Türkiye’nin Siber Güvenlik Tarihi
Siber güvenlik alanına emek veren herkesin bence bilmesi gereken bir konuyu yazmak istiyorum. Türkiye’de bu işler nasıl başlamış, nerelere gelmişiz, işin tarihini bir aktaralım. Tarihe bir not da ben düşeyim..
Bu yazıyı hazırlarken epey bir makale okudum. Türkiye’nin siber güvenlik yapılanması, organizasyonu mevzuatı vs. bir çok konuda yazılmış oldukça fazla kaynak var. Eksik, yanlış bilgilerin olduğu yazılara da rastladım maalesef. Bu yazıda yoğunlukla faydalandığım, beğendiğim makaleleri yazımın sonunda kaynakçada bulabilirsiniz..
1991, “Bilişim Suçları”nın ceza kanuna dâhil edilmesi: Tüm dünyada olduğu gibi 90'ların sonlarına doğru ağ teknolojilerinin ve internetin yaygınlaşması, bu ortamları hedefleyen ve bu ortamlardan kaynaklı tehditlerin de yaygınlaşması sonucunu da doğurdu. Devlet kaynaklarını, vatandaşları hedef alan saldırıların maddi ve manevi sonuçları baş ağrıtmaya başladı..Mesele tekil ve müstakil tedbirlerle çözülemeyecek derecede ciddi idi. “Siber ortamda varlıkların korunması ve güvenliğinin sağlanması” artık ulusal güvenliğin bir parçası olarak ülkelerin politika ve stratejilerinde yer bulacaktı.
Ancak tüm dünya ülkelerinde erken dönemlerde “internet ortamı üzerinden yapılan saldırıların” ulusal tehditten ziyade “suç” teşkil etmesi, toplum düzenini tehdit etmesi yönüyle ele alındığını ve “siber suç, bilişim suçları” kapsamı ile ceza hukuku çerçevesinde düzenlemeler yapıldığını görüyoruz.
Velhasıl , Türkiye’nin siber güvenlik yolculuğu da 1991 yılında 765 sayılı Türk Ceza Kanunu’na “Bilişim Suçları”nın dâhil edilmesi ile başlamıştır. “…bilgileri otomatik işleme tabi tutan sistem…” ibaresi ile bilişim sistemleri tanımlanmış, bu sistemlerden yetkisiz/hukuka aykırı veri sızdırma, başkasına zarar vermek üzere kullanma, çoğaltma vb. bazı hususlara ilişkin hükümler ve cezai müeyyideleri eklenmişti.
1993, Bilişim ve Ekonomik Modernizasyon Raporu: Dünya Bankası işbirliğinde hazırlanan raporda bilgi topluma geçiş sürecinde ortaya çıkacak temel ihtiyaçlara ilişkin tespitlere yer verilmiştir. Bilişim güvenliği alanında kullanıcıların yasal koruma altına alınması, bilgisayar güvenliğinin sağlanması bilişim suçları çerçevesinde ele alınmıştır. Dünya Bankası ile projeye ilişkin kredi anlaşması hayata geçirilememiş dolayısı ile raporda sunulan öneriler uygulanamamıştır.
1998, Kamu-Net Üst Kurulu ve Kamu-Net Teknik Kurulu: 19.03.1998 tarihli ve 1998/13 sayılı Başbakanlık genelgesi ile kamu bilgisayar ağları ile ilgili faaliyetlerin koordinasyonu, değerlendirmesini temel amaçları ile kurulmuştur. Aynı yıl kurul çalışmaları kapsamında “Kamu Bilgisayar Ağları Konferansı” düzenlenmiş. Bu konferans sonucunda ortaya çıkan eylem planı kısa dönem hedefleri arasında “ bilişim güvenliğine yönelik gereksinimlerin belirlenmesi ve bilişim güvenliği farkındalık çalışmalarının gerçekleştirilmesi yer almıştır. 2002/20 Başbakanlık genelgesi ile hayata geçirilen e-Türkiye Girişimi ile bu kurullar kaldırılmıştır.
1999, Türkiye Ulusal Enformasyon Altyapısı Ana planı, TUENA :Ulaştırma Bakanlığı koordinatörlüğü ve TÜBİTAK sekreteryasında yürütülen çalışmalarla Güven Çalışma Grubu tarafından getirilen “Ulusal Bilgi Güvenliği Üst Kurulu ve Bilgi Güvenliği Kurumu oluşturulması” önerisi “bilgi altyapısına yönelik bir yapılanmanın bulunmadığı ortamda” fazla iddialı bulunmuş, “Bilgi Toplumu Kurumu” altında bilgi güvenliğinin ele alınması şekline evrilmiştir. Ulusal bilgi güvenliğinin sağlanması amacıyla bilgi güvenlik duvarının oluşturulması ve kişisel bilgi güvenliği sağlanması, veri aktarma ve saklama güvenliği, e-ticaret güvenliği, güvenlik teknolojilerinin önceliklendirilmesi öne çıkan hususlardandır.
“Bilgi Güvenliği” kapsamında organizasyon ve mevzuat çatısının teşkil edilme çabalarını 1999 yılları itibari ile görmeye başlıyoruz. 2023 yılına kadar farklı kurumlar tarafından farklı çalışmalar ile gündeme getirilmesine, üst politika belgelerinde ve yıllık programlarda yer bulmasına karşın çalışmalar neticelenmemiştir.
1999–2000, Ulusal Bilgi Güvenliği Teşkilatı ve Görevleri Hakkında Kanun Tasarısı: Milli Savunma Bakanlığı tarafından hazırlanan tasarı Türkiye ulusal bilgi güvenliğini tek elden koordine etmeyi amaçlayan ilk çalışma sayılır. Özetle; ulusal bilgi güvenliğini koordinasyonunu hiyerarşide üst noktadan kontrol edilmesi ve bunun için Başbakanlığa bağlı bir üst kurul ve kamu tüzel kişiliğine sahip Ulusal Bilgi Güvenliği Kurumu Başkanlığı kurulmasını önerir. Ancak uzlaşma sağlanamamış ve tasarı aşamasında kalmıştır.
2001, Sekizinci Beş Yıllık Kalkınma Planı (2001–2005): Ulusal Bilgi Güvenliği ile ilgili yasal düzenleme tedbirlerinin yer verildiği ilk kalkınma planıdır. (Madde 1263). 2001–2005 arasındaki yıllık programlarda Kişisel Verilerin korunması kanunu, Elektronik Haberleşme Kanunu ile birlikte ulusal bilgi güvenliği kanunları konusunda ödevlerin verildiğini görüyoruz.
2002, e-Türkiye Girişimi Eylem Planı: 9 Ekim 2001 tarihli Başbakanlık Genelgesi ile başlatılan e-Türkiye girişimi kapsamında 13 ana çalışma grubu oluşturulmuştur. Çalışma gruplarının her biri ayrı eylem planları yayımlamıştır. Başbakanlık genel koordinatörlüğünde yayımlanan belge kendisinden sonra oluşturulacak eylem planı ve stratejik belgelere öncülük etmesi yönüyle önemlidir. Belgede “güvenli internet” vurgusu ile birlikte güvenli e-ticaret, ulusal bilgi güvenliği yapısının hukuki çalışmaları, kişisel verilerin korunması, e-imza, açık kaynak kodlu yazılım güvenliği, güvenli ağlar ve akıllı kartlar hususunda eylemler içermesi yönü ile bilgi güvenliği ve siber güvenlik alanındaki strateji ve eylem planlarının anasıdır. e-Türkiye Girişimi kapsamında kurulan çalışma grupları e-Dönüşüm projesinin başlaması ile bu çatı altında grupların azaltılması ve yeniden düzenlenmesi sureti ile çalışmalarına devam etmiştir.
2002, Ulusal Bilgi Güvenliği Kanun Taslağı: Genelkurmay Başkanlığı tarafından koordine edilen ve 1996 yılında oluşturulmuş Güvenlik Çalışma Grubu çalışmalarını e-Türkiye Girişimi ile koordineli yürüterek bir kanun taslağı hazırlanmıştır. Çalışmalar 2005 yılına kadar devam etmiş ancak taslak kapsamı ile bilgi güvenliği kavramı konusunda mutabakat sağlanamamış, kanun tasarısına dönüşememiştir.
2003, “2003/10 Sayılı Başbakanlık Genelgesi” :17 Şubat 2003 tarihinde yayımlanan genelge ile başta kamu kurum ve kuruluşları olmak üzere bilgi sistem ve ağlarının korunması için yürütülen çalışmalarda “Bilgi Sistemlerinin Güvenliğine İlişkin OECD Rehber İlkeleri”nin göz önünde bulundurulması istenmiştir.
2003, E-Dönüşüm Türkiye Projesi : Türkiye’nin bilgi toplumuna geçiş faaliyetlerinin bir bütünlük içinde yürütülmesi, bu yönde politika ve stratejilerin oluşturulmasını sağlamak üzere 3 Ocak 2003 tarihli 58. Hükümet Acil Eylem Planı içinde “e-dönüşüm Türkiye Projesi”ne yer verilmiştir. 27 Şubat 2003 tarihli ve 2003/12 sayılı Başbakanlık genelgesi ile Devlet Planlama Teşkilatı koordinasyon ile görevlendirilmiş ve Bilgi Toplumu Dairesi kurulmuştur. Bilgi güvenliği konuları proje kapsamında kurulan 8 ana çalışma grubundan biri olan ve Ulaştırma Bakanlığı koordinasyonundaki “Teknik Altyapı ve Bilgi Güvenliği Çalışma Grubu”nda yürütülmüştür.
2003–2004 Kısa Dönem Eylem Planı: Çalışma gruplarında yürütülen çalışmalar “Kısa Dönem Eylem Planlarının(KDEP)” hazırlanması ile neticelenmiştir. Teknik Altyapı ve Bilgi Güvenliği ekseni altında “ağ güvenliğin test edilmesi ve sağlanmasına ilişkin pilot uygulamaların geliştirilmesi” konusunda TUBİTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü’ne (UEAKE) , kişisel verilerin korunması hakkında kanun çıkarılması ve ceza kanununda bilişim suçlarının revizasyonu çalışmaları için Adalet Bakanlığı’na , Ulusal Bilgi Güvenliği Kanunu’nun çıkarılması konusunda Milli Savunma Bakanlığı’na görev verilmiştir.
2004, 5237 Sayılı Yeni Türk Ceza Kanunu’nun Yürürlüğe Girmesi: “Bilişim Alanında Suçlar” başlığı altında bilişim suçu oluşturacak eylemler ve bunlara uygulanacak cezalar detaylı olarak belirlenmiştir.
2005, Kısa Dönem Eylem Planı: Bir önceki dönemde altyapısı tamamlanan e-dönüşüm çalışmalarının günlük hayata yansımalarına yönelik yaygınlaştırma uygulamalarına ağırlık verilmiştir. “Kamu Kurumlarının bilgi güvenliği risk analizinin yapılması” ve güvenli internet çalışmaları ile bilişim suçları kanunu çalışması güvenlik ile ilgili ele alınmış maddelerdir. Bu kapsamda TÜBİTAK -UEKAE tarafından kritik bilgiler üzerinde işlem yapan 7 kuruluşta risk analiz çalışması yapılmış ve bir kılavuz hazırlanmıştır. Tüm kamu kurumlarını kapsayan bir çalışma yapılmadığı görülmektedir.
2003 sonrası dönemde, bilgi güvenliği organizasyonunun müstakil olarak tanımlanmamasına karşın, organlarının yavaş yavaş şekillendiğini görüyoruz. Ulusal Bilgi Güvenliği Programı’nda TÜBİTAK UEKAE ve BİLGEM icracı rolü ile, Milli Savunma Bakanlığı mevzuat geliştirme rolü ile sahnede yer alıyorlar. 2006 yılı itibari ile Adalet Bakanlığı yasal düzenlemelerde bayrağı devralıyor.
2006, 2006 -2010 Bilgi Toplumu Stratejisi ve Eylem Planı: Kalkınma Bakanlığı koordinasyonunda hazırlanan belgenin “Kamu Yönetiminde Modernizasyon” başlığında “Güvenlik ve Kişisel Bilgilerin Mahremiyeti” ele alınmıştır. Bilgi Güvenliği ile ilgili yasal düzenlemeler Adalet Bakanlığı’na, Ulusal Bilgi Sistemleri Güvenlik Programı (CERT/BOME kurulması, kamu için minimum güvenlik seviyesi tanımlanması) TÜBİTAK UEKAE’ye atanmıştır. Bu çalışmaya ilişkin yayımlanan nihai sonuç raporunda “güvenlik ve kişisel bilgilerin mahremiyeti alanında stratejide öngörülen çalışmalarda sınırlı ilerleme kaydedildiği” ifade edilmiştir. Adalet Bakanlığı tarafından yürütülen “Ulusal Bilgi Güvenliği Kanun Tasarısı” çalışmalarının devam etmekte olduğunu da görüyoruz.
2006, TR-BOME ve BİLGEM’in Kurulması : ‘Bilgi Toplumu Stratejisi ve Eylem Planı’ nda yer alan eylem maddesi uyarınca bilgisayar etkinlikleri ve kamu kurumlarının bilgi güvenliğini sağlamaya yönelik faaliyetler için Bilgisayar Olayları Müdahale Ekibi (TR-BOME), TÜBİTAK Bilgi ve Bilgi Güvenliği İleri Teknolojileri Araştırma Merkezi (BİLGEM) kurulmuştur.
2007, 5651 Sayılı Kanun , İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun: İçerik, yer, erişim ve toplu kullanım sağlayıcılarının uyması gereken kuralları ve bunların sağladığı internet ortamında işlenebilecek suçlarla mücadele hususlarını düzenleyen kanun yürürlüğe girmiştir.
2008, Elektronik Haberleşme Kanunu: Elektronik haberleşme sektörünün çalışma usul ve esaslarını düzenleyen kanun denetleme, yeni yatırımların teşvik edilmesi, tüketici haklarının gözetilmesi vb. sektörün gelişimine odaklanan bir çok hususu ele almıştır. Telekomünikasyon sektörünün düzenleme ve denetleme fonksiyonunun bağımsız bir idari otorite tarafından yürütülmesi amacıyla 2000 yılında kurulan Telekomünikasyon Kurumu, bu kanun ile Bilgi Teknolojileri ve İletişim Kurumu (BTK) olarak isim değiştirmiş ve Ulaştırma Bakanlığına bağlanmıştır. BTK elektronik ve haberleşme sektörünün ana düzenleyicisi olarak “ ilgili merciler tarafından elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi ilkesi (4. madde (l) bendi) ve kişisel verilerin ve gizliliğinin korunması, elektronik haberleşme şebekelerinin bütünlüğünün idame ettirilmesi, izinsiz erişime karşı şebeke güvenliğinin sağlanması yönünde kendi sektörünün sahasında güvenlik faaliyetlerini de düzenleyebileceği yönünde görevlerini bu kanunla yüklenmiştir.
TÜBİTAK, TR-BOME ve BİLGEM’in kurulmasının ardından bilgi güvenliği ve siber güvenlik alanında aktif olarak bir çok faaliyet yürütüyor. Hatta Türkiye’nin ilk bilgi güvenliği politika belgesi diyebileceğimiz bir üst politika belgesi TÜBİTAK tarafından hazırlanıyor. Ulusal bilgi güvenliği kanunu tamamlanıyor ancak yine yasalaşmıyor. TÜBİTAK eylem planları ile kendisine verilen görevleri muhatapları ile iyi niyet çerçevesinde yürütmek durumunda kalıyor.
2008, İlk Siber Güvenlik Tatbikatı: TR-BOME koordinatörlüğünde 20–21.11.2008 tarihlerinde ülkemizde düzenlenen ilk bilgisayar sistemleri güvenliği tatbikatı olan BOME 2008 Tatbikatı, 8 kurumun katılımı ile yapılmıştır. Tatbikat Sonuç ve Değerlendirme Raporu, TÜBİTAK’ın bilgi güvenliği farkındalığını artırmak için oluşturduğu web sitesi olan Ulusal Bilgi Güvenliği Kapısında yayınlanmıştır. Kurumların dış kaynaklı bir siber saldırıya maruz kalmaları durumunda TR-BOME ile iş birliği süreçlerinin kontrol edilmesi amacıyla yapılmıştır.
2009, ‘Ulusal Sanal Ortam Güvenlik Politikası ’ : NATO’nun üye ülkelerden talebi üzerine TÜBİTAK koordinasyonunda hazırlanan çalışmada ülkemizin tehdit yüzeyi incelenmiş ve risk unsurları ele alınmıştır. Temel ilkeler ve sanal ortam güvenliğini sağlamak üzere öneriler bulunmakla birlikte, politika belgesinde yer alan hususların uygulama adımlarını belirleyen bir strateji veya eylem planı bulunmamaktadır. “Bilgi güvenliği” alanında “politika” statüsünde hazırlanan bir üst belge olması nedeni ile önemlidir.
2009, Ulusal Bilgi Güvenliği Kanunu Çalışmalarının Adalet Bakanlığı tarafından yeniden ele alınması, ilgili kurum ve kuruluşların katılımı ile kanun tasarısı hazırlamak üzere bir çalışma grubu kurulmuştur.
Kanun tasarısının yasalaşması hususu 2009–2015 yıllık programlarında yer almasına rağmen çalışmalar tamamlanamamıştır.
2010, Milli Güvenlik Kurulu Bildirisi’nde Siber Güvenlik vurgusu, Siyaset Belgesinde yer alması : Türkiye’de devletin tüm kurumları düzeyinde siber güvenlik konusu ilk kez 27 Ekim 2010'da toplanan Milli Güvenlik Kurulu’nda tartışılmıştır. Ulusal güvenlik politikası bağlamında siber güvenliğe daha fazla önem verileceği aşağıdaki ifadelerle net olarak belirtilmiştir. Siber tehdit ifadesi kamuoyunda “Kırmızı Kitap” olarak bilinen Milli Güvenlik Siyaset Belgesi’ne girmiştir. Hükümet, Genelkurmay’ın önerisi doğrultusunda siber terörizmi, Türkiye’nin tehdit algılamaları arasına almıştır.
“Siber tehdidin global düzeyde ulaştığı boyut ve bu tehdidin ulusal güvenliğine etkileri kapsamlı surette ele alınmıştır. Bu bağlamda, siber tehdidin engellenebilmesi acısından millî düzeyde yürütülen çalışmalar değerlendirilmiştir.”
2011, Ulusal Siber Güvenlik Tatbikatı: 25–28.01.2011 tarihlerinde TÜBİTAK ve BTK organizasyonunda 41 kamu kurumunun katıldığı ilk geniş katılımlı tatbikat düzenlenmiştir. 5809 sayılı Elektronik Haberleşme Kanunu ile BTK’nın kendi sektörünün bilgi güvenliği faaliyetlerine ilişkin görevlendirilmesi, Ulusal Bilgi Güvenliği Programı’nın ana yürütücüsü TÜBİTAK ile ortak tatbikat düzenlenmesi ile sonuçlanmıştır.
2011, Ulusal Bilişim Güvenliği Kanun Taslağı çalışmaları: “Ulusal Bilgi Güvenliği Kanunu” taslak çalışmaları isim değişikliğine gidilerek yeniden başlamıştır. Adalet Bakanlığı koordinasyonunda yürütülen çalışmalarda Ulaştırma Bakanlığı çevresinde şekillenen bir yapılanma göze çarpmaktadır. Önceki taslaklarda Başbakan’a doğrudan bağlı ve bağımsız olarak önerilen “Ulusal Bilgi Güvenliği Kurulu ve Ulusal Bilgi Güvenliği Kurumu’nun” , Ulaştırma Bakanlığı bünyesinde bir “Bilişim Güvenliği Kurulu” ve “Bilişim Güvenliği Başkanlığı”na evrildiği görülmektedir. Kurulması öngörülen Başkanlığın, Bakanlığın bir hizmet birimi olarak teşkil edilmesinin, daha üst bir hiyerarşi gerektiren koordinasyon ve düzenleyicilik gibi bir takım işlevleri de uhdesinde barındıracağından, kendinden beklenen faaliyetlerin etkin olarak yürütülememesi sonucunu doğuracağı şeklinde yorumlandığını da görüyoruz.
TÜBİTAK, 2012 yılına kadar Türkiye’nin ulusal siber güvenlik politikalarında başı çeken kurum iken, Haziran 2012 tarihli Bakanlar Kurulu kararı ile Ulaştırma, Denizcilik ve Haberleşme Bakanlığı siber güvenlik koordinasyonu ile görevlendirilmiştir. Bilişim Güvenliği Kanunu taslak çalışmalarının bu süreçte devam ettiğini de görüyoruz.
2012 , Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar: Karar ile Ulaştırma, Denizcilik ve Haberleşme Bakanlığı kamu kurumları ve kritik altyapı işletmelerince uyulması gereken tedbirler, bu kurumların verdiği hizmetlerde güvenliğin ve gizliliğin sağlanması , ulusal politika ve stratejilerin hazırlanması , eylem planlarının hazırlanması, kurumlar arası uyumu sağlama ve koordinasyonu temin etme, Siber Güvenlik Kurulunun sekretaryasını yürütme, gerektiğinde uluslararası kuruluşlarla iş birliğine gitme, toplumsal farkındalığı artırmaya yönelik eğitim faaliyetlerini yürütme, siber saldırılara karşı milli savunma mekanizmalarını geliştirme görevleri verildi. Aynı kararda bakanlığın icracı kurumlarından biri de BTK olarak belirlendi. ( Madde 5/h/3)
2012, Siber Güvenlik Kurulu’nun teşkil edilmesi: Bakanlar kurulu kararının 20 Ekim 2012 tarihininde Resmi Gazetede yayımlanmasının ardından Siber Güvenlik Kurulu, Ulaştırma, Denizcilik ve Haberleşme Bakanının başkanlığında Dışişleri, İçişleri, Millî Savunma, Ulaştırma, Denizcilik ve Haberleşme bakanlıkları müsteşarları, Kamu Düzeni ve Güvenliği Müsteşarı, Millî İstihbarat Teşkilatı Müsteşarı, Genelkurmay Başkanlığı Muhabere Elektronik ve Bilgi Sistemleri Başkanı, Bilgi Teknolojileri ve İletişim Kurumu Başkanı gibi bakanlık ve kamu kurumlarının üst düzey yöneticilerinden oluşacak şekilde teşkîl edildi. Ulaştırma Bakanlığı tarafından belirlenen politika, strateji ve eylem planlarının nihai onay makamı ve bunların ülkede etkin şekilde uygulanması ile yükümlü ana mercî yapılan bu düzenleme ile Siber Güvenlik Kurulu olarak belirlenmiştir. Kurul, ilk toplantısını 20/12/2012 tarihinde gerçekleştirmiş ve “Ulusal Siber Güvenlik Stratejisi ve 2013–2014 Eylem Planı” nı uygulamaya karar vermiştir. İkinci toplantı 20/06/2013 tarihinde, üçüncü toplantı 19/12/2013 tarihinde yapılmıştır. Kurul dördüncü toplantısını 10 Şubat 2016 tarihinde gerçekleştirmiştir. 2014–2015 yıllarında kurul toplanmamıştır.
2012, TÜBİTAK Siber Güvenlik Enstitüsü’nün Kurulması: 1997 yılında Bilişim Sistemleri Güvenliği (BSG) Birimi adıyla TÜBİTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) çatısı altında faaliyetlerine başlayan birim, 2012 yılı itibariyle ayrışmış ve TÜBİTAK BİLGEM bünyesinde ayrı bir enstitü olarak teşkil edilmiştir. Siber Güvenlik Enstitüsü Türkiye bilgi güvenliği ve siber güvenliğine ilişikin hazırlanmış bir çok rehber, mevzuat, esas dokümanları vb. çalışmalarını gerçekleştirmiştir.
2013, 2013–2014 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı: 16 Ocak 2013 tarihinde yürürlüğe girmiştir. Hazırlık çalışmaları 2012 yılında başlamış, Bilim Sanayi ve Teknoloji Bakanlığı ve Bilgi ve İletişim Teknolojileri Kurumu (BTK) koordinasyonunda Türkiye’de siber suçla mücadele sivil toplum kuruluşları ve kurumları ile birlikte yürütülmüştür. Türkiye’nin ilk siber güvenlik strateji dokümanıdır. Strateji ekindeki eylem planında toplam 29 eylem maddesi yer almıştır.
2013, USOM’un Kuruluşu: 27.05.2013 tarihli Bakanlar Kurulu kararıyla siber saldırın etkilerini azaltmak veya ortadan kaldırmak üzere BTK’ya bağlı olarak Ulusal Siber Olaylara Müdahale Merkezi (USOM) kurulmuştur.
2013, SOME Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliği : 11 Kasım 2013 tarihli ve 28818 sayılı Resmi Gazete’de yayımlanan tebliğ ile SOME’ler (Siber Olaylara Müdahale Ekipleri) kurulması kararlaştırılmış ve bu birimlerin görevleri belirtilmiştir. Kurumsal SOME ve Sektörel SOME’ler oluşturulmaya başlanmıştır.
2013, Siber Savunma Komutanlığı Kuruluşu: Türkiye’nin askeri alandaki ilk siber güvenlik yapılanması Siber Savunma Komutanlığı olarak bilinen ilk siber ordusu, Savunma Bakanlığı, TÜBİTAK ve ODTÜ
iş birliği ile Genelkurmay Başkanlığı bünyesinde 2010 yılında kurulmuştur. 2013 yılında Ulusal Siber Güvenlik Stratejisinin yayınlanmasıyla resmileşerek görevleri tanımlanmıştır.
2013, Emniyet Siber Suçlarla Mücadele Daire Başkanlığı’nın kurulması: Emniyet Genel Müdürlüğü tarafından siber suçlarla mücadelede yetkin personelden oluşan bir uzmanlık birimi olarak 2011/2025 sayılı Bakanlar Kurulu kararı ile Bilişim Suçlarıyla Mücadele Daire Başkanlığı kurulmuştur. Bu birimin ismi 2013 yılı içinde Siber Suçlarla Mücadele Daire Başkanlığı olarak değiştirilmiştir.
2012–2014 döneminde yürütülen siber güvenlik faaliyetlerinin temel hukuki dayanağı Bakanlar Kurulu kararıdır. Uygulayıcı kurumların elini güçlendirecek asıl mekanizma “kanun”dur. Siber güvenlik alanını düzenleyecek müstakil bir kanun çıkarmak yerine 2014 yılında elektronik haberleşme alanını düzenleyen 5809 sayılı Elektronik Haberleşme Kanunu’na Ulaştırma Bakanlığı’nın siber güvenlik alanındaki görevlerinin eklendiğini ve BTK’nın görevlerinin genişletildiğini görüyoruz.
2014, 6518 sayılı torba kanun ile 5809 sayılı Kanun’a UAB’nin siber güvenlik görevlerinin eklenmesi: 6518 sayılı torba kanunun 102. maddesinde, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 5 inci maddesinin birinci fıkrasına eklenen (h) bendi ile “ulusal siber güvenliğin sağlanmasına ilişkin politika, strateji ve hedefleri belirlemek, eylem planlarını hazırlamak, siber güvenlik konusunda bilinçlendirme, eğitim ve farkındalığı artırma çalışmaları yürütmek” görevleri Ulaştırma Bakanlığına tevdi edilmiştir. 103 nolu madde ile de BTK’nın görevlerinin “siber güvenlik ve internet alan adları” konuları da dahil edilerek genişletildiğini görüyoruz.
2014, AFAD 2014–2023 Kritik Altyapıların Korunması Yol Haritası Belgesi: 5902 Sayılı Kanun ile kurum ve kuruluşların koordinasyonu ve teknolojik afetlerin etkin yönetiminden AFAD sorumlu kılınmıştır. Bu çerçevede hazırlanan “2014–2023 Teknolojik Afetler Yol Haritası Belgesi”nde “Kritik Altyapıların Korunması” başlığı altında 10 eylem maddesinin neredeyse tamamında AFAD sorumlu kuruluş olarak görev almıştır. Bu maddelerden biri olan “Ulusal düzeydeki kritik altyapıların korunması amacı ile Kritik Altyapı Koruma Planı hazırlanması.” çerçevesinde Eylül 2014’te “2014–2023 Kritik Altyapıların Korunması Yol Haritası Belgesi”ni yayınlamıştır. Bu belgede kritik altyapıların korunmasında koordine edici kuruluş olarak AFAD’ın görevlendirildiği görülmektedir. Siber tehditler bu belgede kritik altyapılara karşı gerçekleştirilen bir tehdit olarak ele alınmakta, dolaylı olarak siber güvenlik kriz yönetiminde AFAD koordine kuruluş olarak yer almaktadır. Bu belgede siber afet kriz yönetim hedefleri belirlenmiş olsa da 2023 yılı itibariyle hedeflere ulaşılma süreç takibi noktasında herhangi bir rapor yayımlanmamıştır.
2014, Sektörel SOME ve Kurumsal SOME Rehberleri: TÜBİTAK SGE tarafından hazırlanan rehberler Ulaştırma Bakanlığı tarafından yayımlanmıştır.
2015, 2015–2018 Bilgi Toplumu Stratejisi ve Eylem Planı: “Bilgi Güvenliği ve Kullanıcı Güveni” ekseninde siber güvenlik hususları müstakil olarak ele alınmıştır. Siber güvenlik kanununun çıkarılması, kişisel verilerin korunması mevzuat çalışmaları, ve bilişim suçları ihtisas mahkemelerinin kurulması konusu Adalet Bakanlığı’na, Ulusal siber suç stratejisinin çalışılması Emniyet Genel Müdürlüğü’ne , internetin güvenli kullanımı konusunda farkındalığın artırılması konusu ise TİB’e, görev olarak atanmıştır. Bir önceki dönemden farklı olarak bu stratejinin ara izleme ve sonuç raporları paylaşılmamıştır. Bilgi Toplumu ve Stratejisi eylem planında yer alan eylem maddesinden Adalet Bakanlığı uhdesinde yürütülen “Ulusal Bilişim Güvenliği Kanunu” çalışmalarının bir kez daha isim değiştirerek “Siber Güvenlik Kanunu” adı altında devam ettiğini anlıyoruz. 2015 sonunda tamamlanmak üzere koyulan hedef gerçekleştirilememiştir.
2014–2018 dönemini kapsayan Onuncu Kalkınma Planında 738. madde ile “Kişisel verilerin korunması ve ulusal
bilgi güvenliği alanlarında hukuki altyapı
tamamlanacaktır.” ifadesini görüyoruz. 2014 ve 2015 yıllık programında Adalet Bakanlığı sorumluluğunda yürüyen çalışmaların 2016 sonrasında “Siber güvenliğe ilişkin mevzuat düzenlemeleri” ifadesi ile UDHB’ye devredildiğini görüyoruz.
2016, 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girdi: İlk kez 1989 yılında bu konuda bir komisyon oluşturularak başlayan kanun çalışmaları komisyonun dağılması ile sonlanmıştır. e-Türkiye Girişimi, TUENA ve e-dönüşüm Türkiye projeleri ile kanun konusu gündemde kalmış, sonraki strateji ve eylem belgelerinde de yer almıştır. 2000 yılında yeni bir komisyon oluşturulmuş ve bu komisyon üç yıllık bir çalışmasının neticesinde bir kanun tasarısı hazırlamıştır. Fakat hazırlanan tasarı çeşitli nedenlerle kanunlaşamamıştır. 2008 ve 2014 yıllarında, Adalet Bakanlığı öncülüğünde yeni bir tasarı hazırlanıp Türkiye Büyük Millet Meclisi’ne (TBMM) sunulmuşsa da yasama dönemi sona erdiği için ilgili kanun teklifleri kadük yani geçersiz hale gelmiştir. 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM Başkanlığına sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
2016, 2016–2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı: UDHB’na bağlı Siber Güvenlik Kurulu koordinesinde 2015 yılı içerisinde sorumlu veya ilgili kurumlarla birlikte 7 adet değerlendirme toplantısı yapılmış, toplantıların ardından kritik altyapı işletmecileri, bilişim sektörü, üniversiteler, kamu kurumları ve sivil toplum kurumlarını temsilen 73
kurum ve kuruluştan toplam 126 uzmanın katılımı ile Ortak Akıl Platformu
gerçekleştirilmiştir. Bu çalışmalar sonrası strateji hazırlanmış ve 9 Eylül 2016 tarihinde kamuoyu ile paylaşılmıştır. 5 stratejik amaç doğrultusunda 41 eylemin hayata geçirilmesi öngörülmüştür. Önceki dönemden farklı olarak “Eylem Planı” ilgili kurumlara resmi yazı ile iletilmiş, internete açık bir ortamda paylaşılmamıştır. Bununla birlikte eylem planlarının sonuçları da paylaşılmamıştır.
2016, 671 sayılı KHK ile BTK’ya «siber saldırılara karşı her türlü tedbiri alır, aldırır yetkilendirmesi: Dönemin ihtiyaçları doğrultusunda hazırlanan 671 sayılı Kanun Hükmünde Kararname ile Bilgi Teknolojileri ve İletişim Kurumu’na; “Kurum, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin siber saldırılara karşı korunması ve bu saldırılara karşı caydırıcılık sağlamak için her türlü tedbiri alır veya aldırır.” ifadesi ile yetki verilmiştir. Aynı kararname ile Telekomünikasyon İletişim Başkanlığı (TİB) kapatılmış ve görev/yetkileri BTK’ya devredilmiştir.
2017, Türkiye Siber Güvenlik Kümelenmesi Projesi: Yerli ve milli siber güvenlik teknolojilerinin ve siber güvenlik ekosisteminin geliştirilmesi temel amacı ile Cumhurbaşkanlığı Savunma Sanayii Başkanlığı koordinesinde bir proje olarak hayata geçirilmiştir. Proje, Dijital Dönüşüm Ofisi ve Savunma Sanayi Başkanlığı arasında 1 Şubat 2021 tarihinde imzalanan protokol sonrası resmi olarak birlikte yürütülmeye başlanmıştır.
2017, KVKK Kuruluşu: Kişisel Verileri Koruma Kurulu atamaları tamamlanarak Kurul faaliyete geçmiştir.
2018, Siber Güvenlik Kurulu Kaldırıldı: Yeni hükümet sistemine geçiş ile birlikte 2 Temmuz 2018 tarihli ve 703 sayılı KHK ile Siber Güvenlik Kurulu kaldırıldı. Kurulun görev ve yetkilerinin «Cumhurbaşkanınca belirlenen kurul veya mercîe» devredileceği bildirilmiştir. Bu görev ve yetkilere ilişkin kısmî atamalar mevcut olsa da, tamamı bugüne kadar herhangi bir kurula veya mercîe devredilmemiştir.
2018,Dijital Dönüşüm Ofisi Kuruluşu: 9 Temmuz 2018 tarihinden itibaren uygulanmaya başlanan Cumhurbaşkanlığı Hükûmet Sisteminin 1 sayılı Cumhurbaşkanlığı Kararnamesi ile Dijital Dönüşüm Ofisi kurulmuştur. Ofise «Bilgi güvenliğini ve siber güvenliği artırıcı projeler geliştirmek» üst görevi atanmış, bununla birlikte Ofisin kuruluş teşkilatında yer alan Siber Güvenlik Daire Başkanlığı’na
- Cumhurbaşkanınca belirlenen politikalar kapsamında kamu kurumları ve kritik altyapılara yönelik siber güvenlik stratejileri geliştirmek
- Siber güvenlik ile ilgili politika, strateji ve eylem planlarının ülke çapında etkin şekilde uygulanmasına yönelik gelişmeleri takip etmek
- Kritik altyapıların belirlenmesine yönelik çalışmalar yapmak
- Kamu, özel sektör ve üniversiteler arasındaki işbirliğinin artırılması suretiyle ulusal siber güvenlik ekosisteminin oluşturulmasına katkı sağlamak
- Kritik altyapılar başta olmak üzere her alanda, yerli ve millî siber güvenlik ürünlerinin geliştirilmesine ve bu çözümlerin kullanımının kamuda yaygınlaştırılmasına yönelik çalışmalar yapmak
- Kritik teknoloji ve bilgi varlıklarını korumak amacıyla önleyici ve koruyucu faaliyetler konusunda çalışmalar yürütmek
- Kamu kurumlarında ve kritik altyapı işleten kuruluşlarda bilgi güvenliği yönetim sisteminin kurulup işletilmesi, teknik standartlar ile usul ve esasların belirlenmesi, uygulamanın izlenmesi ve yönlendirilmesi konularında çalışmalar yürütmek görevleri verilmiştir.
2019, Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren 06.07.2019 tarih ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayınlanmıştır.
2019, On Birinci Kalkınma Planı, Cumhurbaşkanlığı Hükumet Sisteminin ilk kalkınma planı olan ve 2019–2023 yıllarını kapsayan On Birinci Kalkınma Planı, 18.07.2019 tarihinde onaylanarak yayınlanmıştır. “Ulusal siber güvenliğin sağlanmasına yönelik düzenlemeler ile kurumsal yapılanma oluşturulacak ve teknik altyapı güçlendirilecektir. (474 nolu politika maddesi)” ile siber güvenlik alanındaki hukuki ve organizasyonel düzenlemeler gündemde tekrar yer bulmuştur.
Plan doğrultusunda hazırlanan 2020, 2021, 2022 ve 2023 Cumhurbaşkanlığı Yıllık Programları ile Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı’na siber güvenliğe yönelik düzenlemelerinin ve teknik altyapının güçlendirilmesi ile güçlü bir koordinasyon yapısının oluşturulması, Ulusal Siber Güvenlik Stratejisi’nin güncellenmesi çalışmalarının koordinasyonu, kamu kurumlarında bilgi güvenliği yönetim sistemi kurulması ve denetlenmesine yönelik usul ve esasların belirlenmesi, kamuda siber güvenliğin koordinasyonunun tek çatı altında toplanarak etkinliğinin artırılması gibi sorumluluklar verilmiştir.
2020, İlk Siber Güvenlik Lisesi, İstanbul İl Millî Eğitim Müdürlüğü ile Teknopark İstanbul A.Ş arasında imzalanan iş birliği protokolü kapsamında Pendik Teknopark İstanbul Mesleki ve Teknik Anadolu Lisesi (Siber Güvenlik Lisesi) 30 Nisan 2020 tarihinde açılmıştır. Teknoloji geliştirme bölgesi statüsünde olan Teknopark İstanbul’un bünyesinde yer almakta olan okul, siber güvenlik alanında eğitim vermektedir. Sızma testi, adli bilişim, yapay zekâ ve siber tatbikat laboratuvarları bulunan okulda eğitim gören öğrencilere Teknopark İstanbul başta olmak üzere siber güvenlik faaliyeti yürüten firmalarda da geniş staj imkânı sunulmaktadır. Henüz ilk mezunlarını vermemiştir.
2020, Bilgi ve İletişim Güvenliği Rehberi, 6.07.2019 tarih ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi ile ortaya konan 21 adet tedbirin kamu kurumları ve kritik altyapı işletmelerinde nasıl uygulanacağına ilişkin 621 tedbir maddesinden ve uyum planından oluşan Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından hazırlanan “Bilgi ve İletişim Güvenliği Rehberi” 24.07.2020 tarihinde yayımlanmıştır.
2020, Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020–2023), 29 Aralık 2020 tarih ve 31349 sayılı resmi gazetede yayımlanan 2020/15 sayılı Genelge ile yürürlüğe girmiştir. 40 eylem ve 75 uygulama adımından oluşan eylem planı sorumlu ve ilgili kurumlara resmi yazı ile gönderilmiştir.
2021,Bilgi ve İletişim Güvenliği Denetim Rehberi, Bilgi ve İletişim Güvenliği Rehberinde hedeflenen kazanımların elde edilebilmesi ve sürekliliğinin sağlanması amacıyla denetim ve gözetim faaliyetlerinin etkin olarak gerçekleştirilebilmesi için Dijital Dönüşüm Ofisi tarafından Bilgi ve İletişim Güvenliği Denetim Rehberi hazırlanmış ve 2021 yılında yayınlanmıştır. İç denetimlerini hizmet alım yolu ile gerçekleştirmek isteyen kurumlar için denetim hizmeti alınacak firmaların ve personelinin sahip olması gereken kriterler ile bunların eğitim ve belgelendirme hususlarını içeren “Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Sağlayan Personel ve Firma Belgelendirme Programı” Dijital Dönüşüm Ofisi koordinasyonunda TSE ve TÜBİTAK BİLGEM iş birliği ile hayata geçirilmiştir.
2022, Ulusal Siber Güvenlik Çatı Mevzuatı Çalışmalarının Başlatılması, Dijital Dönüşüm Ofisi tarafından siber güvenlik alanında, yeni nesil siber tehditlere karşı etkili bir mücadele için organizasyon yapısı ve mevzuatta yapılması gereken iyileştirmelerin tartışıldığı Ulusal Siber Güvenlik Çalıştayı 13 Aralık 2022 tarihinde Cumhurbaşkanlığı Külliyesi’nde gerçekleşti.
2023, MİT Siber İstihbarat Başkanlığı Kuruldu, Elektronik ve Teknik İstihbarat Başkanlığı altında devam eden siber istihbarat faaliyetlerini yürütmek üzere Siber İstihbarat Başkanlığı kuruldu.
2023, Siber Güvenlik Meslek Yüksekokulları’nın Açılması, Yükseköğretim Kurulu Başkanlığı ile Dijital Dönüşüm Ofisi Başkanlığı arasında 05.10.2022 tarihinde imzalanan işbirliği protokolü ile “Siber Güvenlik Meslek Yüksekokullarının Açılması” konusunda çalışmalar gerçekleştirilmiştir. Ankara Üniversitesi, Ege Üniversitesi, Gebze Teknik Üniversitesi, İstanbul Teknik Üniversitesi bünyesinde açılan okullarda “ Siber Güvenlik Analistliği ve Operatörlüğü” ön lisans programı verilecektir.
>>>Kaynakça
[1] 2021, Yasama Dergisi, “Türkiye’de Siber Güvenlik: Yasal ve Kurumsal Altyapı”;Hasan Alpay Karasoy, Pelin Babaoğlu, https://dergipark.org.tr/tr/pub/yasamadergisi/issue/68393/1005110
[2] 2015, Kalkınma Bakanlığı Yayınları, “Ulusal Bilgi Güvenliği:Strateji ve Kurumsal Yapılanma”, Murat Güngör, https://www.sbb.gov.tr/wp-content/uploads/2022/08/Ulusal-Bilgi-Guvenligi-Strateji-ve-Kurumsal-Yapilanma-Murat-Gungor.pdf
[3] http://www.bilgitoplumu.gov.tr/
