Günümüzde dijitalleşmenin hızla artmasıyla birlikte, siber güvenlik kavramı ulusal güvenliğin en kritik bileşenlerinden biri haline geldi. Türkiye’nin siber güvenlik alanında güçlü bir duruş sergileyebilmesi, stratejik bir yaklaşım benimsemesine bağlı olduğunu hepimiz biliyoruz. Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2024-2028)‘na ilişkin Cumhurbaşkanlığı Genelgesi yakın zamanda Resmi Gazete’de yayımlandı. Bu doğrultuda hazırlanan USGSEP (2024-2028), Türkiye’nin siber tehditlere karşı dayanıklılığını artırmayı ve küresel düzeyde bu alanda bir marka olma hedefini ortaya koymaktadır. Bu yazıda, strateji kapsamında belirlenen amaçları, hedefleri ve somut eylem planlarını (kamuya açıklandığı haliyle) inceleyerek Türkiye’nin siber güvenlik vizyonunu naçizane özetlemeye çalışacağım.
Stratejik Amaçlar
USGSEP (2024-2028) kapsamında belirlenen stratejik amaçlar, Türkiye’nin siber güvenlik alanındaki vizyonunu ve hedeflerini ortaya koyarak bu alandaki çalışmalara yön vermeyi hedefliyor diyebiliriz. Stratejik amaçlar, ulusal siber güvenliğin sağlanması ve sürdürülebilirliğine katkı sağlamayı amaçlayan altı temel başlık altında toplanmış. Bu başlıklar:
- Siber Dayanıklılık: Bu stratejik amaç, artan siber tehditler karşısında kritik altyapılar başta olmak üzere, bilgi ve iletişim teknolojileri altyapılarının korunmasını hedefler. Risk temelli analiz ve acil durum planlaması gibi yaklaşımlar uygulanarak kurumların ve kritik altyapıların siber tehditlere karşı dayanıklılığının artırılması planlanmaktadır.
- Proaktif Siber Savunma ve Caydırıcılık: Bu başlık, tehditlerin oluşmadan önce tespit edilip önlenmesine yönelik proaktif bir siber savunma anlayışını benimsemektedir. Siber tehdit aktörleri ve saldırılara karşı savunmanın güçlendirilmesi, siber caydırıcılığın artırılması hedeflenmektedir.
- İnsan Odaklı Siber Güvenlik Yaklaşımı: Siber güvenlikte insan unsurunun kritik önemi vurgulanmakta, insan kaynaklı zafiyetlerin azaltılması için farkındalık artırıcı eğitimler ve programlar öne çıkmaktadır. Ayrıca siber güvenlik uzmanlarının yetiştirilmesi ve yetkinliklerinin geliştirilmesi hedeflenmektedir.
- Teknolojinin Güvenli Kullanımı ve Siber Güvenliğe Katkısı: Bu amaç, yapay zeka, büyük veri, blokzincir gibi yeni teknolojilerin güvenli bir şekilde kullanılmasını ve bu teknolojilerin siber güvenliğe katkı sağlamasını hedeflemektedir. Aynı zamanda, bu teknolojilere karşı “sıfır güven” yaklaşımı ile güvenlik tedbirlerinin alınması da öne çıkmaktadır.
- Siber Tehditlerle Mücadelede Yerli ve Milli Teknolojiler: Yerli ve milli siber güvenlik teknolojilerinin geliştirilmesi ve kullanımının yaygınlaştırılması bu amaç altında yer almaktadır. Bu strateji, dışa bağımlılığı azaltarak, yerli ürün ve çözümlerle siber tehditlere karşı daha güçlü bir savunma oluşturmayı hedefler.
- Uluslararası Alanda Türkiye Markası: Türkiye’nin siber güvenlik alanında uluslararası iş birliklerini artırarak bölgesel ve küresel düzeyde bir marka haline gelmesini hedefler. Türkiye’nin siber güvenlik alanındaki uzmanlığını uluslararası alanda tanıtmak ve bu alandaki iş birliğini geliştirmek önemli bir stratejik amaç olarak ortaya konulmaktadır.
Hedefler
USGSEP (2024-2028)’in bir diğer ana başlığı olan Hedefler başlığında, stratejik amaçlarına ulaşmak için belirlenen spesifik hedefler belirtilmiştir. Bu hedefler, Türkiye’nin siber güvenlik politikalarının başarıya ulaşması için kritik rol oynar ve stratejik amaçları somutlaştırarak gerçekleştirilmesi gereken adımları tanımlar. Stratejik amaçlarla doğrudan ilişkili 18 hedefe göz atalım:
1. Siber Dayanıklılık
- H1.1: Kamu kurumları ve kritik altyapı sektörlerinde, düzenlemeye ve denetlemeye dayalı siber güvenlik yaklaşımlarının geliştirilmesi.
- H1.2: Kurumsal, sektörel ve ulusal düzeyde risk temelli analizlere ve acil durum planlamalarına dayalı bir siber güvenlik anlayışının benimsenmesi.
- H1.3: Veri paylaşımının güvenli altyapılar üzerinden gerçekleştirilmesi.
- H1.4: Ulusal standardizasyon ve test mekanizmalarının geliştirilmesi.
2. Proaktif Siber Savunma ve Caydırıcılık
- H2.1: Siber olaylara müdahale ekiplerinin yetkinlik seviyelerinin artırılması.
- H2.2: Siber risklerin, tehditlerin tespiti ve bildirimi ile siber tehdit istihbaratı edinimi ve paylaşımına yönelik kabiliyetlerin geliştirilmesi.
- H2.3: Kurum ve kuruluşlarda risklere ve tehditlere karşı iyi uygulamaların artırılması.
- H2.4: Milli güvenliğin bir parçası olarak ulusal siber güvenliğe ilişkin eşgüdümün artırılması.
- H2.5: Siber suçlarla mücadeleye yönelik kazanımların artırılması.
3. İnsan Odaklı Siber Güvenlik Yaklaşımı
- H3.1: Bireysel ve toplumsal siber farkındalığın artırılması.
- H3.2: Kurumlarda ve kuruluşlarda, kurumsal siber güvenlik kültürünün yerleştirilmesi.
- H3.3: Siber güvenlik alanında insan kaynağının güçlendirilmesi ve yetkinliğinin artırılması.
4. Teknolojinin Güvenli Kullanımı ve Siber Güvenliğe Katkısı
- H4.1: Yeni teknolojilerin güvenli kullanımının sağlanması ve oluşabilecek risklere yönelik önlemler alınması.
- H4.2: Siber güvenlik çalışmalarında yeni teknolojilerin kullanımının artırılması.
5. Siber Tehditlerle Mücadelede Yerli ve Milli Teknolojiler
- H5.1: Yenilikçi fikirlerin yerli ve milli ürün ve hizmetlere dönüştürülmesi.
- H5.2: Ar-Ge faaliyetlerinin desteklenmesi ve yerli siber güvenlik teknolojilerinin geliştirilerek yaygınlaştırılması.
6. Uluslararası Alanda Türkiye Markası
- H6.1: Uluslararası paydaşlarla bilgi paylaşımının ve iş birliğinin artırılması.
- H6.2: Yerli ve milli siber güvenlik çözümlerinin uluslararası alanda rekabet gücünün artırılması.
Eylem Maddeleri
Bu başlıkta, USGSEP (2024-2028) kapsamında belirlenen stratejik amaçların gerçekleştirilmesi için atılacak somut adımları tanımlanıyor. Bu eylemler, belirlenen hedeflere ulaşmak amacıyla yapılacak faaliyetleri ve sorumlu kurumların görevlerini içeriyor. Toplamda 61 eylem maddesi bulunmaktadır ve bu maddeler, stratejik amaçlar doğrultusunda siber güvenlik çalışmalarını yönlendirmektedir.
Eylem Maddeleri, genel yapısı itibariyle stratejik amaçlar çerçevesinde planlanan faaliyetleri kapsar. Her bir eylem maddesi için sorumlu kurumlar, iş birliği yapılacak kurumlar ve tamamlanma tarihleri belirlenmiştir. Eylem Maddeleri, Hizmete Özel gizlilik dereceli olduğu için, maddelerin özetini USGSEP (2024-2028)’te yer alan hedefler ile eylem maddeleri arasındaki ilişkiyi gösteren tablodan çıkartmamız mümkün gözüküyor.
Eylem Maddelerinin Özeti
- E1-E19: Bu eylem maddeleri, siber dayanıklılığı artırmayı amaçlar. Bu kapsamda kritik altyapıların korunmasına yönelik tedbirler alınacak, risk temelli analizler yapılacak ve güvenli veri paylaşımı altyapıları oluşturulacaktır. Ulusal siber güvenlik standardizasyonu ve test mekanizmalarının geliştirilmesi de bu eylemler arasında yer almaktadır.
- E20-E30: Proaktif siber savunma ve caydırıcılığı güçlendirmek için oluşturulan bu maddeler, siber olaylara müdahale ekiplerinin yetkinliğini artırmayı, tehdit istihbaratını geliştirmeyi ve siber saldırılara karşı savunma kapasitesini yükseltmeyi hedefler. Bu kapsamda siber tehditlerin tespiti ve bildirimi için sistemler kurulacak, siber suçlarla mücadelede önemli adımlar atılacaktır.
- E31-E37: İnsan odaklı siber güvenlik yaklaşımını güçlendirmeye yönelik bu eylemler, bireysel ve toplumsal farkındalığın artırılmasını hedefler. Kurumlarda siber güvenlik kültürü oluşturulacak ve siber güvenlik alanında insan kaynağının yetkinliği artırılacaktır. Eğitim, farkındalık kampanyaları ve teknik bilgi geliştirme çalışmaları bu alanda yapılacak önemli faaliyetler arasındadır.
- E38-E42: Teknolojinin güvenli kullanımı ile ilgili maddelerde, yeni teknolojilerin güvenli bir şekilde kullanılması için gerekli tedbirler alınacak ve siber güvenliğe yönelik olarak teknolojik gelişmelerin katkısı değerlendirilecektir. Bu kapsamda yapay zeka, büyük veri ve blokzincir gibi yeni teknolojilerin güvenli entegrasyonu sağlanacaktır.
- E43-E49: Yerli ve milli teknolojilerle siber tehditlerle mücadele amacıyla, yenilikçi fikirlerin yerli ve milli ürün ve hizmetlere dönüştürülmesi için Ar-Ge çalışmaları desteklenecektir. Bu eylemler, yerli siber güvenlik teknolojilerinin geliştirilmesini ve kritik altyapılarda kullanılmasını teşvik eder.
- E50-E61: Uluslararası iş birliklerinin geliştirilmesi ve Türkiye’nin siber güvenlik alanında bir marka haline gelmesi amacıyla atılacak adımları içerir. Uluslararası platformlarda Türkiye’nin görünürlüğü artırılacak, yerli siber güvenlik ürünlerinin küresel rekabet gücü artırılacak ve siber diplomasi geliştirilerek bilgi paylaşımı sağlanacaktır.
Eylem planlarının uygulanması için belirlenen performans kriterleri izlenecek ve sorumlu kurumlarca gerçekleştirilen çalışmalar periyodik olarak raporlanacaktır. Ulaştırma ve Altyapı Bakanlığı, bu çalışmaların izlenmesi ve değerlendirilmesinde merkezi bir rol üstlenecek ve ilgili kurumlarla iş birliği yaparak eylem maddelerinin gerçekleştirilmesini koordine edecektir.
Gerçekleştirme Yaklaşımı
Bu başlıkta, USGSEP (2024-2028) kapsamında belirlenen hedeflerin ve eylem maddelerinin nasıl uygulanacağını ve izleneceğini detaylandırılmıştır. Bu yaklaşım, stratejik amaçlar doğrultusunda somut kazanımlar elde etmek için planlanan çalışmaların etkin ve verimli bir şekilde hayata geçirilmesini sağlar.
İzleme ve Değerlendirme
Eylem planında yer alan eylem maddeleri, ulusal siber güvenlik hedeflerine ulaşılması amacıyla belirlenmiştir. Gerçekleştirilen çalışmaların başarıya ulaşması ve stratejik hedeflere katkıda bulunması için, sürekli izleme ve değerlendirme süreçleri devreye alınacaktır. Bu süreçlerin ana unsurları şunlardır:
- Performans Kriterleri: Her eylem maddesi için belirlenen performans kriterleri göz önünde bulundurularak, ilgili çalışmaların hangi aşamada olduğu ve ne kadar ilerleme kaydedildiği değerlendirilecektir. Bu sayede stratejik hedeflere yönelik somut kazanımlar takip edilecektir.
- Raporlama: İlgili kurumlar tarafından yürütülen çalışmalar ve elde edilen gelişmeler periyodik olarak raporlanacaktır. Bu raporlar, eylemlerin başarıya ulaşıp ulaşmadığını değerlendirmek için kullanılacaktır. Raporlar temelinde, eksiklikler veya iyileştirilmesi gereken alanlar tespit edilecektir.
- Sorumlu Kurumlar: Her eylem maddesi için belirlenen sorumlu kurumlar ve bu kurumların iş birliği yapacağı diğer paydaşlar, planın uygulanmasından sorumlu olacaktır. Ulaştırma ve Altyapı Bakanlığı, izleme ve değerlendirme sürecinde merkezi bir rol oynayarak koordinasyonu sağlayacak ve ilgili paydaşlardan gerekli girdileri toplayacaktır.
Paydaşların Katılımı
Siber güvenlik çalışmaları; kamu kurumları, özel sektör, üniversiteler ve sivil toplum kuruluşları gibi paydaşların katılımıyla yürütülecektir. Bu paydaşlar, ulusal siber güvenlik hedeflerine ulaşılması için iş birliği yaparak stratejik hedeflere katkıda bulunacaktır. Ayrıca, kritik altyapılarda faaliyet gösteren özel sektör aktörleri ve uluslararası paydaşlar da süreçte önemli roller üstlenecektir.
Güncelleme ve Süreklilik
Stratejik hedefler ve eylem maddeleri, teknolojik gelişmeler ve ulusal ihtiyaçlara göre güncellenebilir. Strateji ve eylem planının, dönem içinde tamamlanamayan maddeleri izleme ve değerlendirme sürecinde gözden geçirilip, gerektiğinde bir sonraki strateji planına aktarılacaktır. Bu yaklaşım, stratejik amaçların sürekliliğini ve güncelliğini sağlayarak, siber güvenlik alanında sürdürülebilir başarıyı hedeflemektedir.
Bu çerçevede, stratejinin başarısı için izleme, değerlendirme, raporlama ve paydaş katılımı önemli bir yere sahiptir. Ulusal siber güvenlik hedeflerine ulaşılması için yapılan her çalışma, belirlenen kriterler doğrultusunda değerlendirilerek stratejik kazanımlara dönüştürülecektir.
Sonuç olarak
Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2024-2028), Türkiye’nin dijital dünyada güçlü ve güvenli bir konum elde etmesi için atılan kritik adımları belirlemektedir. Bu strateji, siber tehditlere karşı ulusal dayanıklılığı artırırken, teknolojik gelişmeleri de güvenli ve etkin bir şekilde kullanarak geleceğin güvenliğini inşa etmeyi hedeflemektedir.
Kaynak: Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2024-2028)