Dün Google servislerinde 1,5 saate yakın sıkıntı yaşandı [1]. Mail, Youtube, drive gibi şifre ile girilen çeşitli servislere bu süre zarfında ulaşılamadı. Bu arada Twitter üzerinde Dağhan Uzgur'un mesajına rastladık. Bu olayın ortaya koyduğu önemli bir duruma işaret ediyordu.
Eğer bu tweeti tıklarsanız, altında da "tam dersteydik, iletişim koptu" gibi bazı cevaplar göreceksiniz. Yani tam da Dağhan Uzgur'un uyardığı konu olmuş.
Şunu daha önce de yazmıştık; 7 temmuz 2019 tarihli Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi'nde, kamu kurumlarının yerli haberleşme sistemleri, yerli depolama gibi uygulamalar kullanılması zorunluluğu getirilmişti[2].
Yani üniversite ya da diğer devlet kurumlarında, belediyelerde çalışanların Gmail, Hotmail, outlook gibi yerli olmayan mailler yerine bizzat yerli mailler olması gerektiği kaydedildi.
Ama Uzgur'un mesajına bakarsanız, o günden bu yana geçen 1,5 yılda bir gelişme olmamış ve 40 kadar devlet üniversitesi Gmail ve 20 kadar devlet üniversitesi Office 365 mail sistemi kullanılıyor. Vakıf üniversitelerine bakmadık. Baksaydık sayı daha yüksekti. Ama biz devlet tarafına bakıyoruz.
Peki neden devlet üniversiteleri bunu yapıyor? Olanakları eksik olduğu için yapıyorlar? Yaparken de ne sakıncaları olabilir? Bunu hem Dağhan Uzgur, hem de Prof. Dr. Kürşat Çağıltay'a sorduk. Sonra kendi düşüncemizi de ekledik. Aşağıda bunları görebilirsiniz.
Bugün Türkiye'de Bilgisayar Mühendisi yetiştiren 206 bölüm var (aynı üniversite içinde yazılım mühendisliği gibi farklı isimler altında olabiliyor). Zaman zaman bölüm hocalarının bu öğrenciler için şirketlerde staj imkanı da aranıyor. Acaba bu öğrenciler bizzat kendi üniversitelerinin bilgi işlem merkezlerinin mail sunucuları kurarak da staj yapamazlar mı?
Dağhan Uzgur'a mesajının daha detaylı açıklamasını sorduk. Şunları söyledi:
"2016 yılından bugüne aralıklı olarak kamunun yurtdışı internet servis kullanımı ve önemli verinin yurtdışına çıkartılması nedeniyle oluşan güvenlik zaafiyetleri hakkında bilgilendirmeler yapıyorum.
Cumhurbaşkanlığı genelgeleriyle özel iletişim sistemlerinin yurtiçinde olması gerektiği sürekli dile getiriliyor. Son olarak 6 Temmuz 2019 tarihli 2019/12 sayılı Cumhurbaşkanlığı Genelgesi’nde kamu kurum ve kuruluşlarının verilerini yurtiçinde barındırmaları konusunda net talepler yer alıyordu. Ancak ücretsiz olması ve yeterli teknik bilgiye sahip personeli olmayan üniversitelerin e-posta servislerini Google ve Microsoft üzerinden kullanmaya devam etmesi ciddi güvenlik sorunlarını da beraberinde getiriyor.
Yayımlanan genelgelerdeki hükümleri uygulamamaya devam eden üniversitelerin bugün yaşanan genel Google kesintisi nedeniyle e-posta servisleri çalışamaz duruma geldi. Bununla birlikte üniversite içindeki tüm yazışmaların ABD merkezli servis sağlayıcıların sunucularında barındırılması büyük bir hata. Bildiğimiz internetin icat olduğu, geliştirildiği hatta Türkiye’ye internetin girişinin üniversiteler vasıtasıyla olduğu düşünüldüğünde, e-posta servisini kendi içinde kuramayan üniversitelerin varlığı bence büyük bir ayıptır.
Hele ki bir de bilgisayar mühendisliği bölümü olup, ABD merkezli e-posta sağlayıcılarından hizmet alan üniversite yönetimleri kendi bölümlerine de haksızlık etmektedir. Servislerin üniversite bilgi işlemleri tarafından işletilmesi güvenlik yanında öğrencilerin gelişmesi açısından da çok önemlidir.
Aralıklı olarak ABD merkezli e-posta servis sağlayıcılardan hizmet alan üniversiteleri herkese açık servislerle sorgulayarak listeler oluşturmaktayız. 14 Aralık itibari ile e-posta servislerini yönetme yetenekleri olmadığı için hazır servis kullanan üniversitelerimizin listesi aşağıdaki şekildedir.
Google servisini kullananlar:
atu.edu.tr alanya.edu.tr mgu.edu.tr asbu.edu.tr ardahan.edu.tr artvin.edu.tr adu.edu.tr bandirma.edu.tr btu.edu.tr uludag.edu.tr comu.edu.tr erzurum.edu.tr firat.edu.tr giresun.edu.tr hakkari.edu.tr inonu.edu.tr iste.edu.tr istanbul.edu.tr istanbulc.edu.tr ahievran.edu.tr ktun.edu.tr dumlupinar.edu.tr ksbu.edu.tr ozal.edu.tr artuklu.edu.tr mersin.edu.tr alparslan.edu.tr erdogan.edu.tr subu.edu.tr sakarya.edu.tr samsun.edu.tr siirt.edu.tr tarsus.edu.tr nku.edu.tr trabzon.edu.tr tau.edu.tr usak.edu.tr yyu.edu.tr
Office365 servisini kullananlar: adiyaman.edu.tr aybu.edu.tr bingol.edu.tr ebyu.edu.tr gtu.edu.tr harran.edu.tr igdir.edu.tr bakircay.edu.tr karabuk.edu.tr kastamonu.edu.tr kku.edu.tr msgsu.edu.tr munzur.edu.tr sbu.edu.tr cumhuriyet.edu.tr sirnak.edu.tr yalova.edu.tr beun.edu.tr."
Peki Cumhurbaşkanlığı genelgesine ve Uzgur'un söylediklerine karşın acaba neden üniversiteler kendi maillerini yönetmiyor da "ürün sizsiniz" ikazlarına rağmen ücretsiz olarak sunulan hizmetleri kullanıyorlar?
Konuyu kendi mail sunucusunu kullanan az sayıda üniversitelerden birisi olan, Orta Doğu Teknik Üniversitesinin, Bilgisayar ve Öğretim Teknolojileri Eğitim Bölümü öğretim üyesi, aynı zamanda ODTÜ Uzaktan Eğitim Merkezi Müdürü, ODTÜ Görsel İşitsel Sistemler Araştırma Uygulama Merkezi’nin de başkanı olan Prof. Dr. Kürşat Çağıltay'a sorduk. Çağıltay şunları söyledi:
"Bu tür servisleri üniversitelerde işletmek hayli zor. Özellikle küçük şehirlerde yer alan ve yeni kurulan üniversiteler çok zorlanıyorlar. Hem para yani cihaz ve depolama alanı açısından, hem eleman, hem güvenlik gibi pek çok açılardan sıkıntılar var. Google tarafından akademik kurumlara sunulan servislerin ücretsiz olması ve servis sürekliliğinin bulunması kurumları bu yola itiyor. Çalışmayan ya da sorunlu çalışan bir e-posta servisi üniversitenin işlerinin aksamasına neden oluyor.
Üniversitelerin kurumları içine internet hizmetlerinin sunulması konusunda çok ciddi kaynak sorunu var. Mesela en önemli darboğaz yaratan unsurlardan birisi e-postalara 'ekli dosyalar'. Kullanıcılar eskiden birbirlerine sadece mesajlar yollarken bugün çok büyük dosyaları da paylaşıyorlar. Google e-posta hesabı olan bir kişi oradan aldığı servisin benzerini üniversitesinden de bekliyor. Her gün gelen yüzbinlerce e-posta nedeniyle disk alanları hızla dolabiliyor. Bizde de benzer sorunlar vardı. Sonra yatırım kararı alındı ve çözüldü. Ama o esnada acaba biz de e-posta servisini dışardan alsak mı diye düşündük. Sonra, bir yangın, deprem vs gibi felaket durumunda ne olacağı problemi var. Tüm kurumsal verileriniz yedekleme yapsanız bile bir anda kaybolabilir. Bizim felaket kurtarma merkezi desteği yapımız var ama çoğu yerde bu imkan yok. Bu tür durumlarla karşılaşmamak için üniversiteler dışarıdan bulut hizmeti alabiliyorlar. Böylece hem donanım yatırımı ve işletimi yapmamış oluyorlar hem de daha az insan gücü kullanıyorlar.
Teknik olarak yetkin insan faktörü en temel sorun olarak karşımızda. Devlet üniversitelerinin pek çoğunun da elini kolunu 'kadro' meselesi bağlıyor. Kadro verseniz de, bu insanları elinizde tutacak maaş veremiyorsunuz. Yüksek maaş verebilsenizde teknik olarak yetkin kişiler özellikle küçük şehirlerde kalmayı tercih etmiyorlar.
Bu konunun geniş kapsamlı düşünülmesi lazım. Mesela devlet üniversitelerinin Internet erişim sorunu TÜBİTAK ULAKBİM tarafından çözülmüştür. Üniversiteler tek tek yurtdışı hat satın almadan akademik omurga üzerinden kaliteli servis almaktadır. Bu servisi bir adım öteye götürüp, merkezi kaynak ayrılarak, bugün Google'un sunduğu hizmetler ULAKBİM tarafından yapabilir. Üniversitelerin e-posta servisleri, Google Drive gibi bulut üstünde disk paylaşım hizmetleri, YouTube benzeri Akademik video paylaşım ortamı ve hatta uzaktan eğitim altyapısı için Öğrenme Yönetim Sistemi destekleri sunulabilir. Bu sayede hem akademik trafiğimiz yurt içinde kalır hem de her kurumun ayrı ayrı donanım/yazılım yatırımı yapıp kaynakların verimsiz harcanmasının önüne geçilebilir. Bazı servislerin bazıları ülke içindeki hizmet sağlayıcı firmalar tarafından da sunulabilir."
Şimdi önce Google'un devlet üniversitelerine Gmail, depolama ve diğer servisleri neden ücretsiz verdiğini düşünelim. Eğer ta 2013 yılında yayımladığımız habere bakarsanız; "bir şey bedavaysa, o zaman ürün sizsiniz" bugünün en önemli ikazlarından birisi. Acaba üniversiteler bu bedava kullandıkları servise karşı ne ödüyorlar? Biliyorlar mı? Ya da biz biliyor muyuz? [3]
Mesela en basitinden, acaba bilgisayar mühendislerinin kariyerlerini mi ödüyoruz? Yani Türkiye'de bilgi birikiminin sığ kalması, mühendislerin eksik bilgi ile mezun olması mı?
Ya da daha başka şeyler var mıdır? Burada düşünün bakalım; acaba gençlerimizin mailleşmesi, ilginç projeler? Pek çok şey akla geliyor.
Bu arada bu firmaların ticari yanında ABD tarafından politik olarak da kullanılan firmalar olduğunu hatırlatalım. Örneğin Microsoft'un ana kablo hatları üzerinde olmayan, kullanımı da Türkiye ile kıyaslandığında daha küçük hacmi olan Yunanistan'da veri merkezi kurması bir anlamda maillerin de Yunanistan'da depolanacağı anlamına gelmiyor mu? Merak edenler için detaylı bir tartışma aşağıda yer alıyor.
Bu arada mail sunucuların kaça mâl olacağını da söyleyelim; burada esas sorun -Çağıltay Hoca'nın da belirttiği gibi- işletim yani "uzman", "depolama", "yedekleme" ve "güvenlik" sorunları. Mail sunucularının yazılımlarını "açık kaynak" ve ücretsiz olarak internette bulabilirsiniz. Bu servisi veren yerel firmalar da var ama hele günümüzde çok büyük eklentilerin kullanıldığı da hesaba katılırsa, bu maillerin işletilmesi, depolanması, yedeklenmesi ve güvenliği önemli.
Dolayısıyla Cumhurbaşkanlığına bir görev düşüyor. Eğer böyle bir genelge yayımlanmışsa, bu genelgenin yerine getirilmesi için üniversitelere gereken kadro ve bütçe desteği sağlanmalı. Eğer her üniversite için bu olanak mümkün değilse, Çağıltay Hoca'nın söylediği gibi Ulak BİM üzerinden bir çalışma yapılmalı. Daha mı pahalıya mal olur? Neye göre?
İki ticari firmanın yani Google ve Microsoft'un yaptığını, bir devlet yapamaz mı? Ya da yapılması için destekler ve sektörün önünü açacak kurallar oluşturamaz mı? Genelge çok güzel ama genelgenin yerine gelmesi için devletin de üstüne düşenleri yapması lazım. Şu an burada herhangi bir farkındalık yok.
Mesela depolama için yabancı firmalar yerine neden Türk firmalarını kullanmıyoruz. Bu firmaların önemli sıkıntıları var ve bunlar BTK ya da Ulaştırma Bakanlığı tarafından yıllardır gözardı ediliyor. Veri merkezleri önlerinin açılmasını bekliyorlar [4]. Onların önlerinin açılması yani para kazanabilmeleri, siber güvenliğin de güçlendirilmesi anlamına gelecek. Örneğin bugün Türk Bankaları, BDDK'nın finansal veriler Türkiye'de kalacak şartına rağmen, geçen yılın sonunda meydana gelen önemli siber saldırıdan bu yana yurtdışından Ddos engelleme hizmeti alıyorlar. Yani bu veriler yurtdışına maalesef gidiyor[5]. Aşağıda bu tür firmaların yaşadıkları sıkıntırlara dair çok daha geniş bir söyleşiyi izleyebilirsiniz.
2007-2008'lerde -adını vermeyeyim- bir vakıf üniversitesinin bilgisayar mühendisliği bölümüne, o günlerde bir kaç önemli saldırıyla birlikte daha henüz yeni konuşulmaya başlanan "siber güvenlik" konusunda ne tür dersler sağladıklarını sorduğumda "oooo biz o konuda çok iyiyiz" cevabı almış ve merakla sormuştum "öyle mi, hangi dersler yani?" Cevap çok hayal kırıklığıydı "bizde bilmem ne akademi var". Bu bilmem ne dediğim bir marka ve o markanın cihazlarını öğreten ücretsiz bir eğitim programı. Üstelik daha sonra bu markanın satılırken içine dinleme aleti takıldığında dair Edward Snowden'in yayımladığı belgeler vardı. Yani cihazın kendisi siber güvenlik sağlamak bir yana veri aktarıyordu. Ama bu bölümden mezun çocuklar, adeta o markanın gönüllü pazarlamacıları haline geliyorlardı.
Bilgisayar mühendisliği bölümlerinde durum parlak değil. Geçen yıl Bilgisayar Mühendisleri Odası (BMO) bir araştırma yayımladı. Buna göre, 206 bölümün ancak yüzde 16'sında 3 ve üzeri profesör var. Bunun yansımasını en basitinden bu mail sunucu işinde görüyoruz.
Biz bu "ÜCRETSİZ" servisleri tercih ettiğimiz ve bunları da yurtdışından aldığımız sürece, üniversitelerden mezun çocuklarımız bir çok bilgiye sahip olamıyor ve biz bu kısır döngüyü kıramadığımız için bilişimde uzmanlaşamıyoruz. Gelecek açısından bir tehlikeyi de bu bahaneyle hatırlatalım.
[1] Google Servislerinde “Kimlik Tanıma” Sorunu Yaşanıyor
[2] Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Hakkında Düşünceler
[4] Devlet “Telekomda Altyapı” Konusunda Maytap mı Geçiyor?
[5] Garanti Siber Saldırısı Türkiye’nin 4 Yıl Sonra Hala Ödevlerini Yapmadığını Gösterdi