Ulusal Siber Güvenlik Stratejisi Hayata Geçti / Adli Bilişim Uzmanı Halil Öztürkci
Bilgi ve iletişim teknolojilerinin yoğun olarak kullanılmasıyla beraber, son dönemde özellikle devlet kurumlarına yönelik sanal saldırılar çoğaldı. Bakanlar Kurulu “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı”nı hazırladı. Bu eylem planı hakkında bilgi verir misiniz?
Eylem planında liselere kadar siber güvenlikle alakalı bilinçlendirme çalışması yapılmasına dair maddeler var, üniversitelerde de lisans ve doktora seviyesinde çalışmalar var. Yakın zamanda birçok üniversite siber güvenlikle ilgili yüksek lisans programı duyurdu. Bu programlar içerisinde bizzat dâhil olduğum projeler var. Eylem planının bazıları görünürde yapılıyor, yapılmaya çalışılıyor. Umarım bu vaat edilen tarihin sonunda çalışmaların büyük kısmı biter. En son yirmi dokuz eylem ana başlığı vardı ve en son 2014 Aralık’ta bitecek gibi duruyor. Bu siber güvenlik stratejisi eylem planı biterse inşallah çok iyi bir yere geliriz.
Bu eylem planında hedef kitle olarak kamu kurumları ve internet servis sağlayıcıları var. Eylem planının içerisinde özel sektör yok. Siber güvenlik noktasında halkın bilinçlendirilmesi, okullarda ders olarak okutulması, yerli yazılımın desteklenmesi güzel gelişmeler.
Geçtiğimiz aylarda Ajan Edward Snowd’ın açıklamalarıyla Amerika’nın PRISM Projesi patlak verdi. PRISM Projesi NSA’nın yaptığı bir proje. İddiaya göre Amerika’da Microsoft’tan Facebook’a kadar birçok firma bilgilerini NSA’ya açıyor. Ajan Edward Snowd’ın bahsettiği şeylerden birisi de II. Dünya Savaşı’ndan kalma bir anlaşma kapsamında “five eyes” (beş göz) ittifakı. Bu ittifak Amerika, Kanada, İngiltere, Yeni Zelanda ve Avustralya’dan oluşuyor. Ajan Edward Snowd verdiği bir röportajda diyor ki: “İnternet hattınızı hiçbir şekilde İngiltere’den geçirmeyin ya da oradan geçen bir hattı kullanmayın.” Çünkü beş gözden birisi de İngiltere. Optik hatta kanca atıp bütün bilginizi çekiyorlar. Dolayısıyla Türkiye’nin kendi yerel teknolojisini geliştirmesi gerekiyor, belki de birçok kaynağı yurtdışına göndermeden yurtiçinde barındırması gerekecek. Mesela Çin’de Facebook yoktur ama Facebook’un muadili vardır, Twitter yoktur ama Twitter’ın muadili vardır, You Tube yoktur, muadili vardır. Çünkü Çin diyor ki: “Eğer benim ülkemde benim vatandaşlarıma servis vereceksen sunucularını getirip Pekin’e kuracaksın.” Çin, bilginin yurtdışına gitmesine izin vermiyor. Bu neyi sağlıyor? Devlet, gerektiğinde gidip sunucularına el koyup gerekli bilgiyi alabiliyor. Ya da istihbarat amaçlı düşünürsek devlet, Twitter’ın sunucularının hangi binada olduğunu biliyor ve oraya giden hatta kanca atıp isterse istihbarat amaçlı dinleyebiliyor.
“SSL” KİME KARŞI KORUR?
Facebook, Twitter, Gmail ve banka siteleri gibi yerlere ulaşırken veri iletişimi SSL ile şifrelenerek sağlanıyor. Yine de araya girilip veri trafiği dinlenebilir mi?
Evet, dinlenebilir. SSL’de birtakım otorite noktaları vardır ve bu otorite noktalarına güvenerek zincir başlar. Dolayısıyla otorite noktalarından alınmış bir SSL sertifikasıyla dinleme yapılabilir, bu geçmişte yaşandı. Güvenlik üretici bir firma bütün SSL trafiğinin arasına girip dinledi ve bunun hiçbir şekilde fark edilmediği ortaya çıktı. Ve google.com’a gitmek isteyen birisi için “Buyur, Google.com’un sertifikası budur.” deyip tüneli ikiye bölüp kullanıcı hiç fark etmeden aradaki trafik dinlenebiliyor, bunlar mümkün. SSL dediğiniz şeyin de baktığınızda çoğunun Amerikan menşeili firmalar tarafından sağlandığını düşünürsek o zaman çok da güvenli değil. “Evet, iletişim sırasında güvenli ama kime karşı güvenli?” “SSL sizi kimlerden korur?” böyle sorular da sormak lazım. Sıradan bir dinlemeden korur. SSL, ağ mühendisinin sizin trafiğinizi dinlemesine karşı bir önlemdir ama “NSA, SSL trafiğini dinleyemez.” demek biraz iyimser bir yaklaşım olur.
GÜVENLİK; YAZILIM, DONANIM VE EĞİTİMLİ İNSAN BİLEŞENLERİNDEN OLUŞUR
Türkiye’de özellikle devlet kurumlarının ve özel sektörün güvenlik alt yapısını nasıl görüyorsunuz?
Özel sektöre de kamuya da hizmet veriyoruz. Devlet tarafı için şunu söylemek mümkün; son bir iki yıla kadar durum içler acısıydı. Birtakım hacker grupları çıktı, bunlar devletin kamu düzenine saldırı düzenlediler. Bu hacker gruplarının yaptıkları suç, çünkü sisteme yetkisiz erişim yapıyorlar, sistemden gizli bilgilerin ifşası söz konusu. Fakat şöyle bir artıları oldu, devletin güvenlik bilincini artırdılar. Devlet, güvenlik bilinci sahibi oldu ya da olması gerektiğinin farkına vardı. Bu bağlamda ciddi yatırımlar yapıldı, fakat şöyle de bir algı var: “Bir cihaz alırım, bu cihaz beni korur.” Bu algı yanlış, böyle bir şey yok; devletin bu algıyı da yavaş yavaş aşması lazım. Örneğin bir firewall (güvenlik duvarı), bir saldırı tespit sistemi, saldırı önleme sistemi kurduğunuz zaman sanki o sistem sizi bütün saldırılardan koruyacakmış gibi düşünmeyin. Mesela bir anti virüs programı aldınız, kurdunuz; sanki sizi bütün virüslerden koruyacakmış gibi bir algı var. Bu algının değişmesi lazım. Güvenlik, en başta bir bilinç seviyesinin oluşmasıyla oturtulabilecek bir temel üzerine yükselir. Eğer siz o temeli sağlam oturtmazsanız günün sonunda muhakkak bir saldırıya maruz kalırsınız ve sonradan geri dönüp sorgularsınız; “Bu kadar yatırım yaptık, neden hâlâ saldırıya uğruyoruz, neden bilgilerimiz hâlâ ifşa oluyor?” Güvenliğin hangi bileşenlerden oluştuğunu çok iyi anlayıp güvenliği bütün o bileşenleri kapsayacak bir yaklaşımla idare etmek lazım. Ürün, bunun sadece bir parçasıdır. Bunun içinde eğitim var, kendini sürekli yenileme var, bir sürü alt bileşen var. Bunları da kapsayacak şekilde bir plan programla hareket edilebilirse o zaman daha faydalı olur.
SİBER ORDUMUZ VAR MI?
Saldırılara hem müdahale hem de karşılık verme anlamında çalışan resmî bir siber ordumuz var mı?
Bizim silahlı kuvvetlerimizde, geçen yıl duyurusu yapılan bir siber ordumuz var fakat detaylarını bilmiyoruz. Ama onun haricinde basına yansıyan bir siber ordu kavramı var. Mesela Amerika’nın siber ordusuna gidip baktığınızda, siber ordusunun bir web sitesi var, başında generaller var, teknik anlamda uzmanlaşmış birçok elemana ihtiyaç duyduklarını söylüyorlar fakat bunlar askerî personel, böyle bir ordu tahayyül edebilirsiniz ama Türkiye’de böyle bir ordumuz henüz yok. Geçen yıl hükümet tarafında “Siber ordumuz var, iki yüz askerimiz var, bu sayı artacak…” gibi söylemler vardı, fakat o siber ordudan kasıt aslında TÜBİTAK’ta kurulan Siber Güvenlik Enstitüsü ve onların çalışanlarıydı. Evet, TÜBİTAK bünyesinde bir Siber Güvenlik Enstitüsü var ve genelde kamu kuruluşlarına hizmet veren bir birim. Bu birimde uzmanlar var. Bu birimdeki uzmanlar ne yapıyor? Kamu kurumlarının açıklarını tespit ediyor, onlara birtakım testler gerçekleştiriyor, birtakım siber güvenlik tatbikatları gerçekleştiriyor. İşin içerisine kritik pozisyonda olan özel sektör firmalarını da dâhil ediyorlar, birtakım tatbikatlar yapıyorlar ve ülkenin durumunu gözler önüne sermeyi amaçlıyorlar. Ama Çin’in, Amerika’nın siber ordusu gibi bir ordumuz var mı diye sorarsanız, benim bildiğim sadece “Bir siber ordu kuruldu.” diye bir haber var ama bunun altında kimler var, görevleri neler, neyi amaçlıyorlar, bunlara dair bir bilgimiz maalesef yok.
SİBER İSTİHBARATIN YOKSA RUHUN BİLE DUYMAZ!
Tabi işin bir de resmî olmayan tarafı var. Bu muhakkak bütün ülkelerde vardır ve siz istihbarat alt yapınızı sağlamlaştırmak adına “Siber savaşta da ben söz sahibiyim.” diyebilecek bir yapı kurmak durumundasınız. Zaten bunu yapmazsanız özellikle 21. yüzyılda sizin istihbarat adına bir şey elde etmeniz mümkün değil, çünkü artık her şey elektronik ortamda dönüyor. Gidip de geleneksel istihbarat yöntemlerini kullanarak bilgi toplamak hem çok zahmetli hem de elde edeceğiniz bilgi çok kısıtlı. Elektronik ortamda bütün bu haberleşmenin gerçekleştiği çağda sizin dijital olarak da istihbarat elde ediyor olmanız lazım. Bu alt yapıyı kullanacak uzmanlara ihtiyacınız var. Böyle bir yapı var mı, muhakkak vardır. Sanal alt yapıyı kullanarak istihbarat toplayacak hem kişiler hem de imkânlar vardır ama bunlar çok gün yüzüne çıkar mı, ancak biri bir hata yapar, bir birim deşifre olur, o birim sonra lağvedilir, başka bir birimle devam edilir.
YERLİ DONANIM VE YAZILIMA TEŞVİK GELİYOR
Hem donanım hem yazılım bakımından yerlilik çok önemli. Kritik zamanlarda cihazlara müdahale edip sistemlerimize erişebilirler.
Yazılımla donanımı ayrı düşünmemek lazım. Donanım, üzerinde çalışan bir yazılım olmadığı sürece bir anlam ifade etmez. Donanımın üzerinde bir yazılım olmazsa demir yığınından başka bir şey değildir. Devlet de bunun farkına vardı ve “Siber Güvenlik Stratejisi ve 2013–2014 Eylem Planı” çerçevesinde birtakım teşvikler vermeyi amaçlıyor. Yerli donanım ve güvenlik yazılımlarının üretilmesini amaçlıyor. Sadece güvenlik yazılımları değil aslında tüm yazılımların olabildiği kadar yerlileştirilmesi lazım. Birtakım yetkilendirme mekanizmalarından da bahsediliyor, bu da olmazsa olmazlardan biridir. Mesela Amerika’da bir donanım askerî bir projede kullanılacaksa bu donanım NSA tarafından onaylanır, yani NSA donanımı teste tabi tutar ve “Evet, bizim kriterlerimize uyuyor, bunu askerî alanda kullanabilirsiniz.” diye yetki verir. Cihaz o yetki belgesiyle kullanıma girer. Bizde de buna benzer bir yaklaşım getiriliyor. Diyorlar ki : “Biz devlet ve kamuda kullanılacak cihazların testlerini yapacak bir otorite belirleyelim, o otorite onay verdikten sonra cihaz kullanılsın.” Eğer cihazı kullanamazsak gerçekten başımıza bela olabiliyor. Çünkü arka kapı dediğimiz, sisteme uzaktan ve gizlice erişme imkân tanıyan birtakım açıklıklar olabiliyor. Bunlar bilerek ya da bilmeyerek bırakılmış olabilirler. Eğer bilerek bırakılmış bir açıksa çok kritik bir zamanda dışarıdan bir müdahale yapılarak çok fazla zarara uğratılabilirsiniz. Bir donanım üreticisinin ürününde arka kapı tespit edildiği için, Amerika hükümeti tarafından artık kullanılmayacağına dair haberler çıktı, böyle durumlar olabiliyor.
PARDUS NE KADAR YERLİ?
Pardus işletim sistemi ne kadar yerli, Pardus projesi devam ediyor mu? Spesifik işler için özel işletim sistemleri mi gerekli?
Evet, devam ediyor, çünkü eylem planı içerisinde işletim sisteminin yerelleştirilmesi de var. Her ne kadar Pardus yerel bir işletim sistemi olmasa da -çünkü çekirdeği Linux- fakat bir yerden başlamak da lazım. İşletim sistemi yazmak çok zor bir şey fakat imkânsız bir şey de değil. Özellikle spesifik işler için kullanılacak donanımlarda özel işletim sistemi çalıştırılması tavsiye ediliyor. Bununla alakalı Amerika’nın yaşadığı bir tecrübe var. Amerika’nın en büyük uçak gemilerinden birisinin sisteminde Windows NT işletim sistemi kullanan sunucular, bir saldırıdan kaynaklı devre dışı kalıyor ve o devasa demir yığını gemi iki gün boyunca suda hareketsiz kalıyor. Bu olay sonrasında şöyle dediler: “Biz internette web sayfalarını yayınlamak için kullanılan bir sistemi gemiyi yönetmek için kullanmaya çalıştık, hatayı burada yaptık. Yani işletim sisteminde bir hata yok. Network olsunlar, dosya paylaşsınlar diye dizayn edilmiş bu işletim sistemiyle uçak gemisi yürütmeye çalıştık, aslında hata bizde. Bizim uçak gemisini yönetecek bir işletim sistemine ihtiyacımız var.” dediler.
Bu yaklaşım aslında doğru olan yaklaşımdır. Yoksa “Windows kötüdür, Linux iyidir” yaklaşımından ziyade kritik yerlerde kullanılacak işletim sistemleri ya da yazılımların sisteme özel yazılması istenen bir durumdur. Mesela Microsoft, birtakım devletlerle yaptığı anlaşmalar çerçevesinde Windows’un kaynak kodlarını bu devletlerle paylaşıyor. Yani Microsoft kimseyle hiçbir bilgi paylaşmıyor, diye bir şey yok. Amerika menşeili bir yazılım firması, dolayısıyla arka planda bir sürü açık vardır, istediği zaman Amerika’dan birileri erişiyordur vs. bu çok rijit bir söylem olur. çünkü biliyoruz ki Microsoft’un devletlerle yaptığı anlaşmalar var ve kaynak kodlarını devletlere veriyor. “Eğer benim işletim sistemimin kaynak kodlarına güvenmiyorsanız, buyurun anlaşma çerçevesinde kaynak kodları siz de analiz edin. Eğer burada bir arka kapı varsa buyurun siz de kendi uzmanlarınıza inceletin ve arka kapı varsa çıkartın.” diyor.
SOSYAL MEDYAYI KONTROL EDECEK MEKANİZMA YOK
Son dönemde sosyal medyada bazı düzenlemeler yapılacağı söyleniyor. Fakat düzenlemeleri yapmak da bir hayli zor gözüküyor, ya tamamen kesiyorsunuz ya da takip ediyorsunuz.
Twitter örneğinden yola çıkalım, Twitter bir iletişim mecrası. Twitter’ı diğerlerinden ayıran özellik herkesin içerik üretebilmesi ve bu içerikleri denetleyecek merkezi bir otoritenin olmamasıdır. Bu şuna sebep veriyor: Siz iyiyi de yerebilirsiniz, kötüyü de yerebilirsiniz. Bunun iyi ya da kötü olduğunu, doğru ya da yanlış olduğunu kontrol edecek merkezi bir mekanizma yok. Twitter ile bir anlaşma olmadan yapılacak düzenleme sadece aç kapa şeklinde bir düzenleme olur, başka yolu yoktur. Yasal olarak Twitter ile anlaşırsınız, “Ben birtakım şeylerin paylaşılmasını istemiyorum, paylaşılırsa da direkt müdahale etmek istiyorum.” dersiniz, Twitter da size bir panel sunar. O panel üzerinde; mesajı kim atmış, IP adresi nedir, mesajı silmek vs. istediğiniz işlemi yaparsınız. Türkiye’de Twitter buna yanaşmadı. Neden diye sorarsanız Twitter olaya ticari bakar ve Twitter’ın birinci önceliği pazar payını artırmaktır. Türkiye’deki reklam gelirlerini düşünün, Twitter bu gelirden ne kadar pay alıyor? Ama gidip Amerika’ya asla “Seninle iş birliği yapmıyorum.” diyemez. Bunun en yakın örneğini bir hacker grubu Dışişleri Bakanlığını hackleyip bürokratların bilgilerini ifşa ettiğinde gördük. Olaydan bir gün sonra hacker grubunun Twitter hesabı kapatıldı. Bir hack grubunun Twitter hesabının anında kapatılması Twitter tarihinde nadiren görülen bir olaydır. Kapatıldı, çünkü Amerikalı bürokratların bilgileri ifşa oldu.
Birtakım kritik şeyler var; mesela çocuk istismarı, bu konuda hızlı aksiyon alırlar, bütün dünyada herkesin ortak davrandığı bir durum. Ancak, hükümete hakaret, provokasyon, eylem düzenleme vs. durumlarında Twitter size maalesef “Kendi başınızın çaresine bakın, ben bilgi vermiyorum.” diyecektir. Çünkü Twitter’ın birinci önceliği büyümek. Büyüdükten sonra, belli bir pazar payına ulaştıktan sonra siz ülke olarak onu çağırıp “Sen bu ülkede reklam pazarından bir pay almak istiyorsan benim isteklerimi yerine getirmek zorundasın.” diyebilirsiniz. Youtube örneğinde olduğu gibi; Youtube’a yıllarca giremedik, sonra Youtube’la anlaştılar, burada ofis açtı, Youtube reklam pazarından pay aldı ve devlet de isteklerinin bir kısmını aldı, diyebiliriz.
Diğer Röportajlar
