Gazi Üniversitesi Bilgi Güvenliği Mühendisliği Anabilim Dalı Başkanı Prof. Dr. Mustafa Alkan, siber saldırılar karşısında ODTÜ’nün sorumluluğunun tartışma yaratacağına işaret ederek, bu nedenle üniversitenin “.tr” alan adları (Nic.tr) sisteminin tahsis yetkisini Bilgi Teknolojileri ve İletişim Kurumuna (BTK) devretmesinin doğru bir karar olacağını belirtti.
Bilgi Güvenliği Derneği Kurucu Başkanı da olan Alkan, AA muhabirine yaptığı açıklamada, 2000’den bu yana “.tr” uzantılı alan adları yönetiminde Ulaştırma Bakanlığı İnternet Kuruluna bağlı olarak çalışan, sektör temsilcilerinin yer aldığı “DNS Çalışma Grubu”nun politika ve kuralları belirleme, ODTÜ’nün de “.tr” uzantılı sitelerin tahsis işlevini yürüttüğünü aktardı.
5809 sayılı Elektronik Haberleşme Kanunu’nda, “İnternet alan adları tahsisini yapacak kurum veya kuruluşun tesbiti ile alan adı yönetimine ilişkin usul ve esaslar Bakanlık tarafından belirlenir” hükmünün yer aldığına işaret eden Alkan, bu kapsamda bakanlık tarafından alan adlarıyla ilgili düzenleme ve denetleme yetkisinin BTK’ya verildiğini dile getirdi. Alkan, “BTK internet alan adlarıyla ilgili bir dizi düzenleme yaptı. Bu çerçevede yetki BTK’da ancak hizmeti ODTÜ veriyor”
dedi.
Bu kapsamda BTK’nın TRABİS altyapısını ULAKBİM’e kurdurduğunu ancak ODTÜ’nün bu yetkiyi devretmek istemediği için bu altyapının kullanılamadığını belirten Alkan, BTK’nın yetkili kuruluş olarak “.tr” uzantılı internet sitelerinin tahsisi yetkisini de üstlenmek istemesinin “doğru” ve “yerinde” olduğuna işaret etti.
Alkan, şöyle konuştu:
“Siber saldırı gibi konular gündeme geldiğinde ODTÜ’yü bu konuda ne kadar sorumlu tutabilirsiniz ya da ODTÜ bu hukuki sorumluluğu ne kadar üstlenebilir? Bu, tartışma konusu. BTK’nın yasal, hukuki anlamda sorumluluğu var. Bu alanda ortaya çıkabilecek olumsuzluklardan BTK sorumlu olacağı için bu işi ciddi tutması gerekiyor. ‘Bu işi ODTÜ yapamıyor ya da yapamayacak’ anlamında da söylemiyorum. Ama hukuki sorumluluğu bulunan BTK’nın, altyapının işletilmesine ve tahsis yetkisine de sahip olması gerekiyor.”
14 Aralık’ta yaşanan siber saldırı gibi durumlar ve bundan sonra yaşanabilecek olası siber saldırı risklerine karşı BTK’nın çözüm üretmesinin bekleneceğini dile getiren Alkan, “Beklenen budur. Dolayısıyla yetkiye sahip olan BTK’nın tahsise de yetkili olması gerekir. Bu nedenle ODTÜ bu ısrarından vazgeçmeli ve Nic.tr sisteminin tahsis yetkisini BTK’ya devretmeli” dedi.
“Yetki BTK’da olsaydı teknik altyapı sorgulanabilirdi”
ODTÜ’nün teknik altyapısının siber saldırılara karşı yeterli olup olmadığı yönündeki tartışmaları da değerlendiren Alkan, üniversitedeki teknik altyapıyı bilmediğini ancak tahsis yetkisinin BTK’da olması halinde bunun sorgulanabileceğini söyledi. Alkan, “Yetki BTK’da olsaydı, bununla ilgili yeterince altyapının kurulup kurulmadığı, önlemin yeterince alınıp alınmadığını sorgulama imkanı vardı” değerlendirmesini yaptı.
“Saldırıların boyutu ve zararı büyüyecek”
ODTÜ’nün tahsis yetkisini “ticari kaygı” nedeniyle BTK’ya devretmediğini düşündüğünü dile getiren Alkan, şunları kaydetti:
“ODTÜ, biraz da bu inisiyatifi bırakmak istemiyor. Prestij için bırakmak istemiyor ama bu tarz bir siber saldırı durumu da prestij kaybına yol açabiliyor. ODTÜ aslında ciddi bir risk ve sorumluluk da alıyor. Bundan sonra alacağı riskler ve sorumluluklar daha da fazla olacaktır. Çünkü yakın gelecekte bu saldırıların boyutu da büyüyecek, vereceği zarar da büyüyecektir. Oysa hem bir an önce bu sorumluluktan kurtulmak için hem de bir risk almama adına bu yetkisini BTK’ya devretmesi en doğrusudur.”