Siber Teröre Karşı Korunma Yolları
Bilindiği gibi hassas bilgilere sahip bir çok kamu kurum ve kuruluşu tüm dünya ile bağlantılı olan “internet” yerine sadece kapalı sınırlar içinde hareket eden “intranet” kullanmaktadır. Bu şekilde dışarıya bağlantısı olmayan kapalı bir istem ile dış dünyadan gelecek saldırılardan belirli yöntemler ile kendilerini korumaktadır.
Ancak “intranet” ler de sanıldığı kadar güvenli değildir. Özellikle kullanıcı sayısı arttıkça, kurum büyüdükçe ve personel sayısında artış oldukça güvenlik azalmaktadır. Kendini dışarıya karşı güvende hisseden sistem içten gelecek saldırılara karşı korumasızdır. Veya içeriden dışarıya destek verilmesi durumunda (bu kasıtlı veya yeni işe başlamış bir personel olabilir) saldırı çok daha kolaylaşır. Bu nedenle “intranet” sisteminin güvenliği konusunu da şüphe ile yaklaşmak zorunluluğu vardır. Teknik ayrıntıları değinmeden sadece bu konuda şu çözüm önerilebilir: İntranet sistemini çok büyük kurumlarda bölümlere ayırmak ve küçük parçacıklar halinde tutmak gerekir. Yapılan bir saldırıda zararı en aza indirmenin tek yolu hedefi küçültmektir. Büyük sistemlerin siber terör konusunda daima birinci hedef haline gelecekleri ve teröristlerin öncelikler arasında yer alacağında şüphe duyulmamalıdır. Zira fizik alemde olduğu gibi sanal alemde de terörist yaptığı saldırı ile gündemin birinci sırasına oturmayı hedefleyecektir. Bunun içinde yaptığı eylemin ses getirici bir eylem olması için çaba harcayacaktır.
Terörist siber terör eylemini gerçekleştirirken “ben siber bir eylem gerçekleştiriyorum o halde bu alanın dışına çıkmamam gerekir” diye bir düşünce içinde hareket etmez. Dolayısıyla fizik alemdeki saldırılarını siber ortam ile desteklediği gibi siber ortamda yapacağı saldırıları fizik alemdeki eylemleri ile de destekleyebilir. Kanımca 11 Eylül saldırıları bu tür bir saldırı idi. Teröristler, saldırılarına önceden pilotluk eğitimi almak, uçuş rotalarını belirlemek, güvenlik önlemlerini geçerek pilot kabinine girmek gibi fizibilite çalışmaları yaparak hazırlanmışlardır. Ancak bunların yanında pilotun yere sinyal göndermesini engelleyici veya kulenin denetimini engelleyici veya kırılamaz denilen Pentagon’un güvenlik sistemlerini kırmak gibi bir takım teknoloji-yoğun fizibilite çalışması içine de girmiştir ki, bu da saldırıların siber terör boyutu olarak değerlendirilebilir. Siber saldırı, fiziki saldırıyı kolaylaştırmak ve şiddetini maksimum hale getirebilmek için kullanılan önemli bir araç olmuştur.
ABD Kongre Komisyonu, terör örgütleri tarafından büyük yıkımlara neden olan saldırı çeşitleri arasında siber saldırıları da saymaktadır. Bir terör saldırısında terör örgütü tarafından iletişimin engellenmesi fiziki saldırının şiddetini artırmada önemli bir etkiye sahiptir. Bunu bilen terör örgütleri eylemlerini daima siber alanda destekleyeceklerdir.
Tarihin Sonu kitabının yazarı Francis Fukuyama, Soğuk savasın sona ermesinden sonra Sovyetler Birliği’nde sayıları büyük rakamlara ulaşan, normal şartlarda yasal olarak özel veya kamu kesiminde önemli işler yapabilecek olan çok yetenekli bir insan kaynağını başı bozuk ve dağınık bir halde dışarıda bırakıldığını belirtmektedir. Bu kişilerin siber terörizm özellikle siber mafya olarak adlandırılan organize suç faaliyetleri gibi birçok illegal aktivitenin içinde yer alması kaçınılmazdır. Özellikle SSCB’den geriye kalan birçok mafya ve organize suç örgütlerinin bu alanda faaliyet göstermesi büyük olasılıktır.
Sonuç
Bilişim suçlarının önlenmesi kanun koyucuları ve uygulayıcıları için hiç te kolay olmayacaktır. Çünkü bilgisayar teknolojisi ve internet bu alanda çalışan kişilerde belirli düzeyde teknolojik bilgi gerektirmektedir. Bu bilgiyi eğitim dönemlerinde almamış olma hem polisler ve hem de yargı mensuplarının bu alanda suçlular karşısında genel olarak etkin olamamama ihtimali büyüktür.
Bilişim alanında ortaya çıkan suçlar ile mücadelede mevcut polisiye tedbirler ile veya bu alanda düzenleme yapan birimlerin yapacağı çalışmalar ile başarılı olmak mümkün değildir. Siber alanda güvenliğin sağlanması birçok kuruluşun çabası yanında potansiyel mağdurların davranışlarına da bağlıdır. Saldırıya açık bir şekilde bekleyen bilgisayarlar en büyük tehdit altında olanlardır. Genel olarak belirtildiği gibi hiç kimse sokak ortasında bırakmayacağı bir malını veya bilgisini bilgisayarda da bırakmamalıdır. En azından dosyalara kolay tahmin edilemeyecek şifreler konulmalıdır.
Sınır tanımayan özelliğe sahip olan bilişim suçları ile mücadelede başarılı olabilmek için;
a.yasal,
b.teknolojik
c.bilişim sektörü bazında çözümler bulmak zorunludur.
Devletlerin sınırlı kapasiteleri nedeniyle yasaların etkin bir şekilde korunması neredeyse mümkün olmamaktadır. Çok fazla yasal düzenleme yapma veya kısıtlayıcı yasalar çıkarmak da hem teknolojik gelişmeleri hem de ticari hayatı etkileyebilir. Bazı alanlarda kuralların devlet yerine serbest rekabet ortamında belirlenmesi bilişim suçları ile mücadelede daha etkin olabilmektedir.
Bu bağlamda özel sektörün bu alanda yapacağı katkıların önemi çok büyüktür. Tüm ülkeler ortak çalışsa bile bilişim suçlarının tehdidi karşısında başarılı olmaları mümkün değildir. Mutlaka özel sektör çözüm bulmada ortak olmalıdır. Olaya ülkemiz açısından bakacak olursak Türkiye’nin en iyi üniversitelerinin bilgisayar ve elektronik mühendisliği bölümlerinden kaç mezunun kamuda işe başladığını sorgulamak gerekir. Yok denecek kadar azdır. Yetenekli gençler daha eğitim dönemlerinde ulusal ve uluslar arası firmalar tarafından kapışılmaktadır. Teknik bilgi, kaynak ve nitelikli personel açısından özel sektör kamuya göre daha avantajlıdır. Bu nedenle sektör internet ortamının güvenliği (özel bilgisayar ağlarının) konusunda etkin çalışmalar yapmalıdır. Gerektiğinde kolluk güçlerine maddi delil ve özellikle eğitim konusunda yardımlarda bulunmalıdır. Kolluk güçlerinin yurtdışı eğitimi konusunda ayıracakları fonlar sayesinde kendi geleceklerini garanti altına almış olacaklardır.
Bilgisayar sistemlerinin tüketicileri olarak da kabul edilebilecek olan bireyler, sorumlu davranışları ile bu suçlar ile mücadelede yardımcı olacaktır. Herkes evini hırsızların giremeyeceği şekilde güvenlik önlemini alsa, nasıl hırsızlık olaylarında önemli düşüş olacağı bir gerçek ise, bilişim alanında da tüketiciler, kurallara uygun olarak gerekli güvenlik önlemlerine uymuş olsa bilişim alanında görülen suçlarda bir azalma olacaktır. Bankaların tüm güvenlik önlemlerine karşın hala banka soyulduğu gibi, tüketiciler ve kolluk gerekli koruyucu önlemleri almış olsa bile bilişim suçları bitmeyecektir. Ama ulusal güvenliği tehdit eder şekilde veya elektronik ticaret yapan firmaların uykularını kaçıracak kadar büyük oranlarda gerçekleşmeyecektir.
Yukarıda geniş şekilde açıklandığı gibi bu suçlar ile mücadelede uluslar arası işbirliği olmadan başarılı olmak mümkün değildir. Ancak bu işbirliği nasıl sağlanacak. Uluslar arası işbirliği konusunda İnterpol bünyesinde özel bir birim oluşturularak ortak ve hızlı elektronik takip yapma olanağı sağlanabilir . Bunun için belki işbirliği alanları öncelikle belirlenecek suç türleri arasında bir pilot uygulama yapılabilir. Türkiye bu durumda son dönem terör olayları nedeniyle ortaya çıkan şartlarda kendisinin öncelik verdiği suç türleri arasında terör suçlarını dahil edebilir. Ancak devlet güvenliği aleyhine sadece propaganda ile sınırlı kalan zararlı siteler konusunda beklediğini bulması mümkün değildir.
Tüm bu önlemlerin yanında uzun soluklu bir çözüm yolu ise, bilişim etiği dediğimiz sanal alemde davranış kuralları konusunda özellikle genç kuşağın eğitilmesi gerekmektedir. Günlük yaşamında hırsızlık yapmayı ahlaki değerleriyle veya toplumsal statüsü ile bağdaştıramayan bir genç net ortamında çok rahat hırsızlık yapabilmekte veya başkalarına zarar vermektedir. İnternet çağının gençlerinin içine düştüğü sanal alem- gerçek alem çatışmasının eğitimle ortadan kaldırmak gereklidir. Gençler ilköğretimden başlayarak bilişim etiği konusunda eğitilmelidir. Bu çalışma, ABD’de olduğu gibi özel sektör ile işbirliği çerçevesinde yürütülebilir. Türkiye gibi sanal aleme sonradan dahil olan ülkeler gelişmiş batı ülkelerine göre bu konuda daha şanslıdır. Sanal alemi kullanan gençliği hala eğitme olanağımız vardır.
11 Şubat ta ABD’de Dünya Ticaret Merkezine yapılan saldırıların hemen ardından ABD ve dünyanın diğer bölgelerinde felaketten rant sağlamak için yapılan çabalara ait aşağıda vereceğimiz örnek, bilişim etiği ile ilgili olarak çok çaba harcanması gerektiğini net olarak ortaya koymaktadır. Haberi aynen buraya almak istiyorum:
İlk uçağın çarptığını duyar duymaz isim kaydeden siteye girdiğini ancak “Worldtradecentercrash.com” adresinin birkaç saniye önce başka birisinin adına kaydedildiğini öğrenen Amerikalı Jim Burke, “wtccrash.com” adresini alabilmiş. Bu iki adresin daha ikinci uçak güney kuleye çarpmadan alınması, kullanıcıların ne kadar hızlı hareket ettiğinin bir kanıtı.
Olay günü gelişmeler sürerken yüzlerce kişi Dünya Ticaret Merkezi’ne yapılan saldırıları ifade eden “wtccras.net”, “wtccrash.org”, wtcplanecrash.com”, “tradecentercrash.com” gibi adresleri kaydettirdi. İkinci uçağın çarpmasından sonra da çoğul ifade taşıyan “worldtradecentercrashes.com” ve “wtccrashes.com” adresleri İsviçreli bir internet kullanıcısı tarafından alındı.
Yine son günlerde ABD’de ortaya çıkan şarbon hastalığına konusunda da benzer bir olay yaşanmıştır. Şarbona karşı etkili olan “ciprofloxacin” adlı antibiyotiği pazarlayan onlarca web sitesi ortaya çıktı. Bu sitelerin bir kısmı online eczanelere ait olmasına rağmen çoğunluğun hayali şirketler olması da gerçekten düşündürücüdür.
Hani derler ya “koyun can derdinde kasap mal derdinde” aynen böyle bir durum. Bu iki örnek, batı toplumunun bilişim etiği konusunda içinde bulunduğu acınılası durumu çok bariz olarak ortaya koymaktadır. Ülkemizde toplumsal değerlerin henüz tam olarak yitirilmediği düşüncesiyle sanal etik veya bilişim etiği konusunda bir an önce eğitsel faaliyetlerin başlamasının çok yararlı olacağını düşünmekteyiz.