Sanal alemde asayiş berkemal mi?

RedHAck örneği, 'siber güvenlik' açığını gözler önüne serdi. Türkiye'nin önünde ciddi sorunları var.

DENİZ ZEYREK

Türkiye ve Türk halkı, dünyadaki teknolojik gelişmeler ışığında iletişim teknolojilerine büyük yatırım yapıyor. Akıllı telefonlar, kolaylıkla taşınabilen tablet bilgisayarlar yaygınlaştıkça, bankacılıktan vergi işlemlerine, sınavlara girişten sağlığa birçok alanda verilen hizmetlere sanal alemden ulaşmak mümkün oluyor. Bu süreçte de halka hizmet sunan kamu ve özel sektör kuruluşlarının elinde çok önemli bir sanal bilgi bankası oluşuyor. Ancak ABD Dışişleri Bakanlığı'nın, Stratfor'un ve son olarak da Türkiye'de polisin elindeki sayısal arşivin hackerlar tarafından ele geçirilmesi, sanal alemdeki asayiş sorununun çok büyüdüğünü gösteriyor.

Konuyla ilgili kamu otoritesi ve özel şirketler, sık sık topladıkları çalıştaylarla, yaptıkları tatbikatlarla Türkiye'nin sanal alem güvenliğine gereken özeni gösterdikleri mesajını veriyor. Ulaştırma Bakanlığı, TÜBİTAK Bünyesi'ndeki Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi (Bilgem), Bilgi Teknolojileri ve İletişim Kurumu (BTK) gibi kamu kuruluşları, Türk Sat gibi şirketler ve Bilgi Güvenliği Derneği (BGD) gibi sivil toplum kuruluşları Türkiye'nin karşısındaki ?sanal tehdidin' boyutlarını ortaya çıkarmak ve önlemler almak için çalışıyor. Yapılan çalıştaylarda alınan kararlar ve ilgili yöneticilerin yaptığı açıklamalar, vatandaşlarca pek anlaşılamasa da ?sanal alemde asayiş berkemal' hissi yaratıyor.

RedHack ?kral çıplak' dedi

Ancak, bazı ?sanal eylemler' durumun pek de öyle olmadığını gösteriyor. RedHack grubunun, sanal tehditle mücadele eden kurumlar arasındaki Emniyet Genel Müdürlüğü'nün Pol.net'ini hedef alması ve başarılı saldırılar düzenlemesi bunun en güzel örneği. Üstelik, kişisel kullanıcılara ?harf, rakam ve işaretlerden oluşan zorlaştırılmış şifreler kullanın' tavsiyesinde bulunan emniyetçilerin, ?söylediğimi yap, yaptığımı yapma' dercesine kendi ağlarında ?1,2,3,4,5' gibi basit şifreler kullandığının ortaya çıkması, sadece ?asayiş berkemal' hissini değil, duyulan güveni de zedeliyor.

Geçen yıl Başbakanlık, yargı, enerji, finans, telekom, savunma, sağlık, sosyal güvenlik ve ODTÜ gibi ?kritik bilgi-sistem altyapıları'nı oluşturan 41 kamu ve özel sektör kuruluşu ?siber güvenlik tatbikatı' düzenlemişti. Hükümet de işin ciddiyetini kavramış olacak ki, tatbikata büyük katılım ve destek sağlamıştı. Tatbikat çerçevesinde bir bilgisayar kullanıcısının banka hesap bilgileri ile ülkenin askeri ve politik sırlarını ele geçirme, finans merkezleri, elektrik santralleri, ulaştırma ve iletişim sistemleri ve hastanelerin çalışamaz hale getirmesi gibi olası saldırı senaryoları, ?dost hackerlar' tarafından gerçekleştirilmiş, bu saldırılar önlenmeye çalışılmıştı. Tespit edilen açıklar raporlanmış ve ilgili kurumlardan önlem alınması istenmişti.

Türkiye'nin e-devlet altyapısını sunan Türksat, sanal alemde vatandaşların birçok ihtiyacını karşılayan sistemin güvenliğini sağlamak için dışarıdan dost hacker'larla çalışıyor. Yurtdışından saldırı geldiği anda, ilk olarak saldırı gelen ülkeyle iletişimi kapatan Türksat, daha sonra saldırılarda ortaya çıkan açıkları bulup, önlem alıyor. E-devlet kapısına düzenli sanal saldırılar düzenleyen şirket, böylece açıkları hızlı bir şekilde tespit edebiliyor.

10 temel sorun

Türkiye'deki hacker'ların iz bırakmama şansı olmadığından bilişim uzmanlarının saldırı kaynaklarını bulması mümkün oluyor. Ancak saldırıların büyük bölümü başta Çin olmak üzere yurt dışından geliyor. Türkiye'nin bu alanda karşı karşıya kaldığı sorunlar şöyle özetlenebilir:

1- Vatandaşların güvenlik yazılımları kullanması, şifre belirlerken uzmanların önerilerine uyması çok önemli. Ancak kullanıcı ne kadar özen gösterirse göstersin, kapsamlı bir sanal saldırıdan kaçış yok.

2- Resmi ve özel kurumlar, bilgi güvenliğine yeterince önem vermiyor. Türkiye'deki sanal güvenlik donanımı ve mevzuat, dijital çağın hızına yetişemiyor. Kamu kurumları ile bankacılık, telekomünikasyon vb. hizmet sunucu özel kuruluşlar bilişim altyapılarını dinamik bir şekilde yenilemekte zorlanıyor.

3- Sanal suçlarla ilgili yasal mevzuat yetersiz. Hâlâ tarifi yapılamayan ve içtihada bağlanmayan sanal saldırı örnekleri yaşanıyor. RedHack'e yönelik son operasyonda yakalananlara ?silahlı terör örgütü' muamelesi yapılması bunun en güzel örneği. Dolandırıcılık, özel bilgilerin ele geçirilmesi, sanal alemde hakaret gibi sanal suçların hukuki takibi de bürokratik boyutu nedeniyle oldukça zor. 5237 sayılı ?Türk Ceza Kanunu', 5651 sayılı ?İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun' ile 5070 sayılı ?Elektronik İmza Kanunu' yetersiz kalıyor.

4- Sanal alemin küresel olması, güvenlik riskinin de küresel boyutlarda olmasına neden oluyor. Saldırgan ve mağdurlar farklı ülkelerde bulunabiliyor. Dolayısıyla ulusal sanal güvenlik mekanizması, tek başına yeterli olmuyor. Uluslararası birlikte çalışılabilirlik mekanizmalarına ve ?Siber Suçlar Sözleşmesi' gibi sözleşmelere dahil olunması şart.

5 -Kişisel Verilerin Korunması konusunda ulusal mevzuatta doyurucu bir yapı yok. Vatandaşlarının gizli kalması gereken kişisel veri ve bilgileri zaman zaman hiçbir güvenlik önlemini aşmaya bile gerek kalmadan ulaşılır halde tutulabiliyor.

6- Türkiye'de sanal altyapı güvenliği standartlarının belirlenmemesi de önemli bir eksiklik

7- Ne kamu ne de özel sektör sanal suçlarla mücadele için yeterli kaynak ayırıyor. Bu ?gereksiz masraf kalelmi' olarak görülüyor.

8- Kurumlar arası koordinasyon ve işbirliği yetersiz. Bir kurum saldırıya uğradığında başka bir kurumdan destek almak, eski deneyimlerden yararlanmak imkansız gibi.

9- Kurumların birçoğu sanal saldırılar ile ortaya çıkan bilgi güvenliği açıkları düzeltildikten sonra kamuoyu ile yeterince paylaşılmıyor.

10 -Türkiye'nin bir an önce ?Ulusal bilgi güvenliği politikası', ?Siber güvenlik koordinasyon kurulu' ve ?Siber savunma gücü' oluşturup hayata geçirmesi ?olmazsa olmaz.'