Bu yazıyı Arkakapı dergisinin 4. sayısında yazmıştım. Burada tekrar paylaşıyorum.

Siber güvenlikte yerli yazılım kullanmanın önemi artık tartışılan bir konu değil. Herkes bunda hemfikir. Hem devletin, hem özel sektörün en kritik verilerini koruyan bu yazılımların, politik ve askeri alanda yaşanacak kötü senaryolarda bizim aleyhimize çalışması çok olası bir durum. Bunun yanında siber güvenlik yazılımlarındaki dışa bağımlılık hem bütçemizin dışarı akmasına, hem de global yazılım ekonomisinden pay alamamamıza yol açıyor.

Bu yazıda değineceğiz pek çok farklı konu var. Öncelikle, siber güvenlik alanında süper güç kabul edilen devletlerin neden başarılı olduklarını inceleyeceğiz. Daha sonra siber güvenlik yazılımlarının geçirdiği evreleri ve bu evreler sırasında Türkiye’nin neler yapıp yapamadığına değineceğiz.

Siber Gücü Belirleyen Etmenler

Siber güvenlik konusunda dünyanın süper güçleri hangi ülkelerdir diye sorsak, dünyadaki çoğu kişi muhtemelen benzer cevaplar verir. Bu ülkeleri şöyle listeleyebilirim: ABD, Rusya, Çin, İsrail ve Birleşik Krallık (Kuzey Kore de bu alanda güçlü olsa da, neler yaptıklarını tam olarak bilmediğimiz için değerlendirmeye almak pek mümkün değil).

Bu ülkelerin göze çarpan en büyük ortak yanı, askeri savunma sanayine yüksek bütçeler ayırmalarıdır diyebiliriz. Diğer ortak ve farklı özelliklerini de sıralarsak, bu ülkelerin neden siber güvenlik konusunda süper güç olduklarını daha iyi anlayabiliriz. Bu şekilde Türkiye’nin odaklanması gereken konular da net bir şekilde ortaya çıkacaktır.

Bilimdeki Genel Başarı (Hepsi)

Şu güneş gibi parıldayan gerçekle er ya da geç yüzleşmeliyiz: Dünyada siber güvenlik konusunda çok iyi olup da, diğer bilim dallarında çok kötü olan hiçbir ülke yoktur. Yukarıda saydığımız ülkelerin hepsinin köklü bir bilim kültürleri, farklı dallarda çok sayıda bilim insanları, dünyaca başarılı üniversiteleri ve bilime harcanan büyük bütçeleri vardır. Yani özetle, bu ülkeler bilime genel olarak önem vermektedir. Bu ülkelerin aldıkları toplam Nobel ödülü sayıları da şöyledir:

• ABD: 371
• Birleşik Krallık: 129
• Rusya: 26
• Israil: 12
• Çin: 8

Türkiye’deki Durum

Bu konuya çok derinden girmek istemiyorum. Fakat, Türkiye’nin tümden bir bilimsel faaliyet atılımı yapmadan, siber güvenlik alanında güçlü olma ihtimali yok denecek kadar az. En azından Wikipedia’nın açılması olumlu bir başlangıç olabilir diyelim.

Üniversitelerin Devlet ve Özel Sektör ile İş Birliği (ABD)

ABD’de siber güvenlik, tabiri caizse üniversitelerin omuzlarında yükselmektedir. Üniversiteler araştırma yapıp yeni problemler ya da teknikler ortaya koyar, özel sektör de bunları pratiğe dönüştürür. Özellikle kriptoloji alanındaki gelişmelerin neredeyse tamamını üniversitelere borçluyuz diyebiliriz.

Bunun yanında ABD’de üniversitelerin farklı rolleri de var. Kimi zaman devlet, üniversiteleri belirli konularda araştırma yapmaları için fonlar. Örneğin 2016 yılında FBI, Carnegie Mellon üniversitesine, TOR altyapısında güvenlik açığı bulmaları için yüklü miktarda ödenek ayırdı. Kesin olarak bilinmese de, Stuxnet projesinde de bu üniversiteden akademisyenlerin müdahil olduğu söylentisi mevcut. Bu üniversiteden olmasa bile, bu projenin akademisyenlerin yardımı olmadan gerçekleştirilmesi çok zor. Devletin pis işlerinin yanında, özel şirketlerin de üniversitelerle teknoloji partnerliği mevcut. Şirketin sağladığı bütçe ile üniversite araştırma yapar, şirket bu araştırmayı ticari başarıya dönüştürür, günün sonunda hem üniversite hem de şirket kazanır.

Türkiye’deki Durum

Türkiye’deki üniversiteler her sene çok başarılı bilgisayar mühendisleri (bilimcileri) çıkarsa da, siber güvenliğe yönelen kişi sayısı ne yazık ki kısıtlı. Fakat bence bundan daha kötüsü siber güvenliğe yönelen kişiler, mezun olduktan sonra kötü şirketlerde işe başlayarak, potansiyellerini yok ediyorlar.

Bu konuyu biraz daha açalım. Türkiye’de siber güvenlik alanında ARGE faaliyeti gösteren şirket sayısı, bir elin parmakları kadar. Danışmanlık tarafında da sağlam firma sayısı az. Çoğu danışmanlık firması birbirinin aynısı, 10 sene boyunca faaliyet gösterdikleri halde siber güvenlik dünyasına yaptıkları katkı koca bir sıfır. Siber güvenlik alanında çalışmak isteyen, Türkiye’nin en zeki öğrencileri ne yazık ki bu firmalarda heyecanla işe başlayıp, zaman içinde vasatlık potasında eriyorlar.

ABD’de olduğu gibi Türkiye’de de güvenliğin, üniversitelerin omuzlarında yükselmesi gerekli. O yüzden başarılı öğrencilerin, bu vasat firmalardan uzak tutulması lazım. Devlet, başarılı öğrencileri akademide kalmaya ve siber güvenlik alanında bilimsel faaliyetler göstermeye teşvik etmeli. Ancak bu şekilde üniversitelerde dünya çapında ses getirecek çalışmalar çıkar ve ileriki yıllarda yeni öğrenciler yetiştirecek akademik bir kitlemiz olur.

Bunun yanında kar marjı yüksek, ARGE yapmak isteyen fakat bunun için bir ekip kuramayan şirketler, üniversitelerle işbirliği yoluna gidebilir. Devletin ön ayak olmasıyla şirketler, üniversiteleri siber güvenlik alanında ürün geliştirmeleri için fonlayabilir, daha sonra bu ürünü ticari faaliyetlerde kullanabilir.

Devlet Teşviki ve Ordu Destekli Eğitim (İsrail, Rusya, Çin)

İsrail, kurulduğu günden bu yana sürekli olarak askeri tehdit altında yaşamını sürdürüyor. Çevresindeki diğer devletlere göre az bir nüfusa sahip olan İsrail, askeri teknolojilerini ve istihbaratını geliştirmeye odaklanıyor. Uzun zamandır da siber güvenliği bu kapsama dahil etmiş durumda. Fakat İsrail, askeri bağlamdaki siber gücü ile kalmayıp, özel sektörde de bir devrim yaparak dünya liderliğine oynamaktadır. Buradaki başarının iki sırrı var: Devlet teşviki ve ordu destekli eğitim.

İsrail’in silikon vadisi olarak anılan Cyberspark’ın başkanı Roni Zehavi, bu başarıyı şöyle özetliyor: “Bildiğiniz gibi İsrail’de zorunlu askerlik sistemi mevcut. İsrail ordusu vatandaşlarını kategorilendirme işinde çok başarılıdır. Zorunlu askere giden gençler arasında siber güvenlik potansiyeli olanlar, İsrail ordusu profesyonelleri tarafından eğitime tabi tutulurlar. Askerlik süreleri bittiği zaman da, siber güvenlik alanında çok kaliteli eğitim almış bireyler olarak, bu alanda çalışmaya devam ederler. ”

İsrail’deki siber güvenlik firmalarının çoğu, ordudan ayrılan kişiler tarafından kurulmuştur. Bu kişilerin özel sektöre atılması, aslında bir devlet politikasının sonucudur. Bunun yanında, zorunlu askerlik sistemi kapsamında yetiştirdikleri elemanları da bu şirketlere dahil ederek, teknik kapasitelerini artırmışlardır.

Türkiye’deki Durum

Türkiye’de son yıllarda devlet teşviklerinden söz edebiliyoruz. Bu bizim adımıza oldukça güzel bir gelişme. Fakat İsrail gibi zorunlu askerlik yapımız olmasına rağmen kişi kategorizasyonu yapmıyoruz. Örneğin ODTÜ Bilgisayar Mühendisliğini birincilikle bitiren bir kişi ile düşük eğitimli bir başkası, yan yana aynı şeyleri yapıyor. Şimdi burada popülist bir tavırla yaklaşırsak, bu iki kişinin aynı değerlendirilmesini doğru bulabiliriz. Fakat popülizm bizi başarıya taşımaz. Devletin zeki bir öğrenciden farklı, eğitimsiz bir bireyden farklı şekilde faydalanması gerekir. Eğer zorunlu askerlik sistemi devam edecekse, gelecek vaadeden bu kişiler, İsrail’in uyguladığı sistem gibi siber güvenlik tarafında değerlendirilmelidir. Böylece askerlik hizmetini bitiren her başarılı mezun, sektöre çok güçlü bir şekilde giriş yapabilir, ya da akademik anlamda çalışmalar yapabilir.

Siber Güvenlik Yazılımlarının Gelişim Evreleri

İnternet teknolojileri ilk icat edildiğinde işin güvenlik tarafı ihmal edilmişti. Tasarlanan protokollerin güvenli olması, bilim adamlarının önceliği değildi. Çünkü o zamanlar sistem çok kısıtlı bir kitle tarafından kullanılıyor, birilerinin bunu kötü amaçlar için kullanacağı akıllara gelmiyordu. Ancak bu teknolojiler yaygınlaştıkça, kötü niyetli insanların etkisi de arttı. Artık bilim adamları işin güvenlik kısmını da düşünmek zorunda kaldı. Bunu başarmak için kimi zaman en alt seviyede protokoller yeniden dizayn edildi, kimi zaman da güvenliğin sağlanması için üçüncü parti yazılımlar kodlandı. Bu yazılımların bazıları ücretsiz iken, bazıları ticari ürünlerdi. Dolayısıyla yeni bir sektör ortaya çıkmış oldu.

Siber güvenlik yazılımlarının geçirdiği evreleri şöyle detaylandırabiliriz:

0. Başlangıç Evresi (… - 2001)

Bu evrede, çok temel güvenlik problemlerine üretilen çözümler gözümüze çarpıyor. Çalışmaların çoğu, network güvenliği üzerine yapılmış. Bunun yanında az sayıda antivirüs yazılımı da var. Bu dönemde web teknolojileri henüz yeni yeni ortaya çıktığından, web güvenliği üzerine pek bir yazılımdan söz edemiyoruz. Bu dönemde ortaya çıkan bazı yazılımlar:

• 1987 - Mcafee, NOD (Ticari)
• 1991 - Norton (Ticari)
• 1994 - Bro IDS
• 1997 - nmap
• 1997 - Kaspersky (Ticari)
• 1998 - Wireshark, Snort
• 2000 - IDA (Ticari)

İlginç bir şekilde o dönem ortaya çıkan yazılımların neredeyse tamamı, günümüzde halen aktif olarak kullanılıyor. Bu yazılımlar, 25 sene boyunca gelişerek mükemmel bir hal almış. Bunun yanında bu dönem geliştirilen yazılımların çok büyük çoğunluğu ABD çıkışlıdır.

Türkiye’de Durum Nasıldı, Neler Yapılmalıydı?

Bu dönemde bırakın siber güvenliği, bilgisayar ve internetin ne olduğu bile Türkiye’de yeni yeni anlaşılıyordu. Sadece Türkiye’de değil, dünyanın çoğunluğunda durum bu şekildeydi. O yüzden Türkiye’nin başlangıç evresi döneminde bir atılım yapması imkansıza yakındı.

1. Kullanım Kolaylığı Evresi (2001 - 2009)

Bu evrede artık sadece geeklere hitap eden yazılımlardan ziyade, kullanım kolaylığı ve bir miktar otomatiklik sağlayan yazılımlar ortaya çıkmaya başlamıştır. Bu dönemde ortaya çıkan yazılımlar kendi içlerinde çok fazla problem barındırsa da, bu alanda yeni bir çağ başlatmış oldular. Bu evreyi 2001 yılında “Core Impact” adlı yazılımın ortaya çıkışıyla başlatabiliriz. Core Impact, dönemine göre çok büyük bir atılım gerçekleştirerek, görsel bir arayüz ile penetration testing işlerini otomatikleştirmeye çalışmıştır. Bu dönem aynı zamanda açık kaynak kodlu penetration testing yazılımlarının da patlama yaptığı bir dönemdir. Bu dönemde ortaya çıkan bazı yazılımlar:

• 2001 - Core Impact (Ticari)
• 2002 - Ettercap
• 2003 - Nessus
• 2005 - Acunetix (Ticari)
• 2006 - Immunity Canvas (Ticari)
• 2007 - Metasploit Framework, sqlmap, aircrack
• 2008 - Appscan (Ticari)

Başlangıç döneminde olduğu gibi bu dönemde de ortaya çıkan yazılımlar, günümüzde halen sıkça kullanılıyor. Bunun yanında bu dönem ortaya çıkan açık kaynak kodlu yazılımlar, büyük şirketler tarafından satın alınarak ticari ürünlere dönüştürülüyor. Örneğin Nessus ve Metasploit açık kaynak olarak çıkış yapmış olmakla beraber, daha sonra ticari ürünlere dönüşmüşlerdir.

Türkiye’de Durum Nasıldı, Neler Yapılmalıydı?

Bu dönem, Türk güvenlik tarihi açısından altın çağ diye tabir edebileceğimiz bir dönemdi. Bu yıllarda Türkiye’de, köklü bir hacking kültürü doğup büyümüştür. Türkiye’de şu an bulunan en iyi hackerlar da aslında o jenerasyonun gençleridir. Peki siber güvenlik yazılımları konusunda nasıldık? Ticari ürünler klasmanında olmasa da, hacking tarafında Türk yazılımları dünyaca ünlüydü. Örneğin malware tarafında şu yazılımlar Türkiye’den çıkmıştır:

• 2003 - Turkojan
• 2004 - Prorat, Proagent

Bu yazılımlar o dönem, dünyanın favori malware’ları arasındaydı. Günümüzde Metasploit nasıl bir saygı görüyorsa, Turkojan de o seviyedeydi. Diğer bir önemli yazılım da şuydu:

• 2007 - Denyo Launch

Denyo Launch, alanında yapılmış nadir yazılımlardandı. O dönemki hacking sahnesinin efsane isimlerinden Aytek Üstündağ (Holyone) tarafından geliştirilmişti.

Peki Türkiye bu hacking enerjisini neden startup enerjisine dönüştüremedi? Cevabı aslında çok karmaşık değil: Devlet bu konuyla ilgilenmedi. Aslında Turkojan, Prorat ve Proagent gibi yazılımlar amatör olarak ticari faaliyette bulunmaya çalıştı, ancak büyük bir şirkete dönüşmeleri mümkün olmadı. Eğer burada bir yatırımcı teşviki olsaydı, İtalyan Hacking Team gibi alanında lider bir spyware (casus yazılım) şirketine dönüşebilirlerdi. Aynı şekilde Aytek Üstündağ da desteklenseydi, alanında başarılı penetration testing yazılımları üretebilirdi. O dönemde hem Türkiye’nin siyasi imajı iyiydi, hem de Türk siber güvenlik yazılımlarına duyulan bir saygı vardı. Dolayısıyla devlet teşviki ile kurulacak bu şirketler, büyük patlama yapabilirdi. Bu fırsatı kaçırmış olduk.

Peki hiç mi bir şey yapamadık? Tabiki hayır. Önümüzde Netsparker gibi, çıtayı çok yukarılara taşımış bir örnek var. Ancak Netsparker, Ferruh Mavituna’nın kişisel bir başarısıdır. Ara ara ülkeden böyle zeki insanların çıkması normaldir. Nadiren çıkan bu insanları, ülkenin başarısı olarak göstermek doğru değildir. Ferruh Mavituna bu başarıyı bir şeyler sayesinde mi yakalamıştır yoksa bir şeylere rağmen mi? Büyük ihtimalle bunun cevabı “rağmen”dir. Biz de İsrail gibi onlarca, yüzlerce başarılı startup yaratmayı sağlayabilirsek, ülke başarısından söz edebiliriz.

2. Olgunluk Evresi (2009 - …)

Bu dönemde güvenlik yazılımları artık çok stabil bir hale gelmiş, insan yeteneğine olan gereklilik önceki döneme nazaran düşmüştür. Özellikle bulut teknolojilerinin yaygınlaşması ve ucuzlaması, bu evreyi ortaya çıkaran başlıca etmenlerdendir. Bu evrenin başlangıcını, Cloudflare ve Splunk Cloud gibi yazılımların ortaya çıkmasıyla başlatabiliriz. Cloudflare sayesinde çözülmesi maliyetli güvenlik problemleri, çok ucuz fiyatlara çok geniş kitlelere ulaşabildi. Splunk Cloud gibi çözümler de şirketleri kapasite ve işleme maliyetinden kurtardı, çok büyük veriler ucuz fiyatlara işlenebilir hale geldi.

Bu dönemde ortaya çıkan yazılımları tek tek listelemeye gerek yok, zaten her gün gördüğümüz şeyler.

Türkiye’de Durum Nasıl, Neler Yapılmalı?

Türkiye bu dönemde siber güvenliğin önemini kavradı ve devlet bazında teşvikler geldi. Bununla birlikte bu dönemde, pek çok yerli güvenlik yazılımı ortaya çıktı. Bu yazılımların uluslararası başarısı şu an için kısıtlı olsa da (Netsparker hariç), iyi bir potansiyel barındırıyorlar. Burada yapılması gereken birinci şey, hem devlet bazında hem özel sektör bazında, geleceğin teknolojisini üretmeye aday şirketlerin desteklenmesidir. Devlet bu şirketlere vergilendirme konusunda büyük iltimaslar sağlamalı, özel sektör de eğer imkanları varsa bu şirketlerin müşterisi olmalı.

Fakat yine de bu şirketlerin sayısı, ülkece bir atılım gerçekleştirmek için çok yetersiz. Burada başarılı ülkelerin izinden gitmekte fayda var. Bu kriterleri yazının ilk başında değerlendirmiştik.

• Türkiye bilimsel faaliyetlerde toptan bir devrimi hedeflemelidir.
• Üniversitelerin devlet ve özel sektör ile olan bağı güçlendirilmeli, siber güvenlik alanında daha çok akademisyen yetiştirme hedeflenmelidir.
• Eğer zorunlu askerlik sistemi devam edecekse kişi kategorizasyonu yapılmalı, zeki mühendislerin siber güvenlik tarafında çalışması sağlanmalıdır.

3. Yapay Zeka Evresi (… - …)

Bu evrenin ne zaman başlayacağını bilmiyoruz, belki 5 yıl belki 10 yıl sonra. Ancak olgunluk evresinden sonra bu evreye geçileceği neredeyse kesin gibi. Bu evrede siber güvenlik ile yapay zeka teknolojilerinin iç içe geçtiğini göreceğiz. İnsana olan ihtiyaç çok azalacak, algoritmalar her şeyi kendileri halledecekler. Dünyanın ilk yapay zeka hackerlarını da bu dönemde göreceğiz. Yeni kurulan Cylance, Darktrace gibi firmalar yapay zekayı defansif güvenlik alanında kullanmanın adımlarını atsa da, henüz toplu bir evre değişiminden bahsedemiyoruz.

Türkiye Neler Yapılmalı?

Yapay zeka teknolojilerinin üniversite desteği olmadan geliştirilmesi çok zor. Çünkü yapay zeka yöntemlerinin neredeyse hepsinin temeli üniversitelerde atılıyor. Bu teknikler daha sonra özel şirketler tarafından pratiğe dönüştürülüyor. Dolayısıyla bu evrede başarı sağlamak için üniversiteler ile işbirliği şart. Devlet, yapay zeka alanında çalışan akademisyenleri ve öğrencileri, siber güvenlik alanında da çalışma yapmaları için teşvik etmeli. İlk bölümde bahsettiğim gibi, kar marjı yüksek ama ARGE yapamayan şirketler, yapay zeka alanında çalışma yapan akademisyenleri fonlayabilir, bu şekilde ticari ürünler üretilebilir.

Eğer bu alanda çalışmalar yapmaya şimdiden başlamazsak, bu treni de kaçıracağız. Bu durağa bir sonraki tren ne zaman gelecek, bilmiyoruz. Ancak uzun süre boyunca gelmeyeceğini söyleyebiliriz.