Ulusal siber güvenliğin sağlanması ve bu konularda ülkemizin kendi ayakları üzerinde durmasını kendisine misyon edinmiş TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Araştırmalar Merkezi (BİLGEM), bilgi güvenliğinin sadece şifreleme ile sağlanamayacağı, bilişim sistemleri ve ağ seviyesindeki saldırıların da önemsenmesi gerektiğini ve bu alanda uzmanlaşmış bir bölüme ihtiyaç olduğu düşüncesini 1997 yılında hayata geçirdi. İlk yıllarında Ağ Güvenliği Grubu adı altında yürütülen çalışmalarda kapsamlı bir test laboratuvarı kuruldu. Laboratuvar ortamında Microsoft ve açık kaynak kodlu işletim sistemleri, bunların üzerinde çalışan e-posta sunucu, veritabanları gibi popüler uygulamalar, aktif ağ cihaz ve kutuları, saldırı tespit sistemleri gibi savunma ürünleri güvenlik bakış açısı ile değerlendirildi. Önemli bir bilgi birikimi sağlandı.
2001 yılında Genelkurmay Başkanlığı’nın da desteğiyle gerçekleştirilen Ortak Kriter Test Merkezi (OKTEM) kurulması projesi ile bu bilgi birikimi, uluslararası kabul gören standartların gerçeklenmesi amacıyla kullanıldı. Bilişim sistemi ürünlerinin belirli güvenlik kriterlerine göre değerlendirilip sağlamış olduğu güvenlik seviyelerinin belirlenmesi temel prensibine dayanan Ortak Kriter (Common Criteria - CC) değerlendirmeleri, ülkemiz laboratuvarlarında yapılabilir hale geldi. Laboratuvar sonraki yıllarda kripto cihazları için gerçeklenebilir olan COMSEC (Haberleşme Güvenliği) testlerini de kabiliyetleri arasına ekledi. 2006 yılından günümüze akıllı kart güvenliği ile ilgili çalışmalarını yoğunlaştırarak özellikle Yan Kanal Analizi (Side Channel Analysis) ve Tersine Mühendislik (Reverse Engineering) konularında uzmanlık kazandı. Bu alanda sahip olduğu altyapı ile dünyada önemli test merkezlerinden biri haline geldi.
2010 yılı içerisinde Ortak Kriterler belgelendirmesi konusunda meydana gelen bir gelişme ile sevindik. Bu konuda paydaş durumunda olan TÜBİTAK BİLGEM ve TSE’nin işbirliği ile, üretilen sertifikaların uluslararası tanınırlığa sahip olması için yapılan uzun ve zorlu yolculuk tamamlandı. Böylece Türkiye 14. “sertifika üreticisi ülke” olarak ilan edildi.
Ağ Güvenliği Grubu, kuruluşundan bugüne Türk Silahlı Kuvvetleri’nin bilişim sistemleri güvenliği alanındaki ihtiyaçlarını karşılamak üzere pek çok proje gerçekleştirdi. Güvenlik mimarilerinin tasarımı, sistemlerin güvenli kurulumu/ güvenlik testleri, risk analiz çalışmalarının gerçekleşmesi gibi alt başlıklar altında ele alınabilecek projelerle Ağ Güvenliği Grubu ülkemizin özellikle geleceği adına oldukça önemsenmesi gereken bilişim güvenliği alanında söz sahibi bir otorite konumuna geldi.
Eldeki bilgi birikiminin paylaşımı, ülke genelinde bilgi güvenliği konusundaki bilincin arttırılması amacıyla yüzünü diğer sektörlere de çeviren Ağ Güvenliği Grubu, kamu kurumları ve kritik özel sektör kurumları ile bazı projeler gerçekleştirdi. Güvenlik testleri ile başlayan, daha sonra Risk Analizi, Bilgi Güvenliği Yönetim Sistemi (BGYS ) kurulumu/ danışmanlığı ile devam eden bu çalışmalarda kurumların önemli kazanımları oldu. Bazı kamu kurumları, yönetim hiyerarşisinde etkin noktalara bilgi güvenliği sağlanmasına yönelik birimler entegre ederek konuyu en üst seviyede ele almaya gayret gösterdi.
Özel sektörde gerçekleştirilen projeler genellikle bankacılık, telekomünikasyon ve otomotiv alanlarında çalışan firmalarla yürütüldü. Bunlar; mali kazanımların arka planda kaldığı, eldeki bilgi birikiminin geliştirilmesi ve yeni teknolojilerden haberdar olabilme amacıyla yürütülen projelerdi. Öte yandan sektörlerin genel fotoğrafını çekme amaçlı hazırlanan analiz raporları da bu çalışmaların en somut meyvesi olarak ortaya kondu ve ilgili düzenleyici kurumlarla paylaşılarak ülkenin siber güvenlik kapasitesinin artırımına önemli katkıda bulunuldu. Müşterilerimizin proje çıktılarından memnun kalarak çok yüksek oranda yeni proje önerilerinde bulunmaları doğru yolda olduğumuzu göstermişti.
Devlet Planlama Teşkilatı Bilgi Toplumu Dairesi’nin 2005 yılında başlatmış olduğu Bilgi Toplumu Stratejisi isimli çalışma ülkemizde bilişim sistemleri adına önemli bir milat oldu. Çalışma, ülkemizin bilgi toplumu olması yolunda önemli mesafeler kat etmesi ve bilgi teknolojilerinden etkin olarak yararlanılmasını sağlamak amacıyla gerçekleştirildi. Çalışmanın bir maddesini de Bilgi Sistemleri Güvenlik Programı oluşturuyordu. TÜBİTAK BİLGEM Ağ Güvenliği Grubu tarafından yürütülen bu program ile başta kamu kurum ve kuruluşları olmak üzere ülkemizin bilgi sistem güvenliği ile ilgili ihtiyaçlarının karşılanması hedeflendi. Program kapsamında pek çok kamu kurumunda pilot çalışmalar gerçekleştirildi. Bu çalışmalar ile kurumların bilgi güvenliği problemlerini minimize etmek ve kurumsal bilgi güvenliği bilinci kazandırmak adına gayret gösterildi. Kritik kamu kurumlarında çalışan personele, üniversitelerde bilişim sistemlerinin yönetimiyle görevli kişilere eğitimler verildi. Bu projenin devamı niteliğinde değerlendirilebilecek Kamu Bilgi Güvenliği Projesi ile de kamu kurumu personeline yönelik eğitimler verildi.
Bilgi Sistemleri Güvenlik Programı’nın önemli hedeflerinden birisi de ülkemizde bilgisayar ortamlarında yaşanabilecek bilgi güvenliği olaylarına doğru ve sağlıklı müdahaleyi gerçekleştirmek adına gerekli altyapıyı oluşturmaktı. Bu amaçla yine TÜBİTAK BİLGEM bünyesinde Bilgisayar Olaylarına Müdahale ekibi (TR-BOME) kuruldu. TR-BOME kritik kamu kurumlarında BOME yapılanmasının kurulabilmesi için gerekli eğitim ve koordinasyon faaliyetlerini yürüttü. 2008 yılından bu yana gerçekleştirilen ulusal tatbikatlar ile kurumlara bilgi güvenliği sorunlarına hızla tepki gösterebilme kabiliyeti kazandırıldı.
Son yıllarda siber güvenliğin öne çıktığı alanlardan birisi de kritik altyapılar oldu. Kritik altyapıların giderek daha fazla akıllı sistemler ile yönetilir hale gelmesi bu alandaki riski de yükseltti. Siber Güvenlik Enstitüsü olarak bu riski önemseyerek Kalkınma Bakanlığı desteği ile bir çalışma başlattık ve ülke genelinde haberleşme, enerji, finans, su gibi kritik altyapıların bilişim sistemlerini analiz ederek muhtemel tehditleri ortaya koyan raporlar hazırladık. Bazı kritik altyapıların endüstriyel kontrol sistemlerine (SCADA) güvenlik testleri gerçekleştirdik. İlerleyen dönemde ilgili düzenleyici kurumlar ile eşgüdüm içerisinde gerekli önlemlerin alınmasına ve mevzuatın siber güvenlik odaklı güncellenmesine yönelik çalışmalarımıza devam edeceğiz.
Ülke içerisindeki çalışmalarımız devam ederken bir taraftan da bilgi birikimimizin vermiş olduğu özgüvenle yurtdışında benzer hizmetleri gerçekleştirme konusunda bazı gayretlerimiz oldu. Özellikle Bilgi Güvenliği Yönetim Sistemi, İş Sürekliliği gibi alanlarda başarıyla sonuçlanan projelere imza atıldı. Bazı NATO projelerinde gerçekleştirici firmalarla projelerin bilgi güvenliği gereklerinin yerine getirilmesi kapsamında ortaklıklar yapıldı. Türkiye’nin yakın ilişkiler içerisinde olduğu ülkelere bilgi güvenliğine yönelik eğitimler verildi. Bu çalışmaların önümüzdeki yıllarda artan sıklıkla devam edeceğini öngörüyoruz.
Yıllar geçtikçe kabuğunu kıran ve Türkiye’nin önde gelen bilişim sistemleri güvenliği merkezlerinden biri haline gelen Ağ Güvenliği Grubu ismiyle de bir değişim yaşadı, önce Bilişim Sistemleri Güvenliği Bölümü adını alan ekibimiz 2012 Temmuz ayından itibaren Siber güvenlik Enstitüsü (SGE) çatısı altında faaliyetlerini sürdürüyor. SGE halen TSK, kamu kurumları, özel sektörden firmalar ile gerek yurtiçi gerekse yurtdışında projeler gerçekleştiriyor. Her geçen yıl büyüyen, konusunda uzman kadrosu ile oldukça geniş bir spektrumda kurumların bilgi güvenliği ihtiyaçlarını karşılamaya gayret gösteriyor.
