Gazi Üniversitesi Bilgi Güvenliği Mühendisliği Anabilim Dalı Başkanı Prof. Dr. Mustafa Alkan, ülkemize yönelik siber saldırılar, konusunda ve ODTÜ tarafından yürütülen ".tr" alan adları seafoodplus.info seafoodplus.info sisteminin tahsis yetkisinin Bilgi Teknolojileri ve İletişim Kurumu (BTK)’na devredilmesine yönelik açıklama yaptı.
Prof. Dr. Mustafa Alkan, yaptığı açıklamada, sayılı Elektronik Haberleşme Kanunu’nda, "İnternet alan adları tahsisini yapacak kurum veya kuruluşun tespiti ile alan adı yönetimine ilişkin usul ve esaslar Bakanlık tarafından belirlenir" hükmünün yer aldığını hatırlatarak, “Nitekim bu kanunun çıkmasından hemen sonra bakanlık bu konuyla ilgili düzenleme ve denetlemeleri yapmak üzere BTK’ya görev vermiştir. Bunun üzerine BTK internet alan adlarıyla ilgili bir dizi düzenleme yaptı. Bu düzenlemeler Alan Adları konusunda birçok belirsizliği ortadan kaldırdı ve bu konuda önemli hukuki düzenleme getirildi. Başlangıçta hizmetin aksamaması için BTK bünyesinde gerekli olan alt yapının kurulumunu tamamlayıncaya kadar alan adı tahsisi yetkisi bir süreliğine ODTÜ’ye verdi. Sonra BTK bünyesinde ULAKBİM tarafından TRABİS altyapısı kuruldu. Sonrada BTK ODTÜ’den bu görevi devir almak istedi. Ancak ODTÜ’nün bu yetkiyi devretmek istememesi sonucu dava açılınca süreç tıkandı. Doğru olanın bu hizmeti BTK’nın veriyor olmasıdır.”
Dünyada uygulamalar, nasıl ve kimlerin bu hizmeti verdiğini anlatan Alkan, sözlerine şöyle devam etti:
”Yıllar önce bu konuda bir düzenleme olmadığı için bu görevi ODTU üstlenmiş ve o günün şartlarında da başarı ile bu görevi yerine getirmiştir. Bu günde Alan Adları tahsis konusu düzenlemeleri bütün dünyada tartışma konusu ve birçok ülkede bu alanda benzer düzenlemeleri gerçekleştirmiştir. Dünyada bu konuda en üst yetkili kurum olan ICANN’dır. Ancak ICANN’ın yetkisi ve meşruluğu dahi tartışılmaktadır. Nitekim bu kurumla ilgili ilk tartışmayı Aralık ’te İsviçre’de gerçekleştirilen Dünya Bilgi Toplumu Zirvesinde Türk Delegasyonu olarak biz gündeme getirmiştik. Benzer şekilde ICANN’de uluslararası hukuki geçerliliği ve yetkisi tartışma konusudur. Alan Adları konusundaki düzenlemelerin ITU bünyesinde yapılması gerektiği önerisi zirvede Türkiye Delegasyonu tarafından verilmiş ki o zirvede Delegasyon Başkanlığını da ben yürütmekte idim. Bizim önerimiz zirvede birçok ülke tarafından desteklenmiştir. Bu konu hâlâ gündemde olan bir konudur.”
Alkan, siber saldırılar sonucu ortaya çıkacak olumsuzlukların sorumluluğu oldukça yüksek olduğunu, yasal bir düzenleme olmadığında bu sorumluluğu kimseye yüklenemeyeceğini hatırlattı. Sorumluluğu olmayanların bu konuda yeterli önlemi almayacağını belirten Alkan, şunları söyledi:
“Benzer şekilde ODTÜ’yü bu konuda ne kadar sorumlu tutabilirsiniz ya da ODTÜ bu hukuki sorumluluğu ne kadar üstlenebilir? Bu, tartışma konusu. BTK’nın yasal, hukuki anlamda sorumluluğu var. Bu alanda ortaya çıkabilecek olumsuzluklardan BTK sorumlu olacağı için bu işi ciddi tutmak zorunda. Bu konuda ODTÜ’nün yetkinliği tartışılmaz ancak yetkisi ve sorumluluğu tartışma konusudur. Bütün bu sebeplerden yetkinin de uygulamanın da sorumluluğun da BTK’da olması en doğru yöntemdir.”
Prof. Dr. Alkan, artık dünyada klasik savaşların ve silahların yerini siber savaş ve siber silahların aldığını, Türkiye’nin ise bu konuda en çok risk ve tehdit altında olan ülkelerden birisi olduğunu belirtti.
Savaşların en önemli hedefinin kritik altyapı olduğunu hatırlatan Alkan, sözlerine şöyle devam etti:
“Bu konuda bir ay önce Bilgi Güvenliği Derneği Koordinasyonunda Gazi Üniversitesi, ODTÜ, İTÜ işbirliği ve Ulaştırma Bakanlığı ve BTK’nın desteğiyle seafoodplus.inforarası Bilgi Güvenliği ve Kriptoloji Konferansı gerçekleştirilmiş ve Ana Teması da Siber Güvenlik ve Kritik Alt Yapılar olarak belirlenmişti. Nitekim konferansta kritik alt yapılar konusunda özel bir oturum yapılmıştır. Bu gün yaşananları konferans boyunca anlatmaya ve ilgili tüm tarafları bu konularda önlem almaya davet etmiştik. Söylediklerimiz 1 ay geçmeden yaşandı. Bundan sonra daha da fazlası gündeme gelecek."
İnternet ve iletişim alt yapılarına saldırı yapıldığını anlatan Alkan, şunları söyledi: "Bankacılık sistemlerine saldırı yapıldı. Bundan sonraki süreçte sırada diğer Kritik altyapılar var. Bu altyapılara saldırılar artarak devam edecek. Bunun yanında, enerji alt yapıları, üretim ve dağıtım şebekeleri, ulaşım altyapıları ki bunlar kara, deniz, hava, demir yolları gibi altyapılar. Su şebekeleri, barajlar, doğal gaz şebekeleri, petrol boru hatları. Kamu hizmetleri, kritik kamu kuruluşları, buralardaki kritik tüm bilgi ve belgeler, kurumsal kişisel veriler ve bilgiler hepsi tehdit ve risk altındadır. Önlem alınmaz ise telafisi mümkün olmayan ağır sonuçlar ortaya çıkacaktır.”
Bu konuda alınması gereken önlemler ile ilgili bilgi veren Mustafa Alkan, Bilgi Güvenliği Derneği ilk kurulduğundan bu güne 10 yılı aşkın zaman olduğunu vurgulayarak önlemleri dört madde halinde şöyle sıraladı:
“1. Hukuki Düzenlemeler, 2. Kurumsal Düzenlemeler, 3. Teknik Düzenlemeler, 4. Siber Savunma Gücünün oluşturulmasıdır. Hukuki düzenlemelerden kastın bir an önce Siber Devlet Yasası başta olmak üzere Kişisel Verilerin Güvenliği Yasasının biran önce yapılması ve uygulanması idi. Bununla beraber siber güvenlik konusunda ikincil düzenlemelerin gecikmeden hayata geçirilmesi idi. Bu kanun kapsamında hızlıca kurumsal yapıların oluşturulması idi ki bu konuda dünya da örnekleri var. Ya Bağımsız bir düzenleyici otorite olmalı idi BTK, BDDK, EPDK benzeri Siber Güvenlik Düzenleme Denetleme Kurumu ya da Kamu Güvenliği Müsteşarlığı benzeri Siber Güvenlik Müsteşarlığı ya da benzeri bir kurumsal yapı oluşturulmalı ve bu konuda tam yetkili olarak yapılandırılması önerilmişti. Bunun yanında ülkemizde kullanılan güvenlik çözümlerinin ve ürünlerinin yüzde 95 yabancı menşeli ne yazık ki. Bu noktadan hareketle bir an önce yerli firmalar desteklenmeli ve yerli milli siber güvenlik çözümleri ve ürünleri yazlık ve donanım olarak geliştirilmeli ve bütün kurum ve kuruluşlarda özellikle kamu kurum ve kuruluşlarında kullanılmasının zorunlu tutulması idi. Bir diğer önemli konu ise siber orduların kurulması ve siber savunma ve saldırı gücünün oluşturulması idi. Birde bütün bunları en üst düzeyde koordine edecek bu konuda politika ve stratejileri belirleyecek Siber Güvenlik Ulusal Koordinasyon Kurulunun oluşturulması idi. Bunları bu konudaki çözüm önerileri olarak ortaya koymuştuk.”
Birkaç yıl öncesine kadar bizim bir Siber Güvenlik Strateji Belgemizin olmadığını anlatan Prof. Dr. Alkan, şunları kaydetti:
"Dünyada bu belgeyi yayınlamamış ender ülkelerden biri idik. BGD olarak biz inisiyatif aldık. Strateji belgesinin taslağını hazırladık ve bakanlığa sunduk. Bunun üzerine belge yayınlandı, ardından eylem planı yayınlandı. Benzer şekilde Siber Güvenlik Koordinasyon Kurulu kuruldu. Ama ne plan sağlıklı işliyor ne kurul şimdiye kadar bir toplantı gerçekleştirip bu konudaki politika ve stratejileri belirleme yönünde bir çalışma yaptı."
Kanunlar başta olmak üzere bu konudaki hukuki düzenlemelerin yapılmadığını anlatan Alkan, sözlerini şöyle sürdürdü:
"Teknik altyapılar yerli çözümler geliştirilmedi. Siber ordular kurulmadı. Kurumsal yapılar tamamlanmadı. Hal böyle olunca bu konuda savunmasız kalmak, çaresiz kalmak kaçınılmazdır. Bu ve bundan sonra yapılacak siber saldırılara karşı önlem almanız mümkün değil. Dahası savunma kadar saldırı da en tabi haktır ve en caydırıcı güçtür ki, bu saldırı hakkı uluslararası bir haktır. Bilindiği gibi bu konuda NATO’nun kararı vardır. Bir ülkeye yapılan siber saldırı klasik silahlarla yapılmış saldırılarla aynı sayılacak ve savaş sebebi sayılacaktır. Dolayısıyla o ülkeye karşı saldırı ve savaş hakkı doğuracaktır. Denilmektedir. Dolayısıyla sizin siber ordular kurmanız ve siber saldırı ve siber savaş yöntemleriyle karşılık vermeniz uluslararası bir hak haline gelmiştir.”
Bu konuda ülke olarak öncelikle ve ivedilikle siber güvenlik konusunda strateji ve politikaların belirlenmesi olduğunu hatırlatan Alkan, sözlerini şöyle tamamladı:
“Sonra hiç zaman kaybetmeden yukarıda sıraladığım çözümler başta olmak üzere alınması gereken tüm önlem ve çözümleri hızlıca hayata geçirmek mecburiyetindeyiz. Aksi takdirde yarın çok geç olabilir ve ülkemiz için telafisi mümkün olmayan sonuç doğabilir.”