Siber güvenlik “güvenin altyapısıdır”

Temiz ve sağlıklı bir ağ ortamı oluşturmak

Siber Güvenlik Yasa Tasarısı, TBMM milletvekilleri tarafından görüşülüp yorumlanıyor ve 15. TBMM'nin 10. oturumunun sonunda kabul edilmesi bekleniyor. Yasa tasarısına görüş bildiren birçok milletvekili, bilimsel ve teknolojik devrimin hızla gelişmesi bağlamında siber suçların durumunun son derece karmaşık olduğunu belirtti.

Sosyo -ekonomik kalkınmayı teşvik etmek ve ulusal savunma ve güvenliği sağlamak için bir temel ve kaldıraç görevi görecek temiz ve sağlıklı bir ağ ortamı oluşturmak amacıyla, Partimiz ve Devletimiz son dönemde ağ güvenliğinin sağlanması konusunda birçok önemli politika ve yönlendirme yayınlamıştır. Parti politikasını kurumsallaştırmak amacıyla, bu değişiklikle çıkarılan yasa, ülkemizin taraf olduğu mevzuat reformu politikası ve uluslararası anlaşmalar doğrultusunda, mevcut uygulama durumuna uygun olarak, 2015 tarihli Ağ Bilgi Güvenliği Kanunu ile 2018 tarihli Ağ Güvenliği Kanunu'nu tek bir yasada birleştirmiştir.

Taslak Kanun, ulusal egemenliğin , toplumsal düzen ve güvenliğin, bilgi altyapısının giderek daha karmaşık ve örgütlü hale gelen tehditlere karşı korunmasına katkıda bulunmayı amaçlayan; aynı zamanda güvenli ve sağlıklı bir siber uzayın temellerini oluşturan acil bir yasal çerçevedir.

Delege Be Trung Anh (Vinh Long Eyaleti Ulusal Meclis Heyeti), dijital çağda siber güvenliğin "güven altyapısı" olduğunu ve yasa tasarısındaki birçok içeriğin bu hedefi hedeflediğini söyledi. Siber Güvenlik Yasası'nda bu kez yapılan değişiklik, yalnızca mevcut düzenlemeleri mükemmelleştirmekle kalmayıp, aynı zamanda siber güvenliğin yalnızca savunma amaçlı bir "kalkan" rolü oynamakla kalmayıp aynı zamanda dijital ekonomik büyümeyi teşvik eden bir altyapı haline geldiği yeni bir kalkınma modelinin temelini oluşturmayı amaçlıyor.

Dijital ekonomi oranı GSYİH'nın %25'ini aşan ülkelerin tamamının siber güvenliği bir kontrol aracı değil, bir kalkınma altyapısı olarak gördüğüne dikkat çekti. Temsilci Be Trung Anh, "Yasa hala yalnızca savunma ve ihlallerin ele alınmasına odaklanıyorsa, kalkınma için itici bir güç oluşturmadan, giderek yükselen ve kalınlaşan bir duvar inşa ediyoruz," dedi.

Delege ayrıca, yapay zekânın artık kamu verilerinden kişisel bilgileri çıkarabileceğini ve çıkarabileceğini belirtti. Ancak, yasa tasarısı henüz çıkarımsal verileri tanımlamamış ve bu tür veriler için koruma hakları tesis etmemiştir. Bu, kişilerin mahremiyetini doğrudan etkileyebilecek bir boşluktur. Bu nedenle, veri sahibinin açık rızası olmadan kişileri doğrulamak veya tanımlamak için çıkarımsal verilerin işlenmesini yasaklayan bir hüküm eklenmesini önerdi.

Siber güvenliğin oldukça değişken bir alan olduğunu göz önünde bulunduran delege, yasanın esnek bir güncelleme mekanizmasına izin vermemesi durumunda çok hızlı bir şekilde güncelliğini yitireceğini değerlendirdi. Bu nedenle, Hükümetin yasayı 3-5 yılda bir değiştirmek yerine, risk listesini ve güvenlik standartlarını üç ayda bir güncellemesine izin verilmelidir. Delege Be Trung Anh, bu revize edilmiş yasanın odak noktasını bugünü korumaktan, geleceği yaratmaya kaydırması gerektiğini, sadece bir "kalkan" değil, aynı zamanda "dijital ulusun kalkışa geçmesi için bir pist" oluşturması gerektiğini vurguladı. Yasa, inovasyonun önünü açmalı, kaynakları serbest bırakmalı ve dijital çağda ulusal kalkınmanın gücünü ortaya çıkarmalıdır.

Ağ bilgi güvenliğinin sağlanması

Ağ bilgi güvenliğinin sağlanması konusunda endişe duyan delege Dinh Thi Ngoc Dung (Hai Phong Şehri Ulusal Meclis Heyeti), yasa tasarısının şunları öngördüğünü söyledi: Telekomünikasyon ağları, internet ve siber uzayda katma değerli hizmetler sunan yerli ve yabancı işletmeler, ağ güvenliği yasası ihlallerinin araştırılması ve ele alınması amacıyla yazılı talep veya e-posta, telefon veya diğer onaylı iletişim araçları yoluyla Kamu Güvenliği Bakanlığı'na bağlı ağ güvenliği koruma uzman gücüne en geç 24 saat içinde kullanıcı bilgilerini sağlamakla yükümlüdür.

Ancak delegeler, telefonla kişisel bilgi talep etme biçiminin değerlendirilmesi gerektiğini, bu biçimin pek uygun olmadığını ve doğruluğunun teyit edilmesinin zor olduğunu ileri sürmektedir.

"Bu formun düzenlenmeye devam etmesi halinde, telefonla talepte bulunma yetkisine sahip kişinin genelge ve kararnamelerde açıklığa kavuşturulması ve talebi alan ve işleyen kişinin aynı zamanda telekomünikasyon ağları, internet ve siber uzayda katma değerli hizmetler sunan işletmede kilit kişi olması gerekmektedir. Bu, insan hakları ve bireysel haklarla ilgili bir konudur, bu nedenle bilginin kullanımında katı süreç ve prosedürler uygulanmalı, aşırı basitleştirmeden kaçınılmalıdır; bu, uygulama sürecinde vatandaşların hak ve çıkarlarının kolayca ihlal edilmesine yol açabilir," dedi delege Dinh Thi Ngoc Dung.

Siber güvenlik koruma bütçesine ilişkin olarak delege Dinh Thi Ngoc Dung, yasa tasarısının siyasi kurum ve kuruluşların siber güvenlik koruma bütçesinin, bilgi teknolojisi uygulama ve geliştirme projelerinin, programlarının ve yatırım planlarının uygulanması için toplam bütçenin en az %10'unu sağlaması gerektiğini öngördüğünü söyledi.

Delege, bu hükmün daha fazla değerlendirilmesi gerektiğini, çünkü gerçekte bir bilgi teknolojisi geliştirme projesinde ağ güvenliği koruması için ayrılan fonun ayrılmasının zor olduğunu belirtti. Delege, "Çünkü bir uygulama, bir yazılım, bir sistem, işletim sistemi ve güvenlik bölümü birlikte gelişecek ve birbirlerinden ayrılamazlar. Aynı zamanda, bazı yasalarda, çeşitli faaliyetlerin sağlanması için ayrılan fon yüzdesi konusunda da düzenlemeler getirdik, ancak gerçekte, toplam fonlama seviyesi ve her aşamadaki görevler gibi birçok faktöre bağlı olduğu için uygulama hala garanti edilemiyor," diye açıkladı.

Siber güvenlik ürün ve hizmetlerinin ticari faaliyetlerinin yönetimi konusunda birçok delege, siber güvenlik ürün ve hizmetleri için işletme lisansı verme koşullarına ilişkin taslak yönetmeliğin hâlâ önceden kontrol edildiğini ve işletmelerin işletme lisansı ve uygulama sertifikasına sahip olmasını gerektirdiğini belirtti. Bu yaklaşım, özellikle teknoloji sektöründeki yeni kurulan şirketler için idari prosedürleri ve uyumluluk maliyetlerini kolayca artırıyor.

Bu gerçek karşısında delegeler, işletmelerin teknik standartlara ve düzenlemelere uymaları halinde faaliyetlerini özgürce sürdürebilecekleri bir denetim sonrası mekanizmasına geçilmesini önerdi. Devlet, ancak ihlal belirtileri görüldüğünde denetim yapacak. Bu aynı zamanda Merkez Komitesi'nin Kurumsal Reform ve Sosyo-Ekonomik Kalkınma Hakkındaki 66 Sayılı Kararı ile de uyumlu bir talimattır.