Siber Güvenlik

Siber Güvenlik Kanunu Teklifi Hakkında Kısa Değerlendirme

BM Dergi
BM Dergi
865 Görüntüleme
10 Dk Okuma Süresi

Türkiye Büyük Millet Meclisi’ne 10 Ocak 2025 tarihinde sunulan Siber Güvenlik Kanunu Teklifine ilişkin çeşitli çevrelerden açıklamalar ve yorumlar yapılmaktadır. Açıklamalarda teknik yönden ciddi yanlışlar ve eksikler bulunmaktadır. Bu nedenle öncelikli olarak çok eleştirilen konulardan başlayarak, ülkemizdeki kanunlar, yönetmelikler ile Avrupa ve Dünyadaki tanımları bağlamında bilgilendirme yapacağız. Kanun yapıcılara ve kamuoyuna faydası olması dileğiyle.

İçindekiler

YAPI ve ORGANİZASYON

Sadece “Siber Güvenlik Kurulu oluşturulmakta ve Kurulun kimlerden oluşacağı düzenlenmektedir.” İfadesi yer almaktadır.

Avrupa Birliğinin en büyük ülkesi Almanya’nın konu ile ilgili bir organizasyon şemasını örnek olarak verelim.

KRİTİK ALTYAPILAR

Kritik Altyapı tanımları:

AB Komisyonunun hazırlamış olduğu 2004 tarih ve 702 sayılı ‘Terörizmle Mücadele Kapsamında Kritik Alt Yapıların Korunması” başlıklı tebliğe göre;

Kritik altyapı, ‘insanların hayati, sosyal işlevlerinin, sağlıklarının, emniyetlerinin, güvenliklerinin, ekonomik ve toplumsal refahlarının devamı için gerekli olan ve aksaması veya yok edilmesi bu işlevlerini sürdürmede yetersiz kalınması sonucunda bir üye ülkede belirgin etki gösterecek varlık, sistem veya ilgili parçaları’ olarak tanımlanmıştır.

ABD’nin tanımı;

‘ABD için yaşamsal, fiziki ve sanal sistemler ile varlıkların kapasitesiz bırakılması, yok edilmesi, ulusal güvenlik ve ekonomik güvenlik, ulusal kamu sağlığı veya güvenliği veya bütün bu sayılanların bir birleşimi üzerinde zayıflatıcı etkiye sahip olacaktır.’

Japonya’daki tanıma göre;

‘Kritik Altyapılar yeri doldurulamaz servisler sağlayan iş birimlerinden oluşur, insanların sosyal hayatları ve ekonomik aktiviteleri için vazgeçilmezdir. Eğer bir altyapının işlevi azaltılır, sonlandırılır veya erişilemez duruma getirilirse insanların sosyal yaşamları ve ekonomik aktiviteleri altüst olur.’ biçiminde tanımlanmıştır.

Kanun teklifindeki tanıma göre;

Kritik altyapı, işlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapıları,

Kritik kamu hizmeti, Ulusal, toplumsal veya ekonomik faaliyetlerin sürdürülmesi için gerekli olan ve kesintiye uğraması veya zarar görmesi halinde ulusal güvenlik, ülkenin sosyal veya ekonomik refahı, kamu düzeni veya sağlığı ya da diğer hizmetlerin sunumu üzerinde önemli bir etki oluşturabilecek ülke genelinde tekel veya sınırlı ikame ile sunulan hizmeti,

Görüleceği üzere tanımlar benzerdir. Ancak, ülkemizde tanım ikiye bölünerek ‘Kritik Altyapı’ ve ‘Kritik Kamu Hizmeti’ olarak tanımlanmıştır.

AB Konseyi tarafından belirlenen kritik altyapılar;

  • Bilgi ve İletişim
  • Enerji
  • Sağlık
  • Su
  • Gıda
  • Ulaşım
  • Finans
  • Uzay Araştırmaları
  • Nükleer, Biyolojik, Kimyasal ve Radyoaktif madde endüstrileri
  • Kamu Düzeni ve Güvenlik
  • Sivil Yönetim

ABD ‘Ulusal Altyapı Koruma Planı’na göre kritik altyapılar;

  • Bilgi Teknolojileri
  • İletişim
  • Acil Servisler
  • Sağlık Hizmetleri ve Kamu Sağlığı
  • Ulusal Anıtlar ve Simgeler
  • Tarım ve Gıda
  • Su
  • Barajlar
  • Enerji
  • Posta ve Nakliye
  • Ticari Tesisler
  • Savunma Sanayi
  • Bankacılık ve Finans
  • Hükümet Tesisleri
  • Ulaşım Sistemleri
  • Kritik Üretim
  • Kimya
  • Nükleer Reaktörler, Maddeler ve Atıklar

Japon Hükümeti tarafından belirlenen kritik altyapılar;

  • Telekomünikasyon
  • Sağlık Hizmetleri
  • Su
  • Kamu Yönetimi
  • Elektrik
  • Gaz
  • Sivil Havacılık
  • Demiryolu
  • Lojistik
  • Finans

‘Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nın 5.maddesine göre ‘Siber Güvenlik Kurulu’nca ilk etapta belirlenen ülkemizin kritik alt yapıları;

  • Ulaşım
  • Enerji
  • Su Yönetimi
  • Elektronik Haberleşme
  • Finans
  • Kritik Kamu Hizmetleri

Burada ‘Kritik Kamu Hizmetleri’nin açılmasında ve diğer maddelerin belirlenerek açıklanmasında fayda olacaktır.

Henüz, ülkemizde kritik altyapılar ve bunların korunması ile ilgili konuları içeren doğrudan bir düzenleme yoktur. Enerji EPDK, Elektronik Haberleşme BTK, Bankacılık ve Finans BDDK ve SPK tarafından mevzuatlarından kaynaklanan düzenleme ve korumaları yapmaktadır.

ÜLKEMİZDE SİBER GÜVENLİK ile İLGİLİ YASAL MEVZUAT ve STANDARTLAR

KANUNLAR ve Yönetmelikler

  • Türkiye Cumhuriyeti Anayasası
  • 5237 Sayılı Türk Ceza Kanunu
  • 5271 Sayılı Ceza Muhakemeleri Kanunu
  • 5070 Sayılı Elektronik İmza kanunu
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu
  • 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla Yapılan işlenen Suçlarla Mücadele edilmesi Hakkında Kanun
  • 6518 Sayılı Siber Güvenlik kanunu
  • Elektronik Haberleşme Güvenliği yönetmeliği

Siber Suçlar ile ilgili en kapsamlı düzenleme 5237 sayılı Türk Ceza Kanunudur.

  • Bilişim sistemlerine girme madde 243-(1).
  • Sistemi engelleme, bozma, verileri yok etme veya değiştirme, madde 243-(4), 244-(1,2,3,4). (Donanımda koruma altına alınmıştır.)
  • Banka veya kredi kartlarının kötüye kullanılması madde 245-(1,2,3)
  • Yasak cihaz ve programlar madde 245/A
  • Tüzel kişiler hakkında güvenlik tedbirleri uygulanması madde 246.
  • Haberleşmenin engellenmesi madde 124-(1,2,3).
  • Hakaret madde 125-(1,2,4).
  • Haberleşmenin gizliliğinin ihlali madde 132-(1,2,3,4)
  • Kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması madde 133-(1,3).
  • Kişisel verilerin hukuka aykırı kaydedilmesi madde 135-(1,2).
  • Verileri hukuka aykırı olarak verme veya ele geçirme madde 136, 138-(1).
  • Nitelikli hırsızlık madde 142-(2).
  • Nitelikli dolandırıcılık madde 158-(1).
  • Müstehcenlik madde 226-(1).

5271 Sayılı Ceza Muhakemeleri Kanunu

Bir suç dolayısı ile yapılan soruşturmada somut delillere dayanan kuvvetli şüphe sebeplerinin varlığı ve başka surette delil elde etme imkanının bulunmaması halinde, hakim veya gecikmesinde sakınca bulunan hallerde Cumhuriyet Savcısı tarafından şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin haline getirilmesine karar verilir.

Türkiye Cumhuriyeti Anayasası

Özel Hayatın Gizliliği Madde 20

Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.

6158 sayılı kanun;

Madde 95 – 5651 sayılı Kanunun 10 ’uncu maddesinin dördüncü fıkrasının ( bendinde yer alan “yayınları önlemeye” ibaresinden sonra internetin güvenli kullanımını sağlamaya, bilişim şuurunu geliştirmeye ibaresi eklenmiş beşinci fıkrası aşağıdaki şekilde değiştirilmiş, maddeye aşağıdaki fıkralar eklenmiştir.

Madde 95-(6)

Başkanlık, ulusal siber güvenlik faaliyetleri kapsamında, siber saldırıların tespiti ve önlenmesi konusunda, içerik, yer, erişim sağlayıcılar ve ilgili diğer kurum ve kuruluşlarla koordinasyon sağlar, gerekli tedbirlerin aldırılması konusunda faaliyet yürütür ve ihtiyaç duyulan çalışmaları yapar.

Madde 102

5.11.2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 5 inci maddesinin birinci fıkrasına aşağıdaki bent eklenmiştir.

h) Ulusal siber güvenliğin sağlanması amacıyla politika, strateji ve hedefleri belirlemek, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilere yönelik siber güvenliğin sağlanmasına ilişkin usul ve esasları belirlemek, eylem planlarını hazırlamak, Siber Güvenlik Kurulunun sekretaryasını yapmak ilgili faaliyetlerin koordinasyonunu sağlamak, kritik altyapılar ile ait oldukları kurumları ve konumları belirlemek, gerekli müdahale merkezlerini kurmak, kurdurmak ve denetlemek, her türlü siber müdahale aracının ve millî çözümlerin üretilmesi ve geliştirilmesi amacı ile çalışmalar yapmak, yaptırmak ve bunları teşvik etmek ve siber güvenlik konusunda bilinçlendirme, eğitim ve farkındalığı artırma çalışmaları yürütmek, siber güvenlik alanında faaliyet gösteren gerçek ve tüzel kişilerin uyması gereken usul ve esasları hazırlamak.

Madde 103

5809 sayılı Kanunun 6ncı maddesinin birinci fıkrasının (ü) bendinden sonra gelmek üzere aşağıdaki (v) bendi eklenmiş ve diğer bent buna göre teselsül ettirilmiştir.

(v) Siber güvenlik ve internet alan adları konularında Bakanlar Kurulu, Bakanlık ve/veya Siber Güvenlik Kurulu tarafından verilen görevleri Telekomünikasyon İletişim Başkanlığı veya diğer birimleri marifetiyle yerine getirmek

Madde 106

5809 sayılı Kanuna aşağıdaki ek madde eklenmiştir “Siber Güvenlik Kurulu’’

EK MADDE 1 – (1) Siber güvenlikle ilgili olarak kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler tarafından alınacak önlemleri belirlemek, hazırlanan plan, program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla Bakanın başkanlığında Siber Güvenlik Kurulu kurulmuştur.

Siber Güvenlik Kurulunda yer alacak bakanlık ve kamu kurum ve kuruluşları ile üyelerinin temsil düzeyi Bakanlar Kurulu tarafından belirlenir

(2) Kurulun görevleri şunlardır;

a) Siber güvenlik ile ilgili politika, strateji ve eylem planlarını onaylamak ve ülke çapında etkin şekilde uygulanmasına yönelik gerekli kararları almak

b) Kritik altyapıların belirlenmesine ilişkin teklifleri karara bağlamak

c) Siber güvenlikle ilgili hükümlerin tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek

ç) Kanunlarla verilen diğer görevleri yapmak

(3) Siber Güvenlik Kurulunun çalışma usul ve esasları Başbakanlıkça çıkartılacak yönetmelikle belirlenir

ÜLKEMİZDE KRİTİK ALTYAPI GÜVENLİĞİ MEVZUATI

  • 20.06.2013 tarihli ve 28683 sayılı Resmi Gazetede yer alan ‘2013 2014 Ulusal Siber Güvenlik Stratejisi Eylem Planı’
  • 13.07.2014 tarihli ve 29059 sayılı ‘Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği’
  • 2016-2019 Ulusal Siber Güvenlik Stratejisi Eylem Planı
  • 13.07.2017 tarihli ve 30123 sayılı ‘Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği’
  • 21.07.2017 Tarih ve 30103 sayılı ‘KAMUNET Ağına Bağlanma ve KAMUNET Ağının Denetimine İlişkin Tebliğ’
  • TÜBİTAK Kamu Kurumlarının Uyması Gereken Asgari Bilgi Güvenliği Kriterleri
  • BTK Ulusal Siber Olaylara Müdahale Merkezi (USOM)
  • UAB Sektörel SOME Kurulum ve Yönetim Rehberi
  • UAB Kritik Bilgi Sistem Altyapıları için Asgari Güvenlik Önlemleri Dokümanı
  • ISO/IEC 27001 ve ISO/IEC 27002 Bilgi Güvenliği Standartları

SONSÖZ

Kanun Teklifi, siber güvenliğin ve kritik altyapıların korunmasını hedefleyen bir düzenleme olarak daha önce çıkarılan kanunlar, yönetmelikler ile çelişmemelidir. Tanımların içerisi boş bırakılarak yasal güvencelerden yoksun keyfi düzenlemeler haline dönüştürülmemelidir.

Teklif, temel hak ve özgürlükler başta olmak üzere ifade özgürlüğü, kişisel verilerin korunması ve özel hayatın gizliliği gibi demokratik toplumun temel değerlerini korumalıdır.

Kanun teklifinin kısa sürede, özensiz, konu ile ilgili sivil toplum kuruluşlarına danışılmadan ve önerileri alınmadan hazırlandığı ortadadır. Kanun teklifi ivedilikle gözden geçirilmeli, yönetmelikler hazırlanırken konu ile ilgili sivil toplum kuruluşlarının görüşü mutlaka alınmalıdır.

TMMOB Bilgisayar Mühendisleri Odası

Siber Güvenlik Çalışma Grubu

ETİKETLENDİ:
Bu Makaleyi Paylaşın
TarafındanBM Dergi
Follow:
Bilgisayar Mühendisleri Odası Resmi Yayın Organı
Önceki Makale Yapay Zeka Tartışmasına Doğru Başlamak
Sonraki Makale Üniversiteler ve Büyük Veri YÖK Büyük Veri Projesi Üzerine Bir Değerlendirme 

Bizi takip edin

En Son Eklenenler

Yapay Zeka Balonu Sönüyor mu? Mühendisler İçin Gerçekçi Bir Bakış
Genel
Mühendislik Öğrencilerinin Staj Sorunu: Nedenler, Sonuçlar ve Çözüm Önerileri – 6
Çalışma Yaşamı
BMK’nin Ardından : Birlikte Düşünmek, Birlikte Tartışmak
BMO/TMMOB
Mühendislik Öğrencilerinin Staj Sorunu: Nedenler, Sonuçlar ve Çözüm Önerileri – 5
Eğitim

Benzer Yazılar