BİLİŞİM GÜVENLİĞİ

Bilişim yoluyla işlenen suçlar; kişilerin, kurum ve kuruluşların ve ülkelerin ekonomik kayıplarına yol açacak şekilde her geçen gün artmaya devam ederken, Bilişim Güvenliği, birinci öncelikli konulardan biri durumuna geldi.
Bilişim güvenliği konusuna girmeden önce güvenlikle ilgili şu sorulara cevap arayalım:
• Neye ya da nelere karşı güvenlik içinde olma ihtiyacı duyarız?
• Güvenlik bir hedef veya varılmak istenen sonuç mudur?
• Yüzde yüz güvenlik var mıdır?
• Güvenlikte insan unsurunun önemi nedir?
Güvenlik, Türk Dil Kurumu’nun sözlüğünde, “toplum yaşamında yasal düzenin aksamadan yürütülmesi, kişilerin korkusuzca yaşayabilmesi durumu, emniyet” olarak tanımlanmaktadır.
Güvenlik konusu insanlık tarihi kadar eskidir. Canlıların doğaları gereği en güçlü içgüdüleri hayatta kalma duygusudur. İnsanoğlu, öncelikle yaşamını tehlikeye atan olaylar karşısında güvenlik ihtiyacı duymuştur. Örneğin, deprem ve sel gibi doğal olaylar; kara, hava, deniz araçlarıyla seyahat halindeyken yaralanma ve ölümle sonuçlanabilecek kazalar; gasp, öldürme ve yaralama gibi eylemler can ve mal güvenliği ihtiyacını duyabileceğimiz konulardır.
Organizasyonların da yaşamlarını insan yaşamına benzetmek yanlış olmaz. Nasıl ki yaşam doğumla başlar, ölümle sonuçlanırsa, organizasyonlar da benzeri evrelerden geçer; tıpkı canlılar gibi hayatlarını devam ettirme ihtiyacı duyarlar. Bugün daha çok elektronik ortamda saklanan bilgi ve bilginin güvenliği kurum ve kuruluşlar için hayati önemi haizdir, uygun yöntemlerle korunması gerekir.
Bilişim güvenliği nedir?
Elektronik ortamda saklanan, işlenen ve telekomünikasyon sistemleri vasıtasıyla aktarılan bilgiler için alınması gereken güvenlik önlemlerini Bilişim Güvenliği kavramı içerisinde ele alacağız.
Bilişim Güvenliği’nde bilginin güvenliği temel olarak; gizlilik, bütünlük ve erişilebilirlik temelinde sağlanmaya çalışılır. Bir kuruluşun itibarı, rekabet gücü, karlılığı ve nakit akışı bu sacayaklarından birinin yetersizliği durumunda risk altına girer. Karşılıklı bilgi alış verişinde bulunduğunuz muhataplarınız, birlikte iş yapmakta olduğunuz ortaklarınız, ne kadar güvenli bir yapı kurmuş olduğunuzla doğrudan ilgilenirler. Tıpkı sizin de iş yaptığınız kişi ya da kuruluşlar veya ortaklarınız için aynı unsurları göz önünde bulunduracağınız gibi. Çünkü birlikte yapacağınız veya yapmakta olduğunuz işlerde ortak sorumluluklar ve riskler söz konusudur.
Güvenlikle ilgili alınabilecek önlemleri stratejik önlemler ve taktik önlemler olarak iki ana başlık altında toplayabiliriz. Örneğin kurum içinde, güvenlikle ilgili uyulması gereken kuralları kapsayan bir Güvenlik Politikası’nın hazırlanması, duyurulması stratejik bir önlemdir, yönetimsel destek ihtiyacı vardır. Virüs koruma, sistem güçlendirme, güvenlik duvarı gibi önlemler ise taktik önlemlerdir. Stratejilerin başarılı olabilmesi için uygun taktik eylemlerle desteklenmesi gerekir.
Bilişim Teknolojilerinde, teknolojinin gelmiş olduğu seviye itibariyle teknik anlamda alınabilecek önlemler sınırlıdır. Güvenlik, teknik tedbirlere ilaveten kural ve ilkelerle, uygulamalarla, yöntemlerle, uygun örgütsel yapılarla ve yazılım fonksiyonlarının denetimiyle korunmaya ve geliştirilmeye çalışılır.
Bilişimde güvenlik konusu neden gündemin birinci sıralarını işgal ediyor?
Bugün, Bilişim Güvenliği ile ilgili olarak Dünya genelinde yaşanan karmaşık durum; esasında 1990’lı yıllardan bu yana gelişen, küresel bir kullanım için planlanmamış olan İnternet’in ve ilgili teknolojilerinin hemen hemen her alanda kullanılmaya başlanması ve hızla yaygınlaşmasının sonucudur.
İnternet’e bağlanan bilgisayar sayısı her geçen gün hızla artmaktadır. Başlangıçta askeri amaçlı projeler kapsamında kullanılmak için tasarlanmış olan İnternet, telekomünikasyon sistemleri yardımıyla yaygınlaşmış; zaman içinde finans dünyasınca parasal işlemlerin İnternet ortamına aktarılmaya başlanmasıyla, bu alandaki gelişmeler daha da hızlanmıştır.
Bir bakıma ticaret, gelişen teknolojilerle İnternet’e taşınmıştır. İnternet yeni bir çağ açmış, iş yapış şekillerini değiştirmiştir. Sanal devlet ve eğitim kurumları, mağazalar, banka şubeleri İnternet olarak adlandırılan bilgi otobanında yerini almıştır.
Sağladığı kolaylıklar nedeniyle her geçen gün daha çok insan İnternet ortamıyla tanışmaktadır. Bu ortamda, kişilere, ticari müesseselere ve devlet kuruluşlarına ait web siteleri, bilgisayar sistemleri, bu sistemlerde tutulan ve iletişim ağlarından geçen bilgiler aynı zamanda kötü niyetli kişiler için de birer hedef haline gelmiştir.
Bilişim yoluyla bir ülkenin mali piyasalarına yönelebilecek tehditler, o ülkenin ekonomisini de etkileyebilecek boyutlara ulaşmıştır. Eskiden sadece askeri kurumlar için, bilgi ve belgelerin tutulduğu özel alanlar oluşturulması ve bunların güvenliğinin sağlanması söz konusu iken, güvenlik konusu, Bilişim Teknolojilerinin gelişmesiyle birlikte sivil hayatta da kurum ve şirketlerin bir numaralı önceliği olmaya başlamıştır.
Tüm bu gelişmeler yeni bir kavramı daha ortaya çıkarmıştır: Bilişim Suçları. Adli suç kapsamına giren birçok konu, İnternet ortamına da yansımıştır. Bilişim suçlarında, suç ve suçlu kavramı ile hukuksal sonuçları uluslararası düzeyde hukukçular arasında tartışılmaya başlanmıştır.
Dolandırıcılık, sahtekârlık, program ve verilerde izinsiz değişiklik, bilgisayar programlarının telif haklarına aykırı olarak kopyalanması, telekomünikasyon sistemlerinin, bilgisayar işlevlerinin ve iletişiminin değişikliğe uğratılması, ticari sırların çalınması, yetkisiz kullanım ve girişim eylemleri yasalarımız kapsamında birer suç olarak kabul edilmektedir.
Her geçen gün bilişim yoluyla işlenen suçların ve mağdurların sayısı artmaktadır. Çoğu mağdur ne yapması gerektiğini, nereye başvurması gerektiğini bilgi ve farkındalık noksanlığı nedeniyle bilememektedir. Bilişim yoluyla işlenen suçlarda mağdur durumuna düşülmesi halinde vakit kaybetmeksizin varsa muhatap kuruluş (örneğin İnternet hizmeti veren banka) nezdinde hak aranması ve konunun adli makamlara bildirilmesi gerekmektedir. Ancak, suçu işleyen kişi ya da kişilerin yurt dışında bulunması halinde, o ülkenin kanunlarına göre işlem yapılması gerektiğinden ve her ülkede bilişim suçları kanunlar kapsamında aynı ölçüde ele alınmadığından çoğunlukla bir sonuca ulaşılmasında sıkıntı yaşanabilmektedir.
Önceden fiziki olarak yasak getirilebilen birçok husus; kumarhaneler ve terör örgütlerine ait yayın organları örneklerinde olduğu gibi sanal ortamda rahatlıkla faaliyetlerini sürdürebilmekte, aynı ortam zaman zaman kişilik haklarına saldırı amacıyla kullanılabilmektedir.
Ne tür tehditlerle karşı karşıyayız?
11 Eylül 2001’de, New York’daki Dünya Ticaret Merkezi’ne ait ikiz kulelerin sivil yolcu uçakları kullanılarak vurulması, ülkelerin ulusal düzeydeki güvenlik anlayışlarının değişmesine yol açmıştır. Artık nerede, ne zaman, hangi büyüklükte, nasıl ve kimin tarafından yapılacağı belli olmayan saldırı ihtimalleri vardır ve bunlar, ulusal güvenlik boyutunda, asimetrik tehditler olarak değerlendirilmektedir. Bu saldırılarda, bilgisayar sistemlerini başka bir lokasyonda yedeklememiş olan firmalar olay sonrası uzun bir süre normal çalışma düzenine dönemediklerinden iflas etmek zorunda kalmışlardır.
Asimetrik tehdit; terör eylemleri, nükleer tehditler, muhtemel bir mülteci akını veya gıda yoluyla yayılabilecek biyolojik tehditler olabilir. Bugün artık, bilişim teknolojileri kullanılarak gerçekleştirilebilecek eylemler (siber tehdit) de asimetrik tehditler başlığı altında değerlendirilmektedir.
Ülkelere ait stratejik önemi haiz bilgisayar sistemleri, terörist eylemler yoluyla vurulabileceği gibi siber saldırıların da hedefi olabilir ve zarar görebilir. Devlet kurumlarına ait bilgisayarlar, bankacılık sistemleri ve e-ticaret siteleri yoğun siber saldırılara maruz kalabileceği için ciddi tehdit altındadır. Bu saldırılar, çoğunlukla İnternet üzerinden bir program vasıtasıyla güvenliği zayıf bir bilgisayara sızmak ve bu bilgisayardan hedef bilgisayara, kapasitesinin üzerinde yoğun talep göndererek cevap veremez duruma getirmek şeklinde olabilmektedir (DoS: Denial-Of-service-Attack).
Bir başka örnekte ise, sızmanın gerçekleştirildiği hedef bilgisayardan yine bir program (spyware-ajan program) aracılığıyla kişisel veya kurumsal bilgiler çalınabilmektedir. Örneğin, herhangi bir ön incelemeye tabi tutulmaksızın İnternet’ten indirilen bazı yazılımlar da, bir işlevi yerine getiriyormuş görüntüsü altında aynı zamanda çalıştığı bilgisayarlardaki kişisel bilgilerin çalınmasına yardımcı olabilmektedir.
Bugün kişilere, kurum ve kuruluşlara ait bilgisayar sistemlerine zarar verebilecek yazılımlar kolaylıkla İnternet’ten indirilebilmekte ve bilişim teknolojileri konusunda yeterli bilgisi olmayan kişiler tarafından dahi kullanılabilmektedir.
İlaveten, virüs adı verilen zararlı yazılımlar kullanılarak kurumsal e-posta sistemleri ve kullanıcı bilgisayarları çalışamaz duruma getirilebilmektedir. Virüsler, kendilerini çoğaltabilmekte, e-postalar yardımıyla bilgisayarlara yayılabilmektedirler. Ayrıca, İnternet’ten gelişigüzel indirilen programlardan, virüs kontrolünden geçirilmeden okunan medyadan (disketlerden, CD’lerden, USB bağlantılı harici belleklerden vs.) de virüs bulaşabilmektedir.
Virüsler, genellikle sonu “.exe, .com, .bat, .doc, .pif, .scr, v.b.” uzantılarla biten e-posta eklentileri yardımıyla yayılmaktadır. O nedenle kurumsal e-posta sunucularında genellikle bu uzantılara sahip mesajlar engellenmektedir. Bu tedbir, iş amaçlı doküman alış verişini engelliyor gibi görünse de kötü niyetli kişiler tarafından hazırlanan virüslerin mesaj eklentileri yardımıyla bilgisayar kullanıcılarına ulaşmasını önlemektedir.
Kötü amaçlı olarak yazılmış kodlardan biri de solucan adı verilen program parçacıklarıdır (worm); e-posta yoluyla veya İnternet’ten indirilen programlar aracılığıyla bulaşmaktadırlar. Solucanlar, bir programı değiştirerek veya programların sonuna kendi kodlarını ekleyerek bilgisayarlarımıza zarar vermektedirler.
E-posta yoluyla yayılabilen veya gönderilen mesajda yer alan bir bağlantıya girildiğinde yüklenen truva (trojan) atları yardımıyla da bilgisayarlar uzaktan kumanda edilebilecek duruma getirilebilmektedir.
Zaman zaman da e-posta kutularımıza aldatmaca (hoax) virüs uyarıları düşmektedir. Bu uyarıları yayanlar, virüsler karşısındaki kullanıcı duyarlılığından yararlanmaktadırlar. Aldatmaca mesajlar, yanlış alarm verdikleri anlaşıldığında virüslerle ilgili duyarlılılığı azaltabilmektedir. Diğer taraftan e-posta zinciri oluşturması nedeniyle bu zincirde yer alan adreslere daha sonra reklam amaçlı istenmeyen (spam) mesajların gelmesine yol açmaktadırlar.
Virüs koruyucu sistemler yukarıdaki tehditlere karşı önlem olarak geliştirilen yazılımlardır; ancak, tek başlarına yeterli değildirler. Koruyucu sistemler, bilgisayarlarımızı sadece bilinen ve kodları çözülmüş zararlı yazılımlara karşı koruyabilmektedirler. Her an, zararlı bir yazılım parçası, Dünya’nın herhangi bir yerindeki e-posta sunucusuna kötü niyetli kişiler tarafından gönderilebilir, dikkatsiz bir kullanıcı tarafından aktif duruma getirilebilir, bu bilgisayarda yer alan posta adreslerini kullanarak kendisini çoğaltabilir, ulaştığı bilgisayarlara zarar verebilir; kişi, firma veya resmi kurum bazında ya da ülke düzeyinde ekonomik kayıplara yol açabilir.
Bilişim teknolojileri yardımıyla işlenen suçlar nelerdir?
Çevrim içi işlenen suçlara baktığımızda en yaygın olarak kullanılan yöntemin “phishing” olduğunu görüyoruz. E-posta aracılığıyla gerçekleştirilen dolandırıcılık suçlarından biri olan phishing, İngilizce’de balık avlamak anlamına gelen “fishing” kelimesinden türetilmiştir. Kelimedeki değişiklik, siber korsanların “f” yerine “ph” harflerini kullanmalarından kaynaklanmaktadır. Phishing, rastgele belli adreslere gönderilen e-postalarda verilen bağlantılara girmeleri istenen kullanıcıların, gerçek izlenimi verilen sahte adreslere (örneğin bir bankanın web sayfasına) yönlendirilmesi ve bu adreslerde çalışan programlar aracılığıyla sorulan sorulara verilen cevapların dolandırıcıya iletilmesi işlemidir. Sorulan sorular çoğunlukla kişinin kimlik, kredi kartı ya da banka hesap bilgileri olmaktadır.
Zaman zaman da, örneğin, Endonezya’daki Tsunami felaketi ya da Amerika’daki Katrina Kasırgası mağdurları için olduğu gibi sözde son derece insani yardım talepleri İnternet kullanıcılarına e-posta ile iletilmekte; bu kullanıcılardan birçoğu bu yöntemle dolandırılabilmekte veya ekli dosyalarında bulunan, virüs bulaşmış dokümanları açtıklarında bilgisayarları zarar görebilmektedirler.
Bazı e-postalarda ise dolandırıcılar tarafından, ellerindeki yüklü miktardaki paranın transfer edileceği bir hesap arandığı ve belli bir komisyon karşılığında kendilerine yardımcı olup olamayacağımız sorulmaktadır (ilk olarak Nijerya’dan yayıldığı düşünüldüğünden Nigerian Scams olarak anılmaktadır). Olumlu yanıt verildiğinde ise konunun çok gizli olduğu uyarısı da yapılarak, kişinin banka hesap numarası istenmektedir. Kişi hesabına para havalesini beklerken karşısına sürekli sorunlar çıkarılmaktadır. Örneğin, sözde banka görevlisi bu havaleyi yapmak için rüşvet talep etmektedir. Bu yolla dolandırılan kişiler alınacak komisyonun büyüklüğü yanında kendi ceplerinden çıkacak küçük bir meblağı önemsememekte ve benzer şekilde devam edecek olan bir dizi dolandırıcılık girişimlerinin kurbanı konumuna düşebilmektedirler.
Kimlik hırsızlığı girişimlerine karşı neler yapmalıyız?
Çevrim içi yolla yapılsın ya da yapılmasın kimlik hırsızlığı en yaygın dolandırıcılık örneği olarak karşımıza çıkmaktadır. Yukarıda phishing yöntemiyle bunun nasıl yapıldığına dair örnekler verilmişti. Bu yolla yapılan dolandırıcılık eylemlerinde, çoğunlukla müşteri sayısı yüksek olan İnternet alış veriş mağazaları ile çevrim içi şube hizmeti veren ticari bankaların isimleri kullanılmaktadır. Öncelikle şunu bilmeliyiz ki, hiçbir ticari bankanın müşterilerine e-posta göndermek suretiyle kişisel bilgi istemek yönünde herhangi bir uygulaması bulunmamaktadır. Öyleyse böyle bir mesaj aldığımızda, mesajı herhangi bir adrese yönlendirmeksizin, derhal bilişim güvenliğinden sorumlu ilgililerle temas kurulması ve konunun kendilerine bildirilmesi en doğru yaklaşım olacaktır.
Yanıltıcı mesajları, çoğu zaman kaleme alınış biçimleriyle de tespit edebilmek mümkün olmaktadır. Genellikle kurumsal üslupla bağdaşmayan, basit bir dille kaleme alınmış, yer yer imla hataları olan, eğer banka ya da kurumdan bahsediliyorsa bu isimlerin yanlış yazıldığı, sonunda hayali kişi ya da kurum adlarının bulunduğu metinler, dolandırıcılık niyetini ele verebilecek ayrıntılar olarak göz önünde bulundurulmalıdır.
Bilgi temin etmenin bir diğer yolu da Sosyal Mühendislik adı verilen girişimlerdir. Bu yolla elde edilen bilgiler hedef bilgisayar sistemlerine sızma girişimleri için kullanılmaktadır. Bu yöntemle sızma girişimini planlayan kişi bir vesileyle telefon numaranızı temin etmekte; daha sonra teknik servisten aradığını, örneğin yeni sistem geçişi yaptıkları için bir problem yaşadıklarını ve kullanıcı hesabınıza girmeleri gerektiğini söyleyip şifrenizi sorabilmektedir.
Yine bir başka örnek; sizin hangi kredi kartını kullandığınızı ve hangi bankayla çalıştığınızı belirlemişlerse (kredi kartı hesap dökümünüz çalınmış, fotokopisi alınmış veya masa üzerinde bırakılmışsa okunmuş olabilir), hayali bir isim kullanarak telefonla bankanız adına aradıklarını ve size ait hesap bilgilerini güncellemeleri gerektiğini söyleyip kişisel bilgilerinizi sorabilmektedirler. Bu durumlarda, arayan numaradan emin olunduktan sonra (kişi arayan numarayı araştırıp geri arama yapabilir) mutlaka telefonda sizin tuşlayacağınız bilgilerle otomatik bilgisayar teyitleşmesinin gerçekleştirilmesi şartı aranmalı, şifre karşıdaki kişiye asla söylenmemelidir.
Örnekleri çoğaltabiliriz. Kurumun bilgisayar bölümünde çalışan bir eleman olabilirsiniz. Herhangi bir firma adına telefonla aranabilir, belli bir araştırma konusu üzerinde çalışıldığı söylenebilir; bilgisayar sistemleriniz, bu sistemler üzerinde çalıştırdığınız yazılımlar, bunların seviyeleri size sorulabilir. Bilgisayar korsanları için bu yöntem bir anlamda, saldırı düzenleyecekleri sistemler için yapacakları ön keşif çalışmasıdır. Saldırı düzenleyecekleri sistemlerin teknik özelliklerini, mimari yapılarını bilmek onlara zaman kazandıracak ve hatta sistemin zayıf noktalarını tespit ederek bu noktadan saldırı girişiminde bulunmalarını sağlayacaktır. Bu kişiler aslında sıradan bir hırsızlık olayının temel aşamalarını adım adım uygulamaktadırlar. Başka bir deyişle, soygun öncesi hedef seçilen evle ilgili istihbarat toplanmakta, giriş çıkış (logon-logoff) saatleri öğrenilmekte, evin (bilgisayarın) en kolay giriş yapılacak zayıf noktası belirlenmekte ve uygun zamanda eylem gerçekleştirilmektedir.
Bir kimlik hırsızı için nüfus cüzdanları, ehliyetler, kredi kartları, posta kutularınızda bulunan ve bankalardan gelen hesap dökümleri, pasaportlar vb. dokümanlarla size ait kişisel bilgileri içeren her türlü belge, sonradan kullanabileceği son derece değerli birer hedeftir.
Bu belgelerde yer alan nüfus bilgileri veya emekli sicil sumarası gibi bilgiler kimlik hırsızı tarafından dolandırıcılık amacıyla çeşitli kurum ve kuruluşlara yapılacak başvurularda kullanılabilir.
Yukarıdaki kişisel bilgilerle ve öğrenmiş olduğu bir kredi kartı numarasıyla İnternette alışveriş yapılabilir veya sizin adınıza bankalarda hesaplar açılabilir, İnternette ele geçirilmiş bir hesaptan bu hesaplara para aktarılabilir, bu hesaplar kullanılarak sahte çekler düzenlenebilir, yeni kredi başvurularında bulunulabilir, hatta kart hesap özetleriniz bir süreliğine farklı bir adrese yönlendirilerek yapılmakta olan dolandırıcılığı geç farketmeniz sağlanabilir.
O nedenle, kredi kartı hesap özetlerimizdeki harcamaları düzenli olarak kontrol etmeli, herhangi bir olağan dışılık olup olmadığını takip etmeliyiz. İnternette bizden kişisel bilgilerimizi isteyen sitelerde daha dikkatli olmalı, sitenin güvenli olup olmadığını araştırmalıyız. İnternette alış veriş yapıyorsak, o sitenin güvenilir elektronik sertifika kullanıp kullanmadığını kontrol etmeliyiz.
Eğer, tüm dikkatimize rağmen kimlik hırsızlığının kurbanı olmuşsak derhal ilgili banka veya kredi kartı hesaplarımızı kapatmalı, kaybetmişsek her türlü kimlik belgemizi yenilemeli ve durumu adli makamlara rapor etmeliyiz.
Bilişim güvenliğinde teknik anlamda ne tür önlemler alınabilir?
İhtiyaçlar geliştikçe ve teknoloji bu ihtiyaçlar etrafında şekillendikçe, alınması gereken teknik önlemlerin çeşitliliği de artmaktadır. Bugün itibariyle bir liste yapmak gerekirse konu başlıklarıyla temel önlemler şu şekilde sıralanabilir:
• Virüs ve ajan programlara karşı alınabilecek önlemler,
• Kişisel ve kurumsal güvenlik duvarları,
• Saldırı tespit ve saldırı önleme sistemleri,
• Yama yönetimi ve sistem güçlendirme,
• Merkezi kimlik yönetimi ve erişim denetimi,
• İçerik filitreleme,
• Elektronik sertifika, sayısal imza,
• Veri şifreleme,
• Güvenlikle ilgili aktivitelerin merkezi kayıt ve olay yönetimi,
• Yedekli yapıda çalışma / sistem süreklilik planlama.
Türkiye’de Asymmetric Digital Subscriber Line adı verilen ADSL teknolojisiyle İnternete bağlanan abonelerinin hızla yaygınlaşması ve bu abonelerin kişisel bilgisayarlarında yeterli güvenlik önlemlerinin alınmayışı sebebiyle siber korsanların kontrolüne geçen bilgisayarların sayısında son yıllarda artış görülmektedir. Siber korsanlar yakalanmamak için, güvenliği zayıf bilgisayarları tespit etmekte ve hedef sistem ya da sistemlere zombi olarak isimlendirdikleri bu bilgisayarlardan saldırı düzenleyebilmektedirler.
Yukarıda listelenen teknik önlemlerin birini ya da bir kaçını kullanıyor olmak güvenliği sağlamak için yeterli değildir. Birçok kurum ve kuruluş bu hatayı yapmaktadır. Bilinmelidir ki; sadece bir virüs koruma veya tek başına bir ateş duvarı güvenlik önlemi aldığımız anlamına gelmez. Güvenliği sağlamak üzere temin etmiş olduğumuz yazılım ya da donanımları ilk fabrika ayarlarıyla bırakmak en çok karşılaşılan hatalardan biridir. Gereksinimlerinize uygun güvenlik ayarlarının yapılması, yazılımlarla gelen ilk hesap isimlerinin (Administarator) ve şifrelerin (0000 veya 1111 gibi) değiştirilmesi, işletim sistemlerinize ya da kullanmakta olduğumuz diğer yazılımlara işlenmesi gereken güvenlik yamalarının takip edilmesi ve bunların vakit geçirmeksizin uygulanması gereklidir.
Ayrıca, kurumsal düzeyde, iş kritik sistemler belirlenmeli ve herhangi bir olağanüstü durum karşısında etkilenmeksizin kritik işlemlerin yürütülebilmesi için yedekli yapıda ve fiziki güvenliği sağlanmış sistemler kurulmalıdır. Yukarıdaki teknik önlemleri bir arada yönetebilir olmak, güvenlikle ilgili risklerin azaltılmasını sağlayacak ancak yine de tamamen ortadan kaldıramayacaktır.
Bilişim teknolojilerinde risk değerlendirmesi ne anlama gelir?
Risk genel anlamda zarara uğrama tehlikesidir. Bugün finans piyasasında hizmet vermekte olan kurum ve kuruluşların önündeki kredi ve piyasa riski gibi unsurlara teknoloji kaynaklı riskler de eklenmiştir. Bu risk, işletim veya operasyon riski başlığı altında ele alınmaktadır. Artık, kullanılan tekniklerden ve teknolojideki değişikliklerden ya da hatalı süreçlerden, insandan veya dışsal olaylardan kaynaklanan, doğrudan veya dolaylı riskler söz konusudur.
Teknoloji riski, programlama veya yazılım hatalarından, modelleme veya sistem mimarisinden, sistem çökmesi veya tamamen kaybından, telekomünikasyon hatalarından ve veri kayıplarından kaynaklanabilir.
1999’un Haziranında, bilgisayar korsanlarının saldırısına uğrayan ve 22 saat kapalı kalan E-bay isimli elektronik ticaret sitesinin hisseleri beş gün içerisinde yüzde 26 değer kaybetmiştir. E- bay’in sadece hisse senetlerinden kaybı 5 milyon doları aşmıştır (9 Şubat 2000, Milliyet).
Bilişim Teknolojilerine yatırım yapan her kurumun güvenlik yönetimi stratejisini şirket ölçeğine ve kurum içindeki bilgilerin önemine göre belirlemesi söz konusudur. Firmaların, bankaların, finansal kuruluşların ve kurumların kendileri için muhtemel tehditleri belirlemesi, bu tehditlerin gerçekleşmesi halinde kayıplarını öngörmesi ve bundan en az ziyanla nasıl çıkılabileceğine dair planlama yapması gerekmektedir.
Riskler nasıl yönetilebilir?
Bilişim Teknolojilerinde, kuralların konulması; konunun süratle gelişmeye başlaması nedeniyle başlangıçta mümkün olamamıştır. Bu durum, önce otomobil, daha sonra uçak teknolojilerinin ilk ortaya çıkışında yaşanan karmaşaya benzemektedir. Bu konularda kurallar, yaşanan problemler doğrultusunda konulmaya ve geliştirilmeye başlanmıştır. Benzer bir anlayışla, bilişim teknolojilerinin hızla yaygınlaşması ve küresel anlamda duyulan bilişim güvenliği ihtiyacının bir sonucu olarak belli başlı güvenlik kontrollerini içeren standartlar oluşturulmuştur. Bu konudaki ilklerden ve en çok kabul gören dokümanlardan olan BS 7799/ISO 17799, bağımsız bir kuruluş olan İngiliz Standartlar Enstitüsü (BSI) tarafından belirlenmiş bir bilgi güvenliği standardıdır. BS 7799/ISO 17799, bilgi güvenliği yönetim standartlarının yanı sıra organizasyonda bilgi güvenliğini oluşturmak için kullanılmakta ve uygulamada izlenecek yolları ortaya koymaktadır.
Bilişim sistemlerinin belirli aralıklarla gözden geçirilmesi, risk noktalarında gerekli düzeltmelerin yapılmasını sağlayacaktır. Bilişim sistemlerinin gözden geçirilmesinde, Dünya genelinde yaygın olarak, Bilgi Teknolojisi ve İlgili Teknolojilere İlişkin Kontrol Hedefleri (COBIT: Control Objectives for Information and related Technology) olarak adlandırılan belge kullanılmaktadır. Gözden geçirmeler belli periyodlarda kurum içi ve kurum dışı bağımsız denetçilerle yapılabilmektedir. Denetim sonuçlarına göre yapılacak düzeltmeler ve iyileştirmelerle riskler kabul edilebilir bir seviyede minimize edilebilmektedir.
Risklerin azaltılmasına yönelik başka çalışmalar da bulunmaktadır. Bunlardan biri de BASEL (Basel committee on Banking Supervision) belgesidir. Bankacılık sistemini ilgilendiren ve bankaların sermaye yeterliliklerinin ölçülmesinde ve değerlendirilmesinde Avrupa Birliği’nce uygulanması öngörülen BASEL Sermaye Uzlaşı Belgesinde yer alan standartlara uyum süreci, Ülkemizde de, 2005 yılı itibariyle başlamış ve bunun için üç yıllık bir geçiş süreci öngörülmüştür. BASEL ‘ de, risklerden biri olarak operasyon riski başlığı altında teknoloji riski ve bunu azaltmaya yönelik olarak gerçekleştirilmesi gereken adımlar yer almaktadır.
ABD’de, 2004 yılı sonunda uygulanmaya başlanan Sarbanes Oxley (SOX) ise şirket hissedarlarını korumak amacıyla borsaya kayıtlı şirketlerin yönetimlerine ve çalışanlarına bir takım yükümlülükler getiren uyumluluk yasasıdır. SOX yasasına göre birçok işlemin ve iletişimin kayıt altına alınması gerekmektedir. Örneğin e-postalar, telefon konuşmaları ve elektronik ortamda gerçekleştirilen işlem kayıtlarının arşivlenmesi söz konusudur. Hâlihazırda sadece ABD’deki şirketler için geçerli olan ve denetime tabi bu yükümlülüğün, Dünya genelinde de kabul görmesi ve yaygınlaşması beklenmektedir.
Yukarıda ifade edilen standartlar, belgeler ve yükümlülükler yönetimlerin, bilinmezlerin çok olduğu bir ortamda, daha iyi ölçebilir ve yönetebilir bir yapı kurabilme arayışlarının bir sonucudur. Bu belgeler deneyimlerden yola çıkılarak hazırlanmıştır ve bugün bu alanda bilinen en iyi referanslar olarak kabul görmektedirler.
Bilişim Güvenliği konusunda kullanıcıların bilinçlenmesi neden önemlidir?
Güvenlik, varılması gereken nihai bir hedef değil; sürekli gözden geçirilmesi ve düzeltilmesi gereken, bilinçlenmeye bağlı bir süreçtir.
Örneğin, evinizin kapısını güvenli hale getirmeniz tek başına yeterli değildir, tıpkı evinize sadece güvenlik alarmı taktırmanın yeterli olmayacağı gibi. Almış olduğunuz önlemlere ilaveten, bunları belli aralıklarla sınamanız gerekir.
Tanımadığımız bir kişiye içinde maddi değer taşıyan varlıklarımızın bulunduğu evimizin anahtarını vermeyiz. Bilgisayarlarımız da bize veya kurumumuza ait olan ve belli bir değer taşıyan bilgileri tutmakta olduğumuz, korunması gereken cihazlardır. Bilgisayarlarımızın anahtarları kullanıcı adımızla eşleştirilmiş şifrelerdir. Bir evin giriş kapısı için alınmış önlemler ne kadar etkinse, bir hırsızın soygunu gerçekleştirmesi de o kadar zorlaştırılmış olur. Benzer konu bilgisayarlarımıza yönelik yetkisiz erişimler için de geçerlidir.
Peki, kullanmakta olduğumuz bilgisayarlar için güvenlik konusunu yeterince dikkate alıyor muyuz? İş yerlerindeki bilgisayar kullanımlarını gözümüzün önüne getirelim. Bu bilgisayarların çoğu zaman sahibinden başkasının kullanamayacağı güvenli bir konumda bırakılmadığını görmekteyiz. Örneğin, ekran koruyucular kullanılmadan bilgisayarlar açık bırakılmakta, şifreler küçük kâğıtlara (post-it) yazılarak bilgisayarların üzerine yapıştırılmaktadır. Bunlara ilaveten, kişi isimleri, doğum tarihleri, içinde bulunulan ayın adı gibi tahmin edilmesi nispeten daha kolay olan bilgiler şifre olarak verilmekte ve bir anlamda farkında olmadan güvenlik zafiyeti yaratılmaktadır.
Benzeri güvenlik zafiyetlerini göndericinin kimliği konusunda emin olunmadan şüpheli e-postaların okunmasında da yaşamaktayız. Kullanıcıların bir kısmı bu mesajlar kullanılarak dolandırılırken, bir kısmının bilgisayarlarına zararlı program parçaları taşınmakta, bu nedenle bilgisayarları zarar görebilmekte veya kimlik ya da bilgi hırsızlığının kurbanı olmaktadırlar. Hergün e-posta kutularımıza, bir taraftan çoğu reklam içerikli olmak üzere çok sayıda mesaj düşerken, bir taraftan da bunlarla başa çıkmanın yollarını aramaktayız. Bu amaçla, e-posta sunucularında filitreleme olanakları kullanılarak, bir ölçüde istenmeyen mesajların önüne geçilebilmektedir.
Ortak bir iletişim ağına bağlı bilgisayar kullanıcılarının belli başlı dokümanları paylaşabilmesi teknolojinin getirmiş olduğu olanaklardan biri olmakla birlikte zaman zaman bu konuda da güvenlik ihlalleri yaşanabilmektedir. Çoğu kurum ve kuruluşta, dokümanların bir kısmının gizlilik derecelerine göre herhangi bir tasnife tabi tutulmadığı, kişisel bilgisayarlarda kurumsal verilerin saklandığı, herhangi bir doküman paylaştırılmak istendiğinde yapılabilecek yanlış güvenlik ayarları nedeniyle bu bilgilerin başkaları tarafından çalınmasına farkında olmadan yardımcı olunduğu görülmektedir. Kurumsal bilgiler, yeterli güvenlik önlemleri kurumun teknik bölümü tarafından alınan ve düzenli olarak yedeklenen dosya sunucusu adı verilen sunucularda, birimler bazında tutulmalı ve belli yetkiler çerçevesinde sadece yetkili birimler tarafından kullanılmalı ve paylaşılmalıdır.
Basit sayılabilecek bu ve benzeri tedbirlerin alınması konusunda gösterilen ihmalkârlıkların, kullanıcıların çoğunlukla yeterli bilince sahip olmamasından kaynaklandığı görülmektedir. Bu bilinç olmayınca, hatalı davranışların sonuçlarının yol açabileceği tahribatın önceden kestirilebilmesi de zordur. Bazen teknik birimlerce alınan önleyici tedbirler kullanıcılar için sıkıntı verici bir durum olarak değerlendirilmekte ve gerekçeleri doğru anlaşılamamaktadır. Kişi felaketin kendi başına gelmeyeceği duygusundan hareketle basit sayılacak tedbirleri almadığı takdirde, sadece kendisini değil, ilişkili olduğu tüm kişi ve kurumları da risk altına sokmaktadır. Ancak, güvenlikle ilgili yaşanmış olaylardan çıkarılan dersleri mutlaka dikkate almak ve ona göre tedbirli davranmak birincil sorumluluğumuz olmalıdır.
Bu bilincin yaratılmasına yardımcı olmak üzere profesyonel anlamda hazırlanmış olan eğitim programlarının düzenli aralıklarla tekrar edilmesi insandan kaynaklanabilecek güvenlik ihlallerin azaltılmasına yardımcı olacaktır.
Sonuç
Kullanmakta olduğumuz teknolojilerin, bugünkü kullanım amaçlarından farklı ihtiyaçlar çerçevesinde ortaya çıktığını görüyoruz.
Örneğin cep telefonları, başlangıçta kablolu iletişimin doğal koşullar nedeniyle zor yapılabileceği bölgelerde, iletişimi kolaylaştırmak amacıyla tasarlanmıştı. Oysa bugün, günlük yaşantıda yaygın bir şekilde kullanılmaktadır. Diğer taraftan her yeni teknoloji, insanoğlunun ufkunu açmakta ve daha başka çözümlerin de çıkış noktasını oluşturabilmektedir. Bugün, cep telefonlarında iyi bir fotoğraf makinasının resim çekme olanağına ulaşabilmek için yenilikler yapılmaya çalışılmakta; ses, resim ve görüntüler cep telefonlarında bulunan bellek kartlarına yüklenebilmekte, aboneler arasında karşılıklı olarak iletilebilmektedir. Bir anlamda telefon, fotoğraf makinası, görüntü kayıt cihazı ve İnternetin bütünleştirilmesine çalışılmaktadır.
İnternet, ulusal savunma konularında kullanılmak amacıyla geliştirilmişken, bugün Dünya genelinde yaygın bir şekilde kullanılır hale gelmiştir. Mektup ve tebrik kartı alışkanlığının yerini e-postalar almıştır. İlk başlarda sadece mesajlaşma yapılırken, sonraları ses ve görüntünün de aynı ağdan taşınması sağlanmıştır. İnternet birçoğumuz için artık günlük yaşantının vazgeçilmezlerden biri durumundadır. Haberleşme ve bilgilenme ihtiyacımızın büyük bir kısmını İnternet aracılığıyla karşılamakta, alış verişlerimizi ve bankacılık işlemlerimizi İnternet yardımıyla yapmaktayız.
Diğer taraftan, kuralları konulmadan başlayan ama büyük bir hızla yayılan ve gelişmeye devam eden bilgi ve iletişim teknolojilerinde, kuralların konulması ve sorumlulukların belirlenmesi işi bugün itibariyle dahi tamamlanmış değildir. Kullanımda yaşanan karmaşanın önüne geçebilmek için Dünya genelinde kabul gören uluslararası standartların geliştirilmesine ve uygulanmasına ihtiyaç vardır.
Nasıl değişen Dünya ve iş koşulları, bilişim teknolojilerini de yönlendirmekte, değişmesine ve gelişmesine neden olmaktaysa; güvenlik standartları, yöntemleri ve teknolojileri de buna paralel olarak uyarlanmaya ve geliştirilmeye çalışılmaktadır.
Şirketlerin karlılıklarını ve kurumların varlıklarını sürdürebilmesi için birinci öncelik alanlarından birini güvenlik oluşturmalı, bu yönde kabul görmüş uluslararası standartlara ve zaman içinde bu standartlara getirilen değişikliklere uyum gözetilmelidir.
Güvenlikle ilgili teknik önlemleri almış olmak gerekli olmakla birlikte tek başına yeterli değildir. Kurumsal temelde muhtemel tehditlerin belirlenmiş olması, risk boyutunun görülmesi ve kabul edilebilir bir seviyeye indirgenebilmesi amacıyla uygun koruma yöntemlerinin uygulanması gerekmektedir.
İşin doğrusu, bilişim teknolojileri geliştirilirken güvenlik boyutu birinci öncelikli konu olarak ele alınmamıştır. Teknoloji tasarımcıları da birer güvenlik uzmanı değildirler. Kullanıcıların, ne teknoloji tasarımcıları ne de güvenlik uzmanları kadar bilgiye sahip olmaları da beklenemez. O nedenle bilişimde güvenlik, tasarımı ve uygulaması çok kolay olmayan, pahalı sayılabilecek uzun soluklu bir süreçtir. Uygulanan tedbirler, belli aralıklarla gözden geçirilmeli, gerekli düzeltmeler yapılmalı ve kullanıcılar muhtemel riskler ve alınan tedbirlerin neden alınmak zorunda olduğu konusunda bilinçlendirilmelidir.
Bu aşamalardan geçilmiş olsa dahi güvenlik yüzde yüz sağlanmıştır demek doğru olmayacaktır. Güvenlikle ilgili riskler azaltılabilir, kabul edilebilir bir seviyeye indirgenebilir, ama tamamen yok edilemez.
Bir zincirin gücü en zayıf halkasının gücüne eşittir. Teknik anlamda alınabilecek önlemler zincirin halkalarından sadece biridir. Zincirinin en önemli halkası ise insandır. Bu halkada meydana gelebilecek bir zafiyet, alınmış olan tüm teknik önlemleri etkisiz hale getirebilecektir. Ahmet Pekel, Ocak 2006