Özellikle son birkaç yıl içerisinde bilişim teknolojilerinin savunma sanatı olan siber güvenliğe hükümetin verdiği önem bir hayli arttı ve başta farkındalık olmak üzere yazılım, tasarım, yapay zeka ve tersine mühendislik gibi konularda nitelikli eleman açığımızı kapatmak için birçok ücretsiz eğitimler organize edildi ve edilmeye devam ediliyor.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin görev, yetki ve sorumlulukları arasında kurumlar arasındaki siber güvenlik stratejilerinin belirlenip tavsiyelerde bulunabilmesi de her kurumun birbirinden farklı siber güvenlik usul ve esaslarını bir standarda getirmek için oldukça önemli bir adım olmuştu.
Milli Siber Güvenlik Zirvelerinde siber güvenliğin stratejilerini belirlemekten sorumlu olan kurum yöneticileri tarafından bu tip etkinliklerde kullanılan tele konferans uygulamalarının bile yabancı menşeili olduğunu, ulusal güvenliğimizi riske ettiğini ve aslında bu tip uygulamaları biz geliştirmeliydik ve bu konferansta da kullanmalıydık demeleri, “aslında işin sorumlusu benim, her şeyin de farkındayım ve hatta bir şeyler de yapmalıyız ama ben yapamasam da görevimin başındayım ya da benden önce böyleydi, ben ne yapayım işte söylüyoruz ya” gibi bir anlam çıkarılmasına neden oluyor diyebiliriz.
Neredeyse her kurumun bilgi güvenliği ya da siber güvenlik departmanlarında birbirinden gelişmiş donanım ve yazılımlarla adeta afili bir yalnızlık yaşarken, ben falanca kurumda çalışıyorum ve kimlik kartım bile var, hatta odamızda sayılı devletin sahip olduğu bilgisayar ve siber istihbarat ürünleri var diye caka satanlara da sıklıkla rastlanabiliyor.
Düşünsenize, ulusal güvenliğinizi sağlamak için kullandığınız neredeyse tüm enstrümanlar yabancılar tarafından geliştirilmiş ve bir tık fazla erişiminiz var diye siz mutlu olurken, arka planda hangi haber alma servisinin gönüllü elemanı olduğunu umursamadan millilik ve yerlilik söylemleriyle siber güvenlik bizden sorulur diyorsunuz. Açıkçası bence komik bir durum. Hatta bu komik durumu bilip bir tık daha ötesinde “yabancı haber alma servisinde çalışan arkadaşımızla görüştüm. Ya da Gina Haspel’in yardımcısı beni twitter’dan takip etti biliyor musun?” diyen vatansever iddiasındakilere denk gelinse kimse şaşırmayacaktır.
Bir taraftan teknolojik ürün çizim ve tasarımlarını bulut destekli programlarla yapıp, bilmeyenleri de milli ve yerli denilen hazır teknolojileri biz geliştirdik diye kandırmak yerine, daha hakiki milli teknolojileri geliştirme iradesine sahip olanlarla değiştirmekte sanki fayda var. İlla hakikatleri görmek için kendi çocuğunuzun ya da torununuzun Sibernetik bir organizmaya dönüşmesini beklemek mi yoksa bana ne demek mi vatana ihanettir iyi ölçmek lazım.
Yeni işletim sistemlerinin lisan bedellerini ödemek için acele etmek garip mi biraz? Şimdi güncel geliştirme programlarını bulut sistem destekli ve yabancı haber alma servislerinin veri setlerine dönüşmesini engelleyecek yöntemleri ben söylersem sanırım onca işin uzmanı ve duayenine de saygısızlık olur.
Bir yandan Dijital dönüşüm için milli söylemler havada uçuşuyor, trafik cezaları bile elektronik postalara iletilecek deniyor ve kendi çıkardığımız kanunlara aykırı olarak kişisel verilerin bulunduğu birçok devlet destekli dijital dönüşüm parametresi havada uçuşuyor.
Mavi Vatan’da bir damla su ne kadar kıymetliyse, Siber Vatan’da en ufak bir kişisel veri o derece kıymetlidir.
BİMER döneminde hatırlayanlarınız vardır belki, BİMER’e gelen taleplerin yanıtları direkt olarak içerikleriyle beraber elektronik postalara iletiliyordu. Bu güvenlik açığını fark eden liyakat sahipleri hemen basit bir güncelleme yaparak BİMER üzerinden verilen yanıtları yalnızca e-devlet sistemi üzerinden görüntüleyebildiğimiz bir yapıya dönüştürmüştü. CİMER’de günümüzde bu güvenlik protokolü ile yoluna devam etmektedir.
Kurumlar arası stratejiler ve kamuoyunun malumu olduğu gibi dijital anlamda regülasyonların eksikliğini hayli yaşamaktayız. Oysa çözüm çok basit. Uygulama oldukça kolay ama çok seslilik var. Azıcık siber güvenlikte ön planda olan hemen siber güvenlik bakanlığı ya da müsteşarlığı kurulsun diye öne atılıyor. Özellikle siber güvenlik ve dijital dönüşümde çok sesliliği ve mükerrer işleri ortadan kaldırmak ve nizama sokmak adına kurulan Cumhurbaşkanlığı Dijital Dönüşüm Ofisinin yükü hem ağır hem de beklenti çok yüksek. Açıkçası karşılıklı alkış ve methiyelerin düzüldüğü etkinliklerin farkındalığa etkisini saymazsak, suya sabuna dokunan, geleceğimizi riske eden ve dikkat çekilen hususlarda somut bir ilerleme var mı? Diye sorarsak, zaten yanıtı sorumlular veriyor. “Aslında bu uygulamayı kullanmak yerine geliştirmeliydik”
İyi de kim geliştirecek? Ben mi? Yoksa bütçe ve ekipman sıkıntısı olmayan kurumlar mı?
Sen de geliştir diyenlere sürprizimiz yok değil…
Global teknolojileri öğrenmek için popüler olan eğitim ya da kurs başlıkları 50 ve 101 gibi başlıklarla ifade edilir. Örneğin Computer Science 50, Cyber Security 101
Ben de “Siber Güvenlik Dalya” diyerek bu yazıdan sonra ve vatansever görünümündeki sürüngen ve türevlerinin kime, nerede, ne zaman ve bildikleri gibi hizmet etmeleri için ve onları daha fazla üzmemek hatta beceriksizliklerini yüzlerine vurmamak adına artık siber güvenlik dalya üzerinde yazmayıp, farkında olmadan ve yabancı menşeili teknolojileri kullandıkları esnada ses verme kararı aldım. Neticede devletin imkanlarından faydalanıp, milli ve yerli teknolojiler geliştireceğiz derken bir taraftan da “ama biz geliştirmeliydik” diyerek günah çıkaranlara hiçbir şey diyemeyiz. Çünkü onların suçu yok. Asıl suç iş bilmeyen, kolay satın alınabilen, caka satmaya bayılan, konuşma metnini kağıttan okuyan ve falanca yabancı ülkedeki filanca okul mezunuyum diye gezinirken İngilizce dahi konuşamayanları o görevlere getirenlerde. Tabi bir de konuşma metinlerini dahi özgün hazırlayamayıp sağdan soldan tırtıklayıp referans vermeyenlere göz yumanları da unutmamak gerek.
Siber Güvenlik Dalya’da kısaca ve hızlandırılmış bir siber güvenlik bilgilendirmesi yapalım…
İnternet ortamında suç unsuru olan sayfaların tespiti ve hukuki süreçlerin işletilmesi noktasında ciddi bir zafiyet var. Örneğin “tez yazılır, ödev yapılır” ya da “ortam dinlemesi yapılır, whatsapp konuşmaları okunur” hatta “istediğin kişiyi dinle, takip et” gibi programların satıldığı sayfalar azımsanmayacak kadar çok.
Siber Devriyelerin resmi bir kurum çatısı altında toplanması ise ciddi başka bir konu. Eğer siz hacker gruplarını siber devriye gibi el altından kullanmaya kalkarsanız, yarın FETÖ’den çok daha tehlikeli ve temizliği zor yapılara da yol vermiş olursunuz. Hele, bir sertifika ya da iş imkanı bulacağım diyen yurdumun gençlerini siber devriye bahanesiyle benim gibi gariban siber güvenlikçilerin kişisel bloglarına siber saldırı düzenlemek için kullanırlarsa vay o ülkenin haline.
Kısacası yakın zamanda özel güvenlik şirketlerinin bağlı olduğu İçişleri Bakanlığımız gibi siber devriye atma yetkisine sahip ve asla kendisini deşifre etmeyecek olan siber güvenlikçilerin de İçişleri Bakanlığı’na bağlı olarak yol alması gibi bir düzenleme gelebilir düşüncesindeyim.
Siber güvenlikçi yetiştirme kurslarının tek bir merkezden denetimi ve ISO27001 gereği veya farklı yerel ya da global regülasyonlar uyarınca kamu ve özel sektörde yapılması zorunlu olan sızma testlerinin de İsrail’in siber silahı olan Offensive Security by Kali yerine Pardus’un siber güvenlik araçlarıyla bezenmiş bir versiyonuyla yapılması ihtiyaçtan öte artık ulusal güvenlik konusudur.
Bir yandan Sibernetik Organizmalar gelecek diye ortalığı velveleye verip öte taraftan Sibernetik Organizmaların besini olan kişisel verilerin peşkeş çekilmesine müsaade edenlerin peşinden koşuyorum demekle olmaz ki bu işler ama öyle değil mi?
Tamam insandır hata yapar, nefsinin peşinden gider ve daha sonra günah çıkarır ya da af diler vicdanı rahatlar da İnsansı Robotlar olarak bilinen Sibernetik Organizmalar öyle mi? Hata oranı düşük yani false-positive %99.9 seviyelerinde, tamamen komutla çalışan. İnanç, duygu, partizanlık ve kişisel karar verme yetisi bulunmayan sistemler. Örneğin Sibernetik organizma bir hakim. Ne rüşvet yeme derdi var ne bir yerden talimat alıp karar verme ya da evinde huzursuzluk yaşamış gelmiş mahkeme salonunda milleti azarlayan biri. Kısacası Sibernetik organizmaları sadece ve sadece iyi bir programcı ya da iyi bir hacker manipüle edebilir. Öyle mi dediğimizde çok Hollywood filmi izlemişsin diyenlerin peşinden koşturdukları yöneticileri bile “filmlerin gerçekliğini yaşadığımız yeni bir dönemdeyiz” diyorlar. Diyorlar da biz de çok anlattık, yazdık hatta devletin imkanlarını hiç ederken utanmadan maaş alanlar veya devletin verdiği makamların gücüyle eşine dostuna yol açanların aldığı para haram dedik ve kendi haklarımızdan bile yeri geldi feragat ettik ama yine de inandıramadık. Artık ister inanın ister inanmayın, insanlar ya Android gibi ya da Sibernetik Organizmalar olarak klonlanıyor. Üstelik tüm bunlar günümüzde Pandemi süreciyle birlikte gerek NETFLIX dizileriyle gerek bir takım üst düzey hükümet yetkililerinin ve fütüristlerin eylemleriyle sıklıkla bilincimize kazınmaya çalışıldı.
Her ne kadar kişisel veri avcılığı yapan ve şu sıralar sadece dijital pazarlama yöntemleri için kullanıldığı sanılan sosyal medya gibi platformların CEO’larının eşlerine ait yüksek bütçeli start-up’ların kişisel verilerle eşleşebilen genetik kisveli sibernetik organizma geliştirme odaklı firmaları allanıp, pullanıp bizlere detaylı anlatılmadı ama benden söylemesi, ölümden korkmayıp yeni bir başlangıca inanalar şayet makineleri besleyebilecek nitelikteyse vay halimize.
Son günlerde NSA’in geliştirdiği birçok siber silahı tersine mühendislikle alabilen Rus ve Çin’li hackerların devlet destekli operasyonlarla Amerika’nın birçok kurumunu hallaç pamuğuna dönüştürdüğünü bilmeyen kalmadığına ve İsmail Hakkı Pekin’in “siber istihbarat konusunda çok gerideyiz” ifadesine de tanık olduğumuza göre artık bir şeylerin ters gittiğine emin olmalı ve geliştirici olarak daha çok çaba sarf etmeliyiz.
Siber güvenliği Amerika ve İsrail’den öğrenip, öğrenilen ne varsa bu ülkelere ait araçlarla kurumlarda siber güvenlik açığı aramak ve bulduğunda işte bulduk ve kapattık demek mi? Yoksa Çin ve Rusya gibi özgün offensive yöntemlerle gerektiğinde hallaç pamuğu üretmek mi daha mantıklı sizce?
Bu arada, Abdullah Çiftçi’de Amerika’nın siber saldırılara maruz kaldığını ifade etmişti. Peki, NSA tarafından yayınlanan ve ivedilikle kapatılması gereken açıklar, yapılması gereken güncellemelerin ülkemizde aynı sistemleri kullanan kurumlar tarafından yapılması gerektiğini de dile getirebilir mi acaba?
Gerçi Yüzyılın İstihbarat Darbesi olarak NYTIMES’da yayınlanan maklale sonrası Sanayi Bakanımızın açıklaması var. Evet 2008 yılına kadar Türkiye’de etkilendi demişti. Peki Philips’e ya da hükümet yetkililerine kriptolu bu telefon güvenle konuşabilirsiniz diyen efendiye herhangi bir ceza ya da yaptırım uygulandığını gören duyan var mı?
Evet “Siber Güvenlik Dalya” diyor ve Allah korusun “Siber Güvenlik Pandora” diye bir başlık açılırsa board üstünde işlemci, disk üzerinde veri kalmaz ve hatta bu bilgisayara ne elektrik ne de monitör verilmeyecek denildiği günleri kimse görmesin.
Söylemeyi unutuyordum az kalsın… Türk dünyasında kullanımına başlanan görüntülü konferans uygulamamız hayırlı olsun. Hiç kimsenin biz destek verdik diyemeyeceği yüksek güvenlikli (uçtan uca şifreli sistemlerden daha farklı) mesajlaşma ve görüntülü görüşme uygulamamız hayırlı olsun. Biz de kullanalım, test edelim diyenler bana iletişim bölümünden ulaşabilir.
Dijital mandalığa karşı milli ve yerli ürünleri çok daha hızlı geliştirmeliyiz…
Birbirini Silip atan insanlar ve oluşturdukları domino etkilerini görünce, Sibernetik organizmaların silip atacağı insanları düşünmek bile istemiyorum.
Hızlandırılmış Siber Güvenlik Dalya programını başarıyla tamamladığınızı, geliştiriciyseniz insanlığın kurtarıcısı olan orduda yer alabileceğinizi, şayet ısrarla kullanıcı olarak yaşayıp, kullanmaya ve kullanılmaya devam ederek sürüngenlerin ya da sibernetik organizma üreticilerinin değirmenine su taşımaya devam edebileceğinizi de hatırlatmak isterim.
https://theintercept.com/2017/06/05/top-secret-nsa-report-details-russian-hacking-effort-days-before-2016-election/
https://www.mevzuat.gov.tr/MevzuatMetin/19.5.1.pdf