Kategori arşivi: Rapor Özetleri

Rapor Özetleri, Uluslararası İlişkiler

RAPOR: 12 NATO ülkesi kritik bilgi altyapılarını nasıl düzenliyor?

Yorum yapın

Merkezi Estonya’da bulunan NATO akreditasyonuna sahip Müşterek Siber Savunma Mükemmeliyet Merkezi (CCD COE) tarafından hazırlanan ve içerisinde Türkiye’nin de bulunduğu 12 NATO ülkesinin kritik altyapı güvenliği ile ilgili yapısal ve kanuni düzenlemelerini değerlendiren  ‘Kritik Bilgi Altyapılarının Sınır Ötesi Bağımlılığının Düzenlenmesi’ raporunun Türkçeleştirilmiş halini dikkatinize sunuyoruz.

Siber kırılganlıkların yeni keşfedilmiş alanlarından biri, kritik bilgi altyapılarının(CII) sınır ötesi bağımlılığıyla alakalıdır. Bankacılık ve telekomünikasyon gibi temel servislerin tedarik edilmesi, başka bir ülkede ikamet eden veya o devletin yargı yetkisi dışında bilgi sistemlerine kritik bağımlılığa sahip olabilen CII’ya giderek artan bir oranda bağlıdır. Bu trendin de küreselleşme ile yan yana ve teknoloji ile yürütülen iş yöntemleriyle devam etmesi beklenmektedir.

İLGİLİ YAZI>> KRİTİK ALTYAPILARIN SİBER GÜVENLİĞİNDE 7 FARKLI YAKLAŞIM

Sınır ötesi bağımlılıklar, bilgi sistemlerinde mevcut açıklıkların dışında ek açıklıklar ortaya çıkarır ve bu riskler ülkelerin bağımlılıklarıyla eşdeğer oranda kademeli olarak artar.

Günümüzde, bu konunun önemine işaret eden çok az ulusal strateji belgesi ve akademik metin bulunmaktadır. Araştırma sayısı eksikliğini önlemek ve doğrudan ulus ötesi CII bağımlılığın retoriğini ölçmek için bu çalışmanın iki temel hedefi vardır:

  • Sınır ötesinde bilgi altyapısına dayalı kritik altyapı bağımlılıkları hakkında bilgi sahibi olan devletleri saptamak ile
  • Seçilmiş NATO üyeleri içinde bu konu hakkındaki farkındalığı saptamak ve CII’nın sınır ötesi bağımlılığından kaynaklanan açıklıkların artma riskine çare olabilecek stratejik, yasal ve düzenleyici mekanizmaları çalıştıran devletleri belirleyebilmek

NATO üyeleri ve ortak devletler arasından ulusal CII uzmanları ve kritik altyapı korumasını koordine eden otoriteler arasında kaynak taraması yapabilmek için bir araştırma geliştirdik. Partner devletler arasında, NATO CCD COE sponsorluğunda olan ülkelere odaklanılacaktır. Ancak bu devletlerin yanı sıra merkeze resmi katılma sürecinde olan Türkiye de araştırmaya dâhil edilmiştir.

Araştırmanın temelde üç sorusu bulunmaktadır:

Kritik (bilgi) altyapısı ve CI kavramı,

Altyapı operatörlerinin ve koordine eden kurulun sorumlulukları,

Ulusal sınır ötesi bağımlılıkların risk algılaması ve bu riskleri azaltmak için var olan ulusal çözümler.

Araştırma, katılımcı ülkelerden gelen uzmanlarla birlikte Ekim 2014 boyunca gerçekleşmiştir.

Çalışmanın gövdesi niteliğini taşıyan 1. Bölüm’de, devletlerin CII’ya sınır ötesi bağımlılıkları konusunda yasal ve stratejik yaklaşımları teker teker tarif edilecektir. Her bir ülke değerlendirmesinde ilk olarak kritik altyapı ve kritik bilgi altyapısı hakkında ulusal genel düşünce tanımlanacaktır. İkinci olarak, aktörlerin sorumlulukları ana hatlarıyla belirlenecektir. Sonrasında “ulus ötesi” konusu, bu çerçevedeki bağımlılıkların çözümü tanımlanarak ifade edilecektir.

Çalışmanın 2. Bölümünde ise ulusal bölge sınırlarının ötesindeki kritik bilgi altyapıları ile ilgili araştırmanın açıklamalı bibliyografyası sunulacaktır.

Çalışma Bulguları:

Kritik (Bilgi) Altyapılarına Ulusal Yaklaşımlar

Terimler ve Tanımlar

Bu bölümde ülkelerde kullanılan terminoloji ve tanımlardaki farklılıkları kısaca özetlenecektir. 1. Bölüm’de ülkelerin kendi tanımları yansıtılacaktır.

Araştırmaya katılan her ülkede “kritik altyapı” tanımı eşit oranda ifade edilirken; “kritik bilgi altyapısı” tanımı çok azdır. Araştırmada yer alan altı ülke, kritik bilgi altyapısını ulusal yasa çerçevesinde tanımlamaktadır. Bunlardan üçünde terim, kritik altyapı ile çakışmaktadır. Ayrıca kritik (bilgi) altyapısı korumasına yasalar haricinde değinmek, bağlayıcı olsa da olmasa da olasılık dışı değildir.

 

Ulusal Yasaların Kritik Bilgi Altyapılarına Yaklaşımları

Şekil 1. Ulusal yasaların kritik bilgi altyapılarına yaklaşımları

 

 

 

 

Sektör rakamları, uluslara göre beşten (Türkiye) on üçe (Avusturya) kadar değişiklik gösterecek şekilde kritik kabul edildi. Aynı zamanda bütün ülkeler sektörel yöntemlerle hareket etmedi (örn. Letonya ve Estonya), ve sektörler arası sınırlar ülkeden ülkeye değişiklik gösterdi. Ancak, sektörlerin ulusal değerlendirmelerinin kritik olmasına ilişkin ağırlıklı olarak çoğunluk (cevaplayanların yarısından fazlası); IT ve iletişim, nakliye, enerji, finans, gıda, su yönetimi, sağlık ve medikal servisler, kamu güvenliği ve kamu düzenine değindi.

KRİTİK ALTYAPILARIN SİBER GÜVENLİĞİ İLE İLGİLİ TÜM HABERLER İÇİN TIKLAYINIZ

Kritik Bilgi Altyapılarını Düzenleyen Ulusal Kurullar

 

Ulusal koordinasyon ve CIIP ile bağlantılı denetleyici görevlerden genellikle ulusal siber güvenlik merkezleri veya hükümet ya da ulusal CERT’ler sorumlu tutulur. “Ulusal Güvenlik Ajansı” (NSA) gibi diğer seçenekler, ulusal telekomünikasyon düzenleme kurumu ve hükümet başkanına tabi olan bakanlıklar arası birimleri de içerir.

Bu ulusal CIIP birimlerinin, kritik altyapıların korunmasından sorumlu tüm ulusal koordinatörlerle ilişkileri konusunda yaklaşımlar yine ülkeye göre çeşitlenmektedir. Araştırmaya katılan ülkelerin yaklaşık yarısında, günlük rutin operasyonlar boyunca CII korumasını yöneten birimler aynı zamanda kriz durumlarının düzenleyicileridir.

 

 

 

 CIP nin Ulusal Düzenleyici Birimi CIIP nin Düzenleyici Birimi
Günlük Rutin Operasyon Sırasında Kriz Durumları Sırasında
Avusturya Federal İçişleri Bakanlığı Avusturya Yönetimi Bilgisayar Acil Durum Hazırlık Takımı (GovCERT) Yapım Aşamasında
Belçika Ulusal Acil Durum Merkezi Ulusal Siber Güvenlik Merkezi (yapım aşamasında) ve Ulusal Acil Durum Merkezi işbirliği
Çek

Cumhuriyeti

 İçişleri Bakanlığı Ulusal Güvenlik Ajansı (NSA)
Estonya İçişleri Bakanlığı Estonya Bilgi Sistemleri Ajansı (Risk Kontrolü ve İstişare Departmanı)
Fransa Savunma ve Ulusal Güvenlik Genel Sekreterliği Fransa Ağ ve Bilgi Güvenliği Ajansı (ANSSI)
Almanya Alman Federal İçişleri Bakanlığı (BMI) Alman Federal Bilgi Güvenliği Ofisi (BSI) Alman Federal İçişleri Bakanlığı (BMI)
Macaristan İçişleri Bakanlığı Devlet CERT birimi ve CIP CERT İçişleri Bakanlığı
İtalya Durum ve Plandan Sorumlu İç Bakanlıklar arası Birim (NISP) Yönetim: NISP ve Siber Güvenlik İç Birimi (NSC)

Denetim: İçişleri Bakanlığına bağlı Ulusal Suç Önleyici Kritik Altyapı Koruması Bilgisayar Merkezi (C.N.A.I.P.I.C.)
Letonya Devlet Güvenliği Aracı Kuruluşu Komisyonu Bilgi Teknolojileri Güvenliği Olay Müdahale Kurumu (ulusal CERT)
Hollanda Güvenlik ve Adalet Bakanlığı (Ulusal Güvenlik ve Terörle Mücadele Birimi’ne –NCTV- devredildi) NCTV; doğrudan faaliyetleri Siber Güvenlik Dairesi ve Ulusal Siber Güvenlik Merkezi’ne devredildi.
İspanya Ulusal Kritik Altyapıları Koruma Merkezi (CNPIC) CERT-SI (Ulusal Siber Güvenlik Enstitüsü organı) vasıtasıyla CNPIC
Türkiye Ulaştırma, Denizcilik ve Haberleşme Bakanlığı Bilgi Teknolojileri ve İletişim Kurumu

 

Tablo 1. Ulusal CIP ve CIIP koordinasyon birimleri

Kritik Bilgi Altyapıları İçin Yasal Sorumluluklar

CII işleyişi ve güvenliğin doğrudan yasal sorumluluğu; güvenlik önlemleri almak ve planlama yapmak, kritik altyapılarda risk yönetimi yapmak zorunda olan, donanım çalıştırma, ağlar, sistemler ve ICT niteliğini sağlayan kritik altyapı operatörlerinin sorumluluğundadır.

Operatörler ve diğer alakalı oyuncuların sorumlulukları birkaç yasada belirtilmiştir. Bazı ülkelerin -Almanya gibi- geniş yükümlülüklerin bulunduğu bir listesi varken; Türkiye, İspanya ve Estonya gibi diğer ülkelerin oldukça dar yasal düzenlemeleri vardır. Avustuya ise bu konu üzerinde herhangi bir yasal düzenlemeye sahip değildir, bunun yerine konuyla ilgili adımlar “Siber Güvenlik Stratejileri” (ACSS) ve Avusturya Güvenlik Stratejileri Devlet Raporu’na (ASS) göre atılmaktadır.

 

Sorumlu Kurum/Bireylerin Yasal Yükümlülükleri

Şekil 2. CII işletimi ve güvenlikten sorumlu kurum/bireylerin yasal yükümlülükleri

 

 

 

 

 

 

Sınır Ötesi Bağımlılıklar

Sınır Ötesi Bağımlılıkları Tanımlamak

Kritik altyapı bağlamında bağımlılık; “sistem, ağ ya da varlığın tek yönlü güvencesi” anlamı taşımaktadır. Buna ek olarak sınır ötesi boyut, kendi sınırları dışında olmasından dolayı sadece sisteme karmaşık ileri unsur eklemez, aynı zamanda ihtiyaç duyulan aktörlerin çeşitliliğini de artırır.

Bağımlılık, çeşitli formlarda ortaya konulabilir: fiziksel bağımlılık (bileşenler arasındaki mühendislik güvencesi), bilgi bağımlılığı (bileşenler arasında bilgilendirme amaçlı veya kontrol gereksinimi) ve idari/yöntemsel bağımlılık. CII sınır ötesi bağımlılıkları hakkında güncel görüşleri anlamak için çalışma, cevaplayanların sınır ötesi bilgi altyapısı bağımlılığını belirli bir şekilde gösteren hizmet ya da sektörleri nasıl algıladığını soruşturmaktadır. Verilen cevaplar, sınır ötesi bilgi bağımlılığı algılamalarının oldukça yüksek olduğu belirli sektörleri vurgulamaktadır. “Sıfır”dan “kritik”e kadar olan ölçekte; ICT, telekomünikasyon, finans ve enerjinin dayanıklı ve kritik arasında kalan derecedeki sınır ötesi bilgi altyapısındaki bağımlılığı gösterdikleri anlaşılmıştır. Sağlık sektörü istisnasıyla birlikte, kalan kritik sektörlerin tamamının sınır ötesi CII’ya en az sınırlı bir şekilde bağımlı olduğu düşünülmektedir.

İLGİLİ YAZI >>KANUN YAPICILARIN GERİLİMİ: GÜVENLİK Mİ PİYASA MI?

Sınır Ötesi Bilgi Altyapılarının Sektörel Bağımlılığı

Şekil 3. Sınır ötesi bilgi altyapılarının sektörel dağılımı

 

 

 

 

Bağımlılığı kritik olarak göz önüne alanlar çoğunlukla bilgi sistemleri ve ulaştırma sektöründeki yanıtlayanlarken; finans sektöründe, enerji sektörüne göre görüşler “kritik” ve “dayanıklı” arasında neredeyse eşit bir şekilde ayrılmıştır. Medya sektörü kadar ulaştırma da sınır ötesi CII bağımlılığını dayanıklı olarak nitelendirmiş, kalan diğer sektörlerdeyse sınır ötesi CII bağımlılığı minimal olarak gösterilmiştir. Sektörlerin hiçbirinde sınır ötesi bağımlılığım olmadığı yönünde baskın bir düşünce iletilmemiştir.

 

Sınır Ötesi Kritik Bilgi Altyapıları Bağımlılığının Riskleri

Yanıtlar şu şekilde ortaya koymuştur:

  • Çalıştırma hataları, iletişim sistemi başarısızlıklarını (denizaltı kabloları, uydular) içeren; güncellenmemiş sistemler, geçersiz teknoloji kullanımı, aynı zamanda teknik uzmanlık eksikliği ve kaza riskine karşı ustalığı da içeren teknolojik riskler,
  • Yasama ve uygulamadaki farkları içeren yasal ve yöntemsel riskler,
  • Finansal durum, bilhassa güvenlik sistemlerine ayrılan yetersiz fon konusunda,
  • Şaşırtıcı bir şekilde sıklıkla sosyal ve kültürel problemler; tehdit algılamalarındaki farklılıklar, önleyici ve başlatıcı çalışmalarda bilgi paylaşımı eksikliği örnek verilebilir.
  • Son olarak toplumlardaki artan karmaşıklık, sınır ötesi CII bağımlılığına yönelik alınan önlem seçimine etki etmesi açısından iç faktör olarak görülebilir.

 

Sınır Ötesi Riskleri Azaltma

Genel olarak ulusal yasalarda sınır ötesi bağımlılıklara değinen çok az önlem göze çarpmıştır: Katılımcı ülkelerin yalnızca üçünde (İspanya, Estonya, Macaristan) konuyla ilgili belirli yasal yükümlülükler mevcuttur. İspanya’da CI operatörleri, geliştirdikleri temel güvenlik planlarında sınır ötesi bağımlılıkları belirlemek zorundayken; CII idarecileri, ICT ve CI operatörleri tarafından sağlanan ana servis arasındaki bağlantıyı tanımlamak durumundadırlar. Estonya’da, hayati öneme sahip servisleri temin edenler, bu servislerin devam eden işlemlerini yasa gereği -yerine göre yabancı ülke kaynaklı olan bilgi sistemlerine bağlı olmayacak şekilde- sağlama almak durumundadır. Macaristan’da ise hükümet ve yerel yönetim birimleri için yasal düzenlemeler tarafından belirlenmiş, veri depolama kısıtlamalarını ve AB bölgesi dışındaki idareyi içeren yükümlülükler bulunmaktadır.

Araştırmaya katılan diğer ülke uzmanlarıysa CI sınır ötesi bağımlılıklarıyla ilgili belirli bir yasal yükümlülüğü işaret etmemektedir. Yanıtlayanların neredeyse tamamı, CI hedef ve önlemlerini ulusal siber güvenlik stratejileri dâhilinde ve sınır ötesi bağımlılıklara uygulanacak şekilde hazırladıklarını belirtmiştir. Özellikle altı çizilen maddeler ise:

  • Uluslararası işbirliği ve dayanışma,

–     İki veya çok taraflı diyalog içinde bulunma,

–     Uluslararası yönetim kuralları, standart ve normları uygulamak,

  • Bilgi paylaşımını teşvik etmedir.

Ulusal siber güvenlik stratejilerinde sınır ötesi bağımlılıkları doğrudan işaret eden tek ülke Estonya’dır. Kısaca, incelenen tüm ülkeler CI bağımlılıklarına yönelik bir şekilde giriş niteliği taşıyan çözümlere sahiptir; çözümlerin derinliği değişmekle birlikte CII bağımlılıkları odaklı az bir vurgu vardır.

Literatür Taraması

Çalışmanın amacını dikkate alınca, araştırma sorusunun literatür taramasına konumlandığı ve dört temel unsura dayandığı görülüyor; kritik altyapı, kritik altyapı işleyişini sağlayan bilgi sistemleri, bağımlılıklar ve sınır ötesi kısmı. Var olan bilgi durumunu planlamanın önündeki temel engel ise bütün bu öğelerin nadiren bir grup içinde toplanmalarıdır. Kritik altyapılardaki sektörel bağımlılıklar ya da bilgi altyapılarındaki potansiyel sınır ötesi tehditler arttıkça bilgi altyapılarının sınır ötesi kritik altyapı bağımlılıkları tartışmasına az önem verilmektedir. Dahası, gösterilen ilgi sadece az değil, aynı zamanda sistematik olmak yerine arada sırada ve rastlantısaldır.

Sektörler arası bağımlılık, “neredeyse her kritik altyapı sektöründeki karşılıklı işlevsel bağlantı” iddiası her zaman ispat edilememesine rağmen, zafiyet kaynağı olarak kabul edilmektedir. Çözümler ise iki taneyle sınırlı kalacak görünen bir hayli soyut öneriler sunar: “farkındalığı artırmak” ve “uluslararası işbirliğini devam ettirmek”.

Aynı şekilde, sınır ötesi kritik (bilgi) altyapıları koruması hakkındaki güncel tartışmaların çoğu söz konusu ülkenin ulusal sınırları ötesindeki kritik altyapı kazalarının potansiyel etkileriyle sınırlıdır.

Araştırma faaliyetleri, sınır ötesi bağımlılıklarla ilgili ileride yapılacak araştırmalar için gerekli olan iki temel konuya işaret eder. İlki, birçok durumda, CI risk tablosundan yalıtılma söz konusuyken sınır ötesi bağımlılıklara değinilmez, bunun yerine risk değerlendirmesi ve yönetimi içerisine dâhil edilirler. Sınır ötesi CII bağımlılıkları ile ilgili çalışma ve faaliyetler ise sıklıkla sektör odaklı veya hizmet odaklıdır. Telekomünikasyon ve enerji, bu anlayışı destekler niteliktedir.

Sonuç olarak, sınır ötesi bağımlılıklarla ilgili faaliyetler konusunda farkındalığı geliştirmek için bu alandaki ulusal değerlendirmelerin yolunu açmak için bu çalışma yararlı olacaktır.

İLGİLİ YAZI >> ULUSLARARASI SİBER İTTİFAKLAR İÇİN BAŞLANGIÇ NOKTASI: SİBER OLGUNLUK

  1. BÖLÜM:

Ulusal Yaklaşımlar ve Mevcut Çözümler

AVUSTURYA

1.1 Kavram ve Adlandırma

Avusturya’nın CI düşüncesi Yönerge 2008/114/EC ile yakından ilgilidir. Yasal tanım “2008 Kritik Altyapı Koruması Ana Planı’nda (APCIP) bulunmaktadır:

‘Kritik altyapılar, hayati toplumsal fonksiyonların temel parçasıdır. Bozulmaları veya dağılmaları, Avusturya vatandaşlarının sağlık, emniyet ve güvenlik veya ekonomik ve sosyal refahına ve devletin etkili işleyişine azımsanamayacak bir etkide bulunur.’

CII terimi için herhangi bir yasal tanım bulunmamaktadır. Mart 2013’te bakanlar kurulu tarafından tanımlanma girişimi kabul edilen Avusturya Siber Savaş Stratejisi de aynı durumdadır. CII ise ayrı bir sektör veya hizmet olarak dikkate alınmaktadır.

1.2 Sorumluluklar

Kritik Altyapı Koruması Ana Planı’nın (APCIP) yanı sıra Avrupa’daki uygulama iki kuruluş tarafından denetlenmektedir: Federal Yüksek Mahkeme ve İçişleri Bakanlığı. İkincisi, özellikle “Devlet Savunması ve Terörle Mücadele”yi (BVT) tabi kılacak şekilde güvenlik işlerinden sorumludur. Ancak, CII alanında harekete geçirilmiş yasal sorumluluklar bulunmamaktadır.

Avusturya Yönetimi Bilgisayar Acil Durum Hazırlık Takımı (GovCERT), günlük IT sistemleri ve ağlar, işletme ve kritik bilgi altyapıları hizmetlerinin kesintisiz ve güvenli çalışmasını sağlama almakla sorumludur.

Avusturya Siber Güvenlik Stratejisi’ne (ACSS) göre Federal Yüksek Mahkeme’yi, Savunma Bakanlığını ve Dışişleri Bakanlığını gerektiren işlevsel yapı, yapım aşamasında ve oluşturulacak merkez koordinasyon birimini içerir.

1.3 Sınır Ötesi Kısım

Avusturyalı uzman değerlendirmesine göre sınır ötesi bilgi altyapılarındaki kritik bağımlılığı gösteren dört sektör vardır: bilgi sistemleri ve telekomünikasyon, finans, enerji ve sanayi üretimi sektörü.

Ulusal sınırlar dışındaki CII konumundan meydana gelen potansiyel riskleri listelemeye gelince ise, ACSS / Annex 1’in belirtilmesi gerekmektedir. Annex 1, işlem hatalarını ve devlet/devlet dışı aktörlerin yaptığı büyük saldırıları içeren Siber Risk Matriks’i  (2011) sağlamaktadır.

Avusturya’da sınır ötesi bağımlılıklar için öngörülen belirli bir önlem planı bulunmamaktadır, ancak; uzmanlar ACSS’nin küresel ağ oluşturma ve uluslararası işbirliği hedeflerini, Avrupa içinde ve küresel çapta göz önünde tutmaktadırlar.

BELÇİKA

1.1 Kavram ve Adlandırma

Belçika Kritik Altyapı Koruma ve Güvenlik Yasası, CI için şu tanımı önermektedir (CII terimi belirtilmemiş ancak kriterleri, CI açıklamasına uymaktadır) :

‘CI terimi, ‘donanım ya da sistem veya sağlık, emniyet, güvenlik, vatandaşların ekonomik-sosyal refahı ve temel toplumsal işlevlerin devamı için öneme sahip bir parçadır. Faaliyetlerinin sekteye uğratılması veya bozulması azımsanmayacak bir etkiye yol açar.’

Yasa, ‘kritik ulusal altyapılar’ ile ‘Avrupa kritik altyapıları’ arasında, etkilerinin farkına dayanarak bir ayrım gözetir.

Yönerge 2008/114/EC aynı zamanda elektronik haberleşmeyi kapsayan sektörlere de uygulanabilir. Bunun dışında enerji, ulaşım, finans gibi diğer CI sektörlerinin IT bölümleri için de geçerlidir. Belçika’da CII, CI nın bir parçası olarak görülmesine rağmen ayrı bir sektör olarak yaklaşılır.

Sektör içi belirli CI hedeflerini tanımlama süreci yasaya göre düzenlenmiştir. 5,1. Maddeye göre, ‘sektörel otorite’, ulusal ve Avrupa kritik altyapı hedeflerine göre belirlenmiştir. 3,1. Maddeyi -a)-d) arası- daha yakından incelemek gerekirse bu sektörel yetki tanımlanmıştır:

‘ Ulaşım, enerji ya da finans sektörüne ilişkin sektörel otorite, ilişkili bakanlık ya da görevi devretme halinde bakanlığın idari kadro elemanlarından biri de olabilir.’

2.2 Sorumluluklar

Ulusal Düzenleyici Birimler ve Sorumlulukları

Sektörel otorite, Federal İç Kamu Hizmeti birimindeki Kriz Merkezi Genel Kurulu (DGCC)’nun söz konusu istişaresi ile birlikte sektörlerin ayırt edici özelliklerine göre kriter oluşturur.

Sektörler arası kriterler ise 3&6 da belirtilmiştir:

  1. Can kaybı; yani potansiyel ölü veya yaralı sayısı,
  2. Ekonomik vurgun; yani ekonomik zararın uzaması veya üretimde azalma,
  3. Nüfus etkisi; güven, fiziksel zararlar, temel hizmetler ve günlük rutinlerin aksaması,

Sınır ötesi kritik altyapıların tanımlanması durumunda, kritik Avrupa altyapı korumasındaki ulusal bağlantısı noktası, DGCC bünyesinde, işbirliği içindeki AB üye devletlerle iki veya çok taraflı tartışmalara katılmak durumundadır.

Operatörün Sorumlulukları

Kritik altyapı operatörlerinin, güvenlik önlemlerini uygulamak, yükümlülükleri denetlemek ve güvenlik belgelemelerini sürdürmek gibi bir takım sorumlulukları vardır.

Güvenlik temas noktası kurulması: Buradaki sorumluluklar, Kritik Altyapı Koruma ve Güvenlik Yasası 12. madde, 3. kısımda açıklanmıştır. Bu yasa, verinin sektörel otoriteye geçtiği altı aylık zaman dilimi içinde güvenlik temas noktasını belirler.

Operatörlerin güvenlik planı detaylandırması: Operatör; işlevsel kesinti ya da kritik altyapı bozulmaları riskini etkisizleştirme, azaltma ve önleme hedefleri olan güvenlik planını iç organizasyonel önlemler alarak detaylandırmayı kolaylaştıracaktır.

27 Mayıs 2014 tarihli Kraliyet Kararnamesi, elektronik haberleşme sektörünü sadece güvenlik önlemleri içeriğini değil aynı zamanda operatörün güvenlik planında olması gereken bilgiyi de kapsamaktadır. Kararnamenin 2. Madde’si, güvenlik planı içinde olması gereken asgari birimlerin kısa bir listesini bulundurmaktadır:

  1. Kritik altyapıların kapsamlı bir tanımı,
  2. Risk analizi,
  3. Dâhili ve kalıcı güvenlik önlemleri,
  4. İç kademeli güvenlik önlemleri,
  5. Uygulamaların tanımı,
  6. İç kademeli güvenlik önlemlerinin detaylandırılması

2.3 Sınır Ötesi Kısım

Araştırma, sınır ötesi kısmı ilgilendiren pek çok faaliyeti meydana çıkarmamıştır. Yasal yükümlülükler CI operatörleri, CII yöneticileri ya da siber kriz idaresi koordinasyon birimiyle CII yerleşimlerinin milli sınırlar dışında olmasından kaynaklanan bağımlılıkları incelemek veya azaltmak ile ilgili değildir.

ÇEK CUMHURİYETİ

3.1 Kavram ve Adlandırma

Kriz Yasası’nın 2. maddesi, Çek Cumhuriyeti için kritik kabul edilen dokuz sektörü listelemiştir. Bunlar; enerji, su denetimi, gıda endüstrisi ve ziraat, sağlık hizmetleri, ulaşım, haberleşme ve bilgi sistemleri, acil durum hizmetleri, kamu idaresidir.

Siber Güvenlik Yasası ve ilgili yasaların değişimi, kritik bilgi altyapısını açıklamaktadır:

‘Kritik Bilgi Altyapısı, siber güvenlik alanı içindeki haberleşme ve bilgi sistemlerinin kritik altyapı unsurlarının sistemleri veya birimleri anlamına gelir.’

3.2 Sorumluluklar

Ulusal Koordinasyon Birimi

Siber güvenlik idaresi ve kritik bilgi altyapılarına dayanan denetleyici görevler, milli CERT ve NSA arasında ikiye ayrılır. CERT, ulusal ve uluslararası seviyede bilgi paylaşımından sorumludur. ‘Önemli ağ’ların yetkilileri için iletişim bilgilerinin kayıtlarını tutar, siber güvenlik vakaları hakkındaki bildirimleri ve değerlendirmeleri, kırılganlık analizlerini yürütmeyi ele alırlar. CERTler ayrıca siber güvenlik vakaları süresince işbirliği sağlar.

Ulusal Güvenlik Ajansı ise yetkililerden bilgi sağlanmasını yönetir, olay ve kazaları değerlendirir. ‘Eksiklik’ olması halinde operatörlerin denetiminde düzeltici eylem gereksinimi için yetkilidirler. Ayrıca, siber güvenlik kazalarını çözmek için etkin önlemler almak ya da bilgi sistemleri veya ağ ve elektronik haberleşme hizmetlerini güvende tutmak için verilecek kararlarda yetkili kılınmıştır.

Operatörlerin Sorumlulukları

Siber Güvenlik Yasası’nın 3. Madde’sinde sorumlu kişiler belirtilmiştir:

  • Devlet makamları ya da önemli ağları yöneten meşru kişiler,
  • Bilgi sistemlerinin kritik bilgi altyapılarının yetkilileri ve
  • Haberleşme sistemlerinin kritik bilgi altyapılarının yetkilileri

Kritik bilgi altyapılarının bilgi ve haberleşme sistemlerinin yetkilileri, güvenlik önlemlerini uygulamak ve güvenlik belgeleri içindeki güvenlik önlemleri kayıtlarını tutmak zorundadırlar. Bu güvenlik önlemleri, organizasyonel ve teknik önlemleri içermektedir.

3.3 Sınır Ötesi Kısım

Sınır ötesi bağımlılık kısmı, Siber Güvenlik Yasası’nda özel olarak belirtilmemiştir. Ulusal Güvenlik Ajansı yetkilileri; etkin, koruyucu ve düzeltici önlemleri genel anlamda uygulamaya koyar.

ESTONYA

4.1 Kavram ve Adlandırma

Estonya’nın kritik altyapı korumasına yaklaşımı, Acil Durum Yasası’nı içinde listelenen ‘temel hizmetler’ kavramına dayalıdır. Liste, adalet sisteminin soyut kategorilerindeki 43 temel hizmeti içermektedir; kamu güvenliği ve kamu düzeni, devlet ve kamu idaresi, ulaşım, haberleşme, çevresel hizmetler vs.

4.2 Sorumluluklar

Milli Koordine Birimi

Acil Durum Yasası, dokuz devlet bakanını ve devlet kuruluşlarını, temel hizmetlerin devam etmekte olan faaliyetleri için tam yetki vererek atama yapar. Acentelerin yükümlülükleri Madde 9’da özetlenmiştir; bunlara temel hizmet faaliyetlerinin koordinasyonu, temel hizmet sağlayıcılarına önerilerde bulunma, temel hizmet faaliyetlerinin denetimini yapma ve İçişleri Bakanlığı’na düzenli raporlama yapma da dâhil edilebilir. Elektronik güvenlik gereksinimindeki temel hizmetlerin uygunluk denetleyici birimi Estonya Bilgi Sistem Dairesi’dir. Bu birim, temel hizmet riskleri ve ilgili siber kazalara değinmek üzere acil durum risk değerlendirmesinden sorumludur.

Operatörün Sorumlulukları

Temel hizmet sağlayıcıları, Acil Durum Yasası’nın 37. Maddesi’nde tanımlanmıştır. Sağlayıcılar, devlet ya da yerel yönetim birimi veya tüzel kişi de olabilmektedir. Belli durumlarda, gerçek kişiler temel hizmet sağlayıcılarıyla ilişkilendirilebilmektedir. Servis sağlayıcılarının yükümlülükleri:

  • Kesintisiz faaliyet risk değerlendirmesi yazmak,
  • Belirli hizmetlerin kesintisiz faaliyet planlarını hazırlamak,
  • Temel hizmetlerin kesintisiz işleyişlerini bozacak eylemleri bildirmek,
  • Temel Hizmetlerin kesintisiz işleyişleri üzerinden yetkili birimlerim denetimine tabi olmak

4.3 Sınır Ötesi Kısım

Yabancı bir ülkede bulunan temel hizmet bilgi sistemlerine ilişkin, sağlayıcının, temel hizmetlerin kesintisiz işleyişlerini bilgi sistemlerinin sınır dışında olmasına bağlı olmayacak şekilde güvende tutması beklenmektedir.

Kesintisiz işleyiş risk denetimi ve kesintisiz faaliyet planları, bilgi sistemlerindeki sınır ötesi bağımlılığı denetlemesini içeren Acil Durum Yasası’nın 37 ve 40. maddeleri için gereklidir.

2014’te tatbik edilen revize edilmiş Estonya Siber Güvenlik Stratejisi, bilgi altyapılarındaki sınır ötesi bağımlılıkların temel hizmetler kısmını özel olarak belirtir. Strateji’nin 1.2.kısmı, Estonya sınırları dışından kritik hizmet sağlanmasındaki bağımlılıklarla ilgili bilgiyi koruyan hedefleri tanımlar.

FRANSA

5.1 Kavram ve Adlandırma

Fransa’da, kritik altyapı adlandırmaları geniş bir bağlam içinde ele alınmıştır. Fransız Savunma Yasası R. 1332 -2. Maddesi açıkça belirtmiştir:

‘Kritik önemdeki sanayiler…..ortak hedeflere katkı sağlayan bu faaliyetlerden oluşur;

  1. Üretimle veya zaruri mal ve hizmet ihtiyacının dağılımıyla ilgilidir:
  1. Temel ihtiyaçları karşılama,
  2. Devlet otoritesini uygulamak,
  3. Ekonomiyi idare etmek,
  4. Savunma gücünü devam ettirmek,
  5. Halkın güvenliğini sağlamak

Bu faaliyetlerin değiştirilmesi zor olduğunda,

  1. Halk için önemli bir tehlike ortaya çıkarabilir.

Kritik altyapı operatörlerine bağlı yükümlülükler, Çevre Yasası L.511-1 altındaki belirli kurumların yöneticilerine ya da Çevre Yasası L593-1 altındaki nükleer tesislerin yöneticilerine kadar uzatılabilir.

Fransa, ‘2014’ten 2019’a kadar geçerli Askeri Programlama ve Savunma ve Milli Güvenliğe İlişkin Çeşitli Koşullar Madde No.2013-1168’in ‘Siber Tehditlere Karşı Kritik Altyapı Koruması Temini’ bölümü dışında kritik bilgi altyapıları hakkında belirli bir tanımlama yapmamıştır.

5.2 Sorumluluklar

Başbakanlık yetkisi altında, Savunma ve Milli Güvenlik Sekreterliği (GSDNS), kritik altyapı korumasının (ve kritik bilgi altyapısı korumasının) ana koordinasyon merkezinden sorumludur. Temmuz 2009’dan bu yana Milli Güvenlik Teşkilatı Bilgi Sistemleri (ANSSI);  bilgi sistemleri güvenliği, GSDNS’ye destek, bilgi sistemleri güvenliği için önlem alma/uygulamak için yetkili otorite olarak hizmet etmektedir. ANSSI’nın Fransa hükümetinin ana siber savunma mekanizması olarak temel hedefleri; kontrol, önleme, belirleme ve siber ataklara yanıt vermektir. Aynı zamanda CII’ya ilişkin, güvenli ürün ve hizmetlerin gelişmesini destekleyerek tehditleri önlemeyi amaçlamaktadır.

Bilgi sistemleri operatörleri, kritik altyapı operatörleri olarak belirlendiğinde Fransız Savunma Yasası’nın güncellenmiş koşulları tarafından ihtiyaç duyulur. Sonuç olarak kritik bilgi sistemleri operatörleri, bu sistemlerin korunması için hazırlanan güvenlik kurallarına riayet etmek zorundadır.

5.3 Sınır Ötesi Kısım

Fransa, Savunma ve Milli Güvenlik ve Siber Güvenlik Stratejisi 2013 raporunda, ağ ve bilgi sistemlerindeki sınır ötesi bağımlılıkları belirtilmiştir. Araştırma yapmış olan Fransız uzmanlar, ‘Bilgi Sistemleri ve Telekomünikasyonlar’ın sınır ötesi bağımlılıklarını ‘kritik’ olarak tanımlamışken; ‘enerji temini’, ‘finans’, ‘trafik ve ulaştırma’ gibi sektörleri ‘sağlam’ olarak nitelendirmiştir.

Başbakanlık, bilgi sistemleri koruması için uluslararası işbirliği ve sınır ötesi bağımlılıkları azaltmayı hedefleyen koşulları içeren politikalar üretir ve koordinasyon sağlar. ANSSI’nın Dış ilişkiler ve Koordinasyon Alt-kuruluşu, devletlerarası ve özel sektör ilişkilerini düzenlemeden ve Fransa hükümetini uluslararası alanda temsil etmekten sorumludurlar.

ALMANYA

6.1 Kavram Adlandırma

Almanya’nın siber güvenlik stratejisi şu tanımda belirtilmiştir:

‘Kritik altyapılar, hata veya hasar görmelerinden kaynaklanan aşılması zor güçlükler meydana getiren, kamu yararı için esas önem arz eden kurumlardır.’

CI veya CII terimleri için yasal bir tanımlama yapılmamıştır. Ancak 2014 yılında Almanya; CI gibi belirtilen sektörleri: enerji, ICT, ulaşım ve trafik, sağlık, su, finans ve sigorta sektörlerini içeren yeni bir IT Güvenlik Yasa taslağı yapmıştır.

Bilgi Güvenliği Federal Bürosu (BSI) da, CII için tanımlama yapmıştır:

‘Kritik Bilgi Altyapıları, bilgi ve haberleşme teknolojisi sektörlerinin (ICT) yanı sıra ICT temelli altyapılar ve diğer sektörleri de işaret etmektedir.

Almanya, CII’yı neredeyse tüm CI’nın temel bileşeni olarak tutup ayrı bir önem verir. Bundan dolayı Alman Siber Güvenlik Stratejisi, CII korumasının kendi siber güvenlik planları için öncelikli olduğunun altını çizer.

Almanya’nın sunduğu yeni IT Güvenlik Yasa taslağı, enerji, bilgi, telekomünikasyon, ulaşım, sağlık, su, gıda, finans ve sigorta sektörleriyle ilgili birimlerin kritik altyapılarını güvende tutmayı hedeflemektedir.

6.2 Sorumluluklar

İçişleri Bakanlığı, sunulan yeni IT Güvenlik Yasası taslağında CI operatörlerini, güvenlik kazaları sonucu BSI’da saptanmamış bağlantı noktasını bildirmek zorunda tutarlar. Operatörler ve şirketler, kritik altyapıların kullandığı ve saygınlık kaybı korkusuyla önemli kazaları meydana çıkarmaktan çekinen yazılımları temin etme ve kontrol etmeden sorumludurlar. Yasa’ya göre siber vakalar, BSI’ya rapor edilmek zorundadır. Yeni IT Güvenlik Yasası’nın yardımıyla siber vakalardaki derinlik ve numara bilgisi kullanıma uygun olacaktır. Şirketlerin bu yükümlülükleri alıp almayacağı, herhangi bir gözetim tutumunun netleşmemesiyle beraber belli olmamaktadır. Küçük ölçekteki vakalar gerçekleşse dahi, tam zamanında ve doğru kaza raporu olasılığını artıran faillerin kimliği belli olmayabilir. Bu, BSI’ya aktif veya gelen siber tehditlere maruz kalmış şirketleri uyarmak için saldırı planı üreten verileri değerlendirmek adına yeterlidir.

6.3 Sınır Ötesi Kısım

Araştırma cevaplarına ilişkin, sadece bir sektör (finans) sınır ötesi bilgi altyapılarına ‘kritik’ bağımlılığı çerçevesinde değerlendirilirken; kalan diğer beş sektör (enerji, ICT, trafik ve ulaşım, medya, devlet ve idare) de ‘dayanıklı’ ölçeğinde bağımlı kabul edilmiştir. Riskler; farklı yasal, sosyal ve teknik açılardan bakılıp dâhil edilmiş ve farklı yasaların problemli tarafları, haberleşme sistemlerindeki hatalar, toplumların artan karmaşıklığı, değişen güvenlik kültürleri ve ‘tüm-tehlikeler’ yaklaşımı kullanmama riskini de içermektedir.

Kritik Altyapı Koruması Milli Stratejisi (CIP Strategy), uluslararası işbirliği bölümündeki sınır ötesi kısmını işaret eden, belgelerden biridir. Aynı zamanda enerji ve ulaşımın yanı sıra bilgi ve haberleşme teknolojileri alanının önemini de vurgulamaktadır.

Alman Siber Güvenlik Stratejisi, kritik bilgi altyapılarındaki sınır ötesi bağımlılığın getirdiği problemleri, kısa ve kapsamlı bir başlık altında belirler: ‘çerçeve şartları’. Bu çevre şartlarını, müttefik ve ortaklarla yaygın minimum standartlara yaklaşmak üzere arttırmak, siber güvenliği geliştirmek için anahtar işlevi görmektedir.

CIIP’ye İlişkin Milli Strateji Hedefleri

İlk olarak 2005’te çıkarılan Bilgi Altyapılarının Korunması Milli Planı (NPSI), ICT ve ICT’ye bağlı birimleri korumak üzere devletin temel stratejisini temsil eder. Üç ana stratejik ve güvenlik görevi vardır:

  1. Almanya’daki bilgi altyapıları için yeterli önlemi alma,
  2. IT kazası olma ihtimaline karşı etkili bir yol izleme,
  3. Alman IT güvenliğini uluslararası standartlara ayarlayarak güçlendirme ve bunun sürdürülebilirliği

NPSI kurulduktan sonra iki uygulama planı geliştirilmiştir. Bunlardan önemli olanı ‘KRITIS’ 2007 tarihlidir. 2009’da Kritik Altyapı Koruması Milli Stratejisi (CIP Strategy), kritik bilgi altyapısı tehditleri ve risklerine işaret ederek bunu takip eder. Son olarak 2011’de Almanya Siber Güvenlik Strateji’si NPSI’nın devamı olarak çıkarılmasının yanı sıra siber güvenlik sektörünün çerçeve şartlarını da geliştirmekten sorumludur.

MACARİSTAN

7.1 Kavram ve Adlandırma

Macaristan, kritik altyapı kavramını AB direktiflerine göre ayarlamıştır: ‘kritik altyapılar; temel toplumsal işlevler, sağlık, emniyet, güvenlik, insanların ekonomik veya sosyal refahının sürdürülmesi için olmazsa olmaz bir kavram, parça ya da sistem olarak adlandırılabilir. Bu işlevlerin devamının kesintiye uğramasından doğacak sonuç ise önemli bir vurguna yol açar.’ Konuyla ilgili temel koşullar, 2012 Yasa CLXVI temel hizmetleri tanımlama, adlandırma ve koruma bölümünde tanımlanmıştır. Şu on sektör yaşamsal olarak görülmektedir: enerji, ulaşım, su, ICT, finans, ziraat, sanayi, halk sağlığı, devlet ve halk güvenliği ve savunma idaresi.

7.2 Sorumluluklar

Macaristan’daki kritik altyapı korumalarından sorumlu milli koordine ve teftiş organının görevleri, çok çeşitli haklara sahip olan Acil Durum Yönetimi Genel Dairesi ile yürütülür. Kritik bilgi altyapısı korumasına ilişkin sorumluluklar, Acil Durum Yönetimi Genel Dairesi ile Milli Güvenlik Özel Servisi bünyesindeki devlet CERT’i tarafından idare edilen CIP CERT tarafından alınır.

Yasa L (2013), devlet kurumlarının ‘elektronik bilgi sistem güvenlikleri’ ne dair görev ve sorumlulukları tanımlarken, aynı zamanda ‘temel bilgi altyapıları’ ya da ‘temel bilgi sistemleri’ ni de kapsamaktadır. Yasa, bilgi teknolojilerinden sorumlu bakanlığın öncülüğünde organizasyonel bir çerçeve içinde Siber Savunma Yönetim Birimi’ni yeni bir otorite olarak kurmuştur. Bu birime, belirli elektronik bilgi sistemlerinin korunması için önlemler alma gibi bağımsız sorumluluklar ve resmi yetkiler verilmiştir. Bunun gibi geniş yetkiler, ilgili kurumların yasal güvenlik talepleri ve prosedür kurallarına uygunluğunu denetleme hakkını da içerir.

Kriz durumlarında ise İçişleri Bakanlığı kritik bilgi altyapısı korumasını düzenler.

7.3 Sınır Ötesi Kısım

Kritik bilgi altyapılarındaki sınır ötesi bağımlılıkları azaltan ve değerlendiren yasal yükümlülükler, devlet yasal düzeni tarafından tanımlanmıştır; milli siber güvenlik stratejisi, sınır ötesi bağımlılıklarla ilgili sayılan önlemleri ileriden öngörür.

Hizmetlerin dış kaynak kullanımı ve bulut bilişimden dolayı artan riskleri azaltmak için Yasa, Macaristan sınırları dışından aktif veri yönetimini kısıtlamıştır. Bölüm 3(2)e göre, elektronik bilgi sistemleri, Avrupa’daki ana sistem birimleri veya milli ana sistem birimleri ancak AB üye devletlerin sınırları içinde yönetilebilir.

İTALYA

8.1 Kavram ve Adlandırma

İtalya’da CI kavramı, Directive 2008/114/EC’ye bağlıdır. 2011’deki Kanun hükmündeki kararname n.61, AB direktiflerinin uygulandığını göstermekteyken; kararnamenin 2.maddesi, biri CI olmak üzere çok sayıda tanım içermektedir:

‘Kritik altyapılar: AB üye devletlerinde bulunan ve temel toplumsal işlevlerin devamı için önem arz eden sağlık, halkın emniyet ve ekonomik ve sosyal refahı gibi hizmetlerin sağlandığı altyapılardır. Bu işlevlerin devamının kesintiye uğramasından doğacak sonuç ise önemli bir vurguna yol açar.’

Kanunname’nin 1.maddesine göre, bilgisayarlara geçirilmiş bilgi altyapıları milli menfaat olarak düşünülmelidir. Aynı zamanda bu sistemler ve bilgi hizmetlerinin desteklediği şu birimlerin kurumsal fonksiyonlarıdır:

  1. Uluslararası ilişkiler, güvenlik, adalet, savunma, finans gibi alanlardaki bakanlıklar,
  2. İtalyan Bankası ve bağımsız otoriteler,
  3. Haberleşme, ulaşım, enerji gibi alanlardaki devlet destekli şirketler,
  4. Hukuki yaptırım veya kamu güvenliği dolayısıyla faaliyetleri İçişleri Bakanlığı tarafından milli menfaate uygun olarak kabul gören kurum, yönetim, kişi vs.

8.2 Sorumluluklar

Kriz Yönetimi Milli Teşkilatı iki birim kurmuştur. İlki, Siyasi Stratejik Komite (CoPS), ikincisi ise Bakanlıklar arası Durum ve Planlama Merkezi’(NISP)dir.

CoPS’nin başlıca işlevi, Temsilciler Meclisi Başkanı’na danışma birimi ve yönetim alanı olarak hizmet etmektir.

NISP ise CoPS tarafından önerilen önlemlere aracılık eder, kriz önleme ve acil durum hazırlığı ile görevlendirilir, bakanlıklar arası koordinasyonu destekler, yaygın usulleri ve kabiliyetleri bağdaştırır (bilgi paylaşımı, istihbarat toplama, bakanlıklar arası planlama vs.), bunların yanı sıra yurtiçindeki ve uluslararası ortaklarla kriz çalışmalarını geliştirir.

İçişleri ve Savunma Bakanlıkları, PCM Sivil Koruma Departmanı, Ekonomik Kalkınma Bakanlığı (enerji) ve son olarak Altyapı ve Ulaşım Bakanlığı, yurtiçindeki tüm CI/CII güvenlik işlemlerinden sorumludur.

8.3 Sınır Ötesi Kısım

NATO CCD COE araştırmasından sonra sınır ötesi altyapı bağımlılıklarının değerlendirilmesi gözden geçirildiğinde, İtalyan uzmanların cevapları oldukça ilgi çekiciydi. Enerji temini, finans, bilgi sistemleri ve telekomünikasyonu içeren üç sektör, bilgi sistemleri sınır ötesi bağımlılıkları çerçevesinde ‘dayanıklı seviye’sinde sınıflandırıldılar. Oysa kalan diğer yedi sektör ‘en az bağımlılık’la değerlendirildi. Ek olarak herhangi bir sektör, sınır ötesi bağımlılığın dikkat çekici bir değeriyle ilişkilendirilmedi.

LETONYA

9.1 Kavram ve Adlandırma

Letonya’daki, ülke sınırları içinde bulunan sistemlerin parçaları veya sistemler olarak tanımlanan ve uygulanması toplum için hayati önemde olan kritik altyapılar, genel olarak Ulusal Güvenlik Yasası’na göre belirlenmektedir. Bu tanım, genel olarak kritik bilgi altyapılarını içerse de, siber güvenlik üzerindeki özel yasa – Bilgi Teknolojileri Güvenlik Yasası – IT kritik altyapılarını daha detaylı şekilde belirtir.

9.2 Sorumluluklar

Milli Koordine Birimi

Devlet Güvenliği için Aracı Kuruluş Komisyonu, Letonya’daki kritik altyapı korunması idaresinden sorumludurlar. Komisyon, İçişleri Bakanlığı tarafından yetkilendirilmiş danışma birimidir ve devlet bakanlığı temsilcilerinden oluşur. Komisyon, kritik altyapıların belirlenmesiyle ilgili tavsiyeleri değerlendirir ve sonuçları Kabine’ye onaylaması için sunar. Aynı zamanda Kabine’ye kritik altyapı güvenliğini geliştirmesi için yasa teklifi hazırlar.

Kritik bilgi altyapısına göre güvenlik önlemleri düzenlemenin rolü, devlet güvenlik hizmeti, Anayasa Koruma Bürosu ile milli CERT, ‘Letonya Bilgi Teknolojileri Güvenlik Kaza Müdahale Kuruluşu’ arasında paylaştırılır.

Anayasa Koruma Bürosu, CERT ve CI sahipleriyle işbirliği yapar ve kritik IT altyapılarının mevcut risklerinin idare ve değerlendirmesini yaparlar. Büro, kritik altyapı sahiplerini bilgilendirir ve CI güvenliğinden sorumlu kişilerin atamasını onaylar. Büro, aynı zamanda Leton CERT ile birlikte periyodik olarak Milli Bilgi Teknolojileri Güvenlik Konseyi’ni mevcut tehditler hakkında bilgilendirir.

Operatörün Sorumlulukları

Güvenlik ve kritik bilgi altyapısı işleyişi için alınan doğrudan yasal sorumluluklar, kritik altyapıların meşru sahibine aittir. CI sahibi, tanımlanmış risklere dayanan güvenlik önlemlerinin belirlenmesine gereksinim duyar. CI güvenliğini sağlama almak için yönetilen tanımlanmış riskler gibi belirli yasal yükümlülükleri vardır.

9.3 Sınır Ötesi Kısım

Sınır ötesi CII bağımlılıklarına işaret eden belirli yasal önlemlere rastlanmamaktadır.

Kritik bilgi altyapılarındaki sınır ötesi bağımlılıkları azaltma ya da değerlendirme gibi önlemler ulusal olarak ele alınır, başlıca iki taraflı anlaşma ve işbirliğini içerir.

HOLLANDA

10.1 Kavram ve Adlandırma

Hollanda Ulusal Yasası, kritik altyapıları özel olarak belirtmediği gibi kritik altyapı ya da kritik altyapı kriterleri için yasal bir tanımlama yapmamıştır. Hollanda’nın kritik altyapı korumasına politik yaklaşımı, sorumlu devlet bakanları ve diğer birimlerle özel sektör kritik altyapı operatörleri arasındaki kamu-özel işbirliğine dayanır.

Toplumun temel menfaatlerine tehdit oluşturan unsurlar karşısında devlet yaklaşımı, bütün milli güvenlik tehditlerini tek bir çerçevede bulunduran Milli Güvenlik ve Emniyet Stratejisi’nde belirtilmiştir. Strateji’nin uygulama metodu, Adalet ve Güvenlik Bakanlığı tarafından yayınlanan Milli Güvenlik Uygulama Metodu Kılavuzu’nda detaylandırılmıştır. Metodun özü; tehdit tanımlamasını, darbe ve olası değerlendirmeleri içeren Milli Risk Değerlendirmesi’dir. Bunlar; risk önleme, hazırlık ve karşı önlem açıklamaları için kullanılır.

Hollanda’daki kritik altyapılar, 12 kritik sektörden oluşur. Her bir kritik sektörün tanımı ise Kritik Altyapı Stratejik Danışma Birimi tarafından yapılır.

10.2 Sorumluluklar

Milli Koordine Birimi

Kritik altyapı koruması genel olarak Hollanda Güvenlik ve Adalet Bakanlığı yönetimiyle uyum sağlar. Kritik altyapı idaresinden doğrudan sorumlu olan kuruluş, ülke içindeki kritik altyapılardan sorumlu yedi bakanlıkla işbirliği içinde olan Güvenlik ve Terörle Mücadele Milli İdaresi’dir.

Kritik bilgi altyapısı koruması idaresi ise Güvenlik ve Adalet Bakanlığı, Siber Güvenlik Departmanı bünyesindeki Milli Siber Güvenlik Merkezi’nde sağlanır.

Güvenlik ve Terörle Mücadele Milli İdaresi ek olarak krizler, afet hazırlığı ve müdahalesi ve aynı zamanda siber güvenliği içerir.

Operatörün Sorumlulukları

Hollanda CIP sistemi kamu-özel sektör ortaklığına ve her kritik sektör içindeki sorumluluklara dayanır. Kritik bilgi altyapılarının güvenliği ve işleyişini sağlama almak için CI operatörleri ve CII yöneticilerinin sorumluluklarını belirten kapsayıcı bir yasa yoktur ancak, belirli sektörel yasalar mevcuttur. Telekomünikasyon ve ICT gibi kritik altyapılara ilişkin Telekomünikasyon Yasası, elektronik haberleşme ağları ve halkın kullanımına açık elektronik haberleşme hizmetlerinin sorumluluklarını açıklamaktadır.

Madde 11a.1’ya ilişkin, elektronik haberleşme ağları ve servis sağlayıcıları, ‘ağ ve servislerdeki güvenlik ve bütünlük risklerini kontrol amaçlı uygun teknik ve organizasyonel önlemleri’ almalıdır.

Ağ ve servis sağlayıcıları, Ekonomi Bakanlığı’nı, önemli güvenlik açıklıkları ve ağ ve sistemlerdeki bütünlük kaybı konularını bildirmek durumundadır. Ekonomi Bakanlığı aynı zamanda Güvenlik ve Adalet Bakanlığı veya İçişleri Bakanlığı ile istişaresi ile elektronik haberleşme ağları idaresi ve devamına ilişkin bağlayıcı yasaları yetkilendirir.

10.3 Sınır Ötesi Kısım

Kritik bilgi altyapılarının sınır ötesi bağımlılıklarını değerlendirme ve azaltmaya ilişkin yasal yükümlülükler mevcut değildir.

Mevcut Milli Güvenlik Stratejisi, sınır ötesi CII ile uyumlu eylem ana hatlarını değerlendirir. Strateji, ulusal ve uluslararası boyutlardaki ‘iç içe geçmişlik’ kavramını vurgular, özellikle ICT zincir yapısı ve Hollanda Hükümeti’nin ‘uluslararası ortakların yardımıyla yapılan kamu-özel ve sivil-askeri müdahaleleri etkin katılım’ amacı ifade edilir.

İSPANYA

11.1 Kavram ve Adlandırma

İspanya’da kritik altyapıların tasnif edilmesine değinen iki temel yasal kurum vardır: CIP Önlemleri Kurumu Yasası ve CIP Düzenleme Onayı için Kraliyet Kararnamesi’dir.

Yasa’nın 2 e) maddesine göre, kritik altyapılar:

‘Stratejik altyapılar, gerekli ve alternatif çözümlere yer bırakmayan, bozulmaları veya parçalanmaları halinde temel hizmetlere önemli bir darbe vuracak işlevlerdir.’

11.2 Sorumluluklar

İspanya koruma sistemi, Yasa’nın 2. başlığına göre birçok kuruluş, birimle kamu ve özel sektörlerdeki şirketleri kapsamaktadır. Yasa’nın 6.maddesine göre ise Devlet Güvenliği Sekreterliği, İçişleri Bakanlığının en yüksek birimidir. Sekreterlik, milli kritik altyapıların koruma sistemleri ve düzenleme işlevinden sorumludur. 7.madde ise Ulusal Kritik Altyapıları Koruma Merkezi (CNPIC), CIP ile bağlantılı her faaliyetin düzenleme ve denetiminden sorumlu olan bakanlık birimi olarak kuruldu. Merkezin görevleri:

  • Devlet Güvenliği Sekreterliği’ne danışmanlık,
  • Milli Koruma Planı’nı uygulama ve sürdürme,
  • Stratejik altyapıların kritik olma durumunu belirleme,
  • Risk analizi düzenleme ve acil durum planı belirlemektir.

Diğer bir yandan CNPIC de günlük rutin işlemler boyunca kritik bilgi altyapıları korumasını düzenlemeden sorumlu kuruluştur. Bu görevin uygulanması ise Güvenlik ve Sanayi CERT’in (CERT-SI) elindedir.

Operatörler; donanım, ağ ve sistem yatırımı yapma yükümlülükleri olmaları sebebiyle C(I)I işleyişinden sorumlu nihai temsilcilerdir. Operatörlerin görevleri, Yasa’nın 13.maddesinde belirtilmiştir:

  • MOI’ ya teknik destek sağlamak,
  • CIP çalışma koluyla işbirliği ve stratejik sektörel planları detaylandırmak,
  • Her CI için belirli koruma planı içeren acil durum planı hazırlamak,
  • Güvenlik personellerinin görevlerini tanımlamak,
  • Yetkili otoritelerin denetim yapmasını kolaylaştırmaktır.

11.3 Sınır Ötesi Kısım

On sektörden dördü için sınır ötesi bilgi altyapılarına kritik bağımlılıkları olduğu yönünde tanımlama yapılmıştır (ICT, finans, devlet ve idare, medya). Kalan diğer beş sektör (enerji, sağlık, su temini, trafik ve ulaşım, kamu güvenliği ve kamu düzeni) içinse dayanıklı tabiri kullanılmıştır. Sadece gıda/ziraat sektörü için, bilgi altyapılarına en az sınır ötesi bağımlılığı olduğu yönünde bir değerlendirme yapılmıştır.

CI operatörlerinden, düzenli bir şekilde sınır ötesi riskleri saptaması ve değerlendirmesi beklenmektedir. CII yöneticileri ise ICT ve CI operatörleri tarafından sağlanan temel hizmetler arasındaki bağlantıyı tanımlamak durumundadır.

İLGİLİ YAZI >> TÜRKİYE’DE SİBER GÜVENLİK KRİTİK ALTYAPILARIN ÖNÜNE GEÇECEK

TÜRKİYE

12.1 Kavram ve Adlandırma

Türkiye’deki kritik altyapı kavramı, ‘2011/2237 K. Askeri Yasak Bölgeler ve Güvenlik Bölgeleri Yönetmeliği’nde yazan tanımlamaya göre kritik öneme sahip beş sektörü içerir: enerji, imalat, su idaresi, ulaşım ve telekomünikasyon. Türkiye Siber Güvenlik Kurulu’nun son kararına göre banka ve finans ve kritik kamu hizmetleri (sağlık hizmetleri dâhil) bu listeye eklenecektir. Bu karar, dikkate alınmaksızın bu güne kadar toplantı kaydı olmanın ötesine geçememiş, mevcut yasama işleminin bir parçası olamamıştır. Yasa’ya göre CI: ‘Kamu veya özel kuruluşlara ait, yurt savunmasına veya yurt ekonomisine önemli ölçüde katkıda bulunan ve kısmen tahripleri veya geçici bir zaman için faaliyetten alıkonmaları halinde milli güvenlik veya toplum hayatı bakımından olumsuz sonuçlar doğurabilecek birimlerdir.’

Milli Siber Güvenlik Stratejisi ve 2013/2014 Eylem Planı da benzer bir tanımlamayı farklı terimlerle yapmıştır:

‘Kritik altyapılar: gizliliği, bütünlüğü ve ulaşılabilirliği ihlal edildiğinde can kaybı, büyük ölçekli ekonomik buhranlar, güvenlik açıkları ve kamu düzeninin bozulmasına yol açabilen bilgi sistemlerine ev sahipliği yapan altyapılardır.’

Diğer çoğu ülkedeki gibi Türkiye’de de dikkate değer bir CII tanımı yapılmamıştır.

12.2 Sorumluluklar

CI korumasını düzenleme birimi Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’dır. Gerekli olduğunda, sözü edilen konularda hedef ve stratejileri belirleme, uygulama ve güncellemekten sorumludur.

CII için uygulanabilir yasal yükümlülükler ise Elektronik Haberleşme Kanunu’nun 5 ve 6. maddelerinde geçer:

  • Abone, tüketici ya da kullanıcıların haklarına uygun düzenlemeleri yapmak,
  • Üretici ve operatörler arasındaki uyuşmazlıkları çözmek,
  • Sektördeki gelişmeleri takip etmek, CI gelişmelerini teşvik etmek amacıyla araştırma yürütmek,
  • Önemli düzenlemeler ve denetimler yapmak,
  • Operatörler, kamu yetkilileri ve kuruluşlardan bilgi ve belge talep etmek,
  • Yasalarla operatörlerin mutabakatının denetimi ve yaptırımları uygulamaktır.

Operatörlerin hak ve yükümlülükleri ise 12. maddede belirtilmiştir:

  • İdari masraflara el koymak,
  • Ağ arabağlantıları ve servislerinin müşterek çalışmalarını sağlamak,
  • Bilgi ve belgeleri yetkiliye sunmak,
  • Büyük afet durumlarında kesintisiz haberleşmeyi sürdürmek için önlemler almak,
  • İzinsiz erişime karşı ağ güvenliğini sağlamaktır.

12.3 Sınır Ötesi Kısım

Hangi sektör veya hizmetin sınır ötesi bilgi altyapılarına belirli bir bağımlılık gösterdiği sorusuna ilişkin, trafik ve ulaşım sektörünün yanı sıra enerji de ‘sağlam’ bağımlılık teşkil etmektedir. Bilgi sistemleri ve telekomünikasyon sektörü ise ‘kritik’ bağımlılığa sahip olarak değerlendirilmektedir. Diğer yandan imalat, sınır ötesi bilgi altyapılarına en az bağımlılığa sahip sektör olarak belirtilmiştir.

RAPORUN ORİJİNALİNE BURADAN ULAŞABİLİRSİNİZ

Kritik bilgi altyapılarının sınır ötesi bağımlılıklarını değerlendirmek veya azaltmak için rol oynayan yetkilileri ayarlamak üzere herhangi bir yasal düzenleme yapılmamıştır. 2013-2014 Milli Siber Güvenlik Stratejisi Eylem Planı, daha fazla uluslararası işbirliği ve uluslararası anlaşma ve düzenlemeleri uygulamayı artırma çağrısı yapmıştır.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN:

[wysija_form id=”2″]
Rapor Özetleri

IBM X-FORCE raporu: Dünyanın botnet haritası ve nesnelerin interneti

Yorum yapın

Dünyadaki botnet ve kötücül yazılım (malware) dağılımına ilişkin IBM’in X Force ekibinin kendi veri tabanlarından derlediği bilgilerle hazırladığı ve nesnelerin internetine odaklanan tehdit istihbaratı raporunu istifadenize sunuyoruz.

IBM X-FORCE THREAT INTELLIGENCE QUARTERLY 4Q, 2014

İçerik

  1. Genel Bakış
  2. Nesnelerin İnternetinin Yeni Dünyasını Güvence Altına Almak
  3. Repütasyon Sayısı: Botnet ve Zararlı Yazılımların Kaynakları
  4. X-Force Hakkında
  5. Katkıda Bulunanlar

 

  1. Genel Bakış 

Elinizdeki bu rapor internetin daha fazla birey, yer ve nesnelere bağlanmaya devam etmesinin nasıl bir dizi güvenlik riskiyle sonuçlandığını özel olarak incelemektedir.

Öncelikle nesnelerin internetini ele alırsak: “Nesnelerin” hayatımızı zenginleştiren bağlantısallığı, yazılımdaki ilerlemenin donanım üreticileri tarafından geliştirilen son teknoloji ile ilişkili olması anlamına gelmektedir. Güvenlik endüstrisi, bütünleşik yazılım için güvenlik uygulamaları gelişimine rehberlik edebilir. Bu sadece güvenli yazılımda yeni bir çağ başlatmakla kalmaz; aynı zamanda potansiyel ihlaller dünyasının nesnelerin internetine etki etmesinden kurtarabilir.

Kasım 2014 raporunda, analistler, 2020’de nesnelerin internetinin 30 milyon bağlayıcı “nesne”leri temsil edeceği öngörüsünü paylaşmıştı. Bu bağlı nesneler ise büyük ölçüde akıllı sistemler tarafından çalıştırılmaktadır. Sonuç olarak bu bağlantısallık bulunduğumuz yönü değiştirir ve kişisel mahremiyet, pazarlama ve internet güvenliği gibi üretilip satılabilen “nesne”leri yaratır.

Raporda, veri, kimlik ve şifre kontrolünü ele almaya çalışan kötücül aktörlerle ilgili bireysel riskler ve yardıma elverişli korunmanın yanı sıra özel olarak internette güvenli olmayan yerlere de odaklanılacaktır. 23 milyardan fazla URL ve IP adresinin veritabanlarını güçlendirilip, hangi ülkelerin botnet ve zararlı yazılıma büyük oranda yatkın olduğuna bakılacaktır.

Son olarak her IBM X-Force Threat Intelligence Quarterly raporunda olduğu gibi “insanlar” merkezdedir. Güvenlik uygulayıcıları olarak bizler, iletişim ağlarınızı korumaya yardımcı olabilecek nesne ve yerleri güvence altına almanın içyüzünü anlamayı umuyoruz.

  1. Nesnelerin İnternetinin Yeni Dünyasını Güvence Altına Almak

Ağa bağlı arabalardan programlanabilir kalp pillerine, yaygın bağlanabilirlik dünyasında hassas veriyi nasıl güvende tutabilirsiniz?

Günüzmü teknoloji dünyasında son trend, güç programlama ile vasıtaları, takılabilen tıbbi cihazları ve akıllı sayaç içeren herhangi bir şeyi internete bağlamak. Ev aletleri, diş fırçaları ve su bardakları gibi bilindiği üzere bilgisayarla donatılamayan nesneler bile cihazlandırılıp dijital ortama bağlanabilme özelliği kazandı.

Bu cihaz düzeni ve bağlantısallık dalgası, “nesnelerin interneti” (IoT) olarak adlandırıldı. Geçtiğimiz birkaç sene içinde bu yaygın bağlanabilirlik, Black Hat ve DEF CON gibi konferanslarda öne çıkarıldı.

Yeni geliştirilen teknolojik kavramlar için yapılan çoğu adlandırma gibi “nesnelerin interneti” de bir hayli belirsizlik içermektedir. O halde, IoT’yi ne oluşturur? Çoğumuzun aklına bağlı termostat ağı ve yangın dedektörü yapan Google Nest gibi ev otomasyonu sağlayan kabiliyetler gelir. Bağlantılı arabalar da doğrudan IoT kapsamına girer. Peki ya bu “nesne”lere erişim sağlayan akıllı telefonlar ya da tabletler? Onlar da “nesne” kabul edilebilir mi? Anabilgisayar, sunucu veya laptop gibi geleneksel programlama aletleri ve diğerleri de bu kadar yeni değillerdir ve IoT gibi etiketlerle tanımlamak doğru değildir.

IoT geniş kapsamlı bir terimdir ve güvenlik uzmanlarına göre pratikte anlamsızdır. Farklı işlevlerin gerçekleşmesinde genel olarak IoT kapsamına giren cihazlar, değişen tehdit alanlarına maruz kalmaktadır. IBM’de, çeşitli veri akışları ve kontrol geçiş noktalarındaki güvenlik tehditlerini anlamak için kullanışlı olan bir IoT modeli oluşturduk. Bu model, “nesne”nin tüm kategorilerine uygulamak üzere genelleştirşlebilir. Ancak her “nesne” modelin tüm bileşenlerini gerektirmeyecektir.

Her “nesne” yerel ağ ile bağlantı kurar, sonra küresel ağa geçer. Bu geleneksel bilgisayarlar ve altyapı cihazları için doğru bir önermedir. Ana bilgisayarlar, sunucular, yönlendiriciler, masaüstü ve dizüstü bilgisayarların tümü yerel ağlara bağlıdır (servis sağlayıcı aletler internete doğrudan bağlanabilse bile), ve bir hayli gizlilik gerektiren devlet ağları dışında hepsi internette dolaşır. Endüstriyel kontrol sistemleri istisna kabul edilebilir.

 

Nesnelerin İnterneti İçin IBM Modeli

 

 

 

 

 

 

 

Birkaç “nesne”yi ayırıp örnek olarak incelenmesini ve IBM modeline göre nasıl değerlendirildiğini aşağıda bulabilirsiniz:

Ev otomasyonu

Bu kategori; ısısını bildiren ya da brokoliyi çıkardığında uyaran, aydınlatma ve ses sistemi olan buzdolapları, televizyonlar, termostatlar ve yangın dedektörleri, alarm sistemleri, garaj kapıları ve hatta kapı kilitlerini kapsar. Bu “nesne”ler, wireless ya da hizmet sunucusu yoluyla internete giren ağ bağlantısı olan evin yerel ağıyla bağlantı halindedir. Güvenlik sistemleri, ayrıca mobil ağı kullanarak ikincil bağlantı da kurabilir.

Alternatif olarak meraklı amatörler, kendi ev otomasyon çözümlerini inşa edebilir ve bulut tabakasını pas geçerek, kendi ev alan şebekelerine doğrudan mobil cihazlarla veya bilgisayarla bağlanmayı tercih edebilirler.

Bağlı cihazlar

Bağlı cihazlar için yerel ağ bağlantısı, frenler için elektronik kumanda kutuları (ECUs), motor, otomatik açılıp kapanan araba pencereleri ve diğer bileşenlerin bağlandığı denetleyici alan ağı (CAN) olabilir. Bulut hizmeti, arabanızın kimliğini tanımladığı ve sizin de mobil telefonunuzdaki bir app sayesinde doğruladığınız otomobil üreticisinin ağıyken, küresel ağ bağlantısı mobil operatörlerinizdir.

Bağlantılı arabalar belli kabiliyetlere sahiptir. Acil durum çağrısı yapabilmelerinden öte arabalar; hız, lokasyon ve motor ısısı gibi teleölçüm rapor edebilirler. Cihazınızı telefonunuzdaki bir app vasıtasıyla izleyebilir, uzaktan başlatabilir ve hava durumuna göre kabin ortamını mükemmel bir şekilde kurabilirsiniz.

Endüstriyel denetim ve SCADA sistemleri

Endüstriyel denetim ve SCADA sistemleri kabaca sektör, tarihi ve kullanımına bağlı olarak çeşitlilik gösterebilir. Örneğin şeker kamışı işleme fabrikası, mekanizmanın durumunu rapor edip seri bağlantı noktası üzerinden kontrol komutunu kabul eden daha eski bir sisteme sahip olabilir. Sistem, kalan IT ağlarının bölümlere ayırdığı operatör konsolu tarafından ve internet bağlantısı ya da dışarıdan SCADA sistemlerini kontrol etme kabiliyeti olmadan aramalı hat üzerinden kontrol edilir. Buna karşın Windows ve Linux gibi daha yeni endüstriyel kontrol sistemleri genel amaçlı işletme sistemlerine dayandırılır.

Akıllı sayaçlar

Akıllı sayaçlar, işletimsel teknoloji kümelenmesini (önceden tartışılan endüstriyel kontrol ve SCADA araçları) ve geleneksel IT ağlarını çalıştırır. Çünkü çözümlenen tele ölçümler fatura sistemlerine iletilir ve web portalı yoluyla tüketicilere sunulmak üzere uygun hale getirilir. Nihayetinde tüketiciler, kendi güç kaynaklarını seçme opsiyonuna sahip olacaklardır.

Takılabilir tıbbi cihazlar

Modern takılabilir tıbbi cihazlar, kendi performanslarını izleme ve ayarlama imkanı vererek doktorlar için tele ölçüm sağlar. Bu bağlantısallık, radyo frekansları üzerinden sınırlı sayıda olan ve belli bir amaç için üretilen kontrol cihazlarına iletilir. Ancak, sağlık hizmeti dönüşümü, hastaların belirli bir portal üzerinden kendi verilerine ulaşmalarını ve bütün bir sağlık hizmeti sunan ve sigortalayan kişilerin hastalarla ilgili bilgilere erişimini gerektiriyor. Kalp pillerinin durumları hakkında doktora rapor verdiklerini ve doktorların cihazları internet yoluyla ayarladıklarını tasavvur etmek zor değildir.

“Nesne”lere yönelik tehditler

Internete bağlı bir arabanın telematik birimindeki aygıt yazılımı düzeltilip, cihazdaki tüm ECUs erişimine izin verilebilir. Araba tekerlekleri saat başı 40 milde dönerken, fren fonksiyonu başarılı bir şekilde etkisiz kılınabilir.

Üretici, sistem yapımında uzaktan erişim izni dizayn etmiştir. Kullanıcı, şifreye gerek olmadan idari erişim sağlamış ve en azından bir işe yetkisiz erişim almayı sürdürmüş, ve “denetim alanıyla ve herbir ofis ve market alanı için geri bildirimle birlikte ofisin kat plan düzenlemesi”ni sergilemiştir. Bu sistem, 16 binden fazla organizasyon tarafından kullanılmış ve güvenlik duvarına müdahale olmadan internet etkisine açık bırakılmıştır.

Zayıf şifreleme uygulamaları, sadece ağ bağlantılı aydınlatmayı tavize dayanıksız bırakmaz, aynı zamanda Wi-Fi şifrelerini bağlandıkları yerlerin etkisine açık bırakırlar. Amerikan Ulusal Standartları ve Teknoloji Enstitüsü (NIST) İleri Şifreleme Standardı (AES)’nın kullanımına rağmen aydınlatma cihazları, örgüsel ağ üzerinden birbirleriyle konuşur, değişmeyen ve önceden paylaşılmış anahtar kullanırlar.

“Nesne”lerin İhtiyacı Nedir?

Kısaca “nesneler” farklı olabilir ve farklı güvenlk kontrollerini gerektirebilirler, bizim modelimiz koruma noktasını ve her birinde uygulanması gereken güvenlik kontrollerini açıklamaya yardımcı olmaktadır. “Nesne”lerin gereksinimleri arasında:

Güvenilir bir aygıt yazılımıyla birlikte güvenli işletim sistemi. Ağ üzerinde uygulama kabiliyetini içermesi gerekir.

Tek tanımlayıcı. Ipv6 ağ bağlantılarındaki “nesne”leri tanımlamada kilit rol üstlenirken “nesneler”, güvenilir bir veri tabanına abonelik gerektirir. Çok sayıda “nesne” kullanıcılarla doğrudan etkileşimde olmadığından geleneksel kimlik doğrulama kavramı uygulanamamaktadır.

Güçlü kimlik doğrulama ve erişim denetimi. Kullanıcılar, “nesnelerin” verilerine eriştiklerinde ya da bulut hizmet yoluyla onları kontrol ettiklerinde, kullanıcıların olduklarını öne sürdükleri kimliklerden emin olmak oldukça önemlidir. Gerçekte araştırmalar gösteriyor ki “123456” ve “şifre” internette en çok kullanılan şifrelerdir.

Veri gizliliği koruması. “nesne”lere ve “nesne”lerden akan ve aynı zamanda “nesne”lerde ya da onların kontrol cihazlarında depolanan veriler, genellikle mahrem olarak sınıflandırılabilir. Ev otomasyonu ve endüstriyel kontrol sistemlerine erişim ehliyeti, uygun bir şekilde korunmadığı takdirde her etkiye açık bırakılır. Genellikle, bu gizlilik konusunun çözümü veri ve iletim şifrelemelerinde yatar.

Güçlü uygulama güvenliği. Saldırıya açıklıklar, genellikle yazılım hatası kaynaklı ortaya çıkar. Donanım üreticilerinin “nesne”lere bağlı olabilen web aplikasyonlarını içeren

yazılım geliştirmede genellikle uzmanlığı bulunmamaktadır. “Nesne” üreticileri, hergün yeni üretim fikirleriyle ortaya çıkar ve güvenlik geliştirme yaşam döngüsü uygulamadan ürünlerini pazara çıkartmada acele ederler.

IoT için IBM modeli henüz gelişim aşamasındadır. Burada riskler ve fırsatlar bulunmaktadır.

Bu, “nesnelerin” devriminin başlangıcıdır ve mobil cihazlarla birlikte “nesne”leri yapanlar ve geliştirenler, başlangıçta güvenlik inşası için komutları çalıştırmaya yardım ederler. Pek çok IoT “nesne”leri üreticisi yeni ve küçük olduğu için gelişim bütçesi ve programına güvenliği eklemek üzere bir kaynak ayırmadığı görülmektedir. Kaynak sıkıntısına ek olarak halihazırda birkaç zorluk vardır.

Geleneksel yazılım pazarı, güvenli bir kod üretme aşamasında henüz büyük bir iş başarmamıştır.

“Nesne”leri ortaya çıkaran donanım üreticileri, genellikle yazılım geliştirmede başarılı değillerdir.

Tüketiciler, her zaman güvenlik hakkında düşünmez ve bunu yaptıklarında bile IoT cihazlarındaki güvenlik ayarlarını anlamak kolay olmayabilir.

Pek çok “nesne”, güvenlik tehditleri kümesini getirerek er geç IPv6 adreslerini gerektirir. Ancak IPv6, sistemler ve ağ yöneticileri tarafından kolayca algılanamamaktadır. Teknolojiyi güvence altına almak için, nasıl çalıştığı konusunda uzman olmanız gerekir.

IoT içindeki güvenlik sıkıntılarını saptamak için IBM X-Force, üreticilere şu önerilerde bulunur:

Açık Web Aplikasyon Güvenlik Proje’si(OWASP) ilk 10 uygulamayı takip edin

Güvenlik dizaynı ve geliştirme uygulamasını inşa edin

Ürünler üzerinde düzgün penetrasyon testi yapın

Endüstri kılavuzunu bağlı kalın

 

  1. Repütasyon Sayısı: Botnet ve Zararlı Yazılımların Kaynakları

IP repütasyon veritabanı kümesinden, hangi ülkelerin zararlı yazılım ve botnet tehditlerine karşı en iyi savunma yaptıklarını öğrenelim

IBM X-Force araştırmacıları, zararlı yazılımları ve IP repütasyon veritabanımızdaki bilgi deposunu içeren siteleri devamlı izleyerek güncel trendleri ve değişimleri gözlemlemeye çalışır.

Raporun bu kısmı, zararlı linkleri en çok barındıran ülkeleri ve yine araştırmaya göre botnet komuta ve kontrol sunucularının coğrafi dağılımını göstermektedir.

 

Zararlı yazılım ve botnet barındıran ilk 20 ülke

Şekil 1. Zararlı yazılım ve botnet barındıran ilk yirmi ülke, Ağustos 2014

 

Şekil 1’in gösterdiği üzere:

  • ABD, tüm zararlı linklerin %43’ünü barındırarak tabloyu domine ediyor.
  • İkinci sırada ise %11’lik bir oranla Çin geliyor. (bir önceki senenin yaklaşık iki katı)
  • Almanya 8,3 oranla ikinci sıradan üçe düşmüş durumda
  • Sonrasında gelen üç ülke, bir önceki seneyle aynı durumdalar.

Botnet komuta ve kontrol sunucularının coğrafi dağılımınına baktığımızda ise karşımıza benzer bir tablo çıkıyor:

 

Botnet ve K&K sunucularının bulunduğu ilk 20 ülke

 

 

 Şekil 2. Botnet ve K&K sunucularının en çok bulunduğu 20 ülke, Haziran 2013 ve Ağustos 2014 karşılaştırması

 

 

Şekil 2 gösteriyor ki, ABD, diğer bütün ülkelerden daha fazla botnet ve K&K sunucusu barındırmaktadır. Ancak on dört ay önce bu oran %4 daha fazlaydı.

İkinci en yüksek oran ise %9 ile Rusya’ya aittir.

Kore Cumh., Çin, Almanya ve Birleşik Krallık 7,2 ila 6 arasında değişen oranlarla birbirlerine yakındır.

Şekil 1 ve 2’ye baktığımızda, teknoloji kullanımının ve hizmet sunucularının çok daha fazla olduğu ülkelerin ilk sıralarda gelmesi şaşırtıcı değildir. Sonuç olarak, biz de katılımcı ülkelerden toplam IP adreslenebilir sistemler yüzdesi içinde bu adreslere dayanan şekilleri normalleştirmeye karar verdik.

Zararlı yazılım yayılma oranları

 

 Şekil 3. Ülkelere göre zararlı yazılım yayılma oranları, Ağustos 2014

     

 

Şekil 3’deki tabloya göre veri normalleştirildiğinde, ABD zararlı yazılım barındıran ilk 20 ülke sıralamasından çıkıp, 25. sırada yer almaktadır. Hong Kong, Litvanya ve Bulgaristan ilk üç sırayı paylaşmaktadırlar.

K&K sunucusu yayılma oranı

 

Şekil 4. Ülkelerdeki toplam sistem sayısına göre K&K sunucusu yayılma oranları, Ağustos 2014

 

 

K&K sunucularının yayılmasına göre veriyi normalleştirdiğimizde, şekil 4’teki tabloya göre ABD ilk 20 ülke sıralamasından çıkarak 28. sırada yer edinmiştir. Bu sefer sadece Rusya 2. sıradan 3’e gerilemiştir. Litvanya ilk sıradayken; bir milyon kullanıcı başına iki taneden az virüslü sistem düşen Belarus, Slovakya, Ukrayna, Türkiye, Tayland, Macaristan ve Polonya, 2 olan ortalamanın üzerine çıkmışlardır.

Karşılaştırmalı K&K sunucu oranları

 

Şekil 5. Haziran 2013 K&K sunucu oranlarının Ağustos 2014 verileriyle karşılaştırılması

 

 

 

Sonuç Gözlemleri

      Litvanya’nın gözle görülür şekilde ilk sıralarda olması ilginç görülebilir. Bu durum, Belarus’un spam bot bulaşma oranında öncülük etmesiyle benzerlik gösteriyor.

Doğu Ukrayna’daki çatışmalar, ülkenin bir önceki sene toplam zararlı linklerin 1,4’üne sahipken bugün neden yalnızca 0,7 oranında olduğunu açıklamaktadır. Askeri çatışmalar suçlu takibini aksatmaya uğratmış olabilir.

Son olarak, zararlı yazılım ve K&K sunucuları bulaşan ülkelere baktığımızda Doğu Avrupa ülkeleri bütün listeleri domine ettiği görülmektedir.

 

  1. X-Force Hakkında

İleri seviye tehditler her yerdeler. IBM’deki uzman görüşleriyle riskleri en aza indirin.

IBM X-Force araştırma ve geliştirme takımı; açıklıklar, kötüye kullanma, aktif saldırılar, virüsler ve diğer zararlı yazılım, spam, web içeriklerini kapsayan yeni tehdit trendlerini izlemekte ve üzerinde çalışmaktadır. Ek olarak IBM X-Force, kullanıcıları bu tehditlerden korumak için güvenlik içeriği sağlar.

 

IBM Güvenlik işbirliği

IBM güvenlik, daha geniş bir güvenlik ehliyeti için çeşitli isimler sunmaktadır:

  • IBM X-Force araştırma ve geliştirme takımı, güvenlik tehditleri ve açıklıklarını izler, analiz eder ve kaydeder.
  • IBM Security Trusteer üretim ailesi, finansal dolandırıcılık ve veri ihlallerine karşı organizasyonları korumaya yardım etmek amacıyla siber suç önleyici platform geliştirmektedir.
  • IBM Yönetilen güvenlik hizmetleri, genel ağ altyapıları ve sunucularla ilgili kötüye kullanmaları izlemekle sorumludur.
  • IBM Profesyonel güvenlik hizmetleri, güvenlik değerlendirmesi, tasarım ve dağıtım girişimlerini kapsayan hizmetleri, etkili bir bilgi güvenliği çözümleri üretmek amacıyla sağlamaktadır.
  • IBM QRadar güvenlik istihbarat platformu; güvenlik istihbaratı ve olay yönetimi(SIEM), konfigürasyon yönetimi, açıklık değerlendirmesi ve kuraldışılık saptamak için bütünleşmiş bir çözüm sunar.
  • IBM güvenlik AppScan, organizasyonların web güvenliği ve mobil aplikasyonları değerlendirmesine olanak verir, aplikasyon güvenlik programı yönetimini güçlendirir ve açıklıkları tanımlayarak yasalara uygunluğu sağlar.

 

Rapor Özetleri, Siber Güvenlik

Big Brother’ın Zararları: NSA’nın Ekonomi, İnternet Özgürlüğü ve Siber Güvenlik Üzerindeki Etkisi*

Yorum yapın

The Guardian’ın, Ulusal Güvenlik Ajansı’nın (NSA) eski görevlisi Edward Snowden’ın sızdırdığı belgelere dayanan izleme programlarını bildirmesinin üzerinden bir seneden fazla bir süre geçti, buna rağmen, halk, güvenlik ve birey mahremiyeti arasındaki takas hakkında basit bir tartışmaya saplanıp kalmış durumda. Genel zarar ve faydaları daha geniş bir biçimde tartmaya başlama zamanı. İstihbarat yetkilileri NSA programlarının erdemlerini kuvvetli bir şekilde desteklerken, değerlerini kanıtlamak için çok da fazla kanıt sunmadılar ve önceki bazı analizler gösteriyor ki bu programların faydaları şüpheli. İstihbarat ve Haberleşme Teknolojileri Üzerine Başkanın Denetim Grubu, Özel Hayatın Gizliliği ve Kişisel Özgürlükleri Gözetim Kurulu ve Yeni Amerika Derneği’nin Uluslararası Güvenlik Programı olmak üzere, üç farklı çalışma, terörist komploları durdurmak ve ulusal güvenliği geliştirmek konusunda, toptan toplama programlarının değerini sorguluyor. Bu sırada, NSA programlarının; gizlilik ve özgürlük, özellikle de Amerikan ekonomisi, dış politikası ve bir bütün olarak internet güvenliği üzerindeki maliyeti hakkında kısa bir süre devam eden bir tartışma oldu.

 

Bu yazı, ilk sızdırmaların bildirildiği 23 Haziran tarihinden itibaren meydana gelen NSA izleme programlarının zararlarını niceliksel olarak belirlemek ve bu zararları kategorize etme amacındadır. Bulgular gösteriyor ki, NSA’nın eylemleri çoktan başladı, devam edecek ve ABD’nin menfaatlerine ve küresel internet komünitesine kayda değer zararlar verecek. NSA gözetlemesinin zararlarını özellikle aşağıdaki 4 alanda gözlemledik:

 

– Amerikan Şirketlerine Direkt Ekonomik Zararlar

 

Yabancı şirketler, ürün hakları ve kullanıcılarını NSA casusluğundan koruyacak şekilde yeni düzenlemelere gitmişken; Amerikan şirketlerinin denizaşırı ülkelerde satışları düştü. Ciddi iş fırsatları kaybetti. Bulut bilişim endüstrisi bilhassa saldırılara açık ve önümüzdeki üç ila beş yıl içinde NSA gözetlemesinin sonucu olarak, milyar dolarlar kaybedebilir.

 

– Amerikan Şirketlerine ve İnternetin Açıklığına, Bilgi Güvenliği Konusundaki Tekliflerinin Artışından Gelen Potansiyel Zararlar

 

Yabancı hükümetlerden gelen bilginin yerini belirleme zorunlulukları veya çok daha güçlü bilgi koruma kanunları, uzun vadede ekonomik zararları şiddetlendirebilir. Bu teklifler uygulandığı takdirde ifade özgürlüğünü ve mahremiyeti tehdit ederek,  küresel network mimarisinde değişimlere de zorlayabilir.

 

-Amerikan Dış Politikasına Zararları

 

Amerikan İnternet Özgürlüğü gündemi için güvenilirliğin kaybı ve bunun yanında daha geniş kapsamlı iki ve çok taraflı ilişkilere gelen zararlar, Amerikan dış politikasının menfaatlerini tehdit eder. NSA casusluğunun kapsamı hakkındaki ifşa edilenler, geçtiğimiz yıl Almanya ve Brezilya gibi ülkelerle olan ilişkileri çoktan zora soktu.

 

-Siber Güvenliğe Gelen Zararlar

 

NSA, anahtar şifreleme standartlarının zayıflaması, geniş çapta kullanılan hardware ve software ürünlerine gözetleme kapıları eklenmesi, software güvenlik açıkları hakkında sorumlu bir şekilde bilgi verilmesinden çok depolama ve küresel internetin genel güvenlğini zayıflatan çeşitli saldırgan hackleme operasyonları ile internet güvenliğine ciddi zararlar vermiş durumda.

 

ABD Hükümeti zararı hafifletmek için şimdiden bazı dar kapsamlı adımlar attı ve ülkede internetin sorumlu bir memuru olduğu konusunda güven inşa etme konusunda yavaş ve zor süreç başladı. Fakat bugüne kadar, gözetleme programlarının sadece Amerikan vatandaşlarına etkisine odaklanan reform çabaları oldukça dardı. Bulgularımıza dayanarak, Amerikan Hükümeti’nin

NSA’nın ekonomi, dış politika ve siber güvenliğe etkisi hakkındaki endişeyi bertaraf etmesi için sıralanan adımları takip etmesini tavsiye ediyoruz.

 

  1. Amerikalılar ve diğer herkes için, ABD’nin içinde ve dışında gizlilik tedbirlerini güçlendirmeli.
  2. Hükümet ve şirketler sebebiyle hükümet gözetlemesinin etrafında artan saydamlık hesaba katılmalı.
  3. İnternet Özgürlüğü gündemi, NSA gözetlemesinin meydana getirdiği sorunları, gözetlemede uluslararası insan hakları temelli standartlara yönelimi de göz önünde bulundurarak, yeniden ele almalı.
  4. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) aracılığıyla, kriptografi standartlarında güven inşa etme süreci başlamalı.
  5. ABD hükümetinin,software ve hardware ürünlere gözetleme kapıları koyarak siber güvenliği zayıftlamadığından emin olmalı.
  6. Depolamak yerine, software’deki güvenlik açıklarını bertaraf etmeye yardımcı olmalı.
  7. Hükümetin, en başta buna izni olup olmadığı, var ise hangi durumlarda ve hangi hukuki standartlar altında, bir bilgisayara veya network’e gizlice kötü amaçlı yazılım kurmaya izinli olduğu konusunda net bir politikası olmalı.
  8. Çıkar çatışmalarını azaltmak için NSA’nın saldırı ve savunma işlevleri ayrılmalı.

 

*New America Foundation tarafından 29 Temmuz 2014’de yayınlanan ve Danielle Kehl, Kevin Bankston, Robyn Greene ile Robert Morgus’un kaleme aldığı “Surveillence Costs: The NSA’s Impact on the Economy, Internet Freedom and Cybersecurity” adlı raporun Türkçe özetidir.