ULUSAL SİBER GÜVENLİK ÇALIŞMALARI Cyber Warfare and Security Conference 27-28 Kasım 2014 Haberleşme Genel Müdürlüğü 1
Ülkemizde Siber Güvenlik Çalışmaları MEVZUAT Ülkemizde Siber Güvenlik Çalışmaları Ülkemizde Siber Güvenlik konusundaki çalışmalar 2012 yılında Bakanlar Kurulu’nun “Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna ilişkin Kararı” ile başlamıştır. Söz konusu Karar ile “Siber Güvenlik Kurulu kurulmuş olup, Siber Güvenlikle ilgili Kurulun ve Bakanlığımızın görev ve yetkileri” belirlenmiştir. 2
Ülkemizde Siber Güvenlik Çalışmaları MEVZUAT Ülkemizde Siber Güvenlik Çalışmaları Karar kapsamında bulunan “Siber Güvenlik Kurulunun kuruluşu ve görevleri ile Bakanlığımızın siber güvenlik ile ilgili görev ve yetkileri” 5809 sayılı Elektronik Haberleşme Kanununa da şubat 2014’de eklenerek çalışmalar yasal bir zemine oturmuştur. 3
MEVZUAT Bakanlar Kurulu Kararı ve 5809 Sayılı Kanununa Eklenen Madde ile, Siber Güvenlik Kuruluna Verilen Görevler Siber güvenlik ile ilgili politika, strateji ve eylem planlarını onaylamak ve ülke çapında etkin şekilde uygulanmasına yönelik gerekli kararları almak Kritik altyapıların belirlenmesine ilişkin teklifleri karara bağlamak Siber güvenlikle ilgili hükümlerin tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek Kanunlarla verilen diğer görevleri yapmak 4
MEVZUAT Bakanlar Kurulu Kararı ve 5809 Sayılı Kanuna Eklenen Madde ile, Ulaştırma Denizcilik ve Haberleşme Bakanlığı’na Verilen Temel Görev ve Yetkiler Politika, strateji ve hedefleri belirlemek Siber güvenliğimize ilişkin usul ve esasları belirlemek Eylem planlarını hazırlamak Siber Güvenlik Kurulunun sekretaryasını yapmak Siber olaylara müdahale organizasyonunu oluşturmak (USOM ve SOME) Bilinçlendirme, eğitim ve farkındalığı artırma faaliyetlerini yürütmek ve yürüttürmek Teknoloji geliştirme ve Arge ile ilgili faaliyetleri yürütmek ve yürüttürmek 5
Siber Güvenlik Kurulu Siber Güvenlik Kurulu bir başkan ve 11 üyeden oluşmaktadır. Başkan:Ulaştırma Denizcilik ve Haberleşme Bakanı Üye : Dışişleri Bakanlığı Müsteşarı Üye : İçişleri Bakanlığı Müsteşarı Üye : Milli Savunma Bakanlığı Müsteşarı Üye : UDHB Müsteşarı Üye : Genelkurmay MEBS Başkanı Üye : MİT Müsteşarı Üye : Kamu Düzeni ve Güvenliği Müsteşarı Üye : TÜBİTAK Başkanı Üye : BTK Başkanı Üye : MASAK Başkanı(Mali Suçları Araştırma Kurumu) Üye : TİB Başkanı 6
Siber Güvenlik Kurulu Başkanlığını Sayın Bakanımızın yapmış olduğu Siber Güvenlik Kurulu bu güne kadar 3 kez toplanmış olup, bir dizi kararlar alınmıştır. En önemli kararlar; Ülkemizin ilk ‘ Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nın oluşturulması, Kritik alt yapı sektörlerinin belirlenmesi ve Bakanlığımız tarafından bu konudaki çalışmaların “Ulusal Siber Güvenlik Strateji Belgesi ve 2013-2104 Eylem Planı” çerçevesinde yürütülmesi, Kurumlararası Kamunet ağının oluşturulması, “Siber Güvenlik Kurulunun Görevleri, Çalışma Usul ve Esasları Yönergesinin” kabul edilmesidir. 7
Ülkemizde Siber Güvenlik Yapılanma Faaliyetleri Ulusal Siber Güvenlik Stratejisi ve 2013-2014Eylem Planı Ülkemizde Siber Güvenlik Yapılanma Faaliyetleri Haziran 2012 Temmuz 2012 Ağustos 2012 20 Ekim 2012 Ocak 2013 20 Haziran 2013 Şubat 2014 TSK Siber Savunma Merkezi Başkanlığı kuruldu TÜBİTAK Siber Güvenlik Enstitüsü kuruldu UDHB ve TÜBİTAK ile Siber Güvenlik Projeleri Siber Güvenlik Kurulu Kuruldu UDHB Siber Güvenlik Dairesi kuruldu Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı yürürlüğe girdi 5809 sayılı Elektronik Haberleşme Kanunu’na eklendi 8
Ulusal Siber Güvenlik Stratejisi ve 2013-2014Eylem Planı Siber Güvenlik Kurulu “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planının” hazırlanması görevini Bakanlığımıza vermiştir. Bakanlığımız koordinasyonunda, Kurum/kuruluşlar ve STK’ların katkısı ile “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı”nı hazırlanmış olup Siber Güvenlik Kurulunda kabul edilmiştir. Bakanlar Kurulu Kararı ile 2013 yılında yürürlüğe girmiştir. 9
Ulusal Siber Güvenlik Stratejisi ve 2013-2014Eylem Planı AMAÇ Kurum ve kuruluşların hizmet ve veri üreten ya da veriyi saklayan sistemlerinin güvenliğinin sağlanması, Kamu ya da özel sektör tarafından işletilen kritik altyapılara ait bilişim sistemlerinin güvenliğinin sağlanması, Siber Güvenlik olaylarının etkilerinin en düşük düzeyde kalmasını sağlama ve en kısa sürede normal çalışmalarına dönmesine yönelik eylemlerin belirlenmesi KAPSAM Kamu bilişim sistemlerini ve kamu ya da özel sektör tarafından işletilen kritik altyapılara ait bilişim sistemleri 10
Ulusal Siber Güvenlik Stratejisi ve 2013-2014Eylem Planı 7 ana başlık altında 29 eylem maddesi 86 alt eylem maddesi 31 sorumlu/ilgili kurum, kuruluş, organizasyonu kapsamaktadır. Sorumlu ve ilgili kurum/kuruluş belirlenmiş olup, görevlere ilişkin çalışmalar belli bir takvime bağlanmıştır. 11
Ulusal Siber Güvenlik Stratejisi ve 2013-2014Eylem Planı Ana Eylem Başlıkları Yasal Düzenlemelerin Yapılması Adli Süreçlere Yardımcı Olacak Çalışmaların Yürütülmesi Ulusal Siber Olaylara Müdahale Organizasyonunun Oluşturulması Ulusal Siber Güvenlik Altyapısının Güçlendirilmesi Siber Güvenlik Alanında İnsan Kaynağının Yetiştirilmesi Siber Güvenlikte Yerli Teknolojilerin Geliştirilmesi Ulusal Güvenlik Mekanizmalarının Kapsamının Genişletilmesi 12
Kritik Altyapı İşletmeci Kurumsal SOME’leri Ulusal Siber Olaylara Müdahale Organizasyonu Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile Sektörel ve Kurumsal Siber Olaylara Müdahale Ekipleri (SOME) USOM (Mayıs 2013) Sektörel SOME’ler Kurumsal SOME’ler Kritik Altyapı İşletmeci Kurumsal SOME’leri 13
Ulusal Siber Güvenlik Stratejisi ve 2013-2014Eylem Planı USOM Ulusal Siber Olaylara Müdahale Merkezi (USOM), 7/24 esasına göre çalışmak üzere 2013 yılında Telekomünikasyon İletişim Başkanlığı bünyesinde kurulmuş ve faaliyete geçmiştir. USOM siber güvenlik olaylarına yönelik alarm, uyarı, duyuru faaliyetlerini yürütmekte olup gerektiğinde kurumlara teknik destek sağlamaktadır. Siber tehditlerin algılanması, zararlı yazılım barındıran ve dağıtan web siteleri ile Botnet’lerin(köle ağların) tespit edilmesi ve ulusal siber tehdit istatistiklerinin yayınlanması amacıyla “BALKÜPÜ SİSTEMİ” Bakanlığımız tarafından Telekomünikasyon İletişim Başkanlığı bünyesinde kurdurulmuştur. Ulusal ağlar üzerinde dolaşan zararlı yazılımların toplanması, tespiti, analiz edilmesi, bulaştıkları sistem üzerinde yaptıkları değişikliklerin ve etkilerinin raporlanması amacıyla TÜBİTAK bünyesinde “Zararlı Yazılım Analiz ve Mücadele Merkezi” kurulmuştur. 14
SOME KURULUM ÇALIŞMALARI Ulusal Siber Güvenlik Stratejisi ve 2013-2014Eylem Planı SOME KURULUM ÇALIŞMALARI Sektörel Some’ler, Düzenleyici ve denetleyici kurumlar bünyesinde, Kurumsal Some’ler, kamu kurumları ve sektörel some’lerin altında yer alan kritik altyapıya sahip kamu ve özel sektör bünyesinde, USOM’un koordinasyonunda 7/24 müdahale esasına göre çalışmak üzere oluşturulmaktadır. SOME’lerin kurulmasına yardımcı olması amacıyla “Kurumsal SOME Kurulum ve Yönetim Rehber Dokümanı” ile “Sektörel SOME Kurulum ve Yönetim Rehber Dokümanı” hazırlanmış ve kurumlarla paylaşılmıştır. Siber Olaylara Müdahale Ekiplerinin (SOME) Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ” 2013 yılında yürürlüğe girmiştir. 15
Kritik Altyapılar Ve Bilgi Teknolojileri İlişkisi Ulusal Siber Güvenlik Stratejisi ve 2013-2014Eylem Planı Kritik Altyapılar Ve Bilgi Teknolojileri İlişkisi Kritik altyapılar, devre dış kalmaları halinde can ve mal kaybına, halkın huzur bozulmasına veya ulusal güvenliğin sekteye uğramasına neden olan sistemlerdir. Bilgi Teknolojilerini kullanan kritik altyapılar: Ulaşım finans Kritik kamu servisleri (Sağlık, acil durum servisleri gibi) Tamamen Bilgi Teknolojisinden oluşan kritik altyapılar: Telekomünikasyon SCADA ile kontrol edilen kritik altyapılar: Kritik üretim tesisleri Enerji ve su(Barajlar, Elektrik üretim ve Dağıtım sistemleri gibi) 16
Gelişmiş Siber Casusluk Tehditi Analizi (APT) Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı Gelişmiş Siber Casusluk Tehditi Analizi (APT) Eylem Planı kapsamında , Gelişmiş Siber Casusluk Tehditi (APT) Analizi Siber Güvenlik Kurulu tarafından belirlenen Kurumlarda yapılmaktadır. 17
Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı Standart Çalışmaları TSE yazılım test laboratuvarında belgelendirmeye yönelik testler yapılmaktadır. TSE, Siber Güvenlik konusunda Sızma Testi (Pen-Test) yapan personel ve firmalar için idari ve teknik kriterler hazırlanmış olup, belgelendirmeleri yapılmaktadır. 18
Kamu Güvenli Ağı Kamu kurumları arasında güvenli bir ağ üzerinden veri aktarımı için Kamunet projesi hazırlanmış ve bu konudaki çalışmalar tamamlanmak üzeredir. 19
Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı Siber Güvenlik Kanunu Eylem Planı kapsamında , Adalet Bakanlığı koordinasyonunda, Bakanlığımız ve diğer kamu kurumlarının katkıları ile “Siber Güvenlik Kanun Taslağı” hazırlanmıştır. 20
AVRUPA KONSEYİ SİBER SUÇLAR SÖZLEŞMESİ Siber Suçlar Sözleşmesi Uluslararası Bağlayıcılığı Olan Tek Antlaşma! 2001, imzaya açılmıştır 2004, yürürlüğe alınmıştır 2010, Hükümetimiz adına imzalanmış, meclise sunulmuştur 2 Mayıs 2014, “6533 sayılı Sanal Ortamda İşlenen Suçlar Sözleşmesinin Onaylanmasının Uygun Bulunduğuna Dair Kanunu” adıyla yasalaşmıştır. Ortak bir ceza politikası! Telif haklarının ihlalleri, bilgisayarlarla ilgili sahtekârlık eylemleri, çocuk pornografisi, ağ güvenliğine ilişkin suçları tanımlamakta ve bu suçlarla mücadele etmede işbirliğini öngörmektedir. Ayrıca, NATO ve diğer uluslar arası kuruluşların siber güvenlik çalışmalarına katılım ve katkı sağlanmaktadır. 21
Ulusal ve Uluslararası Tatbikatlar Bakanlığımız koordinasyonunda BTK ve TÜBİTAK işbirliğinde, birçok kamu kurumu ve özel sektörün katılımı ile 2 kez Ulusal Tatbikat gerçekleştirilmiştir. Bakanlığımız koordinasyonunda, BTK ve ITU-IMPACT işbirliği ile, 19 ülkenin katılım sağladığı 1.Uluslararası Siber Kalkan 2014 Tatbikatı 15-16/05/2014 tarihleri arasında İstanbul’da gerçekleştirilmiştir. 22
İnsan Kaynağı Yetiştirilmesi ve Bilinçlendirme Faaliyetleri Siber güvenlik konusunda akademisyen yetiştirilmesi Üniversitelerde siber güvenlik eğitimlerinin yaygınlaştırılması Siber güvenlik uzmanlığına yönlendirme programının yürütülmesi İlk, orta, lise öğretimi ve yaygın eğitimde siber güvenlik eğitimlerinin yaygınlaştırılması Bilgisayar kullanıcılarının siber güvenlik konusunda bilinçlendirilmesi Ulusal ve uluslararası siber güvenlik etkinlikleri düzenlenmesi 23
İnsan Kaynağı Yetiştirilmesi ve Bilinçlendirme Faaliyetleri Üniversite Enstitü Program YLS/DR Tezli/Tezsiz Eğitim Dili İstanbul Ticaret Üniversitesi Fen Bilimleri Enstitüsü Siber Güvenlik YLS Tezli-Tezsiz Türkçe Bahçeşehir Üniversitesi İngilizce Sakarya Üniversitesi Tezli Gazi Üniversitesi Bilgi Güvenliği - İstanbul Şehir Üniversitesi Bilgi Güvenliği Mühendisliği TOBB Ekonomi Ve Teknoloji Üniversitesi Tezsiz Hacettepe Üniversitesi Bilişim Enstitüsü Fen Bilimleri Enstitüsü DR 24
Ulusal Siber Güvenlik Stratejisi Güncellemesi ve 2015-2016 Eylem Planı Bakanlığımız koordinasyonunda; Kurum/kuruluşlar, Özel sektör ve Akademisyenlerin katılımı ile gerçekleştirilecek olan “Ulusal Siber Güvenlik Stratejisi Güncellenmesi ve 2015-2016 Eylem Planının” hazırlanması çalışmalarına başlanmıştır. 25
Teşekkürler… Emine YAZICI ALTINTAŞ Siber Güvenlik Daire Başkanı Ulaştırma, Denizcilik ve Haberleşme Bakanlığı Haberleşme Genel Müdürlüğü Emine YAZICI ALTINTAŞ Siber Güvenlik Daire Başkanı Tel : +90 312 2032084 Faks : +90 312 2031885 E-posta: emine.altintas@udhb.gov.tr 26