Türkiye Cumhurbaşkanı Recep Tayyip Erdoğan, ulusal güvenliği tehdit edebilecek yahut kamu sisteminin bozulmasına yol açabilecek kritik çeşitteki dataların güvenliğinin sağlanması gayesiyle “Bilgi ve Bağlantı Güvenliği Tedbirleri”ne ait genelge yayımladı.
Cumhurbaşkanı Erdoğan’ın imzasıyla Resmi Gazete’de yayımlanan genelgede, bilginin dijital ortamlara taşınması, bilgiye erişimin kolaylaşması, altyapıların dijital hale gelmesi ve bilgi idare sistemlerinin yaygın olarak kullanılmasının önemli güvenlik risklerini beraberinde getirdiği belirtildi.
Bu kapsamda karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve bilhassa saklılığı, bütünlüğü yahut erişilebilirliği bozulduğunda ulusal güvenliği tehdit edebilecek yahut kamu tertibinin bozulmasına yol açabilecek kritik cinsteki bilgilerin güvenliğinin sağlanması gayesiyle alınacak önlemler belirlendi.
Genelgeye nazaran, 21 husustan oluşan önlemler şöyle:
“Nüfus, sıhhat ve bağlantı kayıt bilgileri ile genetik ve biyometrik bilgiler üzere kritik bilgi ve datalar, yurt içinde inançlı bir formda depolanacak.
Kamu kurum ve kuruluşlarında yer alan kritik datalar, internete kapalı ve fizikî güvenliği sağlanmış bir ortamda bulunan inançlı bir ağda tutulacak. Bu ağda kullanılacak aygıtlara erişim denetimli olarak sağlanacak ve log kayıtları değiştirilmeye karşı tedbir alınarak saklanacak.
Kamu dataları bulutta saklanmayacak
Kamu kurum ve kuruluşlarına ilişkin bilgiler, kurumların kendi özel sistemleri yahut kurum denetimindeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacak.
Mevzuatta kodlu yahut kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli taşınabilir uygulamalar hariç olmak üzere, taşınabilir uygulamalar ve toplumsal medya üzerinden zımnilik dereceli bilgi paylaşımı ve haberleşme yapılmayacak. Toplumsal medya ve haberleşme uygulamalarına ilişkin yerli uygulamaların kullanımı tercih edilecek.
Kamu kurum ve kuruluşlarınca kapalılık dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) yahut gibisi güvenlik tedbirleri alınacak. Kritik bilgi, doküman ve evrakların bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında, ortamlarında taşınabilir aygıtlar ve data transferi özelliğine sahip aygıtlar bulundurulmayacak. Kapalılık dereceli yahut kurumsal mahremiyet içeren data, doküman ve evraklar kurumsal olarak yetkilendirilmemiş yahut şahsî olarak kullanılan dizüstü bilgisayar, taşınabilir aygıt, harici bellek ve gibisi aygıtlar da bulundurulmayacak.
Yerli ve ulusal kripto sistemleri teşvik edilecek
Kişisel olarak kullanılanlar da dahil olmak üzere kaynağından emin olunmayan dizüstü bilgisayar, taşınabilir aygıtlar, harici bellek/disk, CD/DVD ve gibisi taşınabilir aygıtların, kurum sistemlerine bağlanmayacağının da belirtildiği genelgeye nazaran, kapalılık dereceli bilgilerin saklandığı aygıtlar fakat içerisinde yer alan datalar donanımsal yahut yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek. Bu maksatla kullanılan aygıtlar da kayıt altına alınacak.
Ayrıca, yerli ve ulusal kripto sistemlerinin geliştirilmesi teşvik edilerek kurumlara ilişkin zımnilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacak.
Kamu kurum ve kuruluşlarınca temin edilecek yazılım yahut donanımların kullanım maksadına uygun olmayan bir özellik ve art kapı (kullanıcıların bilgisi, müsaadesi olmaksızın sistemlere erişim imkanı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici yahut tedarikçilerden imkanlar ölçüsünde taahhütname alınacak.
Yazılımların inançlı olarak geliştirilmesi ile ilgili önlemler alınacak. Temin edilen yahut geliştirilen yazılımlar kullanılmadan evvel güvenlik testlerinden geçirilerek kullanılacak. Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli önlemleri alacak. Üst seviye yöneticiler de dahil olmak üzere, işçinin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve gereksinimler nazara alınarak yapılması sağlanacak.
Kamu e-posta sistemlerinin ayarları inançlı olacak biçimde yapılandırılacak
Endüstriyel denetim sistemlerinin internete kapalı pozisyonda tutulması sağlanacak. Bu sistemlerin internete açık olmasının mecburî olduğu durumlarda ise güvenlik duvarı, uçtan uca tünelleme sistemleri, yetkilendirme ve kimliklendirme sistemleri üzere gerekli güvenlik tedbirleri alınacak.
Milli güvenliği direkt etkileyen stratejik kıymeti haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde misyon alacak kritik değeri haiz işçi hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması yahut arşiv araştırması yaptırılacak.
Kamu e-posta sistemlerinin ayarları inançlı olacak biçimde yapılandırılacak, e-posta sunucuları, Türkiye’de ve kurumun denetiminde bulundurulacak. Sunucular ortasındaki irtibatın ise şifreli olarak yapılması sağlanacak.
Kurumsal olmayan şahsi e-posta adreslerinden kurumsal bağlantı yapılmayacak, kurumsal e-postalar, özel irtibat, şahsî toplumsal medya hesapları ve gibisi şahsi emellerle kullanılmayacak.
Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler, Türkiye’de internet değişim noktası kurmakla yükümlü olacak. Yurt içinde değiştirilmesi gereken yurt içi irtibat trafiğinin yurt dışına çıkarılmamasına yönelik de önlemler alınacak.
İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki datalar ise radyolink ve gibisi usullerle taşınmayacak, fiber optik kablolar üzerinden taşınacak. Kritik data bağlantısında, radyolink haberleşmesi kullanılmayacak lakin kullanımın zarurî olduğu durumlarda ise bilgiler ulusal kripto sistemlerine sahip aygıtlar kullanılarak kriptolanacak.
“Bilgi ve İrtibat Güvenliği Rehberi” hazırlanacak
Öte yandan, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı uyumunda, ilgili kamu kurum ve kuruluşlarının katkılarıyla güvenlik risklerinin azaltılması, etkisiz kılınması ve bilhassa saklılığı, bütünlüğü yahut erişilebilirliği bozulduğunda ulusal güvenliği tehdit edebilecek yahut kamu sisteminin bozulmasına yol açabilecek kritik cinsteki bilgilerin güvenliğinin sağlanması maksadıyla, “Bilgi ve İrtibat Güvenliği Rehberi” hazırlanacak.
Ulusal ve milletlerarası standartlar ve bilgi güvenliği kriterleri çerçevesinde hazırlanacak rehber, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik düzeylerini içerecek.
“www.cbddo.gov.tr” adresinde yayımlanacak rehber, gereksinimler, gelişen teknoloji, değişen kurallar ile Ulusal Siber Güvenlik Stratejisi ve hareket planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecek.
Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerin de yeni kurulacak bilgi sistemlerinde, rehberde yer verilen yordam ve temellere uyulması zarurî olacak.
Mevcut bilgi teknolojisi altyapıları, güvenlik düzeyi öncelikleri dikkate alınarak, yayımlanmasını müteakip rehberde yer alacak plan çerçevesinde, kademeli olarak bu temellere uyumlu hale getirilecek. Ahenk çalışmalarında ve yeni kurulacak bilgi sistemlerinde, belirtilen adreste yayımlanan yeni sürüm dikkate alınacak.
Milli güvenliğin sağlanması ve kapalılığın korunması kapsamında yürütülen vazife ve faaliyetler hariç olmak üzere kurum ve kuruluşlar, rehberin uygulanmasına ait kontrol düzeneklerini oluşturacak ve yılda en az bir sefer uygulamayı denetleyecek. Kontrol sonuçları ile yapılan düzeltici ve önleyici faaliyetler, rehberde belirtilen tarz ve asıllara nazaran bir rapor halinde Dijital Dönüşüm Ofisine iletilecek.
Kaynak: AA