Muhaberat

Ulusal Siber Güvenlik Tatbikatı

‘Tatbikat’ denilince, yıllardır aklıma Kemal Sunal’ın Kapıcılar Kralı adlı filmindeki karakteri Kapıcı Seyid gelir. Filmin konusu saf görünüşlü ancak cin gibi kurnaz ve işini bilir bir kapıcının apartman sakinleriyle olan renkli ilişkilerini anlatan komediden ibaretti. Apartmanda yapılan yangın tatbikatında cinnet getiren Seyid, yanlış bir alarm ile olmayan ateş yerine konu komşuyu yangın söndürme aracıyla köpüğe bulardı. Filmdeki tatbikatın amacı belliydi, ancak sonucu anlamsızdı.
Geride bıraktığımız ay yapılan tatbikat, daha önce pek de alışkın olmadığımız türdendi. Fakat amacı da sonucu da belliydi; sonuç ülkenin veri güvenliği için kritik bir önem arz ediyordu. Ulusal Siber Güvenlik Tatbikatı, TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi (BİLGEM) ve Bilgi Teknolojileri ve İletişim Kurumu işbirliğiyle 25-28 Ocak 2011 tarihleri arasında gerçekleştirildi. Ulusal Siber Güvenlik Tatbikatı; finans, elektronik haberleşme, eğitim ve savunma sektörleriyle silahlı kuvvetler, adli ve kolluk birimleri ve çeşitli bakanlıkların ilgili birimlerinin temsilcilerinden oluşan 41 kamu ve özel sektör kurum ve kuruluşunun katılımıyla gerçekleştirildi. Katılımcıların altısı, tatbikata gözlemci statüsünde katıldı. Tatbikatta katılımcı kurumlardan bilgi güvenliği uzmanı, hukukçu ve haberleşme uzmanı statüsündeki 200’e yakın kişi görev aldı.

Peki, amaç neydi?
Tatbikatın temel amaçları katılımcı kurumları siber savaş tehdidine karşı alınması gereken önlemler ve olası saldırılar karşısında verilmesi gereken tepkiler konusunda bilgilendirmek ve siber güvenlik bilincinin ülke genelinde artırılmasını sağlamaktı.
NATO ve Avrupa Birliği tarafından düzenlenen uluslararası geniş kapsamlı siber tatbikatlarda dahi henüz uygulanmamış olan gerçek saldırı yöntemlerinin hayata geçirildiği tatbikatın ilk iki günlük kısmında gerçek saldırılar uygulanırken; son iki günlük kısmında ise yazılı ortamda olası saldırı senaryoları değerlendirilerek teknik, idari ve hukuki süreçler de ele alındı. Tatbikatta; 83 gerçek saldırı, 450’nin üzerinde yazılı senaryo değerlendirildi ve tatbikat gerek içeriğinin türü gerekse içerik miktarı açısından dünyada yapılmış olan önemli siber tatbikatlar arasında yerini aldı. Katılımcı kurumların siber saldırı durumunda verecekleri tepkilerin gerçek ve benzetim ortamındaki saldırılarla ölçülmesiyle, kurumların hem teknik eksiklik ve kabiliyetlerinin hem de kurum içi ve kurumlar arası koordinasyon yeteneklerinin değerlendirildiği Ulusal Siber Güvenlik Tatbikatı başarıyla tamamlanmış oldu.

Her türlü saldırı senaryosu da ele alındı
Daha önce de bir kez gerçekleştirilen Ulusal Siber Güvenlik Tatbikatı’nda, katılımcı kurumların teknik kabiliyetlerini tespit etmek ve kurumlara olası saldırılara karşı müdahalede pratik kazandırmak amacıyla hem gerçek saldırılar hem de yazılı ortamda senaryolar gerçekleştirildi. Gerçek saldırılar kapsamında; bağlantı yuvası taraması, dağıtık servis dışı bırakma saldırısı, Web sayfası güvenlik denetimi ve kayıt dosyası analizi olmak üzere dört farklı faaliyet gerçekleştirilirken; yazılı senaryolarda ise elektrik kesintisi, kurum içinden veri sızdırılması, Web sayfasının ele geçirilmesi, sosyal mühendislik saldırıları gibi olası saldırı senaryoları karşısında kurumların verdikleri tepkiler yazılı olarak değerlendirildi.
Tatbikat çerçevesinde, sadece belli zaman aralıklarında katılımcı kurumların sahip oldukları sistemlerin bu tür saldırılara ne kadar dayanıklı olduklarını tespit etmek ve kurumların olası benzer bir saldırı esnasında müdahale yeteneklerini geliştirmeye yönelik olarak dağıtık servis dışı saldırısı gerçekleştirildi. Tatbikatı sonuçları kapsamında biri katılımcı kurumlara verilmek üzere, diğeri genel olarak tespitlerin sunulacağı ve kamuoyuyla paylaşılacak iki rapor hazırlanacak.
Tatbikatın sonuçlarının ne olacağı büyük önem taşıyor kuşkusuz. Aslında sonuçlarından ziyade böylesine geniş kapsamlı bir tatbikatın yapılması, farkındalığın artırılması ve açıkların kapatılması için çok daha önemli. TÜBİTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) Müdür Yardımcısı’nın dediği gibi; “Evinize hırsız girdiği zaman nasıl hemen polis çağırıyorsanız, evinizdeki bilgisayara da birisi girdiği zaman aynı işi yapacak kolluk kuvveti gerekiyor.”