BİLGİ TEKNOLOJİLERİ POLİTİKALARIMIZA NASIL YAKLAŞILMALI?

“Bilgi Teknolojileri Politikalarımıza Yaklaşımlar” başlıklı geçen yazımda (http://bit.ly/178LsTs) ülkemizdeki durumun dağınıklığını, tutarsızlığını dolayısıyla politikaların pek de inanarak geliştirilmediğini birkaç örnekle göstermeye çalıştım. Bilgi çağında daha da geri kalmamak için yaklaşımlarda özellikle öne çıkan üç eksik giderilmelidir.
Birincisi, somut hedefler ve bunları izleme mekanizması yok. Buna tek istisna, 2006 yılında uygulanmaya başlayan ve 2010 yılı sonunda biten Bilgi Toplumu Stratejisi uygulamasıdır. Strateji ile belirtilen temel amaç ve hedefleri gerçekleştirmek için 4.5 yılda hayata geçirilmesi gereken 111 proje ve faaliyeti içeren bir Eylem Planı hazırlanmıştı. DPT Bilgi Toplumu Başkanlığı bu eylemlerdeki gelişmeleri izler ve her yıl durum hakkında bir rapor hazırlardı. Stratejinin süresi 2010 sonunda dolunca, 111 eylemin yaklaşık yüzde 50’si gerçekleştirilebilmişti. Stratejiyi beğenelim veya beğenmeyelim, bu doğru bir yaklaşımdı. Fakat, hükümet bu şekilde bir saydam yaklaşımdan, icraat performansını gösteren “karne”den ve hesap verebilirlikten hoşlanmamış olmalıdır ki, bu yaklaşım terk edildi. Yerini havada uçuşan ve medyada yer alması yeterli görülen parlak ve yuvarlak sözler aldı. Oysa, ciddi ve inanılır bir politika anlayışı olmuş olsaydı, 2010 sonunda derhal neden sadece eylemlerin yüzde 50’si gerçekleştirilebildi, analizi yapılır ve bu geri besleme ile hemen yeni bir strateji geliştirilirdi.
İkincisi, bilgi teknolojilerinin sadece kendileri için bir politika geliştirmenin yetersiz olduğu, bu teknolojilerin tüm diğer sektörlerin altyapısı ve kaldıracı olduğu lafı özellikle Ulaştırma, Denizcilik ve Haberleşme Bakanı Binali Yıldırım’ın konuşmalarında sürekli yer alsa da, ekonominin tüm aktörlerini içeren bütünleşik bir politika geliştirme yaklaşımı görmüyoruz. Bunun önemli bir nedeni, bilgi teknolojileri konusunda tek yetkili ve sorumlu olduğunu Binali Yıldırım vurgulasa da, bakanlıklar arası yatay etkileşim kolay değildir. Böyle bir etkileşim ve eşgüdüm, 11 yıllık tek parti hükümeti ve konuyu sahiplenen tek bakan döneminde bile gerçekleştirilemedi. BThaber’de çıkan bir yazıda da belirtildiği (http://bit.ly/1aEziiI) gibi, Türkiye’ye Neelie Kroes’in önerdiği gibi bir CDO (Chief Digital Officer) gerekli. Bu ancak başbakan yardımcısı konumunda bir bakan olabilir. Nitekim, ilk Bilgi Toplumu Stratejisi, zamanın Başbakan Yardımcısı Abdüllatif Şener sayesinde hızlı ve tutarlı bir şekilde geliştirilmiş ve uygulanmaya başlamıştır. Şimdi, yeni bir bilgi toplumu stratejisi hazırlamakta olan Kalkınma Bakanı Cevdet Yılmaz’ın tüm çabalarına ve olumlu yaklaşımına karşın anlamlı bir strateji geliştirmesi ve bunu uygulayabilmesi olası görünmüyor.
Üçüncüsü, hedefler genellikle kulağa hoş gelen, medyatik ve parlak “buradan şuraya geleceğiz” tür laflardan oluşuyor. Bir yerden daha iyi bir yere gelmemiz bir başarı değildir. Diğer ülkelere göreceli olarak nereden nereye geleceğimiz önemlidir. Dolayısıyla, bilgi teknolojilerine ilişkin hedeflerimiz, dünya sıralamalarına göre ortaya konmalıdır. Örneğin, Dünya Ekonomik Forumu’nun her yılın Eylül ayında açıkladığı “Küresel Rekabetçilik Endeksi” önemlidir. Bunun alt endekslerinden biri olan “Teknolojik Hazırlıklılık”da bu yıl 148 ülke içinde 58. sıradayız. Geçen yıl 53. sıradaydık. Neden 5 basamak düştük? Bu alt endekste 5 yılda nereye nasıl çıkabiliriz? Bu soruların yanıtı anlamlı, izlenebilir ve denetlenebilir bir politika üretir. Başka bir örnek de, Uluslararası Telekomünikasyon Birliği’nin (ITU) Ekim’de açıklanan “Bilgi Toplumunu Ölçmek” (Measuring the Information Society) raporundaki “Bilgi Teknolojileri Gelişmişlik Endeksi”dir. Bu yıl 157 ülke içinde 69. sıradayız. Geçen yıl 66. sıradaydık. Yukarıdaki soruları burada da sorabiliriz. İşte böyle bir yaklaşımla geliştirilecek politikalar her sene izlenebilir ve gerekli düzeltmeler ile şeffaf bir şekilde sürdürülebilir.
Medyada yer alacak parlak ve genel sözler yerine, böyle somut ve denetlenebilir bir yaklaşım hükümetlerin hoşuna gitmeyecektir. Fakat, sektörün STK’ları bunu zorlamalıdır ve kendileri de yapmalıdır. Örneğin, TÜBİSAD’ın çok kapsamlı ve sağlam bir araştırma sonucu, analitik bir yaklaşımla hazırladığı “Türkiye’de Atılım İçin Bilişim” raporunun içindeki önerilerin canlı tutulması ve her yıl bu öneriler doğrultusunda gelişmenin izlenmesi çok yararlı olur. Bunu yapabilmek için ise, önerilerin uluslararası endeksler ve alt endeksler ile ilişkilendirilmesi gerekir. Eğer bu yapılmazsa, korkarım bu değerli ve önemli rapor birkaç yıl içinde tozlu raflara atılır ve çok yazık olur.

NSA’NIN KÜRESEL GÖZETLEMELERİ SİBER GÜVENLİĞİMİZİ AZALTABİLİR

Devletler kutsal görünen bir amaç için (örneğin, terörü önlemek), şeytani işler yapar (örneğin, yaygın gözetleme). Amaçlar araçları meşru kılar mı? Dünya tarihi, etikle ilgili bu soruya genellikle “hayır” yanıtını verir. Haziran ayında Snowden’in sızdırdığı belgelerle ortaya çıkan NSA skandalının etik olarak yanlış olduğu hem ABD’de hem de (Türkiye hariç) müttefiği ülkelerde aylardır tartışılıyor. Geçtiğimiz ay, NSA gözetlemelerinin pek bir işe de yaramadığı hatta yaygın gözetleme amacıyla kullandıkları yöntem ve teknolojileriyle sadece Amerika’nın değil, müttefiklerinin de güvenliğini tehlike atmakta olduğu iddiaları da ortaya çıktı.
NSA skandalı ortaya çıkar çıkmaz, Haziran’da NSA kendini savunmak için “bu sayede 54 terörist eylemi önlenmiştir” diye bir açıklama yapmıştı. Bağımsız ABD medyası, STK’lar ve yasa yapıcılar konunun üstüne gitmeye aylarca devam ettikten sonra, Ekim başında NSA başkanı Keith Alexander yalan söylemiş olduklarını kabul etmek zorunda kaldı. ABD parlamentosundaki bir komite önünde, tüm bu yaygın gözetlemeler sonucu sadece 1 veya 2 kuşku verici komplonun tespit edilebildiğini açıkladı (http://bit.ly/19u2Gud).
İşe yaramamış olmasının ötesinde, tüm dünyadaki kullanıcılar için tehlike yaratmış olabileceği de ortaya çıktı. Gözetleme ve dinleme amacıyla bilgisayar ve yazılımlardaki açıkları bulan NSA, bu konuda toplumu uyarmak yerine, bu açıklardan istifade edebilen teknolojileri (exploits) geliştirmeyi veya gri pazardan satın almayı tercih etmiştir. Bu konuyu saygın Washington Post gazetesi, 4 Ekim’de ayrıntılı bir haber-analiz ile gündeme taşıdı (http://wapo.st/H1zBMT). NSA’nın bu yaklaşımındaki sakıncayı göstermek için Washington Post’un ele aldığı örneklerden birisi de Stuxnet solucanı.” İran’ın uranyum tesislerine saldıran, İsrail ve Amerika’nın ortak geliştirdiğine inanılan bu solucan, daha sonra dünyanın başka yerlerindeki tesislere de zarar vermiştir. Daha da kötüsü, The Economist dergisine göre (http://econ.st/1bVq6sL) Stuxnet solucanı içinde yer alan, bilgisayar ve yazılımlardaki açıklardan istifade edebilen yazılımların (exploits) bir kısmı piyasadan, gri pazardan satın alınmış. Daha sonra, ayni yazılımları suç örgütleri de elde edip kullanabilmiş.
Burada, birbiriyle ilgili iki çelişki derhal ortaya çıkıyor. Birincisi, suça karşı önlem iddiasıyla yapılan gözetlemelerde kullanılan teknolojileri, suç örgütleri de kolayca elde edip veya geliştirip kullanabilir. İkincisi, siber-saldırının amacı açıkları yakalayıp bunları istismar etmekken, siber-savunmanın amacı açıkları kapatmaktır.
Bu çelişkilerin çözümlenmesi kolay değil. Ülkemiz için tehlikeler ve alınacak dersler var. Birincisi, NSA’nın istifade ettiği açıklardan, Stuxnet örneğinde görüldüğü gibi, suç örgütleri de istifade edebilir. Dolayısıyla, bir “düşmanı” hedef alan siber-saldırı, hem kullanıcı bireyleri hem de işletmeleri de ciddi bir tehlike altına sokabilir. İkincisi, kendisi dinleme yapmasa da, BTK yaygın bir dinleme ve kayıt altyapısı kurma çabasında (bkz, http://bit.ly/1cddUI5 dipnot [4]’de aktarılan, 18 Temmuz tarihli BTK kararı). Bu hizmeti vereceği yasayla belirlenmiş kuruluşlar, NSA gibi terörist ve komplo peşinde koşarken, NSA’nın tüm dünyada yarattığı tehlikeleri yurttaşlarımız için yaratabilecektir. Üçüncüsü, siber-savunma amacıyla bazı yetkin hackerlardan bir ekip kurmakla övünen hükümetimiz, “el elden üstündür” sözünün hacker dünyasında da geçerli olduğunu bilmelidir.