Burayı tıklayarak ulaşabileceğiniz önceki bölümde, genel bilgi verip, bir tablo ile Türkiye’nin önündeki ödevleri özetledik. Bu bölümde bu bilgilerin detaylarını vereceğiz.
Siber Saldırı Ne Gösterdi? 2015 dDOS Saldırısına Nazaran Güvenlik Konusunda Gelişme Var mı?
4 yıl sonraki bu siber saldırıdan günümüze kadar ki gelişmeleri yeniden incelerken 4 bölümde bakacağız.
- Devletin Görevleri
- Telekom Sektöründe Tekel Kalmanın Getirdiği Görevleri
- Üniversitelerin Görevleri
- Halkın ve Özel Sektörün Görevleri
Şimdi sorunlara detaylı bakalım :
Devletin Görevleri | ||
| Toptan Bir Telekom Politikası – Stratejisi Yok | ||
| Olmamasının sonucunu, küçülen telekom operatörlerinden, dünyanın gerisine düşen internet hızlarından, fiber istediği halde alamayan vatandaşlardan ve veri merkezi ile Türkçe içerik sitelerinin kısır kalmasından görüyoruz. Telekom sektöründeki düopol (mobilde Turkcell, sabitte Türk Telekom liderliği) hükümetin sandığının aksine sektörü küçültüyor . Aşağıdaki grafiğe dikkatle bakın. Borsaya açılan 2 firmamızın 12 yılda geldiği noktayı göreceksiniz.
4G lisansları ve diğer gelişmeler sonucunda telekom operatörlerinin borç yükünün çok yüksek olmasının da siber güvenlik açısından getirdiği soruna dikkat çekelim. Ülkemizde 1990’lardan itibaren telekomünikasyon sektöründe serbestleşme ve özelleştirme hedeflendi. Bu amaçla 2000 yılında sektöre bir düzenleyici kuruldu; BTK ve 2004 yılında serbestleşmenin adımı olarak lisanslar ilan edildi. 2005 yılında ise Türk Telekom özelleştirildi. Ama geldiğimiz noktada ne serbestlikten, ne de tekelin yok olduğundan veya rekabetin kurulduğundan bahsedebiliriz. Bunun pazara ve tüketiciye ticari anlamda ve kaybolan değerler (para ve hatta eleman) açısından zararları ayrı bir yazı konusu ama siber güvenliğe zararlarını aşağıda anlatıyoruz. 5G ve dijital dönüşümün motoru olan bilişim ve telekom sektörünün gelişmesinin sağlıklı olması açısından, Toptan bir “Telekom Stratejisi” yapılmalıdır. Bunu yaparken de, özel sektör dışarıda bırakılmamalıdır. Bu stratejiyi özel sektörsüz hazırlamak, baştan topal ördek haline getirir. Telekom stratejisi konusunda “ne olmalı” içeren bir yazı yayınlayacağız.. | ||
| Siber Güvenlik Stratejisi ve Eylem Planının 2cisi 2019 sonunda bitiyor.. | ||
| Önceki saldırıda da 2012-2014 arasını kapsayan siber güvenlik stratejisi ve eylem planı süresi bitmişti. Şimdi de 2016-2019 arasını kapsayan siber güvenlik stratejisinin sonuna geldik. 2020 ve sonrasını kapsatan, “Siber Güvenlik Stratejisi ve Eylem Planı” henüz ufukta görülmüyor. 2013 yılında 2 kere toplam Siber Güvenlik Kurulu, 2014 ve 2015’de hiç toplanmadı[1][2]. Aynen 2017-2018 ve 2019’da da toplanmadı[3]. Yapılması kanunla konulan 4 toplantılar pas geçildi. Ondan sonra da zaten toplantı moplantı kalmadı [4]. Bu arada bir konuya daha dikkat çekelim. Gerek 2012-1024 ve gerekse 2016-2019 Siber Güvenlik Strateji ve Eylem Planlarında yer alan maddelerin, sektörün uzmanları tarafından yetersiz bulunduğunu da iletelim. Hatta 2016 stratejisine giden yolda, turk-internet.com uyarısının da etken olduğunu ve “laf olmasın hemen tamamlayalım” cinsinden bir acilliyet ile yapıldığını düşünüyoruz. | ||
| Halkı-Kamuoyunu Bilgilendirme | ||
| Son siber saldırının başlangıç saatlerinde durum operatörlerce “rutin saldırı” gibi açıklandı. Evet sürekli siber saldırı oluyor hatta binlerce oluyor. Ama genel olarak erişim engellenmişse, bu rutin değil, büyük bir siber saldırı anlamına geliyor. Bunu saklamak günümüzde hem komik oluyor. Çünkü “connected” yani “bağlı” bir dünyadayız. Bi< burada inkar etsek bile dış dünyada neler olup bittiği tespit edilebiliyor. Hem tam tersine açıklamak lazım ki, elbirliği ile sorunu anlayalım, hasar almayı azaltalım ve belki de çözebilelim.Yani üstünü kapatmak yerine açıklıkla rapor vermek lazım çünkü bazen bu saldırılar arkada başka bir şeyleri saklıyor da olabilir. Ayrıca saklama yolu seçildiğinde, bizim de kamuoyu olarak bu konuda “güvenimiz azalıyor”. Gördüğümüz saldırıyı birilerinin inkar ediyor olması sonucu değiştirmiyor. DDOS saldırıların zor saldırılar olduğu da biliniyor. Bir kere başladığında suçlama yerine hep birlikte çözmek için çalışmak lazım. Üstü kapatılınca, demek ki “beceremiyorlar” diye düşünmeye başlıyoruz. En azından güven açısından bunların şeffaf raporlanması lazım. | ||
| Proaktif Yaklaşım | ||
| Daha önce yayınlanan 2 Siber strateji ve eylem planı, pasif önlemleri içeriyor. Daha önceleri BTK tarafından, fiziksel siber tatbikatlar yapılırdı [5]. Sonra bu tatbikatlar fiziksel olmaktan çıkarıldı ve daha sonra da yokoldu. Onun yerine siber yıldızlar gibi yarışmalar gerçekleştirilmeye başlandı. Bunun yerine fiziksel (haberli) tatbikatların yapılması gerekli. İlaveten Yurtdışından gelen yazılım ve donanımın incelenmesinin ve raporlanması da USOM tarafından yapılmalı. Ayrıca USOM ve SOME’ler yapılanması sadece bilgilendirme düzeyinde ve pasif çalışma içeriyor. Gerek “siber istihbarat”, gerekse proaktif çalışmalar (Honey-pot gibi) yapılmıyor. Bunların da yeniden düşünülmesi ve planlanması gerekli. Örneğin, son saldırıda da “Komuta Kontrol Sunucuları Tespit Edilebilmeliydi”. dDOS saldırıları, dağıtık gelir ama aslında bir veya bir kaç merkezden emir alır. Siber mücadele ise, saldırının etkisini azaltmak kadar, bu zinciri kırmak ve hatta kumanda merkezlerini tespit edip, indirmek için çalışılır. Bu da “honey pot” denilen sistemler gibi sistemler kurularak yapılır. Bunu yapacak olan ulusal yapıdır yani USOM bunu yapabilmeliydi. Ama böyle olmadı [6][7]. | ||
| Kritik Varlık Envanteri Çıkarılmalı | ||
| Acaba bu ülkenin siber güvenlik açısından en önemli varlıkları nelerdir? Bunu da 2015 saldırısında yazmışız ve bugün hala bu envanter çıkarılmış değil. Günümüzde bazı devletlerin siber orduları var. Bunların ise saldırı yapmaları durumunda en önce elektrik-su gibi endüstriyel tesisleri hedefleyecekleri kolayca tahmin edilebilir. Bu nedenle, bunların korunması için öncelikle bir envanterin oluşturulması lazım. Garanti bankası saldırısı sonrasında USPM, yurtdışı için böyle bir envanter istedi. Ama bunun kritik tesisler için de belirlenmesi gerekli [8]. | ||
| Uluslararası Güvenlik Firma ve Kurumları ile İşbirliği | ||
| Güvenlik artık tek başına yapılabilecek bir fonksiyon değil. Bu fonksiyonu koordineli ve işbirliği içinde, yani dünyada olan şeylerden haberdar olarak yürütmek gereklidir. | ||
| 3 Büyük Operatör ve Devlet Dışındaki Yerel Uzmanlardan Yararlanmak | ||
| Devletin zaten az sayıda olan uzmanları kullanmadığını görüyoruz. Daha ziyade, devlette çalışanlarla bir çalışma götürülüyor. Ama sektörde büyük firmalarda çalışmayan yerel uzmanlar da var. Bazıları da kıymetli. Bunların da değerlendirilmesi iyi olurdu. Ama bu yönde bir çaba görülmüyor. Özel sektör işin içine çekilmez ise, siber güvenliğin yönetimi eksik kalır. | ||
| Yerel Yazılım ya da Donanım Firmalarına Özel Teşvik Vermek ve Desteklemek | ||
| Yerel firmaların bazıları donanım ve yazılım geliştiriyor. Ancak hepsinden duyduğumuz şey şu; devlet bu firmaları desteklmek yönünde özel bir çaba göstermiyor. Hatta kamu ihalelerinde, Gartner Listesi gibi taraflı listelerin kullanıldığı görülüyor. Bir yandan da yurtdışından alınan donanım ve ekipman için bir değerlendirme yapılmıyor olması sorun. Bunun için USOM içinde bir teknik birim kullanılarak, yurtiçine gelen makina ve yazılımlarla ilgili çalışılmalı. | ||
| İnsan Kaynakları Yaratmak ve Korumak için Plan Yapmak | ||
| Üniversitelerimizde yeterli eğitim olmasa da, bu konuya yönelen insanlar görüyoruz. Bunların teşvik edilmesi ve yurtdışına kaptırılmaması gerekli. Devletin insan kaynağı için “yüksek maaş” dışında önlemler planlaması şart. Ayrıca operatör, banka ve diğer firmalarda çalışacak siber güvenlik uzmanları için de bazı teşvikler verilebilir. Hem yetişmeleri açısından, hem de ülkede kalmalarını sağlamak açısından [9]. İnsan kaynağı yaratmada, ne idüğü belirsiz yarışmalar değil, bilinçli bir planlama gerekir. | ||
Telekom Sektörünün Görevleri | ||
| Altyapının Güçlendirilmesi | ||
| Bunu 10 yıldır defalarca yazdık. 2010 itibariyle yavaşlayan bir strateji var. Sonuçta da bugün ancak 1,5 yılda tamamlanacak düzeyde yani 365.000 km fiber altyapıya sahibiz. Bu da olması gerekenin 10’de Biri. Bu kimin ayıbı? | ||
| Yurtdışı Bağlantılar satüre durumda ve yedekli güzergah yok | ||
| Türkiye’nin kullandığı internet içeriği yurtdışında. Çünkü hem içerik gelişemedi. Hem de içeriği barındıran veri merkezleri sorunlu (aşağıya bakın). Bunun sonucunda yurtdışı bağlantılar doygun (satüre) durumda. Türk telekom’un 9 TB ve tamamının 16 TB düzeyinde yurtdışı bağlantısı olduğunu duyuyoruz (bu konu nedense açıklanmıyor). Burada bir sorun da yurtdışına çıkışta yedekli olarak ele alınan çıkışların aynı yerden geçiyor olması. Tabi bunu bir kaç şekilde de yani “çünkü trafik değişim noktası yok” diye de tanımlayabiliriz. Dünyada operatör sayısına bağlı olarak, özellikle kurumların yedekli yani birden fazla operatörden hizmet alma alışkanlığı var. Bu da saldırının bir yerden gelmesi ya da başka bir arıza durumunda, diğer yandan devam edebilmeyi sağlar. Ama ülkemizde tekel var. Hatta şu anda mevcut olan, topallayarak da ya da küçük kalarak da olsa hayatta kalan küçük firmalar da yok edilmeye çalışılıyor. Oysa mesela bankalar bir büyük telekom firmasında, bir de küçük firmadan hat alabilirler. Ama telekom stratejimizde sorun var. Bunu yapmıyoruz. Dolayısıyla saldırı geliyor ama biz başka tarafa dönemiyoruz. Saldırıyı atlatamıyoruz. Sistemi kapatıyoruz. | ||
| Yurtdışı Bağlantılar Parçalı, Bütün Değil | ||
| Bağlantılar eskiden bu yana gelen bağlantılar. Bu nedenle de eski moda yani 100 Gbps yerine 10 x 10 şeklinde. Bu da bir saldırının kolayca yolları tıkaması anlamına geliyor. Bugün dünyada 1,3 TB’lere ulaşmış saldırılar var. Belki eski alışkanlık, belki yatırımdan kaçmak için 10 GBps x 10 adet şeklinde kullandığımız bir yapımız var ise, bunun anlamı, 10Gbps lik sadece 1 adet linkin dolması ile 100 Gbps’lik yapının hepsinin birden çökmesi, yani siber saldırıya daha çabuk yenilmektir. Bunların durumunun da yayınlanması lazım ki, bilelim | ||
| Yurtdışından Gelen trafik için Yönetim yapılmıyor | ||
| Yurtdışı trafiği yönetmede zayıf kalıyoruz. Çünkü kısıtlı bilgi birikimi ile karşı karşıyayız. Son siber saldırıda olduğu gibi, bir nedenle yurtdışı tafiği kapatılması gerektiği durumlarda –ülke içi hizmet alanlara sadece bir açıp/kapatma anahtarı verilmesi nedeniyle– Türkiye’den erişim tüm dünyaya aynı anda kesiliyor. Halbuki dünyada bunun karşılığı olarak bölgesel, kıtasal olarak erişim kısıtlamak ve saldırı trafiğini yönetmek mümkün olabiliyor. Bu tür saldırıların yurtdışında karşılanması ve temizlenmesi gerekirdi. Sonunda bu yola gidildi. Ama baştan da yapılabilirdi. | ||
| dDOS Temizleme (ve de Botnet temizleme) Yetersiz | ||
| Türk Telekom 2-3 yıldır İstanbul ve Ankara’dan dDOS temizleme servisi veriyor. Çeşitli sektör uzmanından bu servisin yetersiz olduğu bilgisini alıyorduk. Saldırı sırasında yetersiz olduğu görüldü. Garanti Bankası yurtdışından bu hizmeti almak zorunda kaldı. Zaten yedek ekipmanı müşteri alıyor. Geçmişe göre gelişme var ama yeterli değil. Diğer yandan botnet konusunda USOM’un çalıştığı görülüyor ama dediğimiz gibi bunun da bilgi vermek düzeyinden, önceden tespit düzeyine yani proaktif düzeye çıkması lazım. Çünkü asıl risk sızma ile ilgili. | ||
| Uluslararası Taşıyıcılar Ülkemizde Servis Veremiyor | ||
| Google, Microsoft vs gibi büyük firmalar neden gelip sunucularını ülkemize kurmuyor diye merak ediyoruz. Bunun bir nedeni, altyapının düzgün olmaması, diğer nedeni düzenleyici/hukuk altyapısındaki sorunlar ise, üçüncü neden bu taşıyıcıların ülkemize gelmesinin yani rekabetin bizzat engellenmesidir. Komşumuz Bulgaristan ve Romanya’da ve hatta Dubai’de 100’den fazla taşıyıcının kendi fiberlerini getirip taşıdığı “hub”lar var. Bizde yok. Bunun anlamı ise şudur; siber saldırıya uğradığımızda, bu tür taşıyıcılar olsaydı, ayakta kalabilirdik. | ||
| Trafik Değişim Noktası HALA YOK | ||
| Türk Telekom lehine olmak üzere yıllardır (en az 20 yıl) Türkiye’de trafik değişim noktası kurulamıyor. Oysa, Balkanlar, Kafkaslar ve Ortadoğu (hatta Afrika ve Uzak Doğu) arasında bir köprü görevi görecek olan böyle bir değişim noktası ülkeye para kazandırabilir, güvenlik açısından da avantaj olur. Ama bunu zaten çoktan kaybettik bile[10]. Üstelik bu hareket korunulmaya çalışılan firmanın ne zarar etmesini engelledi, ne de borcunun gittikçe ölçülemez düzeyde yükselmesini. | ||
| Knowhow ve İnsan kaynakları Gelişimi | ||
| Az sayıda firmayla verilen servis, ülkemizde bilgi birikimini engelliyor. Farklı teknolojileri denemek, öğrenmek, tecrübe ve bilgi birikimi yapmak mümkün olmuyor. Zaten telekom firması sayısı az olunca, telekom teknolojisi bilen uzman sayısı da az oluyor. Bugün siber saldırı olduğunu bile hemen farkedemeyişimizin başında bu sorun geliyor. Üstelik elimizdeki az sayıda insanı da hızla yabancı ülkelere kaybediyoruz (Ör : Aselsan’dan Hollanda’ya giden mühendisler [9]) | ||
Üniversitelerin Görevleri | ||
| Marka Bağımlı Eğitime Son verilmeli | ||
| Özellikle teknik üniversitelerin siber güvenlik alanında kendilerine özel –bir marka ile işbirliği olmayan– siber güvenlik programları geliştirmesi lazım. Cisco, Microsoft öğreterek siber güvenlik olmaz. | ||
| Üniversiteler Devlete Strateji Geliştirmeliler | ||
| Yukarıdan aşağıya bahsettiğim, telekom politikası ya da insan kaynakları ya da USOM-SOME nasıl şekillenmeli konularında, devlet talep etmemiş olsa bile, üniversitelerin çalışma yapması, yayın yaratması, özgün makale, özgün kitap, özgün siber güvenlik bilimi geliştirmesi gerekmez mi? | ||
| İnsan Kaynağının Güçlendirilmesi | ||
| Üniversitelerin esas görevi olan bu konuda, lisans öğrencileri kadar, lisans sonrası programlar için çalışılmalı | ||
Vatandaşın ve Özel Sektörün Görevleri | ||
| Siber Güvenlik Konusunda Bilincin Yükselmesi | ||
| Vatandaş ya da şirketler (bireysel ve kurumsal kullanıcılar) heyecanla yeni uygulamalar, yeni yazılımlar, yeni donanımlar kullanıyorlar. Ama bunları kullanırken, kendilerinin ile ya da kendilerinin bilgisizliği sonucunda firmalarının/diğer kişilerin maruz kalabilecekleri tehlike ve riskleri inceliyorlar mı? Pek değil. Ayrıca bu konuda sadece halkın değil. Devletin de bilinçlendirme çalışmaları yapması, belki kamu spotları yayınlaması gerekmez mi? | ||
| Telekom Hizmetleri Kullanım Bilincinin Yükselmesi | ||
| Kullandığınız bant genişliği, boyut x fiyatını seçerek satın aldığınız pakete uyuyor mu? Yoksa kandırılıyor musunuz? 16 MB’a kadar dedikleri hat sadece 2 MB mı veriyor? Bu da altyapı konusunda neden gelişemediğimizin bir göstergesi. Ne aldığınızı dikkatle inceleyin. Doğru değilse, talep edin. Gerekirse tüketici hakları, BTK ya da mahkemeler yoluyla hakkınızı arayın. 1 kişinin araması ile belki işler düzelmez ama çok kişinin hakkını araması konuyla ilgili soruna bilinci yükseltir. Özel sektördeki firmaların da telekom hizmetlerini nereden alacakları konusunda kendilerini geliştirmeleri lazım. Bankaların ve diğer kurumların kendi veri merkezlerini kurmaları, yazılım yapmaları, data centercılık yapmaları anlamlı mı? Bunu tartmak lazım. | ||
| Sahte Haber de Bir Siber Saldırı Cinsidir, Farkında mısınız? | ||
| Son olarak, önümüzdeki dönemde yükselecek bir dalga olarak “sahte haber” konusuna dikkatinizi çekelim. Bu konuya özel ilgi gösterin ve lütfen, kendinize haberleri test etmek için bazı çıpalar belirleyin. Aksi takdirde önümüzdeki günlerde dalgalanmak mümkün, çünkü basın kaynaklarının çeşitlenmesi ile arka planda çeşitli konsoloslukların yer aldığı bir yapı göze çarpıyor. Deep Fake gibi teknolojilerin de artık kullanıma girdiğini de yükseldiğini unutmayın. Nasıl 6-7 eylül olaylarının arka planında Atatürk’ün Selanik’teki evinin yakıldığına dair sahte bir haber varsa, bugün de internet üzerinden bu tür haberler yayılacaktır. Bu nedenle her habere hemen inanmayın. Paylaşım yaparken de, dikkatli olun. Gerçek olduğunu doğruladığınız haberleri paylaşın. | ||
S O N U Ç | ||
| ||
Bu yazı, 8 farklı uzmanın ortak görüşleri ile oluşturuldu. Uzmanlar bazen bir şeyleri kendi isimleri ile söylemeye de çekiniyorlar ama birilerinin bunları söylemesi lazım.. Bu konu devleti ya da belli sayıda uzmanı değil, finans kurumları, ticari kurumlar ve halkı da etkiliyor.
Sırası gelmişken de vurgulayalım; telekomünikasyon stratejik bir sektördü. Telekomünikasyon altyapıları da, Türkiye’ye ve Türk halkına aittir (başka ülkelerde de o ülkelere aittir)”. Sanıldığının aksine bir firmaya ait değildir. Sadece “kullanım imtiyazı” verilir. Türkiye’de bu imtiyaz tüm firmalara 2026 yılına kadar diye verilmiştir. Bunu alan firmanın para kazanma hakkı ne kadar varsa, o kadar da yatırım yapma mecburiyeti vardır ve ama bu mecburiyeti devlet nedense zorlamadı. Devletin bu hakkı zorlamaması da, halkın hakkının kaybı anlamına gelmektedir. Bunu tam olarak farkında olalım.
[2] Siber Güvenlik Kurulu 2.Defa Toplandı
[3] Ulusal Sİber Güvenlik Stratejisi ve 2013-2014 Eylem Planı Resmi Gazetede Yayınlandı
[4] Cumhurbaşkanlığı Dijital Dönüşüm Ofisi geçen hafta sadece devlet memurlarını içeren bir çalıştay yaptı. Bu çalıştayda ne tür konular konuşuluyor. Bu konularda bilgi alınca yayınlayacağız.
[5] Yarın Uluslararası Siber Kalkan Tatbikatı Yapılacak
[6] Breaking the DDoS Attack Chain
[7] US and Taiwan hold first joint cyber-war exercise
[9] Aselsan Yönetim Kurulu Başkanı Görgün Ayrılmaları Doğruladı ama % 2 Dedi
[11] AB Siber Saldırıların Açıklanmasını Mecbur Kılacak Kanun Hazırladı