Ezgi ÇelikAnkara
İnternetin günlük hayatta yaygınlaşmasıyla, hemen hemen herkesin günlük yaşamı köklü bir şekilde değişime uğradı. Teknolojik gelişmelerde yaşanan baş döndürücü ilerleme ile insan hayatının hemen her yerinde ve sosyal medyada inanılmaz dönüşümler yaşandı. İnternetin serbest ve sınırsız dünyasının devleri ulusal boyuttan kişisel mahremimize kadar tüm bilgilerimize ulaşabilir hale geldi. Siber Savunma Uzmanı Yılmaz Değirmenci, 7'den 70'e tüm bireyleri ilgilendiren 'Siber Güvenlik' konusunun detaylarını gazetemize anlattı. Değirmenci, geçtiğimiz haftalarda gündeme gelen 'Facebook skandalı' hakkında da önemli uyarılarda bulundu.
Ülkemizde son günlerde ulusal siber güvenlik alt yapımızın iyileştirilmesine yönelik ciddi çalışmalar yapılıyor. Peki, bu alt yapı iyileştirmesine yönelik çalışmalarda dikkat edilmesi gereken hususlar nelerdir? Bir uyarınız var mı?
Ülkemiz son yıllarda siber güvenlik konusunda hem kamu kurumları hem özel sektörüyle çok ciddi bir bilinçlenme süreci yaşıyor. Bu noktada 'Ulusal Siber Güvenlik Stratejisi ve 2013u20132014 Eylem Planı' çalışmasını bir mihenk taşı olarak kabul edebiliriz. Çünkü bu Eylem Planı ile birlikte siber güvenliğe ilişkin; yasal düzenlemelerin yapılması, ulusal siber olaylara müdahale organizasyonunun oluşturulması, ulusal siber güvenlik altyapısının güçlendirilmesi, siber güvenlik alanında insan kaynağının yetiştirilmesi ve bilinçlendirme faaliyetleri ve siber güvenlikte yerli teknolojilerin geliştirilmesi ve ulusal güvenlik mekanizmalarının kapsamının genişletilmesi gibi hususlar bir plan çerçevesinde ele alınmış ve bir yol haritası çizilmiştir. Hem kamu hem özel sektör deneyimi olan bir insan olarak söyleyebilirim ki; her şey birbiriyle iç içedir. Siber güvenlik alanında ilerlememiz, aynı zamanda bu konudaki bilinç düzeyimizin, süreçlerimizin, standartlarımızın, yerli ürünlerimizin, ekosistemimizin gelişmişliğiyle doğrudan bağlantılıdır. Malumunuz siber güvenlik hayatımızın her yerindedir. İş yerindeki verinin güvenliğinden, çocuğumuzun sosyal medya kullanımına, ulusal boyuttan kişisel mahremimize kadar her unsuru kapsıyor. Gelecek nesillerde veri güvenliği ve kişisel verilerin korunması daha da hassas bir hal alacak. Bu noktada benim gördüğüm en büyük boşluklardan biri, çocuklara ve gençlere yönelik hazırlanmış siber güvenlik eğitimlerinin eksikliğidir. Türkiye'de bir siber güvenlik haftasının belirlenmesi ve özellikle çocuk ve gençlere yönelik fazla teknik olmayan eğlenceli etkinliklerin düzenlenmesinin çok faydalı olacağını düşünüyorum.
Ulusal Siber Güvenlik konusunda ülkemizde otorite kimdedir ve yeterli mi?
2016-2019 Ulusal Siber Güvenlik Stratejisi dokümanında da belirtildiği gibi, ulusal siber güvenliğin sağlanmasına ilişkin politika, strateji ve eylem planlarını hazırlamak ve koordinasyonunu sağlamak görevi Ulaştırma, Denizcilik ve Haberleşme Bakanlığına verilmiştir. Siber güvenlik, küçüğünden büyüğüne her bireyi ve her kurumu doğrudan ilgilendiren bir husustur. Bence siber güvenliğin yapısı gereği merkezi bir otoriteden ziyade her kurumun kendisini sorumlu hissedeceği dağıtık bir anlayışla bakmamız daha doğru olacaktır. Bu noktada, geri besleme mekanizmalarının işlevselliği ön plana çıkmaktadır. Organizasyon teorisinde 'öğrenen organizasyon' kavramı vardır; siber güvenlik alanında da geri beslemelerle sürekli öğrenen ve kendini yenileyen bir altyapı kurmamızın yararlı olacağını değerlendiriyorum. Çünkü siber güvenlik alanında en ilginç, değerli ve etkin bilgileri, yeri geldiğinde liseyi zar zor bitirmiş ya da üniversite terk etmiş olan gençlerden öğreniyorsunuz.
Siber saldırılar, zombiye dönüşmüş bilgisayarlar, zararlı kod ve İnternet Servis Sağlayıcıları çok gündeme getirilmiyor. Genelde Türkiye'de sosyal ağlar üzerinden okumalar yapılıyor. Bu yanlış değil mi? Risk nerede gizli?
Bunun nedeni zannediyorum siber güvenlik camiasının henüz bir alt kültür olarak devam etmesinden kaynaklanıyor. Aslında bu konular ekosistem içinde yer alan insanlar arasında sürekli konuşuluyor ve sosyal medyada gündeme getiriliyor. Ancak gerçek anlamda halkın anlayabileceği şekilde yaygınlaşamıyor. Belirttiğiniz gibi; zombi, truva atı, oltalama gibi kavramları herkesin anlayabileceği şekilde anlatan ortamlar pek bulunmuyor. Belki de tam da bu ihtiyacı karşılayacak düzenli bir televizyon programı yapılmalı; eğlenceli ve ilginç konularıyla insanlara bu konuları anlatmalı.
Türkiye'de ağ güvenliği ve sızma testleri sizce profesyonelce yapılıyor mu? Bu alanda değerli çalışmalarınız olduğu için sormak isterim.
Çok teşekkür ederim, hali hazırda ben de sektörde siber güvenlik eğitimleri ve sızma testleri alanında yoğunlaşmış durumdayım. Sızma testi ile zafiyet tarama kavramlarını birbirinden ayırmak gerekiyor. Birçok kurum ya da firma, sızma testi hizmeti aldığını düşünürken yalnızca zafiyet tarama hizmeti alıyor ve bunun farkında bile olmuyor. Sistemlerdeki güvenlik açıklıklarını ortaya çıkaran bazı otomatik araçlar mevcut, bunlarla kendi ağınızı siz bile rahatlıkla tarayabilir ve sisteminiz hakkında bir fikre sahip olabilirsiniz. Ancak profesyonel sızma testi; ağ mimarisi, sistem altyapısı, programlama dili, veri tabanı, web mimarileri gibi her alanda derin bilgiye vakıf olmayı gerektiriyor ve tek amacı bir saldırgan gözüyle sisteminizi ele geçirmektir. Günümüzde klasik sistemlerin yanında enerji santrali ve baraj gibi kritik altyapıların oluşturduğu SCADA sistemleri ile günlük yaşamda her geçen gün daha da yer edinen nesnelerin interneti'nin sızma testleri de gittikçe önem arz etmektedir.
Facebook'un kullanıcılarının bilgilerinin usulsüz kullanması üzerinden tartışmalar da devam ediyor. 'Facebook skandalı' nasıl okunmalı?
Facebook 2012 yılında Instagram'ı 1 milyar dolara, 2014 yılında Whatsapp uygulamasını 19 milyar dolara satın aldı. Dikkat ediyor musunuz, hala bu iki platform ücretsiz olmasına karşın reklam bile kullanmıyor. Peki, Facebook gelirini nereden nasıl sağlıyor? Bu herkesin bildiği bir konuydu ancak son dönemde bu kadar ciddi gündeme gelmesinin arkasında siyasi hususların etkin olduğunu tahmin ediyorum. Her ne kadar Zuckerberg kongre önünde kendilerinin hiçbir şekilde veri satmadıklarını ve skandalın sorumlusunun üçüncü parti uygulama geliştiricileri olduğunu savunsa da, bu çok ikna edici görünmüyor. Çünkü sahip oldukları veriler olağanüstü değerlidir. Bu durumu şöyle bir senaryoyla somutlaştırmak istiyorum. Söz gelimi bundan 20 yıl sonra Türkiye'nin başbakanı olacak ve şimdi otuzlu yaşlarda olan bir genci düşünelim. Bu genç yaklaşık on yıldır Facebook ve benzeri e-posta ve paylaşım sitelerini kullanıyor olsun. Başbakan olduğunda tam otuz yıldır attığı her adım bir yerlerde depolanıp saklanacak, bunların bir kısmı fazlasıyla kişisel ve mahrem olacak. Uzun vadede kötüye kullanıldığında nasıl bir tehdide dönüşebildiğini görebiliyor musunuz? Zuckerberg, kullanıcı tarafından silinen bir verinin sunucularında da silindiğini ifade etti. Sorgulayan senatör bunun ne kadar zamanda olduğunu sorunca çok net bir cevap veremedi. Bence bu konunun üzerine gidilmeli.
Facebook skandalı bir fırsattır
Türkiye olarak dünyadaki diğer tüm ülkeler gibi benzer bir sorunla karşı karşıyayız. Çin alternatif bir çözüm olarak Tencent isimli sosyal paylaşım sitesini çıkardı ki söz konusu şirketin değeri şu anda Facebook'u geçmiş durumda. Bu konuda da yerli alternatif çözümlerin geliştirilmesi uzun vadede bir hedef olmalı belki de. Ancak bir noktanın altını çizmek istiyorum ki; yerli bir siber güvenlik ya da bilişim projesi muhakkak ki aynı zamanda küresel olmalı. Uluslararası ortamda rekabet yeteneği olmayacak bir ürünün yerli vasfıyla arzı endam etmesini çok sakıncalı buluyorum. Facebook skandalı aslında bizim gibi ülkeler için bir fırsat aynı zamanda. Kişisel Verinin Korunması ve Veri Şeffaflığı gibi kavramların temsilcilerimiz tarafından Birleşmiş Milletler, Avrupa Birliği ve NATO gibi kurumların ilişkin toplantılarında gündeme getirilmesinin ve Facebook, Google, Microsoft, Apple ve Uber gibi küresel firmaların denetime tabi tutulmasının sağlanmasının bizim yararımıza olacağını değerlendiriyorum. Burada parantez olarak değinmek istediğim bir husus var. Senatörler kendisini sıkıştırınca Zuckerberg defalarca, kötüye kullanımı engelleyecek Yapay Zeka çözümleri üzerinde çalıştıklarını ve böylece Facebook'un daha güvenli bir ortam olacağını belirtti. Yapay Zeka'nın artık bilimkurgu olmaktan çıkıp hayatımızın kaçınılmaz bir parçası olmaya başladığının çok somut bir göstergesi bu durum bana göre.
Şunu da sormak istiyorum. Antivirüs yazılımları, e-posta sistemleri ne derece güvenli? Yerli ürün eksikliğini gidermek mümkün mü?
Aslında yerli hem antivirüs yazılımları hem de e-posta sistemleri mevcut, oldukça da başarılılar. Bunun dışında güvenlik duvarı, saldırı tespit sistemleri, SIEM ürünleri gibi alanlarda da yerli birçok çalışma yapılmakta. Bana göre siber güvenlik alanında başarılı olacak bir ürünün hayatta kalabilme şansı yurtdışı piyasasındaki başarısına bağlı. Uluslararası rekabet gücü yüksek olursa yerli olarak da kabul görme olasılığı artacaktır.
Bilgi Teknolojileri ve İletişim Kurumu sizce ülkemizde çalışmalarıyla sektörde güvenliği sağlayabildi mi? Genel olarak ise bir farkındalık meydana getirdi mi?
Bilgi Teknolojileri ve İletişim Kurumu ile biz de birlikte bazı çalışmalar yürütüyoruz. Son derece iyi niyetli, çalışkan, hızlı ve hedef odaklı çalışıyorlar. Farkındalık anlamında da özellikle gençlere yönelik bir eğitim programını birlikte geliştiriyoruz.