Enerjiden finansa, ulaşımdan sağlığa kadar kritik altyapıların büyük bölümü dijital sistemlere bağımlı olduğu için, bu alandaki her zafiyet stratejik bir risk anlamına geliyor. Bu çerçevede, stratejik danışmanlık yapan Furkan Erdoğan ile Türkiye’nin siber güvenlik fotoğrafını ve yapılması gerekenleri konuştuk.

“Amacım geleceğin risklerine dayanıklı sistemler kurmak”

Soru: Öncelikle sizi ve çalışma alanlarınızı tanıyabilir miyiz?

Cevap: Stratejik danışman olarak, teknoloji yatırımlarının güvenlik perspektifinden değerlendirilmesi ve sürdürülebilir siber güvenlik politikalarının oluşturulmasına destek veriyorum. Özellikle kurumların dijital dönüşüm projelerini, veri bütünlüğü ve operasyonel süreklilik odağında daha güvenli hale getirmeye odaklanıyorum. Amacım, sadece bugünün tehditlerine değil, önümüzdeki 5–10 yılın risklerine karşı da dayanıklı sistemler inşa etmelerine yardımcı olmak.

“Siber alan askersiz savaşın yeni cephesi”

Soru: Ülkesel ölçekte siber güvenlik neden bu kadar kritik hale geldi?

Cevap: Çünkü siber alan, artık klasik askeri ve diplomatik araçları tamamlayan yeni bir cephe. Enerji şebekeleri, bankacılık sistemleri, ulaştırma ağları, telekom altyapısı gibi kritik alanlar kesintiye uğradığında, bu sadece teknik bir arıza değil; ekonomik istikrarı, toplumsal düzeni ve hatta fiziki güvenliği etkileyen bir kriz demek. Bugün devletler arası gerilimlerde siber saldırıların "yumuşak güç" ve "askersiz savaş" aracı olarak kullanıldığını net biçimde görüyoruz.

Türkiye’nin güçlü ve zayıf tarafları

Soru: Türkiye’nin ülkesel düzeyde siber güvenlik ve siber istihbarat yaklaşımını nasıl görüyorsunuz?

Cevap: Strateji dokümanları, SOME yapılanması ve ulusal siber olay müdahale merkezleri gibi adımlar önemli bir çerçeve oluşturdu. Ancak küresel ölçekte bakıldığında, hâlâ koordinasyon, kurumlar arası görev paylaşımı, nitelikli insan kaynağı ve özel sektörle gerçek zamanlı istihbarat paylaşımı konularında güçlendirilmesi gereken bir tablo var. Kısacası kâğıt üzerindeki çerçevenin sahadaki operasyonel olgunlukla tam örtüşmesi gerekiyor.

Kritik altyapılar: Hangi sektörler öne çıkıyor?

Soru: Türkiye açısından hangi sektörler "öncelikli kritik altyapı" olarak görülmeli?

Cevap: Enerji sektörü her zaman ilk sırada; çünkü diğer tüm sektörler onun üzerine inşa edilmiş durumda. Elektrik üretimi, iletimi, dağıtımı ile doğal gaz ve petrol altyapısında yaşanacak siber bir kesinti, zincirleme etki yaratabilir. İkinci sırada finans ve bankacılık; ödeme sistemleri, borsalar, sigorta altyapısı ekonominin kalbi konumunda. Üçüncü olarak elektronik haberleşme ve telekom sektörü geliyor; internet ve mobil haberleşmenin kesilmesi hem kamu yönetimini hem vatandaşları doğrudan etkiliyor. Bunları ulaştırma/lojistik, su yönetimi, sağlık hizmetleri, savunma sanayii ve temel kamu hizmetleri izlemeli.

"Risk analizi yapılmayan altyapı, korunamaz"

Soru: Kritik altyapılar özelinde öncelikli savunma adımları neler olmalı?

Cevap: En temelde iki eksen var: doğru risk analizi ve süreklilik odaklı mimari. Yıllık ya da daha sık yapılan siber risk analizleri, varlık envanteri ve iş etki analizleri olmadan, alınan hiçbir teknik önlem tam hedefini bulmaz. Teknik tarafta ağ segmentasyonu, güçlü erişim ve yetki yönetimi, "zerotrust" yaklaşımı, OT/IT ayrımı, sürekli loglama ve izleme gibi kontroller artık asgari seviye olarak düşünülmeli. Kurumsal açıdan ise, yazılı olay müdahale planları ve düzenli tatbikatlar, karar vericilerin de bu sürece aktif katılımı kritik.

Hukuki çerçeve: "Yasa uyum değil, rekabet avantajı da sağlamalı"

Soru: Yasal çerçeve açısından Türkiye’nin öncelikli düzenleme ihtiyacı nedir?

Cevap: Yeni siber güvenlik kanunu önemli bir başlangıç olsa da, kritik altyapılar için sektör bazlı ikincil mevzuatın netleşmesi gerekiyor. Hangi sektörün hangi asgari teknik kontrolleri uygulayacağı, hangi sıklıkta bağımsız denetime tabi olacağı ve siber olayları hangi süre içinde bildirmek zorunda olduğu açık ve denetlenebilir olmalı. Ayrıca siber güvenlik ürün ve hizmet sağlayıcıları için sertifikasyon çerçevesi ve siber güvenlik uzmanlarının yetkinlik standartları da yasal zemine kavuşmalı. Uzun vadede bu çerçeve, sadece bir uyum baskısı değil, uluslararası pazarda rekabet avantajı sağlayan bir kalite standardı haline getirilebilir.

"Siber güvenlik bir maliyet değil, sigorta poliçesidir"

Soru: Son olarak, karar vericilere ve kurum yöneticilerine mesajınız ne olurdu?

Cevap: Siber güvenliğe hâlâ çoğu zaman sadece bir maliyet kalemi gibi bakılıyor. Oysa bu, kurumun itibarını, operasyonel sürekliliğini ve hukuki sorumluluklarını doğrudan etkileyen bir sigorta poliçesi gibi düşünülmeli. Bugün ertelenen her yatırım, yarın daha büyük finansal, hukuki ve itibari maliyetlerle geri dönebiliyor. Ülke ölçeğinde de kurum ölçeğinde de artık kısa vadeli "asgarî uyum" bakış açısından, orta–uzun vadeli "dayanıklılık" ve "sürdürülebilirlik" bakış açısına geçmemiz şart.