Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nin kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren "Bilgi ve İletişim Güvenliği Rehberi" 24 Temmuz'da tamamlandı.
Kamu çalışanlarına yönelik bilgi güvenliği rehberinde "Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde bulunan mevcut ve yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen tedbirlere uyulması zorunludur. Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak Rehberde yer alan plan çerçevesinde kademeli olarak bu esaslara uyumlu hale getirilecektir" deniliyor.
Rehberde bugünün basının gündemine gelen Anlık Mesajlaşma ile ilgili de bir bölüm var. Rehbere göre kamu çalışanları kamudaki kurumsal işleri için yabancı kaynaklı mesajlaşma uygulamalarını kullanamayacak.
Kamu personeli günlük yaşamında Whatsapp'tan Telegram'a istediği uygulamayı yine kullanabilecek. Ancak kurumsal işlerde bilgi güvenliği için yerli yazılımlara geçiş isteniyor.
'ANLIK MESAJLAŞMA GÜVENLİĞİ'
Kamuya dönük rehberin Anlık Mesajlaşma Güvenliği bölümünde şu ifadeler yer alıyor:
"Bu güvenlik tedbiri ana başlığının amacı, anlık mesajlaşma güvenliği çerçevesinde ele alınan tedbir listeleri ve denetim sorularını belirlemektir" deniliyor.
Rehberdeki ifadeler şöyle:
- Kurumsal haberleşme amacıyla sunucuları kurum kontrolünde olan mesajlaşma uygulamaları kullanılmalıdır. Kurumun kendine ait bir haberleşme uygulaması yoksa mesajlaşma amacıyla sunucuları yurt içinde bulunan yerli ve milli uygulamalar tercih edilmelidir.
- Mesajlaşma uygulamasının iletim katmanı güvenliği, bilinen zafiyetleri olmayan, güncel bir SSL/TLS sürümü ile sağlanmalıdır ve uygulamada SSL Pinning kullanılmalıdır.
- Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmamalıdır.
- Uygulama birden fazla mobil cihaz üzerinde eş zamanlı olarak çalışmamalıdır. Hesaba farklı bir mobil cihazdan giriş yapılmak istendiğinde kullanıcı kimlik doğrulamaya zorlanmalı, başarılı kimlik doğrulama sonrası uygulama sadece yeni giriş yapılan cihaz üzerinde kullanılabilmelidir.
- Uygulamadan gönderilen tüm mesajlar ve uygulama kullanılarak yapılan tüm sesli ve görüntülü aramalar uçtan uca şifrelenmelidir.
- Mesajlaşma sistemlerine ait yönetim arayüzlerine yetkili tarafların erişimi, yeterli en düşük haklarla güvenli bir şekilde yapılmalıdır. Yönetim arayüzüne erişilerek yapılan işlemlere ait denetim izleri tutulmalıdır.
- Uygulama cihaz üzerinde sakladığı tüm veriyi şifreli olarak tutmalıdır.
- Kritik veri içeren her türlü sesli, yazılı ve görüntülü haberleşme uygulamalarında, kaynak kodları kurum tarafından talep edildiğinde denetlenebilen, işletmesi ve yönetimi yerel olarak yapılabilen yerli ve milli uygulamalar tercih edilmelidir.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nden açıklama
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nden konuyla ilgili yapılan yazılı açıklamada, 27 Temmuz'da Dijital Dönüşüm Ofisi'nce yayımlanan Bilgi ve İletişim Güvenliği Rehberi kapsamında, WhatsApp, Telegram gibi uygulamaların yasaklandığına ilişkin basında ve sosyal medyada yer alan haberlere yönelik açıklama yapılmasına ihtiyaç duyulduğu belirtildi.
Bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerce uyulması gereken tedbirlerin 6 Temmuz 2019 tarihli Cumhurbaşkanlığı genelgesi ile yürürlüğe girdiği anımsatıldı.
Söz konusu Genelge ve Rehberin kamu kurum ve kuruluşları ile kritik altyapı işleten işletmeleri kapsadığının vurgulandığı açıklamada, şu ifadelere yer verildi:
"Rehber içeriğinde, ülkemizin verisinin ülkemizde kalması ve veri mahremiyeti konusunda bilinçli olunması vurgulanmıştır. Rehberde dijital altyapılarımızın siber saldırılara karşı mukavemetinin artırılması amacıyla kritik bilgi ve verilerin saklanma esaslarından kodlu ve kriptolu haberleşmeye, sosyal medya üzerinden gizlilik dereceli verilerin paylaşımından elektromanyetik yayılım güvenliğine, endüstriyel kontrol sistemleri güvenliğinden bulut bilişim güvenliğine kadar birçok konuda alınması gereken tedbirler seviyelendirilmiş olarak yer almaktadır."
'Tedbir maddesi, sadece gizlilik içeren kurumsal haberleşme ve belge paylaşımına yöneliktir'
Rehberde 'Anlık Mesajlaşma Güvenliği' başlığı altında kurumsal veri ve haberleşme güvenliğinin sağlanması amacıyla yerli ve milli uygulamaların tercih edilmesi gerektiğinin altı çizilen açıklamada, şunlar kaydedildi:
"Yabancı menşeli mesajlaşma uygulamalarının kullanımına ilişkin tedbir maddesi, sadece gizlilik içeren kurumsal haberleşme ve belge paylaşımına yöneliktir. Anılan tedbir maddesi ile kamu personelinin kişisel haberleşmelerde kullandığı anlık mesajlaşma uygulamalarına yönelik herhangi bir düzenleme ve kısıtlama bulunmamaktadır. Bilgi ve İletişim Güvenliği Rehberi özelinde yer alan tedbir maddeleri kamu kurumları ve kritik altyapı hizmeti veren işletmeleri kapsamakta, kişilerin haberleşme hürriyetine müdahale edecek herhangi bir içerik barındırmamaktadır. Basında ve sosyal medyada yer alan WhatsApp, Telegram gibi mesajlaşma uygulamalarının yasaklanması yönündeki haberler gerçeği yansıtmamakta olup, vatandaşlarımızın ve kamu personelimizin günlük hayatlarında kullandıkları iletişim uygulamalarına yönelik bir kısıtlama kesinlikle söz konusu değildir."