Tarih : 22 Şubat 2009
Tübitak bir süre önce TR-CERT / TR-BOME (Bilgisayar Olaylarına Müdahale Ekibi) oluşturulması konusunda yetkilendirildi ve TR-BOME kuruldu. Kurulma aşamasında ve hemen sonrasında www.bilgiguvenligi.gov.tr adresinden Bilgi Güvenliği Kapısı yaşama geçirildi. Kurulma aşaması ile beraber TR-BOME için Bilgi Güvenliği Kapısı altında bir bölüm (Türkçe, İngilizce) açıldı ve bazı bilgileri paylaşıldı.
TR-BOME kurulduğu andan itibaren üretilen içerik olarak sadece www.bilgiguvenligi.gov.tr'den haberdarım, yazının bundan sonraki kısmını da ilgili site üzerinden ve e-posta listelerine gönderilen e-postalardan yola çıkarak hazırlıyorum. Yani bir başka kaynak var ise benim bilgim dahilinde değildir, dolayısıyla bilmeden yazmışımdır ve bu durum benim araştırma yapmamaktan kaynaklanan hatamdır.
TR-BOME için rekabet sıkıntısı, Tübitak'ın rekabet oyuncusu olmasından kaynaklanan sorunlar ve bağımsız kişilerin bu içeriğe destek vermesinin önündeki engelleri başka bir yazımda anlatmıştım. Bu nedenle aynı konuyu tekrar anlatmaya çalışmayacağım. Bu yazıda TR-BOME'nin yaptıklarını ve yapmadıklarını tartışmak istedim.
TR-BOME'nin web sayfasını incelediğimde "Hakkımızda" bölümünün, "Olay Bildirim Formu"nun ve Duyuru/Bildiri bölümlerinin içerik barındırdığını gördüm. Aklıma takılan aşağıdaki soruların cevaplarını site üzerinde bulamadım, yanılıyorsam yorumlarda bağlantı verebilirseniz sevinirim. Sıkça sorulan sorular bölümünde ise hiçbir soru/cevap görünmüyor, dolayısıyla orada da bir cevap bulamadım.
- TR-BOME'nin hakkımızda bölümünde gönüllülük esasına göre çalıştığı belirtiliyor. TR-BOME'nin kendi ekibinin varlığı, görev dağılımı ve ana görevlerde yer alan personel bilgisi açıklanmamış; kişi isimleri gizli ise sitenin içindeki yazılarda paylaşıldığını hatırlatırım.
- TR-BOME'nin gönüllülük esasında beklediği katkının ne olduğu ve bu konuda katkı sağlayanlara hangi imkanları sunabileceği belirtilmemiş. Konuların neler olduğu belirtilmeyince insanların nasıl gönüllü olması beklenir ? Konular kısmında ise siteye makale yazmak değil de araştırma yapmak, güvenlik standart belgeleri hazırlamak, etkinliklerde veya organizasyonda aktif katılım aklıma geliyor. Eğer bu konu açığa kavuşturulursa ikinci soru da katılım sağlanacak etkinliklerde yol-konaklama giderlerinin ve diğer masrafların karşılanıp karşılanmayacağıdır, birçok dernek bu tür katkıları sağlayarak gönüllülük esasındaki çalışmalara hız verebiliyor.
- TR-BOME'nin hakkımızda bölümünde belirttiği eğitim ve danışmanlık hizmetlerinin ücretsiz/ücretli olduğu belirtilmemiş. Sanırım soru sormadan bu konuda da cevap almak pek mümkün değil, kaldı ki kurum yöneticilerinin bu tür bilgilere dayanarak atacakları adımlar olacaktır ve birçoğu sadece sorular ile böyle bir bilgiyi alırken dahi vazgeçeceklerdir. TR-BOME, bilgi güvenliği konusunda hevesli ve çalışmaya hazır, sadece kendilerine rehber bekleyen bir müşteri/hedef kitle bekliyor ise çok yanılıyor. O insanlara birşeyler verebilmek için dahi çok fazla emek sarfetmek gerekir, zamanında çaba sarfettik tecrübe ile söylüyoruz.
- Eğitim ve danışmanlık hizmetlerinin koşulları, eğitmen/danışman bilgileri ve kurum tarafından sunulacak hizmetlerin ek şartları da belirtilmemiş.
- TR-BOME "Olay Bildirim Formu" hazırlamış, birçok açıdan çok güzel görünebilir ancak ortada "OLAY" tanımı dahi bulunmuyor. TR-BOME'ye göre "OLAY" tanımı nedir (Evet Incident yerine kullanılmış ama içinde ne var, mesela MSN çalınması kapsamda yer alıyor mu) ? Bildirim sonrasında atılacak adımlar nelerdir, insanlar neden böyle bir bildirimde bulunacaklar ?
- TR-BOME "OLAY" kavramı içine giren durumların sadece bildirim formu ile gelmesini mi beklemektedir ? Ulusal ve Uluslararası e-posta listeleri, güvenlik siteleri, günlükler ve basın gibi kaynaklarda takip ediliyor ve görev/ihbar kabul ediliyor mu ? Sonrasında atacağı adımlar ve aşamaların neler olduğu listelenmemiş.
- Kurulma işlemi sonrasında yapılan çalışmalar ile ilgili bir bilgilendirme raporu veya bildiri göremedim. Siteyi incelediğimde gördüğüm ise güvenlik sitelerinde olduğu gibi belge, makale ve klavuz hazırlamakla kısıtlı çalışmalar olduğu. Bazı çalışmaların olduğunu ise üstü kapalı bildirimler ile öğrendim, ancak gördüğüm kadarıyla şeffaflıktan sınıfta kalıyorlar.
- Olaya müdahale sırasında ve sonrasında elde edilen bilgileri ne tür bir gizlilik ile koruyorlar. Gizlilik prensipleri bölümünde "Bilgiler Güvenlik Politikasına Uygun Korunmaktadır" denmiş, lakin ortada bir güvenlik politikası varmı ? ilgilendiren bölümü paylaşılmış mı ?
- Tübitak'ın ağ güvenliği hizmeti satan/sunan bölümlerinin TR-BOME verilerine erişim imkanı bulunmaktamıdır ? Gizlilik prensipleri kurum içi gizliliği mi bölüm içi gizliliği mi kastetmektedir ?
TR-BOME ile ilgili en önemli eleştirim ise devlet koruma kalkanına sahip tüm kurumlar gibi sorgulamaya ve şeffaflığa sonuna kadar kapalı olmalarıdır. Sitede yapılan çalışmalar, projeler veya araştırma raporlarına dair hiçbir şey bulunmuyor. Yukarıda ki sorular konusunda dahi ("Bilgi Edinme" bölümü var oradan girerseniz cevaplarız) yaklaşımını benimsemeleri bu durumun en somut göstergesi. Benzer bir organizasyon "ÖZEL" bir kuruma verilseydi şu ana kadar nasıl bir e-posta bombardımanı, araştırma raporları, çalışmalar ve içerik görürdük hayal edin.
TR-BOME ile ilgili gördüğüm tek basın bağlantısını da aşağıda paylaşıyorum. TR-BOME'nin kurulduğu, araştırmaları ve diğer çalışmalarının değil; sadece bir anti-virüs firmasından farksız olarak Virüs uyarısı göndermesi nasıl karşılanmalıdır ? Sanırım hepimiz bu tür duyuruların kendilerinin görevi olduğu konusunda hem fikiriz, bence garip olan TR-BOME'nin başka bir haberinin olmamasıdır.
TÜBİTAK'tan Virüs Uyarısı
http://www.hurriyet.com.tr/teknoloji/10882829.asp
Fatih Özavcı
Bilgi Güvenliği Danışmanı
