Görüşler

Salih Cenap Baydar yazdı: Açık kodlu yazılıma geçmemiz ulusal güvenlik meselesi

Salih Cenap Baydar yazdı: Açık kodlu yazılıma geçmemiz ulusal güvenlik meselesi

Türkiye’nin siber güvenliği için risk yaratan kritik noktaya dikkat çeken teknoloji uzmanı Salih Cenap Baydar, ‘Bizi bekleyen sıkıntılı günlere hazırlık yapmak zorundayız’ diyor.

2009 yılı Mayıs ayının ortalarında, internet denilen ‘lüksü’ hayatlarında tecrübe edebilen az sayıda şanslı Küba vatandaşı bir şok yaşadı. Bilgisayarlarını açtıklarında o zamanların popüler mesajlaşma uygulaması Windows Live Messenger’ın çalışmadığını gördüler. MSN’e tıklayan Kübalıları şu mesaj karşılıyordu: “Error 810003c1: We were unable to sign you in to the .NET Messenger Service”... Mesajla ilgili olarak Microsoft’un destek sayfalarına baktıklarında ise daha ayrıntılı bir açıklama gördüler: “Microsoft has discontinued providing Instant Messenger services in certain countries subject to United States sanctions. Details of these sanctions are available from the United States Office of Foreign Assets Control”... Açıklama basitti. Microsoft, Amerika’nın yaptırım uyguladığı ülkelerde mesajlaşma hizmetini devam ettirmeme kararı almıştı. Merak edenler detayları Amerika Yabancı Varlıklar Dairesi’nden öğrenebilirlerdi. O gün Microsoft’un mesajlaşma hizmetini durdurma kararı aldığı ülkeler Küba, Suriye, İran, Sudan ve Kuzey Kore olmuştu. 2002’de George W. Bush’un ‘kötülük ekseni’ olarak ilan ettiği İran, Irak ve Kuzey Kore’ye, Küba ve Suriye de ilave edilivermişti. “E Grubu” denilen ülkelerin yer aldığı listeye Rusya’nın Ukrayna’ya müdahalesi sonrası bir de Kırım eklenmiş durumda bugün. Gözlerimizin önünde gerçekleşen bu uygulama, ülkemizin karşı karşıya olduğu tehlikenin büyüklüğünü ortaya koyuyor.

Amerika bir gün aniden, Türkiye’nin de içinde bulunduğu ‘belli’ ülkelerden yapılan uçuşlarda yolcuların cep telefonundan büyük elektronik cihazları yanlarına almasını yasakladı. Peki, aynı Amerika bir gün Amerikan yazılım devlerinin ürünlerinin ‘belli’ ülkelerde kullanımını yasaklarsa ne olacak? Yukarıda bahsettiğimiz örnekte bu tür bir yasağı anında uygulamaktan çekinmeyeceğini gördüğümüz Microsoft’u ele alalım mesela.

BİLİŞİM SİSTEMLERİ DURABİLİR

Microsoft’un en son işletim sistemi olan Windows 10’un kişisel bilgisayarlardan, kamudaki bilgisayarlara kullanılmadığı yer yok denecek kadar az. İşte bu Windows 10, biz istesek de istemesek de her an internete bağlanıp bizden habersiz güncellemeler indiren ve içinde neler olduğunu bilmediğimiz bu güncellemeleri bilgisayarlarımıza yükleyen bir işletim sistemi.

Sadece hayal edelim:

Amerika bir gün ‘E grubuna’ ülkemizi de katmaya karar veriyor ve dünyanın en zengin adamı Bill Gates’in firması olan Microsoft’tan gereğini yapması ‘rica’ ediliyor. Hemen o gece Microsoft bir güncelleme yayınlıyor. Açık olan bilgisayarlar, sunucular anında, diğerleri açıldıkları anda o güncellemeyi indirip çalıştırıyorlar. Sabahleyin bilgisayarlarımızı açıyoruz ve her zamanki masaüstümüz yerine ‘Error 810003c1’ gibi bir hata mesajıyla karşılaşıyoruz. Ne yaparsak yapalım bilgisayarlarımız açılmıyor. Problem bizim sosyal medyayı gezinememiz ya da gazeteleri okuyamamızla sınırlı kalsa iyi! Microsoft sistemleri üzerine kurulmuş tüm kamu bilişim sistemleri anında duruyor. Önce Mernis, yani kimlik paylaşım sistemi çöküyor. Mernis çökünce tüm Türkiye’de resmi işlemler duruyor. Kimlik doğrulayamayan hastaneler, bankalar, noterler, tapu daireleri, ticaret sicil müdürlükleri duruyor. SGK çöküyor. Maaşlar, sağlık giderleri ödenemez hale geliyor. Maliyenin sistemi çöküyor, vergi toplamak imkânsız hale geliyor. Adalet bakanlığının bilişim altyapısı çalışmaz oluyor. Mahkemeler yapılamıyor. Emniyetin tüm sistemleri susuyor. MOBESE’lerden trafik lambalarına kadar her şey duruyor. Ülkeye kaos hakim oluyor.

Tam bir felaket senaryosu bu… Ama hiç de uzak bir senaryo değil! Teknolojiyi anlamadan kullanıyoruz. Satın aldığımız bilgisayarların üzerinde çalışan yazılımların –onları tamamen biz üretmediğimiz veya kontrol etmediğimiz müddetçe- hiçbir zaman tamamen ‘bizim’ olmayacaklarını kavrayamıyoruz.

ACİLEN TEDBİR ALINMALI

Bir üçüncü dünya savaşının eşiğinde (hatta kim bilir belki de ortasında) olduğumuz şu günlerde siber tehdidi anlayıp mümkün olduğunca gerekli tedbirleri almak zorundayız. Sadece Microsoft değil, büyük kamu kurumlarımızda vatandaşlarımızın, şirketlerimizin hassas bilgilerini emanet ettiğimiz Amerikan firması Oracle ya da başka bir Amerikan firması olan IBM’nin DB2 veritabanları için de aynı risk söz konusu. Bunlar aynen içinde ne olduğunu bilmeden, sağlığımıza zararını tespit edemeden içmeye devam ettiğimiz kola gibiler. Ne içinde ne olduğunu biliyoruz ne de her gün yeniden üretilen içeriğe katılması muhtemel yeni ‘katkılardan’ haberimiz var. Kola yerine yerli gazozlarımızı ya da tertemiz ayranımızı tercih edebiliriz ama bu teknolojilerin alternatifini üretmekten çok uzaktayız diyenleri işitir gibiyim.

Öyle değil!

Dünyada bu tehditle yüz yüze olan ve çare arayan yegâne ülke biz değiliz. Aranan çare çoktan bulunmuştur. Bu tehdidi bertaraf etmenin yolu, açık kaynak kodlu yazılımları kullanmaktır. Rusya, Çin, Fransa, Almanya, Hindistan gibi ülkeler yaklaşık on senedir devlet işlerinde ve finans sektöründe açık kaynaklı yazılımlara geçmek üzere kararlar alıp adımlar atıyorlar.

Birkaç örnek verelim:

Çin Ordusu, 2001’den bu yana kendi geliştirdiği Kylin işletim sistemini kullanıyor.

Almanya’da Münih şehir yönetimi, 2003 yılında 14 bin bilgisayarını Debian tabanlı LiMux işletim sistemine geçirme kararı aldı. 2011’e gelindiğinde 9 bin bilgisayarda hedefe ulaşılmıştı. Alman Federal İş ve İşçi Bulma Kurumu 13 bin iş bilgisayarını Microsoft NT’den OpenSuse işletim sistemine geçirdi. Fransa Milli Polis Gücü, 2007’de 90 bin bilgisayarını Windows XP’den Ubuntu işletim sistemine geçirme kararı aldı. Proje 2015’te tamamlandı. Fransa Ziraat Bakanlığı, Mandriva Linux kullanıyor. Fransız Parlamentosu, 2007’de Ubuntu’ya geçti. Rusya, 2014’te Sağlık Bakanlığı’nda Windows’un terkedilip Linux’a geçileceğini açıkladı. İspanya kendi Linux dağıtımı olan GnuLinEx’i 2003 yılından beri geliştiriyor. Özerk Endülüs Hükumeti de kendi özel Linux dağıtımı olan GuadaLinEx’i (okullar, kütüphaneler, huzur evleri gibi yerlerde kullanılmak üzere) 2004’ten bu yana geliştiriyor. Malezya, 2010 yılında 724 devlet kurumunun 703 tanesini tamamen açık kaynak kodlu platformlara geçirdiğini açıkladı. Bu yüzde 97’lik bir orana tekabül ediyor.

Peki biz? Aslında biz de boş durmadık. Kendi özel açık kaynak kodlu Linux dağıtımımız olan Pardus’u 2003 yılında geliştirmeye başlayıp 2005 yılında ilk sürümü yayınladık. 2011 yılında projeyi geliştiren ekip tasfiye edildi. Pardus’un daha da geliştirilip FATİH Projesi kapsamında akıllı tahtalara yükleneceği ilan edildi. Yeni ekibin başına Pardus Proje Yöneticisi olarak getirilen Abdullah Erol, 2016 Ağustos’unda FETÖ soruşturmaları kapsamında görevden alındı. O zamandan beri Pardus projesinden haber yok. Bu yazı yazıldığında, projenin ana sayfası https://pardus.org.tr bile açılmıyordu. Bahsi geçen yazılımların ve işletim sistemlerinin kullanımların aniden durdurulmasının nasıl felaketlere yol açabileceğini anlatmaya çalıştım. Ancak bu yazılımların çalışmaya devam etmesinin de bir gün patlamak üzere ayarlanmış saatli bombalar olmalarının çok ötesinde mahzurlar taşıdığından bahsetmezsek olmaz!

2013 yılında The Guardian, Microsoft’un Amerika’nın Milli Güvenlik Ajansı NSA’e kullanıcılarının şifrelenmiş mesajlaşmalarına erişim verdiğini yazdı. Bu, Outlook programı üzerinden gönderilip alınan maillerden, Skype üzerinden yapılan görüşmelere kadar her mahrem bilginin Amerikan istihbaratına teslim edilmesi anlamını taşıyordu. The Guardian, NSA’in ‘Prism’ kod adlı programı kapsamında Microsoft, Apple, Google, Facebook ve Yahoo gibi Amerikan firmalarının sakladığı tüm bilgilere doğrudan erişim elde ettiğini duyurdu. Maalesef bugün, Cumhurbaşkanlığımızdan Başbakanlığımıza tüm devlet kurumlarımızda, hatta güvenlikle ilgili, savunmayla ilgili devlet kurumlarımızda bile şuursuzca bu firmaların yazılımları kullanılıyor. Bu yazılımları kullanırken devletin belki de en hassas bilgilerini Amerikan istihbarat teşkilatının avuçlarına koyduklarından habersiz kamu görevlileri, sebep oldukları istihbarat zaafını göremiyorlar. Hem de Amerikan hükümetinin, yazılım firmalarından güvenlikle ilgili yazılımlara uzaktan erişim imkânı sağlayacak ‘arka kapılar’ koymalarını istediği de artık bir sır olmaktan çıkmış olduğu halde!

Bizi bekleyen sıkıntılı günlere hazırlık yapmak zorundayız. Artık siber savunmaya yapılacak yatırımlar tanklara, uçaklara yapılacak yatırımlardan çok daha önemli hale gelmiş bulunmakta. Devlet adamlarımızın bu hakikati bir an önce görüp, gerekli adımları derhal atmalarını temenni ediyoruz. Zira biz bu konularda tedbir almakta geciktikçe muhtemelen yarın canımızla, kanımızla ödeyeceğimiz fatura kabarıyor.

YORUMLAR
YORUM YAZ
UYARI: Hakaret, küfür, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış, Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır. (!) işaretine tıklayarak yorumla ilgili şikayetinizi editöre bildirebilirsiniz.
Bunlar da İlginizi Çekebilir