Siber Güvenlik Kanunu Teklifi Meclis’ten Geçti: Veri Sızıntısını Haberleştirmeye Ceza Mı Geliyor? Özel Yaşamın Saklılığı Hedefte Mi?

Kanun teklifi, 8 Ocak'ta Cumhurbaşkanlığı Karanamesi ile kurulan Siber Güvenlik Başkanlığı'nın misyonlarını tanımlanıyor.

Teklifle kamu kurumları ile kritik altyapı kuruluşlarının "siber mukavemet ve siber olgunluk düzeyinin artırılması" hedefleniyor.

BBC Türkçe'de yer alan habere göre, İktidar, bu yolla "siber güvenlik altyapısının yeni bir lige taşınacağını" söylüyor.

Gazeteciler ve hak savunucuları ise kanun teklifindeki bazı tabirlerin muğlak ve ifade özgürlüğünü kısıtlayıcı olduğunu savunuyor.

İfade Özgürlüğü Derneği (IFÖD) teklifin "yasal teminattan mahrum, keyfi uygulamalara yol açabilecek ve denetlenemeyen bir sistem" yaratacağı uyarısında bulundu.

CHP'li Tanrıkulu'ndan "Siber Güvenlik" teklifine tepki: Bu yasanın özel yaşama müdahale etmenin yeni bir aracı olarak kullanılacağını görüyoruz

CHP'li Bülbül'den "Siber Güvenlik Kanunu teklifi" açıklaması: İfade özgürlüğünü konut dokunulmazlığını, özel yaşamın kapalılığını hedef alıyor

Siber Güvenlik Başkanlığı ne yapacak?

Kanun teklifinde Türkiye'nin siber güvenlikle ilgili politika ve stratejisini belirlemek üzere bir Siber Güvenlik Kurulu oluşturulması ön görülüyor.

Cumhurbaşkanı Recep Tayyip Erdoğan'ın başkanlık edeceği konseyde çeşitli bakanlar, Milli İstihbarat Teşkilatı Başkanı ve Savunma Sanayii Başkanı ve Siber Güvenlik Başkanı'nın yer alması planlanıyor.

Teklif ayrıca yeni kurulan Siber Güvenlik Başkanlığı'nın görev ve yetkilerini belirliyor.

Başkanlığın, siber tehditlerle mücadele etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşmayla zararlı yazılım inceleme faaliyetlerini yürütmesi öngörülüyor.

Kanun teklifine göre başkanlığın vazifeleri arasında şunlar var:

• Kritik altyapı ve bilişim sistemlerinin siber dayanıklığının artırılması
• Siber taarruzlara karşı korunması
• Zafiyet ve sızma testleri ile varlıklara yönelik risk tahlilleri yapmak veya yaptırmak
• Siber tehdit istihbaratı elde etmek, oluşturmak ve paylaşmak

Ömer İleri mevcut durumda siber güvenlik siyasetlerinin Ulaştırma ve Altyapı Bakanlığı, Sanayi ve Teknoloji Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu, TÜBİTAK, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve birçok farklı kurum arasında dağıldığını hatırlattı.

İleri, Anadolu Ajansı'na yaptığı açıklamalarda bazı kurumların "kendi kısıtlı görev alanlarında" çalışmalarının devam edeceğini, ancak en üst seviyedeki stratejileri ve Siber Güvenlik Başkanlığı'nın belirleyeceğini söyledi.

Hangi yetkiler tartışılıyor?

Siber Güvenlik Başkanlığı'na "kamu kurum ve kuruluşları ile kritik altyapıların" veri envanterleri tutma, bunlara yönelik risk tahlili gerçekleştirme ve "güvenlik tedbirleri" alma yetkisi veriliyor.

Kanunun uygulanmasıyla görevlendirilenlere "yürüttükleri faaliyetlerle sınırlı olarak" elektronik ortamdaki verileri inceleme ve kopyalama, bazı durumlarda konut ve ofislerde arama yapma yetkisi de tanınıyor.

Türkiye Gazeteciler Sendikası (TGS), 16 Ocak'ta yayımladığı bir açıklama ile denetimcilere verilmesi planlanan bu yetkileri eleştirdi.

TGS, uygulamanın gazetecilerin veri güvenliğini ve haber kaynaklarının kapalılığını tehdit ettiğini söyledi, düzenlemenin amacının "halkın haber alma hakkı" olduğunu savundu.

Ömer İleri, kamuda kurum ve kuruluşlarının herhangi bir mahkeme kararına gerek kalmaksızın denetleneceğini, gerçek ve tüzel şahıslarda ise mahkeme kararına tabi bir denetim sistemi olacağını vurguladı.

İleri, zamanlamanın kritik olduğu süreçlerde kurumun, kendi kararı ve talimatıyla kontrolleri hayata geçirebileceğini söyledi.

İleri, bu süreçte mahkeme onayının da kısa süre içerisinde sunulacağını, mahkemenin onay vermemesi durumunda ise sürecin durdurulacağını ifade etti.

Teklifte hangi cezalar öngörülüyor?

Teklifin 16. ve 17. unsurlarında bir takım suçlara yönelik ağır cezai müeyyideler yer alıyor.

Bunların arasında Türkiye'nin "siber uzaydaki milli gücünü meydana getiren unsurlara" siber saldırı düzenleyen ya da bu tür bir saldırı sonucunda elde ettiği verileri paylaşanlara ve satanlara 15 yıla kadar hapis cezası verilmesi de var.

Tasarıda yetkililerin talep ettiği bilgi, belge, donanım, yazılım ve verileri vermeyi reddeden kişi ve kurumlara ise üç yıla kadar hapis ve 1.500 güne kadar adli para cezası verilebileceği yazıyor.

Veri sızıntısı ile ilgili madde neden eleştirildi?

Kanun teklifinde Siber Güvenlik Başkanlığı'nın yetkileri ve cezai müeyyidelerin muğlaklığı haricinde olası siber hücumlara yönelik içeriklere dair bir fıkra tartışma konusu oldu.

TBMM'deki teklif metnine göre 16. Unsur'un 5. Fıkrası şöyle diyor:

"Siber uzayda veri sızıntısı olmadığı halde veri sızıntısı yapılmış gibi bu yönde algı oluşturmak suretiyle kurumları veya şahısları hedef almaya yönelik faaliyet yürütenlere iki yıldan beş yıla kadar hapis cezası verilir."

Türkiye Gazeteciler Sendikası'nın (TGS) konuya ilişkin yazılı açıklamasında "algı oluşturmak" tabirinin komite onay sürecinde "veri sızıntısı yapılmış gibi içerik oluşturma" şeklinde değiştirildiği söylendi.

'Temel hakları ağır şekilde ihlal etme riski taşıyor'

Konuyu BBC Türkçe'ye değerlendiren TGS Ankara Şubesi Başkanı Sinan Tartanoğlu, ifadedeki değişime karşılık ilgili hususun veri sızıntılarına dair haberleri kapsayabileceğini ve bunun ifade özgürlüğü açısından risk teşkil ettiği yorumunu yaptı.

Tartanoğlu, "Maddedeki değişiklik yeterli değil, özü değişmiyor" dedi ve ekledi:

"Doğrudan doğruya 'içerik' dendiği için basın ve ifade özgürlüğü açısından ayakları daha sağlam yere basan bir tehlike haline gelmiş oluyor."

İfade Özgürlüğü Derneği (IFÖD) de açıklamasında "Özellikle yetki alanı tanımlanmamış denetim mercilerinin talimatlarına uymayan bireylerin cezalandırılmasını öngören maddeler, keyfi uygulamalara kapı aralamaktadır" dedi.

Dernek ayrıca "yasa kapsamında belirlenen cezaların ölçüsüzlüğü, hukuk devleti prensibine karşıtlık teşkil etmekte ve bireylerin temel haklarını ağır şekilde ihlal etme riski taşımaktadır" ifadelerini kullandı.