Günlerce süregiden siber saldırı konusunda, etrafımıza baktığımızda ya “inkar etmek/üstünü kapatmak” ya da “erişememek” merkezli konuşmalar yapıyoruz, Ama saldırının daha derin nedenlerini konuşan göremedik. Koskacaman Düşünce Merkezi bülten yayınlıyor ve “DDOS nedir, nasıl engellenir” diyor, dünya çapındaki güvenlik şirketi 12 gün sonra ve çoktan düz vatandaşın bile konuştuğu ifadeleri içeren bir değerlendirme yapıyor.
Bu arada yazılarımıza kızanlar olduğunu duyuyorum. Öncelikle “kızanlara bakmadığımızı ama Türkiye’nin geleceğine önem verdiğimizi” ve kızanların da, önce kendilerine kızmaları sonra da Türkiye’ye neler olduğuna ya da olabileceğine odaklanmalarının gerektiğini belirtelim. Örneğin neden bu ülkede “honey pot” yok? Neden 2 yıldır Siber Güvenlik Kurulu / stratejisi yok?
Ama “siber savaşlar” dönemindeyiz. Bu bir ülkeyi çöktürmede ya da İran nükleer santrallarına giren Stuxnet örneğinde olduğu gibi "verilerini yanıltma"da önemli bir savaş türü haline geldi. “Bir musibet bin nasihata eşdeğerdir” diyelim ve bu siber saldırıdan dersimizi öğrenelim. Bu siber saldırı bize hangi eksikleri gösterdi?
Eksikleri özetleyelim;
- Devletin Eksiklikleri
- Telekom Sektöründe Tekel Kalmanın Getirdiği Eksiklikler
- Halkın, Özel Sektörün ve Üniversitelerin Eksiklikleri
şeklinde gruplayalım. Bunların içinde en önemlisi devletin strateji ve eylem üretmesiyse, ikinci önemli eksiklik ülkemizde sadece 250.000 km fiber olmasının acınırlığıdır. Bu rakam bugün 300-500 $/saat karşılığında satın alınabilecek 40 GB’lik saldırılarla bile sıkıntı çekmemize neden oluyor. Bunu hep birlikte görmemiz ve artık dur dememiz lazım. Bu sadece telekom firmalarının sorunu değil, bu bizim ülke olarak, halk olarak sorunumuz.
Şimdi sorunlara detaylı bakalım:
İlgili kurumlar, Strateji ve Eylem Planı eksik, diğer adımlar eksik
Siber güvenli konusunda 2012 yılından başlayarak çalışmalar yapılmaya başlandı[1]. İlgili kanun çıkarıldı. Üstte devletin müsteşarlarının yer aldığı bir siber güvenlik kurulu ve altta özel sektör temsilcileri ile sivil toplum kuruluşlarının yer aldığı bir sivil güvenlik inisiyatifi kuruldu. Teknik ekip olarak da USOM (Ulusal Siber Olaylara Müdahele) ve SOME (Siber Olaylara Müdahele Ekibi) kuruldu. Peki sonra neler oldu?
Siber Güvenlik Stratejisi ve Eylem Planı 2 yıldır yok
2012 itibariyle başlatılan Siber Güvenlik çalışmaları daha sonra durdu. Bunun bir nedeni patlayan siyasi olaylar oldu. Diğer nedeni ise, Bakan’ın değişmesiydi. Dolayısıyla;
- 2013 yılında 2 kere toplan Siber Güvenlik Kurulu, 2014 ve 2015’de hiç toplanmadı. Yapılması kanunla konulan 4 toplantı pas geçildi.
- 2013-2014 yılı için siber güvenlik stratejisi ve eylem planı oluşturulmuştu. Ancak ondan sonra bir daha yapılmadı.
- Haberli hedeflere de olsa, fiziksel siber tatbikatlar yapılırdı. Bunlar bile kapıt üzerinde tatbikatlara dönüştü.
- USOM ve SOME’ler konusu boşlukta kaldı. USOM şimdilerde sadece bilgilendirme yapıyor ama yapılanmasının ve görevinin daha teknik olması gerekirdi.
İnkar yerine açıklık güdülmeli
Siber saldırıyı saklamak günümüzde komik oluyor. Tam tersine açıklamak lazım ki, elbirliği ile sorunu anlayalım, hasar almayı azaltalım ve belki de çözebilelim. Yani üstünü kapatmak yerine açıklıkla rapor vermek lazım çünkü bazen bu saldırılar arkada başka bir şeyleri saklıyor da olabilir.
Ayrıca saklama yolu seçildiğinde, bizim de halk olarak bu konuda “güvenimiz azalıyor”. Çünkü saldırıyı zaten anlıyor ve hissediyoruz. DDOS saldırıların zor saldırılar olduğu da biliniyor. Bir kere başladığında suçlama yerine çözmek için çalışmak lazım. Üstü kapatılınca, demek ki “beceremiyorlar” diye düşünmeye başlıyoruz. En azından güven açısından bunların şeffaf raporlanması lazım.
Komuta Kontrol Sunucuları şimdiye kadar tespit edilebilmeliydi
DDOS saldırıları, dağıtık gelir ama aslında bir veya bir kaç merkezden emir alır. Siber mücadele ise, saldırının etkisini azaltmak kadar, bu zinciri kırmak ve hatta kumanda merkezlerini tespit edip, indirmek için çalışılır. Bu da “honey pot” denilen sistemler gibi sistemler kurularak yapılır. Bunu yapacak olan ulusal yapıdır yani USOM gibi bir merkez şimdiye kadar geçen 10 günde bunu yapabilmeliydi. Ama biz bunu göremedik[2].
Devletin IT bölümleri arasında itişme ve kuru rekabet değil işbirliği olmalıdır
Hep duyduğumuz bir sorun da, devlette IT bölümleri arasında birlikte çalışma kültürü - koordinasyonun zayıf olmasıdır. Bu da önemli bir sorun olarak duruyor. Stratejik bakışları yok (ya da bazı kurumlarda bütün IT stratejisi "Microsoft lisansını kaç tane almak" üzerine kurulu). Oysa siber güvenlik bir bütün olarak davranmayı gerektiriyor.
Siber güvenlikte kritik varlık envanteri
Acaba bu ülkenin siber güvenlik açısından en önemli varlıkları nelerdir? Mesela 31 marta kesilen elektrik sistemi, hayatımızı felç etmişti. Acaba bu siber saldırı mıydı? [3]. Hala bilmiyoruz. Ya da başka hangi varlıklarımız önemli? Saldırı yediler mi? Bunu bilen var mı?
Güvenlik artık tek başına yapılabilecek bir fonksiyon değildir. Bu fonksiyonu koordineli ve işbirliği içinde, yani dünyada olan şeylerden haberdar olarak yürütmek gereklidir. Ama ülkemizde bunları da göremiyoruz. Nato Siber Güvenlik Mükemmeliyet merkezine bile yeni üye olunmuş durumdayız.
Türk halkı ve yerel şirketler / kurumlar olarak halkla ilişkilerden hiç anlamıyoruz. Bunu kesinlikle söyleyebiliriz. Yaptığımız çok güzel şeyleri bile tanıtamıyoruz. Çünkü Halkla İlişkiler bilincimiz de zayıf.
Ama şimdi bu konuya daha çok önem verilmesi gereken bir durum var. Son dönemde, İngilizce-Almanca yayınlarda sürekli Türkiye aleyhine haberler oluyor. Bu da, bırakın ülkeleri, bu tür saldırılara meraklı fanatikleri bile saldırı yapmaya yönlendirebilir. Bu haberlerin halkla ilişkiler atakları ile sönümlendirilmek lazım ama bu haberler çıktığında devlet aldırmıyor ve sinirleniyor durumunda. Konunun içeriği ayrı bir şey ama acilen bu ülkenin sağlam ve “biz IŞID ile işbirliği yapmıyoruz” dışında bir halkla ilişkiler atağına ihtiyacı var.
Bu tür konular sadece prestij kaybı anlamına gelmiyor. Aynı zamanda para kaybına yol açıyor. Bankaların çalışamadığı sürede, yapılamayan bankacılık ve POS işlemleri acaba ne kadardı?
Ülkemizde 1990'lardan itibaren telekomünikasyon sektöründe serbestleşme ve özelleştirme hedeflendi. Bu amaçla 2000 yılında sektöre bir düzenleyici kuruldu; BTK ve 2004 yılında serbestleşmenin adımı olarak lisanslar ilan edildi. 2005 yılında ise Türk Telekom özelleştirildi. Ama geldiğimiz noktada ne serbestlikten, ne de tekelin yokolduğundan veya rekabetin kurulduğundan bahsedebiliriz.
Bunun pazara ve tüketiciye ticari anlamda ve kaybolan değerler (para ve hatta eleman) açısından zararları ayrı bir yazı konusu ama siber güvenliğe zararlarını şimdi aşağıda anlatacağız;
BTK hatasını kapatmak için uzun zamandır mobil interneti de konunun içine ilave ederek bir şeyler söylüyor ama bir ülkenin esas haberleşme altyapısı “sabit altyapıdır”.
Sırası gelmişken de vurgulayalım; "Bu altyapı, Türkiye’ye ve Türk halkına aittir (başka ülkelerde de o ülkelere aittir)". Sanıldığının aksine bir firmaya ait değildir. Sadece “kullanım imtiyazı” verilir. Türkiye'de bu imtiyaz 2026 yılına kadar diye verilmiştir. Bunu alan firmanın para kazanma hakkı ne kadar varsa, o kadar da yatırım yapma mecburiyeti vardır ve ama bu mecburiyeti devlet nedense zorlamamaktadır.
Devletin bu hakkı zorlamaması da, halkın hakkının kaybı anlamına gelmektedir. Bunu tam olarak anlatalım;
Fiber miktarının eksikliğini başka ülkelerle kıyaslayarak örnekleyelim; çünkü aksi takdirde bir genel müdür adeta zekamıza hakaret ederek “biz yatırım yaptık diğerleri yapmadı” demeye çekinmiyor.
İlk örneğimiz; Orta düzey bir Avrupa ülkesi ve bizim yüzölçümümüzün 8’de birisi olan Portekiz’de 2014 sonunda 550.000 km fiber vardır. Ülkemiz kadar büyük olsaydı Portekiz’in fiber düzeyi ne olurdu diye bakarak 8 ile çarparsanız; 550.000 x 8 = 4.5 milyon km yani ülkemiz Portekiz düzeyinde olsaydı 4.5 milyon km fiberi olmalıydı.
Ama bir de geri kalmış Afrika ülkesi örnekleyelim, 2011 sonunda Gana’da 660.000 km fiber vardı. Bu ülke bizim 1/3’ümüz büyüklükte. Yani bizim kadar olsaydı 660.000 x 3 = 1,9 milyon km fiberi olurdu. Üstelik onların 2011 rakamlarıyla...
Yani ortalama Avrupa ülkesine göre 4,5 milyon km, geri kalmış Afrika ülkesinin 2011 rakamlarına göre 1,9 milyon km...
Oysa Türkiye’nin sadece 250.000 km fiberi var.
Olması gerekenin 10'da biri, 20'de biri.
Bunun 150.000 km’si zaten Özelleştirmeden önce yani 2005’de mevcuttu. Üzerine diğer firmalar 50.000km yaptı. İmtiyaz hakkını ve yatırım mecburiyetini elinde tutan Türk Telekom ise diğer 50.000 km’yi (yani 10 yılda yıllık 5.000 km) yaptı.
Şimdi biz bu 250.000 km ile 8’de birimiz olan Portekiz ve 3/1’imiz olan Gana’nın önüne geçip, dünyanın en büyük 10cu ekonomisi mi olacağız? Bankalarımız, ihracatçılarımız, eğitim kurumlarımız bu ülkelerin önüne geçebilecek mi?
Tamam bunu bir kenara bırakalım ama zaman zaman 120 GB ya da 250 GB boyutlarına ulaşsa da, 40 GB’ler düzeyindeki bir saldırı ülkemizi üzebiliyor. İnternet erişimini sıkıntıya sokabiliyor. Bunun nedeni de aynı. Ülkemizin 3-4 milyon km düzeyinde fiber yerine sadece 250.000 km fibere sahip olması, bugün bu sofistike olmayan, son derece basit saldırı ile bizi üzdü.
Alın size 2 yanlış strateji daha; rekabeti serbestleştirmek yerine, bugünlerde 2-3 firmanın tekel olacağı Stcokholm methodu denilen bir fiber altyapı şirketini konuşuyoruz.
Daha komiği ya da anlaşılmazı, İstanbul Büyükşehir Belediyesi, kendi işine bakacağına telekomculuğa soyunuyor ve altyapı şirketi kuruyor. Neden ki? Belediye'nin telekocumluk oynama görevi mi var? Ya da halkının üzerinden kar etme derdi mi?
Belediye iyi bir şey yapmak istiyorsa, cep telefonlarının metrodan içeriden dışarıyı araması için istediği fahiş baz istasyonu kiralarından vazgeçsin. İyi bir şey yapmak istiyorsa, 5 yıldır, halkın haberleşmesi önüne koyduğu engeli kaldırıp, fiber altyapılar için telekom firmalarına yasal kazı izni vermeye başlasın da, "şu sokakta fiber varken, bizde niye yok" diyenler rahatlasın.
Bunların yanlışlığını bir başka yazıda anlatacağız. Ama tekelin getirdiği teknik hatalar bununla sınırlı da değil. Şimdi diğer teknik sorunlara hem de bazılarının çok aptalca olduğu diğer sorunlara bakalım;
Yurtdışı bağlantılarımızın modası geçmiş:
2012 verilerine bakarsanız, siber saldırıların maksimum boyutlarının 200 GB’lerde olduğunu görürsünüz, bugün bu rakam 400 GB’lere ulaşmış durumda.
Ama biz yurtdışı bağlantılarımızı gelişen teknolojiye göre değil değişen modellerde değil hala eski model alıyoruz. Yani bugün pazarda 100 GBps portlar üzerinden yurtdışı erişim alınma imkanı bulunabiliyor. Ama belki eski alışkanlık, belki yatırımdan kaçmak olsa gerek bunların yerine aynı kapasiteyi 10 GBps x 10 adet şeklinde kullandığımız bir yapımız var. Bunun anlamı ise, 10Gbps lik sadece 1 adet linkin dolması ile 100 Gbps’lik yapının hepsinin birden çökmesi, yani siber saldırıya daha çabuk yenilmektir.
Yurtdışından gelen trafik için herhangi bir yönetim yapılmıyor
Hala yurtdışı trafiğini tek firma yapıyor. Diğerlerine izin verilmiyor. Bunun sonucunda ise, bu tek firmanın teknik bilgi seviyesi ile karşı karşıyayız. Örneğin yurtdışı için bir yönetim görülmüyor. Bu nedenle de, son siber saldırıda olduğu gibi, bir nedenle yurtdışı tafiği kapatılması gerektiği durumlarda --ülke içi hizmet alanlara sadece bir açıp/kapatma anahtarı verilmesi nedeniyle-- Türiye'den erişim tüm dünyaya aynı anda kesiliyor.
Halbuki dünyada bunun karşılığı olarak bölgesel, kıtasal olarak erişim kısıtlamak ve saldırı trafiğini yönetmek mümkün olabiliyor.
Ülke içindeki BOT şebekeleri temizlenmesinde ISP’ler zayıf kalmış durumda
Zaman zaman ITU (Dünya Telekom Birliği) tarafından da yapılan uyarılarda ülkemizdeki trojanla bulaşmış bilgisayar sayısının yüksekliğinin yanısıra BOT yönetimleri de olduğundan bahsedilir. Bu nedenle bir siber saldırıda, yurtdışından olduğu kadar, yurtiçinden de saldırı yapılabiliyor. Bu botların varlığı, güvenlik firmalarının anlık raporlarında bile görülmektedir. Ama ISP’lerin bunlarla uğraştıkları söylenemez. Bunu turk-internet.com olarak bir kaç kere ISP ismi de vererek raporlamıştık.
Uluslararası taşıyıcıların ülkemizde servis vermesi engelleniyor
Google, Microsoft vs gibi büyük firmalar neden gelip sunucularını ülkemize kurmuyor diye merak ediyoruz. Bunun bir nedeni, altyapının düzgün olmaması, diğer nedeni düzenleyici/hukuk altyapısındaki sorunlar ise, üçüncü neden bu taşıyıcıların ülkemize gelmesinin yani rekabetin bizzat engellenmesidir.
Komşumuz Bulgaristan ve Romanya’da ve hatta Dubai’de 100’den fazla taşıyıcının kendi fiberlerini getirip taşıdığı “hub”lar var. Bizde yok. Bunun anlamı ise şudur; siber saldırıya uğradığımızda, bu tür taşıyıcılar olsaydı, ayakta kalabilirdik.
Trafik değişim noktası oluşamıyor
Aynı şekilde, 1 firmanın çifte para kazanmasını sağlamak için Türkiye'de trafik değişim noktası kurulamıyor. Oysa, Balkanlar, Kafkaslar ve Ortadoğu (hatta Afrika ve Uzak Doğu) arasında bir köprü görevi görecek olan böyle bir değişim noktası ülkete para kazandırabilir, güvenlik açısından da avantaj olur. Ama bunu zaten çoktan kaybettik bile[4].
Üstelik bu hareket korunulmaya çalışılan firmanın ne zarar etmesini engelledi, ne de borcunun gittikçe ölçülemez düzeyde yükselmesini.
Bugün bir şekilde bu olayın dışına çıkan herkesten "gördün mü ne oldu?" sözlerini duyunca da şaşırıyorum. Anlaşılan bu olayı uzaylılar yaptı.
- “Dual Homed” denilen abonelik düşük.
Dünyada operatör sayısına bağlı olarak, özellikle kurumların yedekli yani birden fazla operatörden hizmet alma alışkanlığı var. Bu da saldırının bir yerden gelmesi ya da başka bir arıza durumunda, diğer yandan devam edebilmeyi sağlar.
Ama ülkemizde tekel var. Hatta şu anda mevcut olan, topallayarak da ya da küçük kalarak da olsa hayatta kalan küçük firmalar da yok edilmeye çalışılıyor. Oysa mesela bankalar bir büyük telekom firmasında, bir de küçük firmadan hat alabilirler. Ama telekom stratejimizde sorun var. Bunu yapmıyoruz.
Dolayısıyla saldırı geliyor ama biz başka tarafa dönemiyoruz. Saldırıyı atlatamıyoruz. Sistemi kapatıyoruz. Mesela bu hafta yaşadığımız banka saldırılarına bakın.
- Bir daha Tekrarlayalım; Az sayıda firmanın teknik stratejisi ile hareket ediliyor. Bilgi birikimi olamıyor-
Deminden beri anlattıklarımızı okuduysanız, düşünmeniz gereken şey şu; telekom stratejisi = ülkenin geleceği. Yanlış stratejilerin tartışılamaması, farklı tecrübelerin oluşamaması kötü. Az sayıda firmayla verilen servis, ülkemizde bilgi birikimini engelliyor. Farklı teknolojileri denemek, öğrenmek, tecrübe ve bilgi birikimi yapmak mümkün olmuyor.
Zaten telekom firması sayısı az olunca, telekom teknolojisi bilen uzman sayısı da az oluyor. Bugün siber saldırı olduğunu bile hemen farkedemeyişimizin başında bu sorun geliyor.
Bilinç Düşük
Bu siber olayda, medyasıyla, devlet kurumlarıyla, özel sektörüyle, farkındalığın zayıf kaldığı görüldü. Turk-internet.com dışında haberin yer aldığı medya kuruluşu ancak 3 gün sonra olabildi. İkinci gün konuştuğumuz bazı devlet kurumları saldırı olduğundan bile habersizdi.
Özel sektör ise ya farkında değil. Ya da sakladı (en azından duyurmadı, açıklamadı). Örneğin geçtiğimiz hafta bir yandan Nic.TR saldırısı varken Akbank’a da saldırı olmuş ama Akbank bu konuda bir açıklama yapmadı. Oysa Avrupa Birliği geçen hafta bu konuyu bir kanunla pekiştirdi [5] ve siber saldırıya uğrayan kurumların açıklama yapmasını zorunlu hale getirdi.
Üniversitelere gelince; ODTÜ gibi bu saldırıyı başarıyla savuşturmuş ve dünya listelerinde kendisine yer bulabilmiş üniversitelerimizin yanında, maalesef kendi bünyesinde kurulan “filan firmanın bilmemne akademisi” ile övünen ve güvenliği marka bağımlı öğreten üniversitelerimiz var. Bunların da bir an önce kendilerine gelmeleri lazım.
Bu tür saldırılar hepimize finansal açıdan da büyük bir zarar anlamına geliyor. Banka saldırısı sırasında fiziksel POS kullanan binlerce esnaf ile sanal POS kullanan e-ticaretçilerin işlem yapamadığını ve zarara uğradıklarından bahsettiklerini görüyoruz. Hele ki, yılbaşı hediyelerinin alınma zamanı olduğu düşünülürse, saldırının yarın-öbürgün devam etmesi durumunda, sadece POS kullanıcılarının bile zararının çok yüksek olacağı aşikardır. Banka işlemlerindeki ve ödemelerdeki gecikmeler de başka bir sorun tabi ki..
- Devletin hem “Siber Güvenlik” hem de “Telekom’da Tekel” Stratejilerini Gözden Geçirmesi Lazım.. ACİL:.
- Acilen fiber yatırımların önü açılmalı ve bu alanda rekabet sağlanmalıdır.
- USOM ve SOME mekanizması güçlendirilmeli, siber tatbikatlar fiziksel olarak gerçekleştirilmelidir.
- Bu stratejiyi sadece MİT, TİB, BTK gibi devlette masa başında oturan ve gerçek müşteri ile uğraşmayan, saldırılarda eli yanmayan kişilerle oluşturursanız, yanılırsınız. Oluşan strateji sadece teorik olur. Ayrı bir sivil yapı içinde değil, aynı yapının bir parçası olarak değerlendirilmesi şart.
- Son 2-3 yıldır siber güvenlik konusunda devlet hiçbir şey yapmadığı zaman bile, arka planda çalışan Bilgi Güvenliği Derneği ve bağımsız uzmanlar vardı. Bunların bilgi birikimlerini değerlendirmek ve neler dediklerine kulak vermek gerekir.
- Siber saldırılar konusunda “şeffaflık” mekanizmaları oluşturmak gerekir. Çünkü bir saldırı, bir başkasına taban sağlıyor da olabilir.
- Siber saldırılar sadece DDOS değildir. Veri de çalabilir. Nasıl Pasifik’teki 2004 Tsunami ‘si sonrasında uyarı mekanizması kurulduyda bizim de uyarı mekanizmaları oluşturmamız lazım.
- Üniversitelerin siber güvenlik konusunda özgün eğitim vermeleri sağlanmalıdır
- Halk – medya ve özel sektörde farkındalık arttırılmalıdır. Bunun 2.dünya savaşı ya da Kıbrıs Harekatı sırasında verilen eğitimlerden farkı yok.
Bu yazı, 16 farklı uzmanın ortak görüşleri ile oluşturuldu. Uzmanlar bazen bir şeyleri kendi isimleri ile söylemeye de çekiniyorlar ama birilerinin bunları söylemesi lazım.. Bu konu devleti ya da belli sayıda uzmanı değil, finans kurumları, ticari kurumlar ve halkı da etkiliyor.