COVID-19 pandemisi, ekonomiden eğitime, savunma sanayiinden zoolojiye, bankacılıktan istihbarata değin pek çok sektörü ciddi bir dönüşüme tâbi kıldı. Bu dönüşümü geçiren tüm sektörlerin müşterek mevzusu ise veri (data) depolama, yedekleme ve güvenliği.
Zira iletişim ve ticaret büyük ölçüde sanal ortama kaydı. Kurumların yüksek gizlilik dereceli yazışmaları ve kurumiçi bilgilendirmeleri e-imzalar ile paylaşıma sokulmaya başlandı. E-işletmecilik kanalıyla yürütülen faaliyetler çerçevesindeki milyon dolarlık sözleşmeler, bankacılık sektörü ile bilişim hukukunun yeniden düzenlemesini zaruri kıldı.
Bu dönemde hayatımıza giren bu yeniliklerin önemli bir kısmının kalıcı olacağını söylemek yanlış olmaz. Bütün bunlar da siber imkân ve kabiliyetlere azami ölçüde yatırım yapılması gerektiğini bir kez daha gözler önüne serdi. Gerek kamunun gerekse özel sektörün data depolama, yedekleme ve güvenliği alanında yaşanabilecek riskler ile alınması gereken tedbirlere daha fazla odaklanması zaruretini açığa çıkardı. Gelinen aşamada, siber alanın; aktör, zaman mekân, fırsat ve tahrip gücü itibarıyla hem büyük bir nimet hem de büyük bir risk havuzu olduğu herkes tarafından görüldü.
Siber alan ve barındırdığı riskler
Bu risk havuzundaki en önemli konulardan ilki, siber-uzay alanın, alışılmışın dışında yeni bir rekabet ve mücadele alanını temsil etmesi. Dolayısıyla bu alanı, şirketler ve halklardan önce devletler arasında cereyan eden bir mücadele alanı olarak görmek gerekiyor, zaten NATO da siber-uzay alanını dördüncü muharebe alanı olarak tanıdı.
İkincisi; bilgisayar ve telekomünikasyon sistemlerinde yaşanan hızlı gelişim; bir taraftan bilgiye küresel hareket yeteneği kazandırırken, diğer taraftan da küresel erişim imkânı sunuyor. Ne var ki siber alan ulus devletler, kurumlar, şirketler ve kişilere sunduğu fırsatlar kadar; aynı zamanda hasım devletler, teröristler, organize suç örgütleri, endüstriyel rakipler ve hacktivistler tarafından yöneltilen riskleri de bünyesinde barındırıyor. Bu durum gerek devlet kurumları gerekse özel sektör için saldırı ve savunma amaçlı siber istihbaratın önemini azami düzeye taşıyor. COVID-19 süreci, resmî ve özel kurum ve kuruluşların “İstihbarata Karşı Koyma (İKK)” ile daha ziyade aktif tedbirleri içeren “Karşı İstihbarat” kapasitelerini daha fazla sorgulanır hale getiriyor.
Üçüncüsü; COVID-19 süreci teknolojideki gelişmelerin gözetim toplumuna dönüşme sürecini hızlandırdığı iddiasının bir tezahürü niteliğinde… Devletler ulusal güvenliklerini etkileyecek düzeyde gerçekleşen siber operasyonlara karşı savunma mücadelesi veriyorlar. Bireyler de ‘sistematik izlenmeye maruz kalma’ anlamında ‘gözetim toplumu’ olgusunun yarattığı endişe sarmallarına giderek daha fazla kapılıyorlar.
Dördüncüsü; COVID-19, askeri ve medikal istihbarat faaliyetlerinden ekonomik istihbarata uzanan geniş bir konu yelpazesi içerisinde devletlerin ‘yasal yetkilerinin’ daha fazla sorgulanmasına yol açıyor. Kuşkusuz bu konuda en çok eleştirilen ülkelerin başında ABD geliyor ki, dünyanın en büyük şirketlerine ev sahipliği yapan Silikon Vadisi’nin CIA ile yaptığı iş birliğinin sınırları, kamuoyu gündemini giderek daha fazla meşgul ediyor.
Endüstriyel casusluk
Korona döneminde, siber suçlular ya da devlet destekli organize gruplar kötü amaçlı yazılım indiren bağlantıları yoğun biçimde yeni kurbanlarına yönlendirirken; kimlik avı saldırıları artıyor, dünya çapında birçok kurum ve şirket “oltalama” (phishing) başta olmak üzere çok sayıdaki siber saldırının hedefi oluyor.
Örneğin korona döneminde tüm yazışma ve görüşmelerin uzaktan erişim kanalıyla yürütüldüğü düşünüldüğünde; devlet liderleri ve kurumları arasındaki görüşme ve yazışmaların daha kolay ele geçirilmesi, endüstriyel casusluğun yaygınlaşması, Zoom veya Skype gibi sosyal medya platformlarındaki güvenlik açıklarından kaynaklı kişisel verilerin ve kurumsal gizliliğin ihlaline daha fazla söz konusu olabiliyor.
Hatırlanacağı üzere, Zoom programındaki güvenlik açıklarından ötürü ilk zamanlarda birçok insanın kredi kartı bilgilerinin ele geçirilmesi, programın itibar ve güvenilirliğinin sarsılmasına neden olmuş; Japonya ve Tayvan gibi ülkelerin yanı sıra, Google gibi bazı şirketler Zoom programını tamamen kullanıma kapatmışlar yahut kısıtlama getirmişlerdi.
Siber saldırılara karşı ne tür tedbirler alınabilir?
Kuşkusuz, koronavirüs paniğinden istifade ederek casusluk ya da maddi kazanç elde etme amaçlı yapılan siber saldırılara karşı alınması gereken birçok tedbir var. Bunlar teknik tedbirlerin yanı sıra siyasi, hukuki, ekonomik, vb. muhtelif düzenlemeleri de içeriyor.
İlk tedbir olarak veri depolama, yedekleme ve güvenliğinin ön plana taşınması icap ediyor. İkinci olarak ise, siber imkân ve yeteneklerin yerli ve milli imkanlarla geliştirilip güçlendirilmesi hususu karşımıza çıkıyor.
Mevzubahis tedbirler kapsamında veri depolamasını ‘arşivleme’; veri yedeklemeyi ise, ‘tüm sistemdeki bilgilerin yedeklemesi ve her gün güncellenmesi’ şeklinde izah etmek mümkün. Türkiye’de verilerin depolanması için kurulmuş veri merkezleri var, 2007’de ise ilk Felaket Kurtarma Merkezi (FKM) kuruldu. Örneğin olası bir doğal afet durumunda verilerin kaybolmaması için hem “Veri Merkezi”nde hem de “Felaket Kurtarma Merkezleri”nde (FKM) senkron şekilde yedekler alınması hayat kurtarır mahiyette bir önlemdir.
Sık sık karşılaşılan bir diğer risk ise, şirket ya da kurumların sistemine virüs girmesi, bütün verilerin çalınması ve istenilen meblağ karşılığında sistemin geri verilmesi teklifi… Önceden veri depolama ve yedekleme tedbirinin alınması halinde, bu tedbiri sağlayan veri firması kullandığı backup makinesi ve firewall aracılığıyla hem verileri depolamış ve yedeklemiş oluyor hem de herhangi bir atak olduğu zaman anında müdahale edebiliyor. Ne var ki veri çalınması, maillerin patlaması, spam yenmesi gibi durumlar genellikle şirket ya da kurum içindeki sistemci ya da bilgi işlemcilerin hatasından kaynaklanıyor. Zira genellikle dışarıdan üçüncü beşinci kişilerden hizmet alımı oluyor ve ne yazık ki dışarıdan yönetip ama izin verilmediği takdirde atak esnasında müdahale imkânı bulunmuyor. Netice itibarıyla gerek devlet gerekse özel kurum ve kuruluşların veri depolama, yedekleme ve güvenliğine azami düzeyde önem atfetmesi gerekiyor.
Bireyler nasıl bir güvenlik riskiyle karşı karşıya?
Peki, sıradan vatandaşlar nasıl bir güvenlik riski ile karşı karşıya?
Pandemi döneminde e-ticaret çok arttı. Girdiğimiz kredi kartı bilgileri alışveriş yaptığımız web sitelerinde depolanıyor. Bu durum da, bu sitelerin kredi kartı bilgilerinin dışarıya sızmaması için azami güvenlik tedbiri almasını şart kılıyor.
Genellikle e-ticaret yapan kurumsal firmalar, “PCI-DSS” akronimiyle bilinen “Payment Card Industry Data Security Standard” (Kredi Kartı Veri Güvenliği Standardı) sertifikasyonu haiz şirketlerle çalışıyorlar. Zira Master Card, American Express, Visa, ve JCB’nin de aralarında bulunduğu bir konsorsiyum tarafından onaylı PCI-DSS’in dolandırıcılık ve sahteciliğe karşı neredeyse yüzde yüze yakın bir güvenlik oranı sunduğu söyleniyor. Türkiye’de e-ticaret yapan müşterilere hizmet vermek için bu sertifikayı alan birçok şirket bulunuyor.
Bu firmaların geçmişi çok da eskiye dayanmasa da son yıllarda Türk girişimcilerin de imza attığı yeni uygulamalar, bu sistemleri daha da güvenli hale getirme yolunda ilerliyor. Türkiye’den veri tekniği üzerine çalışan bir şirket,1 2019 yılında PCI Checklist uygulamasını geliştirdi; program bilgisayarları ve sistemi otomatik olarak denetleyen bir yazılım ve teknik bir yeterlilik gerektirmeden siber alt yapıyı sunuyor.
Devlet kurumlarında data güvenliği nasıl sağlanıyor?
Özel sektörden farklı olarak, devlet kurumlarının sanallaştırma projeleri var ve bu sanallaştırma projeleri için dışarıdan destek alınabiliyor. Bu yönüyle, devlet kurumlarının kendilerine ait yedekleme merkezleri ve bilgi işlem (IT) departmanları bulunuyor.
Öte yandan yurt dışındaki pek çok büyük firmanın dahi kendilerine ait data merkezleri bulunuyor. Ünlü giyim markası Tommy Hilfiger kendisine ait bir veri merkezi olanlardan biri. Booking.com firmasının data merkezi ise Amsterdam’da. Hollanda, birçok firmanın data merkezi olarak tercih ettiği bir destinasyon çünkü data güvenliği açısından Hollanda’daki hukuki ve yasal süreç daha farklı. Elbette yüzde yüz data güvenliği teminatı vermesi mümkün değil, ancak ekstrem bir durum zuhur etmediği takdirde, Hollanda veri çıkışına kolay kolay izin vermiyor. Malum dünya devi şirketler Google ve Facebook’un data merkezlerine devlet müdahalesi hususu sıklıkla dile getiriliyor.
Türkiye’deki şirketlerin ya da kurumların verilerini Türkiye’de depolama zorunluğu yok hatta bazı şirketlerin özellikle yurtdışındaki data merkezlerini tercih ettiği biliniyor. Özel sektörde veri depolama ve güvenliğine eskiden beri önem gösteren vizyoner firmalar var lakin bunların sayısı çok değil.
Veri güvenliği bilincinin önündeki engeller
Türkiye’de veri güvenliği bilinci henüz yeni yeni gelişmeye başlıyor. Burada iki temel neden var; birincisi kendisine ait veri merkezi kuracak kadar dünya pazarında rüştünü ispat etmiş şirketlerin az olması, ikincisi ise güven sorunu.
Zira “verilerimi neden sana vereyim, neden paylaşayım?” anlayışı yüzünden, şirketlerin kendi verilerini kendi düşük imkân ve kabiliyetleriyle depolamaya çalışması, güvenlik açığının büyümesine neden oluyor. En basit bir örnekle, hard diske depolanan verilerin muhtemel bir yangında yok olup gitmesi söz konusu oluyor. Ancak Türkiye’deki kurumsal firmaların bu süreci çoktan geçtiklerini, orta ölçekli firmaların yavaş yavaş dışarıdan hizmet almaya başladıkları, küçük ölçekli işletmelerin ise yeni yeni farkındalık geliştirdikleri görülüyor.
Türkiye siber güvenliğin sağlanması için ne tür tedbirler alınmalı?
COVID-19 pandemisi dünyanın dijitalleşme çağına daha hızlı ve esnek biçimde ayak uydurması gerektiğinin en somut göstergesi oldu. Koronavirüs vakası, bilgi teknolojilerine çok önceden yatırım yapan devletler ile geç farkındalık kazananlar arasındaki farkın da ne denli derin olduğunu kanıtladı. En basitinden, söz konusu yeteneği haiz devletler filyasyon çalışmalarının hemen başında kendi yazılımlarını geliştirdiler.
Bununla birlikte COVID-19 vakası, siber güvenlik yol haritasının, ulusal güvenlik planlamasının önemli bir ögesi olarak yer alması gerektiğini bir kez daha gösterdi. Bu bağlamda Türkiye’de, siber operasyon yeteneklerinin gerek devlet gerekse özel sektörce arttırılması ve müşterek tatbik edilmesi; istihbarat topluluğu, devlet, özel sektör ve üniversiteleri arasında yakın iş birliği sağlanması, yeni mükemmeliyet merkezlerinin kazandırılması son derece önemlidir.
Siber güvenlik profesyonellerinin sayısı artmalı
Siber güvenlik piyasası akıl almaz bir hızla büyüyor, bu açıdan bakıldığında siber güvenlik profesyonellerinin sayıca yetersiz olması Türkiye açısından ciddi bir sorun teşkil ediyor. Türkiye’de gelecek nesil siber güvenlik trendlerinin, fırsat ve tehlikelerin yakından takip edilmesi; sektördeki yeni iş kollarının tespit edilmesi ve bu minvalde gerekli istihdam politikasının geliştirilmesi, özel uzmanlık gerektiren alanlarda mesleki dallara yönlendirme yapılması, devletin özellikle ArGe teşviki sağlaması, sadece kurumlara ve firmalara değil halka yönelik de siber güvenlik politikaları geliştirilmesi önem arz ediyor.
Örneğin halen tartışılagelen blokchain uygulaması Avrupa’da ve Amerika’da görece popülerliğini yitirdi; buna mukabil yeni trend yapay zekâ, sintech ve augmented reality (artırılmış gerçeklik) üzerinden gelişiyor. Diğer taraftan, Türkiye’nin piyasadaki alternatif ürün çeşitliliğinin son derece az olduğu ve yerli geliştirmelere halen güvenilmediği göz önünde bulundurulmalı.
Son olarak Türkiye’de açık kaynak işletim sistemine geri dönüş yapılması (örneğin Microsoft kullanılıyor ancak data nereye gidiyor bilinmiyor, bunun yerine Linux tercih edilebilir) gerektiği dillendirilirken, özellikle son iki senedir Ulusal Siber Olaylara Müdahale Merkezi’nin (USOM) ücretsiz olarak yaptığı, bilgilendirme ve uyarıda bulunduğu penetrasyon testleri sektörden olumlu geri dönüşler alıyor.
Kuşkusuz siber-alanın ve bununla bağlantılı olarak dijital dünyanın bilginin elde edilmesi, paylaşılması ve korunmasında sunduğu fırsat ve avantajları yadsımak mümkün değil. Buna mukabil, her geçen gün bireysel ve kamusal hayatların daha fazla entegre olduğu dijital platformların; hatalı yahut manipülasyon ve dezenformasyon maksatlı bilginin yayımına kaynaklık ettiği, ayrıca kişilere, şirketlere ve devletlere ait bilgi ve verilerin ihlali gibi muhtelif risk ve tehditleri beraberinde getirdiği mutlak suretle göz önünde bulundurulmalı. İlaveten, COVID-19 pandemisinin daha somut ve cüretkâr biçimde hissettirdiği siber güvenlik risklerinin, salt devletlerden kaynaklanmadığı, devlet-dışı aktörlerin siber imkân ve kabiliyetlerini giderek daha yetkin ve etkin bir seviyeye taşıdıklarının altı çizilmeli.
Bu makalede yer alan fikirler yazara aittir ve Fikir Turu’nun editöryel politikasını yansıtmayabilir.
Bu yazı ilk kez 8 Aralık 2020’de yayımlanmıştır.