Ülkemiz, 2000’lerle birlikte kendisini birden bire artan oranda siber suçlarla karşı karşıya buldu. Türkiye’de akademik anlamda 1990’larda çalışılmaya başlanmıştı ama adli kolluğun bu konudaki farkındalığının yükselmesi 2005’leri hatta 2010’ları buldu.
Ondan sonra yapılan işlemlerde ise, teknolojinin doğasına göre değil, kendi inanışına göre davranışlar gördük. Hem vatandaş, hem adli kolluk, hem de hukuk tarafında çeşitli hatalar yapıldı. Çünkü maalesef ülkemiz internet ve bilgisayar çağına balıklama daldı. Öncesinde veya ilk başlarda devlet gerektiği gibi eğitim ve farkındalık üzerinde çalışmadı. 2009 sonrasında TİB’in bazı eğitimleri olduysa da, siyasi gelişmeler, bunların da yarıda kalmasına neden oldu.
Bu yazı, hukukçulara olayın teknik tarafını, bu insanların motivasyonunu ve içinde bulunduğumuz durumu anlaşılır hale getirmek için yazıldı. İnternet çağında, Türkiye olarak hep birlikte farkında varmamız gereken sorunlar şunlar;
- Dışarıda çok hızlı evrilen bir siber dünya var.
- Vatandaş bilinçsiz ve öğrenmeye de çabalamıyor, farkında değil
- Bu nedenle, vatandaşın bir kısmı “toptan reddediyor” oysa kendisi için değilse de, çocuğu için hayatı reddetmiş oluyor
- Hükümet kendisi bilinçlenmediği gibi halkı bilinçlendirme yerine ya “yasaklama” ya da “aldırmama” modunda davranıyor
- Hukukçulardan genç olanları konuya yakın ama ya geride kalanlar?
- Halkın büyük çoğunluğunun bilgisayarında, cep telefonunda virüs var
- Siber saldırıdan, siber savaşı anlamaya (ya da güvenliğe) geçme hazırlığı yapılması lazım ama devlet kendi derdiyle meşgul
- Çocuklarımız TEOG’u ne yapacak?
- Dünya nereye gidiyor, yakalayabilecek miyiz?
Hukuk teknolojik konularda hep arkadan gelir ama Türkiye’de kendi kavgası içindeki hukukun, 2000 sonrasındaki gelişmelerini iyi takip edemediğini görüyoruz. Artık dünya yeni bir dünya, kavramlar yeni, iş yapış şekilleri değişti. Bu nedenle hukuku uygulamanın yolu bu yeni dünyanın işleyişini de anlamaktan geçiyor.
Beceri – Merak – Paylaşım – Heyecan
Siber suçlar, bilgisayarların gelişmesi ile birlikte gündeme geldi. Avrupa olayı derhal anladı. Çünkü ta 1981 yılında Avrupa Birliği, “elektronik verilerin korunması” başlığıyla bir sözleşme imzaladı. Düşünün bakalım, neden?
Normal operasyon içindeki karşılaşılan sorunlar olmasa bile, Wikileaks’in sahibi Julian Assange’ın hayatı gibi bazı kitaplara ve “Savaş Oyunları” gibi 1980’li yıllara ait bir kaç filme bakarsanız, o zaman bile bilgisayarları kurcalayanlar vardı.
Neden kurcalıyorlardı? Bunu anlamak için bilgisayarcı olmak gerek. Ya da şöyle izah edelim; bugün yazılım dünyasından birileri yakınınızdaysa dikkatle bakın, zevkle kod yazan birilerini oturduğu masadan kaldırabilir misiniz? 1 saat sonra, 3 saat? 7 saat? 24 saat? O, yazdığı kodu bitirene kadar yerinden kalkmayabilir, yemek yemeyebilir, su içmeyebilir (ya da tersi, yani yerinden kalmadan yiyebileceği yiyecek olan pizzaları yiye yiye obez haline gelmiş olabilir). Çünkü bir dünya yaratıyor. Alın işte Google, ya da Facebook, ya da Twitter. Bunlar bahsettiğimiz tür insanların oluşturduğu dünyalar.
Yazılımcıların bir çoğu, birşeyleri yaratmak azmi içindedir. Bu nedenle siber suçlar işleyen çocukların bazıları da aslında “bak nasıl da yaptım” demek için işin içine girerler ya da çekilirler.
Onlar farklı bir çağın, kafaları farklı çalışan insanlarıdır. Paylaşımcı bir dünyanın insanlarıdır. Bizim “neden paylaşacağım ki” diye baktığımız olaylara “paylaşırsam büyür, gelişir” diye bakmaktadırlar. Paylaşırken de aslında becerilerini yarıştırıyorlardır.
Buradaki motivasyon, önce “beceri göstermek” ile ilgili, sonra “merak” yani “acaba burada neler var?”, daha sonra “paylaşım” ve tabi hepsinin üstünde “heyecan.
Siber Suçlar Nasıl Başladı?
Aslında böyle başladı. Yani heyecan duyanlarla. 2000 öncesinde, ticari bir durum pek yok gibiydi. Daha çok “becerisini göstermek” söz konusuydu.
Bu dönemde, “bunalımda” olan Rus ve eko sistem vatandaşları aktiflerdi. Doğu Perde ülkelerinin eğitimlerinin en önemli özelliği “temel matematik”tir. Prestroyka döneminde, 5-6 yıllık boşluk içinde Rusya ve bağlı ülkelerde (Bulgaristan gibi) işsiz kalan genç programcılar, yeteneklerini dünyaya göstermek istediler.
Bunun yolu, milyonlarca hatta milyarlarca $’lık reklam bütçesi olan batılı yazılım firmalarının kapladığı pazarda yarışa girmek değildi. Onun tersini yaptılar. Bu yazılımları çöktürdüler ya da içlerine sızdılar. Bu iş böyle gelişmeye başladı.
Üstelik çöktürme olayı da yeni değil. Bill Gates’in gençliğine bakın. Microsoft’u beraber kurduğu Paul Allen ile birlikte, kolej öğrenciliğinde, okulun bilgisayar eğitimi için saatlik kiraladığı Digital marka bilgisayarları çöktürerek bu sektöre girmiştir.
Her neyse !! Rus ve diğer bilgisayar gençliğinin “beceri” operasyonları kısa zaman sonra Mafia’nın ilgisini çekti. İşte o gün bugündür, gittikçe gelişen bir yeraltı ekonomisi içindeyiz. Burada en kıymetli ürün nedir?
Kişisel Verilerin Çalınması Neden Önemli?
Mafia’nın üzerinde son 10 yıldır çalıştığı temel ürün “Kişisel Veriler”dir. Bu bireyler için kişisel veriler ama kurumlar için “şirket verileri” olarak anlaşılmalıdır.
Kişisel veriler ne işe yarar? Çok işe yarar, bu banka hesaplarınızdan para çalmaktan, sizin adınıza şirket kurmaya, sizin bilgilerinizi ortaya koyarak sağladıkları güven ya da şaşkınlıkla telefonda dolandırılmaktan, kişisel verilerinizde zayıf noktalar varsa şantaja kadar gidebilecek bir şemadır.
Şirket verilerinin çalınmasının neden tehlikeli olduklarını kolayca anlıyorsunuzdur.
Sonuç olarak, 50 milyon kişinin verilerinin 5-6 yıldır ortalıkta dolaşmasının ciddiyetini anlayamayanlar gerçekten çok şaşırtıcı ya da üzücü.
Bedavaysa Ürün Sizsiniz !!!
Bu olayları hafife alanların bir iddiası da, kendi şahsi verilerimizi kendi ellerimizle Facebook vs üzerinde veriyor olmamızdır.
21.ci yüzyılın şu ana kadar geçerli olan en büyük iş modeli, reklamdan para kazanmaktır. Bunu TV yayıncılığı ile örnekleyelim. TV kanalları (payTV değillerse) seyirciden para almazlar ama gösterdikleri reklamlarla para kazanırlar.
Bunun internet çağındaki karşılığı ise “bedavaysa, ürün sizsiniz”. Yani Google size bedava mail adresi, harita, tarayıcı veriyorsa, Facebook resimlerinizi, videolarınızı, Twitter fikirlerinizi, Instagram resimlerinizi sunmak için yer sağlıyorsa, bunların parasız yapılması herhalde düşünülemez. Paranın geldiği yer ise, sizin kişisel verileriniz, resimleriniz, videolarınız olmaktadır. Yani verilerinizi “anonimleştirerek” (mi ? bilmiyoruz) reklam şirketlerine sunarlar. Karşılığında bu profillere uygun reklam yani para alırlar.
O zaman neden bahsediyoruz? Madem veriler bu kadar ortadaysa, 50 milyon kişisel verilerin çalınmasının önemsiz mi?
50 milyon kişisel veri devletten çalındığında, bunların içinde sosyal medyada vermediğiniz veriler var. Anne kızlık soyadı gibi (sanıldığının aksine çalınan bilgilerle anne kızlık soyadı mümkün çünkü aile ağaçları oluşturulabiliyor) ya da Facebook’da vermediğiniz ev adresiniz, TC kimlik numaranız gibi. Bunları siz “devlete emanet” ediyorsunuz. Kendi elinizle verdiğiniz bilgilere kimse karışamaz ama devlete emanet ettiğiniz verilerin korunması, devletin sorumluluğudur.
Devlet Kişisel Veriler Konusunda Ne Yapıyor?
Devletin şu kadar yıldır ve şu ana kadar bilinçli davrandığı söylenemez. Tamam, devlet kurumları işlerini bilgisayarlarla yapıyorlar. Bunlar gerekli ama yazılım ya da donanım alımında çok dikkatli olunması ve kurallar oluşturulması gerekli. Oysa devletin bu konuda farkındalığı zayıf.
Edward Snowden 2014 yılında Cisco cihazların içine Amerikan NSA kurumu tarafından “bug cihaz” takıldığını gösterdi. Arkasından Juniper, Fortinet gibi cihazlarda da “arka kapı” denilen aynı tür açıklar ortaya çıktı. Bunlar bugün bütün devlet kurumlarımızda mevcut olan cihazlar. Yani siz buradan verileri giriyorsunuz, oradan birileri bunları okuyup, hatta gerekiyorsa alıp duruyor. Mesela Fuat Avni fenomeni. Acaba birçok operasyonu önceden nasıl haber alabiliyor? Bu oralarda olan bir insan mı? Ya da donanımlardan gelen bilgiler mi?
Yazılımlarda durum daha da beter. CIA destekli olduğu iddia edilen Oracle veri tabanı tüm yazılımların temelinde var. Örneğin tüm devlet memurlarının maaşlarının ödendiği Ziraat Bankası’nın veri tabanı. Kimin para sıkıntısı olduğu kolaylıkla anlaşılabilir mi? Ya da Microsoft yani kapalı bir yazılım. Her yerde. Sizin işinizi yapıyorken, acaba başka ne işler yapıyor?
Üstelik 2011 yılı Cumhurbaşkanlığı Devlet Denetleme Kurulu raporunda bunların üzerine ilave gelen sorunları görüyoruz. Mesela bu donanım ya da yazılımları devlet kurumlarına kuran, bu firmaların bayisinde çalışan 20 yaşlarındaki yetkisiz çocukların bile tüm veri tabanlarına erişebildiği anlaşılıyor. Üstelik kopyalamaya karşı vs önlem bile olmadan.
Yani siber güvenlik konusunda devlet tarafında sorun var. Alınan yazılımların milli yazılım olmasa bile açık kaynak (yani ne işlem yaptığı açıkca görülen) olması gerekirdi. Öyle değil. Donanımların mutlaka bir milli kontrol merkezinde test edilmesi gerekirdi. Öyle bir merkez yok. Üstüne bunları devlet kurumlarına yerleştiren firma ve kişilerin akredite ve yetkili olması, verilerin de kopyalanamaz olması gerekirdi. Bu da yok.
Yani durum toptan kötü mü? Bilmiyoruz. Bunu ortaya koyan araştırmalar yok. Mesela neden telefon dolandırıcılığı bu kadar yaygın ve de dolandırıcılar bu kadar ikna edici? Bunu araştırmak lazım.
Peki Siber Güvenliğimiz Ne Durumda?
Maalesef son 5-6 yılın siyasi çekişmeleri, ülkenin siber güvenlik konusunda dikkatini yoğunlaştırmasını engelliyor. Aslında bu dikkatin son 5-6 yıl değil, 20 yıl öncesinden başlaması gerektiğine de not edelim. Çünkü siber güvenlik bugünden yarına bir olay değil. Evrimleşen, zamanla öğrenilen bir konu. Zaten artık siber saldırıları değil siber savaşları konuşmaya başladık. Şimdiden İran, Suriye, ABD, Çin, Japonya, Rusya, Almanya, İtalya siber ordular kurmuş durumda.
Türkiye 2012’de bir kanun çıkardı. Ulaştırma, Denizcilik ve Haberleşme (UDH) Bakanlığı başkanlığında –ki bana göre yanlış, bunun en üst düzeyde, yani Başbakanlık düzeyinde ya da Milli Savunma Bakanlığı (MSB) düzeyinde ele alınması lazım—bir Siber Güvenlik Kurulu oluşturuldu.
Ama ikinci hata da budur. Çünkü bu kurulun üyelerine bakarsanız, yaşları 50-60’larda, meslekleri ilgisiz ve bugünün siber inceliklerini anlayamayacak adamlardan oluşuyor. Bu adamlar mı, ne olduğunu anlayacak ve sonra strateji geliştirecek olanlar? Hayır, bu kurulun işin içinden gelen gençlerle kurulması gerekir.
Daha sonra UDH Bakanı değişti ve telefon dinlemeleri de gündeme girince, “cız yakar” modunda, bu konuya eğilen olmadı. Ta ki aralık ayı sonundaki dDOS saldırıları gündeme gelinceye kadar. Yani cep telefonu ve bilgisayar modellerinin 3-6 ayda eskidiği bir yüzyılda, siber güvenlik konusunda tam 3 yıl hiç bir şey yapılmadı.
Peki düzeldi mi? Ondan sonra ne oldu derseniz; kocaman bir hiç. Şubat ayında bir siber güvenlik kurulu toplantısı yapıldı. Birileri birşeyler yazıyor ama konunun uzmanları mıdır? Yazdıkları işe yarar mı? Bilmiyoruz !!
Ama siber saldırı altındayız. Mesela 31 mart 2015 tarihinde tüm elektrik sisteminde meydana gelen arıza çok şüpheli. Nedeni anlamlı bir şekilde izah edilemedi. “Frekans senkoronizasyonunda bozulma” dendi. Ama buna neyin yol açtığı bilinmiyor. Bu bir siber saldırı mıydı? O dönem İran’la ilgili bir gerginlik vardı. Enerji Bakanlığı bir şeyler söyledi ama siber saldırı ihtimalini reddedemedi de.
İran’ın 2009’da uğradığı Stuxnet ismini taşıyan ve Nükleer Reaktörün verilerini şaşırtan (ısıyı yanlış gösteren) virüs saldırısı ile dünya resmen “Siber Savaş Çağı”na girmiş bulunuyor. Arka planda bir takım virüsler dolaşıyor ve acaba neler yapıyor? Bahsettiğimiz siber ordular ise gün geçtikçe kendilerini geliştiriyorlar. İsrail ve ABD merkezli olduğu düşünülen saldırılar nedeniyle İran bunların başında geliyor.
Çünkü günümüzün savaşları artık fiziksel değil, sanal. “Altyapıları çöktürme” üzerine kurulu. Estonya’da 2007’de meydana gelen olaya bakarsanız, Rus asker heykelini yıkma kararı, 4 gün bankaları, şirketleri, devlet dairelerini çalıştıramamakla sonuçlandı. Tabi ki vazgeçtiler. Saldırı bitti.
Bu yazının özeti şu; hep birlikte siber güvenlik konusuna eğilmemiz ve devleti de bu konuda çalışmaya –ama doğru insanlarla—zorlamalıyız. Aksi takdirde gelecek ne getirir belli değil !!!
Ama yazımızı bir soru ile kapatalım; 20ci yüzyılda bilgisayarların gelişmesi başlayana kadar insanlar “bilgi topladı”. Bugün artık bilgi toplama çağında değiliz. “Bilgi kullanma” çağındayız. Çünkü bilgilere kolayca ulaşılabiliyor. Bugün “bilgi ile ne yapılacağını anlama” çağındayız. Bu nedenle artık mühendisler ayrıca hukuk eğitimi alıyorlar. O zaman çocuklarımıza TEOG sınavı ile yaptığımız eziyetin anlamı nedir?
Kaynak : 