Meryem
Komplike
Onlarca siber güvenlik uzmanının çalıştığı TÜBİTAK BİLGEM Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE), 'Ulusal Siber Güvenlik Tatbikatı'na evsahipliği yapıyor.
TÜBİTAK ve BTK'nın ortak düzenlediği tatbikata katılan 41 kurum ve kuruluşun bilgi sistemlerine gerçek saldırılar düzenleyen ekip, kurumların sistem açıklarını rapor haline getirecek.
UEKAE Müdür Yardımcısı Mert Üneri, 'Bilişim Sistemleri Güvenliği Bölümü'nün 2001'de kurulduğunu ve 10 yılı aşkın süredir siber güvenlik konuları üzerine çalışmalar yürüttüğünü anlattı.
İlk çalışmalarına Türk Silahlı Kuvvetleri ile başlayan ekibin, bilgisayar sistemlerinin daha yaygın kullanıma başlamasıyla birlikte diğer kamu kurumlarıyla da işbirlikleri yürütmeye başladığını belirten Üneri, özellikle bilgi ve iletişim sistemlerinin güvenliklerinin testlerini yaptıklarını söyledi.
Bölümün, kamunun yanısıra bankacılık ve e-ticaret yapan şirketler gibi başka ihtiyaç sahiplerinin de bilgi güvenliği taleplerini karşıladıklarını ifade eden Üneri, şöyle konuştu:
'NATO'nun Türkiye'deki temas noktası da TÜBİTAK UEKAE. Türkiye'de NATO üslerinde bir güvenlik ihlali olursa, buna müdahale edecek ekibin TÜBİTAK UEKAE olacağı 2007'de NATO ile imzalanan protokolle belirlendi. Diğer yandan yurt dışındaki bazı bankalar da bilgi yönetim sistemlerinin kurulmasında ekibimizden destek alıyorlar. Avrupa'daki üç bankanın bu sistemlerini kurduk örneğin. Laboratuvarımız ayrıca geçen yıl sertifika üreticisi 12 ülkeden biri oldu. Yani Ortak Kriter Test Merkezi'nden çıkan sonuçlar, bütün dünyada tanınır oldu.'
'200'DEN FAZLA LİSANS VAR'
Ekiplerinin bilgisayar güvenliğinde aralarında e-imza, güvenlik duvarı gibi sistemlerin de bulunduğu pek çok sistemi yerli olarak ürettiğini bildiren Üneri, sözlerini şöyle sürdürdü:
'Ürünlerimiz, proje yaptığımız birçok kamu kurumunda kullanılıyor. Halen kullanımda 200'den fazla lisans var. Ancak pek çok kurum bu güvenlik duvarlarını hala yurt dışından alıyor. Bu yazılımların yerli olarak üretilmesinde pek çok avantaj bulunuyor. Güvenlik ürünlerinin öncelikle dediğini yapması, bir de dediğinden fazlasını yapmaması gerekir. Dediğinden fazlasını yapıp yapmadığını bilemiyorsunuz. Güvenlik duvarının bilgileri bir yerde tutulup daha sonra başka bir yere gönderilmesi de olası. Bizim yaptığımız sistemlerde bu tarz güvenlik açıkları yerli üretilmeleri nedeniyle bulunmuyor.'
'DOĞAL HIRSIZLIKTAN FARKI YOK'
İnternet ortamında özellikle saldırıların son dönemlerde giderek ilgi uyandıran konuların başında geldiğine işaret eden Üneri, Türkiye'deki durumu şu sözlerle anlattı:
'Bir kurumun bilgi sistemine bir saldırı yapıldığında ve başarılı olunduğunda Türkiye'de ve dünyada pek çok kurum, unvanları sebebiyle saldırıları gizli tutuyor. Kendi başlarına bu sorunlarını çözmeye çalışıyorlar. Ama problemi başka kurumlara aktarması gerekiyor ki, diğer kurumlar da bu olaydan haberdar olsun ve önlemler alınsın. Bu nedenle siber savunmada koordinasyon çok önemli.
Evinize hırsız girdiği zaman nasıl hemen polis çağırıyorsanız, evinizdeki bilgisayara da birisi girdiği zaman aynı işi yapacak kolluk kuvveti gerekiyor. Hırsız hakkında hiç bir bilgi vermeden korunma sağlayamazsınız.
'Gel benim şu bilgisayar sistemimi koru' diye bir tanımla işe girdiğiniz zaman başarısız olmak kesin hale geliyor. Yani bu işin doğal hırsızlıktan hiç bir farkı yok. Evinizi korurken hırsız camdan gelebilir, kapıdan gelebilir diye düşünüp ev zemin kattaysa farklı önlem alınıp çatı katındaysa farklı önlem alıyorsanız aynı şekilde bilgisayar sistemlerini korurken de kimden ve ne için koruduğunuza dair değişik önlemler alınması gerekiyor.'
Kişisel internet kullanımlarındaki en büyük tehlikenin özellikle kablosuz ADSL modemlere şifre konulmaması ile antivirüs ya da işletim sistemi güncellemelerinin zamanında ve doğru yapılmamasından kaynaklandığını belirten Üneri, kamu kurumlarındaki sorunun ise kurumların kendi güvenlik sistemlerine ilişkin olabilecek siber saldırı tehditlerini öngörememelerinden kaynaklandığını söyledi.
TATBİKAT EKİBİ SİBER SALDIRILARINI SÜRDÜRÜYOR
Ocak 2011'de BTK ile birlikte düzenlenen 'Ulusal Siber Güvenlik Tatbikatı'na ilişkin bilgiler de veren Üneri, Wikileaks olayından sonra siber güvenlik konusundaki farkındalığın tüm dünyada yükselişe geçtiğini söyledi.
Siber saldırıların ne kadar ciddi bir boyuta ulaşabileceğinin algılanmaya başladığını vurgulayan Üneri, şöyle konuştu:
'İkinci kez yapılan siber tatbikata gösterilen ilgi bu farkındalığın ne dereceye vardığını net olarak gösteriyor. İlk tatbikata yalnızca 8 kurum katılmıştı.
Bu ikinci tatbikat, dünya ölçülerinde ve önemli ve büyük bir tatbikat olacak. Gerçek saldırıların yapıldığı bir tatbikat. Biz aslında tatbikatı birkaç gün önce bazı saldırılarla kısmi olarak başlattık. Şu anda tatbikat hala devam ediyor ve cuma akşamına kadar sürecek. Kamu ve özel sektörden önemli oyuncular tatbikata katılıyor. Finans, sağlık, güvenlik ve iletişim gibi pek çok sektörün temsilcisi bulunuyor. Bu 41 kuruma 4 tane temel saldırı planı hazırladık. Saldırıların hepsinden kurumların haberi var; hatta bu saldırılar onların istekleriyle yapılıyor. Kurumlar artık kendi güvenlik açıklarını görmek istiyorlar ve varsa bu konuda eksikliklerini gidermek istiyorlar.'
'HER KURUMA DURUMU BİLDİRİLECEK'
Tatbikata, Genelkurmay Başkanlığından, SGK'ya, bazı üniversitelerden, bakanlıklara ve Emniyet Genel Müdürlüğünden Sayıştay Başkanlığına kadar 41 ayrı kurumun katılacağını bildiren Üneri, 'Şu anda yapılan saldırılar, gerçekten kurumların internet sayfalarını çalışmaz hale getirecek düzeyde gerçek saldırılar. Bunların başarılı olanları var, başarılı olmayanları var. Tatbikatın önemli tarafı gerçek saldırılarla ve bugünün koşullarıyla yapılıyor olması' dedi.
Tatbikatın sonunda iki ayrı rapor hazırlanacağını ve ilk raporun kurum ismi verilmeden genel bir durum değerlendirmesi şeklinde olacağını, diğer raporun ise yalnızca kurumlarla paylaşılacağını aktaran Üneri, 'Kurumlar isterlerse bu açıklar konusunda ekibimizle işbirliği yapabilirler, kurumların açıklıklarını birlikte kapamaya çalışabiliriz' diye konuştu.
Kaynak
TÜBİTAK ve BTK'nın ortak düzenlediği tatbikata katılan 41 kurum ve kuruluşun bilgi sistemlerine gerçek saldırılar düzenleyen ekip, kurumların sistem açıklarını rapor haline getirecek.
UEKAE Müdür Yardımcısı Mert Üneri, 'Bilişim Sistemleri Güvenliği Bölümü'nün 2001'de kurulduğunu ve 10 yılı aşkın süredir siber güvenlik konuları üzerine çalışmalar yürüttüğünü anlattı.
İlk çalışmalarına Türk Silahlı Kuvvetleri ile başlayan ekibin, bilgisayar sistemlerinin daha yaygın kullanıma başlamasıyla birlikte diğer kamu kurumlarıyla da işbirlikleri yürütmeye başladığını belirten Üneri, özellikle bilgi ve iletişim sistemlerinin güvenliklerinin testlerini yaptıklarını söyledi.
Bölümün, kamunun yanısıra bankacılık ve e-ticaret yapan şirketler gibi başka ihtiyaç sahiplerinin de bilgi güvenliği taleplerini karşıladıklarını ifade eden Üneri, şöyle konuştu:
'NATO'nun Türkiye'deki temas noktası da TÜBİTAK UEKAE. Türkiye'de NATO üslerinde bir güvenlik ihlali olursa, buna müdahale edecek ekibin TÜBİTAK UEKAE olacağı 2007'de NATO ile imzalanan protokolle belirlendi. Diğer yandan yurt dışındaki bazı bankalar da bilgi yönetim sistemlerinin kurulmasında ekibimizden destek alıyorlar. Avrupa'daki üç bankanın bu sistemlerini kurduk örneğin. Laboratuvarımız ayrıca geçen yıl sertifika üreticisi 12 ülkeden biri oldu. Yani Ortak Kriter Test Merkezi'nden çıkan sonuçlar, bütün dünyada tanınır oldu.'
'200'DEN FAZLA LİSANS VAR'
Ekiplerinin bilgisayar güvenliğinde aralarında e-imza, güvenlik duvarı gibi sistemlerin de bulunduğu pek çok sistemi yerli olarak ürettiğini bildiren Üneri, sözlerini şöyle sürdürdü:
'Ürünlerimiz, proje yaptığımız birçok kamu kurumunda kullanılıyor. Halen kullanımda 200'den fazla lisans var. Ancak pek çok kurum bu güvenlik duvarlarını hala yurt dışından alıyor. Bu yazılımların yerli olarak üretilmesinde pek çok avantaj bulunuyor. Güvenlik ürünlerinin öncelikle dediğini yapması, bir de dediğinden fazlasını yapmaması gerekir. Dediğinden fazlasını yapıp yapmadığını bilemiyorsunuz. Güvenlik duvarının bilgileri bir yerde tutulup daha sonra başka bir yere gönderilmesi de olası. Bizim yaptığımız sistemlerde bu tarz güvenlik açıkları yerli üretilmeleri nedeniyle bulunmuyor.'
'DOĞAL HIRSIZLIKTAN FARKI YOK'
İnternet ortamında özellikle saldırıların son dönemlerde giderek ilgi uyandıran konuların başında geldiğine işaret eden Üneri, Türkiye'deki durumu şu sözlerle anlattı:
'Bir kurumun bilgi sistemine bir saldırı yapıldığında ve başarılı olunduğunda Türkiye'de ve dünyada pek çok kurum, unvanları sebebiyle saldırıları gizli tutuyor. Kendi başlarına bu sorunlarını çözmeye çalışıyorlar. Ama problemi başka kurumlara aktarması gerekiyor ki, diğer kurumlar da bu olaydan haberdar olsun ve önlemler alınsın. Bu nedenle siber savunmada koordinasyon çok önemli.
Evinize hırsız girdiği zaman nasıl hemen polis çağırıyorsanız, evinizdeki bilgisayara da birisi girdiği zaman aynı işi yapacak kolluk kuvveti gerekiyor. Hırsız hakkında hiç bir bilgi vermeden korunma sağlayamazsınız.
'Gel benim şu bilgisayar sistemimi koru' diye bir tanımla işe girdiğiniz zaman başarısız olmak kesin hale geliyor. Yani bu işin doğal hırsızlıktan hiç bir farkı yok. Evinizi korurken hırsız camdan gelebilir, kapıdan gelebilir diye düşünüp ev zemin kattaysa farklı önlem alınıp çatı katındaysa farklı önlem alıyorsanız aynı şekilde bilgisayar sistemlerini korurken de kimden ve ne için koruduğunuza dair değişik önlemler alınması gerekiyor.'
Kişisel internet kullanımlarındaki en büyük tehlikenin özellikle kablosuz ADSL modemlere şifre konulmaması ile antivirüs ya da işletim sistemi güncellemelerinin zamanında ve doğru yapılmamasından kaynaklandığını belirten Üneri, kamu kurumlarındaki sorunun ise kurumların kendi güvenlik sistemlerine ilişkin olabilecek siber saldırı tehditlerini öngörememelerinden kaynaklandığını söyledi.
TATBİKAT EKİBİ SİBER SALDIRILARINI SÜRDÜRÜYOR
Ocak 2011'de BTK ile birlikte düzenlenen 'Ulusal Siber Güvenlik Tatbikatı'na ilişkin bilgiler de veren Üneri, Wikileaks olayından sonra siber güvenlik konusundaki farkındalığın tüm dünyada yükselişe geçtiğini söyledi.
Siber saldırıların ne kadar ciddi bir boyuta ulaşabileceğinin algılanmaya başladığını vurgulayan Üneri, şöyle konuştu:
'İkinci kez yapılan siber tatbikata gösterilen ilgi bu farkındalığın ne dereceye vardığını net olarak gösteriyor. İlk tatbikata yalnızca 8 kurum katılmıştı.
Bu ikinci tatbikat, dünya ölçülerinde ve önemli ve büyük bir tatbikat olacak. Gerçek saldırıların yapıldığı bir tatbikat. Biz aslında tatbikatı birkaç gün önce bazı saldırılarla kısmi olarak başlattık. Şu anda tatbikat hala devam ediyor ve cuma akşamına kadar sürecek. Kamu ve özel sektörden önemli oyuncular tatbikata katılıyor. Finans, sağlık, güvenlik ve iletişim gibi pek çok sektörün temsilcisi bulunuyor. Bu 41 kuruma 4 tane temel saldırı planı hazırladık. Saldırıların hepsinden kurumların haberi var; hatta bu saldırılar onların istekleriyle yapılıyor. Kurumlar artık kendi güvenlik açıklarını görmek istiyorlar ve varsa bu konuda eksikliklerini gidermek istiyorlar.'
'HER KURUMA DURUMU BİLDİRİLECEK'
Tatbikata, Genelkurmay Başkanlığından, SGK'ya, bazı üniversitelerden, bakanlıklara ve Emniyet Genel Müdürlüğünden Sayıştay Başkanlığına kadar 41 ayrı kurumun katılacağını bildiren Üneri, 'Şu anda yapılan saldırılar, gerçekten kurumların internet sayfalarını çalışmaz hale getirecek düzeyde gerçek saldırılar. Bunların başarılı olanları var, başarılı olmayanları var. Tatbikatın önemli tarafı gerçek saldırılarla ve bugünün koşullarıyla yapılıyor olması' dedi.
Tatbikatın sonunda iki ayrı rapor hazırlanacağını ve ilk raporun kurum ismi verilmeden genel bir durum değerlendirmesi şeklinde olacağını, diğer raporun ise yalnızca kurumlarla paylaşılacağını aktaran Üneri, 'Kurumlar isterlerse bu açıklar konusunda ekibimizle işbirliği yapabilirler, kurumların açıklıklarını birlikte kapamaya çalışabiliriz' diye konuştu.
Kaynak