Geçen hafta yapılan siber saldırı, Türkiye'nin bu alandaki güvenlik sorunlarını da ortaya çıkardı. Kadir Has Üniversitesi Uluslararası İlişkiler Bölümü öğretim üyesi Doç. Dr. Salih Bıçakcı, Türkiye'nin politik olarak sürtüşme içinde olduğu ülkelerin hepsinin siber kapasitesi olduğuna dikkat çekiyor ve ekliyor: "Rusya ya da İran istese Türkiye'ye taş devrine döndürebilir."

Siber güvenlik konusunda NATO Terörle Mücadele Mükemmeliyet Merkezi’nde (COEDAT) sunumlar yapan, Harp Akademileri’ne bağlı Silahlı Kuvvetler Akademisi'nde Siber Güvenlik, Siber Savaş dersleri vermiş Doç. Dr. Salih Bıçakcı, Türkiye'nin tüm komşularının ciddi bir siber saldırı potansiyeli olduğuna dikkat çekiyor. Radikal'e konuşan Bıçakçı, Türkiye'nin ise ba saldırıları göğüsleme japasitesinin çok düşük olduğunu vurguluyor.

Son saldırılar hakkındaki değerlendirmeniz nedir?

14 Aralık’ta başlayan dağıtık hizmet engelleme saldırısı (DDOS) olduğunu görüyoruz. Bu tür saldırının kaynağı olarak bulduğunuz IP’nin gerçek fail olup olmadığına çok güvenemezsiniz. O yüzden ilk günlerde politik çatışmamızdan ve Rusya’nın siber saldırı sicilinden dolayı, Rusya olduğundan şüphelendik.

Anonymous yaptığı son açıklamayla saldırı üstlendiler. Takip edebildiğim kadarıyla Anonymous #OpTurkey kampanyasını 25 Kasım’da ilan etmişti. 25 Kasım’dan 14 Aralık’a kadar neden saldırı yapmadı sorusunu sormadan da edemiyorum. Öte yandan Redhack’in bu saldırılara katılmış olması ve saldıranların İnternet’e koyduğu ekran görüntülerindeki Kril alfabesi, beni Anonymous önderliğinde farklı aktörlerin saldırılarda yer aldığı intibaını verdi.

Anonymous saldırı listesinde sadece devlet kurumlarını listelemişti. Ama 24 Aralık saldırısında kamu kurumlarının yanısıra bankaların de saldırıdan etkilendiğini gördük. Aktörlerin çokluğu saldırıların nasıl ilerleyeceğini tahmin etmemizi zorlaştırsa da saldırıların bundan sonraki hedefinin Havayolları, Borsa gibi etkin ekonomi araçlarının ve yaygın belediye hizmetleri veren servisler olacağını tahmin ediyorum. ODTÜ’nün yaptığı açıklamada saldırının 200+ Gbps belirtilmesi ve 24 Aralık’taki saldırı yoğunluğu, bu saldırının siber güvenlik listelerinde önemli bir yere oturacağını söyleyebilirim.

Sizce bu saldırıya nasıl yanıt verildi; iyi bir kriz yönetimi yapıldı mı?

Kriz yönetimi ODTÜ üzerinden yapıldı. Çünkü ODTÜ tüm nic .tr serverları bünyesinde bulunduran kurum. Türkiye’ye ilk interneti onlar getirdi. Türkiye’de düzenleyici kurumlar açısından şöyle bir yapılanma var. TİB (Telekomünikasyon İletişim Başkanlığı) en üst seviyedeki birim. TİB’e e bağlı bir ulusal siber olaylara müdahale merkezi; USOM var. Onun içinde de bir müdahale ekibi var. O ekip tavsiyelerde bulunuyor. İlk gün tüm yurtdışı IP’lerinizi kapatın dediler. Kapatınca; siber uzaydaki herşeyden soyutlandık, o zaman da işlev göremez hale geldik; sonra da açın dediler. Yanlış bir tercihti, kapattığınzda zaten karşı tarafın yapmasını istediğiniz şeyi yapıyorsunuz. Bu da USOM’un kötü yönettiğini gösteriyor aslında. ODTÜ kendisinin yapabileceği tüm teknik beceriyi kullandı. Belki de esas soru şu: USOM önce böyle bir krizi nasıl yöneteceğinin provasını yaptı mı?

Hükümet ODTÜ’yü suçladı; ODTÜ’deki sorumluluğun Bilgi Teknolojileri ve İletişim Kurumu’na (BTK) geçmesi gerektiğini savunuyor. Hükümetin önerisi çözüm olur mu?

ODTÜ bir devlet kurumu ama tanımlanmış böyle bir görevi yok. Kendi serverları var. ODTÜ ben bunları nasıl çalışır tutmaya devam edebilirim diye çalıştı. ODTÜ’nün yapması gerken de bu.

Nic.tr sunucularının nerede bulunması gerektiği konusundaki ODTÜ ile Ulaştırma Bakanlığı arasındaki iletişimin geçmişini bilmiyorum. Uzun süreden beri ODTÜ’nün bu görevi ifa ettiğini biliyorum. Ulaştırma Bakanlığı bu sunucuların kendi bünyelerinde yer alan BTK’ya geçmesini savunuyor ama saldırılar sırasında Ulaştırma Bakanlığı’nın hizmetleri de kendilerine göre kısa süre de olsa kesintiye uğradı. Bu noktada unutulan şu: her nerede bulunursa bulunsun devlet kendi sınırları içindeki bütün sunucuları ve hizmetleri korumak zorundadır. Artık geldiğimiz noktada milli siber uzay sınırları var ve koruması gerekiyor. Bu yüzden devlet ODTÜ sunucularının da bankaların sunucularının da korunmasından da sorumludur. Tabii ki, BTK’ya taşımaları belirli teknik imkanlar için belki bazı faydalar getirebilir. Ancak yeni yapılanmalar hep daha fazla açıklara gebedir. Bu tür bir geçiş kriz döneminden önce konuşulmalıdır ve kriz anında böyle zafiyetler konusunda çok da tartışılmaması gerektiğini düşünüyorum.

Kriz iyi yönetilemedi yani; ortada bir koordinasyonsuzluk da var galiba.

Çok fazla. Türkiye’de kimin siber krizi yöneteceği ve nasıl yöneteceği hiç net değil. Kriz koordinasyon merkezi yok. USOM’un yönetmesi lazım ama onların yetkisi ve uzmanlık alanı çok sınırlı. Siber güvenlik konseyi var. Ulaştırma bakanlığının altında oluşturulmuş. O bu olaylara hiç müdahale etmedi. Ama onun pozisyonu da çok yanlış yerde. Başbakanlık altında bütün kurumlarla hızlı haberleşebilen ve etkin bir kriz merkezine ihtiyaç var. Son haliyle çıkan tek mesaj: Biz de siber kriz yönetme diye bir zihniyet yok. Kamuoyu pek farkında değildi; neden?

Siber dünya görünmediği için devletler var olan saldırıları saklama temayülü içindeler. Çünkü bunu zafiyet olarak görüyorlar. Halbuki dünya müphemlik üzerinden güvenlikten şeffaflık üzerinden güvenliğe gidiyor. Caydırıcılık dediğiniz şey açıklık üzerinden geliyor.

Nasıl bir tehdit altındayız?

Bir ülkeyi taş devrine döndürebilecek bir tehditten söz ediyoruz. Ülkenin elektrik, su, taşıma sağlık, bankacılık sistemi; hepsini durdurabilir. Ne zamandır böylesine bir tehdit artışı var.

Son on yıl içinde çok artmış durumda. Ama Akerika siber ordusunun ilk temellerini 1993’te attı. Stuxnet saldırısını hatırlayalım; İsrail ve ABD bir virüs geliştirip İran’ın nükleer tesisine yerleştirdiler ve İran’ın nükleer zenginleştirme süresini iki yıl geciktirdiler. O zamana (2010) kadar biz bu kadar nitelikli saldırının yapılabileceğinden emin değildik. Bu ortaya çıktıktan sonra İran ABD, Rusya, Çin ve İsrail’le birlikte dünyanın beşinci en iyi siber gücü haline gelmiş durumda. 31 Mart’taki elektrik sistemlerinde yaşanan sorunun saldırı olabileceğinden şüpheleniyorum çünkü İran endüstriyel kaynaklara saldırmak konusunda çok kabiliyet geliştirdi.

En büyük siber güçlerden üçü komşumuz. Siber dünyada coğrafi yakınlık bir anlam ifade etmiyor. ABD müttefikimiz olabilir ama o da siber gücünü istihbarat manasında bilgi çalmak için de kullanabilir.

Türkiye’nin politik olarak sürtüşme içinde olduğu ülkelerin hepsinin siber kapasitesi var, buna Suriye elektronik ordusu da dahil. PKK’nın kendi hack team’i var. 2008’de bir çevirme sırasında Diyarbakır’da bir hacker yakalanıyor. Genekurmayın planları, MİT’ten bilgiler pek çok şey kriptolanmış şekilde bulunuyor. Artık alan o kadar genişledi ki, herkes bu kabiliyeti edinebilir. Düşmanın kim olduğu eskisi kadar net ve belli değil. Çünkü devlet yapıları çok simetrik yapılar. Belli bir yanıt üretirken atıl kalıyorlar. Zihinsel değişim gerikiyor. Mark Persky diye bir araştırmacının bir tabiri var. Çocuklar dünyaya ipadle geldiği için onlar dijital yerli; bizim gibi geçiş içinde olanlar; bu dünyada göçmeniz, anlamıyoruz tam bu dünyayı.

Yöneten insanların yaş ortalamasının yüksekliği onları göçmen yapıyor, saldıran çocukların ortalaması ise dijital yerliye doğru gidiyor. Ben mesala askelere de söylüyorum. Gençler farklı bakıyor dünyaya; sizin bilginiz yoksa kim komutan kim er. Yapı tamamen değişmeye başladı dünyada.

Sonuç olarak bu son saldırılar bize ne diyor?

24 Kasım’da Rus uçağı düşürülünce Twitter’dan Türkiye Rusya’nın IP’lerini bloke etti mi diye sormuştum. Mavi Marmara olayında; İsrail o gün tüm Türk IP’lerini bloke etmişti.

Siyasi bir konu varsa; bunun siber uzaydaki yansımasını hesaba almamız gerekiyor. Türkiye bazı adımları atarken bunların siber uzaydaki sonuçlarını hesaba katmıyor. Stratejimiz var deniyor ama öyle bir strateji yok. 2013 ve 2104’teki eylem planlarının süresi doldu. Bir olay olup konu gündeme gelince Türkiye bir şeyler yapıyor; sonra yapılması gerekenler yeniden gündemin gerisine düşüyor. Halbuki siber savaşlara çok yakınız ve hiç hazırlıklı değiliz. Kritik altyapılar çok önemli. Siyasi gelişmelerle siber olayları koordine edemezseniz ülkeyi koruyamazsınız. Türkiye’de muazzam bir insan sermayesi var. Ama bu tek başına yeterli değil. Özel sektörde örneğin bankacılık sektörü iyi durumda; ama bir de özel sektörle devletin buluşma noktası var ki; orası sorunlu. Mesela enerji sektörü. Enerji aynı zamanda bir ulusal güvenlik konusu. Devlet tarafı ise en zayıf kısım. Korunması gereken e-devlet, e-sağlık gibi alanlar var. Ama siber dünyaya dokunamadığımız için devlet yetkilileri konuyu ikinci plana atabiliyorlar.

Türkiye’nin ilişkilerinde sorun yaşadığı pek çok ülke var; madem bu kadar zafiyetlerimiz var neden hala taş devrine dönmedik? A: Bu çapta bir saldırı henüz yapmadılar. B) yaptılar ama Türkiye bunu savuşturmayı becerdi. Hangisi?

A ve B'den emin değilim. Ama C şıkkı; şu anda böyle bir niyetleri yok çünkü böyle bir saldırının sonuçları olur. NATO siber saldırıları 5. Madde altına aldı. NATO’nun da kabiliyeti sınırlı ama yine de bir caydırıcılık taşıyor. Bununla birlikte Rusya ya da İran istese Türkiye’ye taş devrine döndürebilir.

Bizim siber güvenlik kültürümüz yok. Çok ciddi devrimsel bir zihniyet değişimi yapmamız gerekiyor. Çok yapı birbirine kokordine olmayan bir yapı içinde çalışıyorlar. Durumsal farkındalığın çok uzağındayız.

Memursunuz mesai 9 da başlıyor 5 te bitiyor. Bir hacker’ın mesaisi beşten sonra başlar. Bir siber güvenlik yönetimi, 7-24 aktif çalışan ve durumun farkında olan koordinasyon merkezine ihtiyaç var.

Kriz mi olacak, kriz olmadan daha önlemi bilecek. Rusya’yla kriz yaşanabilir; Rusya’yı bloklayabilir miyiz diye hazırlık yapacak. Hem politik uzmanı olan hem istihbarat yapan hem halka gerekli duyuruyu yapacak bir merkez. Bambaşka bir güvenlik kültürünü temsil edecek.