İÇİNDEKİLER

• Giriş

• Bilgi Güvenliği

• Bilgi Güvenliğinin Tarihçesi

• Bilgisayar ve Sistem Güvenliği

• BİLGİ GÜVENLİĞİ UNSURLARI

• Gizlilik (Confidentiality)

• Bütünlük (Integrity)

• Erişilebilirlik (Availability)

• BİLGİ GÜVENLİĞİNİ TEHDİT EDEN SALDIRILAR

• Siber Saldırı

• Sonuç

• Kaynakça

GİRİŞ
Günümüzde, teknolojinin yaygınlaşmasıyla birlikte herkesin bir telefon ve bilgisayarı bulunmakta. Hayatımızın önemli bir parçasını oluşturan bu teknoloji cihazların güvenliği ise göz ardı edilmemesi gereken önemli bir konu çünkü kredi kartı bilgilerimizden, internet bankacılığı uygulamalarına ve şifrelerine, e-devlet ve sosyal medya hesapları ve daha fazlası sadece bizim bilmemiz veya kullanmamız gereken oluşumları sağlıyor. Bununla birlikte kişisel bilgi ve hesapların dışında şirketlerin önemli ve gizli kalması gereken şirket içi bilgileri de bilgisayarlarda ve disklerde depolanıyor. Bunların güvenliğini sağlamak ve toplum olarak bilinçlenmek ileride doğabilecek herhangi bir zarardan kurtulmamızı sağlayabilir.
BİLGİ GÜVENLİĞİ
Bilgi, insan hayatındaki en hassas ve önemli varlıklardan birisidir. Kişiler, kurumlar ve ülkeler için bilgi, elde edilmesi zor, aynı zamanda elde tutulması da zor bir metadır(Canbek ve Sağıroğlu 2006). Kanadalı ekonomist ve diplomat olan John Kenneth Galbraith bir konuşmasında şunları söylemiştir: “Endüstri toplumuna hız kazandıran şey paradır; fakat bilgi toplumunu hızlandıran ve güce ulaştıran bilgidir, şimdi bilgi sahibi olanlar ve olmayanlar şeklinde yeni bir sınıfsal bölünme ortaya çıktı. Bu yeni sınıf, gücünü paradan ya da sahip olunan topraklardan değil, sadece bilgiden alıyor.”
Ünlü ekonomist bu sözleriyle çağımız hakkında haklı bir tespitte bulunmuş ve bilginin neden korunması gerektiğine dair ipucu vermiştir.
Çağımızın getirdiği bilgiye olan bağımlılık, bilginin ve bilgi güvenliği konusunun önemini arttırmıştır. Teknolojinin gelişmesiyle birlikte elektronik olarak saklanan bilgi sayısını ciddi boyutlara ulaştırmıştır. Bu durum beraberinde yeni riskleri ortaya çıkarmıştır. Ortaya çıkan bu riskler ise bilgi güvenliğini sağlamak adına yeni tedbirlerin alınması ihtiyacını doğurmuştur.

BİLGİ GÜVENLİĞİNİN TARİHÇESİ
1990’lı yılların ortalarına doğru İngiltere’de bazı sanayi kuruluşların talepleri ve BSI (İngiliz Standartlar Enstitüsü) girişimleri ile temelleri atılan Bilgi Güvenliği Standartları BS7799 altında ortaya çıkmış, 1995 yılında BS7799 olarak yayınlanan standart daha sonra iki kısma ayrılarak BS7799-2:1998 ve BS7799-1:1999 olarak yayınlanmıştır.
Uluslararası Standartlar Komitesi (ISO) ise Bilgi Güvenliği ile ilgili standardın birinci bölümünü 2000 yılında ISO 17799 olarak yayınlamıştır.
Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri ni içeren standardın son gözden geçirmeleri 2004 Ekim’de tamamlanmıştır, yeni versiyonu 2005 yılda yayınlanmıştı. (ISO-27001)

BİLGİSAYAR VE SİSTEM GÜVENLİĞİ
Bilgisayar ve sistem güvenliği politikaları, kurum ağında ve sistemlerde oluşabilecek durumları yetkili/güvenli ve yetkisiz/ güvensiz olmak üzere ikiye ayıran yazılı kurallar bütünüdür. Güvenlik politikaları gizlilik, bütünlük ve erişilebilirlik prensiplerini bir bütün halinde ele almaktadır. Kurumsal güvenlik politikaları, kurum bünyesindeki bilişim kaynaklarının güvenli bir şekilde nasıl kullanılması gerektiğine dair bir plan sunmakta ve kurumun bilgi güvenliğini tehdit eden durumların önüne geçebilmek için izlenmesi gereken kuralları belirlemektedir. Ağ güvenliği politikaları, sadece kurum dışından gelebilecek güvenlik tehditlerini değil, kurum içinden gelebilecek güvenlik tehditlerini de ele almalı ve güvenliği bir bütün halinde değerlendirmelidir. Bilişim kaynaklarına yönelik güvenlik tehditleri, kurum dışından olduğu kadar kurum içinden de kaynaklanabilmektedir. Bu nedenle, kurumsal güvenlik politikaları oluşturulması gerekmektedir. Güvenlik politikaları, kurum bünyesindeki bilişim kaynaklarının daha verimli kullanılmasını sağlamaktadır. Bu çalışma kapsamında; saldırı aşamaları açıklanmakta, saldırı yöntemlerine ve türlerine örnekler verilmekte, saldırılardan korunma mekanizmaları ayrıntılı olarak anlatılmaktadır. Saldırı türleri ile alt güvenlik politikaları ilişkilendirilerek, saldırı türlerine karşı uygulanacak güvenlik politikaları açıklanmaktadır. Ayrıca, kurumlar için ağ güvenliğinin önemine ve amacına değinilmekte, ağ güvenliği politikaları hazırlanırken dikkat edilmesi gereken durumlar açıklanmaktadır. (Özgü Can, M. Fatih Akbaş, 2014)

BİLGİ GÜVENLİĞİ UNSURLARI
Bilgi güvenliği, bilgilerin elektronik veya fiziksel olarak saklanıp saklanmadığıyla ilgilenmeden, bilgiyi yetkisiz erişime, kullanıma, bozulmaya, değiştirmeye veya yok etmeye karşı korur. Bilgi Güvenliğinin sağlanması için üç temel unsur göz önünde bulundurulmalıdır. Bu unsurlar;
• Gizlilik (Confidentiality)
• Bütünlük (Integrity)
• Erişilebilirlik (Availability)
Bu üç kavram, bilgi güvenliği için hedeflenen unsurları somutlaştırmaktadır.
(Gülizar Duygu KURT KAYA-2017)

(Singh, Vaish, ve Keserwani 2014)
Gizlilik
Bilginin yetkisiz kişilerin erişimine açık olmaması anlamına gelmektedir. Gizlilik konusu veri gizliliği ve mahremiyet olarak ikiye ayırılabilir. Veri gizliliği, özel veya gizli bilginin yetkisiz kişilere açıklanmadığını veya ifşa edilmediğini garanti eder. Mahremiyet, bireylerin kendileri ile ilgili hangi bilgilerin toplanıp saklanabileceğini ve kimlerin kime ve kim tarafından ifşa edilebileceğini kontrol etmesini ya da etkilemesini sağlar.
Bütünlük
Bilginin yetkisiz kişilerce değiştirilememesi, silinememesi veya herhangi bir şekilde zarar görmesine sebep olacak saldırılardan korunuyor olması anlamına gelir. Ayrıca bütünlük bilginin kazara ya da kasıtlı olarak bozulmaması olarak tanımlanabilir.
Erişilebilirlik
Bilginin her ihtiyaç duyulduğu anda erişime açık olması durumuna denir. Kullanıcının yetkileri dâhilinde herhangi bir sorun ya da problem çıkması durumunda bile bilgiye erişebiliyor olması gerekmektedir.
Bilgi Güvenliği konusunda yapılan çalışmaların ilk yıllarında “Bilgi Güvenliği Üçlüsü” temel unsurlar olarak yeterli görülse de zaman içerisinde yetersiz kaldığı düşünülmüştür (Stallings 2011). Bu modelin daha çok teknoloji odaklı olduğunun ve bilgi güvenliğinin insan unsuru üzerinde yeterince odaklanmadığının üstünde durulmuştur (Pender-Bey 2012). Oysaki insan faktörü bilgi güvenliği açısından en büyük tehdidi oluşturmaktadır. Donn B. Parker 1988 yılında Parker Altısı olarak adlandırılan yeni bir set ortaya atmıştır. Parker Altılısı Bilgi güvenliği üçlüsünün üzerine kurulmuş olmasına rağmen bilgi güvenliği konusunu daha kapsamlı bir şekilde ele almaktadır. Parker Altılısı tehditlere karşı koruma sağlamak için yoğunluklu olarak kimlik doğrulama ve şifrelemeye dayanır. Parker Altılısı Şekil-2 de gösterildiği gibidir. (Gülizar Duygu KURT KAYA-2017)

BİLGİ GÜVENLİĞİNİ TEHDİT EDEN SALDIRILAR

Gizliliği Tehdit Eden Saldırılar:
Genel olarak, iki tür saldırı, bilginin gizliliğini tehdit eder: gözetleme ve trafik analizi. Ağ trafiğini dinleme (Snooping), verilere yetkisiz erişime veya veri kesme işlemine yönelik olarak gerçekleştirilir. Trafik analizi ise bir saldırganın çevrimiçi trafiği izlenerek toplanan değişik türdeki bilgileri elde etme işlemidir.

Bütünlüğü Tehdit Eden Saldırılar:
Verilerin bütünlüğü çeşitli saldırılarla tehdit edilebilir. Bu saldırılara örnek olarak değiştirme, maskeleme, tekrarlama ve reddetme verilebilir.

Erişilebilirliği Tehdit Eden Saldırılar:
Hizmet dışı bırakma (DOS) saldırıları ve dağıtık hizmet dışı bırakma saldırıları(DDOS), bir sistemin hizmetini yavaşlatabilir veya tamamen kesebilir. Saldırgan bunu başarmak için çeşitli stratejiler kullanabilir. Sistemi çok meşgul edebilir, çökertir ya da bir yönde gönderilen iletileri kesebilir ve gönderme sistemini iletişim veya mesajdaki taraflardan birinin mesajı kaybettiğine ve tekrar gönderilmesi gerektiğine inanmasına neden olabilirler.

SİBER SALDIRI
Hedef seçilen kurum veya kişilerin bilgi sistemlerinin işleyişinin engellenmesi, bozulması, değiştirilmesi yoluyla; iş, idare veya toplumsal hayat üzerinde olumsuz etki oluşturulmasıdır. Ulusal veya uluslararası düzeyde ticari, politik veya askeri amaçlı olarak planlı ve koordineli bir faaliyet olarak gerçekleştirilebilir.
Bir veri iletişim sistemine yönelik tehditler şunları içerir:
• Bilgi ve / veya diğer kaynakların tahrip edilmesi
• Bozulma veya bilginin değiştirilmesi
• Bilgi ve / veya diğer kaynakların çalınması, kaldırılması veya kaybolması
• Bilgilerin ifşası
Siber saldırı türleri örnekleri aşağıda listelenmiştir;
• Açık mikrofon dinleme
• Yemleme (phishing)
• Kabloya saplama yapma
• Oturum çalma
• Bilgi kirliliği
• IP aldatmacası
• Ağ tarama
• Yığın e-posta gönderme (spam)
• İnternet servis saldırıları
• Kriptografik saldırılar
• Trafik analizi
• Zararlı yazılım
• Sosyal mühendislik (social engineering)
• Yerine geçme
• Zamanlama saldırıları
• Tuzak kapı (trapdoor)
• Hizmet dışı bırakma
(Gülizar Duygu KURT KAYA-2017)

SONUÇ

Teknolojinin hızla gelişiminin ardından bilgisayar ve sistemlerdeki güvenliğin önemi her geçen gün artmaktadır. Yazıda açıkladığım gibi siber saldırılar her an gerçekleşmekte olup buna önlem almamız çok önem teşkil etmektedir. Güvenliğimiz için güncel saldırı yöntemlerini bilmemiz ve buna önlem almamız bilgilerimizi güvenle saklamak ve oluşabilecek zarardan kaçınmamızı sağlar.

KAYNAKÇA
• Özgü Can, M. Fatih Akbaş (2014), KURUMSAL AĞ VE SİSTEM GÜVENLİĞİ POLİTİKALARININ ÖNEMİ VE BİR DURUM ÇALIŞMASI
• Mete EMİNAĞAOĞLU Yılmaz GÖKŞEN (2009), BİLGİ GÜVENLİĞİ NEDİR, NE DEĞİLDİR, TÜRKİYE’ DE BİLGİ GÜVENLİĞİ SORUNLARI VE ÇÖZÜM ÖNERİLERİ
• Gülizar Duygu KURT KAYA (2017), BİLGİ GÜVENLİĞİ VE SİBER GÜVENLİK KAPSAMINDA BAKANLIK UYGULAMALARI İÇİN GÜVENLİ YAZILIM GELİŞTİRME METODOLOJİSİ ÖNERİSİ
• ISO. 2012. “Iso 27032 Information technology — Security techniques — Guidelines for cybersecurity”. 25021: 11

Photo by Philipp Katzenberger

 

Creative Commons Lisansı
Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.