Doç. Dr. Mehmet Bedii Kaya
Bilişim Hukuku

Hukukun Siber Güvenlikle İmtihanı: Crowdstrike olayı

Siber güvenlik hukuku açısından bol kıssadan hisseli bir gün.

Kök Neden

Bugün banka, havalimanları, ödeme kuruluşları başta olmak üzere bir çok şirketi etkileyen bir siber olay yaşandı. Kök neden olarak Crowdstrike isimli siber güvenlik şirketinin Microsoft ile entegre çalışan platformuna yaptığı güncelleme sonucunda oluşan uyumsuzluk gösterildi. Neticesinde Crowdstrike kullanan tüm sistemler çöktü. Hatalı güncelleme ve uyumsuzluk ne denilirse denilsin günün sonunda borsalar işlem yapamadı, insanlar uçamadı, ödemeler alınamadı, hizmetler aksadı.

Siber Olayın Tanımlanması

Dış bir aktör olmasa da CIA üçgenimizde sistemlerin gizliliğine (Confidentiality) bütünlüğüne (Integrity) veya erişilebilirliğine (Availability) yönelik bir ihlal varsa siber güvenlik olayı yaşanmış sayıyoruz. Bugünkü olay bir gizlilik ihlalinden ziyade erişilebilirlik ihlali. Bu ihlal sebebiyle bir de risk ortaya çıkmış ve gizliliğe halel gelmişse CIA üçgeni tamamlanmış olacak.

Siber Güvenlik Hukukunun Devreye Girmesi

Siber güvenlik hukuku özünde siber güvenlik olaylarında hesap verebilirliğin tespitinden ibarettir. Kişisel veri mevzuatları kişinin mahremiyetini korurken siber güvenlik düzenlemeleri sistemin bütününün güvenliğini korur; bir mahremiyet ihlali olmasa da aktöre hesap sorulabilir.

Peki ne olacak? Hukukçular olarak kime hesap vereceğiz, kimden hesap soracağız, bunu tespit edeceğiz. Adım adım gitmek gerekirse:

– Zarar oldu, zarar sebebiyle rücular gerçekleşecek. Bu zararlardan kim sorumlu olacak? Kim kime ne ölçüde ve hangi hukuki sebeple rücu edebilecek? Müspet ve menfi zararlar nasıl tespit edilecek? Sorumluluk hukukunu epeyce tartışma bekliyor.

– Bilişim sözleşmelerinde sıklıkla sorumsuzluk kayıtları konuluyor. Bu kayıtların geçerliliği sorgulanacak.

– Siber risk sigortaları işletilecek ve bu sigortaların kapsalayıcığı sorgulanacak. Siber riziko gerçekleştiği için ihbar süreleri başladı bile! Bu tür olaylarda süreç sigorta hukuku ekseninde devam eder genelde. Zaten siber risk sigortaları mevzuatın yapamadığı siber dönüşümün yapılmasını sağlayabiliyor. Özel bir kaldıraç etkisi var siber risk sigortalarının.

– Regüle olan sektörlerde güncellemeler gelişigüzel yapılmaz. Güncelleme prosedürlerinin ihlali müstakil bir idari sorumluluk tartışmasını beraberinde getirecek.

– Regüle olan sektörlerde sistemin erişilebilirliğine ilişkin somut eşikler var. Eşikler aşıldığı zaman hizmet verememekten dolayı müstakil bir sorumluluk söz konusu.

– Regüle olmayan sektörlerde tacirlerimizin ne kadar ölçüde basiretli olması gerektiği tartışılacak.

– Zamanında gerekli siber güvenlik yatırımını yapmamış yönetim kurulunun sorumluluğunu da bir kenara not almak lazım.

– Olay bir mücbir sebep sayılabilir mi? Fikrimce zorlama bir yorum olacaktır. Bir güncelleme prosedürü ihlali olduğu ilk tespitler arasında.

– Bizdeki karşılığı USOM olan CERT’ler gerekli adli bilişim incelemeleri yapılmadığı ve işbirliği eksikliğinde idari yaptırımları devreye alacak.

– İtibar kayıpları ve kurumsal iletişim sorunları da önemli bir kalem. Genel tespitim kurumsal iletişim birimlerinin siber olaylara ilişkin senaryolarının çok cılız olduğu.

Bilişim altyapılarında tekelleşme sorunu malum. Farklı hizmet sağlayıcılarla çalışmanın getirdiği maliyet ve kontrol sorunu da ayrı bir sorun. Konsolidasyon lehine de fragmantasyon lehine de söylenecek sözler var.

Mevzuat siber güvenlik ihlallerini önlemez ancak risklerin asgariye indirilmesini sağlar. Kurumsal yapının dönüşümünü ve siber olaylara karşı güçlendirilmesini emrettiği için dayanıklılığı artırır. Farklı durumlara göre bir politika geliştirilmesini emreder, asgari bir iş akışı oluşturur. Hukukun yapacağı şey kusur ve hatta çoğu zaman kusursuzlukta aktörlerden hesap sorulmasını sağlamaktır!

Türkiye açısından konuyu incelersek; aslında siber güvenlik epeydir Milli Güvenlik Kurulu’nun gündeminde. Milli Güvenlik Kurulu toplantılarında daha önce de siber güvenliğe atıflar yapılmıştı.

  • 27 Ekim 2010 tarihli MGK toplantısında siber tehdidin global düzeyde ulaştığı boyut ve bu tehdidin ulusal güvenliğe etkileri kapsamlı surette ele alınmıştır ve siber tehdidin engellenebilmesi açısından milli düzeyde yürütülen çalışmalar değerlendirilmiştir.
  • 19 Ekim 2012 tarihli MGK toplantısında küresel düzeyde ciddi boyutlara ulaşan siber tehdit ve bu tehdidin Türkiye’nin güvenliğine etkileri değerlendirilmiş, bu tür tehditlerin engellenmesi ve siber güvenliğimizin sağlanmasına yönelik ulusal düzeyde koordinasyon ve uluslararası düzeyde işbirliğinin gerekliliğine vurgu yapılmıştır.
  • 27 Ocak 2016 tarihli toplantıda ise siber saldırılar, siber güvenlik ve siber güvenlik faaliyetlerine dair Kurula bilgi sunulmuştur.
  • 2018 yılında yayımlanan Millî Güvenlik Kurulu Genel Sekreterliğinin Teşkilat ve Görevleri Hakkında Cumhurbaşkanlığı Kararnamesiyle siber güvenliğe yönelik açıkça atıfta bulunulmuştur.

Devletin siber güvenlikle ilgili yükümlülüğü pozitif mi negatif mi bir yükümlülüktür? Anayasa Mahkemesinin bu konudaki bir kararı bize yol göstermekte ve açıkça eylem alınması gereken pozitif bir yükümlülük olduğunu göstermekte: “Bireylerin güven içinde yaşamalarının sağlanmasında devlete yüklenen ödevler arasında şüphesiz siber güvenliğin sağlanması da yer almaktadır. Dolayısıyla siber güvenliğin sağlanmasının kamu güvenliğinin korunmasına yönelik olduğu anlaşılmaktadır.” Bkz. Anayasa Mahkemesi, E. 2017/16 K. 2019/64 K.T. 24.07.2019.

Avrupa Birliği’nde NIS1, NIS2, Cybersecurity Act, Cyber Resillience Act ve diğer düzenlemelerle hem dayanıklılık hem de hesapverebilirliğin normatif dayanakları var. Bizde regüle sektörler dışında çok temel bir düzenlememiz var (USOM’u yetkilendiren). Genel bir şebeke ve bilgi güvenliği yasamızın olmayışı büyük bir eksiklik.

Umarım bu olaydan ders çıkartılır ve siber dayanıklılık için bütüncül bir hukuki dönüşüm başlatılır..