More than Just Lines on a Map: Best Practices for U.S Bike Routes
Siber Savunma: Ülkeler ve Stratejiler - Mehmet MERAL
1. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY &
BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE
KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION
Siber Savunma:
Ülkeler ve Stratejiler
Mehmet MERAL
Özet-1980’lerde bilgisayarlarÕn birbirleriyle iletiúim II. TANIMLAR: SøBER MEKAN, SøBER TERÖRøZM,
kurmasÕyla baúlayan siber mekan kavramÕ muazzam bir geliúme SøBER SAVUNMA
kaydetmiútir. ønternet yakÕn zamana kadar bireyler ve iú
çevreleri tarafÕndan önem verilen ancak ulusal güvenlik veçhesi Siber mekan: Network sistemleri ve ilgili fiziksel alt
olmayan bir olgu olmakla birlikte, son zamanlarda milyarlarca
internet kullanÕcÕsÕ tarafÕndan oluúturulan bu siber mekan
yapÕyla bilgi depolamak, de÷iútirmek için kullanÕlan
güvenlik açÕsÕndan etkin bir úekilde kontrol edilememektedir. Bu elektronik ve elektroma÷netik ortamdÕr.
nedenle siber-savunma, siber-güvenlik, siber-saldÕrÕlar gibi Siber terörizm: Bilgisayarlara ve içlerinde depolanan
kavramlar ulusal güvenlik bakÕmÕndan önem arzetmeye bilgilere karúÕ siyasi, sosyal veya ekonomik amaçlarla
baúlamÕútÕr. Bu çalÕúmada önde gelen ülkelerin siber savunma giriúilen kanunsuz saldÕrÕlar veya saldÕrÕ tehditlerdir.
alanÕnda yaptÕ÷Õ çalÕúmalar ve siber saldÕrÕlara karúÕ
uyguladÕklarÕ stratejiler tanÕtÕlmÕútÕr. Siber savunma: Siber mekanÕ siber saldÕrÕlara ve siber
terörizme karúÕ korumak için uygulanan güvenilk
Anahtar kelimeler- Siber savunma, siber güvenlik, siber yöntemleridir.
saldÕrÕ, strateji
III. DÜNYA ÜLKELERø VE SøBER SAVUNMA
I. GøRøù
STRATEJøLERø
Siber biliúim yapÕlarÕnÕn bankacÕlÕk, ulaúÕm, iletiúim gibi
A. NATO
temel alanlardaki a÷ÕrlÕ÷Õ, bu yapÕlarÕn ve bu yapÕlarda
saklanan bilgilerin güvenlik boyutunu konunun ayrÕlmaz bir
NATO, 21. yüzyÕlda dönüúüm sürecinde güvenli÷e iliúkin
parçasÕ hailne getirmiútir. Küreselleúme ve bilgi
hususlara büyük önem vermektedir. Enerji güvenli÷i ve
teknolojilerinin yayÕlmasÕyla birlikte özellikle düúük maliyetli
siber güvenlik gibi yeni küresel tehditlere karúÕ NATO
olmasÕ, çok sayÕda insan üzerine etki edebilmesi gibi
üyeler ba÷lamÕnda savunma stratejileri geliútirmektedir.
nedenlerle siber saldÕrÕlarÕn aynÕ zamanda teröristlerce artan
2005 yÕlÕnda Estonya ve Rusya arasÕnda yaúanan
bir úekilde tercih edildi÷i görülmektedir. Uzmanlar siber-
gerginlikten sonra ise NATO Estonya’da Siber Savunma
güvenlik konusunda "uluslararasÕ iúbirli÷i, ulusal bilinçlenme
Mükemmelliyet Merkezi kurmuú, faaliyetlerini bu
ve bireysel bilinçlenmenin" elzem oldu÷unu ifade
organizasyon çerçevesinde yürütmektedir. 2007 yÕlÕnda
etmektedirler. NATO gibi uluslararasÕ kuruluúlar siber-
hazÕrlanmaya baúlayan Siber Savunma SiyasasÕ ise taslak
güvenli÷e iliúkin ulusal sorumluluklara büyük önem
halinde olup henüz üzerinde mutabakat sa÷lanmamÕútÕr.
vermektedir. Bu büyük tehiditlerin farkÕnda olan geliúmiú
ülkeler ise ulusal anlamda yaptÕklarÕ örgütlenmelerle siber
B. ABD
savunmaya yönelik yasal düzelemeler, strateji belgeleri ve
eylem planlarÕ hazÕrlayarak olasÕ bir siber saldÕrÕ, siber savaú
ABD'nin siber savunma alanÕndaki faaliyetlerine iliúkin
durumuna karúÕ hazÕrlÕklÕ olmak için ulusal önlemler ve
temel belgeyi ùubat 2003 tarihli "The National Strategy to
uluslararasÕ iúbirli÷i temelinde önemli adÕmlar atmÕúlardÕr.
Secure Cyberspace" oluúturmaktadÕr. Federal Yönetim,
yerel makamlar ile özel sektörü içermesi nedeniyle ulusal
Bu çalÕúmanÕn ikinci bölümünde konuyla ilgili tanÕmlar
nitelikte ve geniú kapsamlÕ olan anÕlan belgede, kendi görev
verilmiú, üçüncü bölümünde gelimiú ülkelerde siber savunma
alanlarÕ itibarÕyla öncü rol üstlenecek devlet kurumlarÕ da
ba÷lanÕmda yaplan çalÕúmalar tanÕtÕlmÕú, dördüncü bölümünde
belirtilmektedir. Bu çerçevede, örne÷in bankacÕlÕk sektörü
ise genel bir de÷erledirme sunulmuútur.
için Hazine BakanlÕ÷Õ, elektrik ve gaz úebekeleri için de
Enerji BakanlÕ÷Õ esas makam olarak gösterilmektedir.
Bahsekonu strateji belgesinin, "National Strategy for
Homeland Security" belgesinin uygulama boyutunu
oluúturdu÷u ve "National Strategy for the Physical
MEHMET MERAL, DÕúiúleri BakanlÕ÷Õ 06100 Balgat Ankara (e-mail: Protection of Critical Infrastructures and Key Assets"
mehmet.meral@mfa.gov.tr) belgesini tamamlayÕcÕ nitelikte oldu÷u belirtilmektedir.
Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE
Proceedings 257
2. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY &
BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE
KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION
Gerek anÕlan belge gerek 17 AralÕk 2003 tarihli øç - Bilim, Teknoloji ve Yenilik BakanlÕ÷Õ’na ba÷lÕ
Güvenli÷e iliúkin BaúkanlÕk Direktifi uyarÕnca, øç Güvenlik Danimarka Ulusal Bilgi Teknolojileri ve Telekomünikasyon
BakanlÕ÷Õna (Department of Homeland Security) siber Kurumu (ITST) ve
savunma konusuda önemli sorumluluklar verildi÷i - Ba÷ÕmsÕz idari otorite statüsünde bulunan ve teknoloji
anlaúÕlmaktadÕr. ile ilgili konularda, parlamento ile kamu kurumlarÕnÕ
bilgilendirmekle görevli Danimarka Teknoloji Kurulu
C. ALMANYA arasÕnda paylaútÕrÕlmÕú durumdadÕr.
Danimarka Teknoloji Kurulu himayesinde “IT- security
Almanya'nÕn elektronik ortamda gerçekleútirilebilecek Beyond Borders” adÕyla kurulan bir çalÕúma grubunca
saldÕrÕlara karúÕ almakta oldu÷u önlemler Federal øçiúleri 2007’de sÕnÕrÕ aúan bilgi teknolojileri güvenli÷i meselelerine
BakanlÕ÷Õ tarafÕndan hazÕrlanan "Enformasyon AltyapÕ dair bir rapor yayÕmlanmÕútÕr. Raporda, bu alanda
SavunmasÕ øçin Ulusal Plan" baúlÕklÕ belgede tanÕmlanmÕútÕr. uluslararasÕ yardÕmlaúmanÕn önemine ve somut adÕmlar
Alman makamlarÕ, elektronik saldÕrÕlarÕn baúlÕca hedefini atÕlmasÕ gerekti÷ine özel vurgu yapÕldÕ÷Õ anlaúÕlmaktadÕr.
büyük úirketler, bankalar veya kamu kuruluúlarÕ olarak Danimarka østihbarat Servisi konuya dair kamu kurum ve
tanÕmlamÕúlardÕr. Ulusal Plan'Õn uygulanmasÕnÕn kuruluúlarÕna rehberlik ve yardÕm hizmetlerinde
koordinasyonu, "Enformasyon Güvenli÷inden Sorumlu bulunmakta, yine korunmasÕnda kamu yararÕ bulunan
Federal Ofis" (BSI) tarafÕndan yürütülmektedir. Bu saldÕrÕlara bilgileri haiz kiúilere de gerekli yardÕmlarÕ yapmaktadÕr. Öte
karúÕ koyabilmek için Federal Hükümet, Ulusal Plan'da üç yandan, son yÕllarda elektronik verilerin depolanmasÕ ve
stratejik hedef belirlemiútir: iletilmesindeki artÕúÕn sonucu olarak PET bünyesinde bilgi
teknolojileri güvenli÷i kÕsÕmÕ (IT security section) tesis
1. Önleme: Bu baúlÕk altÕnda, enformasyon altyapÕsÕnÕn, edilmiútir. Bu ba÷lamda PET ulusal ve uluslararasÕ
güncel ve güvenli teknoloji ürünlerinin kullanÕmÕ ve makamlarla (istihbarat makamlarÕ dahil) iúbirli÷i halinde
mevcut risklerlerin bilinciyle uygun úekilde korunmasÕ faaliyetler yürütmektedir.
öngörülmektedir.
2. HazÕrlÕklÕ olma: Meydana gelebilecek elektronik E. FøNLANDøYA
saldÕrÕlara etkin úekilde karúÕ koyabilmek için BSI
bünyesinde Enformasyon Teknolojisi Kriz Müdahale Finlandiya'da elektronik ortamdaki saldÕrÕlara karúÕ
Merkezi tesis edilmesi planlanmakta, bu merkezin savunma konusunda yetkili makam Fin øletiúim Düzenleme
ulusal komuta, kontrol ve analiz merkezi görevlerini Kurulu (Finnish Communications Regularity Authority)'dur.
üstlenmesi ve bu amaçla bir algÕlayÕcÕ a÷Õ kurulmasÕ Elektronik ortamdaki saldÕrÕlarla mücadele dahil olmak
hedeflenmektedir. AynÕ úekilde, Federal Hükümet, üzere, bilgi güvenli÷inin sa÷lanmasÕ için önlemler alÕnmasÕ
halkÕn ve özel sektörün mevcut riskler ve alÕnabilecek ve bilgi güvenlik durumunun geliútirilmesinde yetkili ve
önlemler hakkÕnda bilinçlendirilmesini sorumlu en üst makam Hükümet'tir. Hükümet, Eylül 2003'te
hedeflemektedir. Ulusal Bilgi Güvenli÷i Stratejisi hakkÕnda kararÕ kabul
3. Sürdürülebilirlik: Bu baúlÕk altÕnda, Almanya'nÕn etmiútir. Sözkonusu stratejinin desteklenmesi ve kaydedilen
elektronik güvenlik alanÕnda yeterlili÷inin artÕrÕlmasÕ geliúmelerin gözetimi, Ulusal Bilgi Güvenli÷i DanÕúma
amaçlanmaktadÕr. Kurulu (National Information Security Advisory Board)
tarafÕndan 2007 yÕlÕ baúlarÕna kadar yerine getirilmiútir.
Sözkonusu belgenin uygulanmasÕnda gerekli önlemlerin AnÕlan Kurul'un 2004 yÕlÕnda Hükümet'e sundu÷u "Creating
Federal Hükümet tarafÕndan alÕnmasÕ öngörülmektedir. a Safer Information Society" baúlÕklÕ raporunu sunmútur.
Bununla beraber, uygulamalarÕn sadece yetkili makamlar Bilgi güvenli÷inin sa÷lanmasÕ için 2008 yÕlÕnda
tarafÕndan yerine getirilmesinin yeterli olmayaca÷Õ gerçe÷iyle BakanlÕklararasÕ bir çalÕúma yapÕlarak yeni bir strateji
özel kuruluúlarla iúbirli÷i hedeflenmektedir. Bahsekonu belgesi hazÕrlanmaktadÕr. Bu çalÕúmayÕ "Ubiquitous
belgede, özel kullanÕcÕlarÕn da mevcut risklerin bilincinde Information Society Advisory Board" (Geniú Bilgi Toplumu
olmalarÕnÕn ve gerekli bireysel önlemlerin alÕnmasÕnÕn DanÕúma Kurulu) altÕnda kurulan yeni bir bilgi güvenli÷i
önemine dikkat çekilmekte, öte yandan ülkelerarasÕ iúbirli÷ine grubu yerine getirmektedir.
de vurgu yapÕlarak, Almanya'nÕn uluslararasÕ standartlarÕn ve Ola÷an durumlarda, bilgi güvenli÷inin sa÷lanmasÕ ve bu
normlarÕn tesis edilmesini savundu÷u kaydedilmektedir. konuda yapÕlacak düzenlemelere öncülük edilmesi,
UlaútÕrma ve øletiúim BakanlÕ÷Õ, sözkonusu BakanlÕ÷a ba÷lÕ
D. DANøMARKA Fin øletiúim Düzenleme Kurulu ve Ekonomi ve østihdam
BakanlÕ÷Õ tarafÕndan gerçekleútirilmektedir. Kamu
Danimarka’da sanal alemden gerçekleútirilen saldÕrÕlara sektöründe bilgi güvenli÷inin geliútirilmesi ise, temel olarak
karúÕ koymakla görevli tek bir otorite bulunmamakta, görev Maliye BakanlÕ÷Õ ile øçiúleri BakanlÕ÷Õ'nÕn
ve yetki; sorumlulu÷undadÕr. UlaútÕrma ve øletiúim BakanlÕ÷Õ, iletiúim
- Danimarka østihbarat ve Güvenlik Servisi (PET), hizmetlerinde bilgi güvenli÷iyle ilgili mevzuat ve strateji
- Savunma BakanlÕ÷Õ’na ba÷lÕ Danimarka Kriz Yönetim geliútirmeden sorumludur. AnÕlan BakanlÕk, bu çerçevede,
MakamÕ (DEMA), Fin halkÕna, iú dünyasÕ ve kamu sektörüne bilgi toplumunda
sunulan tüm hizmetlerin kullanÕlabilirli÷i ve güvenli÷ini,
ayrÕca özel bilgilerin korunmasÕnÕ sa÷lamakla yükümlüdür.
Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE
Proceedings 258
3. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY &
BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE
KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION
CERT-FI, Fin øletiúim Düzenleme Kurulu'nun bilgi güvenli÷i Elektronik ortamdaki saldÕrÕlara karúÕ savunma
ihlalleri ve bu ihlallerin önlenmesi konularÕnda yetkili politikalarÕnÕn hayata geçirilmesinden özel sektörü
birimidir. ilgilendiren konularda Enformasyon ve Haberleúme
BakanlÕ÷Õ bünyesindeki "Kore Enformasyon Güvenlik
F. FRANSA AjansÕ"na (Korea Information Security Agency) ba÷lÕ "Kore
Internet Güvenlik Merkezi" (Korea Internet Security
Fransa'da elektronik ortamda gerçekleútirilebilecek suç ve Center); ülke savunmasÕnÕ ilgilendiren konularda Savunma
saldÕrÕlarla mücadeleden sorumlu tek bir birim BakanlÕ÷Õna ba÷lÕ "Enformasyon Savaú Müdahale
bulunmamakta; suçun niteli÷ine göre farklÕ birimlere Merkezi"(Information Warfare Response Center), ulusal
sorumluluk verilmektedir. Bunlar arasÕnda en önemlileri güvenli÷i ve kamu sektörünü ilgilendiren konularda ise
- BaúbakanlÕ÷a ba÷lÕ Milli Savunma Genel Sekreterli÷i Ulusal østihbarat Servisine ba÷lÕ "Ulusal Siber Güvenlik
- øçiúleri BakanlÕ÷Õ'nÕn Adli Polis birimine ba÷lÕ olarak Merkezi" (National Cyber Security Center) sorumludur.
faaliyet gösteren "Biliúim Teknolojileri ile ølgili Suçlarla AyrÕca, Güney Kore ulusal polis teúkilatÕ bünyesinde de
Mücadele Dairesi" - Office Central de Lutte contre la "Siber Terör Müdahale Merkezi" (Cyber Terror Response
Criminalité liée aux Technologies de l'Information de la Center) bulunmaktadÕr.
Communication (OCLCTIC) dir.
YukarÕda kayÕtlÕ iki kurumun dÕúÕnda, Ekonomi, Maliye ve H. øNGøLTERE
ÇalÕúma BakanlÕ÷Õ'na ba÷lÕ Telekom idaresi, Adalet BakanlÕ÷Õ
ve Jandarma Kuvvetlerinin de siber suçlarla mücadelede øngiltere'deki uygulamada, elektronik ortamdaki
görevleri bulunmaktadÕr. Siber suçlar, Ceza Kanunu'nun saldÕrÕlara karúÕ savunma konusu "bilgi güvenli÷i"
(Code Pénal) 226. ve 323. maddeleri çerçevesinde (information assurance) kapsamÕnda ele alÕnmaktadÕr. Bilgi
cezalandÕrÕlmaktadÕr. Posta ve Elektronik Haberleúme güvenli÷i konusundaki çalÕúmalar, teknolojik geliúmelere
Kanunu (Code des Postes et des Communications paralel olarak øngiltere'de 1999 yÕlÕndan sonra a÷ÕrlÕk
Electroniques) ise, siber haberleúme alanÕna bazÕ kazanmÕútÕr. Kamu ve özel sektörün bu kapsamdaki
düzenlemeler getirmektedir. ihtiyaçlarÕnÕn karúÕlanmasÕ amacÕyla üçlü bir yapÕ tesis
edilmiútir.
G. GÜNEY KORE BaúbakanlÕk ofisine (cabinet office) ba÷lÕ olarak görev
yapan "Central Sponsor for Information Assurance", "cyber
ønternet kullanÕmÕnÕn son derece yaygÕn oldu÷u Güney defense" konusunda politika, strateji ve siyasa geliútirme
Kore'de elektronik ortamdaki saldÕrÕlara karúÕ savunma, farklÕ çalÕúmalarÕnÕ yürütmektedir. HazÕrlanan sözkonusu
yönleriyle farklÕ kuruluúlarÕ ilgilendirmektedir. ToplantÕlarÕnÕ politikalarÕn uygulamasÕndan ise "Center for Protection of
CumhurbaúkanÕ baúkanlÕ÷Õnda gerçekleútiren ve National Infrastructure" (CPNI) ve "The Communications-
CumhurbaúkanÕna iç ve dÕú politika ile askeri konularÕn ulusal Electronics Security Group" (CESG) sorumludur.
güvenlik boyutu hakkÕnda bilgi vermekten sorumlu olan CPNI özel sektör ve iú çevrelerinin, CESG ise kamu
"Ulusal Güvenlik Konseyi"nin sekreteryasÕ, ulusal kriz uyarÕ kuruluúlarÕnÕn bu alandaki ihtiyaçlarÕnÕn karúÕlanmasÕnda rol
sisteminin iúleyiúi ve geliútirilmesi, ulusal kriz durumlarÕna almakta, elektronik altyapÕ ve bilgi a÷larÕna yönelik olarak
iliúkin bilgilerin toplanmasÕ, özetlenmesi ve da÷ÕtÕlmasÕ ile gerçekleútirilebilecek saldÕrÕlar konusunda ilgili kurumlara
siber tehdit uyarÕsÕ yayÕnlanmasÕndan da sorumludur. "Ulusal tavsiyelerde bulunmaktadÕr. Bu iki kuruluú, hükümetin bilgi
Güvenlik Konseyi" bünyesinde yer alan "Ulusal Siber güvenli÷i genel stratejisinin uygulanmasÕnÕn genel
Güvenlik Strateji Konseyi" (National Cyber Security Strategic gözetimini gerçekleútirmekte ve bilgisayar a÷larÕna ve
Council) ise ulusal siber güvenlik sisteminin kurulmasÕ ve elektronik ortamdaki iúlemlere karúÕ olabilecek saldÕrÕlar
geliútirilmesi, siber güvenlik politikalarÕ ve çeúitli kuruluúlar konusunda erken uyarÕ iúlevi görmektedir. Elektronik
arasÕnda eúgüdümün sa÷lanmasÕ ve CumhurbaúkanÕnÕn siber ortamdaki bilgi, belge ve iúlemlerin güvenli÷inin sa÷lanmasÕ
güvenli÷e yönelik kararlarÕnÕn uygulanmasÕndan sorumludur. amacÕyla IT çözümleri geliútirilmesinin, temelde her bir
Güney Kore Ulusal østihbarat Servisinin baúkanÕ aynÕ kamu veya özel sektör kuruluúunun kendi sorumlulu÷unda
zamanda bu Konseyin de baúkanÕdÕr. oldu÷u kabul edilmektedir. Bu alanda önleyici iúlev gören
"Ulusal Siber Güvenlik Strateji Konseyi"nin altÕnda, yazÕlÕm ve donanÕmlarÕn serbest piyasa koúullarÕnda bu
"Ulusal Siber Güvenlik Konseyi" (National Cyber Security kuruluúlar tarafÕndan temin edilmesi beklenmektedir.
Council) yer almaktadÕr. Siber güvenli÷in sa÷lanmasÕ ve Bu alandaki çalÕúmalarÕn koordine edilebilmesi amacÕyla
"Ulusal Siber Güvenlik Strateji Konseyi" tarafÕndan alÕnan "Chief Information Officer's Council" (CIOC) kurulmuú
kararlarÕn uygulanmasÕ "Ulusal Siber Güvenlik Konseyi"nin olup, ayda bir düzenli olarak toplanan sözkonusu Konsey'e
görev alanÕna girmektedir. Konseyin baúkanlÕ÷ÕnÕ, Güney CPNI ve CESG'e ilaveten silahlÕ kuvvetler ve istihbarat
Kore Ulusal østihbarat Servisinin baúkan yardÕmcÕsÕ servisinin ilgili birimleri katÕlmaktadÕr. Buna ilaveten, daha
yapmaktadÕr. Konsey, "Ulusal Güvenlik Konseyi Kriz kapsamlÕ eúgüdüm ihtiyacÕnÕn karúÕlanmasÕ için
Yönetim Merkezi" (NSC Crisis Management Center) "Information Assurance Policy and Programme Board"
Müdürü, "Ulusal Siber Güvenlik Merkezi" (National Cyber (IAPPB) ihdas edilmiútir. Kamu ve özel sektörle ilgili bilgi
Security Center) Müdürü, Savunma BakanlÕ÷Õ Enformasyon güvenli÷i politikasÕ uygulamalarÕnÕn ele alÕndÕ÷Õ sözkonusu
Dairesi Genel Müdürü ile Enformasyon ve Haberleúme Kurul, üç ayda bir toplanmakta ve toplantÕlara CIOC'a
BakanlÕ÷Õ Enformasyon Planlama Yetkilisinden oluúmaktadÕr. ilaveten Savunma BakanlÕ÷Õ, DÕúiúleri BakanlÕ÷Õ ve øú,
Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE
Proceedings 259
4. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY &
BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE
KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION
Giriúim ve Reform Düzenlemeleri BakanlÕ÷Õ'ndan yetkililer bireysel ve örgütsel tehdit unsurlarÕnÕn araútÕrmasÕ, takibi ve
iútirak etmektedir. ele geçirilmesi çalÕúmalarÕnÕ yürütmektedir.
Bilgi güvenli÷i konusunda øngiltere'de üç temel belge øú dünyasÕ ile münferit internet kullanÕcÕlarÕnÕn elektronik
yürürlüktedir. Bunlardan "Transformational Government ortamdaki saldÕrÕlara karúÕ korunmasÕ, bilgilendirilmesi,
Agenda", çeúitli kamu kuruluúlarÕnda görevli üst düzey IT olasÕ saldÕrÕlarÕn algÕlanÕp karúÕ önlemlerin alÕnmasÕ ile yasal
uzmanlarÕndan oluúan "Chief Information Officers' Council" ve idari düzenlemelerin yapÕlmasÕ hususlarÕnda Bilgi
ve teknolojik dönüúüm faaliyetlerinden kamu sektörünün Güvenli÷i Analiz ve Bildirim Servisi (MELANI) sürekli
azami ölçüde yararlanmasÕnÕ sa÷lamakla yükümlü devlet araútÕrmalar yapmakta, gelen ihbarlarÕ ilgili birimlere
görevlilerinden müteúekkil "Service Transformation Board" yönlendirmekte ve yÕlda iki kez, ülke içi ve uluslararasÕ
tarafÕndan 2005 yÕlÕnda dönemin BaúbakanÕ Tony Blair'in internet güvenli÷i durum raporu düzenleyerek kamuoyunun
talimatÕ üzerine hazÕrlanmÕútÕr. Sözkonusu belge do÷rudan bilgisine sunmaktadÕr.
bilgi güvenli÷iyle ba÷lantÕlÕ olmayÕp, øngiliz vatandaúlarÕnÕn øsviçre Hükümeti 1 Ekim 2004 tarihinden beri MELANø
devlet kurumlarÕyla gerçekleútirece÷i iúlemlerde teknolojik servisini øsviçre’nin özellikle iletiúim ve veri toplama
imkanlardan azami ölçüde yararlanÕlmasÕnÕ hedeflemekte ve hususundaki hassas kurumlarÕnÕ korumak ile
bu amaçla gerçekleútirilecek çalÕúmalarÕn esaslarÕnÕ görevlendirmiú ve önlemler hususunda Zürih ETH
belirlemektedir. Bu çerçevede, bilgi güvenli÷i konusuna da üniversitesi ile müúterek çalÕúÕlmasÕnÕ sa÷lamÕútÕr.
de÷inilmektedir. UluslararasÕ elektronik ortam saldÕrÕlarÕ tehditi ile
Bu alandaki çalÕúmalara ÕúÕk tutmak üzere ilk defa 2003 mücadele konseptinde uluslararasÕ iúbirli÷ine ve özellikle
yÕlÕnda hazÕrlanan rehber belge ise "Ulusal Bilgi Güvenli÷i ek de÷iúiklik protokolünün yürürlü÷e girmesinin ardÕndan
Stratejisi"dir. Geçti÷imiz yÕl tekonolojik geliúmeler ve bu bu hususta etkinlik kazanan EUROPOL teúkilatÕ ile
kapsamdaki yeni ihtiyaçlar çerçevesinde güncellenen örne÷i eúgüdüm içinde çalÕúÕlmasÕna önem verilmektedir.
ekli belgeyle, hükümet ve kamuoyunun çÕkarlarÕnÕ yakÕnda Elektronik ortamdaki saldÕrlara karúÕ icra edilen
ilgilendiren elektronik ortamda bilgi güvenli÷inin sa÷lanmasÕ faaliyetlerin konsept ve stratejisini saptayan üs kurulun adÕ
konusuna iliúkin genel ilkeler ve bu alanda øngiltere'de Federal Enformasyon Stratejisi Kurumu ISB’ dir.
uygulamaya konulacak kurumsal yapÕ tespit olunmaktadÕr. ønternet sayfalarÕndaki güvenlik boúluklarÕ, iúletim
"Information Assurance Governance Framework" baúlÕklÕ sistemlerindeki zayÕf noktalarÕn tehlike arz etmemesi için
belgede ise, bilgi güvenli÷inin sa÷lanmasÕna riayet edilecek hazÕrlanan güvenlik yamalarÕ bir liste halinde Bilgi
ulusal standartlar ve bu sorumlulu÷un ilgili kurumlar Güvenli÷i Analiz ve Bildirim Servisi (MELANI) web
bünyesinde nasÕl paylaútÕrÕlaca÷Õ ortaya konulmaktadÕr. Buna sitesinde yayÕnlanmakta, söz konusu yamalar buradan
göre, øngiltere'de bilgi güvenli÷i alanÕndaki sorumluluk indirilerek bilgisayarlar daha güvenli hale getirilmektedir.
da÷ÕlÕmÕ úu úekildedir. AynÕ úekilde internette yayÕnlanan ve úüpheli görülen web
Kabine Sekreteri (Bakan düzeyinde) Edward Miliband: siteleri bu kuruma ihbar edildi÷inde sayfa araútÕrÕlmakta ve
Baúbakana karúÕ sorumludur. BakanlÕk MüsteúarÕ (Permanent sonucu halka duyurulmaktadÕr.
Secretary): Kabine Sekreterine karúÕ sorumludur.
KÕdemli Bilgi Riski Yetkilisi (Senior Information Risk ø. øTALYA
Owner): Her bir kamu kuruluúunda yürütülen bilgi güvenli÷i
çalÕúmalarÕndan sorumlu üst düzey yetkilidir. BakanlÕk øtalya’da Telekomünikasyon ve Bilgi øúlem sistemlerini
MüsteúarÕna karúÕ sorumludur. kapsayan konular Telekomünikasyon BakanlÕ÷Õ ile
BakanlÕk Güvenlik Yetkilisi (Departmental Security Yenilikler ve Teknoloji BakanlÕ÷ÕnÕn yetki alanlarÕna
Officer): Kamu kuruluúlarÕ bünyesinde bilgi güvenli÷i girmektedir. Bu cihetle, telekomünikasyon ve bilgi iúlem
politikasÕ ve rehber ilkelerinin uygulanmasÕnÕ gözetmek, sistemleriyle ilgili ulusal kanunlar ve AB mevzuatÕ
meydana gelebilecek saldÕrÕlarÕ rapor etmek ve araútÕrmakla çerçevesinde Yenilikler ve Teknoloji BakanlÕ÷Õ,
yükümlüdür. KÕdemli Bilgi Riski Yetkilisine karúÕ Telekomünikasyon BakanlÕ÷ÕnÕn mutabakatÕyla, 16 Ocak
sorumludur. 2002 tarihinde bir kararname yayÕmlayarak Kamu
IT Güvenlik Yetkilisi (IT Security Officer): BakanlÕk Sektörünün elektronik ortamlarda savunulmasÕ için Ulusal
Güvenlik Yetkilisine yardÕmcÕ olmak üzere atanabilir. Güvenlik Komitesi kurulmasÕna karar vermiútir.
Sözkonusu iki BakanlÕk 24 Temmuz 2002'de imzalanan
I. øSVøÇRE müúterek bir kararname ile bahsekonu Ulusal Güvenlik
Komitesi aracÕlÕ÷Õyla uluslararasÕ güvenlik standartlarÕna
øsviçre'de elektronik ortamdaki tehdit unsurlarÕna karúÕ uyum ve risklere karúÕ konulmasÕ gibi gereksinimleri
kontrol ve mücadele, türlerine göre farklÕ kurumlarca yanÕtlayacak bilgi iúlem ve telekomünikasyon güvenlik
yürütülmektedir. Devlet kurumlarÕ, kamu kuruluúlarÕ ve ulusal planlarÕ oluúturulmasÕnda müúterek programlar izlenmesi
güvenli÷i alakadar eden biliúim ataklarÕ ile mücadele konusunda da mutabÕk kalmÕúlardÕr. Yenilikler ve Teknoloji
hususunda görevli olan birim Federal Analiz ve Önleme BakanlÕ÷Õ ile ilintili sözkonusu komite beú kiúiden
Dairesi'dir ve bu kuruluú (DAP) sivil ve askeri istihbarat oluúmaktadÕr. Baúkan ve bir üye Telekomünikasyon
kapasitelerinden yararlanmaktadÕr. Federal ønternet SuçlarÕ ile BakanlÕ÷Õ, di÷er üç üye ise Yenilikler ve Teknoloji
Mücadele Koordinasyon Dairesi (CYCO) koordinasyonunda BakanlÕ÷Õnca atanmaktadÕr.
faaliyet gösteren Federal Polis TeúkilatÕ, elektronik ortamdaki Komitenin belli baúlÕ görevleri arasÕnda bilgi iúlem
güvenlik sistemlerinin uluslararasÕ standartlara uymasÕ için
Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE
Proceedings 260
5. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY &
BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE
KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION
proje ve öneriler hazÕrlamak, kamu kurumlarÕnda güvenlik úirketler için belirlenen yasal engellemeler ve idari
sistemlerinin oluúturulmasÕ için programlar oluúturmak, gerekliliklere iliúkin uygulama hariç devlet
yapÕlan çalÕúmalarÕ de÷erlendirmek ve gerekti÷i hallerde kurumlarÕnÕnkiler dÕúÕnda kalan sistemler için yasal
uyarÕlarda bulunmak, kamu personelinin güvenlik konusunda düzenleme mevcut de÷ildir.
e÷itimi için programlar hazÕrlamak gibi hususlar yer
almaktadÕr. Komite her dört ayda bir yaptÕ÷Õ çalÕúmalara ve K. TÜRKøYE
elde edilen somut neticelere ait bir rapor hazÕrlar ve bunlarÕ
Telekomünikasyon BakanlÕ÷Õna ve Yenilikler ve Teknoloji Ülkemizde ise konuyla ilgili do÷rudan bir çalÕúma
BakanlÕ÷Õna göndermektedir. bulunmakla birlikte konunun bir düzene ba÷lanmasÕna
Sözkonusu kararname kapsamÕnda tüm kamu kuruluúlarÕ yönelik genel nitelikli kurumsal ve mevzuat anlamÕnda bir
kendi bünyelerinde bilgi iúlem güvenli÷i için bir birim dizi çalÕúmalar yapÕlmÕútÕr. 15 Ocak 2004 tarihli ve 5070
oluúturmakla yükümlü kÕlÕnmÕúlardÕr. Komite ayrÕca, sayÕlÕ Elektronik ømza Kanunu, 4 MayÕs 2007 tarihli ve
"Computer Emergency Response Team" adlÕ bir birim 5651 sayÕlÕ "ønternet OrtamÕnda YapÕlan YayÕnlarÕn
oluúturmuútur. Sözkonusu birim içerisinde bilgi iúlem hatalarÕ Düzenlenmesi ve Bu YayÕnlar Yoluyla øúlenen Suçlarla
ve elektronik saldÕrÕlar konusunda kamu idarelerine destek Mücadele Edilmesi hakkÕndaki kanun konuyla ilgili
vermek için özel bir birim bulunmaktadÕr (GovCERT). düzenlemelerdir. 5651 sayÕlÕ kanun internet ortamÕnda
GovCERT „Computer Emergency Readiness“ görevi iúlenen suçlarÕ sekiz ayrÕ kategoride de÷erlendirmekte, bilgi
yapmakta ve her bir Kamu idaresi bünyesinde kurulan yerel güvenli÷i, siber terörizm gibi suçlara yer vermemektedir. E-
birimlere destek vermektedir. Yerel Birimler, risk yaratan dönüúüm Türkiye Bilgi Toplumu Strateji Belgesinin Eylem
durumlarÕn çözülmesi ve savunma yazÕlÕmlarÕnÕn PlanÕnda ise 88 numaralÕ eylem Ulusal Bilgi sistemleri
güncelleútirilmesi konularÕnda GOVCERT ile temas Güvenlik ProgramÕ olarak belirlenmiú ve 2008 AralÕk ayÕna
etmektedirler. kadar tamamlanmasÕ amacÕyla TÜBøTAK-UEKAE
görevlendirilmiútir.
J. øSPANYA
IV. STRATEJøLERøN VE ÜLKELERøN
øspanya’nÕn siber savunma politikasÕnÕ CCN-STIC 001 DEöERLENDøRøLMESø
“Bilgi Teknolojisi Güvenli÷i ve Kamu ødaresinde Gizli Ulusal
Bilgiler øçeren YazÕúmalar” belgesi kamu idari sistemlerinde Bu çalÕúma kapsamÕnda, ABD, Almanya, Danimarka,
kullanÕlan gizli bilgilerin do÷ru bir biçimde korunmasÕna Finlandiya, Fransa, Güney Kore, øngiltere, øspanya, øsviçre
iliúkin temel ilkeleri ve asgari gereklilikleri belirleyerek bu ve øtalya’daki siber saldÕrÕlara karúÕ savunmaya yönelik
konudaki çerçeveyi oluúturur. . Kamu ødaresinde kullanÕlan ulusal anlamda yapÕlan hazÕrlÕklar, kurumsal düzenlemeler,
sistemler için yasal çerçeve kÕsmen oluúturulmuú olup, hazÕrlanan yasal mevzuatlar açÕklanmÕútÕr. Ülkelerdeki
uygulama kanallarÕ ve kurallarÕ belirlenmiútir. Bilgisayar çalÕúmalar genel olarak incelendi÷inde;
sistemlerinde asgari güvenlik kurallarÕnÕn belirlenmiú oldu÷u
yetki kullanÕlan uygulamalarda bilgi güvenli÷i, kullanÕmÕ ve x Siber savunma konusunda ülkelerin tamamÕnÕn
saklanmasÕ konusunda genel kriterler geçerlidir. Bu konuda duyarlÕ ve tehlikenin farkÕnda oldu÷u,
uyulmasÕ gereken bir zorunluluk ya da denetim mekanizmasÕ x Konu ile ilgili yasal düzenleme yoluna giden
bulunmamaktadÕr. 11 sayÕ ve 22 Haziran 2007 tarihli ülkelerin ço÷unlukta oldu÷u, bazÕlarÕnda ise
vatandaúlarÕn Kamu Hizmetlerine elektronik ortamda düzenleme olmasÕna ra÷men yasal zorunluluk
eriúimine iliúkin yasa uyarÕnca Kamu ødaresinde kullanÕlan getirilmedi÷i,
sistemlerinde kullanÕlacak temel ilkeler ve asgari gereklilikleri x Ulusal anlamda siber savunma sorumlulu÷unun
oluúturmayÕ amaçlayan Ulusal Güvenlik ùemasÕ geliútirilme bazÕlarÕnda ba÷ÕmsÕz bir organa verilmesine ra÷men
aúamasÕndadÕr. Stratejik önem arz eden altyapÕ úirketlerinin bazÕlarÕnda BakanlÕklar düzeyinde çok sayÕda
sistemleri için bir düzenleme halihazÕrda bulunmamaktadÕr. kurumun sorumlulu÷una da÷ÕtÕldÕ÷Õ,
Bununla beraber 2007 yÕlÕnda øçiúleri BakanlÕ÷Õ, Güvenlik x Ülkelerin tamamÕnda hazÕrlÕk olmasÕna ra÷men olasÕ
Devlet Sekreterli÷ine ba÷lÕ Stratejik Önem TaúÕyan bir saldÕrÕ durumunda atÕlmasÕ gereken adÕm
AltyapÕlarÕ Koruma Ulusal Merkezi (CNPIC) stratejik açÕdan konusunun açÕklÕ÷a kavuúturulamadÕ÷Õ,
ulusal önem taúÕyan altyapÕlarÕn güvenli÷inin sa÷lanmasÕ x Herbir ülkenin tamamen farklÕ yöntem ve stratejilerle
konularÕnÕ koordine eden bir organ olarak kurulmuútur. Bu konuya yaklaúÕm sergileyebildikleri,
merkezin görev alanÕna giren sektörlerden biri de Biliúim x Ülkemiz geliúmiú ülkelere göre yapÕlan düzenlemeler
Teknolojileri sektörüdür. CCN, tüm devlet kurumlarÕ ve kurumsallaúmalar ba÷lamÕnda geri kaldÕ÷Õ,
(merkezi, özerk, yerel) ile iúbirli÷i yapmak ve onlara yardÕmcÕ gereksinimlerin karúÕlanmasÕna yönelik adÕmlarÕn
olmakla görevli ulusal uyarÕ merkezi konumundaki CCN- hÕzlandÕrÕlmasÕnda yarar olaca÷Õ
CERT aracÕlÕ÷Õyla do÷abilecek güvenlik sorunlarÕna hÕzlÕ ve de÷erlendirilmektedir.
etkili bir biçimde çözüm bulmayÕ ve günümüz úartlarÕ içinde
do÷an yeni tehditlerle etkin úekilde mücadele etmeyi
hedeflemektedir. Siber savunma politikasÕ, halihazÕrda
sadece devlet kurumlarÕnÕn sistemlerini kapsamaktadÕr.
Sanayi BakanlÕ÷Õ tarafÕndan Telekomünikasyon hizmeti veren
Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE
Proceedings 261
6. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY &
BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE
KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION
KAYNAKLAR
1. The National Strategy to Secure Cyberspace
2. http://www.whitehouse.gov/pcipb/cyberspace_strategy.pdf
3. http://www.dhs.gov/index.shtm
4. øç Güvenli÷e iliúkin BaúkanlÕk Direktifi
www.whitehouse.gov/mews/relases/2003/12/20031217-5.html
5. IT- security Beyond Borders
http://www.tekno.dk/pdf/projekter/it-sec2007/2007_it-security-across-
borders-summary.pdf
6. Creating a Safer Information Society
www.mintc.fi/scripts/cgiip.exe/WService=lvm/cm/pub/showdoc.p?doci
d=2433&menuid=431
7. http://www.telecom.gouv.fr/fonds_documentaire/rapports/cybercriminal
ite.pdf
8. Korea Information Security Agency-www.kisa.or.kr
9. Korea Internet Security Center-www.krcert.or.kr
10. Avrupa A÷ ve Bilgi Güvenli÷i AjansÕ (European Network and
Information Security Agency)
http://www.enisa.europa.eu/index.htm
11. http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=200
8/0097
12. http://www.csae.map.es/csi/pg3428.htm
13. E-Dönüúümde Türkiye Nerede? Y. Turan Çetiner, UluslararasÕ
Ekonomik Sorunlar Dergisi, T.C. DÕúiúleri BakanlÕ÷Õ, KasÕm 2008
Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE
Proceedings 262