Kategori arşivi: Makale & Analiz

Siberbülten siber güvenlik ile ilgili haberlerin bulunduğu bir site olmanın dışında, siber güvenliğin sosyal bilimler ile kesişme noktalarındaki konularla ilgilenen akademisyen, öğrenci ve araştırmacılar için bir yayın platformudur. Bu bölümde siberalan ve siber güvenliğin uluslararası hukuk, uluslararası ilişkiler, strateji, güvenlik ve siyaset bilimine ile ilişkisi ve yansımaları ile ilgili blog tarzı yazılar ve derin analizler bulabilirsiniz.

Makale & Analiz

Türkiye’nin siber güvenlik yönetişimine dair bir Rum torunundan mülhem tavsiyeler

Yorum yapın
James Stravridis, NATO’nun siber alanı muharebe alanı olarak tanımlamasında liderlik yaptı.

Siber güvenlik ile ilgili okuyup yazmaya yeni başladığım zamanlar ‘Acaba bu konuyu ben mi abartıyorum?’, ‘Aslında sandığım kadar kritik bir mesele değil mi?’ diye şüphe dolu düşünceler zihnimi meşgul ederdi. Kopenhag Okulu bakış açısıyla siber alanın ‘güvenlikleştirilmesi’ (securitization) süreci üzerine çalışırken NATO’nun başlı başına siber alanı askerileştirmesini (militarization), güvenlikleştirme sürecinin ilk adımı olarak kabul eden çeşitli makalelere rastlamıştım. O zamanlar NATO Kuvvetler Komutanı olan James Stravridis (Dedeleri Anadolu’dan göç etmiş Rumlardandır) emekli olup görevden ayrılmadan önce siber güvenliği İttifak’ın öncelikleri arasına katma konusunda attığı adımlar ve veda konuşmasında siber alanın güvenliğine dair vurgusu şüphelerimi dağıtmaya yetmişti.

İki hafta önce Foreign Policy dergisinde emeklilik günlerini Tufts Üniversitesi bünyesindeki Fletcher School of Law and Diplomacy bölümünün dekanlığını yaparak geçiren Stravridis’in ABD’nin siber güvenlik stratejisine dair önemli bir yazısı yayınlandı. Eski komutanın stratejiyi hedef alan eleştirileri, Türkiye’de şikayet edilen konuların neredeyse hepsinin aslında dünyada da çözülemediğini gösteriyor. Bu yüzden son zamanlarda sıklaşan siber güvenlik eğitimleri kadar siber güvenlik yönetişimine dair de ciddi mesai ayrılmalı ve akademik çalışmalar düzenlenmelidir. Bu açıdan eski NATO komutanına kulak vermekte fayda var.

  1. Stravridis’in eleştirilerinin başında siber güvenlik ile ilgili kurumların daha iyi bir şekilde organize edilmesi bulunuyor. FBI, NSA ve Anayurt Güvenliği siber güvenlikte başı çeken kurumlar. Görünüşte bir koordinasyon olsa da siber güvenlikle ilişkili 6 farklı merkezin hiçbiri liderliği üstlenmiyor. Stravridis’e göre daha da kötüsü ‘tarım ve ulaşımla ilgili bakanlar olmasına rağmen kabinede siber güvenlikle ilgili tek bir ses yok.’ Türkiye’deki durumda AFAD’dan TSE’ye kadar birçok kurum siber güvenlik filinin bir tarafını tutmuş gözüküyor, lakin iyi niyetli bu gayretlerden daha verimli sonuçlar alınması için yönetişim şart.
  1. Amerikalı komutan orduda derhal bir ‘Siber Kuvvetler Komutanlığının’ tesis edilmesini öneriyor. Mevcut Siber Komutanlık altında yer alacak bu birimde ilk etapta 5-10 bin kişi istihdam edilmesi ve merkezinin Silikon Vadisi’nde bulunması gerekiyor. ABD’nin şimdiki ‘siber ordusunun’ toplama bir ekip olduğunu eleştiren Stravridis, tamamen kendini bu konuya vakfetmiş kadroların toplanmasının acil ihtiyaç olduğunu söylüyor. Genelkurmay Başkanlığı bünyesinde Siber Savunma Komutanlığı’nda eminim çeşitli çalışmalar yapılıyordur. Sitemizin dikkatli takipçileri arasında yer alan subaylarımızın gözünden kaçmaması için Stravridis’in orijinal bir önerisini buraya ekliyorum: “Oluşturulacak siber kuvvetin çalışma mantığı Sahil Güvenlik gibi olabilir çünkü hem kolluk kuvveti hem de silahlı kuvvet gibi operasyon yapabilme yetki ve kabiliyetine sahipler.” Böylece siber suçlarla mücadele ederken kazanılan teknik tecrübe uluslararası siber çatışmalarda kullanılabilir. Günümüzde özel şirketlerin giderek daha fazla politik hedef haline geldiği düşünülürse, Türkiye için de uygulanabilir bir öneri gibi duruyor.
  1. Stravridis ABD’de yıllardır tartışılan NSA ve Siber Komutanlığın ayrılmasını da listeye eklemiş. Görevlerin farklı olması ve kontrol edilecek yetkilerin genişliği bir kişinin taşıyabileceğinden fazlasını içerdiği için böyle bir kanıya varmış eski komutan. Türkiye’nin siber yönetişimi için böyle bir sorun henüz bulunmuyor.
  1. Güçlü bir kamu özel sektör iş birliği Stravridis’e göre de şart. Sanırım komutanı Savunma Bakanlığının Silikon Vadisinde bir ofis açması kesmemiş ki daha fazlasını istiyor. Türkiye’de geleceğe yönelik umut verici haberler geliyor. Bu sene ülkemizin katılmadığı Lockedshields’te geçen sene Türkiye içerisinde bir özel şirketin de bulunduğu ekip ile yer almıştı. Siber güvenlik stratejisinin gerçekleştirilmesinden, BotNet çökertme operasyonlarına kadar kamu özel sektör iş birliği görülüyor. Bu iş birliğinin istihdam konusunda da yeni bakış açılarıyla genişletilmesi Türkiye gibi siber güvenlik uzmanı ciddi seviyede olan bir ülke için ihtiyaçtan da ötesi.
  1. Bu madde adeta ciğerleri dağlıyor: Eğitim. En zayıf halka insan deyip duruyoruz, ama ne yapıyoruz? Siber güvenlik eğitimini uzmanlık eğitimi ve farkındalık eğitimi olarak ikiye ayırıp ‘Ben sızma testi eğitimi değil, ortaokul çocuklarına farkındalık eğitimi vereceğim.’ diyen bir babayiğit STK çıkmasını umuyoruz artık. Stravridis de der ki, ‘Güçlü parolalar, oltalama saldırılarına karşı uyanıklık gibi önlemler zafiyetlerimizi önemli ölçüde azaltacaktır.’
  1. Son madde siber caydırıcılık ve taruzi siber operasyonların çerçevesini belirleyecek olan doktrin, siyasa ve stratejinin oluşturulması ile ilgili. Siber silahlar evrilerek çoğalıyor ve siber tehditler ulusal güvenliği daha fazla hedef alıyor. Buna karşı koyacak strateji sadece ‘Siber güvenlik ulusal güvenliğin bir parçasıdır’ ifadesini tekrarlamak olmamalı. ‘Türkiye’nin siber caydırıcılığını nasıl ölçümlemeliyiz?’, ‘Bu konudaki iletişim stratejisi nasıl olmalı?’, ‘Uluslararası örgütler, antlaşmalar ve BM nezdindeki çalışmalarda Türkiye nasıl bir rol oynamalı?’ gibi soruların cevapları bugün düşünce merkezlerinin öncelikli soruları arasında yer almalı.

 

 

 

Makale & Analiz

100 binde 1 ihtimal: Bilinmeyen Twitter kullanıcıları nasıl bulunur? Cevabı Locard’da

Yorum yapın

11 Mayıs’ta hem İstanbul’da hem de Ankara’da iki önemli siber güvenlik etkinliği düzenlendi. Türkiye’nin ve bölgenin DefCon’u olma yolunda hızla  ilerleyen NopCon ile Ankara’da BTK’nın ev sahipliğindeki Locard Global Siber Güvenlik Zirvesi’nde siber güvenliğin farklı boyutları yerli ve yabancı uzmanlar tarafından değerlendirildi.

Her ne kadar Locard’ın sloganı “Are you safe?” olarak belirlenmiş olsa da, etkinliğin en göze çarpan eksikliği, seçilmiş belirli bir temaya sahip olmamasıydı. Bu durumun en belirgin yansıması, her biri alanında oldukça başarılı olan konuşmacıların sunum konuları arasındaki akışın kopukluğuydu. Tüm programa yer vermek her ne kadar mümkün olmasa da, yazının devamında dikkatimi çeken konuşmalara değinmeye çalışacağım.

Alışıldık sunumlardan farklı olarak pratiğe dayalı bir konu seçen İbrahim Baliç, sunumunda, devletlerle işbirliği konusunda her zaman eşit davranmadığı bilinen Twitter’dan bilgi almadan da bir kullanıcıyı bulabilir miyiz sorusuna cevap aradı. “Şifremi Unuttum” başlığına tıkladıktan sonra karşımıza çıkan hatırlatma seçenekleri arasında paylaşılan kayıtlı telefonun son iki hanesi ve statik bir veri içeren “method hint” bilgileriyle bu arayışa başlayan Baliç, 100 bin ihtimalin arasından istenen telefon numarasını, 45 satırlık ufak bir script aracılığıyla nasıl bulduğunu anlattı. Her ne kadar Baliç, sunumunda bu süreci ustalıkla açıklasa da, dinleyen kişiler arasında eve dönüp, aynı el çabukluğuyla bu veriye ulaşan olduğuna inanmak güç 🙂

Geçmiş etkinliklerden aşina olduğum ve BTK’yla yakın olduğu her halinden belli olan EnigmaSec CEO’su Igor Lukic, sunumunda bir CEO’yu nasıl hackleyebilirsiniz sorusuna cevap aradı. Lukic, özellikle kendi cihazlarını kullanmaya meyilli olan, bu bilgisayarları “admin” haklarıyla kullanan, sürekli hareket halinde ve kamunun göz önünde olan, 3ncü parti uygulamaları sıklıkla kullanan ve hediyeleri seven CEO’ların, siber alanda aslında oldukça savunmasız olduklarını söyledi.

Lukic’in bahsettiği bu savunmasız hal, yüksek mevkili insanları hedef alan, “whaling” yani Balina avcılığı olarak adlandırılan özel oltalama (phishing) saldırılarıyla suiistimal ediliyor.  Bu yöntemi kullanan saldırganların yalnızca sosyal medya analizleriyle bile seçilen şahsın uyku düzenini, bulunduğu konumu, hoşlandığı/hoşlanmadığı şeyleri ve daha pek çok normalde şahsi sayılacak bilgiyi ortaya çıkardığı biliniyor. CEO’ların Excel kullanmayı sevdiğini ve Excel’in hedefli oltalama saldırılarına en imkan veren uygulamalardan biri olduğunu kaydeden Lukic, bu saldırıları mümkün kılan diğer fiziksel oyuncaklardan da bahsetti. Bu oyuncaklar arasında isimlerine aşina olduğumuz Poisontap (cookieleri çalıyor, iç router’ı savunmasız bırakıyor ve kitli bilgisayarlara arka-kapı bırakıyor), Rubberduck (44 dolarlık bir USB üzerinde olan bu yazılım ile herhangi bir bilgisayarın klavyesini ele geçirmeniz mümkün – bütün şifreler, yazışmalar, vb.) ve LAN Turtle’ı (USB Ethernet Adaptörü gibi gözüküp, uzaktan erişime ve Man-in-the-Middle saldırılarına imkan tanıyor) saymak mümkün.

Değinmek istediğim son konuşmacı olan CounterCraft şirketinin CEO’su David Barroso, en ilgimi çeken sunumlardan birini gerçekleştirdi. Konuşmasında, hedefli saldırılarda saldırganları gerçek-zamanlı aktif bir yanıt sistemiyle kandırma, otomatik karşı-istihbarat kabiliyetleri geliştirme konularından bahseden Barroso, temel yaklaşımlarının karşı-istihbaratın taktiksel olarak kullanılması olduğunu belirtti. Büyük şirketlere saldıranları sahte bilgisayarlar, yanlış veriler ve sahte kimlikler üzerinden aktif olarak manipüle ettiklerini söyleyen Barroso’nun sunumu, bir çok yönüyle “sıradışı” ya da “kutunun dışında” (out- of-the-box) düşünce yapısını benimsemedikçe güçlü bir güvenlik ortamı yaratmanın bir hayal olduğunu bir kere daha hatırlattı.

Kanımca bu tarz yaklaşımların temel amacı, size saldırana geri saldırmaktan ya da saldırı ihtimalin tamamen ortadan kaldırmaya çalışmaktan ziyade, size saldıranın saldırı yollarını aksatmak/akamete uğratmak olmalı. Bu sayede savunma yollarını hücuma dönüştürebilmek de mümkün hale gelebilir. Klasik devlet/kurum yapıları karşısında sürekli gelişen ve güçlenen asimetrik ve alışılmadık tehditler,  önümüzdeki dönemde bu ve benzeri düşmanları yönetmeye, davranışlarını çok iyi gözlemleyip manipüle etmeye imkân tanıyacak “asi” yaklaşımların benimsenmesini zorunlu kılacağa benziyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
Makale & Analiz

Beklentilerin Üstünde Bir Siber Saldırı; “Wannacry”

1 Yorum

12 Mayıs 2017 itibariyle etkinliğini hissettiren “Wannacry” fidye yazılımı (ransomware) ya da kendi içerisinde daha karışık özellikleri barındıran siber saldırı küresel bir sorunun tekrar gündeme taşınmasına sebep olmuştur. Siber saldırıların beklenmedik travması, hissettirmediği boyutlarıyla nasıl küresel bir soruna dönüştüğünü gözler önüne serdi.

Başta Çin, Hindistan ve Rusya olmak üzere; ABD’den İngiltere’ye kritik altyapıları da sarsan geniş etki 104 ülkede etkisini şimdiden göstermeye başladı. 2010 yazında, 500 kilobyte genişliğindeki Stuxnet de hedef aldığı İran’da 15’den fazla büyük merkezi etkisi altına alırken genişlediği alan dünyanın birçok ülkesinde sorunlara neden oldu ve Stuxnet hala aktif. Wannacry gibi geniş etkili saldırıların aktif kalması da uzun bir süre dahilinde mümkün.

Etki alanını beklenmedik şekilde genişletebilen bu türden saldırılar Britanya örneğinde olduğu gibi sağlık ve güvenlik sistemini derinden etkileyebilmekte. Kritik altyapıların bağlı olduğu siber alan her düzeyde ülkeler adına tehlike sinyallerini benzer saldırılarla gözler önüne sermişti. Daha önce değerlendirdiğim devletler adına siber ittifakların yönü tam da burada devreye giriyor. Özellikle konvansiyonel, nükleer silahların ortaya çıkışında harcanan emek ve zaman bu sistemleri yöneten altyapıları daha da önemli hale getiriyor. Devletlerin samimiyetleri “Wannacry” gibi yazılımların azmini ya da ortaya çıkışını engelleyebilir.

Wannacry saldırısının başladığı süre itibariyle devletlerin siber alandaki sorunlara ilişkin şikayetleri kısa sürede bir hayli kabarmış durumda. Dikkat edilesi noktalardan birisi de saldırılar sonrası yaşanan zararlara ilişkin devletlerin yapabildiği tek şeyin uluslararası medyayla paylaşabildikleri ve çaresizlik. Britanya gibi birçok ülkede, başta sağlık sistemleri olmak üzere yazılımın verdiği zarar bu fidye yazılımın talep ettiği maddi büyüklükle de daha karmaşık bir hal alıyor. Farklı fiyat aralıklarıyla talep edilen bilgi iadesi özellikle Avrupa ülkeleri ve Rusya’da başdöndürücü boyutlara iki gün içerisinde ulaşmış durumda.

Europol’ün siber suçlarla mücadele birimi European Cybercrime Centre, özel şirketlerle soruna ilişkin ciddi bir iş birliğine gidildiğini açıklaması ise uluslararası ilişkilerde siber saldırıların devletler arasında hala bir hassasiyet oluşturmadığını ortaya koyuyor. Theresa May’in saldırılar sonrasında kapalı kapılar ardından yürüttüğü düzey yine bu konudaki samimiyetsizliğin bir sonucu. Britanya’da kısa süreli de olsa ciddi bir kaosa dönüşen süreç devletlerin bu konuda zincirleme bir etkide olduğunu ispatlamıştır.

Ekonomi Bakanları ve Merkez Bankaları yöneticilerinin bir araya geldiği İtalya’daki toplantılar farkındalığın saldırı sonrasında aktive edildiğini de açık ve net bir şekilde göstermektedir. Özel güvenlik şirketlerinin siber saldırıları etkisinin çok daha farklı boyutlarıyla Microsoft işletim sistemleri üzerinde etkili olmaya devam edeceği vurgusu önemli bir parantezdir. Bu konuda birçok uzmanın dünyanın gördüğü en etkili fidye yazılımı tespiti bu durumu desteklemektedir.

Saldırıların oluşturulduğu iki gün itibariyle 1.5 milyon bilgisayarın etkilendiği düşünülecek olursa gelecek haftalarda etki alanının genişleyeceği beklenilebilir. Özellikle finansal şirketlerin ciddi bir tehlike altında olduğunun ayrıca altını çizmek gerek. Bu konuda ciddi bir girişimi başlatması gereken ülkelerin başında ise Rusya gelmekte. Rusya İçişleri Bakanlığı’nın da bu saldırılardan önemli bir şekilde etkilendiği göz önüne alınırsa gerek maddi, gerekse siyasal anlamda bir takım sorunlar yaşanabilir. Rusya’nın bu konudaki sessizliğinin de dikkatle izlenmesi gerekiyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
Makale & Analiz

Siber Güvenliğe “akademik” bir dokunuş: BÜSIBER

Yorum yapın

Siber güvenlikte bir ekosistemin oluşturulması ve tüm paydaşların efektif bir koordinasyon ile beraber çalışması gerekliliği hem stratejik hem de taktik düzeyinde dile getirilen bir husus. Bu ekosistem içerisinde de, yetişmiş insan kaynağı açığını kapatacak hem de asıl “teknoloji” ve AR-GE tarafındaki ihtiyaçları karşılayacak olan aktör dendiğinde akla ilk gelen kurum üniversiteler.

Bu bağlamda, BUSİBER -Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Siber Güvenlik Çalışmaları Merkezinin- özellikle son dönemde hız kazanan faaliyetleri oldukça göz doldurucu. BUSİBER, Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Bölümü öğretim üyesi Doç. Dr. Bilgin Metin’in girişimciliği ve İstanbul Kalkınma Ajansının destekleriyle hayata geçirilmiş ve siber güvenlik alanının gerektirdiği özel uzmanlaşma ve odaklanmayı sağlamak amacıyla kurulmuş bir proje.

BUSİBER, rutin olarak sürdürdüğü eğitim faaliyetlerinin yanı sıra geçtiğimiz pazartesi günü Boğaziçi Üniversitesinde düzenlediği “Türkiye’de SOME’ler ve Milli Güvenlikte Yerli Milli Çözümleri” etkinliği ile ön plana çıktı. Benim de öğleden önce programına katılma fırsatı bulduğum etkinlikte, Türkiye’nin önde gelen siber güvenlik uzmanları, firmaları ve konuyla ilgilenen akademisyenleri bir araya gelme fırsatı buldu.  Etkinliğin her ne kadar ana teması SOME’ler ve yerli milli çözümler de olsa, elektronik harp sistemlerinden, milli siber güvenlik standartlarının önemine; siber istihbaratın öneminden milli siber güvenlik operasyon merkezi çözümlerine sayısı yirmiden fazla konu başlığı tartışılma imkânı buldu.

Hal böyle olunca, birbirinden kıymetli uzmanların yaklaşık 15’er dakika ayrılmış yoğun sunumlarını takip etmek hiç de kolay olmadı. Siber güvenliğin hem stratejik hem taktik hem de operasyonel alanını bu denli geniş ele almış çok disiplinli bir etkinliğe açıkçası daha yoğun bir katılım beklenebilirdi. Bu çerçevede, bu tarz kıymetli etkinliklerin farklı platformlarda, özellikle öğrenci ve profesyonel kariyerini bu doğrultuda şekillendirmek isteyen adaylar için farklı kanallardan duyurulması bir başka önemli husus.

Veri ihlallerinin oranı yüzde 781 arttı

Dinlediğim sunumlarda uzmanların verdiği güncel veriler ve çözüm önerileri oldukça çarpıcı. Örneğin, açılış konuşması ile dinleyicileri bilgilendiren İnternet Geliştirme Kurulu Başkanı Tayfun Acarer veri ihlallerinin 2015’ten 2016’ya geçerken %781 oranında arttığını belirtirken, 2019’da siber saldırıların global maliyetinin 2,1 trilyon doları bulacağı yorumunda bulundu. Bununla beraber, Acarer’e göre, buzdağının görünmeyen yüzü çok daha geniş ve siber atakların %70’i tespit dahi edilemiyor.

Siber güvenlik ile ekonomi arasındaki organik bağ

Kalkınma Bakanlığı İktisadi Sektörler ve Koordinasyon Genel Müdürü Emin Sadık Aydın’a göre ise bilişim artık ekonominin vazgeçilmez bir parçası haline geldi ve bu olgunun ekonominin önemli temellerinden olan büyüme, verimlilik ve rekabetçilik ile organik bir ilişkisi var. Bu çerçevede, bilişim sektörünün ekonomi üzerinde oluşturacağı verimlilik artışını izlemek ancak bir yandan da teknolojinin olumlu ve olumsuz yanlarının farkında olup, tehditleri yönetebilmek çok önemli. Öte yandan, İstanbul Kalkınma Ajansı’nın (İKA) bu projeye destek vermesi atlanmaması gereken oldukça önemli bir detay.

Milli ürünlere olan güvensizliğin aşılması kritik

“Milli Güvenlik ve Elektronik Harp Sistemleri” konusunda bir sunum gerçekleştiren Savunma Sanayi Müsteşarlığı Siber Güvenlik ve Elektronik Harp Sistemleri Daire Başkanı, Muhammet Emin Ulukavak ise konuşmasında siber güvenliğin “milli güvenlik” kavramının tam kalbine geldiğini özetliyor. Ulukavak’a göre, son on yılda kat edilen yol gerçekten çarpıcı ve daha evvel yalnızca teknik bir konu olarak güvenlik bugün savunma sektörü nezdinde de stratejik önemiyle ele alınıyor. SSM’nin savunma sanayisinin geliştirilmesinin önemine de değinen Ulukavak’a göre üzerinde durulması gereken unsurlar ise milli donanımların eksikliği, milli çözümlere duyulan güvensizliğin aşılması ve siber güvenlik ekosisteminin oluşturulması. Bu çerçevede, SSM’nin özellikle yakın zamanlarda başlatmayı düşündüğü “siber akademi” girişimi dikkatle takip edilmesi gereken gelişmelerden.

TÜBİTAK Siber Güvenlik Enstitüsü Başkanı Mustafa Dayıoğlu’nun sunumu da Tübitak’ın siber güvenlik ekosistemi için attığı anlamlı adımların bilinmesi adına oldukça dikkat çekiciydi. Siber güvenlikteki makas değişimine dikkat çeken Dayıoğlu, en büyük eksikliğin “teknoloji geliştirecek insan” olduğuna dikkat çekerken, TÜBİTAK’ın en önemli görevinin, yerlileşme ve millileştirme, uçtan uca siber güvenlik, rehberlik ve destek olduğunu hatırlattı.

KPSS’li siber güvenlikçi çelişkisi

Cezeri Siber Güvenlik Akademisi (SGA) kurucularından ve TRT World’ün IT Direktörü olan Osman Doğan’ın sunumu ise Bug Bounty ve Ödül Avcılığı teması üzerineydi. Doğan, sunumunun ötesinde, siber güvenlikte mücadele edilen asıl kesimin KPSS derecesine sahip olmayan, 20’li yaşlardaki ve mezuniyet şartını yerine getirilmese de istihdam edilen grup olduğunu yeniden hatırlatarak siber güvenliğe ilişkin insan kaynağının kazandırılmasında farklı bakış açılarının geliştirilmesi gerektiği vurgusunda bulundu. Bununla beraber Doğan uzun zamandır gündeme getirilen “Siber Güvenlik Müsteşarlığı” konusunda da yakın zamanda gelişme kaydedileceğini belirtti.

SOME’lere zengin kaynak ve daha çok yetki şart

Siber güvenliğin ekonomik hacmine dikkat çeken e-devlet ve e-yönetişim uzmanı Mustafa Afyonluoğlu da, son dönem çalışmalarından önemli veriler aktardı. Afyonluoğlu’na göre,  Fransa siber güvenliğe 2014’te 1 milyar Euro, İngiltere ise 2015’te 2,5 milyar Euro’luk bir kaynak ayırmış. Öte yandan “siber güvensizliğin” yarattığı ticari hacmin 2030 yılında 90 trilyon dolar olması bekleniyor.

İLGİLİ HABER >> ABD SİBER GÜVENLİK BÜTÇESİNİ 14 KAT ARTIRDI

Sunumuna toplantının ana temasını alan Afyonluoğlu SOMElerin (Siber Olaylara Müdahale Ekipleri) kamu tarafında siber güvenlik elektronik hizmetler vermeye çalışırken güvenliği sağlama çabasıyla ortaya çıktığını ifade etti. “Şu anda 600’e yakın SOME var” diye konuşan Afyonluoğlu’na göre SOME’ler ne kadar etkin çalışırsa kamu tarafında siber güvenlik o denli kuvvetleniyor. Öte yandan, standartlar oluşturmak, SOME’lere zengin kaynak sunmak ve onları idari yetki sahibi yapmak gerekiyor. Yetki sahibi olmayan SOME’nin bir siber saldırı durumunda müdahalesi çok da kolay olmuyor.

“Yazılım firmaların yatak odaları gibidir”

Milli siber güvenlik operasyon merkezi sunumuyla, “milli” kavramının güvenlikteki rolünü yeniden vurgulayan ANET Yazılım uzmanı Ertuğrul Akbaş ise, “yazılım firmaların yatak odaları gibidir” alıntısında bulunarak, “yerli sanayinizin ürününü kullanmazsanız yabancı bir yazılımı kullanmak zorundasınız. Onu kullandığınızda maddi kayıpların dışında bilgi güvenliğinizi kaybedebilirsiniz” yorumunda bulunuyor. Milli bir SOC (Security Operation Center) ın ise önceliklerini bileşenlerin milli olarak gerçekleştirilmesi ve süreçlerin milli olması gerekliliği şeklinde özetliyor.

Takip edebildiğim son sunumda “milli ağ ve uygulama zafiyet uygulama çözümleri” temalı sunumuyla Netsparker güvenlik uzmanı Ziyahan Albeniz tamamen yerli bir web güvenliği çözümü olan ve 22 kişilik bir Türk Mühendis ekibi tarafından geliştirilen Netsparker çözümlerine değindi. Öte yandan, güvenlik alanında yetişmiş personel ihtiyacına vurgu yapan Albeniz Türkiye’de internet, özellikle de web güvenliğinin yeni başlayan bir farkındalık olduğuna dikkat çekti.

BUSİBER’in düzenlediği etkinlik “milli” temasının tartışmaların göbeğine yerleştirilmesi ve konunun bütüncül olarak ele alınması açısından son derece tatmin ediciydi. Konuşçmacılara ayırılan 15 dakikalık sürenin bu denli yoğun ve kritik konular için çok da yeterli “olamadığı” bir başka önemli nokta.

Uzmanların bu denli “insan kaynağı eksiği” ve “ürün geliştirme” vurgusuna karşın üniversitelerin öğrencilerini bu alanda cesaretlendirmesi ve bu tarz etkinlikleri takip etmeyi teşvik etmesi gerekiyor. Özellikle uzmanlarla birebir yapılacak söyleşiler, reel dünyada gerçekten ne olup bittiğini anlamak adına oldukça anlamlı olacağı da bir başka öneri olarak gündeme alınabilir.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

 

 

 

 

 

 

 

Makale & Analiz

5651 sayılı kanuna ilişkin yeni yönetmeliğin getirdikleri ve götürdükleri

3 Yorum

11.4.2017 tarih ve 30035 sayılı İnternet Toplu Kullanım Sağlayıcıları hakkındaki yönetmelik resmi gazetede yayımlanmasıyla birlikte 1.11.2007 tarih ve 26687 sayılı aynı isimdeki yönetmeliği yürürlükten kaldırdı. 5651 olarak bilinen ve çok tartışılan kanuna dayanılarak hazırlanan yönetmelik; ticari olan/olmayan tüm internet toplu kullanım sağlayıcılarını bağlayacak şekilde hükümler içermektedir.

5651 sayılı kanun hakkında yapılan tartışmalara girmemeye çalışarak ve ticari olan internet toplu kullanım sağlayıcılar(internet salonu vb.) için gelen özel hükümleri de -birçok yenilikler getirdiği halde- bu yazı için kapsam dışı bırakarak, internet toplu kullanım sağlayıcılarla ilgili genel hükümler çerçevesinde, ticari olmayan internet toplu kullanım sağlayıcılar (TOIKS)  hakkında gelen ve giden hükümler bu yazı kapsamında irdelenecektir.

Normlar hiyerarşisine uygun olarak başlanacak olursa; öncelikle 5651 sayılı kanundaki toplu kullanım sağlayıcıların yükümlülükleri başlığı altında;

(7/2) (Değişik: 6/2/2014-6518/91 md.) Ticari amaçla olup olmadığına bakılmaksızın bütün internet toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimin engellenmesi ve kullanıma ilişkin erişim kayıtlarının tutulması hususlarında yönetmelikle belirlenen tedbirleri almakla yükümlüdür.

hükmü yer almaktadır. Eski yönetmelikte yukarıda zikredilen kanun hükümlerine açıklayıcı bir ek olarak;

  1. a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.
  2. b) İç IP Dağıtım loglarını elektronik ortamda kendi sistemlerine kaydetmek.

maddeleri yer almaktaydı. Mülga yönetmelik hükümleri gereğince ayrıntısı ve metodu belirli olmasa bile konusu suç oluşturan içerikleri engellemek amacıyla bir içerik filtreleme sistemi kurulması ve aynı zamanda iç ip dağıtım (DHCP) loglarının da tutulması gerekiyordu. İç ip logları ise ip-mac eşleştirmeleriyle beraber hangi zaman aralığında kullanıldığının da yer aldığı bir kayıttır. Yeni yönetmelikte bu hüküm güncellendiği için ayrıntıya girmiyorum.

Yeni yönetmelik hükümlerinde TOIKS dâhil olmak üzere;

MADDE 4 – (1) İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır:

  1. a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak amacıyla içerik filtreleme sistemini kullanmak.
  2. b) Erişim kayıtlarını elektronik ortamda kendi sistemlerine kaydetmek ve iki yıl süre ile saklamak.
  3. c) Kamuya açık alanlarda internet erişimi sağlayan toplu kullanım sağlayıcılar, kısa mesaj servisi (sms) ve benzeri yöntemlerle kullanıcıları tanımlayacak sistemleri kurmak.

(2) İnternet toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak amacıyla içerik filtreleme sisteminin yanı sıra, ilave tedbir olarak güvenli internet hizmeti de alabilirler.

hükümleri yer almaktadır. Mülga yönetmelikte direkt ifade edilmeyen içerik filtreleme sistemi yeni yönetmelikte açıkça yer almaktadır(4/1a). Bu önemli açıklayıcı bir hükümdür. Ayrıca erişim kayıtlarının/loglarının süresiyle ilgili yaşanan kaos sona ermiş, 2 yıl net olarak belirtilmiştir(4/1b). Fakat mülga yönetmelikte müstakil bir madde olan iç ip dağıtım logları(DHCP) erişim kayıtları adı altında yeni bir maddeyle güncellenmiştir.

Erişim kayıtları; içeriden dışarıya çıkan internet erişimlerinde, iç ağda dağıtılan ip numarası ile eşleşecek fiziksel (MAC) adresiyle beraber başlama ve bitiş zamanı; paylaşılan ip adresleri var ise kullanıcıyı tekil olarak tanımlayacak şekilde gerçek ip ve port numarasını içermesi gerektiği ifade edilmektedir.

Erişim kayıtları olarak istenen kayıtları/logları tek bir kaynaktan almak mümkün görünmüyor. Dolayısıyla merkezi bir log yönetim sistemi olmadan gerekli eşleştirme ve korelasyon nasıl yapılabilir tartışma konusu. Burada bir yenilik var fakat bu yeniliğin maliyeti hususunda ihmal edilen şeylerin de olduğu görülmektedir. Bu maliyet ekonomik ve yatırım maliyeti olmasından çok güvenlik maliyetidir. Hem  logların güvenliği/güvenilirliği hem de kişisel bilgilerin gizliliği meselesi. Yönetmelikle ilgili eksik ve fazla taraflarıyla beraber olması gerekenler, fırsat olursa başka bir yazının konusudur.

Söz konusu yönetmeliğin 4. maddesinin 1. fıkrasının C bendinde ifade edilen kamuya açık alanlarda internet erişimi sağlayan ifadesi TOIKS kavramını biraz daha daraltarak kurum, kuruluş, işletme, şirket vb. kendi personeline internet hizmeti verenlerin veya sadece abonelerine internet hizmeti sunanların dışında, asıl işi internet hizmeti olmayan fakat internet hizmetini kamuya açık bir şekilde sunan yerler için ki bunlar daha çok müşteri çekmek ve kendi ticari faaliyetine katkı sağlaması için bu hizmet sunmaktadır- sms vb. bir yolla internet hizmeti verdikleri kişilerin kimliklerini tanımlayacak bir şekilde doğrulama mekanizması kurarak bu hizmeti sunması istenmektedir.

Bazı işletmelerde karşımıza çıkan T.C. kimlik numarası vb. kişiyi tanımlayan bilgiler girilerek ve bir doğrulama katmanından geçtikten sonra internet hizmeti almak artık kamuya açık internet hizmeti veren herkes için geçerli olacaktır.

Son olarak 2. fıkrada belirtildiği üzere; isteğe bağlı olarak tüm internet toplu kullanım sağlayıcılar, içerik filtreleme sistemini yetersiz görerek internete daha fazla sınırlama getirmek isterse ISP(internet servis sağlayıcılar) tarafından verilen güvenli internet hizmetlerini de devreye alabilecekleri ifade edilmektedir. Buraya kadar açıklanan hükümlere tabi olan internet toplu kullanım sağlayıcılar kimlerdir diye bir soru aklımıza gelebilir. Tanım; “Kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayan gerçek ve tüzel kişiler” olarak yer almakta. Belirli bir yeriniz var ve internet hizmeti alıyorsanız ve bazı kişilere bu hakkı tanıyorsanız, şahıs, şirket, kurum fark etmeden bu kapsamda yer alıyorsunuz demektir.

Özetle; yeni açıklayıcı ve maliyetli hükümleriyle beraber birçok sorunu da hala içinde barındırdığını söyleyebileceğimiz çiçeği burnunda yönetmeliğimizin hayırlı olması dilek ve temennisiyle bitiriyorum.