Yüksek teknoloji üretiminde endüstriyel casusluğa karşı güvenlik farkındalığı geliştirilmeli.
Güvenlikte odak noktamız: İnsan faktörü
UNDEX Genel Müdürü İbrahim Yılmazer ile özel bir röportaj gerçekleştirdik. Türkiye’nin Millî Teknoloji Hamlesi’ni endüstriyel casusluğa karşı güvenlik farkındalığı sağlayarak desteklemeyi kendine misyon edinen UNDEX Genel Müdürü İbrahim Yılmazer’e iş dünyasında istihbarata karşı koyma ve endüstriyel casusluk konularını sorduk.
İbrahim Bey, klasik bir giriş yapalım, sizi tanımak ve okuyucularımıza tanıtabilmek için önce şunu soralım: Kendinizden bahsedebilir misiniz? İbrahim Yılmazer kimdir?
Öncelikle, ilginiz için teşekkür ederim. Ben, Çanakkaleliyim. Tekirdağ/Şarköy’de doğdum. Yıldız Teknik Üniversitesi İşletme Bölümü mezunuyum. İş kariyerimde, özel sektör ve kamu tecrübelerim oldu. Bir süre Müstakil Sanayici ve İşadamları Derneği’nde (MÜSİAD) “Dış İlişkiler Koordinatörü” olarak çalıştım. Bir süre Türkçe-İngilizce çevirmenlik yaptım. Daha sonra T.C. Cumhurbaşkanlığı bünyesinde uzman olarak görev aldım. Uluslararası güvenlik, istihbarat ve bilgi güvenliği alanlarıyla akademik ve mesleki olarak ilgiliydim. Bu kapsamda, yurt içinde ve yurt dışında diplomatik görevlerde bulundum. Akademik faaliyetlerim oldu, çeşitli yayınlar, makale ve kitaplar hazırladım; ticari ve diplomatik nitelikli uluslararası etkinliklerde konuşmacı ve katılımcı olarak yer aldım. Memuriyetten ayrıldıktan sonra İstanbul merkezli, bilişim, güvenlik ve Ar-Ge alanlarında çalışan, Understanding Exchange (UNDEX) ismiyle bir şirket kurdum. Bugün İstanbul ve Ankara’da ofislerimiz bulunmaktadır. Özellikle endüstriyel ve kurumsal bilgi güvenliği, siber güvenlik, kurumsal istihbarat ve endüstriyel casusluğa karşı koyma konularına odaklanıyoruz.
İbrahim Bey, siber güvenlik ve bilgi güvenliği kavramlarını sıkça duyuyoruz ama kurumsal istihbarat ve endüstriyel casusluk pek aşina olduğumuz konular değil. Sıradışı alanlar gibi duruyorlar. Bu kavramları açıklayabilir misiniz?
Elbette. Özellikle ülkemizin “Millî Teknoloji Hamlesi” atılımlarından sonra daha sık karşılaşabileceğimiz kavramlar bunlar. Kıymetli bilgi ve teknoloji üreten ülkeler ve şirketler, kurumsal ve endüstriyel nitelikli casusluk tehditleriyle yüzleşmek zorunda kalacaklardır. Bakınız, “kalabileceklerdir” demiyorum “kalacaklardır”. Çünkü iş dünyası da bir bakıma savaş dünyasıdır, her ne kadar tasvip etmesem’de bu dünyada bilhassa rekabetçi ihtirasları yüksek kuruluşlar hileyi mübah görmektedir. Rakiplerindeki ilerlemeleri büyük bir tecessüsle takip ediyorlar. Mümkünse rakiplerindeki ustalık bilgisini (know-how) kendilerine transfer etmek istiyorlar. Yani, aslında, bu kibar bir ifade oldu. Doğrusu, bilgi ve teknolojiyi çalıyorlar. “Endüstriyel casusluk” denen şey budur, bir tür hırsızlıktır, bilgi ve teknoloji hırsızlığı. “Kurumsal istihbarat”, “rekabetçi istihbarat” veya “ticari istihbarat” diye isimlendirilen alanlar da nispeten daha masumdur, sadece açık kaynaklara yansıyan haberler, rakibin kendisi tarafından yayımlanan raporlar, araştırmalar, röportajlar vb. şeyleri kaynak olarak kullanırlar.
Bunlardan biri legal, diğeri illegal. Doğru mudur?
Evet, şöyle diyebiliriz, casusluk bir yöntemdir, gizli bilgi toplama yöntemi. Diğerleri açık kaynak istihbaratı niteliğindedir. Ama bir şeyleri çalmak, dokümanları çalmak, izinsiz kopyalamak ve fotoğraflamak veya rakip kuruluşun bir çalışanını manipüle ederek “içeriden bilgi” almak gibi eylemler işin içine girdiğinde, bu illegaldir, suçtur. İstihbarat, doğru kararlar alabilmek için yöneticilere fayda sağlar, bundan istifade edilmelidir ama beşeri tecessüsler, bilgi toplama faaliyetlerini illegal alana sürükleyebilmektedir. Buna dikkat etmek lazım. Kötü niyetli kişiler ve kuruluşlar hileyi mübah görse bile, hileyle anılmak hiçkimse için itibarlı hâl ve sürdürülebilir bir kazanım değildir.
Yani şirketler “istihbarat” yapmalı ama “casusluktan” kaçınmalı mı?
Şöyle diyorum, istihbaratı bilmek lazım, bu artık sadece bir devlet meselesi değil. İçinde bulunduğunuz sektörel gelişmelerden, rakiplerinizden haberdar olun, dünyadaki ilerlemeleri sistematik şekilde takip edin, erişebildiğiniz kıymetli verileri ve bilgileri derleyin, analiz edin, yorumlayın. Bu çalışmalar, gidişatı anlamak ve geleceği doğru öngörebilmek için önemlidir. Ama, tabii ki, rekabet avantajı elde etmek için etik ve ahlaki olmayan yol ve yöntemlere tevessül edilmemelidir. Size karşı bu yöntemlerin kullanılmasına da izin vermemelisiniz. “Casusluktan kaçınmak” aslında iyi bir ifade değil, tam olarak meramımızı açıklamıyor. “Casusluktan korunmak” lazım. Bireysel ve kurumsal düzeyde “koruyucu güvenlik önlemleri” almamız, buna yönelik birtakım kurallar ve prosedürler geliştirmemiz lazım.
Burada kastettiğiniz şey, bu kurallar ve prosedürler, yaygın olarak bilinen “bilgi güvenliği” uygulamaları mı? Ya da siber güvenlik?
Hayır, bilgi güvenliği ve siber güvenlik daha çok bilişim sistemleri odaklıdır. Temiz masa, temiz ekran politikası gibi materyal ve personeli hesaba katan tedbirler de öngörülüyor ama biz, burada, bilgisayarları değil, insanları hack’leyen daha sofistike bir tehditten bahsediyoruz. Espiyonaj, yani casusluk söz konusu olduğunda “yabancı ülke vatandaşlarıyla ilişkiler”, “uluslararası fuarlar, sempozyumlar, etkinler”, “hızlı ve anormal zenginleşmeler”, “hızlı gelişen dostluklar”, “bilgi sızdırma (ağızdan laf alma)”, “ideolojik ve cinsel manipülasyon”, “gizli haberleşme”, “gizli gözetleme”, “aile, arkadaşlar, komşular”, “gizli servisler” vb. hususlar odak noktayı teşkil etmektedir. Böyle bir odaklanmada, bilgi güvenliği ve siber güvenlikte olduğu gibi “personeli hesaba katmak” değil, doğrudan “hesabı personel üzerine kurmak” gerekir. Yani odak noktamız: insan faktörü... Dolayısıyla, hesabı bu şekilde kurduğumuzda, yeni bir disiplin ortaya çıkmaktadır: İstihbarata Karşı Koyma (İKK). Bu disiplin, bilgi güvenliği ve siber güvenlikten daha gelişkindir.
Enteresan bir konu... İbrahim Bey, bunun pratik uygulamalarına örnekler verebilir misiniz? Mesela ülkemizde hangi şirketler veya sektörler bu konuyla ilgileniyor?
Ülkemizde Dışişleri Bakanlığı, TSK ve MSB gibi bazı kamu kurumlarının İKK farkındalığının daha yüksek olduğunu söyleyebilirim. Özel sektörde daha çok uluslararası şirketler İKK tedbirlerini uyguluyor. Maalesef ve genellikle çoğu şirket de sadece kağıt üzerinde ISO27001 belgesi almakla yetiniyor. Yılda bir-iki defa usulen siber güvenlik hizmeti, sızma testi vb. hizmetleri alıyorlar. Bana göre, özellikle yüksek bilgi ve teknoloji üreten, savunma sanayii alanında çalışan, biyoteknoloji, otomotiv, enerji, finans, tarım, ulaşım ve motor teknolojisi, sivil toplum, akademi, yazılım, donanım ve havacılık gibi sektörlerde faaliyet gösteren şirketler ve kuruluşlar İKK’yı öğrenmeli ve uygulamalılar. Gelişmiş ülkelerde İKK alanında danışmanlık hizmeti, eğitim ve farkındalık programları geliştiren ciddi kuruluşlar var. Bunları incelemek, çalışmalarını takip etmek faydalı olacaktır.
Peki, pratik uygulama nedir? Ne yapmak lazım?
Evet, öncelikle şu sorulara cevap verilmeli: Ne korunmalı? Kimden korunmalı? Korunması ne kadar mümkün? Korunmazsa sonuçları ne olur? Korumanın bedeli nedir? Eğer, şirket veya kuruluş, ISO27001 standartlarını uyguluyorsa, yani hâlihazırda Bilgi Güvenliği Yönetim Sistemi (BGYS) varsa, bu soruların cevapları zaten mevcuttur. Bilgi güvenliği risk değerlendirmeleri esnasında bu sorular yanıtlanmış olabilir. Mevcut BGYS tedbirlerine ayrıca bir İKK planı entegre edilmelidir. Buna İstihbarata Karşı Koyma Farkındalık Entegrasyon Planı (Counterintelligence Awareness Integration Plan) denmektedir. Bu plan kapsamında, öncelikle, tüm personele yönelik İKK farkındalık eğitimleri verilir, belki bazı tatbikatlar gerçekleştirilebilir. Gerekirse kuruluş bünyesinde yayımlanmak üzere çeşitli posterler hazırlanabilir, sertifika programları geliştirilebilir.
Nitekim risk değerlendirmeleri İKK perspektifiyle güncellenir. Yabancı ülkelere iş seyahatleri gerçekleştirilirken nelere dikkat edilmelidir, uluslararası fuarlara, sempozyumlara katılırken hangi önlemler alınmalıdır? Bu tür etkinliklerde karşılaşılan anomaliler nelerdir, bunlar kime ve nasıl raporlanır? Hangi durumlarda MİT’e veya EGM’ye ihbarda bulunulmalıdır? Ülkemizdeki yabancı misyon temsilcileriyle ilişkileri nasıl kurmak, nelerden sakınmak gerekir? Şirketimize, kuruluşumuza ait tesislere gelen yabancı ziyaretçiler için ne tür mihmandarlık ve kısıtlamalar uygulanacaktır? İç tehditlerle (insider threat) ilgili ne yapılacaktır? Hassas projelerde çalışan personelin nelere dikkat etmesi gerekir? Bu gibi soruları iyi düşünmek, doğru yanıtlamak gerekir.
Ülkemiz yüksek teknolojilere yatırım yapıyor, bu kapsamda, bu yatırımların endüstriyel casusluğa karşı güvenlik farkındalığı geliştirilerek desteklenmesi gerekiyor. Yoksa, gerçekten bu tehditlerle baş edemeyen şirketler ve kuruluşlar milyon dolarlar, milyar dolarlar kaybedebilmektedir. Bunların örneklerini basit bir internet araştırmasıyla bulabilirsiniz.
Özellikle American Superconductor ve Çinli enerji şirketi Sinovel arasında gerçekleşen casusluk vakasının incelenmesini öneririm. Amerikalı şirket 1 milyar dolardan fazla para kaybetmiş, 900 çalışanın yarısını işten çıkarmak zorunda kalmıştır. Bu vakada Sinovel, American Superconductor’ın geliştirdiği bir yazılımın kaynak kodlarını çalmıştır. Şirketin avukatı bu durumu açıklarken “kurumsal cinayete teşebbüs” şeklinde bir ifade kullanmıştır. Kesinlikle öyle...
Çerçeve dergisine erişmek için tıklayınız:
Comments