Ankara’da geçtiğimiz hafta düzenlenen ISAF Exclusive Güvenlik Fuarı ve Konferansı’nda siber suçlarla mücadelede hukuki mevzuat eksikliğine dikkat çekildi.
Ankara Sheraton Otel’de güvenlik sektöründen birçok firmayı ve kamu kurumlarının temsilcilerini bir araya getiren etkinlikte, kamu ve özel sektörde siber güvenlikle ilgili hukuki çerçeve ile personele yönelik farkındalık ve yerli ürünlerle küresel siber güvenlik piyasasında rekabet konuları ön plana çıktı.
Konferansta konuşan Keçeciler & Ortaklar Hukuk Bürosu, Kurucu Ortağı Avukat Murat Keçeciler, “Siber güvenlik meselesi sadece siber uzayda, networkte, internette gelişen meseleler olmaktan öte, bunun fiziki dünyaya yansımaları, fiziki dünyadan siber saldırılara dönük olarak kullanılacak hibrit metodolojilerin geliştiği yeni yöntemlerin de uygulandığını görüyoruz.” dedi
Teknolojik gelişmeleri yargı tarafının takip etmekte zorlandığına dikkati çeken Keçeciler, “Teknolojideki değişim ve dönüşüm hızlanmasına karşın mevzuat arkasından geliyor. Sistematiğin içerisinde hukuk yapma tekniğinin içerisinde yasal süreçlere baktığımızda teknolojini hızı bunu beklemiyor.” diye konuştu.
Kolay Erişim
“Siber suç konusunda tek bir tanımlama yok”
Siber suç tanımında ülkelerin farklı yaklaşımlar sergilediğini belirten Keçeciler, “Her ülkenin kendi mevzuatı anlamında siber suç tanımında bir yeknesaklık yok maalesef. Doğrudan herkesin kabul edebildiği bir şablon yok. Teknolojik bir arka planı olmasından dolayı da bu tanımlamanın kolay yapılabilmesi mümkün değil.“ ifadelerini kullandı.
Avrupa Konseyi’nde 2001 yılında imzalanan Budapeşte Anlaşması olarak adlandırılan siber suç sözleşmesini hatırlatan Keçeciler şunları kaydetti:
“Türkiye 2010 senesinde imzacı oldu. 2014 senesinde de bunu yürürlüğe koydu. 2016 yılında sözleşmenin ceza hükümlerine ilişkin olarak bizim ceza kanunumuzda değişiklik yapıldı. Delillerin toplanması anlamında bizim mevzuatımız Budapeşte sözleşmesine çok uyumlu bir şekilde gitmiyor açıkçası. Adli bilişim tarafında bazı eksikliklerimiz var. Bu anlamda jandarma ve polis teşkilatımızın önemli çabalar ortaya koyduğunu görüyoruz. Ancak savcılık tarafında bazı aksaklıkların olduğunu maalesef gözlemlemek mümkün.”
Konferansta “Akıllı devlet için siber güvenlik” konulu bir sunum yapan Siber Güvenlik, E-Yönetişim ve E-Devlet Kıdemli Uzmanı Mustafa Afyonluoğlu Türkiye’de kritik altyapılardaki bazı alanların siber güvenliğiyle ilgili ulusal planlarda henüz tanımlanmadığını söyledi.
Afyonluoğlu, Birleşmiş Milletler (BM) ile geçen Ocak ayının sonlarında farklı ülkelerden, uluslararası kuruluşlardan ve bazı üniversitelerden 75 üst düzey uzmanla siber güvenlik riskleri üzerine bir çalışma gerçekleştirdiklerini belirtti.
Çalışmanın en önemli başlıklarından birisinin kritik alt yapılar olduğunu ifade eden Afyonluoğlu, “Akıllı şehirlerle beraber aslında biz kritik altyapılara hayatımızda fark etmeden biraz daha yaklaşıyoruz. Ama oradaki sıkıntılardan daha çok etkileniyoruz.” dedi.
Geçtiğimiz yıllarda (2016) San Francisco’nun ulaşım sistemine yapılan siber saldırıda metro hattı hizmet dışı kaldığını hatırlatan Afyonluoğlu, “Başta AB olmak üzere siber güvenlik konusunu gündemlerinin üstünde tutan ve AB ülkelerinde yıllık orandaki harcamaları milyar Avro’yu geçen ülkeler için esas olan kritik alt yapı başlıklarından bazıları sağlık, nükleer endüstri, gıda endüstrisi, uzay, savunma sanayisi gibi alanlar henüz ülkemizde kritik alt yapılar olarak ilgili ulusal planlarda tanımlanmış değil.” diye konuştu.
“Türkiye’de müstakil bir siber güvenlik kanununa ihtiyaç var”
Afyonluoğlu, Türkiye’de siber güvenlikle ilgili hukuki mevzuatta eksiklikler olduğuna işaret ederek şunları söyledi:
“Türkiye’de her şeyden önce müstakil bir siber güvenlik kanununa ihtiyaç var. Siber güvenlikle ilgili muhtelif mevzular elektronik haberleşme konuları içine dercedilmiş durumda. Fakat siber güvenlik kendi altında da o kadar geniş başlıklara sahip ki bu konuda birçok yol alabilmiş ülkelerin bunu müstakil kanun olarak düzenlediklerini görüyoruz.”
Siber güvenlik alanındaki problemin aslında sadece yazılım, donanım ve yatırımlar tarafında olmadığını vurgulayan Afyonluoğlu, “İnsan kaynağı tarafında da küresel bir kapasite sıkıntısı var. Halen dünya çapında 2 milyon siber güvenlik uzmanı ve 6 milyon siber güvenlik analist açığı mevcut. Bu açık kapatılamadığı gibi her geçen gün hızla büyüyor.” ifadelerini kullandı.
Logo Siber Güvenlik ve Ağ Teknolojileri A.Ş. ve Berqnet Firewall Genel Müdürü Dr. Murat Apohan ise “Yerli ve rekabetçi siber güvenlik ürünleri oluşturma sürecinde stratejiler” konulu sunumunda, yerli yazılım konusuna değinerek, “Siber güvenlik alanındaki yazılımların yerlilik oranının tespit edilmesine ilişkin veri bulmak kolay değil. Pazar araştırmaları ve analizler var. Oralardan birtakım veriler toplayıp derlemeler yaparak grafikler oluşturmak mümkün.” diye konuştu.
“Türkiye’de siber güvenlik yazılımlarından yerlilik oranı yüzde 3”
Ülkelerin siber güvenlik harcamalarının milli gelirlerine göre oranlamasına göre bir numaranın İsrail olduğunu belirten Apohan, “İsrail’den sonra iki numara İngiltere, üç numara da ilginç bir şekilde Singapur. Benim yaptığım hesaplara göre Endonezya’ya yakın bir pozisyonda duruyoruz. Türkiye pazarının yüzde 3’ü şu anda yerli üretim tarafından karşılanıyor. Bu rakamlar daha detaylı analize muhtaçtır. “ ifadelerini kullandı.
Siber güvenlik pazarında önemli bir potansiyel olduğunun altını çizen Apohan, “Genel olarak yapacak çok işimiz var ve fırsat da var. Burada inanılmaz bir pazar var. Hem küresel çapta hem de Türkiye’de değerlendirilebilecek büyük bir pazar var.” dedi.
“Siber güvenlik devlet politikası olarak benimsenmiş olmalı”
Siber güvenlikle ilgili sıkıntıların kolaylıkla aşılabilmesi için devletin öncü rol oynaması gerektiğine dikkati çeken Apohan, “Dijital ekonomiden bahsediyoruz. Bu ekonominin sağlıklı çalışabilmesi için siber güvenlik alt yapınızın sorunsuz çalışıyor olması gerekiyor. O yüzden bunun tepede bir devlet politikası olarak benimsenmiş ve aşağı doğru uygulanıyor olması çok önemli.“ diye konuştu.
“Psikologlara ihtiyaç var”
Birçok alanda olduğu gibi siber saldırılara karşı da çeşitli uzmanlara ihtiyaç olduğunu ifade eden Apohan şunları kaydetti:
“Siber güvenlik yazılımı üretmek istiyorsanız hem içerde hem de dışarıda rekabet edebilecek ürünler ortaya koymalısınız. Rekabette çok gerideyseniz daha dikkatli hareket etmeniz lazım. O alanda yetenekli ekibiniz ve uzmanlarınız var mı? Siber güvenlikte birçok alan var. Hepsi farklı segmentlerde birçok uzman gerekiyor. Yatırım uzmanları, donanım uzmanları, süreç inşa edecek uzmanlar, hatta psikologlar. Bunlara ihtiyacınız var. Sosyal mühendislik diye bir kavram var.”
“Siber güvenlikte kamunun istihdam sağlaması zor”
Biznet Bilişim, Satış Öncesi Hizmetler Yönetimi Direktörü Ahmet Kapusızoğlu ise kamu sektöründe insan kaynağı ihtiyacının karşılanmasında sıkıntılar yaşanmasının normal olduğunu belirterek, “Siber güvenlikte kamunun istihdam sağlaması zor. Biz özel sektör olarak bu konuda yetkin personeli bulmakta zorlanıyoruz. Kendimiz yetiştiriyoruz. Yetiştirdiğimiz personeli elimizde tutmak için uğraşıyoruz. Hatta belli bir seviyeye ulaşınca maalesef yurtdışına çıkma olasılıkları var.” diye konuştu.
İyi üniversitelerden mezun kişileri eğiterek, piyasaya da eleman yetiştirmeye çalıştıklarını belirten Kapusızoğlu, “Bu kaynaktan kamu dışarıdan hizmet alımı şeklinde faydalanabiliyor. Son olaylardan sonra hizmet alınabilecek kurumların da güvenlikleri sağlanmış durumda. Çoğu kamuyla çalışırken güvenlik belgelerini sağlıyor.” ifadelerini kullandı.
“Son kullanıcıda farkındalık yok”
Siber güvenlikten en büyük sorunlardan birinın son kullanıcı tarafı olduğuna dikkati çeken Kapusızoğlu, “Son kullanıcı tarafında bizim ABD ve İsrail gibi ülkelerden geri kalmamızın sebebi, son kullanıcıda bu farkındalık yok. Siber güvenlik alanında birçok ülkede ilköğretim seviyesinde bile farkındalık eğitimi veriliyor. Bizim de belki ta oradan başlamamız gerekiyor.” dedi.
Kapusızoğlu, kişisel verilerin korunması gibi bilgi güvenliğinin kalitesinin ölçüldüğü sistemlerde de kurumların kendisini geliştirmesi gerektiğini belirterek, konuya ilişkin kurumlara ciddi destekler sağladıklarını söyledi.
“Önce personeli eğitmemiz gerekiyor”
Türk Nippon Sigorta, Sistem Altyapı ve Bilgi Güvenliği Müdürü Hüsnü Tavlaş ise kişisel verilerin korunması konusunda şirketlerin içeriden veri sızıntısına önem vermesi gerektiğini söyledi.
ING Bank’ta içeriden veri sızıntısı nedeniyle yaşanan olayı hatırlatan Tavlaş, “Geçtiğimiz hafta ING Bank’ta bir ihlal ortaya çıktı. İçeriden veri sızmasıyla karşı karşıya kalındı. İçeriden olan tehditler her zaman daha çok baş ağrıtan ve birinci dereceden kurumu sorumlu tutan tehditler olduğu için kurum içerisinde personel eğitimlerini ön planda tutarak, önce personeli eğitmemiz gerekiyor.” diye konuştu
Tavlaş personelde kişisel veriler konusunda bir farkındalık oluşturmak gerektiğine dikkati çekerek, “Yani bütün teknik tedbirleri aldığınız yatırımları yaptınız, prosedürleri oluşturdunuz. Ama personeli de bu anlamda bilinçlendirmezseniz, birtakım veri sızıntılarıyla karşılaşabiliyorsunuz. Çok sayıda bilinçsiz personel yazıcıdan aldığı çıktıları yazıcı üzerinde bırakabiliyor. Kişisel veri bulundurduğu mailler atabiliyor.” ifadelerini kullandı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz