Siber saldırıların sadece işletmelere maliyeti ise 6 trilyon dolar. Küresel siber suçların 2025 yılına kadar ise yıllık 10.5 trilyon dolara mal olacağı tahmin ediliyor. Siber saldırganlarla baş edecek yeterli teknoloji ve kaynak olsa da, bu konuda eğitimli insan sayısına ihtiyaç her geçen gün artıyor. 2020 yılında kuruluşların yüzde 85'i, 2021'de ise %87'si siber güvenlik uzmanı sıkıntısıyla karşı karşıya... Kriz öyle büyük ki, ABD'nin dev teknoloji şirketi Microsoft yaklaşık bir hafta önce bu konuda ulusal bir kampanya başlattı. Zira sadece ABD'deki siber güvenlik uzmanı açığı 464 bin. Bu sayı ABD'deki istihdam açığının yüzde altısını oluşturuyor. Ülkede her üç siber güvenlik uzmanı pozisyonundan biri boş...
Küresel çapta ise nitelikli siber güvenlik uzmanı sayısına ihtiyaç 3 milyona dayanmış durumda. Türkiye'de de boş olan çok fazla sayıda pozisyon bulunuyor. Kurumlara, bireylere ve devletlere siber saldırıların maliyeti her geçen gün artarken, nitelikli insan kaynağı krizi aşılabilir mi? Türkiye nasıl bir strateji geliştirmeli? Bu soruları Bilişim Uzmanı Halil Öztürkci'ye yönelttik.
Yaklaşık 3 milyon siber güvenlik uzmanına ihtiyaç var
Siber güvenlik alanında küresel işgücü sıkıntısı 2020 yılının ilk yarısında 3,12 milyondan ikinci yarısında 2,72 milyona geriledi. Ancak bu sayı artan siber saldırı yöntemleriyle baş etmek için yeterli değil. Bunu araştırmalarla açıklayalım: 2020'de 137,7 milyon olan yeni kötü amaçlı yazılım örneğine haziran 2021 itibarıyla 92,45 milyon yeni yazılım katıldı. Yıl sonuna kadar kötü amaçlı yazılım sayısındaki artışta bir rekor olması kaçınılmaz gibi görünüyor. Araştırmalara göre küresel iş gücünün hala yüzde 65 oranında büyümesi gerekiyor.
2007 yılında yapılan bir araştırmalar bilgisayarlara yönelik kötü niyetli saldırıların 39 saniyede bir gerçekleştiğini gösteriyordu. Aradan geçen 14 yılda bu sayı sadece 1 saniyeye düştü. Her 1.12 saniyede yeni bir siber saldırı gerçekleşiyor. Ve bu saldırıların yaklaşık yüzde 82'si başarılı oluyor.
Saldırılar büyüyor ve daha karmaşık bir hale geliyor. İnternete bağlı cihaz sayısının 2020'de 31 milyardan 2021 sonuna kadar 35 milyara ve 2025'te 75 milyara çıkması bekleniyor. Hal böyle olunca siber saldırılara karşı daha stratejik önlemler almak kaçınılmaz.
Teknolojiyi iyi kullanan insanlara ihtiyacımız var
Bilişim Uzmanı Halil Öztürkci, "Siber güvenlik sadece teknolojiyle çözülebilecek bir problem değil. Bunun diğer boyutu da insan..." diyor. Yani siber saldırganlarla mücadele etmenin en temel şartı, yetişmiş insan sayısının yeterli olması.
"Baş edilebilir ama bu sadece teknolojiyle çözülemez. Böyle bir algı varsa bunun yıkılması gerekiyor. Çok iyi teknolojiler yapsanız bile, karşınızda insan var. İnsan teknolojiyi atlatabiliyor. O teknolojiyi kullanan insan ancak karşıdaki saldırganlarla efektif bir mücadele verebilir. Dünyanın farkına vardığı şey de bu. Siber saldırıların en son teknolojiyi kullanarak önlenemeyeceği.. Benim bu teknolojileri kullanan yetişmiş insana da ihtiyacım var, şimdi bu insanları yetiştirmem gerekiyor. Bütün dünyanın geldiği nokta bu. Microsoft'un aldığı insiyatif en bariz göstergesi. Yetişmiş insan gücüne ihtiyaç var ve bu maalesef bütün dünyada yetişmiş insan kaynağının yeterli olmadığı bir alan. Bütün istatistikler bunu söylüyor."
Ancak Halil Öztürkci bu sorunun kısa sürede çözülebileceği görüşünde değil... ABD'nin dev teknoloji şirketi Microsoft'un ulusal çapta başlattığı kampanyada gençlerin eğitilmesine odaklanılmış. Öztürkci Türkiye'nin de benzer bir strateji uygulaması gerektiği kanısında.
"İnsiyatif kesinlikle alınmalı... Çünkü geç kaldığımız her gün aradaki fark açılıyor. Gençken insanları yönlendirerek bir strateji ortaya koymak gerekiyor. İsrail bunu çok güzel uyguluyor. Onuncu sınıftan itibaren çocuklara şifreleme, siber güvenlikle alakalı bazı dersler veriliyor. ABD'de Generation Next diye bir program var; kolej öğrencilerinin siber güvenlikle alakalı yetkinliklerini artırmaya yönelik. İngiltere'nin benzer bir programı var. Bütün ülkeler bu ihtiyacı fark etmiş durumda. Bir kısmı ilkokulda başlıyor, bir kısmı ortaokulda, bir kısmı lisede, bir kısmı üniversitede. Gençlerin hangilerine yetenekleri varsa, oralara en baştan yönlendirmek lazım. Bizim ülkemizin de benzer bir stratejiyi uygulamasının doğru olacağını düşünüyorum. Yetenekli insanlarımız da çok var. Bu konuda Türkiye'de insiyatifler alındı. Kamplar, staj programları, etkinlikler düzenleniyor. Fakat yetişmiş siber güvenlik uzmanı ihtiyacı problemi uzun bir süre hayatımızda olmaya devam edecek."
Türkiye'deki siber güvenlik istihdam açığı
Dünyada bu sayı yaklaşık 3 milyon... ABD Microsoft'un başlattığı kampanya ile 2025'e kadar 250 bin kişiyi siber güvenlik uzmanı olarak yetiştirmeyi hedefliyorlar. Zira ülkede her 3 pozisyondan biri boş.
Halil Öztürkci Bilişim Uzmanı olarak Türkiye'deki istihdam ihtiyacını şöyle aktarıyor:
"ABD'deki bütün istihdamın 20'de biri siber güvenlik açığı. Bu çok büyük bir şey. Bu istatistiğin çok benzeri Türkiye'de de var. Ancak Türkiye'de bu konuda yapılmış net bir bilimsel araştırma yok. Çok fazla sayıda açık pozisyon var. Gerek işin savunma gerek yazılım güvenliği tarafında. Türkiye'de de yüzlerce , binlerce açık pozisyon var. Türkiye'de siber güvenlik uzmanı olup da iş bulamadım diyen birini tanımıyorum. Yurt dışında da bu pozisyonlar açık olarak duruyor. "
Saldırılardan uluslararası siyaset de etkileniyor
Siber saldırılar kuruluşları, bireyleri, öğrencileri, eğitimi, gündelik hayatı ayrı ayrı etkileyebiliyor. Ancak Halil Öztürkci saldırıların uluslararası siyaseti de derinden etkilediğinin altını çiziyor. Siber saldırıların devletlere maliyeti her geçen gün artıyor. Ve bu konuda hukuki yaptırım da çoğu zaman mümkün olmuyor. Halil Öztürkci siber saldırılarla mücadelede nitelikli insan sayısının yanında, uluslararası hukukun da güncellenmesi gerektiğini söylüyor.
"15-20 sene önceye göre hukuki açıdan çok iyi konumdayız ama teknoloji biraz doğası gereği hızlı geliştiği için hukukun aynı çeviklikte yetişmesini beklemek gerçekçi olmaz. Yapılıyor biliyoruz, ilerleme de göreceğiz ama hukuk her zaman geriden gelecek. Bunu bilip öyle devam etmeliyiz Siber saldırganların nerede yaşadığı bilinse bile, örneğin Rusya'da yaşıyorsa ABD Rusya üzerinden bir yaptırım gerçekleştiremiyor. Bu ne demek, bu saldırılar yapılmaya devam edecek. Saldırganı, nerede yaşadığını biliyorsunuz ama ülkeyle aranızda hukuki bir boşluktan kaynaklı olarak o saldırgana bir şey yapamıyorsunuz. Ülkeye de yaptırım uygulayamıyorsunuz. Dolayısıyla siber saldırıların uluslararası boyutta mücadelesine yönelik uluslararası hukukun şekillenmesi gerekiyor."