Uncategorized

Siber Güvenlikte Kamu-Özel Sektör İşbirliği Mümkün mü?

Siber güvenlik yalnızca ülkemizin değil tüm dünyanın da gündeminde. Bu çerçevede, 14-17 Şubat tarihlerinde Avusturya’nın başkenti Viyana’da benim de katılma şansı bulduğum “Viyana Siber Güvenlik Haftası” düzenlendi. Etkinlik boyunca, dijital dönüşümün güvenliği gibi popüler ve küresel ölçekteki konular öne çıkarken etkinlikte en yoğun katılımın görüldüğü tematik alanlardan biri ise “Enerji, Kalkınma ve Siber Güvenlik” üzerineydi.

Avusturya Ulusal Güvenlik Akademisinin ev sahipliği yaptığı ve enerjinin siber güvenlik ayağının irdelendiği paneller boyunca, uluslararası işbirliğinin, siber tehditlere karşı kapasite geliştirme metodolojisinin yolları masaya yatırıldı. Ancak çoğu zaman göz ardı edilen ancak bütüncül bir siber güvenlik stratejisinin geliştirilmesi için temel taşlardan birini oluşturan “kamu-özel sektör işbirliği (PPP)” paneli oldukça verimli tartışmalara sahne oldu.

İlgili haber >> ABD memurlarına özel sektöre staja gönderiyor

Enerji sektörünün siber güvenliği dendiği zaman, kamu-özel sektörün kuracağı verimli bir işbirliği gerçekten de stratejinin bölünmez bir parçasını oluşturuyor. Nitekim, enerji sektörü kamu aktörleri, yatırımcılar ve iş camiası, teknoloji tedarikçileri, hizmet sağlayıcılar gibi çok paydaşlı bir kitlenin gözbebeği. Hal böyle olunca da, farklı paydaşların zaman zaman da birbiri ile çakışabilecek çıkarlarının uyuşturulması ya da faydanın maksimize edilmesi önemli bir noktayı teşkil ediyor. Öte yandan, enerji altyapılarının sınır tanımayan doğaları, bu işbirliğine uluslararası aktörlerin dahil edilmesini de şart koşuyor.

Avrupa Birliği ve ABD’deki uygulamalara bakıldığında, kamu-özel sektör işbirliği modellerinin siber güvenlik için uygulamaları gündemi epeyce meşgul eden bir konu. Örneğin Temmuz 2016’da Avrupa Komisyonu siber güvenlik için yeni bir işbirliği modeli ortaya koymak istediğini dile getirirken, AR-GE faaliyetlerinin teşvik edilebilmesi ve rekabetçiliğin sağlanması için yaklaşık 450 milyon dolarlık bir yatırım başlattı. Komisyona göre, kamu ve özel sektörün uyumlaştırmasına yönelik bu yatırımlar 2020 yılında 1,8 milyar dolarlık bir getiri sağlayacak.

İlgili haber >> ‘ABD siber ordu için Silikon Vadisi ile çalışıyor’

ABD’deki uygulamalar ise, oldukça geniş bir yelpazede değişmekle beraber, 2009’da faaliyete başlamış Ulusal Siber Güvenlik İletişim ve Entegrasyon Merkezi gibi çatı kurumlar, kamu-özel sektör arasında siber güvenliğe ilişkin köprülerin güçlendirilmesi anlamında önemli görevler üstleniyor. Benzer şekilde, ülkemizdeki uygulaması USOM (Ulusal Siber Olaylara Müdahale Ekipleri) olan ekiplerin koordine edildiği ve bilgi paylaşımının sağlandığı CERT CC (Computer Emergency Response Team Coordination Center) uzmanlar arasındaki faydalı bir bilgi ağı olarak görülüyor.

Yine de altını çizmek gerekir ki, yegâne ve her sektör için geçerli bir kamu-özel sektör işbirliği modeli tanımı ya da uygulaması mevcut değil. Bu işbirliğini tanımlayan ifadeler doğru zamanda, doğru insanları, doğru işler yapmak için bir araya getirmek olarak düşünülebilecekken, kamu-özel sektör işbirliği platformları gerçekten de ulusal siber güvenlik stratejisinin güçlenmesinde oldukça işlevsel. “Peki nereden başlamalıyız” sorusu için önerilebilecek güzel bir okuma ENISA (European Network Information Security Agency)’nin yayınladığı, kamu-özel sektör iş birliği yol haritası kılavuzu olarak örneklendirilebilir. Bu kılavuz, var olan işbirliği modelleri üzerinde çalışmış ve bu bağlamda kamu-özel sektör işbirliği mekanizmalarının yaşadığı sorunları ve bu bağlamdaki çözüm önerilerini yansıtmış. Temel olarak bahsedilecek olunursa, aslında siber güvenlik için doğru bir kamu-özel sektör işbirliği modelinin kurulması sırasıyla beş temel sorunun cevaplanmasıyla mümkün: Bu işbirliğine neden ihtiyacımız var (1), bu işbirliğine kimler dâhil olmalı (2), bu işbirliği nasıl yönetilmeli (3), bu işbirliği hangi temel servisleri sunmalı (4) ve işe ne zaman başlamalıyız (5)?

Siber Güvenlik için Kamu-Özel Sektör İşbirliği Methodolojisi

Neden İhtiyacımız Var? Kimler Dâhil Olmalı? Nasıl Yönetilmeli? Hangi Hizmetler Sunulmalı? Ne Zaman Aksiyon Alınmalı?
Tehditlerin tespit edilmesi Ulusal seviye Yönetimin belirlenmesi Araştırma ve analiz Yukarıdan aşağıya yaklaşım (top-down approach)
Tehditlere karşı savunma Sektör düzeyinde Rollerin ve sorumlulukların belirlenmesi Erken uyarı sistemleri İhtiyaçlar üzerine, tabandan gelen talep (bottom-up approach)
Caydırıcılık Tematik Gelir kaynaklarının yaratılması Farkındalık çalışmaları  
Tehditlere cevap vermek Uluslararası İletişim standartlarının belirlenmesi Eğitim ve uygulamalar  
İyileşme ve geri dönüş süreci Bölgesel   Kullanıcı yol haritaları  

 

Her ne kadar doğru soruları sormak ve sistematik bir çalışma yapmak kamu-özel sektör işbirliği modellerinin kurulmasında oldukça faydalı da olsa, bir takım engellerin de aşılması şart görünüyor. Öncelikle meselenin birden fazla paydaşı kapsaması, taraflar arasında güven eksikliğini ortaya çıkarırken bu güvensizlik bilgi paylaşımının ve aksiyon alım sürecinin de önünü tıkamış oluyor.

İkincisi, böyle bir işbirliği modelinin kazan-kazan felsefesine dayandırılması yani tüm paydaşlar açısından ölçülebilir faydalar sağlaması farklı çıkarların uyuşturulması açısından şart. Eylem planlarının muhakkak ortak olarak geliştirilmesi gerekirken, hemen hemen her konuda olduğu gibi üst yönetimin desteği bu platformların yaşaması ve sürdürülebilir olmasında hemen hemen belirleyici faktör olarak öne çıkıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

 

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Başa dön tuşu
%d blogcu bunu beğendi: