Resmi Gazete’de 5 Temmuz Cumartesi günü yayınlanan genelgede, ‘kamu düzenine’ ve ‘milli güvenliğe’ etki edebilecek kritik verilerin güvenliğinin sağlanması amacıyla alınması gereken tedbirler açıklandı. 21 maddelik ‘önlemler paketinde’ vatandaşlara ait kritik bilgiler ile kamu kurum ve kuruluşlarına ait verilerin hangi şartlarda nerelerde saklanacağına dair kararlar sıralandı.
Nüfus, sağlık, iletişim bilgileri, biyometrik ve genetik verilerin kritik bilgi olarak tanımlandığı genelgede bu verilerin güvenli bir şekilde yurt içinde depolanmasına dikkat çekildi.
Bunların dışında kamu kurum ve kuruluşlarında yer alan kritik verilerin depolanacağı ağların,
- İnternete kapalı
- Fiziksel güvenliği sağlanmış
- Güvenli
olması şartı konuldu ve bu ağlara erişimin kontrollü sağlanması ile log kayıtlarının değiştirilmeye karşı önlem alınmasının altı çizildi.
Kolay Erişim
AZURE, AWS VE GOOGLE CLOUD YASAKLANIYOR
Genelgede dikkat çeken bir başka madde ise, kamu kurum ve kuruluşlarına ait verilerin, kurumların kendi özel sistemleri (yukarıda belirtilen şartlara sahip sistemler) veya kurum kontrolündeki yerli hizmet sağlayıcılarda saklanması şartı oldu. Bu maddede yabancı bulut bilişim hizmeti sağlayan şirketlerde bu bilgilerin saklanamayacağı özellikle belirtildi. Böylelikle Amazon, Microsoft ve Google gibi yabancı bulut bilişim hizmet sağlayıcılarda kamu kurum ve kuruluşlarının verileri saklanamayacak.
SOSYAL MEDYA VE HABERLEŞME UYGULAMALARINDA YERLİ VURGUSU
Mobil uygulamalar üzerinden ‘gizlilik dereceli veri paylaşımı’nın yasakladığı genelgede, bu tür veri paylaşımları için sadece mevzuatta yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamaların tercih edilmesi gerektiği ifade edildi. Aynı şekilde gizlilik dereceli veri paylaşımının sosyal medya uygulamaları üzerinden de yapılamayacağı belirtildi. Hem sosyal medya hem de haberleşme uygulamalarında yerli uygulamaların tercih edileceği de bir madde olarak genelgede yer aldı.
Böylelikle Facebook, WhatsApp, Skype, Messanger vb. uygulamalarla gizlilik dereceli veri paylaşımı kamu kurum ve kuruluşları için yasaklanmış oldu. Kurumsal müşterileri için ‘business’ versiyonları geliştirilen ve kritik bakanlıklarda kullanıldığı bilinen Skype vb. ürünlerin de kullanımına kısıtlama getirilmiş oldu.
KOZMİK ODALARA CEP TELEFONU SOKULMAYACAK
Genelgede dijital bilgilerin saklanmasında fiziksel güvenlik önlemlerine de geniş yer verildi. Kritik verilerin işlendiği yerlerde TEMPEST güvenliğine dikkat edilmesi uyarısında bulunan genelgede, kritik veri ve belgelerin bulunduğu ortamlarda ‘mobil cihazlar ve veri transferi özelliğine sahip cihazların’ bulundurulması yasaklandı.
ABD başta olmak üzere değişik ülkelerde kişisel bilgisayarlarda barındırılan verilerin çalınması ile devlet kurumlarına ciddi zarar veren olaylar yaşanmıştı. Genelgede kritik bilgilerin kişisel cihazlarda bulundurulması da net bir şekilde yasaklanmış oldu. Dışarıdan bir sızmayı önlemek amacıyla kişisel cihazların ve ‘kaynağından emin olunmayan’ kişisel cihazların (USB, CD, DVD…) kurumların sistemine takılmasının önüne geçildi.
Ayrıca kişisel e-posta hesaplarından kurumsal iletişim yapılması da yasaklandı. Benzer bir durumun ABD Dışişleri Bakanlığı döneminde Hillary Clinton’un başına geldiği ve şahsi mailini bakanlığın işlerinde kullanan Clinton’un güvenlik riski oluşturduğu açıklanmıştı.
Gizlilik dereceleri bilgilerin dışarıya çıkatılması da ‘bilgilerin yazılımsal ve donanımsal olarak kriptolanması’ ve bu amaçla kullanılan cihazların kayıt altına alınması şartına bağlandı. Genelgede yerli ve milli kripto sistemlerin geliştirilmesinin teşvik edilmesine dair de bir madde de yer aldı. TÜBİTAK Bilgem, senkron veri kripto cihazı, kriptolu taşınabilir sabit disk cihazı, kriptolu USB bellek cihazı (SIR) gibi kriptolu ürünler geliştirdiği biliniyor.
ARKA KAPI AÇIKLIĞI İÇİN TAAHÜTNAME ÖNLEMİ
Çoğunlukla kullanıcı davranışlarını düzenlemeye yönelik kısıtlamaların bulunduğu genelgede, kamu kurum ve kuruluşlarının temin edeceği yazılım ve donanımlarda arka kapı açıklığı içermediğine dair üretici ve/veya tedarikçiden taahütname alınması uygun görüldü. Arka kapı, üreticilerin ürünlere bilerek bıraktığı güvenlik açıklığı olarak biliniyor. Böylece bir sisteme ürün üzerinden izinsiz erişim sağlanması mümkün oluyor. Amerikan hükümetinin bazı teknoloji üreticilerine Ulusal Güvenlik Ajansı’nın (NSA) istismar etmesi için ürünlerine arka kapı koyması konusunda baskı yaptığı biliniyor.
HABERLEŞME HİZMETİ İÇİN IXP ŞARTI GELİYOR
Türkiye’de internet değişim noktası (Internet Exxhange Point- IXP) olmaması uzun zamandır devlet kurumları ve teknoloji şirketleri arasındaki tartışma konularından biriydi. Son zamanlarda Türkiye’de kurulan IXP’lere yenilerinin eklenmesinin amaçlandığı yeni genelgedeki bir maddeden anlaşılıyor. Genelgenin 20. maddesine göre, haberlerime hizmeti için ‘yetkilendirilmiş’ işletmecilerin Türkiye’de IXP kurması gerekiyor. Genelgede ‘Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.’ ifadesi de yer aldı. Bu madde Rusya’nın internetini dünyadan kopartmaya yönelik çalışmalarını hatırlattı.