ÖZET
Teknolojinin önüne geçilemez evriminin başta bilgi ekonomisi olmak üzere pek çok anlamda diğer ülkelerin ötesinde bir güç olma yolunda ilerlemeyi sağladığı ve bu evrim ile birlikte ortaya çıkan bilgi savaşları1 ve her geçen gün büyümekte olan siber savaşlardan açıkça anlaşılmaktadır. Bu doğrultuda, devlet veya özel sektör eliyle yürütülen kritik alt yapı sistemleri çağın gereği olarak giderek bilişim teknolojilerine uyum sağlamaya başlanmıştır. Sağlıktan ekonomiye, savunma sistemlerinden yaşamsal kaynaklara kadar pek çok alanın, internet üzerinden kontrol edilmeye başlanmasıyla birlikte, siber dünyadaki tehditlerde de aynı oranda artmıştır. Bu çalışmada, siber güvenliğin önemi, siber güvenliğin sağlanması adına atılması gereken adımlar, yeni gelişmekte olan ulusal ve uluslararası anlamda siber güvenlik mevzuatları ile siber sigortaların işlevleri incelenmektedir.
I. GİRİŞ
Küreselleşme ile birlikte değişen güvenlik algılamaları paralelinde, siber anlamda da birbirine bağlılık, bağlantılılık ve bağımlılık ilişkileri hızla artmıştır. Siber alanda hizmetler, sunucular, web sayfaları vb. araçlar birbirine bağlıdır ve her bölüm farklı bir fiziksel bölgede yer alır. Ancak bu araçlar karşılıklı olarak birbirlerine bağımlı oldukları için birlikte çalışırlar. Bununla birlikte, her alanın farklı zorlukları vardır ve her alan üzerindeki hâkimiyet farklı bir teknoloji gerektirir. Siber uzayın büyük oranda fiziksel bir alan olmadığı gerçeğinden yola çıkarak siber alanda hâkimiyetin de önemli ölçüde farklı olduğu sonucuna ulaşılmaktadır. Çünkü siber alanda fiziksel araçlar önemli oranda hâkimiyetini kaybeder ve yerini farklı taktik ve teknolojiye bırakır. Artan bu bağlantılılık, beraberinde pek çok tehlikeyi de doğurmuştur. Küreselleşmenin getirdiği bilgi yayılımı, bir devletin kazandığı askeri üstünlüğü bir diğer devletin de takip etmesini ve aynısını kısa bir sürede kazanması, elde etmesi olasılığını arttırmıştır2. Tüm bu gelişmeler, küresel dünya düzenini siber güvenlik tehdidiyle yüz yüze getirmektedir. Bu tehditlerle mücadele etmenin yolu klasik siyaset, ekonomi ve güvenlik tanımlamalarından uzaklaşmak ve güvenliği siber anlamda da etkin şekilde sağlamaktan geçmektedir.
Siber güvenlik, kurum, kuruluş ve kullanıcıların varlıklarına ait güvenlik özelliklerinin siber ortamda bulunan güvenlik risklerine karşı koyabilecek şekilde oluşturulmasını ve idame edilmesini sağlamayı amaçlamaktadır.
İşbu makalemizde sırasıyla ele alacağımız konu ise; siber güvenliğin gelişimi, amacı ve unsurları başta olmak üzere uluslararası alanda siber güvenlik ve siber güvenlik mevzuatıdır. Akabinde siber güvenlik sigortalarına değinecek olup bu doğrultuda siber tehdit türlerine ve de sigorta kapsam ve teminatına ilişkin görüş ve değerlendirmelerimiz bulunmaktadır.
II. SİBER GÜVENLİK
A. Siber Güvenlik Kavramı ve Amacı
Amerika Birleşik Devletleri Savunma Bakanlığı’nın tanımına göre siber alan: İnternet iletişim ağları, gömülü işlemci ve kontrol birimlerini içeren, bilgi teknolojileri altyapılarından meydana gelen, bir birine bağlı ağların oluşturduğu bilgi ortamındaki bir küresel alandır.
Tüm kullanıcılar için güvenli siber alanları oluşturmak ve siber alanda güvenli bir insan hakları ortamı oluşturmak için karşımıza çıkan siber güvenlik kavramı ise; Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) 2014 yılında yapmış olduğu tanım ile siber ortamda kurum, kuruluş ve kullanıcıların varlıklarını korumak amacıyla kullanılan araçlar, politikalar, güvenlik kavramları, güvenlik teminatları, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulamalar ve teknolojiler bütünüdür. Kurum, kuruluş ve kullanıcıların varlıkları, bilgi işlem donanımlarını, personeli, altyapıları, uygulamaları, hizmetleri, telekomünikasyon sistemlerini ve siber ortamda iletilen ve/veya saklanan bilgilerin tümünü kapsamaktadır.
Siber güvenlik kavramının tarifi daha çok bilişim sistemlerinin temel malzemesi olan bilgi üzerinden yapılmaktadır. Buna göre siber âlemin güvenli olabilmesi için bilginin gizliliği, bütünlüğü ve erişilebilirliği sağlanması gerekmektedir3. Siber güvenlik stratejilerinde genel olarak; güvenli, saldırılara karşı dayanıklı ve güvenilir bir siber alanın sağlanması, bilişim sistemleri vasıtasıyla ekonomik ve sosyal refahın, güvenli iş ortamı ve ekonomik büyümenin teşvik edilmesi, bilişim ve iletişim teknolojilerinin barındırdığı risklerin kontrol altında tutulması, bilişim altyapılarının dirençli hale getirilmesi hedeflenmektedir.
Siber saldırılar bir ülkedeki bütün hayatı durdurabilecek noktaya geldiğinde siber güvenliğin önemi anlaşılmaktadır. Siber tehditlerin hızla artarak güvenliği tehlikeye düşürmesi noktasında birçok devlet güvenlik politikalarını hayata geçirmek adına kalifiye kadroları oluşturma, altyapı hizmetlerini sağlamak gibi büyük yatırımlar yapmaktadır. Devletlerin temel olarak siber alanında öncelikli olarak güvenliklerini sağlamaları gereken alanlar; bilişim, enerji, mali işler, gıda, sağlık, su, ulaşım, kamu güvenliği, savunma, nükleer biyolojik ve kimyasal tesislerdir4. Söz konusu alanlar temel kritik altyapılardan olup, siber güvenliğin etkin şekilde sağlanması gerekliliğinin sair güvenlik önlemlerinden farkı, olası bir siber saldırı sonucunda sayılan kritik altyapıların zarar görmesi ihtimalidir. Kritik altyapı, sistemleri içerisinde bulunan bilgilerin gizlilik ve bütünlüğünün bozulması can kaybı, ekonomik zarar ve kamu düzeninin bozulmasına sebep olabilecek sistemlerdir.
Günümüzde hemen hemen bütün kritik altyapılar, bilgi ve iletişim teknolojilerini az veya çok içermekte ve bu teknolojiler ile değişik şekillerde kesişmektedir. Barajlar, enerji üretim ve dağıtım santralleri gibi kritik altyapılar bilgi teknolojileri tarafından kontrol edilmekte ve izlenmektedir. Telekomünikasyon gibi kritik altyapılar ise tümüyle bilgi ve iletişim teknolojilerinden oluşmaktadır.
Kritik altyapılar, fazla sayıda ve karmaşık bağımlılık ilişkisi içinde olan yapılardır. Bilgi ve iletişim teknolojileri bazı kritik altyapılar arasındaki bağımlılıkları başlatmış, hâlihazırdaki bazı bağımlılıkları ise ciddi şekilde artırmıştır. Örneğin barajlardaki bir arıza, elektrik üretiminin durmasına, elektrik üretimindeki problemler internet altyapısının işlevselliğinin bozulmasına neden olurken; internetteki kesintiler ise başta bankacılık olmak üzere birçok kritik altyapıyı etkileyecektir. Bu sebeple, siber güvenliğin en önemli amaçlarından biri, bahse konu hayati ve kritik altyapıların ulusal bazda güvenliğinin sağlanmasıdır.
Ayrıca, küreselleşmenin getirdiği gelişen teknoloji ile birlikte işlenen suç türleri ve yöntemleri de gelişmiştir ve gelişen teknoloji paralel olarak artmaya devam edecektir. Tüm bunlarda göstermektedir ki; siber güvenliğin sağlanması salt ulusal anlamda sınırlı olmamakla birlikte, kişisel verilerin ve mahremiyetinin korunmasında, şebekelerin güvenliğinin ve güvenilirliğinin sağlanmasında ve siber suçlarla mücadelede önemli bir unsurdur.
Siber güvenlik, siber tehdit ve saldırıların yanı sıra bilgi ve iletişim sistemleri(BIS) bünyesinde yer alan güvenlik açıklarını da en aza indirmeyi amaçlamaktadır.
B. Siber Güvenliğin Unsurları
Ulusal ve uluslararası alanda yapılan çalışmalar göstermektedir ki; siber güvenliğin tam anlamıyla sağlanabilmesi için belirli unsurların tamamlanması gerekmektedir. Bunlar; ulusal politika ve stratejinin geliştirilmesi, yasal çerçevenin oluşturulması, teknik tedbirlerin geliştirilmesi, kurumsal yapılanmanın belirlenmesi, ulusal işbirliği ve koordinasyonun sağlanması, kapasitenin geliştirilmesi, farkındalığın artırılması, uluslararası işbirliği ve uyumun sağlanmasıdır.
Siber güvenliğin sağlanmasında tüm bu çalışmalar yapılırken, temel hak ve hürriyetlerinin korunması, demokratik toplum düzeninin gereklerine uyulması, ölçülülük ilkesine uyulması, karar alma süreçlerine tüm paydaşların katılımının sağlanması, bütüncül bir yaklaşımla hukuki, teknik, idari, ekonomik, politik ve sosyal boyutların ele alınması, güvenlik ile kullanılabilirlik arasında denge kurulması, diğer ülke mevzuatlarının göz önünde bulundurulması ve mümkün olabildiğince uyumluluğun sağlanması, uluslararası işbirliğinin sağlanması hususlarının dikkate alınması gerekmektedir.
1. Ulusal Politika ve Stratejilerin Geliştirilmesi
Gerek bireysel, gerek kurumsal siber güvenliğin inşası doğrultusunda alınması gereken önlemler için öncelikle ulusal boyutta adımlar atılmaktadır. Siber güvenliğin ulusal boyutta sağlanması ve siber savaşların önlenmesi amacıyla ülkemizde de çeşitli çalışmalar yürütülmektedir.
Siber savaşlar, özünde; dijital ve teknolojik yollarla yürütülen bir savaş yöntemi anlamına gelmekle birlikte; fiziksel bir savaş kavramında olduğu gibi siber savaş da alt yapıyı devre dışı bırakma, istihbarat toplama ve propaganda dağıtımı kavramlarını içermektedir. Komplo teorileri ya da efsane gibi anlatılan siber savaş senaryoları günümüzde gerçek olmaya başlamıştır. İnternet üzerinden yapılan siber saldırıların hava kara deniz ve uzaydan sonra sanal dünyaya taşınması sebebiyle siber savaş artık önemsenmesi gereken ciddi bir tehlike haline gelmiştir.
Türkiye’nin bilgi toplumuna geçiş için e-sistemlerin kullanımına başlaması, 1960’lı yıllara dayanmaktadır. Buna örnek olarak; Dünya’daki 12 sistemden birisi olan ilk bilgisayar Karayolları Genel Müdürlüğü’nde bulunması verilebilir (30 Ekim 1960). Ayrıca 1963’te DSİ ve İş Bankası’nın bilgisayar sahibi olduğu; İTÜ ve ODTÜ’nün 1964 ve 1965 yıllarında ilk kursları tertip ettiği; 1970’li yılların başında İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünün Merkezi Nüfus İstatistikleri Projesini (MERNİS) başlattığı, 1980’lerin ortasında bilgisayarlar ortaya çıkışında patlama yaşandığı, 1993 yılında ilk defa Orta Doğu Teknik Üniversitesi ve ABD arasında kiralık bir hat üzerinden internet bağlantısı sağlandığı ve 1995’te internetin kullanılmaya başlandığı çeşitli kaynaklardan anlaşılmaktadır.
Günümüze kadar Türkiye’de üç adet ulusal siber güvenlik tatbikatı olmuştur; 2008’de TR-BOME, 2001 ve 2013’te TÜBİTAK ile BTK tarafından düzenlenmiştir. Katılımcılar arasında bilişim teknolojileri alanında çalışanların yanı sıra, finans, eğitim, sağlık, hukuk ve savunma sektörlerinden de katılımcılar olmuştur.
Ülkemizde ve dünyada yaşanan tüm bu bilgi toplumuna geçiş süreci ile birlikte, bu sürece karşı olarak kişisel, ticari ve politik motivasyonlar barındıran zararlı yazılımların oranında büyük artış meydana gelmiş; ülkelerin kurum ve kuruluşları siber saldırıların hedefi olmuştur.
Bakanlar Kurulunca alınan karar doğrultusunda 20 Haziran 2013 tarihli 28683 Sayılı Resmi Gazete ’de yayınlanarak yürürlüğe giren Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planını ile ulusal siber güvenlik alanında ihtiyaç duyulan düzenlemelerin yapılması hedeflenmektedir. Söz konusu eylem planının amacı, kamu kurum ve kuruluşlarınca bilgi teknolojileri üzerinden sağlanan her türlü hizmet, işlem ve veri ile bunların sunumunda kullanılan sistemlerin güvenliğinin sağlanmasına, kamu ya da özel sektör tarafından işletilen kritik altyapılara ait bilişim sistemlerinin güvenliğinin sağlanmasına, siber güvenlik olaylarının etkilerinin en düşük düzeyde kalmasına, olayların ardından sistemlerin en kısa sürede normal çalışmalarına dönmesine yönelik stratejik siber güvenlik eylemlerinin belirlenmesine ve oluşan suçların adli makam ve kollukça daha etkin araştırılmasının ve soruşturulmasının sağlanmasına yönelik bir altyapı oluşturmaktır5.
2016 yılı itibariyle ise, 2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı 2016-2019 dönemi için hazırlanmış ve yürürlüğe girmiştir. Bu plan, kamu bilişim sistemlerine ve kamu ya da özel sektör tarafından işletilen kritik altyapılara ait bilişim sistemlerine ilave olarak küçük ve orta ölçekli sanayi, tüm özel ve tüzel kişiler de dâhil olmak üzere ulusal siber uzayın ülkemiz ölçeğindeki bütün bileşenlerini kapsamaktadır. Strateji hazırlıkları geniş katılım sağlanarak gerçekleştirilmiştir. Geçmiş eylem planı eylem sorumluları ile yapılan toplantıların ardından kamu kurumları, kritik altyapı işletmecileri, bilişim sektörü, üniversiteler ve sivil toplum kurumlarını temsilen 73 kurum ve kuruluştan toplam 126 uzmanın katılımı ile Ortak Akıl Platformu gerçekleştirilmiştir.
2. Yasal Çerçevenin Oluşturulması
Siber alanda oluşan tehditlere karşı devlet kurum ve bireylerin tedbirlere yönelik bir takım girişimleri oluşmaya başlamıştır. Fakat söz konusu girişimlerin gerçek çözüm üretebilmesi için yasal mevzuat ve düzenlemelerin oluşturularak uygulamaya geçirilmesi gerekmektedir.
Bu bağlamda, ABD, Avusturya, Danimarka, Fransa, Almanya, Yunanistan, Finlandiya, İtalya, Türkiye, İsveç, İsviçre, Avustralya, Kanada, Hindistan, Japonya, İspanya, Portekiz, İngiltere, Malezya ve Singapur gibi ülkelerde siber güvenlikle ilgili sıkı yaptırımlar ve kısıtlamalar içeren düzenlemeler oluşturulmaya başlanmıştır.
Türkiye’de de siber güvenlik bilincinin artması, son zamanlarda yoğun siber saldırılara maruz kalınması ve siber güvenlik tedbirleri ile ilgili girişimlerde bulunmanın ihtiyaç halini almasıyla birlikte değişik çalışmalar yapılmaktadır. Bu faaliyetler; Siber Güvenlik Eylem Planları, Ulusal Bilgi Güvenliği Programı, Ulusal Bilgi Güvenliği Kapısı, Yasal Çalışmalar, Siber Güvenlik Müdahale Ekipleri ve Birimleri, Siber Güvenlik Tatbikatları, Konferanslar ve Çalıştaylar ve de TSK bünyesinde icra edilen faaliyetler ve oluşumlar şeklinde sıralanabilir6.
Bu çalışmalardan yasal çerçeve oluşturma süreci, siber güvenlik tedbirleri konusunda önemli yer tutmaktadır. Mevcut yasaların siber güvenlik tedbirleri açısından olmaması sebebiyle, ülkemiz bu alanda yasal çalışmalara başlamış ve geliştirilmeye devam edilmektedir. Bu kapsamda, 5237 Sayılı Türk Ceza Kanunu’na (“TCK”) eklenmiş olan “Bilişim Alanında Suçlar”, kişisel verilerin korunmasına yönelik hükümler, 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” ve 5070 sayılı “Elektronik İmza Kanunu yer almaktadır.
3. Teknik Tedbirlerin Geliştirilmesi
Türkiye’de yaşanmış önemli siber saldırı ve olayların bazıları; 2008’de Bakü-Tiflis-Ceyhan boru hattına siber saldırı sonrası patlama meydana gelmesi, 2009’da zararlı bir yazılımın Atatürk Havalimanı bilgisayarlarını etkilemesi, 2011’de saldırılar sonrasında Telekomünikasyon İletişim Başkanlığı’nın sitesinin devre dışı kalması, 2015’te elektriğini İran’dan alan Van ve Hakkâri hariç 79 ili etkileyen elektrik kesintisi, 2015’te, 10 gün süreli saldırılar sonucu birçok banka, noter ve devlet kurumunun internet sitesine ve mobil uygulamalara erişim sağlanamaması, 2016’da Sağlık Bakanlığı hastanelerine yönelik siber saldırılar ile veri tabanındaki bilgilerin çalınması ve silinmesi şeklindedir. Henüz farkına varılmayan veya gizlilik, saygınlık kaybı vb nedenlerle açıklanmayan ve açık kaynaklara yansımayanlarla birlikte, yaşanan binlerce önemli siber olay ve saldırının arasından sadece bunlara bakılarak, siber gücün sağladığı imkânlarla çeşitli teknik, taktik ve stratejilerin kullanılmasıyla gerçekleştirilecek siber saldırılarla ülke güvenliği için çok büyük tehlikeler, hasar ve zararlar yaratabileceği sonucuna kolaylıkla ulaşılabilmektedir.
Yaşanan siber saldırılar göstermektedir ki; siber güvenliğin sağlanması noktasında hukuki tedbirler gereklidir ancak yeterli değildir. Her şeyi hukuktan, yargıdan ve kolluk kuvvetlerinden beklemek de doğru bir yaklaşım olarak görülmemektedir. Bu itibarla, özellikle yazılım, donanım ve iş süreçlerinin kalitesinin artırılarak daha güvenli kılınması gerekmektedir. Bunun için de ISO/ IEC 15408 ve TS ISO/IEC 27001 gibi güvenlik standartlarının, benzer nitelikteki teknik rehber ve kılavuzların geliştirilmesi, uygulanması ve kullanılması sağlanmalıdır. Yazılım, donanım ve iş süreçlerinin daha güvenli kılınmasının siber saldırganları caydırıcı etki yaratabileceği ve suçla mücadelede önleyiciliği sağlayabileceği de göz önünde bulundurulmalıdır7.
4. Kurumsal Yapılanmanın Belirlenmesi
Siber güvenlik tedbirlerinin uygulanması ve denetlenmesi doğrultusunda öncelikle bireylere, sivil toplum kuruluşlarına, kurum ve kuruluşların sağlaması gereken tedbirler mevcuttur. Söz konusu tedbirlerin hayata geçirilmesi ve bu yolda doğabilecek sorunların çözümlenmesi için öncelikle devlet yapılanması sağlanmalıdır.
Bakanlar Kurulunca alınan 11.6.2012 tarihli ve 2012/3842 sayılı Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar, 20.10.2012 tarihli ve 28447 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Bu karar gereğince; Siber Güvenlik Kurulu oluşturulmuş, Ulaştırma Denizcilik ve Haberleşme Bakanlığı’na siber güvenlik alanında görev ve yetkiler verilmiş, siber güvenlik ile ilgili çalışma grupları ve geçici kurulların oluşturulabileceği karara bağlanmıştır.
İlgili Bakanlar Kurulu Kararı’nın içeriği, 06.02.2014 tarihinde yayımlanan 6518 saylı kanun ile 5.11.2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu’na ilave edilen Ek Madde 1 ile kanunlaştırılmış, 5809 sayılı Elektronik Haberleşme Kanunu’na ilave edilen ek fıkralar ile Bilgi Teknolojileri ve İletişim Kurumu’na siber güvenlik ile ilgili yeni görevler verilmiştir8.
Yukarıda da belirtilmiş olan Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nın “Ulusal Siber Olaylara Müdahale Merkezinin (USOM) Kurulması ve Sektörel ve Kurumsal Siber Olaylara Müdahale Ekiplerinin (SOME) Oluşturulması” başlıklı 4. eylem maddesi uyarınca, Telekomünikasyon İletişim Başkanlığı (TİB) bünyesinde USOM kurulmuştur9.
USOM, ülkemizde siber güvenlik olaylarına müdahalede ulusal ve uluslararası koordinasyonun sağlanması adına kurulmuştur. İnternet aktörleri, kolluk güçleri, uluslararası kuruluşlar, araştırma merkezleri ve özel sektör arasındaki iletişim ve koordinasyon USOM vasıtasıyla gerçekleştirilmektedir. USOM siber güvenlik olaylarına yönelik alarm, uyarı, duyuru faaliyetleri yapmakta, kritik sektörlere yönelik siber saldırıların önlenmesinde ulusal ve uluslararası koordinasyonu sağlamaktadır10.
5. Ulusal İşbirliği ve Koordinasyonun Sağlanması
Ulusal platformda, siber güvenlik hususunda sorumluluğu bulunan her kişi ve kurumun çalışma yürütmesi gerekmektedir. Bu bağlamda, özel nitelikli kurum ve kuruluşlar ve devlet kurumlarında bulunan bilgi güvenliğinin sağlanması yolunda alınan tedbirlerin yanı sıra, kişilerin de bireysel anlamda kendilerine ait siber güvenliği sağlaması önem arz etmektedir.
Tüm sistemlerin ve altyapıların birbiriyle bağlantılı olduğu göz önünde bulundurulduğunda, her bir sistemde ayrı ayrı güvenlik sağlanmadan tam bir güvenlikten bahsedilemeyeceği unutulmamalıdır. Bu sebeple de işbirliği ve koordinasyon ile çalışmaların başarılı olması sağlanmalıdır.
6. Kapasitenin Geliştirilmesi
Teknolojik anlamda ortaya çıkan yeni tehditler ile teknik ve bunun yanı sıra hukuki, idari boyutta ürünler ve çözümler vasıtasıyla mücadele edilmelidir. Kritik altyapıların korumalarının güçlendirilmesi, bilişim alanında geliştirilecek yeni ve pratik yöntemlerle ve mevzuat düzenlemeleriyle siber güvenlik etkin şekilde sağlanmalıdır. Biçim değiştiren siber suçlar doğrultusunda teknik personel, hukukçular ve kanun koyucuların teknolojiyi yakından takip ederek bilgi birikimlerini geliştirmeleri gerekmektedir.
7. Siber Güvenlik Farkındalığı
Siber güvenlik çalışmalarının başarıya ulaşabilmesi için ülke genelinde gerek özel, gerekse kamu kurum ve kuruluşları nezdinde farkındalık arttırılma çalışmaları yürütülmesi gerekmektedir. Bu doğrultuda, tüm kurumlar siber güvenliği iş süreçlerinin bir parçası olarak görebilmeli ve güncel risklere karşı çalışanlarını ve firmanın değerli varlıklarını koruyabilecek derecede bilinçli olmalıdırlar. Siber güvenliğin baş aktörleri kötü niyetli hackerlar iken, artık devletlerde siber orduları ile bu işin içinde ve dünya genelinde ciddi bir savaş halindedirler.
Özellikle son dönemde yaşanan ve dünya genelinde büyük yankı uyandıran belge sızdırma eylemleri ve dünya devlerinin yaşattığı riskler bireylerin ve firmaların ciddi risk altında olduğunu açıkça ortaya koymaktadır. Bu sebeple, IT Güvenliği ile ekip çalışması yapmak Siber güvenlik için sorumluluk almak, siber güvenli bir ortam yaratmak, çalışanların siber güvenli davranışlarda bulunmasını mecbur kılmak, siber güvenlik değerlerini paylaşmak ve siber güvenli şekilde hareket etme yolunda IT bilgisine sahip kişi ve kurumlarla işbirliği yapmak söz konusu siber güvenlik farkındalığını arttırmak için önemli adımlardır.
8. Uluslararası İşbirliğinin Sağlanması
Dünyanın büyük bir hızla gelişmesi, küreselleşmesi ve sanayileşmenin etkisiyle birlikte, coğrafi olarak dağınık ve büyük bir alana yayılan altyapı tesislerinin yönetimi için uzaktan kontrol ve erişim sistemleri kullanılmaya başlanmıştır. Bu sayede uluslararası çalışmalarda ülkelerin işbirliği ve bütünleşme çalışmaları bilgisayar sistemleri sayesinde kolaylaşmış ve hızlanmıştır. Türkiye’nin elektrik kritik altyapısını 2010 yılında Avrupa’ya entegre ettiği ENTSO-E (Avrupa Kıtası Senkron Bölgesi Şebekesi)’yi buna örnek verebiliriz. ENTSO-E çatısı altında; 34 Avrupa ülkesinden 41 İletim Sistemi İşletmecisi Denetleme Kontrolü ve Veri Elde Etme (Supervisory Control and Data AcquisitionSCADA) sistemleri aracılığıyla birbirine bağlanmıştır. Böylece ülkelerin tüm altyapılarını kontrol eden bilgi sistemlerinin korunma ihtiyacı ortaya çıkmıştır11.
Siber suçlar ülkesel sınırı bulunmayan ve siber dünyanın niteliği gereği global anlamda aynı anda birçok ülkeyi olumsuz etkileyecek uluslararası bir problemdir. Bu sebeple, ulusal tedbirlerin yanı sıra uluslararası düzenlemelerle de bu suçların önüne geçilmelidir. Yurtdışında yürütülecek ve olan yasadışı siber faaliyetlerin ülkemizi etkilemesi veyahut ülkemizdeki bir kişinin başka bir ülkenin sistemini kullanarak üçüncü bir ülkeye siber saldırı gerçekleştirmesi her daim ihtimal dahilindedir. Hal böyleyken, bu saldırıların araştırılması, tespiti ve önlenmesi kapsamında ülkeler arası bir işbirliği elzemdir. Bu sebeple, ülkemizin de üyesi olduğu Birleşmiş Milletler ve bünyesinde yer alan Uluslararası Telekomünikasyon Birliği, Ekonomik İşbirliği ve Kalkınma Teşkilatı ve Avrupa Konseyi’nin yanı sıra Avrupa Birliği tarafından siber güvenlik konusunda yürütülmekte olan faaliyetler bulunmaktadır.
C. İlgili Mevzuat
Bakanlar Kurulunca alınan 11/6/2012 tarihli ve 2012/3842 sayılı Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar, 20/10/2012 tarihli ve 28447 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Bu karar gereğince Siber Güvenlik Kurulu oluşturulmuş, Ulaştırma Denizcilik ve Haberleşme Bakanlığı’na siber güvenlik alanında görev ve yetkiler verilmiş, siber güvenlik ile ilgili çalışma grupları ve geçici kurulların oluşturulabileceği karara bağlanmıştır12.
Türkiye’de siber güvenlik alanında düzenlenen diğer mevzuatlar; 20.06.2013 tarihli 28683 numaralı Resmi Gazete’de yayınlanan Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planının Kabulü Hakkında Karar; 11.11.2013 tarihli 28818 numaralı Resmi Gazete’de yayınlanan Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ; 13.07.2014 tarihli 29059 numaralı Resmi Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği; 13.07.2014 tarihli 29059 numaralı Resmi Gazete’de yayınlanan Bülent Ecevit Üniversitesi Karaelmas Siber Güvenlik Uygulama ve Araştırma Merkezi Yönetmeliği; 13.07.2017 tarihli 30123 numaralı Resmi Gazete’de yayınlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği; 13.10.2017 tarihli 30209 numaralı Resmi Gazete’de yayınlanan Kadir Has Üniversitesi Siber Güvenlik ve Kritik Altyapı Koruma Uygulama ve Araştırma Merkezi Yönetmeliği; 08.01.2018 tarihli 30295 numaralı Resmi Gazete’de yayınlanan Bahçeşehir Üniversitesi Siber Güvenlik Uygulama ve Araştırma Merkezi Yönetmeliği’dir.
06.02.2014 tarihinde yayımlanan 6518 saylı kanun ile 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu’na bazı maddeler eklenerek ilgili Bakanlar Kurulu kararı güncellenmiş, Bilgi Teknolojileri ve İletişim Kurumu’na siber güvenlik ile ilgili yeni görevler verilmiştir.
Ayrıca siber güvenlik kapsamında çeşitli uluslararası çalışmalar da mevcuttur. Türkiye’nin de yer aldığı bu çalışmaların başlıcaları; 1 Temmuz 2014 tarihli Avrupa Konseyi Sanal Ortamda İşlenen Suçlar Sözleşmesi, 23.11.2001 tarihli Avrupa Konseyi Siber Suçlar Sözleşmesi ve Siber Savaşa Uygulanacak Hukuk Hakkında Tallinn El Kitabı’dır.
III. SİBER GÜVENLİK SİGORTALARI
A. Siber Tehdit ve Türleri
Siber saldırı; zararlı kullanıcılar veya kullanıcı grupları tarafından devlet, polis, jandarma, banka veya şahısların bilgisayar sistemlerine, hesaplarına zarar vermek amacıyla gerçekleştirilen bir çeşit elektronik saldırı biçimidir.
Söz konusu siber saldırılara; bilgi ve istihbarat sağlama amacıyla kullanılan casus yazılımlar aracılığıyla yapılan saldırılar, portal ve internet hizmetinin aksatılması veya engellenmesine yönelik yapılan saldırılar, Yemleme (phishing) olarak adlandırılan ve illegal yollardan yanıltma amacıyla yapılan saldırılar, istem dışı elektronik posta olarak adlandırılan spam yöntemiyle zararlı dosyalar göndererek yapılan saldırılar, ağ trafiğini dinleyerek yapılan saldırılar, sosyal medya kullanarak yapılan saldırılar, sosyal Mühendislik, arama motorları, Ücretsiz Web Hizmeti Sunma örnek gösterilebilir13.
Siber tehditler yazılım kaynaklı tehditler insan kaynaklı tehditler olarak ikiye ayrılabilir. Yazılım kaynaklı tehditler; zombi/hayalet sistem yazılımları, yemleme yazılımları, istem dışı e-posta yazılımları, casus/kötü amaçlı yazılımlar iken, insan kaynaklı tehditler; organize suç grupları, yabancı istihbarat örgütleri, Hacker’lar, BİS’lere erişebilen çalışanlar ve siber teröristlerdir.
Siber saldırılar; hizmet engelleme, kritik altyapı kaybı, veri/bilgi hırsızlığı, dolandırıcılık, veri yolsuzluğu, içeriden istismar, politik, veri (bilgi) savaşı, siber terörizm, siber suçlar, kötü niyetli hacker (bilgisayar korsanlığı), vandalizm, şantaj ve fidye, deneysel veya eğlence gibi ve her geçen gün artış gösteren çeşitli amaçlarla gerçekleştirilebilmektedir.
B. Siber Güvenlik Sigortaları
Siber güvenlik sigortası diğer adı “veri koruma sigortası” olan bu hizmet ülkemizde yeni rastlamaya başladığımız sigorta alanlarından biridir. Bu alanda kişisel veya kurumsal müşterilerin yararlanabileceği sigorta hizmetinde başlıca “veri koruma” “kriz anında destek” ve sonrasındaki “yasal takip” aşamaları için koruma ve danışmanlık ve olayın gerçekleşmesi halinde zararın sigorta tarafından karşılanması unsurları yer almaktadır.
ABI Research’ın araştırmasına göre, küresel siber risk sigortası pazarının 2020 yılında 10 milyar dolarlık hacme ulaşacağı tahmin edilmektedir. Bu büyümenin ana etmeni olarak, siber ihlallerle ve saldırılarla bağlantılı maliyetlerin yükselmesi, risk yönetimi stratejilerinin giderek riski sigorta sağlayıcılarına devretmeye doğru itmesi gösterilmektedir.
1. Siber Risk Sigortası Teminatları
Siber güvenlik ile ilgili riskler her geçen yıl bir öncekine oranla artış göstermektedir. Bahse konu olayların dünya ekonomisine verdiği büyük ölçülü zararlar kişi ve kurumların bilgi güvenliği hususunda çeşitli zarar sonrası telafi yöntemlerine de başvurmasını gerektirmektedir. Alınan tüm önlemlere rağmen sistemler saldırıdan etkilendiği zaman ise sigorta devreye girerek kurumların kalıcı hasarlar almasının önüne geçmektedir.
Siber risk sigortaları, sigortalının veri kaybı ve kaybolan verinin yerine konma masraflarını teminat altına alır. Yine siber saldırı ve ya kötü niyetli yazılım yayılması yaşanabilecek iş durması ve/ve ya yavaşlamasına bağlı kâr kaybı ve ek masrafları da siber riskler poliçesinin konusudur.
Bütün önlemlere rağmen tüm sistemlerin tamamen korunması söz konusu değildir. Sadece bireyler, küçük ve orta ölçekli firmalar değil, aynı zamanda dünya devleri de zaman zaman bu saldırılardan etkilenerek operasyonlarını kısmen durdurmak zorunda kalabilmektedir.
Bu durumda siber güvenlik sigortası, mevcut koruma önlemlerinin yetersiz kaldığı ve sistemin etkilendiği durumlarda hem yaşanan kayıpları telafi ederek kurumların hayatlarına devam etmesine, hem de süreç içinde gerekli danışmanlık hizmetlerini vererek kriz yönetimine yardımcı olmaktadır.
2. Siber Sigortaların Kapsamı
Siber güvenlik sigortaları; önleme, koruma ve tanzim etme şeklinde üç aşamayı kapsamaktadır. Dolayısıyla, kriz yönetimi masrafları, bilgilendirme masrafları, veri ihlali zararları, data ve networkun yeniden yapılandırılması masrafları, itibar hasarları, iş durması hasarları, şantaj ve fidye ödeme maliyetleri, dış kaynak kullanımı sorumluluğu hasarları, ek ödemelerle siber şantaj ve multimedya gibi masraflar siber sigortalar tarafından karşılanarak, saldırılar sonucu ortaya çıkan mağduriyetler önlenebilmektedir.
Siber güvenlik sigortalarının ilk adımlarının 2000’li yılların başında Amerika Birleşik Devletleri’nde atıldığı görülmektedir. Bunun yanı sıra, son yıllarda Avrupa Birliği ve İngiltere’de bu konunun gelişme göstermektedir. İngiltere’de bu hususla alakalı olarak, avukatların vekalet ilişkisi kapsamında müvekkillerine ait önemli bilgileri siber ortamda muhafaza etmeleri sebebiyle mesleki risk sigortalarının kapsamı içerisine siber güvenlik sigortaları da dahil edilmiştir14.
Ülkemizde ise, bu husus henüz gelişme göstermeye devam eden alanlar arasında yer almaktadır.
IV. SONUÇ
Siber saldırıların ve küreselleşmeyle birlikte tüm hayati öneme sahip sistemlerin birbiriyle bağlantılı, kaçınılmaz olarak zarar görmeye elverişli olduğu siber evrende güvenliğin sağlanması oldukça önemlidir. Özellikle teknolojinin önlenemez gelişimi ve siber tehditlerin de aynı doğrultuda evrimleştiği göz önünde bulundurulduğunda, gerek ulusal gerek uluslararası kapsamda alınacak teknik, idari, hukuki tedbirlerin periyodik olarak güncellenmeleri gerekmektedir. Ülkemizde de, bu alanda gerekli farkındalığın kurumsal ve bireysel anlamda arttırılması ve siber sigorta kullanımının gelişim göstermesi zararlı siber faaliyetlerden korunmanın sağlanması yolunda önemli adımlar atılmasını sağlayacaktır.
KAYNAKÇA
Ercan Nurcan Yılmaz, Halil İbrahim Ulus, Serkan Gönen, “Bilgi Toplumuna Geçiş ve Siber Güvenlik”, Bilişim Teknolojileri Dergisi, Cilt: 8, Sayı: 3, Eylül 2015
Mustafa Ünver, Cafer Canbay, “Ulusal ve Uluslararası Boyutta Siber Güvenlik” (Ulusal/Uluslararası Siber Güvenlik), Elektrik Mühendisliği, Sayı: 438, Mart 2010
Onur Yılmaz, “Küreselleşme Sürecinde Dönüşen Güvenlik Algısı ve Siber Güvenlik” (Küreselleşme ve Siber Güvenlik), DERGİPARK, Aralık 2017
Zeynep Nur İman, “Siber Güvenlik ve Arama Motorları”, http://ab.org.tr/ab16/bildiri/103.pdf , Son Erişim Tarihi: 25.06.2018 https://www.btk.gov.tr/siber-guvenlik-stratejisi-ve-eylem-plani, Son Erişim Tarihi; 24.06.2018 https://www.btk.gov.tr/usom-ve-kurumsal-siber-olaylara-mudahale-ekibi, Son Erişim Tarihi: 24.06.2018 https://www.btk.gov.tr/usom-ve-kurumsal-siber-olaylara-mudahale-ekibi, Son Erişim Tarihi: 24.06.2018
DİPNOT
1 Özellikle askerî stratejilerde gerek savunma gerekse saldırı amaçlı kullanılan bilgi ve istihbarat tabanlı teknolojilerin artması ve gelişmesi, “bilgi savaşı” kavramının doğmasına neden olmuştur. 1991 yılında ilk defa Körfez Savaşı esnasında kullanılan bu terim, günümüzde genelde bilgi teknolojisi ağırlıklı olmasından ötürü bilgi bilimcileri ve içeriğinde bir savaş teknolojisinin kullanılması sebebiyle de askerî stratejistleri ve uluslararası ilişkiler uzmanlarını ilgilendirmektedir.
2 Onur Yılmaz, “Küreselleşme Sürecinde Dönüşen Güvenlik Algısı ve Siber Güvenlik” (Küreselleşme ve Siber Güvenlik), DERGİPARK, Aralık 2017, C.II, S.4, s. 26.
3 Zeynep Nur İman, “Siber Güvenlik ve Arama Motorları”, http://ab.org.tr/ab16/bildiri/103.pdf , Son Erişim Tarihi: 25.06.2018
4 Yılmaz, Küreselleşme ve Siber Güvenlik, s. 31.
5 https://www.btk.gov.tr/siber-guvenlik-stratejisi-veeylem-plani, Son Erişim Tarihi; 24.06.2018
6 Mustafa Ünver, Cafer Canbay, “Ulusal ve Uluslararası Boyutta Siber Güvenlik” (Ulusal/Uluslararası Siber Güvenlik), Elektrik Mühendisliği, Sayı: 438, Mart 2010, s. 32
7 Ünver, Canbay, Ulusal/Uluslararası Siber Güvenlik, Sayfa: 100
8 https://www.btk.gov.tr/siber-guvenlik-kurulu, Son Erişim Tarihi: 25.06.2018
9 https://www.btk.gov.tr/usom-ve-kurumsal-siberolaylara-mudahale-ekibi, Son Erişim Tarihi: 24.06.2018
10 https://www.btk.gov.tr/usom-ve-kurumsal-siberolaylara-mudahale-ekibi, Son Erişim Tarihi: 24.06.2018
11 Ercan Nurcan Yılmaz, Halil İbrahim Ulus, Serkan Gönen, “Bilgi Toplumuna Geçiş ve Siber Güvenlik”, Bilişim Teknolojileri Dergisi, Cilt: 8, Sayı: 3 Eylül 2015, Sayfa: 141
12 https://www.btk.gov.tr/siber-guvenlik-kurulu, Son Erişim Tarihi: 25.06.2018
13 Yılmaz, Küreselleşme ve Siber Güvenlik, s. 29.
14 https://www.americanbar.org/publications/ gp_solo/2016/may-june/cyber_insurance_law_firms. html, Son Erişim Tarihi: 24.06.2018
