Son yıllarda enerji sektöründe gözlemlediğimiz birçok hedef odaklı siber saldırı, operasyonel teknolojilerin (OT) siber tehditlere karşı aslında ne kadar kırılgan ve zayıf bir nokta olduğunu ortaya koyuyor. 2003 yılında Davis-Besse Nükleer Tesisi’nin kontrol odasına sızılması, 2010’daki Stuxnet saldırısı, 2000’de Maroochy SCADA Sistemi’ne yönelik gerçekleşen saldırılar, 2012’de Suudi Aramco şirket ağının çökertilmesi ve son olarak 2014’te Japonya’da Monju Nükleer Tesisi’ne karşı düzenlenen saldırılar belki de sadece buz dağının görünen bir yüzünü gösteriyor. Diğer taraftan, BlackEnergy, HAVEX ve Sandworm gibi çok daha karışık amaca yönelik saldırılar, doğrudan Endüstriyel Kontrol Sistemleri’ni hedef alıyor. Enerji sektöründe bu ve benzeri rapor edilmeyen saldırıların sayısı çok daha fazla olduğunu düşünüyorum. Buzdağının görünen örneklerinden yola çıkıldığında birçok saldırının aslında kurumun Bilgi Teknolojileri (IT) sistemlerine sızmakla başladığı ve saldırganların bu sisteme sızmasının ardından çok daha iyi korunduğu ya da izole olduğu düşünülen OT yani operasyonel tarafa ilerleyerek hedef odaklı zararları verdikleri görülüyor.
 
Yakın zamanda kritik altyapıların güvenliği konusunda enerji sektöründeki firmalar acil önlem ve eylem planlarını oluşturdular. Fakat burada önemli bir noktaya dikkat çekmek istiyorum, bu eylem planları ve stratejiler oluşturulsa dahi bunları uygulayacak nitelikli siber güvenlik personeli ne kamuda ne de özel sektörde maalesef yeteri sayıda bulunmuyor.
 
Sayın Başbakanımız Binali Yıldırım, 10. Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı’ndaki konuşmasında siber güvenlik alanındaki uzman ihtiyacına ilişkin çok önemli noktalara değindi. Sayın Başbakanımız konuşmasında ülkemizin geleceğe yönelik siber güvenlik uzmanı ihtiyacını hızlı bir şekilde giderilmesi için siber güvenlik eğitimlerinin daha ilkokul çağlarında başlayarak kazanılması gerektiğini vurguladı. Önümüzdeki 5 yıllık süreçte ülkemizin yaklaşık 30 bin siber güvenlik uzmanına ihtiyacımızın olduğunu belirtti. Siber güvenlik alanındaki tehditlerle baş edebilmek adına, küresel ölçekte 2019’a kadar uzman açığının 2 milyonu bulabileceği ifade ediliyor.
 
Bilgisayar alanında çok önemli isimlerin hepsinin ortak özelliği küçük yaşta programlama öğrenmiş olmalarıdır. Teknolojideki gelişmeler sistematik ve alternatif düşünme becerisini geliştiren, olaylar arasındaki bağlantıyı görmeyi sağlayan programlamayı hem eğlenceli hem de öğretici olarak çocuklara öğretebilmek artık mümkün hale gelmiştir. Özet olarak programlama öğrenmek ilkokul öğrencilerine; sistematik düşünme, problem çözebilme, olaylar arasındaki ilişkileri görebilme, yaratıcı düşünebilme gibi yetiler kazandırıyor.
 
Siber güvenlik farkındalığı,  sadece verilecek bir eğitim olarak algılanmamalı ve farkındalığa ilkokul seviyesinde başlanmalıdır. Bu konuda farkındalık oluşturmak ve ülkemizdeki insan gücü açığını kapatabilmek için ilkokuldan başlayarak kodlama dersinin yanında oyunlaştırma senaryoları ile zenginleştirilerek güvenli bilgisayar ve teknoloji kullanım farkındalığı dersleri konularak eğitim sistemine entegre edilmelidir.
 
Dünyada birçok kurum “ödül avcılığı” programlarına destek vererek sistemlerinde kurum dışındaki genç güvenlik araştırmacıları tarafından bulunan zafiyetleri maddi ve manevi ödüllendirmektedir. Ülkemizde “ödül avcılığı” kültürü gelişmeli ve daha fazla kurum bu gibi organizasyonlara destek vermelidir ve genç kuşakların siber güvenlik alanındaki faaliyetleri çekici hale getirilmelidir. Benzer şekilde “Bayrağı Yakala” (Capture The Flag-CTF) yarışmaları global’de çok popüler olmasına rağmen Türkiye’deki CTF ekipleri uluslararası arenada yarışma yapabilir duruma getirilmelidir.
 
Tüm bu konuların yanı sıra Siber Güvenlik Ar-Ge faaliyetlerine destek verilmesi gerekmektedir. Siber güvenlikte dışa bağımlılığı azaltmak için Ar-Ge faaliyetlerine de yeteri kadar önem verilerek yerli ve milli ürünlerin geliştirilmesi desteklenmelidir. Ar-Ge çalışmalarında önemli olan bilgi birikimi kazanmaktır. Dolayısıyla bu alanda kısa vadede günlük hamlelerle ilerleyemezsiniz. Ar-Ge çalışmaları kesintisiz olmalı, ekonomik koşullar ne olursa olsun şirketler Ar-Ge çalışmalarına devam etmeli ve devlet de yine her koşulda bu çalışmaları teşvik etmeye devam etmelidir. Bununla birlikte, Ar-Ge faaliyetinin sürdürülebilirliği için, Ar-Ge çalışmalarının ürüne dönüşmesi süreciyle devam etmesi, bu ürünlerin yerel ve yabancı pazarlarda satışı için de pazarlama/reklam desteği sağlanmalıdır.