30 Ağustos – 5 Eylül 2014 tarihleri arasında TÜBİTAK tarafından düzenlenen Siber Güvenlik Yaz Okulu, bu yıl 3. defa gerçekleştirildi. Bir hafta süren yaz okulunda bu yıl ben de vardım.
Ankara’nın yaklaşık bir saat dışında, Büyük Anadolu Oteli adında bir termal otelde gerçekleştirilen yaz kampı, bu yıl da geçen yılki gibi, hem genç mühendislik öğrencilerini, hem de sosyal bilimler öğrencilerini ağırladı. TÜBİTAK Siber Güvenlik Enstitüsü uzmanları tarafından verilen eğitimler, en öncelikle, genç arkadaşlarda siber güvenlik konusunda bir bilinç ve farkındalık yaratmayı hedefliyor. İkinci olarak da, şimdiden siber güvenlik konusunda temel oluşturarak, ileride hem profesyonel hem de akademik hayatlarında siber güvenliğe yönelerek, ülkemizin siber güvenlik kabiliyetlerine katkıda bulunmaları planlıyor.
Yaz okuluna katılan öğrencilerde, bu alanda ciddi bir heyecan göze çarpıyordu. Henüz lisans yıllarında bulunmalarına karşın, bir çok arkadaşın siber güvenlik konusuyla özel olarak ilgilendiklerini, kendi imkanlarıyla kendilerini geliştirmeye çalıştıklarını gözlemlemek mümkün. Bu açıdan, siber güvenlik yaz okulunun da siber güvenlik birikimlerine önemli ölçüde katkıda bulunacağına inançları tamdı.
Yaz okulu mühendislik okuyan öğrenciler ve sosyal bilimler okuyan öğrenciler için gerçekleştirildi. Uluslararası ilişkiler kökenli olduğum için ben de sosyal bilimler için düzenlenen derslere katıldım. Bu derslerde, ilk olarak internet altyapısının özellikleri anlatıldı. Daha sonra siber saldırı tehditleri, bu tehditlerin tüm özellikleri ve şiddet dereceleri, teknik detaylarıyla birlikte sunuldu. Daha sonra uzmanlar ülkelerin siber alan kullanımları, siber kabiliyetleri ve bu alana yaptıkları yatırımları değerlendirdi. Bilgi güvenliği ve ISO 27001 konusunda da dersler bulunmaktaydı. Tüm bu derslerde özellikle üzerinde durulan konu, sosyal bilimler öğrencilerinin siber dünyadan ve siber güvenlik konularından korkmamaları gerektiğiydi. ABD gibi kimi ülkelerde siber güvenlik politikalarını düzenleyen bürokratların, teknik kökenli değil sosyal bilimler kökenli olmaları, özellikle üzerinde durulan örneklerdendi.
Sosyal bilimciler için siber güvenlik ve siber dünya eğitimlerinde genel olarak teknik eğitimden farklı bir metot izlenmelidir. Örneğin, siberalanı sosyal bilimci öğrencilere anlatmayı amaçlayan Jefferson’s Moose: The Notes on the State of Cyberspace kitabında siberalanın temel teknik detayları, analojiler/benzetmeler yoluyla anlatılır. Kitapta, internet altyapısı ve bu ağ altyapısının temel iletişim protokolü olan TCP/IP, telefon ağının iletişimi ile benzetmeler veya farklılıklar kurularak açıklanır. DNS’ten bahsedilirken, bunun bir telefon defterine benzediği, ağ protokollerinin, kullanıldığımız dillere benzediği gibi anaolojiler yoluyla, okuyucunun temel kavramlara hakim olması sağlanmaya çalışılır. Yaz okulundaki sosyal bilimler derslerinde de aynı şekilde eğitimciler benzetmelere sıkça başvurdular. Fakat gözlemleyebildiğim kadarıyla, teknik dilin daha da yumuşatılarak, meselenin detaylarından ziyade özünün verilmesi adına daha fazla günlük dil kullanılmasına ihtiyaç bulunuyor. Dahası, siber dünyanın özelliklerinin teknik detaylarından ziyade, hukuki veya politik önemlerinin daha fazla zikredilmesi, hem sosyal bilimler öğrencileri için daha fazla faydalı olacaktır, hem de teknik ve sosyal bilimci uzmanların ortak bir dil geliştirebilmeleri adına sağlam adımlar atılması mümkün olabilecektir.
Teknik eğitimdeki öğrenciler, eğitimlerine ek olarak, “Capture The Flag” yarışmalarıyla ve film gösterimleriyle sosyalleşme ve öğrendiklerini uygulama imkanları buldular. Aldıkları dersler çoğunlukla, güvenlik açıkları, dijital adli analiz, mobil güvenlik, APT ve zararlı yazılım analiz yöntemleri gibi temel siber güvenlik konularını içeriyordu.
Siber güvenlik yaz okullarını başarıyla sürdürerek ülkede siber güvenlik konusunda belki de en önemli farkındalık artırıcı etkinliğe imza atan TÜBİTAK Siber Güvenlik Enstitüsü, sosyal bilimlerde siber güvenliğin önemini en erken farkedenlerdendi ve dünya ile birlikte Türkiye’de de bu çalışmaların sürdürülmesi için var gücüyle çalışıyor. Programın (sosyal bilimciler için olan kısmı) için bir kaç öneri sıralamak gerekirse, analojilerden daha fazla yararlanılması, teknik detayların azaltılarak, bu teknik meselelerin dış dünyada karşılıklarının ne olabileceğinin anlatılması faydalı olacaktır. Örneğin DDoS saldırılarının teknik detaylarıyla birlikte, bir de bu saldırıların hukuki ve politik boyutu nedir, dünyada hangi bağlamda tartışılmaktadır, belli başlı teknik konular sosyal bilimcilerce nasıl ele alınmış gibi noktalar, derslerde muhakkak yer bulmalı. Buna ek olarak, bu alanda dünyada halihazırda yazılan kitap ve makalelere de kısaca değinmek faydalı olacaktır. Örneğin son yıllarda artış kazanan siber alanda devlet eşitliği gibi konularda ICAAN’ın rolü, BRICS ülkelerinin kendi fiber altyapılarını kurmak istemeleri ve NATO’nun siber saldırıları 5. madde kapsamında değerlendirme çabalarına değinilmeli, köşeyazılarındaki ve makalelerdeki trendler öğrencilerle paylaşılmalı. Bu eksiklikler, Siber Güvenlik Enstitüsü’nün eksikliği olmaktan ziyade, daha çok siber güvenliğin henüz yeni oluşan bir bilimsel alan olmasından ve de sosyal bilimlerde öneminin çok yeni zamanlarda farkedilmesinden kaynaklanmakta.
İlerleyen yıllarda, gerek yaz okulunda gerekse sosyal bilimler siber güvenlik çalışmalarında bu eksikliklerin giderileceği, ve dünyanın belli başlı ülkeleri ile birlikte Türkiye’de de interdisipliner siber güvenlik çalışmalarının devam edeceği, su götürmez bir gerçek.
Tubitak’ın bu güzel niyetindeki iki başarısızlığına vurgu yapmak gerekiyor.
1 – Eğitimdeki dilin çok teknik olması, eğitmenlerin sosyal bakış açısındaki eksikliği gösteriyordu. Yazıda da bahsedildiği gibi, bu konudaki sosyal literatür çalışmalarına hiç değinilmedi bile. Tubitak bünyesinde, bu işin sosyal yönüne odaklanacak bir ekip kurulmalı ve başında da yine sosyal bakış açısına sahip kişiler bulunmalıdır.
2- Kura ile belirlenen katılımcıların bu kadar istekli görünmesini de garipsedim açıkçası. Katılımcı kitlesinin “rastgele” belirlenmesi de, tubitak eğitmenlerinin bu kampa bakış açısının, bir bilgisayardan çok da farklı olmadığını gösteriyor.