Cumhurbaşkanı Recep Tayyip Erdoğan, milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla “Bilgi ve İletişim Güvenliği Tedbirlerine ilişkin genelge yayımladı.
Bu bir eleştiri yazısı değil. Sonuçta bu tip genelgelerin düşünülmesi dahi çok önemli. Her ülkenin bu alanda kendine has adımları olması lazım. Bizim attığımız adımlarda neler var hepsini resmi gazeteden alıntılarıyla sayalım:
- Temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacak. (Bu testlerin hangi kriterlere göre yapılacağının ötesinde temin mekanizmalarında Türk ve/veya açık kaynak yazılımlarının payının artırılması gündeme getirilirse şahane olur.)
- Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler, yurt içinde güvenli bir şekilde depolanacak. (Yine mükemmel bir madde. Bu maddenin altının yine de doldurulması gerekiyor. Yani mesela Amazon ve Google Türkiye’de sunucu havuzu açtı. Biz yine bu sunucuları Türkiye içi mi sayacağız… Merak edişorum bu bakış açısını)
- Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak.
- Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacak.
- Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecek. (Nerede tercih edilecek? Yani devlet ile iletişimde mi? Mesela devlet yetkilileri artık Twitter’dan mesaj atmayacak mı?
- Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği önlemleri alınacak.
- Mahremiyet içeren veriler kişisel olarak kullanılan dizüstü bilgisayar, mobil cihaz, harici bellek ve benzeri cihazlarda bulundurulmayacak.
- Gizlilik dereceli verilerin saklandığı cihazlar ancak içerisinde kriptolanmak suretiyle kurum dışına çıkarılabilecek.
- Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilecek. (Yöntemlerinin yazılması lazım. Bu ülke daha önce bazı terör örgütlerine kriptoların şifre kodlarını kaptırmıştı)
- Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özelliği olmadığına dair taahhütname alınacak.
- Endüstriyel kontrol sistemlerinin internete kapalı tutulması sağlanacak.
- Kamu e-posta sistemlerinin ayarları güvenli olacak biçimde yapılandırılacak. (Bunu kanun maddesi olarak yazmaya gerek var mıydı?)
- Yurt içinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik de tedbirler alınacak. (Yani mesela A operatöründen B operatörüne ulaşmak için artık Hollanda üstünden dolaşmaya gerek kalmayacak mı? Bakalım büyük operatörler buna ne diyecekler)
- Kurumsal olmayan e-posta adreslerinden kurumsal iletişim yapılmayacak.
- e-Posta sunucuları, Türkiye’de ve kurumun kontrolünde bulundurulacak.
- “Bilgi Güvenliği Rehberi” hazırlanacak.
- Altyapı hizmeti veren işletmelerin, rehberde yer verilen usul ve esaslara uyulması zorunlu olacak.
- Kritik kurumların bulunduğu bölgelerdeki veriler ise radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacak.
- Mevcut bilgi teknolojisi altyapıları, rehberde yer alacak plan çerçevesinde, kademeli olarak bu esaslara uyumlu hale getirilecek.
- Uyum çalışmalarında ve yeni kurulacak bilgi sistemlerinde, belirtilen adreste yayımlanan güncel sürüm dikkate alınacak.
- Denetim sonuçları ile yapılan düzeltici ve önleyici faaliyetler, rehberde belirtilen usul ve esaslara göre bir rapor halinde Dijital Dönüşüm Ofisi’ne iletilecek.