Ülkemizde son zamanlarda meydana gelen siber saldırılarda özellikle kamu kurumları hedef alındı. Özellikle ünlü bir siber çetenin YÖK’e düzenlediği siber saldırılarda üniversitelere ait bir takım belgeler ele geçirilip yayınlanmıştı. Bu belgelerin içeriğinin ne olduğundan daha fazla önemli olan benzer şekilde muhafaza edilen önemli kamu bilgilerinin nasıl muhafaza edildiğidir. Konuyu Halil Öztürkci ile konuştuk.

Merhaba Halil, bize biraz kendinden bahseder misin?
Merhabalar. Adım Halil Öztürkci. Yaklaşık 13 yıldır IT alanında çalışıyorum. Bunun son 10 yılı bilişim güvenliği üzerine yoğunlaşmış şekilde. Şu an ADEO isimli kendi şirketimde danışmanlık ve yöneticilik yapıyorum. Kurumların ihtiyaç duydukları IT servislerine ilişkin danışmanlık hizmetleri sunuyoruz. Bunların başında da bilişim güvenliği geliyor.

Güvenlik denince ne anlamalıyız?
Aslında geniş bir soru bu. Ben Bilişim Güvenliği deyince ne anlamalıyız diye değiştirip soruyu, o şekilde yanıtlamak istiyorum. Bilişim güvenliği deyince, bilişim sistemlerinin dışarıdan veya içeriden gelebilecek olası tehditlere karşı güvenliğinin sağlanması adına kabul edilen prensipler topluluğunu anlamalıyız. Bu bilişim sistemleri enerji, telekom, ulaşım gibi kritik altyapılarda çalışan sistemler olabileceği gibi, kişisel olarak bir çok kişinin kullandığı akıllı telefonlara kadar uzanan geniş bir yelpazeyi kapsar.

Herkesin elinde bir akıllı telefon, evlerimizde internet var. Artık güvende değil miyiz?
Güvende değiliz demek doğru olmaz. Daha fazla saldırılara açık durumdayız demek daha doğru bir yaklaşım olur. Özellikle son zamanda akıllı telefonları hedef alan zararlı yazılımların yaygınlaşması ve bir takım üreticilerin akıllı telefonlar üzerinde çalışan işletim sistemlerine ilişkin güncellemeleri sağlamaması büyük bir sorun olarak karşımızda duruyor.

Sosyal medya kişisel güvenlik için tehdit oluşturur mu?
Sosyal medyayı ne yazık ki bilinçli kullanan bir toplum değiliz. Bir çok mahrem bilgiyi hiç düşünmeden hiç tanımadığımız insanlara açıyoruz sosyal medya üzerinden. Bu da eğer bize karşı hedefli bir saldırı gerçekleştirilecekse saldırıyı gerçekleştirecek kişinin eline hatırı sayılır kıymette bilgi vermek anlamına geliyor. Bu yüzden sosyal medya kullanım şeklini tekrardan gözden geçirmekte fayda var diye düşünüyorum.

Benim telefonumda ve bilgisayarımda antivirüs programı var. Korunmuyor muyum?
Antivirüs programları genelde sizi bilinen tehditlere karşı bir seviyeye kadar korurlar. Çoğunlukla imza tabanlı çalışan bu antivirüsler zararlı uygulamanın yeni bir varyantı ve dolayısıyla yeni bir imzalı hâli oluşturularak çok kolaylıkla atlatılabiliyor. Temelde hem kurumsal, hem de bireysel açıdan bakıldığında yapılan hatalardan birisi de bu. Yani antivirüsüm var ve ben saldırılara karşı korunuyorum. Bu yanlış bir düşünce. Antivirüs sizi sadece belirli bir seviyeye kadar ve sadece belirli türde saldırılara karşı koruyabilir.

Peki, o zaman şöyle sorayım, kişisel olarak neden bir siber saldırıya maruz kalayım ki?
Aslında kişisel olarak bir siber saldırıya maruz kaldıysanız ya bilinçli bir şekilde hedef olarak seçilmişsiniz demektir ya da bir siber saldırının içinde rastgele seçilen bir hedefsinizdir demektir. Örneğin geçen ay Türkiye’deki kullanıcıları hedef alan ve elektronik posta üzerinden gönderilen bir dosya üzerinden son kullanıcıları hedef alan bir saldırı gerçekleştirildi. Bir GSM operatöründen, bir havayolu şirketinden veya bir bankadan geliyormuş gibi gönderilen bu maillerin eklerinde yer alan dosyanın çalıştırılması sonucunda ilgili bilgisayar saldırganın kontrolüne geçiyordu. Saldırgan daha sonrasında ele geçirdiği bu bilgisayardaki bilgileri çalabilir, bu bilgisayarları başka sistemlere saldırmak amacıyla kullanabilir.

TEKDER gibi STK’ların bu konu üzerine eğilmesini nasıl değerlendiriyorsun?
Bu geç kalınmış bir adımdı. Hem kurumsal hem bireysel manada bu saldırılardan en az etkilenmemiz için bilinç seviyesinin yukarı taşınması gerekiyor ve burda da STK’lara ciddî rol düşüyor. Bu bağlamda TEKDER’e öncülerden birisi olduğu için ayrıca teşekkür ediyorum.

Siber saldırılara karşı alınan kişisel güvenlik ile ulusal güvenlik birbirinden farklı olsa gerek. Ulusal anlamda devletler siber saldırılara karşı kendilerini koruyor mu?
Evet. Birisinde kişisel verilerin, bilgilerin güvenliği ön plandayken, diğer tarafta ülkeyi kaosa sürükleyecek şekilde ülkenin kritik altyapılarına yapılacak müdahalelere karşı savunma gerçekleştirmek daha ön planda. Bir çok devlet bu bağlamda kendilerini bekleyen tehlikenin farkında ve öncelikli olarak savunma yapacak şekilde yatırımlarına veya çalışmalarına başlamış durumdalar.

Türkiye’nin devlet kurumları olarak Siber Savunma politikası var mı?
Geçtiğimiz yıl Siber Güvenlik Kurulu kuruldu ve başkanlığını Ulaştırma, Denizcilik ve Haberleşme Bakanı Binali Yıldırım yapıyor. Bu kurulun hazırladığı bir “Siber Güvenlik Strateji Belgesi ile eylem planını” var. Gerçi her ne kadar bu plan tam bir metin hâlinde henüz yayınlanmadıysa da içeriğinde nelerin olduğuna dair duyumlarımız var. Başlangıç açısından bir çatı metin olarak kabul edilebilir bir plan olduğunu söyleyebiliriz.

En fazla Siber Saldırıya maruz kalan kurumlar hangi sektörde yer alıyor?
Aslında bu sorunun cevabı da ülkeden ülkeye göre değişiklik gösterir. Ama genelde Finans, Haberleşme ve Enerji sektöründeki firmalar saldırılara en fazla maruz kalan firmalardır.

Peki, bu kurumlar kendilerini savunmakta ne kadar başarılılar?
Şimdiye kadar yukarıda saydığım sektörlerden bir çok firmaya bu konularda danışmanlık verdim ve bu firmaların güvenlik altyapılarını görme ve test etme imkânım oldu. Bu firmaların içinde çok başarılı bir mimarî kurup bunu yöneterek siber saldırılara karşı çok dirençli olanları da var, yukarıda da bahsettiğimiz gibi sadece bir antivirüs kurarak güvenliği sağlayacağına inanan firmalar da var.

…ve Hükümete bu konuda çok iş düşüyor.
Siber güvenliğin bir devlet politikası olarak ele alınıp, bu politikanın gerektirdiği şekilde ciddî adımlar atılıp, bunun sürekliliğinin sağlaması gerekiyor.

Peki, sohbetimizi toparlayacak olursak; kişisel olarak bilgisayar ve akıllı telefon kullanıcılarına Siber Tehditlere karşı ne önerilerde bulunursun?
Öncelikle mutlaka lisanslı bir işletim sistemi kullanmalarını ve bu işletim sisteminin güncellemelerini mutlaka ama mutlaka yüklemelerini öneriyorum. Bunun yanında mutlaka bir antivirüs programı yüklü olsun bilgisayarlarında. Tanımadıkları kişilerden gelen elektronik postaları kesinlikle açmasınlar, mail içindeki bir linke kesinlikle tıklamasınlar. Uygunsuz içerik sunan sitelerden uzak dursunlar. Akıllı telefonlar için de bu geçerli, mutlaka güncellemelerini takip etmelerini ve bu güncellemeleri yüklemelerini öneriyorum.

Halil Öztürkci kimdir?

Halil Öztürkci, ”Bilgisayar ve Ağlarda Adli Bilişim (Computer and Network Forensic)”, “Zararlı Kod Analizi (Malware Analysis), Network ve Uygulama Sızma Testleri (Network and Application Penetration Tests), IT Altyapılarında Regulasyon ve Uyumluluk Yönetimi (Regulation and Compliance Management for IT Systems) konularında uzman bir isim. Hattâ Microsoft tarafından son 5 yıldır Enterprise Security alanında “En Değerli Profesyonel” (MVP) ünvanına sahip.