img

Ali Furkan Haktan

08 Ekim 2016 21:43

Siber Güç?


İsrail Başbakanı Benjamin Netanyahu’nun 22 Eylül 2016 tarihinde Birleşmiş Milletler Genel Meclisinin 71. oturumundaki konuşmasından bir alıntı ile başlamak istiyorum.
“Kimileri İsrail’in tarım, sağlık, su, siber ve dünyamızı her yönden değiştiren büyük veri füzyonu ile bağlanabilirlik ve yapay zekaya ilişkin yeteneklerinden faydalanmak istemekte. (…) Peki siber güvenlik? Bu husus herkesi etkileyen nitelikte. İsrail dünya nüfusunun yüzde birinin onda biri büyüklüğünde; ancak sadece geçen yıl küresel çaptaki siber güvenlikle ilgili özel yatırımların yüzde yirmisini çektik. Bu rakamı özümsemenizi istiyorum. Siber alanda, kendi gücünün 200 katı okkasında yumruk sallamakta. Öyle ki, İsrail küresel bir siber güçtür. Hackerlar bankalarınızı, uçaklarınızı, enerji santrallerinizi ve diğer her şeyi hedef aldıklarında, İsrail vazgeçilmez bir yardım sunabilir.”
Hoşumuza gitmese de bir gerçek var: bölgesel veya küresel güç olmanın yolu siber güç olmaktan geçiyor! İsrail bir siber güç olarak burnumuzun dibinde bir yumruğunu 200 katına çıkarıyor!
Hillary Clinton ve Donald Trump’un 26 Eylül 2016, Pazartesi günü yayınlanan Başkanlık Tartışması programı ilginç anekdotlar dolu.
“SUNUCU: Sonraki bölümümüzün adı “Amerikayı Korumak” (Securing America). Bu ülkede her gün gerçekleşen bir 21. yüzyıl savaşı ile başlamak istiyoruz. Kurumlarımız siber saldırı altında ve gizli sırlarımız çalınmakta. Sorum şu: bunun ardında kim var? Ve bununla nasıl savaşmalıyız?
CLİNTON: Peki, siber güvenliğin, siber savaşın gelecek başkanı bekleyen en büyük meselelerden birisi olduğunu düşünüyorum, çünkü bu noktada iki değişik tür düşmanla karşı karşıyayız. Bağımsız hacker grupları var, çoğu zaman ticari amaçlarla sizin bilgilerinizi çalmaya çalışıyorlar ki bunları kullanıp para kazansınlar.
Fakat artan şekilde, devletlerden, devlet birimlerinden gelen siber atakları görüyoruz. Bunlardan en günceli ve sorun yaratanı Rusya’dan olanlardı. Kuşku yok ki, Rusya ülkemizdeki her tür kuruma karşı siber saldırı yapmıştır ve ben bundan fazlasıyla endişe duymaktayım. Donald’ın Vladimir Putin’i takdire şayan bulduğunu biliyorum, fakat Putin gerçekten de zor ve uzun bir oyun oynamaktadır burada. Yaptıklarından birisi ise serbest siber saldırganların devlet dosyalarını, kişisel dosyaları, Demokratik Ulusal Komitesini (DNC) hacklemelerine müsaade etmesidir. Henüz öğrendik ki, bilirsiniz, bu tahribat yapmak ve bilgi toplamak için tercih edilen yöntemlerden birisi. Çok net olarak ortaya koymalıyız ki - Rusya, Çin, İran veya başkası – Amerika Birleşik Devletlerinin daha fazla kapasitesi vardır. Ve biz sessiz oturmayacağız ve devletlerin bilgilerimize, özel sektör bilgilerimize veya kamu sektörü bilgilerimize ulaşmasına izin vermeyeceğiz.
Ve şunu net olarak ortaya koymalıyız ki, elimizde olan bu türdeki aletleri kullanmak istemiyoruz. Biz değişik türde bir savaşın içerisine girmek istemiyoruz. Fakat biz bu ülkenin vatandaşlarını koruyacağız.
Ve Rusların bunu anlamaları gerekiyor. Bunun bizim nereye kadar gideceğimizi ve ne kadar şey yapabileceğimizi görmek için bir deneme olarak değerlendirdiklerini düşünüyorum. Ve Donald’ın açıkça Putin’i Amerikalıları açıkça hacklemeye davet ettiği zaman gerçekten de gerçekten de şok oldum. Bu kabul edilemezdir. Cumhuriyetçilerle çalışmış 50 güvenlik yetkilisinin Donald’ın başkomutan olmaya uygun olmadığını söylemelerinin sebebi de budur. Bu tür yorumlar bizim ne tür tehditlerle karşı karşıya kaldığımızı anlayan kişileri gerçekten de üzen şeydir.
SUNUCU: Sayın Tramp, aynı soruya ilişkin iki dakikanız var. Bunun arkasında kim var? Ve bununla nasıl mücadele etmeliyiz?
Sibere gelecek olursak, Sekreter Clinton’un söylediklerinin bir kısmına katılıyorum. Herkesten daha iyi olmamız gerekiyor, ve belki de değiliz. Kimse onun, DNC’yi hackleyenin Rusya olduğunu bildiğini sanmıyorum. O Rusya demekte, Rusya, Rusya, fakat ben böyle söylemiyorum, -belki de öyledir. Demek istediğim, Rusya olabilir, fakat Çin de olabilir. Bir çok kişi de olabilir. Belki de yatağında oturan 400 pound ağırlığında bir kişi de olabilir, tamam mı?
DNC’ye kimin girdiğini bilmiyorsunuz.
Fakat DNC ile neyi öğrendik. Bernie Sanders’in adamlarınız Debbie Wasserman Schultz tarafından faydalanıldığını öğrendik. Ona ne olduğuna bakın. Fakat Bernie Sanders’ten faydalanılmış. Bu öğrendiğimiz şey.
Şimdi, Rusya’ydı veya Çin veya başka bir ülke olup olmadığını bilmiyoruz, çünkü gerçek şu ki, Başkan Obama döneminde kontrolümüzün olduğu bazı şeylerin kontrolünü kaybettik.
Biz İnterneti oluşturduk, biz İnterneti yükselttik ve düşünüyorum ki Sekter Clinton ve şaşım çok fazla anlaşacaktır ki, DAEŞ’in İnternette ne yaptığına baktığınızda, onların bizi kendi oynumuzda bizi yendiklerini görüyoruz.
Biz siber ve siber savaşta çok, çok fazla sert olmalıyız. Bu büyük, büyük bir problem. Bir oğlum var. 10 yaşında. Bilgisayarları var. Bilgisayarda çok iyi, inanılmaz. Siberin güvenlik boyutu çok, çok sert. Ve belki de hemen hemen hiç sağlanamaz.
Fakat söyleyeceğim, biz yapmamız gereken işi yapmıyoruz. Fakat bu bizim tüm kamusal topluluğumuzun tamamında gerçektir. Bizim daha iyi yapmamız gereken çok fazla şey var, Lester, ve kesinlikle siber bu alanlardan birisi.”
Hillary Clinton ve Donald Trump tartışmasında en dikkat çeken ifade Clinton’un.
“Ve şunu net olarak ortaya koymalıyız ki, elimizde olan bu türdeki aletleri kullanmak istemiyoruz. Biz değişik türde bir savaşın içerisine girmek istemiyoruz. Fakat biz bu ülkenin vatandaşlarını koruyacağız.”
Siber silahların konvansiyonel veya nükleer silahlardan çok önemli bir farkları var. Caydırıcılığı sağlamak için nükleer silahın olduğunu yedi düvele duyurursun; siberde ise tam aksini. Siber güç isen, seni bilen bilir! Siber alanda birçok silah var, ve o an gelinceye kadar o silahların varlığını bile bilmeyeceğiz. Clinton’un bahsettiği de aslında bu.
Siber güvenlik alanında Türkiye’de de şüphesiz çalışmalar yapılmaktadır. Ancak bu çalışmaların Türkiye’yi küresel veya bölgesel güçler bloğunda esaslı yer teşkil ettiğini iddia etmek rasyonel bir değerlendirme olmayacaktır. Peki, Türkiye’de sorun nedir?
Siber güvenlik sağlanmadan siber güç olunmaz. Konunun siber alandaki derin teknik detaylarına girmeden evvel temel fiziksel boyuta bakmakta fayda var. Cumhurbaşkanlığı'na bağlı Devlet Denetleme Kurulunun 2013 yılında yayımladığı 27.11.2013 ve 2013/3 sayılı “Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları” rapor bu konudaki temel sorunları tüm çıplaklığıyla oraya koyuyor. Söz konusu raporun ilgili kısımlarından aşağıda yapılan alıntılar Türkiye’de sistemsel bir siber güvenlik aşamasındaki fiziksel zafiyetleri ortaya koymaktadır:
“Denetimlerde:
Bazı kurumların sistem odalarının fiziksel güvenliğinin zayıf olduğu, giriş kapılarının ahşap gibi zayıf bir malzemeden yapıldığı ve kısa sürede kırılabilecek asma kilit ile korunduğu,
Bir kurumda, sistem odasından doğrudan açık otoparka açılan bir kapı ile çıkış yapılabildiği,
Bir kamu kurumuna ait sistem odasının yaya ve araç trafiğinin yoğun olduğu ve çok sayıda kitlesel eylemin yapıldığı yerlere çok yakın olduğu ve donanım yüklemesi için kullanılan kapının hemen yanında kişi trafiği yoğunluğu olan PTT şubesinin bulunduğu,
Aynı kamu kurumunun tüm internet erişimini sağlayan kabloların bina dışından açık bir şekilde taşındığı ve fiziksel müdahaleye açık olduğu,
Başka bir kamu kurumunun, kendine ait bilgi işlem merkezinin bulunmadığı ve tüm sistemlerinin ticari bir firmadan kiralanan bir bilgi işlem merkezinde çalıştığı, bu merkezde başka kurum ve firmalara ait sistemlerin bulunduğu ve başka firma elemanlarının kurum sunucularına fiziksel olarak erişebildiği
tespit edilmiştir.”
Türkiye’de son zamanlarda çeşitli kurumlar veya kişiler hacklendi ve bu konuda bazı hackerlar prim yaptı. İşin özüne indiğimizde ise kazın ayağının öyle olmadığını gördük. Esasında bu tür hacklemeleri teknik olarak hackleme değil. İçeriden bir hain dosyaları veriyor ve hacker prim yapıyor! Fiziksel katmandaki yukarıda bahsedilen sorunlar sebebiyle, kurum hacklenip hacklenmediğini bile anlayamıyor.
Türkiye’de strateji var, eko sistem yok! Siber güvenlikle ilgili politika var, onu hayata geçirecek gerçekçi eylem planı yok. Milli yazılım projeleri var, ancak bunları yaygınlaştıracak bir eylem planı yok. Her kurum müstakil şekilde sıfırdan Amerika’yı keşfediyor. Kol da kırılınca yen içinde kalıyor. Tecrübe aktarımı olmadığı için her milli yazılım projesi sıfır noktasında başlıyor.
Öte yandan önemli bir konu var: veriyi yurt içinde tutma! Bilişim alanında bir proje yapmak istiyorsunuz. Bu projeyi hayata geçirmek için hostinge ihtiyacınız var. Sistemin hem hızlı hem de ucuz olması temel kriteriniz. Veriyi yurtdışına çıkarmak da istemiyorsunuz. Ancak alternatifleriniz kısıtlı. 100 dolara yurtdışında tam donanımlı sınırsız trafikli ve uzaktan tamamen yönetebileceğiniz sunucu kiralayabilirken, bu paraya Türkiye’de alabilecekleriniz sınırlı. Çünkü, hosting sektörü için özel bir strateji yok. Bir yandan suçla mücadele için ağır idari ve cezai hükümlerle karşı karşıya kalırken hostingciler, bir yandan da konunun stratejik önemini içselleştirmemiş Maliye bürokrasisiyle boğuşuyor. Sonuç, ABD veya Almanya’da bir hizmet sağlayıcıyla anlaşıyorsunuz ve sorun sizin açınızdan çözülüyor. Verinin yurtdışına çıkması mı? Devletin o konuda bir stratejisi yok. Hosting alanında yatırım yapmamak için bir çok neden var. Bir veri merkezinin elektriğinin çekilmesinden, fiber altyapısının kurulmasına kadar aşılması gereken o kadar çok bürokratik engel var ki, o alanda yatırım yapmak yerine veriyi yurtdışına taşıyorsunuz. Hem yurtdışına ödeme yaptığınız için vergi kaybı oluyor, hem de veri yurtdışında olduğu için bilgi güvenliği riski.
Son zamanlarda dikkate çeken satın almalar var. Yabancı firmalar Türkiye’deki hosting firmalarını gözlerine kestirmiş durumda ve ilginçtir Türkiye’de barındırma hizmeti veren firmalar teker teker yabancıların eline geçiyor. Türk firmaların da tamamının milli şuurla hareket ettiğini söylemek zor. Hosting şirketi bir Anonim Şirket olabilir Türk hukukuna göre kurulmuş. Ancak ortakları yabancı olabilir. Bu durumda, veri fiili olarak Türkiye’de olabilir ancak veri merkeziyle ilgili tüm kararlar yurtdışından alınıyor. Etkin bir denetim de olmadığı için verinin yurtdışına aktarılıp aktarılmadığı, ayrı bir veri analizi uygulanıp uygulanmadığını bilemiyoruz.
Veriyi amiyane bir tabirle “Misak-ı Milli” sınırları içerisinde tutmak gerekiyor! Ancak bunun için eko sistemin tüm unsurlarını düşünmek gerekiyor. İşin hem vergisel boyutu var hem de güvenlik. Bu aşamaları geçmeden siber güvenlikle ilgili konuşmak zor.
Milli yazılım projeleri bakımından da durum farklı değil. Açık kaynak yazılımla bir proje geliştiriyorsunuz kamuyu lisans yüklerinden kurtaracak. Bunu kamuya sunduğunuz zaman, kim bunun desteğini verecek, bunun kim sürekliliğini sağlayacak diye daha ilk baştan eleniyorsunuz. Eko sistem kurmak için bir yerden başlamak gerekiyor. Bir yerden başlamayınca her zaman sıfır noktasında var olmaya devam ediyorsunuz. Veri tabanı alanında belirli şirketlerin karteli var kamu altyapılarında. O kadar fiyat indirimi yapıyorlar ki, rekabet etme imkanınız yok.
Sözün özü, Türkiye’de strateji var, eko sistem yok! Daha temel konuları aşmadan da siber güvenliği konuşmak ne kadar doğru?

 1 Remarks by Israeli Prime Minister Benjamin Netanyahu at the 71st sessions of the United Nations General Assembly in New York, September 22, 2016 <http://www.timesofisrael.com/netanyahus-full-remarks-at-un-general-assembly/>
 2 Full Transcript from the First Presidential Debate Between Trump, Clinton
 <http://www.nbcnews.com/storyline/2016-presidential-debates/full-transcript-first-presidential-debate-between-trump-clinton-n655141>

 

 

Bu Yazı Hakkında Ne Söylemek İstersiniz?

  • UYARI: T.C. kanunlarına uymayan, konuyla ilgisi bulunmayan, hakaret içeren, inançlara saldıran, şiddete teşvik eden ve tamamı büyük harfle yazılan yorumlar onaylanmamaktadır.
Gündem
Kamplarda 78 bini aşkın Suriyeliye eğitim veriliyor
Türkiye
Şırnak'ta terör mağduru ailelere destek
Dünya
Bangladeş'te Müftü Abdul Hannan'a idam cezası onandı

Hava Durumu

Detaylı Hava Raporu