Siber güvenlik turk-internet.com olarak en çok önem verdiğimiz konuların başında geliyor. Çünkü artık dünya olarak herşeyimiz internetin üzerinde ve bu herşeyin içinde kişisel bilgilerimiz, paramız, fiziksel güvenliğimiz, ticari bilgilerimiz ve herşey var. Dolayısıyla siber güvenlik ile ilgili her çalışmanın desteklenmesi lazım.
Ülkemizde siber güvenlik konusunda en çok efor sarfeden kişilerin başında Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölüm Başkanı Prof.Dr. Şeref Sağıroğlu geliyor. Sağıroğlu bir yandan akademik görevi nedeniyle bu konuda çalışırken, diğer yandan kurucularından olduğu Bilgi Güvenliği Derneği (BGD) [1] ile çeşitli konferans ve eğitimlere destek oluyor. En son ISC Turkey’in 9. Uluslararası Kriptoloji ve Bilgi Güvenliği Konferansının sonuç bildirgesini yazan 4 kişiden birisi olan Sağıroğlu için Ekşi Sözlükte “otoriter kişiliğini korurken sevecenliğinden birşey yitirmeyen bir hocadır” ifadesi yer alıyor. Sağıroğlu ile daha önce de söyleşiler yapmıştık [2]. Bu kongre sonrasında, kendisiyle genel olarak siber güvenliği konuştuk.
turk-internet.com : Hocam güvenlik yükselen bir endişe konusu ve bugün herkes bir şey söylüyor. Bu konudaki size göre en önemli ve en çok dikkat edilmesi gereken husus nedir?
Prof.Dr.Şeref Sağıroğlu : Güvenlik sizin de vurguladığınız gibi artan bir endişe.. Gelecekte daha da büyük endişelere sebebiyet verecek. Bunun pek çok nedeni var. Güvenlik ihtiyacı aslında güvensizlikten doğuyor.. Günümüzde artık kişiler-kişilere, toplumlar-toplumlara, ülkeler ülkelere güvenmiyor.. Güvensiz bir dünyada yaşıyoruz.. Siber ortamlardan veya bu ortamlara kolay saldırı yapılabilmesi, tehditlerdeki artışlar, açıklıkların sayısının fazlalığı, saldırı araçlarının internetten kolaylıkla elde edilebilmesi, karşılaşılan ihlallerde artışlar maalesef bunu tetikliyor…
Gelişmiş ülkelerin siber ortamları çok iyi kullanmaları, açık istihbarat elde etmeleri, ileri düzey saldırıları desteklemeleri, bu ortamları bir savaş veya savunma ortamı olarak kullanmaları tehdit oluştururken bu ortamları kullanan kötü niyetli ve siyah şapkalı saldırganların, teröristlerin, çıkar elde etmek isteyenlerin de kolaylıkla kullanmaları da bu korkuları doğal olarak arttırmaktadır. Bu ortamları daha güvensiz hale getirmektedir. Bir de buna ülkelerin kendi çıkarları ve ülke güvenliği de eklenince bu korku ötesine geçiyor ve paranoya haline gelebiliyor…
ABD’li psikolog Abraham Maslow’un ortaya attığı bir insan psikolojisi teorisi olan Maslow Teorisi veya Maslow İhtiyaçlar Hiyerarşi Teorisi bugün bu tehditleri anlamamıza, yeni ve bilimsel çözümler üretmemize katkı sağlayabilir diye düşünüyorum. Dünyanın çoğu, beş temel gereksinimi içeren bu teorinin daha ilk adımda. Bir kısmı üst sıralara çıkma gayretinde. Diğerleri ise üst seviyelerde. Buna bir de saldırganların ve devletlerin de çoğunun “önce insan” anlayışı yerine “önce ulusal çıkarlar veya ülke çıkarlarını” benimsemeleri, dünyamızı bir savaş alanı haline getirmektedir.
Bugün ciddi siber savaşlar yapılmaktadır, yaşanmaktadır. Ülkelere, kurumlara ve kişilere ciddi zararlar verilmektedir. Üzülerek belirtmem gerekir ki bu gelecekte de devam edecektir. Mevcut istatistikler ve yapılan yayınlardan bu tehditlerin daha da büyümeye devam edeceğini, boyutunun değişeceğini ve en önemlisi zararların daha da artarak devam edeceğini bizlere göstermektedir.
Siber güvenlik, tüm ülkelerin problemidir. Bu problemi çözmek için pek çok önlem alınmaktadır. Son iki yıldır bunun ölçümlenmesi ve gerçek çözümler üretilmesi için de ITU tarafından “Global Siber Güvenlik İndeksi” sıralaması yapılmakta ve yayımlanmaktadır. Yasal işlemler, uluslararası işbirliği, yetenek geliştirme, teknik önlemler, örgütsel önlemler temel alınarak yapılan bu sıralamada ABD ilk sıradadır. Ülkemiz ise bu sıralamada 7. olup, genel değerlendirmede ise 192 ülke içerisinde 22. sıradadır.
Bu girişten sonra gelelim sorunuza.. Güvenlik, insan eksenli bir konu olup sadece teknik ve teknolojiler ile çözüm getirilecek bir konu değildir. Dolayısıyla insanları (çalışanları, üretenleri, uzmanları, kullanıcıları gerekirse saldırganları) eğitmedikçe, insani değerleri yaşayan ve yaşatan olmadıkça bu sorun devam edecektir.
Şimdi bu konuda yapılacaklara gelelim.. Her konuda olduğu gibi bu konuda da eğitim şarttır. Öncelikle insanlara, insanlığa ve insani değerlere yatırım yapılmalıdır. Bu değerlerin yozlaşmasını önlemedikçe, güven problemini çözmedikçe “güvenlik” sağlanamaz, “Güvenli bir Dünya” oluşturulamaz.. Buna öncelikle hep beraber kafa yormamız, adımlar atmamız, ortak akıl ile çözümler geliştirmemiz gerekiyor.. Çünkü sistemleri geliştirenler, sistemleri üretenler, sistemleri kuran ve işletenler, hizmet verenler, saldıranlar, isteyerek veya istemeyerek ihlali veya açıklıkları oluşturanlar veya bırakanlar, savunanlar, denetleyenler, kuralları koyanlar, stratejileri ve politikaları hazırlayan ve uygulayanlar hep insanlardır.. Eksikliklerimizi gidermek için gerekenleri yapmak zorundayız.. Mesela “Hayat Boyu Öğrenme” ile beraber “Hayat Boyu Öğretme” de bizim ana felsefemiz olmalıdır…
Ülkemizde bu alanda yapılan çalışmalara baktığımızda, ulusal strateji ve eylem planları kapsamında ihtiyaç duyulan insan kaynağı açığını kapatmaya yönelik çalışmalar yapılmaktadır. Üniversitelerde, Siber Güvenlik, Bilgi Güvenliği Mühendisliği, Kriptografi, Elektrik, Elektronik ve Siber Sistemler, Adli Bilişim, Adli Bilişim ve Siber Güvenlik, Büyük Veri, Büyük Veri Analitiği, Akıllı Şebekeler, Adli Bilişim Mühendisliği, Bilişim Hukuku gibi konularda lisans ve lisansüstü eğitim programları bulunmaktadır.
Bu sayıların ulusal stratejide belirtilen sayıların çok üzerinde olduğunu belirtmekte fayda vardır.. Ülkemizde yeteri kadar program veya bölüm olsa da ihtiyaç duyulan uzman sayısı ve yeteneklerine bakıldığında yeteri düzeyde olmadığımızı belirtmek isterim. Bunun gerekçeleri ise, yapılan akademik çalışmaların sayı ve kalite olarak yetersizliği, patent, faydalı model ve markaların azlığı, yapılan proje sayılarının düşüklüğü ve en önemlisi bu alanda ihtiyaç duyulan ulusal markalı ürünlerimizin olmayışıdır. Trilyon dolarlık bu pazardan, gerekli payı alamamamızdır.
Bilgi varlıklarına değer verenlerin ve koruyanların, bilgiyi üretenler, geliştirenler, inovasyona dönüştürenler olduğu unutulmamalıdır. Siber güvenliğimizi sağlamak istiyorsak, bu alanda üretim yapmalıyız ve dünya bilgi güvenliğine daha çok katkı sağlamalıyız. Ancak bu sayede üst seviye bir koruma sağlayabiliriz.
turk-internet.com : Güvenlik egitimi konusunda ülkemiz ne durumda? Üniversitelerimiz sizce yeterli eğitim veriyorlar mı? Son gelişmeleri takip ediyorlar mı?
Prof.Dr.Şeref Sağıroğlu : Güvenlik Eğitimi verme konusunda gayet iyi bir durumdayız. Ülkemizde bu alanda yapılan çalışmalar, uluslararası göstergeler dikkate alındığında (ITU Global Siber Güvenlik İndeksi gibi) durumumuz fena değildir. Bu sıralamada ilk sırada olan ABD’nin bile saldırılara maruz kaldığı göz önüne alındığında bu sıralamanın önemli olmadığı, önemli olanın ise her zaman her ülkenin/sistemin saldırı altında olduğunun bilinmesi ve buna hazır olunması, hazırlık yapılması ve karşı tedbirlerin alınması önem arz etmektedir.
Ülkemizde bu alanda yapılan ulusal ve uluslararası yayınlara baktığımızda; dünya ya 1/1000 oranında katkı sağladığımızı yaptığım kişisel araştırmalar bana söylüyor.. Patent konusunda baktığımda ise siber güvenlik ve bilgi güvenliği alanında bu oran ise ABD ile karşılaştırdığımızda 1/2000 dir. Bu oran bize nerede olduğumuzu açıkça göstermektedir. Bu sonuçlar bizlerin daha çok çalışmasını, geliştirmesini ve üretmemiz gerektiğini vurgulamaktadır.
Gazi Üniversitesi, ülkemizde bu alana en çok katkı yapan, bölümleri ve programları bünyesinde barındıran, bu alanın gelişmesi ve istenilen veya beklenilen düzeye çıkartılmasına katkı sağlayan en önemli üniversitelerin başındadır. Google Akademik’de küçük bir arama yaparak bunu görebilirsiniz.
Mesela, üretilen herkese açık kaynakların üçte biri Gazi Üniversitesi kaynaklıdır. Bu alanda yılda en az 5 ulusal ve uluslararası etkinlik yapan, yapılan etkinliklere destek veren, ev sahipliği yapan, bu alanda akademik çalışmalar üreten bir çalışma guruplarımız vardır. Bu alanın gelişmesine doğrudan olmasa da dolaylı olarak katkı sağlayan patentlerimiz var. Müracaat ettiğimiz ve almayı beklediğimiz patent başvurularımız var. Projelerimiz var.. Siber Güvenlik ve Büyük Veri Analitiği ve Güvenliği Laboratuvarımız (bigdatacenter.gazi.edu.tr) var. Açık erişime sahip biri türkçe biriside ingilizce olmak üzere açık erişimi destekleyen iki dergimiz var.. Bu çalışmaları, ülkemizin bilgi güvenliği ve siber güvenlik alanında bilgi birikimini, yeteneğini arttırmak, yeni çalışmalar yapmak ve ülke kişisel, kurumsal ve ulusal bilgi güvenliğinin sağlanmasına katkılar sağlamak üzere yapıyoruz.. Yapmaya da devam edeceğiz..
turk-internet.com : Bu alanda ülkemizin insan kaynağı nasıl? yeterli adam geliyor mu? gelen adamların bilgileri (özellikle matematik) nasıl?
Prof.Dr.Şeref Sağıroğlu : Ülkemizde bugün için bu konuda uzmanlara acil ihtiyaç duyulduğu BTK Başkanı ISCTurkey 2016’da açıkladı.. Gelecek bir kaç yıl içerisinde ise bu ihtiyacın 15.000-20.000 civarında olacağı belirtilmiştir. Ülkemizde bu alanda eğitim-öğretim veren kurumların bu ihtiyacı karşılama konusundaki potansiyellerine baktığımızda bunun ihtiyaç duyulan uzman ihtiyacını karşılayamayacağı açıktır. Bunun karşılanması için yeni programların açılması, açılmış olan programların altyapılarının güçlendirilmesi, ders veren öğretim elemanı sayısının arttırılması, ders içeriklerinin iyileştirilmesi ve güncellenmesi, uzaktan eğitim programları açılması ve desteklenmesi gerekmektedir. Kısa dönem içerisinde ise sertifika programları açılması ve çok spesifik alanlarda duyulan ihtiyacın kısa süreli eğitimlerle karşılanmasına yönelik önlemler alınabilir.
Ülkemizde bu alanda ihtiyaç duyulacak kalifiye elemanları yetiştirmek, zeki gençleri bu alana çekmek için gençlere fırsatlar sunulmalıdır.. Burslar verilmelidir.. Gençlere güvenilmelidir.. Zekalarından, sınırsız düşüncelerinden ve enerjilerinden mutlaka faydalanılmalıdır…
Ülkemizin iş adamlarından ve fütüristlerinden olan Alphan Manas Ankara’da yapılan bir konferansta “dünya bu IQ seviyesiyle yönetilemez..En az 300 IQ lu kişilere ihtiyaç var..” öngörüsünde bulunmuştu.. Ben de bunun dikkate alınması ve siber güvenlik alanında da yüksek IQ’lu gençlerden mutlaka faydalanılması gerektiğini belirtmek istiyorum.
turk-internet.com : Ülkemizde uzman sayısı ve yeteneklerine bakıldığında yeteri düzeyde olmadığımızı söylediniz. Sizce bunu nasıl geliştirebiliriz?
Prof.Dr.Şeref Sağıroğlu : Ülkemizde bu alana ilgi duyan çok gencimiz var.. İlgilerini bu alan çok çekiyor.. Bu konuda kendilerini geliştirmek istiyorlar.. Ben bunu Gazi Üniversitesinde görüyorum. Yaptığımız konferanslardan gözlemliyorum. Çalışmak isteyen çok ama burada yetenek geliştirmek çokta kolay değil.. Ülkemizde bu yeteneklerin sayısı arttıkça, bunu çevremizde ürün olarak, eğitim olarak, etkinlik olarak, çözüm olarak, danışmanlık olarak, tez olarak, kitap olarak, proje olarak, koruma olarak, tehdit olarak veya çözüm olarak mutlaka görürüz.
Ülkemizin yapılan saldırılar veya saldırı yapan ülkeler arasında ilk 10 da olması bunun diğer bir göstergesi.. Onun için diyorum ki ihtiyaç duyulan uzman sayısı yeterli değil, yetenekler yeterli değil diyorum. Ülkemizde, bizlerin tespit edebildiği bir APT saldırısı henüz yok.. Bunu tespit edebilecek bir yapılanma benim bildiğim kadarıyla yok.. Bunun için gerekli olan bir altyapıda yok.. Bunun için yeteneklerin birleştirilmesi, hedef guruplar oluşturulması, belirli araştırma merkezleri kurularak bu yapılar altında hem yeteneklerin arttırılması hem de yapılan saldırıların veya mevcut sistemleri farklı bir bakış açısıyla analiz edebilmesi için yapılar kurulması gereklidir.
turk-internet.com : Çevremizde siber ordusu olduğunu bildiğimiz ülkeler var. Rusya, İran ve Suriye. Bizim siber ordu kurmamız gerekir mi? Bunu sizce nasıl yapabiliriz?
Prof.Dr.Şeref Sağıroğlu : Ordu dıştan gelen tehditleri durdurmaya yönelik çalışma yapar.. Dolayısıyla siber saldırılar sınır tanımayan saldırılar olduğu için mutlaka sayısal bilgi varlığını, ulusal güvenliğini sağlamak için her ülke bunu kurar.. Siber ordular ihtiyaç duyulan zamanlarda da daha aktif görev yaparlar.. Bazı ülkeler kurdukları orduları resmen açıklarken, bazıları da olsa bile sessiz kalabilir.. Ülkemizde şu an için resmi olarak kurulmuş bir siber komutanlık vardır.. Bunun anlamı ise bizim de siber ordumuz vardır. Bunun boyutu, detayları açıklanması ise ilgili birimlerin sorumluluğudur.
Burada bilinen bir gerçek var o da siber ordumuzun sayısının ve yeteneklerinin arttırılmasıdır.. Siber ortamları kullananların siber dünyanın bir neferi (asker,komutan, vb) olduğunun farkında olması, bilerek veya bilmeyerek bu olabilir, en kötüsü ise farkında olmayarak farklı ülkelerin veya farklı amaçlara hizmet eden birimlerin neferi olunması.. bu gerçeğin farkında olarak her kullanıcının kendisini geliştirmesi ve siber ortamlardan gelebilecek bu gibi tehditlerden kendisini koruması.. bu bilinçle farkındalıklarını arttırmalarıdır.
Bu tedbirler içerisinde mutlaka milli ve yerli ürünlerin geliştirilerek desteklenmesi, ulusal yeteneklerimizin arttırılması, bunu geliştirilecek zeki insanların bu alana çekilmesi önem arz etmektedir.
turk-internet.com : Gazi Üniversiteli bir öğretim üyesi olarak patentleriniz olduğunu belirttiniz. Bu patentlerinizin hangi konularda olduğunu ve yeni patent başvurularınızın konularını söyleyebilir misiniz?
Prof.Dr.Şeref Sağıroğlu : İlk patentlerim biyometrik tabanlıdır. Parmakizinden eşkal belirleme, parmak izinden cinsiyet belirleme, parmakizinden diğer özelliklere geçiş üzerinedir. Bu patentleri sadece TPE den değil Avrupa patent ve Amerika Patent Enstitüsünden de aldığımızı belirtmek isterim. Şimdi aldığım bu patentin ticarileşmesi için çalışmalarımıza devam ediyoruz. Meraklılarının test edebileceği bir platformu da meraklılarına sunuyoruz. İsteyenler biometrics.gazi.edu.tr adresini ziyaret edip detay bilgilere erişebilirler, isterlerse de canlı test yapabilirler.
Diğer patenlerimiz ise otomatik web içeriklerinin tespiti ve istenilen dile çeviri yapılması; Suçluların takibine yönelik sosyal medyada lokasyon belirleme ve suçluların bir sonraki lokasyonunun tahmini; Web tabanlı eğitimde kullanıcı bilgi birikimine göre kullanıcıya seviyeye göre akıllı içerik sunma; gibi patentlerdir.
turk-internet.com : Ekim ayında açıklanan Ulusal Siber Strateji ve Eylem Planı konusundaki düşüncelerinizi alabilir miyiz? İyi ya da eksik yönleri nelerdir?
Prof.Dr.Şeref Sağıroğlu : Ülkemizde siber güvenlik stratejisi ve eylem planı dokümanı olması çok önemlidir. Bunun revize edilmesi ve bazı yeni hususların eklenmesi, ekosistem oluşturulmasına önem verilmesi, işbirliğinin arttırılmasına yönelik çalışmaların yapılması, yeni programların açılmasının önerilmesi, STK ların kısmen de olsa bu planda yer alması, siber güvenlik ekosistemine önem verilmesi, milli ve yerli ürünlerin öne çıkarılması gibi hususlar bu eylem planının önemli artılarıdır.
Eksik yönleri ise; ülkemizde siber güvenlik ve savunma alanına katkı sağlayan üniversiteler ve enstitülerin bilgi birikimlerinden faydalanması.. İleri düzey ortak araştırma laboratuvarlarının açılması ve bunların fonlanması.. Kamuya daha çok değer katmak, yeni kazanımların elde edilmesinin önünü açmak, yeni fırsatları sunmak için kamu verilerin anonimleştirilerek araştırmacılara ve üniversitelere açılması (opendata.gov gibi).. siber güvenliğin bir tehdit olarak görülmesi veya ele alınması.. bunun bir ekonomisinin de olduğu ve bu alana yapılacak yatırımlarla getirilecek yetenekler ve ürünlerden ülke ekonomisine büyük katkılar sağlanabileceğinin çok fazla öne çıkarılmaması..
Ülkemizde 15 yıldır kullandığımız “siber” kelimesinin hala TDK’nın web sitesinde yer almaması da üzücüdür. Bir önceki eylem planında ilgili kuruma görev verilmesine rağmen bunun yerine getirilmemesi de ayrıca düşündürücüdür. Ümit ederim bu eylem planında bu konu daha titiz ele alınarak çözülecektir diye bekliyorum.
turk-internet.com : Benim sorularım bunlar. Sizin eklemek istediğiniz bir şeyler var mıdır?
Prof.Dr.Şeref Sağıroğlu : Ülkemizde 2006 dan bu yana bilgi güvenliği ve siber güvenlik alanında çalışmalar yapıyoruz, etkinlikler düzenliyoruz, sektör-kurum-üniversite işbirliklerinin arttırılması için çalışıyoruz. Bu yıl 11. yılımız.. Geldiğimiz noktaya baktığımızda ülkemizde pek çok şey değişiyor ve gelişiyor.. Yaptığımız bu etkinliklerin bu işbirliklerini arttırdığını da düşünüyoruz. Ülkemizin bugün 22. sırada olmasına katkılarımızın yüksek olduğunu görüyoruz..
Öz eleştiri yapacak olursak, ülkemizde üretilen ve yurtdışına sattığımız güvenlik ürünleri sayısı çok az.. Sahip olunan patent sayısı çok düşük.. Akademik çalışmalarımız olsa da bunun sektörün ve ülkenin gelişimine katkıları ise düşük.. İşler maalesef yavaş ilerliyor.. Bu süreçleri hızlandıracak çalışmalara ihtiyaç var. Daha fazla girişimciye ihtiyaç var.. Ortak çalışmalar yapılmasına ihtiyaç var.. Kamu-sektör ve üniversite işbirliklerinin arttırılması gerekli.. Sayısal dünyada var olmanın tek yolunu üretimden geçtiğinin bilinmesi ve bunun hayata geçirilmesi gerekli..
Burada oluşan bir tehdidin veya ihlalin tüm toplumu, ülkeyi veya dünyayı etkileyebileceğinin farkında olarak hep beraber çalışmak gerekli..
Bana bu fırsatı verdiğiniz için teşekkür ederim.
Kaynak : 