ASELSAN Eski Yönetim Kurulu Üyesi Tuğgeneral (E) Dr. Murat ÜÇÜNCÜ ile Söyleşi

Tuğgeneral (E) Dr. Murat ÜÇÜNCÜ ile Söyleşi

ASELSAN, elektronik teknolojileri ve sistem entegrasyonu alanında; Türk Silahlı Kuvvetleri başta olmak üzere, yurt içi ve dışındaki müşterilerine katma değeri yüksek, yenilikçi, güvenilir ürün ve çözümler sunmak ve Türkiye’nin teknolojik alanda dışa bağımlılığını azaltıp, küresel hedeflerine marka bilinirliğini artırarak ulaşan, halkına gurur veren milli bir savunma şirketi olmak adına çalışmalar yürüten bir firmadır.

Türkiye’nin savunma sanayii alanında önem arz eden çalışma ve projelere imza atarak, hemen hemen her alanda gerek çözüm önerileri ve gerekse Ar-Ge çalışmaları ile ülkemize çok büyük oranda katkı sağlamıştır. Kuruluşundan bugüne kadar, birçok atılımın ve ülkemiz adına gerçekleştirilen teknolojik gelişmelerin başında yer alan şirket konumundadır.

Bu bağlamda, ASELSAN’ın savunma sanayii alanında yapmış olduğu çalışmaları göz önünde bulundurarak, toplumun her kesiminde bilgi ve bilinç düzeyini arttırmak, bu konu ile ilgili teknolojik gelişmeleri izlemek, milli teknolojilerin geliştirilmesine katkı sağlamak; bireysel, kurumsal ve ulusal düzeydeki riskler konusunda farkındalık oluşturmak amacı ile ASELSAN’da uzun yıllar yönetim kurulu üyesi olarak görev yapan Tuğgeneral (E) Dr. Murat ÜÇÜNCÜ ile Türkiye’de savunma sanayii ve bilişim sektörünün durumu, devletimizin kalkınmasında IT ve Telekomünikasyon sektörünün yeri ve bilgi güvenliği alanında bilinmesi gerekenler ve çözüm önerileri hususunda ülkemizin dünü, bugünü, geleceği ve yapılması gerekenleri, ASELSAN’ın bu alanda bu güne kadar yapmış olduğu çalışmaları ve ileriye yönelik hedeflerini konuştuk.

CyberMag: Öncelikle dünyada ve Türkiye’de bilişim sektörünün bugünü ve geleceği hakkında neler söylemek istersiniz?

Dr. Murat ÜÇÜNCÜ: Bilişim sektörü son yıllarda dünyada en büyük ilerlemeyi sağlayan sektörlerin başında geliyor. Şahsım 30 yılı aşkın bir süre savunma sektörü içinde yer almama karşın, görev yaptığım son 20 yılda IT sektörü ile yakın çalışmalarım oldu. Bu nedenle ASELSAN’da Yönetim Kurulu Üyesi olarak göreve başladığım Mayıs 2013 tarihinden bu yana sürekli olarak IT sektörünün önemini ve gelişimini gündeme getirmeye çalıştım. Ancak, ASELSAN’daki 5 yıllık görev süresince 1 yıl Yönetim Kurulu Üyesi, 3 Yıl Yönetim Kurulu Başkan Vekili ve 1 yıl Murahhas Aza olarak görev almam nedeniyle iştigal alanı çok geniş olan ASELSAN’da birçok farklı konu ile ilgilenmem nedeniyle IT (Information Technology- Bilişim Teknolojileri) konusuna yeterince yoğunlaştığımı söyleyemem. Ticari açıdan baktığımızda IT sektörü savunma sektöründen çok daha fazla hacme sahip. Kullanım alanı olarak baktığımızda da IT donanım ve yazılımlarının kullanılmadığı alan kalmamış durumda. Bu nedenle özellikle devletlerin, kurumların, şirketlerin bilişim ile ilgili alt yapılarını kuvvetlendirmeleri, bilişimi organizasyonları içinde en önem verdikleri alan olarak seçmeleri verimlilik ve rekabet açısından çok önemlidir.  IT kullanımını baş tacı etmeyen şirketlerin verimliliklerini artırmaları, rekabetçi olmaları mümkün değildir. IT kullanımı ön plana çıkarılamaz ise rakiplere oranla geride kalınması kaçınılmazdır. Elbette bilişimin çok geniş bir yelpazesi var. IT yatırımlarını ve IT kullanımını gereklilik olmanın ötesinde, iş yapma yöntemlerimizi değiştirmenin bir aracı olarak da en önde tutmak gerekmektedir. Bu konuda epey yapılan işler var, ancak daha yapılacak çok da iş var. Sevindirici olan husus, ülkemizdeki IT sektörünün çok uzun yıllara dayanan bir geçmişi olması, çok iyi bir insan gücü ve örgütlenme yapısına sahip olmasıdır. Bunlar oldukça gelecek aydınlıktır. Özellikle yeni neslin cesareti ve yaratıcılığı, bizim gibi eski neslin dikkati ve özeni bir araya getirildikçe, daha güzel işler başaracağız. Buna şüphe yok. Nitekim görev yaptığım süre içinde çok önemli atılımları arkadaşlarımla ve yöneticilerimizle birlikte başardık.

CyberMag: Devletimizin kalkınmasında IT ve Telekomünikasyon sektörünün yeri ve önemi nedir?

Dr. Murat Üçüncü: Genelkurmay MEBS Başkanlığında Komuta Kontrol Bilgi Sistem Şube Müdürlüğü yaptığım yıllarda “Silahlı Kuvvetler Dergisi, Temmuz 2004, Sayı 381” olarak “Bilgi Toplumu Çağında E-Devlet “ adlı bir makalem yayımlandı. Bu makalede yazdığım birkaç paragrafı noktası ve virgülüne dokunmadan tekrar etmek istiyorum: “E-Devlet çeşitli makale ve yayınlarda birbirine çok yakın anlamları olacak şekilde farklı tanımlanabilmektedir. Bir an için bilimsel tanımlamalardan uzaklaşıp, daha basit anlamda yaklaşımlarla meseleyi ele almaya çalışalım. Pasaport almak için Emniyet Genel Müdürlüğü’ne başvurduğunuzda adli sicil kaydınız nüfusa bağlı olduğunuz ilden faksla istenir ve birkaç gün sonra tekrar gelmeniz gerekir. Elektrik, doğal gaz ve benzeri abonelikler için başvurduğunuzda nüfus cüzdan fotokopisi istenir. Çöp vergisi, emlak vergisi, gelir vergisi ödemek için belediye ve vergi dairelerine gitmek durumundasınız. Verginizi öderken beklediğiniz kuyrukta öğle saatine denk gelirseniz ve sıra size gelmeden öğle yemeği vakti gelmişse, aynı vergi dairesine öğleden sonra tekrar gitmek ve tekrar kuyruğa girmek durumundasınız. Bir ihale düzenlemek için birçok bürokratik işlemi aylarca yürütmek zorundasınız. Yeni bir telefon aboneliğini gerçekleştirmek için başvurduğunuzda en son ödediğiniz telefon faturasının kopyasını banka tarafından otomatik ödeme ile ödemiş olsanız bile belgelendirmek durumundasınız. Bağlı bulunduğunuz organizasyonlar arasında toplantı yapmak istediğinizde toplantıya taraf olanlar bir mekânda bir araya gelmek durumundadır. Herhangi bir malı satın almak istediğinizde ilgili firma ya da mağazaya gitmeniz gerekmektedir. Bağlı bulunduğunuz sosyal güvenlik kurumuyla bir işiniz olduğunda sosyal güvenlik numaranız, trafik ile ilgili bir işiniz olduğunda ehliyet numaranız, vergi dairesi ile ilgili bir form doldurduğunuzda sağlık cüzdan numaranız, kurumunuzdaki işlemlerde kimlik numaranız, yurt dışı çıkışlarda pasaport numaranız, ilgili formlara doldurulmak durumundadır ve doğum tarihiniz her zaman aynı olmasına rağmen her seferinde her forma doğum tarihinizi yeniden doldurmak durumundasınız. Bu örneklerin sayısını artırarak bu makalenin kapladığından çok daha fazla sayfa kaplamak mümkündür.

Şimdi de yukarıda sıraladıklarımızı olumlu yönden ele almaya çalışalım. Öyle bir devlet düşününki, vergi vermek için vatandaşları kuyrukta beklemeyen, telefon abonesi olmak istendiğinde borcu olup olmadığı kendisine sorulmayan ve otomatik olarak ilgili sistemlere bağlanarak tespit edilebilen, elektrik abonmanlığı için gidildiğinde nüfus cüzdan fotokopisine ihtiyaç duyulmadan diğer ilgili sistemle bütünleşerek başvuran kişinin elektronik olarak nüfus cüzdan örneği alınabilen, pasaport başvurusunda adli sicil kaydı anında ilgili sistemlere bağlanarak bulunabilen ve başvuru anında pasaportunu alabilen, tekrar gelmesine gerek duyulmayan, bir mal tedarikinde aylarca vakit kaybetmeden elektronik olarak ihale açabilen,  istenilen belgelere istendiğinde ulaşılabilen, kurumlar arasında bir yerde buluşmadan ayrı yerlerde toplantı yapılabilen, benzer formlarda aynı bilgilerin tekrar yazılması gerekmeyen, birçok farklı numaranın kullanılmadığı imkânları sunsun. İşte bu devlet e-devlet olsa gerek.”

Yukarıda ufak bir alıntı yaptığım makaleyi aşağıda aynen tekrarladığım paragraf ile tamamladım:

“Bugün teknolojiyi geliştiren toplumlar ve gelişen teknolojiyi kullanabilecek kaynağa sahip toplumlar hızla ilerlemekte, diğerleri ise büyük bir hızla taş devrine dönmektedir. Önümüzdeki 10 yıldaki en büyük tehdit, bu tür toplumlar arası farktan doğacaktır.”

Bir an için düşünelim. 2004 yılında eksikliğini hissettiğim ve olması gerekenlerin çok az bir kısmını belirttiğim paragraflardaki ihtiyaçlar bugün var olmasaydı ne olurdu. Bugün,  eriştiğimiz vergi gelirlerine, ihracat/ithalat rakamlarına, gelişmişlik düzeyine ulaşabilir miydik? Elbette hayır. Eğer yukarıdaki paragraflarda belirtmeye çalıştığım e-devlet ihtiyaçlarının büyük bir kısmını gerçekleştirememiş olsaydık bugün hantal bir devlet, ağır işleyen bir bürokrasi, zamanının büyük bir kısmını bürokratik işlemlerle heba eden vatandaşlara sahip olurduk. Dolayısıyla “devletimizin kalkınmasında IT ve Telekomünikasyon sektörünün yeri ve önemi nedir?” sorusunun cevabı; devletimizin kalkınmasında IT sektörünün yeri ve önemi hayatidir. IT kullanımı artık günlük hayatımızın,  ticari, sosyal, siyasal ve ekonomik hayatımızın ayrılmaz ve en önemli parçası haline gelmiştir. Telekomünikasyon alt yapısı kuvvetli olmadan vatandaşlara, kurumlara, şirketlere, dinamik ve yeterli hızda geniş bant IT hizmeti vermek mümkün olmadığına göre Telekomünikasyon alt yapısının da bu ihtiyaçları karşılayabilecek ve dinamik bir IT alt yapısı sunacak biçimde geliştirilmesi ve yaygınlaştırılması da diğer önemli ve hayati bir husustur.  

CyberMag: Türkiye’de ki Ar-Ge ve inovasyon yaklaşımları ve politikaları göz önünde bulundurulduğunda, bu konuda yapılan düzenlemeler nelerdir? Ar-Ge destekleri ve teşviklerini yeterli buluyor musunuz? Sizce yapılması gereken nelerdir?

Dr. Murat ÜÇÜNCÜ: Ülkemizde özellikle son 15 yılda çok önemli teşvikler verilmeye başlandı. Bu teşviklerin detaylarını açıklayan kitapçıklar var. ASELSAN’daki görevim esnasında bir müddet “Ar-Ge ve Teknoloji Komitesinde” görev aldım. Bu vesile ile Ar-Ge teşvikleri, 1000 ile başlayan birçok TÜBİTAK Projesi, SAVTEK, SAYP ve benzeri çok geniş programlar özellikle Sanayi ve Teknoloji Bakanlığı’mızın, Milli Savunma Bakanlığı’mızın yönetiminde çok iyi bir şekilde koordine edildi. YÖK’ün de yüksek lisans, doktora destekleri var, üniversite-sanayii işbirliği ile ilgili yenilikçi çabaları var. Araştırma üniversiteleri kavramı ve bu konuda ortaya konan metrikler de bu alanda çok ilerleme sağlatacaktır. Temel amaç teknoloji ağırlığı olan ürün ve sistemlerin ülkemizde yaygınlaştırılması, özellikle savunma sektöründe dışa bağımlılığı ortadan kaldıracak şekilde sistem ve ürünlerin millileştirilmesi, rekabet gücümüzün artırılması ve genç neslin teknolojik alanda yetiştirilmesi ve geleceğe hazırlanması açısından çok faydalı olacaktır.

Ben şahsen bu programların tümüne tam haiz olacak şekilde çalışma yaptım, ancak bir müddet sonra vazgeçtim. Çünkü o kadar çok destek var ki, bunların tümüne hâkim olmak, yüzlerce stratejik işin arasında hem zor ve hem de gerekli değildi. Burada belirtmeye çalıştığım husus Ar-Ge teşviklerini ve desteklerini bu söyleşide ortaya koymaya kalksak sayfalarca yer kaplar. O halde, demem odur ki, devlet bu konuda yapacağını yapmıştır. ASELSAN özelinde konuşur isek, özellikle Savunma Sanayii Başkanlığı bünyesindeki projeler kapsamında Ar-Ge çalışması da ihtiva eden birçok projeyi bize veriyor, bunların tutarı yıllık 250-300 milyon dolardan aşağıda değil. Ayrıca, ASELSAN kendi öz kaynaklarından yıllık cirosunun %6-7 civarındaki miktarını Ar-Ge’ye kaynak olarak aktarıyor, bu da yıllık 100 milyon dolar demek. Netice olarak, iş bize düşüyor. Daha çok çalışmak, birbirimizi daha iyi anlamak, güçlerimizi birleştirmek, her zaman söylenen, söylenmesi kolay, uygulaması zor olan üniversite-sanayii işbirliğini geliştirmek, üniversitelerde uygulama ve teknoloji geliştirme ağırlıklı projeler yapmak durumundayız. Hepsinde her geçen gün daha ileriye gidiyoruz. Burada bizlere düşen görev bu desteklerin karşılığını tam olarak vermek.

Ben şahsen devletimizin verdiği destekleri çok yeterli görüyorum, bizlerin ise bu desteklerin karşılığını verimli olarak vermek için daha fazla çalışmamız gerektiğini düşünüyorum.   

CyberMag: Devletimizin kalkınmasında bilişim sektörüne yapılacak yatırımların yeri ve önemi nedir? Endüstri 4.0 trenini kaçırmamak adına özel sektörün ve devletimizin alması gereken sorumluluklar nelerdir? Dr. Murat ÜÇÜNCÜ: Benim kanaatimce devletin yapması gereken yönlendirme fonksiyonu yeterince yapılıyor. Endüstri 4.0 trenini kaçırmamak için bu konunun ASELSAN ve benzeri birçok sanayii firmasında özümsenmesi, uygulanması adına gereken yol haritasının ve alt yapısının kurulması için proje geliştirilmesi, bu uygulamayı koordine edecek, uygulatacak insan gücünün yetiştirilmesi ve en önemlisi bizim gibi bu işi yönlendirecek ve uygulatacak üst düzey yöneticilerin bu işi olmazsa olmaz olarak görmesi ve algılaması gerekmektedir. Gerisi zaten kendiliğinden gelecektir. CyberMag: Son yıllarda internetin kullanımının artmasıyla birlikte ortaya çıkan IoT(Nesnelerin İnterneti) kavramı ve internete bağlı cihaz sayısının artışı; bir başka hayati husus olarak bilgi güvenliği konusunun önemini, yerli ve milli çözümlerin ülkemiz adına geliştirilmesi gerektiğini gösteriyor. Bu bilgiler ışığında, Türkiye’deki siber güvenlik sektörünün durumu hakkında ne düşünüyorsunuz? Dr. Murat ÜÇÜNCÜ: Şahsen bilişim sektöründe epey uzun zaman çalıştım. Zaman zaman davetli konuşmacı olarak katıldığım sempozyumlar oldu. Silahlı kuvvetlerde siber savunmanın çekirdek ekiplerinin yetiştirilmesinde, siber alandaki birçok uygulama ve sistemin kurulmasında, bu alt yapıları kuracak organizasyonların geliştirilmesinde görev aldım. Ancak, tüm bunlara rağmen şu anda Türkiye’nin ne durumda olduğu hakkında bir yorumda bulunmam uygun olmaz. Ben genel hususları anlatmaya çalışayım. Bilgi güvenliğinde dikkat edilecek hususlar uzun yıllardır bilinmektedir. 20-30 yıl evvel yayımlanmış ve hala geçerliliğini koruyan ‘bilgi sistem kuralları ve pratikleri’ var. ITIL, ISO 27001 ve benzeri yayınlarda detayları verilen çok fazla sayıda bilgi güvenliği kuralı var. Bunlardan hiç bahsetmeyeceğim. Bunları benden daha iyi bilen çok insan var ülkemizde. Ben bu işin, benim kanaatimce çok önemli olan altın kurallarının bir kaçını anlatmaya çalışacağım. Bunların başında “Hijyen” gelmektedir. Bu terim nerden çıktı diyeceksiniz. Ben bir yerde okumadım. Benzetme yapıyorum. Hastanede hijyen olmadığı zaman insanlara ve yatan hastalara mikrop bulaşır. Bu nedenle hijyene çok önem vermek lazımdır. Bilgi sistemlerinde eğer hijyen bir ortam sağlanamaz ise ne kadar uğraşırsanız uğraşın bilgi güvenliğini sağlayamazsınız. Bu ne demek? Eğer kullandığınız bir bilgi sisteminde her şeyi bilgi sistemi içinde yapamıyorsanız, çoğu kimse bilgi transferi için CD, USB kullanıyorsa, şahsi bilgisayarını getirip ağa bağlıyorsa hijyen olmayan çok güvensiz bir bilgi sistem ağına sahipsiniz demektir. Diğer bir konu ise bilişim sistemini kullananların ehliyetsiz olmalarıdır. Araç kullanabilmek için, araçla trafiğe çıkmak için mutlaka ehliyete ihtiyaç vardır. Bu zorunludur. Maalesef, bilişim sistemini kullananlar için ehliyet kavramı yoktur. Bilişim sistemini kullananların çok büyük bölümü ehliyetsiz olarak sistemi kullanmakta ve doğal olarak bir kısmı da kazalara karışmaktadır.

Başka bir husus ise kullandığınız sistemin ne şekilde ve nasıl yönetildiğidir. En güvenli sistem en iyi yönetilen sistemdir. Dolayısıyla internet içinde de olsa belirli bir kullanıcı grubu için kurduğumuz sistemin yönetiminin profesyonel ellerde olması, usulüne göre yönetilmesi, 7 gün 24 saat gözetim altında tutulması, kontrolsüz ve yetkisiz hiç kimsenin ağa bağlanma imkânı olmaması ve benzeri birçok konunun ele alınması lazımdır. Çok iyi bir sisteminiz var, ama sistem yönetimi iyi değil. Mesela, kurduğunuz sistemde her şey var; saldırı tespit ve önleme, güvenlik duvarları, virüs koruma ve benzeri tüm donanım ve yazılımlar var. Ancak, sistem yöneticisi bu donanımların, yazılımların durumuna, ayarlarına, gelen – giden trafiğe, saldırılara ayda bir kez ya da haftada bir-iki kez bakıyor ise sizlere geçmiş olsun. Ödediğiniz paralar, yaptığınız yatırımlar maalesef size yeterli korumayı sağlamaz. Nöbetçiniz var. Nöbetçi uyumuş, birisi tarafından vurulmuş, nöbet yerini terk etmiş gibi bir durum. Başka çok detay var. Ancak, alfabeyi uygulamayı ilk önce öğrenmek lazım…

CyberMag: İnternet kullanım oranlarındaki artışı neye bağlıyorsunuz? İnsanlar açık bilgi ortamlarına neden bu kadar istekli?

Dr. Murat ÜÇÜNCÜ: Bu konuları 2000’li yılların başında konuşabilirdik. Artık, internet her yerde. Ticarette, alışverişte, sosyal yaşamda. Düğün davetiyelerini WhatsApp ile gönderiyoruz. Üniversitelerde öğretim üyeleri öğrencileri ile sınav, ödev vb. tüm işleri bilgisayar ağları üzerinden sağlıyor. Bilim adamları yayınlarını 15-20 yıl önce posta yolu ile gönderirken, bugün tüm bu işler elektronik ortamda yapılıyor. İnternet bankacılığı kullananların sayısı çok fazla arttı. ASELSAN’da Yönetim Kurulu üyeliğine başladığım Mayıs 2013’de yönetim kuruluna girdiğimizde bir kalın dosya ile giriyorduk. Şimdi ise yönetim kurulu salonuna elimiz cebimizde giriyoruz, toplantıya başladığımızda ilgili dokümantasyon, öneri, teklif, hulasa istenilen tüm bilgiler önümüzdeki bilgisayardan ulaştığımız yönetim kurulu portalında.  Toplantıya gelmeden de tüm konuları elektronik ortamdan inceleyip, hazırlıklı olarak toplantıya gelebiliyoruz.

Dijitak dönüşümle birlikte, bilgi bankalarından muhteşem analizler yapılabiliyor, yine bilişim teknolojileri sayesinde navigasyon kullanımı çok kolaylaştı. 2000’li yıllardan önce arabamızı bir yerden diğer bir yere biz götürüyorduk. Şimdi ise arabamız bizi belirlediğimiz yere götürüyor. Hangisini yazayım ki. Her şey bilişim sistemleri üzerinden dönüyor artık. Başka bir yol da yok. Artışın nedeni budur.

CyberMag: Peki, internet yoluyla işlenen suçlarda da artış var. Bunu nasıl açıklayabiliriz?

Dr. Murat ÜÇÜNCÜ: Siber suçların küresel ekonomiye maliyetinin 2015 yılında 3 trilyon dolar olduğu tahmin ediliyor ve bu rakamın 2021 yılında iki katına çıkarak 6 trilyon doları bulacağı belirtiliyor. İnternete bağlanan her yeni cihaz veya kullanıcı, saldırı yapılabilecek yüzeyi genişletiyor. Ayrıca siber güvenlik konusundaki ihmaller, saldırıların kolaylıkla gerçekleştirilmesine imkân tanıyor. Özellikle fidye yazılımları finanstan sağlığa, eğitimden enerjiye her sektörde oldukça etkili oluyor. Bu tip saldırıların neden olduğu zararlar son iki yılda 15 kat arttı. Siber suçların artışına neden olan bir diğer faktör ise saldırıyı gerçekleştirmek için ihtiyaç duyulan araçlara, internet üzerinden ulaşmanın oldukça kolaylaşması. Web’in yaklaşık %90’ından fazlasını oluşturan Deep Web ve onun özellikle yasa dışı işler için kullanılan bölümü olan Dark Web’de birçok saldırı aracını elde etmek mümkün. İlave olarak, siber suçlular aynı fiziksel ortamdaki terörist aktivitelerde olduğu gibi, bazı ülkeler tarafından hasım ülkelere veya bunların önemli kurumlarına zarar vermek üzere taşeron olarak kullanılabiliyor.

CyberMag: Yıllarca ülkemizin savunma sanayiinde en önemli kurumlarından birisi olan ASELSAN’da görev yapmış birisi olarak;  bu sektörde siber güvenliği sağlamanın altın kuralları nelerdir?

Dr. Murat ÜÇÜNCÜ: Savunma sanayiinde çok önemli savunma elektroniği sistemleri geliştirilmektedir. Bunların geliştirilmesinde en önemli husus sistemlerin bize özgün olarak tasarımıdır. Dolayısıyla tasarım bilgilerinin çok dikkatli bir şekilde korunması gerekir. Bu nedenle savunma sanayii şirketlerinde, bilgi sistem güvenliğinde hiçbir açıklık olmaması gerekir. Diğer bir husus ise bu sistemlerin geliştirilmesinde kullanılan yazılımlar, sensörler ve donanımların güvenilir olup olmadığıdır. Burada “Tedarik Zinciri Güvenliği” (Supply Chain Security) kavramı ön plana çıkmaktadır. Bu konuda da tüm önlemler alınmalıdır. Diğer önemli bir husus ise sistemlerde kullanılan işletim sistemlerinin güvenliğidir. Tüm bunlar teknik önlemlerdir. Bunların tümünün üstünde personel güvenliğine de azami özen gösterilmeli ve üst düzey yöneticiler dahil tüm personel bu konularda özel eğitimlere tabi tutulmalıdır.

CyberMag: Yıllarca Kara Harp Okulu’nda, Genel Kurmay Muhabere Elektronik ve Bilgi Sistemler Başkanlığı’nda görev yapmış birisi olarak, ülkemiz siber güvenlik alanında diğer ülkelere göre sizce ne durumda? Son dönemde siber güvenlik kurulunun oluşturulması veya USOM ve SOME birimlerinin hayata geçirilmesi gibi birçok adım atıldı. Siz bu adımları yeterli buluyor musunuz? Rusya veya ABD gibi bu alanda sözü geçen bir ülke konumunda olmak için neler yapmamız gerekiyor?

Dr. Murat ÜÇÜNCÜ: Bu konuda en önemli konu ülke olarak bir stratejimizin olması ve farkındalığımızın artırılmasıdır. Belirttiğiniz adımların atılması elbette çok önemli. Görev yaptığım süre içinde benzer yapılar silahlı kuvvetler için de kurulmuştu. Bu tür yapıların kurulması önemli, aynı şekilde bu yapıların işler hale getirilmesi ve her geçen gün daha ileriye götürülmesi, insan gücü yetiştirilmesi ise daha önemli. Bir olay olduğunda kim müdahale edecek, müdahale edilen olaylarda alınan derslerin paylaşılması ve müteakip olaylara hazırlık açısından ön alınması, belirli aralıklarla sistemler için penetrasyon(sızma) testlerinin yapılması, siber savunma tatbikatlarının yapılması, sistemlerin siber dayanıklılığının ortaya konması ve eksikliklerinin giderilmesi atılması gereken adımların başlıcalarıdır.

CyberMag: Bu bilgiler ışığında, siber güvenlikle ilgili strateji ve politikalar nasıl oluşturulmalı? Kısa, orta ve uzun vadede olumlu sonuçlar almak için özel sektör ve kamu nasıl bir yol izlemeli?

Dr. Murat ÜÇÜNCÜ: Neler yapılacağı daha önce belirttiğim gibi çok net olarak biliniyor.  ITIL (Information Technology Infrastructure Library) , ISO 27000 bilgi güvenliği kurallarının bilişim sistemlerinde uygulanabilmesi için gerekli koordinatör organizasyonlar, sertifika veren organizasyonlar teşkil edilmelidir. Bunların önemli bir kısmı teşkil edilmiş ve önemli çalışmalar gerçekleştirmiştir. Ama eksikler de vardır. Bugün bir bina yapılırken belirli kademelerden onay alınmak zorundadır, bir hava aracının uçabilmesi için EASA sertifikası alınması gerekir, bir benzin istasyonu kurulması için 20-30 civarında belge alınması gerekir. Ancak, ülkemizde bir kamu kuruluşu veya bir savunma sanayii firması kendi personeli için bir bilişim ağı kurduğunda herhangi bir otoriteden sertifika alması zorunlu değildir.  Bilişim sektöründe bu tür uygulamalara girmeden yeterli başarı elde etmek mümkün gözükmemektedir.

CyberMag: Siber güvenlik pazarının ve tehditlerin bugünkü durumu nedir? Bir siber savaşta neler tehdit altında?

Dr. Murat ÜÇÜNCÜ: Son yıllarda güvenlik pazarı ve benzeri konulardan biraz uzaklaştım. Bu nedenle bu konuya girmeyeceğim. Bir siber savaşta özellikle bir donanım ve yazılım ihtiva eden her şey tehdit altındadır. Bu her ülke sistemi için geçerlidir. Siber savaş yeni bir kavram değildir. 1970’li yıllarda başlayan ve şiddeti gittikçe artan bir yapıya kavuşmuştur. Diğer yandan bilişim sistemleri de eskiye nazaran daha korunaklı hale gelmiş, çok az da olsa bilgi güvenliğinin algılanmasında bazı mesafeler alınmaya başlamıştır. Savunma sistemlerinin siber dayanaklılığı daha önce belirttiğim gibi tasarımı bize ait, donanımı ve yazılımı bizim kontrolümüzde olan sistemlerin hayata geçirilmesi ile en aza indirilebilir. Bir sistemin bizim tarafımızdan yapılması siber dayanıklılığının garanti edilmesi anlamını taşımaz, bu konuda da güvenli yazılım prensiplerinin uygulanması gerekir. 

CyberMag: Bilinen siber saldırı yöntemleri ve güvenlik çözümleri hakkında bilgi verebilir misiniz?

Dr. Murat ÜÇÜNCÜ: Benim düzeyimde çok teknik bir konu. Bunları burada ele alsak çok faydası olmaz. Bu, el bombası kullanan bir askere el bombasının dışının hangi metalden yapıldığı, bu metalin atom yapısı, içindeki patlayıcının periyodik tabloda hangi maddelerden müteşekkil olduğu gibi konulara girmek lazım. Onun için bu konuyu atlayalım derim.

CyberMag: O zaman şu şekilde bir soru yöneltelim sizlere. Siber saldırıların mağduru ya da bu saldırılara istemeden alet olmamak için vatandaşlarımızın alabileceği önlemler nelerdir?

Dr. Murat Üçüncü: Bu konuda çok şey söyleniyor. Sayısız doküman var. Ancak, sorun nedir? Vatandaş ne yapacak?  Trafik kazası olmaması için vatandaş ne yapacak? Hız sınırlarına uyacak, aracının bakımını yapacak, ehliyeti olacak, kemer takacak, ve benzeri önlemler var. Bazı vatandaşlarımız bu kurallara uymuyor. Öyle olsaydı, 10 yılda 10 binlerce insanımız trafik kazalarında vefat etmez, sakat kalmazdı. Siber saldırılarda durum biraz daha farklı.  Önceki maddelerde özetlemeye çalıştığım önlemlerin alınması lazım. 

CyberMag: Siber güvenlikte teknik tedbirleri destekleyecek diğer unsurlar nelerdir?

Dr. Murat ÜÇÜNCÜ: Teknolojinin içinde olduğu dönüşümlerin başarıyla yaşanması için iki ilave faktörün de teknolojiyle uyum içinde olması gerekir ki bunlar, insan ve süreç olarak karşımıza çıkıyor. Bunlardan ilki insan faktörü. Vatandaşların siber güvenliğin önemi konusunda belli bir farkındalık seviyesine ulaştırılması gerekiyor. Dolayısıyla her bireyin siber güvenliğe kişisel güvenliklerinin bir parçası olarak bakmalarına ihtiyaç var. İnsan faktörü deyince, kurumları ve devleti koruyacak siber güvenlik profesyonellerinin sayılarının ve niteliklerinin artırılmasına da ihtiyaç olduğunu hatırlatmak gerekiyor. Elbette bu strateji orta ve uzun vadede sonuç verecek bir yöntem. Bu nedenle söz konusu açığı kapatmak için daha kısa vadeli çözümler geliştirilmeli. İnsan faktörü yanında süreçlerin de günümüz siber güvenlik tehditlerini dikkate alarak güncellenmesine ihtiyaç var. Hızlı sayısallaşmanın getirilerinden istifade ederken bunların olası olumsuzluklarından uzak durmak için iş yapma yöntemlerimizi değiştirmeye ihtiyacımız var. Bu noktada vurgulanması gereken en önemli unsurlardan birisi standartlar. Siber güvenlik konusunda en iyi uygulamalardan çıkartılan yöntemlerin standart olarak benimsenmesi ve uygulanması gerekiyor. Ayrıca, fiziksel güvenliğin ve kişi güvenliğinin de siber güvenliğin bir parçası olduğunu sürekli akılda tutmak ve uygulamaları buna uygun olarak düzenlemek büyük önem taşıyor. 

CyberMag: Yerli ve milli çözümlerin üretilmesi adına, teknokentlerimize, yerli ve milli firmalarımıza düşen görevler nelerdir?

Dr. Murat ÜÇÜNCÜ: Siber güvenlik konusunda araştırma ve ürün geliştirme çabalarımızda, ülke olarak doğru alanlarda çalışmamız gerekiyor. Mevcut durumda yaygın kullanılan güvenlik uygulamalarının yerlilerini üretmeye çalışmak yerine, yenilikçi ürünler üzerinde çalışarak vakit kaybetmememizde fayda var. Yenilikçilik dediğimizde teknokentlerimizde faaliyet gösteren küçük ve orta ölçekli firmalarımıza büyük iş düşüyor. Teknokentlerimizin ve buradaki firmalarımızın siber güvenlik alanına öncelik verip dünyadaki gelişmeleri takip ederek, yenilikçi yerli ve milli ürünleri ortaya çıkarma konusunda gayret sarf etmesinin büyük önem taşıdığını düşünüyorum. 

CyberMag: Yapılan araştırmalara sonucunda, dünyada 1,5 milyon siber güvenlik uzmanı açığı olduğu söyleniyor. Türkiye’nin dünya pazarından %1 pay aldığı göz önünde bulundurulursa, ülkemizde 15.000 siber güvenlik uzmanına ihtiyaç olduğu söylenebilir. Bu bilgiler ışığında, üniversitelerde yarı zamanlı eğitim veren birisi olarak, yeni nesil insan kaynaklarının eğitilmesi ve yetiştirilmesinde, Türkiye’deki üniversitelerin ve STK’ların yeri ve önemi hakkında kısaca bilgi verir misiniz? Genelde ne tür oluşumlar var ve ne tür faaliyetler yürütmektedirler?

Dr. Murat ÜÇÜNCÜ: Siber güvenlik uzmanına duyulan ihtiyaç kısa sürede karşılanacak gibi görünmüyor, zira talep arzdan çok hızlı büyüyor. Üniversitelerimize, ilgili STK’lara ve siber güvenlik alanında faaliyet gösteren kuruluşlara burada önemli görevler düşüyor. Üniversitelerimizin açacakları programlar ile siber güvenlik profesyonellerinin yetiştirilmesine katkı sağlamaları gerekiyor. Üniversitelerimizin karşılaşması muhtemel uzman öğretim görevlisi açığının ise endüstri ile yapılacak iş birliktelikleri sayesinde karşılanması mümkün. Kısa vadede netice verecek bir çözüm olarak, STK’ların veya yeterliliği olan kurumların nitelikli insan kaynağından bir kısmının siber güvenlik profesyonellerine dönüşmesi için hızlandırılmış programlar oluşturmaları da faydalı olabilir.

CyberMag: Sonuç olarak, Türkiye’de siber güvenlik çalışmaları beklediğiniz gibi ilerliyor mu? Ülke adına yapılması gerekenler nelerdir? Gereken düzenlemeler ve çalışmalar yapılmadığında ne gibi sonuçlar ortaya çıkacaktır?

Dr. Murat ÜÇÜNCÜ: Ülkemizde siber güvenlik konusundaki farkındalık seviyesi iyi bir noktaya erişti. Ulaştırma ve Altyapı Bakanlığı koordinesinde 2013 yılında oluşturulan Ulusal Siber Güvenlik Stratejisi ve Eylem planı, 2016 yılında yenilendi. Böylelikle 2019 yılı sonuna kadar siber güvenlik konusunda ulusal ölçekte yapılması gerekenler ve sorumluları/koordinatörleri belirlendi. Dolayısıyla zamanlama açısından küresel ölçekte bir kıyaslama yapıldığında diğer ülkelerden geride kalmışlıktan söz etmek mümkün değil. Ama planların eyleme geçirilmesi de plan yapmak kadar önemli. Ayrıca ülke içinde olduğu kadar uluslararası platformlar arasında da siber güvenlik alanında daha fazla işbirliği yapmaya ihtiyacımız var. Kamuda siber güvenliğin koordinasyon makamı belli olsa da kamu ile özel sektör arasındaki bilgi paylaşımında daha sıkı işbirliği ihtiyacı olduğu bir gerçek.

CyberMag: CyberMag Dergisi, siber dünyadaki riskler ve siber güvenlik konusuna odaklanmış Türkiye’nin ilk basılı ve elektronik dergisi olarak farkındalığı artırmayı ve insanları bilgilendirmeyi amaç edinmektedir. Bu amaçla yola çıkan ve yayın hayatına üç seneyi aşkın bir süredir devam eden dergimiz hakkında düşünceleriniz nelerdir?

Dr. Murat ÜÇÜNCÜ: Türkiye’de siber güvenlik alanında farkındalık oluşturmaya çalışan yayınlar mevcut. Bununla beraber teması doğrudan siber güvenlik olan CyberMag Dergisi’nin yeri farklı. Yayına başladığından bu yana siber güvenlik konusundaki farkındalığın yükselmesine önemli katkılar sağlayan derginizin gün geçtikçe daha da gelişerek olgunlaştığını görmekten memnuniyet duyuyor, başarılarınızın devamını diliyorum.