‘Dijital dünyada dönüşümün güvenlik boyutu; en az fiziki savunma kadar önemli’

‘Dijital dünyada dönüşümün güvenlik boyutu; en az fiziki savunma kadar önemli’

Bilgi Güvenliği Derneği 2007 yılında kuruldu. Kendi alanında ilk sivil toplum örgütü olan dernek, siber güvenlik konusunda toplumun her kesiminde bilgi ve bilinç düzeyini arttırmayı hedefliyor. Derneğin Mart ayında yapılan son olağan genel kurulunda başkanlığa RTÜK Üyesi Taha Yücel seçildi. Yücel, siber saldırıların günümüzde daha kompleks hale geldiğine dikkat çekerek, “Ülkelerin tıpkı kendi sınır güvenliklerini koruma önlemleri gibi kritik hizmet ve alt yapılar ile onlara ait verileri koruma zorunlulukları da bulunuyor.” dedi. Yücel, ICT MEDIA’nın sorularını cevaplandırdı.


Selenay ŞENOL: Amerika Birleşik Devletleri ve Sovyet Sosyalist Cumhuriyetler birliği arasındaki ideolojik ve askeri rekabetin ürünü olarak ortaya çıkan internet, bugün deniz, hava, kara ve uzaydan sonra korunması gereken yeni bir alan daha yarattı; siber uzay. Siber güvenlik artık ülkelerin ulusal siber güvenlik meselesi haline geldi. Bu bağlamda ilk sorumu “Siber saldırı nedir” olarak sormak istiyorum. Ne tür siber saldırıları ulusal tehdit olarak değerlendiriyoruz, gerçekleştirilen siber saldırılar içerisinde Türkiye için öne çıkan bir saldırı söz konusu mu?


Taha YÜCEL: Siber uzaydaki bilişim ve endüstriyel kontrol sistemlerinin veya bu sistemler tarafından işlenen bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın herhangi bir yerindeki kişi ve/veya bilişim sistemleri tarafından kasıtlı olarak yapılan işlemlere ‘siber saldırı’ diyoruz. Dünyada her gün veri ihlalleri ile ilgili, ele geçirilmiş sistemlerle ilgili ve siber olaylarla ilgili birçok haber duyuyoruz. Bugün hedef başkası iken yarın hedef tahtasında bizler de olabiliriz. Teknolojinin getirmiş olduğu yararların yanında zararlarını da bilerek ona göre tedbir almalıyız. Bu sebeple siber farkındalık kazandırmak için zararlı yazılımların türlerini de bilmemiz gerekir. Siber saldırılar günümüzde daha kompleks, profesyonel kişi ve kurumlarca, yapay zekâ algoritmaları ve teknolojileriyle gerçekleştiriliyor. Dolayısıyla bu saldırılar, başarıya ulaştıklarında çok önemli, yıkıcı sonuçlara yol açabiliyor. Bu nedenle ülkelerin tıpkı kendi sınır güvenliklerini koruma önlemleri gibi kritik hizmet ve alt yapıları ile onlara ait verileri koruma zorunlulukları bulunmakta. Özellikle haberleşme sistem ve alt yapıları, su, elektrik, doğal gaz, akıllı şebekeler, ulaşım sistemleri, barajlar, e-posta, e-ticaret, e-devlet, bankacılık hizmetleri gibi her zaman için potansiyel saldırı hedefleridirler. Bunların kısmen veya tamamen devre dışı kalması demek, o ülkenin bir nevi felç edilmesi anlamına gelir. Bu nedenledir ki “siber güvenlik kara, deniz, hava ve uzaydan sonra beşinci harekât alanı olarak ülkeler için ulusal güvenliğin ayrılmaz ve en önemli bileşeni olmuştur. Kritik sistemlerimizi tehdit eden her türlü siber saldırı, ulusal güvenliğimizi tehdit olarak görmek gerekir. Sayısı ve niteliği hızla artan siber tehditlerle mücadele kapsamında ulusal seviyede gerekli önlemlerin alınabilmesi için, strateji ve eylem planlarının geliştirilerek uygulanması büyük önem arz etmektedir.


Selenay ŞENOL: 2000’li yıllardan bu yana Türkiye’de siber güvenlik özelinde gerekli hukuki düzenleme ve değişiklikler gerçekleştiriliyor fakat bu düzenlemeler siber saldırıların önünü kesmeğe yeterli değil. Medyada siber saldırı haberi ile karşılamadığımız günümüz geçmiyor. Görünen o ki siber dünya sakini arttıkça siber saldırılar da doğru orantılı artacak. Türkiye’nin siber güvenlik stratejisine ilişkin olarak kamu tarafından geliştirilen stratejileri nasıl değerlendiriyorsunuz? Siber suçlarla mücadelede insan kaynağı ve siber güvenlik ekosisteminin geliştirilmesi için neler yapılmalıdır? Bilgi Güvenliği Derneği olarak sizin bu yönde ki faaliyetleriniz nelerdir?


Taha YÜCEL: Bilindiği üzere, ülkemizde ki siber güvenlik çalışmalarının ivme kazanmasındaki en önemli olay Bakanlar Kurulu’nun 2012 yılında aldığı “Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna ilişkin Kararı” ile olmuştur. Bu karar ile Siber Güvenlik Kurulu oluşturulmuş, kurulun ve o zamanki ismiyle Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nın (UDHB) yetki ve sorumluluk alanları belirlenmiştir. Yeni hükümet sistemine geçildikten sonra da 10.07.2018 tarihli Resmi Gazete’de yayımlanan 2018/1 Sayılı Cumhurbaşkanlığı Kararnamesi ile farklı kurumlar altında ayrı ayrı sürdürülen dijital dönüşüm (e-Devlet), siber güvenlik, milli teknolojiler, büyük veri ve yapay zekâ ile ilgili çalışmaların tek çatı altında toplanması amacıyla, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi kuruldu. 06.07.2019 tarihli Resmî Gazete’de 2019/12 sayılı Cumhurbaşkanlığı Genelgesi kapsamında, Bilgi ve İletişim Güvenliği Rehberi 10.07.2020 tarihinde yayımlandı. Rehberde; Kamu kurumlarının ve kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında alınması gereken tedbirler ana hatlarıyla açıklanmaktadır. Rehberin ana hedefi: siber saldırılara karşı ulusal gücümüzün artırılması ve kritik türdeki verilerin güvenliğinin sağlanmasıdır. 29.12.2020 tarihli Resmî Gazete’de 2020/15 sayılı Cumhurbaşkanlığı Genelgesi ile; 5809 sayılı Elektronik Haberleşme Kanunu uyarınca verilen görevler kapsamında UAB tarafından kamu, özel sektör, sivil toplum kuruluşları ve üniversitelerle iş birliği içinde hazırlanan “Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023)” kabul edildi ve ilgili tüm kurum ve kuruluşlar buradaki eylemlerin yerine getirilmesinden sorumlu kılındı. Fakat aldığınız bütün önlemler bireyin bilinçliliği kadar önemli. Bu noktada herkese görev düşüyor. Özel şirketler, STK’lar, Devlet kamu ve kurumları dahil olmak üzere kendi önlemlerini almalı ve stratejiler belirlemeli. Bilgi Güvenliği Derneği’nin burada ki en önemli misyonunu bireysel hatalardan kaynaklanan açıkları kapatmak. Dernek olarak bir yazılım geliştirmeyeceğiz, pazarlamayacağız ama insanları bilinçlendireceğiz. Bilgi güvenliğinin önemini anlatmamız gerekiyor. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin önemli bir sloganı var; ‘Türkiye’nin verisi Türkiye’de kalmalı.’ Siber Güvenlik Farkındalık Eğitimleri ve sertifika programları, Avrupa Birliği dahil olmak üzere planlanan projeleri hayata geçirerek siber güvenlik alanında yetişmiş insan gücü açığını kapatma noktasında aksiyon almak üniversitelerden çok bu kapsamlı sertifikasyon programları ile mümkün.

Selenay ŞENOL: Siber saldırıların önemli hedeflerinden birisi de kişisel veriler... Sıcak bir örnek olarak; kısa zaman önce Whatsapp’ın getirdiği yeni düzenleme ile ilgili Türkiye keskin bir çizgi çizdi ve Rekabet Kurumu istenilen sonucun alındığını ilan etti. Türkiye’de kişisel verileri korumaya yönelik mevcut kanun ve yönetmelikler yeterli mi? Yasa ve yönetmeliklerde açıkta kalan noktalar söz konusu mu? Kişisel veriler ve bu verilere yönelik siber risk ve tehditler neler, yasa ve yönetmeliklerde açıkta kalan noktalar var mı?


Taha YÜCEL: Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder yani kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler. 7 Nisan 2016 tarihli Resmî Gazete’de, “6698 Sayılı Kişisel Verilerin Korunması Kanunu” yayınlanarak yürürlüğe girmiştir. Bu kanunla birlikte kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi koruma altına alınmıştır. Bunlar yeterli mi, tabii ki değil. Mutlak güvenlik diye bir şey yoktur ve bir sistem, ne kadar iyi tasarlanmış olursa olsun, her zaman risk vardır.Selenay ŞENOL: Dijitalleşme ile birlikte dünya bireyden başlayarak hiçbir kurum ve kuruluşun tek başına güvenli ve güçlü olamayacağı bir noktaya evrildi. Siber saldırılardan korunmak için ulusal ve uluslararası iş birlikleri, multidisipliner savunma mekanizmaları artık zaruri. Ulusal bir siber güvenlik sistemi oluşturmak, milli çözümlerin sayısını arttırmak için kamu ve özel sektöre ne tür görevler düşmektedir? Sürdürülebilir siber güvenliğin ulusal düzeyde gerçekleştirilebilmesi için gerek bireysel gerekse kurumsal farkındalığın oluşturulması için kamu ve özel sektör tarafında yapılanlar yeterli mi?


Taha YÜCEL: Yapay zekâ destekli insansız hava araçları ve robotik sistemler başta olmak üzere, her türlü teknolojik ürünün hayatımızda giderek daha çok yer edineceği bir döneme girdik. Bu işin güvenlik boyutuna artık çok daha önem vermeliyiz. Günümüzde veri en az petrol kadar önemli hale geldi. Veri güvenliğini milli çözümlerle sağlamaya çalışmak, sınır güvenliğini en doğru şekilde yapmakla eşdeğerdir. Akıllı sistemlerle kullanılan saldırıları püskürtmenin yolu, daha akıllı sistemleri geliştirmektir. Dijital teknolojilerin hızlı geliştiği dönemimizde bu dönüşümün güvenlik boyutu en az ülkelerin fiziki savunması kadar önemli hale gelmiştir. Sınırlarımızın güvenliği ne kadar önemliyse, elektronik sistemlerimizin ve buralarda saklanan verilerin güvenliği de o derece önemli. Dijital dünyada, dijital egemenliğimizi koruyabilmek için Siber Güvenliğe gereken önemi vermemiz, kullanılan ürünün milli olması, kritik altyapılarımızın ve verilerimizin güvenliği için şart, ancak tek başına yeterli değil. Bu nedenle, bu ürünlerin kullanıldığı sistemlerde siber güvenliğin devamlılığını sağlayacak nitelikli ve yetişmiş insan gücü de çok önemlidir. İnsan gücünün yetiştirilmesinde, STK’lara önemli görevler düşmektedir. Bu konuda çalışan ve Türkiye’de bilişim güvenliği üzerine ilk sivil toplum kuruluşu olan Bilgi Güvenliği Derneğimiz 22.07.2007 tarihinde kurulmuş olup, siber güvenlik alanında önemli çalışmalar gerçekleştiriyor. Eğitimler ve sertifika programları düzenlenmesi, alanında tek olan ISC Turkey Uluslararası Konferansının 13 yıldır yapılması ve ISC Turkey kapsamında, çok sayıda ilgiliye ve öğrenciye Bilgi Güvenliği ve Siber Güvenlik ile ilgili çeşitli konularda eğitimlerin verilmesi, Bilişim Hukuku, Güvenlik Standartlar, IPv6, e-İmza vb. gündeme ve Telekomünikasyon, Finans, Enerji, Noterlik, Hukuk, vb. sektöre ilişkin çalıştaylar düzenlenmesi, binlerce katılımcıya bilgilendirme, Siber Güvenlik Yaz Kampları, Uzmanlara bayrağı yakala yarışmaları, K12 seviyesinde okullara farkındalık ve Engellilere yönelik eğitimlerin verilmesi, siber güvenlik ve savunma alanında kitaplar ile her yıl ISCTURKEY bildiriler kitabı yayınlanması, Türkiye’de ilk basılı dergi olan CyberMag dergisinin aylık olarak çıkarılmasının desteklenmesi gibi çalışmalar yaptığımız çalışmalardan bazıları.

Siber güvenlik tehditlerinin büyük bir kısmının insan zafiyetinden kaynaklandığı değerlendirildiğinden, bu konuda derneğimiz yaptığı çalışmalarla ülkemiz insan kaynağının eğitilmesi, bilgi düzeyinin yükseltilmesi ve tehditlere karşı farkındalığının artırılması yönünde çalışmalarını sürdürüyor. Türkiye için çok önemli değerlerden bir tanesi Savunma Sanayii Başkanlığı’nın desteklediği Siber Güvenlik Kümelenmesi. Yerli tüm ürün ve çalışmalar bir araya getirildi, özellikle yetişmiş insan gücüne sağlanan desteklerle dünyanın gerisinde kalmamız için hiçbir sebep yok.