Atalay Keleştemur – Siber Güvenlik ve Çocuk Söyleşisi

Bilgi ve iletişim teknolojilerinin gelişmesi, yeni bir öğrenme ile güvenlik alanını ortaya çıkarmıştır. Gerçek olanla sanal ortamda yaşanılanın ayırt edilmesi, yetişkinle çocuğun dijital ortamı kullanım oranlarının ve engellerinin tartışılması, son zamanlarda önemli bir konu haline gelmiştir. Çocuklar için daha güvenilir internet, konuya dair tartışmalar ve araştırmalarla güncelliğini artırmaktadır.  Dijital oyunlardan sosyal medyaya çocukların hayatlarına mal olan kimi olaylara rastlanmaktadır. Gündemde olan diğer bir konu da siber zorbalık. Neyin siber zorbalık olup olmadığını tartışarak, yasal süreçleri serimleyerek konunun kamuoyu nezdinde tartışılmasına katkı sağlayabilir.

İnternet ortamı, Türkçeye yeni kelimelerin girmesi yanında kimi etik sorunların tartışılmasına neden olmakta. Ülkemizde bu anlamda siber güvenlik farkındalığı oluşturmak, eğitici eğitimleri düzenlemek ve çocuklara gerekli eğitimleri vermek anlamlı olabilir. Dünyada siber tehditlerle ilgili yapılan araştırmalar ve ortaya çıkan istatistikler göz önüne alınırsa, çocuklara, internet ve türevi sorunlara dair farkındalık geliştirmeleri yönünde eğitimlerin verilmesi, olası sorunları asgariye indirebilir. Türkiye 2016-2019 Ulusal Siber Güvenlik Eylem Planı’nda belirtilen sorumlulukların önemsenmesi ve buna göre planlanmaların yapılması gerekmektedir. Siber güvenliğin bu kadar önemli olduğu bir dönemde, siber güvenliğin ne olduğunu, çocuklar için önemini, yol gösterici perspektif ve bilgi vermesi açısından Bilgi Güvenliği Uzmanı Atalay Keleştemur ile konuştuk.

1. Siber güvenlik nedir? Çocuklar için siber güvenliğin yetişkinler için siber güvenlikten farkı nedir?

Siber güvenlik konusuna değinmeden önce bilgi güvenliği konusunu incelemek gerekmektedir. Bilgi güvenliği, isminden de anlaşılabileceği gibi bilginin korunmasına yönelik gerçekleştirilen tüm çalışmaları kapsamaktadır. Bilgi, matbu belgelerde tutulabileceği gibi, günümüzde daha yaygın bir şekilde kullanılan, dijital ortamlarda da tutulabilmektedir. Dolayısıyla ister matbu ister dijital olsun, bilginin korunması gerekmektedir. Tüm bu çalışmalar bilgi güvenliği kapsamında ele alınsa da içinde bulunduğumuz Bilgi Çağı’nda hemen her şeyin dijitalleşmesi neticesinde bilgi güvenliği denildiğinde de akla siber uzayda mevcut olan bilgi gelmektedir.

Bu bilgilerin güvenliğinin sağlanması için ISO 27001, PCI DSS, COBIT, HIPAA gibi standartlar bulunmaktadır. Siber güvenlik ise bilginin de içinde bulunduğu siber uzay içinde yer alan tüm ögelerin (NATO’ya göre insan da dahil) korunması için yapılan çalışmalardır. Bu çalışmalar, saldırıların oluşmasını önlemek için olabileceği gibi, saldırı sırasında gerekli bertaraf işlemlerini de kapsamaktadır. Dolayısıyla siber güvenlik çocuklar için ayrı, yetişkinler için ayrı yapılan bir faaliyet değildir. Bu noktada ülkemizde ne yazık ki her geçen gün popülerleşmesi açısından her konunun başlığına “Siber Güvenlik” eklendiği için kavram karmaşası yaşanmaktadır. Nasıl ki çocuklar için tıp, çocuklar için askerlik, çocuklar için denizcilik, çocuklar için siyaset gibi kavramlar yoksa, siber güvenlik için de böyle bir ayrım yapılması uygun değildir.

Bu noktada “Çocuklar için güvenli internet kullanımı” ya da “Çocuklar için bilgi güvenliği” gibi konular devreye girmektedir. Çocuklarımızın bu konulara ilişkin farkındalık sahibi olmaları için çalışmalar yapılmalıdır. Siber güvenlik çok teknik bir konu olup, çocuk-yetişkin ayrımı olamayacağı gibi, çocuklar için ufak yaşta bu konuya ilişkin uzmanlık gerektiren çalışmaların yapılması da oldukça zordur. Siber güvenlik ile ilgili çalışmaların yapılabilmesi için Network, Unix/Linux, Windows, Programlama, Veri tabanı vb. konularda bilgi ve tecrübe sahibi olunması gerekmektedir. Küçük yaştaki çocuklar için “programlama” eğitimlerinin verilmesi, bu konuda bir temel adım teşkil edebilir.

2. Çocuklar dijital ortamda güvendeler mi? Güvende değillerse çocuklar için güvenli internet ortamı sağlamak mümkün mü?

Genel olarak çocukların kötü insanlar ve savaşlarla dolu bu dünyada güvende olmadıklarını söyleyebiliriz. Dolayısıyla aynı şeyi dijital ortam için de söylemek mümkün. Daha kısa bir ifadeyle, güvende değiller. Güvenli internet ortamını sağlamak teknik olarak oldukça zor ve kesin çözüm sunmak neredeyse imkansız. Bunun en temel sebepleri arasında internetin tek bir merkezden yönetilmemesi, adresleme sistemi, oluşturulurken güvenlik odaklı yaklaşımın bulunmaması gibi unsurlar bulunuyor. Bu durumu, yine gerçek hayattaki olaylarla örnekleyecek olursak, ülkemizde kolluk kuvvetleri bulunuyor ve çocukların özellikle okul etrafında yaşayabilecekleri olumsuz tecrübelerin yaşanmaması için gerekli tüm koruyucu güvenlik önlemlerini alıyorlar. Ancak buna rağmen kimi zaman okul önlerinde kaçırma, gasp ve hatta zararlı maddelerin satıldığına dair çeşitli haberler yayınlanıyor.

Bu noktada devreye okul idaresi ve de aile giriyor. İnternet kullanımını da  bu şekilde değerlendirmek mümkün. Önce okul içindeki internet kullanımının gerekli güvenlik standartlarında olması gerekiyor. Bu, teknik ve uygulama olmak üzere iki farklı şekilde ele alınabilecek bir konu. Önce öğretmenlerin güvenlik farkındalığı, güvenli internet kullanımı gibi konularda eğitim almaları gerek. Sonrasında da ailelerin aynı bilince sahip olması ve çocuklarına belirli kısıtlarda internet kullanmaları konusunda çaba göstermeleri şart. Benim gözlemlerim genellikle ailelerin, çocuklarının önüne telefon ya da tablet vererek istediklerini yapmalarına müsaade etmeleri yönünde. Böylesine herhangi bir denetim, kısıtlama olmadan çocuklara internet kullandırmak zaten başlı başına güvensiz bir ortam oluşturuyor. Devletin bu konuda önemli adımları, çalışmaları oldu. Ancak işin büyük kısmı ebeveynlere düşüyor.

3. Çocuklar dijital medyada kişisel veri gizliliğini nasıl sağlayabilirler? Kendileri için bazı özel bilgilerin internet ortamında saklaması gerektiğini nasıl fark ettirebilirler ve hangi verilerin kişisel olduğuna dair ölçüt nedir?

Çocukların siber uzayda kişisel verilerinin korunması da yine aslında teknik bir takım konularla birlikte, farkındalık eğitimlerinden geçiyor. Bu noktada çocuklara, hangi bilgilerin özel hangilerinin ne şekilde sınıflandırılması gerektiği gibi konular hakkında bilgi verilmesi gerekli. Yaşanmış ve ne yazık ki kötü sonuçlanmış olayların çocuklara anlatılması, yaşanabilecek olayların analizinin yapılması bu konuda faydalı olabilir. Özellikle bu konunun, pedagoglar eşliğinde değerlendirilmesi, ilerleyen dönemler için olumlu sonuçlar doğurabilir. Hangi verilerin hassas, hangilerinin olmadığı kurumlar için farklılık göstermektedir. Dolayısıyla bu farklılıklar kişiler için de geçerli olabilir. Ancak her halükarda çeşitli standart kriterler mevcut. Tüm bu ögelerin de yine bir çatı altında işlenmesi ve buna uygun belirli standartların oluşturulması önemli bir konu olup, gerekli çalışmaların tamamlanmasıyla birlikte çocuklar açısından ek güvenlik sağlayacaktır.

4. İnternet ortamında bilgi kirliliği söz konusuyken doğru bilgiyi çocukların ayırt etmesi nasıl sağlanabilir?

Yetişkinlerin dahi bu ayrımı yapamadığı bir ortamda, çocuklardan doğru bilgiyi ayırt etmelerini beklemek pek doğru olmayacaktır. Bu konuda da çocuklara, belirli web sitelerinden haber almaları, bilgi edinmeleri konusunda yönlendirme yapılması gerekmektedir. Özellikle sosyal medya, online ansiklopediler ve sözlük sitelerinde bilgi kirliliği olma ihtimali bulunuyor. En önemlisi çocuklara birden fazla kaynaktan bilgi elde etmek, analiz yapmak, şüpheci yaklaşmak, araştırmacı olmak gibi kavramların işlenmesi de ileride, üniversite ve hatta akademik hayatları boyunca faydalı olacaktır.

5. Dijital çağda yaşadığımızı düşünürsek siber güvenliği sağlamak açısından ‘Dijital Medya Okuryazarı’ bireyler yetiştirmenin önemi ile ilgili neler söyleyebilirsiniz?

Siber güvenliğin sağlanması her ne kadar çoğunlukla teknik faaliyetleri içerse de güvenliğin en zayıf halkası insan olduğu için, “Dijital Medya Okuryazarı” bireylerin, doğru internet kullanımına sahip kişilerin, güvenlik odaklı yaklaşıma sahip internet kullanıcılarının yetiştirilmesi büyük bir öneme sahip. Sosyal mühendislik saldırıları insan odaklı olup, bu saldırılar  kimi zaman milyon dolarlık zararların oluşmasına sebep olabilecek siber olayların yaşanmasına vesile olmuştur. Ancak bu noktada sadece dijital medya okuryazarı değil, siber güvenlik farkındalığına sahip bireylerin yetiştirilmesi de önemli. Bunun için siber güvenlik eğitimi veren kurumlardan, ilgili eğitimlerin alınması doğru bir adım olacaktır.

6. Çocuklar için internet yasakları konulsa dahi bir şekilde sitelere erişim sağlayabildiklerini görüyoruz. Bu anlamda güvenlik ne kadar olanaklı?

Siber güvenlik ve bilgi güvenliği denildiğinde işin temelinde çeşitli yasakların olduğunu unutmamak gerekir. Teknik bir ifade olan “Kontrol erişim listeleri” bu izin ve yasaklardan meydana gelmektedir. Dolayısıyla işin doğasında yasaklar/izinler var. Bir başka deyişle, internet kullanımına ilişkin çeşitli yasaklar, çocukları büyük ölçüde korumaktadır. Ancak buna rağmen sizin de ifade ettiğiniz gibi, yasaklı sitelere erişim sağlanabilmektedir. Bunun en önemli sebepleri arasında doğru teknik çalışmanın yapılmaması geliyor. Derinlemesine savunma sisteminin okullarda ve evlerde de uygulanması şart. Bu sayede çocuk bir yasağı delse dahi, bir diğerine takılacaktır. Farklı katmanlarda güvenliğin sağlanması için farklı metodolojilerin ve bunların uygulanması için gerekli farklı yazılımların, protokollerin kullanılması gerekiyor. Tüm bu yasakların da bir şekilde aşılabileceğini göz önünde bulunduracak olursak, yapılması gereken önemli bir diğer işlem ise “monitoring” yani “gözetleme” olacaktır. Çocukların hangi saatte kiminle yazıştığı, hangi siteye girdiği gibi konulara ilişkin an be an rapor sunan uygulamalar, bu konuda büyük ölçüde fayda sağlayacaktır. Çeşitli kurum ve kuruluşlarda kullanılmakta olan bu sistemin, ebeveynler tarafından çocuklarına da uygulanması gerekir. Aynı şekilde okullarda da bu sistemin uygulanmasını olumlu buluyorum.

7. Okullarda siber güvenlik ile ilgili ne gibi çalışmalar yapılmalı? Güvenli okullar nasıl oluşturabiliriz?

Okullarda siber güvenlik ile ilgili farkındalık eğitimlerinin verilmesi ilk olarak atılması gereken adım olmalı. Bu eğitimlerin uzmanlar tarafından verilmesi hatta öğrencileri teşvik etmesi açısından katılım belgelerinin, sertifikaların verilmesi de olumlu olacağına inanıyorum. Güvenli okulların, okullardaki internet kullanımının güvenliğinin sağlanması ise yine siber güvenlik uzmanlarının işi. Bu anlamda onlardan yardım talep etmek ya da bunu bir iş teklifi olarak sunmak gerekir. Aksi takdirde öğretmenlerin ya da okul idaresinin gerekli güvenlik önlemlerini alabilmesi oldukça zor. Daha önce de belirttiğimiz gibi siber güvenlik, uzmanlar tarafından ele alınması gereken bir konu. Güvenli internet kullanımı ise okul idaresince gerçekleştirilebilir.

8. Siber zorbalık nedir? Çocukların siber zorbalığa uğramalarıyla ilgili ne düşünüyorsunuz?

Siber zorbalık, yine günlük hayatta insanların başına gelebilecek bir olayın siber uzaydaki iz düşümüdür. Bununla ilgili yeri gelmişken hemen değinmekte fayda var; siber zorbalık siber suçlarla mücadele kapsamında değil, asayiş kapsamında ele alınan bir konudur. Zira siber zorbalık bir sisteme saldırma ya da sistemi ele geçirme gibi konularla ilgisi olmayan, zorbalığın siber uzay üzerinden gerçekleştirilmesi hadisesidir. Yine bu konuda çocukların bilinçlendirilmesi gerekiyor. Bunun dışında ebeveynlerin de yine çocuklarını internet gibi ağlarda gözetlemesi, bu konuya ilişkin de büyük oranda çözüm sağlayacaktır. Herhangi bir siber zorbalığın yaşanması durumunda da konuyu ivediklikle ilgili kolluk kuvvetlerine ya da adli makamlara iletmek gerekir.

9. Ülkemizde Kişisel Verileri Korunma Kanunu ile ilgili neler söyleyebilirsiniz? Ülkemizde kanunun bilinirliliği ve uygulanabilirliği hakkında düşünceleriniz nelerdir?

KVKK oldukça önemli bir kanun. Üstelik ülkemiz bu konuda doğru zamanda doğru adımı atmış ve vatandaşlarına bu konuda büyük bir güvenlik ortamı sağlamıştır. Avrupa’da da GDPR 25 Mayıs 2018 tarihi itibariyle yürürlüğe girdi. Türkiye’de KVKK ise daha önce uygulamaya geçmiş olup, önümüzdeki dönemlerde kişisel verilerin korunmasına yönelik büyük bir güvenlik ortamı sağlayacaktır. Kanun henüz pek bilinir değil. Ancak Kişisel Verileri Koruma Kurumu konuya ilişkin önemli çalışmalar yapıyor. Kanunun ve içeriğinin duyurulması, vatandaşın bilinçlenmesi gibi konularda güzel çalışmalar var. Bu anlamda yakın bir zamanda hemen herkesin kanun hakkında yeterli bilgi sahibi olacağına inanıyorum. KVKK, bilgi güvenliği ile ilgili bir kanun aslında. Dolayısıyla işin içine bilgi güvenliği yönetim sistemleri giriyor. Bu konuda da özellikle okulların BGYS ile ilgili ISO 27001 gibi sertifikalara sahip olması kişisel verilerin korunması açısından önemli. Zira bugün, herhangi bir hacking faaliyeti yapmadan, tamamen yasalar çerçevesinde gerçekleştirilen basit bir takım sorgu işlemleri ile binlerce öğrencinin TC Kimlik numarasına erişmek mümkün. Bu noktada doğru adımların atılması için BGYS’nin uygulanması şart.

10. Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) Güvenli İnternet platformu hakkında ne düşünüyorsunuz? Bu tür uygulamalar siber zorbalık ve siber ortamın diğer olumsuz etkilerini önlemek için yeterli midir?

BTK’nın bu çalışması oldukça başarılı. Platformun oluşması sürecinde rol alan isimleri de bildiğim için, Güvenli Internet platformuna ve içeriğine güveniyorum. Bununla birlikte artık çeşitli kurumlar, çocukları bilinçlendirmeye yönelik sayfalar geliştiriyor. Bunlardan biri de Milli İsithbarat Teşkilatı. İnsanların ürkerek, tedirginlik duygusuyla yaklaştığı bu güzide teşkilatımız, bugün çocukların dahi ilgisini çekebilecek, onları bilinçlendirecek, yönlendirecek sayfalar hazırlamış durumda. Diğer kurum ve kuruluşların da benzer çalışmalar yapmaları bu konudaki farkındalık faaliyetlerinin hızlanmasını sağlayacaktır. Ancak ne olursa olsun siber uzaydaki tehliklelerin bertaraf edilmesi için bu platformlar yeterli değil. Bunlar daha önce tavzih etmeye çalıştığım üzere, teknik mevzular. Bu platformlar ise kullanıcıların bilinçlenmesini sağlamaktadır. Dolayısıyla siber zorbalık ve siber uzaydaki birçok tehlikeden uzaklaşmak için gerekli farkındalığın oluşmasına katkı sağlamaktadır.

11. Artık ebeveynlerin çocuklarından öğrendiği bir çağda ebeveyn anlamadığı bir dijital ortamda nasıl karar verici veya denetleyici olabilir?

Eğitim şart; çocuklardan önce anne-babaların bu konuda eğitim alması gerekiyor. Bilgi güvenliği ile ilgili farkındalık eğitimleri sonrasında, çocukların denetimlerini daha etkin bir şekilde yapabileceklerdir. Hatta bu eğitimleri daha ileri bir boyuta taşıyıp, anne babaların İKK (İstihbarata Karşı Koyma) eğitimleri almaları da çocuklarını birçok tehlikeden korumaya yönelik bilinç ve disiplin oluşturacaktır. Zira günümüzde çeşitli yabancı gizli servis ya da terör örgütlerinin, yasadışı web siteleri ya da uygulamalar üzerinden çocukların beynini yıkadığı, onları angaje etmeye çalıştığı görülmektedir. Konuyla ilişkin son birkaç yıldır çeşitli haberler gerek dünya genelinde, gerekse de Türkiye’de yayımlanıyor. Yakın bir zamanda çocuklarımızın internet üzerinden oynanan bir sözüm ona oyun sebebiyle (oyun demek yanlış olabilir, bu tür ifadelerle diğer oyunlara zarar vermemek, onları karalamamak gerekir) intihara teşebbüs ettikleri, hatta ne yazık ki bazılarının vefat ettiği görülmektedir. Tüm bunları bir çatı altında değerlendirip, çocukların yaşayabileceği konvensiyonel veya siber saldırılara karşı korumak gerekli.

12. Çocuklarımızı internetten gelen tehlikelere karşı korumak için yapmamız gerekenler konusunda tavsiyeleriniz nelerdir?

Bu konuda en büyük iş anne-babalara düşüyor. Aman biraz rahat edeyim, kendime vakit ayırabileyim, komşuyla iki sohbet edebileyim diye çocukların eline tableti verip bırakıyorlar. Kendi gözlerimle tanık olduğum, gözlemlediğim o kadar çok vaka var ki. Çocuklar bu süre içinde, onları olumsuz etkileyebilecek sitelere giriyor, videolar izliyor ve hatta tehlike oluşturabilecek kişilerle sohbet ediyor. Gözetlemek, denetlemek gerek. Güvenli internet için gerekli ayarların yapılması, uygulamaların kullanılmasıyla birlikte, denetleme sisteminin oluşturulması da önemli. Daha sonra bu sistemlerin okullarda da uygulanması, çocuklarımızın siber uzaydan gelebilecek tehlikelere karşı korunması konusunda büyük ölçüde fayda sağlayacaktır. Bunun için tekrar ediyorum; ebeveynler ve öğretmenlerin bilgi güvenliği ile ilgili çeşitli eğitimler almaları gerekli. Vakit ayırıp, günümüz sistemine ayak uydurmak, potansiyel tehlikelerin farkına varmak ve bunlara karşı önlem almak konularında bilgi edinmeleri, sadece çocukları değil kendilerini de güven altına alacaktır.

13. Son olarak eklemek istedikleriniz var mı? Söyleşi için vaktinizi ayırıp kanaatlerinizi paylaştığınız için teşekkür ederim.

Böylesine önemli bir konu üzerine eğildiğiniz için ben teşekkür ederim. Son olarak, çocukları korumak hepimizin görevi. Bu konuda siber güvenlik ve bilgi güvenliği uzmanları olarak, bizler elimizden geleni yapıyoruz. Ancak başta anne-babalar ve sonra öğretmenler de bu konuda kendilerini mümkün olduğunca geliştirmeliler. Konuyla ilgili bilgi edinmek isteyenler, bana e-posta üzerinden ulaşabilirler.

Atalay KELEŞTEMUR

Pardus 2011, Ubuntu, Windows 8 ve Siber İstihbarat isimli kitapların yazarıdır. Siber İstihbaratın Kamu Güvenliği İçin Rolü ve Önemi isimli yüksek lisans tez çalışması yapmıştır. Siber istihbarat, bilgi güvenliği ve siber güvenlik üzerine eğitimler vermektedir. Siber istihbarat analizi, güvenli kod denetimi, web uygulama sızma testleri üzerine çalışmalar yapmaktadır. Sahip olduğu sertifikalar CPTE, CPEH, CSWAE, CISSO, ISMS LA ve SCE’dir.

Eposta: atalay.kelestemur@nprot.com

Bu söyleşi http://ekipedu.com/siber-guvenlik-ve-cocuk/ adresinde yayınlanmıştır.