Başta güvenlik uzmanları, blogger arkadaşlar, güvenliği merak eden, bilgi güvenliği sektöründe çalışan veya çabalayan, devlet yetkilileri, devlet yetkililerine bu konuda danışmanlık yapan kişiler, milletvekilleri, akademisyenler ve güvenlik konusuna önem veren herkesi bu manifestoya davet ediyorum.
Güvenlik uzmanları; göreviniz ne olursa olsun, Siber Savaşlar ve Siber saldırılar konusunda ülkemizin ne kadar büyük bir risk içerisinde olduğunu en iyi siz biliyorsunuz. Bu manifesto ile, biraz da olsa farkındalığı artırabilir, insanlara bu bilinci aşılayabiliriz.
Devlet yetkilileri, TBMM milletvekilleri; biz ne kadar haykırsak da bu konuda hareket edecek olan kişiler sizlersiniz. Ülkemizin geleceğini düşünmek zorundayız. Sağcı ya da solcu hiçbir fark gözetmeden, bu konuda birleşmek ve ülkenin en önemli enerji kaynaklarını bu tarz saldırılara karşı güçlendirmek zorundayız. Bu konuyu ciddiye alarak düşünmenizi arz ediyorum.
Akademisyenler; teknolojinin müthiş bir hızla yükseldiği ve öne geçtiği şu günlerde, marka bağımlılığından öte, kırk yıllık kitaplardan öte, dijital dünyaya adapte olup, bu konuda araştırma ve çalışmalar yapmak zorundayız. Sizlerin araştırmaları, tezleri ve araştırma sonuçları ile devletin siber dünyaya karşı korunmasını güçlü kılabiliriz.
Bu manifesto ile devlet nezdindeki “güvenlik” olgusunu ve “farkındalığı” artabileceğini düşünerek sanal dünyanın, Siber Manifestosunu elektrik sinyalleri ile sabit disklere kazımak istedim…
Bu bir “Siber Farkındalık” manifestosudur.
[sari]BTK’ya göre Siber güvenlik, siber ortamda kurum, kuruluş ve kullanıcıların varlıklarını korumak amacıyla kullanılan araçlar, politikalar, güvenlik kavramları, güvenlik teminatları, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulamalar ve teknolojiler bütünüdür.[/sari]
Peki, bu ne kadar geçerli?
- Ülkemizdeki birçok devlet üniversitesi açıklamalarında ve duyurularında biz öğrencilerin TC Kimlik, adres ve telefon bilgilerini afişe ediyor!
- Ülkemizdeki birçok devlet kurumunda TC Kimlik numaralarımız, adreslerimiz ve özel bilgilerimiz açılmış ve korunaksız bekliyor!
- Ülkemizdeki birçok devlet kuruluşu bilgisayarlarında, lamer diye hitap ettiğimiz cahil hackerların bile cirit attığını görüyoruz.
- Ülkemizdeki birçok devlet kurumuna saldıran grupların “admin”, “123456” gibi şifrelerle giriş yapıp özel bilgilerimizi Twitter’dan yayınladıklarını görüyoruz.
- Ülkemizdeki birçok devlet kurumunun güvenlikten anladığını “Firewall satın almak”tan ibaret olduğunu görüyoruz.
- Ülkemizdeki birçok hastanenin sağlık sistemlerine virüs bulaştırıldığını görüyoruz.
- Ülkemizdeki birçok devlet kurumunun ana sayfalarında “Hacked By Vedat” yazıldığını görüyoruz…
- Twitter’ı, Facebook’u, Youtube’u kapatarak sansür yaptığımızı zannediyor ve halkı; güvensiz proxy ve dns adreslerine yönlendirerek, kişisel ve özel verilerin dışarıya gitmesine izin veriyoruz!
Hal böyleyken…
- Siber Güvenlik Ordusu kuruyoruz.
- Siber Güvenlik konusunu değerlendiriyoruz.
- Siber Olaylara Müdahale (SOME) ekibi kuruyoruz…
…bu iddialarının haber ve söylemden öteye geçmediğini maalesef ki görmekte ve yaşayarak deneyimliyoruz.
Gelişmiş dünya ülkeleri Siber ordularını kuruyor ve Siber güvenlik bütçelerine hatırı sayılır miktarlar ayırıyor. Biz ne yapıyoruz? Yıllarca milli işletim sistemi, milli tablet, milli cep telefonu diyerek kendimizi kandırdık…
Artık işi ehline verme vakti gelmedi mi?
- Artık devletin, kritik sistemleri için güvenlik hizmetini işin ehlinden hizmet alarak yerine getirme vakti gelmedi mi?
- Artık devletimizin biz halkını koruması, siber dünyada kol gezen kişisel ve önemli verilerimizi korumasının vakti gelmedi mi?
Virüsler artık gözle görülmüyor, kendini belli etmiyor, arka planda sessizce bilgi çalıyor. Nükleer santrallere yapılan saldırılar yıllar boyu tespit edilemiyor. Devletler artık soğuk savaştan önce sıcak savaş için Siber timlerle mücadele veriyor. Enerji nakil hatları, su dağıtım sistemleri, doğalgaz sistemleri, İnternet dağıtım merkezleri ve diğer önemli merkezlerimize birer virüs bulaştırarak ele geçirmenin mümkün olduğu bir dünyada yaşıyoruz.
[kirmizi]Bir Twitter hesabı ele geçirilerek, Amerika’da sahte bir Tweet ile borsanın bir anda milyarlarca dolarlık paniğe yol açtığı bir dünyada yaşıyoruz.[/kirmizi]
Bu dünyada bir Twitter hesabını ele geçirip, koskoca Amerikan borsasını alt üst edebiliyorsunuz!
İran’ın nükleer santrallerinin bir virüs yüzünden alt üst olup, milyarlarca dolar zarar ettiği bir dünyada yaşıyoruz. Koskoca enerji nakil hattımızın saatlerce kesildiği ve günlerdir sebebinin bulunamadığına şahit oluyoruz.
Biz ne yapıyoruz?
Her halde bunun sebebini öğrenmek için birkaç Elektrik Mühendisi yollamadık değil mi? Umarım o sistemleri incelemesi için bir adli bilişim uzmanını görevlendirerek bir ekiple incelemeye alınmıştır? Öyle değil mi? Yoksa Türk Telekom’a buraya bir saldırı var mı? Diye sorup, olayın virüs kaynaklı olmadığını mı düşünüyorlar?
Bu soruyu sormak gerekmiyor mu?
Artık devletin, devlet kurumlarının siber güvenlik farkındalığını geliştirmesi ve uygulaması gerekiyor. Artık, tüm dünya gibi teknolojiyi kullanmanın vakti geldi de geçiyor… Aynı zamanda bu farkındalığın test edilmesi ve ne kadar doğru yapıldığının da sorgulanması gerekiyor.
- Dünya, Internet Of Things konuşuyor…
- Dünya giyilebilir teknolojileri konuşuyor…
- Dünya sosyal medyada insanların nasıl manipüle edildiğini konuşuyor…
- Dünya virüslerin artık donanım tabanlı olduğunu konuşuyor…
Kendi milli yazılımlarımızı yapamasak dahi, kişisel verilerimizi, halkı, enerji ve doğalgaz gibi kritik sistemler için felaket senaryoları ile birlikte, siber saldırı senaryoları ve risklerini de minimanize etmek gerekmiyor mu?
Geçtiğimiz yıl Aralık ayında meydana gelen başka bir saldırıda Kore’deki belli başlı elektrik dağıtım şirketlerinden birisinin bilgisayarlarındaki Master Boot kayıtlarını (MBR) silmeyi hedef alan bir zararlı yazılım kullanılmıştı.
Şimdi soruyorum!
Ne zaman bunun farkına varacağız? Ne zaman devletin kritik ve en önemli sistemlerini işin ehline güvenlik uzmanlarına bırakacağız?
Bu bir Siber Farkındalık Manifestosudur! Desteğiniz için şimdiden teşekkür ederim…
dunyada siber savas basladi.Artik savaslar teknoloji ile yapiliyor.Turkiye olarak bu savasin neresinde yer alacagiz.Savunmamiz ne olacak.Saldirimiz ne olacak.Bunun icin artik gerekli calismalar baslatilmalidir.
Bilgi Güvenliği Teknolojisi adında okumakta olduğum bölüm bile tam anlamıyla siber dünyadan habersiz işlenen bir üniversite programı. Aynen dediğiniz gibi iş yine bizlere düşüyor. Gözle görülen çoğu şeye karşı koyabiliriz fakat düşünce gibi sızan bu virüs camiyasına engel olmak için güvenlik uzmanlarına bir yer verilmeli ve bu uzmanlık büyük bir milli orduyu temsil etmelidir. Siber Ordu var diyecekler ama ülkenin yarısında elektrik kesintisine sebep olunurken neredeydiler ? Bu tür olaylar olduğunda kendi milletimden bile şüpheleniyorum. Öyle bir noktadayız ki avrupa ülkeleri ne ise fark etmez yurtdışı bu konuda o kadar gelişkin ve daha da gelişime açık ki kendimden utanıyorum. Bizler haberleri izler vay be siber saldırı olmuş hanım , siber ne ? savaş mı çıkmış ? bu saflıktaki soru bile doğruyu söylüyor aslında savaşlar artık tankla uçakla et duvarla olmayacak , savaşlar annemizin babamızın anlamayamadığı siber saldırılarla olacak. Bu konuda geç kaldık sansakta gelişebilecek bir insanoğluna sahibiz. Farkındalık yaratmalı , farkında olmalıyız.
Hamza hocam harika bir yazı tebrikler.
Kurumlara her zaman söylediğim bir şey var, bilmem kaç bin dolarlık firewall bilmem kaç bin dolarlık ips ve benzeri cihazlar alarak güvenliği sağladığınızı düşünmeyin, cihazlara yaptığınız yatırımın 10’da birini insana yapsanız, personelinizi güvenlik-bilgi güvenliği konularında farkındalık eğitimlerine tabi tutsanız ve bu eğitimleri göstermelik değil gerçekten farkındalık adına yapsanız yaşanan zafiyetlerin çoğunun önüne geçebilirsiniz, unutmayın bir zincir en zayıf güçlü halkası kadar güçlüdür diye oldukça çaba sarfettiğimiz dönemler oldu kamuda outsource hizmet verdiğimiz dönemlerde, bir sonuc alamadık elbette.
Bir çok farklı kamu kurumunda gözlemlediğim bir diğer nokta ise, binlerce hatta milyonlarca dolarlık yatırımlarla alınan cihazların yapılandırmalarıyla ilgili problemler ve bu problemlerin çözülemediği onlarca case ve biz bunu çözemiyoruz size şu cihazı verelim diyerek donanım çöplüğüne dönüştürülen kurumlar. Düzgün kurulan sistemleri ise yönetebilecek teknik bilgiye sahip olmayan (bir .net uygulamasında login sayfasının gelmemesini network hızına bağlayan yazılımcılar, network hızında bir sıkıntı olmadığını kanıtlayınca IIS talep gelmeyince uyku moduna geçiyor 20-30 istek gelsin hızlanır diyen yazılımcılar ki çalıştıkları projenin kapsamını bilseniz olayın vehametini daha net anlaşılır) bt personeli, sisteme adapte olup teknik yetkinliği üst düzeyde olanların da outsource hizmet alınan firma ile hizmet alan kurum arasındaki anlaşmasının bitmesi neticesinde kurumla ilişiğinin kesilmesi.
Aslında bu çok can alıcı bir nokta, düşünün kamunun en kritik sistemlerini outsource personel ile idame ettiriyorsunuz ve tüm yapıya hakim olan personel 3 yılda bir değişiyor ve ne kadar çok kişi yapı hakkında detaylı bilgi sahibi oluyor.
Aslında yazacak söyleyecek o kadar çok konu var ki bir çırpıda kendimi ifade etmeye çalıştım. Umarım Siber Farkındalık Manifestosu farkındalık yaratma konusunda başarılı olur.
Çok güzel noktalara temas edilmiş. Devletin karacahilliği bırakarak siber güvenlik konusunda doğru adımları biran önce atması gerekiyor.