Haberin İngilizcesi için tıklayın
Resmi Gazete'de 6 Temmuz 2019'da yayımlanan Cumhurbaşkanlığı genelgesi doğrultusunda Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nce “Bilgi ve iletişim Güvenliği Rehberi” hazırlandı.
Kamuda yerli ve milli ürün kullanımı teşvik edilerek kritik bilgi ve veri güvenliği risklerinin ortadan kaldırılması ve azaltılması hedeflenen rehberde, kamuda çalışanlar için 'kurum kontrolünde olan mesajlaşma uygulamaları kullanılmalıdır' denilerek, yerli sistemlere geçiş önceliği istendi.
Bu doğrultuda, WhatsApp, Telegram gibi sunucuları yurt dışında olan yabancı mesajlaşma programları yerine yerli mesajlaşma programlarının kullanılması zorunluluk haline getirildi.
Kamu personeli özel hayatında bu programları kullanabilecek, ancak kurumsal işlemlerde kullanmayacak.
Bilgi güvenliği risklerinin azaltılmasını amaçlıyor
Rehberin temel amacının bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanması olarak ifade edildi.
Rehber, bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmeleri kapsıyor.
Rehberle amaçlanan 12 hedef şöyle:
- 1. Yerli ve milli ürün kullanımının teşvik edilmesi
- 2. Rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer çalışmaların ve yatırımların önüne geçilmesi
- 3. Güvenlik tedbirlerinin üç seviyeli olacak şekilde derecelendirilmesi ve varlık gruplarına güvenlik dereceleri ile uyumlu asgari güvenlik tedbirlerinin uygulanması
- 4. Rehberin güvenlik tedbirleri ile ilgili detayların izlenebilirliğinin sağlanacak şekilde yapılandırılması
- 5. Güvenlik tedbirlerinin ürün ve teknoloji bağımsız olarak uygulanabilir olması
- 6. Güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi
- 7. Güvenlik tedbirlerinin birbirinden bağımsız şekilde uygulanabilirliğini sağlayacak şekilde gruplandırılması ve rehberin modülerliğinin sağlanması
- 8. Tedbirlerin teknik olarak tüm kurum ve kuruluşlar tarafından uygulanabilir olması
- 9. İhtiyaçlar, gelişen ve değişen şartlar dikkate alınarak rehberin sürdürülebilirliğinin sağlanması
- 10. Rehberin format ve içeriğinin özgün olması
- 11. Rehberin hem güvenlik tedbirlerini uygulayacak personele hem de bu tedbirlerin uygulanıp uygulanmadığını kontrol edecek denetçilere hitap etmesi
- 12. Rehber içeriğinin bilgi güvenliği çerçevesinde oluşturulmuş mevzuat ve rehberler ile ulusal/uluslararası standartlara uyumlu olması
Rehberde mesajlaşma güvenliği konusunda alınan tedbirler ise şöyle:
Mesajlaşma Uygulaması Seçimi: Kurumsal haberleşme amacıyla sunucuları kurum kontrolünde olan mesajlaşma uygulamaları kullanılmalıdır. Kurumun kendine ait bir haberleşme uygulaması yoksa mesajlaşma amacıyla sunucuları yurt içinde bulunan yerli ve milli uygulamalar tercih edilmelidir.
İletim Ortamı Güvenliği: Mesajlaşma uygulamasının iletim katmanı güvenliği, bilinen zafiyetleri olmayan, güncel bir SSL/TLS sürümü ile sağlanmalıdır ve uygulamada SSL Pinning kullanılmalıdır.
Gizlilik Dereceli Veri Paylaşımı: Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmamalıdır
Çoklu Cihaz Kullanımı: Uygulama birden fazla mobil cihaz üzerinde eş zamanlı olarak çalışmamalıdır. Hesaba farklı bir mobil cihazdan giriş yapılmak istendiğinde kullanıcı kimlik doğrulamaya zorlanmalı, başarılı kimlik doğrulama sonrası uygulama sadece yeni giriş yapılan cihaz üzerinde kullanılabilmelidir.
Uçtan Uca Şifreleme: Uygulamadan gönderilen tüm mesajlar ve uygulama kullanılarak yapılan tüm sesli ve görüntülü aramalar uçtan uca şifrelenmelidir.
Şifreleme Anahtarlarının Saklanması: Uygulama şifreleme için kullandığı anahtarları işletim sisteminin güvenli depolama alanlarında (TEE, HSM, keystore, keychain vb.) tutmalıdır.
Yönetim Arayüzüne Erişim: Mesajlaşma sistemlerine ait yönetim arayüzlerine yetkili tarafların erişimi, yeterli en düşük haklarla güvenli bir şekilde yapılmalıdır. Yönetim arayüzüne erişilerek yapılan işlemlere ait denetim izleri tutulmalıdır.
Cihaz Üzerindeki Verinin Şifrelenmesi: Uygulama cihaz üzerinde sakladığı tüm veriyi şifreli olarak tutmalıdır.
Kritik Haberleşmenin Güvenliği: Kritik veri içeren her türlü sesli, yazılı ve görüntülü haberleşme uygulamalarında, kaynak kodları kurum tarafından talep edildiğinde denetlenebilen, işletmesi ve yönetimi yerel olarak yapılabilen yerli ve milli uygulamalar tercih edilmelidir.
Söz konusu güvenlik rehberine buradan ulaşılabilir.
Alternatifler: BİP, Dedi, LAFF, Wirofon
WhatsApp ve Telegram anlık mesajlaşma uygulaması olarak global anlamda tekel olsalar da alternatifler yok değil. Yerel anlamda ise BİP, Dedi, LAFF gibi alternatifler ön plana çıkıyor:
Turkcell'in sahibi olduğu BİP uygulaması hem iOS hem de Android için ücretsiz durumda.
Bir diğer uygulama arkasında BTİDER'in olduğu "Uçtan Uca Korumalı Güvenli Haberleşme Uygulaması" olarak adı geçen "Dedi". Bu uygulama da BİP gibi hem iOS hem de Android platformlarında ücretsiz olarak yer alıyor.
Bir de Argela tarafından geliştirilen LAFF ön plana çıkıyor. Bu uygulama da diğer ikisi gibi iOS ve Android için ücretsiz olarak sunuluyor. BİP ve Dedi uygulamalarında görüntülü konuşma desteği bulunurken, LAFF'ta bulunmuyor.
Türk Telekom'un kullanıcılarına sunduğu iletişim ve mesajlaşma platformu Wirofın ise ücretsiz olarak sesli ya da görüntülü konuşmaya olanak sağlıyor.
(HA)