1. siber-guvenlik-bulteni-sayi-6

HAVELSAN
SİBER GÜVENLİK
OPERASYON MERKEZİ
Tüm Kurum ve Şirketlere 7/24 Siber Güvenlik
Yazı:
Siber Güvenlik İş Eko-sistemi
Buluştayı
Yazı:
Siber saldırılara karşı ne
yapmalısınız? 9 Adım
İnceleme:
2016–2019 Ulusal e-Devlet Stratejisi ve Eylem Planı:
Siber Güvenlik Bakış Açısı ile İlk Değerlendirmeler
HAVELSAN Aylık Siber Güvenlik Bülteni, Sayı 6, Ağustos 2016
HAVELSAN, Türk Silahlı Kuvvetlerini Güçlendirme Vakfı’nın bir kuruluşudur.
HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ
TAKDİM
Bu ayki bültenimizde, öncelikle ülkemizin tüm kurum ve kuruluşlarının yanında
özellikle ülke çapında hizmetleri itibariyle kritik olarak değerlendirilen kamu ve
özel sektör kuruluşlarının hayati bir ihtiyacına ilişkin HAVELSAN olarak ortaya
koyduğumuz bir çözümü ve hizmeti kısaca anlatmaya yer verdik.
Gittikçe çetrefilleşen siber tehdit ve riskler ile ve bültenlerimizde de gözler önüne
sermeye çalıştığımız gibi, hedeflerine genelde büyük boyutlarda zarar veren çok
çeşitli siber saldırılara kamuda ve özel sektörde çoğu kurum ve kuruluşumuz
hazırlıksız yakalanmaktadır. Kuruluşların kendi siber güvenliklerini sadece
kendi bünyelerinde bir teşkilat ve teçhizatla sağlamaya çalışmaları giderek
maliyet-etkin bir çözüm olmaktan uzaklaşmaktadır.
Bültenimizin bu sayısında kuruluşların bu ihtiyaçlarına çözüm getirecek
HAVELSAN Siber Savunma Teknolojileri Merkezi (SİSATEM) içinde yer alan
Siber Güvenlik Operasyon Merkezi faaliyetlerimiz ve kurumlara sağladığımız
7/24 siber güvenlik hizmeti hakkında temel bilgiler verilmektedir.
Önemli bir başka bölümümüz de her an siber saldırı ya da siber saldırı tehdidi
altında olan kurum ve kuruluşlarımızın bu tür saldırılar öncesinde, saldırı
sırasında ve sonrasında neler yapması gerektiği dokuz adımda anlatılmaktadır.
Bültenimizde ayrıca yakınlarda yayımlanan iki ulusal strateji ve eylem planı ile
ilgili iki yazımız bulunmaktadır.
Ulusal Siber Güvenlik Stratejisi ve Eylem Planı çerçevesinde özellikle kurumlar
arasında güvenli bilgi/veri paylaşımının temin edilmesi kapsamında T.C.
Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından yürütülen ve
HAVELSAN’ın da katılarak ve nihai hale getirilen ‘Bilgi Varlıklarının Gizlilik
Derecelerine Göre Sınıflandırılması’ kılavuzu çalışması hakkında özet bilgi
sunulmaktadır.
İkinci yazımızda ise Ulusal e-Devlet Stratejisi ve Eylem Planı’nın siber güvenlik
açısından genel bir ön değerlendirilmesi bulunmaktadır.
2
HAVELSAN
Bültenimizde yine HAVELSAN tarafından çalışmaları geniş bir kapsamda
yürütülen ve somut bir aşamaya gelen HAVELSAN Siber Güvenlik İş Ekosistemi çalışmamız ve 20 Eylül 2016 tarihinde planladığımız buluştay hakkında
bir yazımızı bulabilirsiniz. Bu bültende ele aldığımız gibi, Ulusal e-Devlet
Stratejisi ve Eylem Planı’nda, etkin e-Devlet eko-sistemi özellikle öne çıkarılmış
ve stratejinin odağına konulmuştur. Yine bu bültende bulabileceğiniz bir bilgi
çizimi istatistiği ile yetersiz yerli siber güvenlik sanayisini ayağa kaldırma
kapsamında HAVELSAN’ın öncülüğünde ortaya koyduğu siber güvenlik iş ekosistemi çalışmasının değeri ve önemidir.
Bu sayımızın da sektörümüze ve tüm siber güvenlikle ilgilenen kurum, kuruluş
ve bireylere yararlı olacağı düşüncesiyle saygılarımızı sunarız.
HAVELSAN
3
HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ
ÖNCEKİ SAYILAR
“Siber Cephanelik”
“EFES 2016
Temmuz 2016
Tatbikatında Siber
Sayı 5
Güvenlik”
Haziran 2016
Sayı 4
“HAVELSAN’dan
“Siber Savunmada
Bugünün Siber
Yepyeni Bir Merkez:
Güvenlik Uzmanına
SİSATEM”
Katkı”
Nisan 2016
Mayıs 2016
Sayı 2
Sayı 3
“Siber Güvenlik
Panorama 2015”
Mart 2016
Sayı 1
BİLGİ ÇİZİMLERİ
“Bir Güvenlik-Mahremiyet Hikâyesi” Mayıs 2016
“Siber Güvenlik İstatistikleri 2015” Mart 2016
4
HAVELSAN
İÇİNDEKİLER
TAKDİM .............................................................................................................................. 2
ÖNCEKİ SAYILAR ............................................................................................................ 4
BİLGİ ÇİZİMLERİ .......................................................................................................... 4
İÇİNDEKİLER ................................................................................................................... 5
Siber Güvenlik Operasyon Merkezi – Kurumlara 7/24 Siber Güvenlik ................. 6
Ne Yapmalısınız? .............................................................................................................. 8
Önemseyin! ....................................................................................................................... 8
İzleyin! .............................................................................................................................. 8
Kaydedin! ......................................................................................................................... 9
Güncelleyin!...................................................................................................................... 9
Yedekleyin! ....................................................................................................................... 9
Yenileyin! .........................................................................................................................10
Engelleyin!.......................................................................................................................10
Korunun! .........................................................................................................................10
Hazırlanın! ......................................................................................................................11
Yerli Siber Güvenlik İş Eko-sistemi ........................................................................... 12
2016–2019 Ulusal e-Devlet Stratejisi ve Eylem Planı: Siber Güvenlik Bakış Açısı
ile İlk Değerlendirmeler ............................................................................................... 15
BİLGİ ÇİZİMİ: Türkiye Siber Güvenlik Pazarı ve Siber Güvenlik Ürünlerinde
Yerli/Yabancı Uçurumu (2015 Tahmini) .................................................................... 19
KAYNAKÇA ...................................................................................................................... 20
5
HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ
Siber Güvenlik Operasyon
Merkezi – Kurumlara 7/24 Siber
Güvenlik
Pro-aktif anlamda tam bir siber güvenlik, olası siber saldırıların tespiti dâhil
gerçekleşmekte olan saldırıları zamanında tespit, ilgilileri uyarı, olayın
zamanında tatminkâr bir analizi ve değerlendirmesi ile gerekli önlemlerin
alınmasıdır. Bu ise, gerek teşkilat olarak profesyonel, konularında uzman
personel ile gerekli ileri teknoloji siber güvenlik donanım ve yazılımlarından
oluşan teçhizatı gerektirir. Bir bütün olarak bu imkân ve kabiliyetler ise ancak
bu konuda teknoloji üreten ve hizmet sunan yetkin firmalar tarafından
sağlanabilir.
Giderek karmaşıklaşan siber tehdit ve saldırılar karşısında bilişim sistemine
sahip kurum ve kuruluşların zamanında ve etkin önlemler alması gün geçtikçe
zorlaşmakta ve maliyet-etkin olmaktan da uzaklaşmaktadır.
6
HAVELSAN
Bu kapsamdaki bir sürecin kurumlar bünyesinde gerçekleştirilmeye çalışılması
durumunda maliyet-etkin ve kurum açısından güvenilir bir çözüm elde edilmesi
zor olacaktır; tersine, bağımsız, organizayon dışı bir kurum tarafından verilmesi
durumunda daha objektif bir yaklaşımla zafiyetlerin tespiti ve değerlendirilmesi
yapılıyor olacaktır.
HAVELSAN
Siber
Savunma
Teknolojileri
Merkezi
(SİSATEM)
içinde
oluşturulan Siber Güvenlik Operasyon Merkezi ile kurumlara ve şirketlere:
 Değişik hizmet
ve reaksiyon sürelerinde siber
saldırı
izleme
ve
uyarı(yapılacak sözleşme kapsamında),
 Siber saldırı analizi ve değerlendirme,
 Uzaktan ya da yerinde siber saldırıya müdahale hizmetleri verilmekte;
müşteri ihtiyaçları doğrultusunda bu hizmetin öncesinde mevcut bilişim
sisteminin:
 Sızma testi ve zafiyet denetimi,
 Gerekli güvenlik mimarisi ve tasarımı,
 Güvenlik sıkılaştırmaları ile
 Siber Olaylara Müdahale Ekibi (SOME) oluşturma danışmanlığı ve
 ISO/IEC 270001 Bilgi Güvenliği Yönetim Sistemi hizmetleri verilmektedir.
Yayımlanan 2016−2019 Ulusal Siber Güvenlik Stratejisi [1] içinde yer alan
“Kurumsal ve Sektörel SOME’lerin etkinliğinin arttırılmasına” yönelik olarak;
HAVELSAN SİSATEM Siber Güvenlik Operasyon Merkezi ve kurumsal destek
ekibi, gerek söz konusu SOME’lerin oluşturulmasında ihtiyaç duyulan teknik
destek ve danışmanlık hizmetlerini verecek; gerekse özel sektör kurumlarının
SOME ihtiyaçlarını bu kurum ve şirketlerin kurup işleterek karşılaması yerine,
HAVELSAN SİSATEM’den merkezi olarak bir hizmet şeklinde verecek
yetkinliktedir. Bu hizmetler, tamamıyla HAVELSAN kadrolu uzman siber
güvenlik personeli tarafından yerli ve güvenilir bir hizmet olarak sunulmaktadır.
7
HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ
Kurum ve kuruluşlarımız her an siber tehdit ya da saldırı karşısında
olabilir. O zaman
Ne Yapmalısınız?1
Bu saldırılardan bazılarının belirtileri tespit edilebilirken bazıları da son derece
gizli seyredebiliyor, hatta tespit edilebilmeleri ortalama bir yıla yakın zaman
alabiliyor. Küçük ya da büyük ölçekli tüm bu siber saldırılar için ortak olan
belirtiler ve bu belirtilere karşı alınması gereken temel önlemler aşağıda
listelenmiştir.
Önemseyin!
Kurumunuzda son dönemlerde münferit olarak görülebilecek ve
birbiri ile ilgili olmayan siber güvenlik olaylarında bir artış
varsa bu durumu önemseyin. Birbiri ile bağlantılı gibi
görünmeyen ve kritiklik seviyesi düşük siber olaylar,
organize bir siber saldırının ön hazırlık aşamasının
işaretleri olabilir.
İzleyin!
Kurumunuzda yer alan bilişim
sistemi
bileşenlerinin
zamanlardaki
normal
kullanım
ve
performans durumlarını izleyin.
Ağ trafiğindeki normal olmayan
bir artışın ya da hizmet veren
sunucu/istemci
beklenmedik
1 Hazırlayan:
8
Salih TALAY, HAVELSAN Siber Güvenlik Direktörlüğü
sistemlerindeki
bir
performans
HAVELSAN
değişiminin
sebebi
bir
siber
saldırı
ya
da
saldırı
hazırlığı
evresinde
gerçekleştirilen bilgi toplama faaliyeti olabilir.
Kaydedin!
Kurumunuz bilişim sistemlerini oluşturan ve
kayıt almak mümkün olan tüm bileşenlerin
kayıtlarını,
yazılımı
merkezi
üzerinde
bir
kayıt
yönetimi
kaydedin.
Eğer
yazılımınızın kayıt ilişkilendirme özelliği varsa,
sistemlerinizin çalışma rutininin dışına çıkan
tüm olay dizileri için ilişkilendirme kuralları
oluşturun
ve
sistemin
bu
siber
olayların
gerçekleşmesi
durumunda otomatik olarak ilgili personele uyarı mesajları iletmesini sağlayın.
Güncelleyin!
Siber saldırılar için saldırganların en
yaygın olarak kullandığı yöntemlerden
biri, yeni keşfedilmiş güvenlik açıklıkları
ile
henüz
güvenlik
güncellemesi
yapılmamış sistemleri hedef almaktır.
İşletim sistemi, uygulama, güvenlik
donanım ve yazılımı gibi ürünlerde üreticiler tarafından yayımlanmış olan en
güncel güvenlik yama ve güncellemelerine sahip olduğunuzu bir kez daha
kontrol edin.
Yedekleyin!
Kurumunuzun iş sürekliliği için kritik bilişim sistem
bileşenlerini yedekleyin. Tek nokta hatasına sebep
olabilecek tüm aktif ve pasif altyapı bileşenlerinin
yedekli olarak çalıştırılmasına, kritik verilerin düzenli ve
sağlıklı biçimde yedeklendiğine ve gerektiği zaman
yedeklerden
geri
dönülebildiğine
emin
olun.
9
HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ
İstenmeyen durumların yaşanmaması için, belirli periyodlarda yedekli çalışma
kontrol testleri ve veri yedeklerinden geri dönüş tatbikatları gerçekleştirin.
Yenileyin!
Normal zamanlarda düzenli zaman aralıklarıyla,
herhangi bir siber saldırı hazırlığı istihbaratı
alındığı
durumda
ise
ivedilikle
kurum
bilişim sistemleri ve altyapılarına yetkili
erişim
parolalarını
yenileyin.
Siber
saldırılara karşı mutlaka güçlü ve kolay
tahmin edilemeyecek parolalar belirleyin,
parolaları kriptolama teknikleri kullanan
parola yönetim araçlarında ve güvenli bir
biçimde muhafaza edin.
Engelleyin!
Saldırganlar, hedeflerine ulaşmak için her zaman en zayıf
bileşenleri hedef alacaktır. Kurumdan ayrılan kişilere
ait ya da yetki süresi dolan sistem erişim hesaplarının
bilişim
sistemlerinize
Güncellenemeyen,
erişimini
düzenli
olarak
engelleyin.
güvenlik
kontrollerinden geçirilmeyen ve bilhassa yönetilmeyen
sistemlerden kurtulun.
Korunun!
Hizmet dışı bırakma saldırıları, saldırı yönteminin basit
olması ve saldırganın kendini gizleyebilmesine imkân
vermesi açısından kurumların yaygın olarak maruz
kaldığı bir saldırı türüdür. Kurumunuz ve/veya hizmet
sağlayıcınız bünyesinde sahip olduğunuz bir hizmet dışı
bırakma
10
saldırılarına
karşı
korunma
teknolojiniz
HAVELSAN
varsa, özellikle siber saldırı istihbaratı alınan zaman dilimlerinde sistemleri
izleme kipinden sürekli koruma kipine getirin/getirilmesini sağlayın. Bu sayede,
bilgi sistem altyapılarınıza karşı gerçekleştirilebilecek bir hizmet dışı bırakma
saldırısında sadece haberdar olma ya da gecikmeli olarak koruma sağlama yerine
bu tip saldırılardan sürekli olarak korunun.
Hazırlanın!
Siber olay öncesi, olay anı ve olay sonrası ilgili
kurum personelinin görev ve sorumluluklarını,
bir siber olay durumunda acil durum iletişim
planlarını hazırlayın. USOM, Sektörel SOME ve
güvenilir siber güvenlik bilgi kaynaklarından
gelen bilgilendirme ve tedbir önerilerini dikkate
alarak yıkıcı bir siber saldırıya uğramadan önce
bu tip saldırılara hazırlanın.
11
HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ
Yerli Siber Güvenlik İş Eko-sistemi2
HAVELSAN olarak, yurt içinde ve yurt dışında markalaşmış bir milli teknolojiye
sahip olmanın avantajını ve gururunu yaşamanın, sektör dinamiklerinin
birbirleri ile güçlü bir iş eko-sistemi kurmasına ve uzman birikimlerin ve nitelikli
kaynakların birbirlerini desteklemesine dayalı olduğuna inanıyoruz.
HAVELSAN Siber Güvenlik Direktörlüğü tarafından gerçekleştirilen siber
güvenlik
iş
eko-sistemi
çalışmalarımızın
öncelikleri
arasında
kurumlar
arasındaki bağların ve işbirliğinin artırılması yatmaktadır. Bu işbirliği ile
amaçlanan eko-sistemin güçlendirilmesi ve böylelikle fikirlerin daha kısa
zamanda
gerçekleştirilmesi,
teknoloji
şirketlerinin
daha
çok
istihdam
sağlamasını destekleyerek büyümesi ve sonuç olarak küresel pazarlarda rekabet
edilebilirliğin artırılması hedeflenmiştir.
HAVELSAN olarak yenilikçi fikirleri destekleyip ülkemizin dünya
pazarlarındaki
başarısını
artırmanın
yanı
sıra
kendi
performansımızı da artırmak için içeriye dönük bu faaliyetlere önem
vermekteyiz. Özellikle fikirlerin pazara girişinde ve ürün haline
dönüşmesinde küçük ve orta ölçekli şirketlerin kritik hayatta kalma
sürelerinin gittikçe kısaldığı günümüzde harcanan bu emeklerin
ülkemiz için değer taşıdığını düşünmekteyiz.
HAVELSAN olarak 23 Mart 2016 tarihinde resmi açılışını gerçekleştirdiğimiz
Siber Savunma Teknolojileri Merkezi (SİSATEM) aslında bir ‘Mükemmeliyet
Merkezi’ olarak görev yapmaktadır. Burada yenilikçi fikirleri ve girişimciliği
desteklemek adına gerçekleştirdiğimiz iş eko-sistemi çalışmaları başta olmak
üzere verdiğimiz hizmetler ile bu yapıyı bir cazibe merkezi haline getirmeyi
hedefledik. Özellikle merkez içinde yer alan laboratuvarların siber güvenlik
ürünlerinin test edilebildiği bir ortam sağlaması açısından da eko-sistemde yer
alan paydaşlarla işbirlikleri geliştirilmesinde de katkı sağladığını görmekteyiz.
2
Hazırlayan: Umut Barış ERDOĞAN, HAVELSAN Siber Güvenlik Direktörlüğü
12
HAVELSAN
İş eko-sistem çalışmaları ile özellikle HAVELSAN olarak bu alanda yaşanan
iletişim sorunun aşılması konusunda özenli bir çalışma gerçekleştirdiğimize
inanmaktayız. Bu süreçte üniversitelerimizle temasa geçerek Teknokentler ile
bugüne kadar görülmemiş işbirlikleri oluşturduk. Bu işbirliklerinin kurumsal
olarak sürekliliğinin sağlanması ve sürdürülebilir olması için ise çalışmalarımıza
ayrıca devam etmekteyiz. HAVELSAN bünyesinde yer alan ve iş eko-sistem
çalışmalarının kurumsal olarak takip edildiği İş Ortakları ve Tedarikçi Yönetimi
Liderliği diğer alanlarda da bahse konu çalışmaları desteklemekteyiz.
Yukarıda anılan hassasiyetler çerçevesinde pazarda yer alan ve yenilikçi fikir ve
ürünleriyle gerek HAVELSAN, gerekse ülkemizi daha ileri noktalara
taşıyabilecek paydaşlarımızla Siber Güvenlik İş Eko-sistem Buluştayı’nda
görüşmek üzere 20 Eylül 2016 tarihinde sizleri Bilkent Otel’de bekliyoruz.
13
HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ
Ulusal Bilgi Varlıklarının Gizlilik Derecelerine Göre
Sınıflandırılması Kılavuzu Çalışması Tamamlandı
İster manuel ve kâğıt ortamında, isterse otomatik olarak elektronik ortamda
olsun, kullanılan ve saklanan bilgilerin taşıdığı önem, hassasiyet, mahremiyet ve
kurum ya da Devlet çapında ifşa edildiğinde oluşturacağı olumsuz etkiler göz
önüne alındığında yapılması gereken tasnifin derecelerine gizlilik derecesi
denilmektedir.
1960’lı yıllardan günümüze kadar geçen süreçte önceleri kamuda yazılı olarak
mevzuata girmiş olan gizlilik derecelerinin belirlenmesi ve tasnifi konusu,
zaman içinde bilgilerin çoğunlukla elektronik ortama aktarılması ve elektronik
ortamın mevcut tehlikeleri karşısında alınacak tedbirler bakımından daha da
önem kazanmıştır.
Bu tasnifin bugün yüksek bir doğrulukla yapılabilmesi, elektronik/siber ortamda
dolaşan bilgilerin uygun teknolojik tedbirlerle korunabilmesi için gerekli
girdilerin sağlıklı olarak bilinmesi anlamına gelmektedir.
İster kamuda
mevzuatı gereği Çok Gizli, Gizli, Özel, Hizmete Özel gibi verilen gizlilik
dereceleri olsun, isterse özel sektörde kullanılan Ticari Gizli, Kurum Özel gibi
gizlilik dereceleri olsun, yeterince doğru yapılan tanımlama ve tasnif, bilginin
uygun şekilde korunması için alınacak teknolojik tedbirlerde isabet derecesini
artıracaktır.
Ülkemizde bu konuda kılavuzluk etmek adına 2016–2019 Ulusal Siber Güvenlik
Stratejisi ve Eylem Planı [1] kapsamında, bilgi varlıklarının gizlilik derecelerine
göre sınıflandırılması ile ilgili kıstasların çıkartılması temel çalışması, T.C.
Ulaştırma Denizcilik ve Haberleşme Bakanlığı (UDHB) yönetiminde yürütülmüş
ve başarı ile tamamlanmıştır. Mart 2016 ayında başlatılan belirli bu çalışmaya,
UDHB dışında HAVELSAN, Başbakanlık Elektronik Kamu Bilgi Yönetim
Sistemi (KAYSİS), Türk Standartları Enstitüsü (TSE)
ve TÜBİTAK iştirak
etmiş, Temmuz 2016’da kılavuz yayımlanmak üzere nihai hale getirilmiştir.
14
HAVELSAN
2016–2019 Ulusal e-Devlet Stratejisi ve Eylem Planı:
Siber Güvenlik Bakış Açısı ile İlk Değerlendirmeler3
T.C Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından geçtiğimiz
günlerde yayımlanan ve ülkemizde e-Devlet alanındaki yeni yol haritasını
belirleyen 2016–2019 Ulusal e-Devlet Stratejisi ve Eylem Planı oldukça kapsamlı
bir bakış açısı sunmaktadır [2].
Bültenimizin bu sayısında bu değerli çalışmanın siber güvenlik bakış açısı ile
sıcağı sıcağına kısa bir değerlendirmesini ele almak istedik.
Şekil 1 2016–2019 Ulusal e-Devlet Stratejisi ve Eylem Planı Amaç ve Amaçlara Yönelik Hedefler
3
Hazırlayan: Gürol Canbek, HAVELSAN Siber Güvenlik Direktörlüğü
15
HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ
"ETKİN" e-Devlet ile toplumun yaşam kalitesini artırmak ufku ile oluşturulan
2016-2019 Ulusal e-Devlet Stratejisi ve Eylem Planı Stratejisi haritasında
stratejinin odağına "ETKİN" e-Devlet eko-sistemi konulmuştur.
Entegre-Teknolojik-Katılımcı-İnovatif-Nitelikli başlıkları ile kodlanan "ETKİN"
yaklaşımında,
"Nitelikli"
başlığının
en
önemli
kıstası
ise
güvenirlilik,
kullanabilirlik ve bütünlük ile ifade edilen bilgi güvenliği gereksinimleridir.
e-Devlet Strateji ve Eylem Planında, kamu politikalarına en üst seviyede yön
veren Onuncu Kalkınma Planı (2014-2018) belgesinde hedeflenen e-Devlet yapısı
tanımında, kişisel bilgi mahremiyeti ve bilgi güvenliğinin sağlandığı bütünleşik
ve güvenilir vurguları yapılan bir şekilde sunulan hizmetlere yönelik bir e-Devlet
yapısının oluşturulması temel amaç olarak ifade edildiği aktarılmaktadır [3].
Keza, Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum
Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında
Gerçekleştirilen Denetim Çalışmaları" konulu 2013/3 sayılı Devlet Denetleme
Kurulu Raporu'nda [4] kamudaki bilgi sistemlerinin bir e-Devlet mimarisi genel
çerçevesinde şekillendirilmemesi nedeniyle güvenlik riskleri başta olmak üzere
pek çok sorunlar, sakıncalar ve maliyetler getirdiği tespiti yapılmaktadır.
2016-2019 Ulusal e-Devlet Stratejisi ve Eylem Planı, diğer strateji ve eylem
planları yanında Ulusal Siber Güvenlik Stratejisi ve Eylem Planı [1] dikkate
alınarak hazırlanmıştır. Yine e-Devlet olgunluk modellerinde ele alınan
gereksinimler arasında açık veri paylaşımı, şeffaflık ve hesap verebilirliğin
artırılması gibi konularla birlikte siber güvenlik eğilimleri bulunmaktadır.
Eylem Planı’nda geçen ve siber güvenlik ile ilgili hususlar amaçlar ve hedefler
şeklinde aşağıda kısaca belirtilmektedir.
16
HAVELSAN
1. AMAÇ: e-Devlet Eko-sisteminin Etkinliğinin ve Sürdürebilirliğinin
Sağlanması
1.1. Hedef: Üst Koordinasyon Yapısı
 İlişkili Eylemler:
o Destekleyen türde 2015-2018 Bilgi Toplumu Stratejisi ve Eylem
Planı [5] kapsamında 37 No'lu Eylem: "Siber Güvenlik Kanunun
Çıkarılması"
o Destekleyen türde 2006-2010 Bilgi Toplumu Stratejisi ve Eylem
Planı [5] kapsamında 70 No'lu Eylem: Kamu Güvenli Ağı
o Destekleyen türde 2016-2018 Ulusal Siber Güvenlik Stratejisi ve
Eylem Planı [1] kapsamında "Siber güvenlik eko-sisteminin
geliştirilmesi"
1.2. Hedef: Kurumsal Dönüşüm
 e-Devlet projelerinde oluşabilecek iş sürekliliği ve sistem güvenliği
risklerinin (firma bağımlılığı, kişi bağımlı sistemleri, siber güvenlik vb.)
risklerin giderilmesi için kurum ve kuruluşlarının yetkinliklerinin
artırılması ve ortak yapılarda yazılım geliştirme yaklaşımlarının
hayata geçirilmesi
 İlişkili Eylemler:
o Destekleyen türde 2016-2018 Ulusal Siber Güvenlik Stratejisi ve
Eylem Planı [1] kapsamında "Farkındalık ve insan kaynağı
geliştirme"
1.3. Hedef: Yenilikçi Yaklaşımlar
2. AMAÇ: Altyapı ve İdari Hizmetlere Yönelik Ortak Sistemlerin Hayata
Geçirilmesi
 Kamu kurum ve kuruluşlarında müstakil olarak işletilmekte olan
altyapıların idari ihtiyaçlar, tasarruf yanında siber güvenlik
gereksinimleri doğrultusunda merkezi olarak yönetilmesi. Ortak
altyapıların kamuda yedekleme, felaket kurtarma merkezi, siber
güvenlik, iş sürekliliği ihtiyaçlarının karşılamasına destek olması
gereklidir.
2.1. Hedef: Ortak BT Altyapıları
 Siber güvenlik gereksinimleri doğrultusunda müstakil işletilen veri
merkezlerinin kademeli olarak birleştirilmesi gereklidir.
 İlişkili Eylemler:
o Destekleyen türde 2006-2010 Bilgi Toplumu Stratejisi ve Eylem
Planı [6] kapsamında 70 No'lu Eylem: Kamu Güvenli Ağı
2.2. Hedef: e-Hizmet Altyapısı
 Destekleyen türde 2015-2019 İçişleri Bakanlığı Stratejik Planı [7]
kapsamında Bakanlık iş ve işlem süreçlerinin elektronik ortamda etkin
ve güvenli bir şekilde yürütülmesini yaygınlaştırmak
2.3. Hedef: İdari Hizmet Altyapısı
3. AMAÇ: Kamu Hizmetlerinde e-Dönüşümün Sağlanması
3.1. Hedef: Kurumsal Bilgi
17
HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ
3.2. Hedef: Sektörel Entegrasyon
 İlişkili Eylemler:
o Destekleyen türde 2013-2017 Sağlık Bakanlığı Stratejik Planı [8]
kapsamında İlaçların, biyolojik ürünlerin ve tıbbi cihazların
kullanabilirliğini, güvenliğini, etkinliğini ve akılcı kullanımını
sağlamak ve kozmetik ürünlerde güvenliği tesis etmek
3.3. e-Hizmet Olgunluğu
3.4. Hedef: Hizmet Sunum Kanalları
4. AMAÇ: Kullanım, Katılım ve Şeffaflığın Artırılması
4.1. Hedef: Yaygın Kullanım
 Bilgi güvenliği ve kişisel verilerin korunması konularında gerekli
çalışmalar gerçekleştirilerek kullanıcıların güveninin artırılması
4.2. Hedef: Açık Veri
 e-Devlet ekosisteminde üretilen veriler açık veri olarak kullanılırken
kişisel verilerin gizliliğine, ulusal güvenliğe ve ticari sırlara dikkat
edilerek paylaşılmış ve anonimleştirilmiş olması
4.3. Hedef: e-Katılım
Yukarıdaki incelemeden de görüleceğe üzere, hazırlanan Ulusal e-Devlet
Stratejisi ve Eylem Planı’nda siber güvenliğin diğer strateji ve eylem planları ile
bağları belirterek ortaya konulması önemli bir yaklaşımdır. Ancak, "Siber
güvenlik eko-sisteminin geliştirilmesi" ve "Farkındalık ve insan kaynağı
geliştirme" gibi 2016-2018 Ulusal Siber Güvenlik Stratejisi ve Eylem Planına [1]
doğrudan atıflar dışında e-Devlet stratejisi ve eylem planı içinde başka diğer
ilişkili konuların da var olduğunu göz ardı etmemek gerekir.
Sonuç olarak, e-Devlet ve diğer alanlarda oluşturulan ve yürütülen stratejisi ve
eylem planlarının siber güvenlik ile sıkı bir uy um ile ortaya konulması ve
değerlendirilmesinin faydalı olacağı değerlendirilmektedir.
18
HAVELSAN
BİLGİ ÇİZİMİ:
Türkiye Siber Güvenlik Pazarı ve Siber Güvenlik
Ürünlerinde Yerli/Yabancı Uçurumu (2015 Tahmini)
Kaynak: Bilgi Güvenliği Derneği Türkiye Siber Güvenlik Sektörü Araştırması
Kavramsal Tasarım ve Çizim: Gürol Canbek
Bu durum, HAVELSAN’ın yerli siber güvenlik kapsamında sektörde iş ekosistemi yaklaşımıyla geliştirmekte olduğu ürünlerin 2016 yılı sonu itibariyle
rafta hazır ürün durumuna gelmesiyle kısa zamanda hızlı bir şekilde Türkiye
lehine değişecektir.
19
HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ
KAYNAKÇA
1 2016−2019 Ulusal Siber Güvenlik Stratejisi, T.C. Ulaştırma, Denizcilik ve Haberleşme
Bakanlığı, Nisan 2016, http://www.udhb.gov.tr/doc/siberg/2016-2019guvenlik.pdf
2 2016–2019 Ulusal e-Devlet Stratejisi ve Eylem Planı, T.C. Ulaştırma, Denizcilik ve Haberleşme
Bakanlığı, 19 Temmuz 2016, http://www.edevlet.gov.tr/wp-content/uploads/2016/07/2016-2019Ulusal-e-Devlet-Stratejisi-ve-Eylem-Plani.pdf
3 2014–2018 Onuncu Kalkınma Planı, T.C. Kalkına Bakanlığı, 2 Temmuz 2013,
http://www.kalkinma.gov.tr/Lists/Kalknma%20Planlar/Attachments/12/Onuncu%20Kalk%C4%B1
nma%20Plan%C4%B1.pdf
4 Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi
Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları
Denetleme Raporu, T.C. Cumhurbaşkanlığı Devlet Denetleme Kurulu, 27 Kasım 2013,
https://www.tccb.gov.tr/assets/dosya/ddk56.pdf
5 2015–2018 Bilgi Toplumu Stratejisi ve Eylem Planı, Yayın No: 2939, T.C. Kalkınma Bakanlığı,
24 Şubat 2015,
http://www.bilgitoplumustratejisi.org/download/docfile/8a9481984680deca014bea4232490005
6 2006–2010 Bilgi Toplumu Stratejisi, T.C. Başbakanlık, Devlet Planlama Teşkilatı, Yayın No:
DPT: 2699, 11 Temmuz 2006,
http://www.bilgitoplumustratejisi.org/download/docfile/8a3247663bd29634013bdda63fde0000
7 2015–2019 İçişleri Bakanlığı Stratejik Planı, T.C. İçişleri Bakanlığı, 13 Ekim 2014,
https://www.icisleri.gov.tr/kurumlar/icisleri.gov.tr/str_plan/stratejikplan2015_2019.pdf
8 2013–2017 Sağlık Bakanlığı Stratejik Planı, T.C. Sağlık Bakanlığı, Aralık 2012,
https://sgb.saglik.gov.tr/content/files/stratejikplan20132017/index.html
20
HAVELSAN A.Ş.
Mustafa Kemal Mah. 2120. Cad. No:39
06510, Çankaya, Ankara, Türkiye
Web: http://www.havelsan.com.tr Tel: +90
(312) 219 57 87 E-posta: [email protected]
Tüm hakları saklıdır. İzinsiz ve kaynak gösterilmeden kullanılamaz.
HAVELSAN, Türk Silahlı Kuvvetlerini
Güçlendirme
bir kuruluşudur.
Telif Hakkı
© 2016Vakfı’nın
HAVELSAN