Siber Güvenlik Uzmanı Mahir Yüksel, dijitalleşme ve artan tehditler ışığında Türkiye'nin siber güvenlik stratejileri ve yeni kurulan Siber Güvenlik Başkanlığı hakkında önemli açıklamalarda bulundu.
Yüksel, dijitalleşmenin hız kazanmasıyla birlikte ülkelerin yalnızca fiziksel değil, dijital sınırlarını da korumak zorunda kaldığını belirtti. “Jeopolitik çekişmeler ve vekalet savaşları artık dijital dünyaya taşınmış durumda. Bu nedenle siber güvenlik, Türkiye için milli güvenliğin ayrılmaz bir parçasıdır.” ifadelerini kullandı.
Cumhurbaşkanlığı kararnamesiyle 8 Ocak 2025’te kurulan Siber Güvenlik Başkanlığı'nın, Türkiye'nin siber tehditlere karşı daha etkin bir savunma mekanizması geliştirmesine olanak tanıyacağını vurgulayan Yüksel, başkanlığın Ankara merkezli olacağını, yurt içinde ve dışında şubeleşme yetkisine de sahip olduğunu belirtti.Siber Güvenlik Uzmanı Mahir Yüksel sözlerine şöyle başladı:
“Dijital dünyanın genişlemesiyle birlikte ülkelerin coğrafi sınırlarından daha ziyade dijital sınırlar büyük önem arz etmeye başlamış durumda. Tabii jeopolitik çekişmelerin ve ekonomik savaşların da dijital dünyaya taşıması ile birlikte devletler devlet dışı aktörler, terör örgütleri ve konvansiyonel olarak kullanılan vekalet savaşlarında kullanılan gruplar da artık siber uzay dediğimiz uzayın içerisinde kendilerine birer harekat alanı edinmiş durumdalar.”
"Hattı Müdafaa Yoktur, Sathı Müdafaa Vardır"Bu noktada siber güvenliğin ülkeler açısında çok önemli bir konu olduğuna, Siber Güvenlik Kanun tasarısında da bunun Türkiye için milli güvenliğin ayrılmaz bir parçası olarak tanımlandığına dikkat çeken Yüksel, “8 Ocak 2025 tarihi itibariyle Cumhurbaşkanlığı kararnamesi yayınlandı ve Cumhurbaşkanlığı kararnamesi ile ülkemizde müstakil bir siber güvenlik başkanlığı kurulmuş oldu.” dedi.
Yapılanmadan da bahseden Yüksel, Siber Güvenlik Başkanlığı’nın merkezinin Ankara’da olduğunu, yurt içinde ve dışında şubeleşmeye gidilebileceğini ifade etti.
Siber güvenliğin ülkeler açısından olduğu kadar toplumlar ve bireyler açısından da önemli olduğuna değinen “Burada aslında ‘hattı müdafaa yoktur, sathı müdafaa vardır’ meselesi karşımıza çıkıyor. Dolayısıyla biz nasıl ülkemizin coğrafi sınırlarını kara unsurlarıyla, deniz unsurlarıyla, hava unsurlarıyla koruyorsak, siber uzay için de siber sınırlarımız için de topyekun bir mücadele söz konusu olmak zorundaydı.” dedi.
Yüksel sözlerine şöyle devam etti:
“Geçmişe sair birtakım konular var. Ülkemizde siber güvenlik merkeziyetsiz bir konumdaydı. Siber Güvenlik Kanun tasarısıyla da tanımlandığı üzere, kamu kurum ve kuruluşları, kritik altyapılar, gerçek ve tüzel kişiler bu işin bir parçası olmak zorunda. Çünkü bir siber saldırı bir şirkete yönelik gerçekleşebilir, bir kritik altyapıya yönelik gerçekleşebilir. Kritik altyapı ne demektir? Kritik altyapı, enerji sektörü, ulaşım sektörü, sağlık sektörü, finans ve bankacılık sektörü, üretim sektörü; yani durması veya devre dışı kalması durumunda insan hayatını doğrudan veya dolaylı olarak etkileyebilecek bütün endüstriler kritik altyapı içerisinde yer almaktadır. Dolayısıyla kanun siber güvenliği sadece kamu kurumları ve kuruluşları olarak sınırlamıyor. Burada ortaya konulan çok büyük bir irade var. Bu irade de şu: Kamu kurum ve kuruluşlarının korunması, kritik altyapıların korunması, gerçek ve tüzel kişilerin siber saldırılara karşı hazır hale getirilmesi, bunlar en önemli konu başlıkları arasında yer alıyor.”
Siber Güvenlik Başkanlığı yapılanmasıYüksel Siber Güvenlik Başkanlığının yapılanması hakkında da şu bilgileri verdi:
“Siber Savunma Genel Müdürlüğü Ekosistemi Geliştirme Genel Müdürlüğü ve Siber Mukavemet Genel Müdürlüğü olmak üzere doğrudan siber güvenlik alanıyla ilgili çerçeveyi çizen üç genel müdürlük var ve iki daire başkanlığı daha var: Yönetim Hizmetleri Dairesi Başkanlığı ve Dış İlişkiler Dairesi Başkanlığı. Ayrıca müşavirlikler var ve kararname ile 135 kişilik bir insan kaynağı mevcudiyeti belirlenmiş durumda. Siber Savunma Genel Müdürlüğü, Siber Mukavemet Genel Müdürlüğü dediğiniz zaman şu soru akıllara gelebilir: Savunma ile mukavemet arasında ne gibi bir farklılık var? Mukavemet savunma değil midir? Burayı iyi anlamak gerekiyor. Siber savunma dediğiniz zaman aslında İngilizce karşılığı 'cyber defence'; kanun tasarısında da bu açıklanmış zaten. Kanun tasarısında diyor ki: Kamu kurum ve kuruluşlarının kritik altyapıların herhangi bir siber saldırıya karşı proaktif önlemlerinin alınması ve aldırılması noktasında başkanlık icrai faaliyetler yürütebilir. Yani bir kamu kurum ve kuruluşuna yönelik bir siber operasyon olduğunda, bir siber saldırı olduğunda başkanlık doğrudan bu olaya müdahale edebilir veya dolaylı olarak müdahale edebilir. Buradaki saldırının boyutlarını anlamak, saldırının başka kamu kurum ve kuruluşlarına yöneltilebileceği ihtimali de düşünüldüğünde başladığı yerde saldırıyı engellemek ve durdurmak ve bununla ilgili başka kamu kurum ve kuruluşlarına ilgili önleyici faaliyetleri aldırmak işin temelinde var. Siber Güvenlik Başkanlığı’nın kurulması ile birlikte tahmin ediyorum, ilerleyen dönemlerde siber güvenlik yönetmelikleri ve yönergeleri yayınlanacaktır.”
Yüksel konvansiyonel savaşlar ile siber savaşlar konusuna da değinerek bunların ayrışan noktalarını anlattı:
“Konvansiyonel savaş dediğimiz savaş, bugüne kadar insanın dünyaya ayak bastığı ilk günden geçtiğimiz 25-30 yıla kadar olan süreçte ağırlığını koyan bir savaş unsuruydu. Yani kara harekat ortamı, deniz harekat ortamı, hava harekat ortamı dediğimiz ortamlarda gerçekleşen bir savaştı. Peki bu savaşta 5N 1K denklemine göre düşman kim biliyordunuz, düşmanı tanımlayabiliyordunuz, zaten tanımlayabildiğiniz için düşman diyordunuz. Düşman nerede; bir fikriniz var. Düşmanın ne gibi unsurları var? Düşman neye sahip? Bunları az çok tahmin edebiliyordunuz. Düşman ne zaman saldıracak; az çok bunu tahmin edebilirsiniz. İklim koşulları, doğa koşulları, yani konvansiyonel ortamın getirdiği koşullar düşmanın ne zaman saldırıp saldırmayacağı ile ilgili ipucu verir. Düşmanın motivasyonu ne? Düşman size saldırarak neyi başarmak istiyor? Neyi hedefliyor? Bununla da ilgili bir öngörünüz var. Ama biz hibrit savaş dediğimiz, içerisinde siber güvenliğin ve altında siber savaşın olduğu konuya geldiğimizde 5N 1K denklemi tamamen belirsiz bir gaz ve toz bulutuna dönüşüyor. Bu ne demek? Bir: Siber savaşta düşman ifadesi yok. İngilizce ‘adversary, hasım ifadesi var. Çünkü siber uzayda size saldıranın kim olduğunu bile anlamanız çok uzun bir süre alabilir. Çok fazla zamanınıza mal olabilir. Bir: Tanımlayamadığımız bir unsur var karşı tarafta ilk anda, t0 anında. İki: Hasım neden saldırıyor, bunu bilmiyorsunuz; hasım ne zaman saldıracak, bunu bilmiyorsunuz; hasımın size saldırmakla hedeflediği şey ne, bunu bilmiyorsunuz. Yani konvansiyonel savaşta bildiğiniz şeyler siber savaşta yok. Karşınızda bir bilinmeyenler denklemi var.”
Yüksel bu bilinmeyenler denklemi ile mücadele edebilmek için ise her ülkenin kendi “bilinenlerini ve bilinmeyenlerini” bilmesi gerektiğine vurgu yaparak “İşte tam bu noktada siber güvenlik kanun tasarısında çok önemli bir vurgu var: Varlık keşfi ve varlık envanterinin oluşturulması.” dedi.
Yerli ve Milli Siber Güvenlik Ürünleri GeliştirilecekBu noktada ülkelerin -donanımsal olarak ve yazılımsal olarak, IT sistemleri ve OT sistemleri bakımından-sahip olduklarını, bilgi varlıklarını belirlemesinin önemine dikkat çeken Yüksel sözlerini şöyle sürdürdü:
“Bunları tespit ettikten sonra yine kanun tasarısında risk sınıflandırması yapılmasından bahsediliyor. Bu varlıkların riskleri nelerdir? Bu varlıkların zafiyetleri var mıdır? Bu varlıkların zafiyetleri varsa bu zafiyetler nasıl yönetiliyor ve bugüne kadar nasıl yönetildi ve bundan sonra nasıl yönetilecek? Eğer bu varlıkların bir zafiyeti yoksa bugün bilinmeyen ama yarın ortaya çıkacak o varlıklarla ilgili bir zafiyet nasıl yönetilecek? Bunların tamamı siber güvenlik kanun tasarısında ele alınıyor ve başkanlık tarafından bunların bir geniş perspektifte resmi çekilip yönetileceğinden ve denetleneceğinden bahsediliyor.”
Yüksel savunma sanayiinde siber güvenlik konusuna da değinerek “Kritik milli güvenlik sistemlerimiz var. Milli güvenliği doğrudan ilgilendiren kritik unsurlarımız var. Kritik altyapılar kavramından bahsettik. Örneğin savunma sanayii endüstrisi başlı başına bir kritik altyapı. Dolayısıyla bu endüstrilerde sahip olduğumuz know-how, yani deneyim ve bilgi birikimimiz IT sistemlerinin üzerinde duruyor. Sadece insanların hafızasında, insanların beynin içinde durmuyor. Biz bu birikimi, bu deneyimi aynı zamanda bu sistemlere aktarıyoruz, bu yazılımlara aktarıyoruz. Bu yazılımlar bu donanımların üzerinde çalışıyor.” dedi.
Kanun tasarısında yerli ve milli siber güvenlik ürünlerinin geliştirilmesine desteğin vurgulandığını belirten Yüksel sözlerini şöyle tamamladı:
“Kanun tasarısında vurgulanan bir yer, yerli ve milli siber güvenlik ürünlerinin geliştirilmesine destek olmak ve onların sürdürülebilirliğine katkı sağlamak. Tabii bu bağlamda Siber Güvenlik Başkanlığı, ülkemizin siber güvenlik meselesini bir milli güvenlik meselesi olarak ele aldığı için ortaya konulan irade, ülkemizin bu alanda bir rol model aktörü olma kararlılığını yansıtmaktadır.”
https://www.youtube.com/watch?v=9z9RVEM_wg0
