Siber güvenliğin neresindeyiz?

“Türkiye, uzun bir süredir en fazla siber saldırıya uğrayan ilk 10 ülke arasında yer alıyor. Ancak coğrafi konumumuz veya jeopolitik durumumuz nedeniyle bu saldırılar olmamaktadır. Siber güvenlik konusuna yaklaşımımız, kamu kurumlarındaki dağınıklık ve siber açıklık sebebiyle bu saldırılar gerçekleşiyor. Ülkemizin acilen siber güvenlik konusuna gerekli önemi vermesi ve bu alanda etkin bir kurum oluşturması gerekir.”

Yukarıdaki sözler, siber güvenlik alanında ülkemize önemli hizmetler sunmuş, savunma sanayisinin kamu ve özel sektör tarafında özgün ürünlere imza atmış, alanında yetkin, donanımlı ve bilgili bir kaynağa ait. Bu kişinin uyarıları, sadece son zamanlarda değil, yaklaşık 4-5 yıl önce de ülkemizin önemli makamlarına iletildi. Ancak, kurumlar arasındaki mücadeleler ve siber güvenlik konusunda yeterli yetkinliği ve etkinliği olmayan kamu kurumları, maalesef ülkemizi siber saldırılardan koruyacak oluşumları engelledi.

İsrail’in Lübnan’a yönelik çağrı cihazı ve telsizler üzerinden yaptığı saldırılar sonrası, siber güvenlik meselesi ülkemizde yeniden gündeme gelince mevzu derinlik kazandı. “Çok iyi siber güvenlik kurumlarımız var. Her gün şu kadar siber saldırı engelleniyor” diyen yetkililer ile siber güvenlik açısından Türkiye’nin zaaflarına dikkat çeken yetkililerin açıklamaları arasında bir çelişki söz konusu. Buradan çıkan sonuç ise şu: Ülke olarak ciddi anlamda siber güvenlik zaafımız var ve mevcut kurumlar yeterli değil!

Bir de ‘Türkiye Milli Teknoloji Hamlesi' stratejisine vurgu yapan, yerli-milli teknolojinin önemini belirten isimler var. Ancak, maalesef bu kişiler, hamasetle bu ortamda yeni işler devşirme peşinde. Çünkü bürokrasi, yerli-milli teknoloji ürünlerine gereken önemi vermiyor, teknik yetersizlik ve maliyet gibi bahanelerle, yerli-milli teknoloji ürünler yerine yabancı mamulleri tercih ediyor. Daha da vahimi ise bu tür nedenlerden bazı önemli savunma şirketlerimizin ciddi tehlike altında olmasıdır.

Üstelik yerli-milli ürün geliştirip üretmekle övünen bu kurumların çoğunda siber güvenlik riski taşıyan yabancı bilgi teknolojisi ürünleri kullanılıyor. Haberleşme ve veri iletimi; yani telefon görüşmeleri ve internet hizmetlerinde kullanılan sistemler ve şebekeler maalesef yabancı.

Ülkemizin en önemli savunma sanayi kuruluşlarının (özel ve kamu) haberleşme ve iletişim sistemleri yerli ve milli değil, siber güvenlik riski taşıyor. Hatta siber atak yapacak ülkelerin ürünlerini barındırıyorlar.

Savunma sanayimiz için yerli-milli ürün geliştirenler kurumlar ve şirketler aynı hassasiyeti kendi kullandıkları ürünlerde de göstermiyorlar. Ülkemiz için önemli savunma ürünlerini özgün olarak geliştirip, üretmiş ve Türk Silahlı Kuvvetleri başta olmak üzere diğer güvenlik güçlerine teslim etmişler, ama kedi bünyelerinde ise siber güvenlik zafiyeti oluşturan haberleşme ve iletişim sistemleri kullanıyorlar. Bunların mutlaka denetlenmesi, gözden geçirilmesi ve siber güvenlik açısından bir sisteme kavuşturulması şart.

Ayrıca ülkemizde yerli-milli ürünler desteklenmiyor veya geliştirilmiyorsa bunun birinci derecede sorumlusu kamu otoriteleridir. Telekomünikasyon sektörü için 4.5G Ulak baz istasyonu örneğini defalarca gündeme getirdim. 6 şehrimizde Ulak baz istasyonları üzerinden iletişim hizmeti verilmesine rağmen KKTC’de Turkcell 4.5G baz istasyonu için Huawei tercih etti. Yarı kamu konumundaki Turkcell, regülasyona tabi bir sektörde faaliyet gösteriyor. Türkiye Varlık Fonu (TVF) şirketi olmasına rağmen de milli ve yerli teknoloji ürünü kullanmadı. Hem de en hassas olunması gereken iletişim alanında böyle bir katkı sunmadı!

Yukarıdaki bazı hususlar sebebiyle Dışişleri Bakanı Hakan Fidan'ın kurulacağını duyurduğu müstakil ‘Siber Güvenlik Teşkilatı’ birçok açıdan önemli. Teşkilatın ana omurgasını Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesindeki Ulusal Siber Olaylara Müdahale Merkezi (USOM) oluşturacakmış. Milli İstihbarat Teşkilatı (MİT), Emniyet Genel Müdürlüğü ve diğer kurumlardaki ilgili birimler tek çatı altında toplanacakmış. Böylece dağınık yapı ortadan kalkacak ve ABD Ulusal Güvenlik Dairesi (NSA) benzeri bir kurum ortaya çıkacakmış. Güzel bir gelişme. Hızla ilgili kanunun TBMM’den geçip böyle bir kurumun hizmete girmesi lazım.

Ancak bu gelişmeyi tersten okuduğumuzda, bu alanda bir eksikliğin tespit edildiğini de söylemek gerekiyor. Veya başta bir bakanlık çatısı altındaki siber güvenlik kurumu olmak üzere diğer kamu kurumlarındaki birimlerin, yetki, otorite ve donanım açısından tüm Türkiye’nin siber güvenliğini sağlayamayacağı en önemli isimlerce ifade edilmiş oluyor.

İsrail’in Lübnan’daki çağrı cihazlarını ve telsizleri patlatmasının ardından ülkemizde de ilginç haberlerle de karşılaştık: “Türkiye’nin siber kalesi” Ulusal Siber Olaylara Müdahale Merkezi (USOM), kesintisiz çalışmayla muhtemel dijital tehditleri bertaraf ediyormuş. Ancak, tehditleri hangi oranda savuşturduğu bir muamma, fakat bu haberle verilen mesaj şu: Yeni bir oluşuma gerek yok. USOM var.

Detaylarda şöyle; USOM tarafından her gün 422 büyük saldırı ve 11 milyon zararlı erişim isteği engelleniyormuş. Geçen yıl ise 140 bin büyük saldırının önüne geçildiği belirtiliyor. Merkezin yanı sıra Türk Telekom, Turkcell ve Vodafone gibi operatörlerle de siber savunmada işbirliği yapıldığı ifade ediliyor.

Ciddi hadiseler yaşanmadan önce bu tür rakamları paylaşmaya devam mı edeceğiz, yoksa tüm önemli kurumları gözden geçirip ciddi bir siber güvenlik yapılanmasına mı gideceğiz?

Acilen Cumhurbaşkanlığı’na bağlı, liyakatli isimlerin görev yapacağı bir Siber Güvenlik Teşkilatı’na ihtiyaç var. Ayrıca önemine göre tüm özel ve kamu kurumlarının da siber güvenlik açısından denetlenip, önlem alınması icap ediyor.