Türkiye’de bilimsel gelişmenin istenen hızla ilerleyememesinin önemli sebeplerinden birinin ‘beyin göçü’ olduğu sıklıkla ifade edilir. Ülkemizde yetişen akademisyenlerin yurt dışında elde ettikleri başarılar ile bir yandan gurur duyarken, diğer yandan ‘keşke burada kalsaydı’ diye hayıflanırız. Fakat son zamanlarda az da olsa yurt dışından Türkiye’ye memlekete hizmet düşüncesiyle dönen akademisyenlere de şahit oluyoruz. Onlardan biri de Medipol Üniversitesi Mühendislik ve Doğa Bilimleri Fakültesi, Elektirk ve Elektronik Bölümü öğretim üyesi Yrd. Doç. Dr. Emin İslam Tatlı. Yüksek lisans ve doktora eğitimini Almanya’da tamamlayan Tatlı ile Türkiye’de siber güvenlik algısını, güvenlik çalışmalarında diğer ülkeler ile Türkiye arasındaki farkları kouştuk. Tatlı özel sektör üniversite işbirliğinden siber güvenlik uzmanı yetiştirmede etkili gördüğü noktalara kadar bir çok konuda fikirlerini paylaştı. Öğrencilere saldırgan bakış açısı kazandırmalıyız
Türkiye’de siber güvenlik sektörünün gelişimini siber güvenlik tehdit algısının ve siber saldırıların artışına paralel olarak görüyor musunuz?
Tehdit algısı ile birlikte insanların farkındalığının artması doğal bir reflekstir. Depremi yaşadıktan sonra insanların deprem sigortası konusunda farkındalığının artması gibi siber güvenlikte de insanlar kendi başlarına bir şey geldiğinde ya da bir başkasının başına gelen siber saldırılardan haberdar olduklarında farkındalık geliştiriyorlar ve çözüm arayışına giriyorlar. Bu çözüm arayışı siber güvenlik sektörünün gelişmesine vesile oluyor. Aslında bu sadece Türkiye’de değil dünyada da bu şekildedir. Stuxnet ortaya çıkana kadar küresel anlamda da endüstriyel sistemlerinin güvenliği pek sorgulanmıyordu. Ancak bazen bu geç oluşan farkındalığın telafisinin olmayacağı durumları unutmamak lazım. Örneğin müşterilerinize ait parolaları çaldırdığınızda parolaları yenilemek mümkündür ama T.C. kimlik numarası ya da genetik bilgiler gibi değiştirilmesi mümkün olmayan kişisel verileri çaldırdığınızda telafisi olmayan bir durumla karşı karşıya kalınabilir. Dolayısı ile farkındalığın daha saldırıya maruz kalmadan oluşması önemlidir.
Dünyadaki siber güvenlik gelişmeleri Türkiye’de yeterince yakından takip edilebiliyor mu? Sizce ilerlememiz için hangi adımların atılması gerekiyor?
Özel sektörün dünyadaki siber güvenlik gelişmelerini bilgi güvenliği hizmeti veren şirketlerin de desteği ile daha iyi takip edebildiklerini düşünüyorum. Özellikle güvenlik politikalarının uygulanması konusunda daha titiz davranan Türkiye’deki uluslararası özel şirketler daha iyi konumdalar. Ancak son yıllarda gelişmeler olmasına rağmen ulusal güvenlik ürünleri üretmekte çok yeterli bir konumda değiliz. Birçok güvenlik ürününü yurtdışından ithal edip kullanmak durumunda kalıyoruz. Bunun sonucunda hem maddi zarara uğruyoruz hem de daha önemlisi güvenlik açısından çok kritik olan ulusal ürünlerimizi geliştiremiyoruz, AR-GE kabiliyetimizi ilerletemiyoruz. Bu konuda daha fazla gelişim göstermemiz gerekiyor. Ülkemizde bu tür yerli ürün projelerine sağlanan fon destekleri yurtdışındaki desteklerden aşağı kalmamaktadır.
Ulaştırma Bakanlığı öncülüğünde yayınlanmış olan Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planımız hem kamu kurumlarının, hem özel sektörün hem de akademik camianın siber güvenlikte ilerleme sağlaması için iyi bir yol planı çizmektedir. Ancak aradan geçen süre göz önüne alındığında bu eylem planı tekrar revize edilmeli, neleri yapıp neleri yap(a)madığımız incelenmeli ve özellikle akademisyenlerin desteği ile daha kapsamlı hale getirilmelidir. Bu revize edilecek eylem planı tarafından belirlenen aktivitelerin gerçekleştirilmesi ve bunların ilgili sorumlu kuruluşlar tarafından gözlemlenmesi ve destek verilmesi ülkemizdeki siber güvenlik çalışmalarına büyük katkı sağlayacaktır.
Diğer önemli gördüğüm bir konuda şudur. Kurumlar siber güvenliği merkezi bir konu olarak algılamamalılar. Yani devlet siber güvenlikle ilgili önlem almalı ve benim bir şey yapmama gerek yok düşüncesi olmamalıdır. Her kurum siber güvenliği kendi görevi bilmeli, verilerini ve sistemleri saldırılara karşı korumak için bilgi güvenliği yönetim sistemi oluşturmalı ve politikalarını uygulamalı, geliştirdiği ve kullandığı yazılımları, sistemleri sızma testi gibi güvenlik testleri ile daha güvenli hale getirmeli ve bunun yanında da devletin kendisine sağladığı siber güvenlik desteklerinden de faydalanmalıdır.
SİBER BÜLTEN HAFTALIK HABER BÜLTENİNE ABONE OLMAK İÇİN LÜTFEN FORMU DOLDURUN
[wysija_form id=”2″]Ülkemizde akademik siber güvenlik çalışmalarını yurtdışındaki çalışmalarla kıyasladığınızda nasıl bir manzara karşınıza çıkıyor?
Üniversitelerimizde siber güvenlik üzerine hem eğitim hem de araştırma akademik çalışmalarında çok yeterli değiliz. Elektrik-Elektronik ve Bilgisayar Mühendisliği bölümleri mezunu birçok öğrenci bilgi güvenliği üzerine yeterli bilgiye sahip olmadan mezun oluyorlar. Bu mezunlarda haliyle güvenli tasarlama ve geliştirmenin prensipleri hakkında bir farkındalık olmuyor ve iş dünyasında geliştirdikleri sistemler ya da yazılımlar güvenlik zafiyetleri barındırıyorlar. Bilgi güvenliği lisans esnasında zorunlu bir ders olmalı ve öğrenciler bilişim teknolojilerine karşı ne tür saldırılar olduğu, saldırıların ne tür risklere sebep olduğu ve gerekli güvenlik kontrolleri üzerine bir farkındalık kazanmalıdırlar. Benzer şekilde araştırma projelerinin yeterli sayıda olmaması sebebiyle öğrenciler saldırı temellerini öğrenmeye yönelik pratik yapma fırsatını yeterince bulamamaktadırlar.
Bu eksikliğin bir nedeni de üniversitelerimizde bu alanlarda çalışan akademisyen sayısının az olmasıdır. Yurtdışındaki güvenlik araştırma grupları hem adet olarak çok fazla sayıdalar hem de her bir grup bünyesinde onlarca araştırmacı çalışmaktadır. Örneğin Almanya’daki üniversitelerde bilgi güvenliği ve siber güvenlik konularında çalışan 50’den fazla araştırma grubu bulunmaktadır. Her bir araştırma grubu kendi üniversitesinde CTF (capture the flag) ekipleri kurulmasına ve öğrencilerini uluslararası CTF yarışmalarına katılmaları için destek vermektedirler. Örneğin en son yapılan Hack.lu CTF yarışmasında bütün dünyadan yaklaşık 400 takım katılmıştır. Bizim de üniversitelerimizde siber güvenlik konularını çalışan akademisyen sayısını artırmamız gerekmektedir. Üniversitelerimizde öğrencilerden CTF ekipleri kurmamız ve bunları desteklememiz gerekmektedir. Üniversitelerimizde akademisyen sayısı arttıkça hem bu alanda verilen ders ve araştırma projeleri sayısı artacak hem de sanayi-üniversite işbirliği projelerinde de sayıca artış sağlanacaktır.
Üniversiteler ve özel sektör iş birliği siber güvenlikte nasıl sağlanabilir?
Siber saldırılar ve siber güvenlik çok dinamik ve sürekli gelişen alanlardır. Sürekli olarak var olan teknolojilerin gelişmesi, yeni teknolojilerin ortaya çıkması ve bu teknolojilerin hayatımızın her yerine girmesi bu dinamizmin ana etkenlerindendir. Siber güvenlik ve bilgi güvenliği alanındaki ticari ürünler bu dinamik yapıya ayak uydurabilmek için AR-GE yatırımları yapmak zorundadırlar. Zaten bu alandaki ticari büyük oyunculara bakacak olursak bunların geliştirmeden bağımsız üniversiteler ile iletişim halinde ayrı araştırma laboratuvarları olduğu görülmektedir. Hata yurtdışındaki şirketler kendi bünyelerindeki AR-GE birimlerinde üniversitelerle beraber çalışmak şartıyla doktora çalışması yürüten araştırmacıları istihdam edebilmektedirler.
Özel sektördeki şirketler üniversitelerdeki akademisyenler olmadan yenilikçi yönü güçlü ve dinamik piyasa ile rekabet edebilecek ürünler ortaya çıkaramazlar; benzer şekilde akademisyenler de son ürün ortaya çıkarmak için gerekli mühendislik işlerini üniversite bünyesinde yürütemezler. Dolayısı ile burada yapılacak ortak işbirliği iki taraf için de kaçınılmazdır. Ülkemizde özel sektör ve üniversitelerin beraber çalışmalarını sağlayacak TÜBİTAK TEYDEB, Avrupa Birliği Horizon2020 vb. birçok proje destek fonları bulunmaktadır. Bu destekler kapsamında akademisyenler ve güvenlik ürünü üreten şirketler bir araya gelmeli ve ortak projeler yapmalıdırlar. Bu işbirlikleri için dikkat edilmesi gereken bazı hususlar bulunmaktadır. Öncelikle proje başvurusu hazırlanırken ilgili akademisyenin ve ekibinin hangi konularda araştırma katkısı verecekleri çok iyi belirlenmelidir. Akademisyenden araştırma yönü olan ve elde ettiği sonuçları uluslararası dergilerde, konferanslarda yayınlanmasına olanak sağlayan konularda destek talep edilmelidir. Ayrıca ilgili akademisyenin danışmanlığının yanı sıra muhakkak yüksek lisans ya da doktora seviyesinde araştırmacılar projeye dahil edilmelidirler.
İstanbul Medipol Üniversitesinde siber güvenlik alanında nasıl çalışmalar yapılıyor? Gelecek planlarınız hangi yönde?
2014 yılının başında İstanbul Medipol Üniversitesi bünyesinde Siber Güvenlik ve Mahremiyet Araştırma Grubunu kurmak üzere Almanya’dan İstanbul’a geri döndüm. Araştırma Grubumuz başlıca eğitim, araştırma, sanayi işbirliği ve CTF yarışmaları alanlarında aktif faaliyetler yürütmektedir.
Eğitim alanında lisans, yüksek lisans ve doktora programlarında bilgi güvenliği ve siber güvenlik üzerine teori ve pratiği bir araya getirdiğimiz dersler vermekteyiz. Araştırma Grubu olarak saldırı temelli eğitimi prensip ediniyoruz ve derslerimizi öğrencilerimize saldırgan bakış açısı kazandırmaya yönelik laboratuvar çalışmaları ile destekliyoruz.
Araştırma alanında başlıca siber güvenlik, zararlı (mobil) yazılım analizi, Botnet analizleri, ağ ve mobil adli bilişim analizleri, ulusal siber güvenlik eylem planımızın geliştirilmesi, güvenli yazılım/sistem tasarımı ve kodlaması, bulut ve mobil sistemlerin güvenliği, sağlık cihazlarının ve uygulamalarının güvenliği, donanım güvenliği, bilgi güvenliği yönetimi sistemleri, risk yönetimi ve mahremiyeti destekleyici teknolojiler gibi güncel ve kritik konular üzerine araştırma faaliyetleri yürütüyoruz.
Şu anda yaklaşık on kişilik doktora araştırmacısı ekibimizle bu alanlarda araştırmalar yapıyoruz. Özellikle Almanya’daki bazı üniversiteler ve akademisyenler ile işbirliği kurma çalışmalarımız var. Araştırmalarımızın detaylarına http://cybersec.medipol.edu.tr/research linkinden erişilebilir. Çalıştığımız alanlara ilgi duyan yeni yüksek lisans ya da doktora araştırmacıları ile ekibimizi büyütmeyi planlıyoruz.
Sanayi işbirliğine de çok önem veriyoruz. Şirketlerle birlikte ürün geliştirme projelerinde aktif rol alıyoruz. Özellikle güvenlik test ürünleri geliştiren şirketlerle ortak proje çalışmaları yürütüyoruz. Bunun yanında proje destek fonlarına farklı şirketler tarafından verilen proje tekliflerinde Hakem olarak görev alıyor ve burada sunulan projelerin uluslararası pazarda rekabet edebilmesi adına vizyonumuzu paylaşıyoruz.
CTF diğer tabirle “Bayrak Kapmaca” yarışmaları da Araştırma Grubumuzun çok önem verdiği konulardan birisidir. Güvenliği öğrenmenin en önemli yolu nasıl saldıracağını iyi bilmek ve saldırgan gözüyle bir sistemi inceleyebilmektir. Şu anda doktora öğrencilerimizden oluşturduğumuz bir CTF ekibimiz var ve bu ekiple üniversitelere yönelik düzenlenen uluslararası CTF yarışmalarına katılmak üzere çalışmalara başladık.