önlemi gerekip gerekmediği konusundaki değerlendirmesinin temelini oluşturacaktır. Bunun yanında Komisyon ECI sahiplerine/işletmecilerine, ilgili yerlerden elde ettiği, var olan en iyi uygulamalara ve yöntemlere erişim sağlayacaktır. Kritik Altyapılarla ilgili konularda işbirliği ve koordinasyonu sağlamak için Kritik Altyapı Koruma irtibat noktası atanacaktır. İrtibat Noktası Kritik Altyapı Koruma konularını Üye Ülke içinde, diğer Üye Ülkelerle ve Komisyonla koordine edecektir. Direktifin belirli bölümleri Kritik Altyapı Koruma İrtibat Noktalarından oluşan Komite tarafından, Komisyon koordinasyonunda uygulanacaktır. Gizlilik ve Kritik Altyapı Koruma bilgisinin değişiminin çok önemli ve hassas bir konu olduğu da vurgulanmıştır. Bu nedenle Direktif Komisyon ve Üye Ülkelerin bilgiyi korumak için uygun tedbirleri almasını şart koşmuştur. Gizli Kritik Altyapı Koruma bilgisine sahip herhangi bir personelin Üye Ülke Otoriteleri tarafından sağlanan güvenlik incelenmesinden geçirilmesinin gerekliliğine yer verilmiştir. 24

28 3.2.6 COM (2008) / 676 sayılı Avrupa Komisyonu Karar Önerisi tarihli Komisyon EPCIP raporunda geçen CIWIN kurulması fikri yapılan müteakip görüş alışverişinin ardından çoğunluk tarafından kabul görmüştür. Bunun üzerine Komisyon CIWIN kurulmasıyla ilgili COM (2008) / 676 sayılı Karar Önerisini hazırlamıştır. CIWIN kurulma amacı, Üye Ülkelere, kritik altyapıların korunması konusunda ortak tehditler, açıklıklar ve riskleri azaltmak için uygun tedbirler ve stratejiler üzerine bilgi alışverişinde yardım etmektir. CIWIN, kritik altyapıların korunması konusunda bilgi alışverişini sağlayan bir forum olup, Üye Ülkelere ve Komisyona kritik altyapılara yönelik anlık riskler ve tehditler üzerine uyarılar yollama imkânı sağlamaktadır. CIWIN, Üye Ülkelerin işbirliğini kolaylaştıracak bir bilgi sistemi sağlayarak ve AB içinde kritik altyapılar hakkında bilgilerin aranması için hızlı ve verimli bir yol sunarak kritik altyapıların korunmasına ilişkin tedbirlerin geliştirilmesine katkıda bulunacaktır. CIWIN yapısında yer alan her bir Üye Ülke bir irtibat noktası olarak görev yapan CIWIN yöneticisi atamalıdır. CIWIN yöneticisi sistemin yeterli derecede kullanılmasını ve kullanıcı kılavuzlarıyla uyumluluğu güvenceye alacaktır. Komisyon da kendi içinde bir CIWIN yöneticisi atayacaktır. Komisyon ayrıca; CIWIN in BT yapısı ve bilgi alışveriş elemanları dâhil teknik gelişimi ve yönetimi ile bilginin gizliliği, iletimi, depolanması, dosyalanması ve silinmesi dâhil sistemin kullanım şartları hususunda kuralları koyma görevlerini yerine getirecektir. Sistem üzerindeki dokümanlara kullanıcıların erişim hakları bilmesi gerekenlerin ulaşımı prensibine göre olmalı ve doküman yazarının dokümanın korunması ve dağıtılması konusundaki özel talimatlarına uymalıdır. Üye Ülkeler ve Komisyon herhangi bir yetkisiz personelin CIWIN sistemine erişmesini ve sistem üzerindeki bilginin yetkisiz kişiler tarafından okunmasını, kopyalanmasını, değiştirilmesini veya silinmesini engellemeli ve yetkili kişilerin sadece yetki alanlarında olan dokümanlara ulaşabildiğini güvence altına almalıdır. 18 Avrupa Komisyonu, "Kritik Altyapı Bilgi Uyarı Sistemi, Tebliğ", 25

29 CIWIN in ulusal seviyede işletilmesinden kaynaklanan maliyetler Üye Ülkeler tarafından, merkezi işletimi ve bakımı ile ilgili maliyetler AB tarafından finanse edilecektir. 3.3 Japonya Japonya örneğinin diğer örneklerden iki temel farkı vardır. Bunlardan ilki Kritik Altyapıların Korunması meselesini bilgi altyapılarının korunması perspektifinden ele almasıdır. İkinci fark ise diğer örneklerin aksine yasal çerçevenin ağırlıkla Eylem Planlarından oluşmasıdır Gelişmiş Bir Bilgi ve İletişim Toplumu Kurulması için Temel Kanun (2000) 19 Bu kanun doğrudan Kritik Bilgi Altyapıların korunmasıyla ilgili olmamakla birlikte Kritik Bilgi Altyapılarının korunması çalışmalarının dayanaklarından birini oluşturmaktadır. Kanunun amacı gelişmiş bir bilgi ve telekomünikasyon ağ toplumunu oluşturmak için gerekli tedbirleri desteklemek olarak belirlenmiştir. Kanuna göre; Gelişmiş bir Bilgi ve İletişim Ağ Toplumu, insanların kendilerini bütün alanlarda çeşitli bilgi veya veriyi dünya çapında serbestçe ve güvenli bir şekilde, Internet üzerinden elde ederek, paylaşarak ve ileterek geliştirebildikleri bir toplumu ifade etmektedir. Bu amaca ulaşmak için alınacak genel tedbirler; Bilgi ve telekomünikasyon ağlarının geliştirilmesi, İçeriğin zenginleştirilmesi ve bilginin kullanılması için gerekli yeteneklerin öğrenilmesi, Dünyanın en gelişmiş bilgi ve telekomünikasyon ağlarının kurulması, adil rekabetin sağlanması, İnsanların bilgiden istifade etme yeteneklerinin güncellenmesi ve uzman insan kaynağı geliştirilmesi, Yeni düzenlemeler yapılması ve e-ticaretin kolaylaştırılması, Elektronik Devlet uygulamasının gerçekleştirilmesi ve Bilgi ve Telekomünikasyon Teknolojisinin Kamu sektöründe yaygınlaştırılması, 19 Japon Hükümeti, Gelişmiş Bir Bilgi ve İletişim Toplumu Kurulması için Temel Kanun, 26

30 içerir. Ağlar için güvenlik ve güvenilirliğin temin edilmesi ve kişisel bilginin korunması, Yenilikçi araştırma ve geliştirmenin desteklenmesi, Uluslar arası katkı ve işbirliğinin sağlanmasını Kanun hükümlerince Gelişmiş Bilgi ve İletişim Ağ toplumunun kurulması için gerekli tedbirleri teminen Kabine içerisinde konuyla ilgili bir Stratejik Merkez kurulacaktır. Kurulacak Stratejik Merkez; Gelişmiş Bilgi ve İletişim Ağ toplumunun kurulması için gerekli öncelik politika programını ve benzer programları geliştirme, bu programların uygulanmasını destekleme ve hedeflenen amaca ulaşmak için önemli tedbirlerin planlanması hususunda müzakere etme yetki ve sorumluluğuna sahip olacaktır Kritik Altyapılara Karşı Siber Tehditler Üzerine Özel Eylem Planı (2000) 20 Bu Planın amacı kritik altyapıları insanların hayatı ve iş dünyasının ekonomik aktiviteleri üzerinde büyük etki etme potansiyeline sahip olan siber terör saldırılarından korumaktır. Planda siber tehditlerin önemi ve kapsamından bahsedilmiştir. Siber saldırılardan etkilenme ihtimali en yüksek kritik sektörler olarak telekomünikasyon, finans, havacılık, demiryolları, elektrik, gaz ve yönetim sektörleri belirlenmiştir. Belirlenen sektörlerde siber saldırılardan doğan hasarı önlemek amacıyla, hedef kritik altyapıların bilgi sistemleri için risk analiz yapılacak ve bu sistemlerin önemine göre gerekli tedbirler uygulanacaktır. Ayrıca kritik altyapıya sahip alanlarda güvenlik seviyesi devamlı olarak arttırılacaktır. Çeşitli kritik altyapı alanları için kamuda ve özel sektörde önleme, karşılık verme ve güvenlik verisini ve ayrıca acil durum ve uyarı bilgisini paylaşmak amacıyla sistemler kurulacaktır. Her bir kritik altyapı alanı için bir siber saldırı durumunda veya ihtimali ortaya çıktığında alınacak tedbirleri belirlenecek ve devlet ve özel sektörün karşılık verebilme kabiliyetleri geliştirilecektir. 20 Japon Hükümeti, "Kritik Altyapılara Karşı Siber Tehditler Üzerine Özel Eylem Planı", 27

31 Planda ayrıca siber teröre karşı önlemler geliştirmek için personelin eğitimi, araştırma ve geliştirme, uygulamaların yaygınlaştırılması ve bilgi güvenliği temelleri konusunda uygun kanunlar ve düzenlemeler yapmanın gerekliliği vurgulanmıştır. Bu bağlamda kritik altyapılarda siber saldırılardan koruma sağlamak için genel bilgi sistemlerinin işletmecileri ve kullanıcıları; siber saldırı tehdidinin farkında olmalı, güvenlik tedbirleri konusunda anlayışlarını geliştirmeli ve gerekli karşı tedbirleri almalıdırlar. Aynı zamanda siber saldırılar ulusal sınırlardan bağımsız olarak yapılabildiğinden bu tarz saldırılarla başa çıkmak için uluslar arası işbirliği ve koordinasyon gerekli görülmektedir Bilgi Güvenliği Üzerine Kapsamlı Strateji(2003) 21 Bu Strateji, riskleri azaltma konusunda koruyucu bir yaklaşım olmaktan ziyade Japon ekonomisinin rekabet gücünü arttırmak ve Japon Ulusunun güvenliğini kapsamlı şekilde güçlendirmek için Japonya nın güvenlik ve emniyet konularındaki gücünü kullanmayı amaçlamaktadır. Stratejiye göre BT, toplumun sinir sistemi gibi işlev görmektedir. Bu sebeple Toplumun karşı karşıya olduğu risklerle ilgili; risklerin artması, risklerin doğasının değişmesi, yeni risklere karşı ulusal güvenlik perspektifinden önlem alma gerekliliğinin ortaya çıkması gibi değişimler olmaktadır. Daha önce uygulanan geçici tedbirlerin zafiyeti ve yüksek seviyede emniyetli bir toplum oluşturma gerekliliği gibi nedenlerle kapsamlı bir Bilgi Güvenlik Stratejisine ihtiyaç ortaya çıkmaktadır. Bu bağlamda Bilgi Güvenliğini Güçlendirmek amacıyla; Kazalara ve olaylara hazırlıklı kendi kendini iyileştirebilen bir sosyal sistemin geliştirilmesi, Yüksek güvenilirlik avantajından yararlanmak amacıyla özel sektörün harekete geçmesi, Kabine Ofisini güçlendirmek için tümleşik bir yapının oluşturulması stratejileri benimsenmiştir. 21 Japon Ekonomi, Ticaret ve Sanayi Bakanlığı, Bilgi Güvenliği Üzerine Kapsamlı Strateji, 28

32 3.3.4 Kritik Altyapılar için Bilgi Güvenliği Önlemleri Üzerine Birinci ve İkinci Eylem Planları ( & 2009) Kritik altyapılar için Bilgi Güvenliği Önlemleri Üzerine Birinci Eylem Planı (Birinci Eylem Planı) kritik altyapıları, insanların sosyal hayatlarını ve ekonomik eylemlerini BT arızalarından ciddi şekilde etkilenmekten korumakla birlikte kuruluşların devamlı hizmet verebilmesini ve BT arızalarından anında geri dönebilmesini sağlamayı ve BT arızalarının sayısını en aza indirmeyi hedeflemektedir. Birinci Eylem Planında Bilgi Güvenliği Politikaları Konseyi (Information Security Policy Council - ISPC) tarafından geliştirilen güvenlik standartlarının etkinliği ve sürdürülmesinin gerekliliği vurgulanmıştır. Planda yer alan bilgi paylaşım sistemlerinin güçlendirilmesi kararı Kabine sekreterliği ile kritik altyapı sektöre özel bakanlıklar arasında bilgi temini ve irtibat sağlamıştır. Plan kapsamında bağımlılık analizleri yapılmıştır. Yapılan statik bağımlılık analizi kritik sistemlerin diğer altyapılara bağlılığını ortaya çıkarırken, dinamik bağımlılık analizi BT arızalarının ortaya çıkması sonucunda sektörler arası ilişkinin zaman içinde nasıl değişeceğini göstermiştir. Birinci Eylem Planında yer alan en önemli kararlardan biri; kritik altyapıların aksamasını engellemek için ana adımlardan olan Koruma Mühendisliği Kabiliyetleri, Teknik İşlemler, Analizler ve Karşılık (CEPTOAR) yapısının geliştirilmesi olmuştur. Ayrıca sektörler arası egzersizler yapılmıştır. İkinci Eylem Planı Birinci Eylem Planının sonuçları üzerine kurulmuştur. Bu planın amacı BT arızalarının insanların sosyal hayatlarına ve ekonomik etkinliklerine ciddi etki etmesini önlemek olarak belirlenmiştir. Bu sebeple Planda hem kritik altyapı sağlayıcılarının hizmetlerini devam ettirebilmek için BT arızalarına karşı önleyici hem de BT arızalarından 22 Bilgi Güvenliği Politika Konseyi, "Kritik Altyapılar için Bilgi Güvenliği Önlemleri Üzerine Eylem Planı", 23 Bilgi Güvenliği Politika Konseyi, "Kritik Altyapılar için Bilgi Güvenliği Önlemleri Üzerine İkinci Eylem Planı, 29

33 sonra hızlı bir şekilde hizmetlerin kaldığı yerden devam etmesini sağlamak için gerekli tedbirler belirlenmektedir. Plana göre Kritik Altyapı Sağlayıcıları bilgi güvenlik tedbirlerini öncelikle kendi sorumluluklarına alacaklardır. Ayrıca çeşitli hizmetler karışık şekilde bağımlı olduğundan ve BT kullanımı geniş alana yayıldığından sadece kritik altyapı işletmecilerinin aldığı tedbirler yeterli olmamaktadır. Bu sebeple aynı sektördeki şirketler arasında ve farklı sektördekilerle işbirliğini arttırmak gerekmektedir. Planda yer alan hükümler bağlayıcı olmamakla birlikte ilgili Kurum ve Kuruluşlara; Gelişmiş tedbirlerin alınması ve Rehberle uyumu sağlama, Teknoloji, yönetim ve kanun koyma alanlarında alınan önlemleri uyumlu hale getirme, Tedbirlere hem müşteri hizmetleri hem de sosyal sorumluluk açısından bakma, BT arızalarına karşı önleyici tedbirler almakla birlikte bunların kesin çözüm olmayacağının farkında olma, BT arızaları hakkında bilginin mümkün olduğunca paylaşılmasının gerekliliğini anlama gibi tedbirler önerilmektedir. İkinci Eylem Planına göre gelişim katmanlı bir yaklaşımla olacaktır. Örneğin münferit kritik altyapı sağlayıcılarında gelişim, her bir kritik altyapı sektöründe gelişim ve hükümetlerin sektörler arası politikasında gelişim gibi seviyelerde çalışmalar yapılacaktır. Bunun yanında İlk Planda kurulan CEPTOAR yapısının daha da güçlendirilmesi planlanmaktadır. Her bir CEPTOAR ı içeren CEPTOAR Konseyi karşılıklı destek ve yardım sağlamak amacıyla kurulmuştur. CEPTOAR Konseyi sayesinde karşılıklı anlayış geliştirilmesi ve sektörler arası en iyi uygulamalar gibi bilgilerin paylaşılması amaçlanmaktadır. Planda son olarak zaman içerisinde çevresel faktörlerde değişimler olabileceği ve her bir kurum ve kuruluş çevresel değişimleri sezme yeteneğini geliştirmek için çabalamasının gerekliliği vurgulanmıştır. Bu amaçla halkla ilişkiler ve çeşitli oturumlar, risk paylaşımının 30

34 güçlendirilmesi, uluslar arası işbirliğinin arttırılması, araştırma geliştirme çalışmaları ve insan kaynağı yetiştirme gibi yollarla bilgi güvenliği için temeli güçlendirme çalışmaları yapılması önerilmektedir. 4 Kritik Altyapıların Korunması Hususunda Yapılan Çalışmalar 4.1 ABD Özellikle 11 Eylül saldırılarının ardından ABD güvenlik konusuna daha çok önem vermeye başlamıştır. ABD nin yüksek teknoloji temelli, yüksek derecede bağlantılı ve karmaşık yapısı sebebiyle kritik altyapı, kaynak ve ağları dağınıktır. Bu durum terörist saldırılar için uygun bir ortam hazırlamakla kalmayıp bir noktada ortaya çıkan bir zafiyet durumunun ardı ardına gelen felaketler halini almasına sebep olabilir. Yapılan mevzuat çalışmalarıyla beraber kritik altyapıları koruma işini organize etme görevi DHS ye verilmiştir 24. DHS bu kapsamda bütün kritik sektörlerde ortak olarak kullanılacak Ulusal Altyapı Koruma Planı (NIPP) adı altında bir çerçeve geliştirmiştir 25. NIIP nin amacı; Teröristlerin Ulusumuzun kritik altyapılarını ve önemli kaynaklarını yok etme, aciz bırakma veya suiistimal etme çabalarını engelleyerek, caydırarak, etkisiz hale getirerek veya etkilerini azaltarak daha güvenli, güvenlikli ve dirençli bir Amerika inşa etmek ve bir saldırı, doğal afet veya başka acil durumda Ulusal hazırlıklılığımızı, vaktinde tepki vermeyi ve kritik altyapıların ve önemli kaynakların hızlı bir şekilde onarılmasını güçlendirmek. olarak belirtilmiştir 26. Ulusal Altyapı Koruma Planının 27 temel amacı bütün kritik altyapı ve kaynakları koruma işini tek bir çatı altında birleştirmektir. Plana 28 göre her bir sektör bu planı temel alarak kendi sektörüne özel koruma planını hazırlayacaktır. Koruma CIKR varlıkları, sistemleri, ağları, 24 ABD Hükümeti, 2002 Tarihli Yurt Güvenliği Yasası, 25 Yurt Güvenlik Teşkilatı, Ulusal Altyapı Koruma Planı, 26 y.a.g.e. 27 y.a.g.e. 28 y.a.g.e. 31

35 işlevleri veya ara bağlantılarına genel riskleri azaltma çabalarını içerir (Şekil 4.1). NIPP bağlamında bu, tehdit caydırma, açıklıkları azaltma ve terörist bir saldırı veya diğer bir olay sonucunda ortaya çıkacak sonuçları asgari seviyeye indirme eylemlerini içerir. Şekil 4.1. Koruma Çerçevesi 29 Koruma çalışmalarına; Güvenlik protokollerini geliştirme, Tesisleri güçlendirme, Esneklik ve yedeklilik inşa etme, Tesis tasarımında felakete dayanıklılığa dikkat etme, Aktif veya pasif karşı önlemler başlatma, Güvenlik sistemleri kurma, Kendi kendini iyileştiren teknolojilerden faydalanma, İş gücü güvence programlarını destekleme, Siber güvenlik tedbirleri uygulama, Güvenlik eğitim ve egzersizleri, İş sürekliliği planlama, 29 Yurt Güvenlik Teşkilatı, Ulusal Altyapı Koruma Planı, s

36 Onarma ve iyileştirme eylemleri ve benzeri etkinlikler dahildir 30. CIKR paydaşları için farklı roller ve sorumluluklar belirlenmiştir. Bu paylaşıma göre; DHS ye; Ulusun toplam CIKR koruma çabalarını koordine etme ve NIPP geliştirilmesi, uygulanması ve ulusal hazırlıklılık girişimlerine uyumunu denetleme, Sektöre Özel Bakanlıklara (SSA); her bir sektörün karakteristiğine ve risk haritasına göre NIPP çerçevesini ve rehberliğini uygulama, Diğer Federal Kurum, Bakanlık ve Ofislere; HSPD-7 veya diğer ilgili kanunlar ile verilmiş CIKR koruma rollerini uygulama, Eyalet, Yerel, Kabilesel ve Bölgesel Yönetimlere; NIPP risk yönetimi çerçevesiyle uyumlu bir şekilde ve yurt güvenlik programlarının parçası olarak bir CIKR koruma programı geliştirme ve uygulama, Bölgesel Paydaşlara; belirli bir coğrafi alanda CIKR koruma aktivitelerine katılma, Kurullar, Komisyonlar, Otoriteler Konseyler ve Diğer Birimlere; kendi görev alanları içinde düzenleme, tavsiye, politika veya iş denetleme benzeri CIKR koruma işlevlerini yerine getirme, Özel sektör sahip ve işletmecilerine; CIKR koruma, onarma, koordine etme ve işbirliği aktivitelerini üstlenme ve devletin bütün seviyelerine tavsiye, öneri ve uzmanlık sağlama, Yurt Güvenliği Danışma Konseyine; hükümete koruma politika ve etkinlikleri hakkında tavsiye, öneri ve bilgi sağlama, Akademi ve Araştırma Merkezlerine; CIKR koruma tecrübesi, bağımsız analizi, araştırma ve geliştirmesi ve eğitim programları sağlama görevleri verilmiştir 31. Ayrıca her bir sektör için sektöre özel konseyler kurulmuştur. Bu konseyler iki çeşittir. Bunlar özel sektöre yönelik olan Sektör Koordinasyon Konseyleri (Sector Coordinating Council - SCC) ve kamuya yönelik olan Kamu Koordinasyon Konseyleridir (Government Coordinating Council - GCC). SCC ler için sektörler arası bağımlılıklar ve meseleler CIKR Sektörler Arası Konsey 30 y.a.g.e. 31 Yurt Güvenlik Teşkilatı, Ulusal Altyapı Koruma Planı, 33

37 tarafından, GCC ler arasındaki meseleler ise Devlet Sektörler Arası Konsey tarafından çözümlenmektedir. CIKR koruma programı sırasında farklı sektörler arasında bilgi paylaşımı için güvenli bir ağ yaklaşımı benimsenmiştir. Sektörler arasında stratejik tehditlerin değerlendirilmesi, tehdit uyarıları, olay raporları, risk değerlendirmeleri ve en iyi uygulamalar gibi bilgilerin paylaşılması sağlanmaktadır. Devletten ve özel sektörden alınan bu bilgiler bazen kritik verileri de içermektedir. Bu sebeple bu bilgilerin korunması için farklı program ve prosedürler kullanılmaktadır. NIIP daha önce CIKR koruma alanında yapılmış çalışmaları da göz ardı etmemelidir. NIIP ile birlikte, Ulusal Hazırlıklılık Rehberi (NPG) ve Ulusal Tepki Çerçevesi (NRF) yurt güvenliği misyonuna bütüncül ve eksiksiz bir yaklaşım sağlamaktadır. NIPP Ulusun CIKR koruma duruşunu tanımlayan, genel riskten haberdar bir yaklaşım geliştirmektedir. NIIP nin amacını yerine getirebilmesi için bilginin anlaşılması ve paylaşılması, ortaklıklar kurulması, CIKR risk yönetimi programının kurulması, CIKR yönetimi sırasında kaynakların etkin kullanımını sağlanması gerekmektedir. Bilginin anlaşılması ve paylaşılması amacıyla SSA lara yasaların müsaade ettiği ölçüde bilgi sağlanması, bilginin güvenli bir şekilde paylaşılması için gerekli protokollerin oluşturulması, gerçek zamanlı uyarı, tehdit gibi bilgilerin iletilmesi için protokollerin oluşturulması, hassas bilginin korunması için gerekli protokollerin oluşturulması gibi faaliyetler yürütülecektir. Ortaklıklar kurulması ise fikirlerin ve tecrübelerin aktarılmasını, güvenlik planlaması ve kaynak paylaşımının sağlanmasını, uluslar arası ilişkilerin güçlendirilmesini ve kamu farkındalığının arttırılmasını amaçlamaktadır. CIKR risk yönetimi programıyla; CIKR nin korunması ve esnek hale getirilmesi için gerekli adımları atmak, farklı seviyelerde risk değerlendirmesi ve güncellemesi yapmak, daha etkili ve verimli şekilde CIKR korunmasını sağlayacak teknolojiler geliştirmek ve kurmak gibi amaçlar güdülmektedir. Kaynakların etkin kullanımı amacıyla sektörün ihtiyaç ve gerekliliklerine göre program ve etkinliklerin önceliklendirilmesi yapılacak, tecrübe aktarılması ve daha önce başarılı olan pratiklerin uygulanmasını hızlandırılacaktır. NIIP nin en önemli bölümlerinden birisi risk belirleme aşamasında kullanılan risk analizi ve yönetimi çerçevesidir. (Şekil 4.2) 34

38 Şekil 4.2. Risk Analizi ve Yönetimi Çerçevesi Risk Analizi ve Yönetimi Çerçevesinde yer alan; Hedef ve amaçları belirleme; etkin risk yönetimi duruşunu oluşturan önceden belirlenmiş çıktıları, koşulları ve performans hedeflerini belirlemeyi, Varlık, sistem ve ağları belirleme; varlıkların, sistemlerin, ağların envanterini çıkarmayı ve her bir sektörün karakteristiklerini hesaba katan risk yönetimi hususunda bilgi toplamayı, Riskleri değerlendirme; terörist saldırı veya felaketlerin potansiyel direk ve dolaylı etkilerini, çeşitli saldırı yöntemlerine karşı bilinen açıklıkları ve tehdit bilgisini hesaba katarak risk değerlendirmesi yapmayı, Önceliklendirme; varlık, sistem ve/veya ağ riskleri ve ilgili görev devamlılığı konusunda uygun bakış açısını kazanmak için, risk değerlendirme sonuçlarını bir araya getirme ve karşılaştırmayı, risklere dayalı olarak öncelikler belirlemeyi, yatırım sonunda riskin azaltılması geri dönüş sağlayabilen koruma, esneklik ve iş devamlılığı kuruluşlarını belirlemeyi, Koruma programları ve esneklik stratejileri uygulama; belirlenen riski azaltmak veya yönetmek için uygun programları ve eylemleri seçmeyi ve önceliklere hitap etmek için gerekli kaynakları belirleme ve sağlamayı, Etkinliği ölçme; ölçütler ve diğer değerlendirme prosedürlerini uygun yönetim seviyelerinde CIKR koruma programlarının gelişimini ölçmek ve etkinliği değerlendirmek amacıyla kullanmayı ifade eder. 35

39 Sektörler arası risk analizi; bağlılıklar, bağımlılıklar ve ardışık etkilerin değerlendirilmesini, ortak açıklıların belirlenmesini, genel tehdit senaryolarının geliştirilmesi ve paylaşılmasını, sektörler arasında risk yönetiminin önceliklendirilmesini, riski azaltmak için sektörler arası tedbirlerin geliştirilme ve paylaştırılmasını, sektörler arası ar-ge ihtiyaçlarının belirlenmesini içermektedir. Ulusal güvenlik ve kritik altyapıları koruma çalışmaları konusunda hazırlanan planlarda farklı sektörler arasında ve kamu ve özel sektör arasında bilgi paylaşımının önemine vurgu yapılmıştır. Sektörler içinde ve arasında bilgi paylaşımını sağlamak için çeşitli çalışmalar yapılmış ve yapılar kurulmuştur. NIIP kritik altyapı koruma alanında kamu-özel sektör ortaklığı çerçevesini geliştirmektedir. Her bir sektör politika koordinasyonu için sektör koordinasyon konseyini kuracak ve işlevsel bir birim belirleyecektir. Benzer şekilde kamu da bir Kamu Koordinasyon Konseyi kuracak ve sektöre özel kurumlar belirleyecektir. Sektörlere özel planların geliştirilmesine devam edilmektedir. Şu ana kadar Tarım ve Gıda, Bankacılık ve Finans, İletişim, Savunma Sanayi Üssü, Enerji, Bilgi Teknolojileri, Ulusal Anıtlar ve Simgeler, Ulaşım Sistemleri ve Su sektörlerine özel planlar hazırlanmıştır 32. İletişim, BT, Tarım ve Gıda sektörleri gibi erişilebilir ve dağıtık sistemler için tavandan tabana iş veya görev sürekliliği yaklaşımı veya ağ ve sistem bağımlılıklarına odaklanan risk değerlendirme yaklaşımı daha etkili olacağı değerlendirilmektedir. NIIP de Siber Boyut a özel bir alan ayrılmıştır. Bunun sebebi ABD ekonomisinin ve ulusal güvenliğinin yüksek ve giderek artan bir seviyede küresel siber altyapıya bağlı olmasıdır. Siber altyapı bütün sektörlerin hizmetlerini olanaklı kılmaktadır. Bununla beraber yüksek derecede birbirine bağlı ve bağımlı bir CIKR küresel ağı ortaya çıkmaktadır. Belirli bir art niyetli kesim bazı araçlar kullanarak devamlı siber altyapıya saldırılar düzenlemektedir. Siber altyapının bir birine bağlı yapısı bu tarz saldırıların bir anda yayılmasına ve zarar vermesine neden olabilmektedir. Siber güvenlik elektronik bilgi ve iletişim sistemlerine zarar verilmesini, bu sistemlere yetkisiz erişilmesini veya bu sistemlerin suiistimal edilmesini önlemeyi içerir ve böylece gizlilik,

40 bütünlük ve kullanılabilirliği sağlar. Ayrıca elektronik bilgi ve iletişimin bir terörist saldırı veya doğal afet sonrasında eski haline getirilmesi de siber güvenlik sahasına dâhildir. Yenilikçi teknolojinin ve birbiriyle bağlı ağların kullanımı üretkenliği ve verimliliği arttırmakla birlikte, eğer siber güvenlik doğru bir şekilde ele alınmazsa, siber tehditlere açıklığı arttırmaktadır. ABD nin CIKR yapısının birbirine bağlı ve bağımlı yapısı fiziksel ve siber varlıkların birbirinden ayrı değerlendirilmesini imkânsız kılmaktadır. NIPP siber riski azaltma ve siber güvenliği güçlendirme işlerine hem her bir sektör tarafından dikkate alınması gereken bir çapraz sektör elemanı hem de telekomünikasyon sektörüyle ortak bir şekilde BT sektörünün ana bölümlerinden biri olarak yaklaşmaktadır. Aynı zamanda Uluslar arası CIKR Koruma Planı çerçevesinde Federal Hükümet ve özel sektör yabancı hükümetlerle ve çokuluslu/uluslar arası şirketlerle çalışmalar yürüterek siber altyapıların güvenlik, bütünlük ve elverişliliğini güçlendirmek için çalışmaktadır AB AB çalışmaları daha önce bahsedilmiş olan EPCIP 34 çerçevesinde devam etmektedir. Bu program kapsamında daha önce Enerji sektörü ve İletişim sektörü birer ECI sektörü olarak belirlenmiştir. Bu sektörlerde ECI belirleme ölçütleri netleşmiştir. Bilgi Teknolojileri ve İletişim (BTİ) sektörü ile ilgili çalışmalar ise devam etmektedir. BTİ sektöründe ECI ların belirlenmesi çalışmalarının 2010 yılı ortasında bitirilmesi planlanmaktadır 35. Yasal çerçevede kritik sektör olarak önerilen sektörlere ve alt sektörleri şu şekildedir 36 ; 33 Yurt Güvenlik Teşkilatı, Ulusal Altyapı Koruma Planı, 34 Avrupa Komisyonu, "Kritik Altyapı Koruma için bir Avrupa Programı, Tebliğ, 35 Avrupa Komisyonu, "Avrupa'yı geniş çaplı siber saldırılardan ve aksamalardan koruma, Tebliğ", s. 32, 36 Avrupa Komisyonu, "Kritik Altyapıların Korunması için Bir Avrupa Programı, Rapor, 37

41 I Enerji 1 Petrol ve gaz üretimi, rafinesi, işlenmesi, depolaması ve boru hatlarıyla taşınması 2 Elektrik üretimi ve iletimi II Nükleer sanayi 3 Nükleer maddelerin üretim ve depolama/işlenmesi III Bilgi ve İletişim Teknolojileri (BTİ) 4 Bilgi sistemi ve ağ koruması 5 Cihaz otomasyonu ve kontrol sistemleri (SCADA vb.) 6 Internet 7 Sabit telekomünikasyon hizmetleri 8 Mobil telekomünikasyon hizmetleri 9 Telsiz iletişimi ve seyrüsefer 10 Uydu iletişimi 11 Yayıncılık IV Su 12 İçme suyu temini 13 Su kalitesinin kontrolü 14 Su kaynakları ve miktarının kontrolü V Gıda 15 Gıda tedariki ve gıda güvenlik ve emniyetinin temini VI Sağlık 16 Tıbbi ve hastane bakımı 17 İlaçlar, serumlar, aşılar ve tıbbi ürünler 18 Biyolojik laboratuarlar ve etkenler VII Finans 19 Ödeme ve menkul kıymetler ve yerleşim altyapıları ve sistemleri 38

42 20 Düzenlenen pazarlar VIII Ulaşım: 21. Karayolu 22. Demiryolu 23. Hava ulaşımı 24. Yurtiçi deniz ulaşımı 25. Okyanus ve kısa sefer denizciliği IX Kimya Endüstrisi 26 Kimyasal maddelerin üretim ve depolama/işlemesi 27 Tehlikeli madde boru hatları (kimyasal maddeler) Bütün bu sektörlerle ilgili ECI lerin belirlenmesi ve korunması çalışmaları EPCIP çerçevesinde Komisyon önderliğinde yapılacaktır. Bir sonraki bölümde EPCIP ve ona yardımcı olarak geliştirilen sistemler ile ilgili daha ayrıntılı bilgi verilecektir EPCIP 37 Kritik altyapıları koruma çalışmalarının Üye Ülkelerin münferit olarak yapacağı bir çalışmadan çok AB seviyesinde yapılacak bütüncül bir çalışma olması gerektiği görüşü geniş kabul görmüştür. Bunun sebepleri arasında hem Avrupa Konseyi nin hem de Adalet ve İç İşleri (JHA) Konseyinin bu görüşü benimsemesi, Avrupa Komisyonu nun ise iç pazarı desteklemek amacı gütmesi ve pazarın hem Kritik Altyapı Koruma çalışmalarından hem de bu çalışmaların yokluğundan zarar görmesini engellemeye çalışması gösterilebilir. Üye Ülkeler tarafından münferit olarak yapılan çalışmalar gerekli koordinasyon ve işbirliğini içermediğinden yeterli seviyede başarılı olamamaktadır. Özellikle AB içerisinde pazar serbestleşmesi ve Internet benzeri yeni teknolojilerin kullanımının giderek yaygınlaşması gibi etkenler AB kritik 37 Avrupa Komisyonu, "Kritik Altyapı Koruma için bir Avrupa Programı, Tebliğ, 39

43 altyapılarının sadece ait olduğu Üye Ülkenin sorumluluğunda olma uygulamasını yetersiz hale getirmektedir. Bu sebeple kurulan EPCIP çerçevesi Avrupa Kritik Altyapılarını Koruma çalışmaları için işbirliği ve koordinasyonu sağlamayı hedeflemektedir. EPCIP ile ilgili çalışmaların hızlandırılması AB çapında bütüncül bir yapının kurulması açısından önemlidir. Üye Ülkelerin kendi içlerinde kritik altyapı kurma çalışmaları eğer diğer Üye Ülkelerle koordine edilmezse ortaya birbirleriyle uyumsuz çalışmalar çıkabilir. Bu sebeple EPCIP çalışmalarının hızla tamamlanması büyük öneme sahiptir. Artık bir Üye Ülkede kritik bir altyapının zarar görmesi kendisinden başka Üye Ülkelere de zarar verebilmektedir. Bu sebeple güvenlikle ilgili ana düsturlardan olan bir sistemin en zayıf halkası kadar güvenli olduğu gerçeği göz önünde bulundurulduğunda EPCIP çerçevesinde yapılan çalışmaların önemi açığa çıkmaktadır. Daha önce yasal çerçeveyle ilgili yapılan analizde belirtildiği gibi EPCIP çerçevesinin iki önemli prensibi katmanlı yetki ve orantısallık ilkeleridir. Katmanlı yetki prensibine göre her bir Üye Ülke kendi kritik altyapılarından sorumlu olacak ve aynı zamanda diğer Üye Ülkeleri etkileyebilecek ECI ye dâhil altyapılarının korunması AB tarafından güvence altına alınacaktır. Bir diğer prensip olan orantısallık ise kritik altyapının korunması konusunda gerekli minimum tedbirlerin alınmasını ve çalışmalar için gereğinden fazla kaynak ve zaman ayrılmamasını garanti altına almaktadır. Yukarıda bahsi geçen ilkelerin yanında altyapı işletmecilerinin veya sahiplerinin kritik altyapıların korunması için vermiş olduğu gizli ve hassas bilgilerin çalışmalara katılmayan kişilerin eline geçmesi veya kamuya açıklanması gizlilik prensibi gereğince engellenecektir. Aynı zamanda AB nin ECI ler konusunda yapacağı çalışmalar daha önce Üye Ülkelerde yapılan çalışmaları tamamlayıcı bir nitelikte olacaktır. Bu bağlamda mevcut çalışmalardan faydalanılacak ve bu çalışmaların eksik olan kısımları ise tamamlanacaktır. Bu çalışmalar kapsamında ilk öncelik ECI lerin belirlenmesi olacaktır. ECI ler yasal çerçeve bölümünde bahsettiğimiz 2008 tarihli ve Avrupa Kritik Altyapılarının belirlenmesi ve korumalarının arttırılma ihtiyacının değerlendirilmesi konulu Direktif doğrultusunda 40

44 yapılmaktadır 38. Direktif doğrultusunda ECI ler belirlenirken; öncelikle Komisyon Üye Ülkeler ve ilgili paydaşlarla birlikte ECI lerin belirlenmesinde kullanılacak çapraz kesim ölçütlerini belirleyecektir. Çapraz kesim ölçütleri belirlenirken kritik altyapının zarar görmesi halinde ortaya çıkacak sonuçların ciddiyeti göz önünde bulundurulur. Bu değerlendirme yapılırken dikkate alınacak hususlar; Kamu etkisi (etkilenen nüfus büyüklüğü, can kaybı vb.) Ekonomik etki Çevresel etki Politik etki (hükümete duyulan güven) Psikolojik etkidir. Daha sonra her bir Üye Ülke bu ölçütleri sağlayan kritik altyapıları belirleyecek ve belirledikleri ECI adaylarını Komisyon a bildirecektir. Komisyon bu bildiriler doğrultusunda ECI taslak listesi hazırlayacaktır. Son olarak kurulacak bir komisyon aracılığıyla liste kesin halini alacaktır. ECI ler belirlendikten sonra Üye Ülkelere düşen iki görev vardır. Bunlardan ilki İşletmeci Güvenlik Planı (OSP) hazırlamaktır. Bu planda en az; Önemli varlıkların tespiti, Büyük tehdit senaryolarına, her bir varlığın zafiyetine ve zarar görmesi halinde ortaya çıkacak potansiyel etkiye dayalı risk analizi, Karşı tedbirler ve prosedürlerin tespiti, seçimi ve önceliklendirilmesi konularına yer verilecektir. ECI lerin korunması kapsamında Üye Ülkelere düşen ikinci görev ise her bir ECI için Güvenlik İrtibat Görevlisinin belirlenmesidir. Güvenlik İrtibat Görevlileri her bir ECI için ilgili ulusal kritik altyapı koruma otoriteleriyle işbirliği ve iletişimi kolaylaştırmak amacıyla çalışmaktadır. Direktif ile belirlenen EPCIP çerçevesinin dışında ve bu çerçeveyi güçlendirmek amacıyla bağlayıcı olmayan tedbirler belirlenmiştir. Bu tedbirler arasında; EPCIP eylem planı, Kritik Altyapı Uyarı Bilgi Ağı (CIWIN), 38 Avrupa Konseyi, "Avrupa Kritik Altyapılarının Belirlenmesi ve Koruyucu Tedbirlerin Arttırılması, Direktif", 41

45 AB seviyesinde uzman grupların kullanımı, Kritik Altyapı Koruma bilgi paylaşım süreci, Bağımlılıkların belirlenmesi ve analizi, Üye Ülkeler tarafından kendi ulusal kritik altyapılarını korumakta kullanabilecekleri tedbirler, sayılabilir. Avrupa Komisyonu tarafından sunulan CIWIN üzerine Avrupa Konsey Karar Önerisinde belirtildiği gibi AB içerisinde ortak tehditler ve açıklıklar konusunda bilgi alışverişini kolaylaştırmak için CIWIN kurulmaktadır 39. Bu sistem Üye Ülkelere, AB Enstitülerine ve kritik altyapı işletmeci ve sahiplerine ortak tehditler, açıklıklar ve kritik altyapılara yönelik riski azaltma hakkında uygun tedbir ve stratejileri paylaşmalarında yardımcı olmayı amaçlamaktadır. CIWIN üzerindeki bilgilere erişim hakkı daha önce belirlenmiş prensipler ve kurallar çerçevesinde belirlenmiş yetkili kullanıcılara verilecektir. CIWIN e tam ve kısıtlı erişim konusunda şartlar ve prosedürler Komisyon tarafından belirlenecektir. 4.3 JAPONYA Japonya da Kritik Bilgi Altyapılarının korunması ile ilgili çalışmaların koordinasyonu ve politikaların belirlenmesi Kabine Sekreterliği tarafından yerine getirilmektedir. Kritik Altyapıların korunmasıyla ilgili organizasyon şeması Şekil 4.3 te görülmektedir. Şekilde görüldüğü gibi yapının en üstünde Kabine Sekreterliği kapsamında oluşturulmuş bulunan Bilgi Güvenliği Politika Konseyi (ISPC) ve Ulusal Bilgi Güvenliği Merkezi (NISC) yer almaktadır. BT Strateji Merkezi 2000 yılında Kabine Bünyesinde rekabetçi bir BT Ulusu kurmak için gerekli kapsamlı tedbirleri almak amacıyla kurulmuştur. Aynı zamanda BT Strateji Konseyi 20 kanaat önderinden oluşan BT Strateji Konseyi meseleyi kamu ve özel sektörün gücünü bir araya getirerek stratejik ve yoğun şekilde çalışmak için kurulmuştur Avrupa Komisyonu, "Kritik Altyapı Bilgi Uyarı Sistemi, Tebliğ",

46 Şekil 4.3. Risk Analizi ve Yönetimi Çerçevesi 41 ISPC Mayıs 2005 te kurulmuştur ve çeşitli bakanlıklardan ve özel sektör uzmanlarından oluşan kadrosuyla BT Strateji Merkezinin bir bölümünü oluşturmaktadır. BT Strateji Merkezi bilgi güvenliği strateji ve politikalarının geliştirilmesi ve güncellenmesinde kilit bir rol oynamaktadır. ISPC; Bilgi Güvenliği ile ilgili stratejileri geliştirmek ve güncellemek, Temel stratejiye dayalı şekilde, bilgi güvenliği politikalarının ileriye ve geriye dönük değerlendirmelerini yapmak, Bilgi güvenliği için devlet çapında tek tip güvenlik kılavuzları geliştirmek, Devlet çapındaki güvenlik kılavuzlarına dayalı olarak bilgi güvenlik politikaları tavsiye etmek gibi görevleri yerine getirmektedir 42. NISC ise Nisan 2005 tarihinde Japonya nın BT güvenliği hususunda merkezi uygulama birimi olarak kurulmuştur. NISC, ISPC ile işbirliği halindedir ve; 41 Ulusal Bilgi Güvenliği Merkezi (NISC), "Japon Hükümetinin Bilgi Güveliği Meselelerini Çözme Çabaları" konulu Sunum, s.2, 43

47 Bilgi güvenliği politikası için devlet çapında stratejiler belirleme, Devlet kurumlarının bilgi güvenliği üzerine kapsamlı tedbirler belirleme, Bilgi güvenliği vakaları meydana geldiğinde ilgili kurumları destekleme, Kritik altyapıların bilgi güvenliğini güçlendirme, Sektörler arası siber güvenlik egzersizleri gerçekleştirme, Diğer ülkelerle uluslar arası strateji ve ilişkiler geliştirme görevlerini yerine getirir 43. Her bir sektör için sorumlu Bakanlıklar atanmıştır. Sorumluluklarla ilgili şema Şekil 4.4 te görülebilir. İç işleri ve İletişim Bakanlığı (MIC) 44 bilgi teknolojileri ve iletişim altyapıları da dâhil Japonya nın ulusal altyapısını oluşturmakla sorumludur. MIC güvenli ve emniyetli iletişimi sağlamak adına Ağ, Terminal sistem ve donanımları ve Personel kategorileri altında bilgi güvenliğini güçlendirecek politikalar sağlamaktadır. Bakanlık ayrıca gizliliğin korunması ve bilgi güvenliği konularının da yer aldığı ve kamu-özel sektör işbirliğini güçlendirmeyi hedefleyen raporlar yayınlamaktadır. Ekonomi, Ticaret ve Endüstri Bakanlığı (METI) 45 Japon Hükümeti BT Merkezi rehberliğinde çeşitli bilgi politikalarını planlamaktan ve uygulamaktan sorumludur. METI bilgi politikaları e- ticaret, kişisel bilginin korunması, e-devlet, BT ile ilgili ar-ge, insan kaynağı yetiştirme ve bilgi güvenliği gibi konuların gelişimini ve bilgi iletişim cihazlarının ve yazılımının araştırma ve geliştirilmesini desteklemektedir. 42 Elgin M. Brunner and Manuel Suter, "Uluslararası CIIP El Kitabı", s. 231, 43 y.a.g.e

48 Şekil 4.4. Kritik Altyapı Sektörleri ve Sorumluluklar 46 Sorumlu bakanlıkların dışında kritik bilgi altyapılarının korunmasına yardımcı yapılar da vardır. Bu yapılardan en önemlilerinden biri CEPTOAR yapılanmasıdır (Şekil 4.5). CEPTOAR yapısı kamu kurumları ile özel sektör arasında bilgi paylaşımını sağlamayı amaçlar. Kritik altyapı şirketleri IT aksaklıklarını önlemek, bunların sonuçlarının yayılmasının önüne geçmek, sorunların ardından hızlı bir şekilde kaldığı noktadan devam etmek ve tekrar problem oluşmasının önüne geçmek için kurumlardan sağlanan bilgileri iletir ve paylaşır. 46 Yoshizumi Serizawa, Japonya'nın Rehber Geliştirmede Güncel Durumu, s.4, 45

49 Şekil 4.5. CEPTOAR İlişki Şeması 47 Kritik Bilgi Altyapısı Koruma çalışmalarına yardımcı yapılardan bir diğeri ise diğer kurumlarla ilişki şeması Şekil 4.6 da verilen Ulusal Bilgisayar Olaylarına Müdahale Ekibi (BOME) yapısıdır. BOME ler kamu ve özel sektörden gelen 17 güvenlik uzmanından müteşekkildir. BOME lerin yerine getirecekleri; Bilgisayar olaylarını anlayarak ilgili bilgi ve istihbaratın toplanması, analizi ve gelecekte meydana gelebilecek hasarlarla ilgili tahmin yapma, Zararı azaltma, kurtarma ve tekrar meydana gelmeyi engelleme için teknik tedbirler geliştirme, tedbirleri analiz etme, kurum ve bakanlıklar tarafından uygulanacak tedbirleri organize etme, Karşılık verme konusunda destek sağlama, Gerekli uzmanlığı geliştirme ve kamu kurumlarıyla bu bilgi ve tecrübeyi paylaşma 47 Bilgi Güvenliği Politika Konseyi, "Kritik Altyapılar için Bilgi Güvenliği Önlemleri Üzerine İkinci Eylem Planı, s. 53, 46

50 gibi görevler bilgi güvenliğinin sağlanmasında, olaylara yerinde ve zamanında müdahale edilmesinde önemli bir rol oynayacaktır 48. Şekil 4.6. BOME İlişki Şeması TÜRKİYE Kritik altyapılar ve bu altyapıların korunması ile ilgili olarak Ülkemizde şu ana kadar sonuçlandırılmış bir çalışma bulunmamaktadır. Bununla birlikte, bu konu, ulusal bilgi güvenliği ile ilgili çalışmalar kapsamında değerlendirilegelmiştir. Ulusal bilgi güvenliği konusunda ülkemizdeki çalışmalar ise gelişmiş ülkelerin bu konu üzerinde çalışmalar yaptığı 1990 ların sonlarına kadar gitmektedir ların sonlarından 2006 yılına kadar Milli Savunma Bakanlığı koordinasyonunda ulusal bilgi güvenliği konusundaki hukuki boşluğu gidermek için çalışmalar yapılmıştır. Bu bağlamda, Ulusal Bilgi Güvenliği Teşkilatı ve Görevleri Hakkında Kanun Tasarısı Taslağı hazırlanmıştır. Bu Kanun Tasarısının amacı; NIRT organizasyon şeması, 47