Yazan Ahmet Taha DİLPAK
Geçtiğimiz günlerde ABD den gelen bir açıklama bir anda gözlerin bu ülke üzerine odaklanmasına neden oldu. Yapılan açıklamalara göre ülkeye etkileri hala tam olarak tespit edilemeyen çok büyük bir siber saldırı olduğu yönündeydi. Bu saldırı sonucunda kaç kurum ve şirket ekilendi, hangi veriler ne ölçüde hacklendi, hala tam olarak bir hasar tespiti yapılabilmiş değil.
Amerikan Siber ve Altyapı Güvenliği Ajansı (CISA), tarafından yapılan açıklamaya göre saldırganların sızdığı sistemleri saldırıdan arındırmanın "son derecede karmaşık" olacağı belirtildi. Saldırıların en az Mart ayından bu yana gerçekleşmekte olduğu kaydedildi. CISA, saldırgan veya saldırganların, "sabır, operatif güvenlik ve karmaşık bir ustalığa" sahip olduğunu kanıtladığını vurguladı.
Amerikan basınında saldırının Rusya kaynaklı olabileceği belirtildi, fakat bu durum Rusya tarafından hızlı bir şekilde reddedildi. Tam bu sırada Biden ekibi Pentagon ile geçiş sürecinin noel tatili sonrasına ertelenmeden devam etmesi konusunda açıklamalarda bulundu. Biden da siber güvenliğin önceliği olacağını, hatta sadece savunma değil, bu saldırıya karşılık verileceğini de belirtti. Anlaşılan Biden’in acelesi var.
2020 yılında bir siber savaş eksikti. Noel arifesinde bunu görecek miyiz bilemiyorum ama bu konu gündemimizde kalmaya devam edecek. ABD’nin savaş konusunda sicili oldukça kabarık. Olmayan nükleer silahlar için Irak’ı işgal edip yüzbinlerce sivilin ölümüne sebep olan bir ülkeden bahsediyoruz. Suriye’de, Afganistan’da ve Libya’da olanlar ortada. Dolayısıyla bu süreç ABD’nin siber alanda da orantısız müdahaleler bulunmaya yöneltebilir. Sonuçta ABD bir konuda karar verdiği zaman kendisine yöneltilen itirazlara kulak asmadan eyleme geçen bir ülke. Yol açtığı yıkım sonrası bir pardonlada olayı geçiştirebiliyor.
Bu tartışmalar tekrar alevlenmişken bizim de ülke olarak gerekli önlemleri almamız gerekiyor. Malum olağanüstü bir zamandan geçiyoruz. Yeni normali, büyük sıfırlamayı tartıştığımız bugünlerde hiçbir gelişme sürpriz olarak nitelenemez. Artık geldiğimiz noktada sahip olduğumuz sihalar ve s-400 füzelerimiz tek başına caydırıcı olamazlar. Suriye, Ermenistan gibi ülkelere karşı başarılar sağladık ama gelişmiş ülkelere karşı konvansiyonel alanda olduğu kadar teknolojik anlamda da gerekli önlemleri almamız gerekiyor.
Özellikle ülkelerin 5G Ağ altyapısına geçtiği bugünlerde bunun önlemlerini almak için gerekli adımların atılması son derece kritik hale gelmiştir. Neredeyse elektrikli olan tüm aletlerin “connected” olacağı bir sistemden bahsediyoruz. Sim kartı veya wifi anteni olmayan hiçbir elektrikli aletin olmayacağı bir dünyaya doğru hızla gidiyoruz. Hatta hızını alamayanlar insana bile çip takmanın derdine düştü. Bütün nesnelerin birbirine bağlı olduğu bu yeni ekosistemin savunması oldukça karmaşık ve netameli bir konu. Gündelik hayatımızı, ekonomimizi ve ulusal güvenliğimizi ilgilendiren bu konu katılımcıların sayısı bakımından her bir vatandaşı ilgilendirirken ulusal güvenlik perspektifinden baktığımız kişilerin, kurumların ve şirketlerin sorumlulukları da tam olarak tanımlanabilmiş değil.
5G ağı üzerinde çalışacak uygulamalar bir çok kolaylık ve avantaj vaat ediyor. Fakat bu ağın güvenlik problemleri çok daha büyük sorunlara yol açabilir. 5G yi zayıf bir siber güvenlik temeli üzerine inşa etmeyi, deniz kumu kullanarak inşaat yapmaya benzetebiliriz. Son yıllarda ABD’nin Çinli şirketlere karşı aldığı 5G altyapı önlemi siber güvenlik riskleriyle ilgili önemli bir faktör olsa da mesele sadece bundan ibaret değil. Yabancı altyapıları kullanmak her zaman için bir risktir. Fakat yerli muadilini kullanmakta tek başına bir çözüm değildir. Çünkü sorun sadece donanımla sınırlı değildir.
Herşeyden önce yapılması gereken öncelikle sorumlulukların ve standartların belirlenmesidir. Şirketlerin hangi durumlarda müdahale etmesi gerektiği yada önlemlerinin yetersiz olduğu durumlarda kamunun hızlı ve uygun bir şekilde müdahale edilebileceği bir senaryo oluşturulması gerekmektedir. Özellikle bankacılık, altyapı, sigorta, sağlık vb. gibi kamusal hizmetler sunan şirketlerin sahip olduğu veriler ve sunduğu hizmetler son derece önemli olmakla beraber hükümetler bunlarında güvenliğini sağlamakla sorumludur. Dolayısıyla siber güvenlik tehditlerine karşı kamu özel sektör işbirliği son derece kritiktir. Vatandaşlar olarak da bizim de bu senaryo içerisinde sorumluluklarımızın bilincinde olması gerekir. Covid e karşı nasıl maske mesafe vb önlemleri alıyorsak, kişisel verilerimizi korumada da aynı özeni göstermemiz gerekir.
Siber güvenlik önlemleri ile ilgili yatırım maliyetleri yüksek gözükmekle beraber sonrasında yol açacağı hasarın maliyeti ile kıyaslanamayacak kadar da düşüktür. Şu an ABD nin uğradığı zararın parasal değerini bilmiyoruz ama daha önce milyarlarca dolarlık zararlara yol açan Siber saldırılar olduğunu biliyoruz.
Olayı sadece donanım boyutunda değerlendirmekte durumu basite indirgemektedir. Piyasa da yaygın olarak kullanılan Çin ve Amerikan malları belli bir risk faktörünü içinde barındırmakla beraber birbirine bağlı ağlar, cihazlar ve uygulamalar dünyasında her etkinlik potansiyel bir siber hedeftir. Bu güvenlik açıkları 5G nin sağladığı avantajlar ile çok daha kritik duruma gelebilir.
Özellikle ağ sistemleri yöneten yapay zeka temelli sistemler, otonom sistemler hackerların kontrolüne geçmesi durumunda daha vahim sonuçlarla karşılaşabiliriz.
5G ağının ülke çapında yaygınlaşmasından sonra siber tehditler bir ulusun geleceği içinde varoluşsal bir tehdit haline gelecektir. Dolayısıyla kara , deniz ve hava kuvvetleri gibi siber kuvvetler birimlerimizi de iç ve dış tehditlere karşı kurmamız son derece önemlidir. Siber güvenlik uluslar için önümüzdeki dönemde milli güvenlik meselesine dönüşecektir. ABD ye yapılan saldırı tüm ülkeler için bir uyarı niteliğindedir. Verilerimizin fiziki ve sanal olarak korunması. Donanımlarımızda yerlilik oranının artırılması. Milliişletim sistemi, Milli veritabanı, milli arama motoru ve sosyal medya kullanımımın yaygınlaştırılması yapılması gerekenlerin başında gelmektedir. Kriptoloji ve siber güvenlik yazılımlarının geliştirilmesi ve güvenlik açıklarının kapatılması ve her kullanıcıda bu bilincin oluşturulması siber sınırlarımızı korumak için olmazsa olmazların arasındadır. Yoksa tehdit yatak odamıza kadar ulaşabilir. Maalesef bir çok şirket ve vatandaş siber tehditler konusunda yeterince bilince sahip değil. Teknolojiyi çok hızlı bir şekilde tüketiyor bir çok akıllı cihazı hemen satın alıyor uygulamaları telefonlarımıza ve bilgisayarlarımıza kuruyoruz. Tüm mahremimizi açtığımız bu “connected” cihazları kullanırken tehditlerin farkında olmamız gerekiyor.
Derin öğrenme ve yapay zeka teknolojileri ile üzerinde hiçbir mikrofon bulunmayan akıllı süpürgeleri hackleyip ortam dinlemesi yapabiliyorlar artık. Bunun gibi bir çok uç örnekler mevcut. Bu gelişmeler olası tehditlerin ulaştığı seviyeyi görmemiz açısından son derece önemli.
Kamu özel sektör işbirliği kapsamında özellikle kişisel verileri barındıran ve hizmet sunan firmalara bir takım standartlar getirilmeli ve belirli seviyelerde önlemler almaları zorunlu hale getirilmelidir. Siber olgunluğu yüksek şirketler diğer şirketlerle tecrübe paylaşımı yapmalıdır. Özellikle bu alanda yapılacak tatbikatlar ile siber olgunluk seviyeleri kategorilere ayrılarak şirket ve kurumlara mevcut durumları hakkında bilgi verilmelidir. Yine yapay zeka ve makine öğrenmesi teknolojilerinden faydalanarak bir çok bilgisayarın kullanıldığı bilgisayar destekli siber saldırılara karşı aynı hız ve seviyede bilgisayar destekli savunma yapılması gerekmektedir. Bu anlamda süper bilgisayarlardan, quantum bilgisayarlardan faydalanılabilir.
Özellikle siber güvenlik yatırımı yapamayacak olan küçük ve mikro kobilere internet servis sağlayıcıları üzerinden bu hizmetler sağlanmalı siber güvenlik zırhı küçükten büyüğe tüm işletmeler için sağlanmaldır. 5G ekosistemi içerisindeki tüm paydaşlar proaktif siber koruma sistemlerine sahip olmalıdırlar.
Kısaca 5G sonrası dönemde ülke içindeki unsurların topyekün bir mücadele olması içinde gerekiyor. Siber alanın korunması sınırları korumaktan çok daha karmaşık ve yol açacağı sorunlar hesaplanamayacak kadar karmaşıktır. Küçük bir güvenlik açığı öngörülemeyecek maliyetlere yol açabilecekken tespit edilmesi de ABD de yaşanan olayda olduğu gibi uzun sürebilir. Bu anlamda alınacak önlemler klasik bürokratik yöntemlerle sağlanamaz. Sözünü ettiğimiz sorunlarla başa çıkmak için çok daha yenilikçi ve çevik yöntemlere başvurmamız gerekiyor. Yoksa yarın çok geç olabilir.