Bilgi Güvenliği                                                                                  BILGEM
                                                                                                  TEKNOLOJI








 gelişim, tarihte hiç görülmediği kadar hızlı oldu. Bilgi-  da ciddi tehditler de barındırmaktadır. Bilgi güvenliğini
 sayarların gelişimi, internet, mobil-otonom sistemler   sağlamak için kullanılan bir takım asimetrik algoritma-  Ülkemizde kritik kurumlarımızın
 derken bugün her şeyi internete bağlayıp birbirleriyle   lar ve bu algoritmaları kullanan kriptografik protokoller
 ve kullanıcılarıyla iletişime geçmesini, nesnelerin in-  kırılabilir  hale  gelebilir.  Günümüz  teknolojisi  ile  kırı-  kullanacakları cihazların testleri,
 ternetini (IoT – Internet of Things) konuşuyoruz.   lamayan ve dolayısı ile güvenli olarak kabul ettiğimiz
                 iletişim kanalları kaydedilip ileride kuantum bilgisayar-  BİLGEM Test ve Değerlendirme
 Tüm bu gelişmeler insanlığın bir nesli boyunca ger-  larla çözülmek üzere saklanabilir. Bu nedenle özellikle   Başkan Yardımcılığı birimleri
 çekleşti  ve  bu  gelişim,  hayatımızın  her  aşamasına   ülke güvenliği için kullandığımız bilgi güvenliği sistem-
 yansıdı. Veri işleme, depolama ve iletişim her açıdan   lerinin şimdiden kuantum hesaplamaya dayanımlı hale   tarafından yapılmaktadır.
 çok kolaylaştı. Artık insan müdahalesi olmadan çalı-  getirilmesi gerekmektedir.
 şan  fabrikalardan,  otonom  araçlardan,  kendi  kendine
 karar verebilen ve eğitebilen akıllı sistemlerden bahse-  Ulusal  Elektronik  ve  Kriptoloji  Araştırma  Enstitüsü   ri  çözümler  sayesinde,  ülkemizde  milli  bilgi  güvenliği
 der olduk. Bu baş döndürücü gelişmeler, hayatımızı çok   olarak uzunca bir süredir kuantum hesaplamaya da-  ürünleri çeşitlenebilmektedir. Ancak bu farkındalık, tüm
 kolaylaştırdı ve yaşamımızın birer parçası haline geldi.   yanımlı  kripto  algoritma  ve  bu  algoritmaları  kullanan   kurumlarımız için aynı düzeyde değildir. Bazı kurum-
                 kripto protokolleri geliştirme konusunda altyapı ve bil-  larımız,  bu  kapsamda  alınması  gerekli  tedbirlere  çok
 Elbette  bu  hızlı  gelişim,  içinde  pek  çok  tehdit  de  ba-  gi  birikimi  oluşturmaya  çalışıyoruz.  Son  dönemlerde   fazla  önem  vermeden  faaliyetlerini  sürdürmeyi  tercih
 rındırıyor.  Bilgi  güvenliği  açısından  bu  tehditlere  ba-  tasarladığımız  cihazlarımızda  kuantum  hesaplama-  edebilmekte, ya da ticari kullanım maksadıyla gelişti-
 karsak; bu tip sistemleri tasarlarken, bilgi güvenliğinin   ya dayanımlı algoritmalar ve protokoller kullanıyoruz.   rilmiş kimi yerli ya da yabancı bilgi güvenliği ürünlerini
 nasıl sağlanacağını da değerlendirip sistem tasarımını   Sahada  halen  çalışan  cihazlarımızda  da  buna  ilişkin   kullanarak  güvenlik  tedbiri  almaya  çalışmaktadır.  Bu
 bir bütün olarak oluşturmamız gerekiyor. Geliştirilmiş   güncellemeler yapıyor, kuantum bilgisayarlar ülke gü-  yaklaşım, ülkemizde bütüncül bir bilgi güvenliği anlayı-
 bir sistemin daha sonra yapılacak eklemelerle bilgi gü-  venliğimiz  için  tehdit  oluşturmaya  başlamadan  önce   şı oluşturulmasına katkı sunmamaktadır.
 venliğini sağlamaya çalışmak, çok da verimli ve etkili   tedbirlerimizi alıyoruz.
 olmayabiliyor. Modern sistemlerde artık bu durum göz           Doğrusu  burada  temel  sorun  olarak,  ülkemizde  bilgi
 önünde  bulundurulmaya  çalışılıyor.  Otonom  sistem-  Ulusal Bilgi Güvenliği Otoritesi           güvenliği kapsamında uygulanacak kuralları belirleyip
 lerin  ve  internete  bağlı  makinaların  ele  geçirilmesine   uygulamayı  takip  edecek  tek  bir  otorite  olmamasını
 veya  çeşitli  ataklarla  çalışmasının  durdurulmasına,   Bilgi  güvenliği  çözümlerinde  ülkemizdeki  mevcut   görüyorum.  Konuya  önem  veren  kurumlarımız  kendi
 Özellikle askeri ve kritik kurumların kullandıkları kripto   mobil  iletişim  sistemleri  üzerinden  yaptığımız  görüş-  durum ve gelişimi gerekli alanlarla ilgili görüşleriniz   içlerinde  uygulanacak  kuralları  belirleyip  kurum  içe-
 cihazlarında olması gereken bir diğer önemli özellik ise   melerin dinlenmesine engel olmak için çeşitli tedbirler   nelerdir?  risinde  titizlikle  uygulanmasını  sağlamakta,  ancak
 çeşitli  TEMPEST  koşullarını  sağlamasıdır.  TEMPEST   alınıyor ve bunlar standartlara dâhil ediliyor.   Kritik  kurumlarımızın  bilgi  güvenliğini  sağlamak  için   farklı kurumlarda farklı uygulamalar olması sebebiyle
 kısaca, cihazdan istem dışı ışıma ya da iletkenler (güç   kullanacağımız bilgi güvenliği sistemlerinin üst düzey-  bütüncül  bir  yaklaşım  oluşamamaktadır.  Ülkemizde,
 hattı, haberleşme bağlantıları v.b.) yoluyla bilgi kaçağı-  Ancak tüm bu sistemler için bilgi güvenliği kapsamın-  de  güvenlik  özelliklerine  sahip  olması  gerekmektedir.   belli başlı ülkelerde de örnekleri bulunan, bir bilgi gü-
 nı tanımlamaktadır. Cihazın içinde işlenen, henüz şif-  da alınan tedbirler, kişisel ve belki bir yere kadar ticari   Bu  tür  cihaz/sistemlerin  geliştirilmesi  için  elektronik   venliği otoritesinin oluşturulmasının faydalı olacağını
 relenmemiş GİZLİ bilgi ve şifrelemede kullanılan kripto   bilgilerin  güvenliğini  sağlayabilecek  düzeydedir.  As-  tasarım, yazılım, mekanik tasarım, rasgele sayı üreteç-  değerlendiriyorum.
 anahtarları  gibi  kritik  bilgilerin  korunması  gerekir.  Bu   lında bu durum bile tartışmalıdır zira bir takım hacker   leri,  TEMPEST,  EMI/EMC,  COMSEC,  kripto  algoritma/
 bilgilerin  istem  dışı  olarak  cihaz  dışına  çıkmayacağı   gruplarının bile bu tip sistemlerdeki güvenlik tedbirle-  protokol  tasarım  gibi  alanlarda  uzmanların  bir  arada
 güvence altına alınmalıdır. Buna cihazın sağlaması ge-  rini kolaylıkla aşabildiğini görüyor ve biliyoruz. Dolayı-  uyum içerisinde çalışması gerekmektedir.
 reken TEMPEST standartları ile test edilerek ulaşılır.  sıyla  dijital  dönüşümün  getirdiği  tüm  bu  nimetlerden
 faydalanırken özellikle kritik kamu kurumlarımızın bilgi   Tasarlanan cihazların işletim koşullarını test etmek için
 COMSEC testlerinde ise, bilgi güvenliği ürünü, tasarım   güvenliğini sağlamak için milli olarak geliştirilmiş bilgi   de  çevresel  ve  işlevsel  test  altyapılarının  sağlanması
 ve  gerçekleme  yönteminin,  milli  COMSEC  kriterlerine   güvenliği  sistemleri  kullanmamız  gerekmektedir.  Söz   gereklidir. Ayrıca geliştirilmiş olan sistemlerin güvenlik
 uygunluğu test edilir. COMSEC testi sonucunda, belli bir   konusu tedbirlerin bir bütün olarak tasarlanması hem   testlerinin de tam olarak yapılabilmesi için kripto ana-
 gizlilik seviyesindeki bilgi güvenliği ürününün sahada   uygulama ve maliyet hem de kullanım kolaylığı açısın-  liz, rasgele sayı üreteçleri analizi, TEMPEST, EMI/EMC,
 karşılaşabileceği  “kurcalama,  çalınma,  hata  yaratma,   dan çok daha uygun olmaktadır.    COMSEC  test  laboratuvarlarına  ihtiyaç  vardır.    Ancak
 yan kanal analizi ve protokol saldırıları” gibi tehditlere   tüm bu uzmanlık alanlarını oluşturduğumuzda ulusal ve
 karşı, hangi güvenlik seviyesinde koruma sağlayabildi-  İkili  sistemin  (dijital)  elektronik  devrelerde  ve  yaşa-  uluslararası (NATO) standartlarına uygun bilgi güvenliği
 ğinin değerlendirmesi yapılmış olur.  mımızda  yaptığı  değişimin  benzerini  şimdi  kuantum   cihaz/sistemleri geliştirmek mümkün olmaktadır.
 sistemlerinin  gelişiminde  görmek  üzereyiz.  Klasik  bir
 İkili Dijital Sistem ve Kuantum Bilgisayarlar  bilgisayar, ikili sistemle çalışıp aynı anda 1 ya da 0 (bit)   Kurumumuz uzun yıllar boyunca elde ettiği tasarım de-
 kullanıp tek bir işlem yapabilirken, kuantum bilgisayar-  neyimi ve seçkin altyapısı ile ülkemizin kritik kurumları
 Dijital dönüşüm sürecinden geçtiğimiz bu dönemde,   lar  kübit  (qubit)  kullanır;  kübitler  1,  0  olabilirken  aynı   ve  NATO  için  kripto  cihazları  tasarlamakta,  güvenlik
 bilgi  güvenliği  daha  da  önemli  hale  geldi.  Bu  dönü-  anda  hem  1  hem  de  0  olabilir.  Bu,  kuantum  bilgisa-  testlerinden  ve  onaylardan  geçirerek  kullanıma  sun-
 şümün,  avantajlar  yanında  bilgi  güvenliği  açısından   yarları ile aynı anda birden fazla işlem yapabilmemize   maktadır.  Ülkemizin  ihtiyacı  olan  her  türlü  bilgi  gü-
 getirdiği tehditler nelerdir? Alanda yapılan çalışmalar   ve işlem gücümüzün muazzam bir şekilde artmasına   venliği sisteminin, kâğıt üstü tasarımdan cihaz haline
 hangi yöne doğru ilerlemektedir, trendler nelerdir?  imkân  sağlamaktadır.  Kuantum  bilgisayarlar  gelişim   dönüşmesi  evresine  kadar  geçen  tüm  aşamalar  için
 Dijital (sayısal) sistemlerin temeli 0 ve 1 rakamları ile   aşamasında ve henüz hayatımıza girmeye başlamadı.   gerekli yetkinliğimiz mevcuttur.
 ifade edilen ikili sayı sistemidir. Bu sayı sistemi yüzyıl-  Bu olduğunda, dijital sistemler gibi bir dönüm noktası
 lardır biliniyordu. 1947 yılında transistorun bulunması,   oluşturacaktır.   Ülkemizdeki bilgi güvenliği farkındalığına gelirsek,  bu
 ardından tümdevrelerin (chip) geliştirilmesi ve ikili sis-  kapsamda kimi kurumlarımız çok hassas ve bilinçli bir
 temin  elektronik  devrelerde  kullanımının  kolaylığı  ile   Kuantum  bilgisayarlar  bu  haliyle  müthiş  bir  gelişim   şekilde konuya önem vermekte ve kurum içi tedbirle-
 sayısal elektronik devreler geliştirilmeye başlandı. Bu   sunsa da tedbirli olmaz isek bilgi güvenliği anlamın-  rini buna göre almaktadır. Bu kurumların talep ettikle-









 14                                                       15