Cumhurbaşkanlığı tarafından hazırlanan ve kamu çalışanlarına kamu iş ve işlemlerinde WhatsApp, Telegram gibi yabancı uygulamalar yerine yerli mesajlaşma programlarını zorunlu kılan rehbere göre kurumlar kendi mesajlaşma çalışmalarını başlatabilecek.
Sunucuları Türkiye’de olmak şartıyla oluşturulacak ‘yerli ve milli mesajlaşma’ programlarının hazırlanması için kamu kurumlarına 15 ay süre verildi.
Cumhurbaşkanlığı ofisi, WhatsApp gibi uygulamalara getirilen kısıtlamanın yalnızca gizlilik içeren belgeleri kapsadığını, kamu çalışanlarının özel hayatlarında söz konusu programları kullanabileceğini açıklamıştı.
Milliyet’tin haberine göre mesajlaşma programları için rehberde şu detaylara yer verildi:
Kimlik doğrulaması yapılmış, kritik veri ya da işlevler içeren tüm bağlantılar ‘SSL/TLS protokolünün’ bilinen zafiyet içermeyen güvenilir sürümü ile yapılmalıdır. Sertifikalarda ve sertifikanın tüm hiyerarşisinde ulusal ve/veya uluslararası otoriteler tarafından güvenli olarak kabul görmüş güçlü algoritmalar ve protokoller kullanılmalıdır.
Kurumsal haberleşme amacıyla sunucuları kurum kontrolünde olan mesajlaşma uygulamaları kullanılmalıdır. Mesajlaşma uygulamasının iletim katmanı güvenliği, bilinen zafiyetleri olmayan, güncel bir SSL/TLS sürümü ile sağlanmalıdır ve uygulamada ‘SSL Pinning’ kullanılmalıdır.
Uygulama birden fazla mobil cihaz üzerinde eş zamanlı olarak çalışmamalıdır. Hesaba farklı bir mobil cihazdan giriş yapılmak istendiğinde kullanıcı kimlik doğrulamaya zorlanmalı, başarılı kimlik doğrulama sonrası uygulama sadece yeni giriş yapılan cihaz üzerinde kullanılabilmelidir.
Uygulamadan gönderilen tüm mesajlar ve uygulama kullanılarak yapılan tüm sesli ve görüntülü aramalar uçtan uca şifrelenmelidir.
Uygulama cihaz üzerinde sakladığı tüm veriyi şifreli olarak tutmalıdır.
Kritik veri içeren her türlü sesli, yazılı ve görüntülü haberleşme uygulamalarında, kaynak kodları kurum tarafından talep edildiğinde denetlenebilen, işletmesi ve yönetimi yerel olarak yapılabilen yerli ve milli uygulamalar tercih edilmelidir.
Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmeler tarafından, Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci’nin ve tanımlanan güvenlik tedbirlerinin uyum planı çerçevesinde ele alınması gerekmektedir.