Hukukun Siber Güvenlikle İmtihanı: Crowdstrike olayı
Siber güvenlik hukuku açısından bol kıssadan hisseli bir gün.
Kök Neden
Bugün banka, havalimanları, ödeme kuruluşları başta olmak üzere bir çok şirketi etkileyen bir siber olay yaşandı. Kök neden olarak Crowdstrike isimli siber güvenlik şirketinin Microsoft ile entegre çalışan platformuna yaptığı güncelleme sonucunda oluşan uyumsuzluk gösterildi. Neticesinde Crowdstrike kullanan tüm sistemler çöktü. Hatalı güncelleme ve uyumsuzluk ne denilirse denilsin günün sonunda borsalar işlem yapamadı, insanlar uçamadı, ödemeler alınamadı, hizmetler aksadı.
Siber Olayın Tanımlanması
Dış bir aktör olmasa da CIA üçgenimizde sistemlerin gizliliğine (Confidentiality) bütünlüğüne (Integrity) veya erişilebilirliğine (Availability) yönelik bir ihlal varsa siber güvenlik olayı yaşanmış sayıyoruz. Bugünkü olay bir gizlilik ihlalinden ziyade erişilebilirlik ihlali. Bu ihlal sebebiyle bir de risk ortaya çıkmış ve gizliliğe halel gelmişse CIA üçgeni tamamlanmış olacak.
Siber Güvenlik Hukukunun Devreye Girmesi
Siber güvenlik hukuku özünde siber güvenlik olaylarında hesap verebilirliğin tespitinden ibarettir. Kişisel veri mevzuatları kişinin mahremiyetini korurken siber güvenlik düzenlemeleri sistemin bütününün güvenliğini korur; bir mahremiyet ihlali olmasa da aktöre hesap sorulabilir.
Peki ne olacak? Hukukçular olarak kime hesap vereceğiz, kimden hesap soracağız, bunu tespit edeceğiz. Adım adım gitmek gerekirse:
– Zarar oldu, zarar sebebiyle rücular gerçekleşecek. Bu zararlardan kim sorumlu olacak? Kim kime ne ölçüde ve hangi hukuki sebeple rücu edebilecek? Müspet ve menfi zararlar nasıl tespit edilecek? Sorumluluk hukukunu epeyce tartışma bekliyor.
– Bilişim sözleşmelerinde sıklıkla sorumsuzluk kayıtları konuluyor. Bu kayıtların geçerliliği sorgulanacak.
– Siber risk sigortaları işletilecek ve bu sigortaların kapsalayıcığı sorgulanacak. Siber riziko gerçekleştiği için ihbar süreleri başladı bile! Bu tür olaylarda süreç sigorta hukuku ekseninde devam eder genelde. Zaten siber risk sigortaları mevzuatın yapamadığı siber dönüşümün yapılmasını sağlayabiliyor. Özel bir kaldıraç etkisi var siber risk sigortalarının.
– Regüle olan sektörlerde güncellemeler gelişigüzel yapılmaz. Güncelleme prosedürlerinin ihlali müstakil bir idari sorumluluk tartışmasını beraberinde getirecek.
– Regüle olan sektörlerde sistemin erişilebilirliğine ilişkin somut eşikler var. Eşikler aşıldığı zaman hizmet verememekten dolayı müstakil bir sorumluluk söz konusu.
– Regüle olmayan sektörlerde tacirlerimizin ne kadar ölçüde basiretli olması gerektiği tartışılacak.
– Zamanında gerekli siber güvenlik yatırımını yapmamış yönetim kurulunun sorumluluğunu da bir kenara not almak lazım.
– Olay bir mücbir sebep sayılabilir mi? Fikrimce zorlama bir yorum olacaktır. Bir güncelleme prosedürü ihlali olduğu ilk tespitler arasında.
– Bizdeki karşılığı USOM olan CERT’ler gerekli adli bilişim incelemeleri yapılmadığı ve işbirliği eksikliğinde idari yaptırımları devreye alacak.
– İtibar kayıpları ve kurumsal iletişim sorunları da önemli bir kalem. Genel tespitim kurumsal iletişim birimlerinin siber olaylara ilişkin senaryolarının çok cılız olduğu.
Bilişim altyapılarında tekelleşme sorunu malum. Farklı hizmet sağlayıcılarla çalışmanın getirdiği maliyet ve kontrol sorunu da ayrı bir sorun. Konsolidasyon lehine de fragmantasyon lehine de söylenecek sözler var.
Mevzuat siber güvenlik ihlallerini önlemez ancak risklerin asgariye indirilmesini sağlar. Kurumsal yapının dönüşümünü ve siber olaylara karşı güçlendirilmesini emrettiği için dayanıklılığı artırır. Farklı durumlara göre bir politika geliştirilmesini emreder, asgari bir iş akışı oluşturur. Hukukun yapacağı şey kusur ve hatta çoğu zaman kusursuzlukta aktörlerden hesap sorulmasını sağlamaktır!
Türkiye açısından konuyu incelersek; aslında siber güvenlik epeydir Milli Güvenlik Kurulu’nun gündeminde. Milli Güvenlik Kurulu toplantılarında daha önce de siber güvenliğe atıflar yapılmıştı.
Devletin siber güvenlikle ilgili yükümlülüğü pozitif mi negatif mi bir yükümlülüktür? Anayasa Mahkemesinin bu konudaki bir kararı bize yol göstermekte ve açıkça eylem alınması gereken pozitif bir yükümlülük olduğunu göstermekte: “Bireylerin güven içinde yaşamalarının sağlanmasında devlete yüklenen ödevler arasında şüphesiz siber güvenliğin sağlanması da yer almaktadır. Dolayısıyla siber güvenliğin sağlanmasının kamu güvenliğinin korunmasına yönelik olduğu anlaşılmaktadır.” Bkz. Anayasa Mahkemesi, E. 2017/16 K. 2019/64 K.T. 24.07.2019.
Avrupa Birliği’nde NIS1, NIS2, Cybersecurity Act, Cyber Resillience Act ve diğer düzenlemelerle hem dayanıklılık hem de hesapverebilirliğin normatif dayanakları var. Bizde regüle sektörler dışında çok temel bir düzenlememiz var (USOM’u yetkilendiren). Genel bir şebeke ve bilgi güvenliği yasamızın olmayışı büyük bir eksiklik.
Umarım bu olaydan ders çıkartılır ve siber dayanıklılık için bütüncül bir hukuki dönüşüm başlatılır..