2019 Yılı Siber Güvenlik Durum Değerlendirmesi
2019 Yılı Siber Güvenlik Durum Değerlendirmesi
2019 yılının son ayındayız! Siber güvenlik ve savunma açısından bu yılı genel olarak değerlendirdiğimde; önemli bir noktaya geldiğimiz, önemli adımlar attığımız, pek çok konuda çalışmalar yaptığımız ve yapmaya devam ettiğimiz ortadadır. Hackleme haberlerindeki artış, fidye yazılımlarından olumsuz etkilenme, kurumlarımıza yapılan saldırıların son dönemde yoğunlaşması ve buna karşı gösterilen reaksiyonlarda yavaşlık daha yapılacak olan çok iş olduğunu bizlere göstermektedir.
İstisnasız bu yılın en önemli gelişmesi, CBDDO’da siber güvenlik biriminin artık resmi olarak kurulması ve sorumluluğu üzerine almasıdır. 5 Temmuz 2019’da yayımlanan Cumhurbaşkanlığı “Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi” ile bu birimin sorumluluğu almasına yönelik ilk adımlar atılmış olsa da gelecekte ülke siber savunmasının güçlendirilmesinde bu yapının daha etkili olacağı açıktır. Fakat, genelge yayımlandıktan sonra kurumlarımızın bunu sahiplenmesi ve uygulaması konusunda gereken hızı gösteremedikleri veya yavaş davrandıkları görülmektedir. Yayımlanacak olan rehberin bu açığı kısa sürede kapatacağı değerlendirilse de bu genelgenin ruhunu veya felsefesini çok iyi anlamak, gereken adımları atmak ve sonuçta topyekûn mücadele etmek gereklidir.
Bununla birlikte, Ulusal Siber Güvenlik Stratejisi (2016-2019) Eylem Planı sona eriyor, yapılan pek çok çalışma olsa da sonuç olarak beklenen veya hedeflenen düzeyde olmadığımızı değerlendiriyorum. Yeni eylem planı çalışmaları yapılacağına dair duyumlar var ama somut bir çalışma henüz ortada yoktur.
Kişisel verilerimizi korumada KVKK önemli bir gelişmedir. Bu kapsamda pek çok çalışma yapılmaktadır. Gelinen noktaya bakıldığında, KVKK’ya yapılan şikâyetler ve 2019 yılında alınan 22 kurul kararı göz önünde bulundurulursa, toplumsal veya ulusal olarak kişisel verilerimize sahip çıkmadığımız ortadadır. Kişisel verilere sahip çıkılmaması kadar, bu verileri barındıran, kullanan veya işleyen kurumlarında bu konuda hassas davranmadıkları da kesilen cezalardan (20.000 - 1.450.000 TL), karar verilen konulardan (kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj gönderme, cep telefonu numarasını veriliş amacı dışında kullanma, cep telefonu numarasını herhangi bir veri işleme şartına dayanmadan işleme ve reklam/bilgilendirme amaçlı arama, kişiye ait telefon numarasına kendisine ait olmayan içerik gönderme, kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep etme, kişinin cep telefonuna reklam amaçlı kısa mesaj gönderme, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapma, kişinin açık rızası olmadan elektronik ticaret iletisi gönderme, kişiye aynı konu ile ilgili birden çok mesaj gönderme, veri ihlal bildirimi hakkında bilgilendirme yapmama, kişinin kendisi ve ailesine ait kişisel bilgilere hukuk dışı yollarla erişerek rızası dışında yargıya ve üçüncü kişilere aktarma, bir yazılım uygulaması üzerinden veri ihlali gerçekleştirme) anlaşılmaktadır. KVKK yaptırımları caydırıcı olsa da teknolojinin geldiği nokta değerlendirildiğinde kişisel verilerimize sahip çıkacak olanların bizler olduğu unutulmamalıdır. Kamuoyunda bu konuda farkındalığın artmaya başladığı, yapılan ihlaller ile ilgili şikâyetlerin hızla artmasının bunun iyi bir göstergesi olduğu görülse de bu konunun önemi ve kapsamı kamuoyuna daha iyi anlatılmalıdır. Ulusal güvenliği sağlamanın yolunun kişisel verileri korumadan geçtiği de unutulmamalıdır.
Burada önemli gördüğüm bir diğer husus ise ülke siber güvenlik ve savunma ekosisteminin geliştirilmesidir. Bu ekosistemde; kurumlar, şirketler ve üniversiteler önemli mihenk taşlarıdır. Burada en önemli görev üniversitelerindir. Üniversitelerimizin bu konuda öncü rol üstlenmesinin, bu gelişmenin dinamiğini oluşturacak yapılar kurmasının ve en önemlisi bu alanda yeni fikir, proje, tez, çalışma, makale ve patent üretme de öncü rol oynamasının tam zamanıdır.
Bu sayımızda; siber suçluların işini kolaylaştıran hususlara, mobil bankacılık saldırılarına, şirketlerin iş sürekliliğini aksatan konulara, işletmelerin siber güvenliği için önemli ipuçlarına, akıllı cihazlara yapılan saldırılara, siber korsanların en çok saldırı yaptığı sağlık sektörüne, teknoloji şirketlerinde uygulanması gereken siber güvenlik yaklaşımlarına, kurumsal bilgi güvenliğinde yeni yıl öngörülerine, BGD’nin "siber güvenlik" uyarısına, siber güvenlik alanında yapılan işbirliği anlaşmasına, beyaz siber korsanların toplantısına ve yayımlanan yeni siber tehdit durum raporuna yer verdik.
Mutlu ve güvenli yıllar!
CyberMag Dergisi Editörü
Prof. Dr. Şeref Sağıroğlu