Bulut Teknolojileri ‘Korku’ Yaratıyor
‘Bulut Bilişim’ ya da ‘Bulut Teknolojileri’, internet üzerinden
birçok kullanıcının erişebildiği veri
merkezlerini (bulut depolama) tanımlıyor. ‘Bulut Bilişim’, tutarlılık
ve ölçek ekonomisi sağlamak için kaynakların
paylaşılmasına dayanıyor. ‘Bulut Teknolojileri’nde depolanan verilerin giderek
dev asa boyutlara gelmesi (büyük veri) güvenlik sorunlarını da (siber güvenlik)
beraberinde getiriyor. O nedenle verilerini bulut bilişimde depolamayı tercih
eden bazı ülkeler, güvenlik korku ve kaygısı yaşıyor. Veri merkezleri ve bulut
depolamasında yerli veri merkezleri ve yerli kriptolama teknolojilerini tercih
etmeye başlayan ülkeler arasında Türkiye’de bulunuyor.
Türkiye Bilişim Derneği’nin (TBD) 23-24 Ekim 2020
tarihlerihnde gerçekleştirdiği “TBD Kamu-BİB’23
ve BİMY’27 Bütünleşik Etkinliği”nde de konu bir kez daha güdeme geldi. “Kamuda
Bulut Korkusu” başlıklı oturumda konuya ilişkin bir çalışma grubu oluşturulduğu belirtildi.
Konuyla ilgili bir de rapor hazırlayan TBD,
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ile ortak çalışma yapıyor.
Bulut teknolojileri ve altyapılarının hayatımıza çok
hızlı bir şekilde girmesine karşın; Türkiye’de kamu kurumlarının ‘Bulut
Teknolojileri’ni kullanmalarına pek sıcak bakılmıyor. Uzmanlar, yerli depolama
ve kriptolama sistemlerinin kullanılmasının daha uygun olacağını belirtiyorlar.
TBD’nin etkinliğinde, “Bulut Korkusu Kamu-BİB Çalışma
Grubu”nun hazırladığı rapor kamuoyuna açıklanırken, e-devlet uygulamalarında
bulut hizmetleri kullanımının olumlu ve olumsuz yönleri etraflı şekilde
tartışmaya açılarak, ortak akıl oluşturulmasına katkı sağlanması talebinde
bulunuldu.
Kurumsal
Bulutlara Talep Artıyor
Günümüzde baskın olan büyük bulutlar, genellikle
merkezi sunuculardan birden çok konuma dağıtılmış
işlevlere sahip bulunuyor. Bulutlar tek bir kuruluşla (kurumsal
bulutlar) sınırlı olabiliyor veya birçok kuruluş tarafından
kullanılabiliyor (genel bulut).
Genel ve hibrit (‘Melez’ teknolojiler) bulut kullanımı
savunucuları, bulut bilişimin şirketlerin ön bilişim teknolojileri (BT) altyapı maliyetlerinden kaçınmasına
veya bunları en aza indirmesine olanak tanıdığını ifade ediyorlar. Bulut savunucuları
ayrıca, bulut bilişimin işletmelerin uygulamalarını daha hızlı bir şekilde, daha
iyi yönetilebilirlik ve daha az bakımla çalıştırmalarına olanak tanıdığını ve
BT ekiplerinin, dalgalanan ve öngörülemeyen talebi karşılamak için kaynakları
daha hızlı ayarlamasına olanak tanıdığını iddia ediyorlar.
Kamu Verileri Bulutta Saklanmayacak
Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi
özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcıların depolama
hizmetlerinde saklanmayacak.
Cumhurbaşkanlığı, milli güvenliği tehdit edebilecek veya
kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin
sağlanması amacıyla “Bilgi ve İletişim Güvenliği Tedbirleri”ne ilişkin geçen
yıl 6 Temmuz 2019 tarihli Resmi Gazete’de bir genelge yayımlamıştı.
Cumhurbaşkanı Recep Tayyip Erdoğan’ın imzasıyla
yayımlanan genelgede, bilginin dijital ortamlara taşınması, bilgiye erişimin
kolaylaşması, altyapıların dijital hale gelmesi ve bilgi yönetim sistemlerinin
yaygın olarak kullanılmasının ciddi güvenlik risklerini beraberinde getirdiğinin
altı çiziliyordu.
Genelge ile, bu kapsamda karşılaşılan güvenlik
risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü
veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu
düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin
sağlanması amacıyla alınacak tedbirler belirlendi.
Genelge, 21 maddeden oluşurken, alınan tedbirler kısaca
şöyle özetleniyor:
“Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve
biyometrik veriler gibi kritik bilgi ve veriler, yurt içinde güvenli bir
şekilde depolanacak.
Kamu kurum ve kuruluşlarında yer alan kritik veriler,
internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli
bir ağda tutulacak. Bu ağda kullanılacak cihazlara erişim kontrollü olarak
sağlanacak ve log kayıtları (meydana gelen olayların ve hareketlerin kayıt
altına alındığı dosyalar) değiştirilmeye karşı önlem alınarak saklanacak.
Mevzuatta kodlu veya kriptolu haberleşmeye
yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç
olmak üzere, mobil uygulamalar ve sosyal medya üzerinden gizlilik dereceli veri
paylaşımı ve haberleşme yapılmayacak. Sosyal medya ve haberleşme uygulamalarına
ait yerli uygulamaların kullanımı tercih edilecek.
Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin
işlendiği yerlerde yayma güvenliği (TEMPEST-Telecommunications Electronics
Material Protected From Emanating Spurious Transmissions) veya benzeri güvenlik
önlemleri alınacak. Kritik veri, doküman ve belgelerin bulunduğu, görüşmelerin
gerçekleştirildiği çalışma odalarında, ortamlarında mobil cihazlar ve veri
transferi özelliğine sahip cihazlar bulundurulmayacak.
Gizlilik dereceli veya kurumsal mahremiyet içeren veri,
doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak
kullanılan dizüstü bilgisayar, mobil cihaz, harici bellek ve benzeri cihazlar
da bulundurulmayacak.
Yerli
ve Milli Kriptolama Teşvik Edilecek
Kişisel olarak kullanılanlar da dahil olmak üzere
kaynağından emin olunmayan dizüstü bilgisayar, mobil cihazlar, harici
bellek/disk, CD/DVD ve benzeri taşınabilir cihazların, kurum sistemlerine bağlanmayacağının
da belirtildiği genelgeye göre, gizlilik dereceli verilerin saklandığı cihazlar
ancak içerisinde yer alan veriler donanımsal veya yazılımsal olarak
kriptolanmak suretiyle kurum dışına çıkarılabilecek. Bu amaçla kullanılan
cihazlar da kayıt altına alınacak.
Ayrıca, yerli ve milli kripto sistemlerinin
geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin
bu sistemler üzerinden gerçekleştirilmesi sağlanacak.
Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya
donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı
(kullanıcıların bilgisi, izni olmaksızın sistemlere erişim imkanı sağlayan
güvenlik zafiyeti) açıklığı içermediğine dair üretici veya tedarikçilerden
imkanlar ölçüsünde taahhütname alınacak.
Yazılımların güvenli olarak geliştirilmesi ile ilgili
tedbirler alınacak. Temin edilen veya geliştirilen yazılımlar kullanılmadan
önce güvenlik testlerinden geçirilerek kullanılacak. Kurum ve kuruluşlar, siber
tehdit bildirimleri ile ilgili gerekli tedbirleri alacak. Üst düzey yöneticiler
de dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen
yürütülen işler ve ihtiyaçlar nazara alınarak yapılması sağlanacak.
Kamu
e-Postaları Güvenli Olacak
Endüstriyel kontrol sistemlerinin internete kapalı
konumda tutulması sağlanacak. Bu sistemlerin internete açık olmasının zorunlu
olduğu durumlarda ise güvenlik duvarı, uçtan uca tünelleme yöntemleri,
yetkilendirme ve kimliklendirme mekanizmaları gibi gerekli güvenlik önlemleri
alınacak.
Milli güvenliği doğrudan etkileyen stratejik öneme haiz
kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde
görev alacak kritik öneme haiz personel hakkında ilgili mevzuat çerçevesinde
güvenlik soruşturması veya arşiv araştırması yaptırılacak.
Kamu e-posta sistemlerinin ayarları güvenli olacak
biçimde yapılandırılacak. e-Posta sunucuları, Türkiye’de ve kurumun kontrolünde
bulundurulacak. Sunucular arasındaki iletişimin ise şifreli olarak yapılması
sağlanacak.
Kurumsal olmayan şahsi e-posta adreslerinden kurumsal
iletişim yapılmayacak, kurumsal e-postalar, özel iletişim, kişisel sosyal medya
hesapları ve benzeri şahsi amaçlarla kullanılmayacak.
Haberleşme hizmeti sağlamak üzere yetkilendirilmiş
işletmeciler, Türkiye’de internet değişim noktası kurmakla yükümlü olacak. Yurt
içinde değiştirilmesi gereken yurt içi iletişim trafiğinin yurt dışına
çıkarılmamasına yönelik de tedbirler alınacak.
İşletmeciler tarafından, kritik kurumların bulunduğu
bölgelerdeki veriler ise radyolink ve benzeri yöntemlerle taşınmayacak, fiber
optik kablolar üzerinden taşınacak. Kritik veri iletişiminde, radyolink
haberleşmesi kullanılmayacak ancak kullanımın zorunlu olduğu durumlarda ise
veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacak.
Yorumlar
Yorum Gönder