Devleti Hacklemek: İlerleme, Eleştiri ve Federal Siber Güvenlik Ajansı'nın Ulusal Strateji Hakkında Söyledikleri

Latin Amerika'daki farklı siber güvenlik politikalarını karşılaştıran bir raporda , Arjantin'de "stratejilerin iyi tanımlandığı, ancak teknik ve insan kaynağı eksikliğinden dolayı uygulamada zorluklarla karşılaşıldığı" vurgulanıyor. Ayrıca, Temmuz 2024'te Devlet İstihbarat Sekreterliği (SIDE) yörüngesinde oluşturulan bir kuruluş olan Federal Siber Güvenlik Ajansı'na (AFC) daha fazla yetki veren, geçen ay çıkarılan bir başkanlık kararnamesi ile ilgili şüpheler de var.

Sivil toplum örgütü Derechos Digitales tarafından yayımlanan raporda, Latin Amerika'da benimsenen siber güvenlik kamu politikaları kronolojik olarak inceleniyor. En önemli adımlardan biri Şili tarafından Mart 2024'te Siber Güvenlik ve Kritik Bilgi Altyapısı Çerçeve Yasası'nın yürürlüğe girmesiyle atıldı.

Arjantin vakasının analizi, Eylül 2023'te onaylanan sözde İkinci Siber Güvenlik Stratejisi etrafında dönüyor. "AFC'nin kurulmasının ardından siber yönetimi değiştiren 274/2025 sayılı Kararname ile yakın zamanda getirilen değişiklik, bu kuruluş tarafından stratejinin uygulanmasında hak temelli yaklaşımın sürekliliği konusunda belirsizlik yaratıyor," diyor STK'nın eş yönetici direktörü ve çalışmanın yazarı Juan Carlos Lara Clarín'e .

"Stratejinin içeriği normatif ve söylemsel bir ilerlemeyi temsil etse de, pratik uygulaması hakkında önemli şüpheler devam ediyor. Ayrıca, AFC'nin kurulmasının ardından Arjantin örgütlerinin dile getirdiği endişeleri, özellikle de denetim yetkileriyle ilgili endişeleri paylaşıyoruz," diye ekledi.

Arjantin'de bilgi güvenliği ve bilgisayar korsanlığı önemsiz bir sorun değil. Siber saldırıların küresel çapta artması ve suç örgütlerinin altyapısıyla faaliyet gösteren grupların profesyonelleşmesiyle birlikte, son yıllardaki bazı saldırıları hatırlamak yeterli olacaktır: Ulusal Göç Müdürlüğü , Ulusal Senato , PAMI ve Ulusal Menkul Kıymetler Komisyonu, bilgileri şifreleyerek erişilemez hale getiren ve karşılığında fidye talep eden bir kötü amaçlı yazılım olan fidye yazılımının farklı türlerinin kurbanı oldu.

Geçtiğimiz yıl , Renaper veritabanının tamamı sızdırılmış ve milyonlarca Arjantinlinin verileri ifşa edilmiş, ayrıca Telegram kanalında satışa sunulan sürücü belgesi fotoğrafları da medya etkisine dair sadece iki örnekti.

AFC'nin ötesinde, Arjantin'in devletin dijital varlıklarını koruyan yapının parçası olan iki kuruluşu daha bulunuyor: Olay müdahale ve güvenlik açığı izleme ekibi olan CERT.ar ve tüm bölge için siber güvenlik stratejisini koordine eden ve tasarlayan Ulusal Siber Güvenlik Müdürlüğü ( DNC ).

Federal Siber Güvenlik Ajansı yetkilileri Clarín'e , "Yapılması gereken çok şey olduğunu anlıyoruz. Eyaletin kritik altyapısının dayanıklılığını iyileştirmek ve ülkeyi bir bütün olarak etkileyen siber güvenliği artırmak için kaynak yatırımı yapmamız gerekiyor" dedi.

“Öte yandan, CERT.ar olaylara yanıt vermiyordu (çok az ilgili olaydan haberdar oldular, kurtarma çalışmalarına nadiren yardımcı oldular ve soruşturma yapmadılar); Siber Güvenlik Komitesi 2024'te toplanmadı ve öncesinde nadiren toplandılar ve yatırım eksikliği vardı, bu da kritik altyapının haritalanması ve ulusal farkındalık yaratma faaliyetlerinin olmamasıyla sonuçlandı,” diye devam ettiler.

Dijital Haklar raporunda yer alan "teknik ve insan kaynağı" eksikliğine ilişkin ifade, Ajans tarafından da doğrulandı. “Ne yazık ki geçen yıl neredeyse sıfır olan bir bütçeyle başladık. Önceki hükümet SIDE'nin bütçesini tarihi değerinden %25-30'a düşürmüştü ve bu, AFC'ye atanan yeni siber güvenlik işlevlerini bile hesaba katmamıştı. Ülkeyi güvence altına almak için küçük bir bankadan daha az bütçemiz vardı . Bu kadar az bir parayla güvenlik duvarları veya anahtarlar [trafiği kontrol etmek ve korumak için kullanılan cihazlar] satın almadık. Bu yıl biraz büyüdü, ancak örneğin çok uluslu bir şirketin harcadığı parayla karşılaştırıldığında hala çok küçük,” diye sonlandırdılar.

Ülkemiz açısından bir ilk olan bu kurumun 16 Nisan'da daha da etkili hale gelmesi, toplumun eleştirileriyle karşılaşmadan gerçekleşmedi. Kamu sektöründe siber güvenlik düzenlemeleri konusunda uzman olan Marcela Pallero, bu yayın kuruluşuna yaptığı açıklamada, "Arjantin, siber güvenliğin önlenmesi ve güvenliği için yönetim organı olarak SIDE'nin AFC'sini (Başsavcılar Derneği) belirleyerek ve Genelkurmay Başkanlığı'nın ulusal ofisindeki işlevlerin çoğunu kaldırarak (Kararname 274/2025) çağın gerisinde , daha doğrusu çağa aykırı bir adım attı" dedi.

Devlet siber güvenlik dünyasından diğer kaynaklar, bu yayın kuruluşuna, "AFC'ye DNC üzerinde daha fazla nüfuz sağlama kararı ilk başta iyi karşılanmadı " çünkü AFC'nin "birçok işlevi" müdürlükten "kopyaladığı" konusunda güvence verdi. Ancak kurum içindeki eğitimin de farkındalar: "Bu alanda çalışan kişilerden özellikle iki kişi, teknik açıdan çok yetenekli" diye içeridekilere güvence veriyorlar.

Pallero, "SIDE'nin gizli operasyonlarının, OECD ve ECLAC gibi uluslararası örgütler ve dünya genelinde teşvik edilen dijital güven ilkeleriyle, özellikle de dijital güvenliğin acil iç sorunları göz önüne alındığında, uzlaştırılmasının zor olması göz önüne alındığında, mevcut deneyin sonuçlarını gözlemlemek ilginç olacak" uyarısında bulunuyor.

Devletin siber güvenliği, Arjantin'deki kamu yönetimiyle aynı sorunlarla karşı karşıya: yetersiz veya kötü harcanan bütçeler.

"Son 27 yılımı artık siber güvenlik olarak adlandırılan şeye adadım, bunların 15'i eyaletteydi. Çok yetenekli bir teknik ekip var, ancak gerekli maddi, insan veya siyasi kaynaklardan yoksun. Fonlar, büyük vaatler taşıyan ancak eyalet personelinin karşılayamayacağı sertifikalar ve zaman gerektiren 'kara kutu' çözümleri için lisanslara tahsis ediliyor," dedi Buanzo Consulting'de siber güvenlik uzmanı olan Arturo Busleiman bu yayına.

Diğerleri lisanslama sürecini eleştiriyor: "Para orada, ancak dost şirketlerin tescilli çözümlerine harcanıyor . Genellikle, aynı teknoloji şirketlerinin eski yöneticileri ihale sürecine katılıyor: Red Hat, IBM, Oracle, Microsoft, Fortinet, Cisco ve diğerleri," diyor 12 yıl boyunca devlette çalışmış ve şimdi özel sektörde olan eski bir müteahhit.

Latin Amerika'ya gelince, Arjantin birkaç adım geride , bölge ise bazı öncülerin olduğu embriyonik bir dönemden geçiyor: Pallero, "Avrupa Birliği siber güvenlik ve kişisel veri koruma mevzuatında istikrarlı bir ilerleme kaydederken, Latin Amerika, Şili ve El Salvador dışında, çok yakın zamanda ulusal bir siber güvenlik yasası çıkaranlar hariç, genel olarak yürütme organından Ulusal Politikalar ve Stratejiler oluşturma aşamasındadır" diyor.

Raporu hazırlayan STK'dan Lara, "Siber güvenlikte bölgesel iş birliğinin yalnızca teknik açıdan değil, aynı zamanda hak temelli bir yaklaşımın sağlanması açısından da ilerlemesi gerektiğine inanıyoruz. Bu , kapasite paylaşım mekanizmaları ve karşılıklı yardım anlamına geliyor, ancak aynı zamanda gizliliğin, ifade özgürlüğünün ve dijital katılımın korunmasını garanti eden ortak ilkeler de var," diyor.

Busleiman, bir okul yaratmanın yanı sıra nitelikli profesyonelleri işe almanın da önemli olduğuna inanıyor: "Programı profesyonelleştirmeli, bütçelerin nasıl tahsis edildiğini değiştirmeli , hükümetin üç kolunu koordine etmeli, ne yaptıklarını gerçekten bilenleri işe almalı ve her şeyden önce partizan mantıktan ziyade eyalet politikasına öncelik vermeliyiz" diyor.

AFC gibi bir siber güvenlik yönetim organının kurulması, toplumun bazı kesimlerine göre ileriye doğru atılmış bir adımdır. Dijital Haklar bu anlamda olumlu bir yönü öne çıkarıyor.

Lara, “Derechos Digitales'te, Arjantin'in İkinci Stratejisinin insan hakları, kapsayıcılık ve toplumsal cinsiyet perspektifi ilkelerini açıkça içermesini takdir ediyoruz; bu da onu bölgesel manzarada olumlu bir şekilde farklılaştırıyor. Dahası, daha açık ve kapsayıcı bir yaklaşımı tercih etmiş gibi görünen kamuoyu danışması ve katılımcı alanlar gibi süreçlere sahip olmak değerlidir, ancak bu tür katılımlarla ilgili her zaman eleştiriye yer vardır,” diyor.

Zorluk, AFC'nin şeffaflığında ve diğer iki mevcut kuruluş olan CERT.ar ve DNC ile olan ilişkisinde yatıyor gibi görünüyor; bu da işbirlikli çalışmanın mümkün olup olmadığı veya bunun birbirine uymayan kısaltmalardan oluşan bir bulmaca mı olacağı sorusuna yol açıyor.

"Latin Amerika'da Siber Güvenlik: 2024 Ulusal Stratejisi" Arjantin, Brezilya, Şili, Kolombiya, Kosta Rika, Ekvador, Guatemala, Meksika, Nikaragua, Panama, Paraguay ve Dominik Cumhuriyeti'nin kamu siber güvenlik politikalarını analiz ediyor.

Raporun tamamını aşağıdan veya bu bağlantıdan okuyabilirsiniz.