İstanbul’un Zeytinburnu semtinde oturan eski korsan, yeni etik hacker A.S. isminin açıklanmaması kaydıyla Al-Monitor’a şunları anlatıyor: “İlkokuldan beri bilgisayara meraklıydım. Ortaokulda bu merak bir saplantıya dönüştü. Derslerim zayıftı ama ben günlerimi kod yazarak geçirirdim. İlk başlarda arkadaşlarımın Facebook hesaplarını patlatmak için hobi olarak başlayan korsanlık sonra, zamanla asıl işim oldu. Son bir senedir devlet bünyesinde yarı-zamanlı siber güvenlik uzmanı olarak ve aylık kabaca üç bin beş yüz lira maaşla çalışıyorum.”
“Etik hacker” tanımı yasa dışı işlere bulaşmayan temiz hackerleri tanımlamak için kullanılıyor. 18 yaşındaki gencin hikayesi aslında Türkiye’de sayıları belki de yüzleri bulan diğer pek çok gencin hikayesiyle benzeşiyor. Özellikle son iki senedir siber güvenlik ve siber savaş konularına ilgisi artan hükümet, A.S. gibi binlerce genci tespit edip onları oluşturduğu siber yetenek havuzunda eğitip değerlendirmeyi amaçlıyor.
Türkiye’deki yetenekli gençleri tespit etmek için Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişimi Kurumu (BTK) tarafından organize edilen ve 27 bin gencin katıldığı Siber Yıldızı yarışmasının 16 Mart 2017’deki ödül töreninde konuşan BTK Başkanı Fatih Sayan Türkiye’nin siber alandaki pro-aktif ve önleyici yetenekler kazanması gerektiğine dikkat çekti. Sayan konuşmasında devletin sivil siber yeteneklerini koordine eden BTK’nın ülkenin siber kapasitesini geliştirmek için her türlü kişi ve kurumla iş birliğine hazır olduğunu da söyledi.
2016’da dünyada en çok siber saldırıya uğrayan 10 ülkeden biri olan Türkiye’ye yönelik saldırıların çoğu kamu kurumlarının web sayfalarını çökertme, kritik altyapıları hizmet dışı bırakma veya istihbarat toplama hedefiyle gerçekleştirildi. Türkiye genelinde 700 milyon dolar zarara yol açan mart 2015 ve nisan 2016’daki elektrik kesintilerinin sebebinin de siber saldırılar olduğu biliniyor. Yine 2016’nın aralık ayındaki internet kesintilerinin nedeni de siber saldırılardı. Nitekim Ulaştırma Bakanı Ahmet Arslan da Türkiye’de kamu kurumlarına 2014’te 209 siber saldırı düzenlenirken bu rakamın, 2016’da 8 bin 560’a çıktığını vurguluyor.
Türkiye sadece iki yılda neredeyse 50 kat artan siber saldırılara karşı kamu kuruluşlarıyla eş güdüm, genel anlamda devletin güvenlik düzeyini artırmak ve saldırıların tespiti amacıyla Ulusal Siber Olaylara Müdahale (USOM) birimini kurdu. Bu birim, Türkiye genelinde 400’e yakın merkeziyle şu an faal durumda.
Ulaştırma, Denizcilik ve Haberleşme Bakanlığı Türkiye’nin 2019’a kadar siber güvenlik mimarisini belirleyecek detaylı bir strateji belgesi de yayımladı. Ayrıca yetenekli hackerların tespiti ve onların birbirlerine tecrübe aktarımı için kamu kurumlarının himayesinde pek çok toplantı ve siber zirve de düzenlendi. Son iki yıldır siber güvenlik alanında dergi, bülten gibi pek çok süreli yayım da hayata geçirildi.
Öte yandan, sivil alandaki siber faaliyetlere bir ilgi patlaması yaşanırken askeri boyuttaki gayretler henüz emekleme aşamasında. Özellikle 15 Temmuz’daki askeri kalkışmanın ardından yaşanan ihraçlarla TSK’nın bu alandaki entelektüel kapasitesi büyük darbe aldı. 2013 yılında TSK bünyesinde kurulan Siber Savunma Komutanlığı’na ve 2015’te bilgi-teknoloji güvenliğinin Milli Güvenlik Siyaseti Belgesi’ne girmesine rağmen bu konuda henüz stratejik bir vizyon belgesi ve bir yol haritası geliştirilmiş değil. Bu alanda henüz bir taarruz yeteneği bulunmayan TSK’nın savunma konusundaki yetenekleri de sadece NATO’nun siber tatbikatlarıyla sınırlı.
Al-Monitor’a konuşan siber güvenlik uzmanı Alper Başaran siber savaşın zaten düzenli ordular tarafından düzenlenen konvansiyonel bir yetenek olmadığına dikkat çekiyor. Başaran’ın değerlendirmesi şöyle: “Bu nedenle siber savaş konusundaki yetkinlik bir kaynak meselesi değil. Bilgi ve teknik beceri meselesi. Günümüzde basit bir dizüstü bilgisayara sahip ve internette siber saldırıları öğreten yüz binlerce kaynağı okuyan kafasında milliyetçi, dini motivasyon olan veya para kazanmak isteyen herhangi bir sivil arkasında iz bırakmadan bir başka ülkedeki hedeflere ciddi saldırılar düzenleyebilir. Şu an Türkiye’ye yönelik siber saldırılar mevcut güvenlik açıklarını istifade ile yapılıyor.”
Başaran’a göre bu nedenle Türkiye’nin öncelikle siber alandaki mevcut güvenlik açıklarını çok iyi tespit edip, bu alanda hem yazılım hem de donanım boyutunda hızlı bir “millileşmeye” gitmesi gerekiyor. Başaran şöyle devam ediyor: “Geçen ay Türkiye’de bir anti-virüs firmasının yaptığı araştırmada Türkiye’deki bilgisayarların yüzde 42’sinde zararlı yazılım bulunduğu ortaya çıktı. Yani Türkiye’de neredeyse her iki bilgisayardan biri birileri tarafından hedef alınmış.”
Siber güvenlik konusunda doktora çalışmalarına devam eden Reyhan Güner ise şu bilgileri veriyor: “Artık siber kıyamet senaryolarının konuşulduğu bu alanda Türkiye geç de olsa treni yakalamaya çalışıyor. Ancak Türkiye’de siber savaş tartışmalarının, teknolojinin sunduğu sonsuz imkanlar bağlamından yola çıkarak tartışılması, meselenin komplo teorileri ve gerçekten kopuk senaryolarla ciddiyetsizleştirilmesi riskini beraberinde getiriyor. Türkiye’de siber savaş konusunda akademik üretim çok az. Türkiye'de 15 bin siber güvenlik uzmanı açığı var. Şu anda Türkiye’nin bu alanda parası var, siyasi irade de siber güvenlik ve siber savaş kapasitesini arttırmak istiyor. Ama konu öncelikle nitelikli personel açığında kilitleniyor.”
Bilkent Üniversitesi’nde bilişim hukuku ve siber güvenlik alanında doktora çalışmalarını sürdüren Oğuz Kağan Pehlivan’a göre ise yetişmiş insan gücü bu alandaki sıkıntılardan sadece biri. Asıl sorunun gerekli etik, hukuki ve teknolojik altyapı ile kurumsallaşma eksikliği olduğunu belirten Pehlivan Al-Monitor’a şöyle diyor: “‘Büyük veri’ artık yeni petrol... Peki, bu petrol nerede? Öncelikle, Denizaltı fiber optik kabloların dünya üzerinde dağılımı ve geçiş noktaları yeni bir jeopolitik doğuruyor. Bab El Mendeb boğazı, 19. Yüzyıl’da, Batı’nın Doğu’daki sömürgeleri için kritik bir öneme sahipti. Bugün ise Avrupa’dan Hindistan’a ve Çin’e uzanan fiber optik kabloların geçiş güzergahları bir siber jeopolitiği doğuruyor. Siber savaş söz konusu olduğunda Çin, Rusya, ABD gibi oyuncular arasında bir caydırıcılık dengesi nispeten kurulabilirken İran, Suriye, Lübnan, Kuzey Kore gibi ülkelere karşı bu tarz bir caydırıcılık ve misilleme karşılık bulmuyor. Bu sebeple, devletler hem aktif hem de pasif siber savunma strateji ve taktikleri geliştirip gerekli insan gücü yetiştirmek zorunda. Şu an Türkiye tam da bunu yapmaya çalışıyor.”
Türkiye’nin siber alandaki yeteneklerini geliştirme çabalarında öne çıkan bir diğer konu ise özellikle 15 Temmuz sonrası süreçte özgürlük aleyhine zaten halihazırda fazlasıyla aşınmış olan özgürlük-güvenlik dengesi. Devlet siber alanda kazandığı yeteneklerini kendi vatandaşını takip etmekte mi kullanacak; yoksa gerçekten vatandaşlarının özgürlüğünü ve kritik altyapılarını korumak için dış tehditlere karşı mı kullanacak? Toplumda “Büyük birader bizi gözetliyor” algısı yaratılmaması için bu alanda kazanılan yeteneklerin etik prensipler ve hukukla nasıl eklemleneceği ve bir kurumsal yapıya kavuşturularak şeffaf bir şekilde denetlenmesi önemli. Bu sorular, “siber güvenlik” denilince akla hemen ulusal güvenliğin geldiği ve 15 Temmuz sonrasında siber alanda bir paranoyanın yaşandığı Türkiye’de vatandaşın mahremiyet özgürlüğü ile devletin güvenliği konularında yeni bir tartışmaya işaret ediyor.