İş Dünyasında İstihbarata Karşı Koyma
-
- 28 Mart 2025
Bilginiz sizin gücünüzdür; fakat onu koruyamazsanız, başkalarının cephanesine dönüşebilir!
Uzunca bir zamandır bilginin “güç” olarak değerlendirildiği bir çağda yaşıyoruz. Fakat bilginin “nasıl kullanıldığı” sorusundan bağımsız olarak yapılan bu değerlendirme büyük risk ve zafiyetlerin ıskalanmasına sebep olabilmektedir. Richard Feynman’ın “Nasıl kullanacağınızı bilmiyorsanız ne kadar kaynağınızın olduğunun önemi yok…” minvalindeki “bilmenin (bilginin)” kritikliğini vurgulayan sözüne katılmakla beraber, madalyonun öteki yüzünü çevirerek, gücünüz olan “bilginizi” aleyhinizde kullanabilecek rakip veya düşmanlarınızdan koruyamadığınız takdirde ne kadar “ölümcül” risklerle karşı karşıya kalabileceğinize işaret etmek istiyorum. Bu makale, istihbaratın özel sektördeki yansımalarını ele alarak, iş dünyasında istihbarata karşı koyma (business counterintelligence) disiplininin önemine dikkat çekmeyi amaçlamaktadır.
İSTİHBARATIN İŞ DÜNYASINDAKİ YERİ
Batı’da iş dünyasında istihbaratın önemi erken fark edilmiş ve “rekabetçi istihbarat”, “ticari istihbarat” ve “kurumsal istihbarat” gibi kavramlar geliştirilmiştir. Ancak istihbari yöntemler her zaman etik ve yasal sınırlar içinde kalmaz; rüşvet, şantaj ve ideolojik istismar gibi yollarla gerçekleştirilen casusluk faaliyetleri iş dünyasında büyük tehditler oluşturmaktadır. H. E. Rowan, 1981’de, Protective Security (A South African Approach) adlı kitabında, endüstriyel casusluğun gerçek bir tehlike olduğunu vurgulamış ve korumasız şirketlerin büyük riskler taşıdığını ifade etmiştir. Ancak birçok şirket hala bu tehdidin farkında değildir. Güvenlik denildiğinde akla sadece bekçiler, kamera sistemleri ve siber güvenlik önlemleri gelmektedir. Oysa insan faktörünü hedef alan daha sofistike istihbarat faaliyetleri karşısında bu önlemler yetersiz kalmaktadır.
Açık kaynaklarda ticari ve endüstriyel nitelikli casusluk vakalarına rastlamak mümkündür. Ancak gerçekten başarıya ulaşan vakalar genellikle gizli kaldığından, kamuoyuna yansıyan örnekler ya başarısızlıkla sonuçlanmış ya da sponsorları tarafından propaganda amacıyla ifşa edilmiştir. Cari ve başarılı faaliyetler, doğasındaki gizlilik icabı bizim bilemediklerimiz veya açık kaynaklara yansımayanlardır. Bu noktada, yakın tarihte bir Türk teknoloji şirketinin uzun mesailer ve büyük paralar sarf ettiği Ar-Ge projesinin Avrupalı bir şirket tarafından çalındığına dair bir sohbete kulak misafiri olduğumu itiraf etmeliyim. Zannedilmesin ki, bu tehditler uzaklarda, Vahşi Batı’da veya Uzak Doğu’da bir yerlerde bulunuyor! Milli Teknoloji Hamlesi gibi bir çabanız varsa, birileri, sizde dikkate ve gizlice kurcalanmaya değer bir şeyler bulacaktır. Teknoloji, savunma, finans, yazılım ve enerji sektörleri ticari casusluğun en çok hedef aldığı alanlardır.
Nitekim Silikon Vadisi ve benzeri yerlerdeki firmalar bilgi varlıklarının (intellectual property) güvenliği konusunda son derece hassastır. Fakat herhangi bir şirket de rakipleri için değerli bilgiye sahipse casusluk hedefi olabilir. Şirketler rakipleri hakkında bilgi toplamaya her zaman ilgi duymuşlardır. Ancak bilgi toplamak ile istihbarat üretmek arasında önemli bir fark vardır. İstihbarat, bilgiyi işleyerek daha yüksek bir niteliğe ulaştıran sistematik bir süreçtir. Günümüzde büyük şirketler, rakipleri hakkında “eyleme geçirilebilir bilgi” edinmeye giderek daha fazla bağımlı hale gelmektedir. Bu süreç bazen yasa dışı bilgi toplama (casusluk) yöntemlerini de içerebilmektedir.
İSTİHBARATA KARŞI KOYMA: NEDEN GEREKLİ?
İstihbarat faaliyetleri yasal veya yasa dışı yöntemlerle bilgi toplayabilir. İstihbarata karşı koyma ise bu faaliyetlere karşı alınan sistematik önlemleri içerir ve casusluk faaliyetlerinde en önemli unsur insandır. Siber güvenlik önlemleriyle dijital ortamda bilgi güvenliği sağlanabilir, ancak gerçek dünyada casusluk faaliyetlerini tespit etmek için hızlı, dikkatli ve eğitimli bir kurumsal refleks (kapasite) gereklidir. En kritik bilgiler genellikle zihinlerde, insanlar üzerinde (ustalık bilgisi) saklanır ve manipülasyon yoluyla elde edilebilirler. Casuslar, siber veya teknik yöntemlerin ulaşamayacağı noktalarda bilgi edinmeyi başarabilirler ve stratejik bir sorunun doğrudan yanıtını bulurlar: Bir soru, bir cevap. Dolayısıyla, şirketinizde en kritik bilgilerin korunması için sadece teknik güvenlik önlemleri yeterli olmayabilir; insan faktörüne odaklanan koruyucu güvenlik tedbirleri de alınmalıdır.
ISO27001 Bilgi Güvenliği Standardı, şirketlerin bilgi güvenliği yaklaşımını modernize etme adına önemli bir adımdır. Ancak fazlasıyla bilişim odaklıdır ve insan istihbaratına karşı koyamayabilir. Çünkü hacker’lar bilgisayarları (bilişim sistemlerini) hack’ler, casuslar ve istihbaratçılar insanları hack’ler! Bu nedenle, çalışanların farkındalığını artıran ve şüpheli ilişkileri gözlemleyen bir kurumsal refleks geliştirilmelidir.
İSTİHBARATA KARŞI KOYMA STRATEJİLERİ
İstihbarata karşı koyma, şirketlerin ticari sırlarını korumak, yetkisiz kişilerin bilgiye erişmesini engellemek ve rakiplerin bilgi toplama çabalarını zorlaştırmak için geliştirdiği stratejiler bütünüdür. Bu sürecin hem pasif hem de aktif bileşenleri vardır: n Pasif bileşenler, rakiplerin bilgi edinmesini önlemeye yönelik önlemleri içerir: farkındalık eğitimleri, teknik gözetime karşı tedbirler, güvenlik politikaları, sızma testleri vb. n Aktif bileşenler, bir tehdit tespit edildikten sonra harekete geçmeyi içerir: hukuki işlemler, rakibi yanıltma ve proaktif güvenlik tedbirleri gibi. Ayrıca, henüz bir tehdit ortaya çıkmadan rakiplerin niyetlerini ve yeteneklerini analiz etmek de istihbarata karşı koyma süreçlerinin bir parçasıdır.
EĞİTİM VE FARKINDALIK ŞARTI
İnsandaki zafiyetlerin çoğu eğitimle giderilebilirken, ilginçtir ki, ülkemizde kurumsal güvenlikle ilgili eğitimlere ve farkındalık çalışmalarına yeteri kadar önem verilmemekte ve şirketler bu çalışmalar için ayıracakları zamanı ve finansmanı fuzuli görebilmektedir. Aslında bunun nedeni bu makalede bahsedilen konulara yabancılıktır. Fuzuli gördükleri (nispeten düşük) maliyetler bahane edilerek maruz kalınan “farkında olmayış hali” yüzünden, geçmişte IBM’in çok gizli ve kelimenin tam anlamıyla “milyarlarca dolarlık” Adirondack projesinin Hitachi tarafından bir IBM çalışanına 650.000 $ ödenerek çalınması örneğindeki gibi, kendileri açısından “ölümcül” olabilecek finansal riskleri üstlenme cesaretini (!) gösterebilmektedirler. Şirketlerin böyle büyük finansal kayıplar yaşamaması için farkındalık geliştirmek kritik öneme sahiptir.
Öte yandan, bir anekdot olarak vurgulamalıyım ki, şirketinize yönelen istihbari tehditler her zaman amatör ve kolayca baş edebileceğiniz alt seviye çalışanlar üzerinden gelmeyebilir. Ticari ve endüstriyel casusluk dünyasında asıl hedefler “yüksek profil” olarak nitelendirilen yönetim kurulu üyeleri, genel müdürler, tecrübeli mühendisler vb. kişilerdir. Hal böyle iken, elbette, bu kişilerden bilgi temin etmeye çalışanlar da benzer statüdedirler veya rol icabı bu statüleri oynayabilecek düzeyde eğitimli, uzman ve teatral yeteneklerdir. Fransız gizli servisi DGSE’nin eski direktörü Claude Silberzahn’ın daha 1996 yılında ne dediğine bakınız: “Fransa’da devletin görevi sadece yasa yapmak değil, aynı zamanda ticaret yapmaktır. Fransa devleti onlarca yıl boyunca sol eliyle piyasaları idare ederken, sağ eliyle de kendi ticarethaneleri için istihbarat edinmek üzere gizli servisleri kullanmıştır.” Evet, bu tür yapılara mensup tehditlerle karşılaşmanız son derece muhtemel olduğu gibi, bu tehditleri tanımlayabilmeniz için eğitim ve farkındalık şarttır.
Sonuç olarak, ülkemizde özellikle teknoparklarda ve bilgi/ teknoloji yoğun çalışan sektörlerde, gittikçe daha çok kızışan günümüz rekabet ortamında kurumsal casuslukla mücadele kapasitesi oluşturmaya ihtiyaç vardır. Uluslararası ticaret ve teknoloji savaşları artarken, milli güç unsurları arasında sayılan ekonomik ve teknolojik gücümüzü koruyabilmemiz için yeni güvenlik yaklaşımları (Endüstriyel Güvenlik Hamlesi), yapısal (Milli Teknoloji Güvenliği Başkanlığı) ve hukuki (Ticari Sırları Koruma Kanunu veya Ekonomik Casusluk Kanunu gibi) düzenlemeler üzerine çalışılmalıdır. Yalnızca geleneksel sistemlere güvenmek artık yetersizdir. Şirketlerin istihbarata karşı koyma disiplinini benimseyerek bütüncül ve daha derin bir güvenlik anlayışı geliştirmeleri hayati öneme sahiptir.