Etiket arşivi: siber güvenlik

BizNet

 ‘Türkiye, siber güvenlik konusunda icraata odaklanmalı’

Yorum yapın

Türkiye’nin önde gelen bilgi güvenliği şirketlerinden Biznet’in İç Girişimcilik Direktörü Hakan Terzioğlu’nun hazırladığı podcast serisinin son bölümünde Türkiye’nin siber güvenlik yönetişimi ve kümelenme gibi konularda geldiği nokta konuşuldu.

Serinin son bölümünde Biznet iş geliştirme direktörü Eser Ateş’i ağırlayan Terzioğlu siber güvenliğin altın çağını yaşadığını belirterek, uluslararası boyutta çeşitli kümelenmelerin oluşmasını bu durumun bir göstergesi olduğunu söyledi. 2003 yılından bu yana Biznet’te çalışan tecrübeli yönetici kümelenme ve ekosistem alanlarında Türkiye’nin gelişimini değerlendirdi: “Biznet’te bu alanın öncülerindeniz. Ama Türkiye’de konunun stratejik olarak ele alınması 2011’e dayanıyor. Türk Silahlı Kuvvetleri’nin 2011’de siber güvenliği bir çalışma sahası olarak belirlemesiyle çalışmaların ilk tohumları atılıyor.”

TSK’daki faaliyetlerin başlamasından bir sene sonra ulusal siber güvenlik çalışmalarının yürütülmesi için Bakanlar Kurulu kararı ile sivil alanda da düğmeye basıldığına değinen Ateş, “O zamandan beri çok şey değişti. Ulaştırma, Denizcilik ve Habercilik Bakanlığı koordinasyon görevi üstlendi. 2012’de üst düzey katılımla siber güvenlik koordinasyon kurulu toplantılarına başladı. Ancak şu an bu kurul hala toplanıyor mu bilmiyoruz” dedi.

Daha sonra 2013-14 Siber Güvenlik Eylem Planının yayınlanması, siber olaylara müdahale ekiplerinin kurulması gibi çok hızlı ve birbirini takip eden adımlar atıldığını anlatan Ateş, bu dönemin konunun üst düzeyde ele alındığını hissettikleri, hareketli bir dönem olduğunu söyledi. Bu dönemdeki dinamizmi umut verici bulan Eser Ateş, “Her ne kadar başlangıçta çok katkı yapabildiğimizi hissetmesek de sonraki dönemin stratejik plan hazırlıklarında kamu, akademi ve özel sektörün içinde olduğu bir çalıştay gerçekleştirildi. Bu da bizi umutlandıran önemli bir çıkıştı,” şeklinde konuştu.

‘Siyasi dalgalanma çalışmaları duraksattı’

Biznet yöneticisi, siber güvenlik ile ilgili adımların etkili şekilde atıldığı bir dönemden sonra Türkiye’nin siyasi anlamda yaşadığı çalkantılı dönemi, yakalanan ivmenin düşüşe geçmesinde ana faktörlerin başında gördüğünü dile getirdi ve ekledi: “Hazırladığımız eylem planını 2015-2017 dönemi için yaptığımızı düşünüyorduk. Fakat planın pratiğe geçmesi siyasi hareketlilikten dolayı sekteye uğradı. Bir senelik bir boşluk oluştu.”

Ateş, siyasi dalgalanmaların yanı sıra süreçteki en önemli eksiğin yapılan stratejik planlarda yer alan aksiyonların ne kadarının tamamlandığının ya da bu aksiyonlarda hangi noktaya gelindiğinin şeffaf bir şekilde takip edememeleri olduğunu belirtti. Terzioğlu da hedeflere yönelik ilerleme sağlanabilmesi için sadece vizyon olarak iyi bir yerde olmanın yetersiz olduğunu; vizyon ve icra dengesinin siber güvenlik alanında kritik olduğunu söyledi.

Ateş, siber güvenlik gibi önemli bir konunun siyasi gelişmelerden etkilenmeden sürekli olarak gündemde olması gerekliliğini de sözlerine ekledi: “Örneğin darbeden sonra duraksama yaşandı. Seçimler yaklaşıyor. Önümüzdeki yıl yeni stratejik plan için hazırlıkların başlaması gerekiyor. Merak ediyorum bu yeni plan bu arada 2020 yılını kapsayacak mı? Yoksa yine bir sene duraksama yaşayacak mıyız? Siber güvenlik ara verebileceğimiz bir konu değil.”

Siber güvenlik alanındaki duraksamalara rağmen, Siber Olaylara Müdahale Ekibi (SOME) sayısının 850’ye ulaşması ve KAMUNET’in kurulması gibi olumlu gelişmelerin yaşandığına da podcast’te dikkat çekildi. Ulaştırma, Denizcilik ve Haberleşme Bakanlığı müsteşar yardımcısı Galip Zerey’in açıklamasına göre, bugüne kadar 73 kamu kurumu KAMUNET’e dahil oldu. Eser Ateş, siber güvenlik altyapısının güçlendirilmesi ve bilincin artması için KAMUNET’i iyi bir motivasyon aracı olarak değerlendirdiğini ifade etti.

“2017 yılındaki bir tebliğ ile Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nın koordinasyonunda kamu kurumlarının güvenli bir ağ üzerinden haberleşmesi için KAMUNET kuruldu. Tebliğin sonuçlarını gördük. ISO 27001 sertifikası alabilmek için ciddi bir hareketlenme yaşandığını gözlemledik. Sadece sertifikayı alıp yola devam etmekten ziyade altyapıyı güvenli yönetmek için bilinç arttı.”

EKS güvenliği için EPDK ve Enerji Bakanlığı kritik kurumlar

Podcast’te siber güvenlik alanındaki regülasyonlar hakkındaki görüşlerini de paylaşan Ateş, şunları söyledi: “Endüstriyel kontrol sistemleri ve kritik altyapıların güvenliğinden 2017’deki SOME tebliğinde bahsedilmişti. EKS güvenliğiyle ilgili Enerji Piyasası Düzenleme Kurumu (EPDK) ve Enerji Bakanlığı önemli adımlar atıyor. Örneğin, EPDK hem kendi SOME’sini kurdu hem de kendi denetimine tabii firmaları çıkardığı regülasyonlarla konuyu belli bir olgunluğa eriştirmeye çalışıyor.”

Ateş, EPDK’nın aynı zamanda EKS güvenliği için risk analizini zorunlu hale getirmesi, rehber hazırlaması, tebliğe göre düzenli denetimler yapılması gibi milli güvenlik açısından önemli adımlar attığına değindi. “Enerji Bakanlığı da yine kritik altyapı olarak nitelendirebileceğimiz kurumların güvenlik seviyesini arttırmak için çalışmalarını hızla yürütüyor.”

Kümelenme en büyük eksiklerimizden

Eser Ateş’in altını çizdiği noktalardan bir diğeriyse kümelenme, ekosistem ve siber güvenlikte yerli ve milli çözümlerin üretimi gibi konularda Türkiye’nin yol alamıyor olması: “Aynı alanda çalışıyor, ürünler geliştiriyoruz. Ama bilgi paylaşımı ve iş birliği eksikliği sebebiyle sürekli rekabet ortamında yerimizde sekiyoruz. Bu da yerli ürün konusunda kurumlarda çekince oluşturuyor. Ürünün devamı gelmiyor. Siber güvenlikte yerlilik ve millilik önemli. Bunun için el ele bir şeyler yapmamız lazım. Kümelenme bu yüzden önemli,” dedi.

Çeşitli kamu kurumları, teknokentler ve sivil toplum kuruluşlarının kümelenme çabalarının sonuçsuz kaldığına değinen Ateş, hedefin niş alanlarda herkesin tek tek çaba gösterdiği çalışmaları birleştirerek dünyaya açılmak olması gerektiğini söyledi.

Terzioğlu da kümelenme konusunda yurtdışındaki modellere değindi ve özellikle sarmal yapıdaki iş birlikleri sayesinde önceliklendirilmiş alanların çok daha rahat ortaya çıktığını, böylece sınırlı sayıda kaynakla daha efektif çözümler geliştirilebildiğini söyledi

“Rekabet aslında iyi bir şey ama bir alan üzerinde 10 firma birden kafa yoruyorsa ve asıl proje yerine tek bir konu üzerine 10 firma uğraşıyorsa çaba ve zaman kaybı söz konusu oluyor. Halbuki güvenlik konusunda çok niş alan var. Kümelenme tam olarak burada işe yarıyor, çünkü ortaya bir harita çıkıyor.”

Türkiye’de siber güvenliğin gelişimi için kümelenmenin çok önemli bir yer tuttuğuna değinen Terzioğlu, yurtdışında uluslararası çapta kümelenmelerin senkronizasyonun bile tartışıldığını söyledi.

“Mesela Global Epic programı buna bir örnek. Biznet’in de üyesi olduğu Hague Security Delta (HSD), Global Epic’in bir parçası. Farklı ülkelerdeki kümelenmelerle iş birliği yapılarak çalışma alanları çok daha rahat belirleniyor, ilerleme daha hızlı sağlanıyor.”

Terzioğlu aslında siber güvenlikte yerli kümelenmeyi ateşleyecek kurumun Savunma Sanayi Müsteşarlığı (SSM) olduğunu ve bu konuda halihazırda önemli adımlar atıldığını ekledi. Ateş de SSM’nin iyi bir vizyona sahip olduğunu ve güzel çalışmalar yürüttüğüne değindi. “Özel sektör, kamu ve akademi temsilcileriyle çalışmalar yaptılar. Somut adımlar atıldı ve bunlar, kamuoyuna duyuruldu. Her ne kadar eksikliklerimize değinmiş olsam da bu konuda ciddi ilerlemeler olduğuna söylemem lazım. SSM’nin büyük gelişmelerin yolunu açacağını düşünüyorum.”

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Türkiye

Türkiye’deki internetin kalbinden, siber güvenlik programı

Yorum yapın

İnternetin Türkiye’deki merkezinden siber güvenlikte yetkinlik için iki günlük bir program düzenleniyor. 12-13 Mayıs tarihleri arasında Business Management Institute ve ODTÜ işbirliğinde “Siber Güvenlik Eğitim Programı” düzenleniyor.

Bilgileri izinsiz ele geçirme yöntemleri değişen dünya ve gelişen teknoloji sayesinde boyut değiştirirken son dönemlerde artan siber saldırılar özellikle kurumların ticari yapısını tehdit ediyor ve muhtemel siber saldırıların nerelerden geleceği konusunda kurumların tedbir alması bir ihtiyaç haline geliyor. Bu ihtiyaç göz önünde bulundurularak güncel bilgi birikimi ve deneyimiyle Business Management Institute (BMI)  ve ODTÜ işbirliğiyle tasarlanan “Siber Güvenlik Eğitim Programı”  12-13 Mayıs’ta Ankara’da düzenleniyor.

ODTÜ-Bilgisayar Mühendisliği Anabilim Dalı akademisyenlerinin liderliğinde gerçekleşen eğitim katılımcılarına güvenlik açıklarını tespit etmek ve tedbir almak,  saldırıları savuşturmak ve acil durumlara müdahale etmek için gerekli olan bilgi ve donanımı katmayı amaçlıyor.

Teorik ve Pratik Bilgi Birikimi

İki gün sürecek olan eğitimde Tehditler, Saldırılar ve Açıklar, Siber Güvenlik Teknolojileri ve Araçları, Kriptolojiye Giriş, Siber Güvenlik Mimarisi ve Tasarımı, Yönetimsel, Operasyonel ve Teknik Kontrol, Fiziki ve Altyapısal Güvenlik, Felaket Yönetimi ve Acil Müdahale, Sertifikasyon ve Süreçler, Etik ve Yasal Mevzuat, Risk yönetimi, Kimlik Yönetimi ve Erişim kontrolü, İnsan Kaynakları Güvenlik Eğitimi ve Güvenlik Denetimi konu başlıkları hakkında teorik bilgi aktarılırken yakın geçmişte yaşanmış olan siber ataklar ele alınıyor.

Katılımcılarına ODTÜ-Sürekli Eğitim Merkezi tarafından katılımcı belgesi düzenlenen eğitimin katılımcı profilini bu alanda bilgi sahibi olmak isteyen yöneticiler ve firma sahipleri, firmaların bilgi teknolojileri ve bilişim departmanı çalışanları, siber güvenlik uzmanları ve bu alana ilgi duyanlar oluşturuyor.

Eğitim hakkında daha detaylı bilgi almak ve kayıt olmak için web sitesini ziyaret edebilirsiniz.

Rusya

Rusya, dünya kupası öncesi siber güvenlik önlemlerini artırıyor

Yorum yapın

2018 Dünya Kupası finallerine bu yaz aylarında ev sahipliği yapacak olan Rusya’da hükümet ve ulusal güvenlik ajansları, siber güvenlik önlemlerini sıkılaştırıyor. Rusya Federal Güvenlik Servisi (FSB) uzmanları, ziyaretçi takımların ve yetkililerinin kalacağı oteldeki IT sistemleri üzerindeki kontrollerini tamamlıyor. FSB uzmanları ve diğer Rus özel hizmetler görevlileri Dünya Kupası altyapı tesislerinin olası bir siber saldırının hedefi olduğuna inanıyor.

FSB’nin siber suçlarla mücadele eden K-Departmanı’nda görevli uzman Sergey Korolev, oteller ve diğer dünya kupası altyapı tesislerinde yapılan kontroller sırasında en çok ilgilendikleri unsurların Wi-Fi cihazlarının güvenilirliği, orijinal firmware’in varlığı, şifredeki zafiyetler ile kullanıcı şifresinin karmaşıklığı olduğunu ifade etti.

Sergey Korolev şöyle devam etti: “Oteldeki Wi-Fi noktaları, yönetimin belirlediği basit şifrelerden dolayı sıklıkla saldırılara açık oluyor. ‘admin’ ya da ‘admin234’ gibi şifreler bunlara örnek gösterilebilir.” Mevcut kontroller kapsamında, 2018 Dünya Kupasına ev sahipliği yapacak bölgelerdeki internet sağlayıcılarının fazla müsamahakâr belge işlemleri de değerlendirilecek.

FSB temsilcileri hâlihazırda elde edilen sonuçların birçok oteldeki bilgisayar ağlarının zayıf güvenliğe sahip olduğunu ortaya koyduğunu belirtiyorlar. Korolev ayrıca küresel düzeydeki zincir otellerin veri korumaya büyük önem verirken diğer otellerin IT güvenliğinin zayıf olduğunu ekledi.

Yönetimin doğrudan dünya çapında ünlü operatörle gerçekleştirildiği bu otellerde bilgi güvenliği için modern şifreleme protokolleri, yalıtılmış ve şifrelenmiş veri kanalları gibi yüksek gereksinimler bulunuyor.

Palo Alto Networks’ün bilgi güvenliği danışmanı Denis Batrankov SC Media UK’ye yaptığı açıklamada başlıca tehdidin olası bir hackerın konukların internet oturumlarını durdurma yeteneği ile ilgili olduğunu ve bunun birçok otelde Wi-Fi’ya korunmasız girişler yapılması durumunda yaşanabileceğini ifade etti.

Batrankov’a göre böyle bir durumda hackerler e-postaları okuyabilir, internet bankacılığına giriş yapabilir banka kartı bilgilerini ele geçirebilir. Rusya’nın önde gelen siber güvenlik girişimi Cyberzachita’nın başkanı Sergey Perevozchikov da aynı görüşte. Perevozchikov, kamusal bir Wi-Fi ağını kullanan bir oturum ele geçirildikten sonra saldırganlar cihazdaki sosyal ağ girişleri ve banka hesapları da dâhil birçok bilgi elde edilebilir.

İlgili haber>> Rusya olimpiyatları hackledi; Kuzey Kore’nin üstüne attı

Perevozchikov’a göre bu tam teşekküllü bir gözetleme. Böylesi bir durumda suçlular sadece kullanıcıların eylemlerini izlemekle kalmayıp onları manipüle de edebilir. Örneğin kullanıcıları e-dolandırıcılık yapan sayfalara yönlendirebilir –ki bunun çoğu zaman orijinal olandan ayırt edilmesi oldukça güçtür- ya da kullanıcıya, virüs yüklemeye sebep olacak yasal bir yazılımı güncellenmesi gerektiğine dair bir bildirim gönderebilir.

Rusya’nın bir diğer önde gelen siber güvenlik şirketi Asteros’un sözcüsü ise hackerlerin ticari, yönetimsel ve ekonomik bilgi içeren otel sistemleri için de bir tehdit oluşturduğunu söyledi. Asteros’taki analistlere göre her bir otel mühendislik ve bilgi sistemlerinin karışımı ve bunlardan her hangi birinin zarar görmesi domino etkisi yaratabilir ve bütün binanın çalışma kapasitesini etkileyebilir.

FSB, hangi otellerin incelendiğini açıklamadı. 2018 Dünya Kupası’nın organizasyon komitesine göre şampiyonanın finallerine katılacak olan 32 takım sadece otellerde değil Rus futbol kulüplerinin antrenman tesislerinde, spa’larda ve tatil köylerinde de konaklayacak. Bütün bu yerler de güvenlik kontrolünden geçirilecek. Mesela, Fransız takımı Moskova’daki Hilton Garden Inn’de konaklayacakken Alman milli takımı Moskova yakınlarındaki Vatutinki Dinlenme tesislerinde kalacak. İngiliz Milli takımı ise St. Petersburg’daki bir otelde kalacak.

Uluslararası Terörle Mücadele Birliği Başkanı Josif Linder, bu düzeyde bir uluslararası spor organizasyonunun rahatlıkla siber saldırıların hedefi olabileceğini belirtirken ekliyor: “Özellikle Rusya karşıtı havanın bu kadar yüksek olduğu bir dönemde.”

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Lostar

Lostar: Kişisel Veri Güvenliği Rehberi tavsiye niteliğinde önemli bir doküman

Yorum yapın

Bilgi teknolojilerinin sosyal, ticari ve kurumsal her alanda artan önemi ve beraberinde getirdiği siber tehditler, ülkeleri kişi hak ve özgürlüklerini korumaya yönelik yasal düzenlemeler yapmaya zorluyor.

Türkiye’de bu alanda atılan en önemli yasal adımlardan biri yaklaşık iki yıl önce yürürlüğe giren Kişisel Verileri Koruma Kanunu (KVKK) olmuştu.

KVKK sonrası uyum sürecini kolaylaştırmak için geçtiğimiz aylarda Kişisel Verileri Koruma Kurumu tarafından “veri sorumlularının alması gereken teknik ve idari tedbirlere” ilişkin ‘Kişisel Veri Güvenliği Rehberi’ yayımlandı.

Rehberi ve beraberinde getirdiklerini Siber Bülten’e değerlendiren Lostar Bilgi Güvenliği’nin Kurucu Genel Müdürü Murat Lostar’a göre, kurul tarafından yayınlanan bu dokümanın ve ilgili maddelerinin en önemli özelliği yasal bir yaptırım gücünün olmaması.

“Bu rehber, bizim tavsiye niteliğinde diyebileceğimiz, herhangi bir yaptırımı olmayan, tek tek her satırı yapmak zorunda olmadığımız ama ‘acaba biz bu işi nasıl yaparız’ diye düşündüğümüzde bize yanıt veren dokümanlardan bir tanesi,” diyor Lostar.

KVKK’ya göre, verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan veri sorumlusu, kişisel verilerin erişilemez ve tekrar kullanılamaz olması için gerekli her türlü “teknik ve idari” tedbirleri almakla yükümlüdür.

“Peki ama ‘kurum bu verilerin güvenliğini sağlarken neler yapabilir, nedir bu teknik ve idari adımlar?’ sorusunu cevabını bu dokümanda buluyoruz,” şeklinde konuşuyor Lostar.

CEO’ya göre, banka, sigorta şirketi ya da sağlık kuruluşlarının bilgi işlem altyapılarındaki kişisel verileri korumak için neler yapılabileceklerine ilişkin idari ve teknik adımlar bu rehber doküman sayesinde daha net olarak belirtiliyor.

“Aslında bu rehber, şirketlerin yüzde 99’unu çok güzel bir şekilde kapsıyor ve çok güzel yol gösteriyor. Kurumlar ne yapacağını anlamak için bu rehbere bakıyor olacak.”

 

-Mağduriyetleri giderebilecek bir rehber

Lostar’a göre Verileri Koruma Rehberi’nin şöyle bir yararı daha var.

“Biz güvenlik camiasında biliriz, yüzde yüz güvenlik olmaz diye. Mükemmel güvenli önlemleri altında bile saldırıya uğrayabilirsiniz. Bu durumda Kişisel Verileri Koruma Kurulu’nun sizlerin bu konuda bir kusurunuz olup olmadığını değerlendirme durumu söz konusu olacaktır,” diye belirtiyor Lostar ve ekliyor:

“Böyle bir mağduriyet durumunda, eğer siz bu rehber dâhilindeki maddeleri uygulamış olduğunuzu ve gerekli önlemleri aldığınız gösterebilirseniz, yaşamış olduğunuz veri çalınması olayının aslında sizin kusurunuzdan değil de karşı taraftan kaynakladığını ispatlama olasılığınız artıyor.”

Lostar’a göre raporda siber saldırılara karşı kişisel veri güvenliğini sağlamak için çalışan eğitiminin önemi de ciddi şekilde vurgulanıyor.

Rehberin dokümanın “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” adlı maddesinde, kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmalarının, kişisel veri güvenliğinin sağlanması için hayati önem taşıdığı özellikle belirtiliyor.

 

-Siber güvenlik şirketleri için yeni rehberlik hizmeti

KVKK yayınlandığından beri kurumlar kanunla uyumlu hale gelebilmek için birçok çalışma yapıyor.

Lostar’a göre bu çalışma farklı yollardan geçerek mümkün ve bu yollardan bir tanesi içeride tutulan verileri daha güvenli hale getirmek.

“Bizim için bu doküman son derece değerli. Resmi bir kurum tarafından yayınlanmış olmasının da çok ciddi bir anlamı var,” diyor tecrübeli CEO.

Murat Lostar’a göre yayınlanan rehber, kurumların veri güvenliği ile ilgili yapmış oldukları çalışmaları inceleyip, idari ve teknik anlamda almaları gereken başka ne gibi veri güvenliği önlemleri olduğunu ve bunların nasıl gerçekleştirebileceklerini ayrıntılı ve düzgün bir raporla sunabilecekleri bir hizmet de başlattı: “Bu veri güvenliğini yeterince sağlıyor muyum sorusunun cevabını veren bir hizmet.”

Lostar’a göre bu hizmet kapsamında güvenlik şirketi, hizmet alan kurumun bilgi güvenliği ile ilgili almış olduğu farklı idari ve teknik önlemleri değerlendiriyor ve rehber doküman ile kıyaslıyor.

“Bu alınan önlemlerin bu rehber dokümanın hangi maddelerine nasıl uyduğunu ya da uymayan yerlerin neler olduğunu ortaya koyuyoruz.”

Ayrıca, bu değerlendirme sonucunda kurumun hangi maddelerle ilgili hiç çalışma yapmamış olduğu ortaya çıkıyor.

“Ve bu eksilerin tamamlanması için neler yapması gerektiğini bir rapor haline getirip, bir yol haritasıyla beraber müşterimize teslim ediyoruz,” diye ekliyor Lostar.

Lostar Bilgi Güvenliği’nin kurumlar için hazırlamış olduğu “Güvenlik Rehberi” yazısına aşağıdaki link üzerinden ulaşabilirsiniz:

https://lostar.com.tr/2017/08/sirketler-icin-guvenlik-rehberi.html

Siber Bülten abone listesine kaydolmak için formu doldurunuz

BizNet

Biznet Türkiye’de EKS siber güvenlik ekosistemi için kolları sıvadı

Yorum yapın

Biznet Bilişim, Türkiye’de endüstriyel kontrol sistemleri alanında bir siber güvenlik ekosisteminin oluşturulması için ilgili paydaşları içinde bulunduran bir model önerisi geliştirdi. ‘Endüstriyel Kontrol Sistemleri Siber Dayanıklılık Vizyon Planı‘ adı verilen model, ilgili küresel ekosistemle aktif etkileşim halinde yerel bir platform kurarak, Türkiye’deki kritik altyapıların siber dayanıklılığını arttırmayı amaçlıyor.

Yurtdışında sürdürülen incelemelerin sonunda Biznet’in Türkiye için önerdiği modelin amaçları arasında, bu alanda uzman insan kaynağının yetiştirilmesi, bilgi birikiminin oluşturulması, EKS siber güvenliği alanında küresel örnekleri ile rekabet edebilecek yerli ürün ve hizmetlerin geliştirilmesi yer alıyor.

Biznet, böyle bir ekosistem için hizmet sağlayıcı firmalar ve işletmeler (“asset owners”), kamu ve akademilerle (üniversite, araştırma enstitüleri v.b) birlikte üçlü bir güvenlik sarmalı modelini öneriyor. Söz konusu modelde gönüllü kuruluşlara da yer veriliyor.

Yayınlanan dökümanda da belirtildiği gibi, bu üçlü sarmalda her bir paydaşın kendi içinde üzerine düşen görevler öngörülüyor. Endüstriyel Kontrol Sistemleri Siber Güvenlik Ekosistemi Akademi Eylem Planı’nda akademi ayağında amacın, araştırmacı kaynağının sağlanması, insan kaynağı yetiştirme, EKS siber güvenlik laboratuvarının kurulumu ve teknik araştırmalar için destek sağlanması olması gerektiği dile getiriliyor.

İşletmelerin sunacağı katkının ise yaşanmış ihlal ya da tehditlere ilişkin bilgi paylaşımı, iş ve staj imkânı sağlanması ve laboratuvar için süreç bilgisi ve ekipman temini olabileceği öngörülüyor. Hizmet ve teknoloji sağlayıcılarının da EKS siber güvenlik istihbarat desteği, eğitimler, araştırmacı desteği sağlama ve üniversite araştırmacılarının ilgili konularında yapacağı uluslararası sunum ve konferans için sponsorluk desteği vermesi gibi katkılar sağlayabileceği dile getiriliyor.

Kamu, regülasyon kurumları ve gönüllü kuruluşların ise oluşturulacak yol haritası kapsamında destekleyici bir rol üstlenebileceği dile getiriliyor. Bu kurum ve kuruluşların rehberlik, regülasyon, standartlaşma, yaygınlaştırma gibi konularda yol çizmesi beklenenler arasında.

Biznet’in hazırladığı dökümanda eğitim seferberliğinin söz konusu modelin bir parçası olması gerektiğinin altı çiziliyor. Buna göre, endüstriyel uzmanlık (endüstriyel yazılımlar, ürünler ve destekleyici eğitimler); siber güvenlik ve iş sürekliliği gibi konu başlıklarında bilgi birikiminin sürekli artması gerektiği öngörülüyor.

Bütün bu bilgiler saha bilgisi ile harmanlanıp pratik uygulamalara dönüştürülmeli. Ardından da farkındalık programları, dijital eğitim platformu, sınıf içi eğitimler ve üniversitelerde tez, doktora gibi yaygınlaştırma çalışmalarıyla desteklenmeli.

Bir olgunluk modelinin oluşturulmasının altı çizilen dökümanda siber dayanıklılığın sürdürülmesi için de vizyon geliştirilmesi öngörülüyor. Bu vizyon üç temel kategori altında incelenebilir:

  1. TR-E-ISAC çatı yapısının kurulması, böylece bilgi paylaşımı altyapısının oluşturulması
  2. Yerli çözüm geliştirme
  3. Siber dayanıklılığın arttırılması ve sürdürülmesi. Bunun rehberlik ve danışma, regülasyon, akreditasyon, standartlaşma ve ulusal faaliyetler ile gerçekleştirilebileceği öngörülüyor.
Can Demirel

Konuyla ilgili Siber Bülten’e konuşan Biznet’in bilgi güvenliği uzmanı ve takım lideri Can Demirel, böyle bir ekosistemin hayata geçirilmesi için bütün tarafların gönüllü olması ve tüm tarafların katkı sunmasının gerekliliğinin altını çizdi.

Biznet, geliştirdiği bu model önerisiyle kendi üzerine düşen görevlerle ilgili somut aksiyonlar alıyor.

Güven ilişkisi temel olgu

Can Demirel, söz konusu üçlü sarmalda bütün kurumların paydaş olarak yer alacağını ve bu paydaşlar arasındaki ilişkinin güven ilişkisi ve ortak kazanç olmak üzere iki temel olgu üzerine inşa etmenin gerekliliği vurguladı. “Bilgi paylaşımının ön planda olduğu böyle bir platformda güven ilişkisi ve ortak kazanç en önemli iki olgu. Kazanç ile sadece maddi kazanımlardan bahsetmiyoruz. Böyle bir ekosistem içinde bilgi edinimi, siber tehditlere karşı iş birliği gibi parasal değeri olmayan kazanımlar da söz konusu.”

Üniversitelerle iş birliği yapılacak

Demirel, şu anda hem endüstriyel kontrol sistemleri hem de siber güvenlik alanında çalışma yapan akademik kuruluşlarla görüştüklerini, başlangıç olarak Sakarya Üniversitesi ile iş birliği içinde olduklarını, ama farklı üniversiteleri de sürece dahil ederek akademisyenlerin desteğiyle ilerleyeceklerini belirtti.

“Örneğin bu yaz bir EKS siber güvenlik kampı ilgili paydaşların desteği ile gerçekleştirilecek.  Bu tarz programlarla hem insan kaynağı eksiğini gidermek hem de farkındalığı arttırarak hem bu alanda yetkin insan kaynağının yetiştirilmesi ek olarak nitelikli araştırma faaliyetlerinin gerçekleştirilmesini hedefliyoruz.”

Yayınlanan dokümanda önerilen modelin akademi ayağında ekosistem kurulum faaliyetleri kapsamında akademi ile birlikte işletilecek laboratuvarın kurulmasına öncelik verilmesi belirtiliyor.

Buna göre bu laboratuvarlarda endüstri ihtiyaçları gözetilerek araştırma konuları belirlenmeli ve araştırmalar yürütülmeli.

Biznet’in kendi analizine göre araştırma için üzerinde durulması gereken konu başlıkları arasında şunlar var: Endüstriyel cihazların gömülü işletim sistemlerine yönelik güvenlik analizi, endüstriyel protokoller üzerinde tersine mühendislik, endüstriyel bileşenler üzerinde zafiyet araştırması, izole ağlara sızma yöntemleri ve atak-savunma değerlendirmeleri.

Biznet’in geliştirdiği üçlü sarmal modelinde yer alacak paydaşların iki ana kategoriye ayrılması öneriliyor. Kurucu paydaşlar; ekosistemin kurulmasına öncülük eden ve kurulum aşamasından itibaren ekosistemin içerisinde yer alan paydaşlar olarak belirlenirken üye paydaşlar, kurulum sonrası ekosistem bünyesinde yer alan paydaşlardan oluşacak.

“Geçmiş denemeler ve küresel örneklerden edinilen bilgiler ışığında somut adımlar atılarak ilerlemenin faydalı olacağını değerlendiriyoruz. Somut çıktıların başarı olma şansını arttıracağına inanıyoruz.”

Yurtdışındaki modelleri inceleyerek böyle bir model geliştirdiklerini söyleyen Demirel, doğru adımların atılması halinde Türkiye’nin bu konuda önemli bir yol kat edeceğini düşünüyor: “Elbette bir paydaş olarak üzerimize düşen aksiyonlarla ilgili somut adımlar atarken diğer paydaşların da doğru zamanda doğru adımlar atması gerekiyor. Doğru strateji ve aksiyonlarla bırakın dünyaya yetişmeyi, küresel bir başarı öyküsü çıkarabiliriz.”

‘Kültürün içselleştirilmesi şart’

Can Demirel, söz konusu ekosistemin bütün paydaşlara yararlı olabilmesi için kültürel yaklaşımların önemine de değindi: “Buradaki en önemli noktalardan biri yurtdışında gözlemlediğimiz bilgi paylaşımına ve farklılıklara açık olmayı öngören kültürel yaklaşımları içselleştirebilmek.”

Siber Bülten abone listesine kaydolmak için formu doldurunuz