Z kuşağının birincil sosyal medya platformu olarak bilinen TikTok, ABD ve Çin arasındaki teknoloji savaşında en yeni alevlenme noktası konumuna ulaştı. Bu konuma ulaşmasını tetikleyen en önemli hareket, 31 Temmuz 2020 günü Trump’ın TikTok uygulamasını ulusal güvenlik sebebiyle yasaklama tehdidinde bulunmuş olması. ABD hükümet yetkilileri bir süredir, uygulamanın yanlış bilgi yayması ve kullanıcı verilerini Çin devletine aktarması konusunda uyarılarda bulunuyordu.. Bu endişelerden dolayı 2020 başlarında ABD Ordusu, uygulamayı ordu mensuplarının devlet tarafından verilen telefonlara indirmesini yasaklamıştı. Temsilciler Meclisi ve Senato da bu kararı desteklemişti.
TikTok’un sahibi ByteDance’in CEO’su Zhang Yiming ise firmanın, “kullanıcı güvenliği, tarafsız platform ve şeffaflık” ilkelerine tamamen saygılı olduğunu belirtti. Ancak ardından, ‘gelecek Huawei’ olma yolundaki tehlike sinyallerini gören uygulamanın sahibi olan ByteDance şirketi, TikTok’un ABD operasyonları için Microsoft ile masaya oturdu. satmaya yeltendi. Trump güvencesi alan Microsoft ile satış görüşmesi yapıldı. Tahmini değeri 50 milyar dolarlık olan uygulama için anlaşmanın 15 Eylül’e kadar tamamlanması bekleniyordu. Ancak Trump, ABD Hazine Bakanlığı’nın, anlaşmaya varılan ücretin önemli bir kısmını alması gerektiğini söyledi. Bu şartı öne sürmesinin sebebini ise, “ABD’nin bu anlaşmayı mümkün kılması” olarak açıkladı. Bu açıklamanın üzerine Pekin’den ters tepki geldi. Çin Komünist Partisi’nin Global Times sözcüsü Hu Xijin ise, olası satışı “açık hırsızlık” şeklinde eleştirdi.
Pekin’in uygulama sayesinde toplanan Amerikalılara ait kişisel verileri ABD siyasetinde bilgi kirliliği oluşturmak için kullanma ihtimali Washington’daki siyaset çevrelerinin korkusu haline gelmiş durumda. Benzer bir korku toplanan veriler ile Pekin Yönetiminin Çin’deki sansür uygulamalarını yurtdışına genişletmesi. Dış İlişkiler Konseyi’ndeki siber güvenlik uzmanı Adam Segal ise bu argümanı ulusal güvenlik tehdidi olarak “oldukça zayıf” olarak nitelendiriyor ve Trump Yönetiminin ticari kaygılar üzerine hareket ettiğini ekliyor.
ŞEYTANLAŞTIRILAN TİKTOK BM PROJESİNDE
TikTok Trump yönetimi tarafından bir milli güvenlik tehdidi olarak görülürken, uygulamanın içerisinde yer aldığı olumlu projeler göz ardı ediliyor. Eylül 2019’da AB ve UNICEF’in sosyal medya platformu olan TikTok üzerine başlattığı küresel bir kampanyayı hatırlatmak yerinde olacaktır. Bu kampanyanın amacı, çocukları güçlendirmek ve istediklerini açıkça söyleyebilmeleri konusunda cesaretlendirmekti. BM Genel Kurulu’nun 74. Oturumunda, AB Dışişleri ve Güvenlik Politikaları Yüksek Temsilcisi Federica Mogherini tarafından söylenen şu cümleler kampanyayı destekleyecek niteliktedir: “Geçmişi, ailesinin ekonomik durumu, cinsiyeti ne olursa olsun her bir çocuğun her hakkı elde etmesini garantileme konusunda gerçekten zorlandığımıza inanıyorum. Gelecekte artık cinsiyet eşitliği konularında çalışmaksızın büyüyen bir nesil hayal ediyorum.”
500 milyon kullanıcısının çoğu 18 yaşın altında olan TikTok uygulaması, bu kampanyanın platformu olarak belirlendi. Aktifliği 20 Kasım 2019’a kadar süren kampanyada, Avrupa Birliği Dış İlişkiler Servisi’nin Youtube hesabında yayınlanan dört tema altındaki kısa videolar, çocuklar tarafından kendi yorumları katılarak taklit edilmeye çalışıldı. Bu sayede izleyicilerin, çocukların hayatlarındaki gerçek zorluklarla (TheRealChallenge) yüzleşmiş olması amaçlandı.
Özetlemek gerekirse, yazar Jia Tolentino’nun dediği gibi, “viral iletişim için tasarlanan hiçbir platform siyasetten soyutlanamaz”. TikTok da kültürel bağlarını kırarak Çin’in dışında tamamen küresel hale gelen ilk sosyal medya platformu olmuştur. 15 Ağustos’ta Trump, ByteDance’e ABD’deki varlıklarını satması için 90 gün süre vermiştir. Trump’ın uygulamayı güvenlikleştirerek ulusal tehdit haline getirmesinden de anlaşıldığı üzere bu durum ABD’nin ekonomik kaygılarını artırmaya devam edecektir. Güncel durumda TikTok, Hong Kong’daki demokrasi yanlısı protestolarla ilgili videoları bastırmak ve Çin’in insan hakları sicilini eleştiren bir videoyu kaldırmakla suçlanıyor. Ancak iki süper güç arasında süregelen ekonomik rekabet göz önüne alındığında, ideolojik bağlamda demokratik barış teorisine kadar uzanan bu iddialar manidardır.
Son yıllarda görülmektedir ki, ABD, stratejik varlıklarının Çin tarafından satın almasını engellemeye çalışıyor. Buna ek olarak, ABD firmalarında finansal bilgileri düzgün bir şekilde açıklamayan Çinli firmaları listeden çıkarmakla tehdit eden bir ABD görmekteyiz. Çin ise Facebook, Twitter, Google gibi pek çok ABD firmasına erişimi engellemeyi sürdürüyor. Ekonomik olarak temsili bir Soğuk Savaş ortamının görüldüğü bir rekabetle karşı karşıya olan uluslararası sistemde, şu noktada sorulacak soru, iki süper gücün ne kadar daha ileri gideceğidir.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Dünyanın en büyük şirketlerinin sistemlerini hacklemek için milyonlar ödediği, Gürcü göçmen bir ailenin İsrail’e gelen oğlu Reuven Aronashvili, gizli İsrail askeri biriminde edindiği bilgilerle saldırı amaçlı siber şirket CYE’yi kurdu.
Reuven Aronashvili, Tel Aviv Üniversitesi’nde Lineer Cebir dersi için sınıfa girdiğinde, öğretim görevlisi, haftalardır bozuk olan klimayı tamir etmeye gelen bakımcı olduğunu sanıp kendisine sinirlenmişti. “Belki de ona biraz farklı göründüm. İnsanlar bana saygısızca davrandığında mızmızlanmayıp kendim için doğru olanı yapmaya çalıştım. Sonraları o profesörü her gördüğümde ona klimanın durumunu sordum ve sınıfındaki en iyi notu aldım” diyor İsrail’e göçen iki Gürcü ebeveynin oğlu Reuven Aronashvili.
Daha 16 yaşındayken liseden mezun olamayan öğrencilere ders veren Aronashvili, ders verdiği çocukların kendilerinden hemen hemen daha genç olan birinin onlara ders vermesine şaşırdıklarını söylüyor. Bunları komik bulduğunu söyleyen Aronashvili kendi okulunda da 100 üzerinden 96 ortalamayla mezun oluyor.
Bir matematik öğrencisi, bir öğretmen, saygın bir teknoloji biriminde askeri görevli gibi görünse de bunların kendi ruhuna uymadığını yalnızca onun özgeçmişini oluşturan parçalar olduğunu söylüyor.
GENÇLiĞiMDEN BERi YANIMDA OLAN TEK ŞEY BAŞARIYA AÇLIĞIM
“Sahip olduklarımla yetinmiyorum, başarıya yönelik bu açlığım gençliğimden beri beni terk etmeyen tek şey” diyen Aronashvili, annesinin hemşire olduğunu babasının da mobilya fabrikasında çalışan bir işçi olduğunun altını çiziyor.
“Bu, bugün çocuklarımın yaşamadığı bir açlık türüdür. Beş buçuk yaşındaki kızım ne zaman telefon ve tablet alacağını bilmek istediğinde, bunun farklı bir çocukluk olduğunu anlarsınız. Bunu sevmiyorum, çocuklarımın bu şekilde büyüdüğünü görmek beni biraz üzüyor. Onlar için hiçbir şey eksik değil ve hayatları rahat. Asıl kaygım, çocuklarımın dürtüleri eksik olduğunda, bunun onları nereye götüreceğidir. Bir şeyi yapmak için açlık dürtüsü olması gerekiyor. Yiyecek için fiziksel açlıktan bahsetmiyorum, yani başarı için açlıktan bahsediyorum” diyen Aronashvili, ailesinin çok çalıştığını bu yüzden de kendi çocuklarını bu kadar çalışmak zorunda bırakmayacağını da ekliyor.
HAYALLERİM DAHA FAZLASIYDI
Üst düzey bir öğrenci olan Aronashvili, imtiyazsız öğrencilerin faydalandığı bir programda asker-öğrenci olarak Tel Aviv Üniversitesi’nde lisans eğitimine başlamak için Acre’den ayrıldı. Üniversitenin gözlerini açtığını söyleyen Aronashvili “O zamana kadar hayalim Rafael Gelişmiş Savunma Sistemleri şirketinde çalışmaktı. Çünkü Acre’de yaşayan insanlar için en iyi iş buydu. Orada çalışanlar, villalarda yaşarlardı ve orada işe girdiğinizde hayatta bir şey başarmış olurdunuz” diyor.
Daha sonra öğretmenlerinin kendi şirketleri olduğunu duyunca hayallerinin ve isteklerinin bundan daha yüksek bir şey olduğunu anladığını söylüyor.
Üniversitesini bitirdikten sonra Aronashvili, gizli askeri elit birim Matzov tarafından işe alındı.
Matzov hakkında konuşmadan önce önemini anlatmak gerekiyor. Dünyada kişi başına start-up’ın en yüksek olduğu ülke olan İsrail’de Birim 81 ve Birim 8200, sinyal istihbaratı, kod ve şifre kırma, orduya teknik donanım sağlama gibi görevlerden sorumlu birimler olarak ön plana çıkıyor. İlginin çoğu bu birimlerde olsa da Matzov gibi daha birçok birim de bu alanda faaliyetini yürütüyor. Matzov ise şifreleme anlamında ön saflarda yer almasına rağmen çok daha az üne sahip.
Matzov, kendini şifreleme ve bilgi sistemleri güvenlik teknolojileri geliştirmeye adayan birimlerden biri. Hatta İsrail’in şifreleme ve siber güvenlik konusunda en yüksek otoritesi olarak ön planda. Halihazırda hizmetlerini de ülkenin tüm güvenlik kuruluşlarına sunuyor.
2005 yılında Aronashvili, Matzov’un güvenlik açıklarını tespit etmek ve ele almak için İsrail ordusunun bilgisayar sistemlerine saldırmakla görevli kırmızı ekibini kurmakla görevlendirildi.
O zamanki komutanların saldırıya uğrama fikrinden heyecan duymadıklarını anlatan Aronashvili, ekibinin o dönem Genelkurmay Başkanı olan Dan Halutz’un dikkatini çekmeden önce Bilgisayar Hizmetleri Müdürlüğü içindeki hedeflere saldırarak yola çıktı. Sonradan Halutz, ekibin yeni hedeflere saldırmasına izin verdi. “Bir start-up gibiydi ve kendimizi pazarlamak zorunda kaldık” diyor Aronashvili.
Aronashvili, sistemlerin boşluklarını tespit etmek için hassas askeri sistemlere saldırdıklarını ve bir organizasyon ve aynı zamanda bir devlet birimi olarak saldırı ve savunma yeteneklerinin arasındaki boşluklar hakkında çok fazla şey öğrendiklerinin altını çiziyor.
7 yıllık askeri hizmeti sırasında Aronashvili, Bilgisayar Bilimleri alanında yüksek lisansını da tamamlıyor. 2012 yılında terhis olunca iş sektörüne geri dönüyor. İki yıl sonra Aronashvili, orduda biriktirdiği bilgileri kullanarak CYE’yi kuruyor. CYE, saldırı lisansına sahip olan ve bunu şirketlerin açık rızasıyla yapan birkaç şirketten biri olarak faaliyetlerini yürütüyor.
Bir bakıma aile işletmesi olan CYE’de Aronashvili, şirketin insan kaynakları başkan yardımcısı olan lise aşkı Reut Diei ile evlendi ve üç çocuğu var. Ağabeyi Haim ise baş satın alma görevlisi olarak çalışıyor. Şu anda Bilgisayar Bilimi okuyan küçük kız kardeşi Sivan da şirkete katılmayı planlıyor.
Aronashvili kendi şirketini, “sonuna kadar giden” gerçek bir hacker gibi tanımlıyor. Müşterilerine “Bir üretim hattının tamamen kapatılmasının neye benzediğini size göstermek 150 milyon dolara mal olabilir bu yüzden size nasıl yapılacağını göstereceğiz” diyerek işe başlayan şirket, müşterilerinin sistemlerini kapatan arayüze kadar girip orada duruyor. Son durak olarak da müşterilerinin fikri mülkiyetini veya başka türlü gizli bilgilerini çalabileceklerini, ticari faaliyetlerini sonlandırabileceklerini veya banka hesaplarını ele geçirebileceklerini gösterdiklerini söylüyor Aronashvili.
Riskler son derece yüksek olduğunda, örneğin bir saldırının hayatlara mal olabileceği havaalanları, trenler ve altyapı söz konusu olduğunda, şirketin daha geleneksel bir yaklaşım izlediğini söyleyen Aronashvili “Bizim yol gösterici ilkemiz, kimin hangi araçlarla saldırabileceğini ve saldırı yoluyla ne kazanabileceklerini bulmak” diyor. Böylelikle herhangi bir şirketin acil olarak neyi ele alması gerektiğini bilmesi için risk düzeylerini derecelendirdiklerini ifade ediyor.
Aronashvili, birisinin kendi sisteminizi isteyerek hacklemesine izin verme fikrinin riskli olarak göründüğünü ancak müşterilerin CYE aracılığıyla gerçeklerle yüzleşmeyi tercih ettiklerini çünkü bu fikrin gerçeklerden daha az tehdit oluşturduğunu söylüyor. Aynı yöntemleri kullanan gerçek bir saldırının bir felakete yol açabileceğinin de altını çiziyor.
YALAN MAKiNESi VE DOĞRULUK TESTi iŞE ALIMIN GEREKLiLiKLERiNDEN
Bu yöntemler hem Aronashvili hem de müşterilerinin son derece hassas bilgilere maruz kaldıkları için her bir CYE çalışanına tamamen güvenebilmelerini gerektiriyor. Gri diye bir şeyin olamayacağını bir insanın ya iyi ya da kötü olduğunu düşünen Aronashvili “Yalan makinesi ve doğruluk testleri işe alma gereksinimlerimiz arasında yer alıyor ve kirli bir işe karışmış olan hiç kimse bizimle çalışamıyor” diyor.
Aronashvili “Çalışanlarım için endişelenmiyorum, onları bir bankanın önüne koysam ve kimsenin farkına varmadan 100 milyon doları nasıl çalacaklarını göstersem bile” diyor. “Ancak sabıka kaydı olan birini eğitmek, almak istemediğim bir risk” diye de ekliyor.
GECELERİ MIŞIL MIŞIL UYUYABİLEN TEK BİR SEKTÖR YOK
Aronashvili, CYE’nin müşterileri arasında finans kurumlarının yanı sıra altyapı şirketleri, üreticiler ve çoğu İsrailli olmayan teknoloji şirketleri bulunuyor. Sıkı düzenleme nedeniyle finans sektörünün nispeten korunduğunu, sigorta ve MedTech şirketlerinin ise çok savunmasız olduğunu söylüyor. “Bugünlerde geceleri mışıl mışıl uyuyabilen tek bir sektör olduğunu sanmıyorum” diyor.
Merkezi İsrail’de Herzliya’da bulunan ve Almanya, İngiltere, İsviçre ve ABD’de ofisleri bulunan CYE’de 70 kişi çalışıyor. İlk günden beri kar elde ettiklerini söyleyen Aronashvili, yatırımcılarının paradan çok bağlantılara ihtiyaçlarının olduğunu bildiğini ekliyor.
10 DAKiKA iÇiNDE BiR KURUMUN ŞiFRELERiNiN YÜZDE 50’SiNDEN FAZLASINI KIRABiLiYORUZ
Kurumsal sistemleri hackleyen bir şirket olarak, kurumların savunma sistemlerini nasıl bulduğu sorulan Aronashvili “İnanılmaz savunma araçları görüyoruz yani bir mahsulün kremasını. Ancak sonra kuruluştaki çalışanların %80’inin 30 saniyeden kısa sürede kırılabilen şifreleri olduğunu fark ediyoruz. Tek bir kullanıcıyı alıp her olası şifreyi denemiyoruz, bunun yerine tüm kullanıcıları alıp her birinde iki veya üç olası şifre deniyoruz. Böylece kilitlenmiyoruz veya sistemi şüpheli etkinlik konusunda alarma geçirmemiş oluyoruz. Saldırıdan sonraki 10 dakika içinde ise bu yöntemi kullanarak bir kuruluşun şifrelerinin %50sinden fazlasını kırabiliriz” diyor.
Aronashvili, koronavirüs salgını nedeniyle evden çalışmaya geçilmesiyle siber saldırganların kendilerini cennette gibi hissettiklerini, insanların genellikle cep telefon numaralarını modem şifresi olarak koydukları evlerine saldırmanın daha kolay olduğunu ancak yine de bir kuruluşu hedeflemek isterlerse çalışanların bir listesini bulup onları evlerinde yine hackleyebileceklerini” söylüyor.
“Pek çok kuruluş kendisini en aptalca viral saldırılardan bile koruyamıyor. Bu nedenle önemli olan saldırıya uğramayı önleyip önleyemeyeceğimiz değil, ne zaman saldırıya uğrayacağımız ve zararın minimum düzeyde olmasını sağlamak için ne gibi önlemler alabiliriz düşüncesi olmalı” diyor Aronashvili.
STUXNET VE WannaCry EN CiDDi SALDIRILARDANDI
İsrail’in ortalığı kasıp kavuran siber saldırganları beslediği iddiasını cevaplayan Aronashvili, bunun doğru olduğunu İsrail’de çok ciddi zararlar verebilecek pek çok yetenek olduğunun altını çiziyor.
“Stuxnet’i (2011’de İran nükleer sistemine saldıran İsrail ve ABD tarafından geliştirildiği iddia edilen kötü niyetli bir bilgisayar solucanı) ele alalım, şimdiye kadarki en şiddetli siber saldırılardan biriydi diyor. “En ciddi siber saldırılardan biri olan WannaCry (2017’de gerçekleşen binlerce bilgisayara yapılan fidye yazılımı saldırısı) ABD Ulusal Güvenlik Ajansı’ndan (NSA) sızdırılan bir araca dayanıyordu. Bunun mali etkisini bir düşünün, bazı saldırıların insanları fiziksel olarak öldürebileceğinden bahsetmeyin” diyerek bu saldırılarla verilebilecek zararları anlatmaya çalışıyor.
Kurumlara saldıranları mı yoksa güvenlik açıklarını mı buldukları sorusuna bir örnekle cevap veren Aronashvili “Bir zamanlar yüzbinlerce çalışanla dünyanın en büyük elektrik şirketlerinden biriyle çalıştıklarını ve sistem üzerine tam kontrole ulaştıklarına sistem sunucularında çok sayıda porno sitesi bulduklarını söylüyor. Şirketi kim hacklediyse kuruma kötü niyetli bir saldırı ile zarar vermemiş, sadece sunucularını ücretsiz bir barınma hizmeti olarak kullanmış” diyor. Kuruluşların ne kadar büyük olduğu ve onlara saldırmanın ne kadar kolay olduğu arasında doğrudan bir ilişki olduğunu ve büyük kuruluşların kendilerini savunmakta daha çok zorlandığını dile getiriyor.
Aronashvili, ülke saldırılarına karşı korunmanın ise çok daha zor olduğunu vurguluyor.
Aronashvili’nin bir saldırıyı önlemenin gizli tarifi ise bir saldırganın kazanmayı umduğuna kıyasla zahmete değmeyecek kadar pahalı olmasını sağlamak.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Coronavirüs (COVID-19) salgını; ekonomik, sosyal ve politik sistemlere verilen zararlara ek olarak elbette sağlık alanında da büyük bir deprem etkisi yarattı. Bahsedilen tüm sistemleri birbirine bağlayan siber alan da nasibini aldı virüsten. Çünkü bu tehdit nedeniyle, büyük ölçekte tüm çalışanlar evlerine kapandı ve eğitim uzaktan yapılmaya çalışıldı. Sağlık sistemine daha çok yük bindi, insanlar evlerinden çalışmaya alışmakta ve tüm bu aktörler arasında uzaktan iletişim ve dijital araçlara güven tartışmaların odağı haline geldi. Siber saldırılara ve açıklara davetiye hazırlayan bu gelişmelerle ilgili daha önce bir olay incelemesi yapmıştım. Benzer şekilde siber alandaki bu olaylar aktifleşmeye devam ederken verilerin gizliliği, bütünlüğü ve kullanılabilirliği tehlikeye girmiş vaziyette.
Virüsün derinden etkilediği ülkelerin başında kuşkusuz İtalya da yer alıyor. Günlük hayatta karşılaştığımız birçok sorun çoğu zaman başka faktörlerle de ilişkili. Virüsün devirmeye çalıştığı İtalya’da kriz siber alana da sıçradı doğal olarak. Cynet de, coronavirüsün bilgi güvenliği üzerinde önemli bir etkisinin olduğunu ortaya koyma adına İtalya’daki gelişmeleri mercek altına aldı. Cynet bu konuyla ilgili doyurucu bazı istatistikleri ortaya koyuyor. Görünen o ki saldırganlar bu krizleri aktif olarak kullanmakta. Benzer istatistiklerde de iki ana eğilim dikkat çekicidir. Bunlar kötü amaçlı e-posta saldırıları ve kullanıcıların kimlik bilgilerine yapılan saldırılar olarak karşımıza çıkıyor.
Virüsün etkisinin artmasının ardından İtalya’da ve benzer durumdaki birçok ülkede çalışanlara operasyonlara evlerinden devam etmesi talimatı verilmiştir. Çalışanlar resmi kanallar olması itibariyle e-posta iletişimine ağırlık vermektedir. Cynet ilgili çalışmada, e-postaların %21’inin kötü amaçlı web sitelerine veya makrolara yönlendirme gibi gelişmiş özellikte ekler içerdiğini ortaya koymuştur. İstatistiklere göre İtalya’daki durum diğer birçok ülkeden daha kötü durumda. Çalışanların kontrolsüz bir şekilde yoğunluğu eve taşıması, siber güvenliğe ilişkin denetimlerinin yapılamayışı, genel anlamda belirsizlik saldırganların sosyal mühendislik, kimlik avı ve zararlı e-postaları kullanması için ideal koşulu oluşturmaktadır.
Aşağıdaki grafikte de bir örnek olması açısından Cynet’in raporuna yansıyan Phishing (Oltalama) saldırılarına ilişkin değişim verilmiştir. Sırasıyla İsrail, Japonya, Benelux ülkeleri, Fransa, Almanya, İtalya, Birleşik Krallık ve ABD’ye ilişkin verilerdeki değişim ilk sütunda 2019’daki aylık ortalamaları, ikinci sütunda ise 15 Şubat-15 Mart 2020 arasındaki değişimi göstermektedir. Görüldüğü üzere İtalya’daki saldırılar neredeyse 3 kat artmıştır.
SOSYAL GÜVENLİK SİTELERİ DE SALDIRILARDAN NASİBİNİ ALIYOR
Bireysel anlamda çalışanların ve eğitimin siber saldırılar ile sekteye uğratılması İtalya’nın başını bugünlerde ağrıtan gelişmelerden sadece birkaçıdır. Sosyal güvenlik alanında faaliyetlerini sürdüren web sitelerine saldırılar da dikkat çekici bir şekilde artış göstermiş durumda. INPS (Istituto Nazionale della Previdenza Sociale-İtalya’da bir tür refah ajansı olarak faaliyet göstermekte) yetkilisi Pasquale Tridico yardım ajansının yapacağı 600 Euroluk yardım için 339.000 başvuru olduğunu fakat siber saldırıların siteye erişimi zorlaştırdığını belirtmekte. Başvuru bilgilerine dahi ulaşmakta çoğu zaman zorlandıklarını belirten İtalyan yetkililer saldırıların yoğunluğu ve verilerin niteliğinden dolayı web sitelerini kapatmak zorunda olduklarını kaydetmişlerdir.
Siber saldırılar özellikle coronavirüsün zirveye çıktığı bugünlerde, krizin etkisiyle sosyal ve sağlık hizmetlerinin zaaflarını kullanma eğilimindedir. Daha önce, kendisini en iyisi olarak gören bilgisayar korsanlarının Dünya Sağlık Örgütü’nü hedef aldığını biliyorduk. Mart 2020 içerisinde, Avrupa’nın bazı bölgelerindeki sağlık çalışanlarının, virüs ile ilgili bilgilerinin gizlenmesinde bir sisteme bulaşan ancak gerçekte dosyaları şifreleyen kötü amaçlı bir yazılımla hedef alındığı da ortaya çıkmıştı. Şimdi ise, hackerların İtalyan hükümetini sosyal güvenlik web sitelerine erişim ile ilgili tehdit ettiği ve para talep ettikleri ortaya çıkmıştır. Gelişmeleri ayrıntılı olarak araştırmak için Ulusal Güvenlik Hizmetleri’nden bir siber güvenlik uzmanları ekibi devreye girmiş ve suçluların yargılanması öngörülmüştür.
AŞI ÇALIŞMALARI SALDIRGANLARIN HEDEFİNDE
ABD Menkul Kıymetler ve Borsa Komisyonu tarafından yayınlanan rapora göre de fidye yazılımlar ile ilgili Kaliforniya merkezli bir biyoteknoloji firmasının coronavirüsle savaşta kullanılacak aşı üzerinde çalışırken saldırıya uğradığı ve fidye talep edildiği kamuoyuyla paylaşılmıştır. 10x Genomics adlı firmadan yaklaşık 1 terabayt bilgi ve kod çalındığı bildirilmiştir. Şirket böyle bir sorunla karşı karşıya kalmıştır fakat virüs ile ilgili operasyonlarına da devam etmiştir. İtalya’da olduğu gibi krizler siber saldırıların önünü açmakta ve odak noktası olabilecek siber saldırıları arka plana itmektedir. Çünkü öncelikli alan insan sağlığı ve virüsün seyri olduğu için merkezdeki sorun algısı farklıdır. Benzer örneklerde, İtalya ve ABD’de olduğu gibi siber alandaki uzmanların da önemi gözler önüne serilmiştir ve olayların etkisinin araştırılmasında önem kazanmışlardır.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Hayatımda kritik bir değişiklik yapıp daha önce sadece iş amaçlı ziyaret ettiğim Amerika’ya kalıcı olarak yerleşmiş bulunmaktayım. Bu süreçte neler yaşadığımı, edindiğim tecrübeleri ve gözlemlerimi sizinle paylaşmak istedim. Öncelikle belirtmek isterim ki anlatacaklarım çoğunlukla siber güvenlik alanında ABD’de çalışmayı planlayan ya da burada iş kurmak isteyenler için faydalı olacaktır.
Siber güvenlik Amerika’da özellikle de doğu yakasında çok popüler bir sektör. Siber güvenliğin diğer IT kollarına doğu yakasında üstünlük sağlamasındaki önemli etmenlerin başında siber güvenliğin en büyük müşterisi Amerikan hükümeti olmasıdır ve çoğu devlet kurumu doğu yakasında bulunur. Birçok ülkede geçerli olan kural serbest piyasa ekonomisinin kültürel bir öge haline geldiği ABD’de bile geçerlidir: Devlete satıyorsan kazanırsın.
Bu durumun doğal bir sonucu olarak siber güvenlik firmalarının doğu yakasında daha fazla bulunmaktadır ve doğu yakasında kurulan şirketlerin çoğu Delaware merkezlidir. Bunun sebebi Delaware eyaletinde yasaların çok daha esnek, kolay olması ve bunların ABD’deki birçok yatırımcı tarafından çok iyi bilinmesidir.
Eğer şirket kumayı düşünürseniz Delaware de kurup, Virginia-Maryland-D.C Metro Area’da faaliyet gösterebilirsiniz. Şirket kurmak ve işletmek çok zor değil ve internetten yapılacak bir araştırmayla kolaylıkla kurulabilir ancak bizim gibi ABD vatandaşı olmayanlar için “vize” bahis mevzu olduğu için işler oldukça karmaşık hale gelebilir.
Öncelikle Amerikan hükümeti size 150 bin USD ve üzerinde Türkiye’de vergilendirilmiş bir yatırımla E2 vizesi almanıza imkan sağlıyor. Sadece bununla sınırlı değil tabi. E2 vizesi alacak kişinin kariyeri ve özelliklerinin de uygun olması gerekiyor. Bununla birlikte şirketi kurduğunuz zaman en az 1 Amerikan vatandaşını veya green card sahibini çalıştırmanız gerekiyor. Ayrıca çalıştırmayı planladığınız Amerikan vatandaşı / green card sahibi sayısını her yıl arttırmanızı bekliyor. Kısacası Amerika “paranı al gel, benim vatandaşıma iş imkanı sağla, sen de burada kalabilirsin” diyor. Bu vize türü için sağlam bir iş planı ve vize dosyası lazım olacaktır. Muhakkak avukat ile çalışmak gerekir.
Diğer bir vize imkanı ise Türkiye’deki bir firmanın Amerika ofisini açarsanız, şirketin en az 1 yıllık yöneticisi ABD’ye L1 vizesiyle gidebilir. Bu durumda US’de kurulan şirket TR’deki şirketin bir ofisi gibi çalışıyor. Nispeten daha kolay ancak yatırım almayı düşünüyorsanız yatırımcıların büyük bir kısmı böyle bir şirkete yatırım yapmak istemeyecektir. Aynı şekilde avukatla çalışmak gerekir. İki vize türü (E2 ve L1) de -şirket 5 yıl boyunca başarılı şekilde yürütüldüğü takdirde- vize sahibine green card başvusu yapma imkanı sağlıyor.
Şirket kurulumu ve vize işlerinin halledildiğini varsayıp, nasıl iş yapabileceğimizi de aktarayım. Öncelikle yabancı ortaklı bir şirket olduğumuz için hükümet kuruluşlarını iş yapmak çok zor. Çoğunlukla özel sektöre iş yapmak gerekecek. Tabi burada bir özel şirket milyarlarca dolar büyüklüğünde olabiliyor. Hatta bazı siber güvenlik şirketlerin 10 taneden az müşterisi var ve yine de çok büyük kazanç sağlayabiliyor.
Devlete iş yapamıyoruz, özel şirketlerle çalışmak lazım ama nasıl müşteri bulacağız? Benim gibi sürekli teknik işlerle uğraşan kişilerin oldukça zorlanacağı bir konu bu. Teknik kişiler zamanlarının büyük kısmında makinalar, uygulamalar, API’ler, scriptler vs uğraştığı için insanları da aynı şekilde programlayabileceğini düşünüyor 🙂 Ancak insanlar nondeterministic (aynı input ile farklı output verebililen) varlıklardır. Dolayısıyla onları avlamak için iyi bir marketing stratejisine ihtiyaç vardır. Benim tavsiyem ABD’de yerli birini bulup, şirkete ortak olarak alıp, marketingi onun yapmasını sağlamak. Tabi seçilecek kişi rastgele birisi değil, çevresi olan, konuşmayı bilen, marketingden anlayan biri olmalı.
Şirket kurulumu, marketing, strateji belirleme, tecrübe vs gibi şeyleri hızlıca kazanmanızı sağlayan “Accelerator”lar var. Mach37 doğu yakasında oldukça bilinen ve itibar gören böyle bir kurum. Mach37 gibi 1776, AOL… gibi daha birçok start-up şirketler için hızlandırıcı ve barındırıcı kurum bulunmakta. Bunlardan bir tanesiyle çalışmak acı tecrübelerle kazanılacak bir çok bilgiyi hızlıca almanızı sağlıyor.
Son olarak marketin büyüklüğü ve ‘ne kadarlık iş yapabiliriz’ sorularına cevap vermeye çalışayım.
Öncelikle “Market” bir start-up’ın boyunu ziyadesiyle aşan büyüklükte. Sadece ABD olarak düşünmeyin, Amerikan şirketleri Ortadoğu ve Arap ülkelerinde oldukça saygı gören kurumlar. Türkiye’den ulaşamayacağınız kurumlara buradan ulaşmak mümkün. Yapılacak iç hacmi ise ilk yıl 100K – 1M arasında sonraki yıllarda ise artarak gidebilecek boyutlarda. Yaptığınız işe göre sayı değişiklik gösterecektir.
Özetlemek gerekirse, ABD’de şirket kurmak Türkler için kolay gibi gözükse de ciddi miktarda maddi & teknik birikim, sabır ve sıkı çalışma gerektiren ancak neticesi verimli olan oldukça zorlu bir yolculuktur.
Umarım aktardığım tecrübeler gelecekte bizimle aynı yollardan geçmek isteyenlere yol gösterici olur.
NSA’in liselilere yönelik düzenlediği yaz kampından bir kare
Bir araştırmacı ve/veya editörün yaşayabileceği en büyük mesleki tatminlerden biri ortaya çıkardığı işin ses getirmesidir. Bir sanatçı için alkış ne demekse, okuyuculardan gelen aklı başında tepkiler de bir yazar ve haberci için aynı anlamı taşır.
İkinci yayın yılını bu ayın başında geride bırakan siberbulten.com‘da şimdiye kadar 800’ü aşkın içerik ürettik. Bu içeriklerin çok büyük bir kısmı başka Türkçe kaynaklarda bulunamayan stratejik siber güvenlik haberleri. Bunun yanı sıra liseli bir girişimci olan Berk Sürücü’den, PwC Bilgi ve Siber Güvenlik ekibinin başında bulunan Adil Burak Sadıç’a kadar geniş bir yelpazeden yazarın katkılarıyla tam 112 makale yayınlamışız (okuduğunuz 113. oluyor). Bu vesileyle yazarlarımıza ve yapıcı kritikleriyle bize yol gösteren okuyucularımıza teşekkürlerimi sunuyorum.
Kısa bir Z raporundan sonra, bunları neden anlattığımı sorabilirsiniz.
Birçok okurumuz, lise öğrencilerinin ilgisinin siber güvenliğe yönlendirilmesi hakkındaki haberin Türkiye ile ilgili olmadığı eleştirisini getirdi. Bu noktada, Siber Bülten’in misyonlarından biri dünyada yaşanan siber güvenlik politikalarını Türkiye okuyucusunun ilgisine sunmak olduğunu burada hatırlatmam gerekiyor. Yani diğer devletlerin bu konularda izlediği politikaları araştırıp, bulup yazıyoruz. Keşke Türkiye’de de bu tür politikalar oluşturulsa bize de onların haberlerini yazmak, üstüne düşünüp analizini çıkarmak düşseydi…
Bu konuda değinilmesi gereken bir başka nokta ise, Türkiye’de lisans seviyesinde siber güvenlik bölümünün bulunmaması. Yani lise öğrencilerinin ilgisini çekse dahi, siber güvenlik ancak yüksek lisans seviyesinde çalışılacak bir konu olarak ele alınıyor; şimdilik. Ders verme şansı yakaladığım Şehir ve Bahçeşehir Üniversiteleri, siber güvenlik yüksek lisansı bulunun üniversitelerden ikisi. ABD’de ise lisans seviyesinde siber güvenlik bölümleri bulunduğu için (özellikle Pace Üniversitesi uzun yıllardır bu konuda ciddi çalışmalar yapıyor) adamlar liselilerin ilgisini nasıl çekeriz diye kıvranıyorlar.
Türkiye’de siber güvenlik bir lisans bölümü olabilir mi? Olursa buradan yetişen insanlara nasıl istihdam sağlanır? Müfredat nasıl belirlenir? Hoca nasıl bulunur? gibi uzun sorular listesi ileride uzmanlarca tartışılacaktır. Fakat naçizane bir fikir olarak böyle bir bölümün mezunlarının istihdam alanı olarak tüm dünyayı hedeflemesi Türkiye’ye orta-uzun vadede stratejik manevra alanı kazandıracağını düşünüyorum.
Okurlarımızın ilgisini çekmeyi başaran bir diğer eğitim haberi İsrail’de siber güvenliğin lise müfredatına girmesi ile ilgili. Bu haberimize gelen birkaç tepkiye de burada yer vermek istiyorum.
Benzer tepkiler ve bana gelen e-postalardan anladığım kadarıyla okuyucularımızın büyük bir kısmı siber güvenliği bilişim ile ilgili meselelerde ileriki seviyelerde ele alınması gereken bir konu olarak görüyor.
Yani ‘önce kod yazmayı bilmeli, ondan sonra siber güvenliğe başlamalı’ veya ‘önce sistemler ve ağlar ile ilgili temel bilgiye sahip olmalı daha sonra siber güvenlik çalışmalı’ gibi öneriler geliyor. Ancak unutmamak gerek ki, lise seviyesinden bahsediyorsak herkesin sistem yöneticisi olmasına gerek yok. Lisede de birçok siber saldırıyı önleyebilecek temel bilinç öğrencilere kazandırılabilir. STK’ların, şirketlerin ve gönüllülerin bu konuda yapabileceği bir çok şey var.
Bu arada belirtmeden geçemeyeceğim, Türkiye’de 13 bin civarında bilişim öğretmeni bulunuyor. MEB ise 2768 bilişim öğretmeni açığı olduğunu geçen yıl eylül atamalarında açıkladı. Aradaki fark bu kadar açıkken bilişim öğretmelerine verilecek bir siber güvenlik formasyonu, Türkiye’de bu işin önünü açabilir( mi?).
Bu kısa nottan sonra hazır konu İsrail’de siber güvenlik eğitimine gelmişken, bu konuyla ilgili birkaç notu da paylaşmakta yarar görüyorum:
Siber güvenlik ile ilgili temel bir eğitim İsrail’deki tüm liselerde müfredata girmişken, bilgisayar bilimlerinde yetenekli 16-18 yaş arasındaki öğrencilerin katılabileceği özel bir program 2012’den bu yana uygulanıyor. Başarılı bulunan öğrenciler İsrail Ordusu’nun teknik liselerinde eğitimlerine devam ediyor. Amaç istisnai yetenekleri ordunun siber birimleri için yetiştirip işe almak.
Milyonlarca dolar yatırılarak dizayn edilen 5 yıllık başka bir programda İsrail Ordusu, öğrencilere kendi bilgisayar ve sistemlerini açarak açıklık bulmaları için eğitim veriyor. Bir yıl süren eğitimler ilk ‘siber müdafaa’ ekiplerini 2012 yılında mezun verdi. Dikkatli okuyucularımız hatırlayacaktır, Pentagon benzer bir yarışmayı ancak bu sene düzenledi.
İsrail ilkokullarında bilgisayar bilimi öğretmenlerinin sayısı 1000 (Economist dergisine göre İsrail bu rakamda dünya birincisi -2014-) ve hükümet liselerde verilen bilgisayar bilimi derslerine katılımı teşvik için yeni yollara başvuruyor.
Yazının başında özetlediğim Siber Bülten çalışmalarının ana motivasyonu yarınlara yönelik bir umut. Gelecekte Türkiye’nin siber dünyada geri kalmaması için çorbada bir iki kaşık tuz. Yani umutluyum, ama umudun bir kötü yanı var ki, bazen insanları realiteden uzaklaştırıyor.
Yarın çok geç olabilir.
Haftalık Siber Bülten raporuna abone olmak için formu doldurunuz
