Siber güvenliğin devamlılığı için nitelikli ve yetişmiş insan gücü çok önemli
Bilgi Güvenliği Derneği Yönetim Kurulu Başkanı Taha Yücel, küresel bazda en hızlı büyüyen siber suç türünün fidye yazılımı saldırıları olduğu ve bu saldırıların 2016’da her 40 saniyede bir iken, 2021’de her 11 saniyede bir kez gerçekleşeceği ve fidye yazılımı hasar maliyetlerinin de, 2021 yılının sonuna kadar 20 milyar USD olacağı tahmin edilmekte. Bu oran 2015’tekinden 57 kat daha fazla” açıklamasını yaptı.
Tarım toplumundan sanayi toplumuna ve oradan da bilgi toplumuna doğru devam eden dönüşüm süreci insanoğlunun hayatını da kolaylaştırıyor. Önceleri insanlar elle çalışırken makineler ortaya çıktı; insanların yaptığı işleri yapageldi. Sonrasında üretim yapan sistemlerde insanlar yerine bilgisayarların yönettiği makineler baskın hale geldi. Taha Yücel, konuşmasına başlarken “Bilgisayarlar üzerinde büyük miktarlarda veri saklanabilmesi ve bu verilerin işlenebilmesi, üretilen ürünlerin ve hizmetlerin akıllı olması yani yeteneklerinin artmasına yol açtı” ifadesini kullandı ve şunları kaydetti: “İnsanoğlunun bilgi otoyolunda bir sonraki durağı ise sanayileşme hareketinin 4. aşaması; Endüstri 4.0 oldu. Bu dönüşüm sürecinde Almanya, ABD, Japonya ve Çin gibi gelişmiş ülkeler, Endüstri 4.0 ve dijital otonom sistemlerini, ülkelerinin gündeminde sürekli tutup yurttaşlarına önemini kavratmak için uğraş vermeye durmaksızın devam ettiler çünkü Endüstri 4.0 sadece bir endüstrileşme değil, ülkeler için yeni dünyada var olabilme mücadelesi haline geldi. Endüstri 4.0 ile birlikte gelecekte insanlığı; akıllı şehirler, akıllı fabrikalar, giyilebilir internet teknolojileri, üç boyutlu yazıcılar ile yapay organlar gibi daha sayamadığımız pek çok teknolojik yenilik beklemekte.” Tüm bu yeniliklerin enerjisinin bilgi yani veri olduğunu vurgulayan Yücel, “Endüstri 4.0 demek dijital ve otonom sistemler demektir. Dijital ve otonom sistemler demek yapay zekâ demektir. Yapay zekâ destekli insansız hava araçları ve robotik sistemler başta olmak üzere, her türlü teknolojik ürünün hayatımızda giderek daha çok yer edineceği aşikâr” dedi.
Saldırıları püskürtmenin yolu; daha akıllı sistemler geliştirmektir
Yücel, dijital teknolojilerin hızla geliştiği bu dönemde; dönüşümün güvenlik boyutunun en az ülkelerin fiziki savunması kadar önemli hale geldiğinin altını çizerek “Sınırlarımızın güvenliği ne kadar önemliyse, elektronik sistemlerimizin ve buralarda saklanan verilerin güvenliği de o derece önemlidir. Günümüzde veri en az petrol kadar önemli hale geldi. Veri güvenliğini yabancı çözümlerle sağlamaya çalışmak, sınır güvenliğini yabancı askerlere emanet etmekle eşdeğer. Akıllı sistemlerle kullanılan saldırıları püskürtmenin yolu; daha akıllı sistemler geliştirmektir” açıklamasını yaptı. “Dijital dünyada, dijital egemenliğimizi koruyabilmek için siber güvenliğe gereken önemi vermemiz; kullanılan ürünün milli olması, kritik altyapılarımızın ve verilerimizin güvenliği için şart ancak tek başına yeterli değil” değerlendirmesinde bulunan Yücel, şu detayları aktardı: “Bu nedenle, bu ürünlerin kullanıldığı sistemlerde siber güvenliğin devamlılığını sağlayacak nitelikli ve yetişmiş insan gücü de çok önemli. İnsan gücünün yetiştirilmesinde, STK’lara önemli görevler düşmekte. İşte bu amaçla, Türkiye’de bilişim güvenliği üzerine ilk sivil toplum kuruluşu olan Bilgi Güvenliği Derneği (BGD) 22.07.2007 tarihinde kuruldu.”
Her yıl ISCTURKEY bildiriler kitabı yayımlıyoruz
Bilgi Güvenliği Derneği’nin yeni başkanı olarak dernek çalışmalarını değerlendiren Taha Yücel, şunları kaydetti: “Türkiye’de, siber güvenlik riskleri konusunda; toplumun genelinde farkındalık oluşturmak, bilgi ve bilinç düzeyini yükseltmek, teknolojik gelişmeleri izlemek, milli teknolojilerin geliştirilmesine katkı sağlamak, konunun uzmanlarını bir araya getiren bir platform olmak hedeflerimiz arasında. Bilgi güvenliği konusunda; ülkemizde insan kaynağı ve yeteneklerinin artırılmasını teminen; kurs, seminer, panel gibi eğitim faaliyetleri düzenliyor, inceleme ve araştırma yapıyor, uluslararası faaliyetlerde bulunuyoruz. Kamu kurum ve kuruluşlarıyla görev alanlarına giren konularda ortak projeler yürütürken toplumda farkındalık ve nitelikli iş gücü oluşturmak amacıyla eğitim ve sertifika programları da düzenliyoruz. Konferans, panel, çalıştay, sempozyum gibi etkinlikler gerçekleştirip ilgili başka etkinliklere katılıyoruz. Düzenlediğimiz etkinlikler sonrası rapor ve bildiri yayımlamaya büyük özen gösteriyoruz.” Yücel, “Siber güvenlik tehditlerinin büyük bir kısmının insan zafiyetinden kaynaklandığı değerlendirildiğinden, bu konuda BGD’nin yaptığı çalışmalarla ülkemiz insan kaynağının eğitilmesi, bilgi düzeyinin yükseltilmesi ve tehditlere karşı farkındalığın artırılması hedefleniyor” şeklinde konuştu ve alanında tek olan ‘ISC Turkey Uluslararası Konferansı’nın 13 yıldır yapıldığının ve ISC Turkey kapsamında, çok sayıda ilgiliye ve öğrenciye, bilgi güvenliği ve siber güvenlik ile ilgili çeşitli konularda eğitimlerin verildiğinin altını çizdi. Bilişim hukuku, güvenlik standartları, IPv6, e-İmza gibi gündeme ve telekomünikasyon, finans, enerji, noterlik, hukuk gibi sektöre ilişkin çalıştaylar düzenlediklerini vurgulayan Yücel, “Binlerce katılımcıya bilgilendirme yapıyoruz. Siber Güvenlik Yaz Kampları, uzmanlar için Bayrağı Yakala yarışmaları düzenliyoruz. Diğer yandan K12 seviyesinde okullara farkındalık sağlamak için ve engellilere yönelik eğitimler veriyoruz. Siber güvenlik ve savunma alanında kitaplarla her yıl ISCTURKEY bildiriler kitabı yayımlıyoruz. Türkiye’de ilk basılı siber güvenlik dergisi olan CyberMag’in aylık olarak çıkarılmasını destekliyoruz” dedi.
Dijitale kayan dünya ile dijital ortamdaki tehditlerin boyutu ve sayısı arttı
Bilişim dünyasında internetin gelişiminin insanlığa birçok kolaylık sağladığına dikkat çeken Yücel, “İnsanlar birçok hizmete, o hizmetin üretildiği ya da sunulduğu yere gitmeden bilgisayar ya da mobil cihazlarıyla ulaşabilmekte. Alışveriş merkezine gitmeden internetten alışveriş, fatura ödeyebilme, banka işlemleri gibi pek çok hizmet internet üzerinden gerçekleştirilebiliyor. Enerji dağıtım ve banka altyapıları, telefon hatları, hastane sistemleri, trafik lambaları gibi hizmetlerin neredeyse tümü internet altyapısını kullanıyor. Bu da doğal olarak siber saldırıların gün geçtikçe artmasına neden olmakta. Koronavirüs salgını sebebiyle günlük hayatımızın çevrim içi dünyaya taşındığı 2020 yılı; siber saldırılar açısından da oldukça aktif bir yıl oldu ve dijitale kayan dünya ile dijital ortamdaki tehditlerin boyutu ve sayısı arttı. Siber uzmanlar tarafından, 2020 yılında siyah şapkalı ‘hacker’ların verdiği küresel zararın 6 Trilyon USD, siber güvenlik pazarının ise; 184 milyar USD olacağı, 2025 yılında ise verilecek küresel zararın 10,5 Trilyon USD ve siber güvenlik pazarının da 290 milyar USD olması öngörülmekte” açıklamasını yaptı. Yücel, Türkiye siber güvenlik pazarını da değerlendirerek “Ülkemizde 2019 yılında, Türkiye siber güvenlik pazarının 120 milyon USD olduğu ve 2025’de ise 260 milyon USD olacağı öngörülmekte. Ancak Türkiye’yi dünya ekonomisinin yüzde 1’i gibi düşündüğümüzde, siber güvenlik sektöründe dünyaya kıyasla çok daha az pay aldığımız (bu oran % 0.1 gibi) görülüyor. Küresel bazda en hızlı büyüyen siber suç türünün fidye yazılımı saldırıları olduğu ve bu saldırıların 2016’da her 40 saniyede bir iken, 2021’de her 11 saniyede bir kez gerçekleşeceği ve fidye yazılımı hasar maliyetlerinin de, 2021 yılının sonuna kadar 20 milyar USD olacağı tahmin edilmekte. Bu oran 2015’tekinden 57 kat daha fazla” dedi.
Bugün hedef başkası iken yarın hedef tahtasında bizler de olabiliriz
Taha Yücel, “Siber saldırılar günümüzde daha kompleks, profesyonel kişi ve kurumlarca, yapay zekâ algoritmaları ve teknolojileriyle gerçekleştirilmekte” ifadesini kullanarak konuşmasını şöyle sürdürdü: “Dolayısıyla bu saldırılar, başarıya ulaştıklarında çok önemli yıkıcı sonuçlara yol açabilmekte. Bu nedenle ülkelerin tıpkı kendi sınır güvenliklerini koruma önlemleri gibi kritik hizmet ve altyapılarıyla onlara ait verileri koruma zorunlulukları bulunmakta. Özellikle haberleşme sistem ve altyapıları, su, elektrik, doğal gaz, akıllı şebekeler, ulaşım sistemleri, barajlar, e-Posta, e-Ticaret, e-Devlet, bankacılık hizmetleri, her zaman için potansiyel saldırı hedefleridir. Bunların kısmen veya tamamen devre dışı kalması demek, o ülkenin bir nevi felç edilmesi anlamına gelir. Bu nedenledir ki siber güvenlik; kara, deniz, hava ve uzaydan sonra beşinci harekât alanı olarak ülkeler için ulusal güvenliğin ayrılmaz ve en önemli bileşeni olmuştur. Dünyada her gün veri ihlalleriyle, ele geçirilmiş sistemlerle ve siber olaylarla ilgili birçok haber duyuyoruz. Bugün hedef başkası iken yarın hedef tahtasında bizler de olabiliriz. Teknolojinin getirmiş olduğu yararların yanında zararlarını da bilerek ona göre tedbir almalıyız. Bu sebeple siber farkındalık kazandırmak için zararlı yazılımların türlerini de bilmemiz gerekir.” Yücel, başlıca siber güvenlik tehdit türlerini şöyle sıraladı: Aldatma (IP spoofing), Araya Girme Saldırıları (Man-in-the-middle attack), Casus Yazılımlar (Spyware), Çekirdek Seviyesindeki Sömürüler (Meltdown-Spectre), Dağıtık Servis Dışı Bırakma Saldırıları (DDoS), Fidye Yazılımlar (Ransomware), Gelişmiş Siber Tehditler (APT), Gizlilik ihlali (Sniffers), Harmanlanmış Tehditler, İstenmeyen e-Postalar (Spam), Kimlik Avı ve Hedef Odaklı Yemleme (Phishing), Zararlı Mobil Yazılımlar, Polimorfik (çok biçimlilik gösteren) Virüsler, Rootkitler, Solucanlar (worm), SQL Enjeksiyonu, XSS ve diğer Web Uygulama Saldırıları , Truva Atları (Trojan), Tuş Kaydediciler (keylogger, screenlogger)
Bilgi ve İletişim Güvenliği Rehberi; siber saldırılara karşı ulusal gücümüzün artırılmasını hedefliyor
“Kritik sistemlerimizi tehdit eden her türlü siber saldırıyı, ulusal güvenliğimizi tehdit olarak görmek gerekir. Sayısı ve niteliği hızla artan siber tehditlerle mücadele kapsamında ulusal seviyede gerekli önlemlerin alınabilmesi için, strateji ve eylem planlarının geliştirilerek uygulanması büyük önem arz ediyor” şeklinde konuşan Yücel, “Bilindiği üzere, ülkemizdeki siber güvenlik çalışmalarının ivme kazanmasındaki en önemli olay Bakanlar Kurulu’nun 2012 yılında aldığı ‘Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna ilişkin Kararı’ ile oldu. Bu karar ile Siber Güvenlik Kurulu oluşturuldu, kurulun ve o zamanki ismiyle Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nın (UDHB) yetki ve sorumluluk alanları belirlendi. Yeni hükümet sistemine geçildikten sonra da, 10.07.2018 tarihli RG’de yayımlanan 2018/1 Sayılı CB Kararnamesi ile farklı kurumlar altında ayrı ayrı sürdürülen dijital dönüşüm (e-Devlet), siber güvenlik, milli teknolojiler, büyük veri ve yapay zekâ ile ilgili çalışmaların tek çatı altında toplanması amacıyla, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi kuruldu. 06.07.2019 tarihli RG’de 2019/12 sayılı Cumhurbaşkanlığı Genelgesi kapsamında, Bilgi ve İletişim Güvenliği Rehberi 10.07.2020 tarihinde yayımlandı” dedi. Yücel, şu detayları paylaştı: “Rehberde; kamu kurumlarının ve kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında alınması gereken tedbirler ana hatlarıyla açıklanmakta. Rehberin ana hedefi; siber saldırılara karşı ulusal gücümüzün artırılması ve kritik türdeki verilerin güvenliğinin sağlanması. 29.12.2020 tarihli RG’de 2020/15 sayılı Cumhurbaşkanlığı Genelgesi ile; 5809 sayılı Elektronik Haberleşme Kanunu uyarınca verilen görevler kapsamında UAB tarafından kamu, özel sektör, sivil toplum kuruluşları ve üniversitelerle iş birliği içinde hazırlanan ‘Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023)’ kabul edildi ve ilgili tüm kurum ve kuruluşlar buradaki eylemlerin yerine getirilmesinden sorumlu kılındı.” “Sonuçta mutlak güvenlik diye bir şey yoktur ve bir sistem, ne kadar iyi tasarlanmış olursa olsun, her zaman risk vardır” ifadesini kullanan Taha Yücel, “Dijital dünyada, dijital egemenliğimizi koruyabilmek için siber güvenliğe gereken önemi vermemiz, kullanılan ürünün milli olması, kritik altyapılarımızın ve verilerimizin güvenliği için şart ancak tek başına yeterli değil” değerlendirmesini yaptı. Yücel, “Siber güvenlik zincirinde en zayıf halkanın insan olduğunu düşündüğümüzde, toplumumuzda herkesin bilinçlendirilmesi ve siber hijyen kurallarının alışkanlık haline getirilmesi gerekmekte. Bu açıdan, insan gücümüzü yetiştirmede ve toplumu bilinçlendirmede başta Üniversitelerimiz olmak üzere, kamu kurumları, özel sektör kuruluşları ve bir Sivil Toplum Kuruluşu olarak Bilgi Güvenliği Derneğimize büyük görev düşmekte” açıklamasında bulundu.
