Türkiye siber güvenlik stratejisini açıklayalı yaklaşık bir buçuk yıl oldu. 2016-2019 yılları için hazırlanan stratejide belirtilen hedeflere ulaşmak için verilen zamanın neredeyse yarısı doldu. Hangi adımların atıldığı konusunda açık kaynaklarda net bir bilgi bulunmuyor. Böyle bir bilgi yoksunluğu ise bizi hayal gücümüzü kullanmaya itiyor.
Mesela ‘Stratejik Siber Güvenlik Amaçları ve Eylemleri’ başlığının 17. maddesinde bahsedilen ‘proaktif siber savunma yeteneklerinin geliştirilmesi’ ne ola ki diye düşünüyoruz. Bahsedilen yetenekleri geliştirmenin yollarından biri herhâlde ‘siber tatbikat düzenlenmektir’ deyip başlıyoruz araştırmaya…
İlk örnek Polonya’dan, ülkedeki siber güvenlik farkındalığını artırmak için kurulan Siber Güvenlik Derneği, enerji, finans ve telekomünikasyon sektörlerinde siber tatbikatlar düzenliyor. 2012’de ilk tatbikatını enerji sektöründe yapan dernek faaliyetlerini genişleterek 2015’de finans sektöründe maliye bakanlığının da katıldığı en geniş siber tatbikatını düzenledi.
Sektörel bazda takdire şayan bir başka örnek ABD’den. HITRUST Alliance adlı kar amacı gütmeyen kuruluş, sağlık sektöründe siber tehditlere karşı önlem almak ve yöneticileri karşılaşılacak siber krizlere karşı hazırlıklı hale getirmek için düzenli tatbikatlar düzenliyor. Anladığım kadarıyla ‘her şeyi devletten beklemek olmaz’ diyerek yola çıkan kuruluş üyeleri arasında siber tehditler konusunda bilgi paylaşımı da gerçekleştiriyor.
Avrupa’ya geri döndüğümüzde karşımıza Yunanistan çıkıyor. Yunan Savunma Bakanlığının özel sektör ve kamunun katılımıyla 2010 yılından bu yana düzenlediği Panoptes siber güvenlik tatbikatını diğerlerinden ayıran önemli bir özelliği var. Özel sektörden sadece kritik altyapı temsilcileri değil, iş dünyasının değişik aktörleri -mesela bir tekstil holdingi- de tatbikata katılabiliyor. Bu sayede tecrübe paylaşımını hedefliyorlar. Yunan Genelkurmayının liderliğini yaptığı insiyatifin amaçlarından biri de ‘ülkedeki siber uzmanları bir veri tabanında toplamak ve gerektiğinde operasyonel hale gelecek siber birimlerin oluşmasını sağlamak’ yani bir siber kriz anında devreye girecek siber milis birlikleri…
Örnekler çoğaltılabilir ama Lockedshileds’den bahsetmeden olmaz. CCD COE tarafından her sene daha başarılı şekilde düzenlenen tatbikatın bu seneki basın brifinginde bazı şirketlerden özellikle bahsedilmesi dikkat çekti: Threod Systems, Cyber Test Systems, Clarified Security, Iptron, Bytelife, BHC Laboratory.
Birçoğu Estonya merkezli olan bu şirketlerin (sitemizin takipçilerinin bildiği üzere CCD COE Estonya’dadır ve bu ülkenin girişimiyle kurulmuştur) NATO’nun en geniş çaplı siber tatbikatının düzenlenmesinde yer almalarının onlara küresel bir görünüm kazandıracağından şüphe yok. Başarılı bir ekosistem. Siyasi liderlik bir NATO merkezinin kurulmasına ön ayak oluyor. Siber güvenlik şirketleri ile birlikte çalışan merkez hem tatbikatı onlarla birlikte hazırlıyor hem de Eston şirketler NATO vitrinine çıkmış oluyor. NATO demişken, İttifak’ın siber güvenliğin dahil olduğu iki büyük tatbikatı daha var: Cyber Coalition ve Crisis Management Exercise (CMX)
Tren kaçmak üzere ama henüz kaçmış değil. Peki, Türkiye’deki siber güvenlik şirketleri ile devlet birlikte bir siber güvenlik tatbikatı düzenleyemez mi?
Ankara’nın geçen yıl yayınladığı strateji belgesindeki hedeflere ulaşması sadece kamu kaynaklarıyla zor gözüküyor. İlk adım olarak siber tatbikat konusunda özel şirketler ile ortak adım atılması, hatta tüm organizasyonun ve altyapının işletilmesinin şirketlere devredilmesi çok önemli bir adım olarak değerlendirilmeli. Orta vadede Türk şirketlerinin düzenlediği ulusal bir siber tatbikatın uluslararası boyuta taşınması ürün geliştiren siber güvenlik firmalarımızı yabancılarla buluşturacak etkili bir platforma dönüşmesini sağlaması işten bile değil.
Kısa not: Hollanda ve İngiltere gibi ülkelerin aksine, Türkiye’de açıklanan stratejinin üzerinden makul bir süre geçtikten sonra kaydedilen ilerleme ile ilgili bir bilgilendirme yapılmadığı için stratejide belirtilen hedeflere ne kadar ulaşıldığını bilmiyoruz. Ayrıca son açıklanan stratejinin eylem planı da henüz kamuoyu ile paylaşılmadığını da eklemek gerek.
Siber Bülten abone listesine kaydolmak için formu doldurun
Sponsoru olunduğu halde CCD COE’nin eğitim ve tatbikat imkan ve kabiliyetlerini kullanmayarak büyük bir kaynak israfı yapılıyor. Bu mükemmeliyet merkezi sadece politik-askeri bir kurum değil. Tallinn Teknoloji Üniversitesi ile ortak bir merkez olarak kamu ve özel sektöre de eğitimler veriyor, araştırmalar yayımlıyor. Devlet politikalarının eksikliği bir tarafta, akademinin, özel sektörün ve ayrı ayrı kamu kurumlarının da hataları olduğu gerçeğini eş geçmemek lazım.