TÜrkİYe’de bİlGİ GÜVenlİĞİ uYGulaMalarI

Ülkemizde bilgi güvenliği konusundaki hukuki düzenlemeler belirtilen kanunlarla sağlanmakta-dır.

5237 sayılı türk ceza kanunu

Bu kanun çerçevesinde bilişim alanındaki suçlar 3 grupta değerlendirilmektedir. Bunlar; a) yalnız-ca bilişim sisteminin kullanılmasıyla işlenebilen suçlar b) bilişim sisteminin kullanılması zorunlu olmamakla birlikte bazı suçların nitelikli hali olan suçlar c) Söz konusu sistemin suçta vasıta ola-rak kullanıldığı suçlardır (Mahmutoğlu, 2011).

Yalnızca bilişim sisteminin kullanılmasıyla işlenebilen suçlar; “bilişim sistemine girme, sistemi engelleme, bozma, verileri yok etme veya değiştirme” ile ilgili suçları kapsamaktadır. Bilişim sis-teminin kullanılması zorunlu olmamakla birlikte bazı suçların nitelikli hali olan suçlar ise ”hırsızlık ve dolandırıcılık suçlarını” içermektedir. Söz konusu sistemin suçta vasıta olarak kullanıldığı suç-lar ise haberleşme gizliliğini ihlal, haberleşmenin engellenmesi, eğitim ve öğretimin engellenme-si, kamu kurumu veya kamu kurumu niteliğindeki meslek kuruluşu faaliyetlerinin engellenmeengellenme-si, hakaret ve sövme ile müstehcenlik konularını içermektedir.

5651 sayılı internet ortamında Yapılan Yayınların Düzenlenmesi ve bu Yayınlar Yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun

Bu kanun “içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yüküm-lülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayı-cıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlemeyi” içermektedir.

5070 sayılı elektronik imza kanunu

Bu kanun kapsamında ıslak imza gibi hukuksal geçerliliği olan imzanın elektronik ortamda kulla-nımı düzenlenmektedir. Günümüzde işlem maliyetlerini azaltma ve işlem hızını artırma amacıyla birçok işlemin web ortamında yapılıyor olması elektronik imza uygulamasını da zorunlu kılmıştır.

5809 sayılı elektronik haberleşme kanunu

Bu kanun kapsamında “elektronik haberleşme hizmetlerinin yürütülmesi, elektronik haberleşme altyapı ve şebekesinin tesisi ve işletilmesi ile her türlü haberleşme cihaz ve sistemlerinin imali, ithali, satışı, kurulması, işletilmesi” düzenlenmektedir.

26942 sayılı resmi gazete’de Yayınlanan elektronik haberleşme güvenliği Yönetmeliği

Bu yönetmelik ile işletmecilerin “fiziksel alan güvenliği, veri güvenliği, donanım-yazılım güvenliği ile personel güvenilirliğinin sağlanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risk-lerin bertaraf edilmesi veya azaltılmasına” ilişkin faaliyetler düzenlenmiştir.

5897 sayılı resmi gazete’de yayınlanan e-dönüşüm türkiye projesi birlikte çalışabilirlik esasları rehberi

Genelgede, kamu kurum ve kuruluşları arasında etkin ve güvenli bilgi paylaşımını sağlamak ama-cıyla, birlikte çalışabilirliğe imkân sağlayan güvenli bir altyapı kurulmasının önemi vurgulanmıştır.

Ayrıca kamu kurumlarınca uygulanan ya da hazırlık çalışmaları devam eden çevrimiçi hizmetlerin etkin şekilde sunulabilmesi için işbirliği ve bilgi paylaşımını sağlayacak bir altyapının kurulması Eylem Planı’nın temel önceliklerinden biri olarak kabul edilmiştir. 

17 şubat 2003 tarihinde imzalanan “bilgi sistem ve ağları için güvenlik kültürü” konulu başba-kanlık genelgesi

Bu genelge kapsamında 1992’de OECD tarafından yayımlanan “Bilgi Sistemlerinin Güvenliğine İlişkin Rehber”in izlenilmesine karar verilmiştir. Bu rehber bilgi sistem ve ağlarının geliştirilmesin-de güvenlik hususuna dikkat edilmesini ve bilgi sistem ve ağlarını kullanırken yeni düşünme ve davranış yöntemlerinin benimsenmesini önermektedir.

Türkiye’de bilgi güvenliğiyle ilgili yasal mevzuatın oluşturulması çabalarının yanı sıra birtakım tatbikatlar da periyodik olarak düzenlenmektedir. Türkiye Bilgisayar Olayları Müdahale Ekibi (BOME) tarafından 20-21 Kasım 2008 tarihlerinde ilk defa bilgi güvenlik tatbikatı gerçekleştiril-miştir. Bu tatbikat Cumhurbaşkanlığı, Başbakanlık, Adalet Bakanlığı, Sayıştay Başkanlığı, Hazine Müsteşarlığı, Merkez Bankası, Sermaye Piyasası Kurulu Başkanlığı ve Tapu Kadastro Genel Mü-dürlüğü’nün katılımıyla gerçekleşmiştir. Bu tatbikat hayali bir senaryo üzerinden yürütülmüştür.

Buna göre hayali bir ülke başkanının tatbikatın yapıldığı tarihte Türkiye’yi ziyaret edeceği ve bu sırada muhalif grupların başkanın gelişini protesto amaçlı olarak bir sanal ortam saldırısı düzen-lediği senaryosu kurgulanmıştır.

Farklı kritik altyapıları temsil eden kurumların katılımıyla 2011 yılında “1. Ulusal Siber Güven-lik Tatbikatı” gerçekleşmiştir. Bu tatbikatta devlet, güvenGüven-lik, finans, sağlık, iletişim ile üniversi-te, STK, özel sektör ve kamu araştırma enstitüleri gibi farklı alanlardan katılımcılar yer almıştır.

Katılımcıların büyük bir kısmı kamu sektöründeki bilişim personelidir. Tatbikat süresince port taraması, DDoS saldırısı, web sayfası güvenlik denetimi, kayıt dosyası analizi ve yazılı senaryo-lar farklı sayıda kuruma uygulanmıştır. Bunsenaryo-lar, kurumun web sayfası içeriğinin yetkisiz kişilerce değiştirilmesinden elektronik posta yoluyla kurumda çalışan personelden bilgi çalma girişimine kadar pek çok konuda düzenlenmiştir.

Bu tatbikat neticesinde katılımcıların muhtemel bir saldırı karşısındaki tepkileri incelenmiş böy-lelikle olası saldırılara karşı hazırlıklı olmak, iletişim kanallarını kontrol etmek ve farkındalık oluş-turmak hedefleri gerçekleştirilmiştir.

Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nın koordinasyonunda 61 kurumun katılımıyla 25 Aralık 2012 ile 12 Ocak 2013 tarihleri arasında 2. Ulusal Siber Güvenlik Tatbikatı gerçekleşmiştir.

İlk tatbikatta benzer şekilde DDoS, web güvenliği taraması, port taraması, log analizi, web uy-gulama testi, sosyal mühendislik, yarışma ve yazılı senaryo saldırıları yapılarak ele geçirilen bir sistemin incelenmesi, saldırıyı düzenleyenlerin tespiti ve saldırının zaman ve yapılış biçimine ilişkin bilgi toplanmıştır.

Türkiye’de bilgi güvenliği konusu ile ilgili geliştirilen bir dizi ürün ve hizmet bulunmaktadır. Bun-lardan birkaçına örnek vermek gerekirse;

BSİ: SO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağla-mak için tasarlanmıştır. BSİ firması bu sertifikasyonu sağlasağla-maktadır.

Bilgimikoruyorum.org.tr: Bilgi Güvenliği Bilinçlendirme Eğitim Sitesi ve T.C. Kalkınma Bakanlı-ğı tarafından desteklenmiş olan Ulusal Bilgi Sistemleri Güvenlik Programı kapsamında TÜBİTAK BİLGEM SGE tarafından gerçekleştirilmiş bir sosyal sorumluluk projesidir. Bu site Türkiye Bilişim Derneği tarafından 21 Kasım 2012 tarihinde “29. Ulusal Bilişim Kurultayı’nda gerçekleştirilen 2012 Bilişim Hizmet Ödülleri kapsamında “En İyi Eğitim Sitesi” olarak ödül almıştır.

Güvenilir Bilgi Paylaşımı 2180 Sanal Hava Boşluğu SAHAB:Aselsan 2180 Sanal Hava Boşluğu (SAHAB), farklı güvenlik seviyesine sahip ağların (Cross Domain Networks) birbirleriyle güvenli bilgi alış verişini sağlayan bir sistem çözümü olarak bilgi sızmalarının önüne geçmektedir.

Türkiye İşbankası ATM Parmak İzi Uygulaması:Parmak Damar Haritası Teknolojisi; kişiye has, eşsiz, kopyalanamayan ve yaş ilerledikçe değişmeyen parmak damar haritasını kızıl ötesi ışınlar

yardımıyla çıkarıp, kimlik doğrulama için uygun veriye dönüştürülmesini sağlayan, güvenli ve kesin sonuç veren biyometrik yöntemlerden biridir. Yüz tanıma, iris tanıma, ses tanıma, parmak izi tanıma ve damar tanıma biyometrik yöntemlerden birkaçıdır. Parmak Damar Tanıma, en ge-lişmiş biyometrik yöntemlerden biri olup, kullanıcıya güvenlik ve kullanım kolaylığı sağlar.

Türkiye’de bilgi güvenliği konusunda uzmanlaşmış 34 firma ortalama olarak 2005 yılından itibaren bu konuda çalışmaktadır (Bkz. Tablo 17). Bir başka deyişle bu firmalar bilgi güvenliği konusunda 9 yıllık bilgi ve deneyime sahiptir. İlgili firmaların büyük bir kısmının kuruluş yeri İstanbul’dur. Çoğu firmanın Ankara’da bölge temsilcilikleri bulunmaktadır. Ankara merkezli olan firmalar Barikat Bi-lişim Güvenliği, BİZNET BiBi-lişim, merkez Ar-Ge laboratuvarı Ankara’da bulunan Labris Teknoloji ile Pro-G Proje, Bilişim Güvenliği ve San. Tic. Ltd. Şti’dir.

Tablo 18. Türkiye’de Bilgi Güvenliği Konusunda Faaliyet Gösteren Firmalar

Sayı Firma İsimleri Uzmanlık Alanı Kuruluş Yılı Kurulduğu yer ve Bölge Ofisi

1 Adeo Bilişim Danışmanlık Hizmetleri Güvenli network ve sistem

tasarımı İstanbul, Ankara

2 ARMONES Bilgi Teknolojileri Egitim ve

Danısmanlik Ltd.Şti. Bilgi güvenliği ve iş sürekliliği

3 Ases Bilgi Güvenlik Teknolojileri 2003 İstanbul, Ankara

4 Avanteg Bilgi güvenliği ve iş sürekliliği 2003 İstanbul, Ankara

5 Axoss Bilgisayar ve ağ güvenliği 2006 İstanbul

6 Barikat Bilişim Güvenliği

Ağ geçidi veri sızıntısını önleme, e-posta güvenliği, güvenlik olay yönetimi, güvenlik duvarı, son kullanıcı güvenliği, web uygulaması güvenliği

2008 Ankara

7 Beyaz Bilgisayar Bilgi güvenliği 1997 İstanbul

8 Bilgi Güvenliği, Eğitim ve Danışmanlık

Şti. Bilgi güvenliği 2008 İstanbul, Ankara,

Bakü

9 BİMSA Bilgi güvenliği 1975 İstanbul, Kocaeli,

Ankara

10 BİZNET Bilişim Bilgi güvenliği 2000 Ankara, İstanbul

11 BT Risk Bilgi Güvenliği ve BT Yönetişim

Hizmetleri Bilgi güvenliği İstanbul

12 BTYÖN Danışmanlık Eğitim Yazılım ve

Teknoloji Hizmetleri Bilgi güvenliği 2010 İstanbul

13 Crypttech Kripto ve Bilişim Teknolojileri

Ltd. Şti. Bilgi güvenliği 2006 İstanbul

14 Deloitte Bilgi güvenliği İstanbul, Ankara,

İzmir, Bursa, Çukurova

15 Endersys Bilişim A.Ş.

Güvenlik Değerlendirmeleri, Sızma Testleri, Mobil Uygulama Güvenlik Testleri, Bulut Bilişim Güvenlik Testleri, Uygulama Güvenliği Testleri, Web Uygulama Güvenliği Testleri,

2006 İstanbul, Ankara

16 GamaSEC Bilgi Güvenliği Denetim ve Danışmanlık Servisleri

Sistem sızma güvenlik

denetimleri ve güvenlik denetim eğitimle

17 Global Forte Bilişim Teknolojileri ve

Danışmanlık Şirketi Ltd. Şti. Bilişim güvenliği İstanbul, Ankara,

Birleşik Arap Emirlikleri, A.B.D.

18 İnfonet Bilgi Teknolojileri Tic. Ltd Şti. /

Distribütor Kurumsal ağ güvenliği, bilgi

güvenliği ve sistem entegrasyonu 1995 İstanbul, Ankara 19 Innova Bilişim Çözümleri Anonim

Şirketi Güvenli network ve sistem

tasarımı, güvenlik ürünleri 1999 İstanbul, Ankara, Dubai

20 Karmasis Bilişim Hizmetleri Ltd. Şti. Güvenlik ve denetim çözümleri 2002 İstanbul 21 Labris Teknoloji Güvenlik ağ geçidi donanım ve

yazılımları ARGE ve Üretimi Ankara, İstanbul, Polonya

22 Lostar Bilgi Güvenliği A.Ş. Bilgi güvenliği 1998 İstanbul

23 Microsoft Türkiye Web erişim güvenliği, ağ erişim güvenliği

24 Nebula Bilişim Sistemleri San.Tic.Ltd.

Şti. Bilgi güvenliği 2006 İstanbul, Ankara

25 NGN Bilgi ve İletişim Hizmetleri Ticaret

A.Ş. Güvenlik çözümleri 2005 İstanbul

26 NETSMART Bilişim Sistemleri ve

Danışmanlık San. Tic.Ltd.Şti. Güvenlik İstanbul

27 Pro-G Proje, Bilişim Güvenliği ve San.

Tic. Ltd. Şti Ağ ve sistem güvenliği 2002 Ankara

28 Prolink Mümessillik İç ve Dış Tic. Ltd.

Şti Güvenlik İstanbul, Ankara

29 Secrove Bilgi Guvenligi Danısmanlık

Yazılım ve Teknoloji Hizmetleri Ltd. Sti. Network ve altyapı güvenliği İstanbul

30 SignalSEC Bilgi Güvenlik Danışmanlık Yazılım ve Teknoloji Hizmetleri Tic.

Ltd. Şti Bilgi güvenliği 2011 İstanbul, İzmir

31 SYMTURK Bilgisayar Sistem Yönetişim

ve Müşavirlik Tic. Ltd. Şti. Bilişim güvenliği 2007 İstanbul, Ankara

32 TerraMedusa Secure Siber istihbarat, güvenlik 1996 İstanbul

33 Turcom Ağ ve güvenlik hizmetleri İstanbul

34 3MYazılım Bilgi sistemleri risk yönetimi İstanbul

kaynak: önal (2014).