12. 10 BAŞKANDAN
12 EDİTÖR
14 GÜNCEL
Sektör ile ilgili kısa haberler
24 KÖŞE / Hayata Bakış
“Gücün anahtarları”
KAPAK KONUSU
26 Kritik tesislerde siber güvenlik
32 Çin ve siber ordusu
36 İşletmeler, güvenlik ihlali yüzünden
neredeyse yarım milyon ABD doları
kaybediyor
FOKUS
38 Kritik altyapıların güvenliği ve
korunması
46 Kritik tesis güvenliğinde ihmal
uluslararası kaos yaratır
52 Kritik tesis ve altyapılarına
yönelik tehditler
SEKTÖRDEN
54 “Güvenlik sektöründe sertifikalandırma
zaruri bir ihtiyaçtır”
56 “Türkiye’de üreticiler desteklenmiyor”
58 “Türkiye’de güvenlik sektörü hızla
büyüyor”
ELEKTRONİK GÜVENLİK
60 Awaza Kongre Merkezi Projesi
64 Autdome IP kamera ailesi ile detaylara
odaklanın
26 60
i çindekiler
38
13. BİNA OTOMASYONU
66 Bina otomasyon sistemleri binanın
beş duyusudur
68 Artan konfor, güvenlik ve enerji
verimliliği
GÜVENLİK HİZMETİ
70 Enine boyuna güvenlik 2
74 Para ve kıymetli eşya taşıma
faaliyetlerinde görev alan özel güvenlik
çalışanlarının iç atakta cezai
ve hukuki sorumlulukları(1)
78 Drone insansız hava araçları
YANGIN GÜVENLİĞİ
82 Hastanelerde yangın güvenliği
86 14.6 Metre yüksekliğindeki depo
alanlarında ESFR 25 Model
Sprınkler uygulaması
88 Mimik Panel
90 Yangın algılamada konvansiyonel
sistemler
92 Yıllık Kapak ve
Fokus konuları
93 ABONE FORMU
94 Reklam İndeksi
68
KASIM 2015 Özel Güvenlik Federasyonu adına
imtiyaz sahibi
O. Oryal ÜNVER
Yürütme Kurulu
O. Oryal ÜNVER
İsmail UZELLİ
Murat KÖSEREİSOĞLU
Yusuf Vehbi DALDA
Genel Yayın Yönetmeni
Devrim BOZKURT
devrim@guvenlik-yonetimi.com
Yazı İşleri Müdürü
Yeşim ÖZDEMİR
yesim@guvenlik-yonetimi.com
Danışma Kurulu
Alp SAUL
Arzu YÜKSEL
Doç. Dr. Gazi UÇKUN
Füsun KOCAMAN
Gültekin FİŞEK
Hakan ÖZALP
İsmail UZELLİ
Murat KÖSEREİSOĞLU
Okyay ŞENTÜRK
O. Oryal ÜNVER
Osman Levent CELASUN
Prof. Abdurrahman KILIÇ
Taner ALBAYRAK
Yusuf Vehbi DALDA
Grafik Tasarım ve Baskıya hazırlık
Derya BOZKURT
derya@guvenlik-yonetimi.com
Yayın Türü
Yerel Süreli Yayın
Ayda bir yayınlanır.
Yönetim Adresi
Arkhe Tanıtım Hizmetleri
Perpa Ticaret Merkezi B Blok Kat: 11 No:1963
Okmeydanı / Şişli / İstanbul
Tel: (212) 210 54 45
Tel: (533) 413 78 08
Baskı
VERİTAS BASIM MERKEZİ
Tel: 444 1 303
Özel Güvenlik Sektörünün sesi Güvenlik Yönetimi Dergisi, sektörü
bilgilendirme amacıyla hazırlanmıştır. Bu dergide yer alan her türlü
haber, bilgi ve yorumlar; güvenilir olduğuna inanılan kaynaklar
tarafından hazırlanmış araştırma raporları, değerlendirmeler, atıflar,
çeviriler ve istatistikî verilerden derlenmiştir. Dergide yer alan tüm
reklamların sorumluluğu firmalara, yazılardaki ve söyleşilerdeki
görüşler sahibine aittir.
Dergide yer alan yazılar izin alınmadan ve kaynak gösterilmeden
hiçbir şekilde kullanılamaz.
tanıtım hizmetleri
Perpa Ticaret Merk. B Blok Kat: 11 No: 1963 Okmeydanı / Şişli / İstanbul
Tel: (212) 210 54 45 Faks: (212) 210 54 45 Gsm: (533) 413 78 08
GüvenlikYönetimi
ÖZEL GÜVENLİK SEKTÖRÜNÜN SESİ AYDA BİR YAYINLANIR
74
14. 10 n GüvenlikYönetimi Kasım 2015
BAŞKAN
t
Değerli okurlarımız;
Türkiye Özel Güvenlik Hizmetleri Sektör Meclisi; özel güvenlik sektörünün
gelişmesini teşvik etmek, sorunlarını incelemek ve bu konuda alınacak önlemleri
tespit etmek amacıyla T.O.B.B bünyesinde yasal olarak teşkil edilmiş sektör
meclislerinden birisidir.
Türkiye Özel Güvenlik Hizmetleri Sektör Meclisi’nin üyeleri; özel güvenlik
hizmet sektöründe faaliyet gösteren derneklerin temsilcilerinden, özel güvenlik
şirketlerinin genel müdürleri veya muadillerinden oluşmaktadır. Mecliste ayrıca
Emniyet Genel Müdürlüğü ve Jandarma Genel Komutanlığı temsilcileri de görev
yapmaktadır. Sektör meclisi yılda en az dört kez toplanmaktadır.
Türkiye Özel Güvenlik Hizmetleri Sektör Meclisinin başlıca görevleri;
• Özel güvenlik hizmetleri sektörüne ilişkin sorunları ve çözüm önerilerini
tespit etmek,
• Özel güvenlik hizmetleri sektör raporları hazırlamak, geleceğe yönelik
projeksiyonlar yapmak ve sektörün politika ve stratejilerini oluşturmak,
• Özel güvenlik hizmetleri sektörünün gelişmesini teşvik etmek üzere
sempozyum, panel, kongre ve benzeri etkinliklerin yapılmasını sağlamak,
• Özel güvenlik hizmetleri sektörünün uluslararası rekabet şartlarına uyum
sağlayabilmesi için gerekli teknik ve bilgi alt yapısı ile ilgili çalışmalarda
bulunmak,
• Özel güvenlik hizmetleri sektörünün rekabet gücünü arttırmak,
• Uluslararası özel güvenlik hizmetleri sektöründeki sivil toplum kuruluşları ile
irtibatı sağlamak ve işbirliği tesis etmek,
• Pazar veya piyasa araştırmalarına ışık tutacak Türkiye Özel Güvenlik
Hizmetleri Sektörü Raporlarını hazırlamak,
• Uluslararası fuar, kongre ve seminerleri takip ederek bu etkinliklere katılmak,
• Gerektiğinde hükümet yetkilileri ve ilgili bürokratlar ile görüşmeler yapmak,
• Özel güvenlik hizmetleri sektörü ile ilgili görüş istendiğinde görüş oluşturmak,
• Özel güvenlik hizmetleri sektörüne ait kanun, tüzük, yönetmelik gibi mevzuat
değişiklikleri hakkında görüş oluşturmak veya ilgili mevzuatın değiştirilmesi
hususunda çalışmalar yapmaktır.
T.O.B.B Türkiye Özel Güvenlik Hizmetleri Sektör Meclisi Başkanlık görevini
Hasan Gazi Özer yürütmektedir; başkan yardımcılığı görevini ise şahsım
yürütmektedir.
Güvenlik kaygısı olmayan bir gelecek için…
Özel güvenlik sektörünün önde gelen sivil
toplum kuruluşu; T.O.B.B Türkiye Özel
Güvenlik Hizmetleri Sektör Meclisi Başkanlığı
O. Oryal ÜNVER
ÖGF (Özel Güvenlik Federasyonu)
Yönetim Kurulu Başkanı
Türkiye Özel
Güvenlik Hizmetleri
Sektör Meclisi; özel
güvenlik sektörünün
gelişmesini teşvik etmek,
sorunlarını incelemek
ve bu konuda alınacak
önlemleri tespit etmek
amacıyla T.O.B.B
bünyesinde yasal olarak
teşkil edilmiş sektör
meclislerinden
birisidir.
15.
16. 12 n GüvenlikYönetimi Kasım 2015
EDİTÖR
Devrim BOZKURT
devrim@guvenlik-yonetimi.com
sSiber güvenlik birçok farklı kavramı kapsarken aynı zamanda farklı hedef
kitleleri için farklı anlamlara gelir. Bilgi toplumu olma yolunda çaba sarf
eden Türkiye, gerekli altyapıyı kurarak ve önlemleri alarak siber uzayın
güvenliğini, kritik altyapıların dayanaklılığını ve koruma sürekliliğini
sağlamalıdır. Bilişim çağını yaşayan dünyamızda bilgi teknolojilerinin
ve sistemlerinin hızlı bir gelişim ve değişim göstermesi bu alandaki bilgi
dolaşımını ve paylaşımını artırdığı gibi bireylerin ve kurumların yanında
ülkelerin, askeri, ekonomik, teknolojik ve kritik altyapılarına karşı siber
saldırıların artmasına da yol açtı. Bu saldırılara engel olabilecek veya karşı
koyabilecek çalışmalara ve planlamalara duyulan ihtiyaç günümüzde büyük
önem taşıyor. Uluslararası savaşlar artık siber ortamda gerçekleşmekte ve
bilgisayarlar etki altına alınarak ülke ve kişilere ait bilgiler, bir tehdit unsuru
olarak kullanılmaktadır. Siber güvenlik, internetin üzerinde var olduğu fiziksel
altyapıya karşı gelebilecek tehditlerden ibaretken sonraları zararlı kodlar
ve virüslerin üretilmesi ve yaygınlaşmasıyla tehlikenin düzeyi de artmaya
başlamıştır. Siber güvenlik, 21. yüzyılda ulusal güvenliğin en yeni sorunu
olarak, sınırları tanımlanamayacak kadar geniş ve bir o kadar da karmaşık bir
alana dönüşmüştür. Siber savaş, uluslararası ilişkilerde bilgisayar ve iletişim
teknolojisini saldırı ve savunma amaçlı olarak kullanmaktadır.
Bu sayıda fokus konumuz ise “Kritik Tesis Güvenliği”. Kritik tesisler, güvenliği
olması gerektiği şekilde sağlanamadığında sosyal ve ekonomik yaşama
ciddi zarar verebilecek hale dönüşebiliyor. Kritik tesislerde oluşabilecek
tehditler, insan kaynaklı olabildiği gibi doğa kaynaklı da olabiliyor. Avrupa
ülkelerinde kritik tesislerin güvenlik ve korunma işlemleri; devlet yetkilileri ve
özel güvenlik şirketleri tarafından sağlanıyor ve temsilcilerini kapsıyor. Yine
Avrupa Birliği, kritik altyapı koruması inisiyatifi çalışmalarına başladı. Öte
yandan özel güvenlik şirketlerinin genellikle risk değerlendirmesi konusunda
derin bilgileri ve uzmanlıkları var. İlgili işletmelerle bu bilgi ve uzmanlık
paylaşılmalı ve onları böyle bir değerlendirmenin gereğine inandırarak
rehberlik etmelidirler. Fokus konumuzla ilgili gerek bu tesislerin önemine
ilişkin değerlendirmeler ve AB’nin konuya dair izlediği politikalar hakkında
önemli yazılarımız mevcut.
Sektörden sayfalarımızın bu sayıda üç konuğu var; Nemesis Alarmsis A.Ş.
Kurumsal Satış Müdürü Gürol Topçu, Vatan Kablo Onursal Kurucu
Başkan’ı Hikmet Akın ve Gemos Presentation PSIM Uluslararası Satış
Koordinatörü Fedja Vehabovic. Sektörde yaşanılan sorunlar ve çözüm
önerilerinin yanı sıra birçok önemli konuya ilişkin değerlendirmelerin yer
aldığı röportajları da aynı şekilde keyifle okuyacağınızı tahmin ediyorum.
Elektronik güvenlik, güvenlik hizmeti, bina otomasyonu ve yangın
güvenliği disiplin başlıklarımız da yine ilginizi çekecek teknik yazılar ve
makalelerle dolu…
Güvenli günler dileğiyle…
Devrim BOZKURT
Siber güvenlik,
21. yüzyılda ulusal
güvenliğin en yeni
sorunu olarak, sınırları
tanımlanamayacak
kadar geniş ve
bir o kadar da
karmaşık bir alana
dönüşmüştür.
Siber güvenlik
17.
18. 14 n GüvenlikYönetimi Kasım 2015
GÜNCEL
Securitas Türkiye Başlama Vuruşu
Toplantısı bu sene 23-25 Ekim 2015
tarihleri arasında; Antalya Papillon
Zeugma Hotel’de gerçekleştirildi.
Securitas Türkiye idari kadrosunun
katılımcı olarak yer aldığı toplantının
teması “Değişime Yolculuk” oldu.
Securitas Türkiye 2020’ye değişim
yolcularıyla hazır
Bu yolculuğun ana bileşenleri ise
“verimli, sürdürülebilir ve farklı”
temalarıydı.
2015 yılının değerlendirilip; 2016
yılı hedeflerinin ele alındığı üç
günlük toplantının ilk günü 2015
senesi değerlendirilerek; senenin ka-
panışı gerçekleştirildi. Toplantının
ikinci gününde ise takım oyunu ile
planlama ve strateji üzerine keyifli
çalışmalar gerçekleştirildi. Securitas
Grup’un 2020 vizyonundan yola
çıkılarak hazırlanan 2016-2020
Securitas Türkiye yol haritasının
ortaya konulduğu sunumlarda;
teknoloji, insan ve bilgi üzerinde
duruldu. Başlama vuruşu toplan-
tısının son günü Securitas Türkiye
Ülke Başkanı Murat KÖSEREİ-
SOĞLU kapanış konuşmasında
hizmet verilen kuruluşlar için
verimli ve sürdürülebilir etkin
çözümler yaratmanın Securitas’ın
hedefleri arasında olduğunun altını
çizdi. KÖSEREİSOĞLU; “Secu-
ritas olarak geliştirdiğimiz metodo-
lojimiz ile 2016 yılında çıktığımız
bu değişim yolculuğunda güvenlik
bilgimizi derinleştireceğiz” dedi.
2015 yılını değerlendiren KÖSE-
REİSOĞLU; “2015 Securitas için
oldukça verimli geçti, bu başarımızı
2016’ta da sürdürmeyi planlıyo-
ruz. Bizim en önemli sermayemiz
insan kaynağımız. O nedenle farklı
yetkinliklerdeki çalışanlarımızı yeni
pozisyonlarla zenginleştireceğiz.
Uzman, işini derinlemesine bilen
çalışanlarımızla sağlam adımlarla
ilerleyeceğiz. Sunduğumuz hizmet-
lerimizi teknoloji ile desteklemeye,
güvenlikte bilgi liderliği misyonu-
muz ile sektöre yenilikler katmaya
devam edeceğiz.” dedi.
Telekomünikasyondan finansa,
havacılıktan madenciliğe, enerji
sektöründen endüstriyel tesislere ka-
dar 20 farklı sektörden 400’ü aşkın
kuruluşa hizmet veren Securitas, 21
segmente özel güvenlik çözümleri
sunuyor. Toplam 8 bölge ofisi, 7
şube ofisi, 1 mobil ofisi ve 240 kişilik
idari kadroyla, 2143 hizmet nokta-
sında 556 farklı proje yürütmektedir.
19.
20. 16 n GüvenlikYönetimi Kasım 2015
GÜNCEL
Akıllı telefon uygulamaları kişisel
bilgilerinizi paylaşıyor!
Apple ve Android telefonların-
daki uygulamaların kullanıcılara
ait birçok bilgiyi üçüncü taraflarla
paylaştığı bildiriliyor. ABD’nin ünlü
Massachusetts Teknoloji Enstitüsü ile
Harvard ve Carnegie-Mellon üniver-
sitelerinden araştırmacılar Google
Play ve Apple App Store’de bulunan
110 uygulamayı inceledi.
Android uygulamaların yüzde
73’ünün kullanıcıların e-posta
adreslerini, Apple işletim sistemi
iOS uygulamalarının yüzde 47’sinin
de konum bilgisini paylaştığı ortaya
çıktı. Mobil Uygulamaların Üçüncü
Taraflarla Kişisel Bilgi Paylaşımının
Perde Arkası’ başlığını taşıyan araş-
tırmada 55 Android uygulama ile 55
iOS uygulaması test edildi. Araştır-
macılar, farklı uygulamaların kul-
lanımı sırasındaki internet trafiğini
kaydederek; bunlar arasında kimlik
ve davranış şekillerinin tespit edilme-
sine yol açacak bilgiler olup olmadı-
ğını taradı. Android uygulamaların
isim (yüzde 49) ve adres (yüzde 25)
gibi kişisel bilgileri paylaşma oranı-
nın iOS uygulamalarına göre daha
yüksek olduğu belirlendi. İncelenen iOS
uygulamalarının yüzde 18’inin isimleri,
yüzde 16’sının da e-posta adreslerini
paylaştığı saptandı. Sağlık, formda kalma
ve tıpla ilgili 30 uygulamadan üçünün
aranan deyimleri ve kullanıcı girdilerini
üçüncü taraflara ilettiği gözlendi.
Ekin Teknoloji IACP Fuarı’nda yer aldı
24-27 Ekim tarihlerinde Uluslara-
rası Polis Şefleri Birliği tarafından
Chicago’da düzenlenen ve Amerika
Başkanı Barrack Obama’nın da katıl-
dığı IACP Fuarı’nda Ekin Teknoloji de
yer aldı. Türk mühendisleri tarafından
geliştirilen ekin Patrol’un hem seyir
hem de park halindeki araçların plaka
ve hız tespitindeki başarı oranı; tüm
polis departmanlarının dikkatini çekti.
Ekin Technology bu özellikleri ile
alanında tek olan ürünün satışı için
Amerika’da ilk temsilcilik anlaşmasına
imza attı. Akıllı trafik ve akıllı şehir
sistemleri kurmak amacıyla yaptıkları
çalışmanın Türkiye ve dünyada almış
olduğu olumlu yorumlardan memnu-
niyet duyduklarını belirten Ekin Tek-
noloji Yönetim Kurulu Başkanı Akif
Ekin ;“Amerika’nın çeşitli eyaletinde
sunduğumuz ilk ekin Patrol uygulama
gösteriminden sonra aldığımız olumlu
yorumlar, bizi son derece onurlandırdı.
Ürünün satışı için yaptığımız anlaşma
ile bu başarıyı taçlandırdık ve önü-
müzdeki sonbaharda ikinci sunumları
gerçekleştirmek için de davet aldık.
IACP’de gördüğümüz ilgi bizleri daha
büyük başarılara ulaşmamız için mo-
tive ediyor. Başarımızı farklı coğraf-
yalara da taşıyarak büyümeye devam
edeceğiz” dedi.
21.
22. 18 n GüvenlikYönetimi Kasım 2015
GÜNCEL
Kasperksy Lab, noransom.kaspersky.
com deposuna 14.031 şifre çöz-
me anahtarı daha ekledi. Böylece
CoinVault ve Bitcryptor kurbanları,
suçlulara tek bir bitcoin fidye öde-
meden şifrelenmiş verilerini kurta-
rabilecekler. Nisan 2015 tarihinden
başlayarak toplam 14.755 anahtar,
Kasperky Lab’ın güvenlik uzmanları
tarafından geliştirilen şifre çözme
uygulaması ile birlikte kullanıp dos-
yalarını kurtarsınlar diye kurbanlara
sunuldu. Hollanda Milli Başsavcılığı;
şifre çözme anahtarlarını Coin.Vault
kumanda ve kontrol sunucularından
aldı. Eylül ayında Hollanda polisi,
Hollanda’da iki kişiyi fidye yazılımı
14 Bin siber saldırı kurbanının
kabusuna son verildi!
saldırılarına karışma şüphesiyle tu-
tukladı. Bu tutuklamalar ve sunucu-
lardan anahtarların son bölümünün
elde edilmesi ile CoinVault saldırıları
dosyasını kapatmanın zamanı geldi.
CoinVault siber suçluları, kurbanla-
rın çoğunluğu Hollanda, Almanya,
ABD, Fransa ve İngiltere’de olmak
üzere dünya çapında on binlerce
bilgisayara virüs bulaştırmaya çalış-
mıştı. Bundan, toplam 108 ülkenin
kullanıcıları etkilendi. Suçlular, en
az 1.500 Windows tabanlı makineyi
kilitlemeyi başararak dosyaların
deşifre edilmesi için kullanıcılar-
dan bitcoin talep etti. Kaspersky
Lab CoinVault’un ilk sürümünü
alarm sistemleri ile ilgili son yenilikleri
sergileyecek. EEC’nin standında;
• Akıllı adreslenebilir yangın dedek-
törleri,
• Network yangın kontrol panelleri,
• Hava çekmeli hassas duman algıla-
ma cihazları,
• Üç boyutlu Lineer Duman Dedek-
törleri,
• Ex-Proof sıcaklık, alev ve gaz
dedektörleri,
• Acil durum aydınlatma armatürle-
ri, ziyaretçilerin dikkatine sunulacak.
Ayrıca, 12 Kasım 2015 Perşembe
günü sempozyumun açılış konuşmasını
gerçekleştirecek olan EEC Yönetim
Kurulu Başkanı Haluk YANIK “Ko-
nutlarda Algılama ve Uyarı Sistemleri”
konulu bir sunum yapacak. Sunumda
evlerimizde yangına karşı ne gibi
EEC ISAF Smart Buildings
Konferansına sponsor oldu
EEC Entegre Bina Kontrol Sis-
temleri; 12-13 Kasım 2015 tarih-
lerinde WOW Convention Center
İstanbul’da gerçekleşecek IV.
Yangın ve Güvenlik Sempozyumu
ve Sergisi’ne katılacak. EEC A-1
nolu standında yangın algılama ve
önlemler alabileceğimiz; bir yangın
durumunda canımızı korumak için
neler yapabileceğimiz konusunda
bilgiler verecek. Türkiye’de konut-
larda ve konut binalarında yangın
algılama ve uyarı sistemlerinin
tasarım ve uygulamasında yapılan
yanlışlıkları ve çözüm önerilerini
izleyicilerle paylaşacak. İki yılda bir
düzenlenen TÜYAK Yangın ve Gü-
venlik Sempozyumu ve Sergisi ulusal
ve uluslararası kuruluşların destek-
leri, yurt içi ve yurt dışı üniversite
ve firma temsilcilerinin katkıları
ile gerçekleştiriliyor. En son 2013
yılında 1.500 kişinin üzerinde kişinin
katılımıyla gerçekleştirilen etkinliğin
bu seneki ana teması: “Konaklama
ve Sağlık Yapılarında Güvenlik”
olacak.
Mayıs 2014’te keşfetti; daha
sonra Hollanda polisi ve Hollanda
Başsavcılığı Milli Yüksek Teknoloji
Suçları Bölümü (NHTCU) tara-
fından yürütülen, tüm ilgili zararlı
yazılım örneklerinin derinlemesine
analizine katkıda bulundu. Ortak
soruşturma sırasında, NHTCU ve
Hollanda Başsavcılığı CoinVault
kumanda ve kontrol sunucuların-
dan veritabanlarını aldı. Bu sunu-
cuda bulunan Başlatma Vektörleri
(IV’ler), Anahtarlar ve özel Bitcoin
cüzdanları, Kaspersky Lab ve
NHTCU’nun özel bir şifre çözme
anahtarları deposu oluşturabilmele-
rine yardımcı oldu.
23.
24. 20 n GüvenlikYönetimi Kasım 2015
GÜNCEL
Galaxy S6
Edge’de
güvenlik açığı
bulundu
Google, akıllı telefon piyasasının
devlerinden Samsung’un Android
telefonlarından Galaxy S6 Edge
modelinde 11 güvenlik açığı belir-
ledi. Bunların arasında hacker’ların
telefonun kontrolünü ele geçirmesine
olanak tanıyabilecek bir güvenlik
boşluğu da bulunuyor. Samsung’dan
yapılan açıklamada sorunun kısmen
giderildiği; geri kalan 3 güvenlik
açığının da bu ay içinde yapılacak bir
güncellemeyle çözüleceği kaydedildi.
Google’ın belirlediği güvenlik açıkları
arasında, Samsung’un elektronik pos-
ta yazılımında hacker’ların mesajları
kendi hesaplarına aktarmasına olanak
tanıyacak bir boşluk olması da vardı.
Bir başka risk de hacker’ların şifreli
özel bir görüntü göndererek; fotoğraf
görüntüleme uygulamasının ayar-
larını değiştirebilecek olmalarından
kaynaklanıyordu. Google belirlediği
en ilginç risk ise, hacker’ların yazılıma
kötü niyetli bir uygulama göndererek
sistemdeki diğer dosyaları kontrol
etme imkânına kavuşabilmesiydi.
Samsung; özellikle bu eksiği giderdi-
ğini söylüyor, ancak kullanıcılara tele-
fonlarının yazılım ve uygulamalarını
her zaman güncellemeleri çağrısında
bulunuyor.
Ölçsan High Tech Port by
MÜSİAD Katar Fuarı’na
katıldı
Chrome kullananlara
büyük tuzak
Ölçsan High Tech Port by MÜ-
SİAD Katar Fuarı’na katıldı
Türkiye ve Katar savunma sana-
yinin devlerini bir araya getiren
fuarda, Uluslararası İş Formu’nun
19’uncusu düzenlendi. Türk ve
Katar savunma sanayisinin öncü
kuruluşlarını buluşturan High
Chrome kullananlara büyük tuzak
Güvenlik araştırmacıları, kendisi-
ni Google Chrome gibi gösteren
yeni bir zararlıyı ortaya çıkardılar.
PCRisk’in raporuna göre “eFast
Browser” adlı sahte web tarayıcısı,
kendisini Chrome’un bulunduğu
konuma yüklüyor ve bu şekilde
çalışıyor. Tarayıcı, açık kaynak kodlu
Chromium’u temel aldığı için ilk
bakışta Chrome’a oldukça benziyor
Tech Port by MÜSİAD Qatar
Fuarı’na katılan Ölçsan; fuarda en
son çözümlerini ve ürünlerini ta-
nıttı. Türkiye’den katılan 67 firma
arasında yer alan Ölçsan, fuara
İTÜ ARI Teknokent bünyesinde
katıldı. Ölçsan Genel Müdürü
Burak SONDAL, İTÜ ARI Tek-
nokent Genel Müdür Yardımcısı
Gökçe TABAK ile birlikte Katar
Bilgi İletişim ve Teknoloji Bakan
Danışmanı Malike BOUAOUD
ile görüştü. Katar’ın yeni vizyonu
çevresinde planlandığı ‘Smart
nations platformu’ hakkında bilgi
alındı. İşbirliği yapılacak alanlarla
ilgili görüşmelerin başlatılması-
na karar verildi. Ölçsan fuarda;
finans, telekomünikasyon, ulaşım,
sağlık, enerji ve savunma gibi
kamu ve özel sektöre yönelik fizik-
sel ve sanal güvenlik, biyometri,
akıllı kartlar, akıllı şehirler ve mobil
çözümlerini Katarlı kamu kurum
ve özel şirketlere sundu.
ancak davranışları, Chrome’a göre
çok daha kötü. Zararlı tarayıcı,
öncelikle kendisini varsayılan
hale getiriyor ve HTML, JPG,
PDF, GIF dosya türlerini kendi-
siyle ilişkili hale getiriyor. HTTP,
HTTPS, MAILTO gibi URL
ilişkilendirmelerini de ele alan
tarayıcı, Chrome’la ilgili masaüstü
kısa yollarınızı da kendisininkiyle
değiştiriyor.
25.
26. 22 n GüvenlikYönetimi Kasım 2015
GÜNCEL
Twitter kullanıcılarına Twitter’dan
gelmiş süsü verilen DM (Direct
Message) yoluyla gelen ve virüs
içeren mesajların hesapların şif-
relerini ele geçirmek için kullanıl-
dığı belirtiliyor. Mikro blog sitesi
Twitter ‘da son günlerde hızla
yayılan bir mesaj kullanıcıların he-
saplarının güvenliğini tehdit ediyor.
‘Direct Message’ yoluyla Twitter
Twitter hesapları tehlikede
hesaplarına gönderilen ve kendine
‘Security Turkey’ adını veren sahte
hesaplardan kullanıcıya gelen mesaj
ise şöyle:
“Sayın kullanıcı; bu mesajı hesa-
bınız güvenlik riski taşıdığı için
alıyorsunuz. Aşağıdaki bağlantıya
tıklayarak kullanıcı adınız ile birlikte
güvenlik panelimize kayıt yaptıra-
rak hesabınızı güvenli hale getir-
meniz gerekmektedir. Aksi taktirde
hesabınız kapatılacaktır.” Twitter
kullanıcıya ulaşmak istediğinde DM
değil mail yolunu tercih ediyor ve
mesajında link paylaşmıyor. Siber
güvenlik uzmanları bu tarz mesajlar
alındığında mesajdaki linkin tıklan-
maması uyarısında bulunuyor.
Facebook’ta sakın bu
mesajı açmayın!
Kullanıcılar, tanıdıklarından
geldiğini düşündükleri ve hediye
kazandıklarını söyleyen mesajlarla
dolandırılıyorlar. Hacker’lar ele
geçirdikleri hesaplardan attıkları
mesajların daha da inandırıcı olması
için rollerine iyi hazırlanıyor. Gere-
kirse daha önce yapılan yazışmaların
bir bölümünü okuyarak mesaj
atacakları kişiyle profilini ele
geçirdikleri kişinin arasındaki sa-
mimiyeti iyice öğreniyor ve buna
göre davranıyorlar. Hacker’lar
kısa bir konuşmadan sonra güve-
nini kazandıkları kişiye bir hediye
çeki kazandığını ve almak için
belirli bir numaraya kısa mesaj
yollaması gerektiğini söylüyorlar.
Hackerlar, hediye kazanılabilmesi
için verdikleri numaraya mesaj
atılmasını istiyorlar. Karşısındaki-
ni arkadaşı zannederek bu numa-
raya mesaj atan kişi işleme onay
verdiğinde ise Hackerlara 100
TL ödeme yapmış oluyor. Bedel
telefon faturasına yansıyor.
27.
28. 24 n GüvenlikYönetimi Kasım 2015
k
Kontrolleri dışındaki şartlar nedeniyle yıkılanlar onlara verebileceğimiz
her türlü yardım ve anlayışı hak ederler. Buna karşılık bir de şansızlık ya da
mutsuzluk içinde doğmayan ama yıkıcı hareketleri ve diğerleri üzerindeki
rahatsız edici etkileri nedeniyle talihsizliği ya da mutsuzluğu üzerlerine
çekenler vardır.
Eğer onları ayağa kaldırabilsek; kalıplarını değiştirebilsek harika bir şey
olurdu fakat çoğunlukla içimize girip bizi değiştiren şey bu kalıplardır.
Nedeni basittir. İnsanlar ruhsal durumlara, duygulara hatta birlikte
zaman geçirdikleri diğerlerinin düşünce tarzına karşı bile aşırı derecede
hassastırlar.
Tedavi edilemez derecede mutsuz ve dengesiz olanların bunu başkalarına
bulaştırma güçleri çok büyüktür; çünkü karakterleri ve duyguları çok
yoğundur. Kendilerini genellikle kurban olarak gösterirler; başlangıçta
çektikleri acılara kendilerinin neden olduğunun görülmesini zorlaştırırlar.
Siz onların sorunlarının doğal yapısını fark etmeden önce hastalık size de
bulaşmış olur.
Güç oyununda bağlantı kurduğunuz insanlar önemlidir. Mutsuzluk
bulaştırıcılarla ilişki kurmadaki risk; kendinizi kurtarmak için değerli
zaman ve enerjinizi ziyan etmenizdir. İlişki ile gelen suçluluk yoluyla
diğerlerinin gözünde de acı çekersiniz. Bulaşmanın tehlikelerini hiçbir
zaman küçümsemeyin. Farkında olunması gereken birçok mutsuzluğun
da bulaşıcı türü vardır. Bulaşmanın diğer yanı da eşit derecede geçerlidir
ve belki de en kolay anlaşılandır. Keyifleri, doğal neşeleri ve zekâları ile
mutluluğu kendilerine çeken insanlar vardır. Onlar sevinç kaynağıdırlar
ve kendi üzerlerine çektikleri mutluluğu paylaşmak için onlarla ilişki
kurmalısınız.
Bu olumlu duygusal etkilenmeyi avantajınız için kullanın. Eğer cimri
yaratılıştaysanız asla bir sınırın ötesine geçemezsiniz. Yalnızca cömert
insanlar mükemmelliğe ulaşabilirler. O halde cömert insanlarla ilişki
kurun. Bu niteliği size de bulaştıracak, içinizde sıkı ve sınırlı ne varsa
gevşeteceklerdir. Eğer ümitsizseniz neşeli insanlara yönelin. Asla sizin
eksiklikleriniz paylaşanlarla ilişki kurmayın onlar sizi engelleyen şeyleri
güçlendireceklerdir. Yalnızca olumlu tanıdıklarınızla bağlantıya girin; bunu
hayatınızın kuralı yapın.
Talihlileri tanıyın böylece onların arkadaşlığını seçebilirsiniz; talihsizleri
de tanıyın böylece onlardan kaçınabilirsiniz. Talihsizlik genellikle aptallık
suçudur ve ondan yakınanlar arasında daha bulaşıcı olan başka bir illet
yoktur. Kapınızı talihsizliğin en küçüğüne bile açmayın. Çünkü eğer bunu
yaparsanız birçokları arkasından gelecektir. Başkasının acısı yüzünden
ölmeyin.
Bu yasanın tersi yoktur; uygulanması evrenseldir. Talihli kişilerle ile ilişki
kurarak elde edilecek şey yalnızca güç ve şanstır. Bu yasaya uymazsanız
tehlikeyi göze almış olursunuz.
Uygulanması dileğimle…
Güç oyununda
bağlantı kurduğunuz
insanlar önemlidir.
Mutsuzluk
bulaştırıcılarla ilişki
kurmadaki risk;
kendinizi kurtarmak
için değerli zaman
ve enerjinizi ziyan
etmenizdir.
HAYATA BAKIŞ
“Gücün anahtarları”
Oğuz GÜLAY
29.
30. 26 n GüvenlikYönetimi Kasım 2015
KAPAK KONUSU
B
ilişim çağını yaşayan
dünyamızda bilgi
teknolojilerinin ve
sistemlerinin hızlı bir
gelişim ve değişim
göstermesi bu alandaki bilgi do-
laşımını ve paylaşımını artırdığı
gibi bireylerin ve kurumların yanın-
da ülkelerin, askeri, ekonomik,
teknolojik ve kritik altyapılarına
karşı siber saldırıların artmasına
da yol açtı. Bu saldırılara engel
olabilecek veya karşı koyabile-
cek çalışmalara ve planlamalara
duyulan ihtiyaç günümüzde büyük
önem taşıyor. Uluslararası savaş-
lar artık siber ortamda gerçekleş-
mekte ve bilgisayarlar etki altına
alınarak ülke ve kişilere ait bilgiler
bir tehdit unsuru olarak kullanıl-
maktadır. Siber güvenlik, interne-
Osman ÖZTÜRK / Yönetim Kurulu Başkanı-CEO
CSG CİTY SECURİTY GROUP
Kritik tesislerde siber güvenlik
Siber güvenlik, 21. yüzyılda ulusal güvenliğin en yeni sorunu
olarak, sınırları tanımlanamayacak kadar geniş ve bir o kadar
da karmaşık bir alana dönüşmüştür. Siber savaş, uluslararası
ilişkilerde bilgisayar ve iletişim teknolojisini saldırı ve savunma
amaçlı olarak kullanmaktadır.
31. Kasım 2015 GüvenlikYönetimi n 27
tin üzerinde var olduğu fiziksel
altyapıya karşı gelebilecek tehdit-
lerden ibaretken sonraları zararlı
kodlar ve virüslerin üretilmesi
ve yaygınlaşmasıyla tehlikenin
düzeyi de artmaya başlamıştır.
Bu yüzden kamu kurumlarındaki
veri tabanları ve gizli bilgilerden,
enerji santrallerine, su dağıtım
şebekelerinden, iletişim ağlarına
ve ulaşım sistemlerine kadar
birçok kamusal hizmet alanları
tehlike altına girmiştir.
İnternet ortamında olayların
saniyeler içinde meydana geldiği
düşünüldüğünde, etkin ve güçlü
savunma sistemleri kurulması-
nın, farkındalık ve bilinç oluştu-
rulmasının önemi ortaya çıkmak-
tadır.
Ülkemizin siber güvenlik perfor-
mansının daha sağlıklı tespiti
için, sadece meydana gelen olay-
lara ilişkin verilerin tutulmasının
yanında sosyal ve ekonomik yön-
den de değerlendirme yapılması
gerekmektedir.
Siber güvenlik, 21. yüzyılda
ulusal güvenliğin en yeni sorunu
olarak, sınırları tanımlanamaya-
cak kadar geniş ve bir o kadar da
karmaşık bir alana dönüşmüş-
tür. Siber savaş, uluslararası
ilişkilerde bilgisayar ve iletişim
teknolojisini saldırı ve savunma
amaçlı olarak kullanmaktadır.
Her geçen gün teknolojinin ve
bu teknolojilere erişilebilirliğin
artmasıyla insanların ekono-
mik, sosyal, ve kişisel bütün
eylemleri siber ortamda bir arşiv
haline dönüşmüş, kötü niyetli
faaliyetler bu ortamdaki bilgilerin
hırsızları olmuştur. Bu noktada
güvenlik ihtiyacı ortaya çıkmıştır.
Gerek kişilerin gerekse kurum-
ların siber güvenliği, bilgilerin
ve sırların korunması, alınacak
önlemlerin erken uyarı sistemleri
ve elektronik güvenlik ile enteg-
rasyonunu zorunlu kılmaktadır.
Siber güvenlik nedir?
Siber güvenlik, bilgi güvenliğin-
den operasyon güvenliğine ve
bilgisayar sistemlerinin güvenli-
ğine kadar birçok farklı kavramı
kapsar. Siber güvenlik aynı za-
manda farklı hedef kitleleri için
farklı anlamlara gelir. Bireyler
açısından bu kavram kendini gü-
venli hissetmek, kişisel verileri
ve gizliliği korumak demektir.
Kurumlar açısından siber güven-
lik, işle ilgili kritik öneme sahip
işlevlerin kullanılabilir olmasını,
operasyon ve bilgi güvenliği sa-
yesinde gizli verilerin korunması-
nı sağlamak demektir. Devletler
açısından ise vatandaşların,
kurumların, kritik altyapının ve
devlete ait bilgisayar sistemle-
rinin saldırılara ya da verilerin
çalınmasına karşı korunması
anlamına gelmektedir. Bilgi
toplumu olma yolunda çaba sarf
eden Türkiye, gerekli altyapıyı
kurarak ve önlemleri alarak siber
uzayın güvenliğini, kritik altyapı-
ların dayanaklılığını ve koruma
sürekliliğini sağlamalıdır.
21.yüzyılın yaşadığımız ilk on
yılı, “siber savaş” olgusunun
ortaya çıktığı ve geleceğe yönelik
risklerin evrimleştiği sıra dışı bir
zaman olarak tarihe geçecektir.
Bu evrim ve çevresini saran
tehlikelere karşı ülkemizin siber
güvenliğini sağlamak için etkin
önlemler alması gerekmektedir.
Ülkemizde Siber Saldırı’lara
karşı etkin bir koruma ağı oluştu-
rabilecek nitelikte uzmanlaşmış
elemanların olmaması büyük
risk ve zafiyet yaratmaktadır. Bil-
gi ve iletişim sistemleri üzerinde
gerçekleştirilen siber saldırıların
hızla arttığı ülkemizde güçlü
bir güvenlik stratejisinin ortaya
konulması gerekmektedir.
Siber saldırılarla bir bilgisayar
kullanıcısının banka hesap
Siber saldırılarla
bir bilgisayar
kullanıcısının banka
hesap bilgileri elde
edebileceği gibi
bir ülkenin askeri
ve politik sırlarına
ulaşılması, finans
merkezleri, enerji
tesisleri, ulaştırma ve
iletişim sistemleri ve
hastanelerin çalışamaz
hale getirilmesi de
mümkündür.
Osman ÖZTÜRK
32. 28 n GüvenlikYönetimi Kasım 2015
KAPAK KONUSU
bilgileri elde edebileceği gibi bir
ülkenin askeri ve politik sırlarına
ulaşılması, finans merkezleri,
enerji tesisleri, ulaştırma ve
iletişim sistemleri ve hastanele-
rin çalışamaz hale getirilmesi de
mümkündür.
Siber savaş, BM Terimler Söz-
lüğünde bilgisayar sistemlerinin
düşman sistemlerine zarar vermek
veya yok etmek amacıyla kulla-
nıldığı savaş tipi olarak tanımlan-
maktadır. Bilişim teknolojilerinin
oluşturduğu bir kavram olarak ge-
leneksel savaşlardan farklı olsa da
yine de yıkıcı ve ölümcül zararlar
verebilmektedir. Elektronik iletişim
ve internetin bir ülkenin iletişim
sistemi, güç kaynakları, ulaşım
sistemi ve benzeri sistemlerini
bozması veya çökertmesi olarak
da tanımlanmaktadır. Bu iki tanım-
dan hareketle siber savaş “Dev-
letler veya devlet benzeri aktörler
tarafından gerçekleştirilen, kritik
ulusal altyapıları, askeri sistemleri
veya ülke için önemli endüstriyel
yapıyı tehdit eden, simetrik veya
asimetrik, saldırı veya savunma
amaçlı dijital ağ faaliyetleri” olarak
açıklanabilir.
Siber güvenlik neden
ihtiyaçtır?
Kritik altyapıların bilişim ve bilgi
sistemlerine bağımlılığı her geçen
gün artmaktadır. Dolayısıyla bilişim
ve bilgi sistemlerinin güvenliği sa-
dece bilgi ve iletişim teknolojileri-
ni değil hayatın her alanını ilgilen-
diren bir boyut ve öneme sahiptir.
Bilgi güvenliği; bilginin gizliliğinin,
bütünlüğünün ve erişilebilirliğinin
güvence altına alınması demek-
tir. Bilgi güvenliği; bilgiye sürekli
olarak erişilebilirliğin sağlandığı
bir ortamda bilginin saklanması,
göndericisinden alıcısına kadar
gizlilik içerisinde (mahremiyeti
korunarak), bozulmadan, deği-
şikliğe uğramadan ve başkaları
tarafından ele geçirilmeden
bütünlüğünün sağlanması ve gü-
venli bir şekilde iletilmesi süreci
olarak tanımlanmaktadır. Teknik,
ekonomik, siyasal ve sosyal
etkileri açısından gerek bireysel,
gerek kurumsal ve gerekse ülke
boyutunda topyekün bir yaklaşım
ve hassasiyet gerektiren bilgi
güvenliği kavramı buna ilişkin bir
kültür oluşturulmasını da gerekli
kılmaktadır. Bilgi güvenliği kültürü
olmayan toplumların güvende
olması ve bilgi toplumu olması
mümkün olmayacaktır.
Bilgi güvenliği kültürü, ülke güven-
liği açısından da çok önemlidir;
çünkü artık ülkeler arası savaşlar
cephelerin yanında siber dünyada
da yapılmaya başlanmıştır.
Siber saldırılara karşı yasal bir
çerçeve ve kamu bilinci oluştu-
rularak bireylerin, şirketlerin ve
kamu kurumlarının kullandıkları
sistemlerin güvenliği sağlamlaştı-
rılmalıdır.
Yakın gelecekte çıkabilecek büyük
bir savaşta ilk mermi internette
atılacaktır. Büyük devletler, çok
uzak mesafelerden, hiç görünme-
den milyonlarca hatta milyarlarca
zarara uğrayabilmektedirler. Siber
savaşların mükemmel silahları
olan süper bilgisayar virüsleri-
nin 2004 yılından bu yana aktif
olduğu ve operasyonlar yaptığı
söylenmektedir. Olası bir siber
savaşta etkin savunma yapılabil-
mesi; siber güvenlik olgusunun iyi
kavranması ve değerlendirilmesi
ile mümkün olacaktır.
Ulusal ve uluslararası alanda
faaliyet gösteren siber suç ör-
Kritik altyapıların bilişim ve bilgi
sistemlerine bağımlılığı her geçen gün
artmaktadır. Dolayısıyla bilişim ve bilgi
sistemlerinin güvenliği sadece bilgi ve iletişim
teknolojilerini değil hayatın her alanını
ilgilendiren bir boyut ve öneme sahiptir.
33.
34. 30 n GüvenlikYönetimi Kasım 2015
KAPAK KONUSU
gütleriyle, yasalar doğrultusunda
mücadele etmek için teknoloji ve
insan kaynaklarına sahip olmak
gereklidir.
Ulusal siber güvenliğin
sağlanmasına stratejik bakış
Siber güvenlik, bilişim teknoloji-
lerinin yaygınlaşması ve internet
kullanımının artmasıyla beraber
ulusal güvenlik stratejilerinde yer
almaya başlamıştır. Bu kapsam-
da başta gelişmiş ülkeler olmak
üzere pek çok ülke ve NATO, AB
gibi uluslararası kuruluşlar siber
güvenlik stratejileri üretmiştir. 19
ülkenin ulusal siber güvenlik stra-
tejileri üzerinde yapılan inceleme
sonucunda strateji belgelerinde
şu ortak hedeflere değinildiği
görülmektedir (Luiijf ve diğ.’den
aktaran Klimburg, 2012: 56):
Güvenli, saldırılara karşı daya-
nıklı ve güvenilir bir siber alanın
sağlanması.
Bilişim sistemleri vasıtasıy-
la ekonomik ve sosyal refahın,
güvenli iş ortamı ve ekonomik
büyümenin teşvik edilmesi.
Bilişim ve iletişim teknolojile-
rinin barındırdığı risklerin kontrol
altında tutulması.
Bilişim altyapılarının dirençli
hale getirilmesi.
Klimburg (2012), ulusal siber gü-
venlik stratejisi düşünülürken göz
önünde bulundurulması gereken
beş alan olduğunu belirtmektedir.
Mevcut siber güvenlik strateji-
lerine bakıldığında bu alanların
işlendiği görülmektedir. Kritik
altyapıların korunması öncelikli
olarak ulusal çapta bir risk anali-
zinin yapılarak, risk faktörlerinin
düzenli olarak güncellenmesini
gerektirmektedir. İkinci olarak kri-
tik altyapılara yönelik standartlar
geliştirilerek gerekirse kanunlar
aracılığıyla özel ve kamuya ait
kritik altyapıların bu standartlara
kavuşturulması gerekmektedir.
Beşinci alan siber diplomasi ve
internetin yönetimidir. Daha önce
belirtildiği gibi uluslararası hukuk-
ta siber alana özgü bağlayıcı nite-
likte bir metin bulunmamaktadır.
Siber alan yeni şekillenmekte
olduğundan, özellikle güçlü
devletler bu yeni alana ilişkin
kuralların kendi ulusal çıkarlarıyla
paralel olması için sürekli girişim-
lerde bulunmaktadır.
Ülke olarak bilişim altyapılarına
ve internete olan bağımlılığımız
artmakta ve buna bağlı olarak
siber alanda taşıdığımız riskle-
rimiz de giderek büyümektedir.
Siber tehdidi doğru ölçebilmek
ve strateji geliştirebilmek için
öncelikle gözlem, takip, analiz ve
öngörü yeteneği olan birimlere
ihtiyaç vardır.
Siber güvenliğin sadece internet
güvenliğini değil tüm iletişim
altyapılarını kapsayan geniş
bir kavram olması nedeniyle
sonraki adım olarak çok sek-
törlü bir yaklaşımla ulusal siber
güvenlik politikasının belirlen-
mesi gerekmektedir. Ülkemizin
ciddi bir siber saldırıya maruz
kalmamasını, terör örgütlerinin
bu potansiyellerinin olmadığı
şeklinde değerlendirmek yanlış
olacaktır. Bu yüzden pasif savun-
ma alanında yapılanların yanında
aktif savunmaya da yönelik ted-
birler alınmalıdır. Siber güvenlik
alanında tedbirler geliştirirken
güvenlik-demokrasi, fayda-maliyet
dengelerinin gözetilmesi gerektiği
gözden kaçırılmamalıdır.
İnsan unsuru, güvenlikle alakalı
pek çok alanda olduğu gibi siber
güvenlikte de en önemli etken
olarak karşımıza çıkmaktadır.
Bir sistemde ne kadar güvenlik
önlemi alınmış olursa olsun,
dikkatsiz bir kullanıcının sebep
olacağı açıklara yakalanma riski
her zaman vardır.
Kurumsal olarak alınacak küçük
önlemler, ulusal siber güvenli-
ğe önemli katkılar yapabilecek
niteliktedir. Bu önlemlerden birisi
kamu ve özel kurumlarda başla-
tılan bilişim projelerine güvenlik
ayağının eklenmesidir. Güvenliğin
geri planda bırakıldığı bir sistemin
sonradan güvenli hale getirilmesi
daha zor olacak ve istenilen ölçü-
de de başarı sağlanamayacaktır.
Kurumların gerek normal kullanı-
cıları gerekse bilgi-işlem persone-
li için standart çalışma politikaları
belirlemeleri ve bu standartların
uygulanmasını denetlemeleri
sistemlerin güvenliğine yönelik
tehditlerin önemli bir kısmını
ortadan kaldıracaktır.
En önemlisi de, özellikle kamuda
ve kritik sektörlerde kullanılan do-
nanım ve yazılımların test edilmiş
ve güvenlik açıkları kapatılmış
olmaları gerekmektedir. Sistem-
lerin temel öğesi olan donanım
ve yazılımlarda olabilecek açıklar,
alınacak önlemleri daha baştan
işlevsiz hâle getirecektir.
Yakın gelecekte çıkabilecek büyük
bir savaşta ilk mermi internette atılacaktır.
Büyük devletler, çok uzak mesafelerden, hiç
görünmeden milyonlarca hatta milyarlarca
zarara uğrayabilmektedirler.
35.
36. 32 n GüvenlikYönetimi Kasım 2015
S
iber güvenlik konusun-
da yaşanan kaygılar ve
tehditler 2016 yılında
da eksilmeden ama şe-
kil değiştirerek yaşamı-
mıza nüfuz edecekler. Geçtiğimiz
10 yılda, saldırılar “fidye” tarzında
işliyorlardı; kullanıcının bir korku-
sundan yararlanarak saldırgana
ödeme yaptırmayı amaçlıyorlardı.
Bu yöntemin başarılı olmasından
sonra, saldırganlar kullanıcı psiko-
lojisi üzerine oynamak üzere başka
başka yöntemler geliştirmeye ve
saldırıları giderek kişiselleştirerek
bireyleri ya da şirketleri “itibar kay-
bı” tehdidiyle köşeye sıkıştırmaya
yöneldiler. 2016 yılında karşılaş-
mayı beklediğimiz siber tehditleri
araştıran raporları incelediğimizde,
ilk sıralarda gözümüze çarpan
“Çin’in piyasaya sürdüğü kötü
niyetli yazılım hacminin 2016 yılı
sonuna kadar 20 milyona ulaşaca-
ğı ve ana hedefin mobil uygulama
yöntemleri olacağı beklentisi”.
Raporlar Çin’de üretilen uygula-
maların dörtte üçünün kötü niyetli
olduğunu, bunlar arasında özellikle
mobil uygulamaların üçüncü parti
platformlar vasıtasıyla ücretsiz dağı-
tılmaları nedeniyle Çinli kullanıcıları
olumsuz etkilediğini öne sürüyor-
lar. Örneğin Google Play’i Çin’de
mevcut 800 milyon kullanıcıdan
yalnızca 21 milyonunun satın almış
olması normal mi? Siber güvenlik
konusundaki karmaşa ve zorluklar;
Çin’de bilhassa şiddetli seyrediyor
Çin'in yıllardır sabır ve özenle inşa ettiği siber ordular şimdi
ABD başta olmak üzere birçok ülkeyi hem ticari hem de politik
yönden korkutuyor. Siber saldırı gerekçesiyle Çin aleyhine
yalnızca ABD tarafından açılmış 11 dava bulunmakta.
KAPAK KONUSU
Füsun KOCAMAN
Çin ve siber ordusu
37. Kasım 2015 GüvenlikYönetimi n 33
çünkü Çin dünyanın hem en hızlı
büyüyen hem de en aktif siber
işletme operasyonlarına sahip.
Çin’in yıllardır sabır ve özenle
inşa ettiği siber ordular şimdi
ABD başta olmak üzere birçok
ülkeyi hem ticari hem de politik
yönden korkutuyor. Siber saldırı
gerekçesiyle Çin aleyhine yalnızca
ABD tarafından açılmış 11 dava
bulunmakta.
Bu korkunun bir temeli, bu teh-
didin bir gerçeklik payı var mı?
Çin; siber gücün önemini çok
daha önceden kavrayan bir devlet
olarak; Çin Halk Kurtuluş Ordu-
sunun siber dünyada müdahale
ve savunma sistemleri geliştirme
çalışmalarına büyük önem ve ön-
celik verdi. Bugün Çin 618 milyon
internet kullanıcısıyla dünyanın en
büyük pazarına sahip; bu nedenle
de dijital dünyasını geliştirme-
ye ama bir yandan da kontrolü
artırmaya büyük çaba sarf ediyor
- içeride ve dışında yükselen ses-
leri bastırmak için binlerce kişiyi
istihdam ederek, 1994’te “Nati-
onal and Networking Facility of
China” kuruldu. Norton Cybercrine
Report’un 2013 raporuna göre;
Çin’de siber suç oranı % 83’lere
ulaşıyor. Her gün bir milyon Çinli
siber saldırılara hedef oluyor; mu-
halifler izleniyor, askeri ve bilimsel
casusluk yapılıyor. Bunları yapar-
ken en büyük müttefikler tabii
ki 140 ülkede faaliyet gösteren
Huawei ya da 160 ülkeye teknoloji
satan ZTE gibi telekom devleri
(Huawei’in Kurucusu Ren Zhengfei
eski Çin Halk Kurtuluş Ordusu
mensubu). Huawei’nin truva atları
ve casus yazılımları yerleştirerek
sanayi, finans, ekonomi, bilim
alanında stratejik öneme sahip
bilgilere ulaştığı, savunma ve
güvenlik kritik altyapılarını hedef
alabileceği tahmin ediliyor. 2012
de ABD Temsilciler Meclisi Huawei
ve ZTE’nin Amerikan şirketleri ve
kamu kuruluşlarıyla çalışmasına
karşı çıksa da; Çin’in Amerikan
pazarından geri çekilme tehdidi bu
önerinin hayata geçmesini önledi.
Ancak yine de, ABD ve Çin; ne
zaman ticari ilişkilerini müzakere
için masaya otursa, siber güvenlik
öncelikle gündeme geliyor. ABD,
sürekli Çin’i resmi ve ticari kurum-
larına siber saldırılar yapmakla
suçluyor, Çin de sürekli bu iddiaları
reddediyor.
Kim haklı?
Önce Çin ve ABD arasındaki siber
mücadeleyle ilgili yakın tarihe
bakalım:
7-8 Haziran 2013: Sunnylands
zirvesinde bir araya gelen ABD
Başkanı Barack Obama ve Çin
Devlet Başkanı Xi Jinping, zirvenin
ardından yaptıkları açıklamada “Si-
ber Güvenlik Ortak Çalışma Ekibi”
kurduklarını belirttiler. ABD; adil
rekabet ve hırsızlığa karşı durmayı
talep ettiğini duyurdu.
Haziran 2013: Amerikan Ulusal
Güvenlik Ajansı’nın (NSA) eski
çalışanı Edward Snowden’ın Hong
Kong’dan yaptığı açıklamaları
dünya gündemine bomba gibi düş-
tü. Snowden; uluslararası basın
kuruluşlarına sızdırdığı belgelerde,
NSA’nın casusluk faaliyetlerinin
gün ışığına çıkardı. Bunun üzerine
Çin, ABD’yi ‘ikiyüzlülükle’ suçladı
ve Snowden’ın Hong Kong’dan
kaçarak Rusya’ya gitmesine izin
verdi.
Mayıs 2014: ABD Başsavcısı
Eric Holder; büyük jürinin beş Çinli
askeri hackerı Amerikan şirket-
lerine saldırmaktan ötürü suçlu
bulduğunu açıkladı. Enerji ve metal
endüstrilerinde faaliyet gösteren
altı şirketten (Westinghouse Elect-
ric, US Steel, Allegheny Technolo-
gies, Alcoa ve SolarWorld ile BD
Çelik İşçileri Sendikası) ticari sır
çalmakla suçlanan Çinli yetkili-
ler; Amerikan ulusal güvenliğini
çiğnemekle suçlandılar. Bu kararın
üzerine Çin ve ABD arasında siber
güvenliğe dair kurulan çalışma
grubu dağıtıldı.
Mart 2015: Çin Kızıl Ordusu; ilk
defa siber saldırı ekiplerinin varlı-
ğını kabul eder nitelikte bir rapor
yayınladı. Daily Beast’e göre, Çin
Halk Kurtuluş Ordusu’nun en üst
düzey araştırma ekibi tarafından
10 yılda bir hazırlanan “Askeri
Stratejinin Bilimi” adlı yayınında,
ülkenin gizli siber savaş güçlerinin
varlığından bahsediliyor.
13 Haziran 2015: ABD; Çin’le
bağlantılı hacker’ların istihbarat
ve ordu personeliyle ilgili hassas
bilgileri çaldığını iddia etti. Ameri-
kan güvenlik personelinin çalınan
kişisel verileri arasında fiziksel
özelliklerinden, mali geçmişlerine,
madde bağımlılıklarından, akraba
ve yakınlarının iletişim bilgilerine
kadar pek çok detayın yer aldığı ve
bu bilgilerle şantaj yapılabileceği
aktarıldı. Saldırıdan 14 milyon
kişinin etkilenmiş olabileceği
belirtilirken; Çin yönetimi iddiaları
reddetti.
25 Haziran 2015: Amerikalı ve
Çinli yetkililer bir araya gelerek;
siber casuslukla ilgili “ahlak
kuralları” üzerinde çalıştıklarını
açıkladı.ABD Dışişleri Bakanı John
KERRY;
“ABD ve Çin, siber güvenlik
alanında bir devletin nasıl tutum
sergileyeceğine dair birlikte çalış-
malı. Siber faaliyetler konusunda
eylem kuralları oluşturmak adına
Çin, birlikte çalışmayı kabul etti”
açıklamasında bulundu.
5 Temmuz 2015: ABD’nin eski
dışişleri bakanı Hillary CLİNTON;
Çin’in ABD’nin ticaret ve devlet sır-
larını çaldığını öne sürerek, “Çin,
38. 34 n GüvenlikYönetimi Kasım 2015
ABD’de hareket etmeyen her şeyi
hackliyor” dedi. Çin ise Clinton’a
yanıt vermemeyi tercih etti.
25 Eylül 2015: ABD Başkanı Ba-
rack Obama ve Çin Devlet Başkanı
Xi Jinping, birbirlerine karşı siber
saldırı düzenlemeyecekleri, inter-
neti ticari sırlar ya da fikri mülkiyet
hırsızlığı için kullanmayacakları ko-
nusunda anlaştıklarını duyurdular.
İlk bakışta, bu anlaşma özellikle
ABD için bir zafer gibi görünse
de, pratikte pek bir anlam ifade
edecekmiş gibi durmuyor; hatta
Amerikan şirketlerinin yaşadığı
bilgi hırsızlıklarının %80’ inin Çin
kaynaklı olduğu tahmin edilirken
sorunlar daha da büyüyebilirmiş
gibi duruyor. Çin’in Amerikan
vatandaşlarını, şirketlerini ve
hükümetini hacklemek için güçlü
dürtülere ve artan bir iştaha
sahip olduğunu bildiğimizden, bu
anlaşmanın yalnızca ABD tarafında
politik duruş sergilemek dışında
bir getirisi olmasını beklemek
mümkün değil.
ABD ve Çin ekonomik siber
güvenlik anlaşması neden
işlemez?
• Anlaşma, ticari avantaj sağla-
ma amaçlı hacking işini yasaklıyor
ama hükümetlerin diğer hükümet-
ler hakkında casusluk yapması
dahil diğer hacking türlerine değin-
miyor. Örneğin; milyonlarca Ameri-
kan güvenlik personelinin çalınan
kişisel verileri ve parmak izleri bu
anlaşmanın yasak kapsamına gir-
miyor. Bu şartlarda, Çin hükümeti
IRS sistemine girip bütün mükellef-
lerin vergi iadelerini çalabilir ve bu
anlaşmayı ihlal etmiş olmaz!
Anlaşma herhangi bir standart
tanımlamıyor: Hacking nedir? Ka-
bul edilebilir eylem nedir? Saldırı
nedir? “Ticari” kelimesinin kapsa-
mı nedir? (Özellikle de Çin’deki en
büyük 12 şirket devlete ait iken)?
Saldırıya uğrayan bir şirketin karşı
saldırı hakkı doğar mı?
Anlaşma bireylerin ya da şirket-
lerin ticari hırsızlık dışında amaç-
larla saldırıya uğramalarını suç ilan
etmiyor.
Anlaşmanın icra edilebilirliği
yok; çünkü hiçbir denetim meka-
nizması ya da strateji tanımlanma-
mış. Üstelik hacker’ların Çin’de ya
da Amerika’da olmaları gerekmi-
yor; her yerden saldırabilirler, ya
da taşeron hacker’lar kullanabilir-
ler.
Filmlerde izlediğimizin aksine,
profesyonelce gerçekleştirilmiş
saldırıların kaynağını tespit etmek
çoğunlukla en başarılı uzmanlar
için bile mümkün değil (tespit
edilse bile inkar etmek için geniş
gri alanlar mevcut).
Anlaşma tarafsız ölçütler
içermiyor; kimi neyi ne kadar ihlal
ettiğini ölçümlemek mümkün değil.
Anlaşmaya uyulduğunun ya da ihlal
edildiğinin bir ölçüsü olmadan,
taraflardan birinin diğeri hakkında
bir şikayette bulunmasının anlamı
ne? ABD şikayet ettiğinde Çin’in
kaç kişiyi tutukladığından yola
çıkarak bir yere varılabilir mi? Bu
durumda, Çin ABD’nin tespit ettiği
korsanları tutuklayarak anlaşmaya
uyuyor görüntüsü verip; bir yandan
da başka korsanlara göz yumabilir
ya da taşeronlar üzerinden bizzat
kendisi bu faaliyetleri yürütebilir.
Çin, çok iyi niyetle anlaşma-
ya sadık kalmak istese de Çin’li
hackerların saldırılarını önlemek
için gerekli kaynaklara sahip olup
olmadığı bilinmiyor.
Anlaşma, Çin’de uygulanan
sansür ve insan hakları ihlallerine
değinmiyor. Kimilerine göre bunlar
siber güvenlik konuları değil ama
devletin uyguladığı yasakçı poli-
tikalar ister istemez hackerların
uzmanlık seviyelerini artırıyor.
Anlaşma; iki ülkenin “bilerek”
siber hırsızlık yapmayacakları ko-
nusunda mutabık olduklarını ifade
ediyor. Buradaki “bilerek” kelimesi
biraz sorunlu, çünkü taraflar her
zaman bilgi sahibi olmadıklarını
iddia edebilirler. Bu konu da her iki
tarafın da sabıkaları var.
Anlaşma bazı sınırlı eylemlere
kısıtlama getirirken, aslında tolere
edilemez başka eylemlere değin-
meyerek adeta onları yasal hale
getiriyor.
Siber Güvenlik konusunda kim-
senin elleri temiz değil
NSA’in yaptığı casusluklar, İran’ın
nükleer programına yapılan Stuxnet
saldırısı ABD’nin masum olmadığını
gösterse de, Çin’in de şirketlerin
rakiplerine saldırı düzenlemelerine
göz yumması onu daha iyi bir yere
taşımıyor. Bu konuda gerekçe
nefs-i müdafaa olarak gösterilse
bile, altyapısı ve teknolojik yatırım
imkanları olan her devlet, siber
casusluk yapmaktan geri durmuyor,
biz yalnızca yakalananları biliyoruz.
KAPAK KONUSU
39.
40. 36 n GüvenlikYönetimi Kasım 2015
K
aspersky Lab tarafından
2015 yılında B2B Internati-
onal ortaklığıyla Türkiye’nin
de aralarında olduğu 28
ülkedeki 5.500’den fazla
şirkette gerçekleştirilen uluslararası
bir araştırma; en pahalı güvenlik ihlali
türlerinin çalışan dolandırıcılığı, siber
casusluk, ağ ihlalleri ve üçüncü taraf
tedarikçilerinin hataları olduğunu
gösterdi. Bir güvenlik ihlalinden kurtul-
mak için gerekli olan ortalama bütçe,
kurumlar için 551.000 ABD Doları;
küçük ve orta ölçekli işletmeler için
ise 38.000 ABD Doları. BT güvenlik
sistemlerindeki ciddi bir ihlal, pek çok
kurumsal soruna neden oluyor. Verilen
zararlar çok çeşitli olabileceği için,
bazen kurbanların bir ihlalin toplam ma-
liyetini tahmin edebilmesi zor oluyor.
Bu araştırmada kullanılan yöntemler,
şirketlerin bir ihlali takip ederken para
harcamak ya da bir ihlalin sonucu
olarak para kaybetmek zorunda kaldığı
alanları ortaya koymak için önceki yılla-
rın verilerine dayandırıldı. Genel olarak
işletmeler, profesyonel hizmetler için
(dışarıdan gelen BT uzmanları, avukat-
lar, danışmanlar, vb.) daha fazla para
harcamak ve kaybedilen iş fırsatları
ile kesintiler yüzünden daha az para
kazanmak zorunda kalıyorlar.
Farklı her sonucun gerçekleşme
olasılığı da farklıdır ve şirketin boyu-
tuyla birlikte bu durum da göz önünde
bulundurulmalı. Dolaylı harcamaların
tahmin edilmesi için benzer bir yöntem
kullanıldı: kurtarmadan sonra işletme-
lerin bu konuya ayırdığı bütçe yine
de bir güvenlik ihlaline bağlıdır. Bu
yüzden yukarıda bahsedilen rakam-
ların yanı sıra işletmeler; istihdam,
eğitim ve altyapı yükseltmeleri için
8.000 ABD Dolarından (küçük ve
orta ölçekli işletmeler) 69.000
ABD Dolarına (kurumlar) varan
tutarlarda harcama yapmakta.
İhlale uğramış bir kurumun
ortalama faturası:
Profesyonel hizmetler (BT,
risk yönetimi, avukatlar): %88
olasılıkla 84 bin ABD Doları’na
kadar
Kaybedilen iş fırsatları: 203
bin ABD Doları’na kadar, %29
olasılık
Çalışmama süresi: 1.4 milyon
ABD Doları’na kadar, %30 olasılık
Toplam ortalama: 551.000 $
Dolaylı harcama: 69 bin ABD
Doları’na kadar
İtibarın gördüğü zararla birlik-
te: 204.750 ABD Doları’na kadar
Küçük ve orta ölçekli işletmeler
ve kurumlar
Araştırmaya katılan on şirketten
dokuzu, en az bir güvenlik olayı
rapor etti. Ancak bütün olaylar ciddi
değildi ve/veya hassas verilerin
kaybına neden olmamıştı. Ciddi
bir güvenlik ihlali sıklıkla; kötü amaçlı
yazılım saldırısı, kimlik avı, verilerin
çalışanlar tarafından sızdırılması ve zayıf
noktalarından yararlanılan yazılımların
sonucu. Maliyet tahmini, BT güvenliği
olaylarının ciddiyeti konusuna yeni bir
bakış açısı kazandırıyor ve küçük ve
orta ölçekli işletmeler ile kurumlar için
manzara farklı. Büyük şirketler; bir gü-
venlik ihlali güvenilen bir üçüncü tarafın
hatasının sonucu olduğunda daha fazla
para ödüyor. Diğer yüksek masraflı ihlal
türleri arasında ise çalışanların dolandı-
rıcılığı, siber casusluk ve ağ ihlalleri yer
alıyor. Küçük ve orta ölçekli işletmeler,
neredeyse her ihlal türünde ciddi mik-
tarda para kaybetme eğilimi gösterirken
DDoS ve kimlik avı saldırılarının yanı
sıra casusluk eylemlerinden kurtulmak
için de benzer şekilde yüksek bedeller
ödüyor. Kaspersky Lab Pazar İstihbarat
Ekibi Başkanı Brian Burke; “BT güvenlik
ihlallerinin çok büyük para kayıplarıyla
sonuçlandığı çok fazla rapor görmedik.
Bir ortalama ortaya koyan güvenilir bir
yöntem bulmak zor ancak bunu yapmak,
kurumsal tehdit manzarasının teorisini
iş uygulamasıyla birleştirmek zorunda
olduğumuzu anladık. Sonuç olarak,
en ciddi zararlara neden olan kurum-
sal tehditlerin bir listesini oluşturduk;
işletmelerin en çok bu tehditlere dikkat
etmesi gerektiğine inanıyoruz,” şeklinde
yorum yaptı.
KAPAK KONUSU
KASPERSKY LAB
İşletmeler, bir güvenlik ihlali yüzünden
neredeyse yarım milyon ABD doları kaybediyor
Küçük ve orta ölçekli işletmeler, neredeyse her ihlal türünde
ciddi miktarda para kaybetme eğilimi gösterirken DDoS ve
kimlik avı saldırılarının yanı sıra casusluk eylemlerinden
kurtulmak için de benzer şekilde yüksek bedeller ödüyor.
41.
42. 38 n GüvenlikYönetimi Kasım 2015
FOKUS
K
ritik altyapılar genel
olarak antifonksiyonel
hale geldiğinde sosyal
ve ekonomik yaşama
ciddi zarar verebile-
cek fiziksel mekânlar, sistemler
veya organizasyonlar şeklinde
tanımlanabilir. Bunlar genellikle
enerji, su ve gıda tedarikleri, atık
yönetimi, kilit nakliye ağları (ana
hava alanları ve demiryolları),
mali kuruluşlar ve nakit tedariki,
sağlık hizmetleri ve devlet acil
durum kuruluşlarını kapsar.
AB üye devletleri ve komşuları
arasında bu kritik altyapılar sık-
lıkla özel – kamu mülkiyetinde/
sorumluluğunda değerlendirilir.
Bunların Avrupa ülkelerinde
güvenlik ve korunma işlemleri;
devlet yetkilileri (polis, uzman ko-
ruma hizmetleri ve zaman zaman
ordu) ve özel güvenlik şirketleri
tarafından sağlanır ve bunların
temsilcilerini kapsar.
Kritik altyapıya gelen tehditlerin
bir kısmı insan kaynaklı olabil-
Mustafa ALTUN – Direktör
ISS PROSER KORUMA VE GÜVENLİK HİZMETLERİ A.Ş.
Kritik altyapıların güvenliği
ve korunması
Kritik altyapılar genel olarak antifonksiyonel hale
geldiğinde sosyal ve ekonomik yaşama ciddi
zarar verebilecek fiziksel mekânlar, sistemler veya
organizasyonlar şeklinde tanımlanabilir.
43. Kasım 2015 GüvenlikYönetimi n 39
diği gibi örneğin terörizm ya da
diğer kriminal etkinlikler; ayrıca
doğadan da gelebilirler – fırtına,
volkanik patlamalar, seller
veya diğer çevresel felaketlerden
de kaynaklanabilirler. Kritik
altyapı bir dereceye kadar
onunla ilgili kişilerden kaynakla-
nabilir, ancak aynı zamanda grip
salgını gibi büyük miktarda ve
sayıda kritik personeli kapsayan
hastalıklar da tehdit unsuru
olabilirler.
Avrupa Birliği son zamanlarda
kritik altyapı koruması inisiyatifi
çalışmalarına başlamıştır. Bu
Avrupa Kritik Altyapı Yönergeleri
‘Avrupa’ diye adlandırılan kritik
altyapıya odaklıdır (ECI) – bunlar
zarar görmeleri halinde en az iki
AB üye devleti veya bu sistem ya
da yapının bulunduğu ülke dışın-
da bir üye devlet üzerinde büyük
etki yapacak olan aktif varlıklar
ya da sistemlerdir.
Aslında kritik altyapının çoğu
ulusal, hatta yereldir. Ayrıca
Yönergenin AB üye devletlerine
yüklediği zorunluluklar oldukça
hafiftir ve Avrupa kritik altyapısı
ile ilgili yetkinlik ve kararların
büyük kısmını üye devletlere
bırakmaktadır.
Ulusal politikalar
Bugün AB üye devletlerinin
çoğunun ve de diğer Avrupa
ülkelerinin ulusal kritik altyapı
korumasına önem verdikleri
ve analiz yaptıkları açıktır. Bu
alanda birçok ulusal program
ve politika mevcuttur. Ancak
CoESS (Avrupa Güvenlik Servis-
leri Konfederasyonu) bu plan ve
programların fazlasıyla siyasi bir
düzeyde olduğunu ve kritik altya-
pının gerçek günlük korunması
ve yönlenmesi/talimatı için ye-
terli olmadığını düşünmektedir.
Ayrıca ülkelerin tek tek politikaları
değerlendirildiğinde bu politika-
ların tanım, amaç ve yaklaşım
olarak büyük farklılıklar gösterdiği
bir gerçektir.
Kritik altyapıların korunması
için yapılan hazırlık çalışmaları-
nın bir kısmı olarak CoESS üye
federasyonları arasında kritik
altyapı koruması hakkındaki
ulusal yönetmeliklerle ilgili bir
anket çalışması yapmıştır. Üye
federasyonlar konu hakkında
soruları cevaplamış ve ülkeler
arasındaki ‘kritik altyapıyı’ neyin
oluşturduğu’ tanımı ve de bu
altyapının güvenlik ve koruması-
nın en iyi şekilde nasıl yapılacağı
hakkındaki geniş çaplı değişik
uygulamaları raporlamışlardır.
Oldukça şaşırtıcı şekilde birçok
ülkede kritik altyapı için resmi bir
tanım bulunmamakta ve dolayı-
sıyla bunun nasıl güvenlik altına
alınacağı ve korunacağı hakkında
da kuralları olmamaktadır.
CoESS günümüzün küresel
güvenlik ortamında bunun bir
eksiklik olduğuna inanmaktadır.
Bu aynı zamanda da tanım gereği
olarak Avrupa hükümetlerinin
ulusal kritik altyapı koruması so-
runlarını görüştükleri zaman ortak
bir anlayışa sahip olup olma-
dıklarını bilemedikleri anlamına
gelmektedir.
Başarılı uygulamalar ve vaka
çalışmaları
Üye federasyonlarından edindiği
geniş deneyimiyle CoESS kritik
altyapıyı güvenlik altına almak
ve korumak için birlikte çalışan
kamu ve özel kuruluşlardan bazı
önemli örnekler saptamıştır. Bir-
çoğu arasından bazıları şunlardır:
Özel güvenlik elemanlarını
terörizm karşıtı bilinç ve tepki ko-
nusunda eğitmek ve ilgili bilgileri
onlarla paylaşmak için İngiltere
polisi tarafından idare edilen bir
programın oluşturulduğu;
Almanya’da kentlerde etkin
bir şekilde gece devriye gezen
mobil güçlerin sayısı üç katına
çıkartılarak bunların vakalara iliş-
kin bilgi ve istihbaratlarının mobil
özel güvenlik devriyeleri tarafın-
dan polise verilmelerini sağlayan
bir sistemin işletildiği;
İspanya’da işbirliği kapsamın-
da özel güvenlik anlaşmaları ve
onlarla bağlantılı insan gücünü
de kapsayan bir veri tabanının
özel güvenlik sektörü ve polis
arasında paylaşılmasını sağlayan
ve ayrıca polisin özel güvenlik
mensuplarıyla bilgi paylaşımını
sağlayan kapalı bir telefon hattı-
nın oluşturulduğu bilinmektedir.
İngiltere – Griffin Projesi
Griffin Projesi birçok kez terörist-
Kritik altyapıya gelen tehditlerin bir
kısmı insan kaynaklı olabildiği gibi örneğin
terörizm ya da diğer kriminal etkinlikler;
ayrıca doğadan da gelebilirler – fırtına,
volkanik patlamalar, seller veya diğer çevresel
felaketlerden de kaynaklanabilirler.
44. 40 n GüvenlikYönetimi Kasım 2015
FOKUS
lerce hedef alınan İngiltere’nin
başkentinin güvenliğinden sorum-
lu Londra Kenti polisi tarafından
altı yıl önce gerçekleştirilmiştir.
Dört ana etkinlikten oluşur:
Yerel polis tarafından; bildiri-
len özel güvenlik güçleri mensup-
ları için bilinçlenme programları
uygulanır. Bunlara potansiyel
bir hedef hakkında bir terörist
araştırmasının yapıldığının nasıl
anlaşılacağı, nasıl cevap verile-
ceği ve şüpheli etkinliklerin nasıl
raporlanacağına dikkat çekilir.
Katılımcıların ilgi ve becerileri-
ni sürdürecek ve resmi tanınırlık
veren online yenilenme kursları
düzenlenir.
Konferans telefon görüşmesi,
SMS mesajı veya e-posta ile mev-
cut istihbarat ve bilgi raporlarının
zamanında gönderilmesini temin
etmek için polis ve güvenlik ele-
manları arasında düzenli iletişim
sağlanır.
Acil durum konuşlanması:
Griffin eğitiminden geçmiş özel
güvenlik güçleri elemanları polis
tarafından olaylara müdahale
etmek için destek olarak, örneğin
insan kordon safları sağlamakta
kullanılabilir.
Griffin Projesi İngiltere’deki polis
güçlerinin ve de özel güvenlik
sistemleri olan liman ve hava
alanlarının polis güçlerinin yarısını
kapsamaktadır. Aynı zamanda
Amerika Birleşik Devletleri,
Avustralya ve Singapur’da da ilgi
toplamaktadır.
Almanya – Güvenlik Ortaklığı
Programı
Bazı Alman kentlerinde özel gü-
venlik şirketleri yerel polisle bilgi
toplama ve bunu polise aktarma
için polisle işbirliği yapmaktadır-
lar. Bu projelerde özel güvenlik
şirketlerinin müşteri yerleşimle-
rinde devriye gezen mobil güçler
şüpheli kişi ya da araç görebilirler
ya da olası yasa dışı etkinliğe
şahit olabilirler. Memurlar bunu
kendi şirketlerinin operasyon
merkezine iletirler ve burası da
bilgiyi değerlendirir ve gerekirse
harekete geçilmesi için yerel
polise aktarır.
Bu projeler çok etkili olmuş ve
Alman polis güçleri tarafından
çok iyi karşılanmıştır. Özel mobil
devriyelerle birlikte her gece
sokaklarda bulunan “denetim
araçlarının” sayısı bu kentler-
deki polis devriye araçlarıyla kar-
şılaştırılınca iki katından fazlaya
(bazı durumlarda neredeyse üç
katına) çıkmıştır.
Örneğin bir Alman kenti olan
Dusseldorf’ta sistem 12 soygun
ve bir yangın da dahil olmak
üzere 500’den fazla şüpheli
aktivite raporu oluşturulmasını
sağlamıştır.
İspanya – polis ve özel güven-
lik birlikteliği
İspanya’da polis özel güven-
lik elemanlarının değerli bir
potansiyel kaynak olduğunun
farkındadır. Bu nedenle özel
güvenlik şirketleri ve müşterileri
arasında imzalanan tüm söz-
leşmeler sağlanacak hizmet ve
eleman sayısı dahil olmak üzere
detaylar belirtilerek polise kayıt
ettirilmek zorundadır.
Polis aynı zamanda özel gü-
venlik sektörü ile hızlı iletişimi
sağlamak için 24-saat esasına
Bugün AB
üye devletlerinin
çoğunun ve de diğer
Avrupa ülkelerinin
ulusal kritik altyapı
korumasına önem
verdikleri ve analiz
yaptıkları açıktır. Bu
alanda birçok ulusal
program ve politika
mevcuttur.
45.
46. 42 n GüvenlikYönetimi Kasım 2015
FOKUS
dayalı bir telefon muhabere siste-
mi tesis etmiştir.
Kamu – özel güvenlik işbirliği-
nin önemi
Kritik altyapının güvenliği ve ko-
runması, kamu – özel ortaklıkları-
nın kamusal mülkiyet veya kamu-
sal yönetim veya kamu hedefleri
denebilecek genellikle kamusal
özellikleri (ulusal ya da yerel) göz
önüne alındığında en uygun uygu-
lama alanlarından birisidir. Aynı
zamanda şüphesiz ki Avrupa’da
özel güvenlik sektörüyle ilgili
giderek artan bir gelişmedir ve
daha fazla sektör ve varlık özel
güvenlik sektörünün yararına
olarak kamu güvenliğinden alın-
maktadır. CoESS bu gelişmeyle
ilgili olarak bir yargıda bulunmak
istememektedir, ancak tüm
Avrupa ülkelerinde kamusal
alanda özel güvenlik şirketlerinin
ve özel güvenlik elemanlarının
mevcudiyetinin artışına şahit
olmaktadır. Bunun birçok nedeni
vardır: toplumun her kesiminde
artan güvensizlik duygusu, polis
ve diğer kamu güvenlik kuru-
luşlarının kısıtlı kaynakları, özel
güvenlik hizmetlerinin giderek
artan kalitesi ve profesyonel
tutumları ve son olarak özel gü-
venliğin uzun süreli uzmanlığına
dayalı yenilikçi ve esnek katma
değerleridir
Yukarıda sözü edilen vaka çalış-
maları iyi tanımlı, iyi yönetilen ve
iyi izlenen kamu – özel ortaklıkla-
rının yetkin ve etkin olduklarının
ve şüphesiz ki kritik altyapının
güvenliğini arttırdıklarının açık
göstergeleridir.
Sözü edilen vaka çalışmaları
aynı zamanda başarılı olmak için
bu ortaklıkların belirli ölçütlere
uymaları gerektiğini de göster-
mektedirler. Bu ölçütler şunları
içerir: sorumlu kamu yetkilileri ve
özel güvenlik sağlayıcılar arasın-
da açık bir diyalog, her ortağın
rolüyle ilgili olarak açık yönerge-
ler, açık bir yasal ya da sözleşme
çerçevesi, düzenli değerlendirme
süreleri ve gereken zaman ve
yerlerde gerekli düzeltme ve ge-
lişmelerdir. Ayrıca bu etkileşimin
ilgili ortaklıkların sorumluluğunda
özellikle kurulmuş resmi ortak
yapıları kapsamında oluşması
gerektiğini söylemeye de elbette
gerek kalmamaktadır.
Bu ölçütleri yerine getirmek ve
belirli kritik altyapı güvenlik ve
koruması için kamu – özel ortak-
lıklarının başarı ve etkinliğini en
iyi duruma getirmek için her bir
ortağın rollerini, sorumluluklarını
ve sınırlarını çok iyi anlaması
hayati önem taşır. CoESS’in
düşüncesine göre bu öğelerin
bilinmesindeki eksiklikten dolayı
Avrupa genelinde kritik altyapı
güvenlik ve koruması için kamu
– özel ortaklıkları hala gelişme-
miştir ve maksimum potansiyelle-
rine ulaşabilmeleri için yeterince
kullanılmamaktadır.
Bundan dolayı CoESS bu belgede
ana hatları oluşturmaktadır ve
bunlar tam olarak izlenirse kritik
altyapının güvenliğinin ve korun-
masının konu kapsamındaki tüm
paydaşların yararına olarak daha
iyi ve daha yetkin bir şekilde
sağlanacağından emindir.
Kasım 2009’da Avrupa Komisyo-
nu Kamu – Özel Ortaklık Geliş-
tirme hakkında Bildirim kuru-
munu kurdu. Bildirim tamamen
CoESS’in güvenlik alanında kamu
– özel ortaklıklarla ilgili vizyonu
ile uyum içinde olan bazı çok
ilginç ve yararlı fikirler sağlamak-
tadır.
Özel güvenlik şirketlerinin kendileri
kritik altyapı güvenliği ve koruması için kamu
– özel ortaklıklar kurulması ve uygulanmasında
kilit rol oynarlar. Daha önce de belirtildiği gibi
tüm paydaşlarla bir diyalog olması temel bir
başarı noktasıdır.
47.
48. 44 n GüvenlikYönetimi Kasım 2015
FOKUS
Avrupa Komisyonu bu bildirimi
niçin ortaya koymaktadır?
Bu komisyon için bir öncelikli
politikadır ve Avrupa Ekonomik
Kalkınma Planında ve Başkan
Barroso’nun bir sonraki komisyon
için politik ana hatlarında sözü
edilmektedir. Ana noktası kamu
ve özel sektörler arasında işlevli
bir işbirliği kurmak, bilgi iletişimi
ve ağ bağlantısı etkinlikleri, PPP
projelerinin yenilikçi finansal ve
yenilikçi organizasyonlarını sür-
dürmektir.
Avrupa Komisyonu’na göre
kamu – özel ortaklıkları (PPPs)
nelerdir?
Kamu – özel ortaklıkları kamu
yetkilileri ve şirketler arasında
genellikle altyapı projelerini ger-
çekleştirmek veya kamu için hiz-
met sağlamak amacıyla yapılan
işbirlikleridir. Bu düzenlemeler
kamu sektörünün birçok alanında
geliştirilmiştir ve AB kapsamında
özellikle ulaşım, kamu binaları ya
da çevre alanlarında kullanılmak-
tadır.
PPP’leri kullanmanın potansi-
yel sosyal yararları nelerdir?
İyi düzenlenir ve uygulanırsa PPP
ler hükümetlere altyapı yatırımları-
nı daha etkin bir şekilde yapma-
larına yardımcı olacak gerçek
yararlar sağlayabilirler ve bunu az
bulunan kaynakları diğer ulusal
harcama önceliklerine aktararak
harcamaları için daha iyi değer-
lendirme almalarını sağlarlar.
Böyle bir proje önemli sosyal
yararları kapsayabilir. Bunlar
vatandaşlara sağlanacak hizmet-
lerin sıklığı ya da temizliği gibi,
güvenlik şartları gibi, ya da yerel
ya da ulusal komitelerin belirli ih-
tiyaçlarını karşılayacak önlemler
gibi konular için kalite ölçütlerini
içerebilirler. Elde etmek istediği
sosyal hedefler ve sonuçlara
göre sözleşmeyi yapacak olan ku-
ruluş gereken noktaları sözleşme
şartları olarak tanımlayabilir.
Özel güvenlik şirketleri
Özel güvenlik şirketlerinin kendi-
leri kritik altyapı güvenliği ve ko-
ruması için kamu – özel ortaklık-
lar kurulması ve uygulanmasında
kilit rol oynarlar. Daha önce de
belirtildiği gibi tüm paydaşlarla
bir diyalog olması temel bir başa-
rı noktasıdır. CoESS özel güvenlik
şirketlerinin daha proaktif olmaları
gerektiğine ve kendi inisiyatiflerini
kullanarak mülkiyet sahibi olanlar
ve işletmeciler dahil, sorumlu yet-
kililerle temas kurmaları gereğine
inanmaktadır.
Özel güvenlik şirketleri muhtemel
ortaklarına kritik altyapı güvenliği
ve korumasını yetkin ve yüksek
kalitede yapabileceklerini gös-
termelidirler. Şüphe yoktur ki
bunu ancak daha önce belirtilen
ölçütlere uyarak yapabilirler.
Hizmetlerini ileri derecede etik ve
profesyonel bir şekilde sağlamak,
elemanlarının uygun şekilde eği-
timlerini garanti etmek (bu zorunlu
olmayan ve uzun süreli hizmet içi
eğitim gerektirse bile) ve eleman-
larına uygun ücret vermek onların
sorumluluğundadır. Ancak bu
yönlerini gösterdikleri takdirde
güvenliği organize etmekte karar
verme yetkisi olanlar tarafından
ciddi şekilde karşılanacaklardır.
Kapsamlı bir risk değerlendirmesi
yapmak da son derece önemli-
dir. Aynı zamanda özel güvenlik
şirketlerinin bir görevi de mülkiyet
sahipleri ve işletmecilerle olan
görüşmelerinde sağlayacakları
herhangi bir hizmetten önce tam
ve kapsamlı bir risk değerlendir-
mesi talep etmektir.
Özel güvenlik şirketlerinin ge-
nellikle risk değerlendirmesi
konusunda derin bilgileri ve uz-
manlıkları vardır; mülkiyet sahibi –
işletmecilerle bu bilgi ve uzmanlığı
paylaşmalı ve böylece onları böyle
bir değerlendirmenin gereğine
inandırarak rehberlik etmelidirler.
Özel güvenlik şirketlerinin genellikle
risk değerlendirmesi konusunda derin
bilgileri ve uzmanlıkları vardır; mülkiyet
sahibi – işletmecilerle bu bilgi ve uzmanlığı
paylaşmalı ve böylece onları böyle bir
değerlendirmenin gereğine inandırarak
rehberlik etmelidirler.
49.
50. 46 n GüvenlikYönetimi Kasım 2015
FOKUS
B
ugün birçok ülkede iç
güvenlik programları kap-
samında “kritik tesisler/
altyapıların” korunması
ile bunun sürdürülebi-
lirliğinin sağlanması ve bütünlüğü
ön plandadır. Bazı kritik tesis ve
altyapılar şunlardır:
Askeri tesisler
Haberleşme sistemleri
Acil durum sistemleri
Kamu tesisleri
Nükleer enerji santralleri
Su arıtma tesisi
İçme suyu dağıtım tesisleri
Barajlar
Kritik tesis / altyapılar, işlevini
kısmen veya tamamen yerine ge-
tiremediğinde çevrenin, toplumsal
düzenin ve kamu hizmetlerinin yü-
rütülmesinin olumsuz etkilenmesi
neticesinde, vatandaşların sağlık,
güvenlik ve ekonomisi üzerinde ciddi
etkiler oluşturacak ağ, varlık, sistem
ve yapıların bütünüdür.
Kritik tesislere sağlanacak olan
güvenlik hizmeti, öngörülen/bekle-
nen ve beklenmeyen tehditlere karşı
tüm alanı güvenli hale getirmek;
olası tehdittin meydana gelmesin-
den sonra ise çok hızlı bir şekilde
güvenliği yeniden temin edecek
şekilde yapılanmış olmalıdır. Bu
Özlem DUYAR / Danışman
ELDEM ÖZEL GÜVENLİK VE KORUMA HİZ. LTD. ŞTİ.
Kritik tesis güvenliğinde ihmal
uluslararası kaos yaratır
Kritik altyapıları korumayla ilgili bilgi paylaşımı güven ve
gizlilik ortamında yürütülmelidir. Ulusal seviyede kritik altyapı
koruma bilgileri gizli olmalı ve sadece bilmesi gerekenlere
erişim hakkı verilmelidir.
51. Kasım 2015 GüvenlikYönetimi n 47
tesislerin oluşumunun ilk adımın-
dan itibaren; tasarım, mühendislik,
montaj, teslimat, eğitim, bakım ve
kalan hizmetlerin tüm alanlarında
up-to-date (güncel) teknolojileri kul-
lanarak kritik tesislerin korunması
için çözümler oluşturma esnekli-
ğine sahip gerek fiziksel gerekse
de yönetsel yapıların mevcudiyeti
oldukça önemlidir. Acil bir durumda
çözüme en uygun önlemler, mevcut
durumun gerçek zamanlı ve tesis-
teki tüm birimlerle entegre ortak
bir resminin sunulması ile sağlana-
bilir. Kritik altyapının bozulmasının
ya da yıkımının olası etkileri ile
zayıf noktalarını değerlendirebilmek
için ilgili tehdit senaryolarının göz
önünde bulundurulması olmazsa
olmaz bir analizdir. Dolayısı ile bu
tarz tesislerin güvenliğinin sağlan-
ması, sistemlerini korumak ve riski
en aza indirerek tehditlere yanıt
verebilmek için diğer ulusal sistem-
lerle entegre şekilde işletmek bir
gerekliliktir. Bu noktada AFAD (Afet
ve Acil Durum Yönetimi Başkanlığı)
tarafından da ele alınmış olan bazı
kavramlar ve hususlar üzerinde
durmanın faydalı olacağı görüşün-
deyim:
Avrupa Kritik Altyapıları (AKA):
Bozulması ya da yıkılması netice-
sinde en az iki üye devleti etkileye-
bilecek kritik altyapılardır.
Kritik Altyapı Koruma Avrupa
Programı (KAKAP): 2004 yılında
çıkarılan Tebliğ’e istinaden 2006
yılında ortaya konulan; net olarak
Avrupa’da “kritik altyapı” kavramını
tanımlayan; 11 adet kritik altyapı
sektörünü belirleyen ve öncelikli
olarak ulaştırma ve enerji sektörleri
üzerine yoğunlaşılması gerektiği
ifade edilen programdır.
Kritik Altyapı Uyarı Bilgi Ağı (KA-
UBA): Kritik altyapıların korunması
konusunda bilgi alışverişini sağla-
yan bir forum olup; üye ülkelere ve
komisyona kritik altyapılara yönelik
anlık riskler ve tehditler üzerine uya-
rılar yollama imkânı sağlayan ağdır.
Son yıllarda teknolojinin gelişmesi,
hızlı nüfus artışı, gelişmişlik düzeyi,
çevre kirliliği, çarpık kentleşmeye
bağlı olarak teknolojik afetlerin sayı-
sı ve sıklığı dünya genelinde olduğu
gibi ülkemizde de artış göstermiştir.
Uluslararası afet ve acil durumlar
veritabanı (EM-DAT – The Internati-
onal Disaster Database) bilgilerine
göre 1900 ile 2014 arasında dünya
üzerinde 7825 adet teknolojik afet
veya büyük kaza kaydedilmiş ve
birçok can ve mal kaybı meydana
gelmiştir. Kritik tesis / altyapı
güvenliği, özellikle 11 Eylül 2001
yılında ABD’deki ikiz kulelere yapılan
saldırı sonrasında ülkelerin üzerinde
daha yoğun bir şekilde düşündüğü;
öneminin her geçen gün daha da
arttığı bir kavram olmuştur. Dünya
genelinde, özellikle ABD ve Avrupa
olmak üzere, kritik altyapılarını
belirleme ve bu altyapıların her türlü
tehdit ve tehlikeye karşı korunması
için önemli adımlar atılmıştır. Kritik
altyapıların korunması sadece
ulusal bir konu olmayıp; uluslararası
alanda da çalışılması gereken çoklu
bir disiplindir. Türkiye gibi jeo-stra-
tejik önemi olan bir ülkenin kritik
altyapılarından birinin işlevsiz kal-
ması halinde sadece ülke içerisinde
değil; Türkiye’ye bağımlı ülkelerde
de kaosa neden olabilecek durum-
lar meydana gelebilir. Örneğin
ülkemizden geçen petrol-doğalgaz
boru hatlarının maruz kalacağı çev-
resel, fiziksel veya siber bir tehlike
karşısında sadece ülkemiz değil;
ülkemiz üzerinden enerji ithalatı
yapan tüm ülkeler bu durumdan
etkilenecektir. Yalnızca Türkiye’de
değil, Ortadoğu, Kafkaslar ve Afrika
gibi enerji kaynakları ve taşımacılığı
yoğun bölgelerde terör saldırıları-
nın yaklaşık %35’i enerji altyapı
unsurları üzerinedir. Türkiye’de
bölgeler arası petrol ve doğal gaz
ihtiyacını karşılayan toplam uzun-
luğu yaklaşık 20.000 kilometreyi
bulan bir petrol/doğalgaz iletim ağı
bulunmaktadır.
Terörizmle mücadelede kritik
altyapının korunması
Avrupa Birliği, kritik altyapıların
korunması konusunu sistematik
bir biçimde ilk defa 2004 yılında
gündemine almıştır. Komisyon,
Konsey’den gelen talep doğrultu-
sunda “Terörizmle Mücadelede Kri-
tik Altyapının Korunması” başlıklı
bir tebliğ yayınlamıştır. 11 sayfalık
belgede, kritik altyapının tanımı
yapılmış ve terörizmle mücadelede
altyapı unsurlarının korunması
için yapılması gereken çalışma-
lar özetlenmiştir. Bu belgenin
ışığında 2006 yılında hazırlanan
“Kritik Altyapılarının Korunması
İçin Avrupa Programı” (KAKAP)
başlıklı programda kritik altyapı,
“işlevsiz kalması veya hasar
görmesi durumunda üye ülkelerin
ve vatandaşlarının sağlık, güvenlik
ve ekonomisi üzerinde ciddi etkiler
oluşturacak fiziksel ve teknolojik
sistemler” olarak tanımlamıştır. Bu
kapsamda AB bünyesinde bulunan
kritik altyapı, tesis ve varlıkların
detaylı bir listesi hazırlanmıştır.
12 Aralık 2006 yılında yayımlanan
“Kritik Altyapının Korunması için
Avrupa Programı” Tebliği ile 11 ayrı
sektör tanımlanarak, üye ülkelerin,
sahip olduğu kritik altyapılarının bu
sektörler bazında her türlü saldırı,
Özlem DUYAR
52. 48 n GüvenlikYönetimi Kasım 2015
FOKUS
terör, sabotaj ve kazaya karşı ko-
runması için yapması gerekenleri
belirlemiş ve ülkelerin kendi mev-
zuatlarını bu sürece uyumlaştırma-
ları gerektiğini belirtilmiştir. Nihai
çerçeveyi çizen son düzenleme 8
Aralık 2008 tarihli 114 sayılı “Avru-
pa Kritik Altyapılarının Belirlenmesi
ve Koruyucu Tedbirlerin Arttırılması”
başlıklı direktiftir. Kritik altyapılar ve
bu altyapıların korunması konuları
ülkemizde ulusal bilgi güvenliği
başlığı altında değerlendirilmiştir.
Ulusal bilgi güvenliği konusunda
ülkemizde yürütülen çalışmaların
geçmişi ise gelişmiş ülkelerin bu
konu üzerinde çalışmalar yap-
tığı 1990’ların sonlarına kadar
gitmektedir. 1990’ların sonlarından
2006 yılına kadar Milli Savunma
Bakanlığı koordinasyonunda ulusal
bilgi güvenliği konusundaki hukuki
boşluğu gidermek için çalışmalar
yapılmıştır. Bu bağlamda, Ulusal
Bilgi Güvenliği Teşkilatı ve Görevleri
Hakkında Kanun Tasarısı Taslağı
hazırlanmıştır. Bu kanun tasarısının
amaçları;
Ulusal güvenliği ilgilendiren
bilgilerin korunması,
Devletin bilgi güvenliği faaliyetle-
rinin geliştirilmesi, gerekli politikala-
rın üretilmesi ve belirlenmesi, kısa
ve uzun dönemli planların hazırlan-
ması,
Kriter ve standartlarının saptan-
ması,
İhracat ve ithalat izinlerinin ve
sertifikalarının verilmesi,
Bilgi sistemlerinin teknolojiye
uyumunun sağlanması, uygulama-
nın takip ve denetimi kamu ve özel
kurum ve kuruluşların arasında koor-
dinasyonun sağlanması amacıyla bir
teşkilatın kurulması ve görevlerine
ilişkin esas ve usulleri düzenlemek
olarak belirlenmiştir.
Uzun süre çalışılmasına rağmen
kanun tasarısı üzerinde mutabakat
sağlanamamıştır.
TÜBİTAK’ın Kalkınma Bakanlığı
2012 Yatırım Programı içerisinde
yer alan “Kritik Altyapılarda Bilgi
Güvenliği Yönetimi Projesi” ve UDHB
sponsorluğunda hazırlanan raporlar
ülkemizdeki kritik altyapıların bilgi
güvenliği konusunda önemli bir adım
olmuştur. Şu ana kadar ortaya çıkan
tek yasal düzenleme 20 Ekim 2012
tarihli Resmi Gazetede Ulusal Siber
Güvenlik Çalışmalarının Yürütülmesi
ve Koordinasyonuna ilişkin Bakanlar
Kurulu Kararıdır. Bu önemli kararla
ülkemizin siber güvenliğinin sağ-
lanması konusunda idari, teknik ve
hukuki yapıların oluşturulması hız ka-
zanmış, siber güvenliğe ilişkin prog-
ram, rapor, usul, esas ve standartları
onaylamak ve bunların uygulanma-
sını ve koordinasyonunu sağlamak
amacıyla “Siber Güvenlik Kurulu”
oluşturulmuştur. Bu kurulun ilk
toplantısında “Ulusal Siber Güvenlik
Stratejisi ve 2013-2014 Eylem Planı”
kabul edilmiş ve 20 Haziran 2013 ta-
rihinde Bakanlar Kurulu Kararı olarak
yayımlanmıştır. Bu eylem planının 5
numaralı maddesinde Siber Güvenlik
Kurulu’nca ülkemizin kritik altyapıları
bilgi güvenliği kapsamında ilk etapta
“Ulaşım, enerji, elektronik haberleş-
me, finans, su yönetimi, kritik kamu
hizmetleri” olarak belirlenmiştir.
1981 yılında kabul edilen 2565
sayılı kanuna ilişkin olarak, 1983
yılında Resmi Gazete’ de yürürlüğe
giren “Askeri Yasak Bölgeler ve Gü-
venlik Bölgeleri Yönetmeliği” kritik
altyapılardaki bilgi güvenliğinin dı-
şında, fiziksel güvenliğine değinen
ilk yasal düzenleme olarak kabul
edilebilir. Ülkemizdeki net ifadeyle
kritik altyapıların çevresel tehdit
ve tehlikelerine ( deprem, sel vb.)
karşı korunmasına yönelik bir yasal
düzenleme ise maalesef bulunma-
maktadır. Son yıllarda artan terör
tehdidi ve yaşanan büyük çaplı
felaketler ülkeleri kritik altyapıların
korunması ile ilgili politika, strateji,
mevzuat, plan ve programlar yap-
maya; yapmış olanları da bütüncül
bir bakış açısıyla bunları yeniden
gözden geçirmeye itmektedir. ABD,
Japonya ve AB üyesi ülkeler başta
olmak üzere gelişmiş ülkeler, kritik
altyapılarını belirlemiş, bu altyapıla-
rın korunmasına ilişkin mevzuatla-
rını hazırlamış ve kritik altyapıların
korunması konusunda sorumlu
kurum ve kuruluşlarını tespit etmiş
olup; bu kurum ve kuruluşlarca
kritik altyapıların korunmasına
ilişkin planlı ve yoğun çalışmaları-
nı devam ettirmektedirler. 5902
sayılı Afet ve Acil Durum Yönetimi
Başkanlığı’nın Teşkilat ve Görevleri
Hakkında Kanun;
Afet ve acil durumlar ile sivil
savunmaya ilişkin hizmetlerin ülke
düzeyinde etkin bir şekilde gerçek-
leştirilmesi için gerekli önlemlerin
alınması ve olayların meydana
gelmesinden önce hazırlık ve zarar
azaltma,
Olay sırasında yapılacak müda-
hale ve olay sonrasında gerçekleş-
tirilecek iyileştirme çalışmalarını yü-
rüten kurum ve kuruluşlar arasında
koordinasyonun sağlanması ve bu
konularda politikaların üretilmesi
ve uygulanması hususlarını kapsa-
maktadır. Bu çerçevede konudan
sorumlu yukarıda bahsi geçen
kurumların ve konu ile ilgisi olan
diğer kurumların koordinasyonunda
Kritik tesis / altyapı güvenliği, özellikle 11
Eylül 2001 yılında ABD’deki ikiz kulelere yapılan
saldırı sonrasında ülkelerin üzerinde daha yoğun
bir şekilde düşündüğü; öneminin her geçen gün
daha da arttığı bir kavram olmuştur.
53.
54. 50 n GüvenlikYönetimi Kasım 2015
TÜBİTAK’ın
Kalkınma Bakanlığı
2012 Yatırım Programı
içerisinde yer alan
“Kritik Altyapılarda
Bilgi Güvenliği
Yönetimi Projesi” ve
UDHB sponsorluğunda
hazırlanan raporlar
ülkemizdeki kritik
altyapıların bilgi
güvenliği konusunda
önemli bir adım
olmuştur.
FOKUS
yetkili kurum olarak AFAD görül-
mektedir. Kritik altyapılar ve bu alt-
yapıların korunması ile ilgili olarak
ülkemizde şu ana kadar yapılmış
ve hazırlanmakta olan direk olarak
bu konuyu kapsayan bir mevzuat
çalışması bulunmamaktadır.
Ülkemizde EPDK (Enerji),
BDDK,SPK (Bankacılık ve Finans)
ve BTK (Elekronik Haberleşme)
olmak üzere düzenleyici kurumlar
bulunmakta ve mevzuatlarından
kaynaklanan sektörü düzenleme ve
koruma yetkileri mevcuttur. Bunun
yanı sıra, Ulaştırma, Denizcilik ve
Haberleşme Bakanlığı’nın altındaki
Kara, Deniz ve Demiryolları Düzen-
leme Genel Müdürlükleri’nin ve Si-
vil Havacılık Genel Müdürlüğü’nün
de mevzuatlarından kaynaklanan
yetkileri bulunmaktadır. Enerji,
ulaştırma, su yönetimi ve barajlar,
haberleşme, bankacılık ve finans,
tarım ve gıda, kültür ve turizm,
kritik üretim/ticari servisler, kritik
kamu hizmetleri ve sağlık kritik
altyapı tanımının içinde bulunan
sektörlerdir.
Kritik altyapıların korunması
ulusal bir meseledir
Dolayısı ile kritik altyapıların
korunması ve mevcudiyetlerinin
sorunsuz devamı öncelikle ulusal bir
meseledir. Her birimizin sorumluluk
hissetmesi gerekir. Bu konuda her
kesimin bilinçlendirilmesi temel
hedeflerden biri olmalıdır. Sahiplerin
ve işletmecilerin kendi varlıklarını
koruma konusunda kendi kararlarını
vermeleri ve planlarını yapmaları
konusundaki yükümlülükleri ve
sorumluluklarının değişmemesi
esas alınmalıdır. Kritik altyapıları
korumayla ilgili bilgi paylaşımı güven
ve gizlilik ortamında yürütülmelidir.
Ulusal seviyede kritik altyapı koru-
ma bilgileri gizli olmalı ve sadece
bilmesi gerekenlere erişim hakkı
verilmelidir. Günümüzde tüm dün-
yada olduğu gibi ülkemizde de kritik
altyapıların önemli bir kısmı özel
sektör tarafından işletilmektedir. Bu
itibarla, karar alma süreçlerine özel
sektörün etkin katılımını sağlayacak
yeni ve uygun bir kamu-özel sektör
işbirliği modeli geliştirilmelidir.
İşletmecinin güvenlik planlama
prosedürü; kritik altyapı varlıklarını
ve bu altyapıların korunmaları için
var olan ya da oluşturulan güvenlik
çözümlerinin neler olduğunu tanım-
layabilmelidir. Bir işletmeci güvenlik
planının ele alması gerektiği mini-
mum içerik;
Önemli varlıkların tanımları,
Büyük tehdit senaryoları, her bir
değerin zayıf noktasını ve olası et-
kilerini temel alan bir risk analizinin
gerçekleştirilmesi,
Karşıt önlemler ve prosedürlerin
tanımları,
Seçimleri ve önem sırasına göre
konumlandırılmaları,
Her daim kullanılabilecek olan
vazgeçilmez güvenlik yatırımları ve
araçlarını belirleyen kalıcı güvenlik
ölçütleri. Bu madde, teknik ölçütler
(tespit, erişim kontrol, koruma ve
engelleme araçlarının kurulumu),
organizasyonel ölçütler (uyarılar ve
kriz yönetim prosedürleri), kontrol ve
doğrulama ölçütleri (iletişim, farkın-
dalık artırımı ve eğitim, bilgi sistem-
leri güvenliği) gibi genel ölçütlerle
ilgili bilgileri kapsamalıdır.
Farklı risk ve tehdit seviyelerine göre
aktive edilebilecek dereceli güvenlik
ölçütleri;
Sıradan tehditler
Hırsızlık
Kazalar
Doğal afetler
Olası terörist saldırılar (sabotaj,
iç çatışmalar ve vandalizm olayları)
Yangın ve patlamaların erken
algılanması ve önlenmesi
Davetsiz misafirlerin tespiti
(ihlaller)
Erişim yetkilerinin yönetilmesi
(Siber saldırılar)
Zorlu çevre koşulları ile başa
çıkılması
Savaş
Her bir sektörden sorumlu kamu
kurum ve kuruluşu, sorumluluk alanı
içerisindeki kritik altyapı olarak belir-
lenen altyapının İşletmeci Güvenlik
Planına sahip olup olmadığını ve
yukarıda belirtilen konulara değinen
eşdeğer ölçütleri uygulayıp uygula-
madığını değerlendirmelidir.
Kritik altyapıların korunmasıyla ilgili
en iyi uygulamalar hakkında geliş-
miş ve doğru bilgi ve farkındalık;
paydaşlar arası diyalog, kritik altyapı
meseleleri hakkında farkındalık
artışı ve konuya daha iyi odaklanmış
eğitim, araştırma ve geliştirme gibi
çalışmalar yapılması gereklidir. İşlet-
meci Güvenlik Planı; sadece kendi
lokasyonuna özel bir düzenleme ile
sınırlı kalmamalı, ilaveten olası bir
tehdit senaryosunun gerçekleşmesi
halinde üzerinde etki yaratacağı
diğer sahalar ile de entegre edilerek
ulusal düzeyde hazırlanmış kritik
altyapı koruma planına dönüştürül-
müş olmalıdır.
Kaynak: Planlama ve Zarar Azaltma
Dairesi Başkanlığı, Teknolojik Afetler Risk
Azaltma Çalışma Grubu, Kritik Altyapıların
Korunması Yol Haritası Belgesi
55.
56. 52 n GüvenlikYönetimi Kasım 2015
FOKUS
P
etrol boru hatlarını he-
def alan terör saldırıları
terörün bir başka yüzünü
gözler önüne serdi. Artık
dünyada ve ülkemizde
boru hatları, petrol rafinerileri,
elektrik iletim ve dağıtım ağları
sıklıkla terör saldırılarına hedef
oluyor. Ancak son dönemde kritik
enerji altyapılarını hedef alan
saldırıların giderek arttığı görülü-
yor. Türkiye bölgesinde artan bu
tehdide karşı dünyadaki başarılı
örneklerden ilham alabilir. Kritik
altyapıların güvenliği konusunda
özelleşmiş devlet kurumları hatta
bakanlık kurmak birçok gelişmiş
ülkenin çözüm yöntemi. Türkiye
de özel sektör ile kamu kurumları-
nı koordine edecek benzer yapıları
kurarak kritik enerji altyapılarını
daha güvenli hale getirebilir.
1990’lı yılların ortalarına kadar
petrol ve doğal gaz tesislerini
hedef alan saldırılar tüm saldırıla-
rın yüzde 2,5’luk bölümünü temsil
ederken; bu oran 2013’te yüzde
20’nin üzerine çıktı. Enerji Altyapı-
ları Saldırıları veri tabanı incelen-
diğinde; 1980’den 2012’ye 9 bin
500 saldırı kaydediliyor.
Saldırıların en çok gerçekleştiği
ülkeler ise Irak, Kolombiya ve
Pakistan.
250 Milyon dolarlık terör
saldırısı
Türkiye’de 29 Temmuz 2015’te,
Kerkük-Yumurtalık Petrol Boru
Hattı’na düzenlenen terör saldırısı-
nın yalnızca Kuzey Irak’a maliyeti
basına yansıyan rakamlara göre
250 milyon doları buldu. Ardından,
ülkenin ikinci en büyük doğalgaz
tedarikçisi İran’dan gelen, Türkiye-
İran Doğalgaz Boru Hattı’na 28
Temmuz 2015’te gerçekleştirilen
saldırı sonrasında ise gaz akışı bir
hafta sağlanamadı. İran’dan gelen
doğal gaz 2014’te Türkiye’nin yıllık
doğal gaz tüketiminin yüzde 18’ini
karşılamıştı. Son olarak, 4 Ağustos
2015’te, 2014 verilerine göre
Türkiye’nin doğalgaz ithalatının yüz-
de 12,33’ünü tek başına karşılayan
Bakü-Tiflis-Erzurum Doğalgaz Boru
Hattı’na yapılan saldırı ise enerji arz
güvenliği konusundaki endişeleri ve
acil tedbirler alınması gerekliliğini
tekrar gözler önüne sermektedir.
Ayrıca insansız hava araçları gibi
ileri teknoloji ürünlerin kritik enerji
altyapı güvenliğinin sağlanmasında
tartışmasız büyük bir rolü bulunu-
yor. Ancak yine de uzun vadede
insana yapılan yatırım en etkili
çözüm olarak karşımıza çıkıyor. Gü-
venliğin herkesin sorumluluğunda
olduğunun unutulmaması gerekiyor.
Özellikle kritik tesislerin yer aldığı
bölge halkının bilinçlendirilmesi
insan temelli çözümler olarak
sunulabilir.
Kritik tesis güvenliğinde alınma-
sı gereken önlemler
Kritik enerji altyapılarının güvenli-
ğinin sağlanmasında kısa-orta ve
uzun vadede faydalı olabilecek
öneriler aşağıdaki gibi sıralamamız
mümkün;
Kısa vadede özellikle kurumsal
ölçekte;
Kritik tesis ve alanlara erişimin
sınırlandırılması,
Zihni ÇELİK / Kalite Ve Risk Koordinatörü
SECURİTAS GÜVENLİK HİZMETLERİ A.Ş
Kritik tesis ve altyapılarına
yönelik tehditler
Kritik tesisler ve enerji altyapılarına yapılan terör saldırıları
her geçen gün artmaktadır. Dünyada artan terörizme karşı
özel güvenlik çözümlerine olan ihtiyacın ciddi şekilde arttığı
değerlendirilmektedir.
Zihni ÇELİK
57. Kasım 2015 GüvenlikYönetimi n 53
Fiziksel güvenlik önlemlerinin
düzenli olarak denetlenmesi ve bu
önlemlerin sıkılaştırılması,
Tehdit ve risk seviyesi düzenli
olarak analiz edilerek ve değer-
lendirilerek acil durum müdahale
ekiplerinin kapasitesinin arttırılma-
sı,
Kurum ve kuruluşların güvenlik
planlarını değişen tehdit seviyesine
göre düzenli ve rutin olarak güncel-
lemesi şeklinde tariflenebilir.
Orta vadede;
Kamu ve özel sektör arasındaki
işbirliği ve koordinasyonun sağlan-
ması,
Olası saldırıların erken tespit
edilebilmesi için kamu ve özel
şirketler arasında bilgi ve istihba-
rat akışının düzenli ve zamanında
sağlanabilmesi,
Kamu kolluk güçleri ve özel
güvenlik personelinin üst düzeyde
işbirliği içinde olması, bu maksatla
ortak tatbikatlar gerçekleştirmeleri.
Uzun vadede;
Kritik altyapı ve tesis güven-
liği ile ilgilenen bir çatı kurumun
kurulması somut bir öneri olarak
sunulabilir.
Ayrıca kritik tesislerin yer
aldığı bölgelerdeki halkın bilinç-
lendirilmesi kritik tesisler ve alt
yapılarının güvenliğine büyük katkı
sağlayabilir.
Kritik tesis ve altyapı güvenliği
sistemlerinin temel işlevleri, tehdi-
din tespiti ve tanımlanması, durum-
sal farkındalığının sağlanması, bilgi
yönetimi, karşı tedbir/ müdahale
birimleri yönetimi ve tesis içi ve dışı
ile haberleşme ağının sağlanması-
dır.
Algılayıcılardan elde edilen
tüm veri, tesis içinde veya dışında
konuşlu komuta kontrol merkezine
kablolu / kablosuz haberleşme
sistemleri vasıtasıyla aktarılmak
suretiyle, gerek algılayıcıların gerek-
se karşı tedbir birimlerinin kontrolü
gerçekleştirilebilmektedir.
Yeni yaklaşımlar
Entegre güvenlik çözümleri
Güvenlik konusunda yürütülen hiz-
met ve yapılması gereken yatırımlar,
bir güvenlik konseptinin içerisinde
kurgulanmadığı zaman verimliliği dü-
şürür, kaynakların israf edilmesine
ve maliyetlerin yükselmesine sebep
olabilir. Entegre güvenlik çözümü
yaratırken amaç, güvenlik hizmet-
leri ile güvenlik teknolojilerinin ne
ölçüde ve nasıl bir araya getirileceği;
sahadaki güvenlik görevlisinin ne
yapması gerektiği ve izleme merke-
zindeki özel eğitimli operatörler ta-
rafından ne yapılabileceği arasında-
ki ilişkiyi doğru kurgulamaktır. Bu
denklem, geleneksel özel güvenlik
hizmeti anlayışının dışında, ancak
global deneyim ve farklı uzmanlıkla-
rın bir araya getirilmesi sonucu artı
değer yaratarak çözülebilir.
Uzaktan çevre koruma
Bu konseptte kritik tesis ve bina
çevrelerine ve giriş noktalarına
kurulan akıllı video izleme sistem-
leri ile çevre koruma sistemleri,
proaktif bir alarm sistemi gibi
hareket etmeye başlar. Herhangi
bir güvenlik ihlali anında (çevre
fensi üzerinden atlama, izinsiz bir
bölgeye giriş, uzun süreli bekleme,
yanlış park gibi); ilgili alarm görün-
tüsü uzaktan izleme ve alarm
merkezine ulaşması ve operatörler
tarafından etkili ve erken müdaha-
le imkânı oluşturur.
İnsansız hava araçları
Ayrıca, insansız hava araçları gibi
ileri teknoloji ürünlerin kritik enerji
altyapı güvenliğinin sağlanmasında
tartışmasız büyük bir rolü bulunu-
yor.
58. 54 n GüvenlikYönetimi Kasım 2015
Firmanız hakkında bilgi
alabilir miyiz?
Nemesis Alarmsis A.Ş; Türkiye
genelinde veya belirli bölgelerde
şubesi, mağazası olan zincir
niteliğindeki şirketlerin güvenlik
sistemleri montaj, bakım, tadilat
ve arıza servis gibi ihtiyaçlarını
tek bir noktadan karşılaması
amacı ile kurulmuştur. Bugün
şirketimiz tüm ülke sınırları için-
de 22’ ye yakın büyük markanın
desteğini vermektedir. İstanbul
merkezli olarak kurulan şirketi-
miz diğer illerde hem kendi per-
soneli hem de yetkili servisleri
ile hizmet vermektedir. Şirke-
timiz ayrıca GESİDER (Gesider
Güvenlik Endüstrisi Sanayicileri
ve İşadamları Derneği) üyesidir.
Güvenlik sektörünü değerlen-
direbilir misiniz?
Güvenlik sektörü hızla büyüyen
bir sektör. Rakamlar firmaların
cirolarının ve çalıştırdığı insan
kaynağının her yıl arttığını
gösteriyor. Bu bağlamda her
yıl büyümeye devam ediyor.
Bence 2016’ da ve önümüz-
deki yıllarda sektör büyümeye
devam edecek. Ülkemizde
elektronik güvenlik sistemleri
kuran ve işleten firmaların
belli bir standartta işlemlerini
yapması bu bağlamda yetkili
kurumlarca sertifikalandırılması
ve denetlenmesi zaruri ihtiyaç
olmuştur. Bugün ülkemizde
sayıları on bine yakın elektro-
nik güvenlik sistemleri yapan
işletme var. Aslında bu firmala-
rın yaptıkları sistemlerde ortak
bir standart yok. Bu sebeple
insanlar mağduriyet yaşamak-
tadır. Bu mağduriyetler bazen
destek alamamaları bazen sis-
temlerin çalışmaması ve bazen
de maalesef sistemi kuranlar
tarafından zarar verilmesi ile
sonuçlanıyor.
Güvenlik sizce ihtiyaç olarak
görülüyor mu? Kullanıcıda
yeterli bilincin oluştuğunu
düşünüyor musunuz?
Güvenlik konusu artık ülke-
mizde ihtiyaç haline geldi.
İnsanlar artık krizlerde ya
da maddi durumun yetersiz
olduğu dönemlerde bu ihtiyaç-
larını 2.plana atmıyor. Özellikle
kurumsal şirketler, fabrikalar,
üretim merkezleri, alışveriş
merkezleri, oteller vb. yapılar
güvenlik sistemlerini ön plana
çıkartıyor. Bireysel pazarda
ise özellikle son zamanlarda
hırsızlığın artması ve ülkemize
SEKTÖRDEN
Güvenlik
töründe
“ÖTV ve diğer vergilerin yüksek olması yasa dışı malzeme getirmeyi
ve değişik metodlarla bu vergiden kaçmayı teşvik ediyor.” diyen
Nemesis Alarmsis A.Ş Kurumsal Satış Müdürü Gürol TOPÇU; güvenlik
sektörünü değerlendirdi. TOPÇU; güvenlik sektörünün hızlı adımlarla
büyümeye devam edeceğini düşünüyor.
“Güvenlik sektöründe
sertifikalandırma
zaruri bir ihtiyaçtır”