2016 yılının güvenlik konularını değerlendirme söyleşimize, bugün altyapılara saldırılar ve VPN konuları ile devam ediyoruz.
Günümüzde en önemli konularda birisi “siber saldırılar” haline geldi. Bunlar toplu olabildiği gibi, kişilere yönelik de olabiliyor. Siber güvenlik alanındaki tüm konuları, Lostar Bilgi Güvenliği firmasının Genel Müdürü Murat Lostar ile konuştuk. Bu söyleşinin ilk 3 bölümünü aşağıdaki linklerden okuyabilirsiniz.
- Murat Lostar : Swift Saldırıları APT yani ‘Gir, Kendini Sakla, Yavaş İlerle, Sistemi Ele Geçir, Sonunda Soygunu Yap’ Türü Saldırılar – I
- Murat Lostar : Fidye Virüsü Bulaşmış ise Bilgisayarı Network’ten Ayırın, Uyumaya Bırakın ama Sakın Kapatmayın – 2
- Murat Lostar : dDOS Saldırılarının Farkı, Saldırgana Doğrudan Maddi Bir Yararı Yok, Karşı Tarafa Zarar Vermek Amacıyla Yapılıyor – 3
turk-internet.com: Şimdi bir de yeni moda bir kavram var. Gerçi biz bunu Bruce Willis’in filmlerinden birinde gördük: Kıyamet Günü diye. Virüsler ile kritik alt yapılara ulaşmak: elektrik gibi, su gibi veya doğalgaz, enerji sistemleri, trafik lambaları vesaire, vesaire… Yani kritik alt yapılar. Böyle bir tehlike var mı? Bunu kim yapar? Devletler mi yapar daha doğrusu?
Murat Lostar : Bu konu çok uzun zamandır aslında biz güvenlikçilerin gündeminde. Daha ilk örnekler yaşanmadan beri hızla bilgisayarlaşan bir kritik alt yapı yönetiminin güvenlik risklerini hep söyleyegeldik. 10 küsur, 15-20 yıldır belki de tarif ediyoruz bunu ama ilk bilinen büyük örneğini aslında İran yaşadı ve Stuxnet dediğimiz saldırı ile yaşadı.
Hatırlatmak adına, daha önceli eminim kayıtlarda, arşivde vardır ama İran’daki Stuxnet, İran Nükleer Programı’nı durdurmak isteyen batılı ülkelere karşı İran durdurmadığında bir virüsün internete hiçbir şekilde bağlı olmayan bir ağa bulaşması sonucunda ve o ağda hiçbir şey yapmadan sadece gidip bir nükleer cihazın, nükleer zenginleştirme santrifüj cihazını bozarak, İran’ın nükleer çalışmalarına aylarca ve belki yıllarca zarara, gecikmeye uğramasını sağlayan bir siber saldırı yöntemiydi.
Bunun dışında 2004 yılında Amerika’nın doğu sahilindeki geniş bir elektrik kesintisinin önce bir siber saldırı olduğundan korkuldu fakat sonra onun bilinçli bir siber saldırı olmadığı ama yine de bir virüsün neden olduğu anlaşıldı. Onun dışında geçtiğimiz yıl, 2016’nın mart ayında Rusya ve Ukrayna arasındaki ihtilaf sonucunda Ukrayna’nın önemli bir bölgesinde ciddi bir elektrik kesintisinin bir Rus hacker tarafından gerçekleştirildiği ortaya çıktı.
Bunun gibi şeyleri otomatik olarak görüyoruz ve görmeye de devam edeceğiz gibi duruyor. Buradaki mekanizma şu: bizim sahip olduğumuz altyapıları trafik ışıklarından, evimize elektriği getiren alt yapıları, doğalgaz sistemlerinden, su sistemlerine kadar ya da hatta evimizdeki çocuğumuzun odasının ısısını ayarlayan klima sistemine kadar eğer bunu bir IOT cihazı ile yönetiyorsak yani ben bir otomatik cihaz ile uzaktan sıcaklığı ölçüp yönetecek bir cihaza sahipsem, aslında bir kritik alt yapı parçası haline getirmiş oluyorum yapıyı.
Her bilgisayar programı yanlış çalışma adayıdır, her bilgisayar programı farklı bir program ile yanlış ya da kötü işler yapmak üzere programlanabilir ve bu alt yapının sonucunda eğer bir eskiden bizim şehrimize su getiren vanalar el ile açılıp kapanıyordu, onun başında bir insan vardı. Birisine telefon edip şu vanayı kapa, dediğinizde kapatıyordu, aç dediğinizde açıyordu. Şu anda bunu bir bilgisayar yapıyor. Eğer o bilgisayarı dolaşıp da vanayı kapat, şurayı aç, burayı kapat burayı aç dersem bir, şehri susuz bırakabilirim, iki, farklı yerlerdeki vanaları kapat, aç diyerek şehrin borularını yüksek basınç ile patlatabilirim. Dolayısıyla artık o sistemi hemen düzeltilemez, tamir edilemez hale getiriyor olabilirim, elektriği keserek, ülkeyi, şehri, ekonomiyi elektriksiz bırakabilirim, bankacılık sistemini çalışmaz hale getirerek, bankacılık sistemini çalışmaz hale getirebilirim; birçok şeyi yapmak mümkün.
turk-internet.com: Bazen soruyorlar ya, kıyamet günü yaşatmak mümkün bir ülkeye? Yani, Taş Devri’ne döndürmek diyorlar. Bu mümkün mü?
Murat Lostar : Ekonomiyi, finansı ve de sonundaki ulaşımı yani trafik ışıklarını ortadan kaldırırsanız, bir ülkeyi hani Taş devri değilse bile, herhalde rahatlıkla 1800, 1700’lere döndürürsünüz ama sorun şu ki, 2017 yılında yaşamak üzere tasarlanmış bir şehre, o kalabalıktaki, o yoğunluktaki bir nüfusu 1800’e indirmeye kalksanız, şehirden çıkamazsınız bir daha artık.
turk-internet.com: Peki, şimdi siber ordular kuruluyor; duyuyoruz. Yani siber orduları olanlar zaten çok uzun zamandır olanlar var. Ama 2010’dan sonra sanki o varolanlar bile yeni bir yapılanma geçirdiler. Siz, siber ordu Türkiye açısından nasıl kurulmalı, ne yapılmalı, ne düşünüyorsunuz o konuda? Veya Türkiye’deki, şöyle sorayım: biliyorsunuz bir Siber Güvenlik Stratejisi tekrar yayınlandı. 2 yıldır yoktu; bir eksikti. Ama var olan strateji açısından da bazı eleştiriler var. Örneğin, özel sektörün çok fazla şeyinin alınmadığı gibi. Ne düşünüyorsunuz? Siz, bu konuya nasıl bakıyorsunuz?
Murat Lostar : Strateji raporu dediniz gibi 2 sene sessiz kaldı. Sonra hakikaten çok fazla özel sektörün görüşü alınmadan, o eksiklik tamlanmaksızın apar topar yapıldı ama tabii ki yenilenecek yani o yola doğru bir gidiş var ama Strateji Raporu’ndan ya da Strateji Dokümanı’ndan belki daha da önemlisi, olayın askeri tarafı.
Şimdi şöyle düşünelim: tarihe baktığımız zaman dünyada sadece kadar orduları varmış bir zamanlar, bizlerden önce. Fakat daha sonra bakmışlar ki, kara ordusu bir savaşı kazanmak için mutlaka gerekli ama yeterli değil. Yanına deniz ordusu gelmiş. Sonra 3. boyutu fark etmişiz ve dolayısıyla artık bir de hava ordusu eklenmiş ama şimdi yepyeni bir cephe var. Üstüne üstük bu cephe öyle bir cephe ki, fiziksel lokasyon, komşuluk artık önemli değil. Dolayısıyla, bir ülkenin bir başka ülkeye saldırması için kara ordusu ile onun komşusu olması gerekiyor ya da bir gemi ya da bir uçağa binip ya da bir uçak gemisine binip oradan oraya gidiyor olması gerekiyordu ordunun.
Şimdi bir ordu ya da birileri dünyanın öbür ucundaki birisini hiçbir komşuluk ya da bir şey ilişkisi olmadan, herhangi bir nedenle, “ vay benim hakkımda film yaptın” diye oraya saldırıyor olabilir ya da “benim hakkımda şöyle bir şey söyledin” diye bir sinirleniyor olabilir. Dünyadaki bütün ordularda olduğu gibi Türkiye’deki siber ordunun da birinci görevinin savunma olması lâzım ama dünyada bildiğim kadarıyla, yanlış ya da eksik biliyor olabilirim, saldırı siber ordusu yok ama görüyoruz ki, gayrı resmi orduların bir kısmı biraz saldırı amacıyla çalışıyorlar. Bunu biraz daha ergenlik çağındaki bir şeyin, özellikle bir erkek çocuğunun el ense çekmesi gibi de düşünebiliriz. Yani, “ben acaba ne kadar kuvvetliyim, neyi yapabilirim, ne yapabilirim” i biraz deniyorlar.
Hem saldırı, hem savunma. Bunu biraz savaştan çok savaş oyunu gibi görüyorlar. Şu an olup bitenleri ben yeterince önemli saldırılar ve savunmalar olarak görmüyorum. Bence bunun daha bir süresi var. Gerçekten bir ordunun kendisini siber olarak dünyayı ele geçireceğini ve tüm saldırılara karşı kendini koruyacağını düşünüp savaş ilân ettiği bir günü göreceğimizi düşünüyorum. Şu anda böyle küçük el-enseler, küçük parmaklaşmalar, küçük denemeler olduğunu düşünüyorum.
turk-internet.com: Peki, yine eleştirilen bir konu, bir Siber Güvenlik Kurulu var, biliyorsunuz ve fakat mesela Obama’nın Siber Güvenlik Kurulu bütün özel sektörden kurulu. Bir tek NSA var içinde devletten ama bizimkinde hep böyle müsteşarlar. Milli Savunma müsteşarı, tamam; Kalkınma bilmem ne filan… Fakat içinde hiç özel sektörden uzmanların yer almadığını görüyoruz. Bunu eleştiren kişiler, eli yanan kişileri yani işin içindeki kişileri almadıkları için bu kurul çalışmaz diye değerlendiriyor. Siz nasıl değerlendiriyorsunuz?
Murat Lostar : Bu tarz kurumların çalışma şekilleri, yaklaşımları felsefi olarak değişmeden zaten çok fazla dışarıdan birlerinin alınması gerektiğini düşünmüyorum. Bence buradaki mesele özel sektörden birilerinin içinde olup olmamasından öte, elbette bazı çalışmalar gizli olacaktır ama temelde çalışma biçiminin, çıktılarının gidiş yollarının da biraz daha saydam olması gerekiyor. O saydamlık olmadan özel sektörden birilerini alıp almamak çok fazla katma değer sağlamayacaktır diye düşünüyorum Türkiye’ye.
turk-internet.com: Peki, sırası gelmişken bir de VPN’den bahsedelim. VPN sağlam bir şey mi? Nedir? Biliyorsunuz erişimi engelleme çok sık uygulanıyor. İnsanlar da bundan rahatsızlık duyuyor ve VPN kullanıyor. Hele son zamanlarda çok kullanılan, bilinen VPN’ler de engellendi. Dolaysıyla burada devlete düşen nedir? VPN konusuna halkın nasıl bakması lâzım? Bunun çeşitli boyutlarını bize anlatır mısınız?
Murat Lostar : Memnuniyetle! Bir ara bu konuda tartışma olduğu için gittim, baktım. Hani hep deniyordu ki, Türkiye’de çok fazla siteye engelleme var. Dünyanın geri kalanı, batı ülkeleri, gelişmiş ülkeler bu kadar değil ama dönüp baktığım zaman aslında oradaki problem sayı problemi değil. Yani Türkiye’de engelli siteler ile yurt dışındaki engelli siteler sayı olarak belki de çok fazla birbirinden farklı değil.
Türkiye’deki sorun, halkın yoğun olarak kullandığı ve çok fazla günlük hayatının parçası olarak kullandığı web sitelerinin bir kısmı kapandı; çok uzun süre kapalı kaldı. Örnek: Youtube. Bir kısmı çok sık sık kapanır, açılır hale geldi. Örnek: Twitter ve bu insanların günlük hayat alışkanlıklarında bir yoksunluk duygusu yaratıyor. Yani, öğlen yemek yemeyen tanıdığım arkadaşlarım var; hiç sorun değil. Onlar öğlen yemek yememeye devam edebilirler ama ben her öğlen yemek yiyorum. Bir gün öğlen yemek yemesem, o gün aç hissediyorum kendimi. Bu insanlığa ilişkin bir şey değil, bana ilişkin bir şey. Ben çünkü her öğlen yemek yemeye alışkınım. Her akşam Twitter’a bakmayı alışkanlık haline getirmiş olan birisi de, akşam yemek yememiş gibi hissediyor kendisini. Dolayısıyla, “ ben bu Twitter’a nasıl erişirim?” diyor ve hani biliniyor ki, geçmişte Youtube vs deneyimlerinden de biliniyor ki, geçmişte çok basit sadece bir DNS numarası değiştirilerek, değiştirilebilir siteler artık devletçe DNS değiştirerek ulaşılamıyor bu sitelere.
Dolayısıyla başka bir modele geçmek gerekiyor. Neydi o? VPN. VPN aslında biz güvenlikçilerin çok sevdiği, çok kullandığı çok değerli bir teknoloji. Kurum dışındaki bir yerden sizin içerideki iletişiminizi hiç kimsenin görmediği, izleyemediği, değiştiremediği bir güvenli hat üzerinden, güvenli bağlantı üzerinden şirketime erişip şirketimdeki hassas işlemlerimi yapabilmemi sağlıyor ama bunun için bir VPN yazılımına sahip olması gerekiyor kurumumun ve bana bununla ilgili lisans temin etmesi, yazılımlar temin etmesi gerekiyor. Ben buna interneti Türkiye’den kullanmak yerine, yurt dışından kullanmak için de kullanmak mümkün ve birçok insan da bunu yapıyor ama buradaki güvenilir VPN çözümleri yerine merdiven altı, ücretsiz ya da çok ucuza art niyeti olan başka VPN hizmetleri kullanıldığında aslında o şirketlere acaba bunu niye verdiler diye sorgulamak gerekiyor.
“There is no free lunch”: bedava yemek yok’un karşılığı. Biri size bedava bir şey veriyor ise, şüphelenin! Yani, niye bedava biri size VPN versin? Ya bunun üzerinden yaptıklarınızı izliyor, dinliyor ya siz bunu yaparken aslında o sırada bankaya girerken siz bankaya girdiğinizi zannediyorsunuz ama başka bir aynı görüntülü siteye sizi sokuyor ve banka bilgilerinizi alıyor. Belki birtakım şifrelerinizi ele geçiriyor… gibi birtakım işlemler hayatımıza girmeye başlıyor. Bedava zannettiğimiz ama aslında bize çok pahallıya mâl olacak sistemler sayesinde. O yüzden, evet yoksunluk duygusunu çok iyi anlıyorum ama “ gerçekten güvenilir bir VPN ile ben bu yasaklardan etkilenmek istemiyorum” demiyor ise eğer birisi ve bunu nasıl yapacağını bilmiyor ise, belki yoksunluk duygusu yaşamak daha doğru bile olabilir.
turk-internet.com: Peki, eğitimi bir de konuşalım! Türkiye’deki üniversiteler sizce siber güvenlik açısından nasıllar? Yetiştirebiliyorlar mı iyi insanları?
Üniversiteler olaya biraz daha serbest pazar ekonomisi olarak bakıyorlar ve daha yavaş hareket edebilen kurumlar. Bir ihtiyacı gördüklerinde o ihtiyacın gerçekten varlığını algılamaları zaman alıyor. Algıladıktan sonra program yaratmaları zaman alıyor. Bunun için YÖK’ten onay almaları ve programı açmaları zaman alıyor. Hadi bunu yaptılar, mezun vermeleri için de 2 ya da 4 yıl daha gerekiyor. O yüzden hani şu anda yetersiz oldukları ortada ama bunu atlamış olduklarını görüyoruz.
2013, 2014’te topu topu bir iki üniversitede yüksek lisans seviyesinde programlar varken, bunun hızla arttığını görüyorum. 2016 yılında benim de parçası olmaktan gurur duyduğum kurum yani dostlar ile işbirliği sonucunda Bilgi Üniversitesi’nde ilk defa böyle üst düzey mühendis yerine günlük hayatta iş yapabilecek yüksek okul seviyesinde bir program açmış olmaktan gurur duyuyorum. Bu programın ilk mezunları günün sonunda 2018’de hayatımıza giriyor olacak. 2016’da programa alındılar; 2 yıllık bir program; 2018’de mezun verecekler. Dolayısıyla buradan doğru ve her yıl 50-100 tane mezun verecekler. Bir gelişme var. Yeterli mi? Asla. Birçok üniversite buna girmeli mi? Evet. Girecek mi? Evet. Daha önce fark etseler ne kadar hoş olur.
turk-internet.com: Peki, üniversiteleri unutalım! Bazı eğitimler görüyoruz bazı kurumlarda. Onları nasıl değerlendiriyorsunuz? Yani Türkiye’de yeterli bir siber güvenlik geliştirme, eğitim… böyle bir şeyler var mı?
Havelsan’ın var mesela veya diğer başka ismini şimdi şey yapmayalım ama bazı özel kurumların var.
Bizim de var, Lostar’ın da var. Elbette var ve olacak. Niye var? Yani hani bu şuna benziyor: ben hazır adam bulsam, yetiştirmek için kurs açmaya zaman harcar mıyım? Harcamam. Eksik olan şeyi tamamlıyorum. Üniversitelerde bu eksiği görüyorlar; bu bir ara çözüm. Ara çözüm olmaktan öteye gidemeyecek. Ana çözüm yerine geldiğinde, bu onu tamamlayacaktır ama o kadar hızlı bir artış var ki, sadece üniversitelerin program açması da yetmiyor, üniversiteler program açacak, buradan birtakım insanlar mezun olacak, mezun olan insanlar güzel bir kariyer yaşayacaklar, iyi maaşlar alacaklar ki, bunu gören yeni lise öğrencileri bu bölümü tercih etmeye başlasın. Yani, o döngü kısa bir döngü değil.
turk-internet.com: Evet. Peki, son sorum: genel olarak Türkiye’yi siber güvenlik anlamında değerlendirirseniz, durumumuz nasıl?
İç güveysinden hallice! Şimdi, Türkiye’ye bir açıdan baktığımızda özellikle- devleti bir kenara koyalım, ben devleti çok fazla bilmiyorum devlet ile direkt çalışmadığımız için- ama özel sektörde çok sayıda KOBİ’nin, az sayıda büyük kurumun olduğu bir ülke Türkiye. Siber güvenlik açısından da büyük kurumlar dünya ortalamasına baktığımızda, orta ve ortanın üzerinde iyi bir yerdeler, KOBİ’ler ise ortalamanın çok altındalar. O yüzden aslında Türkiye’nin siber güvenlik destekte kötü olmasının temel nedeni, KOBİ’lerin bu konuda kötü olması. Oysa bu konuda bakıyoruz, KOBİ-büyük şirket oranı bizimkinden daha farklı olan, büyük şirket oranı daha fazla olsa bile birtakım gelişmiş ülkelerin KOBİ’lerin daha güvende olması için birtakım devlet programları ürettiğini görüyoruz. Türkiye’de belki strateji olarak önemli ihtiyaçlardan bir tanesi de bu. Mesela, bir siber güvenlik sigortasının zorunlu hale getirilmesi. Bu sigortanın priminin düşürülmesi için belli siber güvenlik önlemlerinin alınmasının KOBİ’lere sigorta şirketleri tarafından yönlendiriliyor olması Türkiye’yi çok başka bir boyuta getirir.
turk-internet.com: İlginç bir yorum oldu. Benim suallerim bu kadar. Sizin eklemek istediğiniz, atladığımız bir konu var mı?
Yani, bizim konumuz sürekli gelişiyor, sürekli yine bir gündem var. 2016, çeşitli nedenlerle kendine özgü bir yıl oldu. İşte, ekonomik, politik ve tabii ki bilgi güvenliği ilgilendiren ama bunlar birbirinden bağımsız konular değil. Bunların hepsi birbirini çok etkileyen konular oldu. 2017’nin çok keyifli bir yıl olarak başlamasını öngörüyorduk, yılbaşında hemen gece biraz içimiz buruldu ne yazık ki. Bunun tekrarlamamasını herkes gibi ben de diliyorum. Ama bakıyorum, bir ülkenin ekonomisi nasıl gidiyorsa, ne kadar dengeli gidiyorsa, siyaseti ne kadar dengeli gidiyorsa onun parçası olarak siber güvenlik hayatı da daha dengeli gidiyor. Umarız Türkiye her üç konuda da daha keyifli bir ülke haline gelir.