NATO, siber güvenliği sadece savunma alanı olmaktan çıkarıp savaş alanı olarak kabul etti. Bizler gözümüzün gördüğü savaşlara odaklanırken, sanal dünyada devlet ve devlet dışı aktörler izlerini belli etmeden savaşmaya devam ediyorlar. Siber dünyada devlet sırları kadar ticareti hatta kişisel sağlığımızı bile etkileyecek bilgi hırsızlığına karşı Türkiye ne kadar hazırlıklı? Her gün kullandığımız bilgisayarlar, cep telefonları ve halka açık yerlerdeki kablosuz bağlantılar ne kadar güvenli? Tüm bu konuları Kadir Has Üniversitesi’nde Doç. Dr. Salih Bıçakcı ile konuştuk.
Bizler genelde gözümüzün gördüğü savaşlara odaklanırken, farklı bir boyutta siber çatışmalar sürüyor. Her siyasi çatışmanın bir de siber yansıması mı var?
Her çatışmanın siber bir çatışması var demek doğru değil ama genellikle birçok çatışma siber uzayda da devam ediyor. Fiziksel ortamda yenemediklerinde ya da kendilerini çok bariz bir düşman ve rakip olarak temsil etmemek istediklerinde siber ortama kayıyorlar. Siber çatışmanın fiziksel çatışmadan farkı şu; fiziksel çatışma simetrik bir çatışma ortamı. İki grup karşı karşıya geliyor, silah ve araçlarını gösteriyorlar, taktiksel ve stratejik yöntemler uyguluyorlar ve birbirleriyle mücadele ediyorlar. Bugün bu noktadan uzaklaşıyoruz ama klasik, Clausewitz’in söylediği manada savaş böyle bir savaş. Ama siber ortamda öncelikle ortam sanal, bir yerden saldırıldığını düşündüğün nokta saldıran nokta olmayabilir. O nedenle saldırı sonrasında açıklama yapan ülkeler “nereden saldırıldığından emin değiliz” diyorlar. Çünkü bu asimetrik bir saldırı tipi, saldıran illa kendini ortaya çıkararak saldırmıyor. Başka ülkelere zıplayarak saldırabiliyor ya da zombi (botnet) bilgisayarlar kullanıyor ve başka ülkelerde ele geçirdiği bilgisayarları kendisinin savaşçısıymışçasına hedefi olan ülkeye doğru saldırmasını sağlıyor. Uluslararası düzeyde ortaya çıkan siber çatışmaların çoğunun arkasında gerginlik temeli, ideolojik bir yapı var. Siber ortamda saldıranın kim olduğu meçhul. Organize bir suç örgütü, sana kafayı takmış biri, bir hacker grubu veya devlet olabilir. Bu bilinmezlik işi çok zorlaştırıp karmaşık hale getiriyor.
ABD ve İsrail’in İran’ın nükleer tesislerine yaptıkları saldırıdan, Stuxnet’ten bu yana ne değişti?
Stuxnet bir ülkenin kritik altyapısına yapılan ilk saldırıydı. Kritik altyapı saldırıları şu an en çok korktuğumuz saldırı tipi. Bir ülkenin hizmet sektörünün temelinde olan ve ona yapılan saldırının vereceği zararın çok fazla insanı etkilediği yapılar kritik altyapılardır. Taşımacılık, su ve gaz sistemi, havacılık, elektrik dağıtımı, bankacılık, sağlık bunların hepsi kritik alt yapı. Herkesin nükleer tesisi yok ama varsa o kritik altyapının parçası haline geliyor. İnternet erişimi yoksa güvenlik problemi yoktur diye düşünülürdü yakın zaman kadar. Bu artık geçerliliğini kaybetti. Stuxnet’in ilk versiyonunda amaç vanaları patlatmaktı. Eğer patlatsalardı İran bir düşman saldırısı olacağını anlayacak, daha kapalı, daha korumacı hale getirecekti ve gelişmeye devam edecekti. Bir sonraki versiyonda Stuxnet 1.0 sistemin içine girmek, ana kartı bulmak ve onun üzerinde nükleer zenginleştirme için çalışan rötar motorlarının hız frekansını değiştirmek üzere dizayn edildi. Orada çalışan mühendisler taşınabilir bilgisayarı ile tesisten çıkıp ilk internete bağlandığında virüs yüklendi veya kendi farklı versiyonunu yükledi. Stuxnet sistemde altı ay boyunca sessiz oturduktan sonra düzensiz bir şekilde rötar motorlarının hızını değiştirmeye başladı, rastgele. Semantik saldırı dediğimiz bu tür saldırılarda, bilgisayar ile insan arasındaki mantıksal güven algısını bozuyor. Bir anormali olduğunu anlıyorlar. Ancak çok uzun arama sonunda bir virüs olduğunu keşfedebildiler. İran’ın nükleer zenginleştirme ekipmanının dizaynı esnek olduğu için az zayiatla kurtuldular ama Stuxnet sarı kekin (nükleer zenginleştirmenin bir evresine verilen ad) üretimini iki yıl geciktirdi. Bu çok büyük bir başarı.
Hangi devletler şu an en güçlü ve Türkiye’nin durumu ne?
Devletler bu konudaki kabiliyetlerini gizleme konusunda çok mahirler ama en çok ekipmanı ve yatırımı olan ülkeler deyince ABD, İsrail, Rusya, İngiltere, Kanada, Çin, Hindistan, Güney Kore, Finlandiya, İran, Estonya ve Almanya’yı sayabilirim. Siber hazırlık dediğimiz endekslere göre Türkiye potansiyel olarak çok yukarlarda ama yatırım ve malzeme olarak çok başarılı değil. Bu endekslere göre sadece insan potansiyeli olması gerekmiyor, bunların çok bilgili olması ve kurumlar arası iletişimin çok yüksek olması gerekiyor. Böylece herhangi bir tehdit olduğunda kısa sürede müdahale edilebilir.
Cep telefonlarımız ve bilgisayarlarımız ne kadar güvenli?
Siber güvenliğin bir tarafında siber casusluk ve istihbarat var. 21. yüzyılın en büyük problemlerinden biri karar verme süreçlerimizin bilgiye orantılı olarak çok değişmesi. Bu da beraberinde siber güvenliği getiriyor. Stuxnet’ten sonra insanlar bu konuda hassaslaşınca Ortadoğu’da Rusya ile ilgili olduğu düşünülen Flame adında bir virüs bulundu ve bu virüsün 5-6 yıldır bilgisayarlarda yattığı ortaya çıktı. Mikrofonu ve kamerayı açıyor, ses ve görüntü kaydı yapıyor, tüm network’unu (şebekesini), adres defterini kaydediyor, e-mail yazışmalarının kopyalarını gönderiyor. Bunlar cep telefonlarına da yerleşiyor. Ve sen farkında olmadan bütün datalarını bilgin dışında başka yerlere gönderip seni kontrol etmelerini sağlıyor. Bunun devlet başkanları, yöneticilerin cep telefonlarına yerleştiğini düşün. Obama’nın neden iPhone, Twitter kullanamadığını açıklayan en güzel sebeplerden biri bu. NSA bunun olabileceği ihtimalini bildiği için ona çok özel ve kısıtlı özellikleri olan bir telefon verdi.
Cep telefonları güvenliği deyince aklıma Whatsapp geldi. Bu uygulama yeni bir güncelleme yaptı ve her mesajda kriptolama uyarısı çıkıyor. Güvenilir mi bu durumda?
Daha önce Whatsapp hiç güvenilir değildi çünkü yazışmaları kriptosuz gönderiyordu. Şimdi Ratchet kriptolama algoritmasına geçti. Çok güvenli olarak gözüküyor çünkü her yollananı ayrı ayrı kriptoluyor, her seferinde kriptolama katmanlaşıyor. Ancak teorik olarak hiç bir kripto çözülemez değil. Süper bilgisayarlara sahip ülkeler var. Onlar için bu hesaplamalar çok farklı bir boyut kazanıyor. İkinci bir sorun halka açık yerlerdeki kablosuz bağlantılara (wi-fi’lere) bağlanma. Tehlike orada; kaynağın başına oturursun insanların bağlantılarının arasına girersin ve ne yaptıklarını takip edersin. Ülkeler seviyesinde data bilgi yönlendirici (router) ekipmanlar kullanılıyor. Çin bundan 3-4 sene önce ABD’nin bir kaç router’ını ele geçirmişti ve 15 gün boyunca oradan geçen bütün bilgiyi Çin üzerinden akıtarak ABD’ye göndermişti. Kim bilir ne kadar büyük bir data ele geçirdi. Hedef artık daha çok bilgiye sahip olmak. Bilgi şu an yeni petrol. Artık hepimiz 1 ve 0’lardan oluşuyoruz. Bir de gönüllü olarak bilgilerimizi paylaşıyoruz. Google ile mesela birçok bilgi paylaşıyorsun. Google çok basit tahminlerde bulunuyor. Bu adam şu kadar saat burada duruyorsa bu onun evi olsa gerek diyor. Haftada bir şuraya gidip iki saat kalıyorsa ya arkadaşıdır, ya doktorudur gibi tahminde bulunuyor. İhtimaller sınırlı. Algoritmalar çalışıyor. Algoritmalar esasında bizim nasıl davranacağımızı hızlı bir şekilde anlayıp çözmeye başlıyor. Bunun hücresel bilgilerle örtüştürüldüğünü düşün. O zaman birinin yaşam haritasını rahatça çıkarılabilirsin.
Çin örneğine bakarsak, inanılmaz bir data toplamıştı. Bunu ayrıştırabilecek bir sisteme sahip mi?
Problem burada başlıyor. Muhtemelen Çin buna sahiptir. Buna data mühendisliği diyoruz. Veri madenciliği yapıyorlar ve muhtemelen böyle becerileri vardır. Güçlü ülkelerde birkaç şeye odaklanıyor. Bir tanesi de veri madenciliği, veri görselleştirmesi.
Bu saldırıları konuyu yakından takip edenler dışındakiler neden pek duymuyor?
Saldırıya uğrayan genellikle utanç içinde oluyor. Bunu zafiyet ve zayıflık olarak düşünüyor. Özellikle özel kurumlar bu tür saldırıları saklamayı tercih ediyor. Kredi kartlarına saldırı olduğunda söylememeyi tercih ediyorlar. “Güvenliğinizi koruyamadım,” dememek ve kendini zayıf göstermek istemiyor. İmajını korumak da var tabi. Devletler için de aynı durum geçerli. Devletler hack edildiğini bilgisini birisi ortaya yaymamışsa ya da söylemek zorunda kalmazsa, söylememeyi tercih ediyor. Geçtiğimiz sene bu zamanlarda yapılan saldırı sonucunda ABD’nin pasaport sistemi hack’lenmişti ve 15 gün boyunca kimseye vize verememişti. Bu konuya çok uzun süredir ciddi yatırım yapan ABD’de bile böyle şeyler olabiliyor. Snowden ve Wikileaks de ABD’den çıktı. Daha teknolojik ve dijital olan ülkelerde bu tür tehditler daha yüksek.
Siber saldırılar bilgi hırsızlığı yaptığı gibi bilgi de değiştirebilir mi?
Değiştirebilir. En büyük tehlike de orada zaten. Hacker ve cracker’lar arasında bir ayırım yapmak gerekir. Cracker’lar bir sistemi kırarlar ve sistemin kendilerinden sonra ne hale geldiğini çok önemsemezler. Birinin sisteme girdiğini anlarsın bir şeyleri aramış veya kontrolü ele geçirmiş senden bir şey istiyordur. Ama hacker’lar bu işin virtüözü olan insanlardır. Sisteme girerler, bütün izlerini silerler, bazen bilgileri de değiştirirler. Stuxnet örneğinde olduğu gibi izlerini bulmak veya takip etmek çok zordur. Esas korku bilgilerin çalınması değil değiştirilmesi. Bu devlet düzeyindeki bilgiler için olursa çok tehlikeli. Günlük hayatımızda sağlık bilgilerinin değiştirilmesi; şeker hastasına şekerini tetikleyecek bir ilaç verilmesi, beklenmedik ölümlere sebep olabilir. Ya da tapu sistemine girip herkesin üstündeki tapuyu bir sonrakine kaydettiğini düşün. Devletlerin başa çıkamayacakları kaoslar oluşur eğer yedekleme sistemleri yoksa.
Bu tür saldırılardan nasıl korunabiliriz? Türkiye’de bilgilerimiz korunuyor mu?
Burada iki kavramdan bahsediyoruz. Bir tanesi redundancy diye geçiyor İngilizcede. Yedekleme, hazır olma denilebilir. Bir diğeri ve en önemlisi ise resilience; direnç de deniyor buna ama ben esnek-dayanıklılık demeyi tercih ediyorum. Hiç bir sistem geçilemez ve yıkılamaz değil. Kırılsak, yıkılsak bile en doğru bilgiyle, en kısa sürede tekrar aktif hale gelebilmeliyiz. İş devamlılığı açısından çok önemli ve sadece devletler için değil, şirketler için de çok önemli. Bir e-şirket hack’lense insanların kredi kartı bilgileri, adres bilgileri orada. Şirketin hiç satış yapamadığından büyük bir ticari zarar da oluşturuyor. Kobiler bu konuda büyük şirketlerden daha büyük problemler yaşıyorlar. Tehlike altındalar ve bu konuya yatırım yapacak paraları yok, tuttukları şirketler çok yetkin değil, IT’cilerin bu tür güvenlik önceliği de olmuyor zaman zaman. SOME’nin (Siber Olaylara Müdahale Merkezi – CERT – Computer Emergency Response Team) virüs uyarısında bulunması, gelen uyarıları KOBİ’lerle düzenli olarak paylaşması gerekir. Devletin bu tür konularda destek sağlaması lazım. Bir de bizde eksik olan bir konu; kurulan sistemin her kuruma göre özelleştirilmesi ve güncellemelerinin düzenli yüklemesi lazım.
Büyük şirketlerin Kobi’lerden farklı ne gibi sorunları var?
Öncelikle iş istihbaratı ve güvenliği konusu var. Süper bir ürün tasarladın, bu bilgisayarından çalınıyor. ABD’nin Çin ile ilgili en büyük şikayeti bu; F-35’in planları çalınmıştı Amerika’da. Bu tür durumlarda hacker’lar şirketle pazarlık yapıyor. Bu tür pazarlıklar konusunda yetkin ve aktif birimlere ihtiyaç var. TÜSİAD siber güvenliğe odaklanmak zorundadır. Her şeyi devlete bırakmamalı. Sadece sistemler yıkılmıyor, büyük üretim kayıpları da oluyor. Mesela güncel olan Puma’nın Türkiye’deki firmaya ürettirdiği formalarının yırtılması meselesi. Olayın esası böyle değil ama bir örnek olması açısından şöyle düşünelim. Kumaşı üretirken birçok fiber belirli oranlarda dokumaya ekleniyor. Mesela diyelim ki, hacker üretimde daha fazla girmesi gereken bir iplik türünün daha az dokumaya katılmasını sağlarsa. Üretim kontrollerinde ortaya çıkmazsa ama piyasada satılınca bu sorun anlaşılırsa ne olur. Senelerdir iş yapmasına rağmen birçok firmanın Puma ile iş yapmasını engellemiş olur. Bundan kazanç sağlayacak rakipleri yapmış olabilir. Siber güvenliğin ekonomik bir tarafı var ve bu ihmal edildiği müddetçe cazip gelecek ve sorun daha da büyüyecek.
Ticari boyutu yeterince korkutucu bile. Peki, nükleer ülkeler ne kadar korunaklı?
Nükleer ülkeler çok problemli, büyük hassasiyet istiyor. Ekipmanların en ince detayına kadar taranması lazım çünkü kullanılan çiplerin çoğu Tayvan ve Çin’de basılıyor ve içinde nasıl programlar çalıştığı konusunda bilgi sahibi değilsen ne yaptığını da kontrol edemezsin. Çin’de üretilen bazı Android telefon modellerine Trojan dediğimiz solucanlar koyulmuştu ve bunlarla bilgi topluyordu. Rusya’dan gelen ütülerin içinden küçük çipler çıktı. 200 metre etrafındaki kablosuz internet bağlantılarının isim ve şifrelerini bulup Çin’e yolluyordu. Şimdi böyle bir yaşamda sen nükleer tesisi bir sürü ekipmandan temiz ve hijyenik olarak alıp korumak istiyorsun. Bu çok büyük bir çaba gerektiriyor. Öncesinde güvenlik odaklı bir hazırlık gerektiriyor. Siber güvenliğin problemi teknoloji değil. Buradaki en zayıf halka insan. Tek başına ülke olarak yetebiliyorsan problem yok. Ama bizim gibi Rusya ile yapıyorsan büyük problemlere gebesin demektir. Nükleer tesisi yaptıktan sonra Türkiye’nin Rus uçağını vurduğu senaryosunu düşünelim. Bir başka ülkeye büyük bir koz vermiş oluyorsun, her şeyi yapabilir. Hele senin mühendislerin bunların nasıl çalıştığını, iletişim protokollerini bilmiyorsanız hiç şansınız yok demektir.
Türkiye’nin hangi konulara öncelik vermesi gerekiyor?
Siber güvenlik konusunda, ileriye gidişler, yenileme, insanların kullanımları açısından baştan planlanma yapılması lazım. Bu durumsal farkındalık halinden Türkiye zihinsel olarak çok uzakta ve bunu geliştirmemiz lazım. Ama sevindirici haberler de var. Ege’de bir okulda pilot uygulama olarak Milli Eğitim destekli programlama üzerine dersler verilmeye başlanmış. Gelecek için ümitliyim ama şu an için zor. Siber alan öyle bir şey ki hiç bir devlet tek başına güçlü olamaz. Google, Microsoft gibi özel şirketler bu konuda çok daha rekabetçi. Devletler özel şirketlerle uzlaşmak zorunda. Bu konuda yeni bir yönetim zihniyeti geliştirmek zorundayız. Bu sektörde önemli bir beyin göçü söz konusu. Almanya’nın vize ve vatandaşlık verdiği kişilerin çoğunluğu IT sektöründen. Türkiye’den de çok fazla insan oraya gidiyor, bu insanlara alan açmalıyız. Bu, ülkelerin bağımsızlığını sağlayabilecek bir şey. İsrail bu konuda büyük adımlar attı. Gelirinin yüzde 70-80’i IT sektöründen. Bu çok büyük bir başarı. Üretimin çok değişik bir boyuta kaydığı bir noktadayız şu an. Bunu sağlayabilirsek Türkiye bambaşka bir yere zıplayabilir. Bunun için ise zihinsel bir değişim gerekiyor ki bunu yapabilir miyiz çok emin değilim.
NATO siber saldırıları beşinci madde içine aldı. Bu caydırıcı olur mu, bu kararın ne gibi etkileri olur?
NATO, birkaç hafta içinde Varşova’da yıllık toplantısında siberi savaş alanı olarak kabul ettiğini açıklayacak. Bu da algısını sadece savunmadan çıkarıp saldırıya geçirecektir. Böyle olduğu zaman da 5. maddeyi aktif olarak kullanacaktır. Ama burada hala bazı sorularımız var. Saldıran kim, yaptığı fiil ne, hedef ne, niçin yapıyor ve gerçekten bu hedef mi? Siber’de bütün bunları bilmek çok zor. Bunların netlik kazanması için NATO elinden geldiğince bilimsel kriterlerle bunları desteklemeye çalışıyor. Bütün üye ülkelerin bu konuda daha ileriye gitmesi için baskı yapacaktır ama ülkeler arası oransızlık çok fazla. Bir yanda ABD gibi 1990’larda siber ordusunu kurmuş bir ülke varken, öbür yanda bunu kurmak için zihinsel olarak hazır olmayan ülkeler var. Bu teknolojik farkı eşitlemek çok zor. Bir süre sonra milli siber alanların oluşacağını tahmin ediyorum. Öte yandan ülkeler bu karanlık alanı çok sevdiler. Bunun nükleer kültüre kayan bir yönü var. O noktada herkes durup “yapmayalım” diyecektir.
Devletler dışında devlet dışı aktörlerin de siber orduları var. Mesela PKK’nın bir siber ordusu var. Bunların gücü ve Türkiye’ye oluşturdukları tehdidin boyutu nedir?
Siber güvenlik için tehdit algısı her güç ve her varlık için çok dikkate alınmalıdır. Çok iyi bir beyin vardır orada ve farklı ülkelerden destek alıyordur. Sizin erişilemez dediğiniz engellere ulaşır. Bu nedenle siberde hiç bir örgütü hafife almamak gerekir. Mesela Suriye Elektronik Ordusu İsrail ve Türkiye’ye saldırmıştı. Bu saldırıları tek başlarına değil İran ve Kuzey Kore ile işbirliği içinde yapmıştı. Bu tür işbirliklerinin olup olmadığını bilemezsiniz. PKK bu konuda çok derinden çalışıyor. 4-5 sene önce Diyarbakır’da bir polis kontrolünde durdurulan bir kişinin çantasından çıkan cd ve DVD’lerin içinden genel kurmaya ait haritalar, MİT’in gizli bilgileri, başbakanlık belgeleri ortaya çıkmıştı. Bunun olabilmesi bir kabiliyeti gösteriyor. Artık savaş çok farklı bir hale geldi. Mesela AP’nin Twitter hesabını ele geçirip “Beyaz Saray’a bomba düştü ve Obama yaralandı” yalan haberinin yayılmasıyla borsanın dalgalanması buna iyi bir örnek. Bir şey yapabilmek için öyle büyük yerleri hack etmeye gerek yok. Siber istihbarat Türkiye’de çok gelişmiş değil ama yurtdışında bunu yapan özel firmalar var. Bu tür grupları hafife almak yerine takip etmek gerekir. PKK, PYD, Suriye Elektronik Ordusu, Hizbullah da buna dahil.
