Siber güvenlik alanında yaşanan gelişmeler o kadar hızlı ve yoğun bir şekilde meydana geliyor ki, sadece stratejik seviyedeki olayları takip etmek bile zorlaşıyor. Birbiri ardına gelişen olayların hızı çoğu zaman üzerinde düşünüp yorum yapmaya fırsat bırakmıyor. Öte yandan birçok alanda olduğu gibi bilgi/siber güvenlik konusunda da geçmişi bilmeden günü yorumlamak ve geleceğe dair öngörülerde bulunmak temelsiz çabalardan öteye geçmiyor. Böyle önemli bir ihtiyacı biraz olsun karşılayabilmek amacıyla Siber Bülten olarak ‘Siber Almanak 2017’ adlı bir çalışma gerçekleştirdik.
2017 yılında yaşanan ve etkisi görülen olayları 10 başlık üzerinde toplayıp, yüzlerce haberin üzerinden geçerek elle tutulur bir çalışma ortaya koymaya çalıştık. Hazırlık sürecinde kronolojik bir yaklaşım sergilemeden geçtiğimiz yıl vuku bulmayan ama ‘etkisi görülen’ olayları da Almanak’a dahil ettik. Şüphesiz bu olayların en önemlisi 2015’de ilk işaretleri görülen ABD seçimlerine yönelik siber müdahale sürecidir. Burada derlediğimiz bilgilerin gelecek sene iki önemli seçim geçirecek olan Türkiye demokrasisinin siber alanda da güçlenmesine yardımcı olacağına inanıyorum.
Bu çalışmanın ortaya çıkmasında aylarca çalışarak büyük pay sahibi olan Siber bülten editörlerine ve katkılarını esirgemeyen Türkiye Bilişim Vakfı’na ve teknik konuları doğru ifade etmede kapısını çaldığımız Emre Tınaztepe’ye çok teşekkür eder, okuyucularımızın yapıcı eleştirilerine açık olduğumuzu bir kez daha hatırlatmak isterim.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
İstanbul Barosu, günlük hayatımızın bir parçası haline gelen ve ileride daha fazla girecek olan yapay zekayı masaya yatırıyor.
Baronun organize ettiği “Yapay Zeka, Robotlar ve Hukuk Konferansı” 9 Ocak Salı günü İstanbul’da yapılacak. Konferansı, Baro Bilişim Hukuku Komisyonu Başkanı Avukat Sertel Şıracı’nın açılış konuşmasıyla başlayacak. Bunun ardından Profesör Doktor Cem Say’ın yapay zeka üzerine yapacağı bir konuşmanın üzerine yazar Ayşe Acar, “Yapay Zeka-İnsan ve Simülasyon” üzerine konuşacak.
Bunların ardından Siber Bülten yazarı Minhac Çelik, “Uluslararası Siber Savaş Hukuku ve Yapay Zeka Uygulamaları”nı üzerine yapacağı bir konuşma olacak. Konferansın ilerleyen saatlerinde de Siber Bülten yazarlarından Selin Çetin, “Yapay Zekalı Robotlarda Hak ve Fiil Ehliyeti” konuşmasını yapacak.
Gelecek yıllarda Türkiye’de siber güvenliğin gelişimi hakkında kapsamlı bir akademik çalışma yapılacak olursa, 29 Kasım günü Ankara’da gerçekleşen Ulusal Siber Güvenlik Tatbikatı bir dönüm noktası olarak bu çalışmada yerini alacaktır diye düşünüyorum.
Her ne kadar ulusal çaptaki beşinci tatbikat olarak kayıtlara geçse de son tatbikatın ‘dönüm noktası’ olarak nitelenmesine sebep olacak birçok farklı özellik bulunuyor.
Otuzdan fazla kamu kurumundaki SOME (Siber Olaylara Müdahale Ekibi) görevlilerinin (yaklaşık 150 kişi) katıldığı tatbikatta, UDHB Bakanı Ahmet Arslan’ın açılışa katılarak konuşma yapmasının neden olduğu geniş medya ilgisi başlı başına bir farkındalık etkisi oluşturdu.
Dünyadaki diğer örneklere bakıldığında daha üst seviyede bu tür işlerin ele alındığını da not etmekte fayda var. İngiltere başbakanının, ABD başkanıyla yaptığı görüşmede iki ülkede faaliyet gösteren bankaların ortak siber tatbikat düzenleme kararı alması veya İsrail başbakanının uluslarası siber güvenlik konferansının açılış konuşmasını bizzat yapması ülke dışından verilebilecek iki örnek olarak karşımızda duruyor. Hem siber güvenliğin stratejik bir konu olarak değerlendirildiğinin göstergesi hem de ulusal farkındalık açısından bu tür hareketlerin algı açısından önemli olduğu kanısındayım.
Tatbikatın belki de en önemli ve benim açımdan en heyecan verici tarafı özel sektörün ilk kez elini taşın altına koyması ve UDHB’nin düzenlediği böylesine kritik bir etkinliğin organizasyonu ve icrasında etkili olması.
Daha önce de dilimiz döndüğünce anlatmaya çalıştık. Siber dünyanın getirdiği risk ve tehditleri devletlerin sadece kendi kaynaklarıyla göğüslemeye çalışmaları neticesi olmayan bir çabadan ibaret kalacak. Bu yüzden özel sektör ne kadar işin içine girerse o kadar verimli ve başarılı bir çalışma ortaya konur. Ulusal siber güvenlik stratejisinin eylem planında yer alan ‘ulusal tatbikat’ hedefini sektörün önemli ismi Barikat ile gerçekleştirilmesi gelecek adına umut verici ve kesinlikle geliştirilmesi zorunlu bir adım. Amerika’yı yeniden keşfetmeye gerek yok. Bırakın ulusal tatbikatları, uluslararası tatbikatlar da (NATO vb.) bile artık özel sektör damgası görünür şekilde kendini belli ediyor.
Tatbikatın bir başka özelliği ise ilk kez simülasyon ortamında kamu kurumlarına gerçek saldırılar yapılması oldu. Saldırıların izlenebildiği Barikat ürünü SİPER ile katılımcılar ve gözlemciler hangi kuruma saldırı olduğunu gerçek zamanlı olarak takip edebildiler. Katılma ve izleme şansı bulduğum birden fazla uluslararası siber güvenlik tatbikatından fiziksel tatbikat ortamı açısından eksiği değil fazlası olduğunu söyleyebilirim.
Tatbikatların amacı gerçek saldırılara karşı mümkün olduğu kadar refleks geliştirmek. Dolayısıyla gerçek bir siber saldırıdaki psikolojik baskı aynen yansıtılamayabilir ama bir katılımcının da şakayla karışık yakındığı gibi, otel salonunda sigara içilmemesi gibi faktörlerin dahi tatbikat stresini artırdığını söyleyebiliriz.
İlk etabı 6 Kasım’da başlayan tatbikata katılan kurumların sorumlu personelin saldırıyı tespit edip, engelleyerek raporlaması bekleniyor. Kurumların tatbikatta sergiledikleri performansı konuyla ilgili herkesin merak ettiğini düşünüyorum ama bir açıklama yapılacağını sanmıyorum. Umarım sonuçlarla ilgili en azından genel veriler isim verilmeden kamuoyu ile paylaşılır.
Siber güvenlik gizliliği, medya şeffaflığı
Türkiye’de gizlilik ve siber güvenlik ilişkisinde net bir duruş belirleyememiş olmanın yetkililerde gerilime neden olduğu da 29 Kasım gözlemlerimiz arasında. Siber Bülten ekibinin temasta bulunduğu hemen herkes ‘aman bunları yazmayın’ tedirginliğini yansıtmaktan çekinmedi. Kamu yetkililerinin kendilerine göre haklı endişeleri olabilir lakin ne özel sektör ile iş birliği yapmak ne de bu kadar kapsamlı bir etkinliğin bir parçası olmak saklanması gereken bir şey olmamalı. Olayın ulusal caydırıcılık ile de yakından ilişkisini kaçırmamak gerekiyor.
Tatbikatta çekilen aşağıdaki gibi fotoğrafların sosyal medyaya yansıması daha etkili olur diye düşünüyorum.
Firewall’unuzu soracak muhabir nasıl yetişecek?
Apple ile FBI arasındaki iPhone kilidini kırma çekişmesi devam ederken online olarak izlediğim bir basın toplantısında ABD’li gazetecilerin soruşturmayı yöneten savcıya sorduğu teknik altyapısı sağlam soruları hayret ve hayranlıkla takip etmiştim. Benzer sorular sorabilecek gazetecilerin yetişmesi için medya ile siber güvenlik sektörü arasında yoğun bir iş birliği geliştirilmesinin kritik olduğunu düşünüyorum. Ancak o zaman ‘kalitesiz güvenlik ürünleri satıyorlar’ gibi eleştirilerin kamuoyunda yankı bulması veya ‘teknik bilgiden yoksun haber yazıyorlar’ gibi haklı şikayetlerin azaltılması sağlanabilir. Dolayısıyla tatbikat ile ilgili sağlam bir basın brifinginin olmamasının bu açıdan kaçırılmış bir fırsat olarak görüyorum.
UDHB ve Barikat siber tatbikat konusunda çıtayı yükseltti. Gelecek dönem için artık daha yüksek beklentilere sahibiz. Bu tür etkinlikler aynı zamanda kamu kuruluşlarının SOME’leri arasında bir ‘networking’ fırsatına çevirmek için bulunmaz fırsat. Kurumların karışık oturma planında yerleştirildiği bir akşam yemeği ya da resepsiyonun bireysel ilişkileri sıkılaştıracağı ve bu sayede bilgi paylaşımı mekanizmalarının bireysel düzeydeki temellerinin atılacağı muhakkak.
Tatbikatın yan faydalarını artıracak bir husus olarak gözlemcilerin tatbikatın daha fazla içinde yer almasını sağlamak da sayılabilir. Tatbikat katılımcılarına herhangi bir sorunla karşılaştıklarında yardım eden yeşil takımın aynı şekilde gözlemcilere yönelik de ‘sürekli bilgilendirme’ yapması o grubun da daha angaje olmasını sağlayabilirdi.
Özellikle kritik altyapı tesislerini işleten özel sektör temsilcilerinin bu tür bir ulusal tatbikatta katılımcı olarak bulunması etkinliğin ‘ulusal’ olma niteliğini arttıracağını gözden kaçırmamak gerek. Ayrıca gelecek dönemde dünya standartlarındaki bu tür çalışmaların bölgesel ve uluslararası iş birlikleri çerçevesinde daha da genişletilmesi, Türkiye’nin siber diplomasi ayağına da güç katacağı bir gerçektir.
İletişim için: minhac@siberbulten.com
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Bugün propaganda savaşları, siber çatışma veya algı yönetimi stratejileri üzerine birkaç okuma yapsanız, karşınıza Rusya’nın müdahil olmadığı bir örnek bulmakta zorlanırsınız.
Dünyayı kasıp kavuran ‘ABD seçimlerine müdahale’ operasyonlarından, istihbarat organlarının sistemlerine sızılmasına kadar baş şüpheli olarak gösterilen Moskova yönetiminin, Genelkurmay Başkanı Gerasimov’un yıllar önce yazdığı bir makalede kapsamlı şekilde anlattığı ‘hibrid savaş’ stratejisini başarılı bir şekilde uygulamaya devam ediyor.
Bugün Türkiye’nin NATO üyeliğinin sorgulanmasına sebep olan Norveç’teki krizde bile şüpheli gözler Rus parmağı arıyor.
İster istemez insanın aklına ‘Peki Rusya farklı ülkelerde düzenlediği iddia edilen ‘etki operasyonları’ sırasına hiç açık vermiyor mu? Hiç operasyon kazasına uğramıyor mu?’ soruları geliyor.
Geçtiğimiz hafta EDAM’ın düzenlediği ‘Siber Politikalar ve Dijital Demokrasi’ başlıklı toplantıda sunum yapan Dr. Can Kasapoğlu’nun bahsettiği bir olay ava giden Rusların da avlanabileceğini gösteren cinsten.
EDAM toplantısından bir kare
Kasapoğlu’nun naklettiğine göre, Ruslar Suriye’deki askeri varlıklarının propagandasını yapmak amacıyla yürüttükleri kampanyanın bir parçası olarak, bu ülkedeki hava üssüne inen bir Rus savaş uçağının videosunu YouTube’a yüklüyorlar. 5-6 dakikalık videoyu dikkatli gözlerle inceleyen uzmanların videonun 1-1,5 saniyelik kısmında önemli bir şey dikkatini çekiyor. “O bir şeyin ne olduğunu merak edip, yaklaştırdığınızda arkada bir Krashuka-4 elektronik harp sisteminin durduğunu fark ediyorsunuz.” ifadelerini kullanıyor Kasapoğlu.
Moskova’nın Ukrayna’dan sonra bu sistemleri bir de Suriye’ye konuşlandırdığı işte bu videodaki ayrıntıya gören uzmanlar tarafından dünyaya duyuruluyor. Krashuka-4 Esad ve Rus uçakları için 300 km’lik güvenli bir hat oluşturuyor. Sistem, menzili içerisinde düşman insansız hava araçlarını etkisiz kılmak ve radar görevi görmenin yanısıra elektronik savaş amaçlı da kullanılıyor. Sinyal bozucu jammer vazifesi gören sistem, uydu sinyallerini bozduğu gibi, radyo-elektronik cihazlara da kalıcı zararlar veriyor.
“Her savaşın bir de YouTube cephesi var.” diyen Kasapoğlu videoyu Rusların harekât güvenliği kazası olarak nitelendiriyor ve propaganda yapmak isterken nasıl bir istihbarat zafiyetine neden olunduğuna dikkat çekiyor.
Yumuşak gücünü ve caydırıcılığını artırmak için sosyal medya üzerinden propaganda kampanyaları düzenleyenlerin ya da mikro ölçekten devletin en tepe noktalarından fotoğrafları sosyal medyaya koyanların da bu tür istihbarat zafiyetlerine kapı aralayabileceklerini akıldan çıkartmamak lazım.
Sosyal medya -genelde İnternet teknolojilerinin- getirdiği imkanların yanında bu tür hata ihtimallerini de barındırmasına rağmen hiçbir taraf bu nimetleri değerlendirmekten geri durmuyor. İronik bir şekilde tam da İnternet’in sağladığı kolaylıklar aynı zamanda zafiyetleri de kendi içerisinde barındırıyor. Soğuk Savaş yıllarında Sovyetlerin Ortadoğu’ya bir elektronik harp sistemi konuşlandırdığını öğrenebilmek için gerekli istihbarat ile masa başındaki araştırmacıların biraz dikkatle bu bilgiye ulaşmalarındaki kolaylık arasında dağlar kadar fark var.
Türkiye’deki seçime müdahale önemli risk
2019 Türkiye’nin seçim yılı olacak. Son referandum sonuçlarından da görüldüğü gibi Türkiye’de seçmenler ortadan ikiye bölünmüş, birinin ak dediğine diğer kara diyor. Toplantıda sosyal medya üzerinden yapılan algı operasyonlarının perde arkası hakkında bilgi veren Akın Ünver’e yöneltilen ‘Türkiye gibi zaten polarize olmuş bir toplulukta yabancı bir devletin seçim müdahalesi riski var mı?’ sorusunda Ünver “Kesinlikle var.” cevabını veriyor.
Türkiye’nin bir yandan Rusya ile ilişkilerini geliştirirken diğer yandan NATO üyesi olduğuna vurgu yapan EDAM araştırmacısı “Türkiye belki de bu yüzden seçime müdahale riski taşıyan bir numaralı yer.” dedi. Bu tür algı operasyonlarında failin bulunmasının tüm dünyada bir sorun olduğunun altını çizen Ünver İngiltere’de bulunan The Alan Turing Institute’da 68 araştırmacının siber saldırıların ve siber müdahalelerinin nasıl ölçüleceği ile failin belirlenmesi konusunda ciddi çalışmalar yürütmelerine rağmen herhangi bir sonuca henüz ulaşamadıklarını kaydetti.
“Türkiye birçok ülke için önemli bir ülke. Bu yüzden seçime müdahale edilmesi oldukça yüksek bir ihtimal. Fakat Türkiye’de öyle bir seçime müdahale olabilir ki, seçime müdahale edildiğini fark etmeyebiliriz.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Türkiye siber güvenlik stratejisini açıklayalı yaklaşık bir buçuk yıl oldu. 2016-2019 yılları için hazırlanan stratejide belirtilen hedeflere ulaşmak için verilen zamanın neredeyse yarısı doldu. Hangi adımların atıldığı konusunda açık kaynaklarda net bir bilgi bulunmuyor. Böyle bir bilgi yoksunluğu ise bizi hayal gücümüzü kullanmaya itiyor.
Mesela ‘Stratejik Siber Güvenlik Amaçları ve Eylemleri’ başlığının 17. maddesinde bahsedilen ‘proaktif siber savunma yeteneklerinin geliştirilmesi’ ne ola ki diye düşünüyoruz. Bahsedilen yetenekleri geliştirmenin yollarından biri herhâlde ‘siber tatbikat düzenlenmektir’ deyip başlıyoruz araştırmaya…
İlk örnek Polonya’dan, ülkedeki siber güvenlik farkındalığını artırmak için kurulan Siber Güvenlik Derneği, enerji, finans ve telekomünikasyon sektörlerinde siber tatbikatlar düzenliyor. 2012’de ilk tatbikatını enerji sektöründe yapan dernek faaliyetlerini genişleterek 2015’de finans sektöründe maliye bakanlığının da katıldığı en geniş siber tatbikatını düzenledi.
Sektörel bazda takdire şayan bir başka örnek ABD’den. HITRUST Alliance adlı kar amacı gütmeyen kuruluş, sağlık sektöründe siber tehditlere karşı önlem almak ve yöneticileri karşılaşılacak siber krizlere karşı hazırlıklı hale getirmek için düzenli tatbikatlar düzenliyor. Anladığım kadarıyla ‘her şeyi devletten beklemek olmaz’ diyerek yola çıkan kuruluş üyeleri arasında siber tehditler konusunda bilgi paylaşımı da gerçekleştiriyor.
Avrupa’ya geri döndüğümüzde karşımıza Yunanistan çıkıyor. Yunan Savunma Bakanlığının özel sektör ve kamunun katılımıyla 2010 yılından bu yana düzenlediği Panoptes siber güvenlik tatbikatını diğerlerinden ayıran önemli bir özelliği var. Özel sektörden sadece kritik altyapı temsilcileri değil, iş dünyasının değişik aktörleri -mesela bir tekstil holdingi- de tatbikata katılabiliyor. Bu sayede tecrübe paylaşımını hedefliyorlar. Yunan Genelkurmayının liderliğini yaptığı insiyatifin amaçlarından biri de ‘ülkedeki siber uzmanları bir veri tabanında toplamak ve gerektiğinde operasyonel hale gelecek siber birimlerin oluşmasını sağlamak’ yani bir siber kriz anında devreye girecek siber milis birlikleri…
Örnekler çoğaltılabilir ama Lockedshileds’den bahsetmeden olmaz. CCD COE tarafından her sene daha başarılı şekilde düzenlenen tatbikatın bu seneki basın brifinginde bazı şirketlerden özellikle bahsedilmesi dikkat çekti: Threod Systems, Cyber Test Systems, Clarified Security, Iptron, Bytelife, BHC Laboratory.
Birçoğu Estonya merkezli olan bu şirketlerin (sitemizin takipçilerinin bildiği üzere CCD COE Estonya’dadır ve bu ülkenin girişimiyle kurulmuştur) NATO’nun en geniş çaplı siber tatbikatının düzenlenmesinde yer almalarının onlara küresel bir görünüm kazandıracağından şüphe yok. Başarılı bir ekosistem. Siyasi liderlik bir NATO merkezinin kurulmasına ön ayak oluyor. Siber güvenlik şirketleri ile birlikte çalışan merkez hem tatbikatı onlarla birlikte hazırlıyor hem de Eston şirketler NATO vitrinine çıkmış oluyor. NATO demişken, İttifak’ın siber güvenliğin dahil olduğu iki büyük tatbikatı daha var: Cyber Coalition ve Crisis Management Exercise (CMX)
Tren kaçmak üzere ama henüz kaçmış değil. Peki, Türkiye’deki siber güvenlik şirketleri ile devlet birlikte bir siber güvenlik tatbikatı düzenleyemez mi?
Ankara’nın geçen yıl yayınladığı strateji belgesindeki hedeflere ulaşması sadece kamu kaynaklarıyla zor gözüküyor. İlk adım olarak siber tatbikat konusunda özel şirketler ile ortak adım atılması, hatta tüm organizasyonun ve altyapının işletilmesinin şirketlere devredilmesi çok önemli bir adım olarak değerlendirilmeli. Orta vadede Türk şirketlerinin düzenlediği ulusal bir siber tatbikatın uluslararası boyuta taşınması ürün geliştiren siber güvenlik firmalarımızı yabancılarla buluşturacak etkili bir platforma dönüşmesini sağlaması işten bile değil.
Kısa not: Hollanda ve İngiltere gibi ülkelerin aksine, Türkiye’de açıklanan stratejinin üzerinden makul bir süre geçtikten sonra kaydedilen ilerleme ile ilgili bir bilgilendirme yapılmadığı için stratejide belirtilen hedeflere ne kadar ulaşıldığını bilmiyoruz. Ayrıca son açıklanan stratejinin eylem planı da henüz kamuoyu ile paylaşılmadığını da eklemek gerek.
Siber Bülten abone listesine kaydolmak için formu doldurun
