Etiket arşivi: Mustafa Afyonluoğlu

“Türkiye’de siber güvenlikle ilgili hukuki mevzuat teknolojinin gerisinde kalıyor”

18 Mart 2019 Onur Usta Yorum yapın

Ankara’da geçtiğimiz hafta düzenlenen ISAF Exclusive Güvenlik Fuarı ve Konferansı’nda siber suçlarla mücadelede hukuki mevzuat eksikliğine dikkat çekildi.

Ankara Sheraton Otel’de güvenlik sektöründen birçok firmayı ve kamu kurumlarının temsilcilerini bir araya getiren etkinlikte, kamu ve özel sektörde siber güvenlikle ilgili hukuki çerçeve ile personele yönelik farkındalık ve yerli ürünlerle küresel siber güvenlik piyasasında rekabet konuları ön plana çıktı.

Konferansta konuşan Keçeciler & Ortaklar Hukuk Bürosu, Kurucu Ortağı Avukat Murat Keçeciler, “Siber güvenlik meselesi sadece siber uzayda, networkte, internette gelişen meseleler olmaktan öte, bunun fiziki dünyaya yansımaları, fiziki dünyadan siber saldırılara dönük olarak kullanılacak hibrit metodolojilerin geliştiği yeni yöntemlerin de uygulandığını görüyoruz.” dedi

Teknolojik gelişmeleri yargı tarafının takip etmekte zorlandığına dikkati çeken Keçeciler, “Teknolojideki değişim ve dönüşüm hızlanmasına karşın mevzuat arkasından geliyor. Sistematiğin içerisinde hukuk yapma tekniğinin içerisinde yasal süreçlere baktığımızda teknolojini hızı bunu beklemiyor.” diye konuştu.

“Siber suç konusunda tek bir tanımlama yok”

Siber suç tanımında ülkelerin farklı yaklaşımlar sergilediğini belirten Keçeciler, “Her ülkenin kendi mevzuatı anlamında siber suç tanımında bir yeknesaklık yok maalesef. Doğrudan herkesin kabul edebildiği bir şablon yok. Teknolojik bir arka planı olmasından dolayı da bu tanımlamanın kolay yapılabilmesi mümkün değil.“ ifadelerini kullandı.

Avrupa Konseyi’nde 2001 yılında imzalanan Budapeşte Anlaşması olarak adlandırılan siber suç sözleşmesini hatırlatan Keçeciler şunları kaydetti:

“Türkiye 2010 senesinde imzacı oldu. 2014 senesinde de bunu yürürlüğe koydu. 2016 yılında sözleşmenin ceza hükümlerine ilişkin olarak bizim ceza kanunumuzda değişiklik yapıldı. Delillerin toplanması anlamında bizim mevzuatımız Budapeşte sözleşmesine çok uyumlu bir şekilde gitmiyor açıkçası. Adli bilişim tarafında bazı eksikliklerimiz var. Bu anlamda jandarma ve polis teşkilatımızın önemli çabalar ortaya koyduğunu görüyoruz. Ancak savcılık tarafında bazı aksaklıkların olduğunu maalesef gözlemlemek mümkün.”

Konferansta “Akıllı devlet için siber güvenlik” konulu bir sunum yapan Siber Güvenlik, E-Yönetişim ve E-Devlet Kıdemli Uzmanı Mustafa Afyonluoğlu Türkiye’de kritik altyapılardaki bazı alanların siber güvenliğiyle ilgili ulusal planlarda henüz tanımlanmadığını söyledi.

Afyonluoğlu, Birleşmiş Milletler (BM) ile geçen Ocak ayının sonlarında farklı ülkelerden, uluslararası kuruluşlardan ve bazı üniversitelerden 75 üst düzey uzmanla siber güvenlik riskleri üzerine bir çalışma gerçekleştirdiklerini belirtti.

Çalışmanın en önemli başlıklarından birisinin kritik alt yapılar olduğunu ifade eden Afyonluoğlu, “Akıllı şehirlerle beraber aslında biz kritik altyapılara hayatımızda fark etmeden biraz daha yaklaşıyoruz. Ama oradaki sıkıntılardan daha çok etkileniyoruz.” dedi.

Geçtiğimiz yıllarda (2016) San Francisco’nun ulaşım sistemine yapılan siber saldırıda metro hattı hizmet dışı kaldığını hatırlatan Afyonluoğlu, “Başta AB olmak üzere siber güvenlik konusunu gündemlerinin üstünde tutan ve AB ülkelerinde yıllık orandaki harcamaları milyar Avro’yu geçen ülkeler için esas olan kritik alt yapı başlıklarından bazıları sağlık, nükleer endüstri, gıda endüstrisi, uzay, savunma sanayisi gibi alanlar henüz ülkemizde kritik alt yapılar olarak ilgili ulusal planlarda tanımlanmış değil.” diye konuştu.

“Türkiye’de müstakil bir siber güvenlik kanununa ihtiyaç var”

Afyonluoğlu, Türkiye’de siber güvenlikle ilgili hukuki mevzuatta eksiklikler olduğuna işaret ederek şunları söyledi:

“Türkiye’de her şeyden önce müstakil bir siber güvenlik kanununa ihtiyaç var. Siber güvenlikle ilgili muhtelif mevzular elektronik haberleşme konuları içine dercedilmiş durumda. Fakat siber güvenlik kendi altında da o kadar geniş başlıklara sahip ki bu konuda birçok yol alabilmiş ülkelerin bunu müstakil kanun olarak düzenlediklerini görüyoruz.”

Siber güvenlik alanındaki problemin aslında sadece yazılım, donanım ve yatırımlar tarafında olmadığını vurgulayan Afyonluoğlu, “İnsan kaynağı tarafında da küresel bir kapasite sıkıntısı var. Halen dünya çapında 2 milyon siber güvenlik uzmanı ve 6 milyon siber güvenlik analist açığı mevcut. Bu açık kapatılamadığı gibi her geçen gün hızla büyüyor.” ifadelerini kullandı.

Logo Siber Güvenlik ve Ağ Teknolojileri A.Ş. ve Berqnet Firewall Genel Müdürü Dr. Murat Apohan ise “Yerli ve rekabetçi siber güvenlik ürünleri oluşturma sürecinde stratejiler” konulu sunumunda, yerli yazılım konusuna değinerek, “Siber güvenlik alanındaki yazılımların yerlilik oranının tespit edilmesine ilişkin veri bulmak kolay değil. Pazar araştırmaları ve analizler var. Oralardan birtakım veriler toplayıp derlemeler yaparak grafikler oluşturmak mümkün.” diye konuştu.

“Türkiye’de siber güvenlik yazılımlarından yerlilik oranı yüzde 3”

Ülkelerin siber güvenlik harcamalarının milli gelirlerine göre oranlamasına göre bir numaranın İsrail olduğunu belirten Apohan, “İsrail’den sonra iki numara İngiltere, üç numara da ilginç bir şekilde Singapur. Benim yaptığım hesaplara göre Endonezya’ya yakın bir pozisyonda duruyoruz. Türkiye pazarının yüzde 3’ü şu anda yerli üretim tarafından karşılanıyor. Bu rakamlar daha detaylı analize muhtaçtır. “ ifadelerini kullandı.

Siber güvenlik pazarında önemli bir potansiyel olduğunun altını çizen Apohan, “Genel olarak yapacak çok işimiz var ve fırsat da var. Burada inanılmaz bir pazar var. Hem küresel çapta hem de Türkiye’de değerlendirilebilecek büyük bir pazar var.” dedi.

“Siber güvenlik devlet politikası olarak benimsenmiş olmalı”

Siber güvenlikle ilgili sıkıntıların kolaylıkla aşılabilmesi için devletin öncü rol oynaması gerektiğine dikkati çeken Apohan, “Dijital ekonomiden bahsediyoruz. Bu ekonominin sağlıklı çalışabilmesi için siber güvenlik alt yapınızın sorunsuz çalışıyor olması gerekiyor. O yüzden bunun tepede bir devlet politikası olarak benimsenmiş ve aşağı doğru uygulanıyor olması çok önemli.“ diye konuştu.

“Psikologlara ihtiyaç var”

Birçok alanda olduğu gibi siber saldırılara karşı da çeşitli uzmanlara ihtiyaç olduğunu ifade eden Apohan şunları kaydetti:

“Siber güvenlik yazılımı üretmek istiyorsanız hem içerde hem de dışarıda rekabet edebilecek ürünler ortaya koymalısınız. Rekabette çok gerideyseniz daha dikkatli hareket etmeniz lazım. O alanda yetenekli ekibiniz ve uzmanlarınız var mı? Siber güvenlikte birçok alan var. Hepsi farklı segmentlerde birçok uzman gerekiyor. Yatırım uzmanları, donanım uzmanları, süreç inşa edecek uzmanlar, hatta psikologlar. Bunlara ihtiyacınız var. Sosyal mühendislik diye bir kavram var.”

“Siber güvenlikte kamunun istihdam sağlaması zor”

Biznet Bilişim, Satış Öncesi Hizmetler Yönetimi Direktörü Ahmet Kapusızoğlu ise kamu sektöründe insan kaynağı ihtiyacının karşılanmasında sıkıntılar yaşanmasının normal olduğunu belirterek, “Siber güvenlikte kamunun istihdam sağlaması zor. Biz özel sektör olarak bu konuda yetkin personeli bulmakta zorlanıyoruz. Kendimiz yetiştiriyoruz. Yetiştirdiğimiz personeli elimizde tutmak için uğraşıyoruz. Hatta belli bir seviyeye ulaşınca maalesef yurtdışına çıkma olasılıkları var.” diye konuştu.

İyi üniversitelerden mezun kişileri eğiterek, piyasaya da eleman yetiştirmeye çalıştıklarını belirten Kapusızoğlu, “Bu kaynaktan kamu dışarıdan hizmet alımı şeklinde faydalanabiliyor. Son olaylardan sonra hizmet alınabilecek kurumların da güvenlikleri sağlanmış durumda. Çoğu kamuyla çalışırken güvenlik belgelerini sağlıyor.” ifadelerini kullandı.

“Son kullanıcıda farkındalık yok”

Siber güvenlikten en büyük sorunlardan birinın son kullanıcı tarafı olduğuna dikkati çeken Kapusızoğlu, “Son kullanıcı tarafında bizim ABD ve İsrail gibi ülkelerden geri kalmamızın sebebi, son kullanıcıda bu farkındalık yok. Siber güvenlik alanında birçok ülkede ilköğretim seviyesinde bile farkındalık eğitimi veriliyor. Bizim de belki ta oradan başlamamız gerekiyor.” dedi.

Kapusızoğlu, kişisel verilerin korunması gibi bilgi güvenliğinin kalitesinin ölçüldüğü sistemlerde de kurumların kendisini geliştirmesi gerektiğini belirterek, konuya ilişkin kurumlara ciddi destekler sağladıklarını söyledi.

“Önce personeli eğitmemiz gerekiyor”

Türk Nippon Sigorta, Sistem Altyapı ve Bilgi Güvenliği Müdürü Hüsnü Tavlaş ise kişisel verilerin korunması konusunda şirketlerin içeriden veri sızıntısına önem vermesi gerektiğini söyledi.

ING Bank’ta içeriden veri sızıntısı nedeniyle yaşanan olayı hatırlatan Tavlaş, “Geçtiğimiz hafta ING Bank’ta bir ihlal ortaya çıktı. İçeriden veri sızmasıyla karşı karşıya kalındı. İçeriden olan tehditler her zaman daha çok baş ağrıtan ve birinci dereceden kurumu sorumlu tutan tehditler olduğu için kurum içerisinde personel eğitimlerini ön planda tutarak, önce personeli eğitmemiz gerekiyor.” diye konuştu

Tavlaş personelde kişisel veriler konusunda bir farkındalık oluşturmak gerektiğine dikkati çekerek, “Yani bütün teknik tedbirleri aldığınız yatırımları yaptınız, prosedürleri oluşturdunuz. Ama personeli de bu anlamda bilinçlendirmezseniz, birtakım veri sızıntılarıyla karşılaşabiliyorsunuz. Çok sayıda bilinçsiz personel yazıcıdan aldığı çıktıları yazıcı üzerinde bırakabiliyor. Kişisel veri bulundurduğu mailler atabiliyor.” ifadelerini kullandı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

Siber güvenlik stratejisinin temelinde ‘insanı korumak’ olmalı

22 Aralık 2017 Nazlı Zeynep Bozdemir Yorum yapın

Türkiye Bilişim Derneği’nin düzenlediği 34. Türkiye Bilişim Kurultayı, bir yanda üç senedir bilfiil içinde yer aldığım telekomünikasyon sektörünün önde gelen isimlerine, 5G gibi oldukça güncel bir konuda söz vermesi, diğer yanda akademik ve şahsi çalışma alanım haline gelen siber güvenlik konusunda dinlemekten her zaman keyif aldığım birkaç ismi karşıma çıkarması açısından oldukça verimliydi. Her bir konuşma, normalde değinilen içeriklere kıyasla aykırı ve özgün fikirler barındırması açısından hayli önemliydi, sanırım TBD’ye bu özgür konuşma alanını sağladığı için tebrikleri iletmek, oturumlarda konuşulanların havada kalmaması ve takibinin sağlanması açısından da bir misyon yüklemek gerekiyor.

Her ne kadar Siber Bülten’deki yazılarımda telekomünikasyon özelinde içeriklere yer vermesem de, hem bugünkü konuşmacıların değindiği noktaların birebir benim çalıştığım alanlar olması, hem de konuya duyduğum profesyonel yakınlıktan ötürü, “Türkiye’nin 5G Yol Haritası” isimli panelde konuşulanları, kendi perspektifimden aktarmak niyetindeyim. Bu panelde, BTK Başkan Yardımcısı Rıdvan Kahveci moderatörlüğünde konuşmacılara yöneltilen temel soru “5G ile beraber gerçekleşecek olan dijital dönüşüme firma bazlı nasıl hazırlıklar yapıyorsunuz?” yönündeydi.

5G’ye karşı yaşanan heyecanın 2G’deki heyecanla aynı olduğunu pek çok konuşmacı yineledi, ancak altı çizilen bir başka konu 5G’nin yalnızca hızdan ibaret olmayacağıydı. Hayatımıza yakın dönemde daha büyük etki etmeye başlayacak ve 5G’nin temel taşlarından sayılan “sanallaştırma” kavramı üzerinde duran Argela temsilcisi İsmail Bayraktar, bu sayede mevcut sistemdeki en kritik sorunlardan biri olan sağlayıcı (vendor) bağımlılığına çözüm bulunacağını kaydetti. Sanallaşmanın bize sağlayacağı en önemli fayda, şüphesiz radyo kaynaklarının kullanımında yaşanan esneklik olacak. Bu sayede operatörler, dinamik olarak, kamu güvenliği, video, nesnelerin interneti gibi, farklı kaynaklara ihtiyaç duyan ayrı servisleri etkin bir şekilde karşılayabilir, olası acil durum anlarında bir servisin kaynağını artırabilir ya da azaltabilir hale gelecekler.

Panelde öne çıkan bir başka konu, etkinlikteki yerlilik ve millilik vurgusundan ötürü, ULAK, yani 2013’ten bu yana ciddi bir çalışma ve özveriyle yürütülen milli baz istasyonu geliştirme projesiydi. Bu noktada, ULAK baz istasyonu modelinde benimsenen RAN Sharing (paylaşımlı baz istasyonu) prensibini iyi anlamak ve okumak gerektiği kanaatindeyim, çünkü RAN sharing geleceğin iş modellerine yön verecek, operatörlerin başarısını etkileyecek önemli bir kavram haline geleceğini şimdiden hissettiriyor.

Bu kavram sayesinde, normalde rekabet halinde olan üç büyük operatör (Turkcell, Vodafone ve Türk Telekom) tek bir baz istasyonundan faydalanabilir hale geliyor. Bunun ne önemi var diyor olabilirsiniz, ancak özellikle kırsal bölgelerde bu modelin işlenmesi, hem altyapı ve kurulum maliyetini azaltma hem de kullanıcılara etkin hizmet sunma anlamında oldukça büyük bir önem taşıyor.

5G ekosistemi aslında uçtan uca ar-ge çalışmaları ve ürünlerle bir bütün olarak değerlendirilmesi gereken bir yapı taşıyor. Bu ekosistemde, ancak ve ancak Ar-ge’yi ürünleştirebildiğiniz ölçüde katma değer yaratıp, milli kazanç sağlayabiliyorsunuz. Bu açıdan bakıldığında ULAK, yerli üretim için gelecek nesillere birikim oluşturması ve öğrenerek ilerlememiz açısından kritik bir görevi hayata geçiriyor.

Değineceğim diğer panel, Sürdürülebilir Siber Güvenlik ve Ulusal Stratejiler başlığıyla işlendi. Gerek başlığın vuruculuğu, gerekse katılımcıların renkliliği sayesinde son oturum olmasına rağmen panele ilgi büyüktü. İçeriğinde yer alan, birçok konuda tartışmayı fitilleyeceğine inandığım yapıcı eleştiriler benim gözümde oturumun en öne çıkan özelliğiydi.

Ömer Korkut, “İnsanı koruyamazsak, devleti koruyamayız” dedi.

Bu eleştirilerin ilki, STM adına konuşan Ömer Korkut’tan geldi. Ulusal stratejimizde çoğunlukla siber alandan bahsediyoruz ama büyük ülkelerin çoğunda kamuyu, özel sektörü ve bireyi ayrı ayrı koruma hedefleri var diyen Korkut, “İnsanı koruyamazsak, devleti koruyamayız, bu nedenle bizim de bu konuya ulusal stratejimizde daha büyük bir önem vermeye başlamamız gerekiyor” dedi. Kamu ve özel sektörün kendi merkezi otoritesini kurup, sağlamlaştırmaya çalıştığı mevcut sistemin hakikaten de insan güvenliğini dışlayan bir yapısı var. Bunun tartışılıyor olması oldukça gerekli.

Eleştirilerin ikincisi, ilk defa dinleme şansı bulduğum ve oldukça akıcı sunduğunu belirtmem gereken Mustafa Afyonluoğlu’na aitti. “Türkiye’de Kritik altyapılarda siber güvenlik açısından neler yapılmalı?” sorusuna cevap arayan Afyonluoğlu, bu tarz etkinliklerde kimsenin elini taşın altına sokup, fikir beyan etmediği konulara yer verdi. Dünya ülkelerinde kritik altyapı konusuna gösterilen hassasiyetin, bizim stratejimize de yansıtılması gerektiğini söylerken, bir eksikliği eleştirmekten çok, hakikaten bu konuda dinleyicileri düşünmeye ve tartışmaya sevk ettiğini hissettirmesi kayda değerdi.

Amerika, Kanada, Avrupa Birliği, OECD tarafından hazırlanan farklı kritik altyapı dokümanlarına ve stratejilerine değinen Afyonluoğlu, bu çalışmaların her birinin farklı sektörlere ve alt sektörlere özel uygulamaları da olduğunu, bu kapsamda rehberler, standartlar, çerçeveler hazırlandığı yineledi. Bulunduğumuz noktada, bu çerçevelerin bizim ulusal stratejimize eklemlenmesine büyük ihtiyaç var çünkü “kritik altyapılar” bizim canımızın yanma ihtimalinin en yüksek olduğu meselelerin başında geliyor.

Değinmek istediğim son eleştiri, her konuşmasında şirketini öne çıkarmak yerine bir vizyonu yansıttığını hissettiğim Burak Dayıoğlu tarafından aktarıldı. Eğitim başlığında endişelerini ve değerlendirmelerini ileten Dayıoğlu, ulusal siber güvenlik stratejilerinde eğitim meselesinin bir numaraya konması gerektiğinin ısrarla altını çizdi. Bu kapsamda sürdürülebilir, elektronik ortam destekli ve gelecek nesillere aktarılabilir, elle tutulur bir modele ihtiyacımız var diyen Dayıoğlu, ancak eğitimin özümsenmesiyle az sayıda teknolojiyi, etkin şekillerde birleştirerek kullanabiliyor ve üretebiliyor hale gelebileceğimizi de söyledi.

Makale & Analiz

Siber Güvenliğe “akademik” bir dokunuş: BÜSIBER

10 Mayıs 2017 Ayhan Gücüyener Yorum yapın

Siber güvenlikte bir ekosistemin oluşturulması ve tüm paydaşların efektif bir koordinasyon ile beraber çalışması gerekliliği hem stratejik hem de taktik düzeyinde dile getirilen bir husus. Bu ekosistem içerisinde de, yetişmiş insan kaynağı açığını kapatacak hem de asıl “teknoloji” ve AR-GE tarafındaki ihtiyaçları karşılayacak olan aktör dendiğinde akla ilk gelen kurum üniversiteler.

Bu bağlamda, BUSİBER -Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Siber Güvenlik Çalışmaları Merkezinin- özellikle son dönemde hız kazanan faaliyetleri oldukça göz doldurucu. BUSİBER, Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Bölümü öğretim üyesi Doç. Dr. Bilgin Metin’in girişimciliği ve İstanbul Kalkınma Ajansının destekleriyle hayata geçirilmiş ve siber güvenlik alanının gerektirdiği özel uzmanlaşma ve odaklanmayı sağlamak amacıyla kurulmuş bir proje.

BUSİBER, rutin olarak sürdürdüğü eğitim faaliyetlerinin yanı sıra geçtiğimiz pazartesi günü Boğaziçi Üniversitesinde düzenlediği “Türkiye’de SOME’ler ve Milli Güvenlikte Yerli Milli Çözümleri” etkinliği ile ön plana çıktı. Benim de öğleden önce programına katılma fırsatı bulduğum etkinlikte, Türkiye’nin önde gelen siber güvenlik uzmanları, firmaları ve konuyla ilgilenen akademisyenleri bir araya gelme fırsatı buldu. Etkinliğin her ne kadar ana teması SOME’ler ve yerli milli çözümler de olsa, elektronik harp sistemlerinden, milli siber güvenlik standartlarının önemine; siber istihbaratın öneminden milli siber güvenlik operasyon merkezi çözümlerine sayısı yirmiden fazla konu başlığı tartışılma imkânı buldu.

Hal böyle olunca, birbirinden kıymetli uzmanların yaklaşık 15’er dakika ayrılmış yoğun sunumlarını takip etmek hiç de kolay olmadı. Siber güvenliğin hem stratejik hem taktik hem de operasyonel alanını bu denli geniş ele almış çok disiplinli bir etkinliğe açıkçası daha yoğun bir katılım beklenebilirdi. Bu çerçevede, bu tarz kıymetli etkinliklerin farklı platformlarda, özellikle öğrenci ve profesyonel kariyerini bu doğrultuda şekillendirmek isteyen adaylar için farklı kanallardan duyurulması bir başka önemli husus.

Veri ihlallerinin oranı yüzde 781 arttı

Dinlediğim sunumlarda uzmanların verdiği güncel veriler ve çözüm önerileri oldukça çarpıcı. Örneğin, açılış konuşması ile dinleyicileri bilgilendiren İnternet Geliştirme Kurulu Başkanı Tayfun Acarer veri ihlallerinin 2015’ten 2016’ya geçerken %781 oranında arttığını belirtirken, 2019’da siber saldırıların global maliyetinin 2,1 trilyon doları bulacağı yorumunda bulundu. Bununla beraber, Acarer’e göre, buzdağının görünmeyen yüzü çok daha geniş ve siber atakların %70’i tespit dahi edilemiyor.

Siber güvenlik ile ekonomi arasındaki organik bağ

Kalkınma Bakanlığı İktisadi Sektörler ve Koordinasyon Genel Müdürü Emin Sadık Aydın’a göre ise bilişim artık ekonominin vazgeçilmez bir parçası haline geldi ve bu olgunun ekonominin önemli temellerinden olan büyüme, verimlilik ve rekabetçilik ile organik bir ilişkisi var. Bu çerçevede, bilişim sektörünün ekonomi üzerinde oluşturacağı verimlilik artışını izlemek ancak bir yandan da teknolojinin olumlu ve olumsuz yanlarının farkında olup, tehditleri yönetebilmek çok önemli. Öte yandan, İstanbul Kalkınma Ajansı’nın (İKA) bu projeye destek vermesi atlanmaması gereken oldukça önemli bir detay.

Milli ürünlere olan güvensizliğin aşılması kritik

“Milli Güvenlik ve Elektronik Harp Sistemleri” konusunda bir sunum gerçekleştiren Savunma Sanayi Müsteşarlığı Siber Güvenlik ve Elektronik Harp Sistemleri Daire Başkanı, Muhammet Emin Ulukavak ise konuşmasında siber güvenliğin “milli güvenlik” kavramının tam kalbine geldiğini özetliyor. Ulukavak’a göre, son on yılda kat edilen yol gerçekten çarpıcı ve daha evvel yalnızca teknik bir konu olarak güvenlik bugün savunma sektörü nezdinde de stratejik önemiyle ele alınıyor. SSM’nin savunma sanayisinin geliştirilmesinin önemine de değinen Ulukavak’a göre üzerinde durulması gereken unsurlar ise milli donanımların eksikliği, milli çözümlere duyulan güvensizliğin aşılması ve siber güvenlik ekosisteminin oluşturulması. Bu çerçevede, SSM’nin özellikle yakın zamanlarda başlatmayı düşündüğü “siber akademi” girişimi dikkatle takip edilmesi gereken gelişmelerden.

TÜBİTAK Siber Güvenlik Enstitüsü Başkanı Mustafa Dayıoğlu’nun sunumu da Tübitak’ın siber güvenlik ekosistemi için attığı anlamlı adımların bilinmesi adına oldukça dikkat çekiciydi. Siber güvenlikteki makas değişimine dikkat çeken Dayıoğlu, en büyük eksikliğin “teknoloji geliştirecek insan” olduğuna dikkat çekerken, TÜBİTAK’ın en önemli görevinin, yerlileşme ve millileştirme, uçtan uca siber güvenlik, rehberlik ve destek olduğunu hatırlattı.

KPSS’li siber güvenlikçi çelişkisi

Cezeri Siber Güvenlik Akademisi (SGA) kurucularından ve TRT World’ün IT Direktörü olan Osman Doğan’ın sunumu ise Bug Bounty ve Ödül Avcılığı teması üzerineydi. Doğan, sunumunun ötesinde, siber güvenlikte mücadele edilen asıl kesimin KPSS derecesine sahip olmayan, 20’li yaşlardaki ve mezuniyet şartını yerine getirilmese de istihdam edilen grup olduğunu yeniden hatırlatarak siber güvenliğe ilişkin insan kaynağının kazandırılmasında farklı bakış açılarının geliştirilmesi gerektiği vurgusunda bulundu. Bununla beraber Doğan uzun zamandır gündeme getirilen “Siber Güvenlik Müsteşarlığı” konusunda da yakın zamanda gelişme kaydedileceğini belirtti.

SOME’lere zengin kaynak ve daha çok yetki şart

Siber güvenliğin ekonomik hacmine dikkat çeken e-devlet ve e-yönetişim uzmanı Mustafa Afyonluoğlu da, son dönem çalışmalarından önemli veriler aktardı. Afyonluoğlu’na göre, Fransa siber güvenliğe 2014’te 1 milyar Euro, İngiltere ise 2015’te 2,5 milyar Euro’luk bir kaynak ayırmış. Öte yandan “siber güvensizliğin” yarattığı ticari hacmin 2030 yılında 90 trilyon dolar olması bekleniyor.

İLGİLİ HABER >> ABD SİBER GÜVENLİK BÜTÇESİNİ 14 KAT ARTIRDI

Sunumuna toplantının ana temasını alan Afyonluoğlu SOMElerin (Siber Olaylara Müdahale Ekipleri) kamu tarafında siber güvenlik elektronik hizmetler vermeye çalışırken güvenliği sağlama çabasıyla ortaya çıktığını ifade etti. “Şu anda 600’e yakın SOME var” diye konuşan Afyonluoğlu’na göre SOME’ler ne kadar etkin çalışırsa kamu tarafında siber güvenlik o denli kuvvetleniyor. Öte yandan, standartlar oluşturmak, SOME’lere zengin kaynak sunmak ve onları idari yetki sahibi yapmak gerekiyor. Yetki sahibi olmayan SOME’nin bir siber saldırı durumunda müdahalesi çok da kolay olmuyor.

“Yazılım firmaların yatak odaları gibidir”

Milli siber güvenlik operasyon merkezi sunumuyla, “milli” kavramının güvenlikteki rolünü yeniden vurgulayan ANET Yazılım uzmanı Ertuğrul Akbaş ise, “yazılım firmaların yatak odaları gibidir” alıntısında bulunarak, “yerli sanayinizin ürününü kullanmazsanız yabancı bir yazılımı kullanmak zorundasınız. Onu kullandığınızda maddi kayıpların dışında bilgi güvenliğinizi kaybedebilirsiniz” yorumunda bulunuyor. Milli bir SOC (Security Operation Center) ın ise önceliklerini bileşenlerin milli olarak gerçekleştirilmesi ve süreçlerin milli olması gerekliliği şeklinde özetliyor.

Takip edebildiğim son sunumda “milli ağ ve uygulama zafiyet uygulama çözümleri” temalı sunumuyla Netsparker güvenlik uzmanı Ziyahan Albeniz tamamen yerli bir web güvenliği çözümü olan ve 22 kişilik bir Türk Mühendis ekibi tarafından geliştirilen Netsparker çözümlerine değindi. Öte yandan, güvenlik alanında yetişmiş personel ihtiyacına vurgu yapan Albeniz Türkiye’de internet, özellikle de web güvenliğinin yeni başlayan bir farkındalık olduğuna dikkat çekti.

BUSİBER’in düzenlediği etkinlik “milli” temasının tartışmaların göbeğine yerleştirilmesi ve konunun bütüncül olarak ele alınması açısından son derece tatmin ediciydi. Konuşçmacılara ayırılan 15 dakikalık sürenin bu denli yoğun ve kritik konular için çok da yeterli “olamadığı” bir başka önemli nokta.

Uzmanların bu denli “insan kaynağı eksiği” ve “ürün geliştirme” vurgusuna karşın üniversitelerin öğrencilerini bu alanda cesaretlendirmesi ve bu tarz etkinlikleri takip etmeyi teşvik etmesi gerekiyor. Özellikle uzmanlarla birebir yapılacak söyleşiler, reel dünyada gerçekten ne olup bittiğini anlamak adına oldukça anlamlı olacağı da bir başka öneri olarak gündeme alınabilir.