Geçtiğimiz hafta istihbarat çalışmaları üzerine yoğunlaşanlar ya da meraklı olmanın ötesine geçenler için yoğun bir dönemdi. Sadece Suudi gazeteci Cemal Kaşıkçı’nın ayrıntıları merakla beklenen ‘kayboluşunun’ perde arkası ya da Pastör Brunson olayı bile bir hafta için fazlasıyla okuma/düşünme malzemesini önümüze yığmışken, kafamızı biraz olsun coğrafyamızdan kaldırıp küresel arenadaki hamlelere baktığımızda karşımıza binlerce parçalık bir muamma buluyoruz.
Sadece geçen hafta yaşananlara kısa bir bakış atalım.
Dünyanın en büyük istihbarat paylaşım ittifakı olan, ‘Beş Göz’ün (ABD, İngiltere, Avustralya, Yeni Zelanda, Kanada) Çin’in etki operasyonlarına ve teknoloji yatırımlarına karşı daha güçlü bir cephe oluşturmak için Almanya ve Japonya gibi ülkelerle işbirliğini pekiştirme kararı aldığı ortaya çıktı.
Reuters haberine göre, beşli ittifakın elinde bulunan Çin ile ilgili gizli bilgiler bu ülkelerle de paylaşılması Beş Göz’ün gayri resmi olarak genişlemesi anlamına geliyor. Japonya ve Almanya dışında Fransa’nın da daha az kapsamlı şekilde ittifak ile ortak çalışma yürütüldüğü de ifade edildi.
Haberin sızdırılmasının zamanlaması da dikkat çekici.
Özellikle ABD ve Avustralya’da stratejik sektörlere yönelik yabancı yatırımlarının kısıtlanmasına yönelik yasal düzenlemelerin yapıldığı bir dönemde böyle bir kararın açıklanması Çin’in yabancı teknoloji şirketlerine yönelik politikalarını yeniden düşünmesine yol açar mı bilinmez. Fakat dış borcumuzu kapatmak için sıcak para arayışımızda uğrayacağımız duraklardan birinin de Çin olması Türkiye’deki teknoloji sektörü için ilginç günleri yaşayacağımızın işareti olabilir.
İngiltere ve Hollanda’nın başını çektiği Avrupa ülkeleri de siber saldırı düzenleyen yabancı kuvvetlere karşı yaptırım prosedürlerinin daha sertleşmesi konusunda çalışmalarına hız verdi. Avrupa Birliği’nin halihazırda nükleer ve kimyasal silah antlaşmalarına uymayan ve terörizmi destekleyen ülkeler ile kişileri cezalandırmak için uyguladığı prosedürlerin benzerini, siber saldırı düzenleyenleri de kapsayacak şekilde genişletmesi talep ediliyor.
Hollanda ve İngiltere’nin yanı sıra Estonya, Finlandiya, Letonya ve Romanya’nın diğer AB ülke temsilcilerine ilettiği ve Bloomberg tarafından haberleştirilen metinde ‘Benzer bir (yaptırım) rejiminin kötücül siber aktivitelere karşı da uygulanması acil olarak gereklidir.’ ifadesi yer aldı.
Ekim ayının başında, ABD, İngiltere ve Hollanda makamları Rusya’nın askeri istihbarat birimi GRU’nun, Moskova’nın usulsüz işlere giriştiğini tespit eden kimyasal silahların kullanımını düzenleyen BM birimi ve Rus sporcuların doping yaptığını belirleyen çeşitli anti-doping kurumlarının ağlarına girmeye çalışmakla suçlamıştı.
Rusya’nın siber casusluk dosyasının giderek daha da kabarması 2015 yılından bu yana siber saldırıların da yaptırım kapsamına alınmasını isteyen ülkelerin elini güçlendirmiş durumda. Kim bilir belki benzer bir yaptırım rejimine Türkiye de dahil olmak ister?
Beş Göz cephesinde ‘safları genişletme’ kararına ve Avrupa Birliği’nde Rusya’ya karşı ‘siber yaptırım’ regülasyon talebine göre daha somut ve ofansif bir adım İngiltere’den geldi.
İngiliz savunma bürokratlarına dayandırılan haberde, İngiliz ordusunun savaş oyunu sırasında Moskova’da siber yollarla elektrikleri kesecek bir simülasyon gerçekleştirdiği açıklandı. Eski bir Rus ajanının İngiltere’de zehirlenmesinin arkasında Rus istihbaratının çıkmasının ardından İngiltere, Rusya’ya karşı sert bir politika uygulamaktan çekinmiyor. Kendi toprakları içerisinde çekilen bu operasyonu egemenliğine bir saldırı olarak niteleyen Londra yönetiminin ilk başvurduğu politika setinin içerisinde siber yollardan Moskova’nın elektriklerini kesmek gibi kulağa marjinal gelen yöntemlere başvurmasına sanırım kısa sürede alışacağız çünkü haberden anlaşıldığı üzere, İngiliz ordusu Rusya’ya karşı oluşturulan stratejide siber yollardan kritik altyapılara verilecek zararları da ciddi şekilde hesaba katmış durumda.
‘Siber güvenlik ulusal güvenliğin bir parçası haline gelmiştir,’ atasözümüzü etkinlik mevsimine girdiğimiz şu günlerde çok duyacaksınız. ‘Siber alan diplomasinin merkezine doğru hızlı yürüyüşüne devam ediyor,’ sözünü ise muhtemelen ilk kez duydunuz.
Türkiye’de gelecek sene yapılması planlanan seçimler 24 Haziran’a alınmadan önce bir grup siber güvenlik meraklısı ile oturup acaba Türkiye’de ABD’de olduğu gibi bir seçim hacklenmesi söz konusu olur mu diye konuyu enine boyuna tartışmıştık. Herkes gibi biz de erken seçim kararı ile ters köşe olsak da seçim hacklenmesi konusu Türkiye’de demokratik seçimler yapıldığı sürece dikkat edilmesi, önlem alınması gereken bir mesele olarak kalacak.
Aslında 2008’de ‘Ben geliyorum’ diyen, 2014’de Ukrayna’da ‘buradayım’ diye bağıran ve sonunda ABD seçimlerinde inkar edilmesi imkansız hale gelen bir olgu seçim hacklenmesi. Sadece ABD’nin değil, AB’den ayrılma kararı veren İngiltere’nin yaptığı Brexit referandumundan, aşırı sağcıların yükselişe geçtiği Fransa ve Almanya’ya kadar batılı demokrasilerin başının belası haline gelmiş durumda. Üstelik sadece gelişmiş ülkelerin değil, Karadağ gibi sadece uluslararası ilişkiler meraklılarının takip ettiği ülkelerde bile seçim hacklenmesine rastlamak mümkün.
Gelin isterseniz birkaç soruyla Türkiye ve seçim hacklenmesini masaya yatıralım:
1. Önce temel bir soru: Seçim hacklenmesi nedir?
Seçim hacklenmesini üç farklı ya da birbirine geçmiş durumda incelemek mümkün:
– Seçim sonuçlarının elektronik ortamda değiştirilmesi:
ABD’de oy kullanma makinalarının veya Türkiye’de YSK’nın sistemlerinin hacklenerek oy sayılarıyla oynanması olarak tanımlayabiliriz. Burada hedef alınan seçmenler değil oy sayıları. Dolayısıyla seçmen davranışını etkilemekten ziyade direkt sonuçlarda değişikliği amaçlayan bir saldırı. ABD’de beyaz şapkalı hackerların bu makinaların güvenli olmadığına dair dillerinde tüy bitti ama hala bir önlem alınmadı. Türkiye’de de YSK sistemine yoğun bir şekilde DDoS yapıldığı çeşitli zamanlarda medyada haber olmuştu. Zaten iki sene önce milyonlarca seçmenin kişisel verisinin ortaya saçılması sonrasında takınılan tavır bu konudaki ciddiyeti göstermişti.
– Sosyal medya ve yalan haber aracılığıyla seçmen davranışlarının manipüle edilmesi:
İnternet ile demokrasinin dünyada güçleneceğine inananların yaşadığı en büyük hayal kırıklığı sosyal medya yoluyla demokratik kurumlara olan güvenin sarsılması olsa gerek. Farklı fikirlerin gündeme getirildiği, hükümetlerin değil halklarının sesinin duyulduğu bir mecra olacağı düşlenen sosyal medya baskıcı rejimlerde yaşayan insanların tek nefes alacağı yer olmuştu. 2009’daki İran seçimleri sonrasında muhalif göstericilerin organize olmalarında oynadığı rol ile ‘aktif siyasete giren’ internet, Arap Baharı’na gelindiğinde siyasi rejimleri dönüştürücü bir güce ulaşmıştı. Tabii bu gücün farkına sadece özgürlük isteyen halklar değil aynı zamanda rejimlerini koruma gayesindeki anti-demokratik yönetimler de varmıştı. Kendileri için tehdit olarak gördükleri ‘bilgiyi’ manipüle ederek karşı tarafa yönlendirmenin peşindeydiler.
Her şey zamanla gelişti. Batılı demokratik dünya yıllar sonra bugünlere bakıp yavaş yavaş ve herkesin gözü önünde sosyal medyanın demokrasiye karşı bir silah olarak kullanılmasını okuduğunda Hitler’in yükselmesine verdikleri tepki gibi ‘nasıl da görememişiz?’ diyecekler. Abarttığımı düşünenler olabilir. Ama kimsenin sosyal medyanın demokrasiyi tehdit eden bir hal almasını kritik bir tehlike olarak görmemesi tehlikenin boyutunu bir kat daha artırıyor.
St Petersburg’da, Kremlin desteğiyle kurulan Internet Research Agency (IRA) Rusya’nın troll fabrikası. Troll deyip geçmeyin. Bazı kaynaklara göre, 12 saatlik vardiya usulüyle çalışan ve 20’lerinde olan bu gençlerin haftalık kazançları 1400 dolar. Her ne kadar sosyal medyada kendileriyle alaycı bir ifadeyle dalga geçilse bile, sanıldığı kadar ‘boş’ insanlar değiller.
Özellikle ABD seçimlerine yönelik çalışma yapanların İngilizce ve genel kültür bilgilerinin yüksek olması bekleniyor. IRA bu gençlerin hedefe yönelik daha iyi çalışabilmesi için hiçbir fedakarlıktan kaçınmıyor. ABD basınına göre, seçimler öncesinde Demokrat ve Cumhuriyetçi adaylar arasında karar veremeyen eyaletlerdeki (swing states) seçmenleri daha yakından tanımak için IRA’da çalışan 2 Rus genç 3 haftalığına araştırma yapmak için bu eyaletlere gönderilmiş.
Tekrar ediyorum troll deyip hafife almamak lazım. IRA’daki Rus gençler bir yandan sosyal medya üzerinden, azınlık hakları, kürtaj, göçmenler ve İslam ile ilgili toplumdaki ayrışmayı derinleştirecek paylaşımlar yaparken, diğer taraftan etkileri fiziksel dünyayı da kapsayacak siber operasyon çekme peşine düşmüşlerdi. 2015 yılında New York’ta ‘Bedava Hotdog’ etkinliği için Facebook’dan bir sayfa açan troller belirledikleri gün ve zaman içerisinde Times meydanında yüzlerce kişinin toplandığını görünce hem Amerikan toplumunun saflığına şaşırmış hem de St Petersburg’daki masalarından dünyanın en güçlü ülkesinde nasıl bir etkiye sahip olduklarını görüp gurur duymuş olmalılar.
Son seçimde, ABD’deki 200 milyon seçmenin yaklaşık 140 milyonu sandığa gitti. Facebook’a verilen reklamlar sayesinde trollerin hayal gücüne dayalı sosyal medya postları ve yalan haberler 128 milyon ABD’li Facebook kullanıcısına ulaştı. Twitter’da ise 288 milyon görüntülenme aldı.
– Gizli yazışmaların ve diğer bilgilerin sızdırılmasıyla kampanya sürecine zarar verilmesi:
Türkiye’nin 2014 yerel seçimleri öncesinde internette yayınlanan ses kayıtları ile tecrübe ettiği bir durum. ABD’de ise Demokrat Parti’nin kampanya yöneticisinin sürecin ortasında istifa etmek zorunda kaldığı sızdırma operasyonu. Her şey Bill Clinton’un özel kalem müdürlüğünü yapmış, Hillary Clinton’un ise kampanya yöneticiliğini sürdüren John Podesta’nın mailleri Rus ajanların eline geçmesiyle başlıyor. Arkasındaki hikaye ise oldukça ibretlik. Podesta’nın kişisel mail adresini yöneten asistanları sosyal mühendislik teşebbüsü olarak gördükleri bir maili Demokrat Parti’nin bilgi güvenliği uzmanlarından birine gönderiyor. Uzman ‘This email is legitimate’ cevabını veriyor. Aslında ‘illegitimate’ yazmak istemiş ama bir yazım hatası kurbanı olmuş. Sonunda Rus hackerlar Demokrat cephenin ağır toplarından birinin tam 10 yıllık mail geçmişini ele geçirmiş oluyor ve Podesta istifa ediyor.
Sadece Podeasta’nın mailleri ile sınırlı kalmıyor Rusların sızdırma operasyonu. Ukrayna krizi sırasında ABD Dışişleri Bakan Yardımcısı Victoria Nuland ile dönemin Kiev Büyükelçisi arasında yapılan bir telefon görüşmesi de Youtube’a sızdırılıyor. Konuşmada Nuland, AB’nin Rusların Kırım’ı işgaline sessiz kalmasını eleştirerek ‘Fuck European Union’ ifadesini kullanıyor. Amerikan büyükelçisi de kendisine destek veriyor. Görüşmenin sıradan iki diplomat arasında geçmediğine dikkatinizi çekmek isterim. Görüşmede hangi telefonun kullanıldığına dair bir ayrıntı bulamadım. Ama Nuland gibi Rus karşıtı hatta Putin düşmanı bir diplomatın konuşmalarında daha dikkatli olması beklenir. Nuland sızdırma olayı sonrasında AB ile ABD arasında ilişkilerin yeniden rayına oturması için çabalasa da, yaptığı hata kariyerine mal oldu. Böylece Ruslar hem ABD yönetimini AB ve dünyanın gözü önünde küçük düşürmüş hem de kendilerinden haz etmeyen parlak bir diplomatı saf dışı bırakmış oldu.
2. Türkiye’de seçim hacklenmesi neyi etkiler?
Aylar öncesinde EDAM’ın bir yuvarlak masa toplantısında Akın Ünver hocaya aynı soruyu sormuştum. ‘Zaten kutuplaşmış bir toplumuz. Kimin hangi partiye vereceği belli. Neden böyle bir toplumda siber gereçler kullanılarak manipülasyon yapılmak istensin?’ Akın Hoca cevaben sosyal meseleler etrafında kutuplaşmış toplumların seçim hacklenmesine daha kolay hedef olacağını belirtip, asıl Türkiye gibi toplumların dikkat etmesi gerektiğini söylemişti.
Evet, manipülasyon kutuplaşmış bir toplumda seçimleri etkileyen bir psikolojik harp aracı olarak kullanılabilir. Fakat, eğer direkt seçim sonuçlarını değiştirebilecek bir operasyondan bahsediyorsanız sosyal medya pek bir işe yaramaz. Yani CHP’li olan birini AK Partili hale getirmeyeceği gibi tersini de başaramaz. İnsanların zaten oy vermeyi planladığı partiye/adaya ilişkin güvenini ve inancını perçinler; diğer taraftan da rakibinden olabildiğince nefret etmesini sağlar. Sonuç kaçınılmaz bir kutuplaşma olarak karşımıza çıkar. Facebook algoritmaları, kullanıcının bir post’u beğendiğinde, aynı düşünce atmosferine sahip daha fazla post’u görmesini sağlıyor. Bu da insanların sosyal medyada ‘siyasi mahallelerinden’ (Rahmetli Şerif Mardin’in kazandırdığı bir terim) çıkamamasını sağlıyor. İsterseniz siyasi görüşünüzün tersi postları beğendiğiniz bir Facebook hesabı açın çok farklı bir tecrübe yaşayacağınıza eminim 🙂
Oy sayısını değiştirme odaklı baktığımızda bir işe yaramayan sosyal medya operasyonları seçime katılım ve seçimde görev alma gibi yan faktörler konusunda oldukça etkili olabiliyor. Bir arkadaşınızın Facebook’da seçim günü gönüllü olduğunu gördüğünüzde veya bir başkasının mitingde çekilmiş fotoğrafı denk geldiğinde sizin de kampanya süreçlerine olan katılımınızın artması bekleniyor. Ya da tam tersi oluyor: O arkadaşı listenizden siliyorsunuz.
Seçime katılım özellikle merkezden uzak bölgelerde milletvekili sayısını ciddi şekilde etkileyen bir faktör. Seçim sisteminin ittifakların önünü açmasıyla daha da önemli hale geldi. Sosyal medyanın, seçmenlerin savunduğu siyasi kutup ile ilişkilerini perçinlemede bir etmen olduğunu kabul edersek ‘Nasıl olsa benim adayım kazanmayacak’ ya da ‘oyum boşa gidecek’ gibi düşüncelerle sandığa gitmeyecek insanları Facebook postları sandığa götürebilir. Ama yine de sosyal medya manipülasyonunun Türkiye’de seçim sonuçlarında kazananı belirlemede etkili olması beklenemez. Bunun en önemli nedeni seçimin galibi ile ikincisi arasında bu kadar oy farkının olmasıdır.
Türkiye’de ‘kemik seçmen’e dahil olmayan, kimi araştırma şirketine göre yüzde 2, kimine göre yüzde 8-9’luk bir kitle var. Bu kişilerin seçmen davranışlarının ‘hackleme’ neticesinde manipüle edildiğini varsaysak bile Türkiye’deki başkanlık seçimlerinde kazananı değiştirecek boyuta ulaşması söz konusu olamaz. Oysa ABD’de 2016 seçim sonuçları tam anlamıyla kıl payı şekilde sonuçlanmıştı.
Sosyal medya manipülasyonu sadece seçimde mi işe yarar?
Putin’in 2014 yılında Ukrayna’da fark ederek siber operasyonlarla istismar ettiği olgu sosyal ayrışmalardı. Ülkenin Rusça konuşan tarafı ile geri kalan bölümleri arasındaki derin ayrılıklar, Kremlin’e kurumlara olan güveni sarsma, seçim sonuçlarından mahkeme kararlarına kadar her şeye şüpheyle yaklaşmaya neden olan bir psikolojik atmosfer oluşturma imkanı sunmuştu. Benzer ve daha kapsamlı bir süreç bugün ABD’de işliyor. Başta demokrasi olmak üzere kurumsallaşmış yapılar güvensizlik sendromuyla boğuşuyor.
Sonuç olarak her ne kadar seçim sonuçlarında kazananı belirleyebilecek faktörler arasına girmese de sosyal ayrışmanın her geçen gün daha da derinleştiği ülkemizde azınlık hakları, dini inanç, Atatürk ve hatta futbol takımları ekseninde yalan haber üzerinden ayrışma noktaları kaşınabilir.
Dikkatli olup Taksim Meydanı’nda ‘Bedava Döner’ kampanyasına atlamamak lazım.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
FBI’a bağlı olarak çalışan İnternet Suçları Şikayet Merkezi (IC3) ABD’de halkın İnternet ile ilgili suçları güvenilir bir şekilde bildirmesi ve sektör ile kolluk güçleri arasında iş birliği geliştirilmesi amacıyla kurulan bir merkez.
Kurulduğu 2000 yılında sadece ABD’den şikayet alan IC3, İnternet suçlarının karakteri gereği bugün dünyanın çoğu ülkesinde başı İnternet’te bir belaya karışmış insanların ilk başvurduğu adreslerden biri haline gelmiş durumda. 18 yıldır sıkı şekilde çalışan IC3, bünyesinde topladığı muazzam siber istihbaratı, kamuoyunda farkındalığı artırmaktan uluslararası operasyonlarda işlevsel hale getirmeye kadar birçok alanda kullanılmak üzere ilgili devlet kurumlarıyla paylaşıyor.
IC3’ye yağan şikayetler arasında her türlü İnternet ilintili suça rastlamak mümkün. kara para aklama da, İnternet üzerinden hakaret ve tehdit de IC3’nin ilgi alanına giriyor. Siber terörizm ile ilgili kavram karmaşası siber suçlarda da olduğundan bu tür merkezlerin ilgi alanlarını düzgün tanımlamaları ve misyonlarını yerine getirmeleri açısından kritik önemde. 2003 yılına kadar Internet Fraud Complaint Center adıyla faaliyet gösteren merkez, bu tarihten sonra Internet Crime Complaint Center adını alıyor.
IC3 her sene kendisine gelen şikayetlerin (Sadece ABD’den her sene 100 binden fazla şikayet geliyor) istatistiklerini küresel kamuoyuyla paylaşıyor. Merkezin elde ettiği Türkiye ile ilgili yayınlanmayan fakat ilgili kurumlarla paylaşılan bilgiler, hem Türkiye’de işlenen siber suçların anatomisini anlamak, hem de yapılan/yapılacak farkındalık çalışmaları adına yol gösterici nitelikte.
FBI’ın kurduğu yıllık aidat ile üye olunan IC3 mekanizması özel sektör ve kamu arasında siber suçu engelleme odaklı başarılı bir girişim.
2016 yılında 286 ayrı kişiden 336 şikayet gelirken 2 milyon doların üzerinde maddi kayıp yaşandığı rapor edilmiş.
2017 yılında ise 156 kişi ve/veya kurumdan gelen 351 şikayet sonucunda 11,5 milyon dolarlık bir maddi kayıp meydana gelmiş.
Şikayet eden kişi ya da kurum sayısı düşerken yaşanan maddi kaybın ciddi oranda artması üzerinde düşünülmesi gereken bir nokta. Sanıyorum ilgili kurumlarımızda ABD’li yetkililerle bu konuda temas halindedir. Tabi 2017 yılında tüm dünyayı kasıp kavuran başta WannaCry olmak üzere fidye yazılımların bu artışta önemli bir faktör olduğu değerlendirmesi yapılabilir.
İki yıl arasına sadece IC3 rakamlarına bakıldığında ABD’de yaşanan maddi kayıplarda yaklaşık yüzde 10’luk artış varken, İngiltere’de (WannaCry’ın en fazla zarara uğrattığı ülkelerin başında geliyor) zarar 34.7 milyon dolardan 46.6 dolara yükselmiş.
2017’de Türkiye’den gelen şikayetler, suç çeşitlerine göre incelendiğinde ise en çok dolandırıcılığın yapıldığı suç alanı güven sahtekarlığı ve romantik ilişkiler olmuş. Bu satırları okuyanların ‘eh yani’ deyip tahmin etmekte zorlanmadıklarını ifade ettiklerini duyar gibiyim. Sahte profillere kanma, iki fotoğraf birkaç iltifatla tav olmaya çok yatkınız millet olarak heralde.
Çapkınlık, hadi duygusal ilişki diyelim, 2007’deki 351 şikayetin neredeyse üçte birini (120 şikayet) teşkil ederken, siber suçlulara kaptırılan paranın yarısından fazlasını (yaklaşık 7 milyon dolar) oluşturuyor. Duygusal sahtekarlıktan mağdur olanlar 30-39 yaş aralığında bulunuyor. Mağdurlar arasında 60 yaşını aşan kişilerin de yer aldığını not etmeden geçemeyeceğim.
Bu arada Türkiye’den IC3’nin web sitesine (www.ic3.gov) erişim sağlanamıyor. Yüzlerce insanımız Türkiye’de yaşadıkları siber mağduriyetleri FBI’a bildirme konusunda onlara bir zorluk daha neden çıkartılmış bilen varsa yoruma yazarsa çok sevinirim.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Siber güvenlik konusunda öne çıkan ülkelere baktığımızda yönetim şekilleri arasında büyük bir fark olduğunu görüyoruz. ABD, İngiltere, Fransa gibi demokratik, serbest piyasa ekonomisini benimsemiş ülkeler bir yanda, Rusya ve Çin gibi özgürlüklerin kısıtlandığı, devletin ekonomiye hakim olduğu otokratik rejimler de öbür yanda duruyor. Siber alanda ‘güçlü ülke’ olarak anılan bu devletlerin siber alan stratejileri arasında ciddi uçurum bulunuyor.
Birinci gruptaki ülkeler fırsat odaklı bir yaklaşım sergilerken, ikinci gruptaki devler siber alan politikalarını tehdit algısı üzerine şekillendiriyor. Birincilerin siber güvenlik şirketleri dünyanın dört bir yanında ihracat peşinde koşarken, Çin ve Rusya’nın şirketlerine yönelik güven duygusu sürekli azalıyor. İngiltere siber güvenlik stratejisinde hedefini ‘dünyada online ticaretin en güvenli yapıldığı ülke olma’ olarak belirliyor, İsrail siber güvenlik ihracatı her geçen gün artıyor; ABD’de siber güvenlik start-up’larına yatırım yağıyor. Diğer tarafta ise Rus şirketi Kaspersky en büyük müşterisi olan ABD’de ciddi bir bunalım yaşıyor. Güvenlik şüphesiyle yaklaşılan Huawei dışında, Çin sadece siber espiyonaj operasyonlarıyla, İnternet’e getirdiği kısıtlamalar ile gündeme geliyor. Yani demokratik siber güçlerin şirketleri demokratik olmayan siber güçlere fark atıyor. Türkiye’nin de siber alandaki tehditlere değil de fırsatlara yoğunlaşarak özel sektörü güçlendirmesinin orta-uzun vadede milli çıkarımıza olduğuna kesinlikle inandığım için siber güvenlik sektörünü geliştirmeye yönelik adımları kritik önemde buluyorum.
Bu ideal doğrultusunda Türkiye Bilişim Vakfı bünyesinde kurulan Başlangıç Noktası’nın start verdiği Siber Güvenlik Kariyer Sohbetleri hem sektörel bir networking fırsatı sunması açısından hem de tecrübenin yeni kuşakları ulaşması anlamında fonksiyonel bir rolü olabilir.
İlki mart ayında İstanbul’da düzenlenen sohbet serisinin konukları Burak Sadıç ve Levend Abay’dı.
Güvenlik sektöründe farklı şirketlerin değişik kademelerinde bulunduktan sonra siber güvenlik direktörü olduğu PwC’den ayrılan Sadıç ve 27 yıl boyunca Yapı Kredi’nin IT’sinde çalışmış olan Abay dinleyicilere Türkiye’de İnternet’in yayılmaya başladığı günden bu yana tecrübelerini aktardığı etkinlikten çok şey öğrendim. Notlarımdan bazılarını burada paylaşıyorum:
İNSANA YATIRIM DÜŞÜK SEVİYEDE
Türkiye’de büyük bankaların IT bütçeleri üç haneli milyon dolarlara kadar çıktı ancak bunlardan çok azının insana yatırım için ayrılıyor. Bütçenin yarısının hala donanıma harcanırken, yüzde 10-15’i eğitim için sarf ediliyor. Levend Abay, nispi olarak insana bu kadar az bütçe ayrılmasına rağmen büyük bankalardaki güvenlik çalışanı sayısının 1000’e kadar çıktığını söylüyor.
Günümüz Türkiye’sinde güvenlik yöneticileri çoğunlukla mühendis kökenli insanlardan seçilse de, dünyada farklı alanlarda kariyerlerini yapmış insanların güvenlik yönetiminin başına geçtiğini de görüyoruz. (Bunun sayısız örneği var ancak sitemizde yayınlanan Siber Liderler dizisi mutlaka bir fikir verecektir.) Güvenlik sadece bir BT meselesi değildir. Güvenlik çok farklı boyutları olan bir meseledir.
SERTİFİKA YETERLİ Mİ, DİPLOMA DA GEREKLİ Mİ?
Eleman alımında önyargılı olunmaması gerekiyor. Katılımcılardan biri ‘sertifika mı diploma mı’ diye soruyor. Yani bir adayın üniversite mezunu olup olmaması veya mezun olduğu üniversite/bölüm mü işe alımında daha önemli; yoksa geçmiş tecrübeleri, güvenlik alanında aldığı uluslararası sertifikalar mı? Burak Sadıç düşünmeden üniversite ve diploma diyor. AMA diye büyük harflerle ekliyor: “PwC’deki ekibime çok yetenekli bir lise mezununu aldım. İstisna olarak kabul edilmesi için çok bastırdım. Başarılı oldu. Şu anda büyük bankalardan birinde güvenlik uzmanı olarak çalışıyor.” diye de ekliyor. Genelde konuştuğum insanlar ki buna lise mezunları da dahil üniversitenin iş yaşamında profesyonel bir nosyon kazandırdığı görüşüne katılıyorlar.
İlk programını 20 sayfa şeklinde kağıda yazdığını anlatan Sadıç 1999’da floopy üzerinden ilk firewall‘u kurduğunu aktarıyor. Bilgi Üniversite’sinde bir yüksek lisans bölümünün 2000’li yıllarda kuruluş sürecinde nasıl bir ‘bilgi güvenliği’ hatasına kurban gittiğini de acı bir gülümsemeyle paylaşıyor.
Firewall zamanla siber güvenliğin vazgeçilmez araçlarında biri haline geldi ve Windows Defender Firewallileri derece bir güvenlik çözümü olarak ön plana çıktı.
“İSTEMEDEN YÖNETİCİ OLDUM”
Levend Bey başka bir probleme dikkat çekiyor: ‘İstemeden yönetici oldum’ Bugün hala kabul etmeseydim diye geçiriyorum içimden. İdealler ve maaşlar dengesiz.” Abay, Türkiye’de yaptığı işin en iyisi olmak için yola çıkmış bir mühendisken kendisinden bir birim kurması ve bunu yönetmesi istenmiş. Kendisini ikna etmek için tepe yöneticiler bile araya girmiş. Hatta üst düzey bir yönetici ‘Levend, insanlar beni onları yönetici yapmam için ikna etmeye çalışıyor, ben ise seni yönetici olman için ikna etmeye çalışıyorum’ diyerek yakınmış.
Levend Abay’ın aktardıklarından önemli bulduğum bir nokta askerliğin IT kariyerinde oynadığı önemli rol. “Askerde işleri öğrendim. Çeşitli askeri birimler müşterimiz oldu ve adeta güvenlik stajını en doğru yerde, ‘askerlikte’ bitirdim.”
Bunu duyunca aklıma İsrail Ordusu’ndan çıkan askerlerin kurdukları start-up’lar geliyor ki, Abay ekliyor: “2003’de güvenlik danışmanlığını İsrail’den aldık.” Bu bana Burak Sadıç’ın ‘bir kaza maili’ sonrasında suya düşen Bilgi üniversitesindeki master programını hatırlatıyor. ‘O zamanlar bu işe başlansaydı’ diyerek hayıflanmadan edemiyorum.
Türkiye’de siber güvenliğin stratejik bir mesele olarak ele alınmaya 2010 yılında başladığını söylesek heralde yanılmış olmayız. KKK (Koridor-Karargah-Köşk) üçgeninde siber alan bir muharebe sahası olarak değerlendirilmeye başlamış; TSK’nın vizyoner bir doktrin hazırlayarak gerekli adımları atacağına dair beklentiler yükselmişti. Siber alanda güçlü ve aktif bir Türkiye için gerekli kurumsal düzenlemelerin oluşması adına stratejik seviyede bazı gerekliliklerin yerine getirilmesi için düğmeye basılmıştı.
BM Silahsızlanma Araştırma Enstitüsü’nün 2011’de yayınladığı rapora göre, siber alanı askeri doktrinlerine entegre ettiğini ilan eden ülkelerin sayısı bir yılda 23’den 47’e çıkmış; 2010 yılında ülkemizin güvenlik doktrinini şekillendiren ‘Kırmızı Kitap’a siber tehditlerin eklenmesiyle Türkiye de bu 47 ülke arasındaki yerini almıştı. Tabi, İran’ın nükleer programını hedef alan Stuxnet operasyonunun (Stuxnet’e sadece bir zararlı yazılım demeye dilim varmıyor) aynı yıl ortaya çıkmasının da bu ilgi artışında payını es geçmemek lazım.
Aradan geçen yıllarda Türkiye’de siber güvenlik adına önemli gelişmeler yaşandı. Ankara, iki strateji belgesi yayınladı ve daha da önemlisi Genelkurmay Başkanlığına bağlı Siber Savunma Komutanlığı kuruldu. Fakat tüm bu adımlara rağmen -sadece Türkiye için değil, diğer ülkeler için de- gidilmesi gereken daha çok yol olduğu herkesin kabul ettiği bir gerçek.
Objektifi biraz genişletip 2010’dan bu yana Türkiye’de nelerin yaşandığına baktığımızda, son 7-8 senelik zaman diliminde normal kabul edilmeyen, olağanüstü durumları tecrübe ettiğimizi rahatlıkla söyleyebiliriz. Sert güç mücadelelerinden, yönetim değişikliklerine; darbe teşebbüsünden Irak ve Suriye başta olmak üzere içinde bulunduğumuz coğrafyanın kendine has yapısından kaynaklanan gelişmelere kadar bir çok alanda çeşitli badireler atlattık. Gündem maddeleri kronometrede saniyeleri gösteren rakamlar gibi hızla birbirini takip etti. Daha birkaç ay önce Irak Kürtlerinin bağımsızlık referandumunu konuşan uzmanlarımız, şimdi Afrin operasyonu hakkında televizyonlarda görüşlerini paylaşıyor. Gündemin hızı, karar vericilerin çalışmalarını da, düşünce kuruluşlarının ilgi alanlarını da, mahalle kahvelerindeki sohbetleri de aynı şekilde etkiliyor.
Hızlı gündem değişimlerinin önemli yan etkilerinden biri, konular üzerinde odaklanıp fikir ve proje üretmeye izin vermemesi. Tüm odağımızı güncel meselelere sabitlemek, parkurun biraz dışına çıkıp soluklanmanın, ‘Dünyada neler oluyor?’ sorusunun peşine düşmenin ve bugünü konuşmak yerine geleceği tasarlamanın yollarını maalesef kapatıyor. Bunun ilacı tamamen olmasa da biraz olsun gündemden uzaklaşmak ya da kendi gündemimizi oluşturmak olmalı.
İki hafta önce Speaker Agency’nin düzenlediği Digital Transformation Talks’da çok değerli konuşmacıların, Endüstri 4.0, blok zincir ve siber güvenlik konuları hakkındaki fikirlerini dinleme şansı buldum.
Gönlünü ve aklını Endüstri 4.0’a adamış olan Dr. Ali Rıza Ersoy, 32 yıllık Siemens tecrübesini her anlamda hissettirdiği konuşmasında çok önemli bir bilgi verdi: Almanya 2013 yılında sanayisini Endüstri 3.0’dan 30 yıl içerisinde 4.0’a nasıl taşıyacağına dair stratejisini açıklamış. Gelişmelerin baş döndürücü bir hızla ilerlediği günümüzde, ’30 yıl sonra neden Endüstri 5.0’ı konuşmuyorlar?’ sorusu sizin de aklınıza gelebilir. Fakat eminim günümüzde oldukça genişleyen stratejilerin esneme payını hesaba katmışlardır. (Bu durumun bir sonucu olarak ulusal siber güvenlik stratejilerinin 4-5 yıllık hazırlandığını da buraya not edelim.)
Ersoy, bundan önceki sanayi devrimlerine geç kalan ülkemizin Endüstri 4.0 için ancak 4-5 sene geç kaldığını söyleyerek, yakın zamanda Endüstri 4.0 stratejisinin açıklanması için hazırlıklar yapıldığını ‘ancak araya Suriye olaylarının’ girdiğini söyledi. Yani yine ‘gündem’ yapılması gereken diğer tüm işleri bir tarafa itti; şımarık bir çocuk gibi tüm ilgiyi üzerine çekti.
Kahve arasında ‘gündemin işgal ettiği zihinler’ ile ilgili yakınmalarımı dinleyen Ersoy, çare olarak günlük siyasetle araya belirli bir mesafe konulması gerektiğine işaret etti. Endüstri 4.0 stratejisi Suriye olaylarına takılıyorsa, ‘Siber güvenlik eylem planında yer alan maddelerin hayata geçirilmesi de sınır komşumuz ile yaşanan son gelişmelerden olumsuz etkilenmiş midir?’ diye sormadan edemiyor insan.
Aslında daha da önemlisi, siber güvenlik gibi milli güvenliği etkileyen stratejik bir mesele gündeme karşı dayanıklı bir zırhın arkasına kendisini korumaya alabilecek mi?
Gelecek sene Türkiye’nin önünde iki önemli seçim var. Ülkemiz önemli bir virajdan geçecek. Ama aynı zamanda 2019 iki yıl önce hazırlanan siber güvenlik stratejimizinde son senesi olacak. UDHB’nin yayınladığı 2016-2019 Ulusal Siber Güvenlik Stratejisi’nin genel bir değerlendirilmesinin yapılarak kamuoyuyla paylaşılması, bir sonraki strateji belgesi için hazırlıkların yapılması, stratejinin eylem planındaki adımlardan hangilerinin gerçekleştiğinin açıklanması siber alanı bir muharebe alanı olarak kabul etmiş diğer ülkelerin ‘stratejilerinin son zamanlarında’ attıkları adımlardan sadece bazıları.
Seçime giden aylar ülkemizde gündemden uzak kalmanın neredeyse imkansız olduğu zaman dilimleri… Bir yandan ‘seçimlerin hacklenmesine’ karşı çeşitli tedbirleri almak mecburiyetinde olan Türkiye, aynı zamanda bir sonraki 4 yıllık ulusal siber güvenlik stratejisini de hazırlayıp açıklamak zorunda. Aksi bir tutum siber alanda caydırıcılık peşinde koşarken gardımızın düşmesine neden olabilir. Sadece siber güvenlik camiası için değil, aynı zamanda Türkiye’nin geleceği adına hepimizin sorması gereken soru şu: ‘Siber güvenlik stratejisi seçim gündemine kurban mı gidecek?’
Siber Bülten abone listesine kaydolmak için formu doldurunuz
