Ulusal Bilgi Güvenliði Raporu ve Teknolojik Geliþmeler
Bilgi ve iletiþim teknolojilerindeki hýzlý geliþmeler yeni bir çað yaratmýþtýr. Bilgi çaðý olarak adlandýrýlan bu çaðda ekonomide ve sosyal yaþamda klasik paradigmalar yetersiz kalmakta; teknolojik geliþmeler yeni yapýlar, yaklaþýmlar yaratmaktadýr. Bu nedenle, bilgi güvenliðine iliþkin ulusal bir politika oluþturmanýn temel koþullarýndan birisi, bilgi ve iletiþim teknolojilerinde gözlenen geliþmelerin bilinmesidir. Bu noktada, söz konusu teknolojik geliþmelerin ne olduðunu ve ne yönde olacaðýný doðru anlamak ve içeriðini doðru belirlemek son derece önemlidir.
Kriptoloji, internetin yaygýnlaþmasý ve bir ticaret medyasý halini almaya baþlamasýyla, bilgi güvenliðinin sivil uygulamalarýna tanýk olmaya baþlamýþtýr. Bu uygulamalar kýsaca "açýk anahtarlý altyapýlar (Public Key Infrastructure-PKI)" olarak isimlendirilebilir. Açýk anahtarlý altyapýlar, bir gizli ve açýk anahtar çifti ve bu çiftle saðlanan "elektronik kimlik, sayýsal imzalama ve þifreleme" iþlevleriyle, gerekli kurumsal ve yasal yapýlanma üzerine kurulmuþtur.
Burada þu noktalar önemlidir: - Kripto iþlemleri donaným üzerinden yazýlýma kaymýþtýr. Örneðin kripto teçhizatý, saklanmasý, imhasý ve benzeri unsurlar bu altyapýda karþýlaþýlan ve kullanýlan terimler deðildirler. - Söz konusu yazýlýmlarda kullanýlan algoritmalar tümüyle kamuya açýktýr. Bunun anlamý, bu algoritmalarýn çok sayýda taraf tarafýndan testinin yapýlabilir olmasý ve bu yolla güvenilirliðinin artmasýdýr. - Anahtarlarýn üretilmesi, saklanmasý ve tüm iþlevlerin yürütülmesi için uluslararasý açýk standartlar belirlenmektedir (X.509 elektronik kimlik belgesi standardý, PKCS açýk anahtarlý altyapýlar standartlarý gibi). Bu standartlarýn dýþýna çýkmak pratik deðildir. - Açýk anahtarlý altyapýlarýn gerektireceði yasal düzenlemeler de, (onay kurumlarýnýn yapýlandýrýlmasý, sayýsal imzanýn kabulü, vb.) uluslararasý uyumun gereði olarak yerine getirilecektir.
Konu ile ilgili ilk yasa ABD'de Utah eyaletinde kabul edilmiþtir (1995). Bunu Almanya (1997) ve Singapur (1998) sayýsal imza yasalarý izlemiþtir. Halen Avrupa Topluluðu üye ülkelerinde böyle bir yasa için çalýþmalar sürmektedir. Genel eðilimlerin dýþýnda geliþtirilmeye çalýþýlacak uygulamalar sosyal ve ekonomik açýdan zararlý olabilecek, uluslararasý standartlara uymayan yapýlanmalar ülkeleri yalnýzlýða itecektir.
Ýnternet yalnýzca bir iletiþim altyapýsý deðildir. Kimi yorumlara göre bilginin yaratýlmasý ve paylaþýlmasý için bir "özgürlük ortamý" anlamýna da gelmektedir. Gerçekten de internet sýnýrsýz bilginin yayýlmasýnýn medyasý olmuþtur. Bu baðlamda, kriptografik ürünler hýzla ve kolaylýkla yayýlabilmektedir. Bu durum, ABD'deki aksi yönde gayretlere karþýn deðiþmemiþ aksine geliþmiþtir. Örneðin, ABD tarafýndan sýnýrlandýrýlmýþ pek çok ürünü, ABD üzerinden ya da dünyanýn baþka bir köþesinden internet aracýlýðýyla edinmek "teknik olarak" son derece kolaydýr. "Teknik yöntemlerle" bunun önüne geçilmesi olanaksýzdýr.
Dolayýsýyla, "Ýnternetteki bu durumun denetlenmesi" amacýyla yapýlacak giriþimler "teknik açýdan geçersizdir". Bunun yanýnda þu noktalar da dikkat çekicidir: - Ýnternet protokolü IP'nin gelecekteki versiyonu IP v6, IP düzeyinde "þifreleme" saðlayacaktýr. Bu durumda anahtarlarýn saklanmasý da olanaksýzlaþacaktýr. - Bilgi ve iletiþim teknolojilerinde, ulusal devlet politikalarý "teknolojik yansýzlýk" ilkesini benimsemiþlerdir. Bunun anlamý kamunun, geliþme aþamasýnda bir teknolojiyi diðerlerine üstün saymamasý ya da tercih etmemesidir. Diðer bir deyiþle, teknolojilerin açýk rekabet ortamýnda birbirlerine üstünlüklerinin saðlanmasýdýr.
Bütün bu teknolojik geliþmeler göz önüne alýndýðýnda oluþturulacak politika ilkelerinin ve kurumsal yapýlanma önerilerinin, ileride sorunlar yaratabilecek uygulamalardan kaçýnýlmasý gerektiðini göstermektedir. Yukarýda sözü edilen teknolojik tarafsýzlýk ilkesi, teknolojik açýk rekabet ortamýnýn saðlanmasý gibi konular göz önüne alýndýðýnda oluþturulacak politikalarýn bunlarla çatýþmamasý gerekmektedir. IP v6 ve sonrasý geliþmelerin ýþýðýnda, teknik açýdan gerçekleþtirilemeyecek görevler, kurumsal önerilerde yer almamalýdýr. Bu nedenle, geliþmiþ ülkeler bu yeni geliþmelere karþý tedbirler almak konusunda çok temkinli davranmaktadýrlar. Mevcut yasalarla sahip olduklarý yetkileri de, kulaným alanlarýna açýklýk getirerek sýnýrlamaktadýrlar.
Diðer Ülkelerdeki Durum
Birkaç yüzyýllýk geçmiþi olan demokrasinin, çaðýmýzda ortaya çýkan çok yoðun bilgi transferi ihtiyacýna ayak uydurmasýný saðlayacak arayýþlar sürmektedir. Demokratik ülkeler, kriptografik yazýlým ve donaným kullanýmý söz konusu olduðunda kiþisel/ticari özgürlüklerle ve devlet/kamu güvenliði arasýnda bir denge bulmaya çalýþmaktadýrlar. Bilgi güvenliði, uzun yýllar boyunca ve özellikle Soðuk Savaþ döneminde, askeri ve diplomatik haberleþmenin önemli bir parçasý olarak ele alýnmýþtýr. Bu açýdan bakýldýðýnda kavram, bilginin güvenli iletimi kadar, "hasým uluslarýn" elektronik istihbarat yöntemleriyle dinlenmesi olarak anlaþýlmýþtýr. Özellikle geliþmiþ uluslar, bu amaçlarla Soðuk Savaþ döneminin hemen baþlarýnda çeþitli kurumlar ihdas etmiþlerdir.
Geliþmiþ ülkelerdeki geliþmeler aþaðýda özetlenmiþtir.
ABD
Kiþisel özgürlüklerin zedelenmemesi prensibinin neredeyse anane haline geldiði bu ülkede, devlet, yurttaþlarýnýn haberleþmenin mahremiyeti konusunda haklarý ile terörizm, kaçakçýlýk ve devlete karþý iþlenen diðer suçlarýn önlenmesi konusunda dengeleri de kurmuþ bulunmaktadýr. ABD'de 1952 yýlýnda kurulan "Ulusal Güvenlik Teþkilatý (National Security Agency)" bu dengenin içinde kendine özgü bir yere sahiptir. NSA, ABD çýkarlarý doðrultusunda bir yanda uluslararasý elektronik istihbarat yapmak ve öte yanda Amerikan devletinin bilgi güvenliðini saðlamaktan sorumludur. NSA, uzman teknik fonksiyonlarý saðlamaktan sorumlu kýlýnan Savunma Bakaný'nýn yetki, kontrol ve yönlendirmesinde ve Savunma Bakanlýðý bünyesinde baðýmsýz bir teþkilat olarak kurulmuþtur.
NSA'nýn günümüzde aldýðý biçim hakkýnda þu noktalar önemlidir:
NSA, tam olarak bir "elektronik istihbarat" örgütüdür. Hatta bu öyledir ki; NSA "ABD Ýsthibarat Topluluðu (US Intelligence Community)" içinde, CIA, FBI, "Ordu Ýstihbarat (Army Intelligence)" ve Savunma Bakanlýðý gibi toplam 13 federal kurumdan birisidir ve bu kuruluþundan beri deðiþmemiþtir. Ayrýca, 1972 yýlýnda kurulan "Merkezi Güvenlik Birimiyle (Central Security Service)" NSA ve ordu istihbarat birimleri arasýnda tam bir iþbirliði saðlanarak Savunma Bakanlýðýnýn kriptografik çalýþmalarý tek bir bünyede verilmeye baþlanmýþtýr. (1)
NSA "diðer uluslar ve onlarýn taraflarý için istihbarat ve karþý istihbarat" in istihbarat etkinlikleriyle sýnýrlýdýr. Amerika'da oturma izni olan yabancýlar, Amerikan vatandaþlarý ve Amerikan özel sektör kurumlarýnýn gizlilik haklarýna aykýrý yasadýþý istihbarat yürütmesi anayasa ve NSA'in kuruluþ yasasýyla kesinlikle yasaklanmýþtýr. Bunun ötesinde, gizlilik ve haberleþme özgürlüðü yasalarýyla kiþiler kendileri hakkýnda NSA gizlilik yasasýnda tanýmlanan "kimlik bilgilerine" eriþme hakkýna sahiptirler. Haberleþme özgürlüðü kapsamýna giren "hükümet kayýtlarýnýn" NSA tarafýndan tutulmasý yasayla engellenmiþtir. (2)
NSA "ithalat ve ihracat politikalarýnýn" belirlenmesinde görevli deðildir ve kendi dýþýnda oluþan politikalara tabiidir. ABD'de bu politikalar "Baþkanlýk" düzeyinde saptanýr.
NSA'in ABD'deki "kriptografi üretimini" kontrol altýnda tutmak, söz konusu ürünleri sertifikalandýrmak türünden hiçbir iþlevi ve görevi yoktur. Hatta, özel üreticiler kamuya ürünlerini satarlarken dahi, NSA'in onayýný almak zorunda deðildirler. Tam aksine, NSA, geliþmiþ yeteneklerinden ABD özel sektörünün de yararlanmasýný saðlamak amacýyla, özel sektörün isteðine baðlý olarak danýþmanlýk vermektedir. (3)
Kamuda bilgi güvenliði standartlarýnýn belirlenmesi ve uygulanmasý da NSA'in görevleri arasýnda deðildir. ABD'de bu iþlevi, Amerika Standartlar Enstitüsü (National Institute of Standarts and Technology) "Federal Bilgi Ýþleme Standartlarý (Federal Information Processing Standarts)" yayýnlarýyla yerine getirmektedir. Bu baðlamda Madde 8'in çeþitli bentlerinde ve farklý biçimlerde tekrar edilen "usuller ve yöntemler belirlemek, altyapýlarý korumak" fiilleriyle ifade edilen ve temelde kamuda bilgi güvenliði standartlarýnýn altyapýlar, ürünler ve uygulamalar açýsýndan saptanmasýna dönük olduðu anlaþýlan iþlevler bu kapsama girmektedir.
1993 yýlý Nisan ayýnda Clinton yönetimi NSA tarafýndan hazýrlanan/önerilen yeni bir kriptoloji politikasýný ortaya koymuþtur. Baþkan Bush zamanýndan baþlayarak yürütülen bu çalýþmalarýn odak noktasý hükümet tarafýndan geliþtirilen Clipper adlý bir kripto çipidir. Özel sektör tarafýndan üretilen her türlü güvenli iletiþim ürünlerine yerleþtirilmesi önerilen bu çipe karþý çok büyük bir tepki oluþmuþtur. Bu tepkilerin kaynaðýnda, her çip için özel olarak üretilen anahtarlarýn bir kopyasýnýn hükümet tarafýndan tutulmasý ve tamamen yasal olmayan hiçbir nedene dayanarak bu çipler üzerinden geçen trafiðin dinlenmeyeceðinin hükümet tarafýndan garanti edilmesine raðmen, yeterli güvenin oluþturulamamasý bulunmaktadýr. Ayrýca, hükümet tarafýndan geliþtirilen anahtar algoritmasýnýn açýklanmamasý sonucunda algoritmanýn denenmesinin ve güvenilirliðinin kanýtlanamayacak olmasý, bunun sonucunda tüketicilerin bu ürünlere raðbet etmeyeceðinin ortaya çýkmasý, gittikçe önem kazanan kriptoloji sanayiinde dünya pazarlarýnda rekabet þansýnýn kapalý bir algoritma kullanýlarak üretilen ürünlere dayanarak korunamayacaðý gibi endiþeler ortaya çýkmýþ ve bu çip istenen kullaným yaygýnlýðýna ulaþamamýþtýr. (4)
Öte yandan "yaþamsal altyapýlarýn korunmasý" (critical infrastructure protection) yeni bir kavram olarak dünya ülkelerinin gündemine girmiþtir. Yaþamsal altyapýlarýn korunmasý kavramý, ekonominin ve devletin minimum düzeyde iþleyiþi için gerekli fiziksel ve aðsal sistemleri kapsamaktadýr. Amaç, ülkenin düþmanlarýnýn, bunlar ister baþka ülkeler, ister ülke içindeki gruplar ve bireysel olsun, "geleneksel olmayan" yöntemlerle yapacaklarý saldýrýlarýn engellenmesidir. Açýktýr ki, bu tehditler, devletin elektronikleþmesi ve açýk aðlarý kullanmasýnýn yaygýnlýðýyla doðru orantýlýdýr. Yaþamsal altyapýlarýn korunmasý için ABD Baþkaný Bill Clinton, 1998 yýlýnda bir Beyaz Belge direktifleri yayýnlamýþtýr. Bu belgede dikkat çeken unsurlar þunlardýr: Devlet içinde öncü kurumlar tespit edilmiþtir. Her öncü kurum çeþitli sektörleri paylaþmýþlardýr. Örneðin, Ticaret Bakanlýðý iletiþim ve enformasyon sektörüne; Hazine Bakanlýðý bankacýlýk ve finans sektörüne, FBI polis, acil durum ve adalet konularýna; CIA dýþ istihbarata; Dýþiþleri Bakanlýðý dýþiþleri sektörüne; Savunma Bakanlýðý savunma sektörüne liderlik edecek kurumlar olarak belirlenmiþlerdir. Ayrýcý, Bilim ve Teknoloji Politika Genel Müdürlüðü, Ulusal Bilim ve Teknoloji Konseyi'nin programlarý aracýlýðýyla araþtýrma ve geliþtirme çalýþmalarýný eþgüdümlemekle görevlendirilmiþtir. Öncü kurumlarýn seçilmesinin nedeni, bu konuda, özel sektör/kamu sektörü iþbirliðini gerektirmesi ve gereksiz hükümet düzenlemeleri yaratmaktan kaçýnýlmasýdýr. Ulusal Eþgüdümcü: Güvenlik, Altyapý Koruma ve Karþý-terörizm Ulusal Koordinatörü bu direktifin eþgüdümünden sorumludur. Uyarma ve Bilgi Merkezleri: Baþkan, bu görevle FBI'yý sorumlu kýlmýþtýr.
National Infrastructure Protection Center (NIIPC): Bu heyet, FBI, bilgisayar suç uzmanlarý, Savunma Bakanlýðý, Ýstihbarat topluluðu ve önder kurumlarýn temsilcilerinden oluþur. (5)
Ýngiltere ve Almanya
NSA dýþýnda geliþmiþ ülkelerden anýlan iki diðer örnek kurum Ýngiltere'deki Kamu Haberleþmesi Koordinasyonu (Government Communications Headquarters) ve Almanya'daki Enformasyon Teknolojileri Güvenlik Kurumudur (Bundesamt für Sicherheit in der Informationstechnik). Ýngiltere'deki Kamu Haberleþmesi Koordinasyonu (Government Communications Headquarters), NSA'ya çok yakýn iþlevler yürütmektedir. GCHQ'nun da oluþumu Soðuk Savaþ dönemine dayandýrýlmaktadýr. (6)
Enformasyon Teknolojileri Güvenlik Kurumu (BSI) ise NSA ve GCHQ örneklerinden farklý olarak, istihbarat iþlevi olmayan bir kurumdur. BSI bir Alman kamu kurumu olarak, bilgi ve bilgisayar sistemleri güvenliði konularýnda araþtýrma yürüten bir kurumdur. Araþtýrma sonuçlarý, kamuda söz konusu güvenlik uygulamalarýnýn yapýlmasýna yarar saðlamaya çalýþmaktadýr. Kurum adli olaylarda da emniyete talep olduðu takdirde danýþmanlýk hizmeti verebilmektedir. (7)
Alman Hükümeti de söz konusu teknolojiyi yasaklamak üzere giriþimlerde bulunmaya baþlamýþtýr. 4 Mayýs 1995 tarihinde Alman Parlamentosu "Telekomünikasyon Ýzleme Kanunu" adý altýnda ülkede tasarlanan ve kullanýlan telefon, GSM, ISDN ve bilgisayar þebekesi tarayýcýlarýnýn, devlet birimleri tarafýndan gerektiðinde dinlenmesini saðlamak için standart bir ara baðlantý saðlamalarý konusunda bir kanun teklifini onaylamýþtýr. Kanunun özünü, güçlü delillere dayanarak baðýmsýz bir yargýç kararý olmadan özel haberleþmenin dinlenememesi oluþturmaktadýr. Yargýcýn gerekli gördüðü durumlarda, bu kanuna göre çaðrý oluþturma bilgilerine ve GSM kullanýcýlarýnýn hücreler arasýnda izlenmesini saðlayacak bilgilere eriþilmesi mümkün hale gelmektedir. Almanya, bu düzenlemesiyle, Avrupa ülkeleri arasýnda bireyi devlete karþý üst düzeyde güvenceye alan bir ülkelerin öncülüðünü yapmaktadýr.
Norveç
Norveç'te kriptografik ürünlerin yurt içerisinde kullanýmýnda herhangi bir yasaklama yoktur ve ithalatýnda da kontrol bulunmamaktadýr. (8)
Norveç Wassenaar anlaþmasýnýn bir üyesidir ve bu baðlamda kriptografik ürünlerin ihracatýný 1987 tarihli bir yasayla kontrol etmektedir. Ýhracat kontrolü Dýþiþleri Bakanlýðý'nýn sorumluluðundadýr. Norveç yasalarý Wassenaar antlaþmasýnda yer alan genel yazýlým istisnasýný gözetmektedir. Ayrýca, internetin genel yazýlým notunun uygulanmasý ve kriptografik ürünlerin iletilmesi için yeterli bir temeli teþkil ettiði benimsenmektedir.
Norveç'te yürütülmekte olan Kamu Sektörü Að Projesinde, sayýsal imza sayýsal kimlik belgesi ürünlerinin oluþturulmasý hedeflenmektedir. Bu projenin "açýk anahtarlý altyapýlar" (PKI) için yasal, teknik ve organizasyonel düzenlemeler için deneme olduðu ve temel teþkil edeceði planlanmaktadýr. SEIS-Secure Electronic Information in the Society, kamu ve özel sektör örgütlerinin ortaklaþa çalýþtýðý bir gruptur. Elektronik kimlik kartlarý için kamuya açýk standart geliþtirmiþlerdir. (PAS) Norveç ulusal standartlar kurumu SEIS temelli Ýsveç standardýný Norveç ulusal standardý olarak kabul etmeyi planlamaktadýr. (9)
Norveç, bir dizi þifreleme sisteminden oluþan ve çalýnamaz biçimde silisyuma yazdýðý NSK adlý milli algoritma yazmýþtýr. NSK (Norwegian standart for cryptography) algoritmasýný kullanan NX1000 gibi kriptografik cihazlar Norveç pazarýnda bulunabilmektedir.
ABD'de kriptografik teçhizat Wassenauer ilkeleri gereðinde "mühimmat" gibi görmektedir. "Mühimmat kavramý" askeri bir terim olarak, kriptografik ürünlerin, 1998 Wassenaar düzenlemesinde, "askeri ve ticari olmak üzere çift kullanýmlý" teknolojilerden sayýlmaya baþlanmasýyla ilgilidir. Bunun anlamý, bu düzenlemeye imza koyan ülkelerin, kriptografi ürünlerinin ithalat ve ihracýnda "uyumlu" politikalar izleme niyetinde olduklarýdýr. Ancak Wassenaar bir anlaþma deðildir ve yaptýrýmý yoktur. Nitekim, Ýsviçre hükümeti 1998 düzenlemesinin "liberal politikalarýnda" bir deðiþikliðe neden olmayacaðýný ve Ýsviçre firmalarýnýn dünya pazarýndan en yüksek payý almalarý konusundaki desteðinin devam edeceðini açýklamýþtýr (Bkz. Crytography and Liberty 1999, EPIC). Wassenaar üyesi Ýrlanda ise, en baþýndan beri ABD ve Ýngiltere'nin aksi yönünde politikalar izlemiþtir. Ýrlanda'nýn bir firmasý olan "Baltimore Inc." bugün dünyanýn en önde gelen bilgi güvenliði firmalarýndan birisidir.
ABD, 1998 Wassenaar düzenlemesinin aksi yönünde, ihraç politikalarýný 2000 yýlýyla beraber deðiþtirmiþtir. Wassenaar 1998 açýk bir biçimde internet tarayýcýlarýnda 56 bit anahtar uzunluðunda kriptoya izin verirken, ABD bu yýlýn baþýndan itibaren 128 bit anahtar uzunluðunu ihraç etmeye baþlamýþtýr. ABD kökenli web sunucularý da paralel bir biçimde 128 bit SSL destekler bir biçimde ihraç edilmeye baþlanmýþtýr. Ülkemizde bazý bankalarýn internet sayfalarýnda bu konunun uygulamasý görülmektedir.
Bu deðiþimde, "ticari çýkarlarýn" aðýr bastýðý vurgulanmaktadýr. Deðiþiklik, tümüyle liberal bir politika deðilse de, geçmiþ uygulamalara göre liberalleþme anlamýna gelmektedir. (10)
Fransa'da da kriptografik yazýlým ve donaným "mühimmat" olarak tanýmlamakta ve iþlem görmektedir. Yasa ile kriptografik teçhizatýn ihracatý ve kullanýmý devlet denetimine tabi kýlýnmýþtý. Bir süre, Fransa'da faaliyet gösteren yabancý þirketler "ulusal güvenlik" nedeni ile kullandýklarý anahtarlarý Fransýz hükümetine bildirmek zorunda kaldýlar. Ancak daha sonra bu politikalardan vazgeçilmiþtir. Almanya, Finlandiya ve Ýtalya en baþýndan beri liberal politikalar izlerken, Fransa 1999 yýlýnda gösterdiði deðiþimle ilginç bir uyum örneði sergileþmiþtir. Fransa'da da artýk sadece "beyan" yöntemi uygulanmaktadýr. Gerçekten de Fransa yakýn zamana kadar, "sertifikalandýrma" yöntemiyle ihracat ve ithalatý kontrol altýnda tutmaya çalýþýrken, 1999 yýlý baþýnda Baþbakan'ýn birinci aðýzdan açýklamalarýyla sadece ticari politikalarýnda deðil ancak tüm ulusal politikalarýnda önemli deðiþikliklere gittiðini duyurmuþtur. (11)
Avrupa Birliði, diðer ulusal politika konularýnda olduðu gibi, ihracat ve ithalat izinlerinde de ABD'ye oranla çok daha liberal politikalar izlemektedir. Son olarak, 22 Mayýs 2000 tarihinde Lizbon'daki Dýþiþleri Bakanlarý toplantýsýnda onaylanmasý beklenen bir düzenlemeyle, kriptolojik ürünlerin ihracatýna getirilen sýnýrlamalar büyük ölçüde kaldýrýlacaktýr. Bu düzenlemeyle, ihracat yapacak firmalarýn, ürünün son kullanýcýsýnýn Avrupa Birliði ülkelerinde veya aralarýnda Kanada, Japonya, ABD, Avustralya ve Yeni Zelanda'nýn da bulunduðu 10 ülkeden birinde olduðunu beyan etmeleri yeterli olacaktýr. Avrupa Birliði ve adý geçen diðer ülkeler bu alanda dünya pazarýnýn % 80'ini oluþturmaktadýrlar.
Bu hamleyle, AB ülkeleri firmalarý bu pazarda özellikle ABD'li firmalara karþý büyük avantaj saðlamýþ olacaktýr. Bu nedenle, çok yakýnda ABD'li firmalarýn hükümete baský yaparak kendi ülkelerinde de benzer bir düzenlemenin yapýlmasýný istemeleri beklenmektedir.
OECD'nin 1998 yýlýnda gerçekleþtirdiði "Kriptografi Teknolojilerindeki Kontroller" baþlýklý envanter çalýþmasýnýn raporu 1999 yýlýnda yayýnlanmýþtýr. Bu envantere göre kriptografik ürünlerin ihracat ve ithalatýndan sorumlu kurumlar büyük çoðunlukla ekonomiden ya da sanayi ve ticaretten sorumlu bakanlýklardýr. Envantere göre yalnýzca Avustralya ve Türkiye'de sorumlu bakanlýklar olarak Savunma Bakanlýklarý belirtilmiþtir. Türkiye'de ayrýca Dýþ Ticaret Müsteþarlýðý da sorumlu kurum olarak belirtilmektedir. (12)
Türkiye'de Durum
Ulusal Güvenliði ilgilendiren bilginin örgütlenmesi açýsýndan, "gizlilik dereceli" bilginin ne olduðu, nasýl üretileceði, korunacaðý, nakledileceði, kullanýlacaðý ve imha edileceði konusunda T.C. Devleti'nin yasal hazýrlýðý ve düzenlemesi bulunmamaktadýr. Bu yasal düzenlemeler ise geçici olarak kurulup sonra daðýtýlan birtakým platformlarýn üstesinden gelebileceði gibi basit bir yasa ya da mevzuat deðil, çok karmaþýk bir yasalar zinciridir ve geliþen teknoloji nedeni ile sürekli güncellenmek ve teknolojiye uygun hale getirilmek zorundadýr.
Ulusal bir bilgi güvenliði politikasýnýn olmayýþý ülkenin ulusal güvenliðini hassas hale getirmektedir.
Bakanlýklar, kamu kurum ve kuruluþlarý arasýnda ulusal güvenlik ihtiyaçlarý doðrultusunda bilgi güvenliðini koordine edecek, yönlendirecek ve ulusal bilgi güvenlik sistemini iþletecek bir yapý yoktur.
Ulusal bilgi güvenliði gibi karmaþýk ve konunun nasýl çözülebileceði hususunun müzakere etmek için ortak anlayýþý kolaylaþtýracak, üzerinde mutabakata varýlmýþ tanýmlar mevcut deðildir.
Hassas bilgi altyapýsýna baðýmlýlýk ve bu altyapýya tehdit ve riskler, kurum ve kuruluþlarca iyi anlaþýlamamýþtýr.
Kriptografik ürünlerin ithalatý ve ihracatý ile ilgili kontrol esaslarý net olarak belirlenmemiþ olup kontrol mekanizmasý tam olarak tesis edilememiþtir.
Politika Açýsýndan; • Kamu kurum ve kuruluþlarýnda ulusal kullaným amaçlý onaysýz hiçbir kripto cihazýnýn kullanýlmamasý, • Ulusal kriptoloji politikasýnýn, icra ve yasama organlarý tarafýndan geliþtirilmesi, • Kriptoloji üzerindeki icraat kontrolünün, dýþ ticareti arttýracak ancak ulusal savunma gereklerini dikkate alacak biçimde tespit ve uygulanmasý, • Devletin, özel sektörde de, gelecek talep üzerine bilgi güvenliðini geliþtirecek mekanizmalarýnýn kurulmasýný teþvik etmesi ve desteklemesi, • Haberleþme ve bilgi sistemleri ile kripto teçhizatýnýn milli imkanlarla yurtiçi kaynaklardan saðlanmasý, • Bilgi teknolojilerinin geliþimi için Araþtýrma-Geliþtirmenin devletçe desteklenmesi gerekmektedir.
Sonuç ve Deðerlendirme
Kriptolojik ürün geliþtirme tek baþýna bir sanayi olarak görülmelidir. Bu konuda uygulanacak akýllý politikalarla bu tür ürünler ülkemiz için önemli bir ticari meta haline gelebilir. Ayrýca birkaç yýl içinde geliþtirilen her yazýlým için o yazýlýma özgü kriptolojik bir modül olabileceði gibi, internet sayfalarýndaki eriþim de kriptolojik yöntemler içerebilecektir. Bütün bu muhtemel geliþmeler kriptolojinin artýk bir ticari ürün olduðunu ortaya k****ktadýr. Bu tür ürünlerin geliþtirilmesine konulacak kýsýtlar ülkemizdeki herhangi bir ticari ürünün geliþtirilmesine karþý konulmuþ kýsýt gibi, ticari iþ hacmini engelleyecektir.
Ayrýca, konu uzmanlarýndan London School of Economics akademisyenlerinden Stuart J.D. Schwartzstein tarafýndan da belirtildiði gibi, gizli anahtarýn elde edilmesi, ve güvenilir üçüncü tarafta tutulmasý gibi çalýþmalarýn önümüzdeki dönemde politik, ekonomik ve teknik nedenlerden dolayý baþarýlý olmasý beklenmemektedir. (13)
Kanunun bu yanlarý da düþünüldüðünde, ulusal politikalar açýsýndan yeni kurumsal ve yasal yapýlanmanýn aþaðýdaki ilkeleri de göz önüne almasý gerekmektedir:
"Ulusal bilgi güvenliðini saðlamaya iliþkin bilginin" tanýmý belirli olmalýdýr. Tersi durumda, belirsiz taným altýnda, kamu ve özel kurumlarda bilgiye "Ulusal Bilgi Güvenliði Teþkilatý" tarafýndan eriþme hakký tanýnmýþ olur ve gereðini yapmayan kamu ve özel kurum sorumlularýna hapis cezasý öngörülebilir. Bu durumun yukarýda özetlenen eðilimlerle ve dünyadaki durumla taban tabana zýt olduðu açýktýr.
"Anahtarlama materyalinin üretim esaslarýný" hangi durumlar ve koþullar altýnda belirlenmesinin geçerli olduðu açýk olmalýdýr. Burada "kiþilerin gizli anahtarlarýnýn" yasa kapsamý dýþýnda olduðu açýkça belirtilmelidir.
Kamu ve özel kurum üreticilerini sertifikalandýrma yoluna gidilmemelidir. Daha önceden de sözü edildiði gibi, sertifikalandýrma ihracat ve kimi yerlerde de kamuya satýmlarda uygulanan bir yöntemdir. Yine açýklandýðý gibi, bu uygulamalar yok olmaya baþlamýþtýr ve sadece ihracat ve ithalat için "beyan usulüne" geçilmiþtir. Bu maddede sadece kamu alýmlarý öngörüyorsa bu açýkça ifade edilmelidir. O durumda dahi, aþaðýda ifade edilecek sakýncalardan uzak durulmasý gereði göz önünde bulundurulmalýdýr.
"Ulusal Bilgi Güvenliði Teþkilatýnýn" iþlevleri ve ilgi alaný netleþtirilmelidir. Bu teþkilatýn ayný anda bir istihbarat örgütü, bir araþtýrma-geliþtirme kurumu, bir standartlar enstitüsü, bir ürün sertifikalandýrma kurumu, bir kamu düzenleme kurumu olmadýðý açýkça belirtilmelidir.
Bu baðlamda "ulusal bilgi güvenliði", "ulusal güvenliði ilgilendiren bilgi" tanýmlarý belirsizlikten kurtarýlmalýdýr. Bu açýdan bakýldýðýnda Devlet Haberleþme ve Bilgi Teþkilatý altýnda örgütlenmek daha uygun olabilir.
Kurum yukarýda sayýlan iþlevlerden hangisine evrilirse evrilsin, özel kiþi, kurum ve kuruluþlar kapsam dýþýnda tutulmalýdýr. "Özel kiþi ve kurumlarla" ilgili hükümler koyulmamalýdýr.
Yasa haksýz rekabet ve tekelci uygulamalara yol açabilecek, teknolojik açýk rekabet ortamýný zedeleyecek bir yapýlanmadan arýndýrýlmalýdýr. Buna göre, özel sektörün üretiminin denetimi söz konusu olmamalýdýr. Kamu alýmlarýnda, teknolojik tercih dayatmasýna gidilemeyeceði açýkça beyan edilmelidir.
Ticari politikalar, kiþisel ve ticari gizlilik haklarý tümüyle ulusal politikalar düzeyinde ele alýnabilecek konulardýr. Bu baðlamda kararlar "siyasi otoriteye" býrakýlmalýdýrlar. Kurumsal yapý, ancak talep olduðunda danýþmanlýk veren bir kurum statüsünde olmalýdýr. Yasanýn bu konudaki ilgili maddeleri deðiþtirilmelidir.
Bilgi güvenliðinin sivil uygulamalarý dünyada henüz çok yenidir. Ülkemizde de bilgi teknolojilerinin geliþmiþlik düzeyi üretim, tüketim ve içerik açýsýndan geliþmiþ ülkelerin çok altýndadýr. Bu iki gerçek, bilgi güvenliðinin sivil uygulamalarýnda bir düzenlemeye gitmek için henüz çok erken olduðunu göstermektedir. Bu bir yana, bu düzenlemeleri yukarýda da ifade edilmeye çalýþýldýðý gibi kapsamý ve iþlevleri belirsiz bir kurum marifetiyle yapmaya çalýþmak, ekonomik ve toplumsal yaþamýmýzý önemli ölçüde kýsýtlar altýna sokacaktýr. Bugünden öngörülemeyecek ölçüde zararlar verebilir. Ülkemizde bilgi teknolojilerinin üretimini, tüketimini ve içeriðini zenginleþtirmek üzere yapýlanmalara gitmek, elektronik belge ve sayýsal imzalar gibi gerekli öncül yasalarýn çýkarýlmasýný saðlamak çok daha acil sorunlar olarak karþýmýza çýkmaktadýr. Bu baðlamda, bilgi güvenliðinin sivil uygulamalarýný kapsam dýþýnda tutmalýdýr.
Saygýlar.
|