SİBER SALDIRILARSiber Savaş

Türkiye Cumhuriyeti Siber Güvenlik Müsteşarlığı

Türkiye’de her zaman süregelmiş bazı klasikler vardır ki, bunları hepimiz çok iyi biliyoruz. Daha çocukken, okulun önünde bir arkadaşımıza araba çarptıktan sonra 1 hafta içerisinde 4 tane kasis konulduğunu görerek başladık. Bizim arkadaşımız 3 ay hastanede yatmadan, o kasisler konulmuş olsaydı, daha mantıklı olmaz mıydı? O kasislerin konulması için bedeli bizim arkadaşımız mı ödemeliydi? Bu olay gerçekleşmeden 1 hafta önce konulmuş olsa yine aynı masraf yapılmayacak mıydı?

Alışmışız, bazı olaylar gelişsin ondan sonra önlem alalım diye. Bu artık genlerimize öyle işlemiş ki malesef. Bunun Siber Güvenlik ile ne alakası var noktasına geleceğiz.

Türkiye’de kaç tane havacı asker var? Binlerce.. Türkiye’de kaç tane kara kuvvetleri askeri var? Binlerce.. Türkiye’de kaç tane denizci askeri var? Binlerce.. Türkiye’de kaç tane jandarma var? Binlerce..  Peki Türkiye’de kaç tane siber güvenlik askeri/uzmanı var? PR’ını çok iyi yapmış içi boş insanları bir kenara koyarsak, parmakla sayılabilecek kadar az..

Peki geç kalmıyor muyuz?

Türkiye’ye havadan saldırı olmuyor, o yüzden pilot yetiştirmemize gerek yok mantığı ile davranabilir miyiz? Evet davranabiliriz. Pilotların tamamını atarsın bir köşeye, o kadar pahalı eğitim mi olur hem? Su yakmıyor ya bu uçaklar. Savaş olduğunda da sokaktan toplar uçurturuz uçakları. Böyle mi düşünmeliyiz?

Bir pilotun, sınır ötesine onlarca sorti yapıp, her seferinde hedefleri tam isabet vurması için belki onlarca yıl çalışması, eğitim alması gerekiyor değil mi? Askerlerin hepsini karacı yapıp, sonrasında havacı lazım olunca içlerinden adam seçip, hadi git şuraları bombala demek ne kadar mantıksız değil mi?

Türkiye “her ne kadar kabul edilmese de” Rusya tarafından siber saldırıya maruz kaldı. Şunu da kabul etmemiz gerekiyor ki, Bankalarımız, devlet kurumlarımız hizmet veremeyecek hale geldi. Peki biz ne yaptık? “Siber Güvenlik” konusunda uzman olup olmamasına bakmadan, bilgisayar mühendislerini hemen saldırının yapıldığı yeri incelemeye gönderdik. Ne kadar verimli oldu? Çok çok küçük faydalar sağladılar sadece. Peki soruyorum, havadan saldırı olduğunda karacıyı alıp uçağa oturtmakla, siber saldırı olduğunda rastgele adamları alıp sistemlerin başına koymak arasında zerre kadar fark var mı?

Pilotlar bir gün lazım olursa diye full donanım ile yetiştirilir. Lazım olduğunda çok kritik dokunuşlarla belki de ülkeyi ipten alırlar. Peki Siber Güvenlik Uzmanları? Bilgi Güvenliği Uzmanları? Bu ülkeye çok daha öte zararları engelleyebilecekken, bunları ön görerek ciddi uzmanlar yetiştirmek yerine, ufacık bir saldırı olduğunda TV’ye çıkan siber güvenlik uzmanlarının söylediklerine mi bakıcaklar?

Rusya Nic.tr’ye saldırmasaydı, Türkiye’de bu kadar siber güvenlik uzmanı olduğunu kimse bilmeyecekti. Bir çoğunun uzmanlık alanı değil, bir çoğu konuya ve olaya hakim bile değil. Sadece TV’ye çıkıp konuşmak için konuşan insanlara kalıyorsak, işimiz çok kötü..

“Türkiye Cumhuriyeti Siber Güvenlik Müsteşarlığı”

Niye bu başlığı attım peki yazıya? Türkiye’nin artık “siber” konularda çok daha öte insanlar yetiştirmesi için, geleceğin “siber savaşlarına” asker hazırlaması için daha stabil, defans yapmak için oluşturulmuş ekipler yerine, atak da yapabilecek seviyede bilgili ve donanımlı ekiplerin oluşturulması şart.

Türkiye’de bu işlere kimler bakıyor?

Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı

Genel Kurmay Başkanlığı MEBS ve Siber Savunma Komutanlığı

Telekominikasyon İletişim Başkanlığı İnternet Hizmetleri Daire Başkanlığı

Bilgi Teknolojileri Kurumu Bilgi Teknolojileri Daire Başkanlığı

Milli İstihbarat Teşkilatı Elektronik Teknik İstihbarat Daire Başkanlığı

Benim bildiğim bu 5 kurum üzerinden sağlanıyor Türkiye’de siber güvenlik. Burada şu konunun bir kenara bırakılması gerektiğini düşünüyorum.

  • İnternette birisine şantaj yapmış insanı bulmak bu kurumun işi olmamalı,
  • İnternette birisine küfür etmiş insanı bulmak bu kurumun işi olmamalı,
  • İnternette devlete küfretmüş insanları bulmak bu kurumun işi olmamalı,
  • İnternette terör örgütü propagandası yapmak bu kurumun işi olmamalı,
  • İnternette uyuşturucu ilanları paylaşan insanlaru bulmak bu kurumun işi olmamalı,
  • İnternette çocuk pornosu gibi paylaşımlar yapan insanları bulmak bu kurumun işi olmamalı,
  • İnternette çoluk çocuğun yaptığı saldırıları bulmak bu kurumun işi olmamalı,
  • İnternet üzerinden oynanan kumar ortamlarının tespiti bu kurumun işi olmamalı,
  • İnternet üzerinden dolandırıcılık yöntemlerini ve kişilerin tespiti bu kurumun işi olmamalı,
  • İnternet üzerinde kişisel hayatın gizliliğine aykırı durumlara müdahale etmek bu kurumun işi olmamalı,
  • İnternet üzerinde yaşanacak marka/hak ihlallerine aykırı durumlara müdahale etmek bu kurumun işi olmamalı,
  • Devletin sistemleri hariç diğer sistemlere sızma durumuna müdahale etmek bu kurumun işi olmamalı,
  • Basit bot-net olayları bu kurumun işi olmamalı,
  • Devlet kurumları hariç veri ihlalleri bu kurumun işi olmamalı.

Bu müsteşarlık/başkanlık kurulduğunda, yapacağı işler;

  • Askeri alanda kritik verilerin güvende tutulması,
  • Devlet kurumlarının güvende tutulması,
  • Veri güvenliğinin sağlanması,
  • Uluslararası suçların tespiti ve deşifresi,
  • Zararlı yazılımların analizlerinin yapılması,
  • Devlet kurumlarına yapılan saldırıların analizi/deşifresi,
  • Devlet kurumlarındaki bilgi sızıntılarının tespiti,
  • Devlet kurumlarına karşı yapılacak bot-net, DDoS’ların tespiti, engellenmesi,
  • Devlet kurumlarının zararlı yazılımlardan korunması,
  • Devlet kurumlarındaki ağların temiz tutulması,
  • Devlet kurumlarında adli analizlerin yapılması,
  • Devlet personellerinin eğitimlerinin üstlenilmesi,
  • Devlet personellerinin gerekli kontrollerinin yapılması,
  • Devlet sistemlerine sürekli testlerin gerçekleştirilmesi,

 

Bunların yanı sıra ASLİ GÖREV olarak,

  • Siber Silah Geliştirme,
  • Siber savaş senaryoları geliştirme,
  • Kritik verilerin şifrelenmesi için algoritma geliştirme,
  • Siber Silahlara karşı kalkan geliştirme,
  • Siber Dünyada gelişmeleri takip etme,
  • Defansif anlamda en iyiyi yakalama,
  • Ofansif anlamda en iyi olma yolunda çalışma,
  • 0-Day keşifleri ve bunların kullanılması,
  • 0-Day’ler veya Siber silahlar ile sağlanacak İstihbaratın gerekli kurumlara iletilmesi,
  • Ulusal Güvenliğin Dijital AR-GE Çalışmalarının yapılması.

Bu ve buna benzer asli görevler üzerinde çalışmaların sürekli olarak devam etmesi gerekmektedir. Burada, Emniyet’in yaptığı işlerin aynı şekilde devam ederken, ulusal güvenliği ilgilendirecek her türlü dijital, siber konunun ve ar-ge’nin ise kurulacak müsteşarlık tarafından yürütülmesi gerekmektedir.

Ülkeye faydası ne olacak?

Her ne kadar önlem alırsak alalım, “hacklenmeyeceğiz” dememiz mümkün değil malesef. Bu tarz saldırılara maruz kaldığımızda, kimin ne yapıyor olacağını biliyor olması, panik ve kaos ortamı oluşmadan prosedürün işleyip saldırının defedilmesi gerekiyor. Defalarca ve defalarca tatbikatlarının yapılması gerekiyor. Olası sızma konusunda kimin ne yapacağını biliyor olması gerekiyor. Televizyonlarda asıl işi bu olmayan ama fırsattan istifade ismimizin önüne bir uzmanlık daha ekleyelim diye çıkıp zırvalayan insanların yerine, devletin çıkıp “evet saldırı altındayız ama ne yapacağımızı ve nasıl adımlar atacağımızı biliyoruz. Zarar görmeyeceksiniz” diyor olması gerekiyor.

Türkiye’de 50 Milyon kişinin kimlik bilgileri 2009’da çalındı ve el altından zaten satılıyordu. 7 yıl boyunca el altında gezen bu veriler hiç tespit edilemedi mi? Bunlar sızarsa ne açıklama yapılacak diye hiç kimse düşünmedi mi? Evet veriler sonunda sızdırıldı. Herkes indirdi ve herkesin elinde nur topu gibi gizli bigliler var. Bunun açıklaması bile doğru düzgün yapılmadı. Kimsenin içini rahatlatacak bir açıklama gelmedi, gelmeyecek de.

50 milyon kişinin kimlik bilgisinin “önemsiz” olduğunu düşünelim ki bence çok önemliydi. Devletin mahrem sırlarının sızdırılması senaryosunu düşünelim mi birlikte? 50 milyon kimlik bilgisi için tatmin edici bir açıklama yapılamazken, askeri cephaneliklerin koordinatlarının sızdırılması sonrasında ülkede oluşabilecek kaosu düşünebiliyor musunuz? Oluşacak kaos ortamında kim ne açıklama yapacak? Buna karşı bir eylem planı var mı? Zannetmiyorum.

Bahsettiğimiz Müsteşarlığın birincil amacı bu tarz saldırıların hiç bir şekilde olmaması, bu tarz verilerin sızmasının net bir şekilde engellenmesi. Sonrasındaki amacı ise, herhangi bir durumda bir sızıntı yaşanırsa, bu sızıntıdan kaynaklı doğabilecek sorunların en kısa sürede çözülmesi ve tatmin edici adımların atılmasıdır. Yani kısaca, kimin neyi yapacağının önceden defalarda düşünülmesi ve senarize edilmesidir.

Tekrar tekrar söylüyorum, bu tarz bir olay yaşandıktan sonra “aa haklısınız biz bu müsteşarlığı kuralım” demek, kara kuvvetlerinden uçaktan hiç anlamayan adamları pilot koltuğuna oturtup onlardan başarılı sortiler beklemeye benzer. Müsteşarlığın kurulması, gerekli personellerin seçilmesi, eğitilmesi ve gerçekten bir şeyler başarabilmesi için en iyi ihtimalle 5 yıla ihtiyacı olacak. Saldırı anında müsteşarlık kurup anında müdahale beklemek yerine, hazır daha zaman varken (ki aslında çok zaman da yok) müsteşarlığın kurulup, donanımlı insan yetiştirmeye başlamak gerekiyor.

Daha fazla gecikmeden..

 

 

 

 

Share:

Leave a reply