Son bir kaç yıldır üstüste “kimlik saldırılarını” konuştuk. Bunların büyük bir kısmı dolandırıcılık için yapılıyor ama devlet destekli saldırılar da var. Dolayısıyla siber saldırılar toplumda epeyce endişe de yaratıyor. Buna karşılık, Türkiye’de siber güvenlik anlamında nasıl bir yapılanma olduğunu soran çok kişi var. Bu anlamda en iyi girişimlerden birisi olarak, Savunma Sanayi Başkanlığı altında yapılanan “Siber Güvenlik Kümesi”nden bahsedelim.
Kümelenme nedir derseniz; Aynı ya da benzer iş kolunda faaliyet gösteren, coğrafi olarak birbirine yakın, birbirleriyle işbirliği ve rekabet halinde olan üretici firmalar ve onları destekleyici firma ve kurumların bir araya geldiği bir çalışma modelidir.
3,5 yıl önce Savunma Sanayi Başkanlığı himayesinde kurulan “Siber Güvenlik kümelenmesi”, yerli siber güvenlik ekosistemini güçlendirmek ve ekosistemin ürünleri ilgili olgunluklarını, yaygınlık ve faaliyetlerini arttıcı faaliyetler yapmak ve siber güvenlik ürünlerinin müşteri ile buluşmasını sağlamak amacı ile kuruldu. Kümelenme öncesi % 1-2 olan siber güvenlik ürünleri kullanımının bugünlerde % 10-15 seviyesine geldiği belirtiliyor.
“Siber Vatan” Korunması Gereken Kritik Altyapılar Anlamına Geliyor
Siber güvenlik günümüzde bütün dünyada o kadar önemli ki, ülkeler 3 kuvvet komutanlığı yanında, 4. komutanlık olarak Siber Kuvvetler Komutanlığı kuruyorlar. TSK altında da –henüz kuvvet komutanlığı düzeyinde olmasa da– Siber Güvenlik Komutanlığı mevcut [1] (not : 5.kuvvet komutanlığı olarak Uzay Kuvvetleri Komutanlığı kuran ülke de var).
Geçtiğimiz haftalarda Siber Güvenlik Kümelenmesine yakın kişilerle görüştük.
Savunma Sanayi Başkanlığının himayesindeki Siber Güvenlik Kümelenmesi özel ya da kamudan 210+ irili ufaklı şirketin oluşturduğu bir yapı[2]. Firewall, endpoint, tehdit, video konferans gibi ürün grupları geliştiriliyor.
Görüştüğümüz yetkili dünya devi siber güvenlik firmalarının bile –örneğin firewall’larında– açıklarının ortaya çıktığını hatırlatarak, siber güvenlik ürünlerin bir kere üretilip, bittiği gibi bir durum olmadığına, bu ürünlerin üzerinde sürekli çalışmak gerektiğine işaret ediyor.
Enerji sistemleri, finans, banka sistemleri haberleşme, altyapı ve ulaştırma gibi konularda sürekli saldırılar olduğu ve bu kritik altyapılara “Siber Vatan” adı verildiği belirtilirken, yerli mühendislerin geliştirmek için çalıştığı ürünlerin yurtdışına satılmaya başlandığı da belirtiliyor.
50 Üniversitede Siber Kulüp Var
Siber Güvenlik Kümelenmesinin bir amacı da ekosistemin içerdiği insan kaynağının geliştirilmesi. Siber güvenlik konusunda eğitimler verildiği, bu eğitimlerin farkındalık eğitimi olmadığı, laboratuvar ortamında yapılan canlı eğitimler olduğu kaydediliyor.
Bu konuda yapılan çalışmalar içinde üniversitelerde kurulan siber kulüpler yer alıyor. Şu anda 50 kadar üniversitede bu kulüpler kurulmuş durumda. Kümelenme, bu kulüpleri bir araya getirerek “Siber Kulüpler Birliği” kurmuş. Kümelenme bu kulüpleri davet ederek, formal eğitimin ötesinde bir eğitim de veriyor.
Bu arada ne kadar siber güvenlikçi ihtiyacı var merak ettik. Yetkililer, son dönemdeki beyin göçüne işaret ederken, salgının 2.yarısından itibaren artan uzaktan çalışma sayesinde, Türkiye’de oturup, yurtdışında çalışan ve euro ve dolarla maaş alan çok sayıda siber güvenlikçi olduğunu belirtiyor.
Şimdilerde Devops güvenlik mimarisi ile baştan kurgulamak ihtiyacının arttığı ve özellikle hem kamuda, hem de büyük ölçekli kobilerde ihtiyacın büyük olduğu kaydediliyor. Dolayısıyla ihtiyaç çeşitli düzeylerde toplanıyor. Kümedeki firmalarda çalışan siber güvenlikçi sayısının 9-10.000 civarı olduğu, üye olmayanlarla bu sayının 15-20 bin arası olduğu düşünülüyor.
Lisans Düzeyinde “Siber Güvenlik” Açılamadı
Siber Kümelenmenin “Siber Güvenlik” konulu bir lisans eğitimi açmak için YÖK’e başvurduğunu biliyoruz. Ama yeni bir dalın açılmasının hayli zor olduğu görülmüş.
Şimdilik az sayıda yüksek lisans programı ve ir de “Adli Bilişim” gibi yan dallar mevcut. Yazılım/bilgisayar mühendisliği ya da Elektronik Mühendisliği bölümlerde bazı dersler olabiliyor. Ama sadece bu alan yönelik ve savunmadan ve de gerektiğinde saldırı yapabilecek bir eğitim programı gerekli.
Bilgisayar mühendisliğinde penetrasyon testleri dersleri var. Web güvenliği olabilir, mobil güvenlik ve uç güvenlik konuları da işlenebilir deniliyor.
Sertifikasyon Yapılıyor
Yurtdışından gelen donanım ve yazılım konusunda ülkemizde bir sertifikasyon bulunmuyor. Onun yerine bu şirketler ülkemizde “bilinir markalarına güven” ile satıyorlar. Bazen de Gartner liderlik sıralaması bir güven unsuru oluyor ama aslında Gartner tarafsız olmayan –yani para ödeyerek alınan– bir sıralama.
Bu konuyu sorduk ama test ve sertifikasyon konusunda ancak kümelenmeye dahil olan firmalar için çalışıldığını ve şimdiye kadar 17 ürün grubunda sertifikasyon altyapısının hazırlandığını ve 21 ürüne sertifika verildiğini öğrendik. Sertifika deyince, ürünün fonksiyon, güvenlik ve performans testine tabi tutulduğu ve ne kadar güvenilir olduğuna bakıldığı kaydediliyor.
Sertifika derken akademisyen desteği, sektörden ve kamudan görüşlerle ulusal kriterlerin oluşturulduğunu anlıyoruz.
Teknokent İstanbul’da Startup Firmalara 1.500 m2 Ayrıldı
Önemli bir konu da, siber güvenlik konusunda çalışacak olan genç girişimcilerin desteklenmesi. Teknokent İstanbul’da 3.katta 1.500 m2’nin kuluçka merkezi olarak kurgulandığı kaydediliyor. Burada yarışmalardan gelen startup firmalara yer verildiğini, yatırımcılarla görüşüldüğünün ve hızlandırma programları yapıldığını anlıyoruz.
Kümelenmenin, bitirme projeleri belirlenmeden bitirme projesi önerileri açıkladığı ve yarışma yapıp ödül verip, hem de çocukların bir fikirleri varsa, ödüllenmeye giden bir yapı varsa, teknokentlerde ofis desteği verdiklerini öğrendik.
Teknokent İstanbul altında bir de siber güvenlik lisesi var. Müfredatı tamamen siber güvenlik olan bu lise 2-3 senedir öğrenci alıyor. Siber liseden çıkan arkadaşlardan üniversitelerden daha iyi öğrenmiş olacak. Üzerine Bilgisayar mühendisliği okuması durumunda da kıymetli uzmanlar yetişebilir. Fen lisesi ayarındaki bu liselerin artması isteniyor ama Eğitimci açığı var. Antalya, Zonguldak ve Ankara’da altyapının hazırlandığı belirtiliyor. Milli Eğitim Bakanlığı’nın Aselsan ile imzaladığı protokol çerçevesinde savunma mekanik-elektronik temalı liseler açılacağı kaydediliyor.
Ayrıca haftasonları eğitimleri ile yaz-kış kampları, sertifika programları yapıldığını öğreniyoruz. Bu kamplara katılanların çoğunun savunma sanayiinde çalıştığı notu var.
Kümelenme Politika Üretmiyor, Ürün geliştiriyor
Bir önemli konu da, siber güvenlik strateji ve politikalarının üretilmesi. Örneğin hala bir trafik değişim noktası yok. Bunun diğer faydaları yanında siber güvenlik boyutu da var. Ama kümelenme, kendisini “biz politika üretmek yetkisinde değiliz, firmalar arasında köprü kuruyoruz” diye tanımlıyor.
Farkındalık eğitimi, yetkin insan kaynağı geliştirme, boşluk analizi yani “ne tür ürünleri var” listesi, ülkenin ihtiyacı olan ürün haritası gibi çalışmalar yaptıklarını iletiyorlar.
Anlayacağınız, siber güvenlik alanında ülkemizde böyle bir yapılanma var. Umarız önemli bir boşluğu doldurarak, gün geçtikçe daha yararlı hale gelirler.
[1] Türkiye’nin Siber Savunma Anlamındaki Yapılanmaları (2016)