Canpolat Hukuk Bürosu’ndan Av. Yaşar K. Canpolat ve Av. Gülsima Palaz, Ulusal Siber Olaylara Müdahale Merkezi ve Müdahale Ekipleri’nin işleyişini detaylı bir yazıyla anlattı.

Dijitalleşme, yarattığı fırsatların yanında aynı zamanda tehditleri de beraberinde getiriyor. Bu tehditler arasında son dönemde en öne çıkan konulardan birisi de “siber güvenlik”.

Şirketlerin tüm iş süreçlerini dijitale taşıdığı da dikkate alındığında, siber güvenlik artık her sektörün ajandasında yer alan önemli başlıklardan bir tanesi haline geldi. Öyle ki, sektörel düzenlemelerde bilgi güvenliği konusundaki sorumlulukların yönetim kurulu seviyesinde ele alınması gerektiği bile düzenlenebilmekte.

Günümüzdeki siber saldırı yöntemlerinin her geçen gün daha sofistike karaktere bürünmesi de konunun sadece tekil olarak şirketler bazında değil, sektörel veya ulusal boyutta da ele alınması ihtiyacını doğurmaktadır.

Bu çerçevede, ülkemizde de ulusal alanda faaliyet gösteren Ulusal Siber Olaylara Müdahale Merkezi ve sektörel veya kurumsal boyutta faaliyet gösteren Siber Olaylara Müdahale Ekipleri kurulmuştur.

USOM ve SOME’lerin Kurulma Amacı ve Tarihçesi

Teknolojinin gelişmesiyle birlikte siber tehditlerin ve saldırıların artış göstermesi karşısında, bu konu hakkında mağduriyetleri önlemek ve ilgili problemlerin çözüme kavuşturulmasını sağlamak adına denetleyici ve düzenleyici kurumların varlığına ihtiyaç duyulmuştur. Dolayısıyla, siber güvenliğin sağlanması için “Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi ve Koordinasyonuna İlişkin Karar” 20 Ekim 2012 tarihli Resmî Gazetede Bakanlar Kurulu Kararı olarak yayımlanmıştır.

Bu Karar ile siber güvenliğe ilişkin program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla “Siber Güvenlik Kurulu” (“Kurul”) oluşturulmuştur. Kurul bu alandaki çalışmalarını yürütmek adına bir toplantı düzenlemiş ve “Ulusal Siber Güvenlik Stratejisi ve 2013–2014 Eylem Planını” (“Eylem Planı”) kabul etmiştir.

Eylem Planı uyarınca temel görevi koordinasyon ve iş birliği olan Ulusal Siber Olaylara Müdahale Merkezi (“USOM”), Telekomünikasyon İletişim Başkanlığı bünyesinde kurulmuştur. Yine söz konusu eylem planı çerçevesinde kamu kurum ve kuruluşları bünyesinde Siber Olaylara Müdahale Ekipleri (“Kurumsal SOME”, “Sektörel SOME”) oluşturulması öngörülmüştür.

USOM ve SOME’ler siber olayları bertaraf etmede, oluşması muhtemel zararları önlemede veya azaltmada, siber olay yönetiminin ulusal düzeyde koordinasyon ve iş birliği içerisinde gerçekleştirilmesini sağlamada görev alan yapılar olarak karşımıza çıkmaktadır. 

USOM ve SOME’lerin Birbirleri ile İlişkisi

Siber olaylara müdahale organizasyonundaki üç temel bileşen USOM, Sektörel SOME’ler ve Kurumsal SOME’lerdir.

USOM:

İnternet aktörleri, kolluk güçleri, uluslararası kuruluşlar, araştırma merkezleri ve özel sektör arasındaki iletişim USOM vasıtasıyla gerçekleştirilmektedir. USOM siber güvenlik olaylarına yönelik alarm, uyarı, duyuru faaliyetleri yapmakta olup kritik sektörlere (ulaştırma, enerji, elektronik haberleşme, finans, su yönetimi, kritik kamu hizmetleri) yönelik siber saldırıların önlenmesini sağlamaktadır.

SOME:

Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliği (“Tebliğ”) kapsamında Kurumsal ve Sektörel SOME’lerin kurulması öngörülmüştür.

Tebliğ uyarınca kamu kurum/kuruluşlar ve kritik alt yapı sektörlerindeki kamu ve özel kurum/kuruluşlar Kurumsal SOME; kritik sektörü düzenleyici ve denetleyici kurumlar veya bu kurumlar kuruluncaya kadar ilgili bakanlıklar Sektörel SOME kurma yükümlülüğü altındadırlar.

Bu kapsamda Kurumsal / Sektörel SOME’lerin ve USOM’un arasındaki organizasyon ve işbirliği yapısı aşağıdaki şekilde belirtilmektedir.

Yukarıdaki şekilde yer alan kavramları açıklamak gerekirse;

a) Uyarı ve bilgilendirme: Siber olay öncesinde USOM tarafından hazırlanan bülten, duyuru gibi bilgileri,

b) Koordinasyon: Siber olay esnasında USOM ve varsa bağlı olduğu Sektörel SOME tarafından yapılan koordinasyonu,

c) Rapor, form ve bilgilendirme: Siber olay öncesi, esnası ve sonrasında USOM ve varsa bağlı olduğu Sektörel SOME tarafından talep edilen ve Kurumsal SOME’ler tarafından iletilen bilgileri ifade etmektedir.

Kurumsal SOME’ler

Kurumsal SOME’lerin görevlerini, siber olay[1] aşamalarını baz alarak 3 başlıkta incelemek gerekmektedir.

-Siber Olay Öncesi

Kurumda bir siber olayın yaşanmadığı veya gerçekleşmediği durumda Kurumsal SOME’ler, kurum içi farkındalık çalışmalarının gerçekleştirilmesi, kurumsal bilişim sistemleri sızma testlerinin yapılması / yaptırılması ve kayıtların düzenli olarak incelenmesi çalışmalarını yapmaktadırlar.

-Siber Olay Esnası

Kurumda herhangi bir siber olayın gerçekleştiği durumlarda, Kurumsal SOME’lerin bilgi işlem birimi, internet servis sağlayıcısı, Sektörel SOME, USOM, hukuk müşavirliği, savcılık, kolluk kuvveti ve basın müşavirliği ile birlikte iş birliği içerisinde hareket ederek ilgili siber olayı durdurma çalışmalarını aşağıdaki sırayı izleyerek yapmaktadırlar.

  • Olay veya olay bildirimi sonrasında Kurumsal SOME, bilgi işlem birimi ile ilgili olayın siber olay teşkil edip etmediği hakkında araştırma yapar.
  • Olayın siber olay olduğuna karar verilirse, müdahalenin koordineli bir şekilde gerçekleştirilmesi amacıyla USOM ve ilgili Kurumsal SOME’nin varsa bağlı olduğu Sektörel SOME ile irtibata geçilerek iş birliği içerisinde hareket edilir ve müdahalede bulunulur.
  • Eğer siber saldırı sonucunda suç işlendiğine kanaat getirilirse ilgili adli ve idari kurumlara haber verilir.
  • Müdahalenin gerçekleştirilmesinden yani siber olayın sona erdirilmesi sonrasında değerlendirme yapılır ve siber olay sonrası işlemler gerçekleştirilir.

-Siber Olay Sonrası

Siber Olay Esnasında yapılması gereken işlemler tamamlandığında, siber olayın tekrarlanmasını engellemek adına aşağıdaki çalışmalar yapılır.

[Siber Olay: Bilişim ve endüstriyel kontrol sistemlerinin veya bu sistemler tarafından işlenen bilginin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesini veya ihlal teşebbüsünde bulunulması]

  • Zaman geçirmeden olaya neden olan açıklık belirlenir ve çıkarılan dersler kayıt altına alınır.
  • Kurumsal SOME, siber olay ile ilgili bilgileri USOM tarafından belirlenen kriterlere uygun şekilde USOM’a ve varsa bağlı olduğu Sektörel SOME’ye gönderir ve kayıt altına alır.
  • Olayla ilgili olarak gerçekleştirilebilecek düzeltici/önleyici faaliyetlere ilişkin öneriler kurum yönetimine arz edilir.
  • Yaşanan siber olayların türleri, miktarları ve maliyetleri ölçülüp izlenir.
  • Yaşanan siber olaya ilişkin iş ve işlemlerin detaylı bir şekilde anlatıldığı siber olay müdahale raporu hazırlanır, üst yönetim, USOM ve varsa bağlı olduğu Sektörel SOME’ye iletilir.

Sektörel SOME’lerin görev ve sorumluluklarına aşağıda yer verilmiştir.

– Siber Olay Öncesi

  • Sektör içi siber güvenlik mevzuatı (yönetmelik, tebliğ) hazırlanır.
  • Bilgi güvenliği ve siber güvenliğe ilişkin çerçeve sözleşme hükümleri üretilir.
  • Sektörel siber olay müdahale prosedürü oluşturulur.
  • Sektördeki kurumsal SOME’lerin Ulusal Siber Güvenlik Tatbikatı başta olmak üzere test ve tatbikatlara katılmaları teşvik edilir.
  • USOM tarafından yayınlanan duyuru ve bildirilerin sektöre aktarılması sağlanır.
  • Kurul tarafından alınan ve kritik sektörleri ilgilendiren bir kararın, sektörde faaliyet gösteren Kurumsal SOME’lere duyurulması ve koordinasyonu sağlanır.
  • Sektöre özgü bilgi sistemlerinin üreticileri/geliştiricileri ile kurumsal SOME’leri bir araya getirerek sistemlerde yapılabilecek iyileştirmelerin ve alınabilecek önlemlerin belirlenmesi hususunda çalışmaların yapılması koordine edilir.
  • İz kayıtları günlük olarak izlenir ve incelemesi yapılır.

– Siber Olay Esnasında

Sektörde yer alan bir kurumda veya sektörde bir siber olayın yaşanması durumunda Sektörel SOME’ aşağıdaki çalışmaları gerçekleştirir:

  • Siber olay esnasında, Kurumsal SOME’de gözlemci bulundurulur ve gerekli destek sağlanır.
  • Kendisine bağlı olan Kurumsal SOME’lere ve USOM’a siber olayla ilgili bilgilendirme mesajı gönderilir.
  • Siber olaya müdahale aşamasında suç işlendiği izlenimi veren bir durumla karşılaşıldığında durumu gecikmeksizin Kurumsal SOME’lerin yetkili makamlara (savcılık veya kolluk kuvvetlerine) bildirilmesi ve siber olay raporunun USOM’a iletilmesi sağlanır.

-Siber Olay Sonrası

Sektörde yer alan bir kurumda bir siber olay gerçekleştikten ve olaya müdahale edildikten sonra Sektörel SOME aşağıdaki görevleri icra eder:

  • Siber Olay Bildirim Formunun Kurumsal SOME tarafından doldurulmasını, USOM’a iletilmesi sağlanır.
  • Kurumsal SOME’nin yaşadığı siber olay tecrübesinden hareketle yapacağı düzenlemelere esas teşkil edebilecek bilgiler (türü, miktarı ve yaklaşık maliyeti) kayıt altına alınır.
  • Siber olaydan elde edilen, olayın önlenmesine yönelik bilgi ve tecrübeleri, rekabet şartları ve ticari sırlar gözetilerek, sektördeki diğer Kurumsal SOME’ler ile paylaşılır.

Sonuç olarak

Siber güvenliğin sağlanması amacıyla ulusal alanda yapılan işbu düzenlemeler uyarınca bu alana ilişkin üç kurumun (USOM, Kurumsal SOME ve Sektörel SOME) bulunduğu ve bu kurumların birbirleri ile koordineli çalıştığını söylemek mümkündür.

Ancak yazımızın girişinde belirtildiği üzere siber güvenlik alanında başarı sadece devletin bu alanda yapacağı düzenlemeler ile değil, kurumların da kendi içerisinde bu konuda yapacağı farkındalık ve yönetişim çalışmaları ile yönetebilir. Bu nedenle her kurumun bu konuyu yönetim seviyesine taşıyarak, en üst seviyeden başlamak suretiyle tüm şirket yapısına etki edecek bir eğitim, farkındalık ve yönetişim metodolojisi belirlemesi gerekmektedir.

Kaynakça

* Bu makale, Canpolat Hukuk Bürosu avukatlarından Av. Yaşar K. Canpolat ve Av. Gülsima Palaz tarafından yazılmış ve ilk olarak 23 Mart 2021 tarihinde kurumun Medium.com’daki sayfasında yayınlanmıştır