Siber güvenlik ile ilgili okuyup yazmaya yeni başladığım zamanlar ‘Acaba bu konuyu ben mi abartıyorum?’, ‘Aslında sandığım kadar kritik bir mesele değil mi?’ diye şüphe dolu düşünceler zihnimi meşgul ederdi. Kopenhag Okulu bakış açısıyla siber alanın ‘güvenlikleştirilmesi’ (securitization) süreci üzerine çalışırken NATO’nun başlı başına siber alanı askerileştirmesini (militarization), güvenlikleştirme sürecinin ilk adımı olarak kabul eden çeşitli makalelere rastlamıştım. O zamanlar NATO Kuvvetler Komutanı olan James Stravridis (Dedeleri Anadolu’dan göç etmiş Rumlardandır) emekli olup görevden ayrılmadan önce siber güvenliği İttifak’ın öncelikleri arasına katma konusunda attığı adımlar ve veda konuşmasında siber alanın güvenliğine dair vurgusu şüphelerimi dağıtmaya yetmişti.
İki hafta önce Foreign Policy dergisinde emeklilik günlerini Tufts Üniversitesi bünyesindeki Fletcher School of Law and Diplomacy bölümünün dekanlığını yaparak geçiren Stravridis’in ABD’nin siber güvenlik stratejisine dair önemli bir yazısı yayınlandı. Eski komutanın stratejiyi hedef alan eleştirileri, Türkiye’de şikayet edilen konuların neredeyse hepsinin aslında dünyada da çözülemediğini gösteriyor. Bu yüzden son zamanlarda sıklaşan siber güvenlik eğitimleri kadar siber güvenlik yönetişimine dair de ciddi mesai ayrılmalı ve akademik çalışmalar düzenlenmelidir. Bu açıdan eski NATO komutanına kulak vermekte fayda var.
- Stravridis’in eleştirilerinin başında siber güvenlik ile ilgili kurumların daha iyi bir şekilde organize edilmesi bulunuyor. FBI, NSA ve Anayurt Güvenliği siber güvenlikte başı çeken kurumlar. Görünüşte bir koordinasyon olsa da siber güvenlikle ilişkili 6 farklı merkezin hiçbiri liderliği üstlenmiyor. Stravridis’e göre daha da kötüsü ‘tarım ve ulaşımla ilgili bakanlar olmasına rağmen kabinede siber güvenlikle ilgili tek bir ses yok.’ Türkiye’deki durumda AFAD’dan TSE’ye kadar birçok kurum siber güvenlik filinin bir tarafını tutmuş gözüküyor, lakin iyi niyetli bu gayretlerden daha verimli sonuçlar alınması için yönetişim şart.
- Amerikalı komutan orduda derhal bir ‘Siber Kuvvetler Komutanlığının’ tesis edilmesini öneriyor. Mevcut Siber Komutanlık altında yer alacak bu birimde ilk etapta 5-10 bin kişi istihdam edilmesi ve merkezinin Silikon Vadisi’nde bulunması gerekiyor. ABD’nin şimdiki ‘siber ordusunun’ toplama bir ekip olduğunu eleştiren Stravridis, tamamen kendini bu konuya vakfetmiş kadroların toplanmasının acil ihtiyaç olduğunu söylüyor. Genelkurmay Başkanlığı bünyesinde Siber Savunma Komutanlığı’nda eminim çeşitli çalışmalar yapılıyordur. Sitemizin dikkatli takipçileri arasında yer alan subaylarımızın gözünden kaçmaması için Stravridis’in orijinal bir önerisini buraya ekliyorum: “Oluşturulacak siber kuvvetin çalışma mantığı Sahil Güvenlik gibi olabilir çünkü hem kolluk kuvveti hem de silahlı kuvvet gibi operasyon yapabilme yetki ve kabiliyetine sahipler.” Böylece siber suçlarla mücadele ederken kazanılan teknik tecrübe uluslararası siber çatışmalarda kullanılabilir. Günümüzde özel şirketlerin giderek daha fazla politik hedef haline geldiği düşünülürse, Türkiye için de uygulanabilir bir öneri gibi duruyor.
- Stravridis ABD’de yıllardır tartışılan NSA ve Siber Komutanlığın ayrılmasını da listeye eklemiş. Görevlerin farklı olması ve kontrol edilecek yetkilerin genişliği bir kişinin taşıyabileceğinden fazlasını içerdiği için böyle bir kanıya varmış eski komutan. Türkiye’nin siber yönetişimi için böyle bir sorun henüz bulunmuyor.
- Güçlü bir kamu özel sektör iş birliği Stravridis’e göre de şart. Sanırım komutanı Savunma Bakanlığının Silikon Vadisinde bir ofis açması kesmemiş ki daha fazlasını istiyor. Türkiye’de geleceğe yönelik umut verici haberler geliyor. Bu sene ülkemizin katılmadığı Lockedshields’te geçen sene Türkiye içerisinde bir özel şirketin de bulunduğu ekip ile yer almıştı. Siber güvenlik stratejisinin gerçekleştirilmesinden, BotNet çökertme operasyonlarına kadar kamu özel sektör iş birliği görülüyor. Bu iş birliğinin istihdam konusunda da yeni bakış açılarıyla genişletilmesi Türkiye gibi siber güvenlik uzmanı ciddi seviyede olan bir ülke için ihtiyaçtan da ötesi.
- Bu madde adeta ciğerleri dağlıyor: Eğitim. En zayıf halka insan deyip duruyoruz, ama ne yapıyoruz? Siber güvenlik eğitimini uzmanlık eğitimi ve farkındalık eğitimi olarak ikiye ayırıp ‘Ben sızma testi eğitimi değil, ortaokul çocuklarına farkındalık eğitimi vereceğim.’ diyen bir babayiğit STK çıkmasını umuyoruz artık. Stravridis de der ki, ‘Güçlü parolalar, oltalama saldırılarına karşı uyanıklık gibi önlemler zafiyetlerimizi önemli ölçüde azaltacaktır.’
- Son madde siber caydırıcılık ve taruzi siber operasyonların çerçevesini belirleyecek olan doktrin, siyasa ve stratejinin oluşturulması ile ilgili. Siber silahlar evrilerek çoğalıyor ve siber tehditler ulusal güvenliği daha fazla hedef alıyor. Buna karşı koyacak strateji sadece ‘Siber güvenlik ulusal güvenliğin bir parçasıdır’ ifadesini tekrarlamak olmamalı. ‘Türkiye’nin siber caydırıcılığını nasıl ölçümlemeliyiz?’, ‘Bu konudaki iletişim stratejisi nasıl olmalı?’, ‘Uluslararası örgütler, antlaşmalar ve BM nezdindeki çalışmalarda Türkiye nasıl bir rol oynamalı?’ gibi soruların cevapları bugün düşünce merkezlerinin öncelikli soruları arasında yer almalı.
