Nazlı Zeynep Bozdemir tarafından yazılmış tüm yazılar

2009’da TED Ankara Koleji Lisesi’nden, 2013’te Hacettepe Üniversitesi Uluslararası İlişkiler Bölümü’nden yüksek şerefle mezun oldu. Siber güvenlik çalışmalarına 2011 yılında Groningen Üniversitesinde bulunduğu sırada başlayan Bozdemir, European Forum Alpbach, TÜBİTAK ve NATO bünyesinde birçok ulusal ve uluslararası siber güvenlik eğitimine katıldı. Hacettepe Üniversitesi Uluslararası İlişkiler Bölümünde tamamladığı “Re-Conceptualizing Cyberterrorism: Towards a New Definitional Framework” başlıklı yüksek lisans tezini 2016 yılında savundu ve yüksek şerefle mezun oldu. ODTÜ Enformatik Enstitüsü altında 2015 yılında açılan Siber Güvenlik yüksek lisans programına ilk sosyal bilimci olarak seçildi ve 2018 Ocak ayı itibariyle "Understanding Cyberespionage: A Cross-Disciplinary Perspective" isimli projesini savunarak bölümden yüksek şerefle mezun oldu. Dil eğitimi nedeniyle bir süreliğine Almanya'da yaşayan Bozdemir, bir siber güvenlik firmasında ürün pazarlama üzerine çalışmaktadır.
İsrail

İsrail’de yeni siber başkan, yeni dönem: “Winter is coming!”

Yorum yapın

“Active defense is not to wait for the problem to hit you … We are trying to make the hackers’ nightmares come true.” -Yigal Unna, 2017[1]

Geçmişte kaleme aldığım ve seride en dikkat çeken siber liderlerden biri haline gelen Eviatar Matania ile başlayan İsrail siber güvenliğindeki 6 yıllık serüvenin geçtiğimiz yılsonunda sona ereceğini öğrenmiştik.

Bu süreçte konuyla ilgililerin takip ettiği bir başka konu, İsrail Başbakanı Netenyahu’nun, Buki Carmeli’nin yönettiği National Cyber Authority (NSCA-Ulusal Siber Güvenlik Başkanlığı) ile Matania’nın başkanlığını yaptığı National Cyber Bureau (INCB-Ulusal Siber Dairesi) birimlerini tek çatı altında toplama kararıydı.

İsrail’in siber güvenliğine büyük oranda etki etmiş bu iki birimi kısaca tanıtmak gerekirse, NCSA’ın gerçek operasyonel siber savunmaya odaklandığını, INCB’nin ise gücünü geniş sivil koordinasyon yetkisinden alan bir ulusal siber strateji yaratma çerçevesinde hareket ettiğini söyleyebiliriz. Yeni dönemde artık tek çatı altında çalışacak bu iki birimin çıktılarıyla ilgili öngörülerime değinmeden önce, yazımızın konusu olan Yigal Unna’yı biraz daha yakından tanımamız gerekiyor.

İlk bakışta, 46 yaşındaki yeni siber güvenlik şefi Yigal Unna’nın bulunduğu noktaya İsrail istihbarat örgütü Shin Bet’in Signal Intelligence Cyber Division (Sinyal İstihbaratı Siber Birimi) yöneticiliğinden ve yakın dönemde şefliğini yaptığı Cyber Technology Unit’ten geçerek geldiği görülüyor. Yönettiği bu birimlerde sahip olduğu istihbarat altyapısını teknoloji ve siber tabanlı farklı istihbarat araçlarıyla birleştirme yetisini kazanan Unna, sahada operasyon yürütme tecrübesine de fazlasıyla sahip biri olarak tanımlanıyor.

Eğitimi ve deneyimleri ağırlıkla istihbarat alanına yoğunlaşan Unna’nın sinyal istihbaratı toplamaktan (SIGINT) ve kod çözmeden sorumlu İstihbarat Kolordusu birimi olan Unit 8200’in mezunlarından biri olduğu hemen göze çarpıyor. Matania ve Carmelli’nin devrettiği otoriteyle bütün sivil siber sorunları yönetecek olan Unna’nın geçmişi düşünüldüğünde, İsrail siber savunma birimlerinin ve kapasitesinin yoğun şekilde Shin Bet çevresinin etkisinde olacağı hissediliyor.

Yeni titriyle Ocak sonunda Tel Aviv’de düzenlenen CyberTech konferansında ilk defa sunum yapan Unna, sunumunda siber saldırıların sistematik olarak arttığını ve daha karanlık zamanların bizi beklediğini aktarırken, “Winter is coming” (kış yaklaşıyor) göndermesini de kullanıyor.[2] Ayrıca Unna, siber alandaki kötü niyetli aktörlerle (malicious actor) mücadelede yapay zekâyla zenginleştirilecek istihbarat yöntemlerinin, saldırıların erken tespitine imkân sağlayacağını savunuyor.

Shin Bet çıkışlı Unna’nın söylemlerinde ve karakterinde devlet güvenliği vurgusunun baskın olduğunu söylemek, bu çıkarımdan hareketle aktif siber savunma kültürünü görevi boyunca gururla sürdüreceğini söylemek sanırım yanlış olmayacaktır.

Son olarak, 2019’da seçime gidecek olan İsrail’in, Unna önderliğinde geçireceği bu dönemde İran veya Rusya çıkışlı olması beklenen sahte haberler, ulusal/uluslararası basında yürütülecek siyasi/ekonomik karalama kampanyaları ve kamuoyunun fikrini etkileyebilecek ya da devlet kurumlarının güvenirliğini zedeleyecek her türlü siber tehditle baş etmeye ekstra efor sarf edeceğini düşünüyorum.

[1] https://www.reuters.com/article/us-cyber-summit-unna/israel-eyes-measures-to-prevent-election-cyber-sabotage-idUSKBN1CU1PJ

[2] http://www.cyberdefence24.pl/wojna-informacyjna-wiadomosci/yigal-unna-winter-is-coming-potrzeba-miedzynarodowej-cyber-koalicji-cybertech-2018

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

Siber güvenlik stratejisinin temelinde ‘insanı korumak’ olmalı

Yorum yapın

Türkiye Bilişim Derneği’nin düzenlediği 34. Türkiye Bilişim Kurultayı, bir yanda üç senedir bilfiil içinde yer aldığım telekomünikasyon sektörünün önde gelen isimlerine, 5G gibi oldukça güncel bir konuda söz vermesi, diğer yanda akademik ve şahsi çalışma alanım haline gelen siber güvenlik konusunda dinlemekten her zaman keyif aldığım birkaç ismi karşıma çıkarması açısından oldukça verimliydi. Her bir konuşma, normalde değinilen içeriklere kıyasla aykırı ve özgün fikirler barındırması açısından hayli önemliydi, sanırım TBD’ye bu özgür konuşma alanını sağladığı için tebrikleri iletmek, oturumlarda konuşulanların havada kalmaması ve takibinin sağlanması açısından da bir misyon yüklemek gerekiyor.

Her ne kadar Siber Bülten’deki yazılarımda telekomünikasyon özelinde içeriklere yer vermesem de, hem bugünkü konuşmacıların değindiği noktaların birebir benim çalıştığım alanlar olması, hem de konuya duyduğum profesyonel yakınlıktan ötürü, “Türkiye’nin 5G Yol Haritası” isimli panelde konuşulanları, kendi perspektifimden aktarmak niyetindeyim. Bu panelde, BTK Başkan Yardımcısı Rıdvan Kahveci moderatörlüğünde konuşmacılara yöneltilen temel soru “5G ile beraber gerçekleşecek olan dijital dönüşüme firma bazlı nasıl hazırlıklar yapıyorsunuz?” yönündeydi.

5G’ye karşı yaşanan heyecanın 2G’deki heyecanla aynı olduğunu pek çok konuşmacı yineledi, ancak altı çizilen bir başka konu 5G’nin yalnızca hızdan ibaret olmayacağıydı. Hayatımıza yakın dönemde daha büyük etki etmeye başlayacak ve 5G’nin temel taşlarından sayılan “sanallaştırma” kavramı üzerinde duran Argela temsilcisi İsmail Bayraktar, bu sayede mevcut sistemdeki en kritik sorunlardan biri olan sağlayıcı (vendor) bağımlılığına çözüm bulunacağını kaydetti. Sanallaşmanın bize sağlayacağı en önemli fayda, şüphesiz radyo kaynaklarının kullanımında yaşanan esneklik olacak. Bu sayede operatörler, dinamik olarak, kamu güvenliği, video, nesnelerin interneti gibi,  farklı kaynaklara ihtiyaç duyan ayrı servisleri etkin bir şekilde karşılayabilir, olası acil durum anlarında bir servisin kaynağını artırabilir ya da azaltabilir hale gelecekler.

Panelde öne çıkan bir başka konu, etkinlikteki yerlilik ve millilik vurgusundan ötürü, ULAK, yani 2013’ten bu yana ciddi bir çalışma ve özveriyle yürütülen milli baz istasyonu geliştirme projesiydi. Bu noktada, ULAK baz istasyonu modelinde benimsenen RAN Sharing (paylaşımlı baz istasyonu) prensibini iyi anlamak ve okumak gerektiği kanaatindeyim, çünkü RAN sharing geleceğin iş modellerine yön verecek, operatörlerin başarısını etkileyecek önemli bir kavram haline geleceğini şimdiden hissettiriyor.

Bu kavram sayesinde, normalde rekabet halinde olan üç büyük operatör (Turkcell, Vodafone ve Türk Telekom) tek bir baz istasyonundan faydalanabilir hale geliyor. Bunun ne önemi var diyor olabilirsiniz, ancak özellikle kırsal bölgelerde bu modelin işlenmesi, hem altyapı ve kurulum maliyetini azaltma hem de kullanıcılara etkin hizmet sunma anlamında oldukça büyük bir önem taşıyor.

5G ekosistemi aslında uçtan uca ar-ge çalışmaları ve ürünlerle bir bütün olarak değerlendirilmesi gereken bir yapı taşıyor. Bu ekosistemde, ancak ve ancak Ar-ge’yi ürünleştirebildiğiniz ölçüde katma değer yaratıp, milli kazanç sağlayabiliyorsunuz.  Bu açıdan bakıldığında ULAK, yerli üretim için gelecek nesillere birikim oluşturması ve öğrenerek ilerlememiz açısından kritik bir görevi hayata geçiriyor.

Değineceğim diğer panel, Sürdürülebilir Siber Güvenlik ve Ulusal Stratejiler başlığıyla işlendi. Gerek başlığın vuruculuğu, gerekse katılımcıların renkliliği sayesinde son oturum olmasına rağmen panele ilgi büyüktü. İçeriğinde yer alan, birçok konuda tartışmayı fitilleyeceğine inandığım yapıcı eleştiriler benim gözümde oturumun en öne çıkan özelliğiydi.

Ömer Korkut, “İnsanı koruyamazsak, devleti koruyamayız” dedi.

Bu eleştirilerin ilki, STM adına konuşan Ömer Korkut’tan geldi. Ulusal stratejimizde çoğunlukla siber alandan bahsediyoruz ama büyük ülkelerin çoğunda kamuyu, özel sektörü ve bireyi ayrı ayrı koruma hedefleri var diyen Korkut, “İnsanı koruyamazsak, devleti koruyamayız, bu nedenle bizim de bu konuya ulusal stratejimizde daha büyük bir önem vermeye başlamamız gerekiyor” dedi. Kamu ve özel sektörün kendi merkezi otoritesini kurup, sağlamlaştırmaya çalıştığı mevcut sistemin hakikaten de insan güvenliğini dışlayan bir yapısı var. Bunun tartışılıyor olması oldukça gerekli.

Eleştirilerin ikincisi, ilk defa dinleme şansı bulduğum ve oldukça akıcı sunduğunu belirtmem gereken Mustafa Afyonluoğlu’na aitti. “Türkiye’de Kritik altyapılarda siber güvenlik açısından neler yapılmalı?” sorusuna cevap arayan Afyonluoğlu, bu tarz etkinliklerde kimsenin elini taşın altına sokup, fikir beyan etmediği konulara yer verdi. Dünya ülkelerinde kritik altyapı konusuna gösterilen hassasiyetin, bizim stratejimize de yansıtılması gerektiğini söylerken, bir eksikliği eleştirmekten çok, hakikaten bu konuda dinleyicileri düşünmeye ve tartışmaya sevk ettiğini hissettirmesi kayda değerdi.

Amerika, Kanada, Avrupa Birliği, OECD tarafından hazırlanan farklı kritik altyapı dokümanlarına ve stratejilerine değinen Afyonluoğlu, bu çalışmaların her birinin farklı sektörlere ve alt sektörlere özel uygulamaları da olduğunu, bu kapsamda rehberler, standartlar, çerçeveler hazırlandığı yineledi. Bulunduğumuz noktada, bu çerçevelerin bizim ulusal stratejimize eklemlenmesine büyük ihtiyaç var çünkü “kritik altyapılar” bizim canımızın yanma ihtimalinin en yüksek olduğu meselelerin başında geliyor.

Değinmek istediğim son eleştiri, her konuşmasında şirketini öne çıkarmak yerine bir vizyonu yansıttığını hissettiğim Burak Dayıoğlu tarafından aktarıldı. Eğitim başlığında endişelerini ve değerlendirmelerini ileten Dayıoğlu, ulusal siber güvenlik stratejilerinde eğitim meselesinin bir numaraya konması gerektiğinin ısrarla altını çizdi. Bu kapsamda sürdürülebilir, elektronik ortam destekli ve gelecek nesillere aktarılabilir, elle tutulur bir modele ihtiyacımız var diyen Dayıoğlu, ancak eğitimin özümsenmesiyle az sayıda teknolojiyi, etkin şekillerde birleştirerek kullanabiliyor ve üretebiliyor hale gelebileceğimizi de söyledi.

 

Makale & Analiz

Ankara’da ‘Godfather of Cyberdefence’ rüzgarı

Yorum yapın

27 Kasım’da Sheraton Hotel Ankara’da gerçekleşen, ilk gününe katılma şansı bulduğum 3. Cyber Warfare and Security Conference (ICWC), iki yılın ardından oldukça güçlü bir içerikle karşımıza çıktı. Bu etkinliğin benim açımdan büyük bir önemi vardı: Siber Liderler serisini ilk yazmaya başladığım dönemde, başarılarıyla NATO’da isminden sıklıkla söz ettiren Süleyman Anıl’ın profilini incelediğim yazımda Türkiye’deki üst düzey etkinliklere katılımının sürekli olarak sağlanmasını en büyük temennim olarak iletmiştim. Şayet bu zamana kadar hiçbir ulusal etkinlikte söz almayan Anıl’ı, ilk defa ICWC bünyesinde konuşmacı olarak görmek, üstüne bir de tanışıp, konuşmak, benim için oldukça değerliydi. Konferans süresince sohbet etme imkanı bulduğum, Anıl’ın yerine gelen Christian-Marc Lifländer ve Tuğamiral Önder Çelebi[1] sayesinde, siber alanda söz sahibi üç lider ile bizzat tanışmış oldum.

ICWC’nin bu anlamda, normal hayatınızda denk gelmenizin çok da kolay olmayacağı Türk ve yabancı yöneticiler, direktörler, generaller, amiraller veya profesörler ile karşılıklı fikir alışverişinde bulunabileceğiniz, serbest bir ortam yaratmayı başardığı açıkça görülüyor. Önümüzdeki dönemde ICWC üzerindeki mevcut NATO vurgusu devam eder mi kestiremesem de, bir sonraki etkinliğin açılış konuşmasında savaş çalışmalarını siber alana başarıyla entegre eden Thomas Rid veya uluslararası çatışma uzmanlığını, siber alan ile harmanlayan Nazli Choucri gibi akademiden çıkan ancak politikaları ve siber güvenlik literatürünü derinden etkileyen isimler görmek, eminim ki konferansın kalitesini daha da artıracaktır.

2015 yılında katıldığım 2. ICWC sonrası kaleme aldığım yazımda sunumların içeriğine dair dile getirdiğim yapıcı eleştirilerim, bu etkinlikte tamamen giderilmişti. Etkinliğin bu kapsamda başarısını, TÜBİTAK ve SSM’nin bu konuda uzun bir süredir gösterdiği özveri, etkinliği planlayan Defence Turkey ekibinin vizyonu, akademinin etkinliğe gösterdiği yakın ilgi ve elbette NATO’dan gelen üst düzey katılımcıların varlığı belirledi demek sanırım yanlış olmayacaktır. Aslında NATO’nun beş önemli katılımcı göndererek bu etkinliğe verdiği destek, NATO ile ilişkilerimizin sınandığı bir dönemde kritik önem taşımaktaydı.

İlk konuşanlardan biri olan, SSM Müsteşar Yardımcısı Mustafa Şeker, bu etkinliğin hedefini, teknoloji ve inovasyon odaklı ama ihracat temelli bir kümelenme oluşturma ekseninde değerlendirerek, uzun soluklu bir yol haritasının varlığını hissetmemizi sağladı. Açılış konuşmasını (keynote speech) yapan, NATO Altyapı Servisleri Direktörü Dr. Gregory B. Edwards, siber tehditlerin gerçekliğini vurgularken, birliğin önündeki en büyük engelin, güçlerini birleştirmek[2] olduğunu söyledi. Çok fazla bilgisayarın, düğümün, sunucunun olduğu bir ekosistemde çalışmanın güvenlik açısından yarattığı sorunlara değinen Edwards, NATO’nun bu kapsamda proaktif bir yaklaşımla güncellemeye çalıştığı üç önemli unsura değindi: ortak altyapı, siber güvenlik ve operasyonlarSunumunda NATO’nun politikaları arasında siber savaşçılar (cyber warriors) yetiştirmek olduğunu söyleyen Edwards, insan gücüne bir sermaye olarak yatırım yapılması gerektiğini kaydetti.

“Cybersecurity and Defence Policies of Nations” isimli Mustafa Şeker moderatörlüğündeki ilk oturumda söz alan NATO’da görevli Tuğamiral Çelebi, siber saldırıların hibrid savaşın önemli bir unsuru haline geldiğine, karmaşıklaşan tehditler karşısında “birleşmiş siber operasyonlara”[3] ihtiyaç duyduğumuza dikkat çekti. Çelebi, bu yükü eşit şekilde paylaşmaya hazır olmamız gerektiğini özellikle vurguladı. Aynı panelde konuşan, Süleyman Anıl’ın emekliliğiyle boşalan koltuğu doldurup, NATO Siber Savunma biriminin başına gelen Christian-Marc Lifländer, NATO’nun siber kapasitesinin artmasında en büyük rolün, üye uluslara düştüğünü iletti.

Üyelerin ulusal altyapılarını ve ağlarını savunmaya yönelik kapasitelerini artırmasıyla, birliğin savunma kapasitesinin ciddi şekilde gelişeceğini belirtti. Takiben söz alan Anıl, konuşmasına biriminde lakabının “godfather of cyberdefense” olduğunu paylaşarak başladı. Onun da sunumunun odağında Gürcistan, Estonya, Ukrayna ve Ortadoğu’da gözlemlendiğini kaydettiği hibrid savaşlar vardı. Anıl, bu olaylarda siber bileşenlerin büyük bir rolü olduğunu söylerken,  Hibrid savaşın günümüzde Siber Operasyonlar, Elektronik Harp, Sinyal İstihbaratı ve Psikolojik Operasyonlar ile birleştiğini de savundu.

Oğuz Babüroğlu moderatörlüğünde gerçekleşen, “Cybersecurity Clusters: Collaborations to Strengthen the Cybersecurity Ecosystem” isimli ikinci oturumda ilk söz alan, İspanya Siber güvenlik Kümelenmesi koordinatörü Javier Tobal, inovasyon aktiviteleri sonucu Avrupa Komisyonu H2020 programına bağlı “www.cyberwatching.eu” sitesinin doğduğunu aktardı.  STM Genel Müdür Yardımcısı Ömer Korkut, konuşmasında Türkiye’den tek üyenin kendileri olduğu European Organization for Security (EOS) hakkında bilgi verdi.

Biznet adına konuşan Hakan Terzioğlu, benzer şekilde tercih ettikleri Hollanda menşeili bir kümelenme olan The Hague Security Delta’dan (HSD) bahsetti. Kümelenme konusundaki somut öneri ve fikirleriyle, panelin en dikkat çeken konuşmacısı, SAHA İstanbul (Savunma, Havacılık ve Uzay Kümelenmesi) Derneği Genel Sekreteri İlhami Keleş’ti. Misyonlarının mevcut potansiyeli kullanarak yüksek teknolojik ürün geliştirmek olduğunu söyleyen Keleş, milli sanayideki verimliliğinin yükseltilmesi ve rekabet edebilirliğinin artırılması amacıyla kurulduklarını açıkladı.

Uzun soluklu günün son oturumunda ise, Tübitak SGE Direktörü Mustafa Dayıoğlu’nun moderatörlüğünde “Emerging Technologies for Cybersecurity” başlığı işlendi.

[1] ACT Assistant Chief of Staff, Command & Control, Deployability and Sustainability (C2DS)

[2] “Alliance’s the biggest mission is connecting its forces.”

[3] “Federated cyber operations”

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

‘Türkiye’de Bilişim Bakanlığı kurulmalı’

Yorum yapın

Sivil toplum örgütü Kamu Siber Güvenlik Derneği (KSGD) girişimi ve TOBB Ekonomi ve Teknoloji Üniversitesi’nin de desteğiyle geçtiğimiz salı günü “Bulut Bilişim Güvenliği” temalı Siber Güvenlik Platformu VI gerçekleşti. 2015 yılından bu yana, senede iki defa başkentin dışındaki seslere de kulak vererek Konya, Mersin gibi farklı şehirlerde etkinlikleri hayata geçiren dernek, siber güvenlik farkındalığı oluşturma, konunun teknik, bilimsel, sosyal ve kültürel yanlarını kapsama yolunda istikrarlı bir çalışma yürütüyor. Dernek, bu yıl gündemine 5 bin lira değerindeki Siber Güvenlik Doktora/Tez Ödülü’nü de eklemiş. Katılım istatistiklerine dair bir bilgi etkinlik süresince paylaşılmamış olsa da, umarım takip eden yıllarda oldukça geniş kitlelerin ilgisini çeken, özendirici bir ödül haline gelir.

İlk konuşmacılardan olan, derneğin yönetim kurulu başkanı Ahmet Ercan Topçu, konuşmasında farkındalık yaratma konusunda gerçekleştirdikleri özverili çalışmalardan bahsederken, Türkiye’de gelinen noktada bir Bilişim Bakanlığı kurulmasına duyulan ihtiyaca tekrar tekrar değindi. Her kurumun kendi güvenlik ajandasını belirlediği, bütüncül bir yaklaşımın henüz benimsenemediği bir ortamda ortak bir çatıya ihtiyaç duyulduğunu söyleyen Topçu, bilişim alanında bu yönde bir seferlik başlatılması gerektiğine de dikkat çekti. Tek çatı altında, işbirliği halinde bir Kamu-Özel ortaklığını oluşturma fikri her ne kadar kulağa cazip gelse de, pratikte bu birimlerin siber güvenlik konusuna farklı yaklaşımlarının anlaşılamaması, ne yazık ki bu fikrin hayata geçirilmesi yolundaki en büyük engel. Üstelik Türkiye bu konuda yalnız değil; işleyen bir ortaklık, tam da bu yüzden ne Amerika ne de İngiltere gibi ülkelerde dahi henüz yaratılamadı.[1] Çözüme giden yolda, Kamu ve Özel sektörü ortak hedefleri, sorunları ya da beklentileri olan iki paydaş/kardeş olarak gören yaklaşımı değiştirmek gerekiyor. Böyle bir çatı kurumun oluşturulması halinde iki tarafın ilişkilerini hukuki, teknik, siyasi boyutlarıyla düzenleyecek yasal otoriteyi, sorumlulukları ve hakları net bir dille ortaya koymak, “bütünsel” yaklaşımının temellerini daha sağlam bir tabana oturtmak oldukça önemli.

‘Kriptocular tüm tarafların sahtekar olabileceğini varsayar’

Açılış konuşmalarından sonra ilk söz alan, TÜBİTAK UEKAE Birim Yöneticisi Doç. Dr. Sabir Kiraz, bulut depolamada veri güvenliği ve mahremiyetinden bahsederken, “tüm verileri, kaynakları, uygulamaları bulut sağlayıcısına koyarak kendi verimiz üzerinde hâkimiyetimizi kaybediyoruz” kaygısını dile getirdi. Sunumunda, Türkiye’de çoğunlukla bilgisayarların yüzde 80’inin kullanılmıyor olmasından doğan sorunun, blok zincirde bir düğüm (node) haline gelerek aşılabileceğini söyleyen Kiraz, bu sayede hem hesaplama (computation) hem de depolama (storage) hizmeti vererek para kazanılabileceğini söyledi.  Kiraz, Bulut Bilişim’e mühendislerin ve kriptocuların yaklaşımları arasındaki farka da dikkat çekti; “Kriptocular tüm tarafların sahtekar olabileceğini varsayarak güvenli bir sistem tasarlar.” ifadelerini kullandı. Kriptocuların hatalı yazılım, Truva atları, virüsler aradığını, mühendislerin ise bulut güvenliği ile ilgili büyük sorunlar görmediğini kaydetti.

En iyi siber güvenlik tezi ödülü Sabancı Üniversitesi’nden Altop’a

Bu yıl ilk defa KSGD girişimiyle verilen “Siber Güvenlik Doktora ve Yüksek Lisans Tez Ödülü” kazananı, Sabancı Üniversitesi’nde Albert Levi ile doktorasını yapan Duygu Karaoğlan Altop, Gövde Alan Ağları Güvenliği ile ilgili tez sunumunda hassas kişisel bilgilerin algılandığı, depolandığı ve iletiştiği duyarga düğümleri arasındaki güvenliğin öneminden bahsetti. Sunumunda kalp pilinin EKG sinyalinin ele geçirilmesiyle, elektrik şoku uygulanabileceğinin örneklerinin yaşandığına dikkat çeken Altop bu cihazlar üzerine hedefli saldırlar gerçekleştirilebileceği gibi, hassas kişisel bilgilerin mahremiyetinin de tehlikeye düşebileceğini belirtti. Kazananın bir kadın olması ve böylesine hassas, karmaşık bir konuda verdiği akıcı sunum, gerçekten takdire değerdi.

‘Bulut bilişim elektrik, su, doğalgaz gibi bir hizmet haline geldi’

Öğleden sonra düzenlenen, altı katılımcının söz aldığı  “Bulut bilişim güvenliği” panelindeki ilk konuşmacı, ODTÜ Enformatik’te Bilişim Hukuku dersi aldığım, TOBB ETÜ Öğretim Üyesi, Doç.Dr. Olgun Değirmenci, sunumunda Bulut’un birçok ülkede doğalgaz, su, elektrik gibi bir hizmet olarak tanımlandığına değindi. Hizmet olarak altyapı bulut türünde en çok hukuki sorun yaşama ihtimalimiz olduğuna değinen Değirmenci, geçmişte yürüttüğü ilginç bir araştırmadan da bahsetti. On iki bulut servis sağlayıcının kullanım sözleşmelerini incelediğini kaydeden Değirmenci, bulut kurarken kabul edilen bu sözleşmelerin hepsinde kişisel verilerin işlenmesine yönelik kişinin rızasını alan hükümler bulduğunu iletti.

Özellikle soru-cevap kısmında en çok ilgiyi gören BTK Bilgi Teknolojileri Daire Başkanı Gökhan Evren, geçtiğimiz aylarda düzenlenen Siber Yıldız yarışmasından oldukça yetenekli kişiler bulduklarını, 500’e yakın mülakat sonucu işe alınanları seçme sürecinde çok zorlandıklarından bahsetti. TSE Bilişim Teknolojileri Test ve Belgelendirme Daire Başkanı Mustafa Yılmaz, salondaki gençlere, CMMI (The Capability Maturity Model) ve siber güvenlik standartlarının belirlenmesi, takibi gibi konularda sektörde büyük açıklar olduğunu, bu alanlara yönelebileceklerini söyledi. Ortak Kriterler Tanıma Anlaşması (CCRA) olarak bilinen, 26 önemli ülkede akredite olan bir standarttan bahseden Yılmaz, bu anlaşmayı imzalayan ülkelerin, ürün hangi ülkeden sertifika almış olursa olsun o ürünün belirtilen seviyede güvenli olduğunu kabul etmiş sayılacaklarını belirtti.

[1] Madeline Carr, “Public–private partnerships in national cyber-security strategies,” International Affairs, 92/1 (2016)

Siber Bülten mail listesine abone olmak için formu doldurun

 

Makale & Analiz

Başbakandan yerli yazılım çıkışı: Tarlanın da bizim olması lazım

2 Yorum

Geçtiğimiz Cuma gerçekleşen 10. Bilgi Güvenliği ve Kriptoloji Konferansı (ISC Turkey 2017), BTK, Bilgi Güvenliği Derneği ve Gazi, ODTÜ ve İTÜ gibi üç büyük üniversitenin önderliğinde gerçekleşti.

İki günlük bir programa sahip etkinliğin, yüksek katılım alan ve basına dönük ilk gününe katılma imkânı buldum. Son iki yıldır ODTÜ’de gerçekleşen geçmiş konferansların içeriğine ve işleyişine aşina olmamdan ötürü, bu seneki konferansın yayınlanan programını ilk gördüğümde, ister istemez geçmiş senelerle kıyaslarken buldum kendimi.

Etkinliğin ilk günü olarak Cuma’nın seçilmesine, bir de Başbakan’ın katılımı eklenince, ortaya konferansın akışı ve zaman yönetimiyle ilgili sorunlar çıkabiliyor. Bu tip uzun soluklu ve sağlam bir akademik tabana oturmuş olması beklenen konferanslarda özellikle sabah saatlerini verimli kullanmak büyük önem taşıyor. Geçen yıl düzenlenen ISC Turkey 2016’nın Salı ve Çarşamba günlerinde düzenlenmesiyle bu sorunlar ciddi ölçüde giderilmişti, aynı şekilde geçen yıl panellerden, açılış konuşmacılarına kadar daha kapsamlı olduğunu düşündüğüm, akademiyle bağı daha güçlü bir program hazırlanmıştı.

Türkiye’de bilişim ve siber güvenliğin geldiği mevcut noktada, bu konuların tartışıldığı platformlarda yer alan değerli konuşmacıların daha iddialı ve geniş görüşlü içerikler üretmelerini beklemek, hem katılımcıların vizyonunu genişletmek hem de yeni bilimsel tartışmaların fitilini ateşlemek adına oldukça önemli. Yapıcı eleştirilerimi bir kenara bırakırsak, biraz da konferansta konuşulanlara değinmek istiyorum.

UDH Bakanı Ahmet Arslan, BTK Başkanı Ömer Fatih Sayan ve elbette Başbakan Binali Yıldırım’ın konuşmalarının odağında yazılımda yerlilik ve milliliğin önemi vardı. Arslan, konuşmasında sektörün taraflarının işin içine daha fazla girmesi gerektiğine, daha koordineli çalışılan bir ortam yaratmanın gereğine değindi.

Siber tehditlere karşı yerli yazılımlar: Avcı, Azad, Kasırga

Sayan, USOM bünyesinde siber tehditlerle mücadele amaçlı geliştirdikleri Avcı, Azad, Kasırga gibi yerli ve milli uygulamaları da hayata geçirdiklerini dile getirdi. Bahsi geçen uygulamalara dair internette herhangi bir bilgi bulamasam da, dilerim ilerleyen günlerde milli imkânlarla geliştirilen bu çözümlerin güvenliğine, performansına ve kalite kontrollerine dair açık kaynak araştırma yapabilmek mümkün olur.

Dördüncü konuşmacı olarak söz alan Başbakan Yıldırım, siber suçlarla daha etkin mücadele için büyük veri analiz altyapısı oluşturmaya da karar verdiklerini duyurdu. Yıldırım, yerli yazılım dendiğinde yalnızca yerli mühendislerin kodladığı yazılımların kastedilmediğini, yerli yazılım geliştirme platformları üzerinde yazılan yazılımlara ihtiyacımız olduğunu dikkatle açıkladı. “Tarlayı süren çiftçinin bizden olması yetmez, tarlanın da bizim olması lazım” diyen Yıldırım, her halde bu konuyu özetleyen en doğru ve anlaşılır analojiyi yaptı.

Açılış konuşmacısı olarak salonda bulunan Prof. Dr. Erdal Çayırcı, siber güvenliği üç seviyede değerlendirdiğini belirtti: Siber emniyet, hibrid ortamlarda yapılan mücadele ve siber savaş. “Hibrid” savaş kavramının Batı’ya ait bir isimlendirme olduğuna, Rusya ve Doğu Bloğu’nun aynı kavrama “lineer olmayan ortamlarda yapılan mücadele” olarak yaklaştığına değinen Çayırcı, bu kapsamdaki en belirgin hedefin karşı tarafın istikrarını bozmak olduğunu kaydetti.

Kamuda Endüstri 4.0 ve Siber Güvenlik Yaklaşımı isimli ilk panelde, benim için en öne çıkan konuşmacı, Biznet Bilişim İş Geliştirme Direktörü Eser Ateş’ti. Gündeminde Endüstriyel IoT ve Operasyonel Teknolojiler (OT) konularına yer veren Ateş, Endüstri 4.0 ile birlikte OT’lerin dijital bir kılıf giymek zorunda kaldıklarını belirtti. OT güvenliği konusunda uzman sayısının çok az olduğunu ve bu konuda yeterli düzenleneme bulunmadığını belirten Ateş, OT sistemlerinde açıkların kapatılma sürelerinin oldukça uzun olabildiğini kaydetti.

Yine panelde öne çıkan bir diğer isim Atar Labs CEO’su Burak Dayıoğlu’ydu. Dayıoğlu, mevcut çözümlerde çok fazla alarm ve saldırı göstergesi bulunduğunu, ancak insan kas gücünün buna yetişmekte zorlandığını söyledi. Bunun temelinde yatan sorunu, alarmları inceleme işinin hala elle kumanda edilmesi olarak açıklayan Dayıoğlu, “Mevcut iş gücü ihtiyacını dramatik şekilde karşılamak mümkün olmadığı için, var olan insan gücünü robotlarla desteklemeliyiz” dedi.

Büyük Veri Analizi ve Veri Merkezleri Güvenliği isimli ikinci panelde söz alan NETAŞ Siber Güvenlik Teknoloji Geliştirme Direktörü Uğur Çağal, dünyada artık çok gizli olan verilerin güvenliğinin, bağımsız denetçiler tarafından denetlendiğini ve çok büyük cezalar kesildiğini dile getirdi.

Intellfor Global Strategy Başkanı Mustafa Avcı, artık savaş teknolojileri yerine yeni silahın bilgi olduğuna dikkat çekti, dünyayı yönetmek için veriye sahip olmanız gerekiyor değerlendirmesini yaptı. Benzer şekilde büyük verinin önemine değinen TÜRKSAT Siber Güvenlik Yönetim Direktörü Mehmet Ali Ortayatırtmacı, büyük verinin, siber güvenlik operasyonlarından artık ayrı düşünülemeyeceğini dile getirdi.

Saat 18.00’dan sonra düzenlenmesi planlanan yuvarlak masa toplantılarına bizzat katılamasam da, sonuçları Konferans Sonuç Bildirgesi üzerinden takip ediyor olacağım.

Siber Bülten abone listesine kaydolmak için doldurunuz!