KAFKASSAM

Bilgi GüvenliğiCyber SecurityDijital DönüşümKAFKASSAMMetaversesiber güvenlikSiber istihbaratYapay Zeka

Ruslara uygulanan yaptırımlar uluslararası uzay istasyonundaki çalışmalara etki eder mi?

uzay istasyonu

I. Dünya savaşının hangi silahlarla olacağını bilmem ama IV. Dünya savaşının taşla sopayla olacak.

Bu ünlü sözün sahibi Albert Einstein’ın o bilmiyorum dediği 3. Dünya savaşı şu sıralar tüm şiddetiyle devam ediyor…

Nasıl mı?

Tam olarak siber savaş halinde büyük bir hızla devam ediyor diyebiliriz.

Allah muhafaza ama siber savaşın erlerinin nükleer silahlara erişimi de günümüzde pek şaşılacak bir durum değil. Kısacası hackerların nükleer silahlara erişimi hayal sayılmaz. Şom ağızlı demeyin lütfen ve Allah muhafaza dediğimi de görmezden gelmeyip amin deyiniz…

Rusya’nın Ukrayna’yı işgal girişiminin ardından Ruslar tüm spor müsabakalarından men edildi ve başta ekonomik yaptırımlar olmak üzere daha bir çok başlıkta batılı ülkeler ile Amerika’nın üst düzey yaptırımlarına maruz kaldı.

Bu yaptırımlar nereye varır bilemem ama yaptırımların dünyanın ötesine geçemeyeceğini rahatlıkla söyleyebilirim.

Dünyanın ötesi derken; uzaydan bahsediyorum elbette…

Ancak dünyanın uydusu olan Ay’a insanlığın ayak basmadığını ve uzay kapsülüyle gidilmediğini iddia eden birtakım sivri zekaların, bakanlık tarafından açıklanan Ay’a sert iniş planımızın gerçekleşmesinin hemen akabinde, hakikate sert geçiş yapacaklarından hiç şüphem olmadığını da belirtmek isterim.

Evet, Rusların uzay istasyonunda Amerika ve batılı birçok ülkeyle zorunlu müttefik olduğunu biliyoruz. Gayet tabi Çin de bu vazgeçilmez zorunlu müttefikler arasında yer almayı beklerken bir anda bu programdan çıkarılmıştı. Rusların uzay istasyonundan Çin gibi çıkarılması ne kadar mümkün olur bilemeyiz ama şu an için bu konuda herhangi bir açıklama yapılmadı.

Ayrıca hali hazırda Çin bir ISS ortağı değil ve gemiye hiçbir Çin vatandaşı da binmedi. Çin’in kendisine ait “Çin İnsanlı Uzay Programı” olmakla beraber insanlı ve robotik uzay projelerinde Rusya ve Almanya gibi ülkelerle işbirliği gerçekleştirmiştir.  Çin ilk deneysel uzay istasyonunu Tiangong 1’i Eylül 2011’de başlattı ve 2021’den beri kalıcı mürettebatlı Çin uzay istasyonu projesini resmen başlatmıştı.

Aynı zamanda Çinli ve Rus hackerların NSA’ye ait birçok siber silahı ele geçirip Amerika’ya kök söktürdüğünü de görmezden gelemeyiz.

Bana inanmayanlar NSA ve U.S. Siber komutanlık tarafından yapılan resmî duyurulara baksın. Hiç olmadı resmî Twitter hesaplarındaki açıklamaları lütfen kontrol etsin. Bu açıklamalara da halen inanmayanlar varsa, bir zahmet CİMER üzerinden bu uyarılarda açıklanan acil kodlu güncelleme bildirimlerini dikkate alıp ülkemizde hangi kritik kurumların güncelleme yapıp/yapmadığını sorsun ve yanıt beklesin.

Rusların ülkemizde en etkin olduğu siber saldırıları arasında fidye yazılımları ilk sırada geliyor. Bu fidye yazılımlarının başarısı %99 oranında içerden desteğe bağlı olarak gerçekleşir. Yani, eğer başınıza fidye yazılımı saldırısı gelip mağdur olduysanız, büyük ihtimalle teknik servis hizmeti aldığınız firma ya da bilgi işlem personelinizin dahili olabilir. %1 lik bir ihtimal ise tamamen sizden ötürüdür. Spam saldırıları ve trol akademileriyle pasif siber saldırı türleriyle seçimlere müdahale denemeleri de  Rus siber savaş stratejileri arasında kabul gören bir durum olarak karşımıza çıkıyor.

Şimdi günah keçisi aramayı bırakıp asıl konumuza dönelim…

Rus ordusunun hem kendi içerisinde hem de özel şirketler aracılığıyla desteklediği hacker grupları olduğunu sağır sultan bile duydu diyebiliriz.

Bu siber ordulara güç katan global çapta markaların başında sanırım Yandex ve Karspersky gibi firmalar geliyor. Elbette bir Google ya da Norton kadar güçlü yaygın değiller ama Karamürsel sepeti de sayılmazlar.

Rusların Amerika’daki seçimlere müdahale ettiği iddialarının gerçekliği var mıdır? Yok mudur? Bilemem ama wikileaks belgelerinde adı geçen bir Türk olarak, Edward Snowden’ın benden çok daha fazla bilgiye sahip olarak Rus devletinin himayesindeyken Ruslara epey faydalı işler için destek olduğunu dile getirmek ne anlama gelir siz düşünün derim.

Yandex’i salt bir arama motoru gibi düşünmeyin. Çünkü, navigasyon başta olmak üzere daha bir çok özelliği sayesinde siber İstihbarat başlığında özgün bir dev olduğunu defalarca ispatladı.

Hatta 2017 yılında ülkemizde vatandaşların sıklıkla kullandığı e-devlet  sistemimizde kullanılan Yandex ait kod parçacığını keşfeden arkadaş sayesinde “e-devlet sisteminde Yandex skandalı” olarak manşetler atılmıştı. Ve haber şöyleydi;

(marufcetin.com)

-Çocuğun üniversite kaydı için www.turkiye.gov.tr adresine girdiğimde kaynak kodunda yandex.rusitesinden çalıştırılan bir javascript kodu olduğunu gördüm.

Yandex Metrica, tıpkı Google Analytics gibi çalışan bir sistem. Siteye gelen ziyaretçilerin bilgilerini toplayıp, topladığı bilgilerin çok önemsiz bir kısmını ülke/bölge lokasyonu, ip, tarayıcı bilgisi vs. gün, ay, yıl olarak alıyor ve raporluyor. Ancak bu sistemlerin topladığı bilgi bundan çok daha fazladır. Bir sitenin kaynak koduna böyle bir kod konulduğunda siteye gelen ziyaretçinin doldurduğu bütün form bilgileri, ve bütün çerezleri okuyabilir. Böylece sisteme giriş için kullanılan kullanıcı adı ve şifre de dahil pek çok bilgiyi ele geçirebilir.

Manşetlere konu olan arkadaşımızın Söylediği her şey doğru ama sanki biraz eksik gibi. Eksik olan ne mi? Öncelikle yandex olunca skandal da, Google olunca patlıcan mı? Ve hadi bu kod parçacıklarının çerezleri bile alması risk de, çerezini bile MIT lisansı ile kullanan bir ülkenin ODTÜ’sü İTÜ’sü bir çerez bile üretemez mi?

Her ne kadar e-devlet sistemimizden yandexe ait kod parçacıkları çıkarılmış olsa bile uzay istasyonundan uydulara direkt erişimi olan bir Rusya’yı ha deyince dijital damarlarınızdan söküp atmak öyle sanıldığı kadar pek de kolay değil. Bu arada fidye yazılımına maruz kalan kamu kurumlarının olduğu da yine basına yansımıştı. Umalım da siber korsanlara ödenen olası fidye parası bizim vergilerimizden değil de beceriksiz ve çoklu maaş alanların cebinden çıkmış olsun.

Bu durumların yaşanmasıyla beraber evvel zaman içinde Kafkas stratejik araştırmalar merkezinde denk geldiğim bir ihtiyarın sözleri benim için bugün daha bir anlamlı hale geldi sanki?

Bu ihtiyar amcamız beni kamuflaj ve botlarımla görünce ilginç bir diyalog yaşanmıştı.

Bana asker misin diye sorduğunda, gururla Türk askeriyim demiştim.

Sen Türk askeri değil NATO askerisin diyerek bıyık altından aşağılama çabasını ve kaşlarının altından gözlerindeki öfkeyi kolaylıkla görebilmiştim.

Baktım ısrarla bana NATO askeri yakıştırması yapmaya devam ediyor ve Rus askerlerini övüyor, hemen “amcacım ben ne Atlantik ne de Avrasya askeri değil Türk askeriyim, size öfkenizde ve henüz başaramayıp, başarmaya çalıştığımız tüm milli çabalarımıza engel olma gayretinizde başarılar diliyorum diyerek” hemen oradan uzaklaşmıştım.

Kendisine haksızlık mı ettim? Yoksa yanlış mı anladım? Bilemiyorum ama günümüzde Ruslara uygulanan ambargoların teknolojik ambargolara dönüşmesi pek mümkün görünmüyor.

Evet belki başta uydu erişimi ve daha birçok NATO standardı gereği elde edilen üstünsüz geçiş hakkı sayesinde halinden memnun olanlar olabilir. Hatta Whatsapp gibi platformlara arka kapıdan erişebilenlerin kendilerine göre haklı gerekçeleri öne sürerek kendi vatanında nadasa bırakılan gençlere bu durumlar zaten müstahak da denilebilir.

Uzun lafın kısası, Ruslara uygulanan ekonomik yaptırımlar, sınırlı teknolojik yaptırımlarla nereye varır bilemeyiz ama dünyanın ötesine geçemez ve uluslararası uzay istasyonundaki çalışmaları etkilemez.

Onca teknik ekipmana ve iş gücüne rağmen ülkemizde son dönemde yaşanan güvenlik zaafiyetlerinin sebebi nedir acaba? Diye sorduğumuzda tek bir yanıtla karşılıyoruz. Ülkemde zeytin ağaçlarına verilen önem ortadayken budanmış tohum ağaçlarının gölgesinde yeşermeye çalışan geliştirici fidanların ne derece kıymeti olabilir diye düşünmeden edemiyoruz haliyle.

Özetle Ruslar bir çok alanda dünya sahnesinden izole edilmiş olsa bile, özgün teknoloji geliştirme kapasitesi olan bir Rusya ve Çin, uzay istasyonunda varlığını sürdürürken tam anlamıyla bir izolasyonun gerçekçi olduğu iddia edilemez.

Yeni dünya düzeninde tüm milletlerin sözde siyasetçilerin bireysel çıkarları uğruna feda edilmemesi için yapay zeka destekli hükümet yönetim modellerinin arzulanan ve kaçınılmaz bir sistem olarak er ya da geç devreye alınacağını ön görmek siber kahinlik olmasa gerek diyorum.

Bir Rus atasözü “iki tavşanı kovalayan avcı hiç birini yakalayamaz!” der…

Bu nedenle Rus, Çin teknolojileri ile NATO teknolojileri peşinde koşturmak yerine tüm izolasyon hamlelerini alt üst edebilecek yöntem olarak, uluslararası uzay istasyonunda kalıcı yer edinmeye çalışmanın çok daha mantıklı bir iş olacağının altını çizmekte fayda var. Bu işler için ne Pensilvanya’da başarı bursu ile okuyanlar ya da Oxford mezunuyum diyerek İngilizce bile konuşamayanlar da pek bir şey yapamaz elbette. Bu işler için aklı hür, vicdanı hür olan bilişim diplomatları gerekir ki, günümüzde bu özelliğe sahip olanlar şu sıralar kapı kullarının trajikomik hallerini izlerken çekirdek çitlemeyi tercih ediyorlar diyebiliriz. Onlara da buradan sesleniyorum; “bırakın çekirdek çitlemeyi de yapay zeka destekli kamu yönetim modelleri üzerine kafa yorun. Kafa yorun ki, çoluk çocuk, torun tombalak daha mantıklı bir gelecek inşası için en azından çaba sarf etmişler diye duacınız olsun”

Bu arada ne Rus ayısının dostluğunun ne de Amerikan inek çobanlarının şapkası altında güneş batmayan imparatorlukta gölge peşinde olmadık, olmayız. Bu durumu Arap erkeklerinin bedevi çadırında süs bitkisi olmayı cennet sayanlar anlayamaz elbette ama sokak lambasının yatak odalarına kadar sızan hakikat ışığından da faydalanmakta bir sakınca görmezler.

 

Devamını Oku
Bilgi GüvenliğiKAFKASSAMsiber güvenlik

Türkiye’nin jeopolitik konumu ve bilişim diplomasisinin önemi

information-diplomacy

İlkokulda okuduğumuz dönemde, öğretmenlerimiz tarafından sürekli altı çizilen bir konudur Türkiye’nin Jeopolitik konumu. Kısaca Türkiye’nin jeopolitik konumu nedir diye bir bakalım;

Ülkemizin jeopolitik önemini arttıran unsurlar şunlardır:

*Avrupa ve Asya’yı birbirine bağlar.

*Avrupa, Asya ve Afrika’nın en yakın olduğu yerdedir.

*Üç tarafı denizlerle çevrilidir.

*Dünya ekonomik gücünün ve enerji transferinin geçiş noktasındadır.

*Kıtalar içinde yer almasına rağmen boğazlara ve açık denizlere sahiptir.

*Balkanların, Kafkasların ve Ortadoğu’nun en güçlü ülkesidir.

*Tarım ve hayvancılık gücü endüstriye dayalı olarak gelişmektedir.

*Önemli enerji yataklarına sahip bir ülkedir.

*Önemli enerji kaynaklarına sahip fakat sanayileşememiş ülkelere, sanayileşmiş bir ülke olarak komşudur.

*Türkiye’nin sosyal ve kültürel gücü, nüfusuna bağlı olarak da bütün dünyayı etkilemektedir.

Bu durumda Türkiye’nin jeopolitik konumunun çok önemli olması ülkemize yönelik tehditlerin de artmasına yol açmaktadır. Yeni sayılabilecek bir terim olan “Bilişim” aslında teknolojik iletişim türüdür. Ülkemizin jeopolitik konumu bilişim anlamında da oldukça önemlidir. Gönül ister ki, okullarda anlatılan Türkiye’nin jeopolitik konumunun önemine bir de bilişim altyapısı, bilgi transferi gibi başlıklar da eklensin. Yukarıda belirtilen , “Tarım ve hayvancılık gücü endüstriye dayalı olarak gelişmektedir” maddesinde, tarım ve hayvancılıkta üreticiyiz ama endüstriye bağlıyız anlamı çıkıyor. Bu anlamda, endüstri 4.0 ı hiçbir teknoloji geliştirmeden tamamen mevcut teknolojilerin entegre edildiği ve hatta, adeta transit geçiş noktasına dönüştüğümüz gerçeği ise tam bir trajedidir. Çünkü, üretmeyen toplumlar acı çekmektedir. Sanırım toplum olarak en büyük şansımız, teknoloji başta olmak üzere daha birçok konuda jeopolitik konumumuzun meyvesini yiyoruz. Asya, Afrika ve hatta Ortadoğu ülkelerine Türkiye’nin bilişim konusunda uzman firmaları aracılığı ile birçok ülkeye bilişim hizmeti veriliyor. Donanım üreticisi olamayan Türkiye, bu anlamda yalnızca Five-Eyes tarafından geliştirilen teknolojik donanımların satış, kurulum gibi hizmetlerini verirken, diğer taraftan nitelikli iş gücü olarak da yazılıma hakim olan vatandaşlarımızı da istihdam edebiliyor. Mevcut teknolojileri iyi takip ederek, zamanında Almanya’yı kurtaran gurbetçi Türkler misali, şimdide nitelikli iş gücü ile geliştirici gençler, dünyadaki bilişim yükünü sırtlayanlar arasında yerini almış görünüyor. Elbette, nitelikli iş gücü çok önemli ama niteliğin ne olduğunu iyi bilmekte fayda var. Burada nitelikten anladığımız, geliştirilen bir donanımı entegre etmek ve mevcutta olan bilgileri derleyip kullanmak ve satış yapmak ise bu nitelik evet gerekli ama yeterli değildir. Benimde bilişim zirvesinde denk geldiğim bilişim firması sahibi bir iş adamı “Ulusal Siber Güvenlik Politikalarının konuşulduğu bu panelde, Bilişim Diplomasisi’ni tartışmaya açıyorum. % 100 yerli diyebileceğimiz enstrümanlar tam anlamı ile biliniyorken ve biz bu enstrümanları üretmiyorken nasıl olur da %100 yerli ya da millî diyebiliyoruz. Acilen firmaların milli donanımlar üretmesi (işlemci, Anakart vb.gibi) gerekmekte ” dediğimde ülkemizde popülizmin geldiği boyutu gözler önüne seren bir duruş ile şunları söyledi; “öncelikle anakart ve işlemci yerine milli bir harddisk geliştirmeliyiz. Ama bu iş için en az 20 yıl gerekli. Amerika’yı bir daha keşfetmeye ne gerek var” dediğinde, firmasını 1996 yılında kurmuş olan bu iş adamı, hiçbir teknik bilgisi olmadan neye göre 20 sene diyebildiği anlaşılmadığı gibi bilişim sektörünün acil diplomatik çalışmalara ihtiyaç duyduğunu da gözler önüne sermiş oldu.

Aslında Bilim Diplomasisi terimi olarak kullanılmakta ve bu yeni bir olgu değildir. Tarihte büyük devletler çağın ünlü bilim adamlarını kendi başkentlerine cezbetmek için büyük çaba göstermişler, böylece hem ülkelerinde bilimsel çalışma canlanmasını hem de ülkelerinin saygınlık kazanmasını sağlamışlardır. Ama bilim çağı olarak nitelediğimiz çağımızda bilim diplomasisi her zamankinden çok daha önemli hâle gelmiştir. Bölgesel ve küresel düzeyde etkin olan ülkeler bütün dünyadaki çıkarlarını kollamak için her türlü vasıtayı kullanma arayışı içerisindedirler. Bu vasıtaların en önemlilerinden biri de bilim diplomasisidir. Bana göre desteği çok iyi olan ve şişirilmiş Elon Musk’ın ülkemizi ziyareti de bu diplomasinin bir sonucudur. Efsaneye göre Da Vinci’nin yaşadığı dönemlerde, Floransa’nın askeri danışmanlığını yaparken kullandığı harika teknik çizimleriyle ortaya çıkan zamanın en güncel savaş makineleri, Türkler tarafından kullanılmış ve Da Vinci’yi şoke etmişti. Yine efsaneye göre, Da Vinci annesini esir alan Türklere istemeden yardım etmek zorunda kalmıştı.

Kısacası, Bilişim Diplomasisi nedir sorusuna çok basit bir örnekle yanıt bulalım. Hepimizin malumu olan çerezler. Evet, bu çerezler (cookie) mobil ve masaüstü tarayıcılarda, ziyaret ettiğimiz sitelerde karşımıza çıkan basit bir teknolojidir. Hatta birçok site bizleri “Çerez Politikamız” başlığı ile bilgilendirmektedir. Çerez kullanımı, ziyaretçinin alışkanlıklarını analiz ve takip eden bir yazılımdır. Çerez üretimi sırasında kullanılması gereken LİSANS ise ağırlıklı olarak M.I.T (Maccasus) tarafından yayınlanmaktadır. Bu durumda, sizin yazdığınız çerez kodları, M.I.T. ‘nin de gözetiminde ve gerektiğinde kullanımında olabilmektedir. Paniğe kapılacak bir durum yok aslında. Çünkü zaten neredeyse tüm teknolojimiz onlar tarafından geliştirildi ve isterlerse kullandığımız ilaç ya da konum bilgimize kadar her şeye erişim hakları var. (Hak dedim yanlış okumadınız, teknolojiyi kullanırken ödemesini yapıyor olabilirsiniz ama gizlilik politikalarını da kabul eden bizleriz.) Evet asıl diplomasi şimdi başlıyor. Ülkemizde ki akademi kuruluşları arasında ve literatüre teknoloji, bilişim anlamında her hangi bir şey katan her kim varsa ellerinden öpüyor ve ellerini başıma götürerek saygımı ifade etmek istiyorum. Ancak, çerez lisansı üreten bir üniversitemizin olmayışı oldukça üzücü. Örneğin ben sürekli M.I.T.’nin Yapay Zeka başlıklı eğitim içeriklerini takip ediyorum. Bilgilerini teorik olarak paylaşmaktan zevk alan Stephan Wolfram Sacha Arnoud ve Lisa Feldman gibi hocaların, kendi geliştirdikleri, uygulamalarını test ettikleri, test imkanı buldukları alanlarda uygulamalar geliştirdiklerini ancak ülkemizde Yapay Zeka ve programlama dili oluşturma veya donanım üretimi konularında, %100 yerli diyebileceğimiz bir teknik doküman olmadığını veya olanlarında çeviri olduğunu dile getirmekte fayda görüyorum. Çünkü gerek hocalarımız, gerekse özel sektör onca verilen devlet desteklerine rağmen popülizmden öteye geçemeyip, sadece taklit ederek ve Amerika’yı bir daha keşfetmeye ne gerek var söylemleri ile Bilişim Diplomasisini anlamak ya da uygulamak mümkün olamaz.

Tüm bunların yanında Jeopolitik konumumuzun, Dünya ekonomik gücünün ve enerji transferinin geçiş noktası olmasının yanı sıra bilişim altyapılarının da geçiş noktası olduğumuz aşikardır. Bir taraftan 5G için İspanya’da atılan imza diğer taraftan İstanbul Büyükşehir Belediyemiz tarafından düzenlenen Otonom araç ihalesi ile bu geçiş noktası adeta bilişim teknolojileri, yapay zeka ve endüstri 4.0 ile perçinleniyor. Öte yandan Rusya’nın World Wibe Web in dışına çıkarak kendi internet yapımıza geçiş yapabiliriz söylemi, bizim de World wide web ile iletişime geçebilen bağımsız bir internet altyapısına kesin ihtiyaç duyacağımızın da bir başka göstergesidir. Rusya’nın tamamen Word Wide Web’den kopacağını geçenlerde Rusya’nın İnternet Geliştirme Bakan Danışmanı German Klimenko söyledi. Klimenko’ya göre ise eğer yarın internet kapatılırsa ülke hayatta kalır ve var olmaya devam eder. Bunun yanında Klimenko Kırımın Rusya’ya bağlanma sürecinde Kırım yarım adasında bazı internet servislerin çalışmadığını hatırlattı. (2)( İnternet olmazsa sizce Türkiye’de neler yaşanabilir?)
 Şayet biz 2023 e kadar tam bağımsız bir bilişim altyapısı ve bilişim teknolojileri kullanamazsak Windows’tan kaçarken Linux e bağımlı kalma tehdidi ile karşı karşıyayız. Tüm bu bağımlılıkların da ötesinde, NATO ile Rusya arasında kızışan teknik savaşta, her iki teknolojiyi birbirine karşı kullanan iyi de bir stratejimiz bulunmaktadır. Bu stratejinin NATO’yu getirdiği durum ise Çek general tarafından açıklandı. ABD’li Breaking Defence dergisinin haberine göre, S-400’lerin teknik nedenlerden dolayı NATO savunma sistemlerine entegre edilemeyeceğini belirten Pavel, “Ancak bu şartlarda S-400’ler NATO için tehlike yaratıyor. Sorunu oluşturan S-400’ler değil, roket sistemlerinin işlevlerini normal olarak yerine getirebilmeleri için veri tabanına erişim sağlanması” dedi.

Çek General, NATO üyesi olan Türkiye’de, NATO müttefiklerine ait tüm kaynakların Rus sistemleri tarafından kayıt altına alınacak olmasının “risk” teşkil ettiğinin altını çizdi. (1)

Bu açıklama ile birbirinden bağımsız olan NATO ve Rusya askeri veri tabanının Türkiye’nin satın aldığı S-400 ler için gereken bilişim altyapısının, bu güne dek NATO standartları gereği kullanılan Microsoft ağırlıklı bilişim alt yapısı için büyük risk olduğu da kabul edilmiş oldu. Olurda NATO, arkadaş S-400 lerden daha çok veri tabanları ile müttefik olmayan bir ülke ile entegre olamayız ve buna sebep olan Türkiye’nin NATO’ya ait olan veri tabanlarının başka sistemlerle iletişime geçmesini kabul etmeyiz diyerek, mevcutta kullandığımız sistemlere verilen desteği kesiyoruz derlerse, vay halimize. Çünkü, bulunan bir çok açığın yaması bizlerle paylaşılmayabilir ve çok daha kombine zararlar verilerek bilişim altyapımız hedef alınabilir. Bu durumda, Rusya’nın teknolojik güdümü altına girmek de sanırım hiçbir Türk evladının kabul edebileceği bir durum değildir. Eminim, 2016-2023 stratejilerinde devletimiz bu tip sorunları ön görmüş ve gerekli adımları çoktan atmıştır. 4,5 G kavramını dünyaya dikte eden bir Türkiye Cumhuriyeti’nden bahsediyoruz. Şimdi 5G zamanı geldi. Siyasilerin imza törenlerinde yaptığı konuşmada 5G teknolojisini bizim geliştirdiğimiz sanılabilir ama sanılanın aksine biz, altyapı ve teknik geliştirme konularında nitelikli operatörler ile entegre başlığından henüz ötede değiliz. Elbette, bilgi birikimi ve tersine mühendislik için de bu gerekliydi. Ancak ünlü şarkıcı Dilberay’ın dediği gibi “Zorunda mıyım” ?

Zorunda olduğumuz tek bir konu var ve o da kesinlikle Türk ve Türki Cumhuriyet’ler ile İslam ülkeleri başta olmak üzere, kendimize ait olan ve global bilişim altyapıları ile güvenle entegre edilebilen bir bilişim altyapısını tamamen bağımsız olarak geliştirmeyi hedeflemeliyiz. Aksi halde Millilik adına ne konuşursak, popülist söylemlerden öteye geçemeyeceğiz. Neyse ki, Gerek Başbakanlık gerekse Cumhurbaşkanlığı düzeyinde yapılan açıklamalar ile “tarla bize ait olmalı ki mahsül de bizim diye bilelim” açıklaması, popülizmin bir nebze önüne geçti ve hakikat ile geliştirenlere can suyu verilmiş oldu. (3)

İran’da yaşanan Apple krizi (4), Rusya’nın World Wide Web’in dışında kalmak istemesi ve NATO tarafından yapılan S-400 açıklamaları bana göre dijital ambargonun ayak sesleri. Öte yandan da, yalın ayak geliştiricilerin yıldızının parlayacağı günlere doğru yaklaşıyoruz. İlim malumuna tabidir sözünden yola çıkarsak, bu güne dek %100 yerli diye adeta caka satanların kredileri tükenmiş ve Bilişim Bakanlığı sevdasına kapılanlar olmuş. Yalın ayak geliştiricilerin her söylem ve yazılı raporlarının haklı çıkması yeni nesil geliştiricilerin yalın ayaklıktan spor ayakkabılara kavuşmasını sağlarken, sektöre yanlış yön verenlerin de ceremesini koca bir Ulus’un çekmesini önlemeye çalışmaları hakikaten takdir edilesi bir kurtuluş savaşını andırmaktadır.

KAFKASSAM Siber Güvenlik Uzmanı

Burak BOZKURTLAR

1-) http://turkrus.com/600069-natodan-uyari-turkiyeye-s-400-yerlestiren-rusya-gizli-bilgilerimize-erisecek–xh.aspx

2-) http://kafkassam.com/rusya-interneti-mililestirmeye-hazir.html

3-) http://www.aksam.com.tr/siyaset/basbakan-yildirimdan-onemli-aciklamalar/haber-574502

4-) http://www.yeniakit.com.tr/haber/iran-kacakcilikta-iphoneu-sucluyor-195446.html

Devamını Oku
Bilgi GüvenliğiKAFKASSAMTBG

2019-2023 Ulusal Siber Güvenlik Stratejileri (manifesto)

MANİFESTO

Özet

Kurumlarda bilgi işlem departmanlarının yönetim kurullarında ilgili müdürlüklerin altında organizasyon şemalarının en kritik alanlarında konumlandırıldığını ve tüm organizasyon şemasında bulunan birimler için vazgeçilmez bir departman olduğunu biliyoruz. Bilgi işlem departmanları bünyesinde bulundurulan bir çok güvenlik teknolojisin gereksinim ve sorumluluklarının artması nedeni ile Bilgi Güvenliği departmanlarının da eş zamanlı olarak kritik öneme haiz olduğu da gerek uluslararası standartlara entegre olmak adına gerekse, yaşadığımız bu günlerin zorunlukları arasında olduğu aşikardır. Nesnelerin interneti, Endüstri 4.0, Siber Güvenlik gibi kavramlar ve bu kavramları oluşturan enstrümanların çokluğu, uzmanlık seviyelerini ve kavramların otomatize edilmesini de zorunlu kılmaktadır. İşte bu zorunluluk aslında geliştirme yaparken kullandığımız ancak yeterli bilgi birikimi olmasına ragmen güçlü bir iradenin ortaya konularak Yapay Zeka kavramının hayatımıza entegre edilmesinin önemini de farketmemize neden olmuştur.

siber zorbaların hedefi olan birçok global firmanın ve hatta devletlerin bile siber ordularını konvansiyonel olmayan savaş teknikleri arasına Siber Güvenlik Orduları’nı dahil etmeleri de yine ayrı bir zorunluluk olmuştur. Ulusal Siber Güvenlik Stratejileri 2016-2019 da bizlere tanımlanan görevlere göre çalışmalarımıza devam ederken, 2019-2023 Ulusal Yapay Zeka ile Siber Güvenlik Stratejileri adına görüşlerimi kamuoyuna sunuyorum.

 

2019-2023 Ulusal Siber Güvenlik Stratejileri (Türk Bilişim Grubu  Manifesto)

 

Türkiye Cumhuriyeti’nin Jeopolitik konumunun, Dünya ekonomik gücünün ve enerji transferinin geçiş noktası olmasının yanında, bilişim altyapılarının da geçiş noktası olduğu kesin bir gerçektir. Bir taraftan 5G için İspanya’da yapılan protokol, diğer taraftan İstanbul Büyükşehir Belediyemiz tarafından düzenlenen Otonom araç ihalesi ile bu geçiş noktası adeta bilişim teknolojileri, yapay zeka ve endüstri 4.0 ile perçinlemektedir. Öte yandan Rusya’nın World Wide Web in dışına çıkarak kendi internet yapımıza geçiş yapabiliriz söylemi, bizim de World Wide Web ile iletişime geçebilen bağımsız bir internet altyapısına kesin ihtiyaç duyacağımızın da bir başka göstergesidir.

Şayet biz 2023 e kadar tam bağımsız bir bilişim altyapısı ve bilişim teknolojileri kullanamazsak Windows’tan kaçarken Linux e bağımlı kalma tehdidi ile karşı karşıya kalabiliriz. Tüm bu bağımlılıkların da ötesinde, NATO ile Rusya arasında kızışan teknik savaşta, her iki teknolojiyi birbirine karşı kullanan iyi de bir stratejimiz bulunmaktadır. Bu stratejinin NATO’yu getirdiği durum ise Çek general tarafından açıklandı. ABD’li Breaking Defence dergisinin haberine göre, S-400’lerin teknik nedenlerden dolayı NATO savunma sistemlerine entegre edilemeyeceğini belirten Pavel, “Ancak bu şartlarda S-400’ler NATO için tehlike yaratıyor. Sorunu oluşturan S-400’ler değil, roket sistemlerinin işlevlerini normal olarak yerine getirebilmeleri için veri tabanına erişim sağlanması” dedi.

Çek General, NATO üyesi olan Türkiye’de, NATO müttefiklerine ait tüm kaynakların Rus sistemleri tarafından kayıt altına alınacak olmasının “risk” teşkil ettiğinin altını çizdi.

Bu açıklama ile birbirinden bağımsız olan NATO ve Rusya askeri veri tabanının Türkiye’nin satın aldığı S-400 ler için gereken bilişim altyapısının, bu güne dek NATO standartları (CMMI) gereği kullanılan Microsoft ağırlıklı bilişim alt yapısı için büyük risk olduğu da kabul edilmiş oldu. NATO, S-400 veri tabanları ile müttefik olmayan bir ülke ile entegre olamayız ve buna sebep olan Türkiye’nin NATO’ya ait olan veri tabanlarının başka sistemlerle iletişime geçmesini de kabul etmeyiz diyerek, mevcutta kullandığımız sistemlere verilen desteği kesme ihtimali görülmektedir. Çünkü, bulunan bir çok açığın yaması bizlerle paylaşılmayabilir ve çok daha kombine zararlar verilerek bilişim altyapımız hedef alınabilir. Bu durumda, Rusya’nın teknolojik güdümü altına girmek de bu güne dek oluşturulan Milli Yazılım, Milli Donanım ve Milli Teknolojiler farkındalıklarına da aykırıdır. İlgili Kurumun 2019-2023 stratejileri başlığı altında bu tip sorunları ön görmüş ve gerekli adımların neler olduğunun belirlenmesi büyük önem arz etmektedir.

Olmazsa olmaz tek bir konu var ve o da kesinlikle Türk ve Türki cumhuriyetler ile İslam ülkeleri başta olmak üzere, kendimize ait olan ve global bilişim altyapıları ile güvenle entegre edilebilen bir bilişim altyapısını, tamamen bağımsız olarak geliştirmeyi hedeflemeliyiz. Aksi halde Millilik adına ne konuşursak, popülist söylemlerden öteye geçemeyeceğiz.

İran’da yaşanan Apple krizi (4), Rusya’nın World Wide Web’in dışında kalmak istemesi ve NATO tarafından yapılan S-400 açıklamaları gösteriyor ki, dijital ambargo ülkemizde yaşanabilir. Olası bir Dijital Ambargo senaryosu karşısında ne gibi önlemlerimizin olduğu her kurumun başkanlığı seviyesinde hazırlanıp sunulması da gerekmektedir  Özellikle Five-Eyes olarak bilinen ülkeler tarafından geliştirilen teknolojileri kullanan tüm kurumların, ivedilikle Risk Analizi ve Siber Güvenlik Eylem Planlarını hazırlmaları gerekmektedir. Aksi halde, Milli Güvenlik Kurulu’na iletilen bu tip raporların, ehil olduğu sanılan kişilerce hiçe sayılması, ulusal güvenliğimizi tehdit edecektir. Bu tehditi algılaması, raporlaması ve çözüm üretmesi gerekenler, elbette ki bilgi işlem kurum ve  departman yöneticileridir. Bu anlamda gerekli hassasiyetin gösterilmesi ve devlet erkanının yanlış yönlendirlmemesi için bu çalışma (Bütün kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler, Siber Güvenlik Kurulu (Ek-A) tarafından belirlenen politika, strateji ve eylem planları çerçevesinde kendilerine verilen görevleri yerine getirmek ve belirlenen usul, esas ve standartlara uymakla yükümlüdür)  hazırlanmıştır.

Risk Analizi

Türkiye’de özel ve kamu sektörlerinde kullanılan bilişim altyapısı ile güvenlik ürünleri ve bu hizmetleri veren kurumların öncülüğünde entegre edilmekte ve güvenliği sağlanmaktadır. Hatta, yayınlanan risklerin çoğu bu tip markaların açıklamalarından sonra öğrenilebilmektedir. Bu durumda bağımısz bir Risk Analizi yapmak için bahsi geçen markaların teknolojilerini kullanan değil, geliştiren ve hatta uluslararası standartlarda API desteği vererek bilişim sistemlerin risk analizini test edebilmek için kernel seviyesinde sistemlere entegre olmalı ve makine öğrenme metotlarını belirlemeyiz. Aksi halde, örneğin portları dinleyen bir Linux Kali operatörü ile hazır bir programı kullanan operatörün topladığı verilerde farklılık gözlenecektir. İnsan unsuruna dayalı hataların tespiti iyi yapılırsa, yapay zeka ile siber güvenlik risk analizi yapmanın kolaylığını ve şüpheli işlemleri analiz eden operatörlüğün çok popüler bir meslek haline dönüşeceğini de öngörmekteyim.  Bu doğrultuda bağımsız verilerin toplanabilmesi için yerli kurumların bağımsız ve milli teknolojiler ile verileri elde edebilen bir analiz platformu bulunmadığına dikkat çekerek, detaylı bir çalışma istenmesi halinde yeniden derlenecektir.

İnternet Kullanımı ve Güvenli İnternet

Türkiye İstatistik verilerine göre, Bilgisayar ve İnternet kullanımı 2017 yılında 16-74 yaş grubundaki bireylerde sırasıyla %56,6 ve %66,8 oldu. Bu oranlar 2016 yılında sırasıyla %54,9 ve %61,2 idi. Güvenli internet kullanımı için “Siber Güvenilir Kullanıcı” tanımımızı farkındalık çalışmaları ile yaygınlaştırmayı hedeflemeliyiz. Güvenli internet ortamı ancak siber güvenilir kullanıcı nasıl olmalı sorusuna yanıt vererek sağlanabilir. Olası tehdit türleri bilinir ve haftalık tehdit raporları düzenli olarak takip edilirse, eminiz ki siber saldırılara karşı bilinen senaryolar belirlenir ve sistemi en kısa sürede yeniden yapılandırabiliriz.

Haftalık olarak yayınlanan Haftalık Tehdit Raporu isimli çalışmaların sayısının arttırılması ve merkezi olarak yayınlanması için sorumlu kurumun belirlenmesi ve bu kurumların altyapı desteği Pardus Sunucuları tarafından verilmedir. Kurumnet ile elde edilen başarının bir yenisini Milli Bilişim çağrısı ile ortaokul ve liselerden destekleyebiliriz.  Fatih projesinde verilen tabletler hali hazırda kullanıcı olan öğrenciler için yeterli miktardadır. Ancak geliştirici çocuk yaşının ilköğretim seviyesinde olması nedeni ile ölçülü miktarda açık devre ve geliştirilebilir platformlar, geliştirici özelliği olan çocuklarımızın tespit edilmesi sonrası pek ala RaspberryPi gibi platformlar dağıtılabilir. Elbette yerli ve milli yazılım cümlesinin hakkını verebilmek için RaspberryPI, Ardunio benzeri donanım ve bu donanımla iletişime geçebilen anlaşılabilir bir makine dili geliştirmek 2019-2023 stratejilerimizde yer almaktadır. Geliştirilebilir platformları kullanan çocuklarımız ile RaspberryPi benzeri platformları geliştirebilen çocukların, rehberlik faaliyetleri ve atolye çalışmaları ile belirlenmesinde fayda vardır.

 

İnternet’e bağlı bilgisayarlar ve mobil cihazlar, öğrenmek, oyun oynamak, sosyalleşmek, ağ kurmak, iletişim kurmak, işbirliği yapmak veya kaynakları paylaşmak için her yaştan genç için öncelik haline geliyor. Günümüzde, mobil bağlantılar, sıcak noktalar (hotpoints) ve evde, okullarda ve ofislerde yaygın kullanılan kablosuz ADSL bağlantıları sayesinde, her an bulundukları alanlarda kolaylıkla internette gezinebiliyorlar. İnternet’e bağlı cihazların kullanıcılarının, yaşı gittikçe düştüğü için, gençlerin daha genç olduğu veya daha genç yaşta çocukların kaynaklara giriş yapması ve güvenlik politikalarının kullanımına ilişkin gizlilik risklerine maruz kalması gibi güvenlik endişeleri artmaktadır.

 

Çevrimiçi İnternet veya hassas bilgilerin paylaşımı.

 

İnternetin kendisi güvenli bir ortam değildir. Ve yeni başlayanlar (evde ve okulda), veri gizliliği ve güvenliği ile ilgili konuların tehlikelerini, yazılımları indirmeden veya yüklemeden veya sonunda kendilerine zarar verebilecek herhangi bir şey yapmadan önce kendilerini nasıl koruyacaklarını bilmelidirler. Bu doğrultuda, Siber Güvenilir Kullanıcı farkındalık eğitimlerine ağırlık verilmelidir.

Kullanıcı nekadar genç olursa, mobil cihazları veya İnternet bağlantılarını kullanırken okadar dikkatsiz olabilmektedir. Günümüz gençleri ve genç kullanıcılar, internet bağlantılı cihazlarla ilgili tüm teknik konularda oldukça güncel bilgil sahibidirler, ancak normal olarak İnternet üzerinden bilgi paylaşımında, kamuya açık noktalara dokunarak veya cihazlarını düzgün şekilde güvence altına alamaktadırlar. Bu nedenle, çocukların siber güvenlik kavramı ile nekadar erken yaşta tanışması gerektiğini ve güvenlik bilincini öğretirken gerçekten faydalı olacağı konusunda tartışmalar yaşanmaktadır. Bugünün İnternet kullanım koşullarında küçük çocuklara “çevrimiçi olarak güvende kalmak” için ipucu ve bilgi sunmak için doğru yaş nedir?

 

 

Amerika’da Ulusal Siber Güvenlik Bilgilendirme farkındalık çalışmaları, çocuklar için hazırlanan bir sunumda, “8-18 yaş arası çocukların çevrimiçi olarak günde 7 saat 38 dakika harcadığı tespit edilmiştir; bir çocuk gecede 8 saat uyuyorsa, uyanık olduğu zamanın yarısı çevrimiçi geçiyor demektir ” Dur, Düşün ve Bağlan isimli farkındalık çalışması, bu dijital çağda çocukların artık erken yaşta bilgisayarlar, akıllı telefonlar veya tabletleri keşfettiği anlamına geliyor. Çevrimiçi olarak yeni deneyimler geliştirdikçe ve keşfederken, keşif ve doğal merakla öğrenme, ebeveyn denetimi ve ebeveyn kontrol araçları faydalı olabilir. Bununla birlikte, tüm bu araçların önleyebileceği çok şey var; çocukları uygun olmayan kişilerin günlük tehlikelerinden korumak ve bilgisayar korsanlarının sistemlere sızarak bilgi girmelerinin kolay bir hedefi haline gelmesini önlemek için daha fazla bilgilendirme faaliyetine ihtiyaç vardır.

 

Gerçek şu ki, günümüzde öğrenciler, bilgisayarlara, eğitim yada oyunlara yönelik kullanımlar nedeni ile ilgi duymaktadırlar. Buna ek olarak, giderek artan bir kullanım oranı ile sosyal medya da vakit geçirmektedirler. Çocukların genç yaşta internetete gezinmelerinin gerekip gerekmeyeceği ise tartışmalı bir konudur; Bununla birlikte, günümüzde 13 yaşına gelindiğinde, birbirine bağlı, mobil ve sosyal olan çocuk sayısı da giderek artmaktadır. Her yaştan çocuk, “çevrelerindeki daha geniş olan bir dünyayla bağlantı kurmaları, iletişim kurmanın en ileri teknolojik yolunu kullanmaları, teknoloji odaklı bir neslin parçası olduklarının da ayrı bir göstergesidir.

 

Etkili güvenlik bilincini başlatmak için uygun zaman ne zaman? Bazıları siber güvenlik bilincinin küçük yaştaki çocuklara öğretilmesinin gereksiz olduğunu veya verimsiz bir sonuç doğurabileceğini düşünebilir. Ancak siber güvenlik konusunu tartışmaya açmak için en uygun an çocukların teknolojiyi kullanmaya başladığı gerçeğini kabul etmekle başlar. Bu yolla, bilgisayar bilgisi ve güvenlik bilinci en baştan ayrılmaz bir ikili olarak görülebilir. İlk bilinçlendirme eğitimi, çocukları çevrimiçi ortamda tutmak için ebeveynlerin verdiği, onlara erkenden esnek dijital vatandaşlar olmalarını ve siber güvenilir kullanıcı olmaları gerektiğini öğretmektir.

Çocukların çevrimiçi güvenliğiyle ilgili bir bildiri kitabında (SANS Enstitüsü) siber bağlantılı çocuklar için en önemli tehlikeleri tanımladılar;

 

  • )Yabancılar / Suçlular : Bu ilk tehdit açıkça Fiziksel ortamlarda olduğu gibi, çevrimiçi olarak gözetimsiz çocukların, verileri, resimleri, aileye ait bilgilerinin paylaşılmasıdır. Çevrimiçi tehlikelerden habersiz kullanıcıların, hassas verilerini düşünmeden çevrimiçi ortamlarda paylaşması ise çok büyük bir güvenlik zaafiyetidir.
  • Siber zorbalık : Gerçek bir olasılıktır ve okullarda, mahallelerde gerçek zorbalığa göre daha saldırgan ve zararlıdır.Üstelik, sanal ortamlarda gerçek kimliklerini gizleyen Siber zorbalar kolaylıkla tespit edilememektedir. The Guardian gazetesi muhabiri Jessica Elgot’a göre, dünyadaki 4700’den fazla genç hakkında yapılan “küresel bir ankette, siber zorbalığı yaşayanların beşte birinin intihar ettiklerinin gözlemlendiği ve yarısından fazlasının aldatılmış olduğunu söylemiştir. Kısacası, siber zorbalık fiziksel zorbalıktan çok daha kötü olarak kabul edilmektedir.

(Ülkemizde çocuk istismaralında yaşanan zaafiyetlerin giderilmesi için  Aile eve Sosyal Politikalar bakanlığı tarafından hazırlanan Alo 183 isimli destek hattından erişilebilir uzmanlar tarafından destek istenmelidir)

 

Gençlere daha düşünceli ve sorumlu teknoloji kullanıcıları olmayı öğrenmelerine yardımcı olmak için Siber Güvenilir Kullanıcı başlığının teşvik edilmesi çok önemlidir. Ebeveynlerin çocuklarıyla internet kullanımı hakkında görüşmesi ve yönlendirmede bulunmaları zorunluluk haline gelmiştir. Hangi web sitelerinin ziyaret etmeye uygun olduğunu belirleme konusunda bilgi ve yönlendirme çalışmaları BTK tarafından Güvenli internet başlığındaki farkındalık çalışmaları ile desteklenmektedir.

 

Güvenli İnternet Hizmetine ilişkin çalışmalar, Anayasanın “Ailenin korunması ve çocuk hakları” başlıklı 41. Maddesi ve “Gençliğin korunması” kenar başlıklı 58. Maddesi hükümlerine dayanmaktadır. Ayrıca bu Anayasal hükümlerin yanında Elektronik Haberleşme Kanununun Tüketici ve Son Kullanıcı haklarını düzenleyen hükümleri ile bu kanun uyarınca çıkarılan Tüketici Hakları Yönetmeliği’nin “İnternetin Güvenli Kullanımı” başlıklı 10.maddesi de uygulamanın kapsamını belirlemiştir. Yonetmelik, İşletmecilere İnternetin Güvenli Kullanımına yonelik ücretsiz alternatif hizmeti sunma yükümlülüğü getirmiştir.

Daha küçük yaştaki çocuklar için ebeveyn güvenlik araçları kullanılabilir. Birçok ücretsiz seçenek mevcuttur ve çoğu internet servis sağlayıcıları genellikle koruma araçları sunar. Örneğin, Windows Live Aile Güvenliği, kullanıcıların web filtreleme ayarlarını ve parametrelerini filtreleyerek web filtreleme / engelleme denetimlerini kullanarak engelleyen veya engelleyebilecek ücretsiz bir içerik kontrol yazılımıdır. Microsoft Aile Güvenliği, çocukların bilgisayar faaliyetlerinde sekmeler bırakıp çevrimiçi daha güvenli kalmalarını sağlamak için uygundur. Kullanıcı hesabı ve güvenlik ayarları yapıldıktan ve çocuğa yönelik farklı derecelendirme, kısıtlamalar ve ayrıcalıkların kurulması tamamlandıktan sonra, ebeveyn için geriye kalan tek şey, internet kullanımı hakkında gençlerle bazı temel kuralları konuşmaktır.  Buna ek olarak, Türk Telekom servis sağlayıcısı olarak Aile Profili ve Çocuk Profili başlıklarında hizmetler ile çocukların zararlı içeriklere erişimini önlemeye çalışmaktadır.

 

 

Ebeveynlerin de örneklerle yönlendirilmesi gerekir; bu özellikle gençler ve çocuklar için önemlidir. FOSI (Family Online Safety Institute) tarafından yapılan bir araştırmaya göre, ebeveynler, çocuğun kişisel bilgilerinin mahremiyetini korumak adına çok büyük endişeler yaşıyor. Gerçekten, ankete katılan ailelerin% 36’sı bir ebeveyn kontrol aracı kullanarak, sınırlamaya yardımcı olmaya çalıştıklarını bildirdi. Hatta, çocuğunun İnternet kullanımını izlemek ebeveynler için vazgeçilmez bir seçenek haline geldi.

 

Bilinçli ebeveynlik çalışmaları farkındalık çalışmaları için yardımcı olabilse de, okullar ve öğretmenler, siber güvenlikle ilgili çocukları tanımanın ana paydaşlarıdır. Çocukların çevrimiçi deneyimlerinden en iyi şekilde yararlanmalarını sağlamak için sosyal medya güvenliği konusunda sosyalleşmeyi de destekleyen önemli dersleri güçlendirmek için okullarda İnternet güvenliği bilgilendirme toplantılarının sayısının arttırılması önem arz etmektedir. Hatta, mezun öğrencileri kendilerine daha yakın hisseden öğrenciler için interaktif çalışmalar tercih edilmelidir.  Geleneksel suç farkındalığı gibi siber bilinçlilik başlıklarında kötü alışkanlıklardan ve tipik gençlik öncesi dikkatsizlikten doğan hataları en aza indirgemek için de oyunlar ile küçük yaştaki çocuklara da farkındalık çalışmaları organize edilmelidir.

 

Bu dijital çağda, siber iletişim, çevrimiçi gezinti ve çevrimiçi olarak sosyalleşme, aslında çocuğun gündelik hayatının bir parçası olmuştur. Siber güvenlik dersleri okullarda ve evlerde zorunlu tutulmalıdır.

 

 

Çocuklar, günümüzde giderek karmaşık ve potansiyel olarak tehlikeli bir dijital dünyada büyüyor. Gittikçe artan bir şekilde elektronik ve küresel dijital topluma dönüşüyoruz. hepimizin kişisel ve hassas verilerinin ne olduğunu bilerek, paylaşılan kaynakları akıllıca kullanma ve koruma sorumluluğu vardır. Çevrimiçi tehdit ve zararlardan kaçınmak için çocukların gerekli siber güvenlik çalışmaları ile bilinçlendirilmesi çok önemlidir. Aile üyelerinden okul personeline kadar olan yetişkinler, gençlerle çevrimiçi olarak meşgul oldukları konularda konuşmalı ve kişisel bilgi paylaşımını sınırlamalarını teşvik etmeleri için bir hedef belirlemelidir. Çocuklar çok erken yaşta bilgisayarları ve mobil cihazları kullanmaya başlarlar. Ebeveynler çocukları için evde kullanılan interneti güvenli tutmaya yardımcı olabilirken, öğretmenler bunu öğrencilerin güvenliğini teşvik eden programlar aracılığıyla da destekleyebilirr. Her iki factor de gelecek nesillerimizin hayatlarını korumada olumlu bir fark yaratabilir.

Siber bilinci öğrenmeye başlamak için henüz bir yaş seviyesi belirlenmemiştir.  Gerçek kişi olarak, siber güvenlik konusunda “Her internet kullanıcısı, ne kadar genç veya yaşlı olursa olsun, milletimize zarar vermek isteyen insanlara karşı ilk savunma hattıdır” diyor ve kamuoyuna arz ediyorum.

 

 

Siber Güvenlik ve Ulusal Güvenlik

 

Ulusal Siber Güvenlik Stratejileri 2016-2019 başlıklı çalışmada en çok vurgu yapılan konuların başında Milli Yazılım ve Milli Donanım gereksinimleri damgasını vurmuştur. Gelişen teknolojiler ve bu gelişimin hızı ise bizleri adeta ya bu teknolojiyi kullanırsın yada kullanmayıp yeniden kurgularsın noktasına getirmiştir. Oysa bu iki seçenekten çok daha fazlasını tanımlamak bizlere aittir. Bizler, mevcut teknolojileri güncel olarak takip ederek tersine mühendislik ve iş geliştirme faaliyetlerini destekleyici çalışmalara hız verilmesini öneriyoruz. Özellikle siber güvenlik alanında kurumlarımızda aktif olarak kullandığımız güvenlik yazılım ve donanımlarını en iyi test eden çalışanlarımızdan geri bildirimler alarak, yeni ve yerli teknolojileri imal ederken yurt dışı pazarına da teknoloji ihraç eden bir konuma gelebiliriz düşüncesindeyiz. Ulusal güvenliğimiz için TİKA’nın hizmet verdiği ülkelerde geliştirdiğimiz teknolojileri kullanmayı hedeflerken, mevcut teknolojileri çok iyi öğrenerek olası bir siber tehdit durumunda kullanmak üzere Web, mobil ve kurumsal ölçekli teknolojiler üzerine “Geliştiren Ülke” konumuna gelmeyi hedeflemiliyiz.

En basit web teknolojileri arasında yerini alan cookie başlığı ile tarayıcı geçmişimizde yaptığımız tüm hareketler algılanabilir ve alışkanlıklarımız tespit edilebilir. Web teknolojilerinin en temel gereksinimi olan bir konuda lisans üretilmemesi üzücü bir durumdur.  Ayrıca kullanılan birçok entegre web teknolojisinde Lisanslama olmadan geliştirme yapılması, (unkown publisher)  gelecekte ön görülen siber tehditler için, parmak izi, sosyal mühendislik, veri tabanı köprüleme veya aynalama metotlarını beraberinde getirmekte ve çok açık bir güvenlik zaafiyetine sebep olmaktadır. Bu konuda geliştirici kurulların oluşturulup ilk başta Üniversiteler bünyesinde geliştirme faaliyetlerinin devamlılığı ve standartları netleştirilmelidir.

Dünya’da ilk defa robotlara vatandaşlık verilen Suudi Arabistan’ın 4. Silahlı Kuvvetler-Yerli Üretimi Destekleme Fuarı’na (AFED 2018) Türkiye’nin “şeref konuğu” olarak davet edildiği, Havelsan, Roketsan, Tai gibi 25 Türk firmasının yanında ROBOTSAN gibi yeni kurumların da katılmasını, Ulusal Siber Güvenliğimiz ve İleri Teknoloji Gelişimi konusunda önem arz eden bir başlık olduğunu yüksek sesle dile getirmekte fayda görmekteyim. Ülkeler, Askeri gücün yanı sıra, bilişim ve güvenlik ürünlerini de bağımsız ve milli olarak geliştirmeli, bu çabaları ivedilikle desteklenmelidir. Aksi halde, 5G teknolojisini kullanan ve kurulum hizmeti veren operatörlükten veya servis sağlayıcılıktan öteye geçemeyeceğiz. Servis tanımlamaktan mahrum kalabilmekte, geliştirme tarafında kullanılan hazır kütüphanelere mahkum kalarak, denetimsizlikten kaynaklı “unkown publisher” kullanımını önleyemeyeceğiz. Kaynakları verimli kullanmak, kamu tarafından verilen desteklerin hakkını verebilmek adına Omdusmanlık kurumunda ve Devlet Denetleme kurulunda görevlendirilmek üzere siber uzmanların titizlikle yetiştirilmesini desteklemekteyiz. Ayrıca, Hacker başlığında beyaz şapkalı hacker alımında kullanılan sertifikasyonların, yerli kurumlar tarafından da titizlik ilkesi ile hazırlanması gerektiği, Setifikasyon başlığında detaylı olarak açıklanmalıdır. Hacker’ın TDK tanımı olan Bilgisayar Korsanı ifadesi yerine, TDK’nın da kullandığı teknolojilerin lisans üreticisi olan M.I.T.’nin tanımına yer verilmesi çağrısı yapıyorum. Hacker; bilgisayar, sistem, donanım ve yazılımlarını geliştiren ve geliştirmekten zevk alan kişiye denir. Bu doğrultuda, bu geliştirme faaliyetlerinden zevk alan kişilerin bu alanda desteklenmesi için diploma aranmadan, sertifikasyonlar ile bilgi birikiminin testlerinin yapıldığını hatırlatarak, mevcut mevzuatta hiç bir değişiklik yapmadan

Veri Kaybı önleme platformlarının doğası gereği veriyi sınıflandırıp, hassas verilerin kurum dışına çıkmasını engellemektedirler. Bu alanda milli ve global teknolojilere entegre olabilen bir platforma sahip olmadığımız müddetçe, bağımsız siber güvenlikten bahsedemeyiz. Bu doğrultuda tüm güvenlik ürünlerinin paket alış verişini analiz edebilen bir DLP  (data loss prevention) geliştirmenin önemi hat safhadadır. Türkiye Cumhuriyeti bünyesinde bulunan Türk Gençliği’nin oluşturacağı komisyona, Ulusal Siber Güvenlik Stratejileri 2016-2019 da belirtilen sorumlu tüm kamu, özel sektör, STK, tüzel ve gerçek kişilerin de katılımı beklenmektedir. Siber Güvenlik alanında eko sistemi destekleyici çalışmalar için bilgi birikim ve stratejilerimizi paylaşmaktan mutluluk duyacağız.

 

Çevrimiçi e-ticaret platform olan eBay’ı hedef alan siber saldırılar ve verdikleri finansal zararlar, siber güvenliğin önemine dikkat kesilmemizi sağlamıştı. Dünyaca ünlü JPMorgan Chase Bank’ın sistemlerinde yaşanan siber saldırı sonrası verilerin dışa sızdırılması ise finans sektörünün şimdiye kadar gördüğü en büyük tehlikeye dikkat çekmişti.  Bu tip durumlarda, bilişim desteği alınan firmaların yardımına ise sigortacılık kurumları yetişmiştir. Bu durumda ağırlıklı olarak insan unsuruna dayalı olan siber güvenlik başlığı için kalifiye personellere ihtiyaç vardır.

Fatih Projesinin amacı öğrencilerimizi teknoloji ile buluşturmaktır. Bu amacın yanında kullanıcı nesiller ile geliştirici bir neslin hedeflenmesi gerekmektedir. Tablet kullanan öğrenciler ile bu tabletleri geliştirenleri destekleyici atölye çalışmaları yapılmalıdır. Mevcutta dağıtılan tabletler üzerinde yayınlanan eğitim platformlarını takip eden ve elde edilen bilgileri, atölye faaliyetlerinde tecrübeye dönüştürenlerin, siber güvenlik, yapay zeka, nesnelerin interneti ve kodlama başlıklarında kalifiye birer operator olmaları bu sayede sağlanabilir.

Fatih Projesi Siber Güvenlik ekibinin öğrenciler tarafından oluşturularak, başta e-okul uygulaması gibi daha bir çok kamuya ait olan platformları incelemesi ve tespit edilen güvenlik zaafiyetlerini bildirmesi oldukça kısa sureli çalışmalar ile mümkündür.  Özellikle fidye yazılımlarının kurbanı olan bir çok firmanın, öğrencilerden oluşturulacak olan siber güvenilir kullanıcı ve geliştiricilerden destek almaları hem Fatih projesinin nitelikli ve güncel teknolojileri kullanabilen nesillerin hedeflenmesini sağlamakta hem de siber güvenlik ekosistemine katkı sağlamaktadır. Özellikle, özel sektör yöneticilerinin yabancı siber güvenlikçilerin katıldığı organizasyonların yerine, yeni nesil geliştiricilerin sunumlarına destek vermeleri, bilgilerini büyük bir zevkle insanlığın kullanıma sunan gençlerin, maddi kazançları ikinci plana atarak, büyük bir özveri ile çalışmasına katkı sağlayacaktır.

Nitelikli İnsan Kaynağı

 

Günümüzde teknolojik platformların artması ve 7den 77 ye herkesin kullandığı ve hayatımızı kolaylatıran bilişim teknolojilerine olan ilginin bir ihtiyaç noktasında olduğunu Kabul ettiğimizde, bu teknolojileri geliştiren, düzenleyen, derleyen Nitelikli insalara’da ihtiyaç olduğu Kabul edilmektedir. Yerli ve Milli teknoloji söylemlerinin ötesinde sonuç odaklı geliştirmeler yapmamız gerektiği ise ayrı bir gerçektir.  Fatih Projesinde yaşanan eğitim içerikleri format karmaşasının verdiği zaman ve para kaybını da göz önünde bulundurduğumuzda, aslında teknolojiyi geliştirme tarafından gayet nitelikli olduğumuz ancak, planlama ve yazılım mimarileri konusunda halen daha istenilen seviyede olamadığımız da aşikardır. Tüm bu gerçeklerin eşliğinde, Yazılım, Donanım, Grafik, Tasarım, Web Teknolojileri, Mobil teknolojiler gibi daha nice başlık bulunmakta ve her bir başlık hızla gelişen teknolojiler neticesinde, literatür taraması, takip, güncelleme gibi daha nice uzmanlık arttıran iş gücünü de beraberinde getirmektedir. Bizler nitelikli iş gücünün doğru yönlendirilmesi için bilinçli aileler ve güncel bilgilere sahip, özverili ve ileri görüşlü öğretmenlerimize güveniyor ve destek vermek istiyoruz. Teknik, Meslek ve Ticaret liselerinde nitelikli insan kaynağı üreten öğretmenlerimizin yetiştirdiği gençlerin, Üniversitelerde bilgi ile harmanlamsını da destekliyoruz. Ancak, nitelikli insan kaynağı için gerekli olan tecrübe olgusu, Lise seviyesinde staj imkanı verilen gençlerimizden oluşmakta, bu oluşumun da ülkemizin genç nüfusu göz önünde bulundurulduğunda muazzam bir nitelikli insan kaynağına sebebiyet vereceğini de ön görmekteyiz. Mevcut olan teknolojileri iyi bilen, global eğitim müfredatlarını öğrenen ve literatur taraması ile güncel bilgileri harmanlama yeteneğini iyi bilmenin yanı sıra, tersine mühendislik becerisi, iş geliştirme ve yazılım mimarisi konularında yönlendirme yapabilecek öğretmenlerimizin adeta birer yetenek avcısına dönüşerek nitelikli insan gücü için katkı vermeleri ve gerekli olan tüm danışmanlığı Gerçek Kişiler olarak vermeye de gönüllü olduğumuzu bu vesile ile kamuoyuna duyurmaktayız.

Yazılım İhracatı

 

Türkiye Bilişim Sanayicileri Derneği (TÜBİSAD), bugün 2015 yılı ‘Bilgi ve İletişim Teknoloji Sektörü Pazar Verileri başlıklı hazırlanan rapora göre Türkiye’de bilgi ve iletişim teknolojileri sektörünün finansal boyutu 83,1 milyar TL. Açıklanan rakamlara göre sektörümüz, bir önceki yıla oranla TL bazında yüzde 18 büyüme göstererek 83,1 milyar TL hacme ulaşmış. İstihdam gücünü 113 bin kişiye çıkaran sektörün ihracat hacmi ise 2,2 milyar TL’ye ulaşmış. Toplam ihracat tutarı 2,2 milyar TL olurken bunun 60’ı, 1,360 milyar TL ile yazılımdan gelmiş.

Son yıllarda teknoparklara verilen desteklerin artması, yüksek yatırım alan iş fikirleri ve okullarda verilen bilişim başlıklarındaki eğitimlerin neticesinde ortaya çıkan nitelikli iş gücü sayesinde, yazılım geliştirme faaliyetlerinde gözle görülen bir artış gözlenmektedir. İletişim ve bilgi teknolojilerinde istihdam edilen insan sayısının 120.000 seviyelerinde olması ve yerli yazılım hizmetleri veren firmaların %86 lık bir paya sahip olması Yazılım İhracatı başlığı için iyi seviyede hazırlıklı olduğumuzun da ayrı bir göstergesidir. Yazılım geliştirme ve yazılım danışmanlık hizmetlerinde başarılı olan sektörümüz yazılım ihracatı başlığında da iyi bir bilgi birikimine sahiptir. Dünyada ağırlıklı olarak ihtiyaç duyulan entegre teknolojilerde, iş süreç yönetimlerinde, mobil ve web teknolojilerinin yanı sıra nesnelerin internet ile yapay zeka gibi başlıklarda yazılım geliştirmelere hız verilmelidir.  Ayrıca, yazılım ihracatı başlığında özel sektörün dünya liginde herkes ile aynı başlangıç seviyesinde yarışa dahil olması ise ülkemiz adına ayrı bir avantajdır. Özellikle Yapay Zeka, Nesnelerin İnterneti için en temel enstrümanlardan biri olan yazılım başlığının başarı çıtasını yükseltmek ve tescillemek adına, sosyal sorumluluk projeleri ile kamu kurumları, okullar, akademiler ve kamunun yararına olan süreçlerin inşaa edilmesi de sevindirici çalışmalara birer örnektir.  Gereken tüm fikirlerin güçlü bir irade ile desteklenmesi için Birey, STK, Kamu ve Özel sektör  olarak üzerimize düşen her ne varsa yapmaya ve somut projeler ile destek vermeye de hazır olmalıyız. Tüm bu gerçekler ışığında ilk yapay zeka içerikli projemiz olan Anında Adalet Sistemi uygulamamızı başta Avrupa olmak üzere bir çok ülkede kullanıma sunmak adına çalışmalarımız devam etmekte, özel sektörün sahipleneceği projeleri destekleyerek yazılım ihracatı başlığında Gerçek Kişiler olarak kamu yararına çalışmalarımıza devam etmekteyiz.

 

 

 

2018 Yılı Tahminleri

 

 

2018 yılının ardından 2019 yılı için yapılan tahminler bekleneceği üzere pek iç açıcı değil. CyberSheath ve Websense firmaları tarafından 2014 yılı analiz edilerek yapılan 2015 tahminleri benzer beklentilere yer vermekte [CyberSheath, Websense]. Bu çerçevede, 2015 yılında;

  • Nesnelerin interneti (Internet of Things) adı verilen internete bağlı akıllı cihaz veya giyilebilir elektroniklere yönelik siber saldırılarda artış gözlenecek.
  • Sağlık sektörüne ait kişisel veriler daha çok bilgisayar korsanlarının hedefinde
  • Mobil telefonlar ve bu telefonlar için oluşturulan bulut veri depolama sistemleri daha çok siber saldırılara maruz
  • Firmalar, mobil güvenlik için strateji belirlemek ve daha fazla kaynak ayırmak zorunda kalacaklar.
  • Açık kaynak kodlu yazılımlardan kaynaklanan güvenlik açıklıkları 2019 yılında da artarak devam
  • Zafiyet yönetimi firmalar için ilave masraflar
  • Özel sektör ve kamu sektörü arasında özellikle sağlık, finans, ödeme ve savunma sanayilerinde bilgi ve istihbarat paylaşımının önemi
  • Kredi kartı hırsızlığı devam Başta Amerika olmak üzere bir çok ülke manyetik şeritli kredi kartlarını çipli kartlar ile değiştirme yoluna gitmek zorunda kalacak.
  • “Ransomware” zararlı yazılımı kullanılarak yapılan ve fidye istenen bilgisayar korsanlığı 2019 yılında da artarak devam
  • Bulut teknolojilerine yönelik siber saldırılarda artış gözlenecek.
  • Devletler siber savaş ve siber casusluk için yatırım yapmaya ve silahlanmaya daha çok hız
  • Ülkeler arasında siber güvenlik işbirliğine ilişkin ikili anlaşmalar

 

  • Yerli ve Milli yazılım ile donanım geliştiryoruz diyenleri sayısı artacak, Five-Eyes tarafından geliştirilen teknolojilerin Nitelikli Operatörleri yetiştirilerek yanlış yönlendirmeler devam edecek

 

 

 

 

 

İlkeler

 

Ulusal siber güvenliğin sağlanmasında göz önünde bulundurulacak ilkeler şunlardır:

 

  1. Siber güvenlik, risk yönetimini esas alan etkin ve sürekli değerlendirmeye ve

iyileştirmeye dayalı yöntemler aracılığıyla sağlanır. Oluşturulan risk yönetimi

metotlarının tehdit ve açıklıkları ele alarak bunlardan dolayı ortaya çıkacak riskleri

belirlemesi, bu riskleri kabul edilebilir düzeye indirmek için yöntemler sunması

hedeflenir.

 

  1. Siber güvenliğin sağlanması için tüm paydaşların siber güvenlik risklerini bilmeleri,

bu risklerin yönetilmesine ilişkin yaklaşımlarının kendileri kadar başkalarını

da etkileyebileceğinin bilincinde olmaları gerekir. Bu farkındalık ve yetkinliğin

sağlanması için tüm paydaşların gerekli eğitim ve deneyimi kazanmaları sağlanır.

Teknik boyutun yanı sıra; hukuki, idari, ekonomik, politik ve sosyal boyutları da

içeren bütüncül bir yaklaşım benimsenir.

 

  1. Risk yönetimi, teknik zaafların hızla giderilmesini, saldırı ve tehditlerin önlenmesini,

fark edilmesini, yanıtlanmasını ve muhtemel zararın en aza indirgenmesini içerir.

Zararların asgari düzeyde tutulması için siber olaylara karşı bir hazırlık ve süreklilik

planının bulunmasına ve uygulanmasına önem verilir.

 

  1. Siber uzay güvenliğinin sağlanması ve sürdürülmesinde; kamu, özel sektör,

üniversiteler, sivil toplum kuruluşları ve bireyler dâhil tüm paydaşlar arasında

işbirliğinin yanı sıra uluslararası işbirliği ve bilgi paylaşımı esas kabul edilir ve güven

inşa edilir.

 

  1. Tüm paydaşlar, siber uzay güvenliğinin sağlanması için çalışırken, hukukun üstünlüğü,

ifade özgürlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkelerini

gözetir.

 

  1. Paydaşlar siber uzaydaki risklerin yönetimi ile ilgili sorumluluklarını yerine getirirken

şeffaflık, hesap verilebilirlik ve etik değerleri göz önünde bulundurur.

 

  1. Alınan siber güvenlik önlemlerinin ilgili risklerle orantılı olması, olumlu ve olumsuz

etkilerinin değerlendirilmesi ve dengelenmesi sağlanır.

 

  1. Siber güvenlik gereksinimlerinin karşılanmasında yerli ürün ve hizmet kullanımı

teşvik edilir, bunların geliştirilmesi için araştırma ve geliştirme projeleri desteklenir,

yenilikçilik anlayışı esas kabul edilir.

 

KAFKASSAM Siber Güvenlik Araştırmacısı Burak Bozkurtlar

 

Not: Bu çalışma, Kafkasya Stratejik Araştırmalar Merkezi ve  Türk Bilişim Grubu işbirliği ile Siber Güvenlik Takımı tarafından ilgili kurumlara iletilmek üzere hazırlanmıştır. İzinsiz ve ticari amaçlarla kullanılması yasaktır. Tüm hakları saklıdır

 

 

Kaynaklar:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Devamını Oku