Etiket arşivi: Cyber Test Systems

Makale & Analiz

Siber güvenlik stratejisinin 17. maddesi dile gelse de konuşsa…

1 Yorum

Türkiye siber güvenlik stratejisini açıklayalı yaklaşık bir buçuk yıl oldu. 2016-2019 yılları için hazırlanan stratejide belirtilen hedeflere ulaşmak için verilen zamanın neredeyse yarısı doldu. Hangi adımların atıldığı konusunda açık kaynaklarda net bir bilgi bulunmuyor. Böyle bir bilgi yoksunluğu ise bizi hayal gücümüzü kullanmaya itiyor.

Mesela ‘Stratejik Siber Güvenlik Amaçları ve Eylemleri’ başlığının 17. maddesinde bahsedilen ‘proaktif siber savunma yeteneklerinin geliştirilmesi’ ne ola ki diye düşünüyoruz. Bahsedilen yetenekleri geliştirmenin yollarından biri herhâlde ‘siber tatbikat düzenlenmektir’ deyip başlıyoruz araştırmaya…

İlk örnek Polonya’dan, ülkedeki siber güvenlik farkındalığını artırmak için kurulan Siber Güvenlik Derneği, enerji, finans ve telekomünikasyon sektörlerinde siber tatbikatlar düzenliyor. 2012’de ilk tatbikatını enerji sektöründe yapan dernek faaliyetlerini genişleterek 2015’de finans sektöründe maliye bakanlığının da katıldığı en geniş siber tatbikatını düzenledi.

Sektörel bazda takdire şayan bir başka örnek ABD’den. HITRUST Alliance adlı kar amacı gütmeyen kuruluş, sağlık sektöründe siber tehditlere karşı önlem almak ve yöneticileri karşılaşılacak siber krizlere karşı hazırlıklı hale getirmek için düzenli tatbikatlar düzenliyor. Anladığım kadarıyla ‘her şeyi devletten beklemek olmaz’ diyerek yola çıkan kuruluş üyeleri arasında siber tehditler konusunda bilgi paylaşımı da gerçekleştiriyor.

Avrupa’ya geri döndüğümüzde karşımıza Yunanistan çıkıyor. Yunan Savunma Bakanlığının özel sektör ve kamunun katılımıyla 2010 yılından bu yana düzenlediği Panoptes siber güvenlik tatbikatını diğerlerinden ayıran önemli bir özelliği var. Özel sektörden sadece kritik altyapı temsilcileri değil, iş dünyasının değişik aktörleri -mesela bir tekstil holdingi- de tatbikata katılabiliyor. Bu sayede tecrübe paylaşımını hedefliyorlar. Yunan Genelkurmayının liderliğini yaptığı insiyatifin amaçlarından biri de ‘ülkedeki siber uzmanları bir veri tabanında toplamak ve gerektiğinde operasyonel hale gelecek siber birimlerin oluşmasını sağlamak’ yani bir siber kriz anında devreye girecek siber milis birlikleri…

Örnekler çoğaltılabilir ama Lockedshileds’den bahsetmeden olmaz. CCD COE tarafından her sene daha başarılı şekilde düzenlenen tatbikatın bu seneki basın brifinginde bazı şirketlerden özellikle bahsedilmesi dikkat çekti: Threod Systems, Cyber Test Systems, Clarified Security, Iptron, Bytelife, BHC Laboratory.

Birçoğu Estonya merkezli olan bu şirketlerin (sitemizin takipçilerinin bildiği üzere CCD COE Estonya’dadır ve bu ülkenin girişimiyle kurulmuştur) NATO’nun en geniş çaplı siber tatbikatının düzenlenmesinde yer almalarının onlara küresel bir görünüm kazandıracağından şüphe yok. Başarılı bir ekosistem. Siyasi liderlik bir NATO merkezinin kurulmasına ön ayak oluyor. Siber güvenlik şirketleri ile birlikte çalışan merkez hem tatbikatı onlarla birlikte hazırlıyor hem de Eston şirketler NATO vitrinine çıkmış oluyor. NATO demişken, İttifak’ın siber güvenliğin dahil olduğu iki büyük tatbikatı daha var: Cyber Coalition ve Crisis Management Exercise (CMX)

Tren kaçmak üzere ama henüz kaçmış değil. Peki, Türkiye’deki siber güvenlik şirketleri ile devlet birlikte bir siber güvenlik tatbikatı düzenleyemez mi?

Ankara’nın geçen yıl yayınladığı strateji belgesindeki hedeflere ulaşması sadece kamu kaynaklarıyla zor gözüküyor. İlk adım olarak siber tatbikat konusunda özel şirketler ile ortak adım atılması, hatta tüm organizasyonun ve altyapının işletilmesinin şirketlere devredilmesi çok önemli bir adım olarak değerlendirilmeli. Orta vadede Türk şirketlerinin düzenlediği ulusal bir siber tatbikatın uluslararası boyuta taşınması ürün geliştiren siber güvenlik firmalarımızı yabancılarla buluşturacak etkili bir platforma dönüşmesini sağlaması işten bile değil.

Kısa not: Hollanda ve İngiltere gibi ülkelerin aksine, Türkiye’de açıklanan stratejinin üzerinden makul bir süre geçtikten sonra kaydedilen ilerleme ile ilgili bir bilgilendirme yapılmadığı için stratejide belirtilen hedeflere ne kadar ulaşıldığını bilmiyoruz. Ayrıca son açıklanan stratejinin eylem planı da henüz kamuoyu ile paylaşılmadığını da eklemek gerek.

Siber Bülten abone listesine kaydolmak için formu doldurun

 

Sektörel, Türkiye

Türkiye üyesi olduğu merkezin siber güvenlik tatbikatına katılmadı

Yorum yapın

Dünya çapındaki en büyük ve teknik olarak en gelişmiş siber tatbikatlardan biri olan Locked Shields 2017’nin “canlı” olarak gerçekleştirilen tatbikatı sona erdi. Toplam 3 bin sanal sistem ve 2 bin 500 saldırıyı barındıran etkinliğine yaklaşık 900 siber güvenlik uzmanı katıldı.

Türkiye’nin üyesi olduğu CCD COE düzenlediği siber güvenlik tatbikatına geçmiş senelerin aksine katılmaması dikkat çekti

ATSEC Bilgi Güvenliği CSO’su ve tatbikatın temel planlama ekibi olan Beyaz Takım’ın Başkan Yardımcısı Thomas Svensson, etkinliği “Mavi Takımlar, her yıl daha da gelişiyor ve tatbikatı temel planlama ekipleri için daha da zorlaştırıyor. Takımlara yeni zorluklar sunmak için bu yıl daha özel sistemleri de dâhil ettik.” dedi.

Svensson, “Locked Shields’da başarılı olabilmek için rakip takımların hem teknik hem de yumuşak becerilerde uzman olması, yani siber olayları çözerken medya ve yasal talepler gibi zorlukların da üstesinden gelmeleri gerekiyor.” diye ekledi.

İlgili haber >> Locked Shields 2016’nın galibi Slovakya oldu

Her yıl düzenlenen senaryo temelli ve gerçek zamanlı ağ savunma tatbikatı, ulusal BT sistemlerini günlük olarak koruyan güvenlik uzmanlarının eğitilmesine odaklanıyor. 2017’de Mavi Takımlar, tatbikat senaryosuna göre elektrik şebekesi sistemi, insansız uçaklar, askeri kumanda ve kontrol sistemleri ve bu alanlarda ciddi saldırılar yaşayacak olan kurgusal bir ülkenin bir askeri hava üssünün servis ve ağlarını veya diğer operasyonel altyapılarını korumakla görevlendirildi.

Olağan BT ortamlarına ek olarak, Locked Shields 2017’ye mevcut tehdit durumunu yansıtan çeşitli özel BT sistemleri de dâhil edildi.

Locked Shields tatbikatı 2010 yılından beri NATO Ortak Siber Savunma Mükemmellik Merkezi tarafından organize ediliyor. Her yıl, takımlar kurgusal bir ülkenin ağlarını ve hizmetlerini korumak için yoğun bir baskı altına alınıyor. Tatbikat; olayları çözme ve raporlama, adli zorlukları çözme ve yasal ve stratejik iletişimlere ve yerleştirme gibi senaryolara yanıt vermeyi içeriyor. Piyasadaki gelişmelere ayak uydurmak için Locked Shields, gerçekçi ve en yeni teknolojilere, ağlara ve saldırı yöntemlerine odaklanıyor.

Locked Shields 2017; Estonya Savunma Kuvvetleri, Finlandiya Savunma Kuvvetleri, İsveç Savunma Üniversitesi, İngiliz Müşterek Ordusu, ABD Avrupa Komutanlığı, Hava Operasyonları COE ve Tallinn Teknoloji Üniversitesi ile işbirliği içinde organize edildi.

Tatbikatta yer alan endüstri ortakları arasında Siemens AG, Threod Systems, Cyber Test Systems, Clarified Security, Iptron, Bytelife, BHC Laboratuvarı, openvpn.net, GuardTime ve başka birçok kurum yer aldı.

NATO’nun Ortak Siber Savunma Mükemmellik Merkezi (NATO CCD COE), teknoloji, strateji, operasyonlar ve yasalar alanlarındaki uzmanlığı ile siber savunmayı 360 derecelik bir bakış açısı ile sunan bir uluslararası topluluk olma özelliği taşıyor. NATO Ortak Siber Savunma Mükemmellik Merkezi, askeri, devlet ve endüstri kökenli uluslararası uzmanların bir araya geldiği bir grup.

İlgili haber >> Ankara’dan kritik siber güvenlik adımı: Türkiye CCD COE üyesi oldu

Merkeze, sponsor ülkeler ve destek veren katılımcılar tarafından maddi destek veriliyor ve kadro sağlanıyor. Ekim 2016 tarihinden itibaren Ortak Siber Savunma Mükemmellik Merkezi’nde Belçika, Çek Cumhuriyeti, Estonya, Fransa, Almanya, Yunanistan, Macaristan, İtalya, Letonya, Litvanya, Hollanda, Polonya, Slovakya, İspanya, Türkiye, Birleşik Krallık ve ABD gibi devletler bulunuyor. Avusturya ve Finlandiya ise destek veren katılımcı statüsü kazandı ve İsveç, NATO üyesi olmayan ülkelerin de dâhil olabildiği bu statüye sahip olmak için üyelik başvurusunda bulundu.