Türkiye’de Siber Güvenlik Kanunu ve Eylem Planı

Siber tehditlerin artan karmaşıklığı ve çok boyutluluğu, devletlerin dijital altyapılarını koruma gerekliliğini öne çıkarmaktadır. Türkiye de bu gereklilik doğrultusunda son yıllarda siber güvenlik alanında hem mevzuat düzenlemeleri hem de stratejik planlamalar yoluyla kayda değer adımlar atmıştır. Bu yazıda, Türkiye’deki mevcut siber güvenlik kanunları, strateji belgeleri ve kurumsal yapılar teknik uzmanlar çerçevesinde detaylı bir şekilde analiz edilecektir.

5651 ve KVKK: Temel Hukuki Zemin

Türkiye’de siber güvenlik alanında İnternet Ortamında Yapılan Yayınların Düzenlenmesi hakkındaki 5651 Sayılı Kanun (2007), dijital ortamda içerik denetimini ve siber suçlarla mücadeleyi amaçlamaktadır. İnternet servis sağlayıcıları, içerik sağlayıcılar ve yer sağlayıcılara belirli sorumluluklar yüklenmiştir. 2020’deki değişiklikle birlikte sosyal medya platformlarına Türkiye’de temsilci bulundurma ve veri yerelleştirme zorunluluğu getirilmiştir.

Öte yandan KİŞisel Verilerin Korunması Kanunu (KVKK), 2016’dan bu yana özellikle özel sektörde veri güvenliği alanında ciddi bir dönüşüme neden olmuştur. GDPR ile paralel bir çerçevede kurgulanan bu kanun, teknik ve idarî tedbirlerin alınmasını zorunlu kılarak siber güvenliği hukuk ekseninde desteklemektedir. KVKK kapsamında, verilerin saklandığı sistemlerde şu önlemlerin alınması zorunludur:

• Yetkilendirme ve kimlik doğrulama sistemlerinin kurulması (2FA/MFA)
• Log kayıtlarının denetlenebilir ve değiştirilemez biçimde tutulması
• Yedekleme stratejilerinin belirli aralıklarla uygulanması
• Kritik sistemlerde verilerin şifrelenmesi ve kriptografik algoritmalarla korunması

Bu tedbirlerin uygulanması, bir yandan kurumsal bilgi sistemlerinin sürekliliğini sağlarken, diğer yandan veri ihlali durumunda ceza yaptırımını azaltmak adına KVKK tarafından değerlendirilen birer kriterdir.

7545 Sayılı Siber Güvenlik Kanunu: Bütüncül Bir Yaklaşım

2025 yılında yasalaşan 7545 sayılı Siber Güvenlik Kanunu, Türkiye’nin bu alandaki ilk kapsamılı ve sektörü kapsayan yasal düzenlemesidir. Kanun, hem kamu hem özel sektörü kapsayacak şekilde, siber olay bildirimi, bilgi talebi, denetim, sertifikasyon ve yaptırımlar gibi çok sayıda kritik başlığı içermektedir.

Bu kanunla birlikte sistemlere yönelik siber olayların tespiti ve raporlanması için minimum teknik yetkinlikler belirlenmiştir. Örneğin:

• IDS/IPS sistemlerinin belirli kritik altyapılarda zorunlu hale gelmesi
• SIEM sistemlerinin log korelasyonu sağlayacak yapıda kurulması
• Anomali tespiti için öğrenen sistemlerin (ML/AI tabanlı) devreye alınması
• USOM bildirimlerinin RESTful API entegrasyonuyla çekilip olay sistemlerine aktarılması

Ayrıca, bu düzenlemeler kapsamında kurumların olay müdahale planlarını düzenli olarak tatbikatlarla test etmesi, siber saldırı senaryolarına göre Business Continuity Plan (BCP) ve Disaster Recovery Plan (DRP) süreçlerini yeniden yapılandırması öngörülmektedir.

Kanun, bu teknolojilerin yanı sıra olay sonrası adli bilişim süreçlerine destek olacak delil toplama protokollerinin standardize edilmesini de zorunlu kılar. Delil zinciri (chain of custody) prosedürleri, kurum içi denetimlerde uygulanmak zorundadır. Bu prosedürlerin bir parçası olarak; dijital delillerin hash değerleri ile doğrulanması, delil toplama sırasında yazma korumalı (write-blocker) cihazlar kullanılması ve zaman damgalı (timestamped) kayıtlarla belgelenmesi zorunlu hale gelmiştir.

Ulusal Siber Güvenlik Stratejisi ve Eylem Planları

Ulusal düzeyde yayımlanan Siber Güvenlik Stratejileri, sadece politika belgeleri değil; aynı zamanda uygulanabilir teknik yol haritalarıdır. 2024–2028 Eylem Planı, SCADA ve IoT sistemlerinin güvenliğini öncelikli hale getirmiştir. Plan çerçevesinde:

• Kritik altyapılarda SCADA sızma testlerinin yılda en az bir kez gerçekleştirilmesi,
• Enerji, ulaşım ve sağlık sektörleri için özel sektörel SIEM uyumluluk standartları hazırlanması,
• Olay yönetimi için ISO/IEC 27035 standardının tüm kamu kurumlarında uygulanması,
• SOME personeli için yılda en az 20 saat teknik eğitim ve tatbikat zorunluluğu,
• Yerli log analiz ve korelasyon araçlarının kullanımı,
• E-posta altyapılarında SPF, DKIM, DMARC kurallarının zorunlu hale getirilmesi gibi teknik detaylar eyleme dönüştürülmüştür.

Ayrıca yapay zekâ destekli saldırı tespit sistemleri, siber istihbarat paylaşım platformları ve otomatik zafiyet tarayıcılarının kamu kurumlarında entegrasyonu, bu planın teknik yönünü oluşturmaktadır.

Kamu Kurumlarının Rollerinin Teknik Analizi

USOM tarafından geliştirilen yerli yazılımlar aşağıdaki gibi teknik bileşenlere sahiptir:

• AVCI: Statik/Dinamik zararlı analiz modülleri; YARA kural motoru entegre
• KASIRGA: DNS tabanlı zararlı alan adı çözüm takibi
• AZAD: Dağıtık DDoS trafiklerinin entropi tabanlı ölçümü
• ATMACA: Honeypot destekli sınır izleme çözümlerine destek
• BTK: Telekom operatörleri için penetrasyon testi raporlama yükümlülüğü getirmiştir. Bu kapsamda Layer 2/3 seviyesinde ARP spoofing, DHCP starvation, BGP hijack gibi testler yapılmaktadır.
• Dijital Dönüşüm Ofisi: Kamu sistemlerinde kullanılacak yazılımlar için “güvenlik mimarisi referans modeli” geliştirmiştir. Bu modelde mikro hizmet mimarisi, zero-trust erişim modeli ve konteyner izolasyonu gibi ilkeler yer almaktadır.

Değerlendirme ve Gelecek Perspektifi

Türkiye’nin siber güvenlik mimarisi teknik altyapı, denetim kapasitesi ve stratejik planlama açısından büyük ilerleme kaydetmiştir. Ancak bu yapının geleceği, uygulamadaki teknik yetkinliğin artırılmasına, otomasyon seviyesinin yükseltilmesine ve uluslararası standartlarla uyumluluk düzeyinin izlenmesine bağlıdır. Teknik uzmanlar, sadece savunma tarafında değil; test, analiz, şifreleme, loglama ve forensics alanlarında da aktif rol almalıdır. Ayrıca, gelişen tehdit ortamına karşı sürekli olarak güncellenen playbook’lar, makine öğrenmesi destekli anomali tespit sistemleri ve ortak bilgi paylaşım platformlarının yaygınlaştırılması gerekmektedir. Tüm bu önlemler, Türkiye’nin dijital egemenliğini sağlam temellere oturtması adına stratejik bir zorunluluktur.