Siber Güvenlik Uzmanı Prof. Dr. Arif Sarı, son dönemlerde yaşanan siber saldırıların yanı sıra asıl tehlikenin devlet kurumlarının güvenliği olduğunu vurgulayarak sorunun önemine dikkat çekti.
Çok katmanlı önlemler… Prof. Dr. Sarı, siber güvenliğin artık teknik değil ulusal güvenlik meselesi olduğunu vurgulayarak güçlü merkezi yapılanma, kritik altyapılar için özel güvenlik mimarileri ve bireyden devlete kadar çok katmanlı acil önlemler alınması gerektiğine dikkat çekti.
Siber Güvenlik Müsteşarlığı şart… Siber güvenliğin bir ürün değil, bir süreç olduğunu dile getiren Sarı, bu sürecin yalnızca teknik önlemlerle değil; doğru politika, doğru yapı ve doğru insan kaynağı ile yönetilmesi gerektiğini söyledi. Sarı, “Siber Güvenlik Müsteşarlığı” benzeri yapının KKTC’de kurulması gerektiğine vurgu yaptı.
Candan MERT
KKTC’de son dönemlerde siber saldırıların artması, birçok gazeteci, yazar, siyasetçi ve toplum içinde söz sahibi olan yetkililerin paylaşımlarının silinmesi, toplum içinde büyük bir şaşkınlık yarattı.
Siber Güvenlik Uzmanı Prof. Dr. Arif Sarı, yaşanan bu saldırılar hakkında KIBRIS’a kapsamlı açıklamalarda bulundu.
Sarı, devlet kurumlarının öncelikli hedef haline geldiğini, siber güvenliğin artık teknik değil ulusal güvenlik meselesi olduğunu vurgulayarak, güçlü merkezi yapılanma, kritik altyapılar için özel güvenlik mimarileri ve bireyden devlete kadar çok katmanlı acil önlemler alınması gerektiğine dikkat çekti.
“Yapılar, saldırıyı ‘demokratikleştiriyor’”
Son dönemde KKTC’de gözlemlenen siber saldırı olayların, klasik bireysel girişimlerin çok ötesine geçmiş durumda olduğunu kaydeden Prof. Dr. Arif Sarı, “Eskiden daha çok bireysel merak veya sınırlı teknik bilgiyle gerçekleştirilen girişimler görürken, bugün geldiğimiz noktada saldırıların önemli bir kısmının organize yapılar, siber suç grupları ve hatta hizmet olarak sunulan saldırı altyapıları (Cybercrime-as-a-Service) üzerinden yürütüldüğünü görüyoruz” ifadelerini kullandı.
Bu yapıların en önemli özelliğinin, ‘saldırıyı demokratikleştirmek’ olduğunu aktaran Sarı, günümüzde ileri düzey teknik bilgiye sahip olmayan kişilerin bile ciddi siber saldırılar gerçekleştirdiğine dikkati çekerken, bu saldırıların hazır araçlar ve kiralanabilir altyapılar sayesinde yapıldığını vurguladı. Sarı, bu durumun saldırı sayısını artırdığını dile getirerek, aynı zamanda saldırıların karmaşıklığını ve etkisini de yükselttiğini belirtti. Prof Dr. Sarı, “Dolayısıyla bugün karşı karşıya olduğumuz tabloyu net şekilde ifade etmek gerekirse; bireysel tehditlerden ziyade, yarı organize ve tamamen organize siber tehdit ekosistemleri ile karşı karşıyayız.” dedi.
“Yapıların üç ana motivasyonu var”
Bu saldırıların ardında yatan motivasyonları değerlendiren Prof. Dr. Sarı, bu gibi siber saldırıları tek bir motivasyonla açıklamanın mümkün olmadığını kaydetti. Bununla beraber sahadaki gözlem ve analizlerinin üç ana motivasyonun öne çıktığını gösterdiğini aktaran Sarı, bu motivasyonları şöyle açıkladı:
“Birincisi ve en yaygını maddi kazançtır. Özellikle fidye yazılımları, finansal dolandırıcılık girişimleri ve veri sızıntısı üzerinden şantaj gibi yöntemler bu kategoride değerlendirilebilir. İkinci olarak politik ve ideolojik motivasyonlu saldırılar karşımıza çıkmaktadır. Bu tür saldırılar genellikle kamu kurumlarını, medya kuruluşlarını veya belirli görüşleri temsil eden yapıları hedef almaktadır. Üçüncü kategori ise kaos yaratma ve itibar zedeleme amaçlı saldırılardır. Bu tür saldırılarda amaç doğrudan kazanç değil, sistemleri çalışamaz hale getirmek, kamu güvenini sarsmak veya hedef kurumun itibarını zedelemektir.”
Bu durumun KKTC özelinde değerlendirildiğinde maddi kazanç odaklı saldırıların daha yoğun olduğunun söylenebileceğini dile getiren Sarı, bölgesel ve politik gelişmelere paralel olarak ideolojik saldırıların da zaman zaman artış gösterdiğini gözlemlediklerini aktardı.
“Devlet kurumları öncelikli hedef”
Bugünün dijital dünyasında “tehdit altında olmayan” hiçbir sistemden söz etmenin mümkün olmadığını vurgulayan Prof. Dr. Sarı, bu durumun yalnızca KKTC’ye özgü olmadığını ve küresel ölçekte tüm devletler için geçerli olduğunu söyledi.
Devlet kurumlarının bu noktada özellikle kritik hedefler olduğunu kaydeden Sarı, bunun sebeplerini, kurumların ‘vatandaşlara ait hassas verileri barındırması’, ‘sürekliliği hayati olan hizmetler sunması’ ve stratejik ve politik değere sahip olması’ olarak açıklarken, bu nedenle de devlet kurum sitelerinin saldırganlar açısından her zaman öncelikli hedef konumunda olduğunu aktardı. Bu noktada asıl meselenin ‘saldırının olup olmayacağı’ değil, ‘saldırı olması halindeki hazırlık durumu ve olası bir saldırıda ne kadar hızlı reaksiyon gösterileceği’ olduğunu dile getiren Sarı, doğru mimari, düzenli güvenlik testleri ve etkin olay müdahale kabiliyeti ile bu risklerin yönetilebilir seviyeye indirilebileceğinin altını çizdi.
“Farkındalık istenilen noktada değil”
KKTC’de kurumların siber güvenlik farkındalığını değerlendiren Prof. Dr. Arif Sarı, son yıllarda bu farkındalığın belirli bir artış gösterdiğini ifade ederken, bu artışa rağmen genel olgunluk seviyesinin henüz istenilen noktaya ulaşmadığını dile getirdi. Bu noktada en temel sorunlardan birinin, ‘siber güvenliğin hala birçok kurum tarafından yalnızca teknik bir konu olarak değerlendirilmesi’ olduğunu belirten Sarı, “Oysa siber güvenlik, doğrudan kurumsal risk yönetimi ve yönetişim meselesidir” dedi. Prof. Dr. Arif Sarı, tüm bunlara ek olarak, proaktif değil, reaktif yaklaşımın hakim olması, düzenli test ve denetim mekanizmalarının eksikliği ve insan kaynağı ve uzmanlık yetersizliği gibi faktörlerin de mevcut tabloyu zorlaştırdığına vurgu yaptı. Sarı, son dönemde yaşanan olayların, bu konunun artık göz ardı edilemeyecek bir seviyeye ulaştığını gösterdiğini ve farkındalığın daha hızlı artmasına katkı sağladığını da sözlerine ekledi.
“Devlet düzeyinde güçlü bir yapı şart”
Bu anlamda alınacak önlemlere de değinen Sarı, siber güvenlik konusunun çok katmanlı bir yapı olduğunu aktararak, bu güvenliğin yalnızca bireysel ya da yalnızca kurumsal önlemlerle sağlanamayacağını ifade etti. Arif Sarı, bu anlamda birey, kurum ve devletin eş zamanlı hareket etmesinin elzem olduğunu aktardı. Kullanıcıların bireysel olarak alabileceği önlemleri sıralayan Sarı, bu önemleri, “güçlü ve benzersiz şifreler kullanmak’, ‘iki faktörlü kimlik doğrulamayı aktif hale getirmek’ ve ‘şüpheli bağlantı ve içeriklere karşı dikkatli olmak’ şeklinde sıralarken, bu önlemlerin temel ama kritik önlemler olduğunu söyledi. Bunun yanında kurumsal düzeyde alınabilecek önlemleri de aktaran Sarı, ‘düzenli sızma testleri yapılması, ‘sistemlerin güncel tutulması’, ‘etkin yedekleme stratejilerinin uygulanması ve ‘çalışanlara yönelik farkındalık eğitimleri verilmesi’ faktörlerinin olmazsa olmaz önlemler arasında yer aldığını kaydetti. Tüm bunların yanında Sarı, bu konunun sürdürülebilir ve etkili şekilde yönetilebilmesi için devlet düzeyinde merkezi ve güçlü bir yapının şart olduğunun da altını özellikle çizdi.
“Bu durum, ulusal güvenlik meselesidir”
Daha önce önerdiği “Siber Güvenlik Müsteşarlığı” benzeri yapıdan da bahseden Sarı, bu yapı önerisinin günümüzdeki mevcut durumu açısından da açıklamalarda bulundu. Prof. Dr. Arif Sarı, “Geçtiğimiz yıl yaptığımız değerlendirmelerde, Türkiye’deki modele benzer şekilde özerk, güçlü ve doğrudan ulusal güvenlik perspektifiyle çalışan bir “Siber Güvenlik Müsteşarlığı” benzeri yapının KKTC’de kurulması gerektiğini açık şekilde ifade etmiştik. Ayrıca bu yapının yalnızca koordinasyon değil, aynı zamanda operasyonel kapasiteye de sahip olması gerektiğini; bu kapsamda Ulusal Siber Olaylara Müdahale Merkezi benzeri bir merkezi yapı kurulmasının ve kurumlar içerisinde sektörel SOME’lerin oluşturulmasının kritik önemde olduğunu vurgulamıştık.
O dönemde bu öneriler bazı çevreler tarafından tartışılmış, hatta böyle bir yapının gerekliliği dahi sorgulanmıştı. Ancak bugün gelinen noktada, ülkemize yönelik farklı motivasyonlarla gerçekleştirilen saldırılar karşısında, birçok kurumun hangi yapının kendilerini koruması gerektiğini sorguladığını, mevcut yapıların ise bu beklentiyi karşılamakta zorlandığını görüyoruz. Bu tablo aslında şunu çok net ortaya koymaktadır: Siber güvenlik, herhangi bir kurumun altında tali bir görev olarak yürütülebilecek bir alan değildir. Bu konu doğrudan ulusal güvenlik meselesidir ve bağımsız, merkezi ve güçlü bir yapı gerektirir. Dolayısıyla bugün yaşananlar, geçmişte yaptığımız bu uyarıların ne kadar yerinde olduğunu göstermektedir” ifadelerini kullandı.
“Özel güvenlik mimarileri kurulmalı”
Elektrik, su, telekomünikasyon gibi kritik altyapıların durumunu da değerlendiren Sarı, bu sistemlerin ülkenin sürekliliğini sağlayan en hassas sistemler olduğuna dikkat çekti. Bu sistemlere yönelik olası bir siber saldırının yalnızca teknik bir kesinti değil, doğrudan toplumsal ve ekonomik kriz anlamına gelebileceğini kaydeden Sarı, “Bu nedenle bu alanlarda klasik IT güvenliği yaklaşımları yeterli değildir. Özellikle endüstriyel kontrol sistemlerine (ICS/SCADA) yönelik özel güvenlik mimarilerinin kurulması gerekmektedir” dedi.
“Mekanizmalar suistimal ediliyor”
Tüm bunlara ek olarak son dönemde sosyal medya platformlarında telif hakkı mekanizmalarının kötüye kullanılmasıyla gerçekleştirilen içerik kaldırma vakalarında ciddi bir artış olduğunu aktaran Sarı, bazı şirketlerin, özellikle Facebook gibi platformlarla entegre çalışan “güvenilir hak sahibi” statüsü üzerinden hızlı içerik kaldırma yetkisine sahip olmasının, bu mekanizmanın suistimal edilmesi riskini beraberinde getirdiğini vurguladı. Sarı, bu durumun, klasik anlamda bir siber saldırıdan farklı olmakla birlikte, hukuki ve platform mekanizmalarının manipüle edilmesi yoluyla gerçekleştirilen yeni nesil bir dijital müdahale yöntemi olarak değerlendirilmesi gerektiğinin altını çizdi.
Sonuç itibariyle siber güvenliğin bir ürün değil, bir süreç olduğunu dile getiren Prof. Dr. Arif Sarı, bu sürecin yalnızca teknik önlemlerle değil; doğru politika, doğru yapı ve doğru insan kaynağı ile yönetilmesinin önemine vurgu yaptı. Sarı, sözlerini, “Ülkemizde gerek kurumsal gerek kişisel düzeyde bugün alınmayan önlemler, yarın çok daha büyük maliyetler ve krizler olarak karşımıza çıkacaktır. Bu konuda gerekli teknolojik ve insan kaynağı yatırımların yapılması artık kaçınılmaz hale gelmiştir.” ifadeleriyle noktaladı.
Yorumlar kapalı.