Siber güvenlik politikalarının gelişiminin, analiz edilen dört alan arasında önemli ölçüde farklılık gösterdiğini göstermektedir. Bunun nedeni, hükümet ile diğer önemli kişiler arasındaki uluslararası ve yerel etkileşimlerdir.

Siber Güvenlik Politikalarının Geliştirilmesi

Siber güvenlik politikalarının gelişiminin, analiz edilen dört alan arasında önemli ölçüde farklılık gösterdiğini göstermektedir. Bunun nedeni, hükümet ile diğer önemli kişiler arasındaki uluslararası ve yerel etkileşimlerdir.

Kritik altyapı ile ilgili olarak, koruyucu rolünün önce özel sektöre devredildiğini, ancak o zamandan beri hükümet tarafından geri alındığını göstermektedir.

Hükümetin siber suçlarla ilgili olarak hala istikrarlı bir koruyucu rolü oluşturmak için mücadele ettiğini ve kolluk kuvvetleriyle yerel çekişme süreçlerine aktif olarak dahil olduğunu gösteriyor.

Snowden ifşaatlarının ardından Alman istihbarat servisi BND'nin davranışları eleştirilirken, bu bilgilerin uluslararası alanda değeri nedeniyle o zamandan beri birçok uygulamanın yasal kabul edildiğini ortaya koymaktadır.

Ordunun koruyucusu olarak hükümetin rolünün evrimini araştırıyor ve nihayetinde NATO müttefiklerinin ihtiyaçları doğrultusunda siber güvenlik tehditleriyle mücadeleye yönelik daha saldırgan bir duruş benimsiyor.

Yetkilendirmeden Kontrole: Kritik Altyapıların Korunması

1997'de Alman Federal Hükümeti kritik altyapıların korunmasına yönelik çalışmalara başladı. Başlangıçta hükümet, 'iş, bilim ve siyaset' arasında yakın iş birliğini tavsiye eden bir Kritik Altyapılar Çalışma Grubu kurdu. Parlamenterler ayrıca bu görevin hem devlet hem de sanayi tarafından ortaklaşa yönetilmesi gerektiğini değerlendirdiler. Kritik altyapıların operatörleri de varlıkların uygun güvenlik yönetimini kurmaya teşvik edilmelidir. Bununla birlikte, bu bulgular ilk başta büyük ölçüde önemsiz kaldı. Kritik altyapıların korunması politikası ancak 11 Eylül terör saldırılarından sonra gerçek bir ivme kazandı. Hükümet tarafından kabul edilen müteakip terörle mücadele yasası, kritik altyapıların siber saldırılara karşı savunmasızlığını vurguladı ve Federal Bilgi Güvenliği Ofisi'ni (BSI) güçlendirdi. Ayrıca, devlet ve ekonominin etkin bir şekilde bilgi alışverişinde bulunmasını sağlamayı amaçlayan KRITIS iş birliği 2002 yılında kuruldu. Ancak uzmanlar ağın büyük ölçüde yetersiz olduğunu gördüler.

2005 yılında hükümet, Almanya'daki kritik (bilgi) altyapıların korunmasına yönelik ilk stratejik belge olan 'Ulusal Bilgi Altyapısı Koruma Planı'nı sundu. Plan, altyapıların korunması sorumluluğunu öncelikle özel sektör operatörlerine vermiş olsa da Alman hükümeti (endüstri ile yakın istişare içinde) siber saldırılara karşı yeterli düzeyde korumayı garanti edecek asgari standartları tanımlayacaktır. 2007 yılında yayınlanan KRITIS uygulama planı, bu gönüllü iş birliği anlayışını sürdürmüş ve şirketlere çeşitli önlemler önermiştir. Bununla birlikte, altyapı koruma stratejisinin temel ilkesi, 'hedefe, operatörlerin özel sektör hedefleri ile toplumun en önemli (refah) çıkarları arasında fikir birliği içinde ulaşılması gerektiği' olarak kaldı. Bu nedenle, Alman altyapı korumasının bu ilk aşamasında, koruyucu rolü kritik altyapıların operatörlerine devredildi. Ancak devlet ve özel sektör arasındaki iş birliği hükümetin beklentilerinin gerisinde kaldı. İdare açısından bakıldığında, şirketler bilgi verme yükümlülüklerini yerine getirmemiş ve uygun standartlar oluşturma görevlerini ihmal etmişlerdir. Ayrıca Stuxnet, endüstriyel hedeflere yönelik saldırıların artık sadece varsayımsal senaryolar olmadığını açıkça ortaya koydu. Sonuç olarak hükümet, kritik altyapıların daha iyi korunmasını sağlayacak bağlayıcı düzenlemeler getirmeyi tartıştı. Federal İçişleri Bakanı Friedrich şunları söyledi: 'Ekonomide gönüllü olarak iş birliği yapmayı tercih eden seslerin olduğunu biliyorum. Ancak deneyimler, geçmişte yalnızca gönüllü önlemlerle hedeflerimizin arkasında olduğumuzu gösteriyor. Daha fazla iş birliği ve BT güvenlik standartlarına uyum için yasal bir çerçeveye ihtiyacımız var.'

Bu, hükümetin gönüllü iş birliğine olan güveninden ayrılışın işaretiydi ve koruyucu rolü devlet yetkililerine daha güçlü bir şekilde bağladı. 2015 yılında kabul edilen BT Güvenliği Yasası ile hükümet, şirketleri asgari standartlara uymaya ve önemli siber saldırıları rapor etmeye mecbur etti. Böylece yeni yasa, BSI'nin denetim yetkinliğini önemli ölçüde güçlendirdi. Endüstri dernekleri eco ve Bitkom, yasanın nihai hedeflerini desteklese de hükümetin önceki düzenleyici düzenlemeyi terk etme kararına yönelik ciddi eleştiriler vardı. Şirketler başlangıçta girişimcilik özgürlüğüne ve potansiyel aşırı düzenlemeye müdahaleye itiraz ettiler. Ancak BT güvenlik yasasını durdurma çabaları başarısız oldu.