Transcript
2019-2023 Ulusal Siber Güvenlik Stratejileri (Manifesto) Özet Kurumlarda bilgi işlem departmanlarının yönetim kurullarında ilgili müdürlüklerin altında organizasyon şemalarının en kritik alanlarında konumlandırıldığını ve tüm organizasyon şemasında bulunan birimler için vazgeçilmez bir departman olduğunu biliyoruz. Bilgi işlem departmanları bünyesinde bulundurulan bir çok güvenlik teknolojisin gereksinim ve sorumluluklarının artması nedeni ile Bilgi Güvenliği departmanlarının da eş zamanlı olarak kritik öneme haiz olduğu da gerek uluslararası standartlara entegre olmak adına gerekse, yaşadığımız bu günlerin zorunlukları arasında olduğu aşikardır. Nesnelerin interneti, Endüstri 4.0, Siber Güvenlik gibi kavramlar ve bu kavramları oluşturan enstrümanların çokluğu, uzmanlık seviyelerini ve kavramların otomatize edilmesini de zorunlu kılmaktadır. İşte bu zorunluluk aslında geliştirme yaparken kullandığımız ancak yeterli bilgi birikimi olmasına ragmen güçlü bir iradenin ortaya konularak Yapay Zeka kavramının hayatımıza entegre edilmesinin önemini de farketmemize neden olmuştu r. siber zorbaların hedefi olan birçok global firmanın ve hatta devletlerin bile siber ordularını konvansiyonel olmayan savaş teknikleri arasına Siber Güvenlik Orduları’nı dahil etmeleri de yine ayrı bir zorunluluk olmuştur. Ulusal Siber Güvenlik Stratejil eri 2016- 2019 da bizlere tanımlanan görevlere göre çalışmalarımıza devam ederken, 2019 -2023 Ulusal Yapay Zeka ile Siber Güvenlik Stratejileri adına görüşlerimi kamuoyuna sunuyorum. 2019-2023 Ulusal Siber Güvenlik Stratejileri (Türk Bilişim Grubu Manifesto) Türkiye Cumhuriyeti’nin Jeopolitik konumunun, Dünya ekonomik gücünün ve enerji transferinin geçiş noktası olmasının yanında, bilişim altyapılarının da geçiş noktası olduğu kesin bir gerçektir. Bir taraftan 5G için İspanya’da yapılan protokol, diğer taraftan İstanbul Büyükşehir Belediyemiz tarafından düzenlenen Otonom araç ihalesi ile bu geçiş noktası adeta bilişim teknolojileri, yapay zeka ve endüstri 4.0 ile perçinlemektedir. Öte yandan Rusya’nın World Wide Web in dışına çıkarak kendi internet yapımıza geçiş yapabiliriz söylemi, bizim de World Wide Web ile iletişime geçebilen bağımsız bir internet altyapısına kesin ihtiyaç duyacağımızın da bir başka göstergesidir. Şayet biz 2023 e kadar tam bağımsız bir bilişim altyapısı ve bilişim teknolojiler i kullanamazsak Windows’tan kaçarken Linux e bağımlı kalma tehdidi ile karşı karşıya kalabiliriz. Tüm bu bağımlılıkların da ötesinde, NATO ile Rusya arasında kızışan teknik savaşta, her iki teknolojiyi birbirine karşı kullanan iyi de bir stratejimiz bulunmaktadır. Bu stratejinin NATO’yu getirdiği durum ise Çek general tarafından açıklandı. ABD’li Breaking Defence dergisinin haberine göre, S- 400’lerin teknik nedenlerden dolayı NATO savunma sistemlerine entegre edilemeyeceğini belirten Pavel, “Ancak bu şartla rda S- 400’ler NATO için tehlike yaratıyor. Sorunu oluşturan S- 400’ler değil, roket sistemlerinin işlevlerini normal olarak yerine getirebilmeleri için veri tabanına erişim sağlanması” dedi. Çek General, NATO üyesi olan Türkiye’de, NATO müttefiklerine ait tüm kaynakların Rus sistemleri tarafından kayıt altına alınacak olmasının “risk” teşkil ettiğinin altını çizdi. Bu açıklama ile birbirinden bağımsız olan NATO ve Rusya askeri veri tabanının Türkiye’nin satın aldığı S - 400 ler için gereken bilişim altyapısının, bu güne dek NATO standartları (CMMI) gereği kullanılan Microsoft ağırlıklı bilişim alt yapısı için büyük risk olduğu da kabul edilmiş oldu. NATO, S-400 veri tabanları ile müttefik olmayan bir ülke ile entegre olamayız ve buna sebep olan Türkiye’nin NAT O’ya ait olan veri tabanlarının başka sistemlerle iletişime geçmesini de kabul etmeyiz diyerek, mevcutta kullandığımız sistemlere verilen desteği kesme ihtimali görülmektedir . Çünkü, bulunan bir çok açığın yaması bizlerle paylaşılmayabilir ve çok daha komb ine zararlar verilerek bilişim altyapımız hedef alınabilir. Bu durumda, Rusya’nın teknolojik güdümü altına girmek de bu güne dek oluşturulan Milli Yazılım, Milli Donanım ve Milli Teknolojiler farkındalıklarına da aykırıdır. İlgili Kurumun 2019 -2023 stratej ileri başlığı altında bu tip sorunları ön görmüş ve gerekli adımların neler olduğunun belirlenmesi büyük önem arz etmektedir. Olmazsa olmaz tek bir konu var ve o da kesinlikle Türk ve Türki cumhuriyetler ile İslam ülkeleri başta olmak üzere, kendimize ait olan ve global bilişim altyapıları ile güvenle entegre edilebilen bir bilişim altyapısını, tamamen bağımsız olarak geliştirmeyi hedeflemeliyiz. Aksi halde Millilik adına ne konuşursak, popülist söylemlerden öteye geçemeyeceğiz. İran’da yaşanan Apple krizi (4), Rusya’nın World Wide Web’in dışında kalmak istemesi ve NATO tarafından yapılan S - 400 açıklamaları gösteriyor ki, dijital ambargo ülkemizde yaşanabilir. Olası bir Dijital Ambargo senaryosu karşısında ne gibi önlemlerimizin olduğu her kurumun başkanlığı seviyesinde hazırlanıp sunulması da gerekmektedir Özellikle Five-Eyes olarak bilinen ülkeler tarafından geliştirilen teknolojileri kullanan tüm kurumların, ivedilikle Risk Analizi ve Siber Güvenlik Eylem Planlarını hazırlmaları gerekmektedir. Aksi halde, Milli Güvenlik Kurulu’na iletilen bu tip raporların, ehil olduğu sanılan kişilerce hiçe sayılması, ulusal güvenliğimizi tehdit edecektir. Bu tehditi algılaması, raporlaması ve çözüm üretmesi gerekenler, elbette ki bilgi işlem kurum ve departman yöneticil eridir. Bu anlamda gerekli hassasiyetin gösterilmesi ve devlet erkanının yanlış yönlendirlmemesi için bu çalışma ( Bütün kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler, Siber Güvenlik Kurulu (Ek-A) tarafından belirlenen politika, strateji ve eylem pl anları çerçevesinde kendilerine verilen görevleri yerine getirmek ve belirlenen usul, esas ve standartlara uymakla yükümlüdür ) hazırlanmıştır. Risk Analizi Türkiye’de özel ve kamu sektörlerinde kullanılan bilişim altyapısı ile güvenlik ürünleri ve bu hizmetleri veren kurumların öncülüğünde entegre edilmekte ve güvenliği sağlanmaktadır. Hatta, yayınlanan risklerin çoğu bu tip markaların açıklamalarından sonra öğrenilebilmektedir. Bu durumda bağımısz bir Risk Analizi yapmak için bahsi geçen markaların teknolojilerini kullanan değil, geliştiren ve hatta uluslararası standartlarda API desteği vererek bilişim sistemlerin risk analizini test edebilmek için kernel se viyesinde sistemlere entegre olmalı ve makine öğrenme metotlarını belirlemeyiz. Aksi halde, örneğin portları dinleyen bir Linux Kali operatörü ile hazır bir programı kullanan operatörün topladığı verilerde farklılık gözlenecektir. İnsan unsuruna dayalı hataların tespiti iyi yapılırsa, yapay zeka ile siber güvenlik risk analizi yapmanın kolaylığını ve şüpheli işlemleri analiz eden operatörlüğün çok popüler bir meslek haline dönüşeceğini de öngörmekteyim. Bu doğrultuda bağımsız verilerin toplanabilmesi için yerli kurumların bağımsız ve milli teknolojiler ile verileri elde edebilen bir analiz platformu bulunmadığına dikkat çekerek , detaylı bir çalışma istenmesi halinde yeniden derlenecektir. İnternet Kullanımı ve Güvenli İnternet Türkiye İstatistik verilerine göre, Bilgisayar ve İnternet kullanımı 2017 yılında 16 - 74 yaş grubundaki bireylerde sırasıyla %56,6 ve %66,8 oldu. Bu oranlar 2016 yılında sırasıyla %54,9 ve %61,2 idi. Güvenli internet kullanımı için “Siber Güvenilir Kullanıcı” tanımımızı farkındalık çalışmaları ile yaygınlaştırmayı hedeflemeliyiz. Güvenli internet ortamı ancak siber güvenilir kullanıcı nasıl olmalı sorusuna yanıt vererek sağlanabilir. Olası tehdit türleri bilinir ve haftalık tehdit raporları düzenli olarak takip edilirse, eminiz ki siber saldırılara karşı bilinen senaryolar belirlenir ve sistemi en kısa sürede yeniden yapılandırabiliriz. Haftalık olarak yayınlanan Haftalık Tehdit Raporu isimli çalışmaların sayısının arttırılması ve merkezi olarak yayınlanması için sorumlu kurumun belirlenmesi ve bu kurumların altyapı desteği Pardus Sunucuları tarafından verilmedir. Kurumnet ile elde edilen başarının bir yenisini Milli Bilişim çağrısı ile ortaokul ve liselerden destekleyebiliriz. Fatih projesinde verilen tabletler hali hazırda kullanıcı ola n öğrenciler için yeterli miktardadır. Ancak geliştirici çocuk yaşının ilköğretim seviyesinde olması nedeni ile ölçülü miktarda açık devre ve geliştirilebilir platformlar, geliştirici özelliği olan çocuklarımızın tespit edilmesi sonrası pek ala RaspberryPi gibi platformlar dağıtılabilir. Elbette yerli ve milli yazılım cümlesinin hakkını verebilmek için RaspberryPI, Ardunio benzeri donanım ve bu donanımla iletişime geçebilen anlaşılabilir bir makine dili geliştirmek 2019 -2023 stratejilerimizde yer almaktadır. Geliştirilebilir platformları kullanan çocuklarımız ile RaspberryPi benzeri platformları geliştirebilen çocukların, rehberlik faaliyetleri ve atolye çalışmaları ile belirlenmesinde fayda vardır. İnternet’e bağlı bilgisayarlar ve mobil cihazlar, öğrenmek, oyun oynamak, sosyalleşmek, ağ kurmak, iletişim kurmak, işbirliği yapmak veya kaynakları paylaşmak için her yaştan genç için öncelik haline geliyor. Günümüzde, mobil bağlantılar, sıcak noktalar (hotpoints) ve evde, okullarda ve ofislerde yaygın kullanılan kablosuz ADSL bağlantıları sayesinde, her an bulundukları alanlarda kolaylıkla internette gezinebiliyorlar. İnternet’e bağlı cihazların kullanıcılarının, yaşı gittikçe düştüğü için, gençlerin daha genç olduğu veya daha genç yaşta çocukların kaynaklara giriş yapması ve güvenlik politikalarının kullanımına ilişkin gizlilik risklerine maruz kalması gibi güvenlik endişeleri artmaktadır. Çevrimiçi İnternet veya hassas bilgilerin paylaşımı. İnternetin kendisi güvenli bir ortam değildir. Ve yeni başlayanlar (evde ve okulda), veri gizliliği ve güvenliği ile ilgili konuların tehlikelerini, yazılımları indirmeden veya yüklemeden veya sonunda kendilerine zarar verebilecek herhangi bir şey yapmadan önce kendilerini nasıl koruyacaklarını bilmelidirler. Bu doğrultu da, Siber Güvenilir Kullanıcı farkındalık eğitimlerine ağırlık verilmelidir. Kullanıcı nekadar genç olursa, mobil cihazları veya İnternet bağlantılarını kullanırken okadar dikkatsiz olabilmektedir. Günümüz gençleri ve genç kullanıcılar, internet bağlantılı cihazlarla ilgili tüm teknik konularda oldukça güncel bilgil sahibidirler, ancak normal olarak İnternet üzerinden bilgi paylaşımında, kamuya açık noktalara dokunarak veya cihazlarını düzgün şekilde güvence altına alamaktadırlar. Bu nedenle, çocukların siber güvenlik kavramı ile nekadar erken yaşta tanışması gerektiğini ve güvenlik bilincini öğretirken gerçekten faydalı olacağı konusunda tartışmalar yaşanmaktadır. Bugünün İnternet kullanım koşullarında küçük çocuklara “çevrimiçi olarak güvende kalmak” için ipucu ve bilgi sunmak için doğru yaş nedir? Amerika’da Ulusal Siber Güvenlik Bilgilendirme farkındalık çalışmaları, çocuklar için hazırlanan bir sunumda, “8 - 18 yaş arası çocukların çevrimiçi olarak günde 7 saat 38 dakika harcadığı tespit edilmiştir; bir çocuk gecede 8 saat uyuyorsa, uyanık olduğu zamanın yarısı çevrimiçi geçiyor demektir ” Dur, Düşün ve Bağlan isimli farkındalık çalışması, bu dijital çağda çocukların artık erken yaşta bilgisayarlar, akıllı telefonlar veya tabletleri keşfettiği anlamına geliyor. Çevrimiçi olarak yeni deneyimler geliştirdikçe ve keşfederken, keşif ve doğal merakla öğrenme, ebeveyn denetimi ve ebeveyn kontrol araçları faydalı olabilir. Bununla birlikte, tüm bu araçların önleyebileceği çok şey var; çocukları uygun olmayan kişilerin günlük tehlikelerinden korumak ve bilgisayar korsanlarının sistemlere sızarak bilgi girmelerinin kolay bir hedefi haline gelmesini önlemek için daha fazla bilgilendirme faaliyetine ihtiyaç vardır. Gerçek şu ki, günümüzde öğrenciler, bilgisayarlara, eğitim yada oyunlara yönelik kullanımlar nedeni ile ilgi duymaktadırlar. Buna ek olarak, giderek artan bir kullanım oranı ile sosyal medya da vakit geçirmektedirler. Çocukların genç yaşta internetete gezinmelerinin gerekip gerekmeyeceği ise tartışmalı bir konudur; Bununla birlikte, günümüzde 13 yaşına gelindiğinde, birbirine bağlı, mobil ve sosyal olan çocuk sayısı da giderek artmaktadır. Her yaştan çocuk, “çevrelerindeki daha geniş olan bir dünyayla bağlantı kurmaları, iletişim kurmanın en ileri teknolojik yolunu kullanmaları, teknoloji odaklı bir neslin parçası olduklarının da ayrı bir göstergesidir. Etkili güvenlik bilincini başlatmak için uygun zaman ne zaman? Bazıları siber güvenlik bilincinin küçük yaştaki çocuklara öğretilmesinin gereksiz olduğunu veya verimsiz bir sonuç doğurabileceğini düşünebilir. Ancak siber güvenlik konusunu tartışmaya açmak için en uygun an çocukların teknolojiyi kullanmaya başladığı gerçeğini kabul etmekle başlar. Bu yolla, bilgisayar bilgisi ve güvenlik bilinci en b aştan ayrılmaz bir ikili olarak görülebilir. İlk bilinçlendirme eğitimi, çocukları çevrimiçi ortamda tutmak için ebeveynlerin verdiği, onlara erkenden esnek dijital vatandaşlar olmalarını ve siber güvenilir kullanıcı olmaları gerektiğini öğretmektir. Çocuk ların çevrimiçi güvenliğiyle ilgili bir bildiri kitabında (SANS Enstitüsü) siber bağlantılı çocuklar için en önemli tehlikeleri tanımladılar; ) Yabancılar / Suçlular : Bu ilk tehdit açıkça Fiziksel ortamlarda olduğu gibi, çevrimiçi olarak gözetimsiz çocuk ların, verileri, resimleri, aileye ait bilgilerinin paylaşılmasıdır. Çevrimiçi tehlikelerden habersiz kullanıcıların, hassas verilerini düşünmeden çevrimiçi ortamlarda paylaşması ise çok büyük bir güvenlik zaafiyetidir. ) Siber zorbalık : Gerçek bir olasılıktır ve okullarda, mahallelerde gerçek zorbalığa göre daha saldırgan ve zararlıdır.Üstelik, sanal ortamlarda gerçek kimliklerini gizleyen Siber zorbalar kolaylıkla tespit edilememektedir. The Guardian gazetesi muhabiri Jessica Elgot’a göre, dünyadaki 4700 ’den fazla genç hakkında yapılan “küresel bir ankette, siber zorbalığı yaşayanların beşte birinin intihar ettiklerinin gözlemlendiği ve yarısından fazlasının aldatılmış olduğunu söylemiştir. Kısacası, siber zorbalık fiziksel zorbalıktan çok daha kötü olara k kabul edilmektedir. (Ülkemizde çocuk istismaralında yaşanan zaafiyetlerin giderilmesi için Aile eve Sosyal Politikalar bakanlığı tarafından hazırlanan Alo 183 isimli destek hattından erişilebilir uzmanlar tarafından destek istenmelidir ) Gençlere daha düşünceli ve sorumlu teknoloji kullanıcıları olmayı öğrenmelerine yardımcı olmak için Siber Güvenilir Kullanıcı başlığının teşvik edilmesi çok önemlidir. Ebeveynlerin çocuklarıyla internet kullanımı hakkında görüşmesi ve yönlendirmede bulunmaları zorunluluk haline gelmiştir. Hangi web sitelerinin ziyaret etmeye uygun olduğunu belirleme konusunda bilgi ve yönlendirme çalışmaları BTK tarafından Güvenli internet başlığındaki farkındalık çalışmaları ile desteklenmektedir. Güvenli İnternet Hizmetine ilişkin çalışmalar, Anayasanın “Ailenin korunması ve çocuk hakları” başlıklı 41. Maddesi ve “Gençliğin korunması” kenar başlıklı 58. Maddesi hükümlerine dayanmaktadır. Ayrıca bu Anayasal hükümlerin yanında Elektronik Haberleşme Kanununun Tüketici ve Son Kullanıcı haklarını düzenleyen hükümleri ile bu kanun uyarınca çıkarılan Tüketici Hakları Yönetmeliği’nin “İnternetin Güvenli Kullanımı” başlıklı 10.maddesi de uygulamanın kapsamını belirlemiştir. Yonetmelik, İşletmecilere İnternetin Güvenli Kullanımına yonelik ücrets iz alternatif hizmeti sunma yükümlülüğü getirmiştir. Daha küçük yaştaki çocuklar için ebeveyn güvenlik araçları kullanılabilir. Birçok ücretsiz seçenek mevcuttur ve çoğu internet servis sağlayıcıları genellikle koruma araçları sunar. Örneğin, Windows Live Aile Güvenliği, kullanıcıların web filtreleme ayarlarını ve parametrelerini filtreleyerek web filtreleme / engelleme denetimlerini kullanarak engelleyen veya engelleyebilecek ücretsiz bir içerik kontrol yazılımıdır. Microsoft Aile Güvenliği, çocukların bilgisayar faaliyetlerinde sekmeler bırakıp çevrimiçi daha güvenli kalmalarını sağlamak için uygundur. Kullanıcı hesabı ve güvenlik ayarları yapıldıktan ve çocuğa yönelik farklı derecelendirme, kısıtlamalar ve ayrıcalıkların kurulması tamamlandıktan sonra, ebeveyn için geriye kalan tek şey, internet kullanımı hakkında gençlerle bazı temel kuralları konuşmaktır. Buna ek olarak, Türk Telekom servis sağlayıcısı olarak Aile Profili ve Çocuk Profili başlıklarında hizmetler ile çocukların zararlı içeriklere erişimi ni önlemeye çalışmaktadır.