Sputnik’in haberine göre; Ulaştırma, Denizcilik ve Haberleşme Bakanı Ahmet Arslan, dünya genelinde yaklaşık 150 ülkede 200 binden fazla kişiyi etkileyen siber saldırıyla mücadele için 13 bin ‘beyaz hacker’dan oluşan ‘siber ordu’ kurulduğunu açıkladı. Bakanlık ayrıca, Türkiye’nin 12 Mayıs itibarıyla başlayan WannaCry fidye yazılımı saldırılarını zararsız atlattığını ve güçlenen siber güvenlik ekibi ile savunmanın artarak süreceği yönünde görüş bildirdi. Peki uzmanlar konuyla ilgili ne söylüyor? Bilişim Teknolojileri ve Siber Güvenlik Derneği Yönetim Kurulu Başkanı Yavuz Sultan Selim Yüksel’e Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) siber güvenlik çalışmaları son derece kayda değer olsa da; güvenliği sağlamak konusunda asıl görev birey ve kurumlara düşüyor.
‘TÜRKİYE ÇOK DAHA AZ ZARAR GÖRDÜ’
Yüksel, Türkiye’nin, Türkçe’ye ‘yemleme’ diye çevrilen ve genellikle kişilerin şifre veya kredi kartı ayrıntılarını öğrenmek amacıyla düzenlenen ‘phishing’ saldırılarından son 3-4 yılda çok büyük ölçüde mağduriyet yaşadığını ve bu saldırıların yarattığı bilinç sebebiyle de WannaCry saldırılarından diğer ülkelere göre daha az gördüğünü ifade etti:
“Hacker gruplar, geçtiğimiz aylarda ABD Ulusal Güvenlik Ajansı’nın (NSA), siber silahlarını ele geçirmişti. Bunları kullanarak saldırı vektörü geliştirdiler. Bütün dünya çapında bir çok hastanenin, kurumun, metroların, kamu şirketlerinin sistemleri çöktü. ‘Türkiye, dünyaya göre daha az zarar gördü’ gibi bir tablo var. Ama son 3-4 yıla baktığımızda, phishing (yemleme) konusunda Türkiye çok ciddi zarar görmekte. Biz sürekli bu konuda mağdur bir ülke olduğumuz için, bilinçli bir toplumuz. Bu zararı azaltmış olabilir. Güvenlik duvarı, bir şirketteki kişinin hatası yüzünden o şirketi saldırıya açık hale getirebilir. O yüzden birey önemli. Bankalara yönelik saldırılarda da yetkili personelin rolü ortaya çıktı.”
Bireyin rolünün yanı sıra BTK’nın da göz ardı edilemez çabalarının olduğuna değinen Yüksel “BTK dahil bir çok kurum çeşitli önlemler aldı. Birçok kamu kurumu ve teknoloji blog yazarları da ivedilikle bu saldırılarla ilgili bilgi verdi. Hızlı bir şekilde iletişim halinde olmamız olumluydu. Ancak eleştirilerimiz de olmalı. Siber güvenlik konusunda BTK’nın çalışmaları çok büyük önem arz etse de; Türkiye hala siber güvenlikte dünyanın gerisinde. Bahsedilen siber ordunun yakın gelecekte 13 bin değil 130 bin olmasını umuyoruz” diye ekledi.
‘13 BİN KİŞİYLE ÇÖZÜME ULAŞMAK HAYAL’
Korsan Parti Hareketi üyesi Furkan Kalkan’a göre, bakanlığın kurduğu siber ordunun rolü oldukça cüzi. Sputnik’e açıklama yapan Kalkan “Dünya çapında bankacılık, sağlık, telekomünikasyon, ulaşım gibi hayati öneme sahip sektörlerde çalışan kurumların kısa bir süre içerisinde çalışamaz duruma gelmesine neden olmuş ve küresel paniğe yol açmış bir saldırıdan bahsediyoruz. Bu gibi durumlarda ‘siber ordular’ yetiştirmekten çok kullanıcı eğitimine ve bilgi güvenliği politikalarına yatırım yapmak yerinde olacaktır. Dünya çapında bir çok ünlü bilgi güvenliği, bilgi teknolojileri ve yazılım firmaları şuan WannaCry üzerinde çalışma yürütmekte ve bu zararlı yazılımın ilerlemesini şu an için maalesef engelleyememekte. Yüzbinlerce nitelikli elemanın eş zamanlı olarak çalışarak yapamadığını 13 bin kişilik bir toplulukla çözmek tamamen hayal ürünü bir senaryo olur. Siber ordu kavramı güçlü ulusal bilgi güvenliği politikalarıyla desteklenmediği sürece havada kalıyor. Bu nedenle bu projeyi ‘Her ülke siber ordu kuruyor bizim neden olmasın?’ tarzı bir yaklaşımla kurulmuş ve sürdürülebilirliği olmayan bir proje olarak görüyorum” dedi.
Kullanıcıların temel bilgi güvenliğiyle ilgili bilgi edinmesinin gereğine değinen Kalkan “Hangi işletim sistemini kullanıyorsanız kullanın mutlaka güncellemeleri yapmak, mümkün olduğunca da açık kaynaklı yazılımlar kullanmak gerek. Tabii çevrimdışı yedekleme kullanmak ve mümkünse önemli bilgileri bazı ransomware yazılımları aracılığıyla şifrelemek de önemli” diye ekledi.
‘ÇARE ÖZGÜR YAZILIMLAR’
Sputnik’e görüş bildiren bir diğer isim İngiliz Akademisyen Chris Stephenson’a göre ise, geçmişte daha büyük saldırılar olmuş olmasına rağmen; dünya çapında gerçekleştirilen WannaCry saldırıları, İngiltere’de sağlık sisteminin, Almanya’da tren istasyonlarına ait sistemlerin ve İspanya’da telekom şirketlerinin sistemlerinin çökmesine sebep olduğu için dünyanın dikkatini üzerine topladı.
Saldırının genelde belirli hedefler seçmediğine ancak bu durumun istisnaları olduğuna değinen Stephenson “Örneğin Stuxnet isimli saldırı solucanın NSA tarafından üretilip İran’ın nükleer programına saldırmak için tasarlanan bir araç olduğu iddia ediliyor. Aynı NSA operasyonu bu son WannaCry saldırısında kullanılan programlar üretmiş. NSA’dan sızdırıldığı içın bu saldırı mümkün olmuş.
Saldırılarla baş etmenin yolunun ‘anında savaş değil önlem’ olduğuna değinen Stephenson “Koruma anında savaş ile değil, önlemle yapılacak bir iş. Yani Bilişim politikanın bir sonucu. Kapalı sistemleri kullanıp, cebinizden paa çıkartıp sistemleri yenilemek bu saldırılardan korunma yolu. Bu saldırı en önemli açık artık Microsoft tarafından desteklenmeyen Windows versiyonlarının hala kullanılmasından kaynaklanıyor. Örneğin Windows XP” diye konuştu.
Stephenson “Debian Linux’da da artık Debian topluluğu tarafından güvenlik açısından desteklenmeyen bir versiyon var. Debian 7.0 ve 8.0 devamlı güncelleme alıyor. Ancak Debian 6.0 hala çok yaygın kullanılıyor. Bu sorun çözmek için hala Debian 6.0 kullanan şirketler ve kurumlar bir araya gelip Debian 7.0 ve 8.0 için çıkan bütün güvenlik yamaları Debian 6.0 için geri dönük üretiyorlar. Windows XP için aynı şey mümkün olsaydı, geçen haftanın felaketi olmayacaktı. Ancak Windows Microsoft tekelinde kapalı bir sistem olduğundan ancak Microsoft’a çok yüksek paralar vererek XP’e yamalar almak mümkün.”
Saldırılara karşı korunmak için iki yol olduğuna olduğuna değinen Stephenson “İlla Microsoft gibi kapalı yazılımlar kullanacaksanız, bunları devamlı yenileyeceksiniz, zamanında yamalar uygulayacaksınız ve hiçbir korsan yazılım kullanmayacaksınız. Herhangi bir yazılımın destekten çıktığı anda para vererek yeni versiyonunu alacaksınız. Yani kapalı yazılımı kullanınca bütçe büyük önem kazanıyor. Zira devlet kurumları bütçesizlikten korumasız kalıyor” ifadelerini kullandı. Stephenson “Siber ataklardan korunmak için ya bol para ver ya özgür yazılımı kullan” diye ekledi.
