"Hükümetler siber saldırı riskini göze alıyor"
16 Mayıs 2017DW: Hafta sonunda yüz binlerce bilgisayara ‘WannaCry' adlı zararlı yazılım programı bulaştırıldı. Microsoft suçu Amerikan Ulusal Güvenlik Ajansı (NSA) ve Washington yönetimine atıyor ve gizli servislerin yazılımlardaki güvenlik açıklarından enformasyon ve telekomünikasyon şirketlerini haberdar etmediğini öne sürüyor. Microsoft CEO'su Brad Smith skandalın bütün hükümetlere ‘ikaz' olması gerektiğini söyledi. Bu suçlamada ne kadar hakikat payı olabilir?
Falk Garbsch: Açıklama prensip olarak, yıllardır yaptığımız eleştirilerle örtüşüyor. İstihbarat servislerinin güvenlik açıklarını silah olarak kullanabilmek için biriktirdikleri biliniyor. Bu ‘açıkları' karaborsada satın alıyor ya da güvenlik açığı bulmaları için eleman çalıştırıyorlar. Ellerindeki bilgileri de bilgisayar sistemlerine saldırmak için kullanıyorlar. Amerikan istihbaratı sanayi, ekonomi ve bilim casusluğunda son derece aktif çalışıyor. Aynı zamanda sızdırdıkları kişisel verileri de bilgisayar sistem ve şebekelerine bulaştırıp dijital silah olarak kullanıyorlar.
DW: Bu, resmi dairelerin güvenlik açıklarından yararlanabilmek için ellerindeki bilgileri enformasyon ve komünikasyon şirketlerinden sakladıkları anlamına mı geliyor?
Garbsch: Evet. Yüksek meblağlar karşılığında satın alınan güvenlik açıklarıyla ilgili bilgiler saklanıyor çünkü istihbarat bunları uzun süre kullanabilmek için öğrenilmesini istemiyor. Ancak işletim sistemlerindeki kritik güvenlik açıklarının kapatılmamasından suç şebekelerinin de yararlanabildiği unutulmamalı.
DW: İstihbarat servisleri bu riski kasıtlı olarak mı göze alıyor?
Garbsch: Sadece gizli servisler değil. Hükümetler de bilerek bu tehlikeyi riske ediyor. Son aylardaki seçim manipülasyonlarıyla ilgili tartışmalar dijital silahlanmaya işaret ediyor. Güvenlik boşlukları savunma gerekçesiyle gizlenip fiili savunma sistemleri devre dışı bırakılmış oluyor. Son siber saldırı ilk dalgaydı. Böyle devam eder ve güvenlik boşlukları kapatılmak yerine gizli servisler daha fazla dijital silahlarla donatılırsa dünyayı daha da kötü günlerin beklediğini söyleyebiliriz. Siber saldırılardan korunmanın tek yolu dijital savunmadır.
DW: Siber saldırı kurbanı olmamak için güvenlik açıklarını kapatmak hükümetlerin çıkarına olmaz mı?
Garbsch: Tabii ki olur. Dolayısıyla gizli servislere bu imkânı tanımalarına şaşırıyorum. Hükümetler bunun kendi ülkeleriyle sınırlı kalmayıp küresel bir sorun olduğunu idrak etmeliler. Bilgisayar sistemlerinin tam güvenli kılınması tabii herkesin işine gelir. Ancak bu klasik savunma politikalarındaki gibi silahlanma yarışına girişip, ‘önemli olan daha güçlü silahları sahiplenmektir' demeye benzemez. Yara alabilir durumdaysanız, yaralanırsınız. En sağlam pencereyi takar ama kapıyı unutursam, hırsız yine evime girer.
DW: Microsoft suçu hükümetlere atmakla işin kolayına kaçmış olmuyor mu? Nihayetinde güvenlik açığı o şirketin yazılımında ortaya çıktı.
Garbsch: Microsoft tabii ki başkalarını işaret edip ‘Gördünüz mü, bize haber vermediler' diyecektir. Siber saldırı kapısı zaten kapanmıştı. Kapıyı gizlice kapatmak yerine medya üzerinden kamuoyuna seslenip, yazılım güncellemesi yapılmasını isteyebilirdi. Ama yapmadı. Ancak NSA'in yaptığı da kabul edilemez. Bildiğim kadarıyla, Amerikan Ulusal Güvenlik Ajansı güvenlik riskiyle ilgili bilgilerin çalındığından geçen yıldan beri haberdardı. Microsoft'a durumu bildirebilirdi.
DW: Son siber saldırının bütün dünyayı hedef alması zihniyet değişikliğine vesile olabilir mi?
Garbsch: Sorumluların da durumu idrak etmiş olmalarını umarım. Ancak son günlerdeki açıklamalar bunun aksini gösteriyor. Siber güvenlikten sorumlu olan Bakan Dobrindt enformasyon ve komünikasyon güvenliği yasasının iyileştirilmesi gerektiğinden söz ediyor. Aslında yasalar siber güvenliğin simülasyonundan ibarettir ve pratik yarar sağlamaz. Siyasi konsept ve uygulamalar bir yana bırakılıp, güvenlik risklerini duyurma ve bildirme yükümlülüğü getirilmelidir. Aksi takdirde gizli servisler yine bildiğini okur. Bilgisayar sistemleri başka türlü korunamaz.
DW: Gizli servisler ve yazılım şirketleri gibi kullanıcının da önlem alması gerekmez mi?
Garbsch: Tabii ki gerekir. Bu teknolojileri kullanan bizler de ne yaptığımızı bilmek zorundayız. Güvenlik güncellemelerinin savsaklanmayıp çıkar çıkmaz yüklenmesi gerektiğini unutmamalıyız. Bilgimizi arttırıp tehlikenin nereden kaynaklandığını ve ondan nasıl korunabileceğimizi öğrenmeliyiz. Sorumluluk herkes için geçerlidir.
© Deutsche Welle Türkçe
Helena Kaschel