T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı Ulusal Siber Güvenlik Stratejisi 2023 ün n siber uzayında güçlü ve önder bir Türkiye için
Ulusal Siber Güvenlik Stratejisi 2 (BU SAYFA BOŞ BIRAKILMIŞTIR.)
Ulusal Siber Güvenlik Stratejisi 3 HAZIRLAYANLAR: Prof. Dr. Mustafa ALKAN, Bilgi Güvenliği Derneği / Gazi Üniversitesi Ahmet Hamdi ATALAY, Bilgi Güvenliği Derneği / NETAŞ Cabir BİLİRGEN, Bilgi Güvenliği Derneği / Ulaştırma Denizcilik ve Haberleşme Bakanlığı Gürol CANBEK, Bilgi Güvenliği Derneği / HAVELSAN Mehmet Ali İNCEEFE, Bilgi Güvenliği Derneği / ANEL Prof. Dr. Şeref SAĞIROĞLU, Bilgi Güvenliği Derneği / Gazi Üniversitesi Alper ÖZBİLEN, Bilgi Güvenliği Derneği / TİB Dr. Tolga TÜFEKÇİ, Bilgi Güvenliği Derneği / TÜRKTRUST Mustafa ÜNVER, Bilgi Güvenliği Derneği / BTK Ali YAZICI, Bilgi Güvenliği Derneği / ASELSAN
Ulusal Siber Güvenlik Stratejisi 4 Yönetici Özeti Türkiye, birçok alanda olduğu gibi gelişmiş ülkelerin bilişim teknolojileri ile rekabet içindedir. Bu rekabetin gereği,bilim ve teknolojinin zamanın da ötesine giden ihtiyaçları kapsamında Türkiye, bilişim teknolojilerini Türkiye Cumhuriyeti vatandaşlarına çağdaş düzeyde sunabilmek, bireylerin temel hak ve hürriyetlerini temin etmek, kişisel ve toplumsal gelişimi uyum içinde artırmak, kamu ve özel kuruluşların tüm faaliyetlerini kolaylaştırmak, hızlandırmak ve etkinleştirmek için mümkün olduğunca hızlı bir şekilde bu teknolojileri özümseyip uyarlayarak yaygınlaştırılmalarını sağlamak ve kendi milli çözümlerini üretmek kararlılığındadır. Bu kararlılığın bir dayanağı da Türk insanının televizyon, bilgisayar, İnternet, taşınabilir bilgisayar ve cep telefonu gibi bilişim teknolojilerini ve çok sayıda yazılım tabanlı küresel toplum ortamlarını yaygın ve başarılı bir şekilde kullanmasıdır. Bilişim teknolojilerinin geldiği nokta itibariyle; fiziki sınır ve kuralların ötesinde bir boyutun ortaya çıktığı ve "Siber Uzay" olarak ifade edilen bu olgunun, bir söylenti olmaktan öteye gittiği ve sanallıktan sıyrılarak yadsınamaz bir gerçeklik haline geldiği açık olarak görülmektedir. Artık, dünyada olduğu gibi Türkiye de de, neredeyse her türlü hizmet ve faaliyet Siber Uzay içinde gerçekleşmektedir. Siber uzay, Türkiye yi geleceğin güçlü ve önder ülkesi; vatandaşlarını da mutluluk ve refah içinde önde gelen bireyleri yapacak başlıca unsurdur. Siber uzay, bu fırsatlarının yanında risklerini de beraberinde getirmektedir. Siber saldırı, siber suç, siber terörizm ve nihayetinde siber savaşlar; siber uzayın her parçasında ve seviyesinde etkisini günbegün artan ölçüde hissettirmektedir. Kötü niyetli amaçlar için kullanılan bu araçlar, kişisel düzeyde ya da çeşitli çıkar ve suç örgütleri tarafından kullanıldığı gibi artık devletlerin de kullanabileceği seviyeye gelmiştir. 21.yüzyılın yaşadığımız ilk on yılı, "Siber Savaş" olgusunun ortaya çıktığı ve geleceğe yönelik derin tesirlerin evrimleştiği sıra dışı bir zaman olarak tarihe geçecektir.
Ulusal Siber Güvenlik Stratejisi 5 Bu evrim ve çevresini saran riskler dâhilinde; Türkiye nin ülkesini, vatandaşlarını ve her türlü varlığını, bugününü ve geleceğini korumak için Siber Uzayın güvenliğinin sağlanması şarttır. Siber güvenlik olarak ifade edilen bu zorunluluğun, dağınık ve birbirinden habersiz ve eşgüdümsüz, gerçeklerden ve çağdaş uygulama örneklerinden uzak bir şekilde sağlanabilmesi mümkün değildir. Siber güvenlik ülkemizin en üst seviyede ve en geniş kapsamda ele alacağı bir konudur. Bu gerçekten hareketle Ulaştırma Denizcilik ve Haberleşme Bakanlığı himayelerinde Bilgi Güvenliği Derneği olarak uzun zamandır yoğun bir şekilde faaliyetlerimizi sürdürmekteyiz. Siber güvenlik konusunda toplumun tüm kesimlerinde yukarıda izah etmeye çalıştığımız kapsamda farkındalık ve bilinç oluşturmayı, ülkemizin bu alandaki politika ve stratejilerine katkı sağlamayı milli bir görev sayıyoruz. Bu güne kadar bu alanda ulusal ve uluslar arası düzeyde gerçekleştirmiş olduğumuz etkinliklerle önemli bir bilgi birikimi ve kazanım elde ettiğimizi düşünüyoruz. Bu etkinlikler ve çalıştaylar sonrası edinilen bilgi ve birikimleri toplumun tüm kesimleriyle paylaşarak siber güvenlik konusundaki bilinç düzeyini artırmayı hedefliyoruz. Kamu, Üniversite, Sektör ve sivil toplum kuruluşları başta olmak üzere toplumun tüm bileşenlerini bir araya getirerek ortak platformlarda milli çözümlerin ve milli projelerin hayata geçirilmesine öncülük etmeye çalışıyoruz. Gelinen bu noktada ülkemiz için son derece önemli ve kritik bir konu olan Siber Güvenlik Strateji Belgesi Hazırlık Çalıştayı bu anlamda büyük önem arzetmekte olup, hazırlanan taslak dökümanın bir an önce nihai hale getirilip uygulamaya konulmasını önemsiyor buna öncülük etmiş olmaktan da büyük mutluluk duyuyoruz. İş bu belge, Türkiye nin Ulusal kapsamda Siber Güvenliğine yönelik ilkelerini, stratejik hedeflerini, bu hedeflere ulaşmak için ele alması gereken temel uygulamaları ve ilk planda atması gereken somut adımları özetlemektedir.
Ulusal Siber Güvenlik Stratejisi 6 Siber güvenlik; yönetimsel, teknik, sosyolojik, tarihsel, yasal, politik, askeri ve akademik gibi çok sayıda alanın devreye girdiği bir konudur. Bu konuların etkin bir şekilde ele alınıp en doğru yöntem ve doğrultuda yönetilmesi, pek çok gelişmiş ve bu konuyu ciddiye alan ülkenin yaptığı gibi ilke ve stratejilerin belirlenmesi ile mümkündür. İlke ve stratejilerin belli olmadığı her türlü girişimin başarısız olmaya mahkûm olduğunu göz önüne alarak; Siber Uzay gibi geleceğin şekillendiği bir ortamda, Türkiye'nin dönüşümünü, vatandaş, devlet, kamu kurum ve kuruluşları, özel sektör, üniversite ve sivil toplum kuruluşları gibi tüm paydaşlarının işbirliği ve emeği ile başarılı bir şekilde gerçekleştirmek için Siber Güvenlik Stratejisinin oluşturulması ve uygulanması büyük önem arz etmektedir.
Ulusal Siber Güvenlik Stratejisi 7 İÇERİK Yönetici Özeti 4 Giriş 9 Temel Kavramlar 11 Stratejik Hedefler 12 Stratejinin Uygulanması 14 Uluslararası İşbirliği 14 Siber Güvenlik Kültürünün Oluşturulması 15 Yasal Düzenlemeler 15 Kurumsal Yapılanma 16 Eğitim ve Öğretim 16 Kamu, Üniversite, Özel Sektör İşbirliği 16 Milli Teknoloji Geliştirme 17 Somut Adımlar 17 Ulusal Siber Güvenlik Kurulu 18 Türkiye Ulusal Siber Olaylara Müdahale Ekibi (TC-SOME) 21 Ulusal Siber Tehdit ve Korunmasızlık İnceleme Laboratuvarı 22 Siber Güvenlik Farkındalığının Arttırılması 22 Kişisel ve Kurumsal Bilginin Korunmasının Teşviki 23 Uluslararası İşbirliğinin Güçlendirilmesi 24 Milli Teknolojilerin Geliştirilmesinin Özendirilmesi 25 Ulusal Ar-Ge Stratejisinin Oluşturulması 26
Ulusal Siber Güvenlik Stratejisi 8 Üniversitelerde Bilimsel Çalışmaların Geliştirilmesi 27 İnsan Kaynakları ile Yetenekleri Geliştirilmesi 27 Yasal Mevzuatın Düzenlenmesi 28 Sonuç ve Değerlendirmeler 29 EK - Ulusal Siber Güvenlik Strateji Çalıştayı Sonuç Değerlendirme Raporu 31
Ulusal Siber Güvenlik Stratejisi 9 Giriş Günümüzde, gerek ülkemizde gerekse dünyada büyük kitleler İnternet veya diğer bilgisayar ve iletişim ağları üzerinde siber uzayı oluşturan bilgi ve hizmetleri kullanmaktadır. Bilişim Teknolojileri alanındaki hızlı gelişmeler; vatandaşlara, iş ve ticaret dünyasına ve nihayetinde devletlere yeni kolaylıklar ve fırsatlar sağlamaktadır. "Bilgi Çağı" olarak sıkça adlandırılan bu dönemde, toplumsal ve ekonomik yaşam, siber uzayın sağladığı olanakların sürekli kullanımı ve gelişimi üzerine dayanmaktadır. Bugün, hızla genişleyen bu dünyanın parçası olan Türkiye de de, iş ve ticaret dünyası ile toplumun büyük bir kesimi; vatandaşlık hizmetleri, bankacılık, elektrik, su ve benzeri kritik altyapılar dâhil pek çok hizmetten, öncelikle Bilişim Teknolojilerinin sağladığı olanaklarla yararlanmaktadır. Bu bakımdan, bilgisayar ve iletişim altyapılarının veya genel olarak İnternet in, sürekli, güvenli ve kesintisiz çalışması hayati önem arz eder hale gelmiştir. Bu önem özellikle kötü niyet besleyen her türlü odağın da gözünü diktiği bir konudur. Nitekim İnternet veya diğer bilgisayar ve iletişim ağı altyapılarına karşı düzenlenen saldırılar son yıllarda hızla artmakta, daha karmaşık hale gelmekte, devleti ve vatandaşı hedef alarak hayati bir tehdit oluşturmaktadır. Niteliği gereği, ulusal ve uluslararası düzeyde gerçekleştirilen siber saldırılar, devletleri toplum ve ekonomilerini korumak için hazırlıklı olmaya zorlarken; siber güvenliğin sağlanması için uluslararası işbirliklerini de gerekli hale getirmiştir. Bilgi Toplumu olma yolunda hızla ilerleyen Türkiye'de de, devletin öncülüğünde gerekli adımların atılarak; Siber uzayın güvenliğinin arttırılması,
Ulusal Siber Güvenlik Stratejisi 10 Siber saldırılara karşı kritik altyapıların dayanıklılığının ve koruma sürekliliğinin temin edilmesi, Kurumsal ve kişisel verilerin güvenliğinin sağlanması temel hedeflerinin yerine getirilmesi gerekmektedir. Bu hedefler etkin ve verimli bir biçimde yerine getirilirken, Bilişim Teknolojilerinin kullanımının engellenmemesi ve vatandaşların bu teknolojilerden sağladığı yararın düşmemesi amacıyla da aşağıda belirtilen ilkeler önemle gözetilmelidir: Temel hak ve hürriyetlerinin korunması Demokratik toplum düzeninin gereklerine uyulması Hukukun üstünlüğüne ve ölçülülük ilkesine uyulması Karar alma süreçlerine tüm paydaşların katılımının sağlanması Mahremiyet, güvenlik ile kullanılabilirlik arasında denge kurulması Uluslararası düzenlemelerin göz önünde bulundurulması ve olabildiğince uyumluluğun sağlanması Bütüncül bir yaklaşımla hukuki, teknik, idari, ekonomik, politik ve sosyal boyutların ele alınması Uluslararası işbirliğinin sağlanması Bu belge, Türkiye nin stratejik hedeflerine sayılan ilkeleri gözeterek ulaşılmasına yönelik bir yol haritası oluşturulmasına katkı sağlamak üzere, Bilgi Güvenliği Derneği üyeleri tarafından oluşturulmuş Siber Güvenlik Ulusal Strateji Belgesi taslak metninin, yine Bilgi Güvenliği Derneği nin 19 Haziran 2012 de düzenlediği ve çok sayıda kurum ve sektör temsilcilerinin katıldığı Ulusal Siber Güvenlik Strateji Çalıştayı sonuçları ile şekillendirildiği bir öneri belgesidir. Strateji Öneri Belgesinin ilgili birimlerin de görüş ve önerilerini alarak kısa sürede
Ulusal Siber Güvenlik Stratejisi 11 hayata geçirilmesi gerek ülke bilgi varlıkları güvenliği gerekse ulusal güvenliğimize büyük katkılar sağlayacaktır. Bu belge, altı başlık altında tertip edilmiştir. İkinci bölümde ulusal siber güvenlik ile ilgili temel kavramlar ifade edilmiştir. Üçüncü bölümde Ulusal Stratejik Hedefler, Dördüncü bölümde bu hedeflere ulaşmak için önerilen uygulamalar, Beşinci bölümde atılması önerilen somut adımlar ve son bölümde sonuç ve değerlendirmeler aktarılmıştır. Temel Kavramlar Siber uzay, İnternet veya başka bir bilgisayar ve iletişim ağı üzerinden kullanılabilir tüm Bilişim Sistemlerini içerir. Siber saldırı, hedef seçilen şahıs, şirket, kurum veya devletin Bilişim Sistemlerinin işleyişinin engellenmesi, bozulması veya değiştirilmesi yoluyla, iş, ticaret, yönetim veya toplumsal hayat üzerinde olumsuz etki oluşturacak girişimlerdir. Ulusal veya uluslararası düzeyde, ticari, politik veya askerî amaçlı olarak, planlı ve eşgüdümlü bir faaliyet olarak gerçekleştirilebileceği gibi çeşitli kişi ve gruplar tarafından da çok değişik amaçlarla gerçekleştirilebilirler. Siber güvenlik, siber saldırılara karşı alınan tedbirler bütünüdür. Kurum, kuruluş ve kullanıcıların varlıklarını korumak amacıyla kullandığı araçlar, geliştirilen politika ve uygulamalar; yazılı belgeler, elektronik ortam dokümanları, etkinlikler, eğitimler ve bilişim alanında kullanılan güvenlik teknolojilerinin tamamı siber güvenliğin unsurları arasındadır. Siber tehdit ve saldırının bir ülkeye karşı olması halinde, söz konusu ülke, tehdit ve saldırıları bertaraf etmek için siber savunma yapar. Siber savunma amacıyla ülkeler, kritik altyapılarını belirler. Kritik altyapı, zarar görmesi veya yok olması toplumsal düzenin ve kamu hizmetlerinin devamlılığının sağlanmasında güçlük yaratacak; işlevlerini kısmen veya tamamen yerine getiremediğinde vatandaşların sağlığına,
Ulusal Siber Güvenlik Stratejisi 12 emniyetine, güvenliğine ve ekonomik faaliyetler veya hükümetin etkin ve verimli işleyişine olumsuz etki edecek yapıdır. Bu bağlamda, aşağıda sayılan yapılar kritik altyapı olarak görülmelidir: Bilişim Enerji Mali işler Sağlık Gıda Su Ulaşım Savunma Kamu güvenliği Nükleer, biyolojik, kimyasal tesisler Savunma, kamu güvenliği NBK Tesisleri Gıda, Su, Ulaşım Enerji, Mali işler, Sağlık Bilişim Kritik altyapıların güvenlik risklerinin tanımlanması, işlenmesi ve çabuk iyileşebilirliliğin sağlanması gerekmektedir. Bu alanda milli teknolojilerin geliştirilmesi ve uygulanması esastır. Stratejik Hedefler Stratejilerin başarılı olması; açık, anlaşılabilir ve gerçekleştirilebilir hedeflerinin varlığına bağlıdır. Bu hedefler, diğer alanlarda olduğu gibi siber güvenlik alanında da, ülkenin içinde bulunduğu, ekonomik ve teknolojik gelişmişlik ile doğal kaynaklara sahiplik ve jeopolitik açıdan önem derecesine göre farklılıklar göstermektedir. Siber güvenlik stratejisi, ülkenin kritik altyapılarının hassasiyetine göre yapılması olası siber saldırılara karşı önleyici tedbirleri içermelidir. Ayrıca; siber saldırılara karşı yasal bir çerçeve Bilgi Güvenliği Derneği Haziran 2012
Ulusal Siber Güvenlik Stratejisi 13 oluşturmak, konuyla ilgili uluslararası ve kurumsal işbirliklerini geliştirmek, kamu bilinci ve araştırma programlarını oluşturmak için bir çerçeve hazırlanmalıdır. Siber güvenlik stratejisinin hedefi bireylerin, şirketlerin ve kamu kuruluşlarının iş ve hizmetlerinde kullandıkları sistem ve altyapıların güvenliğini artırıp sağlamlaştırmaktır. Böylece bilgisayar ve iletişim ağı altyapıları yasal ve teknolojik açılardan korunurken, toplumsal ve ekonomik düzen de koruma altına alınmış olacaktır. Ülkemizde siber güvenlik alanında, kısa ve orta dönemde aşağıdaki hedefler önem ve önceliklere sahip olup, bu hedefler gelişmelere paralel olarak güncellenip değiştirilmelidir: Ülke kritik altyapılarını tanımlamak ve dökümünü oluşturmak, Bireyleri siber güvenlik konusunda bilgilendirip bilinçlendirmek ve siber güvenlik kültürünün oluşturulması ve yaygınlaştırılmasını sağlamak, Siber güvenlik alanında milli teknolojilerin geliştirilmesini teşvik etmek ve kullanılmasını özendirmek, Siber güvenlik ve savunma konularında yasal mevzuatı geliştirmek, Siber güvenlik uzmanları yetiştirmek, Siber güvenlik stratejisinin tesisi ve geliştirilmesi için Ulusal Siber Güvenlik Danışma Kurulu oluşturmak, Siber saldırılara karşı ulusal eşgüdümü sağlamakla görevli merkezler kurmak, Belgelendirme kuruluşlarınca onaylanmış güvenlik hizmeti ve sistemlerinin kullanılması teşvik etmek veya zorunlu kılmak Uluslararası kurumlar ile yakın işbirliği ve eşgüdümü sağlamak ve geliştirmek.
Ulusal Siber Güvenlik Stratejisi 14 Stratejinin Uygulanması Stratejik hedeflere ulaşabilmek için gerekli görülen uygulamalar şu şekilde sıralanabilir: Uluslararası işbirliği Kurumsal yapılanma Eğitim ve Öğretim Kamu, Üniversite, Özel Sektör İşbirliği Milli Teknoloji Geliştirme Bu uygulamalar aşağıda alt başlıklar halinde açıklanmıştır. Uluslararası İşbirliği Siber uzaydaki tehdit araçları, yayılma ve kullanılma şekilleri itibariyle, bir ülke üzerinde planlanan saldırının başka ülkelerdeki araç ve kaynaklar kullanılarak üçüncü bir ülkedeki yapılara zarar verilebilmesini mümkün kılmaktadır. Ayrıca, siber suç şebekeleri, İnternet ortamı üzerinden kolaylıkla örgütlenebilmekte ve farklı ülkelerdeki birden çok kaynaktan saldırılar düzenlemektedir. Bu tür suç ve saldırılar karşısında ülkeler arasındaki bilgi ve deneyim paylaşımı ve işbirliği zorunlu hale gelmiştir. Türkiye nin siber güvenlik alanında müttefik ülkelerle ikili veya toplu işbirlikleriyle; bilgi ve tecrübe değişimi, siber istihbarat paylaşımı ve sabotaj girişimleriyle ilgili mücadelenin güçlendirilmesi önem arz etmektedir. BM, AB, OECD ve NATO gibi örgütler bünyesindeki siber güvenlik çalışmalarında aktif olarak bulunmak, küresel ve bölgesel anlaşmalara taraf olmak, uluslararası seminer, çalıştay ve konferanslara aktif katılım sağlamak, ülke stratejisi temelinde katkılarda bulunmak gerekmektedir.
Ulusal Siber Güvenlik Stratejisi 15 Siber Güvenlik Kültürünün Oluşturulması Siber güvenlik tehditlerine karşı, kritik öneme sahip altyapıların korunmasına yönelik olarak öncelikle kurum, kuruluş ve işletmelerden başlayarak; yönetici, çalışan ve kullanıcı düzeyinde bilgi güvenliği farkındalığını arttırıcı eğitim, seminer, çalıştay, konferans ve farkındalık ayı vb. faaliyetlerin düzenlenmesi. Yasal Düzenlemeler Siber suçlarla ilgili yasal mevzuatın caydırıcı ve uygulanabilir olması, uluslararası mevzuatla uyumun gözetilmesi, kamu ve kişisel verilerin korunması dikkate alınmalıdır. Bilişim Teknolojilerinin hızlı gelişimi, geleneksel suçların yanında, yeni suç türlerini de beraberinde getirmiştir. Bu sebeple; bilgisayar ve iletişim ağlarının ve bilgi varlıklarının, ülke ekonomisi, kamu refahı ve güvenliği için çok önemli olduğu; kritik altyapıların güvenliğinin de ülke ve toplum güvenliğiyle eşdeğer olduğundan, kapsamlı yasal çözüm ve düzenlemelerin geliştirilmesi gerekmektedir. Yasal düzenlemeler yapılırken aşağıdaki hususlar dikkate alınmalıdır: Devlet; herkesin bilgiye serbestçe erişim hakkını, etkin ve adil bir biçimde kullanılabilmesi için gereken düzenlemeleri yapmakla yükümlüdür. Bilgiye erişim, kişinin haber ya da fikir alması ya da vermesi serbestliğini kapsamalıdır. Haberleşmenin gizliliği esastır. Herkes, kişisel verilerinin korunmasını; düşünce ve kanaatlerinin gizliliğine saygı gösterilmesini isteme hakkına sahiptir. Usulüne uygun olarak verilmiş bir hâkim kararı olmadıkça, Bilişim Teknolojileri vasıtasıyla yapılan haberleşme engellenemez ve gizliliğine dokunulamaz. Yasalar; verilerin ve bilgi varlıklarının ileri düzeyde korunmasına yönelik kullanılabilirliği, bütünlüğü, gizliliği, inkâr edilemezliği ve kimlik doğrulaması unsurlarının sağlanabilmesi için kurum ve kuruluşların bilgi varlıklarının hedeflenen amaçlar doğrultusunda insani,
Ulusal Siber Güvenlik Stratejisi 16 mali, teknik ve bilgi değerlerini dikkate alarak, varlıklara ve diğer unsurlara zarar vermeden etkili ve uygulanabilir tedbirlerin alınmasına uygun zemin sunmalıdır. Kurumsal Yapılanma Ülkenin siber güvenlik politikalarının Siber Güvenlik Stratejisine uygun olarak belirlenmesi, uygulamaların hedeflere uygun ilerleyip ilerlemediğinin değerlendirilmesi, denetlenmesi ve ulusal seviyede gerçekleşen saldırılara müdahale edilebilmesi amacıyla kurumsal yapıların oluşturulması gerekmektedir. Bu bağlamda, Ulusal Siber Güvenlik veya Danışma Kurulu, Ulusal Siber Güvenlik Yürütme ve Eşgüdüm Merkezi, Ulusal Siber Erken Uyarı ve Müdahale Merkezi, Ulusal Siber Güvenlik Mükemmeliyet Merkezi gibi birimlerin oluşturulması/kurulmalıdır. Ulusal ve uluslararası siber saldırı tipleri, saldırgan kişi ve grup tür ve yapıları, saldırı senaryoları, gerekçeleri, güdüleri ve zamanları izlenmeli ve karşı senaryoların ve çözümlerin sistemli bir şekilde oluşturulabilmesi için kayıtların tutulması ve çözümlemelerin kurumsal yapılanmaların planlamaları ve girişimleri ile gerçekleştirilmesi siber güvenliğe büyük katkı sağlayacaktır. Eğitim ve Öğretim Siber güvenlik alanında ihtiyaç duyulan nitelikli insan kaynağının sağlanması amacıyla ulusal ve uluslararası düzeyde geliştirilmiş programların hazırlanması gerekmektedir. Siber güvenlik alanında lisans ve lisansüstü düzeyde programlar açılması, araştırma enstitüleri ve test merkezleri kurulması ve belgelendirme programlarının teşvik edilmesi gerekmektedir. Kamu, Üniversite, Özel Sektör İşbirliği Kamu kurumları, üniversiteler ve özel sektör arasında bilgi birikiminin arttırılması, tecrübelerin paylaşılması, bilgi güvenliği ve siber savunma alanında kuramlar üretme, teknolojiler
Ulusal Siber Güvenlik Stratejisi 17 geliştirme, eğitim ve danışmanlık faaliyetlerini arttırma gibi çabalara destek verilmesi ve son dönemde kamu ve özel sektör desteklerinin bu konuları daha çok kapsaması, kamu-üniversite ve özel sektör-üniversite işbirliklerini arttırıcı adımların sıklaştırılması, kamunun farkındalığının arttırılması, özel sektörün bu alana yönelmesi ve ürün geliştirmesi, üniversitelerinde bu alanda Ar-Ge yaparak bu alana destek vermesiyle ancak sağlıklı bir işbirliği geliştirilebilecektir. Uzman kişilerin bilgi ve becerilerinden faydalanmak amacıyla, kamuda sözleşmeli siber güvenlik uzmanlarının istihdamıyla ilgili özel düzenlemeler yapılmalıdır. Sektörün geliştirilmesine yönelik altyapılar kurulması, üniversitelerde konuya akademik ilginin arttırılmasına yönelik programlar açılması, konuda ar-ge yapılmasının özendirici işbirliği modellerinin geliştirilmesi gerekmektedir. Milli Teknoloji Geliştirme Siber güvenlik alanında kullanılan teknolojik araçlar (yazılım, donanım vb.) mümkün olduğunca iç kaynaklardan temin edilmeli, sektörün bu konuya ilgisini arttırıcı önlemler alınması, altyapıla kurulması, geliştirilen ürünlerin de uluslararası standartlara ve sertifikasyonlara uygun olması gerekmektedir. Siber güvenlik alanında, milli teknolojilerin üretiminin ve kullanımının teşvik edilmesi ve desteklenmesi hayati önem taşımaktadır. Bu amaçla, konuya özel Ar-Ge destek programları açılmalıdır. Somut Adımlar Stratejik hedeflere yönelik atılabilecek somut adımlar şunlardır: Ulusal Siber Güvenlik Strateji Belgesinin Kısa Sürede Yayımlanması, Ulusal Siber Güvenlik Kurulu Oluşturulması, Siber Güvenlik Farkındalığının Arttırılması,
Ulusal Siber Güvenlik Stratejisi 18 Siber Güvenlik Kültürünün Yaygınlaştırılması, Kişisel ve Kurumsal Bilginin Korunmasına Yönelik Daha Sıkı Tedbirler Alınması, Uluslararası İşbirliğinin Güçlendirilmesi, Ulusal Siber Güvenlik Ar-Ge Politikasının Oluşturulması ve Milli Teknolojilerin Geliştirilmesinin Özendirilmesi, Üniversitelerde Bilimsel Çalışmaların Arttırılmasına Yönelik Çalışmalar Yapılması, İnsan Kaynakları Yetiştirilmesine ve Mevcutların Geliştirilmesine Yönelik Çalışmalar Yapılması, Kurumsal Siber Güvenlik Yeteneklerin Arttırılmasına Yönelik Çalışmalar Yapılması, Kurumlara Siber Güvenlik Sızma Testleri Yapan Bağımsız Merkezlerin Kurulması, Yasal Mevzuatın Düzenlenmesi. Bu somut adımlar aşağıda alt başlıklar halinde açıklanmıştır. Ulusal Siber Güvenlik Kurulu Siber güvenlikte siber olayların yapısal ve kök nedenlerinin araştırılması ve bu nedenlerin engellenmesine yönelik alınacak tedbirlerin belirlenmesi en etkin yöntem olarak görülmektedir. Ulusal seviyede bu yöntemi uygulatacak, kurumlar arası eşgüdümü ve veri akışını sağlayacak, yapılan ölçme ve değerlendirmeleri çözümleyecek, riskleri üst seviyede değerlendirecek, yapılması gerekenleri önceliklendirecek görev ve sorumlulukları açıkça belirlenmiş bir organa ihtiyaç duyulmaktadır. Bu nedenle Bakanlıklar, kamu ve özel sektör arasında işbirliği ve eşgüdümü sağlamak için daha etkin olması açısından tercihen Başbakanlık eşgüdümünde Ulusal Siber Güvenlik Kurulu oluşturulmalıdır.
Ulusal Siber Güvenlik Stratejisi 19 Ulusal Siber Güvenlik Kurulunda; Milli Savunma Bakanlığı, İçişleri Bakanlığı, Dışişleri Bakanlığı, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı, Bilim Sanayi ve Teknoloji Bakanlığı, Adalet Bakanlığı, Enerji ve Tabii Kaynaklar Bakanlığı Orman ve Su Bakanlığı Çevre ve Şehircilik Bakanlığı İlgili müsteşarlıkların (MİT, Kamu Güvenliği vb.), kurumların (BTK, BDDK, SPK, TSE vb.) ve Savunma Sanayi firmaları (ASELSAN, HAVELSAN vb.) ve Genel Kurmay Başkanlığı ve Türk Silahlı Kuvvetleri temsilcileri Emniyet Genel Müdürlüğü Temsilcileri Üniversiteler Konuyla İlgili Sivil Toplum Kuruluşları Sektör Temsilcilerine yer almalıdır. Özel durumlarda farklı bakanlıklar ve kurumlarda kurula dâhil edilebilecektir. Özel sektör iş temsilcileri ortak üye olarak kurulda yer almalıdır. Gerektiği durumlarda akademik ve sivil toplum kuruluşları temsilciler de davetli olarak çalışmalara katılabilecektir. Sonuç olarak siber güvenlik ile ilgili tüm paydaşların işbirliği ve eşgüdümü sağlanmalıdır. Ulusal Siber Güvenlik Kurulu, önleyici araçların ve kamu ve özel sektörün siber güvenlik yaklaşımlarının eşgüdümünü sağlayacaktır. Ulusal Siber Güvenlik Kurulu ülke seviyesinde güvenli Bilişim Teknolojileri altyapısının oluşturulması ve yönetimlerinin güvenli olarak
Ulusal Siber Güvenlik Stratejisi 20 tümleştirilmesinden ve siber güvenlik alanında politika ve stratejilerin belirlenmesi çalışmasından sorumlu olacaktır. Bu kapsamda aşağıda belirtilen faaliyetlerin yürütülmesi hedeflenmiştir: Gerçek anlamda bir güvenlik uygulaması; olası korunmasızlık ve tehditlerin belirlenmesi, zafiyetlerin saptanması ve alınacak önlemlerin analizini içeren bir risk değerlendirmesinin yapılmasıyla sağlanacaktır. Ulusal Siber Güvenlik Kurulu tarafından Ulusal Risk Değerlendirmesi yıllık olarak yapılması ve raporlanması. Ulusal Risk Değerlendirmesi sonucunda belirlenecek yeni siber güvenlik yeteneklerinin ulusal seviyede kazanılması için gerekli girişimlerin başlatılması. Siber suç ve siber güvenlik konusundaki ulusal ve uluslararası eğilimleri ele alan ve güncel siber tehditleri kapsayan dönemsel raporların hazırlanması. İçerik ve kapsamı önceden belirlenmiş planlı siber güvenlik tatbikatlarının dönemsel olarak gerçekleştirilmesi ve sonuçlarının ulusal siber güvenlik yeteneğinin güçlendirilmesi amacıyla ilgili paydaşlar ile paylaşılması ve iyileştirme amacıyla kullanılması. Siber saldırılara karşı koymak için Siber Saldırı Eylem Planları hazırlanarak ve dönemsel olarak güncellenmesi. Siber saldırı eylem planlarının bilmesi gereken ilkesine uygun olarak ilgili paydaşlarla paylaşılması. Kritik alt yapıları işleten kamu veya özel kurum ve kuruluşları, bilişim teknolojileri altyapılarının 2013 yılı sonuna kadar TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemine standardına uyumlu hale getirilmesi. Ulusal Siber Güvenlik Tatbikatlarına kritik altyapıya sahip tüm kurumların dâhil edilmesi.
Ulusal Siber Güvenlik Stratejisi 21 Kamu kurumların ve isteğe bağlı öncelikli özel sektör şirketlerinin siber güvenlik düzeyleri açısından denetlenmesi. Bu çalışmalar ışığında en iyi uygulamaların sürekli güncel tutularak taraflara bildirilmesi. Siber Olaylara Müdahale Ekiplerinin oluşturulması (TC-SOME) Ulusal Siber Tehdit ve Korunmasızlık İnceleme Merkez Laboratuvarı Türkiye Ulusal Siber Olaylara Müdahale Ekibi (TC-SOME) Ülke genelinde kamu kurum ve kuruluşları ile özel sektöre, siber saldırılara (bilgisayar güvenliği olaylarına) müdahale yeteneğini kazandırmak ve ulusal seviyede gerçekleşen saldırılara müdahale etmek amacıyla Türkiye Ulusal Siber Olaylara Müdahale Ekibi (TC-SOME) kurulacaktır. Türkiye Ulusal Siber Olaylara Müdahale Ekibinde (TC-SOME) farklı disiplinlerden ve kurumlardan uzman personel bulunduracaktır. Çalışmaları saydam ve denetlenebilir olacaktır. TC-SOME tarafından kamu kurum ve kuruluşları ile kritik altyapılarda ve özel sektörde kendilerine özel SOME lerin kurulması çalışmalarına gerekli teknik destek ve uygulamalı eğitimi sağlayacaktır. Kurumlara özel SOME lerin, TC-SOME ye belgelendirmesi yapılacak ve SOME ler arasında eşgüdüm ve bilgi paylaşımı sağlanacaktır. TC-SOME tarafından ulusal ve uluslararası meydana gelen tüm bilgisayar olayları izlenerek, kullanılan saldırı yöntemleri ve saldırı gerçekleştirilen adreslerle ilgili ulusal bir veri tabanı oluşturulacaktır. TC-SOME tarafından oluşturulan ulusal veri tabanı ülke seviyesinde siber uzayın daha güvenilir hale getirilmesi ve kurumlar arası eşgüdümün sağlanması amacıyla özel SOME ler ile paylaşılacaktır. Gerek kişilerin ve kurumların siber güvenlik ile ilgili yardım ve bilgi almaları için gerekse TC-SOME nin kişi ve kurumları bilgilendirmesi ve uyarması için çağdaş ve hızlı iletişim kanalları oluşturulmalıdır.
Ulusal Siber Güvenlik Stratejisi 22 TC-SOME siber saldırı sırasında yapılacakları esaslar ve uygulamalar tabanında belirlemeli ve siber saldırı ya da kriz sırasında eşgüdümün nasıl yapılacağı ve saldırılara müdahale etmek için sorumluluk ve görevlerin neler olacağı saptanmalıdır. Bu çalışmalar yapılan tatbikatlar ve gerçek olaylardan alınan derslerle sürekli olarak iyileştirilmelidir. TC-SOME olaylara olduktan sonra müdahale edecek bir yaklaşımdan öte riskleri ve durumu değerlendirerek olayları olmadan önce önlemeye çalışan bir yaklaşıma göre çalışmalıdır. Ulusal Siber Tehdit ve Korunmasızlık İnceleme Laboratuvarı Siber güvenlik tehdit ve korunmasızlıkları özel inceleme ve sürekli araştırma ve takip gerektiren bir alandır. Bu alandaki önemli eksikliği gidermek ve milli teknolojilere de destek olması amacıyla merkezi ulusal bir inceleme laboratuvarı oluşturulmalıdır. Bu laboratuvar kötücül yazılımları ve korunmasızlık sömürülerini izlemeli ve araştırmalıdır. Ayrıca dünya genelinde korunmasızlıkları da takip edip değerlendirmelidir. Bu çalışmalarla risk seviyesi daha gerçekci belirlenecek ve sıfır gün saldırılarına edinilen tecrübe ile daha hızlı ve etkin cevap verilinebilir. Bu laboratuvar siber güvenlik ile ilgili standartların uygulanmasına yönelik yöntemleri oluşturur ve yayınlar. Son olarak piyasada bulunan yerli ve yabancı siber güvenlik ürünlerini de tasnifi ve derecelendirmesi de bu laboratuvar tarafından yapılabilir. Aurıca, bu merkez laboratuarı, üniversiteler ile ortak çalışmalar, işbirliği, araştırmalar ve etkinlikler yapar. Siber Güvenlik Farkındalığının Arttırılması Etkin ve sürdürülebilir bir siber güvenliğin sağlanması, ancak tüm paydaşların ortak olarak hareket etmesi ve görevlerini birlikte yerine getirmeleri durumunda gerçekleştirilebilir. Siber güvenlik paydaşları olan, vatandaş, iş ve ticaret dünyası ve devletin bahse konu bireysel ve kurumsal yükümlülüklerini yerine getirebilmeleri için, bu alanda farkındalık oluşturacak, bilgi
Ulusal Siber Güvenlik Stratejisi 23 seviyesini arttıracak faaliyetlerin düzenlenmesi gerekmektedir. Bu kapsamda aşağıda belirtilen faaliyetlerin yapılması hedeflenmiştir; Ulusal farkındalığın arttırılmasına katkı sağlamak amacıyla Mayıs ayının Siber Güvenlik Farkındalık Ayı olarak kabul edilmesi ve tüm kamu ve özel sektör kurumlarının bu ayda konuyla ilgili olarak belirli bir plan dâhilinde çalışmalar yürütmesi, Vatandaşın, kamu ve özel sektörde çalışan ve sadece bilişim teknolojileri hizmetlerini kullanan personelin bilgi güvenliği seviyesini arttırmak ve bu alanda farkındalık oluşturmak için kamuya açık alanlarda kullanmak üzere afişler hazırlanması, Yazılı ve görsel basın ve medya kuruluşlarıyla işbirliği yapılması Üniversitelerde "Siber Güvenlik ve Savunma" konulu ders programlarının zorunlu hale getirilmesi. Siber güvenlik farkındalık eğitimlerinin ilk ve orta öğretimde ve hatta okul öncesi dönemde seviyelerine göre verilmesi ve güvenli internet kullanımı ile de ilişkilendirilmesi Siber farkındalıkta en önemli katmanlardan biri de yöneticilerin bilinçlendirilmesidir. Kamuda ve özel sektörde yönetici ve karar vericilerin desteğini ve kararlılığını almak ve siber güvenlik risklerinin üst seviyede bilinmesi için yöneticilere özel eğitimler sağlanmalıdır. Kişisel ve Kurumsal Bilginin Korunmasının Teşviki Bilişim teknolojileri kullanılarak sunulan hizmetlerde bireye ilişkin temel hak ve özgürlük alanının müdahaleye açık hale gelmesi ve bu durumun kötüye kullanılması riski, vatandaşların hizmet sağlayıcılara olan güvenini azaltmaktadır. Bireyin sosyal hayatını daha sağlıklı ve rahat bir şekilde sürdürebilmesine ve kurumların itibarlarının zedelenmemesini ve iş ve ticaret faaliyetlerinin güvence altında yürütülmesine olanak tanıyacak şekilde kişisel ve kurumsal bilgilerin Bilişim Sistemlerinde ne şekil ve kapsamda kullanılacağını belirleyecek; bu bilgilerin