Untitled - Medya Pusula

1
Teşekkürler!
Yaşamımın her anında maddi, manevi desteği ile sürekli yanımda olan ve
bugünlere gelmemde büyük katkısı bulunan Babama, çok sevdiğim tüm bu süreç
içerisinde bana daima anlayış gösteren, desteklerini esirgemeyen ve hep teşvik
ederek yanımda duran Canım Çocuklarıma, özellikle de Eşime çok özel bir teşekkür
borçluyum.
Bu kitabın, ülkemiz ve milletimiz için hayırlarla birlikte nice güzel
çalışmalara vesile olmasını diliyorum.
3
“Sahada kazandık ama masada kaybettik.” sözü aziz milletimiz için çok
bilindik bir sözdür. Özellikle Osmanlı’nın duraklama döneminden bugüne kadar
Türkiye birçok konuda gerek lobi eksikliği, gerekse mazisi zaferlerle dolu
tarihimizde ve özellikle istiklal savaşımızda dünyaya örnek olan ordu-millet
birlikteliğinin zayıflatılması ve ayrıştırılmasıyla, demokratik dilin etkin kullanımının
eksikliği nedeniyle büyük kayıplarla ayrılmıştır.
Ülkemizin dünyanın en büyük ekonomik güçlerinden biri olması davasında
kararlı bir yolda ilerlediği bu günlerde vatan sevgisi, devlet terbiyesi “Büyük
Türkiye İdeali”ne olan inancı ve bu uğurda gece gündüz yaptığı çalışmalarla çok
önemli hizmetlere imza atan ülkemizin isimsiz kahramanlarından emektar kardeşim
Ayçin KARAHAN’a bu fedakar çalışmaları ve titiz araştırmaları için ülkem ve
milletim adına çok özel teşekkürü de bir borç biliyorum.
Ve inanıyorum ki bu kıymetli çalışmalar değerli vatan evlatlarının
yetişmesine ve çok önemli hizmetler yapmasına çok önemli katkılar sağlayacaktır.
5
Adem ONAR Kimdir?
KİŞİSEL BİLGİLER
Adı Soyadı
Adem ONAR
Doğum
Yeri/Yılı
Bayburt/1968
Medeni
Durumu
Evli, 3 Çocuk Babası
E-posta
[email protected]
Twitter
@adem_onar
Youtube
http://www.youtube.com/ademonar
ÖĞRENİM DURUMU
Lisans
O.D.T.Ü. Elektrik-Elektronik Mühendisliği
Yüksek
Lisans
Gazi Üniversitesi Bilgisayar Eğitimi (Tez Aşaması)
Yabancı Dil İngilizce (Çok İyi), Almanca (Alman Kültür 8. Kur)
BULUNDUĞU GÖREVLER

Bil-Tab Bilgisayar Danışmanlık Hizmetleri Ltd. Şti. Genel Müdürü (1989)

Ankara Büyükşehir Belediyesi Bilgi İşlem Müdür Yardımcısı (1992)

Başbakanlık Devlet Personel Başkanlığı Bilgi İşlem Müdürü (1997)

Sosyal Güvenlik Kurumu Donanım Ve Altyapı Hizmetleri Daire Başkanı (2008)

Sosyal Güvenlik Kurumu Kurum Başkanlık Müşaviri (2010)

Sosyal Güvenlik Kurumu Bilgi Sistemleri Ve Güvenliği Daire Başkanı (2011)

Sosyal Güvenlik Kurumu Hizmet Sunumu Genel Müdürü (2011-2014)

Çalışma Ve Sosyal Güvenlik Bakanlığı Bakanlık Bilişim Koordinatörü (2012-2014)

Emek İnşaat Ve İşletme A.Ş Denetim Kurulu Üyesi (2012 )

Emek İnşaat Ve İşletme A.Ş Yönetim Kurulu Üyesi (2012-2013)
PROJE VE ÇALIŞMALAR
ÇALIŞMAVE SOSYAL GÜVENLİK BAKANLIĞI BİTİRDİĞİ PROJELER

E-Dönüşüm Türkiye Projesi Kapsamında E-Çalışma Projesi
7

Çalışma Bakanlığı Merkez Ve Taşra Teşkilatı İle Bakanlığın Bağlı Ve İlgili Kuruluşlarının
E-Dönüşüm Türkiye Projesi Kapsamında Yer Alan Her Türlü Bilgi Ve İletişim
Teknolojileri Projeleri

Çalışma Bakanlığı Merkez Ve Taşra Teşkilatı İle Bakanlığın Bağlı Ve İlgili Kuruluşlarının
Yazılım Ve Donanım Altyapı Projelerinin İhtiyaçlarının Belirlenmesi, Analiz Ve Etütlerinin
Yapılması, İhtiyaç Ve Gereksinim Raporlarının Hazırlanması Çalışmaları

Çalışma Bakanlığı Merkez Ve Taşra Teşkilatı İle Bakanlığın Bağlı Ve İlgili Kuruluşlarının
Türksat A.Ş. İle Yürüttüğü Projelerin Koordinasyonu

Çalışma Ve Sosyal Güvenlik İletişim Merkezi Alo170

Kayıtdışı İstihdamla Mücadele Bilgi Sistemi (KADİMBİS)

Çalışma İstatistik Bilgi Sistemi (ÇİBS)
SOSYAL GÜVENLİK KURUMUNDA BİTİRDİĞİ PROJELER

Sağlık Provizyon Aktivasyon Sistemi (SPAS)

E-Ödenek Uygulaması

Hizmet Takip Projesi (Hitap)

Yurtdışı Hesaplaşma Projesi

Genel Sağlık Sigortası İşlemleri Projesi (Yeşilkart Uygulaması)

Yurtdışı Ödeme İşlemleri

Güvence Projesi

E-Bildirge Uygulaması

E-Borcu Yoktur Uygulaması

Kayıtdışı İstihdamla Mücadele Bilgi Sistemi (KADİMBİS)

SGK E-Devlet Uygulamaları

Elektronik Belge Yönetim Sistemi

Elektronik Arşiv Yönetim Sistemi

Doküman Yönetim Sistemi

Sosyal Güvenlik Entegrasyon Projesi

Veri Ambarı Ve Veri Madenciliği Projesi

Büyük Veri Projesi

Medula Uygulamaları Biyometrik Kimlik Doğrulama, E-İmza Ve SMS Entegrasyonu

Özel Sağlık Hizmet Sunucuları Web Ve Mobil Uygulaması

E-Reçete Uygulaması
8

E-Sevk Uygulaması

E-Fatura Uygulaması

Ismarlama Ortez-Protez Uygulaması

Yurtdışı Tedavi Giderleri Projesi

E-Maluliyet Uygulaması

BT-MR Görüntüleme Uygulaması

Risk Odaklı Denetim Uygulaması

Coğrafi Bilgi Sistemleri Uygulaması

Mobil Sağlık Uygulaması

SGK Veri Merkezi Projesi

SGK İletişim Hizmeti Projesi (MPLS)

SGK Güvenlik Altyapısının Güncelleştirilmesi Projesi

Merkez Ve Taşra Teşkilatları Donanım, Ağ Ve İletişim Altyapısının Modernize Edilmesi

Aktif Network Cihazlarının İyileştirilmesi Projesi

Yedekleme Projesi

81 İl Video Konferans Altyapısı

Bulut Bilişim Sanallaştırma Projesi

Bulut Bilişim Uygulamaları (400’ün Üzerinde)

SGK Akademi (E-Öğrenme Portalı)

SGK Çocuk (www.sgkcocuk.gov.tr)

SGK Sosyal Medya Uygulamaları

SGK Dijital Medya Arşivi

SGK Kurumsal TV

SGK Web TV

SGK Mobil Kitaplık

SGK Mobil Haber

SGK Portal

SMS Bilgilendirme Sistemi

İnteraktif SMS Uygulaması (5502 Anlık Sorgulama)

Çalışma Ve Sosyal Güvenlik İletişim Merkezi Alo170

81 İlde Sosyal Güvenlik Merkezlerinin Kurulması

En Yakın SGK (www.harita.sgk.gov.tr)
9

İnsansız Hizmet Noktası Projesi

Mobil Sosyal Güvenlik Merkezi Projesi
BAŞBAKANLIK DEVLET PERSONEL BAŞKANLIĞINDA BİTİRDİĞİ PROJELER

Devlet Memur Sınavı Otomasyonu Altyapısı (DMS)

Devlet Personel Başkanlığı İnternet Altyapısının Kurulması

190 Sayılı Kurumlar Dolu Ve Boş Kadrolarının Takibi Otomasyonu

Mahalli İdarelerin Kadro Ve Atamaları Otomasyonu Altyapısı

KİT’ler Ve Özelleştirme İdaresine Bağlı Kuruluşların Kadro Ve Atamaları Otomasyonu

Terörle Mücadele Kanunu Çerçevesinde Atanacak Kadrolara Ait Atamalara Yönelik
Otomasyon

Disiplin Cezası Alan Veya Devlet Memurluğu Sona Eren Memurlara Yönelik Otomasyon
Altyapısı

Kamu Kurum Ve Kuruluşlarında Çalışan Özürlü Personele Yönelik Otomasyon Altyapısı

Hukuk, Kadro Ve Eğitim Daire Başkanlıkları Elektronik Belge İşleme Ve Arşivleme
Otomasyonu

Tüm Kamu Kurum Ve Kuruluşları Personelinin Maaş Bütçe Yükünün Hesabının
Yapılmasına Yönelik Otomasyon

E-Dönüşüm Türkiye Projesi Kapsamında Kamu Personeli Kayıt Sisteminin Merkezi Olarak
Tutulması Ve Kamu Çalışanlarına Ait Bilgilerin On-Line E-Devlet Ortamında Sunulması
Projesi (Per_Net – Kamu Personeli Bilgi Sistemi)
ANKARA BÜYÜKŞEHİR BELEDİYESİ’NDE BİTİRDİĞİ PROJELER

Elektronik Bilgisayarlı Kantar Tartım Ve Takip Bilgisayar Otomasyon Sistemi

Elektronik Yükleme Bilgisayar Otomasyon Sistemi

Belko Kömür Satış Ve Banka İzleme Bilgisayar Otomasyon Sistemi

Taksitli Satışlar İzleme Bilgisayar Otomasyon Sistemi

Perakende Satış Depoları Günlük Satış Ve Stok İzleme Bilgisayar Otomasyon Sistemi
ÖZEL SEKTÖR’DE BİTİRDİĞİ PROJELER

İlk-San Genel Müdürlüğü Öğretmen Kredi Takip Bilgisayar Otomasyon Sistemi

Makine Mühendisleri Odaları Bilgisayar Otomasyon Sistemleri

MEB Okul Ünite Dergileri Dağıtım Ve Satış İzleme Sistemleri
10
YAYIMLANMIŞ KİTAPLARI, ESERLERİ, KÖŞE YAZILARI,
MAKALE
ÇALIŞMALARI, RÖPORTAJ, SEMİNER, BİLİŞİM ZİRVELERİ KONUŞMA VE TV
PROGRAMLARI

Başbakanlık E-Dönüşüm Türkiye Projesi Kapsamında Çok Sayıda Makale

Telekom Dünyası Dergisinde Bilgi Ve İletişim Teknolojileri Konusunda Çok Sayıda
Makale Ve Köşe Yazısı (İşim Bilişim, Bilişim İşim Köşesi)

Medya Pusula’da (Genç Bürokrat Dergisi) Bilgi Ve İletişim Teknolojileri Konusunda Çok
Sayıda Makale ve Köşe Yazısı

Uluslararası Ve Ulusal Düzeyde Bilgi Ve İletişim Teknolojileri Ve E-Devlet Altyapıları
Konusunda Çok Sayıda Makale, Söyleşi Ve Başarı Öyküsü

Makaleler “Bilişim Sektörüne Ve Bilişimle Kalkınmaya Bakış” (Kitap)

Güçlü Ve Dünya’da Söz Sahibi Büyük Türkiye Ekonomisi İçin E-Devlet Ajansı
Kurulmalıdır… (Kitap)

Bilgi Ekonomisiyle Güçlendirilmiş Türkiye Ekonomisi Dünyanın İlk Beş Büyük
Ekonomisine Girecektir (Kitap)

Fatih Projesi; Milli Kalkınmanın En Güçlü Şekilde Olması Ve Bilgi Ekonomisinde Dünya
İle Rekabetçi Bir Ekonomi İçin En Değerli Fırsattır (Kitap)

Büyük Türkiye Ekonomisi’nde Bilişim ve Bilgi Ekonomisi Temelli Yeni Enerji Stratejimiz
(Kitap)

Ulusal Güvenlik Ve Savunma Sanayii’nde Yerli Yazılım, Donanım Ve Teçhizatın Önemi –
Sınır Güvenlik, Siber Güvenlik, Stratejik ve Operasyonel İstihbarat (Kitap)

Twitter (@Adem_Onar) ve Youtube (Http://www.Youtube.Com/Ademonar) Adreslerinde
Katıldığı Çok Sayıda TV Programı, Röportaj, Seminer, Bilişim Zirvesi Ve Resmi
Açılışlarda Yapmış Olduğu Konuşmaların Videoları Yer Almaktadır.
ALDIĞI ÖDÜLLER

Devlet Memuru Sınavı (DMS-KPSS) Bilişim Altyapısının Kurumsal İmkanlarla İhalesiz
Olarak Herhangi Bir Harcama Yapılmadan Kurulması Ve Devlet Memuru Atamalarının Bu
Altyapıyla İnternet Tabanlı Olarak Hatasız Olarak Gerçekleştirilmesi İle Yayımlanmasına
Yönelik Başbakanlık Üstün Başarı Ve Takdirname Belgesi

En İyi Kurumsal E-Devlet Portalı Ve E-Devlet Yazılım Uygulamaları Yarışmalarında
Türkiye Birincilik Ödülleri

Bilgi Sistemleri Modernizasyonu, A-Sınıfı Bilişim Ve Sanallaştırma Altyapısı Konusunda,
Türkiye Ve Avrupa Birincilikleri Ödülleri

Bilgi Sistemleri Modernizasyonu, A-Sınıfı Bilişim Ve Sanallaştırma Altyapısı Konusunda,
ISSA (Uluslararası Sosyal Güvenlik Kurumları Ajansı) Tarafından Verilen Dünyanın En İyi
Bilişim Altyapısı Uygulaması, Takdirname Ve Mansiyon Ödülleri
11

Yaklaşık 300 E-Devlet Uygulamasının Entegre Olarak Çalıştığı 76 Milyon Vatandaşımızın
7/24 Hizmetinde Olan ÇSGB Bakanlık İletişim Merkezi Alo 170 Projesi İle Avrupa Ve
Dünya Birincilikleri Ödülleri (Dünya Çağrı Merkezleri Yarışmaları – İngiltere Ve ABD)

E-Reçete, Biyometrik Kimlik Uygulama Sistemi, Optikte Karekod Uygulaması Projeleriyle
Issa Ödülleri (Uluslararası Sosyal Güvenlik Kurumları Ajansı- Avrupa’nın En İyi
Uygulamaları, Mansiyon Ve Liyakat Ödülleri)

CIO 2013 Ödülü - Yılın En Başarılı Bilişim Projeleri Yöneticisi CIO 2013 Onur Ödülü

E-Tr 2013 Türkiye Birinciliği Ödülü – İnternet Üzerinden Görüntü (BT–MR) Paylaşımı
Projesiyle E-Tr 2013 Türkiye Birinciliği Ödülü

Birlik Vakfı ve Genç Bürokrat Dergisi 2014 Yılın Bürokratı Ödülü
12
İÇİNDEKİLER TABLOSU
GİRİŞ ................................................................................................................................................ 17
Ulusal Güvenlik Ve Siber Güvenlikte Milli Yazılım Ve Donanım Altyapısının Önemi
BÖLÜM-1
Olmazsa Olmaz Siber Güvenlik: Koruyamadığınız Bilgi, Yönetemediğiniz Ekonomi Size Ait
Değildir .............................................................................................................................................. 25
Siber Alan
Siber Terörizm
Klasik Terör-Siber Terör Farkları
Siber Savaş
Dünya'daki Siber Ordular
Ülkelerin Siber Güvenlik Kapasiteleri
Siber Silahlar
Dünyada Ses Getiren Önemli Zararlı Yazılımlar
Hizmet Aksatma (DoS) ve Dağınık Hizmet Aksatma (DDoS) Saldırıları
DDOS Saldırılar Nasıl Oluşturuluyor ?
Kötü Amaçlı Yazılımlar
DDos Saldırılarına Karşı Yapılması Gerekenler
Bugünün Tehdidi Yarının Kabusu: Siber Saldırılar
Siber Güvenlik Kritik Altyapı Tesisleri İçin Ne Kadar Büyük Bir Risk Oluşturuyor?
Siber Savaş Mücadelesi
Siber Savaşçılar Saldırdığı Zaman
Savaş Alanı
Siber Uzay
Siber Uzayı Oluşturan Katmanlar
Siber Güvenliğin Ciddi Bir Sorun Olduğunun Kanıtı: Altı Siber Sorun
Gündemdeki Siber Saldırılar
Siber Savaş Açığı
Siber Savunma Stratejisi Üzerine
13
Siber Savaş Stratejisinde Savunmanın Rolü
Siber Barış
Siber Uzayda Denetçiler
Zararlar, Saldırganların Hayal Gücüyle Sınırlı
Siber İstihbarat
Gündem
Siber Evrende Güvenlik
NATO’nun Siber Güvenlik Politikası: Tarihsel Süreç ve Kırılma Noktaları
Türkiye’de Müşterek Siber Savunma Mükemmeliyet Merkezi (CCDCOE) Çalışmaları
Siber Güvenliğinin Yasalar İle Düzenlenmesi
Türkiye’de Siber Güvenlik ‘Kritik Altyapı Güvenliğinin’ Önüne Geçecek
Siber Güvenlik Stratejilerinden Bazı Örnekler
Siber Stratejide Hindistan’ın Türkiye’den Farkı
Uluslararası Siber İttifaklar İçin Bir Başlangıç Noktası: Ulusal Siber Olgunluk
Bilgi Güvenliği Ve Siber Güvenlik: İki Düşman Kardeş Mi?
İnsan Olduğu Sürece Güvenlik Zaafiyeti Vardır
Siber Dünyanın En İddialı 10 Start-Up’ı
Kritik Altyapılar ve Kritik Bilgi Altyapıları
Ülkemizde Atılması Gereken Kritik Adımlar
Kritik Altyapıların Siber Güvenliğinde 7 Farklı Yaklaşım
Operasyonel Teknolojilerin (OT) Güvenliği
Hedef, Milli Yazılım ve Donanım
“Bilgi” En Büyük “Güç” Haline Geldi
Ülke Markası” İnşasında Kamu Diplomasisinin Stratejik Rolü
Kamu Diplomasisi ve “Ülke Markası” İnşası
Iscturkey 2015 Konferansı Sonuç Bildirgesi
Türkiye’de Siber Güvenlik Çalışmaları
Siber Devlet Mevzuatı
Siber Güvenlik Kurulu
Siber Güvenlik Eylem Planları
Ulusal Siber Güvenlik Sektörü
Siber Güvenlik Farkındalığı Yaratma
14
Yerli Ve Sertifikalı Siber Güvenlik Ürünü Kullanılması
Siber Güvenlik Ekosisteminin Kurulması
Siber Güvenlik Eğitimleri Ve Uzmanlar
Ekosistemde Sektörün Beklentileri Ve Uluslar Arası İşbirliği
Milli Ürünlerin Teşvik Edilmesi
Kritik Altyapı Güvenliği
Siber Güvenlik Hukukuna Hakim Personel Yetiştirilmesi
Bilgi Güvenliği Araştırmalarını Destekleme
Ulusal Bilgisayar Olaylarına Müdahale Organizasyonu
Bilgi Güvenliği Eğitimleri ve Bilinçlendirme Çalışmaları
Kamu Kurumları Bilgi Güvenliği Programı
Siber Ordu
Siber Güvenlik Tatbikat Senaryoları Güncel Olmalı
SONUÇ ve ÖNERİLER ................................................................................................................ 137
KAYNAKÇA .................................................................................................................................. 149
15
GİRİŞ
Ulusal Güvenlik Ve Siber Güvenlikte
Milli Yazılım Ve Donanım Altyapısının Önemi
Günümüzde bilgisayarların yaygınlaşması ve bilişim (bilgi-iletişim) teknolojilerinin
gelişmesi insanları birçok bakımdan bu teknolojiye bağımlı hale getirmiştir. Bilgisayar, internet, cep
telefonu, uydu gibi bilişim ürünleri günlük hayatın vazgeçilmezleri arasındadır. İnternetin özellikle
her kendini yenilediği noktada faydalarının yanında risklerinin de ortaya çıktığı görülmektedir.
Bilişim teknolojisi ürünlerine olan talebin ve internet kullanımının hızla artmasıyla birlikte;
teknolojinin önemli faydalarıyla beraber çok önemli zararları da toplumsal yaşamı ve uluslararası
ilişkileri etkilemektedir. Gerçek dünyanın varlığına ek olarak yaygın elektronik alt yapı
kullanımıyla meydan gelen siber dünya; hem fiziki dünyada olan somut olaylardan etkilenmekte
hem de siber alanda düzenlenen saldırılar yüzünden gerçek dünyayı etkilemektedir.
Siber alanın doğuşu hem kullanıcılar hem de ulus devletlerin güvenlik kurumları için pek
çok güvenlik riskini beraberinde getirmiştir. Siber alanı kullanarak saldırı düzenleyen kişiler veya
ülkeler, zarar görmesi veya yok olması toplumsal düzenin ve kamu hizmetlerinin devamlılığının
sağlanmasında güçlük yaratacak bilişim, enerji, mali işler, sağlık, gıda, su, ulaşım, savunma, kamu
güvenliği ve nükleer, biyolojik, kimyasal tesisler vb kritik altyapıları hedef alarak, ulusal sırlara
erişip işlevlerini kısmen veya tamamen yerine getiremediğinde vatandaşların sağlığına, emniyetine,
güvenliğine ve ekonomik faaliyetler veya hükümetin etkin ve verimli işleyişine olumsuz etki
etmekte, ciddi boyutta zarara yol açabilmektedirler.
Siber saldırıları kimin yaptığını belirlemek oldukça zordur, çünkü saldırganlar nadiren
arkalarında iz bırakırlar ve hatta kendi konumlarını gizlemek için çabalarlar. Çoğu durumda siber
saldırganların pahalı ya da nadir bulunan araçlara ihtiyacı olmaz. Hatta kamunun bilişim
teknolojilerine erişiminin kolaylaşması ve bilişim teknolojilerinin hem kamu kurumlarının hem de
özel kuruluşların işletilmesindeki rolünün git gide artması güvenlik zaaflarını daha da
arttırmaktadır. Dağınık servis dışı bırakma (DDoS) saldırıları gibi birkaç istisna dışında, siber
saldırılar, hedef sistemde ve siber güvenlik önlemlerinde var olan açıklardan yararlanarak yapılır;
müdafaa eden taraf bu açıkların ve dolayısıyla saldırının nereden gelebileceğinin farkında
olmadığından siber saldırılara karşı savunma oldukça zordur. Ayrıca siber saldırganları öngörmek,
silahsızlandırmak ve caydırmak daha zordur, bu da siber alanda taarruzun müdafaaya nazaran daha
fazla avantajı olmasını sağlamaktadır.
Bu sıkıntılara rağmen, ulus devletler siber tehditlerle kendi kaynaklarıyla başa çıkmaya
mecburdurlar. Dolayısıyla ulusların siber tehditlere ne kadar açık olduğunun ilk belirteci, ülkenin
kendi kabiliyetleri ve siber güvenlik algısıdır.
Yirminci yüzyıl ve öncesinin güvenlik algılaması ülke sınırlarının güvenliği düşüncesinden
öteye gidemezken, günümüzde güvenlik çok boyutlu bir kavram olarak ele alınmaktadır. Gelişen
teknoloji ve bakış açıları nedeniyle risk ve tehditlerin de nitelikleri değişmiştir. Bu farklılaşma, risk
yönetimini ve tehditlerin ortadan kaldırılmasına yönelik çalışmaları etkilemiştir. Birçok devletin
17
güvenlik konsepti “savunmayı öngören tehditlere dayalı” stratejik düşünceden, “güvenliğe ve
risklere dayalı” stratejik düşünceye dönüşmüştür.
Yeni güvenlik anlayışı çerçevesinde güvenliğin boyutlarını meydana getiren askeri,
ekonomik, siyasal ve çevresel meseleler bir bütün içerisinde analiz edilmelidir. Askeri güvenlik;
devletin taarruz gücü, savunma kabiliyetleri ve diğer devletleri bu çerçevede algılayışı ile, siyasi
güvenlik; devletlerin örgütsel istikrarı, hükümet sistemleri ve bunlara meşruiyet kazandıran fikir
altyapısının güvenliği ile, ekonomik güvenlik; devletin gücü ve refah seviyesinin kabul edilebilir
seviyeye ulaşmasını sağlayan kaynaklar, finans ve pazarlara ulaşımı ile, sosyal güvenlik; dil, kültür,
dini ve ulusal kimlik ve geleneklerin kabul edilebilir koşullar altında sürdürülebilirliği ile, çevresel
güvenlik ise; yerel ve küresel biyosferin korunması ile ilgilidir. Ulusal güvenlik kısaca; bir devletin
ulusal çıkarlarının iç ve dış tehditlere karşı korunup kollanmasıdır. Günümüz güvenlik ortamı,
teknoloji ve iletişim ağının ulaştığı boyutlar, uluslararası ortamın ve ilişkilerin küreselleşme olgusu
altında giderek içi içe geçmesi devletlerin birbirlerine bakış açılarını etkilemiştir.
Siber Savaş, bir ülkenin başka bir ülkenin bilişim ve iletişim sistemlerine zarar vermek veya
onları kullanım dışı bırakmak amacıyla internet veya iletişim ağları ve bilgisayarları kullanarak
müdahale etmesi olarak tanımlanmaktadır. Geleneksel kara, deniz, hava savaşlarında olduğu gibi
siber savaşta da uygun yetkinlik ve techizata sahip ordular kullanılmaktadır. Siber Ordu, ülkeyi ya
da kurumu siber dünyadan gelebilecek tehdit ve saldırılara karşı koruyacak ve gerektiğinde karşı
siber saldırılar gerçekleştirebilecek yetenekteki bilgi güvenliği uzmanlarından oluşturulmaktadır.
Siber dünya insana müthiş faydalarıyla birlikte bir o kadarda düşmanıyla varolan bir dünya.
Ve bu düşmanların ille de kapınızı çalmaları gerekmiyor, kapınızı çalmadan da gelebilirler.
Hackerler, siber ajanlar, siz müzik dinlerken ya da bir film ya da klip izlerken farklı frekanslarla
beyninize sızıp sizi hipnoz etmeye çalışanlar, yiyip içtiklerinizle sizin bedeninizi kontrol etmeye
çalışanlar bunlar pek mümkün bu zaman diliminde.
Büyükler de, küçüklerde yoğun bir saldırı ve tehdit altında. Bu saldırı ve tehdit gelecekte
daha da artacak.. Özellikle de siber tehdit, siber saldırı, siber savaş ve siber istihbarat, siber güvenlik
konusunda çok dikkatli olmamız gerekiyor. Operasyon konusunda Türkiye kötü durumda değil,
ama güvenlik, üretim, dış pazarlama açılma konusunda hiç iyi durumda değiliz. Sadece devlet değil,
şirketler, STK’lar, aileler, bireyler de öyle.
Bu bilişim teknolojisi, gen teknolojisi ve enerji konusu mahşerin 3 atlısı. Türkiye enerji
savaşlarının tam ortasında, genetik açıdan da yoğun bir saldırı altındayız. Bilişim, dinden, eğitime,
kültür-sanattan medyaya, üretimden pazara, sivil ve siyasal alandan para ve borsaya kadar her şeyi
değiştirecek.. Dokunduğu her şeye hız ve etkinlik kazandıracak. Bilgi aristokrasisi doğacak. Sanal
gerçeklik gerçeği boğacak böyle giderse. Gen teknolojisi ile artık bitki, hayvan, insan geni
harmanlanıyor. Biyonik robotlar artık hayal değil, gerçek.
Tarihin kavşak noktalarından birindeyiz. Bundan sonra hiçbir şey eskisi gibi olmayacak.. Bu
3 sektörün fütürist bir anlayışla stratejik açıdan bir milli siyaset belgesi çerçevesinde, varolan yapı
sürdürülürken ayrıca, kendi içinde bir arada asimetrik, multidisipliner bir anlayışla yeniden
yapılandırılması gerek.
Teknoloji, ekonomik açıdan gelişmiş ülkelerin güvenliklerinin sistem bütünlüğü içinde
maddi (kara, deniz, hava, uzay) ve maddi olmayan (bilgi, elektronik) ortamları kapsayacak şekilde
yapılandırılmalarına imkan sağlamaktadır. Bu yeni güvenlik ortamında milli güvenlik ihtiyacı; ülke
18
çapında kurumlar arası, silahlı kuvvetler çapında kuvvetler arası müştereklik sağlanarak, sivil ve
askeri sistemlerin/yeteneklerin, sürekli veya geçici olarak birbirini destekleyecek şekilde müşterek
kullanımını gerektirmektedir.
Bilginin değer olmaya başlamasıyla güvenliği tartışılmaya başlanmış, bilgi kıymetlendikçe
buna yönelik tehdit ve tehlikeler artmış, buna ilişkin tedbir almak zorunlu hale gelmiştir. Bütün
ülkelerin bilgisayar ve iletişim teknolojilerine kaçınılmaz olarak bağımlı olması, içinde
bulundukları risk durumlarının da, buna bağlı olarak artmasına yol açmaktadır. Gelişen teknoloji ile
birlikte, terör yöntemleri de bu gelişen teknolojilere paralel olarak kabuk değiştirmekte ve dünya
üzerindeki tüm ülkeleri siber terör saldırıları tehdit etmektedir.
Terörün geleneksel yöntemlerin ötesinde siber alanda da boy göstermesi, dünyayı siber terör
tehdidiyle karşı karşıya bırakmaktadır. Artık teröristler geleneksel yöntemlerinin ötesinde, yeni
siber saldırı yöntemlerini de kullanmaya başlamışlardır. Bilgisayar ve internet teknolojilerinde
yaşanan hızlı gelişme, yönetimlerin sanal dünyayı izlemelerini zorlaştırmakta ve çoğu zaman da
onları yetersiz ve çaresiz bırakmaktadır. Siber alandaki faaliyetlerin kolay ve arkada iz bırakmadan
yapılabilir oluşu terör örgütlerinin yanı sıra devletlerin de ilgisini çekmektedir. Günümüzde kimi
ülkeler siber saldırı ve siber savaşı önemli stratejik savunma ve rakibe zarar verme yöntemi olarak
görmektedirler. Siber terör eylemlerinin mekan olgusuna bağımlı olmadan işlenebilme özelliğinin
bulunması siber savaşa karşı istihbarat kurumlarının konusunda uzman ekiplerle ortak hareket
ederek ulusal güvenliğin korunmasında destek vermelidirler. Türkiye, nüfusunun internet kullanma
oranı konusunda dünyada geri sıralarda yer alsa da, dünya çapındaki siber saldırıların menşei olarak
ilk 10’un içinde yer almaktadır. Bir ülkenin varlıklarına yöneltilen siber saldırılar, ülkenin kendi
sınırları içinden doğmak zorunda değildirler. Ancak Türkiye ilginç bir vaka oluşturmaktadır, zira
2013 itibariyle Türkiye vatandaşlarının yalnızca yüzde 46’sının internet erişimi varken (bu
Türkiye’yi dünyada 97. sıraya koymaktadır), Türkiye dünyadaki siber saldırıların üçüncü büyük
çıkış noktası olmuştur.
İnternetin hayatın vazgeçilmez bir parçası haline gelmesiyle, siber güvenlik milli güvenlik
açısından kritik hale gelmiştir. İnsanlara ait bilgiler veri analitiğinden çıkartılabilmektedir. Yapısı
öğrenilerek "sanal DNA"ları ortaya çıkarılan toplumlar, yönlendirebilmekte, bunlar ticari faaliyet
ve geleceğe ilişkin planlamada kullanılabilmekte, sosyal mühendislik denilen insanların sosyal
medya üzerinden yönlendirilmesi de bu şekilde gerçekleşmektedir. Arap baharı, Gezi Parkı olayları
gibi bazı toplumsal olayların sosyal medya üzerinden cep telefonlarına gelen bir mesajla
yönlendirildiği düşünülürse siber güvenlik çok geniş boyutlu bir hal almıştır.
Yayınlanmış uluslararası bir rapora göre, Türkiye'deki bilgisayarların yaklaşık yüzde 50'si
ele geçirilmiş vaziyette, buna cep telefonlarımız da dahil. Bunlar, birileri tarafından bir yerlere
saldırı için kullanılıyor, biz farkında bile değiliz. DDOS saldırılarını canlı olarak veren bir web
sitesi var, orada Türkiye saldıran ve saldırılan ülkeler arasında her zaman ilk 10'da. Saldırıya
uğrayanı anlıyorum ama saldıran kim? Türkiye'den saldıran yok ama bizim makinalarımız köle
bilgisayar haline getirilmiş, kötü niyetli bir ağın parçası haline getirilmiş. Aslında bizim kimseye
saldırdığımız yok. Kağıt üzerinde bakarsanız Türkiye, en çok saldırı başlatan ülke konumunda,
bazen ilk 3'te bile oluyor. Siber savaşlar” dönemindeyiz. Bu bir ülkeyi çöktürmede ya da İran
nükleer santrallerine giren Stuxnet örneğinde olduğu gibi "verilerini yanıltma” da önemli bir savaş
türü haline geldi.
19
Siber saldırıların takip ettikleri bir plan var. Bu plan, siber güvenlik uzmanları, siber
saldırganlar ve hatta hükümetler tarafından uygulanan bir rota. Bir siber saldırının ilk adımı "keşif"
yapmaktır. Bu adımda saldırgan, saldıracağı hedefle ilgili olarak kullanabileceği tüm bilgileri toplar.
Keşif aşamasında, çeşitli araçlar ve teknikler kullanılır. Mesela hedefin networkünü incelemek için
NMAP ya da ZENMAP gibi bir araç kullanılabilir. Böylece, hedefin güvenlik ayarlarını ve
özelliklerini ve dolayısıyla da zayıf noktaları tespit etmek mümkün olur. Ama zayıf noktalar illa
siber / sanal olmak zorunda da değildir. Sistemlere sızmak için örneğin kontrolün zayıf olduğu bir
kapı ya da sistem de kullanılabilir. Yani fiziksel zayıf noktalar da göz önüne alınmalıdır. Örneğin,
İran nükleer santrallarına yapılan Stuxnet saldırısının bir USB üzerinden sisteme sokulduğu
biliniyor. Ama ilk fark edilmesinden 3 yıl kadar sonra, Uzay İstasyonuna kadar bulaştığı ortaya
çıktı. Keşif adımından sonraki adım bulunan açığa uygun saldırı aracını tespit etmektir. Bunun için
CVE veri tabanına bakılabilir. Bu veri tabanında her türlü bilgisayar ve yazılım açıkları yer alır. Bu
açıklar raporlanmış olsa ve yamaları da bilinse de, gerek bilgisizlik, gerekse tembellik yüzünden,
açıklar yamalarının yayınlanmasından yıllar sonra bile kullanılabilir durumdadır.
Siber güvenlik, bir risk yönetim sürecidir. İnsandan başlayıp cihaz/altyapı ile devam eden,
süreçler ve uygulamalar ile vücut bulan bu olguda strateji ve politikalar büyük önem taşımaktadır.
Bu sürecin en zayıf halkası insandır. Bu süreçte kullanıcı, uygulayıcı ve karar verici konumundaki
her insanın konunun öneminin farkında olmasına, bilgi ve bilinç düzeyinin arttırılmasına ihtiyaç
vardır.
Tüm Dünya ülkelerinde olduğu gibi Türkiye’nin de siber güvenliğinin sağlanması için acil
olarak alınması gereken tedbirler vardır. Ülkemizde; bilişim sektörünün tamamına ilişkin küresel
gelişmelerin yakından izlenmesi, bu alanda risklerin, fırsatların ve tehditlerin ayrıntılı olarak analiz
edilmesi, bilişim alanında ulusal düzeyde hedef, ilke, politika ve stratejilerin geliştirilmesi, bu
alanda ulusal koordinasyonun sağlanması ve
uluslararası hukukun iç hukuk sistemine
uyarlanmasının koordine edilmesi ile ulusal siber güvenlik ve bilgi güvenliği stratejilerinin
oluşturulması gibi alanlarda merkezi bir kurumsal yapıya ihtiyaç duyulmaktadır.
Siber güvenlikte "milli çözümler" olmazsa olmaz, koruyamadığınız bilgi, yönetemediğiniz
ekonomi size ait değildir. Yapılan bir araştırmada, Türkiye'deki güvenlik çözümü diye satılan
programların yaklaşık yüzde 97'sinin dış kaynaklı. Siber mücadele ile ilgili yazılım ve donanımları
parasını verip alıyorsunuz ama bunun size hizmet edip etmediğini bilmiyorsunuz çözüm diye alınan
programların birilerine kapı olabilir. Aldığınız çözüme hakim değilseniz, belki de kendimiz bir
“tehdit kapısı” açabiliriz. Bunun parametrelerini doğru ayarlayamadığımız, ince ayarını
yapmadığımız siber güvenlik çözümleri aslında birilerine kapı oluşturuyor. Kamuda ve özel
sektörde satın alınan siber güvenlik parametreleri, fabrika ayarlarında bırakıldığı zaman hackerlerin
ya da kötü niyetli kişilerin hedefi oluyor. Dolayısıyla milli çözümler burada olmazsa olmazdır.
Siber güvenlikte temel kontrollerin ve ana yönetim sisteminin yüzde yüz milli olması
gerekmektedir. Oradaki kilidin şifresi bizde olmalı, kilidin ne zaman ve hangi şartlarda açılacağına
bizim karar vermeniz gerekir.
Milli yazılımların, ne kadar değerli olduğunu anlatan en güzel örneklerden biri İngiltere ile
Arjantin arasında geçen, Arjantin’in güneydoğu kıyılarında, Güney Atlantik’te yer alan Falkland
Adaları savaşlarıdır. Fransızlardan satın aldığı Exocet füzeleri ile Falkland Savaşında İngilizlerin
beş gemisini devre dışı bırakmıştı. Bunun üzerine Arjantin’e karşı üstünlük sağlamak için
Fransızlardan füzelerin kaynak kodunu satın alan İngilizler de, füzenin güdüm yazılımını çözüp
20
hedefe giden füzeleri engellemişti. Kendisine ait yazılımı olmayan Arjantin’in parası ile satın aldığı
yazılımın bir önemi kalmamıştı.
Teknolojik yazılımlar, günlük hayatımızın olmazsa olmazı haline gelmiş, ülkeler
ekonomisine de yön vermekle beraber, devletlerin toprak bütünlüklerini korumasına yarayan yeni
çağ güvenlik anlayışı olmuştur. Ülkelerin artık bu yazılımlarla donatılmış yeni nesil silahlar ürettiği
günümüzde, dışarıya bağımlı olmadan ülke olarak kendi milli yazılımlarımız ile donatılmış
silahlarımızın yapılmasının değeri de son zamanlarda daha iyi anlaşılmaktadır. Milli olan
yazılımlarla donatılmış silah sanayisinde dengeler bizim lehimize değişmeye başlamıştır. Hedefe
gitme ve süper güç olma ideasında bulunan bir ülkenin, ticari ekonomik altyapısını, en önemlisi de
güvenlik sanayisinin kendi milli yazılımları ile donatılmış olması akıl gücünün ve alt yapısının ne
kadar önemli olduğunu göstermektedir.
Ülke olarak 1923'teki rejim değişikliğinden beri farklı iktisadi modeller denedik ve
denemeye devam ediyoruz. Bugün geldiğimiz noktada dünyanın en büyük 18., Avrupa’da ise 5.
ekonomisi olarak Avrupa’da ve dünyada söz sahibi bir ülke durumundayız. Özellikle 2002'den
sonra yapılan iktisadi reformlar ve insani gelişmiş endeksindeki yükselme, geç de olsa Türkiye'yi
batıdaki anlamıyla girişimcilikle tanıştırdı. Bugün ihracatımızın temelini giyim, tekstil ve
madencilik oluştururken, maalesef bilişim ihracatı yok denecek kadar az.
2010 verilerine göre yüzde 48.4'ü hizmet sektöründe çalışan iş gücü ile Türkiye'nin yazılım
endüstrisinde atacağı büyük adımlar, bilişim ihracatı yapamasa bile sadece kendi kendine yeten bir
endüstri oluşturabilir. Bu da, hizmet olarak alınan bilişim ithalatını kısacağı gibi, güvenlik ve dış
müdahale gibi tehlikeleri de minimize edecektir. Son 13 yılda girişimcilik alanında atılan dev
adımlar, kalifiye mühendis yetiştiren devlet ve vakıf üniversiteleri, KOSGEB gibi KOBİ'leri
destekleyen kurumların varlığı, Türkiye'nin ''hizmet olarak yazılım'' (SaaS) ihracatı yaparak bir
kalkınma modeli oluşturabileceği gerçeğini ortaya koymaktadır.
SaaS, çoğunlukla bir internet sunucusunda barındırılan, periyodik abonelik modeli bir
hizmet olarak ''kiralanan'' yazılım lisanslama modeli. 2017 tahminlerine göre dünyada SaaS
pazarının büyüklüğü, Türkiye'nin 2017 milli gelir projeksiyonun yüzde 10'undan fazla olacak. Bu
pazarda kolektif iktisadi değer üretildiğinden, hiçbir şekilde dışa bağımlılık söz konusu olmadığı
gibi, hiçbir dış gücün ya da lobinin müdahalesi de söz konusu olamıyor. Toplam SaaS kullanan
kullanıcı sayısı 1 milyara yakın. Dünyadaki bu şirketlerin çoğu ABD, İngiltere, Almanya, İsrail ve
Kanada merkezli. Bugün Ortadoğu, Kuzey Afrika ve Çin hariç Uzakdoğu ülkeleri ile Rusya hariç
Bağımsız Devletler Topluluğu bu ülkelerin yazılımlarını kullanıyor. Türkiye gibi güçlü bir
alternatif, bu pazarda kısa vadede tercih sebebi olabilir. Orta ve uzun vadede Türk yazılımları, batılı
muadilleriyle rekabet edebilir. Batı Avrupa ve ABD dışında kurumsal çözümlere ihtiyaç duyan
ülkelere daha güvenilir ve daha dinamik yazılımları SaaS modeli ile sunabiliriz. Türkiye'nin genç
mühendisleri yazılım sektörünün liderleri arasına ülkemizi katabilir. Türkiye'nin yazılım
endüstrisinde bir dev haline gelmesi hayal değil. Devletin sermaye gücü ve yasal güvencesi ile özel
sektördeki kalifiye mühendisler milyonlarca lisans kiralaması ile ülkemizde milyarlarca dolarlık
değer oluşturabilir.
Hepsinden önemlisi derin bir akıl ve derin bir tefekkür, derin bir cesaret ve derin sorumluluk
duygusuna ihtiyacımız var bu kadar düşmana ve düşmanlığa karşı ayakta kalabilmek için.
21
Doğru politika ve stratejilerin belirlenip, uygun süreç ve teknolojilerin seçilmesi ile
uygulamaya geçilmesi; süreç ve sonuçların sürekli izlenip periyodik olarak gözden geçirilmesi
başarının anahtarıdır.
Sonuç olarak; sayısal saldırıların başarıya ulaşmış olmasının en önemli nedeni; yönetimi
sağlıklı bir şekilde yapılmayan bilgi ve iletişim teknolojileridir. Kritik altyapıların güvenliğinin
sağlanmasında insan faktörünün ve güvenlik bilincinin en önemli parametrelerin başında geldiği
düşünülmektedir. Bilgi ve iletişim sistemlerinin güvenlik hedefleri göz önüne alınarak yönetilmesi
ve temel güvenlik önlemlerinin alınması durumunda sayısal güvenliğin büyük oranda sağlanacağı
ve sistemlerin sayısal saldırılara karşı korunaklı duruma geleceği şüphesizdir.
Kişilerden kurumlara, kurumlardan tüm ülkeye varan boyutu ile Siber Güvenlik, Ulusal
güvenliğin en önemli unsurlarından biri haline gelmiştir. Dolayısıyla bu konuda oluşacak herhangi
bir zafiyet doğrudan ülke güvenliğine tehdit anlamına gelmektedir.
Siber savaşta etkin savunma yapılabilmesi için siber güvenlik konusunun iyi kavranması
gerekiyor. Bu bağlamda yasal düzenlemelerin yapılması, uluslararası hukuktan kaynaklanan
hakların kullanılabilmesi için hazırlık yapılması, ulusal bilgisayar olaylarına müdahale
organizasyonunun oluşturulması, ulusal siber güvenlik altyapısının güçlendirilmesi, siber güvenlik
alanında insan kaynağı yetiştirilmesi, siber güvenlikte milli teknolojilerin geliştirilmesi için seferber
olunması gerekiyor.
Siber güvenlik alanında olmamız gereken yerde değiliz. Teknolojiyi üreten biz olmadığımız
için güvenliğini de sağlamakta zorlanıyoruz. Teknolojiye ne kadar yatırım yapılıyorsa, içerisinden
siber güvenlik alanını ayıklayıp, bunu hepsinden ayrı ve stratejik olarak değerlendirip, teknolojiye
yapılan yatırımın bir o kadarını da sadece siber güvenliğe yatırmak gerekiyor. Milli projeler nasıl
bizim gücümüzü ve caydırıcılığımızı arttırıyorsa, kendi siber güvenlik ürünlerimizin ve siber
güvenlik alanında yetişmiş yetenekli insan kaynağımızın olması da aynı ölçüde gücümüzü ve
caydırıcılığımızı arttırır.
Diyelim bir savaş çıktı, bu günkü şartlardaki teknolojilerle donatılmış askerlerden oluşan bir
ordu mu, yoksa iyi bir siber güvenlik ordusuna sahip olan bir ülke ve ordusu mu bu savaşın galibi
olur?
Bugün ülkelerin muharip güçleri karşılaştırılırken asker sayısından daha yüksek ağırlığa
sahip olan birimler uçak gemileri, savaş uçakları, kendine has hava savunma sistemleri, elektronik
savaş ekipmanları, kıtalar arası balistik roketleri, nükleer gücü. Bütün bu sistemler ile
bilgisayarlarla ve karar destek sistemleriyle yönetiliyor. Yani asıl sayılan unsurların kendi
güvenliğini tehdit etmek tabi ki asker sayısından çok daha önemli. Bu sadece bugün değil, 40 yıl
önce de böyleydi, 400 yıl önce de. Sadece siber güvenlik değil, teknolojisi ileri olan ordu
kuvvetlidir. Kılıçlı orduya karşı barutu keşfeden ordu, normal toplara karşı yivli topa sahip olan
ordu, atlı birliklere karşı zırhlı araçları olan ordu daha başarılıdır.
Bir ülkenin kendi milli yazılımlarını, programlarını yapmasının yine o ülkenin siber
güvenliğini sağlamada ne denli katkısı olur diye soracak olursak; milli olması gereken sistemlerimiz
var. Askeri sistemlerde, istihbarat birimlerde, güvenlik birimlerinde, devletin hassas verilerinin
olduğu sistemlerde başından itibaren güvenlik odaklı olarak tasarlanmış, yerli mühendisler
tarafından geliştirilmiş sistemler kullanılmalı. Bunun maliyeti ne olursa olsun yapılmalı. Yazılım
22
yerli olursa, arka kapı olmadığından emin olunur. Ama yeterli değil, donanımın da yerli olması
lazım.
Ulusal güvenliğin önemli unsurlarından biri haline gelen siber güvenliğin gerçek anlamda
sağlanması, ancak bu alanda milli çözümlerin geliştirilip kullanılması ile mümkündür.
23
OLMAZSA OLMAZ SİBER GÜVENLİK
KORUYAMADIĞINIZ BİLGİ, YÖNETEMEDİĞİNİZ EKONOMİ SİZE AİT
DEĞİLDİR.
25
Olmazsa Olmaz Siber Güvenlik: Koruyamadığınız Bilgi, Yönetemediğiniz Ekonomi
Size Ait Değildir.
Teknoloji toplumsal hayatın ayrılmaz bir parçasını oluşturmaktadır. Günümüzde
bilgisayarların yaygınlaşması ve bilişim (bilgi-iletişim) teknolojilerinin gelişmesi insanları birçok
bakımdan bu teknolojiye bağımlı hale getirmiştir. Bilgisayar, internet, cep telefonu, uydu gibi
bilişim ürünleri günlük hayatın vazgeçilmezleri arasındadır. İnternetin özellikle her kendini
yenilediği noktada faydalarının yanında risklerinin de ortaya çıktığı görülmektedir. Bilişim
teknolojisi ürünlerine olan talebin ve internet kullanımının hızla artmasıyla birlikte; teknolojinin
önemli faydalarıyla beraber çok önemli zararları da toplumsal yaşamı ve uluslararası ilişkileri
etkilemektedir. Gerçek dünyanın varlığına ek olarak yaygın elektronik alt yapı kullanımıyla meydan
gelen siber dünya; hem fiziki dünyada olan somut olaylardan etkilenmekte hem de siber alanda
düzenlenen saldırılar yüzünden gerçek dünyayı etkilemektedir.
Özellikle bilgisayarlar kullanılarak oluşturulan araçlar ve yöntemler, gerçek dünyanın
yanında bir de “siber alan” meydana getirmiş ve bu alan bireylerin ve toplumların günlük
yaşamlarında çok önemli faydalar ve kolaylıklar sağlamaya başlamıştır. Ancak kötü niyetli ve
bilinçsiz kullanımdan dolayı bazı dezavantajları da beraberinde bulundurmaktadır. Hem kişiler hem
de kurumlar tarafından çok etkin kullanılan bu siber dünya giderek daha tehlikeli bir yer olmaya
başlamıştır. Siber Güvenlik, siber saldırılar, siber savaş sözcükleri hem bireylerin hem devletlerin
kelime dağarcıklarına yerleşmiş gün geçtikçe daha vahim anlamlar içermeye ve çağrışımlar
yapmaya başlamıştır. Günümüzde tehdit asimetrik ve çok boyutlu bir hal almış, tek boyutlu ve
devletten devlete olma özelliğini kaybetmiştir. Kullanımı yaygınlaşan ve etkisi gittikçe artan
internet ve siber alanın uluslararası barış ve güvenliğe yönelik risk ve tehditlerine dikkat çekmelidir.
Örneğin, terörün geleneksel yöntemlerin ötesinde siber alanda da boy göstermesi, dünyayı
siber terör tehdidiyle karşı karşıya bırakmaktadır. Artık teröristler geleneksel yöntemlerinin
ötesinde, yeni siber saldırı yöntemlerini de kullanmaya başlamışlardır. Bilgisayar ve internet
teknolojilerinde yaşanan hızlı gelişme, yönetimlerin sanal dünyayı izlemelerini zorlaştırmakta ve
çoğu zaman da onları yetersiz ve çaresiz bırakmaktadır. Bu nedenle yönetimler kolaycılığa kaçarak,
sanal dünyadaki kötü niyetli uygulamalarla mücadelede genellikle geleneksel yöntemleri, yani
yasaklama ve erişimi engellemeyi tercih etmektedirler.
Ancak özellikle terör grupları tarafından bilgisayarların bir saldırı aracı olarak kullanılmaya
başlanmasıyla beraber, NATO ve AB gibi uluslararası örgütlerin yanında, ABD, Çin ve Rusya gibi
ülkeler de muhtemel bir siber saldırıya karşı nasıl korunabileceklerini araştırmaktadırlar. Ayrıca
görevi olası siber saldırılara hızla cevap vermek ve düşman kuvvetlerinin haberleşme ve
koordinasyonunu sağlayacak bilgi teknolojilerini saf dışı bırakmak olan “siber kuvvetler” de
bulundurmaya başlamışlardır
Siber alandaki faaliyetlerin kolay ve arkada iz bırakmadan yapılabilir oluşu terör
örgütlerinin yanı sıra devletlerin de ilgisini çekmektedir. Günümüzde kimi ülkeler siber saldırı ve
siber savaşı önemli stratejik savunma ve rakibe zarar verme yöntemi olarak görmektedirler.
Önümüzdeki dönemde bazı savaşlar her ne kadar siber alanda yapılacak olsa da etkileri reel
dünyada da hissedilecektir.
27
Siber Alan
Uluslararası alanda kabul edilmiş bir tanımı olmamasına rağmen bilişim teknolojisinde lider
konumdaki ABD’nin Savunma Bakanlığı’nca yayınlanan terimler sözlüğünde siber alan; “işlemci
ve kontrolörlerin bulunduğu internet, telekomünikasyon ağları ve bilgisayar sistemlerini de içine
alan, birbirine bağlı bilgi teknolojileri altyapılarının olduğu küresel bir alan” olarak
tanımlanmaktadır.
Yani bu alan aslında fiziki ve somut bir alan değildir. Kısaca siber alan; “insanların
bilgisayarlar ve telekomünikasyon sistemleri aracılığıyla herhangi bir coğrafi sınırlamaya maruz
kalmadan tamamen birbirine bağlı olma durumudur”.
Siber alanda gerçekleştirilen saldırıların geleneksel saldırılardan önemli farklılıkları
bulunmaktadır. Her şeyden önce siber saldırılar ışık hızı gibi yüksek bir hızda gerçekleştirilebilme
olanağına sahiptir. Bununla birlikte modern toplumlardaki altyapının yüksek teknolojiye ihtiyaç
duyması nedeniyle, sanal dünya üzerinden gerçekleştirilen saldırıların etkileri konvansiyonel
silahlar kadar büyük olabilmektedir. Ayrıca siber saldırıların maliyeti geleneksel saldırılarla
mukayese edilemeyecek kadar düşüktür ve siber saldırının hedefinde yer alan objenin kasten mi
yoksa kazayla mı saldırıya maruz kaldığının anlaşılması kolay değildir.
Ayrıca uluslararası sistemdeki aktörlerin üzerinde uzlaştıkları bir siber alan tanımının
yapılamamış olması, siber alan üzerinden yapılan saldırılarda uluslararası hukukun nasıl
uygulanacağı konusunu da bir sorunsal olarak ortaya çıkarmaktadır. Çünkü siber alanın genel bir
tanımının yapılamaması ülkelerin sahip oldukları siber alanların sınırlarının belirgin olmamasına da
neden olmaktadır.
Örneğin bir terörist örgütün herhangi bir ülkenin siber alanı üzerinden adres alarak,
hedeflediği başka bir ülkeye zarar vermesi durumunda, saldırının hedefinde olan ülke ile saldırının
düzenlendiği siber alana sahip ülke arasında sorunlar yaşanabilmektedir. Ayrıca siber saldırının
devlet eliyle mi yoksa terörist gruplarca mı gerçekleştirildiğinin tespitinin net bir biçimde
yapılamaması, saldırının düzenlendiği siber alana sahip ülke üzerinde de bir şüphe oluşmasına
neden olmaktadır. 2008 yılında Rusya ile Gürcistan arasında yaşanan savaşta Rusya’ya ait siber
alandan Gürcistan’a yapılan siber saldırı bu duruma örnek gösterilebilir. Rusya Gürcistan’a yönelik
siber saldırılarda herhangi bir katkısı olmadığını iddia etse de, bu saldırıların Rusya’nın bilgisi
dahilinde devlet destekli olarak mı yoksa bu ülkede bulunan terör örgütleri tarafından mı
gerçekleştirildiği kesinlik kazanamamıştır.
Siber Terörizm
Siber terörizm, siber alanın terörist faaliyetler için kullanılması sonucu ortaya çıkmıştır.
Siber terörizmin de uluslararası alanda genel kabul gören bir tanımı yoktur. Bununla birlikte siber
terör, bilgisayar ağlarını kullanarak kritik öneme sahip ulusal altyapılara (enerji, ulaşım ve devlet
işlemleri) zarar vermeyi ya da tamamen kullanılamaz hale getirmeyi amaçlayan saldırılar biçiminde
kendini göstermektedir.
Siyasal bir amaç uğruna insanlara zarar vermek veya acı çektirmek için devlet tarafından iyi
korunan alanlardaki (telekomünikasyon, ulusal güvenlik ağları vs) bilgileri elde etmek, değiştirmek
veya terörist amaçlar için kullanmak siber terörün önemli hedefleri arasında yer almaktadır. Siber
28
terörü “bilgisayarlar aracılığıyla halkta yeterince paniğe yol açacak ve önemli zarar verebilecek
faaliyetler” olarak da tanımlayanlar bulunmaktadır.
Örneğin uçakların kullandığı sistemlere yapılan saldırılar sonrasında rotada sapmaya yol
açarak, uçakların düşmesine neden olmak veya elektrik santrallerinin devreleriyle oynayarak uzun
süreli elektrik kesintilerine neden olmak gibi eylemleri kapsayabilmektedir. Ya da Siber Alanda acil
servis ve polis imdat gibi hizmetlerin kullandığı çağrı merkezlerini tüm yurtta kullanılamaz hale
getirerek halk arasında paniğe yol açmak, bankaların çok güvenli olarak bilinen sistemlerine girerek
müşterilerin kimlik bilgilerini ve paralarını çalmak, siber terörün yol açtığı başka zararlardır.
Siber terör faaliyetleri başlı başına bir saldırı olarak meydana gelebileceği gibi genelde
siyasi tansiyonun yükseldiği veya taraflar arasında silahlı çatışmalar yaşandığı sırada da meydana
gelebilmektedir. Siber terör saldırıları son dönemde artış göstermektedir. Siber terörün yükselişe
geçmesinin önemli nedeni olarak, insanların ve hayati öneme sahip altyapı hizmetlerinin bilgisayar
ağlarına gittikçe bağımlı hale gelmesi sonrasında yeni hassas noktaların ve dev elektronik zafiyet
alanlarının oluşması gösterilmektedir. Siber terörizm amaç-araç bakımından ileri teknoloji ve
bilgiyi kullanarak klasik terörizm tanımlamasının yeni bir vizyonu olarak ortaya çıkmıştır.
Eylemlerini belirli bir politik ve sosyal amaca ulaşabilmek için bilgisayar ve bilgisayar
sistemlerinin bireylere, mallara, hükümeti veya toplumu yıldırma ve baskı altında tutmaya karşı
kullanan siber teröristler iletişim teknolojilerinden yararlanarak sanal ortam aracılığıyla dünyanın
her yerinde etkili olmaktadırlar. Bu kavramın anlamı, sadece bilgisayar sistemlerine karşı yapılan
saldırıları değil, hayati olan devlet, ordu ve ticarete ait bilgileri tahrip etmeyi de içermektedir. Bilgi
ve iletişim teknolojilerinin hayatın vazgeçilmez bir parçası olduğu düşünüldüğünde Siber terörizm
gelecekteki çatışmaların, menfaatlerin ve stratejilerin mantıklı bir paradigması olacağı
öngörülebilir.
Siber saldırı yöntemlerinin terörist gruplarca kullanılmasının birçok nedeni bulunmaktadır:
Siber saldırı yöntemleri fiziki tahribata dayanan geleneksel saldırı metotlarından daha ucuza mal
edilebilmektedir. Sıradan bir bilgisayar yardımıyla bilgisayar ağlarına önemli zararlar
verilebilmektedir. Bugüne kadar gerçekleştirilmiş siber saldırıların gösterdiği üzere, basit bir virüs
saldırısının bile verebileceği ekonomik zarar milyar dolarları bulabilmektedir. Siber alanda saldırıyı
düzenleyen kişilerin izlerini takip etmek oldukça güç olduğu için siber saldırı yöntemi terör grupları
tarafından benimsenmektedir. Bu sayede daha hızlı ve kolay bir şekilde saklanma imkanı
bulmaktadırlar.
Siber saldırı yöntemi gerçek dünyada meydana gelen saldırı yöntemlerine göre daha anonim
bir kimliğe sahip olduğu için saldırı düzenlemek niyetinde olan gruplar herhangi bir gümrük noktası
veya havaalanı kontrolünden geçmeden siber alan üzerinden hedef ülkeye ulaşabilmektedir. Diğer
önemli bir unsur ise, siber saldırı düzenlenebilecek çok sayıda hedef olmasıdır. Çeşitli kamu
kuruluşlarının ya da özel şirketlerin internet siteleri hedef olabileceği gibi ülke çapında polis ve
sağlık sektörü tarafından kullanılan çağrı merkezleri de devre dışı bırakılabilmektedir. Bu kadar çok
çeşitlilik arasında siber terör grupları saldırı düzenleyebilecekleri bir zayıf halka bulmakta
zorlanmamaktadırlar. Aşağıda belirtilen noktalar bu tehlikeyle ilgili bazı ipuçları verecektir:

Kentin bütün trafik ışıklarının aniden durdurulması bu yolla can ve mal kaybının
sağlanması

Telekomünikasyon sistemlerinin tahrip edilmesi
29

Elektrik ve doğalgazı sistemlerinin kapatılması

Ulaşım ve su sistemlerinin tahrip edilmesi yoluyla can ve mal kaybının sağlanması

Bankacılık ve finans sektörünü e-bomba ve radyo aktif silahlarla tahrip etme

Acil yardım, polis, hastaneler ve itfaiyelerin çalışmasını engelleme

Özellikle e- hizmet veren kamu kurumlarını çalışmaz hale getirme
Son olarak ise siber terör fiziki terörün etkilediği insandan daha büyük bir kitleyi
etkileyebilme gücüne sahiptir. Siber saldırı yöntemleri ile terör örgütleri, sistemleri kesintiye
uğratmayı ve tamamen tahrip etmeyi sağlayarak, enerji-su kaynaklarına, gaz ve petrol üretim veya
depolama yerlerine, ulaşım veya ilkyardım servislerine, iletişim ve banka ağlarına vb. stratejik
kaynaklara karşı felakete yol açmaktadırlar. Tüm bu nedenler siber saldırıların terör örgütlerince
kullanılmalarını sağlamakta ve onlara hem reel dünyada hem de sanal dünyada gerçekleştirecekleri
eylemlerde kolaylıklar sunmaktadır.
Klasik Terör-Siber Terör Farkları
Geleneksel Terör
Siber Terör
Amaç Bakımından
Siyasal rejime ve
topluma
mesaj
vermek için terörizm
bir araçtır.
Yapılan eylemler ile
toplumu, devleti veya
hedef
alınan
organizasyona
zarar
verme, maddi kayba
uğratmak için terörizm
bir amaçtır.
Karşılaşılan Risk
Eylemi gerçekleştiren Herhangi yaşamsal riski
kişi
yada
gurup olmadan etkili saldırı
yaşamsal
riski
üstlenir
Etki Alanı
Saldırının yapıldığı Ulusal,
uluslararası
bölge yada alan ile boyutlarda
etkili
sınırlı
olabilecek
saldırılar
mevcut olabilir.
Propaganda
Verilecek
bölgesel
Denetim
Terörü kontrol altında
tutmak, izlemek ve
yok etmek kısmi
anlamda mümkün
mesaj Verilecek mesaj amaca
göre küresel
30
Siber
saldırıları
belirlemek,
saldırganları
tespit
etmek ve yok etmek
neredeyse
Siber Savaş
Yirmi birinci yüzyılın ilk on yılında yeni bir tür savaş ortaya çıkmıştı. Siber uzayda yer
aldığı için biz ona “siber savaş” adını verdik. Siber alan, siber terörizm gibi kavramların uluslararası
sistemde kabul görmüş tanımları olmadığı gibi siber savaşın da herkesçe benimsenen bir tanımı
yoktur. Siber savaş, “bilgi teknolojilerini korumak için siber alanda savunma yapmak veya
saldırmak ya da rakip saldırıları engellemek için yapılan faaliyetlerin tümü” olarak da görülebilir.
Dünyada siber savaş konusundaki en büyük sır ise ABD’nin saldırı amaçlı siber savaşa
hazırlanırken, ülkesini siber saldırıya karşı savunmayı imkansız kılan politikalar sürdürmekte
olması. Değişik nesiller siber uzayı değişik şekillerde algılıyor. Amerika bu yeni tür savaş alanında
başka ülkelere kıyasla daha fazla tehdit ile karşı karşıya. Konvansiyonel savaşa alternatif olmayan
siber savaş ordular arasında yapılan geleneksel toplu tanklı savaş olasılığını daha da artırıyor. O
yüzden, siber savaşın ne olduğunu tam anlamalı, nasıl işlediğinin, risklerinin tam ne olduğunun
analizini çok iyi yapmalı ve nasıl kontrol edeceğimizi de düşünmeliyiz.
Günümüzde ülkeler konvansiyonel savaş stratejilerinin yanı sıra siber savaşa karşı da
hazırlık yapmaktadırlar. Çünkü gelişmiş ülkelerin ulusal savunma sistemleri ileri düzeydeki bilgi
teknolojileriyle korunmaktadır. Bu da gelişmiş ülkeleri olası bir savaşta siber saldırı tehdidi altında
bırakmaktadır. Ulusal savunma ve bilgi depolama gibi alanlarda teknolojiden üst düzeyde
yararlanmanın getirdiği kolaylıkların yanında, savunma sistemlerinin güvenliği açısından önemli
hassasiyetler de bulunmaktadır. Teknolojiyi verimli kullanarak rakiplerine üstünlük sağlayan
gelişmiş ülkeler, terör grupları tarafından hedef alınıp haberleşme, savunma veya temel alt yapı
hizmetleri gibi alanlarda zarara uğratılabilmektedir.
Siber savaş ile siber terörü birbirinden ayırmak çok kolay değildir. Siber savaşı siber terör
faaliyetlerinden ayıran farklılık, ülkeler arasında ortaya çıkan fiziki savaş haline eşlik etmeleri veya
fiziki savaş olmasa bile iki rakip tarafın siber alanda birbirlerine saldırmalarıdır. Çin, Rusya ve
Kuzey Kore gibi ülkeler siber savunma alanına önemli yatırımlar yapan ülkelerin başında
gelmektedirler. Çin şu anda önemli siber saldırı kapasitesine ve gelişmiş istihbarat alt yapısına sahip
bir devlet olarak 2050 yılına kadar elektronik egemenliği hedefleyen ve düşman kuvvetlerinin
altyapılarını etkisiz hale getirebilmeyi de içeren bir “siber doktrin” benimsemiştir. Çin’deki Halk
Özgürlük Ordusu (People’s Liberation Army) siber savaşın kara, deniz ve hava savaşıyla aynı
öneme sahip olduğu ve bunun için de kendi ordusunun bulunması gerektiğini bildirmiştir. Çin
rakiplerine karşı siber saldırı kapasitesini artırarak sadece fiziki dünyada yapılan savaşların üstünlük
için yeterli olmadığını kabul etmiştir. Özellikle ABD ve Rusya gibi güçlü rakipleriyle siber alanda
başa çıkabilmek için önemli çalışmalar yapmaktadır. Güçlü virüsler ve kötü amaçlı yazılımlar
(malware) düzenleyerek düşmanlarının elektronik alt yapılarının çökertmeyi amaçlamaktadır. Çin
siber savaşa karşı aldığı bu önlemlerinde yalnız değildir. Diğer gelişmiş teknolojiye sahip ülkeler de
kendi önlemlerini almaktadırlar. Siber savaşlar dönemindeyiz.
Örneğin, Rus ordusu bilgi teknolojilerinde uzmanlar ve akademisyenlerle birlikte çok
dirençli virüsler ve yazılımlar geliştirmeye dayanan siber savaş doktrininden hareketle dikkat çekici
siber saldırı silahları geliştirmiştir. Rusya’nın da diğer ülkelerin sahip olduğu gibi ileri düzey siber
saldırı silahları ve gelişmiş stratejileri bulunmaktadır. Rusya muhtemel bir saldırı veya savaşta karşı
tarafın bilgi teknolojilerine dayanan altyapısını ortadan kaldırabilmenin yanında aynı zamanda
finansal ve askeri sektörler ile sivil iletişim sistemlerini çalışamaz duruma sokabilecek önemli
31
donanımlara da sahiptir. Kuzey Kore’nin teknolojisi de daha önce bahsedilen devletlerin sahip
olduğu siber saldırı kapasitesinden aşağı değildir. Kuzey Kore ordusu da Unit 121 adında siber
savaşa odaklanan ve olası bir savaşa karşı kapasitesini geliştirmeye çalışan bir birim kurmuştur.
Siber savaşı ciddiye alan diğer bir devlet ise Hindistan’dır. Pakistan’la yaşanan Keşmir
sorunu ve nükleer silah denemelerinde maruz kaldığı siber saldırılara önlem almak amacıyla sanal
dünyada yaşanan rekabete kayıtsız kalamamıştır. Hindistan bugüne kadar önemli siber saldırılara
uğradığı için, 1998 yılından itibaren siber savaşı da içine alan yeni güvenlik doktrini doğrultusunda
hareket etmektedir. Ulusal Savunma Üniversitesi (National Defense University) ve Savunma
İstihbarat Birimi’ne (Defense Intelligence Agency) sahip olan Hindistan, bu birime bağlı; siber
savaş, psikolojik operasyon, elektro-manyetik ve dalga teknolojilerinde uzman alt birimler
kurmuştur.
İran ise siyasi ve ekonomik açıdan savunma sistemlerinin korunmasına yönelik teknolojik
yatırımlara ağırlık vermektedir. İran’daki silahlı kuvvetler ve teknik üniversiteler bağımsız olarak
siber alanda araştırma geliştirme çalışmaları yapabilecek ve bilgi teknolojileri alanında nitelikli
eleman yetiştirebilecek merkezler oluşturmaya çalışmaktadır. Ayrıca, Tahran’daki yetkililer
dışarıdan bilgi teknolojileri satın almakta, askeri alanda teknik yardım aramakta, Rusya ve
Hindistan gibi ülkelerden de eğitim desteği almaktadırlar. Siber savaşın geleceğin en önemli
üstünlük sağlama mücadelesi olacağını öngören ülkeler kendilerini bu alanda hazırlamaya çoktan
başlamışlardır. Hem kendilerine yönelecek siber tehditlere anında karşı koyabilmek hem de
karşılarındaki güçlerin teknik donanımlarını kullanılamaz hale getirebilmek için siber savaşa ciddi
olarak hazırlanmaktadırlar.
Siber alan, siber terörizm ve siber savaş kavramlarını kısaca açıkladıktan sonra bu
kavramlara hayat veren araç ve yöntemlerden yani siber silahlardan bahsetmek anlamlı olmaktadır.
Zira bu silahlarla birlikte yukarıda anlatılanlar daha iyi anlaşılacaktır.
Dünya'daki Siber Ordular
2015 son çeyreğinde yaşadığımız siber saldırılar, hepimizin ilgisini bu alana çekmişken,
siber güvenlik konusunun sadece savunmaktan ibaret olmadığını yanısıra bir siber ordu kurmak da
gerekmektedir. Bunun nedenini daha iyi anlayabilmek için dünyada bilinen / duyulan siber orduları
inceleyelim. Ancak bunları incelerken, siber ordular konusunda belirsizlik olduğunu, gerçek
boyutların bilinemediğini ve saldırıların genellikle "kabul edilmediğini" ya da "üstlenilmediğini"
yani "şüphe" düzeyinde kaldığını, saldırıya uğrayanların geride kalan izlere ya da konjonktüre
bakılarak yorumlanmaktadır.
ABD özellikle 11 Eylül 2001 saldırılarının ardından siber savunmaya yönelik yatırımlarını
artırdı. Ülke Askeri Haber Alma Ajansı’nın (NSA) yanı sıra dijital savunmaya yönelik 14 farklı
birim kurdu. Toplamda yıllık en az 50 milyar dolarlık bir bütçeyle çalışan bu kuruluşlar bireysel
internetin kontrolünden sanayi casusluğuna, dijital savaştan tüm iletişim ağlarının kontrolüne kadar
sanal dünyanın mutlak hakimiyeti için çalışıyor. Ancak ABD bu alandaki faaliyetleriyle yalnız
değil. ABD’nin haricinde Çin, Hindistan, Rusya, Güney Kore, İsrail ve İngiltere başta olmak üzere
çok sayıda ülke sanal savaşlar için kesenin ağzını açmış durumda. Sayıları 10-15 bin kişiye kadar
oluşan küçük sanal savaşçı orduları kuran ülkeler bu orduları yüksek teknolojili sistemlerle
donatıyor. Geleneksel türden ateşli silah kullanmayan bu orduların silahları ise ‘sadece’ yazılım ve
32
yüksek hızda ağ bilgisayarlarından oluşuyor. Ancak bu silahların etkisi nükleer silahlarla yarışacak
güçte.
ÜLKELERİN SİBER GÜVENLİK KAPASİTELERİ
Siber
güvenlik
stratejisi
Ulusal
CERT
Diğer
CERT
Siber
Tatbikat
Siber
Komutanlık
ABD
X
X
X
X
X
FIRST
USCYBERCOM/NSA
Almanya
X
X
X
X
–
EGC
–
Avustralya
3X
X
X
–
Avusturya
3x Taslak
X
–
–
Brezilya
X
Çin
X
X
X
Danimarka
–
X
X
Estonya
X
X
X
Finlandiya
–
X
Fransa
X
X
Hindistan
Taslak
Hollanda
ÜLKELER
X
X
X
EGC
FIRST
Kurum
Cyber-Security
Operations Centre
–
–
X
Information Security
Department
*
*
–
EGC
–
X
–
EGC
CCDCOE (NATO)
X
–
–
X
X
–
–
X
X
X
X
Cyber Command and
Control Authority.
X
X
X
X
–
İngiltere
X
X
X
X
İspanya
–
X
X
X
İsrail
X
X
X
İsveç
X
X
X
EGC
–
Cyber-security
Operations Centre
–
EGC
X
X
The National
Intelligence Service
*
EGC
–
İtalya
–
X
–
X
–
–
National Computer
Crime Centre for
Critical Infrastructure
Protection
Japonya
X
X
X
X
–
JPCERT/CC
FIRST
National Information
Security Centre
Kanada
X
X
X
–
–
–
Polonya
–
X
X
X
–
–
–
Romanya
X
X
X
X
–
–
–
Rusya
X
X
X
*
FIRST
–
33
Dijital orduları kurmak ve geliştirmek ise oldukça maliyetli bir girişim. Yapılan
araştırmalara göre sadece ABD’nin bu alan için yıllık harcadığı kaynağın en az 250 milyar dolar
seviyesinde olduğu tahmin ediliyor. Gelecek 10 yılda bu alana dünya çapında yapılacak yatırımların
ise 5 trilyon doları aşacağı tahmin ediliyor. Geleneksel ordulara kıyasla askerlerin silah taşımaması,
üniforma giymemesi, yaralanmaması ve ölmemesi ise sanal ordulara yeni asker bulmayı çok
kolaylaştırıyor. Can korkusunun olmadığı bir savaşın caydırıcılığı da olmadığı için bu tür savaşları
çıkarmak da artık çok kolay. Gartner’ın araştırmalarına göre siber saldırıların dünyaya yıllık ticari
maliyeti 500 milyar dolar seviyesinde. Bu tür saldırılara karşı savunma için yapılan yatırımlar ise 80
milyar doları buluyor.
ABD'de Siber Ordu Çalışmaları - United States Army Cyber Command
1 ekim 2010'dan beri aktif olduğu belirtilen "U.S. Army Cyber Command" Amerikan Siber
Komutanlığının servis bileşeni olarak tanımlanıyor. Bu ordu Amerika dışarıdaki organizasyonların
siber ve bilgi operasyonlarına cevap vermek için kurulmuş. Başında bir general bulunuyor. Bu ordu
bir "ikincil ordu" olarak tanımlanıyor ve doğrudan ordunun G-6 olarak tanımlanan CIO'suna
raporluyor. Siber saldırılar - savaş söz konusu ise Army Cyber, Ordu İstihbarat ve Güvenlik
komutanlığının (INSCOM) operasyonel kontrolünü de üstleniyor. Altında bir adet kara kuvvetlerine
dahil Bilgi Operasyonları Kumandanlığı ve 780ci Ordu İstihbarat Tugayı bulunuyor. Bilgi
Operasyonları Kumandanlığı altında birtanesi eğitim, saha desteği, güvenlik açığı değerlendirme ve
OPSEC farkındalık takımı, diğeri ise dünya çağındaki Amerikan askeri eğitim merkezlerinde karşı
saldırı operasyonlarını yürüten 2 tabur bulunuyor. İlk kuruluş haberinde toplam 21.000 askerlik bir
ordu olacağı belirtiliyordu. Merkezi ABD, Maryland'de olan 780 inci Ordu İstihbarat Tugayı ise,
keşif ve uzaktan siber saldırı ile siber savunma operasyonları yürütüyor. Bu operasyonlarla siber
orduyu destekliyor. G-6, talimatlarını ve stratejiyi LandWarNet denilen bir yapıdan alıyor. Bu yapı
ise Savunma Bakanlığı altında, ordunun tüm bilişim yetenekleri, veri toplama, depolama, eleman
operasyonlarını yönetiyor.
2010 yılında ortamda keşfedilen ve İran nükleer santrallarındaki verileri şaşırtma fonksiyonu
gerçekleştirdiği anlaşılan "Stuxnet" virüsünün ve öncesi ile sonraki virüsleri (Flame, Duqu vs), yine
ABD operasyonu olduğu düşünülüyor.
Çin Askeri Hackerları
Siber ordu anlamında, belki de faaliyetlerini ilk duyduğumuz ülke Çin'liler. İlk günlerde
örgütlü olmalasalar da, epeyce saldırı yaptıklarına dair işaretlerden bahsedildi. Çin klasik ordusunun
bir de siber bölümü olduğu henüz 2015 yılı mart ayında ortaya çıktı ama Pentagon'un yıllardır Çin'li
hackerlardan şikayet ettiğini biliyoruz.
Siber konuların önemini bu kadar erken keşfettiklerinden ve telekom alanında teknoloji
geliştirebilen bir ülke olmalarından ötürü olsa gerek, Çin siber uzmanlıkta da ileri. Örneğin, 2015
yılında Çin'den kaynaklanan hükümet-destekli siber saldırıların sayılarının ve şiddetinin çok
yükseldiğine, hemen hemen her endüstriye ve çok sofistike saldırılar olduğuna dair raporlar arttı.
Çin hackerlarının bu sene ABD'de Anthem, Devlet Personel İdaresi gibi pek çok hack olayında
parmakları olduğu düşünülüyor. Amerika'lılar Çin'lilerin yıllardan beri sürdürdüğünü iddia ettikleri
saldırılarda bu yıl ekonomiye ve politikaya yönelik saldırıların başladığı düşüncesindeler. Çin
hükümetinin geleneksel askeri casusluktan, artık endüstri casusluğuna doğru yöneldikleri iddiası
var.
34
2015 yılında Çin'li yetkililerin siber ordunun daha kurumsal olması için bazı yeni
düzenlemeler yaptığı belirtiliyor. Bunun özellikle geleceğe yönelik önlemlerle ilgili olduğunu notu
var. Mesela, ilk defa böyle bir ordu olduğu kabul edildi. Daha sonra mayıs ayında da Çin Milli
Savunma Bakanı, "bilgi ile yönetilecek yerel savaşları"ı kazanmaya yönelik yeniden yapılanma
yapmak istediklerini açıklamıştı. Yıl sonuna doğru Çin Başkanı, Siber ordunun düşmanca olmayan
niyetlerini göstermeye yönelik diplomatik görüşmeler ve anlaşmalar yapmaya başladığı görüldü.
Ekim ayında ise, Çin siber güçlerini Merkezi Askeri Komisyon altında topladığını duyurdu. Bu
düzenlemenin bağımsız siber casusların hareketlerini koordine etmek ve geleceğin bilgi savaşlarına
hazır olmak için yapıldığı belirtildi.
Rusya Siber Ordusu
Rusya Federasyonu, siber dünyada ilginç fakat bir o kadar da şüpheli bir yer tutar. Siber
faaliyet hacmi bakımından üçüncü sırada bulunmasına rağmen (Deutsche Telekom’un bal küpü ağ
verilerine göre ABD ve Çin’in ardından), Rusya’nın en gelişmiş ve en yetenekli hackerlara sahip
olduğu kabul edilir.
Halk Kurtuluş Ordusu’nda binlerce hacker çalıştıran Çin hükümetinin aksine, Rus
hükümetinin hackerlarla olan ilişkisi daha belirsizdir. Rusya’dan çıkan siber saldırı rotaları takip
edildiğinde genellikle hackivist grup ve suç örgütleriyle bağlantı kurulur, bu da hükümete saldırının
sorumluluğunu inkar payı bırakır. Fakat özellikle Rus devletinin yozlaşmış yapısı göz önüne
alınırsa bu gibi bir durumun devlet tarafından hackerlara destek verildiği ihtimalini ortadan
kaldırdığı söylenemez.
Rusya’nın sahip olduğu siber ordu hakkında henüz detaylı bilgilendirmeler yok. Dünyada en
çok hack ve virüs saldırısının Rusya üzerinden geldiği düşünülürse, zaten ülkenin resmi açıklama
yapmasına gerek de kalmıyor. Dünyanın en tehlikeli, siyah şapkalı hacker’larından oluşan Rus siber
ordusu, KGB ekolünü devam ettiriyor ve gizli çalışmayı seviyor. 2012 yılı içerisinde ABD’li şirket
ve kurumların canını çok fazla yakan orduda kaç kişi çalıştığı bilinmiyor.
İran Siber Ordusu (Cihat)
İran, Stuxnet krizinden sonra siber savaşla yakından ilgilenen ülkeler arasında yer alıyor.
Avrupa ve ABD’yi direkt hedef alan İran Siber Ordusu, ufak taciz atışları ve istihbarat konusunda
uzmanlaşmış insanlardan oluşuyor. İran’ın açıklamalarına göre ellerinde binlerce hacker var. Kimse
tam olarak doğru sayıyı bilmiyor. 2012 yılı boyunca bir çok büyük Amerikan şirketi, İran’ın
saldırılarına hedef oldu. İran Siber Ordusu, düşmanı için kritik olan marka ve kurumların sitelerini
hack’leyip Kur’an eşliğinde gövde gösterisi yapmayı seviyor. Ayrıca bu ordu iç yönetimde kontrolü
sıkılaştırmak için de çalışıyor.
Japon Siber Ordusu
Dünyada bu gelişmeler oluşurken Japonya daha farklı bir yol deneyecek. Japon teknoloji ve
güvenlik bakanlıkları siber saldırılara karşı otomatik cevap verecek yapay zeka bir virüs üzerinde
çalışıyor. Ddos saldırısı bile olsa virüs operasyonu yapan kişilerin peşine düşecek onları tespit
edecek ve bilgisayarlarındaki tüm verilere el koyup, Japon güvenlik güçlerine ulaştıracak. Tıpkı
İnternet üzerinde yaşayan tecrübeli bir ajan gibi davranacak virüsün yakın zamanda kadar aktif
olması bekleniyor.
35
Siber Silahlar
Siber alanda gerçekleşen saldırıların ve savaşların kendine özgü silahları bulunmaktadırlar.
Bu silahlar doğrudan fiziki dünyayı hedef almasalar da sanal dünya ile eklemlenmiş günlük
hayatımızda olumsuz sonuçlara yol açabilmektedirler. Örneğin ulusal haberleşme ağlarına
verebilmekte veya elektrik santrallerini devre dışı bırakarak kullanılamaz hale getirebilmektedirler.
Siber savaşlarda zararlı yazılımlar ve güvenlik yazılımları kullanılır. Sistemin zafiyetine
göre bu yazılımlar ve araçlar geliştirilebilir, değiştirilebilir. İnternetin ortaya çıkmasından beri bir
çok yararlı ve zararlı yazılım geliştirilmiştir. Siber silahları üç ana başlıkta toplamak mümkündür.
Bu silahlar genel olarak sözdizimsel (syntactic), anlamsal (semantic) ve karışık (mixed) tipteki
silahlar olarak adlandırılmaktadır.
Sözdizimsel silahlar DoS (Denial of Service) saldırılarını ve kötü niyetli yazılımları
(Malicious Code, Spyware, Trojan Horses ve Worms) kullanarak bilgisayarların işletim sistemlerine
zarar verirler. Anlamsal (semantic) siber silahlar ise bilgisayarda karşımıza çıkan bilgilerin
doğruluğunu değiştirerek bilgisayar kullanıcılarına kendini fark ettirmeden yanlış bilgi edinmelerini
sağlarlar. Karışık tipteki siber saldırı araçları ise hem sözdizimsel (syntactic) hem de anlamsal
(semantic) silahların birlikte kullanılmasıyla oluşurlar ve sadece bilgisayarın işletim sistemlerine
zarar vermekle kalmaz aynı zamanda bilgisayar kullanıcılarının elde ettiği bilgilerin doğruluğunu da
değiştirirler.
Dünyada Ses Getiren Önemli Zararlı Yazılımlar Şunlardır:
1-Stuxnet
2-Back Orifice
3-Melissa
4-I.love.you
5-Code Red
6-Morris Solucanı
7-Nimda
8-Blaster
9-Slammer
10-Sasser
11-Zeus
12-Conficker
13-Dugu
14-Flame
Yukarıdaki zararlı yazılımlar siber savaş senaryolarının gerçek dışı olmadığının kanıtıdır.
Stuxnet İran Nükleer Tesisleri’ne gönderilen ve Nükleer Santral’in çalışmasını etkilemiştir. Dugu
da bir başka önemli zararlı yazılımdır oda endüstriyel sistemler hakkında bilgi toplamaya yarayan
bir zararlı yazılımdı. Flame’de aynı şekilde hatta diğerlerinden ayıran özellik boyutudur. Flame 20
36
mb boyutunda diğer zararlı yazılımlara oranla çok daha büyük ve Siber Bilgi toplamaya yönelik bir
zararlı yazılımdır. Bu zararlı yazılımlar uzun bir süre anti virüsler tarafından fark edilememiştir.
Hatta Stuxnet Amerikan askeri ve istihbarat yetkilileri tarafından yazılmıştır. Durum böyle olunca
ülkeler savaşlarını siber alana taşımış ve Siber Savaşlar başlamıştır. Bu durumda da savaşlarda
başarılı olabilmek ve gelecek saldırılardan korunmak için siber istihbarata ihtiyacımız vardır. Bu
bakımdan karışık tipteki siber silahlar daha profesyonel saldırı aracı olarak görülmektedir. Aşağıda
siber savaş silahları ve bu saldırı araçlarının kullanıldığı bazı örnek olaylar ele alınmaktadır.
1. Hizmet Aksatma (DoS) ve Dağınık Hizmet Aksatma (DDoS) Saldırıları
DoS (Denial of Service) saldırılarındaki amaç kritik bilgileri çalmak, onları düzenlemek
veya yok etmek değildir; DoS saldırıları herhangi bir ağın işleyişini bozmaya yönelik saldırılardır.
Böylelikle ağ kullanıcıları, bilgi akışını yavaşlatacak veya tamamıyla durduracak biçimdeki
yenileme istekleri nedeniyle ağa ulaşamaz duruma gelebilmektedirler. Bu saldırılar herhangi bir
internet sitesinden hizmet alan kullanıcıların o siteye erişimlerini engelleyerek hizmet akışının
durmasını sağlamaktadır. Bu tarz saldırıların en önemli özelliği saldıran tarafa çok sınırlı imkanlarla
bile saldırıyı düzenleyebilecek fırsatı vermesidir. Eski model bir bilgisayar ve sıradan bir modemle
son teknolojiyi kullanan bir bilgisayar ağını çökertmek mümkün olmaktadır. Hem maliyeti düşük ve
faili bulunamayan, hem de etkisi önemli olan DoS saldırıları siber savaşta kullanılan önemli
silahlardandır.
DDoS (Distributed Denial of Service) saldırıları ise virüsler tarafından etki altına alınmış
çok sayıda bilgisayar sistemlerinin veya ağlarının tek bir bilgisayara saldırmasıdır. Böylece binlerce
bilgisayar aynı anda tek bir bilgisayara saldırarak onu etkisiz hale getirebilmektedir DDoS tarzdaki
saldırılar DoS saldırılarına kıyasla durdurulması daha güç saldırılardır. Çünkü birçok farklı
noktadan aynı anda saldırmaktadırlar.
DDOS Saldırılar Nasıl Oluşturuluyor ?
DDOS saldırılarının 3 aşaması vardır.
1. Saldırı için bir zombie bilgisayar ordusu meydana getirmek,
2. Saldırının silahlarını oluşturmak
3. Saldırıyı gerçekleştirmek
Bu şekilde özetlemekle birlikte, dDOS saldırıları yapanların aslında "Zombie Bilgisayar
ordusu meydana getirme" aşamasını daha önceki yıllarda başlattıklarını, şimdilerde bu orduları
büyütmekle meşgul olduklarını hatırlatalım. O nedenle de, 2012'lerde 200 GB olan saldırılar,
2015'lerde 400 GB'lere çıkmış durumda; "ne kadar zombie bilgisayar, o kadar büyük saldırı”.
Şimdi DDOS saldırıları oluşturmak için takip edilen yolu izleyelim. Bu yol, siber
saldırganlar kadar, siber güvenlik uzmanları ve hatta hükümetler tarafından da uygulanan bir rota.
Siber saldırıları daha iyi anlayabilmek için bu yolu ve yol boyu neler yapıldığını gözden geçirelim;
Ortam Keşfi
Bir siber saldırının ilk adımı "keşif" yapmaktır. Bu adımda saldırgan, saldıracağı hedefle
ilgili olarak kullanabileceği tüm bilgileri toplar. Keşif aşamasında, çeşitli araçlar ve teknikler
kullanılır. Mesela hedefin networkünü incelemek için NMAP ya da ZENMAP gibi bir araç
kullanılabilir. Böylece, hedefin güvenlik ayarlarını ve özelliklerini ve dolayısıyla da zayıf noktaları
37
tespit etmek mümkün olur. Ama zayıf noktalar illa siber/sanal olmak zorunda da değildir.
Sistemlere sızmak için örneğin kontrolün zayıf olduğu bir kapı ya da sistem de kullanılabilir. Yani
fiziksel zayıf noktalar da gözönüne alınmalıdır. Örneğin, İran nükleer santrallarına yapılan Stuxnet
saldırısının bir USB üzerinden sisteme sokulduğu biliniyor. Ama ilk farkedilmesinden 3 yıl kadar
sonra, Uzay İstasyonuna kadar bulaştığı ortaya çıktı.
Saldırı Silahının Seçimi
Keşif adımından sonraki adım bulunan açığa uygun saldırı aracını tespit etmektir. Bunun
için CVE veri tabanına bakılabilir. Bu veri tabanında her türlü bilgisayar ve yazılım açıkları yer alır.
Bu açıklar raporlanmış olsa ve yamaları da bilinse de, gerek bilgisizlik, gerekse tembellik
yüzünden, açıklar yamalarının yayınlanmasından yıllar sonra bile kullanılabilir durumdadır.
Saldırının Başlatılması - Zombie Bilgisayar Avı
Saldırının başlangıç adımı, bilgisayarlara "trojan atı" dediğimiz kötücül kodların
yerleştirilmesidir. Kötücül kodlar, e-mail, virüs taşıyan resimler, virüs yerleştirilmiş PDF dosyalar,
ya da virüs taşıyan USB gibi çok çeşitli yollarla yerleştirilebilir. Kötücül kod içeren e-mail, dosya
ya da resimler, dönemin modasına uygun içeriklerdir. Bu bazen çıplak bir kadına ait resim, bazen
Nepal depremi gibi bir doğal felakete aitmiş ya da herhangi bir konuda bilgi vermek için
gönderilmiş gibi gözüken dosyalardır. Genellikle de, daha önce avlanmış bir zombie bilgisayar
kullanılarak gönderilir ya da tarayıcı ve web sunucu açıklarından yararlanılır. Bu amaçla
oluşturulan web sitelerine, bahsettiğimiz tarzda bir içerik yerleştirilir ve spam e-maillerle insanlar
buraya çekilir.
Sızma
Gönderilen bu kötü kodlar (virüs), hedef PC'lere ulaştığında, ortama sızma mümkün hale
gelir. En fazla kullanılan araç, "Metasploit Framework" olup, bu araç içinde siber saldırının
gerçekleştirilmesine yönelik çeşitli kodlar ve methodlar vardır.
Saldırı Sisteminin Oluşturulması
Sisteme sızılmasından sonraki aşamada, saldırı yapmaya yönelik sistemin kurulması gerekir.
Bunun için zombie bilgisayarlara arka kapı uygulamaları kurulur. Böylece gerektiğinde enfekte
olmuş (virüs sızmış) makinanın kumanda edilmesi mümkün hale gelir. Yani artık o bir Zombie
Bilgisayardır.
Komut ve Kontrol
Virüs bulaştırılmış makinalar Metasploit Kumanda ve Kontrol merkezinden
görülebilmektedir. Böylece hackerlar bu makinaları kontrol ederek, saldıracağı yere yönlendirir.
Saldırı komutu verir. Bu komut, başka makinaları da virüsletmeye yönelik gönderiler olabilir,
networkü enfekte etmek olabilir, enfeksiyonun izleri silinebilir, dosya yüklenebilir ya da o
makinadan dosya alınabilir ve belli bir hedefe saldırı (tıklama) yaptırılabilir. Bu saldırılar süre ve
boyut olarak fiyatlandırılarak da kullanılıyor. Mesela bugünlerde 40-50 GB'lik saldırıları 150-400
$/saat fiyatlarla satın almak mümkün.
Ama bu zombie ordularıyla sadece saldırı yapıldığını düşünmek yanlış olur, müzik
tıklamaları ya da reklam tıklamaları da bu dDOS satıcıları ile anlaşılarak yaptırılabiliyor. Bugün
ülkemizde yıllardır fiziksel olarak 300.000'in üstüne çıkamadıkları halde, kendilerini internet'te
38
milyar sayfa okunuyor diye sunan büyük gazetelerimiz hepsi bunu yapıyorlar ve reklamcıları da
bunu biliyor. Dünyada 20 $'larda olan banner fiyatlarının bu gazetelerde 1,5-2 $'lara düşmesinin bir
nedeni bu. Üstelik bu sahte tıklama olayı yeni de değil. İstediğiniz sırada gözükmek için gerekli
parayı ödemeniz yeterli.
Siber saldırıların takip ettikleri bir plan var. Bu plan, siber güvenlik uzmanları, siber
saldırganlar ve hatta hükümetler tarafından uygulanan bir rota. Herhangi bir konuda sorun yaşayan
taraflardan biri diğer tarafa maddi zararlar vermek ve ülke güvenliğini sağlayan yönetimlerin
itibarını sarsmak için de siber saldırı yöntemlerine başvurmaktadırlar. Örneğin, İsrail ve Filistin
arasında yaşanan siyasi gerilimler gerçek ve siber dünyada birbirine paralel olarak gerçekleşen
saldırılara sebep olmuştur. Filistin’de ikinci intifadanın Eylül 2000 tarihinde başlamasıyla birlikte
“siber intifada” ya da “Inter-Fada” olarak adlandırılan siber savaş da başlamıştır. İsrail yönetimi, 6
Kasım 2000 tarihinde üç İsrail askerinin Hizbullah tarafından kaçırılmasını takiben, Hizbullah ve
Hamas’ın internet sitelerine yoğun biçimde DDoS saldırıları düzenlemiştir. Bu saldırılara cevap
olarak Filistin sempatizanı hackerlar da İsrail savunma güçlerinin, Dışişleri Bakanlığı’nın, Tel Aviv
Borsası’nın ve Merkez Bankası’nın web sitelerinin çökmesine neden olmuşlardır. Böylece iki taraf
aralarındaki anlaşmazlığı ve savaşı siber alana da taşımışlardır.
Bu tarihlerdeki bir diğer örnek ise Çin ile ABD arasında yaşanan siber gerilimdir. 2001
yılının Nisan ayında bir Çin savaş uçağıyla ABD gözetleme uçağının çarpışması sonrasında bazı
Çinli hacker grupları ABD’ye karşı yoğun ve uzun süreli siber saldırılar düzenlemişlerdir.
Çinli hacker grupları Beyaz Saray, Amerikan Enerji Bakanlığı ve Amerikan Hava
Kuvvetleri’nin de içinde bulunduğu yaklaşık 1200 siteye DDoS saldırıları düzenlemişlerdir.
ABD’yi hedef alan siber saldırıların kaynağının belli olmasına rağmen, Çin hükümeti bu saldırılara
karşı bir yaptırım uygulamamıştır. Bu saldırıların Çin hükümeti tarafından desteklendiği ya da en
azından görmezden gelindiği açıktır.
Siber saldırıların daha güncel örnekleri ise 2007 yılında Estonya’ya düzenlenen yüksek
yoğunluklu saldırılardır. Estonya’daki DSES saldırısı o güne kadar görülenlerin en büyüğü idi.
Daha önce uyumakta olan on binlerce kullanıcı yüksek sayıda botnet bir anda faaliyete geçti.
Başlangıçta Estonyalılar bunun birkaç kızgın Rus milliyetçisinin yarattığı ufak bir rahatsızlık
olduğunu zannetti. Ama daha sonra botnetler çoğu insanın tanımadığı web sayfalarını hedef almaya
başladı. Kamuya açık web sayfalarının yanı sıra, telefon ağını çalıştıran sunucuların adresleri, kredi
kartı doğrulama sitemi, internet rehberi gibi önemli siteler saldırıya uğrayıp botnetlerin yoğun ping
talebine dayamayarak birer birer göçtüler. Ardı arkası kesilmeyen saldırılar Estonya’daki tüm
sunucuları etkiledi. Ülkenin en büyük bankası Hansabank tamamen etkisiz kaldı. İletişim ve ticaret
durma noktasına geldi. Saldırılar ise durmuyordu. Daha önceki DSES’lerde tek bir sitenin birkaç
gün saldırı altında kaldığı görülmüştü. Bu seferki değişikti. Haftalar boyunca ülkenin en önemli
siteleri vurulup aya kalkamaz hale geliyordu. Avrupa ve Kuzey Amerika’dan internet güvenlik
uzmanları Tallin’e koştular. Estonya konuyu NATO’nun en yüksek organı olan Kuzey Atlantik
Konseyine götürdü. Rus hükümeti, ise, kendisinin Estonya’ya karşı bu siber siber saldırısını
gerçekleştirdiğini şiddetle inkar ediyordu. Ama Estonya’nın resmen yaptığı saldırganların izlenip
yakalanması yönündeki diplomatik talebi de reddetti. Estonya’yı hedef alan siber saldırılar
internete dayalı bilgi teknolojilerinin ne derece hassas ve saldırılara açık olduğunu bir kez daha
göstermiş bulunmaktadır. Estonya’ya yapılan saldırıdan sonra NATO orada siber savunma merkezi
kurmuştur.
39
Yakın dönemde yaşanan siber saldırı hedeflerinden bir başkası olan Gürcistan ise, 2008
yılında yaşanan Rusya-Gürcistan savaşıyla birlikte yoğun olarak siber saldırıyla karşı karşıya
kalmıştır. 8 Ağustos 2008’de Rusya’nın Gürcistan’a saldırısını takiben Gürcistan hükümetine ait
internet sitelerine DoS saldırıları düzenlenmiştir. Fiziki saldırıyla eş zamanlı düzenlenen siber
saldırılar gerçek dünyada oluşan sorunların anında sanal dünyaya da yansıyabileceğini göstermiştir.
Gürcistan ve Rusya arasındaki siber savaş kamuoyunu şekillendirmek amacı da taşımaktadır. Her
iki tarafın destekçileri tarafından gerçekleştirilen DoS saldırılarına ek olarak sahte siteler
hazırlanmış ve bu sitelerde iki grup da kendi doğrularını halka ulaştırmaya çalışarak propaganda
yapmışlardır. Bankacılık, medya ve hükümete ait sitelere bilgi akışının sağlanması durdurularak
Gürcistan içinde ve uluslararası alanda haberlere ulaşım engellenmiştir. Bu saldırılara Gürcistan tek
başına karşı koymakta zorlanmış ve dışarıdan yardım almak durumunda kalmıştır. Gürcistan
Dışişleri Bakanlığı sitesi ve Gürcistan’a günlük haber akışını sağlayan siteler Google’ın sağlamış
olduğu domain alanı sayesinde korunmuştur. Başka bir yardım da yöneticisi Gürcü olan özel bir
Amerikan internet servis sağlayıcısından gelmiş ve Gürcistan Devlet Başkanının resmi sitesinin
yeniden kullanıma açılması sağlanmıştır.
Bir diğer siber saldırı Kırgızistan’da 2009 yılında meydana gelmiş ve ülkenin iki ana
internet sağlayıcısı hedef alınarak, DoS saldırılarıyla web sitelerinin çökmesine, ülkedeki elektronik
posta servisinin de kullanılamaz hale gelmesine neden olmuştur. Bu saldırıların Rusya kaynaklı
olduğu tespit edilmiş , ancak saldırıların arkasında Rus hükümetinin olduğuna dair herhangi bir
kanıt bulunamamıştır.
Siber saldırılardan muzdarip olan devletlere Pentagondan yapılan açıklamaya göre son
dönemde yaşamış olduğu siber ataklar nedeniyle ABD de katılmıştır. Kuzey Koreli bir grup ajan 4
temmuz tatilinden hemen önce 40.000 bilgisayara şifreli bir botnet mesajı gönderdi. Bu mesaj
bilgisayarların bir dizi ABD ve Güney Kore devlet web sitesi ve uluslararası şirkete ping saldırış
yapmasına yol açtı. Enjekte olan bilgisayarlar açılır açılmaz saldırıya katılıyorlardı. Sizin
bilgisayarınız zombilerden biri olsaydı, açtığınız zaman işlemcinizin biraz yavaşlamış olduğunu ve
web sitelerine biraz daha yavaş girdiğinizi fark edebilirdiniz. Botnet zombileri gene bir DSES
saldırısı başlatmıştı. Hafta sonu bitmeden, ABD hükümeti dhs.gov ve state.gov sitelerinin
çöktüğünü fark etti.
ABD devlet siteleri saniyede 1 milyon talep alarak boğuldular. Hazine Gizli Servis, FED ve
Ulaştırma Bakanlığı siteleri de kısa sürede çöktü. Daha sonra NASDAQ borsası, NewYork ticari
merkezleri ve hisse senedi borsası ile Wahington Post gazetesi de yıkıldılar. Virüsün değişik bir
çeşidinin bulaşmış olduğu 30.000 ile 60.000 arasında bilgisayar, bu sefer Amerika’yı bırakıp
Güney Kore bankalarına, internet güvenliği şirketlerine saldırdı. Yetmiş dört ülkeden 166.000
bilgisayar Kore bankalarının ve devlet kuruluşlarının sitelerine sel gibi akmaya başladı. Seki ana
saldırı bilgisayarının güney Kore, ABD, Almanya, Avusturya ve Gürcistan’da olduğu tespit edildi.
Bu sekiz sunucuyu kontrol eden kişi de İngiltere’deydi. Ama buradan sonra iz sürülemiyor. Kuzey
Kore Silahlı Kuvvetler Siber Savaş komutanlığının emrinde 600 hacker çalışıyor. Başka bir birimde
Sunyang şehrinde, Myohyang Oteli’nin katlarında bulunan ajanlardan oluşuyor. Toplamda Kuzey
Kore’nin Çin Halk Cumhuriyeti sınırları içinde 600 ile 1.000 arasında siber savaşçısı bulunmakta.
Siber savaşçılık teknikleri tatbikatları yürütülüyor. Bu iyi niyet göstergesi üzerine Başkan Bill
Clinton Kuzey Kore lideri ile buluştu ve olay tatlıya bağlandı.
40
ABD Savunma Bakan Yardımcısı (Deputy Secretary of Defense) William J. Lynn siber
tehlikenin farkında olduklarına vurgu yaparak “tek bir tuş darbesinin göz açıp kapayıncaya kadar
önemli zararlara yol açabileceği”ni ifade etmiştir. 2011 yılı Mart ayında Ulusal Savunma Ağından
tek bir seferde 24 bin belgenin çalındığını duyuran Bakan Yardımcısı Lynn “21. yüzyılda ‘bit’ ve
‘byte’ların kurşun ve bombalar kadar tehlikeli olduğu”nun altını çizmiştir. Siber saldırıların
hedefinde olan ABD, kendisine yöneltilecek herhangi bir siber saldırıyı savaş sebebi sayacağını da
ilan etmiştir.
2. Kötü Amaçlı Yazılımlar
Kötü amaçlı yazılımlar bilgisayarın işletim sistemini hedef alarak kullanılmaz hale
getirebilen değişik türdeki yazılımlardır. Bu yazılımlar çeşitli amaçlara yönelik olarak da
geliştirilebilmektedir.
IP Aldatmacası (IP Spoofing)
IP kandırmacası olarak kullanılan bu saldırı biçiminde saldırgan ve korsan yazılım çok
bilinen güvenli bir sitenin IP adresini kullanarak kendi kimliğini gizlemeyi başarır. Gizlemiş olduğu
kimlik sayesinde sisteme sızdığı tarayıcıdan (browser) veya bağlantı kurduğu ağdan bilgilere
ulaşabilmektedir. IP aldatmacası sayesinde sisteme sızan korsan URL (Uniform Resource Locator Birörnek Kaynak Bulucu) adreslerinin bir sahtesini hazırlayabilmektedir. Böylece orijinal siteyle
aradaki fark anlaşılamaz hale gelmekte ve bu farkı anlayamayan kişi ve kurumların önemli
bilgilerine ulaşılabilme imkanı doğmaktadır.
Rusya Bişkek’teki hava üssünün Amerikan kuvvetleri tarafından kullanımının
durdurulmasını istiyordu; bu nedenle Kırgızistan’a yönelik baskı oluşturmuştu. Kırgızistan’daki
siber saldırılar ise Rusya hükümetinin Kırgız hükümetine yaptığı baskıyla aynı döneme rastlamıştır.
Bişkek’te bulunan hava üssü Afganistan’da Amerika tarafından yürütülen operasyonlar için stratejik
öneme sahip kritik bir lojistik destek merkeziydi. Bu açıdan bakıldığında gerçek dünyada ortaya
çıkan herhangi bir sorunun, siber dünyada yansımalarının görülebileceğine dair diğer önemli örnek
gözler önüne serilmektedir.
Kötü Amaçlı Yazılım (Malicious Program)
Kötü niyetli bu yazılımlar bilgisayarın normal fonksiyonlarını yerine getirmesine engel
olabilirken, bilgisayarlarda siyah pencereler açarak saldırıyı düzenleyen tarafından uzaktan kontrol
edilmesini de sağlayabilmektedirler. Sanal dünyada “trojan”, “worm” ve “virus” olarak bilinen
yazılımların tamamı kötü amaçlı yazılım (malicious program) örnekleridir. Bu tip saldırı araçları
bazı dosyaları silebileceği gibi bazılarını da kullanılamaz hale getirebilmektedir. Virüsler
kendilerini bir takım program veya dosyalara bağlı hale getirebilir ve bu şekilde bir bilgisayardan
diğerine diskler ve ağlar arasında kendilerini kopyalayarak hızla yayılabilirler. Siber saldırıda
kullanılan bu tür yazılımlar hedefteki bilgisayarı kötü yazılımları barındıracak şekilde yeniden
programlayarak önemli bilgileri ele geçirebilecekleri gibi bu bilgileri yok da edebilmektedirler.
Kötü amaçlı yazılım programlarının en gelişmiş versiyonunu oluşturan Stuxnet adındaki
worm, 2010 yılında ortaya çıkmıştır. Stuxnet’in en belirgin özelliği kendisini otomatik olarak
kopyalayabilmesidir. Böylece içine yerleştiği ağı kullanılamaz hale getirene kadar yayılabilen bir
tür yazılım bombası işlevi görmektedir. New York Times, BBC ve Guardian gibi gazeteler bu
virüsün ABD veya İsrail tarafından geliştirilmiş olabileceğini öne sürmüşlerdir. Bunu düşündürecek
41
en önemli gelişme ise Stuxnet’in hasara yol açtığı host sitelerinin %60’a yakınının İran’da
bulunuyor olmasıdır. Bir çok kişi bu virüsün özel eğitimli uzmanlar tarafından devlet destekli bir
siber saldırı amacıyla geliştirildiğini düşünmektedir .
Doğrudan bir devleti hedef almayan veya ciddi bir siyasi gerilime bağlı olarak meydana
gelmeyen siber saldırılar da görülebilmektedir. 2009 yılının sonlarına doğru Google’a yapılan
saldırılar örnek olarak verilebilir.
Google tarafından 2010 yılının hemen başında yapılan bir duyuruya göre kaynağı Çin olan
siber saldırılar, Google şirketinin altyapısına sızarak çeşitli bilgileri çalmayı başarmış, buna ek
olarak bazı insan hakları savunucularının g-mail hesaplarına ve 33 farklı şirketin ağına girebilmiştir.
Yazılım Bombası (Logic Bomb)
Kötü niyetli yazılımların önemli bir örneği olan yazılım bombaları önceden belirlenmiş bazı
olayların gerçekleşmesi şartıyla bazı uygulamaların kendiliğinden devreye sokulmasını
sağlamaktadır. Örnek olarak, eğer korsan bir yazılım bilgisayardan bilgi çalmaya çalışırsa yazılım
bombası otomatik olarak tüm bilgileri silebilir, karşı saldırıya geçebilir, bilgisayarı tamamen
kapatarak erişimi engelleyebileceği gibi sayısız DoS saldırısı komutunu da saldırıyı düzenleyen
bilgisayara karşı işleme koyabilir.
Bu tip siber saldırı silahları hem mevcut bilgileri koruyarak dışarı sızmasını engellemeyi
hedeflerken, hem de olası saldırılara otomatik cevap verebilmektedir. Kuzey Kore önemli siber
saldırı silahlarını stratejik amaçlar için kullanmayı hedeflemiş ve 2007 yılında bilgisayar ağlarına
zarar verebilecek hatta gizli bilgileri ele geçirebilecek önemli bir siber saldırı silahını denemiştir.
Dijital Manipülasyon (Digital Manipulation)
Dijital manipülasyonlar herhangi bir imajı bilgisayar yardımıyla değiştirerek yeni anlam
kazandırmayı hedeflemektedir. İstihbarat veya güvenlik birimlerinin kullandığı bu yöntem yanlış
bilgilendirmeyi veya kandırmayı amaçlamaktadır. Bu sayede kamuoyu istenilen doğrultuda
yönlendirilebilmektedir.
Örnek olarak, 2006 yılında İsrail ve Lübnan’daki Hizbullah örgütü arasında devam eden
anlaşmazlıkta, Reuters ajansı yayınladığı fotoğraflarda dijital manipülasyona başvurduğunu kabul
etmiştir.
Dijital manipülasyonun daha ileri versiyonu ise canlı yayınlanan videolarda
kullanılabilmektedir. Ekranda akan video kareleri arasında saniyeden daha kısa süreli geçişlerde, bir
nesne veya insan ekrandan çıkarılabileceği gibi ekranda olmayan nesne veya insan da ekrana
eklenebilmektedir.
DDos Saldırılarına Karşı Yapılması Gerekenler
DDos saldırılarından korunmak ve kurtulmak mümkün. Bunun için öncelikle saldırganların
sizden her zaman bir adım önde olduğunu kabul etmek birinci kural. Dolayısıyla gelen Ddos
saldırılarını anlık olarak tespit ederek savunma geliştirmek durumundasınız. Ddos saldırıları
konusunda yatırımı olmayan kurumların işi zor. Fakat bu hizmeti sizin adınıza yapabilecek
profesyonel servis sağlayıcılar var. Örneğin bir bankasınız ve siber güvenlik erken tespit sistemleri
yatırımınız ve insan kaynağınız var. Bu durumda DDos savar dediğimiz özel cihazları satın alıp
kullanabilirsiniz. Bunun da ötesinde bağlı olduğunuz internet servis sağlayıcıdan (Türk Telekom,
Superonline vb.) size doğru akan saldırı trafiğini kesme noktasında ücretli olarak yardım
alabilirsiniz. Bu da yeterli olmazsa uluslararası DDos temizleme veri merkezleri ile irtibata geçerek
42
trafiğinizi bu veri merkezlerine yönlendirebilirsiniz. Böylece savunma yapmak ile vakit kaybetmez,
işi uzmanına bırakırsınız. Zaten, saldırıların servis sağlayıcının size ayırmış olduğu bant
genişliğinin üzerinde olması durumunda mecburen internet sağlayıcınızdan yardım almak
durumundasınız.
Bugünün Tehdidi Yarının Kabusu: Siber Saldırılar
Bilişimin hayatımızdaki yeri ve önemi her geçen gün daha da artıyor. Ülke güvenliğini
ilgilendiren savunma başta olmak üzere enerji, elektrik, doğal gaz ve su şebekeleri, sağlık
hizmetleri, ulaşım, haberleşme ve finans gibi kritik alt yapı hizmetlerini bugün bilişim
teknolojilerinden bağımsız işletmek mümkün değil. Bilişim, bu hizmetlerin yararlanıcısı olan
bizlerin hayatını çok kolaylaştırdığı için bu bağımlılık –şimdi de mobil platformlar üzerinden- hızla
artıyor. Her nimetin bir külfeti olacağından işte tam burada güvenlik endişesi devreye giriyor. Buna
endişe demekte doğru değil, bu realite... Birey olarak bunu sanal dünyada kredi kartı bilgilerimizin
çalınması seviyesinde yaşıyoruz. Kritik altyapı ölçeğine çıktığımızda tehdit ülke savunmasında
zafiyete ya da kritik altyapı hizmetlerinin durmasında yaşanacak kaosa dönüşüyor. İşin en
korkutucu tarafı bu tehditlerin saldırıya ve oradan da felakete dönüşmesi için internet bağlantısı
olan bir bilgisayar ile ne yaptığını iyi bilen BİR kişi yeterli olabiliyor.
Tahmin edebileceğiniz gibi işin –endişelenenlerin- başını 11 Eylül saldırıları sonrasında
güvenlik seviyesi kırmızıdan paranoyaya çıkaran ABD çekiyor. İkinci sıraya ülkede yaşanan her 810 kişiye bir CCTV kamera yerleştiren İngiltere’yi koymak mümkün. Kuzey Kore ve Çin
istatistiklerini bulamadığımızdan veremiyoruz. Aslında cep telefonu, tablet, bilgisayar derken tüm
devletlerin vatandaşlarını adam başına 3-4 kamera ile izlediğini söylemek yanlış olmaz. Kritik
altyapının korunması ve siber güvenlik tüm gelişmiş ülkelerin ulusal tehdit sırlamasında ilk sıralara
yükselmiş durumda. 1940’larda Maslow piramidini yazıp çizmeden çok önce taa Eflatun’dan beri
devletler güvenlik kelimesinin kamu düzenindeki önemini bilirler. Günümüzde bu konuda en iyi
uygulamalarda hiç şüphesiz ABD’dedir. Ancak ayranın köpürtülen kısmını alsak bile kalan
yeterince anlamlı. Bu nedenle ülkeler birbiri ardına kritik altyapının korunması ve siber güvenlik
stratejilerini, eylem planlarını hazırlıyorlar, standartları belirliyorlar ve uygulamaları hayata
geçiriyorlar. Bizde ülke olarak Ulusal Güvenlik Strateji ve 2013-2014 Eylem Planını ilgili Bakanlar
Kurulu Kararı kapsamında 20.06.2013 tarihli Resmi Gazete’de yayımlayarak yürürlüğe aldık.
Eylem Planı’na uygun olarak oluşturulan ikinci yapı ise Ulusal Siber Olaylara Müdahale Merkezi
(USOM). Ulusal ve uluslararası düzeyde bir koordinasyon merkezi olması hedeflenen USOM
Telekomünikasyon İletişim Başkanlığı bünyesinde oluşturuldu. USOM ilk eylemlerinden birisi
Sektörel ve Kurumsal Siber Olaylara Müdahale Ekiplerinin (SOME) oluşturulması oldu.
Siber Güvenlik Kritik Altyapı Tesisleri İçin Ne Kadar Büyük Bir Risk Oluşturuyor?
Cambridge Üniversitesi’nin Risk Çalışmaları Merkezi adı altında bir araştırma merkezi var.
Bu merkez toplum yaşamını tehdit edecek sistematik riskleri tespit etmek, bu risklerin yol
açabileceği krizlerin olası etkilerini tahmin etmek ve riskler doğmadan alınabilecek tedbirleri
önermek olarak özetleyebileceğimiz adımlardan oluşan faaliyetler yürütüyor. İşte bu merkez
geçtiğimiz günlerde İngiltere Hükümeti için de siber-güvenlik konusunda danışmanlık yapan
uluslararası sigorta şirketi Lloyd ile birlikte bir rapor yayınladı. Rapor da 1999 yılından beri
gerçekleştirilen siber saldırılardan örnekler verilmiş. Bu saldırıların önemli bir bölümünün içeriden
43
(mevcut ya da eski çalışan) yapılmış olması dikkat çekiyor. ABD Anayurt Güvenliği Bölümünün
2014 değerlendirmelerine göre siber saldırılara en fazla mahzur kalan sektör elektrik sektörü olarak
görülmekte; elektrik sektörünü kritik üretim tesisleri izliyor. İş süreçlerinde bilişim teknolojileri
dönüşümüne çok daha önce başlayan finans sektörünün %1 ile en düşük saldırı oranlarından
birisine maruz kalırken elektrik şebekesinin %32’lik oranı bu konuda alınması gereken mesafenin
bir göstergesi niteliğinde. Öte yandan savunma ve ulusal güvenlik alanları siber saldırganların açık
ara en büyük hedefleri. ABD Savunma Bakanlığı tarafından ayda 41 milyon teşebbüs, izleme ve
saldırı ile karşı karşıya olduğu bilgisi veriliyor. Son 3 yılda ABD’de kritik altyapılara yönelik
saldırıların 17 kat arttığı ve tüketicilere yönelik siber saldırıların yılda 113 milyar dolar zarar
oluşturduğu gibi istatistiklerde bulunmaktadır.
ABD ordusu 2009 yılında yaptığı bir analiz çalışması sonucunda kara, deniz, hava, üç ana
kuvvet ile 15 alt muharebe biriminde ve yüzlerce idari birimde, 15 bin (yazıyla onbeşbin) bilişim
ağı ve bu ağlarda çok binlerce farklı donanım ve yazılım tespiti yapmış. Ayrıca tüm birimlerde
uygulanan bilişim güvenlik protokollerinin de birbirinden farklı olduğunu yetmezmiş gibi bu farklı
bilişim ağlarının bir şekilde birbirleriyle de irtibatlandıklarını görmüş. “İpin ucu bu kadar
kaçmışken bile bir şey olmadıysa bu siber güvenlik o kadar dert edilecek bir şey değil” deyip rahat
edeceklerine acilen ordu içindeki bilişim ağlarını tek noktadan yönetecek komutanı amiral olan bir
birim oluşturmuşlar. Bu birimde 1950’li yıllarda oluşturulan nükleer denizaltıların güvenlik
protokollerini esas alarak siber güvenlik için zorunlu kurallar, standartlar, donanım, yazılım,
eğitimler, testler vb. belirlemiş. Tüm çalışmaların en üstüne de 6 temel prensip koymuş. Bunlar
neler diye merak ettiyseniz, ilki; “bundan sonraki ilk siber saldırıyı muhtemelen yan masadaki
arkadaşın gerçekleştirecektir, gözünü ondan ayırma! (sorgulama)”.
İkincisi, birincisinin doğal sonucu olarak, “kimseye güvenme, her kritik işi en az iki kişi
yap/onayla (yedekleme)”. Üçüncüsü “kurallara kayıtsız şartsız uy (resmiyet)”. Dördüncüsü
“kuralları bildiğinden emin olmak için seni sürekli sınava tabii tutacağız (denetleme)”. Beşincisi
“sınavlarda başarılı ol diye seni sürekli eğiteceğiz (bilgi derinliği)”. Altıncısı “hala daha hata
yaparsan gelip itiraf et; biz bulursak bedeli daha ağır olur (dürüstlük)”. Kısaca almışlar tüm bilişim
ağlarını ve özellikle çalışanları disipline etmişler, yeknesak hale getirmişler. Yine de siber güvenlik
sorunlarını tam anlamıyla çözememişler. Bu sefer de “hepsini tek tip yaptık hem de duvarları
güçlendirdik ama birisi surları delecek bir yol bulursa tüm kaleler aynı anda düşecek” endişesi
yaşanmakta. Şimdi bu tehdidi gidermenin yollarını arıyorlar. Savunma sektörü zaten böyledir;
kimseye minnet etmez, kendi işini kendi yaratır. Sektördeki ilk projem elektronik harp, ikinci
projem elektronik karşı harp, üçüncü projem elektronik karşı-karşı harp.
Cambridge Üniversitesi ve Lloyd ortak çalışmasında temel olarak ABD elektrik şebekesine
yapılacak bir siber saldırının olası sonuçlarını değerlendiriyor. Baz senaryoda siber saldırı
sonrasında 15 eyalet ve Washington’da 93 milyon kişiyi etkileyen uzun süreli bir elektrik
kesintisinin finansal sonuçları ele alınmış. Senaryo Cambridge Üniversitesi araştırma merkezi
tarafından kısmen gerçek veriler kısmen öngörüler çerçevesinde oluşturulmuş. Siber saldırını yol
açabileceği ulaşım sistemlerinin çökmesi, ticaret ve üretimin durması, su kesintilerinin yaşanması
ve hatta ölümlere kadar bir çok olası sonucu irdeliyor.
Senaryo kötü amaçlı bir yazılımın (malware) ülkenin kuzey eyaletlerindeki elektrik
santrallerinin kontrol odalarını ele geçirmesini öngörüyor. Saldırı gününden 1,5-2 yıl önce başlayan
çalışmalar neticesinde 50 adet üretim tesisin (bölgedeki toplam tesisleri –hedefleri- %10’u) siber
44
güvenlikleri aşılıyor. Günü geldiğinde sistemleri zaman zaman yangınlara neden olacak düzeyde
aşırı yükleyerek üretim tesislerin devreden çıkması sağlanıyor. Bu ABD’nin kuzeyinde şebekenin
dengesizliğe düşmesine ve kalıcı elektrik kesintilerine yol açacak bir süreci tetikliyor. Bu
kesintilerin bir kısmı 24 saat içinde giderilebilirken bir bölümü haftalarca sürüyor.
Baz senaryo da 50 üretim tesisi devre dışı kalıyor. Sistemin %90’ı ancak iki hafta sonra
ayağa kaldırılabiliyor. Şehirler ortalama 3,78 gün elektriksiz kalıyorlar. Uç senaryoda ise 100 adet
üretim tesisi devre dışı kalırken sistemin ayağa kaldırılması 4 haftayı buluyor; şehirlerin ortalama
elektriksiz kalacağı süre ise 13,83 gün olarak hesaplanmış. Bu büyük kesintinin ABD ekonomisi
için sonuçları baz senaryoda 243 milyar dolar olarak hesaplanmış. Uç senaryoda ise bu rakam bir
trilyon doları aşıyor. Rapor bu olası ekonomik maliyetlerin sektörel bazda analizini de yapmış. En
büyük zararı toptan ve perakende ticaret sektörü görüyor. Kamu hizmetlerinin aksamasının
maliyeti en büyük ikinci kalem. Üretim sektörü, konaklama ve gıda ile meskenler en fazla etkilenen
diğer alanlar. Rapor aynı zamanda bu ekonomik kayıpların sigorta sektöründe yol açacağı
maliyetleri de hesaplamış. Baz senaryoda sigorta sektörü tarafından ödenen teminatların bedeli 21,4
milyar uç senaryoda ise 71 milyar dolar olarak tahmin edilmiş.
Amerika’yı bırakıp AB gelecek olursak; önce hep birlikte oturup ortak standartlar
belirleyelim diye çalışmışlar. Sonra böyle olmayacak her ülke kendisi belirlesin demişler. Eylül
2015 itibariyle gelinen nokta ise her ülkenin standartlarından ortak standartlar belirlenmesi.
Aslında başka ülkelerin ne yaptığının önemi
yok. Güvenlik işinde kimseye
güvenmeyeceksin. Bu yüzden Siber Güvenlik Kurulunun düzenli toplanması, ölçülebilir hedefler
koyup takip etmesi çok ama çok önemli. USOM’un tüm SOME’leri oluşturması ve bunlar arasında
etkin koordinasyonu sağlaması daha da önemli. Elektrik şebekesi özelinde seçilecek tüm
yazılımların ve donanımların, uyulacak kurallar ile uygulanacak protokollerin belirlenmiş
standartlara uygun ve kendi içlerinde uyumlu olmaları “en azından dağıtım şirketleri” için önemli.
Türkiye’nin akıllı şebeke uygulamaları derinleşmeden siber güvenlikle ilgili atılması gereken çok
sayıda kritik adım var; örneğin özellikle SCADA düzeyinde tüm donanım ve yazılımların siber
güvenlik açısından test edildiği bir lab kurulması ya da dağıtım şirketlerinin iletişim omurgasının
güvenlik kriterlerinin belirlenmesi gibi. Çalışanların –çoğu kez istemeden- siber saldırının en
önemli kaynağı olduğundan hareketle tüm personelin sürekli ve ulusal standartlarda eğitimi ise
şüphesiz ilk atılması gereken adım.
Siber Savaş Mücadelesi
İnternetin kurucusu ABD Savunma Bakanlığı idi. İlk günlerinde bile, internetin savaşta
kullanılması olasılığı göz ardı edilmedi. 1995 yılında Ulusal Savunma Üniversitesi ilk siber savaşçı
mezunlarını verdi. Sonradan, şu anlaşıldı ki, bilgi toplamak için ağlara sızdığınız zaman o ağları
çökertmek de son derece kolay oluyordu. Siber savaşçılara verebilecekleri hasarı anlatsalar, siber
uzayın kontrolünü onlara terk etmiş olabileceklerdi. Sonuçta siber savaşçılar, internet uzmanlarının
elinde gerçekten yararlı bir silah olduğunu anladılar. STRATCOM adı verilen ve stratejik nükleer
birliklere komuta eden Stratejik Komutanlık kuruldu. STRATCOM’a siber savaş konusunda da
2002 yılında yetki verildi. “siber savaş açığı artık geldi”
NSA adındaki elektronik istihbarat örgütünün başındaydı. NSA yabancı varlıklara karşı,
İnternet altyapısına sızarak casusluk yapma sürecine devam etti. Siber güvenlik şirketinde
45
çalışmaya başladı. Hava Kuvvetleri de burada siber savaş operasyonlarını yürütmek üzere 24.
Tugayı kurdu. Ancak bu birliğin hiç uçağı yoktu. Sadece sürdürülebilir siber operasyonlarının
idame etme misyonuna sahip. Bu birliğin toplamda 6.000 ile 8.000 kişilik bir kadrodan oluşan siber
savaşçı mevcudu bulunuyor.
“Siber Savaş ABD’nin askeri üstünlüğünü sağlamak için hayati önem taşımaktadır. Ayrıca
ikinci dünya savaşından sonra lağvedilen 10. Filo da hiç gemisi olmamasına rağmen siber savaş için
yeniden aktive edildi. Bu filonun adı NETWARCOM. Kara Kuvvetleri ise, başka iki kuvvet kadar
isteki olmasa da, kendi mütevazi siber komutanlığını NETWAR adı altında kurdu.
Kuveyt’ten Gelen Alarm Çağrısı
Çin ordusunun generalleri Körfez Savaşından sonra Amerikan ordusuna karşı asimetrik bir
teknik kapasiteye ihtiyaçları olduğuna karar verdiler.
Amerikalı bir sanayi grubu olan Silahlı Kuvvetle İletişim ve Elektronik B:irliği 1992 yılında
yayınladığı İlk Bilgi Savaşı isimli kitapta kompüter ağlarının kullanımının savaşı nasıl değiştirdiğini
anlattı. Bilişim teknolojisinden yararlanan “akıllı bombalar” sayesinde artık eskisi gibi tonlarca
cephane ziyan edilmiyordu. Hedefleri cerrahi bir keskinlikle vuran akıllı bombalar sivil hedeflere
zarar verilmesini önledi. Çin ordusunun küçültüp, yeni teknolojilere yatırım yapmaya başladı.
Bu konuda görüşlerini belirten Çinli bir bilişim albayı şunları söyledi; “Düşmana karşı
internet üzerinden paralize edici bir darbe vurulabilir. Bilişim baskınlığını kaybeden üstün bir güç,
bilişimde üstün olan zayıf bir güç tarafından yenilebilir” Albay herhalde burada ABD ve Çin’den
bahsediyordu. Çin de aynı ABD gibi siber savaş birlikleri kurdu. Çin 2015 yılına kadar bütün
hazırlıklarını tamamlayarak, ABD’ye deniz üzerinde kafa tutmaya hazırlanıyor.
İnternet Bağımlıları Doğuda
 Vatandaşlardan hacker grupları oluşturuldu,
 ABD bilişim, yazılım ve donanımları üzerinde siber casusluğa giriştiler,
 Kendi siber uzaylarını savunmak için bir çok adım atıldı,
 Siber savaş için askeri birlikler oluşturdular,
 ABD altyapısına lojik bombaları yerleştirdiler.
Bu arada Bill Gates’e karşı şantaj yaparak, Microsoft’un gizli işletim sistemi şifresini alan
Çin, tüm dünyada Cisco ve Microsoft’un yazılımlarını indirimli fiyatlara satmaya başladı. Bir de
fabrika kurarak, “router” denilen ve internet altyapısının temel taşlarından biri olan ve Telekom ile
bilişim sektörlerinde geniş kullanım bulan Cisco yönlendiricilerin korsan üretimine başladı.
Bilahare, Çin sahta Cisco üretimini durdurarak, Huawei isimli kendi markasını yarattı ve
yönlendirici pazarına bu ürünleri soktu. Microsoft ve Cisco ürünlerinin zayıf taraflarını ve yumuşak
karınlarını bilen Çin, kendi kozmik gizli askeri bilişim sistemlerinde son derece sağlam ve kırılması
imkansız olan Kylin isimli kendi işletim sistemlerini yarattı. Çin internet özgürlüğünü önlemek için
“Green Dam” ve Great Firewall of China” olarak bilinen iki güvenlik sistemi de kurdu. Savunmaya
bu kadar önem veren Çin, aynı zamanda siber savaş silahlarını da üretiyor.

Bilgi mayınları yerleştiriliyor,

Bilişim keşif unsurları geliştiriliyor,
46

Ağ verilerini değiştiren cihazlar üretiliyor,

Bilişim bombaları siber uzaya salınıyor,

“çöp bilgiler” ile siber uzay dolduruluyor,

Propaganda dağıtım unsurları kullanılıyor,

Bilişim yanıltma uygulamaları yapılıyor,

Klon bilgiler dağıtılıyor,

Bilişim savunması düzenlemeleri yürütülüyor,

Ağ casus istasyonları kuruluyor
Google da Çin korsanlarının faaliyetlerinden nasibini aldı. Google üst düzey yöneticilerine
sahte e-postalar gönderildi, sonra da İnternet Explorer yazılımının içindeki bir hatadan faydalanan
korsanlar, virüsü hedefledikleri bilgisayarlara yüklediler.
Bir Dizi Başka Tehdit
Rusya’dan sonra İsrail ve Fransa’nın da beceresi yüksek savaş birimlerinin olduğu biliniyor.
ABD istihbarat servisinin elindeki bilgilere göre dünya devletlerinden otuzunun ordusunun hatır
sayılır siber savaş birimi bulunuyor. Bunların arasında, Tayvan, İran, Avustralya, Günay Kore
Hindistan, Pakistan ve birçok NATO ülkesi sayılabilir.
Bir satırlık kod hatası İngiliz hava sahasını nasıl kilitledi?
Noel tatilinin arefesinde, İngiltere’de ulusal hava trafik kontrol merkezindeki bir kod
hatasının, binlerce yolcunun ulaşımını aksattığı ortaya çıktı. Geçtiğimiz yıl Noel tatilinden önceki
Cuma günü, İngiltere’deki hava trafiği durdu. Yüzlerce uçak havalanamazken, onlarcası da inişe
geçemediği için hava sahasında daireler çizerek beklemek zorunda kaldı. Bunun sonucunda da on
binlerce yolcu, kendilerine iletilecek haberleri bekleyerek saatler harcadı. Hava trafik kontrol
sistemindeki bu aksaklık, en küçük bir hatanın akıl almaz sonuçlara sebebiyet verebileceğini
göstermesi bakımından önemliydi. Söz konusu hava trafiği olunca, böylesi küçük bir hata, günler
süren aksamalara ve iptallere yol açabiliyordu. İngiltere’nin en büyük havayolu merkezlerinin tekrar
eski hızlarıyla çalışmaya başlayabilmeleri için neredeyse bir haftalık bir süre geçmişti.
Tüm bu devasa aksalığın arkasında, uçuş plan sisteminde bir satırlık yanlış kod
bulunuyordu.
Pazartesi günü Birleşik Krallık Sivil Havacılık Kurumu tarafından, 12 Aralık’taki hava
trafiği aksama olayı hakkında bir ara rapor yayınlandı. Asıl detaylı ve kapsamlı raporun Mayıs
ortasında yayınlanması bekleniyor. Sorunun ana sebebinin, neredeyse tamamen hatalı yazılım
olduğu raporda belirtiliyor.
İngiltere hava sahası trafiğini işleten NATS isimli havacılık şirketi, tarihinin en kötü halkla
ilişkiler gününü, sözkonusu aksamalar gerçekleşirken yaşamıştı. Şirketin genel müdürü Richard
Deakin, sorunu BBC News’e şu şekilde anlattı: “Sorun, ilave terminaller kullanmaya başlanılırken,
daha önce görmediğimiz bir yazılımla karşılaşmış olmamızdı. Bu da, uçuş planlarını takip eden
bilgisayarların çevrimdışı kalmasına neden oldu. Tüm sorun 45 dakika içinde çözüldü.”
47
Deakin’in açıklamasının can alıcı noktası ise şu kısımdı: Swanwick’teki operasyon
merkezlerinde 50 farklı sistemin kullandığı dört milyon satırlıkkodların içinde sadece bir satırlık
kod, hatalıydı, ve bu tüm sorunların hepsine sebebiyet vermişti.
Uçuşların maksimum kapasitesini düzenleyen ve “atomik fonksiyon” adı verilen sistemin,
“izleme moduyla” ilgili bir sıkıntı, sorunun arkasında bulunuyor. Hard-kod içinde bulunan bilgilerle
atomik fonksiyon bilgilerinin uyuşmaması neticesinde, izleme modu hatası tekrarlandı.
Hem aktif hem de yedek sistemlerde aynı hatanın gerçekleşmesi, uzmanlara göre tarihte ilk
defa gerçekleşti.
Siber Savaşçılar Saldırdığı Zaman
NSA bilgisayarında bir anda “CRITIC” mesajı belirir. Bu mesaj ABD’nin altyapısını
çalıştıran birçok sistemin kötü niyetli yazılımların saldırısına uğradığına işaret etmektedir.
NIPRNET çöker daha sonra gizli ağları olan SIPRNET ve JWICS sistemleri de saldırıya
dayanamaz ve durur. Ölümcül klor gazı bulutları çıkıyor.
İki 737 şimdiden havada çarpıştı. Alternatif merkezlerde tam bir panik yaşanıyor. Long
Beach, Norfolk, Chicago ve Kansas Cıty’de trenler raylardan çıkıp büyük kazalara neden oluyor.
Washington metrosunun Potomac nehrinin altındaki tüneli çöktü. Virginia’da ana gaz boru hattı
patladı. Washington’un sokakları tamamen tıkalı. Trafik ışıkları çalışmadığı için sürekli araba
çarpışmaları yer alıyor.
Rafinerilerdeki yedek petrol stokları yanıyor. New York, Oakland, Washington ve Los
Angeles’de metro çarpışmaları sürüyor. Yük trenleri sağlı sollu raylardan çıkıyor. Milyonlarca
insan kuzeydoğuya doğal gaz taşıyan boru hatları patladığı için soğukta kalıyor.
Fransa sisteminin tüm verileri silindiği için tamamen donmuş vaziyette. Meteoroloji,
seyrüsefer ve iletişim uyduları uzayda rotalarını şaşırmış durumdalar. Nakliye ağı olmadığı için
şehirlerde yiyecek sıkıntısı var. ATM’lerden para çekemeyen vatandaşlar mağazaları yağmalamaya
başlıyor. Polis ve kolluk güçlerinin işleri başlarından aşkın.
Daha önce bahsi geçmiş olan herhangi bir siber savaş kapasitesine sahip ülke yukarıdaki
senaryoyu gerçekleştirebilir. İşin ilginç tarafı, bütün bunları tek bir terörist ya da asker hiç
Amerika’ya ayak basmadan siber uzayda başarma olasılığı var. Ayrıca atom savaşına kıyasla siber
savaşa girişmenin riski de çok daha az.
Savaş Alanı
Siber uzay sanki başka bir boyutmuş gibi kulağa geliyor. Sizin iş yerinize ya da
çocuğunuzun okula götürdüğü laptop, masa üstü bilgisayarınız ve bunun gibi milyonlarca makine
siber uzayı oluşturuyor. Yer altındaki fiber optik kabloları taşıyan boru hatları da siber uzayın
parçaları. Herhangi bir kompüterin, işlemcinin ya da bunları birbirine bağlayan kabloların olduğu
her yer siber uzay sayılıyor. Burası şimdi savaş alanı oldu. Yirmi birinci yüzyılın savaşları artık
burada yapılacak.
48
Siber Uzay
Siber uzayı tanımlamak için yola çıkanlar için farklı teknolojik özelliklere odaklanmaktadır.
Araştırmacılardan birçoğu sadece internet ortamına bu ismin verilmesinin uygun olduğunu
düşünmektedir. Halbuki Bilgi ve İletişim Teknolojilerindeki akıl almaz gelişmelerin ortaya
koyduğu kuşatıcı bir metafordur siber uzay. Siber uzay dünyadaki tüm bilgisayar ağları ve onların
bağlı olduğu ve kontrol ettiği her şeydir. Sadece internet’ten ibaret değildir. Bu farkın anlaşılması
çok önem taşıyor. İnternet birbirine bağlı olan ağlardan ibaret bir açık ağdır. Siber uzay interneti
artı internetten girilemeyen bir sürü başka bilgisayar ağını içerir. Bunlar para akışları, borsa
işlemleri, kredi kartı alışverişleri gibi işleri yürütür. Kontrol makineleri pompalarla asansörlerle,
jeneratörlerle iletişim kurar. En genel anlamda, insanların birbirine bağlı bilişim sistemleriyle
etkileştiği ve birbirine bağlı bilişim sistemlerinin birbirleri arasında ya da insanlarla iletişim içinde
olduğu fiziksel olmayan alana siber uzay diyebiliriz.
Yaşam ve hizmet kalitesine kattığı faydalar sebebiyle bireysel, kurumsal ya da devletler
olarak her geçen gün hızla bu kuşatılmışlığın merkezine doğru yol alıyoruz. Bu teknolojiler
eğitimden sağlığa, üretimden pazarlamaya, ulaşım ve taşımacılıktan güvenlik ve savunmaya,
finansal hizmetlerden su ve enerjinin nakil ve kontrolüne, daha doğrusu saymakla
bitiremeyeceğimiz bir şekilde hayatın her alanındaki vazgeçilmezlerimiz haline gelmişlerdir.
Elektronik hizmet ve servislerin üretilmesi ya da yönetilmesini sağlayan donanım, yazılım ve
iletişim sistemlerinin bir kısmı birbirleriyle direk ya da dolaylı olarak bağlı iken (interconnected)
büyük çoğunluğu itibariyle bu sistemler birbirlerine bağımlıdırlar (interdependent). Örneğin finans
sektörünün sağlıklı hizmet verebilmesi için stabil bir telekomünikasyon hizmetine ihtiyaç duyarken
aynı zamanda her iki sektör de enerji (elektrik) sektörünün sağlıklı hizmetleri olmadan
çalışamayacaktır. Öte yandan bahse konu elektriğin üretim, nakil ya da kontrolü için ise bilişim ve
telekomünikasyon sektörünün sağlıklı hizmetlerine ihtiyacı vardır. Sistemlerdeki birbirine bağlılık
ya da bağımlılık sebebiyle herhangi bir hizmet sektöründe meydana gelecek kısa ya da uzun süreli
aksamaların bağlı ya da bağımlı diğer sektörler üzerinde domino etkisi oluşturması kaçınılmazdır.
Hizmet aksamaları, doğal afetler yanı sıra sistemik arızalardan ya da kullanıcı hatalarından
kaynaklanabileceği gibi finansal, politik ya da değişik diğer sebeplerle harekete geçen kriminal
bireyler, organize suç örgütleri veya çıkarları için bizzat ilgili kurumlarını ya da taşeron örgütleri
kullanan devletlerce ortaya konan siber saldırılar da olabilmektedir.
Saldırılar; elektronik hizmet ve servisleri yavaşlatmak, durdurmak, yok etmek için,
üzerlerinde üretilen, depolanan, yönetilen bilgileri çalmak, bozmak, erişilemez kılmak ya da yok
etmek amaçlarından biri ya da birkaçını hedefleyebilmektedir. Saldırılar, sofistike bir yapıdan uzak
ve anlık olabileceği gibi sistemler içerisine gizlenerek yıllarca bilgi devşirmeye ya da kritik bir
zaman dilimini beklemeye koyulan, gerçekleştirilmesi ciddi bir finans ve ARGE desteği ile ancak
mümkün olabilen kompleks yapılarda da olabilmektedirler. Ağı ele geçirdikleri zaman, siber
savaşçılar para çalabilir, petrol dökebilir, gazları uçurabilir, jeneratörleri havaya uçurabilir, trenleri
raydan çıkartabilir, uyduları yörüngeden çıkartabilir, hava yollarını yere çakabilir.
Peki nasıl olup da bilimsel ve teknolojik gelişmelerin gurur verici bir ürünü olan siber uzay
tehdit ve risklere karşı bu denli açık ve zayıf olabilmektedir? En kestirme hali ile cevap iki
bileşenden oluşmaktadır; bir yanda güvenlikten ziyade hizmet öncelikli üretilen bilişim teknolojileri
ve endüstriyel kontrol sistemlerindeki yapısal zayıflıklar diğer yanda ise denklemin en zayıf halkası
olan kullanıcılar.
49
İnternetin Doğuşu
Soğuk savaş döneminde Sovyetler Birliğinin dünyanın ilk uydusu olan Sputnik füzesini
fırlatmasıyla (1957) başlayan uzay yarışları ardından Amerika Birleşik Devletleri füze/roket, yeni
nesil silahlar ve bilgisayar alanında gelişmelere yol açacak iki yeni bilimsel ve teknolojik
araştırmalar kurumu oluşturdu; Defansif İleri Araştırma Projeleri Ajansı (The Defense Advanced
Research Projects Agency – ARPA) ile Ulusal Havacılık ve Uzay Dairesini (National Aeronautics
and Space Administration – NASA). ARPA’da yapılan çalışmalar (dönemin sadece iki nokta
arasında haberleşmeye imkan tanıyan telefon altyapısına Sovyetler Birliğince yapılabilecek olası bir
saldırı karşısında kullanılabilecek alternatif bir haberleşme imkanı arayışları) dünyanın ilk
bilgisayar ağının doğuşuna vesile oldu (1962). Telefon altyapısı ile benzer zayıflık ve güvenlik
riskleri taşıyan bu sistem için aranan çözüm ise 1965 yılında bir Massachusetts Teknoloji Enstitüsü
(Massachusetts Institute of Technology – M.I.T) uzmanı tarafından ortaya kondu. Bilgisayar
aracılığıyla üretilen mesaj gönderilmeden önce küçük parçalara bölünerek her biri sistemdeki farklı
aktarıcı ve bilgisayarları kullanarak (sistemin her tıkandığı noktada ise rotasını değiştirmek suretiyle
mutlaka) hedef bilgisayara ulaşan ve ardından mesajın tekrar bir bütün haline getirildiği bir sistemdi
ortaya konulan. Bu, o dönemdeki adı ile ARPANET idi ve bugün kullanıyor olduğumuz İnternet’in
ilk adımını oluşturmuştu.
Burada dikkat çekici olan şey şudur; İnternet, doğası gereği bir kaynaktan gönderilen her
mesajı/talebi hedefine mutlaka ulaştıracak bir yapı olarak dizayn edildiğinden mesajın/talebin
sadece doğru ve yetkili bir kaynaktan üretildiğini ve geri bildirimin ise yine sadece gizlilik ve
yeterlilik esaslarına uygun olarak yetkili ve doğru kaynağa ulaştığını kontrol gibi zor bir vazife
yazılım ve donanımlardan oluşan bilgisayar ve iletişim sistemlerince yerine getirilmektedir.
Dolayısı ile bu; interneti oluşturan ya da interneti aracı olarak kullanan her bir sistemciğin ve
verinin güvenliği aslında kapılarına (ister donanım isterse yazılımlar şeklinde) koyduğumuz
elektronik bekçilerin yada güvenlik sistemlerinin ne kadar zor ya da ne kadar kolay manipüle
edilebildiği ile doğrudan orantılı demektir.
Küresel bilgisayar ağı (İnternet) olarak adlandırdığımız ve başlangıçta sadece bilgisayarlar
ve iletişim cihazlarından oluşan örgün ağ yapısına her geçen gün tam olarak bilgisayar
diyemeyeceğimiz fakat ağ yeteneği kazandırılmış (otomobilden elektronik ev eşyalarına, güvenlik
kameralarından özel çip ve yazılımlarla çalışan sensörlere, kontrol mekanizmalarına, ticari ve sınai
otomasyon cihazlarına kadar çok farklı yelpazedeki) akıllı teknolojiler eklenmeye devam
etmektedir. Yapısal ve sayısal olarak günden güne büyüyen bu karmaşık ağlar yumağına yaygın
olarak İnternet diyor olsak bile kendi aralarında iletişim kurup bilgi paylaşabilen bu akıllı nesnelerin
oluşturduğu cihazlar sistemi şimdilerde Nesneler Ağı (Internet of Things ya da Internet of
Everything) olarak adlandırılmaktadır. Trendlere göre 2020 yılına gelindiğinde bünyesinde 50
milyar akıllı cihaz barındırması öngörülen bu devasa ağ yumağının siber uzay için tehdit ve risk
alanını da sürekli genişletmeye devam edeceğini akıllardan hiç çıkarmasak gerek. Ancak, siber
uzayın mevcut/olası güvensizliği adına oluşturulan bu denkleme bir de güvenlik konusunda
duyarsız ya da bilinçsiz veya sosyal mühendislerin kurnazlıklarıyla karşı karşıya kalmış kullanıcılar
da eklendiğinde durumun daha da ürkütücü bir hal aldığı/alacağı muhakkaktır.
Siber savaşı olası kılan üç boyut var;

İnternet’in tasarımında mevcut hatalar
50

Donanım ve yazılımda ki hatalar

Gitgide daha kritik sistemlerin online erişim olasılığı
İnternet Üzerindeki Zafiyetler

Adresleme Sistemi.

Yönetim Olmayışı.

İşletim sistemlerinin hepsinin açık ve şifresiz olması.

Malware adı verilen kompüterlere saldırmak üzere tasarlanmış kötü niyetli yazılımları
dağıtma potansiyeli

Adem-i merkeziyetçi bir tasarımı olan büyük bir ağ olması.
Dünya yüzünde 4.29 milyar dahili internet adresi olduğu düşünülürse ve bu adresler ulusal
savunmadan termostatları kontrol etmeye kadar her şey için kullanıldığına göre sorunu çok büyük
ve her an patlamaya hazır bir durumda.
Yazılım Ve Donanım
Siber savaşı olası kılan üç unsurun arasında yazılım ve donanım hataları en önemlisidir. Kod
yazan insanların çoğu yanlışlar yapar. Göze batan yanlışlar düzeltilir. (çünkü düzeltilmeyince
bilgisayar iş görmez) farkına varılmayan ise yerlerinde kalır. Onlar sonradan sisteme giriş için
kullanılabilir. 2009 yılında dünyada ortalama 2.2 saniyede bir yeni virüs siber uzaya giriyordu.
Şimdi yazılımları denetleyen yazılımlar var. Ama onlarında milyonlarca satırdaki pürüzleri
yakalama gücü yok.
Siber Uzaydan Kontrol Edilen Makineler
Siber savaşçıların en çok hasar verebileceği ekipmanlar ise jeneratörler. İnternet’in tasarımı,
yazılım ve donanımlardaki hatalar ve kritik makinelerin siber uzaydan kontrol edilmesine izin
verilmesi siber savaş saldırılarının gerçekleştirilebilmesi için hacker’lerin yararlanabileceği kolay
fırsatlar sunuyor.
Savunma Başarısız
Siber savaşı olası kılan ağlardaki zafiyetlerin de neler olduğunu inceledik. Peki, bu
zafiyetleri onarmak için neden kimse bir şey yapmıyor? Aslında yirmi yıldır siber savunmaya
yönelik çalışmalar yapıldı; ama bunlar ne yazık ki işe yaramakta.
Siber Uzayı Oluşturan Katmanlar
Fiziksel Katman
Reel ve fiziksel dünyadaki donanım ile insanlar ve varlıklar siber uzayın oluşmasını
sağlamaktadır. Siber uzayın değeri fiziksel dünya ile ne kadar etkileştiğine bağlı olarak
değişmektedir.Fiziksel katmanın ana unsurunu kullanılan teknoloji oluşturmaktadır. Bilgisayarın
ana kartı (main board), işlemcisi (central processing unit), hafızası (random-access memory), diski
(hard disk) ve diğer ekipmanlarından oluşan bir ünitenin yanı sıra, diğer ağlarla bağlantısını
sağlayan bir ethernet kartı ve kablolara ihtiyaç duyulmaktadır. Bir ağın diğer ağlarla iletişimini
51
sağlayan yönlendirici (router) ve diğer ekipmanlara da ihtiyaç vardır. Fiziksel alandaki bu
ekipmanların varlığı olmaksızın siber uzayın varlığı şimdilik söz konusu değildir.
Siber uzay’ın fiziksel varlığının sadece bilgisayar ekipmanlarından oluştuğunu düşünmek de
yeterli olmayacaktır. Ayrıca akıllı telefonlar, oyun konsolları, televizyon sistemleri, uydu alıcıları
gibi ağ ortamında iletişim kuran bütün elektronik aletler de bu ortamdadır. Öte yandan ülkelerin
temel altyapılarının işleyişi için gerekli olan kritik alt yapı ile ülkelerin birbirleriyle bağlantı içinde
olmasını sağlayan internet omurgası (backbone) da bu iletişimin devamlılığı için esastır. Herhangi
kopma ya da kesilme iletişimi kesintiye uğratır ve o ülkenin internete erişimini genel olarak ortadan
kaldırır. Bu tür durumlarda siber uzaya erişim ancak yedek hatlarla ya da uydu üzerinden
sağlanabilir.
Ülkelerin internet çıkışlarının kontrol altına alınması çabasıyla ilgili olarak üç farklı örnek
vermek mümkündür.
İlk örnek olarak, 2010’da ABD’de Senatör Joseph Lieberman ve Susan Collins tarafından
hazırlanan ve Amerikan Başkanına herhangi bir tehlike anında interneti kapatma yetkisi tanıyan
“Siber Uzayın Milli Değer Olarak Korunması Kanun Taslağı” verilebilir. Bu tehlike anları “Milli
Siber Acil Durumları” (National Cyber Emergency) olarak tanımlanmıştı. Bu konu tartışılırken
siber saldırılara kinetik saldırıyla cevap verilebileceği de gündemi gelmişti. Böyle bir bakış açısının
yaratacağı problemleri tartışan OECD raporu siber güvenliğe askeri yaklaşımların hata olacağını
belirterek, bölgesel internet kapatma sistemlerinin beklenmeyen sonuçlar doğurma ihtimali üzerinde
durmuştur. İnternetin tehlike anında kapatılması fikrinin ABD’de tartışıldığı o günlerde Tunus’ta
başlayan halk hareketi Mısır’a sıçramış, halk internet üzerinden sosyal medyayı kullanarak kitlesel
organizasyonlar yapmaya başlamıştı. Dönemin Cumhurbaşkanı Hüsnü Mübarek halk hareketini
önleyebilmek için Mısır’ın internete erişimini kesme yoluna gitti. 25 Ocak’ta twitter’ın sunucusuna
erişimin engellenmesiyle başlayan hamle, 26 Ocak’ta Facebook’un ve 27 Ocak’ta da Blackberry
servisinin engellenmesiyle devam etti. Her ne kadar engellemeler twitter kullanımını azaltmayı
başardıysa da Mısırlı twitter kullanıcıları yurtdışındaki arkadaşları vasıtasıyla mesajlarını dünyaya
iletmeye devam ettiler.
Yine 2010 Haziran’da VirusBlokAda isimli virüs temizleme programı üreticisi MS
Windows işletim sistemlerini ve Siemens endüstriyel yazılımlarını etkileyen bir bilgisayar
solucanının (Stuxnet) bulunduğunu açıkladılar. Kimin tarafından yazıldığı hala bilinmeyen
solucanın hedefi Siemens Programlanabilir Mantıksal Denetleyicileriydi. Saldırı sonrasında yapılan
değerlendirmelerde en çok zararı İran’daki nükleer tesislerin aldığı belirlendi. Birçok saldırı
metodunun birleşimi ve açıklar kullanılarak hazırlanan bu solucan, İran nükleer tesislerinin üretim
hedeflerini geciktirmişti. İran, nükleer tesislerine yapılan bu saldırı sonrasında kendine ait temiz bir
intranet kurarak internet bağlantısını sınırlamayı planlamaya başladı.
Görüldüğü gibi ülkelerin internet erişimini sağlayan altyapı zaman zaman politik kararlar
tarafından şekillendirilebilmektedir. Tehdit ve güvenlik hissi ise internet kullanımını etkilemektedir.
Kodlar Katmanı ve Yazılım
Siber uzayın varlığını fiziksel alandan sanallığa yaklaştıran katmanlardan birisi de kodlar
katmanıdır. Bütün fiziksel katman unsurları (anakartlar, işlemciler, RAM’ler, diskler) ancak
kodlarla kullanılır hale gelmektedir. “Doğru – Yanlış” ya da “1 – 0” düzleminde oluşan
programlama dilleri sayesinde işlemcinin nasıl çalışacağı belirlenmektedir. Bütün donanım
52
ekipmanlarının bütünlük içinde yürütülerek, verilen komutlara cevap vermesini sağlayan temel
platform olan işletim sistemleri bilgisayar donanımlarının gelişmesine bağlı olarak gelişmiştir.
1960’lı yıllarda bir oda büyüklüğünde olan bilgisayar donanımlarına ancak sınırlı sayıda erişim
sağlanırken, 1980’li yıllarda taşınabilir bilgisayarlar kullanılmaya başlanmıştır. Günümüzde ise
akıllı telefonların, televizyonların ve çeşitli multimedya platformlarının çalıştırılması için gelişmiş
işletim sistemleri kullanılmaktadır. 1975’de kurulan Microsoft’un Windows işletim sistemi dünya
üzerinde %50’nin üzerindeki pazar payıyla bilgisayarlarda en çok kullanılan işletim sistemidir. Bu
rakamı Linux işletim sistemleri ve Unix tabanlı Mac OS X işletim sistemi takip etmektedir.
İşletim sistemlerinin ardından internetteki içeriğe erişmemizi sağlayan kodlar gelmektedir.
İnternetin temel taşını oluşturan web sayfaları da kodlar sayesinde hazırlanmaktadır. Günümüzde
kullanıcılar daha fazla etkileşim kurabilmek için web içeriğinin programlanmasında Phyton, Ruby,
Perl, PHP, ASP.NET, Java gibi diller kullanmaktadırlar. Kodlama içeriğinin yoğun olduğu bu tür
platformlarda, internet üzerinden başkaları tarafından yazılmış kodları kopyalayarak kullanan
programcılar için sitelerinin kısa sürede bilgisayar korsanları tarafından ele geçirilme riski vardır.
Ayrıca programlama dillerini yorumlayan platformların güncellenmemesiyle oluşan güvenlik
zafiyetlerine de sıkça rastlanılmaktadır. Görüldüğü gibi birçok bileşenin kontrol edilmesiyle oluşan
siber güvenlik, en başta insan unsuru olmak üzere en küçük hatalardan etkilenmektedir.
İçerik Katmanı
İçerik katmanı öncesinde belirtilen bütün katmanlar aslında bir çerçeve katman
oluşturmaktadır. Fiziksel ve kodlar katmanı olmadan içeriğin internet üzerinde sunulabilmesi
mümkün değildir. Fakat içerik ve onun içerdiği mesaj olmadan da interneti oluşturan diğer
katmanların anlamı zayıflayacaktır. İçerik katmanıyla internet paylaşılan, taraf olunan ve eleştirilen
bir ortaklık oluşturmaktadır. İçerik katmanı sadece mesaj ileten bir medya olmanın ötesinde finansal
işlemlere ait verilerin tutulduğu, ülkelerin stratejik bilgilerinin depolandığı, hastanelerdeki
hastaların tıbbi bilgilerinin tutulduğu bir ortamdır. Fakat içeriklerin çeşitliliği ve benzerliği
hiyerarşik bir düzenleme yapılması gerekliliğini değiştirmemektedir. Farklı kurumlarda yönetimler
çalışanlarına özgürce kurumun ağına bağlanabilme izni verirken, yine aynı çalışanların ağdaki
bütün verilere erişmelerine müsaade etmez. Bilgi güvenliğini sağlamak isteyen kurumlar kendi
çalışanları için hiyerarşiler oluşturmak zorundadırlar. Her kullanıcının ağ üzerindeki bütün
belgelere istediği şekilde erişmesi kritik bilgileri tehdit eder. Veri hiyerarşisi mantığı günümüzde
kullanılan birçok işletim sisteminde uygulanmaktadır. Böylece sistem ve güvenliği hakkında bilgi
sahibi olmayan kullanıcıların sistemin tamamını tehlikeye atmasının önüne geçilmeye
çalışılmaktadır.
Öte yandan pratik, gündelik ve geçici sebeplerle veri erişimi hiyerarşisinin görmek
mümkündür. Örneğin bir bürokratın üst seviyede yöneticisinin istediği verileri temin etmek için
kişisel bağlantılarla erişilmemesi gereken verileri paylaşıma açtırması yoluyla bilgi sızıntısı
olabilmektedir. Kurumsal içerik katmanı ve sınırları dışında internet ortamında da kontrol dışı
gelişen sınırlamalar olabilmektedir. Örneğin internet üzerindeki içeriklere erişmek için web
sayfalarının adresleri dışında arama motorları kullanılmaktadır. Bu da aslında araştırılan konunun
anahtar kelimelerini bir arama motoruna yazarak onun gösterdiği linklerin takip edilmesi anlamına
gelir. Bu da internetin sınırının tercih edilen arama motorunun çerçevesi olduğunu göstermektedir.
Günümüzde arama motorları sanıldığı kadar apolitik ve bağımsız hareket edememektedir. Örneğin
Google sunucu çiftliklerinin yer aldığı ülke olan ABD, ülke güvenliği için koyduğu sınırları dikkate
53
alarak belirli sitelerin isimlerinin arama sonuçlarından çıkarılmasını sağlamaktadır. Google’ın
indekslediği web sayfa sayısının tüm internet göz önüne alındığında %0.004’den %12’ye kadar bir
aralıkta olduğunu söyleyen farklı kaynaklar bulunmaktadır.28 Bu durumda internet içeriğine
erişimin özgürce gerçekleştiğini söylemek mümkün değildir.
Düzenleyici Katman
İnternet ve içeriğin kullanımı ulusal hukuki düzenlemelerle de sınırlanmaktadır. Gelişmiş
ülkelerin birçoğunun bu konuda hukuki düzenlemeleri bulunmaktadır. Türkiye’de bu mevzuat 5651
sayılı “İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla
mücadele edilmesi hakkında kanun”la belirlenmiştir. İçerik sağlayıcı, yer sağlayıcı ve erişim
sağlayıcının yükümlülükleri belirlenerek, içerik katmanında belirli konuların yayınlanmasına
yasaklar getirilmiştir. Bunlar Kanun’un 8. Maddesinde şöyle açıklanmıştır:
a) 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununda yer alan;
1) İntihara yönlendirme (madde 84);
2) Çocukların cinsel istismarı (madde 103, birinci fıkra);
3) Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma (madde 190);
5) Müstehcenlik (madde 226);
6) Fuhuş (madde 227);
7) Kumar oynanması için yer ve imkân sağlama (madde 228), suçları.
b) 25/7/1951 tarihli ve 5816 sayılı Atatürk Aleyhine İşlenen Suçlar Hakkında Kanunda yer
alan suçlar.
İnternetin kavramsal manada sunduğu özgürlük ortamı bir çok ülkede yasama katmanının
belirlediği çerçevede hareket eder. Bu noktada internet erişiminin hep de vurgulandığı kadar özgür
bir ortam olmadığının altı çizilmelidir. Özellikle internetin yaygınlaşmasıyla birlikte organize suç
örgütlerinin ve benzeri yapılanmaların siber uzayı iletişim için kullanmaya başlaması, devletlerin
takip amaçlı bu haberleşmeyi izlediği yönündeki endişeleri gündeme getirmiştir. 11 Eylül
saldırılarının ardından ABD’de bu tür takip faaliyetleri Department of Homeland Security’nin (İç
Güvenlik Birimi) kurulmasıyla, daha belirgin kurallara bağlanmıştır.
Örneğin İç Güvenlik Biriminden sızan bir dosyada sosyal medyanın belirlenmiş bazı anahtar
kelimelerle izlendiği görülmüştür. İnternetin pornografiden telif haklarına kadar farklı konularda
yarattığı problemler devletlerin hukuki düzenlemeler yapmasına sebep olmaktadır. Bu düzenlemeler
sadece otoriter ülkelerde değil, demokratik ülkelerde de uygulanmaktadır. Deibert ve diğerleri
tarafından yapılan çalışma zannedilenin tersine birçok ülkede erişimin nasıl kontrol altına alındığını
açıkça ortaya koymuştur.
Düzenleyici katmanın en büyük problemi teknolojinin ve buna bağlı olarak içeriğin günden
güne hızla yenilenmesi karşısında devlet bürokrasisinin bu gelişmeyi aynı hızla takip edememesidir.
Siber uzaydaki tehditler ve çeşitliliğini sayısal artışı ister istemez devlet yapısını da daha hareketli
olmaya zorlamaktadır. Güncel gelişmeler bunun kolay olmadığını göstermektedir. Öte yandan
Uluslararası organizasyonlar da siber savaştan terörizme kadar işbirliği oluşturmaya
çalışmaktadırlar. Fakat siber uzayın kendilerine sağladığı anonim olma örtüsünden faydalanmayı
54
arzulayan ülkeler, hareket kabiliyetlerini anlaşmalarla kısıtlamak konusunda çok da istekli
değillerdir.
Gelişen Hacker Kültürü
ARPANET genişlemesi ve nükleer füzelerin bilgisayarla ateşlenmesi fikri, varolan politik
gündemle ilişkilendirilmiştir. İki unsur arasındaki bağlantı, 1983’de vizyona giren, Lawrence
Lasker ve Walter F. Parkes tarafından yazılan Savaş Oyunları (War Games) isimli filmde nükleer
gerginlikte bilgisayarın nasıl rol aldığını göstererek ortaya koyulmuştu. Filmde notlarını
değiştirmek üzere okulun bilgisayarına girmek için uğraşan hacker David Lightman eriştiği
bilgisayardaki oyunun daha önce oynadıklarından farklı olduğunu görür. Lightman’ın girdiği
bilgisayar nükleer füzeleri kontrol etmek üzere geliştirilmiş bir sistemdir. Görevli kişilerin nükleer
füzeleri ateşlerken anahtarı çevirmekte tereddüt etmeleri üzerine özel olarak hazırlanmış NORAD
(North American Aerospace Defense Command - Kuzey Amerika Hava Sahası Savunma
Komutanlığı) isimli bir bilgisayar bu misyonla görevlendirilmişti. Bilgisayar’ın içindeki WOPR
(War Operation Plan Response) programı muhtemel SSCB nükleer saldırısını simüle etmekteydi ve
simülasyon programı nükleer saldırı senaryosuna cevap verecek şekilde kurgulanmıştı. Filmde
Lightman’ın bilgisayara izinsiz olarak erişirken başlattığı programın ve simülasyon modülünün
gerçek hayatta etkili olduğunu fark etmesi üzerine olaylar gelişmeye başlar. Çok sayıda insan
tarafından izlenen bu film sayesinde siber uzay ve güvenliği kavramları yaygınlaşmıştır. Filmde
sıkça kullanılan hacker kavramı da toplumda popülerlik kazanmıştır. War Games filmi ABD’de
hacker kültürünün yaygınlaşmasına da sebep oldu. Milwaukee, Wisconsin’in telefon kodunu (414s)
kendilerine isim olarak seçen 16-22 yaşları arasındaki altı gençten oluşan bir hacker grubu aniden
şöhret oldu. 414s ismiyle bilinen bu grup, nükleer çalışmalarıyla ünlü New Mexico’daki Los
Alamos Ulusal Laboratuvarına, 10.000 hastanın tedavi edildiği New York’taki Memorial SloanKettering Kanser Merkezine, Los Angeles’ta bir bankaya ve Milwaukee bölgesindeki birçok okulun
bilgisayarına izinsiz olarak erişmeyi başardı. Federal İnceleme Bürosu’nun (FBI) üç yıllık takibiyle
1984’te yakalanarak mahkûm edilen grubun saldırılarının en önemli sonucu ABD’nin bilgisayar
korsanlığı hakkında yasal düzenleme yapmaya yönelmesidir. Özellikle 1984’deki Computer Fraud
and Abuse Act 18 USC 1030 (Bilgisayar Sahtekârlığı ve Suiistimali Yasası) bu konuda atılan en
önemli adımlardan birisidir. Yasada özellikle adaletin yönetimi, ulusal savunma ya da ulusal
güvenlik için kullanılan Birleşik Devletler hükümetine ait bilgisayarların güvenliği konusunun altı
çizilmişti. Saldırıların ortaya koyduğu diğer bir nokta da hangi eylemlerin bilgisayar korsanlığı
sayılacağı, hangilerinin sayılamayacağının netleştirilmiş olmasıdır.
1980’li yıllardan itibaren ABD’de ortaya çıkan hacker kültürü kısa sürede dünyaya
yayılarak, tecrübelerin paylaşıldığı güçlü bir ağ haline gelmiştir. Bir tanıma göre hacker “aklını
zorlamak (sınamak) için bilgisayarlarla uğraşan kişidir.” Diğer bir tanım da hackerların,
“sistemlerin detaylarını öğrenmekten hoşlanan ve bir sistemde çalışmak için gereken asgari bilgiyi
edinenlerin tersine sistemle yapabileceklerini öğrenerek onun kapasitesini zorlamayı sevenler”
olduğunu vurgulamaktadır.
1950’lerde gelişmeyen başlayan Hippi hareketi ile açık kaynaklı programlar arasında önemli
bir bağlantı vardır. Hippilerin yerleşmiş değerlere ve kontrole karşı duruşu bilgisayar temelli
teknolojinin felsefesini de inşa etmiştir. Massachusetts Institute of Technology laboratuvarlarında
gelişen felsefede programcılar ya da Steven Levy’in ifadesiyle hacker programlar geliştirip bunların
kodlarını arkadaşlarının kullanımı için paylaşırlardı. İhtiyaç duyan programcılar da yazılan kodları
55
geliştirip kendi ihtiyaçlarına göre düzenledi. Tamamen kişisel tercihlerle ve özgürce paylaşımlar
yapılırdı. Burada paylaşımın arkasındaki açık kaynak felsefesi öne çıkmaktaydı. Hippilerin de
benzer felsefeye sahip olmaları bu hareketin hackerlar tarafından desteklenmesini sağladı.
Teknolojiye ve onun sağladığı bilgi kaynaklarına herkes tarafından erişimin sağlanması için
ortak hareket etmenin ilk örneklerinden birisi California Berkeley’deki Leopold Plak şirketine
halkın genel kullanımı için konulan bilgisayardı. Böylece üniversitelerin dışına doğru dürüst
çıkmamış kaynaklar halkın kullanımına sunulmuştur. Bu dönemde şekillenen hacker felsefesinin
altı temel şartı oluşmuştur:
1) Bilgisayarlara ya da dünyanın nasıl işlediğini öğrenmemize yardım edecek her şey
kontrolsüz paylaşılmalı ve problemin üzerinde çalışılabilmesi için hep erişilebilir olmalıdır:
Hackerlar kendi alanlarını sadece bilgisayarlar ve siber dünya ile sınırlı görmeyip, dünya algılarını
değiştirebilecek bütün kaynakların sınırsızca paylaşılması gerektiğini belirtmektedirler. Bu konuda
sınırlama getirmeye çalışan bütün güçlerin ortadan kaldırılacağı da ima edilmektedir. Hackerlara
göre bir konunun anlaşılabilmesi için bütünün onu oluşturan küçük parçalara ayrılması gereklidir.
Bu bir programın hatalarının giderilmesi (debugging) ya da bir donanımın içinin incelemesi olarak
da anlaşılabilir. Günümüzde sıkça kullanılan tersine tasarım (reverse engineering) yöntemi de bir
mekanizmanın nasıl çalıştığını anlamak için çokça tercih ettikleri yollardan biridir.
2) Üretilmiş bilginin ulaşılabilir olmasının yaratıcılığı arttırdığını düşünen hackerler bütün
bilgilerin ücretsiz olmasını savunurlar. Daha önceden yazılmış bir programın tekrar kodlanmasını
emek israfı olarak görürler. Bir programın herkese açık olması halinde, başka programcılar
tarafından ihtiyaçlarına göre daha kullanışlı hale getirebilecektir. Böylece herkesin kendi programı
olması yerine, herkesin kullanabileceği en iyi programa ulaşılabilecektir. Hackerlara göre bilgi
akışına izin veren her sistem bundan faydalanır. Bilgilerin özgür (free) olması bugün açık kaynak
kodlu programların oluşmasını sağlayan temel anlayıştır.
Hackerlar bilgi paylaşımını sağlamak amacıyla teknolojik gelişmeleri sürekli olarak takip
ederek, bu teorik bilgilerini capture the flag (bayrağı ele geçir) yarışmalarıyla pratiğe dökerler. Bu
yarışmalar sırasında özel olarak dizayn edilmiş ekipmanlarla, belirlenmiş zaman diliminde
hackerlar ele geçirmeleri gereken hedefe ulaşmaya çalışırlar. Bazı düzenlemelerde katılımcıların
sosyal becerilerini kullanarak istenilen bilgilere ulaşıp ulaşamayacakları da sınanır.
3) Otorite’ye güvenmemek ve adem-i merkeziyeti teşvik etmek: “Serbest bilgi değişimini
teşvik etmek için hackerlarla bilgi arasında ya da donanım arasında, sınırların ve engellerin
olmadığı açık sisteme sahip olunmalıdır.” Hackerlara göre merkezi otorite kendini bürokrasi olarak
ortaya koyar. Bu yüzden bürokrasinin hâkim olduğu şirketler ve üniversitelerin dürtülerini
öldürdüğünü düşünürler. Bürokrasiye karşı tutumları günümüzde devlet kurumlarına ve onun
sistemlerine yapılan saldırıların sebebini net olarak açıklamaktadır.
4) Hackerlar yaptıkları eylemlere göre değerlendirilmelidir; diploma, yaş, ırk ve ünvan gibi
kriterlere göre değil: Hackerlar için iyi eğitimin sınıfta alınması gerekmez. Günümüzde internetin
geniş kitlelere yayılmış olması bir çok insanın hacker olmak için gereken nitelikli bilgiye kolayca
ulaşmasını sağlamaktadır. Örgün eğitim içinde olan ya da olmayan, bilgisayar konusunda sistemli
eğitim alan ya da almayan herkes hacker olma şansına sahiptir. Siber güvenliğin bu önemli
aktörlerinin dünyasında kişilerin başarısı yaptıkları eylemlerle ölçülür. Siber uzayda takma isim
56
kullandıkları için gündelik yaşamlarında hangi yaş, eğitim, ırk ve dil grubuna ait olduklarını tahmin
etmek kolay değildir.
5) Bilgisayarda sanat ve güzellikler yapabileceğine inanan Hackerlar ellerindeki aracı daha
iyi ve kullanışlı hale getirme felsefesine kendilerini adamıştır. Steven Raymond hackerların en
azından Python, C/C++, Java, Perl ve LISP gibi programlama dillerini bilmeleri gerektiğini
belirtilmektedir. Onlara göre programlarkenkullandıkları betiğin sadeliği ve kısalığı bir tür
bilgisayar ortamında icra edilmiş sanattır. Yazılımın kodları hackerın düşünce yapısının
göstergesidir. Zira yalın yazılmış kodlar sayesinde bilgisayar işlemcileri (CPU) daha az çalışmakta
böylece az enerji ile çok iş yapılabilmektedir.
6) Bilgisayarlar hayatınızı daha da güzelleştirebilir. Bilgisayarlar sadece hackerlara değil,
diğer insanlara da büyük imkânlar sunmaktadır. Günümüzde kolaylıkla elde edilen birçok donanım
ve yazılım hackerların katkıda bulunduğu süreçle geliştirilmiştir. Örneğin hackerlar açık kaynak
kodlu yazılımları desteklemekte ve bunların kullanılmasını teşvik etmektedirler. Unix benzeri özgür
bir program projesinin kurucusu Richard Stallman’dan Linux’un ilk çekirdeğini (kernel) yazan
Linus Torvalds’a kadar, bir çok hacker bunu gerçekleştirmeye çalışmıştır. 1975’te yazılmaya
başlayan hacker manifestosu zamanla değişerek gelişmiştir. 2004’te yayınlanan yeni bir manifesto
eğitimden bilgiye, sınıf olgusundan üretime kadar birçok konuda hackerların algılarını
aktarmıştır.41 Yeni manifestodaki şu ifade konuyu net bir şekilde ifade etmektedir: “bir hack
sanal’a dokunur ve gerçeği değiştirir. Özünde bir hareketin hack sayılabilmesi için yenilik, stil ve
teknik uzmanlıkla dolu olması beklenir.” Bu sadece bilgisayarla ilgili değildir. Eric S. Raymond’un
ifadesiyle, “ Yazılımdan başka şeylere (elektronik ve müzik) de hacker davranışını uygulayan
insanlar var. Aslında herhangi bir bilim dalının veya sanatın en yüksek seviyelerinde onu
bulabilirsiniz.”
Günümüzde hacker felsefesinden farklılaşan motivasyonlarla bilgisayar veya ağ sistemlerine
zarar veren kişiler için farklı terimler kullanılmaya başlanmıştır. Hackerlar yeni yollar ve yöntemler
ortaya koymakla tanınırlar. Bu anlamda hackerlardan ilk ayrışanlar Cracker’lardır. Bu
bilgisayarların güvenlik kontrollerini kendine menfaat sağlamak amacıyla ve suç motivasyonuyla
aşan kişi ya da kişilere verilen isimdir. Ne var ki, hackerlar ile crackerlar arasındaki netliğin zaman
zaman kaybolduğu da ortadadır. Türkçe’de bu iki kavramı karşılayabilecek ve ayırabilecek kabul
görmüş karşılıklar yoktur. Hacker kavramı için “üstad” kelimesini kullanan çevirileri görmek
mümkün iken, cracker için “bilgisayar korsanı” tabiri kullanılmaktadır.
Öte yandan hem hackerlar hem de crackerlar odak hedefli çalışırlar. Hedefin niteliği ve ne
derece meydan okuyucu olduğu bu iki grubu teşvik eden en önemli unsurdur. Hackerlar iş gereği ya
da kendilerine buyrulan bir hedefe ulaşmayı genelde sıkıcı bulurlar. Eğer gerekli motivasyon
sağlanırsa zaman sınırlaması onlar için anlamsız hale gelir. Bu davranış biçimleri onları siber
güvenlik için çalışanlara göre daha avantajlı hale getirmektedir.
Siber güvenliğin önemli aktörleri haline gelen hackerlar/crackerlar devletlerin de ilgisini
çekmiştir. Siber casusluktan istihbarata, güvenlikten siber suçlara kadar birçok alanda yönetime
destek verebileceklerini düşündükleri bu kişilerle birlikte çalışma anlayışı pek çok devlette ortaya
çıkmıştır. Fakat hem hacker/cracker felsefesinin devlet bürokrasisi içinde çalışmayı kabul
etmemesi, hem de ekonomik imkanların özel şirketler kadar geniş olmaması bu işbirliği arayışlarını
sınırlamaktadır. Bu nedenle devletler siber güvenliklerini sağlayabilmek için daha çok farklı
57
donanım ve yazılım önlemleri almaktadır. Çalışanlarına sürekli eğitim vermekte ve sık sık
tatbikatlar yapmaktadır. Bunların yanısıra özel firmalardan aldıkları desteklerle kendi sistemlerine
yaptırdıkları penetrasyon testleriyle muhtemel zayıflıklarını bularak kapattıkları da bilinmektedir.
Siber Güvenliğin Ciddi Bir Sorun Olduğunun Kanıtı: Altı Siber Sorun
Siber güvenlik üzerine odaklandığım altı yıl sırasında, altı büyük olay bana siber güvenliğin
ciddi bir sorun olduğunu kanıtladı. 2000 yılının başlarında AOL, Amazon, Yahoo, E-Trade gibi
ticari internet siteleri çökmeye başladı. Bu o ana kadar yapılmış en büyük hack’leme eylemiydi.
Siber Güvenlik Bush’un Gazabına Uğruyor
Clinton’un ulusal planını alıp, Bush hükümetinin istekleri doğrultusunda değiştirdik, 2003
yılının Şubat ayında Bush bu yeni Siber Güvenlik belgesini imzaladı. Yazılımlarda büyük bir hata
keşfedilmişti. Bu hata düzeltilmezse hacker’lar canları istediği gibi tüm ağlara ve çok uluslu
şirketlerin bilişim sistemlerine girip çıkacaklardı. John, seçim kampanyası sırasında Bush için
yüksek meblağlarda bağış yapan bir bilişim şirketinin CEO’suydu.
Neticede Clinton, Bush ve Obama aşağıda anlatılan altı nedenden dolayı Amerika’nın özel
sektörünün siber savaşa karşı zafiyeti sorunu çözemediler.
En zor hile;
11 eylül saldırısında Manhattan’da bırakılan dev çukur gibi bir iz bırakmamaları. Özel
sektör şirketleri en temel fikri mülkiyetleri çalındığı zaman haberleri bile olmuyor. Komuta ekibi
sonuç olarak bir sürü güvenlik yazılımı kullanıldığı için kendini güvende hissediyor. Bu tür
“firewall” yazılımları, sızma-algılama ve sızma-önleme sistemleri olduktan sonra, ağlara girmeye
çalışanlar olabilir, ama “biz güvendeyiz” gibi bir algı içindeler. Olağan şüpheliler filminde Kevin
Spacey’nin canlandırdığı karakterin en matrak repliklerinden biri şöyleydi: “Şeytanın en başarılı
hilesi var olmadığına herkesi inandırmaktı”.
Vegas, Bebeğim;
Düşünce liderlerinin ne yapılması gerektiği konusunda fikir birliği içinde olamaması. 2009
yılında Black Hat Vegas konferansında sadece otuz kişinin katıldığı özel bir toplantı yapıldı.
Toplantı sonucunda beş hususta fikir birliğine varıldı:
İlk olarak, Federal devletin eskiden olduğu gibi siber güvenliğe yönelik AR-GE çalışmaları
için kesenin ağzını açması isteniyor.
İkincisi, siber güvenlik konusunda devlet yaptırımlarının artması gerekli görülüyor.
Örneğin, internet omurga taşıyıcıları için federal yönetmeliklerin çıkartılması öneriliyor.
Üçüncü konu, siber saldırıları kimin yaptığının keşfedilmesi için fazla çaba sarf
edilmemesi. Bunun yerine “sağlamlık” unsurunun geliştirilmesi daha uygun bulundu. Sağlamlıktan
kasıt, felaket yaratacak siber saldırıların olacağı kesin. O zaman bu felaketten nasıl kurtulacağımızı
şimdiden planlayalım.
Dördüncü konu, kamu hizmet ağları ve internet arasında bağlantı olmaması gerektiği oldu.
“Kritik altyapı” ağlarının mutlaka herkese açık olan internet’ten ayrılması gerekiyor. Siber
58
güvenliği uzmanı bulmakta zorlanıyordu. Microsoft en çok bağış yapan 30 şirketten biriydi. Banka
sistemini, ulaşım ağlarını ve elektrik şebekelerini siber saldırıdan koruyacak kimse yok.
Gündemdeki Siber Saldırılar
Ülkemizde “.tr” uzantılı alan adı işlemleri için yetkili olan ve gerekli olan politika ve
prosedürleri takip eden kurum Orta Doğu Teknik Üniversitesi (ODTÜ)’dür ve bu hizmetlerini
uluslar arası bir kuruluş olan ve İnternet alan adları sisteminin teknik yönetimini, IP adres
alanlarının tahsisini, protokol parametrelerinin belirlenmesini ve internet ana servis sağlayıcı (root
server) sisteminin idaresini koordine etmekle görevlendirilmiş olan İnternet Tahsisli Sayılar ve
İsimler Kurumu (Internet Corporation for Assigned Names and Numbers- ICANN) önderliğinde
yürütmektedir. ODTÜ 21 Aralık 2015 tarihinde yaptığı yazılı açıklama ile 14 Aralık tarihinden bu
yana “.tr” alan adlarını hedef alan ancak yoğunluğu azalarak devam edegelen siber saldırılar
yaşandığını bildirdi. Yapılan açıklamadan bant genişlik kapasiteleri 40 Gbps olan birden fazla
telekom operatörüne zaman zaman yoğunluğu 200 Gbps’lik bant genişliğine ulaşan yapay ve yoğun
ağ trafiği ile ülke ağının önemli arterlerinde bazı tıkanmalara ve yavaşlamalara neden olduğu
anlaşıldı. Basında yer alan haberlere göre ise yoğun kullanılan bazı banka ve kamu kurumlarının da
geçici süre ile hizmet veremedikleri öğrenildi.
Yine yapılan açıklamadan anlaşıldığı üzere, ülke dışındaki kaynaklar aracılığıyla üretilen bu
sahte ve yoğun ağ trafiğine karşın ODTÜ koordinesinde ve ilgili kurumlar aracılığıyla (standart ve
geçici bir korunma çözümü üretilmiş) ülkemize yurt dışından İnternet girişi ana kapıları kapatıldı.
Saldırıların “.tr” uzantılı alan adları başta olmak üzere bankalar, kamu kurumları, havalimanları,
askeri, özel sektör ve kamu kurumlarına ait sistemlere karşı devam edeceği iddialar arasında. Öte
yandan twitter hesaplarından yaptıkları açıklama ile 24 Aralık günü yaşanan siber saldırıların son
halkasını teşkil eden ve yoğun kullanılan bazı banka ve kamu kurumlarına erişimlerin engellendiği
saldırıları Türk hacker grubu Redhack (Kızıl Hackerlar) üstlendi ve basına yansıyanın aksine
saldırıların sadece DDoS değil sistemlere sızmalar şeklinde de olduğu iddia edildi. Ancak,
saldırıların Türkiye tarafından düşürülen savaş uçağı sebebiyle Rus hacker grupları tarafından
organize edildiği de diğer iddialar arasında.
Saldırıları kimlerin üstlendiğini ve gerçekte kimler tarafından gerçekleştirildiğini bir yana
bırakarak şu soruların kısa cevaplarına bakalım; Peki nedir bu karşı karşıya bulunduğumuz siber
saldırılar? Alınan tedbir ve önlemler yeterli midir? Güvenli bir siber uzay için orta ve uzun vadede
yapılması gerekli olanlar nelerdir?
14 Aralıktan bu yana karşı karşıya bulunduğumuz siber saldırıların Dağıtık Servis Kesintisi
Saldırıları (DDoS) olduğu bildirilmektedir. Elektronik sistem ve hizmetleri kesintiye uğratan
günümüz tüm siber saldırılarının 1/3’ünü teşkil eden bu saldırı tipi küresel ağa bağlı ve zararlı
yazılımlar ile kontrol altına alınmış çok fazla sayıdaki bilgisayarın/cihazın oluşturduğu botnet’lerin
(roBOT NETwork) eş zamanlı kullanılarak hedefteki online sistemlerin işlem kaynaklarını ve bant
genişliği kapasitelerini aşacak miktarlarda ağ trafiği oluşturacak iletişim ve bilgi talepleriyle bu
sistemleri meşgul etmekten ibarettir. Bu durum da yaşananlar çok ihtiyaç duyulduğu bir anda 155
ya da 112 gibi acil çağrı merkezlerine ait tüm hatların gereksiz görüşmelerle meşgul edilmesinden
dolayı ulaşamadığımızda içine düşülen acizlik durumu ile benzerdir aslında. DDoS saldırılarına
maruz kalındığında kısaca saldırı sona erene ve sistemler tekrar çalışır olana dek ihtiyaç
59
duyduğumuz hizmetlere erişim engellenmiş oluyor. Erişilemeyen bu hizmet ve servisler tolere
edilebilir bir eposta ya da sosyal medya hesabı olabileceği gibi, hastane ve eczaneler için kullanılan
sağlık sistemleri, noter hizmetleri, bankacılık hizmetleri, yurda giriş ve çıkışlar için kullanılan
pasaport ve kontrol sistemleri, özel ya da kamu sektörünce sunulan daha kritik hizmetler de
olabilmektedir.
DDoS saldırıları; direk bant genişliğini hedef alan, sistemlerin güvenliği için
konumlandırılmış yük dengeleyici, güvenlik duvarları ya da uygulama sunucularının mevcut
kapasitelerinin tamamını meşgul etmeyi hedef alan, sunulan hizmeti gerçekleştiren uygulamayı
yormayı hedef alan ya da sistemlerde bütünleştirilmesi mümkün olmayan rastgele paketçikler
göndererek hizmet ve servisleri kesintiye uğratır miktarda yavaşlamayı hedef alan saldırılar
şeklinde ortaya konabiliyor. Gerçek hayatta rastladığımız gibi internette de karanlık ve yasadışı işler
için kullanılacak uzmanlıkların buluştuğu sanal marketler mevcuttur ve haftalar boyunca sürecek bir
DDoS saldırısı gerçekleştirebilecek iş gücünü bu marketlerden 150 ABD Doları kadar bir ücret
karşılığında temin etmek de mümkündür.
Yukarıda belirtildiği üzere ülke dışından gelen ağ trafiğini tek taraflı olarak kapatmak ve
saldırı kaynaklarının hedef sistemlere erişmesinin önünü almak elbette standart ve geçici bir
çözümdür. Bu kısa süreliğine göreceli bir izolasyonu mümkün kılsa da ülke içerisinde bulunan ve
zararlı yazılımlar ile kontrol altına alınmış binlerce bilgisayardan üretilecek saldırılara ise engel
olunamayacaktır. Bunun da ötesinde geçtiğimiz Eylül ayı içerisinde Çin’de yaşanan ve yeni bir
DDoS saldırı vektörü olarak kayıtlara geçen saldırıda mobil uygulamalarında istemsiz olarak yer
alan ve zararlı yazılım içeren reklamlar aracılığıyla 650 bin akıllı telefon kullanıcısı yine hiç farkına
varmadan DDoS saldırısının kaynağı olmuştu. BTK verilerine göre ülkemizde 3G abonesi 60
milyonu aşkın mobil iletişim cihazı bulunduğu göz önüne alındığında ve mobil sistem güvenliği
konusunda ne kadar duyarlı bulundukları tartışılır bir kullanıcı kitlesi de denkleme eklendiğinde
durumun çok iç açıcı olmadığını söylemek gerekir. DDoS saldırıları ile ilgili şu iki gerçeği de akılda
tutmak gerekir;
I) ne kadar teknik tedbir alınırsa alınsın DDoS saldırıları kaçınılmazdır,
II) sistemlerde uzun süreli kesintilere sebep olan ya da tahrip edici etkileri yüksek ve daha
kompleks yapılardaki diğer siber saldırı tipleri ile kıyaslandığında geçici sürelerle sistem ve
hizmetlere erişimleri engelleyebilen DDoS saldırıları (özellikle sistem güvenlikçileri için) “yeni
normal”dir.
Mevcut konvansiyonel her silahın kinetik etkisi hesaplanabilirken siber uzaydaki bir
aktivitenin kartopu ve domino efekti ile oluşturabileceği tahribatı hesaplayabilmek neredeyse
imkansızdır. O nedenle siber saldırılar karşısında alınması gerekli olan yüksek maliyetli her türlü
teknik tedbirin tercihi yapılırken göreceli olarak muhtemel risk ve tehditlerin tolere edilebilirlik
seviyesine, sebep olabileceği maddi kayıplar ve oluşturacağı bireysel, kurumsal ya da ulusal
güvenlik problemlerine dair kabul ve ölçütler kullanılmalıdır. Rasyonel kararlar verilebilmesi için
ise risk yönetimi merkezli ölçme ve değerlendirilmeler yapılmalıdır. Küresel güç dengelerindeki
çekişmenin çok boyutlu olarak devam ettiği, komşu coğrafyamızın yeniden haritalandırıldığı, hızla
artan enerji talebi konusunda ortaya çıkan yeni dinamiklerin yanı sıra içte ve dıştaki politik
uyuşmazlıklarımızın arttığı da hesaba katıldığında bizi de hem içine alacak hem de hedefe koyacak
siber saldırıları öngörmek isabetsizlik olmasa gerek.
60
Neler yapılmalı?
Teknik olarak alınabilecek tedbir ve önlemleri içeren çözümlerin üreticisi değil kullanıcısı
olmak bizleri bu hususta sadece tedarikçilere koşulsuz bağımlı kılmanın ötesinde bu çözümlerin
isabet, başarı ya da zafiyetlerini derecelendirmek konusunda asimetrik bir bilgi yetersizliği içinde
bırakmaktadır. Ne var ki; teknik olarak alınabilecek tedbir ve önlemler önemli olsa da siber
güvenliğin sadece bir boyutunu oluşturmaktadır. O nedenle ulusal siber uzay güvenliğimiz
hususunda orta ya da uzun vadede gerçekleştirilmesine ihtiyaç duyulan diğer parametrelere şu
kriterler ışığında göz atalım; Mevzuat düzenlemeleri, Teknik ve Prosedürel tedbirler, Kurumsal
örgütlenme, Kapasite gelişimi ve Uluslararası işbirliği.
-Siber sistemler ve barındırdıkları verilerin gizliliği, bütünlüğü ve erişilebilirliğini hedef
alan her türlü haksız, yetkisiz ve izinsiz erişimler, müdahaleler, iletişimde hukuka aykırı olarak
araya girmeler, bilgisayar sistemi aracılığıyla gerçekleştirilen sahtecilik ve dolandırıcılıklar, çocuk
pornografisi bulundurmak, bunların dağıtımını yapmak üzere üretmek, sunmak veya erişilebilir
kılmak ile telif/fikri mülkiyet ve bağlı haklarının ihlallerine ilişkin faaliyetler ülkemizde daha
yaygın olarak bilinen ifadesi ile bilişim suçları ya da tüm dünyanın ifade ettiği şekliyle siber
suçlardır. Bu suçlarla mücadele adına oluşturulacak ulusal kanunlara rehberlik etmek ve uluslararası
harmonizasyonu sağlamak amacını gözeten ilk uluslararası sözleşme Avrupa Konseyi’nce 2001
yılında kabul edilmiş 2004 yılında yürürlüğe girmiştir. Ülkemiz bu sözleşmeyi 6 yıl gibi bir
gecikmeyle 2010 yılında imzalamış ve ancak Nisan 2014 tarihinde yürürlüğe sokmuştur.
Ülkemizdeki ilgili düzenlemeler Türk Ceza Kanunu (2005 tarihli Bilişim Alanında İşlenen Suçlar
başlıklı 10uncu Bölüm başta olmak üzere ilgili diğer maddeleri), Fikri ve Sanat Eserleri Kanunu ile
5651 sayılı kanunla yapılmıştır.
-Avrupa Konseyi Siber Suçlar Sözleşmesi uyarınca ve BM ilgili lider birimi olan
Uluslararası Telekomünikasyon Birliğinin (International Telecommunication Union – ITU)siber
güvenliğin hukuki boyutlarını detaylıca ortaya koyduğu rehberlere uygun olarak ihtiyaç duyulan
gerekli yasal düzenlemelerin ivedilikle yapılması büyük önem arz etmektedir.
-Siber güvenlik öncelikleri, siber kriz yönetimi ve siber olaylara müdahale esas, teknik ve
prosedürlerini ortaya koymak üzere zamanlıca oluşturduğumuz Ulusal Siber Güvenlik Stratejisi ve
hedeflerine ulaşılamadığı görülen ve henüz güncellenmemiş de olan Eylem Planlarının BM
Uluslararası Telekomünikasyon Birliğince (International Telecommunication Union –
ITU)hazırlanan ve tüm dünyanın takip ettiği rehberlere uygun olarak ivedilikle uyumlu hale
getirilmesi yine büyük önem arz etmektedir.
-Ekonomik, sosyal ve ulusal güvenliği yakından ilgilendiren bir öneme haiz siber güvenlik
aktiviteleri hususunda stratejik ve taktik tavsiyeler ortaya koyabilecek bağımsız bir koordinatör
heyetine duyulan ihtiyaç ortadadır. Ulusal Siber Olaylara Müdahale Merkezinin(USOM) siber
olaylara etkili bir şekilde müdahale desteği sunabilen, sistem anomalilerini takip edebilen, erken
uyarı sistemleri oluşturarak ilgili organizasyonlarla hızlıca irtibatlanabilen, kamu ve özel sektör
işbirliğine önderlik yapabilen bir yapıya hızlıca dönüştürülmesi de göz ardı edilemez bir ihtiyaçtır.
-Siber suçların etkili soruşturulabilmesi ve adli bilişim kapasitesinin artırılmasına yönelik
olarak kolluk ve adli kurumların eğitim, donanım ve personel yatırımlarının hızlandırılması
gerekmektedir.
61
-Sürekli gelişen yapısına ayak uydurabilen esnek hukuki düzenlemeler yapılması, siber
güvenlik, siber istihbarat, siber savunma, siber diplomasi ve siber suçla mücadele birimlerinin
etkili, verimli ve koordineli çalışmalarındaki sürekliliğin sağlanması, toplumun her düzeyinde
farkındalığın artırılarak ulusal siber güvenlik kültürünün oluşturulması, bilgi ve sistem güvenliği
için yönetim ve teknik yeteneklerinin artırılması, finansal ve insan kaynakları yatırımları ile
inovasyonun desteklenmesi ve bu ulusal kapasitenin sürekli geliştirilmesi gerekmektedir.
-Sınırları aşan küresel yapısı sebebiyle, güvenli bir siber ortam sağlanmasında yasal ya da
sosyal sorumluluğa sahip her kuruluşun yerel, bölgesel ve uluslararası işbirliği fırsat ve imkanları
peşinde koşmaları lüks değil en temel görevdir.
-Siber uzayı oluşturan yazılım ve donanımların dünyanın her yerinde çok az farklılıklar
gösteriyor olduğu bir gerçek ise siber tehdit ve risklerin her sistem için aynı mesafede olduğu
önermesi doğrudur. Siber güvenlik hususundaki farkındalığı yüksek toplum ve kuruluşların
problemlerin üstesinden gelmek için ortaya koydukları gayret ve çabaları dünyanın geride kalanları
için birer model olduğu gerçeği de kabul edildiğinde problemlerimizin çözümü için yalnız ve
çaresiz olmadığımız önermesi de doğrudur. Dolayısı ile Amerika’yı yeniden keşfetmek yerine tüm
dünya uzmanlarının kafa kafaya, omuz omuza, el ele vererek ortak akılla ortaya koydukları tavsiye
ve rehberlere gerekli önceliği atfetmek daha isabetli olsa gerek.
Siber uzay güvenliği ve siber suçla mücadele alanına ilgi duyan herkesin ulaşabileceği açık
kaynaklar için sıralanan şu kurumların çalışmalarına bakılabilir; Birleşmiş Milletler Uluslararası
Telekomünikasyon Birliği (ITU), Birleşmiş Milletler Uyuşturucu ve Suçla Mücadele Ofisi
(UNODC), Birleşmiş Milletler Ekonomik ve Sosyal İlişkiler Dairesi (UNDESA), Ekonomik
Kalkınma ve İşbirliği Örgütü (OECD), Avrupa Güvenlik ve İşbirliği Teşkilatı (AGİT), Kuzey
Atlantik Antlaşması Örgütü (NATO), Uluslararası Polis Teşkilatı (INTERPOL), Parlamentolar
Arası Birlik (IPU), Avrupa Ağ ve Bilgi Güvenliği Ajansı (ENISA),Siber Tehditlere Karşı Uluslarası
Çok Taraflı İşbirliği Örgütü (IMPACT), Avrupa Siber Suçla Mücadele Merkezi (EC3).
Siber Savaş Açığı
ABD’nin en ileri siber savaş gücü olduğunu söylemiştik. Rusya hemen arkasından geliyor.
Çin ve muhtemelen Fransa yakın takipteler. İran ve Kuzey Kore dahil 20’nin üzerinde ülkenin belli
bir kapasitesi bulunuyor. Ancak siber savaş siber saldırıdan daha geniş kapsamlı bir konu. Bir ulus
kendini siber saldırılardan koruyabilir mi? Görünüşe göre Afganistan hiçbir ağa sahip olmadan
bunu başarıyor.
62
Siber Savaş Gücünü Ölçmek
ÜLKE
SİBER SALDIRI
ABD
8
RUSYA
7
ÇİN
5
İRAN
4
KUZEY KORE
2
Şu durumda bağımlılık durumumuzu düşürmemiz mümkün değildir. Yapılacak tek şey
toplam puanı yükseltmek adına savunma gücümüzü artırmaktır.
Savunma Stratejisi Üzerine
2003 Yılında hazırlanmış olan Siber Uzayı Güvenceye Almaya Yönelik Ulusal Strateji
raporu var kamuya açık bir savaş stratejisi belgesi yok. Siber savaşın nasıl yürütüleceği
konusundaki sorulara herkesin paylaşacağı ortak yanıtlar var mı?

Bir saldırı sonucunda tamamen elektriksiz kalmış olduğunu görürsek ne yapacağız?

Siber savaş olanaklarının her yerde gelişmesi iyi bir şey mi?

Siber savaş silahlarını sadece bize sadece bize karşı siber savaş silahı kullanılırsa mı
kullanacağız?

Barış zamanında başka devletlerin ağlarına hacking operasyonları düzenlemeli miliyiz?

Başka devletlerin barış zamanında bizim ağlarımıza hacking saldırısı düzenlemiş
olduklarını öğrenirsek ne yapacağız?

Siber silah saldırısına uğrasak, hangi şartlar altında fiziksel silahlara karşılık veririz ya da
vermeliyiz?

Siber savaş ile barış arasındaki çizgi açıkça belirgin olmalıdır?

Siber savaşta başka devletlerle koalisyon oluşturarak, onların siber uzaylarını
savunmalarına yardım edip siber silahlarımızı, taktiklerimizi ve hedeflerimizi paylaşmalı
mıyız?

Barış zamanında ve krizde siber silahlara ilişkin niyetimizi nasıl ifade etmeliyiz?
Bu soruların yanıtlarını vermek kolay değil. Ancak, askeri liderler ve diplomatlar geçmiş
deneyimlerinden bilirler ki, kendini korumak üzere hazırlık yapmak ile çatışma olasılığını artıracak
proaktif faaliyetler yürütmek arasında çok ince bir çizgi vardır.
63
Siber Savaş Stratejisinde Savunmanın Rolü
Siber saldırı kapasitesini daha da arttırmak ABD için yeterli olmayacaktır. Gerekli olan,
inanılır bir siber savunma oluşturulmasıdır.
Savunma Üçlüsü
Savunma çabaları üç ana sektör üzerinde yoğunlaşacaktır. İlki internet omurgasıdır.
Savunma üçlüsünün ikinci ayağı elektrik şebekesinin güvence altına alınmasıdır. Savunma
üçlüsünün sonuncu ve üçüncü ayığı da savunmanın kendisidir. Siber saldırı yapılma nedeni büyük
ihtimalle saldırganın ABD ile gerilimli bir ilişki içinde bulunması olacaktır.
ABD Savunma Bakanlığı 2007 yılından beri her yıl Siber Fırtına adını verdiği siber savaş
tatbikatları yürütmektedir. On önemli hususa parmak basılır;
 Caydırıcılık
 İlk vuran biz olmayacak mıyız?
 Savaş alanına hazırlanması
 Küresel savaş
 Karşılıklı hasar ve geri çekilme doktrini burada gördüğümüz durum, nükleer savaş
stratejisinde “hedeften geri çekil” dediğimiz ortam.
 Tırmanma kontrolü
64
 Pozitif kontrol ve kazara savaş
 Kimlik belirleme
 Kriz istikrarsızlığı
 Savunma asimetrisi
 Hangi uluslararası yasalar siber savaşı kapsıyor? Ve hangi çok taraflı anlaşmalar
yararımıza olur.
Siber Barış
Günümüzde Amerika Birleşik Devletleri tek başına siber uzayda silahsızlanmaya
engellemekte. Şaşırtıcı bir şekilde, Rusya ise siber uzayda silahsızlanma istiyor. 1960’lı yılların
başında başlayıp otuz yıl kadar devam eden Soğuk Savaş silahsızlanma müzakereleri iki süper güç
olan ABD ve SSCB’yi epeyce meşgul etti. Sonuç olarak iki tür anlaşma ortaya çıktı; iki süper
gücün küresek katılım istediği çok taraflı anlaşmalar, kendi askeri kapasitelerine spesifik
kısıtlamalar getirdikleri ikili anlaşmalar.
Elektrik enerjisi, boru hatları, havayolları, demiryolları, tüketici ürünlerinin dağıtımı,
bankacılık ve askeriyenin müteahhitlerinden aldığı ürün ve hizmetlerin tedarik edilmesi konusunda
bilgisayar ağlarını dünyada en yüksek oranda ABD kullanmaktadır.
Kısıtlamaları tartışmadan önce, birinci bölümde yapmış olduğumuz siber savaş tanımını
alalım ve anlaşma diline uyarlayalım:
Siber savaş bir devlet tarafından, bir devlet adına veya o devleti desteklemek üzere başka bir
ülkenin bilgisayar veya bilişim ağlarına veri eklemek, değiştirmek ya da bozmak veya
bilgisayarları, ağ üzerindeki cihazları ya da bilgisayar sisteminin kontrol ettiği nesneleri kesintiye
uğratmak veya onlara hasar vermek amacıyla yetkisiz giriş yapılmasıdır. Siber savaşın bazı
unsurlarının kısıtlanabileceği bir uluslararası anlaşma ABD’ye nasıl yararlı, operasyon açısından
yapılabilir ve yeterli derecede izlenebilir olabilir?
Kapsam: Casusluk Mu Savaş Mı?
Siber savaşı kısıtlayan ya da kontrol eden bir potansiyel uluslararası anlaşma önerisinin
kapsamı ile başlamalıdır. Ne kapsanmalı, ne dışarıda bırakılmalıdır? Rusların önermiş olduğu siber
silahsızlanma önerisinin kapsamı çok genişti. Karşılarındaki hükümetlerin niyetleri, kapasiteleri ve
zafiyetleri konusunda bilgi toplamaya çalışıyorlardı. Gelecek bir krizde Pentagon’un ağını
çökertebilecek bir lojik bombası da olabilir. Yani casusluktan sabotaja geçilmesi, farenin birkaç
kez tıklanmasına bakıyor. Ülkeler siber casusluğun kolayca gerçek savaşa hazırlık olarak
algılanabileceğini göz önünde bulundurmalı, gerçek dünyada yapılmayacak şeyleri siber uzayda
yapmamalıdırlar.
Her şartta siber silahların kullanımın yasaklayan bir uluslararası yasak en uç vaka olacaktır.
Bunun yerine ilk kullanıcı olmayacağına dair karşılıklı beyanlarda bulunulması veya ayrıntılı bir
uluslararası anlaşma imzalanması düşünülebilir. Buradaki odak noktası, siber saldırının savaş
başlatmamasıdır.
65
Bir olasılık tek taraflı bir bildirge veya uluslararası bir protokol ile sivil hedefleri siber silah
kullanımın dışında bırakmak olabilir. Uluslararası yasalarda belirli silah veya faaliyetlerin
kullanılması ve savaşa yakalanmış sivillerin korunmasına ilişkin birçok örnek vardır.
Yeni belgelerde hem sivillere, hem askerlere karşı yangın ve zehirli gaz silahları, biyolojik
silahlar ve genelde imha edici sanayi tipi lazerler gibi son derece korkunç sonuçlara neden olan
saldırı araçlarının kullanımı da yasaklandı. Sivillerin korunmasına yönelik onaylanan beş spesifik
protokol arasında kara mayınlarının kullanımına getirilen yasak da bulunmakta. “Sivillerin
korunması” bir ülkenin altyapısına yapılan saldırılar kaçınılmaz bir şekilde sivil halkı da
etkileyecektir. O ülkenin elektrik şebekesine ya da ulaşım sistemine saldırması son derece “hedef
ayırt etmeyen” bir taarruz olarak nitelendirilebilir.
Bu tür geniş tabanlı saldırılar ülkenin her tarafını etkileyecektir., ama bazı saldırılar
askerlerden çok sivil halka zarar verir. Askeri birliklerin acil durumlara daha hazırlık olduğu ortaya
çıkar. Bir ülkenin altyapısına karşı yapılacak siber saldırı güç şebekesini haftalarca devre dışı
bırakabilir. Boru hatları petrol ürünlerini ve gazı iletemez hale gelir. Trenler kalkamaz, uçaklarda
yerde kalır. Bankalardan para çekilemez, dağıtım sistemleri çöker ve hastaneler kısıtlı kapasiteyle
çalışmak zorunda kalır. Sivil nüfus karanlık ve soğuk evlerde, gıda, para ve tıbbi bakımdan yoksun,
ne olup bittiği konusunda haber alamaz hale gelir. Bunun sonunda yağmalamalar ve bir suç dalgası
meydana gelebilir. Var olan uluslararası anlaşmaları genişleterek sivil hakları koruyacak şekilde
siber silahları kısıtlamanın ABD için avantajları olacaktır.
Geleneksel silahlar ile yapılan bir çatışmada çok gelişmiş siber silahlar da kullanılırsa,
karşısındaki düşmanın toplam vuruculuğu ABD’ninkiyle eşit bile olsa, ABD’nin siber yetenekleri
daha fazla olduğu için, durum Amerikan askerlerinin lehine olacaktır. ABD’nin sivil alt yapısında
daha fazla güvenlik açığı bulunmakta. Bu yüzden ABD’nin başka ülkelere kıyasla, geniş çaplı bir
siber savaş saldırı karşısında kaybedecek daha çok şeyi var.
Yalnızca bankalara siber saldırıyı yasaklayan bir sözleşme düşünülebilir. Bankacılık
işlemlerinin güvenli olmaması ve takasların tamamlanacağına dair kesinliğin yitirilmesi halinde,
finans dünyasına korkuyla yaklaşılacak ve sistem çökebilecektir.
Siber Uzayda Denetçiler
Geleneksel silahsızlanma doğrulaması siber uzayda yapılacak denetimlerden çok farklı.
Zırhlı muhabere araçları konusunda denetim yapılacaksa, müfettişlerden oluşan ekipler üslere girip
kontrol çalışmalarında bulunabiliyor. Siber savaş denemelerinin yürütüldüğü kapalı devre
sistemlerinin geliştirilmesi, kimlere ait olduğu veya buralarda deneme yapılmasına karşı getirilecek
yasakların çiğnenip çiğnenmediğini kontrol edemez.
Bütün ülkelerin başvuracağı bir uluslararası merkez kurulursa, saldırı altında kaldığını
düşünen ülkeler buraya başvurabilir. Saldırıyı yiyen ülke sabah karşı bile olsa hemen Tlin2deki
merkezi arar, saldırının gerçekleştiği ülkeyi arayan merkez de anında botneti çalıştıran ISS’i
bulmasını ve kapatmasını talep eder. Daha sonra müdahalenin ne kadar sürdüğünü raporlar.
66
Zararlar, Saldırganların Hayal Gücüyle Sınırlı!
Örneğin hergün on binlerce kişinin uğradığı benzin istasyonları için alarm zilleri
çalmaktadır. Benzin istasyonlarını hedef alan siber saldırıları ölçümlemek adına yapılan araştırmada
yakıt tanklarının doluluk oranları gibi verilerinin izlendiği ve yönetildiği sistemler hedefte. Siber
saldırganlar bu sistemleri kapatmaya ve ele geçirmeye yönelik saldırılar düzenliyorlar.
Araştırma için özel olarak hazırlanan GasPot adı verilen düzmece yakıt tankı seviye izleme
sistemlerini kullanıldı. Araştırma kapsamında ABD, Brezilya, İngiltere, Ürdün, Almanya, Birleşik
Arap Emirlikleri ve Rusya'da aktif hale getirilen sistemlerin uğradıkları siber saldırılar gözlemlendi.
Kurulan GasPot sistemleri, siber saldırganların dikkatini çekmek için birer benzin istasyonuymuş
gibi yerel ve gerçekçi isimlerle adlandırıldılar. Kurulan GasPot'lar arasında en fazla saldırıya
uğrayanlar ise yüzde 44'lük oranla ABD'dekiler oldu. İkinci sırayı ise Ürdün'deki GasPot'lar aldı.
Dünyada Almanya'dakilerin dışındaki tüm GasPot'lar siber saldırıya maruz kaldı.
Araştırmacı firma tarafından mevcut durum Türkiye değerlendirildiğinde; akaryakıt
sistemlerindeki güvenlik zafiyeti uzun zamandır bilinmektedir. Özellikle sahada yapılan güvenlik
testlerinde bu sistemlerin ciddi güvenlik açıklarına sahip olduğunu görüldü. Bu durum çoğunlukla
bu sistemlerin dağıtık yapıdaki bilgi işlem altyapısının yönetimindeki zorluklardan kaynaklanıyor.
Ek olarak, özel yazılımlar veya eski donanımların kullanılması da buralara başka yazılımların
yüklenmesini zorlaştırıyor. En son yaptığımız yerel araştırmalarda bölgesel dağıtımlı olan bu
noktalarda özellikle eski versiyon işletim sistemlerinin güncellemelerinin yapılmadığını ve
saldırılara açık olduğunu tespit edildi.
GasPot'lara saldırarak sistemi ele geçirmeye, yakıt tanklarının isimlerini ve programın
kodlarını değiştirilmeye çalışılan bir saldırıyı inceleyen uzmanlar saldırının arkasındaki kişilerin
Iranian Dark Coders (IDC) adındaki İranlı bir siber saldırgan grubu olduğunu ortaya çıkardı. Sanal
ve düzmece yakıt tankının verileriyle oynayan siber saldırganlar program kodları arasına saldırının
IDC tarafından gerçekleştirildiğini ifade eden ibareler yerleştirdi.
Bununla da yetinmeyen korsanlar, ABD'de Washington D.C.'de kurulan bir başka GasPot'u
kilitlemek amacıyla iki gün boyunca aralıksız şekilde DDoS saldırıları düzenlediler. Eldeki
bulgulara göre bu saldırı ise Suriye Elektronik Ordusu (SEA) tarafından gerçekleştirildi.
Saldırılar, internet bağlantılı yakıt tankı izleme ve kontrol sistemlerine yönelik tehlikelerin,
bir varsayımdan öte gerçeklik olduğunu ortaya çıkarttı. Endüstriyel boyutlu sistemlerden benzin
istasyonlarındaki ölçüm ve izleme sistemlerine kadar birçok yapı ciddi tehlike altında. Örneğin
Porto Rico'nun Bayamon kentinde 2009'da gerçekleşen bir olayda, yakıt tanklarının doluluk oranını
kontrol eden sistemdeki bir hata nedeniyle çıkan büyük yangında kentin birçok bölgesi tahliye
edilmek zorunda kaldı. Bu gibi örnekler göz önüne alındığında özellikle enerji ve yakıt sistemlerini
hedef alan siber saldırıların binlerce kişiyi etkileyebilecek tehlike potansiyeli taşıdıkları ortaya
çıkmaktadır.
Siber İstihbarat
Siber uzayın muğlaklığı güvenlik kavramlarını da etkilemektedir. Siber espiyonaj, siber
casusluk ve siber istihbarat gibi kavramlar benzer anlamları nedeniyle sıklıkla birbirinin yerine
kullanılmaktadır. Aslında, bunların tamamı benzer saldırı yöntem ve benzer teknolojilere
67
bağlıdırlar. Ancak, siber saldırının failinin bir devlet mi yoksa örgüt mü olduğunu bulmak zorlu bir
meseledir. Devletlerin siber uzayın belirsizliğini ya da sahipsizliğini kendi çıkarları için
kullanmaktadırlar. Siber istihbaratın en dikkati çeken yönü siber güvenlik tehditlerine yanıt
verebilmek amacıyla çeşitli siber araçlarla bilgi toplamaktır.
Son ayların sıcak gündemi, Snowden’ın açıkladığı belgelerde ifşa edilen operasyonlar.
Denizaltı fiber kabloların dinlenmesi, çok zor ve yapılması da gizli tutulması da oldukça büyük
operasyon. Bu operasyon, gözümüzden kaçmaması gereken diğer bilgileri gözümüzden
kaçırmamalı. Hatları ve trafiği takip etme kullanılmaya devam edecek olsa da, özellikle dolaşıma
açılmayan kritik verileri elde etmek veya seçilmiş/tanımlı bir hedefe bu yollarla ulaşmak mümkün
değil. Snowden’in açıkladığı operasyonlardan birisi de, Belçika’nın en büyük telekom operatörü
olan BELGACOM’a yönelik zararlı yazılım (malware) kullanarak gerçekleştirilen “Quantum
Insert” operasyonu.
Stratejik ve operasyonel istihbarat için analiz edilmesi gereken ham verileri elde etmek için
taktik operasyonlar ile sızma yerine şebekeler üzerinden sistemlere veya kişilere erişmek,
operasyonların yeni kimliği haline geldi. Quantum Insert, Stuxnet ve Çin’de keşfedilen Unit-61398
öncesinde belki de zararlı yazılımlar kullanılarak sızma ve bilgi toplama operasyonlarına şüpheyle
bakılıyor ve hayalci bulunuyordu. Fakat hem gerçekleştirilen somut saldırılar hem de ABD ve Çin
devletlerinin üst düzey yöneticilerinin söylemleri neticesinde; bu operasyonların artık “güzel bir
hayal” olmadığına geleneksel istihbarat şeflerini ikna etti. Hatta bu yöntemlere hakim olmayan
istihbarat birimlerinin diğer ülkelerin birimlerinden geri kaldığı da bir anda ortaya çıkmış oldu.
Zararlı yazılımlar, güvenlik zafiyetlerinin ofansif yaklaşımıyla gerçek bir amaç için
silahlandırılmasıdır. 1995-2003 arasında bize büyük bir dünya gibi gelen güvenlik açıkları, her ne
kadar tek başına hala birçok sisteme erişim kazanmamızı sağlasalar da, gün geçtikçe tek başına
anlamsız hale gelmekteler. Nasıl ki artık bir zafiyetten ziyade zafiyeti başarılı ve hatasız kullanan
suiistimal yazılımı daha kıymetliyse; aynı şekilde bir suiistimal kodundan ziyade bir amaç etrafında
birleşmiş çeşitli suiistimal kodlarını kullanan zararlı yazılımlar daha kıymetlidir. Eğer suiistimal
kodları, zafiyetlerin silahlandırılmış haliyse; zararlı yazılımlar da bu silahların güdümlü ve akıllı
hale getirişmiş yeni sürümleridir.
Hedefli saldırılar için kullanılan gelişmiş zararlı yazılımlar, hem bilgi güvenliğinin hem de
istihbarat çalışmalarının geleceği durumuna geldi.
Fiber dinleme operasyonlarının oluşturduğu risk yadsınamaz. Fakat beni bugünlerde asıl
endişelendiren, şu anda ülkenin kritik kurumlarında, endüstriyel tesislerinde, askeri altyapılarında
tam olarak hedefini bulmuş olan ve varlığından dahi haberdar olmadığımız zararlı yazılımlar.
Kullandığımız donanımların da işletim sistemlerinin de bize özgü olmadığı her platform, fiziksel
olarak izole olduğu ve internetle bağlantısı bulunmadığı söylense de, hedefe yönelik geliştirilmiş
zararlı yazılım saldırıları için hedef durumunda.
Tabi bunun bir diğer ucu da bizim lehimize. Aynı sistemler başka ülkelerin de elinde olduğu
için, bir yandan da fırsat. Benzer operasyonları kendimiz de gerçekleştirebilir. Sistemlerin her ne
kadar kaynak kodlarına sahip olmasak da, geliştiricileri bize belirli arka kapılar açmasalar da;
bugüne kadar kapalı sistemlerde bulunan açıklar zaten bu imkanlar ile keşfedilmedi. Tersine
mühendislik ve zafiyet araştırmaları, bu sistemleri analiz edip açıklarını bulmak için var. Bu yeni
68
nesil saldırıların mağdur tarafı olmaktansa bu zafiyetleri keşfederek aktif olarak bunlardan
faydalanan taraf olmak gerekiyor.
Kritik altyapı kurumlarındaki bilgi teknolojileri yöneticileri, artan siber güvenlik tehditlerine
karşı tehdit istihbaratının paylaşılmasına yönelik kamu-özel sektör işbirliğine ihtiyaç olduğunu
düşünüyor. Ankete katılanların büyük çoğunluğu, ulusal sınırlar içerisinde kritik bir altyapı şirketi
siber saldırı sonucunda zarar gördüğünde, milli savunma gücünün müdahale etmesi gerektiğini
savunuyor. Aynı zamanda katılımcıların çoğu, şirketlerine yönelik tehditlerin arttığının farkında;
fakat mevcut güvenlik sistemlerine olan inançları tam.
Yapılan Kritik Altyapı Anketine göre katılımcıların yüzde 72’si, son üç yılda siber saldırıların tehdit
seviyesinin arttığını, neredeyse yarısı da gelecek üç yıl içinde kritik altyapı şirketlerine ciddi
sonuçlar doğurabilecek siber saldırı yapılabileceğini tahmin ediyor. Anket sonuçları, kritik altyapı
sağlayıcıları ile mevcut tehdit ortamı arasında bir kopukluk olabileceğini gösteriyor:
Farkına Varılan İyileşmeler: Katılımcılar, son üç yıl içerisinde şirketlerinin siber saldırılara karşı
savunmalarının arttığına inanıyor. Katılımcılardan geriye dönük olarak, şirketlerinin güvenlik
durumlarını değerlendirmeleri istendiğinde, %50’si üç yıl öncesinde şirketlerini “çok veya oldukça
çok” zayıf olarak değerlendireceklerini belirtirken, buna karşın sadece %27’si şirketlerinin şu anda
“çok veya oldukça çok” zayıf olduğunu düşünüyor.
Devlet Katılımı Teşviki: Konu devletin, özel sektörün işine dahil olmasına geldiğinde özel sektör
genellikle çekimser kalıyor; ancak ankete yanıt verenlerin %86’sı altyapının korunması alanında
kamu ve özel sektör arasındaki işbirliğinin başarılı bir siber savunma için kritik olduğunu
düşünüyor. Ayrıca, katılımcıların %68’i kendi hükümetlerinin de siber güvenlik alanında iyi bir
ortak olabileceğine inanıyor.
Mevcut Çözümlere Duyulan Güven: Ankete yanıt verenlerin yüzde 64’ü, iyi düzeyde siber güvenlik
tedbirlerinin halihazırda uygulanması sayesinde, ciddi bir saldırının henüz gerçekleşmediğini
düşünüyor. Buna paralel olarak, anket katılımcılarının %84’ü, son kullanıcı koruması, ağ güvenlik
duvarı ve güvenli web ağ geçidi gibi kendi güvenlik araçlarının performansından memnun veya çok
memnun olduğunu ifade ediyor.
Artan Tehditler: Anket katılımcılarının %70’inden fazlası, şirketlerindeki siber güvenlik tehdit
düzeyinin giderek yükseldiğini düşünüyor. Ankete katılan her on kişiden yaklaşık dokuzu (%89),
son üç yıl içerisinde şirketlerinde güvenli olduğunu düşündükleri bir sistem üzerinde en az bir
saldırı yaşadıklarını söylüyor, bu da yılda ortalama 20 saldırıya tekabül ediyor. Katılımcıların
%59’u, bu saldırıların sonucunda fiziksel bir hasar yaşandığını da belirtiyor.
İnsan Hayatına Mal Oluyor Mu?: Ankete katılanların yüzde kırk sekizi, önümüzdeki üç yıl
içerisinde kritik altyapıda insan hayatına mal olabilecek bir siber saldırının gerçekleşebileceğini
düşünüyor.
Kullanıcı Hatası Hala 1 Numaralı Sorun: Katılımcılar, kritik altyapıya gerçekleştirilen
saldırıların en büyük sebebinin kullanıcı hatası olduğuna inanıyor. Kurumlar güvenlik tedbirlerini
güçlendirmesine rağmen, çalışanlar phishing e-postalarının, sosyal mühendislik ve zararlı yazılım
içeren web sayfalarında gezinme sonucunda kurumlarının ağlarına bulaşan zararlı yazılımların
kurbanı olabilir.
69
Devlet Müdahalesi: Ankete yanıt verenlerin yüzde yetmiş altısı, ulual sınırlar içerisinde
kritik bir altyapı şirketi siber saldırı sonucunda zarar gördüğünde, ulusal savunma gücünün
müdahale etmesi gerektiğini savunuyor.
Ülkelerin Farklı Bakış Açıları: ABD’li anket katılımcıları, Avrupalılara kıyasla kritik
altyapıda insan hayatına mal olacak bir siber saldırının gerçekleşme ihtimalinin yüksek olduğunu
düşünüyor. ABD kaynaklarının %18’i önümüzdeki üç yıl içerisinde bu senaryonun gerçekleşme
ihtimalinin “çok yüksek” olduğunu düşünürken, Almanya’daki katılımcıların %2’si ve Birleşik
Krallık’taki katılımcıların %3’ü bu ihtimalin “çok yüksek” olduğunu düşünüyor.
Ülkemizde Milli İstihbarat Teşkilatı (MİT), Türkiye’deki siber güvenlik tehditlerinin
gerçekleşmeden engellenmesi için gerekli istihbaratı toplamaktan sorumlu birimlerden biridir.
MİT’e bu alanda yetkiler veren 6532 sayılı “Devlet İstihbarat Hizmetleri ve Milli İstihbarat
Teşkilatı Kanununda Değişiklik Yapılmasına Dair Kanun” TBMM’ce 17 Nisan 2014’te
yasalaştırılmış ve Cumhurbaşkanı onayladıktan sonra 26 Nisan 2014’te yürürlüğe girmiştir. Bu yeni
yasa MİT’in görev ve sorumluluklarını şu şekilde yeniden tanımlamaktadır:
“Dış istihbarat, millî savunma, terörle mücadele ve uluslararası suçlar ile siber güvenlik
konularında her türlü teknik istihbarat ve insan istihbaratı usul, araç ve sistemlerini kullanmak
suretiyle bilgi, belge, haber ve veri toplamak, kaydetmek, analiz etmek ve üretilen istihbaratı gerekli
kuruluşlara ulaştırmak.”
Yapılan kanun değişikliğinin MİT’in kurumsal altyapısında nasıl bir değişiklik yarattığına
dair açık bir bilgi olmamakla birlikte son dönemlerde Teşkilat tarafından verilen iş ilanları iş
bölümünde meydana gelen değişiklikler hakkında bazı ipuçları vermektedir. MİT’in iş ilanları
sitesinden şu alanlarda çalışmak üzere uzmanlar arandığı anlaşılmaktadır: Sinyal Analizi ve
Uygulamaları, Şifreleme ve Kripto Analizi, Siber Faaliyetler , Uydu İletişimi, Coğrafi Bilgi
Sistemleri (GIS), İşitsel-Görsel Data İşleme, Telekomünikasyon Sistemleri, Yazılım Geliştirme,
İletişim Yazılımı Geliştirme, Donanım Geliştirme, Mobil Uygulama Geliştirme, Sistem Yönetimi,
Ağ Yönetimi, Veri tabanı Yönetimi, Bilgi Güvenliği ve Internet Teknolojileri, Sistem Analizi,
Mekanik Sistem Tasarlama, Sistem Desteği ve Eğitimi, Veri İşleme. Tüm bu uzmanlık talepleri
MİT’in kurumsal yapısının siber istihbarat çerçevesi kurmak yönünde yeniden yapılandırıldığına
işaret etmektedir.
GÜNDEM
Görünmeden birçok ülkeden gizlice sızan askeri birlikler yeni bir savaş alanına ilerliyorlar.
Birlikler göze gözükmediği için, parlamentolar ve halklar bu güçlerin hareketlerini göremiyor. İl
çatışmalar izole olduğu ve sadece basit silahları içerdiği için, siber savaşçıların yapabilecekleri
saldırıların daha fazla zarar verebileceğini çok az kişi düşünmektedir.
Dünyadaki büyük askeri güçler aynı zamanda birbirlerinin ticari ortağı olduğu için,
düşmanca ilişki içine girebileceklerine inanılmamaktadır. ABD yedi ve dokuz senedir iki ayrı
ülkeyle ateşli savaş içinde olduğu için, siber savaş konusu göz ardı edilmiştir.
Bir siber savaş felaketini önlemek ve siber suçların tırmanmasını önlemek için gerekli altı
adım vardır.
70
1. Görünmeyeni düşünmeye başlamak ilk iş olarak kamuda geniş bir siber savaş diyaloğu
başlatılmalıdır. 2008 yılından beri gazetelerde, TV belgesellerinde ve sinema filmlerinde
siber savaş konusu epeyce işlenmiştir. Halkta da belli oranda bir bilinç oluşmaya
başlamıştır.
2. ISS’lerde İnternet üzerinde dolaşan kötü niyetli yazılımların durdurulması, elektrik
şebekesi üzerindeki kontrollerin güçlendirilmesi, Savunma Bakanlığının ağlarının
güvenliğinin ve silahlarının uyumunun sağlanmasından oluşmaktadır.
3. Siber suç olgusunun da kontrol altına alınması bu savaşın önemli konuları arasına
girmiştir.
4. CWLT (Cyber War Limitation Treaty)
o Bilgi alışverişi ve ülkelere yardım için bir Siber Risk Azaltma Merkezinin
kurulması;
o “Yardım zorunluluğu” ve “Ulusak siber Yükümlülük” gibi uluslararası yasa
kavramının geliştirilmesi;
o Sivil altyapılara karşı siber saldırının ilk kullanımına yasak getirilmesi, ancak bu
yasağın (a) iki ülke gerçek savaştayken, (b) savunan ülkenin başka ülke tarafından
siber silahla saldırıya uğraması durumlarında kaldırılması;
o Sivil altyapılara barış zamanında tuzakların ve lojik bombaların yerleştirilmesinin
yasaklanması ve;
o Herhangi bir zamanda finans kuruluşlarının verilerinin değiştirilmesi veya ağlarına
hasar verilmesinin yasaklanması.
5. Siber uzayın orta yaş sancıları internet artık kırk yaşına girmiştir. Yazılım hataları ve
güvenlik açıkları yüzünden korsanlar hep türlü sızıntıyı gerçekleştirmekte hiç zorluk
çekmiyor. Belki de artık yazılımların yapay zeka makineleri ile üretilmesi gerekmekte.
Bunun yerine Askeri Protokol getirilebilir ve bununla her paketi kimin gönderdiği belli
olur. Paketlerin öncelikleri belirlenebilir, hatta paketler şifrelenebilir. Siber suç, siber
casusluk ve siber savaşın çoğu da ortadan kalkmış olur.
6. Başka ulusların ağlarına lojik bombaların yerleştirilmesinde yetki sadece Devlet
Başkanına ait olmalıdır. Bu işlem düşmanca niyet belirtisi olduğu için, savaşa girip
girmeme olasılığı değerlendirilerek ve başka gizli operasyonlarda olduğu gibi hareket
edilmelidir. Yıllık planlamada Başkan tüm siber casusluk, siber savaş hazırlığı ve siber
savunma programlarını değerlendirmelidir. Siber saldırıları durdurma ve araştırma
zorunluluğu da eklenmelidir.
Siber Evrende Güvenlik
6 milyarı insan, 4 milyarı da makina/cihaz olmak üzere toplam 10 milyar olması beklenen
bağlanabilen nesne sayısının 2020 yılında 50 milyara ulaşacağı tahmin edilmektedir. Bağlantılı
(connected) hale gelecek 7’den 70’e tüm insanlar ile çeşitli iş ve ev aletleri, arabalar, algılayıcılar,
71
ölçme ve izleme sistemleri vb. tüm bu nesneler bir yandan sürekli veri üretirken diğer yandan da bu
verileri paylaşarak olağanüstü bir trafik oluşturmaktadırlar.
İnternet ile başlayan ve olağanüstü hızla genişleyen “Siber Evren”de üretilen, saklanan ve
iletilen bu verilerin büyüklüğü 2005 yılında 130 Exabyte (milyar Gigabyte), 2010 yılında 1.227
Ebyte iken; 2015 yılında 8.590, 2020 yılında ise 40.000 Ebyte değerine ulaşması beklenmektedir.
Araştırmacılar tarafından yayınlanan verilere göre, siber evrende 1 dakika içinde yaklaşık
650 bin Gbyte internet trafiği oluşturan 200 milyon elektronik posta gönderilmekte, 100 bin tweet
atılmakta, 20 milyon fotoğraf görüntülenmekte, YouTube’a 48 saatlik video yüklenip, 1.3 milyon
video izlenmekte, Google’da 2 milyondan fazla arama yapılıp Facebook’a 277 bin giriş
yapılmaktadır.
Bilgi ve İletişim Teknolojileri sayesinde işten eğlenceye, eğitimden ticarete hayatımızın
hemen hemen her alanını içine alan ve “Siber Evren”; sağladığı pek çok imkan ve kabiliyetin
yanında gerçek dünyadaki tüm tehdit ve tehlikelere açık olduğu gibi kendine özgü özellikleri
dolayısıyla ortaya çıkan yeni tehdit ve tehlikeleri de içinde barındırmaktadır. Bu tehdit ve tehlikeler
şunlardır:




Sistemlere yetkisiz erişim
Bilgilerin değiştirilmesi, yok edilmesi ya da bozulması
Bilgilerin çalınması, ifşa edilmesi ya da satılması
Sistemlerin bozulması ya da hizmetin engellenmesi
Siber tehditler; kişilerin, kurumların ve ülkelerin bilgi varlıkları ve teçhizatlarını hedef alan,
onların mahremiyet, güvenlik ve iş görmesini bozan her türlü siber saldırılar ve yetkisiz
müdahalelerdir. Siber saldırıları gerçekleştirenlere bağlı olarak bu saldırılara motivasyonları da
değişmektedir. Motivasyonlarına bağlı olarak saldırıları ve saldırganları 3 ayrı grupta
değerlendirmek mümkündür.
Birinci grup, amatörler tarafından yapılan bireysel saldırılar daha çok kendini ispat, aktivist
hacker (hacktivist) grupları tarafından yapılan saldırılar daha çok propaganda (dini ya da siyasi)
veya protesto amaçlı nispeten masum sayılabilecek niteliktedir.
İkinci grup, tüm dünyada suç olarak kabul edilebilecek ve organize profesyoneller
tarafından yapılan saldırılarda vardır; bunların arkasında suç örgütleri, çeşitli kurumlar hatta ülkeler
yer alabilmektedir. Amaç ve motivasyonları maddi kazanç elde etmek (örneğin banka hesaplarından
para çalmak), ticari sırları elde etmek, teknolojik bilgileri çalmak vb. olabilmektedir.
Üçüncü grubu ise ülkelerin resmi, yarı resmi ya da gayri resmi yapılarının başka ülkelere
yönelik saldırıları oluşturmaktadır. Bunun bir diğer adı da 'Siber Savaş'tır. Bu saldırılarda amaç,
hedef alınan ülkenin kritik altyapılarını ve kritik projelerini çökertmek, bu yolla o ülkeye zarar
vermektir.
Kritik altyapıların Bilgi ve İletişim Teknolojilerine bağımlılığı her geçen gün artmaktadır.
Dolayısı ile Bilgi ve İletişim Teknolojilerine yönelik tehditler, hayatın her alanını ilgilendiren bir
boyut ve öneme sahiptir. Bu nedenle “siber güvenlik” konusu artık hem bireyler hem kurumlar hem
de ülkeler için çok önemli ve öncelikli hal almış durumdadır. Kişilik haklarının ihlali, iş ve
işlemlerin aksaması, kişisel ve kurumsal mağduriyetler gibi yansımaların yanında önemli ölçüde
72
maddi kayıplara da neden olan bu tehdit ve tehlikelerin verdiği zararın küresel bazda yüzlerce
milyar dolar olduğu hesaplanmaktadır.
2013 yılında 2-3 trilyon ABD doları büyüklüğe ulaştığı hesaplanan küresel bilişim pazarının
%15-20’lik kısmının siber suç maliyeti olduğu tahmin edilmektedir. Siber güvenliğe yapılan küresel
harcamaların ise bunun yanında oldukça küçük, 60 milyar dolar civarında olduğu tahmin
edilmektedir (IDC).
McAfee tarafından yapılan bir çalışmaya göre, siber suçların küresel ekonomiye olan yıllık
maliyeti (iyimser tahminlerle 375 milyar, kötümser tahminlerle 575 milyar dolar olmak üzere) 400
milyar ABD dolarının üzerindedir.
Dünyanın çeşitli yerlerinde milyonlarca bilgisayar sistemi ve web sitesi çökertilmiş, yüz
milyarlarca dolarlık iş kaybına neden olan çeşitli saldırılar gerçekleştirilmiştir. Yine bu maliyetin
içinde değişik ülkelerdeki yüz milyonlarca (örneğin Türkiye’den 54 milyon, ABD’den 40 milyon,
Çin’den 20 milyonun üzerinde, G.Kore’den 20 milyon, Almanya’dan 16 milyon) kişinin çalınan
kimlik bilgilerinin yarattığı maliyet de yer almaktadır.
Önemli bir kısmı açıklanmamasına rağmen 2013 yılında ABD’de 3 binden fazla şirketin
saldırıya uğradığı (hacked); bir İngiliz şirketin tek saldırıda 1,3 milyar dolar, İran körfezinde iki
bankanın birkaç saat içinde 45 milyon dolar, Brezilya’da bazı bankaların milyonlarca dolar parasal
zarara uğratıldığı kamuoyuna malolmuş bilgilerdir.
2013 yılında gerçekleştirilen siber saldırıların %54’ünün ABD’yi hedef aldığı, Rusya ve
Hindistan’ın onu takip ettiği tespit edilirken siber saldırıların yaklaşık yarısının Çin’den
kaynaklandığı, ABD’nin %19 ile onu takip ettiği tespit edilmiş durumdadır. Siber suçların
gerçekleştiği ilk 20 ülke içinde ABD 1., Çin 2. Almanya 3. İngiltere 4., Brezilya 5., İspanya 6.,
İtalya 7., Fransa 8., Türkiye ise 9. sırada yer almaktadır. Microsoft tarafından yayınlanan “Security
73
Intelligence Report H2/2014”a göre kötücül yazılımlar tarafından etkilenen bilgisayarların dünya
haritası aşağıdaki gibidir;
Symantec tarafından yayınlanan “2014 Internet Security Threat Report”a göre;




Hedefli saldırılar (targeted attacs) bir önceki yıla göre %91 artış göstermiştir,
Bir yıl içinde 500 milyonun üzerinde kişinin kimlik bilgileri yayınlanmıştır,
Mobil kullanıcıların %38’i son bir yıl içinde siber suç muhatabı olmuştur,
Elektronik posta trafiğinin %62’si istenmeyen postalar (spam) oluşturmaktadır,
Siber suçlar, bedeli açıkca ilan edilen çok düşük ücretlerle internet üzerinden servis olarak
(Crime-as-a-Service / Attacks-as-a-Service) sunulmaktadır. Örneğin,



Elektronik posta şifresinin kırılması, 150-400 $
Saldırı için ele geçirilmiş bilgisayar grubu (Botnet) sağlanması, 300 400 $
Bir hafta boyunca istenen hedefe DDOS saldırısı, 500 $
Elektronik posta trafiğinin %62’sini oluşturan ve elektronik haberleşme şebekelerine önemli
ölçüde yük getiren istenmeyen posta (spam) sayısı günlük 55 milyar seviyelerinde seyretmektedir.
Sayısı günde 55 milyar seviyelerindeki istenmeyen elektronik postalara kaynaklık eden ilk on ülke;
%8 ile İspanya ve Arjantin, %7 ile Vietnam, %6 ile ABD, %5 ile Almanya ve İtalya, %4 ile İran,
Brezilya, Kolombiya ve Meksika olarak sıralanmaktadır.
74
Bununla birlikte bulaştıkları bilgisayarlara zarar veren, onların kötü niyetli kişilerce ele
geçmesini sağlayan yada içindeki bilgilere yetkisiz erişim sağlayan kötücül yazılımlar (malware)
çığ gibi büyümektedir.
RedSocks tarafından yayınlanan “Malware Trend Report Q1 2014”a göre;
 2014 yılının ilk çeyreğinde Ocak ayında 7 milyon, Şubat ayında 5.2 milyon, Mart ayında
ise 8.2 milyon olmak üzere toplam 20 milyonun üzerinde yeni kötücül yazılım tespit
edilmiştir.
 Kötücül yazılımlar içinde en yagın ve tehlikeli olanların başında gelen tespit edilmiş
Truva Atları (Trojans) toplam sayısı 2014 yılının ilk çeyreğinde yaklaşık 9,5 milyon
adettir. Bunların içinde “Trojan.Generic.10391474”, yaklaşık 140 bin adet ile en çok
kullanılan olmuştur.
 Yılın ilk çeyreğinde tespit edilebilmiş olan yeni arka kapı (backdoor) ve köle bilgisayar
grubu (botnet) toplam sayısı yaklaşık 550 bin adettir.
 İlk kez ortaya çıkan siber tehditlerin Ocak ayında %29’u, Şubat ayında %35’i, Mart
ayında ise %26’sı yakalanamamıştır. Diğer bir deyişle yeni tehditlerin 3 de 1’i tespit
edilememiştir.
Fortinet tarafından yayınlanan “Threat Landscape Report 2014”a göre;
2014 yılının ilk yarısında kötücül yazılımların neden olduğu olayların gerçekleştiği ilk on
ülke içinde ABD %55 ile 1., Avustralya %33 ile 2. İngiltere %4 ile 3., İsrail %2 ile 4., Japonya
%1.9 ile 5., Fransa %0,7 ile 6., Porto Riko %0.4 ile 7. ve Türkiye %0.4 ile 8. sırada yer
almaktadır.
75
Yine Hazar Strateji Enstitüsü’nün araştırmasına göre artık dünyada ve Türkiye’de boru
hatları, petrol rafinerileri, elektrik iletim ve dağıtım ağları sıklıkla terör saldırılarına hedef
olmaktadır. Araştırmaya göre Bakü-Tiflis-Erzurum Doğal gaz Boru Hattı ve Kerkük-Yumurtalık
Petrol Boru Hattı’nı hedef alan terör saldırıları terörün bir başka yüzünü gözler önüne sermiştir.
Artık dünyada ve Türkiye’de boru hatları, petrol rafinerileri, elektrik iletim ve dağıtım ağları
sıklıkla terör saldırılarına hedef olmaktadır.
1990’lı yılların ortalarına kadar petrol ve doğal gaz tesislerini hedef alan saldırılar tüm
saldırıların yüzde 2,5’lik bölümünü oluştururken, bu oran 2013’te yüzde 20’nin üzerine çıkmıştır.
Enerji altyapı saldırıları veri tabanı incelendiğinde,1980’den 2012 yılına kadar 9 bin 500 eylem
kaydedildi. Irak, Kolombiya ve Pakistan ise sırasıyla saldırıların en çok gerçekleştiği ülkeler.
Türkiye’de, 29 Temmuz 2015’te, Kerkük-Yumurtalık Petrol Boru Hattı’na düzenlenen terör
saldırısının yalnızca Kuzey Irak’a maliyeti basına yansıyan rakamlara göre 250 milyon doları
bulmuştur. Ardından, ülkenin ikinci en büyük doğal gaz tedarikçisi İran’dan gelen Türkiye-İran
Doğalgaz Boru Hattı’na 28 Temmuz 2015’te yapılan saldırı sonrasında ise gaz akışı bir hafta
sağlanamadı.
İran’dan gelen doğal gaz, 2014’te Türkiye’nin yıllık doğal gaz tüketiminin yüzde 18’ini
karşılamıştı. Son olarak, 4 Ağustos 2015’te, 2014 verilerine göre, Türkiye’nin doğal gaz ithalatının
yüzde 12,33’ünü tek başına karşılayan Bakü-Tiflis-Erzurum Doğalgaz Boru Hattı’na yapılan saldırı
da enerji arz güvenliği konusundaki endişeleri ve acil tedbirler alınması gerekliliğini yeniden
gündeme taşımıştır. Analize göre, saldırıların ağır ekonomik bilançosunun yanı sıra, enerji arz
güvenliği üzerinde oluşturduğu tehdit de büyük. Pakistan’da Ocak 2015’te, elektrik iletim hatlarını
hedef alan saldırıdan sonra 140 milyon insan elektriksiz kaldı. Saldırıların büyük ve çok ortaklı
projeleri hedef alması ise ülkelerin yatırım güvenliği ortamını olumsuz etkiliyor, birçok kritik
projenin gecikmesine neden olmaktadır.
76
2013’te Cezayir’in Amenas doğal gaz işletme tesisine yapılan saldırı 40 kişinin hayatını
kaybetmesine sebep olurken, projenin yabancı ortak personelinin çekilmesine yol açmıştı.
Saldırıdan sonra tesis sınırlı üretime bir ay sonra başlayabilmiş ve bu süre içinde Cezayir’in
uğradığı ekonomik zarar en az 150 milyon dolar olarak tahmin edilmiştir.
Analize göre, insansız hava araçları gibi ileri teknoloji ürünleri kritik enerji altyapı
güvenliğinin sağlanmasında büyük role sahip, ancak yine de uzun vadede insana yapılan yatırım en
etkili çözüm. Olası saldırılar için ihbarda bulunup muhtemel zararın ortaya çıkmasını ya da zararın
artmasını önleyen kişiler için ‘ödül mekanizması’ geliştirilmesi ve kritik tesislerin yer aldığı bölge
halkının bilinçlendirilmesi de insan temelli çözümler arasında.
Bazıları doğrudan bir ülkeyi, bazıları kurumları hedef alan; bazıları ortaya çıkan ancak bir
kısmı kamuoyuna yansımayan tüm bu saldırılar, bazı ülkeler arasında siber savaşın sürdüğünün
delilidir.
Siber Savaş, bir ülkenin başka bir ülkenin bilişim ve iletişim sistemlerine zarar vermek veya
onları kullanım dışı bırakmak amacıyla internet veya iletişim ağları ve bilgisayarları kullanarak
müdahale etmesi olarak tanımlanmaktadır. Geleneksel kara, deniz, hava savaşlarında olduğu gibi
siber savaşta da uygun yetkinlik ve techizata sahip ordular kullanılmaktadır. Siber Ordu, ülkeyi ya
da kurumu siber dünyadan gelebilecek tehdit ve saldırılara karşı koruyacak ve gerektiğinde karşı
siber saldırılar gerçekleştirebilecek yetenekteki bilgi güvenliği uzmanlarından oluşturulmaktadır.
İlk siber ordu yıllar önce ABD tarafından gizli olarak kurulmuştur. ABD savunma bakanlığı
Pentagon siber uzayın kara, hava, deniz gibi yeni bir savaş alanı olduğunu doktrin olarak kabul
etmektedir. Siber saldırılar sonucu ticari anlamda 400 milyar dolar zarara uğradığını iddia eden ve
siber saldırıları terörizmden daha ciddi bir tehdit olarak niteleyen ABD, siber güvenlik alanında en
dikkat çekici yatırımları yapan ülkelerin başında gelmektedir. Geçen yıla göre 2014 bütçesinde,
sağlıktan sosyal güvenliğe, uzay araştırmalarından Ar-Ge’ye birçok alanda kısıntıya giderken siber
güvenlik harcamalarında 800 milyon dolar (%21) artış ile 4.7 milyar dolar planlanmaktadır.
ABD Ulusal Güvenlik teşkilatı Homeland Security tarafından Siber Savaş (Cyber War),
Nükleer savaştan sonra en yüksek etkiye sahip savaş türü olarak nitelendirilmektedir. ABD bu
niteleme doğrultusunda askeri ve sivil savunma kurumlarını yeniden yapılandırmakta ve yeni
77
stratejik planlar oluşturmaktadır. Benzer şekilde NATO içinde de Siber Savunma Yönetim Otoritesi
(NATO Cyber Defence Management Authority) altında bir yapılanma oluşturulmuştur. Dünyada
mevcut siber güvenlik kurumları; İngiltere’de CESG, Almanya’da BSI, Fransa’da ANSSI, Çin’de
PLA olarak sayılabilir.
Halen dünyada en güçlü Siber Ordulara sahip ülkeler olarak ABD, ÇİN, RUSYA, K.KORE,
İRAN ve İSRAİL öne çıkmaktadır. Bu ülkeler arasında bir siber savaşın olduğu da herkes
tarafından kabul edilmektedir. Özellikle ABD ile ÇİN arasında süren, siber casusluğu da içinde
barındıran bir siber savaşın uzunca bir zamandır sürmekte olduğu bu konu ile ilgili herkesin
malumudur.
Cambridge Üniversitesi’nin Risk Çalışmaları Merkezi (Center for Risk Studies) adı altında
bir araştırma merkezi bulunuyor. Bu merkez toplum yaşamını tehdit edecek sistematik riskleri tespit
etmek, bu risklerin yol açabileceği krizlerin olası etkilerini tahmin etmek ve riskler doğmadan
alınabilecek tedbirler konusunda önerilerde bulunmak olarak özetlenebilecek adımlardan oluşan
faaliyetleri yürütüyor.
Söz konusu merkez, 2015 yılı Temmuz ayı içerisinde İngiltere hükümeti için siber güvenlik
konusunda danışmanlık yapan uluslararası sigorta şirketi Lloyd ile birlikte bir rapor yayınlamıştır.
Raporda ABD elektrik şebekesine yapılacak bir siber saldırının olası sonuçları değerlendiriliyor.
Raporda kullanılan baz senaryoda siber saldırı sonrasında 15 eyalet ve Washington’da 93 milyon
kişiyi etkileyen uzun süreli bir elektrik kesintisinin finansal sonuçları ele alınıyor. Senaryo
Cambridge Üniversitesi araştırma merkezi tarafından kısmen gerçek veriler kısmen öngörüler
çerçevesinde oluşturuldu. Siber saldırının yol açabileceği ulaşım sistemlerinin çökmesi, ticaret ve
üretimin durması, su kesintilerinin yaşanması ve hatta ölümlere kadar birçok olası sonuçlar
irdeleniyor.
Senaryo kötü amaçlı bir yazılımın (malware) ülkenin kuzey eyaletlerindeki elektrik
santrallerinin kontrol odalarını ele geçirmesini öngörüyor. Saldırı gününden 1,5-2 yıl önce başlayan
çalışmalar neticesinde 50 adet üretim tesisinin (toplam üretim tesisi üzerinden %10’luk bir başarı
oranı ile) siber güvenlikleri aşılıyor. Günü geldiğinde sistemlerde zaman zaman yangınlara neden
olacak düzeyde aşırı yüklenme sonucunda üretim tesislerinin devreden çıkması sağlanıyor. Bu
ABD’nin kuzeyinde şebekenin dengesizliğe düşmesine ve kalıcı elektrik kesintilerine yol açacak bir
süreci tetikliyor. Bu kesintilerin bir kısmı 24 saat içinde giderilebilirken bir bölümü haftalarca
sürüyor.
Baz senaryoda 50 üretim tesisi devre dışı kalıyor ve sistemin %90’ı ancak iki hafta sonra
ayağa kaldırılabiliyor. Şehirler ortalama 3,78 gün elektriksiz kalıyor. Uç senaryoda ise 100 adet
üretim tesisi devre dışı kalırken sistemin ayağa kaldırılması 4 haftayı buluyor, şehirlerin ortalama
elektriksiz kalacağı süre ise 13,83 gün olarak hesaplanıyor. Bu büyük kesintinin ABD ekonomisi
için sonuçları baz senaryoda 243 milyar dolar, uç senaryoda ise bir trilyon doları aşıyor.
Raporda bu olası ekonomik maliyetlerin sektörel bazda analizine de yer veriliyor. En büyük
zararın toptan ve perakende ticaret sektörlerinde gerçekleşmesi öngörülüyor. Kamu hizmetlerinin
aksamasının maliyeti en büyük ikinci kalem olduğu belirtiliyor. Üretim sektörü, konaklama ve gıda
ile meskenler en fazla etkilenen diğer alanlar arasında bulunuyor.
78
Raporda aynı zamanda bu ekonomik kayıpların sigorta sektöründe yol açacağı maliyetlere
de yer veriliyor. Baz senaryoda sigorta sektörü tarafından ödenen teminatların bedeli 21,4 milyar,
uç senaryoda ise 71 milyar dolar olarak gerçekleşmesi tahmin ediliyor.
Raporda 1999 yılından beri gerçekleştirilen siber saldırılardan örnekler de yer alıyor. Bu
saldırıların önemli bir bölümünün içeriden (mevcut ya da eski çalışan) tarafından yapılmış olması
dikkat çekiyor. ABD Anayurt Güvenliği Bölümü’nün 2014 değerlendirmelerine göre siber
saldırılara en fazla maruz kalan sektörün elektrik sektörü olarak görülürken, elektrik sektörünü
kritik üretim tesisleri izliyor.
NATO’nun Siber Güvenlik Politikası: Tarihsel Süreç ve Kırılma Noktaları
Soğuk Savaş dönemi boyunca simetrik bir düşmanı bulunan ve geleneksel güvenlik
anlayışıyla hareket eden North Atlantic Treaty Organization (Kuzey Atlantik Anlaşması Örgütü)
(NATO), bu dönemin sona ermesiyle birlikte bu anlayışını yenilemek mecburiyetinde kalmıştır. Bu
yenileme sürecinde NATO’yu en çok zorlayan meseleler arasında ‘siber güvenlik’ önemli bir yer
işgal etmiştir. Özellikle önce 1999 yılında Kosova Savaşında maruz kaldığı siber saldırılar ve 2007
yılında müttefik ülke Estonya’ya yönelik siber saldırılar, NATO’yu siber tehditler konusunda daha
fazla ihtiyatlı olmaya yöneltmiştir. Bu çalışmada NATO’nun 1999 yılında Kosova’da Sırp güçleri
bombalarken kendisine yönelik düzenlenen siber saldırılar ile başlayan yaklaşık on yıllık siber
savunma politikasındaki kırılma noktaları tarihsel bir süreç şeklinde incelenmiştir.
1. Çeçen Savaşı (1994 – 1996)
Soğuk Savaşın bitmesinden kısa bir süre sonra Çeçenler Rusya’ya karşı bağımsızlık
mücadelesine başladığında Rus birlikler 1994 yılında Çeçenistan’ın başkenti Grozni’ye müdahalede
bulunmuşlardır. Müdahale başlamadan önce Ruslar, Çeçenlerle başlayacak olan çatışmaların kısa
süreceğini düşünmüşlerdir; ancak çatışmalar başladıktan kısa bir süre sonra Çeçen savaşçılar,
öldürdükleri Rus askerlerin fotoğraflarını internete yüklediklerinde durum hiç de Rus birliklerin
düşündüğü gibi olmamıştır. İnternette çocuklarının ölü fotoğraflarını gören Rus anneler vakit
kaybetmeksizin bir araya gelerek bu çatışmaların durması için kamuoyu yaratmışlardır. Bu
durumun faydasını fark eden Çeçen savaşçılar ise interneti her geçen gün daha kapsamlı kullanarak
aslında bugünkü sosyal medyanın ilk adımlarını atmışlardır. Bu durum aynı zamanda NATO için
önemli bir işaret fişeği olmuştur; çünkü statükocu Soğuk Savaş zihniyetinin izlerini taşıyan NATO,
yakın zamanda somut bir düşmandan ziyade soyut bir düşman ile karşılaştığında ne yapacağına dair
hazırlık yapmamıştır. Takip eden süreçte, NATO’nun böylesi bir duruma hazır olmadığı Kosova
Savaşı sırasında anlaşılmıştır.
2. Kosova Savaşı (1998 – 1999)
Rus birlikler ile Çeçen savaşçılar arasındaki çatışmadan sadece beş yıl sonra Yugoslavya
Federal Cumhuriyeti’nden bağımsızlığını isteyen Kosovalılar ile Yugoslavya kimliği altında bunu
durdurmaya çalışan Sırp güçler arasındaki çatışmanın giderek büyük bir felakete dönüşmesi üzerine
NATO, 1999 yılının Mart ayında Sırp güçlere yönelik hava saldırılarına başlamıştır. 7 Mayıs 1999
tarihinde ABD Hava Kuvvetleri tarafından düzenlenen hava saldırısında yanlışlıkla Belgrad’daki
Çin Büyükelçiliğinin vurulması üzerine üç Çinli gazeteci hayatını kaybetmiş, büyükelçilik binası ise
hasar görmüştür.
79
Dönemin ABD Başkanı Bill Clinton, bu olayın bir kaza olduğunu belirtip Çinli resmi
makamlardan özür dilemişse de gerek Çin Hükümeti gerekse Çin kamuoyu bu olayın kasıtlı
olduğunu düşünmüşlerdir. Takip eden süreçte hükümet destekli Çin kızıl hacker grubu NATO’nun
ve ABD’nin birçok önemli internet sitesine siber saldırıda bulunmuştur. Çinli hackerler kadar Sırp
hackerler da ciddi siber saldırılarda bulunmuşlardır. Bu saldırılarda NATO’nun merkez
karargâhında içinde e-mail sunucusunun da yer aldığı yaklaşık yüz sunucu kilitlenmiştir. Bu
sebepten NATO ne kendi içerisindeki online koordinasyonu sağlayabilmiştir ne de üye ülkelerle
olan online ilişkisini muhafaza edebilmiştir. Çinli ve Sırp hackerler tarafından Kosova Savaşı’nda
NATO merkezi sistemini hedef alan bu saldırılar tarihte NATO’yu doğrudan hedef alan ilk siber
saldırıları oluşturmuştur.
Soğuk Savaş dönemi boyunca karşısında elle tutulur, gözle görülür bir düşmanı bulunan
NATO bütün savaş stratejilerini de haliyle bu yönde hazırlamıştır. Ancak Soğuk Savaş sonrası
dönemde tehdit algısının değişmesi NATO’yu 1999 yılında yeni bir stratejik doküman hazırlamaya
zorlamıştır. Bu dokümanda siber tehditlere çok az değinilmiş olsa da NATO siber güvenlik alanında
ilk adımı bu şekilde atmıştır.
3. 11 Eylül 2001 Saldırıları ve Sonrası
11 Eylül 2001 tarihinde ABD’ye düzenlenen saldırılar sonrasında ABD, Irak’ı işgal etmeye
hazırlanırken 2002 yılının Kasım ayında NATO müttefikleri Prag Zirvesi’nde muhtemel ‘siber
Pearl Harbor’ ya da ‘siber 11 Eylül’ üzerine hararetli tartışmalar yürütmüştür. Konunun önemini
fark eden dokuz NATO üye ülkesi (ABD, Almanya, Birleşik Krallık, Fransa, Hollanda, İspanya,
İtalya, Kanada ve Norveç) hiç vakit kaybetmeksizin 2003 yılının Kasım ayında bu konuda daha
fazla bilgi paylaşmak için bir anlaşma imzalamıştır. Aynı yıl NATO bünyesinde siber tehlikelerle
mücadele için Siber Savunma Programı (Cyber Defense Programme) başlatılmış ve Bilgisayar
Olaylarına Müdahale Gücü Teknik Merkezi (Computer Incident Response Capability)
oluşturulmuştur. Bu adımın atılmasından bir yıl sonra, NATO merkez karargâhı ile diğer
karargâhlar arasındaki çoklu iletişimin sağlanması ve korunması için Belçika’nın Mons şehrinde
İletişim ve Enformasyon Sistemleri Ajansı (Communication and Information System Services
Agency) kurulmuştur. Bu ajans hala NATO merkez karargâhı ile diğer karargâhlar arasındaki
online irtibatı sağlamaktadır.
Siber tehditlerin giderek belirginleşmesi üzerine, 2006 yılındaki Riga Zirvesinde siber
tehditler ve siber güvenlik konuları daha fazla tartışılmıştır. Özellikle NATO’nun temelde sahip
olduğu iletişim sistemlerini koruyacak sağlam bir altyapının olmadığı gerçeği ortaya çıkınca bunun
önemli sonuçlarının olabileceği fark edilmiştir. Tam da böylesi bir fark edilme döneminde Rusya ve
Estonya arasındaki ihtilaf siber boyuta taşınmıştır.
4. Estonya’ya Yönelik Siber Saldırılar (28 Nisan – 23 Mayıs 2007)
Dünyada interneti ve online sistemleri en iyi kullanan ülkelerin başında gelen Estonya,
Soğuk Savaş döneminde SSCB’nin en önemli bilişim üslerinden biri olmuştur. Bu sebepten, Soğuk
Savaş bitip, Estonya bağımsız bir devlet olduğunda Rusya, Estonya ile arasındaki bağı her daim
güçlü tutmaya çalışmıştır. Ancak her geçen gün Batı’ya daha çok yaklaşan Estonya’nın özellikle
2002 yılında NATO’nun Prag Zirvesi’nde üyelik müzakerelerine başlaması ve 2004 yılında
NATO’ya üye olması Rusya ile olan bağını zayıflatmış; 2007 yılına gelindiğinde ise kopma
noktasına getirmiştir.
80
Estonya’nın başkenti Tallinn şehrinde SSCB döneminden kalmış olan Bronz Asker Heykeli
(Bronze Soldier Monument), Estonyalı idareciler tarafından askeri mezarlığa taşınmak isteğinde
Estonyalı Ruslar bu duruma tepki göstermekle kalmamış 27 Nisan gecesinde Estonya’nın bilişim
sistemindeki bütün sinir uçlarını devre dışı bırakmışlardır. Estonyalı Ruslar, sadece Rusya’dan değil
dünyanın yaklaşık yüz farklı noktasından aldıkları destekle yaklaşık bir ay boyunca bu saldırılara
devam etmişlerdir. Nihayetinde bir NATO müttefiki olan Estonya siber saldırılara maruz kalmışken
NATO’nun bu konudaki birimleri böylesi bir saldırıya hazırlıklı olmadıkları için anlık destek
sağlayamamışlardır.
5. Bükreş Zirvesi (2 – 4 Nisan 2008) ve Sonrası
NATO üyesi bir ülke olan Estonya’da her ne kadar bilişim üst yapısı güçlü olsa da alt
yapıdaki sorunlar ülkeyi içinden çıkması zor bir krize sokmuştur. Kriz boyunca NATO üyesi
olmasına rağmen yeterli dış desteği göremeyen Estonya özelinde siber savunma meselesi
NATO’nun 2008 yılındaki Bükreş Zirvesi’nin en önemli tartışma konusu olmuş, Zirve Bildirgesinin
47. maddesi ile siber savunma NATO’nun öncelikli savunma alanlarına girmiştir.
Bükreş Zirvesi’ni takip eden süreçte aynı yıl siber güvenliğe yönelik iki önemli karar
alınmıştır. Önce NATO’nun merkezi olan Brüksel’de siber savunmayı tek bir merkezden yönetmek
amacıyla Cyber Defence Management Authority (Siber Savunma Yönetimi Makamı) (CDMA)
kurulmuştur; sonrasında Estonya’nın başkenti Tallinn’de Cooperative Cyber Defence Centre of
Excellence (Siber Savunma Mükemmeliyet Merkezi) (CCDCOE) faaliyete geçirilmiştir.
NATO’nun siber savunma politikasının koordinasyonunu sağlamakla görevli olan ve Siber
Savunma Yönetimi Kurulu tarafından idare edilen CDMA’nın en önemli görevi muhtemel bir siber
saldırı anında NATO Anlaşmasının 5. maddesi uyarınca üye ülkelerinin talep etmeleri durumunda
sağlanacak olan yardım ve işbirliğini koordine etmektir. CDMA ile eş zamanlı olarak 2008 yılında
Estonya’nın başkenti Tallinn’de kurulan CCDCOE’nin görevleri arasında ise şunlar bulunmaktadır:
NATO ve üye ülkelere siber savunmaya yönelik politika yapımında destek sağlamak; bilimsel
çalışmalar yürütmek; strateji üretmek ve geliştirmek; eğitim faaliyetlerini yürütmek; tatbikatlar
düzenlemek ve güncel gelişmeleri takip etmek.
CCDCOE’nin bugüne kadar yapmış olduğu üç önemli proje bulunmaktadır. Bunlardan ilki
siber uzaya dair hukuki boşluğu bir nebze olsun doldurma adına hazırlanan Tallinn El Kılavuzu’dur
(The Tallinn Manual on the International Law Applicable to Cyber Warfare). Diğer projeler ise
NATO üyesi ülkeler arasında 2010 yılı itibariyle her sene düzenlenmekte olan International
Conference on Cyber Conflict (Uluslararası Siber İhtilaf Konferansı) ile International Locked
Shields Exercises (Uluslararası Siber Savunma Tatbikatı)’dır.
6. Gürcistan’a Yönelik Siber Saldırılar (1 Ağustos – 1 Eylül 2008)
2007 yılında Estonya’daki siber saldırı senaryonun hemen hemen aynısı sadece bir sene
sonra Gürcistan’da vuku bulmuştur. Distributed Denial of Service (Dağınık servis dışı bırakma)
(DDoS) yöntemi kullanılarak Gürcistan Hükümeti’nin bilişim altyapısındaki boşluklar hackerler
tarafından tespit edilmiş ve yoğun saldırıya maruz bırakılmıştır. Saldırılar sürecinde Gürcistan’a
sadece Rusya’dan değil dünyanın birçok bölgesinden siber saldırı düzenlenmiştir.
Gürcistan’ın NATO üyesi olmaması sebebiyle doğrudan yardım sağlayamayan NATO,
ancak saldırıların son raddeye varması üzerine Estonya Hükümeti’nin girişimleri neticesinde bir
81
grup uzmanı Gürcistan’a gönderebilmiştir. Bu uzmanların desteğiyle uzun süren siber saldırılardan
sonra ülkedeki bilişim sistemi henüz yakın zamanda normale döndürebilmiştir. Gürcistan’ın maruz
kaldığı bu saldırılar NATO’nun 2010 yılındaki Lizbon Zirvesindeki önemli alt konu başlıklarından
birini oluşturmuştur.
7. Lizbon Zirvesi (19 – 20 Kasım 2010) ve Sonrası
2010 yılındaki Lizbon Zirvesi’nde NATO’nun bir süredir üzerinde politika üretmeye
çalıştığı siber güvenlik alanında önemli eksiliklerin olduğu fark edilmiştir. Özellikle Gürcistan gibi
organizasyona üye olma planı yapan bir ülkeye yönelik asimetrik saldırılarda NATO’nun fazla
canlılık gösterememesi NATO üyeleri arasında tartışma konusu olmuştur. Bu sebepten aynı yıl
NATO Savunma Bakanları yeni bir siber güvenlik politikası üzerinde anlaşmaya varmışlar ve
muhtemel siber saldırılara en hızlı şekilde karşılık verme amacıyla Rapid Reaction Teams (Hızlı
Tepki Timlerini) kurmuşlardır.
2012 yılındaki Şikago Zirvesi’nde ise üye ülkeler arasında hala önemli koordinasyon
eksikliğini olduğu fark edilmiştir. Bunun için 2013 yılında beş NATO üye ülkesi (Danimarka,
Hollanda, Kanada, Norveç ve Romanya) daha fazla işbirliği ve koordinasyon için Multinational
Cyber Defense Capability Development Project (Çokuluslu Siber Savunma Kapasitesi Geliştirme
Projesini) başlatmıştır. Ancak bu proje sadece bu beş ülke tarafından desteklendiği için fazla verimli
olamamıştır.
8. Newport Zirvesi (4 – 5 Eylül 2014)
Küresel siyasette 2010 yılında başında başlayan hareketlilik NATO’yu birçok alanda varlık
göstermeye zorladığı için belirli alanlara daha fazla ağırlık verilmesini gerektirmiştir. Özellikle
2014 yılındaki Newport Zirvesi’nde NATO’nun üzerindeki aşırı yük kendini göstermiş ve
konjonktürel sebeplerden ötürü zirvenin ağırlığı Ukrayna Krizi ve IŞİD terör örgütüne verildiğinden
siber savunma politikası haliyle ön plana çıkamamıştır.
NATO’nun aşırı iş yüküne rağmen siber güvenlik politikası Newport Zirvesi öncesinde
belirlenen beş öncelikli (Ukrayna Krizi, Afganistan’ın geleceği, yeni tehditlerle mücadele, silahlı
kuvvetler için desteğin artması ve üye ülkeler arasında işbirliğini güçlendirmek) alan içerisinde
‘yeni tehditlerle mücadele’ başlığı altında yer almıştır. Zirvede bu konuya dair kısıtlı tartışmalar
neticesinde güçlendirilmiş Enhanced Cyber Defence Policy (Siber Savunma Politikası) kabul
edilerek NATO’nun siber güvenlik politikasının gelişimi adına yeni bir adım daha atılmıştır.
Zirvenin sonuç bildirgesinde ise dört (64, 72, 73 ve 104) maddede siber tehditlere ve
güvenliğe dair aşağıdaki şu önemli kararlar alınmıştır:[14] gelecekte siber tehditlerin kapsamı ve
sayısı artacağından üye ülkeler daha fazla işbirliği yapmalıdır; uluslararası hukukta siber uzaya dair
büyük bir boşluk bulunduğundan üye ülkeler bu konuda daha fazla koordinasyon halinde olmalıdır;
siber güvenliğe yönelik üye ülkeler kendi politikalarını güçlendirilmelidir; Avrupa Birliği gibi siber
güvenlik konusunda girişimde bulunan oluşumlar ile ilişkiler arttırılmalıdır ve siber uzay
sektöründe faaliyet gösteren şirketler ile ilişkiler güçlendirilmelidir.
Sonuç olarak; 1990’ların hemen başında sona eren Soğuk Savaş, uzun zamandır gebe olduğu
birçok problemi doğurmuştur. Özellikle, yeni güvenlik anlayışı bünyesinde değerlendirilen alanların
kesişim noktasında yer alan siber güvenlik konusu NATO’yu zorlayan en önemli meseleler
arasından yer almıştır. Ancak siber uzaydaki hızlı gelişmeler, siber güvenlik konusunu orta ve uzun
82
vadede tartışılacak ve üzerinde düşünülecek en önemli konu yapmaktadır. Siber tehditlerin her gün
konsept değiştirmesi; tehditlerin kaynaklarının belirgin olmaması ve uluslararası hukuktaki büyük
boşluk NATO ve üye ülkeler için zorlu günlerin habercisidir. Bu dâhilde, NATO ve üye ülkeler
zaman kaybetmeksizin siber güvenliğe yönelik politikalarını güçlendirmek zorundadır; çünkü
kapsamlı bir siber saldırı durumunda bu saldırılara çözüm üretmek çok daha zor olacaktır.
Türkiye’de Müşterek Siber Savunma Mükemmeliyet Merkezi (CCDCOE) Çalışmaları
NATO’YA bağlı olarak çalışan Müşterek Siber Savunma Mükemmeliyet Merkezi
(CCDCOE) tarafından hazırlanan ‘Ulusal Siber Güvenlik Çerçevesi’ kitabı değişik ülkelerden
örnekler vererek devletlerin siber güvenlik stratejilerinin hazırlık aşamalarının ve içeriklerinin
karşılaştırmalı analizini yapmaktadır.
Bu çalışmada, siber suçlarla mücadele, siber diplomasi, kritik altyapıların korunması, siber
savaş ve siber istihbarat olmak üzere güvenlik stratejilerinde yer alabilecek beş ana tema olduğu
ifade edilir.
Türkiye’nin siber güvenlik stratejisi, bahsedilen beş ana temadan sadece ikisine yer
vermekle beraber, stratejinin ana eksenini kritik altyapıların korunması ve kriz yönetimi
oluşturmaktadır. Strateji belgesinde yer verilen ikinci tema da siber suçlarla mücadeledir.
Siber güvenlik stratejimizin üç ana amacından birisi “siber güvenlik olaylarının etkilerinin
en düşük düzeyde kalmasına, olayların ardından sistemlerin en kısa sürede normal çalışmalarına
dönmesine yönelik stratejik siber güvenlik eylemlerinin belirlenmesine ve oluşan suçun adli makam
ve kollukça daha etkin araştırılmasının ve soruşturulmasının sağlanmasına” yönelik bir altyapı
oluşturmaktır. Bu amaç için 3, 13 ve 21 nolu eylem maddelerinde siber suçlarla mücadele
kapsamında değerlendirilebilecek hususlar bulunmaktadır. Ancak yine de doğrudan siber suçlularla
mücadeleyi içeren eylemler değil; arka plan çalışmalarıdır.
Ulusal siber güvenlik eylem planında 29 eylem maddesi olduğu göz önünde
bulundurulduğunda, stratejimizdeki siber suç vurgusunun çok da ciddi düzeyde olmadığı
söylenebilir. Emniyet teşkilatı içerisinde siber suçlarla mücadele şube müdürlüklerinin bulunması,
suç soruşturmalarının gerekli adli bilişim çalışmalarının etkin bir biçimde yapılması, kısacası
ülkemizin siber suçlar konusunda olgunluk seviyesinin yeterli görülmesi siber güvenlik stratejisinin
öncelikli problemli alana kayması sonucunu doğurmuştur. Nitekim ulusal siber güvenlik eylem
planındaki eylem maddelerinin büyük çoğunluğu itibarıyla “kritik altyapıların güvenliği ve kriz
yönetimi” temasını altını doldurduğu söylenebilir. Bu kapsamda, ülkemizin öncelikli sorunları
olarak görülebilecek yasal altyapı eksikliği, organizasyonel eksiklikler, kalifiye eleman eksikliği
gibi eksikliklere yönelik eylem maddeleri önerilmiştir. Eylem planında, sorumluluğu olan kurum ve
kuruluşlar içerisinde bu eksikliklere yönelik çalışmalar yapabilecek TÜBİTAK, BTK, Milli Eğitim
Bakanlığı, YÖK ve Adalet Bakanlığı gibi kurumlar olduğu görülmektedir.
Siber Güvenlik Kurulu üyesi olan kurumlara baktığımız zaman ise Ulaştırma Bakanlığı,
Dışişleri Bakanlığı, İçişleri Bakanlığı, MSB, Kamu Düzeni ve Güvenliği Müsteşarlığı, MİT,
Genelkurmay MEBS Başkanlığı, BTK, TÜBİTAK, MASAK ve TİB olduğunu görüyoruz. Siber
Güvenlik Kurulunun daimi bu 11 üyesi kurumlardan sadece Ulaştırma Bakanlığı, İçişleri Bakanlığı,
TÜBİTAK, BTK ve TİB’in sorumluluğunda olan eylem maddeleri olduğu, geri kalan 5 daimi
83
üyenin sadece ilgilisi oldukları eylem maddeleri olduğu ve 1 daimi üyenin ise hiçbir eylem
maddesinde isminin geçmediği görülmektedir. Burada dikkat çeken husus; ulusal siber güvenlik
stratejimizde yer almayan siber savaş, siber istihbarat ve siber diplomasi temaları aslında kanuni
dayanağı olan Siber Güvenlik Kurulunda oluşturulmuş durumdadır.
Güvenlik ile ilgili her alanda olduğu gibi siber güvenlik alanında da öncelikle yapılması
gereken çalışma açıklıkların kapatılması için bir altyapı ve yaklaşım ortaya konulmasıdır. Bunun
tek seferlik bir çalışma olarak değil; sürekli kendini geliştiren bir süreç olarak ele alınması gerektiği
de unutulmamalıdır. Ülkemizin siber güvenlik alanındaki ilk resmi planı olan 2013-2014 eylem
planında da hedeflenen öncelikle acil açıklıkların kapatılmasıdır. Bu nedenle de iki yıllık olarak
oluşturulan eylem planının ana temasının “kritik altyapıların korunması ve krizi yönetimi” olması
normal bir durumdur. Diğer taraftan, kanuni dayanağı olan Siber Güvenlik Kurulunda, diploması,
savaş ve istihbarat konseptleri ile ilgili kurumların yer alması, 2014 senesinden sonra hazırlanacak
eylem planlarında bu konulara da yer verilebileceğinin bir göstergesi olarak değerlendirilebilir.
Kısacası, devletimiz siber güvenlik konusunda uzun vadeli plan yapmıştır. Tabi ki bu
konularda hazırlanacak eylem planlarının şu anki eylem planı gibi resmi gazetede yayınlanması
beklenmemelidir. Ülkemizde, kritik altyapıların korunması teması dışına çıkılıp diğer temalarda
çalışma yapılması biraz da günümüzdeki çalışmaların başarılı olup yeterli siber dayanıklığının
(resiliency) sağlanmasına bağlıdır.
Siber Güvenliğinin Yasalar İle Düzenlenmesi
Kritik altyapıların siber güvenliğinin düzenlenmesi (regulation) konusunda iki ayrı görüş
öne çıkmaktadır. Bu iki görüş aynı zamanda birbiri ile taban tabana zıt olduğu için görüş sahiplerini
de zaman zaman karşı karşıya getiriyor. Bir yanda bazı güvenlik uzmanları ve güvenlik bürokrasisi,
yasal düzenlemelerin kritik altyapıların korunması için zorunlu olduğunu savunurken diğer yandan;
özel sektör yöneticileri, yasaları yenilikçiliğin önünde birer engel olarak görüp yasalar yerine
işbirliği yapılması gerektiğini öne sürüyorlar. Özel sektörün altyapı mülkiyeti arttıkça bu konudaki
gerilimler ve tartışmalar da artıyor. Birinci yaklaşımı devletçi yaklaşım, ikinci yaklaşımı ise serbest
piyasa yaklaşımı olarak nitelendirebiliriz. Her iki yaklaşım için literatürde farklı adlandırmalar
yapılsa da kavramsal bir değişiklik gözlenmiyor. Örneğin bazı kaynaklarda birinci yaklaşım milli
güvenlik yaklaşımı; ikincisi ise iş sürekliliği yaklaşımı olarak ifade edilebiliyor.
ABD’nin 2012 Siber Güvenlik Yasası (Cybersecurity Act 2012) teklifinde iki farklı
yaklaşım arasındaki çekişme net olarak gözlendi. Yasanın ilk versiyonu, kritik altyapı
işletmecilerini bazı güvenlik önlemlerini almaya zorluyordu ve aynı zamanda gerektiğinde orduyla
bilgi paylaşımını da içeriyordu. Özel sektör, yasa teklifini özellikle bu yükümlülükler sebebiyle
eleştirdi ve ciddi lobi faaliyetleri yaptı. Bu baskılar neticesinde yasa teklifi, özel sektörün siber
güvenlik aktivitelerine “gönüllü” katılımını ve siber güvenlik konusunda önemli devlet teşviklerini
içerek şekilde yumuşatıldı. Özel sektör lehine olan bu değişimlere rağmen 2012 Siber Güvenlik
Yasası, Birleşik Devletler Senatosu’ndan geçmeyi başaramadı. Yasa senatodan geçmeyince Beyaz
Saray “Kritik Altyapıların Siber Güvenliğini Geliştirme” başlıklı ve 13636 kodlu Kararnameyi
(Executive Order) Şubat 2013’te yayınladı. Kararnamenin hedefi kamu-özel sektör ortaklığını
(Public-Private Partnership) artırmak ve özel sektörü belli teşvikler ve yardımlar ile siber güvenlik
çalışmalarının içerisine çekmektir.
84
Avrupa Birliğinde ise şu sıralarda bir paradigma değişimi yaşanmakta. ABD’deki gibi bir
yol kazası meydana gelmezse, Avrupa Birliği serbest piyasa yaklaşımından devletçi yaklaşıma
geçmek niyetinde. Bu amaçla, Şubat 2013’te Avrupa Komisyonu, “AB içerisinde, bilgi ve ağ
güvenliği ortak yüksek seviyesini sağlamaya ilişkin önlemler” yönergesi için teklif hazırladı.
Yürürlükteki AB kurallarına göre bütün kritik sektörler arasında sadece telekomünikasyon sektörü,
belirli güvenlik önlemlerini uygulamak ve siber olayları rapor etmek zorunda. Eğer teklif
onaylanırsa, tüm sektörlerdeki kritik altyapı işletmecileri ve kamu idarecileri, risklerini belirlemek
ve bilgi güvenliğini sağlayacak uygun önlemleri almak zorunda kalacaklar. Böylece özel sektördeki
kritik altyapı işletmecilerine de ciddi yükümlülükler gelecek.
Özel sektör kritik altyapı işletmecileri için uygun bir güvenlik stratejisi ortaya koymak ve
bunu uygulamak devletler/hükümetler için zor bir konu olarak ortaya çıkıyor. Özel sektöre
uygulanacak siber güvenlik kuralları açısında ABD ve AB yaklaşımlarını karşılaştırdığımızda;
ABD’nin enerji ve kimya sektörleri haricinde özel sektör için serbest piyasa yaklaşımını takip
ettiğini söylemek yanlış olmaz. ABD’de devletçi yaklaşıma geçiş veya nispeten daha devletçi bir
yaklaşım için güvenlik bürokrasinin istediği düzenlemeler başarılamamıştır. AB ülkelerinin teker
teker durumlarını incelemek ayrı bir makale konusudur. Bütüncül olarak AB’ye bakıldığında ise
kritik altyapı güvenliğinin düzenlenmesi konusunda şimdiye kadar ortak olarak ciddi bir adım
atılmadığı görülüyor. Tüm üye ülkelerin ortak bir güvenlik paydasında buluşturma adına hazırlanan
yönerge, AB’nin en azından birlik olarak- devletçi yaklaşıma adım atmak istediğini göstermektedir.
AB’nin çabalarının sonucunu hep birlikte göreceğiz.
Avustralya ve Hollanda’nın kritik altyapı düzenleme yaklaşımları da ABD’ye benziyor. Bu
ülkelerde altyapıları koruma yükümlülüğü bu altyapıların işletmecilerine bırakılmış durumda.
Örneğin, Avustralya tarihinin en geniş BT altyapı projesi olan “Avustralya Geniş Bantlı Ağ” projesi
ile ilişkilendirilmiş herhangi bir güvenlik stratejisi yok. Gelişmiş ülkeler için söylemek gerekirse;
kritik altyapılar genellikle özel sektör tarafından işletiliyor, özelleştirmeler ile birlikte
global/uluslararası/yabancı şirketler de bir ülkenin kritik altyapısını işletebiliyor. Bu nedenle,
devletçi yaklaşıma geçiş göründüğü kadar kolay değil. Avustralya ve Hollanda gibi ülkelerdeki
serbest piyasa yaklaşımını destekler mahiyette bazı güncel akademik çalışmalarda kritik altyapıların
korunması için otomatik ve kendi kendini organize eden ağların önemi vurgulanıyor. Bu çalışmalar,
devletlerin rolünün denetim ve kontrolden bile uzakta olması gerektiğini söyleyip bu faaliyetler
yerine devletlerin ağların hareket ve koordinasyonunu sağlaması gerektiğini söylüyor. Ayrıca, son
yıllarda uzmanlar serbest piyasa ekonomilerinde güvenlik düzenlemelerinin son merci olması
gerektiği üzerinde duruyor. Bu ekonomilere sahip ülkelerde, düzenleme yerine işbirliği yapılması
gerektiği ifade ediliyor. Bunun bir gerekçesi olarak da çok uluslu altyapılarda yaşanacak sorunlar
öne sürülüyor. Öyle ki, ülkelerin kendi yasal altyapılarına bağlı olarak kritik altyapılar için farklı
farklı düzenlemeler uygulamaya koyabileceği ve bu farklılıkların da sınır ötesi idarede
uyumsuzluklar yaratabileceği söyleniyor. Bununla birlikte, güvenlik politikalarını her alanda etkin
bir şekilde uygulayan İsrail kritik altyapıların düzenlenmesi konusunda da şaşırtmıyor. İsrail bu
konuda devletçi milli güvenlik modelini benimseyen bir ülke olarak karşımıza çıkıyor.
Belirtmeden geçmemek gerekir ki siber suçlarla mücadele için yapılan yasal düzenlemeleri,
devletçi milli güvenlik yaklaşımı ile karıştırmamak gerekir. Siber suçlarla mücadele konusunda
üzerinde geniş mutabakat sağlanmış düzenlemeler mevcut. Herhalde siber suçlularla mücadele
etmeyelim, serbest piyasa kendi dinamikleri içerisinde bu sorunu çözer diyen güvenlik bürokrasisi
85
de dünyanın hiçbir yerinde yoktur. Siber suçlarla mücadele için en temel adımlardan birisi ülkeler
için ortak bir ceza hukuku düzenlemesinin kabul edilmesi. Budapeşte sözleşmesi (siber suçlar
sözleşmesi), siber suçlara karşı ülkelerin işbirliği yapmasını ve yerel yasalarını uyumlaştırmasını
isteyen uluslararası bir antlaşma ve bu konudaki en önemli ve somut adım. Sözleşmeyi, aralarında
Türkiye’nin de bulunduğu Avrupa Konseyi’nin 32 üyesi ve ABD olmak üzere toplam 33 ülke
imzalamış.
Belirtmek gerekir ki, kritik altyapıları düzenlenmesi konusundaki yaklaşımların birbiri ile
taban tabana zıt ve ayrık iki tercihten ibaret olduğunu söylemek yanıltıcı olur. Diğer taraftan,
bürokratlar bir uçtan özel sektör ise diğer uçtan çekecekler ve güvenlik skalasında ortada bir
yerlerde buluşacaklar. ABD’deki siber güvenlik yasa tasarısı, sonrasında çıkartılan kararname,
enerji ve kimya sektörlerinin diğer sektörlere göre daha sıkı regüle edilmesi bu çekişmelerin bir
sonucu. Durum böyle olunca tahmin edilenden de fazla sayıda kritik altyapı koruma
modeli/yaklaşımı bulunmakta. Zaten belli bir yaklaşımın tüm ülkelere aynı şekilde uygulanabilir
olması da mümkün değil. Bir ülkenin kritik altyapı koruma pratikleri; var olan yasal sistem, özel
sektörün payı, devletle özel sektör arasındaki güven ilişkisi, ülkenin kültürel altyapısı gibi pek çok
faktöre bağlı olarak değişebilir. Pek çok gelişmiş ülkenin kritik altyapı koruma programı
incelendiğinde hibrid (bazı noktalarda devletçi bazı noktalarda serbest piyasa odaklı) yaklaşımların
kabul edildiği görülür. Gerek ABD başkanlık kararnamesi gerekse ABD’de sıkı regüle edilen
sektörler birer hibrid yaklaşımın sonucu. Tüm ülkeler benzer süreçlerden geçiyorlar veya
geçecekler. Bu çekişme ve orta yolu bulma hali ise hiçbir zaman sonlanmayacak.
Türkiye’de Siber Güvenlik ‘Kritik Altyapı Güvenliğinin’ Önüne Geçecek
Bundan sonraki yıllarda hazırlanması muhtemel siber güvenlik stratejilerinin, dolayısıyla
ulusal seviyedeki siber güvenlik çalışmalarının temasının “kritik altyapıların korunması” olduğu
sürece bu kanuni yetkilendirme yeterli olacaktır. Dolayısı ile ulusal siber güvenliğin beş ana
unsurundan biri olarak nitelendirilebilecek “kritik altyapıların korunmasına” yönelik üst seviye
yürütme faaliyetlerimiz sorunsuz bir şekilde devam edecektir.
Her ne kadar siber güvenlik kurulunda istihbarattan, diplomasiden, kolluktan ve askerden
temsilciler olsa da şimdiye kadar yapılan çalışmalardan gördüğümüz kadarıyla ana koordinatör olan
Ulaştırma Bakanlığı sivil alanda kalmakta ve açıklıklarımızın kapatılmasına odaklanmaktadır.
Bunun en önemli göstergesi Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planıdır. Gerek
strateji belgesinin amacı ve kapsamı gerekse 29 adet eylem maddesi çok büyük oranda “kritik
altyapıların korunması” temasının altını doldurmaktadır. Zaten diğer ülkeler gibi öncelikle kritik
altyapıların korunması, güvenlik açıklıklarımızın kapatılması ve kapasite geliştirilmesi konularının
ele alınması ile doğru bir adım atılmıştır.
Ülkemizde önümüzdeki süreçte ulusal siber güvenliğin, ulusal güvenliğin ayrılmaz bir
parçası olduğu ve ulusal güvenlik çerçevesinde değerlendirilmesi gerektiği algısı ve olgusu
somutlaşacaktır. Önümüzdeki yıllarda siber güvenlik çalışmaları kritik altyapıların korunması
konusunun dışına taşacaktır ve ulusal siber güvenlik konusunda yeni sorumlular sahaya inecektir.
Bu sorumlular siber güvenlik alanında faaliyet göstermek için kanuni düzenlemeye ihtiyaç
duymayacaklardır. Çünkü bu kurumlar, zaten kanunlarında var olan ulusal güvenlik ile ilgili
yetkilerini siber alana uyarlayacaklardır. Bu uyarlama için belki daha alt seviye (yönetmelik,
86
genelge vs.) kanuni düzenlemeler gerekli olabilecektir. Bu kurumların başa çıkması gereken asıl
zorluk ulusal değil; uluslararası yasal eksiklikler olacaktır. Organizasyonel çerçevede doldurulması
gereken en önemli eksiklik ise, bu sorumluların ulusal seviyede uyum içerisinde çalışmasını
sağlayacak yetkili ve etkili bir koordinasyon yapısı olacaktır. Siber güvenliğin kritik altyapıların
korunması gibi “sivil olmayan” bu temaları için koordinasyon makamını ilgili kurum ve kuruluşlar
kendi içlerinden çıkaracaklardır.
Bu öngörüleri desteklemek amacıyla uluslararası arenadan örnekler verilebilir. Estonya’nın
siber güvenlik stratejisinde çok ciddi bir siber ordu vurgusu vardır. Yine Estonya, İtalya, İngiltere
gibi pek çok ülkenin siber güvenlik stratejisinde siber suç vurgusu en az kritik altyapıların
korunması kadar güçlüdür. İngiltere, ABD gibi gelişmiş demokrasilerin yanı sıra Çin, İran, Rusya
gibi ülkelerin aktif siber güvenlik ve siber istihbarat konularındaki yetkinlik ve etkinlikleri artık
bilinen ve belgelenmiş gerçeklerdir.
Kritik altyapıların korunması temasının aksine siber istihbarat ve aktif siber güvenlik gibi
konulardaki ulusal çalışmaların, politikalarınve stratejilerin gizliliğinin olması; dolayısı ile kamuoyu
ile en azından “erkenden” paylaşılmaması beklenir. ABD Genelkurmay Başkanlığının (joint chiefs
of staff) hazırladığı “Cyberspace Operations” belgesi Şubat 2013’de yayınlanmıştır. Gelişmiş
ülkelerin yaptığı bu tip paylaşımların amaçlarından birisinin de caydırıcılık olduğu, paylaşılan
çalışmaların yeterince eski ve paylaşılmayan bilginin ise paylaşılandan çok daha fazla olduğu
unutulmamalıdır.
Siber Güvenlik Stratejilerinden Bazı Örnekler
ABD’de ulusal siber güvenlik ile ilgili politika ve strateji belgelerini Beyaz Saray çıkartıyor
ve bu belgelerde ABD başkanının imzalı önsözü yer alıyor.
Fransa’nın siber güvenlik stratejisinin önsözünü Savunma ve Ulusal Güvenlik Genel
Sekreteri hazırlamış. Strateji belgesinde Fransa Başbakanlığı logosu yer alıyor.
Kanada’nın siber güvenlik stratejisinin önsözünde Kamu Güvenliği Bakanının imzası yer
alıyor.
Avustralya’nın belgesinde ise Adalet Bakanının imzası var.
Hollanda’nın siber güvenlik stratejisinde Güvenlik ve Adalet Bakanının önsözü yer alırken,
Norveç’in siber güvenlik stratejisinde dört tane bakanın ortak imzası var. Bu bakanlar, AdaletKamu Güvenliği Bakanı, Savunma Bakanı, Ulaştırma-Haberleşme Bakanı ve Kamu YönetimiReformu Bakanı.
Son olarak, Birleşik Krallığın siber güvenlik stratejisinde, kamuda şeffaflık, kamu
kurumlarının verimliliği, sivil toplum gibi konularda da sorumluğu olan ve aynı zamanda Merkez
Bankasındaki kamu kurumu hesaplarının da sorumluluğunu üstlenen bakanın imzası yer alıyor.
Siber Stratejide Hindistan’ın Türkiye’den Farkı
Teknoloji piyasasındaki artan rolü ve dışarıdan aldığı siber saldırıların yoğunluğuyla dikkat
çeken Hindistan’ın yakın dönemde başbakanlık altında oluşturduğu yeni bir birim olan Ulusal Siber
87
Koordinasyon Merkezi’ne (NCCC) yönetici olarak atanan Dr. Gulshan Rai’nin karşıma çıkması tam
da bu yüzden hoş bir değişiklik oldu. 25 yılı aşkın süredir bu sektörün bir parçası olan Rai’nin
uzmanlık alanları siber güvenlik, e-devlet uygulamaları ve bilgi teknolojilerine hukuki altyapı
oluşturmak olarak sıralanıyor. Rai, Hindistan’ın 2013 yılında, Türkiye ile neredeyse eş zamanlı
yayınladığı birinci Ulusal Siber Güvenlik Stratejisi’nin ve ilk olma özelliği taşıyan Bilgi
Teknolojileri Kanunu’nun da baş mimarları arasında sayılıyor. Bu göreve getirilmesinin öncesinde
uzun yıllar Hindistan Siber Olaylara Müdahale Ekibi’nin (SOME) ve Hindistan’ın eğitim ve
geliştirme ağı olarak bilinen ERNET India’nın direktörü olan Rai, aynı zamanda 1998 yılından bu
yana siber alanı ve bu alanda meydana gelen sorunları kapsayan hukuki çalışmalar yürütmesiyle
biliniyor. ERNET’deki misyonunun da etkisiyle araştırma, geliştirme ve eğitim faaliyetleri üzerine
yoğunlaştığı gözlenen Rai, siber güç sahibi olabilmek için milli altyapı ve uzmanlaşmış işgücü
geliştirmeyi en önemli şartlar olarak değerlendiriyor.
Özellikle .in ve nic.in uzantılı 700’ü aşkın sayıda devlete ait siteyi, finansal hizmetler sunan
organizasyonları ve özel şirketleri hedef alan dış kaynaklı siber saldırıların çoğunlukla Hindistan’ın
diplomatik ilişkilerinde zaman zaman sorunlar yaşadığı Pakistan ve Çin merkezli, gelişmiş
saldırılar da yürütebilen hacker grupları tarafından gerçekleştirildiği açıkça bilinmesine rağmen
Hindistan hala görünürde net bir duruş veya karşı strateji üretmemesi nedeniyle sıklıkla eleştiriliyor.
Açık kaynak taramalarda unvanı Dr. olarak karşımıza çıksa da, eğitim altyapısının içeriğine veya IT
sektöründeki uzun soluklu kariyerine dair detay bulmak imkansız olan Rai’nin, milli meselelerdeki
duruşu tam olarak kestirilemese de, Hindistan SOME’sinin ve en büyük teknolojik araştırma
merkezlerinden birinin başında bulunduğu yıllarda Pakistan kaynaklı siber saldırılara geniş çaplı
siber espiyonaj operasyonlarıyla karşılık verilmesinde rolü olduğunu insan düşünmeden edemiyor.
Hindistan Ulusal Siber Güvenlik Stratejisi’nin, aynı yılda yayınlanan Türkiye Ulusal Siber
Güvenlik Stratejisi’yle benzerliği, Türkiye’de Rai görünürlüğü ve yetkisinde biri olmadığını bir
kenara bırakırsak oldukça ilgi çekici. Öyle ki, her iki belge de siber güvenlik ve devlet stratejisi
alanlarını kesiştiren ilk belge olmasının yanısıra kritik altyapıların güvenliği konusunun içini
doldurmaması, siber tehditleri çok boyutlu olarak ele almaması, politik, ekonomik ve hukuki
tedbirleri belirlerken yetersiz kalması, telekom sektöründeki siber güvenlik açıklıklarına
değinmemesi ve en önemlisi bu belgelerde yer alan maddelerin yasal bir bağlayıcılığı veya
yaptırımının bulunmaması açısından birebir benzeşiyor. Bu açıdan bakıldığında iki ülke de, bir
bakıma, teknolojiyi üreten olmadıkları için güvenliklerini kapsamlı olduğu kadar bağlayıcı bir yol
haritasıyla sağlayamamanın ceremesini çekiyor.
Uluslararası Siber İttifaklar İçin Bir Başlangıç Noktası: Ulusal Siber Olgunluk
Coğrafi sınırların ötesinde bir doğası olan siber alan birçok boyutu itibariyle devletleri
birbirleriyle olan işbirliğini artırmaya zorlamaktadır. Devletler iki temel gereksinime yanıt vermek
amacıyla siber güvenlikte uluslararası işbirliğine açık olmak durumundalar. Bunlardan birincisi
küreselleşmenin etkisiyle her tür suç gibi siber suçların da giderek ve daha kolay şekilde transnasyonel bir hal almasıdır. Özellikle failin bulunmasını güçlendiren araçlar ve siber alanın sınır
tanımamazlığı siber suçluların yakalanmasında uluslararası işbirliğini öncelikli hale getirmektedir.
İkinci neden ise, siber olaylara müdahale kapasitesinin geliştirilmesinde farklı ülkelerin bir araya
gelerek daha güçlü bir siber güvenlik altyapısı kuracağı gerçeğidir.
88
Siber güvenlik konusunda gerçekleştirilecek uluslararası işbirlikleri stratejik ve taktik olmak
üzere iki seviyede ele alınabilir. Stratejik seviyede ülkelerin devlet başkanları veya dışişleri
bakanlıkları seviyelerinde uluslararası işbirliğinin temel unsurları belirlenir, uluslararası
anlaşmalara imza atılır; taktik seviyede ise üst seviyede belirlenen kurallar ve imzalanan anlaşmalar
çerçevesinde ülkelerin polis teşkilatı, ulusal Siber Olaylara Müdahale Ekibi (SOME) gibi birimleri
işbirliğini gerçekleştirir.
Uluslararası işbirliğini zorlaştıran etkenlerin içerisinde ulusal siber olgunluğun düşük
seviyede olması yer alıyor. Uluslararası işbirliğini stratejik ve taktik seviyede etkin bir şekilde
gerçekleştirilen ülkelerin öncesinde siber güvenlik konusunda belirli ilerlemeleri kaydettiklerini ve
ulusal olgunluklarını sağladıklarını görüyoruz. Örneğin kritik altyapı kavramı ilk olarak 1996
yılında Amerika Birleşik Devletleri tarafından kullanılmış ve o yıllarda siber tehditler kritik
altyapılara yönelik önemli bir tehdit olarak tanımlanmıştır. 2003 senesinde yayınladığı Siberuzayın
Güvenliği İçin Ulusal Strateji belgesi hazırlanan ilk ulusal siber güvenliği stratejisidir. ABD’nin en
son yayınladığı ve 2011 yılına ait strateji belgesinin adı ise Siberuzay için Uluslararası Strateji
ismini taşımaktadır. Başlığında uluslararası vurgusu yapılan bu strateji belgesinde, ulusal
çalışmaların yanı sıra diplomasi, uluslararası işbirliklerinin güçlendirilmesi, uluslararası
standartların desteklenmesi, katılımcılığın artırılması, Internet yönetişimi, ihtiyacı olan ülkelere
eğitim verilmesi, bilgi transferi yapılması gibi hususlara yer verilmiştir.
Siber güvenlik konusunda yeterli seviyede olgunluğa sahip olan ülkeler için aşağıdaki
hususları söylemek mümkün oluyor:

Kamu kurumları, özel sektör, sivil toplum kuruluşları ve akademik dünya gibi farklı tiplerde
paydaşların katılımı ile geliştirilmiş, topluma ve kurumlara nüfuz etmiş ve takip edilen bir
ulusal strateji varlığı,

Ulusal olarak, kritik sektörler ve kurumlar seviyesinde sürekli gelişen olay müdahale
kapasitesi,

Siber güvenlik konusunda oluşturulmuş olan sıkı bir özel sektör – kamu ortaklığı,

Ülke içinde kurumlar arası resmi ve gayri resmi bilgi paylaşım mekanizmaları,

Ülke ve kurumlar seviyesinde hedeflerle uyumlu etkin bir risk yönetimi yaklaşımı,
89

Sektörler, kurumlar, vatandaşlar seviyesinde oluşturulmuş olan güvenlik farkındalığı ve
kültürü,

Siber güvenlik ile ilgili araştırmaların desteklenmesi
Uluslararası işbirliğinin önemli bileşenlerinden birisi ülkeler arası bilgi paylaşımıdır. Siber
olgunluğunu tamamlamış olan ülkeler kendi aralarında diğer ülkelere nazaran çok daha rahat
işbirliği yapma ve bilgi paylaşma imkânına sahiptirler. Örneğin, çoğunluğunu gelişmiş ülkelerin
oluşturduğu ülkemizin de üyesi olduğu OECD’nin hazırlamış olduğu küresel ağlarda mahremiyetin
korunması ve spam ile mücadele uluslararası işbirliği gibi kılavuzlar bu işbirliklerine örnek olarak
verilebilir. Ayrıca bu ülkeler ortak bir güvenlik dili konuştukları için de siber güvenlik konusunda
temel yaklaşımları ve prensipleri çok çabuk geliştirip adapte edebilirler.
Kritik altyapıların güvenliğinde etkin uluslararası işbirliğine ulaşmak için aşağıdaki
şekildeki aşamalardan geçmek gerekiyor. Aşamaları birbirinin mutlak öncülü olan seri çalışmalar
olarak değerlendirmemek doğru olur. Özellikle birinci adım oldukça uzun yıllar alacak olan ve
sürekli olarak yürütülmesi gereken bir çalışmalar bütünüdür. Bununla birlikte, birinci adımda belli
bir aşama kaydetmeden de ikinci ve üçüncü adımlarda başarı beklememek gerekir.
Öncelikle, ulusal siber olgunluğun geliştirilmesi için özel sektör, sivil toplum kuruluşu,
akademik dünya ve kamu kurumlarını içerisine alan kapsayıcı ve bütüncül çalışmalar yapmak
gereklidir. Bu çalışmaların başlatılması ve sürdürülmesi için ise, siber güvenliğin ABD, İngiltere,
Güney Kore’nin gerçekleştirdiği gibi devlet politikasıyla öncelikli alan olarak belirlenmesi gerekir.
Toplumun tüm kesimlerince özümsenmiş bir ulusal strateji ve yasal altyapı ışığında, yeterli
bütçelendirme ile veri mahremiyeti, teknik kapasite geliştirme, bilgi paylaşımı, siber güvenlik
araştırması, güvenlik kültürü geliştirilmesi gibi konularda somut gelişmelerin kaydedilmesi zor
olmayacaktır.
İkinci aşamada ise yeterli seviyeye ulaşan siber olgunluk sonucunda uluslararası arenada
daha etkin olunmasıyla somut adımlar atılabilecektir. Bu aşamada gerçekleştirilen çalışmaların
öncelikli hedefi uluslararası güven oluşturmaktır. Bir ülkenin siber olgunlaşma adına yaptığı ulusal
çalışmalardan uluslararası organizasyon ve ikili ilişkilerde detaylı olarak bahsedilmesi güvenin
oluşturulması aşamasında önemlidir. Bu aşamada, ülkelerle ikili işbirliklerinin oluşturulmasının
yanı sıra, uluslararası organizasyonlarda gerçekleştirilen çalışmalara katılarak karar alıcılar arasında
90
olunması ile uluslararası işbirliği adına temel stratejik altyapı oluşturulmuş olacaktır. Stratejik
seviye, mühendislerin değil; uluslararası ilişkiler uzmanlarının çalışması gereken bir alandır.
Üçüncü aşama ise, oluşturulmuş güven ortamı ve stratejik altyapının üzerinde, kritik
altyapıların korunmasına ilişkin taktik seviye işbirliklerinin yapılmasıdır. Bu aşamada siber olay
esnasında olay müdahale konusunda işbirlikleri, siber olay öncesi, esnası ve sonrası bilgi ve tecrübe
paylaşımları, teknoloji transferi gibi konularda uluslararası çalışmalar yapılabilecektir. Ancak
önceki iki adımda belli seviyelere gelinmesi ile taktik seviye verimli uluslararası işbirliklerinin
yapılabileceği unutulmamalıdır. Taktik seviye, siber güvenlik uzmanları ve mühendislerin
çalışacağı bir seviye olarak nitelendirilebilir.
Siber ittifaklara örnek verecek olursak;
Rusya ve Çin, 8 Mayıs Cuma günü bir siber güvenlik anlaşması imzaladı. Rus hükümetinin
internet sitesinde yayınlanan anlaşmanın metnine göre, Rusya ve Çin hem birbirlerine karşı siber
saldırı gerçekleştirmemek, hem de "iç siyaseti ve sosyo-ekonomik ortamı kararsız hale
getirebilecek", "kamu düzenini bozacak" veya "devletin içişlerine müdahale sayılacak" konulardaki
teknolojilere karşı birlikte hareket etmek ve bu konularda bilgi alışverişi yaparak bilgi altyapısının
güvenliğini sağlamak için birlikte çalışma kararı aldılar.
Yine Hindistan ile Japonya'nın siber terör, kişisel veri veri hırsızlığı gibi siber suçlarla
mücadele etmek için gerekli teknolojilerin geliştirilmesinde işbirliği içerisinde hareket edecekleri ve
bu kapsamda Japonya'nın Hindistan'da 3 milyar dolarlık yatırım yapacağı açıklandı.
Bilgi Güvenliği Ve Siber Güvenlik: İki Düşman Kardeş Mi?
Bilgi güvenliği ve siber güvenlik sık sık birbirinin yerine kullanılan ve genellikle karıştırılan
iki kavram olarak karşımıza çıkıyor. Birçok kavramda olduğu gibi bilgi ve siber güvenlik
kavramlarının tanımında da tam bir uzlaşma bulunmuyor.
Tam bir konsensus olmasa da bu iki kavramın ilgili ISO standartlarında yapılan tanımları
genel kabul görüyor. Buna göre, ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardında bilgi
güvenliği “bilginin gizliliği, bütünlüğü ve sürekliliğinin korunması” olarak tanımlarken, ISO 27032
Siber Güvenlik için Prensipler adlı belgede siber güvenlik “siber uzaydaki bilginin gizliliğinin,
bütünlüğünün ve sürekliliğinin korunması” olarak tarif ediliyor. Aynı belgede siber uzay,
“Internet’e bağlı teknolojik cihaz ve ağların vasıtası ile etkileşime geçen insanlar, yazılımlar ve
servislerin bu etkileşimlerinden doğan kompleks ortam” olarak tanımlanıyor.
Birkaç sene öncesine kadar bilgi güvenliği ile ilgili bazı hususların siber güvenlik içinde
değerlendirilemeyeceği; ancak her siber güvenlik kavramının aynı zamanda bir bilgi güvenliği
kavramı da olduğu ifade ediliyordu. O zamanlar siber güvenlik denince akla güvensiz olan
Internetten kurumlara yapılacak hacker saldırıları gelirdi. Bilgi güvenliği ise, sadece bu hacker
saldırılarına karşı değil, aynı zamanda örneğin fiziksel tehditlere karşı da çözümler içeren bir
disiplin.
91
Ancak siber teknolojilerin toplumları ve bireyleri hızla dönüştürmesi, siber tehditlerin
uluslararası krizlere yol açması, devletlerin siber alanı bir hakimiyet alanı olarak görmeye
başlamaları gibi pek çok gelişme ile birlikte günümüzde bilgi güvenliği ve siber güvenlik
birbirinden çok daha bağımsız iki ayrı unsur olmaya başladı. Günümüzde, bu iki kavram ortak
yanları olan ancak ortak yanlarından daha fazla farklılıkları olan iki ayrı disiplin olarak karşımıza
çıkıyor.
Bilgi güvenliği daha çok kurumların ilgilendiği, bazen kalite güvencesi ile beraber de
değerlendirilen daha statik, sınırları belli bir disiplin. Ancak siber güvenlik çok daha geniş bir
kavram. Kurumsal boyutunun yanı sıra siber savaş, siber istihbarat, siber suç gibi toplumsal, ulusal
ve uluslararası boyutları var.
92
Nesnelerin IP adresi alıp Internet’e bağlandığı (Internet of things), bulut bilişim ve mobil
teknolojilerin akıl almaz bir hız ile yaygınlaştığı şu günlerde siber güvenliğin bilgi güvenliğini
kapsadığı bir şekil alacağını öngörmek zor değil. Veri hızla merkezileşiyor, sadece veri değil; veri
işlemcileri de merkezileşiyor. Artık bilgi işlem faaliyetlerini bir elektrik aboneliği gibi buluttan alan
kurumlar var. Bu gelişmeler, kurumların bilgi güvenliğinden daha çok siber güvenlik konusunda
kaygılanmalarına yol açıyor.
1999 yılından 2010’lu yılların başına kadar ülkemizde “Ulusal Bilgi Güvenliği Kanunu”
hazırlanması konusunda çalışmalar yapılmış fakat bu çalışmalar tamamlanamamıştı. O yıllarda, pek
çoğumuzun zihninde Şekil-1’in canlandığını, hatta bazılarımızda içerideki küçük yeşil dikdörtgenin
de canlanmış olabileceğini hatırlatmakta fayda var. 2010 yılında ömrünün sonuna gelinen Bilgi
Toplumu Stratejisindeki “Ülke güvenliğini ilgilendiren bilgilerin elektronik ortamda korunması ve
devletin bilgi güvenliği sistemlerinin geliştirilmesi amacına uygun yasal altyapıyla ilgili düzenleme
yapılacak ve uygulamaya konulacaktır” ifadesini içeren 87 nolu eylem maddesi de bilgi güvenliği
mevzuatına işaret etmekteydi. Ancak bilgi güvenliği gibi hem dikey hem de yatay bir alanda; aynı
zamanda devlette bu konuda üst seviyede rol ve sorumluluklar da oturmamışken kanuni düzenleme
yapmak gerçekten zordu ve zaten olmadı.
2007 yılı nisan – mayıs aylarında Estonya Parlamentosu, bakanlıkları, bankaları, gazeteleri
ve televizyonlarına yönelik yapılan siber saldırılar ile 2011 yılı haziran ayında keşfedilen ve İran
uranyum zenginleştirme tesislerine özel olarak geliştirilen Stuxnet yazılımı hükümetlerin/devletlerin
ulusal güvenlik gündemlerini zenginleştirdi. Gelişmekte olan pek çok ülke siber güvenlik stratejisi
hazırlıklarını bu olaylardan sonra hızlandırdı. Bu farkındalık dalgası tabi ki ülkemizde de etkili
oldu. 2012 yılının özellikle sonbahar aylarında kamu kurumlarına yönelik olarak gerçekleştirilen
Anonymous ve Redhack saldırıları da ülkemizde üst düzeyde farkındalığı artıran olaylardı. İşte bu
gelişmeler ile birlikte bilgi güvenliği ve siber güvenlik arasındaki ilişkinin Şekil-2’ye evrildiği bir
süreçte ülkemizde bilgi güvenliği tartışmaları geride bırakıldı ve siber güvenlik ile ilgili kanuni ve
kurumsal adımlar atıldı. “Siber güvenlik” terimi hatta “siber” kelimesi ilk defa 19 Şubat 2014 günü
üst seviye hukuki norm olan kanun seviyesinde mevzuatımızda yerini aldı. 5809 sayılı Elektronik
Haberleşme Kanununa 19 Şubat 2014’de yapılan düzenleme ile birlikte daha önce kurulan Siber
Güvenlik Kurulu görevleri kanun seviyesinde tanımlandı.
İnsan Olduğu Sürece Güvenlik Zaafiyeti Vardır
Hackerlar (Bilgisayar Korsanı), popüler kullanımıyla, siber ortamda sistemlerin güvenlik
açıklarını keşfeden ve bu zafiyetleri suiistimal edip bilgi sistemlerine sızan, niyetine bağlı olarak
bazen bu sistemlere zarar veren veya veri çalan, bazen de sadece izleyip keşfeden kişilerdir.
Öncelikle siber ortam nedir bunu anlayabilirsek güvenliğini daha rahat tanımlayabiliriz. Bilgisayar
ve bilgisayar ağlarının doğuşu ile birlikte, gerçek dünyanın içerisinde fakat ondan ayrı bir düzlem
oluştu. Gerçek dünyada denenmesi çok zor olan birçok koşulu yazılımlarla gerçekmiş gibi
tasarlayıp geliştirmek mümkün oldu. Biz bu ortama ‘siber uzay’ veya ‘siber düzlem’ demekteyiz.
Bu yazılımlar ve bilgisayar donanımları geliştikçe en kritik sistemler de bunlara emanet edildi.
Dijital ortamda olan verinin ve bu veriyi saklayan veya işleyen sistem bileşenlerinin güvenliğinin,
gizliliğinin ve bütünlüğünün korunmasını kapsar. Yaygınlaşan ve hedef haline gelen bilgisayar
93
sistemlerinin korunması, geleneksel dünyamızın güvenlik anlayışıyla değerlendirilemeyince ‘siber
uzay’ için ‘siber güvenlik’ kavramı ortaya çıktı.
Hackerlar (Bilgisayar Korsanı), popüler kullanımıyla, siber ortamda sistemlerin güvenlik
açıklarını keşfeden ve bu zafiyetleri suiistimal edip bilgi sistemlerine sızan, niyetine bağlı olarak
bazen bu sistemlere zarar veren veya veri çalan, bazen de sadece izleyip keşfeden kişilerdir. Siber
güvenlik uzmanlığı kendi altında farklı alt dallara ayrılır. Sistem ve ağ koruma konusunda
uzmanlık, uygulama güvenliği, zararlı yazılım analizi, iletişim güvenliği gibi uzmanlıkların yanı
sıra güvenlik denetmeni veya sızma testi uzmanı dediğim uzmanlık, hacker’ların yaptıklarının daha
kapsamlı olarak uygulanması ve sistemlerin güvenlik açıklarının tespit edilip kurumlara
raporlanmasıdır. Yani hacker’lık elbette siber güvenlikle ilgilidir fakat siber güvenliği kapsamaz,
ancak alt uzmanlık dallarından birisinin kurallara bağlı olmadan özgürce gerçekleştirilmesidir.
Genelde hacker’lar belirli güvenlik açıklarında uzmanlaşmaktalar. Tabi burada
kullandığımız ‘hacker’ tanımı popüler kültürdeki bilgisayar korsanı, gerçek "hacker”ları bu
ifadeden ayrıştırmak lazım. Yeterince disiplinli şekilde çalışır ve tek bir alanda değil çeşitli
alanlardaki zafiyetleri kullanabilme konusunda kendini geliştirirse ve bunu kurumlara sunabilmek
için de gerekli olan ön bilgileri çalışırsa -evet- olabilir. Hacker olmayan ama hacker gibi davranan,
basit güvenlik açıklarıyla sistemlere sızabilme becerisi olan ama kendi başına bir güvenlik açığı
keşfetme kabiliyeti bulunmayan, çoğunlukla başkaları tarafından geliştirilen saldırı araçlarını
kullanan, az bilgili olup da çok uzmanmış gibi davranan kişilere "lamer” denir.
Dünyada siber güvenlik açısından en sıkı ve iyi çalışmaların olduğu ülkeler; ABD, Çin,
İsrail, Rusya, Fransa, İran, Almanya, Kuzey Kore. Saydıklarımız aynı zamanda nükleer gücü olan
olan ülkeler. Bu ülkeler bilime yatırım yapmanın boşa olmadığını somut olarak görmüş ülkeler aynı
zamanda. Gelecekte internet ve dijital iletişim her şeyin merkezi olacak…
Siber güvenlik alanında olmamız gereken yerde değiliz. Teknolojiyi üreten biz olmadığımız
için güvenliğini de sağlamakta zorlanıyoruz. Belirli çalışmaları devlet destekliyor. Özellikle
Ulaştırma Denizcilik ve Haberleşme Bakanlığı bu alanda inisiyatif aldı ve çok güzel faaliyetler
gerçekleştirdi. Fakat farklı bakanlıklarda da farklı çalışmalar sürdürülüyor. Bunların artık daha
organize, daha tek elden yönetilmesi ve özel sektörde siber güvenlik alanına yüksek seviyede
yatırım gerekiyor. Bizim pek bir aşamada olduğumuzu söylenemez, bu hem iyi hem kötü. Kötü
çünkü geç kalıyoruz. İyi çünkü baştan doğru şekilde kurgulama şansımız var. Bu alana özel olarak
yatırım yapmamız lazım. Teknolojiye ne kadar yatırım yapılıyorsa, içerisinden siber güvenlik
alanını ayıklayıp, bunu hepsinden ayrı ve stratejik olarak değerlendirip, teknolojiye yapılan
yatırımın bir o kadarını da sadece siber güvenliğe yatırmak gerekiyor. Evet, belki yeteri kadar
büyük kaynakları olan bir ülke değiliz ama silah ve savunma kavramı değişiyor. Milli savunma
olarak değerlendirmemiz gerekiyor bunu. MİLGEM gibi milli projeler nasıl bizim gücümüzü ve
caydırıcılığımızı arttırıyorsa, kendi siber güvenlik ürünlerimizin ve siber güvenlik alanında yetişmiş
yetenekli insan kaynağımızın olması da aynı ölçüde gücümüzü ve caydırıcılığımızı arttırır. Bu alana
ne kadar yatırım yaparsak yapalım asla yeterli olmayacak. Gelecek yirmi yıl, öngöremediğimiz ve
çok radikal bir değişiklik olmadıkça, internet ve dijital iletişim her şeyin merkezi olacak. Siber
güvenlik faaliyetlerine yatırım yapmanın önümüzdeki yirmi sene boyunca geri dönüşü olacak.
İsrail bu alanda en fazla şirkete ve ürüne sahip ülke. Siber güvenlik alanında hangi ürüne el
atsanız ya şirket İsrail’dedir, ya şirket ABD’de kurulmuştur fakat Ar-Ge merkezi İsrail’dedir, ya
94
kurucu mühendis kadrosu İsrail’dedir veya kullandıkları patentlerin yarısı İsrail menşeilidir. İsrail
devleti bunu sağlamak için yıllarca muazzam yatırım yaptı. Az insan kaynağıyla çok işler başarmak
için "bu az insanları hangi alanda yetiştirirsem en çok faydayı sağlarım” diye düşündü ve siber
güvenlik, sinyal güvenliği gibi konulara odaklandı.
Bugün ülkelerin muharip güçleri karşılaştırılırken asker sayısından daha yüksek ağırlığa
sahip olan birimler uçak gemileri, savaş uçakları, kendine has hava savunma sistemleri, elektronik
savaş ekipmanları, kıtalar arası balistik roketleri, nükleer gücü. Bütün bu sistemler ile
bilgisayarlarla ve karar destek sistemleriyle yönetiliyor. Yani asıl sayılan unsurların kendi
güvenliğini tehdit etmek tabi ki asker sayısından çok daha önemli. Bu sadece bugün değil, 40 yıl
önce de böyleydi, 400 yıl önce de. Sadece siber güvenlik değil, teknolojisi ileri olan ordu
kuvvetlidir. Kılıçlı orduya karşı barutu keşfeden ordu, normal toplara karşı yivli topa sahip olan
ordu, atlı birliklere karşı zırhlı araçları olan ordu daha başarılıdır.
Milli olması gereken sistemlerimiz var. Askeri sistemlerde, istihbarat birimlerde, güvenlik
birimlerinde, devletin hassas verilerinin olduğu sistemlerde başından itibaren güvenlik odaklı olarak
tasarlanmış, yerli mühendisler tarafından geliştirilmiş sistemler kullanılmalı. Bunun maliyeti ne
olursa olsun yapılmalı. Yazılım yerli olursa, arka kapı olmadığından emin olunur. Ama yeterli
değil, donanımın da yerli olması lazım. Mikroçip seviyesinde güvenlik açıklarının, implantların,
arka kapıların kullanıldığı bir dünyadayız.
Hacker’lar becerilerini paraya çevirmek için çeşitli yollar kullanıyorlar. Bu da şirketler adına
becerilerini rakip şirketler üzerinde kullanıp verileri ele geçirmek anlamına geliyor... Yani hacker’ın
güdümlü olarak çalışması ve bunu ‘ticari sırları çalmak’ için kullanması.
İnsan faktörünü olabildiğince devreden çıkartıp, insanın veriye temasını mümkün seviyede
azaltarak meta-veriler üzerinden karar vermesini ve inceleme yapmasını sağlayabilirsek benzeri
bilgi sızıntılarının önüne geçebiliriz. İnsan olduğu sürece güvenlik zaafiyeti vardır. Zafiyet asla
sıfıra indirgenmez. En basit olanı, güvene dayalı güvenlik zafiyeti vardır. Kimse ne Snowden’dan,,
ne Manning’den (Bradley Manning’den) veri sızdırmasını beklemezdi ama gerçekleşti. Demek ki
veriler iyi tasnif edilmeli, erişimler kısıtlanmalı, kısıtlanan erişimler denetlenmeli, erişenler de
düzenli olarak denetlenmeli, eriştiği veriler de tamamı değil sadece gerektiği kadar anlamlı parçalar
veya özetler olmalı.
Fiber omurgalara gerçekleştirilecek bir sabotaj…
Bir ana hat İstanbul’dan çıkıp Marmara ve Ege denizinden geçip İtalya’ya ulaşıyor. Aynı
deniz altı fiber omurgasına Yunanistan ve İsrail de bağlı. İkinci bir ana hat da Fransa, İtalya,
Türkiye, Mısır, kızıl denizden geçerek Suudi Arabistan, Yemen, Birleşik Arap Emirlikleri, Umman,
Pakistan, Hindistan, Sri Lanka, Bangladeş, Burma, Malezya ve Singapur hattında seyrediyor. Bir
diğer ana hat da Hollanda, Belçika, İngiltere, Fransa, Portekiz, Fas, İtalya, Türkiye, Kıbrıs, Mısır,
yine kızıl denizden geçerek Sudi Arabistan, Umman, Birleşik Arap Emirlikleri, Pakistan, Hindistan,
Sri Lanka, Burma, Malezya, Singapur, Tayvan, Avusturalya Filipinler ve Güney Kore olarak devam
ediyor. Bu omurgalar özel şirketlere ait. Ortadoğu’daki siyasi durumun fiber omurgaya bir sabotaja
sebep olması ne kadar muhtemel. Bunlar dışında da çeşitli fiber altyapıları mevcut, uydu
bağlantıları mevcut. Fakat fiber omurgalar tüm iletişimin ana bileşeni. Fiber omurgalara
gerçekleştirilecek bir sabotaj elbette iletişim sistemimizi hissedilir ölçüde etkiler.
95
Devletler bilgisayar ağları operasyonu dediğimiz faaliyetlerin önemini anladıklarındani bu
alanda sadece korunmak üzere değil saldırı yapmak üzere çalışmalar yürütüyorlar. Bu saldırıların
çeşitli evreleri var. Konvansiyonel operasyon yaşam döngüsüne benzeterek hedef hakkında bilgi
toplama, ilk erişim, kalıcılığı sağlama, içeride yayılma ve bilgi çıkartma evreleri siber operasyonlar
için de geçerli. Burada ilk erişimi sağlamak kadar önemli bir aşama da kalıcılığı sağlamak.
Kalıcılığı sağlamak için zararlı yazılımlar adıyla genellediğimiz casus yazılımlar kullanılmakta ve
hatta bazen ilk erişim de yine zararlı yazılımlarla sağlanmakta. Bu sebeple hassas kurumların siber
güvenlik tedbirlerinde mutlaka zararlı yazılımlara karşı özel olarak tedbir almaları gerekiyor.
İnternet ve sanal gerçeklik artık hayatımızın bir gerçeği. Bu hala yaşamakta olduğumuz bir
devrim. Nasıl ki insanlık elektriği keşfetti ve bunun hayatımızın her alanına yayılıp insanlık tarihini
değiştirmesi zaman aldıysa, internet de böyle bir devrim. Bakın elektronik devrimi farklı, internet
daha farklı. Sadece teknolojik bir yenilik değil. Hayatımızı değiştirdi. Sınırların olmadığı sonsuz
büyüklükte yeni bir kıta keşfedildi. İnsanların birbiriyle iletişim biçimini değiştirdi. Sosyolojik
etkileri var. Ülkerlerde devrimler yapılmasına ön ayak oldu. Matbaa nasıl ki bilginin herkese ve
hızlıca yayılmasını sağladıysa, internet bunu hem katladı hem de herkesi bilgi üretebilir hale getirdi.
Bu sebeple benim kanaatimce eleştirmek, negatif değerlendirmek, zamanın ruhuna aykırı. Bunu
sadece anlamak ve akışı iyi okuyarak karşı koymadan, mümkünse hakim olmak gerekiyor. İyi bir
yazılım bilgisine sahip olmadan tam anlamıyla bir siber güvenlik uzmanı olmak çok zor.
Siber Dünyanın En İddialı 10 Start-Up’ı
Siber alan kullanıcılarının, kendilerini sürekli yenileyen saldırganlara ve zorlu stratejilerine
karşı verdikleri savaşı kazanabilmesi için yeni teknolojilere olan talep, siber güvenlik startup’larının sayılarının hızla artmasını sağlıyor. Kullanıcıların siber güvenliğini hedef alan tehditlere
karşı çeşitli önlemler geliştiren firmalar ve uzmanların yeteneklerini sergileyerek yeni fikirler ve
çözüm önerileri ürettikleri start-up’lar bu açıdan kritik rol oynuyor. Bunlar;
Barkly
Şirket 2013 yılında, BBN ve IBM’de daha önce beraber çalışan CEO Mike Duffy ve CTO
Jack Danahy tarafından kurulur. 17 milyon dolar finansmanı olan şirketin ismi kötü niyetli
saldırılara karşı uyaran bekçi köpeğini hatırlatması açısından Barkly konur.
Son kullanıcı güvenlik alanında Barkly CPU kullanımı ve ayakizi bakımından tasarruflu
veri toplama hizmeti sunuyor. Bu method son kullanıcı için daha avantajlı bir sistem. Yıl sonuna
kadar ilk ürünlerinin kullanıma hazır olacağı ve firmanın iki yıllık finansmanının hazır olduğu göz
önünde bulundurulduğunda, Barkly’nin sektördeki varlığının büyüyeceği çok açık. Daha öncesinde
firmanın kurucuları, IBM tarafından satın alınan iki başarılı start-up’ı daha yönetmişti.
Bastille
2014 yılında Atlanta’da kurulan Bastille’in kurucusu ve CEO’su Chris Rouland, aynı
zamanda End Game’in de kurucusu. 9 milyon dolar finansmanı bulunan şirketin fikri, okuldan
çıkan çocukları ailelerinin arabalarındaki radyo frekansıyla eşleştiren bir sistemin geliştirilmesiyle
ortaya çıktı.
Firmalardaki aletler ile kablosuz bağlantı daha yaygın hale geldikçe güvenlik uzmanlarının
ağ içinde neler olduğunu kontrol etmesi için yeterli teknolojilerinin olmadığı anlaşıldı. Bastille’in
96
yazılımının bu gibi aletlerin kablosuz ağlarını gözlemleme ve analiz etme üzerine kurulu olan
sistemi, bilgi hırsızlığı için yapılan kötü amaçlı girişimleri tespit ederek var olan güvenlik sistemine
gönderiyor.
Bitglass
2013 yılında 35 milyon dolar finansman ile kurulan şirketin merkezi San Jose. Şirketin
kurucuları CEO Nat Kausik ve CTO Anurag Kahol. Şirket çalınan kredi kartı bilgilerine ne
olduğunu gözlemlemek için bir deney yapıyor. Kart bilgilerini Dark Net’e koyan firma, 12 günde
1000’den fazla görüntülendiğini keşfetti.
Şirketin patentli teknolojisi sayesinde bulutta saklanan kurumsal veriler hızdan ödün
verilmeden aranabiliyor. Yöntem bulutta şifrelenmiş veriyi kaydetmek yerine, veriyi temsil eden
şifrelenmiş başka bir dosya tutuyor. Bu bilgi geri alınmak istendiğinde de, temsili dosya indiriliyor
ve ana dosya veritabanından alınıyor. Bu şekilde AES 256 şifrelemesi kullanılması, hızlı arama
yapmaya da imkan sağlıyor. Şirketin CEO’su daha önce Cisco ve ÇA gibi şirketler tarafından alınan
4 start-up şirketinin de yönetiminde bulundu.
Final Code
Japon e-mail ve web filtreleme şirketi Digital Arts’dan ayrılarak oluşan start-up, 2014
yılında San Jose’de kuruldu. Daha önce ForeScout’da çalışan Gord Boyce CEO pozisyonunda,
Scott Gordon ise COO pozisyonunda görev alıyor. Şirket, platformun Amerika pazarında
satılmasına yönelik çalışmalar sürdürüyor.
Şirket, şifrelenen dokümanların başka konumlara taşındıklarında, şifreleme anahtarının da
onlarla beraber hareket ettirilmesi gerekliliğini ortadan kaldırarak, müşterileri bilgilerinin güvenlik
duvarlarında ya da bulut veritabanlarında saklanması esnekliğini sağlıyor. Böylece Box ve Dropbox
gibi dosya paylaşım hizmetleri kurumsal bilgi paylaşacak kadar güvenli hale geliyor.
Ionic Security
2011 yılında Atlanta’da kurulan start-up’ın eski ismi Social Fortress (Sosyal Kale) idi. CEO
olarak Symantec, PGP ve Network Associates geçmişi olan Steve Abbott ve CFO olarak Dünya
Ekonomi Forumu tarafından 2015 Teknoloji Öncüsü seçilen Adam Ghetti çalışıyor. Şirket Kleiner
Perkins Caufield & Byers, Meritech Capital Partners ve Google Ventures gibi yatırımcılardan 78.1
milyon dolar finansman sağladı.
Ionic verdiği hizmette belgeleri simetrik anahtar şifreleme metoduyla şifreliyor. Anahtarları
yöneten şirket, müşterilerinin iş yükünü oldukça hafifletiyor. Belgeleri yalnızca yetkili kişilerle
paylaşan bu sistem, belgenin tamamını sadece belli bir grup görebilirken, geri kalanların sadece
önceden belirlenen bölümünü görebilmelerine olanak sağlıyor. Aynı zamanda belgeleri kimin
incelediğini de gözlemlemek mümkün.
Kritik Altyapılar ve Kritik Bilgi Altyapıları
Kritik altyapılar devlet düzeninin ve toplumsal düzenin sağlıklı bir şekilde işlemesi için
gerekli olan ve birbirleri arasında bağımlılıkları olan fiziksel ve sayısal sistemlerdir. Enerji üretim
ve dağıtım sistemleri, telekomünikasyon altyapısı, finansal servisler, su ve kanalizasyon sistemleri,
güvenlik servisleri, sağlık servisleri ve ulaştırma servisleri en başta gelen kritik altyapılar olarak
97
sıralanabilir. Kritik altyapıların korunması, gelişmiş ülkelerin önemli gündem maddelerinden birisi
olarak karşımıza çıkmaktadır. Bu ülkeler, kritik altyapıların korunması ile ilgili yasal, teknik, idari,
kurumsal ve dokümanter çalışmalarda ciddi yol almışlardır. Ülkemizde, bu konuda 2009 senesinde
bazı resmi başlangıç çalışmaları yapılmıştır ancak Türkiye’nin önünde uzun bir yol olduğu
söylenebilir.
Ülkelerin, kurumların, toplumların ve bireylerin bilgi ve iletişim teknolofjilerine bağımlılığı
gün geçtikçe artmaktadır. Amerikan Ticaret Bakanlığı’nın yaptığı bir araştırma, ABD’deki
firmaların gerçekleştirdiği yatırımın yarısının bilgi ve iletişim teknolojileri yatırımı olduğunu
göstermektedir. Bilgi ve iletişim teknolojilerin sağladığı birçok faydanın yanı sıra bu teknolojiler ile
birlikte yeni bir tehdit türü olarak sayısal tehditler hayatımıza girmiştir. Sayısal tehditlerden
korunmak için bireyler seviyesinden ülkeler seviyesine kadar alınması gereken karşı önlemler
bulunmaktadır. Ülke seviyesinde gerçekleştirilmesi gereken önemli çalışmalardan birisi de kritik
altyapıların korunması (Critical Infrastructure Protection-CIP) başlığı altına değerlendirilmektedir.
Bu kapsamda bir devlet politikası olarak belirlenen adımlar ülkede faaliyet gösteren kamu
kurumları ve özel şirketler tarafından gerçekleştirilmektedir. “Kritik altyapı” terimi ilk defa Ekim
1997 tarihli “Amerika Birleşik Devletleri Başkanlık Komisyonu’nun Kritik Altyapıların Korunması
Hakkında Raporu”nda kullanılmıştır. Bu direktif, ABD’nin kritik altyapılarını işleten ve ulusal
güvenlikle ilgili tüm kamu kurumlarına gönderilmiştir. Söz konusu direktifte başkanın hedefi,
ulusal hedefler, kritik altyapıların listesi, kurumların gerçekleştirmesi gereken adımlar, eşgüdüm ile
ilgili hususlar, yeni yapılanmalar ve ulusal koordinatör ile ilgili bilgilere yer verilmiştir. Başkanlık
karar direktifinde, silahlı kuvvetlerin ve ekonominin kritik altyapılara ve sayısal sistemlere artan bir
hızla bağımlı olduğunun altı çizilmiştir. Kritik altyapılar, ekonomi ve hükümetin sağlıklı bir şekilde
işlemesi için ciddi öneme sahip olan fiziksel ve sayısal sistemler olarak tanımlanmıştır. Kritik
altyapıların kamu kurumları veya özel sektör tarafından işletilebildiğinin altı çizilmiş, iletişim,
enerji, bankacılık, ulaşım, su sistemleri ve acil durum servisleri örnek kritik altyapılar olarak
zikredilmiştir. Geçmiş senelerde, kritik altyapıların fiziksel ve mantıksal olarak ayrı ve bu nedenle
bağımlılığı olmayan sistemler olduğu belirtilmiş, bilgi teknolojilerindeki gelişmelerin hem
altyapıların kendisini etkilediğini hem de altyapılar arasındaki ilişkileri ve bağımlılığı ciddi bir
şekilde artırdığı ifade edilmiştir. Kritik altyapı kavramının ortaya çıkmasının en önemli nedeni bilgi
teknolojilerinin yaygın bir şekilde kullanılmasıdır.
Kritik altyapılar, bilgi ve iletişim teknolojilerini az veya çok içermekte ve bu teknolojiler ile
değişik şekillerde kesişmektedir. Barajlar, enerji üretim ve dağıtım santralleri gibi kritik altyapılar
bilgi teknolojileri tarafından kontrol edilmekte ve izlenmektedir. Telekomünikasyon gibi kritik
altyapılar ise tümüyle bilgi ve iletişim teknolojilerinden oluşmaktadır. Kritik altyapılar devlet
düzeninin ve toplumsal düzenin sağlıklı bir şekilde işlemesi için gerekli olan ve birbirleri arasından
bağımlılıkları olan fiziksel ve sayısal sistemlerdir. Enerji üretim ve dağıtım sistemleri,
telekomünikasyon altyapısı, finansal servisler, su ve kanalizasyon sistemleri, güvenlik servisleri,
sağlık servisleri ve ulaştırma servisleri en başta gelen kritik altyapılar olarak sıralanabilir.
Kritik bilgi altyapıları ise, Kritik altyapıları destekleyen bilgi ve iletişim teknolojileri
unsurları olabilir. Ulusal ekonomi ve devlet fonksiyonlarının düzgün işlemesi için gerekli bilgi ve
iletişim teknolojileri altyapılarıdır.
Kritik altyapılar arasında çok fazla sayıda ve karmaşık bağımlılıklar, ilişkiler bulunmaktadır.
Bilgi ve iletişim teknolojileri bazı kritik altyapılar arasındaki bağımlılıkları başlatmış, halihazırdaki
98
bazı bağımlılıkları ise ciddi şekilde artırmıştır. Örneğin barajlardaki bir arıza, elektrik üretiminin
durmasına, elektrik üretimindeki problemler Internet altyapısının işlevselliğinin bozulmasına neden
olabilir. Internet’teki kesintiler ise başta bankacılık olmak üzere birçok kritik altyapıyı
etkileyecektir. Aşağıda kritik altyapıların bilgi ve iletişim teknolojileri ile kesişimi örnekler
verilerek detaylandırılmıştır.
Barajlar, termik santralleri, enerji dağıtım üniteleri gibi geçmişte tamamen fiziksel
unsurlardan ve izole endüstriyel kontrol sistemlerinden oluşan kritik altyapıların birçoğu
günümüzde bilgi ve iletişim teknolojileri ile yönetilebilir ve izlenebilir duruma gelmiştir. Kritik
altyapıların yönetimi ve izlenmesinde uzun yıllardan bu yana SCADA (Supervisory Control And
Data Acquisition) olarak adlandırılan endüstriyel kontrol sistemleri kullanılmaktadır. Geçmişte,
başka ağlar ile bağlantısı olmayan, bilgi ve iletişim teknolojileri içermeyen veya altyapıya özel
olarak geliştirilmiş teknolojileri içeren SCADA sistemleri, günümüzde yaygın olarak kullanılan ve
bilinen yazılım, donanım ve ağ protokollerini barındırmaktadır. Ayrıca, kritik altyapıları yöneten ve
izleyen birçok SCADA sistemi kurumsal ağlara ve Internet’e bağlantılı hale gelmeye başlamıştır.
Sonuç olarak, SCADA sistemleri sayısal savaşa ve sayısal terörist ataklarına çok daha fazla bir
şekilde açık duruma gelmiş ve güvenlikleri geçmişe göre ciddi şekilde sorgulanmaya başlamıştır.
2003 senesinde ABD’nin sekiz adet eyaletinde 50 milyon kişiyi etkileyen, bazı şehirlerde 2 gün
süren, 11 kişinin ölümüne ve 6 milyar dolar zarara yol açan ve tarihe “2003 Northeast Blackout”
olarak geçen ABD tarihinin en önemli elektrik kesintisinin nedenlerinden birisinin elektrik
dağıtımında kullanılan yazılımdaki bir hata olduğu saptanmıştır. Ekim 2003’de ABD’nin en yoğun
limanlarından olan Houston Limanı’nın bilgisayar sistemi saldırıya uğramış ve limanın bir süre
hizmet vermesi engellenmiştir. Saldırının İngiltere’nin Shaftesbury isimli küçük bir kasabasındaki
bir bilgisayardan yapıldığı anlaşılmıştır. Ancak, bir süre sonra, bilgisayarın sahibinin suçsuz
olduğu, bilgisayarın sayısal teröristlerin kontrolüne geçmiş bir zombi bilgisayar olduğu
anlaşılmıştır. Bu olay sayısal teröristlerin ne derece profesyonel çalıştıklarını göstermektedir. Rus
bilgisayar korsanlarının Estonya bilgi ve iletişim sistemlerine karşı gerçekleştirdiği sayısal
saldırılarda, saldırı yapan bilgisayarların birçoğunun ABD’de ve Türkiye’de olduğu tespit
edilmiştir. Sayısal savaşlarda, bu örneklerde olduğu gibi zombi durumuna getirilmiş bilgisayarlar
kullanılmaktadır. Zombi bilgisayarların kullanıcıları genellikle bilgisayarlarının başkaları tarafından
kötü amaçla kullanıldığının farkına varacak bilgiye ve tecrübeye sahip değillerdir. Son örnek olarak,
Ağustos 2003’te Ohio’da faaliyet gösteren, Davis-Besse nükleer santralinin izole bilgisayar ağına
Slammer solucanı bulaşmış ve santralin izleme sistemini beş saat boyunca çalışamaz duruma
getirmiştir. Internet kaynaklı bilgisayar solucanlarının izole ağlara bulaşması, bu ağların ne derece
izole olduğunun sorgulanmasına yol açmaktadır.
ABD, etkin ve verimli kullanım için kritik altyapıları yöneten SCADA sistemlerini büyük
oranda standartlaştırmış ve ortak ağlardan ulaşılabilir duruma getirmiştir. Bu nedenle verilmiş olan
tüm örnekler, ABD’nin sahibi olduğu kritik altyapılar ile ilgilidir. Ancak, dünyadaki gelişmiş diğer
ülkeler ile beraber ülkemizin de güncel teknolojiyi SCADA sistemlerine adapte etmeye başladığı
söylenebilir. Adana ilindeki Sugözü Termik Santrali’nin bilgisayar sistemleri aracılığıyla 24 saat
izlendiği, TÜBİTAK’ın desteği ile barajlar için Türkçe yazılım geliştirildiği, Akköprü Barajı’nın
uydu bağlantılı bilgisayar sistemi ile yönetildiği, Batman Barajı’nın bilgisayarlarının Alman firması
tarafından parasını alamadığı gerekçesiyle kilitlendiği medyada yer almıştır. Batman Barajı örneği,
milli yazılımın önemini gösteren bir haber olarak dikkat çekmektedir. Ülkemizde, kritik altyapıları
kontrol eden SCADA sistemlerinin çoğunluk itibarıyla uzun yıllar önce kurulduğu, altyapıya özel
99
olarak tasarlanmış bilgi/iletişim teknolojilerinden oluştuğu ve Internet/kurumsal ağlarla bağlantısı
olmadığı/kısıtlı olduğu söylenebilir. Teknolojiyi çok hızlı bir şekilde adapte eden ve kullanan
Türkiye, kısa zaman içerisinde SCADA sistemlerinde de günümüz teknolojisini yakalayacaktır.
Gazetelerde çıkmış olan haberler bu durumun bir habercisi olarak nitelendirilebilir.
Telekomünikasyon (sabit telefon ve cep telefonu operatörleri, Internet altyapısı), e-devlet
uygulamaları ve bankacılık gibi kritik altyapıların bilgi ve iletişim teknolojileri ile ilişkisi kritik
altyapılardan (barajlar, santraller v.b.) oldukça farklıdır. Bu tip kritik altyapılar çok büyük oranda
bilgi ve iletişim teknolojilerinden oluşmaktadır, bazılarının varlık sebebi ise bilgi ve iletişim
teknolojileridir.
2007 Nisan ve Mayıs aylarında, Rus bilgisayar korsanlarının Estonya bilgi sistemlerine
sızması, bu sistemlerin faaliyetlerini durma noktasına getirmesi ve sonuç olarak Estonya’nın
ekonomik ve toplumsal zararlar yaşaması birçok ülkenin gündeminde aylarca yer almıştır. Bu
örnek, bir ülkenin Internet altyapısının önemli bir kritik altyapı olduğunu göstermektedir.
Estonya’nın ekonomik ve toplumsal düzeninin sayısal saldırılardan etkilenmesinin en önemli nedeni
bu ülkenin çok büyük bir oranda e-devlet yapısına geçmiş olması ve birçok kamu hizmetinin
Internet üzerinden gerçekleştirilmesidir. İlerleyen senelerde birçok ülke ve Türkiye en az Estonya
kadar Internet’e bağımlı hale gelecektir. Burada dikkat çeken diğer bir husus bir kritik altyapı
olarak Internet’in sahip olduğu özel durumdur. Internet, ülkelerin hayati fonksiyonlarının bağlı
olabileceği bir kritik altyapıdır, Internet aynı zamanda saldırganların da kullandığı ve yer aldığı bir
ortamdır.
Bir sıcak savaş senaryosu olarak bir ülkenin diğer ülkenin barajını bombalanması dünya
konjonktüründe kolay yapılabilecek bir saldırı değilken, sayısal savaşçıların Internet üzerinden
barajın SCADA sistemine erişip barajın kapaklarını açması daha kolaylıkla yapılabilir. Diğer
taraftan, Internet üzerinden bir SCADA sisteminin kontrol altına alınması zor veya imkansız
olabilir. Bunun yerine kolay olduğundan ve hızlı sonuç verdiğinden dolayı ülkenin Internet
altyapısının öncelikle hedef alınması çok büyük bir ihtimaldir. Bir ülkenin Internet çıkışını servis
dışı bırakmak, e-devlet uygulamalarını hizmet veremez duruma getirmek, bankacılık ve borsa
sistemlerini çalışmasını engellemek, merkezi yönlendirici (router) cihazlarını ele geçirmek, ülkenin
en üst seviye DNS sunucusunu ele geçirmek ve yanlış websitelerine yönlendirmek kolaylıkla
yapılabilen, sıklıkla yaşanmış ve Estonya gibi Internet’e yüksek seviyede bağımlılığı olan ülkelerde
ciddi ekonomik ve toplumsal sonuçları olan sayısal saldırı örnekleridir.
İMKB, Türkiye ekonomisi için büyük öneme sahip olan bir kritik altyapı olarak
nitelendirilebilir. 29 Kasım 2007’de yol çalışması yapan bir kepçenin fiber kabloyu koparması
sonucunda borsa ilk seansı gerçekleştirememiş ikinci seansa ise yarım saat geç başlamıştı. Borsanın
işlem yapmaması her ne kadar bir sayısal saldırının sonucu olmasa da, bilgi teknolojisindeki bir
sorunun ekonomik karşılığını görmek açısından önemli bir örnektir. 30 Ocak 2009’da birçok
ülkenin bilgisayar sistemine yayılan ve önemli zararlar veren Conficker virüsü Atatürk
Havalimanı’nın dış hatlar terminalinde çalışan bilgisayarları da etkilemiştir. Yaşanan aksaklıklardan
dolayı birçok yolcunun bagajı işleme konamamış, uzun kuyruklar oluşmuştur. Her iki olay hakkında
haberlere gazete arşivlerinden erişilebilir.
Bilgisayar güvenliği konusunda yazılımlar üreten ve hizmetler veren Symantec firması
tarafından hazırlanan Nisan 2009 tarihli son Internet Güvenliği Tehdit Raporu’nda Türkiye spam e-
100
postanın kaynaklandığı ülkeler arasında Dünya’da üçüncü sırada yer almıştır. Spam e-postaların
çoğunlukla başkalarının eline geçmiş zombi bilgisayarlar tarafından gönderildiği düşünülürse bu
durum Türkiye’deki zombi bilgisayarların sayısı hakkında da bir fikir vermektedir. Firmanın 2007
senesinde yayınladığı raporda ise zombi bilgisayar sayısı dikkate alındığı zaman Ankara EMEA
bölgesinde (Avrupa, Orta Doğu ve Afrika) yer alan şehirler içerisinde yedinci sırada yer almıştır.
Aynı raporda, Ankara spam e-posta gönderen şehirler arasında altıncı sırada yer almıştır. Sonuç
olarak, Türkiye sınırları içerisinde yer alan ve Türk vatandaşlarının kullandığı ancak zombi duruma
gelmiş olan binlerce bilgisayar, Internet’te faaliyet gösteren kritik bilgi sistemlerini hedef alabilirler.
Başka ülkelerin hükümetleri tarafından desteklenen sayısal teröristlerin kontrolünde olması uzak bir
ihtimal olmayan bu bilgisayarlar olası bir sayısal savaşta başrol oynayacaklar.
ABD’de bir hükümet kuruluşu olarak faaliyet gösteren ABD-Çin Ekonomik ve Güvenlik
İnceleme Komisyonu’nun (USCC) 2008’de hazırladığı ve Amerikan Kongresi’ne sunduğu raporda
çok çarpıcı ifadeler yer almaktadır. Raporda yer alan bazı ifadeler şunlardır:
Çin’in dünyanın herhangi bir yerine ve herhangi bir zamanda sayısal operasyon yapacak
niyeti ve kabiliyeti bulunmaktadır. Çin’de 250 adet sayısal korsan grubu yer faaliyet
göstermektedir. Bu gruplar Çin Hükümeti tarafından bilgisayar ağlarına girmesi ve zarar vermesi
için desteklenmektedir. Çin Hükümeti aktif bir sayısal casusluk programını yürütmektedir. Çin’in
sayısal savaş teknikleri ABD’nin karşı koyamayacağı hatta fark edemeyeceği kadar karmaşık ve
ileri düzeydedir.
Güvenlik alanında faaliyet gösteren Northrop Grumman firması tarafından ABD-Çin
Ekonomik ve Güvenlik İnceleme Komisyonu için hazırlanan 9 Ekim 2009 tarihli raporda ise Çin’in
sayısal casusluk tehdidinin gün geçtikçe arttığı ifade edilmiştir. Raporda, 2007 senesi itibarıyla
ABD devlet ve savunma birimlerinin ağlarına girilmesi sonucunda 10 ile 20 terabayt arası verinin
dışarıya sızdırıldığı ifade edilmiştir.
Gerçekleştirilen Çalışmalar
Gelişmiş ülkeler kritik altyapıların korunması ile ilgili programını oluşturmuş ve bu program
çerçevesinde çalışmalarına başlamıştır. Ayrıca, NATO’nun bu konuda çalışmaları bulunmaktadır.
Bu bölümde Dünya’da ve ülkemizde gerçekleştirilen çalışmalar konusunda bilgi verilmiştir.
Hemen hemen tamamı aynı zamanda OECD üyesi olan gelişmiş ülkeler kritik altyapıların
korunması ile ilgili olarak yasalarını düzenlenmiş, bu ülkelerde yeni kurumlar kurulmuş,
hâlihazırdaki kurumlarda değişiklikler yapılmış, koordinatörler belirlenmiştir. Bu faaliyetler bizzat
devlet başkanlarının direktifi ile başlatılmış ve himayesinde devam etmektedir. Bu ülkeler aynı
zamanda devlet başkanı himayesinde ve bilgisinde hazırlanmış ulusal bilgi güvenliği politikası
belgesine sahiptirler. Söz konusu politika belgelerine de bakıldığı zaman kritik altyapı teriminin
sıklıkla kullanıldığı görülmekte, sayısal savaşta öncelikli hedef olacak bu altyapıların etkilenmesi
durumunda ülke ekonomisinin ve toplumsal düzenin ciddi zararlar göreceği belirtilmektedir. Kritik
altyapıların korunması ulusal seviyede bir güvenlik kültürünün oluşmasının temel etkenlerinden
birisi olarak görülmektedir.
ABD, İngiltere, Almanya, Finlandiya, Güney Kore ve Japonya’da gerçekleştirilen çalışmalar
konusunda detaylı bilgiye Bilişim Kurultayı 2009’da sunulan “Sayısal Ortamda Savunma ve Bilgi
Güvenliği Yol Haritası” isimli bildiriden ulaşılabilir.
101
Avrupa Birliği kritik altyapıların korunması ile ilgili ilk adımı 2004 senesinde atmıştır. Bu
kapsamda, Avrupa Konseyi’nden gelen talep doğrultusunda Avrupa Komisyonu “Terörle Mücadele
için Kritik Altyapı Korunması” başlıklı bir belge yayınlamış ve bu belgeyi Avrupa Konseyi ve
Avrupa Parlamentosu’na göndermiştir [20]. Hazırlanan 11 sayfalık belgede, kritik altyapıların
tanımı yapılmış ve bu konuda yapılması gereken çalışmalar özetlenmiştir. Bu raporun ardından,
“Kritik Altyapıların Korunması için Avrupa Programı” başlıklı bir program açılmıştır.
ABD’nin başlatmış olduğu çalışmalara makalenin giriş kısmında yer verilmiştir. 2009’daki
gelişmelerden bahsedilecek olursa; Amerikan Başkanı Barack Obama 9 Şubat 2009 günü, ulusal
güvenlik yetkililerinden Amerika’nın sayısal ortamı için güvenlik gözden geçirmesi yapmalarını
talep etmiştir. Gözden geçirme raporu Beyaz Saray’ın sayfasında geçtiğimiz aylarda yayınlanmıştır.
Otuz bir defa “kritik altyapılar” ifadesinin kullanıldığı raporda, sayısal güvenlik konusunda tam
yetkili koordinatörün atanması, ABD sayısal güvenlik stratejisinin güncellenmesi gibi 10 adet
maddenin yer aldığı yakın zamanlı bir eylem planı yer almıştır. Diğer taraftan Obama, 29 Mayıs
2009 günü Beyaz Saray’da yaptığı 15 dakikalık konuşmada Amerika’nın sayısal altyapısının
güvenliğinin son derece önemli olduğunu belirtmiş ve konusu sayısal ortamda güvenlik olan bu
konuşması basında geniş yankı bulmuştur. Konuşmanın metni Beyaz Saray’ın Internet sayfasında
yer almaktadır.
Estonya bilgi sistemlerine Rus bilgisayar korsanları tarafından Nisan ve Mayıs 2007’de
gerçekleştirilen koordine ataklardan sonra, NATO tarafından önemli adımlar atılmıştır. Öncelikle,
Brüksel’de NATO Sanal Savunma Yönetim Otoritesi (Cyber Defense Management AuthorityCDMA) kurulmuştur. NATO Sayısal Savunma Konsepti tamamlanmış ve onaylanmıştır. NATO
Sayısal Savunma Konsepti’ne göre NATO üyesi ülkeler, CDMA’ya ulusal temas noktalarını
bildirmişlerdir. Yine NATO Sayısal Savunma Konsepti’ne göre NATO üyesi ülkeler ulusal sayısal
ortam savunma politikalarını hazırlamaya başlamışlardır. Dışişleri Bakanlığımız TÜBİTAKUEKAE’yi (Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü) NATO’ya ulusal temas noktası
olarak bildirmiştir. Türkiye’nin Ulusal Sanal (Sayısal) Ortam Güvenlik Politikası 19 adet kamu
kurumu tarafından hazırlanmıştır. Şubat 2009’da Başbakanlık’a teslim edilen belgenin resmiyet
kazanması beklenmektedir. Ülkemizde kritik altyapıların güvenliği ile ilgili atılmış ilk adım bu
politika belgesidir. Politika belgesinde “Kritik bilgi ve iletişim sistem altyapılarının güvenliği
sağlanmalıdır. Ülke içerisindeki kritik bilgi ve iletişim sistem altyapıları, bunların birbirleriyle
ilişkileri, kritiklik seviyeleri ve sorumluları tespit edilmelidir. Tespit edilen kritik bilgi ve iletişim
sistem altyapıları sanal ortamdan gelebilecek tehditlere karşı korunmalıdır” ifadeleri yer almaktadır.
Ülkemizde kritik altyapılar ile ilgili yakın bir gelişme 2009 Sonbaharı’nda gerçekleşmiştir.
Başbakanlık Kanunlar ve Kararlar Genel Müdürlüğü bünyesinde oluşturulan ve çalışmalarına fiilen
3 Mart 2009 tarihinde başlayan e-Mevzuat Çalışma grubu, 7 Ağustos 2009 tarihi itibarıyla “eDevlet ve Bilgi Toplumu Kanun Tasarısı Taslağı”nı hazırlamıştır. E-devlet ve Bilgi Toplumu
Kanun Tasarısı Taslağı’nda kritik altyapı ve kritik bilgi altyapısı terimleri geçmemektedir. Bununla
beraber taslak içerisinde “Kritik Bilgi Sistemi”nin tanımı “İşlevlerinin tamamen veya kısmen yerine
getirilememesi halinde kamu güvenliği ve düzenini önemli derecede etkileyen bilgi sistemleri”
olarak tanımlanmıştır. Kanunda geçen “Bilgi Toplumu Ajansı” içerisindeki “Bilgi Toplumu
Dairesi”nin görevlerinden bir tanesi de “kritik bilgi sistemlerini belirlemek ve bu sistemler için
uygulanacak asgari güvenlik standartlarını tespit etmek” şeklinde belirtilmiştir.
102
Bu iki taslak çalışma dışında ülkemizde kritik altyapılar konusunda resmi bir çalışma
bulunmamaktadır. Sonuç olarak, Türkiye kritik altyapıların korunması ile ilgili çalışmaların henüz
başındadır.
Ülkemizde Atılması Gereken Kritik Adımlar
Kritik altyapıların korunması ile ilgili olarak gelişmiş ülkelerde olduğu gibi ülkemizde de
resmi çalışmaların başlatılması gerekmektedir. Resmi çalışmaların ana çerçevesinin sayısal
güvenlik olması ve kritik altyapıların korunmasının bu ana çerçevenin bir alt maddesi olması bazı
gelişmiş ülkelerin izlediği ve ülkemize de uygun bir yapıdır. Bu kapsamda:
Ulusal sayısal güvenlik politikasının resmiyet ve işlerlik kazanması gerekmektedir. Bu
politika belgesini destekleyen strateji belgesinin ve eylem planının da hazırlanması sıradaki önemli
adımlardır. Bütün bu belgeler için destekleyici mevzuat hazırlanmalı, güncellenmesi ve
değiştirilmesi gereken halihazırdaki mevzuat tespit edilmelidir. Mevzuat resmiyet kazanmalıdır.
Sayısal savunma ile ilgili çalışmaları organize edecek bir ulusal yürütme organı
oluşturulmalıdır. Yürütme organının asıl sorumluluğu koordinasyon olmalıdır. Kritik altyapıları
işleten kamu sektörüne ve özel sektöre yapılması gereken çalışmaları bildirmelidir. Yürütme organı,
devletin belirlediği politikaları uygulatan bir kurum olmalıdır.
Sayısal savunma ve kritik altyapıların korunması ile ilgili ulusal bilincin oluşturulması adına
çalışmalar gerçekleştirilmelidir. Kritik altyapıları işleten kurumların gerçekleştirmesi gereken
çalışmalardan vatandaşın yapması ve yapmaması gerekenlere kadar birçok konuyu kapsayan
bilinçlendirme programı için ulusal medya, Internet siteleri gibi kaynaklar kullanılmalıdır.
Sayısal ihlallere karşı tepki yeteneği geliştirmek amacıyla ulusal bilgisayar olaylarına
müdahale ekibinin yetenekleri geliştirilmelidir. Kritik altyapıları işleten kurumlar da etkin
bilgisayar olaylarına müdahale ekiplerini oluşturulmalıdırlar. Ayrıca farklı bilgisayar olaylarına
müdahale ekipleri arasında koordinasyon yeteneği oluşturulmalıdır.
Internet altyapısının güçlü ve alternatifli bir duruma getirilmesi dağıtık servis dışı bırakma
saldırılarından en az seviyede zarar görmek için gereklidir. Telekomünikasyon altyapısı ve Internet
önemli kritik altyapılardır. Bu bağlamda, Internet servis sağlayıcıları ile koordinasyon diğer önemli
bir husustur.
Son olarak, ülkemiz sayısal savaş konusunda uluslararası işbirliğine önem vermelidir.
Gelişmiş ülkeler ve OECD, NATO gibi organizasyonlar sayısal güvenlik ve sayısal savunma
konusunda oldukça fazla yol almışlardır. Türkiye bu tecrübelerden faydalanmalıdır. Tüm dünyayı
içine alan ve sınırları olmayan devasa bir ağ durumundaki Internet sayısal saldırıların da kaynağıdır.
Ülkemiz bilgi sistemlerine yapılacak bir sayısal saldırının kaynağı herhangi bir ülkedeki
bilgisayarlardan kaynaklanabilir. Uluslar arası işbirliğinin önemi saldırılara karşı önlem alma
noktasında önemli bir diğer husustur.
Sonuç olarak; sayısal saldırıların başarıya ulaşmış olmasının en önemli nedeninin yönetimi
sağlıklı bir şekilde yapılmayan bilgi ve iletişim teknolojileri olduğu değerlendirilmektedir. Kritik
altyapıların güvenliğinin sağlanmasında insan faktörünün ve güvenlik bilincinin en önemli
parametrelerin başında geldiği düşünülmektedir. Bilgi ve iletişim sistemlerinin güvenlik hedefleri
göz önüne alınarak yönetilmesi ve temel güvenlik önlemlerinin alınması durumunda sayısal
güvenliğin büyük oranda sağlanacağı ve sistemlerin sayısal saldırılara karşı korunaklı duruma
103
geleceği şüphesizdir. Bunun sağlanabilmesi için ülkemizde öncelikle konunun üst düzey devlet
birimlerince sahiplenilmesi, yasal altyapının oluşturulması ve sorumlulukların belirlenmesi
gerekmektedir. Ülkemizde sayısal güvenlik konusunda yarım kalan çalışmaların tamamlanması
gerekmektedir. Ayrıca, kritik altyapıların belirlenmesi, kritik altyapılara yönelik risklerin tespit
edilmesi, rol ve sorumlulukların belirlenmesi ve bu çerçevede çalışmaların başlatılması
gerekmektedir.
Kritik Altyapıların Siber Güvenliğinde 7 Farklı Yaklaşım
Kritik altyapıların siber güvenliğinin düzenlenmesi konusunda devletçi ve serbest piyasa
odaklı yaklaşımları iki uç nokta olmakla birlikte çok sayıda hibrid yaklaşımdan sözedilerbilir.
Burada toplam yedi adet kritik altyapı siber güvenlik yönetim yaklaşımından söz edeceğiz.
1.Devlet Sahipliği: Devlet herhangi bir kritik altyapısını özelleştirmez. Devlet, kritik
altyapıların sahibidir ve bu altyapıların yönetimi ile güvenliğinden sorumludur. Kuzey Kore’de
durumun bu şekilde olduğunu söylemek yanlış bir tespit olmaz.
2.Komuta Ve Kontrol: Özel sektör veya kamu sahipliğindeki kritik altyapıların siber
güvenliği ile ilgili kuralları en tepeden en yetkili devlet otoritesi mevzuat olarak belirler. Kurallara
uyulup uyulmadığını devlet en üst seviyeden izler. Kurallara uyulmaması durumunda ceza
kanunları devreye girer. Kısacası devlet, kritik altyapıların güvenliği konusunda ne yapılması
gerektiğini en yüksek perdeden ve mevzuat ile deklere eder.
3.Özerk Yapıdaki Denetleyici-Düzenleyici Kurumlar: Kurallar sektör ile ilgili teknik ve
piyasa bilgisi olan özerk yapıdaki devlet kurumları eliyle belirlenip uygulatılır ve uygulaması
kontrol edilir. Bu kurumlar özerk yapıda olduğu için siyasilerin çok sert etkisi altında değildir. Bir
üstteki modelde olduğu gibi mevzuata uyulmaması durumunda cezai sonuçlar doğacaktır.
Ülkemizdeki finans ve elektronik haberleşme sektörleri buna örnek olarak verilebilir.
4.Özerk Yapıdaki Denetleyici-Düzenleyici Kurumlar Ve Sektörel Müzakere: Bu yapıda
kuralı koyan ve sektörü izleyen aktör değişmez. Ancak burada, kural belirlemeden önce özel sektör
ile müzakere ve hatta özel sektörü ikna etme, ortak bir noktada buluşma çabaları vardır. Bu
modelde, sektör-özel değil belki kurum-özel yasalar da çıkartılabilir. Ülkemizdeki elektrik ve
doğalgaz piyasaları lisans yönetmeliklerinde 26 Aralık 2014 tarihinde yapılan değişiklik ile ISO
27001 zorunluluğu getirilmiştir. Ancak bu değişiklik öncesinde, Enerji Bakanlığı ve EPDK, enerji
sektöründe önde gelen işletmecileri çağırmış ve bu özel sektör/kamu kurumlarının görüşlerini
almıştır. Benzer bir yaklaşım, finans ve elektronik haberleşme vb sektörlerde de uygulanabilir.
5.Zorlanmış (Enforced) Öz-Düzenleme (Self-Regulation) Yapan Sektörler: Bu modelde,
mevzuat eksikliğini denetleyici/düzenleyici kurum tespit eder veya üst devlet otoritesi düzenleyici
kuruma bildirir. Mevzuatın hazırlanması ve düzenlemesi sektöre/kuruma bırakılır. Bu modelde,
devlet emreden değil; kolaylaştırandır. Devletin belli bir onaylama ve gözetim rolü vardır. Sektörler
kendi içinde bir miktar bağımsızlık verilmiştir.
6.Gönüllülük Esaslı Öz-Düzenleme Yapan Sektörler: Devletin herhangi bir katılımı
olmaksızın sektörel güvenlik standartları özel sektör tarafından geliştirilir ve uygulanır. Bu
modelde, sektörel birlik ve örgütler üyelerinin sektörel iyi pratiklere/standartlara uymalarını şart
104
koşabilir. Bu modelde devletin katılımı da olabilir ama çok düşük seviyededir. Devlet, teşvik
mekanizmalarını işletebilir.
7.Piyasa Yaklaşımı: Piyasanın kendi dinamikleri içerisinde belli bir güvenlik seviyesine
gelmesi beklenir. Devletin hiçbir zorlayıcılığı yoktur. Bu modelde örneğin, hizmet alan vatandaşlar
daha güvenilir ve siber ataklara karşı daha korumalı bir elektrik hizmeti almayı ister ve bu hizmet
için daha fazla ödeme yapmaya da isteklidir. Bu durumda, kar elde edeceğini veya en azından zarar
etmeyeceğini düşünen işletmeci önlemler alabilir. Bu gibi hizmetler işletmeciler tarafından bir
reklam unsuru olarak da kullanılabilir. Bu noktada bir rekabet de oluşabilir. Bu modelde devletin
rolü, istikrarlı bir yasal çerçeveyi piyasaya sunmak olabilir.
Tablodaki ilk üç sektöre uygun olarak bir yaklaşım tanımlaması yapılabilmektedir. Bununla
birlikte, son üç sektörde eğer özel sektör ağırlığı olsaydı 6 veya 7 numaralı yaklaşımın
benimsendiği söylenebilirdi. Ancak bu sektörlerde kamu kurumu işletmecilerin çok ciddi bir ağırlığı
olduğu için piyasa yaklaşımının benimsendiğinden bahsedilemez. Bu sektörlere, 1 numaralı
yaklaşım (devlet sahipliği) uygun düşebilir. Ancak özet tablodan da görüleceği üzere devletin kendi
sorumluluğunda olduğu kritik altyapılar için ciddi bir siber güvenlik yönetimi yaptığı da
söylenemez.
Operasyonel Teknolojilerin (OT) Güvenliği
2015 yılının son günlerinde siber güvenliği manşetlere taşıyan DDoS saldırılarının ilk
dalgası Türkiye DNS’lerini, ikinci dalgası ise kamu kurumlarını ve büyük bankaları hedef aldı.
Bizleri en çok endişelendirmesi gereken husus ise bundan sonraki dalgalar. Amaç ülkenin kritik
altyapılarını çalışmaz hale getirmek ise bir sonraki adımda hedef enerji, su ve ulaşım gibi sektörler
olacaktır. Ve maalesef bazı istisnalar dışında bu sektörlerin siber güvenlik alanındaki farkındalığı ve
yatırımları finans ve telekomünikasyon sektörlerine göre çok daha zayıf seviyede.
Bu zayıflığın en temel sebeplerinden birisi ise yukarıda bahsedilen sektörlerin son birkaç
seneye kadar siber güvenlik denildiği zaman sadece kurum bilgi teknolojilerine (BT) odaklanması.
Elektrik üretimi yapan bir santral ve bu santralin bağlı bulunduğu şirket merkezini düşünün. Sizce
şirket merkezinin bilgisayarlarının çalışmaması ve şirketin müşteri ve çalışanlarının bilgilerinin ifşa
105
olması mı, santralin elektrik üretiminin durması mı daha kritiktir? Ya da bir havayolu şirketinin
yolcularının kimlik ve kredi kartı bilgilerinin internet üzerinde yayınlanması mı, bu havayolunun
uçaklarının uzaktan kontrol edilebilmesi mi kulağa daha korkutucu geliyor?
Endüstriyel süreçleri kontrol eden donanım ve yazılımları operasyonel teknolojiler (OT)
olarak tanımlayabiliriz. Geçmişte özel tasarım donanımların ve gömülü yazılımların ağırlıklı olduğu
bu alanda artık çoğu kritik sistem Unix, Linux ve hatta Windows temelli işletim sistemleri
barındırıyor. Ve uzun yıllardır bu sistemlerin izole olmasından kaynaklanan sahte bir güven havası
yaratılmış durumda. Bu sebepten ötürü OT sistemleri BT sistemlerine göre güvenlik açısından çok
geride ve arayı kapatmaları için çok da zamanları kalmadı. OT sistemlerine yönelik saldırılarda
milat olarak kabul edilen Stuxnet zararlı yazılımı sonrasında Pandora’nın kutusu açıldı ve kapatmak
mümkün değil.
Peki, siber güvenlik alanında yatırım yapmak ya da en azından en temel açıklarını kapatmak
isteyen OT sistemlerine sahip kurumlar hangi noktalara odaklanmalı? Aşağıdaki on maddeyi
değerlendirmek güzel bir başlangıç olabilir:
1- OT sistemlerine kendi ağları dışından yapılan tüm erişimler denetlenmeli.
2- Uzaktan bağlanılması gereken OT sistemlerine yapılacak bu bağlantılar için yeterli
güvenlik ve kontrol mekanizmaları kurulmalı.
3- Güvenlik güncellemeleri sürecine muhakkak OT sistemleri de dahil edilmeli.
4- Hem sistem, hem de kullanıcı parolaları gözden geçirilip en iyi uygulamalar dahilinde
yönetilmeli.
5- BT ve OT sistemleri arasında, kuralları özenle belirlenmiş güvenlik duvarları
konumlandırılmalı.
6- OT sistemleri BT sistemlerine bağımlı olmamalı, iki ağ arasında muhakkak bir geçiş
bölgesi (demilitarised zone – DMZ) bulunmalı.
7- BT ağına OT ağından yapılan bağlantılar da denetlenmeli.
8- OT ağları kendi içlerinde kritiklik seviyesine göre bölümlere ayrılmalı.
9- OT ağlarından Internet’e bağlantı yapılmamalı, yapılıyorsa da izlenmeli.
10- Kablosuz OT ağlarında kuvvetli şifreleme ve kimlik doğrulama sistemleri kullanılmalı.
Bu on maddeden herhangi birisinin atlanması kurumlara ve hizmet verdikleri müşterilerine,
hatta ülkelere bile zarar verilmesine zemin hazırlayabilir. Hal böyleyken kurumların daha güvenli
hale gelmesi için iyileştirmelere nereden başlayacakları da önemli bir soru.
İlk adım bir bilgi güvenliği lideri atanması (CISO) ve bu liderin kurumsal organizasyon
içinde mümkün olan en üst seviyeye raporlaması olmalı. Geçtiğimiz aylarda yayınlanan Küresel
Bilgi Güvenliği Araştırması’na katılan kurumların yarısından fazlasında bir CISO olması ve bu
CISO’ların da yarısından fazlasının direkt olarak CEO ya da yönetim kuruluna bağlı olarak
çalışması bu konuda oldukça iyi bir gösterge.
Daha sonrasında da CISO’nun önderliğinde, kurum stratejileri ile örtüşen bir siber güvenlik
stratejisi oluşturulması ve bu strateji çerçevesinde yukarıda bahsedilenler başta olmak üzere
106
iyileştirmeler yapılması gerekiyor. Yatırımları planlarken de Bruce Schneier’ın meşhur cümlesi asla
unutulmamalı: “Güvenlik bir süreçtir, ürün değil.”
Hedef, Milli Yazılım ve Donanım
Gece gündüz demeden, elimizden neredeyse bir saniye bile düşürmediğimiz telefona akıllı
olma ünvanını veren programların son zamanlarda hayatımızdaki yeri neredeyse oksijen kadar
değer kazanmaktaydı. Bu değeri telefonumuza kazandıran tek şey mobil cihazımıza çeşitli
kaynaklardan yüklediğimiz programlar. Son kullanıcı olarak bizler, arka planda bu programların
nasıl çalıştığını bilmememize rağmen, bu yetenekli programlar sayesinde bir metrobüs
yolculuğunda akıllı mobil cihazlarımızda ki yazılımlar sayesinde bütün dünya ile iletişime geçebilir,
sevdiklerimizle anlık görüşmeler ve paylaşımlar yapabiliriz. Programlama dillerini, insan dilini
bilgisayar diline çeviren iletişim kanalı olarak da tanımlayabiliriz.
Farklı programlama dilleri, bilgisayar uygulamaları, yazılımları ve web uygulamaları
oluşturmayı mümkün kılar. Programlama dilleri birbirlerinden farklı özelliklere sahip olmakla
birlikte, farklı durumlar icin farklı programlama dillerinin kullanılması daha uygundur. Her bir
programlama dilinin kendine has özellikleri vardir. Bazıları web oluşturma ve geliştirmede, bazıları
evde kullandığımız masaüstü ve dizüstü bilgisayarlar icin kullanılan yazılımlardır.
Teknolojik yazılımlar, günlük hayatımızın olmazsa olmazı haline gelmiş, ülkeler
ekonomisine de yön vermekle beraber, devletlerin toprak bütünlüklerini korumasına yarayan yeni
çağ güvenlik anlayışı olmuştur. Ülkelerin artık bu yazılımlarla donatılmış yeni nesil silahlar ürettiği
günümüzde, dışarıya bağımlı olmadan ülke olarak kendi milli yazılımlarımız ile donatılmış
silahlarımızın yapılmasının değeride son zamanlarda daha iyi anlaşılmaktadır.
Milli yazılımların, ne kadar değerli olduğunu anlatan en güzel örneklerden biri İngiltere ile
Arjantin arasında geçen, Arjantin’in güneydoğu kıyılarında, Güney Atlantikte yer alan Falkland
Adaları savaşlarıdır. Fransızlardan satın aldığı Exocet füzeleri ile Falkland Savaşında İngilizlerin
beş gemisini devre dışı bırakmıştı. Bunun üzerine Arjantin’e karşı üstünlük sağlamak için
Fransızlardan füzelerin kaynak kodunu satın alan İngilizler de, füzenin güdüm yazılımını çözüp
hedefe giden füzeleri engelemişti. Kendisine ait yazılımı olmayan Arjantin’in parası ile satın aldığı
yazılımın bir önemi kalmamıştı.
Saddam Hüseyin’in körfez savaşı sırasında başarısız olma nedenlerinden biride, İsrail’i
hedef alan Scud füzelerinin hedeflerinden farklı yerlere düşmesiydi. Füze programını geliştirmek
için anlaştığı Avrupa menşeli şirketlerin baskı altına alınarak kaynak kodlarını ABD ve İsrail’e
vermiş olmasıydı. Füze de kullanılan yazılımların hiç biri Irak Devletinin kendi yazılımları değildi.
Özellikle ABD’den alınan F16 uçaklarının yazılımında dost ve düşman tanımlaması ABD
yetkililerinin sınırlandırması doğrultusunda hazırlanmıştı. Devletimizin ABD, İngiltere, Çin ve
İsrail gibi ülkelerden satın aldığı savunma sanayi ürünlerin birçoğunun kaynak kodlarının üretici
olan şirketlerinin elinde olmasından dolayı istenilen şekliyle çalıştırmakta başarı sağlanamamıştı.
Siber güvenlikte "milli çözümler" olmazsa olmaz, koruyamadığınız bilgi, yönetemediğiniz
ekonomi size ait değildir. Yapılan bir araştırmada, Türkiye'deki güvenlik çözümü diye satılan
programların yaklaşık yüzde 97'sinin dış kaynaklı. Siber mücadele ile ilgili yazılım ve donanımları
parasını verip alıyorsunuz ama bunun size hizmet edip etmediğini bilmiyorsunuz çözüm diye alınan
107
programların birilerine kapı olabilir. Aldığınız çözüme hakim değilseniz, belki de kendimiz bir
“tehdit kapısı” açabiliriz. Bunun parametrelerini doğru ayarlayamadığımız, ince ayarını
yapmadığımız siber güvenlik çözümleri aslında birilerine kapı oluşturuyor. Kamuda ve özel
sektörde satın alınan siber güvenlik parametreleri, fabrika ayarlarında bırakıldığı zaman hackerlerin
ya da kötü niyetli kişilerin hedefi oluyor. Dolayısıyla milli çözümler burada olmazsa olmazdır.
Siber güvenlikte temel kontrollerin ve ana yönetim sisteminin yüzde yüz milli olması
gerekmektedir. Oradaki kilidin şifresi bizde olmalı, kilidin ne zaman ve hangi şartlarda açılacağına
bizim karar vermeniz gerekir.
Milli olan yazılımlarla donatılmış silah sanayisinde dengeler bizim lehimize değişmeye
başladı. Hedefe gitme ve süper güç olma iddasında bulunan bir ülkenin, ticari ekonomik altyasını,
en önemliside, güvenlik sanayisinin kendi milli yazılımları ile donatılmış olması gereksinimi ve
memleketin akıl gücünün ve alt yapısının ne kadar önemli olduğunu son dönemlerde daha çok
görmekteyiz.
Örneğin; Çin hükümeti devreye aldığı yeni regülasyonlar sayesinde kritik kurumlara satılan
yabancı ürünlerin kaynak kodlarını talep ediyor. Örneğin bir Çin bankasına satışı yapılan yabancı
yazılımın kaynak kodu devlete teslim edilecek ve bu kod üzerinde olabilecek arka kapılara karşı
kaynak kod analizi gerçekleştirilecek. Çin hükümetinin yayınladığı doküman yaklaşık 22 sayfadan
oluyor. Yeni regülasyonlar 2014 yılı sonunda kabul edilerek yürürlüğe girdi. Burada amaç kritik
önemdeki sektörlerde Çin’in siber güvenlik altyapısını güçlendirmek. Diğer yandan bu yeni
kurallar bütünü ABD’li firmaları büyük fırsatlar içeren Çin pazarına girememek konusunda
endişelendiriyor. ABD Ticaret Odası yaptığı açıklamada Çin’li yetkilileri diyaloga çağırarak bu
durumun Çin’in büyük oranda milli ürünleri kullanması ile sonuçlanacağını belirtti.
Tek çekince bu değil. Diğer bir çekince ise satışı yapılacak donanım/yazılımların kaynak
kodları teslim edildikten sonra Çin’in siber savaş komutanlığı olan PLA’in bunları inceleyerek zero
day güvenlik açıklarını tespit etme ihtimali. Bu durumda ABD ürünlerinin kaynak kodlarını
inceleyen Çin, ABD’de bu ürünlerin kullanıldığı ağlara izinsiz erişebilir. ABD’li üreticiler ise
teslim edecekleri kaynak kodlarının Çin’li teknoloji firmalarına sızdırılabileceği için endişeli
görünüyor. ABD ile aynı ürünlerin ucuz versiyonlarını üretmekle ünlü oldukları için ABD’li
üreticiler teknolojilerinin kopyalanmasını istemiyorlar. Çin’in hedefi 2019 yılına gelindiğinde ulusal
güvenliği ilgilendirebilecek altyapıların %75’inde Çin menşeili ürünler kullanmak.
Rusya’da Çin’in benzeri bir planı devreye sokarak 1 Ocak 2015 itibarı ile yabancı ürünlerin
kritik altyapılarda kullanılmasının önüne geçme kararı aldı. Hatta bu adımı ileri götürerek bazı
kritik toplantılarda hazırlanan tutanakların bilgisayar yerine mekanik daktilolar ile kağıda
dökülmesi kararı almıştı. Türkiye ise ulusal güvenlik açısından ABD, Fransa, İsrail ve Çin’li
üreticilere teslim gözüküyor. En kritik altyapılarda bile ana bileşenler ağırlıklı olarak bu dört
ülkedeki üreticiler tarafından hazırlanıyor.
Ülke olarak 1923'teki rejim değişikliğinden beri farklı iktisadi modeller denedik ve
denemeye devam ediyoruz. Bugün geldiğimiz noktada dünyanın en büyük 18., Avrupa’da ise 5.
ekonomisi olarak Avrupa’da ve dünyada söz sahibi bir ülke durumundayız. Özellikle 2002'den
sonra yapılan iktisadi reformlar ve insani gelişmiş endeksindeki yükselme, geç de olsa Türkiye'yi
batıdaki anlamıyla girişimcilikle tanıştırdı. Bugün ihracatımızın temelini giyim, tekstil ve
madencilik oluştururken, maalesef bilişim ihracatı yok denecek kadar az.
108
2010 verilerine göre yüzde 48.4'ü hizmet sektöründe çalışan iş gücü ile Türkiye'nin yazılım
endüstrisinde atacağı büyük adımlar, bilişim ihracatı yapamasa bile sadece kendi kendine yeten bir
endüstri oluşturabilir. Bu da, hizmet olarak alınan bilişim ithalatını kısacağı gibi, güvenlik ve dış
müdahale gibi tehlikeleri de minimize edecektir. Son 13 yılda girişimcilik alanında atılan dev
adımlar, kalifiye mühendis yetiştiren devlet ve vakıf üniversiteleri, KOSGEB gibi KOBİ'leri
destekleyen kurumların varlığı, Türkiye'nin ''hizmet olarak yazılım'' (SaaS) ihracatı yaparak bir
kalkınma modeli oluşturabileceği gerçeğini ortaya koyuyor.
SaaS, çoğunlukla bir internet sunucusunda barındırılan, periyodik abonelik modeli bir
hizmet olarak ''kiralanan'' yazılım lisanslama modeli. 2017 tahminlerine göre dünyada SaaS
pazarının büyüklüğü, Türkiye'nin 2017 milli gelir projeksiyonun yüzde 10'undan fazla olacak. Bu
pazarda kolektif iktisadi değer üretildiğinden, hiçbir şekilde dışa bağımlılık söz konusu olmadığı
gibi, hiçbir dış gücün ya da lobinin müdahalesi de söz konusu olamıyor. Toplam SaaS kullanan
kullanıcı sayısı 1 milyara yakın. Bugün batılı manipülasyoncuların en çok korktuğu yatırımlar
elbette asla bağlı olduğu ülke dışında yaptırıma tabi tutulamayan dijital şirketler.
Kurumsal hizmet veren SaaS pazarında 2017'de CRM yazılımlarının 37 milyar dolar, ERP
yazılımlarının 35 milyar dolar, BI yazılımlarının 19 milyar dolar, SCM yazılımlarının 14 milyar
dolar, CSSS yazılımlarının 6 milyar dolar ve mikro servislerin 19 milyar dolarlık hacim
oluşturacağı tahmin ediyor. Toplam pazar büyüklüğü 130 milyar doları aşıyor.
109
Dünyadaki bu şirketlerin çoğu ABD, İngiltere, Almanya, İsrail ve Kanada merkezli. Bugün
Ortadoğu, Kuzey Afrika ve Çin hariç Uzakdoğu ülkeleri ile Rusya hariç Bağımsız Devletler
Topluluğu bu ülkelerin yazılımlarını kullanıyor. Türkiye gibi güçlü bir alternatif, bu pazarda kısa
vadede tercih sebebi olabilir. Orta ve uzun vadede Türk yazılımları, batılı muadilleriyle rekabet
edebilir. Batı Avrupa ve ABD dışında kurumsal çözümlere ihtiyaç duyan ülkelere daha güvenilir ve
daha dinamik yazılımları SaaS modeli ile sunabiliriz. Türkiye'nin genç mühendisleri yazılım
sektörünün liderleri arasına ülkemizi katabilir. Türkiye'nin yazılım endüstrisinde bir dev haline
gelmesi hayal değil. Devletin sermaye gücü ve yasal güvencesi ile özel sektördeki kalifiye
mühendisler milyonlarca lisans kiralaması ile ülkemizde milyarlarca dolarlık değer oluşturabilir.
Dünyada en çok gelir elde eden mikro çözümler sunan ilk 10 şirketin muadili yazılımlar
birer Kamu İktisadi Teşebbüsü olarak kurulan şirketler bünyesinde geliştirilebilir ve özel bir KHK
ile yasal güvence altına alınarak dünyada kendini kanıtlamış CEO'lar tarafından yönetilebilir.
Tamamı Milli olarak geliştirilen yazılımlar Türkiye'nin en iyi performans pazarlama ajanslarına
pazarlamaları yapılmak üzere reklam bütçeleri ile birlikte ihale / konkur usulü teslim edilebilir ve
muadil firmanın hedeflemelerine göre belirlenen ülke ve bölgelerde pazarlaması yapılan ürün
hedeflenen büyümeyi gerçekleştirdiğinde özelleştirilebilir.
110
Instagram, 2010 yılında 500 bin USD öz sermaye ile kuruldu. Mart 2011 ayında dış
yatırımla 7 milyon USD sermaye artırımı yaptı, 2012 Nisan ayında Facebook Inc.'e 1 milyar
USD'ye satıldı.
Bir SaaS olmasa da, satışı yapılan MYP sisteminde geliştirilmesi planlanan uygulamalara
muadil olabilecek şirketlerinden en pahalı kuruluş sermayesi Instagram'a aittir. Örneğin Dropbox 15
bin dolar, Cloudera 10 bin dolar sermaye ile kurulmuş; bugünkü değerleri milyar doları aşmış
şirketlerdir. Bu da demektir ki, örneğin, Türkiye Cumhuriyeti Devleti, bu projeye aktaracağı 1
milyar doları, 100 bin dolar sermaye ile kuracağı 1000 şirketten sadece 1 şirketi 18 ay içinde benzer
bir değerleme ile satarak kompanse edebilir.
Türkiye'nin yazılım endüstrisinde bir dev haline gelmesi hayal değil. Devletin sermaye gücü
ve yasal güvencesi ile özel sektördeki kalifiye mühendisler bu projeyi hayata geçirerek milyonlarca
lisans kiralaması ile ülkemizde milyarlarca dolarlık değer oluşturabilir.
Milli birlik ve dayanışma milli çıkarları etrafında birleştiren, ferdin kendisinde ve mensup
olduğu millette öz güvenin oluşmasını sağlayan bir duygudur. Milli birlik ve beraberliğin
sağlanmasında milletin varlığından kaynaklanan milli güç unsurları önemli derecede etkilidir. Bu
unsurlar, sosyo – kültürel, siyasi, askeri, ekonomik ve teknolojik güç olarak sıralanabilir. Atatürk de
bunun bilincinde olarak bir milletin başarısının, milli güçlerin aynı hedefe yönlendirilmesiyle
mümkün olduğunu, elde ettiğimiz başarının, milletin güç birliğinden, ortak hareket etmesinden ileri
geldiğini söylemiştir. Günümüzde devletlerin çağdaşlık düzeyleri bilimsel ve teknolojik alandaki
gelişmelerine bağlıdır. Bir ülkenin bilimsel ve teknolojik gücünün milli güce katkı sağlaması için
bilimsel ve teknolojik araştırmaları desteklemesi ve bu alanda yeterli elemana sahip olması gerekir.
Bilimsel ve teknolojik alanda çağın gereklerine ayak uyduramayan bir devletin uluslararası siyasette
etkili olması beklenemez.
Siber güvenlikte, günümüzde milli güvenliğin bir parçası hale gelmiştir. Siber alanının
korunması, fiziksel ortamda sınırlarımızı, karasularımızı ve hava sahamızı korumayla eş değer.
Nesnelerin İnterneti uygulamalarının yaygınlaşmasıyla, 10 sene içinde evimizdeki birçok cihaz
İnternete bağlanacak ve tehditlere açık hale gelecek. Bu durumda bugün kullanılanlardan farklı
111
siber güvenlik çözümlerine ihtiyaç olacaktır. Siber güvenlik, milli güvenliğin olduğu kadar kişisel
güvenliğin de bir parçası haline gelmiştir.
Milli bir anti virüse sahip olmak için tamamlanması gereken aşamaları içeren kapsamlı bir
altyapı projesi olan Savungan’da ilk aşama olan "Siber Savunma Merkezi”nin kurulması
tamamlandı. Türkiye'de siber güvenliğin yerli yazılımlarla sağlanması konusunda önemli çalışmalar
yapılıyor. TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi (BİLGEM),
özel sektör firmaları ile bilişim ve bilgi güvenliği konusunda yeni teknolojilere ve projelere imza
atmak için iş birliği geliştiriyor. İş birliği kapsamında, zararlı yazımlara karşı mücadele edilecek,
Türkiye'de yaygın olarak kullanılması hedeflenen yeni siber güvenlik çözümleri geliştirilecek. İş
birliği, yerli kaynaklarla idame edilen bir yapıyla milli tehdit istihbaratı elde etmeye, milli bir Siber
Savunma Merkezi yapılanması sonucunda tamamen milli kaynaklar ile idame edilen yerli bir
AntiVirüs'ün geliştirilmesine olanak tanımaktadır.
Proje, zararlı yazılımla mücadele yetkinliğinin yükseltilmesi için zararlı yazılım tespit ve
analiz kapasitesinin arttırılması amacıyla tamamen yerli kaynaklar ile idame edilen bir yapı ile milli
tehdit istihbaratı elde etmek, bu istihbaratı kıymetlendirecek milli bir siber savunma merkezine
sahip olmak ve nihayetinde tamamen milli kaynaklar ile idame edilen yerli bir AntiVirüs'e sahip
olmaktır. Milli bir anti virüse sahip olmak için tamamlanması gereken ilk aşama olan "Siber
Savunma Merkezi"nin kurulması Android ve Windows işletim sistemleri için tamamlandı. İkinci
aşama olan teknolojilerin geliştirilmesi kısmının da, mobil işletim sistemi olan Android platformu
için başlatıldığını ve başarılı bir şekilde devam ettirilmektedir.
2015 yılı içinde dünya genelinde yapılan siber güvenlik harcamaları yaklaşık olarak 76,9
milyar $. Bu harcamaların yıllık artış hızı ise yüzde 8,2. Siber güvenlikte, geleneksel tedbirlerin
yanında, bulutun ve mobil ortamın güvenliğini sağlayacak çözümlere, tehditleri uygulama
seviyesinde tespit edip önleyecek yeni nesil güvenlik duvarlarına ve büyük veri teknolojileri
destekli veri analitiği yöntemlerini kullanan karar destek uygulamalarına ihtiyaç var. Bu tür
yenilikçi çözümlerin önümüzdeki üç yıl içinde 15-20 milyar $’lık bir pazar payı elde edeceği
tahmin ediliyor.
Tüm dünyada en büyük sorun siber güvenlik alanında çalışacak nitelikli insan gücü bulma
konusunda yaşanmaktadır. ABD’de siber güvenlik konusunda açık kadro sayısının 209.000’i
bulduğu ve bu açığın 2018’e kadar da yüzde 54 oranında artacağını öngörülmektedir. Ülkemizde bu
alanda çalışacak bilgisayar bilimcileri ve mühendisleri yanında, veri bilimcilerine de büyük ihtiyaç
bulunmaktadır. Siber güvenlik alanında Türkiye yerli ürün geliştirme konusunda oldukça geridedir.
Bu nedenle rekabetten ziyade koordineli işbirliği yapılarak açığın kapatılması gerekmektedir.
“Bilgi” En Büyük “Güç” Haline Geldi
Küreselleşme süreciyle birlikte bilginin etkin kullanımı, bilgi teknolojilerine stratejik bir
önem kazandırdı. Bilgi teknolojileri artık hayatın her alanına girdi; politikadan savaş yöntemlerine,
işlerin organizasyonlarına kadar herşeyi yapısal olarak değiştirdi.
Bilgi teknolojileri insanlığa pekçok önemli imkan ve kolaylık sağladı. Bilgi teknolojileri
sayesinde hertürlü veri ve bilgi, üretildiği anda kullanıcısına elektronik hafıza transferiyle
sunulabilir hale geldi. Böylece, herhangi bir müdahaleye gerek kalmadan, hertürlü faaliyet tamamen
112
elektronik ortamda takip edilebilir oldu. Bilgi teknolojileri, bilgi işleme hafızalarını olağanüstü
geniş kapasitelere ulaştırdı. Bilgi teknolojileri karar verme ve problem çözme konularında, mevcut
olabilecek bütün olasılık ve yöntemleri “ulaşılabilir” hale getirdi. Hertürlü bilgi, bilgi teknolojileri
sayesinde çok düşük maliyetle başka kullanıcıların hizmetine sunulabilir ve elektronik ortamda
kopyalanabilir duruma geldi. Bilgi teknolojileri, başka teknolojilerde görülmedik bir biçimde
günlük hayatı ve toplumun yapısını bir devrim niteliğinde etkilemeye başladı.
Günümüz dünyasında artık en önemli “güç” haline gelen bilgiye sahip olan ülkeler aynı
zamanda “karar veren” pozisyonda bulunmaktadır.
Bilgi teknolojileri, milli savunma konusunda da çok önemli bir rol oynamaktadır.
Günümüzde yapılan savaşlarda, ileri teknoloji ürünü elektronik harp sistemlerinin ön plana çıktığı
görülmektedir. Ancak, dünyanın en mükemmel elektronik harp sistemlerini alın, eğer milli bir
yazılım kabiliyetine sahip değilseniz, hiçbirşey yapamazsınız. Özellikle milli yazılım ve donanım
konusunda ülkemizin çok hassas olması lazım… Yurtdışından alınan harp sistemlerine güvenerek
savunma politikası belirlemek, her zaman yarı yolda kalmayı da göze almak anlamına geliyor. Dış
kaynaklı yazılıma dayalı sistemin asla güvenilir olmadığı açık… Bilgi teknolojilerinin mutlaka milli
olması, yani bizim ülkemizde bizim insanımız tarafından üretilmesi gerekiyor.
Türkiye’nin küreselleşme sürecinde milli bir savunma endüstrisine çok acil ihtiyacı olduğu
görülmektedir. Türkiye, küreselleşme sürecinde bilgi teknolojilerinin ulaştığı noktayı görerek ona
göre yeniden bir yapılanma içine girmelidir. Türkiye kendi milli savunma endüstrisini kurmalı,
elektronik harp sistemlerinin hem yazılım hem de donanımlarını kendisi üretmelidir.
Türkiye’nin elektronik harp sistemleri kadar önemli olan bir diğer konusu da ulusal güvenlik
politikasının belirlenmesidir. Küreselleşme sürecinde tehdit unsurlarının yapısı değişmiş,
tehlikelerin boyutu farklılaşmıştır. Bunlar da dikkate alınarak Türkiye’nin ulusal güvenlik
politikasının belirlenmesinde ilgili kurum ve kuruluşların daha geniş katılımı sağlanmalı ve tek
elden yürütülmesine özen gösterilmelidir.
Türkiye dışa bağımlı bir savunma sanayinin sağlıklı olmayacağı gerçeğini görerek, milli
savunma endüstrisinin kurulması konusunda toplumsal bir seferberlik başlatmalıdır. Milli Savunma
endüstrisine sahip olmayan hiçbir ülkenin dünya barışına yeterli ölçüde katkıda bulunamayacağı
bilinmelidir.
Yerli Teknolojiler
Göktürk-2 Milli Keşif Uydusu
Göktürk-2, TÜBİTAK Uzay ve TAI işbirliği ile görev bilgisayarı ve görev yazılımı
tamamen yerli olarak üretilen Türkiye'nin yüksek çözünürlükte görüntü alabilen ilk uydusudur.
Proje, uydu tasarım, üretim, entegrasyon, test ve yazılım konularında; tesis, teçhizat ve personel alt
yapısının oluşturulması ve sonrasındaki uydu ihtiyaçlarının milli imkanlar ile karşılanması
yolundaki Türkiye’nin ilk adımıdır.
113
8 Aralık 2012 tarihinde Çin’den fırlatılan uydunun yapımına 2007 yılında başlanmıştır.
Donanım kısmının %80’i, yazılım kısmının ise tamamen Türk mühendisleri tarafından yapılan
Göktürk-2 uydusu, Çin’in kendi üretimi olan Uzun Yürüyüş-2D taşıyıcı roketi ile uzaya
gönderilmiştir. Toplam 140 milyon liralık bütçeye sahip proje, fırlatıldıktan 12 dakika sonra saat
18.25’te 685 kilometre yükseklikteki yörüngesine yerleşmiş ve ilk sinyali saat 19.39’da Norveç
Trömso’dan alındığı bildirilmiştir. Oldukça gelişmiş özelliklere sahip olan Göktürk-2, sahip olduğu
çözünürlük kalitesi ile Türkiye’nin ilk yüksek çözünürlüklü gözlem uydusudur. 409 kg ağırlığa
sahip uydu siyah-beyaz 2,5 metre ve renkli 5 metre çözünürlüğe sahiptir. Dünya etrafındaki bir
turunu yaklaşık 98 dakikada tamamlamaktadır.
Göktürk-2 Uydusunun teknik özellikleri;
114
Spot, geniş alan, şerit ve stereo görüntüleme özelliklerine sahip olan Göktürk-2 uydusu,
ülkemizin savunma, çevre ve şehircilik, tarım ve ormancılık gibi alanlarında uydu görüntüsü
ihtiyaçlarını karşılaması planlanmaktadır. Göktürk-2 Projesi kapsamında; uzay ve uydu sistemlerine
yönelik teknoloji, uzman insan gücü ve alt yapı geliştirilmesi, Türk Silahlı Kuvvetleri’nin uydu
görüntü ihtiyaçları ile diğer kamu kurum ve kuruluşların gözlem ve araştırma ihtiyaçlarının milli
imkan ve yeteneklerle karşılanması hedeflenmektedir. Göktürk-2 uydusu, test ve deneme
aşamalarının tamamlanmasından sonra, kontrolü Türk Hava Kuvvetleri Komutanlığı’na
devredilecektir.
Yerli Siber Güvenlik Yazılımı 20 Ülkeye İhraç Oldu
Türkiye'de son yıllarda etkinlikleri yükselerek süren ve aralarında kamu kesimlerinin de
bulunduğu birçok kuruluşu sıkıntıya sokan siber saldırılar, bu alanda faaliyet gösteren şirketlerin
önemini de giderek arttırdı.
Dünyada özellikle ABD, İngiltere ve İsrailli firmaların ön plana çıktığı sektöre yatırım
yapan bazı Türk firmaları da piyasada isimlerini yavaş yavaş duyurmaya başladı. Özellikle
teknokentlerin yaygınlaşması ve buralarda Ar-Ge çalışmaları yapan firmalara yönelik teşvikler,
siber güvenlik alanında yerli firmaların ortaya çıkmasında etkili oldu. Türkiye'de siber güvenlik
konusundaki sektör açığını gören iki genç girişimci, bilgi üretip satmak yerine ürün üretmeye
odaklanarak uluslararası firmalara rakip oldu. Türkiye'nin ilk ticari ulusal güvenlik duvarı da bu
süreçte ortaya çıktı. 20 ülkeye ihraç edildi. Hedefte Doğu Avrupa'nın yanı sıra Batı Avrupa ve
Amerika pazarları bulunmakta. Siber güvenlik alanındaki küresel rakipler çok büyük firmalar bu
yüzden sektörde yapılacak bir yatırımın 10-15 yıl devam etmesi gerekmekte. Şu anda Türkiye'de
pazarın yaklaşık yüzde 5'ine sahip. Kalan yüzde 95'i ABD ve İsrailli firmalar. 20 ülkedeki
operasyonu biraz daha genişlettiğimizde 'Türkiye de artık bir güvenlik üreticisi’ diye anılacaktır.
Ülke Markası” İnşasında Kamu Diplomasisinin Stratejik Rolü
Soğuk savaşın sona ermesi, duvarların yıkılması, küreselleşme sürecinin başlaması dünyada
yeni bir paradigmanın kurulmasına yol açtı. Soğuk savaş dönemine ait ne varsa neredeyse hepsi
anlamını yitirdi; kullanılan yol ve yöntemler artık yeni dönemde işlemez hale geldi. Yeniden inşa
edilen uluslar arası sistem, beraberinde kendi kurallarını, yöntemlerini de getirdi.
Küreselleşme süreci; uzak yerleşimleri birbirine bağladı, yerel oluşumları kilometrelerce
ötedeki olaylarla biçimlendirdi, dünya çapındaki toplumsal ilişkileri yoğunlaştırdı. Küreselleşmenin
çeşitli boyutları mevcuttur; Askeri boyutu güç veya güç tehdidi gibi dayanışma ağlarını içerirken,
sosyal boyutu insanların, kültürlerin, fikirlerin ve imajların yayılmasına işaret etmektedir. Siyasal
anlamda ise küreselleşme yasal düzenlemelerin yayılması, demokratikleşme çabaları, uluslar arası
örgütlerin öne çıkması ve sivil toplum örgütlerinin etkisinin artması şeklinde kendisini
göstermektedir
Küreselleşme sürecinde siyaset ve yönetim anlayışında meydana gelen değişikliklerle
birlikte ulus devletlerin yanı sıra devlet dışı yeni aktörler de küresel ilişkilerde etkin olmaya
başlamıştır. Devletler arası ilişkiler, ulus devlet düzleminden çıkmış, hızla uluslar arası bir düzleme
yönelmiştir. Bu yeni uluslar arası düzlemin en önemli unsurlarından biri kamuoyudur. Bu süreçte
115
kamuoylarının ikna edilmesi, gerçekçi ve doğru şekilde bilgilendirilmesi zorunlu hale gelmiştir. Dış
politika bağlamında oluşan irade artık sadece devlet temsilcilerinin iradesi olmaktan çıkmış, çok
farklı siyasal ve kültürel katmanların da iradesini yansıtır hale gelmiştir. Küreselleşme süreci uluslar
arası alanda başta ekonomi ve politik konularda karşılıklı bağımlılığı artırmış; iletişim alanındaki
hızlı gelişmeler ve sivil toplum örgütlenmelerinin artması sonucunda iç politika ile dış politika
arasındaki sınırlar da ortadan kalkmaya başlamıştır. İç politika ile dış politika arasında soğuk savaş
döneminde var olan belirgin sınırlar, hatta duvarlar, küreselleşme sürecinde adeta yıkılmış; iç
politik gelişmeler aynı zamanda dış politikanın da bir parçası haline gelmiştir. Aynı şekilde dış
politikanın yapımı da iç politikadan doğrudan etkilenmeye başlamıştır.
Yeni Uluslararası Sistem ve Diplomasideki Değişim
Yeni uluslar arası düzende diplomasi alanında da önemli değişimler yaşanmış; hükümetler
dış politika ve diplomasi alanında demokratik yasallığı ve sorumluluğu temsil etmekle birlikte,
hükümet dışı kuruluşlar, uluslar arası bölgesel kuruluşlar ve çok uluslu şirketler dış politikanın
uygulanmasında sürece dahil edilmesi gereken aktörler arasında yer almaya başlamıştır. Yeni
uluslar arası sistem çok kutuplu bir nitelik taşımaktadır. Bu durum ülkelerin birbirleriyle
ilişkilerinde askeri, sert ve realist yaklaşımların etkisini azaltırken; idealizmin, kültürel ilişkilerin,
diplomasinin ve etkileşimin önemini artırmaktadır. Bütün bu gelişmeler devletler ve ülkeler için dış
politikanın uygulanmasında toplumsal, küresel ve politik arka planların (yumuşak güçlerin) göz
önüne alınarak yürütülmesine meşruiyet kazandırmaktadır.
Diplomasi; bir hükümetin belli konulardaki görüşlerini doğrudan diğer devletlerin karar
vericilerine iletmesi sürecidir. Bu süreç devlet görevlileri tarafından görüşmeler yapılarak
yürütülmektedir. Diplomasi kavramı, bir devletin dış politikasında kullanılan çeşitli siyasal etkileme
yöntem ve tekniklerini kapsamaktadır.
Devletlerin mesajlarını kitlelere aktarmada, kitlelerle iletişim kurma sürecinde diplomasiye
önemli görevler düşmektedir. İletişim teknolojilerinin geliştiği, enformasyonun bollaştığı, haber ve
bilgi kaynaklarının çeşitlendiği günümüz dünyasında kitlelerin dikkatini çekmek, onları ikna
edebilecek mesajları aktarmak ve kendi politikalarımız doğrultusunda yönlendirmek oldukça güç
hale gelmiştir. Diplomasi olgusu, bu güç işi başardığı oranda fonksiyonel hale gelmekte, kendisine
yüklenen sorumlulukları yerine getirmektedir.
Küreselleşme sürecinde iletişim teknolojilerinde meydana gelen hızlı gelişme, diplomasiyi
de derinden etkilemiş, adeta bir paradigma değişimine neden olmuştur. Soğuk savaş döneminde
“devletten devlete” yürütülen diplomatik ilişkiler, paradigma değişimi ile birlikte “toplumdan
topluma” yürütülen bir ilişki biçimine evrilmiştir. Çünkü yeni uluslar arası sistemde medya,
kamuoyu, sivil toplum örgütleri, uluslar arası kuruluşlar gibi pek çok aktör sahneye çıkmış ve karar
alıcıları doğrudan etkilemeye başlamıştır.
Uluslar arası sistemde bir şeyi yapabilme kapasitesi ve diğerlerinin davranışlarını etkileme
yeteneği “güç” olgusuyla açıklanmaktadır. Ancak soğuk savaş dönemindeki sert güç kavramı, yeni
uluslar arası sistemde yerini ülkelerin “yumuşak güçlerine” bırakmıştır. Ülkeler artık sahip oldukları
yumuşak güç potansiyeli ile (bilim, sanat, kültür, spor, eğitim vb.) başka ülkeleri etkilemekte, onlar
için cazip bir ülke konumuna gelmekte ve bu süreçte kendi politikalarını başka ülkelere kabul
ettirmektedir. Bu sürecin temelini iletişim, etkileşim, ikna ve işbirliği oluşturmaktadır.
116
Ülkeler açısından yeni uluslar arası sistemde etkili olabilmek için kamu diplomasisi
kavramının önemini anlamak, doğru stratejilerle hayata geçirmek ve kendileri için bir “ülke
markası” inşa etmek önemli hale gelmiştir.
Kamu Diplomasisine Duyulan İhtiyaç
İletişimin, etkileşimin stratejik bir rol üstlendiği, kamuoyu olgusunun belirleyiciliğinin
arttığı yeni uluslar arası sistemde kamu diplomasisi kavramı öne çıkmaktadır. Kamu diplomasisi;
dış politikanın biçimlendirilmesi ve uygulanması için kamunun tutumlarını etkileme çabasıdır.
Kamu diplomasisi, geleneksel diplomasinin dışında kalan, hükümetlerin diğer ülkelerde kamuoyu
oluşturma çabalarını, ülkeler arasında sivil toplum örgütlerinin etkileşim içinde olmasını ve kültürel
iletişim süreçlerini kapsamaktadır. Hükümet ve sivil toplum kuruluşları, kamu diplomasisi
anlayışında, görüşlerini yabancı sivil toplum kuruluşlarına ve kamuoyuna aktarabilme imkanı
bulmaktadır. Kamu diplomasisi, hükümetlerin yabancı kamularla ülkelerinin fikirlerine, ideallerine
ve ülke çıkarlarına hizmet edecek şekilde sempati oluşturma amacıyla kurdukları iletişim sürecine
vurgu yapmaktadır. Ülkeler yabancı toplumların tutum ve davranışlarını etkileyerek aslında yabancı
hükümetlerin davranışlarını etkileme amacı taşımaktadır..
Devletlerin çıkar, fırsat, tehdit ve potansiyel tehdit merkezli değerlendirmelerine istinaden
oluşturdukları ve başka ülkelerin kamuoylarını etkileme amacıyla yürüttükleri faaliyetleri kapsayan
kamu diplomasisi, geleneksel diplomasiden farklı olarak başka ülkelerin hükümetlerini değil,
hükümet dışı aktörlerini ve kamuoylarını hedeflemektedir. Ülkeler, kamu diplomasisi vasıtasıyla
yabancı ülke vatandaşları ile kendi vatandaşları ve kurumları arasındaki diyalogu da yaygınlaştırma
imkanına sahiptir. Yabancı kamuoylarını bilgilendirmek ve etkilemek, bu etkiyi geliştirmek, yanlış
anlamaların ve kabullerin yol açtığı kargaşayı sınır ötesi iletişim ortamını şekillendirmek suretiyle
gidermek, kamu diplomasisinin amaçları arasında sayılmaktadır.
Kamu Diplomasisi ve Stratejik İletişim Yönetimi
Kamu diplomasisi, bir ülkenin imajının ve bilinirliğinin bireysel etkileşim için uygun ortam
oluşturabilecek bir güç olduğu varsayımına dayanmaktadır. Ülkeler kamu diplomasisi vasıtasıyla
gerçekleştirdikleri iletişimi mutlaka sürekli kılmalı, yabancı kamuoylarını başta dış politika konuları
olmak üzere çeşitli konularda detaylı şekilde bilgilendirmelidir. Bu bilgilendirme yapılanların
gerekçelerini de içermelidir. Kamu diplomasisinde iletişimin stratejik kullanımı önem taşımaktadır
çünkü beraberinde kamuoyunun istenilen yönde ikna edilmesini getirmektedir. Ayrıca çeşitli kamu
diplomasisi teknik ve yöntemleri ile (uluslar arası konferanslar, öğrenci değişim programları, kültür
sanat etkinlikleri, sportif faaliyetler vb.) uzun vadeli ilişkilerin kurulması, ülkelerin cazibesini
artırmakta, kalıcı işbirliklerini güçlendirmektedir.
Kamu diplomasisi faaliyetleri “devletten-halka” ve “halktan halka” iletişim olmak üzere iki
ana eksende yapılmaktadır. Devlet-halk eksenindeki faaliyetler, devletin izlediği politikaları, yaptığı
faaliyet ve açılımları resmi araç ve kanalları kullanarak kamuya yansıtmasını içermektedir. Halktan
halka doğrudan iletişim faaliyetlerinde ise sivil toplum kuruluşları, üniversiteler, araştırma
merkezleri, kanaat önderleri ve medya öne çıkmaktadır. Devlet kanalları ve resmi araçlar olmadan
gerçekleştirilen bu iletişim türü, kamu diplomasisi uygulamalarının başarılı olması açısından son
derece önemlidir. Çünkü devlet kanallarından kamuoyuna iletilen mesajlar “propaganda” şeklinde
algılanmakta ve etkisi çok sınırlı olmaktadır. Oysa devlet unsuru dışında kalan sivil mekanizmalar
tarafından aktarılan mesajlar daha dikkatle takip edilmekte ve inandırıcılığı/ikna ediciliği daha
117
yüksek olmaktadır. Bu nedenle başarılı sonuçlar alınmak isteniyorsa kamu diplomasisi faaliyetleri
devletten bağımsız mekanizmalar tarafından yürütülmelidir.
Kamu diplomasisi; çift taraflı bir iletişim ve etkileşimi amaçlamaktadır. Bu nedenle
ülkelerin kamu diplomasisi uygulamalarında öncelikle hedef kitlelerini dinlemeleri, onların
önceliklerini belirlemeleri gerekir. İkinci adım, ülkenin kendisi hakkında hedef kamuoylarını
bilgilendirmesi, paylaşımda bulunması, onları ikna edebilecek girişimlerde bulunmasıdır. Çok
boyutlu ve dinamik bir yapıya sahip olan kamu diplomasisinde konuşmak kadar dinlemek, anlatmak
kadar anlamak da büyük önem taşımaktadır. Kamu diplomasisini cazip kılan da zaten bu karşılıklı
iletişim ve etkileşime açık olma özelliğidir. Kamuoyuna tek yönlü bir bilgi aktarımı, onları
yönlendirmeye ve kendi fikrimizi empoze etmeye dayalı bir iletişim biçimi propaganda niteliği
taşıyacağı için kamuoyları tarafından tepkiyle karşılanma ihtimali yüksektir. Ancak karşılıklı
anlama ve anlatma, dinleme ve konuşma yöntemi, hedef kamuoylarını da sürece dahil etmekte,
etkili bir iletişim stratejisinin kapısını aralamaktadır.
Kamu Diplomasisi; “Kalp Kazanma Sanatı…”
Kamu diplomasisi uygulamalarından etkili sonuçlar elde edebilmek için ülkelerin izledikleri
politikaların rasyonel, ikna edici, meşru ve savunulabilir olması gereklidir. Evrensel hukuk
kurallarını ihlal eden, adaletten uzak, gayrimeşru yöntemlere dayanan bir politikayı ne savunmak,
ne de uluslar arası kamuoyuna anlatmak mümkündür. İç politika ile dış politika ayrımının ortadan
kalktığı yeni uluslar arası sistemde ülkeler öncelikle kendi sorunlarını çözmeyi öncelemeli,
ekonomiden siyasete, hukuktan sosyal konulara kadar pek çok alanda ülkesini geliştirmeyi, halkını
mutlu etmeyi amaçlamalıdır. Demokrasi, adalet, refah, insan hakları, özgürlükler ve hukuk alanında
yeterli gelişmişliği sağlayamayan ülkelerin, başka ülkelere örnek olma, başka ülkeler için cazibe
merkezi haline gelme iddiası gerçekçi değildir. Zaten bu gelişmişlik düzeyini sağlayamayan ülkeler
kamu diplomasisi uygulamaları yapsalar bile başarılı olmaları mümkün değildir.
“Kamu diplomasisi aracılığıyla ülkeler hangi amaçlarına ulaşmaktadır” diye
baktığımızda öncelikle insanların zihinlerindeki imajların güncellendiğini, insanların birbirine olan
yakınlıklarının arttığını, yanlış anlaşılmaların düzeltildiğini görüyoruz. Böylece olumlu algılar
çoğalmakta, insanlar arasında bağlantılar kurulmakta; eğitim, değişim programları, bilimsel
işbirlikleri, turizm gibi yollarla insanların birbirini tanıması ve anlamasının yolu açılmaktadır.
İnsanlar birbirini ne kadar çok tanır ve anlarsa, bunun sonucu olarak da ekonomik, sosyal ve
kültürel işbirliklerinin kapısı aralanmakta, kalpler kazanılmakta, kalıcı ve uzun vadeli ilişkiler inşa
edilmektedir.
Kamu Diplomasisi ve “Ülke Markası” İnşası
İki kutuplu soğuk savaş döneminin sona ermesi ve çok kutuplu yeni uluslar arası sistemin
kurulmaya başlanması, iletişim ve bilişim teknolojilerindeki hızlı gelişmeler, üretimin
küreselleşmesi, ulus devlet yapılarının çözülmesi, finansın tüm dünya çapında akışkan hale gelmesi,
belirsizliğin artması, rekabetin keskinleşmesi; ülkeleri yepyeni bir durumla karşı karşıya
bırakmıştır. Ülkelerin karşısında artık soğuk savaş döneminin görece “güvenli” dünyası yoktur;
aksine her türlü gelişmeye açık, hızlı değişimler yaşayan, siyasal, ekonomik, sosyal ve kültürel
sonuçlar doğuran, öngörülmesi pek mümkün olmayan, rekabetçi bir dünya vardır. Bu dünyada var
olmak, ayakta kalmak, rekabete ortak olmak, güçlü bir ülke olarak yola devam etmek hiç de
sanıldığı kadar kolay olmamaktadır. Çok üretmek, çok satmak, çok kazanmak ya da büyük ve güçlü
118
bir ülke olmak; yeni çok kutuplu uluslar arası sistemde geleceğin ve güvenliğin garantisi değildir.
Çünkü koşullar her an değişebilmekte, eski dünyada varlığı pek hissedilmeyen ama yeni dünya
düzeninde başat bir aktör haline gelen kamuoyunu ikna etmek ülkeler açısından çok stratejik bir
önem taşımaktadır.
İşte tam bu noktada ülkelerin “markalaşması” konusu; ülkeleri diğerlerinden ayıran,
rekabette, iletişim ve teknolojik yeniliklerde, değer üretiminde farklılaştıran bir konu olarak
gündeme gelmektedir. Stratejik iletişimin, algının, imajın, itibarın ve güvenin öne çıktığı yeni
uluslar arası sistemde, ülkeler de tıpkı ticari markalar gibi, kendilerini kamuoyunun gözünde
yeniden yapılandırma, inşa etme, konumlandırma ihtiyacı içerisindedir. Kamuoyu algısının
oluşumunda doğru ve sağlıklı bilgilendirme, etkin iletişim, geri bildirim kanallarının açık olması,
mesajların etkili tasarımı önem taşımakta; güvenilir, güçlü, itibarlı ve saygın bir ülke algısı
oluşturmak için stratejik bir markalama yol haritasının izlenmesi gerekmektedir.
Ülke Markası İnşasında “Yumuşak Gücün” Rolü
Ülke markası inşasında sahip olunan “yumuşak güç” unsurları son derece etkilidir. Kültür,
bilim, sanat, spor, eğitim vb. yumuşak güç kaynakları, kamuoyları ile etkili ve uzun vadeli iletişim
ve etkileşim kurmaya yardımcı olmaktadır. Bu araçlarla kurulan ilişkiler sonucunda hem ülkenin
algısı olumlu anlamda inşa edilmekte hem de bu olumlu algıdan yararlanılarak yeni ilişkiler
kurulmakta, başka alanlarda işbirlikleri geliştirilmektedir.
Yeni uluslar arası sistemde ülkelerin sahip olabileceği en değerli algı; itibarlı, güçlü, saygın,
güvenilir ve dürüst ülke imajıdır. Bu algı, ülkeler için son derece stratejik değer taşıyan bir
markadır. Ülke markasını bu yönde inşa eden, geliştiren, oluşturan ülkeler; başta ekonomik alan
olmak üzere siyasal, sosyal ve kültürel alanlarda da başka ülkelerin ilişki kurmak isteyeceği, yatırım
yapma arzusu taşıyacağı, ürünlerini kullanacağı, hatta insanların orada yaşamak için çaba
harcayacağı ülke haline geleceklerdir.
Kamu diplomasisi; sahip olduğu araç ve teknikler ile ülkelerin markalarını inşa etmede çok
önemli rollere sahiptir. Ülkelerin “yumuşak güçlerini” harekete geçiren, kamuoylarına karşı bu
güçleri etkin şekilde kullanan, sivil toplum örgütlerini, medyayı, kanaat önderlerini, üniversiteleri
belirlenen amaçlar doğrultusunda buluşturan kamu diplomasisi, ülke markası oluşumunda söz
sahibidir. Kamu diplomasisi teknik ve yöntemlerini etkili şekilde kullanarak markalarını inşa eden
ülkeler, yeni uluslar arası sistemde güçlü bir imaj ve algı oluşturmaktadır.
Ülke markası inşasında turizm, marka ihracı ve dış ülkelere direkt yatırım önemli katkılar
sağlamaktadır. Bir ülkenin kendi öz markalarıyla ihracat yapması, ülke imajını güçlendirmektedir.
Ülkeler sahip oldukları güçlü markalarla anılmakta, tüketicilerin zihninde oluşan olumlu algı, ülke
imajına da yansımaktadır. Ülke tanıtımı genelde turizm ve yatırımcı çekme amaçlı olarak
değerlendirilmektedir. Oysa ülke tanıtımı kamu diplomasisi bakış açısıyla gerçekleştirilmeli;
ülkenin bilim, sanat, kültür, spor, iş dünyası, üniversiteleri vb. değerleri ile birlikte bütüncül bir
yaklaşımla ele alınmalıdır. Böyle yapıldığı takdirde ülkenin tanıtımının yapılması yanı sıra
markalaşmasına da büyük katkılar sağlanacaktır.
Ülkelerin Marka İnşası ve İtibarı
Ülke markası inşasında kamu diplomasisi değerlere odaklanmakta, bireysel ve kurumsal
ilişkilerin ve diyalogun tesis edilme sürecine önem vermektedir. Kamu diplomasisi bir anlamda
119
ülkelerin marka iletişimini yapmaktadır. Kamu diplomasisi teknik ve uygulamaları, ülke
markalaması sırasında ihtiyaç duyulan bilgilerin stratejik olarak tasarlanması ve dağıtılmasına
yardımcı olmaktadır.
Orta ve Doğu Avrupa ülkelerinin kamu diplomasisi faaliyetlerini araştıran Szondi ulusal
itibar yönetiminin alt başlıklarını birbiriyle ilişkili ve destek verecek şekilde ülke markası inşası, yer
markalaması, kültürel diplomasi, algı yönetimi şeklinde sıralamıştır. Ülkelerin itibar yönetiminin
parçaları olan bu alanlar sırasıyla; turizm (yer markası), ekonomi politikaları (ülke markalaması),
kültürel miras, dil, sanat vb. (kültürel diplomasi), dış politika ve dış ilişkiler (kamu diplomasisi),
ülkelerin iç ve dış etik politikaları, davranışları ve imajlarından (algı yönetimi) oluşmaktadır.
Szondi yaptığı bu araştırmasında; ülke markası inşasının, kamu diplomasisi ve kültürel diplomasi
ile yakın ilişkisi olduğunu tespit etmiştir. Ülkelerin itibarının oluşumunda kamu diplomasisi
vizyonunun çok önemli katkıları bulunmaktadır.
Türkiye sahip olduğu tarihi birikimi, kültürel değerleri, jeostratejik konumu ve insan
kaynağı ile önemli bir ülke konumundadır. Türkiye böylesine önemli bir ülke olmasına karşın dış
dünyadaki algısı, önemi ile paralellik arz etmemektedir. Çünkü Türkiye, üç ayrı askeri müdahalenin
derin izlerini taşımakta; demokratikleşme, insan hakları ve özgürlükler konusunda yıllardır
sorunlarını çözemeyen, yasaklarla boğuşan bir ülke görüntüsü vermekteydi. Bu durum Türkiye’nin
Avrupa Birliği’ne üyelik süreciyle birlikte yavaş yavaş değişmeye başlamış; özellikle
demokratikleşme konusunda önemli yasal düzenlemeler yapılmış, özgürlüklerin önündeki engeller
kaldırılmaya başlanmıştır. Türkiye henüz yeni sivil bir anayasa yapmayı başaramasa da, demokrasi
ve özgürlükler konusunda geldiği yer, eskiye oranla çok daha ileri bir düzeydir.
Ancak Türkiye, her ne kadar demokrasi, insan hakları, özgürlükler vb. konularda ilerleme
kaydetse de özellikle Batı dünyası başta olmak üzere dış dünyadaki algısı, kaydettiği ilerleme ile
orantılı değildir. Bu durumdan çıkan sonuç şudur; Türkiye kendisini anlatamamakta,
tanıtamamakta, geçmişteki olumsuz ve negatif algısını düzeltecek etkili ve kalıcı girişimlerde
bulunamamaktadır. Türkiye’nin “ülke markasını” inşa etmeye ihtiyacı vardır. Kendi markasını inşa
ederken kullanacağı en değerli araç ise kamu diplomasisi stratejileridir. Türkiye çok önemli kamu
diplomasisi aktörlerine sahiptir; tarihi birikimi, kültürel değerleri, insan kaynağı, sanat, bilim, spor,
üniversite, sivil toplum örgütü, medya alanlarındaki imkanları, güçlü, itibarlı, güvenilir bir ülke
markası inşa etmeye yetecek düzeydedir.
Türkiye kamu diplomasisinin önemini çok geç anlamış ve 21. Yüzyılın bu stratejik gücünü
etkin şekilde kullanamamıştır. Geç de olsa, Başbakanlık bünyesinde bir Kamu Diplomasisi
Koordinatörlüğü kurulmuş, bazı faaliyetler yapmaya başlamıştır. Sivil toplum çatısı altında ise
Kamu Diplomasisi Enstitüsü faaliyetlerini yürütmekte, bilimsel toplantılar yapmakta, kitap ve rapor
yayınlamakta, kamu diplomasisinin önemini topluma anlatmaya gayret etmektedir. Bu iki kurum
dışında ne yazık ki Türkiye’de bilimsel anlamda kurumsal bir yapı bulunmamaktadır. Bu durum,
Türkiye’nin sahip olduğu kamu diplomasisi imkan ve potansiyelinden yeterli düzeyde
yararlanmasını engellemektedir. Çünkü toplumda henüz kamu diplomasisinin önemi ile ilgili bir
algı oluşturulamamış, yeni yüzyılın bu stratejik aracının yapabilecekleri konusunda toplum yeterli
düzeyde bilgilendirilmemiştir. Belki de Türkiye’nin ülke markasını inşa ederken öncelikli olarak işe
başlayacağı yer, toplumsal bilgilendirmeyi ve desteği artırmak olmalıdır. Kamu diplomasisi
konusunda oluşturulacak toplumsal bilinç, ülke markasının sağlıklı ve uzun vadeli inşa edilmesinde
çok ciddi katkılar sağlayacaktır. Aynı şekilde Türkiye’nin sayısı 200’e yaklaşan üniversiteleri de
120
kamu diplomasisi konusunda harekete geçirilebilir, konunun bilimsel yönüyle incelenmesi ve
Türkiye’nin izleyeceği yol haritasının oluşturulması noktasında yardımcı olabilir.
Türkiye sahip olduğu kamu diplomasisi imkanlarıyla kendi ülke markasını inşa etmeye
başlamadan önce ulusal bir kamu diplomasisi stratejisi ve politikası belirlemeli; bu politikanın
belirlenmesine toplumun her kesiminden insanlar, sivil toplum örgütleri, medya, kanaat önderleri
katkı vermeli, ortak akılla uzun vadeli bir yol haritası oluşturulmalıdır. Ancak bu yapıldığı takdirde
Türkiye’nin inşa edeceği “ülke markası” sağlam temellere oturacak, başka toplumları ikna etmek,
onlar için cazibe merkezi olmak ve kalpleri kazanmak daha kolay olacaktır. Sağlam bir temel
üzerine inşa edilecek “Türkiye Markası”, kalıcı ve uzun ömürlü olacaktır. Bu sadece Türkiye için
değil, yeni uluslar arası sistemde kendi markalarını güçlü ve güvenli bir şekilde inşa etmek isteyen
tüm ülkeler için de geçerlidir.
Büyük” Olmak Yetmez; Türkiye “Güçlü” De Olmak Zorundadır
Türkiye’nin dış politikasının ana parametresini "çok boyutluluk" oluşturuyor. Bu yeni
konsept, Türkiye’nin öncelikle bölgesindeki tüm aktörlerle yakın ilişki kurmasını, tüm sorunlarla da
yüzleşmesini öngörüyor. Çok boyutlu bir dış politika perspektifi; siyasi, ekonomik, kültürel ve
sosyal işbirliklerinin de kapısını aralıyor aynı zamanda, dış politika kazanımlarının ülkenin
gelişimine hizmet etmesine yardımcı oluyor.
Türkiye’nin öncelikle kendi bölgesindeki ülkelerle ve uluslararası kuruluşlarla iyi ilişkiler
geliştirmesi, sonra dünyanın önemli güç merkezleriyle yeni işbirlikleri için zemin yoklaması, imkan
bulursa çıkarını gözetecek anlaşmalar imzalaması, "bölgesel güç" olma hedefine hizmet edecek
gelişmelerdir.
Ancak mevcut perspektifin ve uygulamaların Türkiye’yi "bölgesel güç" yapmaya
yetmeyeceğini de bilmek gerekir.
Bölgesel güç olma hedefini yalnızca dış politika uygulamalarıyla gerçekleştirebilmek
mevcut küresel sistem bağlamında ne yazık ki mümkün değildir. Mutlaka dış politikanın, çok
sağlam bir iç politika, güçlü bir ekonomi, kuvvetli bir sosyal yapı ve toplumsal barış ile
desteklenmesi zorunludur. Özellikle ekonomide dış ticaret açığı, bütçe açığı ve ağır borçlanma
kamburlarından kurtulunmalıdır. Ayrıca siyasi istikrarın sağlanması, adaletli gelir dağılımının tesisi,
reel ekonominin hayata geçirilmesi, üretimin teşvik edilmesi ve artırılması, tarımın, sanayinin
desteklenmesi öncelikle yapılması gerekenlerin başında yer almaktadır.
Dış politikada etkili, saygın ve sözü dinlenir bir ülke olmanın yolu, ekonomisi, siyaseti,
toplumu ile güçlü bir ülke olmaktan geçmektedir.
Türkiye "büyük" bir ülkedir.
Ama "güçlü" bir görüntü verememektedir.
Türkiye büyüklüğünü, güç ile perçinlemeyi, "büyük bir güç" haline gelmeyi hedeflemelidir.
Bunun yolu da hamasetten değil; çalışmaktan, üretmekten, kalkınmaktan, ülke ve toplum
olarak gerçek bir güç olmaktan geçmektedir. Türkiye’nin bu potansiyeli vardır. Ülke olarak
kaynakları yeterlidir. Bu kaynakları harekete geçirecek, güce dönüştürecek potansiyel insan kaynağı
da mevcuttur. İhtiyaç olan sadece bu planlamayı yapacak, imkanları harekete geçirecek, ülkenin
ufkunu açacak, geleceğini yönetecek paradigmaya sahip yönetim anlayışının güçlendirilmesidir.
121
“Güçlü” olmanın yolu da çalışmaktan, üretmekten, ekonomik kalkınmayı gerçekleştirmekten,
toplumsal barışı sağlamaktan, demokratik hukuk devletini inşa etmekten geçiyor.
"Büyük" olduğumuz için değil, ancak "güçlü" olduğumuz için bölgesel güç olabiliriz.
Iscturkey 2015 Konferansı Sonuç Bildirgesi
Konferansta ele alınan konular 4 ana başlık altında toplanmıştır.
1. Mevzuat ve Organizasyonel Yapı
1.1. Bütüncül bir bakış açısıyla Türkiye’nin Siber Güvenlik mevzuatı ele alınmalı, kamu ve
özel sektör kurumlarının eş güdümlü bir şekilde siber mücadeleyi yürütmesi için Siber Güvenlik
Kurulu uhdesinde gerekli operasyonel yapı kurulmalıdır.
1.2. 2015-2017 Dönemini kapsayan “Ulusal Siber Güvenlik Stratejisi ve Eylem Planı”nı,
revize edilerek 2016-2018 dönemini kapsayacak şekilde düzenlenmeli ve 2015 yılı sonuna kadar da
yayımlanmalıdır.
1.3. Kişisel verilen korunması kanun tasarısının en kısa sürede TBMM gündemine alınması
için girişimlerde bulunulmalıdır.
1.4. Milli güvenliğin önemli bir parçası olan siber güvenlik konusunda zafiyet
gösterilmemesi için nitelikli personel yetiştirilmesine ihtiyaç olduğu gerçeğinden hareketle “Siber
Güvenlik Uzmanı” (aynı İş Güvenliği Uzmanı gibi) meslek grubu kanun ile oluşturulmalı, “Siber
Güvenlik Uzmanı” için gerekli eğitimler ve sınav şartları Siber Güvenlik Kurulu tarafından
belirlenmeli, kritik altyapı barındıran kurumlarda Siber Güvenlik Uzmanı istihdamı yine kanunla
zorunlu hale getirilmelidir.
1.5. Siber Güvenlik Kurulu tarafından ülkemize ait kritik sektörler; Enerji, Elektronik
Haberleşme, Finans, Ulaşım, Su Yönetimi ve Kritik Kamu Hizmetleri olarak belirlenmiştir. Kritik
altyapılara sahip tüm kurumların bilgi güvenliği standartlarına uygun hizmet vermesi yönünde hem
belgelendirme hem de denetim çalışmaları yapılmalıdır.
1.6. Siber saldırıların kritik altyapıları hedef almak suretiyle doğrudan ülkelerin milli
güvenliğini tehdit ettiği gerçeğinden hareketle kritik altyapılar olarak belirlenen sektörlerin her biri
için “Kritik Altyapıların Korunmasına Yönelik Politika ve Strateji” dokümanları hazırlanmalıdır.
1.7. Mevcut SOME yapısının Endüstriyel Kontrol Sistemi (EKS) kullanan kurumlar için
doğru bir model olmadığı görüşü ifade edilerek EKS-SOME kurulması önerisi (https://ics-cert.uscert.gov) getirilmiştir. Öneri ilgili kurumlara aktarılmalı ve tartışılmalıdır.
1.8. Siber güvenliğin her yönüyle ilgili bilimsel çalışmalar yapan ve raporlar üreten Avrupa
Ağ ve Bilgi Güvenliği Ajansı (ENISA) benzeri bir ajans (Türkiye Ağ ve Bilgi Güvenliği Ajansı
(TABGA)) kurulması değerlendirilmelidir. Ya da mevcut bir yapının (TÜBİTAK BİLGEM gibi)
böyle bir ajansa dönüştürülmesi düşünülmelidir.
2. Yerli çözümler
2.1. Siber güvenlik alanında kullanılan donanım ve yazılımların başka güvenlik sorunlarına
yol açıp açmadığı ciddi bir endişe olarak karşımıza çıkmaktadır. Bu endişenin bertaraf edilebilmesi
için gerek donanım gerek yazılım alanında milli çözümler üretilmesinin şart olduğu
122
düşünülmektedir. Bu düşünceden hareketle UDHB’nin ARGE fonu, milli çözümlerin geliştirilmesi
yönünde hızlı çalışan bir modelle kullanılmalı, milli çözümlerin kullanılması teşvik edilmelidir.
2.2. Ülkemizde bilgi güvenliği alanında çalışan/çalışmak isteyen çok sayıda kişi ve
kurumların olduğu görülmüştür. Bu girişimlerin desteklenmesi ve etkinliğinin arttırılabilmesi için
tüm bu çalışmaların “Siber Güvenlik Ekosistemi” içerisinde bütüncül bir bakış açısıyla ele alınması
gereklidir. Bunun için BGD’nin yürüttüğü envanter çalışması önemli bir zemin olarak
görülmektedir.
2.3. Yerli ve güvenilir teknoloji kullanımı için açık kaynak modelinin büyük bir fırsat
olduğu düşünülmektedir. Bir “Açık Kaynak Ekosistemi” oluşturulabilmesi için kamu alımları başta
olmak üzere BT kaynaklarının bu alana yönlendirilmesi gerekmektedir. Aksi halde gerçek anlamda
bir açık kaynak ekosistemi oluşamayacak ve markalı ithal ürünleri satmaya ve kullandırmaya
yönelik sektör dinamiği aynen devam edecektir. Bu noktada her zaman en iyisini değil, ama asgari
ihtiyacı gören, iyileştirilebilir, yerli ve güvenilir olanın da tercih edilebileceği, bu tercihi yapanların
riske girmeyeceği, bir modelin üzerinde çalışılması bununla birlikte istismarın engellenmesi içinde
gereken standartların aynı zamanda çalışılması sağlanmalıdır.
2.4. Bilgi Güvenliği konusunda geliştirilen ürünlerin kapsamlı olarak test edilebilmesi için
“Bilgi Güvenliği Veri ve Test Merkezi” kurulmalıdır.
2.5. Havelsan A.Ş. Genel Müdürü Konferansta yaptığı konuşmada; yerli ve milli çözümleri
olan tüm girişimcilerle birlikte çalışabileceklerini belirtmiş ve açık bir davette bulunmuştur. Siber
güvenlik alanında çalışan/çalışmak isteyenler bu daveti değerlendirmelidir.
3. Kapasitenin arttırılması ve farkındalık
3.1. İlköğretimden itibaren bilgi güvenliği konusu müfredata dahil edilmeli, her yıl farklı
seviyelerde konunun ele alınması ve gündemde kalması sağlanmalıdır. Böylece hayatımızın
nerdeyse tamamının üzerine inşa edildiği bilgi dünyasında siber güvenliğin farkında olan nesiller
yetiştirilmelidir.
3.2. Açık Bilgilendirme Platformları, farkındalık sağlayan projeler ve araştırmalar gibi
sosyal projeler de UDHB AR-GE fonu kapsamında desteklenmelidir.
3.3. Sürdürülebilir bir siber mücadele için toplumun tüm kesimlerinin siber güvenlik
farkındalığını arttıracak başta kamu spotu olmak üzere farklı halkla ilişkiler yöntemleri
kullanılmalıdır.
3.4. ENISA tarafından her yılın EKİM ayının “Avrupa Siber Güvenlik Ayı (ECSM)” olarak
belirlenmesi ve yoğun etkinlik takvimiyle siber güvenliğin her yönünün ele alınmasına zemin
hazırladığı düşünülmektedir. Avrupa’da olduğu gibi ülkemizde de EKİM ayının “Türkiye Siber
Güvenlik Ayı (TUSGA)” olarak ilan edilmesi ve TUSGA Platformunun Siber Güvenlik Kurulu
hamiliğinde, ülke çapında etkinlikler düzenlenmesine destek olarak siber güvenliğin her yerde ve
mecrada gündeme getirilmesini sağlamalıdır.
3.5. Gerek tüketiciler gerekse de kurumlar hem kişisel hem de işleri ile ilgili bilgileri
yabancı menşeli ürünler (google, facebook, msn, whatsapp, twitter, ofis uygulamaları, smallpdf,
wetransfer, storage hizmetleri vb.) kullanarak depolamakta, aktarmakta ya da çevrim içi hizmetler
almaktadır. Kritik altyapılara ilişkin bilgiler de çoğu zaman aynı uygulamaları kullanarak işlem
görmektedir. Bu durum çok ciddi bir güvenlik tehdidi oluşturmaktadır. Tüketicilerin
123
bilinçlendirilmesi ile birlikte daha önemlisi tüketiciye bu hizmetleri alabileceği yerli çözümler
sunulması gerekmektedir. Bu konuda ilgili kamu kurumlarının inisiyatif alması gerektiği
düşünülmektedir.
3.6. USOM, Sektörel ve Kurumsal SOME’lerin faaliyetleri her yıl sonunda USOM
tarafından raporlanmalıdır.
4. Uluslararası İşbirliği
4.1. Siber güvenlik alanının en temel unsurlarından biri olan uluslararası işbirliğinin
arttırılması yönünde ENISA ve benzeri organizasyonlarla ilişkilerimiz, muhtelif seviyelerde
sağlanmalı ve sürekli kılınmalıdır.
4.2. Uluslararası kuruluşlarda, STK’larda ve muhtelif platformlarda çok ciddi çalışmalar
yapılmakta ve çıktılar üretilmektedir. Bu çıktıların kullanılmasının yanı sıra üretiminde de yer
alınması çok önemlidir. Kamu ve özel sektör kuruluşları bu kurumlarla ilişkili olmalı, BGD başta
olmak üzere benzeri STK’lar da uygun buldukları uluslararası kuruluşlarla irtibata geçerek yapılan
çalışmalara müdahil olmalıdır.
Türkiye’de Siber Güvenlik Çalışmaları
Her şeyin sayısallaştığı günümüzde, artık bilişim teknolojilerinin kullanımı birey, sektör ve
kamu kurum ve kuruluşları için bir seçenek olmaktan çıkmış zaruret haline dönüşmüştür. Sayısal
uzay hiç beklenmedik şekilde genişlemiş ve günlük yaşantımızın, iş hayatımızın ve kamu
kurumlarından aldığımız hizmetlerin ayrılmaz bir parçası olmuştur. Dünyada bilgi ve iletişim
teknolojilerinin hızlı gelişimi ve yaygın olarak kullanımı sayesinde siber uzaydan yapılan
saldırıların niteliğinde ve niceliğinde de önemli artışlar gözlenmektedir.
Siber saldırılar bireyleri, kurum ve kuruluşları hatta devletleri hedef almaktadır. Ülkeler
siber güvenliklerini sağlamak amacıyla idari yapılanmalar gerçekleştirmekte, teknik önemler
almakta ve hukuki altyapılar hazırlamaktadır. Bu düzenlenmelere dayanak olması amacıyla siber
güvenlik stratejisi belgesi birçok ülke tarafından yayımlamış bulunmaktadır. Söz konusu strateji
belgelerinde siber saldırılara karşı koymanın yanı sıra bilgi ve iletişim ağlarının siyasi otoriteye,
ulusal menfaatlere ve kritik altyapılara karşı kullanılmasının engellenmesine yönelik strateji ve
politikaların geliştirilmesi de kapsanmaktadır.
Siber Devlet Mevzuatı
Ülkemizde siber güvenlik konusunu bütün yönleriyle ele alarak, bu alanda gerekli olan tüm
düzenleme ve denetlemeleri yapacak, ülke adına politika ve strateji geliştirecek bir kurum ve
kuruluş bulunmuyor. Bu konuyla ilgili faaliyet yürüten kurumlar arasında da bir uyum, eşgüdüm ve
koordinasyon yok. Tüm bu alanları düzenleyen kapsamlı bir çerçeve yasanın önemi ve gerekliliği
açıktır. Geçmişte hazırlanan ‘Siber Devlet Yasası’ taslağının gündeme alınması ve yasalaştırılması
en acil konulardan ve en büyük önceliklerinden biridir.
124
Siber Güvenlik Kurulu
Bakanlar Kurulu’nun 11 Haziran 2012 tarihli ve 2012/3842 sayılı kararıyla oluşturulan Siber
Güvenlik Kurulu, esasen siber güvenlikle ilgili olarak alınacak önlemleri belirlemek, hazırlanan
strateji ve planları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamakla,
Ulaştırma, Denizcilik ve Haberleşme Bakanlığı (UDHB) ise onaylanan strateji ve planların
uygulanması ile görevli kılındı. Kurul tarafından hazırlanan ‘Ulusal Siber Güvenlik Stratejisi ve
2013-2014 Eylem Planı’ 20 Haziran 2012’de Bakanlar Kurulu tarafından onaylandı. Siber Güvenlik
Kurulu tarafından yürütülen faaliyetlerin etkinleştirilmesi ve sürdürülebilir kılınmasına ihtiyaç
duyuluyor.
Siber Güvenlik Eylem Planları
Siber güvenlik alanında ülkemizde atılan en büyük adımlardan biri, kuşkusuz 20 Aralık
2012 tarihinde Ulusal Siber Güvenlik Strateji Belgesi’nin yayımlaması. Bunun ardından Ulusal
Siber Güvenlik Koordinasyon Kurulu’nun oluşturularak Siber Güvenlik Eylem Planı (2013-2014)
hazırlanması, UDHB’nın Koordinasyon Makamı olarak belirlenmesi ve Siber Olaylara Müdahale
Ekiplerinin (SOME) oluşturulması, Türkiye’de devletin ve kurumların siber güvenlik algısını ve
yaklaşımını tamamen değiştirilmesi. Eylem planı kapsamında temel görevi koordinasyon ve
işbirliği olan Ulusal Siber Olaylara Müdahale Merkezi (USOM) kurulması. 2015 yılında UDHB,
2015-2017 Siber Güvenlik Eylem Planı’nı çok daha geniş katılımlı çalıştaylar ile daha etkin ve
verimli bir sürece taşıdı.
Bu Eylem Planı’nın en çarpıcı yanlarından biri ise, Eylem Planı kalemlerinden bazılarının
Türkiye Bilişim Derneği (TBD) ve Bilgi Güvenliği Derneği (BGD) gibi sivil toplum kuruluşlarının
(STK) sorumluluğuna verilmesi yaklaşımıdır. Siber güvenlik standartları ve ürün sertifikasyonu
Siber güvenlikte en önemli konu standartlara uyumdur. Siber güvenlik standartları, kullanılan
güvenlik sistem ve/veya ürünlerine yönelik oluşabilecek risklerin belirlenmesi ve gerekli olan risk
analizlerinin sağlıklı ve maliyet etkin olarak yapılabilmesine olanak sağlanıyor.
Siber güvenlik konusunda ilgili STK ve sektörün de katılımıyla daha üst güvenlik
seviyelerinde ürün veya hizmetlere yönelik olarak asgari güvenlik isterleri tanımlanıyor. Siber
güvenlik eğitimleri ve uzmanlar Yüksek seviyede bir siber güvenliğin sağlanması için her seviyede
farkındalığa ve farkındalığın oluşturulmasına ihtiyaç var. Bunun ilk ve orta öğretimden başlamak
üzere her seviyede eğitim kurumlarında verilmesi gerekli. Özellikle siber güvenlik farkındalık
eğitimlerinin üniversite müfredatına eklenmesi, yüksek lisans ve doktora programlarının daha fazla
açılması, Ar-Ge laboratuarlarının desteklenmesi, test merkezlerinin açılması orta ve uzun dönemli
başarı için temel şartlardan bir kaçı. Siber güvenlik strateji belgesi ve eylem planı kapsamında,
ülkemizde bu alanda yetişmiş insan gücü açığını kapatmaya yönelik çalışmalar yürütülmesi, belirli
hedefler koyarak konuyla ilgili uzman yetiştirilmesi ise oldukça kritik bir konu. Siber saldırıların
yaygınlık ve etkisinin kamuoyunda gündeme geldiğinden ve bilinirliliğinden çok daha yüksek
olduğu tahmin ediliyor. Siber saldırıların çok düşük bir oranı mağdur tarafından fark edilip
bildiriliyor, büyük çoğunluğu ise ya fark edilemiyor veya ekonomik / politik kaygılar ile
açıklanmıyor. Dolayısıyla siber tehditlerin oluşturduğu tehlikenin algımızdaki boyutu ile gerçekteki
boyutuarasında ciddi uçurumlar bulunuyor. Siber saldırılar istemli veya istem dışı, etkin veya
125
edilgen olabiliyor. Siber saldırıların amacı ise yetkisiz olarak bilgiye ulaşmak dolayısıyla
değiştirmek silmek veya ifşa 5 etmek ve hizmetlerin engellenmesi olarak iki ana grupta toplanıyor.
Ulusal Siber Güvenlik Sektörü
Türkiye siber suçlar ve saldırılar açısından hedef ilk 10 ülke arasındadır. Türkiye aynı
zamanda siber saldırı yapan ülkeler arasında ilk sıralarda gözükmektedir.
Başta kamu kurumları olmak üzere kurumsal ve bireysel düzeyde siber güvenlik açısından
yeterli farkındalık, bilinç ve bilgi seviyesine henüz ulaşılamamıştır. 2013-14 döneminde 9 banka, 13
sigorta şirketi, 2 telekomünikasyon şirketi, 27 üniversite, 30 kamu kurumu saldırıya uğramıştır.
Yerli siber güvenlik çözümlerinin geliştirilmesi ve kullanımının teşvik edilmesinin bu
alanda gelişimimize katkı sağlayacağı değerlendirilmektedir. Kullanılan çözümlerin %97’si yabancı
(ithal) olup bunların %55’i İsrail, %35’i ise ABD kökenlidir.
Türkiye’de çoğu küçük ölçekli 40 civarında firma bu alanda faaliyet göstermekte olup
bunlar arasında bir sinerji ve güç birliği mevcut değildir. Aynı zamanda bu firmalar bir ulusal
strateji doğrultusunda değil dağınık bir yaklaşım ile iş yapmaya çalışmaktadır.
Gerek yerli geliştirilen ve gerekse ithal edilen siber güvenlik çözümleri milli bir
sertifikasyon sürecinden geçmeden ve yeterince güvenli olup olmadıkları bilinmeden kullanıma
sokulmaktadır.
Siber Güvenlik Farkındalığı Yaratma
Kamu kurum ve kuruluşlarında yönetici personel ve bilgi işlem personelleri başta olmak
üzere tüm personelde siber güvenlik farkındalığı oluşturulmasına yönelik bir programın
oluşturulması ve bu programın pilot seçilen kamu kurum ve kuruluşlarında acilen uygulanmasına
başlanması bu sorunun çözümü için önemli bir kilometre taşı olacak. Ayrıca; Kısa, orta ve uzun
vadeli uzman yetiştirme programları kapsamında Kurumsal ve Sektörel SOME’ler başta olmak
üzere Siber güvenlik sektöründeki nitelikli insan kaynağının arttırılmasına yönelik programların
düzenlenmesinin gerekli olduğu değerlendiriliyor. Bu programlar kapsamında eğitilen nitelikli insan
kaynağının sertifikalandırılması ve kayıt altına alınması önem arz ediyor. Bu kapsamda gerekli olan
düzenlemelerin Ulaştırma Denizcilik ve Haberleşme Bakanlığı tarafından; Bilgi ve İletişim
Teknolojileri Kurumu (BTK), Türk Standartları Enstitüsü (TSE) ve Bilgi Güvenliği Derneği (BGD)
ve Türkiye Bilişim Derneği (TBD) işbirliği ile yapılması sağlanacak.
Yerli Ve Sertifikalı Siber Güvenlik Ürünü Kullanılması
Türkiye siber suçlar ve saldırılar açısından hedef ilk 10 ülke arasında. Türkiye aynı zamanda
siber saldırı yapan ülkeler arsında ilk sıralarda gözüküyor. Başta kamu kurumları olmak üzere
kurumsal ve bireysel düzeyde siber güvenlik açısından yeterli farkındalık, bilinç ve bilgi seviyesine
henüz ulaşılamadı. 2013-14 döneminde 9 banka, 13 sigorta şirketi, 2 telekomünikasyon şirketi, 27
üniversite, 30 kamu kurumu saldırıya uğradı. Yerli siber güvenlik çözümlerinin geliştirilmesi ve
126
kullanımının teşvik edilmesinin bu alanda gelişimimize katkı sağlayacağı değerlendiriliyor.
Kullanılan çözümlerin yüzde 97’si yabancı (ithal) olup, bunların yüzde 55’i İsrail, yüzde 35’i ise
ABD kökenli. Türkiye’de çoğu küçük ölçekli 40 civarında firma bu alanda faaliyet göstermekte
gösteriyor, ancak bunlar arasında bir sinerji ve güç birliği mevcut değil. Aynı zamanda bu firmalar
bir ulusal strateji doğrultusunda değil dağınık bir yaklaşım ile iş yapmaya çalışıyor. Gerek yerli
geliştirilen ve gerekse ithal edilen siber güvenlik çözümleri milli bir sertifikasyona sürecinden
geçmeden ve yeterince güvenli olup olmadıkları bilinmeden kullanıma sokuluyor. Yerli ürün ve
teknoloji eksikliğinin ulusal sevide siber güvenlik zafiyeti yarattığı görülüyor. Başta kritik altyapılar
olmak üzere güvenlik sertifikasına sahip yerli siber güvenlik teknoloji, çözüm ve ürünlerinin yaygın
olarak kullanılmasını destekleyen teşvik ve zorunlulukların getirilmesi gerekiyor.
Siber güvenlikte en önemli konu standartlara uyumdur. Siber güvenlik standartları,
kullanılan güvenlik sistem ve/veya ürünlerine yönelik oluşabilecek risklerin belirlenmesi ve gerekli
olan risk analizlerinin sağlıklı ve maliyet etkin olarak yapılabilmesine olanak sağlamaktadır.
Siber güvenlik konusunda ilgili STK ve sektörün de katılımıyla daha üst güvenlik
seviyelerinde ürün veya hizmetlere yönelik olarak asgari güvenlik isterleri tanımlanmalıdır.
Siber Güvenlik Ekosisteminin Kurulması
Ulusal seviyede siber güvenliğin etkin ve sürdürülebilir olarak sağlanması amacıyla kapasite
planlaması ve yetenek kazanımı yapılması ile mevcut yeteneklerin bir hedef doğrultusunda
arttırılabilmesi ancak ulusal siber güvenlik ekosisteminin oluşturulması ile sağlanabilir. Bu
ekosistemde yer alacak olan kamu, özel sektör, STK ve diğer paydaşların koordineli katkılarıyla
mevzuattan teknolojiye kadar gereksinimlerin gerçekçi olarak belirlenmesine ve uygulamaya
yönelik eylemlerin gerçekleştirilmesine katkı sağlanacak.
Ekosistemin en önemli unsuru nitelikli insan kaynağı. Bu nedenle tüm uzmanlık alanlarında
siber güvenlik elemanları yetiştirilmesi önemli kazanımlar sağlayacak. Türkiye’deki saygın
üniversiteler siber güvenlik alanında uzman hale getirilmeli ve çalışmalar nitelikli öğretim
elemanları ve yeterli altyapı oluşturularak yürütülmeli. Üniversiteler tarafından yürütülen lisansüstü
eğitim programlarında tez konuları kamu ihtiyaçları ile BT ve siber güvenlik sektörü faaliyet
alanları göz önünde bulundurularak belirlenmeli.
Ekosistemin güçlendirilmesi ve yaygın etkisinin arttırılmasına yönelik gerekli kaynak
planlamalarının yapılması ve destek mekanizmalarının oluşturulması önemli katkılar sağlayacak.
Ulusal Siber güvenlik ekosistemi içinde iyi örneklerin yaygınlaştırılması, danışmanlık
hizmetlerinin verilmesi, açıklık, tehdit ve faydalı uygulamaların paylaşılması önemli kazanımlar
sağlayacak. Gerçekleştirilen eylem planlarının yaygın etkisinin ölçümü Gerçekleştirilen eylem
planlarının etkisinin ölçülmesi ve raporlanmasının objektif olarak gerçekleştirilmesi çok önemli.
Kamunun çalışma anlayışı ve yapısı nedeniyle bu henüz başarılabilir görülmüyor. En azından bazı
güçlü kurumlar bilgi paylaşmada istekli davranıyor.
Diğer yandan, mevcut yapıda gerçekleştirilen eylemler sadece nicelik bakımından
değerlendiriliyor. Bunun sonucunda gerçekleştirilen eylem ile hedeflenen isterlerin karşılanıp
karşılanmadığı ve sürdürülebilir yaygın etkisi ölçülemiyor. Bu amaçla STK ve üniversitelerdeki
yetkin ve uzman personellerden oluşan bir değerlendirme kurulunun oluşturularak periyodik olarak
127
rapor hazırlanması önemli bir kazanım sağlayacak. Somut ve gerçekçi veri alınabilecek bir
mekanizma kurulmalı. Ulusal siber güvenlik makamının güçlendirilmesi Siber Güvenlik Kurulu
tarafından yürütülen faaliyetlerin etkinleştirilmesi ve sürdürülebilir kılınmasına ihtiyaç duyuluyor.
Bu nedenle; ulusal siber güvenlik makamının, kamu, özel sektör, üniversiteler ve sivil toplum
kuruluşları ile koordinasyon ve eşgüdümü sağlayacak şekilde yeniden tanımlanmasının ve güçlü bir
merkezi yapıya dönüştürülmesinin gerekli olduğu değerlendiriliyor. Siber Güvenlik Kurulu’nun
belirtilen görevleri daha etkin ve sürdürülebilir olarak yerine getirebilmesi amacıyla, bu kurulu
destekleyen siber güvenlik alanında uzman kişilerden (STK, üniversite ve sektör temsilcileri) oluşan
“Siber Güvenlik Teknik Çalışma Grubu” kurulmasının faydalı olacağı öngörülüyor. Bu çalışma
grubu tarafından aşağıda belirtilen faaliyetlerin yürütülmesi gerçekleştirilecek;
-Hangi siber güvenlik teknolojilerinin yerli olarak geliştirilmesi gerektiğinin belirlenmesi ve
önceliklendirilmesi,
-Kritik altyapılarda ne tür önlem alınmasına gerek olduğunun analiz edilmesi ve
belirlenmesi,
-Lisan ve lisan üstü eğitimlerle araştırılması ve geliştirilmesi hedeflenen siber güvenlik
alanlarının belirlenmesi ve önceliklendirilmesi,
-Siber güvenlik strateji ve planlarının hazırlanmasına teknik destek verilmesi,
-Eylem planlarının hazırlanmasına teknik destek verilmesi ve
-Gerçekleştirilen eylem planlarının etkisinin ölçülmesi ve raporlanması.
Kurumsal ve Sektörel SOME’lerin etkinliğinin arttırılması amacıyla, mali düzenlemelerin
yapılması, yetkin personel ihtiyacının karşılanmasına ve ulusal siber olaylara müdahale
organizasyonu kapsamında bilgi paylaşımının geliştirilmesine yönelik mevzuat desteğinin
sağlanması gerekli.
Siber Güvenlik Eğitimleri Ve Uzmanlar
Yüksek seviyede bir siber güvenliğin sağlanması için her seviyede farkındalığa ve
farkındalığın oluşturulmasına ihtiyaç vardır. Bunun ilk ve orta öğretimden başlamak üzere her
seviyede eğitim kurumlarında verilmesi gereklidir. Özellikle siber güvenlik farkındalık
eğitimlerinin üniversite müfredatına eklenmesi, yüksek lisans ve doktora programlarının daha fazla
açılması, Ar-Ge laboratuarlarının desteklenmesi, test merkezlerinin açılması orta ve uzun dönemli
başarı için temel şartlardan bir kaçıdır.
Siber güvenlik strateji belgesi ve eylem planı kapsamında, ülkemizde bu alanda yetişmiş
insan gücü açığını kapatmaya yönelik çalışmalar yürütülmesi, belirli hedefler koyarak konuyla ilgili
uzman yetiştirilmesi ise oldukça kritik bir konudur.
Ekosistemde Sektörün Beklentileri Ve Uluslar Arası İşbirliği
Sürdürülebilir siber güvenlik ancak yeni nesil teknolojiler ile mümkün olabilir. Yeni nesil ve
yenilikçi teknolojilerin satın alma yolu ile yurtdışından tedarik edilmesi mümkün değil. Ayrıca
yurtdışından tedarik edilecek siber güvenlik teknolojilerinin arka kapı ve/veya Truva Atı gibi zararlı
128
yazılımlar içermediğinin bilinmesi veya belirlenebilmesi de mümkün değil. Bu nedenle yeni nesil,
yenilikçi ve akıllı teknolojilerin yakından takip edilmesi, yerli ve özgün olarak geliştirilmesi ve
üretilmesi çok önemli. Ülke çapında güvenilir, yüksek güvenlik seviyesine sahip, maliyet etkin ve
sürdürülebilir bir siber güvenlik kalkanının gerçekleştirilebilmesi ancak yerli siber güvenlik
ekosisteminin oluşturulması ile sağlanabilir. Bu ekosistem içerisinde; müşteriler, tedarikçiler ile
teknoloji, ürün ve hizmetlerin geliştirilmesine katkı sağlayan kilit paydaşlar, standardizasyon ve
sertifikasyon kuruluşları, akreditasyon ve eğitim tesisleri, üniversiteler ve STK’lar başta olmak
üzere tüm paydaşlar yer almalı. Söz konusu ekosistem içerisinde ekosistemin politika ve
stratejilerini belirleyen bir makam olmalı. Bu kapsamda Ar-Ge destek programları ve yasal
mevzuatlar STK’lar ile işbirliği yapılarak oluşturulmalı. Bu makam tarafından geri besleme ve
edinilen tecrübelerle ekosistemin politika ve stratejileri periyodik olarak güncellenmeli.
Milli Ürünlerin Teşvik Edilmesi
Kurumların bilgi ve iletişim sistemlerinde milli olarak geliştirilmiş ürünleri tercih etmeleri,
milli ürünlerin mevcut olmadığı durumlarda güvenlik değerlendirmesi ve sertifikalandırması milli
olarak gerçekleştirilmiş ürünleri tercih etmeleri, Güvenlik değerlendirmesi milli olarak
gerçekleştirilmiş ve sertifikalandırılmış güvenlik ürünlerinin mevcut olmadığı durumlarda uluslar
arası standartlar uyarınca değerlendirilmiş ve sertifikalandırılmış ürünleri tercih etmeleri için teşvik
mekanizmaları oluşturulmalı.
Kritik Altyapı Güvenliği
Savaş halinde savaş suçlarının da işlenebileceğinden hareketle Türkiye’nin kritik altyapı
güvenliğini öncelikli olarak sağlaması, ilave olarak kendisine yapılan saldırılarla ilgili delil üretmek
üzere kritik altyapı sistemlerini mükemmelen çalışan kayıt sistemleri ile izlemesi gerekir. Kayıt
sistemleri aracılığı ile Türkiye’nin kendisine yapılan saldırının doğrudan ve dolaylı etkilerini ve
saldırının nereden yapıldığını doğru olarak belirleme kabiliyetine sahip olması şarttır. Aksi halde
meşru müdafaa hakkının kullanılması bile mümkün olmayabilir.
Bu amaçla aşağıdaki adımlarda sıralanan faaliyetler gerçekleştirilmelidir: Ülkedeki kritik
bilgi altyapıları tespit edilmelidir. Tespit edilen her bir kritik bilgi altyapısının diğer kritik bilgi
altyapılarıyla ilişkisi analiz edilmeli ve bağımlılıkları ortaya konmalıdır. Kritik bilgi altyapıları
önem derecesine göre sınıflandırılmalı ve her bir sınıf için alınması gereken minimum güvenlik
önlemleri belirlenmelidir. Belirlenen minimum güvenlik önlemlerinin uygulanması denetlenmelidir.
Siber Güvenlik Hukukuna Hakim Personel Yetiştirilmesi
Uluslararası ilişkiler, uluslararası hukuk ve milli savunma stratejileri konusunda çalışan
stratejist ve bürokratlar arasında bu konuları siber güvenlik açısından ele alabilecek bilgiye sahip
kişilerin yetiştirilmesi çok önemlidir. Bu kişilerin siber savunma ve uluslararası siber güvenlik
hukuku konularında fikir, politika ve strateji üretmelerine çok fazla ihtiyaç bulunmaktadır. Bu
sebeple Mili Savunma Bakanlığı, Dışişleri Bakanlığı ve Türk Silahlı Kuvvetlerinde söz konusu
yetkinliklere sahip personel istihdam edilmeli ya da mevcut personelin bir bölümünün bu
yetkinliklere sahip olmaları sağlanmalıdır.
129
Bilgi Güvenliği Araştırmalarını Destekleme
Bilgi güvenliği konusunda ülkemizin ihtiyaçlarının kendi kaynaklarıyla karşılanması için
çalışmalar yapılmalıdır. Bu kapsamda, öncelikle ülkemizin ihtiyaçları analiz edilmeli, bu
ihtiyaçların ülke içinden temin edilebilmesi için araştırma yapılacak konular tespit edilmeli, bu
konulardaki çalışmalara destek sağlanmalıdır. Bilgi güvenliği konusunda ülkede var olan birikimin
artırılması ve paylaşılabilmesi için üniversitelerde bilgi güvenliği derslerinin yaygınlaştırılması
teşvik edilmeli ve bu derslerin içeriklerinin sadece kriptoloji konularıyla sınırlı kalmaması, yazılım
ve sistem güvenliği konularının da kapsama alınması gerekmektedir. Kamu kurumları, üniversiteler
ve özel sektörün, araştırma, geliştirme ve gerekli diğer ihtiyaçların karşılanmasında işbirliği
içerisinde çalışması sağlanmalıdır.
Ulusal Bilgisayar Olaylarına Müdahale Organizasyonu
Bilgi ve iletişim sistemlerine yönelik tehditlerin hızlı tespiti, tehditlerle ilgili bilgi paylaşımı
ve yaşanan olayların yıkıcı etkilerini ortadan kaldırmaya ve azaltmaya yönelik hızlı tedavi
metotlarının geliştirilmesi ve paylaşılması aktivitelerinin ulusal seviyede etkili bir şekilde ve
eşgüdüm içerisinde yapılabilmesi için Ulusal Bilgisayar Olaylarına Müdahale Organizasyonu
kurulmalıdır. Sorumluluk alanı, ülkedeki tüm sistemler olan Ulusal Bilgisayar Olaylarına Müdahale
Organizasyonu’nun alt birimleri oluşturulmalıdır. Alt birimlerin sorumluluk alanları arasında ilgili
kritik altyapı birimlerinin korunması yer almalıdır. Bu ekiplerin oluşturulması kapsamında eğitim
başta olmak üzere yapılması gereken tüm çalışmalar bu organizasyonun bir görevi olmalıdır. Bu
organizasyon, ülkenin tamamını veya bir kısmını etkileyen tehdit ve saldırılara karşı 7/24 hizmet
veren bir “acil işlem merkezi” şeklinde faaliyetlerini sürdürmelidir. Acil işlem merkezi yaşanan
bilgi sistemleri güvenlik olayları ile ilgili diğer ülkeler ve uluslararası kuruluşlar ile teması ve
koordinasyonu sağlamalıdır. Ulusal Bilgisayar Olaylarına Müdahale Organizasyonu ülkemizin olası
bir sayısal ortam savaşına karşı ne kadar hazırlıklı olduğunu ölçmek ve ardından var olan
eksiklikleri tespit etmek amacıyla tatbikatlar düzenlemelidir.
Bilgi Güvenliği Eğitimleri ve Bilinçlendirme Çalışmaları
Bilgi ve iletişim sistemlerini işleten personelden kurumun stratejisini belirleyen üst düzey
yöneticilere kadar herkes bilgi ve iletişim sistemlerinin güvenliği ve üzerine düşen sorumluluk
konusunda bilinçli olmalıdır. Bunu sağlamak için son kullanıcıları, sistem yöneticilerini, teknoloji
geliştiricilerini, denetçileri, orta ve yüksek seviyeli yöneticileri kapsayan eğitimler hazırlanmalı ve
bu eğitimlerin ilgili personele verilmesi sağlanmalıdır. Sistem yöneticileri için hazırlanacak olan
eğitimde, bu personele işlettikleri sistemlerin güvenlik yapılandırmalarının nasıl olması gerektiği ve
güvenlik açısından dikkat edilmesi gereken hususlar anlatılmalı ve eğitim sonunda yapılacak
sınavla sertifika verilmelidir. Sertifikanın belli bir geçerlilik süresi olmalı, bu sayede personelin
teknik olarak kendini yenilemesi sağlanmalıdır. Yeni neslin bilgi güvenliği bilinciyle yetişmesini
sağlamak için okullarda bilgi güvenliği konusunda eğitimler verilmelidir. Ulusal güvenlik açısından
kritik olarak değerlendirilen kuruluşlara bilinçlendirme posterleri asılmalı, belirli aralıklarla
seminerler verilmelidir. Tüm vatandaşların bilgi güvenliği bilincini artırmak amacıyla medya aktif
kullanılmalı, televizyonlarda programlar yapılmalıdır. Tüm vatandaşlara hitap eden bir İnternet
130
sitesi aracılığıyla bilgi güvenliği konusundaki temel dokümanlara ulaşım kolaylaştırılmalıdır. Bu
site e-öğrenme altyapısıyla son kullanıcılar için bilgi güvenliği eğitimleri vermelidir.
Kamu Kurumları Bilgi Güvenliği Programı
Kamu kurumlarının bilgi güvenliğini sağlamak amacıyla öncelikli atılması gereken adım bu
kurumlarda bilgi güvenliğinden sorumlu personelin belirlenmesidir. Kurumlarda bilgi güvenliğinin
sağlanması ancak üst yönetimin desteği ile sağlanabilir dolayısıyla bilgi güvenliği sorumluluğu
öncelikli olarak kurumun en üst yöneticisine aittir. Kamu kurumlarında bilgi güvenliğinin
sorumluluğu en üst yöneticiye verilmekle beraber operasyonel ihtiyaçları karşılamak amacıyla
gerekirse organizasyon yapısında değişikliğe giderek bilgi güvenliği birimi kurulmalıdır. Bu birim
kurum içi Bilgisayar Olaylarına Müdahale Ekibi (BOME) olarak hizmet vermeli, kurumda bir
güvenlik olayı yaşanmaması için gerekli önlemleri almalı ve meydana gelen güvenlik olaylarına ilk
müdahalede bulunmalıdır. Kamu kurumlarında atılması gereken bir diğer adım ise dünyada kabul
görmüş Bilgi Güvenliği Yönetim Sistemi standardı olan ISO 27001:2005’e uyumluluğun
sağlanması olmalıdır. Bu sayede güvenliğin sadece anlık olarak ulaşılacak bir hedef değil devam
eden bir süreç olduğu kavranılacak ve çalışmalarda devamlılık sağlanacaktır. Yine bu standardın bir
gereği olarak kurumlar risk analizi yaparak eksikliklerini tespit edecekler ve bunları kapatma yoluna
gideceklerdir. Bilgi ve iletişim sistemlerinde çok sayıda yazılım ve donanım kullanılmaktadır.
Gelişen teknolojiyle beraber yazılım ve donanım ihtiyacını karşılamak amacıyla çok sayıda ürün
ortaya çıkmıştır. Bu ürünlerin tedariğini yaparken kurumlar Ortak Kriterler (Common Criteria)
sertifikasına sahip ürünleri tercih etmelidirler.
Siber Ordu
Siber ortamda savunma sadece bir kuruma ait birimin sağlayabileceği bir işlev değildir. Her
kurum ve kuruluşun kendi bilgi ve sistemlerini koruyacak yetkinliğe kavuşturulması siber
güvenliğin esasıdır. Kurum ve kuruluşların siber saldırılara karşı koyma adına gerçekleştireceği
çalışmalarda eğitim, danışmanlık ve bilgi desteğini TÜBİTAK BİLGEM'in hâlihazırda sağladığı ve
desteğin çok daha fazla kurum ve kuruluşa ulaşması adına gerekli kapasite artırım çalışmalarının
yapılması gerektiği değerlendirilmektedir.
Siber saldırılara dönük savunma konusunda özellikle internet servis sağlayıcılarına ve
internet servis sağlayıcılarını düzenleyen kurumlara çok önemli görevler düşmektedir.
Siber suçları önleyici faaliyetlerin gerçekleştirilmesi ve siber suçluların tespit edilmesi
Emniyet birimlerince gerçekleştirilmektedir. Bu yeteneğin daha da artırılması sağlanmalıdır.
Üniversitelerde açılması gereken siber güvenlik araştırma merkezlerinin gerekli akademik
çalışmaları ve Ar-Ge çalışmalarını gerçekleştirmesi gereklidir.
Siber ortamda gereken durumlarda saldırı yapılması konusunda sorumluluk, hedeflerin
niteliğine ve saldırının amacına göre farklı kurumlarda bulunmalıdır. Örneğin siber ortamdan
istihbarat elde edilmesi amacına yönelik eylem yeteneğinin istihbarat kurumlarında bulunması
gereklidir. Ayrıca açık kaynak istihbaratına, internet üzerinden otomatik veri elde edilmesi, bu
verilerin sınıflandırılması ve kullanılabilecek hale getirilmesi faaliyetlerinin dâhil edilmesi çok
131
önemlidir. Düşman ülkelerin siber saldırı potansiyelleri, ulusal ve uluslararası hacker gruplarının
tespiti ve takibi gibi konuların istihbarat kurumlarınca ele alınması gereklidir.
Bir savaş halinde askeri bilgi sistemlerini hedef alacak siber saldırıların silahlı kuvvetler
birimlerince yapılması gereklidir. Siber saldırı kavramı normal askeri saldırı kavramından ayrı
tutulmamalı, siber saldırının sadece düşman tarafından gerçekleştirilebilecek olası siber saldırılara
karşı yapılabilecek bir eylem olarak düşünülmemesi, normal bir saldırıda da kullanılabilecek ana ya
da tamamlayıcı bir unsur olarak ele alınması gerektiği değerlendirilmelidir.
Herhangi bir ülkenin kritik bilgi sistem altyapılarının hedef alınmasının, can ve mal kaybının
hem askeri, hem sivil kesimi etkilemesi açısından uluslararası savaş hukukunun “ayrım” ve
“orantılılık” (“distinction” ve “proportionality”) ilkelerine aykırı olacağı değerlendirilmektedir.
Bilişim ve iletişim teknolojilerinin, insanların, ulusların ve her ülkenin gelişimi için sunduğu
benzersiz olanaklar, her geçen gün akıl almaz bir hızla artarak yayılmaktadır. Aslında bu gelişme
bilişim ve iletişim teknolojilerinin, herhangi bir merkezi bulunmadığı halde, bilginin paylaşımına
dayanan ve çok taraflı katılımcı yapısından kaynaklanmaktadır. Bu nedenle, bu alanda yapılacak
tüm hukuksal düzenlemeler, saydam ve paylaşımcı bir süreç içerisinde gerçekleştirilmelidir; bilişim
ve iletişim teknolojisi ile doğrudan ve dolaylı olarak ilgili olan tüm taraflar bu sürece
katılabilmelidir.
Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak
tanımlanabilir. Bu bağlamda kimlik, iletişim ve sağlık bilgileri ile malî kayıtlar, özel hayat, dini
inanç ve siyasi görüşe dair bilgiler kişisel veri olarak nitelendirilebilmektedir. Bireyin adı, soyadı,
doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin
akli, psikolojik, fiziki, kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin verilerdir. Toplumda
yasal dayanak olmaksızın kişisel verilerin işlenebilmesi ve etkin bir denetim mekanizmasının
bulunmaması “fişleme” olarak adlandırılan olumsuz bir algının oluşmasına da sebebiyet vermiştir.
Kişisel veriler düzenlemesine dair değerlendirmeler hep bu “fişleme” eksenine göre yapılmaktadır.
İnsan haklarının korunması bilincinin gelişmesine paralel olarak, kişisel verilerin korunmasına dair
farkındalık daha belirgin hale gelmektedir. Bu anlamda uluslararası kabule uygun “kişisel veri”
kavramını örneklendirmek yararlı olacaktır.
AB Veri Koruma Direktifiyle uyumlu olan yukarıdaki tanım geniş anlamıyla;
Cinsiyet, medeni hal, doğum yeri, diğer kişisel bilgiler ile ilgili bilgileri içeren uygulamaları
(Nüfus sayımı),
Polis kayıtları gizli olsa bile polis tarafından parmak izi, fotoğraf ve diğer kişisel bilgilerin
kaydedilmesini,
Tıbbi verilerin toplanması ve tıbbi kayıtların tutulmasını,
Vergi makamları tarafından kişisel harcamaların detaylarını (ve böylece özel hayatın
detaylarını) açıklama zorunluluğu getirilmesini,
Sağlık, sosyal hizmetler, vergi gibi idari ve sivil konuları ele alan bireysel kimlik belirleme
sistemi gibi uygulamaları kişisel veri içeren uygulama olarak değerlendirmektedir.
Kişisel veriler, özel sektör ve kamu tarafından bilişim sistemlerine kaydedilmekte, bu
sistemler üzerinden işlenmekte ve otomatik yollarla sıkça kullanılmaktadır. Bilgi çağı olarak
132
nitelendirilen günümüzde kişisel verilerin kullanılmasının bireyler, mal ve hizmet sunanlar
bakımından bazı kolaylıklar veya avantajlar sağlamasının yanında söz konusu bilgilerin istismar
edilmesi riskini de barındırmaktadır. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, işlenmesi,
kullanılması ve ifşa edilmesi, uluslararası sözleşmeler ve 1982 Anayasa’sında koruma altına alınan
temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin
oluşturulması gerekmektedir.
Siber Güvenlik Tatbikat Senaryoları Güncel Olmalı
Siber güvenlik tatbikatlarının içeriklerinin son 3 yılda karşılaşılan saldırılara uygun olarak
hazırlanması zorunluluk olmuştur. Aksi takdirde artık geçerliliği olmayan tehditlere karşı bir
tatbikat düzenlenmiş olur ki, bunun da faydası sınırlı kalır. Siber güvenlik tatbikat senaryolarının
güncel olmasının yanında sonuçların paydaşlarla bilgi niteliğinde paylaşılmasının ötesinde, bu
sonuçların bir eylem planı kapsamında ele alınması ile harcanan zaman ve ayrılan kaynakların
karşılığı alınmış olacaktır.
Günümüzde bilgi teknolojileri altyapısından bağımsız olarak yürüyen iş ve süreç neredeyse
kalmamıştır. Bir hastanın tedavisi, bir uçağı kalkış planı, bir KOBİ’nin muhasebesi, bir okulun not
sistemleri, Emniyet teşkilatının kayıtları, iletişim için vazgeçilmez hale gelen cep telefonlarımız
gibi aklımıza gelen veya gelmeyen pek çok alanda bilgisayar sistemleri kritik öneme sahiptir. Kritik
altyapı ve sistemler dışında da, özellikle sosyal medya kullanımının artması ve teknolojinin daha
kolay (maliyet ve yaygınlık bakımından) ulaşılabilir hale gelmesi bilgi teknolojilerinin günlük
hayatımızın da vazgeçilmez bir parçası olmasına neden olmuştur. Bu kadar yaygın olan bir ağ, hiç
şüphesiz saldırganların iştahını kabartacaktır. Siber güvenlik konusunun önemini anlamak için siber
saldırı boyutu dışında kalanlara bakmak bile yeterli olacaktır. Örneğin, kuruluş e-postalarımızın
geldiği mobil cihazımızı bir yerde unutursak konu, basit bir telefon kaybetme olayının çok ötesinde,
e-postalarda bulunan kuruluş ticari sırlarının da başkaları tarafından okunmasıyla sonuçlanabilir.
Yine siber saldırı vektörü dışına bakarsak Türk Hava Yollarının 1951 sayılı uçuşunu örnek
gösterebiliriz. 25 Şubat 2009 tarihinde gerçekleşen bu uçak kazası büyük oranda Boeing 737-800
tipi uçağın teknik sorunlar yaşamasından kaynaklanmıştı. Bu da bize sistemlerin güvenliği kadar
güvenilirliğinin de önemli olduğunu göstermektedir.
Siber güvenlik denildiğinde aklımıza saldırganların bilgi teknolojileri ve iletişim
altyapılarını kullanarak, yine bilgi sistemlerimizi hedef aldığı çeşitli senaryolar gelmektedir.
Söylediğim gibi bu kadar yaygın olan ve insan hayatını etkileyebilecek kadar kritik noktalarda
kullanılan sistemlerin kötü niyetli kişi veya kişilerce saldırıya uğraması doğaldır. Ülkelerin siber
güvenlikle ilgilenmelerindeki başlıca nedenler ulusal güvenliğin sağlanması ve ulusal çıkarların
korunması olarak düşünülebilir. Bu anlamda ülkeler kendilerini gelebilecek saldırılara karşı
korumaya çalışırken bir yandan da siberuzayı çıkarları doğrultusunda etkin kullanmayı
hedeflemektedirler.
Akıllı cihaz penetrasyonunun artmasıyla siber saldırılar da artıyor. Türkiye en çok siber
saldırıya uğrayan ülkeler listesinde ilk sıralarda yer alıyor. Global listede, ABD, Çin, Almanya,
İngiltere, Brezilya, İspanya, İtalya ve Fransa’dan sonra 9’uncu sırada. Fortinet -2014 Threat
Landscape Report’a göre; Türkiye’deki bilgisayarların yüzde 45’i siber saldırıya uğruyor. Ele
geçirilmiş bilgisayar (Botnet) oranında dünya 4’üncüsü. 2013 Websense Threat raporune göre de
133
web uygulamalarına yapılan ataklarda Türkiye dünyada 5’inci, Avrupa’da 4’üncü ülke. Bu veriler,
son dönemde e-fatura dolandırıcılığı olayları yaşanan Türkiye’de de kurumların, şirketlerin,
kişilerin ciddi bir riskle karşı karşıya olduğunu gösteriyor.
Global rakamlar daha ürkütücü. Kaspersky Lab’in raporuna göre, sadece bir grup korsan,
2013 yılı sonundan bu yana 30 ülkede 100’den fazla bankanın sistemlerine sızdı ve düzenlediği
saldırılarda 1 milyardan dolardan fazla para çaldı. Siber korsanlar geçtiğimiz yılbaşı Sony’ye
saldırarak serverlarını 3 gün boyunca kullanılamaz hale getirdi. Geçen yıl bir uluslararası bankanın
milyonlarca müşterisinin bilgileri çalındı. Yine geçtiğimiz günlerde Newsweek Dergisi’nin sosyal
hesapları hackerlar tarafından bir süreliğine ele geçirildi.
“Siber güvenliğin sağlanması, öncelikle kurumlarda ve vatandaşlarda farkındalığın
geliştirilmesi, standartların ve regülasyonların oluşturulması ve takip edilmesi, son olarak da bu
alanda milli çözümlerin geliştirilip kullanılması gerekir. Yerli güvenlik çözümlerinin geliştirilmesi
için teşviklerin sağlanması ve bu çözümlerin kullanılması yönünde cesaretlendirici bazı adımlar
atıldıysa da, henüz istenilen noktaya gelinemedi. Kullanıcıların bilinç seviyesinin artırılmasının yanı
sıra, ürünlerde güvenlik kriterini tasarımdan işletmeye kadar dikkate alan düzenleme, sertifikasyon
ve lisanslama getirilmesi gerektiği kanısındayız. Bu konuda gerekli teşvikler sayesinde hızlı ulusal
çözümler geliştirilmeli
Bu büyük tehdit siber güvenlik pazarını da hızla büyütüyor. Sektör yetkililerinin verdiği
bilgiye göre güvenlik alanında faaliyet gösteren şirket sayısı 70’i, pazarın büyüklüğü de 500 milyon
lirayı buldu. Şirketlerin çoğu yerli olmakla birlikte sektörün bütün yabancı oyuncuları da pazarda ve
bunlar büyük holdingler ve bankalarla çalışıyorlar. Pazarın büyük kısmını da bu alan oluşturuyor.
Donanım ve yazılım tarafında ithalat yüzde 90’ın üzerinde. Yazılım pazarının (4.9 milyar lira)
yaklaşık yüzde 10’unu da (490 milyon lira) içerik güvenliği pazarı oluşturuyor. Aslında bu rakam
bir tahmin net bir rakam vermek zor.
Türkiye’nin güvenlik sektöründe ihracatı neredeyse sıfıra yakın ve tamamı ithalat. Yabancı
ürünler sektörün neredeyse tamamını oluşturuyor. Yerli donanım ve yazılım da üretebiliyoruz.
Kamu, yerli güvenlik duvarlarını kullanmalı. Böylece halen ürünlerimiz yetersiz seviyede olsa dahi,
ihtiyaçlar doğrultusunda iyileştirilecektir.
Siber savunma ürünlerinin yüzde 97’si yurtdışından geliyor. Bu ürünleri en fazla İsrail,
ABD, Avrupa ve Çin’den alıyoruz. Son 3 yılda yabancı firmalar Türkiye’de yerli ortak bularak
veya şirket satın alarak pazara girmektedir. Bunlar özellikle, Almanya, Rusya ve ABD’li firmalar.
Geleceğin istihbaratı siber dünya üzerinden olacağı için bu konuda hizmet veren yerli firmaların
önemi gittikçe artmaktadır.
Önemli verilerin çalınması ve maddi kazanç sağlama gibi amaçlarla da hareket ediyorlar. Özellikle
finans ve bankacılık kurumlarına yapılan saldırılarla maddi kazanç hedefleyen bilgisayar korsanları
aynı zamanda kurumların sosyal medya hesaplarını ele geçirerek itibar kaybına neden olabiliyorlar.
Son yıllarda siber güvenlikle ilgili birçok olumlu adım atıldı, ancak tam anlamıyla koordineli
çalışan bir sistemin bulunmamaktadır. Eğitimli insanları bir araya getirmek, yeni uzmanları
eğitmek, kimin bu işin yürütücülüğünü üstleneceğini belirlemek, finansmanı bunların yapılması
lazım, o yüzden hazır değil. Teknoloji o kadar hızlı değişiyor ki, farklı yazılımlar var. Robot
yazılımı ayrı bir şey, bilgisayar yazılımı ayrı bir şey. Ülkemizde bu işi yapabilecek her dalda çok iyi
fizikçisi, çok iyi matematikçisi, çok iyi biyaloğu, çok iyi tıpçısı olmalı.
134
Yapılan bir araştırmaya göre 2016'nın bilişim-telekom sektörünün en sıcak kariyeri "Siber
Güvenlik" olacak gibi gözüküyor. ABD'de 209 bin siber güvenlik pozisyonu boş duruyor ve
ilaveten Stanford Üniversitesi İş İstatistikleri araştırmasına göre yeni taleplerin % 74 artması
bekleniyor. Hatta Cisco'nun siber güvenlik eleman azlığı raporuna göre, 2016'da 1 milyon siber
güvenlik elemanı aranacak. Cisco siber güvenlik elemanı talebinin 2019'da dünya çapında 6
milyona ulaşacağını ve bunun pazarda mevcut insan kaynağından 1,5 milyon daha az kalacağını
belirtiyor. Yine Forbes siber güvenlik pazarının 2015'de 75 milyar $'dan, 2020'de 170 milyar $'a
yükseleceğini belirtiyor. Özel bir firmada, mesela bir bankada çalışıyor bile olsa, siber güvenlik
uzmanlarının savaşacağı insanlar artık sadece siber suçlular, hackerlar da değil, hükümetler de
sorun yaşadıkları ülkeleri zorlayabiliyor.
Ülkeler, firmalar siber güvenlik sıkıntısı çekerken, siber güvenlik kariyerini seçenler için bu
durum büyük bir avantaja dönüyor. İşin stresi ve yoğunluğu bir yana, batı dünyasında insan
kaynakları pazar raporlarında siber güvenlik uzmanları için 6 rakamlı maaşlardan, iş güvencesinden
ve rahatlıktan bahsediliyor. Güvenlikçiler, diğer IT pozisyonlarına nazaran % 9 daha yüksek maaş
alıyorlarmış. DICE tarafından yayınlanan rapora göre, piyasada aranan pozisyonlar arasında en
yüksek maaş alan 5 IT güvenlik kariyeri şöyle sıralanıyor (maaşlar brüt ve yıllık)
Yazılım Güvenliği Mühendisi Yöneticisi - 233,333 $/yıl brüt
Güvenlik Üst Yöneticisi - 225,000 $/yıl brüt
Global Bilgi Güvenliği Direktörü - 200.000 $/yıl brüt
Bilişim Güvenliği Üst Yöneticisi - 200.000 $/yıl brüt
Güvenlik direktörü - 178.333 $/yıl brüt
Siber güvenlik kariyerine geçmeyi hedefleyenler için belirtelim, güvenlik kariyerinin
başlangıç noktası siber güvenlik analisti olarak kaydediliyor. Siber güvenlik analisti olmak için
bilgisayar mühendisliği ya da yazılımcı eğitimi almış olmak gerekiyor. Ancak bu alandaki eleman
yetersizliği nedeniyle, sadece üniversite mezunları değil, lise mezunları da kendilerini yetiştirerek
bu alana girebilirler.
135
SONUÇ VE ÖNERİLER
137
SONUÇ VE ÖNERİLER
Günümüze kadar oluşan gelişmeler de siber dünyanın getirdiği nimetlerin günden güne
artmasıyla birlikte güvenlik açısından problemlerin sayısı da artmıştır. Öte yandan bütün reel
kavramlarımızın başına siber ön takısıyla oluşturduğumuz ifadelerle, kavram karmaşası da
artmaktadır: Siber terörizm, siber savaş, siber tehdit, siber çeteler, v.b. Siyasi
değerlendirmelerimizde sınırlarının nerede başlayıp nerede bittiğini bilemediğimiz kavramlar siber
uzayın farklı yapılanması nedeniyle durumu daha da karmaşıklaştırmaktadır.
Siber uzayın gelişen ortamı henüz uluslararası sistem ve hukukun bütünüyle kapsayabildiği
bir alan değildir. Halihazırda bütün ülkeler “milli” siber alanlar oluşturmaya çalışmaktadırlar. Gerek
ABD’nin kendine yönelen bir saldırı olduğunda interneti kapatma gayretleri, gerekse İran’ın
Stuxnet sonrasında kapalı internet oluşturma çabaları sınırların belirlenmesine yönelik doğum
sancılarıdır. Aktörlerin belirsizliği ve siber uzayın hızı ulus devletleri internet karşısında aciz
bırakmaktadır. Büyük ve simetrik devlet yapılarının yeni ortaya çıkan bu tehditlere karşı eski
organizasyonlarla karşılık vermekte zorlandığı görülmektedir. Siber tehditlerle mücadele edebilmek
için devletlerin asimetrik ve hızlı tepki veren organizasyonlara ihtiyacı vardır. Tehdidin niteliğini
derinlemesine anlamak, geliştirilecek tedbirlerin tutarlılığını arttıracaktır.
Global ölçekte bakış açısı, bize gösteriyor ki, Siber Orduların Kurulması, ülkelerin politik
gelişmelerini takip eden aktivist siber korsanların siber saldırıları, ülkemizde yaşanan Rusya ile
uçak düşürme olayının ardından .nic.tr dns sunucularına yapılan saldırının ünlü bir siber korsan
grubu tarafından üstlenip (Anonymous), gerekçesinin ise Türkiye’nin, bir örgüte verdiği desteğin
olduğunun açıklanması, Rusya’nın, Estonya’ya 2007 senesinde, tüm dijital devlet alt yapısını felce
uğratan saldırı ile 50 güne yakın Estonya’yı karanlığa gömmesi, The Internet of Things (Nesnelerin
İnterneti), Big Data, eGovermence vb. kavramlar ile kontrolü zorlaşan büyük yapıların hayatımıza
girmesi ile sanal ortamların kendi kanunsuzlarına iş yapma mecraları oluşturması, bunun da bir
ülkeyi karanlığa boğacak bir savaş kadar etkili olduğunu görmek bize siber güvenliğin ne kadar
önemli olduğunu hatta öneminin arttırarak devam edeceğini göstermektedir.
Siber korsanların, arkalarındaki gizli güçler (Devletlerin İstihbarat Güçleri) aracılığı ile
düzenli ordunun vereceği zararlar gibi tehlikeli olması, ülkeleri bekleyen tehditler sıralamasında
Siber Güvenliği zirveye taşımaktadır.
Son 2 senedir Ulaştırma Bakanlığı öncülüğünde yürütülen Siber Güvenlik Eylem Planı ve
bu planın bir parçası olarak Siber Olaylara Müdahale Ekipleri(SOME) kurulması farkındalığın
gündemde olduğunu göstermektedir. Ancak yaşanan olaylardaki sonuçlar, 2 yıllık bir farkındalığın
yeterli boyutlarda uygulanmadığının da önemli bir göstergesi olmaktadır.
Özellikler kamu ile sınırlı kalan bu farkındalık, özel sektörü de içerisine alarak kendi
ekosistemini oluşturmalı ve milli bir politikaya dönüştürülmelidir. Çünkü milli egemenliğimizi
korumak için düşmanımızın araç ve gereçlerini kullanmaktayız.
Siber Güvenlik stratejilerimizi geliştirirken daha global düşünmeliyiz. Siber güvenlik
alanında donanım ve yazılımın önemini vurgularken bütün bu altyapıyı kullanacak olan insanların
en önemli halka olduğunun unutulmaması gereklidir. Tüm önlemlere rağmen siber uzayın sunduğu
nispeten kontrolsüz yapı, Stuxnet, Flame gibi saldıranın belirsiz olduğu ama verilen zararın büyük
olduğu olaylara neden olmaktadır.
139
Büyüklüklerine bakılınca saldırıların arkasında devletlerin olduğu tahmin edilmektedir.
Fakat siber uzayın kendine has yapısı böyle bir saldırının kimin tarafından yapıldığını kanıtlamayı
güçleştirmektedir. Öte yandan siber uzayda her an fark edilmeden birçok siber casusluk faaliyeti de
gerçekleşmektedir. Sanıldığının tersine siber güvenlik dünyasında açıkça ilan edilen saldırılardan
ziyade sessizlikle icra edilenler daha etkin ve korkutucudur. Bu tür operasyonlar Stuxnet’te olduğu
gibi web sayfalarının ele geçirilmesinden daha etkili eylemlerdir.
Gelecekte Siber güvenliği etkileyecek en önemli unsur insan ve teknolojinin yaygınlığıdır.
Gelecek nesiller küçük yaşlardan itibaren bilişim teknolojileriyle büyüdükleri için bilişim
teknolojilerine daha hakim olduklarını görüyoruz. Bilişim teknolojilerinin evlerimizin ve işlerimizin
her noktasında artan hakimiyeti insan unsuruyla birleştiğinde gelecek yıllarda nasıl bir dünyada
yaşayacağımızı tahmin etmek zor olmayacaktır.
Öte yandan devletlerin siber uzayı yakından takip ederek, vatandaşlarını takip eden
teknolojilere yönelmeleri de çokça tartışılan noktalardan birisidir. İnternetin getirdiği özgürlük
ortamının genişlemesi devletlere olayların kontrolden çıkabileceği bir medyanın var olduğu hissini
vermektedir. Bu durumda devletler de internet üzerinden bireysel hak ve özgürlükleri ihlal edecek
şekilde insanları izlemeye başlamışlardır. Fakat bunu fark eden insanların önderliğinde muhalefet
grupları da oluşmaya başladı. Devletlerin kontrolü arttıkça buna karşı oluşan protest gruplarının
saldırıları da artmaktadır. Ortaya çıkan şiddet sarmalı ise siber güvensizliği arttırmakta ve siber
çatışmanın en üst seviyesi olan siber savaş ihtimalini sık sık gündeme getirmektedir.
Siber savaşın bu denli yüksek sesli konuşulması devletlerin muhtemel çatışma ihtimaline
karşın büyük yatırımlar yaparak hazır olma sürecini başlatmaktadır. Siber silahlar ve güvenlik
araçları sağlamak için gelişen endüstri beraberinde bu konuda hacmi artan ekonomi günden güne
büyümektedir. Muhtemeldir ki, bir gün tehdidin belirsizliği ya da imkansızlığı haline bakılmaksızın
genişleyen siber güvensizlik alanı ve onun ekonomisi, varlıklarını anlamlandırmak için çatışmayı
teşvik eder hale geldiğini göreceğiz. Böyle bir sürece engel olmak siber güvenlik için atılacak en
önemli adımdır.
Siber uzayın getirdiği nispeten özgürlükçü ifade ortamına zarar vermeden esnek ve dinamik
çözümler üretilmelidir. Günümüz güvenlik algılarının bu anlamda büyük değişimlere ihtiyacı
vardır. Devletlerin siber uzayın oluşturduğu sanal gerçekliği derinden anlaması ve buna uyumlu
yapılar oluşturması zorunludur. Bu süreç tam anlamıyla gerçekleşinceye kadar siber güvenliğin
sağlanması da kolay değildir.
Bütün ülkelerin bilgisayar ve iletişim teknolojilerine kaçınılmaz olarak bağımlı olması,
içinde bulundukları risk durumlarının da, buna bağlı olarak artmasına yol açmaktadır. Gelişen
teknoloji ile birlikte, terör yöntemleri de bu gelişen teknolojilere paralel olarak kabuk değiştirmekte
ve dünya üzerindeki tüm ülkeleri siber terör saldırıları tehdit etmektedir.
Genellikle siber terörün karakterine ilişkin olarak iki tip siber terör söz konusudur. Birincisi
şiddet içermeyen siber terör eylemeleri ki bunları propaganda, bilgisayarı kötüye kullanma yönünde
eğitim ve iletişim-haberleşme ağlarına yönelik eylemler olarak sınıflamak mümkündür. Şiddet
içermeyen siber terör eylemleri hedef alınan yapıyı zayıflatma, güvenirliliğini sarsma ve maddi
kazanımlar elde etme çabasına yöneliktir. Diğer bir siber terör çeşidi, şiddet içeren eylemlerdir. Bu
terör eylemlerinin amacı hedef alınan yapıyı yıpratma, yıldırma ve yok etmeye yöneliktir.
140
Kullanılan araçlar çoğu zaman büyük maddi zararlara (iletişim altyapısına yönelik) ve toplumsal
çöküntülere (huzursuzluk ve korku) neden olur.
“3. Dünya Savaşı’nda hangi silahların kullanılacağını bilmiyorum, ama 4. Dünya Savaşı’nda
taş ve sopalar olacağını biliyorum”. Tüm zamanların en parlak ve en tanınmış fizikçisi Albert
Einstein’a ait olan bu söz, insanlığın neredeyse tamamını yok edecek güçte silahlar
üretilebileceğini, dolayısıyla bir sonraki savaşı yapmak için Dünya’da insan kalmayabileceğini
ifade eder. Fakat bu söz, savaş gerçeğini yok edemiyor. Farklı bir boyutta yapılıyor olsa da, savaşa
hazırlık her zaman önemli.
Siber Savaş Gerçek : Şimdiye kadar olanlardan çok daha kötüsü de olabilir. Saldırganlar
gelişken yöntemlerini açığa çıkartmak istemiyor. Siber savaşta olabilecekler modern bir ülkeyi
mahvedebilir.
Siber Savaş Işık Hızında Gerçekleşiyor : Saldırı paketlerinin fotonları fiber optik
kablolardan akarken, saldırının başlangıcı ve etkisi arasındaki zaman aralığını ölçmek bile mümkün
değil.
Siber Savaş Küreseldir: Daha önceden çeşitli ülkelerde ele geçirilmiş olan sunucular
anında hizmete girdiği için, herhangi bir siber çatışmada savaş küresel hale gelir. Birçok ülke
anında devreye girer.
Siber Savaş Geleneksel Savaş Alanından Önce Yer Alır: Düşman ülkenin geleneksel
savunmalarını imha etmeden önce, hava savunma radar ve füze sistemleri ve tüm başka kritik
sistemler siber uzaydan kolayca yok edilebilir.
Siber Savaş Başladı : Çatışmayı bekleyen ülkeler “savaş alanını hazırlıyor” Birbirlerinin
altyapı ve ağlarını hack ediyorlar. Barış zamanında tuzakları, açık kapıları ve lojik bombalarını
kuruyorlar. Siber savaşın süreklilik unsuru, savaş ve barışın birbirine karışması, yeni bir boyutta
ortamı tehlikeli istikrarsızlığa sürüklüyor. Gelecekteki kinetik savaşlarında siber unsurlarca
destekleneceği kesin gözüküyor. Ayrıca tek başına siber harp de geleceğin olmazsa olmazlarından.
Böyle bir harp, patlayan bombalar, piyade meydan muharebeleri, havada savaş ve donanımların
birbirleri ile kapışması olmaksızın gerçekleşecek. Ancak henüz en güçlü ülkelerin en gelişkin siber
silahlarını kullandığı tür bir siber harp henüz gerçekleşmedi. Bu yüzden kimin kazanacağı, bu
savaşın sonuçlarının ne olacağı şu anda bilinmiyor. Tam ölçekli bir siber harbin tahmin edilemez
sonuçları olacaktır ve dünyanın askeri dengesini, temel politik ve ekonomik ilişkilerini de
değiştirme potansiyeli vardır.
Siber terör eylemlerinin mekan olgusuna bağımlı olmadan işlenebilme özelliğinin
bulunması, devletlerin birlikte mücadele vermelerini zorunlu kılmaktadır. Bunun da uluslararası
organizasyonlar bünyesinde işbirliğine gitmek yoluyla olması gerektiği açıktır. Bugüne kadar sınırlı
sayıda uluslararası antlaşmalar imzalanabilmiş ve birkaç kurum siber saldırıyla mücadele etmeyi
amaçlamıştır. Avrupa ülkelerine düzenlenen siber saldırılar AB ve NATO gibi uluslararası örgütleri
harekete geçirmiş ve siber tehdide karşı birlikte hareket etmenin gerekliliğini ortaya koymuştur.
Avrupa Konseyi’nin 23 Kasım 2001 tarihinde siber suçla mücadele için düzenlediği zirve
sonrasında kabul ettiği metin bu alandaki ilk uluslararası antlaşma niteliğini taşımaktadır. Ana
amacı ortak bir politika geliştirerek siber suçla mücadele etmek olan zirvede siber suçla mücadelede
izlenecek yolun uluslararası işbirliği ve buna uyumlu yasalarla mümkün olabileceği vurgulanmıştır.
2004 yılında yürürlüğe giren antlaşmayı 22 Avrupa Konseyi üyesiyle birlikte ABD de imzalamıştır.
141
Bilgisayar sistemlerine yasadışı erişim, sisteme ve içindeki bilgilere müdahale ve bilgisayarla ilgili
diğer sahtecilik işlemleri de suç sayılarak bu durumun engellenmesi için her devletin sahip olduğu
kanıtları karşılıklı işbirliği çerçevesinde paylaşması istenmiştir.
Özellikle üyeleri arasında güvenlik ve işbirliğini teşvik eden AGİT siber saldırıya karşı
önlemler alan diğer bir uluslararası örgüttür. Bu örgüt Estonya, Litvanya gibi Avrupa ülkelerine
yapılan saldırılardan sonra siber terör konusunu daha dikkatle incelenmeye başlamıştır.
Uluslararası sistemde bu ve benzeri güvenlik ve işbirliği arayışlarına rağmen siber teröre
karşı etkili bir mücadele henüz sağlanamamıştır. Ayrıca ve daha da önemlisi küresel anlamda
üzerinde uzlaşılan bir terör tanımlaması yapıldıktan sonra siber terörü de tanımlamak ve
önümüzdeki dönemde bu tehdide karşı uluslararası aktörleri bir araya getirmek mümkün
olabilecektir.
Bu çok zor ve gerçekleşmesi imkansıza yakın bir çabadır. Çünkü uluslararası sistemde
Birleşmiş Milletler’e üye 193 devlet bulunmaktadır ve bu kadar devleti aynı tanım üzerinde
uzlaştırmak bugüne kadar mümkün olmamıştır. Her devletin kendi terör tanımı vardır ve birinin
terör dediğine diğeri özgürlük savaşı diyebilmektedir.
Üstün bir otoriteden ve dolayısıyla da etkin bir yaptırım gücünden mahrum olan uluslararası
hukukta devletlerarası ilişkiler egemen eşitlik prensibi ile gerçekleşmektedir. Bu prensibe göre
devletler, egemen oldukları sınırlar (territoriality) dahilinde yaptırım gücüne sahiptirler. Bu noktada
akla çok önemli bazı sorular gelmektedir.
Örneğin devletlerin sahip oldukları bu yaptırım gücü, devletin kullandığı siber alanda da
aynı şekilde olmalı mıdır? Ya da devletin hüküm sürdüğü toprak üzerindeki siber alandan sadece o
devlet mi yararlanmaktadır? Siber alan fizik alan gibi üzerinde egemenlik kurulabilen bir alan
mıdır? Kime ya da kimlere aittir?
Bütün bu ve benzeri sorular devletin sahip olduğu coğrafyaya dayanan mülkiyet
(territoriality) kavramını günümüzde gittikçe muğlak bir terim haline getirmektedir. Çünkü gelişen
teknoloji sayesinde siber saldırılar, devletin hüküm sürdüğü coğrafyayı siber alan açısından tartışılır
hale getirmiştir. Ayrıca gelişen teknoloji siber saldırı ve terörist eylemlerin aynı anda birbirinden
farklı devletlerin egemen olduğu coğrafyalarda ortaya çıkmasına ve başka bir devlete zarar
verebilmesine de olanak sağlamaktadır.
Böylelikle devletin egemen olduğu ülke ile o ülkeye ait siber alan gittikçe birbiriyle çelişen
tutarsız yapılar olmaya başlamıştır. Ayrıca, siber güvenliği sağlayacak uluslararası işlemin
maliyetinin devletler arasında nasıl paylaşılacağı da bir başka sorundur. Çünkü siber saldırılar
genellikle bir devletten yürütülmediği için bu tip saldırı hazırlıklarının yürütüldüğü devletlerin siber
alanlarının belirlenmesi ve faaliyetlerin önüne geçilmesi için gerekli olan insan, zaman ve
ekonomik kaynağın nasıl sağlanacağı bir muammadır.
Öte yandan, devletlerin siber saldırı ve terör olaylarına bakış açıları farklı ve hatta bazen
aynı devletin zaman içerisinde değişen tutarsız yaklaşımları olabilmektedir. Siber alanı daha az
kullanan ve siber faaliyetleri düşük devletler, bu alanda daha aktif olan devletlere oranla siber
saldırılara daha duyarsız kalabilmektedirler. Bazı devletler ise siber saldırıyı bir savaş yöntemi
olarak kullanmaya meyilli olduğu için ve başka bir devletin siber güvenlik zafiyetinin kendi
142
sorumluluklarında olmadığını düşündüklerinden küresel boyutta bir siber güvenlik oluşumuna sıcak
bakmamaktadırlar.
2023 yılına kadar en az üç nükleer enerji santrali inşa etmek isteyen Türkiye’nin
stuxnet/flame/duqu benzeri siber saldırılara hedef olmamak için gerekli siber savunma altyapısını
kurması ve hazırlıklarını yapması gerekiyor.
Siber savaşta etkin savunma yapılabilmesi için siber güvenlik konusunun iyi kavranması
gerekiyor. Bu bağlamda yasal düzenlemelerin yapılması, uluslar arası hukuktan kaynaklanan
hakların kullanılabilmesi için hazırlık yapılması, ulusal bilgisayar olaylarına müdahale
organizasyonunun oluşturulması, ulusal siber güvenlik altyapısının güçlendirilmesi, siber güvenlik
alanında insan kaynağı yetiştirilmesi, siber güvenlikte milli teknolojilerin geliştirilmesi için seferber
olunması gerekiyor.
Bilişim teknolojisi ürünlerine olan talebin ve internet kullanımının hızla artmasıyla birlikte;
bilgi güvenliği, bilişim suçları, telif hakkı ile fikri ve sınai mülkiyet hakkı ihlalleri, kayıt dışı sanal
ticaret ile karşılaştıkları riskler de gündeme gelmiş ve bu hususların tüm yönleriyle incelenmesi
ihtiyacı doğmuştur.
Bu ihtiyaç karşısında, 24. dönem 2.Yasama yılında Araştırma Komisyonu kurulmuştur.
Meclis’te grubu olan tüm siyasi partilerin ortak iradelerini yansıtan araştırma önergeleri üzerine,
bilgi toplumu olma yolunda bilişim sektöründeki gelişmelerin değerlendirilmesi ile internet
kullanımının başta çocuklar, gençler ve aile yapısı üzerinde olmak üzere sosyal etkilerinin
araştırılması amacıyla kurulan Araştırma Komisyonu çok kapsamlı bir çalışma yürüterek ilgili
birimlere yıllarca ışık tutacak bir rapor ortaya çıkarmıştır.
Özellikle son dönemde Dünyada çok basit sebepler ile ortaya çıkan kıvılcımlar
provokatörlerin bilişim ve interneti körük olarak kullanarak alevleri güçlendirmesi ve kitleleri aynı
hareketleri, organize bir şekilde yapmasını sağlamıştır. Bazı yalan bilgilerle yangını büyütmeye
çalışmaları görülmüştür. Türkiye’de Gezi Parkı olayları, Ukrayna’da Halkın karakola saldırması,
Kuzey Afrika olaylarında sosyal medya kullanılmıştır.
Tüm Dünya ülkelerinde olduğu gibi Türkiye’nin de siber güvenliğinin sağlanması için acil
olarak alınması gereken tedbirler vardır. Ülkemizde; bilişim sektörünün tamamına ilişkin küresel
gelişmelerin yakından izlenmesi, bu alanda risklerin, fırsatların ve tehditlerin ayrıntılı olarak analiz
edilmesi, bilişim alanında ulusal düzeyde hedef, ilke, politika ve stratejilerin geliştirilmesi, bu
alanda ulusal koordinasyonun sağlanması ve uluslararası hukukun iç hukuk sistemine
uyarlanmasının koordine edilmesi ile ulusal siber güvenlik ve bilgi güvenliği stratejilerinin
oluşturulması gibi alanlarda merkezi bir kurumsal yapıya ihtiyaç duyulmaktadır. Nitekim Ulaştırma
Bakanlığı konuyla yakından ilgilenmektedir. Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile
USOM’un koordinasyonunda çalışacak sektörel Siber Olaylara Müdahale Ekipleri (SOME)
oluşturulacağı ifade edilmiştir. Bu çerçevede, acilen alınması önerilen tedbirlerden bazıları şu
şekildedir:
1. Bilişim İhtisas Mahkemeleri kurulmalıdır. Bilişim teknolojilerinin; ülke kalkınması ve
güvenliğinde kritik role sahip olması, hızlı biçimde gelişmesi, sorunlarının hızlı biçimde saptanarak
çözülmesinin kritik önemde olması sebepleriyle bilişim, elektronik haberleşme ve siber suçlar
alanında ihtisas sahibi hakim ve savcıların yetiştirilmesinin sağlanması ve bu alanlarda ihtisas
mahkemelerinin kurulması gerekmektedir.
143
2. Bilişim hukuku ve siber güvenlik hukuku alanlarında nitelikli uzman kadro
yetiştirilmelidir.
Özellikle siber güvenlik hukuku alanında nitelikli uzmanlara ihtiyaç bulunmaktadır. Bu amaçla, bu
alanda kapasite geliştirmeye yönelik ulusal strateji oluşturulmalıdır. Bilişim ve elektronik
haberleşme hukuku, bağımsız bir bilim dalı olarak kabul edilmeli, bu konuya yükseköğrenim
müfredatında yer verilmeli ve bu alanda lisansüstü programlar açılmalıdır.
3. Siber Suçlar Sözleşmesi onaylanmalı ve iç hukuka uyarlanmalıdır. Siber varlıkların ve
bunlar arasındaki iletişimin global hale gelmesi, internette saldırgan ve mağdurların çoğu durumda
farklı ülkelerde yer alması, bu durumlarda hukuki uyuşmazlıkların ulusal mevzuat ile
çözümlenememesi gibi sebeplerle uluslararası birlikte çalışabilirlik mekanizmaları ve
sözleşmelerine taraf olunmalıdır. Bu amaçla, Avrupa Konseyi tarafından tasarlanan ve Türkiye
tarafından da imzalanan “Siber Suçlar Sözleşmesi” TBMM tarafından onaylanmalı ve iç hukuka
uyarlanmalıdır.
4. Sosyal Medya özgürlük alanıdır ama bu durum kişilerin hakları ve sorumluluklarını
ortadan kaldırmaz. Kişisel verilerin izinsiz paylaşılmaması konusunda toplumsal bilinçlendirme son
derece önemlidir. Bu konuda hem devlete, hem bireylere görevler düşmektedir. Sosyal medyada
profilleri, kişilere ait dijital imza gibi kendilerine ait bir alan olduğu ve buradan paylaşılan
bilgilerden kişinin sorumlu olduğu konusunda kullanıcılar eğitilmelidir.
5. Kişilerin yaşadığı sorunlarla ilgili olarak Sosyal Ağların yönetiminin başka ülkelerde
olması kişilerin kendi sorunlarını takiplerini zorlaştırmaktadır. Sosyal Ağ sahibi firmalar Türkiye’de
temsilcilik açmalıdır. Bu husus da Bilişim ve İnternet Araştırma Komisyon Raporunda
belirtilmiştir.
Sonuç olarak; kişilerden kurumlara, kurumlardan tüm ülkeye varan boyutu ile Siber
Güvenlik, Ulusal güvenliğin en önemli unsurlarından biri haline gelmiştir. Dolayısıyla bu konuda
oluşacak herhangi bir zaafiyet doğrudan ülke güvenliğine tehdit anlamına gelmektedir.
Siber güvenlik, bir risk yönetim sürecidir. İnsandan başlayıp cihaz/altyapı ile devam eden,
süreçler ve uygulamalar ile vücut bulan bu olguda strateji ve politikalar büyük önem taşımaktadır.
Bu sürecin en zayıf halkası insandır. Bu süreçte kullanıcı, uygulayıcı ve karar verici konumundaki
her insanın konunun öneminin farkında olmasına, bilgi ve bilinç düzeyinin arttırılmasına ihtiyaç
vardır.
Doğru politika ve stratejilerin belirlenip, uygun süreç ve teknolojilerin seçilmesi ile
uygulamaya geçilmesi; süreç ve sonuçların sürekli izlenip periyodik olarak gözden geçirilmesi
başarının anahtarıdır. Kurumsal güvenlik için kullanılan siber güvenlik teknolojilerine her boyutu
ile hakim olmak gerekmektedir. Yeterince hakim olunamayan siber güvenlik teknolojilerinin
kullanılması (backdoor vb. riskleri nedeniyle) bizatihi siber güvenlik risk ve tehdidi oluşturabilir.
Ulusal güvenliğin önemli unsurlarından biri haline gelen siber güvenliğin gerçek anlamda
sağlanması, ancak bu alanda milli çözümlerin geliştirilip kullanılması ile mümkündür.
Bu maksatla, kritik alt sistem/bileşen/ teknoloji ihtiyaçlarının bir yol haritası bütünlüğü
içerisinde ele alınması; söz konusu ihtiyaçların proje tanımlamalarının, konusunda uzman
kurum/kuruluşlarla birlikte yapılması; bu faaliyetlerin mevcut altyapı ve yetenekler baz alınarak
144
mükemmeliyet ağı adı verilebilecek bir yapı içerisinde, işbirliği ve bilgi paylaşımı temelli olarak
planlı bir kaynak tahsisi ile gerçekleştirilmesi gerekmektedir.
Türkiye son 20 yıldır uygulanan politikalarla birçok ürünü ve alt sistemi bugün yurtdışına
bağımlı olmadan tasarlar ve üretir hale gelmiş, ancak yerli sanayi firmalarımız sistem seviyesinde
‘Ana Yüklenici' durumuna ancak son dönemdeki tecrübe ve güvene dayalı cesur proje modellerinin
uygulanmasıyla ulaşmıştır. Yerli sanayi gerek SSM gibi tedarik kurumlarının gerekse TSK gibi mal
ve hizmet bekleyen kurumların bu inancının karşılığını vermek üzere önemli sorumlulukların altına
imza atar hale gelmiştir.
Günümüzde devletler, teknolojiyi en üst düzeyde kullanarak, savunma sanayinde rekabet
avantajı yakalamayı hedeflemektedirler. Teknolojik verimlilik, karlılık, çeviklik ve yaratıcı
çözümlerle gelişme ve başarıyı sürekli kılmaya çalışmaktadırlar. Her zaman güncel bilişim
teknolojilerini kullanarak devletin savunma kurumlarının verimli, güvenli, kaliteli, hızlı, yenilikçi
ve daha şeffaf hizmet sunabilmesinde katkıda bulunmak amacı ile kamu güvenlik kurumları ve
savunma sanayi işletmelerine kurumsal çözümler ve ulusal güvenlik projelerinde katma değerli
projeler üretilmesi önemlidir.
Bilgisayar destekli tasarım ve üretim teknolojilerinin yaygınlık kazanması ile birlikte
dünyadaki muadilleri ile rekabet edebilir sistemler geliştirebilmek nispeten daha kolay hale
gelmiştir. Ancak, söz konusu sistemlerin geliştirilmesinde kullanılabilecek ileri teknoloji
malzemeler bu sürecin en kritik halkalarından bir tanesidir. Bu konuda dünyada birçok ülkenin milli
politikaları bulunmakta ve geliştirdikleri kritik malzemeleri dış pazarlara açmakta tedbirli
davranmaktadırlar. Ülkemizin ihtiyaç duyacağı ileri malzemelerin bu kapsamda milli imkanlar
dahilinde geliştirilebilir olması önemli avantajlar sağlayacaktır.
İşletim Sistemi ülke savunma sanayi için çok kritik öneme sahiptir. Çünkü bunlar gömülü
sistemler dediğimiz yazılımlardır. Bu sistemler milli olmadıkça sızmalara ve müdahalelere karşı
kendinizi tam olarak güvende hissetmeniz mümkün değildir. Yani füze, insansız hava aracı,
helikopter, uçak yapabilirsiniz. Ancak bu gibi sistemleri milli yapmazsanız kafanızda her zaman
kuşkular olacaktır.
Gizli projelerde milli işletim sistemi kullanılmaması durumunda işletim sisteminin satın
alındığı kuruma ve dolayısı ile de yabancı bir ülkeye proje ile ilgili bazı verilerin verilerek işletim
sisteminin gerekli bilgilere göre uyarlanması gerekmektedir. Artık milli bir işletim sistemi
kullanarak kritik verilerin dışarıya açılmasının önüne geçilmesi ve gömülü platformlarda tam
millileşmeye olanak sağlanması gerekmektedir.
İşletim sistemleri size ne kadar platform bilgisi açarsa siz o kadar donanımsal yeteneklere sahip
olabilirsiniz. İşletim sistemini yazan firmalar bazı bilgiler için size kısıtlama koyabilir. Türkiye’de
bu alanda tamamen yurt dışından alınan işletim sistemleri kullanılıyor. Mesela insansız hava
aracının yazılımını ve diğer parçalarını biz geliştirsek bile, eğer bu platformun üzerinde koşan
gerçek zamanlı işletim sistemi üzerinde bizim bilemediğimiz arka kapılar varsa işletim sistemi
yetenekleri bizim bilgimiz dışında kontrol edilebilir. Teknoloji o kadar hızlı değişiyor ki, farklı
yazılımlar var. Robot yazılımı ayrı bir şey, bilgisayar yazılımı ayrı bir şey. Ülkemizde bu işi
yapabilecek her dalda çok iyi fizikçisi, çok iyi matematikçisi, çok iyi biyaloğu, çok iyi tıpçısı
olmalı.
145
Hem kişiler hem de kurumlar tarafından çok etkin kullanılan bu siber dünya giderek daha
tehlikeli bir yer olmaya başlamıştır. Siber Güvenlik, siber saldırılar, siber savaş sözcükleri hem
bireylerin hem devletlerin kelime dağarcıklarına yerleşmiş gün geçtikçe daha vahim anlamlar
içermeye ve çağrışımlar yapmaya başlamıştır. Günümüzde tehdit asimetrik ve çok boyutlu bir hal
almış, tek boyutlu ve devletten devlete olma özelliğini kaybetmiştir. Kullanımı yaygınlaşan ve etkisi
gittikçe artan internet ve siber alanın uluslararası barış ve güvenliğe yönelik risk ve tehditlerine
dikkat çekmelidir.
Siber terör fiziki terörün etkilediği insandan daha büyük bir kitleyi etkileyebilme gücüne
sahiptir. Siber saldırı yöntemleri ile terör örgütleri, sistemleri kesintiye uğratmayı ve tamamen
tahrip etmeyi sağlayarak, enerji-su kaynaklarına, gaz ve petrol üretim veya depolama yerlerine,
ulaşım veya ilkyardım servislerine, iletişim ve banka ağlarına vb. stratejik kaynaklara karşı felakete
yol açmaktadırlar. Tüm bu nedenler siber saldırıların terör örgütlerince kullanılmalarını sağlamakta
ve onlara hem reel dünyada hem de sanal dünyada gerçekleştirecekleri eylemlerde kolaylıklar
sunmaktadır.
Siber savunma çabaları üç ana sektör üzerinde yoğunlaşacaktır. İlki internet omurgasıdır.
Savunma üçlüsünün ikinci ayağı elektrik şebekesinin güvence altına alınmasıdır. Savunma
üçlüsünün sonuncu ve üçüncü ayığı da savunmanın kendisidir.
Bir siber savaş felaketini önlemek ve siber suçların tırmanmasını önlemek için acilen
alınması önerilen tedbirlerden bazıları şu şekildedir:
1. Bilişim İhtisas Mahkemeleri kurulmalıdır. Bilişim teknolojilerinin; ülke kalkınması ve
güvenliğinde kritik role sahip olması, hızlı biçimde gelişmesi, sorunlarının hızlı biçimde saptanarak
çözülmesinin kritik önemde olması sebepleriyle bilişim, elektronik haberleşme ve siber suçlar
alanında ihtisas sahibi hakim ve savcıların yetiştirilmesinin sağlanması ve bu alanlarda ihtisas
mahkemelerinin kurulması gerekmektedir.
2. Bilişim hukuku ve siber güvenlik hukuku alanlarında nitelikli uzman kadro
yetiştirilmelidir. Özellikle siber güvenlik hukuku alanında nitelikli uzmanlara ihtiyaç
bulunmaktadır. Bu amaçla, bu alanda kapasite geliştirmeye yönelik ulusal strateji oluşturulmalıdır.
Bilişim ve elektronik haberleşme hukuku, bağımsız bir bilim dalı olarak kabul edilmeli, bu konuya
yükseköğrenim müfredatında yer verilmeli ve bu alanda lisansüstü programlar açılmalıdır.
3. Siber Suçlar Sözleşmesi onaylanmalı ve iç hukuka uyarlanmalıdır. Siber varlıkların ve
bunlar arasındaki iletişimin global hale gelmesi, internette saldırgan ve mağdurların çoğu durumda
farklı ülkelerde yer alması, bu durumlarda hukuki uyuşmazlıkların ulusal mevzuat ile
çözümlenememesi gibi sebeplerle uluslararası birlikte çalışabilirlik mekanizmaları ve
sözleşmelerine taraf olunmalıdır. Bu amaçla, Avrupa Konseyi tarafından tasarlanan ve Türkiye
tarafından da imzalanan “Siber Suçlar Sözleşmesi” TBMM tarafından onaylanmalı ve iç hukuka
uyarlanmalıdır.
4. Sosyal Medya özgürlük alanıdır ama bu durum kişilerin hakları ve sorumluluklarını
ortadan kaldırmaz. Kişisel verilerin izinsiz paylaşılmaması konusunda toplumsal bilinçlendirme son
derece önemlidir. Bu konuda hem devlete, hem bireylere görevler düşmektedir. Sosyal medyada
profilleri, kişilere ait dijital imza gibi kendilerine ait bir alan olduğu ve buradan paylaşılan
bilgilerden kişinin sorumlu olduğu konusunda kullanıcılar eğitilmelidir.
146
5. Kişilerin yaşadığı sorunlarla ilgili olarak Sosyal Ağların yönetiminin başka ülkelerde
olması kişilerin kendi sorunlarını takiplerini zorlaştırmaktadır. Sosyal Ağ sahibi firmalar Türkiye’de
temsilcilik açmalıdır. Bu husus da Bilişim ve İnternet Araştırma Komisyon Raporunda
belirtilmiştir.
6. Görünmeyeni düşünmeye başlamak ilk iş olarak kamuda geniş bir siber savaş diyaloğu
başlatılmalıdır. 2008 yılından beri gazetelerde, TV belgesellerinde ve sinema filmlerinde siber savaş
konusu epeyce işlenmiştir. Halkta da belli oranda bir bilinç oluşmaya başlamıştır.
7. Bilgi alışverişi ve ülkelere yardım için bir Siber Risk Azaltma Merkezinin kurulması,
“Yardım zorunluluğu” ve “Ulusak siber Yükümlülük” gibi uluslararası yasa kavramının
geliştirilmesi, Sivil altyapılara karşı siber saldırının ilk kullanımına yasak getirilmesi, ancak bu
yasağın (a) iki ülke gerçek savaştayken, (b) savunan ülkenin başka ülke tarafından siber silahla
saldırıya uğraması durumlarında kaldırılması, sivil altyapılara barış zamanında tuzakların ve lojik
bombaların yerleştirilmesinin yasaklanması ve herhangi bir zamanda finans kuruluşlarının
verilerinin değiştirilmesi veya ağlarına hasar verilmesinin yasaklanması.
8. Siber uzayın orta yaş sancıları internet artık kırk yaşına girmiştir. Yazılım hataları ve
güvenlik açıkları yüzünden korsanlar hep türlü sızıntıyı gerçekleştirmekte hiç zorluk çekmiyor.
Belki de artık yazılımların yapay zeka makineleri ile üretilmesi gerekmekte. Bunun yerine Askeri
Protokol getirilebilir ve bununla her paketi kimin gönderdiği belli olur. Paketlerin öncelikleri
belirlenebilir, hatta paketler şifrelenebilir. Siber suç, siber casusluk ve siber savaşın çoğu da ortadan
kalkmış olur.
9. Başka ulusların ağlarına lojik bombaların yerleştirilmesinde yetki sadece Devlet
başkanına ait olmalıdır. Bu işlem düşmanca niyet belirtisi olduğu için, savaşa girip girmeme
olasılığı değerlendirilmelidir. Yıllık planlamada Başkan tüm siber casusluk, siber savaş hazırlığı ve
siber savunma programlarını değerlendirmelidir. Siber saldırıları durdurma ve araştırma
zorunluluğu da eklenmelidir.
Doğru politika ve stratejilerin belirlenip, uygun süreç ve teknolojilerin seçilmesi ile
uygulamaya geçilmesi; süreç ve sonuçların sürekli izlenip periyodik olarak gözden geçirilmesi
başarının anahtarıdır. Ulusal güvenliğin önemli unsurlarından biri haline gelen siber güvenliğin
gerçek anlamda sağlanması, ancak bu alanda milli çözümlerin geliştirilip kullanılması ile
mümkündür.
Mesajlar

Siber güvenlik için yetişmiş insan gücü ve istihdamı önemli bir sorun. Türkiye’de bir
“Mükemmeliyet Merkezi” kurulmalı.

Yerli ürünlerin katkısı açısından sertifikasyon ve devamlılık önemli noktaları
oluşturulmalı.

Ar-Ge tarafında küçük şirketlere kısa süreli ürün ve pazara çıkış desteği sağlanması
önemli.

Yerel çözümlerin dünyaya taşınmasında çokuluslu şirketlerle yapılan işbirlikleri önemli
açılım sağlayabilir, buna önem verilmeli.

Yazılım sektörü ile SSM önderliğinde bir ekosistem oluşturulmalı.
147

Siber güvenlik için ulusal bilgi güvenlik merkezi ve ulusal erken uyarı merkezi gibi
yapılar oluşturulmalı.
 İşbirlikleri ürüne ve markaya dönüşebilmeli.
 Özellikle beka kabiliyetindeki %100 yerli "hava ve füze savunması" ile "elektronik harp"
gibi kritik projelerin bir an önce tamamlanmalı.
 Ülkemizin vizyonuna ve sınırların ötesinden itibaren güvenliğin sağlanması ilkesine
uygun olarak, sınır ötesinde askeri varlık bulundurabilecek şekilde stratejik intikal, üs bölgesi
oluşturma gibi yeteneklerin kazanılmalı.
 Konvansiyonel yeteneklerin geliştirilmesinin yanında, gelecekteki güvenlik ihtiyaçlarına
cevap verebilmek maksadıyla; nanoteknoloji, biyoteknoloji, robotik sistemler gibi geleceğin
muharebelerinde belirleyici rol oynayacak yeteneklerin edinilmeli.
Sonuç olarak; en üst düzeyde kararlılıkla koordine edilmiş bir eylem planı doğrultusunda, iç
güvenlik ve terörizmle mücadeledeki tüm gayretlerin koordinasyonunun tek bir merkezden
sağlanmasını esas alan bir yapılanmaya geçilmesinin, ülkemizde iç güvenliğin sağlanmasındaki
başarıyı üst düzeyde arttıracaktır. Ulusal güvenlik yönetiminin “ULUSAL GÜVENLİK AJANSI”
çatısı altında toplanarak Cumhurbaşkanımıza bağlı bir birim haline getirilmesi, koordinasyonun
bizzat Cumhurbaşkanı tarafından sağlanması, bu hususta kullanılacak ve geliştirilecek tüm
savunma, iletişim, donanım, yazılım ve teçhizatların %100 yerli olarak üretimi ve tedariki büyük
önem arz etmektedir.
1071 ile başlayan milletimizin Anadolu seferi kimsenin reddemeyeceği medeniyetler,
kültürler ve gelişmelerle bir çağı kapatıp diğer çağı açan fetihlerle tüm dünyanın gıpta ettiği büyük
bir milleti ve güçlü bir devleti meydana getirmiştir. Bu aynı zamanda beraberinde bir o kadar
düşman milleti ve düşman devleti ve onların saldırılarını da beraberinde getirdi. Son yıllarda ise bu
saldırılar şekil değiştirirerek sanal ve siber savaşlara dönüştü. Üstelik sadece saldırılarla da
yetinmeyip milletimizin günlük yaşamına ve kritik ihtiyaçlarını karşılayan altyapıları da hedef
almaya başladı. Bu ise zorunlu olarak askeri teknolojiler, uydular, hafif ve ağır silahlar ile
donatılmış ordularla birlikte ileri teknoloji ve bilişim alanında uzman siber orduları ve siber
savunma sistemlerini zorunlu hale getirdi.
Sadece milleitmizin değil tüm insanlığın umudu olan ülkemiz çok stratejik bir coğrafya da
olmasının getirdiği zorluklara rağmen bu sahada da ciddi bir sınav vermektedir. Bu sınavın özellikle
bu teknolojilerde milli ve yerli bilişim altyapıları, yazılım teknolojileri ve insan kaynağı ile
başarılması mümkündür. Tarih boyu tüm sınavlardan başarı ile çıkan milletimiz bu siber sınavıda
başarı ile verecektir.
148
KAYNAKÇA
1-
TBD, Türkiye Bilişim Derneği
2-
TÜBİDER Bilişim Sektörü Derneği
3-
YASAD, Yazılım Sanayicileri Derneği
4-
Bilgi Güvenliği Derneği
5-
Siber Güvenlik Derneği
6-
İnternet Teknolojileri Derneği
7-
BTHaber
8-
www.bilgiguvenligi.gov.tr
9-
www.bilgimikoruyorum.org.tr
10-
R. Buyya, C. S. Yeo, S. Venugopal, J. Brobery, I. Brandic "Cloud computing and
emerging IT platforms: Vision, hype, and reality for delivering computing as the 5th
utility”, Future Generation Computer Systems, vol. 25(6), 2009, pp. 599-616.
11-
M. Taylor, J. Haggerty, D. Gresty, R. Hegarty, "Digital evidence in cloud computing
systems”, Computer Law & Security Review, vol. 26, 2010, pp. 304-308.
12-
Y. Zhang, A. Juels, M. Reiter, T. Ristenpart, "Cross-VM Side Channels and Their Use to
Extract Private Keys", In Proceedings of the 2012 ACM conference on Computer and
communications security (CCS '12). ACM, New York, 2012, pp. 305-316.
13-
Blodget H. (2012), "The Future of Digital", http://www.slideshare.net/jftello/ignition-
14-
Symantec - 2014 Internet Security Threat Report
15-
Prolexic - Quarterly Global DDoS Attack Report Q2 2014
16-
RedSocks - Malware Trend Report Q1 2014
17-
Prolexic - Q2 2014 Global DDoS Attack Report
18-
McAfee - Economic Impact of Cyber Crime 2014
19-
Microsoft - Security Intelligence Report H2/2014
20-
Center for Risk Studies
21-
Fortinet - 2014 Threat Landscape Report
22-
Acar, Ü. (2011). İstihbarat. Ankara: Akçağ Yayınları.
23-
Alkan, N. (2012). Türkiye’nin Terörizmle Mücadele Deneyimi. Dünyadan Örneklerle
Terörle Mücadele, (ss. 79-125), Bal, İ. ve Özeren, S. (Editörler). Ankara: USAK Yayınları.
24-
Berkowitz, B.D. ve Goodman, A. E. (1989). Strategic Intelligence for American National
Security. Princeton: Princeton University Press.
25-
Bozeman, A. B.(1992). Strategic Intelligence and Statecraft. NY: Brassey’s.
149
26-
Clark, R. M.(2010). Intelligence Analysis: A Target-Centric Approach.
27-
De Smedt, P. (2008). “Strategic Intelligence in Decision Making”. Future-Oriented
Technology Analysis (ss. 89-102). Cagnin, C, Keenan, M., Johnston, R., Scapolo, F.,
Barré, R. (Eds.). Heidelgerg, Berlin: Springer-Verlag Publishing.
28-
Assaf, D., 2008. Models of critical information infrastructure protection. International
Journal of Critical Infrastructure Protection, 1(C), pp.6–14.
29-
http://www.pwc.com.au/publications/cyber-savvy-securing-operational-technologyassets.html
http://www.pwc.com.tr/gsiss
3031323334353637-
3839-
4041424344-
45-
U.S. Department of Commerce, Bureau of Economic Analysis, “National Income and
Product Accounts”, 2008.
The Report of the President’s Commission on Critical Infrastructure Protection, Critical
Foundations: Protecting America’s Infrastructures, 1997
USA Presidential Decision Directive/NCS-63, “http://www.fas.org/irp/offdocs/pdd/pdd63.htm”, 1998
Jones A., “Critical Infrastructure Protection”, Computer Fraud & Security, s. 11-15, Nisan
2007
OECD, Working Party on Information Security and Privacy, “Recommendation of the
Council on the Protection of Critical Information Infrastructures”, Ocak 2008
OECD, Committee for Information, Computer And Communications Policy, “Fact Finding
Questionnaire for Candidate Countries to Accession”, Ekim 2008
Jayawickrama, W., “Managing Critical Information Infrastructure Security Compliance: A
Standard Based Approach Using ISO/IEC 17799 and 27001”, Book Chapter: On the Move
to Meaningful Internet Systems 2006: OTM 2006 Workshops, Cilt 4277/2006, s. 565-574,
2006
OECD Recommendations of the Council on the Protection of Critical Information
Infrastructures, 2008
Beltran F., Fontenay A., Alameida M. W., “Internet as a critical infrastructure: lessons
from the backbone experience in South America”, Communications & Strategies, No. 58,
2005
Lewis T. G., “Critical Infrastructure Protection In Homeland Security - Defending A
Networked Nation”, A John Wiley & Sons, Inc., Publication, 2006
Fischer W., Lepperhoff N., “Can Critical Infrastructure rely on the Internet”, Computers &
Security, Cilt. 24, s. 485-491, 2005
Shea D. A., “Report for Congress, Critical Infrastructure: Control Systems and the
Terrorist Threat”, 2003
Lemos R., "SCADA system makers pushed toward security". SecurityFocus.
http://www.securityfocus.com/news/11402, 2006
Maynor D., Graham R., “SCADA Security and Terrorism: We're Not Crying Wolf”,
Blackhat Conference, http://www.blackhat.com/presentations/bh-federal-06/BH-Fed-06Maynor-Graham-up.pdf, 2006
Symantec Global Internet Security Threat Report Trends for 2008, Volume XIV, Nisan
2009
150
4647-
48-
49505152-
53-
5455565758-
59606162-
63646566-
USCC 2008 Annual Report, 2008 Report to Congress of the U.S.-China Economic and
Security Review Commission, Kasım 2008
Capability of the People’s Republic of China to Conduct Cyber Warfare and Computer
Network Exploitation, Prepared for The US-China Economic and Security Review
Commission, Ekim 2009
OECD, "The Promotion of a Culture of Security for Information Systems and Networks in
OECD Countries", OECD Digital Economy Papers, No. 102, OECD publishing,
doi:10.1787/232017148827, 2005
Bahşi H., Karabacak B., Tatar Ü., Sayısal Ortamda Savunma ve Bilgi Güvenliği Yol
Haritası, Bilişim Kurultayı, Ankara, 2009
Commission of the European Communities, “Critical Infrastructure Protection in the Fight
Against Terrorism”, 2004
EPCIP
–
European
Programme
for
Critical
Infrastructure
Protection,
http://ec.europa.eu/justice_home/funding/2004_2007/epcip/funding_epcip_en.htm
Cyberspace Policy Review, Assuring a Trusted and Resilient Information and
Communications
Infrastructure,
PDF
doküman
Internet
adresi:
http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf
Boyraz, H.M. (Aralık, 2015), “NATO’nun Siber Güvenlik Politikası: Tarihsel Süreç ve
Kırılma Noktaları” Cilt IV, Sayı 12, s.32-40, Türkiye Politika ve Araştırma Merkezi
(Research
Turkey),
Londra:
Research
Turkey
(http://researchturkey.org/?p=10236&lang=tr)
http://blogs.wsj.com/digits/2015/05/08/russia-china-pledge-to-not-hack-each-othe...
http://economictimes.indiatimes.com/news/defence/india-japan-vow-to-crack-down-o...
http://www.scmagazine.com/japan-looks-to-invest-in-indias-it-sectors/article/412...
http://dijitalhayat.tv/dijital-dunya/siber-guvenlik-dijital-dunya/hindistan-sibe...
Canbolat, İ.S. (2009). “Türk Dış politikasının Avrupa ile ilişkiler çerçevesinde geleceği”.
Uluslar arası 3. Türk dış politikası sempozyumu tebliğleri. (Ed: Sedat Laçiner, Hacali
Necefoğlu, Hasan Selim Özertem). Ankara: Uluslar arası stratejik araştırmalar yayınları
Doğan, E. (2012). “Kamu Diplomasisinin sunduğu fırsatlar ve kısıtlar üzerine”. Kamu
Diplomasisi (Ed: Abdullah Özkan-Tuğçe Ersoy Öztürk). İstanbul: Tasam Yayınları
Erzen, M.Ü. (2012). Kamu Diplomasisi. İstanbul: Derin Yayınları
Giddens, A. (2004). Modernliğin Sonuçları. İstanbul: Ayrıntı Yayınları
Gökırmak, M. (2011). “Küreselleşen Dünyada Diplomasi: Kamu Diplomasisi”.
Küreselleşen Dünyada Değişimin Farklı Yüzleri; Disiplinler arası bir yaklaşım (Ed:
Neslihan Sam, Ali Rıza Sam). Bursa: Ezgi Kitabevi
Göran B., Stahlberg, P. (2002). Between Community and Commodity: Nationalism and
Nation
Gönlübol, M. (1993). Uluslar arası Politika: İlkeler, kavramlar, kurumlar. Ankara: Attila
Kitabevi
İnan, E. (2012). “Kamu Diplomasisi ve Halkla İlişkiler Ekseni”. Kamu Diplomasisi (Ed:
Abdullah Özkan-Tuğçe Ersoy Öztürk). İstanbul: Tasam Yayınları
Kalın, İ. (2001) . “Soft Power and Public Diplomacy in Turkey”, Perceptions, Vol: 16,
No:1
151
6768697071727374757677-
78798081-
8283-
84-
Kalın, İ. (2012). “Türk Dış Politikası ve Kamu Diplomasisi”. Kamu Diplomasisi (Ed:
Abdullah Özkan-Tuğçe Ersoy Öztürk). İstanbul: Tasam Yayınları
Köksoy, E. (2013). Halkla ilişkiler bağlamında kamu diplomasisi yönetimi.
(Yayınlanmamış doktora tezi). İstanbul
Leonard, M. (2002). Public Diplomacy. London: Foreign Policy Center
Leonard, M., Alakeson, V. (2000). Going Public: Deplomacy for he Information Society.
London: The Forein Policy Center
Melissen, J. (2005). The New Public Diplomacy: Soft Power in International Relations.
Newyork: Palgrave MacMillan
Mengü, S., Yıldırım, G. (2012). Halkla ilişkilerin kamu diplomasisinde etkin kullanımı.
Kamu Diplomasisi (Ed: Abdullah Özkan-Tuğçe Ersoy Öztürk). İstanbul: Tasam Yayınları
Morrow. E. R. What is Public Diplomasi? Center of Public Diplomacy.
(http://fletcher.tufts.edu/murrow/public-diplomacy.html, Erişim:12.08.2012)
Nye, S.J. (2005). Soft Power: The Means to Success in World Politics. New York: Public
Affairs
Nye, J.S. (2002). The Paradox of American Power. New York: Oxford University Press
Özkan, A. (2012). Kamu Diplomasisi kitabına giriş. Kamu Diplomasisi (Ed: Abdullah
Özkan-Tuğçe Ersoy Öztürk). İstanbul: Tasam Yayınları
Snitzer,B. (2008).
“Public Relations and Public Diplomacy, Some Conceptual
Explorations”. Ansgar Zerfass, Betteke van Ruler, Krishnamurthy Sriramesh, (Eds.),
Public Relations Research-European and Internationals Perspectives and Innovations
Sönmezoğlu, F. (1989). Uluslar arası Politika ve Dış Politika Analizi. İstanbul: Filiz
Kitabevi
Szondi, G. (2009). Central and Eastern European Public Diplomacy. Nancy Snow & Philip
M.Taylor. (Eds.) Handbook of Public Diplomacy, New York: Routledge
Tuncer, H. (2009). Diplomasinin Evrimi: Gizli Diplomasiden Küresel Diplomasiye.
İstanbul: Kaynak Yayınları
Tiedeman, A. (2005). Branding America: An Examination of U.S. Public Diplomacy
Efforts After Sebtember 11, 2001. Master Thesis. Tufts University the Fletcher School of
Law and Diplomacy.
Yavaşgel, E. (2004). Siyasal İletişim: Kavramlar ve Ardındakiler. Ankara: Babil Yayınları
Zaharna, R.S. (2009). Mapping out a Spectrum of Public Diplomacy Initiatives,
Information and Relational Communication Frameworks. Nancy Snow and Philip M.
Taylor. (Eds.) Handbook of Public Diplomacy, New York: Routledge
http://www.teknolojigundem.com/yazilim-haberleri/yerli-siber-guvenlik-yazilimi-20ulkeye-ihrac-oldu-647255.htm#ixzz3wP5MoQsV
152