Skip to main content

Yazar: AVD Teknoloji

Siber Tehditler ve Çözüm Yaklaşımları

Yazan AVD Teknoloji içinde . Yayınlanan Blog Yorum yok Siber Tehditler ve Çözüm Yaklaşımları

Bilişim ve haberleşme teknolojilerinde yaşanan gelişmeler hayatımızı kolaylaştırırken daha önce hayatımızda olmayan bir sorunla tanıştırdı bizleri: Siber tehdit! Hayatımızı kolaylaştırmak için tasarladığımız ve kullandığımız sistemler birden bir tehdit unsuruna dönüştü ve nasıl korunacağımıza dair fikirler üretmeye ve çözümler bulmaya başladık. İlk başlarda basit sorunlar olarak kendini gösteren bu saldırılar, zamanla çok karmaşık ve pahalı saldırılara dönüştü ve nasıl bir canavar doğurduğumuzu fark etmeye başladık. Ne yazık ki tehdidin tam olarak ne olduğunu ise hala hakkıyla kavrayamadık.

Siber tehdit kavramı içerisinde gün geçtikçe yeni başlıklar açılıyor. Bu listeye daha birçok yeni kavramın ekleneceğini söylemek bir kehanet olmasa gerek. Haberleşme teknolojileri ve bilişim sistemlerindeki gelişme durmadıkça ki duracağa hiç benzemiyor, tehdit artarak devam edecek.

Bilişim çağında gelişmelerin dışında kalmaktan, içine kapalı bir model oluşturmaktan, başkalarının geliştirdiği ürünleri kullanmamaktan, entegre sistemleri bırakıp otonom yapılara dönmekten bahsetmek, olsa olsa ülkeyi çağın gerisine itmek ve lider ülke olma iddiasından vaz geçmesini beklemek olur. Siber tehditlere, paranoya ve komplo teorileri gerekçesi yapmadan, konunun gerektirdiği ciddiyetle yaklaşmak, olası riskleri sağlıklı bir şekilde analiz edip eylem planları hazırlamak ve kolaycılığa kaçmadan global rekabette yer almak en doğru yaklaşım olacaktır. Ülkenin genç beyinlerinin rahatlıkla yönlendirilebileceği dev bir sektör olan bilişim dünyası, kalkınmanın da motor unsurlarından birisi olacaktır.

Her ne kadar tehdit siber olsa da en önemli türlerinden birisi fiziksel erişimler ve doğal tehditlerdir. Öncelikle bilişim sistemlerinin bulundurulduğu yerlerin fiziksel güvenliği sağlanmalıdır. Hem kötü amaçlı erişimler (direkt erişim, sabotaj, enerji sistemleri ile fiber altyapının kesilmesi ve hatta bombalama gibi insan kaynaklı tehditler) için hem de deprem, yangın, sel vb. doğal afetler için alınacak tedbirler, siber tehdidin önlenmesi için atılması gereken ilk adımlardır. Bu amaçla, özellikli binalar yapılmalı, enerji ve fiber altyapıları güzergah yedekli olacak şekilde tesis edilmeli, birbirini canlı olarak yedekleyebilecek farklı coğrafyalara yerleştirilmiş sistemler oluşturulmalıdır. Elbette ki alınacak tedbirler ile var olan risk arasında bir uyum aranmalıdır. Bununla birlikte önümüzdeki en önemli tehdidin “bana bir şey olmaz” yaklaşımı olduğu asla akıllardan çıkarılmamalıdır.

Siber bir saldırının hedefi, bir sistemi durdurmak, kötü amaçla kullanmak, verileri çalmak, olan biteni izlemek, sistemleri kopyalamak vb. çok farklı başlıklar altında toplanabilir. Bu amaçlara ulaşmanın en kolay yolu ise sistem yöneticisi olmaktır. Siber tehditlere karşı alınması gereken en önemli ikinci tedbir, güvenilir insan, denetlenebilir sistemler, etkin izleme ve raporlama ve dağıtılmış yetki kullanımı ile iç atak tehditlerini bertaraf edecek yaklaşımlardır. Bugün hala en önemli siber tehdit iç ataklardır. Bu hem gerçekleşen vakıa sayısı açısından hem de verilen zarar açısından böyledir. Bugünün yetkililerinin geleceğin yetkisizleri olacağı asla akıldan çıkarılmamalıdır.

Ziya Gökalp’in Yüksek Ökçeler hikâyesinde olduğu gibi başımı ağrıtmasınlar da ne halleri varsa görsünler yaklaşımı terk edilmelidir. Özellikle kritik sistemlerde bilgi işlem yöneticisi ile siber güvenlik yöneticisi tamamen bağımsız ve eş yetkili idareciler olmalıdır. Bilgi işlem yöneticisi tüm bilişim sistemlerini kontrol edip yönetirken, güvenlik sistemlerine müdahale yetkisi olmamalı. Aynı şekilde güvenlik yöneticisi de bilgi işlem sistemlerine müdahale yetkisine sahip olmamalıdır. Tüm bunların yanında, unutulmamalıdır ki denetlenmeyen sistem her türlü suiistimale açıktır. Olası iç tehditlere karşı en etkin yollardan birisi de bağımsız dış denetimlerdir. Burada denetçinin bilişim ve/veya siber güvenlik yöneticileri tarafından seçilmemesi, alanında yetkin ve yetkilendirilmiş olması önemlidir. Ayrıca bu çalışmaların, ani denetimler şeklinde planlanması da daha etkili sonuçlar verecektir.

Erişim kaynaklarından gelecek tehditler de dikkate alınması gereken bir diğer husustur. Bu amaçla hazırlanmış virüsler, casus yazılımlar, trojenler, fidye yazılımları vb. birçok kod bulunmaktadır. Tüm bunlara karşı alınabilecek tedbirler sürekli güncellemelerle kullanıma hazırdır. Burada dikkat edilmesi gereken en önemli husus, kullanılan bu yazılımların sürekli güncel tutulmalarıdır. Zararlı yazılımlar en büyük hasarı, yayınlandıkları andan ziyade üzerlerinden belirli bir süre geçtikten sonra vermektedirler. Bunun da en temel sebebi güncellemelerin ihmal edilmesidir. Bu tür yazılımlar dışında korsanlık olarak sınıflandırılan saldırılar da dikkate alınarak sistem tasarımları yapılmalıdır. Zararlı yazılımlar, sistemlerdeki açıkları kullanarak erişim sağlarlar ve amaçlarına ulaşırlar. Bu açıklar bazen sistem ayarlarından kaynaklanırken bazen de kullanılan işletim sistemi, veri tabanı veya uygulama yazılımlarından kaynaklanabilir. Bu tür açıklar için güncellemelere ek olarak alınacak en önemli tedbir, sistemlerin kötü amaçlı olmayan ataklarla test edilmesi ve bulunan açıkların kapatılmasıdır.

Kritik sistemler olarak tasniflenecek altyapılar için alınması gereken tedbirler daha da radikal olmalıdır. Devletin gizli kalması gereken bilgi ve sistemleri, askeri sistemler, nükleer santral veya benzeri kritik tesisler ile enerji, su, doğalgaz şebekesi gibi altyapılar ile bankacılık gibi hassas altyapılar farklı bir kategoride değerlendirilmelidir. Kullanılan tüm yazılım, erişim ve güvenlik altyapıları ile SCADA sistemlerinin arka kapılarının olabileceği değerlendirilerek sistem dizaynı yapılmalıdır. Bu tür altyapılarda milli yazılım ve sistemlerin kullanılmasına dönük çalışmalar planlanmalı ve adımlar hızlıca atılmalıdır. Hatta bu sistemlerin üzerinden çalıştığı fiber ağının bağımsız olması sağlanmalıdır. Almanya ve Rusya örneğinde olduğu gibi bu tür sistemlerde yaygın yazılımların kullanılması engellenmeli ve kontrol edilebilir çözümler yaygınlaştırılmalıdır. Açık kaynak kodlar bu çalışmalar için oldukça geniş bir imkân sunmaktadır. Bu alanda hazırlanmış ürünleri kullanmak tek başına yeterli olmayacaktır. Bu yazılımların tüm kodlarına vakıf kadrolar oluşturulmalı ve sürdürülebilirlik modellemesi yapılarak, yaşayan ve gelişen bir yapı oluşturulmalıdır. Olası sabotajlar için de testler, geliştiriciden tamamen bağımsız bir kurum tarafından yapılmalı ve ilgili yazılım bu aşamadan sonra kullanıma sunulmalıdır. Siber sabotajlar için yapılması gereken bir diğer çalışma da felaket senaryolarının hazırlanması ve sistemlerin otonom çalışmalarını sağlayacak acil eylem planlarının ve tatbikatlarının yapılmasıdır.

Son yıllarda iyice gündemimize giren bulut uygulamaları da ayrıca değerlendirilmelidir. Bazı verilerin bulutta saklanması engellenmeli, bazı durumlar içinse ulusal bir bulut altyapısı oluşturulmalıdır. Bulut yapılandırılmasında kullanılacak şifrelemeler ile ilgili çalışmalar yapılmalı ve mümkünse milli algoritmalar geliştirilmelidir. Bir olay gerçekleştikten sonra suçlunun kim olduğunun bilinmesinin bir anlamı yoktur. Suçlu kim olursa olsun zarar aynıdır.
Ülkenin siber savunması planlanırken atılacak adımlar da ayrıca değerlendirilmelidir. dDos gibi trafik tıkama saldırılarından, korsanlık ve sabotaj saldırılarına kadar tüm saldırılar için, ülkenin internet ve haberleşme girişleri kontrol altında tutulmalı ve gerekli önleyici yatırımlar yapılmalıdır. Bununla birlikte en önemli savunma saldırıdır yaklaşımı dikkate alınmalı ve ülkenin siber saldırı yapabilme kabiliyeti geliştirilmelidir. Kontrollü siber saldırı unsurları, başka ülkelerden gelebilecek olası sistematik saldırılar için caydırıcılık oluşturacaktır.

Son olarak eğer gerçek manada bir siber güvenlikten bahsedeceksek, kullanıcıların bilinçlendirilmesi temel zorunluluktur. Seçilen basit şifreler, güvensiz site ziyaretleri, rastgele bellek kullanımı, umursamazlık vb. birçok ihmal, alınan tüm tedbirlerin anlamsız hale gelmesini sağlamaktadır. Kullanıcıların özeni her türlü güvenlik sisteminin ön koşuludur ve bu hususta ilkokul çağlarından başlayan bir bilinçlendirme çalışmasına ihtiyacımız vardır.

İnsanların kritik bilgilerini jenerik bir mail sisteminde tutması, maillerin kolay erişim gerekçesiyle sürekli olarak bu sistemlerde tutulması ki çoğunluğuna ikinci defa bakılmamaktadır, güvensiz ortamlarda internete çıkılması, bilgisayarlarda ekran koruma şifresi bulundurulmaması, klasörlerin paylaşıma açılması, bilgilerin periyodik olarak yedeklenmemesi gibi onlarca küçük ihmal, çok büyük sorunlara sebep olmuştur ve bundan sonra da olmaya devam edecek gibi görünüyor. Yaşananlarda ders çıkarmak yerine, sorun kendi başına gelince akıllanan bir topluluk olmayı terk etmeliyiz.

Gerek dünya çapında yaşanan skandallar gerekse de özellikle 15 Temmuz işgal girişimi sonrası yüzleşmek zorunda kaldığımız gerçekler, siber tehdit konusunda bir farkındalık oluşturdu. İlk tutuklananlardan birinin başbakanlık bilgi işlem departmanında olması ne kadar ciddi bir konudan bahsettiğimizi ortaya koydu. Bu farkındalık sürekli diri tutulmalıdır. Güvenlik yatırımlarına hala bilişim yöneticilerinin karar verdiğini gördükçe yaşananlardan ders çıkarılmadığını düşünüyoruz. Güvenlik yatırımları konusunda atılması gereken adımlar stratejiktir ve üst yönetimi ilgilendirir. Bilişim yöneticilerini de töhmetten kurtaracak olan bu yaklaşım sayesinde daha güvenli sistemlere sahip olacağız. Ulusal seviyeden başlayarak kademe kademe yapılması gereken planlamalar ile hem kurumlar, hem özel sektör ve hatta bireylere varıncaya kadar siber savunma altyapımız sağlamlaştırılmalı ve sürekli tahkim edilmelidir.

Yerlileştirme Ama Nasıl?

Yazan AVD Teknoloji içinde . Yayınlanan Blog Yorum yok Yerlileştirme Ama Nasıl?

Son yıllarda ciddi atılımlar yapan ülke ekonomisi, kamu yatırımları ve ihracat ile büyük bir değişim yaşadı. Yatırımların ilk yıllarında, yabancı yükleniciler, yabancı üreticiler ve hatta yabancı iş gücü sahne aldı. Bu durum proje maliyetlerinin yüksek, uygulama sürelerinin ise uzun olmasına sebep oldu. Yıllar içerisinde birçok projede yerli yüklenici ve iş gücü etkin aktör haline dönüştü. Bu dönüşümün doğal bir sonucu olarak yerli üreticilerin de projelerdeki payı yükseldi. Bu yükseliş, bir politikanın mı sonucu yoksa yerli yüklenicinin maliyetlerini kontrol etme refleksinin mi sonucu olduğu tartışmaya açık. Bazı projelerde yerlileştirme maddeleri olmakla birlikte, yerlileştirme konusunda gerekli tedbirlerin alındığını söylemek zor.

Yerlileştirmenin önünde temel bazı engeller var. Bunlar kısaca referans eksikliği, standartlara uyum, maliyet, kalite ve uluslararası sertifikasyon ihtiyaçları olarak sıralanabilir. Tüm kurumlar kendi uhdelerindeki projelerin sağlıklı bir şekilde ve vaktinde tamamlanmasından sorumlu. Bu kapsamda kullanılacak ürünlerin daha önceki projelerde kullanılmış olması, olası problemleri engellemek için bir güvence oluşturuyor. Bu durum yerli girişimcinin ürettiği ürünün ilk referansını elde etmesini güçleştiriyor. Bu konuda fırsat verilen bazı ürünlerin zaman içerisinde sorun çıkarması ise benzer durumlarda seçimlerin daha önce kullanılmış ve dolayısıyla yabancı üründen yana yapılmasını zaruri kılıyor.

Yerli ürünlerin beklentileri karşılamamasının en önemli sebepleri, üretilecek ürünlerle ilgili standartların oluşmamış olması, şartname maddelerinin detaylara inmeden, temel gereksinimlerle sınırlanmış olması, çoğunlukla ürün kopyalama yönteminin kullanılması, mühendislik hizmetlerinin gereğince yürütülmemiş olması ve gerekli testlerin uygun koşullarda yapılmaması olarak sıralanabilir.

Özellikle çok büyük projelerdeki küçük kalemler çoğunlukla hiç tanımlanmazken, işletmecinin tecrübesi ile proje uygulama safhasında netleşiyor. Basit bir klemensin dahi yurt dışından alınmasını salık veren kontrol teşkilatının, yerli ürünlere sırt dönmesinin nedeni işte bu eksiklikten kaynaklanıyor. Beş yıl sonra yerli ürün ne olacak, acaba bu zorlu şartlara karşı dayanabilecek mi gibi sorunlar, “denenmişi kullan, başını ağrıtma” refleksini doğuruyor. Yerli üreticinin sadece ürün tasarlama ve üretmenin ötesinde, test ve sertifikasyon ile de eş zamanlı olarak ilgilenmesi gerekiyor. Bu çalışmalar, kurumlara verilecek bir evrak olmaktan öte, ürünün istenen şartlara uygun, rekabet edebilir hatta üstün bir ürün olması için zaruri ve toplam maliyeti düşürücü faaliyetler olarak algılanmadığı sürece yerlileştirme çalışmaları düşe kalka ilerlemeye devam edecek.

Yerlileştirmenin politika halinde algılandığı başarılı uygulamalar dikkate alındığında doğru yol haritası da ortaya çıkıyor. Örneğin yerli ray üretimi ile ilgili TCDD ile Karabük Demir Çelik Fabrikaları’nın yaptığı çalışma bunun en başarılı örneklerinden birini teşkil ediyor. Bu denli büyük yatırım gerektiren ve potansiyel aktörlerin sınırlı olduğu alanlarda yürütülen çalışmalar, alım garantileri vb. çözümlerle yasal bir güvenceye alınırken, göreli küçük (yatırımcısı için gayet büyük) yatırımlar için benzeri bir mekanizma işletilemiyor. Halbuki benzer projelerdeki yeni fırsatlar ve makine parkının kullanılabileceği farklı ürünler dikkate alındığında, bu tür yerlileştirmeler de ciddi ekonomik canlılık üretmeye talip durumda.

Bin liraya yurt dışından getirilecek bir ürün, yerli olarak üretildiğinde en az beş altı farklı firma ve bunun birkaç katı işçi bu üretime katkı sağlıyor ve yurt dışına aktarılan kaynak ürün bedelinin belki onda birine veya daha altına düşebiliyor. Bu özellikle KOBİ’lerin iş potansiyelini yükseltirken bir aşama sonra yurt dışına ürün satar hale evrilmelerinin de ilk adımını oluşturuyor.

Peki bu kadar faydalı bir şey neden yapılmaz? Özellikle KOSGEB bu tür yatırımlarda ciddi destekler sağlıyorken ve girişimcinin risklerinin bir kısmı bu tür fonlarla karşılanabiliyorken neden yerlileştirme ağır aksak ilerliyor? İşte burada, yukarıda sıraladığımız sorunlar baş gösteriyor. Sorunları irdelersek, aşağıdaki tespitleri yapabiliriz.

  1. Bu tür yatırımları yapabilecek girişimcinin çoğunlukla bu fırsatlardan haberi olmuyor. Devasa bir yatırımın içerisindeki bir man holün, kompozit malzemeden üretilebileceğini, bu işi yapma potansiyeline haiz bir sanayici çoğunlukla fark edemiyor. Bu işlere talip yerli yüklenici veya alt yükleniciler böyle bir arayışa girdiğinde bu fırsat bir yatırımın tetikleyicisi olabiliyor, değilse yıllarca ya daha pahalı üretim teknikleri kullanılıyor ya da yurt dışından ürün tedarik edilmeye devam ediliyor. Bu konuda ihaleyi yapan idarelerle iletişime geçecek meslek örgütleri ve sivil toplum teşebbüslerine ciddi sorumluluklar düşüyor.
  2. Üretim ilk yatırım maliyetlerinin tek bir projeden karşılanamayacağı durumlarda, oluşan risk girişimciyi engelleyebiliyor. Halbuki gelecekteki projeler dikkate alındığında oluşacak fayda dikkate alındığında gayet faydalı olabilecek yatırımlar bu yüzden erteleniyor veya yapılmıyor. Burada Ar-Ge fonlarında aranan kriterlerin sıkılığı üzerine eleştiriler yapmak istiyorum. Yerlileştirmenin bir kısmı bu fonlarla karşılanabilirken, yenilikçilik olmadığı gerekçesi ile desteklenmeyen yerlileştirme çalışmaları, ciddi fırsatların yitirilmesine sebep oluyor. Asla ürüne dönüşmeyecek sözde Ar-Ge projelerine ayrılan kaynakların bir kısmının bu tür alanlara yönlendirilmesi ve daha ciddi kriterlerle denetlenmesi (örneğin üretim veya ürüne dönüşme garantisi, desteğin üretim sonrası satışla irtibatlandırılması vb.) sonucu ülke ekonomisine ciddi artı değerler eklenebilir.
  3. Üretim süreçlerinde oluşan kalite problemleri ise engellerin bir diğer boyutunu oluşturuyor. Mühendislik çalışmalarının önemsenmediği bir üretim süreci, en nihayetinde sürdürülebilir olmayan bir kalite kavramı oluşturuyor. Tamamen üretim maliyeti odaklı düşünmeye koşullanmış zihinler, toplam sahip olma maliyetini hesaba katmadığı için ürünler ya kullanılabilir durumda olmuyor ya da kullanan kurum veya girişimciyi canından bezdiriyor. Bu konu ile ilgili dikkat çekmek istediğim husus, ürün tariflerinin mühendislik parametreleri ile yapılması kousunda olacak. Yukarıda zikrettiğim man hole örneğinden yola çıkarsak, plastik veya kompozit malzemeden kaliteli bir ürün çıkaran kişi daha ikinci seferinde çok daha ucuz ama kalitesiz bir ürünü ikame olarak sunabiliyor. Burada problem ürünün sağlaması gereken özelliklerin tanımlanmamış olmasından başlıyor, kaç kilogram yük taşıyabilecek, toz ve su koruması ne olacak, çekme ve eğme direnci ne olacak, yanmazlık kriterleri, yaşlandırma beklentileri vb. birçok husus şartnamede detaylı bir şekilde veya bir standarda değinmek suretiyle tanımlanmadığı gibi, kurumun bilgi havuzunda da bu ürünle ilgili bir tanımlama bulunmuyor. İş tamamen kontrol teşkilatının tecrübesi ve yerlileştirmeye yaklaşımı ile baş başa bırakılıyor. Hâlbuki bir şekilde bu veriler hazırlanmış olsa, kalite koşulunu sağlamayan bir ürünün teklif edilmesi söz konusu olamayacağından, kontrol teşkilatı da gönül rahatlığı ile yerli ürünü kullanacaktır.
  4. Son olarak da sertifikasyon çalışmalarına değinmek istiyorum. Üretilen ürünlerin belirli standartları sağladığı ve bunun sürdürülebilir bir süreç olduğunun belgelenmesini sağlayan sertifikalar konusunda da ciddi bir açmazımız bulunuyor. Özellikle yurt dışına ürün satarken ihtiyaç duyulacak olan bu belgelerin bir kısmı ne yazık ki resmen satın alınıyor. Bu durum sertifikanın vadettiği sürdürülebilir kalitenin sağlanmamasına sebep oluyor. Hâlbuki üretim süreçlerinin iyileştirilmesini sağlayacak bu çalışmalar, şirketlerin genel iş yapma yaklaşımlarında da iyileştirmeler yaparak topyekûn ilerlemesine vesile olabilecekken, olay sadece kuruma evrak sunabilmek olarak algılandıkça beklenen faydalar sağlanamayacak. Bu kapsamda sertifikasyon kurumlarının denetlenmesi, KOBİ’lerin bu tür çalışmalar konusunda desteklenmesi ve talep edilen sertifikaların ürün ayıklayıcı değil ihtiyaç tanımlayıcı olmasının sağlanması çözüme katkı sağlayacaktır.

Yerlileştirme çalışmalarına daha fazla öncelik verilmesi konusunda, gerek kurumlar, gerek meslek örgütleri ve gerekse de sanayiciler tarafında yapılması gerekenlerin yapılması, geleceğe daha güvenle bakabilen bir ülkenin inşasında önemli bir tuğlanın yerine konması olacaktır. Bu konuda başarılı sonuçlar elde etmiş ülkelerin süreçlerinin incelenmesi de olumlu katkılar sunacaktır. Kaba işçilikten ziyade, artı değeri yüksek ve global pazara sunulabilir ürünler üretmek için ihtiyaç duyduğumuz “ilk müşteri” elimizin altında iken bu fırsatı kaçırmamalıyız. Devlet yatırımları son sürat devam ederken daha fazla yerli ürünün önü açılmalı ve bölgemizde yaşanan ve yüreğimizi yakan yıkımın süreci tamamlandığında başlayacak yeniden imar faaliyetlerinde daha fazla rol almak üzere hazır beklemeliyiz.