Richard L. Kugler “Deterrence of Cyber Attack” isimli çalışmasında ABD özelinden hareketle siber caydırıcılığın mümkün olup olmadığını sorgulamaktadır. Kugler çalışmasında siber uzayda yapılan tüm saldırılarda caydırıcılığın mümkün olmadığını, buna karşın zarar verme potansiyeli olan saldırılara karşı caydırıcılığın yeterli olacağını iddia etmektedir. Bu bağlamda Kugler tespit/isnat problemine değinmiştir. Tespit/isnat problemi caydırıcılığın sağlanmasını imkansız kılmamaktadır. Kugler’a göre imkanlar dahilinde tespit edilebilen ve/veya saldırganın kimliğini ortaya koyduğu durumlarda caydırıcılık geçerlidir.
Bu bağlamda Kugler’ın altını çizdiği bir diğer önemli konu Soğuk Savaş’ın aksine günümüzde tek bir caydırıcılık stratejisinin işlevsel olmayacağıdır. Soğuk Savaş boyunca tehdit nükleer silah, rakip ise nükleer silaha sahip diğer devletlerdir. Siber uzayda ise tehdit ve rakip farklı düzeylerde ve birden fazladır. Bu nedenden dolayı tek bir caydırıcılık stratejisi yetersizdir, yapılması gereken farklı düzeylerde farklı tehditlere özel caydırıcılık stratejileri oluşturmaktır.
Kugler çalışmasında, ABD ve müttefiklerinin sadece bilgi sistemlerinin değil siber uzaya bağlı tüm kritik altyapılarının saldırıya açık olduğunu belirtmiştir. Bunun da ötesinde siber uzayın kullanımı ve buna bağlı olarak siber uzaya bağımlılığın her geçen gün arttığı küreselleşen dünyada, saldırılacak sistemlerdeki açık sayısı da hızla artmaktadır. Diğer bir deyişle siber uzayın kullanımında yaşanan artış çift taraflı bir tehlikeyi barındırmaktadır. Belirttiğimiz gibi bu artış, saldırılacak sistemlerdeki açık sayısını arttırdığı gibi bu açıklara saldırma potansiyeli olan rakip sayısını da arttırmaktadır. Bu bağlamda ortaya çıkan yeni aktörler, tehdidin niteliğini ve niceliği de arttırmaktadır.
Finansal yönden incelenecek olursa küreselleşen dünyada çoğu aktör ekonomik gelişimini siber uzaya borçludur. Ortaya çıkan ekonomik gelişim, yeni aktörlerin küresel politikadaki gücünü arttırmaktadır. Ekonomik açıdan gelişim içindeki bu aktörler siber uzayda çok fazla harcama yapmadan, geliştirdikleri güç ile uluslararası sistemde büyük yatırımlarla diğer dört boyutta güç geliştiren aktörlerle güç mücadelesine girebilir. Bu bağlamda siber uzayın maliyet açısından uygunluğu devletleri ofansif kapasite geliştirmeye teşvik edebilir.
Siber uzayın ortaya koyduğu bu yapıda klasik caydırıcılıkta gerekli olan güçlü bir savunma ve misilleme yapabilmek için etkili bir saldırı kapasitesine ek olarak, saldırganın motivasyonunu ve psikolojisini etkileyecek kapasite geliştirilmesine de ihtiyaç vardır. Bu şekilde oluşturulacak bir caydırıcılık stratejisi tüm saldırıları engelleme kapasitesine sahip olmasa da belli başlı saldırıları engelleyebilir.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
Teknoloji odağının ve bu zamana kadar kısa biyografilerini yazdığım siber liderlerin büyük çoğunluğunun Batı ekseninde olması eleştirdiğim bir konuydu. Bu yüzden batı-merkezli bir yaklaşımdan biraz uzaklaşarak projektörümüzü Asya’nın stratejik güçlerinden Hindistan’a çevirdik.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”3″]
Teknoloji piyasasındaki artan rolü ve dışarıdan aldığı siber saldırıların yoğunluğuyla dikkat çeken Hindistan’ın yakın dönemde başbakanlık altında oluşturduğu yeni bir birim olan Ulusal Siber Koordinasyon Merkezi’ne (NCCC) yönetici olarak atanan Dr. Gulshan Rai’nin karşıma çıkması tam da bu yüzden hoş bir değişiklik oldu. 25 yılı aşkın süredir bu sektörün bir parçası olan Rai’nin uzmanlık alanları siber güvenlik, e-devlet uygulamaları ve bilgi teknolojilerine hukuki altyapı oluşturmak olarak sıralanıyor. Rai, Hindistan’ın 2013 yılında, Türkiye ile neredeyse eş zamanlı yayınladığı birinci Ulusal Siber Güvenlik Stratejisi’nin ve ilk olma özelliği taşıyan Bilgi Teknolojileri Kanunu’nun da baş mimarları arasında sayılıyor. Bu göreve getirilmesinin öncesinde uzun yıllar Hindistan Siber Olaylara Müdahale Ekibi’nin (SOME) ve Hindistan’ın eğitim ve geliştirme ağı olarak bilinen ERNET India’nın direktörü olan Rai, aynı zamanda 1998 yılından bu yana siber alanı ve bu alanda meydana gelen sorunları kapsayan hukuki çalışmalar yürütmesiyle biliniyor. ERNET’deki misyonunun da etkisiyle araştırma, geliştirme ve eğitim faaliyetleri üzerine yoğunlaştığı gözlenen Rai, siber güç sahibi olabilmek için milli altyapı ve uzmanlaşmış işgücü geliştirmeyi en önemli şartlar olarak değerlendiriyor.
Özellikle .in ve nic.in uzantılı 700’ü aşkın sayıda devlete ait siteyi, finansal hizmetler sunan organizasyonları ve özel şirketleri hedef alan dış kaynaklı siber saldırıların çoğunlukla Hindistan’ın diplomatik ilişkilerinde zaman zaman sorunlar yaşadığı Pakistan ve Çin merkezli, gelişmiş saldırılar da yürütebilen hacker grupları tarafından gerçekleştirildiği açıkça bilinmesine rağmen Hindistan hala görünürde net bir duruş veya karşı strateji üretmemesi nedeniyle sıklıkla eleştiriliyor. Açık kaynak taramalarda unvanı Dr. olarak karşımıza çıksa da, eğitim altyapısının içeriğine veya IT sektöründeki uzun soluklu kariyerine dair detay bulmak imkansız olan Rai’nin, milli meselelerdeki duruşu tam olarak kestirilemese de, Hindistan SOME’sinin ve en büyük teknolojik araştırma merkezlerinden birinin başında bulunduğu yıllarda Pakistan kaynaklı siber saldırılara geniş çaplı siber espiyonaj operasyonlarıyla karşılık verilmesinde rolü olduğunu insan düşünmeden edemiyor.
Yazıyı hazırlarken ilk defa inceleme fırsatı bulduğum Hindistan Ulusal Siber Güvenlik Stratejisi’nin, aynı yılda yayınlanan Türkiye Ulusal Siber Güvenlik Stratejisi’yle benzerliği, Türkiye’de Rai görünürlüğü ve yetkisinde biri olmadığını bir kenara bırakırsak oldukça ilgi çekici. Öyle ki, her iki belge de siber güvenlik ve devlet stratejisi alanlarını kesiştiren ilk belge olmasının yanısıra kritik altyapıların güvenliği konusunun içini doldurmaması, siber tehditleri çok boyutlu olarak ele almaması, politik, ekonomik ve hukuki tedbirleri belirlerken yetersiz kalması, telekom sektöründeki siber güvenlik açıklıklarına değinmemesi ve en önemlisi bu belgelerde yer alan maddelerin yasal bir bağlayıcılığı veya yaptırımının bulunmaması açısından birebir benzeşiyor. Bu açıdan bakıldığında iki ülke de, bir bakıma, teknolojiyi üreten olmadıkları için güvenliklerini kapsamlı olduğu kadar bağlayıcı bir yol haritasıyla sağlayamamanın ceremesini çekiyor.
Uzun soluklu CSI serisine yeni eklenen CSI:Cyber’ın ilk bölümünden beri hem siber güvenliğin bir hayli teknik iç yüzünden anlayan, hem sahada operasyonel kabiliyetleri komandoları aratmayan FBI ajanı Elijah Mundo karakterinin gerçekte bir karşılığı olamayacağından neredeyse emindim. Ta ki yeni yazımın konusunu araştırırken karşıma çıkan Shawn Henry’e kadar.
Kısaca tanıtmak gerekirse, FBI merkezinde çeşitli birimlerde önemli birimlerde yer almış, FBI’in bir numaralı siber güvenlik yetkilisi sıfatıyla 24 senenin, sayısız ödül, kritik görev ve başarılı siber operasyonun ardından kendi isteğiyle emekliye ayrılıp, özel sektöre geçiş yapan bir isim Shawn Henry. Mavi gözleri, sıfıra vurulmuş saçları ve yapılı görüntüsüyle sarışın bir G.I. Joe’yu andıran Henry, gerçekten de FBI’da göreve başladığı 1989 yılından 1999 yılına kadar aktif olarak sahada görev almış ve SWAT ekibi bünyesinde bir çok operasyona katılmış. Daha kariyerinin başlarında FBI’in en nitelikli saha yetkililerine verdiği Üstün Cezai Soruşturma ödülünü almaya hak kazanan Henry, son yıllarındaysa yalnızca IT dünyasını etkileyen kritik devlet çalışanlarının listeye adını yazdırabildiği Federal Top 100’de yer almış ve McAfee’nin bir numaralı siber suç savaşçısı seçilmeye layık görülmüş.
Hofstra Üniversitesi’nde İşletme, Virginia Commonwealth Üniversitesi’nde Cezai Hukuk Yönetimi çalışan Henry, Deniz Harp Lisansüstü Eğitim Akademisi’nin Ulusal Güvenlik ve İstihbarat bölümünde Üst Düzey Ulusal Güvenlik Liderleri Yetiştirme Programı’nı tamamlarken, kariyerinin büyük bir kısmını siber suçları araştırmaya adamış. Sahip olduğu hukuki temelin ona şüphesiz üstünlük sağladığı bu alanda DDoS saldırılarından, şirket sırlarının çalınmasına, banka sistemlerine sızılmasından devlet-destekli güvenlik ihlallerine kadar pek çok farklı bilgisayar suçunun araştırılmasına önderlik etmiş.Tam da bu yüzden G8 İleri Teknoloji Suçlar Altgrubu’nda ABD temsilcisi olarak görevlendirilen Henry, Amerika’da siber güvenliğin gidişatını hem ulusal hem uluslararası politikalar nezdinde bir hayli şekillendirdiği düşünülen Kapsamlı Ulusal Siber Güvenlik İnisiyatifi’ne yön veren Ulusal Siber Çalışma Grubu’nun (CNCI) da ana üyelerinden birisi.
Aslında Henry’nin ‘executive’ yöneticiliğe uzanan ve onu zamanın haber başlıklarına ‘FBI’ın Bir Numaralı Siber Polisi’ olarak taşıyan serüveni, 2007 yılında FBI’ın Siber Birimi’ne yardımcı direktör olarak atanmasıyla başlamış. 2008’de direktörlüğe terfi etmiş ve nihayet 2010 yılında da FBI’a bağlı Criminal, Cyber, Response, and Services Şubesi’nin (CCRSB) başında yerini almış. Önderliğinde yürütülen, Anonymous, Antisec ve Lulzsec gibi tanıdık hacker gruplarına mensup 80 üyenin yakalandığı 2012 tarihli operasyonları takiben aldığı kararla görevden ayrılacağını belirten Henry’nin, emekli olduğu sırada 6ncı ayını yeni doldurmuş bir start-up şirketi olan CrowdStrike Services’in başına yönetici ve Güvenlik Başkanı olarak geçeceğini söylemesi siber güvenlik çevrelerinde bir hayli etki yaratmış.
CrowdStrike, siber olaylara anında müdahale ve zararlı yazılım değerlendirmeleri gibi alanlarda uzmanlaştığı belirtilen iki tanıdık ismin 26 milyon dolar yatırıma değer bulunarak başlattığı bir şirket esasında. CEO’su McAfee’nin eski CTO’su olan George Kurtz ve CTO’su ise yine McAfee’nin tehdit araştırmaları laboratuarının başında görev yapmış olan Dmitri Alperovitch. Biraz detaya inildiğinde ve şirketin faaliyetlerine yoğunlaşıldığında, CrowdStrike’in en önemli özelliği Henry’nin beraberinde getirdiği ‘proaktif’ tutum gibi gözüküyor.
Henry’nin siber dünyada saldırganlara karşı şimdiye kadar sergilenen ‘reaktif’ tavrın bir işe yaramadığını, saldırganların siber dünyada kendini korumaya çalışanlardan fersah fersah ileride olduğunu ve tüm bunların üzerine ABD’nin hackerlara karşı yürüttüğü savaşı kaybettiğini ısrarla vurgulayan bir tutum içerisinde olması elbette ki şirket dinamiklerini de etkiliyor. Öyle ki, şirketin yürüttüğü faaliyetler arasında ağlara izinsiz sızanları proaktif metodlarla avlamaya çalışmak da var. Bu anlamda Shawn Henry’nin hem özel sektörün, hem de devletin siber suçlar karşısında durağan bir tavır sergilemesi ve bu olaylar karşısında bilincin hala çok düşük olduğunu belirtirken verdiği örnek bir hayli önemli. Henry, şu ana kadar gerçekleşmiş siber suçları bir buzdağına benzetiyor, buzdağının görünen ucunun basında magazin değeri yüksek olduğu için yer bulan kredi kartı sahtekarlıkları, kimlik veya bilgi hırsızlıkları olduğunu ve yöneticisinden işçisine tüm halkın yalnızca işin bu boyutundan haberdar olduğunu söylerken ekliyor, ‘asıl tehdit dipte, suyun karanlık derinliklerinde’.
Verdiği röportajlar ve izlediğim sunumlarından Shawn Henry’e dair edindiğim en önemli fikir, en az Keith Alexander kadar ‘alarmist’, yani panik yaratan bir üslupla konuşması oldu. Özellikle Black Hat 2012’de özel sektörün bir parçası olan her şirkete siber saldırılardan sorumluların peşine proaktif şekilde düşmeleri gerektiğini tavsiye vermesi, bu suçlularla (hatta onun sözlerini tam olarak çevirmek gerekirse ‘düşman’ ile) savaşacak askerlere ihtiyaç olduğunu söylemesi, aksi takdirde şirketlerin bulundukları ülkeye karşı sorumluluklarını yerine getirmemiş olacaklarını belirtmesi ve sürekli siber 9/11 vurgusu yapması görüşümü oldukça pekiştirdi. Eski SWAT üyesinin, siber güvenliğe dair aykırı ve hatta saldırgan fikirleri olduğu bir gerçek, ancak bir başka gerçek de çoğu ülkenin son dönemde sıklıkla yönelmeye başladığı aktif siber defans (ACD) politikaları. Bu konu karşısında özel sektöre yüklemeye çalıştığı görevlerden bağımsız düşünürsek, fikirleri gerçekliğe zıt bir tablo çizmiyor.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
Bigi Güvenliği Akademisi, Türkiye’de bilgi/siber güvenlik alanında faaliyet gösteren bir kaç köklü kurumdan biri olarak öne çıkıyor. 2008 yılından bu yana sektörde olan BGA 20 kişilik uluslararası geçerliliğe sahip sertifikalı teknik ekiple faaliyetlerini Ankara ve İstanbul ofislerinde sürdürüyor. Stratejik siber güvenlik danışmanlığı da veren kurumun başındaki isim Huzeyfe Önal ile Türkiye’de siber güvenliğin geleceğini konuştuk.
Türkiye’de siber güvenlik sektörünün gelişimini siber güvenlik tehdit algısının artışına paralel olarak görüyor musunuz?
Güvenlik tehdit algısı ile doğru orantılı olarak gelişen bir süreç oldugu icin Türkiye’de siber güvenlik konusu son yıllara kadar ciddi bir gelişim gösteremedi. Hasta olmadan doktora gitmeme ya da sınava son gece çalışarak dersi geçme konusunda mahir olan bir kültür için güvenlik olgusunun sıkıntılar yaşandıkca önem kazanmasını normal karşılayabiliriz.
Türkiye harici diğer dünya ülkelerinde de benzeri durum olmasına rağmen Türkiye’de biraz daha musibet yaşandıkca aksiyon alınması ve güvenliğe yatırım yapılması “musibed based security” modelinin işlediğini göstermektedir.
Bir müddet daha bu şekilde güvenlik problemleri yaşandıkca önem artmaya başlayacak ve sonra bizler de bu işin doğrusuna yöneleceğiz, yani testi kırılmadan önlemlerimizi alacağız. Dünyadaki siber güvenlik gelismeleri Türkiye’de yeterince yakindan takip edilebiliyor mu? Eğer edilmiyorsa, bu durumu ülkenin siber güvenlik alaninda geri kalmasinda bir faktör olarak görebilir miyiz?
Türkiye’de henüz siber güvenlikle entellektüel seviyede ilgilenen ciddi bir kitle oluşmadı, siber güvenlik olayları gazetelerin 3. sayfa haberleri gibi daha magazinsel sunuluyor.
Ben Türkiye’nin siber güvenlikte geri kalmasının temel nedenini dış ülkelerden ciddi saldırılar almamasına(Dış ülkelerin hedefi olabilecek kaç tane uluslararası marka firmamız var), yerel hacker gruplarının gerçekleştirdiği saldırılarda amaçlarının ticaretten çok mesaj verme olmasından kaynaklandığını düşünüyorum. Her ne kadar son bir iki yılda Türkiye’de yaşanan siber güvenlik problemleri ticari odaklı olmasına rağmen henüz yeteri dikkati çekememiştir.
Bir de konuyla ilgili olanların bir kısmının yabancı dilde haber okumama, her tür haber icin sadece merkez haber kaynaklarını takip etmeleri nedeniyle konudan uzak kaldıklarını düşünüyorum.
Siber güvenlik Türkiye’de ne zaman yükselise geçti / geçecek?
Yaklaşık 14 yıldır bu konuyla ilgili olan ve Türkiye’deki durumu izleyen biri olarak yaşanan süreci 3 aşamaya bölüyorum. 1. aşama 2000-2011 , ikinci aşama 2011-2015 ve son aşama da 2015-2020. 2. aşamada alınan yol geri kalan 10 yıllık süreçten daha önemlidir. Yapılan etkinlikler, bu konudaki çıkan haberler ve yatırımlar incelendiğinde ikinci aşamanın çok önemli olduğunu görebiliriz.
Ama bence henüz Türkiye siber güvenlikte altın çağını yaşamadı, sektörde ciddi manada “kalifiye” eleman eksikliği ve stratejik manada bunu anlatabilecek yönetici (kamu. özel sektör) eksiliği var. Akademik dünyada siber güvenlik ise daha emekleme aşamasına bile gelemedi. Bu üç bileşenin 2017-2018 yıllarında çok ciddi artışa gececegini düşünüyorum.
Stratejik siber güvenlik alaninda Türkiye ne durumda? Sizce ilerlemesi için hangi adimlarin atilmasi gerekiyor?
Strateji kelimesi bu ülke için çoğunlukla bilgisayar oyunlarıyla birlikte anılıyor. Gerçek manada stratejik adımların atılabilmesi icin bu konuda daha fazla insan kaynağının yetişmesi, yetişen mühendis, teknik adam kadar işin sosyal boyutunu irdeleyebilecek insanların da olması gerekir.
Orta seviyede bu konu ile ilgili hemen herkesin söyleyebileceği bir sürü fikri vardir bu konuda, bizleri yönetmekle sorumlu kişilerin radikal kararlar alarak bu konuyu ön plana çıkartmadıkları müddetce stratejk ilerleme konusunda beklentileri düşük tutmakta fayda var. Obama 2010 yılında ulusa sesleniş konuşmalarından birinde “Amerika’nın 21. yüzyıldaki refah seviyesi Siber Güvenik konusunda atacağı adımlara bağlıdır” mealinde bir cümle kullanmıştı. O zaman abartı gibi gelen bu cümle şimdilerde doğruluğunu gösteriyor.
Akademi ve özel sektör iş birligi siber güvenlikte nasıl sağlanabilir?
Son 10-15 yılın en önemli tartışma konularından biri Akademi-özel sektör iş birliği. Diğer alanlarda bunu başaramadı Türkiye ama siber güvenlik konusunda alınacak hızlı kararlarla başarılacağını düşünüyorum ben. Bu başarının önündeki en önemli engel Türkiye’deki akademisyenlerin teori dünyasında boğulması ve siber güvenlik konusunda yerli ürünleri de içine alacak ar-ge çalışmalarının Türkiye’de yeterli seviyede yeşermemiş olması
NSA skandalından sonra dünyada siber güvenlik sektöründeki özel sirketler ile devlet arasindaki iliskiler gündeme geldi. Vodafone gibi dünya devlerinin dahi devletlere vatandaslari takip edebilmesi ve dinleyebilmesi için yardımcı olduğu ve bazı uygulamalarına göz yumduğu ortaya çıktı. Bu konudaki görüşlerini paylaşabilir misiniz?
NSA’den sızan belgeler incelendiğinde bu tip gayri resmi işlemlerin 2007 yılından itibaren düzenli olarak yapıldığı görülmektedir. Internet sokağının bir vatandaşı olarak bireysel mahremiyete dokunacak her tür işleme karşı çıkmayı ve buna karşı önlem almayı hepimizin öğrenmesi gerekiyor. EFF gibi organizasyonların daha fazla desteklenmesi, takip edilmesi aynı gemide yol alan internet kullanıcılarının yararına olacaktır.
Diğer yandan dünyanın süper gücü olmayı kendine hedef edinmiş bir devletten farklı bir şey de beklenmezdi. Ben ilk okuduğumda bu belgeleri aklından geçen ilk cümleler “… boşuna süper güç olunmuyor, bizim filmlerde olacağına ihtimal getirmediğimiz senaryoları adamlar yapmış…” oldu.
Özel sektörün, bağlı bulunduğu ülkenin kanunlarına göre yönetildiğini düşünürsek uzun vadede global firmaların lokal sistemlerle iş yapmaya başlamak zorunda kalacağını söyleyebiliriz.
Avrupa Birliği’nin ilk Siber Güvenlik Stratejisini yayınlamasının ardından neredeyse iki yıl geçti. İki yıl boyunca AB’de siber güvenlik alanında neler yaşandığını Avusturyalı siber güvenlik uzmanı Alexander Klimburg Dış Politika Konseyi (Council on Foreign Relations) için yazdığı yazıda değerlendirdi.
Klimburg,stratejinin hedefleri arasında siber dayanıklılığın artırılması ve siber suçları etkili şekilde düşürmek gibi konuların yer aldığını belirtiyor. Güvenlik uzmanına göre, strateji belgesi, siber güvenlik politikalarının üç önemli ayağını ortaya çıkartıyor. Bunlar güvenlik, dış politika ve ekonomi. Bu açıdan bakıldığında iç güvenlik alanında önemli bir yer tutan siber suçlarla sorumlu olarak İçişleri Genel Müdürlüğü (The General Directorate for Home Affairs) öne çıkıyor. Siber güvenliğin dış politika ve savunma alanlarıyla olan yakın ilişkisinden dolayı Avrupa Konseyi (European Council) ve Avrupa Harici Eylem Servisi (European External Action Service) de siber güvenlik politikasında söz sahibi oluyor. Siber güvenliğin merkezinde ekonomi için hayati öneme sahip olan ağ ve bilgi güvenliği de bulunduğundan Ekonomi İşlerinden sorumlu genel müdürlük de (Directorate General for Economic Affairs) strateji de sorumlu tutulan birimler arasında yer alıyor. Klimburg siber güvenlik politikasının başarıya ulaşmasının önündeki en büyük engel olarak sorumlu kurumlar arasındaki farklı yetki seviyelerinin olduğuna işaret ediyor.
Alexander Klimburg bir diğer gelişme olarak AB’ye üye hükümetlerin temsilcisi olan Avrupa Konseyi’nin yakında Siber Diplomasi Stratejisini yayınlanacağını ifade ediyor. Stratejinin ayrıntıları hala açıklanmasa da, devletlerin siber alandaki adımlarının sorumluluk içerisinde kalmasına, İnternet özgürlüğüne, insan haklarına ve siber kapasitenin artırılmasında güçlü destek verileceği tahmin ediliyor.
Yazısında AB’nin son bir yılda siber kapasite geliştirme hususunda önemli adımlar attığına dikkat çeken Klimburg, AB’nin Afrika ve Balkanlar’da çeşitli projelere başladığını ve Budapeşte Konvansiyonu’nun kabulü için çalıştığını ifade ediyor.
Yazıda bugüne kadar AB’nin siber güvenlikle ilgili farklı 5 tartışma grubu kurması, NATO ile farklı siber konularda iş birliğini derinleştirmesi ve Avrupa Siber Suçlar Merkezinin operasyonel kabiliyetlerinin genişletilmesi de olumlu adımlar olarak değerlendiriliyor. Merkez, kolluk kuvvetleri arasında işbirliğini kolaylaştırıcı çalışmaları ile biliniyor.
AB’nin siber güvenlik politikasında önemli çelişkilerin başında AB’nin üye ülkelerin siber güvenliklerinden sorumlu olup olmayacağı konusu geliyor. Ortak savunma alanlarında araştırmalara finansal destek sağlayan Avrupa Savunma Ajansı’nın (The European Defense Agency) hem üye ülkelerin hem de Birliğin siber güvenliğini sağlamak için önemli fonlar ayırdı. Desteklenen araştırma projeleri arasında savunma ile direkt alakası olmayan krize karşı koyma kapasitesinin artırılması gibi konuların bulunması dikkat çekiyor. AB’yü etkileyecek geniş çaplı bir siber krize karşı koyma kapasitesinin artırılması için gerçekleştirilen Siber Avrupa (Cyber Europe) tatbikatı da Ajans’ın destek verdiği projeler arasında yer alıyor.
AB’nin siber kriz yönetim kapasitesinin artırılmasının arkasında hukuki dayanak olarak Ağ ve Bilgi Güvenliği Yönergesi (Network and Information Security Directive) gösteriliyor. Bu yönerge üye devletlere Siber Olaylara Müdahale Ekipleri kurma konusunu zorunlu hale getirirken, aynı zamanda ‘bilgi paylaşımı’ konusunda özel sektöre önemli yükümlülükler getiriyor. Bunların başında özel sektör şirketlerinin karşılaştığı ciddi siber olayları ulusal kurumlara ve Avrupa Ağ ve Bilgi Güvenliği Ajansı’na bildirmeyi zorunlu kılıyor. Klimburg yazısının sonunda bu zorunluluğun özel sektör için gerçekleştirilmesi zor bir hedef olduğunu ifade ediyor.
