Son 2 hafta bir kaç haberde “kimlik saldırılarını” konuştuk. Epeyce endişe de yaratmış durumda. Buna karşılık, Türkiye’de siber güvenlik anlamında nasıl bir yapılanma olduğunu soran çok kişi var. Başka bir yazıda Türkiye’deki durumu ve yapılanmaları anlatalım ama önce bu yazıda Savunma Sanayi Başkanlığı altında yapılanan kıymetli bir oluşumdan yani Siber Güvenlik Kümesinden bahsedelim.
3,5 yıl önce Savunma Sanayi Başkanlığı himayesinde kurulan Siber Güvenlik kümelenmesi, yerli siber güvenlik ekosistemini güçlendirmek ve ekosistemin ürünleri ilgili olgunluklarını, yaygınlık ve faaliyetlerini arttıcı faaliyetler yapmak ve siber güvenlik ürünlerinin müşteri ile buluşmasını sağlamak amacı ile kuruldu. Kümelenme öncesi % 1-2 olan siber güvenlik ürünleri kullanımının bugünlerde % 10-15 seviyesine geldiği belirtiliyor.
“Siber Vatan” Korunması Gereken Kritik Altyapılar Anlamına Geliyor
Siber güvenlik günümüzde o kadar önemli ki, ülkeler 3 kuvvet komutanlığı yanında, 4. komutanlık olarak Siber Kuvvetler Komutanlığı kuruyorlar. TSK altında da –henüz kuvvet komutanlığı düzeyinde olmasa da– Siber Güvenlik Komutanlığı mevcut [1] (not : 5.kuvvet komutanlığı olarak Uzay Kuvvetleri Komutanlığı kuran ülke de var).
Geçtiğimiz hafta Siber Güvenlik Kümelenmesine yakın kişilerle görüştük.
Savunma Sanayi Başkanlığının himayesindeki Siber Güvenlik Kümelenmesi ise özel ya da kamudan 210+ irili ufaklı şirketin oluşturduğu bir yapı[2]. Firewall, endpoint, tehdit, video konferans gibi ürün grupları geliştiriliyor. Görüştüğümüz yetkili PoloAlto’nun firewall’da geçenlerde kapattığı önemli açığa işaret ederek, bu ürünler üzerinde sürekli çalışmak gerektiğine işaret ediyor.
Enerji sistemleri, finans, banka sistemleri haberleşme, altyapı ve ulaştırma gibi konularda sürekli saldırılar olduğu ve bu kritik altyapılara “Siber Vatan” adı verildiği belirtilirken, yerli mühendislerin geliştirmek için çalıştığı ürünlerin yurtdışına da satılmaya başlandığı belirtiliyor.
50 Üniversitede Siber Kulüp Var
Siber Güvenlik Kümelenmesinin bir amacının da ekosistemin içerdiği insan kaynağının geliştirilmesi. Siber güvenlik konusunda eğitimler verildiği, bu eğitimlerin farkındalık eğitimi olmadığı, laboratuvar ortamında yapılan canlı eğitimler olduğu kaydediliyor.
Bu konuda yapılan çalışmalar içinde üniversitelerde kurulan siber kulüpler yer alıyor. Şu anda 50 kadar üniversitede bu kulüpler kurulmuş durumda. Kümelenme, bu kulüpleri bir araya getirerek “Siber Kulüpler Birliği” kurmuş. Kümelenme bu kulüpleri davet ederek, formal eğitimin ötesinde bir eğitim de veriyor.
Bu arada ne kadar siber güvenlikçi ihtiyacı var merak ettik. Yetkililer, son dönemdeki beyin göçüne işaret ederken, salgının2.yarısından itibaren artan uzaktan çalışma sayesinde, Türkiye’de oturup yurtdışında çalışan ve euro ve dolarla maaş alan çok sayıda siber güvenlikçi olduğunu belirtiyor.
Şimdilerde Devops güvenlik mimarisi ile baştan kurgulamak ihtiyacının arttığı ve özellikle hem kamuda, hem de büyük ölçekli kobilerde ihtiyacın büyük olduğu kaydediliyor. Dolayısıyla ihtiyaç çeşitli düzeylerde toplanıyor. Kümedeki firmalarda çalışan siber güvenlikçi sayısının 9-10.000 civarı olduğu, üye olmayanlarla bu sayının 15-20 bin arası olduğu düşünülüyor.
Lisans Düzeyinde “Siber Güvenlik” Açılamadı
Siber Kümelenmenin “Siber Güvenlik” konulu bir lisans eğitimi açmak için YÖK’e başvurduğunu biliyoruz. Ama yeni bir dalın açılmasının hayli zor olduğu görülmüş.
Şimdilik az sayıda yüksek lisans programı ve ir de “Adli Bilişim” gibi yan dallar mevcut. Yazılım/bilgisayar mühendisliği ya da Elektronik Mühendisliği bölümlerde bazı dersler olabiliyor. Ama sadece bu alan yönelik ve savunmadan ve de gerektiğinde saldırı yapabilecek bir eğitim programı gerekli.
Bilgisayar mühendisliğinde penetrasyon testleri var. Web güvenliği olabilir. Mobil güvenlik ve uç güvenlik konuları da işlenebilir.
Sertifikasyon Yapılıyor
Yurtdışından gelen donanım ve yazılım konusunda ülkemizde bir sertifikasyon bulunmuyor. Onun yerine bu şirketler ülkemizde “bilinir markalarına güven” ile satıyorlar. Bazen de Gartner liderlik sıralaması bir güven unsuru oluyor ama aslında Gartner tarafsız olmayan –yani para ödeyerek alınan– bir sıralama.
Bu konuyu sorduk ama test ve sertifikasyon konusunda ancak kümelenmeye dahil olan firmalar için çalışıldığını ve şimdiye kadar 17 ürün grubunda sertifikasyon altyapısının hazırlandığını ve 21 ürüne sertifika verildiğini öğrendik. Sertifika deyince, ürünün fonksiyon, güvenlik ve performans testine tabi tutulduğu ve ne kadar güvenilir olduğuna bakıldığı kaydediliyor.
Sertifika derken akademisyen desteği, sektörden ve kamudan görüşlerle ulusal kriterlerin oluşturulduğunu anlıyoruz.
Teknokent İstanbul’da Startup Firmalara 1.500 m2 Ayrıldı
Önemli bir konu da, siber güvenlik konusunda çalışacak olan genç girişimcilerin desteklenmesi. Teknokent İstambul’da 3.katta 1.500 m2’nin kuluçka merkezi olarak kurgulandığı kaydediliyor. Burada yarışmalardan gelen startup firmalara yer verildiğini, yatırımcılarla görüşüldüğünün ve hızlandırma programları yapıldığını anlıyoruz.
Kümelenmenin, bitirme projeleri belirlenmeden bitirme projesi önerileri açıkladığı ve yarışma yapıp ödül verip, hem de çocukların bir fikirleri varsa, ödüllenmeye giden bir yapı varsa, teknokentlerde ofis desteği verdiklerini öğrendik.
Teknokent İstanbul altında bir de siber lise var. Müfredatı tamamen siber güvenlik olan bu lise 2-3 senedir öğrenci alıyor. Siber liseden çıkan arkadaşlardan üniversitelerden daha iyi öğrenmiş olacak. Üzerine Bilgisayar mühendisliği okuması durumunda da kıymetli uzmanlar yetişebilir. Fen lisesi ayarındaki bu liselerin artması isteniyor ama Eğitimci açığı var. Antalya, Zonguldak ve Ankara’da altyapının hazırlandığı belirtiliyor. Milli Eğitim Bakanlığı’nın Aselsan ile imzaladığı protokol çerçevesinde savunma mekanik-elektronik temalı liseler açılacağı kaydediliyor.
Ayrıca haftasonları eğitimleri ile yaz-kış kampları, sertifika programları yapıldığını öğreniyoruz. Bu kamplara katılanların çoğunun savunma sanayiinde çalıştığı notu var.
Marka-model açık kaynak platformunu daha fazla yapıyoruz.. lab kuruyoruz.. KALI linux zafiyetlerin olduğu makinaları çocukların çözmesi bir sonraki adıma geçmesi diye
Kümelenme Politika Üretmiyor, Ürün geliştiriyor
Bir önemli konu da, siber güvenlik strateji ve politikalarının üretilmesi. Örneğin hala bir trafik değişim noktası yok. Bunun diğer faydaları yanında siber güvenlik boyutu da var. Ama kümelenme, kendisini “biz politika üretmek yetkisinde değiliz, firmalar arasında köprü kuruyoruz” diye tanımlıyor.
Farkındalık eğitimi, yetkin insan kaynağı geliştirme, boşluk analizi yani “ne tür ürünleri var” listesi, ülkenin ihtiyacı olan ürün haritası gibi çalışmalar yaptıklarını iletiyorlar.
Anlayacağınız, sier güvenlik alanında ülkemizde böyle bir yapılanma var.
[1] Türkiye’nin Siber Savunma Anlamındaki Yapılanmaları (2016)
