Etiket arşivi: yazar

Makale & Analiz

Robotlar, Güvenlik ve Mahremiyet

Yorum yapın

Robotlar hayatımızın büyük bir bölümünde yer almaya ve hayatımıza artan bir hızla etki etmeye başladı. Evinizde kullandığınız temizlik robotundan tutun endüstriyel üretim, savunma sanayii ve diğer birçok alanda sayıları her geçen gün artıyor. Örneğin, Amazon’un yirmi ana dağıtım deposunda toplam 45 bin robot çalışıyor. Geçen yıl bu rakam 30 bin, ondan önceki yıl 15 bin civarındaydı. Yani Amazon her yıl kadrosuna 15 bin robot katıyor. (Bilim ve Teknik, Şubat 2017)

Günümüzde bu robotlar kendi kendini programlayabiliyor, çevresini algılayıp kararlar alabiliyor. Bundan 100 yıl kadar öncesini düşündüğümüzde, günümüzdeki bu teknolojiler akla getirilmesi imkansız fikirler olarak görülürdü. Ancak teknoloji inanılmaz bir hızla ilerliyor. Ray Kurzweil’e göre 2045 yılında üretilecek bir yapay zeka, bugünkü insan nüfusunun toplam zekasından 1 milyar kat daha güçlü olacak. (Predictions made by Ray Kurzweil)

Yapay zekanın ve robotların kullanımı, kuşkusuz işgücü, zaman ve masraf bakımından bize birçok fayda sağlayacak. Ancak getireceği faydanın yanında birtakım sorunlar doğurması da söz konusu olabilir. Gelişmiş sensörler ile gözlem yeteneğine sahip, her türlü şekil ve boyuttaki robotlar, özel hayatın gizliliği ve kişisel verilerin güvenliği konuları üzerinde dikkatle durmayı gerektiriyor. Güvenlik ve gözlem amaçlı olarak robotlar pek çok alanda kullanıyor.

Örneğin, insansız hava araçları havada fark edilmeden günlerce kalabiliyor ve geniş bir coğrafyayı tarayabiliyor. Bu bakımdan ordu ve kolluk güçleri bu teknolojiyi kullanmaya başlamış durumda. Bunun yanında hükümetler, gözlem izlenimi yaratarak istenmeyen davranışları önlemek için sosyal robotları kullanma eğiliminde. Bilgisayar korsanları açısından ise robotik teknolojilerin saldırıya açık alanları, özel yaşama ilişkin bilgilere ulaşabilmek için yeni bir fırsat sunuyor.

Sosyal hayatta kullanılan bu robotlar, ticari işletmeler için veri toplama bakımından harika bir imkan oluşturuyor. Japonya’da kullanılan alışveriş asistanlarını düşünün. (https://www.youtube.com/watch?v=q4pzNl2vQOM ) Bu makineler müşterileri tanımlayıp onlara erişir ve ürünlere yönelik rehberlik etmeye çalışır. Ancak sıradan mağaza çalışanlarının aksine robotlar işlemin her alanını kaydedebilir ve işleyebilir. Yüz tanıma teknolojisi sayesinde yeniden kolayca tanımlayabilir. Bu müşteri verileri, hem kayıp önleme hem de pazarlama araştırmalarında kullanılabilmektedir. (Ryan Calo, Robot and Privacy, sf.4)

Bunun dışında ev robotlarını düşünelim. Standart ve kızılötesi kameralarla, koku algılayıcılarla, GPS ve diğer sensörlerle donatılabilirler. Bu robotlar, aslında gizlilikle ilgili birçok farklı tehlikeyi de beraberinde getiriyor. Örneğin, evin içinde internete bağlanabilen bir robotun kullanılması, evin iç mekanının görüntülenmesinin yolunu açabilir, tek başına kaldığımız özel alanlara girerek mahremiyeti azaltabilirler. Harika “hafızaları” sayesinde elde ettikleri bilgilerimizi depolayabilirler ve daha da kötüsü bunları başkalarıyla paylaşabilirler.

Tamara Denning, Tadayashi Kohno ve Washington Üniversitesi’ndeki meslektaşları tarafından yapılan bir çalışma, piyasada bulunan ev robotlarının güvensiz olduğunu ve bilgisayar korsanları tarafından ele geçirilebildiğini gösteriyor.( https://sensor.cs.washington.edu/pubs/ubicomp_robots_authors_copy.pdf) Washington Üniversitesi’ndeki araştırmacılar, her biri kameralarla donatılmış, kablosuz ağ oluşturma özelliğine sahip üç robota, WowWee Rovio, Erector Spykee ve WowWee RobotSapien V2’ye baktı. Sonuç, korsanlar, örneğin Rovio veya Spykee’nin veri akışlarını belirleyebilir ve yakındaki konuşmaları dinleyebilir veya robotu çalıştırabilirler.( Calo, sf.9)

Facebook kurucusu Zuckerberg’nin geçtiğimiz yıl laptop kamerasını ve mikrofon girişini bantlaması gündeme gelmişti. Web kameralara karşı güvensizlik bu noktada iken; kaydetme, aktarma, hareket edebilme ve kontrol edilebilme özellikleri sebebiyle ev robotları, güvenlik açığı duygusunu daha da artırmaktadır.

Bunun sonucunda hukuki ve teknik sorunlar oluşabileceği gibi etik sorunlarla da karşılaşmamız muhtemel. Örneğin, antropomorfik özelliklere sahip sosyal robotlara karşı insanlar paylaşımda bulunmaya daha meyilli olabilecektir. Bu da kişilerle ilgili bilgi toplayabilmek adına kötüye kullanımın önünü açabilir.

Hukuksal açıdan ise; örneğin, eşinin sadakatsizliğini ortaya çıkarmak isteyen bir eş, robotun verilerine başvurabilir mi? Ya da hükümetler devlet güvenliği, gizliliği gereği evin içini izleyebilir mi? gibi sorular mahremiyet ve güvenlik ile ilgili sorunlara işaret etmektedir.

Bu alanla ilgili olarak, robotik teknolojiye uygulanabilecek mevzuat ise şu şekildedir:

Avrupa Birliği Temel Haklar Şartı’nın 8. Maddesi,

2016/679/EU sayılı Tüzük,

95/46/EC sayılı Direktif,

2002/58/EC sayılı Direktif,

2009/136/EC sayılı Direktif,

45/2001 sayılı Tüzük

Yukarıda aktarılan mevzuat kapsamında, veri işlemenin süjesi olan kişinin sürece dair bütün aşama ve olaylarla alakalı olarak önceden bilgilendirilmesi, bir verinin süjesinin veri işleme sürecinin kontrolüne sahip olması ve bu sürece itiraz edebilmesinin her zaman mümkün olması şeklinde düzenlemeler öngörülüyor. Robotların veri kullanımı söz konusu olduğunda da bu düzenlemelerin aynı şekilde geçerli olacağı söylenebilir.( Çağlar Ersoy, Robotlar, Yapay Zeka ve Hukuk, sf.72,73)

Sonuç olarak, robotların sosyal hayatımızın vazgeçilmez bir parçası olması uzak bir gelecek değil. Durum gösteriyor ki, mahremiyet ve güvenlik ile ilgili hukuki düzenlemeler yapılmasına ihtiyaç duyulacaktır. Bu düzenlemeler gerekli teknik standartlar oluşturulup,  robotların sosyal boyutu da dikkate alınarak yapılmalıdır.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Makale & Analiz

Siber güvenlik yasa tasarısı ne kadar yeterli olabilir?

Yorum yapın

Devletlerin kalkınması ve ekonomik refahın sağlanmasında ulusal güvenliğin öneminden dolayı, artık güvenlik denince akla sadece askeri çözümler ve önlemler gelmemekte, siber alana dair tedbirler de ön plana çıkmaktadır. Özellikle kamu güvenliğinde siber güvenliğin sağlanmasına yönelik tedbirler günümüz dünyasında daha fazla önem arzetmektedir.

Bu kapsamda bizler de güvenlik politikalarında karar alıcılara mümkün olduğunca fikir, öneri ve tavsiyelerde bulunmalıyız. Özellikle ülkemizin siber güvenlik stratejilerinin gözden geçirilerek, birçok devletin milli güvenlik belgelerinde ön sıralarda yer verdiği siber güvenlik alanında kapsam, hedefler, öncelikler, organizasyon yapısı, kaynak tahsisi, Ar-Ge (Araştırma ve Geliştirme) koordinasyonu, kamu-özel sektör iş birliği, eğitim gibi başlıklarda çözümler sunulması gerektiğini düşünüyorum.

Bu noktada Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nın hazırladığı “Siber Güvenlik Yasa Tasarısı”nın ayrıntılarını tartışmanın olumlu olacağına inanıyorum. Tasarıya göre Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile SOME’lerin işlevinin yasa ile daha da artırılması öngörülürken, etkin denetim, sır saklama yükümlülüğü, siber olaylara müdahale ekiplerinin görevleri, operasyon merkezleriyle Kamu-Net uygulamalarına ilişkin usul ve esasları barındırmakta ve siber saldırılara karşı güvenlik açıklarını kapatmayan şirketlere de çeşitli yaptırımlar uygulanacağı belirtilmektedir.[1] Peki bu yasa tasarısı, TBMM tarafından kanunlaştırıldığında, günümüz siber dünyasında gerçekleşen olayları ve saldırganları göz önüne aldığımızda ne kadar yeterli ve geçerli olabilir?

İlk olarak, organizasyon ve yapılanma açısından bir değerlendirme yapalım. Türkiye’de siber güvenliğe dair bu kurumlar, siber güvenliğin asayiş ve hukuki boyutuna odaklanmış ve siber savaş boyutunu Türk ordusuna bırakmışlardır. Bunun ana istisnasını Türkiye’nin siber güvenlik mimarisinin kurumsallaştırılması sürecinin her boyutunda, güvenilir yerli yazılım ve donanımların geliştirilmesi için çalışmakta ve dolayısıyla ordu ile yakın ilişki içerisinde faaliyet göstermeye devam eden araştırma kurumları oluşturmuştur.

TSK, Bilgi Teknolojileri ve İletişim Kurumu (BTK), Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK), Ulaştırma, Denizcilik ve Haberleşme Bakanlığı(UDH), Milli İstihbarat Teşkilatı Müsteşarlığı, Emniyet Genel Müdürlüğü ve Jandarma Genel Komutanlığı, AFAD ülkemizde siber güvenlik politikalarını uygulamak, yönetmek ve takip etmekten sorumlu kurumlar olarak karşımıza çıkmaktadır. Peki bu kurum ve kuruluşlar arasında koordinasyon ne derece sağlanmaktadır? Kendilerine verilen vazifelere ilave olarak siber güvenlik konularında ne kadar başarılı olabilirler? Elbette ilgili kurum çalışanları ve yöneticileri mümkün olduğunca gayretli çalışmaktadırlar. Fakat bu faaliyetlerin icrası, tehditlerin değerlendirilmesi, ülkenin bilgi güvenliği politikalarının tayin edilmesi ve uygulanması ile ulusal bilgi güvenliği politikalarında yapılması önerilen değişikliklerin değerlendirilmesinden de sorumlu olacak bir Ulusal Bilgi Güvenliği Kurumu’nun kurulması değerlendirilebilecek gündem maddeleri arasında yer alabilir.

İkinci olarak, özellikle siber dünyada güvenliğin ilk olarak farkındalıkla başlayacağına inananlardan olduğumu belirtmek isterim. Çünkü siber saldırıları gerçekleştirenler yeni yöntemler ve araçlar geliştirmektedir. Buna ilave olarak çeşitli aktörlerin yoğun faaliyetleri ile mücadele etmek zorunda kalan Türkiye’nin, artan düzeyde bir siber suç dalgasına maruz kaldığı anlaşılmaktadır.[2] Bu kapsamda kamu kurumlarımızın, özellikle Ulaştırma, Denizcilik ve Haberleşme Bakanlığı(UDH), Milli Eğitim Bakanlığı(MEB) ve İçişleri Bakanlığının, internetin güvenli kullanımı alanında en iyi uygulama kuralları konusunda farkındalığa yönelik eğitim, seminer, konferans vb. etkinlikleri arttırmaları gerekmektedir. Ayrıca, bu konuların yasa taslağına dahil edilmek suretiyle düzenli ve yaptırım içeren kurallarla belirtilerek ele alınması halinde fayda sağlayacağı düşünülmektedir.

Üçüncü olarak, bazı meselelerin siyasallaştırılması Türkiye’nin siber alandaki kabiliyetlerini geliştirme arzusunu zorlaştıran bir etken olmuştur. Önemli taslak yasaların çıkarılamaması ve çeşitli kurumlarda beşeri sermayenin ciddi boyutta kaybedilmesi buna örnek teşkil etmektedir. Yasa taslağı içeriğinde siyasi hedeflerden ziyade bilimsel ve teknolojik açıdan birlik-beraberlik sağlayarak ulusal güvenlik çıkarları ön planda tutulmalıdır. Aksi takdirde, bunların neticesinde Türkiye, siber güvenlik alanındaki hazırlıkları itibariyle, belli başlı müttefikleri ve hatta hasım devletlerin gerisinde kalmaya devam etmeye mahkumdur. Özellikle siber güvenliğe yönelik teknolojiler dışardan hizmet alarak değil kendi sınırlarımız içerisinde ve kendi insan gücümüzle geliştirilmelidir aksi takdirde ülke sınırlarımız düşmana teslim edilmiş olmaktadır.

Netice olarak, siber uzay genişleyip geliştikçe ülkemizde vatandaşlarımızın bu alana bağımlılığı artmaktadır. Dünyanında çoğu ülkesinin siber uzaya taşınmasıyla konu küresel bir güvenlik sorunu haline gelmiştir. Bizlerin de dünyada olup bitenden haberdar olup, ulusal çıkarlarımız ile çatışan bir durum söz konusu olduğunda duruma müdahale etme refleksi ile hareket etmemiz zorunlu hale gelmiştir. Bu kapsamda devletimizin çeşitli mekanizma ve kademelerinde görev yapan karar alıcıların yukarıda belirtilen hususları dikkate almalarının ulusal güvenlik ve ülkemizin siber güvenliği açısından faydalı olacağı değerlendirilmektedir.

[1] http://www.milliyet.com.tr/zorunluluk-geliyor-tum-sirketler-ekonomi-2522944/

[2] Hakan Hekim ve Oğuzhan Başıbüyük, “Siber Suçlar ve Türkiye’nin Siber Güvenlik Politikaları”, Uluslararası Güvenlik ve Terörizm Dergisi, Cilt 4, Sayı 2, 2013, s.135 – 158

Siber Bülten abone listesine kaydolmak için doldurunuz

Makale & Analiz

STM siber güvenlik ekosistemi için kolları sıvadı

Yorum yapın

STM Akademi’nin ODTÜ Teknokent işbirliğiyle düzenlediği, kapalı bir etkinlik olan Siber Güvenlik Ekosisteminin Yenilikçi Çözümlerle Geliştirilmesi Çalıştayı, STM’nin yanısıra farklı şirketlerden de konuşmacıları bir araya getirdi.

Odağında etkin bir siber güvenlik kümelenmesi yaratma ve ekosistemi ileri götürecek adımların atılması gibi konular işlenen etkinlikte ilk söz alan, SSM Siber Güvenlik ve Elektronik Harp Daire Başkanı Sami Ulukavak, bu odaktan hareketle SSM olarak her iki konuda da ne kadar çaba sarf ettiklerini vurguladı.

Kendisini en son Nisan ayında dinlediğimde bu alanda üç çalıştayı takiben bir uluslararası konferans olacağına dair önemli bir yol haritası çizen Ulukavak, geçen süre içerisinde bu hedef kapsamında hayata geçirdikleri iki önemli çalıştaydan bahsetti.

Ağustos ayında siber güvenlik özelinde çalışan akademisyenleri bir araya getiren çalışmayı takiben, geçtiğimiz ay BTK’da kamu kurumlarından katılımcıları buluşturduklarını belirten Ulukavak, 23 Ekim’de İTÜ Teknopark’ta bu çalıştayların sonuncusunun düzenleneceğini belirtti. Bütün bu çalıştaylardan kümelenmenin ne şekilde olması gerektiğine dair toplanan verilerin, 27-28 Kasım tarihinde Ankara’da düzenlenecek olan, 3. International Cyber Warfare and Security Conference (ICWC): Strengthening the Cybersecurity Ecosystem and Cybersecurity Cluster başlıklı konferansta sunulacak olması, somut ve istikrarlı adımların atılıyor olduğunu görmemiz açısından oldukça önemliydi.

Etkinliğin ev sahiplerinden biri olan, STM Siber Güvenlik ve Büyük Veri Direktörü Dr. Emin İslam Tatlı, konuşmasına Türkiye’deki siber güvenlik piyasasının odağında yerli ürün ve yazılım üretmek olduğunu belirterek başladı. Tam da bu nedenle pazarda kendini tekrar eden pek çok ürün olduğunu söyleyen Tatlı, yerli ürün üretmeye çalışırken yeni teknolojileri göz ardı etmemek gerektiğini ısrarla vurguladı.

Saldırı yüzeyinin sürekli arttığı bir dönemde olduğumuzu hatırlatan Tatlı, IoT’nin yükselişini, İHA’ların kullanımını ve giderek sayısı artan otomatize cihazların varlığını bunun en temel sebepleri olarak sıraladı. Tatlı, geldiğimiz noktada siber güvenliğin çözüm bulması gereken en büyük sorunlardan birinin username/password meselesi olduğunu da dile getirdi.

Çalıştayda söz alanların bahsettiği pek çok veriyi sunumunda görselleştiren Logo Siber Güvenlik ve Ağ Teknolojileri Genel Müdürü Dr. Murat Apohan, siber güvenlik kapsamındaki önemli yatırım alanlarını UX (user experience), Bulut ve NFV olarak değerlendirdi. Siber güvenlik alanında çok iyi kullanıcı deneyimi yakalamanın oldukça zor olduğunu kaydederken, yükselen değerler olan Bulut ve ağ fonksiyonlarının sanallaştırılması yani NFV teknolojilerinin giderek daha fazla karşımıza çıkacağını belirtti.

Black Hat 2017’de Marina Krotofil tarafından sunulan, endüstriyel bir su pompasının su basıncını değiştirerek bozulmasını konu alan “Evil Bubbles” isimli oldukça güncel bir hacking denemesinden de bahseden Apohan, yeni dönemde hackerların endüstriyel sistemlerin hiç bilinmedik açıklıklarını, bilinmedik şekillerde kullanarak beklenmedik zararlar yaratabileceğinin altını çizdi.

İkinci oturumdaki panelin benim için en öne çıkan ismi, şimdiye kadar ilk defa dinleme imkânı bulduğum Bilkent Üniversitesi hocası ve DataBoss kurucusu Doç. Dr. Serdar Kozat’tı. Yapay zekanın bir “hype” haline geldiğini konuşması boyunca yineleyen Kozat, ufak bir classification algoritmasını bile çalıştırmanın yıllar sürdüğünden, 20 yıllık bir geçmişi olan Google Translate uygulamasının ancak son birkaç yıldır düzgün çalışmaya başladığından, yapay zeka alanında hedeflenenlere ulaşılması için aşılması gereken pek çok teknik sorun olduğundan bahsetti. Kozat, en büyük alıcının devlet olduğu Türkiye pazarında yeterince kaynak olmadığını, tek alıcılı sistemin firmalar arasındaki rekabeti olumsuz etkilediğini vurguladı.

Yerli pazarda bir sürü ürün olmasına rağmen, yeterli test ortamının olmadığına dikkat çeken Kozat, fiziksel kümelenme modeliyle bu tarz bir sorunun önüne geçebileceğini söyledi.  Yurtdışına giden iyi öğrenciler kadar, kalan iyi öğrenciler de olduğunu belirtmesi bu konudaki yanlış algının aşılması açısından kanımca oldukça önemliydi. Kalan pek çok yetenekli öğrenci olduğunu, bu öğrencilerin uygun yönlendirme ve kaynak dağıtımıyla büyük işler başarabileceğini duymak eminim salondaki insanlar için umut verici olmuştur.

Son olarak TOBB ETÜ ve Securify adına katılan Prof. Dr. Kemal Bıçakçı’nın STM’nin düzenlediği Capture the Flag yarışmasına benzer bir başka yarışmadan bahsetmesi kayda değerdi. Amerika’da DARPA öncülüğünde ulusal çapta düzenlenen Cyber Grand Challenge’a değinen Bıçakçı, bu yarışmanın tamamı makine (all-machine) bir siber hackleme turnuvası olduğunu kaydetti.

Yarışma sırasında en iyi takımların geliştirdiği Cyber Reasoning System (CRS), otomatik olarak yazılım açıklıklarını keşfediyor, sunucularını koruyor ve ağı olası açıklıklara karşı tarıyor; takımlar sistemlerinin bu kriterleri ne ölçüde yerine getirdiğine göre puanlanıyor. Yarışma sonucunda ilk üç takıma verilen ödüller ise 2 milyon dolar, 1 milyon dolar ve 750bin dolar gibi dudak uçuklatıcı rakamlar. Türkiye henüz böyle teşvikleri sunmaktan uzak olsa da, dünyada neler olup bittiğini yakından takip eden özel sektör, akademi ve kamu çalışanlarının varlığı olumlu sayılabilecek bir başlangıç.

Siber Bülten abone listesine kaydolmak için doldurunuz

Makale & Analiz

Siber güvenlik stratejisinin 17. maddesi dile gelse de konuşsa…

1 Yorum

Türkiye siber güvenlik stratejisini açıklayalı yaklaşık bir buçuk yıl oldu. 2016-2019 yılları için hazırlanan stratejide belirtilen hedeflere ulaşmak için verilen zamanın neredeyse yarısı doldu. Hangi adımların atıldığı konusunda açık kaynaklarda net bir bilgi bulunmuyor. Böyle bir bilgi yoksunluğu ise bizi hayal gücümüzü kullanmaya itiyor.

Mesela ‘Stratejik Siber Güvenlik Amaçları ve Eylemleri’ başlığının 17. maddesinde bahsedilen ‘proaktif siber savunma yeteneklerinin geliştirilmesi’ ne ola ki diye düşünüyoruz. Bahsedilen yetenekleri geliştirmenin yollarından biri herhâlde ‘siber tatbikat düzenlenmektir’ deyip başlıyoruz araştırmaya…

İlk örnek Polonya’dan, ülkedeki siber güvenlik farkındalığını artırmak için kurulan Siber Güvenlik Derneği, enerji, finans ve telekomünikasyon sektörlerinde siber tatbikatlar düzenliyor. 2012’de ilk tatbikatını enerji sektöründe yapan dernek faaliyetlerini genişleterek 2015’de finans sektöründe maliye bakanlığının da katıldığı en geniş siber tatbikatını düzenledi.

Sektörel bazda takdire şayan bir başka örnek ABD’den. HITRUST Alliance adlı kar amacı gütmeyen kuruluş, sağlık sektöründe siber tehditlere karşı önlem almak ve yöneticileri karşılaşılacak siber krizlere karşı hazırlıklı hale getirmek için düzenli tatbikatlar düzenliyor. Anladığım kadarıyla ‘her şeyi devletten beklemek olmaz’ diyerek yola çıkan kuruluş üyeleri arasında siber tehditler konusunda bilgi paylaşımı da gerçekleştiriyor.

Avrupa’ya geri döndüğümüzde karşımıza Yunanistan çıkıyor. Yunan Savunma Bakanlığının özel sektör ve kamunun katılımıyla 2010 yılından bu yana düzenlediği Panoptes siber güvenlik tatbikatını diğerlerinden ayıran önemli bir özelliği var. Özel sektörden sadece kritik altyapı temsilcileri değil, iş dünyasının değişik aktörleri -mesela bir tekstil holdingi- de tatbikata katılabiliyor. Bu sayede tecrübe paylaşımını hedefliyorlar. Yunan Genelkurmayının liderliğini yaptığı insiyatifin amaçlarından biri de ‘ülkedeki siber uzmanları bir veri tabanında toplamak ve gerektiğinde operasyonel hale gelecek siber birimlerin oluşmasını sağlamak’ yani bir siber kriz anında devreye girecek siber milis birlikleri…

Örnekler çoğaltılabilir ama Lockedshileds’den bahsetmeden olmaz. CCD COE tarafından her sene daha başarılı şekilde düzenlenen tatbikatın bu seneki basın brifinginde bazı şirketlerden özellikle bahsedilmesi dikkat çekti: Threod Systems, Cyber Test Systems, Clarified Security, Iptron, Bytelife, BHC Laboratory.

Birçoğu Estonya merkezli olan bu şirketlerin (sitemizin takipçilerinin bildiği üzere CCD COE Estonya’dadır ve bu ülkenin girişimiyle kurulmuştur) NATO’nun en geniş çaplı siber tatbikatının düzenlenmesinde yer almalarının onlara küresel bir görünüm kazandıracağından şüphe yok. Başarılı bir ekosistem. Siyasi liderlik bir NATO merkezinin kurulmasına ön ayak oluyor. Siber güvenlik şirketleri ile birlikte çalışan merkez hem tatbikatı onlarla birlikte hazırlıyor hem de Eston şirketler NATO vitrinine çıkmış oluyor. NATO demişken, İttifak’ın siber güvenliğin dahil olduğu iki büyük tatbikatı daha var: Cyber Coalition ve Crisis Management Exercise (CMX)

Tren kaçmak üzere ama henüz kaçmış değil. Peki, Türkiye’deki siber güvenlik şirketleri ile devlet birlikte bir siber güvenlik tatbikatı düzenleyemez mi?

Ankara’nın geçen yıl yayınladığı strateji belgesindeki hedeflere ulaşması sadece kamu kaynaklarıyla zor gözüküyor. İlk adım olarak siber tatbikat konusunda özel şirketler ile ortak adım atılması, hatta tüm organizasyonun ve altyapının işletilmesinin şirketlere devredilmesi çok önemli bir adım olarak değerlendirilmeli. Orta vadede Türk şirketlerinin düzenlediği ulusal bir siber tatbikatın uluslararası boyuta taşınması ürün geliştiren siber güvenlik firmalarımızı yabancılarla buluşturacak etkili bir platforma dönüşmesini sağlaması işten bile değil.

Kısa not: Hollanda ve İngiltere gibi ülkelerin aksine, Türkiye’de açıklanan stratejinin üzerinden makul bir süre geçtikten sonra kaydedilen ilerleme ile ilgili bir bilgilendirme yapılmadığı için stratejide belirtilen hedeflere ne kadar ulaşıldığını bilmiyoruz. Ayrıca son açıklanan stratejinin eylem planı da henüz kamuoyu ile paylaşılmadığını da eklemek gerek.

Siber Bülten abone listesine kaydolmak için formu doldurun

 

Makale & Analiz

NATO’nun ilk kadın siber güvenlik direktörü: Merle Maigre

Yorum yapın

1 Eylül 2017’den itibaren resmen Talinn merkezli NATO CCD COE direktörlüğü görevini Sven Sakkov’dan devralan Merle Maigre, merkezin güvenlik camiasında kazandığı saygınlık göz önünde bulundurulduğunda iyi analiz edilmesi gereken bir siber lider olarak önem kazanıyor. Sakkov’un veda konuşmasında dikkat çeken bir nokta var; “dijital yaşam tarzımız, siber güvenlik ve savunma el ele gitmesi gereken konular, eğer savunmaya yatırım yapmazsanız, diğerlerinin kalıcı olmasını bekleyemezsiniz” diyor. Savunma özelindeki bu vurgu, kariyeri boyunca savunma odaklı çalışan Maigre’nin uzmanlık alanına bir gönderme niteliği taşıyor.

İlgili yazı >> NATO’nun ilk sivil siber güvenlik direktörü: Sven Sakkov

2012 yılından bu yana Estonya Cumhurbaşkanı’nın güvenlik danışmanlığı görevini yürüten yeni direktörün, öncesinde de Brüksel’de NATO Genel Sekreteri General Anders Fogh Rasmussen’e politika danışmanlığı yaptığı biliniyor. Direktörün akademik geçmişi, bize tam bir sosyal bilimci olduğunu söylüyor: Tartu Üniversitesi’nde Tarih okuduğu dönemde üç yıl süreyle Amerika’daki Middlebury College’da uluslararası çalışmalar yürüten Maigre, King’s College London’da Savaş Çalışmaları alanında yüksek lisans sahibi. Ancak Maigre’in özgeçmişi ve bugüne kadarki kariyeri, siber güvenlik çerçevesinde çalışmamış olduğunu hemen hissettiriyor.

Kanımca Merle Maigre’in bu göreve seçilmesinin ardında, sahip olduğu geniş uluslararası ilişkiler kontak ağı, NATO’nun siyasi işleyişini iyi anlayıp, yönetebiliyor olması ve en önemlisi Rusya karşıtı, Batı yanlısı söylemleri yatıyor. Okuma imkânı bulduğum siyasi analizlerinde kabaca fark edilen bu tutum, özellikle Rusya’nın Ukrayna ve Estonya üzerinde uyguladığı hibrid savaş yöntemlerinden bahsettiği bir yazısında büsbütün gözleniyor. Rus ordusunun hibrid savaş kapsamında enerji ablukası, bilgi savaşı, finansal yaptırım ve siber saldırılardan sıklıkla yararlandığını belirten Maigre, Rusya’nın tüm bu unsurları neredeyse mükemmele yakın bir koordinasyonla uyguluyor olmasını oldukça etkileyici ve bir o kadar da korkutucu buluyor.

İlgili yazı >> Hibrid savaş ve siber uzay 

Yazılarında öne çıkan “liberal demokrasi” ve Batı değerleri yanlısı kimliğe rağmen, Avrupa’nın bu koordine hibrid saldırılar karşısında akut bir zafiyete sahip olmasını açıkça eleştirebiliyor. Avrupa’nın aşina olduğu, baskı, etkileme ve istikrarsızlaşma için Rusya tarafından uygulanan hibrid yöntemlere yenilerinin eklendiğini savunan Maigre, yeni unsurların birleşimiyle ortaya çıkan iki büyük tehdidi, “sürpriz etkisi” ve beraberinde gelen “muğlaklık” olarak betimliyor. Böyle zamanlarda NATO ve AB gibi çok uluslu organizasyonların yaşadığı akıl tutulması sonucu net bir duruş ve eylem ortaya koyamaması, sanırım Maigre’in bahsettiği “akut zafiyet” kapsamında daha bir anlam kazanıyor.

SİBER LİDERLER DİZİSİNİN TÜM YAZILARINA ULAŞMAK İÇİN TIKLAYIN

Büyük resme baktığımızda yeni direktörün kariyeri, uluslararası siyasetçi kimliği ve Rus karşıtlığı, bir önceki yönetici Sakkov’un kariyeriyle bir hayli benzerlik gösteriyor. Bu arada bir dip not vermek gerekirse: Sven Sakkov’u değerlendirdiğim 2015 tarihli yazıdaki öngörülerimin, bu yıl Talinn Manual 2.0’ın yayınlanması ve CCD COE’nin ev sahipliğindeki en geniş ve en karmaşık teknik siber savunma egzersizinin Sakkov yönetiminde gerçekleşmesiyle doğrulandığını söyleyebilirim.

Bu kapsamda Maigre dönemine yönelik hislerim bana merkezin icraatlarında, Sakkov’un inşa ettiği uluslararası hukuk ve diplomasi ekseninden, savunma ve güvenlik eksenine bir kayma olacağını söylüyor. Merle Maigre, bu tabloda Rusya kaynaklı tehdit algısı yüksek, Batılı kimliği gelişmiş ve hem teknik, hem güvenlik camiasına kendini kanıtlaması beklenen bir kadın yönetici olarak karşımıza çıkıyor. Sakkov’a kıyasla daha katı bir tutum takınabileceğini düşündüğüm yeni direktör önderliğinde  siber güvenliğin siyasi ve askeri açılımlarına daha fazla vurgu yapan, yeri geldiğinde proaktif politikalar geliştirip, uygulayabilecek bir CCD COE görebiliriz.

Siber Bülten abone listesine kaydolmak için doldurunuz