Cumhurbaşkanı Erdoğan’ın imzasıyla Resmi Gazete’de yayımlanan genelgede, bilginin dijital ortamlara taşınması, bilgiye erişimin kolaylaşması, altyapıların dijital hale gelmesi ve bilgi idare sistemlerinin yaygın olarak kullanılmasının önemli güvenlik risklerini beraberinde getirdiği belirtildi.
Bu kapsamda karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve bilhassa saklılığı, bütünlüğü yahut erişilebilirliği bozulduğunda ulusal güvenliği tehdit edebilecek yahut kamu nizamının bozulmasına yol açabilecek kritik cinsteki dataların güvenliğinin sağlanması maksadıyla alınacak önlemler belirlendi.
Genelgeye nazaran, 21 unsurdan oluşan önlemler şöyle:
“Nüfus, sıhhat ve bağlantı kayıt bilgileri ile genetik ve biyometrik bilgiler üzere kritik bilgi ve bilgiler, yurt içinde inançlı bir halde depolanacak. Kamu kurum ve kuruluşlarında yer alan kritik datalar, internete kapalı ve fizikî güvenliği sağlanmış bir ortamda bulunan inançlı bir ağda tutulacak. Bu ağda kullanılacak aygıtlara erişim denetimli olarak sağlanacak ve log kayıtları değiştirilmeye karşı tedbir alınarak saklanacak.
Kamu dataları bulutta saklanmayacak
Kamu kurum ve kuruluşlarına ilişkin datalar, kurumların kendi özel sistemleri yahut kurum denetimindeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacak. Mevzuatta kodlu yahut kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli taşınabilir uygulamalar hariç olmak üzere, taşınabilir uygulamalar ve toplumsal medya üzerinden zımnilik dereceli bilgi paylaşımı ve haberleşme yapılmayacak. Toplumsal medya ve haberleşme uygulamalarına ilişkin yerli uygulamaların kullanımı tercih edilecek.
Kamu kurum ve kuruluşlarınca zımnilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) yahut gibisi güvenlik tedbirleri alınacak. Kritik bilgi, doküman ve evrakların bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında, ortamlarında taşınabilir aygıtlar ve bilgi transferi özelliğine sahip aygıtlar bulundurulmayacak. Kapalılık dereceli yahut kurumsal mahremiyet içeren bilgi, doküman ve dokümanlar kurumsal olarak yetkilendirilmemiş yahut şahsî olarak kullanılan dizüstü bilgisayar, taşınabilir aygıt, harici bellek ve gibisi aygıtlar da bulundurulmayacak.
Yerli ve ulusal kripto sistemleri teşvik edilecek
Kişisel olarak kullanılanlar da dahil olmak üzere kaynağından emin olunmayan dizüstü bilgisayar, taşınabilir aygıtlar, harici bellek/disk, CD/DVD ve gibisi taşınabilir aygıtların, kurum sistemlerine bağlanmayacağının da belirtildiği genelgeye nazaran, zımnilik dereceli dataların saklandığı aygıtlar lakin içerisinde yer alan datalar donanımsal yahut yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek. Bu maksatla kullanılan aygıtlar da kayıt altına alınacak. Ayrıyeten, yerli ve ulusal kripto sistemlerinin geliştirilmesi teşvik edilerek kurumlara ilişkin zımnilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacak.
Kamu kurum ve kuruluşlarınca temin edilecek yazılım yahut donanımların kullanım hedefine uygun olmayan bir özellik ve art kapı (kullanıcıların bilgisi, müsaadesi olmaksızın sistemlere erişim imkanı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici yahut tedarikçilerden imkanlar ölçüsünde taahhütname alınacak. Yazılımların inançlı olarak geliştirilmesi ile ilgili önlemler alınacak. Temin edilen yahut geliştirilen yazılımlar kullanılmadan evvel güvenlik testlerinden geçirilerek kullanılacak. Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli önlemleri alacak. Üst seviye yöneticiler de dahil olmak üzere, çalışanın sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve gereksinimler nazara alınarak yapılması sağlanacak.
Güvenli olacak biçimde yapılandırılacak
Endüstriyel denetim sistemlerinin internete kapalı pozisyonda tutulması sağlanacak. Bu sistemlerin internete açık olmasının zarurî olduğu durumlarda ise güvenlik duvarı, uçtan uca tünelleme teknikleri, yetkilendirme ve kimliklendirme düzenekleri üzere gerekli güvenlik tedbirleri alınacak.
Milli güvenliği direkt etkileyen stratejik ehemmiyeti haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde misyon alacak kritik değeri haiz işçi hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması yahut arşiv araştırması yaptırılacak.
Kamu e-posta sistemlerinin ayarları inançlı olacak biçimde yapılandırılacak, e-posta sunucuları, Türkiye’de ve kurumun denetiminde bulundurulacak. Sunucular ortasındaki irtibatın ise şifreli olarak yapılması sağlanacak. Kurumsal olmayan şahsi e-posta adreslerinden kurumsal bağlantı yapılmayacak, kurumsal e-postalar, özel irtibat, ferdî toplumsal medya hesapları ve gibisi şahsi gayelerle kullanılmayacak. Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler, Türkiye’de internet değişim noktası kurmakla yükümlü olacak. Yurt içinde değiştirilmesi gereken yurt içi irtibat trafiğinin yurt dışına çıkarılmamasına yönelik de önlemler alınacak.
İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki datalar ise radyolink ve gibisi yollarla taşınmayacak, fiber optik kablolar üzerinden taşınacak. Kritik bilgi bağlantısında, radyolink haberleşmesi kullanılmayacak lakin kullanımın zarurî olduğu durumlarda ise bilgiler ulusal kripto sistemlerine sahip aygıtlar kullanılarak kriptolanacak.
“Bilgi ve İrtibat Güvenliği Rehberi” hazırlanacak
Öte yandan, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı uyumunda, ilgili kamu kurum ve kuruluşlarının katkılarıyla güvenlik risklerinin azaltılması, etkisiz kılınması ve bilhassa saklılığı, bütünlüğü yahut erişilebilirliği bozulduğunda ulusal güvenliği tehdit edebilecek yahut kamu tertibinin bozulmasına yol açabilecek kritik tıptaki dataların güvenliğinin sağlanması gayesiyle, “Bilgi ve İrtibat Güvenliği Rehberi” hazırlanacak.
Ulusal ve milletlerarası standartlar ve bilgi güvenliği kriterleri çerçevesinde hazırlanacak rehber, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik düzeylerini içerecek. “www.cbddo.gov.tr” adresinde yayımlanacak rehber, muhtaçlıklar, gelişen teknoloji, değişen kaideler ile Ulusal Siber Güvenlik Stratejisi ve aksiyon planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecek.
Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerin de yeni kurulacak bilgi sistemlerinde, rehberde yer verilen metot ve asıllara uyulması zarurî olacak. Mevcut bilgi teknolojisi altyapıları, güvenlik düzeyi öncelikleri dikkate alınarak, yayımlanmasını müteakip rehberde yer alacak plan çerçevesinde, kademeli olarak bu temellere uyumlu hale getirilecek. Ahenk çalışmalarında ve yeni kurulacak bilgi sistemlerinde, belirtilen adreste yayımlanan yeni sürüm dikkate alınacak.
Milli güvenliğin sağlanması ve saklılığın korunması kapsamında yürütülen misyon ve faaliyetler hariç olmak üzere kurum ve kuruluşlar, rehberin uygulanmasına ait kontrol düzeneklerini oluşturacak ve yılda en az bir kere uygulamayı denetleyecek. Kontrol sonuçları ile yapılan düzeltici ve önleyici faaliyetler, rehberde belirtilen yöntem ve asıllara nazaran bir rapor halinde Dijital Dönüşüm Ofisine iletilecek.