Bilgi güvenliği uzmanı Adil Burak Sadıç, yolcu uçaklarının Wi-fi üzerinden siber saldırıya uğrayabileceği endişesinin gerçek olduğunu belirtti. Sadıç ayrıca, Türkiye’nin alarm veren güvenlik uzmanı açığını kapatması gerektiği ifade etti.
PwC Türkiye Bilgi Güvenliği ve Siber Güvenlik Hizmetleri Lideri Burak Sadıç ile Girne Amerikan Üniversitesi’nde düzenlenen CypSec 2015 güvenlik konferansı için bir araya geldik. Sadıç ile Türkiye genelinde yaşanan elektrik kesintisinden devlet ve özel sektördeki güvenlik uzmanı açığına ve son günlerde sıkça konuşulan biri olan yolcu uçağı hack’leme konusunu ele aldık.
DijitalX’e konuşan Sadıç, yolcu uçaklarının siber saldırıya uğrama riski olduğunu belirterek Türk bir uzman olarak bu konuda merakımı giderirken, Türkiye’nin güvenlik alanındaki açıklarını sıraladı. Tam zamanlı güvenlik çalışanı 500 civarında olan Türkiye, uluslararası saldırılara açık durumda. Bu yüzden siber güvenlikle bağlantılı olmayan bölümlerden mezun olan binlerce kişi kendilerine yeni bir alan seçmeyi düşünebilir.
Türkiye’de siber güvenlik alanındaki gözlemlediğiniz gelişmeler nedir?
Türkiye’deki gelişmeler eksik olarak belirse de güzel bir şekilde başladı. Özellikle 2011’de yapılan toplantılar sonucunda 2012’de belirlenen siber mücadele stratejisi kapsamında çalışmalara başlandı. 2012’de yayınlanan yönetmelik kapsamında BDDK tarafından bankalara verilen talimat sonucunda artık senede en az bir kere sızma testleri (pentest) yapılıyor. Ayrıca Haberleşme Genel Müdürlüğü tarafından Haziran 2014’te alınan karar kapsamında hazırlanan bir rehber söz konusu. Belirlenen önlemler arasında kritik altyapıya sahip yerlerde Siber Olaylara Müdahale Ekipleri (SOME) kurulması kararlaştırıldı. Kritik altyapı olarak akla ilk gelecek sektörler enerji, finans, haberleşme, su gibi kritik altyapılar ve ulaştırmayı sayabiliriz.
‘Elektrik kesintisi siber güvenliğin önemini artırdı’
Sadıç, Türkiye’nin birkaç ay önce yaşadığı büyük çaplı elektrik kesintilerinin kesin nedeni belli olmasa da iki önemli hususa dikkat çektiğini belirtti: Altyapımız henüz hazırlıksız ve saldırılar çok ciddi sonuçlar doğurabilir:
Bu tür durumlarda Enerji Bakanlığı’nın bir SOME’si bulunması gerekiyor. Öte yandan Türkiye’de Ulusal Siber Olaylara Müdahale Merkezi (USOME) bulunuyor. Türkiye’nin siber olaylarda genel koordinasyonunu yapan bu merkezin tüm ülkelerde de karşılığı bulunuyor. Haziran 2014’te yayımlanan rehbere göre merkezin altında sektörlere göre SOME’ler bulunması gerekli. Ayrıca, Enerji Bakanlığı ve diğer bakanlıkların tüm sektöre hitap edecek kendine ait bir koordinasyon merkezi bulunması öngörülüyor.
Bu altyapının kurulması henüz zaman gerektiriyor. Eğer mevcut olsaydı, siber saldırı olması halinde hangi santralin saldırıya uğrayacağını anlayacaktık. Saldırıya uğrayan tesis bulunduğu sektöre bağlı olan SOME’ye ihbarda bulunacak ve ardından USOME devreye girecekti. Söz konusu altyapı yerleştiğinde benzer olayların siber saldırı olup olmadığını belirleyip anında tepki verebileceğiz.
Siber saldırı olup olmadığı belli olmasa da, geniş çaplı elektrik kesintisi gibi bir durumun yaşanabilecek olması bile korkutucu. Bu tür bir saldırının düzenlenmesi hiç kolay değil ancak kamuoyu artık böyle bir risk olduğunu biliyor. Hatta mecliste bu konu hakkında bir soru önergesi bile iletildi.
‘Özel sektör işbirliğine kapılarını açmalı’
Sadıç, Türkiye’deki siber güvenlik altyapısının güçlenmesi için işbirliğinin hızla güçlenmesi gerektiğini belirtti:
Şu anki durumumuzu çok iç açıcı bulmuyorum ancak Türkiye güzel gelişmelere doğru yol alıyor ve çaba sarf ediyor. Devletin destekleriyle beraber belli adımlar atılmaya başlanmış olması siber güvenlik alanında bir amacımız olduğunu gösteriyor.
Türkiye’de en kritik nokta, özel sektörün ne kadar hazırlıklı olduğu. Dış ülkelerde özel sektörde farklı yapılarda işbirliği olduğunu görüyorsunuz ancak Türkiye’de halen bu söz konusu değil. Bilgi güvenliği danışmanlık şirketleriyle hareket edilen bir çatı oluşmamış durumda. Devletin yetiştirmiş olduğu personel sayısı da mevcut ihtiyaçları karşılamaktan uzak. Güvenlik firmaları danışman, şirketler ise güvenlik uzmanı bulmakta zorlanıyor.
Örneğin kendi firmamıza almak için aradığımız uzmanların üniversite bitirmiş ve ileri derecede İngilizce biliyor olması gerekli. Ancak her sene uzmanlığa adım atabilecek 50 kişi bile çıkmıyor.
Benim gibi İşletme mezunları da siber güvenlik uzmanı olabilir mi?
Kesinlikle. İşletme, turizm gibi tamamen farklı alanlardan mezun kişiler siber güvenliği teknik kısmına meraklıysa kendilerini geliştirebilir ve uzman olabilir. Tabii siber güvenlikte bir başka boyutta söz konusu. Bu da krizin yönetilmesi.
Krizin işletmenin finansal kaynaklarına olacak etkisi, insan kaynaklarının yönetimi, halkla ilişkiler gibi dışarıdan bakıldığında görülmeyen birçok husus var. Örneğin geçtiğimiz yıl uluslararası bir banka çok sayıda müşterisinin kredi kartı bilgilerinin çalındığını açıkladı. Bence bu aşamada izledikleri strateji çok doğruydu. Saldırıyı saklamak yerine duyurdular ve uyarıda bulundular. Ancak basın saldırıyı çok farklı bir şekilde duysa ve haber yapsa, algı tamamen farklı olabilirdi.
Ülke olarak siber stratejideki eksiğimiz nedir?
Siber güvenlik denildiğinde sadece Batı değil, Çin ve Rusya’da olmak üzere tüm coğrafyalar ele alınarak değerlendirme yapmalıyız. Siber alanda öne çıkan Batı ve Doğu ülkeleri Türkiye’den çok daha erken yola çıktılar. 1990’lı yıllarda başlattıkları çalışmalarda 2010’lu yıllara gelindiğinde olgunluğa eriştiler. Bugün binlerce üyesi olan siber ordulara sahip devletlerle kıyaslandığında Türkiye daha yolun başında denebilir.
Mevzuat yeni oluşmaya başlamış olmasına rağmen o konuda da geriden geliyoruz. Çünkü özellikle Batı ülkelerinde siber güvenlik danışmanlık firmaları mevzuat ve standart yönetmeliklerle uğraşmazken, Türkiye’deki firmalarda bunlar daha yeni yeni oturuyor.[quote_box_right]Bilgisayar veya elektronik bölümünden mezun olmayan kişiler siber güvenlik uzmanı olabilir.[/quote_box_right]
Kurumların bu aşamada adım atması çok önemli çünkü belli standartlara uydukları için yatırımlarında geri dönüşlerde o kadar başarılı oluyor. Ayrıca bütçe çıkarmak çok daha kolaylaşıyor. Örneğin yönetmelik kapsamında enerji firmaları bir güvenlik lisansı almak zorundaysa bunu yapıyorlar, aksi takdirde almıyorlar. Bu durum bir firmanın yönetim kurulu başkanına kadar uzanan bir konu olduğu için göz ardı edilmemesi gereken bir unsuru temsil ediyor.
Türkiye’de hızla yapılması gereken üç şey; özel sektörde işbirliği, üniversite destekli eğitimler ve mevzuat ile standartların yerleşik hale gelmesi.
Uçakların Wi-fi üzerinden siber saldırıya uğraması mümkün mü?
Sadıç, son günlerde gündemde olan yolcu uçaklarına siber saldırı düzenlenebileceği iddiasını doğruladı. ABD Federal Havacılık İdaresi (FAA) ve Sayıştayı (GAO) tarafından sunulan raporlar, söz konusu tehdidin gerçek olduğunu belirtirken, United Airlines güvenlik açıklarını bulacak whitehacker’lara ödül verileceğini açıklamıştı. Sadıç, FBI tarafından tekrarlanan uyarının ciddi olduğunu belirtti:[quote_box_right]Wii-fi ile binlerce metre mesafeden uçakların bilgisayar sistemine erişilebilir.[/quote_box_right]
Maalesef güvenlikteki temel prensip bizi korkutan prensip. Çünkü siz bir şekilde bağlantıyı kurduğunuz anda o bağlantı kırılabilir. Uçaklardaki temel sorun da bu çünkü bağlantı tek taraflı yapılabilir. Siz sadece uçaktan bağlantı yapabilirsiniz veya uçak içindeki yolcuların sistemlerine de girilebilir. İnternette üzerinde mesafe kavramı ortadan kalktığı için yerden 10-20 km yükseklikteki bir uçak etkilenebilir. Siber saldırı atmosfer dışından, uydular aracılığıyla da yapılabilir.
Tesisler için en büyük sorun mesafenin ortadan kalkmış olması. Siz şehirden kilometrelerce uzakta kırsal bölgede bir üretim tesisi kurmuş olabilirsiniz. Ancak oraya uzanan bir internet erişimi varsa tehlike mesafesi sıfıra iner. Uçağın havada olması önemli değil, gerekli olan tek şey internet bağlantısı. Açıkçası bir güvenlik uzmanı olarak bu ihtimal beni ürkütüyor.
Akıllı arabalar ve IoT ne kadar endişe verici?
Sigortacılara yaptığım bir konuşmada akıllı araçların kazaları azaltacak olsa da aslında güvenlik açısından riskli olduğuna değindim. Akıllı araçları bir yana koyun, bugün yeni model araçlarda en az 30 tane bilgisayar var ve her biri saldırı imkanı demek.
En basitinden kötü niyetli birisi park sensörünüzü kapatsa aracınızı çarpabilirsiniz. Son model araçlarda üreticilerin bilgisayarlardaki yazılımı uzaktan güncellemesini sağlamak için internet yazılımı da bulunuyor.
Yeni teknolojilerin sunacağı fayda ve tehditlerin orta noktası var mı?
Sadıç’a göre geri çevrilemez teknolojilerin güvenli olmasını sağlamanın en iyi yolu kimlik kontrolü. Ancak bu tüm endişelere çözüm değil.
Robotlar gibi akıllı araçlar ve Iot geri dönüşü olmayan teknolojiler. ‘Kullanmayacağız’ dememiz şu noktadan sonra mümkün değil. Yapabileceğimiz tek şey şahsen izole bir yere gidip teknolojiden elimizi ayağımızı çekerek yaşamak olur ki bunu birçoğumuz yapamayız. Sonuçta bir gün akıllı arabaları sürmeye başlayacağız.
İleride güvenlik açısından en önemli kriterin ‘kimlik yönetimi’ olacağını düşünüyorum. Bu sayede en azından cihaz ve araçları kimin kullandığı tanımlanabilecek. Sistemleri korumak zorlaşsa da ‘kimin kullandığı ve ne işlemler yaptığı’ denetlenebilecek.
Örnek olarak akıllı bilekliğiniz, akıllı gözlüğünüz var. Tüm bu cihazları kullanabilmeniz tek bir merkezden yönetilecek ve kimlik taramasıyla doğrulama yapıldıktan sonra mümkün olacak. Hatta bilgiyi kesinleştirmek adına parmak izi, retina taraması gibi yöntemler kullanılacak.
Yine de risk burada bitmiyor. Siz cihaz veya araca dışarıdan izinsiz erişimi engelleseniz de üzerinde bulunduğunuz altyapı sizden bağımsız. Akıllı arabanın üzerinde gittiği yol veya tren hattı buna bir örnek. Akıllı evlerde en endişe verici tehditlerden biri, kapı kilidinizi açmak gibi saldırıların birçok şekilde yapılabilecek olması. Dahası, MRI (manyetik rezonans görüntüleme) gibi elektromanyetik frekans kullanan cihazları kontrol etseler, çok ciddi sorunlar yaşanabilir.