Bilge KARABACAK  Kritik Altyapılar: Dünya ve Türkiye Özeti

 sistemlerine yapılacak bir sayısal saldırının kaynağı herhangi  •  Güvenle sayısallaşmış bir ulusun bilgi ve bilinç seviyesini  KAYNAKÇA  [14]  Capability of the People’s Republic of China to Conduct
 bir ülkedeki bilgisayarlardan kaynaklanabilir. Uluslar arası  artırmak için eğitim ve bilinçlendirme faaliyetleri düzenlenmesi  Cyber Warfare and Computer Network Exploitation, Prepared
 işbirliğinin önemi saldırılara karşı önlem alma noktasında  [1]  U.S. Department of Commerce, Bureau of Economic  for The US-China Economic and Security Review Commission,
 önemli bir diğer husustur.  •  Diğer ülkeler ve uluslar arası organizasyonlarla iş birlikleri  Analysis, “National Income and Product Accounts”, 2008.  Ekim 2009
 geliştirilmesi
 Bu bölüm iki farklı listeden oluşmaktadır. İlk liste, Türkiye’nin  [2]  The Report of the President’s Commission on Critical  [15]  Karabacak B., Özkan S., “Critical Infrastructure
 atması gereken öncelikli teknik olmayan prosedürel adımlardan  •  Araştırma ve geliştirme faaliyetlerinin desteklenmesi  Infrastructure Protection, Critical Foundations: Protecting  Protection Status and Action Items of Turkey”, International
 oluşmaktadır. İkinci liste ise daha teknik adımlardan oluşan  •  Güçlü ve ülke çapında faaliyet gösteren Bilgisayar Olaylarına  America’s Infrastructures, 1997  Conference on eGovernment Sharing Experiences,
 bir listedir. İlk numaralandırılmış listedeki adımlara  Müdahale Ekibi (BOME)  [3]  USA Presidential Decision Directive/NCS-63,  eGovShare2009, 8-11 December 2009, Antalya
 tamamlanmadan ikinci listedeki adımların başarısızlıkla  “http://www.fas.org/irp/offdocs/pdd/pdd-63.htm”, 1998 (18
 sonuçlanması kaçınılmazdır [15]. Her iki liste de gelişmiş  •  Güçlü ve alternatifli internet altyapısının oluşturulması  Şubat 2010’da erişildi)
 ülkelerin ve uluslararası organizasyonların hazırlamış oldukları  •  İnternet servis sağlayıcılarının etkin yönetimi ve
 kılavuz dokümanlardan faydalanılarak hazırlanmıştır.  [4]  OECD, Working Party on Information Security and
 koordinasyonu [12]
         Privacy, “Recommendations of the Council on the Protection
 6.1. Türkiye’nin Gerçekleştirmesi Gereken Temel Adımlar  of Critical Information Infrastructures”, Ocak 2008
 7. Sonuç
 •  Üst seviye yürütmeden (Örn: Başbakanlık) destek ve katılım  [5]  Jayawickrama, W., “Managing Critical Information
 Makalede öncelikle, Türkiye için yeni bir kavram olan kritik
 •  Destekleyen mevzuatın hazırlanması ve yürürlüğe girmesi  altyapılar konusunda bilgilendirme yapılmış, kritik altyapıların  Infrastructure Security Compliance: A Standard Based Approach
 bilgi ve iletişim teknolojileri ile ilişkisi ve bu teknolojilere  Using ISO/IEC 17799 and 27001”, Book Chapter: On the
 •  Ulusal Sanal Ortam Güvenlik Politikası’nın resmiyet  bağımlılığı örnekler ile gösterilmiştir. Makalede ayrıca, gelişmiş  Move to Meaningful Internet Systems 2006: OTM 2006
 kazanması  ülkelerin ve organizasyonların bu konuda yaptığı çalışmalar  Workshops, Cilt 4277/2006, s. 565-574, 2006

 •  Ulusal Sanal Ortam Güvenlik Stratejisinin ve Eylem Planı’nın  özetlenmiştir.  [6]  Beltran F., Fontenay A., Alameida M. W., “Internet as
 hazırlanması (Politika belgesinin resmiyet kazanmasının  Her ülkenin olduğu gibi ülkemizin de bilgi ve iletişim  a critical infrastructure: lessons from the backbone experience
 ardından)  in South America”, Communications & Strategies, No. 58,
 teknolojileri ile kesişimi olan kritik altyapıları bulunmaktadır.
 •  Kritik altyapıların korunması ile ilgili politika belgesi  Ancak, ülkemizde kritik altyapıların korunması konusunda  2005
 hazırlanması  resmi bir programı bulunmamaktadır. Ülkemizde kritik  [7]  Mathat T., Kumaraswamy S., Latif S., “Cloud Security
 altyapıların korunması ile ilgili bir program başlatılması ve  and Privacy, An Enterprise Perspective on Risks and
 •  Çalışmalar için yeterli seviyede bütçe ayrılması  bunu destekleyen yasal altyapının oluşturulması gerekmektedir.  Compliance”, O’reilly, 2009
 Ülkemizin de üyesi olduğu OECD ve NATO’nun bu konudaki
 6.2. Temel Adımların Ardından Gerçekleştirilmesi Gereken  [8]  Lewis T. G., “Critical Infrastructure Protection In
 Çalışmalar  çalışmaları ve işbirliği fırsatları uzmanların göz ardı etmemesi
 gereken hususlardır.  Homeland Security - Defending A Networked Nation”, A John
 Bu başlık altındaki adımların başarıyla tamamlanması için  Diğer taraftan, makalede yer verilen sayısal saldırıların başarıya  Wiley & Sons, Inc., Publication, 2006
 gerekli öncül çalışmalar bir önceki başlıkta listelenmiştir. Bir  ulaşmış olmasının en önemli nedeninin yönetimi sağlıklı bir  [9]  Fischer W., Lepperhoff N., “Can Critical Infrastructure
 önceki başlıkta listelenen adımlar gerçekleştirilmediği takdirde,  şekilde yapılmayan bilgi ve iletişim teknolojileridir. Kritik  rely on the Internet”, Computers & Security, Cilt. 24, s. 485-
 aşağıdaki adımlar kapsamında çalışmaya başlanılsa bile  altyapıların güvenliğinin sağlanmasında insan faktörü ve  491, 2005
 çalışmanın sonuçlandırılması oldukça güçtür [15].
 güvenlik bilinci en önemli parametrelerin başında gelmektedir.  [10]  Shea D. A., “Report for Congress, Critical
 •  Özel sektör ile iş birliği ve koordinasyon  Bilgi ve iletişim sistemlerinin güvenlik hedefleri göz önüne  Infrastructure: Control Systems and the Terrorist Threat”,
 alınarak yönetilmesi ve temel güvenlik önlemlerinin alınması
 •  Kritik altyapılar ile ilgili çalışmaları koordine edecek bir  durumunda sayısal güvenliğin büyük oranda sağlanacağı ve  2003
 merkezin kurulması  sistemlerin sayısal saldırılara karşı korunaklı duruma geleceği  [11]  Lemos R., "SCADA system makers pushed toward
 şüphesizdir.
 •  Rol ve sorumlulukların belirlenmesi ve atanması  security". SecurityFocus.
         http://www.securityfocus.com/news/11402, 2006 (18 Şubat
 •  Kritik altyapıların ve aralarındaki bağımlılıkların  2010’da erişildi)
 belirlenmesi için ülke çapında risk analizi yapılması
           [12]  Anıl Süleyman, Cyber Security in NATO and Nations,
 •  OECD ilkelerine uyumun sağlanması  Cyber Warfare Symposium, 10 December 2009, Ankara

 •  Bilgi paylaşımı için hükümet ile kritik altyapı işleticileri  [13]  USCC 2008 Annual Report, 2008 Report to Congress
 (özel veya kamu) arasında ortaklık kurulması  of the U.S.-China Economic and Security Review Commission,
         Kasım 2008
 •  Açıklıkları belirlemek ve önlem almak için periyodik
 güvenlik testleri ve tatbikatlar düzenlenmesi


 30  Sayı 05   Ocak-Nisan 2011  http://www.bilgem.tubitak.gov.tr/  31
 ·