- Birleşik Krallık’ın ‘Cyber Security and Resilience (CSR) yasa tasarısı’, ulusal kritik altyapı ile yönetilen hizmet sağlayıcılarını düzenleme kapsamına alıyor, ancak merkezi ve yerel yönetimler hariç tutuluyor
- Hükümet bunun yerine ‘Government Cyber Action Plan’ aracılığıyla aynı güvenlik standartlarını gönüllü olarak uygulayacağını açıkladı, ancak yasal bir zorunluluk bulunmuyor
- Çok sayıda milletvekili ve uzman, kamu sektörünün başlıca saldırı hedeflerinden biri olmasına rağmen yasa kapsamı dışında bırakılmasını eleştiriyor ve yasal bağlayıcılığı olmayan gönüllü standartların güven eksikliği yarattığını belirtiyor
- Ulusal Denetim Ofisi (NAO) raporuna göre hükümet sistemlerindeki güvenlik açıkları ve iyileştirmelerdeki gecikmeler ciddi düzeyde; bu nedenle mevcut planların tek başına yeterli olmayabileceği endişesi dile getiriliyor
- Kamu sektörünü dışarıda bırakma kararı, hükümetin siber güvenlik konusundaki kararlılığına dair soru işaretleri doğuruyor ve gelecekte yasal düzenlemelerin güçlendirilmesi ihtiyacını artırıyor
CSR tasarısının kapsamı ve hükümetin kendi kendine muafiyet tanıması
- CSR yasa tasarısı, 2018 tarihli NIS düzenlemelerinin yerine geçerek Birleşik Krallık’ın siber güvenlik çerçevesini modernize etmeyi amaçlıyor
- Yönetilen hizmet sağlayıcıları ve veri merkezlerini kapsıyor, ancak merkezi ve yerel yönetimler hariç tutuluyor
- AB’nin NIS2 Direktifinden farklı olarak kamu kurumlarını düzenleme kapsamı dışında bırakıyor
- Sir Oliver Dowden, Avam Kamarası’nda hükümetin kendisini yasa kapsamı dışında bırakmasını eleştirdi
- Kamu sektörüne daha sıkı yükümlülükler getirilmesi gerektiğini savundu
- Bakanların siber güvenliği öncelik haline getirmesi için yasal zorunluluk gerektiğini vurguladı
Hükümetin yanıtı ve ‘Cyber Action Plan’
- Bakan Ian Murray, Dowden’ın önerisini kabul edeceğini söyleyerek Government Cyber Action Plan’a değindi
- Bu plan, CSR tasarısıyla aynı düzeyde güvenlik standartlarını devlet kurumlarına uygulamayı hedefliyor, ancak yasal bağlayıcılığı yok
- Eleştirmenler bunu eleştirileri savuşturmaya yönelik bir adım olarak görüyor ve gerçek güvenlik güçlendirmesi sağlayıp sağlamadığı konusunda kuşku duyuyor
- Neil Brown (Decoded.legal), “Hükümet yasa tasarısındaki standartları izleyecekse, yasa kapsamından kaçınması için bir neden yok” dedi
- Tasarıdan çıkarılmasını güven vermeyen bir karar olarak değerlendirdi
Kamu sektöründeki güvenlik gerçekliği ve eleştiriler
- NCSC raporuna göre Eylül 2020 ile Ağustos 2021 arasında yönetilen saldırıların %40’ı kamu sektörünü hedef aldı
- Bu oranın gelecekte daha da artması bekleniyor
- Ulusal Denetim Ofisi (NAO)’nun 2025 tarihli raporu, hükümetin 72 kritik sisteminden 58’ini inceledi ve çok sayıda güvenlik açığı ile yavaş iyileştirme temposu tespit etti
- Bu durum, kamu sektörünün hâlâ düzenli siber saldırılara karşı savunmasız olduğunu gösteriyor
- Bu koşullarda hükümetin kamu sektörünü CSR tasarısından hariç tutması, politika tutarlılığının zayıf olduğu yönünde eleştiri alıyor
Gelecekteki yasama yönü ve tartışmalar
- Labour milletvekili Matt Western, CSR tasarısının tam bir çözüm olmadığını ve ardından ek, daha hedefe yönelik yasal düzenlemelerin geleceğini söyledi
- Hükümetin kamu sektörüne özel ayrı bir siber güvenlik yasası hazırlayabileceği ihtimaline değindi
- Neil Brown, “Küçük ve net yasaları daha sık çıkarmak daha akıllıca bir yaklaşım” değerlendirmesinde bulundu
- Telecommunications (Security) Act 2021 ve Product Security and Telecommunications Infrastructure Act 2022 örneklerinde olduğu gibi, alan bazlı ayrı yasaların etkili olabileceğini anlattı
Güven ve siyasi etkiler
- Kamu kurumları, yerel meclisler ve NHS saldırıya uğradıkça hükümetin tasarı kapsamı dışında kalma kararı, muhalefet için bir eleştiri malzemesi haline geliyor
- Muhafazakâr Parti hükümeti döneminde (2022) önerilen güvenlik iyileştirme tavsiyelerinin iki yılı aşkın süredir uygulanmamış olması da hatırlatılıyor
- Hükümet kendi kendine tanıdığı muafiyeti sürdürdüğü sürece, siber güvenliği iyileştirme konusundaki iradeye yönelik güven eksikliği devam edebilir
- CSR tasarısının ulusal güvenlik çerçevesinin merkezine yerleşebilmesi için kamu sektörünün kapsama alınıp alınmayacağı önümüzdeki dönemin temel tartışma başlıklarından biri olmaya aday
1 yorum
Hacker News yorumları
Bu yasa tasarısına şöyle bir göz attım; bence fazla alaycı yorumlanmış
Esas mesele, kritik tedarikçileri ve hizmet sağlayıcıları belirleyip onların güvenlik yükümlülüklerini tanımlamak
Merkezi hükümet ise genelde doğrudan tedarikçi değil, çeşitli dış tedarikçileri kullanan bir müşteri konumunda
Bu yüzden başlangıçta hükümetin kapsam dışında bırakılmasını garip bulmuyorum. Önce birinci derece tedarikçileri düzene sokup, ardından tüm hükümet işlevlerini kapsayan düzenlemeleri hazırlamak daha doğru bir sıra gibi geliyor
Ama bu kez özellikle bir muafiyet eklenmiş olması, aslında hükümetin de başlangıçta yasa kapsamına dahil olduğuna dair bir kanıt olarak görülebilir
Bu ilk deneme olsaydı katılırdım ama bu yöntem zaten defalarca başarısız oldu
Hükümet çok sayıda tedarikçiyle çalışıyor ama aynı zamanda ulusal siber güvenlik kurumları ya da BT destek kuruluşları üzerinden doğrudan hizmet sağlayıcı rolü de üstleniyor
Örneğin SOC işletimi, güvenlik danışmanlığı, bilgi paylaşımı gibi çeşitli rolleri var; bu yüzden hükümeti dışarıda bırakmak bana sadece bütçe tasarrufu için alınmış bir karar gibi görünüyor
Birleşik Krallık’taki devlet kurumları güvenlik açığı ifşasını (Coordinated Vulnerability Disclosure) aşamalı olarak benimsese, bunun güvenlikte somut iyileşmeler sağlayacağını düşünüyorum
Bu, yazıda UK CSR yasa tasarısının daha özelleştirilmiş güvenlik mevzuatına evrilmesi için ilk adım olduğuna dair anlatıyla da örtüşüyor
Ben sağlık verileriyle ilgili yazılım mühendisliği yapıyorum, o yüzden bu konu bana özellikle uzmanlık alanıma yakın geliyor
İlgili materyaller GitHub bağlantısında görülebilir
Bu, “dediğimizi yapın, yaptığımızı yapmayın” tavrıyla değişimi tasarlayan mühendislerin arkaya çekilip oturmasına benziyor
Teksas ve başka yerlerde de eyalet kurumlarının yapı yönetmeliklerine uymak zorunda olmamasına benzer bir durum var
Eyalet veri merkezi inşaat sahasında çalışırken ben de buna benzer örnekler görmüştüm — “Asbest mi? O da ne?” havasındaydı
Bu tür muafiyetlerin bazı gerekçeleri var
Örneğin kurumun kendisine rapor sunmak ya da hassas bilgileri ifşa etmek zorunda kalmaması için
Ama doğru yaklaşım, temel bir yasal çerçeve oluşturup alt düzenlemelerde “XXX kurumu NIS2’yi şu istisnalarla uygular” şeklinde açıkça yazmaktır
Böylece aşırı muafiyetlerin önüne geçilir ve her kurumun kendi başına keyfi kural yazması engellenir
Nükleer ve savunma sanayiinde de bu yaklaşım yaygındır. Daha en baştan geniş kapsamlı muafiyet ilan etmek yanlış bir yöntemdir
Birleşik Krallık’ın siber güvenlik konusunda neden bu kadar otoriter bir tavır sergilediğini anlamıyorum
Sık sık “kurallar sizin için, bizim için değil” türü yasalar görüyorum
Amaç, kritik varlıkların güvenliğini artırmak ve ihlal bildirim yükümlülüklerini güçlendirmek; bu tür önlemleri “otoriter” diye nitelemen ilginç geldi
Sana bunu düşündüren şeyin ne olduğunu merak ediyorum
Ama aynı zamanda “AB’yi takip ediyoruz” demeyi de istemiyor
Bu yüzden Birleşik Krallık’taki mühendislik şirketleri ve danışmanların düzenleyici belgeleri yazıp uyumluluk tekellerini koruyabilmesi için yasalar yeniden kaleme alınıyor
Bir Britanyalı olarak bakınca, hükümetin “yasal yükümlülük yok ama Cyber Action Plan ile eşdeğer standartları koruyacağız” demesi sonuçta sadece “PDF’ye güvenin” demek gibi geliyor
Artık hızla inkâr edememe (non-repudiation) çağına geçmemiz gerektiğini düşünüyorum
(Önceki yoruma yanıt)
Dünyanın ilk bilgisayarını kimin yaptığı ve World Wide Web’i kimin yarattığı unutulmuş olmasın diye sormak isterim