Her kurum kendi mesaj programını geliştirebilecek

Dijital Dönüşüm Ofisi tarafından hazırlanan ve Milliyet’in “Kamuya WhatsApp yasağı” başlığıyla duyurduğu “Bilgi ve İletişim Güvenliği Rehberi”nde, yerli mesajlaşma programlarının detaylarına da yer verildi.

15 ay süre verildi

Uygulanması zorunlu olan rehbere göre, kamu kurumları sunucuları yurt dışında olan mesajlaşma uygulamaları üzerinden bilgi paylaşımı yapamayacak. Sunucuları Türkiye’de olan mesajlaşma programları tercih edilecek. Rehbere göre kurumlar, kendileri de yerli bir mesajlaşma programı geliştirebilecek. Bunun için kurumlara 15 ay süre verildi. Yerli ve milli mesajlaşma programları için ise rehberde şu detaylara yer verildi:

Kimlik doğrulaması yapılmış, kritik veri ya da işlevler içeren tüm bağlantılar “SSL/TLS protokolünün” bilinen zafiyet içermeyen güvenilir sürümü ile yapılmalıdır. Sertifikalarda ve sertifikanın tüm hiyerarşisinde ulusal ve/veya uluslararası otoriteler tarafından güvenli olarak kabul görmüş güçlü algoritmalar ve protokoller kullanılmalıdır.

Kurumsal haberleşme amacıyla sunucuları kurum kontrolünde olan mesajlaşma uygulamaları kullanılmalıdır. Mesajlaşma uygulamasının iletim katmanı güvenliği, bilinen zafiyetleri olmayan, güncel bir SSL/TLS sürümü ile sağlanmalıdır ve uygulamada “SSL Pinning” kullanılmalıdır.

Uygulama birden fazla mobil cihaz üzerinde eş zamanlı olarak çalışmamalıdır. Hesaba farklı bir mobil cihazdan giriş yapılmak istendiğinde kullanıcı kimlik doğrulamaya zorlanmalı, başarılı kimlik doğrulama sonrası uygulama sadece yeni giriş yapılan cihaz üzerinde kullanılabilmelidir.

Uygulamadan gönderilen tüm mesajlar ve uygulama kullanılarak yapılan tüm sesli ve görüntülü aramalar uçtan uca şifrelenmelidir.

Uygulama cihaz üzerinde sakladığı tüm veriyi şifreli olarak tutmalıdır.

Kritik veri içeren her türlü sesli, yazılı ve görüntülü haberleşme uygulamalarında, kaynak kodları kurum tarafından talep edildiğinde denetlenebilen, işletmesi ve yönetimi yerel olarak yapılabilen yerli ve milli uygulamalar tercih edilmelidir.

Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmeler tarafından, Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci’nin ve tanımlanan güvenlik tedbirlerinin uyum planı çerçevesinde ele alınması gerekmektedir.

Dijital Dönüşüm Ofisi açıklaması:

Tedbir kurumsal haberleşmeye yönelik

Milliyet’te dün yer alan “Kamuda WhatsApp yasağı” haberinde “Özel hayatında programları kullanabilecek, kamu işlemlerinde kullanamayacak” ifadelerine rağmen bazı sosyal medya kullanıcıları ve internet sitelerinde “WhatsApp’ın tamamen yasaklandığı” şeklinde haberleştirildi. Dijital Dönüşüm Ofisi bunun üzerine açıklama yaptı. Açıklamada, “Yabancı menşeli mesajlaşma uygulamalarının kullanımına ilişkin tedbir maddesi, sadece gizlilik içeren kurumsal haberleşme ve belge paylaşımına yöneliktir. Anılan tedbir maddesi ile kamu personelinin kişisel haberleşmelerde kullandığı anlık mesajlaşma uygulamalarına yönelik herhangi bir düzenleme ve kısıtlama bulunmamaktadır. Tedbir maddeleri kamu kurumları ve kritik altyapı hizmeti veren işletmeleri kapsamakta, kişilerin haberleşme hürriyetine müdahale edecek herhangi bir içerik barındırmamaktadır” denildi.  ANKARA Milliyet