Tanım ve kısaltmalar
Siber Güvenlik Kanunu MADDE 3-
(1) Bu Kanunda geçen;
a) Barındırma: Bilişim sistemlerinin harici bir veri merkezinde bulundurulmasını,
b) Başkan: Siber Güvenlik Başkanını,
c) Başkanlık: Siber Güvenlik Başkanlığını,
ç) Bilişim sistemleri: Bilgi ve iletişim teknolojileri vasıtasıyla sağlanan her türlü hizmetin, işlemin ve verinin sunumunda kullanılan donanım, yazılım, sistem ve aktif veya pasif durumda bulunan tüm diğer bileşenleri,
d) Kritik altyapı: İşlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapıları,
e) Kritik kamu hizmeti: Ulusal, toplumsal veya ekonomik faaliyetlerin sürdürülmesi için gerekli olan ve kesintiye uğraması veya zarar görmesi halinde ulusal güvenlik, ülkenin sosyal veya ekonomik refahı, kamu düzeni veya sağlığı ya da diğer hizmetlerin sunumu üzerinde önemli bir etki oluşturabilecek ülke genelinde tekel veya sınırlı ikame ile sunulan hizmeti,
f) Siber güvenlik: Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye alınmasını ve sonrasında yaşanan siber olay öncesi duruma geri döndürülmesini kapsayan faaliyetler bütününü,
g) Siber olay: Bilişim sistemlerinin veya verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesini,
ğ) Siber saldırı: Siber uzaydaki bilişim sistemlerinin ve bu sistemler tarafından işlenen verinin gizliliği, bütünlüğü veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın herhangi bir yerindeki kişi veya bilişim sistemlerine yönelik olarak kasıtlı yapılan işlemleri,
h) Siber tehdit: Bilişim sistemlerinin, bu sistemlerde bulunan veya bu sistemler tarafından işlenen verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesine neden olabilecek potansiyel tehlikeleri,
ı) Siber tehdit istihbaratı: Siber uzaydaki varlıklara yönelik mevcut veya potansiyel siber tehdit unsurları ile siber saldırılar hakkında bir araya getirilmiş, dönüştürülmüş, analiz edilmiş, yorumlanmış veya zenginleştirilmiş bilgiyi,
i) Siber uzay: Doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortamı,
j) SOME: Siber olaylara müdahale ekibini,
k) Varlık: Elektronik veya fiziksel ortamlarda yer alan ve iletişim yoluyla aktarılabilen veriyi içeren tüm bilgi ve bilgi işleme olanaklarını, veriyi kullanan veya taşıyan personeli ve veriyi barındıran fiziksel mekânları,
l) Zafiyet: Siber uzayda yer alan varlıkların herhangi bir siber tehdit tarafından istismar edilebilecek zayıflık ve güvenlik açıklarını, ifade eder.
Giriş
Bilgi ve iletişim teknolojilerindeki hızlı gelişmeler, hukuki düzenlemelerde kavram ve terminolojinin önemini artırmıştır. Siber güvenlik alanında düzenleme yapan kanunların etkin biçimde uygulanabilmesi, açık ve net tanımların varlığına bağlıdır. MADDE 3, kanunda kullanılan temel kavram ve kısaltmaları açıkça tanımlayarak hukuki belirliliği sağlama amacını taşımaktadır. İncelemenin bu ilk bölümünde kanunun ilk yarısındaki temel kavramlar detaylı bir şekilde ele alınacaktır.
Tanımların Detaylı Açıklamaları
a) Barındırma: Bu tanım, bilişim sistemlerinin dış bir merkezde tutulmasını ifade eder. “Barındırma” kavramının belirlenmesi, kurum ve kuruluşların bilişim sistemlerinin fiziksel ve teknik güvenliğinin sağlanması açısından kritik öneme sahiptir. Bu durum, hizmet sürekliliğinin ve sistemlerin güvenliğinin korunmasında önemli rol oynar.
b) Başkan ve Başkanlık: Kanunun uygulanmasını denetlemek ve koordine etmek üzere “Siber Güvenlik Başkanı” ve “Siber Güvenlik Başkanlığı” kavramları tanımlanmıştır. Başkanlık, ilgili kanunun amaçlarını gerçekleştirmek için oluşturulmuş yönetici yapıyı, Başkan ise bu yapının en üst düzey yöneticisini ifade etmektedir.
c) Bilişim Sistemleri: Bilgi ve iletişim teknolojileri aracılığıyla verilen hizmetlerin sunulmasını sağlayan donanım, yazılım ve tüm aktif-pasif bileşenleri kapsayan geniş bir kavramdır. Bu tanım, kanunun uygulanmasında bilişim altyapısının tüm unsurlarını içerecek şekilde kapsamlı biçimde hazırlanmıştır.
ç) Kritik Altyapı: Bu tanımda, bilgilerin veya verilerin gizlilik, bütünlük ve erişilebilirliğinin bozulması durumunda ciddi sonuçlara yol açabilecek altyapılar ifade edilmektedir. Can kaybı, ekonomik zararlar, kamu düzeninin bozulması gibi sonuçları olan sistemleri içeren kritik altyapılar, siber güvenlik stratejilerinin temelinde yer alır.
d) Kritik Kamu Hizmeti: Ulusal veya toplumsal faaliyetlerin kesintisiz sürdürülmesi için vazgeçilmez olan hizmetleri ifade eder. Bu tür hizmetlerin zarar görmesi durumunda ekonomik, sosyal ve ulusal güvenlik açısından ciddi riskler ortaya çıkabileceği için, tanım oldukça önemlidir. Kritik kamu hizmetlerinin korunması, ülke çapında siber güvenliğin ana hedeflerinden biridir.
e) Siber Güvenlik: Siber güvenlik, bilişim sistemlerinin dış saldırılara karşı korunması, verilerin güvenliğinin sağlanması ve olası saldırılara karşı tepki verilmesi gibi faaliyetleri kapsayan geniş bir alanı ifade eder. Kanunun bu tanımı yapması, koruma faaliyetlerinin hukuki zeminde yürütülmesini sağlamayı amaçlar.
f) Siber Olay: Bilişim sistemlerinde veri gizliliği, bütünlüğü ve erişilebilirliği ihlal eden olayları ifade eder. Siber olayların net tanımı, kurumların olay yönetimi süreçlerini geliştirmesine ve bu olaylara hızlı müdahale edilmesine olanak tanır.
g) Siber Saldırı:
MADDE 3’ün önemli kavramlarından biri olan siber saldırı, bilişim sistemleri ve bu sistemlerde bulunan verilerin gizlilik, bütünlük veya erişilebilirliğini bozmayı amaçlayan kasıtlı işlemler olarak tanımlanmaktadır. Bu saldırılar, bireylerden kurumlara, özel sektörden kamu sektörüne kadar geniş bir yelpazede ciddi etkiler yaratabilir. Kanunda bu tanıma yer verilmesi, siber suçlarla mücadelede olayların doğru sınıflandırılmasını sağlayarak yasal süreçlerin etkin işlemesine zemin hazırlar.
ğ) Siber Tehdit:
Bu kavram, henüz gerçekleşmemiş ancak gerçekleşmesi durumunda bilişim sistemleri veya veriler üzerinde olumsuz sonuçlar yaratabilecek potansiyel riskleri tanımlar. Siber tehditlerin açıkça tanımlanması, kurumların ve bireylerin önleyici tedbirler almasını sağlar. Bu tanım ile önleyici ve proaktif güvenlik politikalarının geliştirilmesi hedeflenmektedir.
h) Siber Tehdit İstihbaratı:
Siber tehdit istihbaratı, siber tehditlerin ve saldırıların önceden tespiti için analiz edilmiş, yorumlanmış ve zenginleştirilmiş bilgileri içerir. Bu istihbaratın tanımlanması, saldırı öncesinde etkin bir müdahale mekanizmasının geliştirilmesini mümkün kılar ve siber güvenlik faaliyetlerinin istihbari çalışmalarla desteklenmesine hukuki dayanak sağlar.
ı) Siber Uzay:
Siber uzay, internet başta olmak üzere, elektronik haberleşme ve bilgisayar ağlarına doğrudan veya dolaylı olarak bağlı olan tüm bilişim sistemleri ve bu sistemleri birbirine bağlayan ağları ifade eder. Siber uzayın açıkça tanımlanması, düzenlemenin uygulama alanını netleştirerek siber suçlarla mücadelenin kapsamını belirlemektedir.
i) SOME (Siber Olaylara Müdahale Ekibi):
Kanunda SOME kısaltması, “Siber Olaylara Müdahale Ekibi” olarak tanımlanmaktadır. Bu ekipler, bilişim sistemlerinde gerçekleşen ihlallere hızlı müdahale etmek ve siber olayların etkilerini azaltmak için kurulmaktadır. Kanun, SOME’lerin görev ve sorumluluklarını tanımlayarak bu yapıların hukuki zemine oturmasını sağlamaktadır.
j) Varlık:
Kanundaki “varlık” kavramı, elektronik veya fiziksel ortamda bulunan ve iletişim yoluyla aktarılabilen tüm verileri, bu verileri işleyen bilgi işlem sistemlerini, personeli ve veriyi barındıran fiziksel mekânları içeren geniş bir tanıma sahiptir. Bu tanımlama, siber güvenlik faaliyetlerinin etkin biçimde yürütülebilmesi için varlıkların kapsamlı şekilde korunmasını amaçlamaktadır.
k) Zafiyet:
Son olarak, zafiyet, siber tehditlerin istismar edebileceği zayıflık ve güvenlik açıklarını ifade eder. Zafiyetlerin tanımlanması, kurumların risk analizlerini yapabilmeleri ve güvenlik stratejilerini geliştirerek bu açıklıkları giderme çabalarını yönlendirebilmeleri açısından kritik önem taşır.
Kavramların Birbiriyle Etkileşimi
MADDE 3 kapsamında tanımlanan kavramlar ve kısaltmalar, siber güvenlik hukukunun uygulanması bakımından birbirleriyle doğrudan etkileşim içerisindedir. Bu etkileşimlerin anlaşılması, kanunun genel amacının ve uygulama alanının doğru şekilde yorumlanabilmesi açısından önem arz eder.
Örneğin, kanunda yer alan siber tehdit kavramı ile zafiyet kavramı arasında doğrudan bir ilişki vardır. Siber tehditlerin gerçekleştirilmesi, genellikle var olan bir zafiyetin istismar edilmesi yoluyla mümkündür. Dolayısıyla, zafiyetlerin belirlenmesi ve ortadan kaldırılması, siber tehditlerin gerçekleşme olasılığını azaltır ve genel siber güvenlik seviyesini yükseltir.
Benzer biçimde, kanunda tanımlanmış olan siber saldırı ve siber olay kavramları da iç içe geçmiş durumdadır. Siber saldırıların gerçekleşmesi genellikle bir siber olayı ortaya çıkarır. Bu noktada SOME (Siber Olaylara Müdahale Ekibi) kavramı devreye girer ve yaşanan olayın zararlı etkilerini azaltmak, müdahale etmek ve saldırı öncesi duruma geri döndürmek amacıyla faaliyete geçer.
Kritik Altyapı ve Kritik Kamu Hizmeti Kavramlarının Önemi
Tanımlar arasında yer alan kritik altyapı ve kritik kamu hizmeti kavramları, siber güvenlik politikalarının oluşturulmasında merkezi öneme sahiptir. Kritik altyapılarda oluşabilecek siber zafiyetlerin veya gerçekleşebilecek bir siber olayın etkileri, kritik kamu hizmetlerinin kesintiye uğramasına yol açabilir. Bu nedenle, söz konusu kavramlar arasındaki ilişki, kanunun uygulanmasında özel bir önem taşır ve kamu kurumları açısından ciddi sorumlulukları beraberinde getirir.
Siber Uzayın Hukuki Niteliği ve Düzenleme İhtiyacı
Siber uzayın tanımı, kanunun genel çerçevesini belirleyen merkezi bir kavram olarak dikkat çekmektedir. Bu ortam, elektronik haberleşme sistemleri, internet altyapısı ve bilgisayar ağlarını kapsayan geniş bir alanı içerir. Siber uzayın bu denli geniş kapsamda tanımlanması, kanunun uygulama alanını genişleterek daha kapsayıcı bir düzenleme alanı oluşturmaktadır.
Kavramların Hukuki Belirlilik İlkesi Açısından Önemi
Hukuki düzenlemelerin etkin uygulanması, öncelikle düzenlenen kavramların açık, anlaşılır ve kesin bir biçimde ifade edilmesiyle mümkün olmaktadır. MADDE 3 kapsamında yapılan tanımların temel amacı, uygulamada karşılaşılabilecek belirsizlikleri gidermek ve ilgili taraflar açısından şeffaf bir hukuki ortam yaratmaktır. Bu doğrultuda, kanundaki kavramların açık biçimde belirlenmesi, hukuki güvenliğin sağlanmasına katkı sunmaktadır.
Sonuç
MADDE 3 kapsamında yer alan kavramlar, siber güvenlik hukukunun etkin uygulanabilmesi ve bu alanda ortaya çıkabilecek hukuki belirsizliklerin önlenmesi açısından büyük öneme sahiptir. Kanunda yer alan her bir kavram ve kısaltma, uygulama pratiğinde karşılaşılabilecek hukuki uyuşmazlıkların çözümünde standart bir referans noktası oluşturur. Böylece, siber güvenlik faaliyetlerinin hukuki açıdan şeffaf ve anlaşılır hale gelmesi sağlanmaktadır.