“Siber Sohbet” adlı video serimizde, siber güvenlik ve kriptografiye dair az bilinenleri, doğru bilinen yanlışları veya gündemden haberleri ele alıyoruz. @GSL-Muhendislik GSL Mühendislik’ten Damla Güneş ile birlikte yaptığımız bu sohbette şu sorulara cevap aradık:
- Siber güvenlik regülasyonlarında mevcut durum ne?
- “Best practices”in ne olduğuna kim karar veriyor?
- NIST’in sözü standart mıdır?
- Türkiye’de durum ne?
- Hukukçulara ne iş düşüyor?
- Avrupa Birliği siber güvenlikle ilgili ne yapıyor?
#sibergüvenlik #sibersohbet #kriptografi #cihangirtezcan #damlagüneş #kripto
Damla Güneş: Merhabalar Siber sohbete hoş geldiniz. Ben GSL Mühendislik’ten Damla Güneş ODTÜ Siber güvenlik anabilim dalı başkanı Cihangir Tezcan’la birlikteyim. Bugünkü konumuz Siber güvenlik regülasyonları. Siber güvenlik sürekli gelişmelere açık bir alan olduğu için onu regüle etmek de o kadar kolay olmuyor. Peki şu anda regülasyonlarda mevcut durum ne istersen ondan başlayalım.
Cihangir Tezcan: Regülasyonlar tahmin edildiği üzere çok geriden geliyor yani teknolojik bir alanda regülasyon çıkartmak oldukça zor. Senin de dediğin gibi Siber güvenlik zaten çok hızlı gelişen bir alan haliyle regülasyon çıkarttığında zaten geride kalmış oluyorsun. O yüzden kendini sürekli yenileyebilecek şekilde bu regülasyonların, yasaların, yönergelerin tasarlanması lazım ve her ülkenin tabii bunu kendisinin yapması gerekiyor. Ama bu konuda başarılılar mı dersen aslında pek değil. Çünkü çoğu ülkenin Bununla ilgili direkt bir yasası yok. Herkes genellikle Siber güvenlik önlemleri alınsın en iyi yöntemler uygulansın gibi şeyler yazıyor yasalara. Haliyle bu da bizi en iyi yöntemleri biliyor muyuz ve uyguluyor muyuz sorusuna getiriyor gündelik hayatta karşılaştığımız Siber olaylarda bazen bu en iyi yöntemlerin uygulanmadığını çok net görüyoruz.
Damla Güneş: Peki en iyi yöntemin ne olduğuna kim karar veriyor?
Cihangir Tezcan: Güzel bir soru burada konuya bakmak lazım Mesela kriptografi alanında biz hangi kriptografik algoritmaların güvenli olduğunu ve ne şekilde kullanılması gerektiğini biliyoruz. Ve bununla ilgili birçok kurum mesela Amerika’da NIST, bununla ilgili çok güzel dokümanları var ve tavsiyelerde de bulunuyor. O kurallara uymayıp sonra bir Siber saldırıya maruz kalınca haliyle en iyi yöntemleri uygulamamış oluyoruz. Bu bazı uzmanlık gerektiren alanlarda herkes bu en iyi yöntemleri anlayamıyor ve bazen de bu bilginin yayılması uzun sürüyor. Yani 20 yıl önce aslında kırılmış ve artık kullanılmaması gereken kriptografik algoritmaları biz hala sahada görebiliyoruz.
Damla Güneş: Peki NIST dedik NIST bu konuda bir şeyler söylüyor dedik NIST’in söylediği bir standardizasyon haline geliyor mu? Herkes farklı bir şey mi
söylüyor en iyinin ne olduğuna dair?
Cihangir Tezcan: Şöyle, NIST aslında Amerikan standartlarını belirliyor. Yani onlar federal kullanım için bunu yapıyorlar. Ama bir şey Amerikan standardı olduğunda aslında dünya standardı olmuş oluyor. Dolayısıyla NIST mesela kriptografi gibi bir alanda ne diyorsa bütün dünya neredeyse ona uyuyor. Tabii kriptografi Siber güvenliğin aslında sadece ilgili dallarından bir tanesi. Dolayısıyla o daha net bir bilim olarak bakabildiğimiz için kesin konuşabiliyoruz orada. Ama Siber güvenlikte bu kadar kesin konuşmamız mümkün olmuyor. Yani bir yazılım yapıp “Aa bunun kırılması mümkün değil hiçbir zafiyeti yoktur” dememiz mümkün değil. Bunu ispatlayamıyoruz. Bu yüzden genellikle beklenmedik saldırılara da maruz kalırız. Bu yüzden zaten Siber Güvenlik alanı kendini sürekli yenilemek zorunda.
Damla Güneş: Peki Amerika’nın dediği tabii ki bir hedef olarak insanları bir rehber olabiliyor. Peki Türkiye’de buna ne kadar uyuluyor? Türkiye’de Siber Güvenlik regülasyonlarında sence durum ne?
Cihangir Tezcan: Benim bildiğim aslında direkt duyduğum yasalar genellikle bazen geriden geliyor ve yani bunlar bazen de yasalarda net şekilde belirlenmiyor. Bana bazen bir doküman geldiğinde yani böyle bir yapım aşamasında bir yönerge ve de vesaire yasa var ilgili düşünceleriniz varsa yazın dediklerinde ben hemen “A bakın kriptografik anahtar uzunluğundan hiç bahsedilmiyor burada” diye bir not düşüyorum. Ve halbuki işte NIST her zaman şunu söylüyor 112 biten daha az güvenlik olmaz gibi bir yaklaşımları var çünkü o da mevcut teknolojiyi düşünerek öyle bir sınırı hesaplamış durumda. Ama bizim yasalarımızda bu bit sayısı belirtilmezse haliyle kırılmış bir algoritmayı kullanabiliriz.
Şöyle bir örnek vereyim mesela kriptografik özet fonksiyonlar var tarihsel olarak MD4, MD5, SHA1, SHA2 diye bir kronolojik sırayla gidiyor. Ben master yapmaya başladığımda bu alanda, yani yıllar önce, SHA1 akademik anlamda kırılmıştı ve SHA2 kullanıyorduk biz. Ve hiç MD4, MD5 kullanmamıştık. Ama pandemi sırasında Meslek Yüksek okullarındaki bilgisayar öğretmenlerine eğitim verdiğimde onlar MD5’in kırılmış olduğunu benden öğrendi ki, yani dediğim gibi ben üniversite hayatıma başlamadan önce kırılmış bir şeyi onlar ben o dersi verene kadar derslerinde kırılmamış diye anlatıyorlardı. Ve kendileri de yazılım yazdıklarında onu kullanıyorlardı. Ve bunu da genellikle parola yedeklemek yani bir internet sayfasında hesap açtığımızda bir parola seçiyoruz ya, onların veri tabanında nasıl tutulduğunda kullanıyoruz kriptografik özet fonksiyonları. O yüzden Türkiye’de çoğu insan MD5 ile bunu tutuyor ve onları kırması çok kolay. Veri tabanı sızdığında yani birçok insanın parolası sızabilir.
Damla Güneş: Bir de mesela bir regülasyon yapılırken bir yönetmelik mesela devreye gireceği zaman çok fazla farklı paydaşın fikrini almak durumundalar. Dolayısıyla yönetmelikler o kadar kolay da çıkmıyor. Bildiğim kadarıyla regülasyonlar o kadar kolay yapılabilen şeyler de değil. E zar zor yaptık regülasyonu devreye alacağız bir bakıyoruz Şimdiden çok geriden geliyoruz.
Cihangir Tezcan: Aslında burada yani o noktada geride kalmış olmanız çok önemli değil. Çünkü en azından temelleri oturtmuş oluyoruz burada. Söylediğin o kadar iyi ki normalde o alanda bir bilgi birikiminin olması lazım bu açıdan NIST’i örnek verip Türkiye ile kıyaslayalım. NIST çok güzel bir kurum çok kaliteli akademisyenler var çok iyi çalışanlar var. Ve onlar aslında bu konuyu araştırıp çok güzel bir draft metin hazırlıyorlar.
Yani ilk işe başlangıç dokümanı ve bunu internet sitesine koyup herkese de
duyurup hem sektörden hem de akademisyenlerden görüş istiyorlar biz
istediğiniz gibi müdahale edebiliyoruz. “Şunu göz ardı etmişsiniz bunu şöyle demişsiniz ama şu olmalıydı” ve bütün verdiğimiz yorumlara onların cevap yazması gerekiyor. Ve bundan sonra o zaten yasa ya da yönerge ya da regülasyona dönüşüyor.
Hani Bizim ülkemizde böyle mi? Söyle söyleyeyim, benim uzmanlık alanlarımın hiçbirinde fikrim sorulmadı. Dolayısıyla bizde hani o herkese açık görüş kısmı yok. Eğer birileri bu dokümanları hazırlıyorsa. Ama şu da var bazı alanlarda çok az insan çalışır. Mmesela kriptografi alanında belki 100 kişi sayamayabiliriz Türkiye sınırları içerisindeç Dolayısıyla NIST’in hazırladığı öyle bir dokümanı Türkiye’de kim hazırlayabilir ondan da emin değilim. Yani benim görüşüm sorulmadı ama tamam bana sormaya bilirler. Ama birilerinin bilip onu hazırlamış olması lazım. O kadar bilgili insan var mı? Yani benim son 20 yılda gördüğüm genellikle ben bir şey anlattığımda herkes ilk defa duyuyor oluyor. Dolayısıyla yani bizde yasalar o alanda yoktur gibi yaklaşmamın bir sebebi oç Çünkü hiç duymadım işin aslı.
Damla Güneş: Mesela ben de araştırdığımda ne gibi yönetmelikler ne gibi düzenlemeler var diye araştırdığımda, aslında Türkiye için en kritik altyapılardan biri olan enerji sistemlerine yönelik bir yönetmelik çıkarıldığını gördüm. Buna dair bir Siber güvenlik yetkinlik modeli yönetmeliği var burada. Hakikaten o sistemlerde kullanılan bütün cihazları
tanımlayıp bunlara belli seviyeler belirleyip bu seviyedeki cihazların bu tarz uygulamalarda “işte şu kadar Siber güvenlik önlemi alması gerekir” şeklinde belli yönergeler belirlenmiş aslında. Fakat, mesela ben burada baktığımda son haline baktığımda ,cezai yaptırımının ne olduğunu da çok anlayamadım. Dolayısıyla aslında bir yönetmelik çıkardığımız zaman onu ne kadar yaptırabildiğimiz, ne kadar enforse edebildiğimiz de bir o kadar önemli oluyor.
Cihangir Tezcan: Hem öyle hem de biraz burada aslında hukukçulara iş
düşüyor. Yani biz bazen yani sıradan insanlar olarak hukuktan çok anlamıyoruz. Aslında vatandaş olarak da haklarımızı bu açıdan çok bilmiyoruz. Yani genellikle bunun bir sırası var, yani kanun yasa yönetmelik yönerge vesaire gibi. Yani en detaylar en altta açıklanır. Bizde genellikle o en iyi şekilde açıklanmış kısmı eksik. Yani bir yasayı çıkarttığımızda o yüzden orada birkaç cümleyle işte Siber güvenlik önlemleri alınsın diye geçmek zorunda. Ama nasıl yapacağını işte onu yönergelerde belirtiyor olman lazım. Daha alt dokümanlarda tüzüklere kadar inebilir, yani dernek tüzüğü gibi düşün. Yani onun hukuksal bir süreci var. Bu alt dokümanları ben hiçbir zaman görmedim. O yüzden hani şeyini bilmiyorum, yani ne şekilde sağlamamız isteniyor bilmiyorum. Aama dediğim gibi o dokümanları hazırlayabilecek bilgi birikimi de var mı, düzgün hazırlanıyor mu ondan emin değilim. Dediğim gibi benim karşıma gelen fikrimin sorulduğu bir iki dokümanda yani kriptografik kısmının çok eksik şekilde geçildiğini görüyorum. “Şifreleme uygulansın” gibi bir cümleyle geçilebiliyor. Halbuki bu şey demek, yani yıllar önce kırılmış Bir algoritmayı da kullanabilirsine izin veriyor aslında. Daha net, yani sınırları net şekilde koyulmalı ki, bu sefer cezai yaptırımı da konuşabilelim. Yani şuna uymadığı için ceza veriyoruz dememiz gerekecek o zaman.
Damla Güneş: Peki bu tartışmalarda illaki Amerika’nın ne düşündüğü çok önemlidir ama Avrupa Birliği’nde de bununla ilgili bir şeyler yapılmıyor mu? Yoksa onlar daha da mı geriden geliyor?
Cihangir Tezcan: Avrupa Birliği regülasyonlarda inanılmaz derecede önde ve bu aslında biraz eleştirilen bir konu. Mesela Yapay Zeka regülasyonlarıyla uğraştıkları için “Ya biz dünyanın gerisinde kalıyoruz” diyor Avrupa Birliği’ndekiler. Farkındaysan bu zengin Yapay Zeka firmaların hiçbiri Avrupa Birliği’nde değil. Hepsi Amerika’da ya, bu
yüzden eleştiriyorlar. “Ya siz yasa çıkartmakla uğraşmayın kurumların
önünü açın sonra çıkartırız” gibi bir yaklaşım var. Şu an tartışılan konu bu.
Tabi biz de hani çok fazla telif hakkı ihlali, işte mahremiyet problemi olabilir diye regülasyonların çıkması taraftarıyız. Avrupa Birliği o yüzden her zaman kuralları düzgün yapmaya çalışıyor. Bunu şeyden de hatırlayabiliriz mesela, biz kredi kartlarımızda CHIP & PIN’e çok önceden geçtik. Avrupa birliği ile birlikte geçtik biz. PIN girerek ödemelerimiz yapıyorduk. Biz ona geçtikten belki 10-15 yıl sonra bile Amerika’da hala imzayla kredi kartı kullanılıyordu. O yüzden yine bu konuda da Avrupa Birliği önde. Çünkü NIST’in yaklaşımı, genellikle birçok konuda
doküman hazırlıyor. Bunlar bazen standart oluyor ama Siber güvenlik açısından bir framework’leri var. Yani çok küçük bir doküman, yani en iyi önlemleri alına giden bir yaklaşım. Tabii bir döngü belirliyor bir sorun olduğunu şunu yapın bunu yapın gibi bir yaklaşımları var ama bu bir regülasyon ya da yasa değil.
Avrupa Birliği’nde ise NIS diye bir directive var bu direk bir yönerge. Yani ülkeler ona uymak zorunda, Avrupa Birliği üyesi ülkeler. İlk hali 2016’ydı
sanırım özellikle çok kritik altyapılara odaklıydı, nükleer santraller gibi. O yüzden mesela Belçika bu konuya çok önem veriyor. Belçika’da 100 kurumu ilgilendirecek bir şeydi NIS. Şimdi NIS 2 geliyor ve orada belki
Belçika’da 2000 3000 tane şirketin buna uyması gerekecek ve Avrupa Birliği içerisinde iş yapan bütün aslında şirketlerin buna uyması gerekiyor. Yani biz Türkiye olarak Avrupa Birliği’nde değiliz ama Avrupa birliği ile birlikte bir iş yapacaksak o yönergeye uymak zorundayız. Ve o yönerge aslında birçok kritik alanı kapsıyor ve nelerin yapılması gerektiğini güzel bir dokümanla açıklamışlar. Tabii yine bir noktada daha alt dokümanlarda detaylıca detaylara inip Siber güvenliğin nasıl sağlanacağını göstermek gerekecek.
Damla Güneş: Evet bugünkü Siber sohbetimizde Siber güvenlik regülasyonlarını konuştuk. Bizi dinlediğiniz için çok teşekkür ederiz. Bir sonraki Siber sohbetimizi kaçırmamak için bizi takip edebilirsiniz. Görüşmek üzere.
Cihangir Tezcan: Görüşmek üzere.
enCRYPTON project has received funding from the European Union’s Horizon Europe Research and innovation programme under grant agreement No: 101079319.
Funded by the European Union. Views and opinions expressed are however those of the authors only and do not necessarily reflect those of the European Union. Neither the European Union nor the granting authority can be held responsible for them.
