Lübnan’daki Çağrı ve Telsiz Cihazı Saldırılarına Genel Bakış, Saldırıların Etkileri ve Önemi
Günümüz dünyasında bilgi güvenliği, ulusal güvenlik politikalarının vazgeçilmez bir parçası haline gelmiştir. Bu bağlamda, tedarik zinciri güvenliği, özellikle bilgi ve iletişim teknolojileri alanında giderek önem kazanmaktadır. İsrail’in Lübnan’daki Hizbullah’a yönelik olarak gerçekleştirdiği çağrı cihazlarına dayalı saldırı, bu alandaki tehditlerin boyutlarını çarpıcı bir şekilde gözler önüne sermektedir. İsrail hükümeti tarafından herhangi bir yorum yapılmamış olmasına rağmen MOSSAD tarafından yürütüldüğü iddia edilen bu operasyon, tedarik zinciri saldırılarının ne denli karmaşık ve tehlikeli olabileceğini kanıtlamıştır. Hizbullah tarafından kullanılan çağrı cihazlarının tedarik sürecine sızılarak patlayıcı yerleştirilmesi, çok sayıda can kaybına yol açmış ve binlerce insanı yaralamıştır.
Söz konusu olayın gelişimine ilişkin haberleri incelediğimizde;
Hizbullah üyelerinin haberleşme için kullandığı bazı telsiz ve çağrı cihazlarının patlaması sonucu net rakamlar henüz verilmemiş olsa da aralarında çocukların da olduğu birçok kişinin öldüğü veya ağır şekilde yaralandığı haberleri geldi. Bu patlamaların, İsrail’in elektronik harp ve siber saldırı teknikleri ile cihazlara müdahale edilmesi sonucunda gerçekleşmiş olabileceği ağırlıklı olarak öne sürülmektedir. Saldırıların yaşandığı dönemde, Lübnan’daki sivil halka da İsrail tarafından mesaj gönderildiği de bazı haberlerde yer almaktadır. Bu mesajlarda, özellikle güney Lübnan’daki halkın güvenlik nedeniyle bölgeden tahliye edilmesi gerektiği yönünde uyarılar yer alıyordu. Bu mesajların İsrail’in Lübnan’ın iletişim altyapısına sızarak halkın telefonlarına direkt mesajlar göndermesi şeklinde gerçekleşmiş olması ihtimali oldukça kuvvetli görünüyor. Bazı kaynaklar bu durumu İsrail’in psikolojik savaşının bir parçası olarak değerlendirmektedir. Burada siber saldırıların bir psikolojik savaşın parçası olarak da kullanıldığı açıkça görülmektedir.
Bu patlamalara karıştığı bildirilen telsizlerden bazılarının üreticisi olan Japon şirketi ICOM, ilişkili olan modeli on yıldan uzun bir süre önce üretmeyi bıraktıklarını belirtti. ICOM, bu cihazların bölgeye birkaç yıldır tedarik edilmediğini vurgulayarak, olaylarda cihazlarının sahte veya değiştirilmiş versiyonlarının kullanılmış olabileceğini dile getirdi. ICOM aynı zamanda logolarını taşıyan ancak şirket tarafından üretilmeyen telsiz cihazlarının sahte versiyonlarının patlamalara karışmış olabileceği ihtimalini de vurguladı. Bu yazının hazırlandığı sırada şirketin, söz konusu cihazların orijinal ICOM ürünleri mi yoksa bölgede yaygın olan sahte ürünler mi olduğunu belirlemek için yürüttüğü iç soruşturma devam etmektedir.
Konuyla ilgili diğer raporlar, cihazların daha küçük Avrupa şirketlerini veya üçüncü taraf üreticileri içeren karmaşık tedarik zincirleri aracılığıyla tedarik edilmiş olabileceğini öne sürmektedir. Bu şirketlerin Hizbullah’a yönelik saldırılarla bağlantılı çağrı cihazları ve telsizleri tedarik etmiş olabileceği düşünülüyor ancak ayrıntılar henüz netlik kazanmamış durumda.
Çağrı cihazları Tayvanlı bir şirket olan Gold Apollo’dan temin edilmiştir, ancak üretimi Macar bir firma olan BAC Consulting KFT tarafından yapılmıştır. Uzmanlar, MOSSAD’ın tedarik zincirine sızarak cihazların pillerine küçük miktarda PETN (Pentaerythritol tetranitrate, bir tür plastik patlayıcı) patlayıcı yerleştirdiğini düşünmektedir.
Bu patlayıcıların, bazı kaynaklara göre cihazların pilleri ısıtılarak, bazı kaynaklara göre ise radyo sinyaliyle uzaktan tetiklenerek patlatıldığı aktarılmaktadır. Hizbullah görevlileriyle görüşmeler yapan Brüksel merkezli bir siyasi risk analisti olan Elijah J. Magnier’e göre, tuzaklı çağrı cihazlarının bir tetik mekanizmasıyla tasarlandığına inanılıyor. Daha sonra cihazlara bir hata mesajı gönderilerek titreşim yaratılıyor ve kullanıcıları onları susturmak için düğmelere basmaya yönlendiriyor ve bu da gizli patlayıcıların yanlışlıkla patlamasına neden oluyor.
Söz konusu saldırılar sonrasında tedarik zincirinde yer alan firmalar incelendiğinde operasyonun merkezinde, görünüşte meşru bir teknoloji sağlayıcısı olarak faaliyet gösteren ancak The New York Times’ın haberine göre gizlice kontrol edilen bir paravan şirket olduğu bildirilen Budapeşte merkezli B.A.C. Consulting şirketi yer almaktadır. Bu şirketin Lübnan’daki olaylarla ilişkili olan çağrı cihazlarının üretiminde Tayvanlı Gold Apollo firmasıyla yaptığı bir lisans anlaşması aracılığıyla yer aldığı, bu anlaşmanın yaklaşık üç yıl önce yapıldığı ve BAC Consulting’e belirli bölgelerde Gold Apollo’nun markasını kullanarak çağrı cihazı satma hakkı tanıdığı bilinmektedir.
Macaristan hükümeti sözcüsü Zoltán Kovács’ın X’te B.A.C. Consulting’in “Macaristan’da hiçbir üretim veya operasyonel tesisi olmadığını” ve “kullanılan cihazların Macaristan’da hiçbir zaman bulunmadığını” yazmasına rağmen İsrail istihbarat servislerinin B.A.C.’nin operasyonları üzerindeki kontrolü sayesinde Hizbullah’a gönderilen belirli ürünler için üretim sürecini değiştirebildiği iddia edilmektedir.
Bu yöntemler, özellikle İsrail istihbaratının geçmişte de kullandığı sofistike tekniklerle örtüşmektedir. İsrail’in, tedarik zincirine sızarak hedefteki cihazları patlayıcıya dönüştürme konusunda geniş bir deneyimi olduğu bilinmektedir. Daha önce Hamas lideri Yahya Ayyash’a yönelik düzenlenen suikastta benzer teknikleri kullanılması, bu saldırıların uzun zaman önceden planlanmış ve sofistike bir operasyon olduğunu düşündürmektedir.
Saldırının ne kadar süre öncesinden planlandığına ve ne şekilde geliştiğine, ilişkin detaylar zaman içerisinde daha çok açıklığa kavuşacaktır. Ancak artık çok açık bir şekilde görülmektedir ki saldırıların, günlük ürünler için karmaşık ve genellikle şeffaf olmayan tedarik zincirlerini nasıl silahlandıracaklarına dair gelecekteki düşmanlara bir model teşkil etmektedir.
Bu çerçevede özel sektör şirketleri ve kamu görevlileri bir taraftan politika çıkarımlarını değerlendirmeye devam ederken, bu durum hükümetleri hassas teknoloji akışını daha da kısıtlamaya, üreticilerin daha fazla yerli ve millî üretime yönlendirmeye veya dost üçüncü ülkelere taşımaya teşvik edecektir. Bununla birlikte özellikle üretici ve lojistik şirketlerini tedarik zincirlerinin güvenliğini ve şeffaflığını yeniden incelemeye zorlayacak ve buna ilişkin regülasyonları güçlendirecektir.
Söz konusu saldırı, birçok yetkili tarafından özel sektörde bir miktar panik yaratması muhtemel ve başka yerlerde ve başka sektörlerde de olabileceği yönünde değerlendirmelere sebep olmuştur.
Washington merkezli jeopolitik düşünce kuruluşu Silverado Policy Accelerator’ın başkanı ve siber güvenlik şirketi CrowdStrike’ın kurucu ortağı Dmitri Alperovitch, bu olayın gördüğümüz en kapsamlı, kamuoyuna açık fiziksel tedarik zinciri saldırısı olduğunu, bunun bir süre daha devam edebileceğini ve binlerce cihaza müdahale edip patlayıcı yerleştirilmesini sağlayan mükemmel bir istihbarat çalışması olduğunu belirtmektedir.
Sonuç olarak bu operasyon, sadece Lübnan’da değil tüm dünya genelinde elektronik cihazlara karşı yaygın bir güvensizlik ve paranoyaya yol açtı ve böyle bir saldırının daha geniş çaplı bir etkiye sahip olabileceğini düşündürdü. Bu olaydan sonra tüketiciler, işletmeler veya hükümetler artık tüm karmaşık tedarik zincirlerini güvenli olduklarından emin olmak için kontrol etmek zorunda kalacaktır.
Bundan sonra bütüncül bir GRC (Yönetişim, Risk ve Uyumluluk) bakış açısıyla Bilgi Güvenliği, İstihbarat, Siber Güvenlik, Tedarik Zinciri Güvenliği yönleriyle neler yapılmalı konularına değinelim.
Hizbullah’ın cep telefonlarının dinlenme, takip edilme veya istihbarat maksatlı kullanılması risklerine karşı çağrı cihazı kullanımına geçişi, başlangıçta bir çözüm olarak görülse de bu strateji yeni bir güvenlik açığına yol açmıştır. Çağrı cihazlarının tek kaynaktan tedarik edilmesi, tedarik zincirine entegre olarak bu cihazların değiştirilmesi riskini artırmıştır. Bu durum, tedarik zincirinde güvenlik önlemlerinin yetersiz olmasından kaynaklanarak, cihazların istihbarat amaçlı kullanıma açık hale gelmesine neden olmuştur. Düşük teknoloji sistemlerinin siber ortamda sağladığı koruma, bu tür bir tekelleşme ve kontrol eksikliği karşısında etkisiz kalmakta ve organizasyonun iletişim güvenliğini tehdit eden yeni zafiyetler ortaya çıkmaktadır. Bu örnek, güvenlik stratejilerinin sadece teknoloji seçiminde değil, aynı zamanda tedarik zinciri yönetiminde de dikkatli bir şekilde ele alınması gerektiğini, bununla birlikte her operasyonel karar sonrası risk analizinin tekrar gözden geçirilmesinin ve yeni ortaya çıkabilecek risklerin gözden kaçırılmamasının önemini vurgulamaktadır.
Siber saldırıların psikolojik harpte kullanılması, modern savaş stratejilerinin önemli bir parçası haline gelmiştir. Özellikle askeri ve siyasi hedefler üzerinde psikolojik etki yaratmak için kullanılan bu tür saldırılar, düşmanın moralini bozma, korku yaratma ve toplumları kaosa sürükleme amacı taşır. Telsiz cihazlarına yapılan saldırılar gibi olaylar, bu tür siber saldırıların sadece teknik değil, aynı zamanda psikolojik bir boyuta sahip olduğunu göstermektedir. İşte siber saldırıların psikolojik harpte nasıl kullanıldığına dair bir açıklama:
Saldırılar Işığında Siber Saldırıların Psikoloji Harpteki Yeri ve Önemi
Siber saldırılar, hedef alınan grup veya topluluk üzerinde doğrudan korku ve belirsizlik yaratmak için kullanılır. Telsiz cihazlarına yapılan saldırılar, özellikle Hizbullah gibi örgütlerin güvenlik duygusunu sarsmak için kullanılmış olabilir. Cihazların aniden patlaması, örgüt üyeleri arasında güvenlik açığı hissi yaratır ve bu da psikolojik olarak bir yıpratma etkisi doğurur. Telsiz cihazlarının patlaması, militanların kullandığı haberleşme sistemlerine güveni zedeler. Bu durum, örgüt üyelerinin sürekli tehdit altında olduklarını hissetmelerine yol açarak moral kaybına neden olur.
Siber saldırılar, düşmanın iletişim altyapısını bozarak, komuta ve kontrol sistemlerine müdahale eder. Bu, düşmanın koordinasyon kabiliyetini yok ederken, liderlik kademesinde karışıklık ve güvensizlik yaratır. Aynı zamanda, düşmanın kendini savunma kapasitesini azaltır. Telsiz cihazlarının patlaması, Hizbullah’ın iç iletişim sistemlerinde zafiyet yaratarak, örgüt liderlerinin operasyonlarını güvenli bir şekilde yönetmesini zorlaştırır.
Siber saldırılar aynı zamanda bilgi savaşında kullanılarak hedef kitleyi yanıltmak veya manipüle etmek amacı taşır. Düşmana yanlış bilgiler verilerek stratejik kararlar üzerinde olumsuz etkiler yaratılabilir ya da topluma yönelik bilinçli yanlış bilgiler yayarak panik yaratılabilir. Örneğin, siber saldırılarla sivil halkın iletişim hatlarına müdahale edilerek yanıltıcı bilgiler yayılabilir. Lübnan’da halkın telefonlarına gönderilen mesajlar, insanların bölgeden kaçması için yapılan uyarılar içeriyor olabilir. Bu, bir yandan sivil halkı korkutmak, diğer yandan da Hizbullah’ı taktiksel hatalara zorlamak amacı güdebilir.
Siber saldırılar, hedef kitlenin morali üzerinde doğrudan etki yaratır. Düşman gruplar, sürekli bir güvenlik açığı hissettiğinde ve teknolojilerine güvenemediğinde, bu moral kaybı daha büyük başarısızlıklara yol açabilir. Telsiz cihazlarının patlatılması gibi saldırılar, örgüt üyelerinin hem fiziksel hem de psikolojik olarak güvende olmadıklarını hissetmelerine neden olur. Cihazlara olan güvenin kaybolması, tüm iletişim sistemlerinin sorgulanmasına yol açar.
Siber saldırılar, karşı tarafa doğrudan gözdağı vermek ve onların hareket alanını daraltmak için de kullanılabilir. Düşman, her an izleniyor olma ve sistemlerinin ele geçirilebileceği korkusuyla hareket etmek zorunda bırakılır. Bu, düşmanın stratejik kararlarını olumsuz etkiler ve savaş alanında daha temkinli hareket etmesine neden olur. Hizbullah telsizlerinin patlatılması, örgüte karşı bir mesaj olarak yorumlanabilir: İsrail’in teknik kapasitesinin, düşmanın en temel iletişim araçlarını bile etkileyebileceği gösterilmiştir.
Siber saldırılar sadece düşmanla sınırlı kalmaz, aynı zamanda siviller üzerinde de etkili olabilir. Düşman bölgesindeki halk üzerinde baskı kurarak onların psikolojik olarak çözülmesine neden olabilir. Örneğin, İsrail’in Lübnan halkına gönderdiği tahliye mesajları, halk üzerinde bir baskı kurma ve onları göçe zorlamaya yönelik bir psikolojik harekât olarak yorumlanabilir. Sivillerin güvenlik hissini yok edip, kaçmalarını sağlayarak Hizbullah’ın yerel desteğini azaltabilir.
Siber saldırıların psikolojik etkileri bazen uzun vadeli olabilir. Yalnızca cihazların patlatılması değil, siber saldırılara dair sürekli bir tehdit algısının varlığı, bilişim savaşlarını daha da karmaşıklaştırır. Düşman, her an yeni bir saldırı gelebileceği düşüncesiyle sürekli tetikte kalır ve bu da psikolojik olarak yıpratıcı bir etkiye sahiptir.
Sonuç olarak, siber saldırılar sadece teknik anlamda bir hasar vermekle kalmaz, aynı zamanda düşmanın moralini çökertmek, korku yaymak ve stratejik kararlarını olumsuz etkilemek amacıyla psikolojik harbin bir parçası olarak kullanılır. Telsiz cihazlarına yapılan saldırılar, bu anlamda siber savaşın ne kadar etkili bir araç olduğunu ve modern savaş stratejilerinde psikolojik etkilerin ne kadar önemli hale geldiğini göstermektedir.
Birinci ders; Değişiklik Yönetimi ve Risk Analizinin Önemi
Hizbullah’ın cep telefonlarının dinlenme riskine karşı çağrı cihazı kullanımına geçişi, güvenlik stratejilerinin önemini bir kez daha gözler önüne sermektedir. Bu süreç, değişiklik yönetimi ve risk analizinin kritik rolünü vurgulamaktadır. Herhangi bir stratejik ya da operasyonel değişiklik gerçekleştirilirken, potansiyel etkilerin, faydaların ve risklerin derinlemesine değerlendirilmesi ve yeni ortaya çıkabilecek risklerin belirlenmesi zorunludur. Çağrı cihazlarının tek kaynaktan tedarik edilmesi gibi bir stratejik karar, güvenlik önlemleri ve tedarik zinciri yönetimindeki zayıflıkları göz ardı ettiğinde, beklenmedik zafiyetlere yol açabilir. Bu durum, güvenlik stratejilerinin sadece teknolojik çözümlerle sınırlı kalmayıp, sürekli bir risk analizine ve değişiklik yönetimine ihtiyaç duyduğunu ortaya koymaktadır. Dolayısıyla, her operasyonel karar sonrası risk analizinin güncellenmesi, organizasyonların güvenliğini sağlamak için elzemdir.
İkinci ders; Tüm Yumurtaları Aynı Sepete Koyma
Tüm yumurtaları aynı sepete koyma yöntemi, bilgi güvenliği açısından bazı kolaylıklar sağlarken, aynı zamanda büyük riskler de taşır. Bu nedenle, organizasyonların bu yaklaşımı kullanırken dikkatli olmaları ve alternatif güvenlik önlemleri (örneğin, veri yedekleme, farklı sistemler kullanma) ile desteklemeleri önemlidir. Yaşanan saldırı ışığında avantaj ve dezavantajlarına bakalım ve ilişkilendirelim.
Tüm verilerin tek bir sistemde toplanması, yönetim ve kontrol süreçlerini basitleştirir. Güvenlik politikaları ve güncellemeleri merkezi bir noktadan yönetilebilir. Bu şekilde altyapı ve bakım maliyetleri düşürülürken yatırım ve kaynak kullanımı daha verimli hale gelebilir. Verilere hızlı erişim sağlanması, analiz ve karar alma süreçlerini hızlandırabilir. Tek bir sistemde verilerin toplanması, işlem süresini kısaltabilir. Bununla birlikte eğer bu merkezi sistemde bir güvenlik açığı, saldırı veya hata meydana gelirse, tüm veriler ve sistemler tehlikeye girer. Bu, büyük kayıplara yol açabilir. Tüm bilgilerin tek bir noktada toplanması, saldırganlar için cazip bir hedef oluşturur. Bir saldırı başarılı olursa, tüm sistemin güvenliği tehlikeye girebilir. Değişen ihtiyaçlar ve tehdit ortamlarına hızla uyum sağlama yeteneği azalabilir. Farklı güvenlik ihtiyaçları olan verilerin tek bir sistemde yönetilmesi, özelleştirilmiş güvenlik çözümlerinin uygulanmasını zorlaştırabilir. Verilerin yedeklenmesi ve kurtarılması süreçleri karmaşıklaşabilir. Sistemdeki bir arıza, tüm verilerin kaybına neden olabilir.
Bu dezavantajlardan kaçınmak için uygulanabilecek bazı kontroller şunlardır; Dağıtık sistemler kullanarak verilerinizi ve uygulamalarınızı birden fazla sistem veya platformda dağıtarak, tek bir noktadaki riski azaltmalısınız. Katmanlı güvenlik yapısı kullanılarak varlıklarınızın kritiklik derecelerine uygun mimariler geliştirmeli, sistemlerinizi ve güvenlik uygulamalarınızı düzenli olarak denetleyerek, zayıf noktaları belirlemeli ve iyileştirmelisiniz. Düzenli olarak risk analizleri yaparak, sisteminizdeki potansiyel tehditleri belirleyebilir ve önceliklendirebilirsiniz. Değişen tehdit ortamlarına ve organizasyonel ihtiyaçlara hızlı bir şekilde yanıt verebilecek esnek planlar oluşturmalısınız. En önemlisi tedarikçilerinizin güvenlik uygulamalarını değerlendirmeli, takip etmeli ve denetlemelisiniz. Tek bir tedarikçiye bağımlılığı azaltarak, sisteminize yönelik riskleri minimize etmeli, tedarikçilerinizin kullandığı alt yüklenicileri mutlaka araştırmalı ve denetlendiğinden emin olmalısınız.
Üçüncü ders; Tedarik Zinciri Güvenliği
Operasyonun merkezinde, görünüşte meşru bir teknoloji sağlayıcısı olarak faaliyet gösteren gizlice kontrol edilen bir paravan şirket olduğu iddiaları tedarik zincirinin güvenliğinin ne kadar kritik olduğunu bir kez daha ortaya koymaktadır. Özellikle, bu şirketin üç yıl önceki ortaklığı dikkate alındığında, alt yüklenicilerin ve tedarikçi ağının istihbarat yönüyle de titiz bir şekilde araştırılmasının gerekliliği belirgin hale gelmektedir.
Tedarik zincirindeki her bir bağlantı, organizasyonun genel güvenliği üzerinde doğrudan etki yaratabilir. Alt yüklenici olarak faaliyet gösteren şirketler, görünüşte yasal iş yapıyor gibi görünüp arka planda kötü niyetli faaliyetlere hizmet edebilecekleri gibi, kasıtlı olmasa dahi yetersiz standartlarda yürüttükleri iş süreçleri nedeniyle kuruluşlar için önemli riskler yaratabilirler. Dolayısıyla, tedarikçiler ve alt yükleniciler hakkında derinlemesine bir analiz ve değerlendirme yapmak, potansiyel tehditleri belirlemek için zorunludur.
Bu bağlamda, organizasyonların tedarik zinciri yönetimi sürecine entegre edilecek birkaç önemli adım bulunmaktadır:
- Detaylı Araştırma: Her tedarikçi ve alt yüklenici için kapsamlı bir due diligence süreci yürütmek. Şirketlerin sahiplik yapısını, geçmiş faaliyetlerini ve bağlantılarını araştırmak.
- Siber Güvenlik Standartları: Tedarik zincirindeki tüm paydaşların belirli siber güvenlik standartlarını karşılamasını sağlamak.
- Sürekli İzleme: Tedarikçilerle olan ilişkilerin sürekli olarak gözden geçirilmesi ve izlenmesi. Piyasa koşullarındaki değişiklikler veya yeni riskler, tedarik zinciri güvenliğini etkileyebilir.
- Şeffaf İletişim: Tedarikçilerle açık ve şeffaf bir iletişim kurulması, güvenilir ilişkilerin geliştirilmesi için esastır. Bu, olası risklerin önceden tespit edilmesine yardımcı olabilir.
Sonuç olarak, tedarik zincirinde alt yüklenicilerin araştırılması, organizasyonların bilgi güvenliğini koruma çabalarının kritik bir parçasıdır.
Tedarikçiler ve alt yükleniciler hakkında derinlemesine analiz ve değerlendirme yapmak, potansiyel tehditleri belirlemek ve organizasyonun güvenliğini sağlamak için tedarikçi risk yönetimi sürecine bir göz atalım;
Tedarikçi Tanımlama: Mevcut ve potansiyel tedarikçiler belirlenmeli ve ürün/hizmet ilişkili risk düzeyleri analiz edilmelidir. Özellikle kritik iş süreçlerini etkileyen tedarikçiler ön plana alınmalı; bilgi teknolojileri ve iletişim altyapısı gibi yüksek risk taşıyan alanlara dikkat edilmelidir.
Tedarikçi İnceleme ve Due Diligence: Tedarikçi ilişkisi kurulmadan önce gerekli dikkat ve özenin gösterilmesini sağlayan kapsamlı bir araştırma ve değerlendirme süreci yürütülmelidir. Tedarikçi ve alt yüklenicilerin arka planı, hissedarları ve geçmiş faaliyetleri araştırılmalıdır. Özellikle paravan şirketler veya gizli yapılarla ilişkiler dikkatle incelenmelidir. Tedarikçilerin finansal istikrarı, uzun vadeli güvenilirlik açısından önemli bir faktördür. Tedarikçinin endüstrideki itibarı, müşteri memnuniyeti ve geçmişteki güvenlik sorunları detaylı olarak araştırılmalıdır.
Güvenlik ve Uyum Değerlendirmesi: Tedarikçinin sahip olduğu güvenlik standartları, ISO 27001 gibi sertifikalar göz önünde bulundurulmalıdır. Güvenlik önlemlerinin güncel olup olmadığı kontrol edilmelidir. Tedarikçiler, BİGR, KVKK, GDPR, HIPAA gibi düzenlemelere uyum açısından denetlenmelidir. Tedarikçinin uyumlu olmak zorunda olduğu yasal regülasyonlar, sektörel SOME/Kurul karar ve talimatları dikkate alınmalıdır. Tedarikçinin fiziksel güvenlik önlemleri, tesis ve veri merkezi güvenliği gibi faktörler incelenmelidir.
Risk Analizi ve Kategorizasyonu: Tedarikçilerden kaynaklanan potansiyel riskler (örneğin siber saldırılar, veri ihlalleri) analiz edilmelidir. Tedarikçiler risk düzeylerine göre sınıflandırılmalı; kritik sistemlere erişimi olan yüksek riskli tedarikçiler ve daha düşük risk taşıyan hizmet sağlayıcılar ayrılmalıdır.
Sözleşme ve Güvenlik Gereksinimleri: Sözleşmelerde güvenlik gereksinimlerine uyum şartı getirilmelidir. Tedarikçilerle yapılan anlaşmalara, düzenli denetim hakkı ve uyumluluk kontrolü maddeleri eklenmelidir.
Sürekli İzleme ve Performans Değerlendirmesi: Tedarikçilerin güvenlik açıkları veya olası tehditler sürekli olarak izlenmeli ve raporlanmalıdır. Tedarikçilerin performansı belirli periyotlarda gözden geçirilmeli ve risk yönetimi stratejileri güncellenmelidir.
Tedarikçi Çeşitlendirme: Tek tedarikçiye bağımlılığı azaltmak için alternatif tedarikçiler belirlenmelidir. Beklenmedik durumlar için alternatif tedarikçi planları oluşturulmalıdır.
Geri Bildirim ve İyileştirme Süreci: Tedarikçilere güvenlik performanslarına ilişkin geri bildirim verilmeli ve sürekli iyileştirme teşvik edilmelidir. Dinamik tehdit ortamlarına uygun iyileştirme süreçleri uygulanmalıdır.
Muayene, Kabul ve Sertifikasyon: Tedarikçilerin sunduğu ürün veya hizmetlerin kabulü öncesinde güvenlik gereksinimlerine uygun olup olmadığını doğrulamak, risklerin önlenmesi ve iş sürekliliği için kritik bir adımdır. Bu kapsamda, ürünlerin muayene ve kabulü ile tedarikçilerin sahip olması gereken güvenlik sertifikasyonları büyük rol oynar. Tedarikçilerden gelen ürün veya hizmetlerin organizasyonun ihtiyaçlarına uygunluğu ve güvenlik gereksinimlerini karşılayıp karşılamadığı mutlaka muayene edilmelidir. Bu süreçte ürün veya hizmetin teknik spesifikasyonları ve performans gereksinimlerine uygun olup olmadığı kontrol edilmelidir. Ürün veya hizmetin siber güvenlik standartlarına uyup uymadığı, özellikle kritik sistemler için güvenlik açıklarının olup olmadığı test edilmelidir. Ürünlerin sahip olması gereken ulusal ve uluslararası güvenlik sertifikasyonları incelenmelidir.
Muayene ve kabul sürecinde, cihazların fiziksel güvenliği, üretim tesislerinin korunması gibi unsurlar mutlaka denetlenmelidir. Aksi takdirde cihazların sahte ya da güvenlik açığı bulunan versiyonları kullanılabilir hale gelebilir. Üretim ve nakliye aşamalarında bu cihazlara fiziksel müdahalede bulunulmuş olabilir.
Bu aşamaların dikkatle uygulanması, tedarik zincirindeki güvenlik risklerini minimize ederken, organizasyonun operasyonel ve bilgi güvenliğini sağlama açısından önemli bir avantaj sağlayacaktır.
Dördüncü ders; Yeni Nesil Kabul Kriterleri
Bilgi güvenliğinin üç önemli sac ayağı Gizlilik, Bütünlük ve Erişilebilirlik, sadece dijital/basılı bilgi varlıkları için değil, kullandığımız cihaz ve donanımlar için de geçerlidir. Bu saldırılar bizlere bunu açık bir şekilde göstermiştir. Bu saldırılar sonucunda aslında kullanılan cihazların bütünlüğünün bozulduğunu görüyoruz. Peki burada bütünlüğü sağlayacak özet algoritmaları gibi kriptografik yöntemler kullanamayacağımıza göre neler yapabiliriz, bir göz atalım;
Dinamik ve Esnek Kabul Süreçleri: Kabul süreçleri, cihazın kullanım alanına ve kritikliğine göre dinamik olmalıdır. Daha yüksek risk taşıyan cihazlar için çok katmanlı güvenlik protokolleri uygulanmalı, düşük riskli cihazlar için ise daha temel denetimler yapılmalıdır.
Kabul kriterleri, ortaya çıkan yeni tehditlere göre düzenli olarak güncellenmelidir. Siber güvenlik ve fiziksel güvenlik tehditleri dinamik olduğu için, kabul süreçleri de bu tehditlere uyum sağlamalıdır.
Tedarik Zinciri Güvenlik Sertifikasyonları: Cihaz üretim süreçlerinde ve tedarik zincirinde yer alan tüm aktörler, gelişmiş güvenlik standartlarına uygun olmalıdır. Tedarikçilerden güvenlik sertifikaları talep edilmeli ve düzenli olarak güvenlik denetimleri yapılmalıdır. Ortak Kriter (Common Criteria) gibi uluslararası kabul görmüş güvenlik standartlarına sahip olmak, yeni nesil kabul süreçlerinin bir parçası haline gelmelidir.
Üretimden teslimata kadar tüm tedarik zinciri aşamalarının izlenmesi ve denetlenmesi zorunlu hale getirilmelidir. Blok-zincir teknolojisi gibi izleme çözümleri, cihazların tedarik zincirindeki her adımını güvenli bir şekilde kayıt altına alabilir.
Gelişmiş Fiziksel Güvenlik Protokolleri: Cihazların üretimden teslimata kadar geçen sürede mühürlü paketleme ve izleme prosedürleri uygulanmalıdır. Paketlerin herhangi bir şekilde açıldığı veya müdahale edildiği tespit edildiğinde, bu cihazlar kabul edilmemelidir.
Cihazların nakliye ve depolama süreçlerinde güvenlik önlemleri artırılmalıdır. Depolarda veya taşıma araçlarında güvenlik kameraları, izleme sistemleri ve yetkisiz erişim kontrol mekanizmaları kullanılmalıdır.
Gelişmiş Yazılım ve Donanım Denetimleri: Cihazların içine yerleştirilen yazılım veya firmware’in, kabul sürecinden önce detaylı bir güvenlik taramasından geçmesi zorunlu hale getirilmelidir. Yazılım güvenlik açıkları ya da kötü niyetli kod yerleştirilmiş olabileceğinden, bu tür taramalar kritik önem taşır.
Uygun örneklem metoduyla seçilen donanımlarda donanım seviyesindeki güvenlik tehditleri için cihazların fiziksel yapıları ve devre elemanları kontrol edilmelidir. Güvenlik açısından kritik olan donanım bileşenlerinin değiştirilmediğinden veya eklenmediğinden emin olunmalıdır.
Akıllı Sensörler ve Güvenlik Etiketleri: Cihazların içine yerleştirilecek akıllı sensörler, cihazın fiziksel bütünlüğüne zarar veren herhangi bir müdahaleyi algılayabilir. Bu sensörler, cihazın iç yapısına müdahale edildiğinde uyarı verebilir ve güvenli bir şekilde devre dışı bırakılabilir.
Cihazlara entegre edilen elektronik güvenlik etiketleri, cihazların dışarıdan müdahale edilip edilmediğini tespit edebilir. Bu etiketler sayesinde cihazlara herhangi bir patlayıcı ya da yabancı madde yerleştirilmişse bu fark edilebilir.
Gelişmiş Fiziksel ve Elektronik Tarama Sistemleri: Elektronik cihazların kabulünde, cihazların iç yapılarının taranması zorunlu hale getirilebilir. Bu taramalar, cihazın içine yerleştirilmiş olabilecek patlayıcılar veya diğer yabancı maddeleri tespit edebilir. Özellikle kritik cihazlar, kabul öncesinde X-ray, CT (bilgisayarlı tomografi) veya MR (manyetik rezonans) taramalarından geçirilebilir.
Geleneksel 2D taramaların ötesinde, cihazların üç boyutlu taramaları da kabul süreçlerinde kullanılarak cihazların iç yapısındaki anormallikler daha net bir şekilde tespit edilebilir.
Patlayıcı ve Kimyasal Analiz Testleri: Cihazların yüzeyinde ve içinde patlayıcı maddelere dair kimyasal izlerin tespiti için patlayıcı dedektörleri kullanılmalıdır. Bu dedektörler, kabul sürecinde cihazların herhangi bir aşamasında patlayıcı madde yerleştirilip yerleştirilmediğini kontrol eder.
Patlayıcı maddelerin varlığı, cihazların dış yüzeylerinden alınan örneklerle analiz edilerek tespit edilebilir. Bu testler, özellikle taşınan cihazlarda patlayıcı izlerinin olup olmadığını kontrol eder.
Tabii ki bu yeni nesil kabul kriterlerinin uygulama zorluğu ve maliyetleri dikkate alındığında cihaz ve donanımın kritiklik derecesine göre yapılacak kontrollere karar verilmesi çok önemli bir husus olarak önümüze çıkmaktadır.
Beşinci ders; Standartlar ve Regülasyonların Önemi
Söz konusu saldırılar bağlamında, özellikle tedarik zinciri güvenliği ve bu güvenliğin sağlanmasında etkili olan kontroller kritik öneme sahiptir. Bu bağlamda ISO 27001:2022 EK-A kontrol listesinden özellikle fiziksel güvenlik, tedarikçi yönetimi ve risk değerlendirmesi ile doğrudan ilgili olan kontrollere değinmekte fayda bulunmaktadır.
Kontrol | Açıklama |
A.5.15 | Erişim kontrolü: Bilgiye ve diğer ilgili varlıklara fiziksel ve mantıksal erişimi kontrol etmeye yönelik kurallar, iş ve bilgi güvenliği gereksinimlerine dayalı olarak oluşturulmalı ve uygulanmalıdır. |
A.5.18 | Erişim hakları: Bilgiye ve diğer ilgili varlıklara erişim hakları, kuruluşun erişim kontrolüne ilişkin politikasına ve kurallarına uygun olarak sağlanmalı, gözden geçirilmeli, değiştirilip kaldırılmalıdır. |
A.5.19 | Tedarikçi ilişkilerinde bilgi güvenliği: Tedarikçinin ürün veya hizmetlerinin kullanımıyla ilgili bilgi güvenliği risklerini yönetmek için süreçler ve prosedürler tanımlanmalı ve uygulanmalıdır. |
A.5.20 | Tedarikçi anlaşmalarında bilgi güvenliğinin ele alınması: İlgili bilgi güvenliği gereklilikleri, tedarikçi ilişkisinin tipine göre oluşturulmalı ve üzerinde anlaşılmalıdır. |
A.5.22 | Tedarikçi hizmetlerinin izlenmesi, gözden geçirilmesi ve değişiklik yönetimi: Kuruluş, tedarikçi bilgi güvenliği uygulamaları ve hizmet sunumundaki değişiklikleri düzenli olarak izlemeli, gözden geçirmeli ve yönetmelidir. |
A.7.1 | Fiziksel güvenlik sınırları: Bilgi ve diğer ilgili varlıkları içeren alanları korumak için güvenlik sınırları tanımlanmalı ve kullanılmalıdır. |
A.7.2 | Fiziksel giriş: Güvenli alanlar, uygun giriş kontrolleri ve erişim noktaları ile korunmalıdır. |
A.7.4 | Fiziksel güvenlik izleme: Tesisler yetkisiz fiziksel erişime karşı sürekli izlenmelidir. |
A.7.5 | Fiziksel ve çevresel tehditlere karşı koruma: Doğal afetler ve diğer kasıtlı veya kasıtsız fiziksel tehditlere karşı koruma tasarlanmalı ve uygulanmalıdır. |
A.8.2 | Ayrıcalıklı erişim hakları: Ayrıcalıklı erişim haklarının tahsisi ve kullanımı sınırlandırılmalı ve yönetilmelidir. |
A.8.3 | Bilgi erişim kısıtlaması: Bilgilere ve diğer ilgili varlıklara erişim, erişim kontrolü konusunda oluşturulmuş politikalara uygun olarak kısıtlanmalıdır. |
A.8.25 | Güvenli geliştirme yaşam döngüsü: Yazılım ve sistemlerin güvenli bir şekilde geliştirilmesi için kurallar oluşturulmalı ve uygulanmalıdır. |
A.8.27 | Güvenli sistem mimarisi ve mühendislik ilkeleri: Güvenli sistemlerin mühendisliğine yönelik ilkeler oluşturulmalı, dokümante edilmeli, sürdürülmeli ve herhangi bir bilgi sistemi geliştirme faaliyetine uygulanmalıdır. |
A.8.29 | Geliştirme ve kabul aşamasında güvenlik testleri: Güvenlik test süreçleri, geliştirme yaşam döngüsünde tanımlanmalı ve uygulanmalıdır. |
A.8.30 | Dış kaynak yoluyla geliştirme: Kuruluş, dış kaynak yoluyla sistem geliştirme ile ilgili faaliyetleri yönetmeli, izlemeli ve gözden geçirmelidir. |
A.8.32 | Değişiklik yönetimi: Bilgi işleme tesisleri ve bilgi sistemlerindeki değişiklikler, değişiklik yönetimi prosedürlerine tabi olmalıdır. |
Bilgi güvenliğine bir bütün olarak baktığımızda aslında tüm kontroller bir şekilde birbirleriyle ilişkili olsa da söz konusu saldırılar bağlamında ISO 27001:2022 EK-A çerçevesinde öne çıkan kontroller yukarıdaki gibi sıralanabilir. Elbette söz konusu kontrollere ilişkin detaylı hususlar için ISO 27002 dokümanına başvurmak gerekmektedir.
Lübnan’daki çağrı cihazı saldırıları, yukarıda da detaylı olarak bahsettiğimiz tedarik zincirinde ve fiziksel güvenlik gibi alanlarda ciddi zafiyetlerin olabileceğini ortaya koymuştur. Bu bağlamda, Türkiye’deki kamu kurum ve kuruluşları ile özellikle kritik altyapı işleten kurum ve kuruluşlar için bir zorunluluk olan Bilgi ve İletişim Güvenliği Rehberi Uyum Süreci, tedarikçi ilişkileri güvenliği, fiziksel mekanların korunması ve tedarik süreçlerinde güvenlik tedbirlerinin uygulanması konularında kapsamlı yönlendirmeler sunmakta, denetim yönüyle söz konusu kontrollerin uygulanmasında etkinlik sağlamaktadır. Rehberin ilgili maddeleri hem tedarik zinciri güvenliğini güçlendirmek hem de fiziksel güvenlik önlemlerini optimize etmek için kritik öneme sahiptir. Bu maddelere aşağıdaki tabloda genel olarak göz atabiliriz.
Alt Başlık No | Alt Başlık | Açıklama |
3.5.3 | Tedarikçi İlişkileri Güvenliği | Bu başlık altında yer alan kontrol listelerinde tedarikçi erişimi, bilgi güvenliği gereksinimleri ve sözleşme yükümlülüklerine odaklanılmaktadır. |
3.6.1 | Fiziksel Güvenlik- Genel Güvenlik Tedbirleri | Bu başlık altında yer alan kontrol listelerinde fiziksel mekânların genel güvenliği, yetkisiz erişimlerin engellenmesi ve izleme gereksinimlerine odaklanılmaktadır. |
4.6.1 | Yeni Geliştirmeler ve Tedarik – Genel Güvenlik Tedbirleri | Yeni sistem geliştirme ve tedarik süreçlerinde güvenlik kriterlerinin karşılanmasına yönelik tedbirleri içermektedir. |
Yerli ve Millî Teknolojilerin Kullanımının Önemi
Lübnan’daki çağrı ve telsiz cihazlarına yönelik saldırılarda ortaya çıkan zafiyetler dikkate alındığında, yerli ve milli teknolojilerin kullanımı daha da kritik bir hale gelmektedir. Bu bağlamda, dışa bağımlı haberleşme sistemlerinin zafiyetleri ve siber saldırılara karşı kırılganlığı göz önünde bulundurularak yerli teknolojilerin avantaj ve dezavantajlarını yeniden değerlendirelim;
Lübnan’daki olayda kullanılan cihazların dış menşeli olduğu ve dış aktörlerin bu cihazlara sızarak onları patlatabildiği düşünülmektedir. Yerli teknolojiler kullanıldığında, bu tür arka kapıların olması olasılığı düşer çünkü üretim ve tasarım süreci tamamen ulusal güvenlik kriterlerine uygun olarak kontrol edilebilir. Milli teknoloji, sistemlerin dışarıdan müdahalelere karşı daha korunaklı olmasını sağlar.
Yerli teknolojilerde, ulusal güvenlik ihtiyaçlarına göre geliştirilen kriptografi standartları uygulanabilir. Dış kaynaklı cihazlarda kullanılan şifreleme algoritmaları kırılabilir veya zayıf noktaları istismar edilebilir. Milli kriptografi sistemleri, ulusal çıkarları korumak için daha güvenli haberleşme sağlar.
Yerli teknoloji kullanıldığında, cihazlarda oluşabilecek güvenlik açıklarına karşı hızlıca güncelleme ve müdahale yapılabilir. Yabancı bir ürün kullanıldığında, bu tür güvenlik açıklarını tespit etmek ve kapatmak daha uzun sürebilir, çünkü üretici firma dış kaynaklıdır ve acil müdahale imkânı sınırlıdır. Milli teknolojiler, güvenlik açıklarına anında müdahale edebilme olanağı sağlar.
Dışa bağımlı teknolojilerde zafiyetlerin tespiti daha zor olabilir, çünkü sistemlerin nasıl çalıştığına dair bilgi sınırlıdır. Yerli üretimde ise hem cihazların hem de yazılımların çalışma prensipleri tamamen bilinir, bu da güvenlik açıklarının daha hızlı tespit edilmesini sağlar.
Yerli teknolojilerde, cihazların üretimi sırasında siber güvenlik önlemleri entegre edilebilir. Bu, sistemlerin saldırılara karşı daha dirençli olmasını sağlar. Lübnan’daki olayda kullanılan yabancı üretimli cihazların siber zafiyetleri kullanılarak patlatıldığı iddia edilmektedir. Yerli üretim cihazlarda bu tür zafiyetlerin önceden tespit edilip kapatılması mümkündür.
Yerli cihazlarda, özellikle kritik haberleşme araçlarında kullanılan donanım ve yazılımların dışarıya kapalı olması, yabancı güçlerin bu cihazlara müdahale etme olasılığını büyük ölçüde azaltır. Yabancı üretimli cihazlarda bu tür zafiyetlerin daha kolay saptanabilir olması olasıdır.
Yerli ve millî teknolojilerin kullanımına ilişkin avantajlarından bahsettikten sonra bu teknolojilerin kullanımında dikkat edilmesi gerek hususlardan ve gereksinimlerden de bahsetmek gerekir.
Yerli teknolojilerin geliştirilmesi zaman alabilir ve dış tehditler sürekli evrim geçirirken, yerli teknolojilerin bu tehditlere karşı hızla uyum sağlaması zor olabilir. Lübnan’daki saldırılar gibi olaylarda, hızlı bir şekilde müdahale edebilmek için teknolojinin sürekli güncellenmesi ve geliştirilmesi gerekir. Bu da yüksek maliyetli ve zaman alıcı olabilir.
Dış kaynaklı ürünlerin hızlı gelişen teknolojileriyle rekabet etmek zor olabilir. Uluslararası üreticiler genellikle daha büyük Ar-Ge bütçelerine sahip oldukları için yeni güvenlik açıklarına karşı daha hızlı çözümler üretebilirler.
Yerli teknolojilerin üretimi sırasında yeterli bilgi birikimi ve deneyim eksikliği, zafiyetlerin gözden kaçmasına neden olabilir. Lübnan’daki saldırılar, siber güvenlik açıklarının ne kadar ölümcül sonuçlar doğurabileceğini göstermektedir. Yerli üretim teknolojilerde, siber güvenlik uzmanlarının sürekli eğitilmesi ve gelişen tehditlere karşı hazırlıklı olması gerekmektedir.
Gelişmiş ülkelerin siber saldırı teknikleri sürekli olarak evrilmektedir. Bu da yerli teknolojilerde yeterince ileri düzey güvenlik sistemlerinin olmayabileceği anlamına gelir. Özellikle siber saldırılara karşı sürekli bir savunma hattı oluşturmak için geniş bilgi birikimi ve yatırım gerekir.
Yerli teknolojiler, küresel standartlara uygun olmayabilir ya da uluslararası ortak operasyonlarda uyum sorunları yaşayabilir. Lübnan’daki çağrı cihazı saldırılarında görüldüğü gibi, global pazarda kullanılan cihazlar, uluslararası güvenlik açıkları veya tehditlerle karşı karşıya kalabilir. Yerli cihazların uluslararası standartlara uyumlu olması hem siber saldırılara karşı korunma hem de diğer ülkelerle işbirliği yapma açısından önemlidir.
Sonuç
Lübnan’daki saldırılar, tedarik zinciri güvenliği gibi birçok alanda önemli dersler ortaya koymuştur. Bu olaylar, kurumların bilgi güvenliği süreçlerinde güvenliği artırmak için proaktif adımlar atmaları gerektiğini göstermektedir. Bilgi ve İletişim Güvenliği Rehberi, ISO 27001 gibi standart, çerçeve, rehber ve kılavuzlar, bu tür tehditlerin önlenmesi için gereken en iyi uygulamaları ve tedbirleri sunmaktadır.
Saldırılardan çıkarılacak en önemli ders, tedarik zincirinin her aşamasında güvenlik önlemlerinin ihmal edilmemesi gerektiğidir. Tedarikçilerin, güvenlik standartlarına uygun hareket edip etmedikleri sürekli denetlenmeli ve her türlü güvenlik açığına karşı önlem alınmalıdır. Tedarik zincirindeki her bir oyuncunun güvenlik gerekliliklerine tam olarak uyması sağlanmalı, tedarikçilerin güvenlik açıkları erken aşamalarda tespit edilmelidir.
Siber güvenlik kadar, fiziksel güvenlik önlemleri de kritik önemdedir. Bu saldırılar, fiziksel güvenliğin yetersiz olduğu noktaların ne kadar ciddi sonuçlar doğurabileceğini ortaya koymuştur. Özellikle cihazların fiziksel güvenliğinin sağlanması, üretimden teslimata kadar olan süreçlerde cihazların güvenli bir ortamda tutulması hayati önemdedir. Fiziksel güvenlik tehditlerine karşı sıkı izleme ve denetleme mekanizmaları devreye alınmalıdır.
Cihazların tedarik süreçlerinde yapılan kabul testlerinde, güvenlik kriterlerinin eksiksiz uygulanması gerekir. Herhangi bir cihazın kabul edilmeden önce gerekli tüm güvenlik testlerinden geçmesi, saldırıların önlenmesi açısından gereklidir. Tedarik edilen ürünlerin içine zararlı yazılım ya da patlayıcı gibi tehlikeli unsurların yerleştirilebileceği gerçeği, kabul süreçlerinde daha sıkı kontrollerin uygulanmasını zorunlu kılmaktadır.
Tedarikçilerle yapılan sözleşmelere güvenlik yükümlülüklerinin net bir şekilde eklenmesi gerekir. Bu saldırılar, tedarikçilerin de güvenlik süreçlerinde aktif bir şekilde rol alması gerektiğini göstermektedir. Tedarikçilerin siber ve fiziksel güvenlik önlemleri konusunda belirlenmiş kriterlere uygunluğunu garanti altına almak, tedarik zincirinde güvenlik risklerini azaltır.
ISO 27001 standardı ve Bilgi ve İletişim Güvenliği Rehberi, değişiklik yönetimi, tedarikçi ilişkileri güvenliği, fiziksel güvenlik önlemleri ve yeni sistem geliştirme süreçlerinde güvenlik kriterlerinin uygulanması konularında kapsamlı rehberlik sunmaktadır. Tedarik zinciri boyunca ortaya çıkabilecek güvenlik zafiyetlerini tespit etmek ve önlemek için bu kılavuzlarda belirtilen tedbirlerin titizlikle uygulanması gerekmektedir. Kurumlar, bu kılavuzlarda yer alan kontrolleri benimseyerek, tedarik zinciri süreçlerinde oluşabilecek güvenlik tehditlerini minimize edebilirler.
Lübnan’daki saldırılar, dışa bağımlı teknolojilerin nasıl güvenlik zafiyetleri yaratabileceğini ve dış aktörler tarafından nasıl kullanılabileceğini gözler önüne sermektedir. Bu tür zafiyetler, milli güvenlik açısından büyük riskler barındırmaktadır. Bu nedenle, yerli ve milli teknolojilerin kullanımı, özellikle savunma ve haberleşme gibi kritik alanlarda büyük avantajlar sağlamaktadır. Ancak bu teknolojilerin geliştirilmesi ve sürekli güncellenmesi büyük yatırımlar gerektirmektedir.
Yerli teknolojilerin güvenliğini sağlamak için siber güvenlik alanında sürekli gelişim sağlanmalı ve bu teknolojilere ulusal düzeyde güvenlik protokolleri entegre edilmelidir. Aynı zamanda, dış tehditlere karşı dirençli olabilmek için uluslararası güvenlik standartlarına uyum sağlamak ve siber tehditlere karşı hazır olmak da gereklidir.
Bu dersler ışığında yapılması gereken, değişiklik yönetimi, tedarik zinciri güvenliği, fiziksel güvenlik ve sözleşme yönetimi süreçlerinin ISO 27001 ve Bilgi ve İletişim Güvenliği Rehberinde belirtilen kriterler doğrultusunda gözden geçirilmesi ve iyileştirilmesidir. Kurumlar, bu kılavuzları bir yol haritası olarak kullanarak, güvenlik risklerini etkin bir şekilde yönetebilir ve olası tehditlerin önüne geçebilir.
Kaynakça
