Küresel yazılım krizinde ne oldu? Microsoft ve CrowdStrike vakasında son durum ne? Kriz Türkiye’ye ne söylüyor? Yerli yazılım artık hiç olmadığı kadar önemli.
Geçtiğimiz günlerde, dijital dünyayı derinden sarsan bir yazılım krizi yaşandı. 19 Temmuz 2024’te ortaya çıkan bu kriz, dünya çapında birçok sektörü etkileyerek büyük operasyonel aksaklıklara neden oldu. Microsoft’un bulut bilişim platformu Azure ve siber güvenlik firması CrowdStrike’ın ortak geliştirdiği bir güvenlik güncellemesi, küresel ölçekte yaygın kesintilere yol açtı. Bu olay, birçok ülkenin kritik altyapılarını ve büyük şirketlerini etkiledi, bazı ülkelerde hayatın normal akışını sekteye uğrattı.
Kriz, hava yolları başta olmak üzere, finans, e-ticaret, sağlık ve telekomünikasyon sektörlerinde büyük çapta sorunlara yol açtı. Birçok hava yolu şirketleri kritik işlemleri için Azure altyapısına bağımlı olduğundan, rezervasyon, biletleme ve uçuş takibi gibi işlemlerde aksaklıklar yaşandı. Yolcuların uçuş bilgileri alınamadı, bilet satın alma ve check-in süreçleri aksadı. Bu durum uçuş gecikmeleri ve iptallere neden oldu. Bankacılık ve finans sektörü bulut hizmetlerindeki aksaklıklar yüzünden işlemlerinde problemler yaşadı ve bazı hizmetler geçici olarak durdu. Hastane bilgi sistemlerine ve hasta kayıtlarına erişilemedi.
Kriz Neden ve Nasıl Gerçekleşti?
Küresel yazılım krizi, Microsoft’un bulut bilişim platformu Azure ve siber güvenlik firması CrowdStrike’ın iş birliğiyle yayınlanan bir güvenlik güncellemesinin ardından başladı. Bu iki teknoloji şirketi tarafından sunulan güncelleme, dünya genelinde kullanılan çeşitli veri merkezlerinde ve sunucu altyapılarında uygulandı. Güncellemenin amacı, güvenlik açıklarını kapatmak ve sistem performansını artırmaktı. Ancak, bu güncelleme beklenmedik şekilde büyük çaplı sistem uyumsuzluklarına ve operasyonel aksaklıklara yol açtı.
Güncellemenin dağıtımı sırasında, birçok sistemde uyumsuzluklar ortaya çıktı. Özellikle veri tabanları ve sunucular, güncelleme sonrası veri bütünlüğünü ve erişilebilirliğini koruyamaz hale geldi. Bu durum, sistemlerin veri tabanı yönetimi ve sunucu entegrasyonu konusunda ciddi sorunlarla karşılaşmasına neden oldu. Güvenlik güncellemesi, bazı sistemlerde kritik süreçlerin durmasına veya yavaşlamasına yol açtı.
Dünyada en çok ABD’yi vurdu
Küresel yazılım krizinin etkileri, dünya genelinde birçok ülkede hem kamu hem de özel sektörde hissedildi.
Amerika Birleşik Devletleri, bu krizden en fazla etkilenen ülke oldu. Ülkede birçok büyük finans kurumu, bankacılık sistemlerinde yaşanan aksaklıklar nedeniyle müşteri işlemlerini gerçekleştirmekte zorlandı. Dijital bankacılık ve ödeme sistemleri erişilmez hale geldi. Bunun yanı sıra, havayolu şirketleri de uçuş yönetim sistemlerindeki sorunlar nedeniyle birçok uçuşu iptal etmek zorunda kaldı. Özellikle yoğun yolcu trafiğine sahip olan büyük havalimanlarında, yüzlerce uçuşun iptali ve ertelenmesi, geniş çaplı kaosa neden oldu. Avustralya, Yeni Zelanda, Hindistan, Ürdün, İran, Pakistan ve Türkiye’de içinde olmak üzere birçok ülke krizden etkilendi.
Ülkelerde telekomünikasyon sektörü, internet servis sağlayıcıları ve mobil ağ operatörleri, hizmetlerini tam kapasite sunmakta zorluk yaşadı. Ayrıca, perakende sektöründe elektronik ödeme sistemlerinde yaşanan aksaklıklar, mağazalarda uzun bekleme sürelerine yol açtı. Kriz, finansal hizmetler ve medya sektöründe de etkili oldu. ATM’ler ve internet bankacılığı sistemleri kullanılamaz hale geldi. Dijital platformlarındaki yayın akışında aksaklıklar yaşandı.
Küresel ölçekte faaliyet gösteren şirketler de bu krizden büyük ölçüde etkilendi. Şirketler, operasyonel süreçlerinde ciddi aksamalar yaşadı. Lojistik ve nakliye şirketleri, veri erişim sorunları nedeniyle tedarik zinciri yönetiminde problemler yaşadı ve teslimat süreçleri gecikti.
Yazılım krizi ile birlikte 19 Temmuz Cuma günü uçuş iptalleri normalden 4 kat fazla arttı. Krizin ilk günü küresel bazda toplam 5 bin 171 sefer iptal edilirken, 46 bin 13 uçuşta ise rötar yaşandı. Uçuş iptalleri ve rötarlar üç gün boyunca yoğun bir şekilde devam etti.
Microsoft yaptığı açıklamada “Şu anda CrowdStrike‘ın güncellemesinin 8,5 milyon Windows cihazını etkilediğini tahmin ediyoruz” değerlendirmesinde bulundu. CrowdStrike Üst Yöneticisi (CEO) George Kurtz sosyal medyada yaptığı bir paylaşımla, sorunun bir siber saldırı olmadığını belirterek, müşteri ve ortaklarından özür diledi.
“Siber saldırı değil”
Türkiye’de de kriz geniş çapta hissedildi. Türk Hava Yolları (THY), krizden doğrudan etkilenen şirketlerin başında geldi. THY, uçuş planlama ve yönetim sistemlerinde yaşanan sorunlar nedeniyle birçok uçuşu iptal etmek veya ertelemek zorunda kaldı. Yolcular özellikle bilet işlemleri ve check-in süreçlerinde sorunlar yaşadı.
Bankacılık sektöründe ise Denizbank, krizden etkilenen büyük finansal kuruluşlar arasında yer aldı. Bankanın internet bankacılığı ve mobil uygulamalarında sorunlar yaşandı. TÜVTÜRK, Türkiye’nin araç muayene hizmetlerinden sorumlu olan başlıca kurumlarından biri olarak, krizden etkilenen diğer önemli bir sektördü. Sistemlerde yaşanan sorunlar nedeniyle birçok araç muayene istasyonu, hizmet veremez hale geldi.
Türkiye’de, krizin başlamasının hemen ardından Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu, konuyla ilgili bir açıklama yaparak, sorunların hızla çözülmesi için çalışmaların sürdüğünü belirtti. Bakan Uraloğlu, yaşananların bir siber saldırı olmadığını ve teknik bir aksaklık olduğunu “Bunun özellikle altını çizmek istiyorum; bir siber saldırı söz konusu değildir.” sözleriyle vurguladı.
Krizin etkilerini minimize etmek amacıyla, ilgili şirketlerin teknik ekipleri ve uzmanlar, sistemleri eski haline getirmek ve hizmetleri yeniden başlatmak için yoğun bir çalışma içine girdi.
Sorunun çözülmesi sürecinde, öncelikle etkilenen sistemlerin tespit edilmesi ve güvenlik güncellemesinin olumsuz etkilerini gidermek için acil yamalar geliştirilmesi üzerinde duruldu. Microsoft ve CrowdStrike, küresel çapta teknik destek ekiplerini seferber ederek, müşterilerine yönelik sorun giderme ve iyileştirme çalışmalarını hızlandırdı. Türkiye’deki şirketler, bu süreçte yerel teknik destek ve uluslararası uzmanlardan yardım alarak, sistemlerini normale döndürmeye çalıştı. Yaklaşık 48 saat süren bu kriz, büyük ölçüde kontrol altına alındı ve hizmetler kademeli olarak normale döndü.
Türkiye için bir ikaz
Bilişim Hukuku Derneği Başkanı Kürşat Ergün Anadolu Ajansı’na verdiği bir röportajda, bu tür krizlerin, ülkelerin ve şirketlerin risk yönetimi stratejilerini gözden geçirmeleri için bir fırsat sunduğuna dikkat çekti. Ergün krizin sebebi şu sözleriyle açıkladı: “Microsoft tabanlı sistemler, dünya genelinde bir nevi tekelleşme üzerine kodlandığı için herhangi bir sistemde veya bir tarafında meydana gelen açık ve ihmal, dünya genelinde tüm sistemleri otomatik olarak etkiliyor.” Ergün, Türkiye’nin, bu krizi göz önünde bulundurarak, teknolojik altyapısını güçlendirmek ve yazılım geliştirme kapasitelerini artırmak için stratejik planlar geliştirmesi gerektiğini vurguladı.
Bu durumun küresel bazlı uyarı niteliği taşıdığına dikkati çeken Ergün, “Yani bir nevi felaket senaryosunun fragmanını izledik. Bu, ilerleyen günlerde, kriz, savaş gibi bir durumda ülkelerin sistemleri açısından ne denli tehlikeli olabileceğine dair bir ikazdır.” dedi.
OBB Türkiye Yazılım Meclisi Başkanı Ertan Barut, bu tip krizlerin ilk ve son olmadığını ve ülkelerin hazırlıklı olmaları gerektiğini vurguladı. Ülkelerin kendi veri merkezlerini ve yazılımlarını geliştirmeleri gerektiğini belirtti. Bağımlılıkların azaltılması gerektiğini ise şu sözlerle ifade etti: “Herhangi bir donanıma ya da yazılıma olan bağımlılıklar azaltılmalıdır.”
Bilişim ve iletişim teknolojilerinin ilerlemesiyle, yazılım, donanım ve hizmetler bulut tabanlı sistemler üzerinden yürütüldüğüne dikkat çeken Barut, bu yapılardaki birkaç dakikalık kesintilerin ciddi sorunlara ve kayıplara yol açabileceğini belirtti. Kritik sistemler için düzenli yedekleme ve acil durum planları oluşturulmasının önemine değinen Barut, yazılım ve sistemlerin 7/24 izlenmesi, sık denetlenmesi ve güvenlik açıklarının hızla kapatılması gerektiğini söyledi: “Sistemler düzenli olarak risk analizine tabi tutulmalı ve potansiyel zayıflıkları belirlenmelidir. İleri düzey siber güvenlik yazılımları kullanılmalı ve proaktif tehdit istihbaratına sahip olunmalıdır.”
Yerli yazılım milli güvenlik meselesi
Yaşanan küresel krizden sonra yerli yazılımın önemi ve gerekliliği dikkat çekti. Siyasetçiler, uzmanlar ve iş adamları yerli yazılım önemi hakkında açıklamalarda bulundu.
Cumhurbaşkanı Yardımcısı Cevdet Yılmaz, dijital bağımsızlığı güçlendirmek ve yerli yazılımın önemini hakkında konuştu. Yılmaz, sosyal medya hesabından yaptığı paylaşımda “Türkiye olarak, yerel yazılım ekosistemimizin olgunluğunu artıracak ve bu surette ülkemizin dijital bağımsızlığını güçlendirecek çeşitli çalışmaları uzun süredir hükümet olarak yürütüyoruz.” ifadelerini kullandı. Bu alandaki çalışmalara devam edeceklerini vurgulayan Yılmaz şu ifadeleri kullandı: “Önümüzdeki dönemde de ülkemizin dijital bağımsızlığını güçlendirmeye yönelik çalışmalarımızı kararlılıkla sürdüreceğiz.”
Bilişim Hukuku Derneği Başkanı Kürşat Ergün, “Yazılım teknolojileri, bir milli güvenlik meselesidir. Bu çok önemli. Bunu sağlayamadığımız takdirde milli güvenliğimiz ciddi anlamda risk altındadır. Bu olmadığı zaman kamusal ve ticari aktiviteler dahil olmak üzere bir anda kaos senaryosunun içerisinde kendimizi bulabiliriz.” diye konuştu.
Ergün ülkelerin kendi sistemlerini kullanmalarının önemini “Şu krizden en az etkilenenlerin Rusya ve Çin gibi kendi sistemlerini kullanabilen, güvenliklerini kendileri sağlayabilecek durumda olan ülkeler olduğunu bir kez daha gördük. Türkiye gibi ülkelerin artık bunu fırsat bilip, dağıtım teknolojilerini oluşturup, bunların güvenliğini sağlayabilecekleri iş sistemleri ve alternatif birtakım projelerin üstünde durması lazım.” sözleriyle ifade etti.
Türk mühendis ve iş insanı Selçuk Bayraktar ise sosyal medya platformlarında yaptığı paylaşımda tekelleşmiş sistemlerin kırılganlığına dikkat çekerek; “Yaşadığımız siber fiziksel ağlarla örülü dünyada, teknolojinin her alanında bağımsızlık toplumlar için vazgeçilmez.” sözleriyle teknolojide bağımsızlığın önemine dikkat çekti.
Küresel düzeyde yaşanan bu olay, yazılım güncellemelerinin ne kadar kritik olabileceğini ve potansiyel risklerin yeterince değerlendirilmeden büyük çaplı güncellemelerin uygulanmasının ne gibi sonuçlar doğurabileceğini gösterdi. Microsoft ve CrowdStrike arasındaki entegrasyonun daha kapsamlı ve titiz testler gerektirdiğini ortaya koydu. Bu tür büyük çaplı kesintilerin önlenmesi için test süreçlerinin iyileştirilmesi ve güncellemelerden piyasaya sürülmeden önce önlemler alınması şart olduğu anlaşıldı. Ayrıca, bu tür olayların küresel ekonomik ve operasyonel etkileri olabileceğini de ortaya koydu. Kriz, Türkiye’nin dijital altyapısının ve kritik hizmetlerin dışa bağımlılığını azaltma gerekliliğini bir kez daha gözler önüne serdi.
Kaynak: Anadolu Ajansı, Independent Türkçe, TechCrunch, BBC, The Economist, TechCrunch, Fortune, X
