Geçen hafta BTK yetkililerinin bir açıklamasına bakılırsa, BTK, bilgisayarında “Zombie” olan özel ya da tüzel kişilere yani şirketler ya da bireylere ceza verebilecek[1]. Tercüme edersek, BTK kuruluş amacı olan ve korumakla yükümlü olduğu tüketicileri, “neden kendini korumadın” diye cezalandırabilecek [1].
BTK’nın kuruluş amacı konusunda
Bilgi Teknolojileri ve İletişim Kurumu, elektronik haberleşme sektöründe düzenleme ve denetleme yoluyla etkin bir şekilde rekabetin sağlanmasını, tüketici haklarının korunmasını, ülke genelinde faaliyet alanıyla ilgili hizmetin yaygınlaşmasını, kaynakların etkin ve verimli bir şekilde kullanılmasını, alanıyla ilgili teknolojik gelişimin ve yeni yatırımların sağlanmasını amaçlamaktadır.
ifadesi bulunmaktadır. Yani düzenleyici kurum olarak, BTK tüketicinin lehine olmak üzere elektronik haberleşme sektörünü düzenler ve denetler.
Örneğin cep telefonlarının ülkeye ithal edilmesi ya da üretilmesinde SAR denetimlerini yani “tüketici sağlığına” etkisini BTK denetler [2]. Aynı şekilde bilgi güvenliği de BTK’nın sorumluluğundadır. Yani işin doğası gereği tüketicinin bilgi güvenliğini sağlamak zorundadır. Bunu da ürün ve hizmet sağlayıcıları yani cihaz üreticileri ya da operatörleri denetleyerek yapar [3].
Bu nedenle BTK, 17 ağustos 2016’da yayınlanan 671 sayılı Kanun Hükmündeki Kararname (KHK) içinde aldığını belirttiği yetki ile bilgisayarında Zombie olan son tüketiciye ceza keseceğini açıkladığında, şaşırdık ve konuyu çeşitli uzmanlara sorduk.
Şaşırdık çünkü, Türkiye’de bilgi güvenliğini sağlamakla sorumlu olan kuruluş Bilgi Teknolojileri ve İletişim Kurumu’dur. Ama bu sorumluluğu kendi üzerinden atıp, korumakla yükümlü olduğu vatandaşları suçlamak ve hatta cezalandırmak ne anlama gelir? Biz aklımıza hemen gelenleri sıralayalım,
- Hükümet ve onun telekom sektörü ile ilgili temsilci kurumu BTK tüketici sağlığını ya da bilgi güvenliğini sağlama yolunda, ülkedeki telekom cihazlarını denetlemekle yükümlüdür.
Bu görevin içinde, spam mailler ya da botnet’leri engellemek ya da tüketiciyi (birey ya da firma) uyarmak vardır. Bu nedenle ITU BTK’yı 2008’lerden itibaren defalarca Trojan/Zombie konusunda uyarmıştır [3]. Yani bugün tüketicinin bilgisayarında Zombie varsa, bunun bir nedeni de BTK’nın operatörleri ve üreticileri denetlemek konusunda sorumluluğunu tam yerine getirmiyor olmasıdır. Bu sorumluluk da, vatandaşa ceza keserek yerine gelmez.
- Aynı kapsamda, bir süredir bütün dünya Mirai Botnet saldırıları nedeniyle, D-Link, Zyxel gibi modemleri sorguluyor. FTC D-Link aleyhine bir soruşturma başlattı bile. Ama BTK’nın bu konuda harekete geçtiğini henüz görmüyoruz.
- BTK’nın Zombie olana ceza vereceğiz açıklaması, Antivirüs pazarını da patlatacak bir ifade. Bugün en ucuz antivirüs yazılımı 30 $ ve hatta 70-80 $’a varanları var. 10 milyon kişinin antivirüs aldığını düşünün 300 milyon $ yapar. Bu $ sıkıntısında, bu açıklama ne anlama geliyor? Düşünerek konuşmak lazım.
Üstelik aynen VPN konusunda uyardığımız gibi uyaralım; bütün bu antivirüslerin ne yaptığını da tam bilemiyoruz. Bir yandan korurken acaba bir yandan da başka şeyler yapıyorlar mı? BTK’nın yerli antivirüs yazılımı konusunda bir inisiyatif üstlenmesi, yerli Google’dan daha anlamlı olmaz mı? Örneğin Belçika ya da komşumuz Romanya’da böyle yerli antivirüs yazılımlar var.
- Bir başka soru şu; diyelim ki, bir vatandaşa ceza kesildi. Ya devletin bir kurumunda daha kötü Zombie yazılımlar varsa? Devlet kendi sorumluluklarını yerine getirdi mi acaba? Bunun çeşitli örnekleri –yani botnet içeren e-devlet kurumları– daha önce görülen örneklerdi. Ya da BTK’nın 15 temmuz sonrasında operatörlere “FETÖ mensubu eleman çalıştırmayacağım” taahhütnamesi imzalatmak için gönderdiği bazı elemanların, daha sonra FETÖ’den gözaltına alındığı gibi duyumlar var. Dolayısıyla başkasına ceza kesmeden önce, kendisinden emin olmak gerekmez mi?
Herhangi bir düzenleme getirmeden, Altyapıya İlişkin Analiz yapmadan Bütün Sorumluluğu Kullanıcıya Atmak İşin Kolayına Kaçmak Anlamına Gelir
Konuyla ilgili fikrini sorduğumuz adını vermeyen bir güvenlik uzmanı şunları söyledi;
Sizin de çok iyi bildiğiniz gibi biz güvenlikçiler, hiç bir zaman %100 güvenlikten bahsetmeyiz. Temel yaklaşımımız her zaman riski azaltmak ve saldırı maliyetini yükseltmek ve de oluşabilecek atakları en kısa sürede belirlemektir. Bütün önlemleri almış, bütğn teknolojileri kullanan kurumlar dahi güvenlik sorunları yaşayabiliyor.
Bir saldırı gerçeklestirildiğinde, sadece kurumların ya da kişilerin hatası nedeniyle değil, teknolojilerin ve ürünlerin açıkları ve sorunları nedeniyle de, ve hatta da en .ok bu nedenlerle ataklar gerçeklesiyor. Bütün sistemlerde anti virus yazılımları olsa dahi saldırıyaya uğrayan ve diğer ataklarda Zombi olarak kullanilan bir cok sistem var.
IoT ise ayri bir hikaye. Kullanicilarin bir cogunun ne yazik ki yapabilecegi seyler cok sinirli. Mobil telefonlarda, ozellikle Android’in ne kadar yumusak karinli oldugunu hepimiz biliyoruz.
Hal boyle iken, üretici ve daha da önemlisi servis sağlayıcılara herhangi bir düzenleme getirmeden ya da TÜBITAK gibi kurumlarda altyapıya ilişkin araştırmalar yapmadan bütün sorumluluğu kullanıcıya (bireysel ve kurumsal) yüklemek işin kolayına kaçmak olur.
Düzenlemede bir de maddi ceza soz konusu olunca hukuki acidan bunun nasil kanitlanacagi sorusu gundeme geliyor.
Benim sistemim eger bir zombi sistem ise bunu kim, nasil kanitlayacak? Benim evime misafir gelmis birine eger erisim hakki vermissem ve onun sistemi zombi ise bunu nasil ayir edecegiz? Yine ben mi sorumlu olacagim?
FATIH projesinde kullanılan ya da benzer biçimde eğitim kurumları tarafindan verilen cihazlar zombi ise ve ben bunu farklı yerlerde kullanırsam nasıl belirlenecek ya da kim sorumlu olacak?
Calıştığım kurum tarafından tahsis edilen cihazda sorun varsa ve evimde bu cihazı kullanırsam, ben mi sorumlu olacağım, kurumum mu sorumlu olacak?
Sorularin sayısı, üzerinde düşündükce daha da fazla artacaktır.
Ben hiç bir zaman bireysel sorumluluğa odaklanmanın yararına inanmadım. Kullanıcıları eğitmek elbette önemli. Bununla beraber başta altyapı olmak üzere gerekli duzenlemeleri yapmak ve önlemleri tanimlamak, bir saldiri aninda belirleyerek cevap verebilmek, tek tek birey ya da kurumlarin basarilai olamayacagi bir konu oldugu gibi topyekun bir bakisa ihtiyac duyuyor.
Bireysel “ceza” yaklasimindan cok stratejik karar alma yolunun tercih edilmis olmasi daha yararli olacaktir diye dusunuyorum. Turkiye”nin Cyber Security Strateji dokumani uzerinde çalışmak, kurumlar arasi iletisim ve birlikte calisma ortamini olusturmak ve erken uyari sistemi gibi sistemler kurmak uzerine yogunlasmasi, BTK acisindan daha yararlı olacaktır diye düşünüyorum.
FTC’nin D-Link konusunda açtığı soruşturmanın, genel yaklasim olarak dogru oldugunu dusunuyorum. Dusuk maliyetli, bireysel kullanici ya da kucuk kurumlara yonelik urunlerde benzer aciklar gormek, cok sik rastlanan bir durum.
Maliyet avantaji saglamak adina teknolojiden vazgecmenin bedelini kullanicilar odememeli.
Bahsi gecen urunlerin neredeyse tamami, son denemde gelismis guvenlik vaadleri ile de piyasada yer almaya calisiyorlar. Eskiden cok sik rastlanmazken simdi uzerinde firewall olmayan bir urun neredeyse yok.
hal boyleyken yazilim hatalari nedeniyle saldiriya ugramak, teml olarak ayipli urun kullanmak olarak kabul edilebilir.
Dusunun ki bir yagmurluk aliyorsunuz ve uretici, test sirainda kullandigi bir test noktasini uretim sirainda kaldirmayi unutuyor ya da aslinda cok da iyi yagmur tutmayan eski bir kumasi kullanmaya devam ediyor. Ve siz yagmus yagdiginda, sizi kuru tutmasini beklediginiz yagmurlugunuzla islaniyorsunuz.
Bu tam anlamiyla ayipli maldir ve ticarette bunun yaptirimlari tanimlanmis durumdadir. Bu nedenle FTC”nin baslattigi sorusturmanin yerinde bir karar oldugunu dusunuyor ve bunun devaminin gelmesini diliyorum.
Her iki ornege baktigimizda bakis acilari arasindaki belirgin farki gormek mumkun diye dusunuyorum. Ureticinin hatasi ya da ihmalkarligi veya paragozlulugu nedeniyle ayiplli bir bicimde urettigi urunu kullanip bir saldiriya, farkinda olmadan alet oldugumda BTK bana para cezasi kesecek. Bu kabul edilebilir bir durum degil dogrusu.
Boyle bir durumda bir cok kullanicinin mahkemeye gidecegini ve mahkemelerde zaten cok fazla olan dosya sayilarinin daha da fazla artacagini tahmin ediyorum.
Aynı konuyu bir de Avukat Gökhan Candoğan’a sorduk. Bu konuyu şöyle değerlendirdi;
“17-25 Aralık sonrasında BTK üzerinden yapılmak istenilenler ne yazık ki, bilerek, sektör paydaşları ile birarada ve sorunu giderme amaçlı değil, deyim yerindeyse kamu bürokratlarının sorumluluğu kendi üstlerinden atmak için giriştikleri bir çaba gibi görünüyor. İstenilen nedir; siber güvenlik tedbirlerini uygulanabilir çözümlerle geliştirmek mi yoksa hiçbir yapısal öneride bulunmaksızın işletmecileri sürekli bir ceza tehdidi altında tutmak mı? BTK salt ceza veren bir kuruma dönüşüyor, bu çok ciddi bir tehlike. Oysa BTK sektörü, işletmecileri ve yurttaşları doğru çözümler konusunda yönlendirmesi, bilgilendirmesi ve eğitmesi gereken bir kurum. Kuruma, talep edilen tedbirlerin nasıl, hangi yöntemle yerine getirilebileceğini soruyorsunuz, kurum çalışanları “bizi ilgilendirmez, yapamazsanız ceza yazarız, deyip çıkıyorlar. Bu tutum siber saldırıları engeller mi? Hayır..
Çalışanlarının yarısından fazlası terör örgütü üyesi olduğu gerekçesiyle kamudan ihraç edilmiş bir kurum söz konusu. Üstelik de bu nedenle kimsenin hesap sormadığı bir kurum. Bunun doğru değerlendirilmesi gerekiyor.
Ötesinde; son dönem siber saldırıları, yeterli güvenlik tedbiri olmaksızın satışa sunulan “akıllı” cihazların zombileştirilmesi ile yapılıyor. burada sadece bilgisayarlar değil sensörü olan bütün cihazlar söz konusu. (fotoğraf makineleri, yazıcılar vb..) Durumdan haberdar olmayan son kullancıya nasıl ceza yazabilirsiniz? Bu cihazı bu şekilde satışa sunan firma ne olacak? Bu firmaları bilgilendirip uyardınız mı? BTK, önce düzenleyici arkasından denetleyici bir kurum; düzenlemeli, bilgilendirmeli, yol göstermeli, ondan sonra ihlal olursa, elbetteki gereğini yapabilir..”
Özetle BTK bugünlerde arkasını düşünmeden konuşuyor gibi gözüküyor.
[1] Bilgisayarında Virüs (Zombie) Olan Şirket ya da Bireylere Ceza Kesilecek
[2] SAR (Specific Absoration Rate) yani “Özgül Soğurma Değeri” büyüdükçe telefonların vücuda yaydığı radyasyon miktarı artmaktadır. İnsan sağlığı açısından önemlidir. Uzmanlar SAR değerinin en fazla 1.00 olması gerektiğinde hemfikir ancak yasal sınır 2.00 W/kg’a kadar izin veriyor.
[3] TTnet’in Spam’e Karşı 25.Port Kapatma Uygulaması Genişliyor