Türkiye’nin, ulusal bilgi güvenliği politikasında takip etmesi gereken adımlar dün Haliç Kongre Merkezi’nde gerçekleştirilen Bilişim Zirvesi’nde değerlendirildi. TÜBİTAK, Bilgem Siber Güvenlik Enstitüsü Müdürü Dr. Hayrettin Bahşi, yaptığı konuşmada siber güvenliğin uzmanlaşmanın öne çıktığı bir alan olduğunu ifade etti. Siber güvenliğin sağlanabilmesinde ulusal ve uluslararası bir koordinasyonun gerektiğine dikkat çeken Dr. Bahşi, ülkelerin know how ürettikçe daha fazla hedef haline geldiklerini söyledi.
Devletin yanı sıra vatandaşların bilgilerinin de siber casusluğun hedefleri arasında yer aldığını anlatan Dr. Bahşi şöyle konuştu:
“Savunma sanayinin knowhow casusluğuna karşı tedbirlerini almış olması gerekiyor. Bugünkü güvenlik stratejimiz çerçevesinde sistemlere penetrasyon testleri uygulayarak platform emniyetini denetliyoruz.
Hali hazırda güvenli yazılım döngüsünü işletmiyoruz. Diğer yandan gelinen noktada salt penetrasyon testleriyle bir korumanın sağlanamadığı durumlar da söz konusu. Dış tehditlere açık kamu kurumlarının platformlarına yönelik çalışmalarımızı sürdürüyoruz. Tehditleri belirlerken siber güvenlik alt disiplininin “zararlı yazılım analizi” gibi farklı uzmanlık alanlarını kullanmamız gerekiyor.
Donanım bazlı zararlı yazılımlar da kötü amaçlı kişilerin başvurdukları bir diğer yöntem. Yani siz bir ürünü tasarlasanız bile Çin’de bunun ne şekilde üretildiğini bilemiyorsunuz. Dolayısıyla orada donanım katmanında kötücül bir şeyin yerleştirilip yerleştirlmediğinden emin olamıyorsunuz. Dolayısıyla, olası böyle girişimlerin önünün alınması amacıyla Ulaştırma Bakanlığıyla birlikte bir proje yürütüyoruz. Halen, akıllı tahtalardaki açıkları tespit eden özel bir ekibimiz var.
Kritik altyapıların korunması, siber casusluğun yanında en önemli hedefimiz olmalı. Bunu ABD yaklaşık 12 yıldır tam olarak yapamıyor. Çünkü, bunun bir regülasyonu gerekiyor. Orada şirketler çok güçlü oldukları için bu regülasyonun işin içine girmesine engel oluyorlar.
Bizim, regülasyon kurullarımızın siber güvenliğin kapsadığı alanı belirlemeleri gerekiyor. Regülasyon kurumlarını da böyle bir işbirliğinin içine alırsak sanıyorum Amerika’dan da çok daha iyi bir noktaya gelebiliriz. Bankacılık Devlet Denetleme Kurumu BDDK’nın böyle bir girişimi var. Her yıl bankalara penetrasyon testleri yaptırıyor. Biz de geçtiğimiz yıl içerisinde sektörün profilini görmek adına benzer bir uygulama yaptık. Bu çerçevede sektörel bir rapor hazırlayarak bankalara gönderdik.
Siber tehditlerin temel amaçlarına bakıldığında en değerli devlet sırrının know-how olması ve Savunma Sanayi ortaya çıkıyor. Bu çerçevede kritik yapıların en iyi şekilde korunması gerekiyor. Zararlı yazılımlar en büyük tehdit unsurları olarak karşımıza çıkıyor. Siber savunmada ofansif savunma yöntemlerinin kullanılması gerekiyor. Saldırıları ortaya çıkaran tuzakların kurulması, saldırganın kimliğini tespit edecek tuzakların kurulması gerekiyor. Bilinçlendirme ve bilgilendirme sanal güvenliğin sağlanmasında bir diğer önemli unsuru oluşturuyor. Üniversite müfredatına bakıldığında siber güvenliğe yönelik derslerin azlığı dikkati çekiyor. Güvenli yazılım geliştirme, zararlı yazılım analizi ile uygulama güvenliğindeki eksikliklerin giderilmesi gerekiyor.
TÜBİTAK Bilgem olarak, Türkiye’nin zararlı yazılım haritasını çıkartmak amacıyla araştırma ve geliştirme çalışmaları yapıyoruz. Bu çerçevede siber casusluk tehdit analizi yöntemi geliştirmeye çalışıyoruz.
Kaynak : 