Türkiye'de Siber Güvenliğe Gerekli Yatırım Yapılıyor mu?

"Evet ama yetmez" diye cevaplayarak başlamak gerekir konuya. Hatta “Evet” cevabının güvenliği kullanma kısmını kapsadığını vurgulamakta yarar var. 

"Evet" yatırım yapılmaya başlandı; Güvenlik Duvarları, Saldırı Önleme Sistemleri, Uç Nokta Güvenlik Yazılımları, Zaafiyet Tarama Araçları satın alma, kullanma konusunda adımlar atıldı, atılıyor. Ancak asıl yatırım yapılması gereken nokta "Siber Güvenliğin Üretilmesi" yönünde olmalıdır.
Ülkemizde siber güvenlik, sadece bilişim sistemlerini;  kurum ve kuruluşları ilgilendiren bir alan olarak görülüyordu. Bireysel farkındalıklarımızın artmaya başlamasıyla güvenliğin hayatımızın her alanında olması gerektiğini anladık. Kullandığımız kişisel cihazlardan, ülkemizin kritik alt yapılarına kadar her segmentte dijitalleşen dünyada siber tehditlerin ne kadar önemli olduğunu görmeye başladık. Yaşanan birçok olay bu konuda yatırım yapılması gerektiğini idari/siyasi yöneticilere açıkça söylüyordu.

Geçtiğimiz birkaç yıla kadar; uluslararası bağımsız şirketlerin yaptığı araştırmalarda, güvenlik üreticisi firmaların yazdığı raporlarda, araştırma kuruluşlarının sunduğu istatistiklerde, Türkiye çoğu zaman olumsuz anlamda ilk sıralarda alıyordu. Zararlı yazılım bulaşma oranları, kötücül program barındıran bilgisayar sayısı, oltalama sitesi host eden sunucu sayısı, güncelleştirilmesi geçilmemiş cihaz adetlerine baktığımızda maalesef Türkiye'nin imajı pek iyi değildi. Genç nüfusun ve teknoloji kullanım oranının yüksek olması güvenlik zaafiyetlerinin  daha çok ortaya çıkmasına neden oldu.

Rus uçağının düşürülmesi ile bankalarımıza yapılan saldırılarda DDOS’un ne kadar kuvvetli olduğunu gördük. Operatörler trafiği inceleyip göndermeyi denediler. Bankalar kendi DDOS önleyicilerine alternatif çözümler aradılar. TC Kimlik verileri sızdırıldığında, yetkisiz erişim önleme yöntemleri, veri şifreleme algoritmaları, SQL açıklıkları üzerine düşünmeye yatırım yapmaya başladık. Ülke çapında enerji kesintileri, ulaştırma sinyal problemleri örneklerini okuyunca yasal zorunluluklar devreye girmeye başladı. Nitekim regülasyonlar ile Siber Olaylar Müdahale Ekipleri kurmaya başladık. 2016-2019 Ulusal Siber Güvenlik Stratejisi ile atılması gereken adımları ve öncelikleri belirledik. Stratejik adımlar çok önemliydi. Süreçlerimizin bir alt başlığı da her zaman güvenlik olmak zorundaydı. Artık bunları sadece kurum için süreçlerimize değil ulusal kararlarımıza, yönetmeliklerimize eklemek zorundaydık.

Tabi ki Yetmez!
Siber güvenlik bilincimiz oluşmaya başladı. Bunu sağlayan süreçlerimizi oturtmaya ve ürünlerini kullanmaya başladık. Savunma Sanayi Sistemleri geliştiren şirketlerin öncelik verdiği konular arasına bir anda yükseldi. Ancak artık zaman; üretme, yenilikçi fikir katma, geliştirme zamanı. Diğer teknolojilerde olduğu gibi Siber Güvenlikte de dünyanın en büyük üreticileri bu alandaki firmaları satın alma yoluna girerek, bu konudaki projelere odaklanmaya başladılar. "Top Defence 100", "Cybersecurity 500" listelerini incelediğimizde birçoğunu Amerika, İsrail, Rusya, Japonya menşeili firmaların oluşturduğunu görüyoruz. Bu firmaların çoğu özel şirket, az sayıdaki kısmı devlet iştiraki olan kurumlar. Milyar dolarlık cirolar ile kendi ülkerine hizmet eden firmalar. 2016 yılında öngörülen zarar 300 milyar dolar civarlarında olurken, pazarın kendisi 100 milyar dolar civarlarında kalabildi.

Saldırı hızlarının Tbps seviyelerine çıkabildiği, atakların bitcoin ile satın alınabildiği, siber zararların sigortalanabildiği bir dünyada yaşıyoruz. Bir zamanlar raporlarda siber tehditlere inanma oranı %25 olarak gösterilen Türkiye'den, uluslararası geçerli, başarısını kanıtlamış, üstüne sürekli katan firmalar, ürünler, teknolojiler çıkaran bir Türkiye’ye dönüşmek zorundayız.

Bu konuda, herkes az da olsa, süreklilik arz eden bir şüphe ile yaşamak zorundadır. Şüphe duygusunun gelişime katkısını göreceğiz.

Tarık KOBALAS
Teknoloji Direktörü


Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

ARP Poisoning ile Browser Exploitation - MITMf + BeEF + Metasploit