HAVELSAN'dan Cumhurbaşkanlığı “Bilgi ve İletişim Güvenliği Tedbirleri” Genelgesine İlişkin Değerlendirme
HAVELSAN'dan Cumhurbaşkanlığı “Bilgi ve İletişim Güvenliği Tedbirleri” Genelgesine İlişkin Değerlendirme
Dr. Tacettin Köprülü, HAVELSAN Genel Müdür Danışmanı
Bilgi ve İletişim Güvenliği Tedbirleri konusundaki 2019/12 sayılı Cumhurbaşkanlığı Genelgesi, 6 Temmuz 2019 tarihli ve 30823 sayılı Resmi Gazete’de yayımlanmıştır. Genelge kapsamında sayısal ortamdaki güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla alınması öngörülen tedbirler 21 madde şeklinde bildirilmiştir. Bu tedbirlerin uygulamaya geçirilmesi ile ulusal siber güvenliğimizin sağlanmasında çok önemli bir aşama kaydedilecektir. Bu yazımızda Bilgi ve İletişim Güvenliği Tedbirleri konusundaki 2019/12 sayılı Cumhurbaşkanlığı Genelgesinin kapsamını ve bu Genelge’ye ilişkin değerlendirmemizi sunuyoruz.
Madde 1
Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır.
Bu maddeye göre verilerin yurt içi sunucularda güvenli olarak depolanması ihtiyacı için veri kriptolama ve güvenli bulut bilişim yöntemleri kullanılmalıdır. HAVELSAN bünyesinde yürütülen YSK Seçsis, ASOS, PYBS ile Sağlık Bilişim Grubu tarafından geliştirilmekte olan yazılım projeleri ve Parmak İzi Tanıma Sistemi gibi projelerde, genelge kapsamında değinilen nüfus verileri, sağlık verileri ve biyometrik veriler gibi milli güvenliği ilgilendiren kritik veriler işlenmektedir. Bu veriler mahremiyetin korunması için Kişisel Verilerin Korunması Kanunu kapsamında da ele alınmalıdır. HAVELSAN’ın üzerinde çalıştığı güvenli veri depolama çözümlerinin yanı sıra TÜBİTAK BİLGEM tarafından geliştirilen Safir Depo milli ve güvenli bulut nesne depolama uygulaması ile Postgres açık kaynak veritabanı bu amaçla kullanılabilir.
Madde 2
Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları değiştirilmeye karşı önlem alınarak saklanacaktır.
Fiziksel güvenliği sağlanmayan hiçbir sistem ya da alt sistemi güvenli hale getirmek mümkün değildir. Dolayısı ile öncelikli olarak kritik verilerin saklandığı ortamları ve tesislerin fiziksel güvenliğini sağlamak birinci koşuldur. Ancak ağın İnternete kapalı ve fiziksel güvenliğinin sağlanmış olması, bu ağda tutulan kritik verileri siber saldırıların hedefi olmaktan korumak için yeterli değildir. İran’ın nükleer teknoloji geliştirme programını sabote etmek için 2011 senesinde gerçekleştirilen Stuxnet saldırısında, İnternete bağlı olmayan ve fiziksel güvenliği sağlanmış endüstriyel kontrol sistemlerine zararlı yazılım içeren bir USB bellek üzerinden saldırı gerçekleşmiştir.
Güvenli ve güvensiz ağlar arasında yüksek güvenceye sahip güvenli bilgi veya veri değişimi konusu ülkemizde askeri ve enerji altyapıları gibi kritik sistemlerde hala net çözüm bulamamış en önemli konuların başında gelmektedir. Özellikle GİZLİ ağların Tasnif Dışı veya daha düşük güvenlik seviyesine sahip güvenilmeyen ağlara bağlantısında en önemli konu yüksekten düşüğe veri sızması ve düşükten yükseğe zararlı yazılım gibi riskli verilerin aktarılmasının engellenmesidir. Güvenlik duvarı teknolojileri iki farklı ağın standart TCP/IP katmanında birbirleriyle iletişimini destekleyen ancak uygulamanın gerektirdiği içerik kontrolü ve TCP/IP zafiyetlerinden arındırılmamış platformlardır. Dolayısı ile görev kritik sistemlerin dış dünya ile haberleşmesinde istenen bilgi güvencesine sağlayamazlar. Bunun için Bilgi Güvencesi (Information Assurance) ve Güvenli Dosya Transferi (Secure File Transfer) ürün ailesi olarak adlandırılan çözüm ve ürünler geliştirilmiştir. Her ne kadar son dönemde NGFW (Yeni Nesil Güvenlik Duvarı) gibi Deep Packet Inspection (Derinlemesine Paket Analizi) ile paket içeriğine bakabilen ve içerik bazında filtreleme yapabilen teknolojiler geliştirildiyse de bu teknolojiler iki ağın aynı anda TCP/IP protokol katmanları üzerinden birbirleriyle iletişimini sağladıkları için saldırı vektörlerine hala açıktırlar. Ayrıca bu ürünler gelişmiş zararlı yazılım, APT veya 0-gün gibi saldırılardan korunmak için gereken içerik denetimini yapamamaktadırlar. Bunun yerine tek yönlü veya çift yönlü çalışan, ağların birbirine aynı anda bağlanmadığı ve derinlemesine içerik denetimi yapabilen GUARD platformunun milli olarak geliştirilmesi gerekmektedir.
HAVELSAN’ın, MSB güvenlik yönergelerine göre faaliyet göstermekte olan bir savunma sanayii şirketi olması vesilesiyle bu gereksinimlerin uygulanması konusunda önemli bir birikime sahiptir. Bu bağlamda, ilgili kamu kurumlarına güvenilir danışmanlık ve çözüm sunma potansiyeline sahiptir. Genelkurmay Başkanlığı ve TSK için yürüttüğü tüm projelerde Güvenli İntranet ve İnternet ortamlarının tasarlanması, kurulması ve güvenliğinin test edilmesi hizmetlerini sağlarken, şirket politikası olarak İntranet ve İnterneti ayırmış durumdadır. Ayrıca yine askeri bir müşterimiz için geliştirilen ve 16 senedir başarıyla kullanılan ülkemizin ilk yerli ve milli tek yönlü diyot ürünü de bu amaçla kullanılabilecektir.
Kritik verilerin işlendiği erişim kontrollü ağlarda erişim kayıtlarının tutulması ve bu kayıtların değiştirilmesine karşı kuruma özel yöntem ve çözümlerin geliştirilmesini gerektirebilir. Bu alanda 5651 sayılı kanun uyarınca gerekli önlemlerin alınması konusunda HAVELSAN, geliştirmiş olduğu GÖZCÜ – SIEM ürünü ile ilgi maddeye ilişkin tedbirlerin hayata geçirilmesi konusunda kurumların ihtiyaçlarına göre özelleşmiş çözümler sağlayabilmektedir.
Madde 3
Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.
Bulut bilişim, kaynakların etkin kullanılması ve kurumsal bilgiye erişim kolaylığı sebebiyle her geçen gün yaygınlaşmakta ve daha geniş kullanım alanları bulmaktadır. Bulut bilişim altyapılarını kullanmaktan kaçınmak yerine, gerekli seviyede güvenlik önlemlerinin alınması ile doğru şekilde sınıflandırılmış olan verilerin güvenli bir bulut depolama altyapısında sunulabilmesini sağlamak gerekmektedir. Güvenilir özel bulut çözümleri, gerekli kriptografik çözüm bileşenleri ve açık kaynak temelli yerli ve milli ürün geliştirme çalışmaları ile desteklenerek sağlanabilecek bir konudur.
Uçtan Uca Yerli ve Milli 5G Projesi kapsamında HAVELSAN tarafından bulut bilişim platformu geliştirilmektedir. Bu ürün telekom operatörlerinin ağ fonksiyonlarının sanallaştırılması için yüksek erişilebilirlik ve yüksek performans ihtiyaçları göz önünde bulundurularak geliştirilmektedir. Bulut bilişim teknolojisinde hizmet olarak altyapı (Infrastructure as a Service) çözümüne karşılık gelen bu çözüm, hem merkezi (Cloud Computing) hem de dağıtık mimaride (Edge Computing) çalışabilecek ve kamu kurumlarının bilgi teknolojileri altyapısı ihtiyaçlarını karşılayacaktır. Ayrıca SaaS (Software as a Service) olarak sunulabilecek HAVELSAN çözümleri (H-ARF, ASTAR, İletee, Gözcü, Kalkan, Bariyer) sayesinde de bu alandaki tüm ihtiyaçları karşılayacak kapsamlı kamu bulut çözümü oluşturulabilecektir. Ayrıca TÜBİTAK BİLGEM tarafından geliştirilen Safir Depo bir milli ve güvenli bulut nesne depolama uygulaması olup bu ürün kamu kurum kuruluşlarına kurulabilir veya daha da geliştirilebilir.
Madde 4
Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
Gizlilik dereceli veri iletişimi, özel kontrol ve denetim gerektiren ve üst seviye standartlara göre test edilerek belgelendirilmiş donanım/yazılım bütünleşik sistemler üzerinde sağlanabilir. HAVELSAN’ın İLETEE ürünü, gizlilik dereceli veri iletişimi için uygun olmayan ticari donanımlar üzerinde hassas verilerin güvenli şekilde iletilebilmesi için kullanılabilmektedir. HAVELSAN tarafından Uçtan Uca Yerli ve Milli 5G Haberleşme Şebekesi projesi kapsamında geliştirilen Görev Kritik Veri ve Video haberleşme bileşenleri kullanılarak TSK, Emniyet vb. kurumların ihtiyacı olan güvenli iletim altyapısı 5G şebekesi üzerinden hizmet seviyesinde ve yüksek paket önceliği ile sağlanabilir.
Madde 5
Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
Madde 6
Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir.
Kamu kurumları ve kritik veri işleyen özel kuruluşlar da dahil olmak üzere Whatsapp gibi anlık mesajlaşma uygulamaları yaygın biçimde iş maksatlı hatta askeri harekat ortamında bile kullanılmaktadır. Her ne kadar “Tasnif Dışı” olarak nitelendirilen konular bu platformlar üzerinde paylaşılsa da, ticari hassas veya Gizli bilgilerin de çoğu durumda paylaşılabildiği bir gerçektir.
Sosyal Ağ ya da Sosyal Medya kavramı ilk olarak 1954 yılında John Arundel Barnes tarafından, insanların etrafındaki kişilerle olan ilişkilerini tanımlamak amacıyla bilimsel bir konteks bağlamında kullanılmıştır. 2004 yılında Facebook sayesinde hayatımıza giren sosyal ağlar, insanlara elektronik ortamda ilişki ve iletişim kurma imkânı sağlamaktadır. Facebook, WhatsApp, Twitter, Instagram, LinkedIn ve Youtube en bilinen örneklerdir.
No Sosyal Ağ Platformu Paylaşılan Medya Kullanıcı Sayısı
1 Facebook Fotoğraf, mesaj, metin, video 2.38 Milyar
2 WhatsApp Fotoğraf, mesaj, metin, video 1.5 Milyar
3 Youtube Video 1.3 Milyar
4 Instagram Fotoğraf 1 Milyar
5 Twitter 140 karakterlik metin 321 Milyon
6 LinkedIn Fotoğraf, mesaj, metin, video 260 Milyon
7 Snapchat Fotoğraf ve video klip 190 Milyon
Sosyal ağlar, toplumsal örgütlenme için de önemli bir altyapı sunmaktadır ve dernekler, vakıflar ve siyasal partiler tarafından yaygın olarak kullanılmaktadır. Toplumsal hareketler sosyal medya aracılığı ile organize edilmekte ve büyük toplulukları çeşitli aktiviteler için çok hızlı bir araya getirebilmektedir. Sosyal Medya demek, büyük veri (big data) demektir. Sosyal Medya, Büyük Veri için dünyanın en önemli kaynaklarından biridir. Dünyadaki mevcut verilerin %90'ı son iki yılda toplanmıştır. Bu verilerin %80'i sosyal medya kaynaklarından gelmektedir. Birçok sosyal medya şirketi ve devletler için büyük veriler çok değerli bir varlıktır ve bu veriler üzerinden yapılan analizler çok sayıda iş için büyük önem arz etmektedir.
Sosyal Medya uygulamalarının ülkemizde yerli olarak geliştirmiş birkaç üreticisi olmasına karşın hala yurt dışı menşeli uygulamalar neredeyse yurt içi pazarın tamamına sahiptir. Bunun özendirilmesi için uygun teşvik yöntemlerine ihtiyaç vardır. Ayrıca, sosyal medya ve haberleşme uygulamaları üzerinden gizlilik dereceli ya da hassas verilerin paylaşılması konusu da dahil olmak üzere, bu araçların her türlü uygunsuz kullanımını tespit ve analiz için HAVELSAN’ın ASTAR ürün ailesinin kullanılması mümkündür.
Madde 7
Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.
MSB güvenlik yönergelerinde bu konu net bir şekilde tanımlanmış olup bu yönergelerin artık bütün kamu kurumlarına yaygınlaştırılması gerekmektedir. Gizlilik dereceli verilerin işlendiği kamu kurum ve kuruluşlarının TEMPEST ihtiyaçlarına uygun çözümler üretebilmek için TÜBİTAK BİLGEM - TEMPEST Test ve Değerlendirme Laboratuvarı hizmetleri ve HAVELSAN’ın bu konudaki deneyimi öne çıkmaktadır.
Madde 8
Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır.
Madde 9
Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır.
Kritik verilerin yazılı veya sayısal olarak bulunduğu ortamların hem fiziksel hem de elektronik güvenliğinin sağlanması için fotoğraf çekebilen, ses kaydı alabilen mobil cihazlar ile USB bellek, taşınabilir disk gibi veri depolama cihazlarının kullanılmasının yasaklanması bilgi kaçağının engellenmesi için zorunludur. Ayrıca kurumsal hassas ve gizlilik dereceli her türlü veri veya bilginin kişisel cihazlarda depolanması veya işlenmesi büyük risk taşımaktadır. Bu riskleri bertaraf etmenin en öncelikli şartı kurum çalışanlarının güvenlik bilincinin arttırılarak Güvenlik Farkındalık eğitimlerini almalarının sağlanmasıdır. İkinci olarak HAVELSAN Bariyer DLP ürünü gibi veri kaçağı önleme yazılımları ile kurumsal hassas verilerin istenmeyen ortamlara kopyalanmasını veya çıkartılmasını engellemektir.
Madde 10
Kişisel olarak kullanılanlar da dâhil olmak üzere kaynağından emin olunmayan taşınabilir cihazlar (dizüstü bilgisayar, mobil cihazlar, harici bellek/disk, CD/DVD vb.) kurum sistemlerine bağlanmayacaktır. Gizlilik dereceli verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanımsal ve/veya yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek; bu amaçla kullanılan cihazlar kayıt altına alınacaktır.
Cihazlara bağlanan aygıtların sürücü seviyesinde erişim kontrolünü yapan ürünlere ve veri sınıflandırma etiketine göre verinin açık veya kriptolu olarak saklanıp iletilmesine yönelik milli ürünlere ihtiyaç vardır. HAVELSAN BARİYER - DLP ürünü, veri saklayan cihazların güvenlik politikasına göre yetkilendirilerek giren çıkan verinin kontrolünü sağlamaktadır. Veri sızıntısı ve kaçağı önleme sistemleri doğru şekilde sınıflandırılmış verinin hareketlerini denetlemek konusunda çözüm sağlamakla birlikte, veri sınıflandırma ürünleri ile entegre biçimde çalışması gerekmektedir. Veri sınıflandırması konusunda yerli ve milli bir çözüm bulunmaması, bu alanda önemli bir güvenlik ihtiyacı olarak değerlendirilebilir.
Madde 11
Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır.
Milli kripto konusunda TÜBİTAK BİLGEM, Aselsan, ve birkaç firmamız yerli ve milli ürünler geliştirmektedir. Bu konuda gerekli bilgi birikimi ve teknolojiler ülkemizde mevcuttur. HAVELSAN endüstri standardı güvenlik algoritmaları ve yöntemlerini kullanarak güvenli iletişim çözümleri geliştirmeye devam etmektedir. Hali hazırda geliştirilmiş olan İLETEE çözümü bu alana HAVELSAN'ın yerli katkısı olarak nitelendirilebilir. Ancak, bu alanda kullanılacak çözümlere ilişkin standartların belirlenmesi, atılması gereken ilk adımlardandır.
Madde 12
Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır.
Yabancı üreticilerden taahhütname alınması konusu uluslararası yasal yaptırımlara tabi olup bu taahhütnamenin ABD, İsrail menşeli üreticilerden alınabileceği soru işaretidir. Yerli üreticilerin bu taahhütnameyi vermesi beklenebilir ama yine de akreditasyon – sertifikasyon mekanizması kurmadan bu mekanizmayı çalıştırmak zordur. Bu alanda kamu kurumlarında kullanılacak yazılım ve donanım sistemleri için bir akreditasyon merkezine ihtiyaç bulunmaktadır. Konuya ilişkin olarak Türkiye Siber Güvenlik Kümelenmesi, TR-Test ve Türk Standartları Enstitüsü gibi kurumlarla siber güvenlik ile ilişkili tedarik edilecek tüm ürün, çözüm, teknoloji, sistem ve alt sistem bileşeni için bir akreditasyon – sertifikasyon mekanizması oluşturulması önerilmektedir. Açık kaynak koda sahip yazılımların yanı sıra kaynak kodu olmayan yazılımların da binary kod analizini yapabilecek test sistemlerine ihtiyaç vardır. Aynı şekilde donanımlardaki ASIC ve FPGA tümleşik devrelerdeki olası Truva atlarını tespit eden test sistemlerinin geliştirilmesi şarttır.
Madde 13
Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacaktır. Temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacaktır.
Geliştirilen yazılımların Güvenli Yazılım Geliştirme yaşam döngüsü içerisinde üretilmiş olması, yazılım kaynaklı oluşabilecek güvenlik zafiyetlerinin öngörülerek ve bu zafiyetlerden arındırılmış biçimde geliştirilmesi için en önemli olgudur. Geliştirilen yazılımlar üzerinde geliştirme aşamasında belirli aralıklarla kaynak kod analizleri gerçekleştirilmesi ve kullanıma alınacak nihai yazılım ürününün hem kaynak kod analizi hem de uygulama sızma testi gerçekleştirilerek güvenlik gereksinimlerinin sağlaması büyük önem arz etmektedir. HAVELSAN, TS 13638 esasları uyarınca A Yeterlilik seviyesinde sızma testi hizmeti veren bir firma olarak uygulama güvenliği analiz ve test ekibi ile hem gereksinim duyulacak eğitim ve testleri müşterilerine sağlayabilmekte, hem de kendi geliştirmekte olduğu iç yazılım projelerinde bu yetkinlik seviyesinde güvenlik testleri yapabilmektedir.
Madde 14
Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacaktır.
Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” 20 Haziran 2013 tarihinde kabul edilmiş ve Bakanlar Kurulu Kararı olarak yayımlanmıştır. Eylem planı kapsamında temel görevi koordinasyon ve işbirliği olan Ulusal Siber Olaylara Müdahale Merkezi (USOM) 27 Mayıs 2013 tarihinde kurulmuş, faaliyetlerine başlamıştır. Kamu kurum ve kuruluşları ile kritik altyapı sektörlerinin kurumsal ve sektörel Siber Olaylara Müdahale Ekibi oluşturması ve bu ekiplerin Ulusal Siber Olaylara Müdahale Merkezi ile işbirliği içinde çalışması öngörülmüştür. HAVELSAN, 23 Mart 2016 tarihinde hizmete açılan Siber Savunma Teknoloji Merkezi bünyesinde kamu kurum ve kuruluşları ile kritik altyapı sektörleri için Siber Güvenlik Operasyon Merkezi ile siber olay izleme, analiz ve müdahale hizmetleri sunmaktadır. Ayrıca ilgili kurumlar için SOME kurulum ve işletim danışmanlığı ile USOM veya başka kaynaklardan bildirilen tüm tehdit bildirimleri ve kurumlarda gerçekleşen olayların USOM’a raporlanması da dahil olmak üzere tüm SOME teknik faaliyetlerine ilişkin desteklerini hizmet olarak sağlamaktadır.
Madde 15
Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak yapılması sağlanacaktır.
Bilgi ve iletişim sistem altyapıları kapsamında yetkilendirme, güvenliğin temel ilkeleri kapsamında bilmesi gereken prensibi ile ve mümkün olan en az yetki seviyesinde yapılmalıdır. Bu konu, MSB güvenlik yönergelerinden de aşina olunan bir konudur. Diğer taraftan, aşırı güvenlik uygulama ve kontrollerinin getireceği önemli bir yük olacağından "single sign on" gibi işleri kolaylaştırıcı özelliklere ihtiyaç olacaktır. Siber saldırı zincirinin önemli aşamaları olan yetkili hesap ele geçirme ve yetki yükseltme aşamalarında saldırının tespit ve engellenmesini sağlamak için yetkili hesap yönetimi ve erişim güvenliği çözümleri kullanımı yaygınlaşmaktadır. Merkezi/güvenli erişim ve kontrol yapılarının önümüzdeki dönemde önem kazanacağı düşünülmektedir. ERP ve birçok bilgi sisteminde yetkilendirmenin kişinin rolü ve görevine uygun olarak yapılması zahmetli bir süreci içerir ve değişen roller ve görevler nedeniyle bakımı da zordur. Bunun için rol bazlı yetkilendirme çözümünün geliştirilerek ERP, bilgi sistemleri ve etki alanı hizmetleri için sağlanması yanlış yetkilendirmeden doğacak riskleri azaltacaktır.
Madde 16
Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise gerekli güvenlik önlemleri (güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb.) alınacaktır.
Bugün gelişmiş ülkelerin hepsinde elektrik altyapısı, telekom ile birlikte en önemli ulusal kritik altyapı olarak sayılmakta ve bir çok kamu ve altyapı hizmeti elektrik ve telekoma bağımlıdır.
Siber Güvenlik ürünlerinde bugünün dünyasında büyük çapta ABD ve İsrail kaynaklı ürünlerin tekeli mevcuttur. Burada kurumlar/enterprise seviyesinden taşıyıcı/carrier seviyesine doğru ilerledikçe bu tekel daha da sertleşmekte, neredeyse hiçbir alternatif bulunmamaktadır. Oysa günlük hayatımızdaki iş ve süreçler hızla Internet üzerine taşınmakta, bununla birlikte siber suçlar, siber casusluk ve siber savaş da hızla yaygınlaşmaktadır. Bunun en güzel örneği 2010 senesinde İran'ın nükleer programını sabote etmek amacıyla, Siemens'in kontrol sistemi kullanılarak yapılan Stuxnet saldırısı olup İran'ın Natanz'daki uranyum zenginleştirme programı sabote edilmiş ve 1.000 kadar sentrifuj kontrol dışı bırakılmıştır.
Nasıl siber güvenlik teknolojisinde ve pazarında belli başlı ülkeler tekel durumundaysa, endüstriyel kontrol sistemleri ve otomasyan teknolojilerinde de aynı durum söz konusudur. Siemens, General Electric, ABB, ALSTOM ve Schneider Electric gibi global pazara hakim firmalar bazı ülkelerde neredeyse tekel durumuna gelmişlerdir. Ülkemizde enerji otomasyonu konusunda milli ürünlerin geliştirilmesini teşvik eden unsurlar ve koşullar bugüne kadar oluşmadığı için ulusal pazarın büyük bir kısmı yabancı firmalar tarafından ele geçirilmiştir. Ancak en çok siber güvenlik açığı da yine tekelleşme yolundaki global firmaların ürünlerinde tespit edilmektedir. Siber Güvenlik açısından kritik altyapıların başında gelen enerji sistemlerini siber tehditlerden korumak üzere tüm dünyada yoğun çalışmalar ve önemli ölçüde yatırımlar yapılmaktadır.
26.12.2014 tarihli ve 29217 sayılı Resmi Gazete'de yayımlanan değişikliklerle, Enerji Piyasası Düzenleme Kurumu (EPDK), Elektrik, Doğalgaz, Petrol Piyasası'ndaki firmalar için ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesine sahip olmayı zorunlu hale getirmiştir. 24 Şubat 2017 tarihli ve 29989 sayılı Resmi Gazetede yayımlanan yönetmelik değişikliği ile TS ISO/IEC 27001 belgesinin yanında ISO/IEC TR 27019 Bilgi teknolojisi - Güvenlik teknikleri - Enerji hizmet endüstrisine özgü proses kontrol sistemleri için ISO/IEC 27002'ye dayalı bilgi güvenliği yönetim kuralları rehber dokümanını da da referans almaları zorunluluğu getirilmiştir.
Genelgenin bu maddesi Endüstriyel kontrol sistemlerinin İnternet’ten gelebilecek saldırılara karşı korumayı hedeflemektedir. İlave önlemler olarak aşağıdaki esasların uygulanması önerilmektedir.
- Tedarik edilecek kontrol sistemlerinin mümkünse kaynak kodunun tedarikçi firma tarafından verilmesinin sağlanması
- Teknoloji tedarikçisinin ürün güvenlik sertifikasyonlarının talep edilmesi
- Tedarik edilen sistemlerin siber güvenlik altyapısının akredite yerli güvenlik danışman şirketleri tarafından tasarlanması ve test edilmesi
- The Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) ve diğer siteler tarafından yayınlanan zafiyet ve saldırıların takip edilerek gereken yama ve önlemlerin zamanında alınması
- Enerji Şirketine ait bilişim ve otomasyon-kontrol sistemlerinin periyodik güvenlik testlerinin bu konuda uzman yerli şirketlere yaptırılması.
HAVELSAN tarafından ARGE çalışmaları yürütülen EKS Tehdit Algılama Sistemi, endüstriyel kontrol ağlarında gerçekleşen normal dışı ağ trafiklerinin analiz edilmesini ve tehditlerin farkına varılmasını sağlayacak bir çözüm oluşturmayı hedeflemektedir.
Madde 18 , Madde 19
Kamu e-posta sistemlerinin ayarları güvenli olacak biçimde yapılandırılacak, e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.
Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacaktır.
Kamu kurum ve kuruluşları bünyesindeki haberleşme ihtiyaçlarının önemli bir kısmı kurumsal e-posta sistemleri üzerinden gerçekleştirilmektedir. İlgili kurumların yurtdışından tedarik ettikleri e-posta servisleri yerine, yerli veya açık kaynak e-posta sistemleri ile değiştirmeleri, ilgili sistemleri sürdürmeleri maliyetli olarak görülecek ise gerekirse yerli sunucularda konuşlandırılacak e-posta hizmeti sunularak kullanmaları verimli olacaktır. Kurumsal e-posta sistemleri konusunda yerli ve milli çözüm ihtiyacına ilişkin TÜBİTAK BİLGEM tarafından geliştirilmiş olan kurumsal posta sistemi Kurumnet’in en kısa sürede yaygınlaştırılmasına başlanarak güvenli e-posta hizmetinin kamuya sağlanması önerilmektedir.
Kişisel e-posta hizmetleri üzerinden kurumsal verilerin sızdırılmasını engellemeye yönelik veri kaçağı önleme çözümü de geliştirilmelidir. Ayrıca kurumsal e-posta adreslerinin şahsi amaçlar veya siber suçlular için kullanılmasını tespit etmeye yönelik istihbarat veya Darkweb taramaları düzenli olarak yapılmalıdır. Kurumsal e-posta sistemlerinin yaygın olarak internet üzerinden erişime açık olan ve en çok saldırı aldığı örün tabanlı arayüzlerinin güvenliğinin sağlanması için HAVELSAN KALKAN ürünü kullanılmaktadır. Bu ürün vasıtasıyla uygulama katmanında gerçekleştirilen saldırıları engellemenin yanı sıra sunucular arasında yük dengeleme, yedeklilik yapılandırması ile hizmet sürekliliğinin sağlanması ve ağ trafiğinin şifrelenmesi gibi teknik özellikler sağlanabilmektedir. HAVELSAN tarafından sağlanan zafiyet denetimi ve sızma testi hizmetlerinin beraberinde güvenlik yapılandırma denetimi ve güvenlik sıkılaştırma danışmanlığı gibi hizmetler ile e-posta sistemleri dahil olmak üzere tüm bilgi ve iletişim altyapılarındaki güvenlik zafiyetlerinin tespiti ve giderilmesine yönelik çözümler sunabilmektedir.
Madde 20, Madde 21
Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de internet değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.
İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacaktır. Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır.
İlgi maddeler, haberleşme hizmeti sağlamak üzere yetkilendirilmiş servis sağlayıcıların kamu kurum ve kuruluşlarının haberleşme ihtiyaçlarının sağlanması konusunda alması gereken ek önlemleri bildirmektedir.
Özellikle Ukrayna – Rusya siber savaşı sonrasında ülkelerin haberleşme ihtiyaçlarının ülke sınırları içerisinde sağlanabilmesi konusu dünya gündemine oturmuş, bu alanda gelebilecek karşı saldırılara karşı Rusya’da internetin dünyaya kapatılması konusunda gerçekleştirilen tatbikatlar ile bu konunun gelecekte beklenen siber saldırıların kritiklik seviyesi konusunda tüm ülkelerde bir farkındalık oluşturmuştur.
İletişim hatlarında fiziksel araya girme ve pasif dinleme gibi saldırılara karşı en korumalı yöntem olarak değerlendirilen fiber optik haberleşme altyapılarının kullanımı ve kritik veri iletişiminin güvenliğini sağlamak için milli kripto sistemlerinin kullanımı genelgenin ilgi maddeleri uyarınca zorunlu tutulmuştur.
Sonuç
6 Temmuz 2019 tarihli ve 30823 sayılı Resmi Gazete’de yayımlanan “Bilgi ve İletişim Güvenliği Tedbirleri” konusundaki 2019/12 sayılı Cumhurbaşkanlığı Genelgesi, ulusal siber güvenlik yapılanmasında yakın gelecekte bir revizyon ile daha güçlü bir oluşum ve denetim mekanizmalarının kurulacağını işaret etmektedir. HAVELSAN sahip olduğu uzmanlık ve deneyimi, GÖZCÜ, KALKAN, BARİYER, H-ARF, ASTAR, İLETEE, PARDUS ve Uçtan Uca Yerli ve Milli 5G Projesi gibi ürün ve projeleri ile ulusal güvenliği etkileyecek kritik bilgi ve iletişim altyapılarına güvenilir ve güvenli çözümler sunmaya her zaman hazırdır.