Etiket arşivi: yazar

Uncategorized

Siber Güvenlikte Kamu-Özel Sektör İşbirliği Mümkün mü?

Yorum yapın

Siber güvenlik yalnızca ülkemizin değil tüm dünyanın da gündeminde. Bu çerçevede, 14-17 Şubat tarihlerinde Avusturya’nın başkenti Viyana’da benim de katılma şansı bulduğum “Viyana Siber Güvenlik Haftası” düzenlendi. Etkinlik boyunca, dijital dönüşümün güvenliği gibi popüler ve küresel ölçekteki konular öne çıkarken etkinlikte en yoğun katılımın görüldüğü tematik alanlardan biri ise “Enerji, Kalkınma ve Siber Güvenlik” üzerineydi.

Avusturya Ulusal Güvenlik Akademisinin ev sahipliği yaptığı ve enerjinin siber güvenlik ayağının irdelendiği paneller boyunca, uluslararası işbirliğinin, siber tehditlere karşı kapasite geliştirme metodolojisinin yolları masaya yatırıldı. Ancak çoğu zaman göz ardı edilen ancak bütüncül bir siber güvenlik stratejisinin geliştirilmesi için temel taşlardan birini oluşturan “kamu-özel sektör işbirliği (PPP)” paneli oldukça verimli tartışmalara sahne oldu.

İlgili haber >> ABD memurlarına özel sektöre staja gönderiyor

Enerji sektörünün siber güvenliği dendiği zaman, kamu-özel sektörün kuracağı verimli bir işbirliği gerçekten de stratejinin bölünmez bir parçasını oluşturuyor. Nitekim, enerji sektörü kamu aktörleri, yatırımcılar ve iş camiası, teknoloji tedarikçileri, hizmet sağlayıcılar gibi çok paydaşlı bir kitlenin gözbebeği. Hal böyle olunca da, farklı paydaşların zaman zaman da birbiri ile çakışabilecek çıkarlarının uyuşturulması ya da faydanın maksimize edilmesi önemli bir noktayı teşkil ediyor. Öte yandan, enerji altyapılarının sınır tanımayan doğaları, bu işbirliğine uluslararası aktörlerin dahil edilmesini de şart koşuyor.

Avrupa Birliği ve ABD’deki uygulamalara bakıldığında, kamu-özel sektör işbirliği modellerinin siber güvenlik için uygulamaları gündemi epeyce meşgul eden bir konu. Örneğin Temmuz 2016’da Avrupa Komisyonu siber güvenlik için yeni bir işbirliği modeli ortaya koymak istediğini dile getirirken, AR-GE faaliyetlerinin teşvik edilebilmesi ve rekabetçiliğin sağlanması için yaklaşık 450 milyon dolarlık bir yatırım başlattı. Komisyona göre, kamu ve özel sektörün uyumlaştırmasına yönelik bu yatırımlar 2020 yılında 1,8 milyar dolarlık bir getiri sağlayacak.

İlgili haber >> ‘ABD siber ordu için Silikon Vadisi ile çalışıyor’

ABD’deki uygulamalar ise, oldukça geniş bir yelpazede değişmekle beraber, 2009’da faaliyete başlamış Ulusal Siber Güvenlik İletişim ve Entegrasyon Merkezi gibi çatı kurumlar, kamu-özel sektör arasında siber güvenliğe ilişkin köprülerin güçlendirilmesi anlamında önemli görevler üstleniyor. Benzer şekilde, ülkemizdeki uygulaması USOM (Ulusal Siber Olaylara Müdahale Ekipleri) olan ekiplerin koordine edildiği ve bilgi paylaşımının sağlandığı CERT CC (Computer Emergency Response Team Coordination Center) uzmanlar arasındaki faydalı bir bilgi ağı olarak görülüyor.

Yine de altını çizmek gerekir ki, yegâne ve her sektör için geçerli bir kamu-özel sektör işbirliği modeli tanımı ya da uygulaması mevcut değil. Bu işbirliğini tanımlayan ifadeler doğru zamanda, doğru insanları, doğru işler yapmak için bir araya getirmek olarak düşünülebilecekken, kamu-özel sektör işbirliği platformları gerçekten de ulusal siber güvenlik stratejisinin güçlenmesinde oldukça işlevsel. “Peki nereden başlamalıyız” sorusu için önerilebilecek güzel bir okuma ENISA (European Network Information Security Agency)’nin yayınladığı, kamu-özel sektör iş birliği yol haritası kılavuzu olarak örneklendirilebilir. Bu kılavuz, var olan işbirliği modelleri üzerinde çalışmış ve bu bağlamda kamu-özel sektör işbirliği mekanizmalarının yaşadığı sorunları ve bu bağlamdaki çözüm önerilerini yansıtmış. Temel olarak bahsedilecek olunursa, aslında siber güvenlik için doğru bir kamu-özel sektör işbirliği modelinin kurulması sırasıyla beş temel sorunun cevaplanmasıyla mümkün: Bu işbirliğine neden ihtiyacımız var (1), bu işbirliğine kimler dâhil olmalı (2), bu işbirliği nasıl yönetilmeli (3), bu işbirliği hangi temel servisleri sunmalı (4) ve işe ne zaman başlamalıyız (5)?

Siber Güvenlik için Kamu-Özel Sektör İşbirliği Methodolojisi

Neden İhtiyacımız Var? Kimler Dâhil Olmalı? Nasıl Yönetilmeli? Hangi Hizmetler Sunulmalı? Ne Zaman Aksiyon Alınmalı?
Tehditlerin tespit edilmesi Ulusal seviye Yönetimin belirlenmesi Araştırma ve analiz Yukarıdan aşağıya yaklaşım (top-down approach)
Tehditlere karşı savunma Sektör düzeyinde Rollerin ve sorumlulukların belirlenmesi Erken uyarı sistemleri İhtiyaçlar üzerine, tabandan gelen talep (bottom-up approach)
Caydırıcılık Tematik Gelir kaynaklarının yaratılması Farkındalık çalışmaları  
Tehditlere cevap vermek Uluslararası İletişim standartlarının belirlenmesi Eğitim ve uygulamalar  
İyileşme ve geri dönüş süreci Bölgesel   Kullanıcı yol haritaları  

 

Her ne kadar doğru soruları sormak ve sistematik bir çalışma yapmak kamu-özel sektör işbirliği modellerinin kurulmasında oldukça faydalı da olsa, bir takım engellerin de aşılması şart görünüyor. Öncelikle meselenin birden fazla paydaşı kapsaması, taraflar arasında güven eksikliğini ortaya çıkarırken bu güvensizlik bilgi paylaşımının ve aksiyon alım sürecinin de önünü tıkamış oluyor.

İkincisi, böyle bir işbirliği modelinin kazan-kazan felsefesine dayandırılması yani tüm paydaşlar açısından ölçülebilir faydalar sağlaması farklı çıkarların uyuşturulması açısından şart. Eylem planlarının muhakkak ortak olarak geliştirilmesi gerekirken, hemen hemen her konuda olduğu gibi üst yönetimin desteği bu platformların yaşaması ve sürdürülebilir olmasında hemen hemen belirleyici faktör olarak öne çıkıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

 

english

How can a CEO survive and thrive in the digital age?

Yorum yapın

Over the past 20 years CEOs have witnessed tremendous upheavals as a result of globalisation and technological change. In the PwC 20th Annual Global CEO Survey, nearly 1,400 CEOs share their views on the impact of these forces on growth, talent, trust and society.

In this survey a sizeable number of CEOs are firmly convinced that, in an increasingly digitalised world, it’s harder for businesses to gain – and retain – people’s trust. They also think it’s become more important both to run their companies in a way that addresses wider shareholder expectations and to establish a strong corporate purpose that’s reflected in their organisation’s values, culture and behaviour.

So which risks arising from connectivity concern CEOs most? When ‘technology’ and ‘trust’ pop up in the same sentence, most of us automatically think of how reputations are made and lost overnight through mass communications. And, indeed, 87% of CEOs believe social media could have a negative impact on the level of stakeholder trust in their industry over the next five years. But as new technologies and new uses of existing technologies proliferate, they say new dangers are emerging – and old ones are getting worse.

It is no wonder as many companies already collect a vast amount of customer data, which they use to target specific customers and influence their behaviour, often in very subtle ways. As the Internet of Things (IoT) spreads to everything from wearables to consumables, cars, and every conceivable part of the home, what companies know about people will increase exponentially.

This data is an incredible asset for companies and their customers. It enables businesses to deliver a better service, develop closer relationships with their customers and earn their trust. It enables customers to get more targeted offerings and engage with companies in more meaningful ways. But what happens if a company crosses the line between anticipating customers’ needs and intruding on their privacy, or if a government tries to access the data in an effort to control security risks? And what happens if the data gets lost or stolen and ends up in the hands of criminals? Even worse, people’s physical security could be compromised, as cars and homes become increasingly connected.

The growing use of data in the workplace also poses new trust issues. As HR departments slowly but surely increase their use of data analytics, talent management is turning from an inexact art into a science. But monitoring employees’ activities in – and out of – work can quickly turn sour. What are the limits of the information companies can gather? How transparent is the use of that data in making decisions about employee rewards or penalties?

CEOs recognise the complexity of the situation. A full 91% say breaches of data privacy and ethics will have a negative impact on stakeholder trust in the next five years, and 89% are already on the case. However, CEOs in the largest companies are doing much more to address these areas than those in the smallest firms.

Security breaches aren’t confined to customer data; cyber spying is now a major threat in some industries, for example. Businesses in key areas like infrastructure, energy and banking are particularly prone to attacks. This explains why so many CEOs worry that breaches affecting business-critical information and systems could also impair public trust in their industry. The vast majority are already taking steps to try and forestall such problems – although, again, it’s the largest firms that are most active in this regard.

The companies that are most effective in addressing these issues will be those that are not only strengthening their IT security, risk and governance strategies, but also collaborating with government (for example, to create the right regulatory environment for public clouds, which can offer better end-to-end security and privacy management) and engaging with stakeholders. They will need to decide what levels of transparency stakeholders should be entitled to and how to balance competing interests, as well as educating people on how to manage their technology footprint. Employers will also have to consider how much information it is necessary or acceptable to gather on their people, and how open they should be about what they’re collecting, and why and how it will be used.

IT outages and disruptions are another source of concern. If the lights go out in a world that’s heavily reliant on technology, the consequences can be extremely disruptive. What happens if customers can’t access their money when they need it, or if their connected homes lock them out? Deeply inconvenient though such incidents are, they pale into insignificance next to the physical risks that will arise as we become more connected. Picture, for instance, the sort of accident that might occur as a result of a computer glitch in one or more smart cars.

It’s no wonder so many CEOs fear that IT outages and disruptions could impact stakeholders’ trust and why so many are taking action. But addressing such risks is very difficult. The complexities and interdependencies of enterprise systems are a big problem.

Behind automation, robots and smart machines lie algorithms. These may be nothing more than instructions for computers to achieve particular outcomes, but they shape lives to a much bigger extent than many people imagine. The way we navigate websites, how we interact with connected devices, how the growing gig economy works: all are influenced by code. This raises questions about what safeguards are needed to ensure that machines carry out human orders effectively, in the way they were intended. It also raises various ethical questions. To what extent, for instance, is it acceptable to influence human choices? And can the humans who write these codes – or the companies they work for – be trusted?

A trust strategy for a digital age

In some respects, digital connectivity has made us more trusting; in the sharing economy, for example, consider how many people let strangers stay in their homes or buy from businesses they’ve never heard of before. In other respects, digital connectivity has eroded trust by creating new threats and exposing organisations to far more scrutiny. The growing complexity of technology and the increasingly distributed way in which we work, with greater individual autonomy, have also made it much harder for companies to build trust – or rebuild it, once it’s been lost. And no firm gets it right every time, which is why effective crisis management is as crucial as robust risk management.

But if forfeiting people’s trust is a sure-fire route to failure, earning their trust is the single biggest enabler of success. As an example, the take progression from assisted to augmented to autonomous intelligence heavily which depends on how much consumers and regulators trust machines to operate on their own. That, in turn, depends on whether those who create the machines have the right risk and governance structures in place, the means to verify and validate their claims independently and the mechanisms to engage effectively with stakeholders.

In short, trust is an opportunity, not just a risk. Many CEOs believe that how their firm manages data will be a differentiating factor in future. These CEOs understand that prioritising the human experience in an increasingly virtual world entails treating customers with integrity.

But, how? As a start, below quoted are the five tough questions for CEOs about gaining from connectivity without losing trust:

  1. Does your CIO know the extent to which the technology you’re investing in today will affect how your stakeholders trust you tomorrow?
  2. What are you doing to protect customer and employee data from theft, loss or misuse – and how robust are those strategies?
  3. How can you build the right infrastructure for collecting, managing, governing and securing data?
  4. As cybersecurity risks increase, have you got clear protocols in place for when systems go down and inconvenience your customers?
  5. What can you do to measure and leverage trust in your brand as a competitive advantage?

@AdilBurakSadic

Source: PwC 20th Annual Global CEO Survey, 2017

 

Makale & Analiz

CEO’ların dijital çağda yaşam savaşı

Yorum yapın

Yazarımız Burak Sadıç’ın, PwC 20. Küresel CEO Araştırmasından derlediği İngilizce makalesinin Türkçe çevirisini ilginize sunuyoruz:

Geçtiğimiz 20 yıl boyunca CEOlar, küreselleşme ve teknolojik değişimin sonucu olan muazzam gelişmelere tanık oldu. Dünya genelindeki yaklaşık 1.400 CEO, bu değişimin büyüme, yetenek, güven ve toplum üzerine etkileri konusundaki görüşlerini PwC’nin 20.sini yayınladığı Küresel CEO Yıllık Araştırması’nda paylaştı.

Araştırmaya katılan birçok CEO, giderek dijitalleşen dünyada işletmelerin insanların güvenini kazanmasının ve kazandığı bu güveni sürdürmesinin gittikçe daha zor olduğuna inanıyor.

Ayrıca CEOlara göre, şirketlerini hem daha geniş paydaş beklentilerine hitap eden bir şekilde yönetmek hem de örgütün değer, kültür ve davranışının yansıtılabileceği güçlü bir kurumsal amaç oluşturmak gittikçe daha önemli hale geliyor.

Peki bu bağlantılılıktan kaynaklanan risklerden en çok hangileri CEOları endişelendiriyor?

Ne zaman ‘teknoloji’ ve ‘güven’ kelimeleri aynı cümle içerisinde kullanılsa, çoğumuz otomatik olarak şöhretlerin bir gecede kitlesel iletişim yollarıyla nasıl elde edilip kaybedildiğini düşünürüz.

CEOların yüzde 87’si aslında sosyal medyanın önümüzdeki beş yıl içinde paydaşların güven düzeyini olumsuz yönde etkileyebileceğine inanıyor.

Ancak, raporda CEOlar yeni ve mevcut teknolojilerin kullanımı yaygınlaştıkça, yeni tehlikelerin ortaya çıktığını, eskilerin ise daha kötüye gittiğini ifade ediyor.

Birçok şirketin, spesifik müşterilerini hedeflemek ve de onların davranışlarını çoğunlukla çok ince şekillerde etkilemek için devasa miktardaki müşteri bilgisini halihazırda toplamış olması hiç de şaşılacak bir durum değil artık.

Türkçeye ‘Nesnelerin İnterneti’ diye çevrilen Internet of Things (loT) giyilebilir nesnelere, otomobillere ve evin akla gelebilecek her parçasına kadar her şeye yayılırken, şirketlerin insanlar hakkında bildikleri de katlanarak artacak.

İlgili haber >> IBM X-FORCE raporu: Dünyanın botnet haritası ve nesnelerin İnterneti

Bu veriler, şirketler ve müşterileri için inanılmaz birer varlık. İşletmelerin daha iyi bir hizmet sunmasını, müşterileriyle daha yakın ilişkiler geliştirmesini ve onların güvenini kazanmasını sağlamakta yardımcı oluyorlar. Müşterilerin daha hedefli teklifler almasına ve şirketlerle daha anlamlı şekilde ilişki kurmasına olanak tanıyorlar.

Ancak, bir şirket, müşterilerin ihtiyaçlarını tahmin etmek ile gizliliklerine müdahale etmek arasındaki çizgiyi aşarsa ya da bir hükümet güvenlik risklerini kontrol etmek için verilere erişmeye çalışırsa ne olur?

Veriler kaybolur ya da çalınırsa ve suçluların eline geçerse ne olur? Daha da kötüsü, otomobiller ve evler giderek birbirine bağlı hale geldiğinden, insanların fiziksel güvenliği tehlikeye atılabilir.

İş yerinde verilerin gittikçe artan bir şekilde kullanımı yeni güven sorunlarını da beraberinde getiriyor.

İK departmanları veri analitiklerinin kullanımını yavaşça ama emin adımlarla arttırdıkça, yetenek yönetimi yarım yamalak bir sanat dalından bilime dönüşüyor.

Ancak çalışanların iş ve iş dışı faaliyetlerini izlemek durumu çabucak tatsız bir hale getirebilir. Peki şirketlerin topladığı bilgilerin limitleri nelerdir? Çalışanın ödülleri veya cezaları ile ilgili kararlar alırken bu verilerin kullanımı ne kadar şeffaftır?

CEO’lar durumun karmaşıklığının farkındalar.

Yüzde 91’i veri gizliliği ve etik ihlallerinin önümüzdeki beş yıl içinde paydaş güvenini olumsuz yönde etkileyeceğini, yüzde 89’u ise halihazırda konuyla ilgili adımlar atmaya başladıklarını iddia ediyor.

Bununla birlikte, en büyük şirketlerin CEO’ları küçük firmalara kıyasla bu sorunların üzerine daha fazla eğiliyor.

Güvenlik ihlalleri müşteri verileriyle sınırlı kalmıyor; siber casusluk bazı sektörler için büyük bir tehdit oluşturuyor. Altyapı, enerji ve bankacılık gibi kilit alanlarda faaliyet gösteren işletmeler özellikle saldırılara en açık olanlar.

Bu durum, pek çok CEO’nun, neden işle ilgili kritik bilgi ve sistemleri etkileyen ihlallerin kamu güvenini de bozabileceğinden endişe ettiğini açıklıyor. Büyük çoğunluk zaten bu tür sorunları önlemeye yönelik adımlar atıyor lakin bu konuda da en aktif olanlar yine büyük firmalar.

Bilişim Teknolojilerinin kesintiye uğraması ise başka bir endişe kaynağı…

Teknolojiye aşırı bağımlı olan bir dünyada ışıkların kesilmesi çok sarsıcı sonuçlar doğurabilir.

Müşteriler paralarına ihtiyaç duyduklarında paralarına erişemezse veya akıllı evlerinde kilitli kalırlarsa ne olur?

Bu tür olayları düşünmesi bile oldukça rahatsız edici, fakat bunlar, teknolojiye daha bağımlı hale geldikçe ortaya çıkacak fiziksel risklerin yanında önemsiz kalıyor. Örneğin, bir veya daha fazla akıllı arabada bir bilgisayar hatası sonucu meydana gelebilecek kazayı düşünün.

Birçok CEOnun IT kesintileri ve aksamalarının paydaşların güvenini etkileyebileceğinden korkmaları ve konuyla ilgili harekete geçmeleri oldukça normal.

Fakat bu tür risklere dikkat etmek gün geçtikçe daha zorlaşıyor. Kurumsal sistemlerin karmaşıklığı ve birbirine bağımlılığı büyük bir soruna dönüşüyor.

Dijital çağ için bir güven stratejisi

Bazı açılardan dijital bağımlılık bizi daha güven dolu bireylere dönüştürdü. Örneğin paylaşım ekonomisini düşünün; artık daha çok insan yabancıların evinde kalmasına ya da daha önce hiç duymadığı işletmelerden ürün satın almaya sıcak bakıyor.

Diğer açıdan ise, dijital bağımlılık yeni tehditler oluşturarak ve kuruluşları daha fazla incelemeye maruz bırakarak güven zedeliyor.

Teknolojinin gittikçe artan karmaşıklığı şirketlerin güven oluşturmasına ya da kaybedilen güvenin yeniden inşa edilmesini daha güç hale getirdi.

Ve her firma bu durumun üstesinden gelemiyor, bu yüzden etkin kriz yönetimi sağlam risk yönetimi kadar önemlidir.

Güven sadece risk değil aynı zamanda da bir fırsattır. 

Birçok CEO, firmalarının verileri nasıl yönettiğinin gelecekte ayırıcı bir faktör olacağına inanıyor.

Ve bu CEO’lar, giderek daha sanal bir dünyada insan deneyimine öncelik verilmesinin, müşterilere dürüstlükle davranılmasını zorunlu hale getirdiğinin de artık çok iyi farkında.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

Makale & Analiz

Hangi rüzgar Kaspersky’i Ankara’ya attı?

1 Yorum

‘Timing is Everything’ Garrett Hedlund’ın 2010 yılında çıkan parçasının ismi. Bu parçayı benim aklıma getiren ise geçen hafta Ankara’da düzenlenen 2. Kaspersky Siber Güvenlik Zirvesi’ne aldığım davet.

Gerçekten de hem yerli yazılım konusunun gündemde sıcak bir şekilde tartışıldığı bir zamanda hem de Türk Rus ilişkilerinin krizi atlatıp çok daha sağlam ilerlemeye başladığı süreçte sadece kamu kurumlarına yönelik, Eugene Kaspersky’nin bizzat katıldığı bir etkinliği hiçbir şey daha iyi özetleyemezdi.

Geçtiğimiz hafta Çarşamba günü Ankara’da düzenlenen Kaspersky Siber Güvenlik Zirvesine katılım oldukça yüksekti. Otelin büyük salonunu dolduran kalabalığa konuşan Kaspersky Türkiye Genel Müdürü Sertan Selçuk, geride bırakılan kriz dönemini boş geçirmediklerini ve bu dönemde insana yatırım yapmayı stratejisinin ekseni haline getirdiklerini aktardı. Ufak bir de ayrıntı veren Selçuk, Cumhurbaşkanı Erdoğan’ın çağrısından çok önce Kaspersky ürünlerini Türk Lirası ile satmaya başladıklarını belirtti.

Selçuk’un konuşmasına devam ettiği sırada salonun ön kapısından Kaspersky giriverdi içeri. Yerine geçmeden önce ayakta beklemesi dinleyiciler arasında bunun klasik bir PR jesti olduğu fısıltılarının yükselmesine neden oldu. Konuşmasını sonlandırmadan Kaspersky Türkiye Müdürü ülkemizde 300’den fazla kamu kuruluşunda ürünlerinin bulunduğunu da hatırlattı. Bu arada salonda kritik kurumlarda çalışan görevlilerden büyükşehir belediyelerinin IT sorumlularına kadar geniş bir kitleyi bir araya getirmeyi başaran organizatörleri de tebrik etmek lazım.

İlgili biyografi >> Siber dünyanın Deli Petro’su Kaspersky

Eugene Kaspersky sahneye çıkmıyor adeta zıplıyor. 52 yaşındaki iş adamı enerjisini salona yansıtmakta gayet başarılı. Genel olarak siber tehditlerden bahsettiği sunumuna yerel ögeler sıkıştırmayı da ihmal etmedi.  Örneğin siber suçların küresel ekonomiye yıllık maliyetini 500 milyar dolar olduğunu söylerken, bu parayla 167 adet Yavuz Sultan Selim Köprüsü inşa edilebileceğini anlattı. Yaşadığımız çağı insanlığın Orta Çağ’ına benzetti. O zamanda yeni buluşlar (tekerlek gibi) ortaya çıkıyordu fakat bunların güvenli bir şekilde kullanımı ikinci planda kalıyordu, diyen Kaspersky konuşmasında siber tehditleri anlatırken belli başlı siber sabotajlara değindi. Rusya’nın faili olduğu Estonya (2007) ve Ukrayna (20014-15) olaylarını sıralarken gözler Güney Osetya Savaşı sırasında (2008) Rusya’nın düzenlediği siber operasyonları aradı. Dikkatimi çeken başka bir nokta da SWIFT saldırılarından bahsederken Kaspersky’nin Rusya Merkez Bankası’nı vuran (Akbank olayından bir hafta önce) 31 milyon dolarlık saldırıyı listeye koymaması oldu.

Konuşmasının sonunda geleceğe yönelik öngörülerini sıralayan Kaspersky, siber alandaki tehdit ortamının hızla fiziksel-siber alana doğru evrildiğini ve buna karşı koymak için siber bağışıklılığı olan sistemler dizayn edilmesi gerektiğini ifade etti. Kaspersky’nin verdiği izlenim yakın zamanda sadece ürün geliştirici olmanın dışında, Mandiant tarzı bir yapılanmayı da bünyesinde güçlendirmeye başlayacağı. Diğer taraftan siber-fiziksel yakınsamasında Türkiye’de özellikle kritik altyapılar alanında ciddi bir pazar olduğu aşikâr. Öyle anlaşılıyor ki, Türkiye’de bir nükleer tesis inşa etmekte olan Rusların öncü siber güvenlik firması bu boşluğu doldurmaya kararlı. Kaspersyky konuşmasından sonra aynı hızla bir sonraki konuşmacıyı dinlemeden salondan ayrıldı. Geç gelip erken çıkması sanılanın aksine bir jeste değil, sıkışık bir ajandanın sonucu.

Zamanlamanın bu kadar iyi ayarlanabildiği başka bir etkinliğe yakın zamanda şahit olacağımızı tahmin etmiyorum. Bunun iki nedeni var. Birincisi zirvenin Türk-Rus ilişkilerinin Kasım 2015’deki uçak krizini atlatıp güçlenmeye başladığı bir döneme denk gelmesi. İlişkilerimiz öyle bir düzeye ulaştı ki, Rus uçaklarının Suriye’de Türk askerini ‘kazaen’ vurması dahi bu ilişkileri sarsamıyor.

İlgili yazı >> Sizce Rus hackerlar şimdi ne yapıyordur?

İkinci faktör ise, Türkiye’de özellikle 15 Temmuz’dan sonra hemen her platformda (sosyal medya, TV, dergi, gazete) yerli yazılım konusunun tekrar ediliyor olması. Yerli yazılıma geçmemiz gerektiğini şiddetle savunan ciddi bir kesim bulunuyor. Yerli ve milli yazılımın tanımını tartışmayı başka bir yazıya (belki de röportaj?) erteleyip, yabancı yazılımdan ne anlaşıldığını irdelemek istiyorum. Verilen örnekler WhatsApp ve Facebook gibi günlük yaşamın vazgeçilmezi haline gelmiş ürünlerin kişisel mahremiyetimize yönelik tehditleri. Yıllardan beri süregelen ‘Biri Bizi İzliyor’ haklı çekincesinin, 15 Temmuz sonrasında uçuşa geçen Batı (Amerikan) karşıtlığı ile kombine edilmiş hali sadece Batılı teknoloji firmalarına yönelik bir dışlayıcı farkındalık oluşmasını mı sağlıyor? Başka bir deyişle Batılı olmayan ülkelerin ürettiği yazılımlara da yabancı diyor muyuz? Örneğin Mısırlı bir şirketin ürettiği anti-virüs yazılımı da aynı şekilde antipatik bulunup, dışlanması istenecek mi Türkiye pazarından?

Bence tam da bu algı bulanıklığı sürecinde Kaspersky ‘güvenilir’ bir Batı-dışı kaynak izlenimi verebilmeyi başarmak için çaba sarfediyor.

Stratejilerin temelini kavramların nasıl tanımlandığı oluşturur, bugün Türkiye yerli/yabancı yazılımın tanımını düşman/rakip ülke temeline dayandırırsa yarın siyasi arenadaki değişimler sonucunda bu kavramların altındaki halı da kaymış olur.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
Makale & Analiz

Trablusgarp Savaşı’nın CyCon açılışında ne işi var?

Yorum yapın

Trablusgarp Savaşı’na veya dünya harp tarihindeki adıyla İtalyan-Türk savaşına lise kitaplarından aşinayız. Mustafa Kemal’in yerel halkı örgütleyerek İtalyanlara karşı gayri nizami harp örneği sergilediği savaş hiçbir şekilde sıradan değildi ve birçok ilk bu savaşta gerçekleşmişti. Öyle ki, dünyanın en büyük stratejik siber güvenlik konferansı olan CyCon’un bu seneki açılış konuşmasına konu oldu.

Konferansın organizatörü Müşterek Siber Savunma Mükemmeliyet Merkezi’nin (CCD COE) ilk sivil direktörü olan Sven Sakkov konuşmasının hemen başında 1911’deki savaşta kritik bir ismi anıyor; İtalya saflarında savaşan ve ilk kez hava bombardımanı yapan Giulio Gavotti.

İlgili yazı >> NATO’nun ilk sivil siber güvenilk direktörü: Sven Sakkov

Gavotti bir hava görevi sırasında komutanından izinsiz olarak tek motorlu uçağına 4 el bombası alıyor. Keşif için Osmanlı Ordusu’nun kamp yaptığı yerlerin üzerinden geçerken bombaları aşağıya bırakıyor. Olay sonunda herhangi bir yaralanma ya da ölüm meydana gelmiyor ama Gavotti ilk hava saldırısını yapan asker olarak tarih geçiyor. Bu hadisenin günümüz siber güvenlik tartışmalarına birinci benzerliği tam da burada. Gavotti de günümüz hackerları gibi otoriteyi sevmiyor, kural dışına çıkmakta fayda görüyor, konvansiyonel olmayan yolların asimetrik etki oluşturacağına inanıyor.

İlgili haber >> FBI otçu hackerlara muhtaç mı kaldı?

Olay sonrasında Osmanlı uluslararası hukuka başvuruyor. Savaş hukukunu düzenleyen 1899 Lahey Konvansiyonu’na göre hava saldırılarının hukuk dışı olduğunu savunuyor. Buna karşın İtalyan tarafı söz konusu dokümanın sadece ‘balonlar’ (Kapadokya’dakiler gibi) tarafından yapılan hava saldırılarını hukuk dışı olduğunu savaş hukukunun henüz uçakla yapılan hava saldırılarıyla ilgili bir hükmünün olmadığını karşı tez olarak masaya koyuyor. Alın size siber alan ve Trablusgarp Savaşı ile ilgili ikinci benzerlik. Mevcut savaş hukukunu siber alanın ortaya çıkardığı yeni sorunlarla başa çıkmak için yoğun çalışmalar yapılsa da siber alandaki değişime uluslararası hukukun yetişmesi mümkün değil. Bunu ABD seçimlerini etkileyen siber operasyonların uluslararası hukukta bir karşılığının olmamasıyla da bir kez daha fark ettik. Bu arada şunu not etmekte fayda var, CCD COE siber savaş hukuk adına yaptığı çalışma olan Tallinn Manuel’in ikinci versiyonu da çok sayıda uzmanın katılımıyla hazırlandı ve 2 Şubat’ta yayınlandı.

Gavotti’nin 1911 yılında düzenlediği saldırı, havacılık tarihinde bir çığır açıyor. Hava kuvvetlerinin düşmana karşı sağlayacağı üstünlük bazı askeri yetkililer de o kadar büyük bir heyecana neden oluyor ki, ABD Hava Kuvvetleri’nin babası sayılan Billy Mitchell kara ve deniz kuvvetlerini daha önemli görerek hava kuvvetlerine yeterli yatırım yapmayan komutanlarını ‘ihanet’le suçluyor. Eleştirinin dozunu ayarlayamayan Mitchell hava kuvvetlerine daha fazla yatırım yapılması için adeta savaşıyor. Eleştirinin dozunu kaçırmış olacak ki, rütbesi tuğgenerallikten albaylığa düşürülüyor. Bir süre sonra ordudan ayrılan Mitchell öldükten sonra(!) ödüle boğuluyor.

Mitchell’in düşüncesine göre hava kuvvetleri ordular içerisinde o kadar büyüyecekti ki, kara ve denizin yerini alacaktı. Öyle olmadı ayrı bir muharebe alanı olarak diğerlerinin yanından yerini aldı. Tıpkı şimdilik siber alan gibi. Takip edenlerin bileceği gibi ‘siber savaş’ kavramına yönelik akademik meydan okumalardan biri olan ‘Cyber War Will Not Take Place’ kitabının yazarı Thomas Rid, günümüzde yaşanan siber operasyonların geleneksel savaş kavramına oturmadığından ‘siber savaş’ adlandırmasını reddederek yaşananların ancak sabotaj seviyesinde olabileceğini savunuyor. Fakat günümüzün Billy Mitchell’ları siberin diğer muharebe alanlarına girintili olduğunu, yani deniz kara ve hava araçlarının siber alandan kontrol edildiğini- belirterek diğer alanları domine edeceğini ileri sürüyor.

Sakkov’un konuşmasının uyandırdığı düşünceler bunlar. Tabi Trablusgarp savaşı demişken, Mustafa Kemal ve Enver Paşa gibi önde gelen komutanların yerli halka gerilla eğitimi vererek teknolojik ve askeri açıdan daha üstün olan İtalyanlara ağır kayıp verdirmesi de pekala siber alana uyarlanabilecek bir örnek. Büyük devletler için siber alan stratejilerindeki yumuşak karın teknolojik ve askeri anlamda daha zayıf fakat siber kabiliyetlerini geliştirmiş ülkelerle nasıl mücadele edileceği. ABD’nin bugün her alanda üstünlük sağladığı İran ve Kuzey Kore’ye siber alanda kimi olaylarda yenik düşmesi bu durumun göstergesi. Diğer mesele ise, gerilla eğitiminden geçmiş milis kuvvetlerin oluşturacağı oyun değiştirici etki.

Bunlar üzerinde düşünce üretilmesine ciddi şekilde ihtiyaç var; sadece Türkiye’de değil dünyada da…

CyCon 2016’da yapılan tüm sunumları buradan izleyebilirsiniz https://ccdcoe.org/cycon/2016/

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]