Son günlerde siber güvenlik, birçok ülkenin ulusal savunma programında öncelikli konular arasına girdi. Amerikan yönetimi de, ülkenin bilgisayarla yönetilen altyapı sistemlerini olası siber saldırılardan koruma yolları aramaya başladı. Geçtiğimiz haftalarda Amerikan bankalarının siber saldırıya uğraması ve Beyaz Saray’ın bilgisayar ağlarını hedefleyen ancak engellenen bir saldırı girişimi siber tehdit konusunu yeniden gündeme taşıdı. Geçmişte Amerikan İstihbarat Kurumları Bilişim Başkan Yardımcısı olan Emekli Albay Greg Gardner, Senatoya takılan Siber Güvenlik Yasası, siber saldırılara karşı özel sektörün alabileceği önlemler ve siber savaşın geleceği konularını Amerika’nın Sesi Televizyonu için değerlendirdi.
AS: Siber güvenlik konusu Başkan Barack Obama’nın seçim kampanyasında önemli bir yer tutuyor. Yakın bir zaman önce de Başkan Obama, ülkenin altyapı tesislerini siber saldırılardan koruma amacı taşıyan, “2012 Siber Güvenlik Kanunu” isimli bir yasa tasarısını Kongre’ye sundu. Ancak tasarı Senato tarafından durduruldu. Sizce bu yasa tasarısı Amerika’yı siber saldırılardan korumak için yeterli mi?
GG: Yasa tasarısının ülkeyi siber saldırılardan koruma konusunda yeterli olduğunu düşünmüyorum. Ancak bu yasa, siber güvenliği sağlamada ileriye doğru atılan önemli bir adım.
AS: Size göre eksiklikler neler? Siber güvenlik yasasına neler ilave edilebilir?
GG: Burada en önemlisi, Amerikan halkına siber güvenlikle ilgili bilgi vermek. Yasa tasarısının Kongre’deki başarısızlığının nedenlerinden biri de, siber güvenlik konusunun ne kadar ciddi ve üzerinde düşülmesi gereken bir sorun olduğunu topluma anlatamamış olmamız. Bu tezi savunamadık ve bence yasa tasarısı bu yüzden başarıya ulaşamadı.
AS: Yasa tasarısında önerilen önlemler nelerdi?
GG: Yasa tasarısı, enerji santralı gibi önemli altyapı hizmetlerine sahip olan kurumların bu altyapı tesislerini siber saldırılardan korumak için gerekli adımları atmalarını öngörüyor. Ancak yasa bu önlemleri alacak firmalara finansman sağlamıyor. İşte sorun da burada başlıyor. Özel sektörden finansmanı sağlanmayan yükümlülükler üstlenmesi bekleniyor. Doğal olarak bu durum bazı Kongre üyelerinde kaygı yarattı. Çünkü sonuçta bu yükümlülüklerin maliyetini karşılayacak olanlar kendi bölgelerindeki seçmenleri. Yasa tasarısı bu kaygılar yüzünden engellendi. Bu durumu aşmak için, siber güvenlikle ilgili tezimizi daha inandırıcı ve güvenilir temellere dayandırarak anlatmalıyız.
AS: Bu bahsettikleriniz siber güvenliğin devletle ilgili bölümü. Ama biliyoruz ki siber saldırılar özel sektör için de çok ciddi bir tehdit oluşuturuyor. Etkin bir siber savunma için küresel veri yönetimi şirketleri ne gibi önlemler alabilir?
GG: Uygulayabilecekleri birkaç önemli yöntem var. Bilgi teknolojisi alanında çalışan şirketlerin çoğu verilerini hem durağan haldeyken hem de internet üzerinden yollarken şifreliyor. Şifreleme çok önemli bir işlem ve bunu zamana yaymak mümkün. Böylece veriler istenen süre boyunca korunabilir. Şirketlerin alabileceği ikinci önlem de bilgisayarlara gelen veri trafiğini yakından izleyerek virüs ve diğer kötü amaçlı yazılımları yakalamak olabilir. Bu tip kötü amaçlı yazılım içeren veri paketlerini, saniyede 10 gigabit gibi son derece yüksek bir hızla geldiklerinde bile teşhis edebilen ve bilgisayarlara sızmasını önleyecek teknolojiye de bugün sahibiz. Bu teknolojiyi kullanan bir firma bilgisayarlarına gelen veri trafiğini siber saldırılardan koruyabilir.
AS: Böyle bir siber savunma oluşturmanın maliyeti yüksek mi?
GG: Evet, yüksek ama gerekli de. Bu noktada her firma elindeki verilerin ne kadar önemli olduğu ve bu verileri korumak için ne gibi önlemler alması gerektiği konusunda risk değerlendirmesi yapmalı. Kritik önem taşıyan böyle bir risk değerlendirmesinin siber savunma maliyetleri göz önüne alınmadan yapılması gerektiğini düşünüyoruz.
AS: Sizce siber operasyonların gelecekte askeri gücün yerini alması mümkün mü?
GG: Siber operasyonlar askeri gücün yerini almaz ancak bunlar askeri gücün önemli bir tamamlayıcısı. Sanal dünyadaki siber operasyonlar ve gerçek dünyadaki askeri operasyonlar işbirliği yapınca ortaya çok büyük bir güç çıkıyor. Bu ikisi birlikte çalışmalı.
AS: Bazı uzmanlar Amerika’nın büyük ölçüde bilgisayar ağ sistemlerine bağımlı olduğunu ve bu nedenle de Washington’un siber savaşa girişmemesi gerektiğini söylüyor. Siz bu görüşe katılıyor musunuz?
GG: Bu konuda bir seçim şansımız olduğunu sanmıyorum. İnternetin ilk ortaya çıktığı gün yarış başladı ve o zamandan beri internet daha da büyüdü. Tüm ülkeler ve devlet kurumları için en acil konu sanal dünyada işlenen siber suçlar. Bu herkes için çok ciddi bir tehdit. Ülkelerin hem diğer ülkeler hakkında istihbarat toplamak hem de onlardan gelebilecek muhtemel siber saldırılardan kendilerini korumak için sanal ortamdan yararlanmaları çok doğal. Biz de buna hazırlıklı olmalı ve sanal dünyada etkinlik kazanmalıyız. Bu çok önemli.
AS: Yani Amerika’nın sanal dünyada güçlenmekten başka bir seçeneği olmadığını düşünüyorsunuz.
GG: Siber dünyada her bakımdan aktif olmamız gerekiyor. Buna, altyapı savunması oluşturmaktan, siber operasyonlar yürütmeye ve akıllı bir siber güç yaratmaya kadar birçok şey dahil. Tabii bu da doğru insanları istihdam etmek anlamına geliyor.
AS: Siber güvenlik konusu Başkan Barack Obama’nın seçim kampanyasında önemli bir yer tutuyor. Yakın bir zaman önce de Başkan Obama, ülkenin altyapı tesislerini siber saldırılardan koruma amacı taşıyan, “2012 Siber Güvenlik Kanunu” isimli bir yasa tasarısını Kongre’ye sundu. Ancak tasarı Senato tarafından durduruldu. Sizce bu yasa tasarısı Amerika’yı siber saldırılardan korumak için yeterli mi?
GG: Yasa tasarısının ülkeyi siber saldırılardan koruma konusunda yeterli olduğunu düşünmüyorum. Ancak bu yasa, siber güvenliği sağlamada ileriye doğru atılan önemli bir adım.
AS: Size göre eksiklikler neler? Siber güvenlik yasasına neler ilave edilebilir?
GG: Burada en önemlisi, Amerikan halkına siber güvenlikle ilgili bilgi vermek. Yasa tasarısının Kongre’deki başarısızlığının nedenlerinden biri de, siber güvenlik konusunun ne kadar ciddi ve üzerinde düşülmesi gereken bir sorun olduğunu topluma anlatamamış olmamız. Bu tezi savunamadık ve bence yasa tasarısı bu yüzden başarıya ulaşamadı.
AS: Yasa tasarısında önerilen önlemler nelerdi?
GG: Yasa tasarısı, enerji santralı gibi önemli altyapı hizmetlerine sahip olan kurumların bu altyapı tesislerini siber saldırılardan korumak için gerekli adımları atmalarını öngörüyor. Ancak yasa bu önlemleri alacak firmalara finansman sağlamıyor. İşte sorun da burada başlıyor. Özel sektörden finansmanı sağlanmayan yükümlülükler üstlenmesi bekleniyor. Doğal olarak bu durum bazı Kongre üyelerinde kaygı yarattı. Çünkü sonuçta bu yükümlülüklerin maliyetini karşılayacak olanlar kendi bölgelerindeki seçmenleri. Yasa tasarısı bu kaygılar yüzünden engellendi. Bu durumu aşmak için, siber güvenlikle ilgili tezimizi daha inandırıcı ve güvenilir temellere dayandırarak anlatmalıyız.
AS: Bu bahsettikleriniz siber güvenliğin devletle ilgili bölümü. Ama biliyoruz ki siber saldırılar özel sektör için de çok ciddi bir tehdit oluşuturuyor. Etkin bir siber savunma için küresel veri yönetimi şirketleri ne gibi önlemler alabilir?
GG: Uygulayabilecekleri birkaç önemli yöntem var. Bilgi teknolojisi alanında çalışan şirketlerin çoğu verilerini hem durağan haldeyken hem de internet üzerinden yollarken şifreliyor. Şifreleme çok önemli bir işlem ve bunu zamana yaymak mümkün. Böylece veriler istenen süre boyunca korunabilir. Şirketlerin alabileceği ikinci önlem de bilgisayarlara gelen veri trafiğini yakından izleyerek virüs ve diğer kötü amaçlı yazılımları yakalamak olabilir. Bu tip kötü amaçlı yazılım içeren veri paketlerini, saniyede 10 gigabit gibi son derece yüksek bir hızla geldiklerinde bile teşhis edebilen ve bilgisayarlara sızmasını önleyecek teknolojiye de bugün sahibiz. Bu teknolojiyi kullanan bir firma bilgisayarlarına gelen veri trafiğini siber saldırılardan koruyabilir.
AS: Böyle bir siber savunma oluşturmanın maliyeti yüksek mi?
GG: Evet, yüksek ama gerekli de. Bu noktada her firma elindeki verilerin ne kadar önemli olduğu ve bu verileri korumak için ne gibi önlemler alması gerektiği konusunda risk değerlendirmesi yapmalı. Kritik önem taşıyan böyle bir risk değerlendirmesinin siber savunma maliyetleri göz önüne alınmadan yapılması gerektiğini düşünüyoruz.
AS: Sizce siber operasyonların gelecekte askeri gücün yerini alması mümkün mü?
GG: Siber operasyonlar askeri gücün yerini almaz ancak bunlar askeri gücün önemli bir tamamlayıcısı. Sanal dünyadaki siber operasyonlar ve gerçek dünyadaki askeri operasyonlar işbirliği yapınca ortaya çok büyük bir güç çıkıyor. Bu ikisi birlikte çalışmalı.
AS: Bazı uzmanlar Amerika’nın büyük ölçüde bilgisayar ağ sistemlerine bağımlı olduğunu ve bu nedenle de Washington’un siber savaşa girişmemesi gerektiğini söylüyor. Siz bu görüşe katılıyor musunuz?
GG: Bu konuda bir seçim şansımız olduğunu sanmıyorum. İnternetin ilk ortaya çıktığı gün yarış başladı ve o zamandan beri internet daha da büyüdü. Tüm ülkeler ve devlet kurumları için en acil konu sanal dünyada işlenen siber suçlar. Bu herkes için çok ciddi bir tehdit. Ülkelerin hem diğer ülkeler hakkında istihbarat toplamak hem de onlardan gelebilecek muhtemel siber saldırılardan kendilerini korumak için sanal ortamdan yararlanmaları çok doğal. Biz de buna hazırlıklı olmalı ve sanal dünyada etkinlik kazanmalıyız. Bu çok önemli.
AS: Yani Amerika’nın sanal dünyada güçlenmekten başka bir seçeneği olmadığını düşünüyorsunuz.
GG: Siber dünyada her bakımdan aktif olmamız gerekiyor. Buna, altyapı savunması oluşturmaktan, siber operasyonlar yürütmeye ve akıllı bir siber güç yaratmaya kadar birçok şey dahil. Tabii bu da doğru insanları istihdam etmek anlamına geliyor.