Dışişleri Bakanlığı, sekiz adet sözleşmeli bilişim personeli alımı için bir ilan yayınladı. İlandaki “ethical hacker” ifadesi dikkat çekti.
İlanda, tam zamanlı olarak işe alınacak bir “Bilgi Güvenliği Uzmanı” pozisyonu için Certified Ethical Hacker (CEH) belgesine sahip olmanın tercih sebebi olduğu belirtildi. Bu belgeler, siber korsanlık faaliyetlerine hâkim olan, ancak bunu etik ve yasal amaçlar için kullanan “beyaz şapkalı hacker” olarak adlandırılan bilgisayar uzmanları tarafından alınabiliyor.
Resmi Gazete’de yayımlanan ilana göre, Dışişleri Bakanlığı sekiz sözleşmeli bilişim personeli alacak. İlanda, uygulamalı/yazılı ve sözlü sınav sonuçlarına göre başarı sırasına göre sekiz sözleşmeli bilişim personeli alınacağı ifade edildi. Bu pozisyonlar arasında üç tam zamanlı “Yazılım Uzmanı”, bir tam zamanlı “İş Analisti”, bir tam zamanlı “Ağ Uzmanı”, bir tam zamanlı “Bilgi Güvenliği Uzmanı” ve iki tam zamanlı “Sistem Uzmanı” bulunuyor.
Bilgi güvenliği uzmanı pozisyonu için, başvuru sahiplerinden Certified Ethical Hacker (CEH) Sertifikası ya da buna denk bir belge talep ediliyor. Bu belgeye sahip olanlar, siber güvenlik açıklarını tespit etmek amacıyla bilgisayar sistemlerine sızma yöntemlerini bilen, ancak bunu etik amaçlar için kullanan uzmanlar.
İlana başvuracak adaylardan, “beyaz şapkalı hacker” yeteneklerine sahip olmaları için şu sertifikalardan en az birine sahip olmaları isteniyor: “Tercihen, Certified Ethical Hacker (CEH), ECSA/LPT (Ec-Coincil Certified Security Analist/Licensed Penetration Tester), Offensive Security Certified Professional (OSCP), Web Application Penetration Tester (GWAPT) veya CPTE (Certified Penetration Testing Engineer) sertifikalarından en az birine sahip olmak veya ISO 27001 Baş Denetçi Sertifikası’na sahip olmak.”
Ayrıca, bu pozisyonda çalışacak uzmanlardan, bilişim sistemlerine ait güvenlik sistemleri hakkında bilgi sahibi olmaları, standart güvenlik araçlarını kullanabilmeleri, sızma testleri ve güvenlik açığı değerlendirme araçları konusunda deneyimli olmaları, zafiyet yönetimi ve zafiyetlerin giderilmesi konularında bilgi sahibi olmaları, ayrıca Siber Olaylara Müdahale Ekibi kurulumu, yönetimi ve dokümantasyonunda deneyim sahibi olmaları bekleniyor.
İlanda, işe alınacak personelin ücretlendirilmesiyle ilgili olarak, aylık brüt sözleşme ücretinin 657 sayılı Devlet Memurları Kanunu’nun 4’üncü maddesinin (B) bendine göre belirlenen sözleşme ücret tavanının ÖZEL ŞARTLAR başlığı altında belirtilen brüt sözleşme ücret tavanının katları ile çarpımı sonucu bulunacağı, ancak kurumun, tavan ücretin altında sözleşme düzenlemeye ve ödeme yapmaya yetkili olduğu kaydedildi.
Gelecek yıllarda Türkiye’de siber güvenliğin gelişimi hakkında kapsamlı bir akademik çalışma yapılacak olursa, 29 Kasım günü Ankara’da gerçekleşen Ulusal Siber Güvenlik Tatbikatı bir dönüm noktası olarak bu çalışmada yerini alacaktır diye düşünüyorum.
Her ne kadar ulusal çaptaki beşinci tatbikat olarak kayıtlara geçse de son tatbikatın ‘dönüm noktası’ olarak nitelenmesine sebep olacak birçok farklı özellik bulunuyor.
Otuzdan fazla kamu kurumundaki SOME (Siber Olaylara Müdahale Ekibi) görevlilerinin (yaklaşık 150 kişi) katıldığı tatbikatta, UDHB Bakanı Ahmet Arslan’ın açılışa katılarak konuşma yapmasının neden olduğu geniş medya ilgisi başlı başına bir farkındalık etkisi oluşturdu.
Dünyadaki diğer örneklere bakıldığında daha üst seviyede bu tür işlerin ele alındığını da not etmekte fayda var. İngiltere başbakanının, ABD başkanıyla yaptığı görüşmede iki ülkede faaliyet gösteren bankaların ortak siber tatbikat düzenleme kararı alması veya İsrail başbakanının uluslarası siber güvenlik konferansının açılış konuşmasını bizzat yapması ülke dışından verilebilecek iki örnek olarak karşımızda duruyor. Hem siber güvenliğin stratejik bir konu olarak değerlendirildiğinin göstergesi hem de ulusal farkındalık açısından bu tür hareketlerin algı açısından önemli olduğu kanısındayım.
Tatbikatın belki de en önemli ve benim açımdan en heyecan verici tarafı özel sektörün ilk kez elini taşın altına koyması ve UDHB’nin düzenlediği böylesine kritik bir etkinliğin organizasyonu ve icrasında etkili olması.
Daha önce de dilimiz döndüğünce anlatmaya çalıştık. Siber dünyanın getirdiği risk ve tehditleri devletlerin sadece kendi kaynaklarıyla göğüslemeye çalışmaları neticesi olmayan bir çabadan ibaret kalacak. Bu yüzden özel sektör ne kadar işin içine girerse o kadar verimli ve başarılı bir çalışma ortaya konur. Ulusal siber güvenlik stratejisinin eylem planında yer alan ‘ulusal tatbikat’ hedefini sektörün önemli ismi Barikat ile gerçekleştirilmesi gelecek adına umut verici ve kesinlikle geliştirilmesi zorunlu bir adım. Amerika’yı yeniden keşfetmeye gerek yok. Bırakın ulusal tatbikatları, uluslararası tatbikatlar da (NATO vb.) bile artık özel sektör damgası görünür şekilde kendini belli ediyor.
Tatbikatın bir başka özelliği ise ilk kez simülasyon ortamında kamu kurumlarına gerçek saldırılar yapılması oldu. Saldırıların izlenebildiği Barikat ürünü SİPER ile katılımcılar ve gözlemciler hangi kuruma saldırı olduğunu gerçek zamanlı olarak takip edebildiler. Katılma ve izleme şansı bulduğum birden fazla uluslararası siber güvenlik tatbikatından fiziksel tatbikat ortamı açısından eksiği değil fazlası olduğunu söyleyebilirim.
Tatbikatların amacı gerçek saldırılara karşı mümkün olduğu kadar refleks geliştirmek. Dolayısıyla gerçek bir siber saldırıdaki psikolojik baskı aynen yansıtılamayabilir ama bir katılımcının da şakayla karışık yakındığı gibi, otel salonunda sigara içilmemesi gibi faktörlerin dahi tatbikat stresini artırdığını söyleyebiliriz.
İlk etabı 6 Kasım’da başlayan tatbikata katılan kurumların sorumlu personelin saldırıyı tespit edip, engelleyerek raporlaması bekleniyor. Kurumların tatbikatta sergiledikleri performansı konuyla ilgili herkesin merak ettiğini düşünüyorum ama bir açıklama yapılacağını sanmıyorum. Umarım sonuçlarla ilgili en azından genel veriler isim verilmeden kamuoyu ile paylaşılır.
Siber güvenlik gizliliği, medya şeffaflığı
Türkiye’de gizlilik ve siber güvenlik ilişkisinde net bir duruş belirleyememiş olmanın yetkililerde gerilime neden olduğu da 29 Kasım gözlemlerimiz arasında. Siber Bülten ekibinin temasta bulunduğu hemen herkes ‘aman bunları yazmayın’ tedirginliğini yansıtmaktan çekinmedi. Kamu yetkililerinin kendilerine göre haklı endişeleri olabilir lakin ne özel sektör ile iş birliği yapmak ne de bu kadar kapsamlı bir etkinliğin bir parçası olmak saklanması gereken bir şey olmamalı. Olayın ulusal caydırıcılık ile de yakından ilişkisini kaçırmamak gerekiyor.
Tatbikatta çekilen aşağıdaki gibi fotoğrafların sosyal medyaya yansıması daha etkili olur diye düşünüyorum.
Firewall’unuzu soracak muhabir nasıl yetişecek?
Apple ile FBI arasındaki iPhone kilidini kırma çekişmesi devam ederken online olarak izlediğim bir basın toplantısında ABD’li gazetecilerin soruşturmayı yöneten savcıya sorduğu teknik altyapısı sağlam soruları hayret ve hayranlıkla takip etmiştim. Benzer sorular sorabilecek gazetecilerin yetişmesi için medya ile siber güvenlik sektörü arasında yoğun bir iş birliği geliştirilmesinin kritik olduğunu düşünüyorum. Ancak o zaman ‘kalitesiz güvenlik ürünleri satıyorlar’ gibi eleştirilerin kamuoyunda yankı bulması veya ‘teknik bilgiden yoksun haber yazıyorlar’ gibi haklı şikayetlerin azaltılması sağlanabilir. Dolayısıyla tatbikat ile ilgili sağlam bir basın brifinginin olmamasının bu açıdan kaçırılmış bir fırsat olarak görüyorum.
UDHB ve Barikat siber tatbikat konusunda çıtayı yükseltti. Gelecek dönem için artık daha yüksek beklentilere sahibiz. Bu tür etkinlikler aynı zamanda kamu kuruluşlarının SOME’leri arasında bir ‘networking’ fırsatına çevirmek için bulunmaz fırsat. Kurumların karışık oturma planında yerleştirildiği bir akşam yemeği ya da resepsiyonun bireysel ilişkileri sıkılaştıracağı ve bu sayede bilgi paylaşımı mekanizmalarının bireysel düzeydeki temellerinin atılacağı muhakkak.
Tatbikatın yan faydalarını artıracak bir husus olarak gözlemcilerin tatbikatın daha fazla içinde yer almasını sağlamak da sayılabilir. Tatbikat katılımcılarına herhangi bir sorunla karşılaştıklarında yardım eden yeşil takımın aynı şekilde gözlemcilere yönelik de ‘sürekli bilgilendirme’ yapması o grubun da daha angaje olmasını sağlayabilirdi.
Özellikle kritik altyapı tesislerini işleten özel sektör temsilcilerinin bu tür bir ulusal tatbikatta katılımcı olarak bulunması etkinliğin ‘ulusal’ olma niteliğini arttıracağını gözden kaçırmamak gerek. Ayrıca gelecek dönemde dünya standartlarındaki bu tür çalışmaların bölgesel ve uluslararası iş birlikleri çerçevesinde daha da genişletilmesi, Türkiye’nin siber diplomasi ayağına da güç katacağı bir gerçektir.
İletişim için: minhac@siberbulten.com
Siber Bülten abone listesine kaydolmak için formu doldurunuz
