Etiket arşivi: yazarlar

Türkiye

Teknofest’in en güzel yanı: Geri dönüşü

Yorum yapın

Evet, başlığı yanlış okumadınız. Teknofest 2019’un en güzel yanı, oradan ayrılmamız ve eve dönüş yolculuğumuz oldu. Neden mi?

Festival alanından ayrılırken kızımın aklının orada kaldığını yüzünden okuyabiliyordum. “Bir dahaki ne zaman olur, baba?” sorusunun arka planındaki merakı da anlayabiliyordum.

Festival organizasyonunun tişörtü aldığım için mutlu olan ve dahası eve gelince hemen paketini açıp onu giyen kızımın gözlerindeki heyecan, beni de heyecanlandırmıştı. Üstüne döktüğü küçük bir kırıntı, o içerisinde farklı manalar içeren tişörtü kirletti diye de sinirlendi.

Unutmadan ekleyeyim, kızım kendi okuluna da çok kızgın!

Teknofest alanında çeşitli okuldan öğrenciler hazırladığı projeleri gezdik. Bir öğrencinin yaptığı projenin amacı çok ilginç ve yararlıydı: Bir kamera ile okul etrafındaki insanların yüzlerinin tanınması ve eğer çeşitli suçlardan ceza almış insanlar okul etrafından geziniyorsa bunu yönetime ve polise haber vermek. Dahası bu kamerayı, hareketli bir robot üzerine koymayı planlıyordu genç öğrenci. Yüz okumaya ilişkin tartışmalardan biraz uzak gibi duruyordu ama projesini övmeme engel olmadı.

Ayrıca festival alanında tünellerin içindeki ışıklandırmaların sensör aracılığıyla açılıp kapanması, topraksız tarım gibi bir-iki proje çalışması daha aklımızda kalanlardan.

NEDEN BİZİM PROJEMİZ YOK?

Kızım ise Teknofest’e okul olarak proje sunmadıklarından dolayı dertlendi. Bir proje geliştirip gelecek sene festival alanında olmayı şimdiden kafasına koymuş durumda. Hatta bir proje üzerinde çoktan düşünmeye başladı bile.

İşte bu yüzden Teknofest’in geri dönüşü çok güzeldi. Kızımda yarattığı heyecan, hafızasında bıraktığı izler nedeniyle Teknofest çok güzel bir etkinlikti.

Sanırım, Teknofest’in düzenleyicilerinden Türkiye Teknoloji Takımı Vakfı (T3 Vakfı) Mütevelli Heyeti Başkanı Selçuk Bayraktar’ın hedeflerinden biri de bu olmalı.

SAVAŞ UÇAKLARI, İHA’LAR ve HELİKOPTERLER

Teknofest’in en göze çarpan tarafı savaş oyuncaklarıydı. Atatürk Havalimanına yaklaştığımızda sanki gök parçalanıyormuş gibi bir ses geldiğinde bunun SOLOTÜRK ekibi olduğunu anlamamız uzun sürmedi. Havada bir kuş gibi süzülüp insanları hayrette bıraktılar. Alçaktan uçarken katılımcıların yüreklerinin ağızlarına geldiği ve ne kadar heyecanlandıkları dışardan görülebiliyordu. SOLOTÜRK ekibinin gösterisinin ardından Bayraktar’ın geliştirdiği taarruz İHA’sını da görme fırsatımız oldu.

Bunların dışnda festival alanında A400 M uçağı, C160 askeri nakil uçağı, Türk Kara Kuvvetlerinin CH-47 ve Sikorsky helikopterleriyle F4 2020 savaş uçağı, KT1 ve T38 eğitim uçaklarının yanı sıra Sahil Güvenlik CN-235 MSA uçağı ile jandarma ve polis helikopterlerini de vardı.

İnsanların zırhlı araçlara gösterdiği ilgi ise görmeye değerdi. İçeriye girmek için dakikalarca sıra beklemeyi göze almışlardı. Direksiyon koltuğuna geçen ise “dünya fatihi” gibi poz veriyordu.

Rüzgar Tünelindeki kuyruğun ise sonunu göremedim. Git gide uzayan bir insan kalabalığı vardı.

2 MİLYONA YAKIN ZİYARETÇİ

İnsan kalabalığı demişken, festivale son gün gitme fırsatımız oldu. Sabah erkenden kalkıp yola çıkmanın yararını, eve dönüş yolunda gördüm. Beylikdüzü civarında oturan biri olarak, Atatürk Havalimanına gidişin her yönden kilitlenmesi ve trafik sıkışıklığının Küçükçekmece civarına kadar uzaması yoğun ilginin göstergesiydi. Bayraktar’ın açıklamasına göre festivali 1 milyon 700 bin civarında kişi ziyaret etti.

Festival alanındaki organizasyon da başarılıydı. Hangi bölümde neler olduğu net bir şekilde anlaşılıyordu. Festival alanına doğru ilerlerken belli başlı yerlerdeki görevlilerin yönlendirmesi çok yararlı oldu. Festival alanında yiyecek ve su alım yerlerinin olması da festivalin ince ayrıntılarına kadar düşünüldüğünü gösteriyordu.

T3 Vakfı Mütevelli Heyeti Başkanı Bayraktar, gelecek seneki festivalin nerede ve ne zaman olacağına dair bir bilgi vermedi. Ama kızımla birlikte yüzlerce gencin o festivali iple çektiğine inancım tam.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

Bilim Kurguyla gerçek arasında: Siber Savaş

Yorum yapın

“Sonunda ordumuzu bugün karşılaştığımız ve yarınlarda da devam edecek olan yeni bir tür savaş için hazırlamış bulunuyoruz” G.W. Bush-9 Aralık 2008

Siber ve gerçek dünya her geçen gün birbirine karışıyor ve bu yeni durum yavaş yavaş hayatın tüm alanlarında kendini gösteriyor. Aldığımız ürünlerden gittiğimiz mekanlara, izlediğimiz filmlerden attığımız yorumlara kadar her şey veriye dönüşüyor ve bunların doğru şekilde anlamlandırılması, insanların zihinlerinin şekillendirilmesinin ve yönlendirilmesinin yolunu açıyor. Böylesi büyük fırsatlar barındıran siber alanın, bilhassa devletler arasında mücadele sahasına dönüşmesi de şaşırtıcı bir sonuç olmayacaktır.

Siber alanda görülen ciddi olaylar akademide de “siber savaş” diye bir kavramın varlığı üzerine tartışmaları beraberinde getirdi. Richard Clarke gibi isimler siber savaşın var olduğunu ve şu anda yaşanmakta olduğunu savunurken; Thomas Rid gibi akademisyenler ise siber savaş diye bir şeyin olmadığını ve gelecekte de olmayacağını iddia etmişlerdir. Şahsen siber savaşın varlığını savunan taraftayım ve bu yazıda da bu iddiamı temellendirmeye çalışacağım.

Savaş Kavramının Belirsizliği

Sanılanın aksine, sosyal bilimlerdeki pek çok kavram gibi, savaş kavramı da üzerinde anlaşılmış, kesin sınırları çizilmiş bir kavram değildir. Meşhur Correlates of War projesi savaşı “her yıl 1000’den fazla ölüme sebep olan tüm silahlı çatışmalar” olarak tanımlarken; siyasiler kansere, sigaraya karşı savaştan bahsediyor. Aynı şeyden bahsedilmediği çok açık. Bu sebeple siber savaştan bahsetmeden önce savaş kavramını ortaya koymak ve üzerine düşünmek gerekiyor.

Yüzyıllar boyunca değişen faktörlere bağlı olarak (politik düzen, teknolojik ilerlemeler, aktörler vs.) farklı savaş tanımları yapılmıştır. Hukukçu Grotius, savaşı “uyuşmazlıklarını zorlama yollarına başvurarak çözmeye çalışanların karşılıklı durumu” şeklinde tanımlamış ve savaş ilanının yapılmasının bir zorunluluk olduğunu iddia etmiştir. Ünlü askeri düşünür Clausewitz ise savaşı “politikanın başka araçlarla devamı” ve “düşmanı iradeyi kabule zorlamak için bir kuvvet kullanma eylemi” olarak tanımlamıştır.

Tüm bu tanımlar önemli olsa da 21. yüzyıl savaşlarının değişmeye başladığını düşünüyorum. Devlet dışı aktörlerin etkisi artıyor, gücün özelleştirilmesi yaygınlaşıyor (Blackwater/Akademi, Wagner vs.), psikoloji ve ekonomi silahlaştırılırken her bir birey bu savaşın hedefi haline geliyor, sivil/asker ayrımı ortadan kalkıyor. Rus Genelkurmay Başkanı Gerasimov’un muhtemel bir savaşta düşmanın ekonomik gücünü ve askeri olmayan tesislerini de meşru hedef göreceklerini açıklaması bu düşünceyi destekliyor. Bu, tarihte eşi benzeri görülmemiş yoğunluk ve genişlikte bir topyekûn savaş hali olabilir. Tam da bu sebeple yeni bir kavramsallaştırmaya ihtiyaç var; yoksa siber savaşı tanımlarken zorluklar yaşamak kaçınılmaz. Parçalı ve spesifik değil, daha bütüncül ve kapsayıcı bir yaklaşıma sahip olmalıyız.

Kulağa ilginç ve radikal gelse de kendi perspektifimden, savaş ve politikayı ayırmanın doğru olmadığını düşünüyorum. Bunların her ikisinin de “çatışma” kavramının alt başlıkları olarak, aynı amaca farklı araçları kullanarak ulaşma yolları olduğunu iddia ediyorum. Böyle bir perspektiften her bir birey, gerek fiziksel gerek mental anlamda, bir savaş alanı ve etki edilmesi gereken bir hedef haline geliyor. Dolayısıyla saldırgan tarafın kendi iradesini kabul ettirmek amacıyla insanların günlük rutinlerine yaptığı (ölümcül olsun ya da olmasın) her türlü müdahaleyi genel/sürekli savaş halinin bir parçası olarak kabul edebiliriz. Ancak böyle bütünlüklü bir yaklaşımla yaşadığımız küresel sıkıntıyı, 21. yüzyılın savaşlarını ve siber gibi ortaya çıkan yeni alanlarını anlayabilir, anlamlandırabiliriz.

Siber Savaş Tartışmaları

Sık sık atıf yapılan ‘Siber Savaş’ kitabının yazarları Clarke ve Knake’e göre siber savaş: “Bir devletin başka bir devletin bilgisayar sistemlerine veya ağlarına hasar vermek ya da kesinti yaratmak üzere gerçekleştirilen sızma faaliyetleridir”. Bu yaklaşım devletleri küresel düzenin tek aktörü olarak gören eski anlayışa göre kurgulanmış bir tanımlama. Benim alternatif tanımlama önerime göre ise “Hiyerarşik yapılı organizasyonlar tarafından (ulus devletler, devlet güdümlü gruplar, terör örgütleri, organize halk hareketleri gibi) siber alan üzerinde zararlı yazılımlar ve bilgi operasyonları vasıtasıyla rakibin zihnini şekillendirmek ve iradesini kırmaya yönelik gerçekleştirilen ofansif ve defansif hareketler” siber savaş olarak adlandırılabilir.

John Hopkins Üniversitesi’nden Thomas Rid ise tartışma yaratan makalesinde olaya farklı bir açıdan yaklaşmaktadır. Rid’e göre bugüne kadar gerçekleştirilen tüm siber saldırılar sabotaj, espiyonaj ve devlet/hükümet devirme (subversion) işlemlerinin yalnızca daha sofistike halleridir. Rid, Clausewitz’den aldığı referansla bir aksiyonun savaş eylemi sayılması için 3 kriteri karşılaması gerektiğini söylemektedir:

  1. Şiddet içermelidir (En azından potansiyel olarak)
  2. Araçsal olmalıdır (Savaş tek başına amaç değildir, karşı tarafa istenileni yaptırmak amaçlı kullanılan bir araçtır)
  3. Politik bir amaca hizmet etmelidir (Savaş politikanın başka araçlarla devamıdır söylemine atıfla)

Tüm bunlara ek olarak Rid, politik amacın açıkça deklare edilmese de bir tarafa atfedilebilir olması gerektiğini, yani kimin sorumlu olduğunun net olması gerektiğini iddia etmektedir. Buradan hareketle de Rusya’nın Estonya ve Gürcistan’a yönelik siber harekatlarının ya da Stuxnet saldırısının bu üç kriteri de sağlamadığından dolayı siber savaş eylemi olarak adlandırılamayacağını iddia etmekte ve gelecekte de siber savaş diye bir şeyin olmayacağını savunmaktadır.

Savaşın Doğası, Karakteri ve Siber

Rid’in argümanının en zayıf iki noktası tüm savaş yaklaşımını yalnızca Clausewitzian bir perspektife oturtması ve konvansiyonel savaş dinamiklerini siber savaşa direkt olarak uygulama çabasında olmasıdır. 1900’lerin sonuna kadar savaşın, doğası ve karakteri gereği, şiddet ve ölümle arasındaki bağ üzerine çok düşünülmemiştir; fakat John Stone’un da “Cyber War Will Take Place” başlıklı makalesinde vurguladığı gibi 21. yüzyılda savaş, şiddet ve ölüm bağlantısı üzerine düşünmemiz zaruri hale gelmiştir.

  1. yüzyılda ortaya çıkıp gelişen hava ve uzay sahasının aksine siber alan, savaşın hem doğasında hem de karakterinde değişiklik yaratma potansiyeline sahiptir. Siber savaşı diğerlerinden ayırt eden en önemli özelliği “kansız” karakteridir. Başarıyla tamamlanmış bir siber saldırı, sonucunda birilerinin ölümüne yahut yaralanmasına sebebiyet vermek zorunda değildir. Savaşın en temel amacının düşmanın kararlılığını ve savaşma azmini kırmak olduğu düşünüldüğünde, yapılan siber saldırı bu amaca ulaşıyorsa onu ‘savaş eylemi’ olarak tanımlamaktan bizi ne alıkoyabilir? Eğer tek bir zararlı yazılım 984 uranyum zenginleştirme santrifüjüne zarar verip zenginleştirme verimini yaklaşık %30 düşürüyorsa ve bunun arkasında ABD-İsrail istihbaratının olduğuna dair kanıt sayılabilecek seviyede ciddi iddialar varsa, bunu basitçe sabotaj olarak tanımlamak mümkün müdür? “Görünürde” yakıp yıkmadan da düşmanı ulusal politikamızla uyumlu bir çizgiye zorlayabiliyorsak, sırf birileri ölmedi diye bunu ‘savaş’ kavramsal çatısının dışına çıkarmaya çalışmak savaşın doğasının ve karakterinin değişebilme potansiyelini reddetmek değil midir? Bir kavramı sorgulanamaz ve değiştirilemez kabul etmenin bilimde yeri olmadığı düşünüldüğünde, gerçek düşünce insanlarının şiddet ve ölümcüllüğün savaşa içkin olup olmadığını yeniden düşünüp tartışmalarının ihtiyaçtan öte zorunluluk olduğunu düşünüyorum.

Yukarda belirttiğim gibi işin bir de felsefi yönü var. Askeri düşünür Clausewitz genel düşüncesini düşmanı ezip yenilgiyi kabullendirmek üzerine inşa etmiştir. Dolayısıyla bu yaklaşımla siber savaş kavramının anlamsız gelmesi mümkündür. Buna karşılık Çinli askeri düşünür Sun Tzu başyapıtı Savaş Sanatı’nda en büyük maharetin savaşı, dövüşmeden kazanmak olduğundan bahsetmiştir. Kitaptan örnek vermek gerekirse Tzu, düşman altyapısının gereksiz şekilde yıkımından kaçınılmasını önerir; ki siber saldırılar konvansiyonel silahların aksine altyapıları bir daha kullanılamaz hale getirmez, yalnızca belirli bir süre çalışamaz hale getirir. Yine Tzu, savaşıp yenmekten çok savaşmadan düşman iradesini kırmanın en mükemmel hedef olacağını söylüyor. Bu da yine siberin en güçlü özelliklerinden biri olarak öne çıkıyor. Siber savaşın ‘bu anlamda’ bir sonuç getirmediğini düşünenlerin Putin yönetiminin Avrupa ve ABD’de yaptığı siber saldırıların ne gibi sonuçlar getirdiğine bakmaları zannımca yeterli olacaktır. En azından 2016 Amerikan Başkanlık Seçimleri ve Brexit Referandumu bu anlamda güzel vakalar olarak önümüzde durmakta.

Sonuç

Sonuç olarak kavramsal varlığı tartışılsa da siber savaşın var olduğunu ve etkilerini ciddi şekilde hissedemiyor olsak da yaşanmakta olduğunu iddia ediyorum. Bana göre oluşan kafa karışıklığının temel sebebi siber alanın savaşa daha önce karşılaşmadığımız yeni dinamikler kazandırması. Hava ya da uzayın aksine siberi diğer savaş alanlarıyla birebir kıyaslayarak anlamlandırmamız pek mümkün değil; zira kendine has dinamikleri sebebiyle yeni bir bakış açısı şart. Kaldı ki kabul edilsin edilmesin, Türkiye’nin de dahil olduğu pek çok ülke yıllar önce siber komutanlıklarını kurdu ve siber alanı yeni savaş olanı olarak tanımladılar. NATO da 2016 yılında siberi savaşın beşinci sahası (Kara, Deniz, Hava, Uzay, Siber) olarak tanımladı ve böylece güçlü siber saldırılara karşı konvansiyonel saldırı yapılabilmesinin yolu açıldı.

Kenneth Geers’ın da “Sun Tzu and Cyber War” başlıklı makalesinde vurguladığı gibi konvansiyonel askeri gücü zayıf olan devletler siber alana yatırım yaparak bu açıklarını kapatmaya çalışıyorlar ve bunda kısmen başarılı da oluyorlar. Sonuçta güçlü bir siber operasyon için teknik gereklilikleri yerine getirmek, tank ve silaha sahip olmaktan çok daha kolay. Dolayısıyla zamanla devletlerin bu alana daha çok yatırım yapacağı ve savaş eylemi sayılabilecek siber saldırıların da artacağını öngörebiliriz. Halihazırda Stuxnet saldırısı bile tek başına savaş eylemi sayılabilecek bir saldırı. Üstelik Rid’in 3’lü çerçevesini kullansak dahi bunu savaş eylemi saymak mümkün. Onun incelemesi de bir başka yazının konusu olsun.

Düşünce ve eleştirilerinizi yorum bölümünden ileterek bu tartışmaya dair görüşlerinizi paylaşabilirsiniz.

Zihninizden sorular eksik olmasın, keyifli okumalar!

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Konuk Yazar, Makale & Analiz

Siber güvenlikte hangi alan için hangi sertifika alınmalı?

Yorum yapın

İş hayatında, icra ettiğimiz mesleğin türüne göre bizim yetkinliğimizi gösteren çeşitli belgeler vardır. Bu bazen diploma, bazen zanaatkarlık belgesi, bazen sertifika olabiliyor. Her meslekte az çok bu durum bulunmakta. Peki IT alanında bizim yetkinliğimizi gösterebilmemiz için ne gerekiyor?

Eğer üniversite mezunuysanız (ya da meslek lisesi), mezun olduğunuz bölüme ilişkin diploma ilk iş arama sırasında gösterebildiğimiz tek şey oluyor eğer ekstra bir çaba sarf edip proje vs. gösteremiyorsak. Bu durumda da bizi diğer adaylardan ayıran şey üniversitenin adı oluyor. Yıllar geçti, üniversiteden mezun oldunuz ve 3-5 senelik deneyime sahipsiniz artık. Bu saatten sonra açıkçası üniversitenin adıyla ilgilenen kişi sayısı azalıyor. Daha çok nerede çalıştınız, neler yaptınız vs gibi sorular gündeme geliyor. Açıkçası olması gereken bu, müstakbel yöneticiniz aynı okuldan mezun birine kol kanat germe ihtiyacı duymadığı sürece… Hemşehriliği karıştırmıyorum bile.

127.0.0.1’e ping atmış insanın alabileceği sertifikalar

Şimdi daha da özele inersek, siber güvenlik alanında çalışıyorsunuz ya da çalışmak istiyorsunuz, bu alanda bölüm sayısı da az ya da hiç yok. Diploma gösteremezsiniz. Bilgisayar Mühendisliği diploması güvenlik bildiğinizi kanıtlamaz. Güvenlikçiler de genelde alaylı olur zaten (ben Elektronik Haberleşme Mühendisliği mezunuyum mesela) Bu durumda ne yapacaksınız? İşte tam bu noktada sertifika konusu devreye giriyor. Hepsi için söylemiyorum fakat bazı kuruluşlardan aldığınız sertifikalar, sizin o konuda belli seviyede bilgiye sahip olduğunuzu gösteriyor. Sertifikanın türüne göre de teorik ya da pratik (hands-on experience) tecrübeye sahip olduğunuz kanıtlanabilir.

Peki neden bazı kuruluşlarca verilen sertifikalar dedim? Bunun en temel sebebi şu: bazı sertifikaların sınav soruları ‘dump’ şeklinde piyasada bulunmakta ve yeterli İngilizceye sahip birisi, hayatında en fazla komut satırını açıp 127.0.0.1’e ping atmış olsa bile bu soru havuzunu ezberleyip, ilgili sertifikayı alabilir. Hatta bu ping’e cevap alamamışsa dahi sertifikayı alabilir 🙂

Bununla beraber, sertifikayı veren kuruluş eğer size deneyim soruyor ve bunu kanıtlamanızı bekliyorsa, bu da yine ilgili sertifikayı mûteber yapar. Bu yüzden ISC2 ve ISACA’nın sertifikaları sektör tarafından kabul görüyor. Çünkü ortalama 5 sene deneyim isteniyor bu sertifikaları almanız için. Yani sınavı geçmeniz yetmiyor.

Peki hangi sertifika?

Bu sorunun cevabı biraz yoğunlaştığınız alana bağlı olarak değişebiliyor. Ben bunları birkaç parçaya bölmek istiyorum. Böylece hangi alanda ilerliyorsanız, o tarafta kabul gören sertifikalara yönelmek daha doğru olacaktır.

Network Security : İçinde network kelimesi geçiyorsa CCNA ile başlayıp, CCIE Security’ye kadar giden süreç sizi bekliyor. Genel olarak üretici sertifikalarına bağlı kalınmamasını tavsiye etsem de, Cisco’nun sertifikaları (özellikle CCNA) kapsadıkları konular açısından sizin gerçekten de belli seviyede bilgi sahibi olmanızı bekliyor. Tabi ki dump ezberleyip, girmezseniz J Bunun dışında yine üreticilere özel sertifikalar alınabilir

Ofensif Security : Özellikle mavi, kırmızı takım gibi ekiplerde çalışacaksanız buralarda size göre sertifikalar bulunuyor. SANS (GPEN, GWAPT vb) ve Offensive Security (OSCP, OSCE vb) sertifikaları sektörde en çok kabul gören sertifikalar. Bunun yanında EC Council’ın CEH sertifikası da yaygın olarak tercih edilse de, bir kesim tarafından ‘ayağa düşmüş’ olarak da görülmekte. Tercih sizin J

Denetim : Eğer güvenliğin denetim ya da risk yönetimi alanındaysanız ISACA’nın CISA sertifikası, diğer tarafta da ISO 27001 Lead Auditor sertifikaları en çok kabul gören sertifikalar. Risk yönetimi tarafında da yine ISACA’nın CRISC sertifikası kabul görüyor.

Genel Sertifikasyon : Bence (sektörce de) en çok kabul gören sertifika belki de ISC2 tarafından verilen CISSP. Bu sertifika, sizin güvenlik alanındaki pek çok domain hakkında bilgi sahibi olmanızı bekliyor. Bunun yanında yukarıda belirttiğim deneyim şartı da sertifikayı almayı zorlaştırırken, değerini arttırıyor. ISACA tarafından verilen CISM sertifikası da bu şekilde değerlendirilebilir. Fakat genel kanaat yine CISSP tarafında. Benim şahsi güvenlik anlayışımla da, yani 360 derece güvenlikle birebir örtüşüyor.

Peki sertifikaya inanmayan arkadaşlar ne yapacak?

Yerçekimine, dünyanın şekline, elektriğin çarpmasına vs inanıyorsanız, bazı sertifikaların gücüne de inanacaksınız. Türkiye’nin en iyi üniversitesinden mezun oldunuz diyelim. Hangisi olsun, Boğaziçi, ODTÜ??? Güzel, peki yurt dışına gitseniz bunları kim tanıyor? Türkiye’nin en büyük ulusal şirketlerinde çalıştınız diyelim, emin olun onlar da tanınmıyor. E sizin referanslarınızı da kimse aramaz CV’ye bakıp, kusura bakmayın. Orada sertifikalar sizin uluslar arası alandaki denkliğinizi sağlayan tek şey oluyor.

Nasıl hazırlanmalıyım?

Güzel soru. Eğer Ofensif Security tarafındaysanız, kesinlikle hands-on tecrübe yapın. DVWA gibi uygulamaları indirin, sızmaya çalışın. Kali muadili pentest OS’ler ve içerisindeki toolları öğrenin. Bol bol araştırın ama bol bol da pratik yapın, oumak yetmez.

Diğer alanlarda ise sizi başarıya ulaştıracak şey yine okuma ve deneyim. Son aldığım sertifika ISC2’nin cloud sertifikası olan CCSP. Açıkçası çok çok az çalıştım diyebilirim. Deneyimlerinizle doğru cevapları sınav anında bulabiliyorsunuz. Bunun dışında resmi yayınları ya da Sybex gibi yayınevlerinden çıkan yayınları okuyabilirsiniz. Bu arada CISSP hazırlık materyalleri sorulduğunda tek kalemde geçilen Shon Harris’e de Allah’tan rahmet diliyorum.

%100 güvenlik yoktur ve en zayıf halka insandır klişeleriyle bitireyim 🙂

Sertifikasyon ya da siber güvenlikle ilgili aklınıza ne gelirse benimle iletişime geçebilirsiniz. Elimden geldiğince yardımcı olmaya çalışırım. (Twitter: @ofaltundal)

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

‘KVKK’nın 12. Maddesi geç ama çok önemli bir adım’

Yorum yapın

Siber Bülten’de bugüne kadar Türkiye’deki siber güvenlik konusunda öne çıkan isimlerle yaptığımız röportajları okuyucularımıza sunduk. Bugün yayınladığımız röportajı diğerlerinden ayıran özelliği bir Siber Bülten yazarının -Selin Çetin- başka bir yazarımız olan Burak Sadıç ile bu röportajı yapmış olması. İki yazarımızın siber sigorta, yapay zeka ve KVKK konularına değindiği röportajı ilginize sunuyoruz:

Çetin: Kişisel bir soru ile başlayalım, günlük hayatta kullandığınız teknolojik ürünlerin riskleri karşısında kullanıcı olarak sizin çözümleriniz neler oluyor?

Sadıç: Bir siber risk uzmanı olarak, teknolojiyi olabildiğince az kullanmaya çalışıyorum 🙂 Şakayı bir kenara bırakacak olursam, kullanıcı olarak benim kişisel tercihlerim:

– Her uygulama ve sistem için farklı ve karmaşık bir parola kullanmak,

– Yukarıda belirtilen tüm şifreleri saklamak için güvenli bir parola yönetimi uygulaması kullanmak,

– Mümkün olduğunda, ikili kimlik doğrulama kullanmak,

– Mevcut coğrafi konumu paylaşmayı mümkün olduğunca sınırlamak,

– E-posta veya mesajlar veya sosyal medya yoluyla gönderilen eklentileri açmamak veya bağlantılara tıklama konusunda paranoyak olmak. Eğer bu eklentileri ya da bağlantıları gerçekten merak ediyorsam da, onları “güvenli” bir ortamda açmaya çalışırım.

Çetin: Peki, bugünlerde şirketler hangi siber güvenlik tehditleri ile karşılaşıyor? Geçmişle karşılaştırdığında, özellikle yapay zekanın (YZ) gelişimiyle birlikte sigorta şirketlerinin sunduğu risk yönetimi çözümlerindeki değişimler neler oldu?

Sadıç: Siber güvenliği bir kitap olarak düşünürsek, şimdi ilk bölümün sonunda veya son bölümün başındayız. Internet’in yaygınlaşması ve bağlı cihazlarla (Nesnelerin Internet’i) birlikte şirketler veya bireyler için siber güvenlik tehditleri her bakımdan yalnızca bizim hayal gücümüzle sınırlanıyor. Ancak özet olarak, işin durması ve veri ihlali, şirketlerin bugünlerde karşı karşıya kaldıkları en büyük tehditler. Bence YZ gelişmelerinin siber sigorta üzerindeki potansiyel etkileri hakkında yorum yapmak için henüz erken.

Çetin: YZ kullanımının sigorta sektöründeki olumlu ve olumsuz etkileri nelerdir?

Sadıç: YZ tüm endüstrileri değiştirecek ve sigorta sektörü de bir istisna değil. Aşağıdakine benzer bir senaryo düşünün:

Bir trafik kazasına karıştığınızda, bağlantılı arabanız polise, hastaneye ve sigorta şirketine aynı anda bilgi veriyor. Polis ve sağlık uzmanları size ve diğer potansiyel mağdurlara yardım ederken, sigortacınız da aracınıza verilen zararın seviyesini belirliyor. İhtiyaç olması durumunda çekici otomatik olarak aranıyor ve ayrıca hasar seviyesi ve olası onarım maliyetleri önceden hesaplanıyor. Böylece, birkaç dakika içinde her şey robotik süreç otomasyonu ve YZ ile düzenleniyor.

Çetin: Siber saldırıları tespit etmek için geliştirilen YZ uygulamaları yayılmaya başladı. Bu uygulamaların geleceğini nasıl değerlendiriyorsunuz?

Sadıç: YZ, siber savunmada geleceğin zorunlu bir parçası. Mevcut altyapıların karmaşıklığı, son otomasyon teknolojilerinin yardımıyla bile, insanın durumu kavrayışını gerçekten zorlaştırıyor. Ancak, madalyonun bir de öteki yüzü var. Saldırganlar da YZ’yi saldırılarını daha da karmaşık hale getirmek için kullanacaklar. Dolayısıyla, gelecekte siber ortamda hem insan hem de YZ mücadelesi olacak.

TÜRKİYE YARIŞTA GERİ KALDI

Çetin: Türkiye siber güvenlik tehditleriyle karşı karşıya, YZ çözümlerinin daha iyi kullanılması için ne gibi adımlar atılmalı?

Sadıç: Türkiye yarışta geri kaldı, ancak hem özel sektör hem de kamudaki oyuncular siber silah yarışının hızına ayak uydurabilmek için cesur adımlar atıyor. Bence, YZ’nin daha etkili kullanılmasında ilk adım, YZ’nin gerçekte ne olduğunu anlamak ve buna göre davranmak.

Çetin: Yasal anlamda, Türkiye’deki düzenlemeler çerçevesinde, siber güvenlik alanındaki gelişmeler karşısında yapılanların yeterli olduğunu düşünüyor musunuz?

Sadıç: KVKK ve özellikle 12. madde ve bilhassa veri ihlali bildirimi fıkrası siber güvenlik için geç ama çok önemli bir adım. BDDK’nın yeni taslağı ve çeşitli endüstri düzenlemeleri ve rehberler de umut verici gelişmeler. Ben bir hukuk uzmanı değilim, ancak ilgili makamlar, çerçeveyi sürekli artan bir hızda geliştirmeye ve zenginleştirmeye devam ettiği sürece, mevcut çerçeve siber güvenlik alanındaki sürekli değişen gerçeklikle başa çıkma konusunda umut verici görünüyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

Küçük işletmeler neden Siber Risk Sigortası satın almalı?

1 Yorum

2017 yılında başta Equifax olmak üzere büyük şirketlerin yaşadığı veri ihlalleri ve siber saldırılar sonucunda yaşadığı finansal ve itibar kayıpları basında sıkça yer aldı. Fakat haber değeri olmadığı için küçük işletmelerin başına gelen siber saldırılar ile ilgili haberlerle hiç karşılaşmıyoruz. Bu sebeple mi bilinmez ama girişimcilerin çok büyük bir kısmı, küçük işletmelerin büyük işletmelere oranla çok daha fazla risk altında olduğunun farkında değil.

Hackerler neden küçük işletmeleri hedef alıyor?

Türkiye’de küçük işletmeler başta fidye yazılım olmak üzere birçok farklı siber saldırı çeşidiyle karşılaşıyor. Bir kısmı Emniyet’e yansıyan bu olaylardan bazılarının üstü duyulmadan kapanıyor. Küçük işletmelerin hedef olmasının en büyük nedeni bilgi güvenliği konusunda dikkatsiz ve duyarsız olmaları. Küçük işletme sahiplerinin büyük bir kısmı siber riskleri küçümsüyor ve çalmaya değecek verilerinin olmadığını düşünüyor.

Bu mantıkla hareket eden ve güvenlik yatırımları olmayan veya çok düşük güvenlik seviyesine sahip küçük işletmeler, güvenlik anlamında çok büyük bütçelere sahip ve yatırım yapan büyük şirketlere oranla çok daha kolay hedef olmaları sebebiyle, hackerler tarafından cazip bir seçenek olarak değerlendiriliyor. Bundan daha önemli bir neden ise, büyük şirketler ile çalışan küçük işletmelere sızarak bunlar üzerinden büyük işletmelere erişim elde etmek.

Somut bir örnek ile açıklayacak olursak, ülke çapında binlerce bayisi ve distribütörü olan büyük bir gıda şirketini ele alalım. Bu şirketin yeterli güvenlik seviyesine sahip olmayan bir bayisine yapılacak saldırı sonucu, sistemsel olarak erişimi ve bağlantısı olduğu gıda şirketine bayi sistemleri üzerinden erişmek, doğrudan erişmekten daha kolay bir yöntem olabilir.

Hemen hemen her durumda siber saldırının nihai hedefi ister müşterilere ait kredi kartı bilgisi olsun, ister kişilere ait kimlik bilgileri olsun hassas verileri çalmak ve bunları istismar etmektir. Gün geçtikçe ve teknoloji geliştikçe saldırı teknikleri ve türleri de gelişerek artış gösteriyor.

Küçük işletmelerde sıklıkla rastlanan saldırılara bakıldığında,

İçerden saldırılar:

Kurum içinden yönetici ayrıcalıklarına sahip bir kişinin gizli şirket bilgilerine erişmek için kendi yetkilerini kötüye kullanması olarak kendini göstermektedir. Bu çoğunlukla kurumdan memnun olmadan ayrılmış eski çalışanlar tarafından gerçekleştirilen bir ‘intikam’ eylemi olarak ortaya çıkmakla birlikte içerideki mutsuz çalışan veya dışarıdan hizmet alınan kişiler tarafından da gerçekleştirilen istismarlardır.

Fidye yazılımlar:

Makine üzerinde bulunan tüm verileri şifreleyerek karşılığında fidye talep eden kötücül yazılımlardır. Dünya üzerinde milyonlarca bilgisayarı etkisi altına alan ve hızla büyüyen bu zararlı, geçtiğimiz yıl mayıs ayında Wannacry adı ile 90’dan fazla ülkede 200 binin üzerinde bilgisayara bulaşarak, 28 dilde fidye talebi ile geniş çaplı bir saldırıya imza attı.

Kötücül yazlımlar:

Virüsler, truva atları, solucanlar, casus yazılımlar ve fidye yazılımları gibi zararlılardan kaynaklı siber tehlikeler arasında ilk sırada yer almakta.

Siber risklere karşı çalışanlarda farkındalık oluşturmak ve teknik önlemler almak karşılaşabileceğiniz riskleri önemli oranda azaltacak fakat yüzde yüz koruma hiçbir zaman sağlamayacaktır. Kaldı ki, küçük işletmeler saldırı tespit ve önleme sistemleri, ileri jenerasyon güvenlik duvarları, e-posta güvenlik ürünleri gibi yüz binlerce doları bulan güvenlik ürünleri yatırımları için büyük bütçelere sahip olmayabiliyor.

Tam bu noktada Siber Risk Sigortalarının küçük işletmeler için önemi daha fazla ön plana çıkıyor.

Küçük işletmeler neden Siber Risk Sigortası satın almalı?

  • Veriler en önemli varlıklarınızdan biridir, çalındığında veya kaybolduğunda iş yeri sigortanız bunu karşılamaz.
  • Sistemler günlük işleri yürütmek için kritik öneme sahiptir. Yaşanacak bir sistem kesintisi yüz binlerce lira zarara uğramanıza neden olabilir. Sistemlerde yaşanan kesintiler sorumluluk sigortası kapsamında değildir.
  • Siber suçlar, emniyeti suistimal poliçeleri tarafından karşılanmaz.
  • Üçüncü kişilerin verileri KVKK (Kişisel Verileri Korum Kanunu) ile korunmakta, bunları kaybederseniz sorumlu olursunuz ve ciddi cezalar ile karşılaşabilirsiniz. 3. Şahıs sigortaları özel bilgilerin ifşası, veri ihlalleri ile ilgili savunma masrafları gibi teminatları içermez.
  • Tüm bu yaşanan siber saldırılar ciddi itibar kayıplarına neden olur.

Siber saldırılar ile meydana gelen, veri kayıplarının restorasyonu, saldırı sonrası iş durması, avukatlık ve adli bilişim masrafları, veri kayıpları ile ilgili bilgilendirme maliyetleri hatta itibarınızı korumak için yapılacak olan PR çalışmaları dahi Siber Risk Sigortaları tarafından teminat altına alınır. Bütün bu teminatlara ek olarak işletmeye özel teminatlar da sigorta şirketleri tarafından poliçelere dahil edilebilir.

Alınacak tüm tedbirler riski azaltır ve sizi siber saldırılara karşı koruyabilir, fakat siber saldırıların gerçekleşmeyeceğine dair bir garanti oluşturmaz.

Siber Bülten abone listesine kaydolmak için formu doldurunuz