Ne zamandır ülkemizin siber güvenlik konusundaki büyük tehditler karşısında savunmasız olduğunu yazıp çiziyor, yetkilileri tehlikeden haberdar etmeye çalışıyorduk. Özellikle kamu kurumlarının doğru düzgün planlama yapmadan, altyapıyı ve mevzuatı oturtmadan, gerekli insan kaynağı kapasitesini oluşturmadan, apar topar e-devlete geçmeye kalkarken sebep oldukları güvenlik açıklarına dikkat çekiyorduk. Nihayet bazı temel tedbirlerin alındığını görmek bizi sevindirdi.
“Bilgi ve İletişim Güvenliği Tedbirleri” genelgesi 6 Temmuz 2019 Cumartesi günü resmî gazetede yayımlanarak yürürlüğe girdi.
Çoğu zaman işi resmî/hukukî kayıtları oluşturmak, saklamak ve sunmaktan ibaret olan devletin, teknolojik imkanları kullanmaması söz konusu olamazdı ama maalesef bu kullanımın kuralları belirsizdi. Özellikle de kişisel verilerin korunmasına yönelik düzenlemeler eksikti.
Bu genelgede alınan tedbirlerin ilki, nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve verilerin “yurt içinde” ve “güvenli” bir şekilde depolanacağını söylüyor.
Okuyucularımız “e canım başka nasıl olacaktı ki” diye sorabilirler.
Kamu kurumlarımıza emanet ettiğimiz birçok kritik kişisel verinin ne yazık ki güvenliği yeterince sağlanmış değil. Üstüne üstlük bu verilerin fiziksel olarak yabancı şirketlerin yurtdışında bulunan “bulut sunucularında” tutulması kamuda sık rastlanan bir durum.
Bu durum üçüncü maddede kesin şekilde yasaklanıyor:
“Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacak.”
Birçok kişinin, kişisel/kamusal verilerimizi yurtdışında, yabancı servis sağlayıcılarının sunucularında saklayacak kadar gafil yöneticilerimizin varlığına şaşırdığına eminim.
Problem, bilgi işlem yöneticisi koltuklarını siber güvenlik bilinci olmayan, bilgi güvenliğinden habersiz kimselerin işgal etmesinde kaynaklanıyor. Bir de ihtiyaç duyulan nitelikte personeli çalıştıramamaktan…
Devlet kurumlarına emanet edilen verilerin depolanması, yedeklenmesi, gerektiğinde kontrollü olarak erişime sunulması hem kritik hem de zahmetli bir iş. Bu görevi hakkıyla yerine getirememekten endişe eden birçok bilgi işlem yöneticisi, kapısını çalıp “siz zahmet etmeyin, işi bize bırakın, biz altyapı için gereken çalışmaları yaparız sizin de başınız ağrımaz” diyen yabancı şirketlerin vaatlerine kanıp, verileri teslim edebiliyor.
Tabi bu ilişkileri yönetenler yabancıların bizzat kendileri değil. Yöneticilerimiz ODTÜ’den, Bilkent’ten mezun olmuş ama uluslararası bilişim firmalarında satışçı olarak istihdam edilmiş parlak Türk mühendislerle muhatap oluyorlar.
İşin bir de maliyet tarafı var.
Yabancı servis sağlayıcılar bulut bilişim altyapısını kurmak için ciddi yatırımlar yapmış durumdalar. Milyarlarca dolar harcanarak kurulmuş devasa veri merkezlerine “kiracılar” arıyorlar. Tabiatıyla altyapı çalışmalarını yeni yeni tamamlamaya çalışan yerli servis sağlayıcılarıyla maceraya atılmaktansa, bu inşaatı bitmiş, altyapısı tamamlanmış, konforlu merkezlerde “kiracı” olmak yöneticilerimize çok daha cazip geliyor.
Kiraladıkları yabancı veri merkezinin her yerinde “meraklı gözlerin” olabileceğini düşünmüyorlar. Yabancı servislerin verdiği düşük fiyatların “kara kaşları kara gözleri için” verilmediği de akıllarından geçmiyor…
Genelge dört, beş ve altıncı maddeleriyle kamudaki Whatsapp çılgınlığına da dur diyor.
Şimdi, amirlerinin operasyon talimatlarını bile Whatsapp üzerinden verdiği söylenen emniyet kendine bir çeki düzen vermek zorunda. Tüm üst düzey kamu yöneticileri, Bakanlar, Başkanlar, hâkimler, savcılar, komutanlar, özel kalem müdürleri de Whatsapp grupları üzerinden haberleşmekten vazgeçmeye mecburlar.
Genelgenin 18. ve 19. maddeleri kurumsal iletişimlerini gmail, yandex gibi yabancı servisler üzerinden yürütmeye devam eden memurların önünü kesiyor.
Bu çok doğru kararların alınmasında kritik bir rol oynadığı anlaşılan dijital dönüşüm ofisi yöneticilerini tebrik ediyorum.
Kararlara uyulmasını sağlamak en azından kararları almak kadar önemlidir.
Umarım alınan kararların uygulanıp uygulanmadığı titizlikle takip edilir ve bu tedbirlere uymamakta ısrar edenler sert bir şekilde cezalandırılırlar.