Category Archives: Milli Çözümler

  • 0

Millilik Hedefleri, Siber Güvenlik, Kişisel Veriler Üçgeninde “Milli Veri Tabanı”

MİLLİLİK HEDEFLERİ, SİBER GÜVENLİK, KİŞİSEL VERİLER ÜÇGENİNDE:
VERİTABANI MİLLİ OLMAZSA NE KADAR MİLLİ’YİZ, NE KADAR GÜVENDEYİZ ?

Mustafa AFYONLUOĞLU
afyonluoglu@gmail.com

18.02.2018

Anahtar Kelimeler: Siber Güvenlik, Milli Yazılım, Kişisel Veriler, Milli Veri, Milli Veritabanı

 

Siber güvenlik yaklaşımının, milli güvenliğin temel unsuru olduğu başta 2016 NATO Varşova Zirvesi’[1] sonuç bildirgesindeki (madde 4) açıklamalar ile birlikte ülkelerle birlikte artık uluslararası kuruluşların da siber alanı üst gündem maddesi olarak görmesi ve ülkelerin siber savunma sistemlerine yaptığı önemli yatırımlar ile daha da pekişmiştir. Örneğin Birleşik Krallığın 2016 yılındaki siber güvenlik bütçesi 2.5 milyar Euro olarak açıklanmıştır. Bu gelişmelere paralel olarak ülkemizde de siber güvenlik milli güvenliğin kritik bileşeni olarak kabul edilmiştir.

Kendi kontrolümüzde yazılım ve donanım üreterek bilgi ekonomisinin önemli küresel aktörleri arasında yer almak istiyorsak, yerli ve hatta milli yazılımın olmazsa olmaz ön koşul olduğu açık bir gerçektir. Ancak gözden kaçırılmaması gereken iki önemli başlık vardır:

  1. Aslında yazılımın “milli” olmasında, ülkemizin hedef ve çıkarlarına göre “davranan” algoritmayı elde etmek ana hedeftir. Böylece milli bir yazılım sadece ve sadece, sahibi olan kurumun, görev ve yetkilerine göre planladığı ve kurguladığı gibi çalışacaktır. Aynı husus, bu yazılımın çalıştığı ve yönettiği donanımlar için de geçerlidir. Örneğin savunma sisteminde yer alan bir cihaz, sanayi için geliştirilen bir robot, evimizdeki televizyon, yollardaki kameralar, trafikteki sinyalizasyon sistemi, üzerinde çalışan yazılım milli olmadıkça “her durumda” istenilen şekilde “davranmayabilir” ve “üreticisinin aklıyla hareket edebilir”.
  2. İkinci önemli husus bu yazılımın ürettiği “veri”nin de “milli” olmasıdır. Günümüz bilgi toplumunda en büyük ve en güçlü sermaye olan, hatta ülkelerin birbirlerine saldırılarının temel hedefi olan “veri” sadece sahibi tarafından erişilebilir, yetkilendirilebilir olmalı, mahremiyeti korunmalı ve bütünlüğü hiçbir zaman bozulmamalıdır.
    • Siber Saldırıların 2 temel hedefi vardır:
  3. Kritik altyapılara zarar vermek ya da hizmeti kesintiye uğratmak
  4. Veri’yi ele geçirmek
    • Verinin ele geçirilmesini engellemek için ilk şart, bu veriyi muhafaza eden yapının yani “veritabanı”nın sadece ve sadece bizim kontrolümüzde olması, yani “milli” olmasıdır.

 

Yazının tamamını okumak için lütfen buraya tıklayınız..


  • 0

Neden “TAM MİLLİ” Siber Güvenlik ?

Tags : 

NEDEN "TAM MİLLİ" SİBER GÜVENLİK ?

24.05.2017

cyber2

Milli Güvenlik = Siber Güvenlik

2016 yılında NATO tarafından, deniz, hava, kara ve uzay'dan sonra beşinci savunma alanı olarak ilan edilen "siber alan", özellikle son br kaç yıl içerisinde şiddeti, yıkıcılığı ve hacmi hızla artan ve devlet-destekli olarak konumlandırılan siber saldırılar, Siber Güvenlik'in bir Milli Güvenlik bileşeni olduğu konusunda çok net gelişmeler olarak gündemimizde yer almaktadır.

Nitekim 2016 NATO Varşova Zirvesi'nde, Ulusal Siber Güvenlik Bütçesi olarak Fransa'nın 2014 yılında 1 Milyar Euro, İngilter'nin 2016 yılında 2.5 Milyar Euro ayırdığı belirtilerek konunun ülke güvenliğindeki önemi masaya yatırılmıştır.

"Tam Milli" Nedir ?

Donanım veya yazılım olarak geliştirilen bir üründe, tüm bileşenlerin milli olması önemli ve değerlidir. Ancak özellikle "siber güvenlik" alanında, bir yazılım ürününün tüm bileşenlerinin milli olmasına rağmen kullanılan herhangi bir yazılım kütüphanesinin dışarıdan hazır kullanılması, içine hakim olunamayan ve gerçekleştirdiği fonksiyonlardan emin olunmayan bir kara kutu bileşeni demektir.

"Güvenlik" hassasiyetinin esas olduğu böyle bir alanda karşımıza çıkan böyle bir ürün, en zayıf halkası olan bu bileşen hadar güvenli olacaktır. Dolayısıyla bir yazılım ürününde, tüm kütüphaneleri ve bileşenlerinin kaynak kodlarına sahip değilseniz (veya bu bileşen ve kütüphaneler, ülkedeki güvenilir bir milli kurum tarafından üretilmemiş ise), bu öçözüm "Tam Milli" değildir.

Bu tür ürünlerin, bazı durumlarda kaynak kod güvenlik testlerinde dahi "kara kutu"larda gizlenmiş fonksiyonların tespit edilemediği bir çok olay, yakın geçmişte internetteki haberlere de yansımıştır.

Neden "Tam Milli" Siber Güvenlik ?

Kamu kurumlarındaki kamu, vatandaş ve sektör verilerini emanet edeceğimiz ve özellikle milli güvenliğe ilişkin elektronik sistemlerde siber güvenliği sağlayacağımız durumlarda ürünlerin Milli olmasından öte "Tam Milli" olması işte bu yüzden önemlidir.

Security concept: Red Shield With Keyhole on digital background, 3d render

Aksi takdirde muhtelif hazır kütüphaneler ile bu sistemlere sızılması ile tüm verielre erişilmesi mümkün olacak, her türlü veri sızıntısı, kritik altyapılarda sistemlerin sabote edilmesi veya uzaktan erişilebilmesi gibi yüksek önem taşıyan riskler gündeme gelecektir.

Bu sebeple, siber güvenlik ürünlerinde ihtiyaç duyulan temel altyapılar ve çerçeveler devlet tarafından AR-GE çalışmaları yapılarak kütüphane şeklinde milli özel sektöre sunulmalı ve bunun üzerine siber güvenliktelki milli ürünler inşa edilmelidir.


  • 0

BUSİBER – 2017’de Siber Güvenlik, Milli Çözümler ve Türkiye: “NE’ler ve NASIL’lar”

Tags : 

Bogazici-Etkinlik
20170508-BUSIBER

2016 yılında NATO tarafındani deniz, hava, kara ve uzaydan sonra  5. savunma alanı olarak kabul edilen siber alan, "askeri, syiasi, diplomatik ve ekonomik" unsurlar ile birlikte Milli Güvenlik'in en kritik bileşeni olarak karşımıza çıkmaktadır.

Nitekim Ulusal Siber Güvenlik Bütçesi olarak 2014 yılında Fransa 1 milyar Euro bütçe ayırmış, 2016 yılında İngilterenin bu alana ayırdığı bütçe ise 2.5 Milyar Euro'ya ulaşmıştır. NATO tarafından Denver Üniversitesi'ne yaptırılan ve 2016 yılında NATO Varşova Zirvesi'nde açıklanan bir araştırma sonucuna göre, 2030 yılında Siber Güvensizlik'ten kaynaklı ortaya çıkan hacmin 90 Trilyon Dolar'a ulaşması beklenmektedir.

27 Nisan 2017 tarihli (Symantec Internet Güvenlik Tehditleri Raporu - ISTR Vol:22) raporda vurgulandığı üzere, 2016 yılında öne çıkan 10 büyük siber saldırı grubu, kendi hükümetleri tarafından desteklenmektedir (state-sponsored) ve temel motivasyonları siber casusluk, kritik altyapılara zarar verme ve hükümet devirme/siyasi manipülasyon gibi başlıklardır. 2016 yılı boyunca yapılan saldırılarda en dikkat çekici başlıklar veri sızıntısı ve fidye yazılımlardır. Bir önceki yıla göre 2 kat artarak 2016 yılında 1.1 milyar kimlik verisi sızıntısı yaşanmış, fidye yazılımlarda ise ödenen fidye miktarı yarım milyar doları aşmıştır. Son 8 yılda dünya genelinde yaşanan toplam veri sızıntısı ise 7.1 milyara erişerek neredeyse dünya nüfusuna ulaşmıştır.

Bu denli önemli bir çerçevede Türkiye olarak gerekli tedbirlerin alınması ve kamu kurum ve kuruluşları, üniversiteler ve kiritik altyapılar başta olmak üzere bütüncül bir yaklaşım sergilenmek üzere Ulusal Siber Olaylara Müdahale Merkezi (USOM / TR-CERT) kurulmuş ve her kurum/kuruluşta "Siber Olaylara Müdahale Ekibi" (SOME) konumlandırılmasını öngören mevzuat 11 Kasım 2013 tarihinde yayımlanmıştır. (Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul Ve Esaslar Hakkında Tebliğ)

Bununla birlikte kurulması hedeflenen ve günümüz itibarı ile 666 tanesinin kuruluşu tamamlanmış olan ve yerel yönetimler ile birlikte sayısının 1000'leri aşması beklenen SOME'lerin etkin ve başaşrılı hizmet verebilmesi için bir takım teknik, idari ve hukuki ilave çalışmaların yapılması gerektiği açıktır.

Bu sunumda, SOME'lerin daha güçlü hizmet verebilmesi için:

  • Kurum için yönetişim bakımından öneriler
  • Bağlı bulundukları USOM'un güçlendirilmesine yönelik tavsiyeler
  • SOME'lerde niteklikli insan kaynağı kapasitesi oluşturulmasına yönelik öneriler, kritik görev alanı olması ve 7/24 erişilebilirliği gerektirmesinden dolayı SOME personeline mali teşvikler

yer almaktadır. Bu çalışmada ayrıca ilk kez "TAM MİLLİ SİBER GÜVENLİK" kavramı ortaya konulmuş ve "tam milli" yaklaşımındaki beklentiler ile siber güvenlik alanında geliştirilen milli ürünlerin neden "tam milli" olması gerektiği ele alınmış, bu çerçevede kamu ile milli özel sektör araındaki iş birliğinini aşamalarındaki beklentiler masaya yatırılmıştır.


05.09.2017 tarihinde Boğaziçi Üniversitesi Siber Güvenlik Merkezi tarafından düzenlenen "Türkiye'de SOME'ler ve Siber Güvenlikte Yerli Milli Çözümler" Sempozyumunda yaptığım sunuma ait sunum dosyasını aşağıdaki bağlantıdan indirebilirsiniz.