Savunma sanayiinde ürettiği yerli ve milli silahlarla bu alanda sayılı ülkeler arasına giren Türkiye, casusların özellikle de siber saldırıların hedefine girdi.
TRT Haber'in haberine göre yerli ve milli savunma sanayii ürünlerimiz ve sistemlerimiz için en çok merak edilenlerin başında 'casusluk ya da kopyalanma olaylarına karşı nasıl korunuyor?' sorusu geliyor... Sadece bu da değil, örneğin Türkiye'nin başka ülkeye sattığı bir platformun akıbeti, teknoloji transferinin sınırları ya da karşı tarafın eline geçen bir S/İHA'dan hangi bilgilerin alınabileceği gibi konular sıkça soruluyor...
Bu konuda önemli açıklamalarda bulunan Deniz Harp Enstitüsü Öğretim Görevlisi Ayhan Sunar, diğer unsurlara değinmeden önce en başta 'insan' faktörünün üzerinde durulması gerektiğini belirtti..
Firmaların, para/güç/iktidar bağımlılığı gibi bireysel zafiyetlere karşı uyanık olması ve hataların tespiti halinde müsamaha göstermemesi gerektiğine işaret eden Sunar'a göre varlığını sadece ticari menfaatleri ile sınırlı görmeyen bir bakış açısı çok önemli.
İstihbarat ve istihbarata karşı koyma noktasında bilgisi ve vizyonu olan firmalara ihtiyaç olduğunu söyleyen Ayhan Sunar şunları söyledi:
"Vatanına ve değerlerine bağlı ahlaklı çalışanların bilgili ancak zafiyeti olan çalışanlardan yukarıda tutulması gerekiyor. En bilgili ve tecrübelisi de olsa, doğru davranmayan çalışana tolerans göstermeyecek bir bakış açısı gerekli"
"Siber dünya ve sosyal alan" olarak bir diğer saldırıya dikkat çeken Sunar, siber dünyanın getirdiği risklere dair bilgi seviyesinin toplum genelinde artması ve yaygınlaşması gerektiğini vurguladı.
Sosyal alan olarak betimlendiği kısmı biraz daha açan Sunar, bu alanda çalışan kişilerin sadece mesai saatleri içinde değil, mesai saatleri dışında da karşı istihbaratın tehdidi altında olduğunu belirtti. Sunar'a göre sosyal alanda farkındalığımızın yüksek olması, risk olacak işaretleri algılayabilmemiz lazım.
Savunma sanayii özelinde ele alındığında Türk firmalar için MSY-317-2(C) Savunma Sanayii Güvenliği Yönergesi'nin 'zorunlu ve temel rehber' olduğu bilgisini paylaşan Sunar sözlerini şöyle sürdürdü:
"Burada temel olarak kişisel ve fiziki alt yapıya yönelik düzenlemeler belirlenmiş durumda. Ayrıca yazışmalar, belgelerin saklanma usulleri, korumalı/kontrollü sızdırmaz alan özellikleri, siber güvenliğe yönelik temel tedbirler de söz konusu düzenlemelere dahil"
Son dönemlerde özellikle sosyal medyada S/İHA konusunda oldukça farklı yaklaşımlar okumak mümkün... Farklı coğrafyalarda kimi zaman teknik sebeplerle kimi zaman vurularak düşen S/İHA'ların bilgilerinin düşman unsurların eline geçtiği inancı bu paylaşımlardan biri. Peki gerçekten de durum böyle mi?
Her sistemin farklılık gösterebildiğini belirten Sunar şunları söyledi:
"Uzun bir süreçtir genellikle... Ayrıca düşman toprağında düşen; büyük hasar görmemiş sistemlerin bileşenleri ve tasarım/üretim teknolojilerinin incelenmesiyle de kabiliyetleri hakkında genel fikir edinilebilir. Ancak bu donanımla sınırlıdır. Kritik yazılımlar normal şartlar altında sistemler tarafından düşme anında sıfırlanmakta yani düşman eline geçmemektedir. İstihbarat örgütlerinin bir sistem hakkında bilgi edinmek için sistemi ele geçirmekten ziyade, söz konusu hedef ülke içinde barış zamanı faaliyetleriyle bilgiyi transfer etme gayreti içinde olduklarını unutmamalıyız. Düşen veya ele geçirilen sistemler buzdağının aşikar olan görünen yüzüdür. Örneğin bir ithalat listesinin, malzeme listesinin barış zamanı hedef ülkede ele geçirilmesi hem çok daha kolay, hem de düşen bir sistem hakkında elde edeceğinizden daha fazla bilgiyi içerebilir."
Deniz Harp Enstitüsü Öğretim Görevlisi Ayhan Sunar ihracat ve ortak üretim ile ilgili ise şunları ifade etti:
"İhracat ile az, ortak üretimle bir miktar teknolojiyi, bilgiyi dost ülke ile paylaşmış hale gelirsiniz" diyor Sunar... Sonrasında ise ihracat ürünlerinin iki versiyonu olduğunu paylaşıyor... Bunlardan ilki üretici ülkenin kendinize özel versiyonu, diğeri ise kritik kabiliyetleri içermeyen ihracat "export" versiyonu... Satılan bir ürünle kaynak kod transfer edilmez. Genellikle, kaynak kod transferi satış olarak değil, teknoloji transferi olarak adlandırılır. Dolayısıyla satılan bir ürünle teknoloji transfer edilmiş olmaz. İhracat gerekli ve önemlidir. Pek çok düzenleme ile bir tarafta teknoloji korunabilir, diğer tarafta ülkemiz için önemli bir ekonomik girdi sağlanabilir. Bu ürünlerimizin ihracatları da izne tabidir. Kullanıcısı devletler arası olarak taahhüt edilmiş şekilde, devletimizin izin verdiği ülkelere ihracat yapılabilir."
Ülkemizin savunma sanayii alanında hem kamu kurumlarının hem de kamu-özel teşebbüs birlikteliğinin çok önemli olduğunu biliyoruz. Herhangi bir projede silah sistemleri farklı bir kurumda, elektronik altyapı farklı bir kurumda, yazılım başka bir kurumda yapılabiliyor...
Peki çok farklı kurumların çalıştığı bir projenin güvenliği nasıl sağlanıyor? Ayhan Sunar bu soruya yanıt verirken öncelikle 'kriptoloji' hususuna dikkat çekiyor ve Türkiye'nin kriptolojinin amiral gemisinin TÜBİTAK olduğuna işaret ediyor.
Kimi farklı firmaların da kriptoloji alanında değer kattıklarını anımsatan Sunar, "Bilgiler korunaklı iletişim hatlarımızdan iletiliyor. Çok kritik bilgiler ise eski ve güvenli usulle; elden kripto kuryeleriyle teslim edilebiliyor. Kriptolojide risk gelişen kuantum teknolojileri ile ilgili. Kuantum teknolojileri, mevcut konvansiyonel kriptojolinin sonunu hazırladı ancak buna karşı da alınan önlemler ve geliştirilen yeni kripto sistemleri var. Ülkemiz kriptoloji alanında TÜBİTAK ve ASELSAN'ın, akademinin ve bu alanda faaliyet gösteren diğer bazı firmalarımızın gayretleriyle iyi bir noktada. Zafiyetler genellikle sistemlerin teknolojisinden değil, sistemleri işletenler yani insan faktörü üzerinden çıkıyor. Bu tüm dünyada böyle" görüşünü paylaşıyor.
Ayhan Sunar'a göre ekonomik istihbarat, askeri istihbarat gibi ulusal gücün çok önemli bileşeni... Bu alanda bazı düzenlemelerin gözden geçirilebileceğine değinen Sunar, şunları söyledi:
"İstihbarata karşı koymak, savunma teknolojilerinde öncelikle iyi bir tasarımla başlar. Donanım veya yazılım, sistemlerin kopyalanmaya veya izinsiz erişime izin vermeyecek şekilde tasarlanması ve geliştirilmesi gereklidir. Bir yazılım sıfırlama 'zeroize' teknikleriyle izinsiz erişim halinde kendini silebilir, bir donanım içine gerektiğinde kendini imha edebilecek imha mekanizmaları konulabilir.
Herhangi bir teknoloji elimize geçtiğinde, ilk sormamız gereken soru bunun güvenlik boyutu olmalıdır. Güvenliği kontrol altına alınmamış teknolojilere çok hızlı sahip olmamalıyız çünkü teknoloji bazen istihbaratın zayıflatılması maksadıyla bazı ülkeler tarafından servis edilebilir."