Ulaştırma, Denizcilik ve Haberleşme Bakanı Binali Yıldırım, gerçekleşen son siber saldırıların ODTÜ‘de güvenlik açıklarının fazla olduğunu gösterdiğini belirterek, ‘Alan adlarının ODTÜ‘den Bilgi Teknolojileri ve İletişim Kurumuna (BTK) devredilmesi için görüşmeler sürüyor. Birtakım anlaşmazlıklar var ama bunları aşacağız‘ dedi.
İnternetin Türkiye gündemine geldiği 90‘lı yıllarda ‘.tr’ uzantılı alan adları sistemini tahsis yetkisinin ODTÜ‘ye verildiğini belirten Yıldırım, şunları kaydetti: Gerçekleşen son siber saldırılar ODTÜ‘de güvenlik açıklarının fazla olduğunu gösterdi. Bakanlık ve BTK olarak devreye girdik ve bu saldırıları kısa sürede bertaraf ederek büyük zarar olmamasını sağladık. Finans sektörü özellikle ciddi atak altındaydı. Ortak çalışmayla savuşturduk ama tehlike geçmiş değil. Bütün alan adlarının BTK‘da toplanması için geçtiğimiz yıllarda bir düzenleme yaptık. Alan adlarının ODTÜ‘den BTK‘ya devredilmesi konusunda hala görüşmeler sürüyor. Bir araya getirebilirsek siber tehditlere karşı savunma şansımız daha fazla olur. Güvenlik açıklarını tespit etmemiz kolaylaşır. Yoksa biz meraklısı değiliz, kim işletirse işletsin. Önemli olan bu işletmeyi yaparken siber tehditlere karşı gerekli tedbirlerin alınması.
Bakan Binali Yıldırım, 2012 yılında gerçekleştirilen düzenlemeyle hayata geçirilen Siber Güvenlik Kurulu’nun 10 Şubat‘ta toplandığını anımsatarak, siber güvenliğin artık ülke güvenliğiyle eş değer hale geldiğini ifade etti. Siber tehditlerin konvansiyonel tehditlerin önüne geçtiğini vurgulayan Bakan Binali Yıldırım, NATO‘nun Siber Savunma Mükemmeliyet Merkezi bulunduğuna işaret ederek, Türkiye‘de de bu kapsamda 2013 yılında Siber Savunma Komutanlığı kurulduğunu söyledi. Türkiye, sıralamada ilk 10‘da Bilgilerin başka ülkede depolanmasının güvenli olmadığına işaret eden Ulaştırma Bakanı Binali Yıldırım, ‘Türkiye‘de internet değişim noktalarını yaygınlaştıracak bazı teşvik tedbirleri alıyoruz. Türkiye, siber saldırı sıralamasında ilk 10 ülke arasında. Elinizdeki bilgisayar birisi tarafından köleleştirilmiş olabilir. Suçu başkası işler, faturası size kesilebilir. Bu konuda kişisel tedbirler de var. Dikkatli olmak lazım uyarısında da bulundu.
‘Güvenli kamu ağı kuruyoruz’
Siber ortamda saldırıların çok kolay olduğuna değinen Yıldırım, ‘Küçük bir casus yazılımla büyük bir altyapıyı tahrip edebiliyor, otomasyon sistemini durdurabiliyorsunuz. Elektrik, doğalgaz, finans, ulaşım sistemi gibi günlük hayatta ihtiyacınız olan her şey tahrip edilme riski taşıyabiliyor. Onun için güvenlik duvarlarını güçlendirmemiz lazım. Sadece fiziki olarak değil, aynı zamanda sanal olarak. Siber Güvenlik Kurulunun amacı bu’ diye konuştu. Güvenli kamu ağı 1-2 aya hazır Siber saldırılara karşı kurulan Siber Olaylara Müdahale Ekiplerinin (SOME) sayısının 300‘ü aştığını söyleyen Yıldırım, ‘Güvenli kamu ağı kuruyoruz. Bir-iki ay içinde tamamlanacak. İntranet gibi, açık değil, kapalı sistem çalışacak. Ülke çapındaki tüm kurumlar bu ağdan haberleşecekler‘ dedi.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
Türkiye’yi hedef alan ve 14 Aralık’tan bu yana yoğunluğu giderek artan siber saldırılar gündemimizi uzun süre meşgul edeceğe benziyor. TR uzantılı domain isimlerine yönelik saldırının ardından 24 Aralık’ta kamu ve özel bankalara yapılan siber saldırılar ve sonrasında yaşananlar birçok soruyu beraberinde getiriyor.
Saldırıların arkasında olağan şüpheli olarak Rusya’nın bulunduğu konusunda oluşan genel kanı Anonymous’un yayınladığı video ile yıkılır gibi olsa da, işin içinde Kremlin’in güçlü müdahalesi olduğuna inanmamız için makul ve meşru göstergeler var.
Takvime bakmayı ihmal etmeyelim
Göstergelerden ilki tarih. Milyonlarca müşterisi olan bankaları vuran siber saldırganlar online işlemleri devre dışı bıraktıkları gibi POS cihazlarını dahi etkisiz hale getirdiler. Böyle geniş çaplı etkileri olan bir saldırı için hackerların Rus uçağının düşürülmesinden (24 Kasım) tam bir ay sonraya denk gelen günü seçmeleri ‘tamamen tesadüfle’ açıklanamaz. Uluslararası siber tatbikatlarda saldırı tarihlerine verilen özel önemi burada hatırlamakta fayda var.
Neden şimdi?
Saldırıyı üstlenen Anonymous’un yapısı ve yayınladığı mesajdan çıkarılacak önemli ipuçları var. Hacker grubu, Türkiye’den DAEŞ’e (IŞİD’i kullanmamalarında İslam’ı suçlamaktan kaçınma kaygısı anlaşılıyor) verdiği desteği sona erdirmesini talep ediyor. Anonymous’un IŞİD’in üstlendiği Charlie Hebdo (7 Ocak) saldırısından sonra bu terör örgütüne karşı saldırılar düzenlediği biliniyor. Fakat o güne kadar IŞİD’e destek verdiği iddia edilen –Katar, Suudi Arabistan- gibi ülkelere yönelik bir saldırısı olmadı. Üstelik Türkiye’nin bu örgüte destek verdiği iddialarını Rusya Devlet Başkanı Putin’den önce dile getirenler olmuştu. Ama Anonymous nedense bunları ciddiye alıp bir saldırı başlatmadı.
Hedef, motivasyon ve saldırı tarzı geçmişten farklı
Anonymous’un bu zamana kadar ki saldırı motivasyonları ve hedeflerine bakıldığında son Türkiye saldırısının grubun izlediği genel stratejinin bariz şekilde dışında olduğu görülebilir. Grubun halen devam eden 11 operasyonu bulunuyor. İnternete uyguladığı sansürden dolayı Tayland Emniyet Müdürlüğü ve ve çitaların online satışıne izin veren birkaç Ortadoğu ülkesi dışında Anonymous’un saldırı düzenlediği bir devlet bulunmuyor. Saldırı motivasyonunları incelendiğinde de ifade özgürlüğü ile insan ve hayvan haklarının ön plana çıktığı görülüyor. Bu açıdan Türkiye’deki bankalara yönelik saldırı Anonymous’un genel saldırı pattern’inden ayrıştığı gözden kaçırılmaması gereken bir nokta.
Hedef ve motivasyonlar dışında Anonymous’un saldırı ve tehdti tarzının da Türkiye operasyonunda geçmişten ayrıştığı ileri sürülebilir. Saldırıları üstlenen grup Türkiye’nin DAEŞ’e yardımı kesmemesi durumunda askeri sistemler, havalimanları ve kamu sitelerine de siber saldırı düzenleyeceği tehdidinde bulundu. Bu zamana kadar tam bir hacktivist örgüt gibi davranan Anonymous, propaganda amaçlı saldırılar düzenlerken sivillerin normal yaşamlarını olumsuz etkileyecek saldırılar içerisinde yer almadı. Oysa saydığı hedefler arasında yer alan havalimanlarına yapılacak bir siber saldırı siviller açısından nasıl ciddi problemler çıkardığı bu sene Polonya’da tecrübe edildi.
İstanbul gibi uluslararası bir transit noktasının Noel tatili sırasında siber saldırıya maruz kalmasının sonuçlarını sorduğum bir uzman tek kelimeyle ‘kaos’ cevabını verebildi. 3 gün önce Sabiha Gökçen’e ‘düşen’ havan topunun şokunu atlatamayan havalimanı işletmecilerinin bir siber saldırıya tam anlamıyla hazır olmadığı rahatlıkla iddia edilebilir.
Peki Ruslar neden hesabı Anonymous’a ödetti?
Farklı açılardan Anonymous’un diğer eylemlerinden ayrışan bu eylemin arkasında Rusya desteği olduğu güçlü senaryolardan biri olarak önümüze çıkıyor. Anonymous’un saldırıdan sonra attığı ‘It was not Russians’ tweeti aslında tipik bir propagandist manevra olarak görülse de, grubun daha önce yaptığı hiçbir operasyon başka bir aktöre bu kadar mal edilmediği için böyle bir açıklama zorunluluğunun ortaya çıkmış olması bile saldırıların arkasındaki aktör hakkında fikir veriyor. Türkiye’de saldırı yiyen bankalar arasında Rus ortaklı bankaların olmaması, saldırı haberini en erken verenler arasında Rus güç merkezlerine yakın bir sitenin bulunması da bu perspektifi destekleyen yan unsurlar arasında sayılabilir.
Estonya saldırısını Russian Business Network üstlenmiş, Moskova hükümeti dünyanın en güçlü siber suç organizasyonu olan bu hacker grubuyla bağlarını reddetmişti. Aradan geçen 8 yılda RBN’in Rus hükümetiyle olan inorganik bağları ortaya çıktı. Daha önemlisi henüz bir emsal karar olmasa da, ülkeler arasında gerçekleşecek siber savaş ile ilgili güçlü hukuki dökümanlar (Tallinn Manuel 1 ve 2) oluştu. Dolayısıyla bir saldırıyı devlet destekli bir hacker grubuna mal etmenin maliyeti arttı ve Anonymous kimsenin şaşırmayacağı bir fail olarak olayı üstlendi.
BTC saldırısı ve vekalet savaşları
Rusya’nın Gürcistan’ın bir bölümünü işgal ettiği 2008 yılında, Gürcistan’dan çıkarak Türkiye’den dünyaya açılan Bakü-Tiflis-Ceyhan boru hattında bir patlama meydana geldi. Geçen yılın sonuna doğru Bloomberg’de çıkan bir haberde bu patlamanın Rus hackerlar tarafından petrol akışını sağlayan sistemlere müdahale edilmesi sonucu meydana geldiği iddia edildi. Halbuki 2008’de bu patlamayı PKK üstlenmişti. Bugünlerde yaşadığımız siber saldırıların Anonymous’un üstlenmesi uluslararası ilişkilerde sıklıkla görülen vekalet savaşlarının (proxy wars) siber alanda da yaşanmaya başladığının bir göstergesi olabilir mi?
Saldırganların Rus hükümetinden destek ve direktif aldığı senaryoyu güçlendiren başka bir argüman olarak 24 Kasım ile saldırıların başladığı 14 Aralık arasındaki zaman farkının üzerinde durulabilir. Bu süre boyunca Türkiye’yi hedef alan kapsamlı siber operasyonlar stratejisi hazırlandığı ve 14 Aralık’ta ilk perdenin sahneye koyulduğu değerlendirmesi yapılabilir. Nic tr saldırısından daha komplike bir atağın 10 gün sonra devreye sokulması ilerleyen günlerde yeni saldırılara hazırlıklı olmamızı gerektiren uyarıcılar olarak algılanmalı. Bundan sonraki hedefler arasında bilgi güvenliği açısından UYAP ve TAİ gibi stratejik yapıların siber güvenliğine daha fazla önem verilmesi gerekebilir.
PR stratejisi ve yarın
Eğer gelecekte bir araştırmacı 14 Aralık’tan sonra yaşanan sürece geri dönüp bakacak olursa çok bariz şekilde tespit edeceği noktalardan bir tanesi saldırı yiyen kurumların yürüttüğü (?) başarısız halkla ilişkiler stratejisi olacaktır.
Günlerce bir açıklama gelmemesi, gelen açıklamanın tatmin edici yanı olmadığı için ciddiye alınmaması ve üstüne üstlük bankalara saldırıların başlamasının ertesi günü başbakan yardımcısının ODTÜ rektörüne yüklenmesi ve son olarak saldırıya uğrayan bankaların müşterilerine ve kamuoyuna açık ve net bir şekilde bir açıklama yapmaması ve doğru düzgün bilgi verilmediği için insanların panik halinde bu işi bilenleri araması…
Tüm bunlar yeni bir yazı konusu. Yarın için ne yapmalıyız? Sorusunun cevabı içerisinde düzgün bir halkla ilişkiler stratejisi hazırlamakla başlayabiliriz. Fakat benim yarından kastım önlemler değil öngörüler.
Örneğin, İsrail ile buzlar hazır erime sürecindeyken, her selam verdiğine İsrailli şirketlerin siber güvenlik çözümlerini satan İsrail Başbakanı Netanyahu Türkiye’yi yeni bir potansiyel müşteri olarak görmeye başlamış mıdır?
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
Siber güvenlik alanında uluslararası platformlarda görünürlüğünü artırmaya çalışan Türkiye’nin, Yunanistan ve Finlandiya ile birlikte NATO Siber Savunma Mükemmeliyet Merkezi’ne (CCD COE) üye olacağı açıklandı. Merkez’den bugün yapılan açıklamaya göre Türkiye ve Yunanistan sponsor üye Finlandiya ise katkı sağlayıcı üye olacak. 3 Kasım’dan itibaren üyelik statüleri resmileşecek.
Estonya’nın başkenti Tallinn’de bulunan NATO CCD COE dünyada NATO akreditasyonu bulunan 17 mükemmeliyet merkezinden biri olarak tanınıyor. Siber güvenliğin teknik olduğu kadar stratejik boyutunda da bir düşünce kuruluşu olarak çalışmalar yapan CCD COE, her sene dünyanın önde gelen siber savunma tatbikatlarından Locked Shields’i düzenliyor.
2007’de Estonya’nın maruz kaldığı siber saldırının ardından kurulan Merkez, disiplinlerarası çalışmaları, hükümetlere verdiği danışmanlık hizmetleri, düzenlediği konferanslar (CyCon 2015) ve üye ülkelerin katılacağı ücretsiz eğitimler ile isminden sıkça söz ettiriyor.
Her geçen gün bir ulusal güvenlk meselesi olarak görülmeye başlanan ‘siber savunma’ konusunda bir otorite haline gelen CCD COE’ye Çek Cumhuriyeti, Estonya, Fransa, Almanya, Macaristan, İtalya, Litvanya, Letonya, Hollanda, Polonya, Slovakya, İspanya, İngiltere ve ABD sponsor üye olarak bulunuyor. Yeni üye olan Finlandiya’nın dışında sadece Avusturya katkı sağlayıcı üye sıfatını taşıyor. Sponsor üyeler Merkez’e yıllık aidat ödeyen ve alınan kararlarda imza ve oy hakkı olan ülkelerden oluşurken, katkı sağlayıcı üyeler toplantılara gözlemci statüsünde katılabiliyor ve herhangi bir oy hakkı bulunmuyor.
Türkiye’nin Merkez’e üye olmasıyla birlikte etkinliklere doğrudan katılım şansına sahip olacak, alınan kararlarda belirleyici olabiliecek ve devlet kurumlarının gönderdiği uzmanlar ücretsiz eğitim alabilecek. Bunların yanında Türkiye Merkez’de daimi personel bulundurabilecek.
Dünyanın 157 ülkesinde denetim vergi ve danışmanlık hizmeti sunan Pricewaterhousecoopers (PwC) Türkiye’de müşterilerine siber güvenlik konusunda denetim ve danışmanlık sağlıyor.
Her geçen gün artan siber tehditlere karşı müşterilerine çeşitli yollardan yardımcı olan PwC siber güvenlik ekibinin başında ise sektörün yakından tanıdığı bir isim, Adil Burak Sadıç bulunuyor. Konferanslarda yaptığı etkili sunumlarla siber güvenlik etkinliklerinin aranan yüzü haline gelen Sadıç ile tecrübelerini, sektörün geleceğini ve farkındalık eğitimlerinin içeriğini konuştuk.
PwC’nin siber güvenlik alanında verdiği hizmetler arasında denetimin yanında güvenlik testi de bulunuyor. Son yıllarda özellikle orta ve büyük boy kurumlar için güvenlik testi yapan ‘merdivenaltı’ siber güvenlik şirketleri hem ucuz iş gücüyle sektörün gelişmesini engelliyor, hem de müşterilerin ciddi güvenlik sorunları yaşamasına neden oluyor.
Bu konuya değinen Sadıç, denetim yapan şirketler arasında yeterince profesyonel olmayanların çalıştıkları sisteme zarar verdiği talihsiz olayların sektördeki aktörler tarafından yakından bilindiğini söyledi. “Testler sırasında büyük bir bankanın ana bankacılık sisteminin zarar görmesi, devre dışı kalması, çalışmaz hale gelmesinden tutun operatörlerdeki problemlere ya da muhasebe sunucusunda bir problem yaşanmasına kadar bunlar yaşanabiliyor. Bir servisin kısa süreli durması gibi problemler çok kolay çözülebilir ama özellikle ana bankacılık sistemleri gibi sistemlerin durması ve ayağa kalkması oldukça ciddi mali kayıplara yol açabilir.” ifadelerini kullanan güvenlik uzmanı, PwC’nin düzenlediği güvenlik testlerinin bazı bölümlerinde sisteme zarar vermemek için test edilen kurumdan yetkililerle işbirliğine gidilen durumlar olduğunu söyledi.
Şirketin güvenlik denetim ve danışmanlık hizmetleri hakkında konuşan Sadıç, müşterilerine sundukları hizmetleri birkaç kademeye ayırdıklarını anlattı: “Genelde bir kurumla çalışmaya başladığımız zaman özellikle testin ilk haftasında müşteriye gitmemeye çalışıyoruz. Onlardan sadece bize nereyi test etmemizi istediklerini söylemelerini istiyoruz ve sıfır bilgiyle test yapıyoruz. Haliyle dışarıdan bir saldırgan nasıl yaklaşıyorsa biz de onlara öyle yaklaşıyoruz. İkinci aşamada kurumun içine giriyoruz ama bu seferde “dışarıdan gelen bir danışmanınız ya da misafiriniz nasıl çalışıyorsa, bu kablosuz ağ olabilir kablolu ağ olabilir, biz onunla bir test yapalım” diyoruz. Bir sonraki aşamada çalışan standart bir bilgisayarınızı verin biz kendi bilgisayarlarımızı da kullanmayalım böylece size içeriden bir çalışan nasıl zarar verebilir gibi kademeli olarak ilerletiyoruz. Prensibimiz bir denetim işlevi verebilmemiz için özellikle ilk aşamalarda kurum içinden minimum kontağınızın olması. Bizim yaptığımız çalışmayı bilen bir güvenlik yöneticisi olabilir, BT müdürü olabilir. Yeri geldiği zaman BT denetlendiği için kurumun üst yönetiminden birisi genel müdür ya da genel müdür yardımcısının bildiği testlerimiz de olabiliyor.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”3″]
Hükümetlerin de siber tehditlerle karşı karşıya kaldığı bir dönemde olduğu yorumuna katılan Burak Sadıç, Ankara’nın siber güvenlik konusunda özel sektör ile yeterli işbirliğine gitmediğini düşünüyor. ABD, İngiltere ve Almanya gibi ülkelerle karşılaştırıldığında “hükümetimiz özel sektörü tamamen bağrına basmış değil” diyen Sadıç’a göre ABD siber ordu geliştirme amacında da sırtını özel sektöre dayamış durumda. “ABD, siber ordu geliştirmek söz konusu olduğu zaman bunu çok fazla ordu kılıfında yapamazsınız deyip Silikon vadisiyle çok ciddi bir işbirliği var. Keza İngiltere’ye gittiğiniz zaman bizim İngiltere’deki ofisimiz İngiliz hükümetiyle çok çok yakın çalışıyor. Hatta ve hatta İngiltere hükümetinin içinde belli görevlerde çalışan danışmanlarımız da var.”
Kamu özel sektör işbirliğinin temelinde artan siber tehditlerle mücadelenin devletlerin kaynaklarını zora sokması olduğunu söyleyen Sadıç, SOME’lerin kurulma sürecini de değerlendirdi: “SOME kurarken sadece güvenlik alanında çalışan minimum 3-4 eleman barındırmak zorundasınız. Tatilleri de göz önünde bulundurursanız güvenlik operasyon merkezlerinde bir koltukta beş kişinin oturması gerekiyor. Saldırganlar uyumuyorlar. Böyle düşündüğünüzde kritik altyapılara baktığınızda belli bir teknik seviyenin üzerinde kalifiye 400 ila 500 arasında eleman ihtiyacı doğuyor. Türkiye’de şuanda 400 ila 500 tane eleman var mı –tüm Türkiye genelinde derseniz- bu profilde bu teknik yetenekte yok. O yüzden de mutlaka ve mutlaka zaten kamuyla özel sektörün işbirliği yapması gerekiyor.”
ALTINDA BEZLE SALDIRI YAPAN ARKADAŞLAR ŞİMDİ EKİBİMİZDE
Siber güvenlik uzmanı yetiştirme konusunda fikirlerini paylaşan Sadıç, 10-15 yıllık tecrübe sahibi uzmanların kendi ekibinde çalışmasının az bulunan bir şans olarak değerlendirdi. “Tecrübeliyim diyen insanlara bakarsanız kaba tabirle altında bezle saldırı yapan arkadaşlar diyebilirsiniz. Ben kariyerime 20 sene önce başladım ve 15 sene önce güvenlik altyapılarını kuran ekiplerin içindeydim. 15 sene önce bizler sistem kurmaya çalışırken -sokaktaki çoluk çocuk sizin sistemlerinize saldırabilir diye- bahsettiğim arkadaşlar şu an büyüdüler, okullarını bitirdiler, profesyonel olarak bizim ekibimizde ve benzer ekiplerde çalışmaya başladılar. Okulu bitirip ondan sonra 15 sene tecrübeli olmuş profesyonel danışman sayısı çok çok az.”
İş başvurularında çozukluktan itibaren kazanılan bu tecrübeyi nasıl ölçtüğü sorulan Burak Sadıç, çocukluktan itibaren bu işlerle uğraşan insanların becerilerini kanıtladıkları zaman diğer adayların önüne geçtiğine dikkat çekiyor. “Denetim yapacak ekip için eleman aradığımızda çok iyi bir üniversiteden çok iyi bir not ortalamasına sahip arkadaş mı, burada bahsettiğimiz on-on beş sene tecrübesi olan bir arkadaş mı dediğiniz zaman belki de lise mezunu olabilir, bu on-on beş sene tecrübeli ama üniversiteyi yeni bitirmiş arkadaş bizim için çok çok daha değerli olabiliyor.” diyen Sadıç bu noktada üniversitelerin mezunlara kattığı ‘kurumsal kültürün’ de önemini vurguladı.
Siber güvenlik uzmanı açığı nedeniyle İngiliz hükümetinin birkaç yıl önce hüküm giymiş hackerları devlette işe alabileceğine dair bir değişiklik yapıldığı hatırlatılan Sadıç, benzer bir durumun şirketler açısından çok daha zor olduğunu söyledi. Hüküm giymiş kişileri işe alan şirketler olduğunu belirten Burak Sadıç, siber suçlara müdahil olmuş kişilere sadece uzaktan test yaptırılması gerektiğine dikkat çekti.
Yıllarca güvenlik teknolojisi üreten bir firmada çalışan Sadıç, kendisine sıklıkla yöneltilen sorunların başında ‘anti-virüs üreticileri mi virüsleri yazıyor?’olduğunu söylüyor ve ardından cevabını ekliyor: “ Bir güvenlik teknolojisi üreticisi ya da güvenlik danışmanlığı veren firmanın bu tarz bir yola gitmesi tamamen kendi ekmeğiyle oynamaktır. Adı üzerinde güven üzerinde inşa edilmiş bir işletme bunların hepsi.” Güven noktasından yola çıkan Sadıç’a göre tam da bu yüzden şirketlerin hüküm giymiş hacker istihdam etmesi söz konusu değil.
PwC’nin siber güvenlik alanında verdiği hizmetlerden biri de farkındalık eğitimleri. Farklı sektörlerden birçok şirkete siber güvenlik farkındalık eğitimi verdiklerini söyleyen Sadıç, söz konusu güvenlik olunca bu eğitimlere şirketin her kademesinden çalışanın katılması gerektiğini söylüyor. “Farkındalık eğitimleri güvenlik görevlisinden CEO’ya kadar herkese verilmeli.” diyen uzman, yoğun tempolarından dolayı eğitime katılamayan üst düzey yöneticilere özel eğitimler tasarlanmış. Bu eğitimlere bizzat kendisi katılan Sadıç, “Siz sadece beyaz yakalılara bu hizmeti vererek bir noktaya kadar gelebilirsiniz ama mavi yakalıların da hepsine olmasa bile ulaşabildiğiniz kadar kısmına bu eğitimi vermeniz gerekiyor.” dedi.
Bu eğitimlerin faydalarına dikkat çeken Burak Sadıç, “Bu da tabii ki iki şekilde fayda sağlıyor. Birincisi kurumun güvenlik seviyesini artırıyor direkt olarak tabii ki genel müdürden başladığı için bu olay. Ama diğer taraftan ikinci farkındalık da genel müdür eğer bu olayların farkında değilse bu bir saatlik seans sonunda farkında olacağı için daha sonra kurum içindeki güvenlik bütçesi arttırılıyor.”
Siber güvenlik konusunda ülkemizdeki üniversiteler son birkaç yıldan beri yüksek lisans dersleri açmaya başlasa da, yurtdışındaki eğitim kurumlarına Türkiye’den giden akademisyenlerin küresel siber güvenlik camiasında önemli yer edindiğine şahit oluyoruz. Bu isimlerden biri dünyanın çalışmalarını yakından takip ettiği önemli bir akademisyen olan Engin Kırda. Boston’daki Northeastern Üniversitesinde ders veren Kırda, aynı zamanda ilerlemiş tehdit analizi bulma ve analiz etme konusunda çalışan Lastline Inc. şirketinin de kurucuları arasında yer alıyor.
Siber güvenlik üzerine yoğunlaşan bir IT lideri olarak değerlendirilen, onlarca yüksek lisans doktora öğrencisi yüzlerce akademik makalesi bulunan Engin hoca ile akademisyenlerin şirket kurmasından, ABD’nin siber tehdit algılarına kadar birçok konuyu konuşma imkanı bulduk.
Küresel siber güvenlik sektörünün önümüzdeki yıllarda nasıl bir yol izleyeceğini düşünüyorsunuz? Açıklanan son verilere göre güvenlik harcamalarının neredeyse yarısı bulut güvenliğine ayrılıyor. Bunun böyle devam edeceğini düşünüyor musunuz? Ön plana çıkacağını düşündüğünüz başka alanlar var mı?
Küresel güvenlik harcamalarının önünüzdeki yıllarda da hızla artacağını düşünüyorum. Bu konuda sanırım herkes hemfikir. Ama, bunun ne kadarının bulut güvenliği için ayıralacağını kestirmek güç. Bulut güvenliğinin avantajları olduğu kadar, aynı zamanda, insanları düşündürdüğü noktalar da var. Mesela bilgilerin özelliğinin ne derece garantilenebileceği hala tartışma konusu. Ashley Madison ya da Apple örneğinde göründüğü gibi bir başkasının sizin bilgilerinizin güvenliğinizi sağlaması büyük derecede karşı tarafa güvenmenizi gerektiren bir durum. Onun için en azından benim içinde bulunduğum sektörde (yani, zararlı yazılım tesbiti) bir çok organizasyon hala kendi bulut sistemlerini kurmayı ve bilgi paylaşmamayı tercih ediyor.
Benim tahminim, önümüzdeki yıllarda zararlı yazılım ile yapılan saldırıların artacağı ve problemin bir çok ülke ve organizasyon için daha akut hale geleceği yönünde. Mesela, mobil plaformlarda (cep telefonu gibi) ve embedded sistemlerde daha çok saldırı göreceğimizden maalesef benim pek şüphem yok.
Bir akademisyen olarak kendi şirketinizi kurmaya nasıl karar verdiniz? Benzer bir girişim yapmak isteyen akademisyenlere tavsiyeniz nedir? Akademisyenin olmanın iş dünyasında eksisi – artısı nedir?
2010 yılında University of California, Santa Barbara’dan iki profesör arkadaşımla Lastline’ı kurmaya karar verdik. Bunun ana sebeplerinden biri bizim kullanıcılarımızdan gelen talep oldu. Yaptığımız akademik sistemlerin İnternet’te çok sayıda kullancısı vardı ve bize mesaj atarak bu sistemleri kendi organizasyonları için satın alıp alamayacaklarını bize çok sık soruyorlardı. Biz de bunu bir şirket kurararak yapmaya karar verdik. Hedeflerimizden biri, daha çok sayıda kullanıcıya erişip, aynı zamanda da daha ilginç araştırmalar yapabilmekti. Lastline sayesinde elimizde ilginç veriler var, ve bu da son yıllardaki araştırmalarımıza da yansıyor.
Akademisyen olmak Avrupa’da ve Türkiye’de bazen dezavantaj olarak görülebiliyor. Çünkü klasik bir akademisyen, bu yerlerde “teorisyen” olarak bilinir genelde. Ama Amerika’da durum biraz daha farklı. Üniversitelerden çok sayıda ilginç fikir ve şirket çıkıyor (mesela Akamai, VMWare, Google) ve üniversiteler ve özel sektör yakın bir işbirliği içinde. Konu itibari ile Lastline’ı kurmadan önce bizim zaten bir çok şirket ile yakın ilişkilerimiz vardı ve bu da şirketimiz açısından yararlı oldu.
Bir başka avantaj da şirketimizde çok sayıda doktoralı, eski post-doc ve öğrencilerimizin bulunması. Bu çocuklar zor soru çözme konusunda eğitimli ve olaylara çok daha bilimsel, ve yapıcı yaklaşıyorlar.
Başka akademisyenlere genel bir tavsiye yapmam zor çünkü biraz nerede olduklarına bağlı. Amerika’da hocaların şirket kurması teşvik edilen bir durum. Üniversiteler bunun önemini anlamış durumda. Ama başka yerlerde (mesela Fransa’da) bir çok bürokratik engel çıkabiliyor maalesef.
DefCon CTF’lerine öğrencilerinizle birlikte kurduğunuz takımla katılıyorsunuz. Buradaki tecrübeleriniz anlatabilir misiniz? Öğrencilerle beraber aynı takımda yarışmak nasıl bir his? Sizin ve öğrencilerinizin gelişimine nasıl katkı sağlıyor bu tür etkinlikler?
Evet, öğrencilerimiz ile DefCon CTF’e yıllardır katılıyoruz; ama takımı tek başıma kurmuş olduğumu söylemek UC Santa Barbara’daki profesör arkadaşlarım Giovanni Vigna ve Chris Kruegel’e haksızlık olur. İşin aslında gerçeği, Giovanni’nin bu işe bizden önce başlamış olduğu. O bu işe gönül verdikten sonra yaklaşık 10 yıl önce hepimiz ortak bir takım yaratıp öğrencilerimizle katkı sağlamaya başladık. Takımızın ismi Shellphish ve genelde ilgili öğrencilerden oluşuyor.
Ben 4-5 yıl önce DefCon’u kaçırmamaya çalışıyordum her yıl, ama son zamanlarda vaktim çok kısıtlı olduğundan maalesef ve öğrencilere maddi destek vermek ve organizasyon dışında fazla bir katkım olduğunu iddia edemem. Ama geçmişte yarıştığımda çok eğlenceli oluyordu. Özellikle benden daha zeki ve becerikli kişilerle aynı takımda olabilmek, beni mutlu eden birşey. Ya da benim derslerden tanıdığım çocukların zamanla teknik olarak ne kadar iyi olduklarını, beni kat kat geçtiklerini görmek tatmin edici bir duygu.
DefCon CTF gibi yarışmaların akademik ve bilimsel olarak çok önemli olduğunu düşünmuyorum ben. Sonuçta en iyi hacker her zaman en iyi bilimci olmuyor. Ama öğrencilerin teknik yeteneklerini geliştirme açısından bence çok yararlı. Ve aynı zamanda da eğlenceli olduğu için moral ve motivasyon açışından çok faydalı.
DefCon CTF’e eskisi gibi sık katılamasam da, derslerimde buna benzer CTF tarzı ödevler organize ediyorum hala. Ve bu benim için de zevkli oluyor. Öğrenciler genel olarak bu ödevleri eğlenceli ve zevkli buldularını söylüyorlar ve bu dersler de oldukça popüler.
Secure System Lab’ını kurdunuz. Burada nasıl faaliyetler yapılıyor? Kuruluş aşamasında ne gibi zorluklar yaşadınız? Benzer labların Türkiye’de kurulabilmesi için hangi adımların atılması gerekiyor? Bu noktada sivil toplum ne yapabilir?
Secure System Lab’i kurmakta fazla bir zorluk yaşamadık. Elimizde yeterli kaynak vardı ve zaten bir bilgisayar lab’i kurmak için fazla birşeyler gerekmiyor kanımca. Öğrencilerin oturacağı yer, bilgisayar, ve bir kaç server olduktan sonra herkes bu tip bir lab kurabilir. İşin güzelliği de bu bence zaten. Fizik ve kimya konusunda dünya çapında bir lab kurmak için milyonlarca dolara ihtiyacınız olabilir, ama bizim alanda bir kaç bin dolara lab kurup, uluslararası çapta güzel birşeyler yapabilirsiniz. Bizim konular çok soyut ve yaratıcılık ve teknik yetenek olduktan sonra herşey mümkün.
Türkiye’de böyle birşey yoksa sorun insan kaynağı sorunu ve bilgisayar bilimine genel bakış kanımca.
Siber güvenliğin giderek bir uluslararası ilişkiler meselesi olarak devlet yönetimlerinin de güvenlik bağlamında ele aldıkları bir konu haline gelmesinin bilimadamı – devlet ilişkisini nasıl değiştireceğini düşünüyorsunuz?
Amerika’da her konuda devlet ile bilimadamları arasında yakın bir ilişki var zaten. Araştırma için güvenlik alanında da üniversiteler ve şirketler için büyük araştırma kaynakları ayırılıyor son zamanlarda. Avrupa’da bu alanda 5 yıl önce -ben oradayken- kaynak açısından siber güvenliğe daha çok kaynak ayırılmaya başlanmıştı, ama son zamanlarda bunun biraz değiştiğini ve kriptolojiye daha çok ağırlık verdiklerini duydum. Bunun ne kadar verimli olacağı konusunda şüphelerim var.
Türkiye’de de siber güvenlik için değişik devlet birimlerinin kaynak ayırdığını duydum, ama bunun başka ülkelere göre ne derece başırılı ve etkili olacağını kestirmek bence henüz güç. En büyük sorun, bu konuda bilgili insan eksikliği ve o da hemen para yatıralarak anında çözülebilecek bir sorun değil.
Bence ana sorunlardan biri Türkiye’de bir çok akademisyenin ve insanın bilgisayar bilimine bakışı. Hala teknik alanlarda mühendislik en önemli nitelik olarak görüldüğü için bir çok okulda gerçek anlamda “computer science / bilgisayar bilimi” eğitimi verilebildiğini sanmıyorum. “Aman elektronik oku, zaten herkes kod yazabilir” düşüncesi var olduğu sürece, ve üniversitelerde dergi yayınlarına her zaman konferans yayınlarından daha çok önem verildiği sürece bilgisayar biliminin (ve siber güvenliğin) ilerlemesi kanımca biraz zor.
Avrupa Komisyonuna ve Temcsilciler Meclisine yükselen tehditler konusunda danışmanlık verdiniz. Buradan yola çıkarak hem AB hem ABD açısından değerlendirmenizi alabilir miyiz?
Avrupa Birliği çok sayıda ülkeden meydana geldiği için genel olarak zaten belli bir mevzuat üzerinde anlaşmaları zor oluyor. Buna siber güvenlik de dahil tabii. Ülkelerin çok ciddi eğitim ve teknik farkları var. ENISA kanımca çok yetersiz ve etkisiz bir birim. Desteklenmesi yararlı olabilir. Ama ENISA’nin görevleri ve yararı konusunda bile tam bir mutabakat olduğunu sanmıyorum ben. ENISA yerine gerçek anlamda teknik ve bilgili (yani insanların saygısını kazanabilecek) yeni bir birim bence daha çok katkı sağlayabilir.
ABD açısından bakıldığında ulusal tehdit önceliklendirmesi nasıl yapılıyor? Her ne kadar Amerikalı yetkililer siber alanda Rusya’yı öncelikli tehdit olarak açıklasa da, bunun eski bir Soğuk Savaş alışkanlığı olduğu değerlendirilmesi yapılıyor.
ABD’nin kimi tehdit olarak gördüğü sürekli değişen bir durum. Daha 4-5 yıl önce haberlerde her gün Çin en büyük tehdit olarak gösteriliyordu mesela. Şimdi ise son hack’ler yüzünden ve politik durum sebebiyle Rusya’yı çok duyuyoruz. Bence haberlerde okuduğumuz söylemlerle Amerika’nın kimi tehdit olarak algıladığını biraz ayırmak lazım. Bence Amerika siber tehditin her yerden gelebileceğinin farkında. Onun için belli ülkeler tehdit olarak listelense de, kendilerine yakın ülkelerin de kendilerine karşı arada “birşeyler” yaptıklarını biliyorlar tabii ki (mesela, İsrail ve Fransa). Zaten bir ülkeyi tehdit olarak belirlemek de teknik açıdan bir saldırıyı engellemeniz konusunda size bir avantaj sağlamıyor maalesef. Her hangi bir açık, her hangi birisi tarafından kullanılabilir. Onun için önem verilen konu, bu tür açıkların ve saldırıların otomatik olarak engellenmesi ve bulunması.
Güvenlik üstüne yoğunlaşmak isteyen öğrencilere neler tavsiye edersiniz?
Bu çok duyduğum bir soru. Bazen tanımadığım öğrencilerden mesaj alıyorum bu konuda. Maalesef çok sayıda mesaj aldığım için bir çok kez geri dönemiyorum. Kusuruma bakmasınlar.
Bence önce bu öğrenciler iyi bilgisayar bilimci olsunlar. Yani programlama yeteneklerine ve genel bilgilerine önem versinler. İyi bir bilgisayarcı olduktan sonra güvenlik sorunlarını anlamak ve bu konuda yoğunlaşmak (mesela doktora ya da master yaparak) daha kolay olacaktır. Kod yazmadan heyecan duymayan, bunu zevkle yapmayan birinin bu alanda çok başarılı olduğunu görmedim diyebilirim sanırım.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
