Türkiye’de Bilişim Bakanlığı Kurulmalı
Sivil toplum örgütü Kamu Siber Güvenlik Derneği (KSGD) girişimi ve TOBB Ekonomi ve Teknoloji Üniversitesi’nin de desteğiyle geçtiğimiz salı günü “Bulut Bilişim Güvenliği” temalı Siber Güvenlik Platformu VI gerçekleşti.
2015 yılından bu yana, senede iki defa başkentin dışındaki seslere de kulak vererek Konya, Mersin gibi farklı şehirlerde etkinlikleri hayata geçiren dernek, siber güvenlik farkındalığı oluşturma, konunun teknik, bilimsel, sosyal ve kültürel yanlarını kapsama yolunda istikrarlı bir çalışma yürütüyor. Dernek, bu yıl gündemine 5 bin lira değerindeki Siber Güvenlik Doktora/Tez Ödülü’nü de eklemiş. Katılım istatistiklerine dair bir bilgi etkinlik süresince paylaşılmamış olsa da, umarım takip eden yıllarda oldukça geniş kitlelerin ilgisini çeken, özendirici bir ödül haline gelir.
İlk konuşmacılardan olan, derneğin yönetim kurulu başkanı Ahmet Ercan Topçu, konuşmasında farkındalık yaratma konusunda gerçekleştirdikleri özverili çalışmalardan bahsederken, Türkiye’de gelinen noktada bir Bilişim Bakanlığı kurulmasına duyulan ihtiyaca tekrar tekrar değindi. Her kurumun kendi güvenlik ajandasını belirlediği, bütüncül bir yaklaşımın henüz benimsenemediği bir ortamda ortak bir çatıya ihtiyaç duyulduğunu söyleyen Topçu, bilişim alanında bu yönde bir seferlik başlatılması gerektiğine de dikkat çekti. Tek çatı altında, işbirliği halinde bir Kamu-Özel ortaklığını oluşturma fikri her ne kadar kulağa cazip gelse de, pratikte bu birimlerin siber güvenlik konusuna farklı yaklaşımlarının anlaşılamaması, ne yazık ki bu fikrin hayata geçirilmesi yolundaki en büyük engel. Üstelik Türkiye bu konuda yalnız değil; işleyen bir ortaklık, tam da bu yüzden ne Amerika ne de İngiltere gibi ülkelerde dahi henüz yaratılamadı.[1] Çözüme giden yolda, Kamu ve Özel sektörü ortak hedefleri, sorunları ya da beklentileri olan iki paydaş/kardeş olarak gören yaklaşımı değiştirmek gerekiyor. Böyle bir çatı kurumun oluşturulması halinde iki tarafın ilişkilerini hukuki, teknik, siyasi boyutlarıyla düzenleyecek yasal otoriteyi, sorumlulukları ve hakları net bir dille ortaya koymak, “bütünsel” yaklaşımının temellerini daha sağlam bir tabana oturtmak oldukça önemli.
‘Kriptocular tüm tarafların sahtekar olabileceğini varsayar’
Açılış konuşmalarından sonra ilk söz alan, TÜBİTAK UEKAE Birim Yöneticisi Doç. Dr. Sabir Kiraz, bulut depolamada veri güvenliği ve mahremiyetinden bahsederken, “tüm verileri, kaynakları, uygulamaları bulut sağlayıcısına koyarak kendi verimiz üzerinde hâkimiyetimizi kaybediyoruz” kaygısını dile getirdi. Sunumunda, Türkiye’de çoğunlukla bilgisayarların yüzde 80’inin kullanılmıyor olmasından doğan sorunun, blok zincirde bir düğüm (node) haline gelerek aşılabileceğini söyleyen Kiraz, bu sayede hem hesaplama (computation) hem de depolama (storage) hizmeti vererek para kazanılabileceğini söyledi. Kiraz, Bulut Bilişim’e mühendislerin ve kriptocuların yaklaşımları arasındaki farka da dikkat çekti; “Kriptocular tüm tarafların sahtekar olabileceğini varsayarak güvenli bir sistem tasarlar.” ifadelerini kullandı. Kriptocuların hatalı yazılım, Truva atları, virüsler aradığını, mühendislerin ise bulut güvenliği ile ilgili büyük sorunlar görmediğini kaydetti.
En iyi siber güvenlik tezi ödülü Sabancı Üniversitesi’nden Altop’a
Bu yıl ilk defa KSGD girişimiyle verilen “Siber Güvenlik Doktora ve Yüksek Lisans Tez Ödülü” kazananı, Sabancı Üniversitesi’nde Albert Levi ile doktorasını yapan Duygu Karaoğlan Altop, Gövde Alan Ağları Güvenliği ile ilgili tez sunumunda hassas kişisel bilgilerin algılandığı, depolandığı ve iletiştiği duyarga düğümleri arasındaki güvenliğin öneminden bahsetti. Sunumunda kalp pilinin EKG sinyalinin ele geçirilmesiyle, elektrik şoku uygulanabileceğinin örneklerinin yaşandığına dikkat çeken Altop bu cihazlar üzerine hedefli saldırlar gerçekleştirilebileceği gibi, hassas kişisel bilgilerin mahremiyetinin de tehlikeye düşebileceğini belirtti. Kazananın bir kadın olması ve böylesine hassas, karmaşık bir konuda verdiği akıcı sunum, gerçekten takdire değerdi.
‘Bulut bilişim elektrik, su, doğalgaz gibi bir hizmet haline geldi’
Öğleden sonra düzenlenen, altı katılımcının söz aldığı “Bulut bilişim güvenliği” panelindeki ilk konuşmacı, ODTÜ Enformatik’te Bilişim Hukuku dersi aldığım, TOBB ETÜ Öğretim Üyesi, Doç.Dr. Olgun Değirmenci, sunumunda Bulut’un birçok ülkede doğalgaz, su, elektrik gibi bir hizmet olarak tanımlandığına değindi. Hizmet olarak altyapı bulut türünde en çok hukuki sorun yaşama ihtimalimiz olduğuna değinen Değirmenci, geçmişte yürüttüğü ilginç bir araştırmadan da bahsetti. On iki bulut servis sağlayıcının kullanım sözleşmelerini incelediğini kaydeden Değirmenci, bulut kurarken kabul edilen bu sözleşmelerin hepsinde kişisel verilerin işlenmesine yönelik kişinin rızasını alan hükümler bulduğunu iletti.
Özellikle soru-cevap kısmında en çok ilgiyi gören BTK Bilgi Teknolojileri Daire Başkanı Gökhan Evren, geçtiğimiz aylarda düzenlenen Siber Yıldız yarışmasından oldukça yetenekli kişiler bulduklarını, 500’e yakın mülakat sonucu işe alınanları seçme sürecinde çok zorlandıklarından bahsetti. TSE Bilişim Teknolojileri Test ve Belgelendirme Daire Başkanı Mustafa Yılmaz, salondaki gençlere, CMMI (The Capability Maturity Model) ve siber güvenlik standartlarının belirlenmesi, takibi gibi konularda sektörde büyük açıklar olduğunu, bu alanlara yönelebileceklerini söyledi. Ortak Kriterler Tanıma Anlaşması (CCRA) olarak bilinen, 26 önemli ülkede akredite olan bir standarttan bahseden Yılmaz, bu anlaşmayı imzalayan ülkelerin, ürün hangi ülkeden sertifika almış olursa olsun o ürünün belirtilen seviyede güvenli olduğunu kabul etmiş sayılacaklarını belirtti.
[1] Madeline Carr, “Public–private partnerships in national cyber-security strategies,” International Affairs, 92/1 (2016)
YAZAR: NAZLI ZEYNEP BOZDEMİR