Amerika Birleşik Devletleri’nin ‘Ulusal Siber Güvenlik Stratejisi

Amerika Birleşik Devletleri’nin ‘Ulusal Siber Güvenlik Stratejisi’nden avukatlar tarafından alınacak önemli dersler vardır.

1. Giriş

Amerika Birleşik Devletleri (ABD) Beyaz Saray Ulusal Siber Direktör Ofisi (White House Office of the National Cyber Director; ONCD), 02 Mart 2023 tarihinde, Biden Yönetiminin (kısaca ‘Yönetim/İdare’) uzun zamandır beklenen Ulusal Siber Güvenlik Stratejisini (kısaca ‘Strateji’; National Cybersecurity Strategy) [1] yayınladı ki; bu, Trump Yönetiminin stratejisinin Eylül 2018’de yayınlanmasından bu yana ilktir. Anılan Strateji, siber güvenliği çok net bir şekilde kritik bir ulusal güvenlik sorunu olarak konumlandırıyor ve İdarenin, Ulusal Siber Direktör Ofisi’ni kuran ve Ulusal Güvenlik Konseyi’nde Siber ve Gelişen Teknoloji için yeni bir Ulusal Güvenlik Danışman Yardımcısı pozisyonu oluşturan Mayıs 2021 tarihli Ulusun Siber Güvenliğini İyileştirmeye İlişkin Kararnamesini (Executive Order on Improving the Nation’s Cybersecurity) [2] yayınlamasına dayanıyor.

Strateji, İdarenin ülkenin siber güvenlik duruşunu daha da geliştirmeye yönelik güçlü taahhüdünü göstermektedir. Stratejiye yönelik erken tepkiler büyük ölçüde olumludur. Bununla birlikte Strateji, yazılımdaki güvenlik açıklarına ilişkin sorumluluğu geliştiricilerin üzerine kaydıracak hükümler de içermektedir. Böylesine temel bir değişiklik, yeni davalara yol açacak ve potansiyel olarak ihlal tepkisini alt üst edecektir.

Strateji, her birinin kendi stratejik hedefleri olan beş “sütun”dan oluşmaktadır. Bu dizinin 1. Bölümünde, genişletilmiş siber güvenlik standartları, pazar teşviklerinde hem havuç hem de sopalarla yapılan değişiklikler ve belirli İnternet altyapısını güvence altına alma çabaları çağrısında bulunarak çoğunlukla özel sektörü etkileyen 1., 3. ve 4. sütunlardaki temel hükümleri tartışılmaktadır. Dizinin 2. Bölümü ise, hükümetin tehdit aktörlerini bozma ve tasfiye etme ile siber güvenlik etrafında uluslararası ortaklıklar kurma çabalarını ele alan 2. ve 5. sütunları kapsayacaktır.

2. Stratejinin İçeriği

Strateji, beş temel ayağıyla, eyaletler ve özel sektör genelinde farklı siber güvenlik eylemlerini şu şekilde kodlamaktadır:

  • Ulusal kritik altyapıyı korumaya yönelik mevzuatı savunmak;
  • Korsan yazılımı resmen bir ulusal güvenlik tehdidi olarak ilan ederek tehdit aktörlerinin caydırıcılığı ve tespitini vurgulamak;
  • Hükümet tarafından satın alma ve yasa teklifi hazırlama yoluyla piyasa faaliyetlerini şekillendirmek;
  • Siber güvenlik direncine ilişkin olarak kamu-özel sektör yatırımı birlikte aramak ve
  • Siber uzayı korumak için uluslararası düzeyde çalışmak.

Stratejinin 1., 3. ve 4. sütunlarından elde edilen en önemli çıkarımlar şunlardır:

a) Sorumluluk Değişimi (Liability Shift): Yönetim, yazılım lisansı anlaşmalarındaki mevcut sorumluluk sınırlamalarını geçersiz kılan yasal değişiklikleri hayata geçirmeyi başarırsa, yazılım üreticileri ve dağıtımcıları ile onların müşterileri, sorumluluk ortamının değişmesini bekleyebilirler. Siber Güvenlik ve Altyapı Güvenliği Teşkilatının Direktörü Jen Easterly, Stratejinin yayınlanmasından önceki son iki ayı bu temel değişimin zeminini hazırlamak için kullandı. Bu teklifi şekillendirme çabaları, yazılım geliştirmede en iyi uygulamaları kullandıklarından emin olan yazılım geliştiricilerle birlikte kritik olacaktır.

b) Yükseltilmiş Standartlar (Heightened Standards): Strateji, (i) benzer federal siber güvenlik standartlarını daha da genişleterek ve (ii) bulut altyapısı ve diğer temel üçüncü taraf hizmetleri de dâhil olmak üzere başkaca kritik sektörlerde daha fazla yasal uyumlaştırmayı kolaylaştırarak, yakın zamanda ulaşım ve boru hattı sektörlerinde uygulananlar gibi siber güvenlik standartlarının yükseltilmesini gerektirmektedir. Özellikle kritik sektör şirketleri ve onların üçüncü taraf altyapı sağlayıcıları, federal siber güvenlik standartlarının son örneklerinin yanı sıra bu yeni düzenleyici gereksinimleri bilgilendiren Ulusal Standartlar ve Teknoloji Enstitüsü (National Institute of Standards and Technology; NIST) yönergelerine aşina olmalıdır.

c) Gizlilik Yönetmelikleri (Privacy Regulations): İdare, Stratejiyi kişisel verilerin toplanması, kullanılması, aktarılması ve sürdürülmesine ilişkin açık sınırlar getiren federal mevzuatı, yani federal mahremiyet düzenlemesini teşvik etmek için kullanıyor görünmektedir. Kişisel veri ‘görevlileri’ (stewards of personal data), mevcut eyaletten eyalete uyduruk çalışmanın (patchwork) daha fazla uyumlaştırılmasına yol açabilecek bir federal standart umuduyla zorlu gereksinimler beklemelidir.

d) Düzenleyici Uyumlaştırma (Regulatory Harmonization): Siber alandaki yasama ve düzenleyici faaliyetlere ilişkin saldırılar, endüstriden mevzuat, raporlama ve incelemeleri uyumlu hale getirme çağrısına yol açmıştır. Strateji, İdarenin dinlediğinin açık bir işaretidir. Yeni mevzuat çağrılarıyla serpiştirilmiş olan anlayış, çok sayıda düzenleyicinin bu alanda yeterli koordinasyon olmadan faaliyet gösterdiğidir.

3. Stratejinin 1, 3 ve 4 Numaralı Sütunlarında Yer Alan Temel Stratejik Hedefler

3.1. Sütun 1: Kritik Altyapıyı Savunmak

Bu sütun, ABD altyapısının siber güvenlik saldırılarına karşı savunulabilir ve dayanıklı olması için kritik altyapı sahiplerinin ve operatörlerinin yanı sıra bunların tedarikçilerinin, hizmet sağlayıcılarının ve ilgili federal kurum ortaklarının ve düzenleyicilerinin işbirliği yapmasını sağlamayı amaçlamaktadır. Kritik altyapı tipik olarak federal hükümetin yetki alanı olsa da, özel kuruluşlar özünde buna ve siber güvenliğine dâhil olur, bu nedenle bu sütun, kamu ve özel siber standartları uyumlu hale getirmeyi amaçlamaktadır.

3.1.1. Ulusal Güvenliği ve Kamu Güvenliğini Desteklemek İçin Siber Güvenlik Koşullarını Genişletmek

Strateji, kritik altyapı alanında ek siber güvenlik düzenlemesi ve mevcut düzenlemenin uyumlaştırılması için planlar gösteriyor. Strateji, hükümetin Siber Güvenlik ve Altyapı Güvenliği Ajansı (Cybersecurity and Infrastructure Security Agency; CISA) ve Ulusal Standartlar ve Teknoloji Enstitüsü tarafından yayınlanan mevcut siber güvenlik çerçevelerine dayalı olarak kritik altyapı sağlayıcıları için zorunlu minimum siber güvenlik gereksinimleri oluşturmayı planladığını belirtmektedir. Bu koşullar, 15 Mart 2022 tarihli Kritik Altyapı İçin Siber Olay Bildirim Yasası’nda (Cyber Incident Reporting for Critical Infrastructure Act; CIRCIA) [3] sağlanan bildirim yükümlülüklerine eklenecektir. Stratejinin geliştirilmiş standartlara yaptığı vurgu, düzenleyicilerin aşağıdakiler gibi belirli hassas düzenlenmiş sektörler için kurallar sağlama eğilimini takip ediyor: finansal hizmetler, bankacılık ve menkul kıymet ihraççıları.

Strateji ayrıca, düzenleyicileri, en son hedefler ve yönergelerle tutarlı olarak altyapıyla ilgili kritik siber güvenlik düzenlemeleri aracılığıyla tasarım gereği güvenlik ilkelerinin benimsenmesini teşvik etmektedir. Bazı düzenleyiciler, şimdiden siber güvenlik ile ilgili düzenlemeleri ve en iyi uygulamaları düşünmeye başlıyor. Örneğin, Stratejinin yayınlanmasının ertesi günü, Çevre Koruma Ajansı (Environmental Protection Agency) ABD kamu su sistemlerinde siber güvenliği ele alan bir mutabakat zaptı yayınladı. Strateji, kritik altyapı sağlayıcıları üzerinde artan siber güvenlik düzenlemesini savunmanın yanı sıra, bu tür düzenlemenin “operasyonel dayanıklılık için gerekli” bulut tabanlı depolama sağlayıcıları da dâhil olmak üzere kritik altyapı kuruluşlarının üçüncü taraf hizmet sağlayıcıları için geçerli olması gerektiğini belirtmektedir.

3.2. Sütun 3: Güvenliği ve Direnci Artırmak İçin Piyasa Güçlerini Şekillendirmek

Bu sütun, piyasa katılımcılarını siber güvenlik olaylarına karşı kendilerini ve müşterilerini daha iyi savunmak için siber güvenlik ve gizlilik politikalarını ve prosedürlerini güncellemeye teşvik etmeyi amaçlamaktadır. Strateji, federal hükümetin özel kuruluşlara yönelik tüm siber saldırıları önleyemeyeceğini, ancak yetkisini tüketicilerden şirketlere yük ve sorumluluk kaydırmak için kullanabileceğini kabul ediyor.

3.2.1. Kişisel Verilerin Sorumluları için Yeni Federal Standartlar

Strateji, dijital çağda tüketici mahremiyetinin korunmasına yönelik mevzuatı savunarak, veri görevlilerinin kişisel verileri ne ölçüde kullanabilecekleri, aktarabilecekleri ve muhafaza edebilecekleri konusunda net sınırlara sahip olması gerektiğini ve bu tür sınırların Ulusal Standartlar ve Teknoloji Enstitüsü’nün standartlarına ve yönergelerine dayanması gerektiğini belirtmektedir. Bu savunuculuk, kuruluşların kişisel verileri kullanma, aktarma ve sürdürme becerilerine ilişkin sağlam ve net sınırlara ulusal bir vurgu yapıldığının sinyalini veriyor ve ABD Kongresi’ni Amerikan Veri Gizliliği ve Koruma Yasasını (American Data Privacy and Protection Act; ADPPA) [4] yeniden değerlendirmeye çağırıyor gibi görünüyor. Amerikan Veri Gizliliği ve Koruma Yasası geçen yaz geçemese de, eyalet mahremiyet yasalarının düzensizliğinden kaynaklanan artan tutarsızlıklar ve verimsizlikler Ulusal Standartlar ve Teknoloji Enstitüsü yönergeleri ile tutarlı veri koruma gerektiren ulusal bir siber güvenlik yasasının kabul edilmesine yol açabilir. Ancak, Stratejinin bölünmüş bir hükümetle icra eyleminin ötesinde herhangi bir etki yaratıp yaratmayacağı açık değildir.

3.2.2. Güvenli Olmayan Yazılım Ürünleri ve Hizmetleri için Sorumluluğun Değiştirilmesi

Belki de Strateji tarafından önerilen ve 3. sütunda saklanan en önemli değişiklik, yazılım endüstrisindeki büyük bir sorumluluk değişikliğidir. Tarihsel olarak, yazılım lisansı sözleşmeleri, yazılım üreticilerinin ve dağıtımcılarının kodlarındaki güvenlik açıklarına ilişkin sorumluluğunu büyük ölçüde sınırlamıştır. Bu hedef, yazılım sağlayıcıları için sorumlulukta temel bir değişikliği temsil edeceğinden, özel kuruluşlar için kilit bir odak alanı olmalıdır. Strateji, güvenli olmayan yazılım ve hizmetlerin aşağı yöndeki etkilerini ele alma çabasıyla, yeni bir bakım standardı ve piyasaya savunmasız ürün veya hizmetler içeren yazılımların sunulması için doğrudan sorumluluk getirerek, veri güvenliği sorumluluğunu işletmeler ve bireysel tüketiciler gibi yazılım alıcılarından yazılım sağlayıcılarına kaydırmayı amaçlamaktadır. Ayrıca, kritik altyapıdaki savunmasız yazılımların kökünün kazınmasına özel bir vurgu yaparak, “tüm teknoloji türleri ve sektörlerinde koordineli güvenlik açığı kamuyu aydınlatmasını teşvik edecektir”. Strateji, varsayılan olarak güvenli ve tasarım gereği güvenli yazılımları daha fazla teşvik etmek için, Ulusal Standartlar ve Teknoloji Enstitüsü Güvenli Yazılım Geliştirme Çerçevesi (NIST Secure Software Development Framework) ile tutarlı gizlilik ve veri güvenliği en iyi uygulamalarını izleyen şirketler için bir güvenli liman içeren ve müteakip ihlaller için sorumluluk korkusu olmadan yenilik yapmaya devam etmelerini sağlayan mevzuatı savunmaktadır.

Siber Güvenlik ve Altyapı Güvenliği Ajansı Direktörü Jen Easterly’nin Carnegie Mellon’da yaptığı açıklamalarda belirttiği gibi, Strateji “[bir] kuruluşun yükü taşıma kabiliyetine dayalı olarak teknoloji güvenliği sorumluluğunun paylaşıldığı ve sorunların mümkün olan en erken aşamada, yani teknoloji kullanıldığında değil tasarlandığında çözüldüğü bir modeli savunuyor”. Öngörüldüğü gibi, yazılım şirketleri sözleşme ihlalleri için sorumluluğu tamamen reddedemez, bu nedenle güvenli olmayan ürünler tedarik eden sağlayıcılar, bu standartları karşılayamama nedeniyle artan dava riskiyle karşı karşıya kalırlar. Yazılım geliştirici sorumluluğu olmadan, İdare, güvenli olmayan yazılım ve hizmetlerin aşağı yöndeki etkilerini ele alamayabilir. Ancak uygulanırsa, tüketicilere yazılım sunan herhangi bir şirket için sektörler arası sorumluluk riskine yol açabilir.

3.2.3. Federal Siber Geri Döndürmez Sigortası (Federal Cyber Insurance Backstop)

Strateji ayrıca, siber ekosistemdeki varlıklara zarar veren yıkıcı bir siber olay durumunda piyasaları istikrara kavuşturmaya hazır bir yardım paketi oluşturmanın fizibilitesinin değerlendirilmesini önermektedir. Bu program kapsamında ABD Hazinesi, sigorta şirketlerinin siber olaylardan kaynaklanan finansal risklere maruz kalma risklerini destekleyecektir. Strateji ayrıca bir felaket durumunda mevcut siber sigorta pazarını desteklemek için bir plan oluşturulmasını da savunuyor. Her yardım paketi, bir felaket durumunda istikrar ve dayanıklılık sağlayabilir ve Strateji, ABD Kongresi, devlet ve endüstri aktörleri arasındaki işbirliğini teşvik eder.

3.3. Sütun 4: Dirençli Bir Geleceğe Yatırım Yapmak

Sütun 4, interneti bir bütün olarak güvence altına almaya, kuantum hesaplama ve temiz enerji de dâhil olmak üzere siber işgücüne ve Ar-Ge’ye yatırım yapmaya odaklanmaktadır. Strateji, “güvenliği, erişilebilirliği ve birlikte çalışabilirliği, finansal ve sosyal içermeyi, tüketici mahremiyetini ve ekonomik büyümeyi destekleyen güçlü, doğrulanabilir dijital kimlik çözümlerine yatırımları teşvik etmeyi ve etkinleştirmeyi” öneriyor, böylece ABD’nin siber güvenliğe yaklaşımının ileriye dönük tepkisel olmaması sağlanıyor.

3.3.1. Hükümetin İnternet Altyapısını Güvenli Hale Getirme Çabaları

Strateji, İdarenin yerleşik güvenlik açıklarının etkisini azaltmak için internet altyapısının temelini güncellemek istediğini göstermektedir. Bunu yapmak için Strateji, teknoloji uzmanlarının, şifrelenmemiş alan adı talepleri ve internetin güvenliğini artırmak için yeni teknolojilerin benimsenmesi gibi internetin mimarisiyle ilgili bilinen ve yaygın endişeleri “temizlemek” için adımlar atmasını önermektedir. Strateji, federal hükümetin, ABD’nin bunların benimsenmesine hazır olmasını sağlamak için yapay zekâ ve kuantum hesaplama gibi yeni nesil teknolojilerin siber güvenlik risklerine yönelik araştırma ve geliştirme yapmasını önermektedir. Strateji, özellikle mevcut, yaygın olarak kullanılan şifreleme yöntemleri ve standartlarına yönelik oluşturduğu tehdit nedeniyle, kuantum hesaplamayı bir ilgi alanı olarak açıkça belirtmektedir.

3.3.2. Yeni Dijital Teknoloji ve Altyapının Geliştirilmesi

Strateji aynı zamanda dijital ekosistemi desteklemek için yeni teknolojilere yatırım yapmaya da odaklanmaktadır. Bu teknolojilerden biri, devlet yardımlarına ve hizmetlerine, iletişim ve sosyal ağlara, dijital sözleşmelere ve ödeme sistemlerine erişmek için kullanılabilen doğrulanabilir bir dijital kimlik çözümüdür. Strateji, bu teknolojinin kimlik bilgileriyle mücadele etmek ve hırsızlığı tespit etmek için olduğunu belirtmektedir. Bununla birlikte, bu tür kimlik bilgilerinin gizlilik, güvenlik, sivil özgürlükler, eşitlik, erişilebilirlik ve çalışabilirlik göz önünde bulundurularak oluşturulması gerektiğini zikretmektedir.

Stratejinin uygulamayı öngördüğü diğer teknolojiler, elektrik şebekesinin dayanıklılığını, güvenliğini ve verimliliğini artırmak için elektrik enerjisi üretimi ve depolama cihazları gibi yenilenebilir enerji teknolojisi çözümleridir.

4. Stratejiden Temel Çıkarımlar

  • Üreticileri ve Distribütörleri Kötü Geliştirme Süreçlerinden Sorumlu Tutmak İçin Yazılım Hatalarının Sorumluluğunda Potansiyel Değişim (Potential Shift in Liability for Software Bugs to Hold Manufacturers and Distributors Accountable for Poor Development Processe): İdare, mevcut lisans anlaşmalarındaki sorumluluk istisnalarını geçersiz kılan mevzuatı yürürlüğe koymayı başarırsa, yazılım endüstrisi ve müşterileri, risk potansiyellerini büyük ölçüde artıran ve sağlam bir yazılım geliştirme yaşam döngüsü için muazzam ekonomik teşvik yaratan, Ulusal Standartlar ve Teknoloji Enstitüsü yazılım geliştirme standartları tarafından bilgilendirilen ve onları Stratejide belirtilen “güvenli liman” türü için nitelendirmek üzere tasarlanmış bir paradigma değişikliği yaşayacaklardır. Yazılım geliştiricilerin sözleşme yoluyla sorumluluğu sınırlandırma kabiliyetine konulan potansiyel kısıtlamalarla, tüketiciler (şirketler ve bireyler dâhil) satın alma sözleşmelerini yeniden incelemek ve uygun koşullar sağlamak isteyeceklerdir.
  • Artan Uyum Umuduyla Daha Genişletilmiş Siber Güvenlik Yönetmeliği (Greater Cybersecurity Regulation but with Hope for Increased Harmonization): Düzenleyiciler, ulaşım ve boru hattı sektörlerinde olduğu gibi, Ulusal Standartlar ve Teknoloji Enstitüsü standartları ve kılavuzlarıyla tutarlı, Stratejinin sektöre özel siber güvenlik gereksinimleri oluşturma çağrısına yanıt vermek için adımlar atarken, özellikle kritik altyapı alanındaki şirketler, ek kural koyma ve mevzuat beklemelidir. Sektörden bağımsız olarak kişisel verileri elinde bulunduranlar, kişisel verilerin toplanması, kullanılması, aktarılması ve bakımı ile ilgili olası bir federal standart bekleyebilirler. Artan düzenlemelerin her iki alanıyla ilgili olarak, bugüne kadar ağları savunmak için daha iyi kullanılabilecek şirket kaynakları üzerinde parçalı bir uyumluluk kaybı olan koşulların potansiyel olarak uyumlaştırılması konusunda umutlu olmak için nedenler vardır.
  • Ulusal Standartlar ve Teknoloji Enstitüsü Yönergeleri Merkez Aşamasında (NIST Guidelines Take Center Stage): Hâlihazırda Ulusal Standartlar ve Teknoloji Enstitüsü siber güvenlik çerçevesini kullanmayan şirketler, gelecekteki mevzuata hazırlanmak için Ulusal Standartlar ve Teknoloji Enstitüsü’nün standartlarına [5] ve yönergelerine aşinalık kazanmalı ve Amerikan Veri Gizliliği ve Koruma Yasası’nı canlandırmak için olası Kongre eylemlerini izlemelidir. Bunu, önerilen güvenli liman hükmünden yararlanmak için yazılım geliştirme ve bakımlarının Ulusal Standartlar ve Teknoloji Enstitüsü standartları ve kılavuzlarıyla tutarlı olmasını sağlayarak yapabilirler. Ek olarak, güvenlik açığının kamuya açıklanması uyumluluğu zorlaştırabilirken, tüm ekosistemin siber güvenliğini iyileştirmeye hazır görünüyor. Şirketler, iç güvenlik açıklarını değerlendirebilir ve Kongre eylemi beklentisiyle kamuya açıklamaya hazırlanabilir.
  • Dijital Kimlikler (Digital Identities): Güçlü bir dijital kimlik ekosistemi, şirketlerin nasıl çalışacağı ve dijital kimlik kullanımlarının mevcut veri gizliliği endişelerini artırıp artırmayacağı konusunda soruları gündeme getiriyor. Strateji özellikle, herhangi bir ulusal dijital kimlik sisteminin en güvenli veri gizliliği ve siber güvenlik kontrollerini kullanmasını tavsiye eder ve eğer evrensel hale getirilirse, bu kontroller şirketlerin bu ekosisteme bağlanırken sivil özgürlükleri, eşitliği, erişilebilirliği ve işlerliği dikkate almasını gerektirmektedir. Buradaki kesin yol belirsiz olsa da, yaygın dijital kimlik kullanımı, dijital ekosistem aktörlerinin tüketicilerle ve onların verileriyle nasıl etkileşim kurduğunu değiştirebilir.

AYRICA İNCELEYİN: Dolandırıcılık Suçu Cezası, TCK 157 ve 158 Nedir?