Kıdemli Siber Güvenlik Uzmanı Mustafa Afyonluoğlu İle Söyleşi


Kıdemli Siber Güvenlik Uzmanı Mustafa Afyonluoğlu İle Söyleşi

Bilgi ve bilişim güvenliği alanında toplumun her kesiminde bilgi ve bilinç düzeyini arttırmak, bu konu ile ilgili teknolojik gelişmeleri izlemek, milli teknolojilerin geliştirilmesine katkı sağlamak; bireysel, kurumsal ve ulusal düzeydeki riskler konusunda farkındalık oluşturmak amacı ile siber güvenlik eğitimleri, e-devlet uygulamaları, bilişim mevzuatı alanında çalışmalarına devam eden Mustafa Afyonluoğlu ile Türkiye’de bilişim sektörünün durumu, devletimizin kalkınmasında IT ve Telekomünikasyon sektörünün yeri ve bilhassa bilgi güvenliği alanında bilinmesi gerekenler ve çözüm önerileri hususunda ülkemizin dünü, bugünü ve geleceği adına yapılması gerekenleri konuştuk.

CyberMag: İlk olarak; Türkiye siber güvenlik alanında diğer ülkelere göre ne durumda? Son dönemde siber güvenlik kurulunun oluşturulması veya USOM ve SOME birimlerinin hayata geçirilmesi gibi birçok adım atıldı. Siz bu adımları yeterli buluyor musunuz? Rusya veya ABD gibi bu alanda sözü geçen bir ülke konumunda olmak için neler yapmamız gerekiyor?

Mustafa Afyonluoğlu: SOME ve USOM yapılanması, taktik ve operasyonel seviyede siber güvenlik unsuru olarak oldukça önemli ve vazgeçilmez bir adımdır. Siber güvenliğin yapıtaşı olan SOME’lerin yetkinlik ve etkinliğinin arttırılması için USOM’un özellikle son bir yılda ciddi bir atılım göstermesi, kapasite geliştirme çalışmalarına hız vermesi, kurumlardaki siber güvenlik olgunluğu bakımından çok önemli bir değerdir. İnanıyorum ki USOM’un başta insan kaynağı olmak üzere idari, teknik ve hukuki bakımdan daha da güçlendirilmesi, siber güvenlik konusundaki ulusal koordinasyonumuzu çok daha üst seviyelere taşıyacaktır.

CyberMag: Bu bilgiler ışığında, siber güvenlikle ilgili strateji ve politikalar nasıl oluşturulmalı? Kısa, orta ve uzun vadede olumlu sonuçlar almak için özel sektör ve kamu nasıl bir yol izlemeli?

Mustafa Afyonluoğlu: Bu bahse konu temelin üzerine zaman geçirilmeden atılması gereken adımlar arasında, devletlerarası siber saldırılarda en gözde olan ve siber güvenlikte en büyük zarara uğrama potansiyelini barındıran kritik altyapılara yönelik ihtiyaçları hızla inşa etmek geliyor. Bunların başında siber alanda sektörel plan ve stratejilerin hazırlanması, bu alanda kullanılan “scada” gibi bileşenlerin önce yerli sonra milli çözümlerinin oluşturulmasına öncelik verilmesi, bunu hızla gerçekleştirebilmek için özel sektörün siber alandaki yatırım önceliklerinin ulusal seviyede belirlenmesi, bu amaçlara ulaşmak için gerekli olan ancak henüz TSE standardı haline gelmemiş eksik standartlara kavuşulması, insan kaynağı kapasitesinin arttırılması ile ilgili olarak ise başta üniversiteler olmak üzere STK ve özel sektörde çalışmaları teşvik edecek yatırımların planlanması gerekir. Bu sayılanların hepsi için birtakım çalışmalar yapılmış ve yapılıyor olsa da, büyük resimdeki ihtiyaçlarla kıyaslandığında oldukça mütevazı boyutta ve bölgesel çabalar olduğu görülmektedir. Dolayısıyla bu başlıklar bir devlet politikası olarak ele alınmalı ve önceliklendirilmelidir.

Ocak 2019 itibarı ile çalışmalarının başlaması gerektiğini düşündüğüm yeni siber güvenlik stratejisi ve eylem planı, bunun için çok değerli bir fırsattır. Ancak bu süreçte, son hazırlanan siber güvenlik stratejisindeki bir hatadan muhakkak kaçınmak gerekir. Strateji belgesinin güçlü olması ve eylemlerin bizi küresel olarak siber alanda güçlü hale getirebilmesi için, bu ulusal belgeler oluşturulurken, siber güvenlik ekosisteminde tam ve geniş bir “yönetişim politikası” uygulanmalıdır. Ancak bu sayede kamu, özel sektör, üniversiteler ve STK’larımız bir olup güç birliği oluşturabilir ve hem kabul görmüş hem de ortak aklın gücünden yararlanmış bir yol haritası ortaya çıkabilir. Bir devlet başkanının yıllar önceki bir sözü bunu destekler niteliktedir: “Ekonomik ve idari olarak ne kadar güçlü olursak olalım, kurumlarımızdaki ekipler ne kadar nitelikli olurlarsa olsunlar, unutulmamalıdır ki dışarıdaki (özel sektör, üniversiteler, düşünce örgütleri ve bu alandaki STK’lar) toplam akıl bizim sahip olduğumuzdan çok daha güçlü ve üreticidir.”

CyberMag: Söylediğiniz üzere siber güvenliği sağlamanın püf noktası güvenli, yerli ve milli yazılımlar kullanmak. Ancak ülkemizde kullanılan güvenlik yazılımların büyük çoğunluğu yabancı menşeli. Sizce kullandığımız yabancı menşeli güvenlik yazılımlarını bir an önce millileştirebilmemiz için üniversitelerimizin, özel şirketlerimizin ve devletimizin atması gereken adımlar nelerdir?

Mustafa Afyonluoğlu: Yazılım sektöründe yerli süreci güçlendirmek ve sürekliliğini sağlayabilmek üç bacaklı bir saç ayağı yaklaşımını gerektirir: Öncelikle devlet bu alanda kararlı bir politikayı gündemin üst sıralarına yerleştirmeli, özel sektörün altlık olarak kullanacağı ulusal yazılım çerçevelerini hazırlamalı veya finanse etmeli, öncelikli alanları belirlemeli, mali teşvikin yanısıra hukuki ve idari teşvikleri de hayta geçirmeli ve ortaya çıkan çözümleri kendi bünyesinde kullanma konusunda kararlı olmalı, olgunlaşan ürünlerin önce bölgesel sonra küresel ekonomiye taşınmasında öncü rolü oynamalıdır. Özel sektör, bu alandaki çözümler yeterli olgunluğa ulaşıncaya kadar, kırıcı rekabet yerine, alan paylaşımı yaparak ulusal hedefin gereksinimlerini hızla hayata geçirmeli, bunu yaparken Ar-Ge, ürünleştirme ve destek süreçlerini sürdürülebilir bir modele oturtmalı, bir yandan da dış piyasada rekabete temel oluşturacak standartlara uyumu hedefleri arasında konumlandırmalıdır. Üniversiteler özellikle Ar-Ge ve model geliştirme aşamasında hem kamu hem de özel sektör ile iş birliği yaparak çerçeveler, kripto algoritmaları, veri analitik metodolojileri, yapay zekâ modelleri gibi milli bileşenlerin oluşmasına katkı sağlamalıdır. Kritik altyapılar ve savunma sanayii gibi alanlardaki yazılım sektöründe yerliden ziyade milli çözümler yer almalı ve benzer model kullanılmalıdır.

CyberMag: Bildiğiniz üzere Türkiye’de siber güvenlik ile ilgili mevzuat çalışmaları 2012 yılında başladı ve bu konuya yönelik çalışmalar büyük bir hızla devam ediyor. Yapılan çalışmaları nasıl değerlendirirsiniz, önerileriniz nelerdir? Türkiye’deki çalışmaları gelişmiş ülkelerdeki çalışmalarla karşılaştırdığınızda ortaya nasıl bir tablo çıkıyor?

Mustafa Afyonluoğlu: Aslında bu konuda yeterli yol alabildiğimizi düşünmüyorum. Hedefler arasında yer alması, strateji belgelerine girmesi bakımından başarılı bir süreç ile başlanılmış olsa da, bu mevzuatın müstakil bir kanun olması ve tüm paydaşlarla birlikte hazırlanması gerekirken bu bütünlük beklenildiği seviyede sağlanamadı ve ortaya çıkan taslak metin ihtiyacı karşılamaktan oldukça uzak olunca kabul görmeyip, siber güvenlikle ilgili birçok husus (mülga siber güvenlik kurulunun kuruluşu dâhil), 5809 sayılı Elektronik Haberleşme Kanunu’nun içerisine derç edildi.

Gelinen noktada ise AB ülkeleri dâhil olmak üzere birçok ülkede olduğu gibi, siber güvenliğe müstakil bir kanun hazırlanmalı, özellikle kritik altyapılar başta olmak üzere temel bileşenler bu kanunda yer almalıdır. Ayrıca hazırlanacak olan kanun sadece teknik ve idari içerikli değil, 5 kademeli (politik, stratejik, operasyonel, taktik ve teknik seviyelerde) ulusal siber güvenlik modelini destekleyecek altyapıda olmalıdır.

CyberMag: Ülkemizin siber güvenlik yol haritasının belirlenebilmesi için Bilgi Güvenliği Derneği’nin de katkılarıyla iki adet siber güvenlik strateji belgesi hazırlanmış ve şimdiye kadarki çalışmalar bu belgeler dikkate alınarak yapılmıştı. Önceki strateji ve eylem planlarını göz önünde bulundurarak yapılacak yeni plana dair önerilerinizi bizimle paylaşabilir misiniz?

Mustafa Afyonluoğlu: Siber güvenlik stratejisini değerlendirirken, bu konuda oldukça başarılı yol kat etmiş olan “Bilgi Toplumu Strateji ve Eylem Planları”nın hem hazırlanış hem de uygulanış süreçlerinden önemli dersler çıkarmak ve bu iyi deneyimlerden istifade etmek mümkündür. En son hazırlanan Siber Güvenlik Stratejisi ve Eylem Planı’na ilişkin bilgilendirme toplantısında paylaşılan bilgiler ışığında dikkat çekici eksiklikler, bazı eylemlerin bu alanda yetkili kurumlara atanmamış olması, eylemlerin dengesiz dağılımı (eylemlerin yarıdan fazlasının eylem planını hazırlayan ve hazırlatan kurumlarda olması), uygulama adımlarının yüzeysel olması, öncül ardıl ilişkilerle bir yol haritasının bulunmayışı, yapılması gerekenlerden ziyade paydaşların yapabildiklerinden ve önerilerinden oluşan (ki bu konuda sadece bir çalıştay gerçekleştirildiği görülmektedir) eylemlerin ortaya konulması, zamanında hazırlıkların yapılmaması nedeniyle bir önceki eylem planı ile arasında ciddi bir zaman boşluğunun (2 yıl) olması ve en önemlisi bir eylem izleme modelinin bulunmayışı idi. Nitekim günümüz itibarıyla, mevcut siber güvenlik eylem planına ilişkin kamu ile paylaşılan bir izleme ve ilerleme takvimi, üniversiteler, özel sektör ve STK’lar ile birlikte bir değerlendirme ve iyileştirme süreci bulunmamaktadır.

Yeni strateji ve eylem planı hazırlanırken, içeriğin büyüklüğünü ve uygulamaya geçiş tarihinin 2020 yılı olacağını da dikkate alarak, Ocak 2019 tarihi itibarı ile çalışmaların başlaması gerektiği kanaatindeyim. Hazırlık aşaması mutlaka geniş bir ekosistem katılımını kucaklamalı, bu alandaki yerli sektörün, STK’ların ve danışmanların ulusal ve küresel deneyimlerinden en üst seviyede faydalanılmalıdır. 

Amaç sadece eksik ya da zayıf olunan alanları belirleyip strateji belgesinde bunları eylem olarak masaya koymak olmamalıdır. Yukarıda belirttiğim 5 kademeli yaklaşımın stratejide yansıması net olarak görülebilmelidir. Siber güvenlik, zaman kaybetmeye karşı en hassas ve bu durumda en çok zarar gören alandır. Bu sebeple, stratejiyi hazırlayan ekip, mutlaka daha önce ulusal strateji hazırlama deneyimine sahip olmalı ve hazırladıkları bu strateji belirli bir başarıyı yakalamış olmalıdır. Önceki stratejilerden çıkartılan dersler ve birkaç tanesini burada sıralama imkânı bulduğum eksiklikler de ele alınarak güçlü bir proje ekibi oluşturulur ise, sonuç çıktısının da çok güçlü olacağına inanıyorum.

CyberMag: Mustafa Bey, binlerce dokümanın bir arada bulunduğu ve milyonlarca kişi tarafından ziyaret edilen kişisel web sitenizden de bahsedebilir misiniz? Siteniz hangi türde içerikleri barındırıyor, başarınızı neye borçlusunuz?

Mustafa Afyonluoğlu: Bu web sitesini (https://afyonluoglu.org) kurmaktaki amacım, zaten var olan bilgiyi, belirlenen başlıklarda, sistematik olarak erişilebilir kılmak idi. Çalışmanın motivasyonunda ise iki unsur bulunuyor. Birincisini şöyle özetleyebilirim: Kamu kurumlarında hazırlanan birçok rapor ve stratejisi belgesinde, faydalanılan kaynakların neredeyse %95’i internetten erişilebilen ve herkese açık olan kaynaklar, raporlar, standartlar ve benzeri materyaller olmakla birlikte, bunların nereden bulunacağı, hangi sistematik yöntemin izleneceği her zaman tam olarak bilin(e)mediğinden, rapor/belge oluşturma sürecinde bu araştırmalar (her çalışmada yeniden) yapılıyor ve bu aşama projenin en uzun süren kısmı olduğundan genelde milyon liralar mertebesini aşan çok yüksek maliyetlere sebep oluyor. Maalesef proje sözleşmesi gereği yüklenici taraf bu raporları paylaşma yetkisine sahip olmadığından ve mevcut durum analizi süreçleri de ilgili kamu kurumu tarafından genelde yayımlanmadığından, benzer bir başlıkta proje başlatan diğer bir kamu kurumunda zaman, işgücü ve para harcamaları yeni baştan yapılıyor. Bu da bir anlamda istemeden de olsa milli servetin israfı gibi değerlendirilebilir.

İkinci unsur ise üniversite bacağında karşıma çıktı. Üniversitelerde yapılan çalışma ve araştırmalarda, ihtiyaç duyulan kaynağa doğru yöntem ve metotla erişim bakımından da benzer sıkıntılar yaşandığını, bazen en doğru kaynağa ulaşılamadığını fark ettim. Üstelik her iki durumda da, zaten internette var olan bazı raporların zaman içerisinde web sitelerindeki teknik aksaklıklar sebebiyle erişilemez hale geldiği ve kaybolduğu da karşılaştığım bir husustu. İşte bu sebeplerle uzmanlık ve araştırma alanlarım içerisinde olan e-devlet, siber güvenlik, bilgi toplumu, bilişim hukuku ve kişisel veriler başlıklarında bu materyalleri tek merkezden erişilebilir ve günlük olarak güncellenebilir hale getirmek için bu web sitesini oluşturdum. Hazırlık aşamasında, ülkemizden ve yurtdışından birçok kurum ile yazışarak internette kaybolmuş materyalleri de temin ederek kullanıma sundum. Bu süreçte başta Birleşmiş Milletler olmak üzere birçok uluslararası kuruluştan, özel sektörden, üniversitelerimizde akademisyenlerimizden, bu kaynağın karşılıksız sağlanması ile ilgili teşekkür mesajları aldım. Bu da süreklilik motivasyonunu sağlayan en önemli unsur oldu. Site ilk kurulduğu birinci yılının sonunda 250 milyonu aşan ziyarete ulaştı. Şu anda (Şubat 2019 son haftası) kuruluşunun 21. ayında 5.000’den fazla rapor ve belge ile 445 milyon ziyareti geçmiş bulunuyor.

CyberMag: Mustafa Afyonluoğlu gelecekte ne gibi organizasyonlar planlıyor? Genel olarak düzenlenen organizasyonların siber güvenlik sektörü açısından önemi hakkında ne düşünüyorsunuz?

Mustafa Afyonluoğlu: Yakın gelecek dönem için, siber güvenliği doğrudan ilgilendiren bazı alanların gündeme gelmesini bekliyorum. Bunların başında, günümüzde birçok ülke tarafından hayata geçirilmeye başlanmış olan “ Dijital Ekonomi Stratejisi” bulunuyor. Her ne kadar dijital ekonomi hedeflerimizin olduğu dile getirilse de, bu konudaki projeksiyonlar ve tahminlemeler küresel raporlardaki ve fırsatlardaki sayılar ile örtüşen büyüklükte değil. Ayrıca dijital ekonomiyi yaratan alanlar (ITeS, e-Ticaret, elektronik ödeme, IoT, paylaşım ekonomisi, platform ekonomisi, sayısal beceriler vb.) birçok ülke gibi bizim için de çok önemli potansiyel barındırıyor ancak bu konuda sistematik bir ulusal yaklaşımımız henüz yok. Üstelik bu alanların hepsi de doğrudan siber güvenlik alanında gelişimi zorunlu kılan başlıklar. Ben hâlihazırda 10’a yakın ülkeden katılan uzmanlar tarafından hazırlanan ve 56 ülkede uygulanacak olan “Dijital Ekonomi Stratejisi”nin çekirdek uzman ekibine Türkiye’den davet edilen tek kişi olarak, bu alana hızla ve detaylı olarak eğilmemiz gerektiği kanaatini taşıyorum. Bunlara ilaveten blok zincir, yapay zekâ ve özellikle veri analitiği gibi yenilikçi teknolojiler konusunda yeni adımlar atılmaya başlanmış olmakla birlikte; bir bütünlük halinde ilerlenmediğini, mevcut çalışmaların henüz zayıf mertebede olduğunu ve asıl potansiyelin tam olarak tetiklenemediğini düşünmekteyim. Bu çerçevede hedefimiz “Siber Dijital Türkiye” olmalı ve bu alandaki eksikliklerimizi gidermek için ivedilikle yola çıkmalıyız kanaatindeyim. Bu başlıklarda özel sektör daima tecrübesi ve dinamizmiyle kamunun yanında olmalı ve güç birlikteliği yapmalıdır.

CyberMag: Son olarak CyberMag Dergisi, siber dünyadaki riskler ve siber güvenlik konusuna odaklanmış Türkiye’nin ilk basılı ve elektronik dergisi olarak farkındalığı artırmayı ve insanları bilgilendirmeyi amaç edinmektedir. Bu amaçla yola çıkan ve yayın hayatına üç seneyi aşkın bir süredir devam eden CyberMag Dergisi hakkında düşünceleriniz nelerdir?

Mustafa Afyonluoğlu: En zayıf halka olan insanda bu zayıflığı giderecek en güçlü faktör farkındalıktır. CyberMag Dergisi hem ele aldığı konular hem de sunuş biçimi ve ulaştığı kitle ile bu konuda ülkemiz için çok önemli bir değerdir.

 


İlginizi Çekebilecek Yazılar






İletişim | Gizlilik | Kullanım Koşulları