Page 33 - bilgem-teknoloji-dergisi-5
P. 33
Bilge KARABACAK Kritik Altyapılar: Dünya ve Türkiye Özeti
sistemlerine yapılacak bir sayısal saldırının kaynağı herhangi • Güvenle sayısallaşmış bir ulusun bilgi ve bilinç seviyesini KAYNAKÇA [14] Capability of the People’s Republic of China to Conduct
bir ülkedeki bilgisayarlardan kaynaklanabilir. Uluslar arası artırmak için eğitim ve bilinçlendirme faaliyetleri düzenlenmesi Cyber Warfare and Computer Network Exploitation, Prepared
işbirliğinin önemi saldırılara karşı önlem alma noktasında [1] U.S. Department of Commerce, Bureau of Economic for The US-China Economic and Security Review Commission,
önemli bir diğer husustur. • Diğer ülkeler ve uluslar arası organizasyonlarla iş birlikleri Analysis, “National Income and Product Accounts”, 2008. Ekim 2009
geliştirilmesi
Bu bölüm iki farklı listeden oluşmaktadır. İlk liste, Türkiye’nin [2] The Report of the President’s Commission on Critical [15] Karabacak B., Özkan S., “Critical Infrastructure
atması gereken öncelikli teknik olmayan prosedürel adımlardan • Araştırma ve geliştirme faaliyetlerinin desteklenmesi Infrastructure Protection, Critical Foundations: Protecting Protection Status and Action Items of Turkey”, International
oluşmaktadır. İkinci liste ise daha teknik adımlardan oluşan • Güçlü ve ülke çapında faaliyet gösteren Bilgisayar Olaylarına America’s Infrastructures, 1997 Conference on eGovernment Sharing Experiences,
bir listedir. İlk numaralandırılmış listedeki adımlara Müdahale Ekibi (BOME) [3] USA Presidential Decision Directive/NCS-63, eGovShare2009, 8-11 December 2009, Antalya
tamamlanmadan ikinci listedeki adımların başarısızlıkla “http://www.fas.org/irp/offdocs/pdd/pdd-63.htm”, 1998 (18
sonuçlanması kaçınılmazdır [15]. Her iki liste de gelişmiş • Güçlü ve alternatifli internet altyapısının oluşturulması Şubat 2010’da erişildi)
ülkelerin ve uluslararası organizasyonların hazırlamış oldukları • İnternet servis sağlayıcılarının etkin yönetimi ve
kılavuz dokümanlardan faydalanılarak hazırlanmıştır. [4] OECD, Working Party on Information Security and
koordinasyonu [12]
Privacy, “Recommendations of the Council on the Protection
6.1. Türkiye’nin Gerçekleştirmesi Gereken Temel Adımlar of Critical Information Infrastructures”, Ocak 2008
7. Sonuç
• Üst seviye yürütmeden (Örn: Başbakanlık) destek ve katılım [5] Jayawickrama, W., “Managing Critical Information
Makalede öncelikle, Türkiye için yeni bir kavram olan kritik
• Destekleyen mevzuatın hazırlanması ve yürürlüğe girmesi altyapılar konusunda bilgilendirme yapılmış, kritik altyapıların Infrastructure Security Compliance: A Standard Based Approach
bilgi ve iletişim teknolojileri ile ilişkisi ve bu teknolojilere Using ISO/IEC 17799 and 27001”, Book Chapter: On the
• Ulusal Sanal Ortam Güvenlik Politikası’nın resmiyet bağımlılığı örnekler ile gösterilmiştir. Makalede ayrıca, gelişmiş Move to Meaningful Internet Systems 2006: OTM 2006
kazanması ülkelerin ve organizasyonların bu konuda yaptığı çalışmalar Workshops, Cilt 4277/2006, s. 565-574, 2006
• Ulusal Sanal Ortam Güvenlik Stratejisinin ve Eylem Planı’nın özetlenmiştir. [6] Beltran F., Fontenay A., Alameida M. W., “Internet as
hazırlanması (Politika belgesinin resmiyet kazanmasının Her ülkenin olduğu gibi ülkemizin de bilgi ve iletişim a critical infrastructure: lessons from the backbone experience
ardından) in South America”, Communications & Strategies, No. 58,
teknolojileri ile kesişimi olan kritik altyapıları bulunmaktadır.
• Kritik altyapıların korunması ile ilgili politika belgesi Ancak, ülkemizde kritik altyapıların korunması konusunda 2005
hazırlanması resmi bir programı bulunmamaktadır. Ülkemizde kritik [7] Mathat T., Kumaraswamy S., Latif S., “Cloud Security
altyapıların korunması ile ilgili bir program başlatılması ve and Privacy, An Enterprise Perspective on Risks and
• Çalışmalar için yeterli seviyede bütçe ayrılması bunu destekleyen yasal altyapının oluşturulması gerekmektedir. Compliance”, O’reilly, 2009
Ülkemizin de üyesi olduğu OECD ve NATO’nun bu konudaki
6.2. Temel Adımların Ardından Gerçekleştirilmesi Gereken [8] Lewis T. G., “Critical Infrastructure Protection In
Çalışmalar çalışmaları ve işbirliği fırsatları uzmanların göz ardı etmemesi
gereken hususlardır. Homeland Security - Defending A Networked Nation”, A John
Bu başlık altındaki adımların başarıyla tamamlanması için Diğer taraftan, makalede yer verilen sayısal saldırıların başarıya Wiley & Sons, Inc., Publication, 2006
gerekli öncül çalışmalar bir önceki başlıkta listelenmiştir. Bir ulaşmış olmasının en önemli nedeninin yönetimi sağlıklı bir [9] Fischer W., Lepperhoff N., “Can Critical Infrastructure
önceki başlıkta listelenen adımlar gerçekleştirilmediği takdirde, şekilde yapılmayan bilgi ve iletişim teknolojileridir. Kritik rely on the Internet”, Computers & Security, Cilt. 24, s. 485-
aşağıdaki adımlar kapsamında çalışmaya başlanılsa bile altyapıların güvenliğinin sağlanmasında insan faktörü ve 491, 2005
çalışmanın sonuçlandırılması oldukça güçtür [15].
güvenlik bilinci en önemli parametrelerin başında gelmektedir. [10] Shea D. A., “Report for Congress, Critical
• Özel sektör ile iş birliği ve koordinasyon Bilgi ve iletişim sistemlerinin güvenlik hedefleri göz önüne Infrastructure: Control Systems and the Terrorist Threat”,
alınarak yönetilmesi ve temel güvenlik önlemlerinin alınması
• Kritik altyapılar ile ilgili çalışmaları koordine edecek bir durumunda sayısal güvenliğin büyük oranda sağlanacağı ve 2003
merkezin kurulması sistemlerin sayısal saldırılara karşı korunaklı duruma geleceği [11] Lemos R., "SCADA system makers pushed toward
şüphesizdir.
• Rol ve sorumlulukların belirlenmesi ve atanması security". SecurityFocus.
http://www.securityfocus.com/news/11402, 2006 (18 Şubat
• Kritik altyapıların ve aralarındaki bağımlılıkların 2010’da erişildi)
belirlenmesi için ülke çapında risk analizi yapılması
[12] Anıl Süleyman, Cyber Security in NATO and Nations,
• OECD ilkelerine uyumun sağlanması Cyber Warfare Symposium, 10 December 2009, Ankara
• Bilgi paylaşımı için hükümet ile kritik altyapı işleticileri [13] USCC 2008 Annual Report, 2008 Report to Congress
(özel veya kamu) arasında ortaklık kurulması of the U.S.-China Economic and Security Review Commission,
Kasım 2008
• Açıklıkları belirlemek ve önlem almak için periyodik
güvenlik testleri ve tatbikatlar düzenlenmesi
30 Sayı 05 Ocak-Nisan 2011 http://www.bilgem.tubitak.gov.tr/ 31
·