Ülkemizde İletişim Sektörünün Diğer Altyapı Sektörleriyle İlişkisi

Türkiye’deki İletişim Sektörünün  Durumu

iletisim-resim-1

İletişim sektörü çerçevesinde ABD ve AB ile Türkiye’nin karşılaştırılması ve Türkiye’nin bu anlamda artı ve eksilerinin ortaya konulması, bu sektörün siber güvenlik durumunun değerlendirilmesi sürecinde önemli bir rol oynayacak, ülkemizin iletişim sektörünün evrensel boyuttaki, bir başka deyişle siber uzaydaki, konumunu görmemize yardımcı olacaktır.

İletişim Sektörlerinin Bağımlılıkları

Analiz edilen ilk husus, ABD ve Türkiye için iletişim sektörü bağımlılıklarıdır. ABD’de Şekil-1’de belirtildiği üzere iletişim sektörü enerji sektörüne tamamen bağımlı olmakta, bankacılık ve finans, ulaştırma, su ve acil servis hizmetleriyle de karşılıklı iletişim halinde bulunmaktadır. Türkiye’deki iletişim sektörünün bağımlılık analizi ise Şekil-2’de belirtilmiştir. ABD’deki yapıdan farklı olarak, kuvvetli ve zayıf bağımlılık kavramı ortaya konulmuş ve bazı kritik altyapı sektörleri için iletişim sektörünün bu sektörlere zayıf da olsa bağımlılığı olduğu sonucuna varılmıştır. Kendisi de dahil olmak üzere, tüm kritik altyapı sektörleri iletişim sektörüne kuvvetli derecede bağlıyken, iletişim sektörünün kendisine ve enerji sektörüne kuvvetli derecede; ulaştırma, su, bankacılık ve finans sektörlerine ise zayıf derecede bağlı olduğu ortaya çıkmıştır.

ABD’de iletişim sektörü

ABD’de haberleşme sektörü

Şekil-1: ABD’de haberleşme sektörü bağımlılıkları

Ülkemizde iletişim sektörü

Ülkemizde Haberleşme sektörü

Şekil-2: Ülkemizde iletişim sektörünün diğer kritik altyapı sektörleriyle ilişkisi

Günümüzde, kurumlardaki iş süreçlerinin hemen hepsi, iletişim altyapısını kullanmaktadır. Böylelikle sürecin hızlandırılması garanti altına alınmış olmaktadır. Bu nedenle tüm sektörlerin iletişim sektörüne kuvvetli derecede bağımlılığı bulunmaktadır. İletişim altyapısında meydana gelebilecek bir kesinti, iş süreçlerinin işleyememesine neden olacak, üstelik bu iş süreci, kritik altyapı sistemlerinden birine aitse durum daha da vahim bir hal alacak, ülke genelinde can kayıpları, ekonomik kayıplar ve hatta ulusal güvenlik zafiyetleri meydana gelebilecektir.

İletişim sektöründe hizmet veren pek çok paydaş, diğer paydaşlardan hizmet alımı gerçekleştirmektedir; dolayısıyla iletişim sektörünün kendi içerisinde kuvvetli bir bağımlılığı bulunmaktadır.

İletişim sektörünün en çok bağımlı olduğu kritik altyapı sektörü; aynı zamanda iletişim sektörüne bağımlılığı olan enerji sektörüdür. Enerji altyapısında oluşacak sıkıntılar, iletişim altyapısını doğrudan etkileyecek ve hatta altyapının tamamen çalışmaz hale gelmesine neden olacaktır.

İletişim sektörünün aynı zamanda ulaştırma sektörüne zayıf bir bağımlılığı bulunmaktadır. Örneğin, deprem sonrası GSM operatörlerinin baz istasyonlarının işlemez hale gelmesi nedeniyle mobil (gezgin) baz istasyonu araçları, mobil trafiğin yoğun olduğu bölgelere gönderilmektedir. Eğer karayolları depremden ciddi bir biçimde etkilenmişse ve araçlar artık yol kat edemeyecek hale gelmişse, GSM hizmetinin kesintiye uğraması kaçınılmaz olacaktır. Ancak büyük hasar veren deprem tehditleri gibi bazı olağan üstü durumlarda bu kesintilerin meydana gelme olasılığı olduğu için, iletişim sektörünün ulaştırma sektörüne bağımlılığının zayıf olduğu değerlendirilmektedir.

Bunun yanı sıra; iletişim sektörünün ısıtma-havalandırma-iklimlendirme (HVAC) fonksiyonları göz önüne alındığında su sektörüne, finansal hareketler göz önüne alındığında ise bankacılık ve finans sektörüne zayıf bir bağımlılığı bulunmaktadır.

İletişim Sektöründe Kişisel Mahremiyet

İkinci husus olarak, AB ve Türkiye mevzuatlarında yer alan elektronik haberleşme sektörü için kişisel mahremiyet konusu önümüze çıkmaktadır. Bu konuda AB’de tam adı “E-Privacy Directive: Directive 2002/58/EC Concerning the Processing of Personal Data and the Protection of Privacy in the Electronic Communications Sector” olan 2002/58 Sayılı E-Mahremiyet Yönergesi; Türkiye’de ise 24/7/2012 Resmi Gazete tarihli “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik” bulunmaktadır ve her iki yönetmelikte de işletmecilerin kişisel verilerin işlenmesine ilişkin olarak ilgili güvenlik kontrollerini uygulaması gerektiği vurgulanmaktadır.

İşbirliği ve Koordinasyon

Üçüncü husus olarak karşımıza işbirliği konusu çıkmaktadır. AB’de “Kritik Altyapıların Korunması için Bir Avrupa Programı” çerçevesi CIKR koruması için işbirliği ve koordinasyonu sağlamayı hedeflemektedir [1]. ABD’de ise 2012 tarihli henüz yasalaşmamış Siber Güvenlik Yasa Taslağındaki tanımlara göre aralarında Savunma Bakanlığı, Adalet Bakanlığı, Ticaret Bakanlığı, istihbarat camiası, sektörlere özel federal kurumlar ve korunması gereken kritik altyapıların güvenliğini düzenlemekten sorumlu federal kurumlar olmak üzere çok sayıda kurumun katılacağı ve başkanlığını DHS’nin yürüteceği bir Koordinasyon Kurulu, belirlenen önlemlerin sistemleri saldırıdan korumak için yeterli olduğunu güvence altına almak amacıyla kurulacaktır. Türkiye’de ise 20.10.2012 tarihli Resmi Gazetede yayımlanan “Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar” çerçevesinde aralarında Ulaştırma, Denizcilik ve Haberleşme Bakanı, BTK Başkanı, TİB Başkanı ve Genelkurmay Muhabere Elektronik ve Bilgi Sistemleri Başkanının da bulunduğu Siber Güvenlik Kurulu kurulmuştur. Aynı kararın beşinci maddesi Ulaştırma, Denizcilik ve Haberleşme Bakanlığının bu kapsamdaki görev ve yetkilerini ifade etmekte; aynı maddenin birinci fıkrasının (ç) bendi kritik altyapıları aşağıdaki gibi işaret etmektedir [2]:

“ç) Ulusal bilgi teknolojileri ve iletişim alt yapısı ve sistemleri ile veri tabanlarının güvenliğini sağlamaya, kritik alt yapıları belirleyerek bunlara yönelik siber tehdit ve saldırı izleme, müdahale ve önleme sistemlerini oluşturmaya, ilgili merkezleri kurmaya, kurdurmaya, bu sistemlerin denetimi, işletimi ve sürekli güçlendirilmesine yönelik çalışmaları yapmak”.

Bu kapsamda, iletişim sektörü de dahil olmak üzere, tüm kritik altyapı sektörleri için siber tehditleri engellemeye yönelik çalışmalara ülke bazında başlanacaktır.

BGYS Kurma Yükümlülüğü

Dördüncü ve son husus da, ABD ve AB’de olmayan ve Türkiye’ye mahsus olan, iletişim sektörü paydaşlarının ISO/IEC 27001 sertifikası edinmesi gerekliliği olarak göze çarpmaktadır. 20/7/2008 Resmi Gazete tarihli Elektronik Haberleşme Güvenliği Yönetmeliğinin 11. maddesi bu konuyu ele almaktadır. 23/3/2011 Resmi Gazete tarihli Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin Tebliğde Değişiklik Yapılmasına Dair Tebliğde ise uygunluk belgesi alma yükümlülüğüyle işletmecilerin yıllık net satışı arasında bir ilişki kurulmuş, buna göre yıllık net satışı 1 Milyon TL ve üzeri olanlar, standarda uygunluğu sağlamak ve uygunluk belgesi almakla, yıllık net satışı 1 Milyon TL’nin altında olanlar, uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağlamakla yükümlü kılınmaktadır.

Bu maddeyle beraber iletişim sektörü paydaşları bilgi güvenliğini daha rahat yönetmeye başlamışlardır. ISO/IEC 27001 standardına uygunluk sağlamakla uygunluk belgesi almak arasında çok cüzi bir meblağ farkı bulunmaktadır. Mevzuata uyum sürecinde maddi olarak en büyük yük, ISO/IEC 27001 standardına uygunluğu sağlama kısmında karşımıza çıkmaktadır ki bu durum da zaten mevzuatta zorunlu tutulmuştur. Dolayısıyla yıllık net satışı ne olursa olsun, tüm iletişim sektörü paydaşlarının bu sertifikayı edinmeleri önerilmektedir.

Sonuç

Sonuç olarak, hem mevzuat altyapısı hem de sektör oyuncularının bilgi güvenliği farkındalık düzeyi ve konunun önemine binaen aldıkları önlemler açısından, ülkemizin en önemli kritik altyapı sektörlerinden biri olan iletişim sektörünün, ülkenin diğer kritik altyapıları arasında ve uluslar arası platformda, siber güvenlik olgunluk seviyesi ortalamasının üzerinde bir düzeyde yer aldığı rahatlıkla söylenebilir.

Kaynak: Tolga MATARACIOĞLU, TÜBİTAK BİLGEM

Sponsorlu Bağlantılar

Ülkemizde İletişim Sektörünün Diğer Altyapı Sektörleriyle İlişkisi İçin Yorum Yap