İngiliz Ulusal Siber Stratejisi ve Türkiye
2008 yılında askeri ataşe olarak Londra’ya tayin oldum. Bilmeyenler için söyleyeyim, askeri ataşeler ülkelerini sadece askeri alanda temsil etmez. Ataşeler aynı zamanda lojistik faaliyetlerin koordinasyonu, ev sahibi ülke ile kendi ülkesi arasında askeri iş birliği faaliyetlerinin koordinasyonu ve kendi ülkesinden gelen asker kişiler ve savunma bakanlığı personelinin faaliyetlerine nezaret gibi görevleri de yerine getirirler.
2008 yılında askeri ataşe olarak Londra’ya tayin oldum. Bilmeyenler için söyleyeyim, askeri ataşeler ülkelerini sadece askeri alanda temsil etmez. Ataşeler aynı zamanda lojistik faaliyetlerin koordinasyonu, ev sahibi ülke ile kendi ülkesi arasında askeri iş birliği faaliyetlerinin koordinasyonu ve kendi ülkesinden gelen asker kişiler ve savunma bakanlığı personelinin faaliyetlerine nezaret gibi görevleri de yerine getirirler.
Askeri ataşelerin ayrıca, istihbarat ile ilgili görevleri de vardır. Gittikleri ülkelerdeki askeri gelişmeleri, resepsiyonlarda temas kurdukları diğer ülkelerin askeri ataşeleri ve diplomatlarından öğrendikleri bilgileri ve emredilen diğer alanlardaki bilgileri toplarlar ve kendi ülkelerine gönderirler. Bu maksatla görev yaptıkları ülkenin basınını da günlük olarak düzenli bir şekilde tararlar ve önemli bir husus tespit ederlerse ülkelerine bildirirler.
Bu sebeple, ataşelik görevim sırasında İngiltere’de tespit ettiğim istihbarat değeri olan önemli gelişmeleri ben de her ülkenin askeri ataşesi gibi takip ediyordum. Bu maksatla sabah işe gelir gelmez yaptığım ilk şey İngiliz basınını taramak ve Türkiye’yi, özellikle de silahlı kuvvetleri ilgilendiren haber varsa haberin kopyasını alıp özetini Ankara’ya gönderiyordum. Yani Londra’da görev yaptığım iki yıl boyunca İngiliz basınını düzenli olarak takip ettim.
Bu sebeple gerek İngiltere merkezli gerek uluslararası olup İngilizce yayınlanan askerlik, güvenlik ve istihbarat ile ilgili dergilere de abone oldum. Bu dergilerin her sayısının basılı bir nüshasını bana gönderirlerdi. Bu dergilerde email adresim olduğundan, Türkiye’ye döndüğümde her yıl yaptıkları gibi posta adresimi sormaya devam ettiler. Ben de Ankara’da oturduğum evin adresini verdim ve o dergilerin çoğu, her sayılarını bana postayla gönderdiler.
Bir süre sonra, bu dergilerin bir kısmı basılı dergi göndermeyi bıraktılar ve yayınlarını email adresime soft olarak göndermeye başladılar. Emekli olunca adresim değişti ve çeşitli sebeplerle birçoğundan gelen e-postalara cevap vermedim. Bu yüzden şu anda sadece dört dergi e-posta gönderiyor. Ben de zaman zaman bunlara göz atıyorum. Bugün bunlardan birini okurken ataşe iken ve Türkiye’ye döndüğümde yaşadıklarım aklıma geldi ve bu konuda bir yazı yazmaya karar verdim.
Sanırım 2009 yılıydı. Bir gün İngiliz basınını tararken İngiltere’nin siber güvenliği ile ilgili bir yazıya rast geldim. Diğer gazetelere bakınca, aynı konunun tüm gazetelerde anlatıldığını gördüm. Sonraki günlerde haberin detayları gelmeye başladı. Yanlış hatırlamıyorsam bir benzin istasyonunda, bir flaş disk (flash dic) bulunmuş. İstasyon çalışanları, sahibini arayıp bulamayınca önemli bir şey var mı diye diski kontrol etmişler. Gördükleri karşısında telaşa kapılıp hemen polise haber vermişler. Endişelenmekte de haklıymışlar çünkü diskte İngiltere devletinin binlerce çalışanı hakkında (çoğu polis ve asker) çok detaylı bilgiler varmış.
Bunun üzerine, İngiliz polisi ve istihbarat teşkilatları hızla olayı soruşturmaya başladılar. Suçluları yakaladılar mı bilmiyorum ama yapılan açıklamalar İngiltere açısından endişe vericiydi. Bunun organize bir casusluk ve devlet görevlilerine yönelik bir kumpas girişimi olduğundan bahsediliyordu. Gerek İngiliz basını gerek İngiltere Devleti bu konunun üzerine ısrarla, şiddetle ve ciddiyetle gitti.
Hatta bunun sonuçları bize kadar yansıdı. Daha önce Savunma Bakanlığı’na herkesin girdiği sıkı aramaların yapıldığı kapılardan değil de yan taraftan giriyorduk. Görüşeceğimiz kişi bizi kapıda karşılayıp içeri alıyordu. Bu olaydan sonra ataşeler de sıkı elektronik ve fiziki kontrol yapılan kapılardan içeri alınmaya başlandı.
Ben olayın ciddiyetini görünce bu konuda öğrendiklerimi Ankara’ya gönderdim. İngiltere’de siber güvenlik konularının çok konuşulduğunu söyledim ve olan biteni anlattım. Yazımın değerlendirme bölümüne ise benzer olayların Türkiye’de de olabileceğini, İngilizlere benzer şekilde güvenlik tedbirlerinin artırılmasının faydalı olacağını, bilgilerin korunması kadar karşı tedbirler de alınması gerektiği vb. hususları belirttim.
Bundan kısa bir süre sonra, İngiltere başbakanı veya bir bakan basına bu yönde bir açıklama yaptı. Bu açıklamada; İngiltere’nin yoğun bir şekilde siber saldırılara maruz kaldığı, saldırıların çoğunun Rusya kaynaklı olduğu, ikinci sırada Çin’in geldiği söyleniyor ve bu ülkeler açıkça uyarılıyordu. Benim en çok dikkatimi çeken, artık sadece savunma ile yetinmeyeceklerini, İngiltere’ye saldıranlara kendilerinin de saldıracaklarını, bu maksatla bir birim kurduklarını, bu birimde hackerlerden de istifa ettiklerini söylemeleri oldu.
Bu haberi okuyunca, benzinlikte bulunan flaş disk ile adı verilen ülkelerin bir ilgisi olduğunun tespit edildiğini düşündüm. İngiltere bu konuda çok kızmış olmalı ki, pek görülmeyen bir şekilde en üst seviyedeki kişilerin ağzından isim vererek bazı devletleri uyarıyor ve hatta tehdit ediyorlardı. Bu haberi de Ankara’ya gönderip benzer bir yapılanmaya bizim de ihtiyacımız olduğunu bildirdim.
Ama mesajlarım çok fazla ciddiye alınmamış olmalı ki benim yaptığım tüm uyarıları haklı çıkarır şekilde kısa süre sonra internet üzerinden Türk Silahlı Kuvvetlerine yoğun bir asimetrik psikolojik harekât faaliyeti icra edilmeye başlandı. Bizim, Fetöcüler yapıyor diye bildiğimiz fakat bir siyasi parti mensubunun CIA, FETÖ ve kendilerinin işbirliği içinde planlayıp icra ettiklerini bir televizyon programında söylediği (yanlış hatırlamıyorsam Ordu’yu kafesledik tabirini kullanmıştı) kumpaslarla ordunun yetişmiş kadroları tasfiye edildi. Tek bir kurşun atılmadan Türk ordusunun tüm kurmay kadroları ve kritik görevlerde bulunan yetişmiş kadroları, bu ülkenin düşmanları için tehdit olmaktan (hem de devlet eliyle) çıkarıldı.
Umarım bugün devletimiz yaşananlardan ders almıştır ve siber tehditlere karşı gerekli teşkilatlanmayı tamamlamış ve tedbirler geliştirmiştir. Çünkü siber tehditler günümüzde daha da büyümüştür. İnternet üzerinden sadece kişisel bilgilere ulaşmakla kalınmıyor, İran örneğindeki gibi nükleer tesislere siber saldırılar düzenlenebiliyor, Ukrayna’da Rusların yaptığı iddia edildiği gibi enerji santraline siber saldırılar yapılarak bir bölgenin 3-4 gün elektriksiz kalması sağlanabiliyor. Böylece, günümüzün moda tabiri olan Hibrit Savaş da ağırlıklı olarak siber savaş uygulamaları ile yürütülüyor.
Yukarıda bahsettiğim dergiye göz atarken, İngiltere hükümetinin bu konuda kapsamlı bir çalışma içinde olduğunu ve Ulusal Siber Stratejisi’ni hazırlayıp kamuoyuna duyurduğunu okudum. Şimdi, bu dergide konu ile ilgili yazılanları genel hatları ile anlatmaya çalışacağım. Dergiden aldığım bilgileri, karıştırılmaması için italik olarak yazıyorum.
İngiltere hükümeti, 15 Aralık 2021’de yeni Ulusal Siber Stratejisini yayımladı. İçişleri Bakanı Priti Patel, konu ile ilgili olarak yaptığı açıklamada; “Siber suçlar yaşamı felce uğratır ve dolandırıcılık, taciz ve aile içi istismar gibi başka suçları da kolaylaştırır. Kişisel verileri çalan veya şantaj için saklayan ve önemli kamu hizmetlerini veya ulusal ekonominin hayati sektörlerini bozan siber suçlular tarafından her yıl milyarlarca sterlin kayba uğruyoruz. Bu strateji, hükümetin siber suçlardan kaynaklanan ve sürekli değişim gösteren tehdide karşı alacağı önlemleri büyük ölçüde geliştirecek, kolluk kuvvetlerinin NCSC [Ulusal Siber Güvenlik Merkezi] ve Ulusal Siber Kuvvet ile ortaklaşa olarak vereceği tepkiyi güçlendirecektir. Kendimizi siber suçlardan korumak için hepimizin oynayacağı bir rol var. Toplum olarak bu tehdidi ciddiye almamız gerekiyor.” dedi.
Kamuoyuna duyurulan ve oldukça geniş kapsamlı olan belge; çeşitliliği, becerileri, profesyonel standartları, hükümetin neler yapabileceğini, üniversiteler ve teknoloji sektörü ile nasıl bir iş birliği yapılabileceği gibi konuları kapsamaktadır. Tanıtımdan anlaşıldığına göre; belirlenen strateji oldukça iddialı görünmektedir. Hükümet, bu konuda gençlere yönelik bir eğitim programı düzenlemeyi de planlamaktadır. Bu eğitimde, gençlere siber beceriler kazandıracak bir “Siber Kaşifler” çevrimiçi eğitim platformu oluşturulacak. Bu kapsamda Birleşik Krallık Siber Güvenlik Konseyi'nin çatı kuruluşu için Kraliyet Tüzüğü hazırlanmış ve Kraliçe tarafından onaylanmıştır. Ayrıca ‘Operasyonel Teknoloji Güvenliği için Ulusal Laboratuvar ve Ulusal Siber Danışma Kurulu (NCAB)’ isminde yeni bir birim kurulmuştur.
Öte yandan, yeni çıkarılan Ürün Güvenliği ve Telekomünikasyon Altyapı Yasası gereğince buzdolapları ve oyuncaklar gibi tüm yeni akıllı ürünlerde minimum güvenlik standartlarının uygulanması üzerinde durulmaktadır. Bu konuda, sadece Londra merkezli siber firmalar yerine tüm ülkeye yayılacak ve bölgesel olarak da faaliyet gösterecek yerel birimlerin katılacağı bir örgüt modeli oluşturulması planlanmaktadır. Kuzey İrlanda'daki Queen's University, Belfast çevresindeki merkezler, kümeler veya eko-sistemler ve Malvern gibi unsurlar bu sistemin parçası olacaklar.
GCHQ (Government Communications Headquarters; Hükümet İletişim Karargahı/Merkezi/Başkanlığı) Başkanı Sir Jeremy Fleming bu konu hakkında şu açıklamaları yaptı: “Ulusal Siber Strateji, özellikle NCSC aracılığıyla GCHQ'nun çalışmalarının bir parçası olduğu ülkenin siber güvenlik alanındaki güçlü temelleri üzerine kuruludur. Ama sadece bundan ibaret değildir. Mevcut yeteneklerden çeşitli topluluklara ve yeni kurulan Ulusal Siber Kuvvet aracılığıyla saldırgan siber yeteneklerin kullanımına kadar tüm siber faaliyetleri bir araya getiriyor.
Strateji esas olarak, İngiltere'nin siber uzayın fırsatlarından yararlanmaya devam etmek için ülke genelinde nasıl kapasite oluşturabileceğini gösteriyor. Bu maksatla, önde gelen sorumlu bir siber güç olarak, özgür, açık ve barışçıl bir siber alanı korumak için dünyanın dört bir yanındaki demokratik ortaklarla ittifaklar kurabilir.”
Mandiant Siber Tehdit İstihbarat Danışmanı Jamie Collier, kamuoyuna duyurulan siber stratejiyi olumlu ve iddialı bir vizyon olarak memnuniyetle karşıladığını açıkladı. “Bu strateji, güvenliğin ötesine geçen ve diplomasi, ulusal güç ve devlet yönetimi temalarıyla bağlantı kuran daha kapsamlı bir siber görüşü benimsiyor. Kamuya mal etme ve hatta siber yaptırım rejimlerinin saldırganların eylemlerini kökten değiştirmede her zaman başarılı olmadığını kabul ederek hem devlet destekli casusluğa hem de siber suç faaliyetlerine yanıt vermede proaktif bir vizyon sunuyor. Yakın zamanda duyurulan Ulusal Siber Kuvvet, düşman ağ altyapısını bozarak devlet operasyonlarını daha doğrudan caydırmak için yeni bir konsepti işaret ediyor.
Strateji ayrıca, muhtemelen son iki yılda Birleşik Krallık'ta ve tüm dünyada zararlı yazılımlarının yıkıcı etkisine yanıt olarak, siber suçlarla mücadeleye yönelik sağlam bir yaklaşım ortaya koyuyor. Siber suç ekosistemini ve suç gruplarını güçlendiren bağlantılı araçları ve hizmetleri bozma konusunda açık bir istek var. Önümüzdeki beş yıl içinde siber güvenliğe ayrılan 2,6 milyar sterlin ile Hükümet, Birleşik Krallık'ı güvenli ve çekici bir dijital ekonomi tutma konusundaki merkezi vizyonuna son derece bağlı kalmaya devam ediyor. Harcama planlarının büyük ölçüde mevcut girişimleri sürdürmeye odaklandığını görmek cesaret vericidir, çünkü bu Birleşik Krallık Hükümeti’nin ulusal siber kapasitesinin temel unsurlarının birçoğunu zaten oluşturduğunu ve şimdi bu ivme üzerine inşa edebileceğini vurgulamaktadır. Örneğin, beş yıl önce Ulusal Siber Güvenlik Merkezi'ni (NCSC) kurmak için zemin hazırlamak gerçekten işe yaradı, çünkü NCSC artık uluslararası muadillerince bir örnek olarak görülüyor ve devlet başkanlarının Birleşik Krallık'ı ziyaret ettiğinde sık sık ziyaret edilen bir yer.”[1]
Görüldüğü gibi İngiltere, uzun süreden beri siber güvenlik konusuna büyük bir önem vermektedir. Bu maksatla, gerekli kurumsallaşma faaliyetlerine 13-14 sene önce başlanmıştır. Sadece kurumsallaşma ile de yetinilmemiş konu ile ilgili doktrin, konsept ve politikalar belirlenmiştir. Tehdidin gelişmesine, çeşitlenmesine ve değişmesine paralel olarak bu doktrin, konsept ve politikalar ile örgütsel yapı geliştirilmiştir. Siber güvenlik konusundaki faaliyetler için yıllık 2,6 milyar sterlinlik bir bütçe ayrılmıştır. Bunun sonucunda İngiltere, artık kendisini bir siber güç olarak tanımlamaktadır. Hatta, yetkili ağızlardan yapılan açıklamalara göre İngiltere, dünyada siber güç olarak öncü bir konuma yükselmiştir.
Bizde durumun nasıl olduğunu bilmiyorum. Ama Türkiye’nin de İngilizler gibi bu konuya büyük bir önem vermesi gerektiği açıktır. Fetö kumpasları bunu açık bir şekilde göstermiştir. Ayrıca, en az eğitim almış kişilerden profesörlere kadar birçok kişinin internet üzerinden dolandırıldığına dair haberler basına kadar yansımış ve her gün yansımaya devam etmektedir. Bankaların, şirketlerin ve hatta devlet kurumlarının bilgi işlem sistemleri saldırılara maruz kalmıştır.
Bu sebeple; siber alanın da bir mücadele alanı olduğu kabul edilerek silahlı kuvvetler gibi bir siber kuvvet teşkil edilmelidir.
Bu kuvvet için gerekli en uygun örgüt yapılanması oluşturulmalıdır.
Bu yapının faaliyetleri için ayrı bir bütçe tahsis edilmelidir.
İngiltere’nin bu konuda halkı da eğitme yoluna gittiği anlaşılmaktadır.
Bizde de halka yönelik bir eğitim ve bilinçlendirme faaliyetleri başlatılmalıdır.
Bu eğitim faaliyetleri öncelikle; bankalar, şirketler, üniversiteler vb. kurumlardan başlamalıdır.
Zaman zaman polis tarafından telefonlara gönderilen uyarı mesajları ile yetinilmemelidir.
En önemlisi de siber savaş ile ilgili doktrinler, konseptler ve politikalar tüm devlet kurumlarının fikirleri ve ihtiyaçları dikkate alınarak tespit edilmeli, takip edilecek yol haritası hazırlanacak bir strateji dokümanında açık ve net bir şekilde ortaya konulmalıdır.
[1]https://securitybulletin.caboodleai.net/en/article/20423?utm_source=Mailjet-securitybulletin&utm_ medium=newsletter&utm_campaign=securitybulletin-652-s-en-201221&utm_campaign=&utm_ medium=email&utm_source=Mailjet 15TH DECEMBER 2021
