Kamuda Whatsapp, Telegram kararı ne anlama geliyor?
Whatsapp, Telegram gibi yabancı şirketlere ait mesajlaşma uygulamaları, bilgi güvenliği açısından kamu çalışanları tarafından kurumsal çalışmalarında kullanılamayacak.
Bugün basında gündeme gelen 'Kamuda Whatsapp, Telegram
kararı' ne anlama geliyor? İşte detaylar:
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nin kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren "Bilgi ve İletişim Güvenliği Rehberi" 24 Temmuz'da tamamlandı.
Kamu çalışanlarına yönelik bilgi güvenliği rehberinde "Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde bulunan mevcut ve yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen tedbirlere uyulması zorunludur. Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak Rehberde yer alan plan çerçevesinde kademeli olarak bu esaslara uyumlu hale getirilecektir" deniliyor.
Kamu Çalışanları İş İçin Yabancı Kaynaklı Mesajlaşma Uygulamalarını Kullanamayacak
Rehberde bugünün basının gündemine gelen Anlık Mesajlaşma ile ilgili de bir bölüm var. Özetle kamu çalışanları kamudaki kurumsal işleri için yabancı kaynaklı mesajlaşma uygulamalarını kullanamayacak. Kamu personeli günlük yaşamında Whatsapp'tan Telegram'a istediği uygulamayı yine kullanabilecek. Ancak kurumsal işlerde bilgi güvenliği için yerli yazılımlara geçiş isteniyor.
'ANLIK MESAJLAŞMA GÜVENLİĞİ'
Kamuya dönük rehberin Anlık Mesajlaşma Güvenliği bölümünde şu ifadeler yer alıyor:
"Bu güvenlik tedbiri ana başlığının amacı, anlık mesajlaşma güvenliği çerçevesinde ele alınan tedbir listeleri ve denetim sorularını belirlemektir."
Rehberdeki ifadeler şöyle:
- Kurumsal haberleşme amacıyla sunucuları kurum kontrolünde olan mesajlaşma uygulamaları kullanılmalıdır. Kurumun kendine ait bir haberleşme uygulaması yoksa mesajlaşma amacıyla sunucuları yurt içinde bulunan yerli ve milli uygulamalar tercih edilmelidir.
- Mesajlaşma uygulamasının iletim katmanı güvenliği, bilinen zafiyetleri olmayan, güncel bir SSL/TLS sürümü ile sağlanmalıdır ve uygulamada SSL Pinning kullanılmalıdır.
- Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmamalıdır.
- Uygulama birden fazla mobil cihaz üzerinde eş zamanlı olarak çalışmamalıdır. Hesaba farklı bir mobil cihazdan giriş yapılmak istendiğinde kullanıcı kimlik doğrulamaya zorlanmalı, başarılı kimlik doğrulama sonrası uygulama sadece yeni giriş yapılan cihaz üzerinde kullanılabilmelidir.
- Uygulamadan gönderilen tüm mesajlar ve uygulama kullanılarak yapılan tüm sesli ve görüntülü aramalar uçtan uca şifrelenmelidir.
- Mesajlaşma sistemlerine ait yönetim arayüzlerine yetkili tarafların erişimi, yeterli en düşük haklarla güvenli bir şekilde yapılmalıdır. Yönetim arayüzüne erişilerek yapılan işlemlere ait denetim izleri tutulmalıdır.
- Uygulama cihaz üzerinde sakladığı tüm veriyi şifreli olarak tutmalıdır.
- Kritik veri içeren her türlü sesli, yazılı ve görüntülü haberleşme uygulamalarında, kaynak kodları kurum tarafından talep edildiğinde denetlenebilen, işletmesi ve yönetimi yerel olarak yapılabilen yerli ve milli uygulamalar tercih edilmelidir.