HAVELSAN, Ürünleri ile Bilgi ve İletişim Güvenliği Genelgesi’nin Gereksinimlerine Çözümler Sunuyor – MSI Dergisi: Türk Savunma ve Havacılık Sanayisinin Güncel Referans Bilgi Kaynağı ve Yenilik Habercisi

HAVELSAN, Ürünleri ile Bilgi ve İletişim Güvenliği Genelgesi’nin Gereksinimlerine Çözümler Sunuyor

4 Ekim 2019

MSI Dergisi’nin 183’üncü sayısında yayımlanan tanıtıcı makale, derginin internet sitesinde paylaşılmıştır:

 

Hazırlayan: HAVELSAN AR-GE, Teknoloji ve Ürün Yönetimi Direktörlüğü

 

Yetkisiz kişilerce ele geçirilmesi, milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanmasına yönelik, Bilgi ve İletişim Güvenliği Tedbirleri konusundaki 2019/12 sayılı Cumhurbaşkanlığı Genelgesi, 6 Temmuz 2019 tarihinde Resmi Gazete’de yayımlandı. Genelgede; sayısal ortamdaki güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda, milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla alınması öngörülen tedbirler, 21 madde şeklinde yer aldı.

Savunma Sanayii Başkanı Prof. Dr. İsmail Demir ve HAVELSAN Genel Müdürü ve CEO’su Ahmet Hamdi Atalay, SSB ve HAVELSAN yetkilileri ile İLETEE’yi birinci elden tecrübe ettiler.

 

Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere, farklı güvenlik seviyeleri için ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde, “Bilgi ve İletişim Güvenliği Rehberi”nin Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda hazırlanacağı da genelge içeriğinde belirtildi ve bu rehberin, gelişen teknoloji ve şartlar ile güncelleneceğinden bahsedildi.

Genelgede, veri güvenliği kapsamında; nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve verilerin yurt içinde güvenli bir şekilde depolanması; internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulması; kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmaması gibi temel güvenlik gereksinimlerinin altı çizildi. Bu kapsamda; HAVELSAN, kamu kurum ve kuruluşları için özel bulut (On-premise Private Cloud) çözümü veya bütün kamu kurum ve kuruluşlarının bilişim altyapısının tek bir çatı altında toplandığı ortak bir kamu bulut (Government Cloud) altyapısı oluşturulmasında ve bütünleşik bir çözümün meydana getirilmesinde rol oynamaya hazırdır.

“Siber Güvenlik” alanına vermiş olduğu önem ve değer ile ön plana çıkan HAVELSAN, hâlihazırda gerçekleştirdiği projeler kapsamında, kamu kurum ve kuruluşlarında, bu genelgede belirtilen tedbir ve önlemleri devreye almıştır ve uygulamaktadır. HAVELSAN, veri güvenliği alanında sahip olduğu bilgi ve tecrübesiyle genelge kapsamında belirtilen tedbirlerin etkin biçimde uygulanmasında ve devreye alınmasında ve üretmiş olduğu ürünler ile de ulusal düzeyde görev almaya hazırdır.

Genelge kapsamında, haberleşme güvenliği alanında sınıflandırılmış verilerin iletiminde uygun kriptografik çözümlerin kullanılması, cihaz ve yayma güvenliği ile sosyal medya ve mesajlaşma platformlarında alınması gereken güvenlik önlemlerine de değinilmiş; ayrıca, kurum ve kuruluşların siber tehdit bildirimlerine ilişkin gerekli tedbirleri alması ihtiyacı bildirilmiştir.

Kamu kurumları ve kritik veri işleyen özel kuruluşlar da dâhil olmak üzere, saldırılara açık mesajlaşma uygulamalarının yaygın biçimde iş maksatlı olarak kullanıldığı gözlenmektedir. Bu platformlar üzerinde, her ne kadar “Tasnif Dışı” olarak nitelendirilen konular paylaşılsa da hassas bilgilerin de çoğu durumda paylaşılabildiği ya da paylaşılabileceği de göz ardı edilmemelidir. Genelgede bahsedilen, kapalı devre veya internet ortamında şifreli iletişim ihtiyacını karşılayan HAVELSAN ürünü olan İLETEE, kamu kurum ve kuruluşları tarafından denenmeye başlanmıştır. İLETEE’nin, çok kısa bir süre içerisinde, bir kurumsal mesajlaşma uygulaması olarak, küresel rakiplerinin yerini alacağı değerlendirilmektedir.

HAVELSAN tarafından, Uçtan Uca Yerli ve Milli 5G Haberleşme Şebekesi projesi kapsamında geliştirilen; Görev Kritik Veri ve Video haberleşme bileşenleri kullanılarak kamu kurum ve kuruluşlarının ihtiyacı olan güvenli iletim altyapısı, 5G şebekesi üzerinden hizmet seviyesinde ve yüksek paket önceliği ile sağlanabilmektedir.

GÖZCÜ, log kayıtlarının güvenli bir şekilde saklanmasını ve siber tehdit bildirimlerine ilişkin tedbirlerin alınabilmesini sağlıyor.

 

Derinlemesine Güvenlik Yaklaşımı

Fiziksel güvenliği sağlanmış ve yetkisiz cihazların fiziksel olarak kontrol edildiği ortamlarda dahi güvenlik ihlalleri yaşanabilir. Olası güvenlik ihlallerinden asgari seviyede etkilenmek için, kritik verilerin işlendiği altyapılarda derinlemesine güvenlik yaklaşımı ile birçok katmanda güvenlik kontrolleri oluşturmak, tercih edilmesi gereken bir yaklaşımdır. HAVELSAN tarafından geliştirilmekte olan BARİYER Veri Sızıntısı Engelleme ürünü, kurumsal olarak taşınabilir cihazların yetkilendirilmesini ve bu yetkilendirme uyarınca, hareket halindeki verinin denetlenebilmesini sağlamaktadır. Veri sızıntısı ve kaçağı önleme sistemleri, doğru şekilde sınıflandırılmış verinin hareketlerini denetlemek konusunda çözüm sağlamanın yanı sıra veri sınıflandırma ürünleri ile entegre biçimde çalışmaktadır.

Genelgede belirtilen Ulusal Siber Güvenlik Stratejisi ve eylem planları ile uyumlu olarak HAVELSAN, 23 Mart 2016 tarihinde hizmete açılan Siber Savunma Teknoloji Merkezi bünyesinde, kamu kurum ve kuruluşları ile kritik altyapı sektörleri için Siber Güvenlik Operasyon Merkezi ile siber olay izleme, analiz ve müdahale hizmetleri sunmaktadır. Ayrıca ilgili kurumlar için SOME kurulum ve işletim danışmanlığı ile Ulusal Siber Olaylara Müdahale Merkezi tarafından bildirilen tüm tehdit bildirimleri ve kurumlarda gerçekleşen olayların USOM’a raporlanması da dâhil olmak üzere, tüm SOME teknik faaliyetlerine ilişkin desteklerini hizmet olarak sağlamaktadır.

BARİYER, kritik bilgi ve verilerin güvenli bir biçimde saklanmasına, taşınmasına ve bu verilere uygun erişim yetkilendirmelerinin yapılabilmesine imkân tanıyor.

 

Bilgi ve İletişim Güvenliği Tedbirleri konulu genelgede, kurum ve kuruluşlar tarafından geliştirilen yazılımlar için güvenli yazılım geliştirme süreçlerinin uygulanması ve güvenlik testleri gerçekleştirilmesi; dışarıdan temin edilen yazılım ve donanım ürünleri için de arka kapı barındırmadığına ilişkin üretici ya da temsilci taahhütnamesi alınması gibi tedbirler ile azami olarak güvenilir üreticiler tarafından geliştirilen yerli ve milli teknolojik ürünlerin kullanımı ihtiyacı vurgulanmıştır. HAVELSAN, bugüne kadar teslim etmiş olduğu tüm projelerinde; “Güvenli Yazılım Geliştirme” süreçleri uygulanması, tüm geliştirici ekibin güvenli yazılım geliştirme süreçlerine ilişkin eğitim almış olması, hayata geçirilen ürün ya da projelere ilişkin uygulama güvenliği sızma testi ve kaynak kod güvenlik analizi yapılması konularında kararlı olmuştur. Bu genelge, HAVELSAN tarafından uygulanan güvenli yazılım geliştirme süreçlerinin ne kadar gerekli olduğunu göz önüne sermektedir.

 

 

Genelgede belirtilen güvenlik tedbirlerini karşılayabilecek entegre güvenlik çözümleri;

  • Log kayıtlarının güvenli bir şekilde saklanması ve siber tehdit bildirimlerine ilişkin tedbirlerin alınabilmesi için GÖZCÜ,
  • Kamu e-posta sistemleri gibi hassas veri kaynaklarına erişim güvenliğinin sağlanması için KALKAN,
  • Kritik bilgi ve verilerin güvenli bir biçimde saklanması, taşınması ve bu verilere uygun erişim yetkilendirmelerinin yapılabilmesine imkân sağlayan BARİYER,
  • Kritik haberleşme ihtiyaçlarının güvenli biçimde karşılanması konusunda H-ARF ve Uçtan Uca Yerli ve Milli 5G Projesi,
  • Sosyal medya analizi dâhil olmak üzere büyük veri analitiği teknikleri kullanılarak kritik verilerin izlenmesi ve tehdit istihbaratının oluşturulmasını sağlayacak ASTAR,
  • Kriptolu veri iletişimi ile hassas verilerin yetkilendirilmiş kişiler arasında ve güvenli kanallardan iletimine imkân veren İLETEE,
  • Güvenli bulut depolama çözümleri ihtiyacının yerli ve milli imkânlarla sağlanması amacıyla HVL-Drive,
  • Arka kapı barındırmadığından emin olabileceğimiz yerli ve milli işletim sistemimiz PARDUS,

gibi, HAVELSAN tarafından geliştirilen ve desteklenen ürün ve projeler ile sağlanabilmektedir.

 

PARDUS, arka kapı barındırmadığından emin olunabilecek yerli ve milli işletim sistemi olarak öne çıkıyor.

 

Sızma testi ve güvenlik denetimi konusunda, TS 13638 belgelendirme esasları uyarınca, “A Yeterlilik” seviyesinde bulunan HAVELSAN, bilgi teknolojileri denetimi alanındaki bilgi ve tecrübesiyle bu genelge kapsamında duyurulan tedbirlerin etkin biçimde uygulanması konusunda; analiz, test ve danışmanlık hizmetleri sunabilmektedir.

Yukarıda belirtilen tüm konulara ilişkin olarak HAVELSAN, deneyim ve tecrübesini, milli güvenliği ve kamu düzenini etkileyebilecek verilerin işlendiği tüm kurum ve kuruluşlar ile paylaşmaya hazırdır.

468 toplam görüntüleme, 2 bugünkü görüntüleme