Milli Güvenliğimiz İçin Siber Güvenlik Şart / Trysec Siber Güvenlik A.Ş. Kurucu Ortağı ve Bilgi Güvenliği Yöneticisi Emrullah Akdemir

Emrulah Akdemir

Offensive Security Certified Professional ve Certified Ethical Hacker sertifikalarına sahip.

Ahmet Yesevi Üniversitesi Mühendislik Fakültesi Yönetim Bilişim Sistemleri Yüksek Lisans Mezunu.

2008 yılından beri siber güvenlik alanında çalışmalar yürütüyor.

Büyük sistemlerde bulduğu birçok kritik güvenlik açıkları sayesinde, Google, Facebook ve Microsoft gibi firmalar tarafından ödül ve teşekkürler aldı. Çeşitli ulusal ve uluslararası üniversitelerde siber güvenlik alanında konferanslar verdi. Şu an yalnızca siber güvenliğe yönelik kurduğu şirkette kamu kurumları ve özel sektöre bilgi güvenliği alanında hizmet üretiyor. Kurumların siber güvenlik alanında mağduriyet yaşamaması için sızma testleri gerçekleştiriyor. (Penetrasyon Testi) Ülkemizin siber güvenlik alanındaki personel açığını gidermek için çeşitli eğitimler düzenliyor, online eğitimler veriyor.

Daha önce yaptığımız röportaj’da bahsettiğimiz siber güvenlik alanındaki birçok öngörünün günümüzde gerçekleştiğini gördük. Ülkemizin genç nesillerinden tavsiyelerimizi alan ve bu yönde ilerleyen birçok kişi şu an sektöre dâhil oldu ve gerek özel sektörde gerekse de devlet kurumlarında bu alanda değerlendiriliyor.

Ülkemizin siber güvenlik karnesi ne durumda? Siber güvenliğimizi sağlamlaştırmak için ne gibi adımlar atılmalı? Bu konuda hukuki, etik, teknolojik, altyapı sorunları var mı?

Ülkemizin siber güvenliğe olan ilgisi ve bilgisi gün geçtikçe artmakta. Siber tehdit ve bilgi güvenliği kavramlarının gerek devlet büyüklerimiz tarafından gerekse vatandaşlarımız tarafından fark edilmesi için yaptığımız çalışmaların olumlu sonuçlarını günden güne alıyoruz. İnsanlar eskiye nazaran bu konuda artık daha fazla haberler duyuyor. Bildiğiniz üzere siber güvenlik alanında yetişmiş personel ihtiyacını gidermek için çeşitli kurumlar farklı etkinliklerle çalışmalar yapıyor. Örneğin geçtiğimiz günlerde BTK siber güvenlik alanında hizmet üreten personel ihtiyacını gidermek için bir yarışma düzenledi ve bu yarışmanın sonucunda yararlı olabileceğini düşündüğü kişileri kendi bünyesinde istihdam etti. Bu alan, dünyada olduğu gibi ülkemizde de gerçekten önem verilen bir sektör halini alıyor. Bu alana verilen önemin meyvelerini de yakın dönemde almış bulunuyoruz. Bildiğiniz üzere ülkemizdeki paralel devlet yapılanması olan FETÖ’nün birçok üyesi, Milli İstihbarat Teşkilatı’nın siber güvenlik uzmanlarının titiz çalışması ile tek tek tespit edildi ve devletin en kılcal damarlarına sızmış olan bu örgütün çok daha büyük zararlar vermeleri engellenmiş oldu. Yine bu alanda kurumlarda yapılan yatırımlar sayesinde birçok siber saldırının yıkıcı boyutta olmasının önüne geçildi ve artık insanlar bilgi güvenliğinin olmadığı durumlarda başlarına neler gelebileceğini daha iyi anlıyorlar. Fakat daha önce emekleme aşamasında olarak belirttiğimiz ülkemiz artık yürüme aşamasında diyebilirim. Artık yürümemizin değil koşmamızın vakti gelmiştir. İnsanlarımızın bilgi güvenliği alanında bilinçlenmeleri daha fazla sağlanmalı, siber dolandırıcılar tarafından mağdur edilmelerinin önüne geçilmeli. Oluşturduğumuz yazılım ve sistemlerin güvenliği standart hale getirilmeli ve rutin olarak denetlenmeli. Saldırılar son kullanıcı olan vatandaşlarımıza gelmeden birçok önlem devlet kurumlarımız tarafından önceden alınmalı. Her kurumda, bilgi işlemden hariç özel olarak kurulan siber güvenlik birimleri olmalı. Özellikle son zamanlarda çıkan siber saldırılar kullanıcıların her an tehdit altında olacağı gerçeğini gün yüzüne çıkarmıştır. Bu yüzden tüm sistemlerin güncel tutulması ve güvenlik cihazlarına yatırımların yapılması oldukça önemlidir. Siber saldırılar olduktan sonra bilgilendiren değil, saldırılar gerçekleşmeden önlem alan ve bilinçlendiren ekiplerimiz olmalı. Bundan sonra da siber güvenliğe verilen önemin giderek arttırılması ülkemiz açısından oldukça önemli olacaktır. Çünkü son yıllarda yaşadığımız olaylara baktığımızda artık savaşlar bilgisayar başında yapılıyor. Bizim bu alana yatırımlarımızı gerçekleştirmemiz ve başarılı olmamız için önümüzde teknolojik hiçbir engel yok. Bu tamamen bu alana ayırdığımız bütçeye ve bu bütçenin yönetimi için yetki verdiğimiz doğru kişilerin doğru vizyonuna bakıyor. Bu alanda amatör olarak çalışan ve belli bir vizyonu olmayan gençlerimizin devlet kurumlarımıza ve şirketlerimize kazandırılması daha da arttırılmalı. Yerli bilgi güvenliği firmalarımızın daha fazla desteklenmesi gerekiyor ve bu alandaki yetkinliği ve güvenilirliği olmayan firmaların sektörde öne çıkması engellenmelidir. Çünkü bir ülkede siber güvenlik sektörünü elinde bulunduran firmaların o ülkenin bilişim alt yapısına da yön verdiği su götürmez bir gerçektir. Ülkemizin genelinde yapılan bu alandaki yatırımlarda yapılacak bir yanlışın gelecekteki birkaç yılımızı değil on yıllarımızı heba edebileceği unutulmamalıdır. Özellikle iş yerleri, kendine zarar verecek siber tehditlerin son kullanıcı çalışanlarına ulaşmadan öncesinde engellenmesi için önlemler almalı ve yatırımlar yapmalıdır.

Siber güvenliğimizin sağlanması konusunda milli, yerli yazılım ve teknolojilerin kullanımı ne derece etkili olur? Bunun sağlanması yakın gelecekte mümkün gözüküyor mu? Sadece güvenlik yazılımlarının millileştirilmesi yeterli olacak mı, işletim sistemlerinin de millileştirilmesi gerekli değil mi?

Elbette bir ülkenin milli teknolojilere yaptığı yatırımların arttırılması ve dışa bağımlılığının o denli azaltılması olmazsa olmaz bir konudur. Günümüzde pencereleri demirleyip, evimizin kapısını açık tutmak ne kadar mantıksızsa milli üretim olan işletim sistemleri, donanım ve yazılımlar olmadan siber güvenliğe yapılan yatırımlar da ülkemiz açısından o kadar mantıksızdır. Fakat biz milli yazılım olmadan hiçbir şey olmaz diye yerinde sayan bir ülke olmamalıyız. Bir yandan hızlı bir şekilde milli üretim ve gelişimi devam ettirirken, diğer yandan da mevcut güvenlik teknolojilerinden sonuna kadar yararlanacağız. Dünyanın gerisinde de kalmayacağız. Bunu yaparken de yerli rekabet yapabilen alternatif ürünler ve yazılımlar varken, içerisinde ne olduğu bilinmeyen yazılımların kurumlarımıza alınması bu ülke için yapılan en büyük ihanetlerden biridir. Çünkü artık şu bilinmelidir. Kendi savaş uçağını, uydusunu, teknolojisini üretebilen tüm süper güçlerin dünyada en iyisi olmak adına yazılımlarına arka kapı koydukları yadsınamaz bir gerçektir. İleride muhtemel olabilecek bir savaş senaryosunda kendilerinin sattıkları savaş teknolojilerinin ve yazılımlarının kendilerine karşı kullanılmasını engellemeleri de yine koydukları bu arka kapılar sayesinde olacaktır. Bu yüzden dünyaya söz dinletebilen süper güç olabilmenin şartı, hemen hemen tüm kritik alt yapı, teknoloji ve sistemlerinin milli olması sayesinde olacaktır. Fakat daha önce de bahsettiğimiz gibi şu an bunu her alanda yapamıyor olmamız mevcut teknolojilerden de mahrum kalmamızı engellememelidir. Eğer kısa vade de gerçekleşmesi beklenmeyen bir konu ise, bu alanda yapılacak yatırımlara hız verilmeli ve ihtiyaçlarımızın karşılanması adına da en doğru seçim yapılarak ülkemizin teknolojik alt yapısı düşmanlarımıza karşı diri tutulmalıdır. Tamamen milli bir işletim sistemine geçmeden önce de mevcutlardan en az maliyetli, geliştirilebilir, en fazla güven veren yani kısaca en doğru olan işletim sistemiyle yola devam edilmelidir. Bu konuda devlet büyüklerimize oldukça büyük işler düşüyor.

Siber güvenlik alanında yeterince uzman yetiştirebiliyor muyuz? Bu alanda kendini yetiştirmek isteyen gençler nereden başlamalı?

Ülkemizde siber güvenliğe meraklı ve istekli birçok gencimiz bulunmakta. Artık üniversitelerde bu konu ile ilgili yeni bölümler açılıyor. Bu bölümlerin sayısı daha da arttırılmalı. Fakat bunu yaparken de bu alandan mezun olan öğrencilerin de iş bulabilmeleri için belirli alt yapılar sağlanmalı. Üniversitede bu alanda ders verecek öğretim görevlilerinin gerekirse özel sektör çalışanlarından olması için uygun koşullar oluşturulmalıdır. Bu alandaki yetişmiş insan açığı varken, özellikle siber güvenlik alanında yüksek lisans ve doktora ile akademik kariyerine devam etmek isteyen kişilerin kazandırılması için, çok yüksek sınav kriterleri koyulması, bu gelişimin önünü tıkayacaktır. Burada da dengeli bir plan yapılması gelecek açısından uygun olacaktır. Ülkemizde gençlerimizin en fazla beklenti içerisinde olduğu durumlardan bir tanesi de bir şey öğrenmek için bir okula ya da hocaya ihtiyaç duymaları konusudur. Burada haklı oldukları taraf, nereden başlayacakları ve ne şekilde ilerleyecekleri bilginin başlangıçta okullarda yeterli bir şekilde verilmemesi veya sektörde yanlış bilgilendirme yapan, bilgi kirliliği oluşturan kişilerin fazla olmasıdır. Gençler bu alanda eğer hızlı bir şekilde ilerlemek istiyorlarsa öncelikle ellerinde bulunan tüm teknolojik donanım ve yazılımların temelini öğrenmeye çalışmakla başlamalıdır. Örneğin elinde bir akıllı telefon olan gencimiz bunu sadece sosyal medya ve web sitelerine giriş için kullanmamalı. Siber güvenlikte ufkunun açılması açısından mimarisi, yazılımı ve bu yazılımların kötü yönde değerlendirilmelerinin yolları açısından tanımalıdırlar. Eğer siz mobil telefonlarda uzmanlaşmış bir adli bilişim mühendisi siber güvenlik uzmanı olacaksanız, akıllı telefonların hangi modelinin hangi sürümünde hangi incelemelerin yapılacağını, hangi belleğinde hangi bilginin saklandığını bilmelisiniz. Bunun için de öncelikle bu teknolojileri yakından tanımanız gerekiyor; daha sonrasında da bu teknolojilere yapılan siber tehditleri, incelemeleri ve önlemleri daha iyi anlayabileceksiniz. Bu söylediklerimizi hemen hemen tüm siber güvenlik konularında söylememiz mümkün. Yani bir masaüstü yazılımının açığını keşfetmek için o masaüstü yazılımının dilini bilmeniz sizi kolaylıkla başarıya ulaştıracaktır. Bu alanda gençler eğer bir okula ihtiyaç duymadan kendilerini geliştirmek istiyorlar ise onlar için internette çok faydalı dokümanlar ve kaynaklar bulunmakta. Yakın dönem içerisinde ben de etik hackerlıkla ilgili bir eğitim seti çıkardım ve online olarak gençler dilediği yerden izleyebiliyor ve eğitimin sonundaki sınavda yeterli puan alabilirler ise üniversite onaylı bir başarı sertifikasına sahip olabiliyorlar. Dileyen herkes bu alanda kendini geliştirmek için internet üzerinde merak ettikleri tüm konularda bu gibi farklı kaynak araştırması yapabilir ve bilgili olduğuna inandığı kişilerin sunduğu eğitimlerle kendilerine daha fazla bir şeyler katabilir. Bu sektörde iyi bir temel alarak kendini daha iyi yetiştirebilir.

Türkiye’deki her 2 bilgisayardan birinde zararlı yazılım yüklü olduğu ve bu oranın da dünya ortalamasının üstünde olduğu söyleniyor? Bunu nasıl değerlendiriyorsunuz?

Açıkçası ülkemizde internet kullanıcısının fazla olması, zararlı yazılım bulaşan bilgisayar oranın yüksek olmasının sebeplerinden biri olarak gösterilebilir. Bu oranları genelde anti-virüs firmaları bizlere sunduğu için bu oranı doğrulama şansımız yok. Ama eğer bu oranı yorumlarsak, tespit edilen zararlı yazılımların ne derece zararlı olduğuna göre bu oran değişebilir. Örneğin, arka kapı bulaştırması muhtemel ve yasadışı lisanslama için kullanılan keygen yazılımları veya tarayıcıların ana sayfalarını değiştiren reklam amaçlı zararlı yazılımların yaygınlığını da düşünürsek bu oran normal gözüküyor. Kullanıcılar bu konuda daha fazla dikkat etmeli. Özellikle güvenmedikleri web sayfalarını ziyaret etmemeli, mail kutularına gönderilen her dosyayı doğrudan açmamalı, işletim sistemlerinin ve anti virüs yazılımlarının güncelliğine dikkat etmeleri gerekiyor.

Siber güvenlik konusunda farkındalığın arttırılması konusunda hangi adımlar atılmalı?

Siber güvenlik alanında yapılan paneller, sempozyumlar, yerli kısa ve uzun metrajlı filmler ve röportajlar arttırılmalı. Sokaktaki insanlarımızın daha bilinçli olması için sosyal deneyler yapılmalı. Görsel medyada artık bu konuda da kamu spotları yapılmalıdır. İnsanlarımızda oluşturulan siber güvenlik alanındaki farkındalıkla, artık şifre güvenliğinin neden önemli olduğu konusundan çok daha ileri seviyelerde siber güvenlik konularını konuşacak bir bilinçli toplum inşa etmeliyiz. Böylelikle gelecekte çok daha fazla artacak olan siber silahlar ve siber savaş konularına daha fazla hazırlıklı olabiliriz. İnsanlara nükleer silahın zararını anlatırken nasıl Hiroşima ve Nagazaki şehirleri örnek gösteriliyor ise, bir siber saldırının nükleer santrallerimizde vereceği hasarın da o derece önemli olabileceği, insanlarımıza gösterilmelidir.

NSA’in istediği zaman, istediği sistemlere giriş yapıp izleme, dinleme faaliyetlerinde bulunabildiği konusunda gerçeklik payı var mı, yoksa bu konuyu internet efsanesi olarak mı değerlendirmeliyiz?

Şimdi bu konuyu sadece söylediklerim üzerinden düşünelim ve bunun bir efsane mi yoksa gerçeklik payı olan bir konu mu olduğunu anlamaya çalışalım. Açıkçası bu konudaki söylenen şeylerin ortaya çıkmasındaki sebeplere, NSA’in elde ettiği imkânlardan çok NSA’ye bizler tarafından verilen imkânların neden olduğunu anlamamız gerekiyor. Örneğin, kendimizin milli güvenilir ve dünyadaki rakipleriyle yarışabilir bir mesajlaşma yazılımı olmadığı için tüm özel yazışmalarımızı Whatsapp ve Telegram gibi mesajlaşma programlarına gözümüz kapalı teslim ettik. Alt yapısı yüksek kapasiteli bir yerli e-posta sağlayıcımız olmadığı için maillerimizi Gmail ve Microsoft gibi şirketlere emanet ettik. Tüm fotoğraflarımızı, en özel videolarımızı ve arkadaş bilgilerimizi kontrolsüzce Facebook, Instagram, Dropbox, Youtube gibi şirketlere verdik. Gittiğimiz tüm mekânların listesini GPS verilerimizi anlık olarak takip eden Swarm, Apple ve Google gibi şirketlere sunduk. Telefon, tablet vb. akıllı cihazların mikrofonlarına herhangi bir anda erişimleri için, Messenger tarzı uygulamalara süresiz yetkiler verdik. Milli ve tamamen yerli bir işletim sistemimiz olmadığı için tüm bilgisayarlarımızı kapalı kutu olan işletim sistemlerine emanet ettik. Belki bunların birçoğu önlenemez bir şekilde gelişti fakat şunu bilmeliyiz ki birçoğu da kesinlikle kontrollü olarak önlenebilirdi. Daha önce de bahsettiğimiz gibi süper güçler tarafından bize sunulan tüm teknolojik yenilikler, şimdi ve gelecekte kendi çıkarları için kullanmak üzere yönlendirilmiştir. Özellikle yukarıda saydığım tüm şirketler koşulsuz şekilde ABD’nin ulusal güvenlik kurumu NSA’in çıkarları için baskı altında kalarak veri sağlamakta kimisi de gönüllü olarak hizmet etmektedir. Hal böyle olunca NSA gibi bir kurum, sadece bizim gönüllü olarak sunduğumuz imkânlarla anlık olarak istediği bir kişinin GPS verilerini takip ederek bulabileceği, mail ve mesajlarını okuyabileceği, anlık milyonlarca kişiye yüz ve ses taraması yapabileceği, istediği zaman istediği kişinin telefonunu açarak eşleşen sesleri dinleyebileceği, istediği bir evdeki akıllı televizyonun kamerasını açarak en mahrem görüntüleri dahi alabileceği bir imkâna sahip oldu. Bütün bunları yapmak belki biraz maddi imkan ve alt yapı meselesidir fakat şunu bilmek gerekir ki her şeyden önce bunlar bir vizyon meselesidir. Neyi ne için kullanacağını, ne şekilde yönlendireceğini çok iyi bilen süper güçler, buldukları her fırsatı değerlendirdiler ve ellerinde muazzam bir veri kaynağı oluştu. Zaten ellerindeki teknoloji ve yetişmiş insan kaynağı olunca da, bazılarına hayali gelen şeylerin birçoğunun gerçekleşmesi kolay oldu. Askeri ve sivil uydu verilerimizi, istihbari bilgilerimizi, en önemli stratejik belgelerimizi FETÖ gibi terör örgütlerine çaldırdığımız gerçeğini saymıyorum bile… Şimdi kendimize soralım: Gerçekten NSA istediği birçok kişiyi izlemiş ya da izliyor mudur? Sonuca ve işin aslına gelirsek, bütün bunlar bizi korkutacak ve yıldıracak şeyler değildir. Çünkü biz bütün bunlara rağmen dimdik ayakta duran, elindeki kısıtlı imkânlarla bile birçok şeyi başaran bir millet olmayı her zaman başarmışızdır. Bizim yapmamız gereken şeyler ise pes etmeden daha fazla çalışmak, yeni teknolojiler geliştirmek ve bu verileri onların elinden kolayca söküp alabilmenin yollarını keşfetmektir. İşte bu yüzden siber güvenlikten sonra ofansif kabiliyeti olan bir siber ordunun gerekliliği ortaya çıkmaktadır. Saydığımız bütün bu nedenlerden dolayı en fazla yatırım yapılacak alanlardan bir tanesi de milli güvenlik için siber güvenlik olmalıdır.

Pek çok uluslararası şirketin ürünlerinde son kullanıcının izni olmadan kullanıcının bilgilerini kendi sunucularına aktardığı, akıllı TV’lerin kapalı olsalar dahi ortamda video ve ses kaydı yapabildiği konusunda iddialar var. Bu konuyu değerlendirir misiniz?

Daha önce de bahsettiğim gibi gerek bilinçli olarak üreticiler tarafından yerleştirilen arka kapılar sayesinde gerekse de yazılımlar veya donanımlar üzerindeki güvenlik açıklarından yararlanarak bu tür cihazların mikrofon ve kameralarına erişmek mümkündür. Günden güne akıllı TV veya mobil telefonun sözde yönetimi için dinlemede bekletilen mikrofonların gerçek amaçlarıyla ilgili biz güvenlik uzmanları tarafından dikkat çekilen birçok şüpheli durum vardır. Facebook gibi platformların mobil tarayıcılar üzerinden mesajlaşma sistemini tamamen kaldırmıştır. Bunun yerine Facebook’un, mikrofon, kamera gibi gerekli gereksiz tüm izinlere erişmek isteyen Messenger uygulamasının kullanılmaya zorlaması oldukça şüpheli bir durumdur. Daha önce de yapılan araştırmalarda Facebook Messenger gibi uygulamaların ortam dinlediği ile alakalı birçok araştırmalar yapılmış ve maalesef bizim açımızdan çok da iç açıcı sonuçlar çıkmamıştır. Çünkü sadece belirli kelimelerin kullanıldığı ve sadece Facebook uygulamasının kurulu olduğu bir akıllı telefonun yanında çeşitli kelimeler kullanılarak konuşmalar gerçekleştirilmiş ve sonucunda Facebook’un bilgisayar üzerinden aynı hesap ile oturum açıldığı anda kullanıcıya o mobil telefon yanında konuşulan konular ile alakalı reklamlar gösterilmiştir. Bu araştırmaların sonuçları da bunun bize tesadüf olamayacağını birçok yönden göstererek şüphe uyandırmaktadır. Ayrıca bazı akıllı telefonlardaki uygulamaların anlık komut alması için beklettiği mikrofon dinlemesi gibi durumlar bunların teknik açıklamasına dayanak oluşturmaktadır. Sesli olarak yönetebildiğiniz uygulamalar anlık olarak komutunuzun algılanabilmesi için açık tutulmaktadır. Aynı şekilde akıllı TV’lerinde bu alt yapısı olduğu bilindiğine göre bu tip şeylerin olması elbette mümkün. Tabi üreticilerin bu konuyu kullanıcı iyileştirmeleri veya reklamlar için kullandığı açıklamalarını ciddiye almayan biz uzmanlara, bu iddialar sonucunda kendimizin üretmediği teknolojiye karşı sadece şüphe duymanız gerektiğini söylemek düşüyor. Söylediğimiz şeylerin birçoğu paranoyakça gelebilir fakat günümüzde ortaya çıkan ve birçok kişisel verilerimizin mahremiyetini zedeleyen olaylar maalesef şüpheleri bir üst seviyeye çıkarmaya yetmiştir.

Kullanıcılara güvenlik için hangi tavsiyelerde bulunmak istersiniz?

Her zaman bahsettiğimiz gibi bilgi güçtür. Gelişi güzel internet üzerinde ortaya saçılan her özel bilgi bir gün sizi zor duruma düşürebilir. Bu yüzden kullanıcılar özellikle sosyal medyada kişisel ve özel bilgilerini paylaşırken dikkat etmeli. Sosyal medya ve teknolojiden ihtiyacınız kadar yararlanmalı, fakat asla kontrol edemeyeceği kadar abartmamalıdır. Akıllı telefon, tablet ve diğer cihazlarınız için sunulan uygulamalara gelişigüzel izinler vermemeli. Kullanıcılar özellikle güvenmediği, tanımadığı kişilerden gelen epostaları, taşınabilir bellekleri vs. açarken dikkatli olmalıdır. Bilinmeyen kaynaklar tarafından gelen her uygulamayı bilgisayarlarınız üzerinde çalıştırmamalısınız. Cihazlarınıza gelen özellikle güvenlik güncellemelerini ihmal etmemelisiniz. Artık basit şifre kullanımından vazgeçmeliler. Çoklu doğrulama seçenekleri ile hesaplarını güvence altına almalılar. Bilmedikleri teknolojileri kullanırken mutlaka uzmanlardan tavsiye almalılar.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.