Siber Güvenlik Görüldüğünden Çok Daha Büyük Bir Dünya
Bankacılık işlemleri, alışveriş, giyim, yemek gibi tüm ihtiyaçlarımızı sadece akıllı bir telefon kullanarak çok kısa sürede gerçekleştirebiliyoruz. Teknolojinin gelişmesi bize kolay ve hızlı bir yaşam sağlıyor. Bu kadar kolaylık sağlayan ve hızla gelişen teknoloji hayatımızın her alanına sirayet etmesi yaşamı kolaylaştırmasının yanında güvenlik sorununu da beraberinde getiriyor. Siber güvenlik konusu da uzmanlık gerektiren bir alan olarak karşımıza çıkıyor.
Peki nedir bu siber güvenlik ve buna ne kadar ihtiyacımız var? Siber güvenlik gerçekten bu kadar önemli mi? Yoksa biraz son dönemin teknolojik modası mı? Hepsinden önemlisi Türkiye olarak siber güvenlik alanında hangi noktadayız? Tüm bu soruların cevabını aramak için Siber Güvenlik Uzmanı Yılmaz Değirmenci bir araya gelerek “siber güvenlik”i konuştuk.
Son yıllarda hemen her platformda "siber güvenlik" ifadesini duyuyoruz. Siber güvenlik gerçekten bu kadar önemli mi? Yoksa biraz son dönemin teknolojik modası mı?
Aslında siber güvenlik, hayatımızın teknolojiye olan bağımlılığının artmasının yansımasından ibaret. Teknolojiyi kullandıkça, onun getirdiği riskler de artmakta ve doğal olarak güvenlik daha da ön plana çıkmakta. Özellikle akıllı telefon, sosyal medya, dijital para ve çevrimiçi ödeme gibi kavramlar artık günümüzün çoğunu bilgisayar ya da mobil cihaz başında geçirmemize neden oluyor. Bu durum aynı zamanda saldırganların da iştahını kabartmakta ve hem kurumları hem bireyleri hedef alan siber saldırılar her geçen gün artmakta.
“Sizden Şifrenizi İsteyen Biri Büyük İhtimalle İyi Niyetli Biri Değildir”
Peki sıradan bir kullanıcı nelere dikkat etmeli?
Telefonunuza gerçekten ihtiyacınız olan ve onaylı bir uygulama dışında uygulama yüklememenizi, bunların da sahip oldukları izinleri gözden geçirerek gerektiğinde kısıtlamanızı öneririm. Ayrıca sizden şifrenizi isteyen biri büyük ihtimalle iyi niyetli biri değildir. Bilgisayarınızı ise yönetici yetkisiyle kullanmamanızı, herhangi bir çalıştırılabilir dosya indirirken çok dikkatli olmanızı öneririm.
Saldırganlar tarafından en çok kullanılan saldırı yöntemi aslında oltalama dediğimiz saldırı türü. Yani kurban bir insana sahte bir SMS mesajı ya da e-posta göndererek onu gafil avlama odaklı. Bu noktada teknolojiyi sevmese bile her bireyin az çok bu kavramlara aşina olmasında fayda görmekteyim.
Müsaade ederseniz daha bugün tanık olduğum bir durumu paylaşmak istiyorum. Bizim komşu 80 yaşında bir amca beni aradı telefonla. Kendini Kaddafi'nin kızı olarak tanıtmış. Ailesiyle arası zaten bozuk olan ve yalnızlık yaşayan bu saf amca da buna inanmış. Tam 5 ay boyunca görüşmüşler ancak bu kadın (eğer kadınsa tabi) sadece resim göndermiş. Bir defa bile kamera görüşmesi yapmamış. Üstelik Skype üzerinden görüşmelerine rağmen. Skype üzerinden çalıştırılabilir dosya göndermek de mümkündür, sanırım bu amcanın bilgisayarını hacklemişler. Sonuçta bu insan; babamdan kalan 10 milyon dolarlık parayı Türkiye'ye getirmek istiyorum ama yardımına ihtiyacım var demiş. Buna yönelik ciddi bir şebeke de kurmuşlar. Bu amca sözün özü 170 bin TL parasını kaybetmiş.
“Siber Güvenlik Eğitimi Başlı Başına Özel Bir Alandır”
Siber güvenlik sektörü deyince ne anlamalıyız peki? Yani siber güvenlikçi ne iş yapar?
Siber güvenlik ilk bakışta görüldüğünden çok daha büyük bir dünya aslında. Sektörde bir siber saldırının yaşamının yansıması gibi bir anlamda. Örneğin bazı uzmanlar bir siber saldırı gerçekleşmeden onunla ilgili ipucu toplamaya odaklanırlar; buna siber tehdit istihbaratı denir. Bazı uzmanlar ise bir saldırgan kurum içine bir şekilde sızmayı başarmışsa onun etkisini azaltmaya ve olası tüm iz bilgilerini toplamaya odaklı çalışırlar; buna ise siber operasyon merkezi hizmetleri denilmektedir. Eğer saldırı başarılı olmuşsa bu Adli Bilişim alanına girer. Diğer yandan kötü niyetli bir hacker mantığıyla sistemlere saldıran ve ardından tespit edilen açık noktaları raporlayan sızma testi uzmanları vardır. Sistemlere bulaşan zararlı yazılımlar ise zararlı yazılım analiz uzmanlarınca incelenir. Tabi tüm bunların bir de eğitimi de başlı başına özel bir alandır.
“Gençlerimiz Siber Güvenlik Konusuna Karşı Büyük Bir Heyecan Duyuyor”
Çok ilginç. Peki Türkiye bu noktada nerede? Sizce yeterince iyi miyiz?
Türkiye çok genç ve meraklı bir nüfusa sahip. Gençlerimiz siber güvenlik konusuna karşı büyük bir heyecan duyuyor. Diğer yandan Türkiye Siber Güvenlik Kümelenmesi ve BTK Akademi tarafından güzel eğitim ve etkinlikler düzenleniyor. Bunlar ise farkındalığı gün geçtikçe artırıyor. Ayrıca kritik kurumların durumsal farkındalığını artırmak maksadıyla kurulmuş olan Ulusal Siber Olay Müdahale Merkezi ve SOME yapısı başlı başına büyük bir unsuru teşkil ediyor.
Eksiğimiz yok mu, tabi ki var. Siber güvenlikte derinlemesine yetişmiş insan sayısı hala çok az. Ayrıca siber güvenlik alanında uzmanlık, gerçek anlamda tersine mühendislik alanında uzmanlaştıkça ortaya çıkıyor. Tersine mühendislik ise bir sistem ya da yazılımın röntgenini çekebilmek demek. Bu seviyede uzman olan insan sayısı halen çok çok az.
Bana göre tersine mühendislik ve zafiyet araştırma konusunda büyük bir eksiğimiz var. Bu konuların hem çok zor olması hem de nispeten ticari yönünün zayıf olması sektörü bu anlamda zayıf bırakıyor.
Bununla paralel olarak zararlı yazılımların çok daha sistematik analiz edilmesi gerekiyor. Demek istediğim, Türkiye'de herhangi bir kuruma yapılan bir siber saldırı ve burada kullanılan zararlı yazılımlar ve yöntemler, kimler tarafından hangi maksatla yapılıyor? Saldırgan profillendirme konusunda da henüz ülke olarak çok zayıfız.
Peki siber güvenlik alanında kendini geliştirmek isteyen gençlere ne tavsiye edersiniz?
Siber güvenlik farklı bir dünya, bu dünyayı gerçekten seven bir insan o kadar tutkuyla bağlanıyor ki bir süre sonra başka hiçbir şey ilgisini çekmemeye başlıyor. Bence her insan sevdiği işi yapmalı ve gerçekten siber dünyayı sevdiğinizi keşfederseniz zaten gerisi kendiliğinden gelecektir. Bu konuda yeterince (özellikle İngilizce) materyal var.
Siber güvenlik aynı zamanda olaylara nispeten farklı bakabilmeyi istiyor. Biraz bulmaca çözmek ya da dedektiflik gibi. Bu noktada CTF isimli bayrağı yakala yarışmalarına katılmalarını, siber güvenlik kulüplerine üye olmalarını, biraz geliştikten sonra bu konuda bir blog açmalarını ve yaptıkları çalışmaları github ortamından paylaşmalarını tavsiye ederim.