Kategori arşivi: Makale & Analiz

Siberbülten siber güvenlik ile ilgili haberlerin bulunduğu bir site olmanın dışında, siber güvenliğin sosyal bilimler ile kesişme noktalarındaki konularla ilgilenen akademisyen, öğrenci ve araştırmacılar için bir yayın platformudur. Bu bölümde siberalan ve siber güvenliğin uluslararası hukuk, uluslararası ilişkiler, strateji, güvenlik ve siyaset bilimine ile ilişkisi ve yansımaları ile ilgili blog tarzı yazılar ve derin analizler bulabilirsiniz.

Makale & Analiz

Robotlar, Güvenlik ve Mahremiyet

Yorum yapın

Robotlar hayatımızın büyük bir bölümünde yer almaya ve hayatımıza artan bir hızla etki etmeye başladı. Evinizde kullandığınız temizlik robotundan tutun endüstriyel üretim, savunma sanayii ve diğer birçok alanda sayıları her geçen gün artıyor. Örneğin, Amazon’un yirmi ana dağıtım deposunda toplam 45 bin robot çalışıyor. Geçen yıl bu rakam 30 bin, ondan önceki yıl 15 bin civarındaydı. Yani Amazon her yıl kadrosuna 15 bin robot katıyor. (Bilim ve Teknik, Şubat 2017)

Günümüzde bu robotlar kendi kendini programlayabiliyor, çevresini algılayıp kararlar alabiliyor. Bundan 100 yıl kadar öncesini düşündüğümüzde, günümüzdeki bu teknolojiler akla getirilmesi imkansız fikirler olarak görülürdü. Ancak teknoloji inanılmaz bir hızla ilerliyor. Ray Kurzweil’e göre 2045 yılında üretilecek bir yapay zeka, bugünkü insan nüfusunun toplam zekasından 1 milyar kat daha güçlü olacak. (Predictions made by Ray Kurzweil)

Yapay zekanın ve robotların kullanımı, kuşkusuz işgücü, zaman ve masraf bakımından bize birçok fayda sağlayacak. Ancak getireceği faydanın yanında birtakım sorunlar doğurması da söz konusu olabilir. Gelişmiş sensörler ile gözlem yeteneğine sahip, her türlü şekil ve boyuttaki robotlar, özel hayatın gizliliği ve kişisel verilerin güvenliği konuları üzerinde dikkatle durmayı gerektiriyor. Güvenlik ve gözlem amaçlı olarak robotlar pek çok alanda kullanıyor.

Örneğin, insansız hava araçları havada fark edilmeden günlerce kalabiliyor ve geniş bir coğrafyayı tarayabiliyor. Bu bakımdan ordu ve kolluk güçleri bu teknolojiyi kullanmaya başlamış durumda. Bunun yanında hükümetler, gözlem izlenimi yaratarak istenmeyen davranışları önlemek için sosyal robotları kullanma eğiliminde. Bilgisayar korsanları açısından ise robotik teknolojilerin saldırıya açık alanları, özel yaşama ilişkin bilgilere ulaşabilmek için yeni bir fırsat sunuyor.

Sosyal hayatta kullanılan bu robotlar, ticari işletmeler için veri toplama bakımından harika bir imkan oluşturuyor. Japonya’da kullanılan alışveriş asistanlarını düşünün. (https://www.youtube.com/watch?v=q4pzNl2vQOM ) Bu makineler müşterileri tanımlayıp onlara erişir ve ürünlere yönelik rehberlik etmeye çalışır. Ancak sıradan mağaza çalışanlarının aksine robotlar işlemin her alanını kaydedebilir ve işleyebilir. Yüz tanıma teknolojisi sayesinde yeniden kolayca tanımlayabilir. Bu müşteri verileri, hem kayıp önleme hem de pazarlama araştırmalarında kullanılabilmektedir. (Ryan Calo, Robot and Privacy, sf.4)

Bunun dışında ev robotlarını düşünelim. Standart ve kızılötesi kameralarla, koku algılayıcılarla, GPS ve diğer sensörlerle donatılabilirler. Bu robotlar, aslında gizlilikle ilgili birçok farklı tehlikeyi de beraberinde getiriyor. Örneğin, evin içinde internete bağlanabilen bir robotun kullanılması, evin iç mekanının görüntülenmesinin yolunu açabilir, tek başına kaldığımız özel alanlara girerek mahremiyeti azaltabilirler. Harika “hafızaları” sayesinde elde ettikleri bilgilerimizi depolayabilirler ve daha da kötüsü bunları başkalarıyla paylaşabilirler.

Tamara Denning, Tadayashi Kohno ve Washington Üniversitesi’ndeki meslektaşları tarafından yapılan bir çalışma, piyasada bulunan ev robotlarının güvensiz olduğunu ve bilgisayar korsanları tarafından ele geçirilebildiğini gösteriyor.( https://sensor.cs.washington.edu/pubs/ubicomp_robots_authors_copy.pdf) Washington Üniversitesi’ndeki araştırmacılar, her biri kameralarla donatılmış, kablosuz ağ oluşturma özelliğine sahip üç robota, WowWee Rovio, Erector Spykee ve WowWee RobotSapien V2’ye baktı. Sonuç, korsanlar, örneğin Rovio veya Spykee’nin veri akışlarını belirleyebilir ve yakındaki konuşmaları dinleyebilir veya robotu çalıştırabilirler.( Calo, sf.9)

Facebook kurucusu Zuckerberg’nin geçtiğimiz yıl laptop kamerasını ve mikrofon girişini bantlaması gündeme gelmişti. Web kameralara karşı güvensizlik bu noktada iken; kaydetme, aktarma, hareket edebilme ve kontrol edilebilme özellikleri sebebiyle ev robotları, güvenlik açığı duygusunu daha da artırmaktadır.

Bunun sonucunda hukuki ve teknik sorunlar oluşabileceği gibi etik sorunlarla da karşılaşmamız muhtemel. Örneğin, antropomorfik özelliklere sahip sosyal robotlara karşı insanlar paylaşımda bulunmaya daha meyilli olabilecektir. Bu da kişilerle ilgili bilgi toplayabilmek adına kötüye kullanımın önünü açabilir.

Hukuksal açıdan ise; örneğin, eşinin sadakatsizliğini ortaya çıkarmak isteyen bir eş, robotun verilerine başvurabilir mi? Ya da hükümetler devlet güvenliği, gizliliği gereği evin içini izleyebilir mi? gibi sorular mahremiyet ve güvenlik ile ilgili sorunlara işaret etmektedir.

Bu alanla ilgili olarak, robotik teknolojiye uygulanabilecek mevzuat ise şu şekildedir:

Avrupa Birliği Temel Haklar Şartı’nın 8. Maddesi,

2016/679/EU sayılı Tüzük,

95/46/EC sayılı Direktif,

2002/58/EC sayılı Direktif,

2009/136/EC sayılı Direktif,

45/2001 sayılı Tüzük

Yukarıda aktarılan mevzuat kapsamında, veri işlemenin süjesi olan kişinin sürece dair bütün aşama ve olaylarla alakalı olarak önceden bilgilendirilmesi, bir verinin süjesinin veri işleme sürecinin kontrolüne sahip olması ve bu sürece itiraz edebilmesinin her zaman mümkün olması şeklinde düzenlemeler öngörülüyor. Robotların veri kullanımı söz konusu olduğunda da bu düzenlemelerin aynı şekilde geçerli olacağı söylenebilir.( Çağlar Ersoy, Robotlar, Yapay Zeka ve Hukuk, sf.72,73)

Sonuç olarak, robotların sosyal hayatımızın vazgeçilmez bir parçası olması uzak bir gelecek değil. Durum gösteriyor ki, mahremiyet ve güvenlik ile ilgili hukuki düzenlemeler yapılmasına ihtiyaç duyulacaktır. Bu düzenlemeler gerekli teknik standartlar oluşturulup,  robotların sosyal boyutu da dikkate alınarak yapılmalıdır.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Makale & Analiz

Siber Güvenliğin Medyatik Blogger’ı: Brian Krebs

Yorum yapın
Krebs’in çalışma odasından bir fotoğraf

En meşhur güvenlik bloglarından biri olan ve aylık ziyaretçi sayısı 3.5 milyonu bulan krebsonsecurity.com’un sahibi 43 yaşındaki Brian Krebs, tam anlamıyla bir siber lider olmasa da, haberleriyle siber güvenlik dünyasına yön veren bir isim.

Sitesinin ‘özgeçmiş’ kısmında 1995’ten bu yana The Washington Post, The New York Times gibi oldukça tanınmış mecralarda 1.500’ü aşkın habere, 8 baş sayfa içeriğine imza attığını söyleyen Krebs, bu bilgilerin hemen ardından kendine has üslubuyla ‘ama gerçekten özgeçmişimi öğrenmek istemiyordunuz, değil mi?’ diye soruyor. Ardından bilgisayar güvenliği ile tanışma hikâyesini anlatmaya başlıyor.

George Mason Üniversitesi, Uluslararası İlişkiler bölümünden 1994 yılında mezun olan Krebs, okuduğu dönemlerde biraz programlama ile ilgilenmiş olsa da, teknik bir altyapıya kesinlikle sahip değil. Güvenlik alanıyla tamamen tesadüfen tanıştığını söyleyen Krebs’in bu merakı, 2001 yılında kendi ev ağı Çinli bir hacking grubunun saldırısına uğradığında başlamış. Bu olayın akabinde kendi eski HP sisteminde Red Hat Linux (6.2) ile denemeler yapmaya yeltenen Krebs’in çalıştığı bilgisayar, bu sefer de Lion Worm isimli bir zararlı yazılım tarafından alt ediliyor. Üst üste yaşanan iki ‘talihsizliğin’ ardından bilgisayar ve İnternet güvenliğine merak salan Krebs, bu alandaki bilgilerinin büyük kısmını dünya üzerindeki en zeki ‘geek’lerle iletişime geçerek edindiğini söylüyor.

Siber Liderler dizisindeki tüm yazılara ulaşmak için tıklayınız

Brian Krebs şu an medyatik bir blogger olsa da, aslında başarı ve ününün ardındaki sır hislerine güvenen bir araştırmacı gazeteci olması. Yazıların konusu, organize siber suç örgütleri, siber casusluk, İnternet üzerinden dolandırıcılık ve daha pek çok konuda çeşitlilik gösteriyor. 2008-2011 yıllarında üzerinde çalıştığı en önemli yazı dizilerinden birinde kuzey Kaliforniya çıkışlı yer sağlayıcı (hosting server) Atrivo’nun kapanmasına neden olan Krebs, Atrivo’nun en büyük müşterilerinden biri olan alan adı yazmanı (domain registrar) EstDomains’in başkanı Vladimir Tšaštšin’in yakın zamanda kredi kart dolandırıcılığı, belgede sahtecilik ve para aklama suçlarından hüküm giydiğini de ortaya çıkarmış. Bu haberi takiben Tšaštšin hakkında önce ICANN harekete geçerek EstDomains’i kapatırken, Estonya Hükümeti de Tšaštšin’in de arasında bulunduğu beş kişiyi DNS Değiştiren bir Trojan yardımıyla gerçekleştirilen oldukça büyük çaplı bir tıklama dolandırıcılığından (click fraud) yakalamış. 2010 yılında henüz adının Stuxnet olduğu bilinmeyen bir zararlı yazılım ile ilgili ilk haber yapan kişi olma sıfatını taşıyan Brian Krebs, yayınladığı her uzun soluklu yazı serisinde birilerini derinden rahatsız ediyor. Bu ‘birileri’ bazen azılı siber suç örgütleri bazen de ucu ulus devletlere kadar uzanabilen amansız hacker grupları olabiliyor.

Stuxnet’in perde arkası: Hedef alınan İranlı şirketler

Bu kadar göz önünde bir güvenlik araştırmacısı olmanın bedelini tam da bu nedenle fazlasıyla ödemiş biri Brian Krebs. Uğraştığı kişiler tarafından pek çok kere kimliği çalınan,  kapısına postayla eroin gönderilip, SWAT ekiplerine haber verilen Krebs, duruma hayli alıştığını söylese de, yaşadığı en travmatik olay geçtiğimiz yıl gerçekleşti. Bahsettiğim olay 2016’da, Krebs tarafından ortaya çıkarılan İsrail menşeli Çevrimiçi Saldırma Servisi ‘vDOS’un kurucuları olduğuna inanılan iki kişinin tutuklanmasının ardından yaşandı. İnternet tarihinin en büyük DDOS saldırılarından biri olan, zararlı trafik hızı 665 Gbps’a kadar ulaşan ve sonradan Mirai botnetinin kullanıldığını öğrendiğimiz saldırı, o ana dek siteye karşılıksız hizmet sunan Akamai’nin çekilmesiyle başarıya ulaşarak sitenin 3 gün boyunca kapalı kalmasına yol açtı.

AIoT saldırıları: Dün Krebs, bugün DYN, yarın?

Olayı gazetecilik hakkının elinden alınması ve susturulmak olarak nitelendiren Krebs, bu yeni trendi, ‘sansürün demokratikleşmesi’ olarak adlandırıyor. Giderek gücü daha da artan bu araçlar ve hatta ‘silahlar’ sayesinde devlet sansürünün ‘mavi kalemi ve makasına’ ihtiyaç duyulmadan karşıt fikirlere sahip birini susturmak herhangi biri tarafından mümkün hale geliyor. Krebs’in yaşadığından ders çıkararak, sayısı milyarlara, trilyonlara ulaşan savunmasız İnternet’e bağlı cihazların varlığı düşünüldüğünde, bu cihazların güvenlik açıklıklarıyla beslenen büyük bot ağlarının ileride asimetrik bir savaş unsuru olarak kullanabileceğini bir an önce görmemiz gerekiyor.

 

Makale & Analiz

Siber güvenlik yasa tasarısı ne kadar yeterli olabilir?

Yorum yapın

Devletlerin kalkınması ve ekonomik refahın sağlanmasında ulusal güvenliğin öneminden dolayı, artık güvenlik denince akla sadece askeri çözümler ve önlemler gelmemekte, siber alana dair tedbirler de ön plana çıkmaktadır. Özellikle kamu güvenliğinde siber güvenliğin sağlanmasına yönelik tedbirler günümüz dünyasında daha fazla önem arzetmektedir.

Bu kapsamda bizler de güvenlik politikalarında karar alıcılara mümkün olduğunca fikir, öneri ve tavsiyelerde bulunmalıyız. Özellikle ülkemizin siber güvenlik stratejilerinin gözden geçirilerek, birçok devletin milli güvenlik belgelerinde ön sıralarda yer verdiği siber güvenlik alanında kapsam, hedefler, öncelikler, organizasyon yapısı, kaynak tahsisi, Ar-Ge (Araştırma ve Geliştirme) koordinasyonu, kamu-özel sektör iş birliği, eğitim gibi başlıklarda çözümler sunulması gerektiğini düşünüyorum.

Bu noktada Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nın hazırladığı “Siber Güvenlik Yasa Tasarısı”nın ayrıntılarını tartışmanın olumlu olacağına inanıyorum. Tasarıya göre Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile SOME’lerin işlevinin yasa ile daha da artırılması öngörülürken, etkin denetim, sır saklama yükümlülüğü, siber olaylara müdahale ekiplerinin görevleri, operasyon merkezleriyle Kamu-Net uygulamalarına ilişkin usul ve esasları barındırmakta ve siber saldırılara karşı güvenlik açıklarını kapatmayan şirketlere de çeşitli yaptırımlar uygulanacağı belirtilmektedir.[1] Peki bu yasa tasarısı, TBMM tarafından kanunlaştırıldığında, günümüz siber dünyasında gerçekleşen olayları ve saldırganları göz önüne aldığımızda ne kadar yeterli ve geçerli olabilir?

İlk olarak, organizasyon ve yapılanma açısından bir değerlendirme yapalım. Türkiye’de siber güvenliğe dair bu kurumlar, siber güvenliğin asayiş ve hukuki boyutuna odaklanmış ve siber savaş boyutunu Türk ordusuna bırakmışlardır. Bunun ana istisnasını Türkiye’nin siber güvenlik mimarisinin kurumsallaştırılması sürecinin her boyutunda, güvenilir yerli yazılım ve donanımların geliştirilmesi için çalışmakta ve dolayısıyla ordu ile yakın ilişki içerisinde faaliyet göstermeye devam eden araştırma kurumları oluşturmuştur.

TSK, Bilgi Teknolojileri ve İletişim Kurumu (BTK), Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK), Ulaştırma, Denizcilik ve Haberleşme Bakanlığı(UDH), Milli İstihbarat Teşkilatı Müsteşarlığı, Emniyet Genel Müdürlüğü ve Jandarma Genel Komutanlığı, AFAD ülkemizde siber güvenlik politikalarını uygulamak, yönetmek ve takip etmekten sorumlu kurumlar olarak karşımıza çıkmaktadır. Peki bu kurum ve kuruluşlar arasında koordinasyon ne derece sağlanmaktadır? Kendilerine verilen vazifelere ilave olarak siber güvenlik konularında ne kadar başarılı olabilirler? Elbette ilgili kurum çalışanları ve yöneticileri mümkün olduğunca gayretli çalışmaktadırlar. Fakat bu faaliyetlerin icrası, tehditlerin değerlendirilmesi, ülkenin bilgi güvenliği politikalarının tayin edilmesi ve uygulanması ile ulusal bilgi güvenliği politikalarında yapılması önerilen değişikliklerin değerlendirilmesinden de sorumlu olacak bir Ulusal Bilgi Güvenliği Kurumu’nun kurulması değerlendirilebilecek gündem maddeleri arasında yer alabilir.

İkinci olarak, özellikle siber dünyada güvenliğin ilk olarak farkındalıkla başlayacağına inananlardan olduğumu belirtmek isterim. Çünkü siber saldırıları gerçekleştirenler yeni yöntemler ve araçlar geliştirmektedir. Buna ilave olarak çeşitli aktörlerin yoğun faaliyetleri ile mücadele etmek zorunda kalan Türkiye’nin, artan düzeyde bir siber suç dalgasına maruz kaldığı anlaşılmaktadır.[2] Bu kapsamda kamu kurumlarımızın, özellikle Ulaştırma, Denizcilik ve Haberleşme Bakanlığı(UDH), Milli Eğitim Bakanlığı(MEB) ve İçişleri Bakanlığının, internetin güvenli kullanımı alanında en iyi uygulama kuralları konusunda farkındalığa yönelik eğitim, seminer, konferans vb. etkinlikleri arttırmaları gerekmektedir. Ayrıca, bu konuların yasa taslağına dahil edilmek suretiyle düzenli ve yaptırım içeren kurallarla belirtilerek ele alınması halinde fayda sağlayacağı düşünülmektedir.

Üçüncü olarak, bazı meselelerin siyasallaştırılması Türkiye’nin siber alandaki kabiliyetlerini geliştirme arzusunu zorlaştıran bir etken olmuştur. Önemli taslak yasaların çıkarılamaması ve çeşitli kurumlarda beşeri sermayenin ciddi boyutta kaybedilmesi buna örnek teşkil etmektedir. Yasa taslağı içeriğinde siyasi hedeflerden ziyade bilimsel ve teknolojik açıdan birlik-beraberlik sağlayarak ulusal güvenlik çıkarları ön planda tutulmalıdır. Aksi takdirde, bunların neticesinde Türkiye, siber güvenlik alanındaki hazırlıkları itibariyle, belli başlı müttefikleri ve hatta hasım devletlerin gerisinde kalmaya devam etmeye mahkumdur. Özellikle siber güvenliğe yönelik teknolojiler dışardan hizmet alarak değil kendi sınırlarımız içerisinde ve kendi insan gücümüzle geliştirilmelidir aksi takdirde ülke sınırlarımız düşmana teslim edilmiş olmaktadır.

Netice olarak, siber uzay genişleyip geliştikçe ülkemizde vatandaşlarımızın bu alana bağımlılığı artmaktadır. Dünyanında çoğu ülkesinin siber uzaya taşınmasıyla konu küresel bir güvenlik sorunu haline gelmiştir. Bizlerin de dünyada olup bitenden haberdar olup, ulusal çıkarlarımız ile çatışan bir durum söz konusu olduğunda duruma müdahale etme refleksi ile hareket etmemiz zorunlu hale gelmiştir. Bu kapsamda devletimizin çeşitli mekanizma ve kademelerinde görev yapan karar alıcıların yukarıda belirtilen hususları dikkate almalarının ulusal güvenlik ve ülkemizin siber güvenliği açısından faydalı olacağı değerlendirilmektedir.

[1] http://www.milliyet.com.tr/zorunluluk-geliyor-tum-sirketler-ekonomi-2522944/

[2] Hakan Hekim ve Oğuzhan Başıbüyük, “Siber Suçlar ve Türkiye’nin Siber Güvenlik Politikaları”, Uluslararası Güvenlik ve Terörizm Dergisi, Cilt 4, Sayı 2, 2013, s.135 – 158

Siber Bülten abone listesine kaydolmak için doldurunuz

Makale & Analiz

STM siber güvenlik ekosistemi için kolları sıvadı

Yorum yapın

STM Akademi’nin ODTÜ Teknokent işbirliğiyle düzenlediği, kapalı bir etkinlik olan Siber Güvenlik Ekosisteminin Yenilikçi Çözümlerle Geliştirilmesi Çalıştayı, STM’nin yanısıra farklı şirketlerden de konuşmacıları bir araya getirdi.

Odağında etkin bir siber güvenlik kümelenmesi yaratma ve ekosistemi ileri götürecek adımların atılması gibi konular işlenen etkinlikte ilk söz alan, SSM Siber Güvenlik ve Elektronik Harp Daire Başkanı Sami Ulukavak, bu odaktan hareketle SSM olarak her iki konuda da ne kadar çaba sarf ettiklerini vurguladı.

Kendisini en son Nisan ayında dinlediğimde bu alanda üç çalıştayı takiben bir uluslararası konferans olacağına dair önemli bir yol haritası çizen Ulukavak, geçen süre içerisinde bu hedef kapsamında hayata geçirdikleri iki önemli çalıştaydan bahsetti.

Ağustos ayında siber güvenlik özelinde çalışan akademisyenleri bir araya getiren çalışmayı takiben, geçtiğimiz ay BTK’da kamu kurumlarından katılımcıları buluşturduklarını belirten Ulukavak, 23 Ekim’de İTÜ Teknopark’ta bu çalıştayların sonuncusunun düzenleneceğini belirtti. Bütün bu çalıştaylardan kümelenmenin ne şekilde olması gerektiğine dair toplanan verilerin, 27-28 Kasım tarihinde Ankara’da düzenlenecek olan, 3. International Cyber Warfare and Security Conference (ICWC): Strengthening the Cybersecurity Ecosystem and Cybersecurity Cluster başlıklı konferansta sunulacak olması, somut ve istikrarlı adımların atılıyor olduğunu görmemiz açısından oldukça önemliydi.

Etkinliğin ev sahiplerinden biri olan, STM Siber Güvenlik ve Büyük Veri Direktörü Dr. Emin İslam Tatlı, konuşmasına Türkiye’deki siber güvenlik piyasasının odağında yerli ürün ve yazılım üretmek olduğunu belirterek başladı. Tam da bu nedenle pazarda kendini tekrar eden pek çok ürün olduğunu söyleyen Tatlı, yerli ürün üretmeye çalışırken yeni teknolojileri göz ardı etmemek gerektiğini ısrarla vurguladı.

Saldırı yüzeyinin sürekli arttığı bir dönemde olduğumuzu hatırlatan Tatlı, IoT’nin yükselişini, İHA’ların kullanımını ve giderek sayısı artan otomatize cihazların varlığını bunun en temel sebepleri olarak sıraladı. Tatlı, geldiğimiz noktada siber güvenliğin çözüm bulması gereken en büyük sorunlardan birinin username/password meselesi olduğunu da dile getirdi.

Çalıştayda söz alanların bahsettiği pek çok veriyi sunumunda görselleştiren Logo Siber Güvenlik ve Ağ Teknolojileri Genel Müdürü Dr. Murat Apohan, siber güvenlik kapsamındaki önemli yatırım alanlarını UX (user experience), Bulut ve NFV olarak değerlendirdi. Siber güvenlik alanında çok iyi kullanıcı deneyimi yakalamanın oldukça zor olduğunu kaydederken, yükselen değerler olan Bulut ve ağ fonksiyonlarının sanallaştırılması yani NFV teknolojilerinin giderek daha fazla karşımıza çıkacağını belirtti.

Black Hat 2017’de Marina Krotofil tarafından sunulan, endüstriyel bir su pompasının su basıncını değiştirerek bozulmasını konu alan “Evil Bubbles” isimli oldukça güncel bir hacking denemesinden de bahseden Apohan, yeni dönemde hackerların endüstriyel sistemlerin hiç bilinmedik açıklıklarını, bilinmedik şekillerde kullanarak beklenmedik zararlar yaratabileceğinin altını çizdi.

İkinci oturumdaki panelin benim için en öne çıkan ismi, şimdiye kadar ilk defa dinleme imkânı bulduğum Bilkent Üniversitesi hocası ve DataBoss kurucusu Doç. Dr. Serdar Kozat’tı. Yapay zekanın bir “hype” haline geldiğini konuşması boyunca yineleyen Kozat, ufak bir classification algoritmasını bile çalıştırmanın yıllar sürdüğünden, 20 yıllık bir geçmişi olan Google Translate uygulamasının ancak son birkaç yıldır düzgün çalışmaya başladığından, yapay zeka alanında hedeflenenlere ulaşılması için aşılması gereken pek çok teknik sorun olduğundan bahsetti. Kozat, en büyük alıcının devlet olduğu Türkiye pazarında yeterince kaynak olmadığını, tek alıcılı sistemin firmalar arasındaki rekabeti olumsuz etkilediğini vurguladı.

Yerli pazarda bir sürü ürün olmasına rağmen, yeterli test ortamının olmadığına dikkat çeken Kozat, fiziksel kümelenme modeliyle bu tarz bir sorunun önüne geçebileceğini söyledi.  Yurtdışına giden iyi öğrenciler kadar, kalan iyi öğrenciler de olduğunu belirtmesi bu konudaki yanlış algının aşılması açısından kanımca oldukça önemliydi. Kalan pek çok yetenekli öğrenci olduğunu, bu öğrencilerin uygun yönlendirme ve kaynak dağıtımıyla büyük işler başarabileceğini duymak eminim salondaki insanlar için umut verici olmuştur.

Son olarak TOBB ETÜ ve Securify adına katılan Prof. Dr. Kemal Bıçakçı’nın STM’nin düzenlediği Capture the Flag yarışmasına benzer bir başka yarışmadan bahsetmesi kayda değerdi. Amerika’da DARPA öncülüğünde ulusal çapta düzenlenen Cyber Grand Challenge’a değinen Bıçakçı, bu yarışmanın tamamı makine (all-machine) bir siber hackleme turnuvası olduğunu kaydetti.

Yarışma sırasında en iyi takımların geliştirdiği Cyber Reasoning System (CRS), otomatik olarak yazılım açıklıklarını keşfediyor, sunucularını koruyor ve ağı olası açıklıklara karşı tarıyor; takımlar sistemlerinin bu kriterleri ne ölçüde yerine getirdiğine göre puanlanıyor. Yarışma sonucunda ilk üç takıma verilen ödüller ise 2 milyon dolar, 1 milyon dolar ve 750bin dolar gibi dudak uçuklatıcı rakamlar. Türkiye henüz böyle teşvikleri sunmaktan uzak olsa da, dünyada neler olup bittiğini yakından takip eden özel sektör, akademi ve kamu çalışanlarının varlığı olumlu sayılabilecek bir başlangıç.

Siber Bülten abone listesine kaydolmak için doldurunuz

Makale & Analiz

Siber güvenlik stratejisinin 17. maddesi dile gelse de konuşsa…

1 Yorum

Türkiye siber güvenlik stratejisini açıklayalı yaklaşık bir buçuk yıl oldu. 2016-2019 yılları için hazırlanan stratejide belirtilen hedeflere ulaşmak için verilen zamanın neredeyse yarısı doldu. Hangi adımların atıldığı konusunda açık kaynaklarda net bir bilgi bulunmuyor. Böyle bir bilgi yoksunluğu ise bizi hayal gücümüzü kullanmaya itiyor.

Mesela ‘Stratejik Siber Güvenlik Amaçları ve Eylemleri’ başlığının 17. maddesinde bahsedilen ‘proaktif siber savunma yeteneklerinin geliştirilmesi’ ne ola ki diye düşünüyoruz. Bahsedilen yetenekleri geliştirmenin yollarından biri herhâlde ‘siber tatbikat düzenlenmektir’ deyip başlıyoruz araştırmaya…

İlk örnek Polonya’dan, ülkedeki siber güvenlik farkındalığını artırmak için kurulan Siber Güvenlik Derneği, enerji, finans ve telekomünikasyon sektörlerinde siber tatbikatlar düzenliyor. 2012’de ilk tatbikatını enerji sektöründe yapan dernek faaliyetlerini genişleterek 2015’de finans sektöründe maliye bakanlığının da katıldığı en geniş siber tatbikatını düzenledi.

Sektörel bazda takdire şayan bir başka örnek ABD’den. HITRUST Alliance adlı kar amacı gütmeyen kuruluş, sağlık sektöründe siber tehditlere karşı önlem almak ve yöneticileri karşılaşılacak siber krizlere karşı hazırlıklı hale getirmek için düzenli tatbikatlar düzenliyor. Anladığım kadarıyla ‘her şeyi devletten beklemek olmaz’ diyerek yola çıkan kuruluş üyeleri arasında siber tehditler konusunda bilgi paylaşımı da gerçekleştiriyor.

Avrupa’ya geri döndüğümüzde karşımıza Yunanistan çıkıyor. Yunan Savunma Bakanlığının özel sektör ve kamunun katılımıyla 2010 yılından bu yana düzenlediği Panoptes siber güvenlik tatbikatını diğerlerinden ayıran önemli bir özelliği var. Özel sektörden sadece kritik altyapı temsilcileri değil, iş dünyasının değişik aktörleri -mesela bir tekstil holdingi- de tatbikata katılabiliyor. Bu sayede tecrübe paylaşımını hedefliyorlar. Yunan Genelkurmayının liderliğini yaptığı insiyatifin amaçlarından biri de ‘ülkedeki siber uzmanları bir veri tabanında toplamak ve gerektiğinde operasyonel hale gelecek siber birimlerin oluşmasını sağlamak’ yani bir siber kriz anında devreye girecek siber milis birlikleri…

Örnekler çoğaltılabilir ama Lockedshileds’den bahsetmeden olmaz. CCD COE tarafından her sene daha başarılı şekilde düzenlenen tatbikatın bu seneki basın brifinginde bazı şirketlerden özellikle bahsedilmesi dikkat çekti: Threod Systems, Cyber Test Systems, Clarified Security, Iptron, Bytelife, BHC Laboratory.

Birçoğu Estonya merkezli olan bu şirketlerin (sitemizin takipçilerinin bildiği üzere CCD COE Estonya’dadır ve bu ülkenin girişimiyle kurulmuştur) NATO’nun en geniş çaplı siber tatbikatının düzenlenmesinde yer almalarının onlara küresel bir görünüm kazandıracağından şüphe yok. Başarılı bir ekosistem. Siyasi liderlik bir NATO merkezinin kurulmasına ön ayak oluyor. Siber güvenlik şirketleri ile birlikte çalışan merkez hem tatbikatı onlarla birlikte hazırlıyor hem de Eston şirketler NATO vitrinine çıkmış oluyor. NATO demişken, İttifak’ın siber güvenliğin dahil olduğu iki büyük tatbikatı daha var: Cyber Coalition ve Crisis Management Exercise (CMX)

Tren kaçmak üzere ama henüz kaçmış değil. Peki, Türkiye’deki siber güvenlik şirketleri ile devlet birlikte bir siber güvenlik tatbikatı düzenleyemez mi?

Ankara’nın geçen yıl yayınladığı strateji belgesindeki hedeflere ulaşması sadece kamu kaynaklarıyla zor gözüküyor. İlk adım olarak siber tatbikat konusunda özel şirketler ile ortak adım atılması, hatta tüm organizasyonun ve altyapının işletilmesinin şirketlere devredilmesi çok önemli bir adım olarak değerlendirilmeli. Orta vadede Türk şirketlerinin düzenlediği ulusal bir siber tatbikatın uluslararası boyuta taşınması ürün geliştiren siber güvenlik firmalarımızı yabancılarla buluşturacak etkili bir platforma dönüşmesini sağlaması işten bile değil.

Kısa not: Hollanda ve İngiltere gibi ülkelerin aksine, Türkiye’de açıklanan stratejinin üzerinden makul bir süre geçtikten sonra kaydedilen ilerleme ile ilgili bir bilgilendirme yapılmadığı için stratejide belirtilen hedeflere ne kadar ulaşıldığını bilmiyoruz. Ayrıca son açıklanan stratejinin eylem planı da henüz kamuoyu ile paylaşılmadığını da eklemek gerek.

Siber Bülten abone listesine kaydolmak için formu doldurun