Siber güvenlik sohbeti

İki bilgisayarın birbirine bağlanma ihtiyacıyla başladı hikaye, ortak bir model gerekliydi, kim ne zaman nasıl konuşacak? Ve kim ne zaman nerede susacak? İşte tam da orada OSI dedi ISO. OSI modeliyle açıklamaya çalıştı her sinyali, çerçeveyi ve paketi. Katman katman ayırdı ya da ayırdığını düşündü. Yine de büyük bir iş başarmıştı ISO, artık ortak bir model, bir dil vardı. Her üreticinin ve geliştiricinin uyması gereken bir model, bünyesinde farklı protokolleri barındıracak, yedi farklı katmandan oluşan, bir model… Diye cümlelerimi uzatmayı düşünmüyorum.

Hele de bu iki bilgisayarın haberleşmesi için başlatılan sürecin, milyarlarca cihazın birbiriyle iletişimini sağlayan, devasa, büyük bir ağ haline nasıl geldiğini anlatarak sizleri hiç sıkmak istemiyorum.

İletişimin makineler arasında gerçekleştiği, sürekli veri üreten dev bir iletişim ağı haline gelen İnternet, büyüyor ve büyümeye de devam ediyor. Bunu bir simülasyonla anlatan https://www.webpagefx.com/internet-real-time/ İnternet sitesini ziyaret etmenizi öneririm.

Tabi büyük başın büyük derdi olur. Veri üreten her bir cihazın bir şekilde bağlı olduğu İnternet, sadece masum amaçlar için değil, maddi menfaat sağlamak isteyen insanlar, bu insanların oluşturduğu suç şebekeleri ve güç elde etmek isteyen devletler tarafından silah olarak da kullanılabilmektedir.

Her alanda büyüyen, gelişen Ülkemiz, siber güvenlik alanında da üzerine düşeni yapmakta ve yapacaktır. Siber güvenlik farkındalık çalışmalarının ötesinde Ülkemiz’de yapılan çalışmaları şöyle özetleyebiliriz;

• Siber güvenlik konusunda görevli ve sorumlu kurum ve kuruluşların temsil edildiği Siber Güvenlik Kurulu kuruldu.
• Kritik sistemleri yöneten kurum ve kuruluşlarla koordinasyonu sağlamak üzere USOM kuruldu.
• Kritik bilişim sistemi altyapısına sahip kurum ve kuruluşlarda SOME’ler oluşturuldu.
• Türk Silahlı Kuvvetler bünyesinde Siber Savunma Komutanlığı kuruldu.
• Siber güvenlik konusunda görevli olan bakanlık düzeyindeki tüm kurum ve kuruluşlara görev veren, birinci ve ikinci Ulusal Siber Güvenlik Stratejisi ve Eylem Planları yayınlandı. Planlar dahilindeki aksiyonlar alınmaya başlandı.
• İşletmeciler, bankalar, kritik kurum ve kuruluşların katıldığı tatbikatlar yapıldı.
• NATO tarafından gerçekleştirilen tatbikatlara katılım sağlandı.
• Siber güvenlik alanında akademisyen yetiştirecek üniversite programları açıldı ve ilk mezunlarını vermeye başladı.
• “Pardus” gibi yerli yazılımlar için sürdürülebilir yapılar kuruldu.
• Kurumlar arasında ihtiyaç duyulan veri haberleşmesi için İnternet’e kapalı, güvenli bir ağ olan KAMUNET kuruldu. Ve giderek büyüyor.
• Kamuya ait veriler üzerinden sunulan hizmetlerin güvenliğinin temini için Ulusal Kamu Entegre Veri Merkezi kurulma çalışmaları başlatıldı.

Ve buraya yazamadığımız nice akademik çalışma, kitap, çalıştay, konferans, sempozyumlar düzenlendi.

Sözü fazla uzatmadan daha neler yapabileceğimizi tamamen kişisel öneri olarak sunmak istiyorum.

ÖNERİ-1: Kritik bilişim sistemleri altyapılarında fiziksel katmandan uygulama seviyesine kadar katmanlı güvenlik yapısı oluşturulmalıdır. Diğer bir ifadeyle kablodan, bilgisayarlarda kullanılan uygulamaya kadar, verinin geçtiği her bir noktada teknolojinin sunduğu tüm fiziksel ve bilgi güvenliği önlemleri alınmalıdır.

ÖNERİ-2: Fiber optik ağ ve transmisyon cihazlarından oluşan tüm haberleşme altyapısının fiziksel güvenliği artırılmalıdır. Bu kapsamda menhol, kablo, ek kutuları gibi pasif ünitelerin bulunduğu bölgelerin fiziksel güvenlik önlemleri genişletilmelidir. Hatta bu lokasyonlar sensörler aracılığıyla izlenmeli ve denetlenmelidir.

ÖNERİ-3: Kritik sistemler arasında gerçekleştirilecek haberleşme için “dark fiber” üzerinden güzergah güvenliği artırılmış altyapılar kullanılmalıdır.

ÖNERİ-4: Kamu hizmetlerinin sunulabilmesi için üretilen tüm veri, üretildiği kurum veya kuruluşun dışında yüksek güvenlik algısında personelin çalıştığı, tamamen Milli yazılımların kullanıldığı, her türlü kriz senaryosunun düşünüldüğü tek bir veri merkezinde tutulmalıdır. Kamunun tüm veri ihtiyacı görev ve yetki analizi yapılarak bu merkezden yönetilmelidir.

ÖNERİ-5: Haberleşme altyapıları üzerinden yüksek bant genişliği sağlarken,  transmisyon maliyetlerini düşüren lamda kiralama gibi yeni transmisyon hizmetleri sunulmalıdır.

ÖNERİ-6: Makinalar arası iletişim ikinci veya üçüncü seviye hizmetlerle İnternet altyapısından ayrıştırılmalı ve bu sistemlere has, güvenlik politikaları uygulanmalıdır. Bu sistemlerin İnternet’e erişim ihtiyaçları belirli noktalardan kontrollü olarak sağlanmalıdır.

ÖNERİ-7: Ticari olmayan İnternet Değişim Noktaları kurulmalıdır.

ÖNERİ-8: Milli yazılım geliştirmeye imkan sunan Milli yazılım geliştirme platformları oluşturulmalıdır.

Hikayenin sonunu ben de merak ediyorum. Belirli bir integral hayal ediyorum, alt sınırı sıfır üst sınırı kıyamet olan…

Bilişim Uzmanı Mustafa DEMİREL

Kısaltmalar:

OSI            Open Systems Interconnection

ISO            International Organization for Standardization

USOM        Ulusal Siber Olaylara Müdahale Merkezi

SOME        Siber Olaylara Müdahale Ekipleri

NATO        North Atlantic Treaty Organization