Siber güvenlikte farkındalık artırılmalı
Kamu Siber Güvenlik Derneğinin TOBB Ekonomi ve Teknoloji Üniversitesi ile beraber düzenlediği 4. Siber Güvenlik Platformu, BTK Başkanı Dr. Ömer Fatih Sayan’ın da katılımıyla Ankara’da gerçekleştirildi. Tüm gün süren konferans çerçevesinde, TOBB Ekonomi ve Teknoloji Üniversitesi toplantı salonunda sunumlar, paneller, katılımcılara açık tartışmalar, açık oturumlar, bilgilendirme toplantıları gerçekleştirilirken, fuaye alanında ise etkinlik için sponsor olan firmaların sunumları ve canlı uygulamaları yer aldı. Kamu Siber Güvenlik Derneği, 2013 yılından bu yana faaliyet gösteren “Siber Güvenlikte Güç Birliği” sloganıyla hareket eden bir STK olarak, siber güvenlik alanında ülkemizdeki faaliyetlere katkıda bulunmak amacıyla çalışmalarını sürdürüyor. Kamu Siber Güvenlik Derneği İkinci Başkanı Nurullah Celal Uslu, kamudaki siber güvenlik yaklaşımları konusunda sorularımızı yanıtladı.
Siber saldırıların arttığı ve savunmanın önemli olduğu günümüzde Kamu Siber Güvenlik Derneği olayı nasıl değerlendiriyor ve neler yapmayı planlıyor?
Kamu Siber Güvenlik Derneği her yıl Ankara’da ve Ankara dışında olmak üzere iki ayrı etkinlik düzenlemekte. Bu etkinliklerde, güncel siber güvenlik konuları katılımcıların dikkatine sunulduğu gibi etkinlik sonuç raporları devletin ilgili kurumlarına iletiliyor. Bu bağlamda hem konunun uzmanları ile güncek siber güvenlik konuları tartışılarak geleceğe ışık tutulmuş, hem son kullanıcılar ve bu konuda çalışanlar bilinçlendirilmekte ve ayrıca sonuç raporları ile yetkililere mesajlar iletiliyor
Siber güvenlik alanında nitelikli insan kaynağı yeterli mi? Bu konuda ülkemizde neler yapılması gerekir?
Bilgi güvenliği konusunda sektörün önümüzdeki beş yıllık ihtiyacının dünyada 3 milyon, Türkiye’de 20 bin kişi olduğu tahmin ediliyor. Bu kadar BT güvenlik uzmanının yetişmesi nasıl gerçekleşecek bunun cevabının bulunması önemli. Hâlihazırda Türkiye’deki üniversitelerde sadece yüksek lisans ve doktora düzeyinde bu alanda programlar mevcut ve talebi karşılaması mümkün görülmüyor. Üniversitelerimizin lisans programlarının düzenlenmesiyle bilgisayar mühendisliği bölümlerinde veya ilave bölümlerde nitelikli siber güvenlik uzmanı yetiştirilmeli ve açık kaynak teknolojilerle yerli ürün geliştirmek amacıyla bu gençlerin bu alana yönelmesi teşvik edilmeli.
Siber güvenlikte Ar-Ge, ulusal ürün geliştirme ve kullanımı, korunma için ne kadar önemli? Bu konuda neler yapılmalı?
Bilindiği üzere siber güvenlik araçları bir çeşit karşı silah niteliği taşımakta. Bu ürünlerin geliştiricileri ürün üzerinden bilgi toplamaktalar. Bunu bazıları açık olarak çoğunluğu ise gizli olarak yapıyor. Doğal olarak ulusal menfaatler söz konusu olduğunda yurtdışından alınan donanım ve yazılım ürünlerinin karşı silaha dönüşme ihtimali olacak. Bu riske karşılık siber güvenlik konusunda Ar-Ge yapılması hayati bir konu olup, ulusal ürün geliştirilmesi/ kullanılması için teşviklerin genişletilmesi çok faydalı olacaktır.
Gelecekte hangi tür siber saldırıların artacağını ve korunma için son kullanıcılara önerileriniz neler?
Siber güvenlikte en zayıf halka olan bireylere saldırılar artıyor. Son kullanıcı konumundaki bireylerin siber saldırı teknikleri hakkında bilinçlendirilmesi çok önemli hale geldi. Toplumun her düzeyindeki fertlere siber güvenlik alanında topyekûn savunma kavramı ile farkındalık eğitim yapılmalı. Bu bağlamda STK’lara büyük görevler düşmekte olup, STK’ların faaliyetlerine destek verilmesi önemlidir. Aynı zamanda siber güvenlik konusunda hem en alt seviyede bilgi ve deneyim sahibi kişilere hem de daha üst seviyede bilgi ve deneyim sahibi kişilere hitap edecek şekilde platform programının çeşitlendirilmesi faydalı olacaktır. Sonuçta devletin ilgili kurumlarının etkinliklere katılım ve desteği beklenmektedir.
Günümüzün en çok konuşulan konuları arasında yer alan nesnelerin interneti konusundaki güvenliği nasıl değerlendiriyorsunuz?
Nesnelerin interneti örnekleri üzerinden gidecek olursak, bize fayda sağlaması amaçlanan IoOT'un birçok (şahsi ya da kurumsal) mahrem bilgimize dokunduğunu görüyoruz. En basit örneği ile biz hariç kimsenin evimizi dışarıdan gözetlemesini istemeyiz. Ya da kolumuzdaki saati kullanarak, telefon konuşmalarımızı dinlemesini ya da mesajlarımızı okumasını kabul edemeyiz.
Peki bu güvenliği sağlamak kolay olacak mı?
Bu soruyu cevaplamak aslında oldukça zor. Nedenine gelecek olursak, tam olarak riski ölçümleyebilmek çok zor. Çünkü birbirinden çok farklı platformlarda çalışan, birbirinden çok farklı teknolojik özelliklere sahip onlarca hatta yüzlerce cihaz, uygulama ve araçtan bahsediyoruz. Örneğin şuan e-ticaret ve internet bankacılığının risklerini minimize etmeye çalışırken, kendi kendine buzdolabınız eksik olan şeyleri alışveriş listenize ekleyen, internetten sipariş verebilen buzdolaplarını konuşuyoruz.
Her zaman olduğu gibi, güvenlik ve kullanım kolaylığı arasında bir ödünleşim vardır. Riskler çerçevesinde bazı kolaylıkları kabul edip, bazı kolaylıklardan vazgeçmek gerekiyor. Her kolaylığı doğrudan hayatımıza katmak gerçek anlamda çok güvenli olmayacaktır. Minimum risk düzeyindeki kolaylıkları tercih etmek en güvenlisi olacaktır. Henüz buzdolaplarına sipariş verebilmeleri için kredi kartı numaramızı yazmak için erken olduğunu düşünüyorum.
Peki, güvenli olarak nasıl ilerlenecek?
Güvenlik, her zaman söylediğimiz gibi bir olgunluk seviyesi. Bu olgunluk seviyesinin yükselmesi için, bahsi gecen platformlar için güvenlik testlerinin gerçekleştirilmesi ve uygun kontrollerin çıkartılması gerekiyor. Yani IoT'un getireceği risklerin tam olarak hesaplanıp, bu riskleri aşağıda tutacak uygun kontrollerin uygulanması ön şart. Benzer olgunlaşma süreci internet bankacılığında, e-ticarette ve mobil uygulamalarda yaşandı ve yaşanıyor. Benzer stratejide ilerlemek gerekiyor.
Sizce veri merkezi kurulumlarında güvenliğin önemi nedir?
Veri merkezlerini bankaya benzetmek doğru olacaktır. Bir bankanın güvenliği ne derece önemli ise bu veri merkezlerinin fiziksel ve mantıksal erişimleri oldukça önemlidir. Gelişim düşünüldüğü zaman, bu veri merkezleri birçok teknolojik firmaya, uygulamaya, teknolojiye ev sahipliği yapacaktır. Buralarda geliştirilecek ve tutulacak verilerin uygun güvenlik kontrolleri kapsamında koruma altına alınması hem fiziksel hem de mantıksal olarak uygun erişim kontrollerinin uygulanması gerekiyor.
Ülkemizde de bazı bankaları da etkileyen SWIFT (Yurtdışı Para Transfer Sistemleri) saldırılarının arkasında kim var? Eğer arkasında bir siber suç çetesi varsa, bu kadar profesyonel bir operasyonu nasıl gerçekleştirebiliyorlar?
Saldırıların arkasında çok güçlü ve organize bir siber suç çetesi olduğu düşünülüyor. Bu çete güvenlik şirketleri tarafından Carbanak olarak isimlendiriliyor. Bu grup sadece bizleri değil, bu yılın Nisan ayında Bangladeş Merkez Bankası, Aralık ayında Rusya Merkez Bankası gibi yurtdışında birçok bankayı da hedef almış durumda. Gerçek hayatta çeşitli güvenlik önlemlerine, güvenlik güçlerinin ve hatta gümrük kontrollerine rağmen nasıl büyük uluslararası uyuşturucu kaçakçılığı yapılabiliyorsa, siber dünyada da bu şekilde organize gruplar her türlü önlemi aşarak finansal operasyonlar gerçekleştirebiliyor. Siber dünyada gizlenmek ve bazı önlemleri aşmak, gerçek hayattaki önlemleri aşmaktan çok daha kolay olmaktadır.
Peki Amerika’da internet kesintisine sebep olan IoT tabanlı saldırının arka planında ne var? Türkiye'deki internete bağlı nesneler de bu saldırıda kullanılmış olabilir mi?
Amerika’daki DNS sunucularına hedef alan saldırının arkasında, Mirai olarak isimlendirilen Bot net ağı mevcut. Mirai zararlı yazılımı, internete açık zafiyetli IoT cihazları hedef alıyor ve bulaşıyor. Bulaşmak için, IoT cihazların varsayılan (default) parola bilgilerini ve bilinen zafiyetleri kullanıyor. Örneğin, evinizde kullandığınız ve varsayılan yönetici parolasını değiştirmediğiniz bir modem, Miraibotnet ağına dâhil olmuş olabilir.
