Ankara Siyasal ve Ekonomik Araştırmalar Merkezi
Rapor Nisan, 2013
SİBER GÜVENLİK Mustafa Canlı
SİBER GÜVENLİK
SİBER GÜVENLİK İÇİNDEKİLER
Giriş
3
A. Cesur Yeni Dünya – Bilgi ve İletişim Teknolojileri
4
B. Siber Güvenlik Nedir?
8
C. Buluttaki Veri - Siber İstihbarat
14
ABD Savunma Bakanlığı, Çin Tarafından Yapılan Saldırıların Amerikan Ekonomisi İçin Önemli Bir Risk Olduğunu Belirtiyor.
16
D. Beşinci Cephede Savaşlar – Siber Saldırı
18
Arap Baharı ve Sosyal Medya
22
Savaş 2.0 (War 2.0 )
23
E. Kale Duvarlarının Yerini Alan Güvenlik Duvarları - Savunma
24
F. Sanal Dünya Haritasında Türkiye Nerede Duruyor?
27
Türkiye Tarafından Tanınan Siber Güvenlik Riskleri
30
G. Öneriler
32
Sonuç
34
Kaynakça
34
1
SİBER GÜVENLİK
Mustafa Canlı Nisan 2013
ISBN 978-605-63903-1-9 2013 © Bütün yayın hakları saklıdır.
2
SİBER GÜVENLİK
Giriş
Matbaanın icadıyla başlayan süreçte gerçekleşen sanayi devriminin ateşi, o zamanki ulaşım olanaklarının elverdiği hız ile yayılmıştı. 20. yüzyılın sonlarında gelişmeye başlayan ve 21. yüzyılda vazgeçilmez hale gelen bilgi ve iletişim teknolojileri, İnternetin katlanarak artan hızıyla büyüdü ve bugün insan hayatının, şirketlerin, devletlerin her alanında kullanılan yaşamsal düzeyde önemli bir araç haline geldi. Cep telefonlarımızın, elektrik şebekesinin, finans sisteminin, bankaların veya mahkemelerin bir gün çalışmadığını düşünün... Havayolu trafiğinin karıştığı, hastanelerin randevu veremediği, şehir içerisindeki trafiğin birbirine girdiği bir gün... Bütün hepsi, bilgi ve iletişim teknolojileri alanında oluşabilecek, daha doğrusu oluşturulabilecek karmaşanın örnekleri. İnternete bağlanmayan ve bilgisayar ile çalışmayan sistemlerin artık neredeyse kalmadığı günümüz dünyasında, ülkeler, hükümetler, şirketler ve bireyler için ‘siber güvenlik’ kavramı hayati önemi haiz bir hal aldı. Siber ortam, yakın zamanlarda Estonya ve Gürcistan gibi ülkelerde saldırıya destek, İran’da ise doğrudan saldırı aracı olarak kullanıldı. Çin ile ABD arasında devam eden ve giderek kızışan ‘siber istihbarat savaşları’ neredeyse her gün medyaya yansıyan haberlerin konusu oluyor. ‘Arap Baharı’ olarak adlandırılan halk hareketleri içerisinde sosyal medyanın ne denli etkili olduğunu-olabileceğini tüm dünya gördü. ‘Wikileaks’ sızıntısındaki gibi kaynağı doğrulanamayan, amacı belirlenemeyen olaylar, küresel siyasal alanda geçmişte hesap edilmemiş yeni araçlar sunuyor. Uyuşturucu trafiği, kumar ve terör örgütü toplantıları derin İnternet adı verilen ağa kayıyor. Tüm bu sebeplerle, yeni yüzyılın en etkili araçlarından biri haline gelen ve etkisi giderek artacak olan siber istihbarat, siber saldırı ve siber güvenlik kavramları, Türkiye’nin her açıdan ciddi şekilde önem vermesi gereken konuların başında gelmektedir. Gelişmişlik sırasında dünyada ilk 10’a girmeyi hedefleyen ülkemizin, siber ortamın her alanında gelişmiş ülkelerle denk bir seviyeye çıkması da 2023 hedefleri arasında yer almalıdır. İlgili uluslararası platformların yeni yeni oluşmaya başladığı bu dönemde etkin siber güvenlik çalışmalarının yürütülmesi ve bunun Türkiye’nin uluslararası alanda önderlik edebileceği bir alan olarak ele alınması gerekmektedir. Bu niyetin ilk göstergesi, siber güvenlik konusunun, 2010 yılının Ekim ayında Milli Güvenlik Kurulu tarafından güncellenen ve Türkiye’nin Milli Güvenlik Siyaset Belgesi olan Kırmızı Kitap’a girmesi ile gerçekleşmiş olsa da, eyleme geçiş sürecinin umut edilen hızda gelişmediği aşikârdır. Konunun aynı kurul tarafından ilk kez 2 yıl sonra yine Ekim ayında görüşülmüş olması, henüz yolun başında olunduğunu ve daha hızlı yol alınması gerektiğini göstermektedir.
3
A. Cesur Yeni Dünya – Bilgi ve İletişim Teknolojileri
Bilgi ve iletişim teknolojileri hayatımıza her geçen gün daha fazla temas ediyor. Farkında olarak veya olmayarak günlük hayatımız söz konusu teknolojilere bağımlı hale geliyor. Ulaşımda, alışverişte, sağlıkta, iletişimde, otomasyon sistemlerinde bilişimin kullanımı getirdiği tüm avantajlar ile birlikte hızla yayılırken beraberinde riskleri artırıyor ve bu risklerin etki alanlarını genişletiyor. Yedi milyarı aşan dünya nüfusu içerisinde 6 milyar telefon abonesi mevcut. Dünya nüfusunun %98’ine bugün bir mobil iletişim sinyali ulaşıyor. 2012 yılı üçüncü çeyreğinde 2,3 milyar İnternet kullanıcısı sayısına ulaşıldı ve bu sayı hızla artıyor. On yıl önce bu rakam 500 milyondu.1 İnternet bağlantısı olan bilgisayar sayısı dünya nüfusuna eşit ve üç yıl içinde bu rakamın iki katına çıkacağı tahmin ediliyor. Artık Dünya nüfusunun %99’u bir mobil iletişim sinyali tarafından kapsanıyor. Önemli bir gelişme olarak, uzun yıllardır en fazla İnternet kullanıcısı sayısına sahip olan ABD, 2008 yılında Çin tarafından geçildi. Bilgi ve iletişim teknolojileri salt iş veya devlet hizmetlerine değil, kişisel hayatın her köşesine nüfuz etmiş durumda. Dünyada her 1 dakika içerisinde 168 milyon e-posta gönderiliyor, 700.000’den fazla Facebook sitesine güncelleme yapılıyor. Kullanıcılar tarafından her bir dakikada Youtube adlı video paylaşım sitesine 30 saat süreli video ekleniyor. Yine her bir dakikada İnternette 2 milyondan fazla arama yapılıyor.2 Ortalama İnternet kullanım süresi, dünyada 24 saat/ay iken, AB ülkelerinde 25,9 saat/ay düzeyinde. Bu oran, Türkiye’de ise 27 saat/aya kadar çıktı. Tüm bu artış hızı ve düzeyi, kullanım, bilgi ve iletişim teknolojilerinin yokluğunun veya kötüye kullanımının sahip olabileceği tesirin önemini vurguluyor.3 Dünyada sanal ortamda yürüyen yıllık e-Ticaret hacmi 2010 yılı itibariyle 10 trilyon dolar ve tahminler doğru çıkarsa 10 yıl sonra 24 trilyon dolara çıkacak. 2016 yılına kadar dünya üzerindeki ticaretin %20’sinin elektronik ortamdan yapılacağı tahmin ediliyor. ABD’de 2012 yılında e-Ticaret hacmi 300 milyar doları aştı. Dünyada alışveriş elektronik ortama doğru kayarken, Türkiye e-Ticaret hacmi ve altyapısı ile dünyada 9. Sıraya yükselmiş durumdadır.4
1 International Telecommunication Union, "Key Global Telecom Indicators for the World Telecommunication Service Sector" (http://www.itu.int/ITU-D/ict/statistics/at_glance/KeyTelecom.html - Erişim: Mart 2013). 2 Intel
Corporation Infograph, "What Happens in an Internet Minute" (http://www.intel.com/content/www/us/en/communications/internet-minute-infographic.html - Erişim: Mart 2013). 3 "Bilgi Teknolojileri ve İletişim Kurumu Pazar Verileri – 2012 Yılı 4. Çeyrek Raporu" (http://www.btk.gov.tr/kutuphane_ve_veribankasi/pazar_verileri/pazar_verileri.php - Erişim: Mart 2013). 4
AT Kearney, "The 2012 e-Commerce Index" (http://www.atkearney.com/documents/10192/348450/2012-E-Commerce-Index.pdf - Erişim: Mart 2013).
4
SİBER GÜVENLİK
Türkiye’de ise İnternet kullanıcı sayısı 50 milyonun üzerinde, yani artık “İnternet” aileden biri haline geldi. Ülkemizde e-Ticaret hacmi 2010 yılında 15 milyar TL iken, 2011 yılı sonunda % 60’ın üzerinde bir artışla 22 milyar TL’ye ulaştı. Bu rakam 2012 yılında 30 milyar TL’yi geçerek hızlı büyümesine devam etti.5 Ülkemizde İnternet ortamındaki veri trafiği, 20 milyona yaklaşan genişbant aboneleriyle birlikte, son iki yıl içinde tam 15 kat arttı.6 Ülkemizde dakikada yaklaşık 4.000 GB veri trafiği gerçekleşiyor; bu da, dünyadaki trafiğin yaklaşık 150’de 1’ini oluşturuyor. Yalnızca bilişim ile gelen sektörlerde değil, hayatın her alanında bu teknolojilerin yansımalarını görmek mümkün. Akıllı ulaşım sistemleri ile tüm trafik yönetiliyor, otomasyon ve tele-tıp uygulamaları ile sağlık alanında her tür çalışma elektronik ortamda yürütülüyor. Son 10 yılda Bilgi ve İletişim Teknolojileri sektörü her yıl Türkiye’nin büyüme ortalamasının 2-3 kat üzerinde bir hızla büyüdü. Bu oran ile haberleşme sektörü, diğer tüm sektörlerin ve ülkemizin büyüme hızını yukarı çeken bir niteliğe sahiptir. Haberleşme sektörü için 2003 yılından bu yana 15,8 milyar TL kamu yatırımı yapıldı; özel sektör tarafından bu alana yapılan yatırımlar ile birlikte toplam yatırım miktarı 40 milyar TL’yi buldu.7
5 "Bankalar Arası Kart Merkezi İnternette Yapılan Kartlı Ödeme İşlemleri İstatistikleri" (http://www.bkm.com.tr/istatistik/sanal_pos_ile_yapilan_eticaret_islemleri.asp - Erişim: Mart 2013). 6
"Bilgi Teknolojileri ve İletişim Kurumu Pazar Verileri – 2012 Yılı 4. Çeyrek Raporu" (http://www.btk.gov.tr/kutuphane_ve_veribankasi/pazar_verileri/pazar_verileri.php - Erişim: Mart 2013). 7 T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı, "TBMM Plan Bütçe Komisyonu 2013 Yılı Bütçe Sunumu" (Kasım 2012).
5
2003 yılında bilişim sektörü gelirleri 11,5 milyar Amerikan Dolarıydı. Bu rakamda yüzde 283 artış kaydedildi. 2012 sonu itibarıyla 44 milyar Amerikan Doları olacağı tahmin ediliyor.8 OECD raporlarına göre, Bilgi ve İletişim Teknolojileri sektöründeki her %10’luk büyüme Gayrı Safi Milli Hâsılada yaklaşık %1 düzeyinde bir artış sağlamaktadır. Bu oran, Türkiye’nin 2003 yılında 272 Milyar Dolar olan GSMH’sinin 2011 yılında ulaştığı 772 Milyar Dolarlık hacimde 150 Milyar Dolarlık bir artışa denk gelmektedir.9 Bilişim, diğer tüm sektörleri tetikleyen, dünyaca kabul edilmiş bir kaldıraç etkisine sahiptir. Bu gelişme, bilişim teknolojileri ve hizmetlerinin kullanımı ile özel sektörün rekabetçi, yenilikçi hale dönüşümünün bir sonucudur. Milli gelirdeki bu artış sayesinde bugün Türkiye’de kişi başına düşen milli gelir 10.000 ABD Dolarının üstüne çıkmıştır. Bu gelirin 2.000 Dolarlık artışı bilgi ve iletişim teknolojilerindeki büyüme sayesindedir.
8 "Bilgi Teknolojileri
ve İletişim Kurumu Pazar Verileri – 2012 Yılı 4. Çeyrek Raporu" (http://www.btk.gov.tr/kutuphane_ve_veribankasi/pazar_verileri/pazar_verileri.php - Erişim: Mart 2013). 9 "OECD
Internet Economy Outlook 2012" (http://www.oecd.org/sti/ieconomy/internet-economy-outlook-2012-highlights.pdf - Erişim: Mart 2013).
6
SİBER GÜVENLİK
Avrupa’da bazı ülkeler anayasalarına iletişim ve İnternete erişim hakkını temel insani hak olarak eklemektedir. Türkiye’de de, yeni anayasa hazırlık çalışmaları kapsamında düzenlenen ve çeşitli kamu kurumları, özel sektör ve sivil toplum kuruluşlarının katılımı ile gerçekleşen 14 Nisan 2012 tarihli “Yeni Anayasada Bilişim ve Haberleşme Özgürlüğü Sempozyumu” neticesinde yeni anayasa için şu maddeler önerilmişti: Bilgiye Erişim Hakkı ve İnternet Özgürlüğü Herkes, bilgiye serbestçe erişim hakkına sahiptir. Devlet, bu hakkın etkin ve adil bir biçimde kullanılabilmesi için gereken düzenlemeleri yapmak ve ihtiyaç duyulan düzeltici önlemleri almakla yükümlüdür. İnternete erişim, kişinin düşünce ve kanaatlerini söz, yazı, resim ve İnternete özgü diğer yollarla tek başına veya toplu olarak açıklaması ve yayması ile resmi makamların müdahalesi olmaksızın haber ya da fikir alması ya da vermesi serbestliğini de kapsar. Suçla mücadele, başkalarının hak ve özgürlüklerinin korunması veya çocukların cinsel istismarının önlenmesi amacıyla, usulüne uygun olarak verilmiş bir hâkim kararı olmadıkça İnternet özgürlüğüne dokunulamaz. İnternet aracılığıyla yapılan haberleşmenin gizliliği esastır. Herkes, İnternet aracılığıyla paylaştığı kişisel verilerinin korunmasını; düşünce ve kanaatlerinin gizliliğine saygı gösterilmesini isteme hakkına sahiptir. Suçla mücadele, başkalarının hak ve özgürlüklerinin korunması veya çocukların cinsel istismarının önlenmesi amacıyla, usulüne uygun olarak verilmiş bir hâkim kararı olmadıkça, İnternet aracılığıyla yapılan haberleşmenin gizliliğine dokunulamaz.10
Özetle, bilgi ve iletişim teknolojileri hayatımızın en temel alanlarına nüfuz etmiş, temel insani haklar arasına girmiş ve 21. yüzyıl dünyasında bir odak noktası haline gelmiş durumdadır. Eğitim ve sağlık hizmetleri, nasıl üstüne politika geliştirilen ve devlet düzeyinde teminat altına alınan kamu hizmetleri ise, bilgi ve iletişim teknolojileri de aynı kapsama girmektedir. Bilgi ve iletişim teknolojilerinin kullanıldığı tüm alanları kapsayan siber uzay konusunda uluslararası zeminde oturmuş ve kabul görmüş bir anlaşma henüz mevcut değil. Avrupa Konseyi Siber Suç Sözleşmesi dışında ve çocuklara yönelik siber tehditler haricinde küresel bir konvansiyonun hazırlanması konusunda gelişmiş ülkelerde bir isteksizlik söz konusudur. Şu anda siber istihbarat ve siber saldırı alanlarında rahatça yürüttükleri operasyonların bu tür bir anlaşma ile riske girmesini istemeyen bu ülkeler, inisiyatif almamakta ve güçlü bir ortak irade göstermemektedir. Bu kapsamda yapılacak bir milletler arası antlaşmanın gecikmesi, Kyoto Protokolü ile belirlenen çevre ve iklim konusundaki engellere benzer engellerin doğması riskini taşımaktadır. Gelişmiş ülkelerin siber güvenlik alanındaki çözümleri, ürünleri ve ticarî yapıları oturduktan sonra yazılacak bir konvansiyon, gelişmekte olan ülkelerin bu alanda ilerlemelerine engel teşkil edecek bir niteliğe sahip olma riskini barındırmaktadır. 10
"Yeni Anayasada Bilişim ve Haberleşme Özgürlüğü Sempozyumu Sonuç Raporu" (ICT Media Yayınları).
7
B. Siber Güvenlik Nedir?
Siber uzayın hayatımıza ne kadar temas ettiğini gördükten sonra öncelikle güvenliğin tanımını, boyutunu ve etkisini incelememizde fayda var. Bilgisayar ağlarının oluşturduğu elektronik ortama siber ortam diyoruz. Siber ortam, akıllı telefonlar, akıllı televizyonlar, kurumsal bilişim sistemleri ve otomasyonlar ile her geçen gün artan bir hızla büyümeye devam ediyor. Siber saldırı ise saldırganlar tarafından bilgi sistemlerinin çalışamaz hale getirilmesi, bilgi sistemlerinin güvenliğinin veya güvenilirliğinin riske atılması, bozulması ve çalınması anlamına geliyor. Siber güvenlik, bilgisayar ile çalışan her noktada güvenli bir ortamın sağlanmasıdır. Verilere erişimin kontrol edilmesi, yetkisiz kullanımın engellenmesi, veri çalınmasına, bozulmasına ve kaybedilmesine karşı önlemlerin alınması, verilere erişen veya işlem yapan insan kaynağının eğitimi gibi önlemler, siber güvenliğin çatısını oluşturmaktadır. Siber güvenlik açısından kişisel bilgisayarlar yüksek risk taşımaktadır. Dünyada her gün 200.000 bilgisayar kötü niyetli kişilerin kontrolüne geçerek “köleleştiriliyor;” yine dünya genelinde her gün 30.000 kişinin kimlik bilgileri İnternet ortamında çalınıyor. 2010 yılında tespit edilen siber saldırı sayısı 3 milyar iken 2011 yılında 5,5 milyar seviyesine ulaştı. Bu rakam günde 15 milyon siber saldırıya denk gelmektedir. Saldırılar daha çok bireysel kullanıcılara yönelik gerçekleşmektedir. Siber saldırılar ve bunların ortaya çıkardığı sorunlar nedeniyle, 2010 yılında dünyada 400 milyar dolara yakın zarar oluştuğu rapor edilmiştir. Türkiye’de ise bilişimle ilişkili suçlar son bir yıl içinde (2011 - 2012) % 65 artmıştır. Bu suçlar bilişim araçları kullanılarak yapılan hırsızlık ve dolandırıcılık gibi eylemleri ve aynı zamanda siber saldırıları da kapsıyor. Doğrudan bilişim sistemlerine yapılan siber saldırılar ise son bir yıl içinde % 85 artmıştır.11 Siber saldırıların etki alanlarını bilmek, savunma geliştirmek için şarttır. Siber saldırılar yoluyla:
* Bankacılık, e-Ticaret ve e-Devlet uygulamaları devre dışı bırakılabilir. Kişisel bilgiler ve ticari sırlar çalınabilir.
* Devlete ait gizli bilgiler ve projeler çalınabilir veya ifşâ edilebilir, düşman devletlerin eline geçebilir.
* Kamu hizmeti altyapılarının veya savunma sistemlerinin çökmesi ile can ve mal kaybına sebep olabilir, ülkede güvenlik zafiyeti oluşturulabilir. 11 "TBMM
Bilgi Toplumu Olma Yolunda Bilişim Sektöründeki Gelişmeler ile İnternet Kullanımının Başta Çocuklar, Gençler ve Aile Yapısı Üzerinde Olmak Üzere Sosyal Etkilerinin Araştırılması Amacıyla Kurulan Meclis Araştırması Komisyonu Raporu" (http://www.tbmm.gov.tr/sirasayi/donem24/yil01/ss381.pdf - Erişim: Mart 2013).
8
SİBER GÜVENLİK
Siber saldırıların oluşturduğu kayıplar konusunda eldeki verilerin çoğunlukla tutarsız olduğunu belirtmemiz gerekir. Emniyet Genel Müdürlüğü Bilişim Suçları Dairesi tarafından dile getirilen bu durum, söz konusu saldırılara maruz kalanların genellikle saldırıyı gizleme ve kayıpları örtbas etme eğiliminde olmasından kaynaklanmaktadır. Bankalar güvenilirliklerini kaybetme korkusu ile, kamu kurumlarındaki yöneticiler ise bilgilerin çalınması sonrası doğacak etkilerden korkmaları sebebi ile görünürlüğü az olan saldırıları ve sonuçlarını halktan gizlemektedir. Bunun yanı sıra mevcut mevzuata uygun olarak yapılan suç duyurularının ilk başvuru süreleri 5 ila 10 gün arasında değişmektedir. Gündemde yer almış ve etkisi yüksek bir örnek olan Yüksek Öğretim Kurulu vakasında kurum sistemi kırıldıktan ve sisteme girildikten 5 gün sonra resmi suç duyurusu yapılabilmiştir. Kurumlarda bulunan sistemlerin bir standardı olmaması ise hangi verilerin çalındığının veya hangi verilerin bozulduğunun tespitini zorlaştırmaktadır. Saldırganların başarılı saldırılarının ekran görüntülerini ve kayıtlarını yayınladığı sitelere (örneğin zone-h.org vb.) bakıldığında, ülkemizde her gün kırılan ve erişilen pek çok kamu sitesi görülmektedir. Fakat çoğu kamu kurum ve kuruluşu kendilerine gelen saldırılar sonrası suç duyurusunda bulunmamaktadır. Geleceğe yönelik etkilerin ve alınacak önlemlerin tespit edilebilmesi için gelen saldırıların kaydının tutulması zaruridir. Bireysel siber güvenlik sayıca daha fazla olsa da etki alanı çok daha dar ve ülke düzeyindeki önemi ulusal önceliklere göre daha az kritik durumdadır. Bu sebeple Türkiye dahil diğer ülkeler de Ulusal Siber Güvenlik düzeyinde çalışmalara öncelik vermiştir. Ulusal Siber Güvenlik ise daha net bir tanım ile “Bireysel, kamu, özel sektör ve uluslararası bilişim sistemlerinden ulusal güvenlik için önemli olanların odaklanmış uygulamalarla güvenliğinin sağlanması” olarak ifade edilebilir. Siber güvenliğin devletleri ilgilendiren yönü, sadece kamu kurumlarına yönelik saldırılarla sınırlı kalmıyor. Ekonomik ve sosyal hayatı ve ulusal güvenliği yakından ilgilendiren kritik altyapılara yönelik tüm saldırılar da siber güvenliğin kapsamına giriyor. Konvansiyonel veya nükleer silahların aksine siber saldırı araçları çok daha ucuza elde edilebiliyor. Dünyanın farklı noktalarındaki kişiler sanal ortamda birlikte hareket edip ortak bir hedefe saldırı düzenleyebiliyorlar. Sanal ortamda saldırganların kimliklerini gizlemeleri kolay olduğu için bu saldırıların izini sürmek de fiziksel ortamlara kıyasla çok daha zordur. Bu açıdan, devletlerarası mücadelelerde de ülkeler başka ülkelerin sistemlerine siber saldırılar düzenlemek için kişileri ve grupları taşeron olarak kullanabilmektedir.
9
Siber saldırıların etki alanı ve tehdit boyutu da giderek daha geniş bir alana yayılmaktadır. Örneğin, 2003 yılında ABD’de yayılan Slammer adlı solucan türündeki zararlı yazılım, Ohio’da bir nükleer santralin güvenlik sistemlerini 5 saat boyunca devre dışı bıraktı. Yine 2003’te elektrik dağıtım yazılımındaki bir hatadan dolayı ABD’nin 8 eyaletinde 50 milyon kişi elektriksiz kaldı. Siber saldırganların profillerine ve motivasyonlarına baktığımızda genel olarak şu tespitleri yapmak mümkündür:
* Hacker olarak adlandırılan bireyler, kendilerini ispat etmek ve parasal kazanç sağlamak için;
* Kendilerini aktivist olarak tanımlayan gruplar, siyasi şov yapmak, birtakım şeyleri protesto etmek veya devletin ve iktidarın itibarını sarsmak için;
* Devletler ise istihbarat toplamak, karşı tarafa zarar vermek veya konvansiyonel savaşlar sırasında elektronik sistemleri devre dışı bırakmak gibi amaçlarla saldırabiliyor.
Siber Saldırılar12 Saldırı Türleri
Amaç
Hedef
Siber Suç
Ekonomik Fayda
Kişisel Kullanıcılar, Firmalar
Siber Korsanlık
Siyasal amaçlar ve değişiklikler, kişisel tatmin
Kurumlar, Devletler
Siber Casusluk
Ekonomik veya stratejik fayda, kritik bilgi kazanımı
Kişisel Kullanıcılar, Firmalar, Devletler
Siber Terör
Siyasal fayda
Devletler
Siber Sabotaj
Siyasal veya ekonomik fayda
Kurumlar, Devletler
Siber Savaş
Siyasal veya askeri fayda
Kritik Altyapıların Bilgi Sistemleri, Askeri Bilgi Sistemleri
12 "TBMM
Bilgi Toplumu Olma Yolunda Bilişim Sektöründeki Gelişmeler ile İnternet Kullanımının Başta Çocuklar, Gençler ve Aile Yapısı Üzerinde Olmak Üzere Sosyal Etkilerinin Araştırılması Amacıyla Kurulan Meclis Araştırması Komisyonu Raporu" (http://www.tbmm.gov.tr/sirasayi/donem24/yil01/ss381.pdf - Erişim: Mart 2013).
10
SİBER GÜVENLİK
Ulusal Siber Güvenlik konusunda yapılan en kapsamlı çalışmalardan biri, NATO tarafından yayımlanan “Ulusal Siber Güvenlik Çerçeve Kılavuzu”dur.13 2012 yılında yayımlanan bu kılavuz her ülkenin ulusal siber güvenlik konusunda yapması gereken çalışmaları kapsamlı olarak ele alırken şu 5 temel noktayı siber güvenliğin planlanmasında karşılaşılan kritik noktalar olarak göstermektedir:
* * * * *
Ekonominin Büyütülmesi / Ulusal Güvenliğin İyileştirilmesi Altyapı Modernizasyonu / Kritik Altyapı Korunumu Özel Sektör / Kamu Sektörü Veri Koruma / Bilgi Paylaşma İfade Özgürlüğü / Siyasal İstikrar
Bu perspektiflerden hareketle, Siber Güç ve Ulusal Güvenlik kavramlarının eşgüdümlü şekilde yönetilmesi gereken iki temel kavram olarak ön plana çıktığı söylenebilir. Devletlerin siber güvenlik stratejileri de her geçen gün birbirlerine benzemekte, benzer tehditleri algılamakta ve benzer önlemleri almaya odaklanmaktadırlar. Bazı ülkelerin bu konudaki devlet politika belgelerinde siber güvenlik alanında kimi benzerlikler yer almaktadır:
Ülke
Belge Türü
Yıl
Almanya
Beyaz Kitap
2006
Uluslararası terörizm, askeriye kurulumu, bölgesel çatışmalar, yasadışı silah satışı, enerji güvenliği, kontrolsüz göç, salgın hastalıklar
Hollanda
Güvenlik Stratejisi
2007
Uluslararası barışın bozulması, terörizm, uluslararası örgütlü suç, siber güvenlik zafiyeti, salgın hastalıklar...
Fransa
Beyaz Kitap
2008
Kitle imha silahları, terörizm, balistik füzeler, siber saldırılar, casusluk, suç şebekeleri..
İngiltere
Güvenlik Stratejisi
2010
Küresel terörizm, İngiltere siber ortamına siber saldırılar, örgütlü suçlar, gaz kaynaklarına saldırı, kritik uydu haberleşmesi...
ABD
Güvenlik Stratejisi
2010
Kitle imha silahları, uzay ve siber uzaydan gelecek tehditler, iklim değişikliği, salgın hastalıklar, küresel suç ağları...
İspanya
Güvenlik Stratejisi
2011
Silahlı çatışmalar, örgütlü suç, enerji zafiyeti, kritik altyapılar, acil durum ve felaketler...
13 National
Örnek Tehdit
Cybersecurity Framework Manual, NATO Cooperative Cyber Defence Centre of Excellence,
Tallinn 2012.
11
Fakat yine uluslararası çalışmalarda dile getirilen bir diğer faktör de, siber güvenlik konusundaki siyasal sahiplenme düzeyinin olması gerekenin altında kaldığıdır. Pek çok ülkede henüz siber güç ve güvenlik önemi yeterince fark edilememiş ve henüz üst düzey yöneticiler tarafından öncelik verilmemiş konular arasındadır. Siber güvenliğin önemi konusunda anlamlı bir örnek, ICT Summit Eurasia 2012 zirvesinde misafir konuşmacı olan ve dünyaca tanınan bilişim güvenliği uzmanı Ralph Lagner tarafından verilmiştir. Lagner bu örneğinde günümüzde bir ülkenin nükleer denizaltı filosu kurabilmek için 90 Milyar Dolar, tam donanımlı bir zırhlı birlik ordusu kurmak için 50 Milyar Dolar ve dolu bir uçak gemisi için 15 Milyar Dolar harcaması gerekirken, herhangi bir ülkenin siber güvenlik altyapısını güçlendirmek için 1 Milyar Doların yeteceğini belirtmiştir. Ana vurucu nokta olarak ise küçük bir ülkenin 100 Milyon Dolar ile tam ölçekte güçlü bir saldırı gerçekleştirebileceğini veya daha kolay bir yöntem ile bir siber korsan çetesi kullanarak, 5 Milyon Dolar ile tek vuruşluk, fakat çok tesirli bir saldırı gerçekleştirip önemli hasarlara sebep olabileceğini belirtmiştir.14 Siber güvenlik bu bakımdan terör saldırıları ile aynı karakteristik özellikleri taşımaktadır. Ne zaman ve ne yöntem ile geleceği belirsiz, gerçekleştirmesi çoğu zaman ucuz ve kolay, savunması da bir o kadar zor bir saldırı türüdür. Bıraktığı tahribat fiziksel olarak etkili olduğu kadar halk ve devlet düzeyinde de moral yıkımı güçlü olabilecek bir yöntemdir. Siber terörizmin yapabileceklerini temel olarak üç başlıkta gruplandırmak mümkündür: Basit ve Koordinasyonsuz: Küçük grupların temel bazlı yöntemleri kullanarak karşılarındaki organizasyona yönelttikleri saldırılardır. Hedef analizi, hedefin yönetim yapısı veya öğrenme kabiliyeti konusunda araştırma azdır. Gelişmiş ve Koordinasyonsuz: Daha karmaşık yöntemlerle belirlenmiş hedeflere karşı yapılan daha profesyonel saldırılardır. Yine de bu tür saldırılar hedefin iç yapısı veya oluşacak etki konusunda planlı veya koordine değildir. Gelişmiş ve Koordine: Birden çok noktadan, örgütlü ve koordinasyon içerisinde hedefe karşı nokta atışı saldırılar yapılan, hedef hakkında önceden bilgi edinilen ve öğrenme kabiliyeti olan saldırılardır.15 Siber terörizmin hedefi kamu hizmetlerini aksatmak olduğu sürece sonuçları karşılanabilir, tahmin edilebilir ve önlem alınabilir düzeydedir. Fakat bilgi ve iletişim teknolojilerinin nüfuz ettiği alan arttıkça ve kontrol ettiği sistemler genişledikçe tehdidin boyutu da büyümektedir. 2001 yılında Avustralya’da su idaresine iş başvurusu yapan bir adayın talebinin reddedilmesi üzerine elektronik sistemlere saldırı yaptığı ve kontrolü ele geçirerek 800.000 litre kanalizasyon suyunu ana içme suyu şebekesine yönlendirdiği vakayı hatırlarsak bugün bu tehdidin hangi düzeyde olduğunu tahmin etmek mümkündür. 14 Ralph Lagner, "Ulusal Bilgi Güvenliği ve Siber Savaşlar Konferansı Sunumu" (Savunmada Bilişim - ICT Summit Eurasia 2012). 15 Dorothy E. Denning, "Siberterörizm," ABD Temsilciler Meclisi Silahlı Kuvvetlere Terör Saldırıları Araştırma Komitesi İfadesi Georgetown Üniversitesi (Mayıs 2000).
12
SİBER GÜVENLİK
Siber güvenliğin asgari düzeyde sağlanması için alınması gereken önlemler görece olarak basittir. Kamunun bilgi güvenliği politikalarının uygulanması (temiz masa, yetkili kişinin bilgiye erişmesi vb.), insan kaynağı politikalarının siber güvenlik gözetilerek yeniden ele alınması, bilişim sistemlerinin kurulum ve işletiminde uygulanacak temel usul ve esasların belirlenmesi ve sürekli denetim gibi birkaç önlem sayesinde temel düzeyde bir siber güvenlik sağlanabilir. Fakat dünyadaki diğer ülkelere baktığımızda, onlarda da bu önlemlerin alınmasında gecikmeler olduğu, gecikmelerin temel sebepleri arasında da bürokratik yapının yavaşlığının geldiği görülmektedir. Örneğin ABD’de kritik altyapıların siber saldırılardan korunmasına dair ilk yol haritası ve uygulama planını içeren genelge, ABD Başkanı Barack Obama tarafından 2013 yılı Şubat ayında yayınlanmıştır.16
16 Beyaz Saray Basın Sekreterliği Yayını - Executive Order - Improving Critical Infrastructure Cybersecurity (http://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructurecybersecurity - Şubat 2013).
13
C. Buluttaki Veri - Siber İstihbarat
Siber istihbarat, kapsam olarak siber güvenlik tehditlerinin izlenmesi, analiz edilmesi ve durdurulması ile başlar. Bu tip istihbarat, fiziki casusluk ile modern bilgi teknolojilerini kullanan siber çalışmaların bir karışımıdır. Siber istihbarat aynı anda hem siber saldırıların önceden belirlenmesi ve izlenmesini, hem ülkenin siber ortamdan da günlük istihbaratını alabilmesini, hem de bu ortamda gelecek saldırılara karşı istihbarat faaliyetleri yürütebilmesini içerir. Çeşitli siber istihbarat çalışmaları virüslerle, korsanlarla ve hassas bilgileri çalmak amacı ile İnternet üzerinde bulunan teröristlerle savaşmaya yardımcı olur. Terör tehditlerini analiz edebilmek siber istihbaratın başka bir önemli yönüdür. Sayısal ortamda bu yönde bilgi toplanması, geleneksel istihbarat ve casusluk tekniklerine benzer. Üçüncü taraf kaynaklara başvurarak, muhbirler kullanarak veya siber tehditlerin belirlenmesine yardımcı birçok bağımsız şirketten birisi ile çalışarak bu verileri toplamak mümkündür. Fakat veri toplamanın ilk adımı toplamanız gereken verileri ve bunların nasıl bir tehdit oluşturduğunu bilebilmektir. Mobil cihazların sağladığı yer tespiti kolaylığı ile mobil ve sabit iletişim şebekelerinin sağladığı dinleme kolaylıkları, siber istihbaratın 2000’li yıllardaki başlangıç noktalarını oluşturmuştur. Türkiye’de Kişisel Verilerin Korunumu Kanunu henüz yasalaşmadığı için kişisel verilerin toplanması, işlenmesi ve saklanması ek geçici çözümler ile yürütülmeye çalışılmaktadır. Sağlık, e-Ticaret ve elektronik haberleşme alanında sektörel düzenlemeler yer almakta, fakat yeterli olmamaktadır. Bankaların, kargo şirketlerinin ve mağazaların topladığı kişisel verilerimizin hangi işler için toplandığını, kimlere ulaştığını göremediğimiz günümüzde, Türkiye bu konudaki yasal düzenlemelerin eksikliği sebebiyle diğer ülkelerden daha yüksek bir riske maruz durumdadır. Bu riskin temel bir bileşeni, tüm Türkiye vatandaşlarını adreslemiş bulunan, küresel alanda başarılı bir proje olan MERNİS projesidir. TC Kimlik Numaraları ile tüm kamu hizmetleri kolaylaşmış, ABD veya İngiltere gibi ülkelerin ulaşamadığı bir entegrasyon düzeyi sağlanmıştır. Fakat hayatı kolaylaştıran bu imkân, verilerin akışı ve saklanışı kontrol edilmediği zaman aynı büyüklükte bir risk oluşturmaktadır. Kimlik hırsızlığı olayının giderek yaygınlaşması sebebiyle bu konudaki önlemler acilen alınmalı ve Türkiye vatandaşlarının kişisel bilgileri korunmalıdır. Geçmişte kan örnekleri konusunda yaşanan tartışmalarda da benzer bir konunun gündeme geldiğini hatırlamak gerekir.
14
SİBER GÜVENLİK
Kan örneği, temel olarak DNA zinciri dizilimini ve daha pek çok bileşeni içeren bir kişisel veridir. Bu verilerin toplu olarak edinildiğinde oluşturabileceği zararı ise hesap etmek oldukça güçtür. ABD’nin Ocak 2012’de açıkladığı yeni Askeri Stratejisi, ABD’nin yeni gelişme ve etki politikalarının ne kadarının siber ortama bağımlı olduğunu şu şekilde göstermektedir:
Politika Alanı
Teknolojiye Bağımlılık Oranı
Politika Ekseni ve Siber Ortam İlişkisi
Güçlü İstihbarat
%45
Siber istihbarat toplanması ve analizi
Güçlü Diplomasi
%35
Siber diplomasi koordinasyonu ve diğer ülkelerle işbirliği
Güçlü Ekonomi
%30
Siber güvenlik ürünlerinin ve hizmetlerinin geliştirilmesi ve ekonomiye katılımı
Güçlü Teknolojik Kabiliyet
%65
Bilişim alanındaki teknoloji ve yenilikçiliğin geliştirilmesi
Siber İmkânların İyileştirilmesi
%100
Siber savunma, saldırı ve istihbarat ile ilgili tüm çalışmalarSistemleri
Kaynak: Kevin G. Coleman, "Cyber Intelligence: Cyber's Role In 21st Century Military Transformation" (http://gov.aol.com/2012/01/09/cyber-intelligence-cybers-role-in-21st-century-military-transf - Erişim Mart 2013).
15
ABD Savunma Bakanlığı, Çin Tarafından Yapılan Saldırıların Amerikan Ekonomisi İçin Önemli Bir Risk Olduğunu Belirtiyor.
Bakanlık tarafından yapılan açıklamada, tüm saldırılar Çin’den gelmese de, siber istihbarat girişimlerinin önemli bir kısmının bu ülkeden kaynaklandığı belirtildi. “Çin ekonomik istihbarat alanında dünyanın en aktif ve ısrarcı saldırganlarına sahip.” Bu açıklama, ABD Savunma Bakanlığı’nın Kongre’ye 2012 yılında sunduğu raporda yer alıyor. Aynı raporda yer alan bir başka tespit ise şu şekildedir: “Çin tarafından ABD’nin teknolojik ve ekonomik verilerinin edinilmesine yönelik girişimler her geçen gün artan bir yoğunluk ve ısrarla devam ediyor. Bu girişimler ABD için büyüyen bir ekonomik tehdit oluşturuyor.” Çin devletinin iddiaları kabul etmemesine rağmen, ABD’li güvenlik uzmanları ülkelerinin hassas ekonomik verileri ile teknoloji şirketlerinin; yabancı istihbarat servislerinin, özel sektör şirketlerinin ve akademik araştırma enstitülerinin hedefi durumunda olduğunu belirtiyor. Uzmanların ABD Kongresi'ne sunduğu rapora göre Çin agresif veri toplayıcı rolünü devam ettirecek ve siber ortamda pekiştirecektir. 17 ABD’de izleme ve istihbarat çerçevesinde Merkezi Haberalma Teşkilatı (Central Intelligence Agency, CIA) ve Ulusal Güvenlik Ajansı'nı (National Security Agency, NSA) işbirliği altında İstihbarat Toplumu – Vaka Tepki Merkezi (Intelligence Community – Incident Response Center, IC-IRC) ve Ulusal Güvenlik Kuruluşu Tehdit Operasyonları Merkezi (NSA/CSS Threat Operations Center, NTOC) gibi kuruluşlar görev almaktadır. Bu konuda alınan radikal önlemlere bir örnek, Çin’in iletişim ağı cihazları üreten iki büyük firması olan Huawei ve ZTE firmalarının ürünlerinin ABD’de kullanımını değerlendiren bir ABD Kongresi çalışmasıdır. Bu firmaların Çin’e siber istihbarat sızdırdığına veya ABD ağlarında bir siber tehdit oluşturduğuna dair herhangi bir bulgu olmamasına rağmen, kurulan kongre araştırma komitesi bu ürünlerin kullanılmaması ve ABD menşei olan ürünlerin tercihine yönelik tavsiye kararı niteliğinde görüş sunmuştur. Avusturalya, yakın zamanlarda, tüm ülkenin iletişim altyapısının yenilenmesi projesi için en avantajlı fiyatı sunmasına rağmen, 37,5 Milyar Dolar hacimli bu işi Huawei firmasına vermemiştir.18 Bu örnekte görüldüğü üzere, bazı ülkeler siber istihbarata karşı iletişim ağlarında oluşabilecek riskleri yabancı firmaları dışlayarak azaltmaya çalışmaktadırlar. Türkiye uzun yıllar elektronik haberleşme güvenliği ve elektronik harbe karşı korunma kapsamında siber istihbarata karşı korunma konusunda da çalışmıştır. 17 ABD
Savunma Bakanlığı Açıklaması, Reuters Haberi, 19 Mayıs 2012 (http://www.reuters.com/article/2012/05/19/us-usa-china-military-idUSBRE84I06X20120519 Erişim: Mart 2013). 18 Reuters’in
Huawei’nin Avusturalya’da Yasaklanması Haberi (http://www.reuters.com/article/2012/03/29/usaustralia-huawei-idUSBRE82S06L20120329 - Erişim: Mart 2013).
16
SİBER GÜVENLİK
Milli Savunma Bakanlığı tarafından kamu kurum personeli eğitimden geçirilmiş ve NATO standartlarında ürün ve hizmet tedarikine ağırlık verilmiştir. Son yıllarda ise istihbarat kuruluşlarımızın bilişime giderek artan önemi verip bu konunun ivediliğini görerek yatırım ve eğitimleri hızlandırması takdir edilmelidir. Artık özel sektörün dahi işe alımlarda personel adayının sosyal medyadaki geçmişini kontrol ettiği bir dönemde, ister kritik kamu verilerinin, ister teknik ar-ge verilerinin, isterse de ülke koruması altında olması gereken kişisel verilerin istihbarat birimlerince korunması artık devletin görevleri arasına girmiştir. Kolluk kuvvetleri ile yakın işbirliği içerisinde yürütülmesi gereken operasyonlara, meşhur aktivist grup Anonymous’ın önde gelen üyelerinin ABD’de yakalanması örnek gösterilebilir. Anonymous’ın korsan saldırılar yürüten alt gruplarından biri olan LulzSec’in önde gelen bir üyesinin teşhis edilmesi sonrasında bu kişi ile gizlice anlaşma yapılması, aylarca süren gizli operasyon akabinde grubun kalan üyelerinin de yakalanması başarılı bir işbirliğinin sonucudur.19 Bu örnek, saldırıların müstakil saldırılar olarak değil, örgüt çalışması olarak ele alınmasının ve uzun süreli, sabırlı bir operasyon yürütülmesinin siber ortamda da gerekli olduğunu göstermiştir.
İstanbul Emniyeti Organize Suçlarla Mücadele Şube Müdürlüğü tarafından devletin güvenliğine ilişkin belgeleri sızdırmak suçlamasıyla 2010 yılı Ağustos ayında başlatılan, “Askeri casusluk ve şantaj davası” olarak yürütülen dava, daha çok Heron insansız hava araçları ile ilgili olarak görülmüştü. Fakat bu soruşturmada yer alan bazı telefon görüşmeleri ve ses kayıtları, sorunun çok farklı boyutlarda olduğunu göstermektedir. Askeri belgeleri ele geçirmek isteyen şebeke “e-Devlet” projesi ile ilgili planlar da yapmıştı. E-Devlet projesinin isminin karşısına ise “Kesinlikle içinde olmalıyız” notu düşülmüştü. Ocak 2013’te RedHack isimli grubun Yüksek Öğretim Kurumu’nun elektronik belge yönetim sistemine sızması sonrasında ortaya çıkan resmi yazışmalar da benzer bir sorunu tekrar gündeme getirdi. Özellikle hizmete özel, gizli ve daha üst düzeydeki kamu bilgi ve belgelerinin korunması, fiziksel ortama kıyasla elektronik ortamda daha yüksek risk taşımaktadır. Belgelerin kopyalanması, yayımlanması çok daha hızlı yapılabilmekte ve sosyal medyanın hızlandırıcı etkisi ile bu tür girişimler geçmişe kıyasla çok daha hızlı sonuç üretmektedir. Bu tür girişimlerin sonuçlarının siyasi alanda kullanımı da her geçen gün aynı hızla yaygınlaşmaktadır.
19
Daily Mail Gazetesi Haberi (http://www.dailymail.co.uk/news/article-2111020/Top-members-hacking-groups-Anonymous-LulzSec-arrestedleader-Sabu-turns-in.html - Erişim: Mart 2013).
17
D. Beşinci Cephede Savaşlar – Siber Saldırı
Bu veriler ışığında, kara, deniz, hava ve uzayın ardından siber uzayın da ABD Başkanı tarafından “beşinci cephe” ilan edilmesi doğal bir gelişme olarak değerlendirilmektedir. Ancak beşinci cephenin diğerlerinden farklı özellikler arz ettiğini de unutmamak gerekir. Şöyle ki, siber uzayı kullanarak bir bilgi sistemine ulaşmak kara, hava veya uzaydan ulaşmaktan çok daha kolay ve masrafsızdır. Ayrıca siber ortamdan gelen tehditlerin kaynağını belirlemek, zaman zaman son derece zor olabilmektedir. Siber uzayda şu ana kadar yaşanan olaylar göz önünde bulundurulduğunda, tehlikenin ne kadar büyük olduğu rahatlıkla görülebilir. Ulusal bilgi sistemlerine veya kritik altyapı sistemlerine siber uzay üzerinden yapılacak saldırıların ekonomik boyutta vahim sonuçlar doğurabileceği, kamu düzenini bozabileceği ve ulusal güvenliği sekteye uğratabileceği değerlendirilmektedir.
18
SİBER GÜVENLİK
Siber ortamda gereken durumlarda saldırı yapılması konusunda sorumluluk, hedeflerin niteliğine ve saldırının amacına göre farklı kurumlarda bulunmalıdır. Düşman ülkelerin siber saldırı potansiyelleri, ulusal ve uluslararası hacker gruplarının tespiti ve takibi gibi konuların güvenlik kurumlarınca ele alınması gerekmektedir. Bir savaş halinde askeri bilgi sistemlerini hedef alacak siber saldırıların silahlı kuvvetler birimlerince yapılması gereklidir. Siber saldırı kavramı normal askeri saldırı kavramından ayrı tutulmamalı; siber saldırının sadece düşmandan gelebilecek olası siber saldırılara karşı bir eylem olarak düşünülmeyip normal bir saldırıda da kullanılabilecek ana veya tamamlayıcı bir unsur olarak ele alınması gerektiği değerlendirilmelidir. Herhangi bir ülkenin kritik bilgi sistem altyapılarının hedef alınmasının, can ve mal kaybının hem askeri hem sivil kesimi etkilemesi açısından uluslararası savaş hukukunun ilkelerine aykırı olacağı değerlendirilmektedir. Savaş halinde savaş suçlarının da işlenebileceğinden hareketle, Türkiye’nin kritik altyapı güvenliğini öncelikli olarak sağlaması, ilave olarak kendisine yapılan saldırılarla ilgili delil üretmek üzere kritik altyapı sistemlerini mükemmelen çalışan kayıt sistemleri ile izlemesi gerekir. Kayıt sistemleri aracılığı ile Türkiye’nin kendisine yapılan saldırının doğrudan ve dolaylı etkilerini ve saldırının nereden yapıldığını doğru olarak belirleme kabiliyetine sahip olması şarttır. Aksi halde, meşru müdafaa hakkının kullanılması bile mümkün olmayabilir. Siber saldırılar 2000’li yıllardan itibaren artmaya ve yaygınlaşmaya başladı. 2007'de Rusya tarafından Estonya'ya uygulanan siber saldırılarda 20 gün boyunca Estonya halkı bankacılık işlemlerini gerçekleştirememiş, ayrıca devlet kurumlarının web sayfaları kullanım dışı bırakılmıştı. 20 Bu saldırılarda:
* * * *
Kamu İnternet siteleri devre dışı bırakıldı, Parlamento üyelerine spam saldırıları yapıldı, İnternet servis sağlayıcılar devre dışı bırakıldı ve Finans hizmetleri durdu
Estonya, elektronik altyapısını felç eden bu saldırılara savunmasız ve hazırlıksız yakalandı. Son yıllardaki en önemli siber saldırılardan birinde, 2010 yılında İran’daki nükleer tesislere bulaşan Stuxnet yazılımı ile nükleer program sabote edildi. Doğrudan Natanz Uranyum zenginleştirme laboratuvarlarını hedef alan bu saldırıda 1000’den fazla santrifüj devre dışı bırakıldı. Stuxnet’in İran’ın nükleer faaliyetlerinde 3 yıllık bir gecikmeye yol açtığı tahmin ediliyor. Bu saldırı, saldırganların artık sadece hackerlar olmadığını, ülkelerin de siber silahlar geliştirmek için faaliyetlerde bulunduğunu göstermiştir. Stuxnet saldırısı, siber ortamdaki saldırıların fiziksel dünyada da ne derece etkili olduğunu göstermesi bakımından bir dönüm noktasıdır. 20
Häly Laasme, "Estonia: Cyber Window into the Future of NATO" (http://www.ndu.edu/press/lib/images/jfq-63/JFQ63_58-63_Laasme.pdf - Erişim: Mart 2013).
19
Kullanılan yazılımın karmaşıklığı ve maliyeti bakımından ele alındığında, bu saldırının ancak ABD ya da İsrail veya bu iki ülkenin işbirliği ile yapılmış olabileceği öne sürülmektedir.21 Bu anlamda konvansiyonel savaşla siber savaşın aynı anda farklı cephelerde devam ettirildiğini de söylemek mümkündür. Uluslararası ilişkiler, uluslararası hukuk ve milli savunma stratejileri konusunda çalışan düşünürler ve bürokratlar arasından bu konuları siber güvenlik açısından ele alabilecek bilgi ve donanıma sahip kişilerin yetiştirilmesi çok önemlidir. Bu kişilerin siber savunma ve uluslararası siber güvenlik hukuku konularında fikir, politika ve strateji üretmelerine çok fazla ihtiyaç bulunmaktadır. Bu sebeple, Mili Savunma Bakanlığı, Dışişleri Bakanlığı ve Türk Silahlı Kuvvetleri’nde söz konusu alanlarda uzmanlığa sahip personel istihdam edilmeli ya da mevcut personelin bir bölümünün bu uzmanlık bilgilerine sahip olması sağlanmalıdır. Özellikle NATO açısından ele alındığında ”siber saldırı”ların çok ciddiye alındığı anlaşılmaktadır. 2010'da Lizbon zirvesinde balistik füze tehditleri ve siber saldırılar en önemli konu başlıklarından biriydi. Ayrıca yapılan açıklamada, saldırıların artık organize suç örgütleri ile devletlerin istihbarat kuruluşları ve orduları tarafından da yapıldığına dikkat çekildi. 21 David E. Sanger, “Obama Order Sped Up Wave of Cyberattacks Against Iran,” New York Times, 1 Haziran 2012 (http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html - Erişim: Mart 2013).
20
SİBER GÜVENLİK
Bunun yanı sıra Estonya’da 2008 yılında NATO bünyesinde Müşterek Siber Savunma Mükemmeliyet Merkezi kuruldu. ABD ise 2003'te bir siber güvenlik strateji belgesi oluşturarak hızlı bir şekilde bunu uygulamaya koydu. Ülkede siber güvenliği sağlamak amacıyla İçişleri Bakanlığı bünyesinde bir siber güvenlik birimi kuruldu. Ayrıca Başkan'a doğrudan bağlı bir siber güvenlik koordinatörü de görev yapmaktadır. 2010 yılında ise Savunma Bakanlığı bünyesinde orgeneral seviyesinde bir siber komutanlık kuruldu. U.S. Cyber Command isimli bu birimin resmi görev tanımı, Savunma Bakanlığının siber uzaydaki operasyonlarını planlamak, koordine etmek, eşgüdümü sağlamak, savunma ve savaş teknikleri geliştirmek ve bağlı tüm ağ ve sistemleri yönetmek şeklinde ifade edilmektedir (www.armycyber.army.mil). 2011'de ABD Savunma Bakanlığı'nın bir açıklamasında şu ifadeler yer alıyordu: "Ülkemize bir siber sabotaj yapılırsa bunu savaş sebebi sayarız." Ülkelere bakıldığında siber güvenliği sağlama görevinin çeşitli birimler tarafından üstlenildiği görülüyor. ABD'de İçişleri Bakanlığı, İngiltere ve Rusya'da istihbarat örgütü, Çin'de Bilgi Endüstrisi Bakanlığı (Ulaştırma Bakanlığı), Almanya'da İçişleri Bakanlığı, Japonya'da Başbakanlık, Fransa'da ise Savunma Bakanlığı bu görevleri üstleniyor. Ancak Türkiye'de henüz bu kapsamda hizmet veren bir birim oluşturulamadı. Daha çok Ulaştırma Bakanlığı bünyesinde yürütülen teknik çalışmalar göze çarpmaktadır. Aynı zamanda Türkiye’de yaşanan siber saldırılarda son yıllarda büyük bir artış söz konusudur. Sadece Haziran 2011’den bu güne onlarca siber saldırı olayı kamuoyuna yansımış durumdadır. Saldırıların sıklığı ve hedeflerine bakıldığında sürekli, giderek yoğunlaşan ve yakın bir tehdit altında olduğumuzu söyleyebiliriz. Siber saldırıya uğrayan kurumlar arasında:
* * * * *
Dışişleri Bakanlığı, İçişleri Bakanlığı, Ankara Emniyet Müdürlüğü, Bilgi Teknolojileri ve İletişim Kurumu, TÜBİTAK ve Yüksek Öğretim Kurulu
gibi önemli kamu kurumları yer almaktadır. Bu siber saldırılar yoluyla saldırganlar hem kamu hizmetlerini engellediler, hem de devlete ve kişilere ait bilgileri yayımlayarak milli güvenliği tehlikeye attılar. Kamunun güvenilirliğinin etkilenmesi, sistemlerdeki düzeltmelerin ekonomik etkisi gibi pek çok kayıp ise tespit edilebilmiş değildir. Netice olarak ülkemizin muhatap olduğu siber saldırıların protesto amaçlı aktivizm hareketlerinden giderek teröre doğru kaydığını ve radikalleştiğini söyleyebiliriz. Saldırılar bireysel ve ekonomik çıkarlardan istihbarat toplama, altyapıları durdurma veya zarar verme yönüne doğru kaymaktadır.
21
Arap Baharı ve Sosyal Medya
Sosyal medyanın gücü son olarak Arap Baharı'nda gözlemlenmiş, isyan silsilesi kısa süre içerisinde tüm Kuzey Afrika ve Orta Doğu'ya yayılarak Tunus, Mısır ve Libya'da hükümetleri devirmiştir.22 3 milyondan fazla tweet, gigabaytlarca Youtube içeriği ve binlerce blog gönderimini analiz eden yeni bir araştırma, sosyal medyanın Arap Baharı sırasında siyasal çekişmeleri şekillendirmede merkezi bir rol üstlendiğini ortaya koyuyor. Mısır başkanı Hüsnü Mübarek’in istifasını sunmasından önceki haftada tweet oranları günde 2.300’den 230.000’e ulaşırken, zirvedeki 23 Youtube videosu yaklaşık 5,5 milyon görüntülenme sayısına erişmiştir. İsyanın Tunus’tan Mısır’a sıçramasının akabinde sosyal medya üzerinden örgütlenmeye başlayan halkı durdurmak için Mısır hükümeti Twitter’a erişimi engellemiş, ayrıca Facebook, Yahoo ve Google’a erişimi de önemli ölçüde kısıtlamıştır. 28 Ocak 2011’de Mısır hükümeti İnternete erişimi kesmiş ve cep telefonu şebekelerinin kapatılmasını emretmiştir. Hükümetin sosyal medyaya karşı yürüttüğü operasyonlar nihayetinde başarısızlıkla sonuçlanmış ve 11 Şubat 2011 tarihinde Mısır Devlet Başkanı Hüsnü Mübarek istifa etmek zorunda kalmıştır.23
22
Cihan Çildan, Mustafa Ertemiz, H. Kaan. Tumuçin, Evren Küçük, Duygu Albayrak, "Sosyal Medyanın Politik Katılım ve Hareketlerdeki Rolü" (Akademik Bilişim Konferansı, Uşak: Şubat 2012). 23 O’Donnel, C. “New study quantifies use of social media in Arab Spring” ScienceDaily. Erişim 5 Ocak 2012, http://www.washington.edu/news/articles/new-study-quantifies-use-of-social-media-in-arab-spring (2011).
22
SİBER GÜVENLİK
Savaş 2.0 (War 2.0 )
ABD’nin askeri müdahalede bulunmak istediği bir ülkedeki memnuniyetsizliğin sosyal medyada yol açabileceği örgütlenme ve ayaklanmaları otomatik olarak, anlık bazda tespit edebilen bir bilgisayar programı hayal edin. Bu program DARPA tarafından 2011 yılında başlatılan “Stratejik İletişimde Sosyal Medya” projesinin temel fikridir. 24 DARPA (Defense Advanced Research Projects Agency) ABD’de 1958 yılında kurulmuş bulunan ve Savunma Bakanlığına bağlı olarak çalışan bir ar-ge kuruluşudur. Geçmişte geliştirdiği teknolojiler ise başarısının bir imzasıdır: İnternet, görme özürlüler için yapay kameralar, pasif radar teknolojisi, şu anda en yaygın kullanılan insansız hava araçları olan Predator’lar, insansız denizaltılar ve son bir yıldır Çin’in üstündeki bir yörüngede dolaşan X-37 insansız yörünge uçağı. Bu kurumun tesisindeki amaç ABD’nin diğer ülkelerden gelebilecek teknolojik sürprizlere maruz kalmaması, aksine kendisinin bu tür sürprizler yapabilmesidir. Bu proje ile DARPA’nın amacı sosyal medya ağları kurabilmek, sosyal medya üzerindeki güç oluşumunu incelemek, Twitter, Facebook ve benzeri ağlar üzerindeki kullanıcı davranışlarını izleyerek tepki süreleri ve örgütlenme modellerini sayısal olarak belirlemek ve bunları gerektiğinde otomatik olarak yönlendirebilmektir. Pentagon tarafından yapılan açıklamada bu proje sonuçlarının yalnızca Anti-Amerikan hareketlerin tespitinde kullanılacağı söylense de, iletişim uzmanları farklı görüşler beyan etmekte ve şimdiden projeye “Sosyal Propaganda Makinesi” adını vermektedirler. Birkaç şahsın veya devletlerin ürettiği geleneksel propagandanın aksine, sosyal medya propagandası binlerce kişi ve on binlerce mesaj ile çalışabilmektedir. Program teknik olarak kümelenme analizleri ve köşelerin (uç noktaların) tespiti yöntemleri ile çalışarak mühendislik ilkelerini sosyal mühendisliğe uygulamaktadır. Uygulamanın istihbarat amaçlı kullanımına yönelik bir açıklamada ise projenin terörist hücrelerin, direnişçi grupların ve diğer devlet dışı aktörlerin takibine imkân tanıyacağı söylenmekteydi. Bu proje ile toplanan verilerin ABD yapımı Nexus 7 telefonlardan da elde edildiği ve Afganistan’daki çatışmalara destek olduğu, kurum başkanı tarafından detay verilmeden belirtilmiştir.25
24
M. Papic ve S. Noonan, “Social Media as a Tool for Protest ” (Stratfor Global Intelligence. Erişim 25 Kasım 2011). 25 "Exclusive: Inside Darpa’s Secret Afghan Spy Machine," Noah Shachtman, Wired Dergisi Haberi, (http://www.wired.com/dangerroom/2011/07/darpas-secret-spy-machine/ - Erişim Mart 2013).
23
E. Kale Duvarlarının Yerini Alan Güvenlik Duvarları - Savunma
Siber ortamdan kaynaklanan saldırılar ile istihbarat ve karşı istihbarat faaliyetleri bu kadar artmışken elbette savunmadan sorumlu kurumlar da konuyu öncelikleri arasına alıyorlar. Hemen her ülke, son yıllarda artan bir hızla siber savunma yatırımlarına ve organizasyonlarına ağırlık vermektedir. Siber saldırılar artık çağımızda ülkelerin ulusal tehdit algılamalarında da üst sıralara çıkmış durumda. 2000’li yıllarla birlikte birçok ülke Ulusal Siber Güvenlik Stratejilerini yayınlayarak eylem planları yapıyorlar. 11 Eylül saldırıları sonrasında ABD 2003 yılında ulusal siber güvenlik stratejisini yayınladı. Takip eden yıllarda 2008’de Estonya, Finlandiya, Slovakya, 2010 yılında Japonya ve 2011 yılında Çek Cumhuriyeti, Fransa, Almanya, Kanada, Hollanda ve İngiltere gibi ülkeler de strateji belgelerini yayımladılar. Ülkeler giderek siber savunmaya daha fazla kaynak ayırıyor. Örneğin İngiltere 2010-2013 planlamasında siber güvenliğe 4 yıl için 1 milyar USD bütçe ayırdı. ABD ise yalnızca 2013 yılı için 800 milyon USD bütçe tahsis etti. Bu tehditlere karşı ABD savaş stratejisini de değiştirmeye başladı. Yukarıda belirtildiği gibi 2011 yılında siber saldırıları savaş sebebi sayacağını ve aynı yöntemle veya askeri müdahale ile karşılık vereceğini duyurdu.26 Avrupa Birliği geçmişte Lizbon Stratejisi ile önce 2005’e kadar planlanan ve sonrasında i2010 adı ile genişletilerek uygulanan eylem planları ile daha çok Bilgi Toplumu ve Medya başlığında ele aldığı, siber ortamın yaygınlaşması konusundaki 2020 hedeflerini belirlerken daha geniş bir çerçeve çizdi. 2010 yılında kabul edilen Avrupa 2020 Stratejisi Sayısal Gündeminde de siber güvenlik konusu üst sıralarda yer bulmuş durumda. 2020 Sayısal Gündemi kapsamında belirlenen 101 eylem adımından 14’ü siber güvenlik ile ilgili. Bu eylemler arasında:
* * * * * *
Güçlü bir bilgi güvenliği politikasının oluşturulması, Avrupa siber suçlar platformunun kurulması, İlgili düzenlemelerin genişletilmesi, Yasadışı İnternet içeriğinin raporlanması, Siber Olaylara Müdahale Birimleri kurulması ve Üye ülkelerde siber saldırı tatbikatlarının yürütülmesi
gibi önemli tedbirler sıralanmaktadır.
26
"Siber Saldırı – Savaş Sebebi," The Wall Street Journal Haberi 30.05.2011 (http://online.wsj.com/article/SB10001424052702304563104576355623135782718.html#ixzz1NwErjZtY – Erişim: Mart 2013).
24
SİBER GÜVENLİK
Amerika Birleşik Devletleri’nde askeri bilgi sistemlerine ilişkin savunmanın yine askeri kurumlar tarafından gerçekleştirildiği, kamu kurumlarına ve kritik altyapı sistemlerine ilişkin savunmanın ise İç Güvenlik Bakanlığı (“Department of Homeland Security”) tarafından yönetildiği görülmektedir. İç Güvenlik Bakanlığı, 2012 tarihli Siber Savunma Kanunu ile (“Cybersecurity Act of 2012”) korunması gereken en kritik altyapıları belirleme yetkisi ile donatılmıştır. Kanun uyarınca, kritik altyapıları işleten kurumlar belirlenen güvenlik kriterlerini sağlamak için gereken önlemleri alacaklardır. Kritik altyapıları işleten firmaların güvenlik kriterlerinin belirlenmesi sürecinde yer alması, böylece uygulama aşamasında yaşanabilecek problemlerin bu aşamaya gelinmeden bertaraf edilmesi öngörülmektedir. Siber Savunma Kanunu
* Hükümetle özel sektör arasında siber tehditlere ilişkin bilgi akışının sağlanması,
* Kamu kurumlarının bilgi sistemleri tedarikine ilişkin sözleşme sürecinde uyması gereken kuralların belirlenmesi,
* Kamu kurumlarının siber güvenlik rollerinin netleştirilmesi, Savunma Bakanlığı ile İç Güvenlik Bakanlığı arasındaki dayanışmanın kuvvetlendirilmesi ve bileşik Ulusal Siber Güvenlik Merkezi’nin oluşturulması,
* Kamuda siber güvenlik konusunda yetkin personelin istihdam edilmesi ve
* Siber güvenlik konusunda Ar-Ge faaliyetlerinin koordinasyonu konularında da düzenlemeler getirmektedir.
25
Karşı atak ve Ordu Ağı Savunması sürecinde ise Savunma Bakanlığı'na bağlı (Department of Defense) Birleşik İş Gücü – Küresel Ağ Operasyonları (Joint Task Force – Global Network Operasyonları) başkanlığında çalışmalar yürütülmektedir. Ocak 2013’te ABD Savunma Bakanlığı, Siber Ordu birimi olarak görev yapan “Cyber Command“ biriminin norm kadro sayısını 900’den 4.900’e çıkartarak bu alandaki genişlemenin öncülerinden olduğunu göstermiştir. Bu personel asker ve sivillerden oluşmakta ve birebir saldırı sistemlerinin geliştirilmesi ve yürütülmesinde görev almaktadır. Yapılan açıklamada ABD Savunma Bakanı görevli sayısındaki artışın amacının ABD’ye yönelik yakın tehditlere karşı askeri operasyonların yürütülmesi olduğunu belirtmiş ve siviller düzeyinde bir siber güvenlik çalışması yürütülmeyeceğini belirtmiştir. Söz konusu siber ordu biriminin ABD’de Merkezî Haberalma Teşkilatı’na (CIA) bağlı Ulusal Güvenlik Ajansı (NSA) ile aynı ofis ve binalarda bulunduğunu ve çalışmaları çok yakın işbirliği içerisinde yürüttüklerini belirtmek gerekir. Türkiye’nin bu konuda henüz başlangıç düzeyinde olduğu hatırlanmalıdır. Tek bir cephesi olmayan bu yeni alanda Türkiye tarafından yalnızca siber savunma yetenekleri değil, uluslararası düzeydeki ticari istihbarat kabiliyetleri de geliştirilmeli, doğrudan veya gizli saldırı imkânları oluşturulmalı ve sahada test edilmelidir.
26
SİBER GÜVENLİK
F. Sanal Dünya Haritasında Türkiye Nerede Duruyor?
Ulusal Siber Güvenlik konusunun Türkiye gündemine somut biçimde geldiği ilk tarih, 27 Ekim 2010’dur. Milli Güvenlik Kurulu toplantısı sonrasında yapılan basın açıklamasında “Siber tehdidin küresel düzeyde ulaştığı boyut ve bu tehdidin ulusal güvenliğe etkileri kapsamlı surette ele alınmıştır. Bu bağlamda, siber tehdidin engellenebilmesi açısından milli düzeyde yürütülen çalışmalar değerlendirilmiştir” vurgusu ile “Yeni milli güvenlik siyaseti belgesi görüşülerek uygun bulunmuş ve bu konudaki tavsiye kararının bakanlar kuruluna bildirilmesine karar verilmiştir” ifadeleri yer almıştır. Daha sonra yapılan bilgilendirmelerde siber tehdidin artık resmi olarak tanındığı belirtilmiştir.27 Türkiye bu toplantı sonrasında kurumların konuyu sahiplenmemesi ve gerçek bir sorumlunun bulunmaması gibi sebepler ile 2 yıl daha süre kaybetmiş ve 1990’larda başlayan bu tehdidi görmesine rağmen, eyleme geç(e)memiştir. Bu süre içerisinde Emniyet, MİT, TSK, Genelkurmay, TÜBİTAK, Ulaştırma Denizcilik ve Haberleşme Bakanlığı ve Bilgi Teknolojileri ve İletişim Kurumu gibi kuruluşlar müstakil çalışmalarda bulunmuşlardır. Siber güvenlik alanındaki çalışmalar arasında:
* “Siber Tehditlere Karşı Uluslararası Çok Taraflı Ortaklık” (IMPACT) örgütüne üyelik,
* Siber Güvenlik Tatbikatları (2011 – 2012)
* Avrupa Konseyi Siber Suçlar Konvansiyonu’nun 2010 yılında imzalanması,
ve benzeri diğer çalışmalar da yer almaktadır.
Türkiye’de bu tatbikatların ilki 2011 yılında 41 kamu ve özel kuruluş ile gerçekleştirildi. Gerek haberleşme sektörü gerekse diğer kritik altyapılara sahip kuruluşların siber tehditlere hazırlık seviyesini test etme imkânı oluşturuldu. Geçmişte bilgi güvenliği alanında yoğun mesai harcayan TSK, yalnızca güvenlik amaçlı çalışmaların değil daha kapsamlı bir çalışmanın da yürütülmesi gerektiğini, özellikle tehdit algısı 2010 yılında değiştikten sonra daha net olarak gördü. Genelkurmay Başkanlığı bünyesindeki ilk birimler 2011 yılında tam faaliyetlerine başladılar. Bu tarihten itibaren NATO ile birlikte yürütülen çalışmalara katılımlar sağlandı.
27
"Milli Güvenlik Kurulu 27 Ekim 2010 Toplantısı Sonrası Basın Bildirisi" http://www.mgk.gov.tr/Turkce/ basinbildiri2010/27ekim2010.html.
27
Siber suçlar hakkında düzenlenen ilk belge olma özelliğini taşıyan ve temel amacı; toplumları siber suçlara karşı korumak, siber suçlarla uluslararası alanda etkin bir şekilde mücadele etmek ve bu suçlarla mücadelede ortak bir anlayışı benimsemek olan Avrupa Konseyi Siber Suç Sözleşmesi’ni 39'u Avrupa Konseyi (AK) üyesi ve 4’ü de AK dışından ABD, Kanada, Japonya ve Güney Afrika olmak üzere toplam 43 ülke imzalamıştır. Türkiye de 10 Kasım 2010 tarihinde Dışişleri Bakanlığı düzeyinde bu belgeyi imzalamıştır. Uluslararası bir antlaşma olarak tüm kanunların üzerinde işlem görecek olan 48 maddeden oluşan bu belgede; özellikle telif haklarının ihlalleri, bilgisayarlarla ilişkili sahtekârlık eylemleri, çocuk pornografisi ve network güvenliği ihlaline ilişkin suçlar tanımlanmakta, cezaî soruşturma ve kovuşturma yöntemleri belirlenmektedir. Fakat hukuk uzmanlarının sıkça dile getirdiği bir detay, söz konusu konvansiyonun bazı hükümlerinin bir “Kişisel Verilerin Korunumu Kanunu”nu gerektirdiği yönündedir. Bu sebeple söz konusu konvansiyonunun TBMM’ce söz konusu kanundan önce onaylanması Türkiye için olumsuz sonuçlar doğurabilecektir. 28
SİBER GÜVENLİK
İlgili kanunun ivedilikle çıkartılması ve uygulamaya alınması gerekmektedir. Gelişmelere istinaden siber güvenlik konusunda bir koordinasyon ihtiyacı olduğu, ilk olarak istihbarata yönelik birimlerin çalışmaları sırasında ortaya çıkmıştır. 2012 yılının Mayıs ayında yeniden başlayan bir hareketlenme ile siber güvenlik konusunun artık ele alınması gerektiği Başbakanlık gündemine gelmiş ve Mayıs – Ekim arasında yürütülen çalışmalar ile konuya ilişkin bir çözüm planlanarak hayata geçirilmiştir. 19 Ekim 2012 tarihinde düzenlenen Milli Güvenlik Kurulu’nda Ulaştırma, Denizcilik ve Haberleşme Bakanlığı ile Genelkurmay tarafından yapılan sunumlarda konu açısından ülkenin karşı karşıya bulunduğu tehdit durumu, küresel durum ve acil eylem planı anlatılmıştır. Aynı gün onaylanan, 20 Ekim 2012 tarih ve 28447 sayılı Resmi Gazete'de yayımlanarak yürürlüğe giren Bakanlar Kurulunun 11/6/2012 tarihli 2012/3842 sayılı "Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar"ı ile konunun ülkemizdeki koordinasyon mekanizması ve ilgili görev, yetki ve sorumluluklar belirlenmiştir. Koordinasyon amacı ile kurulan Siber Güvenlik Kurulu bir üst kurul olup, Ulaştırma, Denizcilik ve Haberleşme Bakanı’nın Başkanlığında; Dışişleri Bakanlığı Müsteşarı, İçişleri Bakanlığı Müsteşarı, Milli Savunma Bakanlığı Müsteşarı, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı Müsteşarı, Kamu Düzeni ve Güvenliği Müsteşarı, Milli İstihbarat Teşkilatı Müsteşarı, Genel Kurmay Başkanlığı Muhabere Elektronik ve Bilgi Sistemleri Başkanı, Bilgi Teknolojileri ve İletişim Kurumu Başkanı, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu Başkanı, Mali Suçları Araştırma Kurulu Başkanı, Telekomünikasyon İletişim Başkanından oluşturulmuştur. Siber Güvenlik Kurulu ilk toplantısını 20 Aralık 2012 tarihinde yapmış ve bu toplantı sonrasında ilgili tüm kamu kurum ve kuruluşları ile kritik altyapılara sahip sektörlere dair görevler belirlenerek çalışmalara başlanmıştır. Kurul tarafından onaylanarak Bakanlar Kurulu’na yürürlüğe konulmak üzere gönderilen Strateji Belgesi ve 2013-2014 Eylem Planı çerçevesinde Türkiye’de ilk defa siber güvenlikle ilgili tanımlar resmi bir politika belgesinde tanımlanmış, kurumlara bu alandaki riskler anlatılmış ve acil görevler belirlenmiştir.
29
Türkiye Tarafından Tanınan Siber Güvenlik Riskleri
1. Siber ortamın bilişim sistemlerine ve verilere yapılan saldırılar için anonimlik ve inkâr edilebilme fırsatlarını sunması, saldırı için gerekli araç ve bilginin çoğu zaman ucuz ve kolay elde edilebilir olması, dünyanın herhangi bir yerindeki kişi veya sistemlerin kasıtlı ya da kasıtsız olarak siber saldırılara iştirak edebilmeleri nedeniyle tehdidin asimetrik olması, 2. Siber ortamın bütünleşik ve kesintisiz iletişime açık yapısı ve siber ortamda bulunan kötücül yazılım ve benzeri tehdit ajanları nedeni ile siber ortamda yer alan tüm bilişim sistemlerinin birbirlerine zarar verebilmesi, 3. Günümüzde büyük kitlelere sunulan kritik hizmet ve servislerin birçoğunun bilişim sistemleri tarafından sağlanıyor ya da kontrol ediliyor olması, 4. Kritik altyapılara ait bilişim sistemlerinin çoğunun İnternete bağlı olması, 5. Siber güvenliğin ulusal düzeyde bütün vatandaşlarca topyekûn sağlanabileceği gerçeğine rağmen bu konudaki ulusal bilincin yetersiz olması, 6. Siber güvenlik alanında paydaş kurumların arasında ulusal koordinasyon eksikliği, 7. Kişi ve kurumların kamuoyu önünde saygınlıklarını kaybetmemek amacıyla veya başka sebeplerle kendilerine yönelik saldırıları gizlemesi, 8. Siber güvenlik olaylarının araştırma ve soruşturulmasında ulusal ve uluslararası mevzuat yetersizliklerinin işbirliğini güçleştirmesi, 9. Kritik altyapı hizmet ve servislerinin, gerçekleştirilen siber saldırılara ek olarak bilişim sistemlerinin kendi hatalarından, kullanıcı hatalarından ya da doğal afetlerden de olumsuz olarak etkilenmesi ve bu tür olaylara yönelik alınabilecek tedbirler açısından gerekli yeterliliğe sahip olunmaması, 10. Kurumlarda bilgi güvenliği yönetimi altyapılarının yeterli düzeyde olmaması, 11. Siber güvenlik konusunda kurumsal ve kişisel seviyede yeterli bilgi ve bilinç seviyesine ulaşılamamış olması, 12. Siber güvenlik konusunda kurumların üst düzey yöneticilerinin yeterli bilince sahip olmamaları veya siber güvenlik konusunu yeterince sahiplenmemeleri, 13. Siber güvenlik konusunda kurumların yapılanmalarının yetersiz olması ve siber güvenliğin, kurumların sadece bilgi işlem birimlerinin sorumluluğunda görülmesi, 14. Bilgi işlem birimlerinde çalışanların siber güvenlik konusunda yeterli bilgi seviyesine ve tecrübeye sahip olmaması, 15. Siber güvenlik olaylarının detaylı araştırılması ve ihlal ile ortaya çıkan suçun soruşturulması alanlarında ancak az sayıda yeterli personel bulunması, 16. Kurumsal iç denetim süreçlerinde siber güvenliğe ilişkin denetim adımlarının yeterli seviyede ele alınmaması, 17. Siber güvenliğin, geliştirilen veya tedarik edilen bilişim sistemlerinin vazgeçilmez bir unsuru olarak ele alınmaması, buna bağlı olarak kamu kurumlarının bilgi ve iletişim teknolojileri alanındaki ürün ve hizmet tedariklerinde siber güvenliğin yeterli seviyede göz önünde bulundurulmaması, 18. Donanım ve yazılım alanında yerli üretimin yeterli düzeyde olmaması.
30
SİBER GÜVENLİK
Türkiye, NATO üyesi ülkeler arasında Ulusal Siber Güvenlik Strateji Belgesi hazırlayan 12. ülke durumundadır. Bu belgede yasal düzenlemelerin yapılması, adlî süreçlere yardımcı olacak çalışmaların yürütülmesi, ulusal siber olaylara müdahale organizasyonunun oluşturulması, ulusal siber güvenlik altyapısının güçlendirilmesi, siber güvenlik alanında insan kaynağının yetiştirilmesi ve bilinçlendirme faaliyetleri, siber güvenlikte yerli teknolojilerin geliştirilmesi ve nihayet ulusal güvenlik mekanizmalarının kapsamının genişletilmesi başlıklarında kurumlara görevler verilmektedir. Türkiye’de son bir yıl içerisinde büyük bir hız kazanan kamu ve özel sektördeki bilinçlenme, ilgili kurum ve kuruluşların da bu alanda yeni birimler kurmasına, personel yetiştirmesine ve bu konuda kamuoyunu bilinçlendirme çalışmalarına başlamalarına vesile olmuştur. Emniyet Genel Müdürlüğü bir Bilişim Suçları Dairesi kurmuş, Genelkurmay Başkanlığı Muharebe ve Elektronik Sistemler Komutanlığı da çalışmalarını elektronik harpten siber güvenliğe kaydırmıştır. 21 Ocak 2013 tarihinde TSK’dan yapılan bir açıklama ile bu konuda yeni bir birim kurulduğu belirtilmiştir: Türk Silahlı Kuvvetleri; kara, deniz, hava ve uzay harekât alanlarının yanında, yeni bir harekât alanı olan siber ortamda da yeteneklerini geliştirmektedir. Bu kapsamda; siber tehditleri önleyerek, gelişmiş siber savunma ikaz ve tepki sistemlerine sahip güçlü bir merkezi siber savunma yeteneği kazanmak maksadıyla 2012 yılında TSK Siber Savunma Merkezi Başkanlığı teşkil edilmiştir. Bu kapsamda; * TSK’nın kullandığı siber ortamda bulunan tüm sistemlerin siber savunması yapılmakta,
* * * *
Siber olaylara 7/24 esasına göre müdahale edilmekte, Ulusal olarak ve NATO tarafından icra edilen tatbikatlara iştirak edilmekte, TSK çapında bilinçlendirme ve eğitim faaliyetleri yürütülmekte, TSK tarafından kullanılan ağlarda düzenli olarak siber güvenlik denetlemeleri
ve testleri yapılmaktadır.28
2012 Yılı içerisinde TSK Siber Savunma Merkezi Başkanlığı teşkil edilerek Genelkurmay Başkanlığı’na bağlı olarak göreve başlamıştır. Halihazırda 17 personel ile görev yapan TSK Siber Savunma Merkezi’nin 2015 yılında 53 personel ile görev yapması planlanmıştır. TSK Siber Savunma Merkezi Başkanlığı, TSK çapında Bilgisayar Olaylarına Müdahale Ekibi (BOME) görevini de üstlenmiştir. Bu kapsamda Kuvvet Komutanlıkları bağlısı BOME birimleri de fonksiyonel olarak TSK Siber Savunma Merkezi Başkanlığına bağlıdır.
27 "TSK Siber Savunma Merkezi Başkanlığı kuruldu," TRT Türk Haberi (http://www.trtturk.com.tr/haber/tsk-siber-savunma-merkezi-baskanligi-kuruldu.html - Erişim: Mart 2013).
31
Ulusal Siber Güvenlik Stratejisi ve Eylem Planı incelendiğinde, daha çok savunma ağırlıklı görevlerin tanımlandığı görülmektedir. Başlangıç için gerekli olan bu başlığın, diğer tüm kurumların faaliyet alanlarına doğru genişletilmesi ve siber güvenliğin temel kamu politikalarından birisi haline gelmesi sağlanmalıdır.
G. Öneriler
Siber tehditler gün geçtikçe artıyor ve ulusal tehdit algılamalarımızda üst sıralara tırmanıyor. Artık siber güvenlik de milli güvenliğimizin bir parçası. Bu siber tehditler gerçekleşmeden önce daha fazla tedbire ihtiyaç olduğu gayet açıktır. Türkiye’de şu ana kadar yapılanlar, tehdidin büyüklüğü dikkate alındığında, yeterli değildir. Gelinen aşama, sadece bir “başlangıç” olarak kabul edilebilir. Asıl tedbirler bundan sonra, özellikle önümüzdeki süreçte alınmalıdır. Bu anlamda konuyla ilgili öneriler aşağıda sıralanmıştır: * Siber güvenliğin önemi ulusal düzeyde kabullenilmeli ve devlet politikası haline gelme süreci hızlandırılmalıdır. Yalnızca bir Strateji Belgesi ve Eylem Planı ile yetinilmemeli, acil durum müdahale planlarına, seferberlik planlarına, sağlık politikalarına, eğitim programlarına ve ilgili her alana siber güvenlik konusu eklenmelidir. * Türkiye’de anayasa ve kanunlar bu alanda yeterli içeriğe ve korumaya sahip değildir. Yeni anayasa sürecinde bilgi, bilginin korunumu ve devletin güvenlik politikaları başlıklarında bu konuya yer verilmelidir. Türk ceza kanunu, İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun, İnternet medyası kanunu ve benzeri mevzuat acilen siber güvenlik konularını da kapsayacak şekilde düzenlenmelidir. * İstihbarat alanında çalışan tüm birimler yeni teknoloji ve kabiliyetler ile donatılmalı, personel hem dış istihbarata karşı koyma alanında uzmanlaştırılmalı hem de söz konusu teknolojileri Türkiye için en iyi düzeyde kullanabilir duruma getirilmelidir. * Sivil alanda kamunun, vatandaşların ve özel sektörün siber güvenlik ihtiyaçlarını karşılayacak, düzenleyecek, standartlarını belirleyecek ve denetleyecek bir kurumsal yapılanma hayata geçirilmeli, teknik uzmanlık içerecek bir yapılanma ve yetki ile Bilgi Güvenliği Kurumu veya benzeri görevlere sahip bir kurum ihdas edilmelidir. * Mili bir siber savunma doktrini geliştirilmeli, tam ölçekte bir 5. kuvvet olarak tanımlanmalı, askeri alanda diğer tüm kuvvetler kadar kabiliyet geliştirilmelidir. Bu alanda milli ve uluslararası tatbikatlara katılım artırılmalı, fırsat olan durumlarda gerçek ortamda kazanılan kabiliyetler denenmelidir. * Siber güvenlik planlaması yapılarak milli güvenliğe entegre edilmeli, siyasal alanda bu konu tartışılmalı ve ülkemizin ana politika eksenlerinden birisi olarak ele alınmalıdır. * Siber saldırıların, suçların, hedeflerin ve konuya dair tüm zamana dayalı verilerin bir noktada toplanması ve buradan ilgili tüm paydaşlara gelecek öngörüleri ve riskler konusunda bilgilendirmelerin yapılması sağlanmalıdır.
32
SİBER GÜVENLİK
* Siyasal riskler belirlenerek siber ortamda gelebilecek tehditlere karşı tatbikatlar artırılmalı, vatandaşların bu kanaldan gelebilecek taciz, tahrik, saldırı veya spekülasyonlara karşı direnci ve algısı güçlü tutulmalıdır. Dış istihbarî veya ticarî saldırılar haricinde de, vatandaşların kişisel bilgilerine dair bilinçlendirilmeleri için etkin kampanyalar düzenlenmelidir. * Uluslararası işbirliği çalışmalarında etkin rol üstlenilmeli, henüz küresel alanda da bu alanda yeni ortaya çıkan örgütlerde yönetim rolleri üstlenilmelidir. Özellikle ülkemiz için siyasal önemi yüksek olan bölge ve ülkelerle işbirliği amacıyla, bizzat Türkiye’nin eli ile yeni uluslararası kurumlar tesis edilmelidir. Türkiye burada diğer pek çok alanda yakalamak için geç kaldığı bir fırsata sahiptir ve bu fırsatı kullanması gerekmektedir. * Kamu kurumları ve özel sektörün bu alandaki eğitim ve bilinçlendirilmeleri hızlandırılmalı, en kısa sürede hassas noktalarda çalışan personelin güvenlik soruşturmaları yapılmalı, bu alanda çalışan özel sektör denetlenmelidir. En kritik devlet bilgilerini kullanan sektörlerde işlerin güvenilir ellerde olması sağlanmalıdır. * Kişisel Verilerin Korunumu Kanunu bir an önce yasalaşmalıdır. Mevcut taslak metinlerde yer alan sorumluluklar güçlendirilmeli ve resmî olarak sorumlu birimlere bağlanmalıdır. * Türkiye’ye özel ve tamamen yerli imkânlar ile bir Siber Güvenlik Laboratuvarı kurulmalıdır. Uluslararası standartlar haricinde yerli ihtiyaçların da test edileceği ve Türkiye’de hem kamu hem de tüm kritik altyapıyı haiz sektörlerin kullanacağı elektronik donanımlar ve yazılımlar bu laboratuvar tarafından test edildikten sonra kullanılmalıdır. * Uzmanlık düzeyine erişilmesi ve insan kaynağının bu alanda dünyadaki diğer ülkelerin insan kaynağı ile başa baş rekabet edebilmesi amacı ile gerek üniversitelerde gerekse de akademik olmayan fakat güvenlik konusunda uzmanlaşan enstitülerde geliştirme programları yürütülmelidir. * Gelişim ve değişim hızı baş döndüren bu alanda hem doktora düzeyi ve üstünde uzmanlaşan insanlara, hem de bu işi severek ve hobi olarak yapan insanlara ihtiyaç vardır. * Bu alanda kullanılan teknolojiler için milli çözümlerin geliştirilmesine ağırlık verilmeli, ar-ge destekleri ve diğer tüm hibe/teşvik uygulamalarında siber güvenlik amaçlı güdümlü çağrılar açılmalıdır. Bu konuda yerli ürün geliştirecek güvenilir sektör belirlenmelidir. Kamu İhale Kanunu’nda yer alan güvenliğe dair alımlarda uygulanacak KİK muafiyeti, siber güvenlik alanında da uygulanmalıdır. Bu alanda yapılan tüm ürün, hizmet ve çözüm alımları yerli tedarikçilere yöneltilmelidir. * Tüm bu çalışmalar üst düzey bir koordinasyon ve belirli bir takvim ile ülkenin siyasi veya diğer gündemlerinden uzak bir şekilde ve milli çıkarlar gözetilerek yürütülmeli, konu en üst düzeyde sahiplenilmelidir.
33
Sonuç
Siber tehditler gün geçtikçe artıyor ve ulusal tehdit algılamalarımızda üst sıralara tırmanıyor. Artık siber güvenlik de milli güvenliğimizin bir parçası olarak kabul edilmelidir. Uluslararası işbirliği çalışmalarının Türkiye’nin liderliği ile yürütülmesi, yerli teknoloji geliştirilmesi ve uzman insan kaynağı yetiştirilmesi alınacak tedbirlerin en önemli adımları arasında yer almaktadır. Büyük ülkeler şu anda çamurlu ve bulanık siber uzay sularında rahatça avlandıkları için küresel bir anlaşmanın bağlayıcılığından uzak durmakta, teknik standartlar olgunlaşana kadar kendi oyunlarını sürdürmektedir. Buna karşı, daha dar gruplu bir mutabakat Türkiye’nin yeni yüzyılda hak ettiği öncü rolünü pekiştirecektir. Siber güvenlik alanında bu makalede önerilen çalışmaların ivedilikle başlaması güvenliği garanti edemez; fakat Türkiye’nin bu yeni alanda, siber ortamda diğer ülkeler ile rekabet edebilecek, temel savunma adımlarını atmış bir ülke konumuna gelmesini sağlar. Ekonominin başlıca bileşenlerinden olan bilginin korunması ve 21. yüzyılın öncelikli tehdidi haline gelen kritik altyapılara yapılabilecek siber saldırıların önlenmesi, bilgi toplumu olma yolunda milli güvenliğin en önemli bileşenleridir. Gelişmişlik sıralamasında dünyada ilk 10 ülke arasına girmeyi hedefleyen Türkiye için atılacak bu adımların hızlı, koordine ve başarılı olması 2023 hedeflerine ulaşmak için hayati bir önem taşımaktadır.
Kaynakça
"TBMM Bilgi Toplumu Olma Yolunda Bilişim Sektöründeki Gelişmeler ile İnternet Kullanımının Başta Çocuklar, Gençler ve Aile Yapısı Üzerinde Olmak Üzere Sosyal Etkilerinin Araştırılması Amacıyla Kurulan Meclis Araştırması Komisyonu Raporu," http://www.tbmm.gov.tr/sirasayi/donem24/yil01/ss381.pdf (Mart 2013). ICT Media Yayınları - Yeni Anayasada Bilişim ve Haberleşme Özgürlüğü Sempozyumu Sonuç Raporu (Mayıs 2012).
National Cybersecurity Framework Manual, NATO Cooperative Cyber Defence Centre of Excellence, Tallinn 2012. Emerging Cyber Threats Report 2013, Georgia Institute of Technology Information Security Center, 2012. "Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar, " 20 Ekim 2012 tarih ve 28447 sayılı Resmi Gazete'de yayımlanarak yürürlüğe giren 11.6.2012 tarihli 2012/3842 sayılı Bakanlar Kurulu Kararı. "Bilgi Teknolojileri ve İletişim Kurumu Pazar Verileri – 2012 Yılı 4. Çeyrek Raporu," http://www.btk.gov.tr/ kutuphane_ve_veribankasi/pazar_verileri/pazar_verileri.php (Mart 2013). "AT Kearney - The 2012 e-Commerce Index," http://www.atkearney.com/documents/10192/348450/2012E-Commerce-Index.pdf (Mart 2013).
34
SİBER GÜVENLİK
"Bankalar Arası Kart Merkezi İnternette Yapılan Kartlı Ödeme İşlemleri İstatistikleri," http://www.bkm.com.tr/ istatistik/sanal_pos_ile_yapilan_eticaret_islemleri.asp ( Mart 2013). "International Telecommunication Union - Key Global Telecom Indicators for the World Telecommunication Service Sector," http://www.itu.int/ITU-D/ict/statistics/at_glance/KeyTelecom.html (Mart 2013).
T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı, TBMM Plan Bütçe Komisyonu 2013 Yılı Bütçe Sunumu (Kasım 2012). "What Happens in an Internet Minute – Intel Corporation Infograph," http://www.intel.com/content/www/ us/en/communications/internet-minute-infographic.html (Mart 2013). "OECD Internet Economy Outlook 2012," http://www.oecd.org/sti/ieconomy/internet-economy-outlook2012-highlights.pdf (Mart 2013).
Sosyal Medyanın Politik Katılım ve Hareketlerdeki Rolü, Cihan Çildan, Mustafa Ertemiz, H. Kaan Tumuçin, Evren Küçük, Duygu Albayrak, , Akademik Bilişim Konferansı, Uşak, Şubat 2012. Papic, M. ve Noonan, S. "Social Media as a Tool for Protest." Stratfor Global Intelligence (25 Kasım 2011). O’Donnel, C. “New study quantifies use of social media in Arab Spring,” ScienceDaily. Erişim 5 Ocak 2012, http://www.washington.edu/news/articles/new-study-quantifies-use-of-social-media-in-arab-spring. "Exclusive: Inside Darpa’s Secret Afghan Spy Machine," Noah Shachtman, Wired Dergisi Haberi, http://www. wired.com/dangerroom/2011/07/darpas-secret-spy-machine/ (Mart 2013). Dorothy E. Denning, Georgetown Üniversitesi, "Siberterörizm," ABD Temsilciler Meclisi Silahlı Kuvvetlere Terör Saldırıları Araştırma Komitesi İfadesi (Mayıs 2000). Ralph Lagner – ICT Summit Eurasia 2012 – "Savunmada Bilişim" – Ulusal Bilgi Güvenliği ve Siber Savaşlar Konferansı Sunumu. ABD Savunma Bakanlığı Açıklaması, Reuters Haberi, 19 Mayıs 2012, http://www.reuters.com/ article/2012/05/19/us-usa-china-military-idUSBRE84I06X20120519 (Mart 2013).
Reuters’in Huawei’nin Avusturalya’da Yasaklanması Haberi(http://www.reuters.com/article/2012/03/29/usaustralia-huawei-idUSBRE82S06L20120329 (Mart 2013). The Wall Street Journal Haberi – "Siber Saldırı – Savaş Sebebi," http://online.wsj.com/article/SB10001424052 702304563104576355623135782718.html#ixzz1NwErjZtY (Mart 2013). Häly Laasme, "Estonia: Cyber Window into the Future of NATO," http://www.ndu.edu/press/lib/images/jfq63/JFQ63_58-63_Laasme.pdf (Mart 2013). TSK Siber Savunma Merkezi Başkanlığı kuruldu - TRT Türk Haberi http://www.trtturk.com.tr/haber/tsk-sibersavunma-merkezi-baskanligi-kuruldu.html (Mart 2013).
35
Mustafa Canlı, 1979 yılında Ankara'da doğdu. Lisans derecesini ODTÜ Makine Mühendisliği Bölümünden 2001 yılında aldı. Canlı'nın ABD'nin Boston şehrindeki Northeastern University'den birisi Bilişim Sistemleri (2004) ve diğeri İşletme alanında (2005) olmak üzere iki yüksek lisans derecesi bulunmaktadır. TÜBİTAK Savunma Sanayi Araştırma ve Geliştirme Enstitü'sünde ar-ge mühendisi, John Hancock Financial firmasında danışman ve Thermo Electron Corporation'da küresel satınalma uzmanı olarak çalışmış olan Canlı, ayrıca Türksat'ın bilişim birimlerinde yönetici olarak görev yapmıştır. E-Devlet Kapısı adlı projenin yanısıra birçok e-Devlet projesinde yürütücü olarak görev yapan Canlı, Avrupa Birliği ile eşgüdüm amaçlı projelerde güvenlik ve birlikte çalışabilirlik konularında Türkiye'yi temsil etmektedir. 2010 yılından itibaren T.C. Ulaştırma, Denizcilik ve Haberleşme Bakanlığında bakan danışmanı olarak bilişim, telekomünikasyon ve e-Devlet alanlarında çalışmalar yapan Mustafa Canlı, Hacettepe Üniversitesi Sosyal Bilimler Enstitüsü Siyaset Bilimi ve Kamu Yönetimi bölümünde doktora çalışmalarına devam etmektedir.
36
Ankara Siyasal ve Ekonomik Araştırmalar Merkezi
Ehlibeyt Mahallesi 1271. Sokak Ekşioğlu İş Merkezi 16/9 06520 Balgat - Çankaya /Ankara Telefon 312 232 6222 info@asem.org.tr www.asem.org.tr 2013 © Bütün yayın hakları saklıdır.
ISBN 978-605-63903-1-9
9 786056 390319