BThaber Ekler e-devlet Sayı:37 01 OCAK 2013 / 13:32

Siber güvenlik devletin en üst seviyesinde tartışıldı

Bilgi Güvenliği Derneği Yönetim Kurulu Başkanı Ahmet Hamdi Atalay’la Bilgi Güvenliği Derneği olarak çalışmalarını konuştuk.

• Bilgi Güvenliği Derneği olarak çalışmalarınızdan ve dernek olarak hazırladığınız Ulusal Siber Güvenlik Strateji Belgesi taslağından söz edebilir misiniz?
Bilgi Güvenliği Derneği bir sivil toplum örgütü. Bilişim alanında pek çok STK var; hepsi için söylenemez elbette ama bazıları belli grupların çıkarlarını maksimize etmeye çalışıyor. Bizim derneğin çok temel bir farkı; hiçbir çıkarımız, beklentimiz yok. Dernek üyeleri, yöneticileri, dernek faaliyetlerine katılanlar tamamen özverili, kendi özel zamanlarından kısarak destek vermeye çalışıyor. Dernekte yeniyim, yaklaşık 1 senedir üyeyim, birkaç aydır da başkanım. Daha önce de çok sevdiğim dostlarıma dışarıdan destek vermeye çalışıyordum; görüyordum ki çok özverili, çok takdir edilecek bir iş yapıyorlardı. Biz dernek olarak; bilgi güvenliği ya da siber güvenlik dediğimiz alanda toplumda farkındalık yaratmaya çalışıyoruz. Dernek üyeleri ve yöneticilerin tamamına yakını bu sektörün içinde yıllarını vermiş, bilişimin her seviyesinde çeşitli uzmanlıklar kazanmış kişilerden oluşuyor. Dolayısıyla siber tehdidin ne kadar büyük olduğunun çok farkındayız. Bu tehdidin giderek ne kadar büyüdüğünü ve daha da büyüyeceğini, hatta kritik hale geldiğini çok iyi biliyoruz. O yüzden de bizim içimizde bilmekten kaynaklanan bir endişe var, o endişe de bizi bir şeyler yapmaya zorluyor. Bir şey bilmiyorsanız endişe de duymazsınız, bir şeyler yapmanıza da gerek olmaz. Dernek olarak; toplumda farkındalık yaratmak misyonunu üstleniyoruz. Bunun için ne yapıyoruz? Dernek üyeleri olarak çeşitli yayın organlarında mülakatlar veriyoruz, makaleler yayımlıyoruz, çeşitli etkinlikler düzenleyerek katılımcıların bilgilerini paylaşmalarını sağlamaya çalışıyoruz. Ama daha da ileriye giderek bu sene ilk defa Siber Güvenlik Strateji Belgesi taslağı oluşturmaya soyunduk. Bizim gibi bir dernek için olağanüstü büyük bir iş. Çünkü Türkiye’nin en temel eksikliklerinden birinin bu olduğunu gördük. Siber güvenlik hem ülke hem de şirketler için geçerli. Stratejiniz yoksa politikalarınız belli değilse, uygulamalarınızın ahenkli olması ve etkili sonuç vermesi beklenemez. Dernek olarak bir araştırma yaptık; gördük ki dünyadaki gelişmiş ülkelerin tamamına yakını strateji belgelerini oluşturmuş vaziyetteler. Strateji belgesi bir bakıma devletin deklarasyonu. Bu deklarasyonla devlet kendi kurumlarına ve halkına bunu vurgulamış oluyor. Her şey onunla bitmiyor ama her şey onunla başlıyor. Dolayısıyla biz dernek olarak, Ulaştırma Bakanımızın da teşviğiyle böyle bir çalışma başlattık.
Barolar Birliği’yle ve başka meslek insanlarıyla bir araya geldik. Bu çalışmaya çeşitli kamu kurumlarından pek çok temsilci katkı sağladı. Dünyanın 12 ülkesinin strateji belgelerini aldık; bunların ortak tarafları nelerdir, bizimkine de bir baz teşkil etsin diye masaya yatırdık. Pek çok kamu ve özel kuruluşun temsilcilerini bir araya getirdik, onlarla yaptığımız çalıştaylarla Türkiye için bir taslak hazırladık. Bu taslağı da Ulaştırma Denizclik ve Haberleşme Bakanımıza sunduk. Paralelinde devlet tarafında ne yapılıyor? Bilgi Güvenliği Derneği’nin yoğun faaliyet ve gayretlerinin de katkısıyla ‘Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Bakanlar Kurulu Kararı’ yayımlandı. Bu kararla nihayet T.C.’nin siber güvenlik konusunun muhatabı belli olmuş oldu: Ulaştırma Haberleşme ve Denizcilik Bakanlığı. Bugüne kadar siber güvenlik konusunda her kurum ve kuruluş belli bir strateji ve koordinasyon olmaksızın kendince bir şeyler yapmaya çalışıyordu. Artık bu konudaki faaliyetlerin belli bir strateji doğrultusunda ve koordinasyon içinde yürütülmesini umuyor ve bekliyoruz.

Siber güvenlik ulusal güvenliğin çok önemli bir unsuru

Siber güvenlik çok ciddi bir konu; bireyden başlayıp kurumlara, kurumlardan da bütün ülke sathına yayılması gereken birtakım tedbirleri almayı gerektiriyor. Ulu Önder Atatürk’ün Kurtuluş Savaşı sırasındaki hattı müdafa yoktur sathı müdafa vardır sözü de tam da siber güvenlik için geçerlidir. Siz kendi hattınızı güvenli hissedebilirsiniz ya da birey olarak gerekli tedbirleri aldığınızı düşünebilirsiniz. Önce siz bireysel olarak tedbir alacaksınız, bulunduğunuz kurum tedbir alacak, bu da yetmiyor; ülkenin bir bütün olarak benzer standartlara uygun tedbirleri alması gerekiyor ki güvenli olabilesiniz. Siber güvenlik ulusal güvenliğin çok önemli bir unsuru haline geldi. Benim önerim de budur; gelecekte Milli Savunma Bakanlığı’nın görevleri arasına girmesi lazım. Zaten bildiğimiz kadarıyla, Gerek NATO’da gerekse TSK’nın bünyesinde buna ilişkin çeşitli yapılar oluşturulmuş durumda. Ama bunun daha üst politik ve stratejik seviyede yüksek sesle dile getirilmesi lazım. Ekim ayında, Ulaştırma Denizcilik ve Haberleşme Bakanı Binali Yıldırım, Milli Güvenlik Kurulu’nda siber güvenlik konulu bir sunum yaptı. Böylece siber güvenlik konusu devlette en yüksek seviyede tartışılmış oldu. Farkındalığın bu noktalara taşınmasında, Bilgi Güvenliği Derneği’nin son birkaç yıldır yaptığı çalışmaların son derece önemli katkıları olmuştur.

• Bilişim Zirvesi’ndeki Savunma Konferansı’nda “A ülkesinin B ürününü makinenize yükleyerek kendinizi koruyamazsınız. Milli çözümler mutlaka geliştirmeliyiz” demiştiniz. Bu noktada; milli çözümler nedir, ne şekilde geliştirilebilir, önerileriniz ne olabilir?
Çok önemli; hem kişisel hem de dernek olarak çok hassas olduğumuz bir konu da bu. Artık tehdidin birkaç boyutu var: Bir tanesi tamamen amatör; meraklı çocuklar olarak tabir ettiklerimizin yaptıkları yaramazlıklar. Belki kötü niyetli değil, kendilerini tatmin etmek için, hobi olarak yaptıkları yaramazlıklar. Ama bu yaramazlıklar onların tahmin ettiğinden daha büyük sonuçlar doğurabiliyor, tehditler oluşturabiliyor, bunlar nispeten masum. Diğer yandan, bazı kişilerin kötü niyetle verdikleri zararlar var. Ya bir şeyi çalmak için ya da bir kişiye, bir kuruma bilerek, isteyerek zarar vermek için bireysel ya da grup halinde saldırırabiliyorlar, dolayısıyla bunlardan kaynaklanan tehditler de var. Bunlar zaten siber suçlar kapsamına giriyor; bankalardan para çalma gibi mali olanlar var, ideolojik olanları var; çeşitli kurumlara ya da ülkelere ideolojik sebeplerle zarar vermek gibi. Bir de bazı ülkelerin başka ülkeler üzerinde siyasi nedenlerle oluşturdukları tehditler var. Bunların en başında ABD’nin İran’daki meşhur Stuxnet saldırısı gelir. Ondan önce Rusya’nın Estonya’da yaptığı saldırı vardı; Estonya’nın tüm altyapısını susturdu. Yine Rusya’nın Gürcistan’da yaptıkları. Bunlar bilinenler; ifşa edilmeyenleri bilmiyoruz. Dolayısıyla ülkelerin çeşitli başka ülkelere bilerek, isteyerek zarar vermek için yaptıkları saldırılar. Yine başka bir boyut; ülkelerin başka ülkelere belki zarar vermek için değil ama teknoloji çalmak için yaptıkları şeyler de var; bazı ülkeler bu konuda öne çıkıyor, bazıları da öteki konuda. Dolayısıyla böyle baktığınızda kişilerden başlayan masum yaramazlıklar gibi görünen şeyler ülke boyutuna çıktığında bilinçli saldırılara dönüşüyor.

Makalede ‘Pekiyi’ patantte ‘Zayıf’

• Bu noktada Üniversite-Sanayi işbirliğinin önemi çok büyük değil mi?
Her alanda bu işbirliği çok önemli ve maalesef yıllardır konuştuğumuz halde, benim kişisel görüşüm; çok iyi sonuçlar alamadığımız, çok başarılı olamadığımız bir alan.

Son kullanıcının bilinçli ve bilgili olması çok önemli

Topyekûn olarak, bütün sistemlerle ülke sathında yaygın tedbirlerin alması lazım. Zincirin gücü en zayıf halkasının gücüyle ölçülür denir ya, bunun için de geçerlidir. Öyle bir zincir ki bu oradaki en zayıf halka da maalesef insan; bireysel son kullanıcı. Hangi tedbiri alırsanız alın, son kullanıcıyı yeterince bilinçli, bilgili  hale getirmezseniz yapılanlar bir işe yaramaz hale gelir. Doğum tarihini şifre olarak kullanıyorsa, virüs programı yükledim deyip lisanssız program kullanıyorsa sadece kendini kandırıyor demektir. Kırık denen lisanssız programlara kapı açmak çok büyük tehdit oluşturuyor. Kullanıcılar bunun hiç farkında değil. Bilgisayarlar artık taşınabilir halde; iş yerinde, evinde, tatilde, her ortamda kullanıyor. Dolayısıyla kurumunuzda çok tedbir alıyor gibi görünseniz bile böyle bir durumda dışarıdan sisteme çok rahat biçimde girilebiliyor. Hele cep telefonları gibi mobil cihazlar çıkınca işin boyutunu düşünün.

Bugün 100’den fazla devlet üniversitesi var, belki o kadar da özel üniversite bulunuyor. Dünyada en çok yayın üreten ülkelerden biriyiz. Fakat bunu ürüne, çözüme, teknolojiye, patente dönüştürme konusunda çok zayıfız. Türkiye’nin toplam ürettiği patent sayısı, orta bütüklükte bir teknoloji şirketi kadar bile değil. Bütün Türkiye’den bahsediyorum. Düşünün ki bütün Türkiye’de yılda üretilen patent sayısı, teknolojik orta büyüklükteki bir şirketin patent sayısı kadardır. Bu da aslında işlerin yürümediğini gösteriyor ama aynı zamanda potansiyeli de gösteriyor. Bu kadar çok üniversitemiz, gencimiz var. Makale üretebiliyoruz, yayın yapabiliyoruz. Bu şu demek; fikir de var ama bu fikirleri biz hayata geçiremiyoruz, sıkıntı burada demek ki. Hayata geçirme noktasında; oluşan fikirlerin kağıt üzerinde kalmaması noktasında, dünyada uygulanan modellerden yararlanılmalı. Hatta ortak en iyi model; üniversite-sanayi işbirliği. Demek ki biz bunu iyi beceremediğimiz için bizim fikirler hep kağıtta kalıyor, somut ürünlere dönüşemiyor. TC devleti, dünyada en çok nakit Ar-Ge desteği veren ülkelerden birisi aslında; böyle tuhaf bir durum da var. Yani bu kadar yüksek parasal destek verilmesine rağmen böyle. 2005’ten sonra hayli gelişme oldu, oldukça değişik teşvik mekanizmaları var; Sanayi Teknoloji Bakanlığı’nın, TÜBİTAK’ın verdiği destekler var. BTK gelirlerinin her yıl yüzde 20’si; bu da yaklaşık 200 milyon TL gibi bir rakam ediyor, BT alanındaki Ar-Ge faaliyetlerine ayrılıyor. Bu konuda yönetmelik de yayımlandı; artık bilgi teknolojileri ve iletişim alanında projeler 10 milyon TL’ye kadar, buna uzay ve havacılık da eklendi; bu alanda da 20 milyon TL’ye kadar yıllık nakit olarak desteklenecek. Dolayısıyla bu fikirlerin hayata geçirilebilmesi, ürüne dönüştürülebilmesi için yeni bir kaynak, imkân daha doğmuş oldu. Bu konuda imkânlar az değil Türkiye’de.

• Belki öğrencileri de teşvik etmek gibi tüm bunlar arasında köprü oluşturacak mekanizmalar geliştirmek gerekiyor. Belki onlar da ne yapacaklarını tam kestiremiyor.
Bunların hepsi problem olarak var. Sonuçta düzenlemeler olarak bakarsanız; bu konuda oldukça fazla düzenleme de var. Bunu kabul etmek lazım, altını çizmek lazım. Ülkemizde her türlü potansiyel var; bazı ince ayarlar yapmak lazım. Dünyanın yaptığından farklı bir şey yapmamız gerekmiyor; benzerlerini bizim şartlarımıza uyarlayarak yaparsak benzer sonuçları almamamız için bir sebep yok.
Dolayısıyla özellikle son 5-6 yıl içinde belirgin bir şekilde fark edilmeye başlandı ki, özellikle İran nükleer sistemine yapılan saldırıdan sonra; bu işin boyutu başka bir boyutta. Her ülke tedbir oluşturmaya çalışıyor, milli çözümler geliştirmeye çalışıyor. Bizim de bundan geri kalmamamız lazım.

Bir ülkenin bütün altyapısı susabilir

• Tehditlerin boyutları çok büyük. Nerelere gidebilir? Öngörülerinizi paylaşabilir misiniz?
En kötü durum; bir ülkenin bütün altyapısı susabilir. Daha doğrusu zaten siber güvenliği tanımlarken, ulusal boyuttaki siber güvenlik tarifini yaparken, kritik altyapıların güvenliği diye bir mevhum var. Kritik altyapılar; enerji sistemlerinden su sistemlerine, bilişim altyapılarından, bankacılık, finans sistemlerine kadar uzanıyor. Bunları düşündüğünüzde; hayatın her anında ve her alanında karşımıza çıkan şeyler. Eğer siber güvenlik zaafı söz konusu olur, daha doğrusu sizi hedef alan bir siber güvenlik saldırısı durumunda, yeterince güvenli değilseniz tüm bankacılık sisteminiz, bütün enerji, telefon, internet sistemleriniz çökebilir. Artık enerji üretemiyor duruma gelebilirsiniz. Elektriğin bir saat kesildiğini düşenebiliyor musunuz? Bazen siber tehditler ve siber saldırılar hizmet kalitesini bozmak şeklinde de olabiliyor; görünürde çalışıyor ama aslında çalışmıyor. Dolayısıyla performansı yavaşlatması bile aslında hizmetin kalitesini, hayatı oldukça olumsuz etkileyebilir. Düşünün ki, THY’nin bilişim altyapısının zaafa uğradığını; hiç uçak kaldıramaz. En kötü durum; hayatın durması demek. Bu kadar büyük bir tehdit söz konusu.

Güvenlik bireyde başlıyor ama bireyde bitmiyor

• Özellikle vurgulamak, paylaşmak istediğiniz noktalar var mı?
Son olarak paylaşmak istediğim; her türlü güvenlik bireyde başlıyor ama bireyde bitmiyor. Yüzde yüz güvenli diye bir şey söz konusu olamaz. Ama bu güvenlik konusu; salt teknolojik konu değil, teknoloji olmazsa olmaz ama salt teknolojiyle çözülecek bir şey değil. İnsan unsuru burada çok önemli. Bu sistemlere artık herkes dahil olduğu için; herkes, her şey bu sistemin parçası. O yüzden kişinin; olayın boyutlarının farkında olması lazım. Bu konuda yeterli bilinç ve bilgi seviyesine sahip olması lazım. Ve buna orantılı tedbir sahibi olması lazım. Eğer bireyler tek başına bunları yapmazlarsa, siz hangi sistemi kurarsanız kurun zaafiyet olması kaçınılmazdır. Bu çok önemli bir konu; bunun altını çizmek lazım.

Ülkeler artık siber ordular oluşturuyor

Uluslararası hukuka göre; bir ülkenin başka bir ülkeye bilinçli ve planlı bir şekilde zarar vermesi savaş nedeni sayılıyor. Bir ülke bilinçli ve planlı bir şeklide başka bir ülkeye zarar vermek üzere siber alanda da tehditte ya da saldırıda bulunuyorsa uluslararası hukuka göre savaş nedeni bu. Dolayısıyla iş ‘Siber Savaşlar’ diye tabir edilen boyuta geliyor. Bunun için de ülkeler artık siber ordular dediğimiz ordular oluşturmaya başlıyorlar; İran, ABD, İsrail gibi ülkelerin çok yol aldığını duyuyoruz. İş bireysel yaramazlıktan uluslararası savaş nedeni sayılabilecek saldırılar boyutuna gelince, o zaman alacağınız tedbirlerin boyutuna da böyle bakmak lazım.
O yüzden de şöyle düşünün, size bir siber tehdit oluşturan, savaş nedeni sayılabilecek, tehdit oluşturan bu ülkeden aldığınız çözüm sizin derdinize deva olabilir mi? Hatta aksine, sizin başka bir ülkeden güvenlik çözümü diye aldığınız çözüm, sizin o ülkeye adınıza oluşturduğunuz bir kapı açıyor. Siz tedbir aldığınızı sanıyorsunuz ama onu aldığınız kişiler, şirketler, ülkeler için aslında kapı oluşturuyor. O yüzden de bizim tezimiz şu: Siber güvenlik alanındaki çözümlerin mutlaka milli çözümler olması gerekiyor. Peki milli çözümlerimiz var mı? Şunu söylüyorum: Milli çözümleri geliştirmek için her türlü potansiyel ülkemizde var. Bu konuda yetenekli mühendisilerimiz var, bu tip çözümleri geliştirip üretecek yetenekte, kapasitede şirketlerimiz var. Un var şeker var, helva yapmak da bu işin yöneticilerine düşüyor. Dolayısıyla milli çözümleri geliştirebilmemiz mümkündür ve bunu mutlaka yapmamız lazım.