Dün dünya için küçük ama altyapının kifayetsiz olması nedeniyle Türkiye için büyük bir siber saldırı gördük [1]. 100 Gbps'lik saldırı Garanti Bankası'ndan gelmiş gibi gözüken paketlerle yapıldı. Bu paketler gittikleri farklı sunuculardan Garanti Bankası'na cevap döndürdüler. Bu yoğun trafik ise hem Garanti Bankası'nı, hem de bankanın yedekli servis aldığı ülkemizin en büyük 3 operatörünü etkiledi. Networkleri çöktü.
Daha basit deyişle, Garanti Bankasına indirect bir saldırı yapıldı ve bu saldırı Türkiye'nin altyapısını büyük oranda etkiledi. Başta Türk Telekom olmak üzere, operatörlerimizin 3'ünün de şebekesi aynen depremde olduğu gibi zorlandı.
Saldırının arkasından teknik pek çok şey yazılabilir ama bu yazıda olayın idari ve sosyal yönlerinden, bir de konuşulanlardan bahsetmek istiyoruz [2].
Bu saldırı bir uyarı mı?
Saldırının pazar günü yapılması çok ilginç. Zarar verilmek isteniyorsa, neden daha çok zarar verilebilecek olan hafta içinde değildi? Neden yaklaşık 4 günlük bir tatilin olduğu yani saldırı sonrasında kuruluşun kendini toplaması için yeterli süre olan bir günde yapıldı? Bu bir çeşit "uyarı" ya da "test" olabilir mi?
Ama bazıları da bunu; pazar günü siber güvenlikçiler hem sayıca az, hem de daha tatil havasında oluyorlar. Bu nedenle yapılmış olabilir diye yorumluyor.
Sanal provokatörler Türk gençlerini mi kullanıyor?
Siber güvenlikçiliğin bir boyutunda siber istihbarat vardır. Yani siber güvenlikçiler bir yandan donanım, yazılım ve idari açıdan alınacak önlemlere bakarken, bir gözleri ile de siber uzayı tararlar ve neler olup bittiğini takip ederler. Bu takipte, siber saldırganların takıldığı yeraltı ortamlar önemli bir yer tutar.
Saldırı yapanların konuştuğu forumlarında dün, saldırının Türkçe konuşan kişiler tarafından yine Türkçe konuşan gençlere Garanti Bankası URL'lerinin verilerek, "hadi bakalım marifetinizi görelim" motivasyonu ile başlatılmış olduğu kaydediliyor. Önce bu şekilde dağınık başlayan saldırının arkasından, daha büyük bir toplu saldırı geldiği görülmüş. Bu forumları takip eden, siber güvenlikçiler bunu anlatıyor.
Yani bir nevi siber 5-6 eylül ya da siber Çorum meydana gelmiş gibi gözüküyor. Orada da bir takım insanlar, uygun buldukları ortamı provoke edecek nedenleri ileri sürerek, hedefe fiziki bir saldırı düzenlemişlerdi. Burada bu saldırı siber oldu.
Bu noktada bir uyarımız şu; belki de test edilen şey buydu. Yani önce bireysel saldırılar başlatılıp, sonra bunu büyük bir saldırı ile destekleyerek, "bak ne güçlü saldırı yaptınız" gibi bir şey yaratmaya ve sonraki saldırı ya da saldırıları planlıyor olabilirler.
Bütün veriler yurt içinde olursa tehdit midir?
Ha bir de, kimin ne maksatla uydurduğunu bilmediğimiz bir yorum ortalıkta dolaşıyor. Şöyle bir şey;
"Tüm sistemlerin yurt içine taşınması Türk Telekom'a olan baskıyı artırıyor ve basit ve ilkel böyle bir saldırıda bile sistem hizmet dışı kalabiliyor."
Bu açıklamayı kim yapıyorsa, kendisinden utanmalı. Veriler yurt içinde olunca nasıl güvenliksiz olurmuş? Ya da tersine, verilerimiz yurtdışında nasıl daha güvenli olabilir? Bu bir satıcı ya da sorumlulukları üstünden atma açıklaması. Hangisi bilemedik.
Bu açıklamayı yapanlar, Türkiye'nin 100 Gbps ile bile çöken 330 bin km'lik fiber altyapısının kabahatini mi örtmeye çalışıyorlar?
Bildiğiniz gibi BDDK, özellikle bankacılık verilerinin yurtiçinde tutulması konusunda ısrarlı. Buna karşılık Microsoft, Amazon, Google gibi çok uluslu bulut firmaları bu kuralı aşmaya çalışıyorlar. Çünkü Türkiye'de yatırım yapmayıp, Avrupa ya da diğer yerlerde kurulu bulunan merkezlerden hizmet vermek daha elverişli geliyor onlara.
Depremde problem yaşayan Türk Telekom'un adının bu açıklamada geçmesi, Türk Telekom'un bu tür bir PR yapabileceğini düşündürttü bize. Sonuç değişmez, Türk Telekom depremde ve bu saldırıda iyi bir imtihan veremedi.
Başı kesik tavuk gibi
Dünkü olayı, tüm paydaşları arayarak yakından takip ettik. Bir güvenlik cihazları satıcısı "başı kesik tavuk gibiler" yorumu yaptı. Bir teknik yönetici "Saldırı yok. Bu rutin, her gü saldırı oluyor" dedi. Bir başkası "Cevaplamak için amirimi aramalıyım. Ben size döneyim" dedi ve dönmedi.
Ama her zaman hataları görüp, ikaz etmek isteyen isimsiz insanlar vardır. Bunlar, yapılan yanlışlara çeşitli nedenlerle "dur" diyemedikleri için, "bir şeyler düzelir mi?" ümidi ile size gerçekte ne olup bittiğini anlatırlar. Gazeteciliğin özü de zaten budur. Eğer size güvenirlerse yani bu kişileri ortaya çıkarmayacak ve deşifre etmeyecekseniz, onlar size gerçekte ne olup bittiğini anlatırlar.
Biz de dediğimiz gibi saldırıyı yakından takip ettik ve bankanın ya da operatörlerin anında yapması gereken şeyi yapıp, insanları bilgilendirdik. O yazının okunurluk sayısından da göreceğiniz üzere, insanlar bilgiye muhtaçtı ve sadece bu bile saldırının boyutunu gösteriyor.
Saldırıyı dün takip ederken, tüm operatörlerin sorumlu kişileri, veri merkezlerinden birkaç tanesi, banka güvenlikçileri ve siber güvenlik ürünü satan firmalarının bazıları ile konuştuk. Bazılarına kendi ifadeleri ile durumu anlatmalarını fırsatı verdik (yani bildiklerimizi yazmadan önce onlara cevap hakkı verdik), bazıları ise bize neler olup bittiğini anlattılar.
Egolar, teorik bilgiler ve hataları PR ile örtme çabaları
Dün ortamdan gördüğümüz şuydu; hakikaten başı kesik tavuk olayı vardı. Bunu PR faaliyetleri ile kapatmaya uğraşanlar oldu ama kullanıcılar durumun farkında. Çünkü neler olduğunu hep birlikte yaşadık ve gördük.
Ülkemiz için uzmanlar aşağı yukarı 15.000 kadar siber güvenlikçi gerektiğini söylerler. Mevcut olan sayısı ise 300-400 bilemediniz 500 kadardır. Ama dün ne gördük? Bu 300-500'ün de aslında kafasının karışık olduğunu.
Çünkü "siber güvenlik" teorik bir mesele değil. Her an yeni saldırganların, yeni yöntemlerle ortaya çıktığı, devletlerin de saldırı yapabildiği bir alan. Konferans üzerine konferansta, siber güvenlik konuşuluyor ama içeriğine bakın, hepsi sponsor firma sunumu. Bir tane bile yaşanmış olay analizi yok. Bazıları egosu şişkin siber güvenlik yöneticileri. Anlattıkları güzel ama bu saldırı niye böyle oldu?
Siber güvenlikçilerimiz acaba, nerede hata yapıyorlar?
Siber saldırı nasıl önlenir?
Diyeceksiniz ki, siber saldırı kolay engellenen bir şey değildir.
Doğru!!!
Ama acaba engellenmesinden önce, siber saldırı çağında olduğumuz ve devletlerin 4'üncü kuvvet komutanlığı olarak başına general atadıkları bir ordu yapılanması bile kurdukları günümüzde, normal yapılması gerekenler yapılmış mıydı?[4]
Devlet görevini yapmış mıydı? Bankalar yapmış mıydı? Operatörler yapmış mıydı?
Mesela saldırı ile uğraşanlar önlemek için çabalarken, bir yandan da saldırının komuta kontrol sunucularını bulmaya uğraşıyorlar mıydı?
Bunu yapan yabancı firmalar var. Dünyanın eşitli yerlere yerleştirdikleri "honey pot" denilen açık bırakılmış sunucularla, bu saldırıları yapanları yakalamayı hedefliyorlar. Açıkları olan bu sunucular, arıları çeken bal kabı gibi, saldırganları çekiyor ve zaman alsa da, nerelerden nasıl saldırılar geldiğini tespit etmek mümkün oluyor. Bu çalışmalar bir ara ülkemizde de başlatılmıştı ama sonra ne oldu bilinmiyor.
Diğer yandan bu firmaların acaba kaç tanesi, siber saldırıya karşı -operatör değiştirmek dışında- senaryo çalışıyor? Yani fiziksel tatbikat yapıyor?
Siber güvenlik strateji belgesinin süresi bitti, yenisi nerede?
Daha önemlisi devletimiz acaba siber tatbikatları neden yapmıyor? Fiziksel olandan bahsediyoruz. Algıya yönelik sanal olandan değil.
2015 sonunda ülkemiz 15 gün süren ve .TR uzantılı yani ağırlıklı kamu kurumlarına yönelik bir saldırı yapmıştı. O saldırıyı da hemen aynı gün raporlamıştık. Aşağıda o saldırıdan sonra, uzmanlarla [3] birlikte DERS niteliğinde yazdığımız bir bilgi notu var. Bunu okuyun ve düşünün acaba kaç tanesi yapıldı?
Yani bırakın firmaların kendi içindeki siber güvenliğini. Acaba ülke çapında bir siber tatbikat neden yapılmaz? BTK ve Ulaştırma Bakanlığı şimdiye kadar siber güvenlik konusunda --şaşalı konferanslar, ne işe yaradığını pek de anlamadığımız siber yıldız yarışmaları dışında-- ne yaptı?
Mesela 2011'de kurulan USOM yapısı pasif gözüküyor. Bu yapı izlemekle ya da sıfır gün atakları, yamalar gibi konularda bilgi vermekle yetiniyor. Ama mesela neden "honey-pot" gibi önlemlerle uğraşmıyor.
Ya da siber güvenlikçilerin yaptığı gibi, saldırganların yer aldığı forumlar da mı takip edilmiyor?
Yine Başka bir soru, 2019 sonundayız. 2016-2019 siber strateji belgesinin süresi tamamlandı. 2016-2019 belgesi stratejiden çok bir listeleme gibiydi ama yine de acaba bu belgedekilerin ne kadarı gerçekleştirildi?
2016 - 2019 Siber Güvenlik Stratejisi
Ayrıca diğer soru; belge çok yenisi için neden hazırlık yapılmadı? 2016-2019'dakinde olduğu gibi geç mi kalınacak?
BTK ve Ulaştırma Bakanlığı siber güvenlikten sınıfta kaldı, Dijital Ofis başarılı olacak mı?
Bunları belirtirken, hatırlatalım. Siber güvenlik konusu geçtiğimiz hafta yayınlanan 48 no'lu Cumhurbaşkanlığı kararnamesi ile Dijital Ofis'e geçti. Ofis, 30-40 yıldır yayınlanmamış olan "Kamuda Yerli Malı" stratejisini ortaya koyduğu için kendilerine bir güven duyuyoruz. Umarız bu güveni boşa çıkarmazlar. Umarım "ortak akıl" kullanmayı akıl ederler[5].
Bakan Yardımcısı, Yönetim Kurulu Başkanı olduğu Türk Telekom'u nasıl denetleyebilir?
Ulaştırma Bakan Yardımcısının Yönetim Kurulu Başkanlığını götürdüğü bir Türk Telekom depremde ya da böyle çok da büyük olmayan bir saldırıda hizmet veremez bir hale geldiğinde, acaba Bakan Yardımcısı, Yönetim Kurulu Başkanlığını yürüttüğü firmaya nasıl ceza verecek ve nasıl denetleyecek?
Dört koldan mücadele
Bugün ülkemizde siber güvenlik adına alınan pahalı cihazlar, yazılımlar vs olsa da, bunların kullanımında UYGULAMA DAHA ÖNEMLİ. Yani tatbikat yapılması lazım.
Ülkemize karşı yapılan bu siber saldırı bizlere bir kez daha şirketlerimizin bütünsel savunma stratejisi oluşturulmasının önemini hatırlattı. Siber tehditler ile uçtan uca mücadele için dört koldan savunma:
- Siber güvenlik yatırımları ve yönetimi (SoC)
- Düzenli güvenlik testleri / kontrolleri ile analizler
- Yedekleme, Felaket yönetimi ve İş sürekliliği altyapıları kurulması
- Siber Risk / Güvenlik Sigortaları lazım
Hadi artık siber güvenlik için aynı gemide olduğumuzu unutmadan, sahaya inerek mücadeleyi oluşturmanın ve öğrenmenin zamanıdır.
[1] 100 Gbps Siber Saldırı Var, Operatörler Hazırlıksız Yakalandı
[2] Bu yazının da içinde 6 siber güvenlikçinin görüşleri var. Siber güvenlikçiler --satıcı olmadıkları sürece-- adlarını vermeyi uygun görmedikleri için yazıyı isimsiz yazıyoruz.
[3] DDOS Siber Saldırısı Türkiye'ye Ne Gösteriyor, Ne Öğretiyor?
[4] ABD, Kuzey Kore'ye Silahlı Ordusunu Değil, Siber Ordusunu Gönderdi, 6. Nükleer Füze Denemeleri Manipüle Edildi
[5] BTK Görevleri, Digital Ofise Geçti; e-Devlet, Siber Güvenlik, Dijital Dönüşüm, Yapay Zeka, Büyük Veri ve Diğerleri