Romanya seçimlerine siber saldırı şoku

Bir sabah uyandığınızda, haber manşetlerinde “Seçimler iptal edildi” yazısını görüyorsunuz. Sandık başına gidip oy kullanmışsınız, belki de ailenizle, dostlarınızla siyasi tartışmalar yapmışsınız. O büyük günün sonunda ise birileri, sizin iradenizi yerle bir eden bir tuşa basmış.

Romanya halkı, tam olarak böyle bir kâbusun içine düştü.

Siber saldırılar, savaşların yeni cephesi artık. Eskiden sınır boylarında, hendeklerde, cephe hatlarında kazanılırdı savaşlar. Şimdi klavyelerle, ekranların arkasındaki görünmez ellerle mücadele ediliyor.

85 binden fazla saldırı... Dile kolay. Sıradan bir web sitesine beş-on saldırı olduğunda bile panikleyen sistem yöneticilerini düşünün. Şimdi o sayıyı 85 binle çarpın. Üstelik saldırılar herhangi bir kuruma değil, ülkenin seçim altyapısına yapıldı. Sandık güvenliği dedik, dijitalleşme dedik, modern seçim sistemleri kurduk ama görünüşe bakılırsa, o sistemlerin kalesi çoktan delik deşik edilmiş.

Dikkat çekici olan sadece saldırıların yoğunluğu değil, arkasındaki gölge. Romanya İstihbarat Servisi (SRI) saldırıların izini sürdü ve karşısına, sürpriz olmayan bir isim çıktı: Rusya. İster komplo teorisi deyin, ister diplomatik suçlama, fakat bu hikâyenin Rusya ayağını görmezden gelmek mümkün değil.

Nitekim, saldırıların bir kısmı Rusya yanlısı başkan adayı Călin Georgescu’nin lehine gelişmiş. Bu bir siber saldırıdan daha fazlası demek. Doğrudan siyasi bir operasyon. Dijital bir savaşın ortasındayız ve bu savaşın tankları, topları, askerleri yok. Burada tek bir asker var, veri.

İşin düşündürücü tarafı, bu saldırılarla yalnızca bir seçim değil, bir milletin geleceğe olan inancı da hedef alınıyor. Seçimler, halkın iradesinin yansımasıdır. Bu irade kırıldığında, o toplumun demokrasiye olan güveni de zedelenir.

İnsanların "Zaten kimin kazandığı önceden belli" cümlesini sarf etmeye başlaması bile bir zaferdir saldırganlar için. "Nasılsa birileri o sonuçları değiştirecek" diyen bir halk, demokratik düzenden umudunu kesmiş demektir. Bir ülkeyi savaşla işgal etmekten bile daha tehlikelidir. Toprak işgal edilirse geri alırsınız ama bir halkın inancını kaybettiğinizde, onu yeniden kazanmak yıllar alır.

Peki, siber saldırılar sadece Romanya'nın sorunu mu? Kesinlikle hayır. Bir ülke meselesi olmaktan çoktan çıktı. Romanya'da olanlar, dünyanın geri kalanına da bir uyarıdır. Çünkü bu yöntem tuttuğunda, başka ülkelerde de tekrarlanacaktır.

“Dijital demokrasi” dediğimiz şeyin, bu kadar kırılgan olduğunu görmek ne kadar acı. Teknolojinin nimetlerinden faydalanalım derken, yeni bir Pandora'nın Kutusu’nu açmış olduk. Seçimlerin güvenliği konusunda dünya genelinde "blockchain teknolojisi" gibi çözümler tartışılıyordu ama bu olay gösterdi ki ne sistem kurarsanız kurun, saldırılar asla durmayacak.

Bir de şu mesele var: Saldırıların boyutunu tam olarak anlayabildik mi? Bir seçim iptal edildi, tamam. Acaba gerçekten neler çalındı? Sorusunu ciddi ciddi düşünmek lazım. Yalnızca seçim verileri mi, yoksa halkın kişisel verileri mi? Oy kullanma kayıtları mı, yoksa vatandaşların kimlik bilgileri mi? Bu tür saldırılarda genellikle arkada kalan bir "gizli ganimet" olur. Erişim sağlanan veriler, karanlık ağda, gizli forumlarda satılmaya başlanmış bile olabilir. Nitekim, raporlara göre hacker forumlarında erişim bilgilerinin paylaşıldığı söyleniyor. Sadece Romanya'da değil, tüm Avrupa’da yankılanacak bir haber.

Romanya seçim sisteminin (Autoritatea Electorală Permanentă - AEP) IT altyapısı ciddi derecede zarar görmüş.

Peki ya ikinci tur? Kâbus bitmedi. Seçim tekrar edilecekmiş, ne güzel. İlk turda 85 bin saldırıya maruz kalmış bir sistemin, ikinci turda güvenli olacağına kim inanır? Diyelim ki daha güçlü güvenlik duvarları kurdunuz, daha iyi şifreleme teknikleri kullandınız.

Unutmayın ki, saldırganlar da boş durmuyor. Onlar da ikinci tura hazırlanıyor. İlk turdaki hatalarından ders çıkarıp, ikinci turda daha akıllıca hamleler yapacaklardır. Bir satranç maçı değil, sürekli devam eden bir savaş. Oyunu bitirmek yok. Her hamleye karşı bir hamle var.

Bana sorarsanız, buradan çıkarılacak ders çok net: Dijitalleşme güzel şey ama asla tam anlamıyla güvenli değil. Her yeni sistem, beraberinde yeni açıklar getiriyor. Bu yüzden "güvenli sistem" diye bir şey yoktur, "şu anlık güvenli sistem" vardır.

Yarın ne olacağını kimse bilemez. Belki de gelecekte dijital seçim sistemlerinden geri dönüp, "eski usul kâğıt oy pusulalarına" bile geri dönülebilir. Çünkü her şey dijital olunca, tüm savaşlar da dijital oluyor.

Asıl tehlike ne biliyor musunuz? Olayı sıradanlaştırmak. İnsanlar, bu tür haberleri o kadar sık duymaya başladılar ki artık kimse "seçimlere siber saldırı olmuş" dendiğinde irkilmiyor.

Siber saldırıların artık günlük haberler hâline gelmesi, saldırganların zaferidir. İnsanlar kanıksadıkça, demokrasinin kalesinden bir tuğla daha eksiliyor. Romanya’nın kaybı, hepimizin kaybıdır!

***

Not: “Siber İstihbarat / Kapımızdaki Siber Tehlike” tüm kitapçılarda!

Yazarın Diğer Yazıları