Türkiye'de Siber Güvenliğe Gerekli Yatırım Yapılıyor mu?

"Evet ama yetmez" diye cevaplayarak başlamak gerekir konuya. Hatta “Evet” cevabının güvenliği kullanma kısmını kapsadığını vurgulamakta yarar var. 

"Evet" yatırım yapılmaya başlandı; Güvenlik Duvarları, Saldırı Önleme Sistemleri, Uç Nokta Güvenlik Yazılımları, Zaafiyet Tarama Araçları satın alma, kullanma konusunda adımlar atıldı, atılıyor. Ancak asıl yatırım yapılması gereken nokta "Siber Güvenliğin Üretilmesi" yönünde olmalıdır.
Ülkemizde siber güvenlik, sadece bilişim sistemlerini;  kurum ve kuruluşları ilgilendiren bir alan olarak görülüyordu. Bireysel farkındalıklarımızın artmaya başlamasıyla güvenliğin hayatımızın her alanında olması gerektiğini anladık. Kullandığımız kişisel cihazlardan, ülkemizin kritik alt yapılarına kadar her segmentte dijitalleşen dünyada siber tehditlerin ne kadar önemli olduğunu görmeye başladık. Yaşanan birçok olay bu konuda yatırım yapılması gerektiğini idari/siyasi yöneticilere açıkça söylüyordu.

Geçtiğimiz birkaç yıla kadar; uluslararası bağımsız şirketlerin yaptığı araştırmalarda, güvenlik üreticisi firmaların yazdığı raporlarda, araştırma kuruluşlarının sunduğu istatistiklerde, Türkiye çoğu zaman olumsuz anlamda ilk sıralarda alıyordu. Zararlı yazılım bulaşma oranları, kötücül program barındıran bilgisayar sayısı, oltalama sitesi host eden sunucu sayısı, güncelleştirilmesi geçilmemiş cihaz adetlerine baktığımızda maalesef Türkiye'nin imajı pek iyi değildi. Genç nüfusun ve teknoloji kullanım oranının yüksek olması güvenlik zaafiyetlerinin  daha çok ortaya çıkmasına neden oldu.

Rus uçağının düşürülmesi ile bankalarımıza yapılan saldırılarda DDOS’un ne kadar kuvvetli olduğunu gördük. Operatörler trafiği inceleyip göndermeyi denediler. Bankalar kendi DDOS önleyicilerine alternatif çözümler aradılar. TC Kimlik verileri sızdırıldığında, yetkisiz erişim önleme yöntemleri, veri şifreleme algoritmaları, SQL açıklıkları üzerine düşünmeye yatırım yapmaya başladık. Ülke çapında enerji kesintileri, ulaştırma sinyal problemleri örneklerini okuyunca yasal zorunluluklar devreye girmeye başladı. Nitekim regülasyonlar ile Siber Olaylar Müdahale Ekipleri kurmaya başladık. 2016-2019 Ulusal Siber Güvenlik Stratejisi ile atılması gereken adımları ve öncelikleri belirledik. Stratejik adımlar çok önemliydi. Süreçlerimizin bir alt başlığı da her zaman güvenlik olmak zorundaydı. Artık bunları sadece kurum için süreçlerimize değil ulusal kararlarımıza, yönetmeliklerimize eklemek zorundaydık.

Tabi ki Yetmez!
Siber güvenlik bilincimiz oluşmaya başladı. Bunu sağlayan süreçlerimizi oturtmaya ve ürünlerini kullanmaya başladık. Savunma Sanayi Sistemleri geliştiren şirketlerin öncelik verdiği konular arasına bir anda yükseldi. Ancak artık zaman; üretme, yenilikçi fikir katma, geliştirme zamanı. Diğer teknolojilerde olduğu gibi Siber Güvenlikte de dünyanın en büyük üreticileri bu alandaki firmaları satın alma yoluna girerek, bu konudaki projelere odaklanmaya başladılar. "Top Defence 100", "Cybersecurity 500" listelerini incelediğimizde birçoğunu Amerika, İsrail, Rusya, Japonya menşeili firmaların oluşturduğunu görüyoruz. Bu firmaların çoğu özel şirket, az sayıdaki kısmı devlet iştiraki olan kurumlar. Milyar dolarlık cirolar ile kendi ülkerine hizmet eden firmalar. 2016 yılında öngörülen zarar 300 milyar dolar civarlarında olurken, pazarın kendisi 100 milyar dolar civarlarında kalabildi.

Saldırı hızlarının Tbps seviyelerine çıkabildiği, atakların bitcoin ile satın alınabildiği, siber zararların sigortalanabildiği bir dünyada yaşıyoruz. Bir zamanlar raporlarda siber tehditlere inanma oranı %25 olarak gösterilen Türkiye'den, uluslararası geçerli, başarısını kanıtlamış, üstüne sürekli katan firmalar, ürünler, teknolojiler çıkaran bir Türkiye’ye dönüşmek zorundayız.

Bu konuda, herkes az da olsa, süreklilik arz eden bir şüphe ile yaşamak zorundadır. Şüphe duygusunun gelişime katkısını göreceğiz.

Tarık KOBALAS
Teknoloji Direktörü


Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,...
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değer...
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is...
Devamını okuyun