Sesli Makale

Peki biz yazılım güvenliği konusunda neredeyiz, önce bir röntgenimizi çekelim.

Son dönemde bakanlıkların, kurumların ciddi miktarda “Siber Güvenlik Uzmanı” aldığını görüyoruz. Yıllardır, siber farkındalık oluşturmaya çalışan bizler için bu adımlar gerçekten büyük adımlar. Fakat geçtiğimiz dönemde birçok konu amacına uygunluğun dışında kullanım yöntemleri olduğundan çok daha farklı boyutlara ulaştı. Siber güvenlik de bunlardan bir tanesi haline geldi. Bu konuda Bilgi Güvenliği Uzmanı İsmail,Refik ve Hakan kardeşlerimle konuşmaya başladık. Ben de hayallerin güzel, gerçeklerin ise acı olduğu tabloyu sizinle paylaşmak istedim.

Devlet olarak şu an ne durumdayız? Diğer ülkeler ne durumda? Kıyaslama yapmak mümkün mü?

Öncelikle, yıllar öncesinde “Siber” dediğimizde, bunun bir hiç olduğunu düşünenler, “bilgi güvenliği” dediğimizde bu olayı çok abartıyorsunuz diyen insanların platformlarda çıkıp bilgi güvenliğinin önemini anlatır hale gelmesi mutluluk verici bana göre. 3 adım attık, 3 adım sıfırdan büyük diye sevinecek miyiz? Tabiki hayır. Rakiplerimizin depar attığı, ciddi bütçelerin ayrıldığı ve projelerin geliştirildiği fakat bizim çok geriden başladığımız bir sektörden bahsediyoruz.

Dünya’daki 500 siber güvenlik ürünü sıralamasında, Türkiye’den kaç tane ürün var? Sıfır. İlk 500 tane firmadan bir tane firma dahi sıralamada yok. Neden? Anlatayım.

Dünya’da yeni eğilim bilgi güvenliği… Bizim bir ülke ile silahla savaşmamızdan çok daha önemli olan şey, o ülkenin planlarını, verilerini ele geçirebilmek. O ülkelerde kimin söz sahibi olduğu, kimlerin ne zafiyeti olduğu, kimlerin kimlerle suç ortaklığı içinde olduğu, kimlerin bilinmesi istenmeyen işler yaptığı gibi birçok bilgiden bahsediyorum. O ülkenin istihbarat faaliyet alanları, o ülkedeki insanların sağlık verileri, o ülkedeki insanların biyolojik verileri, o ülkedeki insanların banka verileri ve dahası. Hatta ve hatta ülkenin, enerji alt yapılarını yöneten SCADA sistemleri... Bu bilgileri elimizde aldığımızda, bir ülkeye yapılacak olan diplomatik ziyaret öncesinde, devlet büyüklerinin bu bilgilerle konuşuyor olması, ima ediyor dahi olması ülkeler arasında çok ciddi krizlere sebep olacak ve hatta savaşarak elde edilemeyecek kazanımlar elde etmemize sebep olacak durumları barındırıyor. “Bilgi Güvenliği” konusuna bakarken, göz ardı edilmemesi gereken konu, savunma değil saldırı ve veri havuzları olmalı. Bahsettiğimiz 500 siber güvenlik şirketinin de kurulmasında, büyümesinde, Dünya’da lider konuma gelmesinde ülkelerindeki bu algı, bu motivasyon ve ülkelerinin istihbarat örgütlerinin destekleri vardı. Bir ülkeye sızıp, o ülkeden veri çalmaktan daha kolayı, siber güvenlik ürünleri, sosyal medya platformları, (gereğinden fazla) akıllı cihazlar geliştirip, onları o insanların hayatlarının en içine sokmak değil mi? Twitter, Facebook, WhatsApp kullanmayan kaç kişi var? Eşinizle mahrem yazışmalarınızdan, ihale konularına her şey o platformlarda dönmüyor mu? Doktorların, Milletvekillerinin, Bakanlıkların kendi aralarında onlarca, yüzlerce, binlerce WhatsApp gruplarının olması hayatımızın en içine girdiklerini göstermiyor mu? Hepimizin cebinde akıllı telefonlar yok mu? Hatta artık akıllı saatler... Arkadaşlarınızla konuştuğunuz A konusu ile alakalı 1-2 saat sonra Facebook’ta A ürününde %20 kampanya var reklamlarının arkasında, sizi 7/24 dinleyen Siri gibi teknolojilerin varlığı yatıyor. Siri’yi kapattığınızı zannettiğiniz buton, yine Siri’nin yapımcısı firma tarafından tasarlanıyor. Peki, siber güvenlik ürünleri? Onlar da, bakanlıklarımızın, savunma sanayi firmalarımızın ve buna benzer yüzlerce şirketin/kurumun verilerini koruma(!) görevi üstlenmiyor mu?

Biz “Bilgi Güvenliği” öneminden bahsederken, ülkemizdeki bazı güzel kardeşlerimiz de bunu çok güzel bir sektör olarak gördü. Üniversitelerden akademisyenler, bürokratlarla birlikte şatafatlı “siber organizasyonlar” düzenleyerek, o ilk 500’deki çoğunun da yabancı istihbarat kaynaklarının yönettiği ürünleri 1 liraya alıp, “ülke güvenliği için” 3-5 liraya satmaya başladı. Türkiye’de siber güvenlik diye bir Pazar oluştu ama oluşan Pazar, ne ülke güvenliğini sağlamaya yaradı, ne insan yetiştirmeye ne de ürün geliştirmeye… Bu açık pazarda, tabiri caiz ise, birileri devlete/devleti satarak para kazanmaya başladı. Bunun daha hafif bir tabiri yok. Yukarıda bahsettiğimiz konular gündemdeyken, ülkesine getirip zoraki bu cihazları satmanın, ülkenin verilerini satmaktan başka bir işe yaramadığını gönül rahatlığıyla söyleyebiliyorum.

Asıl konumuza gelecek olursak, “Siber Güvenlik Uzmanı” olarak devlet kurumlarında iş başı yapan insanların, yabancı siber güvenlik ürünlerini konfigüre etmekten başka bir iş yapmadığını / yapamadığını üzülerek görüyoruz. İçlerinden yetenekli olup, devleti için çalışan kısmı tenzih ederek söylüyorum.

Benim hayalimdeki yapı, “Milli Siber Güvenlik Takımı” şeklinde aslında. Milli takımda olduğu gibi, farklı farklı yerlerden, farklı yeteneklerdeki insanların bir araya toplandığı, sadece “liyakat” hususunun ön planda tutulduğu, geniş bir yetkilendirme ağı bulunan bir ekip hayal ediyorum.

Türkiye Futbol Federasyonu TFF’nin, “Türkiye A Milli Takımı” için, kadrolu futbolcu ilanı açıp, KPSS ile milli takıma futbolcu seçmesi ve milli takımı da oradaki alımlardan oluşturduğu bir senaryo hayal edin? Kafanızda canlanan senaryo ile devletin siber güvenlik uzmanı alıyoruz dediğinde benim kafamda canlanan senaryo aynı. Maalesef, üzülerek söylüyorum bunu…

O zaman biraz hayal dünyasına dalalım, avantacıların olmadığı bir dünya sonuçta J

“Milli Siber Güvenlik Takımı” adı altında, takımlar düşünün. Türkiye’de siber güvenliği kontrol edecek bir takım. Kurumlara onay verebilecek gücü olan bir takım. BTK Bünyesinde yapılan işler bunun muadili değil. BTK şu an, Başkan Ömer Fatih Sayan ile devlet yapısına rağmen bir atılım süreci içerisinde, güzel işler yapılmaya çalışılıyor. Fakat bu hayal ettiğimiz yapı, devlet himayesinde olmasına rağmen, devlet/bürokrasi mağduru olmayan bir yapı olmalı.

Türkiye’de alınacak Siber Güvenlik Ürünleri, kullanılmadan önce bu kurumdan akredite olmalı. Bahsettiğim akreditasyon, “bizim şurada arkadaş var, bu ürünü geçirip Türkiye’de satarız” şeklinde değil de, sonuna kadar incelenerek kişisel çıkarlarla değil, sadece ülkenin milli çıkarları doğrultusunda onay alabiliyor olmalı.

Bu yapının asıl amacı, savunma değil saldırı olmalı. Savunma gücü, kendi başına kaliteyi tetikleyecek bir yapı değil maalesef. Bilinenlerin uygulanması, bilinenlerin git gide erimesi anlamına gelmekte. Siber Güvenlik sektörünün, her geçen gün daha da geliştiği aşikâr. O konuda, savunma alanında kalan kişi yenilikleri takip edememekte, bildikleri üzerinden bir şeyler ortaya koymak durumunda kalmaktadır. Saldırı öncelikli bir siber güvenlik uzmanı için, yeni çıkan her gelişme yeni bir saldırı silahı, yeni gelişen her konu onun bir adım daha ileri atması için bir zıplama tahtasıdır. Saldırmak, insanı her açıdan geliştirdiği gibi, saldırırken karşılaşılan zorlukları aşabilmek için, sürekli araştırma sürekli bilgiyi tazeleme, sürekli bir şeyler geliştirebilme durumunda kalınabilmesi gerekiyor. Bu da bilgi seviyesi olarak, sürekli olarak en üstte olmayı zorunlu hale getiriyor. Savunma alanında ise gerekli kontrolleri yapıp sistemi güvenli hale getirdikten sonra, gelişmelerden kopma ve yavaş yavaş bilgilerin hafızadan silinmesi durumları meydana geliyor. Maalesef, devlet kurumları tarafından alınan siber güvenlik uzmanları da, saldırı alanında kalamadıkları için, sürekli olarak gerileme dönemine geliyorlar. Bu biraz daha yarış atlarının durumuna benziyor. Yarış atımız var demek için yarış atı almak, o yarış atının istediğimiz zaman, istediğimiz performansı verebileceği anlamına gelmiyor. Yarışlara katılmayan, sürekli koşmayan, sürekli bir adım daha fazla atmayan bir yarış atı, belli bir zaman geçtikten sonra artık yürümeye bile imtina eder hale gelebilmektedir. Bu uzmanlar, saldırmaktan keyif alan, kendini sürekli olarak geliştiren ve mesai kavramına takılmayacak insanlardan oluşturulmalıdır.

Ülkemizde, devletin en büyük şirketlerinin ağlarından bile onlarca exploit tespit edildiği günleri yaşıyoruz. Şirketin faaliyet gösterdiği sektör ise, en kritik sektörlerden bir tanesi maalesef. Ülke olarak, öncelikle mevcut durumumuzun fotoğrafını çekerek, acı gerçekle zor da olsa karşılaşmamız gerekiyor. Bundan önce, kurumlardaki “şu sisteminizde açık gördük, düzeltir misiniz” dediğimizde tehdit mi ediyorsunuz cevabı almayacağımız, “ülkenin kurumuna yaptığın katkıdan dolayı teşekkür ederiz” diyebilecek olgunlukta insanların yönetici pozisyonuna gelmesi gerekiyor. Bu açıdan, BTK’nın son zamanlarda USOM üzerinden yaptığı hamleler, BTK’da Daire Başkanı olan Gökhan Evren’in kişisel gayretleri takdire şayan. Ya da Gazi’den Bünyamin Ciylan. Ya da Adnan Albay.. Bilerek isim veriyorum ki, ülke için gerçekten bir şeyler ortaya koymaya çalışan insanların da artık en az diğerleri kadar isimleri ön plana çıksın. Bu işlerin daha sistematik, daha hızlı ve daha verimli olabilmesi için, devlet kurumlarımıza en hırçın PKK’lı, en hain FETÖ’cü motivasyonu ile “saldırabilecek” personellere ihtiyacımız var. Savunma mantığı ile 10 açıktan bilinen 3 tanesi bile yakalanırsa, o bile kardır. Ama aynı motivasyonla, aynı bilgi ile sisteme saldırmak, göremediğimiz onlarca açığı da görebilmemizi sağlayacaktır.

Yerli ürünler konusuna tam da bu noktada değinmek istiyorum. Yerli ürün geliştirmek, aslında bir ihtiyaçtır. O ihtiyacı hissedebilmek için, o ihtiyacı oluşturacak zafiyeti görebiliyor olmamız gerekiyor. Türkiye olarak, bahsettiğimiz gibi bir yapıdan geçecek siber güvenlik ürünleri “RET” yediğinde, oturup o uygulamaların belki daha kötüsü bile olsa, alıp yeniden geliştirip kullanabiliyor olmamız gerekiyor. Bu yapıda, bu hassasiyetle, bu gayretle çalışmaya başladığımızda, yıllar sonra elimizde muhteşem bilgi havuzları ve uygulamalar istemeden dahi olsa oluşacak. Geriye onları alıp, ürünleştirip süsleyip satabilmek kalıyor…

Türkiye’deki avantacılar da gerçekten milli bir ruh ile hareket etmek istiyorlarsa, Türkiye’de geliştirilen siber güvenlik ürünlerini yurt dışına satarak işe başlayabilirler. 1 liralık ürünü ister 5 liraya, ister 10 liraya satsınlar. Ama bunu bizim ülkemize yapmasınlar.

Devletin tüm kurumlarını, hastanelerini, enerji altyapılarını, havacılık sektörü firmalarını %99,99 güvenliğe yaklaştırabilecek seviyede kritik seviyede hassasiyetle davranan yapı, inşallah bir gün hayalden öteye geçebilecektir.

Bu yapının, şeffaf olmaması da gerektiğini düşünüyorum. Benim ülkemin devlet başkanı, bir ülkeye karşı konuşma yapacağı zaman ya da o ülkeye ziyarette bulunacağı zaman, gideceği ülke ile alakalı her türlü kritik alt yapı raporları, siyasi durumlar, siyasilerin kendi içlerindeki o görüşmeye dair yazışmalar gibi birçok veriyi raporlayıp, eline tutuşturabiliyor olursak ve ülkemizdeki güvenliği de en üst seviyeye çıkartabiliyor olursak, işte o zaman ülke olarak siber güvenlikte de “Türkiye” olarak biz de varız diyebileceğiz.

Çok değil 100 yıl önce düşman askerlerinin çiğnemeye cüret ettikleri topraklarda yaşıyoruz. Sevr karanlığı yine afakımızı sarmış durumda sanki. Burnumuzun dibindeki Suriyeyi yerle yeksan eylediler, taş taş üstünde bırakmadılar ve bu şeytanlar hala oralarda. 15Temmuzda bu ateşi evimize salacaklardı ama Murad-ı İlahi müsaade etmedi, Rahman milletin kalbine sekineler yağdırdı ve millet gövdesini siper etti. Maşalarla yapamadıklarını bizzat yapmak için geldiler, çevremize yığınak yapıyorlar. Sadece Suriye değil, Polonya ve Bulgaristan'daki ABD üsleri savaş konumu olan DEFCON-3'e geçirildi ve yığınak aralıksız devam ediyor. Allah'ın elçisinin “Düşmanın silahıyla silahlanın” vasiyetine uymak artık bizim için ekmek su gibi elzem olmuştur. Bu silahları yapmak da yerli ve milli yazılımdan ve bilgi güvenliğinden geçmektedir. İhmalin ihanet olacağı bu hassas alanda çalışacak ekipler özenle seçilip, sevk ve idare edilmelidir.

Sefer bizden, Zafer Allah'tan!

Karamandan.com
2 Mart 2018