Avrupa Birli\u011fi Siber Güvenlik Ajans\u0131 (“ENISA”), 26 Temmuz 2021 tarihinde, s\u0131ras\u0131yla telekom ve güven hizmetleri sektörleri için güvenlik ihlalleri ile ilgili y\u0131ll\u0131k raporlar\u0131n\u0131 yay\u0131mlam\u0131\u015ft\u0131r. ENISA, raporlar\u0131n 2020'de meydana gelen ihlallerin temel nedenleri ve etkileri hakk\u0131nda kapsaml\u0131 bir analiz sa\u011flad\u0131\u011f\u0131n\u0131 ve ayn\u0131 zamanda çok y\u0131ll\u0131k e\u011filimleri de\u011ferlendirdi\u011fini vurgulam\u0131\u015ft\u0131r. Ek olarak, 2020 y\u0131l\u0131ndaki telekom güvenlik ihlalleri ile ilgili olarak ENISA, hatal\u0131 yaz\u0131l\u0131m de\u011fi\u015fikliklerinin ve güncellemelerinin, kaybedilen toplam saat say\u0131s\u0131n\u0131n %40'\u0131na e\u015fde\u011fer olan 346 milyon saat kayb\u0131yla sonuçlanmas\u0131 sebebiyle etki aç\u0131s\u0131ndan önemli bir a\u011f\u0131rla\u015ft\u0131r\u0131c\u0131 faktör olu\u015fturdu\u011funu belirtmi\u015ftir. \u0130laveten, sistem ar\u0131zalar\u0131n\u0131n ihlallerin en s\u0131k nedeni olmaya devam etmesine ra\u011fmen, bu tür ihlallerin boyutunun azald\u0131\u011f\u0131, insan hatalar\u0131n\u0131n neden oldu\u011fu ihlallerin 2016 ve 2020 y\u0131llar\u0131 aras\u0131nda artt\u0131\u011f\u0131 ve çok y\u0131ll\u0131k e\u011filimlerdeki toplam ihlal say\u0131s\u0131n\u0131n %26's\u0131n\u0131 olu\u015fturdu\u011fu vurgulanm\u0131\u015ft\u0131r.<\/p>\n
Ayr\u0131ca, 2020 y\u0131l\u0131 i\u00e7indeki g\u00fcven hizmetleri ihlalleri ile ilgili olarak, ENISA, b\u00fcy\u00fckl\u00fck seviyesinin s\u00fcrekli olarak d\u00fc\u015f\u00fck kald\u0131\u011f\u0131n\u0131 ve g\u00fcven hizmeti sa\u011flay\u0131c\u0131lar\u0131n\u0131n telekom sa\u011flay\u0131c\u0131lar\u0131na k\u0131yasla daha fazla ihlal bildirdi\u011fini belirtmi\u015ftir. Bununla birlikte, bu t\u00fcr hizmetlerin \u00e7ok yayg\u0131n olarak kullan\u0131lmas\u0131na ra\u011fmen, nitelikli olmayan g\u00fcven hizmetlerinde meydana gelen ihlaller bak\u0131m\u0131ndan yetersiz bildirimleri de vurgulam\u0131\u015ft\u0131r.<\/p>\n
Telekom G\u00fcvenlik \u0130hlalleri 2020 Y\u0131l\u0131 Raporu<\/strong><\/p>\n Telekom G\u00fcvenlik \u0130hlalleri 2020 Y\u0131l\u0131 Raporu'na (\"Telekom Raporu\") g\u00f6re Avrupa Birli\u011fi'ndeki (\"AB\") elektronik ileti\u015fim sa\u011flay\u0131c\u0131lar\u0131, elektronik ileti\u015fim hizmetlerinin s\u00fcreklili\u011fi \u00fczerinde \u00f6nemli bir etkisi olan g\u00fcvenlik ihlallerini her bir AB \u00fcyesi \u00fclkesindeki Ulusal Telekom\u00fcnikasyon D\u00fczenleme Kurumu'na (\"NRA\") bildirmek zorundad\u0131r. NRA'lar\u0131n her y\u0131l ENISA'ya bu ihlallerin AB \u00e7ap\u0131nda kabul edilen asgari \u00f6zelliklere dayal\u0131 olarak en \u00f6nemli ihlalleri kapsayan bir \u00f6zetini bildirdi\u011fi, bu kapsamda Telekom Raporu'nun 2020'de bildirilen ihlal raporlar\u0131n\u0131n bir araya getirilmesi suretiyle AB'deki telekom g\u00fcvenlik ihlallerine ili\u015fkin AB \u00e7ap\u0131nda genel bir bak\u0131\u015f sundu\u011fu, 2020 y\u0131l\u0131 Telekom Raporu s\u00fcrecinin, 26 AB \u00fcye devletinden ve 2 EFTA \u00fclkesinden ulusal makamlar taraf\u0131ndan sunulan 170 ihlalin raporlar\u0131n\u0131 i\u00e7erdi\u011fi belirtilmi\u015ftir. Bununla birlikte Telekom Raporu'nda, ulusal yetkililere bildirilen telekom g\u00fcvenlik ihlallerinin yaln\u0131zca \u00f6nemli etkileri olan b\u00fcy\u00fck ihlaller oldu\u011fu, hedeflenen DDoS sald\u0131r\u0131lar\u0131 veya SIM de\u011fi\u015ftirme sald\u0131r\u0131lar\u0131 gibi daha k\u00fc\u00e7\u00fck ihlallerin rapor edilmedi\u011fi de vurgulanm\u0131\u015ft\u0131r.<\/p>\n 2018 \/1972 Say\u0131l\u0131 Avrupa Elektronik \u0130leti\u015fim Kodu (\"EECC\") kapsam\u0131nda g\u00fcvenlik ihlallerinin bildirilmesine ili\u015fkin h\u00fck\u00fcmler, hangi ihlallerin kapsama girdi\u011fi ve bildirim kriterleri d\u00fczenlenmektedir.<\/p>\n Telekom Raporu uyar\u0131nca, EECC kapsam\u0131nda ihlal raporlama gerekliliklerinin, yaln\u0131zca kesintiler de\u011fil, ayn\u0131 zamanda gizlilik ihlalleri de dahil olmak \u00fczere daha geni\u015f bir alana sahip oldu\u011fu a\u00e7\u0131klanm\u0131\u015ft\u0131r. Buna ek olarak, EECC kapsam\u0131nda, sadece geleneksel telekom operat\u00f6rleri de\u011fil, ayn\u0131 zamanda \u00fcst d\u00fczey ileti\u015fim hizmetleri sa\u011flay\u0131c\u0131lar\u0131 da dahil olmak \u00fczere \u00e7e\u015fitli hizmet alanlar\u0131 bulunmaktad\u0131r. Telekom Raporu'nda belirtilene g\u00f6re, her ihlal i\u00e7in kullan\u0131c\u0131 say\u0131s\u0131 ve saat say\u0131s\u0131 \u00e7arp\u0131larak elde edilen toplam kullan\u0131c\u0131 saati kayb\u0131 841 milyon saat olarak hesaplanm\u0131\u015ft\u0131r. Hesaplanan bu rakamlar\u0131n \u00f6nceki y\u0131llardaki rakamlarla uyumlu oldu\u011fu bildirilmi\u015ftir.<\/p>\n ENISA, Telekom Raporu kapsam\u0131nda, 2020 y\u0131l\u0131 ihlalleri kapsam\u0131nda elde edilen ba\u015fl\u0131ca bulgulara dikkat çekmi\u015ftir. Bu kapsamda öncelikle, 2020 y\u0131l\u0131nda, hatal\u0131 yaz\u0131l\u0131m de\u011fi\u015fiklikleri ve güncellemeleriyle ilgili ihlallerin, kaybedilen toplam kullan\u0131c\u0131 saatinin yakla\u015f\u0131k %40'\u0131na tekabül eden 346 milyon kullan\u0131c\u0131 saatinin kaybedilmesine neden oldu\u011fu ve bu sebeple hatal\u0131 yaz\u0131l\u0131m de\u011fi\u015fiklikleri ve güncellemelerinin, etki aç\u0131s\u0131ndan önemli bir faktör oldu\u011fu belirtilmi\u015ftir. \u0130kinci olarak Telekom Raporu’nda, sistem ar\u0131zalar\u0131n\u0131n, etki aç\u0131s\u0131ndan önceki y\u0131llarda oldu\u011fu gibi bask\u0131n olmaya devam etti\u011fi belirtilmekle beraber, kaybedilen toplam kullan\u0131c\u0131 saatinin yakla\u015f\u0131k yar\u0131s\u0131na tekabül etti\u011fi ve ihlallerin en s\u0131k görülen temel nedeni oldu\u011fu aç\u0131klanm\u0131\u015ft\u0131r. ENISA taraf\u0131ndan üçüncü olarak, insan hatalar\u0131ndan kaynaklanan vakalar\u0131n 2019'daki ile ayn\u0131 seviyede oldu\u011fu bildirilmi\u015ftir. Bu kapsamda toplam vakalar\u0131n %26’s\u0131n\u0131n esasen insan hatalar\u0131ndan kaynakland\u0131\u011f\u0131 ve bu tür ihlaller nedeniyle toplam kullan\u0131c\u0131 saatlerinin %41'inin kaybedildi\u011fi aç\u0131klanm\u0131\u015ft\u0131r. Son olarak Telekom Raporu’nda, üçüncü taraf hatalar\u0131 sebebiyle güvenlik ihlalinin önceki y\u0131llarla ayn\u0131 seviyede kald\u0131\u011f\u0131 belirtilmekle beraber, ihlallerin neredeyse üçte birini olu\u015fturan bu ihlallerin tedarikçi, yüklenici gibi üçüncü \u015fah\u0131slardan kaynaklanan ihlaller olarak bildirildi\u011fi belirtilmi\u015ftir.<\/p>\n Sonu\u00e7 olarak, hatal\u0131 yaz\u0131l\u0131m de\u011fi\u015fiklikleri ve g\u00fcncellemelerinin 2020 y\u0131l\u0131 ihlalleri bak\u0131m\u0131ndan en y\u00fcksek etkiye sahip oldu\u011fu g\u00f6r\u00fclmektedir, Sistem ar\u0131zalar\u0131n\u0131n da sebep oldu\u011fu etki bak\u0131m\u0131ndan Telekom g\u00fcvenlik ihlalleri bak\u0131m\u0131ndan \u00f6nemli etkisinin bulundu\u011fu, insan hatalar\u0131 ve \u00fc\u00e7\u00fcnc\u00fc \u015fah\u0131slardan kaynaklanan ihlallerin ise 2019 y\u0131l\u0131 ile ayn\u0131 seviyelerde seyretti\u011fi tespit edilmi\u015ftir. Telekom Raporunda sonu\u00e7 olarak, g\u00fcncel EECC'nin uygulamaya konmas\u0131 ve ge\u00e7i\u015f s\u00fcrecinin, bu kapsamda ger\u00e7ekle\u015ftirilecek raporlama faaliyetlerinin \u00f6n\u00fcm\u00fczdeki y\u0131llarda ENISA'n\u0131n odak noktalar\u0131ndan olaca\u011f\u0131 belirtilmi\u015ftir, ilaveten potansiyel DDoS sald\u0131r\u0131lar\u0131 veya SIM de\u011fi\u015ftirme sald\u0131r\u0131lar\u0131 gibi daha k\u00fc\u00e7\u00fck ihlallerin raporlanmas\u0131 ve analizi ile 5G kapsam\u0131nda idareler ile hizmet sa\u011flay\u0131c\u0131lar\u0131n faaliyetlerinin g\u00f6zlemlenmesi ve desteklenmesinin de odak noktalar\u0131 oldu\u011fu belirtilmi\u015ftir.<\/p>\n G\u00fcven Hizmetleri G\u00fcvenlik \u0130hlali 2020 Y\u0131l\u0131 Raporu<\/strong><\/p>\n AB'nin Temmuz 2014'te kabul edilen ve 2016'da y\u00fcr\u00fcrl\u00fc\u011fe giren 910\/2014 Say\u0131l\u0131 eIDAS Y\u00f6netmeli\u011fi (\"eIDAS Y\u00f6netmeli\u011fi\"), Avrupa'daki elektronik kimlik d\u00fczenlemeleri ve g\u00fcven hizmetleri, ulusal elektronik kimlik d\u00fczenlemeleri, s\u0131n\u0131r \u00f6tesi birlikte \u00e7al\u0131\u015fabilirlik ve tan\u0131ma kapsam\u0131nda kurallar belirlemektedir. Bununla birlikte G\u00fcven Hizmetleri G\u00fcvenlik \u0130hlalleri 2020 Y\u0131l\u0131 Raporu'nda (\"G\u00fcven Hizmetleri Raporu\"), eIDAS Y\u00f6netmeli\u011fi'nin hedeflerinden birinin, elektronik imzalar\u0131n geleneksel imzalarla ayn\u0131 yasal ge\u00e7erlili\u011fe sahip olmas\u0131n\u0131 sa\u011flamak ve elektronik ticaret ve AB'deki her t\u00fcrl\u00fc elektronik i\u015flemin \u00f6n\u00fcndeki engelleri kald\u0131rmak oldu\u011fu da belirtilmi\u015ftir. Ayr\u0131ca EIDAS Y\u00f6netmeli\u011fi'nin iki amac\u0131 daha G\u00fcven Hizmetleri Raporu'nda a\u015fa\u011f\u0131daki gibi a\u00e7\u0131klanm\u0131\u015ft\u0131r:<\/p>\n (i)<\/strong> Ki\u015filerin ve i\u015fletmelerin, di\u011fer AB \u00fclkelerinde \u00e7evrimi\u00e7i olarak sunulan kamu hizmetlerine eri\u015fmek i\u00e7in kendi ulusal elektronik kimlik planlar\u0131n\u0131 g\u00f6n\u00fcll\u00fc olarak kullanabilmelerini sa\u011flamak; ve<\/p>\n (ii)<\/strong> G\u00fcven hizmetleri i\u00e7in s\u0131n\u0131rlar \u00f6tesinde kullan\u0131labilir olacaklar\u0131n\u0131 ve geleneksel k\u00e2\u011f\u0131t tabanl\u0131 muadilleriyle ayn\u0131 yasal stat\u00fcye sahip olacaklar\u0131n\u0131 temin ederek bir AB i\u00e7 pazar\u0131 yaratmak.<\/p>\n Bu kapsamda, G\u00fcven Hizmetleri Raporu'nda, eIDAS Y\u00f6netmeli\u011fi taht\u0131nda, g\u00fcven hizmeti sa\u011flay\u0131c\u0131lar\u0131 i\u00e7in g\u00fcvenlik gereksinimlerinin belirlendi\u011fi ve AB'deki g\u00fcven hizmeti sa\u011flay\u0131c\u0131lar\u0131 i\u00e7in g\u00fcvenlik ihlali raporlamas\u0131 zorunlulu\u011fu getirildi\u011fi belirtilmi\u015ftir. Ayr\u0131ca, raporlama y\u00fck\u00fcml\u00fcl\u00fcklerinin \u00fc\u00e7 b\u00f6l\u00fcmden olu\u015ftu\u011fu kaydedilmi\u015f ve \u00f6ncelikle g\u00fcven hizmeti sa\u011flay\u0131c\u0131lar\u0131n\u0131n, ulusal denetim organlar\u0131na \u00f6nemli etkisi olan g\u00fcvenlik ihlallerini bildirmesi, daha sonras\u0131nda ulusal denetim organlar\u0131n\u0131n, s\u0131n\u0131r \u00f6tesi etkisi olan ihlaller varsa, birbirlerini ve ENISA'y\u0131 bilgilendirmeleri gerekti\u011fi belirtilmi\u015ftir. Son olarak, her y\u0131l ulusal denetim organlar\u0131n\u0131n, bildirilen ihlallerle ilgili y\u0131ll\u0131k \u00f6zet raporlar\u0131n\u0131 ENISA'ya ve AB Komisyonu'na g\u00f6nderme zorunlulu\u011fu a\u00e7\u0131klanm\u0131\u015ft\u0131r. T\u00fcm bunlara dayanarak ENISA, g\u00fcven hizmeti sa\u011flay\u0131c\u0131lar\u0131n\u0131n ihlal raporlama s\u00fcrecine daha a\u015fina hale geldi\u011fini ve daha az \u015fiddetli olsalar bile daha fazla ihlal bildirdiklerini do\u011frulad\u0131\u011f\u0131 de\u011ferlendirmesini yapm\u0131\u015ft\u0131r. \u0130hlallerin ana nedenleri, istatistikleri ve e\u011filimlerini analiz ederek, 2020 y\u0131l\u0131 i\u00e7inde bildirilen ihlallere genel bir bak\u0131\u015f sa\u011flayan G\u00fcven Hizmetleri Raporu'nda, toplam 27 AB \u00fclkesi ve 2 EFTA \u00fclkesi yer alm\u0131\u015f, bu \u00fclkeler toplam 39 ihlal bildirmi\u015flerdir.<\/p>\n Bu kapsamda, 2020'deki güven hizmetleri ihlalleri ile ilgili olarak ENISA, eIDAS Yönetmeli\u011fine uyumlu güven hizmetlerini (“Nitelikli Güven Hizmetleri”) ilgilendiren raporlanm\u0131\u015f ihlallerin, IDAS Yönetmeli\u011fine uyumlu olmayan güven hizmetlerini (“Nitelikli Olmayan Güven Hizmetleri”) ilgilendiren ihlallere oran\u0131n\u0131n önceki y\u0131llardaki gibi yüksek olmaya devam etti\u011fi, bu ba\u011flamda 2020 y\u0131l\u0131nda bildirilen toplam ihlallerin %69'unun Nitelikli Güven Hizmetleri üzerinde bir etkiye sahip iken, bildirilen ihlallerin yakla\u015f\u0131k %33’ünün Nitelikli Olmayan Güven Hizmetleri üzerinde etkiye sahip oldu\u011fu belirtilmi\u015ftir. Ayr\u0131ca, Nitelikli Olmayan Güven Hizmetlerin yayg\u0131n olarak kullan\u0131lmas\u0131na ra\u011fmen, operatörlerin ilgili ihlal raporlama konusunda çok fazla çaba göstermedikleri, ço\u011fu durumda, bildirimlerin Nitelikli ve Niteliksiz her türlü hizmeti sunan ve hem Nitelikli hem de Niteliksiz hizmetlerini etkileyen bir ihlali bildiren bir güven hizmeti sa\u011flay\u0131c\u0131s\u0131 taraf\u0131ndan gerçekle\u015ftirildi\u011fi tespit edilmi\u015ftir.<\/p>\n Son olarak ENISA, sistem ar\u0131zalar\u0131n\u0131n %53 oranla bask\u0131n temel neden olmaya devam etti\u011fi ve en bask\u0131n ikinci nedenin ise %39 ile insan hatalar\u0131 oldu\u011funu de\u011ferlendirmi\u015ftir. Bu kapsamda Güven Hizmetleri Raporu’nda ENISA, 2020 y\u0131l\u0131nda ortaya ç\u0131kan, elektronik imzal\u0131 PDF dokümanlara çe\u015fitli yaz\u0131l\u0131msal gizli içeriklerin gizlendi\u011fi “gölge sald\u0131r\u0131lar” olarak isimlendirilen yeni bir sald\u0131r\u0131 türü ortaya ç\u0131kt\u0131\u011f\u0131n\u0131, Nitelikli Olmayan Güven Hizmetleri’nin denetimi ve raporlanmas\u0131 ile ilgili geli\u015fme kaydedilmesi gerekti\u011fini, eIDAS Yönetmeli\u011fi ve bu kapsamda ihlal raporlaman\u0131n dört y\u0131l\u0131 a\u015fk\u0131n süredir uyguland\u0131\u011f\u0131 göz önünde bulundurularak AB Komisyonunun 2021 y\u0131l\u0131nda bir revizyon önerisinde bulunaca\u011f\u0131n\u0131 bu sayede örne\u011fin Nitelikli Olmayan Güven Hizmetleri bak\u0131m\u0131ndan regülasyon bo\u015fluklar\u0131n\u0131n doldurulabilece\u011fini aç\u0131klam\u0131\u015ft\u0131r.<\/p>\n Simge K\u0131l\u0131\u00e7, Esra Temur<\/p>","protected":false},"excerpt":{"rendered":"