TR-TR 
EN-US 
Avrupa Birliği Siber Güvenlik Ajansı (“ENISA”), 26 Temmuz 2021 tarihinde, sırasıyla telekom ve güven hizmetleri sektörleri için güvenlik ihlalleri ile ilgili yıllık raporlarını yayımlamıştır. ENISA, raporların 2020'de meydana gelen ihlallerin temel nedenleri ve etkileri hakkında kapsamlı bir analiz sağladığını ve aynı zamanda çok yıllık eğilimleri değerlendirdiğini vurgulamıştır. Ek olarak, 2020 yılındaki telekom güvenlik ihlalleri ile ilgili olarak ENISA, hatalı yazılım değişikliklerinin ve güncellemelerinin, kaybedilen toplam saat sayısının %40'ına eşdeğer olan 346 milyon saat kaybıyla sonuçlanması sebebiyle etki açısından önemli bir ağırlaştırıcı faktör oluşturduğunu belirtmiştir. İlaveten, sistem arızalarının ihlallerin en sık nedeni olmaya devam etmesine rağmen, bu tür ihlallerin boyutunun azaldığı, insan hatalarının neden olduğu ihlallerin 2016 ve 2020 yılları arasında arttığı ve çok yıllık eğilimlerdeki toplam ihlal sayısının %26'sını oluşturduğu vurgulanmıştır.
Ayrıca, 2020 yılı içindeki güven hizmetleri ihlalleri ile ilgili olarak, ENISA, büyüklük seviyesinin sürekli olarak düşük kaldığını ve güven servis sağlayıcılarının telekom sağlayıcılarına kıyasla daha fazla ihlal bildirdiğini belirtmiştir. Bununla birlikte, bu tür hizmetlerin çok yaygın olarak kullanılmasına rağmen, nitelikli olmayan güven hizmetlerinde meydana gelen ihlaller bakımından yetersiz bildirimleri de vurgulamıştır.
Telekom Güvenlik İhlalleri 2020 Yılı Raporu
Telekom Güvenlik İhlalleri 2020 Yılı Raporu’na göre (“Telekom Raporu”) Avrupa Birliği'ndeki (“AB”) elektronik iletişim sağlayıcıları, elektronik iletişim hizmetlerinin sürekliliği üzerinde önemli bir etkisi olan güvenlik ihlallerini her bir AB üye ülkesindeki Ulusal Telekomünikasyon Düzenleme Kurumu’na (“NRA”) bildirmek zorundadır. NRA'ların her yıl ENISA'ya bu ihlallerin AB çapında kabul edilen asgari özelliklere dayalı olarak en önemli ihlalleri kapsayan bir özetini bildirdiği, bu kapsamda Telekom Raporu’nun 2020'de bildirilen ihlal raporlarının bir araya getirilmesi suretiyle AB'deki telekom güvenlik ihlallerine ilişkin AB çapında genel bir bakış sunduğu, 2020 yılı Telekom Raporu sürecinin, 26 AB üye devletinden ve 2 EFTA ülkesinden ulusal makamlar tarafından sunulan 170 ihlalin raporlarını içerdiği belirtilmiştir. Bununla birlikte Telekom Raporu’nda, ulusal yetkililere bildirilen telekom güvenlik ihlallerinin yalnızca önemli etkileri olan büyük ihlaller olduğu, hedeflenen DDoS saldırıları veya SIM değiştirme saldırıları gibi daha küçük ihlallerin rapor edilmediği de vurgulanmıştır.
2018 /1972 Sayılı Avrupa Elektronik İletişim Kodu (“EECC”) kapsamında güvenlik ihlallerinin bildirilmesine ilişkin hükümler, hangi ihlallerin kapsama girdiği ve bildirim kriterleri düzenlenmektedir.
Telekom Raporu uyarınca , EECC kapsamında ihlal raporlama gerekliliklerinin, yalnızca kesintiler değil, aynı zamanda gizlilik ihlalleri de dahil olmak üzere daha geniş bir alana sahip olduğu açıklanmıştır. Buna ek olarak, EECC kapsamında, sadece geleneksel telekom operatörleri değil, aynı zamanda üst düzey iletişim hizmetleri sağlayıcıları de dahil olmak üzere çeşitli hizmet alanları bulunmaktadır. Telekom Raporu’nda belirtilene göre, her ihlal için kullanıcı sayısı ve saat sayısı çarpılarak elde edilen toplam kullanıcı saati kaybı 841 milyon saat olarak hesaplanmıştır. Hesaplanan bu rakamların önceki yıllardaki rakamlarla uyumlu olduğu bildirilmiştir.
ENISA, Telekom Raporu kapsamında, 2020 yılı ihlalleri kapsamında elde edilen başlıca bulgulara dikkat çekmiştir. Bu kapsamda öncelikle, 2020 yılında, hatalı yazılım değişiklikleri ve güncellemeleriyle ilgili ihlallerin, kaybedilen toplam kullanıcı saatinin yaklaşık %40'ına tekabül eden 346 milyon kullanıcı saatinin kaybedilmesine neden olduğu ve bu sebeple hatalı yazılım değişiklikleri ve güncellemelerinin, etki açısından önemli bir faktör olduğu belirtilmiştir. İkinci olarak Telekom Raporu’nda, sistem arızalarının, etki açısından önceki yıllarda olduğu gibi baskın olmaya devam ettiği belirtilmekle beraber, kaybedilen toplam kullanıcı saatinin yaklaşık yarısına tekabül ettiği ve ihlallerin en sık görülen temel nedeni olduğu açıklanmıştır. ENISA tarafından üçüncü olarak, insan hatalarından kaynaklanan vakaların 2019'daki ile aynı seviyede olduğu bildirilmiştir. Bu kapsamda toplam vakaların %26’sının esasen insan hatalarından kaynaklandığı ve bu tür ihlaller nedeniyle toplam kullanıcı saatlerinin %41'inin kaybedildiği açıklanmıştır. Son olarak Telekom Raporu’nda, üçüncü taraf hataları sebebiyle güvenlik ihlalinin önceki yıllarla aynı seviyede kaldığı belirtilmekle beraber, ihlallerin neredeyse üçte birini oluşturan bu ihlallerin tedarikçi, yüklenici gibi üçüncü şahıslardan kaynaklanan ihlaller olarak bildirildiği belirtilmiştir.
Sonuç olarak, hatalı yazılım değişiklikleri ve güncellemelerinin 2020 yılı ihlalleri bakımından en yüksek etkiye sahip olduğu, sistem arızalarının da sebep olduğu etki bakımından Telekom güvenlik ihlalleri bakımından önemli etkisinin bulunduğu, insan hataları ve üçüncü şahıslardan kaynaklanan ihlallerin ise 2019 yılı ile aynı seviyelerde seyrettiği tespit edilmiştir. Telekom Raporunda sonuç olarak, güncel EECC’nin uygulamaya konması ve geçiş sürecinin, bu kapsamda gerçekleştirilecek raporlama faaliyetlerinin önümüzdeki yıllarda ENISA’nın odak noktalarından olacağı, ilaveten potansiyel DDoS saldırıları veya SIM değiştirme saldırıları gibi daha küçük ihlallerin raporlanması ve analizi ile 5G kapsamında idareler ile hizmet sağlayıcıların faaliyetlerinin gözlemlenmesi ve desteklenmesinin de odak noktaları olduğu belirtilmiştir.
Güven Hizmetleri Güvenlik İhlali 2020 Yılı Raporu
AB'nin Temmuz 2014'te kabul edilen ve 2016'da yürürlüğe giren 910/2014 Sayılı eIDAS Yönetmeliği (“eIDAS Yönetmeliği”), Avrupa'daki elektronik kimlik düzenlemeleri ve güven hizmetleri, ulusal elektronik kimlik düzenlemeleri, sınır ötesi birlikte çalışabilirlik ve tanıma kapsamında kurallar belirlemektedir. Bununla birlikte Güven Hizmetleri Güvenlik İhlalleri 2020 Yılı Raporu’nda (“Güven Hizmetleri Raporu”), eIDAS Yönetmeliği’nin hedeflerinden birinin, elektronik imzaların geleneksel imzalarla aynı yasal geçerliliğe sahip olmasını sağlamak ve elektronik ticaret ve AB'deki her türlü elektronik işlemin önündeki engelleri kaldırmak olduğu da belirtilmiştir. Ayrıca eIDAS Yönetmeliği’nin iki amacı daha Güven Hizmetleri Raporu’nda aşağıdaki gibi açıklanmıştır:
(i) Kişilerin ve işletmelerin, diğer AB ülkelerinde çevrimiçi olarak sunulan kamu hizmetlerine erişmek için kendi ulusal elektronik kimlik planlarını gönüllü olarak kullanabilmelerini sağlamak; ve
(ii) Güven hizmetleri için sınırlar ötesinde kullanılabilir olacaklarını ve geleneksel kâğıt tabanlı muadilleriyle aynı yasal statüye sahip olacaklarını temin ederek bir AB iç pazarı yaratmak.
Bu kapsamda, Güven Hizmetleri Raporu’nda, eIDAS Yönetmeliği tahtında, güven hizmeti sağlayıcıları için güvenlik gereksinimlerinin belirlendiği ve AB'deki güven hizmeti sağlayıcıları için güvenlik ihlali raporlaması zorunluluğunu getirildiği belirtilmiştir. Ayrıca, raporlama yükümlülüklerinin üç bölümden oluştuğu kaydedilmiş ve öncelikle güven hizmeti sağlayıcılarının, ulusal denetim organlarına önemli etkisi olan güvenlik ihlallerini bildirmesi, daha sonrasında ulusal denetim organlarının, sınır ötesi etkisi olan ihlaller varsa, birbirlerini ve ENISA'yı bilgilendirmeleri gerektiği belirtilmiştir. Son olarak, her yıl ulusal denetim organlarının, bildirilen ihlallerle ilgili yıllık özet raporlarını ENISA'ya ve AB Komisyonu'na gönderme zorunluluğu açıklanmıştır. Tüm bunlara dayanarak ENISA, güven hizmeti sağlayıcılarının ihlal raporlama sürecine daha aşina hale geldiğini ve daha az şiddetli olsalar bile daha fazla ihlal bildirdiklerini doğruladığı değerlendirmesini yapmıştır. İhlallerin ana nedenleri, istatistikleri ve eğilimlerini analiz ederek, 2020 yılı içinde bildirilen ihlallere genel bir bakış sağlayan Güven Hizmetleri Raporu’nda, toplam 27 AB ülkesi ve 2 EFTA ülkesi yer almış, bu ülkeler toplam 39 ihlal bildirmişlerdir.
Bu kapsamda, 2020'deki güven hizmetleri ihlalleri ile ilgili olarak ENISA, eIDAS Yönetmeliğine uyumlu güven hizmetlerini (“Nitelikli Güven Hizmetleri”) ilgilendiren raporlanmış ihlallerin, IDAS Yönetmeliğine uyumlu olmayan güven hizmetlerini (“Nitelikli Olmayan Güven Hizmetleri”) ilgilendiren ihlallere oranının önceki yıllardaki gibi yüksek olmaya devam ettiği, bu bağlamda 2020 yılında bildirilen toplam ihlallerin %69'unun Nitelikli Güven Hizmetleri üzerinde bir etkiye sahip iken, bildirilen ihlallerin yaklaşık %33’ünün Nitelikli Olmayan Güven Hizmetleri üzerinde etkiye sahip olduğu belirtilmiştir. Ayrıca, Nitelikli Olmayan Güven Hizmetlerin yaygın olarak kullanılmasına rağmen, operatörlerin ilgili ihlal raporlama konusunda çok fazla çaba göstermedikleri, çoğu durumda, bildirimlerin Nitelikli ve Niteliksiz her türlü hizmeti sunan ve hem Nitelikli hem de Niteliksiz hizmetlerini etkileyen bir ihlali bildiren bir güven hizmeti sağlayıcısı tarafından gerçekleştirildiği tespit edilmiştir.
Son olarak ENISA, sistem arızalarının %53 oranla baskın temel neden olmaya devam ettiği ve en baskın ikinci nedenin ise %39 ile insan hataları olduğunu değerlendirmiştir. Bu kapsamda Güven Hizmetleri Raporu’nda ENISA, 2020 yılında ortaya çıkan, elektronik imzalı PDF dokümanlara çeşitli yazılımsal gizli içeriklerin gizlendiği “gölge saldırılar” olarak isimlendirilen yeni bir saldırı türü ortaya çıktığını, Nitelikli Olmayan Güven Hizmetleri’nin denetimi ve raporlanması ile ilgili gelişme kaydedilmesi gerektiğini, eIDAS Yönetmeliği ve bu kapsamda ihlal raporlamanın dört yılı aşkın süredir uygulandığı göz önünde bulundurularak AB Komisyonunun 2021 yılında bir revizyon önerisinde bulunacağını bu sayede örneğin Nitelikli Olmayan Güven Hizmetleri bakımından regülasyon boşluklarının doldurulabileceğini açıklamıştır.
Simge Kılıç, Esra Temur
