"Sanal terörizm" ciddi tehlike
15.12.1999 Milliyet
İnternete bağlandığınızda neler yapabileceğiniz, amaç ve yeteneğinize bağlıdır. Bilgisayar korsanlarının belli bir süre sonra her sisteme sızabildiklerini saptadık.
Biltes'in 2-3 Aralık tarihinde İstanbul'da düzenlediği "Uluslararası Terörizm" konulu konferansta, geleneksel terörizmin yerini kimyasal, biyolojik ve nükleer silahların kullanılacağı "süper terörizm" ile "sanal terörizm"in alacağı görüşü ağırlık kazandı. ABD Dışişleri Bakanlığı'na bağlı "Hassas Altyapıları Koruma Merkezi"nde görevli Robert Stevens'in "sanal terörizm" konulu bildirisi, geniş ilgi uyandırdı. Stevens'la arkadaşımız Ruşen Çakır görüştü.
Bilgisayarıyla internete bağlı herhangi birinin, kötü niyetli olması durumunda bir "sanal terörist" olabileceğini söylüyorsunuz...
Evet, kesinlikle. Çünkü internete bağlı olmanız, tüm dünyaya, bağlı tüm bilgisayarlara bağlı olduğunuz anlamına gelir. Neler yapabileceğiniz sizin amaç ve yeteneğinize bağlıdır. Biz, "hacker"ların (bilgisayar korsanları) belli bir süre çalıştıktan sonra her sisteme sızabildiklerini saptadık.
Sızıp da ne yapıyorlar?
Eğer bir bilgisayarın temel işletim sistemine girebilirlerse her şeyi kontrol edebilir, istedikleri her şeyi yapabilirler.
Bir örnek verebilir misiniz?
Bu yılın nisan ayında ABD'nin Pennsylvania eyaletindeki bir çelik şirketine sızıldı. Bu şirket dünyanın dört bir tarafında inşa edilecek köprüler için çelik pimler üretiyor. Yapabileceklerinin sınırlarını deneyen bir korsan, şirketin bilgisayar sistemine sızmış ve programda küçük bir değişiklik yapmış. Bu değişiklik sonucu buzlu havalarda çelik pimlerin kullanıldığı köprüler çökebilecekti. Olay tamamen tesadüf eseri ortaya çıkarıldı.
Hassas altyapılar
ABD Dışişleri Bakanlığı'na bağlı "Hassas Altyapıları Koruma Merkezi"nde çalışıyorsunuz. Hangileri bu hassas altyapılar?
ABD'de sekiz hassas altyapı saptandı. Bunların en önemlisi elektrik. Çünkü hemen hemen tüm aletler elektrikle çalışıyor. Ardından iletişim geliyor ki bu, bilgi teknolojilerini ve interneti de kapsıyor. Sonra her türden ulaşım; su dağıtım şebekeleri; gaz ve akaryakıt dağıtım şebekeleri; ambülans gibi acil yardım servisleri ve en nihayet hükümet faaliyetleri geliyor.
Bu altyapıları nasıl koruyorsunuz?
Bizde altyapıların çoğu özel sektörün denetiminde. Bu nedenle öncelikle hedefimiz kamu ve özel sektör arasında işbirliği sağlamak. Ardından güvenlik ve istihbarat birimlerini de bu olaya katmak çabasındayız. Sorun yalnızca sanal bir saldırıyı savuşturabilmek değil, aynı zamanda saldırıları önceden öğrenip gerekli önlemleri alabilmek. Ancak özel sektör bu tür koruma faaliyetlerinin çok pahalı olmasından şikayetçi; bir de kesin garantili savunma sistemleri henüz geliştirilebilmiş değil.
Galiba sanal terörizmin bir özelliği de faillerinin kolay saptanamaması...
Bir zamanlar öyleydi, fakat artık sızmaların kaynağını belirleyecek, hatta gerektiğinde karşı saldırıya geçmemize imkan sağlayacak yöntemler geliştirmekteyiz.
Amerikan ordusunun tatbikatı
Amerikan ordusu 1997'de düzenlediği bir tatbikatta bilgisayar sisteminin güvenli olup olmadığını sınamış. Nasıl sonuçlandı bu tatbikat?
Tatbikatların çoğunda kötü adamlar kaybeder, iyi adamlar kazanır. Ama bu tatbikatta kötü adamlar epey başarılı oldu. Otuz beş görevlinin üç ayda gerçekleştirdiği 40 binin üzerindeki denemede saldırılardan yalnızca iki tanesi açıkça saptanıp savuşturulabildi. Bu sonuç, yalnız Amerikan ordusunu değil, tüm yönetimi uyardı ve harekete geçirdi.
İnternet korsanları nasıl insanlar?
Bu yılın kasım ayında Washington Post'ta çıkan bir haberden alıntı yapmak istiyorum. Onbeş yaşında mahkum olmuş bir korsan söz konusu. Hiçbir bilgisayar eğitimi almamış, ancak internet başında saatler geçirmiş. "Başlangıçta sistemlerin güvenlik sorunlarını saptamak ve sahiplerini, onlara zarar verebilecek kişilere karşı uyarmaktı niyetim. Ama zamanla ben de zarar verenlerden oldum" diyor. Çoğu "hacker" başta iyi niyetlidir. Ne gibi hasara yol açabileceğini kestiremez. Sistemlerin zaaflarını saptayıp tüketici haklarını koruma gibi gerekçelerle internet ortamında teşhir eder. Ama bu bilgilerden kötü niyetlilerin de yararlandığını hesaplayamaz.
Hukuk yetersiz mi?
Hukuk sanal suçlarla mücadelede yetersiz mi?
Siberuzay konuları çok yeni olduğu için ulusal ve uluslararası yasalar işlenebilecek suçların çoğunu cezasız bırakıyor. Çünkü bu konuda standartlar henüz saptanabilmiş değil. Fiziki saldırıyla sanal ortamda gerçekleştirilen saldırı arasında ne fark olduğu hala belirsiz. Örneğin bir bilgisayarla bir barajı yıkabilir, insanların ölümüne sebep olabilirsiniz. Ama uluslararası hukuk bunu bir silahlı saldırı olarak görmüyor.
Türkiye gibi yolun başındaki ülkeler sanal terörizm konusunda daha mı şanslı?
Evet. Türkiye bir bakıma şanslı, çünkü diğer ülkelerin hatalarından ders çıkarabilir. Ama Türkiye'nin de sanal saldırılara açık bir ülke olduğu unutulmamalı. Örneğin bilgisayar kullanarak uçak üretiyorsunuz, barajları çalıştırıyorsunuz. Alışveriş merkezleri bilgisayarla işliyor. Dolayısıyla sistemin çökmesi toplumsal hayatın da kısmi çöküşüne yol açar.
Sanal terörizmin, klasik terörizmin yerini alacağına inananlardan mısınız?
Eski tip terörizmin yerini almasa da çok büyük zararlara yol açacağı kesindir. En önemlisi, tek tek bireylerin kişi güvenliği, sanal terörizmle daha fazla tehdit altında. Örneğin bir terörist, İstanbul'un elektriğini kesip insanları asansörlerde mahsur bırakabilir, buzdolaplarındaki yemekleri çürütebilir. Bunu yapmak için hayatını feda etmesi gerekmez; bir bilgisayarı olması yeter.
|