CumhurbaÅŸkanı ErdoÄŸan'ın yayınladığı, "Bilgi ve Ä°letiÅŸim GüvenliÄŸi Tedbirleri" genelgesine göre, yerli ve milli kripto sistemlerinin geliÅŸtirilmesi teÅŸvik edilerek, kurumlara ait gizlilik dereceli haberleÅŸmenin bu sistemler üzerinden yapılması saÄŸlanacak.

CumhurbaÅŸkanı Recep Tayyip ErdoÄŸan, milli güvenliÄŸi tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliÄŸinin saÄŸlanması amacıyla "Bilgi ve Ä°letiÅŸim GüvenliÄŸi Tedbirleri"ne iliÅŸkin genelge yayımladı.

CumhurbaÅŸkanı ErdoÄŸan'ın imzasıyla Resmi Gazete'de yayımlanan genelgede, bilginin dijital ortamlara taşınması, bilgiye eriÅŸimin kolaylaÅŸması, altyapıların dijital hale gelmesi ve bilgi yönetim sistemlerinin yaygın olarak kullanılmasının ciddi güvenlik risklerini beraberinde getirdiÄŸi belirtildi. 

Bu kapsamda karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliÄŸi, bütünlüÄŸü veya eriÅŸilebilirliÄŸi bozulduÄŸunda milli güvenliÄŸi tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliÄŸinin saÄŸlanması amacıyla alınacak tedbirler belirlendi.

Genelgeye göre, 21 maddeden oluÅŸan tedbirler ÅŸöyle:

"Nüfus, saÄŸlık ve iletiÅŸim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler, yurt içinde güvenli bir ÅŸekilde depolanacak.

Kamu kurum ve kuruluÅŸlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliÄŸi saÄŸlanmış bir ortamda bulunan güvenli bir aÄŸda tutulacak. Bu aÄŸda kullanılacak cihazlara eriÅŸim kontrollü olarak saÄŸlanacak ve log kayıtları deÄŸiÅŸtirilmeye karşı önlem alınarak saklanacak.

KAMU VERÄ°LERÄ°NE "BULUT" YASAÄžI

Kamu kurum ve kuruluÅŸlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet saÄŸlayıcılar hariç bulut depolama hizmetlerinde saklanmayacak.

Mevzuatta kodlu veya kriptolu haberleÅŸmeye yetkilendirilmiÅŸ kurumlar tarafından geliÅŸtirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar ve sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleÅŸme yapılmayacak. Sosyal medya ve haberleÅŸme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecek.

Kamu kurum ve kuruluÅŸlarınca gizlilik dereceli bilgilerin iÅŸlendiÄŸi yerlerde yayma güvenliÄŸi (TEMPEST) veya benzeri güvenlik önlemleri alınacak. Kritik veri, doküman ve belgelerin bulunduÄŸu ve/veya görüÅŸmelerin gerçekleÅŸtirildiÄŸi çalışma odalarında, ortamlarında mobil cihazlar ve veri transferi özelliÄŸine sahip cihazlar bulundurulmayacak. Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiÅŸ veya kiÅŸisel olarak kullanılan dizüstü bilgisayar, mobil cihaz, harici bellek ve benzeri cihazlar da bulundurulmayacak.

KURUM DIÅžINA ÇIKARILAN BÄ°LGÄ° OKUNAMAYACAK

KiÅŸisel olarak kullanılanlar da dahil olmak üzere kaynağından emin olunmayan dizüstü bilgisayar, mobil cihazlar, harici bellek/disk, CD/DVD ve benzeri taşınabilir cihazların, kurum sistemlerine baÄŸlanmayacağının da belirtildiÄŸi genelgeye göre, gizlilik dereceli verilerin saklandığı cihazlar ancak içerisinde yer alan veriler donanımsal veya yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek. Bu amaçla kullanılan cihazlar da kayıt altına alınacak.

Ayrıca, yerli ve milli kripto sistemlerinin geliÅŸtirilmesi teÅŸvik edilerek kurumlara ait gizlilik dereceli haberleÅŸmenin bu sistemler üzerinden gerçekleÅŸtirilmesi saÄŸlanacak.

Kamu kurum ve kuruluÅŸlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi, izni olmaksızın sistemlere eriÅŸim imkanı saÄŸlayan güvenlik zafiyeti) açıklığı içermediÄŸine dair üretici veya tedarikçilerden imkanlar ölçüsünde taahhütname alınacak.

Yazılımların güvenli olarak geliÅŸtirilmesi ile ilgili tedbirler alınacak. Temin edilen veya geliÅŸtirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacak. Kurum ve kuruluÅŸlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacak. Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere eriÅŸim yetkilendirmelerinin, fiilen yürütülen iÅŸler ve ihtiyaçlar nazara alınarak yapılması saÄŸlanacak.

Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması saÄŸlanacak. Bu sistemlerin internete açık olmasının zorunlu olduÄŸu durumlarda ise güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları gibi gerekli güvenlik önlemleri alınacak. 

Milli güvenliÄŸi doÄŸrudan etkileyen stratejik önemi haiz kurum ve kuruluÅŸların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruÅŸturması veya arÅŸiv araÅŸtırması yaptırılacak.

Kamu e-posta sistemlerinin ayarları güvenli olacak biçimde yapılandırılacak, e-posta sunucuları, Türkiye'de ve kurumun kontrolünde bulundurulacak. Sunucular arasındaki iletiÅŸimin ise ÅŸifreli olarak yapılması saÄŸlanacak.

Kurumsal olmayan ÅŸahsi e-posta adreslerinden kurumsal iletiÅŸim yapılmayacak, kurumsal e-postalar, özel iletiÅŸim, kiÅŸisel sosyal medya hesapları ve benzeri ÅŸahsi amaçlarla kullanılmayacak.

HaberleÅŸme hizmeti saÄŸlamak üzere yetkilendirilmiÅŸ iÅŸletmeciler, Türkiye'de internet deÄŸiÅŸim noktası kurmakla yükümlü olacak. Yurt içinde deÄŸiÅŸtirilmesi gereken yurt içi iletiÅŸim trafiÄŸinin yurt dışına çıkarılmamasına yönelik de tedbirler alınacak.

Ä°ÅŸletmeciler tarafından, kritik kurumların bulunduÄŸu bölgelerdeki veriler ise radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacak. Kritik veri iletiÅŸiminde, radyolink haberleÅŸmesi kullanılmayacak ancak kullanımın zorunlu olduÄŸu durumlarda ise veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacak.

Öte yandan, CumhurbaÅŸkanlığı Dijital DönüÅŸüm Ofisi BaÅŸkanlığı koordinasyonunda, ilgili kamu kurum ve kuruluÅŸlarının katkılarıyla güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliÄŸi, bütünlüÄŸü veya eriÅŸilebilirliÄŸi bozulduÄŸunda milli güvenliÄŸi tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliÄŸinin saÄŸlanması amacıyla, "Bilgi ve Ä°letiÅŸim GüvenliÄŸi Rehberi" hazırlanacak. 

Ulusal ve uluslararası standartlar ve bilgi güvenliÄŸi kriterleri çerçevesinde hazırlanacak rehber, kamu kurum ve kuruluÅŸları ile kritik altyapı niteliÄŸinde hizmet veren iÅŸletmelerde uygulanmak üzere farklı güvenlik seviyelerini içerecek.

"www.cbddo.gov.tr" adresinde yayımlanacak rehber, ihtiyaçlar, geliÅŸen teknoloji, deÄŸiÅŸen ÅŸartlar ile Ulusal Siber Güvenlik Stratejisi ve eylem planlarında yapılacak deÄŸiÅŸiklikler göz önünde bulundurularak güncellenecek.

Tüm kamu kurum ve kuruluÅŸları ile kritik altyapı hizmeti veren iÅŸletmelerin de yeni kurulacak bilgi sistemlerinde, rehberde yer verilen usul ve esaslara uyulması zorunlu olacak.

Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak, yayımlanmasını müteakip rehberde yer alacak plan çerçevesinde, kademeli olarak bu esaslara uyumlu hale getirilecek. Uyum çalışmalarında ve yeni kurulacak bilgi sistemlerinde, belirtilen adreste yayımlanan güncel sürüm dikkate alınacak.

Milli güvenliÄŸin saÄŸlanması ve gizliliÄŸin korunması kapsamında yürütülen görev ve faaliyetler hariç olmak üzere kurum ve kuruluÅŸlar, rehberin uygulanmasına iliÅŸkin denetim mekanizmalarını oluÅŸturacak ve yılda en az bir defa uygulamayı denetleyecek. Denetim sonuçları ile yapılan düzeltici ve önleyici faaliyetler, rehberde belirtilen usul ve esaslara göre bir rapor halinde Dijital DönüÅŸüm Ofisine iletilecek.