Hırsız Evin İçindeyse Kapının Kilidini Değiştirmek İşe Yarar mı?

Veri güvenliğinin kaybı, bir ülkeyi çökertebilir. 15 Temmuz’da yaşadık, gördük. Veri güvenliğinin kaybı, bir ülkenin silahlı kuvvetlerini kendi meclisini bombalamaya kadar götürdü. Tabii ki bir anda olmadı; yılların tahribatı. Karşı çıkanlar adım adım nasıl yapıldığını anlattılar; karşılarındaki örgüt seslerini bastırdı. Çok uzun bir süreye yayılan, ve çok değişik teknikler kullanılan bir süreç olduğundan, basitleştirmeden, tahribatın önemli bir sebebinin de, veri güvenliğinin kaybolması ve dijital sahte deliller üretilmesi olduğunu söylemek istiyorum. Delillerin sahte olduğuna dair inandırıcı kanıtlar ortaya çıksa da, basının belli bir kesimi bu kanıtları tarafsız olarak değerlendirmedi, ya da bile bile bu yalana ortak oldu.

Dijital deliller bilgisayarlara nasıl yerleştirildi?

Bunun bir kısmına, birinci elden, dijital delillere dayalı davalar için bilirkişilik yapan meslektaşlarımız şahit oldular. Tamamen sahte oldukları aleni olan düzmece deliller, gözaltına alınan kişilerin bilgisayarlarından çıktı. Bu nasıl oldu? Bir kısmı, bilgisayarlara el konulduktan sonra yerleştirilmişti. Ancak bir kısmı, daha yaratıcı yöntemlerle bilgisayarlara yerleştiriliyordu: Bazıları, Truva atı adı verilen bir zararlı yazılım yoluyla bilgisayara yerleşiyordu. Diğerleri, bilgisayarın bulunduğu mekana  gece hırsız gibi girip bilgisayarın diski sökülüp başka bir bilgisayara takılarak yerleştiriliyordu. Tüm bunları, Bilgisayar Mühendisliği öğretim üyesi meslektaşlarımız, delilleriyle saptadılar; mahkemelere bilirkişi raporlarıyla sundular.  Davaların bir kısmı, bu deliller sayesinde çürütüldü.

Niye bunlar gelip bizi buluyor?

Aradan 10 sene geçti. Yanlı, yalancı medya ortadan kalkmadı; ama okuyanı azaldı. Artık sosyal medya, yurttaş gazeteciliği, internet medyası insanların ana haber alma kaynakları arasında girdi. Bir taraftan bunları kontrol etmeye yönelik yasa taslakları hazırlanırken, bir taraftan da, bilgi sistemlerinin kontrolünü başka yöntemlerle ele geçirmek üzere girişimlere şahit oluyoruz. Üstelik de bunlar “veri güvenliği” kılıfı altında yapılıyor. İşin başrolünde yine bizim hocalarımız var. İnsan sormadan duramıyor: Niye bunlar gelip bizi buluyor?

Üniversite, bilgi sistemlerinin yaygın kullanıldığı yerlerden birisidir. Hele de Bilgisayar Mühendisliği; yüzlerce kişisel bilgisayar; onlarca sunucu. İçimizde bilgi sistemleri hakkında teorik bilgilerin yanı sıra, pratik bilgisi olan öğretim üyelerinin olması en büyük şansımızdır. Geçen hafta, bu işten sorumlu komisyon üyesi hocalarımız, üniversitede yeni bir uygulamadan haberdar oluyorlar: Üniversite, bir özel şirkete, personel, öğrenci ve mezunların kişisel verilerinin olduğu veri tabanlarını açıyor. Bu aslında, kişisel verilerin korunması kanununa göre, bir suç. Apar topar onay alınmadan yapılmış. Ancak daha da vahimi, bilgi ve iletişim güvenliği tedbirlerine uyum için alınan bir hizmet için, tüm sunucu bilgisayarların yönetici şifrelerinin, ve tüm trafiğin yansısının istendiğini de keşfediyorlar.

Kasanızın anahtarlarını bize verin

Bu şu demek: Üniversite dışından bir şirket, tüm bilgisayarlara kumanda edebilecek; tüm trafiği, yani kimin kime ne yolladığını, hangi sitelere girdiğini gerçek zamanlı olarak kontrol edebilecek. Üstelik de bunları hiç fark edilmeden ve iz bırakmadan yapacak. İstenilen maddeleri bir bankaya uyarlarsak, şuna benziyor: Bankanızın kasa anahtarlarını bize verin; ayrıca kasaya bakan güvenlik kameralarının ve alarmlarınızın kontrolünü de bize verin; istediğimizde kapatabilelim. Güvenlik elemanlarınızı da işten çıkarın, bundan sonra güvenliğinizi biz sağlayacağız.

Akla, mantığa sığmıyor, değil mi? Bizim hocalarımız da öyle düşünüp bunun mantıksızlığını anlatan bir rapor hazırlamaya girişmişler: Bu işin sorumlularını uyaralım; bu hatadan dönülsün; yapılan kanuna aykırı uygulamalar telafi edilsin. Hemen o gün içinde başlarına ne gelmiş dersiniz? Bir kısım medyada düğmeye basılmış gibi, haklarında aynı kalemden çıkmış haberler çıkmış: “Bunlar nasıl profesör? Profesörler bilgi işlem merkezinden belge çaldı”. Hocalarımız görevden alınacaklarını, haklarında disiplin soruşturması açılacağını gazeteden okumuşlar. Daha aradan bir gün bile geçmeden, saatler içinde.

Kalan öğrencileri geçirelim, mezun olmayanlara diploma verelim

İnsan düşünmeden edemiyor: Bilgisayarların yönetici şifrelerini alan; tüm trafiğinin kopyasını alan kişiler, eğer kötü niyetli kişilerse, neler yapabilirler? Mesela üniversitenin üç bin çalışanının, on beş bin öğrencisinin, elli bin mezununun kişisel verisine ulaşabilirler. Ondan vahimi, öğrencilerin notlarına, diplomalarına ulaşabilir; kalmış öğrencileri geçirebilir; öğrenci olmayanları kayıt edebilir; mezun olmamışlara diploma düzenleyebilirler. Bunlar daha masum olanlar. Bu kişilerin yazışmalarını okuyabilir; olmayan yazışmalar ekleyebilir; bilgisayarlarına dokümanlar yerleştirebilirler.  İstedikleri kişiyi uygun gördükleri terör örgütüne üye yapar; ortaya düzmece örgütler çıkarabilirler. Yani daha önce 15 Temmuzu düzenleyen terör örgütünün ilkel yöntemlerle yaptığı şeyleri, profesyonelce yapabilirler.

Paranoya mı bunları düşünmek? Eğer bunlar paranoya ise, ortada böyle bir şey yoksa ne beklersiniz? Bu raporu verdiğinizde, rektörlük “aman hocam, merak etmeyin, böyle bir şey yok; biz her türlü tedbiri alırız; çok teşekkürler bizi uyardığınız için” demez mi? Peki, eğer bunun yerine, saatler içinde, hakkınızda bir kısım medyada aynı kalemden çıkmış karalayıcı haberler çıkarsa, ne düşünürsünüz?

Ben bunun paranoyadan öte, araştırılması gereken sahici bir risk olduğunu düşünüyorum. Bilgi ve iletişim güvenliği tedbirlerine uyacağız derken, hırsızı evin içine almamak lazım.