Etiket arşivi: siberliderler

Makale & Analiz

Siber stratejide Hindistan’ın Türkiye’den farkı: Gulshan Rai!

Yorum yapın

Teknoloji odağının ve bu zamana kadar kısa biyografilerini yazdığım siber liderlerin büyük çoğunluğunun Batı ekseninde olması eleştirdiğim bir konuydu. Bu yüzden batı-merkezli bir yaklaşımdan biraz uzaklaşarak projektörümüzü Asya’nın stratejik güçlerinden Hindistan’a çevirdik.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”3″]

Teknoloji piyasasındaki artan rolü ve dışarıdan aldığı siber saldırıların yoğunluğuyla dikkat çeken Hindistan’ın yakın dönemde başbakanlık altında oluşturduğu yeni bir birim olan Ulusal Siber Koordinasyon Merkezi’ne (NCCC) yönetici olarak atanan Dr. Gulshan Rai’nin karşıma çıkması tam da bu yüzden hoş bir değişiklik oldu. 25 yılı aşkın süredir bu sektörün bir parçası olan Rai’nin uzmanlık alanları siber güvenlik, e-devlet uygulamaları ve bilgi teknolojilerine hukuki altyapı oluşturmak olarak sıralanıyor. Rai, Hindistan’ın 2013 yılında, Türkiye ile neredeyse eş zamanlı yayınladığı birinci Ulusal Siber Güvenlik Stratejisi’nin ve ilk olma özelliği taşıyan Bilgi Teknolojileri Kanunu’nun da baş mimarları arasında sayılıyor. Bu göreve getirilmesinin öncesinde uzun yıllar Hindistan Siber Olaylara Müdahale Ekibi’nin (SOME) ve Hindistan’ın eğitim ve geliştirme ağı olarak bilinen ERNET India’nın direktörü olan Rai, aynı zamanda 1998 yılından bu yana siber alanı ve bu alanda meydana gelen sorunları kapsayan hukuki çalışmalar yürütmesiyle biliniyor. ERNET’deki misyonunun da etkisiyle araştırma, geliştirme ve eğitim faaliyetleri üzerine yoğunlaştığı gözlenen Rai, siber güç sahibi olabilmek için milli altyapı ve uzmanlaşmış işgücü geliştirmeyi en önemli şartlar olarak değerlendiriyor.

SİBER LİDERLER DİZİSİNİN DİĞER YAZILARINA ULAŞMAK İÇİN TIKLAYIN

Özellikle .in ve nic.in uzantılı 700’ü aşkın sayıda devlete ait siteyi, finansal hizmetler sunan organizasyonları ve özel şirketleri hedef alan dış kaynaklı siber saldırıların çoğunlukla Hindistan’ın diplomatik ilişkilerinde zaman zaman sorunlar  yaşadığı Pakistan ve Çin merkezli, gelişmiş saldırılar da yürütebilen hacker grupları tarafından gerçekleştirildiği açıkça bilinmesine rağmen Hindistan hala görünürde net bir duruş veya karşı strateji üretmemesi nedeniyle sıklıkla eleştiriliyor. Açık kaynak taramalarda unvanı Dr. olarak karşımıza çıksa da, eğitim altyapısının içeriğine veya IT sektöründeki uzun soluklu kariyerine dair detay bulmak imkansız olan Rai’nin, milli meselelerdeki duruşu tam olarak kestirilemese de, Hindistan SOME’sinin ve en büyük teknolojik araştırma merkezlerinden birinin başında bulunduğu yıllarda Pakistan kaynaklı siber saldırılara geniş çaplı siber espiyonaj operasyonlarıyla karşılık verilmesinde rolü olduğunu insan düşünmeden edemiyor.

İLGİLİ YAZI >> TÜRKİYE’DE SİBER GÜVENLİK KRİTİK ALTYAPININ ÖNÜNE GEÇECEK

Yazıyı hazırlarken ilk defa inceleme fırsatı bulduğum Hindistan Ulusal Siber Güvenlik Stratejisi’nin, aynı yılda yayınlanan Türkiye Ulusal Siber Güvenlik Stratejisi’yle benzerliği, Türkiye’de Rai görünürlüğü ve yetkisinde biri olmadığını bir kenara bırakırsak oldukça ilgi çekici. Öyle ki, her iki belge de siber güvenlik ve devlet stratejisi alanlarını kesiştiren ilk belge olmasının yanısıra kritik altyapıların güvenliği konusunun içini doldurmaması, siber tehditleri çok boyutlu olarak ele almaması, politik, ekonomik ve hukuki tedbirleri belirlerken yetersiz kalması, telekom sektöründeki siber güvenlik açıklıklarına değinmemesi ve en önemlisi bu belgelerde yer alan maddelerin yasal bir bağlayıcılığı veya yaptırımının bulunmaması açısından birebir benzeşiyor. Bu açıdan bakıldığında iki ülke de, bir bakıma, teknolojiyi üreten olmadıkları için güvenliklerini kapsamlı olduğu kadar bağlayıcı bir yol haritasıyla sağlayamamanın ceremesini çekiyor.

 

Makale & Analiz

Bilişim ve hukuku harmanlayan adam: Tony Scott

Yorum yapın

“There’s two kinds of CIOs: ones who have been hacked and know it, and those who have been hacked and don’t yet realize it. But the reality is, you’ve been hacked”. –Tony Scott, 201

Hatırlarsanız bundan birkaç ay önce ABD yönetimine bağlı Personel Yönetim İdaresi’ne (OPM) Çin tarafından gerçekleştirildiği düşünülen geniş çaplı bir siber saldırı sonucu, federal kurumlarda çalışmak için başvuruda bulunan milyonlarca kişiye ait hassas bilgiler ele geçirilmişti. Hem ABD içinde, hem de dış medyada geniş yankı bulan bu saldırı sonrası Amerikalılar devletin depoladığı bilgilerin güvenliğini ciddi şekilde sorgularken, federal kurumların siber güvenliğinin sağlanması Beyaz Saray’ın yakın dönemde odaklanacağı en önemli konulardan biri haline geleceğinin sinyallerini verdi.  Sızan bilginin boyutu nedeniyle büyük baskıya maruz kalan OPM direktörü Katherine Archuleta apar topar görevden ayrıldığını açıklarken, olaydan yalnızca 2 ay önce Obama tarafından özel istekle federal Bilişim Daire Başkanı (CIO) olarak atanan Tony Scott’ın misyonu oldukça önem kazanacaktı.

Haftalık Siber Bülten raporuna abone olmak için formu doldurunuz

[wysija_form id=”2″]

35 yılını bilişim sektöründe geçiren, aralarında Microsoft, Walt Disney ve General Motors’un da sayılabileceği iddialı firmalarda CIO, operasyon direktörü (COO) olarak önemli görevler üstlenen Scott, aslında bilişim camiasındaki ününü 2013 yılında CIO olarak göreve başladığı sanallaştırma (virtualization) devi VMware’i buaralar sıkça karşımıza çıkan bulut bilişim konusunda başarıyla ön saflara taşımasına borçlu bir siber lider. Ona devlette ihtiyaç duyulmasını sağlayacak bir başka etken de, San Fransisco Üniversitesi’nde aldığı Bilgi Sistemleri Yönetimi lisans eğitimini takiben Santa Clara Üniversitesi’nde tamamladığı hukuk lisans derecesi (juris doctorate). Siber güvenlik meselesini hem hukuki/sosyal hem de teknik boyutuyla ele alabiliyor olması, Scott’un devlet düzeyinde işleri yürütmek için tercih edilmesini sağlamışa benziyor. Şubat ayında federal CIO olarak işbaşı yaptığında, Obama yönetiminin önümüzdeki dönemde IT başlığı altında ayıracağını belirttiği 84 milyar doları aşkın yüksek bütçenin de kontrolünü devralan Scott’ın öncelikleri arasında siber güvenlik ve e-sağlık hizmetlerini denetlemeye, hem internete erişimi hem de internetin hızını artırmaya yönelik çalışmalar olduğu belirtilmişti.

İLGİLİ HABER >> ABD SİBER BÜTÇESİNİ 14 KAT ARTIRDI

Fakat Nisan ayında patlak veren, 21 milyon kişiyi etkileyen siber saldırıyla tüm odağını kamu servislerinin siber güvenliğini iyileştirme yönüne kaydıran, bu anlamda ilginç bir çalışmaya imza atan Scott, Haziran’da başlattığı ‘30 Günlük Siber Güvenlik Deparı’ (30 Day Cyber Security Sprint) adını verdiği bir hayli kapsamlı çalışmayla federal ve sivil yapılar bünyesindeki tüm birimlerin siber güvenliğini tek tek teftiş ederken, 30 gün sonunda yayınlanacak karnelerde her birimin bu konuda gösterdiği gelişime dair bir notlama yapacağını ve başarılı olan kurumların kamuya açıklanacağını söylemişti. Birimler denetlenirken belirlenen gündemde bilgi güvenliğinin sağlanması, durumsal farkındalığın artırılması, işlemlerin standartlaştırılması ve otomatik hale getirilmesi, siber saldırı savunma kabiliyetlerinin artırılması ve güçlü otorizasyon sistemlerinin geliştirilmesi ön plandaydı. Scott’un Obama’dan aldığı tam destek ve yakın zamanda yaşanan siber saldırının yarattığı baskıyla rutin, göstermelik bir değerlendirme olmaktan uzak olan bu 30 günlük depar sonunda tüm federal ve sivil birimlerin siber güvenlik kabiliyetlerinin %42’den %72’ye çıkarıldığını kaydederken, güçlü şifreler ve şahsi kmlik doğrulama kartlarından oluşan iki aşamalı otorizasyonun, benimsenmesi gereken en ciddi konu olduğu Scott tarafından her fırsatta dile getiriliyor.[1] İlerleyen dönemde Federal/Sivil Siber Güvenlik Stratejisi’ne evrilmesi beklenen bu çalışma, aslında kurumların siber güvenlik meselesine ayırdığı bütçelerin daha detaylı olarak belirlenmesi, kurumları ve kurum çalışanlarını bilginin güvenliği konusunda yasal bir zorunluluğa sokması açısından büyük önem taşıyor. Scott’a maledilebilecek 30 Günlük Siber Güvenlik Deparı fikri özgün olsa da, öne çıkardığı konulara, siber liderler serisine ilk başladığım dönemde hakkında yazdığım Obama’nın siber güvenlik danışmanı Michael Daniel’ın da bir hayli mesai ayırdığı farkediliyor. Daniel’ın üzerinde çalıştığı siber mevzuatın odağında Scott’un sık sık değindiği özel şirketler ve devlet arasındaki bilgi paylaşımını artırma ve tüm kurumları ilgilendirecek güvenlik standartları geliştirme hedefleri yer alıyor. Scott’un çalışmasına belki de doğru yer ve doğru zamanda uygulandığı için bu denli ilgi gösterilirken, Daniel’ın bu alanda geliştirdiği potansiyel vaadeden projelerin (Trusted Identities in Cyberspace, Cybersecurity Capability Model vs. gibi) rafa kaldırıldığı izlenimine kapılmamak elde değil. Bu açıdan bakıldığına, Michael Daniel projelerini yeteri kadar öne çıkarsa milyonları etkileyen bu son saldırı önenebilir miydi sorusu akla gelse de, yaşanan durum bir musibetin bin nasihatten iyi olduğunu kanıtlıyor.

Siber Liderler dizisinin diğer yazılarına ulaşmak için tıklayınız

Makale & Analiz

İsrail siber gücünün vitrin yüzü: Keren Elazari

Yorum yapın

“The Internet doesn’t like to have things removed from it. You can’t take the information back and you can’t control what will be done with it.” -Keren Elazari, 2015

İnternetin kullanımımıza sunulduğu ilk günden beri teknoloji dünyasının vazgeçilmez bir parçası ‘hack’ adını verdiğimiz kavram. Facebook, Twitter gibi sosyal medya devlerinin kurucularından tutun da, Apple ile ölümsüzleşen Steve Jobs’a kadar uzanan bir liste dolusu insanın zamanında uzmanlaştığı bir konu aslında hackerlık. Kullanılan hakim anlamının yarattığı olumsuz algı, hackerları merak ve zekadan beslenen, internetin bağışıklık sistemini oluşturan anti-kahramanlar olarak nitelediği TED konuşmasıyla oldukça ses getiren İsrail’li güvenlik araştırmacısı Keren Elazari tarafından değiştirilmeye çalışılıyor.

İLGİLİ HABER >> K. ELAZARI: HACKERLAR INTERNETIN BAĞIŞIKLILIK SİSTEMİ

Kendisi gibi hackerları da ‘güvenlik araştırmacısı’ olarak değerlendiren Elazari, kurulu sistemin hackerlara ihtiyaç duyduğu argümanı üzerine konuşmalarını şekillendiriyor; bu açıdan bakıldığında daha fazla bilgiyi kontrol almaya çalışan devletlerin yakalamaya çalıştığı hackerlar, aynı bilgiye ulaşmak, aynı bilgiyi şekillendirmek ve korumak için gerekiyor. Bilgiye erişmenin günümüzde en kritik güç unsuru olduğunu savunan Elazari’nin tek misyonu elbette hackerların savunuculuğunu yapmak değil. İlk İsrail’li bayan TED, RSA, CyCon ve DefCon konuşmacısı olma sıfatlarını taşıyan Elazari, İsrail siber gücü ve siber güvenlik endüstrisinin Batı’ya açılan yüzü olma niteliğini de taşıyor.

Kendisinden beyaz şapkalı hacker olarak bahsetmesi, hackerlığın temelinde araştırmacı/geliştirmeci bir ruhun yattığını her fırsatta yinelemesi, biyografisinden haberi olmayan her insanı ilk başta mühendis/yazılımcı olduğuna ikna etse de, Elazari aslında tam bir sosyal bilimci. Tel Aviv Üniversitesi’nde Tarih ve Filozofi Bölümü’nde lisansını, Güvenlik Çalışmaları üzerine de yüksek lisansını tamamlayan Elazari, hala Tel Aviv Üniversitesi bünyesinde siber çatışma ve politika üzerine araştırmalar yürütüyor. 2000’den bu yana İsrail’deki Big 4 ve Fortune 500 listelerinde sayılabilecek güvenlik firmaları ve konuyla ilgili önde gelen devlet kurumlarında çalışan Elazari’nin sektörde 15 yıllık tecrübesi bulunuyor. An itibariyle GIGAOM adlı bir medya şirketinde endüstri analisti ve siber güvenlik uzmanı olarak görev yapan Elazari, asıl ününü 1.4 milyon kişi tarafından izlenen TED konuşmasından sonra kazanmışa benziyor. Elazari, bilgi güvenliği ve mahremiyetin 20. yüzyıla ait değerler olduğuna değindiği konuşmasında Google, Amazon, Facebook, Apple gibi şirketlerden saklayabileceğimiz bir özelimizin kalmadığını savunurken sistem karşıtı bir ruhu yansıtıyor. ‘Kullandığınız bir ürün için para ödemiyorsanız, ürün sizsiniz’ diyen Elazari, mahremiyetimiz karşılığında bu ürünlerden faydalandığımızı belirtiyor. Oldukça protest söylemleri, siyah kıyafetleri ve yarı kızıl kahküllü saçlarıyla Hollywood’un çizdiği kız hacker profilini birebir yansıtan Elazari, hackerlara karşı büyük şirketlerin ve toplumun duruşunun bir an önce değiştirilmesi gerektiğini vurguluyor.

Elazari İsrail’in en eski günlük gazetesi Haaretz’e verdiği bir mülakatta, tüm hackerların suçlu olarak değerlendiremeyeceğini belirtse de, bir hackerın motivasyonunu merak mı, ideoloji mi yoksa suç işleme güdüsünün mü tetiklediğinin belirlenmesinin olduka zor olduğunu kanıtlamak adına çarpıcı bir örnek sunuyor.  İsrail’in de adının karıştığı, siber güvenlik literatürüne damgasını vurmuş Stuxnet’in yaratıcısından ‘biz İsraillileri dehasıyla büyülüyor’ şeklinde bahsederken, İran’dakilerin aynı yaratıcıyı ‘terorist, suçlu’ olarak nitelediğini söyleyen Elazari’nin konuşmalarının satır aralarında ilk bakışta milliyetçi gözükmeyen söylemler, biraz daha detaylı bakıldığında farkediliyor.  İsrail’de düzenlenen CyberTech’in de aralarında sayıldığı büyük çaplı siber güvenlik etkinliklerinde öne çıkan aktifliği, Tel Aviv Üniversitesi ve devlet kurumlarıyla arasındaki yakın bağ, sempatik görünümü ve akıcı İngilizcesi ile akıllarda kolayca yer edinen Elazari, bulunduğu pozisyon itibariyle damardan politika yapıcı, karar alıcı bir siber lider olarak karşımıza çıkmasa da, İsrail’i temsil eden duruşu ve konuşmalarında sunduğu protest konu başlıklarıyla dinleyicilerine liderlik ediyor.

İLGİLİ HABER >> İSRAİL’İN SİBER BEYNİ: EVIATAR MATANIA

En az on beş dakikalık konuşmalarında, mülakatlarında, yazılarında politik, stratejik duruşunu ustalıkla gizleyen Elazari, önceki yazılarımda değindiğim İsrailli bir başka siber lider olan, bahsettiği her konuda çok konuşup aslında çok az şey söyleyen Eviatar Matania’yı andırıyor.  Matania’nın İsrail’i ‘Batı’ ekseninde, ‘Batı’ için hareket eden bir siber güç olarak konumlandırdığı düşünüldüğünde, teknoloji ve güvenlik dünyasının medyatik/sempatik yüzü olma yolunda ilerleyen Keren Elazari, giderek güçlenen İsrail siber sektörünün Batı’daki vitrin yüzü olma görevini layığıyla yürütüyor.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]