Avrupa Birliği’nin ilk Siber Güvenlik Stratejisini yayınlamasının ardından neredeyse iki yıl geçti. İki yıl boyunca AB’de siber güvenlik alanında neler yaşandığını Avusturyalı siber güvenlik uzmanı Alexander Klimburg Dış Politika Konseyi (Council on Foreign Relations) için yazdığı yazıda değerlendirdi.
Klimburg,stratejinin hedefleri arasında siber dayanıklılığın artırılması ve siber suçları etkili şekilde düşürmek gibi konuların yer aldığını belirtiyor. Güvenlik uzmanına göre, strateji belgesi, siber güvenlik politikalarının üç önemli ayağını ortaya çıkartıyor. Bunlar güvenlik, dış politika ve ekonomi. Bu açıdan bakıldığında iç güvenlik alanında önemli bir yer tutan siber suçlarla sorumlu olarak İçişleri Genel Müdürlüğü (The General Directorate for Home Affairs) öne çıkıyor. Siber güvenliğin dış politika ve savunma alanlarıyla olan yakın ilişkisinden dolayı Avrupa Konseyi (European Council) ve Avrupa Harici Eylem Servisi (European External Action Service) de siber güvenlik politikasında söz sahibi oluyor. Siber güvenliğin merkezinde ekonomi için hayati öneme sahip olan ağ ve bilgi güvenliği de bulunduğundan Ekonomi İşlerinden sorumlu genel müdürlük de (Directorate General for Economic Affairs) strateji de sorumlu tutulan birimler arasında yer alıyor. Klimburg siber güvenlik politikasının başarıya ulaşmasının önündeki en büyük engel olarak sorumlu kurumlar arasındaki farklı yetki seviyelerinin olduğuna işaret ediyor.
Alexander Klimburg bir diğer gelişme olarak AB’ye üye hükümetlerin temsilcisi olan Avrupa Konseyi’nin yakında Siber Diplomasi Stratejisini yayınlanacağını ifade ediyor. Stratejinin ayrıntıları hala açıklanmasa da, devletlerin siber alandaki adımlarının sorumluluk içerisinde kalmasına, İnternet özgürlüğüne, insan haklarına ve siber kapasitenin artırılmasında güçlü destek verileceği tahmin ediliyor.
Yazısında AB’nin son bir yılda siber kapasite geliştirme hususunda önemli adımlar attığına dikkat çeken Klimburg, AB’nin Afrika ve Balkanlar’da çeşitli projelere başladığını ve Budapeşte Konvansiyonu’nun kabulü için çalıştığını ifade ediyor.
Yazıda bugüne kadar AB’nin siber güvenlikle ilgili farklı 5 tartışma grubu kurması, NATO ile farklı siber konularda iş birliğini derinleştirmesi ve Avrupa Siber Suçlar Merkezinin operasyonel kabiliyetlerinin genişletilmesi de olumlu adımlar olarak değerlendiriliyor. Merkez, kolluk kuvvetleri arasında işbirliğini kolaylaştırıcı çalışmaları ile biliniyor.
AB’nin siber güvenlik politikasında önemli çelişkilerin başında AB’nin üye ülkelerin siber güvenliklerinden sorumlu olup olmayacağı konusu geliyor. Ortak savunma alanlarında araştırmalara finansal destek sağlayan Avrupa Savunma Ajansı’nın (The European Defense Agency) hem üye ülkelerin hem de Birliğin siber güvenliğini sağlamak için önemli fonlar ayırdı. Desteklenen araştırma projeleri arasında savunma ile direkt alakası olmayan krize karşı koyma kapasitesinin artırılması gibi konuların bulunması dikkat çekiyor. AB’yü etkileyecek geniş çaplı bir siber krize karşı koyma kapasitesinin artırılması için gerçekleştirilen Siber Avrupa (Cyber Europe) tatbikatı da Ajans’ın destek verdiği projeler arasında yer alıyor.
AB’nin siber kriz yönetim kapasitesinin artırılmasının arkasında hukuki dayanak olarak Ağ ve Bilgi Güvenliği Yönergesi (Network and Information Security Directive) gösteriliyor. Bu yönerge üye devletlere Siber Olaylara Müdahale Ekipleri kurma konusunu zorunlu hale getirirken, aynı zamanda ‘bilgi paylaşımı’ konusunda özel sektöre önemli yükümlülükler getiriyor. Bunların başında özel sektör şirketlerinin karşılaştığı ciddi siber olayları ulusal kurumlara ve Avrupa Ağ ve Bilgi Güvenliği Ajansı’na bildirmeyi zorunlu kılıyor. Klimburg yazısının sonunda bu zorunluluğun özel sektör için gerçekleştirilmesi zor bir hedef olduğunu ifade ediyor.