Makale
Kritik altyapıların siber tehditlere karşı korunması, ulusal güvenliğin ve kamu düzeninin temel bir parçasıdır. Bu makale, Türkiye'deki kritik altyapıların siber güvenliğine yönelik yasal düzenlemeleri, kurumsal yapıları ve uyulması zorunlu olan standartları bilişim hukuku perspektifinden detaylı bir şekilde analiz etmektedir.
Kritik Altyapılar ve Ulusal Siber Güvenlik: Hukuki Bir Çerçeve
Günümüz dünyasında devletlerin işleyişi ve toplumların günlük yaşamı, tamamen bilişim sistemleri üzerine inşa edilmiş durumdadır. İşlediği verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda; can kaybına, büyük ölçekli ekonomik zararlara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bu sistemler kritik altyapılar olarak tanımlanmaktadır. Gelişen teknolojiyle birlikte, bu altyapılara yönelik siber saldırılar da artış göstermekte olup, söz konusu tehditler sadece teknik bir mesele olmaktan çıkmış, doğrudan ulusal güvenlik ve bilişim hukuku meselesi haline gelmiştir. Devletlerin bekası ve bireylerin temel haklarının korunabilmesi, ancak kritik altyapıların yasal ve kurumsal düzenlemelerle sıkı bir şekilde güvence altına alınmasıyla mümkündür. Türkiye'de de bu kapsamda, ulusal strateji belgelerinden kurumsal yapılanmalara kadar pek çok adım atılmış, ulusal siber güvenlik mekanizmaları yasal zeminlere oturtulmaya çalışılmıştır. Bu doğrultuda, siber kriz yönetimi ve kritik altyapı koruması çerçevesinde atılan adımların hukuki boyutunun incelenmesi büyük bir zorunluluk haline gelmiştir.
Türkiye'de Kritik Altyapıların Hukuki Tanımı ve Kapsamı
Türkiye'de kritik altyapı kavramı, çeşitli hukuki metinlerde ve strateji belgelerinde net bir çerçeveye oturtulmuştur. İlgili strateji ve eylem planlarına göre, enerji, su yönetimi, kritik kamu hizmetleri, ulaştırma, bankacılık ve finans ile elektronik haberleşme sektörleri, Türkiye'nin korunması gereken en temel altyapıları olarak kabul edilmiştir. Hukuki açıdan bakıldığında, bu sektörlerin işlevselliğini yitirmesi, yalnızca ticari bir kayıp değil, doğrudan ulusal güvenlik ihlali ve kamu düzeninin sarsılması anlamına gelmektedir. Teknolojinin hızlı gelişimi ve dijitalleşmenin yaygınlaşması, bu hukuki tanımın sürekli güncellenmesini gerektirmektedir. Özellikle kişisel verilerin korunması ile ilgili artan yasal hassasiyetler, kritik altyapı işletmecilerinin hukuki sorumluluklarını da en üst düzeye çıkarmıştır. Hukuk sistemimizde henüz sadece kritik altyapıları merkeze alan müstakil bir siber güvenlik yasası bulunmasa da, mevcut kanunlar ve yönetmeliklerle oluşturulan altyapı oldukça önemlidir ve işletmelerin bu kurallara harfiyen uyması gerekmektedir.
Kurumsal Yapılanma: USOM, SOME ve Diğer Düzenleyiciler
Kritik altyapıların siber saldırılara karşı korunması amacıyla Türkiye'de son derece detaylı bir kurumsal mekanizma inşa edilmiştir. Bu mekanizmanın yasal merkezinde, Bilgi Teknolojileri ve İletişim Kurumu bünyesinde faaliyet gösteren Ulusal Siber Olaylara Müdahale Merkezi yer almaktadır. USOM, siber tehditleri tespit ederek ilgili kuruluşlarla paylaşmak ve bertaraf edilmesini sağlamakla hukuken görevlendirilmiştir. Aynı zamanda, kurumların kendi içlerinde oluşturmakla yükümlü oldukları Siber Olaylara Müdahale Ekipleri, hukuki bir zorunluluk olarak öne çıkmaktadır. Özellikle kritik sektörlerde sektörel SOME kurulması yasal bir şart olup, bu ekipler USOM ile koordineli bir şekilde çalışmak zorundadır. Hukuki boyutun yanı sıra, Afet ve Acil Durum Yönetimi Başkanlığı gibi kurumların da teknolojik afetler bağlamında siber kriz yönetimi stratejileri geliştirmesi, bu alandaki devlet politikasının ve idari sorumlulukların çok boyutlu olduğunu kanıtlar niteliktedir.
Yasal Yükümlülükler Kapsamında Sızma Testleri ve Standartlar
Kritik altyapı hizmeti sunan kurum ve işletmelerin, siber güvenliklerini yalnızca beyan etmeleri yeterli olmamakta; bunu bağımsız ve hukuken geçerli yöntemlerle kanıtlamaları beklenmektedir. Bu kapsamda, yasal bir zorunluluk olarak karşımıza çıkan sızma testleri, bilişim sistemlerinin zafiyetlerini tespit etmek amacıyla gerçekleştirilir. Özellikle Bankacılık Düzenleme ve Denetleme Kurumu mevzuatı uyarınca, finans ve bankacılık sektöründeki kuruluşların, sistemlerine yönelik düzenli aralıklarla sızma testi yaptırmaları hukuken emredici bir kuraldır. Yapılan bu testlerin sonuç raporlarının gizliliğinin sağlanması da ayrı bir hukuki yükümlülüktür; zira raporların sızdırılması, bizzat sistemi büyük bir tehlikeye atabilir. İşletmelerin siber güvenlik altyapılarını oluştururken TSE ve ISO tarafından belirlenen, örneğin ISO 27001 bilgi güvenliği standartları gibi kriterlere uymaları yasal bir zorunluluktur. Bu standartlara aykırı hareket eden işletmeler, sadece siber saldırı riskine maruz kalmakla kalmaz, aynı zamanda ağır idari ve cezai yaptırımlarla da karşı karşıya kalırlar.
Ulusal Siber Güvenlik Stratejisi Kapsamındaki Yükümlülükler
Devletin ulusal siber güvenlik stratejisi ve ilgili genelgeleri, kamu ve özel sektördeki kritik altyapı işletmecilerine çok net ve bağlayıcı hukuki yükümlülükler getirmektedir. Cumhurbaşkanlığı genelgeleri ve yayımlanan eylem planları incelendiğinde, ulusal veri güvenliğinin sağlanması adına katı idari tedbirlerin alındığı açıkça görülmektedir. İşletmelerin ve devlet kurumlarının siber güvenlik önlemlerini bir bütünlük içerisinde yürütmesi hukuki bir gerekliliktir. Bu kapsamda öne çıkan bazı yasal yükümlülükler şunlardır:
- Nüfus, sağlık ve iletişim kayıtları gibi kritik bilgilerin yurt içinde depolanması zorunluluğu.
- Kamu verilerinin, yerli hizmet sağlayıcılar dışında kalan yabancı bulut depolama servislerinde saklanmasının yasaklanması.
- Stratejik öneme sahip projelerde görev alacak personellerin güvenlik ve arşiv araştırması süreçlerinden geçirilmesi.
- Sistem kesintilerini engellemek ve siber saldırılara anında müdahale edebilmek adına kapsamlı iş sürekliliği planı oluşturulması.
Bu kurallar, ulusal egemenliğin siber uzayda da korunması amacını taşımakta olup, yasalara uygun davranmayan yöneticilerin hukuki sorumluluğunun doğmasına zemin hazırlamaktadır.