Successfully reported this slideshow.

Siber Savunma: Ülkeler ve Stratejiler - Mehmet MERAL

2,213 views

Published on

ISCTURKEY 2088 POSTER SUNUM

Siber Savunma:
Ülkeler ve Stratejiler

Mehmet MERAL

Published in: Technology, Business, Spiritual
  • Be the first to comment

  • Be the first to like this

Siber Savunma: Ülkeler ve Stratejiler - Mehmet MERAL

  1. 1. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Siber Savunma: Ülkeler ve Stratejiler Mehmet MERAL Özet-1980’lerde bilgisayarlarÕn birbirleriyle iletiúim II. TANIMLAR: SøBER MEKAN, SøBER TERÖRøZM, kurmasÕyla baúlayan siber mekan kavramÕ muazzam bir geliúme SøBER SAVUNMA kaydetmiútir. ønternet yakÕn zamana kadar bireyler ve iú çevreleri tarafÕndan önem verilen ancak ulusal güvenlik veçhesi Siber mekan: Network sistemleri ve ilgili fiziksel alt olmayan bir olgu olmakla birlikte, son zamanlarda milyarlarca internet kullanÕcÕsÕ tarafÕndan oluúturulan bu siber mekan yapÕyla bilgi depolamak, de÷iútirmek için kullanÕlan güvenlik açÕsÕndan etkin bir úekilde kontrol edilememektedir. Bu elektronik ve elektroma÷netik ortamdÕr. nedenle siber-savunma, siber-güvenlik, siber-saldÕrÕlar gibi Siber terörizm: Bilgisayarlara ve içlerinde depolanan kavramlar ulusal güvenlik bakÕmÕndan önem arzetmeye bilgilere karúÕ siyasi, sosyal veya ekonomik amaçlarla baúlamÕútÕr. Bu çalÕúmada önde gelen ülkelerin siber savunma giriúilen kanunsuz saldÕrÕlar veya saldÕrÕ tehditlerdir. alanÕnda yaptÕ÷Õ çalÕúmalar ve siber saldÕrÕlara karúÕ uyguladÕklarÕ stratejiler tanÕtÕlmÕútÕr. Siber savunma: Siber mekanÕ siber saldÕrÕlara ve siber terörizme karúÕ korumak için uygulanan güvenilk Anahtar kelimeler- Siber savunma, siber güvenlik, siber yöntemleridir. saldÕrÕ, strateji III. DÜNYA ÜLKELERø VE SøBER SAVUNMA I. GøRøù STRATEJøLERø Siber biliúim yapÕlarÕnÕn bankacÕlÕk, ulaúÕm, iletiúim gibi A. NATO temel alanlardaki a÷ÕrlÕ÷Õ, bu yapÕlarÕn ve bu yapÕlarda saklanan bilgilerin güvenlik boyutunu konunun ayrÕlmaz bir NATO, 21. yüzyÕlda dönüúüm sürecinde güvenli÷e iliúkin parçasÕ hailne getirmiútir. Küreselleúme ve bilgi hususlara büyük önem vermektedir. Enerji güvenli÷i ve teknolojilerinin yayÕlmasÕyla birlikte özellikle düúük maliyetli siber güvenlik gibi yeni küresel tehditlere karúÕ NATO olmasÕ, çok sayÕda insan üzerine etki edebilmesi gibi üyeler ba÷lamÕnda savunma stratejileri geliútirmektedir. nedenlerle siber saldÕrÕlarÕn aynÕ zamanda teröristlerce artan 2005 yÕlÕnda Estonya ve Rusya arasÕnda yaúanan bir úekilde tercih edildi÷i görülmektedir. Uzmanlar siber- gerginlikten sonra ise NATO Estonya’da Siber Savunma güvenlik konusunda "uluslararasÕ iúbirli÷i, ulusal bilinçlenme Mükemmelliyet Merkezi kurmuú, faaliyetlerini bu ve bireysel bilinçlenmenin" elzem oldu÷unu ifade organizasyon çerçevesinde yürütmektedir. 2007 yÕlÕnda etmektedirler. NATO gibi uluslararasÕ kuruluúlar siber- hazÕrlanmaya baúlayan Siber Savunma SiyasasÕ ise taslak güvenli÷e iliúkin ulusal sorumluluklara büyük önem halinde olup henüz üzerinde mutabakat sa÷lanmamÕútÕr. vermektedir. Bu büyük tehiditlerin farkÕnda olan geliúmiú ülkeler ise ulusal anlamda yaptÕklarÕ örgütlenmelerle siber B. ABD savunmaya yönelik yasal düzelemeler, strateji belgeleri ve eylem planlarÕ hazÕrlayarak olasÕ bir siber saldÕrÕ, siber savaú ABD'nin siber savunma alanÕndaki faaliyetlerine iliúkin durumuna karúÕ hazÕrlÕklÕ olmak için ulusal önlemler ve temel belgeyi ùubat 2003 tarihli "The National Strategy to uluslararasÕ iúbirli÷i temelinde önemli adÕmlar atmÕúlardÕr. Secure Cyberspace" oluúturmaktadÕr. Federal Yönetim, yerel makamlar ile özel sektörü içermesi nedeniyle ulusal Bu çalÕúmanÕn ikinci bölümünde konuyla ilgili tanÕmlar nitelikte ve geniú kapsamlÕ olan anÕlan belgede, kendi görev verilmiú, üçüncü bölümünde gelimiú ülkelerde siber savunma alanlarÕ itibarÕyla öncü rol üstlenecek devlet kurumlarÕ da ba÷lanÕmda yaplan çalÕúmalar tanÕtÕlmÕú, dördüncü bölümünde belirtilmektedir. Bu çerçevede, örne÷in bankacÕlÕk sektörü ise genel bir de÷erledirme sunulmuútur. için Hazine BakanlÕ÷Õ, elektrik ve gaz úebekeleri için de Enerji BakanlÕ÷Õ esas makam olarak gösterilmektedir. Bahsekonu strateji belgesinin, "National Strategy for Homeland Security" belgesinin uygulama boyutunu oluúturdu÷u ve "National Strategy for the Physical MEHMET MERAL, DÕúiúleri BakanlÕ÷Õ 06100 Balgat Ankara (e-mail: Protection of Critical Infrastructures and Key Assets" mehmet.meral@mfa.gov.tr) belgesini tamamlayÕcÕ nitelikte oldu÷u belirtilmektedir. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 257
  2. 2. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Gerek anÕlan belge gerek 17 AralÕk 2003 tarihli øç - Bilim, Teknoloji ve Yenilik BakanlÕ÷Õ’na ba÷lÕ Güvenli÷e iliúkin BaúkanlÕk Direktifi uyarÕnca, øç Güvenlik Danimarka Ulusal Bilgi Teknolojileri ve Telekomünikasyon BakanlÕ÷Õna (Department of Homeland Security) siber Kurumu (ITST) ve savunma konusuda önemli sorumluluklar verildi÷i - Ba÷ÕmsÕz idari otorite statüsünde bulunan ve teknoloji anlaúÕlmaktadÕr. ile ilgili konularda, parlamento ile kamu kurumlarÕnÕ bilgilendirmekle görevli Danimarka Teknoloji Kurulu C. ALMANYA arasÕnda paylaútÕrÕlmÕú durumdadÕr. Danimarka Teknoloji Kurulu himayesinde “IT- security Almanya'nÕn elektronik ortamda gerçekleútirilebilecek Beyond Borders” adÕyla kurulan bir çalÕúma grubunca saldÕrÕlara karúÕ almakta oldu÷u önlemler Federal øçiúleri 2007’de sÕnÕrÕ aúan bilgi teknolojileri güvenli÷i meselelerine BakanlÕ÷Õ tarafÕndan hazÕrlanan "Enformasyon AltyapÕ dair bir rapor yayÕmlanmÕútÕr. Raporda, bu alanda SavunmasÕ øçin Ulusal Plan" baúlÕklÕ belgede tanÕmlanmÕútÕr. uluslararasÕ yardÕmlaúmanÕn önemine ve somut adÕmlar Alman makamlarÕ, elektronik saldÕrÕlarÕn baúlÕca hedefini atÕlmasÕ gerekti÷ine özel vurgu yapÕldÕ÷Õ anlaúÕlmaktadÕr. büyük úirketler, bankalar veya kamu kuruluúlarÕ olarak Danimarka østihbarat Servisi konuya dair kamu kurum ve tanÕmlamÕúlardÕr. Ulusal Plan'Õn uygulanmasÕnÕn kuruluúlarÕna rehberlik ve yardÕm hizmetlerinde koordinasyonu, "Enformasyon Güvenli÷inden Sorumlu bulunmakta, yine korunmasÕnda kamu yararÕ bulunan Federal Ofis" (BSI) tarafÕndan yürütülmektedir. Bu saldÕrÕlara bilgileri haiz kiúilere de gerekli yardÕmlarÕ yapmaktadÕr. Öte karúÕ koyabilmek için Federal Hükümet, Ulusal Plan'da üç yandan, son yÕllarda elektronik verilerin depolanmasÕ ve stratejik hedef belirlemiútir: iletilmesindeki artÕúÕn sonucu olarak PET bünyesinde bilgi teknolojileri güvenli÷i kÕsÕmÕ (IT security section) tesis 1. Önleme: Bu baúlÕk altÕnda, enformasyon altyapÕsÕnÕn, edilmiútir. Bu ba÷lamda PET ulusal ve uluslararasÕ güncel ve güvenli teknoloji ürünlerinin kullanÕmÕ ve makamlarla (istihbarat makamlarÕ dahil) iúbirli÷i halinde mevcut risklerlerin bilinciyle uygun úekilde korunmasÕ faaliyetler yürütmektedir. öngörülmektedir. 2. HazÕrlÕklÕ olma: Meydana gelebilecek elektronik E. FøNLANDøYA saldÕrÕlara etkin úekilde karúÕ koyabilmek için BSI bünyesinde Enformasyon Teknolojisi Kriz Müdahale Finlandiya'da elektronik ortamdaki saldÕrÕlara karúÕ Merkezi tesis edilmesi planlanmakta, bu merkezin savunma konusunda yetkili makam Fin øletiúim Düzenleme ulusal komuta, kontrol ve analiz merkezi görevlerini Kurulu (Finnish Communications Regularity Authority)'dur. üstlenmesi ve bu amaçla bir algÕlayÕcÕ a÷Õ kurulmasÕ Elektronik ortamdaki saldÕrÕlarla mücadele dahil olmak hedeflenmektedir. AynÕ úekilde, Federal Hükümet, üzere, bilgi güvenli÷inin sa÷lanmasÕ için önlemler alÕnmasÕ halkÕn ve özel sektörün mevcut riskler ve alÕnabilecek ve bilgi güvenlik durumunun geliútirilmesinde yetkili ve önlemler hakkÕnda bilinçlendirilmesini sorumlu en üst makam Hükümet'tir. Hükümet, Eylül 2003'te hedeflemektedir. Ulusal Bilgi Güvenli÷i Stratejisi hakkÕnda kararÕ kabul 3. Sürdürülebilirlik: Bu baúlÕk altÕnda, Almanya'nÕn etmiútir. Sözkonusu stratejinin desteklenmesi ve kaydedilen elektronik güvenlik alanÕnda yeterlili÷inin artÕrÕlmasÕ geliúmelerin gözetimi, Ulusal Bilgi Güvenli÷i DanÕúma amaçlanmaktadÕr. Kurulu (National Information Security Advisory Board) tarafÕndan 2007 yÕlÕ baúlarÕna kadar yerine getirilmiútir. Sözkonusu belgenin uygulanmasÕnda gerekli önlemlerin AnÕlan Kurul'un 2004 yÕlÕnda Hükümet'e sundu÷u "Creating Federal Hükümet tarafÕndan alÕnmasÕ öngörülmektedir. a Safer Information Society" baúlÕklÕ raporunu sunmútur. Bununla beraber, uygulamalarÕn sadece yetkili makamlar Bilgi güvenli÷inin sa÷lanmasÕ için 2008 yÕlÕnda tarafÕndan yerine getirilmesinin yeterli olmayaca÷Õ gerçe÷iyle BakanlÕklararasÕ bir çalÕúma yapÕlarak yeni bir strateji özel kuruluúlarla iúbirli÷i hedeflenmektedir. Bahsekonu belgesi hazÕrlanmaktadÕr. Bu çalÕúmayÕ "Ubiquitous belgede, özel kullanÕcÕlarÕn da mevcut risklerin bilincinde Information Society Advisory Board" (Geniú Bilgi Toplumu olmalarÕnÕn ve gerekli bireysel önlemlerin alÕnmasÕnÕn DanÕúma Kurulu) altÕnda kurulan yeni bir bilgi güvenli÷i önemine dikkat çekilmekte, öte yandan ülkelerarasÕ iúbirli÷ine grubu yerine getirmektedir. de vurgu yapÕlarak, Almanya'nÕn uluslararasÕ standartlarÕn ve Ola÷an durumlarda, bilgi güvenli÷inin sa÷lanmasÕ ve bu normlarÕn tesis edilmesini savundu÷u kaydedilmektedir. konuda yapÕlacak düzenlemelere öncülük edilmesi, UlaútÕrma ve øletiúim BakanlÕ÷Õ, sözkonusu BakanlÕ÷a ba÷lÕ D. DANøMARKA Fin øletiúim Düzenleme Kurulu ve Ekonomi ve østihdam BakanlÕ÷Õ tarafÕndan gerçekleútirilmektedir. Kamu Danimarka’da sanal alemden gerçekleútirilen saldÕrÕlara sektöründe bilgi güvenli÷inin geliútirilmesi ise, temel olarak karúÕ koymakla görevli tek bir otorite bulunmamakta, görev Maliye BakanlÕ÷Õ ile øçiúleri BakanlÕ÷Õ'nÕn ve yetki; sorumlulu÷undadÕr. UlaútÕrma ve øletiúim BakanlÕ÷Õ, iletiúim - Danimarka østihbarat ve Güvenlik Servisi (PET), hizmetlerinde bilgi güvenli÷iyle ilgili mevzuat ve strateji - Savunma BakanlÕ÷Õ’na ba÷lÕ Danimarka Kriz Yönetim geliútirmeden sorumludur. AnÕlan BakanlÕk, bu çerçevede, MakamÕ (DEMA), Fin halkÕna, iú dünyasÕ ve kamu sektörüne bilgi toplumunda sunulan tüm hizmetlerin kullanÕlabilirli÷i ve güvenli÷ini, ayrÕca özel bilgilerin korunmasÕnÕ sa÷lamakla yükümlüdür. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 258
  3. 3. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION CERT-FI, Fin øletiúim Düzenleme Kurulu'nun bilgi güvenli÷i Elektronik ortamdaki saldÕrÕlara karúÕ savunma ihlalleri ve bu ihlallerin önlenmesi konularÕnda yetkili politikalarÕnÕn hayata geçirilmesinden özel sektörü birimidir. ilgilendiren konularda Enformasyon ve Haberleúme BakanlÕ÷Õ bünyesindeki "Kore Enformasyon Güvenlik F. FRANSA AjansÕ"na (Korea Information Security Agency) ba÷lÕ "Kore Internet Güvenlik Merkezi" (Korea Internet Security Fransa'da elektronik ortamda gerçekleútirilebilecek suç ve Center); ülke savunmasÕnÕ ilgilendiren konularda Savunma saldÕrÕlarla mücadeleden sorumlu tek bir birim BakanlÕ÷Õna ba÷lÕ "Enformasyon Savaú Müdahale bulunmamakta; suçun niteli÷ine göre farklÕ birimlere Merkezi"(Information Warfare Response Center), ulusal sorumluluk verilmektedir. Bunlar arasÕnda en önemlileri güvenli÷i ve kamu sektörünü ilgilendiren konularda ise - BaúbakanlÕ÷a ba÷lÕ Milli Savunma Genel Sekreterli÷i Ulusal østihbarat Servisine ba÷lÕ "Ulusal Siber Güvenlik - øçiúleri BakanlÕ÷Õ'nÕn Adli Polis birimine ba÷lÕ olarak Merkezi" (National Cyber Security Center) sorumludur. faaliyet gösteren "Biliúim Teknolojileri ile ølgili Suçlarla AyrÕca, Güney Kore ulusal polis teúkilatÕ bünyesinde de Mücadele Dairesi" - Office Central de Lutte contre la "Siber Terör Müdahale Merkezi" (Cyber Terror Response Criminalité liée aux Technologies de l'Information de la Center) bulunmaktadÕr. Communication (OCLCTIC) dir. YukarÕda kayÕtlÕ iki kurumun dÕúÕnda, Ekonomi, Maliye ve H. øNGøLTERE ÇalÕúma BakanlÕ÷Õ'na ba÷lÕ Telekom idaresi, Adalet BakanlÕ÷Õ ve Jandarma Kuvvetlerinin de siber suçlarla mücadelede øngiltere'deki uygulamada, elektronik ortamdaki görevleri bulunmaktadÕr. Siber suçlar, Ceza Kanunu'nun saldÕrÕlara karúÕ savunma konusu "bilgi güvenli÷i" (Code Pénal) 226. ve 323. maddeleri çerçevesinde (information assurance) kapsamÕnda ele alÕnmaktadÕr. Bilgi cezalandÕrÕlmaktadÕr. Posta ve Elektronik Haberleúme güvenli÷i konusundaki çalÕúmalar, teknolojik geliúmelere Kanunu (Code des Postes et des Communications paralel olarak øngiltere'de 1999 yÕlÕndan sonra a÷ÕrlÕk Electroniques) ise, siber haberleúme alanÕna bazÕ kazanmÕútÕr. Kamu ve özel sektörün bu kapsamdaki düzenlemeler getirmektedir. ihtiyaçlarÕnÕn karúÕlanmasÕ amacÕyla üçlü bir yapÕ tesis edilmiútir. G. GÜNEY KORE BaúbakanlÕk ofisine (cabinet office) ba÷lÕ olarak görev yapan "Central Sponsor for Information Assurance", "cyber ønternet kullanÕmÕnÕn son derece yaygÕn oldu÷u Güney defense" konusunda politika, strateji ve siyasa geliútirme Kore'de elektronik ortamdaki saldÕrÕlara karúÕ savunma, farklÕ çalÕúmalarÕnÕ yürütmektedir. HazÕrlanan sözkonusu yönleriyle farklÕ kuruluúlarÕ ilgilendirmektedir. ToplantÕlarÕnÕ politikalarÕn uygulamasÕndan ise "Center for Protection of CumhurbaúkanÕ baúkanlÕ÷Õnda gerçekleútiren ve National Infrastructure" (CPNI) ve "The Communications- CumhurbaúkanÕna iç ve dÕú politika ile askeri konularÕn ulusal Electronics Security Group" (CESG) sorumludur. güvenlik boyutu hakkÕnda bilgi vermekten sorumlu olan CPNI özel sektör ve iú çevrelerinin, CESG ise kamu "Ulusal Güvenlik Konseyi"nin sekreteryasÕ, ulusal kriz uyarÕ kuruluúlarÕnÕn bu alandaki ihtiyaçlarÕnÕn karúÕlanmasÕnda rol sisteminin iúleyiúi ve geliútirilmesi, ulusal kriz durumlarÕna almakta, elektronik altyapÕ ve bilgi a÷larÕna yönelik olarak iliúkin bilgilerin toplanmasÕ, özetlenmesi ve da÷ÕtÕlmasÕ ile gerçekleútirilebilecek saldÕrÕlar konusunda ilgili kurumlara siber tehdit uyarÕsÕ yayÕnlanmasÕndan da sorumludur. "Ulusal tavsiyelerde bulunmaktadÕr. Bu iki kuruluú, hükümetin bilgi Güvenlik Konseyi" bünyesinde yer alan "Ulusal Siber güvenli÷i genel stratejisinin uygulanmasÕnÕn genel Güvenlik Strateji Konseyi" (National Cyber Security Strategic gözetimini gerçekleútirmekte ve bilgisayar a÷larÕna ve Council) ise ulusal siber güvenlik sisteminin kurulmasÕ ve elektronik ortamdaki iúlemlere karúÕ olabilecek saldÕrÕlar geliútirilmesi, siber güvenlik politikalarÕ ve çeúitli kuruluúlar konusunda erken uyarÕ iúlevi görmektedir. Elektronik arasÕnda eúgüdümün sa÷lanmasÕ ve CumhurbaúkanÕnÕn siber ortamdaki bilgi, belge ve iúlemlerin güvenli÷inin sa÷lanmasÕ güvenli÷e yönelik kararlarÕnÕn uygulanmasÕndan sorumludur. amacÕyla IT çözümleri geliútirilmesinin, temelde her bir Güney Kore Ulusal østihbarat Servisinin baúkanÕ aynÕ kamu veya özel sektör kuruluúunun kendi sorumlulu÷unda zamanda bu Konseyin de baúkanÕdÕr. oldu÷u kabul edilmektedir. Bu alanda önleyici iúlev gören "Ulusal Siber Güvenlik Strateji Konseyi"nin altÕnda, yazÕlÕm ve donanÕmlarÕn serbest piyasa koúullarÕnda bu "Ulusal Siber Güvenlik Konseyi" (National Cyber Security kuruluúlar tarafÕndan temin edilmesi beklenmektedir. Council) yer almaktadÕr. Siber güvenli÷in sa÷lanmasÕ ve Bu alandaki çalÕúmalarÕn koordine edilebilmesi amacÕyla "Ulusal Siber Güvenlik Strateji Konseyi" tarafÕndan alÕnan "Chief Information Officer's Council" (CIOC) kurulmuú kararlarÕn uygulanmasÕ "Ulusal Siber Güvenlik Konseyi"nin olup, ayda bir düzenli olarak toplanan sözkonusu Konsey'e görev alanÕna girmektedir. Konseyin baúkanlÕ÷ÕnÕ, Güney CPNI ve CESG'e ilaveten silahlÕ kuvvetler ve istihbarat Kore Ulusal østihbarat Servisinin baúkan yardÕmcÕsÕ servisinin ilgili birimleri katÕlmaktadÕr. Buna ilaveten, daha yapmaktadÕr. Konsey, "Ulusal Güvenlik Konseyi Kriz kapsamlÕ eúgüdüm ihtiyacÕnÕn karúÕlanmasÕ için Yönetim Merkezi" (NSC Crisis Management Center) "Information Assurance Policy and Programme Board" Müdürü, "Ulusal Siber Güvenlik Merkezi" (National Cyber (IAPPB) ihdas edilmiútir. Kamu ve özel sektörle ilgili bilgi Security Center) Müdürü, Savunma BakanlÕ÷Õ Enformasyon güvenli÷i politikasÕ uygulamalarÕnÕn ele alÕndÕ÷Õ sözkonusu Dairesi Genel Müdürü ile Enformasyon ve Haberleúme Kurul, üç ayda bir toplanmakta ve toplantÕlara CIOC'a BakanlÕ÷Õ Enformasyon Planlama Yetkilisinden oluúmaktadÕr. ilaveten Savunma BakanlÕ÷Õ, DÕúiúleri BakanlÕ÷Õ ve øú, Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 259
  4. 4. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Giriúim ve Reform Düzenlemeleri BakanlÕ÷Õ'ndan yetkililer bireysel ve örgütsel tehdit unsurlarÕnÕn araútÕrmasÕ, takibi ve iútirak etmektedir. ele geçirilmesi çalÕúmalarÕnÕ yürütmektedir. Bilgi güvenli÷i konusunda øngiltere'de üç temel belge øú dünyasÕ ile münferit internet kullanÕcÕlarÕnÕn elektronik yürürlüktedir. Bunlardan "Transformational Government ortamdaki saldÕrÕlara karúÕ korunmasÕ, bilgilendirilmesi, Agenda", çeúitli kamu kuruluúlarÕnda görevli üst düzey IT olasÕ saldÕrÕlarÕn algÕlanÕp karúÕ önlemlerin alÕnmasÕ ile yasal uzmanlarÕndan oluúan "Chief Information Officers' Council" ve idari düzenlemelerin yapÕlmasÕ hususlarÕnda Bilgi ve teknolojik dönüúüm faaliyetlerinden kamu sektörünün Güvenli÷i Analiz ve Bildirim Servisi (MELANI) sürekli azami ölçüde yararlanmasÕnÕ sa÷lamakla yükümlü devlet araútÕrmalar yapmakta, gelen ihbarlarÕ ilgili birimlere görevlilerinden müteúekkil "Service Transformation Board" yönlendirmekte ve yÕlda iki kez, ülke içi ve uluslararasÕ tarafÕndan 2005 yÕlÕnda dönemin BaúbakanÕ Tony Blair'in internet güvenli÷i durum raporu düzenleyerek kamuoyunun talimatÕ üzerine hazÕrlanmÕútÕr. Sözkonusu belge do÷rudan bilgisine sunmaktadÕr. bilgi güvenli÷iyle ba÷lantÕlÕ olmayÕp, øngiliz vatandaúlarÕnÕn øsviçre Hükümeti 1 Ekim 2004 tarihinden beri MELANø devlet kurumlarÕyla gerçekleútirece÷i iúlemlerde teknolojik servisini øsviçre’nin özellikle iletiúim ve veri toplama imkanlardan azami ölçüde yararlanÕlmasÕnÕ hedeflemekte ve hususundaki hassas kurumlarÕnÕ korumak ile bu amaçla gerçekleútirilecek çalÕúmalarÕn esaslarÕnÕ görevlendirmiú ve önlemler hususunda Zürih ETH belirlemektedir. Bu çerçevede, bilgi güvenli÷i konusuna da üniversitesi ile müúterek çalÕúÕlmasÕnÕ sa÷lamÕútÕr. de÷inilmektedir. UluslararasÕ elektronik ortam saldÕrÕlarÕ tehditi ile Bu alandaki çalÕúmalara ÕúÕk tutmak üzere ilk defa 2003 mücadele konseptinde uluslararasÕ iúbirli÷ine ve özellikle yÕlÕnda hazÕrlanan rehber belge ise "Ulusal Bilgi Güvenli÷i ek de÷iúiklik protokolünün yürürlü÷e girmesinin ardÕndan Stratejisi"dir. Geçti÷imiz yÕl tekonolojik geliúmeler ve bu bu hususta etkinlik kazanan EUROPOL teúkilatÕ ile kapsamdaki yeni ihtiyaçlar çerçevesinde güncellenen örne÷i eúgüdüm içinde çalÕúÕlmasÕna önem verilmektedir. ekli belgeyle, hükümet ve kamuoyunun çÕkarlarÕnÕ yakÕnda Elektronik ortamdaki saldÕrlara karúÕ icra edilen ilgilendiren elektronik ortamda bilgi güvenli÷inin sa÷lanmasÕ faaliyetlerin konsept ve stratejisini saptayan üs kurulun adÕ konusuna iliúkin genel ilkeler ve bu alanda øngiltere'de Federal Enformasyon Stratejisi Kurumu ISB’ dir. uygulamaya konulacak kurumsal yapÕ tespit olunmaktadÕr. ønternet sayfalarÕndaki güvenlik boúluklarÕ, iúletim "Information Assurance Governance Framework" baúlÕklÕ sistemlerindeki zayÕf noktalarÕn tehlike arz etmemesi için belgede ise, bilgi güvenli÷inin sa÷lanmasÕna riayet edilecek hazÕrlanan güvenlik yamalarÕ bir liste halinde Bilgi ulusal standartlar ve bu sorumlulu÷un ilgili kurumlar Güvenli÷i Analiz ve Bildirim Servisi (MELANI) web bünyesinde nasÕl paylaútÕrÕlaca÷Õ ortaya konulmaktadÕr. Buna sitesinde yayÕnlanmakta, söz konusu yamalar buradan göre, øngiltere'de bilgi güvenli÷i alanÕndaki sorumluluk indirilerek bilgisayarlar daha güvenli hale getirilmektedir. da÷ÕlÕmÕ úu úekildedir. AynÕ úekilde internette yayÕnlanan ve úüpheli görülen web Kabine Sekreteri (Bakan düzeyinde) Edward Miliband: siteleri bu kuruma ihbar edildi÷inde sayfa araútÕrÕlmakta ve Baúbakana karúÕ sorumludur. BakanlÕk MüsteúarÕ (Permanent sonucu halka duyurulmaktadÕr. Secretary): Kabine Sekreterine karúÕ sorumludur. KÕdemli Bilgi Riski Yetkilisi (Senior Information Risk ø. øTALYA Owner): Her bir kamu kuruluúunda yürütülen bilgi güvenli÷i çalÕúmalarÕndan sorumlu üst düzey yetkilidir. BakanlÕk øtalya’da Telekomünikasyon ve Bilgi øúlem sistemlerini MüsteúarÕna karúÕ sorumludur. kapsayan konular Telekomünikasyon BakanlÕ÷Õ ile BakanlÕk Güvenlik Yetkilisi (Departmental Security Yenilikler ve Teknoloji BakanlÕ÷ÕnÕn yetki alanlarÕna Officer): Kamu kuruluúlarÕ bünyesinde bilgi güvenli÷i girmektedir. Bu cihetle, telekomünikasyon ve bilgi iúlem politikasÕ ve rehber ilkelerinin uygulanmasÕnÕ gözetmek, sistemleriyle ilgili ulusal kanunlar ve AB mevzuatÕ meydana gelebilecek saldÕrÕlarÕ rapor etmek ve araútÕrmakla çerçevesinde Yenilikler ve Teknoloji BakanlÕ÷Õ, yükümlüdür. KÕdemli Bilgi Riski Yetkilisine karúÕ Telekomünikasyon BakanlÕ÷ÕnÕn mutabakatÕyla, 16 Ocak sorumludur. 2002 tarihinde bir kararname yayÕmlayarak Kamu IT Güvenlik Yetkilisi (IT Security Officer): BakanlÕk Sektörünün elektronik ortamlarda savunulmasÕ için Ulusal Güvenlik Yetkilisine yardÕmcÕ olmak üzere atanabilir. Güvenlik Komitesi kurulmasÕna karar vermiútir. Sözkonusu iki BakanlÕk 24 Temmuz 2002'de imzalanan I. øSVøÇRE müúterek bir kararname ile bahsekonu Ulusal Güvenlik Komitesi aracÕlÕ÷Õyla uluslararasÕ güvenlik standartlarÕna øsviçre'de elektronik ortamdaki tehdit unsurlarÕna karúÕ uyum ve risklere karúÕ konulmasÕ gibi gereksinimleri kontrol ve mücadele, türlerine göre farklÕ kurumlarca yanÕtlayacak bilgi iúlem ve telekomünikasyon güvenlik yürütülmektedir. Devlet kurumlarÕ, kamu kuruluúlarÕ ve ulusal planlarÕ oluúturulmasÕnda müúterek programlar izlenmesi güvenli÷i alakadar eden biliúim ataklarÕ ile mücadele konusunda da mutabÕk kalmÕúlardÕr. Yenilikler ve Teknoloji hususunda görevli olan birim Federal Analiz ve Önleme BakanlÕ÷Õ ile ilintili sözkonusu komite beú kiúiden Dairesi'dir ve bu kuruluú (DAP) sivil ve askeri istihbarat oluúmaktadÕr. Baúkan ve bir üye Telekomünikasyon kapasitelerinden yararlanmaktadÕr. Federal ønternet SuçlarÕ ile BakanlÕ÷Õ, di÷er üç üye ise Yenilikler ve Teknoloji Mücadele Koordinasyon Dairesi (CYCO) koordinasyonunda BakanlÕ÷Õnca atanmaktadÕr. faaliyet gösteren Federal Polis TeúkilatÕ, elektronik ortamdaki Komitenin belli baúlÕ görevleri arasÕnda bilgi iúlem güvenlik sistemlerinin uluslararasÕ standartlara uymasÕ için Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 260
  5. 5. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION proje ve öneriler hazÕrlamak, kamu kurumlarÕnda güvenlik úirketler için belirlenen yasal engellemeler ve idari sistemlerinin oluúturulmasÕ için programlar oluúturmak, gerekliliklere iliúkin uygulama hariç devlet yapÕlan çalÕúmalarÕ de÷erlendirmek ve gerekti÷i hallerde kurumlarÕnÕnkiler dÕúÕnda kalan sistemler için yasal uyarÕlarda bulunmak, kamu personelinin güvenlik konusunda düzenleme mevcut de÷ildir. e÷itimi için programlar hazÕrlamak gibi hususlar yer almaktadÕr. Komite her dört ayda bir yaptÕ÷Õ çalÕúmalara ve K. TÜRKøYE elde edilen somut neticelere ait bir rapor hazÕrlar ve bunlarÕ Telekomünikasyon BakanlÕ÷Õna ve Yenilikler ve Teknoloji Ülkemizde ise konuyla ilgili do÷rudan bir çalÕúma BakanlÕ÷Õna göndermektedir. bulunmakla birlikte konunun bir düzene ba÷lanmasÕna Sözkonusu kararname kapsamÕnda tüm kamu kuruluúlarÕ yönelik genel nitelikli kurumsal ve mevzuat anlamÕnda bir kendi bünyelerinde bilgi iúlem güvenli÷i için bir birim dizi çalÕúmalar yapÕlmÕútÕr. 15 Ocak 2004 tarihli ve 5070 oluúturmakla yükümlü kÕlÕnmÕúlardÕr. Komite ayrÕca, sayÕlÕ Elektronik ømza Kanunu, 4 MayÕs 2007 tarihli ve "Computer Emergency Response Team" adlÕ bir birim 5651 sayÕlÕ "ønternet OrtamÕnda YapÕlan YayÕnlarÕn oluúturmuútur. Sözkonusu birim içerisinde bilgi iúlem hatalarÕ Düzenlenmesi ve Bu YayÕnlar Yoluyla øúlenen Suçlarla ve elektronik saldÕrÕlar konusunda kamu idarelerine destek Mücadele Edilmesi hakkÕndaki kanun konuyla ilgili vermek için özel bir birim bulunmaktadÕr (GovCERT). düzenlemelerdir. 5651 sayÕlÕ kanun internet ortamÕnda GovCERT „Computer Emergency Readiness“ görevi iúlenen suçlarÕ sekiz ayrÕ kategoride de÷erlendirmekte, bilgi yapmakta ve her bir Kamu idaresi bünyesinde kurulan yerel güvenli÷i, siber terörizm gibi suçlara yer vermemektedir. E- birimlere destek vermektedir. Yerel Birimler, risk yaratan dönüúüm Türkiye Bilgi Toplumu Strateji Belgesinin Eylem durumlarÕn çözülmesi ve savunma yazÕlÕmlarÕnÕn PlanÕnda ise 88 numaralÕ eylem Ulusal Bilgi sistemleri güncelleútirilmesi konularÕnda GOVCERT ile temas Güvenlik ProgramÕ olarak belirlenmiú ve 2008 AralÕk ayÕna etmektedirler. kadar tamamlanmasÕ amacÕyla TÜBøTAK-UEKAE görevlendirilmiútir. J. øSPANYA IV. STRATEJøLERøN VE ÜLKELERøN øspanya’nÕn siber savunma politikasÕnÕ CCN-STIC 001 DEöERLENDøRøLMESø “Bilgi Teknolojisi Güvenli÷i ve Kamu ødaresinde Gizli Ulusal Bilgiler øçeren YazÕúmalar” belgesi kamu idari sistemlerinde Bu çalÕúma kapsamÕnda, ABD, Almanya, Danimarka, kullanÕlan gizli bilgilerin do÷ru bir biçimde korunmasÕna Finlandiya, Fransa, Güney Kore, øngiltere, øspanya, øsviçre iliúkin temel ilkeleri ve asgari gereklilikleri belirleyerek bu ve øtalya’daki siber saldÕrÕlara karúÕ savunmaya yönelik konudaki çerçeveyi oluúturur. . Kamu ødaresinde kullanÕlan ulusal anlamda yapÕlan hazÕrlÕklar, kurumsal düzenlemeler, sistemler için yasal çerçeve kÕsmen oluúturulmuú olup, hazÕrlanan yasal mevzuatlar açÕklanmÕútÕr. Ülkelerdeki uygulama kanallarÕ ve kurallarÕ belirlenmiútir. Bilgisayar çalÕúmalar genel olarak incelendi÷inde; sistemlerinde asgari güvenlik kurallarÕnÕn belirlenmiú oldu÷u yetki kullanÕlan uygulamalarda bilgi güvenli÷i, kullanÕmÕ ve x Siber savunma konusunda ülkelerin tamamÕnÕn saklanmasÕ konusunda genel kriterler geçerlidir. Bu konuda duyarlÕ ve tehlikenin farkÕnda oldu÷u, uyulmasÕ gereken bir zorunluluk ya da denetim mekanizmasÕ x Konu ile ilgili yasal düzenleme yoluna giden bulunmamaktadÕr. 11 sayÕ ve 22 Haziran 2007 tarihli ülkelerin ço÷unlukta oldu÷u, bazÕlarÕnda ise vatandaúlarÕn Kamu Hizmetlerine elektronik ortamda düzenleme olmasÕna ra÷men yasal zorunluluk eriúimine iliúkin yasa uyarÕnca Kamu ødaresinde kullanÕlan getirilmedi÷i, sistemlerinde kullanÕlacak temel ilkeler ve asgari gereklilikleri x Ulusal anlamda siber savunma sorumlulu÷unun oluúturmayÕ amaçlayan Ulusal Güvenlik ùemasÕ geliútirilme bazÕlarÕnda ba÷ÕmsÕz bir organa verilmesine ra÷men aúamasÕndadÕr. Stratejik önem arz eden altyapÕ úirketlerinin bazÕlarÕnda BakanlÕklar düzeyinde çok sayÕda sistemleri için bir düzenleme halihazÕrda bulunmamaktadÕr. kurumun sorumlulu÷una da÷ÕtÕldÕ÷Õ, Bununla beraber 2007 yÕlÕnda øçiúleri BakanlÕ÷Õ, Güvenlik x Ülkelerin tamamÕnda hazÕrlÕk olmasÕna ra÷men olasÕ Devlet Sekreterli÷ine ba÷lÕ Stratejik Önem TaúÕyan bir saldÕrÕ durumunda atÕlmasÕ gereken adÕm AltyapÕlarÕ Koruma Ulusal Merkezi (CNPIC) stratejik açÕdan konusunun açÕklÕ÷a kavuúturulamadÕ÷Õ, ulusal önem taúÕyan altyapÕlarÕn güvenli÷inin sa÷lanmasÕ x Herbir ülkenin tamamen farklÕ yöntem ve stratejilerle konularÕnÕ koordine eden bir organ olarak kurulmuútur. Bu konuya yaklaúÕm sergileyebildikleri, merkezin görev alanÕna giren sektörlerden biri de Biliúim x Ülkemiz geliúmiú ülkelere göre yapÕlan düzenlemeler Teknolojileri sektörüdür. CCN, tüm devlet kurumlarÕ ve kurumsallaúmalar ba÷lamÕnda geri kaldÕ÷Õ, (merkezi, özerk, yerel) ile iúbirli÷i yapmak ve onlara yardÕmcÕ gereksinimlerin karúÕlanmasÕna yönelik adÕmlarÕn olmakla görevli ulusal uyarÕ merkezi konumundaki CCN- hÕzlandÕrÕlmasÕnda yarar olaca÷Õ CERT aracÕlÕ÷Õyla do÷abilecek güvenlik sorunlarÕna hÕzlÕ ve de÷erlendirilmektedir. etkili bir biçimde çözüm bulmayÕ ve günümüz úartlarÕ içinde do÷an yeni tehditlerle etkin úekilde mücadele etmeyi hedeflemektedir. Siber savunma politikasÕ, halihazÕrda sadece devlet kurumlarÕnÕn sistemlerini kapsamaktadÕr. Sanayi BakanlÕ÷Õ tarafÕndan Telekomünikasyon hizmeti veren Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 261
  6. 6. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION KAYNAKLAR 1. The National Strategy to Secure Cyberspace 2. http://www.whitehouse.gov/pcipb/cyberspace_strategy.pdf 3. http://www.dhs.gov/index.shtm 4. øç Güvenli÷e iliúkin BaúkanlÕk Direktifi www.whitehouse.gov/mews/relases/2003/12/20031217-5.html 5. IT- security Beyond Borders http://www.tekno.dk/pdf/projekter/it-sec2007/2007_it-security-across- borders-summary.pdf 6. Creating a Safer Information Society www.mintc.fi/scripts/cgiip.exe/WService=lvm/cm/pub/showdoc.p?doci d=2433&menuid=431 7. http://www.telecom.gouv.fr/fonds_documentaire/rapports/cybercriminal ite.pdf 8. Korea Information Security Agency-www.kisa.or.kr 9. Korea Internet Security Center-www.krcert.or.kr 10. Avrupa A÷ ve Bilgi Güvenli÷i AjansÕ (European Network and Information Security Agency) http://www.enisa.europa.eu/index.htm 11. http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=200 8/0097 12. http://www.csae.map.es/csi/pg3428.htm 13. E-Dönüúümde Türkiye Nerede? Y. Turan Çetiner, UluslararasÕ Ekonomik Sorunlar Dergisi, T.C. DÕúiúleri BakanlÕ÷Õ, KasÕm 2008 Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 262

×