Oktay GÜÇTEKİN / EGEDESONSÖZ - 2021 denetim raporlarını tamamlayan Sayıştay, İYTE için gerçekleştirdiği çalışmalarını da tamamladı.
Raporda ‘Teknoloji’ üniversitesi olan İYTE’nin bilgi işlem konusundaki güvensizliğine dikkat çekildi
BİLGİ GÜVENLİĞİ YÖNÜNDEN YETERSİZ
Hazırlanan denetim raporunda dış tedarikle yürütülen bilişim hizmetlerine ilişkin sözleşmelerin bilgi güvenliği yönünden yetersiz olduğuna yer verildi. Kurumda hizmet alımı yöntemiyle tedarik edilen bilişim hizmetlerine ilişkin olarak imzalanan sözleşmelerde yer verilen hükümlerin bilgi güvenliğini temin etmek için yeterli olmadığı tespit edildiğinin altı çizildi.
Güvenliğin nasıl sağlanacağına yönelik hükümlerin yer almadığı belirtilen raporda ayrıca;
“Kurum tarafından yapılan sözleşmelerin, ilgili mevzuatta öngörülen, kurum bilgi varlıklarını güvence altına almak için gereken hükümleri içermediği görülmüştür.
2019/12 sayılı, “Bilgi ve İletişim Güvenliği Tedbirleri” konulu Cumhurbaşkanlığı Genelgesi ve Genelge çerçevesinde kamu kurumları tarafından uygulanması gereken hususları tanzim eden Bilgi ve İletişim Güvenliği Rehberi, bilişime ilişkin sözleşmelerin nasıl hazırlanması gerektiğini açıklamıştır.
Söz konusu genelgede, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda hazırlanan “Bilgi ve İletişim Güvenliği Rehberi” ile ilgili olarak şu ifadeye yer verilmiştir:
“…Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen usul ve esaslara uyulması zorunludur…”
Bahse konu Bilgi ve İletişim Güvenliği Rehberi’nde yüklenicilerle yapılacak sözleşmelerde yer verilmesi gereken tedbirler farklı maddelerde şu şekilde tanımlanmıştır.
Kurumda yapılan incelemede, bilişim hizmetlerine ilişkin sözleşmelerde, gizlilik konusuna atıf yapan soyut maddelerin bulunduğu, ancak bilgi güvenliğinin nasıl sağlanacağını ortaya koyan hükümlere yer verilmemiş olduğu görülmüştür” ifadelerine yer verildi.
KURUM TARAFINDAN DENETLENMELİ!
Raporda bilişim hizmetleri ile ilgili sözleşmelerde kullanılan çerçevenin kurum ile tedarikçi ilişkilerinde bilgi varlıklarını korumak için yetersiz kaldığına da vurgu yapıldı. Şu açıklamalara yer verildi:
“Kurum tarafından yapılan sözleşmelerde Hizmet Alımlarına Ait Tip Sözleşme şablonunun kullanıldığı, ancak bu şablonun bilişim hizmetlerinin tanzimi için yeterli çerçeveyi içermediği görülmüştür. Kurumların satın alma süreçlerinde kullandıkları ve genel amaçlarla geliştirilmiş sözleşme ve şartnamelerde yer alan ifadeler, bilgi güvenliğinin temini için yeterli bulunmamakta ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesinin gereklerini karşılamamaktadır. Örneğin, yükleniciye ait olan ve sözleşme konusu hizmetlerde kullanılan bilişim sistemlerinin Kurum tarafından denetimine izin veren açık bir sözleşme hükmü bulunmadıkça, kurum kontrol teşkilatının bu tür bir denetimi yapmasına yüklenicinin rıza göstermesi beklenmemektedir.
Bu sebeple dış tedarik yoluyla alınan bilişim hizmetlerine ilişkin sözleşmelerde, Hizmet Alımlarına Ait Tip Sözleşme’nin birebir kopyalanması ile yetinilmemelidir. Bu sözleşmelerde kamu menfaatlerinin korunması amacıyla ek düzenlemeler yapılmasına ihtiyaç bulunmaktadır. Genel sözleşme ve şartname şablonlarında yer alan gizlilik, gözden geçirme ve kontrol teşkilatı ile ilgili hususlara ek olarak, sözleşmelere, 2019/12 sayılı Cumhurbaşkanlığı Genelgesi’nin gereklerinin ve bilişime mahsus ihtiyaçları karşılayacak diğer maddelerin eklenmesi gerekmektedir.
“Tedarikçinin kuruluşun varlıklarına erişimi ile ilgili riskleri azaltmak için bilgi güvenliği gereksinimleri tedarikçi ile kararlaştırılmalı ve yazılı hale getirilmelidir (…)
Kuruluş, politikada özellikle kuruluşun bilgilerine erişen tedarikçileri ele alarak bilgi güvenliği kontrollerini tanımlamalı ve zorlamalıdır.”
Aynı standartta “Tedarikçi hizmetlerini izleme ve gözden geçirme” başlığı altında tanımlanan 15.2.1 numaralı kontrol şu şekildedir:
“Kuruluşlar, düzenli aralıklarla tedarikçi hizmet sunumunu izlemeli, gözden geçirmeli ve tetkik etmelidir.”
İlgili düzenlemelerde tanımlandığı şekilde dış tedariklerde Kurum, kendisine ve kullanıcılarına ait bilgilerin güvenliğinin sağlanması için gerekli tüm tedbirleri almakla yükümlüdür. Dış tedarik sürecinde bilgi varlıklarının bu şekilde korunması, tedarik edilen bilişim hizmetleri kapsamında kullanılan, yükleniciye ait tüm sistem ve süreçlerin, Kurum tarafından belirlenmiş risk yönetimi, güvenlik ve gizliliğe ilişkin ilkelere uygunluğunun sağlanmasını gerektirir. Yani yüklenicinin Kurum’un bilgi güvenliği kurallarına uyması temin edilmeli ve bu uygunluğun sağlanıp sağlanmadığı Kurum tarafından denetlenmelidir.
İlgili düzenlemelerde tanımlandığı şekilde dış tedariklerde Kurum, kendisine ve kullanıcılarına ait bilgilerin güvenliğinin sağlanması için gerekli tüm tedbirleri almakla yükümlüdür. Dış tedarik sürecinde bilgi varlıklarının bu şekilde korunması, tedarik edilen bilişim hizmetleri kapsamında kullanılan, yükleniciye ait tüm sistem ve süreçlerin, Kurum tarafından belirlenmiş risk yönetimi, güvenlik ve gizliliğe ilişkin ilkelere uygunluğunun sağlanmasını gerektirir. Yani yüklenicinin Kurum’un bilgi güvenliği kurallarına uyması temin edilmeli ve bu uygunluğun sağlanıp sağlanmadığı Kurum tarafından denetlenmelidir.
Kurumda yapılan inceleme sonucunda, dış tedarik yoluyla alınan bilişim hizmetlerine ilişkin sözleşme ve şartnamelerde bilgi güvenliğine ilişkin hususlara yer verilmediği görülmüştür. Söz konusu hizmet alımlarında Kurum ile yükleniciler arasında çeşitli formatlarda gizlilik taahhütnameleri hazırlandığı, ancak bu belgelerle alım işlerini düzenleyen ana sözleşmeler arasında hukuki bağlantı kurulmadığı görülmüştür. Ayrıca mevcut gizlilik taahhütnameleri çok dar bir çerçevede hazırlanmış olup, kurum bilgi varlıklarını korumak için yeterli kapsamda bulunmamaktadır.” İfadeleri raporda yerini aldı.
Bir başka alt bulguda ise sözleşme konusu hizmetlere ilişkin gerekli güvenlik taahhütlerinin alınmamasına dikkat çekilirken, “kurum tarafından dış tedarik yöntemiyle temin edilen bilişim hizmetlerine ilişkin olarak, mevzuatta öngörülen güvenlik taahhütlerinin alınmadığı, söz konusu hizmet alımlarına ilişkin sözleşmelerde de bu hususun düzenlenmemiş olduğu görülmüştür” denildi.
ORANTILI ŞEKİLDE HİZMETİ YÜRÜTEN YÜKLENİCİLERE BAĞIMLILIK OLUŞTUĞU GÖZLENDİ
Bulgularda dikkat çeken bir diğer başlık ise dış tedarikle yürütülen bilişim hizmetlerinde tedarikçilere bağımlı olma riskinin bulunması oldu. Raporda, kurum tarafından hizmet alımı yöntemiyle yürütülen bilişim hizmetlerinde, söz konusu hizmetlerin kritikliği ile doğru orantılı şekilde hizmeti yürüten yüklenicilere bağımlılık oluştuğu gözlendiği belirtildi. Yükleniciler, verdikleri hizmetlerin sürekliliğinin tek güvencesi haline gelmekte; yüklenici değiştirilmesi ise çok sorun çıkaran, uzun süren, kullanıcı memnuniyetsizliğini artıran bir işlem olarak görüldüğünden hizmetlerde değişiklik yapılmaması tercih edildiğinin altı çizildi. Bu sebeple, yükleniciler tarafından tedarik edilen bilişim hizmetleri uzun yıllar boyunca aynı yüklenicilerle Bakım ve Destek Anlaşmaları yapılarak devam ettirildiği belirtildi.
KURUMUN DAHA FAZLA SÖZ SAHİBİ OLMASINA SICAK BAKMAMAKTADIR
“Bu bağımlılık ilişkisinin, sözleşmelerin müzakeresinde Kurumu güç durumda bıraktığı, bilgi güvenliği ile ilgili hususların kabul ettirilmesini güçleştirdiği gözlenmiştir. Çok sayıda kuruma hizmet veren yükleniciler, kendilerinin bilgi güvenliği ile ilgili yükümlülüklerinin artmasına ve ilgili verilerin yönetiminde Kurumun daha fazla söz sahibi olmasına sıcak bakmamaktadır. Bu durum bilgi işlem birimini, hizmetin sürekliliği ile bilgi varlıklarının korunması yükümlülüğünün yerine getirilmesi arasında seçim yapmak durumunda bırakmaktadır. Sonuç olarak, Kurumun dış tedarik yoluyla yürütülen bilişim hizmetlerine ait sözleşmelerde ve eklerinde şu hususlara yer verilmediği tespit edilmiştir:
*Yüklenicilerin sözleşme süresinde ve sonrasında geçerli olan bilgi güvenliği sorumlulukları net bir şekilde tanımlanmamıştır.
*Yüklenicilere ait bilişim sistem ve süreçlerinin, Kurumun kendi bilgi güvenliği ilkelerine uygun şekilde işletilmesini sağlayacak, Yüklenici tarafından uygulanması gereken ilkeler tanımlanmamıştır.
*Yüklenicilerin Kurum bilişim varlıklarına erişiminin nasıl yönetileceği ve izleneceği tanımlanmamıştır.
* Yüklenici ve personeli tarafından kullanılabilecek erişim türleri (uzaktan erişim vb.), erişilecek verinin kritiklik derecesi ve erişimin bilgi güvenliği üzerindeki etkileri tanımlanmamıştır.
* Yükleniciler tarafından erişilen gizli veya kişisel nitelikteki verilerin gizliliğinin ve güvenliğinin nasıl korunacağı belirlenmemiştir.
*Yüklenici personelinin işten ayrılması veya sözleşme kapsamındaki hizmetin sonlanması durumunda yüklenici personelinin erişim haklarının iptal edilme süreci tanımlanmamıştır
* Bilgi güvenliğine ilişkin olarak yüklenici bünyesinde yürütülen işler ve alınan tedbirler üzerinde Kurumun denetim/ gözden geçirme hakkı ve bu hakkın nasıl kullanılacağı tanımlanmamıştır.
* Sözleşme konusu yazılım ve donanımların güvenlik zafiyeti içermediğine ilişkin taahhüt alınmamıştır.
*Kurumun tedarikçilerle ilişkisinde bağımlılık riskinin nasıl yönetileceği belirlenmemiştir.
Kamu İdaresi tarafından gönderilen cevapta, bulguda belirtilen eksiklerin giderilmesi amacıyla 2022 yılından itibaren bir personel görevlendirildiği, analizlere ve iyileştirme çalışmalarına başlandığı, dış tedarik sözleşmelerindeki güvenlik tedbirlerinin en üst seviyeye çıkarılarak sözleşmelerin yenileneceği, tedarikçi firmalardan güvenlik taahhütlerinin talep edildiği belirtilmiştir.
Kurum tarafından hizmet alımı yöntemiyle yürütülen bilişim hizmetlerine ilişkin olarak yürürlükte olan sözleşmelerin, bilgi güvenliğini temin edecek ve yukarıda belirlenen hususları da içerecek şekilde tadil edilmesi ve yeni sözleşmelerin bu hususları karşılayacak şekilde tanzim edilmesi gerekmektedir.”
YÖNETİŞİM KONTROLLERİNİN YETERSİZLİĞİ
Raporda ayrıca bilişim sistemleri yönetişim kontrollerinin yetersiz olduğuna dikkat çekildi. Kurum üst yönetimiyle bilişim sistemlerini yöneten birim arasındaki ilişkinin, orta ve uzun vadeli stratejiler ve planlar çerçevesinde yürütülmesinde, gözetim ve denetiminin yapılmasında yetersizlik olduğu gözlemlendiği belirtildi.
Bulguda ayrıca şu ifadelere yer verildi;
“İç kontrol özetle, idarenin sağlıklı çalışmasını etkileme ihtimali olan risklerin tanımlanması ve bu riskleri ortadan kaldıracak eylem ve süreçlerin oluşturulmasıdır. Kurumların faaliyetlerinin büyük ölçüde bilişim sistemleri desteğiyle yürütülmesi sebebiyle günümüzde iç kontrollerin önemli bir kısmının bilişim ortamında oluşturulması gerekmektedir. Nitekim Maliye Bakanlığı tarafından 5018 sayılı Kanuna dayanılarak 2007 yılında yayınlanan Kamu İç Kontrol Standartları Tebliği'nde bu husus standarda bağlanmıştır. Tebliğde yer alan 12 numaralı "Bilgi sistemleri kontrolleri" standardında, idarelerin, bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlamak için gerekli kontrol mekanizmalarını geliştirmeleri gerektiği vurgulanmış ve “İdareler bilişim yönetişimini sağlayacak mekanizmalar geliştirmelidir” denilmiştir.
Bilişim sistemleri kontrolleri arasında yer alan yönetişim kontrollerinin amacı, güvenli ve yeterli bir bilişim ortamının sağlanması için kurumsal strateji ve amaçlara uygun yönetim, karar alma, yönlendirme ve izleme mekanizmalarının oluşturulmasını sağlamaktır. Bu kontroller kuruma, alt düzeydeki ayrıntılı kontrollerin varlığı ve etkinliği konusunda makul bir güvence sağlar.
Etkin bir bilişim sistemleri yönetişim yapısının kurulması; kurumun stratejik hedeflerine ulaşmasını, paydaş ihtiyaçlarına uygun ürünler ortaya çıkarmasını, bilişim sistemleri ile ilgili riskleri yönetmesini, kaynakları daha etkin kullanmasını, bilgi güvenliği gereklerine ve yasal mevzuata uygun çalışmasını destekler.
Yürütülen denetim çerçevesinde iç kontrollerin etkinliği değerlendirilirken bilişim sistemleri kontrolleri incelenmiş, Kurumda bilişim sistemlerinin geliştirilmesi ve güvenliğe kavuşturulması amacıyla kapsamlı ve yetkin çalışmalar yürütüldüğü, ancak yönetişim alanında kurulan kontrollerin yetersiz olduğu görülmüştür.
Kurumda Yazılı ve Müstakil Bir Bilişim Sistemleri Stratejisinin Oluşturulmaması;
Kurum bilişim sistemlerine ilişkin çalışmaların üst yönetim tarafından planlanmasını, yönlendirilmesini ve izlemesini öngören kontrollerin zayıf olduğu görülmüştür.
e-Devlet Hizmetlerinin Yürütülmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik'in “Kamu kurum ve kuruluşlarının görev ve sorumlulukları” başlıklı 7'nci maddesinde, kamu kurum ve kuruluşlarının bilişim stratejileri hazırlaması gerektiği şu şekilde ifade edilmiştir:
“b) Kamu kurum ve kuruluşları, ulusal stratejiler ve planlar ile mevcut kurumsal stratejik planlarıyla uyumlu, kurumun e-Devlet hizmetleri sunumu amacıyla yapacakları yatırım, teknoloji tercihleri, kurumsal kapasite, tasarruf planları, fayda-maliyet, iş planı gibi unsurları kapsayacak bilişim stratejilerini hazırlar.”
Kurumun bilişim sistemleri ile ilgili hedefler, yatırımlar ve eylemler müstakil bir plan ile yönetilmediğinden, bunların kurumun ana stratejisi ve amaçları ile ne derecede uyumlu olduğunun Kurum üst yönetimi tarafından izlenmesinin oldukça güç olduğu gözlenmiştir.
Kurumun, üst yönetimin ve ilgili paydaş birimlerin katılımıyla yazılı ve müstakil bir bilişim sistemleri stratejisi oluşturması gerekmektedir.
Bilişim Sistemlerine İlişkin Planlama, Koordinasyon ve İzlemenin Sağlanmasına Yönelik Kurumsal Bir Mekanizmanın Bulunmaması;
“Kurum üst yönetiminin, bilişim sistemlerine ilişkin planlama, koordinasyon ve izleme faaliyetlerine etkin olarak katılmasını sağlayacak kurumsal süreç ve yapıların oluşturulmadığı görülmüştür.
Bilişim faaliyetlerinin geleceğinin planlanması, bu faaliyetlerin başarısı için gerekli kurum içi koordinasyonun temin edilmesi ve faaliyet sonuçlarının izlenmesi faaliyetleri büyük ölçüde Bilgi İşlem Daire Başkanlığına bırakılmış durumdadır. Ancak bilgi işlem biriminin organizasyon yapısı içindeki yeri, birime devredilmiş olan yetkiler, birim bütçesi ve personel sayısı söz konusu faaliyetlerin yerine getirilmesi için yeterli bulunmamaktadır.
Kurum bilişim sistemlerinin yönetişimini sağlamak üst yönetimin sorumluluğundadır. Bazı kurumlarda üst yönetim, söz konusu yönetişimi sağlamak amacıyla müstakil yönlendirme kurulları veya eşdeğer yapılar oluşturmaktadır.
Ancak, yapılan incelemede Kurum üst yönetiminin bilişim sistemleri ile ilgili kararlara katılımının; görevlendirmelerin yapılması, bütçelerin ve satın alma süreçlerinin onaylanması ve genel çalışma çerçevesini belirleyen iç düzenlemelerin yapılması gibi faaliyetlerle sınırlı kaldığı görülmüştür. Bilişim ile ilgili kararlarda üst yönetimi, bilişim sistemleri yöneticilerini ve bilişim sistemlerinden doğrudan etkilenen önemli birimlerin yöneticilerini (paydaşları) bir araya getiren organ, kurul ve mekanizmalar ihdas edilmemiştir. Bu sebeple esasen, Kurum üst yönetimi, bilişim sistemlerinin yönetimiyle ilgili temel nitelikli kararların mahiyetini ve etkilerini kavrama ve bu kararları yönetme imkânına sahip bulunmamaktadır.
Kamu İdaresi tarafından gönderilen cevapta, Enstitü bilişim sistemlerinin temini, geliştirilmesi ve güvenliğe kavuşturulması için Bilgi İşlem Daire Başkanlığı tarafından her yılın başında kurum genelinde ihtiyaçların birimlerden toplanarak konsolide edildiği, ortaya çıkan taleplerin üst yönetiminin değerlendirmesine sunulduğu ve öncelik sırasının belirlendiği ifade edilmiştir. Kurumda yazılı ve müstakil bir bilişim sistemleri stratejisinin oluşturulmamasına ilişkin olarak, bilişim sistemleri yatırım ve eylemlerinin Stratejik Plan çerçevesinde belirlendiği belirtilmiştir. Bilişim sistemlerine ilişkin planlama, koordinasyon ve izlemenin sağlanmasına yönelik kurumsal bir mekanizmanın bulunmaması hakkında, Enstitü bünyesinde bilgisayar donanım ve yazılım taleplerinin her yıl başında birimlerden toplanan bilgilerin üst yönetime sunulduğu belirtilmiştir
Ancak bulguda eksikliği tenkit edilen husus, Bilgi İşlem Daire Başkanlığı tarafından yerine getirilen faaliyetlerin üst yönetim tarafından onaylanmasından ibaret bulunmamaktadır. Bu eksikliğin giderilebilmesi için, kurum üst yönetiminin, bilişim sistemleriyle ilgili temel kararların alınması sürecine katılmasını, alınan kararların yürütülmesi sürecinde koordinasyonu sağlamasını ve sonuçları izlemesini temin edecek kurumsal mekanizma ve süreçlerin oluşturması gerekmektedir.
Sonuç olarak, bilişim sistemlerinin Kurum amaçlarına uygun çalışmasını ve işlevlerini doğru bir şekilde yerine getirmesini sağlayacak etkin bir bilişim sistemleri yönetişim yapısının oluşturması, bu amaçla bilişim sistemlerine ilişkin planlama süreçlerinin ve yönetişim mekanizmalarının ihdas edilmesi gerekmektedir.”
Künye
İletişim
Facebook
Twitter
Google+
RSS
Sitene Ekle
Günün Haberleri