Siber Tehditler ve Çözüm Yaklaşımları
Bilişim ve haberleşme teknolojilerinde yaşanan gelişmeler hayatımızı kolaylaştırırken daha önce hayatımızda olmayan bir sorunla tanıştırdı bizleri: Siber tehdit! Hayatımızı kolaylaştırmak için tasarladığımız ve kullandığımız sistemler birden bir tehdit unsuruna dönüştü ve nasıl korunacağımıza dair fikirler üretmeye ve çözümler bulmaya başladık. İlk başlarda basit sorunlar olarak kendini gösteren bu saldırılar, zamanla çok karmaşık ve pahalı saldırılara dönüştü ve nasıl bir canavar doğurduğumuzu fark etmeye başladık. Ne yazık ki tehdidin tam olarak ne olduğunu ise hala hakkıyla kavrayamadık.
Siber tehdit kavramı içerisinde gün geçtikçe yeni başlıklar açılıyor. Bu listeye daha birçok yeni kavramın ekleneceğini söylemek bir kehanet olmasa gerek. Haberleşme teknolojileri ve bilişim sistemlerindeki gelişme durmadıkça ki duracağa hiç benzemiyor, tehdit artarak devam edecek.
Bilişim çağında gelişmelerin dışında kalmaktan, içine kapalı bir model oluşturmaktan, başkalarının geliştirdiği ürünleri kullanmamaktan, entegre sistemleri bırakıp otonom yapılara dönmekten bahsetmek, olsa olsa ülkeyi çağın gerisine itmek ve lider ülke olma iddiasından vaz geçmesini beklemek olur. Siber tehditlere, paranoya ve komplo teorileri gerekçesi yapmadan, konunun gerektirdiği ciddiyetle yaklaşmak, olası riskleri sağlıklı bir şekilde analiz edip eylem planları hazırlamak ve kolaycılığa kaçmadan global rekabette yer almak en doğru yaklaşım olacaktır. Ülkenin genç beyinlerinin rahatlıkla yönlendirilebileceği dev bir sektör olan bilişim dünyası, kalkınmanın da motor unsurlarından birisi olacaktır.
Her ne kadar tehdit siber olsa da en önemli türlerinden birisi fiziksel erişimler ve doğal tehditlerdir. Öncelikle bilişim sistemlerinin bulundurulduğu yerlerin fiziksel güvenliği sağlanmalıdır. Hem kötü amaçlı erişimler (direkt erişim, sabotaj, enerji sistemleri ile fiber altyapının kesilmesi ve hatta bombalama gibi insan kaynaklı tehditler) için hem de deprem, yangın, sel vb. doğal afetler için alınacak tedbirler, siber tehdidin önlenmesi için atılması gereken ilk adımlardır. Bu amaçla, özellikli binalar yapılmalı, enerji ve fiber altyapıları güzergah yedekli olacak şekilde tesis edilmeli, birbirini canlı olarak yedekleyebilecek farklı coğrafyalara yerleştirilmiş sistemler oluşturulmalıdır. Elbette ki alınacak tedbirler ile var olan risk arasında bir uyum aranmalıdır. Bununla birlikte önümüzdeki en önemli tehdidin “bana bir şey olmaz” yaklaşımı olduğu asla akıllardan çıkarılmamalıdır.
Siber bir saldırının hedefi, bir sistemi durdurmak, kötü amaçla kullanmak, verileri çalmak, olan biteni izlemek, sistemleri kopyalamak vb. çok farklı başlıklar altında toplanabilir. Bu amaçlara ulaşmanın en kolay yolu ise sistem yöneticisi olmaktır. Siber tehditlere karşı alınması gereken en önemli ikinci tedbir, güvenilir insan, denetlenebilir sistemler, etkin izleme ve raporlama ve dağıtılmış yetki kullanımı ile iç atak tehditlerini bertaraf edecek yaklaşımlardır. Bugün hala en önemli siber tehdit iç ataklardır. Bu hem gerçekleşen vakıa sayısı açısından hem de verilen zarar açısından böyledir. Bugünün yetkililerinin geleceğin yetkisizleri olacağı asla akıldan çıkarılmamalıdır.
Ziya Gökalp’in Yüksek Ökçeler hikâyesinde olduğu gibi başımı ağrıtmasınlar da ne halleri varsa görsünler yaklaşımı terk edilmelidir. Özellikle kritik sistemlerde bilgi işlem yöneticisi ile siber güvenlik yöneticisi tamamen bağımsız ve eş yetkili idareciler olmalıdır. Bilgi işlem yöneticisi tüm bilişim sistemlerini kontrol edip yönetirken, güvenlik sistemlerine müdahale yetkisi olmamalı. Aynı şekilde güvenlik yöneticisi de bilgi işlem sistemlerine müdahale yetkisine sahip olmamalıdır. Tüm bunların yanında, unutulmamalıdır ki denetlenmeyen sistem her türlü suiistimale açıktır. Olası iç tehditlere karşı en etkin yollardan birisi de bağımsız dış denetimlerdir. Burada denetçinin bilişim ve/veya siber güvenlik yöneticileri tarafından seçilmemesi, alanında yetkin ve yetkilendirilmiş olması önemlidir. Ayrıca bu çalışmaların, ani denetimler şeklinde planlanması da daha etkili sonuçlar verecektir.
Erişim kaynaklarından gelecek tehditler de dikkate alınması gereken bir diğer husustur. Bu amaçla hazırlanmış virüsler, casus yazılımlar, trojenler, fidye yazılımları vb. birçok kod bulunmaktadır. Tüm bunlara karşı alınabilecek tedbirler sürekli güncellemelerle kullanıma hazırdır. Burada dikkat edilmesi gereken en önemli husus, kullanılan bu yazılımların sürekli güncel tutulmalarıdır. Zararlı yazılımlar en büyük hasarı, yayınlandıkları andan ziyade üzerlerinden belirli bir süre geçtikten sonra vermektedirler. Bunun da en temel sebebi güncellemelerin ihmal edilmesidir. Bu tür yazılımlar dışında korsanlık olarak sınıflandırılan saldırılar da dikkate alınarak sistem tasarımları yapılmalıdır. Zararlı yazılımlar, sistemlerdeki açıkları kullanarak erişim sağlarlar ve amaçlarına ulaşırlar. Bu açıklar bazen sistem ayarlarından kaynaklanırken bazen de kullanılan işletim sistemi, veri tabanı veya uygulama yazılımlarından kaynaklanabilir. Bu tür açıklar için güncellemelere ek olarak alınacak en önemli tedbir, sistemlerin kötü amaçlı olmayan ataklarla test edilmesi ve bulunan açıkların kapatılmasıdır.
Kritik sistemler olarak tasniflenecek altyapılar için alınması gereken tedbirler daha da radikal olmalıdır. Devletin gizli kalması gereken bilgi ve sistemleri, askeri sistemler, nükleer santral veya benzeri kritik tesisler ile enerji, su, doğalgaz şebekesi gibi altyapılar ile bankacılık gibi hassas altyapılar farklı bir kategoride değerlendirilmelidir. Kullanılan tüm yazılım, erişim ve güvenlik altyapıları ile SCADA sistemlerinin arka kapılarının olabileceği değerlendirilerek sistem dizaynı yapılmalıdır. Bu tür altyapılarda milli yazılım ve sistemlerin kullanılmasına dönük çalışmalar planlanmalı ve adımlar hızlıca atılmalıdır. Hatta bu sistemlerin üzerinden çalıştığı fiber ağının bağımsız olması sağlanmalıdır. Almanya ve Rusya örneğinde olduğu gibi bu tür sistemlerde yaygın yazılımların kullanılması engellenmeli ve kontrol edilebilir çözümler yaygınlaştırılmalıdır. Açık kaynak kodlar bu çalışmalar için oldukça geniş bir imkân sunmaktadır. Bu alanda hazırlanmış ürünleri kullanmak tek başına yeterli olmayacaktır. Bu yazılımların tüm kodlarına vakıf kadrolar oluşturulmalı ve sürdürülebilirlik modellemesi yapılarak, yaşayan ve gelişen bir yapı oluşturulmalıdır. Olası sabotajlar için de testler, geliştiriciden tamamen bağımsız bir kurum tarafından yapılmalı ve ilgili yazılım bu aşamadan sonra kullanıma sunulmalıdır. Siber sabotajlar için yapılması gereken bir diğer çalışma da felaket senaryolarının hazırlanması ve sistemlerin otonom çalışmalarını sağlayacak acil eylem planlarının ve tatbikatlarının yapılmasıdır.
Son yıllarda iyice gündemimize giren bulut uygulamaları da ayrıca değerlendirilmelidir. Bazı verilerin bulutta saklanması engellenmeli, bazı durumlar içinse ulusal bir bulut altyapısı oluşturulmalıdır. Bulut yapılandırılmasında kullanılacak şifrelemeler ile ilgili çalışmalar yapılmalı ve mümkünse milli algoritmalar geliştirilmelidir. Bir olay gerçekleştikten sonra suçlunun kim olduğunun bilinmesinin bir anlamı yoktur. Suçlu kim olursa olsun zarar aynıdır.
Ülkenin siber savunması planlanırken atılacak adımlar da ayrıca değerlendirilmelidir. dDos gibi trafik tıkama saldırılarından, korsanlık ve sabotaj saldırılarına kadar tüm saldırılar için, ülkenin internet ve haberleşme girişleri kontrol altında tutulmalı ve gerekli önleyici yatırımlar yapılmalıdır. Bununla birlikte en önemli savunma saldırıdır yaklaşımı dikkate alınmalı ve ülkenin siber saldırı yapabilme kabiliyeti geliştirilmelidir. Kontrollü siber saldırı unsurları, başka ülkelerden gelebilecek olası sistematik saldırılar için caydırıcılık oluşturacaktır.
Son olarak eğer gerçek manada bir siber güvenlikten bahsedeceksek, kullanıcıların bilinçlendirilmesi temel zorunluluktur. Seçilen basit şifreler, güvensiz site ziyaretleri, rastgele bellek kullanımı, umursamazlık vb. birçok ihmal, alınan tüm tedbirlerin anlamsız hale gelmesini sağlamaktadır. Kullanıcıların özeni her türlü güvenlik sisteminin ön koşuludur ve bu hususta ilkokul çağlarından başlayan bir bilinçlendirme çalışmasına ihtiyacımız vardır.
İnsanların kritik bilgilerini jenerik bir mail sisteminde tutması, maillerin kolay erişim gerekçesiyle sürekli olarak bu sistemlerde tutulması ki çoğunluğuna ikinci defa bakılmamaktadır, güvensiz ortamlarda internete çıkılması, bilgisayarlarda ekran koruma şifresi bulundurulmaması, klasörlerin paylaşıma açılması, bilgilerin periyodik olarak yedeklenmemesi gibi onlarca küçük ihmal, çok büyük sorunlara sebep olmuştur ve bundan sonra da olmaya devam edecek gibi görünüyor. Yaşananlarda ders çıkarmak yerine, sorun kendi başına gelince akıllanan bir topluluk olmayı terk etmeliyiz.
Gerek dünya çapında yaşanan skandallar gerekse de özellikle 15 Temmuz işgal girişimi sonrası yüzleşmek zorunda kaldığımız gerçekler, siber tehdit konusunda bir farkındalık oluşturdu. İlk tutuklananlardan birinin başbakanlık bilgi işlem departmanında olması ne kadar ciddi bir konudan bahsettiğimizi ortaya koydu. Bu farkındalık sürekli diri tutulmalıdır. Güvenlik yatırımlarına hala bilişim yöneticilerinin karar verdiğini gördükçe yaşananlardan ders çıkarılmadığını düşünüyoruz. Güvenlik yatırımları konusunda atılması gereken adımlar stratejiktir ve üst yönetimi ilgilendirir. Bilişim yöneticilerini de töhmetten kurtaracak olan bu yaklaşım sayesinde daha güvenli sistemlere sahip olacağız. Ulusal seviyeden başlayarak kademe kademe yapılması gereken planlamalar ile hem kurumlar, hem özel sektör ve hatta bireylere varıncaya kadar siber savunma altyapımız sağlamlaştırılmalı ve sürekli tahkim edilmelidir.