İçindekiler
Dergi Arşivi

Bilgi Güvenliğinde Tanımlar, Yaklaşımlar ve Teknolojiler - 1

Bilgi Güvenliğimizi Nereye Kadar Kontrol Edebiliriz?

Hazırlayan: Dr. Mustafa Kemal AKGÜL / Sanayi ve Teknoloji Uzmanı (Verimlilik Genel Müdürlüğü)

 

Giriş
Değerli okuyucular, bu sayımızda bilgi güvenliğinde yeni tanımlar, yaklaşımlar ve teknolojiler konusunu açıklamaya çalışacağız. Her değerli şeyin korunması insanda bir içgüdü olarak başlamaktadır. Bilginin korunması da başlangıçta yazılı malzemenin, kitapların korunması ile başlamıştır. Ardından fikrin, icadın korunması için geliştirilen yasal kurallar iki yüzyıl öncesinden başlamaktadır. Bütün bunlar bir anlamda gözle görülür elle tutulur değerler olarak süregelmiştir. Günümüzde bilgi bütünüyle sanal hale gelmiştir. Bilginin kaynağından dağıtımı artık milyonlarla ifade edilebilecek paylaşımlarla olabilmektedir. Bilgi ağlarının kapsamı hemen hemen bütün dünyayı sarmıştır ve her geçen gün ağ içindeki birey sayısı artmaktadır. Bir yandan milyonlarca sayfalık bilgiye erişilirken, diğer yandan yüzbinlerce sayfa yeni bilgi internet ağlarına katılmaktadır. İşte bu bilgi yoğun dünyamızda bilgi güvenliği oldukça önem kazanmıştır. Bilgi güvenliğinin kurgusu, yol haritası, yöntemleri, bilgiyi korumanın maliyeti konularını bu başlık altında bir iki bölüm halinde açıklamaya çalışacağız. Bu bölümde, bilginin değer olması, bilişim saldırganlığı ve nedenleri, saldırı yöntemleri, bilgi güvenliği yönetim sistemlerinden bahsedilecektir.

 Bilginin Bir Değer Olması

Bütün dünyada olduğu gibi Türkiye’de de kamu kuruluşlarının tamamı, özel sektörde yer alan işletmelerin ve kuruluşların da tamamına yakını günlük işlemlerinin bütününü bilgisayar ortamında yürütmektedir. İşletmeler ve kuruluşların bilgisayar uygulamalarında her yeni yıl için öngörülen 10 kat veri depolama ihtiyacı günümüzde gerçekleşmiş bulunmaktadır. Benzer şekilde kamu kuruluşları ve özel kuruluşların büyük bir kısmı hizmetlerini internete yani uzak erişime açmış bulunmaktadır.

Ülkemizde bilginin önemli bir değer olduğu son 40 yıldan bu yana bilinmesine rağmen, başta nüfus sistemi, sosyal güvenlik, sağlık kurumlarındaki kişi bilgileri olmak üzere, bankacılık, ticaret ve benzeri işlemlerin bilgisayar ortamında yer alması, çok uçlu bir ağ içinde paylaşıma açılması nedenleri ile bilginin mutlak bir değer olduğu gerçeği görülmüştür. Türkiye’deki iş yapılanması ve süreçleri, bilginin kaybolmasına tahammül edilemeyecek biçimde değişim göstermiştir.  

Günlük çalışmalar içinde bireyler mutlaka internet ağına bağlanmakta, her türlü bilgi ihtiyacını internet ortamında sağlamakta, sosyal çevresi ile artık internet ortamında haberleşmektedir. Son on yıldan bu yana kamu kuruluşlarında bilginin kaybolmasını önlemeye yönelik felaket durumunda kurtarma çalışmaları yapılmakta büyük çoğunluğu tamamlanmış bulunmaktadır.

Ancak bütün bunlara rağmen, sayıları yaklaşık 3.000.000 olarak tahmin edilen kişisel girişimler, esnaflar ve küçük ölçekli işletmelerimiz bilgi güvenliğinin önemini yeterince önemsememektedirler. Hâlbuki işletmelerin bilgi kayıpları sanıldığından daha büyük maliyetlere mal olmaktadır. Çünkü bilgi artık bir varlığa karşılık gelmektedir.

Bilgi önceki zamanlarda söylendiği gibi güç olmaktan çıkmış günümüzde bir varlık halini almıştır. Bilgi ve destek süreçleri, sistemler ve bilgisayar ağları artık önemli ticari varlıklardır.

Günümüzde bilginin gizliliği, güvenilirliği ve elverişliliği; rekabet gücünü, nakit akışını, karlılığı, yasal yükümlülükleri ve ticari imajı korumak ve sürdürmek için zorunlu ve gereklidir. CSI Survey 2007’ye göre ABD de KOBİ ler bilgi güvenliğine büyük yatırımlar yapmış olmalarına rağmen sanal yollardan yılda ortalama 345.000 USD para kaybına uğramaktadırlar. [1]

Bilişim Saldırganlığı ve Nedenleri

Bilindiği gibi bilginin oluşturulması ve elde edilmesinde iki temel unsur kullanılmaktadır, iletişim sistemleri ve bilgisayar (bilgi işleme) sistemleri. Bu iki unsurun birbirlerinin ayrılmaz parçası olduğu bilinerek, Ülkemizde uzunca bir süredir bilgisayar ve iletişim sistemleri birlikte tanımlanarak bilişim sistemleri olarak adlandırılmış, bu alandaki uygulamalar ise bilişim uygulamaları adıyla kullanılmaya başlanılmıştır. Bu yazı içinde de bilgisayar ve iletişim sistemlerini içine alan bütünleşik yapıdan bilişim olarak bahsedeceğiz.

Bilişim saldırganlığı kavramını açıklayabilmemiz için öncelikle “Bilgi ve ağ güvenliği açısından saldırganlık nedir? İnsanlar ne amaçla saldırgan olur? “sorularını cevaplandırabilmemiz gerekir.

Bilgi ve bilişim sektörünün hızlı ilerlemesinin sonucu olarak saldırı eylemleri artık sadece bilgisayarlar ve bilgisayar ağları ile sınırlı eylem değildir. Mikroişlemcilerin kullanıldığı programlanabilir sistemlere sahip birçok cihaz bilişim saldırılarının hedefi durumundadır.

Geçmişte sadece büyük bilgisayar sitemlerini (mainframe, server) masa üstü sabit bilgisayarları ilgilendiren saldırılar, günümüzde mobil bilgisayar sistemleri olarak sınıflandırılan; akıllı telefonları,  navigasyon cihazlarını, bir tablet bilgisayarı da yakından ilgilendirir hale gelmiştir.

Bilişim sistemlerine yapılan saldırı eylemlerinin birçoğunun macera arayan bilgisayar kullanıcıları tarafından, bilinmeyeni keşfetme arzusuyla aşırı merak nedeniyle gerçekleştirilmektedir. Bilişim alanında çok şey bildiği halde bu bilgilerini değerlendiremeyen ve bilgilerinden ötürü bir fayda ve itibar sağlayamayan kesimde saldırgan potansiyeli içerisinde yer almaktadır.

Bilişim saldırılarının günümüzdeki zararlarının etkileri dikkate alınmakla birlikte bilişim sistemlerinin geliştirilmesinde bilişim saldırganlarının ister istemez katkıları bulunmuş ve bulunmaktadır. Örneğin bu tip saldırganlarca, yazılımlarının son derece güvenilir olduğunu iddia eden bilgi güvenliği ağ sistemlerine, kolaylıkla girilebildiği, hatta girişte herhangi bir şifre ve parola gerekmeyebildiği zamanla ortaya çıkartılmıştır. Bu saldırganların çoğunun, kötü niyetli olmamaları ve saldırı sonrası güvenlik açığının nereden kaynaklandığını belirtir notlar bırakabilmeleri, yazılımlardaki güvenlik açıklarının daha hızlı kapatılmasını sağlamış ve sağlamaya devam etmektedir. [2]

Bu konuda son yıllarda Amerika Birleşik Devletlerinde (ABD) yapılmış olan bir araştırmada, bilişim sistemlerine yapılan saldırıların nedenlerinin ilk üçü; bilgi ve web sistemini çökertmenin verdiği zevk, bir sistemin nasıl çökertilebileceğini öğrenme merakı, sistem açıklarını bulma arzusu olarak belirlenmiş bulunmaktadır (Şekil 1).

 

 Şekil 1. Bilişim saldırganlığı nedenleri Kaynak: N.İmal, M. Eser [2]

 

Şekil 2. Bilişim saldırganlığı akış şeması Kaynak: N. İmal, M. Eser [2]

Bilişim Sistemlerine Saldırı (Siber Saldırı) Yöntemleri

Bilişim sistemlerine saldırılar birçok yöntemle yapılmaktadır. Kendini ispat etmek, merakını gidermek, mesleki ve sosyal grupları içinde saygınlık kazanmak gibi kişisel nedenlerle yapılan saldırılardan daha önemlisi, bir devletin diğer devletlerin savunma, bilgi ve ulusal alt yapılarını kontrol edebilmek, gerektiğinde kullanım dışında tutmak amacı ile potansiyel olarak kurguladığı ve zaman zaman uyguladıkları bilişim saldırılarıdır.
İşte bu türden bütün ülkeyi tehdit edebilecek yapıda, organize olmuş tehditler ve saldırılar; siber saldırlar veya siber tehditler olarak adlandırılmaktadır.

  • Tarama (Scanning) sisteme değişken bilgiler göndererek sisteme giriş için uygun isim ve parolaları bulmak için kullanılır.
  • Sırtlama (Piggybacking), yetkili kullanıcı boşluklarından ve hatalarından yararlanarak sisteme girmektir.
  • Dinleme (Eavesdropping), iletişim hatlarına saplama yapmaktır.
  • Casusluk (Spying), önemli bilginin çalınmasına yönelik aktivitelerdir.
  • Yerine geçme (Masquerading), yetkisiz bir kullanıcının yetkili kullanıcı haklarını kullanarak sisteme girmek istemesidir.
  • Çöpleme (Scavenging), gerçekleştirilen işlem sonucu kalan kullanılabilir bilgilerin toplanmasıdır.
  • Arkaya takılma (Tailgating), dial-up bağlantı düşmelerinden veya işlemin tamamlanmasından sonra hattı elinde bulundurarak sisteme girmektir.
  • Süperzap yöntemi (Superzapping), sistem programının gücünden yararlanarak işlem yapmaktır.
  • Truva atı (Trojan Horse),dışarıdan cazibesine kapılarak indirilen veya sisteme kopyalanan programlardır.
  • Virüsler, kendi başına çalışamayan, ancak başka programlar aracılığı ile çalışıp kendini taşıyan programlardır.
  • Kapanlar (Trap doors), tasarımcıların ve geliştiricilerin sistem bakımında yararlanmak üzere bıraktıkları programlardır. Kötü amaçla kullanılabilirler.
  • Kurtçuklar (worms), kendi kendini çalıştırabilen ve kopyalayabilen bir programdır.
  • Mantık Bombaları (Logic bomb), önceden belirlenmiş koşullar gerçekleşince harekete geçen programlardır.
  • Salami teknikleri (Salami Techniques), dikkati çekmeyecek büyüklükte sistem kaynağı veya kaynakların zimmete geçirilmesi.
  • Koklama (Sniffing), ağ üzerindeki paketlerin izlenmesi.
  • Aldatma (Spoofing), ağa saplama yapılarak bilgilerin değiştirilmesi adres değişikliği yapılması.
  • Kırmak (Cracking), sistem güvenlik önlemlerinin kırılması [3]

 Saldırıya Uğrayabilecek Değerler

    • Kurum İsmi, Güvenilirliği ve Markaları
    • Kuruma Ait Özel / Mahrem / Gizli Bilgiler
    • İşin Devamlılığını Sağlayan Bilgi ve Süreçler
    • Üçüncü Şahıslar Tarafından Emanet Edilen Bilgiler
    • Kuruma Ait Adli, Ticari Teknolojik Bilgiler

Tablo 1. Siber Saldırıların (sanal ortamda gerçekleştirilen güvenlik ihlallerinin) Hedef ve Yöntemleri [4]

 

MOTİVASYON

HEDEF

YÖNTEM

Siber Terör

  Politik değişiklikler

Masum kullanıcılar

Bilgisayar tabanlı şiddet ve yıkım

Siber Protesto

Politik değişiklikler

Karar vericiler

Saldırı

Cracking

Ego, Kişisel düşmanlık

Şahıslar, Firmalar,
Devletler

Saldırı, Açıklık kullanımı
(Alenen yapılabilmektedir)

Siber Suç

Ekonomik fayda

Şahıslar, Firmalar

Sahtekarlık, Kimlik çalma,
Şantaj, Saldırı, Açıklık kullanımı

Siber Casusluk

Ekonomik fayda

Şahıslar, Firmalar,
Devletler

Saldırı, Açıklık kullanımı
(Nadiren alenen yapılmaktadır)

Devletler seviyesinde bilgi savaşları  (Siber Savaş)

Politik veya askeri
fayda

Kritik altyapılar,
askeri bileşenler

Saldırı, Açıklık kullanımı, Fiziksel saldırılar

Bilgi Güvenliği Yönetim Sistemleri (BGYS)

Bilişim sistemlerinin sürdürülebilirliği, bilgilerin silinmeye veya değiştirilmeye karşı korunması, bilgisayar sistemleri ve iletişim ağlarının güvenliğini bir bütün olarak ele alınması uygulamaları, bilgi güvenliği yönetim sistemi olarak adlandırılmaktadır.

Türkiye’de kanun koyucular ve kamu otoritesi bilgi güvenliğine ilişkin somut tedbirleri 2010 yıllarından itibaren, özel tanımlamaları ile birlikte yürürlüğe koymaya başlamıştır. Ancak bilgi güvenliği yönetim sistemi çalışmaları gelişmiş ülkelerde 1990’lı yılların başından itibaren başlamıştır.

Bilgi güvenliğinin önem kazandığı 1990’lı yılların başında, ABD ve İngiltere’de ilk defa bilgi güvenliği standartlarının oluşturulması ihtiyacı hissedilerek, İngiltere’de bankacılık ve zincir mağazalar sektörlerinden temsilcilerin oluşturduğu bir çalışma grubu tarafından ilk standart örneği hazırlanarak 1995 yılında İngiltere resmi standardı olarak düzenlenmiştir.

Bu konuda hazırlanan ilk standartlardan birisi de ISO 17799-1’dir 1999;2000 yıllarında temel (master)  revizyonu yapılan bu standartta bilginin korunması şu şekilde tanımlanmaktadır. “ bilgi birçok formlarda bulunabilir. Kâğıda basılabilir, elektronik olarak depolanabilir, posta veya elektronik yollar ile gönderilebilir, filmler üzerinde gösterilebilir, sohbetlerde konuşulabilir. Bilgi hangi şekilde olursa olsun, her zaman uygun olarak korunmalıdır.” [5]

 

Bilgi Güvenliği Yönetim Sistemi İçinde Hangi Uygulamalar Korunmalıdır?
Bilgi güvenliği bir ülke için kamu yönetiminden, haberleşmeye, savunmadan, ticarete kadar her alandaki uygulamaların bütününü ilgilendirmektedir.  Örneğin, e-Ticaret sadece özel işletmeleri değil, kamu tedarikçisi kurumları da ilgilendirmektedir, nüfus bilgileri veri tabanı sadece kamu yönetimini değil bankacılık ve sağlık uygulamalarını da ilgilendirmektedir. Bu yönüyle bakıldığında BGYS içinde aşağıda yer alan uygulamaların bütünü ele alınmalıdır.

  • E-Ticaret Güvenliği; Finans Sektöründe Bilgi Güvenliği
  • Haberleşme (Telekomünikasyon) Sektöründe Bilgi Güvenliği
  • Hayati Öneme Haiz Altyapıların Güvenliği
  • IPv6 Web 2.0 ; İnternet Güvenliği
  • Kişisel Verilerin Korunması ve Mahremiyeti; Kişisel Bilgi Güvenliği
  • Kurumsal Bilgi Güvenliği
  • Mesajlaşma E-posta Güvenliği
  • Savunma Sanayi Güvenliği
  • Sistem ve Ağ Güvenliği
  • Ulusal Bilgi Sistemleri Güvenliği; Ülke Bilgi Erişim Güvenliği
  • Yakın Alan İletişim (RFID/NFC) Güvenliği
  • Yazılım Güvenliği

Bilgi Güvenliği Yönetim Sistemi - Tanımlar

Bilgi: Verilerin ilişkilendirilerek kullanışlı ve değerli hale gelmiş durumudur. Kurum kimliği ve sürekliliği için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır.
Bilgi Varlıkları: Kurumsal bilgiyi barındıran veya kullanılabilir (erişilebilir) kılan, insan/mekan, donanım/yazılım ve medya
Bilgi Güvenliği: Bilgi varlıkları üzerindeki açıklıkları kullanmaya yönelik çok geniş yelpazedeki tehditlere karşı bilgi varlıklarının korunması.

  Bilgi Güvenliği Yönetim Sisteminde Risk Tanımlama ve Azaltma

Bilgi güvenliğini sağlamak için yapılan tüm faaliyetleri kontrol eden; geliştirici, iyileştirici ve yönlendirici iyi uygulamaların yaşam döngüsü (PUKÖ).
Risk à (Varlık, Açıklık, Tehdit)

    •  Risk sıfırlanamaz
    •  Bütün riskler göze alınamaz

     Risk Yönetimi
Analiz: Varlık sınıflaması (gizlilik,bütünlük, kullanılabilirlik à değeri), varlık envanteri, açıklıklar ve tehditler
Değerlendirme: Tehditlerin etki derecesi ve  gerçekleşme olasılığı
Azaltma: Bilgi varlıklarının açıklarını kapatmak, tehditlere karşı önlemler almak, test edip sonuçları değerlendirmek à PUKÖ [6]
Olağanüstü Hallerde Etki Derecesi Yüksek Riskler
Kavramsal Riskler

  • BGYS için gereken kritik birimlerin ve organizasyonun kurulamaması
  • Bilgi İşlem Merkezlerinin, kurum organizasyondaki konumu
  • BİM personeli istihdam politikaları
  • Kullanıcılar ve alışkanlıkları

Teknolojik Riskler

  • Dışa bağımlı teknoloji kullanımı
  • Donanımlar ve işletim sistemlerindeki riskler
  • Sürekli değişen, gelişen ve artan tehditler/talepler

(Bu makale, yukarıdaki ana başlık altında gelecek sayıda devam edecektir. MKA)

Kaynaklar

  • “Yapay Zeka Temelli Bilgi Güvenliği Yönetim Sistemi Yaklaşımı”C.GEMCİ, Ö.F. BAY ; Gazi Üniversitesi, Bilişim Enstitüsü;

http://www.emo.org.tr/ekler/4847ee98ac2a5d6_ek.pdf   (Erişim Tarihi –ET; 18 Mart 2013)

  • “Bilişim Saldırganlığı, Nedenleri Ve Sınıflandırılması” Nazım İmal; Mehmet Eser Bilgisayar Mühendisliği A.B.D, Bilecik Üniversitesi, Bilecik

http://www.emo.org.tr/ekler/2bb95982621a714_ek.pdf  (ET; 18 Mart 2013)

  • “Kurumsal Bilgi Güvenliği Yönetim Süreci” Doç. Dr. T. K. BENSGHİR, TODAİE

Bilgi Yönetimi Semineri Ankara, Mart 2008.

  • “ Bilgi Güvenliği – Temel Kavramlar” Fatih Özavcı,

 http://www.seminer.linux.org.tr/wp.../bilgiguvenligi-temelkavramlar.ppt  (ET; 18 Mart 2013)

  • ” BS 7799 / ISO 17799 Bilgi Güvenliği Yönetim Sistemi Standardı Tanıtımı”

http://www.infosecurenet.com/resources/17799.pdf   (ET; 18 Mart 2013)