TÜRKİYE BİLİŞİM DERNEĞİ Kamu Bilişim Platformu - 17 2023 ve Ötesi Kamu Hizmetlerinde Yenilikçi Yaklaşımlar Siber Güvenlik (Kritik Altyapı Güvenliği) Çalışma Grubu - 1
Siber Güvenlik (Kritik Altyapı Güvenliği) Çalışma Grubu - 1 İçindekiler Giriş Mevcut Durum Strateji ve Eylem Planında Yapılması Gerekenler Siber Güvenlik Ekosistemi Değerlendirme
Siber Güvenlik (Kritik Altyapı Güvenliği) Çalışma Grubu - 1 1. Giriş
Giriş Siber Güvenlik Siber uzayda kurum, kuruluş ve kullanıcıların varlıklarını korumak amacıyla kullanılan araçlar, politikalar, güvenlik kavramları, güvenlik teminatları, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, uygulamalar ve teknolojilerin bütünüdür, Siber Güvenlik ülkeyi, ülkenin kurum ve kuruluşlarını ve toplumun tüm kesimlerini ilgilendiren ve genel anlamda bir koordinasyon içerisinde yürütülmesi gereken bir konudur, Siber saldırılar istemli veya istem dışı, etkin veya edilgen olabilmektedir, Siber saldırıların amacı yetkisiz olarak bilgiye ulaşmak dolayısıyla değiştirmek silmek veya ifşa etmek ve hizmetlerin engellenmesidir.
Siber Güvenlik (Kritik Altyapı Güvenliği) Çalışma Grubu - 1 2. Mevcut Durum
Siber Güvenlik Mevcut Durum Geliştirilmesi gereken bir çok husus olmakla birlikte siber güvenlik konusunda ülkemizde önemli adımlar atılmıştır; Siber Güvenlik Ulusal Koordinasyon Kurulu (20.10.2012-28447 sayılı Resmi Gazete (BK Kararı)) Ulusal Siber Güvenlik Strateji Belgesi (20.06.2013-28683 sayılı Resmi Gazete (BK Kararı)) 2013-2014 Siber Güvenlik Eylem Planı USOM ve SOME Yapılarının Kurulması (11.11.2013-28818 sayılı Resmi Gazete (Tebliğ)))
Siber Güvenlik Eylem Planı 2013-2014 Mevcut Durum Siber Güvenlik Eylem Planı 2013-2014 20.06.2013 tarih ve 2013/4890 sayılı bakanlar kurulu kararı olarak Resmi Gazetede yayınlanmıştır. Eylem planı, toplam yirmidokuz (29) adet ana eylem ve doksanbeş (95) adet alt eylem maddesinden oluşmaktadır; Siber güvenlik konusunda yasal düzenlemelerin yapılması (2) Uluslararası hukuktan kaynaklanan hakların kullanılması (1) Ulusal Siber olaylara müdahale organizasyonu oluşturulması (1) Ulusal siber güvenlik altyapısının güçlendirilmesi (14) Siber güvenlik alanında insan kaynağının yetiştirilmesi (6) Siber güvenlikte yerli teknolojilerin geliştirilmesi (4) Ulusal Güvenlik Mekanizmalarının Kapsamının Genişletilmesi (1)
Siber Güvenlik Eylem Planı 2015-2017 Gelişen teknolojiler, değişen güvenlik gereksinimleri ve 2013-2014 eylem planından edinilen geribeslemeler doğrultusunda yeni eylem planı taslak olarak hazırlanmıştır. Sözkonusu taslak eylem planı tüm paydaşlar (kamu, kritik altyapı işletmecileri, sektör, üniversite ve STK’lar ) arasında ortak akıl oluşturularak nihai hale getirilmiştir. 39 adet stratejik eylem maddesi 5 başlık altında gruplanmıştır; Siber Savunmanın Güçlendirilmesi Siber Suçlarla Mücadele Farkındalık ve İnsan Kaynağı Geliştirme Siber Güvenlik Ekosisteminin Geliştirilmesi Siber Güvenliğin Milli Güvenliğe Entegrasyonu
3. Strateji ve Eylem Planında Yapılması Gerekenler Siber Güvenlik (Kritik Altyapı Güvenliği) Çalışma Grubu - 1 3. Strateji ve Eylem Planında Yapılması Gerekenler
Siber Güvenlik Stratejisi ve Eylem Planı Yapılması Gerekenler Siber Güvenlik Stratejisi ve Eylem Planı Siber güvenliğin ülke çapında maliyet etkin ve sürdürülebilir olarak sağlanabilmesi amacıyla öncelikli olarak gerçekleştirilmesi gereken strateji planı ve eylem maddeleri; Siber Güvenlik Alanında Farkındalık Yaratma Siber Güvenlik Ekosisteminin Kurulması Ulusal Siber Güvenlik Makamının Güçlendirilmesi Nitelikli İnsan Kaynağı Yetiştirilmesi ve İstihdamı Kritik Altyapıların Belirlenmesi ve Önceliklendirilmesi Yerli ve Sertifikalı Siber Güvenlik Ürünü Kullanılması Gerçekleştirilen Eylem Planlarının Yaygın Etkisinin Ölçümü
4. Siber Güvenlik Ekosistemi Siber Güvenlik (Kritik Altyapı Güvenliği) Çalışma Grubu - 1 4. Siber Güvenlik Ekosistemi
Siber Güvenlik Ekosistemi
Siber Güvenlik Ekosistemi Siber Güvenlik Sektörünün Mevcut Durumu Büyük çoğunluğu küçük ölçekli yaklaşık 40-60 firma siber güvenlik alanında faaliyet gösteriyor. Yürütülen faaliyetlerinin Ulusal kapasitenin oluşturulmasına ve/veya arttırılmasına beklenen olumlu katkıyı sağlayamaktan uzak olduğu gözlemlenmiştir; Firmaların faaliyetlerini siber güvenlik strateji belgesi ve eylem planlarından habersiz olarak kendi öngörülerine göre yürüttükleri, Firmalar arasında sinerji ve işbirliği bulunmadığı ve yürütülen ArGe faaliyetlerinde mükerrerlikler olduğu, Ürün ve Müşteri odaklı olmaktan daha çok ArGe destek programlarından faydalanmaya odaklı projelerin yürütüldüğü,
Siber Güvenlik Ekosistemi Sektörün Kamudan Beklentileri Ekosisteminin devlet destekli olarak kurulması, ekosistemi destekleyen teşvik ve zorunlulukların getirilmesi, Ekosistem Firma Envanterinin yetkinliklerine göre hazırlanması ve ilgili İhaleler/ ArGe Destek programlarında bu envanterin kullanılması, Yerli olarak geliştirilecek siber güvenlik teknoloji ve/veya çözümlerinin belirlenmesi ve önceliklendirilmesi, Ulusal stratejinin oluşturulmasında sektörün yetkinliğinin gözönünde bulundurulması, “Kritik Altyapı”larda kullanılacak siber güvenlik çözümlerinin güvenlik seviyesi ve uygunluğunun yerli sertifikasyon süreçleri ile doğrulanması, Rekabet ortamına açık maliyet etkin sertifikasyon süreçlerinin oluşturulması , Kamu kurum ve kuruluşları ile kritik altyapılarda yerli ve sertifikalı siber güvenlik çözümlerinin kullanılmasına yönelik (KİK) Kamu İhale Kanunu’nda gerekli düzenlemelerin yapılması.
Siber Güvenlik (Kritik Altyapı Güvenliği) Çalışma Grubu - 1 5. Değerlendirmeler
Değerlendirmeler Yönetim kademeleri ve personel seviyesinde yeterli siber güvenlik farkındalığının oluşturulamamış olması (nitelikli insan kaynağı eksikliği ve ödenek sıkıntıları) nedeniyle kamu kurumları siber güvenlik açıklıkları ve riskleri barındırmaktadır, Siber Güvenlik Kurulu’nun kurulması, Siber Güvenlik Strateji Belgesi ve Eylem Planlarının Resmi Gazete yayınlanması, USOM ve SOME yapılarının kurulması önemli kazanımlar sağlamakla birlikte Siber Güvenlik Yasa Tasarısının henüz yasalaşmamış olması nedeniyle idari, teknik, yasal ve yapısal çerçeve henüz oluşturulamamıştır, Tüm paydaşların yer alacağı Siber Güvenlik Ekosistemi oluşturulmalı ve yerli sektör envanteri hazırlanmalıdır, Ekosisteme yönelik teşvik mekanizmaları, ArGe destek programları ve yasal mevzuatlar sektör, üniversite ve STK’lar ile işbirliği yapılarak oluşturulmalıdır, Uluslararası işbirliğinin etkin olarak gerçekleştirilmesi önemli kazanımlar sağlayacaktır.
Siber Güvenlik (Kritik Altyapı Güvenliği) Çalışma Grubu - 1 Rapora Hazırlayanlar Çalışma Grubu Başkanı Ali YAZICI Bilgi Güvenliği Derneği/ASELSAN Grubu Üyeleri Mehmet Ali İNCEEFE Bilgi Güvenliği Derneği Önder ÖZDEMİR TBD Harun DEMİR T.C. Bilim Sanayi ve Teknoloji Bakanlığı Murat DEMİRKOL ICTERRA Kamu-BİB YK Temsilcisi Mariye Umay AKKAYA Türk Standartları Enstitüsü
Türkiye Bilişim Derneği Siber Güvenlik (Kritik Altyapı Güvenliği) Çalışma Grubu - 1 TÜRKİYE BİLİŞİM DERNEĞİ Kamu Bilişim Platformu – 17 www.kamu-bib.org.tr www.tbd.org.tr Türkiye Bilişim Derneği Teşekkür ederiz…. Ali YAZICI TBD Kamu-BİB SGÇG Başkanı 17.10.2015