CEPIS

Avrupa Profosyonel Bilişim Dernekleri Konseyi (CEPIS), Bilişimin istihdam, iş ve toplum üzerindeki etkisinin farkına varmak amacıyla Bilişim Uzmanları arasında yüksek bir standardın iyileştirilmesi ve teşvik edilmesi amacıyla kar amacı gütmeyen bir organizasyondur. Avrupa genelinde 31 ülkede 32 Üye Topluluğunu temsil eden CEPIS, aşağıdaki açıklamayı kabul etmiştir:

1. Geçmiş Deneyimler

CEPIS, Alman Üye Topluluğu olan Gesellschaft für Informatik eV (GI) araştırmasına atıfta bulunarak yıllarca pazarlanmakta olan PC ve sunucu işlemcilerinin ve yazılımlarının güvensizliğine son vermeye çağırıyor.

2018’de bile, Avrupa’da hala temel bilgi güvenliği açıkları bulunmaktadır: verilerin gizliliği, bütünlüğü ve eldeedilebilirliği otoriteler şirketler ve özel kişiler tarafından hala garanti edilmemektedir. Ayrıca, sayısız güvenlik açıklıkları, veri ve dijital altyapılara yapılan saldırılarda  açık kapı yaratmaktadır.

Geçmişin deneyimleri göz ardı edilemez. Zaten sadece son 18 yılın bulgularına bakıldığında uluslararası alanda casusluk ve sabotaj faaliyetlerinin endüstri ve politika üzerindeki çaba ve başarısı görülmektedir.

Bu bulgular, Avrupa Parlamentosu’nun Echelon raporunda (2001), Edward Snowden’in (2013) açığa çıkardıklarında ve daha fazlasında yer almaktadır.

Bilgi ve İletişim Teknolojileri (BT) sistemlerine yapılan müdahale ve saldırılarda kullanım hatalarının yanı sıra yazılım, ürün yazılımı ve mikro kod üzerine özel olarak arka planda yüklemiş olan güvenlik açıklıklarının kullanılmasından kaynaklandığı görülmektedir. Yazılım ve ürün yazılımındaki güvenlik açıklıkları genellikle üreticiler tarafından yayınlanmaz. Diğer güvenlik açıkları da henüz üreticiler tarafından bilinmemektedir. Bu nedenle, Avrupa vatandaşları ve şirketleri BT güvenliğindeki bu doğal yazılım ve ürün yazılımı güvenlik açıklıklarını henüz tam olarak bilmemektedir.

En azından 2009’dan bu yana en çok kullanılan işlemciler, yazılımı yeterince belgelenmemiş veya yayınlanmamış yerleşik mikrodenetleyicilere (‘motorlar) sahiptir. Söz konusu ürün yazılımları (sıkıştırılımış ve imzalanmış) kullanıcıları tarafından bilgisayarlar  kapatılmış olsa bile üçüncü şahıslar tarafınca uzaktan etkinleştirilebilir. Ürün yazılımları (Firmware) bağlı olan tüm cihaz ve bileşenlerde tam erişim hakkına sahiptir ve dokümanlarda belirtilmemiş olan veri alışverişini Internet üzerinden şifreli olarak yapabilmektedirler. Ek olarak, yaygın olarak kullanılan işletim sistemleri üreticileri ile devamlı olarak içeriği kontrol edilemeyen veri alışverişlerinde bulunmaktadır.

2. Kaygılar

Belirtilen bulgular neticesinde, bilinen ve bilinmeyen çok sayıda güvenlik açığı içeren ve bu nedenle fonksiyonelliği belirsiz olan ve kullanıcı tarafından tamamen kontrol edilemeyen sistemler ile daima uğraşmak zorundayız.

Bu güvenlik sorunlarının olası hasar potansiyeli politik istikrarsızlığa yol açabilecek şekilde demokratik seçimlerin manipülasyonundan, kurumsal sırların ve endüstriyel süreçlerin manipülasyonuna kadar uzanmaktadır.

BT güvenliğini artırmak, devlet kurumları, işletmeler veya bireyler tarafından bilinen güvenlik açıklarının yayınlamasından çok daha fazlasını gerektirmektedir. Üreticiler tarafından güvenlik açıklıklarının gizlenmesini de cezalandırmak yeterli değildir.  Bu tür reaktif önlemler önemlidir ancak yeterli değildir. BT altyapılarının güvenliği ancak proaktif yaklaşımlarla sağlanabilir. Bunun içinde donanımlar, ürün ve sistem yazılımları, uygulamalar ve ağ bileşenleri ile güvenlik yazılımları hiç bir güvenlik açığı olmadan özellikle de arka kapı içermeyecek şekilde  güvenilir olarak geliştirilmelidir.

BT güvenliğinin önemi genel olarak ulusal ve Avrupa yasa koyucuları tarafından bilinmektedir. Ulusal BT Güvenlik Yasaları ile Avrupa Genel Veri Koruma Yönetmeliği (GDPR) bu alanda ilk gerçek koruma önlemleridir. Bununla birlikte, uluslararası üreticiler tarafından casusluk ve sabotaj amaçlı olarak güvenlik açıklıkları ile donatılan cihazlar ve programlar güvenlik önlemlerinin etkisiz kalmasına neden olmaktadır. Bu durum birçok ülkenin istihbarat servisleri ve dünya çapındaki organize suç örgütleri tarafından yıllardır başarılı saldırıların gerçekleştirilmesi için kullanılmıştır.

CEPIS, Ulusal Güvenliğinin yasal sınırlar içerisinde gerekli olduğunu bilmesine rağmen, masum Avrupalı vatandaşların BT güvenliğinin, günlük olarak kullanmakta oldukları donanım ve yazılımlar tarafından içerdikleri güvenlik açıklıkları nedeniyle ciddi şekilde tehlikeye girebileğinin farkındadır.

Bahsedilen sözkonusu BT güvenlik açığının giderilmesine yönelik olarak siyasi ve yasal bir çözümün oluşturulması amacıyla etkili uluslararası anlaşmaların yapılması, uluslararası düzeyde güçlü aktörlerin jeostratejik çıkarları göz önüne alındığında pek de olası görünmemektedir.

AB ve Üye devletler tarafından, sanayi politikaları, ekonomik ve stratejik tedbirlere uygun olarak üretilen donanım ve yazılımların sayısında sağlanacak olan büyük artış AB genelinde gerçek güvenli sistemlerin oluşmasına önemli katkılar sağlayacaktır.

Siber uzaya artan bağımlılık, bilgi işlem ve ağ bileşenleri, tehdit bilgileri ve görev bağımlılığı olmak üzere üç temel alanda durum farkındalığı ihtiyacını büyük ölçüde artırmıştır. Siber direnç, değişen koşullara hazırlık ve uyum sağlama ile saldırılara karşı dayanabilme gücü ve saldırısı sonrasında ise hızla tekrar normal durumuna gelme yeteneğidir. Geleneksel savunma tekniklerinin zorunlu olmasına karşın, kurumların başarılı saldırılara maruz kaldıklarında bile görevlerini yapabilmeleri için ek teknolojilere ihtiyaçları bulunmaktadır. Siber saldırılara karşı dayanıklılık, altyapılarda, mimari yapıda ve kurumsal operasyonlarda teknik, prosedürel ve politika değişikliklerini gerektirir.

3. Tavsiyeler

  1. Mevcut durumda CEPIS, Avrupa Üye Devletlerinin dijital egemenliğinin sağlanması için büyük çaba sarf etmektedir. Avrupa ve Üye devletlerin mevzuatlarına göre kanıtlanabilir BT güvenliği için bağımsız ve güvenilir bir kontrol kuruluşuna ihtiyaç vardır. Bu durum, kamu otoriteleri, şirketler ve özel kullanıcılar için geçerlidir.
  2. Bu amaca ulaşmak için proaktif olarak bağımsız bir Avrupa gelişiminin sağlanması ve bilgisayar donanım ve yazılımları için gerçek güvenilirlikte sistemlerin üretilmesi zorunludur. Bu tür proaktif stratejiler, Avrupa’yı çok rekabetçi bir konuma getirecektir. AB’nin mevcut BT güvenlik zorluklarının ışığında bu girişim, yeni bir toplumsal hassasiyet yaratabilecektir.

Her iki öneride, Avrupa Siber Güvenlik Endüstri, Teknoloji ve Araştırma Yeterlilik Merkezi ve Ulusal Koordinasyon Merkezleri Ağı’nı oluşturulmasına yönelik olarak Avrupa Parlamentosu tarafından verilen düzenleme önerilerine destek sağlamaktadır.  Teklifin çerçevesi için detaylı bir görüş sağlama girişimi olarak da değerlendirilebilir.