‘Yerli ve milli’lik siber güvenliğin neresinde?

Tedarik zincirine sızan İsrail’in uzaktan tetiklenebilir birer bomba haline getirdiği binlerce çağrı cihazı ve telsizi patlatarak Lübnan’da çok sayıda ölüm ve yaralanmaya yol açmasının ardından teknolojik ürünlerin güvenilirliği ve tedarik zinciri güvenliği tartışmaları tüm dünyada yeniden alevlendi. Teknoloji dünyasının bir kesimi bunun “Ne kadar iyi hedeflenmiş, ustalıklı bir saldırı” olduğuna övgüler düzerken diğer bir kesimi bu tipte bir saldırının olağan ya da makul kabul esilmesinin yaratacağı tehlikeye vurgu yapıyor. Türkiye’de bu konuda yürüyen tartışmanın ana gövdesinde ise “yerli ve milli teknoloji” nidalarına eşlik eden Baykar, Aselsan vb. övgüleri yer alıyor.

“Kurtarıcı olarak sunulan ‘yerli ve milli teknoloji’ bizi tedarik zinciri vakalarından ne kadar kurtarabilir?” sorusuna geçmeden önce birkaç hatırlatma yapmakta fayda var:

• “Bubi tuzakları veya patlayıcı madde içerecek şekilde özel olarak tasarlanmış ve inşa edilmiş, görünüşte zararsız taşınabilir nesneler şeklindeki diğer cihazların kullanılması” İsrail de dahil 107 ülkenin imzacısı olduğu “Belirli Konvansiyonel Silahlar Sözleşmesi” ile yasaklanmıştır. Teknoloji dünyasının belirli bir kesiminin övgüler düzdüğü operasyon uluslararası açıdan bir suçtur. Ulusal teknoloji geliştirme çabası anlamsız ya da önemsiz değildir. Ancak kapitalizm içinde bu çaba istisnai bazı örnekler dışında bir tarafında yerli kapitalistler ve var ise uluslararası ortaklarının diğer tarafında ise uluslararası kapitalistlerin yer aldığı “Hangi kapitalisti tercih etmeli?” sorusuna indirgenebilecek bir şekle bürünmüştür.
• Yerli teknoloji üretimi bizi kurtarabilir mi sorusuna yanıt verebilmek için öncelikle böyle bir üretimin ne kadar mümkün olabileceğini konuşmamız gerek. Burada sorun bunu yapabilecek fikir ve zekaya sahip olup olmamakta değil üretimin lojistiğindedir. Modern elektronik cihazları ele aldığınızda bu cihazların en temel bileşenlerine doğru ilerledikçe olağanüstü bir karmaşıklıkla karşı karşıya kalırsınız. Sıklıkla onlarca ülkeye yayılmış tedarik zincirlerinden oluşan dev bir karmaşa. Kimi doğal kaynaklar sağlayan, kimi cihazın kasasını üreten, kimi bir devre kartı üreten, kimi yazılımı geliştiren çok sayıda tedarikçiden uzanan kollar son ürüne kadar birleşe birleşe ilerler. Tüm bu süreçlerin tek ülke sınırları içine taşınabilmesi için doğal kaynakların yeterli olması, ilgili işleri yapabilecek nitelikli kadroların ve tesislerin var olması gibi çeşitli parametrelere bağlıdır. Üstelik kapitalizm koşulları bu parametrelerin dışardan sağlanmasından daha kârlı olması gerekliliğini de yanında getirir.

Belirli bir karmaşıklık seviyesinin üzerindeki elektronik araçları üretmek üzere geliştirilen makinelerin üretimi de aynı tartışmanın bir parçasıdır. Örneğin çip üretiminde ekstrem ultraviole litografi tekniğini kullanacaksanız ilgili üretim araçlarını üreten tek firma olan ASML’nin kapısında Intel, Samsung ve TSMC gibi devlerle birlikte sıraya girmeniz gerekir. Yine yazılım konusunda -eğer her şeyi tümüyle sıfırdan yazmayacaksanız- çeşitli açık ya da kapalı kaynaklı kütüphaneleri ve yazılımları kullanmak durumundasınız. Bu yazılımların ve kütüphanelerin herhangi biri -bu yılın başında XZ örneğinde⁰ yaşandığı gibi- tedarik zinciri saldırılarının hedefi olabilir.

Tedarik zincirlerini hedef alan saldırılar tüm bu üretim süreçleri arasında içine en verimli şekilde sızabileceği nokta ya da noktaları belirler. Bu ham maddelere testlerde kolayca ayırt edilemeyecek ancak son üründe etkisi olabilecek bir materyalin karıştırılması yoluyla da olabilir, STUXNET örneğinde olduğu gibi kapalı bir ağdaki üretim cihazına zararlı yazılımın yakınlardaki mağazalarda satılan bir USB ile sızdırılması gibi bir yolla da. Ya da Edward Snowden’in ifşa ettiği belgelerde ortaya çıktığı gibi cihazların nakliyesi sırasında da bu tipte bir saldırının mekanizmaları kurulabilir.

Elbette bütün bu üretim aşamaları için çeşitli güvenlik kontrolleri tasarlanıyor ve uygulanıyor. Ancak bu kadar karmaşık süreçlerde iyi gizlenmiş bir saldırı hazırlığı aylarca gözden kaçabilir. ABD’de Hazine, Ticaret ve İçişleri Bakanlıkları ile Ulusal Güvenlik Departmanı ve Ulusal Nükleer Güvenlik Yönetimi de dahil olmak üzere çok sayıda kamu kurumuna sızılmasına yol açan Solarwinds tedarik zinciri saldırısı¹ 9 ay aktivitenin ardından ortaya çıkartılmıştı.

Teknik ve lojistik mümkünlüğü bir yana bugüne kadarki tedarik zinciri saldırısı örnekleri teknoloji üretiminin yerli ya da çok uluslu olup olmamasının korunma konusunda pek de bir etkisi olmadığına işaret ediyor. Bu durumda “Yerli ve milli teknoloji bizi tedarik zinciri saldırılarından korur” tezinden geriye sadece birilerinin cebinin dolmasına yarayan bir “yerli ve millilik” propagandası kalıyor.

Tedarik zinciri saldırıları gerek yurttaşların güvenliği gerekse de ulusal güvenlik açısından ciddi bir tehdit. Ancak daha ham madde aşamasından başlayarak üretim süreçlerinin tümüne nüfuz eden ve tasfiyesi çoğunlukla mümkün olmayan bağımlılık ilişkileri tümüyle tasfiye edilebilseydi dahi tedarik zinciri saldırıları ciddi bir tehdit olmaya devam edecekti. İktidara yakın medya, artan siber güvenlik tehditlerini anarak ve bu son saldırıyı da vurgulayarak Cumhurbaşkanlığına bağlı bir Siber Güvenlik Başkanlığı (SGB) kurulacağının müjdesini veriyor. Yazılıp çizilen kulis bilgilerini dikkate alacak olursak “devlet kurumlarına bir siber güvenlik standardı ve denetimi getirilmesi”nden “e-devlet verilerinin korunmasına”, “farklı kurumlardaki siber güvenlik gruplarının bir araya getirilmesinden” “proaktif savunma ağının devreye alınmasına” yok yok SGB’nin görevleri arasında. Elbette kimsenin kamu kurumlarına siber güvenlik standartları ve denetimleri getirilmesine, verilerimizin daha iyi korunmasına vb. itirazı olmayacaktır ama tüm kamu kurumlarını kendi çıkarları için politize etmiş bir iktidarın böyle bir kurumu sadece siber güvenliğimizi sağlamak için kuracağını düşünmek saflık olur.

[0] https://bit.ly/4ddVjeo

[1] https://bit.ly/47AnSBN