Bilg. Müh. Meltem DOĞAN
1.Giriş
Kurumların sahip olduğu en değerli varlıkları olan bilginin; gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından sürekli korunması gerekmektedir. Bilgiye olabilecek yetkisiz erişimlerin engellenmesine gizlilik, yetkili erişim sonucunda kendine özgü bilgi mahremiyetinin korunmasına bütünlük, ihtiyaç halinde kolay ulaşılabilir olması erişilebilirlik denir. Bu bileşenler korunacak bir bilginin üç temel özelliğini teşkil eder. Bu, temel niteliklerin korunabilmesi için sistem üzerinde sadece teknik açıdan önlem almakla yetinilmemelidir.
Bilgi güvenliğine dayalı problemlerin yalnızca teknik yöntemlerle çözümlenebileceği düşüncesi, bilgi güvenliğinin sağlanmasında belki de en önemli unsur olan insan faktörünün göz ardı edilmesine neden olmaktadır.
2. Bilgi Güvenliğinde Farkındalığın Önemi ve İnsan Faktörü
Bir kurum, maliyetine bakmaksızın paranın alabileceği en ileri güvenlik teknolojilerini kullanabilir, sistemleri tasarlayabilir ve adeta kendisini bir güvenlik çemberinden geçirebilir. Bu şekilde sadece en son teknolojiyi kullanarak üst seviyede güvenlik önlemleri alabilen bir kurumda bilgi güvenliğinin tamamen (%100) sağlanmış olduğundan bahsedilemez.
Bilgi güvenliğinin sağlanması, üç temel sürecin bütünsel bir şekilde gerçekleşmesi ile yakında ilgilidir. Bunlardan biri doğru plan, strateji ve politikalarla doğru bilgi güvenliği yönetimi uygulamalarını kapsayan yönetsel süreç, ikincisi şifreleme, güvenlik duvarları, anti virüs yazılımları, yedekleme, denetim gibi teknik içerikli çözümleri kapsayan teknolojik önlem süreci ve son olarak kullanıcıların eğitim yoluyla bilgi güvenliği bilinci kazanmalarını sağlayan eğitim ve farkındalık sürecidir.
Bilgi güvenliğine yönelik yapılan çalışmalarda güvenliğin en zayıf unsuru olan insan faktörü ikinci plana atılmaktadır. Tüm teknoloji, altyapı, politik/standart/kanun ve denetim alanlarının başarısı insan tarafından gerçekleştirilmektedir. Dolayısıyla günümüzde insan bilgi güvenliğinin bir bileşeni olmaktan çıkmış güvenliğin ana unsuru ve tüm bileşenlerini etkiler hale gelmiştir.
Teknoloji her geçen gün gelişip zorlaştıkça saldırganların insan faktörlü açıklıklarından faydalanma yüzdesi artmaktadır. İnsan kaynaklı tehditleri; bir kullanıcının, sistemi bilinçsiz ve bilgisizce, yeterli eğitime sahip olmadan kullanması sonucu sistemde ortaya çıkma olasılığı olan kötü niyet barındırmayan tehditler ve sisteme zarar verme amacıyla sisteme yönelik olarak saldırganlar tarafından yapılacak atakları kötü niyet barındıran tehditler olarak iki alt grupta değerlendirilebiliriz.
Kullanıcının sistemi bilinçsiz ve bilgisizce, yeterli eğitime sahip olmadan kullanması sonucu sistemde ortaya çıkma olasılığı olan kötü niyet barındırmayan tehditlere örnek olarak, genelde e-posta gibi yollarla kişilere ulaşan Phishing saldırıları kişilerin kredi kartı gibi ayrıntılarını sanki resmi bir kurummuş gibi ister. Bu tip mailleri cevaplayan kullanıcıların da hesapları, şifreleri vb. özel bilgileri çalınmaktadır. Bir başka örnekte kullanıcıların çok az bir kısmının parola güvenliği konusunda tedbir aldığı saptanmıştır. Yine e-posta yoluyla gönderilen virüslere tıklamak, virüs bulaşmış harici cihazları bilgisayarlara bağlamak virüs bulaşmasına neden olabilir. Virüsler sistemlerde sistem dosyalarında değişiklik yaparak çalışmaz hale getirebilir; istenmeyen görüntülerin ekranda görünmesine neden olabilir ya da veriler üzerinde değişiklikler yapabilirler. Kullanıcının bilinçsizce rastgele bir siteden indirdiği .exe dosyaları ile Truva atı bulaşabilmektedir. Truva atları normal bir program gibi görünen gerçekte ise kötü amaçlı kodlar barındıran programlardır. Sistemleri etkileyebilmeleri için iliştirilen programın çalıştırılması gerekmektedir. Bu tür yazılımlar sistemde arka kapılar açabilmekte, girdiği sisteme izinsiz olarak uzaktan erişime neden olabilmekte ya da bilgisayarda depolanan kritik bilgileri karşı tarafa gönderebilmektedir.
Sisteme zarar verme amacıyla sisteme yönelik saldırganlar tarafından yapılan ataklar kullanıcı bilgisi dışında sistem üzerinde istenmeyen değişiklikler yapan saldırılar olarak tanımlanabilir. Bu tür tehditlerde saldırganlar tehdit kaynağı ve sistemde bulunan güvenlik boşluklarından yararlanırlar. Örneğin; robotlar, bir dizi robotlardan oluşup zafiyetli bilgisayar ve sistemlere veriler göndererek daha sonra bu bilgisayarları yapacakları saldırılarda kullanılırlar. Casus yazılımlar, kullanıcı ve şirket bilgilerini gizlice toplayıp saldırgan ya da üçüncü kişilere gönderen yazılımlardır. Genellikle kredi kartı bilgilerine erişmek veya kullanıcı alışkanlıklarını saptamak amacıyla yaygın olarak kullanılmaktadırlar. DoS atakları, internete bağlı bir hostun hizmetlerini geçici veya süresiz olarak aksatarak, bir makinenin veya ağ kaynaklarının asıl kullanıcılar tarafından ulaşılamamasını hedefleyen saldırılardır. DDoS atakları, failin birden fazla benzersiz IP adresi kullandığı bir siber saldırıdır (genellikle binlerce). DDoS saldırılarının ölçeği, 2016 yılına kadar saniyede bir terabiti aşarak son yıllarda artmaya devam etti. Kırmalar da ise saldırganlar sisteme erişim yetkisi kazanmak veya hedef sistem üzerinde istedikleri kodu çalıştırmak için kaba kuvvet saldırıları düzenlerler. Bu saldırıların en basit örneği kullanıcı adı/parola tahmini için peşpeşe çok sayıda olasılığın denenmesidir.
Bir kurumun bilgi güvenliği açısından karşı karşıya bulunduğu riskleri azaltmada kullanılması gereken ana yöntemlerden biri eğitimdir. Bilgi sistemlerini kullanan kullanıcıların, bilgi güvenliği konusunda eğitimlerle bilinçlendirilmesi, onların bir güvenlik boşluğu olmasını ve kurum açısından risk oluşturacak bir etken olmaları olasılığını en aza indirecektir.
Güvenliğin sağlanması için teknolojiden önce insana yatırım yapılması, en tepeden en alt çalışana, hatta bilgi alışverişi yaptığı, varsa tedarikçileri, müşteri ve ziyaretçilerini bilgilendirmesi, onlar üzerinde bir bilgi güvenlik farkındalığı oluşturması, kendini geliştirmesi, bilgi güvenlik faaliyetlerinin benimsenmesi, önemsenmesi ve desteklemesi çok önemlidir. Farkındalık ile çalışanlar üzerinde güvenlik bilinci oluşturulurken hangi bilgilerin korunması gerektiği, bunların ne tür tehditlere karşı nasıl korunması gerektiği konusunda bilinçlendirme yapılır. Bilgi Güvenliğini, çalışanların düşünce ekseninde tutmanın en etkili yollarından biri çalışanın bilgi güvenliği sorumluluklarını aynı zamanda bir iş sorumluluğu olarak görmesini sağlamaktan geçer.
Bilgi güvenliği farkındalığı oluşturmadaki asıl amaç; bilgi eksikliğinden kaynaklanabilecek insan hatalarını ve teknolojinin yanlış kullanılması risklerini azaltmak, bireylerin bilgi güvenliği tehditleri ve sorunlarından haberdar edilmesi, normal çalışma zamanları içinde kurumun güvenlik politikasını desteklemek üzere donanımlı bir hale getirebilmeyi sağlamak olmalıdır.
3.Sonuç
Güvenlik kuralları; bilgiyi korumak amacıyla, çalışan davranışları için yön gösterici bir rehberdir ve güvenlik tehditlerini bertaraf edebilmek içinde etkili kontrol geliştirilmesinin temel yapı taşıdır. İyi tasarlanmış ve kurgulanmış farkındalık programı güvenlik çemberinin en zayıf halkasının güçlenmesini sağlayacaktır.
En önemli ve en etkili güvenlik önlemi kurumun çalışanlarını mutlaka ama mutlaka eğitmesi ve bilinçlendirmesinden geçmektedir. En basit bir ciddiyetsizlik, dikkatsizlik, sorumsuzluk bilginin yetkisiz kişilerin eline geçmesine ve kurum için maddi manevi çok büyük belki telafisi mümkün olmayabilecek kayıplara sebep olabileceği hiçbir zaman unutmamalıdır.
Kaynaklar
- Shephard, B. 2002. Information security-who cares?. Power System Management and Control, Fifth International Conference on (Conf. Publ. No. 488), 126s.
- Moffett, J. 1990. Network security management. Security and Networks, IEE Colloquium on, 4- 6
- Akademik Bilişim’09 – XI. Akademik Bilişim Konferansı Bildirileri 11-13 Şubat 2009 Harran Üniversitesi, Şanlıurfa , 597-598s
- Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan, BGD Siber Güvenlik ve Savunma Kitap Serisi 1, 110-112s
- Boujettif, M. ve Wang,Y. (2010). Constructivist approach to information security awareness in the Middle East
- Pro-G. (2003). Bilişim güvenliği 16-19s
- Arachchilage, N.A.G., Love, S. (2014). Security awareness of computer users: A phishing threat avoidance perspective. Computers in Human Behavior, 38, 304-312.
- http://cdn.istanbul.edu.tr/FileHandler2.ashx?f=bilisimdekariyer2.pdf
- Semanur ÖZTEMİZ ve Bülent YILMAZ BİLGİ DÜNYASI, 2013, 14 (1)87-100
- Goodin, Dan (28 Eylül 2016). “Record-breaking DDoS reportedly delivered by >145k hacked cameras”. Ars Technica. 2 Ekim 2016 tarihinde kaynağındanarşivlendi.
- Khandelwal, Swati (26 Eylül 2016). “World’s largest 1 Tbps DDoS Attack launched from 152,000 hacked Smart Devices”. The Hacker News. 6 Mayıs 2017 tarihinde kaynağından arşivlendi.
Bir cevap yazın