Akşam gazetesinden Deniz Çiçek, ülke için çok önemli bir konuya çok öneli bir günde parmak basmış. Kamunun siber tehdit tatbikatlarında sınıfta kaldığını ortaya koymuş. Habere göre MSB, MGK, BDDK, Ankara Başsavcılığı, MB ve SPK dahil 41 kurumun bilgisayar sistemi çöktü. Kurumların antivirüs programlarını güncellemediği ortaya çıktı BTKve TÜBİTAT tarafından düzenlenen Ulusal Siber Güvenlik Tatbikatı, 25-28 Ocak 2011’de 41 kurumun katılımıyla yapıldı. Kuruluşlara gerçek siber saldır yapıldı. Tatbikat kapsamında 500’ün üzerinde yazılı enjeksiyon saldırısına ek port taraması, dağıtık servis dışı bırakma saldırıları (DDoS) gibi gerçek saldırılar yapıldı.
Ortaya çıkan tablo gösteriyor ki siber saldırıya karşın devletin en önemli kurumları savunmasız.
Rapora göre kurumlar, bilgi sistemlerine yapılan ve sistemdeki açıkları tespit eden port tarama saldırılarını algılayamadı. Yani hackerların sistemlerine girip, açık noktaları tespit ettiğinin dahi farkına varamadı.
Kamu kurumlarına DDos adı verilen sistemlerini devre dışı bırakmaya dönük en yaygın siber saldırılar da uygulanırken, sadece 20 kurum sistemlerine güvenerek bu saldırıyı kabul etti. 16’sının sistemleri devre dışı kaldı.
Hackerlar, genelde kamu kurumlarının web sitelerine saldırdığı için tatbikatta bu da uygulandı. Rapora göre kimi kurumlarda bilgi güvenliği yönetim sistemi bulunmuyor.
Bazı kurumlarınsa bilgi işlem sistem yöneticilerinin yeterli teknik bilgi birikimine sahip olmadığı, teknik olarak nasıl başa çıkacaklarını bilmediğini ortaya çıktı. Bazı sistem yöneticilerininse bilgi güvenliği konusunda yeterli yetkinliğe sahip olmadığı da saptandı.
Rapora göre, bazı katılımcıların da merkezi antivirüs yazılımlarının düzenli olarak güncellenmediği görüldü. Kamu çalışanlarının, kurum bilgisayarlarını, bu riskli internet bağlantılarında kullandıkları görüldü. Raporun sonuç bölümünde de, tatbikata katılan kurum ve kuruluşlarda bilgi güvenliği açısından azımsanmayacak miktarda açık bulunduğu vurgulandı.
BTK Başkanı Tayfun Acarer de geçen yıl yapılan Siber Güvenlik Tatbikatı’na, Türkiye’de onlarca kamu ve özel kuruluş varken sadece 41 kurumun katılmasının son derece düşündürücü olduğunu belirtti. BTK Başkanı Acarer, 2011’de siber saldırıların yol açtığı zararların yüzde 56 oranında arttığını belirterek, “Artık sıcak savaşlar yerini siber savaşa bıraktı. 100 milyon dolarlık bir savaş uçağının vereceği zarardan çok daha fazlasını artık 10 dolarlık bir virüs verebiliyor” diye konuştu.
BTK başkanı bunu söyledi ancak kendi durumları da ne yazık ki çok iyi değil. Anonmous’un daha önceki saldırısını atlatan kurum bu sefer çok kötü yakalandı. Bir önceki saldırı dizininde bize bir şey olmadı diyerek bir anlamda bilgisayar kullanıcılarına meydan okuyan kurum, bu sefer sistemlerine girilmesine ve oradaki bazı bilgilerin alınarak internete konmasına engel olamadı.
Alternatif Bilişim Derneği kamuoyu bilgisine yaptığı açıklamada BTK’nın bu saldırıdan bu kadar etkilenmesinin kabul edilemez olduğunu dile getirirken orada kullanıcıların TC Kimlik numarası gibi bilgilerin tutuluyor olmasının yanlışlığını dile getirdi. Dernek, bu konuda böylesine başarısızlığa uğramış kurumun Türkiye’ye güvenli internet getirmesinin mümkün olamayacağını belirtti.
Tüm bu olayların ardından ilk sözü Ulaştırma, Denizcilik ve Haberleşme Bakanı Binali Yıldırım aldı. Yıldırım, TÜBİTAK, BTK, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nın müşterek çalışmasıyla, siber saldırılar konusunda ulusal siber güvenlik eylem planının hayata geçirileceğini bildirdi.
BTK’nın hacklenmesini bir iddia olarak niteleyen Yıldırım, bunun iddia sahibine sorulması gerektiğini söyledi. Türkiye’de bilişim alt yapısına bu tip saldırıların gerçekleştiğini belirten Yıldırım geçen sene yapılan tatbikata parmak basarken tatbikatın sonuçları hakkında detaya girmedi.
Tatbikatın ülke bilişim alt yapısının bu tip tehditlere ne kadar hazır olduğunu anlamak için önemli olduğunu söyleyen Bakan, bundan sonraki adımın bir plan hazırlamak olduğunu dile getirdi.
Gerçekleşen saldırının BTK sitesine değil, tüketici bilgilendirme sitesine saldırı yapıldığını da vurlgulayan Yıldırım, BTK’nın asıl sistemine dahil olan bilgilerine herhangi bir zarar gelmediğini zaten bir saldırının da söz konusu olmadığını belirtti.
Bu haberden alınacak dersler
- Daha önceki güvenlik saldırıları da göstermiştir ki ne kadar onurunuza dokunursa dokunsun bilgisayar korsanlarıyla “bir şey olmadı, yapamadılar, beceremediler” şeklinde zıtlaşmamak gerekir
- Mevcut böylesi bir durumu saklamak iletişimsel olarak hep kötü sonuçlar doğurur. Örneğin hayır bir şey olmadı diyecekseniz (yalan söylemenin kötülüğü bu tartışmanın konusu değil)sitenizden gizli bilgilerin alınıp alınmadığına iyice emin olmanız gerekiyor
- Eğer ülkede bir tatbikat yapıyorsanız, bunun sonuçlarını kurumların adıyla birlikte basına vermeniz en büyük günahlardan biri olur. Şu anda bu 41 kurum, korsan dünyasının hedef tahtası haline geldi.
- Bakanın kurumları koşulsuz olarak savunması çok iyi bir şey. Ama “bize gelmedi” mantığı hem devlet nezdindeki inandırıcılığı zedeler hem de yeni saldırılara kapı açar.
- BTK’nın sitesi, tüketicileri bilgilendirme sitesi diye bir ayrım yoktur, olamaz. Eğer bit site btk.gov.tr kök adresinin altındaysa bu saldırı BTK’ya yapılmıştır, bu konu tartışmaya açık değildir.
- Son bir nokta: Güvenli İnternet tartışmaları, çok yapıldı daha da yapılacak. Ama bence hack olayıyla BTK’nın Alternatif Bilişim Derneği’nin bilgi edinmeyl sorduğu sorulara cevap vermemesini aynı kapsamda tartışılması yanlış olmuş. Bu gibi şeylerin birlikte götürülmeye çalışılması iletişimin bütünlüğüne zarar verebilir.
