Karar Künyesi
Kurumda hizmet alımı yöntemiyle tedarik edilen bilişim hizmetlerine ilişkin olarak imzalanan sözleşmelerde yer verilen hükümlerin bilgi güvenliğini temin etmek için yeterli olmadığı tespit edilmiştir.
Bilgi işlem varlıklarını ilgilendiren ve dış tedarik yoluyla alınan hizmetlerde, yükleniciler tarafından erişilebilen kurumsal bilgi varlıklarının korunması büyük önem taşımaktadır. Kurum, kendi birimleri tarafından yürütülen hizmetlerde, bilgi varlıklarını korumak amacıyla kurallar koyabilmekte ve uygulamayı izleyerek denetleyebilmektedir. Bu hizmetlerin yükleniciler tarafından yerine getirilmesi durumunda ise aynı güvenceleri sağlayabilmek için bu faaliyetler üzerinde özel kontroller tesis edilmesi, bu amaçla da
sözleşmelere özel hükümler konması gerekmektedir. Bu hususlar ilgili mevzuat ve standartlarda tanımlanmıştır.
Sözleşmelerde bilgi güvenliğine ilişkin hususların tanımlanmaması
Kurum tarafından yapılan sözleşmelerin, ilgili mevzuatta öngörülen, kurum bilgi varlıklarını güvence altına almak için gereken hükümleri içermediği görülmüştür.
2019/12 sayılı, “Bilgi ve İletişim Güvenliği Tedbirleri” konulu Cumhurbaşkanlığı Genelgesi ve Genelge çerçevesinde kamu kurumları tarafından uygulanması gereken hususları tanzim eden Bilgi ve İletişim Güvenliği Rehberi, bilişime ilişkin sözleşmelerin nasıl hazırlanması gerektiğini açıklamıştır.
Söz konusu genelgede, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda hazırlanan “Bilgi ve İletişim Güvenliği Rehberi” ile ilgili olarak şu ifadeye yer verilmiştir:
“…Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen usul ve esaslara uyulması zorunludur…”
Bahse konu Bilgi ve İletişim Güvenliği Rehberi’nde yüklenicilerle yapılacak sözleşmelerde yer verilmesi gereken tedbirler farklı maddelerde şu şekilde tanımlanmıştır.
“3.5.1. Genel Güvenlik Tedbirleri.
3.5.1.4. Sözleşmelerde Bilgi Güvenliği Hususlarının Yer Alması: Personel ve yüklenicilerin kurum varlıklarına erişimi sağlanmadan önce, kendileriyle yapılan sözleşmelerde bilgi güvenliği sorumlulukları belirtilmelidir.
3.5.1.8. İstihdam Sorumluluklarının Sonlandırılması veya Değiştirilmesi: İstihdam sorumlulukları değişen personel/yükleniciye yeni bilgi güvenliği sorumlulukları ve görevleri; istihdamı sonlandırılan personel/yükleniciye ise istihdamın sona ermesinden sonra devam edecek bilgi güvenliği sorumlulukları bildirilmelidir.
Tedarikçi İlişkileri Güvenliği
Tedarikçi İlişkilerinde Bilgi Güvenliği Politikasının Tanımlanması: Tedarikçiler tarafından erişilen kurum varlıklarının korunmasını sağlamak, tedarikçilerin
kurumun bilgi varlıklarına erişimi ile ilgili riskleri azaltmak ve bilgi güvenliği gereksinimlerini karşılamak amacıyla politika tanımlanmalı ve uygulanmalıdır.
3.5.3.3. Tedarikçi Sözleşmelerinde Bilgi Güvenliğinin Ele Alınması: Kurum varlıklarına erişebilen, işletebilen, depolayabilen, iletebilen veya kurumun bilgi teknolojileri altyapı bileşenlerini temin eden tedarikçilerin her biri ile yapılacak sözleşmelere bilgi güvenliği gereksinimleri eklenmelidir.”
Ancak, Kurumda yapılan incelemede, bilişim hizmetlerine ilişkin sözleşmelerde, gizlilik konusuna atıf yapan soyut maddelerin bulunduğu, ancak bilgi güvenliğinin nasıl sağlanacağını ortaya koyan hükümlere yer verilmemiş olduğu görülmüştür.
Bilişim hizmetleri ile ilgili sözleşmelerde kullanılan çerçevenin kurum ile tedarikçi ilişkilerinde bilgi varlıklarını korumak için yetersiz kalması
Kurum tarafından yapılan sözleşmelerde Hizmet Alımlarına Ait Tip Sözleşme şablonunun kullanıldığı, ancak bu şablonun bilişim hizmetlerinin tanzimi için yeterli çerçeveyi içermediği görülmüştür.
Hizmet İşleri Genel Şartnamesi’nin “Gizlilik” başlığını taşıyan 13’üncü maddesi şu şekildedir:
“Yüklenici, işle ilgili olarak elde ettiği her tür bilgi ve dokümanı özel ve gizli tutacak ve idarenin önceden yazılı izni olmaksızın sözleşmeye ait herhangi bir detayı ifşa etmeyecek veya yayınlamayacaktır. Türk yargı mercilerinin kararları saklı kalmak kaydıyla, sözleşmenin amaçları doğrultusunda herhangi bir ifşa veya yayınlama gerekliliği konusunda bir uzlaşmazlık ortaya çıkarsa idarenin bu konudaki kararı nihai olacaktır. Gizlilik yükümlülüğü, sözleşmenin herhangi bir nedenle sona ermesinden sonra da devam eder.”
Söz konusu şartnamenin “Kontrol teşkilatı ve yetkileri” başlığını taşıyan 26’ncı maddesinde şu ifadeye yer verilmiştir:
“Sözleşmeye bağlanan her türlü iş, idare tarafından görevlendirilen kontrol teşkilatının denetimi altında, yüklenici tarafından yönetilir ve gerçekleştirilir.”
Hizmet Alımlarına Ait Tip Sözleşme’nin “Kontrol Teşkilatı, görev ve yetkileri” başlığını taşıyan 18’inci maddesi şu şekilde tanzim edilmiştir:
“İşin, sözleşme ve eklerine uygun olarak yürütülüp yürütülmediği İdare tarafından görevlendirilen Kontrol Teşkilatı aracılığıyla denetlenir. Kontrol Teşkilatı, Genel Şartnamenin Dördüncü Bölümünde belirtilen yetkileri kullanır ve görevleri yerine getirir”
Yukarıda belirtilen, kurumların satın alma süreçlerinde kullandıkları ve genel amaçlarla geliştirilmiş sözleşme ve şartnamelerde yer alan ifadeler, bilgi güvenliğinin temini için yeterli bulunmamakta ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesinin gereklerini karşılamamaktadır. Örneğin, yükleniciye ait olan ve sözleşme konusu hizmetlerde kullanılan bilişim sistemlerinin Kurum tarafından denetimine izin veren açık bir sözleşme hükmü bulunmadıkça, Kurum kontrol teşkilatının bu tür bir denetimi yapmasına yüklenicinin rıza göstermesi beklenmemektedir.
Bu sebeple dış tedarik yoluyla alınan bilişim hizmetlerine ilişkin sözleşmelerde, Hizmet Alımlarına Ait Tip Sözleşme’nin birebir kopyalanması ile yetinilmemelidir. Bu sözleşmelerde kamu menfaatlerinin korunması amacıyla ek düzenlemeler yapılmasına ihtiyaç bulunmaktadır. Genel sözleşme ve şartname şablonlarında yer alan gizlilik, gözden geçirme ve kontrol teşkilatı ile ilgili hususlara ek olarak, sözleşmelere, 2019/12 sayılı Cumhurbaşkanlığı Genelgesi’nin gereklerinin ve bilişime mahsus ihtiyaçları karşılayacak diğer maddelerin eklenmesi gerekmektedir.
Türk Standartları Enstitüsü tarafından kabul edilmiş olan 27002 sayılı “Bilgi teknolojisi
- Güvenlik teknikleri” standardı, tedarikçilerle ilişkilerin ne şekilde tanzim edilmesi gerektiğini belirlemektedir. Söz konusu standartta “Tedarikçi ilişkileri için bilgi güvenliği politikası” başlığını taşıyan 15.1.1 numaralı kontrol şu şekilde tanımlanmıştır:
“Tedarikçinin kuruluşun varlıklarına erişimi ile ilgili riskleri azaltmak için bilgi güvenliği gereksinimleri tedarikçi ile kararlaştırılmalı ve yazılı hale getirilmelidir (…)
Kuruluş, politikada özellikle kuruluşun bilgilerine erişen tedarikçileri ele alarak bilgi güvenliği kontrollerini tanımlamalı ve zorlamalıdır.”
Aynı standartta “Tedarikçi hizmetlerini izleme ve gözden geçirme” başlığı altında tanımlanan 15.2.1 numaralı kontrol şu şekildedir:
“Kuruluşlar, düzenli aralıklarla tedarikçi hizmet sunumunu izlemeli, gözden geçirmeli ve tetkik etmelidir.”
İlgili düzenlemelerde tanımlandığı şekilde dış tedariklerde Kurum, kendisine ve kullanıcılarına ait bilgilerin güvenliğinin sağlanması için gerekli tüm tedbirleri almakla yükümlüdür. Dış tedarik sürecinde bilgi varlıklarının bu şekilde korunması, tedarik edilen bilişim hizmetleri kapsamında kullanılan, yükleniciye ait tüm sistem ve süreçlerin, Kurum tarafından belirlenmiş risk yönetimi, güvenlik ve gizliliğe ilişkin ilkelere uygunluğunun sağlanmasını gerektirir. Yani yüklenicinin Kurum’un bilgi güvenliği kurallarına uyması temin edilmeli ve bu uygunluğun sağlanıp sağlanmadığı Kurum tarafından denetlenmelidir.
Bu amaçla, yüklenicilerin Kurum verilerine erişim sağlamasını gerektiren bilişim hizmetleri ile ilgili bilgi güvenliği çerçevesinin sözleşme ve şartnamelerde açıkça tanımlanması gereklidir. Yüklenicilere verilecek, bilişim sistemlerine erişim yetkileri, işin gerektirdiği bilgiyi kapsayacak şekilde sınırlandırılmalı, sözleşmeler de buna uygun şekilde tanzim edilmelidir.
Kurumda yapılan inceleme sonucunda, dış tedarik yoluyla alınan bilişim hizmetlerine ilişkin sözleşme ve şartnamelerde bilgi güvenliğine ilişkin hususlara yer verilmediği görülmüştür. Söz konusu hizmet alımlarında Kurum ile yükleniciler arasında çeşitli formatlarda gizlilik taahhütnameleri hazırlandığı, ancak bu belgelerle alım işlerini düzenleyen ana sözleşmeler arasında hukuki bağlantı kurulmadığı görülmüştür. Ayrıca mevcut gizlilik taahhütnameleri çok dar bir çerçevede hazırlanmış olup, kurum bilgi varlıklarını korumak için yeterli kapsamda bulunmamaktadır.
Sözleşme konusu hizmetlere ilişkin gerekli güvenlik taahhütlerinin alınmaması
2019/12 sayılı Cumhurbaşkanlığı Genelgesi’nin 12’nci maddesi şu şekildedir:
“Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır.”
Kurum tarafından dış tedarik yöntemiyle temin edilen bilişim hizmetlerine ilişkin olarak, mevzuatta öngörülen güvenlik taahhütlerinin alınmadığı, söz konusu hizmet alımlarına ilişkin sözleşmelerde de bu hususun düzenlenmemiş olduğu görülmüştür.
Ç. Dış tedarikle yürütülen bilişim hizmetlerinde tedarikçilere bağımlı olma riskinin bulunması
Kurum tarafından hizmet alımı yöntemiyle yürütülen bilişim hizmetlerinde, söz konusu hizmetlerin kritikliği ile doğru orantılı şekilde hizmeti yürüten yüklenicilere bağımlılık oluştuğu gözlenmiştir. Yükleniciler, verdikleri hizmetlerin sürekliliğinin tek güvencesi haline gelmekte; yüklenici değiştirilmesi ise çok sorun çıkaran, uzun süren, kullanıcı memnuniyetsizliğini artıran bir işlem olarak görüldüğünden hizmetlerde değişiklik yapılmaması tercih edilmektedir. Bu sebeple, yükleniciler tarafından tedarik edilen bilişim hizmetleri uzun yıllar boyunca aynı yüklenicilerle Bakım ve Destek Anlaşmaları yapılarak devam ettirilmektedir.
Bu bağımlılık ilişkisinin, sözleşmelerin müzakeresinde Kurumu güç durumda bıraktığı, bilgi güvenliği ile ilgili hususların kabul ettirilmesini güçleştirdiği gözlenmiştir. Çok sayıda kuruma hizmet veren yükleniciler, kendilerinin bilgi güvenliği ile ilgili yükümlülüklerinin artmasına ve ilgili verilerin yönetiminde Kurumun daha fazla söz sahibi olmasına sıcak bakmamaktadır. Bu durum bilgi işlem birimini, hizmetin sürekliliği ile bilgi varlıklarının korunması yükümlülüğünün yerine getirilmesi arasında seçim yapmak durumunda bırakmaktadır.
Sonuç olarak, Kurumun dış tedarik yoluyla yürütülen bilişim hizmetlerine ait sözleşmelerde ve eklerinde şu hususlara yer verilmediği tespit edilmiştir:
Yüklenicilerin sözleşme süresinde ve sonrasında geçerli olan bilgi güvenliği sorumlulukları net bir şekilde tanımlanmamıştır.
Yüklenicilere ait bilişim sistem ve süreçlerinin, Kurumun kendi bilgi güvenliği ilkelerine uygun şekilde işletilmesini sağlayacak, Yüklenici tarafından uygulanması gereken ilkeler tanımlanmamıştır.
Yüklenicilerin Kurum bilişim varlıklarına erişiminin nasıl yönetileceği ve izleneceği tanımlanmamıştır.
Yüklenici ve personeli tarafından kullanılabilecek erişim türleri (uzaktan erişim vb.), erişilecek verinin kritiklik derecesi ve erişimin bilgi güvenliği üzerindeki etkileri tanımlanmamıştır.
Yükleniciler tarafından erişilen gizli veya kişisel nitelikteki verilerin gizliliğinin ve güvenliğinin nasıl korunacağı belirlenmemiştir.
Yüklenici personelinin işten ayrılması veya sözleşme kapsamındaki hizmetin sonlanması durumunda yüklenici personelinin erişim haklarının iptal edilme süreci tanımlanmamıştır.
Bilgi güvenliğine ilişkin olarak yüklenici bünyesinde yürütülen işler ve alınan tedbirler üzerinde Kurumun denetim/ gözden geçirme hakkı ve bu hakkın nasıl kullanılacağı tanımlanmamıştır.
Sözleşme konusu yazılım ve donanımların güvenlik zafiyeti içermediğine ilişkin taahhüt alınmamıştır.
Kurumun tedarikçilerle ilişkisinde bağımlılık riskinin nasıl yönetileceği belirlenmemiştir.
Kamu İdaresi tarafından gönderilen cevapta, nitelikli personel eksikliği sebebiyle dış tedarikle yürütülen bilişim hizmetleri üzerinde detaylı çalışma yapılamadığı, ancak bir personelin tam zamanlı görevlendirilmesi suretiyle ilgili tüm sözleşmelerin 2022 yılında revize edilmesi ve gizlilik sözleşmelerinin tamamlanması için çalışmalara başlandığı, bu çerçevede ilgili hizmetleri yürüten yüklenicilere olan bağımlılığın azaltılması için tedbirlerin alınacağı ifade edilmiştir.
Kurum tarafından hizmet alımı yöntemiyle yürütülen bilişim hizmetlerine ilişkin olarak yürürlükte olan sözleşmelerin, bilgi güvenliğini temin edecek ve yukarıda belirlenen hususları da içerecek şekilde tadil edilmesi ve yeni sözleşmelerin bu hususları karşılayacak şekilde tanzim edilmesi gerekmektedir.