Hillary Clinton şahsi e-posta adresinden kurumsal bilgi içeren e-posta gönderdiği için FBI soruşturmasına maruz kalmış ve bu durum küçük bir oy farkı ile başkanlığı kaybetmesinde de etkili olmuştu.

Türkiye’de bakanlar dahil olmak üzere bürokrat ve siyasiler büyük oranda iletişimlerinde Gmail, Hotmail gibi yurtdışı e-posta hizmetlerini kullanmakta.

İletişim için kullandıkları Whatsapp gibi sosyal medya uygulamalarının da tamamına yakını ABD kaynaklı.  Gizlilik derecesi olmasa bile Türkiye Cumhuriyeti’nin bakanlarının şahsi e-posta olarak ABD’den hizmet almaları, günlük faaliyetlerinin takibi bakımından güvenlik sorunu değil midir? Bakanlarımız ve bürokratlarımız bu hizmetlerden bedava faydalanarak bilgilerinin kullanılmasına izin verdiklerinin ne kadar farkındalar?

Bir gün ABD’li şirketler Türkiye’deki kullanıcılara hizmet vermese, dijital kimlik kaybından, Türkiye’de bankacılık ve e-ticaret gibi günlük yaşamımızın bir parçası olan hizmetlerin durma noktasına geleceğini herkes tahmin edebilir.

Ülkemizdeki kamu kurumlarının veri iletişim güvenliğini sağlayan cihazların (firewall) tamamına yakınının İsrail’den güncelleniyor olması stratejik bir sorundur.

Bir de tersinden bakalım:

Biz ABD başkanına ya da bakanlarına ücretsiz e-posta servisi sunmak bir yana üzerine aylık para versek, Türkiye’deki bir hizmet sağlayıcıdan “şahsi” e-posta kullanabilirler mi sizce?

ABD’ye karşı Kanadalı ya da Yunanlı bürokrat ile Türk bürokratın ya da siyasinin güvenlik hassasiyetleri aynı mıdır?

Ya da İsrail’de bir ihaleye girip bize sattıkları ile aynı özellikteki Türk malı cihazları bedavaya versek kullanırlar mı sizce?

Kamu açısından veri ve bilginin cihaz ve sistem maliyetinden daha önemli olmasına rağmen halen ihale ile tedarik süreçlerinde bile bunu aşabilmiş değiliz.

Cumartesi günkü (6 Temmuz 2019) resmi gazetede “Bilgi ve İletişim Güvenliği Tedbirleri” başlıklı 2019/12 sayılı Cumhurbaşkanlığı genelgesi yayınlandı.

Önemli bir ihtiyaca göre anlamlı hedefleri olan bu genelgeye anatomik yapısıyla bakınca, başkanlık sistemine uyum tartışmalarını olağan karşılamak gerekiyor.

Maksadımız eleştirmekten ziyade somut örnekleri ile çözüme destek olma çabasıdır. Zira başkanlık sistemi, bakanlıkların yetkisi ve bürokrasinin ihtiyaçları karşılamadaki yetkinliği konusunda giderek daha karmaşık hale gelmekte.

1-      Mevzuat tekniğinde “tedarikçi kabul ederse” şeklinde tavsiye yer almaz. Hangi koşulda geçerli olacağı belirtilir. Genelge, tebliğ gibi belgeler zaten yasal süreçlerin güncel uygulamasına açıklık getirmek içindir. Aksi takdirde Devlet hukuki ve idari yaptırım gücünü kullanamaz. Söz konusu Cumhurbaşkanlığı Genelgesi’nden örnek verelim:

12.maddede kısaca ağ iletişim cihazlarında “arka kapı” olmadığına dair “tedarikçiden imkanlar dahilinde taahhütname alınacaktır” ifadesi yer almaktadır. Oluşturacağı çelişkileri somut örnekle ortaya koyalım:

Kamunun tamamına yakın ağ güvenliği (firewall) cihazlarını temin eden İsrail firmasından yarın bürokratların hangisi bu belgeyi alabilecekler? Hepsi ayrı ayrı mı pazarlık edecek? Firma vermez ise ne olacak? Ya da verirse ama tersini uygulayıp arka kapı açığını bırakırsa cezai hükmü neye göre uygulayacak? Bunun yaptırımı için teminat mı alınacak?

Önümüzdeki aylar içinde bu girişimde bulunmayan bürokratlar hakkında soruşturma mı açılacak ya da hangi yasal referansla işlem görecek? Kamu adına test gerekirse masraflarını her kurum ayrı ayrı mı ödeyecek? Tedarikçi açık kaynak yazılım gibi bu talebi güvenlikle karşılama için ek ödeme isterse,  hangi bütçeden karşılanacak? Ama hepsinden daha tuhafı olan bir de teknik gerçek var:

Bu cihazların zaten hizmet alınan özelliği yurtdışından (İsrail’den) güncellenmeleri. Dolayısı ile tedarikçi neden ikinci bir arka kapıya ihtiyaç duysun ki ? Zaten ihale ve sözleşmeyle yetkilendiriliyor.

Diyelim ki önümüzdeki sene bu hizmeti almadınız. Bir sonraki sene giderseniz hizmet almadığınız zamanın da ücretini de ödemek durumunda kalabiliyorsunuz. Aslında mademki gerekli doğrudan yerlisi kullanılmalıdır (Gerçek anlamda yerli). Satın alma kapasitesi belirlendiği anda özel sektörden ürünlerin geleceğinden kimsenin şüphesi olmasın. Biraz daha pahalı olması güvenlikten daha değerli değildir. Hatta yurtdışında da kullanılmasını desteklemek gerekir.

Kısacası devlette idari ve hukuki metinler “kabul ederse diye” nesnel uygulamalara neden olmayacak şekilde hazırlanmalıdır. Gerekirse de uymayan firmanın ürünleri kullanılmamalı ama mali ve güvenlik riskleri uzman olmayan bürokrata yüklenmemelidir. Bu konuda Genelgenin sonunda “Cumhurbaşkanlığı dijital dönüşüm ofisi”nin yayınlayacağı rehbere atıfta bulunmuş.

Acaba, Rehber yayınlanana kadar genelge geçerli değil midir?

2-      Uygulamak için teknik hazırlık ve bütçe gerektiren bir genelge, resmi gazetede yayınlanıyor ve hukuki ve idari yükümlülük içeriyorsa , geçerlilik tarihi bulunmalıdır.

 Aksi halde yayın tarihinden itibaren geçerlidir. 2019/12 tarihli Cumhurbaşkanlığı genelgesi yarından itibaren ilgili bürokrat ve bakanların kusur işlemesine neden olacaktır.

Ya da açıkça “Cumhurbaşkanlığı dijital dönüşüm ofisi”nin yayınlayacağı rehber çıkana kadar yükümlülük getirmeyeceği belirtilmelidir. Bununla ilgili idari takibatı kimin yapması gerektiği ilgili yasal referans ile zemin bulur.

Söz konusu genelgede hiçbir yasal referans verilmemiştir. Bu durumda Cumhurbaşkanlığı’nda ilgili ofis aynı zamanda idari uygulamayı yapacak olursa,  Bakanlıklar nezdinde başka sorunlar da ortaya çıkar.

Yasal dayanak için kişisel verilerin korunması dışında başka yasalara ihtiyaç varsa, genelgeden önce Yasama organı gerekli düzenlemeleri yapmalıdır.

Ankara Üniversitesi’nde “Hukukun Esas Kaynakları: Tüzükler, Kaide kararnameler, Yönetmelikler, Genelgeler, Yönergeler” başlıklı ders notunda genelgenin tanımı şöyle yapılmıştır:

“Genelge, tebliğ, ve benzeri. daha çok birinci derecede kurumların yürüttükleri işlemleri yasalara dayalı olarak açıklayan yazılı hukuk kaynaklarıdır. İdari düzenlemelere ilişkin açıklamaların yer aldığı bu kaynaklar kurumlara has nitelik taşır ve yasal düzenlemelerin uygulayıcılarına yol gösterir.”.

Cumhurbaşkanlığı sisteminde ya ders notunu değiştirmek gerekir ya da genelge yazım tekniğini tanımına uyarlamak gerekir.

3-      Mevzuat tekniğinde “gibi” “ve benzeri” şeklinde muallak ifadeler kullanılmaz. Net ifadelerle kapsam ya da kriter verilir. 2019/12 sayılı Cumhurbaşkanlığı genelgesinden örnek verelim:

“…Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurt içinde güvenli bir şekilde depolanacaktır”. Bunun yerine kriter verilerek daha sonra kurum bazında kritik bilgi ve veri net olarak tanımlanacağı belirtilse daha uygun olur.

Genelge kapsamına lisansla hizmet veren Telekom şirketleri girmiyorsa, yalnızca kamu kurumları için geçerli ise,  bir kapsam sorunu yok mudur?

Zira aynı genelgede Telekom operatörlerinin veri trafik yönetimine ilişkin hüküm de bulunmaktadır.

Kişisel verilerin korunumu kanunu başta olmak üzere ilgili yasal düzenlemeye ilişki kurulmaması yanında “…gibi” ile örnekleyerek stratejik veri tanımı yapılması hukuken de belirsizliğe yol açar.

Örneğin Tarım alanlarında Tarım ve Orman Bakanlığı desteği ile zirai-meteorolojik verileri toplayan cihazları yabancı şirketlerden satın alan çiftçilerin verileri yurt dışında toplanmaktadır. Dolayısı ile Türkiye’de hangi ürünün ne zaman ne kadar üretim yapabileceği ve hangi ilacın pazarlanabileceği modeli yurt dışında oluşmaktadır.

Genelgedeki “gibi” ifadesine göre;  adli işlem uygulanırsa toplulaşan verinin stratejik olduğunu teknik olarak kim kanıtlayacaktır? Ya da Bakanlık Pazartesi gününden itibaren bunu ihlal edenler hakkında idari soruşturma açabilecek mi; suç duyurusunda bulunabilecek midir? Yapsa da hangi kanunu referans gösterecektir?

İdari ve hukuki takibat için esasen genelgenin ihlali değil, genelge dolayısı ile genelge’nin işaret ettiği bir yasanın ihlali söz konusu olur. Bu nedenle öncelikle yasal dayanağın oluşturulması ya da varsa referans olarak genelgede verilmesi gerekir ki uygulamanın idari ve hukuki bir rotası olsun.

4-      Genelgeler teknik olarak yoruma açık sonuçlar doğurmamalıdır. Genelgelerin amacı zaten yasayla belirlenen koşulların güncel uygulama şeklini belirlemektir.

Örneğin Cumhurbaşkanlığı genelgesinde yerli ve milli kripto sistemlerinin “tercih” edilmesi gerekliliği belirtilmiştir. Eskiden bu TSK ve güvenlik birimleri için geçerliydi. Kripto sistemlerinde en önemli konu kriptonun matematiksel standardının değil, anahtarını yöneten sistemin güvenli ve milli olmasıdır.

Dünya’nın en güvenli sistemini kendinize özel kripto ile kursanız bile anahtarı yönetilemez ise diğerlerinden daha riskli hale gelir. Zira Matematik evrenseldir. Standart matematik işlemlerinde dayanıklılık çok daha yaygın test edilmiştir.

Cumhurbaşkanımızın FETÖ’nün milli kriptosu ile sorun yaşadığını hatırlatmakta fayda var. Kripto mu kırılmıştır yoksa anahtar mı çalınmıştır (ya da yönetilememiştir)?

Genelgelerde “tercih” gibi muallak ifadelerle bu ayrıntıya girilirse, teknik bir yönetmeliğe atıfta bulunmak gerekir. Aksi halde, ' satın alınan cihazın donanımı da mı yerli olacak' şeklinde farklı algılamalar iş akışlarını tümüyle kilitleyebilir. Bilgisayar başına maliyet 100 katına çıkabilir.

Güvenlikle, fayda-maliyet ilişkisini yönetmek gibi ayrıntılarla başkanlık ofisi mi tüm kamu adına ilgilenecektir yoksa ilgili başka bir kurum mu?. Kamunun küçümsenmeyecek bir büyüklük ve iş yükü olduğunu, hizmet kalite seviyesi ve iş akışı gereğini de hatırlatmakta fayda var.

5-      Genelge’de “sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir” ifadesi yer almakta.

Bir önceki maddesinde de gizlilik dereceli iletişimde sosyal medya kullanılamayacağı belirtilmiştir. Buradan gizli olmayan iletişimde sosyal medya kullanabilirsiniz, varsa yerlisini kullanın anlamı çıkmaktadır.

Peki örneğin yerli WhatsApp olarak tanımlanan PTT Messenger bu durumda kamusal veri iletişim için güvenli midir? PTT bunun ana kodlarını yurtdışından satın almamış mıdır? Türkçe arayüz konulunca mı güvenli olmuştur?

 Bu örnekte olduğu gibi derin bir konuda genelgeden önce yasal düzenleme ihtiyacı bulunduğu dikkate alınmalıdır.

Genelgede bir rehber yayınlanacağı ve buna göre işlem yapılması gereği belirtilmiştir. Rehber yayınlanana kadar genelge hükümsüz ise yayınlanınca da yasal referans ilişkisinin devlet sisteminin çalışabilmesi için bir gereklilik olduğuna dikkat edilmelidir.

Genelge ile amaç belli edilmiş olmakla birlikte, rehber hazırlığında da “çakma yerli-milli” yaklaşımla Çukurambar çantacılarının ortalığı karıştırmasına da izin vermemek gereği göz önünde bulundurulmalıdır.

6-      Genelgenin kapsamının verilmemesi, uygulanması halinde yarın üniversitelerde hayatın durmasına neden olabilir. Zira örneğin, kısaca “kaynağından emin olunmayan kişisel cihazlar kamusal sistemlere bağlanamazlar” hükmü yer almaktadır. Öğrenci ve öğretim üyelerinin çoğu kişisel cihazları ile üniversitelerin resmi işlemlerinin de yapıldığı sistemlere bağlanmaktadır. Bunun gibi pek çok örnek verilebilir. Gerçek ve önemli bir ihtiyacın karşılanabilmesi için kapsam açısından da uygulanabilirlik önemlidir.

7-      Genelgede “Endüstriyel kontrol sistemleri Internete kapalı olacaktır.” ifadesi yer almaktadır. Endüstri 4.0 ve nesnelerin interneti bizzat başbakan ve Cumhurbaşkanı tarafından yaygınlaştırma hedefi olarak gösterilmiştir. Bunların ortak özelliği internet üzerinden iletişim kurmalarıdır. Nitekim genelgenin bir sonraki maddesi bunların İnternete bağlanması zorunluluğu halinde alınacak tedbirlere yönlendirmektedir.

Genelgelerde kullanılan ifadelerin kamudaki hukuki ve idari algı biçimine dikkat edilmelidir.  Çünkü İnternet üzerinden bağlaşımla daha iyi bir hizmet verebilecek iken güvenlik maliyeti ve “zorunluluk” kelimesi ile genelleştirilerek ortaya konulan memurun idari riski bunların tercih edilmesinden uzaklaştırabilir.

Soruşturma geçiren memur, bu sefer de “zorunluluk” ile “ek hizmet kalitesi” arasında bocalayacağına en baştan hiç bulaşmamayı tercih eder.

8-      Genelgede “Kurumsal e-posta adresleri şahsi amaçlarla kullanılmayacaktır” denilmektedir. Aslında üst düzey yöneticilerin şahsi hesaplarını ABD’de açmaları daha mı güvenlidir?

Aynı güvensizlik nedeniyle yöneticilerin pek çoğu cep telefonu yerine Telegram gibi uygulamaları kullanmıyorlar mı? Yöneticilerin e-postaları Türkiye’de olursa, hatta kurumlarında bile olsa, makamı temsil etmeyen bir adres olduğu sürece, takibatta kullanılamayacağı güvencesi, yurt dışında tutulmalarından daha iyi bir durum olabilir.

Bunların değerlendirilerek genelgede atıfta bulunulan daha sonraki rehber düzenlemesinde ele alınacağını umuyoruz.

9-      Genelgede “yerli ve milli kripto sistemlerinin geliştirilmesi” yolu gösterilmiştir. Uygulayıcı birimlerin herbiri uluslararası standartlar dışında algoritmik olarak da ayrı birer kurumsal özgün milli kripto sistemi geliştirirse ya da satın alırsa hiç biri diğeriyle kriptolu iletişim kuramaz gibi teknik konuların genelge ile çözülemeyeceği aşikardır.

10-  Biraz ayrıntı ama bir de teknik tavsiye de bulunmakta fayda var.

Teknoloji hızlı ilerlediğinden bilgi güvenliği konusunda kamu kurumları yoruma açık riskli işlemlerden kaçınmalıdır.

Yine Cumhurbaşkanlığı genelgesi ile çelişen bir örnek verelim. Sosyal Güvenlik Kurumu (SGK) üniversiteler de dahil, teknik yetenekleri belirlemek üzere anonimleşmiş olarak veri paylaşımında bulunmaktadır.

Anonimleşmiş veride her ne kadar isim, soyad vb veriler aslı gibi yer almasa da, bunlar da yapay zeka uygulamaları gibi amaçlarla yurt dışındaki bulut hizmetlerine taşınmamalıdır.

Çünkü ülkesel karakter de stratejik bir veridir. Bu örneği özellikle vermemizin SGK’daki uzmanlarca “iyi” anlaşılacağından şüphemiz yoktur. Geçmişte, İngilizlerle “anonim” paylaşım gibi durumları da bilenler, zaten bundan sonrası için gerekli özeni gösterecektir.

Bilgi güvenliği sorunlarımız konusunda abartı olmaksızın yüzlerce keskin örneği, yolu Ankara’dan geçmiş herhangi bir uzman da verilebilir. Kamu başta olmak üzere ülkemizde bilgi güvenliği konusunda düzenleme ihtiyacı olduğu açık.

Başkanlık sistemine geçiş sorunlarının tartışıldığı bir dönemdeyiz. Yasaları uygulayıcısı bakanlıkların inisiyatif kullanma sınırlarında gri bölgelerin artması,  bürokrasinin işlerliğinde sorunlar yaratmakta.

Bu geçiş döneminde Cumhurbaşkanlığı genelgeleri, yasaların uygulanmasında yol göstermesi bakımından mevzuatın önemli bir parçası haline gelmekte.

Genelgeler daha geniş belirsizlik alanları yaratmamalı ya da önce ilgili yasal düzenleme gerçekleştirilmelidir. Aksi takdirde “ihtiyaç acildi ortaya karışık yaptık” şeklinde bir durum ortaya çıkar ve uygulamada yön gösterici olmak yerine yeni belirsizlikler ortaya koyar.

Son bir tavsiye:

Genelge daha sonra çıkacak bir rehberin yayınına ilişkilenmiş ise de rehber güncellendikçe ortaya çıkacak mali ve hukuki sorumlulukları bir makama yüklemek başka sorunlara yol açabilir.

Yasal düzenleme-genelge-yönetmelik/rehber gibi sıralamaları çalışan tecrübeli mevzuat ve bürokrasi mimarlarının olduğu umuduyla sayın T.Koç’a da başarılar dileriz.