Bilgi GüvenliğiKAFKASSAMTBG

2019-2023 Ulusal Siber Güvenlik Stratejileri (manifesto)

MANİFESTO

Özet

Kurumlarda bilgi işlem departmanlarının yönetim kurullarında ilgili müdürlüklerin altında organizasyon şemalarının en kritik alanlarında konumlandırıldığını ve tüm organizasyon şemasında bulunan birimler için vazgeçilmez bir departman olduğunu biliyoruz. Bilgi işlem departmanları bünyesinde bulundurulan bir çok güvenlik teknolojisin gereksinim ve sorumluluklarının artması nedeni ile Bilgi Güvenliği departmanlarının da eş zamanlı olarak kritik öneme haiz olduğu da gerek uluslararası standartlara entegre olmak adına gerekse, yaşadığımız bu günlerin zorunlukları arasında olduğu aşikardır. Nesnelerin interneti, Endüstri 4.0, Siber Güvenlik gibi kavramlar ve bu kavramları oluşturan enstrümanların çokluğu, uzmanlık seviyelerini ve kavramların otomatize edilmesini de zorunlu kılmaktadır. İşte bu zorunluluk aslında geliştirme yaparken kullandığımız ancak yeterli bilgi birikimi olmasına ragmen güçlü bir iradenin ortaya konularak Yapay Zeka kavramının hayatımıza entegre edilmesinin önemini de farketmemize neden olmuştur.

siber zorbaların hedefi olan birçok global firmanın ve hatta devletlerin bile siber ordularını konvansiyonel olmayan savaş teknikleri arasına Siber Güvenlik Orduları’nı dahil etmeleri de yine ayrı bir zorunluluk olmuştur. Ulusal Siber Güvenlik Stratejileri 2016-2019 da bizlere tanımlanan görevlere göre çalışmalarımıza devam ederken, 2019-2023 Ulusal Yapay Zeka ile Siber Güvenlik Stratejileri adına görüşlerimi kamuoyuna sunuyorum.

 

2019-2023 Ulusal Siber Güvenlik Stratejileri (Türk Bilişim Grubu  Manifesto)

 

Türkiye Cumhuriyeti’nin Jeopolitik konumunun, Dünya ekonomik gücünün ve enerji transferinin geçiş noktası olmasının yanında, bilişim altyapılarının da geçiş noktası olduğu kesin bir gerçektir. Bir taraftan 5G için İspanya’da yapılan protokol, diğer taraftan İstanbul Büyükşehir Belediyemiz tarafından düzenlenen Otonom araç ihalesi ile bu geçiş noktası adeta bilişim teknolojileri, yapay zeka ve endüstri 4.0 ile perçinlemektedir. Öte yandan Rusya’nın World Wide Web in dışına çıkarak kendi internet yapımıza geçiş yapabiliriz söylemi, bizim de World Wide Web ile iletişime geçebilen bağımsız bir internet altyapısına kesin ihtiyaç duyacağımızın da bir başka göstergesidir.

Şayet biz 2023 e kadar tam bağımsız bir bilişim altyapısı ve bilişim teknolojileri kullanamazsak Windows’tan kaçarken Linux e bağımlı kalma tehdidi ile karşı karşıya kalabiliriz. Tüm bu bağımlılıkların da ötesinde, NATO ile Rusya arasında kızışan teknik savaşta, her iki teknolojiyi birbirine karşı kullanan iyi de bir stratejimiz bulunmaktadır. Bu stratejinin NATO’yu getirdiği durum ise Çek general tarafından açıklandı. ABD’li Breaking Defence dergisinin haberine göre, S-400’lerin teknik nedenlerden dolayı NATO savunma sistemlerine entegre edilemeyeceğini belirten Pavel, “Ancak bu şartlarda S-400’ler NATO için tehlike yaratıyor. Sorunu oluşturan S-400’ler değil, roket sistemlerinin işlevlerini normal olarak yerine getirebilmeleri için veri tabanına erişim sağlanması” dedi.

Çek General, NATO üyesi olan Türkiye’de, NATO müttefiklerine ait tüm kaynakların Rus sistemleri tarafından kayıt altına alınacak olmasının “risk” teşkil ettiğinin altını çizdi.

Bu açıklama ile birbirinden bağımsız olan NATO ve Rusya askeri veri tabanının Türkiye’nin satın aldığı S-400 ler için gereken bilişim altyapısının, bu güne dek NATO standartları (CMMI) gereği kullanılan Microsoft ağırlıklı bilişim alt yapısı için büyük risk olduğu da kabul edilmiş oldu. NATO, S-400 veri tabanları ile müttefik olmayan bir ülke ile entegre olamayız ve buna sebep olan Türkiye’nin NATO’ya ait olan veri tabanlarının başka sistemlerle iletişime geçmesini de kabul etmeyiz diyerek, mevcutta kullandığımız sistemlere verilen desteği kesme ihtimali görülmektedir. Çünkü, bulunan bir çok açığın yaması bizlerle paylaşılmayabilir ve çok daha kombine zararlar verilerek bilişim altyapımız hedef alınabilir. Bu durumda, Rusya’nın teknolojik güdümü altına girmek de bu güne dek oluşturulan Milli Yazılım, Milli Donanım ve Milli Teknolojiler farkındalıklarına da aykırıdır. İlgili Kurumun 2019-2023 stratejileri başlığı altında bu tip sorunları ön görmüş ve gerekli adımların neler olduğunun belirlenmesi büyük önem arz etmektedir.

Olmazsa olmaz tek bir konu var ve o da kesinlikle Türk ve Türki cumhuriyetler ile İslam ülkeleri başta olmak üzere, kendimize ait olan ve global bilişim altyapıları ile güvenle entegre edilebilen bir bilişim altyapısını, tamamen bağımsız olarak geliştirmeyi hedeflemeliyiz. Aksi halde Millilik adına ne konuşursak, popülist söylemlerden öteye geçemeyeceğiz.

İran’da yaşanan Apple krizi (4), Rusya’nın World Wide Web’in dışında kalmak istemesi ve NATO tarafından yapılan S-400 açıklamaları gösteriyor ki, dijital ambargo ülkemizde yaşanabilir. Olası bir Dijital Ambargo senaryosu karşısında ne gibi önlemlerimizin olduğu her kurumun başkanlığı seviyesinde hazırlanıp sunulması da gerekmektedir  Özellikle Five-Eyes olarak bilinen ülkeler tarafından geliştirilen teknolojileri kullanan tüm kurumların, ivedilikle Risk Analizi ve Siber Güvenlik Eylem Planlarını hazırlmaları gerekmektedir. Aksi halde, Milli Güvenlik Kurulu’na iletilen bu tip raporların, ehil olduğu sanılan kişilerce hiçe sayılması, ulusal güvenliğimizi tehdit edecektir. Bu tehditi algılaması, raporlaması ve çözüm üretmesi gerekenler, elbette ki bilgi işlem kurum ve  departman yöneticileridir. Bu anlamda gerekli hassasiyetin gösterilmesi ve devlet erkanının yanlış yönlendirlmemesi için bu çalışma (Bütün kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler, Siber Güvenlik Kurulu (Ek-A) tarafından belirlenen politika, strateji ve eylem planları çerçevesinde kendilerine verilen görevleri yerine getirmek ve belirlenen usul, esas ve standartlara uymakla yükümlüdür)  hazırlanmıştır.

Risk Analizi

Türkiye’de özel ve kamu sektörlerinde kullanılan bilişim altyapısı ile güvenlik ürünleri ve bu hizmetleri veren kurumların öncülüğünde entegre edilmekte ve güvenliği sağlanmaktadır. Hatta, yayınlanan risklerin çoğu bu tip markaların açıklamalarından sonra öğrenilebilmektedir. Bu durumda bağımısz bir Risk Analizi yapmak için bahsi geçen markaların teknolojilerini kullanan değil, geliştiren ve hatta uluslararası standartlarda API desteği vererek bilişim sistemlerin risk analizini test edebilmek için kernel seviyesinde sistemlere entegre olmalı ve makine öğrenme metotlarını belirlemeyiz. Aksi halde, örneğin portları dinleyen bir Linux Kali operatörü ile hazır bir programı kullanan operatörün topladığı verilerde farklılık gözlenecektir. İnsan unsuruna dayalı hataların tespiti iyi yapılırsa, yapay zeka ile siber güvenlik risk analizi yapmanın kolaylığını ve şüpheli işlemleri analiz eden operatörlüğün çok popüler bir meslek haline dönüşeceğini de öngörmekteyim.  Bu doğrultuda bağımsız verilerin toplanabilmesi için yerli kurumların bağımsız ve milli teknolojiler ile verileri elde edebilen bir analiz platformu bulunmadığına dikkat çekerek, detaylı bir çalışma istenmesi halinde yeniden derlenecektir.

İnternet Kullanımı ve Güvenli İnternet

Türkiye İstatistik verilerine göre, Bilgisayar ve İnternet kullanımı 2017 yılında 16-74 yaş grubundaki bireylerde sırasıyla %56,6 ve %66,8 oldu. Bu oranlar 2016 yılında sırasıyla %54,9 ve %61,2 idi. Güvenli internet kullanımı için “Siber Güvenilir Kullanıcı” tanımımızı farkındalık çalışmaları ile yaygınlaştırmayı hedeflemeliyiz. Güvenli internet ortamı ancak siber güvenilir kullanıcı nasıl olmalı sorusuna yanıt vererek sağlanabilir. Olası tehdit türleri bilinir ve haftalık tehdit raporları düzenli olarak takip edilirse, eminiz ki siber saldırılara karşı bilinen senaryolar belirlenir ve sistemi en kısa sürede yeniden yapılandırabiliriz.

Haftalık olarak yayınlanan Haftalık Tehdit Raporu isimli çalışmaların sayısının arttırılması ve merkezi olarak yayınlanması için sorumlu kurumun belirlenmesi ve bu kurumların altyapı desteği Pardus Sunucuları tarafından verilmedir. Kurumnet ile elde edilen başarının bir yenisini Milli Bilişim çağrısı ile ortaokul ve liselerden destekleyebiliriz.  Fatih projesinde verilen tabletler hali hazırda kullanıcı olan öğrenciler için yeterli miktardadır. Ancak geliştirici çocuk yaşının ilköğretim seviyesinde olması nedeni ile ölçülü miktarda açık devre ve geliştirilebilir platformlar, geliştirici özelliği olan çocuklarımızın tespit edilmesi sonrası pek ala RaspberryPi gibi platformlar dağıtılabilir. Elbette yerli ve milli yazılım cümlesinin hakkını verebilmek için RaspberryPI, Ardunio benzeri donanım ve bu donanımla iletişime geçebilen anlaşılabilir bir makine dili geliştirmek 2019-2023 stratejilerimizde yer almaktadır. Geliştirilebilir platformları kullanan çocuklarımız ile RaspberryPi benzeri platformları geliştirebilen çocukların, rehberlik faaliyetleri ve atolye çalışmaları ile belirlenmesinde fayda vardır.

 

İnternet’e bağlı bilgisayarlar ve mobil cihazlar, öğrenmek, oyun oynamak, sosyalleşmek, ağ kurmak, iletişim kurmak, işbirliği yapmak veya kaynakları paylaşmak için her yaştan genç için öncelik haline geliyor. Günümüzde, mobil bağlantılar, sıcak noktalar (hotpoints) ve evde, okullarda ve ofislerde yaygın kullanılan kablosuz ADSL bağlantıları sayesinde, her an bulundukları alanlarda kolaylıkla internette gezinebiliyorlar. İnternet’e bağlı cihazların kullanıcılarının, yaşı gittikçe düştüğü için, gençlerin daha genç olduğu veya daha genç yaşta çocukların kaynaklara giriş yapması ve güvenlik politikalarının kullanımına ilişkin gizlilik risklerine maruz kalması gibi güvenlik endişeleri artmaktadır.

 

Çevrimiçi İnternet veya hassas bilgilerin paylaşımı.

 

İnternetin kendisi güvenli bir ortam değildir. Ve yeni başlayanlar (evde ve okulda), veri gizliliği ve güvenliği ile ilgili konuların tehlikelerini, yazılımları indirmeden veya yüklemeden veya sonunda kendilerine zarar verebilecek herhangi bir şey yapmadan önce kendilerini nasıl koruyacaklarını bilmelidirler. Bu doğrultuda, Siber Güvenilir Kullanıcı farkındalık eğitimlerine ağırlık verilmelidir.

Kullanıcı nekadar genç olursa, mobil cihazları veya İnternet bağlantılarını kullanırken okadar dikkatsiz olabilmektedir. Günümüz gençleri ve genç kullanıcılar, internet bağlantılı cihazlarla ilgili tüm teknik konularda oldukça güncel bilgil sahibidirler, ancak normal olarak İnternet üzerinden bilgi paylaşımında, kamuya açık noktalara dokunarak veya cihazlarını düzgün şekilde güvence altına alamaktadırlar. Bu nedenle, çocukların siber güvenlik kavramı ile nekadar erken yaşta tanışması gerektiğini ve güvenlik bilincini öğretirken gerçekten faydalı olacağı konusunda tartışmalar yaşanmaktadır. Bugünün İnternet kullanım koşullarında küçük çocuklara “çevrimiçi olarak güvende kalmak” için ipucu ve bilgi sunmak için doğru yaş nedir?

 

 

Amerika’da Ulusal Siber Güvenlik Bilgilendirme farkındalık çalışmaları, çocuklar için hazırlanan bir sunumda, “8-18 yaş arası çocukların çevrimiçi olarak günde 7 saat 38 dakika harcadığı tespit edilmiştir; bir çocuk gecede 8 saat uyuyorsa, uyanık olduğu zamanın yarısı çevrimiçi geçiyor demektir ” Dur, Düşün ve Bağlan isimli farkındalık çalışması, bu dijital çağda çocukların artık erken yaşta bilgisayarlar, akıllı telefonlar veya tabletleri keşfettiği anlamına geliyor. Çevrimiçi olarak yeni deneyimler geliştirdikçe ve keşfederken, keşif ve doğal merakla öğrenme, ebeveyn denetimi ve ebeveyn kontrol araçları faydalı olabilir. Bununla birlikte, tüm bu araçların önleyebileceği çok şey var; çocukları uygun olmayan kişilerin günlük tehlikelerinden korumak ve bilgisayar korsanlarının sistemlere sızarak bilgi girmelerinin kolay bir hedefi haline gelmesini önlemek için daha fazla bilgilendirme faaliyetine ihtiyaç vardır.

 

Gerçek şu ki, günümüzde öğrenciler, bilgisayarlara, eğitim yada oyunlara yönelik kullanımlar nedeni ile ilgi duymaktadırlar. Buna ek olarak, giderek artan bir kullanım oranı ile sosyal medya da vakit geçirmektedirler. Çocukların genç yaşta internetete gezinmelerinin gerekip gerekmeyeceği ise tartışmalı bir konudur; Bununla birlikte, günümüzde 13 yaşına gelindiğinde, birbirine bağlı, mobil ve sosyal olan çocuk sayısı da giderek artmaktadır. Her yaştan çocuk, “çevrelerindeki daha geniş olan bir dünyayla bağlantı kurmaları, iletişim kurmanın en ileri teknolojik yolunu kullanmaları, teknoloji odaklı bir neslin parçası olduklarının da ayrı bir göstergesidir.

 

Etkili güvenlik bilincini başlatmak için uygun zaman ne zaman? Bazıları siber güvenlik bilincinin küçük yaştaki çocuklara öğretilmesinin gereksiz olduğunu veya verimsiz bir sonuç doğurabileceğini düşünebilir. Ancak siber güvenlik konusunu tartışmaya açmak için en uygun an çocukların teknolojiyi kullanmaya başladığı gerçeğini kabul etmekle başlar. Bu yolla, bilgisayar bilgisi ve güvenlik bilinci en baştan ayrılmaz bir ikili olarak görülebilir. İlk bilinçlendirme eğitimi, çocukları çevrimiçi ortamda tutmak için ebeveynlerin verdiği, onlara erkenden esnek dijital vatandaşlar olmalarını ve siber güvenilir kullanıcı olmaları gerektiğini öğretmektir.

Çocukların çevrimiçi güvenliğiyle ilgili bir bildiri kitabında (SANS Enstitüsü) siber bağlantılı çocuklar için en önemli tehlikeleri tanımladılar;

 

  • )Yabancılar / Suçlular : Bu ilk tehdit açıkça Fiziksel ortamlarda olduğu gibi, çevrimiçi olarak gözetimsiz çocukların, verileri, resimleri, aileye ait bilgilerinin paylaşılmasıdır. Çevrimiçi tehlikelerden habersiz kullanıcıların, hassas verilerini düşünmeden çevrimiçi ortamlarda paylaşması ise çok büyük bir güvenlik zaafiyetidir.
  • Siber zorbalık : Gerçek bir olasılıktır ve okullarda, mahallelerde gerçek zorbalığa göre daha saldırgan ve zararlıdır.Üstelik, sanal ortamlarda gerçek kimliklerini gizleyen Siber zorbalar kolaylıkla tespit edilememektedir. The Guardian gazetesi muhabiri Jessica Elgot’a göre, dünyadaki 4700’den fazla genç hakkında yapılan “küresel bir ankette, siber zorbalığı yaşayanların beşte birinin intihar ettiklerinin gözlemlendiği ve yarısından fazlasının aldatılmış olduğunu söylemiştir. Kısacası, siber zorbalık fiziksel zorbalıktan çok daha kötü olarak kabul edilmektedir.

(Ülkemizde çocuk istismaralında yaşanan zaafiyetlerin giderilmesi için  Aile eve Sosyal Politikalar bakanlığı tarafından hazırlanan Alo 183 isimli destek hattından erişilebilir uzmanlar tarafından destek istenmelidir)

 

Gençlere daha düşünceli ve sorumlu teknoloji kullanıcıları olmayı öğrenmelerine yardımcı olmak için Siber Güvenilir Kullanıcı başlığının teşvik edilmesi çok önemlidir. Ebeveynlerin çocuklarıyla internet kullanımı hakkında görüşmesi ve yönlendirmede bulunmaları zorunluluk haline gelmiştir. Hangi web sitelerinin ziyaret etmeye uygun olduğunu belirleme konusunda bilgi ve yönlendirme çalışmaları BTK tarafından Güvenli internet başlığındaki farkındalık çalışmaları ile desteklenmektedir.

 

Güvenli İnternet Hizmetine ilişkin çalışmalar, Anayasanın “Ailenin korunması ve çocuk hakları” başlıklı 41. Maddesi ve “Gençliğin korunması” kenar başlıklı 58. Maddesi hükümlerine dayanmaktadır. Ayrıca bu Anayasal hükümlerin yanında Elektronik Haberleşme Kanununun Tüketici ve Son Kullanıcı haklarını düzenleyen hükümleri ile bu kanun uyarınca çıkarılan Tüketici Hakları Yönetmeliği’nin “İnternetin Güvenli Kullanımı” başlıklı 10.maddesi de uygulamanın kapsamını belirlemiştir. Yonetmelik, İşletmecilere İnternetin Güvenli Kullanımına yonelik ücretsiz alternatif hizmeti sunma yükümlülüğü getirmiştir.

Daha küçük yaştaki çocuklar için ebeveyn güvenlik araçları kullanılabilir. Birçok ücretsiz seçenek mevcuttur ve çoğu internet servis sağlayıcıları genellikle koruma araçları sunar. Örneğin, Windows Live Aile Güvenliği, kullanıcıların web filtreleme ayarlarını ve parametrelerini filtreleyerek web filtreleme / engelleme denetimlerini kullanarak engelleyen veya engelleyebilecek ücretsiz bir içerik kontrol yazılımıdır. Microsoft Aile Güvenliği, çocukların bilgisayar faaliyetlerinde sekmeler bırakıp çevrimiçi daha güvenli kalmalarını sağlamak için uygundur. Kullanıcı hesabı ve güvenlik ayarları yapıldıktan ve çocuğa yönelik farklı derecelendirme, kısıtlamalar ve ayrıcalıkların kurulması tamamlandıktan sonra, ebeveyn için geriye kalan tek şey, internet kullanımı hakkında gençlerle bazı temel kuralları konuşmaktır.  Buna ek olarak, Türk Telekom servis sağlayıcısı olarak Aile Profili ve Çocuk Profili başlıklarında hizmetler ile çocukların zararlı içeriklere erişimini önlemeye çalışmaktadır.

 

 

Ebeveynlerin de örneklerle yönlendirilmesi gerekir; bu özellikle gençler ve çocuklar için önemlidir. FOSI (Family Online Safety Institute) tarafından yapılan bir araştırmaya göre, ebeveynler, çocuğun kişisel bilgilerinin mahremiyetini korumak adına çok büyük endişeler yaşıyor. Gerçekten, ankete katılan ailelerin% 36’sı bir ebeveyn kontrol aracı kullanarak, sınırlamaya yardımcı olmaya çalıştıklarını bildirdi. Hatta, çocuğunun İnternet kullanımını izlemek ebeveynler için vazgeçilmez bir seçenek haline geldi.

 

Bilinçli ebeveynlik çalışmaları farkındalık çalışmaları için yardımcı olabilse de, okullar ve öğretmenler, siber güvenlikle ilgili çocukları tanımanın ana paydaşlarıdır. Çocukların çevrimiçi deneyimlerinden en iyi şekilde yararlanmalarını sağlamak için sosyal medya güvenliği konusunda sosyalleşmeyi de destekleyen önemli dersleri güçlendirmek için okullarda İnternet güvenliği bilgilendirme toplantılarının sayısının arttırılması önem arz etmektedir. Hatta, mezun öğrencileri kendilerine daha yakın hisseden öğrenciler için interaktif çalışmalar tercih edilmelidir.  Geleneksel suç farkındalığı gibi siber bilinçlilik başlıklarında kötü alışkanlıklardan ve tipik gençlik öncesi dikkatsizlikten doğan hataları en aza indirgemek için de oyunlar ile küçük yaştaki çocuklara da farkındalık çalışmaları organize edilmelidir.

 

Bu dijital çağda, siber iletişim, çevrimiçi gezinti ve çevrimiçi olarak sosyalleşme, aslında çocuğun gündelik hayatının bir parçası olmuştur. Siber güvenlik dersleri okullarda ve evlerde zorunlu tutulmalıdır.

 

 

Çocuklar, günümüzde giderek karmaşık ve potansiyel olarak tehlikeli bir dijital dünyada büyüyor. Gittikçe artan bir şekilde elektronik ve küresel dijital topluma dönüşüyoruz. hepimizin kişisel ve hassas verilerinin ne olduğunu bilerek, paylaşılan kaynakları akıllıca kullanma ve koruma sorumluluğu vardır. Çevrimiçi tehdit ve zararlardan kaçınmak için çocukların gerekli siber güvenlik çalışmaları ile bilinçlendirilmesi çok önemlidir. Aile üyelerinden okul personeline kadar olan yetişkinler, gençlerle çevrimiçi olarak meşgul oldukları konularda konuşmalı ve kişisel bilgi paylaşımını sınırlamalarını teşvik etmeleri için bir hedef belirlemelidir. Çocuklar çok erken yaşta bilgisayarları ve mobil cihazları kullanmaya başlarlar. Ebeveynler çocukları için evde kullanılan interneti güvenli tutmaya yardımcı olabilirken, öğretmenler bunu öğrencilerin güvenliğini teşvik eden programlar aracılığıyla da destekleyebilirr. Her iki factor de gelecek nesillerimizin hayatlarını korumada olumlu bir fark yaratabilir.

Siber bilinci öğrenmeye başlamak için henüz bir yaş seviyesi belirlenmemiştir.  Gerçek kişi olarak, siber güvenlik konusunda “Her internet kullanıcısı, ne kadar genç veya yaşlı olursa olsun, milletimize zarar vermek isteyen insanlara karşı ilk savunma hattıdır” diyor ve kamuoyuna arz ediyorum.

 

 

Siber Güvenlik ve Ulusal Güvenlik

 

Ulusal Siber Güvenlik Stratejileri 2016-2019 başlıklı çalışmada en çok vurgu yapılan konuların başında Milli Yazılım ve Milli Donanım gereksinimleri damgasını vurmuştur. Gelişen teknolojiler ve bu gelişimin hızı ise bizleri adeta ya bu teknolojiyi kullanırsın yada kullanmayıp yeniden kurgularsın noktasına getirmiştir. Oysa bu iki seçenekten çok daha fazlasını tanımlamak bizlere aittir. Bizler, mevcut teknolojileri güncel olarak takip ederek tersine mühendislik ve iş geliştirme faaliyetlerini destekleyici çalışmalara hız verilmesini öneriyoruz. Özellikle siber güvenlik alanında kurumlarımızda aktif olarak kullandığımız güvenlik yazılım ve donanımlarını en iyi test eden çalışanlarımızdan geri bildirimler alarak, yeni ve yerli teknolojileri imal ederken yurt dışı pazarına da teknoloji ihraç eden bir konuma gelebiliriz düşüncesindeyiz. Ulusal güvenliğimiz için TİKA’nın hizmet verdiği ülkelerde geliştirdiğimiz teknolojileri kullanmayı hedeflerken, mevcut teknolojileri çok iyi öğrenerek olası bir siber tehdit durumunda kullanmak üzere Web, mobil ve kurumsal ölçekli teknolojiler üzerine “Geliştiren Ülke” konumuna gelmeyi hedeflemiliyiz.

En basit web teknolojileri arasında yerini alan cookie başlığı ile tarayıcı geçmişimizde yaptığımız tüm hareketler algılanabilir ve alışkanlıklarımız tespit edilebilir. Web teknolojilerinin en temel gereksinimi olan bir konuda lisans üretilmemesi üzücü bir durumdur.  Ayrıca kullanılan birçok entegre web teknolojisinde Lisanslama olmadan geliştirme yapılması, (unkown publisher)  gelecekte ön görülen siber tehditler için, parmak izi, sosyal mühendislik, veri tabanı köprüleme veya aynalama metotlarını beraberinde getirmekte ve çok açık bir güvenlik zaafiyetine sebep olmaktadır. Bu konuda geliştirici kurulların oluşturulup ilk başta Üniversiteler bünyesinde geliştirme faaliyetlerinin devamlılığı ve standartları netleştirilmelidir.

Dünya’da ilk defa robotlara vatandaşlık verilen Suudi Arabistan’ın 4. Silahlı Kuvvetler-Yerli Üretimi Destekleme Fuarı’na (AFED 2018) Türkiye’nin “şeref konuğu” olarak davet edildiği, Havelsan, Roketsan, Tai gibi 25 Türk firmasının yanında ROBOTSAN gibi yeni kurumların da katılmasını, Ulusal Siber Güvenliğimiz ve İleri Teknoloji Gelişimi konusunda önem arz eden bir başlık olduğunu yüksek sesle dile getirmekte fayda görmekteyim. Ülkeler, Askeri gücün yanı sıra, bilişim ve güvenlik ürünlerini de bağımsız ve milli olarak geliştirmeli, bu çabaları ivedilikle desteklenmelidir. Aksi halde, 5G teknolojisini kullanan ve kurulum hizmeti veren operatörlükten veya servis sağlayıcılıktan öteye geçemeyeceğiz. Servis tanımlamaktan mahrum kalabilmekte, geliştirme tarafında kullanılan hazır kütüphanelere mahkum kalarak, denetimsizlikten kaynaklı “unkown publisher” kullanımını önleyemeyeceğiz. Kaynakları verimli kullanmak, kamu tarafından verilen desteklerin hakkını verebilmek adına Omdusmanlık kurumunda ve Devlet Denetleme kurulunda görevlendirilmek üzere siber uzmanların titizlikle yetiştirilmesini desteklemekteyiz. Ayrıca, Hacker başlığında beyaz şapkalı hacker alımında kullanılan sertifikasyonların, yerli kurumlar tarafından da titizlik ilkesi ile hazırlanması gerektiği, Setifikasyon başlığında detaylı olarak açıklanmalıdır. Hacker’ın TDK tanımı olan Bilgisayar Korsanı ifadesi yerine, TDK’nın da kullandığı teknolojilerin lisans üreticisi olan M.I.T.’nin tanımına yer verilmesi çağrısı yapıyorum. Hacker; bilgisayar, sistem, donanım ve yazılımlarını geliştiren ve geliştirmekten zevk alan kişiye denir. Bu doğrultuda, bu geliştirme faaliyetlerinden zevk alan kişilerin bu alanda desteklenmesi için diploma aranmadan, sertifikasyonlar ile bilgi birikiminin testlerinin yapıldığını hatırlatarak, mevcut mevzuatta hiç bir değişiklik yapmadan

Veri Kaybı önleme platformlarının doğası gereği veriyi sınıflandırıp, hassas verilerin kurum dışına çıkmasını engellemektedirler. Bu alanda milli ve global teknolojilere entegre olabilen bir platforma sahip olmadığımız müddetçe, bağımsız siber güvenlikten bahsedemeyiz. Bu doğrultuda tüm güvenlik ürünlerinin paket alış verişini analiz edebilen bir DLP  (data loss prevention) geliştirmenin önemi hat safhadadır. Türkiye Cumhuriyeti bünyesinde bulunan Türk Gençliği’nin oluşturacağı komisyona, Ulusal Siber Güvenlik Stratejileri 2016-2019 da belirtilen sorumlu tüm kamu, özel sektör, STK, tüzel ve gerçek kişilerin de katılımı beklenmektedir. Siber Güvenlik alanında eko sistemi destekleyici çalışmalar için bilgi birikim ve stratejilerimizi paylaşmaktan mutluluk duyacağız.

 

Çevrimiçi e-ticaret platform olan eBay’ı hedef alan siber saldırılar ve verdikleri finansal zararlar, siber güvenliğin önemine dikkat kesilmemizi sağlamıştı. Dünyaca ünlü JPMorgan Chase Bank’ın sistemlerinde yaşanan siber saldırı sonrası verilerin dışa sızdırılması ise finans sektörünün şimdiye kadar gördüğü en büyük tehlikeye dikkat çekmişti.  Bu tip durumlarda, bilişim desteği alınan firmaların yardımına ise sigortacılık kurumları yetişmiştir. Bu durumda ağırlıklı olarak insan unsuruna dayalı olan siber güvenlik başlığı için kalifiye personellere ihtiyaç vardır.

Fatih Projesinin amacı öğrencilerimizi teknoloji ile buluşturmaktır. Bu amacın yanında kullanıcı nesiller ile geliştirici bir neslin hedeflenmesi gerekmektedir. Tablet kullanan öğrenciler ile bu tabletleri geliştirenleri destekleyici atölye çalışmaları yapılmalıdır. Mevcutta dağıtılan tabletler üzerinde yayınlanan eğitim platformlarını takip eden ve elde edilen bilgileri, atölye faaliyetlerinde tecrübeye dönüştürenlerin, siber güvenlik, yapay zeka, nesnelerin interneti ve kodlama başlıklarında kalifiye birer operator olmaları bu sayede sağlanabilir.

Fatih Projesi Siber Güvenlik ekibinin öğrenciler tarafından oluşturularak, başta e-okul uygulaması gibi daha bir çok kamuya ait olan platformları incelemesi ve tespit edilen güvenlik zaafiyetlerini bildirmesi oldukça kısa sureli çalışmalar ile mümkündür.  Özellikle fidye yazılımlarının kurbanı olan bir çok firmanın, öğrencilerden oluşturulacak olan siber güvenilir kullanıcı ve geliştiricilerden destek almaları hem Fatih projesinin nitelikli ve güncel teknolojileri kullanabilen nesillerin hedeflenmesini sağlamakta hem de siber güvenlik ekosistemine katkı sağlamaktadır. Özellikle, özel sektör yöneticilerinin yabancı siber güvenlikçilerin katıldığı organizasyonların yerine, yeni nesil geliştiricilerin sunumlarına destek vermeleri, bilgilerini büyük bir zevkle insanlığın kullanıma sunan gençlerin, maddi kazançları ikinci plana atarak, büyük bir özveri ile çalışmasına katkı sağlayacaktır.

Nitelikli İnsan Kaynağı

 

Günümüzde teknolojik platformların artması ve 7den 77 ye herkesin kullandığı ve hayatımızı kolaylatıran bilişim teknolojilerine olan ilginin bir ihtiyaç noktasında olduğunu Kabul ettiğimizde, bu teknolojileri geliştiren, düzenleyen, derleyen Nitelikli insalara’da ihtiyaç olduğu Kabul edilmektedir. Yerli ve Milli teknoloji söylemlerinin ötesinde sonuç odaklı geliştirmeler yapmamız gerektiği ise ayrı bir gerçektir.  Fatih Projesinde yaşanan eğitim içerikleri format karmaşasının verdiği zaman ve para kaybını da göz önünde bulundurduğumuzda, aslında teknolojiyi geliştirme tarafından gayet nitelikli olduğumuz ancak, planlama ve yazılım mimarileri konusunda halen daha istenilen seviyede olamadığımız da aşikardır. Tüm bu gerçeklerin eşliğinde, Yazılım, Donanım, Grafik, Tasarım, Web Teknolojileri, Mobil teknolojiler gibi daha nice başlık bulunmakta ve her bir başlık hızla gelişen teknolojiler neticesinde, literatür taraması, takip, güncelleme gibi daha nice uzmanlık arttıran iş gücünü de beraberinde getirmektedir. Bizler nitelikli iş gücünün doğru yönlendirilmesi için bilinçli aileler ve güncel bilgilere sahip, özverili ve ileri görüşlü öğretmenlerimize güveniyor ve destek vermek istiyoruz. Teknik, Meslek ve Ticaret liselerinde nitelikli insan kaynağı üreten öğretmenlerimizin yetiştirdiği gençlerin, Üniversitelerde bilgi ile harmanlamsını da destekliyoruz. Ancak, nitelikli insan kaynağı için gerekli olan tecrübe olgusu, Lise seviyesinde staj imkanı verilen gençlerimizden oluşmakta, bu oluşumun da ülkemizin genç nüfusu göz önünde bulundurulduğunda muazzam bir nitelikli insan kaynağına sebebiyet vereceğini de ön görmekteyiz. Mevcut olan teknolojileri iyi bilen, global eğitim müfredatlarını öğrenen ve literatur taraması ile güncel bilgileri harmanlama yeteneğini iyi bilmenin yanı sıra, tersine mühendislik becerisi, iş geliştirme ve yazılım mimarisi konularında yönlendirme yapabilecek öğretmenlerimizin adeta birer yetenek avcısına dönüşerek nitelikli insan gücü için katkı vermeleri ve gerekli olan tüm danışmanlığı Gerçek Kişiler olarak vermeye de gönüllü olduğumuzu bu vesile ile kamuoyuna duyurmaktayız.

Yazılım İhracatı

 

Türkiye Bilişim Sanayicileri Derneği (TÜBİSAD), bugün 2015 yılı ‘Bilgi ve İletişim Teknoloji Sektörü Pazar Verileri başlıklı hazırlanan rapora göre Türkiye’de bilgi ve iletişim teknolojileri sektörünün finansal boyutu 83,1 milyar TL. Açıklanan rakamlara göre sektörümüz, bir önceki yıla oranla TL bazında yüzde 18 büyüme göstererek 83,1 milyar TL hacme ulaşmış. İstihdam gücünü 113 bin kişiye çıkaran sektörün ihracat hacmi ise 2,2 milyar TL’ye ulaşmış. Toplam ihracat tutarı 2,2 milyar TL olurken bunun 60’ı, 1,360 milyar TL ile yazılımdan gelmiş.

Son yıllarda teknoparklara verilen desteklerin artması, yüksek yatırım alan iş fikirleri ve okullarda verilen bilişim başlıklarındaki eğitimlerin neticesinde ortaya çıkan nitelikli iş gücü sayesinde, yazılım geliştirme faaliyetlerinde gözle görülen bir artış gözlenmektedir. İletişim ve bilgi teknolojilerinde istihdam edilen insan sayısının 120.000 seviyelerinde olması ve yerli yazılım hizmetleri veren firmaların %86 lık bir paya sahip olması Yazılım İhracatı başlığı için iyi seviyede hazırlıklı olduğumuzun da ayrı bir göstergesidir. Yazılım geliştirme ve yazılım danışmanlık hizmetlerinde başarılı olan sektörümüz yazılım ihracatı başlığında da iyi bir bilgi birikimine sahiptir. Dünyada ağırlıklı olarak ihtiyaç duyulan entegre teknolojilerde, iş süreç yönetimlerinde, mobil ve web teknolojilerinin yanı sıra nesnelerin internet ile yapay zeka gibi başlıklarda yazılım geliştirmelere hız verilmelidir.  Ayrıca, yazılım ihracatı başlığında özel sektörün dünya liginde herkes ile aynı başlangıç seviyesinde yarışa dahil olması ise ülkemiz adına ayrı bir avantajdır. Özellikle Yapay Zeka, Nesnelerin İnterneti için en temel enstrümanlardan biri olan yazılım başlığının başarı çıtasını yükseltmek ve tescillemek adına, sosyal sorumluluk projeleri ile kamu kurumları, okullar, akademiler ve kamunun yararına olan süreçlerin inşaa edilmesi de sevindirici çalışmalara birer örnektir.  Gereken tüm fikirlerin güçlü bir irade ile desteklenmesi için Birey, STK, Kamu ve Özel sektör  olarak üzerimize düşen her ne varsa yapmaya ve somut projeler ile destek vermeye de hazır olmalıyız. Tüm bu gerçekler ışığında ilk yapay zeka içerikli projemiz olan Anında Adalet Sistemi uygulamamızı başta Avrupa olmak üzere bir çok ülkede kullanıma sunmak adına çalışmalarımız devam etmekte, özel sektörün sahipleneceği projeleri destekleyerek yazılım ihracatı başlığında Gerçek Kişiler olarak kamu yararına çalışmalarımıza devam etmekteyiz.

 

 

 

2018 Yılı Tahminleri

 

 

2018 yılının ardından 2019 yılı için yapılan tahminler bekleneceği üzere pek iç açıcı değil. CyberSheath ve Websense firmaları tarafından 2014 yılı analiz edilerek yapılan 2015 tahminleri benzer beklentilere yer vermekte [CyberSheath, Websense]. Bu çerçevede, 2015 yılında;

  • Nesnelerin interneti (Internet of Things) adı verilen internete bağlı akıllı cihaz veya giyilebilir elektroniklere yönelik siber saldırılarda artış gözlenecek.
  • Sağlık sektörüne ait kişisel veriler daha çok bilgisayar korsanlarının hedefinde
  • Mobil telefonlar ve bu telefonlar için oluşturulan bulut veri depolama sistemleri daha çok siber saldırılara maruz
  • Firmalar, mobil güvenlik için strateji belirlemek ve daha fazla kaynak ayırmak zorunda kalacaklar.
  • Açık kaynak kodlu yazılımlardan kaynaklanan güvenlik açıklıkları 2019 yılında da artarak devam
  • Zafiyet yönetimi firmalar için ilave masraflar
  • Özel sektör ve kamu sektörü arasında özellikle sağlık, finans, ödeme ve savunma sanayilerinde bilgi ve istihbarat paylaşımının önemi
  • Kredi kartı hırsızlığı devam Başta Amerika olmak üzere bir çok ülke manyetik şeritli kredi kartlarını çipli kartlar ile değiştirme yoluna gitmek zorunda kalacak.
  • “Ransomware” zararlı yazılımı kullanılarak yapılan ve fidye istenen bilgisayar korsanlığı 2019 yılında da artarak devam
  • Bulut teknolojilerine yönelik siber saldırılarda artış gözlenecek.
  • Devletler siber savaş ve siber casusluk için yatırım yapmaya ve silahlanmaya daha çok hız
  • Ülkeler arasında siber güvenlik işbirliğine ilişkin ikili anlaşmalar

 

  • Yerli ve Milli yazılım ile donanım geliştiryoruz diyenleri sayısı artacak, Five-Eyes tarafından geliştirilen teknolojilerin Nitelikli Operatörleri yetiştirilerek yanlış yönlendirmeler devam edecek

 

 

 

 

 

İlkeler

 

Ulusal siber güvenliğin sağlanmasında göz önünde bulundurulacak ilkeler şunlardır:

 

  1. Siber güvenlik, risk yönetimini esas alan etkin ve sürekli değerlendirmeye ve

iyileştirmeye dayalı yöntemler aracılığıyla sağlanır. Oluşturulan risk yönetimi

metotlarının tehdit ve açıklıkları ele alarak bunlardan dolayı ortaya çıkacak riskleri

belirlemesi, bu riskleri kabul edilebilir düzeye indirmek için yöntemler sunması

hedeflenir.

 

  1. Siber güvenliğin sağlanması için tüm paydaşların siber güvenlik risklerini bilmeleri,

bu risklerin yönetilmesine ilişkin yaklaşımlarının kendileri kadar başkalarını

da etkileyebileceğinin bilincinde olmaları gerekir. Bu farkındalık ve yetkinliğin

sağlanması için tüm paydaşların gerekli eğitim ve deneyimi kazanmaları sağlanır.

Teknik boyutun yanı sıra; hukuki, idari, ekonomik, politik ve sosyal boyutları da

içeren bütüncül bir yaklaşım benimsenir.

 

  1. Risk yönetimi, teknik zaafların hızla giderilmesini, saldırı ve tehditlerin önlenmesini,

fark edilmesini, yanıtlanmasını ve muhtemel zararın en aza indirgenmesini içerir.

Zararların asgari düzeyde tutulması için siber olaylara karşı bir hazırlık ve süreklilik

planının bulunmasına ve uygulanmasına önem verilir.

 

  1. Siber uzay güvenliğinin sağlanması ve sürdürülmesinde; kamu, özel sektör,

üniversiteler, sivil toplum kuruluşları ve bireyler dâhil tüm paydaşlar arasında

işbirliğinin yanı sıra uluslararası işbirliği ve bilgi paylaşımı esas kabul edilir ve güven

inşa edilir.

 

  1. Tüm paydaşlar, siber uzay güvenliğinin sağlanması için çalışırken, hukukun üstünlüğü,

ifade özgürlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkelerini

gözetir.

 

  1. Paydaşlar siber uzaydaki risklerin yönetimi ile ilgili sorumluluklarını yerine getirirken

şeffaflık, hesap verilebilirlik ve etik değerleri göz önünde bulundurur.

 

  1. Alınan siber güvenlik önlemlerinin ilgili risklerle orantılı olması, olumlu ve olumsuz

etkilerinin değerlendirilmesi ve dengelenmesi sağlanır.

 

  1. Siber güvenlik gereksinimlerinin karşılanmasında yerli ürün ve hizmet kullanımı

teşvik edilir, bunların geliştirilmesi için araştırma ve geliştirme projeleri desteklenir,

yenilikçilik anlayışı esas kabul edilir.

 

KAFKASSAM Siber Güvenlik Araştırmacısı Burak Bozkurtlar

 

Not: Bu çalışma, Kafkasya Stratejik Araştırmalar Merkezi ve  Türk Bilişim Grubu işbirliği ile Siber Güvenlik Takımı tarafından ilgili kurumlara iletilmek üzere hazırlanmıştır. İzinsiz ve ticari amaçlarla kullanılması yasaktır. Tüm hakları saklıdır

 

 

Kaynaklar:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Tags : 2019 2023 siber güvenlik stratejilerimilli bilişim seferberliğisiber güvenlikulusal siber güvenlik stratejileri
Burak Bozkurtlar

The author Burak Bozkurtlar

Siber Güvenilir Türkiye

1 Yorum

  1. Sayın Burak Bozkurtlar Manifestonuzu ilgiyle okudum. Sizi kutlarım çok doğru ve tutarlı tespitlerinizi açıklıyorsunuz.
    Milli Bilişim Teknolojisi, elbet Milli Altyapısı olmadan güvenli olmaz. Milli Siber Savaşçılar yetiştirmek ve bağımsız Türkiye Cumhuriyetine ait Ağ (internet) olması zorunlu. Siber Savaşlarına karşı Milli Teknolojimiz olmadan açık hedef halindeyiz. Bu her alan için geçerli. Anahtar Sözcük: MILLI MILLI MILLI olmak!
    Genç nüfusa sahip olan Türkiye bu çocukları Siber Savaşçı, Siber Güvenlikçı, Siber Uzmanı olarak yetiştirmeli.
    Burak Bozkurtlar sizi kutlarım.
    Umarım Devlet Erkânımız böyle bir Manifesto’yu ilke edinmiştir!

Leave a Response