Günümüzde savaş biçimlerinin değiştiğini görüyoruz. Teknolojik güç, savunma sanayinin temel dinamiği artık. Bir başka mücadele alanı ise internet tabanıyla birbirine bağlı olan siber dünya. Son yıllarda sadece ülkemiz için değil tüm dünya için artan bir tehlike olan siber saldırılar, sadece dijital dünyayı değil, fiziksel hayatı da tehdit ediyor. Meselenin milli güvenlik boyutu bir yana bu alandaki kriminal vakaların da çoğaldığını biliyoruz... İşte bugün siber alandaki mücadelenin mevzuat yönüne dair birkaç tespitimi sizinle paylaşmak istiyorum
SORUN BİR BÜTÜN
Zaman zaman bu konuda haberler ve paylaşımlar okuyoruz. Dolandırıcılık, banka bilgilerinin alınması, kredi kart verilerinin çalınması gibi sorunlar karşımıza çıkabiliyor. Ancak şunu bilmek gerekiyor ki mesele bir bütün. İç veya dış güvenlik tehdidi olarak ayırmak mümkün değil. Tümünün birlikte ele alınması şart. Başta basit bir suç olarak görünen girişimin arkasından milli güvenliğe dair bilgilerin sızdırılması gündeme gelebiliyor. En yakın örneği Lübnan'da birer bombaya dönüşen çağrı cihazları. Tam anlamıyla bir siber saldırı olmasa da bir yönüyle başta "basit" olan bir sızma girişiminin nelere mal olduğunu hep birlikte gördük.
MEVZUAT YETERLİ Mİ?
Bu konuda kanun veya yönetmelik düzeyinde bir metin yok ülkemizde. 5809 sayılı Elektronik Haberleşme Kanunu ile bu konuda yetki, Ulaştırma ve Altyapı Bakanlığına verilmiş ise de bir kanuni düzenlemeye ve hatta kurumsal yapıya ihtiyaç olduğu kesin. Bu bağlamda elimizde biri somut, biri de açıklama düzeyinde kalan iki çalışma var.
ULUSAL SİBER GÜVENLİK PLANI
Bu konuya hasredilmiş en somut düzenleme bu plan. Planın amacı "siber dayanaklılığı tahkim etmek" şeklinde özetlenebilir. Güvenlik riskinin temelinde yazılımlar, programlar veya sistemler yok aslında. İnsan var. Planda geçen "siber güvenlik zafiyetlerinin yaklaşık %80'i insan unsurunun rol oynadığı ihmallerden kaynaklanmaktadır. Siber güvenlik riskleri ve olası tehditler ile maruz kalınabilecek siber olayların etkilerine ilişkin bilgi düzeylerinin ve farkındalık seviyelerinin artırılması, siber güvenliğin sağlanmasında kritik bir rol oynamaktadır" şeklindeki ifade bunun özeti.
USOM
Plan kapsamında kurulan BTK bünyesindeki "Ulusal Siber Olaylara Müdahale Merkezi" bu alandaki tek kurum Türkiye'de. Kesintisiz çalışan USOM, siber tehditlere karşı uyarı ve duyuru yapma konusunda ve yaşanabilecek olayların etkilerini azaltmaya veya ortadan kaldırmaya yönelik önlemlerin geliştirilmesinde görevli. USOM ayrıca, bilişim sistemlerine koruyucu olarak müdahale etmekte ve saldırı sürecindeki bulguları adli makamlara bildirmekte...
SİBER GÜVENLİK TEŞKİLATI
Bu alanda tek yetkili olan bir yapının kurulması gerekliliği yakın zamanda Dışişleri Bakanı Hakan Fidan tarafından dile getirildi. USOM'un çalışmalarının genişletilmesi ve etkinleştirilmesi üzerine kurulacağı düşünülen bu yapı siber tehditlere karşı önleme, uyarma yapabilecek ve mücadele edebilecek bir mekanizma olacak. Buna benzer yapıların ülkelerde kurulduğunu biliyoruz. Ancak bu konuda henüz bir yasa çalışması gündeme gelmedi.
SİBER DAYANIKLILIK YASASI
AB'de 10 Aralık 2024 tarihinde yürürlüğe girecek olan Yasa (Cyber Resilience Act), yazılım, donanım ve diğer unsurları dâhil tüm dijital ürünlerin tasarımı, geliştirilmesi, üretimi ve piyasaya sürülebilmeleri için taşıması zorunlu siber güvenlik gereksinimlerini belirlemekte. Bu düzenleme temel yasa olarak ortaya çıkıyor. Yasanın hedeflerini şöyle özetleyebilirim: (1) Tüm unsurları ile bütün bir siber güvenlik çerçevesi temin etmek. (2) Sektörde bulunanların yeni düzene adaptasyonunu kolaylaştıran bir yaklaşım sunmak. (3) Sürdürülebilir bir siber güvenlik politikası belirlemek. (4) Şeffaf ve denetlenebilir mekanizmalar ihdas etmek. (5) Üretimden son kullanıcıya gelene kadar her aşamanın güvenli seyretmesini temini etmek.
HIZLI ADIM ATILMALI!
Bu konuda AB'nin kabul ettiği yasa önemli. Bir bütünlük sağlaması adına sorunu ilk elden tanımlamak gerekiyor. Meselenin mevzuat ve kurumsal alt yapısında eksiklik var. Sosyal medya başta olmak üzere birçok alandaki görüşmelerin ve çalışmaların "kamusal" alana terk edilmesinden vazgeçmek gerekiyor. Devletin siber güvenlik alanını tahkim etmesi kadar doğal bir şey olamaz. Ancak bunun "genel" mevzuatlar ile değil bu alana özgülenmiş yasalar ile yapılması şart. Sosyal medya başta olmak üzere benzeri diğer alanlardaki mücadelede sivil yönün ön plana çıkarılması bir tedbir uygulandığında muhatabı devlet olmaktan çıkarmak adına önemli!
