Adres :
Aşağı Öveçler Çetin Emeç Bul. 1330. Cad. No:12, 06460 Çankaya - Ankara Telefon : +90 312 473 80 41 Faks : +90 312 473 80 46 E-Posta : sde@sde.org.tr

Siber Güvenlik Ve Gelecekteki Siber Tehditleri Tahayyül Edebilmek

Güray ALPAR
02 Nisan 2019 15:16

Siber ortam, uzayı da kapsayan bilişim sistemleri ve bunları birbirine bağlayan ağların oluşturduğu elektronik ortamı ifade eder. Günümüzde teknolojinin hayatımıza giderek daha çok girmesi ile siber ortamla ilgili tehditler artmıştır. Bu artış bilgi hırsızlığına yönelme yanında, rasgele bireysel saldırıları, bilinçli ve organize saldırı olaylarını, hatta siber ordular kurarak rakip ülkenin kritik altyapılarının çökertilmesini içerecek boyutlardadır.

Gelecekte bu saldırıların giderek daha da artacağı ve bireysel güvenlikten, ulusal güvenliğe kadar güçlü bir tehdit ortamı yaratacağı beklenmelidir. Günümüzde yüzbinlerle ifade edilen yazılım araçları, siber saldırı silahları ve kötü amaçlı yazılımlara artık yüksek riskli yapay zekâ araçları da eklenmiştir. Ancak siber güvenlik ve bilgi güvenliği kavramları çoğunlukla birbirine karıştırılmakta olup bilgi güvenliği siber güvenliğe göre daha dar kapsamlı teknik bir konudur. Siber güvenlik ortamı bilgi sistemleri, gerçek, tüzel ve kamu bilişim sistemleri, kritik altyapı sistemleri ve tüm ulusal siber ortamıdır. Özellikle bir ülkenin bilgi sistemleri yanında, içerisinde bulunan bilgilerin gizlilik ve bütünlüğünün bozulması durumunda can, mal ve ekonomik kayıplarla, kamu düzeninin bozulmasına neden olabilecek kritik altyapı sistemlerinin korunması çok önemlidir. Siber ortamın kontrolünün, bunu yapan tarafa büyük bir üstünlük sağladığı kesindir. Gelecekte çıkacak savaşların ilk füzesinin bu ortamda fırlatılacağını tahayyül etmek gerekir. 

Siber tehditler konusunda farkındalık, ulaşılması gereken ilk aşamadır. Bunun yanında konuyla ilgili gerekli çalışmaların yapılması, gerekli niteliklere sahip personelin eğitilmesi, uygun organizasyonların oluşturulması da gerekecektir. Derhal yapılması gereken diğer bir husus ise siber tehditlere ilişkin ulusal stratejilerin ve eylem planlarının bir an önce hayata geçirilmesidir. Bu husus artık ülkeler için önemli bir beka sorunu haline gelmiştir.

Siber Güvenlik, rasgele bireysel saldırılarla bilgi hırsızlığı ve bunun önlenmesi olmayıp bunun çok ötesinde tedbir alınması gereken bir tehdidi içermektedir. Şöyle ki; en alt düzeyi taktik seviye olarak kabul edersek, siber güvenlik konusu taktik siber güvenlik, operatif siber güvenlik ve stratejik siber güvenlik olarak üç seviyeye incelenmelidir.   Ancak çoğu zaman taktik, operatif ve stratejik seviyelerde ayrı ayrı düşünülmesi gereken farkındalığın, taktik seviyelerde kaldığı ve daha ziyade bilgi güvenliğine yönelik olduğu görülmektedir. Operatif ve hatta stratejik siber güvenlik kavramları bir an önce hayata geçirilmez ise bütün iyi niyetlere rağmen, muhtemelen teknik detaylar ve birbirinden kopuk parça parça çalışmalarla konunun içerisinde kaybolup gidilecektir. 

Asimetrik tehdit, “karşı tarafın zayıf taraflarına yönelme” ile ilgilidir. Bu yönelim, sınırları belli olmayan bir mekânda, beklenmedik ve ani olacaktır. Geleceğin siber ortamını ve tehditleri anlayabilmek ise “yaratıcı hayal gücü” ile ilgilidir. Hayal gücü, bir insanın zihninde kendiliğinden görüntüler oluşturabilme yeteneğidir. Eğer hayal gücümüzün yaratıcı olmasını istiyorsak; öncelikle sorunlar ve sorunlarla bağlantılı olan çok çeşitli fikirleri sezgisel olarak ve hızla ortaya koyabilmeli ve daha sonraki aşamada bu konulardaki düşünceleri yakınsak düşüncemizle değerlendirip analiz ederek, doğrulara ulaşmamız gerekir. Bu anlamda yaratıcı düşünüş; belirlenmiş ve dayatılmış kurallar ve kabullenişlerin dışında, farklı düşünme ile doğruları sezgisel olarak görebilmemizdir. Bilgi alt yapımız ne kadar kuvvetli ise sonuçlar da o kadar sağlıklı olacaktır. Tehditleri görebilmek; şüphesiz bilgi alt yapısı yanında, bilimsel yaklaşımda ortak akılla yaratıcı düşünceyi de gerektirir. Aksi takdirde ne olup bittiğini anlamadan olayların bizleri yönlendirmesi ile karşı karşıya kalırız ki bu da bireyden devlete kadar herkesin güvenliği için bir tehdit oluşturur.

Siber tehditler için kullanılan tanımlar, genelde geleneksel çatışma ve savaşlarda kullanılan tabirlerle benzerdir. Bunun nedeni belki de anlaşılmasının daha kolay olmasındandır. Siber casusluk, siber terör/terörist, siber silah, siber suçlarla mücadele, siber saldırı, siber savunma, siber tehdit, siber güvenlik gibi terimler bunlardan bazılarıdır. Ancak siber saldırılar; simetrik olduğu kadar, asimetrik hatta hibrit (Belirli hedefleri gerçekleştirmek için Suriye’de olduğu gibi, açık veya gizli olarak birden fazla savaş türünün bir arada kullanıldığı savaş şekli.) savaşın bir parçası olarak da kullanılabilir. Günümüzde siber ortamların istismarı öylesi boyutlara ulaşmıştır ki, bu ortamda haklı olarak artık klasik harpte olduğu gibi “siber savaş”, “siber taarruz”, “siber savunma” ve “siber ordu” gibi tabirler kullanılmaya başlanılmıştır. “Siber savaş”; siber varlıkların ve ortamın ortadan kaldırılması, etkisiz hale getirilmesi veya korunmasına yönelik faaliyetlerdir.

Siber saldırıların başlamasına yönelik olaylardan birisi, 1991 yılında bir grup Hollandalı saldırgan tarafından Pentagon’un merkezi bilgisayarına sızılarak bazı bilgilerin değiştirmesidir. 2000 yılında ise Avustralya’nın arıtma tesislerine yönelik bir saldırı olmuştur. Bundan üç yıl kadar sonra art niyetli olarak gönderilen bir yazılımla, ABD’de milyonlarca kişiyi etkileyen ve 6 milyar dolardan fazla zarara neden olan elektrik kesintileri meydana gelmiştir. 2007 yılında ise Rus kaynaklı olduğu değerlendirilen bir saldırı ile Estonya’nın başta bankacılık sistemleri olmak üzere birçok bilgi sistemine sızılması sonucu hayat felce uğratılmıştır. Benzer bir saldırı 2008 yılında Gürcistan’da gerçekleşmiş, finans başta olmak üzere enerji ve haberleşme sistemleri belirli bir süre çökertilmiştir. Giderek artan siber ortam saldırıları 2010 yılında Çin ve Amerika arasında gerçekleşen siber savaşla iyice açığa çıkmış ve ilk kez bir devlet diğerini kendisine karşı “siber savaş” düzenlemekle itham etmiştir. Aynı yıl İran, İsrail ve ABD tarafından endüstriyel sistemlerine yönelik bir saldırıya maruz kalmıştır. 2011 yılında ABD Savunma Bakanlığı siber saldırıları savaş sebebi saymıştır. 2015 yılında ise Ukrayna, enerji sistemlerinin aksamasına neden olan saldırılarla karşı karşıya gelmiştir. Gelinen ortamda devletler, siber savaşı ulusal güvenliklerine yönelik en büyük tehditlerden birisi olarak belirlemiş, buna göre birimler oluşturarak aktif şekilde faaliyete geçirmişlerdir.

Birçok ülke daha şimdiden siber savaşlara hazırlanıyor. Örneğin; 2017 yılında Almanya yaklaşık iki aylık sürede 284.000 saldırı ile karşı karşıya gelince, Savunma Bakanlığı bünyesinde başında bir generalin bulunduğu 13.500 asker ve sivil personelden oluşan, üniversitelerle işbirliği içinde çalışacak bir siber ordu kurmaya karar verdi. Bunun dışında ABD, Rusya, Çin ve Japonya gibi devletler de orduları içinde siber birimler kurduklarını açıkladılar. Bu ülkeler kendi internetlerini oluşturuyor, Rusya ve Çin’de olduğu gibi yabancı ülke internetini ve yazılım uygulamalarına kısıtlamalar getiriyor.

Çoğu zaman “veri” ve “bilgi” kavramları karıştırılır. Bu aşamada “veri”, “enformasyon” ve “bilgi” kavramlarını açıklamakta fayda var. “Veri” her türden işlenmemiş bilgidir. Veriler bir araya getirilirse “enformasyon” haline gelir. Bunlar akıl süzgecinden geçirilip analiz edilirse “bilgi” haline gelir. İşte verilerden başlayarak, bilgileri içeren birikimler “siber ortam” dediğimiz elektronik ortamlar (siber uzay) içerisinde gerçekleşir. Basit bir tanımlama ile bu ortamın güvenliği de çoğu zaman “siber güvenlik” olarak isimlendirilir. Bir ülke topraklarını nasıl savunması gerekiyorsa, siber ortam da ülkenin bir parçasıdır ve aynı ciddiyetle savunulması gerekir.

Siber saldırı; çeşitli yöntemler kullanarak bilgi akışı ve birikimini sağlayan korunmamış ortamlara sızma, ulaşma, birikimleri kullanma ve daha fazlası “kullanılmaz duruma getirilmesi” durumudur. Siber güvenlik ise bu tehdit ve tehlikelere karşı çözümler üretmek, girişimleri önlemek ve bu suretle “bilgi güvenliğini sağlayacak ölçüde kendi ortamını güvende tutma becerisi”dir. Böylelikle sızma girişimleri ve saldırılar başarısızlığa uğratıldığı gibi bilgiler korunur ve elektronik ortama bağlı sistemler güven içinde işlemeye devam eder.

Hasım tarafın bütün varlıklarına saldırılması gerektiğine ilişkin “topyekün savaş” kavramını ortaya atan Prusyalı general ve strateji uzmanı Clausewitz 200 yıl önce “Her asır kendi savaşını yaratır.” demişti. Bu anlamda günümüzde savaşın sınırlarının olmadığı, sivil ve asker ayırımının ortadan kalktığı, savaş ve barış arasında sınırların belirsizleştiği, devlet unsurları ile devlet dışı unsurların da işin içine girdiği karma bir savaş türü ortaya çıkmıştır. Böylesi bir ortamda ise hasım tarafı göremediğimiz “Siber Savaş” çağımızın ve geleceğin savaşı olarak karşımızdaki en önemli tehditlerden birisi olarak duruyor. Bu belirsiz savaş ortamında, ulusal sistemlerimizin stratejik düzeyde güvenliğini nasıl sağlayacağız? Siber ortamlarda bulunan veriler ve bilgiler o ülkenin hazinesi ve ulusal değerleridir. Bunların çoğu ise doğrudan “ulusal güvenlik” ve “beka” ile doğrudan ilişkilidir. Bu bilgiler askeri olduğu kadar sosyal, ekonomik ve diğer alanlarda olabilir. Her ne kadar siber ortamda kapsayıcı bir koruma sağlamanın garantisi olmasa da kişisel düzeyden başlayarak en üst seviyeye kadar bu değerlerin her türlü tehlikelerden korunması ve savunulması gerekir. Hatta daha fazlası, ağlara bağlı askeri ve sivil sistemlerin herhangi bir amaçla işlemez duruma getirilmesinin önlenmesi milli menfaatler ile doğrudan ilgilidir. Bu konuda farkında olmak yetmez, bunu davranışa dönüştürmek, en üst düzeyde kurumlar arasında gerekli koordinasyonun yapılarak, risklerin belirlenmesi, zamanında tedbirlerin alınması ve etkin bir kontrol mekanizmasının oluşturulması da gerekir. Peki bu konuda sorumlu kim olacaktır? Kimler tahayyül edecek, savunma tedbirleri yanında teknolojik üstünlük nasıl sağlanacaktır? Güvenlik politikalarının koordinasyonu kim yapacaktır? Hangi yetkilerde donatılacak ve görevini standartlara uygun olarak gerektiği şekilde yerine getirip getirmediğini kim denetleyecektir?