MİLLİ SİBER GÜVENLİK TAKIMI
Yıllar öncesinde “Siber” dediğimizde, bunun bir hiç olduğunu düşünenler, “bilgi güvenliği” dediğimizde bu olayı çok abartıyorsunuz diyen insanların platformlarda çıkıp bilgi güvenliğinin önemini anlatır hale gelmesi mutluluk verici bana göre. 3 adım attık, 3 adım sıfırdan büyük diye sevinecek miyiz? Tabiki hayır. Rakiplerimizin depar attığı, ciddi bütçelerin ayrıldığı ve projelerin geliştirildiği fakat bizim çok geriden başladığımız bir sektörden bahsediyoruz.
Dünya’daki 500 siber güvenlik ürünü sıralamasında, Türkiye’den kaç tane ürün var? Sıfır. İlk 500 tane firmadan bir tane firma dahi sıralamada yok. Neden? Anlatayım.
Dünya’da yeni eğilim bilgi güvenliği… Bizim bir ülke ile silahla savaşmamızdan çok daha önemli olan şey, o ülkenin planlarını, verilerini ele geçirebilmek. O ülkelerde kimin söz sahibi olduğu, kimlerin ne zafiyeti olduğu, kimlerin kimlerle suç ortaklığı içinde olduğu, kimlerin bilinmesi istenmeyen işler yaptığı gibi birçok bilgiden bahsediyorum. O ülkenin istihbarat faaliyet alanları, o ülkedeki insanların sağlık verileri, o ülkedeki insanların biyometrik verileri, o ülkedeki insanların banka verileri ve dahası. Hatta ve hatta ülkenin, enerji alt yapılarını yöneten SCADA sistemleri… Bu bilgileri elimizde aldığımızda, bir ülkeye yapılacak olan diplomatik ziyaret öncesinde, devlet büyüklerinin bu bilgilerle konuşuyor olması, ima ediyor dahi olması ülkeler arasında çok ciddi krizlere sebep olacak ve hatta savaşarak elde edilemeyecek kazanımlar elde etmemize sebep olacak durumları barındırıyor. “Bilgi Güvenliği” konusuna bakarken, göz ardı edilmemesi gereken konu, savunma değil saldırı ve veri havuzları olmalı. Bahsettiğimiz 500 siber güvenlik şirketinin de kurulmasında, büyümesinde, Dünya’da lider konuma gelmesinde ülkelerindeki bu algı, bu motivasyon ve ülkelerinin istihbarat örgütlerinin destekleri vardı. Bir ülkeye sızıp, o ülkeden veri çalmaktan daha kolayı, siber güvenlik ürünleri, sosyal medya platformları, (gereğinden fazla) akıllı cihazlar geliştirip, onları o insanların hayatlarının en içine sokmak değil mi? Twitter, Facebook, WhatsApp kullanmayan kaç kişi var? Eşinizle mahrem yazışmalarınızdan, ihale konularına her şey o platformlarda dönmüyor mu? Doktorların, Milletvekillerinin, Bakanlıkların kendi aralarında onlarca, yüzlerce, binlerce WhatsApp gruplarının olması hayatımızın en içine girdiklerini göstermiyor mu? Hepimizin cebinde akıllı telefonlar yok mu? Hatta artık akıllı saatler… Arkadaşlarınızla konuştuğunuz A konusu ile alakalı 1-2 saat sonra Facebook’ta A ürününde %20 kampanya var reklamlarının arkasında, sizi 7/24 dinleyen Siri gibi teknolojilerin varlığı yatıyor. Siri’yi kapattığınızı zannettiğiniz buton, yine Siri’nin yapımcısı firma tarafından tasarlanıyor. Peki, siber güvenlik ürünleri? Onlar da, bakanlıklarımızın, savunma sanayi firmalarımızın ve buna benzer yüzlerce şirketin/kurumun verilerini koruma(!) görevi üstlenmiyor mu?
Asıl konumuza gelecek olursak, “Siber Güvenlik Uzmanı” olarak devlet kurumlarında iş başı yapan arkadaşlarımızın, yabancı siber güvenlik ürünlerini konfigüre etmekten başka bir iş yapmadığını / yapamadığını üzülerek görüyoruz. İçlerinden yetenekli olup, devleti için çalışan kısmı tenzih ederek söylüyorum.
Benim hayalimdeki yapı, “Milli Siber Güvenlik Takımı” şeklinde aslında. Milli takımda olduğu gibi, farklı farklı yerlerden, farklı yeteneklerdeki insanların bir araya toplandığı, sadece “liyakat” hususunun ön planda tutulduğu, geniş bir yetkilendirme ağı bulunan bir ekip hayal ediyorum.
Türkiye Futbol Fedarasyonu TFF’nin, “Türkiye A Milli Takımı” için, kadrolu(!) futbolcu ilanı açıp, KPSS ile milli takıma futbolcu seçmesi ve milli takımı da oradaki alımlardan oluşturduğu bir senaryo hayal edin? Kafanızda canlanan senaryo ile devletin siber güvenlik uzmanı alıyoruz dediğinde benim kafamda canlanan senaryo aynı. Maalesef, üzülerek söylüyorum bunu…
O zaman biraz hayal dünyasına dalalım,
“Milli Siber Güvenlik Takımı” adı altında, takımlar düşünün. Türkiye’de siber güvenliği kontrol edecek bir takım. Kurumlara onay verebilecek gücü olan bir takım. BTK Bünyesinde yapılan işler bunun muadili değil. BTK şu an, Başkan Ömer Fatih Sayan ile devlet yapısına rağmen bir atılım süreci içerisinde, güzel işler yapılmaya çalışılıyor. Fakat bu hayal ettiğimiz yapı, devlet himayesinde olmasına rağmen, devlet/bürokrasi hantallığı olmayacak bir yapı olmalı.
Türkiye’de alınacak Siber Güvenlik Ürünleri, kullanılmadan önce bu kurumdan akredite olmalı. Bahsettiğim akreditasyon, “bizim şurada arkadaş var, bu ürünü geçirip Türkiye’de satarız” şeklinde değil de, sonuna kadar incelenerek kişisel çıkarlarla değil, sadece ülkenin milli çıkarları doğrultusunda onay alabiliyor olmalı.
Bu yapının asıl amacı, savunma değil saldırı olmalı. Savunma gücü, kendi başına kaliteyi tetikleyecek bir yapı değil maalesef. Bilinenlerin uygulanması, bilinenlerin git gide erimesi anlamına gelmekte. Siber Güvenlik sektörünün, her geçen gün daha da geliştiği aşikâr. O konuda, savunma alanında kalan kişi yenilikleri takip edememekte, bildikleri üzerinden bir şeyler ortaya koymak durumunda kalmaktadır. Saldırı öncelikli bir siber güvenlik uzmanı için, yeni çıkan her gelişme yeni bir saldırı silahı, yeni gelişen her konu onun bir adım daha ileri atması için bir zıplama tahtasıdır. Saldırmak, insanı her açıdan geliştirdiği gibi, saldırırken karşılaşılan zorlukları aşabilmek için, sürekli araştırma sürekli bilgiyi tazeleme, sürekli bir şeyler geliştirebilme durumunda kalınabilmesi gerekiyor. Bu da bilgi seviyesi olarak, sürekli olarak en üstte olmayı zorunlu hale getiriyor. Savunma alanında ise gerekli kontrolleri yapıp sistemi güvenli hale getirdikten sonra, gelişmelerden kopma ve yavaş yavaş bilgilerin hafızadan silinmesi durumları meydana geliyor. Maalesef, devlet kurumları tarafından alınan siber güvenlik uzmanları da, saldırı alanında kalamadıkları için, sürekli olarak gerileme dönemine geliyorlar. Bu biraz daha yarış atlarının durumuna benziyor. Yarış atımız var demek için yarış atı almak, o yarış atının istediğimiz zaman, istediğimiz performansı verebileceği anlamına gelmiyor. Yarışlara katılmayan, sürekli koşmayan, sürekli bir adım daha fazla atmayan bir yarış atı, belli bir zaman geçtikten sonra artık yürümeye bile imtina eder hale gelebilmektedir. Bu uzmanlar, saldırmaktan keyif alan, kendini sürekli olarak geliştiren ve mesai kavramına takılmayacak insanlardan oluşturulmalıdır.
Ülkemizde, devletin en büyük şirketlerinin ağlarından bile onlarca exploit tespit edildiği günleri yaşıyoruz. Şirketin faaliyet gösterdiği sektör ise, en kritik sektörlerden bir tanesi maalesef. Ülke olarak, öncelikle mevcut durumumuzun fotoğrafını çekerek, acı gerçekle zor da olsa karşılaşmamız gerekiyor. Bundan önce, kurumlardaki “şu sisteminizde açık gördük, düzeltir misiniz” dediğimizde tehdit mi ediyorsunuz cevabı almayacağımız, “ülkenin kurumuna yaptığın katkıdan dolayı teşekkür ederiz” diyebilecek olgunlukta insanların yönetici pozisyonuna gelmesi gerekiyor. Bu işlerin daha sistematik, daha hızlı ve daha verimli olabilmesi için, devlet kurumlarımıza en hırçın PKK’lı, en hain FETÖ’cü motivasyonu ile “saldırabilecek” personellere ihtiyacımız var. Savunma mantığı ile 10 açıktan bilinen 3 tanesi bile yakalanırsa, o bile kardır. Ama aynı motivasyonla, aynı bilgi ile sisteme saldırmak, göremediğimiz onlarca açığı da görebilmemizi sağlayacaktır.
Yerli ürünler konusuna tam da bu noktada değinmek istiyorum. Yerli ürün geliştirmek, aslında bir ihtiyaçtır. O ihtiyacı hissedebilmek için, o ihtiyacı oluşturacak zafiyeti görebiliyor olmamız gerekiyor. Türkiye olarak, bahsettiğimiz gibi bir yapıdan geçecek siber güvenlik ürünleri “RET” yediğinde, oturup o uygulamaların belki daha kötüsü bile olsa, alıp yeniden geliştirip kullanabiliyor olmamız gerekiyor. Bu yapıda, bu hassasiyetle, bu gayretle çalışmaya başladığımızda, yıllar sonra elimizde muhteşem bilgi havuzları ve uygulamalar istemeden dahi olsa oluşacak. Geriye onları alıp, ürünleştirip süsleyip satabilmek kalıyor…
Devletin tüm kurumlarını, hastanelerini, enerji altyapılarını, havacılık sektörü firmalarını %99,99 güvenliğe yaklaştırabilecek seviyede kritik seviyede hassasiyetle davranan yapı, inşallah bir gün hayalden öteye geçebilecektir.
Bu yapının, şeffaf olmaması da gerektiğini düşünüyorum. Benim ülkemin devlet başkanı, bir ülkeye karşı konuşma yapacağı zaman ya da o ülkeye ziyarette bulunacağı zaman, gideceği ülke ile alakalı her türlü kritik alt yapı raporları, siyasi durumlar gibi birçok veriyi raporlayıp, eline tutuşturabiliyor olursak ve ülkemizdeki güvenliği de en üst seviyeye çıkartabiliyor olursak, işte o zaman ülke olarak siber güvenlikte de “Türkiye” olarak biz de varız diyebileceğiz.