Geleceğin endüstrileri-4: Siber saldırıyı önlemek

Mehmet Tekelioğlu

Bilgisayarınıza hiç virüs girdi mi? Peki telefonunuza? Banka hesabınıza sızanlar oldu mu, paralarınızı sizden habersiz başka hesaplara gönderenler? Olmamıştır umarım. Korsanların eline geçmesin diye sık sık şifrelerinizi değiştirmek benim gibi sizi de yoruyor mu? Peki,  böyle tehlikeler yok mu? O halde bunlara karşı tedbir almak gerekiyor.

Belki hatırlarsınız 2012 yılında İran Hükümetiyle bağlantılı olduğu iddia edilen bir grup Suudi Arabistanlı petrol devi Saudi Aramco’nun bilgisayar ağına, şirketin bir çalışanını kullanarak bir virüs programı yüklemişti. Virüs hızla yayılarak şirketin Arabistan’daki ve Avrupa ofislerindeki bütün bilgisayarları felce uğratmıştı. Amacın Suudilerin petrol arzını sekteye uğratarak İran’a uygulanan yaptırımların kalkmasını, en azından bu boykotun ne kadar doğru olduğunun tartışılmasını sağlamak olduğu üzerinde durulmuştu.

Saldırı ancak bir gün sonra bazı siber güvenlik uzmanlarınca fark edilebildi. Bu korsanlık Saudi Aramco’nun başta ana bilgisayarları olmak üzere tüm dünyadaki 30 bine yakın bilgisayarını etkilemişti. Şirketin bilgisayar ağının, geçici de olsa bir müddet bütünüyle kapatılması gerekmişti. Ancak iki haftalık bir çalışmayla, birçok bilgisayarı yenilemek suretiyle sorun çözülebildi. Şirkete daha önce silahlı bir terör saldırısı olmuş, bu tür saldırılara karşı gerekli önlemler sıkılaştırılmıştı. Ancak siber saldırıya karşı bir önlem o sıralar akla gelmemişti.

İran siber saldırıya kalkışır da kendi nükleer tesisleri siber saldırıdan berî kalabilir mi? Amerikan-İsrail ortaklığında İran’ın nükleer tesislerini felç etmeye yönelik siber saldırının nasıl gerçekleştirildiğini, Stuxnet zararlı yazılımının nelere yol açtığını ve İran nükleer tesislerinin geçici de olsa nasıl çalışamaz hale geldiğini izlemek ister misiniz? Belgesel türü böyle bir film var. Türkçeye “Sıfır Saldırısı” diye çevrilen filmin orijinal adı “Zero Days”.

Bu filmden anlıyoruz ki İran Cumhurbaşkanı nükleer tesisleri gezerken çekilen fotoğraflardaki bir bilgisayar ekranında bulunan kodlar virüsün geliştirilmesinde kullanılmış. Program PLC (Programlanabilir Mantıksal Denetleyici) üzerinden nükleer tesislere müdahaleye imkân veriyormuş. Ayrıca fotoğraflardaki bilim adamlarından biri de bir hafta kadar sonra bir suikasta kurban gitmiş. Bu konuyu 2019 yılında yazdığım siber saldırı konulu bir yazıda ele almıştım.

Amerika Ulusal Güvenlik Ajansı (NSA) Angela Merkel’i izliyormuş. Daha ne kadar oldu bu haber yayılalı. Niçin izlediği ayrı bir konu, ama izliyormuş ve Alman İstihbaratı BND bunu fark edememiş. Daha önce de izlemiş aslında. Bunu da Edward Snowden’in ortaya çıkardığı belgelerden biliyoruz. Bazılarına göre Yahudilerin, Almanya’da ırkçıların güçlenmesinden endişe ettiği ve Amerika ve İngiliz istihbaratına Almanları izlemeleri yönünde baskı yaptığı iddiaları var. İşin bu kısmına biz burada girmeyeceğiz. Fakat realite şu: Almanlar bile en üst seviyede izlenebiliyor. Hani güvenlik?

İsrail, siber güvenlik şirketi olduğunu iddia ettiği NSO Group’un Pegasus adlı yazılımla casusluk yaptığını inkâr ediyor. Oysa Pegasus birçok ülke ve kişinin güvenliğini tehdit eden bir uygulama. Telefonlardaki WhatsApp, IMessage, Signal ve Telegram gibi uygulamaların açıklarından yararlanarak telefonlara sızıyor ve e-postaları, mesajları, gezilen yerleri, fotoğraf ve konuşmaları izleyebiliyor, bunun için kayıt yapabiliyor, hatta kamerayı kullanabiliyor. Bu yazılımı satın alan ülkeler genellikle otokratik yönetimlere sahip olanlar. Böylece insan hakları savunucuları başta olmak üzere pek çok casusluk faaliyeti de işin içine karışıyor. Pegasus adlı yazılımla Kaşıkçı cinayetini soruşturan Türk savcı ve diğer yetkililerle Kaşıkçının nişanlısı Hatice Cengiz’in de izlendiği söyleniyor.

Şurası açık bir hakikat ki daha fazla kişi, işletme ve devletler işlerini online hale getirmeye teşvik edildikçe kodların silahlaştırılması da daha kazançlı ve daha yıkıcı bir hale geldi. Üstelik siber saldırılar büyük bir maliyet ortaya çıkarıyor. Bu maliyet büyüdükçe onlardan korunmak için oluşturulan sektör de büyüyor. Uzmanlar, önümüzdeki yıllarda siber güvenlik piyasasının, bilgi işlem dairelerinde binlerce kişiyi istihdam eden, büyük veya küçük her tür işletme için kritik altyapı sağlayan, trilyon dolarlık bir pazara doğru büyüyeceğini öngörüyorlardı.

Okuduğunuz bu yazıyı hazırlarken çok yararlandığım Geleceğin Endüstrileri adlı kitabında Alec Ross, bu konuya dair şu notu düşüyor: “Siber saldırı korkusu devletler ve ordular için de yeni bir karışıklık ve gerginlik alan yarattı. Kodların silahlaştırılması patlayan materyalin silahlaştırılmasından bu yana savaş sanatındaki en önemli gelişmedir ve genel geçer kurallar ve normların olmadığı bir çalışma alanı yaratmıştır.”

Siber saldırı türlerinin ilk örneği Mors alfabesi üzerinde gerçekleştirilmiş. Fleming ve Marconi, Mors alfabesinin kablosuz iletimine ilişkin bir gösteri düzenliyorlar, yıl 1903. Marconi’nin 480 km uzaktaki arkadaşı Fleminge gönderdiğini düşündüğü mesaja, sistemin nasıl çalıştığını kavrayan bir korsan müdahale ederek mesaj içeriğini hakaretler ve aşağılayıcı kelimelerle değiştiriyor. O günden bugüne ne çok şey değişti, öyle değil mi?

Bir ağın gizliliğine yapılan saldırıların en iyi örneklerinden biri marketler zinciri Target’ın maruz kaldığı yıkım olarak biliniyor. Öyle bir yıkım ki korsanlar şirketin ödeme sistemlerine erişmenin bir yolunu buluyorlar ve 40 milyon müşterinin kredi ve banka kartı numaralarını çalmayı başarıyorlar. Müşteri kartını okuttuğunda gerekli bilgileri Rusya’daki korsanlara gönderen kötü amaçlı bir yazılımı Target’ın sistemine eklemişler. Bu olayda Target çok büyük bedeller ödemek zorunda kalmış. Korsanlar da uzun süren çabalara rağmen ele geçirilememiş.

Erişilebilirliğe yapılan saldırı ağın aşırı yüklenmesine sebep olarak hizmetin aksaması olarak tarif ediliyor. Bunun bir başka türü de varmış. Öyle çok korsan aynı anda saldırırmış ki normal hizmet için arayanlarla korsanları ayırmak imkânsız hale gelirmiş.

Botnet olarak bilinen pek çok sayıda bilgisayarın tek bir bilgi işlem merkezine saldırısı daha çok devletleri, bağımsız haber sitelerini ve insan hakları savunucusu gibi sivil toplum kuruluşlarını hedef alıyor. Böyle bir saldırı 2014 yılında Hong Kong’daki hileli seçimi ve demokrasi yanlısı gösterileri haberleştiren haber sitelerine karşı yapılmış. Bir devlet kuruluşunun veya büyük bir şirketin aksine kısıtlı imkanlara sahip kurumlar otoriter bir hükümet gibi yanlış bir siber zorbayı tahrik ettikleri takdirde bir anda kendilerini silinmiş ve devre dışı kalmış bulabiliyorlar.

Ancak tıpkı siber saldırılardaki gelişmelerin hızla yayılması gibi siber güvenlikte de yeni gelişmelerle karşı karşıyayız. Artık kendi başına güvenliklerini sağlayamayan sivil toplum kuruluşları ile bağımsız medya kuruluşlarına sofistike siber savunma hizmeti sağlamayı amaçlayan şirketler de var.

Hem devlet birimleri hem bankalar hem de diğer kuruluşlar siber güvenliğin nasıl sağlanacağı konusunda büyük gayretler sarf ediyorlar. Dolayısıyla çok büyük bir endüstri doğuyor.

Kara savaşları, hava savaşları, uzay savaşları ve deniz savaşları kavramlarının yanına artık siber alan savaşlarını da eklemek gerekiyor. Amerika hava komutanlığı ve deniz komutanlığına benzer şekilde “ABD Siber Komutanlığı” da kurmuş. 2011’de Libya’yı bombalamak yerine siber bir saldırı mümkün mü diye çalışmalar yapılmış.

Siber güvenlik faaliyetleri ticari alanı da içine alıyor. Bunun çok çeşitli formları olduğunu tahmin edebiliriz. Bir örnek Amerika’da bu konuları çalışan bir gönüllü komisyondan gelmiş. Mayıs 2013'te yayınlanan rapora göre Çin'in Amerika'dan çaldığı fikri mülkiyet haklarının yıllık değerinin 300 milyar doları geçtiği tahmin ediliyormuş bir vakitler. O sıralar bu rakam Amerika'nın tüm Asya kıtasına yaptığı bir yıllık mal ihracatı ile aynıymış.

ABD Adalet Bakanlığı, Çinli beş subay hakkında siber saldırıları organize ettikleri iddiasıyla dava açmış ama birçok delile rağmen herhangi bir sonuca ulaşılamamış. Çinliler de elbette her şeyi inkâr etmişler. Amerikalılar Çinlileri açıkça suçluyorlar ama Amerika’nın da sütten çıkmış ak kaşık olmadıkları herkesin malumu.

Kanadalı Nortel Networks bir zamanlar 94 bin kişiye istihdam sağlıyormuş. Bu şirketin siber casusluk sebebiyle iflas ettiği söyleniyor. İnanması güç, öyle değil mi? 2000 yılında başlayıp Nortel Networks'un iflas başvurusunda bulunduğu 2009 yılına kadar 10 yıl boyunca şirket defalarca Çinli siber ajanların saldırısına uğramış ve fikri mülkiyetlerinin çoğunu benzer ürünleri satan Çinli şirketlere kaptırmış.

Nesnelerin internetiyle ortaya çıkan güvenlik sorunları

Oturduğunuz ev akıllı ev mi? Uzaktan kumanda ederek çamaşır makinasını çalıştırıyor, önceden konmuş yemeği pişirmeye başlaması için akıllı telefonunuzla fırına komut veriyor, havanın durumuna göre klimanın ısıtıcısını ya da soğutucusunu başlatabiliyor musunuz? Peki, böyle bir eve korsanlar internet yoluyla sızar ve olmadık işler çevirirlerse… Hatta sizin evin akıllı kilidine de akıllı bir anahtar uydururlarsa… Bakın ne tehlikeler var. Bunlara karşı tedbir almak gerekmiyor mu?

İnternet standart bilgisayarların, tabletlerin ve akıllı telefonların çok ötesine geçen tamamen yeni cihazlara doğru genişlemektedir. Bugün otomobil ve tarım aletlerine, saatlere ve cihazlara, hatta kıyafetlere kadar herhangi bir nesnenin veri iletme ve alma potansiyeline sahip olduğu nesnelerin interneti ön plana çıkmış durumda. Kısacası bu alan alabildiğine büyüyor. Rakamlarla, özellikle parasal değerlerle bu piyasanın büyüklüğünü dile getirmek zor.

Bu teknolojilerin hızlı bir şekilde büyümesi ile inanılmaz boyutlarda yeni güvenlik açıkları ve siber saldırılar için yeni alanlar yaratıyoruz. Nesnelerin interneti hızla büyürken siber güvenlik aynı şekilde ayak uyduramıyor. Uzmanlar ‘güvenlik genellikle bu sistemlerinin tasarımında sonradan akla gelir’ diyorlar.

Buluta bağlı kalp pilleri de var bilindiği gibi. Hasta izlenebiliyor böylece. Gerektiğinde elektroşok uygulayarak hastaya müdahale imkânı elde ediliyor. Bu işin korkutucu tarafını ihmal etmek mümkün mü? Ya birileri, mesela bir terörist ya da şaka niyetindeki biri, kalp pillerini şoklamaya kalkarsa…

Bu yazı serisinin birincisi robotlara dairdi: Geleceğin endüstrileri-1: Robotların dünyası. Yazıyı okuyanlar bakıcı robotları hatırlayacaklardır. Peki bakıcı robotları kontrol eden sistemin korsanların eline geçmesinin doğurabileceği paniği hayal edebiliyor musunuz?

2015 yılında, galiba bir deney amacıyla, uzaktan bir Jeep Cherokee’nin yazılımına müdahale edilmiş ve otoyolda son hızla giderken arabanın frenlenmesi başarılmış. Sanırım çok uzak değil, otoyollar çeşit çeşit sürücüsüz Google otomobil ile dolduğunda birileri bu araçların tüm ağını ele geçirirse ne olacak? Birbirine ağ üzerinden bağlı yüzlerce arabanın otoyolda aynı anda bozulduğunu düşünün. Muhtemelen şimdiye kadar gördüğümüzden çok daha büyük bir zincirleme trafik kazasına şahit oluruz.

Bugüne değin akla gelmedik siber saldırılar çıkarıldı ortaya. Kimi gerçekleşti, kimi tasavvur safhasında kaldı. Nesnelerin interneti yaygınlaştıkça buzdolaplarını hedefe koyan da çıkıyor, otonom araçları hedefe koyan da. GPS dediğimiz küresel konumlama sistemini ele geçirenler olursa yanlış işaretleme ile hava savunma sistemlerinin ya da füzelerin tetiklenmesi tehlikesiyle yüz yüze kalınabilir. En önemli noktalardan biri savaşlara da yol açma ihtimali olan askeri siber casusluk. Bankaların ya da borsaların siber güvenliğinin ne kadar önemli olduğunu hatırlatmaya sanırım gerek yoktur. Kısaca günlük hayatı daha kolay hale getiren sistemler, yanlış ellere geçtiğinde hayatı zehretmek için de kullanılabilir.

Siber güvenlik konusunda uzmanlaşmış bir bilgisayar yazılımcısı, çok yüksek ücretler ödemeye hazır özel sektör dururken hükümet kuruluşlarında memur maaşlarıyla çalışmaya razı olur mu? Bu konu devletlerin çözmesi gereken çok önemli bir sorun olarak duruyor. Zira bu insanlara ülkenin güvenliği ile ilgili sorumluluklar yükleniyor.

Üstelik uluslararası anlaşmaların ve sözleşmelerin az olduğu bir alandan söz ediyoruz. Dolayısıyla siber casusluk bu anlamda da yaygınlaşmaya müsait bir ortam buluyor. Amerikalılar Çin’in bu boşluktan yararlandığını ileri sürüyorlar ama hiçbir ülkenin bu konuda masum olduğunu söyleyemeyiz.

Fikir Turu adlı internet sitesinde siber güvenlikle ilgili güzel bir yazı çıktı: Siber anarşinin sonu: Yeni dijital düzen nasıl kurulmalı? Bu yazının başındaki girişte kısaca siber saldırı çeşitleri sıralandıktan sonra şu soru var: “Dünyada adeta bir dijital anarşi yaşanıyor. Peki, buna nasıl bir son verilecek?” Yazının devamında dünya genelinde prestije sahip kamu yönetimi enstitüsü Harvard Kennedy School’un eski dekanı Prof. Joseph S. Nye’ın, siber alemdeki durumu “siber anarşi” olarak nitelendirdiği belirtiliyor ve Prof. Nye’ın, Foreign Affairs dergisinin Ocak 2022 sayısı için kaleme aldığı The End of Cyber-Anarchy? How to Build a New Digital Order başlıklı yazıdan bölümler aktarılacağı belirtiliyor.

Bu yazıdan şu satırları ilginç buldum: “Siber kural ve kaideleri desteklediklerini beyan eden devletler, aynı zamanda rakiplerine karşı geniş çaplı siber operasyonlar yürütüyor. Örneğin Rusya, Birleşmiş Milletler Genel Kurulu’nda, Aralık 2015’te onaylanan 11 maddelik bağlayıcı olmayan uluslararası siber normların hazırlanmasına katkı vermiş ve onaylamıştı. Ama daha bir ay geçmeden Ukrayna’nın elektrik şebekesine bir siber saldırı gerçekleştirdiler ve 225 bin kişiyi saatlerce elektriksiz bıraktılar. Rusya ayrıca 2016’da ABD başkanlık seçimlerine müdahale etmek için çabalarını yoğunlaştırmıştı. Kuşkucular açısından bunlar, siber âlemde kaideler oluşturmanın boş bir hayal olduğunu kanıtlıyor.”

Vaktiyle Rus korsanlar Ukrayna, Gürcistan ve Estonya’ya çeşitli bahanelerle siber saldırılar yapmıştı. Ukrayna’da seçimlerde Rus yanlılarını kazanmış göstermeye çalışmışlardı.

Yine içinde bulunduğumuz bu Ocak ayının başlarında Ukrayna bir siber saldırıya maruz kaldı. Sebep olarak Ukrayna’nın Donbass bölgesindeki gerilim gösteriliyor. Medyaya “Ukrayna hükümeti ve büyükelçilikleri de hedef alan 10'dan fazla internet sitesi Cuma günü bir siber saldırıyla çöktü” şeklinde yansıdı. Bu saldırıyı “Ukrayna ile Rusya arasında fizikselden önce siber savaş mı?” diyerek köşelerine taşıyan yazarlar da oldu.

Estonya’daki Bronz asker heykeli Estonyalılara göre Sovyet işgalinin simgesiyken Estonya’daki Rus toplumuna göre Nazi Almanya’sına karşı Sovyetlerin zaferini simgeliyordu. Estonya Hükümeti 2007 yılında bu anıtı bir mezarlığa nakledince Rus korsanların siber saldırısına maruz kaldı ve neredeyse 10 gün boyunca hükümetin ve bankaları bilgi işlem sistemleri âtıl hale düştü.

Rusların Gürcistan’a tanklarla girdiği 2008 yılında Rus siber korsanları da eşzamanlı olarak çok yoğun bir botnet saldırısı gerçekleştirmiş ve Gürcistan hükümetinin bilgi işlem sistemlerini hizmet veremez hale getirmişti.

Kodların silahlaştırılması öyle hızlı yükseliyor ki yaygın kabul gören herhangi bir norm veya kuralın olmadığı bir çatışma alanı yaratıyor.

Siber savaş alanına girmek o kadar zor değil. Biraz zaman ve emek harcayan herhangi bir ülke, hatta grup veya şahıs, saldırgan siber yetenekler geliştirebiliyor. Siber bir silah yaratmak için gereken şeyler bir bilgisayar, internet bağlantısı ve bazı kodlama becerilerinden ibaret. Eğer güvenlik çözümlerinde yapay zekâ, davranış analizleri ve tehdit avcılığı da işe entegre edilebilirse önemli bir avantaj sağlanmış olabilir.

Geleceğin bir endüstrisi olarak kodların silahlaştırılması, siber güvenliğin bir sektör olarak büyümesinin sonucudur. Bu piyasanın hacminin bugünlerde trilyon dolarlarla ifade edilebileceği belirtiliyor.

“Bilişim Teknolojileri ve Siber Güvenlik Derneği” adıyla bir dernek var. Türkiye’nin Siber Güvenlik Pazarı 1,5 milyar dolar diyor Teknolojiden Bi Haber adlı internet sitesindeki bir yazı. Yine bu yazıdan öğreniyoruz ki dünyada en fazla siber saldırıya maruz kalan üç ülke arasında Türkiye de yer alıyor. Amerika, Brezilya ve Türkiye en çok siber saldırılara maruz kalan ülkeler olarak öne çıkıyor. Türkiye, 2018 yılında toplamda 25 milyon siber saldırıya maruz kalmış. 1.5 milyar dolarlık Türkiye siber güvenlik pazarının %97’si yabancı firmalara aitmiş. Türkiye burada ancak 45 milyon dolarlık bir paya erişebilmiş.

Türkiye 2016-2019 Ulusal Siber Güvenlik Stratejisi ve 2016-2019 Ulusal Siber Güvenlik Eylem Planı ile siber suçlara karşı önlemini almış, almış ama niçin dünyada bu konuda ilk üçe giriyoruz..

Siber güvenlik konusunda bir kitaptan da söz etmemiz gerekiyor: Siber Güvenlik [ve] Siber Savaş/ Herkesin Bilmesi Gerekenler. 2015 yılında yayınlanmış Türkiye’de.

Geleceğin endüstrileri içinde siber güvenlik önemli bir yer tutacak, Aslında gelecek demek bile gereksiz neredeyse. Şimdiden siber güvenlik endüstride kendisine çok iyi bir yer edinmiş vaziyette. O halde bu endüstrinin gerektirdiği eğitime odaklanmamız gerekiyor. Hem lisans seviyesinde hem lisansüstü seviyede atacağımız adımları gözden geçirmenin vaktidir. Siber güvenlik konusuna üniversitelerimizin daha çok yer vermesi gerekiyor.

Ayrıca bir sorun daha var, mezunlarımıza yeterli desteği veriyor muyuz, yoksa bu çocukları yurt dışına mı kaptırıyoruz? Burada beyin göçü konusuna yeniden girmeyeyim, zira bu can yakıcı sorunu yazı serisinin birincisinde ele almıştım. Sadece şunu söylüyorum: Beyin göçünün tek sebebi maddi değil. Aslolan özgürlük ortamı ve liyakate verilen değer.

Satın alınan siber güvenlik çözümlerinin kurulumu da ehil ellere muhtaç. Türkiye’de böyle bir sıkıntı var, Kurulum yapanların önemli bir kısmı gerekli uzmanlık bilgisinden yoksun olduğu için bırakın güvenlik sağlamayı neredeyse tehdit oluşturuyorlar. Bu hal de siber güvenlik eğitiminin önemini bir daha vurgulamamızı gerektiriyor.

Bu siber güvenlik yazısını Alec Ross’un, Geleceğin Endüstrileri kitabından bir alıntıyla sonlandıralım: “Hepimiz canlı ve hareketli bir online hayatla gelen özgürlüğü istiyoruz, ancak güvenliği olmayan özgürlük kırılgandır ve özgürlüğü olmayan güvenlik de baskıcıdır. Önümüzdeki yıllar bizi bu ikisini -daha önce hiç yapmadığımız kadar- dengelemeye zorlayacaktır.”