Bilişim Güvenliği Nedir? İbrahim TOSUN Yakup ERBİL

1990’lı yıllarda yaşanan hızlı teknolojik gelişmelerin bir sonucu olarak bilgisayarlar, modern hayatın her alanına girmiş ve vazgeçilmez bir biçimde kullanılmaya başlanmıştır.

Hayatımızın birçok alanında bilgisayar ve bilgisayar ağı teknolojileri “olmazsa olmaz” bir şekilde yer almaktadır. İletişim, para transferleri, kamu hizmetleri, askeri sistemler, elektronik bankacılık, savunma sistemleri, bu alanlardan sadece birkaçıdır.

Teknolojideki bu gelişmeler, bilgisayar ağlarını ve sistemlerini, aynı zamanda, bir saldırı aracı haline, kullandığımız sistemleri de açık birer hedef haline getirmiştir.

Bilişim sistemlerine ve bu sistemler tarafından işlenen verilere yönelik güvenlik ihlalleri inanılmaz bir hızla artmaktadır.

İç Tehdit Bilgi güvenliği tehditleri arasında, organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz iç tehditler çok önemli bir yer tutmaktadır.

Bilinçli tehditler iki kategoride ele alınabilir; Birinci kategori; organizasyonda çalışan kötü niyetli bir kişinin kendisine verilen erişim haklarını kötüye kullanmasını içerir.

İkinci kategori; Bir kişinin başka birine ait erişim bilgilerini elde ederek normalde erişmemesi gereken bilgilere erişerek kötü niyetli bir aktivite gerçekleştirmesini kapsar. Veri tabanı yöneticisinin, eriştiği verileri çıkar amacıyla başka bir firmaya satması ilk kategoriye verilecek örnektir.

Veri tabanı yöneticisi olmayan ve normalde veri tabanına erişim hakkı bulunmayan birisinin erişim bilgilerini bir şekilde elde ederek verileri elde etmesi ve bunu çıkarı için kullanması ikinci kategoriye örnektir. ÖRNEK

Kişisel Gizlilik Kişisel gizlilik, bir kişinin ya da bir grubun kendilerine ait bilginin kimlere ve hangi şartlar altında iletileceğinin bizzat o kişilerin/grubun onayı ile gerçekleştirilmesi anlamında kullanılmaktadır. Kişisel gizliliğin sağlanması iki farklı durumda da gerçekleştirilmelidir.

İlk durum; kişisel verilerin kişilere ait bilgi sistemlerinde bulunduğu esnada tüm tehditlere karşı korunmasıdır ki bu anlamda herhangi bir bilginin korunması için geçerli tedbirler uygulanır. Bu tedbirler, erişim denetimi, yetkilendirme, sürekliliğin sağlanması gibi konuları içerir.

İkinci durum; ise kişisel verinin bir başka sistemle ihtiyaç dahilinde paylaşılmasında uygulanacak güvenlik tedbirlerini kapsar

Bu tedbirler, verinin içeriğinin kişi tarafından paylaşılması onaylanmamış kısmının filtrelenmesi, filtrelenmiş verinin ilgili sisteme güvenli aktarımı ve söz konusu verinin sadece veri sahibi kişiler tarafından onaylanmış organizasyonlarla paylaşılmasını içerir.

Güvenli Yazılım Geliştirme Yazılımlarda oluşan güvenlik açıklıklarının temel sebebi yazılım geliştirme döngüsü içerisindeki her adımda güvenliğin göz önüne alınmaması olarak görülmektedir.

Gereksinim analizi aşamasında güvenlik gereksinimlerinin üzerinde durulmaması, yazılımın tehdit modellemesinin yapılmaması, yazılım testlerinin fonksiyonellik yanında güvenlik testlerini de içermemesi en temel problemlerdir.

Yazılımların kaliteli olarak geliştirilmesi amacıyla CMMI (Capability Maturity Model Integration) gibi standartlar ortaya konmuştur ama bu standartlara uyularak geliştirilen yazılımların güvenliği konusunda herhangi bir güvence oluşmamaktadır.

Güvenli yazılım geliştirme döngüsü oluşturma ile ilgili standartlar geliştirilmektedir. Microsoft tarafından geliştirilen SDL (Security Development Lifecycle) metodu [17] ve OpenSAMM [18] metodolojisi bu tür standart çalışmalarına örnektir. Bu alandaki çalışmaların daha olgunlaşarak devam etmesi beklenmektedir.

Siber Güvenlik 11 Eylül 2001 ikiz kule saldırılarından sonra tüm dünyada kritik altyapıların korunması ve içeriden gelen veya gelebilecek ataklara karşı önlemler geliştirme konusunda önemli çalışmalar yapılmaya başlanmıştı.

Enerji santralleri, hava limanları, nükleer santraller, barajlar, metrolar, limanlar v.b ülke için hayati öneme sahip kritik altyapıların fiziksel ve BT güvenliğinin sağlanması, beklenmeyen olaylar karşısında iş sürekliliğinin devam ettirilmesi, felaket planının yapılması ve uygulanması için çok sayıda proje geliştirilmeye başlanmıştır.

İnternetin yaygın olarak kullanılmaya başlanmasıyla birlikte kötü niyetli internet kullanıcıları veya teröristler ülkelerin kritik altyapılarının BT sistemlerine internet üzerinden saldırarak zarar vermeye çalışmışlardır.

Hatta bu zaman zaman bir ülkenin diğer ülkenin BT altyapısına saldırmasına kadar varmıştır.

27 Nisan 2007 tarihinde Estonya, başkenti Tallinn’de bulunan Rusya’ya ait meçhul asker anıtını kaldırmasından sonra Estonya’da devlete ait web mail sunucuları ve bankacılık sistemlerine ataklar gerçekleştirilmiştir.

Başlangıç atakları sonucunda bazı internet siteleri kötü niyetli kullanıcılar tarafından ele geçirilmiş bazıları devre dışı bırakılmış, bazılarının içeriği değiştirilmiştir.

30 Nisan-18 Mayıs tarihleri arasında Ulusal bilgi sistemleri, Internet hizmet sağlayıcıları ve bankalara yönelik daha geniş katılımlı ve koordineli dağıtık servis dışı bırakma (DDOS)  atakları gerçekleşmiştir.

Bu ataklar sonucunda Estonya’nın ulusal bilgi sistemleri ve ev kullanıcılarına hizmet veren diğer Internet sistemleri büyük zarar görmüştür.

Internet bant genişliği büyük oranda saldırılar tarafından doldurulmuş ve ülkedeki Internet sistemi çökme noktasına getirilmiştir.

Estonya ataklara karşı NATO’dan yardım istemiştir Estonya ataklara karşı NATO’dan yardım istemiştir. Bu ataklarda botnet(köle bilgisayarlar) kullanıldığı için Avrupa, ABD ve diğer ülkelerden de çok sayıda bilgisayarın kullanıldığı görülmüştür.

Bu ataklar sonucu NATO Estonya’nın başkenti Tallinn’de NATO Siber Savunma Mükemmeliyet Merkezini kurma çalışmaların başlamıştır. Bu konudaki çalışmalar hala devam etmektedir.

Sabrınızdan Dolayı Teşekkür Ederiz!