İnternet erişim sıralamasında 60-70’nci sıralarda olan Türkiye, Siber Güvenlik konusunda da dünya ülkeleri sıralamasında 58 puanla ancak 43’üncü sırada. Sıralamayı (GCI Indeksi), Türkiye'nin 1866’dan beri kurucu üyesi olduğu Uluslararası Telekom Birliği (ITU -International Telecom Union) 6 temmuz 2017 itibariyle yayınladı[1].
ITU Siber Güvenlik Araştırmasını ve Indeksini çok önemsedik; öncelikle ITU gibi ciddi bir kurum tarafından yayınlanması nedeniyle, sonrasında bu araştırmanın, dışarıdan bir göz ile ve diğer ülkelerle karşılaştırmalı olarak Türkiye'nin "siber güvenlik hazırlık" durumunu vermesi nedeniyle önemli olduğunu düşünüyoruz.
Ama en önemlisi; bu Indeks önemli bir uyarı veriyor; o da siber güvenlik konusunda henüz yolun yarısında olduğumuz.
Yani bu indeks, Türkiye'ye siber saldırı yapacak olanlara, önemli bir mesaj veriyor gibi gözüküyor. Yetkililerin konuya eğilmeleri ve sorunlu alanlara bir çözüm getirmeleri gerektiğini düşünüyoruz. Şimdi araştırmanın bütününe ve verilere yakından bakalım.
ITU 2017 Siber Güvenlik Indeksi, 164 ülkenin verileri ile hazırlamış
ITU Küresel Siber Güvenlik İndeksi’ni (GCI) ilk kez, 2013-2014 yılında yayınlamış. O günden sonra çeşitli düzeltmeler yapılmış ve 2016’dan itibaren de düzenli yayınlıyor. Bu indeks, üye devletlerin “aynı çerçevede”, siber güvenlik taahhütlerini yerine getirip, getirmediğini ölçen bir anket ile hesaplanıyor. GCI, ITU'nun Küresel Siber Güvenlik Ajandası (Global Cybersecurity Agenda - GCA) kapsamında, 5 farklı konudaki duruma bakıyor.
Bunlar; yasal ortam, teknik beceri, örgütsel yapılanma, kapasite geliştirme ve işbirliği.
2017'de araştırma 164 üye ülkenin üzerinden yapılmış. ITU bu rapor çerçevesinde, üye ülkelerin 22’sinin iyi durumda olduğunu, Türkiye’nin de içinde olduğu 77 ülkede siber güvenlik planlarının yapıldığını ama daha gidilecek yol olduğunu belirtiyor, 96 ülke ise siber güvenlik alanında zayıf durumda. ITU farklı bölgelerdeki farkındalık ve gelişme düzeylerindeki farklılığın gözle görülebildiğini belirtiyor.
Buna göre, Avrupa'daki taahhüt özellikle hukuki ve teknik alanlarda çok iyi durumdayken, Afrika ve Amerika'daki bazı bölgelerde, daha çok çalışılması gerekiyor.
Ülke puanı 50'nin altında olan 96 ülke var. Türkiye 58 alarak, bu bölgeye girmekten az fark ile kurtulmuş bunu da kaydedelim.
GCI neyi amaçlıyor?
ITU raporuna göre, 5 ana dal altındaki 25 kriterin bileşimi ile oluşturulan GCI'nin ölçmeye çalıştığı temel veriler şunlar;
- Ülkelerin siber güvenlik konusundaki çalışmalarının tipi, düzeyi, zamana bağlı gelişmesi ve bunun diğer ülkelerle karşılaştırılması
- Global bakış ile tüm ülkelerin siber güvenlik gelişmelerinin izlenmesi
- Bölgesel bakış ile ülkelerin siber güvenlik gelişmelerinin izlenmesi
- Ülkelerin siber güvenlik konusuna odaklanma düzeyleri arasındaki farklılıklar, siber güvenlik taahhüt uçurumunun ortaya konulması
ITU böylece ülkelerin “Hukuki, Teknik, Organizasyonel, Kapasite arttırımı ve İşbirliği” olarak belirlenen 5 alandan, hangisinde boşlukları olduğunu görebileceklerini düşünüyor.
Türkiye'nin -detayını en altta görebilirsiniz- değerlendirilmesine bakıldığında ise, bu 5 alandan teknik ve organizasyonel alanlarda olumlu not almışız. Hukuki ve Kapasite oluşturmada, orta düzeyde kalmışsız. İşbirliğinde ise zayıf olduğumuz gözüküyor.
Dünya 1’incisi Singapur, 2’ncisi ABD, 3’üncüsü Malezya
ITU raporuna bakıldığında, siber güvenlik alanındaki hazırlıkları en yüksek 10 ülke ve puanları sırasıyla şu şekilde;
1. Singapur --- 0.925
2. ABD --- 0.919
3. Malezya --- 0.893
4. Umman --- 0.871
5. Estonya --- 0.846
6. Maritius --- 0.830
7. Avustralya --- 0.824
8. Gürcistan --- 0.819
9. Fransa --- 0.819
10. Kanada --- 0.818
11. Rusya --- 0.788
12. Japonya --- 0.786
13. Norveç --- 0.786
14. İngiltere --- 0.783
15. Güney Kore --- 0.782
Türkiye 43’üncü sırada
ITU'nun siber güvenlik indeksinde Türkiye 0,581 puan ile 43’üncü sırada yer alıyor. Diğer bir deyişle, Türkiye yapması gerekenlerin ancak yarısını yapmış.
Türkiye'nin puanlarına detaylı bakıldığında,
- Hukuki Alanda; 3 kriterden Siber Suçlulara yönelik hukuki altyapıdan ve Siber Güvenlik Düzenlemesinden geçer not alırken, siber güvenlik eğitimlerinden zayıf almış ve sonuçta hukuki notu Orta düzeyde kalmış.
- Teknik Alanda; 6 kriterden, profesyoneller için standartlar alanında zayıf not alırken, ulusal CERT/CIRT/CSIRT, hükümetteki CERT/CIRT/CSIRT, Sektörel CERT/CIRT/CSIRT, Organizasyonlara yönelik standartlar ve online çocuk koruması alanlarından geçer not aldığı için Teknik Not Geçer
- Organizasyonel Alanda; 3 kriterden strateji ve ilgili kurum alanında geçer not, siber güvenlik ölçümlerinde orta not aldığından bu alanda da notu Geçer
- Kapasite Oluşturma alanında; 8 kriterden; 4 tanesi geçer, 1 tanesi zayıf ve 3 tanesi orta düzeyde not aldığından. Bu alandaki notu Orta olarak sınıflandırılmış. Zayıf aldığı not; siber güvenliğe yönelik iyi örnekler. Orta aldığı 3 kriter; siber güvenlik ARGE programları, eğitim programları ve yerli endüstri. Geçer not aldığı alanlar ise; standardizasyon kurumları, halka yönelik farkındalık kampanyaları, profesyonel eğitim programları ve özendirici mekanizmalar olmuş.
- Son olarak da; İşbirliği başlığı altında 5 kriter bulunuyor. Türkiye, bunlardan 1 geçer ve 4 zayıf not almış. Geçer not aldığı alan; uluslararası katılım olmuş. Zayıf aldığı 4 alan ise; karşılıklı anlaşmalar, çok taraflı anlaşmalar, özel sektör - kamu işbirlikleri ve kurumlar arası işbirlikleri olmuş. Bu alanda Türkiye'nin notu Zayıf
- bu 5 ana kriterin TOPLAMInda aldığı not ise Orta olmuş. Rakam olarak verilirse de 58 olarak hesaplanmış.
Dikkatimizi çeken ufal bir not; İndeksin kriterlerinden birisi olan “Siber Güvenlik Stratejisi” konusunda çeşitli eleştirel yazılarımızı hatırlayacaksınız [2]. Devlet 2014-2016 arasını boşlukta yani strateji olmadan geçirmişti. O dönemde bu indeks hazırlansaydı, muhtemelen Türkiye 50 puanın da altına düşmüş olacaktı.
Neyse geçen yıl bir siber strateji hazırlandı. Böylece bu indeksi de 50’nin üzerine geçiren maddelerden birisi oldu.
Eğitim, standardizasyon, ARGE, yerli üretim konularına ağırlık vermek lazım
Yukarıdaki maddelerde eğitim, standardizasyon, ARGE konularına bakıldığında Türkiye’nin zayıf kalmış olduğu anlaşılıyor. Bunlar için üniversitelerle işbirliği içinde daha fazla çalışılması gerektiği görülüyor.
İşbirliği konusuna bakarsanız da, yazılarımızda, devletin son 3-4 yıldır kendi içine kapandığını ve özel sektör ile ilişki kurmaktan adeta kaçındığını, sektörel tecrübeleri almadıklarını anlatıyoruz. Bu rapor da benzer bir konuya işaret ediyor.
Siber güvenlik işi, “biz devlet olarak yaparız” türü bir iş değil, mutlaka özel sektör tecrübesi lazım. İşbirliği lazım. Zaten indeksin bir maddesi de bu “Yerli Endüstri”. Ülkemizde de Labris gibi, Natek gibi yerli endüstri olan firmalar var. Bunların daha çok desteklenmesi lazım.
Ama sadece üretici değil, müşteri ya da operatör durumunda olan firmaların da önemli tecrübeleri var. Bunları da dinlemek ve işbirliği yapmak lazım –ki bu konu yeterince gözönüne alınmıyor.
Taahhütler yerine geldiğinde, içi dolu olacak mı?
Son olarak şunu belirtelim; bu indeks bir "taahhüt" anlamına geliyor. Diğer bir deyişle, GCI indeksi, işin kalem/kitap/mevzuat tarafı. Yani biz daha mevzuat tarafında yapılacakları planlayamamışız. Bundan sonrasında, bu mevzuatın içinin de doldurulması var.
Örneğin; ARGE maddesi. Bir sonraki indeks döneminde "ARGE Yapıyoruz" diye raporlandığını düşünün. Ülkemizde son 10-15 yılda ARGE destekleri konusunda bir gelişme var (gerçi bu sene geriye gitmiş [3]) ama hep eleştirilen konu, ARGE'nin ölçülmediği. Yani desteklemeye harcanan para ile, alınan fayda orantılı mı, kimse bilmiyor.
Dolayısıyla, GCI indeksini yükseltelim ama "siber güvenlik" konusu önümüzde, yeni savaş şekli olarak duruyor. Bunu laf olsun ya da indeks yükselsin diye değil, gerçekten içi dolu bir şekilde yapmamız lazım.