Yazarlarımızdan siber güvenlik araştırmacısı Ayhan Gücüyener, Avrupa Siber Çatışma Araştırma Girişiminin (ECCRI) programına kabul edildi.
Galatasaray Üniversitesi Uluslararası İlişkiler Bölümü mezunu olan Gücüyener, Kadir Has Üniversitesi Siber Güvenlik ve Kritik Altyapıların Korunması Uygulama Araştırma Merkezinde proje uzmanı olarak çalışıyor.
ECCRI Avrupa Siber Güvenlik programı kariyerlerini siber güvenlik politikasında sürdürmek isteyen yetenekli profesyonelleri geliştirmeyi amaçlıyor.
Programa devlet, sivil toplum, akademi, özel sektör ve medyadan seçilen on dört kişi kabul edildi. Kabul edilme kriterleri arasında siber güvenliğe olan ilgi ve değişimi yönlendirme isteği gibi faktörler yer alıyor.
Seçilen araştırmacılar, AB siber güvenlik politikası, içerik denetimi ve siber norm oluşturma süreçlerinden teknik analizde pratik beceriler geliştirmeye kadar çeşitli konularda bir dizi atölye çalışmasına katılacak.
Avrupa Birliği Siber Güvenlik Ajansı (ENISA), birliğin siber güvenlik alanında yetişmiş kişilerin istihdamına gerek duyduğunu vurguladı.
ENISA’nın yayımladığı bir raporda, AB’nin, siyasi kanatta yetenekli bilgi güvenliği çalışan eksiğini gidermek adına daha fazla siber güvenlik mezununa ihtiyaç olduğu belirtildi.
Raporda, AB ülkelerindeki kamu kurumlarının bilgi güvenliği odaklı yükseköğretime “bütünlüklü bir yaklaşımı desteklemesi” gerektiği ifade edildi.
Akademisyenler Jason Nurse ve Konstantinos Adamos, ENISA’DAN Athanasios Grammatopoulos ve Fabio Di Franco ile birlikte hazırladığı “AB Siber Güvenlik Becerileri Eksikliğini ve Açığını Yüksek Öğrenim Yoluyla Ele Almak” başlıklı yeni bir raporda, AB’nin daha fazla öğrenciyi siber güvenlik bölümlerine kaydolmaya teşvik etmesi gerektiği ifade edildi.
Raporda, 27 üye ülkede sunulan siber güvenlik programlarının çoğunun (yüzde 77) master düzeyinde olduğu tespit edildi. Beşte birinin (yüzde 17) biraz altında lisans derecesi bulunurken, yüzde 6’sını ise “lisansüstü” düzeyinde olduğu tespit edildi.
MESLEKİ SERTİFİKALAR DEĞERLİ FAKAT YETERLİ DEĞİL
Kent Üniversitesi Profesörü Nurse, The Register’a bilgi güvenliği programlarının sektöre yeni profesyoneller katma noktasında değerli bir yöntem olduğunu söyledi ve ekledi: “Çok katmanlı bir yaklaşım, uzun ömürlü bir çözümde çok daha iyi bir şansa sahip. Mesleki sertifikalar değerli, ancak bunlar genellikle halihazırda sektörde olan profesyoneller için işlev görmekte. Yükseköğretimdeki öğrencilerin becerilerini artırmak, gelecekteki profesyonellerin temel seviyesini yükseltir ve bilgi güvenliği sektöründe çalışabilecek kişilerden oluşan daha sürdürülebilir bir havuz geliştirilmesine yol açar”
Birleşik Krallık’ın küçük ama büyümekte olan bir bilgi güvenliği lisans programı bulunmakta ve Ulusal Siber Güvenlik Merkezi de benzer akademik seviyelerde lisans programlarına sponsorluk yapıyor. Bu programların listesine web sitesinden ulaşmak mümkün.
Nurse, AB üniversitelerindeki lisans programlarının AB bilgi güvenliği sektörünün ihtiyaçlarını geniş ölçüde karşılamasına rağmen, siber güvenliğin “daha az teknik” taraflarına daha fazla odaklanılması gerektiğini söyledi ve ekledi: “Gerçek şu ki, siber tamamen teknik bir mesele değil ve yönetişim, risk, uyumluluk ve hukuk gibi konular gelecekte daha önemli hale gelecektir.”
SİBER GÜVENLİK EĞİTİMİ BATIDA ÖNEMLİ BİR GÜNDEM MADDESİ
Siber güvenlik eğitimi, kamu ve özel sektöre yönelik saldırılar dolayısıyla nitelikli bilgi güvenliği personeline olan talebin giderek artmasıyla Batı’da oldukça önemli bir gündem maddesi durumunda.
Sektör, bilgi güvenliği personeline yönelik şaşırtıcı düzeyde çok sertifika eğitimi sunuyor olsa da, bunların birçoğunun zaten mesleki deneyime sahip kişilere yönelik olduğu belirtiliyor. Bununla birlikte, siber güvenlik programları vasıtasıyla sunulan eğitimin kalitesi, her zaman en asgari teknoloji becerisine sahip insanlar için sektöre girmenin bir yöntemi olmasa bile hayati öneme sahip.
Nurse ekliyor: “Benim düşünceme göre, yüksek lisans programlarının lisans derecelerine kıyasla öne çıkması, büyük bir bilgi işlem becerisine sahip olma ön koşulundan dolayı değil. Bu, mevcut yüksek lisans derslerinin çoğunluğunun nasıl geliştirildiğinin sonucu olabilir– ve gerçek şu ki, ne yazık ki, birçok insan hala siber güvenliği bilgi işlemin bir uzantısı olarak görüyor.”
Eylül ayında İngiltere’nin Bilgi Güvenliği Enstitüsü, teşvik için mevcut personele profesyonel akreditasyonlar verilmesini önerdi. Birkaç yıl önce de İngiltere hükümeti, İngilizleri siber güvenlik becerileri kazanmaya teşvik etme çalışmaları yapan Siber Beceriler Acil Etki Fonu adlı bir program başlattı. Ancak bu, temel akademik eğitimden ziyade mesleki beceri kurslarını ve sertifikalarını finanse etmeye odaklanıyor.
İrlanda Veri Koruma Komisyonu (DPC), WhatsApp’a kişisel verilerdeki şeffaflık sorunu nedeniyle 225 milyon avro ceza verdi.
DPC’den yapılan yazılı açıklamada, kurumun Facebook bünyesinde bulunan WhatsApp’ın kişisel verileri kullanımına yönelik şeffaflık incelemesinin başlatıldığı belirtildi.
Açıklamada incelemenin Avrupa Birliği (AB) Genel Veri Koruma Tüzüğüne (GDPR) dayandığı vurgulandıç
AB’de Facebook için veri gizliliğinde baş denetim otoritesi olarak hareket eden DPC’nin açıklamasında, WhatsApp’a ilişkin sorunların, mesajlaşma uygulamasının 2018’de şeffaflık konusundaki AB veri kurallarına uyup uymadığına ilişkin olduğu belirtildi.
DPC’nin WhatsApp soruşturmasında öncü kararını, onayı gereken diğer Avrupa veri düzenleyicilerine Aralık 2020’de sunduğu belirtilen açıklamada, ancak sekiz düzenleyicinin karara itiraz ettiği ifade edildi.
AVRUPA VERİ KORUMA KURULU’NUN BAĞLAYICI KARARDA ETKİLİ OLDU
Avrupa Veri Koruma Kurulunun temmuzda veri ihlal cezalarının artırılması konusunda bağlayıcı bir karar aldığı hatırlatılan açıklamada, “Bu kararla DPC’den bir dizi faktör temelinde WhatsApp için önerilen cezayı yeniden değerlendirmesi ve artırması istendi.” denildi.
Açıklamada, “Bu yeniden değerlendirmenin ardından DPC, WhatsApp’a 225 milyon avro para cezası verdi.” ifadesine yer verildi.
DPC, WhatsApp’tan bir dizi belirli düzenleyici eylemde bulunarak faaliyetlerini AB veri kurallarıyla uygun hale getirmesini de istedi.
Facebook’un Avrupa Bölgesi merkezi İrlanda’da bulunurken, DPC, 2020 sonu itibarıyla Facebook ve bünyesinde bulunan WhatsApp ve Instagram hakkında 14 soruşturma başlattı.
Uzun zamandır Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ile Sanayi ve Teknoloji Bakanlığı tarafından üzerinde çalışılan Ulusal Yapay Zekâ Stratejisi, 2021-2025 yılları arasında ülkemizin yapay zekâ (YZ) alanındaki çalışmalarını hayata geçirmek üzere 24.08.2021 tarihinde Bilişim Vadisi’nde düzenlenen toplantı ile kamuoyuna tanıtıldı.
Hazırlık aşamasında, özel sektör, sivil toplum kuruluşları ve uluslararası organizasyon temsilcileri yanı zamanda kamu kurumları ve üniversiteler ile görüşmeler yürütülmüş ve farklı disiplinlerdeki alan uzmanlarının değerlendirmeleri alınmıştı.
Strateji belgesi incelendiğinde, genel hatlarıyla iki kısımdan oluştuğu söylenebilir: Küresel ve ülke bazındaki YZ gelişmelerinin analizi ile ülkemizin YZ alanındaki stratejik hedefleri, amaçları ve tedbirleri. Belgenin hazırlığında özellikle AB ülkelerinin strateji belgelerinden faydalanıldığı ve uluslararası kuruluşların metinlerine paralellik sağlanmaya çalışıldığı anlaşılıyor.
Diğer ülkelerin stratejileri göz önünde bulundurulduğunda ise, içeriklerin farklı kategorilerle ele alınabildiği görülüyor. Yayınlanan strateji belgesi de AB’nin kullandığı temel sınıflandırmalara paralel nitelikte olup, insan kaynağı ve eğitim, piyasa ve iş birlikleri, altyapı ve hukuk başlıkları çerçevesinde bir kapsamı bulunuyor.
Örneğin insan kaynağı yetiştirme kapsamında Fransa, örgün eğitim ve öğretim politikaları ile mesleki eğitim ve yaşam boyu öğrenmeye yönelik olarak, disiplinler arası yapay zekâ enstitülerine (Instituts Interdisciplinaires d’Intelligence Artificielle (“3IA”)) odaklanarak[1], tüm eğitim seviyelerinde YZ merkezli eğitim ve öğretim programları başlatılmasını, her vatandaşın makinelerin iç işleyişini ve yapay zekânın faydalarını daha iyi anlaması için dijital okuryazarlığın geliştirilmesini gibi hedeflere yer veriyor[2].
Almanya ise uluslararası işbirliklerinin sağlanması kapsamında özel sektör, akademi ve kamuda iş birliğini teşvik etmek için girişimlerde bulunuyor. Bu kapsamda, belirli sektörlerde (ör. sağlık hizmetleri, çevre, robotik vb.) çift taraflı yapay zekâ grupları kurulup yatırım ve eğitim programları hazırlanarak Fransız-Alman Ar-Ge ağının oluşturulması hedefleniyor[3][4].
Türkiye de bunlara paralel olarak, yayınlanan strateji belgesinde, 6 stratejik öncelik belirlenmiş durumdadır. Bunlar:
YZ uzmanlarını yetiştirmek ve alanda istihdamı artırmak
Araştırma, girişimcilik ve yenilikçiliği desteklemek
Kaliteli veriye ve teknik altyapıya erişim imkânlarını genişletmek
Sosyoekonomik uyumu hızlandıracak düzenlemeleri yapmak
Uluslararası düzeyde iş birliklerini güçlendirmek
Yapısal ve iş gücü dönüşümünü hızlandırmak
Belirlenen 6 önceliği ise 24 amaç ve 119 tedbir izlemektedir. Bu kapsamda, 2025 yılına kadar şu hedeflerin gerçekleştirilmesi amaçlanmaktadır[5]:
YZ alanının GSYH’ye katkısının %5’e yükseltilmesi,
YZ alanında istihdamın 50.000 kişiye çıkarılması,
Merkezî ve yerel yönetim kamu kurum ve kuruluşlarında YZ alanında istihdamın 1.000 kişiye çıkarılması,
YZ alanında lisansüstü düzeyde mezun sayısının 10.000 kişiye çıkarılması,
Yerel ekosistemin geliştirdiği YZ uygulamalarının kamu alımlarında önceliklendirilerek ticarileştirilmesinin desteklenmesi,
Uluslararası kuruluşların güvenilir ve sorumlu YZ ile sınır ötesi veri paylaşımı alanındaki düzenleme çalışmalarına ve standartlaşma süreçlerine aktif olarak katkı verilmesi,
Uluslararası YZ endekslerindeki sıralamalarda Türkiye’nin ilk 20 ülke arasında yer almasının sağlanması.
DÜNYA İLE BÜTÜNLEŞMEK İÇİN HUKUKİ DÜZENLEMELER GEREKLİ
Burada özellikle değinilmesi gereken konulardan biri de hukuki çerçevenin belirlenerek ilgili hedefler doğrultusunda ilerlenmesidir. Sosyoekonomik uyumu hızlandıracak düzenlemeleri yapma hedefi kapsamında belirlenen amaç dahilinde etik ve hukuki senaryolarının test edilmesi ve tartışılabilmesi için çevik ve kapsayıcı bir yasal uyumlanma süreci işletilmesi söz konusu olacaktır[6]. Bu durumda dünya ile bütünleşmiş bir yapay zekâ hukuk sistemine ulaşabilmesi için birçok hukuki düzenlemenin ve uygulamanın hayata geçirilmesi gerekecektir.
Meslektaşım Av. A. Kemal Kumkumoğlu ile kaleme aldığımız Yapay Zekâ Stratejileri ve Hukuk başlıklı makalemizde de bu konuyu ele alarak şunları ifade etmiştik: “(…) yapay zekâ uygulamalarının üzerinde en çok risk teşkil ettiği temel haklar olarak; adil yargılanma hakkı, ifade özgürlüğü, mahremiyetin ve kişisel verilerin korunması hakkı, ayrımcılık yasağı ve adalete erişim sıralanmaktadır. Dolayısıyla, ulusal veya uluslararası düzenleme ve uygulama çalışmalarında bu konulara ilişkin çalışmalara da özel önem atfedilmesi isabetli olacaktır. Hatta buna paralel biçimde, temel hakların özünü ortadan kaldıran, aşırı derecede müdahaleci ve ölçüsüz yüz tanıma teknolojisi gibi yapay zekâ sistemlerinin belirli kullanımlarının tamamen yasaklanması dahil, sert önlemlerin geç kalınmadan alınması çağrıları yapıldığını da hatırlatmanın da kayda değer olduğu kanısındayız.[7]”
Bu doğrultuda, eğer hedeflendiği gibi şeffaf ve çok paydaşlı bir yönetişim sağlanırsa her kesimden katılım ile YZ stratejisindeki amaçlara ulaşmak için önümüzde bir engel olmayacaktır. Bunun için ülkemizdeki uygulamanın kâğıt üzerinde kalmaması adına; ilerleyen dönemde strateji belgesinde yer alan somut hedeflerin, görev tanımları ve başarı ölçütleri ile desteklenmesi, hedeflerin periyodik olarak STK’lar dahil tüm paydaşların katılımıyla gözden geçirilmesi ve kamu dışındaki paydaşlara düşen görevlerin ve bunlara yönelik teşviklerin belirlenmesi ile uluslararası iş birliklerinin sağlanması açısından somut ve kararlı adımlar atılması gerekecektir[8].
[1] Fransa Ulusal Yapay Zekâ Strateji Belgesi, 2018, s.64.
[2] Selin Çetin & A. Kemal Kumkumoğlu, Gelişen Teknolojiler ve Hukuk II: Yapay Zekâ, Oniki Levha Yayıncılık, Nisan 2021, s.37.
[3] Almanya Ulusal Yapay Zekâ Strateji Belgesi, s.15.
[4] Çetin&Kumkumoğlu, s.40.
[5] Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, Türkiye’nin İlk Yapay Zekâ Stratejisi, https://cbddo.gov.tr/haberler/6126/turkiye-nin-ilk-yapay-zeka-stratejisi , E.T. 24.08.2021.
[6] Ulusal Yapay Zekâ Stratejisi, s.72, E.T. 24.08.2021
[7] Çetin&Kumkumoğlu, s.61.
[8] Çetin& Kumkumoğlu, s.62.
Pekin destekli hackerların İran kaynaklı hareket ettikleri izlenimi vererek İsrail’e siber saldırılar gerçekleştirdiği iddia edildi.
ABD’li siber güvenlik şirketi FireEye’ın İsrail ordusu ile birlikte gerçekleştirdikleri bir araştırmaya göre, UNC215 adlı Çin menşeli olduğundan şüphelenilen bir casus grubu güvenilir üçüncü tarafların kimlik bilgilerini çalmak için Uzak Masaüstü protokolleri (RDP) kullandıktan sonra İsrail hükümetinin ağlarına siber saldırı düzenledi. RDP’ler, bir hacker’ın bir bilgisayara uzaktan bağlanmasını ve uzak aygıtın “masaüstünü” görmesine olanak tanıyor.
Rapora göre, İsrail Savunma Ajansı tarafından paylaşılan bilgilerin yanı sıra FireEye verileri, Ocak 2019’dan başlayarak UNC215’in “İsrail devlet kurumlarına, BT sağlayıcılarına ve telekomünikasyon kuruluşlarına karşı” bir dizi eşzamanlı saldırı gerçekleştirdiğini ortaya koyuyor.
İRANLI KILIĞINA GİREN ÇİNLİ HACKERLAR
FireEye’ın raporu, ABD, Avrupa Birliği ve NATO’nun Çin’i yabancı hükümetlerden dünya çapındaki özel şirketlere kadar çeşitli kuruluşlara yönelik “kötü niyetli bir siber faaliyet modeli oluşturmak” ile suçlayan 19 Temmuz tarihli ortak açıklamasından kısa bir süre sonra geldi.
2019 ve 2020’de, hackerların İsrail hükümetinin ve teknoloji şirketlerinin bilgisayarlarına girdiği iddia edildiğinde, araştırmacılar siber saldırıların sorumlularını bulmak için ipuçları aramaya başladı. İlk kanıtlar doğrudan İsrail’in jeopolitik rakibi İran’a işaret ediyordu. Zira hackerlar genellikle İranlılarla ilişkili araçları kullandılar ve Farsça dilini kullandılar.
Ancak Orta Doğu’daki diğer siber casusluk davalarından elde edilen kanıtların ve bilgilerin ayrıntılı olarak incelenmesinden sonra, araştırmacılar bunun bir İran operasyonu olmadığını fark etti. Kanıtlar saldırıların İranlı hacker kılığına giren Çinli ajanlar tarafından gerçekleştirildiğini öne sürdü.
FireEye’deki tehdit istihbaratından sorumlu Başkan Yardımcısı John Holtquist, VOA’ya yaptığı açıklamada, Fireeye’nin sahip olduğu bir siber güvenlik operasyonu olan Mandiant’ın “bu kampanyayı Çin hükümeti adına faaliyet gösteren Çinli casusluk operatörlerine bağladığını” söyledi.
İRAN KELİMESİNİ İÇEREN DOSYA KONUMU KULLANDILAR
Araştırmaya göre, hackerların kullandığı taktikler arasında “İran” kelimesini içeren bir dosya konumu kullanılması yer alıyor. Aynı zamanda saldırganlar ele geçirilmiş bilgisayarlarda bıraktıkları adli delilleri en aza indirmek ve İsrail bilgisayarlarına girmek için kullandıkları altyapıyı gizlemek suretiyle gerçek kimliklerini saklamak için her türlü çabayı gösterdiler.
Washington’daki Çin Büyükelçiliği sözcüsü Liu Pengyu, Cyberscoop web sitesine verdiği röportajda FireEye’ın kanıt olarak sunduğu bulgulara meydan okudu. Pengyu, “Siber alemin sanal doğası ve izlenmesi zor olan her türlü çevrimiçi aktör olduğu gerçeği göz önüne alındığında, siber saldırılarla ile ilgili olayları araştırırken ve tanımlarken yeterli kanıta sahip olmak önemlidir.” dedi.
Washington merkezli bir Araştırma Enstitüsü olan Orta Doğu Enstitüsü’ndeki (MEI) Siber Program Başkanı Chris Kubecka ise FireEye’ın saldırılardan Pekin destekli hackerların sorumlu olduğu sonucunu çıkarmasının çok aceleci bir yaklaşım olabileceğini öne sürdü ve ekledi: “FireEye saldırıyı bir yere bağlayacak pozisyonda değil. Bu pozisyona ancak uygun bir soruşturmadan sonra hükümetler sahip olabilir.”
ORTADOĞU’YU BÖLME OYUNUNUN BİR PARÇASI
Kubecka, VOA’ya yaptığı açıklamada, Çin hükümetinin siber saldırılardan sorumlu olması durumunda, bunun Orta Doğu’yu altyapı ve ticaret anlaşmaları yoluyla siyasi olarak bölme oyununun parçası olabileceğini söyledi. Çin hükümetinin, geliştirme maliyetlerini düşürerek Çinli işletmelere ve nihayetinde Çin ekonomisine fayda sağlamak amacıyla teknoloji edinme ve kopyalama iştahı gösterdiğini söyledi.
Donald Trump yönetimi sırasında ABD, Çinli şirketleri ve çalışanları Amerikan teknolojisini ve ticari sırlarını çalmakla suçlamıştı. 2019’da Çinli teknoloji devi Huawei, ABD savcıları tarafından T-Mobile’dan ticari sırları çalmakla suçlandı.
BİR KUŞAK BİR YOL PROJESİNİN ZEMİNİNDE GERÇEKLEŞTİ
Washington merkezli Doğu-Batı Merkezi Araştırma Örgütü’nün kıdemli üyesi Denny Roy, VOA’ya bunun Çin’in ulusal kalkınma stratejisinin bir parçası olarak siber hırsızlığa olan bağlılığının bir göstergesi olduğunu söyledi ve şunları ekledi: “Pekin Çin’in dünya açısından ekonomik öneminin onu neredeyse her şeyden kurtulmasına izin verdiğini düşünüyor. Çin ne kadar küresel bir büyük güç olmayı hedefliyorsa, dış politikasında kendisini aynı anda hem İsrail hem de İran’a dost olarak göstermeye çalışmak gibi çelişkili baskılarla o kadar çok karşılaşacaktır.”
FireEye’den Holtquist, bu siber casusluk faaliyetinin Çin’in Bir Kuşak Bir Yol Projesi (Tarihi İpek Yolu’nu canlandırarak Pekin’den Londra’ya kadar kesintisiz bir ticaret yolu oluşturma hedefi) ile ilgili milyarlarca dolarlık yatırımının ve İsrail’in teknoloji sektörüne olan ilgisinin zemininde gerçekleştiğini savundu.
