Obama Yönetimi Siber Güvenlik Stratejisinin Ana Çizgilerini Açıkladı!

Başkan Obama yönetimi en önemli ulusal bilgi ağlarını siber saldırılardan korumak ve siber güvenliğe yapılacak yatırımları ve araştırmaları teşvik edecek yeni bir strateji taslağı hazırladı.
Planın kilit noktasını bilgi güvenliği uzmanlarından oluşan tarafsız bir komisyonun hazırladığı önerilerin yakından takibi oluşturmaktadır. Siber güvenliği sağlamak amacıyla, bilişim suçlarıyla mücadele için yeni düzenlemeler yapılması ve en hassas ulusal bilgisayar ağlarının güvenliğinin sağlanması göze çarpan noktalardır.



Beyaz Saray’ın web sayfasında yayınlanan Strateji’de aşağıdaki amaçlar vurgulanmaktadır:
Siber Güvenlikle İlgili Olarak Federal Liderliği Güçlendirmek: Siber altyapıyı stratejik bir değer olarak ilan etmek ve doğrudan Başkana rapor verecek, federal kurumlar arasındaki koordinasyonun sağlanmasından ve ulusal siber politika geliştirilmesinden sorumlu olacak ulusal siber danışman pozisyonu oluşturmak.
Ulusal Siber Alytapıyı Güçlendirmek ve Güvenli Bilişim AR-GE Çalışmaları Başlatmak: Gelecek nesil güvenli bilgisayarlar geliştirilmesi inisiyatifini ve ulusal güvenlik uygulamaları için ağ oluşturulmasını desteklemek. Sanayi ve akademi ile kritik siber altyapı için yeni nesil güvenli yazılım ve donanım geliştirilmesi ve kullanımı konusunda birlikte çalışmak.
Amerikan Ekonomisini Güvenli Olarak Tutan IT Altyapsını Korumak: Siber güvenlik ve fiziksel esneklik için yeni standartlar geliştirmek üzere özel sektörle çalışmak.
Kurumsal Siber Casusluğu Önlemek: Ulusal ticari sırları, araştırma ve gelişmeleri korumak için gerekli olan sistemleri geliştirmek için sanayi ile birlikte çalışmak.
Suçtan Gelir Elde Etme Olanaklarını Minimize Etmek İçin Bir Siber Suç Stratejisi Geliştirmek: İzlenemez ödeme planlarının kapatılması yoluyla suçtan elde edilen gelirin transfer edilmesinde kullanılan mekanizmaları kapatmak. Federal, eyalet ve bölgesel kolluk güçlerine siber suçlarla mücadele, suçun tespiti ve kovuşturulması için ihtiyaç duydukları araçları sağlayacak teşvikler ve eğitim programları başlatmak.
Kişisel Verilerin Güvenliğini Sağlayacak Standartları Öngörmek ve Şirketlerden Kişisel Verilerin İhlali Durumlarını Açıklamalarını İstemek: Sanayi ve vatandaşlarla kamu ve özel sektör sistemlerinde saklanan kişisel verilerin güvenliğini sağlamak için partner olmak. Bu tür verilerin güvenliğini sekötrler arası sağlayacak genel bir standart geliştirmek ve bilgi çağında bireylerin haklarını korumak.

BASIN BÜLTENİ (“2009’da ADLİ BİLİŞİM” KONFERANS DAVETİ)

İSTANBUL BİLGİ ÜNİVERSİTESİ BİLİŞİM TEKNOLOJİSİ HUKUKU UYGULAMA ve ARAŞTIRMA MERKEZİ, İSTANBUL BAROSU ve LOSTAR BİLGİ GÜVENLİĞİ İŞBİRLİĞİYLE..2009’DA ADLİ BİLİŞİM KONFERANSI
10 Şubat 2009 Salı / 09:00 – 17:00
İstanbul Bilgi Üniversitesi, Dolapdere

Bilgisayarınız mı çalındı? Bilgisayarınıza veya cep telefonunuza resmi makamlar tarafından el mi konuldu? O e-postayı siz göndermediniz mi? Dinlenen telefonlarda adli bilişim incelemesi mümkün müdür? İşlenen bir suçun tespitinde sizin IP numaranız mı çıktı? İnternet bankacılığı yoluyla hesabınız boşaltıldı, adli bilişim incelemesi nasıl yapılacak? Bilgisayara değil de İnternet’e kaydettiğiniz dosyalarda adli bilişim incelemesi söz konusu olabilir mi? Bilgisayarımdaki tüm verileri sildim, gerçekten onlardan kurtuldum mu? Şirket olarak veya hukuk bürosu olarak bilgi güvenliği politika belgemiz olmadan oluşturduğumuz elektronik kayıtları siliyoruz, delilleri karartıyor muyuz?



Elektronik delil toplama ve inceleme ile ilgili birçok sorunun cevabını konunun uzmanlarından dinlemek istiyorsanız, İstanbul Bilgi Üniversitesi Bilişim Teknolojisi Hukuku Uygulama ve Araştırma Merkezi, İstanbul Barosu Bilişim Hukuku Merkezi ile Lostar Bilgi Güvenliği A.Ş.’nin ortaklaşa düzenlediği “2009’da Adli Bilişim” konulu konferansa katılmalısınız.

Konferans 10 Şubat 2009 Salı günü İstanbul Bilgi Üniversitesi, Dolapdere Yerleşkesinde gerçekleştirilecektir. Katılım ücretsiz olup kayıt zorunluluğu vardır. Kayıt için telefon: (212) 224 90 04.












“2009’DA ADLİ BİLİŞİM” KONFERANS PROGRAMI
10 Şubat 2009 Salı – 09:00
İstanbul Bilgi Üniversitesi, Dolapdere
09:00 – 09:45
Kayıt

09:45 – 10:25
Açılış Konuşması
· Leyla KESER BERBER (İstanbul Bilgi Üniversitesi, Bilişim Teknolojisi Hukuku Merkezi)
· Murat LOSTAR (İstanbul Bilgi Üniversitesi, Lostar Bilgi Güvenliği A.Ş.)
· Muammer AYDIN (İstanbul Barosu Başkanı)
10:30 – 12:00
Panel: Teknik ve Akademik Açıdan Adli Bilişim
· Ahmet KOLTUKSUZ (İzmir Yüksek Teknoloji Enstitüsü)
· Cemil ISLIKÇI (Bimtes)
· Tuğrul SEVİM&Yasin BECENİ (Bilgi Üniversitesi&Türkekul Hukuk Bürosu)
· Erdem AKYAZILI (Bilgi Üniversitesi)
· Feridun AKTAŞ (Garanti Teknoloji)

. Emre CİVAN (İstanbul Emniyet Müdürlüğü Mali Suçlarla Mücadele Şube Müdürlüğü)

12:00 – 13:00
Öğle yemeği

13:00 – 14:45
Kurumsal Uygulamada Adli Bilişim
· Dinçer AY (İstanbul Emniyet Müdürlüğü)
· Bilal ŞEN (Emniyet Amiri, Bilişim Suçları ve Sistemleri Şb. Md.)
· Burak ÇEKİÇ (İEM Bilişim Suçları Birim Amiri)
· Bülent ONSOY (EFG Menkul Değerler)
· İbrahim ÖZTÜRK (Turkcell)


14:45 – 15:15
Çay/Kahve arası

15:15 – 17:00
Hukuk Uygulamasında Adli Bilişim

· Ahmet Gürkan GENÇKAYA(Yargıtay 11. Hukuk Dairesi)

. Adnan DEĞNEKLİ (Yargıtay 19. Hukuk Dairesi)
· Hakan KIZILASLAN (Ankara Cumhuriyet Savcısı)
· Özgür ERALP (Ankara Barosu Yönetim Kurulu Üyesi)
· Ümit Dursun SÜMERAKA (Bilirkişi)
· M.Gökhan AHİ (İstanbul Barosu Bilişim Hukuku Merkezi Başkanı)


Dünyada ve ülkemizde, gerek bireylerin ve şirketlerin olağan yaşamlarında, gerek hukuki uyuşmazlık aşamasında Adli Bilişim vazgeçilmez bir öneme sahiptir. Şüphesiz bu olguyu tetikleyen unsur yaşamımızı her yönden kuşatan bilişim teknolojisidir. Bilişim teknolojisinin sunduğu olanakları ne kadar çok kullanıyorsak, o ölçüde de Adli Bilişimi bilmek ve ilkelerini uygulamak durumundayız. Birey olarak bilgisayara yazdığımız her şeyin bir gün lehimizde, ya da aleyhimizde delil olabileceği gerçeğini unutmamalıyız. Şirket olarak elektronik olarak oluşturduğumuz dokümanların, e-postaların bir gün şirketle ilgili herhangi bir uyuşmazlıkta can kurtarıcı deliller şekline dönüşebileceğini bilerek dijital yaşama ayak uydurmalıyız. Avukat olarak müvekkilinize davadan önceki dönemlerde veya dava sırasında adli bilişime ve elektronik keşfe ilişkin ilkeler doğrultusunda bir yol haritası çıkarmalı ve öyle yardımcı olmalısınız. Aksi halde davanın kaybı rizikosunu müvekkilinizle birlikte taşırsınız.

Bilişim Teknolojisinin her dalında olağan olduğu sürece Adli Bilişim de statik, değişmez bir yapıya sahip değildir. Adli Bilişime konu teşkil edecek öğeler bilişim teknolojilerine paralel olarak sürekli değiştiği için, her zaman yenilenen bir ilkeler katalogu ile karşı karşıya bulunmaktayız. Bu da doğal olarak Adli Bilişim konusunda çalışmak isteyen kişiler bakımından yaşam boyu öğrenmeyi, bu konuda hizmet almak isteyen birey veya şirket veya kurumlar açısından ise yetkin kişilerden hizmet alınmasını zorunlu kılmaktadır.

Ayrıntılı bilgi için:
bthukuku.bilgi.edu.tr
http://www.lostar.com/
http://www.leylakeser.org/
http://www.istanbulbarosu.org.tr/


E- Faturalama 2008- Kaydileştirme Yolu

E-Faturalama Avrupa Birliği’nin yeniden gündeminde. Kağıt tabanlı faturalamadan elektronik faturalamaya dönüşüm kamu ve özel sektör tarafından geniş ölçüde benimsenmiştir. Bu konuda internet teknolojilerinin yaygın olarak kullanımı ve Tek Euro Ödeme Alanı’nın lanse edilmesi itici güç olmuştur.
Ancak Avrupa kıtası çapında yaygınlaştırılmış bir elektronik faturalama ortamının ortaya çıkışı, potansiyel çözümlerin belirlenmesi ve sorunlara net bir bakış açısıyla yaklaşımın başlatılması gibi, çok sayıda farklı paydaşın yoğun çabasını gerektirmektedir.



2006 yılında Avrupa Bankacılık Birliği (EBA) e-faturalama konusunda bir çalışma grubu kurmuş ve e-faturalamanın sunduğu fırsatları araştırmaya başlamıştır. Grup, mevcut e-faturalama pazarına ilişkin bir görüş oluşturmak ve Avrupa çapında e-faturalama için söz konusu olabilecek isterleri, olanakları ve güçlükleri belirlemek amacıyla çok sayıda uzmanla ve uygulayıcıyla istişare etmiştir.
Grubun 2006-2007 yıllarında tamamladığı çalışmayı, EBA Board’u “e-Faturalama 2008”[1] adını taşıyan referans bir rehber olarak lanse etmiştir. Bu çalışma EBA’da oluşturulan bir takım ile Innopay adlı danışmanlık şirketi tarafından birlikte hazırlanmıştır. Rapor e-faturalama konusunda kapsamlı bir analiz ve Pazar tanımlaması içermektedir. E-Faturalama 2008 başlıca iki amacı gerçekleştirmeyi hedeflemektedir: e-faturalama konusunda kısa ve öz güncel bilgiler vermek ve bu bulgular ve değerlendirmeler ışığında gelecek için, ortaklar arasında yapılacak tartışmalar bakımından bir temel ortaya koymaktır.
2008 yılı boyunca EBA üye devletlerin Avrupa çapında e-faturalama çözümlerine katılmalarını sağlayacak çözümler bulmaya devam etmiştir.
[1] Rapora erişmek için: http://www.abe-eba.eu/Repository.aspx?ID=54942e07-ad65-4dc4-920e-09c7cce51497.

Kişisel Verilerin Korunması Kanunu Yasa Tasarısı Bir Süre Daha Yasalaşmasın!

26 Aralık 2008 tarihinde Today’s Zaman’da yayınlanan bir habere göre; Avrupa Komisyonu halen Meclis'te Alt Komisyon aşamasında bulunan Kişisel Verilerin Korunması Hakkındaki Yasa Tasarısını, Avrupa Birliği ile uyum süreci dikkate alındığında, Tasarıda yer alan istisnaların kapsamının uygulamada yaşanabilecek kötüye kullanmaları önlemede yetersiz olabilecek derecede çok geniş ve belirsiz olduğu noktasında eleştirdi. Avrupa Birliği’nin bu girişimi Meclis'teki Alt Komisyon yerine, her nedense sadece Adalet Bakanlığı’nı “Godot’yu Beklemek”’ten kurtarmış ve Tasarı üzerinde yeniden çalışmaların başlayacağına ilişkin Komisyon üyelerine bilgi verilmiştir.



Türkiye’deki çalışmalar ne zaman sonuçlanır ve Tasarı ne zaman yasalaşır bunu kestirmek mümkün olmamakla birlikte, kişisel önerimiz, aslında Türkiye için Avrupa Konseyi’nin 108 No’lu Kişisel Verilerin Otomatik Olarak İşlenmesi Karşısında Bireylerin Korunmasına Dair Sözleşme’sini imzaladığı 28.1.1981 tarihinden itibaren gündeminde olan Kişisel Verilerin Korunması Yasası çıkarmak ödevini bir süre daha ertelemesidir. Çünkü; Türkiye’ye bu tasarıyı kısa bir süre içinde yasalaştırması önerisinde bulunan Avrupa Birliği’nde blogdaki diğer yazılarımızda belirttiğimiz üzere, 95/46 Sayılı Veri Koruması Direktifi’nin büyük bir revizyonu söz konusudur. Bugünkü haliyle AB Direktifi’nin hemen hemen birebir çevirisi niteliğinde olan bu tasarı yasalaşırsa, kısa süre sonra AB’deki revizyonlar doğultusunda Direktif değiştirildiğinde uygulanamaz hale gelecektir. Dolaysıyla bu aşamada Türkiye’nin yapması gereken iki ödev söz konusudur:

1. AB’deki veri koruması Direktifi’ne ilişkin çalışmaları yakından takip etmek, hatta bizatihi katılmak.
2. Mevcut Tasarı’yı ve Direktifi İngilizce/Türkçe hazırlayıp Meclisin ve/veya Adalet Bakanlığı’nın web sayfasında yayınlamak.

Kişisel Verilerin Korunması Yasa Tasarısının Avrupa Birliği tarafından eleştirilen noktalarına dikkat çekmek gerekirse:
Avrupa Birliği Antiterörizm Koordinatörü Gilles de Kerchove, Meclis’teki AB Uyum Komisyonu’nu ziyaret etmiş ve Türkiye’nin, uluslararası antiterörizm çabalarına yardımcı olmak istiyorsa, mümkün olan en kısa süre içinde bu Tasarıyı yasalaştırması gerektiğini ifade etmiştir. Ancak de Kerchove; Tasarının çok sayıda belirsiz istisnai hüküm içerdiğini ve bunun ırk ayrımcılığına yol açabileceği endişesi taşıdıklarının da altını çizmiştir.
De Kerchove’un tasarıda revizyon yapılmasına yönelik taleplerine ilişkin olarak CHP Genel Başkan Yardımcısı Onur Öymen; kendilerinin de bunu yapma niyetinde olduklarını, fakat Türkiye’de gizli telefon dinleme vakalarının dahi tasarya yönelik tartışmaları harekete geçireceğini belirtmiştir. AB tarafından özellikle MİT, Jandarma ve Polis gibi kurumların Tasarıda yer alan bu istisnai hükümlere istinaden bireyleri ırk, siyasi tercih, inanç veya dini tercihlerine göre kategorize edebilecekleri vurgulanmaktadır.
Türk Hükümeti AB tarafından yöneltilen eleştirileri dikkate alacağını söylemiştir. Hükümet yetkilileri parlamentoda yapılacak müzakereler sırasında tasarıda bir dizi değişikliğin yapılabileceğini belirtmiş, ancak bu revizyonların kapsamı hakkında fikir vermemişlerdir.
Oysa tasarıda yer alan bu istisnai hükümler 95/46 Sayılı Direktif’te de yer almaktadır ve tasarı bir anlamda Direktifin bazı noktalar dışında birebir çevirisi niteliğindedir. Ancak; takip edebildiğimiz kadarıyla bu tasarının ingilizce bir versiyonu ne Meclisin ne de Avrupa Birliği’nin sayfasında mevcut değildir. Aynı şekilde 95/46 Sayılı Direktifin de Türkçe çevirisi de yapılmamıştır. Gerek Türkiye’de gerek Avrupa Birliği’nde ve dünyada bu konu ile ilgili olanların her iki metin arasındaki farkları daha rahat görüp anlayabilmesi için Meclis’teki Kişisel Verilerin Korunması Kanununu inceleyen Komisyonun veya Adalet Bakanlığı’nın bu metinleri ilgili dillere çevirmesi önem taşımaktadır.
Parlamentonun Uyum Komisyonunu ziyaret eden ikinci bir isim olan, Türkiye’nin Fransız Büyükelçisi Bernard Emie ise Türkiye’deki reform sürecinin yavaş yürüdüğünden şikayet etmiştir.

Avrupa Veri Koruması Görevlisi’nin (EDPS) Görüşü: Sınır Ötesi Sağlık Hizmetlerinde Spesifik Bir Veri Koruması Boyutu Gereklidir!

2 Aralık 2008 tarihinde EDPS (Peter Hustinx) sınır ötesi sağlık hizmetlerinde hasta hakları uygulamasına ilişkin bir Direktif önerisi hakkında bir görüş kabul etmiştir. Öneri, kendi ülkesi dışında diğer bir Üye Devlette sunulan sağlık hizmetini almak isteyen hastalar bakımından, AB kapsamında sınır ötesi sağlık hizmeti uygulamasına ilişkin bir Topluluk çerçevesi oluşturmayı hedeflemektedir. Bu tür bir planın uygulamaya konulması, farklı Üye Devletlerdeki yetkili organizasyonlar ve sağlık uzmanları arasında sağlığa ilişkin kişisel verilerin değişimini gerektirmektedir.



EDPS sınır ötesi sağlık hizmeti sunulması için gerekli olan koşulların sağlanmasına yönelik inisiyatifleri desteklemektedir. Ancak Toplulukta mevcut sağlık hizmeti ile ilgili inisiyatiflerin her zaman özel hayatın gizliliği ve güvenlik düşünceleri ile eşgüdümlü olmadığının (özellikle yeni bilgi ve iletişim teknolojilerinin kullanımına ilişkin olarak) altı çizilmekte ve bu durumun sağlık hizmetleri bakımından evrensel bir veri koruması yaklaşımının kabul edilmesine engel oluşturduğu belirtilmektedir. Bu nokta, mevcut Öneride açıkça yer almaktadır. Öneride, veri korumasına ilişkin olarak yapılan atıflara rağmen, bu atıfların esas itibariyle genel karakterli olduğu ve sınır ötesi sağlık hizmetlerinde veri koruması boyutuna spesifik olarak atıf yapmadığı ifade edilmektedir.
Bunun yanısıra sınır ötesi sağlık hizmeti bağlamında sağlık verilerinin değişimi analiz edilmiş ve EDPS veri korumasına ilişkin olarak üzerinde durulması gereken başlıca iki alan tanımlamıştır: Üye Devletler tarafından uygulanabilecek farklı güvenlik seviyeleri (teknik ve organizasyonel önlemler anlamında) ve e-sağlık uygulamalarına özel hayatın gizliliğinin entegre edilmesi. Bu unsurların gerçekleştirilebilmesi için EDPS değişiklik yapılması gereken beş temel alan belirlemiştir:
“sağlık verisi” için yapılacak bir tanım için koşul, bu tanımın bir kişinin sağlık durumunun nitelendirilmesine yakın ve açık bağlantı içeren herhangi bir kişisel veriyi kapsaması gerekir;
Üye devletlerin sorumluluklarını belirleyen ve güvenlik harmonizasyonu ve e-sağlıkta özel hayatın gizliliği entegrasyonu gibi müteakip gelişim alanlarını tespit eden veri korumasına ilişkin spesifik bir maddeye yer verilmesi;
Üye devletler tarafından uygulanacak sağlık verileri bakımından genel olarak kabul edilen bir güvenlik seviyesinin belirlenmesi için bir Topluluk mekanizmasının kabul edilmesi;
Önerilen Topluluk şablonunda e-Reçeteleme için, “privacy by design” nosyonunun inkorporasyonu;
Sağlığa ilişkin verilerin müteakip kullanımına ilişkin spesifik isterlere daha açık atıflar öngörülmesi (Article 8 of Data Protection Directive 95/46EC).