Uzmanından şirketlere uyarı: “Etik hacker diye bir şey yok”

NURETTİN BAKİ-RÖPORTAJ

İnternetle birlikte teknolojinin gelişmesi, sosyal medyanın güçlenmesi ve kitle iletişim araçlarının çeşitlenmesi ile sanal bir dünya düzeni inşa edildi. Bu dünyada firmalar kullanıcıların kişisel bilgilerini alarak insanların kolay iletişim kurmasını, tek tıkla ticaret yapmasını, yeni yerler keşfetmesini sağladı. Tüm bu etkileşimin yaşandığı alanda elbette güvenlik de önemli bir sorun olarak karşımıza çıktı. Bu noktada kamu ve özel kuruluşlar siber saldırılar karşısında altyapılarını güçlendirdi, bu alana çeşitli yatırımlar yaptı. Biz de gazete olarak siber güvenlik, siber saldırılar, yazılım, donanım ve Türkiye’nin bu alandaki yerini, uzay teknolojisine yapılan yatırımlarını Yaşar Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü Öğretim Üyesi Doç.Dr. Ahmet Koltuksuz’a sorduk.

TÜRKİYE SİBER GÜVENLİĞİN FARKINDA

Ekim ayı 2004 yılından bu yana birçok ülkede ‘Siber Güvenlik Farkındalık Ayı’ olarak değerlendiriliyor. Öncelikle ülke olarak siber güvenliğin ne kadar farkındayız?

Ülkemiz siber güvenliğin farkında. Hem de çok ciddi bir farkındalık var ve bu beni çok mutlu ediyor. Çünkü bu farkındalık düzeyine gelmek için yaklaşık 20 sene çalıştık. 20 sene uğraşanların başında geliyorum. Devlet içerisinde bu bilinci yaratacağız diye sadece Türk Ceza Kanunu’nda bilişim suçlarının yer alması için uzun yıllar çalıştık. Elektronik imza kanunu için 7 sene uğraştık. Daha sonra iş siber güvenlik tarafına geldi. Siber saldırılar devletin bunun bilincinde olması, ona göre hazırlık yapması, özel sektör ve kamu kuruluşlarında siber olaylara müdahale ekiplerin oluşturulması için devlet gerçekten son 10 sene çok çalıştı, çalışıyor. Ayrıca devletin bu konuda ciddi yatırımları da var. Sadece farkındalık değil parasal anlamda da ciddi kaynaklar aktarıldı. Bu anlamda Türkiye dünyada bir hayli iyi noktada. Peki bu yeterli mi? Elbette değil.

Siber güvenlik bilinçlendirilmesinde hangi faktörler yer alıyor?

Siber güvenlik bilinçlendirilmesinde birkaç tane faktör var. Bu faktörlerden bir tanesi bu bilincin yaratılabilmesi için eğitim. Siber güvenlik konusunda ilkokuldan başlayarak, üniversite son sınıfa kadar insanların eğitilmesi gerekiyor. Çünkü bu konu dün başlanan yarın bitecek bir problem değil. Önümüzdeki 20 sene sonra da bu problemler ortaya çıkacak. Dolayısıyla siber güvenlik konusunda ilk önce kişileri eğitmeniz gerekiyor. Sonra da altyapı yatırımlarında çok ileri gitmiş olmanız lazım. Öncelikle internetin her tarafta ve çok hızlı olması lazım. Cep telefonu, tablet ve bilgisayar gibi teknolojik araçların da ülkenizde ucuza alınabilir ve kolay erişilebilir, üretilebilir noktada olması gerekiyor. Hepsinin ötesinde kendi uydunuzun olması lazım.

ÜÇLÜ HALKA ÇOK ÖNEMLİ

Türkiye uydu ve teknolojik konusunda hangi noktada?

Türkiye yeni yeni o noktaya geliyor. Bir aksilik olmazsa ülke olarak önümüzdeki 3-5 sene içerisinde uydu konusunda büyük problemlerin büyük bir kısmını çözmüş olacağız. Elbette uyduyu kendiniz tasarlamalısınız, kendiniz yapmalısınız ve kendiniz fırlatmalısınız. Bu üçlü halkanın herhangi bir tanesi eksik olduğunda dışarıya bağımlı oluyorsunuz. Oysaki siber güvenlik iletişimin omurgasında uydular yer alıyor. Ve uydu teknolojisini kendi ülkenizde, kendi mutfağınızda pişiriyor olmalısınız. Başkasının mutfağından gelen uydu ile yürümek mümkün değil. Bu konuda Türkiye ciddi bir yol aldı, birkaç sene içerisinde kendi uydumuzu fırlatır hale geleceğiz. Tasarım yapabiliyoruz, üretimde de büyük bir aşama kaydettik ama üretimi de yüzde 100 yapıp Türkiye’de fırlatabilmeliyiz. Yani uydu fırlatma teknolojimizin olması lazım. Bu da uzay sanayine yatırım yapmayı gerektiriyor.

BU BİR VİZYON YOKSUNLUĞUDUR

Türkiye Uzay Ajansı ile ilgili neler söylemek istersiniz?

Türkiye Uzay Ajansı kurulduğunda “Ne gerek vardı” dendi. Bu bence vizyon yoksunluğudur. Bu konunun partilerle bir ilgisi yok. Bu bir devlet yatırımıdır. Uzay Ajansı’nın ülkemizde 40 sene önce açılması gerekiyordu. Ne yapalım, yeni açabildik. İstediğimiz noktada mı? Tabii ki değil ama geleceğiz. Dolayısıyla bu gibi konuları parti ya da siyasi aracı olarak görmemek gerekiyor. Bu konuların siyasetle alakası yok. Yol gibi, köprü gibi ajanslarınız da olacak, olmalı. Uzay ajansınız da olacak, deniz ajansınız da olacak. 100 yıl sonra da bizim çocuklarımız bu devlet için yaşayacaksa bu yatırımları yapmak gerekiyor. Dolayısıyla siber güvenlikte de en kritik konu uzay ajansı, uydular. Bunlara mutlaka hakim olmamız gerekiyor. Hala cep telefonlarını satın alıyoruz. Kendi cep telefonlarımızı kendimiz üretmediğimiz sürece, kullandığımız telefonlar yabancı menşeili olduğu sürece siber güvenlikten söz edemeyiz.

Hocam yazılım demişken, ülkemiz yazılım konusunda son dönemde adından söz ettirmeye başladı. Yazılımla ilgili neler söylemek istersiniz?

Yazılım konusunda Türkiye çok iyi noktada. Esas problem yazılımda geldiğimiz noktayı donanımla süslemememiz. Donanımı yazılımda geldiğimiz noktaya getirmeliyiz. Neden peki donanımda aynı noktada değiliz? Basit. Devlet buraya yıllarca yatırım yapmadı. Ben 30 sene önce bunları söyledim. Donanım teknolojisine devlet yatırım yapmadı. Yeni yeni yatırımlar yapılıyor. Tıpkı uçak ve hava sanayisinde olduğu gibi donanımda da yeni yeni yatırımlar yapmaya başladık. Bundan 30 sene önce donanım teknolojisine yatırım yapmış olsaydık, Türkiye bugün çok farklı bir noktada olurdu. Yazılım ucuz, altyapı gerektirmeden yapılabiliyor, bilgisayarı alıp yazılımınızı yapabiliyorsunuz ama o dışarıdan aldığınız bilgisayarı, telefonu kendiniz üretmeye kalktığınızda o zaman donanım devreye giriyor. İşte bu yüzden devletin donanımda yatırım yapması lazım.

DONANIMA YATIRIM YAPMALIYIZ

Bu konuda kendi kendimize yetebilmek için neler yapmalıyız?

Donanımda kendi kendimize yetebilmemiz için sürekli çalışmamız gerekiyor. Yatırım yapacağız, yatırım yapıldıktan sonra insanlar o konuya teşvik edilecek, okullarda dersler ona göre konulacak. Gençlere fırsat verilecek, insanları yeni alanlara yönlendireceksiniz, önlerini açacaksınız. Sürekli bir rekabet ortamında bu insanlar çalışacak. Dolayısıyla da o istediğimiz noktayı yakalayacağız. Ama bunları yapmazsak kombine bir şekilde bu işe yaklaşılmazsa istediğimiz o düzeye asla gelemeyebiliriz. O yüzden her zaman söylediğim gibi kamu kurumlarının kullandığı bilgisayar ve telefonlarının yazılım ve donanımları yerli ve milli olmalıdır. Bunu sağlayacak üretimi yapabiliyor olmak gerekir.

Buradan yola çıkarak Türkiye yeterince siber güvenlik uzmanı yetiştiriyor mu?

Siber güvenlik uzmanı yetiştirmede hala açığımız var ama bu açık süratle kapanıyor. Ben 30-40 sene önce bu işe başladığımda benim dışımda birkaç kişi daha vardı. Bugün toplanalım dediğimizde tüm Türkiye’de birkaç bin kişi toplanabiliriz. Yani durum fena değil ama yeterli de değil. Biraz daha hızlandırmamız lazım. Bu durumu hızlandırırken şuna dikkat etmek gerekir. O da şu; Türkiye’de yanlış bir yaklaşım var. ‘Ne yapalım hadi güvenlik uzmanı yetiştirelim. Bunun için bir özel üniversite ve siber güvenlik mühendisliği bölümü açalım.’ Bu böyle bir şey değil. Güvenlik bir üst düzey eğitimidir. Yani siz bilgisayar, yazılım, elektrik elektronik mühendisliği bölümlerini bitirirsiniz bu alanların üstüne uzmanlık olarak yüksek lisans ve doktoranızı yapıp öyle mezun olursunuz. Sadece siber güvenlik uzmanı yetiştireceğim diye bölüm açarsanız bir süre sonra bir sürü diploma ile yeni bir işsiz alan açmış olursunuz. Bunun örneklerini de çok yaşadık. Buna dikkat etmek gerekir. Daha kritik olan bir nokta üniversitelerden çok bu işi ortaokul ve lise düzeyine indirmemiz lazım. Bunun için çocukların ilgisini çekecek aktiviteler de yapılmalıdır. Çünkü bu iş genç ve parlak beyinle yapılan bir iştir.

Türk Ceza Kanunu’nda gerekli yaptırımlar var mı?

Buradaki kritik nokta şu; özellikle sosyal medyaya Türkiye gibi bütün dünya hazırlıksız yakalandı. Uygarlık tarihi boyunca birçok kez kırılma noktaları yaşandı. Bilgisayarın icadı da bu kırılmalardan bir tanesi. Bir diğer kırılma noktası sosyal medya oldu. Uygarlık tarihinde gazete, radyo ve televizyonla alınan bilgiler hep tek yönlü oldu. İnternetle birlikte başka bir şey daha yaşandı. Artık tek kaynaktan değil, çok kaynaktan bilgi alınıyor. Bu bilgileri doğrulatma şansımız var. Haberin kaynağını sorgulayabiliyoruz. Yani artık pasif değiliz. İşte bu sosyal medyada eşi benzeri görülmemiş bir şey yarattı. Bir anda herkes olayın içinde oldu. Bu yeni bir dünya ve bu yeni dünyanın kendine özgü algıları var. Mutluluk algısı, üzüntü algısı, suç algısı vb. Bu algıların da yeniden tanımlanması gerekiyor. Bu sadece bir hukuk grubunun işi değil, sosyologlar ve psikologlar da işin içinde olmalıdır.

Peki hocam, siber güvenlik uzmanı aynı zamanda Hacker mıdır?

Değildir. Bu çok yanlış anlaşılıyor. Etik hacker deniliyor ama etik hacker diye bir şey yok. Firmalar, ‘güvenlik için hacker tuttuk’ diyorlar. Bu çok yanlış. Neden yanlış? Diyelim ki siz bir iş insanız ve tehditler alıyorsunuz. Kendinizi korumak için 3 kişiyi öldürmüş bir katili güvenlik olarak tutar mısınız? Elbette tutmazsınız… Firmanızı siber saldırılara karşı hackerla korumak bununla aynı şey. Böyle bir şey olmaz. Hacker düzene, sisteme karşı duran kişilerdir. Ben bu adamı beni koruması için tutamam. Olmaz böyle bir şey. Dolayısıyla hacker, siber güvenlik uzmanı değildir olmamalıdır. Şirketler bunun farkında olmalıdır.