Avrupa Birli\u011fi Siber Güvenlik Ajans\u0131 (“ENISA”), 26 Temmuz 2021 tarihinde, s\u0131ras\u0131yla telekom ve güven hizmetleri sektörleri için güvenlik ihlalleri ile ilgili y\u0131ll\u0131k raporlar\u0131n\u0131 yay\u0131mlam\u0131\u015ft\u0131r. ENISA, raporlar\u0131n 2020'de meydana gelen ihlallerin temel nedenleri ve etkileri hakk\u0131nda kapsaml\u0131 bir analiz sa\u011flad\u0131\u011f\u0131n\u0131 ve ayn\u0131 zamanda çok y\u0131ll\u0131k e\u011filimleri de\u011ferlendirdi\u011fini vurgulam\u0131\u015ft\u0131r. Ek olarak, 2020 y\u0131l\u0131ndaki telekom güvenlik ihlalleri ile ilgili olarak ENISA, hatal\u0131 yaz\u0131l\u0131m de\u011fi\u015fikliklerinin ve güncellemelerinin, kaybedilen toplam saat say\u0131s\u0131n\u0131n %40'\u0131na e\u015fde\u011fer olan 346 milyon saat kayb\u0131yla sonuçlanmas\u0131 sebebiyle etki aç\u0131s\u0131ndan önemli bir a\u011f\u0131rla\u015ft\u0131r\u0131c\u0131 faktör olu\u015fturdu\u011funu belirtmi\u015ftir. \u0130laveten, sistem ar\u0131zalar\u0131n\u0131n ihlallerin en s\u0131k nedeni olmaya devam etmesine ra\u011fmen, bu tür ihlallerin boyutunun azald\u0131\u011f\u0131, insan hatalar\u0131n\u0131n neden oldu\u011fu ihlallerin 2016 ve 2020 y\u0131llar\u0131 aras\u0131nda artt\u0131\u011f\u0131 ve çok y\u0131ll\u0131k e\u011filimlerdeki toplam ihlal say\u0131s\u0131n\u0131n %26's\u0131n\u0131 olu\u015fturdu\u011fu vurgulanm\u0131\u015ft\u0131r.<\/p>\n
Ayr\u0131ca, 2020 y\u0131l\u0131 içindeki güven hizmetleri ihlalleri ile ilgili olarak, ENISA, büyüklük seviyesinin sürekli olarak dü\u015fük kald\u0131\u011f\u0131n\u0131 ve güven servis sa\u011flay\u0131c\u0131lar\u0131n\u0131n telekom sa\u011flay\u0131c\u0131lar\u0131na k\u0131yasla daha fazla ihlal bildirdi\u011fini belirtmi\u015ftir. Bununla birlikte, bu tür hizmetlerin çok yayg\u0131n olarak kullan\u0131lmas\u0131na ra\u011fmen, nitelikli olmayan güven hizmetlerinde meydana gelen ihlaller bak\u0131m\u0131ndan yetersiz bildirimleri de vurgulam\u0131\u015ft\u0131r.<\/p>\n
Telekom Güvenlik \u0130hlalleri 2020 Y\u0131l\u0131 Raporu<\/strong><\/p>\n Telekom Güvenlik \u0130hlalleri 2020 Y\u0131l\u0131 Raporu’na göre (“Telekom Raporu”) Avrupa Birli\u011fi'ndeki (“AB”) elektronik ileti\u015fim sa\u011flay\u0131c\u0131lar\u0131, elektronik ileti\u015fim hizmetlerinin süreklili\u011fi üzerinde önemli bir etkisi olan güvenlik ihlallerini her bir AB üye ülkesindeki Ulusal Telekomünikasyon Düzenleme Kurumu’na (“NRA”) bildirmek zorundad\u0131r. NRA'lar\u0131n her y\u0131l ENISA'ya bu ihlallerin AB çap\u0131nda kabul edilen asgari özelliklere dayal\u0131 olarak en önemli ihlalleri kapsayan bir özetini bildirdi\u011fi, bu kapsamda Telekom Raporu’nun 2020'de bildirilen ihlal raporlar\u0131n\u0131n bir araya getirilmesi suretiyle AB'deki telekom güvenlik ihlallerine ili\u015fkin AB çap\u0131nda genel bir bak\u0131\u015f sundu\u011fu, 2020 y\u0131l\u0131 Telekom Raporu sürecinin, 26 AB üye devletinden ve 2 EFTA ülkesinden ulusal makamlar taraf\u0131ndan sunulan 170 ihlalin raporlar\u0131n\u0131 içerdi\u011fi belirtilmi\u015ftir. Bununla birlikte Telekom Raporu’nda, ulusal yetkililere bildirilen telekom güvenlik ihlallerinin yaln\u0131zca önemli etkileri olan büyük ihlaller oldu\u011fu, hedeflenen DDoS sald\u0131r\u0131lar\u0131 veya SIM de\u011fi\u015ftirme sald\u0131r\u0131lar\u0131 gibi daha küçük ihlallerin rapor edilmedi\u011fi de vurgulanm\u0131\u015ft\u0131r.<\/p>\n 2018 \/1972 Say\u0131l\u0131 Avrupa Elektronik \u0130leti\u015fim Kodu (“EECC”) kapsam\u0131nda güvenlik ihlallerinin bildirilmesine ili\u015fkin hükümler, hangi ihlallerin kapsama girdi\u011fi ve bildirim kriterleri düzenlenmektedir.<\/p>\n Telekom Raporu uyar\u0131nca , EECC kapsam\u0131nda ihlal raporlama gerekliliklerinin, yaln\u0131zca kesintiler de\u011fil, ayn\u0131 zamanda gizlilik ihlalleri de dahil olmak üzere daha geni\u015f bir alana sahip oldu\u011fu aç\u0131klanm\u0131\u015ft\u0131r. Buna ek olarak, EECC kapsam\u0131nda, sadece geleneksel telekom operatörleri de\u011fil, ayn\u0131 zamanda üst düzey ileti\u015fim hizmetleri sa\u011flay\u0131c\u0131lar\u0131 de dahil olmak üzere çe\u015fitli hizmet alanlar\u0131 bulunmaktad\u0131r. Telekom Raporu’nda belirtilene göre, her ihlal için kullan\u0131c\u0131 say\u0131s\u0131 ve saat say\u0131s\u0131 çarp\u0131larak elde edilen toplam kullan\u0131c\u0131 saati kayb\u0131 841 milyon saat olarak hesaplanm\u0131\u015ft\u0131r. Hesaplanan bu rakamlar\u0131n önceki y\u0131llardaki rakamlarla uyumlu oldu\u011fu bildirilmi\u015ftir.<\/p>\n ENISA, Telekom Raporu kapsam\u0131nda, 2020 y\u0131l\u0131 ihlalleri kapsam\u0131nda elde edilen ba\u015fl\u0131ca bulgulara dikkat çekmi\u015ftir. Bu kapsamda öncelikle, 2020 y\u0131l\u0131nda, hatal\u0131 yaz\u0131l\u0131m de\u011fi\u015fiklikleri ve güncellemeleriyle ilgili ihlallerin, kaybedilen toplam kullan\u0131c\u0131 saatinin yakla\u015f\u0131k %40'\u0131na tekabül eden 346 milyon kullan\u0131c\u0131 saatinin kaybedilmesine neden oldu\u011fu ve bu sebeple hatal\u0131 yaz\u0131l\u0131m de\u011fi\u015fiklikleri ve güncellemelerinin, etki aç\u0131s\u0131ndan önemli bir faktör oldu\u011fu belirtilmi\u015ftir. \u0130kinci olarak Telekom Raporu’nda, sistem ar\u0131zalar\u0131n\u0131n, etki aç\u0131s\u0131ndan önceki y\u0131llarda oldu\u011fu gibi bask\u0131n olmaya devam etti\u011fi belirtilmekle beraber, kaybedilen toplam kullan\u0131c\u0131 saatinin yakla\u015f\u0131k yar\u0131s\u0131na tekabül etti\u011fi ve ihlallerin en s\u0131k görülen temel nedeni oldu\u011fu aç\u0131klanm\u0131\u015ft\u0131r. ENISA taraf\u0131ndan üçüncü olarak, insan hatalar\u0131ndan kaynaklanan vakalar\u0131n 2019'daki ile ayn\u0131 seviyede oldu\u011fu bildirilmi\u015ftir. Bu kapsamda toplam vakalar\u0131n %26’s\u0131n\u0131n esasen insan hatalar\u0131ndan kaynakland\u0131\u011f\u0131 ve bu tür ihlaller nedeniyle toplam kullan\u0131c\u0131 saatlerinin %41'inin kaybedildi\u011fi aç\u0131klanm\u0131\u015ft\u0131r. Son olarak Telekom Raporu’nda, üçüncü taraf hatalar\u0131 sebebiyle güvenlik ihlalinin önceki y\u0131llarla ayn\u0131 seviyede kald\u0131\u011f\u0131 belirtilmekle beraber, ihlallerin neredeyse üçte birini olu\u015fturan bu ihlallerin tedarikçi, yüklenici gibi üçüncü \u015fah\u0131slardan kaynaklanan ihlaller olarak bildirildi\u011fi belirtilmi\u015ftir.<\/p>\n Sonuç olarak, hatal\u0131 yaz\u0131l\u0131m de\u011fi\u015fiklikleri ve güncellemelerinin 2020 y\u0131l\u0131 ihlalleri bak\u0131m\u0131ndan en yüksek etkiye sahip oldu\u011fu, sistem ar\u0131zalar\u0131n\u0131n da sebep oldu\u011fu etki bak\u0131m\u0131ndan Telekom güvenlik ihlalleri bak\u0131m\u0131ndan önemli etkisinin bulundu\u011fu, insan hatalar\u0131 ve üçüncü \u015fah\u0131slardan kaynaklanan ihlallerin ise 2019 y\u0131l\u0131 ile ayn\u0131 seviyelerde seyretti\u011fi tespit edilmi\u015ftir. Telekom Raporunda sonuç olarak, güncel EECC’nin uygulamaya konmas\u0131 ve geçi\u015f sürecinin, bu kapsamda gerçekle\u015ftirilecek raporlama faaliyetlerinin önümüzdeki y\u0131llarda ENISA’n\u0131n odak noktalar\u0131ndan olaca\u011f\u0131, ilaveten potansiyel DDoS sald\u0131r\u0131lar\u0131 veya SIM de\u011fi\u015ftirme sald\u0131r\u0131lar\u0131 gibi daha küçük ihlallerin raporlanmas\u0131 ve analizi ile 5G kapsam\u0131nda idareler ile hizmet sa\u011flay\u0131c\u0131lar\u0131n faaliyetlerinin gözlemlenmesi ve desteklenmesinin de odak noktalar\u0131 oldu\u011fu belirtilmi\u015ftir.<\/p>\n Güven Hizmetleri Güvenlik \u0130hlali 2020 Y\u0131l\u0131 Raporu<\/strong><\/p>\n AB'nin Temmuz 2014'te kabul edilen ve 2016'da yürürlü\u011fe giren 910\/2014 Say\u0131l\u0131 eIDAS Yönetmeli\u011fi (“eIDAS Yönetmeli\u011fi”), Avrupa'daki elektronik kimlik düzenlemeleri ve güven hizmetleri, ulusal elektronik kimlik düzenlemeleri, s\u0131n\u0131r ötesi birlikte çal\u0131\u015fabilirlik ve tan\u0131ma kapsam\u0131nda kurallar belirlemektedir. Bununla birlikte Güven Hizmetleri Güvenlik \u0130hlalleri 2020 Y\u0131l\u0131 Raporu’nda (“Güven Hizmetleri Raporu”), eIDAS Yönetmeli\u011fi’nin hedeflerinden birinin, elektronik imzalar\u0131n geleneksel imzalarla ayn\u0131 yasal geçerlili\u011fe sahip olmas\u0131n\u0131 sa\u011flamak ve elektronik ticaret ve AB'deki her türlü elektronik i\u015flemin önündeki engelleri kald\u0131rmak oldu\u011fu da belirtilmi\u015ftir. Ayr\u0131ca eIDAS Yönetmeli\u011fi’nin iki amac\u0131 daha Güven Hizmetleri Raporu’nda a\u015fa\u011f\u0131daki gibi aç\u0131klanm\u0131\u015ft\u0131r:<\/p>\n (i)<\/strong> Ki\u015filerin ve i\u015fletmelerin, di\u011fer AB ülkelerinde çevrimiçi olarak sunulan kamu hizmetlerine eri\u015fmek için kendi ulusal elektronik kimlik planlar\u0131n\u0131 gönüllü olarak kullanabilmelerini sa\u011flamak; ve<\/p>\n (ii)<\/strong> Güven hizmetleri için s\u0131n\u0131rlar ötesinde kullan\u0131labilir olacaklar\u0131n\u0131 ve geleneksel kâ\u011f\u0131t tabanl\u0131 muadilleriyle ayn\u0131 yasal statüye sahip olacaklar\u0131n\u0131 temin ederek bir AB iç pazar\u0131 yaratmak.<\/p>\n Bu kapsamda, Güven Hizmetleri Raporu’nda, eIDAS Yönetmeli\u011fi taht\u0131nda, güven hizmeti sa\u011flay\u0131c\u0131lar\u0131 için güvenlik gereksinimlerinin belirlendi\u011fi ve AB'deki güven hizmeti sa\u011flay\u0131c\u0131lar\u0131 için güvenlik ihlali raporlamas\u0131 zorunlulu\u011funu getirildi\u011fi belirtilmi\u015ftir. Ayr\u0131ca, raporlama yükümlülüklerinin üç bölümden olu\u015ftu\u011fu kaydedilmi\u015f ve öncelikle güven hizmeti sa\u011flay\u0131c\u0131lar\u0131n\u0131n, ulusal denetim organlar\u0131na önemli etkisi olan güvenlik ihlallerini bildirmesi, daha sonras\u0131nda ulusal denetim organlar\u0131n\u0131n, s\u0131n\u0131r ötesi etkisi olan ihlaller varsa, birbirlerini ve ENISA'y\u0131 bilgilendirmeleri gerekti\u011fi belirtilmi\u015ftir. Son olarak, her y\u0131l ulusal denetim organlar\u0131n\u0131n, bildirilen ihlallerle ilgili y\u0131ll\u0131k özet raporlar\u0131n\u0131 ENISA'ya ve AB Komisyonu'na gönderme zorunlulu\u011fu aç\u0131klanm\u0131\u015ft\u0131r. Tüm bunlara dayanarak ENISA, güven hizmeti sa\u011flay\u0131c\u0131lar\u0131n\u0131n ihlal raporlama sürecine daha a\u015fina hale geldi\u011fini ve daha az \u015fiddetli olsalar bile daha fazla ihlal bildirdiklerini do\u011frulad\u0131\u011f\u0131 de\u011ferlendirmesini yapm\u0131\u015ft\u0131r. \u0130hlallerin ana nedenleri, istatistikleri ve e\u011filimlerini analiz ederek, 2020 y\u0131l\u0131 içinde bildirilen ihlallere genel bir bak\u0131\u015f sa\u011flayan Güven Hizmetleri Raporu’nda, toplam 27 AB ülkesi ve 2 EFTA ülkesi yer alm\u0131\u015f, bu ülkeler toplam 39 ihlal bildirmi\u015flerdir.<\/p>\n Bu kapsamda, 2020'deki güven hizmetleri ihlalleri ile ilgili olarak ENISA, eIDAS Yönetmeli\u011fine uyumlu güven hizmetlerini (“Nitelikli Güven Hizmetleri”) ilgilendiren raporlanm\u0131\u015f ihlallerin, IDAS Yönetmeli\u011fine uyumlu olmayan güven hizmetlerini (“Nitelikli Olmayan Güven Hizmetleri”) ilgilendiren ihlallere oran\u0131n\u0131n önceki y\u0131llardaki gibi yüksek olmaya devam etti\u011fi, bu ba\u011flamda 2020 y\u0131l\u0131nda bildirilen toplam ihlallerin %69'unun Nitelikli Güven Hizmetleri üzerinde bir etkiye sahip iken, bildirilen ihlallerin yakla\u015f\u0131k %33’ünün Nitelikli Olmayan Güven Hizmetleri üzerinde etkiye sahip oldu\u011fu belirtilmi\u015ftir. Ayr\u0131ca, Nitelikli Olmayan Güven Hizmetlerin yayg\u0131n olarak kullan\u0131lmas\u0131na ra\u011fmen, operatörlerin ilgili ihlal raporlama konusunda çok fazla çaba göstermedikleri, ço\u011fu durumda, bildirimlerin Nitelikli ve Niteliksiz her türlü hizmeti sunan ve hem Nitelikli hem de Niteliksiz hizmetlerini etkileyen bir ihlali bildiren bir güven hizmeti sa\u011flay\u0131c\u0131s\u0131 taraf\u0131ndan gerçekle\u015ftirildi\u011fi tespit edilmi\u015ftir.<\/p>\n Son olarak ENISA, sistem ar\u0131zalar\u0131n\u0131n %53 oranla bask\u0131n temel neden olmaya devam etti\u011fi ve en bask\u0131n ikinci nedenin ise %39 ile insan hatalar\u0131 oldu\u011funu de\u011ferlendirmi\u015ftir. Bu kapsamda Güven Hizmetleri Raporu’nda ENISA, 2020 y\u0131l\u0131nda ortaya ç\u0131kan, elektronik imzal\u0131 PDF dokümanlara çe\u015fitli yaz\u0131l\u0131msal gizli içeriklerin gizlendi\u011fi “gölge sald\u0131r\u0131lar” olarak isimlendirilen yeni bir sald\u0131r\u0131 türü ortaya ç\u0131kt\u0131\u011f\u0131n\u0131, Nitelikli Olmayan Güven Hizmetleri’nin denetimi ve raporlanmas\u0131 ile ilgili geli\u015fme kaydedilmesi gerekti\u011fini, eIDAS Yönetmeli\u011fi ve bu kapsamda ihlal raporlaman\u0131n dört y\u0131l\u0131 a\u015fk\u0131n süredir uyguland\u0131\u011f\u0131 göz önünde bulundurularak AB Komisyonunun 2021 y\u0131l\u0131nda bir revizyon önerisinde bulunaca\u011f\u0131n\u0131 bu sayede örne\u011fin Nitelikli Olmayan Güven Hizmetleri bak\u0131m\u0131ndan regülasyon bo\u015fluklar\u0131n\u0131n doldurulabilece\u011fini aç\u0131klam\u0131\u015ft\u0131r.<\/p>\n Simge K\u0131l\u0131ç, Esra Temur<\/p>\n","protected":false},"excerpt":{"rendered":"