Ulusal ve sürdürülebilir siber güvenlik kalkanına doğru…
Uluslararası Siber Kalkan Tatbikatı 2014’te çıkan sonuca göre, akıllı ve özgün siber güvenlik teknolojileri milli olarak geliştirilmeli, siber güvenlik farkındalığı oluşturulmalı.
BTK, ITU ve ITU-IMPACT işbirliğiyle düzenlenen ‘Uluslararası Siber Kalkan Tatbikatı 2014’ Mayıs ayında İstanbul’da yapıldı. Aselsan Kripto ve Bilgi Güvenliği Müdürü, Bilgi Güvenliği Derneği (BGD) Yönetim Kurulu Üyesi, Siber Güvenlik İnisiyatifi – Teknik Araştırmalar ve Standartlar Çalışma Grubu Moderatörü Ali Yazıcı, siber güvenlikte standartların önemine dikkat çekerek uluslararası standartlara uyumun önemi ve küresel bir tehdit oluşturan siber saldırılarla uluslararası işbirliği kurulmadan etkin mücadele yapılmasının mümkün olamayacağını vurguladı. ‘Uluslararası Siber Kalkan Tatbikatı 2014’ ile ilgili olarak siber güvenlik farkındalığının yaratılmasına yönelik panel ve çalıştaylar gerçekleştirildiğini de söyleyen Yazıcı şunları ifade etti:
“Uluslararası siber olaylara müdahale ekiplerinin (CERT) katıldığı bir tatbikat gerçekleştirildi. Tatbikat, yetkisiz erişim sonucunda sistemin değiştirilmesi ve mobil cihazda ‘Android’ sisteminin incelenmesi konulu iki senaryo için hazırlanan yazılı mesajların siber olaylara müdahale ekiplerine iletilmesi ve bu ekipler tarafından gerekli cevapların belirlenen sürelerde verilmesi olarak icra edildi. Söz konusu tatbikatın, Türkiye’de siber güvenlik alanında farkındalık yaratma ve paydaşlar arasında bilgi paylaşımının sağlanmasına büyük katkılar sağladığını düşünüyorum. Uluslararası boyutuyla da çok hızlı değişen ve çeşitlenen siber olaylarla başa çıkmak için bölgesel ve uluslararası işbirliğinin tesis edilmesine olumlu etki sağladığına ve mevcut ulusal siber güvenlik yeteneklerimizi uluslararası boyutta test edebilme ve iyileştirmeye açık yönlerimizi belirleyebilme şansı yarattığı kanısındayım.”
Sektöre özel senaryolar gerekli
Ali Yazıcı, siber güvenlik alanında farkındalık yaratma, paydaşlar arasında genel bilgi paylaşımı ve uluslararası işbirliğinin tesis edilmesi anlamında gerçekleştirilen ‘Siber Kalkan Tatbikatı’ kapsamının yeterli olduğunu ancak bu noktada tüm sektörlere hitap eden bir bilgi paylaşımının sağlanmasının gerekliliğini işaret etti ve “Sektörel bazda ihtiyaç duyulan yeteneklerin kazanılması ve olgunluk seviyesine ulaşım amacıyla söz konusu tatbikatların sektörel odaklı yani finans, enerji, haberleşme, ulaşım gibi her bir sektör için ayrı ayrı ve sektöre özel senaryolar kapsamında uygulamalı olarak yapılmasının çok faydalı olacağını ve katma değeri yüksek geri dönüşler sağlayacağını düşünüyorum” dedi.
Yazıcı, siber tehditler konusunda da şu açıklamaları yaptı:
“Son yıllarda mobil cihaz ve mobil internet kullanımı giderek artıyor. Mobil cihaz deyince ilk akla gelen hiç şüphesiz ki akıllı telefon ve tabletler. Akıllı telefonlar esasen mobil işletim sistemine sahip küçük boyutlu bir tablet bilgisayar. Dolayısıyla işletim sistemlerine yönelik olası tüm siber tehditlerin akıllı telefonlar için de geçerli olduğunu söyleyebiliriz. Dönemsel olarak yayınlanan tehdit değerlendirme raporlarında belirtildiği üzere; son yıllarda mobil işletim sistemlerine yönelik siber saldırılarda çok büyük artışlar görülüyor. Son kullanıcılar açısından bakarsak genel olarak kişisel verilerin ele geçirilmesi, dolandırıcılık ve bilişim suçlarına ortak olma risklerinden bahsedebiliriz. Kurumsal açıdan ise bunlara ek olarak; ‘Kendi Cihazını Getir’ (Bring Your Own Device-BYOD) mantığıyla akıllı telefonlar BT altyapılarında yaygın olarak kullanılmaya başlandı. Hassas veri, kiritik altyapı verisiyle gizlilik dereceli bilgilerin ifşa edilmesi ve sunulan elektronik hizmetlerin engellenmesine yönelik tehditler büyük risk oluşturuyor.”
Daha yolun başındayız
Bu risklerin asgari seviyede tutulabilmesi ve yok edilebilmesi amacıyla yapılması gerekenleri Yazıcı şu şekilde sıraladı:
• Siber güvenlik farkındalığı yaratılmasına yönelik olarak son kullanıcı eğitimlerinin planlanması ve verilmesi,
• Mobil cihaz yönetimi desteğine sahip yeni nesil güvenlik duvarlarının kurumsal ağlarda kullanılması,
• Kurumsal ağın dış ağa SAHAB ile ayrıştırılması,
• Gizlilik dereceli verilerin çevrimdışı olarak şifrelenmesi.
Yazıcı, Türkiye’de siber güvenlikle ilgili yapılan mevzuat çalışmaları hakkındaki görüş ve değerlendirmelerini de şöyle paylaştı:
“Gelişmiş ülkelerin tamamında yasal düzenlemeler, organizasyon yapıları, kapasite planlama ve yetenek kazanımı başta olmak üzere siber güvenlik ile ilgili süreçlerin tamamlandığını ve olgunluk seviyesine ulaştıklarını görüyoruz. Ülkemizde ise daha yolun başındayız. Farkındalık yaratma aşamasıyla ilk yeteneklerin kazanılması aşamaları arasında olduğumuzu düşünüyorum. Tabii ki bizi umutlandıran ve çok hızlı ilerleyen olumlu gelişmeler oldu. Kamu kurumlarıyla kritik altyapı sektörlerinde oluşturulacak olan kurumsal SOME’ler siber saldırıları bertaraf etmede, oluşması muhtemel zararları önleme veya etkisini azaltmada önemli katkılar sağlayacak. Bu amaçla kurumsal SOME’lerin USOM ile koordinasyonu ve eşgüdümü çok önemli.”
Siber Güvenlik İnisiyatifi tüm paydaşları buluşturuyor
Siber Güvenlik Kurulu’nun aldığı karar gereği tüm paydaşlar; kamu kurum ve kuruluşları, sektör, üniversite ve STK’lar arasında ortak akıl oluşturulması amacıyla İnternet Geliştirme Kurulu’nun çatısı altında siber güvenlik alanında çalışmalar yapan özel sektör şirketleri, sivil toplum kuruluşları, medya temsilcileri ve akademisyenlerden kurulu Siber Güvenlik İnisiyatifi oluşturulduğuna dikkat çeken Ali Yazıcı, siber güvenliğin tek başına devletin başa çıkabileceği bir konu olmadığını söyleyerek “Gelişmiş ülkelerde devlet, özel sektör ve üniversitelerin fikirlerine önem vermiş, onları da karar mekanizmalarını etkileyecek konuma getirmiştir. Bu sebeple birçok ülkede benzer yapılar kurulmuştur. Ülkemizde de devlet odaklı kurulan Siber Güvenlik Kurulu yapılanmasının özel sektör anlamında desteklenebilmesi amacıyla Siber Güvenlik İnisiyatifi oluşturuldu” dedi. Ulusal siber güvenlikte bir sonraki adımın; akıllı ve özgün siber güvenlik teknolojilerin milli olarak geliştirilmesi ve yaygın olarak kullanılması olarak dile getiren Yazıcı, sürdürülebilir bir siber güvenlik kalkanını ulusal seviyede oluşturabilmenin önemine dikkat çekti.
