Eski yazılarımı derlerken Avrupa Birliği’nin siber güvenlik politikalarını eleştirdiğim 2011 tarihli bir araştırmamı gözden geçirme fırsatım oldu. Bahsi geçen makalede Avrupa Birliği’nin önümüzdeki dönemde siber güvenlik alanında mücade etmesi gereken üç önemli noktaya değinmişim; mevcut ekosistemde siber gücünü artırarak söz sahibi olmak, siber diplomasi ve siber mevzuat geliştirme yolunda etkin adımlar atmak ve ortak bir siber güvenlik politikası geliştirmek. Makalenin sonunda mevcut kaynaklarla, AB’nin yakın vadede ortak ve etkili bir siber güvenlik politikası geliştirmeye hazır olmadığı yönündeydi. Üye ülkelerin bilgi güvenliğini ulusal bir mesele olarak algılaması ve hakim güvensizlik duygusu bu kanıya ulaşmamı pekiştirmişti. Tam da aradan geçen dört yıl, AB’yi işleyen ortak bir siber strateji üretmek anlamında ne derece ileri taşıdı sorusuna cevap ararken, kendimi siber güvenlik adına AB’nin başlattığı belki de en somut girişim olan ENISA’nın (European Network and Information Security Agency) 2009’dan bu yana direktörlüğünü yürüten Profesör Udo Helmbrecht’in özgeçmişini incelerken buldum. Çok göz önünde bir isim olmamasına rağmen, AB adına siber güvenlik alanında önemli işler üstlendiğini farketmem uzun sürmedi.
1955 Almanya doğumlu Helmbrecht, fizik, matematik ve bilgisayar alanında lisans ve üzeri çalışmalar yapmış, Münih Bundeswehr Üniversitesi tarafından onursal profesör sıfatına layık görülmüş, Deutsche Aerospace AG (DASA), Federal Bilgi Güvenliği Ofisi gibi kurumlarda önemli pozisyonlarda bulunmuş. Neredeyse 1981 yılından itibaren bu alanda hem akademik hem de idari faaliyetler yürütmüş deneyimli bir yönetici olsa da, 2005 yılında kurulan ENISA’nın başına 2009’da geldiğinde kurumun işbirliği, tek seslilik, yetki ve bütçe konularında yaşadığı sıkıntıların bir çırpıda çözülemeyeceğini fark ettiğini itiraf ediyor. AB bünyesinde kararların ağır bir bürokrasi izleyerek alındığının bilincinde olan Helmbrecht’in o yıllarda verdiği mülakatlarda çok iddialı ve radikal bir gündemden bahsetmemesi, şimdiye kadar incelediğim diğer siber liderlere kıyasla çok daha yavaş ve sabırlı hareket etmesi işe yaramış olacak ki, 2013 yılında Avrupa Parlementosu’nun aldığı kararla ENISA’ya yeni bir yol haritası çizildi.
Bu çerçevede,
- ENISA’nın genişletilen yetkileri arasında siber riskleri üye devletler adına en aza indirmeyi hedefleyen ve işin savunma boyutuna da değinen AB Siber Güvenlik Stratejisi’nin desteklenmesi,
- Kullanılan elektronik ürünlerin, sistemlerin ve servislerinin standardize edilmesi,
- Siber mevzuat çalışmalarının yapılması,
- Europol, European External Action Service gibi global açılımları olan diğer AB kurumlarıyla yakın çalışmalar yürütülmesi,
- AB kurumlarına ve üye devletlere danışmanlık sağlanması gibi yeni hareket alanları tanımlandı.
Aslında bu yeni kapsam, ENISA’yı NATO bünyesindeki CCDCOE’ye benzer, hem stratejik hem de akademik çalışmalar yürüten, uzman bir kuruma dönüştürme çabasının sonucuydu.
Her ne kadar kurumun merkezi olarak Yunanistan’daki Girit adasının seçilmesi, AB’nin ana organlarına olan uzaklığı da göz önünde bulundurulduğunda, hala siber tehditlerin AB bünyesinde üst düzey karşılığının olmadığını düşündürse de, Helmbrecht önderliğinde ENISA’nın çok yol katettiğine değinmemek elde değil. Helmbrecht’in The Cloud Security Alliance (CSA) tarafından geçtiğimiz yıl CSA Sanayi Liderliği ödülüne layık görülmesi bu başarıların bir göstergesi olarak sayılabilir. Güvenli bulut bilişim alanında ENISA çatısı altında yürütülmesine ön ayak olduğu akademik çalışmalar, sertifikalı eğitimler ve sanayi kuruluşlarını bu alanda önlemler almaya iten girişimleri, Helmbrecht’in bulut bilişimi güvenliğine önemli katkıları arasında kabul ediliyor.
Helmbrecht aynı zamanda AB üye ülkeleri arasındaki işbirliğini artırma ve olası bir siber kriz anında karmaşanın önlenmesi adına 2010’dan bu yana her sene düzenlenen Cyber Europe tatbikatının hayata geçirilmesinde rol almış kilit isimlerin başında geliyor. 29 ülkenin ve 200 kuruluşun katılımıyla gerçekleşen ve kritik altyapılara yönelik siber tehditleri ele alan Cyber Europe, kapsamı nedeniyle iddialı bir uygulama olarak öne çıkıyor. Fakat, AB’nin bir bütün olarak siber güvenlikte öncü olma, tek çatı altında yürütülecek etkili bir siber strateji oluşturma ve üye devletler arası bilgi paylaşımını üst düzeye taşıyacak güven ve işbirliği kavramlarını aşılama adına yapacağı çok iş var gibi gözüküyor.
Siber tehditlerin her bir AB üyesini etkileyecek sonuçlar doğrulabileceğinin anlaşılması, özellikle Estonya saldırıları sırasında AB’nin yaşadığı şaşkınlık ve hareketsizlik halinin iyi yorumlanıp, kriz yönetimi ve işbirliği konularında adımlar atılması yakın vadede hem Helmbrecht liderliğindeki ENISA, hem de büyük resme bakması gereken AB için büyük önem arz ediyor.