SİBER GÜVENLİK HUKUKU

Siber Güvenlik Hukukuna Giriş 

ÖZ

Dünya tarihinde yaşanan gelişmelerle birlikte özellikle 2. Dünya Savaşı itibariyle veri olarak adlandırılan bir kavram ortaya çıktı. Bu kavramla birlikte bireylerin fiziksel dünyasının yanı sıra yeni bir dünyası da oluşmuş oldu. Devletlerin buradaki rolü öncelikli olarak verileri korumakla başladı. Daha sonrasında yaşanan gelişmelerle birlikte sadece bireylerin verileri değil aynı zamanda devlet tüzel kişiliğinin verileri, kurumların verilerinin korunması gerektiği anlaşıldı. Veriler birer bilgidir. Özellikle günümüzde devletlerin güçlü olabilmesi için sahip olduğu verileri koruması gerekmektedir. Devlet, elinde olan bilgilerin güvenliğini sağlayabildiği ölçüde siber saldırılara karşı güvenlikli bir ortam oluşturabilir. Aksi halde hem kamuoyunda hem de dünya genelinde bilgiyi koruyamamaktan kaynaklı problemler ortaya çıkabilecektir. Bu amaçla ülkeler siber saldırılara karşı güvenliği koruyabilmek adına düzenlemeler getirmektedir. Avrupa Birliği’nde siber güvenlik hukukunun en önemli konulardan biri olduğu anlaşılarak bu konuyla ilgili düzenlemeler ilk sıraya konulmaktadır. Bilgi güvenliğini korumak adına Türkiye’de de adımlar atılmaktadır.

Anahtar Kelimeler: Siber Güvenlik, Siber Saldırı, Veri Güvenliği, Siber Güvenlik Avukatı, Siber Suç

GİRİŞ

Son yüzyıllarda yaşanan teknolojik gelişmelerle birlikte insanlar teknolojiye oldukça kolay bir şekilde ulaşmaktadır. Teknolojinin temeli değişim ve gelişimdir. Telefonlar, bilgisayarlar, veriler derken hayatımızla ilgili olan tüm bilgiler teknolojik aletlerin içerisinde yer almaya başladı. Yaşanan bu gelişimler günümüz dünyasının temelini oluşturmaktadır. Artan bilgiler ile birlikte iletişim teknolojilerinin güvenli bir şekilde kullanılması sadece birey açısından değil, ulusal ve uluslararası açıdan önem kazandı. Doğabilecek olumsuz sonuçlar büyük infialler yaratma gücüne sahiptir. Kamu güvenliği ve istikrar açısından siber güvenlik son zamanlarda devletlerin üzerinde yoğunlaştığı en önemli konulardan biri haline geldi. Özellikle son zamanlarda yoğunlaşılmasının sebebi geçtiğimiz yıllarda yaşadığımız COVID-19 pandemisidir. Pandemi süresi boyunca bireyler hayatlarının büyük bir bölümünü devam ettirebilmek için teknolojik aletlerle bir bütün olarak yaşamaya başladı. Online toplantılar, eğitimler ve işler derken bireyler verilerinin büyük bir bölümünü kullandıkları uygulamaların içerisine yerleştirdiler. Bu zaman dilimlerinde kişiler teknolojik uygulamalarda vakit geçirirken zararlı yazılımlar ve oltalama (pishing) gibi saldırılara maruz kaldılar. Böylelikle dijital hayatın güvenliliği ve siber güvenlilik yeni düzendeki gelişmelerle birlikte üzerinde yoğunlaşılan konu haline geldi.

Bu yazımızda ilk olarak ilgili tanımlar USOM ve BTK’nin ifade ettiği çerçevede verilecek olup daha sonrasında siber güvenliğin kapsam alanı incelenecektir. Bir durumda güvenlik ile ilgili düzenlemeler yapılıyorsa orada düzenleme yapılan hakka bir saldırı mevcuttur. Bu anlamda yazının devamında siber saldırı türleri ve kaynakları incelenecektir. Son bölümde ise Türkiye’nin siber güvenlik alanında yapmış olduğu çalışmalara değinilecektir.

BİRİNCİ BÖLÜM

1. Tanımlar

Siber güvenlik hukukuyla ilgili tanımları en doğru şekilde yayımlanan Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023) üzerinden öğrenebilmekteyiz. Tanımların yapılmasının en önemli sebebi, ortak bir dil oluşturarak problemi saptamaktır. Bir yapay zeka oluşturulurken ilk olarak çözmesi gereken problemin ona tanımlanması gerekmektedir. Bu örneği referans alarak ortak bir siber güvenlik tanımları oluşturup problemin çözümüne başlamak gerekmektedir.

• Siber Güvenlik: Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen bilginin/verinin gizliliği, bütünlüğü ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının devreye alınmasını ve sonrasında ise sistemlerin yaşanan siber olay öncesi durumlarına geri döndürülmesini kapsayan faaliyetler bütünüdür.
• Bilgi Güvenliği: Bilişim sistemlerinin ve bilgilerin izinsiz kullanımını, yetkisiz kişilerce erişilmesini ve ifşa edilmesini, silinmesini, değiştirilmesini ve zarar görmesini, engellemek, bu sistem ve bilgilere yetkili kişiler ve işlemlerin ihtiyaç duyulan zamanda ve kalitede erişebilmesini sağlamak için yürütülen faaliyetler bütünüdür.
• Erişilebilirlik: Bilginin ve verinin yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğidir.
• Siber Risk: Siber tehditlerin bir veya birden çok bilgi varlığındaki açıklığı kullanarak zarar yaratma potansiyeli ve siber olayın olumsuz sonuçlarına ilişkin olasılıklar kombinasyonudur.
• Siber Uzay: Doğrudan ya da dolaylı olarak internete, elektronik haberleşme ve bilgisayar ağlarına bağlı olan tüm sistem ve hizmetlerdir.
• Gizlilik: Bilginin ve verinin yetkisiz kişiler, varlıklar ya da süreçler tarafından erişilememesi, kullanılamaması, depolanmaması, başka bir ortama kaydedilmemesi veya ifşa edilmemesi özelliğidir.[1]

Yukarıda verilen tanımlar en çok kullanılan tanımlardır. Bu tanımlar dışında plan içerisinde; adli bilişim, balküpü, kritik altyapı, risk yönetimi gibi tanımlara da yer verilmektedir.

Türkiye’de siber güvenliği korumak amacıyla mevzuat düzenlemesi yapılarak sağlam bir zemin üzerinde ilerleme kaydedilmektedir. Çünkü, bireylerin kişisel verileri sadece belirli bir ulus veya uluslararası alanla sınırlı kalmamakla birlikte uzaya kadar ulaşmaktadır. Burada ülkelerin amacı siber uzayın bilgi güvenliğini sağlamaktır.

İKİNCİ BÖLÜM

2. Siber Güvenlik Kapsam Alanı ve İçeriği

Siber güvenliğin, siber saldırılar ile ihlali sonucunda ortaya siber suç kavramı çıkmaktadır. Siber suç, siber alana karşı işlenen suçtur. Siber suç kavramı için bilgisayar suçu, dijital suç, elektronik suç gibi kavramlar da kullanılmaktadır. Kullanılan bu kavramlardan siber güvenliğin hangi alanlarda olması gerektiğini daha iyi anlamaktayız. Siber güvenlikte amaç bilgi güvenliğini korumaktır. Siber güvenliği sağlayabilmek için üç tane şartın sağlanması gerekmektedir:

• Bilginin gizliliği,
• Bilginin bütünlüğü,
• Bilginin erişebilirliği.

Bir bilgi için bu şartlar sağlanırsa eğer siber suçlarla karşı güvenli bir ortam oluşturulmuş demektir. Bilginin gizliliği kavramından anlaşılması gereken, bilginin sadece ilgili kişiler tarafından bilinmesi, işlenmesi durumudur. Birey, bilgilerini teknolojik ortama emanet ederken sadece ilgili kişilere emanet etmek istemektedir. Eğer ki bir sistem açığı mevcutsa bireyin bilgileri çalınarak bilgiler üzerinde işlemler yapılabilmektedir. Bunun sonucunda birey verilerinin korunmamasıyla birlikte zarar uğramaktadır. Bilginin güvenliği kavramında yetkisiz bir şekilde bilgi üzerinde işlem yapılarak bilginin değiştirilmemiş, kısmen veya tamamen yok edilmemiş olan bilgi anlaşılmaktadır. Bilginin erişilebilirliğinde yetkili kişilerce bilginin gerekli olduğu zamanlarda erişilebilir olması demektir. Erişilebilirlik, güvenlik ve bütünlük kavramlarıyla ters orantılı bir şekilde çalışmaktadır.

Siber güvenliğe karşı yapılan saldırıların en önemli ortaya çıkış sebebi güvenlik zafiyetinin bulunmasıdır. Bir sistemde güvenlik zafiyeti varsa istisnasız bir şekilde siber saldırı ortaya çıkmaktadır. Siber güvenlik zafiyetleri; elektronik bir sistemdeki açık olarak tanımlanmaktadır. Elektronik sisteme yasadışı yollarla girilebilen arka kapılar, saldırılara açık bir şekilde olan sistemlere denmektedir. Siber saldırganlar, verilerin ilk ortaya çıktığı günden beri bu arka kapıları tespit ederek sistemlerin içerisine sızmaktadır. Güvenlik zafiyetinin üç ana türü bulunmaktadır. Diğer güvenlik zafiyetleri bu türlerden oluşmaktadır.

1. Hatalı Savunma: Kurumlar bilgileri/ verileri korumak adına savunma sistemi oluşturmaktadır. Oluşturulan savunma sistemlerinin siber saldırganlara karşı koruma işlevini yerine getirmemesi halinde hatalı savunma oluşmaktadır.
2. Kaynak Yönetimi: Elektronik sistemlerin içerisinde yüklediğimiz veriler, kaynak niteliğindedir. Bu kaynakların transfer edilmesi, kullanılması kısaca üzerinde işle yapılması durumunda ortaya bir güvenlik açığı çıkabilmektedir. Kaynak yönetimlerinin düzgün yapılmaması sonucunda siber saldırganlar bu güvenlik zafiyetinden faydalanarak siber suç işleyebilmektedir.
3. Güvensiz Bağlantı: Elektronik sistemin veya ağ bileşenleri arasındaki bağ güvensiz bir bağlantı olduğunda güvenlik açığı oluşabilmektedir.

Bu güvenlik zafiyetleri ilgili programlarla tarama yapılarak bulunup giderilme çabası içerisinde ilerleme gösterilmektedir. Ancak elektronik ortama yüklediğimiz her veri günümüzde öyle ya da böyle hacklenme riski ile karşı karşıyadır. Günümüzde büyük firmalar milyonlar harcayarak bir stratejik plan kurmaktadırlar. Bilgisayar, veri, algoritma gibi kavramların ilk çıktığı zamanlarda sadece bireylerin emanet ettiği verileri kullanarak sonuç oluşturduğu düşüncesi hakimdi. Son yıllarda yapılan çalışmalarla birlikte zararlı yazılımların açıkları bularak bireylerin bilgileri üzerinde işlem yaptığı görülmektedir. Bu durumu engelleyebilmek adına siber güvenlik hukuku ön planda tutularak, geliştirilmektedir.

İnsanlar, teknolojiyi daha çok hayatlarına entegre ederek daha iyi bir hayat yaşayacakları düşüncesiyle hareket etmektedirler. Durum böyleyken yeni yazılımlara, programlara güvenerek verilerini onların işlemesine açık bir hale getirdiler. Sistem açıklarından yararlanan hackerlar bireylerin verilerini alarak bu güven sonucunda kötü niyetli bir şekilde işlediler. Böylece siber suçlar çağımızın en büyük problemlerinden birisi haline geldi.

Günümüzde her geçen gün yeni elektronik sistemler oluşturularak insanların kullanımına sunulmaktadır. Oluşan her yeni sistem yeni güvenlik açıklarını da beraberinde getirmektedir. Bu durumda bireyler bilgisizce kullandıkları uygulamalar yüzünden siber suçlara maruz kalmaktadır.

İşte bu durumda ortaya “Siber Güvenlik Hukuku” çıkmaktadır. Son yüzyılın en önemli konusu olan verileri koruyabilmek adına ortaya çıkan bu hukuk türünde mevzuat ve düzenleme örnekleri bulunmakla birlikte gelişimi önümüzdeki yıllarda daha çok olacaktır.

ÜÇÜNCÜ BÖLÜM

3. Siber Saldırıların Kaynakları

Siber saldırı, siber uzaydaki bilişim ve endüstriyel kontrol sistemlerinin veya bu sistemler tarafından işlenen bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın herhangi bir yerindeki kişi ve/veya bilişim sistemleri tarafından kasıtlı olarak yapılan işlemlere denmektedir. Güvenlik, saldırının olduğu yerde ortaya çıkan bir kavramdır. Saldırının oluşabilmesi için kaynaklara ihtiyaç vardır. Siber saldırılara karşı bireyleri koruyabilmek için saldırının kaynağının iyi bilinmesi gerekmektedir. USOM tarafından siber saldırılar için dört tane kaynak olduğu ifade edilmektedir. Siber ortama yapılan bu saldırılarda amaç güvenlik sistemini yok etmek değildir. Güvenlik sisteminin farkına varmadan etrafından dolanarak verilere ulaşabilmektir. Böylelikle yeni verilerin aktarımı sağlanmaktadır. Özellikle 2000’li yıllardan sonra bilgisayar ortamında algoritmaların işlenebileceği işletme sistemleri oluştu. İşletme sistemlerinin gün geçtikçe daha karmaşık bir yapı haline gelmesiyle birlikte siber saldırıların yapıları da daha karmaşık bir hale geldi.

3.1. Hacker & Siber Suçlular: Kişisel bilgisayarlar ya da mobil cihazlara veya organizasyon –şirket – kamu bilgisayar ağlarına izinsiz giriş yapan kişilerdir. Türk Dil Kurumu Sözlüğünde “Bilgisayar ve haberleşme teknolojileri konusunda bilgi sahibi olan, bilgisayar programlama alanında standardın üzerinde beceriye sahip bulunan ve böylece ileri düzeyde yazılımlar geliştiren ve onları kullanabilen kişi” olarak tanımlamaktadır. Siber suçlular yukarıda da anlatıldığı üzere sistemin açıklarından faydalanarak veyahut yeni zararlı yazılım içeren sistemler oluşturarak bireylerin verilerini işlemektedirler.

3.2. İç (Dahili) Saldırganlar: Organizasyon içerisinde, belirli amaçlar çerçevesinde dahili sistemlere saldırı düzenleyen kurumsal kişilerdir.

3.3. Siber Aktivistler: Dünya görüşleri çerçevesinde kötü veya uygunsuz gördükleri toplumsal ya da politik sorunları dile getirmek amacı ile kamu ya da özel sektör siber uzaylarına saldırı düzenleyen şahıs ya da gruplardır.

3.4. İstihbarat Kurumları: Uluslararası siber dünyada ülkeler birbirlerini siber tehdit olarak da görmeye başlamışlardır. Bu tehdit algısı nedeni ile ülkeler siber savunma ve siber saldırı takımları oluşturmakta ve diğer ülkelere ait kritik verilere erişmeye çalışmanın yanında hedef ülkenin kritik altyapılarına siber saldırılar yapmaya da devam etmektedir.

4. Siber Saldırıların Türleri

Siber saldırılar, verilerin usulsüz bir şekilde kullanılmasıyla oluşur. Devletlerin, bireylerin veya kurumların verilerini çalmak, değiştirmek, kullanmak veya yok etmek gibi farklı yöntemler ile veriler üzerinde hakimiyet kurmaktadırlar. Bunun sonucunda kamuoyu zarara uğrayabilir, kurumlar itibar kaybedebilir ve bireylere zarar verici işlemler doğabilmektedir. Siber saldırıların amacı; var olan bilgi ve bilgisayar güvenliği sistemini aşmak veya atlatmak; zafiyete uğratmak; kişileri doğrudan veya dolaylı olarak zarara uğratmak; sistemlere zarar vermek, sistemlerin işleyişini aksattırmak, durdurmak, çökertmek veya yıkmak gibi kötü amaçlarla bilgisayar sistemleri ile ilgili yapılan girişimler, saldırı veya atak olarak adlandırılmaktadır.[2]Hem bireysel hem de toplumsal olarak büyük kayıplara yol açan siber saldırıların USOM tarafından aktarılan bazı türlerine değineceğiz.

4.1. Zararlı Yazılımlar (Malware): En genel ifade ile bilgisayar sistemlerini kötü amaçlı kullanmak için sistem bilgilerine erişim sağlamaya yarayan ya da bilgisayar sistemlerine ciddi zararlar veren kötücül bilgisayar programlarıdır. Zararlı yazılımlar genel bir kavram olup virüsler, solucanlar, truva atları, rootkitler ve casus yazılımlar bu konseptin içerisinde kendine yer bulabilirler.

4.2. Virüsler: Bilgisayar virüsleri en genel manada kendini sistemdeki dosyalardan ya da programlar biri olarak değiştiren bilgisayar kodlarıdır. Virüslerin anlaşılmasındaki kritik nokta ise bir kullanıcı tarafından çalıştırılmaları gerektiğidir. Genellikle bir kullanıcıdan gelen e-postanın açılması, ya da USB’nin otomatik çalıştırılması şeklinde meydana gelebilmektedir.

4.3. Solucanlar: Virüs gibi kendini bir bilgisayardan başka bilgisayara kopyalamak için tasarlanmış zararlı yazılımlardır. Virüslerden farkı yayılma işlemini ağ üzerinden otomatik olarak yapmasıdır. Otomatik yayılmanın olması nedeni ile zamanla bilgisayar ağının yavaş çalışması, internet sayfalarının geç gelmesine neden olurlar.

4.4. Truva Atı: Bilgisayar kullanıcılarının içeriği hakkında derinlemesine bilgisi olmadan yükledikleri zararlı yazılımlardır. Örneğin bir kullanıcının “Flash Player” yüklediğini düşünürken aslında “Adobe” ya da güvenilir bir kaynak yerine rastgele bir kaynaktan “Flash Player” yüklemesi olarak düşünülebilir. Genel olarak Truva atı olan programlar, Siber Güvenliğe İlişkin Temel Bilgiler Ulusal Siber Olaylara Müdahale Merkezi – Temmuz 2014 – 11 dosyanın sisteme indirilmesi sonrasında yüklenmesi neticesinde bilgisayar sistemlerine bulaşırlar. Truva atlarının karakteristiği kullanıcı bilgisayarının uzaktan kontrol edilebilmesi ya da izlenmesinin sağlanmasıdır. Truva atı yüklenmiş olduğu bilgisayarların zombi bilgisayarlar olarak da kullanılmasına izin vermektedir.

4.5. Rootkit: Bilgisayara bulaşan, çalışan işlemler arasında kendini gizleyen, kötü niyetli kişilere, uzaktan bilgisayarınızın tam hakimiyetini sağlayan tespit edilmesi oldukça zor olan bilgisayar programıdır. Virüsler gibi amacı sisteminizi yavaşlatmak ve yayılmak değildir. Bilgisayarınızın kontrolünü ele geçirmek ve bulunduğu sistemde varlığını gizlemektir. Önceleri çok kullanıcılı sistemlerde sıradan kullanıcıların yönetim programlarına ve sistem bilgilerine erişimini gizlemek için geliştirilmiş ve kullanılmış olmasına rağmen, kötü niyetli kullanımına da rastlamak mümkündür.

4.6. Yemleme (Phishing): Yasadışı yollarla kullanıcıların herhangi bir sistem için kullandıkları kullanıcı adı, şifre, kimlik bilgileri, kredi kartı ayrıntıları gibi bilgilerin ele geçirilmesidir. Sözcük, İngilizce password (şifre) ve fishing (balık avlamak) sözcüklerinin birleşmesiyle oluşturulmuş phishing ifadesinin Türkçe karşılığıdır. “Yemleyici” diye tanımlanan şifre avcıları, genelde e-posta gibi yollarla kişilere ulaşır ve onların kredi kartı gibi ayrıntılarını sanki resmi bir kurummuş gibi ister. Bu tip mailleri cevaplayan kullanıcıların da hesapları, şifreleri vb. özel bilgileri çalınmaktadır.

4.7. Casus Programlar (Spyware): Casus programlar bilgisayarınızda casusluk yapmak için yaratılmış programlardır. Casus yazılım, kullanıcılara ait önemli bilgilerin ve kullanıcının yaptığı işlemlerin, kullanıcının bilgisi olmadan toplanmasını ve bu bilgilerin kötü niyetli kişilere gönderilmesini sağlayan yazılım olarak tanımlanır. Bu casus yazılımlar, diğer kötücül yazılımlara göre özellikle İnternet kullanıcıları tarafından sistemlere farkında olmadan bulaştırılmaktadırlar.

4.8. Sosyal Mühendislik: Temel olarak bilgisayar ya da bilgisayar ağlarındaki açıklıklardan faydalanarak bilgisayar sistemlerine zarar veren yaklaşımların aksine “sosyal mühendislik” yöntemi insanların iletişim, düşünce tarzı, güven ya da kısaca insani zaaflarından faydalanarak siber güvenlik süreçlerinin etkisiz hale getirilmesi ya da atlatılması şeklinde tanımlanabilir. Sosyal mühendislik yöntemleri; çeşitli yalanlar yolu ile sahte senaryolar üretmek, hedef kişiye kendini güvenilir bir kaynak olarak tanıtmak ya da basit ödüllendirme yöntemleri ile bilgi sızdırmak şeklinde özetlenebilir.[3]

DÖRDÜNCÜ BÖLÜM

5. Türkiye’nin Siber Güvenliği Sağlama Çalışmaları

Gün geçtikçe yaşanan gelişmelerle birlikte artan siber tehditler, devletlerin güvenliğine ve istikrarına karşı bir risk teşkil etmektedir. Uluslararası alanda ve siber uzay alanında devletin verilerini korumak gerekmektedir. Bu çerçevede, ulusal siber güvenliği sağlamak amacıyla Türkiye’de çalışmalar yapılmaktadır. Önemli olan yaşanabilecek riskleri minimize etmek, yönetebilmek ve kabul edip uygun çözümler getirebilmektedir. Türkiye de diğer dünya ülkeleri gibi bu alana yoğunlaşarak devletin güvenliğini sağlama amacıyla hareket etmektedir.

İnsanların en temel ihtiyaçlarından birisi güvenli bir ortamda yaşayabilmektir. Bilgilerin güvenliğini koruyabilmek için korunacak bilginin değerinin iyi bilinmesi ve ona göre korunması gerekmektedir. Korunacak bilginin ne olduğu bilindikten sonra saldırılara karşı önlem politikaları oluşturulmalıdır. Çok uzak olmayan tarihlere gidersek eğer bilginin güvenliğini fiziki bir ortam içerisinde olarak anlamamız mümkün ve yeterlidir. Günümüzde ise güvenli ortamı sadece fiziki olarak nitelendirmemiz yeterli olmamakla birlikte tehlikelidir. Bireylerin verilerinin güvenliğinin siber uzayda sağlanmaması onları hedef haline getirmektedir. Böylece onlara karşı siber suçlar işlenebilmektedir. Bireylerin siber güvenliğinin sağlanması, fiziksel alanlarının da güvenliğinin sağlanması demektir. Devletler, bireylerin siber güvenliğini sağlayabilmek adına düzenlemeler yapmaktadır. Türkiye’nin siber güvenliği sağlamak amacıyla yaptığı çalışmalar şöyledir.

A) Mevzuat Çalışmaları:

• 5809 Sayılı Elektronik Haberleşme Kanunu: Kanunun 5. maddesinin birinci fıkrasının (h) bendinde geçen düzenlemeye göre;

“Ulusal siber güvenliğin sağlanması amacıyla politika, strateji ve hedefleri belirlemek, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilere yönelik siber güvenliğin sağlanmasına ilişkin usul ve esasları belirlemek, eylem planlarını hazırlamak, ilgili faaliyetlerin koordinasyonunu sağlamak, kritik altyapılar ile ait oldukları kurumları ve konumları belirlemek, gerekli müdahale merkezlerini kurmak, kurdurmak ve denetlemek, her türlü siber müdahale aracının ve millî çözümlerin üretilmesi ve geliştirilmesi amacı ile çalışmalar yapmak, yaptırmak ve bunları teşvik etmek ve siber güvenlik konusunda bilinçlendirme, eğitim ve farkındalığı artırma çalışmaları yürütmek, siber güvenlik alanında faaliyet gösteren gerçek ve tüzel kişilerin uyması gereken usul ve esasları hazırlamak” ile ilgili görev ve sorumluluklar Ulaştırma ve Altyapı Bakanlığına verilmiştir.

• 10 Temmuz 2018 Tarihli ve 30474 Sayılı Resmi Gazete’de yayımlanan 1 No’lu Cumhurbaşkanlığı Kararnamesi ile Dijital Dönüşüm Ofisi (DDO) kuruldu.
• 5809 Sayılı Kanuna 15 Ağustos 2016 tarihinde yeni hükümler eklenerek BTK’ye yapılan siber saldırıların engellenmesi ve caydırıcılığın sağlanması görevleri ile bu görevler kapsamında yükümlülüklerini yerine getirmeyen ilgili taraflara yaptırım uygulama yetkisi verildi.
• “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” yürürlüğe girerek ülkemizde bu konuda yapılan ilk plandır.
• 2013 yılında, BTK bünyesinde Ulusal Siber Olaylara Müdahale Merkezi (USOM), Siber Olaylara Müdahale Ekipleri (SOME) kurularak faaliyetlere başladı.
• “2016- 2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı” düzenlenerek siber güvenlik alanında istikrarlı bir şekilde ilerleme devam etti.
• Teknolojik gelişmelerle birlikte önlem programları düzenlenerek yapay zekadan yardım alındı.
• Son olarak “Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023) düzenlenerek siber güvenlik alanında ülkemizi en iyi seviyeye getirmek için çalışmalara devam edilmektedir.
• 2019/12 Sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Belgesi

B) Siber Güvenlik Aktörleri

• Bilgi Teknolojileri ve İletişim Kurumu (BTK)

2000 yılında Telekomünikasyon sektörünü düzenleme ve denetleme amacıyla kurulduktan sonra yapılan yeni düzenlemelere tabi olmuş ve değişime gitmiştir. Adı, Bilgi Teknolojileri ve İletişim Kurumu olarak değiştirilmiştir. Üç konuda görevleri bulunmaktadır.

1. Elektronik Haberleşme
2. Bilgi Teknolojileri
3. Posta

Türkiye’nin ilk sektörel düzenleyici kurumu olan BTK; düzenleme, yetkilendirme, çözüm üretme, denetleme, hakları koruma gibi önemli durumlardan sorumludur.

• Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK)

TÜBİTAK’ın kuruluş amacı kanunda şöyle düzenlenmektedir:

“Türkiye’de müsbet bilimlerde araştırma ve geliştirme faaliyetlerini ülke kalkınmasındaki önceliklere göre geliştirmek, özendirmek, düzenlemek ve koordine etmek; mevcut bilimsel ve teknik bilgilere erişmek ve erişilmesini sağlamaktır.”

TÜBİTAK ona verilen görev uyarınca dört kamu kurumuna Bilgi Güvenliği Yönetim Sistemini kurarak farklı etkinlikler düzenledi.

• Siber Güvenlik Kurulu

Ulusal siber güvenlik çalışmalarının yürütülmesi adına Resmi Gazetede yayımlanan bir kararla birlikte Siber Güvenlik Kurulu oluşturuldu. Kararla oluşturulan bu Kurul için zamanın değişen şartlarına göre yeni görevler eklendi ve geliştirildi. İlgili karar aşağıdadır:

“Siber güvenlikle ilgili olarak kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler tarafından alınacak önlemleri belirlemek, hazırlanan plan, program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla; Bakanın başkanlığında Siber Güvenlik Kurulu kurulmuştur. Siber Güvenlik Kurulunda yer alacak bakanlık ve kamu kurum ve kuruluşları ile üyelerinin temsil düzeyi Bakanlar Kurulu tarafından belirlenir.”

Siber Güvenlik Kurulu’nun görevleri 5809 sayılı kanuna eklenen Ek Madde 1 uyarınca şu şekilde belirlendi:

1. Siber güvenlik ile ilgili politika, strateji ve eylem planlarını onaylamak ve ülke çapında etkin şekilde uygulanmasına yönelik gerekli kararları almak
2. Kritik altyapıların belirlenmesine ilişkin teklifleri karara bağlamak
3. Siber güvenlikle ilgili hükümlerin tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek
4. Kanunlarla verilen diğer görevleri yapmak.

Ek madde 1’in devamında Siber Güvenlik Kurulu’nun kimlerden oluşacağı da belirlendi.

• Dışişleri Bakanlığı Müsteşarı,
• İçişleri Bakanlığı Müsteşarı,
• Milli Savunma Bakanlığı Müsteşarı,
• Ulaştırma, Denizcilik ve Haberleşme Bakanlığı Müsteşarı,
• Kamu Düzeni ve Güvenliği Müsteşarı,
• Milli İstihbarat Teşkilatı Müsteşarı,
• Genelkurmay Başkanlığı Muhabere Elektronik ve Bilgi Sistemleri Başkanı,
• Bilgi Teknolojileri ve İletişim Kurumu Başkanı,
• Türkiye Bilimsel ve Teknolojik Araştırma Kurumu Başkanı,
• Mali Suçları Araştırma Kurulu Başkanı,
• Telekomünikasyon İletişim Başkanından oluşmaktadır.
• Ulusal Siber Olaylara Müdahale Merkezi (USOM)

Ülkemizin siber güvenliğine korumak amacıyla;

• siber ortamda ortaya çıkabilecek tehditlerin belirlenmesi,
• oluşabilecek saldırı ve olayların etkilerini azaltılması veya ortadan kaldırılmasına yönelik önlemlerin geliştirilmesi ve
• belirlenen aktörlerle paylaşılması amacıyla

Bilgi Teknolojileri ve İletişim Kurumu bünyesinde Ulusal Siber Olaylara Müdahale Merkezi (USOM) oluşturuldu.

6. Diğer Ülkelerin Siber Güvenliği Sağlama Çalışmaları

6.1. ABD’nin Siber Güvenlik Stratejisi

ABD, şu an siber güvenliğin dünya üzerindeki liderliğini elinde bulundurmaktadır. Özellikle 2001 yılında yaşanan saldırılardan sonra siber güvenlik sistemini geliştirecek yeni adımlar atarak ilerlemektedir. Bu adımların içerisinde Altyapı Koruması ve Siber Güvenlik İletişim Departmanı kuruldu. Aynı zamanda siber güvenliğin sağlanması için özel sektörle iş birliği yapmaktadır.

6.2. Almanya:

Almanya ilk ulusal siber güvenlik stratejisini 2011 yılında oluşturdu. 2011’den bu yana siber güvenlik alanında çok hızlı bir ilerleme sağladı. Almanya sadece ulusal değil aynı zamanda uluslararası alanda da siber güvenliğin korunmasına dair ifadelerini strateji planına ekledi. Almanya, siber güvenlik alanında gelişmeler gösterse dahi ABD tarafından geliştirilen yazılımları da kullanmakta devam etmektedir.

6.3. Diğer Ülkeler

Diğer ülkeler 2010’dan itibaren ulusal strateji planlarını zamanla revize ederek kullanmaya devam etmektedir. Özellikle NATO, Avrupa Konseyi gibi uluslararası örgütler siber güvenlik alanına önem vererek düzenlemeler yapmaktadır. Bu düzenlemelerin en önemli sebebi kendi düzenlerini korumaktır. Çünkü ilk siber savaş olarak adlandırabileceğimiz savaşta NATO, Çin’e karşı yenik düşerek hacklendi. Buna karşılık hızlı bir şekilde ilerleme kaydetmelerini gerektiğini anlayan dünya devletleri siber güvenlik alanını en önemli alanlar arasında ilk sıraya yerleştirerek bilgiyi korumayı hedeflemektedirler.

SONUÇ

Siber güvenlik hukuku, devletlerin özellikle son yüzyıllarda yaşanan gelişmelerle birlikte güvenliğini koruması için önem vermesi gereken bir alan haline geldi. NATO ile Çin arasında yaşanan ilk siber savaştan sonra devletler oluşabilecek hibrit savaş düzenine karşı önlem alabilmek için 2010 yılından itibaren belirli stratejiler düzenledi. Bu stratejiler çerçevesinde tanımlar yaparak problemlere çözüm üretme amacıyla hareket ettiler.

Her geçen gün yeni bir kavramın hayatımıza girmesiyle birlikte güvenlik zafiyetlerinden faydalanmaya çalışan siber saldırganlar; bireylerin verilerini izinsiz bir şekilde işlemek, değiştirmek, yok etmek gibi işlemler yapmaktadırlar. Bu işlemleri yaparken en çok dolandırıcılık suçunu işlemektedirler. Siber saldırganlara karşı güvenlik zafiyeti taraması yaparak açıkları kapatmak en etkili yöntemdir.

Önümüzdeki zaman diliminde yaşanacak gelişmeler çerçevesinde siber güvenlik hukuku oldukça farklı bir boyut alarak ilerleyecektir. Bu durumu öngören devletler, kurumlar ve bireyler siber güvenlik stratejilerine yatırım yapmaktadır.

Unutmayın ki her olay ve durum kendi şartları içerisinde değerlendirilir. Siber güvenliğinizin ihlal edildiğini düşünüyorsanız ve siber suçun size karşı işlenmesinden kaynaklı hak kaybına uğradıysanız Av. Ferhat Küle ile iletişime geçebilirsiniz. Daha detaylı bilgi alabilmek, sağlıklı bir süreç yönetebilmek ve hak kaybına uğramamak adına büromuzla iletişime geçebilirsiniz.

[1] Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023)

[2] Gürol CANBEK – Şeref SAĞIROĞLU, Bilgisayar Sistemlerine Yapılan Saldırılar ve Türleri: Bir İnceleme, Erciyes Üniversitesi Fen Bilimleri Dergisi 23 (1-2) 1 -12 (2007)

[3] USOM, Siber Güvenliğe İlişkin Temel Bilgiler, 2014