Siber saldırılardaki artış, güvenlik için ayrılan IT bütçelerinin de artmasına sebep oluyor. IDC’nin yaptığı bir araştırma Türkiye’deki kamu sektörü IT yöneticilerinin %35’inin IT bütçelerinden %8 ve üzeri miktarlarda bir payı güvenlik çözümlerine ayırdığını ortaya koymakta. Buna karşın BTK’nın sonuç raporunu yayınladığı [1] Ulusal Siber Güvenlik Tatbikatı, özellikle kamu kurumlarında son derece önemli açıklar olduğunu ortaya koyar nitelikte.
Önce IDC’nin yürüttüğü çalışmaya değinecek olursak, uluslar arası pazar araştırmaları firması Türkiye’deki kamu kuruluşlarındaki IT yöneticilerinin %25’inden fazlasının bütçelerinin %10 ve daha fazlasını IT güvenlik donanımları, yazılım ve servis çözümlerine harcadığını tespit etmiş. Anket çalışmasına katılan kesimin %10’u ise güvenlik harcamalarına toplam IT bütçesinin %8 ila %10’u aralarında bir kaynak ayırdıklarını söylemişler. IDC Government Insights raporununu hazırlayan kıdemli analistlerden Mukesh Chulani bu verileri şöyle yorumluyor:
“Kamu sektörüne ait bilgi teknolojileri sistemleri, sürekli bir biçimde agresif ve yayılmacı saldırılarla karşılaştığından Türkiye’deki devlet kurumları da etkin bir IT güvenliği oluşturmanın olmazsa olmaz bir operasyonel gereksinim olduğu bilincine varmaktalar. Diğer bir deyişle, kamu kurumları IT güvenliğini artık bir masraf değil bir yatırım olarak görmekteler.”
IDC raporu, Türkiye’deki kamu kurumlarının IT algısındaki bu değişikliğe son dönemde yaşanan siber saldırıların neden olmuş olabileceğini ima ediyor. Raporda Anonymous grubunun Temmuz 2011’de yaptığı saldırılara [2] ve Kasım 2011’de Türkiye Maliye Bakanlığı web sitesinin hack edilmesi olaylarına yer verilmekte.
IDC’nin yaptığı bu araştırmaya karşın, 25 – 28 Ocak tarihleri arasında gerçekleştirilen ve BTK’nın sonuç raporunu açıkladığı [1] Ulusal Siber Güvenlik Tatbikatı, ülkemizde kamu kurumlarının siber güvenliğe yeterli önemi göstermediğini ortaya koyuyor. BTK’nın açıkladığı raporun sonuç bölümünde şu ibareler yer alıyor:
“USGT 2011, yaklaşık bir yıl süren hazırlık sürecinin ardından 25-28 Ocak tarihlerinde 41 kurum/kuruluşun katılımıyla başarıyla tamamlanmıştır. USGT 2011 kapsamında 500’ün üzerinde yazılı enjeksiyona ilave olarak port taraması, dağıtık servis dışı bırakma saldırıları (DDoS), web uygulamalarının denetimi ve kayıt dosyası analizinden oluşan gerçek saldırılar yapılmıştır.
Yapılan çalışmalar, tatbikata katılan kurum ve kuruluşlarda bilgi güvenliği açısından azımsanmayacak miktarda açıklık olduğu sonucunu gözler önüne sermektedir.
Açıklıkların kapatılması konusunda, bilgi teknolojilerine yapılacak donanım-yazılım satın alımı ve benzeri yatırımların yeterli olmayacağına, başta kurum/kuruluş yöneticileri olmak üzere kurum/kuruluş çalışanlarının tamamının bilgi güvenliği konusunda eğitilmesi, ilave olarak bilgi güvenliğine ilişkin kurumsal iş süreçlerinin hayata geçirilmesi gerekmektedir.
Elde edilen bulgular genel olarak değerlendirildiğinde ülkemizde siber güvenliğin sağlanması için özetle bilgi güvenliği yönetim sistemi, iş sürekliliği, insan kaynakları, kurum içi ve kurumlar arası iletişim ve koordinasyon alanlarında çalışma yapılması gerektiği görülmektedir.
[1]-ULUSAL SİBER GÜVENLİK TATBİKATI SONUÇ RAPORU
[2]-Anonymous Ataklarına Devam Ettiğini Açıkladı; Bugün Hedef Adalet Bakanlığı ve Uyap’tı