Kategori arşivi: Makale & Analiz

Siberbülten siber güvenlik ile ilgili haberlerin bulunduğu bir site olmanın dışında, siber güvenliğin sosyal bilimler ile kesişme noktalarındaki konularla ilgilenen akademisyen, öğrenci ve araştırmacılar için bir yayın platformudur. Bu bölümde siberalan ve siber güvenliğin uluslararası hukuk, uluslararası ilişkiler, strateji, güvenlik ve siyaset bilimine ile ilişkisi ve yansımaları ile ilgili blog tarzı yazılar ve derin analizler bulabilirsiniz.

Makale & Analiz

‘Redhack’ Türk Hukukunun neresinde?

1 Yorum

Sosyalist devrimci bir hacker topluluğu olarak 1997 yılında kurulan fakat gerçekleştirdiği eylemler ile son yıllarda daha fazla gündeme gelen Redhack grubunun faaliyetleri hakkında hukuki tartışmalar devam ediyor.

Öncelikle belirtmeliyim ki, bilişim suçlarının ve siber güvenlikle ilgili eylemler legal dünyada tam olarak karşılığını bulamamıştır. Önemli tartışma konularından bir tanesi bu faaliyetlerin hangi devlet sınırları içerisinde yapıldığı ile alakalıdır. En nihayetinde bu eylemler belirli devlet politikaları açısından suç oluşturabileceği gibi, devletlerin belirli amaçlarına hizmet ettiği de düşünülebilir. Bu anlamda Redhack hactivist bir grup olmakla beraber, Türkiye sınırları içerisinde yaptığı çoğu siber eylemin konusu suç unsuru oluşturmaktadır. Genel olarak Redhack’in saldırı yöntemlerine baktığımızda bunları “website tahrifi/silme, bilgi/veri çalma, sanal sabotaj, hizmet engellemesi saldırıları, website ikizleme, eposta bombalama” şeklinde sıralayabiliriz.

Gelelim Redhack’in yapmış olduğu saldırı yöntemlerinin bilişim suçları açısından değerlendirilmesine. Bilişim suçları ile ilgili düzenlemeler ülkemizde gerçekten son zamanlarda hazırlanmış ve kısıtlı sayıdadır. Bu alanda yapılan düzenlemeler 5237 sayılı Türk Ceza Kanunu’nun 3. kısım 10. bölümü ile 5651 sayılı İnternet Ortamından Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’dan oluşmaktadır.

Redhack, 29 Ekim 2012 tarihinde Diyanet İşleri Başkanlığı’nın internet sitesini bilgisayar korsanlığı yaparak ele geçirmiş ve aynı site üzerinde ileti yayınlamak suretiyle bilişim sistemine hukuka aykırı bir şekilde girmiş ve orada kalmaya devam etmiştir. TCK’nin 243/1. maddesine göre bilişim sistemine hukuka aykırı bir şekilde girmek ve orada kalmaya devam etmek suç olarak tanımlanmıştır. Bu bakımdan bu fiil bilişim suçunun tipik özelliklerini barındırdığı için bilişim suçudur.

14 yıldır faaliyet göstermesine karşın Redhack isminin duyulmasına vesile olan en büyük olay 2012’nin Şubat ayında Ankara Emniyet Müdürlüğü’nün internet sitesine yaptığı saldırıydı. Hususiyetle ihbarların olduğu gizli belgelere erişmiş ve bu belgeleri ifşa etmişlerdir. Bu olayda dikkat çeken bir mesele, olayın bilişim suçlarıyla ilgili savcılığa intikalinden sonra savcılığın olayın kendi sahalarına girmediği ve fakat olayda yetkili savcılığın özel yetkili savcılık olduğunu belirterek dosyayı özel yetkili savcıya devretmesidir. Nitekim olayla alakalı gözaltına alınan 17 kişiden 7’si “terör suçları” kapsamında tutuklanmıştır.

3713 sayılı Terörle Mücadele Kanunu’nun değişik 3. maddesi terör suçlarını “26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 302, 307, 309, 311, 312, 313, 314, 315 ve 320 nci maddeleri ile 310 uncu maddesinin birinci fıkrasında yazılı suçlar, terör suçlarıdır.” şeklinde tanımlamıştır. Burada belirtilen suçların tamamı “Devletin Güvenliğine Karşı Suçlar” ve “Milli Savunmaya Karşı Suçlar” bölümlerinin altında yer almaktadır. Bu suçların tipik özelliği devletin bağımsızlığını ve birliğini bozmak olup devlete karşı silahlı örgüt kurmak veya düşman devletlerle anlaşma yapmak gibi vasıtalarla işlenebilecek suçlardır. Kendi ülkesinin vatandaşlarından müteşekkil bilgisayar korsanı bir topluluğun kamu kurumlarına ait bazı gizli belgeleri Genel Ağ kullanılarak -yani bilişim sistemine girilerek- bazı düşünbilimsel nedenlerle ifşa etmiş olması nedeniyle mevcut eylemin terör suçu oluşturmayacağı kanaatindeyim. Kaldı ki sanal ortamda bir kişilik kazanan bu kişilerin yakalanması ya da tespit edilmesi gerçekten zor olduğu için terör suçu bahanesiyle masum insanların tutuklanması ihtimali büyük bir adaletsizlik oluştururdu.

Bununla birlikte mevcut fiil TCK’nin 243/1. maddesindeki tanımla eşlik göstermektedir: “Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.” Redhack isimli bilgisayar korsanı topluluk mezkur kamu kurumlarının internet sitelerine yasadışı yollarla erişim sağlamış ve oradaki bazı belgelerin ifşaatına önayak olmuşlardır. Buna ek olarak TCK’nin devletin güvenliğine ilişkin belgelerle alakalı 326. maddesi akla gelebilir, fakat maddenin gerekçesinden de anlaşılabileceği üzere “devletin güvenliği” kavramı oldukça dar yorumlanmalı ve devletin çok yakın bir tehlikeyle yüz yüze gelmesi şeklinde anlaşılmalıdır.

Bilişim suçları aynı zamanda farklı suçlara da sebebiyet verebilir. Mesela internet üzerinden yasadışı yollarla belirli sitelere erişip oradaki kişisel belgeleri ifşa etmek suretiyle “Özel Hayata ve Hayatın Gizli Alanına” karşı bir suç işlenmiş olabilir. Redhack, 3 Temmuz 2012’de Dışişleri Bakanlığı’nın sitesine ait gizli belgeleri ifşa etmek suretiyle Türkiye’de çalışan yabancı diplomatların kimlik bilgilerini internet üzerinden yaymıştır. Bu fiil, başka bir internet sitesine yasadışı yollarla erişim sağlayıp internet sitesine erişime kapatmak yönüyle her ne kadar bir bilişim suçu oluştursa da kişisel bilgileri yasadışı yollarla ifşa etmek bakımından özel hayatın gizliliğini ihlal suçudur. Buna örnek olarak, Redhack ve Anonymous topluluklarının birlikte gerçekleştirdiği eylem neticesinde 24 Mart 2013 tarihinde MOSSAD’ın sitesini çökertip çok sayıda insanın kimlik bilgileri ve ev adresi veya telefon numarası gibi kişisel bilgilerin ifşa edilmesi, gösterilebilir.

Bilişim hukuku ülkemizde yeni yeni gelişmekte olan bir alandır. 2004 tarihli ceza kanunumuzun bilişim dünyasının hızına yetişemediği bir gerçektir. Kanunda bu alanda açıklar mevcuttur. Teknolojinin gelişmesiye yeni suç tipleri ortaya çıkmaya başlamıştır. Bu konuda var olan eksikliğin yetkililer tarafından bir an önce ortadan kaldırılması elzemdir. Redhack gibi gruplar dünya çapında her ülkede bulanabilecek gruplardır. Ülkemizde bu tarz gruplarla etkin mücadele için kanunlarımızda olan eksikliklerin giderilmesiaçıkça gözüken bir ihtiyaçtır.

 

 

Makale & Analiz

Bir konferansın pazarlama alanına dönüşmesi: Cyber Endeavor

Yorum yapın

ABD Ordusu Avrupa Komutanlığı (US EUCOM) tarafından düzenlenen yıllık Cyber Endeavour Konferansı bu sene de Almanya’nın Nürnberg şehri yakınlarındaki Grafenwöhr kasabasında bulunan ABD askeri üssünde gerçekleştirildi.

Genellikle Amerikalı konuşmacıların bulunduğu konferansta Türkiye’den konuşmacı olarak sadece 2 kişiydik. Bir çalışma arkadaşım ile birlikte hazırladığım ‘Siber Krizlerde Stratejik İletişim Yönetimi’ sunumu beklediğimizden daha fazla ilgi gördü.

Fakat bu yazıda sunumun ayrıntılarına girmek yerine ABD Ordusu’nun Amerikan menşeli şirketlere kendilerini pazarlamak için nasıl bir platform oluşturduğuna dair izlenimlerimi paylaşmak istiyorum.

2 hafta devam eden ve 12 Eylülde sona eren konferansa dinleyici olarka sadece askeri yetkililer katılıyor. Konu siber olduğu için de ülkelerin siber güvenlik komutanlıklarında görevli askerler yoğun ilgi gösteriyorlar. Teknik ve Yönetim (Management) olmak üzere iki ayağı olan konferansta, teknik bölümde askerlere giriş seviyesinde eğitimler ABD’li uzmanlar tarafından veriliyor. Katılımcı bir subay sohbetimizde eğitimlerin üst seviye olmamasından şikayet ediyordu. Siber güvenlikte uluslararası işbirliğinin bir adımını teknik kabiliyetlerin eğitimler aracılığıyla müttefikler arasında paylaşılması oluşturuyor. Bunu hatırlattığım başka bir askeri yetkili, “Ofisimizde öğrenebileceğimiz şeyleri dinlemek için buraya gelmedik” şeklinde tepkisini ifade etti.

Küüresel anlamda siber güvenliğin sosyal bilimler alanında fazla araştırmacı olmaması, konferansın Yönetim bölümüne de olumsuz olarak yansıdı. Böylece akademik olması beklenen bir konferans siber güvenlik sektörünün dev şirketlerine verimli bir pazarlama alanına dönüşmüş oldu. McAfee’den gelen bir üst düzey yetkili ürünlerini değişik ülkelerin siber savunma komutanlıklarına sunma fırsatını sonuna kadar değerlendirirken, sunumun sonunda şirketinin eşantiyonlarını askerlere dağıtması ibretlik  bir görüntü oluşturdu. Yine başka bir dev olan Verizon’un yıllık siber tehdit analiz raporu, özellikle Macaristan, Ukrayna ve İspanya’dan gelen katılımcıların ilgisini çekmeyi başardı. Şirket yetkilisinin eski bir Amerikan askeri olduğunu hatırlatmakta fayda var. Sadece şirketler değil, Amerikalı düşünce kuruluşları da ABD müttefikleri ile işbirliği geliştirmek için Grafenwöhr’e gelmişti. Ayküstü tanıştığım bir profesör geçen sene bir Orta Avrupa ülkesinin siber güvenlik komutanlığına güvenlik danışmanlığı hizmeti verdiklerini söyleyerek, bu sene de gelmesinin sebebini ‘yeni müşteriler’ bulmak olduğunu söyledi.

Akademik beklentilerimi karşılamadığı için eleştirel bir bakışım olsa da, Cyber Endeavor ülkelerin siber güvenlik konusundaki ihtiyaçlarının özel şirketler aracılığıyla karşılama eğilimlerini göstermiş oldu. Konuştuğumuz bir Türk subay konferansta tanıtımı yapılan ürün ve hizmetleri Siber Güvenlik Komutanlığına aktarma ihtimalinin yüksek olduğundan bahsetti. Konferansın organizatörlerinden birine Amerikan şirketlerinin yoğun ilgisinin sebebini sorduğumda aldığım cevap ise aslında bir konferansın nasıl ‘monetize’ edileceğini gösteriyordu: “Kamu-özel sektör işbirliği ABD’de böyle işliyor. Biz şirketlerimiz için pazarlama alanı açıyoruz, onlar da müşteri avına çıkıyorlar.”

 

 

Makale & Analiz

Sosyal Mühendislik Neden En Büyük Kaygımız Olmalı?

Yorum yapın

Hepimiz temel önlemleri biliyoruz aslında: güçlü şifreler, iki katmanlı onaylama vb. Fakat son zamanlardaki güvenlik ve mahremiyet ihlali içeren saldırılara baktığımızda, bu saldırıların kötü seçilmiş şifrelerle ilgili değil, daha çok sosyal mühendislike ilgili olduğunu görüyoruz. Şimdi hep birlikte sosyal mühendisliğin ne olduğuna, nasıl gerçekleşebileceğine ve kendinizi nasıl koruyacağınıza bakalım.

Sosyal Mühendislik Nasıl Çalışır?

Sosyal mühendislik, güvenlik sistemlerini – ya da herhangi bir sistemi – aşmayı amaçlayan bir saldırıdır. Bu saldırı, sistemin içindeki sistem zaafiyetlerini kullanarak değil de, sistemin içindeki insanların zaafiyetlerini kullanır. Sistemin içine sızmak ya da şifre kırmak yerine, bir teknoloji destek uzmanını şifreyi değiştirtip size vermesini sağlayarak, veya elinizdeki bilgileri kullanıp onaylı bir kullanıcı gibi davranarak sistemi kandırarak içine girmek gibi.

Sosyal mühendislik, temelinde, bir hacking türüdür. Masum şakalar için kullanılabilmesi mümkün olduğu gibi, kimlik bilgileri çalmak için, insanların mahremiyetlerini ihlal etmek için veya sistemlere zarar vermek için kullanılabilmektedir. Son günlerde de ünlülerin mahrem fotoğraflarının internete sızdırılmış olması da, brute force saldırılarından veya gevşek güvenlik önemlerinden dolayı değil, sosyal mühendislik kullanılarak gerçekleştirilmiştir. Sosyal mühendislik konusunda asıl korkutucu olansa, hedef hakkında biraz araştırma yaparak kolaylıkla bu tür saldırıların gerçekleştirilebilmesidir.

Sosyal mühendisliğin bir kaç çeşidi vardır. Hedef kullanıcıyı ikna ederek ondan bilgi almak kullanılan yöntemlerden biridir. En başarılı olan yöntemse, hedefinizin sizin kim olduğunuzu anlamamasını sağlamaktır.

Sosyal Mühendislik Saldırılarına Neden Dikkat Etmeliyiz?

Sosyal mühendislik saldırılarına karşı korunmada en önce şifre güvenliği gelmektedir. Kolay tahmin edilemeyecek şifre seçimi ve iki katmanlı onayla giriş yapmak çok önemlidir. Şifre güvenliğine önem verilmeli, fakat unutulmaması gereken başka bir mesele de artık hackerların sadece tek bir şifreyle ya da hesapla zaman kaybetmek istemedikleri gerçeği. Bundan dolayı, fazlaca değerli gördükleri hedeflerin hesapları hackerlar için daha cazip görünüyor.

Sosyal Mühendislik Saldırılarından Nasıl Korunuruz?

The Washington Post gazetesinde çıkan bir yazıda, bir kullanıcının iCloud hesabındaki güvenlik sorularının nasıl aşılabileceği ve bunun ne kadar kolay olduğu anlatılıyor. Ünlülerin mahrem fotolarının sızdırıldığı son saldırıda da bu şekilde bir yöntem kullanıldığı düşünülüyor. Hedef hakkında biraz araştırma yapmak bu tür gerekli bilgileri saldırganlara kolayca sağlıyor. Peki bu durumda, bu tür saldırılardan korunmak için neler yapabiliriz?

  • Kesinlikle gizli bilgilerinizi başkalarına vermeyin. Sosyal medyada sizi arkadaş olarak ekleyerek bir dostunuzmuş gibi yapan kullanıcılar ile herhangi bir bilginizi paylaşmayın. Tanımadığınız insanların arkadaşlık tekliflerini kabul etmeyin. Sizi bankanızdan aradıklarını söyleyen aramalara güvenmeyin.
  • Çalıştığınız kurumun IT departmanından aradıklarını söyleyen veya sisteminizde bir hatayı gidermek üzere görevlendirildiğini söyleyerek sizden herhangi bir bilgi talep eden kişi veya kişilere karşı dikkatli olun ve talep ettikleri bilgiyi asla vermeyin. Unutmayın, gerçek sistem uzmanları asla kişisel bilgileri sormazlar.
  • Kendiniz hakkında önemsiz olduğunu düşündüğünüz bilgileri bile koruyun. Özellikle güvenlik soruları, “Anne doğum yeri” veya “ilk evcil hayvan adı” gibi tahmin edilmesi son derece kolay cevaplardan oluşur. Hesap sahibi kullanıcılar da, cevapları kolay hatırlayabilecekleri soruları seçerler, ama bu sorular sadece kendileri için kolay değildir. Eğer güvenlik sorusu kullanacaksanız, en muğlak ve dengeli cevabı vermeye çalışın. Unutacağınızdan korkuyorsanız da bu cevabı kriptolayarak bilgisayarınızda muhafaza edin.
  • Güvenlik sorularına yalan cevaplar verin ve bu yalanları devamlı hatırlayın. Doğum yeriniz konusunda, örneğin, Cincinnati yerine Little Rock’da doğduğunuzu yazabilirsiniz. Ya da kendiniz bir cevap uydurabilirsiniz. Bu durumda önemli olan, burada verdiğiniz cevapları daha sonra hatırlayabilmenizdir.
  • Her şifre resetleme emailini şüpheyle karşılayın. Güvenli gibi görünen emailleri bile dikkatle inceleyin. Saldırganlar, bir taraftan şifrenizi değiştirmeye çalışırken, bir taraftan da size şifre değiştirme uyarıları gönderildiğinin farkındadırlar. Fakat bu uyarılarda, “Eğer bu talebi siz yapmadıysanız herhangi bir işlem yapmanıza gerek yoktur.” kısmı, sizi hiç bir şey yapmamaya itmesin. En azından kullandığınız servisin müşteri hizmetlerine ulaşmaya çalışarak, hesap şifre işlemlerinin dondurulmasını talep edebilirsiniz.
  • Hesabınızı ve hesap hareketlerinizi takip edin. Şifre işlemlerini takip ettiğiniz gibi, hesap işlemlerinizi de kontrol edin. Örneğin, hesabınızın nerelere bağlı olduğunu görmek için Google Dashboard’u inceleyebilirsiniz. Bulut bilişim hizmetleri, sosyal medya hesapları ve email sağlayıcılardaki hesaplarınız için bu kontrolleri gerçekleştirin. Finansal hesaplarınızı da kontrol edin, sadece bankanızın sağladığı sistem girişi ile online bankacılık kullanın.
  • Şifrelerinizi, önemli hizmet bilgilerinizi ve güvenlik sorularınızı mutlaka çeşitlendirin. Aynı şifreyi kesinlikle birden fazla platformda kullanmayın. Aynı güvenlik sorularına aynı cevapları vermeyin. Bu durumlarda, tek bir hesabınızı hacklemeyi başaranların, bütün internet hayatınızı bitirebileceğini unutmayın. Bir saldırıya uğrasanız bile, bu saldırının kısıtlı kalması sizin elinizde.

Sosyal mühendisliklere karşı bu gibi durumlar dışında da dikkatli olmak gerekiyor. Online oyun sitelerinde, chat odalarında veya benzeri internet platformlarında mutlaka dikkatli olmak şart. Çünkü sosyal mühendislik, en temel insan zaafiyeti üzerinden ilerliyor, yani, ikna edilebilirlik.

Makale & Analiz, Türkiye

TÜBİTAK Siber Güvenlik Yaz Kampı İzlenimleri

1 Yorum

30 Ağustos – 5 Eylül 2014 tarihleri arasında TÜBİTAK tarafından düzenlenen Siber Güvenlik Yaz Okulu, bu yıl 3. defa gerçekleştirildi. Bir hafta süren yaz okulunda bu yıl ben de vardım.

Ankara’nın yaklaşık bir saat dışında, Büyük Anadolu Oteli adında bir termal otelde gerçekleştirilen yaz kampı, bu yıl da geçen yılki gibi, hem genç mühendislik öğrencilerini, hem de sosyal bilimler öğrencilerini ağırladı. TÜBİTAK Siber Güvenlik Enstitüsü uzmanları tarafından verilen eğitimler, en öncelikle, genç arkadaşlarda siber güvenlik konusunda bir bilinç ve farkındalık yaratmayı hedefliyor. İkinci olarak da, şimdiden siber güvenlik konusunda temel oluşturarak, ileride hem profesyonel hem de akademik hayatlarında siber güvenliğe yönelerek, ülkemizin siber güvenlik kabiliyetlerine katkıda bulunmaları planlıyor.

Yaz okuluna katılan öğrencilerde, bu alanda ciddi bir heyecan göze çarpıyordu. Henüz lisans yıllarında bulunmalarına karşın, bir çok arkadaşın siber güvenlik konusuyla özel olarak ilgilendiklerini, kendi imkanlarıyla kendilerini geliştirmeye çalıştıklarını gözlemlemek mümkün. Bu açıdan, siber güvenlik yaz okulunun da siber güvenlik birikimlerine önemli ölçüde katkıda bulunacağına inançları tamdı.

Yaz okulu mühendislik okuyan öğrenciler ve sosyal bilimler okuyan öğrenciler için gerçekleştirildi. Uluslararası ilişkiler kökenli olduğum için ben de sosyal bilimler için düzenlenen derslere katıldım. Bu derslerde, ilk olarak internet altyapısının özellikleri anlatıldı. Daha sonra siber saldırı tehditleri, bu tehditlerin tüm özellikleri ve şiddet dereceleri, teknik detaylarıyla birlikte sunuldu. Daha sonra uzmanlar ülkelerin siber alan kullanımları, siber kabiliyetleri ve bu alana yaptıkları yatırımları değerlendirdi. Bilgi güvenliği ve ISO 27001 konusunda da dersler bulunmaktaydı. Tüm bu derslerde özellikle üzerinde durulan konu, sosyal bilimler öğrencilerinin siber dünyadan ve siber güvenlik konularından korkmamaları gerektiğiydi. ABD gibi kimi ülkelerde siber güvenlik politikalarını düzenleyen bürokratların, teknik kökenli değil sosyal bilimler kökenli olmaları, özellikle üzerinde durulan örneklerdendi.

Sosyal bilimciler için siber güvenlik ve siber dünya eğitimlerinde genel olarak teknik eğitimden farklı bir metot izlenmelidir. Örneğin, siberalanı sosyal bilimci öğrencilere anlatmayı amaçlayan Jefferson’s Moose: The Notes on the State of Cyberspace kitabında siberalanın temel teknik detayları, analojiler/benzetmeler yoluyla anlatılır. Kitapta, internet altyapısı ve bu ağ altyapısının temel iletişim protokolü olan TCP/IP, telefon ağının iletişimi ile benzetmeler veya farklılıklar kurularak açıklanır. DNS’ten bahsedilirken, bunun bir telefon defterine benzediği, ağ protokollerinin, kullanıldığımız dillere benzediği gibi anaolojiler yoluyla, okuyucunun temel kavramlara hakim olması sağlanmaya çalışılır. Yaz okulundaki sosyal bilimler derslerinde de aynı şekilde eğitimciler benzetmelere sıkça başvurdular. Fakat gözlemleyebildiğim kadarıyla, teknik dilin daha da yumuşatılarak, meselenin detaylarından ziyade özünün verilmesi adına daha fazla günlük dil kullanılmasına ihtiyaç bulunuyor. Dahası, siber dünyanın özelliklerinin teknik detaylarından ziyade, hukuki veya politik önemlerinin daha fazla zikredilmesi, hem sosyal bilimler öğrencileri için daha fazla faydalı olacaktır, hem de teknik ve sosyal bilimci uzmanların ortak bir dil geliştirebilmeleri adına sağlam adımlar atılması mümkün olabilecektir.

Teknik eğitimdeki öğrenciler, eğitimlerine ek olarak, “Capture The Flag” yarışmalarıyla ve film gösterimleriyle sosyalleşme ve öğrendiklerini uygulama imkanları buldular. Aldıkları dersler çoğunlukla, güvenlik açıkları, dijital adli analiz, mobil güvenlik, APT ve zararlı yazılım analiz yöntemleri gibi temel siber güvenlik konularını içeriyordu.

Siber güvenlik yaz okullarını başarıyla sürdürerek ülkede siber güvenlik konusunda belki de en önemli farkındalık artırıcı etkinliğe imza atan TÜBİTAK Siber Güvenlik Enstitüsü, sosyal bilimlerde siber güvenliğin önemini en erken farkedenlerdendi ve dünya ile birlikte Türkiye’de de bu çalışmaların sürdürülmesi için var gücüyle çalışıyor. Programın (sosyal bilimciler için olan kısmı) için bir kaç öneri sıralamak gerekirse, analojilerden daha fazla yararlanılması, teknik detayların azaltılarak, bu teknik meselelerin dış dünyada karşılıklarının ne olabileceğinin anlatılması faydalı olacaktır. Örneğin DDoS saldırılarının teknik detaylarıyla birlikte, bir de bu saldırıların hukuki ve politik boyutu nedir, dünyada hangi bağlamda tartışılmaktadır, belli başlı teknik konular sosyal bilimcilerce nasıl ele alınmış gibi noktalar, derslerde muhakkak yer bulmalı. Buna ek olarak, bu alanda dünyada halihazırda yazılan kitap ve makalelere de kısaca değinmek faydalı olacaktır. Örneğin son yıllarda artış kazanan siber alanda devlet eşitliği gibi konularda ICAAN’ın rolü, BRICS ülkelerinin kendi fiber altyapılarını kurmak istemeleri ve NATO’nun siber saldırıları 5. madde kapsamında değerlendirme çabalarına değinilmeli, köşeyazılarındaki ve makalelerdeki trendler öğrencilerle paylaşılmalı. Bu eksiklikler, Siber Güvenlik Enstitüsü’nün eksikliği olmaktan ziyade, daha çok siber güvenliğin henüz yeni oluşan bir bilimsel alan olmasından ve de sosyal bilimlerde öneminin çok yeni zamanlarda farkedilmesinden kaynaklanmakta.

İlerleyen yıllarda, gerek yaz okulunda gerekse sosyal bilimler siber güvenlik çalışmalarında bu eksikliklerin giderileceği, ve dünyanın belli başlı ülkeleri ile birlikte Türkiye’de de interdisipliner siber güvenlik çalışmalarının devam edeceği, su götürmez bir gerçek.

Makale & Analiz

İki Forum İki İnternet Yaklaşımı

Yorum yapın

Türkiye’nin siyasi gündemi içerisinde kaybolsa da, İstanbul geçen hafta internetin geleceği ile ilgili iki önemli toplantıya ev sahipliği yaptı. Bunlardan bir tanesi olan 9. İnternet Yönetişimi Forumu (Internet Governance Forum-IGF) 2-5 Eylül 2014 tarihleri arasında Harbiye’de düzenlenirken; Internet’i daha kritik bir perspektiften ele alan Internet Ungovernance Forum’da (IUF) İstanbul Bilgi Üniversitesinde aynı hafta içerisinde yapıldı. 2014’ten önce Mısır ve Çin gibi internet kısıtlamaları ile dünya gündemine gelen ülkelerde yapılan IGF’de, hükümet temsilcileri, sivil toplum mensupları, teknik uzmanlar ve özel sektörden katılımcılar Internet yönetişiminin nasıl olması gerektiği konusunda kafa yordular. Özellikle ABD ile ilişkili kurumların Internet yönetişiminde belirleyici olmasının diğer ülkerlerde oluşturduğu tepkiyi dindirmek için Washignton uzun zamandır Internet yönetişiminin daha geniş katılımlı bir yapıyla devam ettirilmesini savunuyor. Özellikle Edward Snowden vakasından sonra ortaya çıkan durum ABD’yi artık kaldıramayacağı bir baskı ile karşı karşıya kalmak üzere olduğunu bir kez daha gösterdi.

Birleşmiş Milletler tarafından düzenlenen bu forum, İnternet toplumunun sağlıklı bir şekilde gelişiminin sağlanması amacıyla düşüncelerin paylaşıldığı bir düşünce paylaşım platformu olarak işlev görüyor. Tüm paydaşların eşgüdüm içerisinde çalışmasını sağlamayı amaçlayan IGF’de, elde edilen sonuçların herhangi bir bağlayıcılığı olmasa da, bu sonuçlar orta ve uzun vade İnternet politikalarının şekillenmesinde önemli rol oynuyor. Herkese açık formatta gerçekleştirilen, tartışmaların çevrim-içi olarak tüm dünyaya İnternet üzerinden yayınlandığı forumun en önemli özelliğinden birisi de gelişen ve gelişmekte olan ülkelerin temsilcilerini buluşturması. Forumda ele alınan konuların bir kısmı gelişmekte olan ülkelerin problemlerine çözüm arıyor. Bir çok konunun ele alındığı bu yılki forumda, İnternet erişiminin artırılması ve İnternet içeriğinin global ve lokal düzeyde zenginleştirilmesi, İnternetin çok paydaşlı (multistakeholder) yönetişim yapısının geliştirilmesi, ağ trafiğinin yönetilmesinde her türlü trafiğe eşit davranılmasını öngören ağ tarafsızlığı (net neutrality) konuları öne çıktı. Internet yönetişiminde daha fazla ülkenin söz sahibi olmasını amaçlamak, 2008 küresel mali krizden sonra G-7’nin genişleyerek G-20 halini almasını hatırlatıyor. Sonuç olarak G-7’yi oluşturan ülkelerin belirleyici rolü eksilmese de, gelişmekte olan diğer 13 ülkeye de söz hakkı sunulmuş ve ahlaki bir zorunluluktan kurtulunmuş oluyor.

Internet’in 2008 krizi ise Edward Snowden’ın NSA belgelerini ortaya saçarak internette özgürlük güvenlik tartışmasını zirveye taşıması oldu. Tam da bununla ilgili olarak, Alterntif Bilişim Derneğinin öncülüğünde 4-5 Eylül tarihleri arasında Internet Yönetişimsizlik Forumu (IUF) düzenlendi. Forumun çıkış noktası Internetin yönetişiminde devletlerin ağırlığının olması ve bu durumun internet özgürlüğünü kısıtlaması. Devlet ve şirketleri internetin problemlerinin ana kaynağı olduğunu düşünen IUF ve Alterntif Bilişim Derneği, bu yapıların IGF’de gereğinden fazla temsil edildiğini savunuyor. Özgürlük-Güvenlik dengesini güvenlik lehine biraz daha değiştirilmesine karşılık, IUF internetin halkların, aktivistlerin ve sivil toplumun yönetiminde olması fikrinide. Diğer bir deyişle Özgürlük-Güvenlik ikileminde Özgürlüğün yanında duruyor. Internet Yönetişimi’ne ilgi duyanlar için eşsiz iki etkinliği geride bıraktık. Tartışmalardan aklımızda kalan sorular bu konunun daha çok su götüreceği yönünde. Alternatif Bilişim Derneği’nin çalışmaları sayesinde Internet Yönetişimi konusunda Türkiye sivil toplumun belirli bir duruşu olduğunu görmüş olduk. Peki devletin Internet Yönetişimindeki stratejisi nedir? Çok paydaşlı yapının neresinde durmayı menfaatlerine uygun buluyor? Yoksa Ankara sadece internet yasakları nedeniyle kritikleri gözrmezden gelip, web sitelerinin sonuna ‘istanbul’ eklentisinin gelmesiyle mi ilgileniyor?