Türkiye’de yerli siber güvenlik eserleri ve yazılımların sayısı artarken, bunların milletlerarası geçerliliği bulunan sertifikalara sahip olmasına yönelik altyapı yatırımlarına yenileri ekleniyor.
STM Savunma Teknolojileri Mühendislik ve Ticaret AŞ tarafından kurulan ITSEF (Information Technology Security Evaluation Facility) Laboratuvarı, Türk Standardları Enstitüsünden (TSE) alınan lisans dokümanı ile bir arada Türkiye’deki 4’üncü, dünyada ise 64’üncü Ortak Kriterler Kıymetlendirme Laboratuvarı olarak hizmet vermeye başladı.
Laboratuvarda bilişim teknolojileri eserlerine yönelik güvenlik değerlendirmeleri ve testleri yapılacak, kıymetlendirme sonucunda eserlerin güvenlik sertifikasyonları sağlanacak. Yazılım eserleri için test ve kıymetlendirme hizmeti verilen laboratuvarda, ilerleyen periyotta donanım eserlerinin test edilmesi de planlanıyor.
Halen 30 ülkede kabul gören Ortak Kriterler Standardı’nın geçerliliği ve tanınırlığı artıyor. NATO ve Avrupa Birliği tarafından kabul edilen standart, ISO (International Standard Organisation) tarafından da destekleniyor.
Yeni jenerasyon çipli T.C. kimlik kartlarının entegre devreleri ve işletim sistemleri, yeni kuşak çipli pasaportların entegre devreleri ve işletim sistemleri, bu sistemlerin uyumlu olduğu kart okuyucular, e-imza altyapısında kullanılan anahtarların idaresi için elektronik sertifikasyon altyapısı, muharrir kasa pos aygıtları, sıhhat yazılımları ve medikal aygıtlar, bilgisayarlardaki işletim sistemleri, bilgi tabanları, ofis uygulamaları, kripto yazılımları, biyometrik sistemler, güvenlik yazılım ve donanımları üzere birçok eser için Ortak Kriterler değerlendirmesi yapılıyor.
Belge sayıları ve garanti seviyeleri
Türkiye’de toplam Ortak Kriterler Dokümanı verilen eser sayısı (süresi dolanlarla birlikte) 70’e, bu eserlerin sahibi firma sayısı ise 35’e karşılık geliyor. Türkiye’de verilen evrak sayısı dünya ile karşılaştırıldığında hayli düşük düzeyde kaldığı bedellendiriliyor. Almanya ve Fransa’nın verdiği Ortak Kriterler Dokümanı sayıları 700 civarında bulunuyor. Bu sayılara bakılınca Türkiye’de hayli yüksek bir potansiyel olduğu belirtiliyor.
Ortak Kriterler Standardı değerlendirmeleri EAL 1 ve EAL 7 ortasında değişiyor. EAL 1 en az manada güvenlik tedbirleri, EAL 7 ise azami güvenlik tedbirlerinin alındığı eserler manasına geliyor. EAL 1’de kara kutu testleri ve daha az dokümantasyon, daha az açıklama, daha az ayrıntıda ve daha az testle inceleme yapılırken, EAL 7 düzeyine gerçek gidildikçe kaynak kodların, üretim süreçlerinin, testlerin, mimari yapının daha fazla detay ile incelenmesi yapılıyor. EAL 1’den EAL7 ‘ye hakikat gidildikçe güvenlik kalitesi ve inceleme maliyetleri de artıyor. EAL 1 güvenlik garanti düzeyi, daha kolay ve umuma açık kullanımdaki eserlere, EAL 7 düzeyi ise misyona özel daha kritik eserlere yönelik bulunuyor.
Yurt içi ve dışı pazar için avantaj sağlayacak
STM Genel Müdür Yardımcısı Ömer Korkut, AA muhabirine yaptığı açıklamada, şirketin siber güvenlik alanında hizmet üretme, eser geliştirme, proje yapma bahislerinde inisiyatif aldığını söyledi.
Bunlara ITSEF Laboratuvarı ile sertifikasyon hizmetini eklediklerini tabir eden Korkut, bu hususta 2 yıllık bir çalışma yürüttüklerini lisana getirdi. Korkut, TSE’nin onayıyla Türkiye’de bu hizmeti veren 4 merkezden biri haline geldiklerini belirtti.
Merkezin EAL 4 düzeyinde Ortak Kriter testi yapma konusunda akreditasyon aldığını anlatan Korkut, “Mevcut durum prestijiyle yazılım eserlerinin sertifikasyonunu yapabilir durumdayız. Münasebetiyle belirli süreçlerden geçerek yazılım üretmeye muhtaçlığı olan, muhakkak güvenlik düzeylerini yakalama muhtaçlığı olan yazılımların, bilhassa siber güvenlik yazılımlarının bu sertifikasyon sürecine başvurmaları ve merkezimizden sertifika almalarını bekliyoruz.” dedi.
Korkut, bu sertifika ile yazılım eserlerinin aşikâr süreçlere uygun olarak geliştirildiğinin teyit edildiğini, bunların içerisinde güvenlik süreçleri ve yazılım geliştirme standartlarının bulunduğunu söyledi. Ömer Korkut, şöyle konuştu:
“Ürünlerin hem güvenlik hem standart geliştirme açısından belirli bir olgunluk düzeyinde olduğunun delili olacak bu sertifikasyon. Türkiye’de bilhassa siber güvenlik alanında daima şikayet ettiğimiz bir mevzu var. Türkiye’de kullanılan siber güvenlik eserlerinin yüzde 95-97’si yabancı menşeli diyoruz. Neden yabancı menşeli eser tercih ediliyor zira bunlar referanslı, dünyada kullanılıyor. Yerli eserlerin iç ve dış pazarda yer alması için eserlerimizin muhakkak olgunluk düzeyinde, inançlı, standartlara uygun olması, yeteneğinin de öteki eserlere nazaran bir kesim daha üstte olması gerekiyor. Bu sertifikasyon yerli ve ulusal eserlere yer açacak bir fırsat yaratıyor. EAL 1’den EAL 4’e kadar vereceğimiz sertifikalardan biri alınırsa bu eserlerin makul olgunluk düzeyinde olduğunun delili olacak ve eserlerin yurt içi ve yurt dışı pazarda yer bulmaları için bir avantaj sağlanacak.”
İlk sertifikasyon için çalışmalar başladı
Korkut, bu husustaki yetkiyi almalarının akabinde yurt içinde geliştirilmiş yerli ve ulusal bir siber güvenlik eserin sertifikasyon sürecine başladıklarını bildirdi. Bu süreçlerin eserlerin karmaşıklık durumuna nazaran değiştiğini lisana getiren Korkut, “Bu niyeti olan firmalar müracaatlarını evvelce yapıyorlar. Zira Türkiye’de yalnızca 4 laboratuvar var. Buralardan takvim alıyorlar ki pazara çıkma müddetlerini bu sertifikasyonu alma durumlarına nazaran ayarlayabilsinler. Pazardaki eserler de sertifikasyon alabilir. Bu süreci başlattığımız eser, kullanılan, pazarda olan bir eser. Üretici bu sertifikayı da alarak eserini bir basamak daha üste çıkarma çabası içerisinde.” dedi.
Ömer Korkut, bu türlü bir laboratuvar için inançlı bir tesis ve altyapı, uzman işçi ve bunlarla ilgili yazılımların aktif kullanım kabiliyetlerine sahip olunması gerektiğini söyledi.
Ürün geliştiricisiyle koordineli formda yürütülen süreç sonunda sertifikanın verildiğini ve son olarak TSE onayı alındığını anlatan Korkut, “Sertifikasyon sürecini yürüttüğümüz eser yurt içi ve yurt dışı pazarda kullanılan bir eser. Bu karmaşıklık düzeyini dikkate aldığımızda yaklaşık 10 aylık bir takvim sonunda eseri sertifiye etmeyi planlıyoruz.” halinde konuştu.
