ABD Savunma Bakanlığı (Pentagon), savunma yüklenicilerini hedef alan siber güvenlik sertifikasyon programının ikinci aşamasını durdurdu ve kapsamlı bir reform incelemesi başlattı. 60 gün sürecek bu inceleme sırasında, mevcut siber güvenlik öz değerlendirmeleri devam edecek, ancak planlandığı gibi üçüncü taraf sertifikasyonları zorunlu olmayacak. Karar, savunma sanayii şirketlerinin yoğun eleştirileri ve uygulama maliyetlerine ilişkin endişeler üzerine alındı.
Gelişmenin arka planı
Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) programı, Pentagon'un savunma tedarik zincirini siber tehditlere karşı korumak için geliştirdiği bir girişim. Programın ilk aşaması, yüklenicilerin kendi siber güvenlik önlemlerini değerlendirmesini öngörüyordu. İkinci aşamada ise bağımsız üçüncü taraf denetçiler tarafından sertifikasyon zorunluluğu getirilmesi planlanıyordu. Ancak savunma yüklenicileri, özellikle küçük ve orta ölçekli firmalar, bu sürecin aşırı maliyetli ve bürokratik olduğunu savunuyordu. Pentagon'un CMMC programından sorumlu yetkilisi David McKeown, yaptığı açıklamada, "Amacımız, siber güvenlik standartlarını yükseltirken endüstrinin üzerindeki yükü azaltmak" dedi. Ancak reform incelemesi tamamlanana kadar ikinci aşama uygulamaya konulmayacak.
Pentagon'un bu kararı, savunma sanayii şirketleri tarafından memnuniyetle karşılandı. Birçok firma, mevcut öz değerlendirme sisteminin yeterli olduğunu ve üçüncü taraf denetimlerinin zaman ve kaynak israfına yol açtığını belirtti. Öte yandan, siber güvenlik uzmanları, öz değerlendirmelerin güvenilirliğini sorguluyor ve bağımsız denetimlerin olmaması durumunda sistemin zafiyetlerinin devam edeceğini ifade ediyor. CMMC 2.0 olarak bilinen program, Başkan Biden yönetiminin siber güvenlik hamlelerinin bir parçası olarak 2020'de başlatılmıştı.
Bölgesel ve küresel boyut
Pentagon'un kararı, ABD'nin müttefikleri ve küresel savunma tedarik zinciri üzerinde de etkili olabilir. NATO müttefikleri, kendi siber güvenlik standartlarını ABD ile uyumlu hale getirme çabalarında bu gelişmeyi yakından takip ediyor. Avrupa Birliği de benzer bir sertifikasyon sistemi üzerinde çalışıyor. CMMC programının durdurulması, uluslararası savunma yüklenicileri arasında standartların harmonizasyonu konusunda belirsizliğe yol açabilir. Ayrıca, Çin ve Rusya gibi rakiplerin siber casusluk faaliyetlerine karşı savunma sanayii sistemlerinin korunmasında zafiyet yaratabileceği endişeleri var.
Öte yandan, ABD Savunma Bakanlığı'nın reform incelemesi, yeni bir modelin – belki de sektöre özgü veya esneklik sağlayan bir yapının – ortaya çıkmasına yol açabilir. Bu durum, küresel çapta siber güvenlik standartlarının evrimine de yön verebilir. ABD, savunma siber güvenliği alanında lider konumda olduğu için, buradaki değişimler diğer ülkeler tarafından da örnek alınıyor.
Türkiye Açısından Değerlendirme
Türkiye, NATO üyesi olarak ABD'nin siber güvenlik politikalarını yakından takip ediyor. Savunma sanayiinde ABD ile işbirliği yapan Türk firmaları, CMMC programına uyum sağlamak için hazırlıklar yapıyordu. Programın askıya alınması, bu firmaların uyum maliyetlerini geçici olarak azaltabilir, ancak belirsizlik yaratıyor. Türkiye'nin kendi siber güvenlik standartlarını geliştirmesi ve bu tür uluslararası programlarla uyumlu hale getirmesi, savunma ihracatı ve ulusal güvenlik açısından önem taşıyor. Pentagon'un reform süreci, Türkiye'nin de kendi savunma tedarik zincirini siber tehditlere karşı korumak için benzer mekanizmalar geliştirmesine fırsat sunuyor. Ayrıca, NATO içinde siber savunma alanında ortak standartların oluşturulması, Türkiye için stratejik bir öncelik olmaya devam ediyor.