Siber Güvenliğe “akademik” bir dokunuş: BÜSIBER

Siber güvenlikte bir ekosistemin oluşturulması ve tüm paydaşların efektif bir koordinasyon ile beraber çalışması gerekliliği hem stratejik hem de taktik düzeyinde dile getirilen bir husus. Bu ekosistem içerisinde de, yetişmiş insan kaynağı açığını kapatacak hem de asıl “teknoloji” ve AR-GE tarafındaki ihtiyaçları karşılayacak olan aktör dendiğinde akla ilk gelen kurum üniversiteler.

Bu bağlamda, BUSİBER -Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Siber Güvenlik Çalışmaları Merkezinin- özellikle son dönemde hız kazanan faaliyetleri oldukça göz doldurucu. BUSİBER, Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Bölümü öğretim üyesi Doç. Dr. Bilgin Metin’in girişimciliği ve İstanbul Kalkınma Ajansının destekleriyle hayata geçirilmiş ve siber güvenlik alanının gerektirdiği özel uzmanlaşma ve odaklanmayı sağlamak amacıyla kurulmuş bir proje.

BUSİBER, rutin olarak sürdürdüğü eğitim faaliyetlerinin yanı sıra geçtiğimiz pazartesi günü Boğaziçi Üniversitesinde düzenlediği “Türkiye’de SOME’ler ve Milli Güvenlikte Yerli Milli Çözümleri” etkinliği ile ön plana çıktı. Benim de öğleden önce programına katılma fırsatı bulduğum etkinlikte, Türkiye’nin önde gelen siber güvenlik uzmanları, firmaları ve konuyla ilgilenen akademisyenleri bir araya gelme fırsatı buldu.  Etkinliğin her ne kadar ana teması SOME’ler ve yerli milli çözümler de olsa, elektronik harp sistemlerinden, milli siber güvenlik standartlarının önemine; siber istihbaratın öneminden milli siber güvenlik operasyon merkezi çözümlerine sayısı yirmiden fazla konu başlığı tartışılma imkânı buldu.

Hal böyle olunca, birbirinden kıymetli uzmanların yaklaşık 15’er dakika ayrılmış yoğun sunumlarını takip etmek hiç de kolay olmadı. Siber güvenliğin hem stratejik hem taktik hem de operasyonel alanını bu denli geniş ele almış çok disiplinli bir etkinliğe açıkçası daha yoğun bir katılım beklenebilirdi. Bu çerçevede, bu tarz kıymetli etkinliklerin farklı platformlarda, özellikle öğrenci ve profesyonel kariyerini bu doğrultuda şekillendirmek isteyen adaylar için farklı kanallardan duyurulması bir başka önemli husus.

Veri ihlallerinin oranı yüzde 781 arttı

Dinlediğim sunumlarda uzmanların verdiği güncel veriler ve çözüm önerileri oldukça çarpıcı. Örneğin, açılış konuşması ile dinleyicileri bilgilendiren İnternet Geliştirme Kurulu Başkanı Tayfun Acarer veri ihlallerinin 2015’ten 2016’ya geçerken %781 oranında arttığını belirtirken, 2019’da siber saldırıların global maliyetinin 2,1 trilyon doları bulacağı yorumunda bulundu. Bununla beraber, Acarer’e göre, buzdağının görünmeyen yüzü çok daha geniş ve siber atakların %70’i tespit dahi edilemiyor.

Siber güvenlik ile ekonomi arasındaki organik bağ

Kalkınma Bakanlığı İktisadi Sektörler ve Koordinasyon Genel Müdürü Emin Sadık Aydın’a göre ise bilişim artık ekonominin vazgeçilmez bir parçası haline geldi ve bu olgunun ekonominin önemli temellerinden olan büyüme, verimlilik ve rekabetçilik ile organik bir ilişkisi var. Bu çerçevede, bilişim sektörünün ekonomi üzerinde oluşturacağı verimlilik artışını izlemek ancak bir yandan da teknolojinin olumlu ve olumsuz yanlarının farkında olup, tehditleri yönetebilmek çok önemli. Öte yandan, İstanbul Kalkınma Ajansı’nın (İKA) bu projeye destek vermesi atlanmaması gereken oldukça önemli bir detay.

Milli ürünlere olan güvensizliğin aşılması kritik

“Milli Güvenlik ve Elektronik Harp Sistemleri” konusunda bir sunum gerçekleştiren Savunma Sanayi Müsteşarlığı Siber Güvenlik ve Elektronik Harp Sistemleri Daire Başkanı, Muhammet Emin Ulukavak ise konuşmasında siber güvenliğin “milli güvenlik” kavramının tam kalbine geldiğini özetliyor. Ulukavak’a göre, son on yılda kat edilen yol gerçekten çarpıcı ve daha evvel yalnızca teknik bir konu olarak güvenlik bugün savunma sektörü nezdinde de stratejik önemiyle ele alınıyor. SSM’nin savunma sanayisinin geliştirilmesinin önemine de değinen Ulukavak’a göre üzerinde durulması gereken unsurlar ise milli donanımların eksikliği, milli çözümlere duyulan güvensizliğin aşılması ve siber güvenlik ekosisteminin oluşturulması. Bu çerçevede, SSM’nin özellikle yakın zamanlarda başlatmayı düşündüğü “siber akademi” girişimi dikkatle takip edilmesi gereken gelişmelerden.

TÜBİTAK Siber Güvenlik Enstitüsü Başkanı Mustafa Dayıoğlu’nun sunumu da Tübitak’ın siber güvenlik ekosistemi için attığı anlamlı adımların bilinmesi adına oldukça dikkat çekiciydi. Siber güvenlikteki makas değişimine dikkat çeken Dayıoğlu, en büyük eksikliğin “teknoloji geliştirecek insan” olduğuna dikkat çekerken, TÜBİTAK’ın en önemli görevinin, yerlileşme ve millileştirme, uçtan uca siber güvenlik, rehberlik ve destek olduğunu hatırlattı.

KPSS’li siber güvenlikçi çelişkisi

Cezeri Siber Güvenlik Akademisi (SGA) kurucularından ve TRT World’ün IT Direktörü olan Osman Doğan’ın sunumu ise Bug Bounty ve Ödül Avcılığı teması üzerineydi. Doğan, sunumunun ötesinde, siber güvenlikte mücadele edilen asıl kesimin KPSS derecesine sahip olmayan, 20’li yaşlardaki ve mezuniyet şartını yerine getirilmese de istihdam edilen grup olduğunu yeniden hatırlatarak siber güvenliğe ilişkin insan kaynağının kazandırılmasında farklı bakış açılarının geliştirilmesi gerektiği vurgusunda bulundu. Bununla beraber Doğan uzun zamandır gündeme getirilen “Siber Güvenlik Müsteşarlığı” konusunda da yakın zamanda gelişme kaydedileceğini belirtti.

SOME’lere zengin kaynak ve daha çok yetki şart

Siber güvenliğin ekonomik hacmine dikkat çeken e-devlet ve e-yönetişim uzmanı Mustafa Afyonluoğlu da, son dönem çalışmalarından önemli veriler aktardı. Afyonluoğlu’na göre,  Fransa siber güvenliğe 2014’te 1 milyar Euro, İngiltere ise 2015’te 2,5 milyar Euro’luk bir kaynak ayırmış. Öte yandan “siber güvensizliğin” yarattığı ticari hacmin 2030 yılında 90 trilyon dolar olması bekleniyor.

İLGİLİ HABER >> ABD SİBER GÜVENLİK BÜTÇESİNİ 14 KAT ARTIRDI

Sunumuna toplantının ana temasını alan Afyonluoğlu SOMElerin (Siber Olaylara Müdahale Ekipleri) kamu tarafında siber güvenlik elektronik hizmetler vermeye çalışırken güvenliği sağlama çabasıyla ortaya çıktığını ifade etti. “Şu anda 600’e yakın SOME var” diye konuşan Afyonluoğlu’na göre SOME’ler ne kadar etkin çalışırsa kamu tarafında siber güvenlik o denli kuvvetleniyor. Öte yandan, standartlar oluşturmak, SOME’lere zengin kaynak sunmak ve onları idari yetki sahibi yapmak gerekiyor. Yetki sahibi olmayan SOME’nin bir siber saldırı durumunda müdahalesi çok da kolay olmuyor.

“Yazılım firmaların yatak odaları gibidir”

Milli siber güvenlik operasyon merkezi sunumuyla, “milli” kavramının güvenlikteki rolünü yeniden vurgulayan ANET Yazılım uzmanı Ertuğrul Akbaş ise, “yazılım firmaların yatak odaları gibidir” alıntısında bulunarak, “yerli sanayinizin ürününü kullanmazsanız yabancı bir yazılımı kullanmak zorundasınız. Onu kullandığınızda maddi kayıpların dışında bilgi güvenliğinizi kaybedebilirsiniz” yorumunda bulunuyor. Milli bir SOC (Security Operation Center) ın ise önceliklerini bileşenlerin milli olarak gerçekleştirilmesi ve süreçlerin milli olması gerekliliği şeklinde özetliyor.

Takip edebildiğim son sunumda “milli ağ ve uygulama zafiyet uygulama çözümleri” temalı sunumuyla Netsparker güvenlik uzmanı Ziyahan Albeniz tamamen yerli bir web güvenliği çözümü olan ve 22 kişilik bir Türk Mühendis ekibi tarafından geliştirilen Netsparker çözümlerine değindi. Öte yandan, güvenlik alanında yetişmiş personel ihtiyacına vurgu yapan Albeniz Türkiye’de internet, özellikle de web güvenliğinin yeni başlayan bir farkındalık olduğuna dikkat çekti.

BUSİBER’in düzenlediği etkinlik “milli” temasının tartışmaların göbeğine yerleştirilmesi ve konunun bütüncül olarak ele alınması açısından son derece tatmin ediciydi. Konuşçmacılara ayırılan 15 dakikalık sürenin bu denli yoğun ve kritik konular için çok da yeterli “olamadığı” bir başka önemli nokta.

Uzmanların bu denli “insan kaynağı eksiği” ve “ürün geliştirme” vurgusuna karşın üniversitelerin öğrencilerini bu alanda cesaretlendirmesi ve bu tarz etkinlikleri takip etmeyi teşvik etmesi gerekiyor. Özellikle uzmanlarla birebir yapılacak söyleşiler, reel dünyada gerçekten ne olup bittiğini anlamak adına oldukça anlamlı olacağı da bir başka öneri olarak gündeme alınabilir.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

 

 

 

 

 

 

 

Ayhan Gücüyener

Ayhan Gücüyener, kritik altyapı güvenliği, stratejik siber güvenlik ve enerji politikaları üzerinde araştırmalar yapmaktadır. Şu an bölge direktörlüğünü yürütüttüğü IACIPP (International Association of Critical Infrastructure Protection Professionals) taki faaliyetlerinin yanı sıra, kendi projesi olan CriticalSec altında da çeşitli eğitim ve proje faaliyetleri yürütmektedir.
İletişim için: [email protected]
Ayhan Gücüyener

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Ayhan Gücüyener

Ayhan Gücüyener, kritik altyapı güvenliği, stratejik siber güvenlik ve enerji politikaları üzerinde araştırmalar yapmaktadır. Şu an bölge direktörlüğünü yürütüttüğü IACIPP (International Association of Critical Infrastructure Protection Professionals) taki faaliyetlerinin yanı sıra, kendi projesi olan CriticalSec altında da çeşitli eğitim ve proje faaliyetleri yürütmektedir.
İletişim için: [email protected]
Ayhan Gücüyener