Türkiye Ulusal Siber Uzay Alanının Sınırlarını Tahkim Ediyor
Türkiye’nin siber güvenliğini sağlamaya yönelik girişimleri 1990’lı yıllarda siber suçlarla mücadele kapsamında yasal düzenlemeler yapmak suretiyle başlamıştı. Bu çalışmalar 2010 sonrası dönemde artarak daha profesyonel kurumsal yapılara evrildi. Bu alandaki girişimler, Türkiye’nin 2020-2023 yılları arasındaki dönemi kapsayacak şekilde, Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nı 29 Aralık 2020’de ilan etmesiyle yeni bir boyuta taşındı. Aslında bu belge, daha önce yayımlanmış olan Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı ile 2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nı devamı niteliğinde. Söz konusu üç plan birlikte değerlendirildiğinde, Türkiye’nin 2010 yılı sonrası atılan adımlarla, ulusal siber uzay alanının güvenliğini sağlama konusunda önemli kazanımlar elde ettiği ortada.
Bu kapsamda Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nın en kayda değer getirisi, siber tehditlerin tespit edilmesi ve gerekli tedbirlerin geliştirilmesi amacıyla Ulusal Siber Olaylara Müdahale Merkezi’nin (USOM, TR-CERT) kurulmasını sağlamasıdır. Daha sonra 2013 yılında yayımlanan bir tebliğ ile kamu kurumlarının kritik altyapılarının korunmaları amacıyla USOM’a bağlı Siber Olaylara Müdahale Ekipleri (SOME) kurma kararı alındı. Aynı tebliğle birlikte, kritik altyapı işleten kamu kurumları ve özel kuruluşlara, sektörel SOME’ler altında çalışacak kurumsal SOME’ler açma yükümlülüğü getirildi.
Daha sonra, 2016’nın Eylül ayında Türkiye 2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nı kabul etti. Bu plan dahilinde, 2013-2014 Eylem Planı ile benzer ve uyumlu hedefler gündeme getirildi. Söz konusu plan bir önceki stratejik planlamaya göre daha basit ve genel ifadelerle hazırlandı. Bu planda, doğru bir yaklaşımla, milli yazılım ve teknolojilerin geliştirilmesi konusuna daha çok vurgu yapıldı. 2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nda internet bağımlılığı, siber casusluk, siber güvenlik uzmanı personel eğitimi, siber güvenlik kurumları arası koordinasyon zaaflarının giderilmesi şeklindeki ana başlıklar, belirlenen hedefleri ifade ediyor. Bunların dışında, yine doğru bir yaklaşım sergilenerek, Türkiye’de siber ekosistemin geliştirilmesi gerektiği ve siber güvenliğin milli güvenliğe entegre edilmesinin şart olduğu belirtildi.
Türkiye’nin 2020-2023 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nda ise stratejik amaçlar sekiz başlıkta ifade ediliyor: Kritik altyapıların korunması ve mukavemetin artırılması, ulusal kapasitenin geliştirilmesi, organik siber güvenlik ağı, yeni nesil teknolojilerin güvenliği, siber suçlarla mücadele, yerli ve milli teknolojilerin geliştirilmesi ve desteklenmesi, siber güvenliğin milli güvenliğe entegrasyonu ve uluslararası işbirliğinin geliştirilmesi. Ayrıca eylem planında, gelişen siber güvenlik teknolojilerinden azami ölçüde istifade edilmesi, kritik altyapı sektörlerinin korunması, siber risk yönetimi süreçlerinin geliştirilmesi, siber saldırılara karşı acil durum planlarının etkinleştirilmesi de vurgulanan diğer hususlar.
Bununla birlikte, söz konusu belgede siber olaylara müdahale ekiplerinin teknik kabiliyetlerinin ölçülmesi ve bu konudaki eksiklerin giderilmesi, siber güvenlik alanındaki eğitim faaliyetlerinin geliştirilmesi, eğitim kurumlarında siber güvenlik farkındalığının artırılması, 5G, nesnelerin interneti ve bulut bilişim gibi yeni nesil teknolojilerin güvenli bir şekilde kullanılmasının sağlanması, siber güvenlik alanında uluslararası işbirliğinin geliştirilmesi, siber uzayda uluslararası ortak normların ve standartların oluşturulmasına yönelik uluslararası girişimlere gerekli desteğin verilmesi, internet ortamında çocukların korunmasına yönelik tedbirlere fazladan önem verilmesi gibi amaçlara da yer veriliyor.
Bu hedeflerin yanı sıra, 2020-2023 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nda siber güvenlikte milli yazılım vurgusu, siber güvenliği ulusal güvenliğin bir parçası gören yaklaşım, siber güvenliğin güçlü hukuki temellere dayanması gerektiğine yapılan atıf, siber güvenlik uzmanlarının yeterliliklerinin denetleneceğinin belirtilmesi suretiyle liyakate ve yetkinliğe vurgu yapılması, sosyal medyadaki algı faaliyetlerinin engellenmesine yönelik tedbirler gibi hususlar da değerli ve önemli prensipler olarak karşımıza çıkıyor.
Bu çerçevede, siber güvenlikte milli yazılım oranının artırılması gerçekçi ve önemli bir hedeftir. Bu noktada sağlanacak başarı Türkiye’nin dışa bağımlılığını azaltacaktır. Bahse konu hedef, ekonomik katkı kapsamında da ele alınmalı. Örneğin İsrail 2010 sonrası dönemde geliştirdiği güvenlik bürokrasisi-üniversite-özel sektör işbirliği modeli kapsamında, son yıllarda 6 milyar dolar civarında siber espiyonaj ürününü dünyaya ihraç eder konuma ulaşmış durumda. Türkiye’nin son yıllarda milli savunma teknolojileri konusunda gösterdiği başarılar dikkate alındığında, bu hedefe de ulaşılması mümkün. Bununla birlikte, milli yazılım ve donanımların kullanım oranlarının artırılması, siber espiyonaj faaliyetlerine karşı etkinliği de geliştirecek önemli bir faktör. Bu noktada bir örnek olması bakımından, siber espiyonaj operasyonlarında kullanıldığı gerekçesiyle Çin orijinli yazılım ve donanımların kamu sektöründe kullanılmasının yasaklamış olması akılda tutulmalı.
Öte yandan, söz konusu eylem planında siber güvenliği ulusal güvenliğin bir parçası gören yaklaşım dünyadaki genel eğilimle uyumludur. Bilindiği üzere, internetin 1990’lı yıllarla birlikte ticarileşmesi ve sivilleşmesiyle “siber uzay” olarak adlandırdığımız alanın ortaya çıkması hızlandı. Siber uzay, devletlerin ağ teknolojileri kapsamındaki yenilikleri askeri kapasitelerini geliştirme adına yeni bir fırsat olarak görmeleri nedeniyle, süratle uluslararası sistemde yeni bir rekabet alanı olarak karşımıza çıktı. 2000’li yıllardan sonra Rusya ve ABD, ortaya koydukları siber güvenlik stratejileri dahilinde, siber uzayı şekillendiren önemli siber güçler oldular. Akabinde Çin de (teknoloji ve ekonomi merkezli gelişim süreciyle birlikte) siber uzayda söz sahibi olmaya başlayan bir konuma geldi. 2007 yılında Estonya’ya yönelik Rusya merkezli planlandığı iddia edilen siber saldırılarla birlikte, NATO da kolektif bir savunma örgütü olarak, siber güvenlik alanında planlamalar ve kurumsal yapılar geliştirmeye başladı. Sonuç olarak, 2010 yılı sonrasında uluslararası sistemdeki hemen tüm devletler, kendi ekonomik ve teknolojik güçleri kapsamında siber savunma ve saldırı kapasitelerini geliştirmeyi hedef alan planlar ortaya koydular. Bu hususlar dikkate alındığında, Türkiye’nin de siber güvenliği ulusal güvenliğin bir parçası gören bir stratejiyle siber savunma kapasitesini artırmaya çalışması doğru bir yaklaşım.
Bununla birlikte, literatürde siber uzay (kara, deniz, hava ve uzaydan sonra) insan eliyle yapılmış dijital bir beşinci boyut olarak kabul ediliyor. Ayrıca 2016 Varşova Zirvesi’nde siber uzay, NATO tarafından operasyonel bir alan olarak da resmen tanındı. Dolayısıyla Türkiye’nin siber savunma kapasitesini geliştirmeye gayret etmesi, siber güvenliğini ulusal güvenliğin bir parçası olarak görmesi isabetli bir stratejidir. Günümüzde internet teknolojileri devletler tarafından artık askeri kapasitelerini geliştirmek adına bir fırsat olarak görülüyor. Devletler siber saldırı silahlarını doğrudan düşman gördükleri veya rekabet halinde oldukları devletlerin kritik altyapılarına zarar vermek amacıyla kullanabilmekteler. Bu bağlamda, güçlü bir siber savunma kapasitesinin yanı sıra, etkili bir siber saldırı kapasitesinin geliştirilmesinin devletlere uluslararası sistemde caydırıcılık konusunda avantaj sağladığı ileri sürülebilir.
Devletler açısından siber saldırı yöntemleri, (uluslararası ilişkilerde çok ciddi ve öngörülemeyen sonuçlar doğurabilecek) askeri bir çatışmaya gerek kalmadan kullanılabilecek yeni bir strateji olarak görülüyor. Siber uzayın sağladığı imkânların askeri amaçlar için kullanılmasının bir başka nedeni ise siber uzayın doğasından kaynaklanıyor. Siber uzayda saldırganın kimliğinin tespiti oldukça karmaşık bir süreç içeriyor ve çoğu zaman saldırgan çeşitli yazılımlar ve yöntemler kullanmak suretiyle kimliğini gizleyebiliyor. Diğer yandan, siber uzayın askerî açıdan sağladığı bir başka avantaj, siber saldırıların görece daha risksiz ve düşük maliyetlerle, hedef alınan devletin kritik altyapılarına ciddi zarar vermesi ve ortaya çıkan siyasi sonuçların da bir hayli etkili olmasıyla ilgili. Tüm bu süreçler de karşımıza askerileştirilen ve silahlandırılan siber uzay kavramını çıkarmış durumda. Böyle bir konjonktürde, Türkiye’nin söz konusu stratejik yaklaşımı bir tercihten öte bir zorunluluk olarak görülmeli.
2020-2023 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nda sosyal medyadaki algı faaliyetlerinin engellenmesine yönelik tedbirler alınacağı şeklindeki hedef de üzerinde durulması gereken bir husus. Konuyu terörle mücadele kapsamında değerlendirmek gerekirse, propagandanın terör örgütleri için hayati öneme sahip olduğu bilinen bir durum. Günümüzde ise enformasyon alanında yaşanan köklü teknolojik değişimlerle birlikte, sosyal medya olanakları, terör örgütlerinin klasik medya teknikleriyle sürdürmeye gayret ettikleri propaganda faaliyetlerinde önemli değişikliklere neden olmakta. PKK, FETÖ ve DEAŞ gibi terör örgütleri de artık klasik enformasyon savaşı tekniklerinden ziyade, yeni nesil sosyal medya imkânlarından istifade etmek için ciddi bir gayret içerisindeler. Çünkü sosyal medya üzerinden gerçekleştirilen propaganda ve algı yönetimi faaliyetleri daha ilgi çekici ve anlaşılır, ihtiyaçlara göre hemen esnetilebilen bir yapıya sahip; sürekli revize edilebilen özellikte, düşük maliyetli, bilginin hedef kitleye kolay, hızlı, aynı anda ve çok kısa sürede yönlendirilebilmesine imkân ve küresel bir erişim sağlıyor. Ayrıca sosyal medya üzerinden yapılan propaganda ve algı yönetimi faaliyetleri, sosyal medya uygulamalarının kriptolu yazılım özellikleri nedeniyle kullanıcılarının kimliğini rahatlıkla gizlemesine olanak sağladığı için FETÖ, PKK ve DEAŞ militanlarına avantaj da sağlıyor. Bu itibarla da Türkiye’nin sosyal medyayı, algı manipülasyonlarının ve terör örgütlerinin propagandasının rahatlıkla yapılabildiği bir mecra şeklinde denetimsiz ve kontrolsüz bırakması beklenmemeli.
[Bursa Teknik Üniversitesi’nde görevli olan Doç. Dr. Ali Burak Darıcılı çalışmalarını istihbarat, siber güvenlik, terörizm, teknoloji-güvenlik etkileşimi alanlarında sürdürmektedir]