EYLEM ERTUĞ ERTUĞRUL (Zonguldak) - Peki, Sayın Vekilim, bununla ilgili aramızda -tahmin ediyorum- bürokratlar içerisinde olayın teknik altyapısına da hâkim olanlar vardır diye düşünüyorum.

ALİ ÖZKAYA (Afyonkarahisar) - Dijital Dönüşüm Ofisi Başkanımız burada.

EYLEM ERTUĞ ERTUĞRUL (Zonguldak) - Peki, Başkanım, bu yurt dışından ithal, yerli ve millî olarak üretilmemiş bir yazılımın kötü amaçlı kullanılmasını engelleme şansımız ne kadar mümkün? Yani satın aldığımız bir ürüne ne kadar hâkim olabiliriz? Yani daha önce mesela F-16 uçaklarının yazılımlarıyla ilgili benzeri iddialar ortaya atılmıştı. Yani burada bir başkasının ürettiği, bir başka ülke tarafından üretilmiş olan, bir başka ülkedeki bir firma tarafından üretilmiş -ki bu ülke pek çok istihbarat faaliyeti yürüttüğü bilinen bir ülkedir- ürünleri kullanmak bizde bir güvenlik zafiyeti yaratmayacak mı?

BAŞKAN HULUSİ AKAR - Evet...

ALİ ÖZKAYA (Afyonkarahisar) - Sayın Başkanım, Dijital Dönüşüm Ofisi Başkanımıza soruyu yönlendirdiler, eğer uygun görürseniz...

BAŞKAN HULUSİ AKAR - Dijital Dönüşüm Ofisi Başkanımız buyursunlar.

CUMHURBAŞKANLIĞI DİJİTAL DÖNÜŞÜM OFİSİ BAŞKAN VEKİLİ YUSUF TANCAN - Şimdi, tabii, burada ilkelerde tamamen yerli ürünlerin kullanılması amir bir hüküm olarak, temel bir ilke olarak yer alabilir. Aslında bizim de isteğimiz ve gönlümüzden geçen budur lakin her sektörde, her alanda, her kategoride olgunlaşmış siber güvenlik ürünümüz olmayabilir. Burada "öncelikle" yazılmasının veya "tercih edilir" şeklinde yazılmasının aslında varsa ve muadiliyle aynı fonksiyonaliteyi sağlıyorsa öncelikle bu tercih edilir anlamında, yoksa zaten yapılacak bir şey yoktur.

Kurumun görevleri arasında siber güvenliği etkileyen yazılım, donanım, sistem ve ürünlere sertifikasyon ve akreditasyon vermek gibi bir yetkisi ve görevi de var. Bunu sadece yerli ürünler için değil yabancı menşeli ürünler için de yapabilir. Dolayısıyla ülke güvenliğini tehdit edebilecek, güvenliği riske atabilecek yabancı menşeli ürünlere de akreditasyon verilmediği takdirde zaten kamuda ve kritik altyapılarda kullanılamayacaktır.

EYLEM ERTUĞ ERTUĞRUL (Zonguldak) - Sayın Başkanım, kısa bir sorum olacak; bence önemli bir nokta.

BAŞKAN HULUSİ AKAR - Peki, kısa...

EYLEM ERTUĞ ERTUĞRUL (Zonguldak) - Sayın Başkanım, şimdi benim sormak istediğim soru: Evet, hani "öncelikli olarak" veya en azından buraya şöyle bir madde eklenmesinde yani açılımın en azından "yerli ve millîye yönelik" şeklinde eklenmesi gerektiğini düşünüyorum. Onu zaten şimdi oylayacağız, bakacağız.

Şimdi, benim sormak istediğim soru şu: Biz İsrail menşeli veya yabancı menşeli veya ben bir yazılım ürettim, bir "firewall" ben yaptım. Bunu size sattığım zaman, bana rağmen "Yüzde 100 güvenli." diyebilir misiniz buna? "Yani benim oraya erişimimi veya oradaki bilgilere ulaşmamı yüzde 100 engelleyebilir." diyebilir miyiz?

CUMHURBAŞKANLIĞI DİJİTAL DÖNÜŞÜM OFİSİ BAŞKAN VEKİLİ YUSUF TANCAN - Hayır, diyemeyiz, zaten bu mekanizma bunun için var. Yani kamu kurumlarında ve kritik altyapılarda bir otorite tarafından, yerli bir otorite tarafından akredite edilmeyen bir ürün kullanılmasın diye zaten bu mekanizma geliştiriliyor, yerleştiriliyor bu teklifin içerisine.

EYLEM ERTUĞ ERTUĞRUL (Zonguldak) - Akredite olması güvenlik zaafı olmayacağı anlamına gelmiyor.

CUMHURBAŞKANLIĞI DİJİTAL DÖNÜŞÜM OFİSİ BAŞKAN VEKİLİ YUSUF TANCAN - Yüzde 100 anlamına gelmez, hiçbir ürün için gelmez.

EYLEM ERTUĞ ERTUĞRUL (Zonguldak) - Peki, tamam.

ALİ ÖZKAYA (Afyonkarahisar) -

En aza, minimuma indirir.

CUMHURBAŞKANLIĞI DİJİTAL DÖNÜŞÜM OFİSİ BAŞKAN VEKİLİ YUSUF TANCAN - Tabii yani sürekli güncellemeler geliyor çünkü programa veya şunu da düşünebilirsiniz: Akredite edilmiş bir ürün daha sonra sahip değiştirebilir, yabancı bir firmaya satılabilir. Bu da bir güvenlik riskidir ki kanunda bu da ele alınmış durumda. Özellikle kamu desteğiyle üretilmiş, yerli ve millî olarak üretilmiş bir siber güvenlik ürününün yurt dışına devri, satışı izne tabi tutuluyor.