Siber tehditler, dijitalleşen dünyanın yeni “baş belası” ve her geçen gün artan veri ihlalleri ve fidye yazılımı gibi saldırılar sadece şahısları, şirketleri, organizasyonları değil, ülkelerin güvenliğini de tehdit ediyor. Halihazırda siber saldırıları önlemek, tespit etmek, bertaraf etmek, cevap vermek veya verilen zararları restore etmek için milyarlarca para harcanıyor. Buna rağmen hala saldırılara hedef olan kişilerin, kurumların veya şirketlerin dijital altyapıları yeterince güvenli değil.
Siber saldırılara karşı dijital varlıklarını, daha güvenli hale getirmek isteyen bireyler ile şirket ve organizasyonlar gibi tüzel kişiler, altyapılarını güçlendirmek ve kötü niyetli hackerlara karşı gerekli önlemleri almak zorundalar. Bu durum elbette ki devletler açısından da farklı değil!
Gün geçtikçe dönüşen ve çeşitleri artan saldırılar artık birçok ülkenin ana gündemlerinden. Hollanda’da da bu konuda yeni bir aşamaya geçildi ve yeni “Siber Güvenlik Stratejisi” 10 Ekim’de yayınlandı[1]. Strateji, Hollanda’yı dijital olarak güvence altına almak için somut adımlardan oluşan bir eylem planı içeriyor.
Yeni kabinede Güvenlik ve Adalet Bakanı olarak görev yapan Dilan Yeşilgöz Zegerius, bu konunun uzun zamandır gündemlerinde olduğunu ve çok hızlı bir şekilde artan dijital tehditlerin Hollanda çıkarlarını tehdit ettiğini söylemişti. Hollanda’nın son yıllardaki bütçe planlarında da “savunma” ile “adalet ve güvenlik” başlıklarında artık siber güvenliğe ilişkin yatırım planlarında gözle görülür bir artış vardı.[2]
Peki bu yeni strateji ne anlama geliyor? Siber tehditler hakkındaki bilgilerin daha iyi paylaşılması, mağdurların daha iyi bilgilendirilmesi, işletmelerin daha iyi korunması ve dijital verilerin daha iyi güvence altına alınması ile bu konuda Hollanda Hükumetine düşen görevler yeni planın en önemli amaçları arasında yer alıyor.
Hollanda’nın 2022-2028 Yeni Siber Güvenlik Stratejisi temel olarak aşağıdaki hususları içeriyor.
- Siber tehditlerin tespit edilmelerinin geliştirilmesi ve dijital direncin artırılması:
Tehditlerin kaynaklarına ve saldırı hedeflerine odaklanarak daha iyi tespit edilmesi için gerekli tedbirler alınması ve siber saldırılara karşı dijital dayanıklılığın artmasını sağlamak için daha fazla iç görü elde edilmek amaçlanıyor.
Bu amaca giden yolda merkezi hükumet, artık uluslararası kuruluşlarla daha fazla iş birliği yapacak ve kamu-özel sektörü iş birliğine daha fazla katkı sağlayacak.
Halihazırda enerji, ulaşım, içme suyu ve dijital altyapı gibi sektörler için düzenlenmiş olan NIB2 Yönergesi’ne[3] atık su, uzay yolculuğu, gıda maddeleri, imalat ve posta ve kurye hizmetleri gibi sektörler de eklenmesi isteniyor.
Hükümet, ayrıca belirli sektörlerin dijital direncini artırmak için önlemlerini artırmayı planlıyor. Örneğin, sağlık ve eğitim sektörleri için ek standartlar getirilecek, kabine kuruluşların buna uymasına yardımcı olmak için çeşitli araçlar sunacak, İçişleri ve Krallık İlişkileri Bakanlığı tarafından çeşitli destek programları açılacak ve son olarak hükümet, yalnızca BT sistemlerinin dijital dayanıklılığına değil, aynı zamanda OT’nin (operasyonel teknoloji) dayanıklılığına da daha fazla dikkat çekecektir.
Kuruluşların, siber olaylar, tehditler ve riskler ve bunlarla nasıl başa çıkılacağı konusundaki bilgi düzeylerinin ve farkındalıklarının artırılması ve böylece siber tehditlere karşı daha hızlı yanıt vermeleri planlanıyor.
- Daha fazla siber güvenlik uzmanı istihdam edilmesi.
Dünya genelinde 2025’e kadar yaklaşık 3 milyon siber güvenlik çalışanına daha ihtiyaç duyulacağı öngörülüyor ve elbette bu işgücü ihtiyacı Hollanda için de geçerli. Şirketler bu alanda yetişmiş personel bulmakta sorunlar yaşıyorlar. Yeni stratejiye göre iç ve dış insan kaynaklarının artırılması planlanıyor.
Hükümet, siber güvenlik uzmanlarının sayılarını artırmak için eğitim kurumları, iş dünyası ve diğer ilgili taraflarla birlikte çalışacak. Bununla birlikte, siber güvenlik kurslarını da içeren bilim ve teknoloji alanındaki yüksek mesleki eğitim kurslarına daha fazla yatırım yapacak. Bu konuda, daha düşük okullardan siber güvenlik alanına geçiş, daha yüksek yanal alım, eğitimden işgücü piyasasına başlama/sıcak geçiş için daha fazla kaynak kullanılması planlanıyor.
- Devlet ve özel sektörün bu konuda daha fazla sorumluluk alması.
Hali hazırda fiziki suç sayısını geçen siber suçlar doğal olarak otoritelerin kaygı düzeylerini ve durumsal farkındalığı da artırıyor ve hem devletin ve hem de özel sektörün daha fazla sorumluluk alması gerektiğini gösteriyor. Şirketler ve kuruluşların yalnızca kendi hizmetlerinin sürekliliği nedeniyle değil, aynı zamanda müşteriler, tedarikçiler veya bağımlı üçüncü tarafları ve Hollanda’nın dijital güvenliğini de etkilediğinden dolayı sorumluluk alanları daha da genişletilecek.
Ayrıca hükümet, bulut hizmetleri ve 5G teknolojisi gibi BİT ürünleri, hizmetleri ve süreçleri için Avrupa siber güvenlik sertifikasyon planlarının geliştirilmesine ve benimsenmesine katkıda bulunacak ve özel taraflarla iş birliğini artıracak. Bu şekilde, sertifikasyon kullanımını teşvik ederek ve kolaylaştırarak, tüketicilerin ve kuruluşların güvenli seçimler yapmasının sağlanması isteniyor.
Temel siber güvenlik önlemleri konusundaki farkındalığın artırılması için Hollanda devleti çeşitli hedef gruplarına özel siber güvenlik bilgilendirme kampanyaları ve programları düzenleyecek.
- Dijital dayanıklılığın müfredatın bir parçası haline gelmesi
Çocukların, dijital ürün ve hizmetleri güvenli bir şekilde nasıl kullanacaklarını erken yaşlardan itibaren öğrenmesi planlanıyor. Dijital güvenliğin bir parçası olması gereken temel beceriler için hem ilk hem de orta öğretim için somut temel hedefler geliştirmek üzere Öğrenme Planı Geliştirme Vakfı (SLO) görevlendirildi. Ayrıca, öğretmenlerin de bu konuda en iyi eğitimi verecek donanıma sahip olmasını sağlamak için bir plan oluşturulacak.
- Daha iyi denetim ve gerekli mevzuatın geliştirilmesi.
Yeni stratejiye göre, organizasyonlarda daha fazla önlem alınmasını sağlamak için net kanunlar ve düzenlemeler getirilecek. Örneğin, bir siber güvenlik uzmanının bilgi güvenliği araştırması ve bu konuda yayın yapması tehlikeli olabiliyor ve bazen bu tür araştırmaları yürütmek ve yayınlamak suç sayılabiliyordu[4]. Yeni stratejiye göre, etik olmak kaydıyla uzmanlar araştırma yaparken ve çalışmalarını yayınlarken bir ceza kovuşturması tehdidiyle karşı karşıya kalmayacak.
Dijital ürünler ve hizmetler geliştirirken başlangıç noktasının güvenlik olduğunu zaten Siber Dayanıklılık Yasası ifade ediyordu ancak yeni stratejiye göre bu ürün ve hizmetlerin tüm süreçlerinde üreticiler ve tedarikçilerin de özen yükümlülüğüne dahil edilmesi planlanıyor.
- “Hollanda Ulusal Siber Güvenlik Olaylarına Müdahale Birimi”
Bu amaçla, “Ulusal Siber Güvenlik Merkezi”, “Dijital Güvenlik Merkezi” ve “Dijital Hizmet Sağlayıcılar için Siber Güvenlik Olay Müdahale Ekibi” tek bir ulusal siber güvenlik otoritesinde birleştirilecektir. Bu merkezi otorite kamu ve özel sektör ortakları ile iş birliği yapacak, kuruluşlar, hükümetler ve vatandaşlara bilgi sağlayacak ve sistemin güçlendirilmesi sayesinde siber olaylarla daha etkin mücadele edilecek.
- Kaynak ayırma ve yatırımlar.
Yeni stratejiye göre, önümüzdeki yıllarda siber güvenlik için milyonlarca euro harcanacak!
Önümüzdeki altı yıl içinde, ilk aşamada, AIVD (Genel İstihbarat ve Güvenlik Servisi), ve MIVD (Askeri İstihbarat ve Güvenlik Hizmeti) ve NCSC (Ulusal Siber Güvenlik Merkezi) büyük yatırım yapılması planlanıyor.
*****
Rusya’nın Ukrayna’yı işgal etmesinin ardından, birçok ülke büyük siber savaşın etkisinden korunmak için tedbirler geliştirmeye başladı. Mesela; ABD Başkanı Joe Biden, mart ayında “siber savunmanın derhal güçlendirilmesi” çağrısı yaptı. Avustralya, siber güvenliği “bakanlık seviyesine” çıkardı. Hollanda’nın da bu konuda geliştirdiği eylem planı ve atmayı düşündüğü bu büyük adımlar önümüzdeki yıllarda siber güvenliğin çok daha önemli bir hale geleceğini gösteriyor.
[1] https://www.rijksoverheid.nl/documenten/publicaties/2022/10/10/actieplan-nederlandse-cybersecuritystrategie-2022—2023
[2] https://www.dutchnews.nl/news/2019/09/2020-budget-the-main-points-in-the-governments-spending-plans/
[3] Ağ ve Bilgi Güvenliği Yönergesi
[4] Nijmegen’deki Radboud Üniversitesi’nde güvenlik profesörü olan Bart Jacobs ve ekibi, arabalarda yer alan erişim çiplerinin yeterince güvenli olmadığına dair bir araştırmalarını yayınladıklarında, Jacobs’un önce mahkemeye çağrılması ve ardından güvenlik açıkları hakkında yayın yapmasının yasaklanması bu durumun son örneklerinden biriydi.