“Strateji çalışmaları ocakta başlamalı, kapasite geliştirmeye öncelik verilmeli”

Türkiye’nin gelecek sene üçüncü ulusal siber güvenlik stratejisini açıklaması bekleniyor. Geçmişte yayınlanan stratejileri ve hazırlanan eylem planlarını, bunlardan çıkartılacak dersleri ve önerilerini Siber Güvenlik, E-Devlet ve E- Yönetişim Kıdemli Uzmanı Mustafa Afyonluğlu’na yazılı bir röportaj yaparak sorduk. Keyifli okumalar: 

Türkiye gelecek sene üçüncü Ulusal Siber Güvenlik Stratejisini hazırlayacak. Son strateji hakkındaki değerlendirmelerinizi alabilir miyiz? Türkiye’nin yeni bir stratejiye ihtiyacı olduğunu düşünüyor musunuz? Sizce yeni strateji oluşturulacaksa hangi noktalara dikkat edilmelidir?

Türkiye’nin ilk siber güvenlik stratejisi olan “2013-2014 Siber Güvenlik Stratejisi ve Eylem Planı”na müteakip, halen geçerli olan “2016-2019 Siber Güvenlik Stratejisi ve Eylem Planı”, gelecek yıl sonunda sürecini tamamlayacaktır. Son strateji ve eylem planı gerek hazırlık gerekse uygulama süreçleri bakımından değerlendirildiğinde, aşağıdaki tespit ve değerlendirmeler göze çarpmaktadır:

  1. Bir önceki stratejinin dönemi tamamlandıktan sonra süreklilik sağlanamamış, arada geçen iki yıl boyunca (2014 yılından 2016 yılına kadar) kurumlar ve sektöre herhangi bir hedef verilmediğinden küresel ortamda ciddi anlamda zaman kaybı yaşanmıştır.
  2. Strateji ve eylem planının tanıtım toplantısında paylaşılan bilgiler çerçevesinde şu tespitlerde bulunmak mümkündür:
  • Eylem planı uygulama adımlarının genel olarak yüzeysel olması (bazı eylemlerin tek maddelik ve eylem başlığı ile eşdeğer uygulama maddesine sahip olması veya 7 yıllık hedef konulan eylemlerin, yıllara sari süreci tarif etme konusunda zayıf kalmış 1 – 4 uygulama maddesine sahip olması), çalışmayı hazırlayan ekibin daha önce ulusal strateji ve eylem planı hazırlama tecrübesinin sorgulanmasına neden olmuştur.
  • Eylemlerdeki ilerlemelerin ölçümlenebilmesine ilişkin bir altyapı sunulmamıştır.
  • Strateji 3 yıllık olmasına rağmen tüm ulusal eylem planlarının aksine eylem planı 7 yıla kadar uzanan ve birbirleri ile öncül-ardıl ilişkileri kurulmamış eylemlerden oluştuğu görülmüştür. Yani strateji geçerlilik süresini aşan eylem geçerlilik süreleri mevcuttur.
  • Bazı eylemlerin süreç tanımlarını yarım kaldığı görülmektedir.
  • Eylem planında yer alan 41 eylemin yarısının, stratejiyi hazırlayan (Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’na 14 eylem) ve stratejinin hazırlatıldığı kurumda (TÜBİTAK’a 7 eylem) olduğu görülmektedir.
  • Strateji ve eylem planı, katılımcılık çerçevesinde geniş paydaş katılımı ile yapılmamış, sadece bir çalıştayda kurumlardan “yapabilecekleri başlıklara” ilişkin bilgi toplanmış ve bunun üzerine kurulmuş olduğundan ülkedeki paydaşlara bir vizyon sağlama ve ulusal gereksinimleri karşılama konularında oldukça zayıftır.
  • Benzer şekilde siber güvenlik mevzuatının oluşturulması ilk stratejide (Eylem 5.1.2) yer almasına rağmen katılımcılık esasına göre ilerlenmediğinden kurumların katkılarının çok zayıf kaldığı bir taslak olarak hayata geçememiş ve yeni stratejide tekrar ele alınıp, tüm ülkelerde olduğu gibi müstakil bir kanun olması gerekirken (Siber Güvenlik Kurulunun oluşturulması dahil olmak üzere) Elektronik Haberleşme Kanunu’na yapılan ilaveler yeterli görülmüştür.
  • Siber güvenlikte küresel öncelikler ve eğilimlerden ülkemiz bakımından kritik olan başlıklar genel olarak eylem planında yer almamaktadır. Örneğin kritik altyapılara ilişkin müstakil stratejilerin oluşturulması, sektörel planların hazırlanması günümüz itibarı ile halen mevcut değildir.
  • Bir önceki stratejide verilen görevlerin gerçekleştirilemeyenlerine ilişkin neden / sonuç ilişkisi araştırılmak yerine aynı eylemler yeniden ilave edilmiş ancak asıl yetkili ve sorumlu kurumlardan bu eylemler alınarak bu konuda herhangi bir görev ve birikmiş kapasitesi bulunmayan kurumlara verilmiştir. (Örneğin ilk stratejide Eylem:5.1.2: ” – Siber güvenlik terminolojisinin ve sözlüğünün oluşturulması” eylemi Türk Dil Kurumu’na atanmış ancak bu eylem gerçekleşmeyince son stratejide aynı görev Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’na verilmiştir.
  • Önceki siber güvenlik stratejisinde olduğu gibi bu stratejide de izleme, ölçme, değerlendirme ve koordinasyon yer almamaktadır. Bu sebeple eylemlerin önemli bir kısmı takip edilememiş ve zamanında hayata geçememiştir.
  • Eylemler için herhangi bir önceliklendirme bulunmamaktadır.
  1. Strateji yayımlandıktan sonra ilerlemelere ilişkin hiçbir çalıştay, izleme-değerlendirme yapılmamış ve ilerleme sonuçları yayımlanmamış veya kamu kurumları ile paylaşılmamıştır.

Yeni stratejide, yukarıda karşılaşılan aksaklıkların yaşanmaması bakımından, tespitlere uygun bir strateji ve eylem planı hazırlama modeli kurgulanmalıdır. Bu kapsamda,

  • Mevcut stratejinin bitimi itibarı ile yeni stratejinin başlayabilmesi için, strateji ve eylem planı çalışmalarının en geç Ocak 2019 itibarı ile başlaması önerilmektedir.
  • Strateji ve eylem planı, kendi kurum ve sektörümüzdeki uzmanlar vasıtası ile, kamu, özel sektör, üniversiteler ve sivil toplum kuruluşlarının da geniş katılımı ile ve küresel eğilimler, öncelikler ve gelişen trendler dikkate alınarak hazırlanmalıdır.
  • Ulusal siber güvenlik modeli, 5 seviyeli (politik, stratejik, operasyonel, taktik ve teknik seviye) olarak açık ve net şekilde ortaya konulmalı ve eylemler bu model üzerinde şekillenerek görev dağılımı ile iş birliği ilişkileri netleştirilmelidir.
  • Eylemler için bir yol haritası oluşturulmalı, eylemler arasındaki öncül-ardıl ilişkiler, riskler ve korunma yöntemleri ile öncelikler ve uygulama adımları net olarak tanımlanmalıdır.
  • Kapasite geliştirme konusuna öncelik verilmelidir. İlk strateji ile başlatılan kapasite geliştirme çalışmalarının (Bölüm 5.5, Eylemler: 19-24) daha da geniş biçimde sürdürülmesi gerektiği, sonraki dönemde yapılan resmi açıklamalarda ortaya çıkmıştır. Nitekim; Eylül 2017 yılında Sn. Binali Yıldırım tarafından ICT-2017 etkinliği açılış konuşmasında belirtildiği üzere, mevcut kapasite geliştirme çalışmaları siber güvenlik uzmanı ihtiyacını karşılamaktan çok uzak olup, mevcut planlama ile belirtilen ihtiyacın yaklaşık 60 yılda karşılanabileceği tahmin edilmektedir. Üstelik artık siber alandan öte “sayısal vatandaşlık” ülkelerin temel hedefleri arasına girmiştir ve bu konudaki temel 8 başlığın (mahremiyet yönetimi, dijital ayak izleri, dijital empati, siber zorbalık yönetimi, ekran zaman yönetimi, siber güvenlik yönetimi, sayısal vatandaş kimliği, kritik düşünme) yarıdan fazlası siber güvenlik odaklı olup bu başlıklar için eğitim başlangıcı okul öncesine doğru uzanacak şekilde eylem ve hedefler belirlenmelidir.
  • Sektörel kapasite geliştirme için, ulusal öncelikler ve siber güvenlik alanında ihtiyaç duyulan yerli / milli çözümler net olarak tarif edilerek sektöre yol gösterici ve kamu-özel sektör iş birliğini (KÖİ) teşvik edici bir model ortaya konulmalıdır.
  • Kritik altyapılarda siber güvenlik öncelikli ve detaylı olarak ele alınmalıdır.
  • Stratejik hedefler arasında, siber güvenlikteki sektörel planların hazırlanması yer almalıdır.

Cumhurbaşkanlığı başkanlık sisteminde siber güvenlik hangi kurumun sorumluluğu dahilinde olacak? Dijital Dönüşüm Ofisi’nin görev ve sorumlulukları arasında siber güvenlik bulunuyor mu? Bu ofisin başına bir atama yapıldı mı?

Bakanlar Kurulunca alınan 11.06.2012 tarihli ve 2012/3842 sayılı Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin karar kapsamında 5809 sayılı Elektronik ve Haberleşme Kanunu’na eklenen Ek Madde 1 ile kurulan Siber Güvenlik Kurulu, 09.07.2018 tarihinde yayımlanan 703 numaralı Kanun Hükmünde Kararname’nin 205. maddesi ile kapatılmıştır. 10.07.2018 tarihli 1 numaralı Cumhurbaşkanlığı Kararnamesinin 525. maddesi ile Cumhurbaşkanlığına bağlı, özel bütçeli, kamu tüzel kişiliğini haiz, idarî ve malî özerkliğe sahip, Dijital Dönüşüm Ofisi (DDO) kurulmuş olup 11 Eylül 2018 tarihli 2018/164 sayılı Cumhurbaşkanı Kararı’na göre bu ofisin başkanlığına Dr. Ali Taha Koç atanmıştır. Siber güvenlik bakımından; DDO Siber güvenlik ve bilgi güvenliğini artırıcı projeler geliştirmekle görevli olmakla birlikte ofisin diğer görevleri de doğrudan siber güvenliği ilgilendiren konulardadır. Bununla birlikte, 17.02.2017 tarihinde basına yansıyan “Cumhurbaşkanlığı emri ile Siber Güvenlikte Tek Çatı Çalışması” kapsamında Devlet Denetleme Kurulu tarafından tamamlanan çalışmanın ne şekilde bu oluşumda yer bulacağı henüz resmi olarak açıklanmamıştır. Ancak sayın Cumhurbaşkanı’nın siber güvenlik hususunu bizzat öncelikli gündemine almasından ötürü, e-devlette olduğu gibi bu alanda da en üst seviye koordinasyon sağlanması ve öncelik gösterilmesi beklenmektedir.

ABD Başkanı Trump’ın geçtiğimiz günlerde açıkladığı yeni siber güvenlik stratejisinde, gerek Amerikan Savunma Bakanlığının gerekse de Anayurt Bakanlığının hazırladığı stratejilere göre merkeze aldığı iki kavram var: Olay raporlama (Incident reporting) ve siber suçlarla müdahale. Diğer stratejilerden farklı olarak bu iki kavrama daha çok önem verilmesini nasıl yorumluyorsunuz?

ABD’de siber güvenlik alanında belirli olgunluklara erişildiği dikkati çekmektedir. Örneğin, bu alandaki standartların NIST tarafından iyi bir seviyeye getirilmesi ve ayrıca siber güvenlik çerçevesinin yeni versiyonu ile yeterli olgunluğa ulaştırılması, Department of Homeland Security(DHS) kurumunun bu konudaki çalışmalarının yeterli ilerlemeyi göstermesi, ulusal siber güvenlik stratejilerine ilaveten kritik altyapıların her birine ilişkin müstakil stratejilerin hazırlanması, sektörel planların oluşturulması ve hayata geçirilmesi, US-CERT’in faaliyetlerinde arzu edilen seviyeye erişilmesi bunlar arasında sayılabilir. Nitekim ABD Savunma Bakanlığı’nın Siber Güvenlik Stratejisi’ne ilişkin 2018 raporunda da uluslararası iş birliği, kapasite geliştirme, endüstri ve kurumlarla iş bölümü gibi başlıklarda olumlu ilerlemeler gerçekleştirildiği görülmektedir. DHS, siber stratejide siber suçla mücadelenin ön planda ele alınmasına, gelişen teknoloji ve dijital ekonomi kapsamında ABD’nin siber alanda saldırılara daha açık hale gelmesini gerekçe göstermektedir. Bununla birlikte özellikle siber dünyadaki devlet destekli saldırıların, sıcak savaştan daha etkili olması ve saldırıyı düzenleyen taraf bakımından askeri, sosyal ya da mali kayıp içermemesi, her ülkenin bu alanda hem kapasite geliştirmeye başlamasına hem de siber saldırı timleri kurmasına sebep olmuştur. Üstelik NATO’nun Temmuz 2016’daki Varşova Zirvesi Sonuç Bildirgesi’nin 5. maddesinde siber alanı da yeni bir operasyonel savunma alanı olarak kabul etmesi ve aynı yılın sonlarındaki bir açıklamasında, siber alanda kapasite geliştirmeyi de hedefleri arasına aldığını açıklaması, sadece ABD’de değil diğer ülkelerde de siber uzayı milli güvenliğin bir parçası haline getirmiş ve bu yönde teknik ve idari çalışmalar hızlandırılmıştır. Dolayısıyla olay raporlama, siber suçlar ve siber savunma alanlarının öncelik kazanması, tüm bu gelişmelerin beklenen bir uzantısıdır.

 

Türkiye’nin bölgede e-ticaret açısından bir çekim merkezi olması için siber suçlarla mücadelenin stratejiye eklenmesi ile ilgili düşünceleriniz nelerdir?

Siber alanın daha güvenli hale getirilmesi muhakkak ki e-ticaret girişimlerine ve oluşumlarına olumlu katkı sağlayacaktır. Ancak e-ticarete güçlü bir atılım yapabilmek için öncelikli olarak dijital ekonomi politikalarını oluşturmak ve buna yönelik idari, hukuki ve teknik çalışmaları başlatmak gerekir. Halen günümüzde dijital ekonominin GSMH’deki payının %3 olarak zikredilmesine rağmen başta IMF raporları olmak üzere birçok uluslar üstü kuruluşların araştırmaları, 2025 yılında bu payın %23 seviyesine çıkacağını öngörmektedir. Nitekim bu sebeple birçok ülkede dijital ekonomi stratejileri hazırlanmaya başlamış veya uygulamaya konulmuştur. Ancak ülkemizde henüz siber güvenliğin sektörel strateji ve planları olmadığı gibi benzer şekilde dijital ekonomi ile ilgili de bir strateji bulunmamakta, herhangi bir ulusal politika belgesinde bu alanda hedef ve eylemler yer almamaktadır. Dolayısıyla bu alanda ilk atılması gereken adım, ulusal dijital ekonomi strateji ve eylem planının özel sektörle el ele ve yerli / milli yaklaşım ile hazırlanmasıdır.

 

Türkiye’nin BM nezdinde sürdürülen siber alanda devletler için norm oluşturma çabalarına katkı sağlamasını faydalı buluyor musunuz? Gelecek yıllarda siber savaş hukukunu belirleyecek bu adımların oluşmasında Türkiye’nin de yer aldığı haberlerini ne zaman okuyabiliriz?

BM, bir çok ülkenin birikim ve deneyimlerini birleştirdiği bir platform olarak muhakkak ki bu alanda tüm üyelerine daha hızlı yol almalarını sağlayacaktır. Ancak bu birikimin Türkiye’ye taşınmasına müteakip sürdürülebilir bir yapı oluşturmak için ciddi büyüklükte yetişmiş insan kaynağı kapasitesinin oluşturulmasına ihtiyaç bulunmaktadır. Ayrıca siber güvenlik ile ilgili temel mevzuatı Elektronik Haberleşme Kanunu’nun bir bölümü olmaktan çıkarıp, diğer ülkelerde olduğu gibi bu başlıkta müstakil bir kanun hazırlanmasında fayda görülmektedir.

Bu insan kaynağının yetiştirilmesi için önerileriniz nedir? Özel sektör ve sivil toplum kuruluşlarına ne gibi görevler düşmektedir?

İnsan kaynağı yetiştirilmesinde en önemli ve güçlü kaynak üniversiteler ise, sivil toplum kuruluşları kapasite geliştirmede ortak akıl, özel sektör ise tecrübesi ile bu kapasitenin olgunlaşmasını sağlayacak en önemli bileşendir. Devlet ise, yetiştirilecek insan kaynağının sahip olması gereken beceri ve niteliklerini tanımlayarak bu alandaki standartları belirlemeli ve bu alanın bir meslek haline dönüşmesi için gerekli çalışmaları gerçekleştirmelidir. En güçlü insan kaynağı kapasitesini en hızlı şekilde oluşturabilmek için bu önemli dört bileşenin uyum ve iş birliği içerisinde çalışması gerekir.

Kritik altyapıların güvenliği konusunda, özel şirketlerin faaliyetlerini yürüttüğü elektrik, su, doğalgaz tesisleri gibi yapıların siber güvenliğinde kamu – özel sektör iş birliği yapılması gerektiği sıklıkla ifade edilen bir gündem maddesi. Türkiye’de bu konuda henüz verimli ve etkili çalışan bir mekanizma kurulamamasını neye bağlıyorsunuz? Sektörel SOME’lerin kurulması nasıl hızlandırılabilir?

Bu alanda en büyük eksiklik, kritik altyapılarda yer alan sektörlere ilişkin strateji ve planların bulunmamasıdır. Dolayısıyla öncelikler ve hedeflerin belirli olmaması, hem işbirliği başlıklarını belirsizleştirmekte, hem de yatırım önceliklerinde ulusal bir bütünlüğe gidilememesine sebep olmaktadır. Bununla birlikte son dönemde KÖİ (Kamu-Özel İşbirliği) alanlarının tekrar gündeme gelmesi ve 10.10.2018 tarihinde yayımlanan yatırım rehberi ve bütçe rehberinde bu alana öncelik verilmesi, özel sektörün dinamizmi ve tecrübesinden kamunun maksimum ölçüde faydalanması için oldukça olumlu gelişmelerdir. USOM’da son dönemde ivme kazanan kapasite geliştirme faaliyetlerine üniversitelerin de (Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Siber Güvenlik Merkezi BÜSİBER gibi) hızla katkı sağlaması, hem USOM hem de SOME’lerdeki kapasite açığını hızla kapatacak ve bu yapıların daha etkin çalışmalarını sağlayacaktır.

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.