Prof. Dr. Mustafa Alkan: Siber Güvenlik yetkisi Bilgi Teknolojileri ve İletişim Kurumu’na devredilmeli

Geçtiğimiz hafta başlayan ve hayatı kilitleyen siber saldırılarla ilgili olarak görüş aldığımız Gazi Üniversitesi Bilgi Güvenliği Mühendisliği Anabilim Dalı Başkanı Prof. Dr. Mustafa Alkan, ODTÜ tarafından yürütülen ".tr" alan adları Nic.tr) sisteminin tahsis yetkisinin Bilgi Teknolojileri ve İletişim Kurumuna (BTK) devredilmesi gerektiğini açıkladı.

Son günlerde ülkemize yönelik siber saldırılar ve Nic.tr konusunda ODTU ve BTK arasındaki yetki tartışmaları ile ilgili neler söylemek istersiniz?

Öncelikle alan adları konusuyla ilgili hususlara açıklama getirmek isterim. Bilindiği gibi 5809 sayılı Elektronik Haberleşme Kanunu'nda, "İnternet alan adları tahsisini yapacak kurum veya kuruluşun tespiti ile alan adı yönetimine ilişkin usul ve esaslar Bakanlık tarafından belirlenir" hükmü yer almaktadır. Nitekim bu kanunun çıkmasından hemen sonra bakanlık bu konuyla ilgili düzenleme ve denetlemeleri yapmak üzere BTK’ya görev vermiştir. Bunun üzerine BTK internet alan adlarıyla ilgili bir dizi düzenlemeler yaptı. Bu düzenlemeler alan adları konusunda birçok belirsizliği ortadan kaldırdı ve bu konuda önemli hukuki düzenlemeler getirildi. Başlangıçta hizmetin aksamaması için BTK bünyesinde gerekli olan alt yapının kurulumunu tamamlayıncaya kadar alan adı tahsisi yetkisi bir süreliğine ODTÜ ye verdi. Daha sonra BTK bünyesinde ULAKBİM tarafından TRABİS altyapısı kuruldu. Sonrada BTK ODTÜ’den bu görevi devir almak istedi. Ancak ODTÜ'nün bu yetkiyi devretmek istememesi sonucu dava açılınca süreç tıkandı. Doğru olanın bu hizmeti BTK’nın veriyor olmasıdır.

Peki, bu konuda dünyadaki uygulamalar nasıl kimler bu hizmeti veriyor?

Yıllar önce bu konuda bir düzenleme olmadığı için bu görevi ODTÜ üstlenmiş ve o günün şartlarında da başarı ile bu görevi yerine getirmiştir. Bugünse alan adları tahsis konusu düzenlemeleri bütün dünyada tartışma konusu ve birçok ülkede bu alanda benzer düzenlemeleri gerçekleştirmiştir. Dünyada bu konuda en üst yetkili kurum olan ICANN’dır. Ancak ICANN’ın yetkisi ve meşruluğu dahi tartışılmaktadır. Nitekim bu kurumla ilgili ilk tartışmayı da Aralık 2003’te İsviçre’de gerçekleştirilen Dünya Bilgi Toplumu Zirvesinde Türk Delegasyonu olarak biz gündeme getirmiştik. Benzer şekilde ICANN’ de uluslararası hukuki geçerliliği ve yetkisi tartışma konusudur. Alan Adları konusundaki düzenlemelerin ITU bünyesinde yapılması gerektiği önerisi zirvede Türkiye Delegasyonu tarafından verilmiş ki o zirvede Delegasyon Başkanlığını da ben yürütmekte idim. Bizim önerimiz zirvede birçok ülke tarafından da desteklenmiştir. Bu konu hala gündemde olan bir konudur.

Son günlerde yaşana siber saldırılardan sonra yeterince önlem alınmadığı ve altyapının yeterli olmadığı konuları gündeme geldi. Peki, bu konuda yaşanan olumsuzluklardan ODTÜ sorumlu tutulabilir mi?

Siber saldırılar sonucu ortaya çıkacak olumsuzlukların sorumluluğu oldukça yüksektir. Yasal bir düzenleme olmadığında bu sorumluluğu kimseye yükleyemezsiniz. Sorumluluğu olmayanlar bu konuda yeterli önlemi almayabilirler. Benzer şekilde ODTÜ'yü bu konuda ne kadar sorumlu tutabilirsiniz ya da ODTÜ bu hukuki sorumluluğu ne kadar üstlenebilir? Bu tartışma konusu. BTK'nın yasal, hukuki anlamda sorumluluğu var. Bu alanda ortaya çıkabilecek olumsuzluklardan BTK sorumlu olacağı için bu işi ciddi tutmak zorunda. Bu konuda ODTÜ’nün yetkinliği tartışılmaz ancak yetkisi ve sorumluluğu tartışma konusudur. Bütün bu sebeplerden yetkininde uygulamanın da sorumluluğun da BTK da olması en doğru yöntemdir.
Saldırıların boyutunun ve zararın büyüyeceği söylüyorsunuz ve bunun yanında da kritik altyapılardan bahsediyorsunuz. Kritik alt yapı ne demektir ve bundan sonra neler olabilir? 

Yıllardır söylediğimiz gibi artık dünyada klasik savaşların ve silahların yerini siber savaşlar ve siber silahlar almıştır. Türkiye de bu konuda en çok risk ve tehdit altında olan ülkelerden birisidir. Yine yıllardır söylediğimiz gibi bu savaşların en önemli hedefi kritik altyapılarımızdır. Bu konuda bir ay kadar önce Bilgi Güvenliği Derneği Koordinasyonu’nda Gazi Üniversitesi, ODTÜ, İTÜ’nün işbirliği ve Ulaştırma Bakanlığı ve BTK’nın desteğiyle “8.Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı” gerçekleştirilmiş, ana teması da “Siber Güvenlik ve Kritik Alt Yapılar” olarak belirlenmişti. Nitekim konferansta kritik alt yapılar konusunda da özel bir oturum yapılmıştır. Bu gün yaşananları konferans boyunca anlatmaya ve ilgili tüm tarafları bu konularda önlem almaya davet etmiştik. Söylediklerimiz bir ay geçmeden yaşandı. Bundan sonra daha da fazlası gündeme gelecek. Bakın internet ve iletişim alt yapılarına saldırı yapıldı, bankacılık sistemlerine saldırı yapıldı. Bundan sonraki süreçte sırada diğer Kritik Altyapılar var. Bu altyapılara saldırılar artarak devam edecek. Bunun yanında, enerji alt yapıları, üretim ve dağıtım şebekeleri, ulaşım altyapıları ki bunlar kara, deniz, hava, demiryolları gibi altyapılar. Su şebekeleri, barajlar, doğalgaz şebekeleri, petrol boru hatları. Kamu hizmetleri, kritik kamu kuruluşları… Buralardaki kritik tüm bilgi ve belgeler, kurumsal kişisel veriler ve bilgiler hepsi tehdit ve risk altındadır. Önlem alınmaz ise telafisi mümkün olmayan ağır sonuçlar ortaya çıkacaktır.

Peki, saldırılar için nasıl önlemler alabiliriz?

Bakın biz Bilgi Güvenliği Derneği’ni ilk kurduğumuzda - ki yaklaşık on yılı aşkın zaman oldu- bu konuda yapılması gereken dört temel başlık belirlemiştik. Birincisi hukuki düzenlemeler, ikincisi kurumsal düzenlemeler, üçüncüsü teknik düzenlemeler, dördüncüsü ise siber savunma gücünün oluşturulması idi. Hukuki düzenlemelerden kastımız biran önce ‘Siber Devlet Yasası’ başta olmak üzere ‘Kişisel Verilerin Güvenliği Yasası’nın bir an önce yapılması ve uygulanması idi. Bununla beraber siber güvenlik konusundaki ikincil düzenlemelerin gecikmeden hayata geçirilmesi idi. Bu kanun kapsamında hızlıca kurumsal yapıların oluşturulması idi ki bu konuda dünya da örnekleri var. Yine bağımsız bir düzenleyici otorite olmalı idi. BTK, BDDK, EPDK benzeri Siber Güvenlik Düzenleme Denetleme Kurumu ya da Kamu Güvenliği Müsteşarlığı benzeri Siber Güvenlik Müsteşarlığı ya da benzeri bur kurumsal yapı oluşturulmalı ve bu konuda tam yetkili olarak yapılandırılması önerilmişti. Bunun yanında ülkemizde kullanılan güvenlik çözümlerinin ve ürünlerinin %95 yabancı menşeili ne yazık ki. Bu noktadan hareketle bir an önce yerli firmalar desteklenmeli ve yerli milli siber güvenlik çözümleri ve ürünleri yazılım ve donanım olarak geliştirilmeli ve bütün kurum ve kuruluşlarda özelliklede kamu kurum ve kuruluşlarında kullanılmasının zorunlu tutulması idi. Bir diğer önemli konu ise siber orduların kurulması ve siber savunma ve saldırı gücünün oluşturulması idi. Birde bütün bunları en üst düzeyde koordine edecek bu konuda politika ve stratejileri belirleyecek ‘Siber Güvenlik Ulusal Koordinasyon Kurulu’nun oluşturulması idi. Bunları bu konuda ki çözüm önerileri olarak ortaya koymuştuk.

Bu konuda neler yapıldı?

Ne yazık ki büyük çoğunluğu yapılmadı. Bakın birkaç yıl öncesine kadar bizim bir ‘Siber Güvenlik Strateji Belgemiz’ yoktu. Dünyada bu belgeyi yayınlamamış ender ülkelerden biri idik. BGD olarak biz inisiyatif aldık. ‘Strateji Belgesi’nin taslağını hazırladık ve Bakanlığa sunduk. Bunun üzerine belge yayınlandı, ardından da eylem planı yayınlandı. Benzer şekilde ‘Siber Güvenlik Koordinasyon Kurulu’ kuruldu. Ama ne plan sağlıklı işliyor ne de kurul şimdiye kadar bir toplantı gerçekleştirip bu konudaki politika ve stratejileri belirleme yönünde bir çalışma yaptı.  Kanunlar başta olmak üzere bu konudaki hukuki düzenlemeler yapılmadı. Teknik altyapılar yerli çözümler geliştirilmedi. Siber ordular kurulmadı. Kurumsal yapılar tamamlanmadı. Hal böyle olunca bu konuda savunmasız kalmak, çaresiz kalmak kaçınılmazdır. Bu ve bundan sonra yapılacak siber saldırılara karşı önlem almanızda mümkün değildir. Dahası savunma kadar saldırı da en tabi haktır ve en caydırıcı güçtür ki,  bu saldırı hakkı uluslararası bir haktır. Bilindiği gibi bu konuda NATO’nun kararı vardır. Bir ülkeye yapılan siber saldırı klasik silahlarla yapılmış saldırılarla aynı sayılacak ve savaş sebebi sayılacaktır. Dolayısıyla o ülkeye karşı saldırı ve savaş hakkı doğuracaktır. Dolayısıyla sizin siber ordular kurmanız ve siber saldırı ve siber savaş yöntemleriyle karşılık vermeniz uluslararası bir hak haline gelmiştir.

Son olarak ne söylemek istersiniz?

Bu konuda ülke olarak öncelikle ve ivedilikle siber güvenlik konusunda strateji ve politikalarımızı belirlemek durumundayız. Sonra da hiç zaman kaybetmeden yukarıda sıraladığım çözümler başta olmak üzere alınması gereken tüm önlemleri ve çözümleri hızlıca hayata geçirmek mecburiyetindeyiz. Aksi takdirde yarın çok geç olabilir ve ülkemiz için telafisi mümkün olmayan sonuçlar doğabilir.