2017 Siber güvenlik'te altın çağ olacak

Türkiye'nin jeopolitik konumu ve önemi sadece 783km2'lik bir alan için söylenen kalıplaşmış bir ifadedir. Siber dünyada ise herhangi bir sınır yoktur ve düşmanın elindeki imkanları önceden görebilmeniz fiziksel hayattaki kadar kolay değildir. Kendi silahlarımızla bizleri hedef alanlardan tutun, doğuda kaçırılan askerler üzerinden korku salmaya çalışan terör örgütlerine kadar içten ve dıştan gelen bu saldırıların siber boyutu asla gözardı edilmemelidir. Teknolojinin ilerlemesi ile istihbarat biliminin (Bilim tanımını toplanan bilginin insan hayatına yönelik gerçekleri ortaya çıkaran bir aktivite olduğunu kabul edelim) daha önceden karşılaşmadığı hızda ve karmaşıklıkta bir mücadeleye girmesi de zorunlu olmuştur. Son dönemlerde gerçekleşen her olay, siber dünyada bir iz bırakmış ve her daim iz bırakmaya devam etmektedir. Bu nedenle siber güvenlik alanında, bahsettiğim bu izleri takip edebilecek, gerektiğinde engelleyecek ve erken uyarı verebilecek her türlü sistemin yerli olarak geliştirilmesi ve bu sistemlerin kontrol edilmesi bir problem olarak ortaya çıkmaktadır.

Problem olarak ifade ettiğim yerli güvenlik ürünü geliştirme ve işletme zorluğuna o kadar da karamsar bakmamak lazım. Problemin çözümü yerli siber güvenlik firmalarında ve insan kaynağında yatmaktadır. Bu konuda Türkiye'nin eksikliklerine ve sonrasında ise hem kurumların hemde bireylerin ülkesi için verdiği desteklere değineceğim.

Türkiye'de sızma testi gibi hizmetler ile firmaların içlerine girip güvenlik testi yapan yaklaşık 96 adet (Evet tahmininizden çok) irili ufaklı firma var. Firmaların büyüklüğü tek kişi olarak hizmet veren şahıs şirketlerinden 20-30 kişilik ekiplere kadar çıkabiliyor. Bu firmaların çoğu kamu dahil birçok kritik sektöre hizmet veriyor. Hizmeti alan kurumun alacağı hizmetin veya satılan ürünlerin ne amaca hizmet ettiğinden haberleri yokken, hizmet sağlayıcı firma hakkında bir araştırma yapmasını beklemek neredeyse imkansız. Bu konuda yapılması gereken başlıca adım bireysel ve firma bazında klerans sisteminin en erken zamanda uygulamaya geçmesidir. Kleransın da konu komşuya nasıl bilirsiniz diye sorarak değil, başlı başına her türlü siber ve sinyal istihbarat yöntemleri dahilinde çıkarılacak sonuca istinaden verilmesi gerekmektedir. Kurum için verilecek kleransın bir örneği İngiltere'de senelerdir uygulanmaktadır. İngiltere'de banka, kamu, enerji ve diğer kritik kurumlara hizmet verebilmek için GCHQ'dan CHECK kleransı almanız gerekmektedir. Bu bahsettiğim klerans sistemi uygulanana dek siber güvenlik hizmeti alırken, hizmet aldığınız firmayı referanslarından bağımsız onlarca farklı yere sorarak iş yapmanızı öneririm. Türkiye'de bu konuda TSE firma yeterliliği hakkında bazı çalışmalara birkaç sene önce başladı ancak bu maddede bahsettiğim klerans mevzusu ile yeterlilik konusunu karıştırmamak gerekiyor.

2- Entegratör Tehlikesi

Entegratörler bir firmanın ihtiyacı olan sistemi sağlayacak her türlü donanım, yazılım ve insan kaynağını bir araya getirerek müşterilere sağlayan firmalardır. Komisyon bazında satış yapan bu işletmeler çoğunlukla diğer ülkelerin istihbarat operasyonlarında maşa olarak kullanılmaktadırlar. Doğal olarak ülkeler, girmek istediği noktalara yönelik ürünlerinin komisyon oranlarını yüksek tutarak entegratörleri yemler. Entegratör kendi portfoyunda bir firmanın yurtdışında çıkan "bilgi kaçırıyor" haberlerini okuduğunda tek kaygısı mevcut sattığı kurum değil, önümüzdeki dönem bu haberin müşteriler tarafından duyulduğunda cirosuna yansıyacağı etkisidir. %1 kar marjı ile içeriğini bilmediği, kodunu analiz etmediği her türlü donanımı satan entegratörlerin her biri tek tek incelenerek satılan her siber güvenlik donanımının devlet tarafında envanteri tutulmalıdır. Burada yanlış algı oluşmasın. İşinde "nadir de olsa" fazlasıyla sorumlu davranan entegratörlerden bahsetmiyorum. Yerli ürünler geliştirildikçe, hangi kurumun neye ihtiyacı var ise envanterden çıkarılarak geliştirilen ürün ile yabancı ürün değiştirilmeli, kullanılacak her yabancı menşeili ürünün kaynak kodları istenildiği zaman kontrol edilebilir olmalıdır. Bu şartları sağlamayan yabancı ürünleri ülkeye sokmamak gerekmektedir. Bu kadar ufak bir pazarda neden bu kadar çok siber güvenlik ürününün olduğunu ve rekabet edildiğini de büyük resme bakarak görmek gerekiyor. Portfoyunda yalnızca belirli 1-2 ülkenin ürünlerini getiren her türlü entegratöre karşı şüphe ile bakmak gerekiyor.

3- Desteklenmeyen yerli değerler

Türkiye'de internet kullanımı dünyanın birçok ülkesinden daha fazla. Herkesin kolayca internete erişebildiği ve genç nüfusun bu denli fazla olduğu bir ülkede de siber teknolojilere yatkın, ilgili ve becerili birçok değer de ortaya çıkıyor. Ancak bu değerlerin bir şekilde desteklenmesi gerekiyor. Özellikle bizler her daim Türkiye'nin birçok ilinden "Şimdi ne yapacağım", "Nasıl ilerlemem gerekiyor" içerikli e-postalar alıyoruz. Türkiye'nin ilk ulusal siber güvenlik yarışmasını düzenleyen firmamız şu anda yaklaşık 4,000 üzerinde siber güvenlik alanına ilgi duyan genç ile iletişim halinde. Bu değerleri ortaya çıkartmak ve desteklemek bizlerin olduğu kadar hepimizin görevidir. Türkiye'de bu düşünce ile yola çıkan ve her türlü desteği hak eden bazı girişimleri size aktaracağım ve siz değerli okuyucular, bu insiyatifleri okumak ve desteklemek zorundasınız. Eksik veya unuttuğum girişimler var ise yazıyı güncellemem için bana mesaj atabilirler.

I- CyberStruggle

Yurtdışında kalifiye personel geliştirilmesinde yöntem olarak kullanılan Multi-Disciplinary eğitim anlayışını siber güvenlik ile sentezleyen Cyber Struggle, öğrencilerden alınan getirinin üzerine organizatörün de maddi katkısı ile yürüyen ve kar amacı gütmeyen bir proje. Bu projeyi yurtdışında yapmaya çalışsa önüne servet dökülecek ekip Türkiye'de uzun bir süredir siber güvenlikçi yetiştirmek üzere yatırım yapıyor. Eğitim işi sevgi ve bağlılık işidir. Bu nedenle başta projenin yürütücüsü Kubilay Onur Güngör ve tüm ekibini tebrik eder, kendilerine yöneltilecek desteğin hepimizin borcu olduğunu bilmenizi isterim. Sitede yorumlardan eğitim hakkındaki görüşlere ve eğitim videolarına ulaşabilirsiniz. İleride PRODAFT olarak testimonial koyarlar mı bilmiyorum ama buradan ben bir testimonial bırakayım, belki eklenir.

II- GAIS

2012 senesinde bizlerin denediği ancak ülkemizin siber güvenlik farkındalığının düşük olması ve yeterince destek bulamamamız nedeni ile sonlandırmak zorunda kaldığımız "Hack For Gold" projesinin aynı döneminde çıkmış ve kendi imkanları ile halen ayakta duran GAIS (Güvenlik Açığı İstihbarat Servisi) projesi 2013 senesinden beri gönüllü olarak kamu ve özel sektöre güvenlik açığı bildirmektedir.

III- CanYouPwn.me

Gönüllü öğrencilerin kurduğu ve öğrencilerin siber güvenlik alanında pratik yapmasına imkan sağlayacak, kar amacı gütmeyen bir oluşum. Eğitim amaçlı hazırlanan materyallere kolayca erişerek ülkemizdeki değerleri eğitmeyi hedefleyen emek harcanmış bir proje.

IV- Cezeri Siber Güvenlik Akademisi

Bizlerin de aktif olarak destek verdiği, siber güvenliğin farklı alanlarındaki çalışma grupları ile üniversiteler başta olmak üzere birçok kuruma gönüllü eğitim ve siber güvenlik desteği vermek üzere ortaya çıkmış bir oluşum. Özellikle üniversitedeki organizasyonları halen kıtalar arası IEEE gibi kurumlar destekliyor iken bu desteği yerelleştirecek CSGA oluşumuna sahip çıkmak gerekiyor.

V- Üniversite İnsiyatifleri

Araştırma olmadan geliştirme olmaz. Bu nedenle siber güvenlik alanında üniversitelerin de ülkemizdeki milli siber güvenlik değişimine önemi tartışılmaz bir gerçektir. Bu anlayış içerisinde Süleyman Demirel Üniversitesi'nde kurulan "SDÜ CyberLab" ve Boğaziçinde kurulan "Yönetim Bilişim Sistemleri Siber Güvenlik Çalışmaları Merkezi" bu amaçla kurulan insiyatiflerin başlıca örnekleri arasında. Özellikle siber güvenlik alanında birçok üniversitede özel bölüm olmaması nedeni ile gençlerin bu oluşumlara başvurarak kendilerini deneyimli eğitmenler eşliğinde geliştirmesi çok önemli. Üniversitelerin kurduğu bu insiyatiflere de siber güvenlik firmaları da gönüllü olarak destek vermeye başlamış bulunuyor. Özellikle BTRisk'in Boğaziçi üniversitesi ile düzenleyeceği siber kamp öğrenciler için eşsiz bir fırsat.

VI- Bilgi Teknolojileri ve İletişim Kurumu

Ülkemizde "Herşeyi de devletten beklemeyin" diye klişeleşmiş bir laf vardır. TIB'in kapanması ve ülkemizin geçtiği bu zorlu dönemlerde üzerine büyük sorumluluk alan BTK da siber güvenlik alanında çalışmak isteyen kişilere kucak açarak yeni bir insiyatif başlatmış durumda. Senelerdir yalnızca medyada duyulan siber güvenlik ordusu kuruluyor asparagas haberleri geride bırakarak güzel bir açıklama ile "7/24 çalışacak siber güvenlikçi arıyoruz" şeklinde düzgün ve gerçekçi bir yaklaşımla yola çıkan BTK'ya destek vermek te hepimizin görevi. Ne demişler, herşeyi de devletten beklemeyin.

4- Kolaborasyon ve kordinasyon

Sektöre yönelik tehditleri takip edip, kurumlar arası siber tehdit paylaşımına olanak sağlayacak platformların da önemi gittikçe artıyor. 2012 senesinde dünyada bir ilk olarak çıkardığımız Ulusal Siber Tehdit Ağı altyapısını Belçika'da Siber İstihbarat konferansında sunarak yurtdışında ilgileri üzerimize topladık. Şu an U.S.T.A. platformunu Türkiye'de 14 banka dahil birçok kritik kurum kullanıyor. Bu tarz projelerin tüm kritik altyapılar arasında kordinasyonu ve kolaborasyonu desteklemek adına kullanılmasının siber güvenliği tam anlamı ile sağlamanın tek yolu olduğu senelerdir uluslararası konferanslarda dile getiriliyor.

Ulusal Siber Tehdit Ağı

USTA (Ulusal Siber Tehdit Ağı) geliştirilmeye 2012 yılında başlanmış olan, Savunma Sanayi Müşteşarlığı'nın iştiraki olan Teknopark İstanbul'un onayladığı Ar-Ge projesidir. Bu proje kapsamında siber suçluların faaliyet gösterdiği araçlar, teknikler ve prosedürler tespit edilerek, elde edilen istihbarat ilgili kuruma platform üzerinden gönderilir. Dünyanın sayılı Türkiye'nin ise ilk ve tek siber istihbarat platformu olan USTA, uluslararasında bir çok başarıya imza atmış ve 2015 senesinde "Yılın En İyi Güvenlik Ürünü" ödülünü almaya hak kazanmıştır.

Kaynak: Can Yıldızlı