Kanun, teknik bir bakış açısıyla değerlendirildiğinde, olay müdahale ve adli bilişim alanında öne çıkan temel unsurlar ve gereklilikler bu yazının temasını oluşturmaktadır.
Kanunun ilk maddesi “Amaç” olarak tanımlanmıştır ve aşağıdaki gibidir:
Amaç
MADDE 1- (1) Bu Kanunun amacı, Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ilişkin esasları düzenlemektir.
Birinci maddenin içerisinde yer alan ifadeleri teknik açıdan değerlendirdiğimizde, çıkarımları şu başlıklar halinde sıralayabiliriz.
Kanunun 1. maddesi, siber uzayın Türkiye Cumhuriyeti’nin egemenlik alanı olarak tanımlandığını açıkça ortaya koyuyor. Bu yaklaşım, uluslararası alanda özellikle devletlerin siber güvenlik politikalarını şekillendirirken kullandıkları “egemen siber uzay” kavramıyla örtüşmektedir. Siber uzayın, kara, hava, deniz ve uzay sahalarına ek olarak beşinci operasyon alanı (fifth domain) olarak kabul edilmesi ve buna yönelik yasal altyapının oluşturulması, Türkiye’nin ulusal siber güvenlik anlayışında proaktif bir yaklaşımı benimsediğini göstermektedir.
Bu madde, ulusal siber güvenliğe yönelik iç ve dış tehditlerin hem tespit edilmesi hem de bertaraf edilmesini devletin bir yükümlülüğü olarak tanımlıyor. Teknik açıdan bakıldığında bu durum, şu iki önemli boyutu içeriyor:
İç ve dış tehditlerin tespiti, büyük ölçüde siber tehdit istihbaratına (CTI) dayanmaktadır. Bu, tehdit aktörlerinin (APT grupları, organize suç örgütleri, hacktivistler, iç tehditler vb.) takip edilmesi, TTP’lerinin (Taktik, teknik ve Prosedürler) analiz edilmesi ve önceden tehditleri tahmin etmeye dayalı bir yaklaşım gerektirir. Kanunun bu yönü, tehdit avcılığı (threat hunting), IoC (Indicators of Compromise) paylaşımı, siber tehdit raporlama sistemleri gibi kritik süreçleri zorunlu kılacaktır.
Tehditlerin bertaraf edilmesi, önleyici (proaktif) ve müdahale (reaktif) yaklaşımları içermektedir. Bu noktada Siber Olaylara Müdahale Ekipleri (SOME), SOC merkezleri, Adli Bilişim Laboratuvarları gibi teknik birimlerin koordineli çalışması gereklidir. Ayrıca, Forensic Readiness (Adli Hazırlık) süreçlerinin siber güvenlik yönetiminin ayrılmaz bir parçası haline gelmesi gerekecektir.
Kanun, sadece olayların tespiti ve bertarafını değil, aynı zamanda etkilerinin azaltılmasını (mitigation) da hedefliyor. Bu durum, şu teknik gereklilikleri beraberinde getiriyor:
Siber olayların etkilerini minimize edebilmek için sistemlerin dayanıklılığını artıran önlemler kritik hale geliyor. Bu bağlamda, Zero Trust Mimari (ZTA), Segmentasyon, Yedekleme Stratejileri, Red Teaming Tatbikatları, Kriz Yönetimi Senaryoları (Tabletop Exercises) ve Sızma Testleri gibi tekniklerin daha sıkı uygulanması gerekecektir.
Siber olayların etkilerini azaltmak için disaster recovery (felaket kurtarma) ve iş sürekliliği planlarının oluşturulması yasal bir gereklilik haline gelebilir. Kritik altyapılarda failover mekanizmalarının, yedekleme sistemlerinin ve saldırı sonrası sistem geri yükleme (rollback) senaryolarının zorunlu tutulması beklenmelidir.
Kanun, sadece devlet kurumlarını değil, özel sektörü ve bireyleri de kapsayan geniş bir çerçeve sunuyor. Teknik açıdan bu, kamu-özel sektör iş birliğinin artırılması ve özel sektör kuruluşlarının da siber güvenlik önlemlerine yasal olarak zorlanacağı anlamına geliyor.
Büyük ölçekli şirketler, özellikle Kritik Altyapı kapsamındaki kuruluşlar, ISO 27001, NIST Cybersecurity Framework, CIS Controls, PCI-DSS gibi güvenlik standartlarını uygulamak zorunda kalabilir.
Kamu kurumları için Türkiye Siber Güvenlik Stratejisi ve Eylem Planı çerçevesinde SOME’lerin güçlendirilmesi, güvenlik operasyonlarının merkezi bir otorite tarafından koordine edilmesi (örneğin USOM), ulusal tehdit istihbaratı paylaşımı gibi hususların zorunlu hale getirilmesi beklenmektedir.
Kanun, bireyleri doğrudan zorlayıcı bir unsur içermese de siber hijyenin artırılması, farkındalık eğitimleri, kimlik avı (phishing) ve sosyal mühendislik saldırılarına karşı bireylerin eğitilmesi gibi konuları da kapsamlı bir şekilde içerebilir.
Kanunun amacı, sadece mevcut tehditleri yönetmek değil, aynı zamanda stratejik bir çerçeve oluşturmak olarak tanımlanıyor. Bu, şu konuları zorunlu kılar:
Siber güvenlik alanında politikaların oluşturulması ve uygulanması, BTK, USOM, TÜBİTAK BİLGEM, STM, DDO, Savunma Sanayii Başkanlığı (SSB) gibi kurumların aktif olarak işin içinde olmasını gerektirecektir.
Kanun, yerli ve milli çözümleri teşvik etmeyi öngördüğüne göre, Türkiye merkezli güvenlik yazılımları, EDR, SIEM, SOAR, Threat Intelligence platformları, donanımsal güvenlik çözümleri gibi teknolojilerin geliştirilmesi ve kamu tarafından zorunlu olarak kullanılması gündeme gelebilir.
Devletin Ar-Ge teşvikleri, start-up destekleri, akademik araştırmaları finanse etmesi ve yerli siber güvenlik ürünlerine yönelik regülasyonlar getirmesi olasılık dahilindedir.
Kanunun amacı, siber uzayın ulusal güvenlik bileşeni olarak ele alınması, siber tehditlerin yönetilmesi, ulusal stratejilerin belirlenmesi ve kamu-özel sektör koordinasyonunun sağlanması olarak özetlenebilir. Teknik açıdan, bu düzenleme aşağıdaki gereklilikleri ortaya çıkaracaktır:
Siber güvenlik farkındalığının toplum geneline yayılması Kanunun diğer maddeleri detaylandırıldıkça, özellikle sertifikasyon süreçleri, zorunlu uyumluluk standartları ve olay müdahale prosedürleri daha net bir şekilde ortaya çıkacaktır. Devam eden maddeleri değerlendirdiğimizde, MDR hizmetleri, adli bilişim prosedürleri ve uluslararası iş birlikleri gibi konuların nasıl ele alındığını da incelemek gerekecektir.
-
Kuantum bilgisayarlar, klasik bilgisayarların ötesine geçen hesaplama yetenekleriyle, modern kriptografi altyapılarını tehdit eden yeni bir dönemi beraberinde getirmektedir.
Windows Event Forwarding, Windows tabanlı sistemlerde yerel olarak desteklenen günlük merkezileştirme özellikleri sağlar. Microsoft, sunucular üzerindeki logların tek bir yerde toplanması WEF mimarisi ile sağlamaktadır.
Veri Koruma Günü, her yıl 28 Ocak’ta, kişisel verilerin korunması ve veri gizliliği konusunda farkındalık yaratmak amacıyla belirlenmiş bir gündür.
USOM, Ulusal Siber Olaylara Müdahale Merkezi kelimelerinin kısaltmasıdır. USOM, 2013’de “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” 4.maddesi dahilinde BTK bünyesinde kurulmuştur.
