— Türkiye, Tubitak-UEKAE ve BTK öncülüğünde ilk siber güvenlik tatbikatını 2008 yılında 8 kurumla gerçekleştirmiştir.

*** İlk tatbikat sadece UEKAE koordinatörlüğünde 8 kamu kurumu tarafından gerçekleştirildi. Yani gerçekleştirenler UEKAE ile beraber 8 kurum.

— Adına ulusal denilen bir programda Türkiye’de her firmadan konusunda uzman kişilerin katılması daha faydalı bir tatbikat olmasını sağlayacaktır.

*** 34 kurum/kuruluşun katıldığı bir tatbikat ulusal olsa gerek diye düşünüyorum. Her firmadan konusunda uzman kişileri tespit etmek bile ayrı bir iş. Bu ilk geniş katılımlı tatbikat ama ileride daha da geniş bir alana yayılabilir. Ama “her firmadan konusunda uzman kişilerin katılması” konusu bana biraz iddialı geldi.

— (2010 yılında Amerika ve 12 ülkenin ortak katılımıyla ilk uluslararası siber güvenlik tatbiktı gerçekleştirildi)

*** Benim bildiğim CyberStorm tatbikatı ilk uluslararası tatbikatlardan ve 2006-2008-2010 da yapıldı. APCERT Drill ise Asya Pasifik ülkelerinin tatbikatı ve 2005’den beri her yıl gerçekleştiriliyor. Ayrıca 2009 ve 2010’da NATO Cyber Defence Exercise bizim de katıldığımız siber güvenlik tatbikatları. Yani ilk uluslararası tatbikat 2010’da değil.

— tatbikat planında göze çarpan en temel eksiklik siber tatbikatın TUBTAK(UEKAE)-BTK özelinde gerçekleştiriliyor olması.

*** Tatbikat TÜBİTAK UEKAE-BTK özelinde değil. Bu kurumlar koordine eden kurumlar. Kamu ve özel sektörden 34 katılımcı kurum/kuruluş var. Tatbikat 34 katılımcı kurum/kuruluş ve TÜBİTAK-BTK tarafından gerçekleştiriliyor. Telekomünikasyondan sağlığa, silahlı kuvvetlerden finansa, hukuktan kolluk kuvvetlerine kadar farklı alanlardan katılımcıların olduğu bir tatbikat ulusal denilmeyi hak ediyor kanaatindeyim.

— Siber tatbikatlarda en önemli madde kurumların basit saldırılar yerine gerçek hayatta karşılarına çıkabilecek kompleks saldırıları gerçekleştirmeye ikna edilmelidir. Zira gerçek saldırılarsa kesinlikle zaman, mekan ve hedef gözetilmez. Tatbikatın gerçeğe yakın olması demek sonuçlarının daha verimli olması anlamına gelir.

*** Güzel bir öneri fakat tatbikat düzenleme faaliyetini yakından bilen biri olarak belirtmek isterim ki katılımcıları buna ikna etmek hiç de kolay değil. Öncelikle şunu belirtmekte fayda var, bu tatbikata katılmak gönüllülük esasıyla, yani bir kurum ben katılmıyorum diyebilir. Mesela davet ettiğimiz kurum/kuruluşlardan ben katılmak istemiyorum diyenler oldu. Tatbikata katılmayı isteyen kurumlar, kendisine saldırıların seçmeli değil de zorunlu olarak yapılacağını öğrendiğinde katılımcı sayısı daha da düşebilecektir. Ayrıca gerçek saldırılar için basit, sistemlere zarar vermeyecek saldırıları bile teklif edildiğinde ne olur ne olmaz diye kabul etmeyen çok sayıda kurum/kuruluş oldu. Kısacası yazıda önerilen türde saldırılar ancak tatbikatın kapsamı bir kurumu kapsıyorsa kurum üst yönetiminden alınacak izinle mümkün olabilecek şeyler. Nitekim en büyük siber tatbikatlardan olan CyberStorm’da bile gerçek sistemlere temas edilmiyor, her şey simülasyon ortamında yapılıyor. Ayrıca NATO tatbikatında da aynısı oldu.