1. siber-guvenlik-bulteni-sayi-6
Transkript
1. siber-guvenlik-bulteni-sayi-6
HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ Tüm Kurum ve Şirketlere 7/24 Siber Güvenlik Yazı: Siber Güvenlik İş Eko-sistemi Buluştayı Yazı: Siber saldırılara karşı ne yapmalısınız? 9 Adım İnceleme: 2016–2019 Ulusal e-Devlet Stratejisi ve Eylem Planı: Siber Güvenlik Bakış Açısı ile İlk Değerlendirmeler HAVELSAN Aylık Siber Güvenlik Bülteni, Sayı 6, Ağustos 2016 HAVELSAN, Türk Silahlı Kuvvetlerini Güçlendirme Vakfı’nın bir kuruluşudur. HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ TAKDİM Bu ayki bültenimizde, öncelikle ülkemizin tüm kurum ve kuruluşlarının yanında özellikle ülke çapında hizmetleri itibariyle kritik olarak değerlendirilen kamu ve özel sektör kuruluşlarının hayati bir ihtiyacına ilişkin HAVELSAN olarak ortaya koyduğumuz bir çözümü ve hizmeti kısaca anlatmaya yer verdik. Gittikçe çetrefilleşen siber tehdit ve riskler ile ve bültenlerimizde de gözler önüne sermeye çalıştığımız gibi, hedeflerine genelde büyük boyutlarda zarar veren çok çeşitli siber saldırılara kamuda ve özel sektörde çoğu kurum ve kuruluşumuz hazırlıksız yakalanmaktadır. Kuruluşların kendi siber güvenliklerini sadece kendi bünyelerinde bir teşkilat ve teçhizatla sağlamaya çalışmaları giderek maliyet-etkin bir çözüm olmaktan uzaklaşmaktadır. Bültenimizin bu sayısında kuruluşların bu ihtiyaçlarına çözüm getirecek HAVELSAN Siber Savunma Teknolojileri Merkezi (SİSATEM) içinde yer alan Siber Güvenlik Operasyon Merkezi faaliyetlerimiz ve kurumlara sağladığımız 7/24 siber güvenlik hizmeti hakkında temel bilgiler verilmektedir. Önemli bir başka bölümümüz de her an siber saldırı ya da siber saldırı tehdidi altında olan kurum ve kuruluşlarımızın bu tür saldırılar öncesinde, saldırı sırasında ve sonrasında neler yapması gerektiği dokuz adımda anlatılmaktadır. Bültenimizde ayrıca yakınlarda yayımlanan iki ulusal strateji ve eylem planı ile ilgili iki yazımız bulunmaktadır. Ulusal Siber Güvenlik Stratejisi ve Eylem Planı çerçevesinde özellikle kurumlar arasında güvenli bilgi/veri paylaşımının temin edilmesi kapsamında T.C. Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından yürütülen ve HAVELSAN’ın da katılarak ve nihai hale getirilen ‘Bilgi Varlıklarının Gizlilik Derecelerine Göre Sınıflandırılması’ kılavuzu çalışması hakkında özet bilgi sunulmaktadır. İkinci yazımızda ise Ulusal e-Devlet Stratejisi ve Eylem Planı’nın siber güvenlik açısından genel bir ön değerlendirilmesi bulunmaktadır. 2 HAVELSAN Bültenimizde yine HAVELSAN tarafından çalışmaları geniş bir kapsamda yürütülen ve somut bir aşamaya gelen HAVELSAN Siber Güvenlik İş Ekosistemi çalışmamız ve 20 Eylül 2016 tarihinde planladığımız buluştay hakkında bir yazımızı bulabilirsiniz. Bu bültende ele aldığımız gibi, Ulusal e-Devlet Stratejisi ve Eylem Planı’nda, etkin e-Devlet eko-sistemi özellikle öne çıkarılmış ve stratejinin odağına konulmuştur. Yine bu bültende bulabileceğiniz bir bilgi çizimi istatistiği ile yetersiz yerli siber güvenlik sanayisini ayağa kaldırma kapsamında HAVELSAN’ın öncülüğünde ortaya koyduğu siber güvenlik iş ekosistemi çalışmasının değeri ve önemidir. Bu sayımızın da sektörümüze ve tüm siber güvenlikle ilgilenen kurum, kuruluş ve bireylere yararlı olacağı düşüncesiyle saygılarımızı sunarız. HAVELSAN 3 HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ ÖNCEKİ SAYILAR “Siber Cephanelik” “EFES 2016 Temmuz 2016 Tatbikatında Siber Sayı 5 Güvenlik” Haziran 2016 Sayı 4 “HAVELSAN’dan “Siber Savunmada Bugünün Siber Yepyeni Bir Merkez: Güvenlik Uzmanına SİSATEM” Katkı” Nisan 2016 Mayıs 2016 Sayı 2 Sayı 3 “Siber Güvenlik Panorama 2015” Mart 2016 Sayı 1 BİLGİ ÇİZİMLERİ “Bir Güvenlik-Mahremiyet Hikâyesi” Mayıs 2016 “Siber Güvenlik İstatistikleri 2015” Mart 2016 4 HAVELSAN İÇİNDEKİLER TAKDİM .............................................................................................................................. 2 ÖNCEKİ SAYILAR ............................................................................................................ 4 BİLGİ ÇİZİMLERİ .......................................................................................................... 4 İÇİNDEKİLER ................................................................................................................... 5 Siber Güvenlik Operasyon Merkezi – Kurumlara 7/24 Siber Güvenlik ................. 6 Ne Yapmalısınız? .............................................................................................................. 8 Önemseyin! ....................................................................................................................... 8 İzleyin! .............................................................................................................................. 8 Kaydedin! ......................................................................................................................... 9 Güncelleyin!...................................................................................................................... 9 Yedekleyin! ....................................................................................................................... 9 Yenileyin! .........................................................................................................................10 Engelleyin!.......................................................................................................................10 Korunun! .........................................................................................................................10 Hazırlanın! ......................................................................................................................11 Yerli Siber Güvenlik İş Eko-sistemi ........................................................................... 12 2016–2019 Ulusal e-Devlet Stratejisi ve Eylem Planı: Siber Güvenlik Bakış Açısı ile İlk Değerlendirmeler ............................................................................................... 15 BİLGİ ÇİZİMİ: Türkiye Siber Güvenlik Pazarı ve Siber Güvenlik Ürünlerinde Yerli/Yabancı Uçurumu (2015 Tahmini) .................................................................... 19 KAYNAKÇA ...................................................................................................................... 20 5 HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ Siber Güvenlik Operasyon Merkezi – Kurumlara 7/24 Siber Güvenlik Pro-aktif anlamda tam bir siber güvenlik, olası siber saldırıların tespiti dâhil gerçekleşmekte olan saldırıları zamanında tespit, ilgilileri uyarı, olayın zamanında tatminkâr bir analizi ve değerlendirmesi ile gerekli önlemlerin alınmasıdır. Bu ise, gerek teşkilat olarak profesyonel, konularında uzman personel ile gerekli ileri teknoloji siber güvenlik donanım ve yazılımlarından oluşan teçhizatı gerektirir. Bir bütün olarak bu imkân ve kabiliyetler ise ancak bu konuda teknoloji üreten ve hizmet sunan yetkin firmalar tarafından sağlanabilir. Giderek karmaşıklaşan siber tehdit ve saldırılar karşısında bilişim sistemine sahip kurum ve kuruluşların zamanında ve etkin önlemler alması gün geçtikçe zorlaşmakta ve maliyet-etkin olmaktan da uzaklaşmaktadır. 6 HAVELSAN Bu kapsamdaki bir sürecin kurumlar bünyesinde gerçekleştirilmeye çalışılması durumunda maliyet-etkin ve kurum açısından güvenilir bir çözüm elde edilmesi zor olacaktır; tersine, bağımsız, organizayon dışı bir kurum tarafından verilmesi durumunda daha objektif bir yaklaşımla zafiyetlerin tespiti ve değerlendirilmesi yapılıyor olacaktır. HAVELSAN Siber Savunma Teknolojileri Merkezi (SİSATEM) içinde oluşturulan Siber Güvenlik Operasyon Merkezi ile kurumlara ve şirketlere: Değişik hizmet ve reaksiyon sürelerinde siber saldırı izleme ve uyarı(yapılacak sözleşme kapsamında), Siber saldırı analizi ve değerlendirme, Uzaktan ya da yerinde siber saldırıya müdahale hizmetleri verilmekte; müşteri ihtiyaçları doğrultusunda bu hizmetin öncesinde mevcut bilişim sisteminin: Sızma testi ve zafiyet denetimi, Gerekli güvenlik mimarisi ve tasarımı, Güvenlik sıkılaştırmaları ile Siber Olaylara Müdahale Ekibi (SOME) oluşturma danışmanlığı ve ISO/IEC 270001 Bilgi Güvenliği Yönetim Sistemi hizmetleri verilmektedir. Yayımlanan 2016−2019 Ulusal Siber Güvenlik Stratejisi [1] içinde yer alan “Kurumsal ve Sektörel SOME’lerin etkinliğinin arttırılmasına” yönelik olarak; HAVELSAN SİSATEM Siber Güvenlik Operasyon Merkezi ve kurumsal destek ekibi, gerek söz konusu SOME’lerin oluşturulmasında ihtiyaç duyulan teknik destek ve danışmanlık hizmetlerini verecek; gerekse özel sektör kurumlarının SOME ihtiyaçlarını bu kurum ve şirketlerin kurup işleterek karşılaması yerine, HAVELSAN SİSATEM’den merkezi olarak bir hizmet şeklinde verecek yetkinliktedir. Bu hizmetler, tamamıyla HAVELSAN kadrolu uzman siber güvenlik personeli tarafından yerli ve güvenilir bir hizmet olarak sunulmaktadır. 7 HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ Kurum ve kuruluşlarımız her an siber tehdit ya da saldırı karşısında olabilir. O zaman Ne Yapmalısınız?1 Bu saldırılardan bazılarının belirtileri tespit edilebilirken bazıları da son derece gizli seyredebiliyor, hatta tespit edilebilmeleri ortalama bir yıla yakın zaman alabiliyor. Küçük ya da büyük ölçekli tüm bu siber saldırılar için ortak olan belirtiler ve bu belirtilere karşı alınması gereken temel önlemler aşağıda listelenmiştir. Önemseyin! Kurumunuzda son dönemlerde münferit olarak görülebilecek ve birbiri ile ilgili olmayan siber güvenlik olaylarında bir artış varsa bu durumu önemseyin. Birbiri ile bağlantılı gibi görünmeyen ve kritiklik seviyesi düşük siber olaylar, organize bir siber saldırının ön hazırlık aşamasının işaretleri olabilir. İzleyin! Kurumunuzda yer alan bilişim sistemi bileşenlerinin zamanlardaki normal kullanım ve performans durumlarını izleyin. Ağ trafiğindeki normal olmayan bir artışın ya da hizmet veren sunucu/istemci beklenmedik 1 Hazırlayan: 8 Salih TALAY, HAVELSAN Siber Güvenlik Direktörlüğü sistemlerindeki bir performans HAVELSAN değişiminin sebebi bir siber saldırı ya da saldırı hazırlığı evresinde gerçekleştirilen bilgi toplama faaliyeti olabilir. Kaydedin! Kurumunuz bilişim sistemlerini oluşturan ve kayıt almak mümkün olan tüm bileşenlerin kayıtlarını, yazılımı merkezi üzerinde bir kayıt yönetimi kaydedin. Eğer yazılımınızın kayıt ilişkilendirme özelliği varsa, sistemlerinizin çalışma rutininin dışına çıkan tüm olay dizileri için ilişkilendirme kuralları oluşturun ve sistemin bu siber olayların gerçekleşmesi durumunda otomatik olarak ilgili personele uyarı mesajları iletmesini sağlayın. Güncelleyin! Siber saldırılar için saldırganların en yaygın olarak kullandığı yöntemlerden biri, yeni keşfedilmiş güvenlik açıklıkları ile henüz güvenlik güncellemesi yapılmamış sistemleri hedef almaktır. İşletim sistemi, uygulama, güvenlik donanım ve yazılımı gibi ürünlerde üreticiler tarafından yayımlanmış olan en güncel güvenlik yama ve güncellemelerine sahip olduğunuzu bir kez daha kontrol edin. Yedekleyin! Kurumunuzun iş sürekliliği için kritik bilişim sistem bileşenlerini yedekleyin. Tek nokta hatasına sebep olabilecek tüm aktif ve pasif altyapı bileşenlerinin yedekli olarak çalıştırılmasına, kritik verilerin düzenli ve sağlıklı biçimde yedeklendiğine ve gerektiği zaman yedeklerden geri dönülebildiğine emin olun. 9 HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ İstenmeyen durumların yaşanmaması için, belirli periyodlarda yedekli çalışma kontrol testleri ve veri yedeklerinden geri dönüş tatbikatları gerçekleştirin. Yenileyin! Normal zamanlarda düzenli zaman aralıklarıyla, herhangi bir siber saldırı hazırlığı istihbaratı alındığı durumda ise ivedilikle kurum bilişim sistemleri ve altyapılarına yetkili erişim parolalarını yenileyin. Siber saldırılara karşı mutlaka güçlü ve kolay tahmin edilemeyecek parolalar belirleyin, parolaları kriptolama teknikleri kullanan parola yönetim araçlarında ve güvenli bir biçimde muhafaza edin. Engelleyin! Saldırganlar, hedeflerine ulaşmak için her zaman en zayıf bileşenleri hedef alacaktır. Kurumdan ayrılan kişilere ait ya da yetki süresi dolan sistem erişim hesaplarının bilişim sistemlerinize Güncellenemeyen, erişimini düzenli olarak engelleyin. güvenlik kontrollerinden geçirilmeyen ve bilhassa yönetilmeyen sistemlerden kurtulun. Korunun! Hizmet dışı bırakma saldırıları, saldırı yönteminin basit olması ve saldırganın kendini gizleyebilmesine imkân vermesi açısından kurumların yaygın olarak maruz kaldığı bir saldırı türüdür. Kurumunuz ve/veya hizmet sağlayıcınız bünyesinde sahip olduğunuz bir hizmet dışı bırakma 10 saldırılarına karşı korunma teknolojiniz HAVELSAN varsa, özellikle siber saldırı istihbaratı alınan zaman dilimlerinde sistemleri izleme kipinden sürekli koruma kipine getirin/getirilmesini sağlayın. Bu sayede, bilgi sistem altyapılarınıza karşı gerçekleştirilebilecek bir hizmet dışı bırakma saldırısında sadece haberdar olma ya da gecikmeli olarak koruma sağlama yerine bu tip saldırılardan sürekli olarak korunun. Hazırlanın! Siber olay öncesi, olay anı ve olay sonrası ilgili kurum personelinin görev ve sorumluluklarını, bir siber olay durumunda acil durum iletişim planlarını hazırlayın. USOM, Sektörel SOME ve güvenilir siber güvenlik bilgi kaynaklarından gelen bilgilendirme ve tedbir önerilerini dikkate alarak yıkıcı bir siber saldırıya uğramadan önce bu tip saldırılara hazırlanın. 11 HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ Yerli Siber Güvenlik İş Eko-sistemi2 HAVELSAN olarak, yurt içinde ve yurt dışında markalaşmış bir milli teknolojiye sahip olmanın avantajını ve gururunu yaşamanın, sektör dinamiklerinin birbirleri ile güçlü bir iş eko-sistemi kurmasına ve uzman birikimlerin ve nitelikli kaynakların birbirlerini desteklemesine dayalı olduğuna inanıyoruz. HAVELSAN Siber Güvenlik Direktörlüğü tarafından gerçekleştirilen siber güvenlik iş eko-sistemi çalışmalarımızın öncelikleri arasında kurumlar arasındaki bağların ve işbirliğinin artırılması yatmaktadır. Bu işbirliği ile amaçlanan eko-sistemin güçlendirilmesi ve böylelikle fikirlerin daha kısa zamanda gerçekleştirilmesi, teknoloji şirketlerinin daha çok istihdam sağlamasını destekleyerek büyümesi ve sonuç olarak küresel pazarlarda rekabet edilebilirliğin artırılması hedeflenmiştir. HAVELSAN olarak yenilikçi fikirleri destekleyip ülkemizin dünya pazarlarındaki başarısını artırmanın yanı sıra kendi performansımızı da artırmak için içeriye dönük bu faaliyetlere önem vermekteyiz. Özellikle fikirlerin pazara girişinde ve ürün haline dönüşmesinde küçük ve orta ölçekli şirketlerin kritik hayatta kalma sürelerinin gittikçe kısaldığı günümüzde harcanan bu emeklerin ülkemiz için değer taşıdığını düşünmekteyiz. HAVELSAN olarak 23 Mart 2016 tarihinde resmi açılışını gerçekleştirdiğimiz Siber Savunma Teknolojileri Merkezi (SİSATEM) aslında bir ‘Mükemmeliyet Merkezi’ olarak görev yapmaktadır. Burada yenilikçi fikirleri ve girişimciliği desteklemek adına gerçekleştirdiğimiz iş eko-sistemi çalışmaları başta olmak üzere verdiğimiz hizmetler ile bu yapıyı bir cazibe merkezi haline getirmeyi hedefledik. Özellikle merkez içinde yer alan laboratuvarların siber güvenlik ürünlerinin test edilebildiği bir ortam sağlaması açısından da eko-sistemde yer alan paydaşlarla işbirlikleri geliştirilmesinde de katkı sağladığını görmekteyiz. 2 Hazırlayan: Umut Barış ERDOĞAN, HAVELSAN Siber Güvenlik Direktörlüğü 12 HAVELSAN İş eko-sistem çalışmaları ile özellikle HAVELSAN olarak bu alanda yaşanan iletişim sorunun aşılması konusunda özenli bir çalışma gerçekleştirdiğimize inanmaktayız. Bu süreçte üniversitelerimizle temasa geçerek Teknokentler ile bugüne kadar görülmemiş işbirlikleri oluşturduk. Bu işbirliklerinin kurumsal olarak sürekliliğinin sağlanması ve sürdürülebilir olması için ise çalışmalarımıza ayrıca devam etmekteyiz. HAVELSAN bünyesinde yer alan ve iş eko-sistem çalışmalarının kurumsal olarak takip edildiği İş Ortakları ve Tedarikçi Yönetimi Liderliği diğer alanlarda da bahse konu çalışmaları desteklemekteyiz. Yukarıda anılan hassasiyetler çerçevesinde pazarda yer alan ve yenilikçi fikir ve ürünleriyle gerek HAVELSAN, gerekse ülkemizi daha ileri noktalara taşıyabilecek paydaşlarımızla Siber Güvenlik İş Eko-sistem Buluştayı’nda görüşmek üzere 20 Eylül 2016 tarihinde sizleri Bilkent Otel’de bekliyoruz. 13 HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ Ulusal Bilgi Varlıklarının Gizlilik Derecelerine Göre Sınıflandırılması Kılavuzu Çalışması Tamamlandı İster manuel ve kâğıt ortamında, isterse otomatik olarak elektronik ortamda olsun, kullanılan ve saklanan bilgilerin taşıdığı önem, hassasiyet, mahremiyet ve kurum ya da Devlet çapında ifşa edildiğinde oluşturacağı olumsuz etkiler göz önüne alındığında yapılması gereken tasnifin derecelerine gizlilik derecesi denilmektedir. 1960’lı yıllardan günümüze kadar geçen süreçte önceleri kamuda yazılı olarak mevzuata girmiş olan gizlilik derecelerinin belirlenmesi ve tasnifi konusu, zaman içinde bilgilerin çoğunlukla elektronik ortama aktarılması ve elektronik ortamın mevcut tehlikeleri karşısında alınacak tedbirler bakımından daha da önem kazanmıştır. Bu tasnifin bugün yüksek bir doğrulukla yapılabilmesi, elektronik/siber ortamda dolaşan bilgilerin uygun teknolojik tedbirlerle korunabilmesi için gerekli girdilerin sağlıklı olarak bilinmesi anlamına gelmektedir. İster kamuda mevzuatı gereği Çok Gizli, Gizli, Özel, Hizmete Özel gibi verilen gizlilik dereceleri olsun, isterse özel sektörde kullanılan Ticari Gizli, Kurum Özel gibi gizlilik dereceleri olsun, yeterince doğru yapılan tanımlama ve tasnif, bilginin uygun şekilde korunması için alınacak teknolojik tedbirlerde isabet derecesini artıracaktır. Ülkemizde bu konuda kılavuzluk etmek adına 2016–2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı [1] kapsamında, bilgi varlıklarının gizlilik derecelerine göre sınıflandırılması ile ilgili kıstasların çıkartılması temel çalışması, T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı (UDHB) yönetiminde yürütülmüş ve başarı ile tamamlanmıştır. Mart 2016 ayında başlatılan belirli bu çalışmaya, UDHB dışında HAVELSAN, Başbakanlık Elektronik Kamu Bilgi Yönetim Sistemi (KAYSİS), Türk Standartları Enstitüsü (TSE) ve TÜBİTAK iştirak etmiş, Temmuz 2016’da kılavuz yayımlanmak üzere nihai hale getirilmiştir. 14 HAVELSAN 2016–2019 Ulusal e-Devlet Stratejisi ve Eylem Planı: Siber Güvenlik Bakış Açısı ile İlk Değerlendirmeler3 T.C Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından geçtiğimiz günlerde yayımlanan ve ülkemizde e-Devlet alanındaki yeni yol haritasını belirleyen 2016–2019 Ulusal e-Devlet Stratejisi ve Eylem Planı oldukça kapsamlı bir bakış açısı sunmaktadır [2]. Bültenimizin bu sayısında bu değerli çalışmanın siber güvenlik bakış açısı ile sıcağı sıcağına kısa bir değerlendirmesini ele almak istedik. Şekil 1 2016–2019 Ulusal e-Devlet Stratejisi ve Eylem Planı Amaç ve Amaçlara Yönelik Hedefler 3 Hazırlayan: Gürol Canbek, HAVELSAN Siber Güvenlik Direktörlüğü 15 HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ "ETKİN" e-Devlet ile toplumun yaşam kalitesini artırmak ufku ile oluşturulan 2016-2019 Ulusal e-Devlet Stratejisi ve Eylem Planı Stratejisi haritasında stratejinin odağına "ETKİN" e-Devlet eko-sistemi konulmuştur. Entegre-Teknolojik-Katılımcı-İnovatif-Nitelikli başlıkları ile kodlanan "ETKİN" yaklaşımında, "Nitelikli" başlığının en önemli kıstası ise güvenirlilik, kullanabilirlik ve bütünlük ile ifade edilen bilgi güvenliği gereksinimleridir. e-Devlet Strateji ve Eylem Planında, kamu politikalarına en üst seviyede yön veren Onuncu Kalkınma Planı (2014-2018) belgesinde hedeflenen e-Devlet yapısı tanımında, kişisel bilgi mahremiyeti ve bilgi güvenliğinin sağlandığı bütünleşik ve güvenilir vurguları yapılan bir şekilde sunulan hizmetlere yönelik bir e-Devlet yapısının oluşturulması temel amaç olarak ifade edildiği aktarılmaktadır [3]. Keza, Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları" konulu 2013/3 sayılı Devlet Denetleme Kurulu Raporu'nda [4] kamudaki bilgi sistemlerinin bir e-Devlet mimarisi genel çerçevesinde şekillendirilmemesi nedeniyle güvenlik riskleri başta olmak üzere pek çok sorunlar, sakıncalar ve maliyetler getirdiği tespiti yapılmaktadır. 2016-2019 Ulusal e-Devlet Stratejisi ve Eylem Planı, diğer strateji ve eylem planları yanında Ulusal Siber Güvenlik Stratejisi ve Eylem Planı [1] dikkate alınarak hazırlanmıştır. Yine e-Devlet olgunluk modellerinde ele alınan gereksinimler arasında açık veri paylaşımı, şeffaflık ve hesap verebilirliğin artırılması gibi konularla birlikte siber güvenlik eğilimleri bulunmaktadır. Eylem Planı’nda geçen ve siber güvenlik ile ilgili hususlar amaçlar ve hedefler şeklinde aşağıda kısaca belirtilmektedir. 16 HAVELSAN 1. AMAÇ: e-Devlet Eko-sisteminin Etkinliğinin ve Sürdürebilirliğinin Sağlanması 1.1. Hedef: Üst Koordinasyon Yapısı İlişkili Eylemler: o Destekleyen türde 2015-2018 Bilgi Toplumu Stratejisi ve Eylem Planı [5] kapsamında 37 No'lu Eylem: "Siber Güvenlik Kanunun Çıkarılması" o Destekleyen türde 2006-2010 Bilgi Toplumu Stratejisi ve Eylem Planı [5] kapsamında 70 No'lu Eylem: Kamu Güvenli Ağı o Destekleyen türde 2016-2018 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı [1] kapsamında "Siber güvenlik eko-sisteminin geliştirilmesi" 1.2. Hedef: Kurumsal Dönüşüm e-Devlet projelerinde oluşabilecek iş sürekliliği ve sistem güvenliği risklerinin (firma bağımlılığı, kişi bağımlı sistemleri, siber güvenlik vb.) risklerin giderilmesi için kurum ve kuruluşlarının yetkinliklerinin artırılması ve ortak yapılarda yazılım geliştirme yaklaşımlarının hayata geçirilmesi İlişkili Eylemler: o Destekleyen türde 2016-2018 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı [1] kapsamında "Farkındalık ve insan kaynağı geliştirme" 1.3. Hedef: Yenilikçi Yaklaşımlar 2. AMAÇ: Altyapı ve İdari Hizmetlere Yönelik Ortak Sistemlerin Hayata Geçirilmesi Kamu kurum ve kuruluşlarında müstakil olarak işletilmekte olan altyapıların idari ihtiyaçlar, tasarruf yanında siber güvenlik gereksinimleri doğrultusunda merkezi olarak yönetilmesi. Ortak altyapıların kamuda yedekleme, felaket kurtarma merkezi, siber güvenlik, iş sürekliliği ihtiyaçlarının karşılamasına destek olması gereklidir. 2.1. Hedef: Ortak BT Altyapıları Siber güvenlik gereksinimleri doğrultusunda müstakil işletilen veri merkezlerinin kademeli olarak birleştirilmesi gereklidir. İlişkili Eylemler: o Destekleyen türde 2006-2010 Bilgi Toplumu Stratejisi ve Eylem Planı [6] kapsamında 70 No'lu Eylem: Kamu Güvenli Ağı 2.2. Hedef: e-Hizmet Altyapısı Destekleyen türde 2015-2019 İçişleri Bakanlığı Stratejik Planı [7] kapsamında Bakanlık iş ve işlem süreçlerinin elektronik ortamda etkin ve güvenli bir şekilde yürütülmesini yaygınlaştırmak 2.3. Hedef: İdari Hizmet Altyapısı 3. AMAÇ: Kamu Hizmetlerinde e-Dönüşümün Sağlanması 3.1. Hedef: Kurumsal Bilgi 17 HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ 3.2. Hedef: Sektörel Entegrasyon İlişkili Eylemler: o Destekleyen türde 2013-2017 Sağlık Bakanlığı Stratejik Planı [8] kapsamında İlaçların, biyolojik ürünlerin ve tıbbi cihazların kullanabilirliğini, güvenliğini, etkinliğini ve akılcı kullanımını sağlamak ve kozmetik ürünlerde güvenliği tesis etmek 3.3. e-Hizmet Olgunluğu 3.4. Hedef: Hizmet Sunum Kanalları 4. AMAÇ: Kullanım, Katılım ve Şeffaflığın Artırılması 4.1. Hedef: Yaygın Kullanım Bilgi güvenliği ve kişisel verilerin korunması konularında gerekli çalışmalar gerçekleştirilerek kullanıcıların güveninin artırılması 4.2. Hedef: Açık Veri e-Devlet ekosisteminde üretilen veriler açık veri olarak kullanılırken kişisel verilerin gizliliğine, ulusal güvenliğe ve ticari sırlara dikkat edilerek paylaşılmış ve anonimleştirilmiş olması 4.3. Hedef: e-Katılım Yukarıdaki incelemeden de görüleceğe üzere, hazırlanan Ulusal e-Devlet Stratejisi ve Eylem Planı’nda siber güvenliğin diğer strateji ve eylem planları ile bağları belirterek ortaya konulması önemli bir yaklaşımdır. Ancak, "Siber güvenlik eko-sisteminin geliştirilmesi" ve "Farkındalık ve insan kaynağı geliştirme" gibi 2016-2018 Ulusal Siber Güvenlik Stratejisi ve Eylem Planına [1] doğrudan atıflar dışında e-Devlet stratejisi ve eylem planı içinde başka diğer ilişkili konuların da var olduğunu göz ardı etmemek gerekir. Sonuç olarak, e-Devlet ve diğer alanlarda oluşturulan ve yürütülen stratejisi ve eylem planlarının siber güvenlik ile sıkı bir uy um ile ortaya konulması ve değerlendirilmesinin faydalı olacağı değerlendirilmektedir. 18 HAVELSAN BİLGİ ÇİZİMİ: Türkiye Siber Güvenlik Pazarı ve Siber Güvenlik Ürünlerinde Yerli/Yabancı Uçurumu (2015 Tahmini) Kaynak: Bilgi Güvenliği Derneği Türkiye Siber Güvenlik Sektörü Araştırması Kavramsal Tasarım ve Çizim: Gürol Canbek Bu durum, HAVELSAN’ın yerli siber güvenlik kapsamında sektörde iş ekosistemi yaklaşımıyla geliştirmekte olduğu ürünlerin 2016 yılı sonu itibariyle rafta hazır ürün durumuna gelmesiyle kısa zamanda hızlı bir şekilde Türkiye lehine değişecektir. 19 HAVELSAN SİBER GÜVENLİK OPERASYON MERKEZİ KAYNAKÇA 1 2016−2019 Ulusal Siber Güvenlik Stratejisi, T.C. Ulaştırma, Denizcilik ve Haberleşme Bakanlığı, Nisan 2016, http://www.udhb.gov.tr/doc/siberg/2016-2019guvenlik.pdf 2 2016–2019 Ulusal e-Devlet Stratejisi ve Eylem Planı, T.C. Ulaştırma, Denizcilik ve Haberleşme Bakanlığı, 19 Temmuz 2016, http://www.edevlet.gov.tr/wp-content/uploads/2016/07/2016-2019Ulusal-e-Devlet-Stratejisi-ve-Eylem-Plani.pdf 3 2014–2018 Onuncu Kalkınma Planı, T.C. Kalkına Bakanlığı, 2 Temmuz 2013, http://www.kalkinma.gov.tr/Lists/Kalknma%20Planlar/Attachments/12/Onuncu%20Kalk%C4%B1 nma%20Plan%C4%B1.pdf 4 Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları Denetleme Raporu, T.C. Cumhurbaşkanlığı Devlet Denetleme Kurulu, 27 Kasım 2013, https://www.tccb.gov.tr/assets/dosya/ddk56.pdf 5 2015–2018 Bilgi Toplumu Stratejisi ve Eylem Planı, Yayın No: 2939, T.C. Kalkınma Bakanlığı, 24 Şubat 2015, http://www.bilgitoplumustratejisi.org/download/docfile/8a9481984680deca014bea4232490005 6 2006–2010 Bilgi Toplumu Stratejisi, T.C. Başbakanlık, Devlet Planlama Teşkilatı, Yayın No: DPT: 2699, 11 Temmuz 2006, http://www.bilgitoplumustratejisi.org/download/docfile/8a3247663bd29634013bdda63fde0000 7 2015–2019 İçişleri Bakanlığı Stratejik Planı, T.C. İçişleri Bakanlığı, 13 Ekim 2014, https://www.icisleri.gov.tr/kurumlar/icisleri.gov.tr/str_plan/stratejikplan2015_2019.pdf 8 2013–2017 Sağlık Bakanlığı Stratejik Planı, T.C. Sağlık Bakanlığı, Aralık 2012, https://sgb.saglik.gov.tr/content/files/stratejikplan20132017/index.html 20 HAVELSAN A.Ş. Mustafa Kemal Mah. 2120. Cad. No:39 06510, Çankaya, Ankara, Türkiye Web: http://www.havelsan.com.tr Tel: +90 (312) 219 57 87 E-posta: info@havelsan.com.tr Tüm hakları saklıdır. İzinsiz ve kaynak gösterilmeden kullanılamaz. HAVELSAN, Türk Silahlı Kuvvetlerini Güçlendirme bir kuruluşudur. Telif Hakkı © 2016Vakfı’nın HAVELSAN