(İSTH) İSTİHBARAT VE (İKK) İSTİHBARATA KARŞI KOYMA KONUSUNDA TÜRKİYE’DE SAYILI İSİMLER ARASINDA YER ALAN, 2010 YILINDA ADALET BAKANLIĞI ULUSAL YARGI AĞI PROJESİ İLE SOSYAL GÜVENLİK KURUMUNDAKİ GÜVENLİK ZAAFİYETLERİNİ ÇÖZÜMLEYEN ÜNLÜ BİLİŞİM TEKNOLOJİLERİ BİLGİ GÜVENLİĞİ UZMANI SAYIN; KAHRAMAN ŞEREF KASAP İLE “SİBER SAVAŞ VE TÜRKİYE” RÖPORTAJI
Fatma N.Ü. : Kahraman bey, Türkiye’nin ve dünyanın gündeminde çok önemli olan Siber Güvenlik ve Siber Savaşlar üzere sizinle böyle bir görüşme yapmak istedik. Görüşme talebimizi kabul edip, bize zaman ayırdığınız için teşekkür ederim. Kısaca sizi tanıyabilir miyiz?
Kahraman Ş.K. : Fatma hanım , bütün dünya ve insanlık için çok önemli olan bu konuyu gündeminize aldığınız için bende siz ve tüm gazeteniz çalışanlarına teşekkür ediyorum. Ben, 11 Eylül 1983 yılında İstanbul’un Üsküdar ilçesinde doğdum. Öğrenimimi burada tamamladım. 2001 yılında ticaret hayatına atıldım. 2002 yılında ise babamın kurucularından olduğu Mas İnş.Tes.Taah.Mob.Dek.San. ve Tic.Ltd.Şti. unvanlı firmanın (% 96) hissesini alarak Genel Müdürü oldum. 2003 – 2005 yılları arasında Vatani görevimi Adana’da (Sırasıyla Harekat Eğitim Subaylığında, İstihbarat ve İstihbarata Karşı Koyma Subaylığında ve son olarak ise Personel Subaylığında yazı işleri personeli olarak) çok başarılı bir şekilde tamamlayarak, görevimi icra etmenin huzuruyla sivil hayatıma dönerek firmamın başına geçtim. Babamın direktifleri ile İnşaat Mimarisi ve Modernizasyonu konusunda tecrübeler kazandım. Geneli Siyasetçi, Sanatçı ve İş camiasının ünlü isimleri olmak üzere inşaat mimarisi ve modernizasyonu alanındaki işlerimi başarılı şekilde tamamlayarak, bu sektörde tecrübemi kanıtladım. Lakin 2007 yılında iyi niyetimiz ve güvenimizin kötüye kullanılması sonucu iş ortaklarımız tarafından yaklaşık olarak 2.000.000,00 (İki milyon) TL civarında dolandırıldım. Sorumlularına karşı ceza ve hukuk davaları açtım. Maddi kayıplar nedeni ile iş kaybı yaşayacağımdan şirketimi davaların tamamlanacağı süreye kadar pasif duruma getirme kararı kaldım. 2008 yılı itibariyle de tüm zamanımı uzmanlık alanım olan Bilişim Teknolojileri ve Bilgi Güvenliği konusunda devletimin ve milletimin geleceği için çalışmalar yaparak harcamaya başladım.
Fatma N.Ü. : Devlet Kurumları ve Özel Sektöre verdiğiniz danışmanlık hizmetinin konuları nelerdir?
Kahraman Ş.K. : BGYS Danışmanlığı, Bilgi Güvenliği, Bilişim Güvenliği, Bilgi Teknolojileri Yönetişimi, İş Sürekliliği, Risk Analizi, PCI Danışmanlığı, Adli Bilişim, Security Checkup Hizmetleri, İnternet Security Checkup, Intranet Security Checkup, DoS Security Checkup, İş Sürekliliği Fark Analizi, İş Sürekliliği Yönetim (BCM) Sistemi Danışmanlığı, BS 25999 İç Denetim, ITIL / CobiT / ISO 20000 Danışmanlığı, ITIL/CobiT/ISO 20000 İç Denetim, Adli Bilişim Analizi, Acil Durum Müdahalesi, Uygulama Güvenliği, Uyumluluk Yönetimi, Risk Yönetimi, Sahtekarlık / Dolandırıcılık Risk Yönetimi, Kurumsal Olay Yönetim Danışmanlığı (Olaylara Hazırlık), BT Yönetişimi Fark Analizi, BT Felaket Kurtarma Süreç Danışmanlığı, Bilgi Güvenliği Fark Analizi, BGYS / ISO 27001 İç Denetim danışmanlık hizmetleri ile Bilgisayar Sistemlerindeki tüm yazılım hatalarına karşı teknik servis hizmeti vermekteyim.
Fatma N.Ü.: Uzmanlık alanınız olan, “Bilgi Güvenliği” konusunda bizleri bilgilendirir misiniz?
Kahraman Ş.K.: Bilgi, insanın etrafında olup bitenleri tam ve doğru olarak kavramasını sağlayan kişiselleştirilmiş enformasyondur. Bilgi, kendini düşünceler, öngörüler, sezgiler, fikirler, alınan dersler, uygulamalar ve yaşanan deneyimler şeklinde gösterir.
Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır.
Bilgi güvenliği ; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çağlı tehditlerden korunmasını sağlar. Bilgi birçok biçimde bulunabilir. Bilgi, kağıt üzerinde yazılı olabilir, elektronik olarak saklanıyor olabilir, posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir ya da kişiler arası sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır.
Fatma N.Ü.: Türkiye’nin “Bilgi Güvenliği” konusunda ne düşünüyorsunuz?
Kahraman Ş.K.: Araştırmalarım doğrultusunda kendi tespitlerime dayalı Güvenlik İstihbarat Raporu’mda; Türkiye’deki bilgi güvenliği ile ilgili yapılan tespitlerim endişe uyandırıyor. Bu çalışmam, dünyada bilgi güvenliği alanında en geniş örnek kümesine sahip araştırmalarımdan biri ve 600 milyon civarındaki bilgisayardan kullanıcıların izniyle paylaşılan sonuçlara dayalı olarak gerçekleştiriliyor.
Türkiye, son birkaç senedir dünyada 1000 bilgisayar başına düşen kötücül yazılım enfeksiyonu oranı itibarıyla en fazla enfeksiyona rastlanan ülkeler arasında yer alıyor. Son raporumun sonuçlarına göre de Türkiye geçtiğimiz bir sene içerisinde 1000 bilgisayara 36.8 enfekte cihaz oranı ile lider olurken, İspanya (36.1), Kore (34.8), Tayvan (29.7) ve Brezilya (24.7) oranları ile Türkiye’yi izledi.
Ayrıca önceki dönemlere ait raporlarımda Türkiye, SQL Enjeksiyonu olarak tabir edilen saldırı kategorisinde zaafiyet taşıyan “.tr” uzantılı 88.378 sayfa adedi ile de maalesef açık ara dünya lideriydi. Tüm “.com” uzantılı alanda bile 43.144 adet olan bu zaafiyeti taşıyan sayfa mevcutken Türkiye’de bunun iki katına denk gelen zaafiyeti taşıyan sayfa sayısının bulunması ciddi bir güvenlik tehdidini beraberinde getiriyor.
Fatma N.Ü.: Başta ülkemizi ve tüm dünya ülkelerini ilgilendiren “Siber Saldırı” ve “Siber Savaş” nedir? Okurlarımızın ve takipçilerimizin anlayacağı şekilde bunları açıklar mısınız?
Kahraman Ş.K. : Siber Saldırı; Kişi, Şirket, Kurum, Örgütlerin bilgi sistemlerine veya iletişim altyapılarına yapılan planlı ve koordineli saldırılar. Bu saldırılar Ticari, Politik ve Askeri amaçlıda olabilmektedir. Siber Savaş ise; Aynı saldırıların Ülke veya Ülkelere yönelik yapılması örnek verecek olursak “Anonymous’un Türkiye'deki bazı kurumlara yönelik eylemine siber saldırı”, “Wikileakes'in yaptığına ise siber savaş” denebilir.
Fatma N.Ü.: Siber Savaş denilince ne anlamalıyız?
Kahraman Ş.K. : Teknolojinin insanoğlunun ilerlemesinde önemli bir itici güç olduğu bilinmektedir. Teknolojideki bu gelişmeler ekonomi, sağlık, spor gibi birbirinden farklı alanların yanında, devletlerin mücadeleleri sonucu ortaya çıkan savaşlarda da kullanılmıştır. Teknoloji ya yeni bir savaş yöntemini doğurmuş veya var olan savaş algısında bir değişikliğe sebep olmuştur. Savaşlar da teknolojik ilerlemenin ivmelenmesine sebep olmuş, her iki alan birbirini beslemiştir. Teknolojik gelişmeler sonucunda savaşların etki alanı kinetikten analog’a ve analog’tan sayısala dönüşmektedir. Sayısala dönüşen savaşlar yepyeni bir alanda yapılmaya başlanmıştır. İsrail Başbakanı Benjamin Netanyahu’nun Siber güvenlik danışmanı Isaac Ben-Israel Siber Savaşı tarif ederken; “Siber savaşlar konvansiyonel (İki veya daha fazla devletin ya da koalisyonun, açık bir çatışmada, geleneksel silah sistemlerini ve savaş taktiklerini uygulayarak icra ettikleri savaş şekli) savaşlardaki gibi bir etki verebilecek güçtedir. Bir ülkeyi vurmak istiyorsanız o ülkenin enerji ve su kaynaklarına karşı siber ataklar düzenlemek gerekmektedir. Siber teknoloji bunu tek kurşun kullanmadan yapabilme yeteneğine sahiptir.” demektedir. Bu tanım bence yeterlidir. Üstelik neredeyse bütün ülkelerin enerji, su kaynakları, medikal ve finansal yapıları özel şirketler tarafından işletilmektedir. Dolayısıyla tek bir elden bu yapıların güvenliğini sağlamak mümkün olmamaktadır.
Fatma N.Ü.: Peki, siber ortam/uzay, siber silah, siber savaş ne demektir? Siber savaşlar ne zamandan beri yapılmaktadır?
Soğuk savaşın sürdüğü 1957 yılında SSCB’nin (Sovyet Sosyalist Cumhuriyetler Birliği) yani günümüzdeki adıyla Rusya Federasyonu Sputnik adlı uyduyu uzaya gönderdi. ABD gerek uzay çalışmalarında geriye düştüğünü düşünerek, gerekse SSCB’den gelebilecek nükleer saldırılara karşı bağışıklık oluşturmak amacıyla bir iletişim ağı oluşturmak istedi. Soğuk savaş projesi olan bu ağ, akademik çalışmalarla desteklenip günümüzdeki İnternet’i oluşturdu [SMITSHONIAN]. Savaş projesi olarak oluşturulan bu ağ aynı zamanda modern savaşların yeni bir boyutta/alanda yapılmasına da sebep olmuştur.
Siber ortam; Kara, deniz hava ve uzaydan sonra beşinci savaş alanı olarak belirlenmiştir.
Yeni milenyum ile internet hayatımızın çok önemli bir parçası olmuştur. E-ticaret, e-posta, e-devlet gibi “E-”(elektronik) önekine sahip kavramlar ile İnternet ile beraber hayatımıza bir anda giren kavramlardır. İnternet’i etkin olarak kullandığımız 10-15 sene gibi bir süre zarfında içerisinde “Siber” kelimesi geçen birçok yeni kavram daha ortaya çıkmıştır. Siber uzay, siber silah, siber güvenlik, siber casusluk, siber savaş, APT gibi. Bu kavramlar ve ifade ediliş biçimleri şu şekildedir.
Siber Uzay; Amerikan Savunma bakanlığınca: “İnternet’in bulunduğu, telekomünikasyon ağları ve bilgisayar sistemlerini de içine alan, birbirine bağlı bilgi teknolojileri altyapılarının olduğu küresel bir alan” olarak tanımlanmıştır. Diğer bir tanımlama da şu şekilde geçmektedir: “insanların bilgisayarlar ve telekomünikasyon sistemleri aracılığıyla herhangi bir coğrafi sınırlamaya maruz kalmadan tamamen birbirine bağlı olma durumudur” Bir bakıma internete bağlı bilgisayarlar, bilişim sistemi altyapıları, medikal sistemler, elektrik iletim hatları, nükleer santraller, doğalgaz santralleri gibi kritik altyapılar da siber uzayı oluşturan yapı taşlarıdır.
Birleşik Devletler Başkanı Barack Obama siber güvenliğin önemini anlatırken:
“Siber uzay da onunla beraber gelen riskler de gerçektir.” demektedir. Devlet başkanları düzeyinde siber güvenliği dair kavramların dillendirilmesi, konunun öneminin arttığını göstermektedir.
Siber Güvenlik; Siber uzaydan ya da siber uzaya gelebilecek ataklara/tehditlere, sabotajlara ve terör faaliyetlerine karşı kurum, kuruluş ve kullanıcıların varlıklarını korumak amacıyla kullanılan politikalar, oluşturulan güvenlik kavramları, risk yönetimi yaklaşımları gibi faaliyetlerin tamamı ise siber güvenliği oluşturmaktadır. Bilgi güvenliğinde olduğu gibi korunmaya çalışılan varlık sadece bilgi değildir, siber uzayı oluşturan bütün varlıklar siber güvenliğin koruma yükümlülüğündedir.
Siber Savaş; Siber uzayı ve içindeki varlıkları korumak için yürütülen harekâtların geneline verilen isimdir. Siber saldırı girişimlerine düşman olarak belirlenen hedefe saldırıda bulunmak, karşı savunma yapmak, hedefteki siber uzayda istihbarat verileri toplamak siber savaş faaliyetlerini oluşturmaktadır. Siber savaşların ana hedefi ülkelerin güvenlik, sağlık, enerji, ulaşım, haberleşme, su, bankacılık, kamu hizmetleri gibi kritik sektörlerinin bilgi sistem altyapılarıdır. Savaş siber olunca silahlar da siber olmaktadır.
Siber Silah; Siber ataklar sırasında karşı tarafı etkisiz bırakmak, zarar vermek veya veri çalmak için kullanılan siber ortam araçlarına siber silah denir. Savaşlarda kullanılan güdümlü füzeyi düşündüğümüzde 3 temel unsurdan oluşmaktadır. İlki bir iletim aracı (roket motoru), ikincisi navigasyon sistemi, üçüncü olarak da roketin taşıdığı patlayıcı yük. Aynı unsurlar siber silah için de geçerlidir. Siber silahın hedefe ulaşmasını sağlayan web siteleri, USB diskler, mailler gibi iletim araçları. Hedefteki sistemde ilgili zafiyetin bulunması navigasyon ve zafiyeti bulunan sistemin istismar edilerek zararlı yazılımın çalışması gerçek silahlardaki patlayıcı kısmına denk gelmektedir. Siber silahlar sadece yazılımlar ile sınırlı değildir. Siber ortamdaki düzeni bozacak, kargaşa yaratacak şekilde dizaynedilmiş gerçek füzeler de olabilmektedir. Bu füzeler ortama manyetik dalgalar göndererek siber ortamı oluşturan bilgisayar, telefon, iletişim hatları gibi unsurların çalışmasın engelleyebilmektedir.
Siber Casusluk; Siber ortamda politik, askeri amaçlar için kurum/kuruluş ya da devletlerin bilgi sistemlerinden, bilgisayar korsanlığı yöntemleri ile kişisel, kurumsal, hassas, kıymetli veya gizli bilgilerin elde edilmesidir. Beyaz Saray Siber güvenlik danışmanı Richard Clarke
“Geleneksel casusluğu düşünün, ve kendinizi Washington’daki çalışan bir Rus KGB ajanı yerine koyun. İşiniz de FBI ya da CIA ajanı ayartmak olsun. Bu çok riskli bir iş! Siber casusluk ise oldukça risksiz. Moskova’da, Pekin’de ya da dünyanın herhangi bir yerinde arkanıza yaslanarak uzaktan bir yerleri hackleyerek alamayacağınız belge, toplayamayacağınız bilgi yok gibi. Casusların yıllarca uğraşıp ele geçirdiği bilgiden daha fazlasını dakikalar içerisinde elde edebilirsiniz” demektedir.
APT (Advanced Persistent Threat); Bir siber tehdit türü olan bu kavram; çok gelişmiş teknikler kullanılarak tasarlanmış, sistemden kendini gizleyerek ve olabildiğince sistem üzerinde kalarak sistemden bilgi sızdırma, sistemde casusluk faaliyetleri düzenleme ya da sisteme zarar verme amacını taşıyan, hedefi net olarak belirlenmiş tehdit türü olarak tanımlanabilir. APT stuxnet örneğinde olduğu gibi devletlerin kritik altyapıları hedefleyebilmektedir. Sun-Tzu ya ait savaş sanatı kitabında geçen Başarılı saldırı, düşmanın kendisini nasıl savunacağını bilmediği saldırılardır, En iyi zafer savaşmadan kazanılan zaferdir ve Anlaşılmayan kazanırken, anlaşılır olan kaybedecektir İfadeleri APT tanımına büyük çoğunlukla uymaktadır.
Fatma N.Ü.: Biraz korkarak soracağım ama, Türkiye Siber Savaş’a hazır mı?
Kahraman Ş.K. : Hazır demeyi çok isterdim lakin şuan için ülkemiz bu konuda çok hazırlıksızdır. Hatırlarsanız 2009 yılı Ocak ayında bir açıklama yapmıştım. Demiştim ki “2012 yılı ve sonrası Siber Savaşlar’ la anılacak, Amerika dahil hiçbir ülke Siber Savaşlarla mücadele edebilecek Siber Güvenliğe sahip değildir” demiştim. Akabinde birkaç ay sonra ABD Başkanı Obama Siber Güvenlik ile ilgili olarak “Ülke olarak karşılaşılan çok ciddi ekonomik ve ulusal güvenlik sağlama hedeflerinden birisi olup hükümet veya ülke olarak henüz tam anlamıyla önlem alamadığımız bir husustur.” tanımıyla birlikte, “Amerika’nın sayısal alt yapısını kapsamlı olarak güven altına alma yaklaşımlarının geliştirilmesi ve bilgi ile haberleşme altyapısının savunulmasına yönelik olarak federal çözümlerin gözden geçirilmesi” emrini vermiştir.
Birde Beyaz Saray Siber Güvenlik Uzmanı RICHARD CLARKE’ ın bir açıklaması vardı. Diyordu ki, “Casusluk artık çok kolaylaştı. Eskiden Washington’daki Rus Elçiliği’nde çalışan bir KGB ajanının bir FBI ajanı ayartması çok zordu. Ama şimdi Moskova’da oturuyorsun. Ve hiçbir risk olmadan binlerce sayfa çalabiliyorsun. Eskinin casuslarına artık gerek yok.” Hem İstihbarat örgütlerindeki insan kaynağı, hem de Altyapı farklılaştı: “Eskiden Sinop’ta büyük bir kulemiz vardı. Rusya’daki konuşmaları dinliyorduk. Ama şimdi buna ihtiyaç yok. Kimse radyofrekansı kullanmıyor. Ulusal Güvenlik Ajansı’nın (NSA) Maryland’deki kampüsünden bütün dünyadaki internet trafiğini izliyoruz. Bu konudaki bütçe Pentagon’a ait olduğundan, NSA ve Pentagon neredeyse tek bir kuruluş gibi çalışıyor. Amerikalı asker Sinop’a gitmesine gerek kalmadan her işini masasından halledebiliyor.” Sanıyorum bu kadar bilgi durumun ne kadar ciddi olduğunun anlaşılmasına yetecektir.
Fatma N.Ü.: Gözlerinizdeki ifadedeniz ve anlatım tarzınız durumun ne kadar ciddi olduğunu bana hissettirdi. Okuyucularımız ve yetkililerde bu durumun ciddiyetini sanıyorum çok daha iyi anlayacaklardır.
Kahraman Ş.K. : Ben bu konu hakkında Ulaştırma, Denizcilik ve Haberleşme Bakanı Sayın, Binali Yıldırım’a çok güveniyor ve kendisini hassasiyetinden dolayı da takdir ediyorum. Kendisi bu konu hakkında çok ciddi çalışmalar yürütmektedir. Bunun en büyük kanıtı da Sayın Yıldırım’ın başkanlığında ki ‘Siber Güvenlik Kurulu’ nun kurulmasıdır.
Fatma N.Ü.: Peki siber savaşlarda neler yapılabilir, ne tür ataklar kullanılabilir?
Siber savaşta gözünü zafere dikmiş devletlerin yapabilecekleri hiç de azımsanacak düzeyde değil. İnternet teröristleri bankaları boşaltabilir, virüs saldırılarıyla toplu ulaşım ve havacılığı ulaşılamaz kılabilir, ülkenin elektrik ve su sistemlerini çökertebilir, nükleer santraller hedef alınarak çalışması engellenebilir, finans sektörü durdurulabilir, benzeri siber saldırılarla ülke halkının silahsız bir şekilde kaosa girmesi sağlanabilir, devletlere ait gizli bilgiler istihbarat birimleri, casuslar kullanmadan çalınabilir. Amaç, ülkenin IT yapısına girip tüm sistemi çökertmek olabilir. Teoride böyle bir senaryoyla bir ülkeyi tamamen yaşanamaz noktaya getirmek mümkündür. Dahası internet üzerinden petrol rafinerilerinin patlatıldığı ve kimya tesislerinin yönlendirilmesiyle atmosfere zehir salındığı global bir felaketle karşı karşıya da kalabiliriz.
Fatma N.Ü.: Bize zaman ayırdığınız ve bilgilendirdiğiniz için çok teşekkür ediyorum.
Fotoğraf : Gülşah YAMAN & Haber : Fatma Nur ÜNAL
Sivil Haber Gazetesi
SİVİL HABER
Güncelleme Tarihi: 13 Ocak 2017, 17:23
Bu konuya göstermiş olduğunuz hassasiyetlerinizden dolayı gazete personelinize ve Sn. Kahraman Şeref Kasap'a vermiş olduğu bilgilerden dolayı çok teşekkür ediyorum.