ABD Bilişime Yaptırım Uygularsa, Siz Hazır mısınız?

Felaket Planlaması, benim bildiğim bu ülkede bilişim sektörü tarafında 30 yıldır konuşuluyor. Basitçe, sistemlerinizin ve verilerinizin bir kopyasının, bilgi işlem merkezinin bulunduğu coğrafi bölgeden farklı bir yerde yedeklenmesi olarak tanımlayalım. Ama şimdi önümüzde felaket planlamasının farklı bir boyutu mu var? Yani yedeklenecek donanım veya yazılım araçlarını kullanamaz durumdaysak, o zaman neyi ve nasıl yedekleriz?

Dün yayınladığımız ABD devlet yaptırımları nedeniyle Venezüela’ya karşı, Adobe’nin bu ülkeden gelen tüm paralı ya da parasız hesapları kapatma açıklaması [1], zamanlama açısından ilginç bir döneme denk geldi. Tam da Trump’ın Türkiye’ye yönelik yorumlarının üstüne[2]. Neydi Trump’ın sözleri, Reuters haberi üzerinden kısaca hatırlatalım.

“Daha önce de belirttiğim gibi ve sadece yinelemek gerekirse, Türkiye benim yaptığım her şeyi, benim büyük ve eşsiz bilgeliğimin sınırlarını aşmayı düşünürse, Türkiye ekonomisini tamamen imha edip yok edeceğim. (Daha önce yaptım!)”

Gerçi ABD çapında, Trump için ilginç yorumlar var. Mesela Trump üzerine bir de kitap yazmış olan [3], Yale Universitesinden Psikiyatrist Prof.Dr.Bandy Lee, Başkan Trump’ın akıl sağlığının ülke ve dünya için bir acil durum oluşturacak kadar bozuk olduğunu söylemişti[4].

Ama bu ABD’den gelebilecek bir yaptırım için engel teşkil eder mi? Pek etmez. Çünkü ABD, dünyanın jandarması olarak çeşitli tarihlerde çeşitli ülkelere farklı düzeylerde yaptırımlar uygulamış zaten. Kısaca özetlersek;

Ülke Ambargo Ne Zaman, Neden Başladı?
İran Ambargo 1979 İran Devrimine karşı konuldu. Daha sonra İran Nükleer Programı ile genişletildi. Ayrıca teröre devlet sponsorluğu iddiası var. 30 Mayıs 2013 tarihinde, OFAC bir açıklama yaptı. ABD’den veya ABD’li kimselerce, İran’daki “belirli hizmetler, yazılımlar ve donanım olaylarının” bulunduğu yerlere, doğrudan veya dolaylı olarak, ABD’den veya ABD’li kişilerin ihracatını veya yeniden taşınmasını onaylayan, İran Genel Lisans D Verildi.
Kuzey Kore 1950’de Nükleer program ve insan hakları ihlalleri neden gösterildi.
Suriye 1986 itibariyle başlatıldı. İnsan hakları ihlalleri, teröre devlet sponsorluğu gibi nedenler gösterildi.
Sudan 1993’de başlatıldı. İnsan hakları ihlalleri ve teröre devlet sponsorluğu iddiasıyla.
Küba 1958’de başlatıldı. İnsan hakları ihlalleri iddiasıyla.
Venezuela 2019 itibariyle başlatıldı. İnsan hakları ihlalleri, yasadışı uyuşturucu ticareti, yüksek düzeyde devlet yolsuzluğu ve seçim sahtekarlığı iddiaları var.

Türkiye’nin Ulusal Düzeyde Bütüncül Bir Bilişim-Telekom Stratejisine İhtiyacı Var

Dolayısıyla önümüzde düşünülmesi ve planlanması gereken bir dönem var. Sonuçta bölge ve dünya ısınıyor. Önlem almakta yarar var.

Devletin bilişim konusunda bir ulusal düzeyde bütüncül stratejisi hiç olmadı. Dün, evvelsi gün ya da AKP ile yaşadığımız 17 yıl içinde bu yolda bir gelişme göremedik. Tek tek bazı alt başlıklar ele alınmış olsa bile, –BDDK uygulamaları, Siber güvenlik stratejisi vb. gibi– bahsettiğimiz bu değil.

Ayrıca yabancı danışmanlık firmalarına Türkiye’nin Bilgi Toplum stratejileri yaptırma komedisinden bahsetmiyorum tabi ki.

Sadece son olarak Cumhurbaşkanlığı Digital Ofisin yayınladığı bir Bilgi Güvenliği genelgesi var. O da kamuyu ilgilendiriyor ve hep yazdığımız gibi nasıl uygulanabilecek bu kadar yıl sonra görmeye çalışıyoruz[5].

O zaman, devlet bu konuda geride kalmışsa, akıl edemiyorsa, belki de sivil toplum olarak “ortak akıl” yaratmak ve bu konuları düşünmek bizlere, bu yazıyı okuyan ve düşünenlere kalıyor. Başkalarından beklemeden, harekete geçmek lazım. Bu işleri nasılsa devlet yapıyor diyerek beklemenin sonuçlarını depremde haberleşemeyerek gördük.

Elimizdeki Araçlar Alınırsa, Yerine Kullanacaklarımız Hazır mı?

Yazının girişinde dediğimiz gibi felaket planlamasının farklı bir boyutuna hazır mıyız? Yani birileri “elinizdeki Azure’yi artık kullanamazsınız” derse, onun yerine aniden verilerinizi taşıyabileceğiniz ve süreçlerinizi kesinti olmadan devam ettirebileceğiniz hangi alternatif sistem var, biliyor musunuz?

Üstelik bu sadece dışını gördüğünüz ve kullandığınız yazılımla da ilgili değil. Bugün pek çok yerli firmanın geliştirdiği yerli ve milli olarak satılan yazılım var. Ama bazıları aslında Microsoft, Oracle ya da Adobe tarafından sunulan araçlar/platformlar kullanılarak geliştirilmiş durumda. Bunların durumunu da iyi anlamak lazım.

Çünkü olay istenmeyen bir safhaya gelirse, ortaya “Assesment Lists” denen ve her bir düzeyde kullanılanların tek tek incelendiği değerlendirmeler çıkıyor. Örneğin Alman firmalar bunu bir süredir kullanıyor. Kendileri Amerikan şirketi olmasalar da, ABD tarafından sıkıştırıldıklarından, onlar da aynı baskıyı bize uyguluyorlar. Bunu yaşadık[6].

Assesment (Değerlendirme) Listelerinden, Beyaz Listelere

Dünkü ADOBE haberi aslında ilk değil[1].. Sadece zamanlaması ilginçti. Daha önce de SAP ile ilgili bir haber yazmıştık [6]. Üstelik SAP olayında, satılması engellenen mallar bilişim değil, her türlü şey. Yani “bu yazılımla ticaret yapamazsınız” diyorlar. Bu aslında “satın aldığınız kamyon ile domates satamazsınız” demeye benziyor olsa da, farkı şu; yazılımın sürekliliği açısından bağımlısınız. Hele kapalı sistem ise, yazılımın ne yaptığını/yapacağını bile bilemezsiniz.

Yani Günümüzde, çok uluslu firmaların temsilcisi olan Türk firmaları zaten “Assesment (Değerlendirme) List” diye bilinen ve bilişim sistemindeki tabaka tabaka her düzeydeki (layer) araçların bu tür yaptırım uygulanan ülkelere yapılacak satışlarda kullanılıp, kullanılmadığını kontrol eden uyumluluk listelerini görmüş ve tabi olmuş durumda.

Bu nedenle belki bizim de bu ülkede, “beyaz liste (white list)” olarak adlandırabileceğimiz bir liste yapmamız lazım. Yani içinde yabancı araç (tool) olmayan bilişim varlıklarımızın listesini yapsak iyi olacak. Biz görünen liflere bakıyoruz ama aşağıda neler neler var.

En minimum şekilde hiçbir bağımlılık olmadan nelerimiz var, bir listelemek lazım. Daha sonra da eksikleri nasıl giderebiliriz, çalışmak lazım.

Dünkü haber sonrasında, bugün biz bir kaç kişi olarak, bir hızlı beyin fırtınası yaptık ve konuyu bir kaç basit ucundan yakalamaya çalıştık. Bunun derinleştirilmesi lazım ama ayaküstü konuştuğumuz 3-5 konu bile size olayı gösterecek.

Olayın hukuk tarafını konuşmadık. Çünkü gördüğünüz gibi, emir demiri kesiyor. Ama yarın bir hukukçu ile konuya başka açıdan yaklaşacağız.

Nereye Kadar?

Dediğimiz gibi, bugün ülkemizdeki firmaların bilgi işlem merkezlerine baktığınızda, yabancı donanım ve yabancı yazılımdan başka bir şey çok az gözüküyor. Yani Trump “ekonomiyi mahvedeceğim” sözleriyle, bırakın doları, faizi, bilmemneyi, bilişim ambargosu uygulasa, firmalarımızı ve dolayısıyla da ekonomimizi çalışamaz hale getirebilir.

Ha bu arada, Çinliler var, Huawei var, hemen oraya geçeriz diyebilirsiniz. Yani yağmurdan kaçıp, doluya tutulmak gibi. Bunu hesaba katarak mı yazıyoruz. Tabi ki hayır. Krizi ötelemek olur. Sistemlerde bağımlılıktan her zaman kaçmak, açık kaynak kullanmak, mobilite kazanmak lazım.

Bir yaptırım durumunda, ne sıkıntılar olur sadece bir kaç alt başlıkla örnekleyelim;

1. Yazılım Araçları

Yazılım sektöründen bir arkadaş ile görüştük. Şöyle dedi ;

“Bir iş akışı (workflow) aracı almışsın. Kodunu geliştirmişsin, derlemişsin (compile), sana exe üretmiş. Ama bu da ambargo kapsamında. Bunu İran’da gördük. Bu araçları yapan adamlar içine kendi imzalarını (signature) koyuyor. Sonrasında da bu imzaları tarayıp, bulan araçları var. Hemen buluyorlar. Sen şu Amerikan firmasının şu kodu ile bu kodu ortaya çıkarmışsın diyor ve sen yazmış olsan bile kodların ambargo kapsamına girmiş oluyor.”

2. Bulut Sistemleri

Ülkemizde ilk 500’e giren (ISO 500 ya da Fortune 500 ya da Capital 500) firmaların neredeyse % 80’i yabancı bulut kullanıyor. Mesela Microsoft Azure, Amazon. Bunlar üstelik çok cazip kampanyalarla firmaları çekmeye uğraştılar. Amazon “Try and Buy” dedi, Azure için 5.000 $’lar, 20.000 $’lar gibi krediler verildi. Türk Firmaları önceleri “güvenlik” korkusu duysa da, zaman içinde “ölçeklenebilir”, “yönetimi kolaylaştırır” diye buluta taşındılar.

Sonra ortalık “Büyük Veri (Big Data)”dan geçilmez oldu. Konferanslar, araştırmalar, seminerler ve tabi ki yeni satışlar. Aynen uyuşturucuya alıştırmak gibi. Önce kullanım ihtiyacı yaratmak. Sonra satmak yani.

Ancak günün sonunda, şimdi size “al verilerini çık” deseler. Acaba ne kadar sürede göç edersiniz (migration) ve bu ne kadar acısız olur?

Bulutistan ve BulutBroker’ın kurucu ortağı Orçun M. Özalp’e sorduk. Dedi ki;

“Bunu hep söylüyoruz. Ülkemizde dünya standartlarında veri merkezleri içinde alternatifli donanımlar üzerinde açık sistemler ile hizmet sunan (bizler gibi) bulut bilişim servis sağlayıcıları varken şirketlerimizin iş sürekliliğini risk edecek yapılar artık zorunlu bir tercih olmamalı.”

3- Gmail – Microsoft – Whatsapp vs

Bugün pek çok firma, kurumsal anlamda Microsoft’u ya da Google’un Gmail servislerini kullanıyor. Her 2si de, bağımlı. Yani kazara bir yaptırım gelse, elinizden mailleriniz ve haberleşme sisteminiz gider. Whatsapp filan da aynı durumda.

Ne Yapmalı?

Yukarıda biraz bahsettik ama yeniden toparlayalım (bunu bize yazılım sektöründen Ümit Atalay toparladı);

Türkiye 70 yıldan uzun süredir Batı Bloğunun bir parçası. Hemen çok büyük bir risk varsaymasak bile herhangi bir terslik, savaş ya da ambargo riskine karşı yerli/milli ve açık kaynak temelli yazılım çözümlerine yönelmemiz kaçınılmaz. En azından kritik olan alanlarda bu değerlendirmeyi yapmak zorundayız.

Ama önce Açık Kaynak (Open Source) ne kadar sağlam, oraya ne kadar sırtımızı dayayabiliriz ondan da emin olmamız lazım ? Bunu çok ileri düzeyde hukuk bilgisi olan uluslararası hukuk uzmanlarının yorumlaması lazım. Bu bir çalışma alanı, araştırılması gereken konu.

Eğer açık kaynağa bir sınırlama getirilemiyor ise, destek anlaşmanız varsa onu durdurabilirler, bu kısmen yönetilebilir bir durum. Ama önceki Github örneğinde verdiğimiz gibi, eğer Amerika’nın kontrolünde bir bulut servisi kullanılıyorsa. Yine iş zor, en azında başka bir yere yedeklemek lazım. Dolayısıyla bağımlı olmayan ve mobilitesi yüksek sistem kurulmalı.

Yaptırım için top yekün bir hazırlık ve eylem planı lazım, çok boyutlu ve geniş çaplı düşünülmeli. Önce olası bir yaptırım durumuna karşı ulusal bir kontrol listesi (check list) verip (yayıp), herkesin ‘ (Yaptırım Hazırlık Değerlendirmesi) Sanction Readiness Assesment’ testi yapmasını sağlamak lazım. Bir nevi ‘Yaptırım Güvenlik Notu (Sanction Vulnarability Scor)’ çıkarmak iyi olur. Kurum, kuruluş ve kişilerin olası yaptırımlara karşı kendi etki analizini tamamlayıp, kendi durumunu anlaması şart.

Bunun için kendi imkanlarımızla, hızla bir “değerlendirme aracı (assesment tool)’ da yazdırılabilir. (yaptırım geldiğinde ona kurban olmayacak bir araç olmalı Yani herkesin kendi değerlendirmesini yapması iyi olur.

İnşallah bunların hiçbiri olmayacak, çok uç noktaları konuşuyoruz. Ama olağanüstü durum planlaması böyle bir şey. Hep en kötüsünü düşünmek lazım, sıkışınca tedbir almak için zaman olmuyor.

Bunu bir dansa benzetebiliriz. Wikipedi, Koreografiyi şöyle tanımlıyor: ‘Adım tasarımcılığı, dans besteciliğidir. Kelime Yunancadan gelir. Antik Yunan tiyatrosunda koroda bulunan insanların hareketlerini belirleme şeklinde ortaya çıkmıştır. Daha sonra dans esnasında adım ve hareketleri belirleme şekline dönüşmüş ve bu şekilde yaygınlaşmıştır. Bu işi yapanlara koreograf denir’.

Bir meseleye, bir probleme, ulusal bir soruna baktığında onu bir sahne, orada olan bazı dekorlar, adım ve hareketleri belirlemesi gereken bazı insanlar görürsün. İşte meselelere böyle bakmamız lazım.

Burada kareografi ne olacak, ne olmalı ? Tabi ki daha önceki soru; bu sahnede kareograf var mı? Bunun için önce meta-kareografın (ların) ortaya çıkması lazım Sözlerimi rahmetli Mustafa Akgül Hocamın aklıma kazınmış her dem vurguladığı ‘ortak akıl yürütme’ vurgusu ile tamamlıyorum. En minimumda sektörümüzdeki her meslektaşımızın, her yönetici arkadaşımızın kendi risk değerlendirmesini yapması önemli.

Kaynak: turk-internet.com