Müjdemi isterim, yıl 2024, Türkiye Siber Güvenlik Başkanlığı kurmaya karar verdi
Bugün adına ‘bilgisayar korsanı’ dediğimiz insanlar 1950’lerin sonlarıyla 1960’larda Amerika’da ortaya çıkan teknoloji meraklılarıydı. İlk ‘korsanlık’ları da Amerikan telefon şebekesine sızmak ve bedava telefon görüşmeleri yapmak/yaptırmaktı. Bildiğimiz ilk bilgisayar virüsü 1986 yılının başında 19 Ocak’ta Amerika’da, o zamanlar ‘IBM uyumlu’ denen kişisel bilgisayarları etkilemek için ortaya çıktı.
Hepsinin ilk Amerika’da ortaya çıkması hiç şaşırtıcı değil. 60’lı yıllarda bilgisayar korsanlarını ortaya çıkaran sivil enerji ve meraktır esas olarak dünyayı kişisel bilgisayar çağına sokan şey.
Kişisel bilgisayarlar çağına Amerika herkesten önce, 80’lerin başında girdi ve bu çağın ortaya kötü kalpli insanlar çıkartmasından daha doğal bir şey de yok; virüsler de hayatımıza böyle girdi.
Bu tarihi hatırlatmamın bir sebebi var. Dün sabah Dışişleri Bakanı Hakan Fidan Anadolu Ajansı’nın konuğuydu. Orada ‘Editör Masası’ adlı programa katılan Fidan’a İsrail’in Hizbullah’a düzenlediği çağrı cihazı ve telsiz saldırıları bağlamında Türkiye’nin yaptıkları soruldu, Fidan’ın cevabı aynen şöyleydi:
“Siber güvenlikle ilgili ülkemizde ve kurumlarımızda büyük bir farkındalık var. Ulaştırma Bakanlığı bünyesinde siber güvenlikle ilgilenen bir genel müdürlük var. Milli İstihbarat Teşkilatı siber güvenlik konularında oldukça yetkin kabiliyetlere sahip. Emniyet teşkilatımızda bu konuda yetenek var. Müstakil bir siber güvenlik teşkilatı kurulması hükümetimizin de gündemine geldi. Milli Güvenlik Kurulu’nda da yapılan tartışmaların neticesinde Cumhurbaşkanımız, bunun artık olması gerektiği noktasında irade ortaya koydular. İnşallah yakın zamanda bunun hayata geçeceğini göreceğiz.”
Özeti şu: Türkiye bir Siber Güvenlik Başkanlığı kurmaya karar vermişti ama henüz bu karar kuvveden fiile geçmiş, o başkanlık kurulmuş değildi.
Oysa söylüyorum, bu siber güvenlik tehditleri dünyada 60’lı yıllardan beri var zaten. Türkiye en azından 75 yıl geriden geliyor tehdide karşı topyekûn savunma, hatta bir de saldırı çizgisi oluşturmayı düşünmekte.
Amerika’da uzun yıllardır her yıl düzenlenen bir yarışma var. Yarışmaya üniversite öğrencileri katılıyor ve onlardan Amerikan şirketlerine, hatta bazıları devletin savunma kurumlarına ait uzaydaki uyduları ‘hack’lemeleri, yani uydu sistemlerine sızmaları isteniyor. Her seferinde öğrenciler bu uydulara sızmanın bir yolunu buluyor, bu yarışmalarda başarısız olunan, öğrencilerin diyelim Pentagon’un, diyelim CIA’nın, diyelim özel şirketlerin uydularına sızamadığı tek bir yıl bile yaşanmadı henüz.
Yarışmanın amacını tahmin edebiliyorsunuz: Uydulara sızmaya çalışsınlar ki biz de uyduların güvenliğini test edebilelim, sızılırsa o açığı kapatalım.
Öyle ya uydudaki açığa savaş sırasında Rusya veya Çin sızacağına barış zamanında önce üniversiteliler sızsın ki açıkları görelim.
Siber saldırıların önemli bölümü internet üzerinden yapılıyor. Dünyada internet üzerinden yapılan saldırıları gerçek zamanlı izleyip raporlayan çok sayıda kuruluş var, bunların web sitelerine girerseniz en yoğun saldırının neredeyse her gün Amerikan altyapısına yönelik olduğunu görürsünüz. Türkiye belki önemsiz bir ülke olduğundan, belki ortada saldırmaya değecek bir güvenlik önlemi olmadığından bu saldırılardan nasibini çok az alıyor.
Ama hatırlayın, birkaç yıl önce bazı bankalara ABD ölçeğinde küçük sayılabilecek bir saldırı oldu, birkaç büyük bankamız iki gün boyunca işlem yapamaz hale geldi.
Yine bir 8-10 yıl önce Rus devletinin kontrolunda olduğuna inanılan bir grup korsan Türkiye’nin elektrik şebekesine saldırdı, Türk enterkonnekte sistemi az kalsın çöküyordu.
Hepimizin kimlik bilgileri yıllardır elden ele dolaşıyor; artık o seviyede ki, eskiden sadece karanlık ortamlarda erişilen bu bilgiler herkese açılmış durumda, 150 lira gibi küçük bir para karşılığında bu veri tabanında istediğiniz aramayı yapabiliyorsunuz.
Bu veri hırsızlığını önce FETÖ yaptı, sonra bu veriler PKK’ya kadar ulaştı, telefonla sizi arayıp banka hesaplarınızı boşaltan dolandırıcılar yıllardır bu veri tabanına sahip. Ama devletimiz bu sızıntıyı önemsemediği için olacak hiçbir şey yapmadı (Örneğin TC kimlik numaralarına rastgele bir hane daha eklenebilir, suç örgütlerinden yabancı ülkelere herkesin elindeki veri tabanı kullanılamaz hale getirilebilirdi, hiçbir önlem düşünülmedi).
Nitekim bizim e-devlet sistemimiz ve bunu oluşturan onlarca ayrı veri tabanına bölünmüş web siteleri amatör korsanlardan profesyonellere herkesin her gün hedefi olmaya devam ediyor. Dünya çapında korsanların aralarında bilgi de paylaşıp şimdi bu aralarında çoktan hayatını kaybetmişlerin de olduğu 108 milyon TC vatandaşının bilgilerini tek bir ortak veri tabanında toplayacak, bunu da Google Drive gibi herkesin kolayca ulaşabileceği bir yere veri tabanının içinde arama yapılabilir bir formatta kullanıma açacak küstahlığa eriştiğini de görüyoruz. Ama bizim devletimiz olan biteni inkara devam ediyor.
Siber güvenlikte ne kadar geride olduğumuzu, ne kadar bu konudan uzak olduğumuzu anlatmaya çalışıyorum. Devletimiz bu konuyu bir gizlilik perdesinin arkasında tutmayı tercih ediyor ama az önce Amerika örneğini verdim, tam tersini yapmak, meraklı vatandaşı bu savunmanın bir parçası haline getirecek şeffaflığı sağlamak lazım, yoksa bu işler üç beş devlet memurunun çabasıyla önlenebilecek şeyler değil.
Ama maalesef ülkemizde bu konuda muhteşem seviyede bir cehalet de var. En taze cehalet örneği, İsrail’in Hizbullah’a yönelik saldırısını ‘siber saldırı’ sanmak. Medyamız bunun bir siber saldırı olmadığının, tam tersine kaba güçle yapılan bir elektronik saldırı olduğunun bile farkında değil. ‘Eyvah ya evdeki TV’yi, buzdolabını, cepteki telefonu da patlatırlarsa’ konusu konuşuluyor, ne ilgisi varsa…
Ben daha büyük tehlikeyi söyleyeyim: Yarın bir düşman havadaki İHA veya SİHA’nızı ele geçirecek, havadaki füzenizi ele geçirip o silahları size yönlendirecek olursa ne yapacaksınız? Böyle tehlikeler yok diyemeyiz.
Bir an için PKK’nın Türk İHA ve SİHA’larını hackleyecek beceriye sahip olduğunu hayal edin, ne düşünürdünüz?
Borsayı çökerttiklerinde, elektrikleri kestiklerinde, hastaneleri çalışamaz hale getirdiklerinde, trafik ışıklarını bozduklarında çıkacak kaosu hayal edebiliyor musunuz?
Elbette zararın neresinden dönülse kârdır, Siber Güvenlik Başkanlığı iyi ki kuruluyor ama sahiden epeyce geç kalınmadı mı?