SORUMLULUĞU ÜZERİNE BİLİŞİM HUKUKU VE ULUSLARARASI HUKUK KAPSAMINDA BİR ANALİZ
6. Ulusal Siber Güvenlik Stratejisi
2013-2014 döneminde gerçekleştirilmesi planlanan işlere ilave olarak bu yılları aşan periyodik faaliyetler ile eğitim ve bilinçlendir-me çalışmaları gibi sürekli yürütülbilinçlendir-mesi gereken faaliyetlere yer veren Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı 20/06/2013 tarih, 28683 sayılı Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.
Gelişen bilgi ve iletişim teknolojileri, artan güvenlik gereksinimi ve edinilen tecrübeler doğrultusunda, Ulaştırma, Denizcilik ve Haberleş-me Bakanlığı tarafından ulusal siber güvenlik stratejisinin güncellen-mesi ve 2016-2019 dönemini kapsayan eylemlerin belirlengüncellen-mesi ihtiyacı doğmuş ve 2019 Ulusal Siber Güvenlik Stratejisi” ve “2016-2019 Ulusal Siber Güvenlik Eylem Planı” hazırlanmıştır. Aşağıda her iki strateji kısaca incelenmektedir.
6.1. 2013-2014 dönemi Ulusal Siber Güvenlik Stratejisi
2013-2014 dönemi Ulusal Siber Güvenlik Stratejisi Eylem pla-nında; 7 ana başlık altında 29 eylem maddesi 86 alt eylem maddesi 31 sorumlu/ilgili kurum, kuruluş, organizasyonu kapsamaktadır. Stratejik siber güvenlik eylemlerinin en doğru şekilde belirlenebilmesi için si-ber güvenliğe yönelik risklerin gerçekçi bir biçimde belirlenmesi ge-rekmektedir. Bu kapsamda Siber Güvenlik Ulusal Stratejisinde mevcut bilgiler ışığında ülkemizde bulunan bilgi ve iletişim sistemleri ile ilişki-li başlıca risk unsurları aşağıda sıralanmıştır (BKK, 2013):
1) Siber ortamın bilişim sistemlerine ve veriye yapılan saldırı-lar için anonimlik ve inkâr edilebilirlik fırsatsaldırı-ları sunması, saldırı için gerekli araç ve bilginin çoğu zaman ucuz ve kolay elde edilebilir olma-sı, dünyanın herhangi bir yerindeki kişi veya sistemlerin kasıtlı ya da kasıtsız olarak siber saldırılara iştirak edebilmeleri nedeniyle tehdidin
asimetrik olması.
2) Siber ortamın bütünleşik ve kesintisiz iletişime açık yapısı ve siber ortamda bulunan kötücül yazılım ve benzeri tehdit ajanları nedeni ile siber ortamda yer alan tüm bilişim sistemlerinin birbirlerine zarar verebilmesi.
3) Günümüzde büyük kitlelere sunulan kritik hizmet ve servis-lerin birçoğunun bilişim sistemleri tarafından sağlanıyor ya da kontrol ediliyor olması.
4) Kritik altyapılara ait bilişim sistemlerinin çoğunun internete bağlı olması.
5) Siber güvenliğin ulusal düzeyde bütün vatandaşlarca top-yekûn sağlanabileceği gerçeğine rağmen bu konudaki ulusal bilincin yetersiz olması.
6) Siber güvenlik alanında paydaş kurumların arasında ulusal koordinasyon eksikliği.
7) Kişi ve kurumların kamuoyu önünde saygınlıklarını kaybet-memek amacıyla veya başka sebeplerle kendilerine yönelik saldırıları gizlemesi.
8) Siber güvenlik olaylarının araştırma ve soruşturulmasında ulusal ve uluslararası mevzuat yetersizliklerinin işbirliğini güçleştirme-si.
9) Kritik altyapı hizmet ve servislerinin, gerçekleştirilen siber saldırılara ek olarak bilişim sistemlerinin kendi hatalarından, kullanıcı hatalarından ya da doğal afetlerden de olumsuz olarak etkilenmesi ve bu tür olaylara yönelik alınabilecek tedbirler açısından gerekli yeterli-liğe sahip olunmaması.
10) Kurumlarda bilgi güvenliği yönetimi altyapılarının yeterli düzeyde olmaması.
11) Siber güvenlik konusunda kurumsal ve kişisel seviyede
ye-terli bilgi ve bilinç seviyesine ulaşılamamış olması.
12) Siber güvenlik konusunda kurumların üst düzey yönetici-lerinin yeterli bilince sahip olmamaları veya siber güvenlik konusunu yeterince sahiplenmemeleri.
13) Siber güvenlik konusunda kurumların yapılanmalarının ye-tersiz olması ve siber güvenliğin, kurumların sadece bilgi işlem birim-lerinin sorumluluğunda görülmesi.
14) Bilgi işlem birimlerinde çalışanların siber güvenlik konu-sunda yeterli bilgi seviyesine ve tecrübeye sahip olmaması.
15) Siber güvenlik olaylarının detaylı araştırılması ve ihlal ile ortaya çıkan suçun soruşturulması alanlarında az sayıda yeterli personel bulunması.
16) Kurumsal iç denetim süreçlerinde siber güvenliğe ilişkin de-netim adımlarının yeterli seviyede ele alınmaması.
17) Siber güvenliğin, geliştirilen veya tedarik edilen bilişim sis-temlerinin vazgeçilmez bir unsuru olarak ele alınmaması, buna bağlı olarak kamu kurumlarının bilgi ve iletişim teknolojileri alanındaki ürün ve hizmet tedariklerinde siber güvenliğin yeterli seviyede göz önünde bulundurulmaması.
18) Donanım ve yazılım alanında yerli üretimin yeterli düzeyde olmaması.
Eylem planında aşağıdaki ana faaliyetler, tamamlanma zama-nı ile ilgili ve sorumlu kurumları da tayin edecek şekilde belirtilmiştir (BKK, 2013):
1. Siber Güvenlik Kurulunun Faaliyetlerine Başlaması,
2. Siber Güvenlik Konusunda Mevzuat Çalışmalarının Yapılması, 3. Siber Olayların Delillendirilmesi,
4. Ulusal Siber Olaylara Müdahale Merkezinin (USOM)
Kurul-ması ve Sektörel ve Kurumsal Siber Olaylara Müdahale Ekiple-rinin (SOME) Oluşturulması,
5. Kritik Altyapılarda Bilgi Güvenliği Yönetimi Programı, 6. Kamu Bilgi Güvenliği Programı,
7. Siber Güvenlik Eğitim Altyapısının Güçlendirilmesi, 8. Siber Güvenlik Tatbikatlarının Düzenlenmesi, 9. Kamu Güvenli iletişim Kurallarının Belirlenmesi, 10. Yazılım Güvenliği Programının Yürütülmesi, 11. Siber Tehditleri Önleme Projesinin Yürütülmesi,
12. Siber Güvenlik Konusunda Ürünlerin ve Hizmet Sağlayıcıların Belgelendirilmesi,
13. Adli Bilişim Konusunda Hizmet Sağlayıcılara Güvenlik Belgesi Verilmesi,
14. İş Sürekliliği ve Veri Yedekleme Sistemleri Kurulması,
15. Kamu Kurum ve Kuruluşlarının İnternet Sayfalarının Yerli Veri Merkezlerine Taşınması,
16. Veri Sızmasını Tespite Yönelik Test Altyapısı Geliştirilmesi ve Uygulamaya Alınması,
17. Kamu Kurumlarında Verilere Erişim Düzeylerinin Belirlenmesi, 18. Açık Kaynak Kodlu Ürünlerin Kullanımının Teşvik Edilmesi, 19. Siber Güvenlik Konusunda Akademisyen Yetiştirilmesi,
20. Üniversitelerde Siber Güvenlik Eğitimlerinin Yaygınlaştırılma-sı,
21. Siber Güvenlik Uzmanlığına Yönlendirme Programının
Yürü-tülmesi,
22. İlk, Orta, Lise Öğretimi ve Yaygın Eğitimde Siber Güvenlik Eği-timlerinin Yaygınlaştırılması,
23. Bilgisayar Kullanıcılarının Siber Güvenlik Konusunda Bilinç-lendirilmesi,
24. Ulusal ve Uluslararası Siber Güvenlik Etkinlikleri Düzenlenme-si,
25. Faaliyetlerinin Teşvik Edilmesi,
26. Siber Güvenlik Konusunda AR-GE Laboratuvarlarının Kurul-ması,
27. Siber Güvenlikte Yerli Ürün ve Çözüm Çalışmaları, 28. Yerli Ürünlerin Teşvik Edilmesi,
29. Ulusal Siber Güvenliğin Milli Güvenlikle Entegrasyonu
Ulusal Siber Olaylara Müdahale Merkezi (USOM), 20 Hazi-ran 2013 tarihinde Bakanlar Kurulu Kararı ile yayınlanan “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” 4. maddesi çerçeve-sinde Bilgi Teknolojileri ve İletişim Kurumu bünyeçerçeve-sinde kurulmuştur.
Ulusal Siber Olaylara Müdahale Merkezi görevleri kapsamında, yurti-çi ve yurtdışı kaynaklı siber tehditleri tespit etme ve önleme faaliyetleri yürütmektedir. Söz konusu siber güvenlik faaliyetlerine ilişkin olarak yapılan çalışmalar çerçevesinde ilgililere yönelik olarak alarm, uyarı ve duyuru işlemleri de yapılmaktadır. USOM görevleri kapsamında Kurumsal ve Sektörel Siber Olaylara Müdahale Merkezlerinin(SOME) kurulması süreçlerinde de görev almaktadır. Bu kapsamda hazırlanmış bu dokümanda SOME kurulumu adımlar halinde gösterilmiş olup bu belgelerle “Yeni Kurumsal – Sektörel SOME” kuracak kuruluş ve işlet-mecilere yol göstermesi hedeflenmiştir (USOM, 2016).
6.2. 2016-2019 dönemi Ulusal Siber Güvenlik Stratejisi
Önceki dönem strateji ve eylem planı süresinin dolması
nede-niyle yeni bir strateji ve eylem planı hazırlanmıştır. Ancak önceki ey-lem planının ne kadarının gerçekleştirilip ne kadarının gerçekleştiril-mediği konusu hakkında kamuoyuyla paylaşılan bir araştırma raporu veya analiz mevcut değildir. Yeni dönem eylem planının bir farkı da öncekinin açık ve erişilebilir olmasına rağmen yenisinin kamuoyuyla paylaşılmayan ve ancak hizmete özel ilgili kurumların bilgisinde gizli tutulmuş olmasıdır. Eylem planına erişim için resmi kurumda çalışma-mıza ve bir devlet üniversitesinde konu ile ilgili olarak “advanced cy-ber security” adı altında yüksek lisans dersi vermemize rağmen bizimle de paylaşılmadığından gerekli analizler yapılamamıştır.
2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planının ana amacı; siber güvenliğin ulusal güvenliğin ayrılmaz bir parçası oldu-ğu anlayışının tüm kesimlerde yerleşmesi, ulusal siber uzayda bulunan sistem ve paydaşların tamamının güvenliğini sağlamak üzere idari ve teknolojik önlemlerin alınmasını sağlayacak yetkinliğin eksiksiz bir şe-kilde kazanılması olarak belirlenmiştir. Bu ana amacı gerçekleştirmek üzere, hedeflerin ve alt eylem maddelerinin belirlenmesi, bunların ger-çekleştirilmesinin sağlanması ve denetlenmesi de bu dokümanın amaç-larındandır. Bu amaçlar doğrultusunda:
• Ulusal siber uzayın tamamını kapsamak şartıyla, bilgi tek-nolojileri üzerinden sağlanan her türlü hizmet, işlem ve bilgi/veri ile bunların sunumunda kullanılan sistemlerin güvenliğinin, gizliliğinin ve mahremiyetinin sağlanmasına,
• Siber güvenlik olaylarının etkilerinin en düşük düzeyde kalma-sına, olayların ardından sistemlerin en kısa sürede normal çalışmalarına dönmesine yönelik stratejik siber güvenlik eylemlerinin belirlenmesine ve oluşan suçun adli makam ve kolluk kuvvetlerince daha etkin araştı-rılmasının ve soruşturulmasının sağlanmasına,
• Siber güvenliğin, gizliliğin ve mahremiyetin sağlanmasında kritik teknolojilerin ve ürünlerin ülkemizde üretilmesine, üretilemiyor-sa, dışarıdan alınan teknoloji ve ürünlerin salt bu maksatla ve güvenle kullanılabilmesini sağlayacak önlemlerin alınmasına yönelik bileşenler bu planda yer almaktadır (BKK, 2016).
Önceki plandan farklı olarak yeni planda siber güvenliğin ilke-leri de riskler ve eylemlerle birlikte belirlenmiştir.
a) Siber Güvenlik İlkeleri
2016-2019 Siber Güvenlik Stratejisi ve Eylem Planında ise aşağıdaki ilkeler yer almaktadır (BKK, 2016):
1. Siber güvenlik, risk yönetimini esas alan etkin ve sürekli de-ğerlendirmeye ve iyileştirmeye dayalı yöntemler aracılığıyla sağlanır.
Oluşturulan risk yönetimi metotlarının tehdit ve açıklıkları ele alarak bunlardan dolayı ortaya çıkacak riskleri belirlemesi, bu riskleri kabul edilebilir düzeye indirmek için yöntemler sunması hedeflenir.
2. Siber güvenliğin sağlanması için tüm paydaşların siber gü-venlik risklerini bilmeleri, bu risklerin yönetilmesine ilişkin yaklaşım-larının kendileri kadar başkalarını da etkileyebileceğinin bilincinde olmaları gerekir. Bu farkındalık ve yetkinliğin sağlanması için tüm paydaşların gerekli eğitim ve deneyimi kazanmaları sağlanır. Teknik boyutun yanı sıra; hukuki, idari, ekonomik, politik ve sosyal boyutları da içeren bütüncül bir yaklaşım benimsenir.
3. Risk yönetimi, teknik zaafların hızla giderilmesini, saldırı ve tehditlerin önlenmesini, fark edilmesini, yanıtlanmasını ve muhtemel zararın en aza indirgenmesini içerir. Zararların asgari düzeyde tutulma-sı için siber olaylara karşı bir hazırlık ve süreklilik planının bulunmatutulma-sı- bulunması-na ve uygulanmasıbulunması-na önem verilir.
4. Siber uzay güvenliğinin sağlanması ve sürdürülmesinde;
kamu, özel sektör, üniversiteler, sivil toplum kuruluşları ve bireyler dâ-hil tüm paydaşlar arasında işbirliğinin yanı sıra uluslararası işbirliği ve bilgi paylaşımı esas kabul edilir ve güven inşa edilir.
5. Tüm paydaşlar, siber uzay güvenliğinin sağlanması için çalı-şırken, hukukun üstünlüğü, ifade özgürlüğü, temel insan hak ve hürri-yetleri ile mahremiyetin korunması ilkelerini gözetir.
6. Paydaşlar siber uzaydaki risklerin yönetimi ile ilgili sorumlu-luklarını yerine getirirken şeffaflık, hesap verilebilirlik ve etik değerleri
göz önünde bulundurur.
7. Alınan siber güvenlik önlemlerinin ilgili risklerle orantılı ol-ması, olumlu ve olumsuz etkilerinin değerlendirilmesi ve dengelenmesi sağlanır.
8. Siber güvenlik gereksinimlerinin karşılanmasında yerli ürün ve hizmet kullanımı teşvik edilir, bunların geliştirilmesi için araştırma ve geliştirme projeleri desteklenir, yenilikçilik anlayışı esas kabul edilir.
b) Siber Güvenlik Riskleri
Siber güvenlik kapsamında stratejik amaçların en doğru şekilde tanımlanabilmesi için siber güvenlik riskleri gerçekçi bir biçimde de-ğerlendirilmiş ve belirlenen başlıca riskler aşağıda sıralanmıştır (BKK, 2016):
1. Kritik altyapıların kullandığı bilişim sistemlerine yapılacak hizmet dışı bırakma ve benzeri hedef odaklı saldırılar sonucunda enerji, ulaştırma, vb. kritik hizmetlerin kesintiye uğraması.
2. Kamu ve kritik altyapıların kullandığı bilişim sistemlerine ya-pılacak hedefe yönelik saldırılar sonucunda; vatandaşa ait kişisel bilgi-lerin veya kamuya ait gizli bilgibilgi-lerin saldırganların eline geçmesi, ifşa olması, değiştirilmesi veya yok edilmesi.
3. Araştırma, geliştirme ve üretim yapan kurum ve kuruluşların (özel firmalar, araştırma kurumları ve savunma sanayi) ticari sırlarını ve bilgi birikimini elde etmeye yönelik hedef odaklı saldırılar sonucunda hassas veya ticari değere sahip bilgilerin saldırganların eline geçmesi, ifşa olması, değiştirilmesi veya yok edilmesi.
4. Propaganda amaçlı bilgisayar korsanlığı (hacktivizm) saldırı-ları sonucu çeşitli kurum ve kuruluşsaldırı-ların itibarının zarar görmesi veya hassas bilgi/verinin ifşa olması, değiştirilmesi veya yok edilmesi.
5. E-ticaret yapan kuruluşların, E-posta hizmeti veren kuruluş-ların, sosyal medya hizmeti veren kuruluşların hizmet dışı bırakma ve benzeri saldırılar sonucunda hizmet verememesi nedeniyle maddi
kay-ba uğraması, sahte işlem kaydı oluşturulması, gizli bilgilerin saldırgan-ların eline geçmesi, ifşa olması, değiştirilmesi veya yok edilmesi.
6. E-ticaret yapan kuruluşların, finans sektörü veya çevrimiçi ödeme ya da para transferine imkan veren diğer kuruluşların müşte-rilerine ait hassas bilgilerin saldırganlar tarafından ele geçirilmesi ne-deni ile itibar kaybına uğraması, toplumda çevrimiçi işlemlere yönelik güven kaybı oluşması, bu hizmetlerden faydalanan müşterilerin maddi kayba uğraması.
7. Küçük ve orta ölçekli sanayi, ticaret ve hizmet sektöründeki kuruluşların faaliyetlerinin bilişim sistemlerindeki güvenlik önlemleri-nin eksikliğinden veya kullanıcı hatalarından dolayı kesintiye uğrama-sı, hassas veya ticari değere sahip bilgilerin saldırganların eline geçme-si, ifşa olması, değiştirilmesi veya yok edilmesi.
8. Toplumun internete ve sosyal ağlara olan bağımlılığı, siber güvenlik alanında yeterli düzeyde bilgi ve bilinç seviyesine sahip ol-maması, mobil ve sabit bilgi sistemlerinde kişisel güvenlik önlemlerini almaması gibi nedenlerle kötücül yazılım ve oltalama saldırılarına, do-landırıcılık ve kimlik hırsızlığına maruz kalması, kişisel bilgilerin ve cihazların saldırganlar tarafından ele geçirilmesi, değiştirilmesi veya yok edilmesi, sahte işlem yapılması.
9. Her türlü kurum ve kuruluşta yığın posta, kötücül yazılım ve benzeri saldırılar sonucunda dolandırıcılıkla karşı karşıya kalınması.
10. Her türlü kurum ve kuruluşta, kullanıcı hataları ya da doğal afetler sonucunda bilişim sistemleri aracılığı ile verilen hizmet ve faa-liyetlerin kesintiye uğraması.
c) Stratejik Siber Güvenlik Amaçları ve Eylemleri
2016-2019 döneminde, mevcut riskleri, belirlenen ilkeler ışı-ğında asgari düzeye indirmeyi hedefleyen stratejik amaçlar şunlardır (BKK, 2016):
1. Ulusal kritik altyapı envanterinin oluşturulması, kritik altyapı-ların güvenlik gereksinimlerinin karşılanması ve bu kritik
altya-pıların bağlı oldukları düzenleyici kurumlar (Ek-B) tarafından denetlenmesi.
2. Siber güvenlik alanında denetim yaklaşımını da içeren uluslara-rası standartlara uygun mevzuatın oluşturulması.
3. Sektör düzenleyici kurum, bakanlık vb. kuruluşların siber gü-venlik kapsamında düzenleme ve denetleme farkındalıklarının ve yetkinliklerinin geliştirilmesi.
4. Kurumların bilişim sistemlerinin sadece saldırılardan değil, kul-lanıcı hataları ve afetlerden de korunması için düzenlemelerin yapılması.
5. Her kurumun kendi bilgi güvenliği yönetim sürecini çalıştıracak yetkinliğe ulaşması.
6. Siber güvenlik konusunda kurum yöneticilerinin farkındalığının artırılması.
7. Siber güvenlik alanında yetkin personel yetiştirilmesi ve bu alanda uzmanlaşmak isteyen personel, araştırmacı ve öğrenci-lerin teşvik edilmesi.
8. Toplumun her kesiminde siber güvenlik bilincinin oluşturulma-sı, eğitim kurumlarının çalışmalarına ilave olarak yazılı ve gör-sel medyada farkındalık çalışmalarının yapılması.
9. Kamu kurumlarında siber güvenlik alanında uzman personel is-tihdam edilmesi için mevzuat desteği sağlanması ve personelin özlük haklarının iyileştirilmesi.
10. Kurumsal ve Sektörel SOME’lerin (Siber Olaylara Müdahale Ekibi) (Ek-C) etkinliğinin arttırılması için mevzuat desteğinin sağlanması, mali düzenlemelerin yapılması, yetkin personel ih-tiyacının karşılanması, bilişim altyapısının sağlanması ve ulusal siber olaylara müdahale organizasyonu kapsamında bilgi payla-şımının geliştirilmesi.
11. Siber güvenlik alanında koordinasyonu sağlayacak güçlü bir
merkezi kamu otoritesi oluşturulması.
12. Kamu kurumları, özel sektör, STK’lar (Sivil Toplum Kuruluşu), denetleyici kurumlar, üniversiteler, geliştirici firmalar ve tüm di-ğer paydaşların katılım ve koordinasyon hedefi ile ulusal siber güvenlik eko-sisteminin oluşturulması.
13. Ulusal Siber güvenlik eko-sistemi içinde iyi örneklerin yaygın-laştırılması, danışmanlık hizmetlerinin verilmesi, açıklık, tehdit ve faydalı uygulamaların paylaşılması.
14. Bilişim sistemlerinin kritik noktalarında kullanılan, yerli veya yabancı donanım ve yazılım ürünlerinin içerdiği açıklıkların kö-tüye kullanılmasına engel olmak üzere açıklık analizi ve sertifi-kasyon çalışmalarının yapılması.
15. Güvenli yazılım geliştirme ve tedarik yönetimi kültürünün oluş-turulması.
16. Siber güvenlikte dışa bağımlılığı azaltmak için Ar-Ge faaliyetle-rine önem verilerek yerli ürünlerin geliştirilmesi.
17. Tehdit unsurlarının saldırı yapmadan önce bertaraf edilmesi için ulusal proaktif siber savunma yeteneğinin geliştirilmesi.
18. Tehdit unsurlarının siber uzaydaki en büyük avantajı olan ano-nimliği ortadan kaldırmak için etkin kayıt yönetimi ve IPv6 (In-ternet Protokolü sürüm 6) teknolojilerinin yaygınlaştırılması.
7. Sonuç
Ülkemizde bilgi ve iletişim sistemlerinin kullanımı kamu ku-rumlarında, özel sektörde ve vatandaşlara ilave olarak; enerji, su kay-nakları, sağlık, ulaşım, haberleşme ve finansal hizmetler gibi kritik altyapı sektörlerinde faaliyet gösteren kurum ve kuruluşlarda da hızla yaygınlaşmaktadır. Bilgi ve iletişim teknolojileri ve özellikle de inter-net kullanımı siber uzaydaki tüm bileşenlerin birbiriyle bağlantılı ol-masını ve bununla birlikte de siber güvenlik risklerini ve belirsizlikleri beraberinde getirmektedir. Kurum ve kuruluşlarının hizmet
sunumla-rında bilgi ve iletişim sistemlerini her geçen gün daha fazla kullanma-ları ile birlikte, söz konusu bilgi ve iletişim sistemlerinin güvenliğinin sağlanması hem ulusal güvenliğimizin, hem de rekabet gücümüzün önemli bir boyutu haline gelmiştir. Bilgi ve iletişim sistemlerinde bu-lunan güvenlik zafiyetleri, bu sistemlerin hizmet dışı kalmasına veya kötüye kullanılmasına, can kaybına, büyük ölçekli ekonomik zarara, kamu düzeninin bozulmasına ve/veya ulusal güvenliğin ihlaline neden olabilecektir. Siber saldırılar dolayısı ile ortaya çıkan maddi zarar ola-ğanüstü boyutlara ulaşmıştır. Hem Dünya Ekonomik Forumunun, hem de güvenlik firmalarının raporları bu gerçeği açıkça ortaya koymakta-dır. Siber uzayın bilişim sistemlerine ve bilgi/veriye yapılan saldırılar için anonimlik ve inkâr edilebilirlik gibi fırsatları sunduğu bir gerçektir.
Bilişim sistem ve verilerini hedef alan ısrarcı ve gelişmiş siber saldırı-ların kimler tarafından finanse ve organize edildiğinin tespiti ise zor-dur. Bu durum ve özellikler siber uzaydaki risk ve tehditlerin asimetrik karakterini ortaya koymakta, tehditlerle mücadeleyi güçleştirmektedir.
Böyle bir ortamda artık siber güvenliğin mutlak olarak sağlanmasından bahsedilmemekte, bunun yerine siber güvenlik risklerinin yönetilebilir ve kabul edilebilir düzeylerde tutulması hedeflenmektedir. İnternet gibi açık ve bağlantılı bir ortamda bulunmanın artan erişilebilirlikle birlik-te bazı riskleri de getireceği kabul edilmekbirlik-tedir. Bu risklerin tüm pay-daşları içeren bütüncül bir yaklaşımla yönetilerek siber olaylara karşı hazırlıklı olunması ve bu olaylardan en az zararla çıkılarak sürekliliğin temini esas alınmalıdır. Özellikle bilişim hukuku ve uluslararası hukuk kapsamında siber güvenlik ele alınarak kapsamlı düzenlemeler yapıl-ması gerekliliği anlaşılmıştır.
Yapılan literatür taraması sonucuna göre, bilişim hukuku alanın-da pek çok sorunun mevcut olduğu tespit edilmiştir. Bunlaralanın-dan başlıca-ları; Elektronik verilerin ticarileştirilmesinde sorun yaşanması, arama motorlarının sorumluluğu ve internet hukukunda problemler, internet sansür ağının oluşumuyla ilgili sorunlar, sosyal medya aracılığıyla işle-nen suçların artması, yeni nesil akran zorbalığı-siber zorbalığın artması, bilişim ortamındaki kişisel bilgileri koruyamamak, mahremiyetin ihlali ve yetkisiz erişimler, siber suçun tanımı ve içeriği hakkında henüz bir uzlaşı sağlanmamış olması ve klasik ceza hukukunun yetersiz kalma-sı, internetin yaygınlaşması ile birlikte ülkeler arasında fiziki sınırların
belirlediği klasik hukuk anlayışı yetersiz kalması, bilgi kaynaklarına uzaktan erişim, fikri mülkiyet, kullanıcı gizliliği ve bilgi bütünlüğünün sağlanması konularında henüz bilişim dünyasındaki etik kurallar üze-rinde uzlaşının sağlanmamış olması, E-imzanın teknik, uygulama ve mevzuat alt yapısının yetersiz olması, Türkiye’de bulut bilişim kullanı-cılarının veri güvenliğini ve gizliliğini yeterli seviyede koruyan bir hu-kuksal düzenlemenin bulunmaması, adli bilişimin bağımsız bir bilimsel disiplin alanı olarak henüz gelişimini sağlayamamış olması, Türkiye’de
belirlediği klasik hukuk anlayışı yetersiz kalması, bilgi kaynaklarına uzaktan erişim, fikri mülkiyet, kullanıcı gizliliği ve bilgi bütünlüğünün sağlanması konularında henüz bilişim dünyasındaki etik kurallar üze-rinde uzlaşının sağlanmamış olması, E-imzanın teknik, uygulama ve mevzuat alt yapısının yetersiz olması, Türkiye’de bulut bilişim kullanı-cılarının veri güvenliğini ve gizliliğini yeterli seviyede koruyan bir hu-kuksal düzenlemenin bulunmaması, adli bilişimin bağımsız bir bilimsel disiplin alanı olarak henüz gelişimini sağlayamamış olması, Türkiye’de