Türkiye siber savaşa hazır mı

Çünkü Beyaz Saray’da Terörle Mücadele Çarı’yken, 11 Eylül’den önce El Kaide’nin çok büyük bir saldırı planladığını söylediği halde Bush Yönetimi’ne dinletemedi. Richard Clarke şimdi15 yıl önce Beyaz Saray’da kucağına verilen siber güvenlik konusunda bir uzman. Ofisinde iki saat görüştük. Konumuz... Cassandra’nın gözünden siber savaş

Bu işin birbiriyle kesişen dört şekli var.
1) Anonymous tarzı hackerlar. Bu grup, genelde politik amaçlarla bilgi hırsızlığı yapan ya da kurumlara saldırılar düzenleyen gençler. Aktivist hacker’ların haktivizmi.
2) Aktivistlerin bir bölümünün de dahil olduğu siber suçlular. Kredi kartı bilgilerinizi çalmaya çalışan adi hırsızlar.
3) Yaptıkları işi bazen siber suç kılıfına sokan siber casuslar. Hükümetlerin, şirketlerin bilgilerini çalmaya çalışan başka bir ülkenin adamları.
4) Siber savaşçılar!.. İşe casusluğu da katan, bir ülke adına başka bir ülkenin siber altyapısına saldırıp elektrik santrallerinden askeri savunmalarının çökertilmesine fiziki zarar veren askerler.
Zaten anlaşmışız. Ben “Washington’ı sevmiyorum” demişim. O bana “Ankara daha beter” demiş. Kese biçe gidiyoruz. Clarendon’daki şirketi Good Harbor’ın konferans salonunda baş başa konuşurken kalktı, tahtada, ders anlatır gibi bana teker teker bu dört alanı şemalarla açıklamaya başladı. “Peki” dedim bir yerde. “Şimdiye kadar kaç siber savaşa tanık oldu dünya?” “Dört” dedi: “İlki bundan beş yıl önce, 2007 nisanında Rusya’nın Estonya’ya düzenlediği siber saldırı. İkincisi, aynı yılın eylül ayında İsrail’in Suriye’nin nükleer tesislerine yaptığı hava operasyonu öncesi Suriye’nin savunma sistemlerini siber saldırıyla felç etmesi. Üçüncüsü, 2008 Osetya Savaşı’nda Rusya’nın Gürcistan’a yaptığı atak. Dördüncüsü, 2009’da kimliği belirsiz bir ülkenin Stuxnet yazılımıyla İran’ın nükleer tesislerini çökertmesi.”
“Kimliği belirsiz kim olabilir?” dedim. “ABD’den başka kimse bunu başaramaz. Kendilerine İsrail süsü verip saldırdılar” dedi. “O halde bugün ABD dünyanın siber patronu” dedim. “O kadar emin olma” dedi. Şirketindeki koridorlardan birinde asılı haritaların yanına gittik. Dünyanın kıtalararası fiber optik kablo ağı. “ABD’nin saldırı kapasitesi var. Ama savunma planı yok. Çin, ülkesine gelen tüm fiber optik ağları kontrol ediyor. Saldırı olursa tek bir düğmeyle Çin’in dünyayla bağlantısını keserler. Ama Amerika’da onlarca ağ var dışarıdan gelen ve Çin’deki gibi bir düğme yok. Ne bir düğme var ne de bir filtreleme. ABD tehlikenin farkında değil. Diğer ülkelerdeki durum çok daha vahim. Bugün dünya siber savaşın tüm tehlikelerine açık.”

Rus-Çinli farkı

2010’da bestseller olan kitabı ‘Siber Savaş’ta, İsrail’in Suriye’ye düzenlediği siber saldırıyı tüm detaylarıyla anlatıyor Clarke. Kör ediyorlar Suriyelileri. Ve Esad’ın askerleri daha ne olduğunu anlamaya çalışırken nükleer tesisler İsrail jetleri tarafından yerle bir ediliyor.
Bu işin açık kısmı. Gerçek savaşa eşlik eden siber savaş. Ancak Clarke’e göre siber savaşın asıl önemli riski, kim vurduya gitme ihtimali. Siber saldırı konusunda en yetenekli ülkeler ABD dışında Rusya, İngiltere, Almanya ve İsrail. Bunlar bir yere saldırdı mı, saldırının onlardan geldiğini anlamanız çok güç. Onlardan hemen sonra gelense dünya pazarında Çinli şirketlere rakip her uluslararası şirkete saldırma potansiyeli taşıdığı düşünülen Çinliler: “İsmini veremem. Avrupa’da bir ülkenin Dışişleri Bakanlığı bizden yardım istedi. Araştırdık. Çinlilerin o ülkenin Dışişleri Bakanlığı network’üne sızdığını, network’te bir arama motoru oluşturup sekiz yıl boyunca her hafta başı bütün yazışmalarda spesifik bir konuda araştırma yaptıklarını tespit ettik.”
Rusların nasıl çalıştıklarının bir örneği olarak da... “Pentagon’da network’e girdiğinizde internete bağlantınız yoktur. Afganistan’da bir Amerikan askeri özel bir rapor üzerinde çalışıyor. Raporunda kullanılmak üzere bir resme ihtiyacı oluyor. Ve elindeki flaş belleği kullanıp internet bağlantısı olan bilgisayardan aldığı resmi Pentagon network’üne bağlı bilgisayara yüklüyor. Ve bum. Flaş bellek, network’e girer girmez internet erişimi kurup network’teki binlerce belgeyi dışarıya yolluyor. Amerikan askerinin Afganistan’da çarşıdan aldığı o belleğin Ruslar tarafından hazırlanmış ve piyasaya dağıtılmış yüzlerce virüslü bellekten biri olduğu anlaşılıyor.”

HÜKÜMET: Kimse bilmiyor, sen öğren

“Nasıl girdiniz bu siber güvenlik işine” dedim. “1997’de Ulusal Güvenlik Konseyi’ndeyken bana verdiler. ‘Bu işi bilmiyorum’ diye itiraz ettim. ‘Sen hızlı öğrenirsin’ diye üstüme yıktılar” dedi.
Amerika’da, ‘devlet’ kavramı politik tartışmalarda kullanılmaz. Onun yerine ‘hükümet’ vardır. Her seçilen başkan seçimin ertesi günü en ufak birimin direktöründen Ulusal Güvenlik Konseyi’ne bürokraside yaklaşık 5-8 bin atama yapar. “Ben yapmadım, devlet yaptı” diyememesi için. Siber güvenlikse Amerika gibi, kadroların hükümetlere göre değiştiği bir sistemde başından beri istisna. 1997’de Clarke’a yıkıyorlar. Sonra Başkan değişse de dokunmuyorlar.“Başarılı olduğunuz için mi kaldınız?” dedim. “Bugünle karşılaştırınca tempo farklıydı. Benim zamanımda toplam 200 vaka yaşandı. ‘Anti-virüs programları kullanın. Firewall’ları güncelleyin edin’ dedik mi, oluyordu. Şimdi öyle değil. Şimdi artık bunların hiçbiri yeterli gelmiyor” dedi.

ÖNERİ: Kaleyi değil tacı koru

Çok zorladım. “Bir terörle mücadele çarından danışmanlık alanlar kendilerini güvende hisseder, değil mi” gibi sorularla provoke ettim. Ama kesinlikle tüccarlaşmamış. Dediği... Bu işten kimse kaçamaz.
“Bir şirket danışmanlık isterse veririz. Çok para alırız. Çözüm öneririz. İsterlerse bu çözüm yollarını kime yaptırabileceklerini gösteririz. Ama yüzde 100 garanti veremeyiz. Mutlaka her şirket bir gün hack edilecektir.”
“Peki bu durumda ne yapmaları gerek“ dedim. “Çin’le rekabet ediyorsan mutlaka bir gün hedef olacaksın. Yapabilecekleri en iyi şey, hack edilmesinden en çok korktukları malzemeyi seçip ona odaklanmak” dedi. Tabloyu görüyorsunuz. Eğer tabloda şirketleri sembolize eden dikdörtgeni eski savaşlardaki bir kaleye benzetirseniz, kalenin kapıları çoğalınca savunmasına neredeyse imkansız diyebilirsiniz. Şirket laptoplarının wifi bağlantıları, network’e giren iPad’ler, şirketin internet hattından dışarıya çıkışı olan binadaki Otis asansör, Xerox faks vs...
Bu durumda Clarke’ın önerisi, kale yerine tacı korumak. Şirketin Ar-Ge projesini ya da CEO’nun dosyalarını.

PENTAGON: Sinop’taki kuleye ihtiyaç yok

Casusluk artık çok kolaylaştı diyor Clarke. “Eskiden Washington’daki Rus Elçiliği’nde çalışan bir KGB ajanının bir FBI ajanı ayartması çok zordu. Ama şimdi Moskova’da oturuyorsun. Ve hiçbir risk olmadan binlerce sayfa çalabiliyorsun. Eskinin casuslarına artık gerek yok.”
İstihbarat örgütleri sadece insan kaynağı açısından değişmedi Clarke’a göre. Altyapı da olduğu gibi farklılaştı: “Eskiden Sinop’ta büyük bir kulemiz vardı. Rusya’daki konuşmaları dinliyorduk. Ama şimdi buna ihtiyaç yok. Kimse radyofrekansı kullanmıyor. Ulusal Güvenlik Ajansı’nın (NSA) Maryland’deki kampüsünden bütün dünyadaki internet trafiğini izliyoruz. Bu konudaki bütçe Pentagon’a ait olduğundan, NSA ve Pentagon neredeyse tek bir kuruluş gibi çalışıyor. Amerikalı asker Sinop’a gitmesine gerek kalmadan her işini masasından halledebiliyor.”

TÜRK: Türkiye’de de ekip var

Bugün dünyada ABD dışında ordusunda siber komutanlık kuran birkaç ülke var. Clarke, “Biliyorum çünkü kartvizit bastırmışlar, konferanslarda veriyorlar” dedi. Norveç, Brezilya o ülkelerden. Türkiye’de durumu öğrenmek için üst düzey bir görevliye sordum. “Henüz Amerika’daki gibi dört yıldızlı bir komutanlık yok. Ama çalışmalar var” dedi. “Kaç kişi var ekipte” dedim. “Sayı veremeyiz” dedi.
Saat ilerledi. Clarke, kitabının yeni baskısını hediye etti. Son olarak... “Türkiye bu konuda nerede bir fikriniz var mı” dedim çıkarken. “Bilmiyorum. Ama ABD bile tehlikenin farkında değilken, çok umutlu değilim” dedi. Acaba yine haklı çıkacak mı Cassandra?