Cumhurbaşkanlığı'nın talimatıyla kamu çalışanlarına WhatsApp, Telegram gibi yabancı mesajlaşma programları yerine yerli mesajlaşma programlarının kullanılması zorunluluk haline getirildi. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi konuya ilişkin yaptığı açıklamada, söz konusu yasağın gizlilik gerektiren belgelerin paylaşımını kapsadığı ifade edildi.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından kamu için hazırlanan ve bilgi sistemlerindeki tedbirlerin uygulanması zorunlu olan güvenlik rehberinde yerli sistemlere geçiş önceliği istendi. Rehberde, WhatsApp, Telegram gibi yabancı mesajlaşma programları yerine yerli mesajlaşma programlarının kullanılması zorunluluk haline getirildi.
Milliyet'ten Kıvanç El'in haberine göre kamu personeli özel hayatında bu programları kullanabilecek, ancak kurumsal işlemlerde kullanmayacak. Kamuda “bilmesi gerekenler prensibi” ile evraklara ulaşımın hedeflendiği rehberle tüm kamu kurumlarında siber saldırıların engellenmesi, bilgi sızdırılmasının kontrolünün sağlanması hedefleniyor.
ÜÇ SEVİYE TEDBİR
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, kamu kurumlarının bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması amacıyla başlattığı çalışmayı tamamlayarak, “Bilgi ve İletişim Güvenliği Rehberi” yayımladı.
Rehberle “Yerli ve milli ürün kullanımının teşvik edilmesi”, “Mükerrer çalışmaların ve yatırımların önüne geçilmesi”, “Güvenlik tedbirlerinin üç seviyeli olacak şekilde derecelendirilmesi”, “Güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi” gibi 12 başlıkta hedefler ortaya konuldu.
"KURUMLARIN GÜVENLİK ALT YAPILARI DEĞERLENDİRİLECEK"
Gizliliği veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla hazırlanan rehbere göre, kurumun tüm bilgi ve iletişim envanteri ve varlıkları çıkarılacak.
Her bir çalışan hazırlanan özel bir anketi dolduracak ve ne kadar kritik bilgiye sahip olduğu ile kimlerin erişim imkanı olduğu tespit edilecek. Buradaki puanlamalara göre, kurumların güvenlik altyapıları da derecelendirilecek. Kurumlar derecelere göre bir altyapı çalışması yapacak ve tüm bilgi işlem altyapıları saldırılara hazır ve korunaklı olacak.
Bu çalışma ile kurumdaki tüm “bilmesi gerekenler prensibi”, “zayıf noktalar”, “asgari yetkiler”, “yetkin personel” başlıklarında tespitler yapılacak. Bu çalışma ile tüm kamu kurumlarının siber saldırılar, bilgi sızdırılması ile evrakların kontrolünün sağlanması hedefleniyor.
YERLİ UYGULAMALARA ÖNCELİK
Rehberde kurumsal haberleşme amacıyla WhatsApp ve benzeri yabancı mesajlaşma uygulamaları yerine sunucuları kurum kontrolünde olan mesajlaşma uygulamalarının kullanılması da istendi.
Rehberde, “Kurumun kendine ait bir haberleşme uygulaması yoksa mesajlaşma amacıyla sunucuları yurt içinde bulunan yerli ve milli uygulamalar tercih edilmelidir. Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmamalıdır” denildi.
"BİLGİSAYARLARDA KARMAŞIK PAROLA KULLANIN" TALİMATI
Rehberde kurum tarafından satın alınan kullanıcı bilgisayarlarının sabit disklerinin veri kurtarmaya imkân sağlamayacak şekilde güvenli silme işlemine tabi tutulduktan sonra sistemlere dahil edilmesi de istendi.
Kuruma dışarıdan gelen e-posta eklerinin çok katmanlı güvenlik analizinden geçirilmesi istenen rehberde, bu içeriklerin, “beyaz liste/kara liste” olarak listelenmesi ve imza tabanlı anti-virüs testinde geçirilmesi istendi. Rehberde, “Bu aşamadan sonra hala kategorilendirilmemiş e-posta ekleri kum havuzunda çalıştırılmalıdır. Kum havuzu çözümlerinde dosyalar yurt içinde yerleşik olan sunucularda taranmalıdır” denildi.
Kuruma uzaktan bağlanacak cihazların; zararlı yazılımdan korunma, işletim sistemi ve uygulama güncelliği gibi hususlarda denetimden geçirilmesi de istenirken kurum politikalarına uygunluğu güvenli uzaktan bağlantı sağlayan sistemler üzerinden kontrol edilmesi belirtildi.
Parola giriş alanlarının uzun ve karmaşık olması istenirken rehberde, “Parola cümle kullanımına izin vermeli ya da teşvik etmelidir. Kurumlar güvenlik gereksinimlerine göre parola politikası belirlemelidir. Ayrıca parolalar için bir en uzun geçerlilik süresi tanımlanmış olmalıdır. Değişen parola fonksiyonu eski parolayı, yeni parolayı ve bir parola onayını kapsamalıdır” denildi.
MEMURLAR HANGİ YERLİ MESAJLAŞMA UYGULAMALARINI KULLANACAK?
CUMHURBAŞKANLIĞI DİJİTAL DÖNÜŞÜM OFİSİ: YERLİ UYGULAMALAR GİZLİLİK İÇEREN KURUMSAL HABERLEŞMEDE KULLANILACAK
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nden yapılan yazılı açıklamada, 27 Temmuz'da Dijital Dönüşüm Ofisi'nce yayımlanan Bilgi ve İletişim Güvenliği Rehberi kapsamında, WhatsApp, Telegram gibi uygulamaların yasaklandığına ilişkin basında ve sosyal medyada yer alan haberlere yönelik açıklama yapılmasına ihtiyaç duyulduğu belirtildi.
Bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerce uyulması gereken tedbirlerin 6 Temmuz 2019 tarihli Cumhurbaşkanlığı genelgesi ile yürürlüğe girdiği anımsatıldı.
Söz konusu Genelge ve Rehberin kamu kurum ve kuruluşları ile kritik altyapı işleten işletmeleri kapsadığının vurgulandığı açıklamada, şu ifadelere yer verildi:
"Rehber içeriğinde, ülkemizin verisinin ülkemizde kalması ve veri mahremiyeti konusunda bilinçli olunması vurgulanmıştır. Rehberde dijital altyapılarımızın siber saldırılara karşı mukavemetinin artırılması amacıyla kritik bilgi ve verilerin saklanma esaslarından kodlu ve kriptolu haberleşmeye, sosyal medya üzerinden gizlilik dereceli verilerin paylaşımından elektromanyetik yayılım güvenliğine, endüstriyel kontrol sistemleri güvenliğinden bulut bilişim güvenliğine kadar birçok konuda alınması gereken tedbirler seviyelendirilmiş olarak yer almaktadır."
'Tedbir maddesi, sadece gizlilik içeren kurumsal haberleşme ve belge paylaşımına yöneliktir'
Rehberde 'Anlık Mesajlaşma Güvenliği' başlığı altında kurumsal veri ve haberleşme güvenliğinin sağlanması amacıyla yerli ve milli uygulamaların tercih edilmesi gerektiğinin altı çizilen açıklamada, şunlar kaydedildi:
"Yabancı menşeli mesajlaşma uygulamalarının kullanımına ilişkin tedbir maddesi, sadece gizlilik içeren kurumsal haberleşme ve belge paylaşımına yöneliktir. Anılan tedbir maddesi ile kamu personelinin kişisel haberleşmelerde kullandığı anlık mesajlaşma uygulamalarına yönelik herhangi bir düzenleme ve kısıtlama bulunmamaktadır. Bilgi ve İletişim Güvenliği Rehberi özelinde yer alan tedbir maddeleri kamu kurumları ve kritik altyapı hizmeti veren işletmeleri kapsamakta, kişilerin haberleşme hürriyetine müdahale edecek herhangi bir içerik barındırmamaktadır. Basında ve sosyal medyada yer alan WhatsApp, Telegram gibi mesajlaşma uygulamalarının yasaklanması yönündeki haberler gerçeği yansıtmamakta olup, vatandaşlarımızın ve kamu personelimizin günlük hayatlarında kullandıkları iletişim uygulamalarına yönelik bir kısıtlama kesinlikle söz konusu değildir."
