tech caos

Ülkemizde teknolojik atılımların sayısı her geçen gün artıyor ve strateji eylem planları bir bir yayınlanıyor. Bana göre şu ana kadar en faydalı çalışmayı Ulusal Siber Güvenlik Stratejileri 2016-2019 çalışması ile Ulaştırma Denizcilik ve Haberleşme Bakanlığı hazırladı.

Bu çalışmada özel sektör, kamu kurumları, STK’lar ile gerçek kişilere de vazife çağrısı yapılmış oldu. Tabi bu tip çalışmalarda gerçek kişilere ne derece önem veriliyor sorusu oldukça önemli cevapları içinde barındırıyor. Çünkü, “işte bakın bizler bu çağrılara kulak verdik ve çalışıyoruz” demek ayrı hakikaten geliştirme yaparak bunu yaptık demek çok ayrı.

Ülkemizde pek dile getirilmeyen ama yakın zamanda sıkça duyacağımızdan emin olduğum Five Eyes konusuna dikkat çekmek isterim. Adaliede üniversitesinde ders olarak anlatılan Five Eyes, 5 ülke tarafından yapılan anlaşmadan bahseder. Bu beş ülke, geliştirdikleri teknolojileri farklı ülkelere satar, kurgular, eğitimler verir ve sonunda olası bir savaş halinde o ülkelerin teknolojik alt yapılarını hedef alarak, ülkelerde kaos yaratarak, iç karışıklık çıkarmayı hedeflerler. Yakın zamanda Hindistan hükümetinin, ülke içinde kullanılan sahte paraların önüne geçmek adına çıkardığı yeni para, ülkede büyük iç karışıklıklara neden oldu. Peki ülkemizde ne gibi yıpratmalar mümkün olabilir?

Öncelikle, ülkemizde kullanılan teknolojik donanımların neredeyse tamamı ithal edilmektedir. Anakart, Ram, işlemci üreten yerli bir markamız yok. Amerika’yı bir daha keşfetmeye ne gerek var, donanım üretmeye ne gerek var hatta yerli programlama dili de neymiş diyenler malumunuz. Ancak “ilim maluma tabidir” Bizdeki okullarda anlatılan teknolojik konuların tamamı, ağırlıklı olarak MIT(Massachusett Institute of Technology) Harvard gibi akademi kurumları tarafından yayınlanmaktadır.

Özel sektör ise Microsoft ya da Apple gibi firmalar tarafından domine edilmektedir. Olası bir savaş durumunda ya da ambargo durumunda ne kadar ticari kazançları olursa olsun, teknik destek veremeyeceklerdir.

Tamam bu tam felaket senaryosu oldu diyebilirsiniz. Daha az riskli bir konuya dikkat çekelim; geliştirici firmalar tarafından yayınlanan açıkların, kullanıcılar tarafından güncellenmesi gerekirse ne olacak? Güncelleme yapmıyorum, lisans bedellerini faiş rakamlar yaparak eski sürümlere destek vermiyorum denirse ne olur? İşte, siber güvenlik etkinliklerinde kamunun ve özel sektör temsilcilerinin şu anda dile getirip henüz görünürde bir şeyin olmadığı RİSK ANALİZİ başlığı bana göre boş sözlerle geçiştirilmektedir. Şayet boş konuşmuyoruz diyenler varsa, yazdığım  yazı ve bildirdiğim raporları inceleyip cevaplasınlar.

Evet, doğalgaz olmaz ise kömür yakabilir, teknoloji olmadan yaşayabiliriz. Ama hiç kimse teknolojinin faydalarını da küçümseyemez. Vakit tasarrufu yaşatabildiği gibi bağımlılık yapması nedeni ile çok fazla vakit harcamamıza da neden olabiliyor. Bakınız; çocuklarda görülen bilgisayar, mobil oyun ve sosyal medya bağımlılığı

Risk Analizi ile Risk Yönetimi 

Haydi gelin birlikte ufak bir risk analizi yapalım;

(Donanım Üretim Eksikliği)

Ülkede kullanılan teknolojik donanımların çoğu yabancılar tarafından geliştirilmekte ve özellikle işlemcilerin, yazılım ile entegre olmasından kaynaklı tüm büyük verileri 1 ve 0 olarak algılayıp daha sonra o , Bir ve Sıfırın aslında hangi veriyi dışarı aktardığını, insanlar için anlaşılabilir hale getirebilme yeteneği olduğunu, en temel bilişim teknolojisi dersi alan çocukların dahi bildiğini görebiliyoruz. İşte, donanım üretememek, risk analizinde aldığımız ilk not.

(Programlama Dilleri ve Veri Tabanı Türleri)

Açık kaynak kodlu programlama dilleri ile geliştirme yapmak eşsiz keyifli bir konudur.  Üstelik, geliştirme sırasında büyük kolaylık ve zaman kazanmanıza vesile olur. Aradığınız bir örnek kodun farklı versiyonlarına kolaylıkla erişebilirsiniz. Tabi bu arada çok az sayıda kendi kodunu, sınıf yapısını ve algoritmasını yazan programcı olduğunu gözlemleyebiliyorum. Zaten, hakikat ile geliştirenler olarak da bu tip kardeşlerimizin sayısının artması için dua ediyorum. Yoksa, kopyala yapıştır ile coder olunmuyor.

Evet, belli başlı projelerde kopyala yapıştır oldukça mantıklı ama güvenli kodlama başlığı altındaki protokollere uyulursa. Risk analizi yaparken, yerli ya da milli olarak geliştirilen ve global anlamda kullanılan bir programlama dilimizin olmadığı hemen göze çarpıyor.

Ülkemizde bulunan CEO ünvanlıların içerisinde, Bill Gates, Steave Jobs, Linux Torvalds ya da Zuckerberg gibi birini henüz göremedik. Hal böyle olunca, eleştirmek ve risk analizini doğru yapmak bize kalıyor. Aynı zamanda yine global olarak kullanılabilen bir veri tabanımız da yok. Olsa ne olur, kim kullanır nasıl yayılır diyenlerin, en az 20 yıl gerekli diyen ve 1995 yılından beri teknolojik firmalara sahip olduğunu bilmek, her şeyin nedenini açıklıyor ama daha fazla ezmeyelim kimseyi.

Evet, buraya kadar teknolojik altyapımızın temelini oluşturan iki unsurdan bahsettik. Donanım ve yazılım. Makine ile pik seviyesinde iletişime geçilen bir seviyeden global kaynak kodların kullanılarak, nesnelerin interneti, yapay zeka ve endüstri 4.0 düzeyinde yaşar hale geldik. Olası bir saldırı da, dış güçlere sempati duyanlar belki de hiç zarar görmeyecek. Ancak içimizde bulunan ve devletçi ya da vatansever görünümlü tüccarların büyük zararlar görecekleri kesin. Peki şimdi sormazlar mı adama; yav kardeşim siz bu kadar etkinlik yaptınız, farkındalık oluşturdunuz da hanimiş bizim hakikat yazan risk analizi ve risk yönetimi raporumuz?

Mesela, Five-Eyes’ın “siber saldırı aldık, güncellemeyi duyurduk” demesi sonrası iş ilişkilerimiz devam ederken yaşanabilecek kaostan kim sorumlu olur? Bildiğiniz gibi KVKK da kişisel verilerin ülke dışına çıkarılması suç.

Acaba, bir anda “yupppiiii kurum başkanı oldum” diyenlerin sonradan “hadi ya demek bu kurumun başında olmak  için bu sistemlerin devamlılığını sağlamak gerekiyormuş, bak demek adamlardan aldığımız programlar ile erişim izni  verdiğimiz  bilgilerin yayınlanmaması karşılığında bende işime devam edebiliyormuşum”   diyebilir.  KVKK da belirtilen kişisel verilen ülke dışında olamaz ama olursa da firma yetkilisi ile kurum yöneticisi altına imza atarsa yurt dışında sunucu olabilir gibi ibare maalesef iş bilmezlerin veya teknolojik yetersizliklerden kaynaklanabilir. Derlediğimiz kitapta da belirttiğimiz gibi, ülkemizin binlerce siber savaşçıya ihtiyacı var. Mevcut literatürü çok iyi bilerek literatüre bir şeyler katmalıyız.

Yoksa, Cezeri, Hazarfen, Harezmi, Biruni gibi nice Türk bilim adamının sadece isimlerine projeler yapılarak ve literatüre bir şey katmadan fotoğraf vermek ne bize yakışır ne de, ismini kullanıp projeler adlarını verdiğimiz atalarımızın şanına yakışır.

Bana bu kadar dert etme bak dalgana diyenler yine bu çocuğun çok kötü bir huyu var; asla para ile işi olmaz demeleri de beni mutlu etmiyor. Bulunduğu konumu ve kişisel ağını hakikat ile paylaşan bir kaç kişi var sadece.  Yaptığım araştırmalarda karşıma çıkan benzer araştırmalar ve akademik düzeyde dile getirdikleri hakikatlerden sonra adeta psikolojik kıyıma uğratılan çok değerli Akademisyenleri de saygı ve minnetle anıyorum.

Yukarıda belirttiğim KVKK da belirtilen kanuna aykırı olarak şu anda bir çok yabancı menşeili yazılım kullanan, verilerini sınıflandırıp koruma altına alan programları kullananlar tutuklanabilir. Yani ben hakim olsam maddeleri bu şekilde yorumlayabilirim. Neyse ki hakim değilim, sadece konuya hakimim…

Özetlemek gerekirse, savaş halindeyiz ve bize  teknoloji satanlar, uluslararası standartlar bunlar diyenler hep eski müttefiklerimiz ve şimdiki düşmanlarımız. Sürekli şu oldu bu oldu diyen kurum yöneticilerini istemiyoruz. Harezmi gibi bilim adamlarımıza yakışan geliştirmeleri yapanların desteklenmesini istiyoruz. Yoksa bize ne sizin yediğiniz balıktan, köfteden ya da ıstakozdan. Bizim derdimiz Vatan’dır Vatan!!! Sizin lafınız Vatandır diyorum. Eğer aksini ispat edebiliyorsanız USGS 2016-2019  da geçen, “gerçek kişi” olduğumu ve o oturduğunuz makamların asıllarının bu millet olduğunu hatırlatarak hodri meydan diyorum.

Örnek Felaket senaryoları;

  • 70 yaşındaki Ethem dede, eczaneden ilaç yazdırmaya gitti ve eczacı çocuk “dede üzgünüm. Sistemde 1 yaşında göründüğün için ilacını veremiyorum” dedi
  • Sunucularda yaşanan aksaklık nedeni ile para transferleri  yapılamıyor.
  • Sınav sonuçları yanlış hesaplanan yüz binlerce öğrenci mağdur edildi.
  • Windows işletim sistemlerinde yeni bir açık tespit edildi. Güncellemenin Türkiye’yi kapsamayacağı ifade edildi.
  • Güvenlik duvarlarında tespit edilen açık için henüz yama yayınlanmadı ve kurumlarımız siber saldırı altında.
  • İnternet üzerinden faaliyet gösteren firmalar yaşanan enerji kesintileri nedeni ile günlük büyük oranlarda finans ve itibar kaybına uğradı.
  • Yeni bir Windows sürümü çıktı ve Türkiye’de yaşanan dijital ambargo nedeni ile ülkede kullanımı yasaklandı. Eski Windows sürümlerinde her gün yüzlerce açık yayınlanmaya başlandı.

Bu tip senaryolar için “Risk Yönetimi” stratejileriniz varsa yayınlayın. Yoksa en yakın Yapay Zeka Mimarı veya Fikir Sıçanı‘ndan talep ediniz

Tags : fikir sıçanısiber tehditulusal siber güvenlik risk analizi
Burak Bozkurtlar

The author Burak Bozkurtlar

Siber Güvenilir Türkiye

1 Yorum

  1. örnek felaket senaryolarını okuyunca tek yaşanmayan konunun windowsun yasaklanması olduğunu düşünüyorum. ayrıca windowsun yasaklanması da pek söz konusu değil sanki…

    güzel bir yazı olmuş

    özellikle five eyesın ne olduğunu da yeni öğrenmiş oldum

    teşekkürler

Leave a Response