ODTÜ Mezunları Derneği, Bilgi ve İletişim Teknolojileri Komisyonu'nun ‘İnternet ve Yaşam’ konulu panellerin dördüncüsü ‘Siber Güvenlik’ teması ile Vişnelik tesislerinde gerçekleştirildi.
Önemli tespitler ve önerilerin ortaya konduğu panelde; insanların ‘siber ortam’ diye adlandırılan gerçek hayatı bilgisayar programları ile simule etmeye başladığı, ortam değiştikçe tehditlere karşı korunmanın da değişmek zorunda olduğu vurgulandı. Siber güvenliğe yönelik yeni bir yaklaşımın gerekli olduğu belirtilerek, geleneksel tekniklerin, verileri siber saldırılara karşı korumak için artık yeterli olmadığı kaydedildi.
Siber saldırıları algılayabilmek ve analiz edebilmenin yeterli olmadığı, aynı zamanda saldırganlarla mücadele edebilmenin de gerektiği belirtilen panel, bunun için de devlet ciddiyeti, devletin tehditleri en az uzmanlar kadar anlayıp ona göre bir yaklaşım göstermesi şartı hatırlatıldı.
SİBER ORDULAR KURMA GEREKLİLİĞİ
Siber savaşların yol açabildiği maddi ve manevi kayıplar göz önüne alındığında, ülkelerin 'siber ordular kurma' gerekliliği ön plana çıktığı ifade edilerek, ABD Ulusal Güvenlik Teşkilâtı tarafından siber savaşın, nükleer savaştan sonra en yüksek etkiye sahip savaş olarak görüldüğüne dikkat çekildi.
Bu konuda Economic Impact of Cyber Crime'in 2015 yılındaki çalışmasına atıf yapılarak, siber suçların küresel ekonomik maliyetinin yıllık yaklaşık 388 milyar dolar olduğu, bunun 114 milyar dolarının doğrudan zarar geri kanan ise dolaylı zarar olduğunu aktarıldı.
Ayrıca günümüzde en büyük güç olarak nitelendirilen ‘bilgi’ güvenliğinin sağlanamamasının çok büyük kayıplara, kamusal ve kurumsal alanda zafiyetlere yol açacağı uyarısı yapıldı.
İç içe girmeye başladıkları için ‘sivil alan’ güvenliğiyle ‘askeri alan’ güvenliğini ayrı tutmanın mümkün olmadığı vurgulandı.
Risk yönetimi olan siber güvenlik operasyonunun doğasını anlamak gerektiği, bunun da insan kaynaklı, süreç kaynaklı ve teknoloji kaynaklı zafiyetleri barındırdığı dile getirildi. Risklerin azaltılması ve yönetilmesi çok önemli olduğu bu süreçte; (tanımlama – koruma – saldırı tespiti – müdahale/tepki – sistemin yeniden ayağa kaldırılması) şeklinde 5 unsurun etkisi kaydedildi.
TÜRKİYE'NİN SİBER GÜVENLİK İÇİN YAPMASI GEREKENLER
Türkiye’de bu hususları optimize edecek çözümlerin neler olması gerektiği ise ODTÜ Mezunları Derneği'nin ‘Siber Güvenlik’ panelinde şöyle sıralandı;
- Kamusal alanda; kurumlarda ‘siber olaylara’ müdahale ekipleri kurulmalıdır.
- Mevzuatın yanı sıra bu yönde yapılan çalışmaları denetleyecek bir ‘organizasyon’ oluşturulmalıdır. Zafiyetleri tespit için ‘sızma’ testleri yapılmalıdır.
- Yukarıda sayılan hususlar merkezi kurumsal yapılandırma gerektirecektir. Bu yapılanma başbakanlık bünyesinde olabilir. Bakanlık düzeyinde olursa yukarıda kurumların koordinasyonunda ortaya çıkan sakıncalar yaşanabilir.
- ‘Strateji belgesi’ oluşturulması önemli ve gereklidir. Savunma Sanayi Müsteşarlığı'nın bu görevi üstleneceği ifade edildi.
- İnsan kaynakları temini çok önemli bir diğer faktördür. ODTÜ’de, bu konuda, Tezsiz Bir Mastır Programı oluşturulmuş olması bir örnektir.
- Çok yakın bir gelecekte bizleri bekleyen potansiyel bir tehdit alanı ‘bulut teknolojileri’ ve ‘nesnelerin interneti’ alanlarında beklenmelidir. Çünkü nesnelerin interneti devreye girdiğinde, detay bilgiler içeren çok büyük hacimlerde bilgi depoları oluşacak ve bunlar buluta aktarılacak.
- Bulut teknolojilerinin çoğu Amerika orijinlidir. En büyük güç olan bilginin korunması birinci öncelik olmalı.
- Kendi teknolojimizi üretmeliyiz. Türkiye, siber güvenlik pazarının yaklaşık 300 milyon dolar olduğu belirtildi. Kullanılan ürünlerin; yüzde 3’ü yerli, yüzde 97’si yabancı menşeli. Yabancı ürünlerin ise yüzde 55’i İsrail, yüzde 35’i ABD kaynaklı olduğu ifade ediliyor.
- Kritik altyapıların belirlenmesi ve önceliklendirilmesi, yerli ve sertifikalı siber güvenlik ürünleri kullanılması gereklidir.
- Çok büyük data - veri madenciliği - sensor teknolojileri ön plana çıkacaktır. Akıllı şebekeler, scada sistemleri her yerde olacak. Çıkarılacak mevzuat, bu hususlarla uyumlu ve zorlayıcı olmak zorunda.
- Bu konuda çıkarılacak mevzuat, asla istim arkadan gelsin mantığıyla, gelişmelere müteakip olmamalıdır çünkü Türkiye gibi ülkelerde mevcut düzenlemeyi, diğer bir deyişle önünü görmeden ar-ge yatırımlarına girmek riskli ve zordur.