Blog

Savunamadığımız Yerler Bizim Değildir

 

Günümüzde fiziksel dünyanın tehditleri sanalda ,sanal dünyanın tehditleri ise fiziksel dünyada boyut kazanmış durumda. Siber uzayda güvenliğini sağlamak isteyen devletler ,şirketler ve küresel kuruluşlar ciddi yatırımlar yapmaktalar.Korunaksız ve sınırları belli olmayan siber uzayda bilgiyi tekeline almak isteyen güçlü devletler bu yatırımlarını , küresel şirketlerle işbirliği yaparak kendi menfaatleri doğrultusunda dünya siyasetine yön verecek siber espiyonaj faaliyetleri yürütmek için kullanmaktalar. Durum böyleyken siber alanda ülkemizi yeterince savunabiliyor muyuz?

Ülkemiz hem içerde hem dışarda siber saldırıların hedefi olmaktadır. Buna karşı koyarken, çoğunlukla açık kaynaklı olmayan,büyük meblalarla alınmış ticari ürünlerin kullanılması,güvenliğimiz için daha büyük bir risk oluşturmaktadır. Bu riskin en büyük sebeplerinden biri,o ürünlerin sahibi değil sadece kullanıcısı olmamızdır. Halbuki yüksek düzeyde bir güvenlikten söz edebilmek için faaliyet gösterilen tüm alanlarda, kullanıcısı olduğumuz sistemler yerine, yerli unsurlar ile hazırlanmış üreticisi ve koruyucusu olduğumuz sistemler geliştirmeliyiz.Türkiye'de kullanılan siber güvenlik ürünlere bakıldığında yüzde 97'si yabancıların elinde   olduğu görülüyor. Sadece yüzde 3'ü yerli. Yabancı ürünlerin yüzde 55'ini İsrail yüzde 35'ini ise ABD oluşturuyor. Bu durum maalesef ülkemizin güvenliğinin diğer devletler tarafından ödünç alındığını gösteriyor. Burdaki güvenlik yazılımlarını, misalen,savaş döneminde pilotumuz olmadığı için diğer devletlerden aldığımız F16 pilotları gibi düşünebiliriz. Böyle bir savaşta pilotlara güvenliğimizi teslim edebilir miyiz? Truva atı olmadıklarından emin olabilir miyiz? Böyle bir savaşı kazanabilir miyiz? Elbette hayır. Bunun için işe bir an önce kendi pilotlarımızı yetiştirmekle başlamalıyız. Çünkü mücadeleler uzun solukludur.Yazılımlarımızın ve kullandığımız güvenlik ürünlerinin bir an önce millileşmesi gerekmektedir. Bu sebeple önlem olarak ciddi anlamda digital AR-GE faaliyetleri yapılıyor olmalı.Sadece bilirkişilerin rol aldığı güvenliği üst düzeye çıkaracak,özgün bir sistemin kurulmasıyla başlayabiliriz. Askeri anlamda bunun karşılığı Siber Güvenlik Müsteşarlığıdır. Kurulması elzemdir. Ülkemiz son zamanlarda artan bir şekilde siber güvenliğe yatırım yapmaktadır. Siber güvenlik alanında yerel kaynakları ve birikimleri,kamu ve özel sektörle işbirliği içine girerek paylaşıma açmaktadır. Tüm bu süreçlerde ise devletin denetim mekanizması yapılanların analizini ve kontrollerini yapabiliyor olmalıdır.

Peki Nasıl?

Öncelikle,yerli yazılım denilince,vakit kaybı olduğu düşünülüp kaçan treni yakalayalım diyerek kaçtığı söylenen teknoloji trenini uzun uzun beklememeliyiz.Çünkü artık beklememeliyiz. Hatta söylenen treni tekrar görsek bile hemen atlamamalıyız.Makinisti olmadığımız ve hatta nereye gittiğini dahi bilmediğimiz trene yolcu olarak zaten neden binelim ki ? Hedefe götürecek bize uygun hatta trenden daha işlevsel bir araç yapmak varken neden ? Makinistin tekelinde olmak için neden bu çabasızlık? Şimdi bu da zaman alır yine beklemiş oluruz diyeceksiniz. Hayır, bekleme olmayacak.Tren kovalarken sadece beklemiş ve treni yakaladığında da sadece yolcu olabileceği bir vagona yerleşmiş olacaksınız. Bir de teknoloji treni sadece teknoloji taşımıyor olacak. Dışardan öyle gözükse bile vagonlarında bilimsel ve teknolojik birikim dışında, gidilen yerlere dayatacağı kültürleri, ideolojileri, algı yönlendirmeye yarayan sosyolojik ve psikolojik araçları, hatta belki makinistin bile haberdar olmadığı espiyonaj faaliyetlerinde kullanılan silahları taşıyor olacak. Bu durumda beklediğimiz araç bizi, öngöremediğimiz bir yolculuğa çıkaracaktır. Diğerinde ise beklemeden, çaba göstererek hedefe götürecek, bize özgü bir araç üretmiş ve bu süreçte edindiğimiz tecrübelerle diğer kuşaklara ve insanların yararına kullanabileceğimiz bir birikim elde etmiş olacağız. Ancak bu seferde doğru mu yaptık acaba, oldu mu sorusunun cevabı için tekrar bir kaçan treni yakalama çabasına girenler olacaktır. Hayır, bu kurtulunması gereken bir durumdur. Doğruyu,bizde olmadığına inanarak her seferinde dışarda aramamalıyız. Böyle durumlardan kaçınmak için doğru, işini severek yapan, yetenekli insanlarla çalışmalı, yapıcı eleştiri sunmayan, insanlara çalışmalarımızda yer vermemeliyiz.

Neler Yapılabilir?

Devlet tüm kamu ve özel sektörle birlikte, milletimizin ve kritik verilerin güvenliğine tehdit oluşturabilecek sistemleri doğru   analizlerle kaldırıp, yerli ve milli unsurlarla üretip, bu işle dertlenen, işinin ehli kişiler tarafından güvenliği sağlanan sistemler yerleştirmeli. Bunu yaparken de kaynaklar verimli kullanılmalı ve pratik olabilmeliler. İnsanların birikimiyle yapılmış ve paylaşıma açılmış açık kaynaklı özgür yazılımlardan yararlanmalı ve açık kaynaklı projelere destek olabilmelidir. Bilim birikerek ilerler, bu  bilinen bir gerçektir. Kurum ve kuruluşlarda bu birikimden faydalanıp ve insanlığın faydasına olacak projelere katkı sunmaya başlamalıdırlar ki bizlerin de birikimleri artabilsin. Öncelik olarak da işlevselliğe ve güvenliğe önem vermelilerdir. Mesela yüzde yüz her şey milli olsun diye bu işe yüzde yüz milli mouse yapmayla başlanılmasın. Milli olmasında hedeflenen amaç bu değil çünkü. Onun yerine kurum otomasyonları, güvenlik duvarları, antivirüs programları, veri merkezleri Türkiye'de olacak şekilde e-mail hizmetleri, arama motorları, GPS sistemleri, sosyal medya platfformları, özellikle askeri, kamu ve özel kuruluşlarında kullanılan sistem donanımları, harddiskler, çeşitli depolama aygıtları, haberleşmede kullanılan donanımsal ve yazılımsal bütünleşik yapılar(telsiz,telefon,televizyon vs), scada sistemleri gibi kritik öneme sahip araçlar ile başlamalıdır. En az muadilleri kadar kaliteli, işlevsel ve sağlam olabilmelidir ürettiğimiz araçlar. Peki bunları sadece üretmek yeterli mi? Değil. Bunları üretmekte yeterli olmayacaktır. Süreklilik ve ekonomik bağımsızlık için yazılımlarımızın ve güvenlik ürünlerimizin finansal olarak kendilerini besleyebilmeleri ve yatırımlardan karlı gelirler elde etmesi gerekir. Bu sebeple medya desteği sağlanarak yerel ve küresel ölçekte ürünlerin tanıtımı iyi yapılmalıdır. Aynı zamanda üretilen ürünün küresel piyasalarda rekabete karşı koyabilmesi için global etkiye sahip olması gerekir.Milli olabilmesi için bu gereklidir. İnsanlar seçim yaptığında sadece yerli olduğu için değil performans, kalite, kullanım kolaylığı, şeffaflık ve uygun fiyat seçenekleri gibi opsiyonlar içinde yazılımlarımızı ve ürünlerimizi almalıdırlar.Bunları sağladıktan sonra süreklilik ve üretim devam edecektir.

Ürettikten ve kazançlı yatırımlar yaptıktan sonra da bu iş bitmiyor. Üretilen yerli ürünlerin kabul görüp yaygınlaşması içinde bunun öneminin kavranması gerekmektedir. Onun için her kesimde farkındalık eğitimleri düzenlenmelidir. En başta da bireysel korunma alışkanlığı edinmeye yönelik çalışmalar yapılmalıdır. Kullandığımız uygulamalarla yurt dışındaki veri merkezlerine aktardığımız kişisel bilgilerimizin nasıl, hangi amaçlarla kullanılabildiğini, bunun bizlere karşı nasıl büyük riskler doğurduğunu, neleri kaybedeceğimizi bilmek bir farkındalık oluşturacaktır. Böylelikle digital dünya ile veri paylaşımımızın daha az olacağını umuyorum. Eski alışkanlıkları bitiren yeni alışkanlıklardır. Bu noktada,veri güvenliğine ve kişisel haklara müdahale etmeden ürettiğimiz teknolojik araçlarımızın kullanımı daha da kolay alışkanlık haline dönüşecektir.

Farkındalığın oluşmasının elzem olduğu alanların başında ise üniversitelerimiz, kamu ve özel sektör kuruluşlarımız gelmektedir. Bu kurumlardaki veri sızıntıları, yapılan faydalı işleri de korumak için kritiktir. Bu kurumlara ABD, Çin, Rusya menşeili olmak üzere ücretsiz olarak, makul fiyatlarla ya da labaratuvar açmak gibi cazip görünen seçeneklerle gelen şirketlerin sorgulanması gerekir.Hele de askeri kuruluşlarda müttefiklik adı altında kullanıma sunulmak istenen araçların ciddi bir analizden geçmesi ve hatta direkt reddedilmesi gerekir. Yoksa geçmişte yapıldığı gibi, misyonunda ABD'nin çıkarlarına hizmet etmek olan savunma şirketinin  ülkemizin menfaati için askeri bir ürünü hediye ettiğine inanmak mümkün müdür? Ki o dönemlerde F16 ların bile yedek silahlarının verilmediği düşünülürse? Bu yüzdendir ki kritik öneme sahip yapılarda önceliğimiz her zaman finans değilde güvenlik olmalıdır. Bazen, veri sızıntılarından sonra alınan önlemlerde harcanan paranın, güvenlik için alınması gereken önlemlerdeki paradan daha fazla olduğunu görüyoruz. Bu bile güvenliğin her daim finanstan daha öncelikli olması gerektiğini gösterir. Ancak tüm bu önceliklere rağmen yabancı şirketlerin öne sürdükleri teklif ve yaptırımlara karşı koyacak gücümüzün olabilmesi içinde sunulan ürünün muadilinin, bizler tarafından üretilmesi ve daha etikili bir şekilde kullanılabilmesi gerekmektedir.

Güvenliği bir bütün olarak ele aldığımızda baş rolün; yetişmiş ve yüzde yüz milli personelde olduğu görülecektir. Çünkü tüm sistemi elinde tutan kişi odur. Gerçek anlamda bir güvenlikten söz etmek için iyi yetişmiş personel şarttır. Kurumlarda güvenliği sağlayan personel de sadece ürün güvenliğinden sorumlu değildir. Siber alan çok yönlüdür ve bu alanda mücadele edecek kişinin de çok yönlü olabilmesi gerekir. Yetişmiş personel, alanı olup olmadığı farketmeksizin gerektiğinde savunma ve saldırı yapabiliyor olmalıdır. Bu sebeple sistemlerin güvenliğinde yetişmiş personelin etkisi önemlidir.Kullanılan sistemler ne kadar yerli olursa olsun personelin yeterince iyi olmayışı büyük bir zaafiyettir. Ayrıca dışta oluşan saldırıları bertaraf edeceği gibi içtede oluşacak saldırıyı önleyecek kişi de odur. Bu sebeple personelin içerde de bir tehdit oluşturmaması için seçim aşamasında, yeterlilik dışında ahlaki ve milli bir zihin yapısı aranmalıdır.Uzun dönemde bunu sağlamak için , verilen eğitimlere çocuk yaştan itibaren başlamak gerekecektir.

Hedeflerimiz güçlü devletlerin en az 20-30 yıllık planları gibi uzun vadeli ve yapıcı olmalıdır. Bizlerde yazılım ve güvenlik alanlarında öngörülü davranabilmeliyiz. Var olmayanı üretmekle uğraşan yetenekli ve vizyon sahibi kişileri buluşturacak yapılar oluşturabilmeliyiz.Yani evrenin potansiyelinde olan ama henüz açığa çıkmamış fikirlere ev sahipliği yapabilecek zihinleri yetiştirip, onlara sahip çıkabilmeliyiz. Bu fikirler devrimsel buluşlar icat ettikten sonra, küresel bakış açısını insanlığın yararına yönlendirebilecek bir etki oluşturabilmeli.Şuana kadar küresel piyasaya ayak uydurmak için vermiş olduğumuz tepkiyi etkiye çevirecek, oluşturduğu etkiyle, önceden etki üreten kesimi tepkiye yönlendirecek buluşları yapabilecek, vizyon ve inanç sahibi insalarla bu işi yapabiliriz. Biz bu insanlara sahibiz ve sadece keşfetmemiz gerekiyor. Bu zihinlere sahip çıkarsak çağa ayak uydurmak yerine çağa tekrardan yön vermeye başlayacağız. Şanslıyız ki yazılım ve güvenlik sektörleri bu işi yapabilmek için çok müsait.

Son olarak tüm bu anlatılanlara çözüm için hatırlatmakta fayda görüyorum, bizler zafer toplumuyuz. Zafer toplumları coşkuludur, inançlıdır. Bunun sebeplerinden biri de, geçmişte güvenliğimizi bizim sağlıyor oluşumuzdur. Eskiden savunmamızı sağlayan araçları biz kontrol ediyorduk. Böylelikle tehditlerden bağımsız bir şekilde huzurlu yaşamlarımızı daha kolay inşa edebiliyorduk. Günümüzde de, fiziksel dünyamızda milletimizin, her yaştan insan ve meslek grubuyla birlikte canıyla, kanıyla mücadele ederek vatanını ve huzurunu korumaya çalıştıklarına yine şahidiz. Şehitlerimiz, gazilerimiz, sadece ismini değil sayısını bile bilmediğimiz isimsiz kahramanlarımız bu mücadelede görev alıyor. Ancak siber dünyanın fiziksel dünya ile iç içe geçmesiyle sanaldan gerçeğe taşınan tehditlere karşı henüz fiziksel dünyamızda olduğu gibi siber alanda da topyekün etkili ve ofansif bir savunma gerçekleştiremiyoruz. Bunun sebepleri arasında ise geçmişte olduğu gibi, savunmamızı sağlayan araçların bizim kontrolümüzde olmaması yer alıyor. Henüz çoğu devlet gibi bu alanda yeterli değiliz. Eğer bu mücadelede gölge boksu yapmamak istiyorsak, fiziksel dünyamızdaki mücadeleye destek olmak için, siber alandaki riskleri gözardı etmeden, milli unsurları destekleyecek, kontrolünü bizim sağlayacağımız çözüm yolları için, hemen üretime geçmeliyiz. Ancak güvenlik, çoğu sektörü kapsayan, disiplinler arası mücadele gerektiren bir alandır. Bu sebeple günümüzde ki siber güvenlik seferberliğine sadece devlet eliyle değil hukukçusuyla,akademisyeniyle, sanayicisiyle, bankasıyla her kesimden insanıyla destek olmalıyız. "Bir kişi her şeyi yapamasa da herkes bir işi yapabilir" mantığını da kullanarak güvenliğini yeniden bizim tahsis edeceğimiz üretim alanlarımızı, büyük bir farkındalık ve özveriyle genişletmeliyiz. Çünkü savunamadığımız yerler bizim değildir.

 

 

KAYNAKLAR

http://odtugundemi.com/turkiyedeki-siber-guvenlik-pazari-yaklasik-300-milyon-dolar/349/

https://www.slideshare.net/mobile/melihbayramdede/neta-siber-gvenlik-sunumu-15-haziran-2015

 




Yazar Hakkında

Siber Güvenlik ve Bilgi Güvenliği farkındalığı” amacında çalışan gurubumuz, Ekim 2016'da İstanbul Üniversitesi'nde kurularak, “Siber Güvenlikte Milli Seferberlik” mottosu ile yola çıkmıştır.






Yorum Yapmak İçin Giriş Yapın.