Kategoriler
Bilişim Etiği

Yeni Medya Ve Etik

YENİ MEDYA VE ETİK

İçindekiler

  • Giriş
  • Etik Nedir?
  • Yeni medya nedir?
  • Yeni medya ve etik
  • Yeni Medyada Kişisel Verilerin Kullanımı
  • Kaynakça
  • Sonuç

Giriş: Yeni medya ve  etik   tartışması  son dönemde daha da görünür olan başlıklardan biri olarak gündemimize gelmektedir. Bu durumun en dikkat çeken sebeplerinden biri, hiç kuşku yok ki,yeni   medya   mecralarında   daha   yaygın   görülen   ve   artık   neredeyse   “sıradanlaşan”   etik ihlalleridir. Aslında burada söz konusu olan,   yaşadığımız çağda köklü ve hızlı bir  biçimde değişen gündelik yaşam pratikleridir. Bu pratiklerin ayrılmaz bir parçası konumunda olan yeni medya araçları   ve  ortamı,   hem bu  pratiklerin  teknolojik  tezahürü  hem  de   -paradoksal bir biçimde- kaynağı/sebebidir. Her ne kadar görmezden gelmeye çalışılsa da, “etik” başlığı söz konusu krizde kendini bu pratiğin aktörlerine dayatır. Bu nokta meselenin “genel” bağlamıdır.Bağlam iletişim alanı olduğunda ise, temel güçlük, yeni medyanın kendine özgü koşullarının yaratmış olduğu belirsizlik durumu ve bu koşulların geleneksel medyadan radikal bir biçimde ayrışmasıdır.  Dolayısıyla   geleneksel   medya   ile   ilgili  tartışılan   etik   kodlar,  yeni   medya bağlamında   yeterli   ve   işlevsel   olmamaktadır.  Açıktır   ki,   yeni   medya  ortaya çıkmamıştır,   geleneksel   medya   ile   arasında   bir   “köken”   ilişkisi   bulunmaktadır,   ancak geleneksel medya ile arasındaki ilişki artık “benzerlik” üzerinden değil, “farklılık” üzerinden tanımlanabilecek kadar opaklaşmıştır. Bu sebeple, yeni medya ve etik bağlamında yürütülen tartışmalarda yeni   medyanın  bu  kendine  özgü niteliklerinin   merkezi  rolü  mutlaka   dikkate alınmalıdır.

    Etik: Genel olarak, geçmiş, günümüz ve gelecekte insanların davranışlarının iyi ya da kötü, doğru veya yanlış yönden değerlendirilmesini içeren ve dünyanın her yerinde geçerli olması beklenen ilke ve kuralların bütünü olarak tanımlanabilir. Bu çalışmada, internet haberciliği ve Türkiye’de yayın yapan internet haber sitelerinin habercilik etiğine bakışıyla ilgili örnekler eşliğinde değerlendirmeler yapıldı. Çalışmada etik, ahlak, meslek etiği, medya etiği, internet haberciliğinin etik sorunları gibi konularda site incelemesi yapıldı. İncelenen haberlerin kamuoyunu bilgilendirme amacından çok tık haberciliğine hizmet ettiği ve eğlendirme amacına hizmet ettiği görüldü. Ayrıca bu makalede internet haberciliğinin olumlu ve olumsuz yönlerini tartışarak haberleri medya etiği açısından tartıştık. İnternet haber siteleri medya etiği değerlerine riayet ediyor mu? gibi sorulara cevap aradığımız çalışmada birçok örnekle bu değerlerin nasıl çiğnendiği bir kez daha ortaya çıktı

Yeni Medya

Gelişen bilgisayar, internet ve mobil teknolojisi ile ortaya çıkan, kullanıcıların zamandan ve mekândan bağımsız bir şekilde interaktif olarak etkileşimde bulundukları sanal medya ortamıdır. Geleneksel medya dediğimiz, yazılı ve görsel basında yani gazete, televizyon ve diğer araçlarda, iletim tek yönlüdür. Ancak, yeni medya araçlarında hedef kitle ile karşılıklı etkileşim mevcuttur. “Yeni” olarak belirttiğimiz kavram aslında mesaj değil, ortamdır. Tarih boyunca insanlar ve toplumlararası bir mesajlaşma olmuştur. En ilkel mağara duvarları yazılarından tutalım da günümüz son sürat teknoloji iletilen bilgiye kadar, temel amaç hep mesajın taşınması olmuştur. İşte bu bağlamda bilginin taşınması “günümüz” itibarı ile “yeni” ortamlar ve mecralar ile taşındığından dolayı “yeni medya” kavramı ortaya çıkmıştır.

Medyanın tek görevi gazeteciliğin temeli olan 5N 1K’nın “ne” sorusuna cevap bulmak değildir. Yeni medya büyük ölçüde “şu an ne oluyor” sorusuna hızlıca cevap vermeyi temel işlevi olarak algılamaktadır. Ancak gazetecilikte daha önemli olan sorular “neden” ve “nasıl” sorularıdır. Haber toplama, işleme, sunum ve dağıtım faaliyetleri de bir değişim sürecine girdi. Haberciler değil onların haber kaynakları da gelişen ve çeşitlenen bu teknolojilerden, yararlanıyor. Gazeteciliğin özü olan “muhabirlik” sisteminden, daha ziyade bir denetim ve düzenleme sistemi olan “editörlük” sistemine geçiş yaşanmıştır. Haber çok farklı formlarda düzenlenebilir, tasarlanabilir, sunulabilir. Okura yeni perspektifler sunarak katılım sağlanabilir. Metnin yanı sıra, görüntü, ses, grafik ve diğer multimedya araçlarından yararlanılabilir. (Karaduman) Çünkü gazeteciliğin özü olan “muhabirlik” sisteminden, daha ziyade bir denetim ve düzenleme sistemi olan “editörlük” sistemine geçiş yaşanmıştır. Oysaki editoryal sistem için öncelikle haber gereklidir. Haber ise yalnızca internetten, ajanslardan, oradan buradan toplanıp makyajlanan bir şey değildir. Haber, araştırmadır, haber özgünlüktür, haber röportajdır, haber emektir. Özellikle Türkiye’de internet gazetelerini incelediğimizde haberciliğin özünden gitgide uzaklaşan, internet ve ajanslardan gelen haberlere sadece “çarpıcı” başlık bulma üzerine kurulmuş bir anlayışın egemenliğinden söz etmek yanlış olmayacaktır. Elbette alternatif haber kaynakları ve internet siteleri yok değildir. Ancak bu alternatif haber kaynakları çok azınlıktadır. Dolayısıyla haberciliğin kolaycılığa endekslendiği bir bakış Türkiye’de yeni medyada hâkim olan anlayıştır. Bunun nedeni ise kolayca anlaşılabilir. İnternet gazeteleri en temel işlevleri olan “haber verme”, “toplumdaki farklı fikirler için forum oluşturma”, “yönetenleri kamuoyu adına denetleme” yerine iki işleve yönelmişlerdir: Eğlendirme ve En fazla tık alma. Geleneksel yayıncılıkta ne sunulursa onu alan izleyici, dijital yayıncılıkta yayın kaynağını ve bu kaynaktan ne alacağını kendi seçerek tek yönlü iletişim halkasını kırmaktadır. Zira dijital yayıncılık sadece platform olarak kullanıcısına sunduğu teknik olanaklar ile değil, yayın dinamikleri arasında yer alan etkileşimli hizmetleri ile de kullanıcısını aktif kılmaktadır. Bankacılık faaliyetleri, alışveriş, oyunlar ve sosyal medya bağlantılı uygulamalar bu hizmetlere örnek teşkil etmektedir. 196 Bilgi işlem ve iletişim teknolojilerini bir arada barındıran yapısıyla yeni medya, kitlesel izleyicilere sürekli program akışı sunan geleneksel radyo TV yayıncılığının biçimsel kalıplarını böylece kırmıştır. Geniş kitlelere yönelik yayıncılığın yerine daha dar ölçekte tanımlanmış, görece türdeş gruplara yönelik yayıncılık güçlenmiştir. Sunulan paket içeriğinin bu programlara göre (paket programlar olarak) ayarlanabilmesi, alıcının istediği anda istediği bilgiyi seçip kullanabilmesi, yeni medyanın kitle iletişim araçlarının program akışı ile arasındaki farkı ortaya koymaktadır. Radyo/TV içeriği genel olarak aynı kitle izleyicisine iletirken, yeni medya (dijital yayıncılık, yüksek çözünürlüklü televizyon-HDTV, teletext, videotext, videokonferans vb) önceden hazırlanmış içerikleri farklı kişi ya da gruplara, farklı zamanlarda ve mekanlarda, değişebilen program akışları ile iletilebilmektedir.

Yeni Medya ve Etik

Yeni medya ve beraberinde getirdiği çok seslilik, son yıllarda medyada meydana gelen ekonomik dönüşüm ve beraberinde getirdiği iş adamı-gazeteci kimliğine bir tepki ve aynı zamanda çözüm niteliği taşımaktadır. Görece küçük ölçekli yeni medya kurumları ana akım medya ile iktidar arasındaki ekonomik ilişkilerden bağımsız faaliyet gösterdiği, her düşünceye yer verdiği ve tüm kullanıcılara demokratik bir biçimde düşüncelerini paylaşma imkânı verdiği için yeni ve korunması gerekli bir özgürlük alanı yaratmaktadır. Bu alanın verimli ve demokrasiyi geliştirici bir nitelik taşıması ise yoğun denetim mekanizmaları ve hukuki yaptırımlar çerçevesinde değil kullanıcıların önemli bir toplumsal kurum haline gelen medya konusunda bilinçlendirilmesi ve medyanın doğru analizi ile mümkün olacaktır. Yukarıda saydığımız olanaklar yeni medyada haberciliğe yeni bir boyut getirmekle beraber teknolojinin yoğun biçimde kullanımıyla birlikte bazı etik ihlallerini de beraberinde getirmiştir. Alternatif Bilişim Derneği Yeni Medya Çalışma Grubu’nun 04.06.2011’de gerçekleştirilen Çalıştay’da bu husus üzerinde durmuş ve yeni medya üzerinden etik ihlallerini araştırmıştır. Tespit edilen sorunlar şöyle sıralanmıştır;  Özel yaşamın gizliliği, telif / patent haklarının ihlali, içeriğin asıl kaynağının gösterilmemesi, üretilen içeriklerin olgunlaşmadan ve doğruluğunun teyit edilmeden yayılması, kişisel verilerin güvenliği, haber ve ticari enformasyonun sınırlarının belirsizleşmesi, yeni medya özellikleriyle kullanıcının yoğun reklama maruz bırakılması, toplumsal cinsiyet eşitsizliğinin yeniden üretilmesi, içeriklerin yanıltıcı bir biçimde etiketlenmesi ve başlıklandırılması, nefret söylemi, söylemsel pratiklerdeki sorun, dilin özensiz kullanımı, bireyin yeni medya ortamında tüketici olarak konumlandırılması. 

Yeni Medyada Kişisel Verilerin Kullanımı
İnternet ortamı, özellikle de sosyal medya normal şartlar altında tanımadığımız kimselerle
paylaşmayacağımız kişisel bilgilerimizi hatta bankacılık bilgilerimizi rahatlıkla paylaştığımız
bir alan haline geldi. Çoğumuzun özgürlük olarak nitelendirebileceği bu durum diğer
yandan denetlenmesi imkânsız gibi görülen internet aracının çok güçlü bir denetim aracı
haline geldiğine de işaret etmektedir. Bu bağlamda kişisel verilerin güvenliği internet
ortamında kullanıcıların şimdilik görmezden geldiği en ciddi sorun olarak karşımıza
çıkmaktadır.
“Kişisel veri, genel hatlarıyla bir bireyin şahsen tespit edilmesine veya bir kişinin bir birey olarak diğerlerinden ayırt edilmesini sağlayan her türlü bilgi demektir.” (Binark, Bayraktutan, 2013:73) İnternet kullanıcılarının çoğunlukla dikkat etmediği husus herhangi bir sitede bir kez paylaştıkları bilginin daha sonra karşısında çıkmasıdır. Bununla birlikte reklamcılar açısından kesin bir ekonomik değeri olan kişisel bilgileriniz ve iletişim bilgilerinizin herhangi bir alışverişe konu olup olmadığını da bilemezsiniz. Bu konuda Birsen’in yaptığı bir araştırma, “Türkiye’de internet yayıncılığı yapanların okur bilgilerinin özel hayat sınırları içine girdiğinin, kendileri ve siteleri için yararlı olduğunun, bu bilgilerin toplanma gerekçesi ve kullanma amacı konusunda izlerkitlenin bilgilendirilmesi gerektiğinin farklı olduğunu göstermektedir.” (Birsen, 2005:77) Ancak bu bilgilerin nasıl kullanıldığına
ilişkin somut verilerin olmadığı unutulmamalıdır. Diğer taraftan haber siteleri kişisel bilgilerinizle birlikte ilgi alanlarınızı da depolamaktadır. Örnek olarak Hürriyet Sosyal uygulamasında herhangi bir köşe yazarını okumak için kişisel bilgilerinizle kayıt olmanız gerekmektedir. Ardından site sizden ilgi alanlarınızı belirlemenizi isteyecektir. Günümüz teknolojilerine uygun farklı bir gazetecilik olanağı sunan bu uygulama, yeni medyanın getirdiği olanaklardan sadece birisidir. Ancak bu durum bu bilgilerin haber sitesinin haberciliği kişiselleştirme ve farklı bir gazetecilik sunma anlayışı yanında gerek reklam verenlerin gerekse iktidar erklerinin ilgisini çekebilecek bilgilerinizi depoladığı gerçeğini de değiştirmez. Bir başka deyişle bu tarz uygulamaları kullandığınızda takip ettiğiniz köşe yazarlarından, ilginizi çeken haber konularına varana kadar her türlü ilgi alanınız depolanmaktadır.

Sonuç: Yeni Medya ile birlikte bilgilerin hızlıca sanal ortamda dolaşması bu bilgiler üzerinden manipülasyona da açık hale gelmiştir. Haberde fazla reyting alma adına toplumu infiale sürükleyici haber yapmaktan kaçınmıyorlar. İnternet ortamında yaşanan sorunlar İnternet sitelerinin editörleri ziyaretçilerini “okur” değil “tıklayıcı” olarak görmesi. Ne olursa olsun siteye trafik çekelim amacıyla okuru haber sitesinde olabildiğince uzun tutmak, oradan oraya dolaştırmak çünkü İnternet üzerinde ziyaretçilerin sadece binde 5’i reklamlara tıklıyor. Dolayısıyla bir reklamın tıklanma sayısını artırabilmenin ve daha çok para kazanmanın bilinen en iyi yöntemi o reklamı daha çok gösterebilmek İnternette reklam dışında para kazanmanın yönteminin henüz bulunamaması (Tunç, 2016)

KAYNAKÇA:

Giriş: İnternet Haberciliği: Kuram, Uygulama ve Eleştiri kitabında yayınlanmıştır: ss. 163-193

İçerik: Vardal, Z. B. (2015, Mayıs 1). Yeni Medya ve Etik.

Sonuç: Tunç, A. (2016, Kasım 28). Bir ‘tık’ uğruna biten habercilik. t24.com: http://t24.com.tr/haber/bir-tikugruna-biten-habercilik,373600 

Photo By Marvin Meyer On Unplash


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

 

 

Kategoriler
Bilişim Etiği

DİJİTAL ETİK VE BİLGİ TOPLUMU BİREYİN ETİK SORUMLULUKLARI

İÇİNDEKİLER

Giriş

Dijital Vatandaşlık Nedir?

Dijital Vatandaşlığın Boyutları

Dijital Etik Boyutu

Bireyin Etik Sorumlulukları

İş Etiği

Medya ve Etik

Eğitimde İnternet Kullanımı ve Etik Sorunlar

Sosyal Medyada Mahremiyet

Sonuç

Kaynakça

 

GİRİŞ

İnternetin günlük hayatımızın bir parçası olduğu bir çağda yaşıyoruz. İnterneti birçok şey için kullanıyoruz: Araştırma yapmak, uzaktan öğrenme, aile ve arkadaşlarla bağlantı kurmak, alışveriş yapmak, yemek tarifleri aramak ve bankacılık yapmak. İnternet hayatı kesinlikle daha verimli hale getirmiş olsa da, dijital dönüşüme ayak uydurmak zor olabilir. Peki bizler yaşadığımız çağın dijital vatandaşları olarak ne yapacağız, sorumluluklarımız nelerdir?

Dijital Vatandaşlık Nedir?

Dijital vatandaş bilgi ve iletişim kaynaklarını kullanırken eleştirebilen, online davranışlarının etik sonuçlarını bilen, ahlaki online kararlar alabilen, teknolojiyi kötüye kullanmayan, dijital dünyada iletişim kurarken ve işbirliği yaparken doğru davranışı teşvik eden vatandaştır.

Dijital vatandaşlık, dijital ortamda pozitif, eleştirel ve yetkin bir şekilde etkileşime girme, etkili iletişim ve yaratma becerilerini kullanarak, teknolojinin sorumlu kullanımı ile insan haklarına ve onuruna saygılı sosyal katılım biçimlerini uygulama becerisi anlamına gelir. (Nurhan DEMİREL, 19 Nisan 2019)

Dijital Vatandaş;

Dijital iletişim kurabilen,

E devlet uygulamalarını kullanabilen,

Dijital alışveriş yapabilen,

Dijital ortamda üretim yapabilen,

Dijital ortamdan eğitim alabilen ve bu davranışları yaparken etik kurallarına uyan hak ve sorumluluklarının bilincinde olan kişidir.

Bilgi ve iletişim kaynaklarını kullanırken eleştirebilen,

Çevrim içi yapılan davranışların etik sonuçlarını bilen,

Ahlaki olarak çevrim içi kararlar alabilen,

Teknolojiyi kötüye kullanmayarak başkalarına zarar vermeyen,

Sanal dünyada iletişim kurarken ve iş birliği yaparken doğru davranışı teşvik eden vatandaştır.

(Mehmet ÇOLAK, 29 Kasım 2017)

Dijital Vatandaşlığın Boyutları

 

 

Dijital Erişim: Tüm vatandaşların elektronik topluma tam katılımın sağlanmasıdır.

Dijital İletişim: İletişimin teknolojik araçlarla yapılmasıdır. Örneğin, e-posta, cep telefonu, anlık mesajlaşma, sosyal medya.

Dijital Etik: Sanal ortamda etik kurallarına uyulması gerektiğinin farkında olunmasıdır. Örneğin, sanal küfürleşme, hakaret içeren yorumlar gibi birçok olumsuz kavram sunan dijital dünya, her bireyin bilinçli bir İnternet kullanıcısı olması gerekliliğini kaçınılmaz hale gelmiştir.

Dijital Kanun: Sanal dünyada yapılan işlerden yasal olarak sorumlu olunduğunun ve bu işlerin kanunlarla yaptırım altına alındığı anlamına gelir. Örneğin, ülkemizde yasa dışı organ ve uyuşturucu satışı, intihara meyilli hale getiren Web siteleri ve kumar gibi faaliyetlerin sanal dünyada yapılması kanunen yasaktır ve ceza gerektirir.

Dijital Haklar: Herkes İnternet ortamında kendini özgürce ifade edebilecek haklara sahiptir. Örneğin, Forum sitelerinde görüş ifade etme, tartışma ortamlarına katılma gibi haklar kısıtlanamaz.

Dijital Sağlık: Dijital dünyada hem psikolojik, hem de fiziksel yönden sağlığı olumsuz etkileyecek faktörlerin bulunabildiğini bilmektedir. Örneğin; a-sosyal yaşam, göz sağlığı, içe kapanıklık ve fiziksel bozukluklar (bel ve sırt ağrıları), tekrarlayan stres sendromu gibi.

Dijital Güvenlik: Bireyin sanal ortamda kendi güvenliğini sağlayacak önlemleri alması ve risklerin bilincinde olmasıdır. Örneğin; başkalarının bilgilerini izinsiz kullanma, virüs oluşturma, istenmeyen posta gönderme, birilerinin bilgilerini veya mallarını çalma vb. faaliyetlerin farkına vararak gereken güvenlik tedbirlerinin alınması (antivirüs programları, filtreleme programları vb.)

Dijital Ticaret: Günlük hayatta yaptığımız alış-veriş, ürün satın alma gibi işlemlerin elektronik ortamlarda gerçekleştirilmesidir.

Dijital Okuryazarlık: Teknoloji ve Teknoloji Kullanım Bilgisine Sahip Olmak demektir. (Muhammet Resul ERTUĞRUL, 19 Ekim 2015)

Bireyin Etik Sorumlulukları

Kişisel etik sisteminin en önemli temsilcilerinden olan Martin Buber, kişisel etiğin kaynağının bireyin içinden gelen ses (vicdan) olduğunu savunur. Kişisel etik, kişinin toplum içerisindeki bireysel duruşunu belirler. Bu etik anlayış bireyin ahlaki alt yapısını temel alır. Bireyin yaşadığı ve çevresinde yaşanan olaylar karşısında gösterdiği tepkiler ya da koyduğu tavırdır. Bireyin kendine dönmesi ve kendini kusursuzlaştırmak için gereksinim duyduğu gücü, kendi vicdanından almasını sağlayarak, bireyin karşılaştığı özel durumlarda doğru kararlar vermesinde yarar sağlayabilir. Kişisel etiğin özellikleri: Kişisel etik, gerçeğin doğrunun sadece zekâdan değil bireyin içinden geldiğini savunur. Doğruluk ve etik davranışlar herkesin içinde vardır. Kişisel etik bireyin kendisine dönmesini sağlar. Bireyin karşılaştığı durumlarda doğru ve yanlış kararlar vermesi kendi vicdanına bağlıdır. Bireyi amacına ulaştıracak davranış etik olmalıdır. Burada Mahcivelle’nin düşüncesine terstir. Yaşamda belli kuralların olamayacağı pek çok durum söz konusudur. Birey bir grupta yer aldığı için, haksızlığa göz yummaz. Birey özgürleştikçe kendi etik standartlarını geliştirir. Birey sadece kendi çabaları ile kusursuzluğa erişir. Başkaları bunu kişi adına yapamaz. Bireyler hayatları boyunca geliştikleri için, yeni değerler edinirler. (Meslek Etiği, Syf: 7-11)

İş Etiği

İş etiği, genel olarak iş dünyasındaki doğru ve yanlış davranışlar olarak tanımlanmaktadır (Arıkan, 1995: 173). İş hayatında paydaşlar tarafından belirlenen davranışları değerlendirmeğe yardımcı olan standartlar olarak da ifade edilen iş etiği (http://www.insankaynaklari.com) Özgener’ e (2002: 177) göre, ekonomi ve iş dünyasının sağladığı olanaklar doğrultusunda sağduyulu seçimler yapmamızda yol gösteren ilke ve değerleri inceleyen bir disiplin olarak ele alınmaktadır. Başka bir tanımlamaya göre iş etiği iki ayrı bakış açısıyla ele alınmaktadır. Bunlardan ilki iş etiğinin, fenomeni ahlâkî açıdan tanımlamaya ve açıklamaya çalışan bir araştırma kolu olduğunu belirtmektedir ve uygulamalı iş etiği olarak adlandırmaktadır. Diğer bakış açısı ise, iş hayatında insan değerlerinin eskisinden daha iyi ortaya konması için iş hayatı uygulamalarının nasıl değiştirilip, geliştirilebileceği konusunda talimatlar ve tavsiyeler sunan, iyi ile kötü, doğru ile yanlış arasındaki bağlantıları, yani ahlâkî kavramların meta-analizi uygulamasını, iş hayatı fenomeninin göz önüne alınmasını araştırdığını vurgulamaktadır. Bu da normatif iş etiği olarak ifade edilmektedir (Takala, 2005).

Yukarıdaki tanımlamalara göre iş etiğinin çok net bir şekilde ifade edilemediği söylenebilir. Bunun nedeni olarak da “iş” kavramının toplumdaki fonksiyonlarının net bir şekilde tanımlanmaması ve özel girişimlerde ve kâr maksimizasyonunda “iş” tanımlanırken “etiğin” tanımda vurgulanmaması gösterilebilir (Primeaux ve Stieber, 1994: 287- 288). Bu nedenle aşağıda belirtildiği gibi “iş etiğine” farklı anlamlar yüklenebilmektedir (Özgener,2004: 53- 56):

  • İş etiği, yönetimden çok dinin bir konusudur,
  • İşgörenler iş etiğine uygun davranmaktadırlar, o halde iş etiğini dikkate almamıza gerek yok,
  • İş etiği daha çok felsefeciler, ilahiyatçılar, akademisyenler ve teleologlar tarafından en iyi şekilde ifade edilebilen ve yol gösterici rolü oynayan bir disiplindir,
  • İş etiği kodu lüzumsuzdur, çünkü o sadece iyilikten bahseder,
  • İş etiği iyilerin kötülere öğüt vermesiyle ilgili bir konudur,
  • İş etiği işletmedeki yeni polis yetkilisidir,
  • İş etiği yönetilemez,
  • İş etiği ile sosyal sorumluluk aynı şeydir,
  • İşletmemizin kanunlarla sorunu yok, o halde biz etik davranıyoruz,
  • İş yerinde etik yönetiminin çok az pratik geçerliliği vardır,
  • Etik sorunlar, çok fazla zaman ve çaba harcanmaksızın çözülebilir,
  • İşletmenin gereksinim duyduğu şey, çok iyi iletilmiş bir etik kodudur,
  • Üst kademedeki birisinin etiksel bir pozisyonda şampiyon olması gerekir,
  • Herkes için gerekli olan tek şey, iyi bir etik ilkeleri setidir,
  • Etiksel ikilemleri çözmek için yalnızca bir tek doğru vardır.

İş etiğinin varlık sebebinin tam olarak anlaşılamaması kavramsal kargaşalara neden olabilir. Bu iş etiği konusunda yapılan uygulama ve yeni açılımları kısıtlayabilir. Dikkat edilmesi gereken en önemli konu toplum etik algısının geliştirilerek iş etiği yaklaşımlarının benimsetilmesidir. Ancak bu şekilde iş kanunundaki yanlış anlaşılmalarının önüne geçilebilir. (Yrd.Doç.Dr.Çetin BEKTAŞ [1] , Dr.Mehmet Ali KÖSEOĞLU [2])

Medya ve Etik

ETİK TEORİLERİ

Etik erdemin felsefi incelenmesidir. Etik araştırma alanına verilen isimdir; ahlaklılık veya erdem ise araştırmanın nesnesinin/konusunun ismidir. Erdem belli bir yer ve zamanda belli bir grupta, cemaatte veya toplumda kabul edilebilir davranış kodlarıdır. Birbiriyle ilişkili birkaç kod türü vardır:

(a) Yasal: Yasal kodlar belli bir grupta minimum kabul edilebilir davranışı temsil ederler.

 (b) Ahlak/erdem kodları: Bu kodlar daha geniş davranışsal kontrol takımlarıdır. Toplum genellikle bu kodların ihlaline karşı, bir yasanın ihlalindekinden daha 6 İrfan Erdoğan toleranslıdır.

(c) Görgü kodları: Toplumun çok daha geniş davranışsal beklentilerini temsil eden kodlardır (örneğin kibarlık, centilmenlik gibi). Tüm bu kodlar toplumda insanların davranışlarını kontrol etmek için vardır. Etikle uğraşanlar şu ve benzeri sorulara yanıt ararlar:

(a) Ahlakın dayanakları nelerdir: Neden insanlar bir davranışı doğru ve diğerini yanlış, birini yapılabilir diğerini yapılmaması gerekir diye düşünmektedir? Ahlaksal önsezilerimizin kaynağı nedir?

(b) Ahlaksal önsezilerimizi sistematik olarak haklı çıkartabilir miyiz? Hangi eylemler gerçekte doğru, yanlış ve izin verilebilir; onların doğru veya yanlış olduğunu nasıl biliyoruz?

(c) Ahlak kodları/kuralları nesnel mi yoksa görece mi?

(d) Ahlakın dili nasıl çalışır? Örneğin, doğru ve yanlış gibi kelimeler ne anlama gelir? Bu dört soru töre/etik bilimin temelini, ana sorunsallarını oluşturur. Etik (ahlak ve erdem) belli zaman ve yerde yaşayan bir grup, cemaat veya toplumda kabul edilebilir olan davranış kodlarını ifade eder. Felsefenin alt dalı olan etik iki ana dala sahiptir:

(a) Normatif etik: Erdemli yaşamın nasıl olması gerektiğini belirten kodlardır. Normatif etik teorisi ahlaksal kodların sistemli açıklanması ve haklı çıkarılması ile ilgilenir. Normatif etik yukarıdaki ilk iki soruyu ele alır; ahlaksal önsezilerimizin kaynağı ve haklı çıkarılması ile ilgilenir: Ahlaklı yaşamın nasıl yaşanması gerektiğini anlatır.

(b) Normatif olmayan etik: moral sistemlerin mantığının ve dilinin sistemli incelenmesidir; ahlak sistemlerinin nesnelliğinin sistemli incelenmesidir. Erdemli yaşamın nasıl olmasıyla ilgilenmez (Şekil 1).

Normatif etik üç gruba ayrılır:

(a) teleolojik etik (consequentialism);

(b) deontolojik etik:

(c) Erdem etik. Teleolojik kavramı, sonuçlar hakkında rasyonel düşünme anlamına gelir. Teleolojik etik anlayışına göre, bir eylemin sonucu, onun ahlaksal statüsünü belirler (Şekil 2).

Dolayısıyla, sonuç kullanılan yolları ve araçları meşrulaştırır; eğer eylemin sonucuyla iyi gelirse, bu eylem doğrudur. Elbette burada ilk akla gelen sorular: İyi sonuç nedir? Kim buna nasıl karar verir? Bu iyi sonuç kimin için iyi sonuç? Bu sorulara yanıt farklı biçimlerde verilmiştir. “İyi” sonuç “alınan zevk” ile eşleştirilmiştir. Kimin için sorusuna birey ve çoğunluk yanıtı verilmiştir. Etiksel egoistler, hedonistler ve faydacılar ahlaksal sorumlulukların iyi sonuçlar tarafından belirlendiği konusunda hemfikirdirler, fakat neyin iyi sonuç olduğu hakkında aynı fikre sahip değildirler. Etik sorunu tartışmalarında, etiğin “iyi sonuçlar” ile ilişkilendirilmesi bir tesadüf değildir. Böylece, etiği belirleyen “iyi sonuç” amacı ve araçları soruşturmaya gerek duymadan meşrulaştırır. Teleologlar geleneksel olarak “iyi” sonuç konusunu, birbiriyle ilişkili, fakat üç ayrı teoriyle açıklamıştır: Etiksel egotizm/benlikçilik: bana mutluluk veren, benim için iyi olan, doğrudur. Bireysel etiksel egotizme göre, “ben daima kendime en fazla mutluluğu elde edecek şekilde eylemde bulunmalıyım.” Evrensel etiksel egotizme göre, “herkes kendine en fazla mutluluk sağlayacak biçimde eylemde bulunmalıdır.” Hedonizm /hazcılık: Bana en fazla zevk/haz veren, doğrudur.

Faydacılık: En fazla sayıdaki insan için mutluluk/zevk getiren doğrudur (Dolayısıyla, popüler kültürel ürünler büyük çoğunluğa mutluluk/doyum getirdiği için, doğrudur; Çoğunluğun veya genel toplumun çıkarı/ mutluluğu/ rahatlığı için “en iyi komünistin veya en iyi Yahudi’nin ya da en iyi A’nın ölü olması doğrudur; Savaş filmlerinde yapılan da bu etiksel bağlamda doğrudur). Eylem Faydacılığı görüşüne göre, etik faydacı ilkeyi karşılayan eylemleri değerlendirmelidir. Kural Faydacılığına göre, faydacı prensipleri karşılamak için yapılmış kaideler üzerine odaklanılmalıdır. Faydacı düşünceye göre, Kantçı eylemin (nedenin, amacın) ahlaksallığıyla hiçbir ilişkisi yoktur. Kant için, eylemin erdemsel/ahlaksal değeri, doğru nedene/amaca (ki o da görevdir) bağlıdır. Dolayısıyla, görev ahlaksal değerin tanımlayıcısıdır. Bu da görevi belirleyen gücün doğruluğunu getirir. İkinci tür normatif etik teori deontolojik etiktir: Normatif değerlendirmeler, bir yükümlülüğü veya görevi ortaya çıkaran bir eylemin kendinde olan karakterinde yatar (Şekil 3).

Bu yaklaşım, eylemin sonucu iyi/faydalı olsun veya olmasın fark etmez, bir eylemin doğruluğu üzerine odaklanır: İyilik ahlaksal zorunlulukları/ yükümlülükleri idrak etme ve karşılama yeteneğimizde yatar. Kant kesinlikle etikte doğru olmayana hiçbir koşulda yer vermez. Kant’ın “kategorisel zorunluluklar” olarak nitelediği bu evrensel yasada “istisnasız, doğru amaçlı görev” vardır: Örneğin, bu görev doğruyu söylemektir: yalan daima yanlıştır. Deontoloji iki ana akıma sahiptir: Durumsal etik anlayışı ve varoluşçuluğu içeren Deontolojik eylem teorileri ve kategorisel kaçınılmazlık/zorunluluk ve İlahi Emir yaklaşımlarını içeren Deontolojik Kural teorisi.

Üçüncü tür normatif etik kuramı “erdem Etik” kuramıdır. Yukarıdaki teoriler etiksel davranış ile ilgilenmişlerdir. Üzerinde durulan temel sorular “bir eylemin iyiyi mi veya kötüyü mü ortaya çıkaracağı” veya “belli bir şeyi yapmak doğru mu yoksa yanlış mı” üzerinde toplanmaktadır. Doğu filozofları ve bazı Yunan filozofları etik konusunu kişinin karakteri, iç doğası, kalbinin nasıl olduğu noktasından ele alırlar. Erdem Etik, iyiliği veya doğruluğu tanımlama yerine, karakterin gelişmesi üzerinde durur ve mutluluğu insanların en yüksek amacı olarak düşünürler. Bu kuramda doğruluk eylemin kendisi veya sonucu tarafından değil, aktörün (kişinin) karakteri tarafından belirlenir. Bu etiğin Yunan/Batı türünü, örneğin Aristo her iki yöndeki aşırılıktan kaçınan “orta yol erdem” ile açıklar. Örneğin yalan söyleme ile “her şeyi olduğu gibi söyleme” arasında “doğru olan sözler” söylemek; yani aşırıya kaçmadan orta yolu seçmek. Dikkat edilirse, bu da, erdem adı altında, aynı zamanda, boyunsunuyu, doğruyu veya yalanı ikna edilebilir yoldan sunmayı, tutuculuğu, retoriksel/söylemsel hipokrasiyi besler ve destekler. Martin Buber etik konusunu moral kodlar yerine insanlar arası ilişkide aramıştır. Ona göre, etiğin özü insanlar arası gerçek diyalogun olmasıdır. İnsanlar araç değildir, sonuçtur. Bizim etiksel sorumluluğumuz şeyleri kullanma ve insana değer vermedir; insanları kullanma ve şeylere değer verme değil. Buber’in etik anlayışında, insanlar birbiri üzerinde olumlu imajlar yaratma ve sürdürme ile uğraşmazlar; “gerçek,” bireyin diğerleriyle şeffaf ilişkisinden çıkar gelir. Etik/töre bilimin ikinci ana teorik yaklaşımı normatif olmayan teorileri içerir. Normatif olmayan teoriler metaetik ve betimleyicilik üzerinde dururlar (Şekil 4).

Betimleyicilik “ahlaksal ilkeler dünyanın nesnel özelliği midir yoksa kişiye, kültüre ve türlere göre midir?” sorusuna yanıt arayarak, ahlaksal prensiplerin ontolojik (varoluş) durumunu inceler. Bu sorunun ilk bölümünü destekleyenler, evrensel etik ilkeleri üzerinde duranlar objektivist ve ikinci bölümünü, evrensel ahlak prensipleri olmadığı varsayımını, destekleyenler ise relativist (göreselci, görececi) olarak isimlendirilir. Sübjektivist görececilikte birim birey olmaktadır ki bu hem herhangi bir eleştiri olasılığını ve eleştirinin geçerliliğini ve anlamlılığını ortadan kaldırır hem de sonunda ahlakın hiçbir anlama gelmediğiyle sonuçlanır. “Herkesin kendine göre, doğrusu vardır; doğru veya gerçek tek değildir, herkese göre değişir; tek veya birkaç değil, sonsuz anlamlandırma vardır; herkes kendine özgü anlamlandırma/çözümleme yapar” gibi ifadeler böyledir. Konvensiyonelist görececilerde ise görecelikte ölçüt cemaatin/ toplumun genel anlaşmasıdır. Bu anlayış da örgütlü bir egemenliğin çıkarının ahlak kodları olarak sunulmasını getirir; farklı olana izin vermez; fakat hiç değilse, yapısal bir gerçeğin ifadesi olarak anlamlıdır. Metaetik yaklaşımları dilin ve normatif etiksel sistemlerdeki mantıksal ilişkilerin felsefi incelemesini yaparlar. Bunlardan Cognitivist (idrakçilik) grubuna düşenlere göre ahlaksal dil semantiksel olarak zengindir. Naturalistlere göre, dil semantik olarak zengin olan dil iyilik ve doğruluk gibi natural olmayan temel karakterlere sahiptir. Dolayısıyla ahlaksal dili anlayabilmek için ahlaksal önsezilerimizi kullanmalıyız veya özel aydınlanmaya veya özel açıklamalara/vahiye/ilahi açıklamaya, mağarada Hz. Musa’ya veya Hz. Muhammed’e Tanrının verdikleri “bilgilere, açıklamalara” dayanmalıyız. İdrakcilik/cognitivist görüşlerin aksine, salıkvericilik ve duygulandırıcılık yaklaşımlarına göre, ahlaksal dil özünde anlamsızdır; çünkü ahlaksal göstergeler/işaretler kavrama sağlayan ve idrak ettiren içeriğe sahip değildir. Duygusalcılık yaklaşıma göre, moral önermeler insanın bir eyleme veya davranışa karşı duygusal yanıtını ifade etmek veya başkalarında benzer reaksiyonları ortaya çıkartmak amacını taşır. Salıkvericilere göre, ahlaksal dil sadece (yap veya yapma gibi) emir/zorunluluk biçimidir.

Medya Etik Politikası ve Çözümleri

Örgütlü çıkarları gerçekleştirmeye çalışanlar günlük pratikleri sırasında daima zorunlu kaldıkları veya zorunlu hissettikleri veya hissettirildiklerinde, kendilerine en işlevsel olan çözüm yollarının getirilmesi için çaba gösterirler. Bu çabada birincil amaç kendileri için işlevsel olan pratikleri, daha verimli bir alternatif gelmedikçe, asla değiştirmemek; eğer değiştirme yolunda baskı çok ise, değiştirdiği imajını vermek, fakat gene değiştirmemek; serbest teşebbüs ve özgürlük gibi kalkanları kullanarak, sorumluluğu, dolayısıyla çözümü başkasına (çoğu kez güçsüz bireylere) yüklemektir. Yasal zorunluluk ve uygulamadan kaçılamadığı durumunda (örneğin televizyonların RTÜK kararlarına uymasında; gazetelerin tekzipleri basmasında) bile, direnme çeşitli biçimde sürdürülür. Diğer endüstriyel pratiklerde bulunan işlevsel çözümleri medya endüstrisi de kopyalar. Etikle ilgili bu taklit çözüm “etik kodları” icat etme biçimindedir. Sahtenin ve gerçeği bükmenin yolları burada da uygulanır: Etik kodlar çalışan profesyonellerin uyması için konur. Hiçbir etik kodda işin örgütleniş biçiminin getirdiği koşullar hedef olarak alınmaz. Hedef, serbest köleler kitlesinin bilişlerini işleme işinde sermayenin kullandığı ücretli serbest kölelerdir ki bu kişiler (kendilerini kendileriyle özdeştirme yerine BİZ diye medya sermayesiyle özdeştirseler bile) her zaman harcanabilir ve yerlerine başkaları ikame edilebilir. Medya pratiklerinde etikle ilgili önde gelen sorunların başında doğruluk; nesnellik; yansızlık ve denge; doğru temsil; uyduru, gündem saptırma (haber olmayan haberler verme, haber düzenleme gibi), gerçeklik; kaynakların dürüstlüğü, geçerliliği ve uygunluğu; aynı görüntüyü durmadan tekrar tekrar sunma; “biraz sonra” gibi oltalarla kandırma, ortak ve olası çıkar bağı olan güçlerle iyi ilişkiler kurup onları iyi temsil etmek, yasal haklara, kişi haklarına uymamak gelmektedir. Bunlar standartlaşmış ve bu standartlara yenileri eklenen medya pratikleridir ve dolayısıyla medya etiğidir. Dolayısıyla, bu etik ve pratik standartları kuran ve geliştirenler, her tür farklı standartları da kurabilecek bilgi ve yeteneğe büyük olasılıkla sahiptirler. Medya etiğiyle ilgili çözüm olarak, örneğin ABD’de “News Councils” denen örgütlenmeye gidilmiştir, fakat haber örgütlerinden destek bulamadıkları için, başarısız olmuşlardır. (24 İrfan Erdoğan)

Ombudsmanlık da işlevselliği medyayı sosyal sorumluluk yönünde etkilemekten çok medya pratiklerini meşrulaştırma görevini, istese de istemese de yapan, bir yapıdır. Artan rekabet medyadaki etik sorunlarının, özellikle eğlence ve haber adı altında sunulan nicel çöplüğün bolluğu için gerekçe olarak verilir; rekabet, teorik olarak, tam aksine nicel çöplüğü ortadan kaldıran ve nitel zenginliği kuran bir karaktere sahiptir. Sorun rekabet değil, rekabetin nicel çöplüğü üretme yarışı biçiminde şekillendirilmesi ve yürütülmesindedir. Sorun Anadolu insanının bu nicel çoklukla dolu çöplüğü sevdiği değil; Anadolu insanının televizyonda ve basında çöplükten başka bir şey bulamadığı, çöplüğün medya içeriğini üretenler tarafından yoğun bir şekilde üretilip insanların buna alıştırıldığıdır. Bu durum, medyayla ilgili en ciddi etik ve sosyal sorumluluk sorunlarından biridir. Medya (televizyon, gazete, dergi, sinema, radyo, müzik endüstrisi vb) sahipleri, medyayı yönetenler, günlük haberleri yapanlardan paparazi programlarına kadar her tür içeriği oluşturan kişiler Anadolu kültürünü, geleneğini, duygusunu, düşüncesini ve vicdanını kirlettikleri için sorumlu tutulmalıdır. Bu sorumluluk da, “akıllı işaretler” ve “aktif izleyicinin” sorumluluğu teziyle insanlara hakaret ederek ve endüstrileri her tür pisliği ve çöplüğü üretmede “serbest rekabet” ve “serbest teşebbüs” ilkeleriyle sorumluluktan kurtaran sahtekarlılarla ve, örneğin, RTÜK’e yasal zorunlulukla “izleyici araştırması” diye reytinge benzer araştırmalar yaptırmayla asla gerçekleştirilemez. Etik aynı zamanda “gönüllü, kendi rızasına dayanan insan davranışı” varsayımını da içerir. Medya gibi örgütlü bir yapıda üretim yapan medya profesyonelleri için pratiklerinin doğasını şekillendirmede gönüllülük, en iyi şekliyle, kendini sahibi sanan veya sahibinin sesi olmayı en iyi biçimde başarmaya çalışanlar için bile, aslında anlamsız bir iddia, duygu ve düşüncedir: Kendi materyal koşullarını yeniden üretme olanaklarından yoksun bırakılan serbest kölelerin birkaçının kendi görece yüksek ücretine ve çalışma durumuna bakarak özgürlük taslaması, sahte Bizliklerden geçerek gönüllü ve rızayla katılma düşleriyle dolması ve kendini köleleştirenin yarattığı koşulları savunması, aslında, üzücü ve aynı zamanda kendisi ve kendi gibileri için çok tehlikeli bir insanlık durumunu anlatır. Bu insanlık durumunda, örneğin, “güvercinler” yerler.

Eğitimde İnternet Kullanımı ve Etik Sorunlar

Eğitimde bilgi teknolojilerinin kullanımı her geçen gün biraz daha yaygınlaşmaktadır. Bilgi teknolojisi kavramı, verilerin kaydedilmesi, belirli bir işlem sürecinden geçirmek suretiyle bilgiler üretilmesi, üretilen bu bilgilere erişilmesi, saklanması ve nakledilmesi gibi işlemlerin etkili ve verimli yapılmasına olanak tanıyan teknolojileri tanımlamaktadır (Bensghir, 1996). Akademik doğruluk, bilginin elde edilmesi ve iletilmesi yolunda dürüstlük ve şeffaflık demektir (The Centre for Academic Integrity, Duke University, 2004). Dürüstlük hoca ve öğrenciler arasındaki yüksek seviyedeki güven için ve bütün öğrencilere eşit şekilde davranılması için öncüldür. Drinan’a göre (1999) akademik doğruluk gereği bütün yazarların başkalarının emeğini kaynak göstermesini ve eğer yanlış yapılan varsa önlem alınmasını gerektirir (Aktaran, Hayes ve Introna, 2000). Geleneksel olarak akademik yolsuzluk (Ikupa, 1997), “bireyin bilgi ya da yeteneğinin test edilmesi sürecinde sergilediği etik olmayan ve yasa dışı davranışlardır”. Akademik etiğe aykırı öğrenci davranışları arasında, kişinin sınav kurallarını ve düzenini bozacak biçimde sınavda başkasıymış gibi davranması, kopya çekmesi, gizlice sınav kâğıtlarını değiştirmesi, sınav salonlarından cevap kâğıtlarını çalması, sonuçlarda sahtekârlık yapması ve sınav uygulayıcılarına sözlü ya da fiziksel olarak saldırıda bulunması gibi davranışları içermektedir (Aktaran, Eminoğlu, 2008). Ancak bilgi teknolojileri ve internetin eğitimde kullanımının artması ile bazı yeni akdemik yolsuzluklar ortaya çıkmakta, özellikle de aşırma ve kopya çekme giderek daha da büyük bir akademik etik sorun haline gelmektedir. Online dünya, başkalarının yaptığı çalışmalara kolayca ulaşma fırsatı sağlamaktadır. İnternet teknolojisi sayesinde öğrencilerin materyalleri yeniden yazmaları gerekmediği gibi her türlü yazılı materyali kolayca seçip, kopyalama ve kaydetme şansına da sahip olmaktadırlar. Paylaşma, yönlendirme ve link verme gibi uygulamalar online dünyada materyallerin serbestçe değişiminin yapılmasını sağlamaktadır (Salmons, http://www.vision2lead.com/Originality.pdf). Ödev çalışmalarındaki bilimsel yanıltmanın daha ileri örnekleri için ‘aşırma’ terimi kullanılır. Oxford English Dictionary’ye göre ‘aşırmak’ “başka bir kişinin fikir, düşünce veya icatlarını alıp ya da kullanıp kendininki gibi göstermek demektir. Eğitimde teknoloji kullanımı bir yandan öğrenciler ve öğretmenler açısından önemli kolaylıklar sağlarken, diğer yandan da kolaycılığı artırmaktadır. ABD’de yapılan bir araştırmaya göre 1940’larda üniversite öğrencilerinin sadece %20’si lisede iken kopya çektiğini söylerken, günümüzde bu oran % 75 ile % 98 arasında değişmektedir (http:// www.glass-castle.com). İnternet olanaklarının kullanarak öğrenciler tarafından yapılan aşırmalar şu biçimlerde görülebilmektedir (Harris, 2009; Aysıt 2012; Hayes & Introna, 2000): 1. Sınav sırasında kopya çekmek.

  1. Ödev çalışmalarında izinsiz işbirliği yapmak.
  2. Bir cümleyi veya cümleler grubunu, yayınlanmış bir kaynaktan, kaynak göstermeden tırnak içine almadan aynen aktarmak.
  3. Bir cümle veya cümleler grubunda ifade edilen bir düşünceyi, kendi sözcük ve cümleleri ile ifade ettikten sonra kaynak göstermemek.
  4. Web veya çevrimiçi ya da elektronik veritabanından bir ödevi kopyalamak.
  5. Daha önce ders almış öğrencilerin ödevlerini kopyalamak ve öğretmene sunmak.
  6. Aynı ödevi birden çok öğretmene sunmak.
  7. Ödevlerini para karşılığında veya parasız başkasına yazdırmak.
  8. İnternette, ödev sitelerinden ödev indirmek: Bu ödevlerin çoğu başka öğrenciler tarafından yazılmış ve paylaşılmıştır. Ödev paylaşanlar en iyi öğrenciler arasında olmadığı için genellikle içerik olarak kalitesiz ve şaşırtıcı derecede eski tarihli atıflarla doludur.
  9. Paralı ödev sitelerinden (Paper Mill) ödev satın almak: Bu tür siteler tarafından satılan ödevlerin genellikle daha kaliteli çalışmalar olduğu gözlenir. Öğrencilere verilen sınıf içi yazma ödevleri ile bunları karşılaştırılmak oldukça aydınlatıcı olacaktır. Bu tür siteler ziyaret edildiğinde çeşitli başlıklar altında pek çok çalışmanın olduğu görülecektir.
  10. Farklı kaynaklardan kes-yapıştır yaparak ödev kopyalamak. Bu “montaj” çalışmalar yazım üslubu, atıf şekli ve kavramların farklı kullanılması ile kendini belli eder. Giriş ve sonuç genellikle öğrenciye aittir ve bu nedenle orta kısma göre daha zayıf kalır.
  11. Birebir olmayan kopyalama: Bu uygulama bir ya da daha fazla cümlenin, tırnak işaretleri kullanılmadan ya da öğrencinin bir kaynağı özetlediği izlenimini vermek için eksik kaynak göstermesi biçiminde ortaya çıkar.
  12. Taklit alıntılar: Bazı öğrenciler gerçek bir araştırma yerine alıntıları makyajlayarak sahte alıntılar sunabilirler. Rasgele alıntılar seçip kontrol etmek bu tür durumların saptanmasında etkili olmaktadır. (ǀ Yıl: 1 ǀ Sayı: 2 ǀ GENÇLİK ARAŞTIRMALARI DERGİSİ ǀ 109 – İNAYET AYDIN)

SOSYAL MEDYADA MAHREMİYET

Gelişen sosyal medya araçları bireylerin merak, bilgilenme ve bilgilendirme duygularını tetiklemektedir. Normal hayattaki arkadaşlık, birliktelik ve yarenlik dijital ortamda varlıklarını sosyal medya platformlarında sürdürmektedir. Bu durum, bireylere nostaljik bir duygu yaşatsa da, teşhircilik ya da röntgenciliğe doğru bir evrim yaşadığında toplumda kaosa neden olabilir (Niedzviecki, akt. Korkmaz, 2013). Çünkü bireyler, toplumsal olaylar hakkında bilgi sahibi olmaktan ziyade insanların nerede, ne zaman, ne yaptığıyla ilgili olarak gözetleme konumuna geçebilmektedir. Kimi zamanda kendileri hakkında bilgi sunarak gözetlenmek istemektedir. Çünkü sanal dünyanın temeli, beğenilme, gözetleme ve gözetlenmeye dayanmaktadır (Türk ve Demirci, 2016). Sosyal medyada geçirilen zamanın, kullanıcılar tarafından verimli olduğu düşünülmektedir. Çünkü kullanıcıların arkadaşlarından haberdar olması, gündelik haberleri ve gelişmeleri takip etmesi bu ortamları cazip hale getirmiştir. Bireylerin birbirlerini gerçek hayatta takip etmedikleri kadar dijital ortamda bu kadar takip etmesi ya da gözetlemesini Zerey (2012), “takipteyim” motivasyonu olarak açıklamıştır. Bireyler, dijital hayattaki varlığını, takip ederek ya da ettirerek ispat etme çabası içerisindedir. Günümüzde kullanılan yeni gözetim araçları (mobese, sosyal medya platformları vs.) görünür oldukları halde “görünmezlik pelerini” takarak görünmezlik niteliği taşımaya başlamıştır (İsmayılov ve Sunal, 2012). En çok kullanıcıya sahip Facebook, diğer platformlara göre daha fazla gizlilik kontrolü sağlasa da Facebook’taki ana fikir görmek, göstermek ve gözetle(n)mektir. Bu yüzden kullanıcılar kendileri ile ilgili daha çok paylaşım yapmakta ve arkadaşlarının da neler yaptığını kontrol etmektedir (Korkmaz, 2013). Facebook’ta oluşturulan profile eklenen fotoğraflar, özel bilgiler, paylaşımlar ile kişiler anonimlikten çıkmakta deşifre olarak bilinirliğini sağlamaktadır. Zaten Facebook ağının amacı görünürlüğü ve bilinirliği arttırmak olduğu için doğru bilgi paylaşımı istemektedir (Sütlüoğlu, 2015). Berkup’a (2015) göre, özellikle sosyal medya platformlarında yapılan bilgi paylaşımları, bireylerin özeli olmasına rağmen, her geçen gün dijital ortama yeni bir bilgi koyarak kendi hakkında veri toplamasına izin vermesi, dijital mahremiyetine zarar vermektedir. Çünkü bireyler, kendilerini sosyal ağlarda ne kadar teşhir ederse mahremiyet sınırları da o derece ortadan kalkar (Türk ve Demirci, 2016). Dijital hayatta her geçen gün bıraktığımız ve izlediğimiz veriler ne kadar entegre toplumun yükselmesine ve demokrasiye olumlu etkisi olsa da dijital mahremiyetimize zarar vermektedir. Çünkü gittikçe gözetim merkezli ve birey mahremiyetini ihlal eden durumların meşrulaştığı, kullanıcıların birer röntgenci, teşhirci ve muhbir olmayı başardığı ve bundan motive olunan bir durum söz konusudur (İsmayılov ve Sunal, 2012). Ayrıca Dedeoğlu (2012) da artan gözetleme ve gözetlenmenin, bugüne kadar binlerce yıllık emek ve savaşlarla ulaşılan demokrasi ortamına zarar verdiğini ve tehdit ettiğini dile getirir. Çünkü güç, bir grubun elinde, sürekli olarak tüketen, gözetlenen, düşünmeyen ve söz hakkı olmayan bireylerin varlığı ile beraber sevgi–saygı ortamının ortadan kalktığı göz önüne alındığında özgürlük ve mahremiyet kavramlarına büyük zarar vermektedir. Şener’in (2013) çalışmasında da bireylerin, partnerlerini sosyal medya platformlarında sürekli gözetleyerek, denetlemesini karşılıklı güvenin sarsılması şeklinde yorumlanmaktadır. Dolayısıyla çalışmalar sosyal medya platformlarında yapılan gözetlemelerin hem bireyin hem toplumun mahremiyetine zarar verebileceğini ortaya koyuyor (Berkup, 2015; Dedeoğlu, 2012; İsmayılov ve Sunal, 2012; Türk ve Demirci, 2016). Sosyal medyadaki en popüler gözetim araçlarından biri de Periscope canlı yayın uygulamasıdır. Göker (2016) Periscope uygulamasını disiplin etme aracı olarak değerlendirmektedir. Periscope gibi canlı yayın uygulamalarında bireyler gözetlemek ve gözetlenmekten memnundur. Çünkü birey gözetlerken veya gözetlenirken merak duygusunu artırır ve doyurur. Sosyal medya fenomenlerinin, gözetim, doyum ve tatmin hissi ile doğduğu düşünülmektedir. Canlı yayın uygulamaları bireylerin gözetleme ve gözetlenme ile beraber mahremiyetini gizlemekten kaçmayarak paylaşıma açmalarında önemli rol oynamaktadır. Ayrıca her sosyal medya platformunda olduğu gibi Periscope’taki yayınların sınırlı bir denetlemeye tabi olması, içeriğin kişiye bağlı olması, mahremiyet kavramının sınırlarını öznelleştirmektedir. (39 Science, Education, Art and Technology Journal (SEAT Journal).

SONUÇ

Dijital vatandaşlığın ne olduğuna, boyutlarına ve artan teknoloji ve internet kullanımı ile birlikte bu yazımızda medya ve iş etiğine, mahremiyet algısına ve internet kullanımı ile birlikte etik sorunlara değindik.

KAYNAKÇA

TAKALA, Tuomo; “Postmodern Business Ethics – Is It Possible, Is It Relevant?”, Electrical Journal of Business and Organization Ethics, Vol. 3 No. 1, http://www.jyu.fi/ejbo/archive/takala3.html, (08.04.2005).

Meslek Etiği, T.C. Milli Eğitim Bakanlığı, Mesleki Eğitimi Ve Öğretimi Güçlendirilmesi Projesi, Syf: 7-11 Ankara, 2006.

Erdoğan, İrfan (2006) Kurtlar Vadisi Irak: Esli-göçebe Kabil’in Yenı-emperyalist Habil’den Öç Alışı. İletişim Kuram ve Araştırma Dergisi, 22, Kış-Bahar, 71-136.

Cevizci, Ahmet (2002) Etiğe Giriş. İstanbul: Paradigma.

Bensghir, T. K. (1996). Bilgi Teknolojileri ve Örgütsel Değişim. Ankara: TODAİE Yayın No: 274

Salmons, Janet. Online Social Culture: Does it Foster Original Work or Encourage Plagiarism? Vision2lead.Inc. Erişim Tarihi: 01.10.2013

Aysıt, T. (2012). İktisat Eğitimi Ve Bilimsel Aşırma Üzerine Türkiye Ekonomi Kurumu Tartışma Metni. 2012/41Erişim Tarihi: 01.10.2013.

Zerey, Y. (2012). Facebook insanları. http://www.yucezerey.com/facebook–insanlari/ adresinden 20 Aralık 2017 tarihinde edinilmiştir.

İsmayılov, E. K. ve Sunal, G. (2012). Gözetlenen ve gözetleyen bir toplumda, beden ve mahremiyet ilişkisi: Facebook örneği. Akdeniz İletişim Dergisi, 21–41.

Korkmaz, İ. (2013). Facebook ve mahremiyet: görmek ve gözetle(n)mek. Yalova Sosyal Bilimler Dergisi, 3(5), 107–122

Sütlüoğlu, T. (2015). Sosyal paylaşım ağlarında gençlerin sosyalleşme ve kimlik inşası süreçleri

Berkup, S. B. (2015). Sosyal ağlarda bireysel mahremiyet paylaşımı: X ve Y kuşakları arasında karşılaştırmalı bir analiz. Doktora tezi, Ege Üniversitesi, İzmir, Türkiye.

Dedeoğlu, S. G. (2014). Özgürlük, mahremiyet, demokrasinin değeri ve bilişim toplumunda maruz kaldığı tehditler. Journal Of Yasar University, 9(34), 5887–5897.

 

Photo By Luca Bravo on Unplash


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

DİJİTAL VATANDAŞLIK VE BİLGİ TOPLUMU BİREYİN ETİK SORUMLULUKLARI

İÇİNDEKİLER

Giriş

Dijital Vatandaşlık Nedir?

Dijital Vatandaşlığın Boyutları

Dijital Etiği Kapsayan Konular

Dijital Etiğe Uygum Durumlar

Bilgi Toplumu Ve İş Etiği

Sonuç

Kaynakça

Giriş

Günümüz toplumunda hızla gelişen teknoloji ile birlikte dijital vatandaşlık, dijital etik, dijital sorumluluklar gibi yeni kavramlar oluşmuştur. Günümüzde akıllı mobil cihaz kullanan herkesin birer  dijital sorumlulukları ve hakları vardır. Fakat E-DEVLET hesabı olan herkes dijital vatandaş değildir. Dijital vatandaş kısaca dijital ortamda iletim kurabilen, uygulamaları kullanabilen, alışveriş yapabilen, eğitim ve sağlık hizmetlerinden yararlanan bunların yanı sıra dijital hak ve sorumluluklarının bilince olan ve etik kurallara uyan bireylerdir. Yalnızca bir e-devlet hesabı sizi dijital vatandaş yapmaz.

Cinsiyet, ırk, yaş, etnik kimlik vs. özelliklere bakılmaksızın herkes dijital vatandaş olabilir ve teknolojini tüm yararlarından faydalanabilir ve haksızlığa uğradığında haklarını savunabilir. Tüm bunların yanı sıra herkesin uyması gereken etik kurallar da vardır. Bu kapsamda makalede daha önce yapılmış araştırmaların temellerine dayandırılarak dijital etik ve sorumluluklar, bilgi toplumu ve iş etiği incelenecektir.

Dijital Vatandaşlık Nedir?

Bilişim ve iletişim teknolojilerinin gün geçtikçe gelişmekte, bu teknolojilerin kullanıldığı araçlar yaygınlaşmaktadır. Bu gelişmelere paralel olarak bu araçlar sayesinde bilgiye her yerden ulaşılabilmekte ve her birey dünyanın farklı bir coğrafyasındaki ülke vatandaşı ile iletişim kurabilmektedir. Dijital vatandaşlık kavramı bu gelişmelerin bir sonucu olarak çıkmıştır. Diğer bir ifade ile internetin iletişim ve haberleşme noktasında ülke sınırlarını ortadan kaldırması, dünyayı küreselleştirmesi bu kavramın ortaya çıkmasına sebep olmuştur. Teknolojiyi ve teknolojiyle beraber hayatımıza giren dijital araçları doğru kullanmasını bilen, etik kurallara ve kişi haklarına dijital platformda da saygı duyan ve bu araçları güvenlik ve sorumluluk bilinciyle kullanmasını bilen kişiye dijital vatandaş denmektedir. Dijital vatandaşlık ise kısaca, teknoloji kullanımı ile ilgili dijital vatandaşların sorumluluk sahibi davranış normları olarak tanımlanmaktadır (Mossberger, Tolbert, & S. McNeal, 2007).

 Bu tanımdan özetle dijital vatandaşlık için şu tanımı yapabiliriz; Dijital vatandaşlık, bireylerin teknolojiyi etik kurallara uyarak, içinde bulunan 9 boyuttan (dijital sağlık, dijital güvenlik, dijital etik, dijital okur-yazarlık, dijital iletişim, dijital ticaret, dijital kanun, dijital erişim, dijital hak ve sorumluluklar) yararlanmasıdır. Akıllı mobil cihazı olan her bireyin dijital bir kimliği vardır. Dijital kimliğiniz sizin internetteki parmak izinizdir.

 Teknolojinin her gün biraz daha gelişmesi, farklı dijital araç ve gereçlerinin kullanımına fırsat tanımaya başlamış ve dijital vatandaşlığın daha fazla boyutlarda ele alınabileceğini göstermiştir. Ribble’in dijital vatandaşlık için önerdiği 9 boyuta bulut bilişim ile akıllı telefonlar, dizüstü bilgisayarlar ve tabletler gibi dijital araçların da eklenip dijital vatandaşlık, 11 boyutta incelenmeye başlamıştır (Alberta, 2012).

 Konu üzerinde birkaç tanımı daha incelediğimizde şu bilgilere ulaşabiliyoruz;

İnternetin insanlar ve toplumlar üzerinde yarattığı etki vatandaşlık kavramını dijital ortama taşımış ve dijital vatandaşlık kavramı ortaya çıkmıştır. Dijital vatandaşlık, ‘internet ortamında etik ve evrensel kurallar çerçevesinde her türlü tehlikenin bilincinde hareket etmek’ olarak tanımlanabilir.(Aydın, Türk Kütüphaneciliği 29, 2015,142-146. )

Dijital Vatandaşlığın Boyutları

           

Dijital vatandaşlık ve alt boyutlarıyla ilgili olarak; ““birey” olmanın aynı zamanda çok daha geniş bir “dünya ailesi” ne ait olmak olduğunun bilincine varacak, yaşadığı topluma ve ülkesine, toprağına samimi bir hisle bağlanacak, bilim ve teknolojiyi etkin şekilde kullanarak gerekli teknik bilgi, birikim, beceri ve yeterliliklere sahip kuşaklar yetiştirmek hedeflenmiştir” ifadesine yer verilmiştir (MEB, 2017a).

 Özetlemek gerekirse dijital erişim her bireyin teknolojik imkanlardan eşit şekilde yaralanmasıdır. Bu konuda Milli Eğitim Bakanlığı’nın bir dönem öğrencilere dağıttığı tabletler örnek gösterilebilir.

Dijital vatandaşlığın 2. Boyutu olan dijital ticaret dijital vatandaş olmanın etkilerini, ekonomik yönden ortaya koymaktadır. Geleneksel yöntemlerle yüz yüze yapılan ürün ve hizmet alışverişi, çevrimiçi ortamda şehirler, ülkeler hatta kıtalar arası elektronik olarak yapılmaya başlamış, alışveriş kavramını değiştirmiştir. Buna örnek olarak Amazon’un ve eBay’ın kurulması verilebilir. Bu firmaların, küreselleşen dünyada alışveriş kavramını yeniden tanımladığı bilinmektedir. Bir başka boyut olan e-sosyalleşme, bireylerin gerek resmi gerekse kişisel işlerinde çevrimiçi ortamda daha çok etkileşim kurarak sosyalleşmesidir. Eid ve Ward (2009), bilgi ve iletişim teknolojileri sayesinde gelişen sosyal ağ siteleri, (Twitter, Facebook, Linkedin, Instagram vb.) video paylaşım siteleri ve bloglar aracılığıyla milyonlarca insanın ortak ilgi alanlarını, aktivitelerini paylaşarak yerel, bölgesel ve küresel topluluklara çevrimiçi etkileşim içinde olduğunu ve böylelikle bilgilerin anlık olarak aktarılabildiğini belirtmektedir (Yalçınkaya B, Cibaroğlu, M.O(2019) Dijital Vatandaşlık Algısının İncelemesi, Business & Management Studies: An International Journal Vol.:7 Issue:4 Year:2019, pp.1188-1208).

Dijital İletişim boyutu kısaca dijital araçlar ve mecralar aracılığıyla inşalarla iletişime geçmektir. Konu hakkında yapılan araştırmalara baktığımızda dijitalleşen dünyada iletişim kurulurken dilimizin olumsuz etkilendiği görülmüştür.

 “2012 yılı Nisan ayında gerçekleştirilen Hanehalkı Bilişim Teknolojileri Kullanım Araştırması sonuçlarına göre Türkiye genelinde hanelerin %47,2’si evden  İnternete erişim imkânına sahiptir. Bilgisayar ve İnternet kullanım oranları 16‐74 yaş grubundaki erkeklerde %59 ve %58,1 iken, kadınlarda %38,5 ve %37’dir. Bilgisayar ve İnternet kullanım oranlarının en yüksek olduğu yaş  grubu %48,7 ile 16‐24 arasındaki yaş  grubudur.” (www.tuik.gov.tr/PreHaberBultenleri.do?id=10880). TUİK verilerine göre gençler arasında internet kullanım oranı çok yüksektir.  İnternet, yazı‐ses‐görüntünün bir arada olduğu etkileşimli bir medyadır dolayısıyla Türkçe açısından çocukları ve gençleri en çok etkileyebilecek iletişim aracıdır. Ülkemizde sosyal medya kullanımı da giderek artmaktadır. 2012 Temmuz verilerine göre 7,2 milyon Twitter kullanıcısı vardır (Irak&Yazıcıoğlu, 2012, 23). Aralık 2012 itibariyle dünyada Facebook kullanıcılarının sayısı 970 milyonu bulmuştur. Amerika Birleşik Devletleri, 168  milyon kullanıcı ile ilk sırada iken Türkiye 32 milyon kullanıcı ile yedinci sıradadır (www.ab.org.tr/ab13/bildiri/206.pdf).  

Dijital vatandaşlığın 4. Boyutu Dijital okur-yazarlık. Dijital ortamda okur-yazarlık dijital vatandaşlığın en önemli ayaklarından birini oluşturmakla beraber bu kavram, bilinen okur-yazarlıktan bile daha önemli bir hal almaya başlamıştır. Çünkü günümüz çağında bir çocuk, eğitim-öğretim faaliyetlerinden önce dijital araçları kullanmaya ve bu araçlar hakkında bilgi sahibi olmaya başlamaktadır. İnternet okur-yazarlığı ise internetin doğru kullanımı, doğru bilgiye ulaşma çabası ve internette doğruluğundan emin olduğumuz bilginin paylaşımı ve bu sayede doğru bir öğrenme-öğretme süreçleri gerçekleştirme aşamalarını kapsamaktadır. Aksi takdirde doğru bilgi etkileşiminin yapılamaması internete hem içerik hem temas hem de ticari risklerin oluşumuna kadar giden bir süreci başlatacaktır. İnternet risklerinin oluşmasındaki en büyük etken de, internette doğru olmayan veya başka bir tabirle istismar edici, aldatıcı veya yanıltıcı bilgilerin üretilmesi ve paylaşılmasından kaynaklanmaktadır (Ahmet Çubukcu, Şahin Bayzan, Middle Eastern & African Journal of Educational Research, Issue 5, Year 2013, 156-157).

Şimdi ise bizim en çok ilgilendiğimiz boyut olan 5. Boyut yani dijital etik konusuna geldik.

Dijital araçları doğru kullanmak kadar etik kullanmak da önemlidir. Çevrimiçi ortamda internet araç ve gereçlerini kullanırken başkalarının haklarına saygılı olacak sorumlulukta hareket etmek önemlidir. Örneğin, doğru bil dil üslubu ve ahlaki davranış normlarını çevrimiçi ortam da sürdürebilmek etik olgusu içerisinde gösterilebilir. Etik olgusuna internet üzerinde dikkat etmemek içerik riskleri içerisinde özellikle kışkırtıcı içeriklerin paylaşılması ve temas risklerinde de siber zorbalık vakalarının oluşumuna zemin hazırlayabilmektedir. İyi bir dijital vatandaşın internette de etik olgusuna dikkat etmesi gerekmektedir(Ahmet Çubukcu, Şahin Bayzan, Middle Eastern & African Journal of Educational Research, Issue 5, Year 2013, 157).

Dijital Kanun: Tüm dijital ortamda dikkat edilmesi gereken kurallar olduğu gibi özellikle internet ortamında da dikkat edilmesi gereken kurallar bütünü mevcuttur. Bir dijital vatandaşın, gerçek hayatta suç olan tüm davranışların internette de yapılmasının suç olduğu bilinciyle hareket etmesi ve internette suç işleyenleri ilgili mercilere şikâyet etmesi gerekmektedir. Bu bağlamda, internetin üç risk boyutuyla da içerikler üretmek ve bu içerikleri paylaşmak suç teşkil edebilmektedir (Ahmet Çubukcu, Şahin Bayzan, Middle Eastern & African Journal of Educational Research, Issue 5, Year 2013, 157).      

 Dijital Hak & Sorumluluklar: İnternet, dijital araçlar içerisinde önemli bir yere sahip olmakla beraber çoğu dijital araç, internet teknolojisini de sunmaya başlamıştır. İnternet, herkesin kendini özgürce ifade edebildiği bir mecra olabilmesinin yanı sıra bu ifade özgürlüğünün başkalarının kişisel haklarını ihlal etmeyeceği ölçüde sınırlı olabileceği, çevrimiçi ortamın hak ve sorumluluk çerçevesindeki denge noktasını oluşturmaktadır. Örneğin, internetten bir bilgi araştırırken alıntı yapılacak bilginin ne şekilde kullanılabileceği, o bilgi üstündeki fikri sınai haklar ve bu haklar çerçevesindeki mevcut olan çevrimiçi sorumlulukları mevcuttur. Benzer şekilde, internet ortamında yapılan haksızlıklar ve internet ortamının barındırdığı yasadışı içeriklere karşı bir dijital vatandaşın sorumlulukları mevcuttur. Bu noktada, internetteki bütün risk gruplarına karşı hak ve sorumluluklarımız mevcuttur(Ahmet Çubukcu, Şahin Bayzan, Middle Eastern & African Journal of Educational Research, Issue 5, Year 2013, 157).

 Dijital Sağlık: Dijital ortamda sağlık faktörü genellikle olumsuz yönleriyle karşımıza çıkmaktadır. Dijital araçları ve özellikle çevrimiçi teknolojiler ve bilgisayarları kullanırken gerek fiziksel gerek psikolojik gerekse de ruhsal birçok hastalık türüne bir dijital vatandaş maruz kalabilmektedir. Bunların başında antropometri bilimi içinde incelenen kas-iskelet rahatsızlıklarından, internet ve oyun bağımlılığına ve hatta internetin içerik riskleri sonucu özellikle çocuklarda oluşan ruhsal bozukluklara kadar birçok sağlık problemi ile karşılaşılabilmektedir. Bu doğrultuda, internetin içerik ve temas riskleri dijital vatandaşlığın dijital sağlık boyutunu doğrudan etkileyen faktörler arasındadır (Ahmet Çubukcu, Şahin Bayzan, Middle Eastern & African Journal of Educational Research, Issue 5, Year 2013, 157).

 Dijital Güvenlik: Dijital ortamda güvenlik en az gerçek hayat fiziksel güvenliği kadar önemli hale gelmeye başlamıştır. 2013 yılı itibari ile siber güvenlik, siber farkındalık gibi kavramların daha fazla konuşulmaya başlanacağı öngörülmektedir (Kıvırcık, 2013). Çünkü siber güvenlik açıklıkları ve dijital ortamda yapılan saldırıların ve istismarların her geçen gün artması ülkelerin teknolojik sistemlerini, bireylerin dijital cihazlarını ve dolayısıyla yapılan tüm faaliyetleri etkileyecek sonuçlar doğurabilmektedir. Dijital veya siber güvenlik kavramları internet boyutuyla ele alınacak olursa internet güvenliği ve güvenli internet kavramlarının her geçen gün daha da önemli hale gelmeye başlayacağı büyük olasılıktır. Bir dijital vatandaş ise kişisel bilgi güvenliğine internet üstünde oldukça dikkat etmeli ve internet ortamında gezindiği sayfaların güvenilirliğine dikkat etmelidir. Ayrıca, dijital vatandaşın bilgisayar ve internet ortamında çeşitli kurum ve kuruluşlar vasıtasıyla sağlanan filtreleme programları, güvenli internet paketleri ve anti-virüs programları içeren internet koruma paketlerine kendi güvenliği açısından sahip olması gerekmektedir. Aksi takdirde internet, hem içerik hem temas hem de ticari risk boyutlarıyla bir dijital vatandaş üstünde güvenlik açısından ciddi risk unsurları oluşturabilmektedir(Ahmet Çubukcu, Şahin Bayzan, Middle Eastern & African Journal of Educational Research, Issue 5, Year 2013, 157-158).

Dijital Etiği Kapsayan Konular

Teknoloji imkanlarını başkalarını olumsuz etkilemeyecek biçimde kullanmak.

Örneğin bir arkadaşınızın sosyal medya profiline beğenerek yüklediği bir fotoğrafın altına çirkin bir yorum yapma hakkınız yoktur. Bu şekilde hem kişileri olumsuz etkilemiş hem de kişilerin dijital etik kurallarına aykırı davranmış olursunuz.

Online ortamlarda diğer insanlara karşı saygılı olmak.

Yine yukarıdaki örnekten yola çıkalım. Birinin profilindeki fotoğrafın altına rahatsız edici söz ve ya da küfür yazmamalısınız. Sizden yaşça büyük ya da küçük olmasının hiçbir önemi yoktur. Bireylere ve haklarına saygı duymalıdır. Tabii ki beğenmediğiniz görüntüleri belirtme hakkınız vardır fakat bunu yaparken başka insanların haklarını suistimal etmemelisiniz.

Dijital Etiğe Uygun Durumlar

Çevrim içi olduğunuz zaman da çevrim dışında olduğunuz gibi tanıştığınız insanlara, paylaşımlarına yorum yaptığınız kişilere karşı saygılı, kibar ve duyarlı olmak dijital etik açısından olumlu bir davranıştır. Size yapıldığında hoşlanmayacağınız küfür, hakaret içeren yorumları sizde başkalarına yapmalı, takma isimler yapıştırarak kimseyi utandırmamalısınız. Bir gönderiye yorum yapacağınız zaman yazdıklarınızı enine boyuna düşünmelisiniz. Başkalarını hakaret içeren yorumlarına cevap vermemeli ve başkalarının gönderilerine hakaret etmemelisiniz. Bu durum diyaloğunuzu daha da kötü seviyelere dönüştürebilir. Ses tonunuzu, duygu durumunuzu iletmek, mizah ve kişiselliğinizi katmak için yüz ifadesi gibi simgeleri kullanabilirsiniz ancak bunu yaparken yanlış anlaşılmanıza sebep olacak simgeler kullanmamaya özen göstermelisiniz. Unutulmamalı ki her şey kararlı kullanıldığında güzeldir. Sözcüklerinizi büyük harflerle yazmaktan kaçınmalısınız çünkü bu karşınızdakine bağırıyormuşsunuz hissi uyandırır üstelik zor okunur. Herhalde hiç kimse öyle olmadığı halde agresif görünmek istemez. Bunu göz önünde bulundurarak dijital ortamda iletilerinize dikkat etmelisiniz. Bir şey yayınlamadan önce çok iyi düşünün. Çünkü sanal ortamda paylaştığınız fotoğrafların ses ve görüntü kayıtlarının blog yazılarınızın arkadaşlarınızın sayfalarında ya da chatleşme sırasında yazdığınız yazıların hepsinin dijital bir izi vardır. İnternetteki diğer bütün bilgiler gibi sizinle ilgili bu bilgiler de daima internette kalabilir. Bu nedenle ileride sizi ya da bir başkasını zor durumda bırakacak hiçbir bilgiyi ya da belgeyi internet ortamında paylaşmayın. Tüm bunlar karşınızdaki kişilerin ve sizlerin uyması gereken uygulaması küçük fakat sorumluluğu büyük olan kurallardır.

Bilgi Toplumu Ve İş Etiği

Bilgi toplumu ile birlikte, bilgi teknolojilerine ulaşmak ve bunlara sahip olmak daha da kolaylaşmıştır. Bu doğrultuda, bilgi teknolojileri üretimde, eğitimde, bireyler arası iletişimde, alışverişte ve sosyal yaşamda geniş bir alanda kullanılır hale gelmiştir. Bu nedenle, teknolojiye bağlı gelişen yeni sosyal ilişkiler beraberinde yeni davranış kalıpları ve biçimleri de ortaya koymaya başlamıştır. Bu durum birey– birey, birey–kurum ve kurum–kurum arası ilişkilerin değişmesine neden olmuştur. Bu doğrultuda, yaşanan değişim, enformasyon toplumunun genel yapısından kaynaklanan ve bilgi teknolojilerinin sıklıkla kullanılmasına dayalı yeni etik sorunların ortaya çıkmasına neden olmuştur. Bu çerçevede, bilgiye erişim hakkı ve güvenlik sorunuyla mahremiyet, kişisel haklar arasında ortaya çıkan çelişki dikkat çekicidir. Bu çerçevede, bilgiye erişim kişisel bir hak olmakla birlikte, başka bir kişinin özeline ilişkin bilgiye erişim o kişinin haklarını zedelemektedir. Ayrıca, günümüzde giderek artan güvenlik sorununu çözmeye yönelik geliştirilen uygulamalar ise bireyin mahremiyetine, özel hayatına ilişkin tehditler oluşturabilmektedir. Bilişim teknolojilerinin gücündeki artışla birlikte kişilere ilişkin özel bilgilerin kişinin bilgisi ve onayı olmadan toplanması, saklanması, dağıtılması, üzerinde değişiklik yapılması ve kötü niyetli kullanımı mümkün hale gelmiştir (Dedeoğlu, 2006, 3). Öyle ki, 1999 yılında yapılan bir araştırmada, web sitelerinin % 93’ünun isim, e–posta gibi kişisel bilgilerden, % 57’sinin ise yaş, cinsiyet ve posta kodu gibi demografik bilgilerden en az birini topladığı tespit edilmiştir (Boatright, 2003, 173). Bununla birlikte, bilişim teknolojilerindeki gelişmeler, hırsızlık gibi suçların yanı sıra, kredi kartı dolandırıcılığı, bilgi yayma, karalama kampanyaları başlatma, sistemleri çökertme, virüslü yazılımlarla zarar verme gibi yeni suçların da gündeme gelmesi için bir neden oluşturmuştur. Ayrıca, zimmete para geçirme, bilgi çalma, bir sisteme uzaktan erişimle işlevsiz hale getirerek kişi ya da kurumlara zarar verme gibi suçların yapılması daha kolaylaşmıştır. Bir diğer sorun ise, elektronik ortamda bulunan fikir eserlerinin kolaylıkla kopyalanıp dağıtılabilmesidir. Bu çerçevede, bir yandan adalet algısı zarar görürken öte yandan bu alandaki çalışmaların sürdürülebilirliği de tehlikeye düşmektedir (Dedeoğlu, 2006, 5). Teknolojik değişimlerle birlikte ne zaman ne de mekan kavramı eskisi gibidir. Bu süreçte, birçok alışkanlıklarımızın kaybolmasına ya da farklı biçimlere dönüşmesine göz yumulmaktadır. Toplumların gerek ahlak ve manevi inançları gerekse ticari adetleri ya kaybolmakta ya da şekil değiştirmektedir. Sosyal ilişkilerin yerine sanal ilişkiler geçmekte, böylece toplumsal değerler ya da tabu olarak kabul edilen ne varsa, geçmişte hiç olmadığı kadar hızla ya saldırılara maruz kalabilmekte veya kaybolmaktadır (Turban, 2006, 68). Ayrıca, bilgi teknolojilerine bağlı olarak gelişen küreselleşmenin de işletmeler açısından etik değişimlere neden olduğu söylenebilir. Öyle ki, küreselleşme sonucu farklı kültürler ve sosyo–ekonomik sistemler bir araya gelmiştir. Bu gelişme sonucunda örgütlerin sorumlulukları artmış, küreselleşme sürecinde örgütün toplumsal değer arz eden değerleri önem kazanmıştır (Bingöl, 2003, 23). Kamu alanında ise, bilgi teknolojileri yoluyla daha şeffaf yönetim anlayışı gelişmiştir. E–devlet uygulamaları ile bürokrasi azalmış, verimlilik artmıştır. Rüşvet, yolsuzluk vb. kamu etiği dışı uygulamaların da önüne geçilmeye çalışılmaktadır. Sonuç olarak, bilgisayar ve internet kullanımı bazı etik sorunlara neden olduğu gibi bazı etik sorunların da ortadan kaldırılmasını sağlamaktadır. Özellikle, elektronik ortamda kandırma, ihmal, özensizlik, virüsler, sistem çökertme, kişisel bilgilerin yayını gibi sorunlar ile karşılaşılmakta, bu ve benzeri sorunların çözümünde de yine bilgi teknolojilerine ihtiyaç duyulmaktadır (Kavi, 2009, 406). Bu tür kullanımda ise, sistem kontrolü mekanizmaları, kameralar vb. sistemlere ihtiyaç duyulmaktadır. Neticede, internet açıkça bir kamu alanıdır ve bu ortamda olmak bir kasaba meydanında konuşarak yürümeye benzemektedir.

Sonuç

 Son dönemlerde artan teknoloji kullanımı ile birlikte ortaya dijital etik kavramı çıkmıştır. Bununla birlikte bilgi toplumu bireylerinde etik sorumluluklarda farklılıklar olmuştur. Yapılan araştırmalar sonucu dijital vatandaşlığın boyutları ve bilgi toplumu bireylerin sorumluluklarına değindik. Dijital vatandaşlık ve bilgi toplumu bireylerinin hak ve sorumluluklarını öğrenmesi için bu yazıyı derledik.

Kaynakça

Alberta. (2012). Digital Citizenship Policy Development Guide. Edmonton, Canada: Alberta Education School Technology Branch.

Global Digital Citizen Foundation (2014). Digital citizenship agreements. (A. Aydin, Çev.) 23 Şubat 2015 tarihinde https://globaldigitalcitizen.org/wp-contenl:/uploads/2014/03/gdcagreements.png adresinden erişildi.

Görmez, E. (2017a). İlkokul Sosyal Bilgiler Programının Dijital Vatandaşlık ve Alt Boyutları Açısından Yeterliliği. International Journal of Social Science, 60, 1-15. Doi number: http://dx.doi.org/10.9761/JASSS7220 adresinden alınmıştır.

Yalçınkaya, B. & Cibaroğlu, M. O. (2019), Dijital Vatandaşlık Algısının İncelenmesi: Ampirik Bir Değerlendirme, BMIJ, (2019), 7(4): 1188-1208 doi: http://dx.doi.org/10.15295/bmij.v7i4.1140

Tüba Karahisar (2013). AJIT‐e: Online Academic Journal of Information Technology 2013 Summer/Yaz  – Cilt/Vol: 4 ‐ Sayı/Num: 12 DOI: 10.5824/1309‐1581.2013.3.006.x http://www.ajit‐e.org/?menu=pages&p=details_of_article&id=96 adresinden alınmıştır.

Ahmet Çubukcu, Şahin Bayzan, Middle Eastern & African Journal of Educational Research, Issue 5, Year 2013 https://www.guvenliweb.org.tr/dosya/WRQDG.pdf adresinden alınmıştır.

Kıvırcık, C. (2013, Şubat). Telekom Dünyası. 5 16, 2013 tarihinde Telekom Dünyası: http://www.telekomdunyasi.com/internet-gelistirme-kurulu-onculugunde-siberguven-408.html adresinden alındı.

Irak, D.,& Yazıcıoğlu, O.(2012). Türkiye ve Sosyal Medya.İstanbul:Okuyanus Yayınları.

Dedeoğlu, Gözde (2006), “Bilişim Toplumunda Etik Sorunlar”, II. Uygulamalı Etik Kongresi, Ankara, 18–20 Ekim 2006 , Orta Doğu Teknik Üniversitesi.

Boatright, R. John (2003), Ethics and The Conduct of Business, 4th Edition, New Jersey, Pratice Hall Pub.

Turban, Efraim (2006), Electronic Commerce: A Managerial Perspective, Pearson Prentice Hall.

Kavi, Ersin (2009), “Kastamonu’daki Kamu Çalışanlarının İnternet ve Sohbet (Chat) Programlarını Kullanma Alışkanlıklarının Değerlendirilmesi”, Kamu Etiği Sempozyum Kitabı–1, Ankara, TODAİE Yay

Photo By Marvin Meyer on Unplash


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

ETİK KAVRAMI

İÇİNDEKİLER

  1. Giriş
  2. Etik nedir?
  3. Etik Eğitim
  4. Etiğin Teorisi: Teleoloji
  5. ETİK TEORİLERİ ve TARİHİ SÜRECİ

–  İlkçağ Etik Teorileri

–  Ortaçağ Etik Teorileri

–  Modern Çağ Etik Teorileri 

  1. Sonuç
  2. Kaynakça

 

 

GİRİŞ

Bireyin düşüncelerini oluşturmakta en büyük etmen olan etik kavramı, bu düşünceleri oluştururken bireyin özgür düşünmesi gerektiğini söyler. Etik kavramı insanlar arası ilişkileri düzenleyen ve bu ilişkileri yönlendirilmesiyle ilgilenir. Yazdığım yazımda ise etik kavramının ne olduğunu ve hangi koşullarda bu kavrama ihtiyacımız olduğunu anlatmak istedim.

 

ETİK NEDİR?

Literatür taramasında “etik” kavramının tanım ve içeriği üzerinde henüz bir fikir birliği sağlanılamadığı tespit edilmiş olup, “etik” teriminin “töre bilimi” anlamını içeren Yunanca “ethos-ethikos” sözcüğünden türetildiği belirtilmektedir. Yunan dilinde bu sözcük “ahlâk sistemi, ilke, insan davranışı, gelenek” anlamlarını ifade etmektedir. Etik, teriminin birçok tanımlaması vardır. Bunlardan bazılarını şöyle sıralayabiliriz (Özkalp ve Kırel, 2011:231; Özcan, 2010:5).

Etiğin, yasalar tarafından kontrol edilmeyen; ancak insan davranışlarının sonuçlarına odaklı kültürel ve töresel bir standart olarak, kanuni zorunlulukla yapılan faaliyetlere kıyasla daha yüksek standartları karşılayan davranışları zorunlu kılmakla birlikte, kendine özgü davranışlar içerdiği belirtilmektedir. Etik toplumların gelenekleri, kültürleri ve yasaları ile meydana geldiğinden; toplumdan topluma farklılık göstermektedir. Bu nedenledir ki, bir toplumda etik veya etik dışı olarak algılanan fiiller, diğer toplumda tam zıddı bir ifade olarak algılanabilir (Doğan, 2008:180).

ETİK EĞİTİM

Etik ve değerler eğitimi (EDE) terimi, eğitimin tüm yönleriyle, ya hayatın ahlaki boyutlarıyla açık ya da dolaylı olarak ilişkili olan ve uygun eğitim metotları ve araçları ile yapılandırılabilecek, düzenlenebilecek ve izlenebilecek niteliktedir. EDE’ nin ana amaçları arasında şunlar vardır: Etik yansımayı teşvik etmek, çocuklarda farkındalık, sorumluluk ve merhamet duyguları geliştirmek, etik ilke ve değerler hakkında bilgi vermek, onları entelektüel   (eleştirel düşünme ve değerlendirme, yansıtma, keşfetme, anlama, karar verme, şefkat gösterme) donatmaktır (Ćurko, at. All, 2015). Etiğin amacı, davranışlara kılavuzluk edecek olan ilke ve kuralları oluşturmak, geliştirmek ve bunların uygulanmasını savunmak olarak belirtilmektedir. Bu nokta etiğin ahlakla olan en belirgin farkıdır. Bu anlamda etik eylemleri oluşturan ilke, kurallar ve değerlerle ilgilidir (Mahmutoğlu, 2009).

 

ETİĞİN TEORİSİ: TELEOLOJİ

Etik amaca, adil kurumlar içerisinde, başkalarıyla birlikte ve başkaları için “iyi yaşam” amacı denilebilir. Etik amacın ilk bileşeni Aristoteles’in “iyi yaşam”, “iyi hayat” dediği şeydir. Etik, tüm özellikleriyle tümelciliğe yöneliktir. Ahlaki yükümlülük ise öznel olarak “iyi yaşam” amacı ile ilişki içerisindedir. Teleolojik kuramlar, bireyin eylemlerinin sonuçları üzerine odaklanır. Yani bir eylemin iyiliğini veya kötülüğünü, doğruluğunu veya yanlışlığını eylemin sonuçları gösterir. Teleolojik yaklaşıma göre “iyi” demek, en çok sayıda insana, en fazla iyiliği getirmek demektir. Kısacası teleoloji; bir davranış ve kararın eylem ve sonuçlarının ahlak kurallarına uygunluk derecesini değerlendirmeyi ifade eder.

Bazı filozofların görüşüne göre, tıpkı tıbbın veya tıbbi ilkelerin sağlığa erişmeyi en iyi bir biçimde temin etmesi gibi, doğru ve yanlışla ilgili ilkeler de etik amaçlara ulaşmayı en iyi biçimde mümkün kılan bilgiyi temsil eder. Buna göre en temel görev belli amaçlara ulaşmak olup, doğru ve yanlışla ilgili ilkeler, bu yöndeki çabaları düzene sokar. Bu görüşe göre, ilkeleri meşrulaştıran şey, onların hizmet ettikleri amaçların doğru amaçlar olmaları ve buyurdukları eylemlerin söz konusu amaçlara erişmenin en iyi yollarına tekabül etmeleridir (Cevizci, 2005: 647).

 

ETİK TEORİLERİ ve TARİHİ SÜRECİ

Literatür taramasında her ne kadar etik anlayışının tam olarak ne zaman başladığı tespit edilemese de, dünyanın farklı yerlerinde birçok farklı toplulukta çok eski çağlardan beri etik anlayışının var olduğu anlaşılmaktadır. Dinler tarihi, felsefe tarihi ile antropolojik ve arkeolojik bulgular bu araştırmaları destekler mahiyettedir. Felsefi etik anlayışına Antik Çağ felsefelerinde rastlandığı araştırmacılarca ifade edilmektedir. Bu dönemlerde ortaya çıkan felsefi etik anlayışları, ortaya çıktıkları çağ ve bölgenin kültür ve toplumsal yapısıyla yakından ilişkilendirilmektedir. Gerçekte bütün dinler, amaçları bakımından birer etik sistemdir ve insanın nasıl davranması gerektiğini öğretmeye çalışırlar. Dinsel etiğin dışındaki alan genel olarak üç önemli döneme ayrılabilir (Tunalılar, 2010:6).

 

  1. İlkçağ Etik Teorileri

 

İlkçağ etiği, insanın amacının iyi ve erdemli bir yaşam olduğu, kaynağın akıl olduğu varsayımına dayanan teleolojik yapıdadır. Ahlakın insanın doğasında bulunmadığı, toplum içindeki yaşayışla kazanıldığı, ahlakın insan eylemlerinden doğmuş olduğu ve insanlar tarafından onaylandığı yönündeki düşünceleriyle, felsefeciler etik teorilerini başlatmışlardır. Bahse konu felsefecilere göre değer olabilecek hiçbir ölçütün olmadığı ifade edilmektedir. Daha sonraki dönemlerde, Sokrates ve onun mutluluk etiği kuramı geliştirmesi süreci takip ettiği belirtilmektedir. Sokrates, Yunan felsefesinde “etik” kuramının kurucusu olarak kabul edilmektedir. Sokrates’in felsefenin merkezine insan ile insan ilişkilerini koyması ve insanın ahlaki boyutunu ön plana çıkarması sebebiyle; insana felsefik bakışta yeni bir boyut kazandırmıştır. Sokrates’in etik anlayışına göre etik felsefenin nihai amacının mutluluğa erişmek olduğu kabul edildiğinden, Sokrates

felsefesi teleolojik bir etiktir.

Aldırmazlık etiğinin önemli savunucusu Diogenes, etik değerlere meydan okumuş, insanların sade bir yaşam sürmesi gerektiği inancıyla yaşamış bir düşünürdür. Amacın hayattan zevk almak ve mutluluk olduğu bu etik anlayışında, mutluluk kendinden öncekilerden farklı konumlanmıştır; buna göre kişinin kendine yeterliliği ve mutlak bağımsızlık hali ona mutluluk getirecektir (Tunalılar, 2010:7).

  1. Ortaçağ Etik Teorileri

Ortaçağ’da, din ve din adamları her alanda kendini göstermiş, mevcut anlayışlarda köklü değişimler yaşanmış, temeli teolojik olmayan görüşler tamamıyla terk edilmiştir. Ortaçağ etik teorilerinden “sonsuz saadet” temsilcisi olan Thomas’a göre, insan, yaratıcı tarafından yaratılmış olmanın bilinciyle yaşamalı ve erdemli davranışlar sergilemelidir. Ortaçağ boyunca inancın hizmetinde olan dini ağırlıklı felsefenin, geleneğe ve otoriteye başkaldırması modern dönem sürecinde gerçekleşmiştir.

 

 

  1. Modern Çağ Etik Teorileri

Modern çağın uzun süreli ve etkili akımının “tüm insani faaliyetlerin temeline faydayı koyan ve insanı faaliyette bulunmaya yönelten temel güdünün fayda olduğunu” savunan bir yaklaşım olarak tanımlanan “faydacılık” etiği olduğunu söylemek doğru bir ifade olacaktır. Faydacılık felsefenin bu denli etkili olmasında, kapitalizmin güç kazanmasının ve ekonomik sistemin hâkimi olmasının etkisi büyüktür. Faydacılık felsefesine göre; bir eylem, maksimum sayıda şahıs için maksimum faydayı sağlıyor veya minimum sayıda kişi için minimum düzeyde zarara sebebiyet veriyorsa etiktir.

Faydacı etik felsefesi kendi içinde, faaliyet-fayda ve kural-fayda olarak ikiye ayrılır. Faaliyet-fayda yaklaşımında; belirli bir faaliyetin nasıl daha iyi fayda üreteceği ve karar vericinin alternatifler arasından daha maksimum bireye fayda sağlayacak en iyi alternatifi seçmesi gerektiğini savunmaktadır. Diğer bir faydacılık felsefesi olan kural-fayda felsefesinde ise belirli bir durum için kurallar etik açıdan önemlidir. Fayda doğrudan kural veya doğrudan tanımlanmış eyleme göre değerlendirilir (Kurtoğlu, 2008).

SONUÇ

Bu araştırmada yapılan açıklamalarda etik kavramının gelişim sürecinden bahsettik. İnsanın gelişen çağda etik kavramını hakkında olan düşüncelerinin nasıl şekillendiğini, insanın fikirlerini nasıl etkilediği hakkında bilgi verdik. Hayatımızın hemen hemen her yerinde olan etik kavramının farkında olarak iyi veya doğrunun ne olduğuna karar verirken bu kavramın öneminden bahsettik.

 

KAYNAKÇA

    • Cevizci, Ahmet (2005), Felsefe Sözlüğü, Paradigma Yayınları, İstanbul.
    • Ćurko, B., Feiner, F., Gerjolj, S., Juhant, J., Kreß, K., Mazzoni, V & Schlenk, E. (2015). Ethics and Values Education-Manual for Teachers and Educators.
    • Doğan, N. (2008), İş Etiği ve İşletmelerde Çöküş. Selçuk Üniversitesi. İktisadi ve İdari Bilimler Fakültesi. Sosyal ve Ekonomik Araştırmalar Dergisi. Cilt: 10, Sayı:16.
    • Kurtoğlu, R. (2008), Perakendecilikte etik ve bir uygulama. Yayımlanmamış Doktora Tezi, Erciyes Üniversitesi Sosyal Bilimler Enstitüsü, İşletme Ana Bilim Dalı. Üretim Yönetimi ve Pazarlama Bilim Dalı, Kayseri.
    • Mahmutoğlu, A.(2009). Etik ve ahlâk; benzerlikler, farklılıklar ve ilişkiler. Türk İdare Dergisi, Haziran-Eylül: 225-249.
    • Özkalp, Enver ve Kırel, Çiğdem (2011), Örgütsel Davranış, Anadolu Üniversitesi Yayınları, Eskişehir, s.232.
    • Tunalılar, Tuğrul T. (2010), Etik Teorileri, Sosyal Sorumluluk ve İş Etiği Dersi, Doktora Seminer Makalesi, SBE, Yayımlanmamış Ders Notu, İnönü Üniversitesi, Malatya, s.4.
    • photo by Tingey Injury Law Firm on Unsplash
       

      Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.
Kategoriler
Bilişim Etiği

Bilişim ve Yazılım Lisans Türleri

  1. Giriş

  2. Yazılım Lisansı Nedir?

  3. Yazılım Lisansı Avantajları

  4. Olumsuz İmaj Sonuçları

  5. Yazılım Türleri

    1. Ücretsiz Yazılım (Freeware)

    2. Geliştirme Aşaması (Beta Yazılım)

    3. Demo Yazılım

    4. Geçici Kullanım (Trial Yazılım)

    5. Lisanslı Yazılım

  6. Lisans Türleri

    1. GNU GPL

    2. GNU LGPL

    3. GNU AFFERO

    4. MIT

    5. APACHE

    6. BSD

    7. MOZILLA PUBLIC

    8. SON KULLANICI ANLAŞMASI (EULA)

    9. CREATIVE COMMONS

  7. Copyleft Nedir?

  8. Sonuç

  9. Kaynakça

 

Giriş

Burada sizleri yazılım lisansının ne olduğundan, gerekliliklerinden, zorunlu durumlardan, olumsuz imajlardan, yazılım türlerinden ve lisans türlerinden bahsedeceğim.

 

Yazılım Lisansı Nedir?

Yazılım lisansı, telif hakkı sahibinin (yazılım üreticisinin) haklarını koruyan bir belgedir. Her bir yazılım için lisans almak şarttır; bu üreticinin telif hakkını çiğnemediğinizi, emeğinin karşılığını verdiğinizi gösterir. Telif hakkı sahibinin hakları yasalarla da korunur. Telif hakkı yasaları, insanların izin almaksızın yazılım kopyalayamayacağını açıkça beyan eder. Hiç kimse telif hakkı sahibinin izni olmadan, emeğini kopyalayıp dağıtamaz ve kullanamaz. Eğer, izinsiz olarak bir bilgisayar programını kopyalar veya yasal olmayan bir kopyasını bir başkasına tedarik ederseniz, kanunları çiğnemiş sayılırsınız.

 

Yazılım Lisansı Avantajları

  • Virüs ve hatalı ürün tehlikesine karşı etkin korunma
  • Teknik destek güvencesi
  • Doğru ve eksiksiz dokümantasyonla çalışma olanağı
  • Yazılımı hem düşük maliyetle güncelleştirme hem de bu konulardaki tüm gelişmeleri kısa sürede edinebilme olanağı

Olumsuz İmaj Sonuçları

  1. Korsan yazılım kullananlar, bu konuları takip eden basın organlarında yer alıp prestij kaybına uğrayabilirler.
  2. Firmayla iş yapan müşteriler yönünden güven eksiltici bir durum yaratır.
  3. Bazı kurumsal şirketlerin ve kamu kurumlarının ihalelerinden dışlanabilirler(TAHSİN,2020).

 

Yazılım Türleri

  • Ücretsiz Yazılım (Freeware)

Kullanım hakları tamamen açık olan ve bütün kullanıcılara ücretsiz olarak sunulan yazılım türüdür.
İnternet üzerinden  veya bilgisayar dergisi CD’lerinden yada kullanıcı grupları aracılığı ile dağıtılan hiçbir ücret talep etmeyen yazılımlardır.

 

  • Geliştirme Aşaması (Beta Yazılım)

Geliştirme aşamasında olunan yazılım türüdür. Bu yazılımların belli bir kısmı kullanıcılara sunulur ve yazılımdaki hatalar ile ilgili kullanıcılardan fikir vermeleri istenir.Yazılımlar piyasaya sürmeden önce gerçek kullanıcılar ile test edilmesi aşamasıdır.

 

  • Demo Yazılım

Bu tür yazılımlar tanıtım amacı ile kısıtlı olarak hazırlanmış yazılımlardır. Demo yazılımlarda belirlenmiş bazı özellikler kullanıcı tarafından kısıtlı olarak kullanabilmektedir.Bazı özellikleri kısıtlanmış olan yazılımlardır. Örneğin; yapılan işlemlerin çıktısının alınamaması veya bir oyunda ikinci aşamaya geçilememesi gibi. Tüm özelliklerin kullanılabilmesi için demo yazılım kullanıldıktan sonra gerçek lisanslı program satın alınmalıdır.

 

  • Geçici Kullanım (Trial Yazılım)

Belirli bir süre (15-30 gün) kullanım izni olan yazılımlardır. Verilen süre bitiminde kullanmaya devam etmek için paylaşılan yazılım satın alınmalıdır. Deneme sürümü olarak da bilinir. Ücretli antivirüs yazılımları buna güzel bir örnektir.  Geliştiricileri programları genelde bu şekilde dağıtırlar. Kullanıcı  yazılımı belli bir süre ücretsiz olarak kullanır ve ardından işine yaradıysa ücretini ödeyip kullanabilir.

 

  • Lisanslı Yazılım

Bu yazılım türü satın alınmış olunan ve satın alan kişinin kullanabileceği bir ürün çeşididir. Kullanıcı tarafından kullanım hakları satın alınmış bir kişi veya grup tarafından kullanılabilen yazılım türüdür(KALAYCI,2019).

 

Lisans Türleri

  • GNU GPL

GNU Genel Kamu Lisansı (GNU GPL ya da GPL) birçok yerde kullanılan ücretsiz yazılım lisansıdır ve özgün hali Richard Stallman tarafından GNU projesi için yazılmıştır. Bu lisansın en son sürümü (GPLv3), 29 Haziran 2007’de çıkmıştır. GNU Kısıtlı Genel Kamu Lisansı yani LGPL ise GPL’in bazı yazılım kütüphaneleri için yazılmış sürümüdür. 

GPL lisans anlaşması, 1983 yılında Richard Stallman tarafından geliştirilmiş, çok akıllıca detaylarla bağlayıcılığı bulunan, teşvik edici, gerek kullanıcı gerekse üretici tarafa büyük olanaklar sağlayan bir lisans türüdür. GPL’in en çok üzerinde durduğu konu yazılımların kaynak kodu ile birlikte dağıtılmasının gerekliliğidir. Üretici firma yazılımını binary olarak dağıtsa bile kaynak kodunu da herkes tarafından erişilebilir bir yere bırakmak zorundadır. Kullanıcı, bu kaynak kodu alıp inceleyebilir, üzerinde istediği değişikliği yapabilir, kendi projelerinde, yazılımlarında kodun tamamını ya da bir parçasını kullanabilir. Hatta başkasının kod parçasını alıp birkaç değişiklik yapıp, satarak maddi kazanç da elde edebilir. Ama tek bir şartla, yeni üretilen program da GPL ile lisanslanmak zorundadır. 

GPL, yazılımın ücretlendirilmesi hakkında hiçbir fikir beyan etmez. GPL yazılımları ücretsiz olmak zorunda değildir. Üretici firma ya da kuruluş, yazılımını GPL ile lisanslayıp, dağıtabilir ve karşılığında da bir ücret talep edebilir. Bu madde en baştan beri sözleşme içerisinde olmasına rağmen, GPL yazılımların çok büyük bir kısmı ücretsizdir. Genel yaklaşım yazılımdan değil, kullanıcıya sunulan kurulum, eğitim, yönetim ve ek modül yazma gibi süreçlerden para kazanılması şeklindedir. Bu özelliği ile GPL pek çok lisanstan ayrılmaktadır(SARIGÜL, 2019).

 

  • GNU LGPL

Bu lisans belgesinin tam kopyasının herkes tarafından koplayalanması ve dağıtımı serbest olup, değiştirilmesi yasaktır.

GNU Kısıtlı Genel Kamu Lisansı’nın işbu sürümü, aşağıdaki listede yer alan ek izinlerle eksiklikleri giderilerek GNU Genel Kamu Lisansı’nın 3′üncü sürümünün hüküm ve koşullarını kapsamaktadır.

0. Ek Tanımlamalar.

Burada kullanıldığı gibi “işbu lisans”, GNU Kısıtlı Genel Kamu Lisansı’nın 3′üncü sürümünü, “GNU GKL” de GNU Genel Kamu Lisansı’nın 3′üncü sürümünü kasteder.

“Kütüphane” işbu lisansla kapsama alınmış, aşağıda tanımlandığı gibi bir uygulama veya birleştirilmiş çalışma dışındaki çalışmaları kasteder.

Bir “uygulama” kütüphane tarafından sağlanan arayüzün kullandığı her türlü çalışma olup, kütüphaneye başka türlü dayanmayan çalışmadır. Kütüphane tarafından tanımlanan bir sınıfın altsınıfını tanımlamak, kütüphane tarafından sağlanan bir arayüzü kullanma şekli olarak varsayılır.

“Birleştirilmiş çalışma”, bir uygulamanın kütüphaneyle birleşmesi ya da bağlanmasıyla ortaya çıkan çalışmadır. Birleştirilmiş çalışmayla yapılan belirli bir kütüphane sürümüne aynı zamanda “bağlanmış sürüm” adı verilir.

Birleştirilmiş çalışma için “En Küçük İlgili Kaynak”, diğer durumlardan ayrı olarak düşünüldüğünde uygulamaya dayalı olmayan ve bağlanmış sürüm olmayan birleştirilmiş çalışmanın parçaları için herhangi bir kanak kod hariç, birleştirilmiş çalışma için ilgili kaynak demektir.

Birleştirilmiş çalışma için “İlgili Uygulama Kodu”, uygulamadan yeniden birleştirilmiş çalışma elde etmek için gerekli her tür veri ve yardımcı programı içeren fakat birleştirilmiş çalışmanın sistem kütüphanelerini içermeyen, uygulama için nesne kodu ve/veya kaynak kod demektir (Özgür Yazılım Vakfı,2007).

 

  • GNU AFFERO

GNU Affero Genel Kamu Lisansı, normal GNU GPL’nin 3. sürümünün değiştirilmiş bir sürümüdür. Ek bir zorunluluğu vardır: Bir sunucuda değiştirilmiş bir program çalıştırırsanız ve diğer kullanıcıların onunla orada iletişim kurmasına izin verirseniz sunucunuzun da üstünde çalışan değiştirilmiş sürüme karşılık gelen kaynak kodu indirmelerine izin vermesi gerekir.

GNU Affero GPL’nin amacı, sunucularda sıklıkla kullanılan özgür program geliştiricilerini etkileyen bir sorunu önlemektir.Normal GNU GPL altında özgür bir program geliştirdiğinizi ve yayımladığınızı varsayalım. D geliştiricisi programı değiştirir ve yayımlarsa, GPL kendi sürümünü de GPL altında dağıtmasını ister. Böylece onun sürümünün bir kopyasını alırsanız değişikliklerinin bir kısmını veya tamamını kendi sürümünüze dâhil etmekte özgürsünüz(Özgür Yazılım Vakfı,2020).

 

  • MIT

Açık kaynak lisanslar arasından en çok karşımıza çıkan lisanslardan birisi şüphesiz MIT lisansı. MIT (mit) lisansı, 1988 yılında Massachusetts Teknoloji Enstitüsü (MIT) tarafından hazırlanmış, çoğu araştırmaya göre günümüzden en sık kullanılan açık kaynak ve özgür yazılım lisansıdır. Oldukça kısadır ve çok kullanışlıdır. Bu yazımızda verdiğimiz en kısa özetiyle; “yazılımımla istediğini yap, sadece beni dava etme” demektedir ve telif feragatli (copyleft) değildir.

Açık kaynak lisanslar arasından en çok karşımıza çıkan lisanslardan birisi şüphesiz MIT lisansı. MIT (mit) lisansı, 1988 yılında Massachusetts Teknoloji Enstitüsü (MIT) tarafından hazırlanmış, çoğu araştırmaya göre günümüzden en sık kullanılan açık kaynak ve özgür yazılım lisansıdır. Oldukça kısadır ve çok kullanışlıdır. Bu yazımızda verdiğimiz en kısa özetiyle; “yazılımımla istediğini yap, sadece beni dava etme” demektedir ve telif feragatli (copyleft) değildir.

özgürlisanslar.org.tr tarafından yürütülen, özgür lisansların Türkçeleştirme çalışmaları sayesinde aşağıdaki gibi Türkçeleştirilmiştir;

Hiçbir ücret talep edilmeden burada işbu yazılımın bir kopyasını ve belgelendirme dosyalarını (“Yazılım”) elde eden herkese verilen izin; kullanma, kopyalama, değiştirme, birleştirme, yayımlama, dağıtma, alt lisanslama, ve/veya yazılımın kopyalarını satma eylemleri de dahil olmak üzere ve bununla kısıtlama olmaksızın, yazılımın sınırlama olmadan ticaretini yapmak için verilmiş olup, bunları yapmaları için yazılımın sağlandığı kişilere aşağıdakileri yapmak koşuluyla sunulur:

Yukarıdaki telif hakkı bildirimi ve işbu izin bildirimi yazılımın tüm kopyalarına veya önemli parçalarına eklenmelidir.

Yazılım “HİÇBİR DEĞİŞİKLİK YAPILMADAN” esasına bağlı olarak, ticarete elverişlilik, özel bir amaca uygunluk ve ihlal olmaması da dahil ve bununla kısıtlı olmaksızın açıkça veya üstü kapalı olarak hiçbir teminat olmaksızın sunulmuştur. Hiçbir koşulda yazarlar veya telif hakkı sahipleri herhangi bir iddiaya, hasara veya diğer yükümlülüklere karşı, yazılımla veya kullanımla veya yazılımın başka bağlantılarıyla ilgili bunlardan kaynaklanan ve bunların sonucu bir sözleşme davası, haksız fiil veya diğer eylemlerden sorumlu değildir.

Lisans metnini okuduğunuz zaman anlayabileceğiniz üzere gerçekten iki parçadan kurulmuştur; ne istersen yap, beni sorumlu tutamazsın. X11 lisansı olarak da bilinen MIT lisansı, bir sonraki yazımızda detaylıca bahsedeceğim -ve ikinci en sık kullanılan – GPL lisansından daha liberal kabul edilmektedir. MIT tarafından başka lisanslar altında onlarca yazılım piyasaya sürüldüğünden, FSF ve OSI arasında bir isim tartışması yaşansa da; X11, MIT ve MIT X sıkça kullanılan isimlerindendir.

Pek tabi hangi lisansın yazılımcılar ve kullanıcıları daha iyi koruduğuna dair bitmeyen bir tartışma söz konusu.

Bir hukukçu gözünden şunu söyleyebilirim ki, özgür lisans felsefesine şahsen daha uyumlu bulduğum MIT lisansı, hukukçuların kalıp cümlelerinden olan “…..dahil olmakla birlikte bunlarla sınırlı olmaksızın….” ibaresini kullanarak, bu lisansı kullananlar için çok büyük bir hareket alanı sağlamakta. Gerçekten MIT lisansı ile korunan bir yazılım ile dilediğiniz şeyi yapıp, onu kendi ticari amaçlarınız için dahi kullanabilirsiniz(ÇOŞKUN,2014).

 

  • APACHE

Apache deyince aklıma direk özgür yazılım geliyor. Öğrencilik yıllarımdan hatırlıyorum Apacha Tomcat’i. Ön ekinde Apache bulunan bir çok yazılım, alanlarının en iyilerinden halen. Yazılım dünyasına katkıları yadsınamaz gerçekten.

Apache lisansının MIT’den bir farkı yok aslında. Sadece yazılımınızı dağıtırken kullandığınız Apache lisanslı ürünlerin lisanslarını da dağıtımınıza eklemeniz gerekiyor. Yani kısaca emeğe saygı konusu daha önemli tutulmuş bu lisansta(BARAN,2018).

 

  • BSD

Unix sisteminin ilk yıllarında, yaratıcıları AT&T Company Bell Labs, Kaliforniya Üniversitesi, Berkeley ve diğer üniversitelere kaynak kodunu kullanma ve ihtiyaçlarına göre uyarlama yetkisi verdi.

1970’lerde ve 1980’lerde Berkeley sistemi işletim sistemleri araştırması için kullanıldı. AT&T ticari nedenlerle üniversiteden kullanım iznini geri çektiğinde, üniversite yaptıkları katkıları kullanarak Unix sisteminden esinlenen bir versiyonun oluşturulmasını teşvik etti. Daha sonra akademik amaçlarla dağıtımına izin vermek ve bir süre sonra kopyalanması, dağıtımı veya değiştirilmesi ile ilgili minimum kısıtlamaları azalttı(BAĞCI,2020).

 

  • MOZILLA PUBLIC

Mozilla Kamu Lisansı (kısaca MPL), açık kaynak koda dayanan bir özgür yazılım lisans modelidir. 1.0 sürümü Netscape’de hukukçu olarak çalışan Mitchell Baker tarafından 1998’de yazıldı. Daha güçlü bir özgür yazılım vurgusuna sahip olan güncel 1.1 sürümüyse Mozilla Vakfı hukukçularınca kaleme alındı.

MPL, Özgür Yazılım Vakfı (FSF) tarafından özgür bir sözleşme olarak kabul edilse de telif feragatı yanı zayıf bir lisans modeli olarak algılanmalıdır. MPL prensip olarak, BSD lisansının olanaklarıyla GNU Genel Kamu Lisansı’nı bir araya getirmeye çalışır.

Mozilla, açık kaynak kodlu / ücretsiz bir yazılım lisansı olan Mozilla Public License (“MPL”) ‘ nin sorumlusudur .

Lisansın geçerli sürümü MPL 2.0’dır. MPL 2.0 altında lisanslanan kodu kullanmak veya dağıtmak için sözleşmeyi dikkate alınız(MOZILLA,2009).

 

  • SON KULLANICI ANLAŞMASI(EULA)

EULA veya İngilizce açılımıyla End-User License Agreement (Son Kullanıcı Lisans Anlaşması) kullanıcının haklarını koruyan sıradan, bürokratik bir söz-leşmeymiş gibi görünebilir. Aslında temel olarak EULA, kullanacağınız yazılımla ilgili gerekli yasal zorunlulukların hatırlatıldığı bir metindir. EULA genellikle yazılımı kurmadan önce önünüze getirilir ve kabul ettiğinizi belirtmek için metnin altındaki küçük bir kutuyu işaretlemeniz istenir. Yasalar karşısında bu, bir kâğıdın altına imza atmanızla eşdeğerdir çünkü o “kabul ediyorum” yazan küçük kutucuğu işaretlemeden yazılımın kurulmasına izin verilmez. Çoğu zaman da metni okuduğunuzu garantilemek için o uzun metni fare ile tutarak başından sonuna kadar indirmeniz gerekir ki ancak o işlemden sonra metni okuduğunuzu ve şartları kabul ettiğinizi yazan küçük kutucuğa ulaşabilirsiniz. Ancak genel olarak EULA, bürokratik bir zorunlulukmuş gibi görünse de, aslında yazılım şirketinin haklarını koruyan maddelerle doludur ve bir gün yazılım şirketini mahkemeye vermeniz halinde imzaladığınız bu uzun dokümandaki şartlar karşınıza konulup, bir hak talep edemeyeceğiniz hatırlatılır.(ŞANCI,2008).

 

  • CREATİVE COMMONS

Creative Commons kâr amacı gütmeyen bir organizasyondur. ¨ Açık lisanslar topluluğudur. ¨ Bir eserin internet ortamındaki kullanım koşullarının eser sahibi tarafından belirlemesini sağlar. ¨ Bilimsel, kültürel ya da sanatsal yaratıcı çalışmaların internet ortamında paylaşımını mümkün kılar(HOLT,2017).

Resim 1

Yukarıdaki resimde lisans türleri sınırsızdan en sınırlıya doğru sıralanmıştır. Bu lisans türlerinin her birini tek tek ele alalım.

 

Atıf
CC BY

Resim 2

Lisans, kullanan kişilere orjinal eserden alıntı yaptıkları sürece, eserinizi dağıtma, karıştırma, ince ayar yapma, ya da üzerine çalışma haklarını verir. Bu sunulan en kullanışlı lisanstır. Bu lisans eserin mümkün olduğu kadar çok kullanılması ve yayılması için önerilir.

 

Atıf – Aynı Lisansla Paylaş
CC BY-SA

Resim 3

Bu lisans eseri kullanan kişilere kendi eserlerini de aynı lisanla lisansladıkları sürece, karıştırma, ince ayar yapma ve üzerinde çalışma hakkı verir. Bu lisans genelikle “copyleft”ten bağımsız ve açık erişim yazılım lisansları ile karşılaştırılır. Wikipedia bu lisansı kullanmaktadır ve Wikipedia gibi içeriklerden ya da benzerlerinden yararlanan eserler için önerilmektedir.

 

Alıntı – Türetilemez
CC BY-ND

Resim 4

Bu lisans, size atıf yapıldığı sürece, eserin değiştirilmeden ticari ya da gayri-ticari dağıtım hakkını verir.

 

Atıf-Ticari Olmayan
CC BY-NC

Resim 5

Bu lisans, diğerlerinin ticari olmayan amaçla eserinizi karıştırarak farklı bir sürümünü oluşturmasına, ince ayar yaparak geliştirmesine ya da eserinizin üzerine inşa ederek kendi eserlerini oluşturmasına izin verir. Onların yeni eserleri gayri-ticari olmak ve size de atıfta bulunmak zorunda olmasına rağmen, onlar ortaya çıkan türetilmiş eserlerini aynı şartlar ile lisanslamak zorunda değildir.

Ben yazılarımda ve paylaşımlarında bu lisans türünü tercih ediyorum.

 

Atıf – Ticari Olmayan – Aynı Lisansla Paylaş
CC BY-NC-SA

Resim 6

Bu lisans diğerlerinin ticari olmayan amaçla eserinizi karıştırarak, ince ayar yaparak ya da geliştirerek kendi eserlerinde kullanmasına izin verir ve kullanılan eserin orijinal lisansının aynısı ile yeni ürünü lisanslamalıdır.

 

Atıf – Ticari Olmayan – Türetilemez
CC BY-NC-ND

Resim 7

Bu lisans 6 lisans içinde en sınırlayıcı olandır. Eseriniz size alıntı vererek indirilebilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz.

 

 

Yukarıdaki 6 lisans dışında bir de “Tüm hakları tanınmıştır” anlamında Creative Commons Zero-CC0 (Kamu Malı Atfetme) işareti mevcuttur.

Hiçbir Hakkı Saklı Değildir.

Kamu Malı Atfetme
CC0

Resim 8

Bu lisans ile eserini ilişkilendiren kişi, eserini Kamu Malı olarak adar, tüm ilgili ve komşu haklar dâhil olmak üzere, telif haklarından kanunların izin verdiği sınırlarda dünya çapında feragat eder.

CC0’la paylaşılan bir eseri hiçbir izin almadan ticari amaçlar da dahi olmak üzere kopyalayabilir, düzenleyebilir, dağıtabilir ya da kullanabilirsiniz.

Özetle; Ticari kullanım için dahi ücretsizdir, atıfta bulunulmasına da gerek yoktur(SARIGÜL,2019).

 

Copyleft Nedir?

Copyleft, bir programın (veya başka bir çalışmanın) özgür yazılım haline getirilmesi, programın tüm değiştirilmiş ve geliştirilmiş sürümlerinin de özgür yazılım olması için genel bir yöntemdir.

Bir programı özgür hale getirmenin en basit yolu, telif hakkını kaldırıp programı kamu malı haline getirmektir. Bu istekleri bu yöndeyse insanların programı ve iyileştirmeleri paylaşmalarını sağlar. Ancak bu durum ayrıca işbirliği yapmayan insanların programı özel mülk yazılıma dönüştürmesine de neden olur. Bu insanlar, çok sayıda ya da az sayıda değişiklik yapar ve programı özel mülk bir ürün olarak dağıtırlar. Programı bu değiştirilmiş biçimde alan insanlar, özgün yazarın onlara sağladığı özgürlüğe sahip olamazlar; aradaki insanlar bu özgürlüğü yoketmiştir(Kalaycı, Özşar, Sarıfakıoğlu, Çapkan ve Gözükeleş,2019).

 

Sonuç

Şimdiye kadar anlattığım lisansların ve  yazılımların dışında her birinin farklı versiyonları mecvuttur. Her yeni versiyonda tekrar lisanlama yapılmaktadır. Çünkü her yeni versiyonda farklı maddeler eklenebilir, çıkarılabilir veya var olan maddeler düzenlenebilir. Burada önemli olan yazılımlarımızda lisanslama yaparken lisans sözleşme detaylarını dikkate alarak kullanmaktır. Lütfen lisanslamaya gereken önemi verelim. Unutmayalım ki lisans, ürettiğimiz yazılım üzerinden maddi veya manevi kazanç sağlamaya çalışan kişi, kurum ya da kuruluşlardan, hakkımızı ve emeğimizi bizim için koruyan bir belgedir. 

 

Kaynakça

BAĞCI, T. (2020). BSD nedir? , 10 HAZİRAN 2020 tarihinde, https://www.sysnettechsolutions.com/bsd-nedir/ adresinden alındı.

BARAN, M.(2018).Yazılım Lisans Tipleri (MIT, Apache, GNU). 10 HAZİRAN 2020 tarihinde, https://medium.com/@mehmet.baran/yaz%C4%B1l%C4%B1m-lisans-tipleri-mit-apache-gnu-1397af4d1fbb adresinden alındı.

ÇOŞKUN,Y.C.(2014).MIT Lisansı Nedir?(Açık Kaynak Yazılımlar Serisi), 10 HAZİRAN 2020 tarihinde, https://startuphukuku.com/mit-lisansi-nedir/ adresinden alındı.

HOLT, İ. (2017). Creative Commos Açık Lisansları, 10 HAZİRAN 2020 tarihinde, https://www.slideshare.net/ilkayholt/creative-commons-ak-lisanslar adresinden alındı.

KALAYCI, A.İ.(2019). Afiş-Lisans Türleri, 10 HAZİRAN 2020 tarihinde, https://bilisim7.blogspot.com/2019/03/afis-lisans-turleri.html#top adresinden alındı.

Kalaycı, T.E., Özşar, Ç., Sarıfakıoğlu, B., Çapkan, S., Gözükeleş, İ.(2019). Copyleft Nedir?, 10 HAZİRAN 2020 tarihinde, https://www.gnu.org/licenses/copyleft.html adresinden alındı.

Mozilla Corporation’s.(2009). Mozilla Public Licence, 10 HAZİRAN 2020 tarihinde, https://www.mozilla.org/en-US/MPL/ adresinden alındı.

Özgür Yazılım Vakfı.(2007).GNU Kısıtlı Genel Kamu Lisansı, 10 HAZİRAN 2020 tarihinde, https://www.gnu.org/licenses/lgpl-3.0.html  adresinden alındı.

Özgür Yazılım Vakfı.(2020).Neden GNU Affero, 10 HAZİRAN 2020 tarihinde, https://www.gnu.org/licenses/why-affero-gpl.tr.html adresinden alındı.

Photo by Pixabay on Pexels

SARIGÜL, K. (2019). GNU Genel Kamu Lisansı nedir? , 10 HAZİRAN 2020 tarihinde, http://www.kerimsarigul.com/a%C3%A7%C4%B1k-kaynak-kod/gnu-genel-kamu-lisans%C4%B1-nedir adresinden alındı.

SARIGÜL,K.(2019).ULUSLAR ARASI LİSANS TÜRLERİ VE ÖZELLİKLERİ,10 HAZİRAN 2020 tarihinde, http://www.kerimsarigul.com/program-uygulama-site/uluslararasi-lisans-t%C3%BCrleri-ve-%C3%B6zellikleri   adresinden alındı.

SARIGÜL,K.(2019). 10 HAZİRAN 2020 tarihinde, http://www.kerimsarigul.com/program-uygulama-site/uluslararasi-lisans-t%C3%BCrleri-ve-%C3%B6zellikleri adresinden resim 1,2,3,4,5,6,7,8 alındı.

ŞANCI, C.(2008). Eula Nedir? Bize Ne Kazandırır?, 10 HAZİRAN 2020 tarihinde, http://ust-karakter.blogspot.com/2008/04/eula-nedir-bize-ne-kazandirir.html adresinden alındı.

TAHSİN, H.(2020) Yazılım Lisansı Nedir? Neden gereklidir?, 10 HAZİRAN 2020 tarihinde, http://www.sisbim.com/urun-gruplarimiz/yazilim-lisansi-nedir-neden-gereklidir adresinden alındı.

 

 


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

 

 

Kategoriler
Bilişim Etiği

MESLEK KAVRAMI VE BİR MESLEK ALANI OLARAK EĞİTİM-ÖĞRETİM

BİR MESLEK ALANI OLARAK EĞİTİM-ÖĞRETİM

      Toplumda genel olarak bütün uğraşları “meslek” olarak görme eğilimi bulunmaktadır. Ancak toplumsal yaşamda kabul gören bütün uğraşlar meslek olarak görülebilir mi? Aşağıda meslek kavramı ve bir uğraşın meslek sayılabilmesi için taşıması gereken bazı özellikler yer almaktadır.

   Meslek Kavramı

     Batı dünyasında meslekler, alınan eğitim düzeyi ve yapılan görevlerin niteliğine göre, “Uzman Meslekler (professions)” ve “Beceriye Dayalı Meslekler (Vocations)” olarak sınıfl andırılmaktadır (Kuzgun, 2000,1)

   Bir meslek sahibi olmak, sağlıklı bir gelişime sahip bütün bireyler için çok önemlidir. Meslek kişinin kimliğinin en önemli kaynaklarından biri olarak, toplumda saygı görmesine, başkaları ile ilişki kurmasına, toplumda bir yer edinmesine ve işe yaradığı duygusunu yaşamasına olanak veren bir etkinlik alanıdır (Kuzgun, 2000, 2).

      Meslek kavramının tanımlanmasında önemli anlaşmazlıklar bulunmaktadır. Bazıları ekonomik sonuç doğuran yani para kazanmak için yapılan bütün etkinlikleri meslek olarak tanımlarken, bazıları meslek kavramının kapsamını bu kadar geniş tutmaktan yana davranmamakta ve bir uğraşının meslek sayılabilmesi için bazı koşulları taşıması gerektiğini savunmaktadırlar. (Aydın, İnayet. EĞİTİM VE ÖĞRETİMDE ETİK  TBMM. 1. Baskı: Kasım 2003)

     Meslek; insanlara yararlı mal ve hizmetler üretmek ve bunun karşılığında para kazanmak için yapılan, belli bir eğitimle kazanılan sistemli bilgi ve becerilere dayalı, kuralları toplumca belirlenen ve etik değerleri kapsayan etkinlikler bütünüdür (Kuzgun, 2000, 3).

Bayles’e göre bir mesleğin temel özellikleri:

a) Yoğun bir eğitim ve yetiştirme gerektirmesi,

b) İşin bir ampirik ve objektif yaklaşıma dayalı olması,

c) Toplumda önemli bir işlevi yerine getiriyor olması,

d) Bir etik ilkeler dizisine bağlı olarak yapılmasıdır (Mc Cormick, 1995, 38).

Bernard Barber’e göre ise bir uğraşın meslek sayılabilmesi için şu özellikleri taşıması gerekmektedir:

1) Genel ve sistematik bilgi,

2) Toplumun ihtiyaçlarına yönelik olma,

3) Etik ilkelerin içselleştirilmesi ile sağlanan bir özdenetim,

4) Ulaşılmak için çaba sarfedilen sembolize edilmiş ödüller (Sokolowski, 1991,23).

Açıklamalar analiz edilecek olursa bir mesleği meslek yapan genel özellikleri aşağıdaki gibi ortaya koymak mümkündür:

  1. Bir meslek toplumun kaçınılmaz olan bir gereksinimini karşılar: Örneğin sağlık, güvenlik, eğitim gibi toplumsal gereksinimler her toplumda bu hizmetleri sunacak meslekleri gerekli kılmaktadır
  2. Meslek kişinin salt kendi doyumu için değil aynı zamanda başkalarının yararı için de yapılan bir uğraştır: Örneğin bir doktor mesleğini sadece hizmetinin karşılığında aldığı para için değil, insanlara sağlıklarını kazandırmak için de yapar. Bir öğretmen okuma yazma öğrettiği öğrencilerin yaşamlarını yönetme becerilerinden mutluluk duyar. Bir polis güvenli ve huzurlu bir toplum yaşamı için gösterdiği çabalardan dolayı insanların mutluluğuna katkıda bulunmuş olur
  3. Meslek sistemli bir eğitimle kazanılmış özel bilgi ve becerilere dayalıdır: Bir mesleğin meslek olabilmesi için mesleğe girmeden önce kişilerin bu mesleği icra edebilmeyi sağlayan bilgi, beceri ve tutumları kazanmış olmaları gereklidir. Burada meslek elemanı toplum tarafından bir “uzman” olarak görülmekte ve o hizmette kişiye tam bir güven duymaktadır. Örneğin bir doktora gittiğimizde onun bu mesleğin gereklerini eksiksiz ve kusursuz olarak bildiğini kabul ederiz. Bu nedenle meslek elemanlarının iyi bir eğitimden geçmiş olmaları gereklidir.
  4. Meslekler araştırma ve deneylerle geliştirilerek zamanla kendine özgü tekniklere sahip olurlar: Meslekler de insanlar gibi araştırma ve deneyler sonucu belli bir bilgi ve kültür birikimine sahip olur. Eğitim yolu ile kuşaktan kuşağa aktarılan bu bilgi birikimi zaman içinde mesleğe özgü tekniklerin gelişmesine ya da süreç içinde yeni tekniklerin keşfedilmesine yol açar
  5. Meslekler maddi kazanç elde etmek için yapılan uğraşlardır: Meslek üyeleri yaşamlarını mesleklerinden elde ettikleri yasal gelir ile sürdürürler. Ancak insanlar sadece para için çalışmazlar. Mesleki etkinlikler içerisinde insanlar bir şeyler üreterek kapasitelerini kullanma ve geliştirme olanağı bulurlar, bundan haz duyarlar. İşte bu nedenledir ki yaşamak için paraya ihtiyacı olmayan insanların da bir meslek sahibi olup çalıştıklarını ya da geliri az bir mesleği geliri çok olan bir mesleğe tercih ettiklerini görmekteyiz.

Mesleklerin toplumca kabul edilmiş etik değerleri ve ilkeleri vardır: Meslek olarak kabul edilecek bütün uğraş alanlarının kendine özgü değer ve etik ilkeleri vardır ve bu mesleğin üyeleri bu değer ve ilkeler doğrultusunda davranırlar. Örneğin hekimlik mesleğinin temel değeri insan yaşamı; hukukçuluğun temel değeri adaletin yerine gelmesi; öğretmenliğin temel değeri öğrencilerin gelişimi; polisliğin temel değeri toplumun güven ve huzurunun sağlanmasıdır. Bu temel değerleri iyi kavrayan meslek üyeleri mesleklerini icra ederken bunun dışına çıkamazlar ve mesleğin etik ilkelerine göre davranırlar. Buna uymayan meslek elemanları meslektaşları tarafından bazı yaptırımlara çarptırılırlar. (Aydın, İnayet. EĞİTİM VE ÖĞRETİMDE ETİK  TBMM. 1. Baskı: Kasım 2003)

BİR MESLEK OLARAK EĞİTİM-ÖĞRETİM

Eğitim, insanoğlunun öğrenme yeteneğinin oluşmaya başlaması ile ortaya çıkmış ve yaşamı boyunca da devam eden bir süreçtir. İnsanın eğitilebilir bir varlık olması bu konuda önemli bir arayış ve bilgi birikimini de beraberinde getirmiştir. (Aydın, İnayet. EĞİTİM VE ÖĞRETİMDE ETİK  TBMM. 1. Baskı: Kasım 2003)

Eğitim ve insan ilişkisi, üzerinde ciddi olarak durulması gereken bir konu olarak karşımıza çıkmaktadır. İnsan, kalıtsal güçlerle doğan; çevresi ile bu güçlerini değerlendirerek yüceltebilen, bunlarla yeni değerler yaratabilen bir canlıdır (Başaran, 1994, 12).

Diğer yandan eğitim bireye kişilik, değer ve yetenek kazandırdığı için bireysel; bireyi toplumsallaştırdığı, toplumsal değerleri koruma, değiştirme ve yenileme işlevlerini yerine getirdiği için de toplumsal bir etkinlik olarak ele alınmaktadır (Bilhan, 1991, 8).

Eğitim ve öğretim kavramları içerikleri gereği iyi tanımlanması gereken ve kendi içlerinde iddialı kavramlardır. Eğitim genel anlamda bireyde davranış değiştirme süreci olarak tanımlanır. Varış’a göre (1981) eğitim yolu ile bireylerin amaçları, bilgileri, davranışları, tavırları ve ahlak ölçüleri değişir. Ertürk (1972) eğitimi, bireyin davranışlarında kendi yaşantısı yoluyla ve kasıtlı olarak istendik değişme meydana getirme süreci olarak tanımlamıştır. Demirel’e göre ise eğitim, bireyde kendi yaşantısı ve kasıtlı kültürlenme yoluyla istenilen davranış değişikliğini meydana getirme sürecidir (Demirel, 1999, 5).

Eğitim kavramının temellendiği İngilizce bir terim olan “education” sözcüğü, çift kaynaklı ve çift anlamlı bir kavramdır. Latince kökleri “educare” beslemek, “educere” dışarı çekmek, bir şeye doğru götürmek anlamlarına gelmektedir. İki kavramın ortak anlamı ise “yetiştirmek”tir. Latince kökeniyle eğitim, insanı bilgiyle beslemek; ondaki olanakları dışarı çekmek, ortaya çıkarmak için yetiştirmek demektir (Bilhan, 1994, 52).

Stuart Mill eğitimi, “her kuşağın kendisini izleyecek olanlara o güne kadar ulaşılmış gelişme aşamasını korumak ve olanaklı ise yükseltmek niteliğini kazandırmak amacıyla verdiği kültür” olarak tanımlamaktadır. Littre’ye göre ise eğitim “kazanılan zihin veya el becerilerinin türü ve gelişen ahlaksal niteliklerinin bütünüdür (Bilhan, 1994, 54).

Eğitim, insanın kendi başına kazandığında, edindiğinde çok uzun zaman alacak olan bilgi ve becerileri çok daha kısa sürede insana kazandırmak için vardır. Bu anlamda eğitim geçmiş kuşakların birikimlerini kısa sürede ve düzenli biçimde insana kazandırmak için gereksinim duyulan bir etkinliktir (Başaran, 1994, 35).

Başaran’a göre eğitim, disiplin gerektiren bir alandır ve eğitimde disiplin, eğitilene hangi davranışın yapılması gerektiğini öğretmek; eğitilenin bu davranışları yapıp yapmadığını denetlemek, beklenenden iyi yaptığında onu ödüllendirmek; beklenenden kötü yaptığında da ceza vermektir. Bu anlamda disiplin öğretmek demektir. Disiplinin sonucu da öğrenme ile eş anlamlıdır (Başaran, 1994, 34).

Genellikle eğitim ve öğretim kavramları karıştırılan ya da birbirinin yerine kullanılan kavramlardır. Bu iki kavram arasında bir ayrım yapmak gerekirse, bireyin yaşam boyu süren eğitiminin okulda, planlı ve programlı olarak yürütülen kısmı bireyin “öğretimini” oluşturmaktadır. Bu durumun birey açısından dile getirilmiş hali “öğrenim”dir. Eğitim ise, zaman ve mekan yönünden kapsamlı, sürekli ve çok boyutludur. Eğitimde bilgi dahil her türlü “yaşantı” üzerinde durulur. Bu yaşantılar rastlantısal olabilir ve aynı zamanda bu yaşantılar eğitsel olabilir (Varış, 1994, 13).

Eğitim bir kamu hizmetidir ve eğitim, resmi anlamda kişilerin değerler, yetenekler ve bilgi bakımından eğitildiği toplumsal kurumlar olan okullarda verilir. Bir okulda, öğretim konusunda uzman olan öğretmenler ve diğer görevliler bulunurlar. (Aydın, İnayet. EĞİTİM VE ÖĞRETİMDE ETİK  TBMM. 1. Baskı: Kasım 2003)

Eğitim için oluşturulan kontrollü mekana okul adı verilmiş; öğretme ve öğrenme için resmi roller belirlenerek öğretmen ve öğrenciler bu rolleri üstlenmiş; öğretim amacıyla resmi programlar hazırlanmıştır. Bu biçimde toplumsal, siyasal ve kültürel “kodların” iletilmesi görevi resmen okullara verilmiştir. (Kaplan, 1999, 15).

Okul kavramı, kurumsal amaçları gerçekleştirmesi beklenen kişilerin işleri ve birbirleri ile olan etkileşim biçimleri tarafından nitelenen toplumsal bir sistem olarak tanımlanmıştır (Lunenburg, 1995).

Tarihsel süreç içinde okullar bürokratik yapılara dönüşmüştür. Okulun bir bürokratik yapı olmasının temel belirleyicileri büyük, karmaşık, çok düzeyli toplumsal kurumlar olmaları ve tam zamanlı profesyonellerin okullarda görev yapmalarıdır. Okulun bürokratik bir yapıya dönüşme süreci, modernizmin bir olgusudur ve kapitalist ekonomik sistem, politik ulus devletlerin ortaya çıkması, sanayileşme ve kentleşme sonucu ortaya çıkan demografik değişmelerin eşlik ettiği bir oluşumdur (Bennet de Marrais ve Le Compte, 1995).

Okul denen bürokratik örgüte toplumlar pek çok görevler yük-lemişlerdir. Bütün devletler eğitim sisteminin okullar aracılığı ile gerçekleştirmesini istedikleri beklentileri, eğitim yasalarında belir-lemişlerdir. Bu amaçlar dikkatle incelendiğinde temel olarak dört boyutta ele alınabilir. Bunlar “İyi insan”, “iyi yurttaş”, “iyi üretici” ve “iyi tüketici” yetiştirmektir. Örneğin Downey, Seager ve Slage (1960) Amerikan eğitiminin amaçlarını, dolayısı ile kamu okullarından beklentileri şöyle belirlemişlerdir (Lipham, Rankin ve Hoeh, 1985)

  1. Entelektüel Boyut

    1.Bilgi sahibi olma: Bilgi ya da kavramlar açısından birikimli olma

    2.Bilgiyi iletişimle paylaşma: Bilgiyi elde etme ve iletme becerisi

    3.Bilginin yaratılması: Yaratıcılık ve ayırt etme

    4.Bilgiyi isteme: Öğrenme aşkı

  2. Toplumsal Boyut

    1.İnsandan insana: Gündelik ilişkilerde işbirliği

    2.İnsandan Devlete: Sivil haklar ve ödevler

    3.İnsandan ülkeye: Bireylerin vatanlarına sadakati

    4.İnsandan dünyaya: Kişiler arası ilişkiler

  3. Kişisel Boyut

    1.Fiziksel: Sağlıklı ve gelişmiş bir beden

    2.Duygusal: Zihinsel sağlık ve tutarlılık

    3.Etik: Ahlaki dürüstlük

    4.Estetik: Kültürel ve boş zaman etkinlikleri ile uğraşma

  4. Verimlilik Boyutu

    1.Mesleki rehberlik: Bilgi verme ve seçim

    2.Mesleki hazırlama: Yetiştirme ve yerleştirme

    3.Ev ve aile. Ev işleri ve aile

    4.Tüketici: Kişisel satın alma, bütçe ve yatırım

      Ülkemizde de başta Anayasa olmak üzere eğitim ile ilgili yasalar, eğitim sistemi ve okullarımızdan ne gibi amaçları gerçekleştirmeleri gerektiğini açıkça ortaya koymuştur.

      Hemen hemen her toplumun okul denilen kurumdan beklentileri birbirine benzer nitelikler taşımaktadır. Diğer taraftan farklı eğitim felsefesi yaklaşımları da okullardan farklı amaçları gerçekleştirmesini beklemektedir. Buna göre beş temel yaklaşım olan hümanizm, varoluşçuluk, toplumsal gerçekçilik, deneyselcilik ve yeniden yapılanmacılık yaklaşımlarının okul amaçları Tablo 1’de verilmiştir (Kowalski ve Reitzug, 1993).

FELSEFİ YAKLAŞIM

OKULUN AMAÇLARI

HÜMANİZM

Dünya değişmez, okulun amacı değişmeyen evrensel gerçekleri aktarmak ve zihinleri geliştirmektir

VAROLUŞÇULUK

Dünya yavaş yavaş gelişmektedir ve değişmektedir, okulun amacı varolan kültürel ögeleri aktarmak ve geçmiş tarih tarafından oluşturulan her şeyin tanınmasını  sağlamaktır.

TOPLUMSAL

GERÇEKÇİLİK

Okulun amacı halen mevcut olan düşüncelerin ve değerlerin öğrencilere aktarılığından emin olmak ve onların topluma uyum sağlamalarına yardım etmektir. Şu anki toplum öğretim programının kaynağıdır.

DENEYSELCİLİK

Değişme kaçınılmazdır, okulun amacı

problem çözebilecek eleştirel düşünen bireyler yetiştirmektir.

YENİDEN

YAPILANMACILIK

Değişme kaçınılmazdır, okulun amacı gelecekteki toplumun neler istediğine karar vererek, öğrencileri toplumu gelecekteki duruma dönüştürebilecek şekilde hazırlamaktır.

Kaynak: (Kowalski ve Reitzug, 1993).

    Tablo 1’de görüldüğü gibi tüm yaklaşımlar okul denilen kuruma farklı amaçlar yüklemektedir. O halde okul bu amaçlardan hangisini başarmalıdır? Bu sorunun yanıtı elbette toplumların tercihlerine göre tamamen değişmektedir.

(Aydın, İnayet.  EĞİTİM VE ÖĞRETİMDE ETİK  TBMM. 1. Baskı: Kasım 2003)

 

 

 

Kaynaklar;

WordPress Instant Gallery: Photo by jesse orrico

Pegem Akademi, Pegem Akademi Dosyalar/ Dökümanlar, eğitim öğretim de etik.indb  PDF alıntı.

Prof. Dr. İnayet AYDIN

EĞİTİM VE ÖĞRETİMDE ETİK

ISBN 978-975-8792-09-2DOI 10.14527/9789758792092

Kitap içeriğinin tüm sorumluluğu yazarlarına aittir.

© 2018, PEGEM AKADEM

Baskı: Kasım 2003,

AnkaraBaskı: Ocak 2018, Ankara

Pegem A Yayınları®, 2003

Kategoriler
Bilişim Etiği

Bilişim ve Bilişim Suçlarının Toplumsal Etkileri

İÇİNDEKİLER

  • Giriş
  • Bilişim kavramı ve bilişim devrimi
  • Bilişimin Toplumsal ve Yönetsel Alanlardaki Kriminal Etkileri
  • Bilişim suçları ve toplumsal etkilerini incelemek adına örnek olaylar.

                1) Dijital şiddet mağduru bir kadın anlatıyor!

                2) Bilişim suçları uzmanı bile dolandırıldı!

  • Sonuç
  • Kaynakça

Giriş

Bu yazıda ,Bilişim kavramı nedir ? Bilişim sektörünün hızla gelişmesiyle gerçekleşen bilişim devriminin , sonuçlarıyla beraber artan bilişim suçlarının toplum ve yönetsel alanlardaki kişileri etkileme düzeyi üzerinde durulmuştur. ve bu araştırma örnek olaylarla desteklenmiştir.

Bilişim Kavramı ve Bilişim Devrimi

Tüm dünyada belgeleme tekniğinin gelişmesiyle birlikte bilişim, ayrı bir disiplin olarak kabul görmüştür. Bu kabul ile birlikte bilişim kavramı, insanların teknik, ekonomik, mali, sosyal, kültürel, hukuksal veya toplumsal yaşamın benzeri birçok alanında sahip oldukları verilerin saklanması, saklanan verilerin elektronik olarak işlenmesi, organize edilmesi, değerlendirilmesi ve yüksek hızlı veri, ses veya görüntü taşıyan iletişim araçları ile aktarılması anlamında kullanılmaktadır (Erdağ,2010). Bu haliyle bilişim, insanoğlunun teknik, ekonomik ve toplumsal alanlardaki iletişiminde kullandığı ve bilimin dayanağı olan bilginin, özellikle elektronik makineler aracılığıyla düzenli ve rasyonel şekilde işlenmesi bilimi olarak da tanımlanabilir (Akarslan,2012). Sözlük anlamıyla devrim; belli bir alanda hızlı, köklü ve nitelikli değişikliktir (TDK, Türk Dil Kurumu). Devrim bazen sadece onu yaratan toplumun içerisinde etkili olabileceği gibi bazen de küresel düzlemde radikal değişikliklere yol açar. Örneğin Fransız Devrimi, oluşturduğu felsefe ve düşünce sistematiği ile tüm dünyayı etkilemiş; yönetim, özgürlük ve insan hakları gibi alanlarda yeni boyutlar ortaya koymuştur. 1980’li yıllarda mikro bilgisayarların geliştirilmesi ve bilgisayar sistemlerinin internet ile birbirine bağlanıp kullanımlarının yaygınlaşmasıyla birlikte insanoğluna küresel bir iletişim kapısı açılmıştır. Bilgisayar ve internet ile birlikte gelişen bilişim alanının, toplumlara, bireylere ve ekonomi anlayışına kazandırdığı farklı boyut ve oluşturduğu radikal değişim sürecinin devrim niteliğinde olduğu söylenebilir. Bu sürece rahatlıkla “bilişim devrimi” denilebilir (Alaca,2008). Teknoloji devriminin somut olarak görüldüğü 1970 ve 1980’li yıllar iki kutuplu bir dünya düzenine şahit olmuştur. Bu dönemin önemli  ülkeleri silah sanayi ve uzay teknolojileri alanında yarışmışlardır. Bu yarışta kendine avantaj sağlamak isteyen ülkeler bilişim ve teknolojilerini kullanarak bu alanda hızlı bir ilerleme kaydetmişlerdir. Telekomünikasyon ve bilgi işlem teknolojilerindeki hızlı seyreden gelişmeler anında haberleşmeye ve verilerin anında iletimine imkân sağlamıştır. Oluşturulan iletişim ağı sayesinde sesli, görüntülü ve yazılı veriler her noktaya dijital olarak ulaştırılabilmiştir. Bugün kablosuz teknoloji ile daha ergonomik bir yapıda yararlanılabilen internet sistemi ile iletişim ağı tüm dünyaya yayılmıştır (Atasoy,2007). İnsanın, bilgiyi saklama, paylaşma ve ona kolayca ulaşma arzusu ve gereksiniminden ortaya çıkan internet, birçok bilgisayar sistemini TCP/IP protokolüyle birbirine bağlayan ve hızla büyüyen küresel bir iletişim ağıdır. Diğer bir ifadeyle, değişik bilgisayarların ortak bir dil çerçevesinde birbirlerine elektronik olarak bağlanması (Network) suretiyle, insanların bilgi paylaşımına imkân veren küresel bir ağdan ibarettir (İç İşleri Bakanlığı,2006). Bu küresel ağ bugün itibariyle dünyanın farklı pek çok yerindeki milyarlarca bilgisayarı birbirine bağlamaktadır (Tekeli,2011). Bilişim teknolojilerinden olan bilgisayar ve internet sayesinde insanlığın bilgiye ulaşması kolay, ucuz, hızlı ve güvenli bir hal almıştır (İç İşleri Bakanlığı,2006). Bilgi güçtür ilkesinden hareketle, bilgi ve bilgiye dayalı gelişmelerin tarihin her döneminde toplumları üstünlük sağlamıştır. Günümüzde, toplumlar, onları üstünlük anlamında ayıran nitelikli bilgi bilişim alanında yoğunlaşmamış ise o toplumun gelişmişliğinden söz edilememektedir. Bilişim teknolojilerini üreten az sayıdaki ülkenin üretemeyen toplumlara nazaran üstünlük sağladığı rahatlıkla söylenebilir (Ege,2008). Bilişim teknolojilerinin gelişmesi ve özellikle bilgisayar ile internet teknolojilerinin bulunup yaygın şekilde kullanılmaya başlamasıyla birlikte toplumların ekonomik, sosyal, kültürel ve hukuksal yaşamlarında köklü değişiklikler meydana gelmiştir. Bu değişiklikler çok hızlı, nitelikli ve devam eden değişikliklerdir. İnsanoğlu bilişim teknolojileri ile birlikte artık dünyanın öbür ucundaki herkesle iletişim kurabilmekte, dünyanın öbür ucundan mal ya da hizmet satın alabilmekte ve hatta eğitim, sağlık, adalet, güvenlik gibi alanlara dair hizmetleri bu kanaldan sağlayabilmektedir.

Bilişimin Toplumsal ve Yönetsel Alanlardaki Kriminal Etkileri

Bilişim devriminin bir parçası olan bilişim teknolojilerinin ve özellikle internetin yaygın kullanımı, bireysel ve toplumsal yaşamda büyük etkiler doğurmuştur. Bilişim teknolojileri bugün tıp, ekonomi, eğitim, iletişim, ticaret, adalet, güvenlik ve bunun gibi birçok alanda kullanılmakta ve yeni alışkanlıklar ortaya koymaktadır. Bu yeni yaşam şekli de kuşkusuz her alanda olumlu ve olumsuz olmak üzere etkilerini gün yüzüne çıkarmıştır. Bilgi ve iletişim teknolojilerinin insanoğluna sağladığı birçok faydalarla birlikte yeni suç tipleri yarattığı ve suç işleme imkânı sağladığı hususu da unutulmamalıdır. Bu suçların tespiti ve engellenmesi bilişim sektöründeki sınırlılıkları oldukça kısıtlı olmasından dolayı zordur.  Bilgisayar teknolojisinin hızla gelişmesi, boyutunun küçülmesi ve maliyetinin azalmasıyla birlikte kullanıcı sayısında büyük bir artış yaşanmıştır. Bilişim teknolojilerinin gelişimine paralel olarak her geçen gün yeni suç işleme araç ve yöntemleri ortaya çıkmaktadır. Yeni ortaya çıkan suç işleme yöntemlerine karşı önlemler alındığı anda, daha gelişmiş ve farklı birsuç işleme yöntemi ile karşı karşıya kalınmaktadır. Teknolojide yaşanan gelişmeler suçun işleniş yöntemlerinin, araçlarının ve çeşitlerinin sürekli gelişimine ve değişimine neden olmaktadır. Özellikle internet; uyuşturucu ticareti, insan kaçakçılığı ve terör gibi organize suç faaliyetleri açısından iletişim aracı olma, bilgi kaynağı sağlama, eleman kazanma, propaganda yapma ve finansal servis aracı olma gibi nitelikleriyle kolaylıklar sağlamaktadır. Kolluk güçlerinin tespitlerine karşı önlem olarak e-posta, anlık mesajlaşma, internet telefonu gibi internet iletişim araçlarının anonimlik sağladığının fark edilmesi, bu teknolojileri organize suç örgütlerinin kullanımına açmaktadır .İnternetin her kurum ve kuruluş için vazgeçilmez bir araç olmasıyla birlikte resmi kurum ve kuruluşların bilgisayarları bu ağa bağlanmış durumdadır. Bu sebeple suç işlemeye meyilli kişilerin hedefi haline gelmişlerdir. Örnek vermek gerekirse bugüne kadar güvenliği en üst seviyede tutan kurumlar arasında bilinen Amerika Bileşik Devletleri Savunma Bakanlığı (Pentagon), NATO, NASA ile bazı askeri ve endüstriyel araştırma laboratuvarlarının bilişim sistemleri bilgisayar korsanlığı eylemlerinin kurbanı olmuştur. Şirketin ana sunucularına girilmesi sonucu kullanıcılar iki gün boyunca Microsoft’un sitelerine giriş yapamamışlardır. Türkiye’de de 2010 yılında ortaya çıkan ÖSYM’nin yaptığı çeşitli sınavlarda soru ve cevaplarının bilişim sistemleri aracılığıyla elde edilip para karşılığı satıldığı iddiaları önemli bir örnek oluşturmaktadır  Bilişim suçlarının failleri açısından daha fazla koruma altında olan büyük şirketler ve sistemlerle uğraşmaktansa, bireysel kullanıcıların hedef alınması daha kolay gözükmektedir. Bir bilişim sisteminin etkisiz hale getirilmesi o teknolojiye hâkim olmayı gerektirmektedir. Dolayısıyla bu gereklilik, suçluları daha kolay olana yöneltmekte ve daha çok kullanıcılara yönelik tuzaklar hazırlatmaktadır. Depolama, işleme ve iletme imkânı veren bilişim sistemleri yoğun şekilde bilgi barındırmaktadır. Bu bilgi yoğunluğu birçok kolaylık sağlarken bir yandan da bilişim sistemlerinin zayıf yanı olarak karşımıza çıkmaktadır. Büyük miktarda bilginin toplanması ve bilgi-işlem sırasında yapılan hatalar, bu bilgilere ulaşmak ve bu hatalardan istifade etmek isteyenler için bulunulmaz bir fırsat olmaktadır. Yine bilgi yoğunluğu, muhtemel saldırılara karşı riske edilen bilgi miktarı ve bilginin niteliği açısından da tehlike arz etmektedir. Bilişim sistemlerinin bilgi saklama kapasiteleri çok yüksektir. Bilgiyi saklama maliyeti çok düşük olmasına rağmen bilgiye erişim çok hızlı şekilde gerçekleştirilebilmektedir. İçeriğindeki veriler üzerinde hiçbir iz, silinti ve kazıntı bırakmadan değişiklik yapabilme olanağı bulunmaktadır. Bilişim sistemlerinde yoğun şekilde bilgi saklanabilmesi, bilgilerin yenidenderlenebilmesi ve bilgilerin elektronik ortamda iletilebilmesi gibi özellikler suç yaratıcı faktörler olarak karşımıza çıkmaktadır. Bunun yanında bilişim sistemlerindeki kontrol mekanizmasındaki eksiklikler de suçun işlenmesini kolaylaştırmaktadır. Saklama, iletme ve işleyebilme noktasında elde edilen hız, saldırılara karşı her zaman avantaj sağlayamamaktadır. Bilişim sistemlerinin verilen komutları hiçbir sorgulamaya tabi tutmadan uygulaması nedeniyle, mantık dışı ve dolandırıcılık içeren komutları fark edememektedir. Komutların insan yerine bilgisayardan geldiğinde bilgisayarın hata yapmayacağına olan inanç yüzünden bunlara daha fazla güvenilmesi, para transferlerinin çok uzak mesafelerde, çok kısa sürelerde ve çok büyük miktarlarda yapabilmesi de bilişim sistemlerinin zayıf yanları arasında gösterilebilir. Suçların anonim şekilde işlenmesine olanak tanıması hususu da bilişim sistemlerinin bir diğer zayıf yanı olarak ortaya çıkmaktadır. Bu sistemlerde işlenen suçlarda mağdurun çoğu zaman belli olmaması, suçun sisteme karşı işlenmesi söz konusudur. Fail kimin malını aldığını bilmemekte, mağdur sistem olarak gözükmektedir. Bu durum ise failin tespitinde sorunlarla karşılaşılmasına neden olmaktadır. Bilişim suçlarının mağduru bazen bir kişi, bazen bir kurum, bazen ise toplumun tamamı olabilmektedir. Mağdurun belirlenmesi noktasındaki sıkıntılar da bilişim suçlarının anonim işlenme özelliğini güçlendirmektedir. Bilişim suçlarını diğer suçlardan ayıran kimi özellikler şu şekilde sıralanabilir; zaman veya yer ile sınırlı olmadan meydana gelmesi, kolayca tanımlanabilecek sınırlara sahip olmaması, ülke ve yargı sınırlarını aşması, kanunlaştırma ve delillendirmenin güç ve dikkate değer teknik bilgi gerektirmesi, bu alanda suç tanımlarının tam manasıyla yapılamamış olması. Bilişim suçlarını işleyenlerin genel olarak 20-30 yaşları arasındaki gençlerden oluştuğu gözlemlenmiştir. Bunun yanında faillerin genel itibariyle erkeklerden oluşan teknik bilgi düzeyi yüksek kişiler olduğu tespit edilmiştir. Bazı duygusal ve psikolojik sebeplerin de bu kişileri bilişim suçu işlemeye ittiği yapılan çalışmalarla ortaya çıkarılmıştır. Amerika’da yapılan çalışmalar bilişim suçları faillerinin normal insanlara nazaran daha uyanık, sabırsız, çabuk motive olan, cüretkâr, maceraperest ve teknolojik iddialaşma içinde bulunan kişiler olduğunu ortaya koymuştur. Yakalanma riskinin çok az olması, bilişim suçunun sonucunda çok yüksek kazancın kolay ve risksiz olarak temin edilmesi, bilişim suçlarınınyeni suç tipleri olması nedeniyle gerekli kanun ve düzenlemelerin eksik ve yetersiz olması bilişim suçlarının faillerini cesaretlendiren hususlardır. Bazen fiillerinin deşifre olunmaması için ihbar edilmeyeceğinden, bazen ise bu fiilleri karşılayacak ceza normunun bulunmamasından cesaretle, bilişim suçlarının failleri eylemlerinin yaptırımsız kalacağına güvenle hareket etmektedir. Bilişim suçlarının failleri suç sayılan eylemlerinin haksızlık içeriğinin bulunmadığını düşünebilmektedirler. Örneğin Türkçe karşılığı bilgisayar korsanları olarak kullanılabilecek olan hackerlar; “Sistemlere, donanıma ve bilgisayarlara erişim kısıtlanamaz. Bireyler, bir sistemin, teknolojinin nasıl işlediğini öğrenmekte özgürdürler.” “Bilgi özgürdür. Bilginin üretilmesi, üretilen bilginin yaygınlaştırılması üzerinde bir kısıtlama kabul edilemez.” “Otoriteye güvenmeyin. Baskı her zaman otoriteden kaynaklanır. Güç tek bir noktada toplanmamalıdır.” “Eserleriniz, yaptıklarınız, başarınızı sizi değerli kılar. Her değerlendirme geçersizdir.” “Bilgisayarlar kullanılarak güzel ve iyi şeyler yapılabilir.” “Bilgisayarlar yaşamınızı olumlu yönde geliştirir.” şeklinde etik kurallar benimsemişlerdir. Bu etik değerlerden de anlaşılacağı üzere, bir bilgisayar korsanı için belli kurallar dâhilinde hack eyleminin haksızlık içeriği olamaz. Oysa hack eylemi çoğu ülkenin ceza mevzuatında suç olarak tanımlanmış durumdadır. Yapılan araştırmalar bilişim suçlarının faillerinin genel olarak; işten çıkarılma veya işteki çeşitli hoşnutsuzluklar, politik amaç gütmeleri, sadece eğlenmek istemeleri, cinsel tatmin isteği, ciddi psikolojik rahatsızlıklar, öfke ve intikam alma duygusu , mali zorluklar ve para sağlama isteği, bilgisayarı aşabilme duygusu (operatör makine ilişkisinden kaynaklanan sorunlar da dahil) sebepleriyle suç işlediklerini göstermektedir. İşlenen bilişim suçlarının %95’lere varan kısmı mağdurların kamuoyundan saklanmak istemeleri nedeniyle gün yüzüne çıkmamaktadır. Özellikle şirket seviyesinde işlenen bilişim suçları kolluk araştırması yüzünden ticari sırların ortaya çıkması ya da prestij kaygısı gibi sebeplerle kamuoyundan saklanmaktadır. Bunun yanında mağdur şirketlerin küçük zararları olağan olarak kabul eden ticari yaklaşımları da bilişim suçlarının açığa çıkmasını engelleyebilmektedir. Endüstriyel casusluktan terör eylemlerine kadar her alanda kullanılabilen bilişim araçları, kişilerin mahrem alanlarına dair de bir tehdit unsuru haline gelmiştir. Birçok ünlü siyasetçi, oyuncu, sporcu, sanatçı ya da sıradan insanın mahrem alanına dair görüntüler rahatlıkla internet ortamında milyonların önüne serilebilmektedir. Örneğin 2014 yılında birçok Hollywood yıldızının uygunsuz fotoğrafları bilgisayar korsanları tarafından“iCloud” isimli veri depolamaya yarayan bilişim sistemine girilerek elde edilmiş ve 4Chan sitesinde yayınlanmıştır. Bilişim suçlarının işlenmesi noktasında truva atı, bukalemun, yerine geçme, mantık bombaları, artık depolama, gizli dinleme, bilgi aldatmacası, salam tekniği, süper darbe, ağ solucanları, virüsler, spam iletiler ve phishing (kimlik avı) gibi yol ve yöntemler geliştirilmiştir. (Koçak,2017)

BİLİŞİM SUÇLARININ TOPLUMSAL ETKİLERİNİ İNCELEMEK ADINA ÖRNEK OLAYLAR

 

Dijital şiddet mağduru bir kadın anlatıyor: ‘Adıma 40 sosyal medya hesabı açıldı’

“Dijital şiddet (diğer şiddet türlerinden) daha kötü inanın. Ben o adamın beni dövdüğünü saklayabildim. İki gün odadan çıkmadım, yüzüm iyileşti. İnsanlar duymadı. Bir acıyı, bir rezilliği kendi kendinize yaşamak var, bir de toplumla yaşamak var. Dijital şiddette benimle beraber herkes dahil oldu, herkes acı çekti.”

Bunlar internet üzerinden hakaret, iftira ve tehditlere, yani dijital şiddete maruz kalan genç bir kadının sözleri.

Begüm (gerçek ismi değil), 20’li yaşlarının ortasında. Son 3 yıldır eski erkek arkadaşının dijital şiddetiyle yaşıyor. Davası sürüyor. (ŞİMŞEK, 2020) . (Şimşek,2020)

 

 

Bilişim suçları uzmanı bile dolandırıldı!

Ortam Sanal Suç Gerçek’ isimli kitabın yazarı Bilişim Suçları Uzmanı İsa A.’nın ATM’ye koyulan düzenekle kredi kartı bilgilerini ele geçiren kişiler, A.’nın hesabından 3 bin 450 TL çekerek kayıplara karıştı.

Bir bankadan işlem yapmak için ATM’ye giden İsa A.’nın kredi kartı, dolandırıcılar tarafından ATM’ye yerleştirilen sahte düzenekle kopyalandı i.A.’nın şube çalışanlarına, neden kartına el konulduğunu sorması üzerine gerçeğin ortaya çıktığı öğrenildi. 4 Ekim 2015 günü dolandırıcıların i.A.’nın hesabından 2 defa bin 500 TL’yi kendi hesaplarına havale ettikleri, 450 TL’yi de nakit çekerek ortadan kayboldukları bankaca tespit edildi. Bunun üzerine davacı ve şikayetçi olan İsa A.’nın ,yaşanan mağduriyet karşısında şaşkınlığını gizleyemedi.İ. A.’nın bankanın “Hesabınızdan çekilen ücreti birkaç gün içinde tekrar hesaba yatıracağız” beyanıyla bankadan ayrıldı. İ.A.’nın, “Bankada görevlilerin yaptığı açıklamaya göre, Pazar günü şubenin ATM’sine sahte düzenek kurulmuş. Onlarca insanın kredi kartı kopyalanmış. Banka yetkileri bile profesyonelce gerçekleştirilen bu sahtecilik karşısında hayretler içindeler. Kim olsa fark edemezdi. Olayla ilgili savcılığa suç duyurusu yapıldı” dedi.

BEN BİLE BÖYLE BİR MAĞDURİYET YAŞAYABİLİYORUM

İsa A, “Girdiğim duruşmalarda kredi kartı kopyalayan binlerce dolandırıcının ifadesini aldım. Adalete teslim ettim. Binlerce sanayici ve iş adamına siber suçlar konusunda eğitimler verdim. Sahte düzenek kurulmuş bir ATM’yi anında fark ederim. Buna rağmen ben bile böyle bir mağduriyet yaşayabiliyorum. Her seminerimde belirtiyorum. Günümüzde hırsızlar evlere artık kapı, pencere yerine ekrandan giriş yapıyorlar. Profesyonelce davranıyorlar. Hiç kimse kendini yüzde yüz güvende hissetmesin. Bankalar da bir banka işlem hareketinde müşterilerine kısa mesaj çekerek anında bilgi vermeli. Olaydan 3 gün sonra tesadüf eseri haberim oldu. Bu yaşanan olay aslında başlı başına bir ders niteliğinde. Antalya Kitap fuarında ‘Ortam Sanal Suç Gerçek’ isimli eserimin imza gününe gidecekken böyle bir olayın yaşanması bir trajedi” diye konuştu. (İHA,2015)

Sonuç

Bilişim teknolojilerini,dünyaya yön veren lokomotif devletlerin savunma sanayisinde ve haberleşme teknolojilerinde sık sık kullanmasıyla beraber hızla gelişim gösteren bir sektördür. Bu gelişmenin hızı bilişim devrimini başlatmıştır bilişim devrimiyle beraber hızla yayılan bilgisayarlar hemen hemen herkesin kolayca eriş sağlayabileceği teknolojik cihazlar haline gelmiştir . Bu durum bilgisayarların kötü niyetli kişilerin elin  geçmesiyle yeni bir suç işleme ortamı ortaya çıkarmıştır. ve bu ortamda işlenen suçların genelde anonim kişiler tarafından işlenmesi ve hatta mağdur kişininde anonim olması bilişim sektörüne toplum tarafından kaygıyla yaklaşılmaya  başlanmıştır. Bu suç ortamında mağdur durma düşmemek için oldukça dikkatli davranılmalı kişisel bilgilerinizi dikkatli bir şekilde korumalısınız.

 

 

 

 

 

 

 

KAYNAKÇA

  1. Erdağ, Ali İhsan. 2010. “Bilişim Alanında Suçlar (Türk ve Alman Hukukunda)”, Gazi Üniversitesi Hukuk Fakültesi Dergisi, S: 2, s.275-303.
  2. Akarslan, Hüseyin. 2012. Bilişim Suçları, Seçkin Yayıncılık, Ankara.
  3. tdk.com.tr (TÜRK DİL KURUMU web sitesi)
  4. Alaca, Bahaddin. 2008. Ülkemizde Bilişim Suçları ve İnternetin Suça Etkisi (Antropolojik ve Hukuki Boyutları ile), Ankara Üniversitesi Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, Ankara.
  5. Atasoy, Fahri. 2007. “Kültürler Üzerinde Bilişim Devriminin Etkileri”, Modern Türklük Araştırmaları Dergisi, C: 4, S: 2, s. 163-178.
  6. İçişleri Bakanlığı. 2006. wwwe…, Arem Yayınları, Ankara. İsmail Tulum. 2006. Bilişim Suçları ile Mücadele, Süleyman Demirel Üniversitesi Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, İstanbul.
  7. Tekeli, Ömer. 2011. “Bilişim Suçlarıyla Mücadelede Polisin Yeri”, Sayder Dış Denetim Dergisi, S. 2011 Temmuz-Ağustos-Eylül, s.183-192.
  8. İçişleri Bakanlığı. 2006. wwwe…, Arem Yayınları, Ankara. İsmail Tulum. 2006. Bilişim Suçları ile Mücadele, Süleyman Demirel Üniversitesi Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, İstanbul.
  9. Ege, Göknur Bostancı. 2008. “Dijital Ayrım”, Ege Üniversitesi Sosyoloji Dergisi, S: 19, s. 43-57.
  10. Koçak, Hüseyin Afyon Kocatepe Üniversitesi Sosyal Bilimler Dergisi / Cilt: 19, Sayı: 1, Haziran 2017, 137- 152(Toplumsal ve Yönetsel Alanda Bilişim Teknolojilerinin Kriminal Etkileri) Hüseyin KOÇAK – Ali Nazmi DANDİN DOI NO: 10.5578/jss.57198 Kabul Tarihi:16.05.2017
  11. BBC Türkçe (https://www.bbc.com/turkce/haberler-dunya-52834286) Berza Şimşek 28 mayıs 2020
  12. İHA (https://www.iha.com.tr/haber-bilisim-suclari-uzmani-bile-dolandirildi-501940/) 08 ekim 2015
  13. öne çıkan görsel= Photo by Selim GAYRETLİ with photo creator applications


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Bilgisayar Sistem Güvenliği

İÇİNDEKİLER

1. Giriş

2. Bilgisayar Güvenliği Nedir

3. Güvenlik Tehdidi Nedir

4. Fiziksel Tehditler Nelerdir

5. Fiziksel Olmayan Tehditler Nelerdir

  5.1 Fiziksel Olmayan Tehditlerin Yaygın Türleri

6. Bilgisayar Güvenliği Uygulamaları 

7. Sonuç

8. Kaynakça

 

GİRİŞ

İnternet hayatımızı birçok şekilde değiştirdi. Ne yazık ki, bu büyük ağ ve onunla bağlantılı teknolojiler de artan güvenlik tehditlerini uyandırdı. Kendinizi bu tehditlere ve saldırılara karşı korumanın en etkili yolu standart siber güvenlik uygulamalarının farkında olmaktır. “Bilgisayar Güvenliği Nedir?” konulu bu makale bilgisayar güvenliğine ve temel kavramlarına bir giriş sunar.
 
 
 
 
BİLGİSAYAR GÜVENLİĞİ NEDİR?
 

Bilgisayar güvenliği temel olarak bilgisayar sistemlerinin ve bilgilerin zarar, hırsızlık ve yetkisiz kullanıma karşı korunmasıdır. Bilgisayar sisteminizin yetkisiz kullanımını önleme ve algılama işlemidir.

Genellikle insanlar bilgisayar güvenliğini bilgi güvenliği ve siber güvenlik gibi diğer ilgili terimlerle karıştırırlar. Bu terimler arasındaki benzerlik ve farklılıkları tespit etmenin bir yolu, neyin güvende olduğunu sormaktır. Örneğin,

  • Bilgi güvenliği, bilgileri yetkisiz erişim, değiştirme ve silme işlemlerinden korur
  • Bilgisayar Güvenliği, bağımsız bir makineyi güncel ve yamalanmış tutarak güvenli kılmak anlamına gelir
  • Siber güvenlik, bilgisayar ağları üzerinden iletişim kuran bilgisayar sistemlerinin korunması olarak tanımlanır.

Bu kelimeler arasındaki ayrımı anlamak önemlidir, ancak anlamlar ve örtüştükleri veya birbirlerinin değiştirilebilirlik dereceleri konusunda net bir fikir birliği olması gerekmez.

 

GÜVENLİK TEHDİDİ NEDİR?

Güvenlik Tehdidi, bilgisayar sistemlerine ve organizasyonuna potansiyel olarak zarar verebilecek bir risk olarak tanımlanmaktadır. Nedeni, hayati veriler içeren bir bilgisayarı çalan biri gibi fiziksel olabilir. Nedeni virüs saldırısı gibi fiziksel olmayan da olabilir. Bu eğitim dizisinde, bir tehdidi bir bilgisayar korsanına bir bilgisayar sistemine yetkisiz erişim sağlamalarına izin verebilecek olası bir saldırı olarak tanımlayacağız. (Guru, 2020 )

 

 

FİZİKSEL TEHDİTLER NELERDİR?

Fiziksel tehdit, bilgisayar sistemlerinde kayıp veya fiziksel hasara neden olabilecek bir olayın potansiyel nedenidir.

Aşağıdaki liste fiziksel tehditleri üç (3) ana kategoriye ayırmaktadır;

  • Dahili: Tehditler yangın, kararsız güç kaynağı, donanımı barındıran odalarda nem, vb. İçerir.
  • Dış: Bu tehditler Yıldırım, sel, deprem vb.
  • İnsan: Bu tehditler hırsızlık, altyapının vandalizmi ve / veya donanım, bozulma, kazara veya kasıtlı hataları içerir.

Bilgisayar sistemlerini yukarıda belirtilen fiziksel tehditlerden korumak için, bir kuruluşun fiziksel güvenlik kontrol önlemlerine sahip olması gerekir.

Aşağıdaki listede alınabilecek bazı olası önlemler gösterilmektedir:

  • Dahili: Yangın tehdidi, yangını söndürmek için su kullanmayan otomatik yangın dedektörleri ve söndürücüler kullanılarak önlenebilir. Kararsız güç kaynağı, voltaj kontrolörleri kullanılarak önlenebilir. Bilgisayar odasındaki nemi kontrol etmek için bir klima kullanılabilir.
  • Harici: Yıldırımdan korunma sistemleri, bilgisayar sistemlerini bu tür saldırılara karşı korumak için kullanılabilir. Yıldırımdan korunma sistemleri% 100 mükemmel değildir, ancak belli bir dereceye kadar Yıldırımın zarar görme olasılığını azaltırlar. Yüksek alanlarda konut bilgisayar sistemleri, sistemleri sellere karşı korumanın olası yollarından biridir.
  • İnsanlar: Hırsızlık gibi tehditler, kilitli kapılar ve bilgisayar odalarına sınırlı erişim sayesinde önlenebilir. (Guru, 2020 )
 

FİZİKSEL OLMAYAN TEHDİTLER NELERDİR?

Fiziksel olmayan bir tehdit aşağıdakilere yol açabilecek bir olayın potansiyel nedenidir;

  • Sistem verilerinin kaybı veya bozulması
  • Bilgisayar sistemlerine dayanan ticari işlemleri bozabilir
  • Hassas bilgi kaybı
  • Bilgisayar sistemlerindeki faaliyetlerin yasadışı izlenmesi
  • Siber Güvenlik İhlalleri
  • Diğerleri

Fiziksel olmayan tehditler mantıksal tehditler olarak da bilinir. Aşağıdaki liste, fiziksel olmayan tehditlerin yaygın türleridir;

  • Virus
  • Trojans
  • Worms
  • Spyware
  • Key loggers
  • Adware
  • Denial of Service Attacks
  • Distributed Denial of Service Attacks
  • Unauthorized access to computer systems resources such as data
  • Phishing
  • Other Computer Security Risks

 

Virüs

Bilgisayar virüsü, kullanıcının bilgisi olmadan kullanıcının bilgisayarına yüklenen kötü amaçlı bir programdır. Kendini çoğaltır ve kullanıcının bilgisayarındaki dosya ve programlara bulaşır. Bir virüsün nihai amacı, kurbanın bilgisayarının hiçbir zaman düzgün veya hiç çalışamamasını sağlamaktır.

Computer Worm

Bilgisayar solucanı, insan etkileşimi olmadan kendini bir bilgisayardan diğerine kopyalayabilen bir yazılım programıdır. Buradaki potansiyel risk, bilgisayarınızın sabit disk alanını kullanmasıdır çünkü bir solucan büyük hacimde ve büyük bir hızla çoğalabilir.

Phishing

Güvenilir bir kişi veya iş olarak gizlenen kimlik avcıları, sahte finansal veya kişisel bilgileri hileli e-posta veya anlık mesajlar aracılığıyla çalmaya çalışır. Kimlik avı yapmak ne yazık ki çok kolay. Bunun meşru posta olduğunu düşünüyor ve kişisel bilgilerinizi girebilirsiniz.

Botnet

Botnet, bir bilgisayar virüsü kullanan bir bilgisayar korsanı tarafından ele geçirilen, internete bağlı bir bilgisayar grubudur. Tek bir bilgisayara “zombi bilgisayarı” denir. Bu tehdidin sonucu, kurbanın bilgisayarıdır; bu bot, kötü amaçlı etkinlikler ve DDoS gibi daha büyük çaplı bir saldırı için kullanılacaktır.

Rootkit

Rootkit, aktif olarak varlığını gizlerken bir bilgisayara sürekli ayrıcalıklı erişim sağlamak için tasarlanmış bir bilgisayar programıdır. Bir rootkit kurulduktan sonra, rootkit’in kontrolörü dosyaları uzaktan çalıştırabilir ve ana makinedeki sistem yapılandırmalarını değiştirebilir.

Keylogger

Tuş vuruşu kaydedicisi olarak da bilinen tuş kaydediciler, bir kullanıcının bilgisayarındaki gerçek zamanlı etkinliğini izleyebilir. Kullanıcı klavyesi tarafından yapılan tüm tuş vuruşlarının kaydını tutar. Keylogger aynı zamanda kullanıcıların kullanıcı adı ve şifre gibi giriş bilgilerini çalmak için çok güçlü bir tehdittir.

(Archana, 2019)

 

Bunlar belki de karşılaşacağınız en yaygın güvenlik tehditleri. Bunların dışında, casus yazılım, wabbits, scareware, bluesnarfing ve daha fazlası gibi başkaları da var. Neyse ki, kendinizi bu saldırılara karşı korumanın yolları var. 

 

Bilgisayar sistemlerini yukarıda belirtilen tehditlerden korumak için, bir kuruluşun mantıksal güvenlik önlemleri alması gerekir. Aşağıdaki liste, siber güvenlik tehditlerini korumak için alınabilecek bazı önlemleri göstermektedir

Bir kuruluş, Virüslere, Truva atlarına, solucanlara vb. Karşı koruma sağlamak için bir virüsten koruma yazılımı kullanabilir. Anti-virüs yazılımına ek olarak, bir kuruluş ayrıca harici depolama cihazlarının kullanımı ve yetkisiz programları kullanıcının bilgisayarına indirmesi muhtemel olan web sitesini ziyaret etme konusunda kontrol önlemlerine sahip olabilir.

Bilgisayar sistemi kaynaklarına yetkisiz erişim, kimlik doğrulama yöntemleri kullanılarak engellenebilir.

  • Kimlik doğrulama yöntemleri
  • Kullanıcı kimlikleri
  • Güçlü parolalar
  • Akıllı kartlar veya biyometrik vb.

Şeklinde olabilir.

Saldırı tespit / önleme sistemleri, hizmet reddi saldırılarına karşı koruma sağlamak için kullanılabilir. Hizmet reddi saldırılarını önlemek için uygulanabilecek başka önlemler de vardır.

 

BİLGİSAYAR GÜVENLİĞİ UYGULAMALARI

Bilgisayar güvenliği tehditleri bu günlerde amansız bir şekilde yaratıcı hale geliyor. Bu karmaşık ve büyüyen bilgisayar güvenlik tehditlerine karşı korunmak ve çevrimiçi güvende kalmak için kişinin bilgi ve kaynaklarla donatmasına çok ihtiyaç vardır. Uygulayabileceğiniz bazı önleyici adımlar şunlardır:

  •  Bilgisayarınızı fiziksel olarak şu yollarla koruyun:
    •  Güvenilir, saygın güvenlik ve virüsten koruma yazılımı yükleme
    •  Güvenlik duvarı etkinleştirme, çünkü bir güvenlik duvarı internet ve yerel alan ağınız arasında bir güvenlik görevlisi görevi görür
  • Cihazlarınızı çevreleyen en son yazılım ve haberlerden haberdar olun ve yazılım güncellemelerini hazır olur olmaz gerçekleştirin
  • Kaynağı bilmediğiniz sürece e-posta eklerini tıklamaktan kaçının
  • Benzersiz sayı, harf ve büyük / küçük harf kombinasyonunu kullanarak şifreleri düzenli olarak değiştirin
  • İnterneti dikkatli kullanın ve sörf yaparken pop-up’ları, arabayla indirmeyi göz ardı edin
  • Bilgisayar güvenliğinin temel yönlerini araştırmak ve kendinizi siber tehditleri geliştirmek için eğitmek için zaman ayırın
  • Günlük tam sistem taramaları yapın ve bilgisayarınızda bir şey olması durumunda verilerinizin geri alınabilmesini sağlamak için periyodik bir sistem yedekleme programı oluşturun.

 

 
SONUÇ

Tehdit, normal iş operasyonlarının kesintiye uğramasıyla veri kaybına / bozulmasına yol açabilecek herhangi bir faaliyettir. Fiziksel ve fiziksel olmayan tehditler var olmakla birlikte fiziksel tehditler bilgisayar sistemlerinin donanım ve altyapısına zarar verir. Örnekler arasında hırsızlık, doğal afetlere kadar vandalizm sayılabilir. Fiziksel olmayan tehditler bilgisayar sistemlerindeki yazılım ve verileri hedef alır.
 
KAYNAKÇA
 
1. Guru authors, (2020). Potential Security Threats. 7 Haziran 2020 tarihinde https://www.guru99.com/potential-security-threats-to-your-computer-systems.html adresinden alındı.
 
2. Archana, C. (2019). Computer Security Threats. 8 Haziran 2020 tarihinde https://www.edureka.co/blog/what-is-computer-security/#ComputerSecurity adresinden görseller alındı
 
3. Cyber GIF by Sandia National Labs – Find & Share on GIPHY
 
4. Öne çıkan görsel by Philipp Katzenberger on Unsplash
 
5. Hırsız görsel by guru99.com
 
 
 


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Kurumsal Veri Güvenliği

İçindekiler

  • Giriş
  • Kurumsal Veri Güvenliği
  • Kurumsal Bilgi Güvenliği Politikaları
  • Bilgi Güvenliği Yönetim Sistemi (BGYS)
    • BGYS sayesinde:
    • Bilgi sistemlerini iş gerekleri ve yasal yükümlülükler çerçevesinde koruyabilmek için:
    • Bir kurum neden BGYS kurmalıdır?
  • Bilgi Güvenliği Standartları
  • İngiliz Standartları
  • Türk Standartları
  • Sonuç
  • Kaynakça

Giriş

Günümüz teknolojisinde kurumsal firmalar müşterilerinin tüm belgelerini bir veri tabanı içinde tutarlar. Bunlar kimlik bilgilerimiz, adreslerimiz, telefon numaralarımız ve banka şifrelerimiz olabilir. Firma ile müşteri arasında gizli kalması geren tüm bilgilere ulaşmak isteyen kişi ve kişiler olabilir. Bu bilgiler en iyi şekilde saklanmalı ve bu veri tabanlarının saldırılar sonucu açığa çıkmaması gereklidir. Bu gibi durumların yaşanmaması için kurumsal bilgi standartları vardır.

Kurumsal Veri Güvenliği

Kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. Kurumsal bilgi varlıklarının güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz. Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci bilgi güvenliği olarak tanımlanabilir.Kurumsal bilgi güvenliği ise, kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınması olarak düşünülebilir. Kurumsal bilgi güvenliği insan faktörü, eğitim, teknoloji gibi birçok faktörün etki ettiği tek bir çatı altında yönetilmesi zorunlu olan karmaşık süreçlerden oluşmaktadır. Bu süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek seviyede bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşma çalışmaları hızla sürmektedir. Standartlaşma konusuna önderlik eden İngiltere tarafından geliştirilen BS–7799 standardı, ISO tarafından kabul görerek önce ISO–17799 sonrasında ise ISO–27001:2005 adıyla dünya genelinde bilgi güvenliği standardı olarak kabul edilmiştir. Ülkemizde Avrupa Birliği Uyum Kriterlerinde de adı geçen bu standartların uygulanması konusunda yapılan çalışmalar yetersiz olup bu standardı uygulayan kurum ve kuruluşların sayısı yok denecek kadar azdır. ISO–27001:2005 standardı ülkemizde Türk Standardları Enstitüsü (TSE) tarafından TS ISO/IEC 27001 “Bilgi Güvenliği Yönetim Sistemi” standardı adı altında yayınlanmış ve belgeleme çalışmaları başlatılmıştır. Bu standart kapsamında kurumsal bilgi varlıklarının güvenliğinin istenilen düzeyde sağlanabilmesi amacıyla; gizlilik, bütünlük ve erişilebilirlik gibi güvenlik unsurlarının kurumlar tarafından sağlanması gerekmektedir. Bilgi Güvenliği Yönetim Sistemleri (BGYS); insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Kurumlar açısından önemli bilgilerin ve bilgi sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve sürekliliğinin sağlanması, BGYS’nin kurumlarda hayata geçirilmesiyle mümkün olmaktadır. BGYS’nin kurulmasıyla; olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir. Kurumsal bilgi güvenlik politikalarının oluşturulması, BGYS kapsamının belirlenmesi, risk yönetimi, denetim kontrollerinin seçilmesi, uygulanabilirlik beyannameleri BGYS kurulabilmesi için, yapılması gereken adımlardır. Bilgi güvenliğinin yönetiminin kurulmasında izlenmesi gereken adımlar bu bölümde sırasıyla takip eden başlıklarda açıklanmıştır.

Kurumsal Bilgi Güvenliği Politikaları

Güvenlik politikaları kurum veya kuruluşlarda kabul edilebilir güvenlik seviyesinin tanımlanmasına yardım eden, tüm çalışanların ve ortak çalışma içerisinde bulunan diğer kurum ve kuruluşların uyması gereken kurallar bütünüdür. Kurumsal bilgi güvenliği politikası, kurum ve kuruluşlarda bilgi güvenliğinin sağlanması için tüm bilgi güvenlik faaliyetlerini kapsayan ve yönlendiren talimatlar olup kurumsal bilgi kaynaklarına erişim yetkisi olan tüm çalışanların uyması gereken kuralları içeren belgelerdir. Bilgi güvenliği politikaları her kuruluş için farklılık göstersede genellikle çalışanın sorumluluklarını, güvenlik denetim araçlarını, amaç ve hedeflerini kurumsal bilgi varlıklarının yönetimini, korunmasını, dağıtımını ve önemli işlevlerin korunmasını düzenleyen kurallar ve uygulamaların açıklandığı genel ifadeleri içermektedir. Politikalar içerisinde; gerekçelerin ve risklerin tanımlandığı, kapsadığı bilgi varlıkları ve politikadan sorumlu olan çalışanların ve gruplarının belirlendiği, uygulanması ve yapılması gereken kuralların, ihlal edildiğinde uygulanacak cezai yaptırımların, teknik terimlerin tanımlarının ve düzeltme tarihçesinin yer aldığı 7 bölümden oluşur. Belirli konularda çalışanın daha fazla bilgilendirilmesi, dikkat etmesi gereken hususlar, ilgili konunun detaylı bir şekilde ifade edilmesi istendiğinde alt politikalar geliştirilmelidir. Örneğin kullanıcı hesaplarının oluşturulması ve yönetilmesi, şifre unutma, şifre değiştirme, yeni şifre tanımlama gibi durumlarda uyulacak kurallar alt politikalar aracılığıyla açıklanmalıdır.

Bölüm Adı İçeriği
Genel Açıklama Politikayla ilgili gerekçeler ve buna bağlı risklerin tanımlamasını kapsar.
Amaç Politikanın yazılmasındaki amaç ve neden böyle bir politikaya ihtiyaç duyulduğunu açıklar.
Kapsam

Politikaya uyması gereken çalışan grupları (ilgili bir grup veya kurumun tamamı) ve bilgi varlıklarını belirler.

Politika

Uygulanması ve uyulması gereken kuralları veya politikaları içerir.

Cezai Yaptırımlar

Politika ihlallerinde uygulanacak cezai yaptırımları açıklar.

Tanımlar

Teknik terimler ile açık olmayan ifadeler listelenerek açıklanır

Düzeltme Tarihçesi

Politika içerisinde yapılan değişiklikler, tarihler ve sebepleri yer alır.

E-posta gönderme ve alma konusunda, üst yönetimin kararlarını, kullanıcının uyması gereken kuralları ve diğer haklarını alt politika içerisinde ifade etmek bir başka örnek olarak verilebilir. Alt politikayla üst yönetimin, gerekli gördüğünde çalışanlarının epostalarını okuyabileceği, e-postalar yoluyla gizlilik dereceli bilgilerin gönderilip alınamayacağı gibi hususlar, e-posta alt politikası içerisinde ifade edilebilir. Alt politikalar içerisinde, izin verilen yazılımlar, veritabanlarının nasıl korunacağı, bilgisayarlarda uygulanacak erişim denetim ölçütleri, güvenlikle ilgili kullanılan yazılım ve donanımların nasıl kullanılacağı gibi konular da açıklanabilir. (Vural ve Sağıroğlu,2008,S509-510)

Bilgi Güvenliği Yönetim Sistemi (BGYS)

bir kurumdaki bilgi güvenliğini tasarlayan, gerçekleyen, işleten, gözleyen, değerlendiren, bakımını yapan ve geliştiren bir çerçeve sağlamaktadır.

BGYS sayesinde:

İş aktivitelerinde meydana gelen riskleri yönetebilmek.

Güvenlik olaylarına müdahale aktivitelerini yönetebilmek.

Kurumda güvenlik kültürünün oluşmasını sağlamak.

Bilgi sistemlerini iş gerekleri ve yasal yükümlülükler çerçevesinde koruyabilmek için:

Kurum dışına bilgi sızmasını engellemek (gizlilik)

Bilginin içeriğinin yetkisiz kişilerce değiştirilmesini engellemek (bütünlük)

Bilgiye erişimin kesintiye uğramasını engellemek (erişilebilirlik)

Yasal uyumluluk

Risk-maliyet dengelemesi

Bir kurum neden BGYS kurmalıdır?

Yönetilen bilgi güvenliği

Mevzuat yükümlülükleri

Rekabet ortamı

 Müşteri talebi

Kaynakların etkin kullanımı (TÜBİTAK, 2018,S3-6)

Bilgi Güvenliği Standartları

Tehditlerin sürekli olarak yenilenmesi, kullanılan yazılım veya donanımlarda meydana gelen güvenlik açıklarının takibi, insan faktörünün kontrolü gibi süreçlerin takip edilebilmesi ve üst seviyede bilgi güvenliğinin sağlanması için bilgi güvenliği sürecinin yönetilmesi için yapılan çalışmalar sonucunda İngiliz Standartlar Enstitüsü (British Standards Institute-BSI) tarafından 1995 yılında BS–7799 standardının ilk kısmı olan BS7799–1, 1999 yılında ise aynı standardın ikinci kısmı olan BS7799–2 İngiliz standardı olarak yayınlanmıştır. BS7799–1 2000 yılında küçük düzeltme ve adaptasyonlardan geçerek ISO tarafından ISO/IEC– 17799 adıyla kabul edilmiş ve dünya genelinde kabul edilen bir standart halini almıştır. 2002 yılında ise BSI tarafından BS–7799 standardının ikinci kısmı olan BS–7799–2 standardı üzerinde eklemeler ve düzeltmeler yapılarak ikinci defa İngiliz standardı olarak yayınlanmıştır. 2005 yılında ise ISO tarafından ISO/IEC–17799 standardı üzerinde eklemeler ve düzeltmeler yapılmış ISO/IEC–17799:2005 adıyla yeniden yayınlanmıştır. Son olarak 2005 yılında ISO İngiliz standardı olan BS7799–2 üzerinde eklemeler ve düzeltmeler yaparak ISO/IEC:27001 standardını yayınlamıştır. (Vural ve Sağıroğlu,2008,S511)

İngiliz Standartları

BS–7799, bilgi varlıklarının gizlilik, doğruluk ve erişilebilirliğini güvence altına almak için uygulanması gereken güvenlik denetimlerini düzenleyen ve belgelendiren iki aşamalı İngiliz standardıdır. 1999 yılında yayınlanan ilk sürümün birinci bölümünde bilişim güvenliği için çalışma kuralları anlatılmakta olup (Information Technology– Code of Practice for Information Security Management) 10 bölüm içerisinde 36 kontrol 127 alt kontrol maddesi bulundurmaktadır. İkinci bölümde (Information Security Management Systems– Specification with Guidance for Use) bilgi güvenliği yönetim sistemini planlamak, kurmak ve devam ettirmek için gerekli olan süreçler adım adım tanımlamakta ve bilgi güvenliği yönetim sistemine ait belgelendirme (sertifikasyon) bu kısımda yapılmaktadır. BS–7799 kurumların sadece kendi bilgi güvenlik prosedürlerini değil birlikte çalıştıkları iş ortaklarıyla ilgili sözleşmelerinde bilgi güvenliği yönünden analiz edilmesine yardımcı olmaktadır. BS–7799 standardı endüstri, devlet ve ticari kuruluşlardan ortak bir güvenlik modeli oluşturulmasına gelen talepler sonucu BSI kuruluşu ve BOC, BT, Marks&Spencer, Midland Bank, Nationwide Building Society, Shell, Unilever ve diğer bazı şirketlerin katılımıyla hazırlanmış bir standarttır. Standardın tarihsel oluşumuna bakıldığında 1993 yılında Kural rehberi, 1995 yılında İngiliz standardı, 1998 yılında Sertifikasyon tarifi yapılmış, 1999 yılında büyük bir düzeltmeden geçerek birinci kısmı, 2002 yılında ise ikinci kısmı yayınlanmıştı.

Güvenlik politikası: Bilgi güvenliği için yönetimin yönlendirilmesi ve desteğinin sağlanmasının yer aldığı bölümdür.

Güvenlik organizasyonu: İşletme içindeki bilgi güvenliğinin yönetilmesi, üçüncü taraflarca erişilen işletmeye ait bilgi işleme araçlarının ve bilgi varlıklarının güvenliğinin korunması ve bilgi işleme sorumluluğu başka bir işletmenin kaynaklarından sağlandığında bilgi güvenliğinin sürdürülmesidir.

Varlık sınıflandırması ve denetimi: İşletmeye ait varlıklar için uygun korunmanın sağlanması ve bilgi kaynaklarının uygun koruma seviyesine sahip olduklarının garanti edilmesidir.

Erişim kontrol: Bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanmasıdır.

Uyum: Herhangi bir suçtan kaçınılması, organizasyonun güvenlik politikalarının ve standartlarının sisteme uyumunun sağlanması, sistem izleme işlemlerinin etkisinin artırılması ve karşılaşılan engellerin azaltılmasıdır.

Personel güvenliği: İnsan hatalarını, hırsızlığı, sahtekârlığı ve araçların yanlış kullanılması risklerinin azaltılması, kullanıcıların bilgi güvenliği tehditlerinden ve sorunlarından haberdar olduklarının ve normal çalışma seyirleri içinde organizasyonla ilgili güvenlik politikasını desteklemek üzere donatıldıklarının garanti edilmesidir. Ayrıca güvenlik ihlallerinden meydana gelen hasarın en aza indirilmesi ve bu gibi olaylardan gerekli tecrübelerin edinilmesidir.

Fiziki ve çevresel güvenlik: İşyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır.

Sistem bakım ve idamesi: Bilişim sistemleri içerisinde güvenliğin temin edilmesi, uygulama sistemlerindeki kullanıcı verilerinin kaybedilmesini, değişmesini ya da hatalı kullanımının önlenmesi, bilginin gizliliği, aslına uygunluğu ya da bütünlüğünün korunması, IT projelerinin ve destek etkinliklerinin güvenli bir şekilde yürütülmesini temin etmek ve uygulama yazılımının ve bilgilerin güvenliğini sağlamaktır.

İletişim ve işletim yönetimi: Bilgi işlem tesislerinin doğru ve güvenle işletildiğinden emin olunması, sistem arızalarını en az seviyeye indirilmesi, bilgi ve yazılım bütünlüğünün korunması, bilgi işlem ve iletişim hizmetlerinin kullanılabilirliği ve bütünlüğünün sürdürülmesi, ağlarda yer alan bilgilerin emniyetinin ve destekleyen altyapı sisteminin korunması, iş faaliyetlerinin kesintiye uğratılması ve varlıklara zarar verilmesinin önlenmesi ve organizasyonlar arasında akan bilginin yanlış amaçlarla kullanılması, değiştirilmesi ve kaybedilmesinin önlenmesidir.

İş süreklilik yönetimi: Ticari süreçlerde karşılaşılan olumsuzlukların giderilmesi ve kritik ticari işlemlerin devamlılığının sağlanmasıdır.(Vural ve Sağıroğlu,2008,S511-512)

Türk Standartları

Türkiye’de bilgi güvenliği standartlarıyla ilgili çalışmalar ve belgelendirmeler, Türk Standartları Enstitüsü (TSE) tarafından yapılmaktadır. TSE teknik kurulunun ISO/IEC 17799:2000 standardını tercüme ederek 11 Kasım 2002 tarihinde aldığı karar ile TS ISO/IEC 17799 Bilgi Teknolojisi-Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri Türk standardı olarak kabul edilmiştir. TS ISO/IEC 17799 standardı; kuruluşlar bünyesinde bilgi güvenliğini başlatan, gerçekleştiren ve süreklilik sağlayan, bilgi güvenliği yönetimi ile ilgili tavsiyeleri içermektedir. BGYS belgelendirilmesine yönelik TSE teknik kurulu tarafından yapılan çalışmalar sonucunda BS 7799– 2:2002 standardının tercümesi yapılarak “Bilgi Güvenliği Yönetim Sistemleri–Özellikler ve Kullanım Kılavuzu” ismiyle TS 17799–2 standardı olarak 17 Şubat 2005 tarihinde kabul edilmiş ve yürürlüğe girmiştir. Ancak TS ISO/IEC 27001:2006 “Bilgi Teknolojisi–Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri–Gereksinimler”, 2.3.2006 tarihinde Türk standardı olarak kabul edildiğinden TS 17799–2 standardı TSE tarafından iptal edilmiştir [28]. TS ISO/IEC 27001:2006 standardı, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kâr amaçlı olmayan kuruluşlar) kapsar. Bu standart, bir BGYS’yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. Bu standart ISO/IEC 27001:2005 standardından yararlanarak hazırlanmıştır. ISO/IEC 27001:2005 standardın tercümesidir.(Vural ve Sağıroğlu,2008,S516)

Sonuç

Ülkemizde genellikle güvenlik politikaları standartlara uygun olmadan yazılı veya sözlü, onaylı veya onaysız bir biçimde kuruluşlar tarafından uygulanmakta ve çoğu kurum tarafından da “bilgi güvenliği yönetimi” yeterli görülmektedir. Bu yanlış anlamanın giderilmesi için dünya genelinde kabul görmüş ve uygulanabilirliği test edilmiş bilgi güvenliği standartları esas alınarak kuruluşların “bilgi güvenliği yönetimi” konusunda eksikliklerini gidererek BGYS kurmaları, uygulamaları ve belgelendirilmeleri gerekmektedir. BGYS çerçevesinde oluşturulacak güvenlik politikalarına, üst yönetim ve tüm çalışanların destek vermesi ve tavizsiz bir şekilde uygulanması, işbirliğinde bulunulan tüm kişi ve kuruluşlarında bu politikalara uyma zorunluluğu, kurumsal bilgi güvenliğinin üst düzeyde sağlanmasında önemli bir faktördür.BGYS standartlarının kurumlara uyarlanması, anlatılması, kullanıcı, teknik çalışanların ve yöneticilerin eğitilmesi konusunda kuruluşların bünyelerinde güvenlik uzmanları çalıştırmaları veya danışmanlık hizmetleri almaları gerekmektedir. BGYS uygulamaları, kurumlar tarafından başarılı bir şekilde uygulandıktan sonra kuruluşların bilgi güvenliğini yönettiklerine dair uluslararası alanda geçerli sertifikasyona sahip olmaları önemlidir.(Vural ve Sağıroğlu,2008,S520)

 

Kaynakça

  • Vural,Y. ve Sağıroğlu,Ş. (2008),Kurumsal Bilgi Güvenliği Ve Standartları Üzerine Bir İnceleme, Gazi Üniv. Müh. Mim. Fak. Der Cilt 23, 507-522
  • TÜBİTAK(2018),Yöneticilere Odaklı ISO 27001 Bilgilendirme
  • Photo by Luke Chesser on Unsplash


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

SİBER SALDIRI ve SİBER SAVUNMA YÖNTEMLERİ

İÇİNDEKİLER

  • Giriş
  • Siber Güvenlik Nedir?
  • Siber Saldırı Yöntemleri
  • Siber Güvenlik Unsurları
  • Siber Savunma Yöntemleri
  • Siber Güvenlikte Mükemmellik
  • Sonuç
  • Kaynakça

 

Giriş

Bilişim teknolojileri, hayatı kolaylaştırma adına sağladıkları imkânların yanında, güvenlik boyutunda da yeni kaygıların gelişmesine sebep olmuştur. Artık bu yeni dünyada, fiziksel temasa veya mağdurla aynı yerde bulunmaya gerek duymadan hırsızlık, dolandırıcılık gibi suç fiilleri mümkün hale gelmiştir. Bunun yanında bilişim teknolojileri suç gruplarının veya terör örgütlerinin iletişim becerilerini artırmış, propaganda imkânlarını güçlendirmiş ve yeni faaliyet sahalarının ortaya çıkmasını sağlamıştır. Günümüzde hızla gelişen teknoloji güvenlik sorunlarını da beraberinde getiriyor. Hacker adı verilen zararlı kullanıcılar veya kullanıcı grupları, internet sitelerine, bilgisayarlara, devlet kurumlarına, polis, jandarma ya da şahıs gibi birimlere saldırı amaçlı trojen, solucan gibi virüsler yollayarak bu alandaki bilgileri ele geçirmek ya da bu alanı kullanılmaz hale getirmek amaçlı yaptıkları saldırıya siber saldırı adı verilir. Siber saldırılar şahısa dönük olabileceği gibi kuruma ya da devletlere dönük olarak yapılabilir. Devletler birbirleri arasında siber savaş adı verilen rekabete girişebilirler. Bildiğimiz savaştan farklı olan bu stratejiye telefon dinleme, gizli evrak görüntüleme, ajanlık ve casusluk gibi özel amaçlı olarak yapılan işlemlerdir. Ve saldırı için birçok materyal kullanılabilir. Bilgisayarlar, akıllı telefonlar, internet bağlantılı cihazlar, tabletler aracılığı ile şahsa, kuruma ya da devletleri günlük olarak art niyetli sanal saldırı yapılabilir.

 

Siber Güvenlik Nedir?

Siber ortamı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen bilginin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber güvenlik olaylarının tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının devreye alınmasını ve sonrasında ise sistemlerin yaşanan siber güvenlik olayı öncesi durumlarına geri döndürülmesini ifade eder. (T.C. UDHB, 2013-2014)

 

Siber Saldırı Yöntemleri

Siber saldırılar çok çeşitli yöntemlerle yapılmaktadır. Sizin için en çok kullanılan siber saldırı yöntemlerinden birkaçını düzenledik. Bunlar;

  • Bilgi ve veri aldatmacası (Data Diddling): Bilgisayara veri girilirken yanlış girilmesi, verileri saklarken özel yöntemlerle değiştirilmesi ya da bazı kayıtların silinmesi bu yöntemle yapılabilir. (M. H. Wrobleski,1990)

 

  • Salam tekniği (Salami Techniques): Genellikle bankacılık sektöründe kullanılır. Hesaplardaki virgülden sonraki küsuratların son rakam veya son iki rakam tutarı başka bir hesaba aktarılarak orada biriktirilmektedir. (Y. Yazıcıoğlu, 2004)

 

  • Süper darbe (Super Zapping): Bilgisayar sistemlerindeki arızalar ile sistemin kilitlenmesi durumunda güvenlik kontrollerinin aşılarak sistemin düzeltilmesi için geliştirilmiş programlardır. Bu durum kötüye kullanıldığında güvenlik devre dışı bırakılmaktadır. (O. Turhan,2006)

 

  • Truva atı (Casus Yazılımlar): Bilgisayar korsanları truva atları sayesinde sisteme arka kapıdan ulaşarak, bilgisayarın sistem yapısını değiştirebilir ayrıca kullanıcının şifrelerine ve diğer kişisel bilgilerine ulaşabilirler. Truva atı sisteme bulaştıktan sonra, sistemin açılmasıyla beraber kendisini hafızaya yükler ve sistem açıklarını kullanarak, programı yerleştiren bilgisayar korsanının istediklerini yapmasını sağlar.(O.Değirmenci,2002)

 

  • Zararlı yazılımlar (Kötücül Yazılımlar): Virüs gibi belli bir amaca yönelik olarak hazırlanmış kod parçalarıdır.

 

  • Mantık bombaları (Logic Bombs): Bir programın içerisine istenen zararlı bir kod parçasının yerleştirilmesidir. Mantık bombası genellikle hedef alınan bilgisayar veya ağlardaki bilgileri tamamen yok etmek veya bir daha kullanılamaz hale getirmek için kullanılır. (Ş. Çelik,2013)

 

  • Oltalama (Phishing): Genellikle sahte web siteleri kullanılmaktadır. Örneğin bir banka ya da alışveriş sitesinden kendisine e-posta geldiğini düşünen son kullanıcı; kredi kartı bilgilerini bu web sayfasına girerek ya da sadece e-postayı yanıtlayarak bu tuzağa düşebilmektedir. (A.Çubukçu & Ş. Bayram,2013).

 

  • Bukalemun (Chamelon): Normal bir program gibi çalışırır fakat arka planda bir takım hile ve aldatmalar ile çok kullanıcılı sistemlerde kullanıcı adları ve şifrelerini taklitm ederek gizli bir dosya içerisine kaydedip, sistemin bakımı için geçici bir süre kapatılacağına ilişkin bir (YerTutucu) uyarı verir. Bu sırada bukalemun programını kullanan kişi, bu gizli dosyaya ulaşarak kullanıcı adlarını ve şifrelerini ele geçirir. (E. Aydın,1992).

 

  • İstem dışı alınan elektronik postalar (Spam): Tartışma platformlarından dağıtılan listelerden ve web sayfalarından elde edilen elektronik adreslere alıcının haberi olmaksızın ara sıra büyük hacimlerde gönderilen ve ticari amaç taşıyan e-postalar olarak tanımlamaktadır.(T.Memiş,2005)

 

  • Çöpe dalma (Scavenging): Sistem belleğinde bulunan ve artık ihtiyaç duyulmayan silinmiş bilgilerin gelişmiş yöntemlerle tekrar geri getirilmesidir. (E. Altınok, 2011)

 

  • Yerine geçme (Masquerading): Sistemde yapılacak hileler ile erişim imkanı kısıtlı ya da yetkisi hiç olmayan kullanıcıların, erişime yetkisi olan başka kullanıcıların bilgi ve yetkilerini kullanarak sisteme erişim sağlamasıdır. (O.Değirmenci,2002)

 

  • Sistem güvenliğinin kırılıp içeri sızılması (Hacking): Hack kelimesi hacker topluluklarında kullanılan anlamıyla “teknolojinin orijinal, alışılmışın dışında ve özgün bir tarzda kullanılması” anlamına gelmektedir. Ayırt edici özelliği ise sadelik, ustalık ve yasa dışı oluşudur.( T. Jordan & P.Taylor,2004)

 

  • Hukuka aykırı içerik sunulması: Özellikle web sitelerine reklam amaçlı ya da hukuka aykırı içeriklerin eklenmesidir.

 

  • Web sayfası hırsızlığı ve yönlendirme: Web sitelerinin çalınarak kullanamaz hale gelmesi, web sitelerinde farklı içerikler sunulması, sayfa girişinde ya da içeriğinde başka sayfalara yönlendirilerek veri girişine zorlanılmasıdır.

 

  • Sosyal mühendislik: Yalan söyleme ve karşı tarafı ikna etme üzerine kurulan bir bilgi toplama sanatıdır. Burada kişilerin güveni kazanılarak kendilerine güvenmelerinin sağlanması amaçlanmaktadır. (K. D. Mitnick & W.L. Simon, 2006)

 

 

Siber Güvenlik Unsurları

Yüksek seviyede bir siber güvenliğin sağlanması ancak ve ancak aşağıdaki hususlara dikkat edilmesi ve bu unsurların yerine getirilmesiyle sağlanır. Bunlar; gizlilik, bütünlük, kimlik doğrulama, erişilebilirlik, inkar edememe gibi unsurlardır. Bu unsurlar aşağıda kısaca açıklanmıştır.

Gizlilik, “verilerin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunu garanti etmektir”. Diğer bir ifade ile “verilerin erişim yetkisi olmayan kişilerce elde edilmesini önleme girişimleridir”. Bu unsur, şifreleme algoritmaları kullanılarak sağlanmaktadır.

Bütünlük, siber güvenlik unsurlarından bir diğeridir. “Verilerin ve işleme yöntemlerinin doğruluğunu ve içeriğin değişmezliğini sağlamak” veya “verinin bir ortamdan diğerine değişmeden gönderildiğini doğrulamak” olarak tanımlanabilir. Özetleme (parmak izi) fonksiyonları kullanılarak veya farklı fonksiyonlar kullanılarak sağlanır.

Kimlik doğrulama, “yetkilendirilmiş kullanıcıların kimliğinin doğrulanması ve o kişi olduğunun garanti edilmesi” veya “kullanıcı kimliğinin belirlenmesi veya doğrulanması işlemi” olarak tanımlanabilir. Bu unsur, elektronik imza ile sağlanır.

İnkar edememe, aslında adından da anlaşılacağı gibi mesaj veya bilgi kaynağının gönderdiği mesajı veya gönderdiğini yalanlayamamasıdır. Diğer bir ifade ile “yetkilendirilmiş kullanıcının mesaj gönderim veya alım işlemlerinin ispatlanması veya gönderim veya alım işleminin inkar edilememesinin sağlanmasıdır”. Bu unsur, açık anahtar altyapısı ve zaman damgası ile sağlanır.

Erişilebilirlik, “yetkilendirilmiş kullanıcıların bilgiye ve ilişkili kaynaklara erişim hakkına sahip olmalarının garanti edilmesi”, “yetkilendirilmiş kullanıcıların sistemlere güvenli ve sürekli olarak erişmelerinin garanti edilmesi” veya “hizmetin sürekliliğinin sağlanması için gereken önlemleri alma girişimi” olarak tanımlanmaktadır. (Ş.Sağıroğlu & M. Alkan,2018)

Siber Savunma Yöntemleri

Siber saldırılara karşı koyabilmek için belirli bir sistematik içerisinde siber olaylara müdahale etmek, belirli bir adımları takip ederek bu adımları gerçekleştirmek gereklidir. Koruma adımları aşağıda verilmiştir.

(1) Yapılan saldırıları önlemek için bir saldırı tespit ve koruma sistemi yaklaşımı gereklidir. Bu kurulmalıdır.

(2) Tehdidi saptama için bir sistem gereklidir. Bu sistem kurulmalıdır.

(3) Yapılan saldırıların ne zaman, nasıl, kim veya kimler tarafından yapıldığı saptanır. Bunun için kayıtları analiz edecek bir sistem kurulur veya uzmanlıklardan faydalanılır.

(4) Saldırılara karşı koyma (reaksiyon gösterme) işin önemli ve son adımıdır. Saptanan ve tespit edilen tehditler bu adımda giderilir. Karşılaşılan tehditler ortadan kaldırılır ve verilen zararlar giderilir. Sistem kayıplardan arındırılarak, önceki haline dönüştürülür.( Ş.Sağıroğlu & M. Alkan,2018)

 

 

Siber Güvenlikte Mükemmellik

Siber güvenlikte temel hedef; güvenliği mükemmele yakın sağlama olmalı, riskler iyi belirlenmeli, giderilmeye çalışılmalı ve iyi bir risk yönetimi yapılmalı, mevcut teknikler, teknolojiler, politikalar, standartlar ve çözümler uygulanarak, belirlenen siber güvenlik felsefesi kapsamında çalışmalar yürütülmelidir. Bu felsefede aşağıdaki unsurlar yer almalıdır. Bunlar;

Bir güvenlik politikası oluşturulmalı ve uygulanmalıdır.

Gereği kadar koruma prensibi uygulanmalıdır.

İyi bir risk analizi ve yönetimi yapılmalıdır. – Sistemlerde oluşabilecek hataları, eksiklikleri ve açıklıkları gidermek için zaman zaman testler (sızma testleri) yapmak ve tüm zafiyetleri gidermek gerekmektedir.

Sistemleri kullanan her kullanıcıya en az hak verme yaklaşımı benimsenmelidir. Bir kullanıcıya ihtiyaç duyacağı hakları vermenin karşılaşılabilecek problemleri azaltacağı unutulmamalıdır.

Siber güvenlik standartları (ISO 270XX Serisi Standartlar) yakınen takip edilmeli ve uygulanmalıdır. Bunlara ilave olarak, yakın olan diğer standartlardan da mutlaka faydalanılmalıdır.

Elektronik ortamların her zaman güvensiz ortamlar olabileceği unutulmadan, sahip olunan bilgi varlıklarının yedeklenmesi veya kurtarılmasına yönelik sistemler (Felaket Kurtarma Merkezi) kurulmalı ve işletilmelidir.

Güncel tehdit ve tehlikeleri yakınen takip etmek ve varsa da gidermek gereklidir. Ayrıca, gelecek tehdit ve tehlikeleri de önceden öngörmek ve önlem almak da gereklidir. Buna hazır olacak, mekanizmalar ve yapılar kurmalı ve işletmelidir.

Güvenli sistem bileşenlerini tanımlama ve güvenlik gerektiren bileşenlerin sayılarını en aza indirgeme temel amaç olmalıdır.

Siber güvenlik sistemlerini kuran, işleten, yöneten ve güncelleyenlerin güvenlik uzmanları olduğu unutulmadan, siber güvenlik uzmanlarının kendilerini geliştirmelerine fırsatlar verilmeli, bu birimlere daha fazla insan kaynağı ayırılmalıdır. Güvenliği teknik ve teknolojilerin yardımıyla insanların sağladığı veya ihlal edildiği de unutulmadan gerekli tedbirler alınmalıdır. Sonuç olarak, “yüzde yüz bir güvenliğin” hiçbir zaman sağlanamayacağı yaklaşımıyla, varlıklar (yazılım, donanım, veri, süreç, uzmanlık, vb.) değerleri oranında ve sadece değerleri geçerli olduğu sürece korunmalıdır. Korumak için harcanan süre, çaba, emek ve maliyet, korunacak olan siber varlıkların değerleriyle orantılı olmalıdır. Karşılaşılacak riskler, ortak akıl ve bilimsel yaklaşımlar kullanılarak giderilmelidir.(Ş.Sağıroğlu & M. Alkan,2018)

 

Sonuç

Siber güvenlik günümüzde artık ulusal güvenlik stratejilerinde de ele alınan bir kavram haline gelmiştir. Özellikle son birkaç yıldır, Türk şirketleri ve hükümet yetkililerinin de sürekli olarak siber suçların ve siber casusluğun hedefinde olmaları bu alandaki probleme dikkat çekmekte ve daha fazla yatırım yapılmasının gerektiğini gözler önüne sermektedir. Teknolojideki sürekli gelişme ile birlikte siber saldırılar da üst düzeylere çıkmıştır. Olası tehditler ve ihtiyaçlar doğrultusunda alınan kararlar ileriye dönük olarak güvenliğin sağlanmasında yeterince etkili olamamaktadır. Çok çeşitli siber saldırı yöntemleri bulunmakta olup, özellikle kişisel ölçekte bunların çoğu bilinmemektedir. Bilişim sistemleri için güvenlik stratejileri ise konuyu bilen uzmanlar tarafından geliştirilirken çoğu zaman son kullanıcı bu güvenlik tedbirlerinden habersizdir. Bu bağlamda siber alanda oluşan tüm tehditlere karşı önlem alınması ve tüm dünyada bilinç seviyesinin artırılması gerekmektedir. Siber güvensizliğin getirebileceği maliyetin bu alanda yapılacak harcamalardan daha fazla olabileceği göz önüne alındığında siber savunmaya daha fazla yatırım yapılması gerektiği açıkça görülmektedir.

 

 

KAYNAKÇA

  1. T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı, Ulusal Siber Güvenlik Stratejisi ve 2013- 2014 Eylem Planı, Ocak 2013
  2. M. H. Wrobleski – M.K. Hens , “Introduction to Law Enforcement and Criminal Justice”, third edition, West Publiching Company, 1990.
  3. Y. Yazıcıoğlu, 2004. “Bilişim Suçlar Konusunda 2001 Türk Ceza Kanunu Tasarısının Değerlendirilmesi”, Hukuk ve Adalet: Eleştirel Hukuk Dergisi, İstanbul, Y:1, S:1, Ocak-Mart 2004, ss. 172-185.
  4. O. Turhan, “Bilgisayar Ağları ile İlgili Suçlar”, T.C. Başbakanlık Devlet Planlama Teşkilatı Müsteşarlığı Hukuk Müşsavirliği, Planlama Uzmanlığı Tezi, Ankara, 2006.
  5. O. Değirmenci,“Bilişim Suçlar”, (Marmara Üniversitesi Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi), İstanbul, 2002.
  6. Ş. Çelik, “Stuxnet Saldirisi Ve Abd’nin Siber SavaşStratejisi: Uluslararasi Hukukta Kuvvet Kullanmaktan Kaçinma İlkesi Çerçevesinde Bir Değerlendirme”, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi Cilt: 15, Sayı: 1, 2013, s.137-175.
  7. A. Çubukçu & Ş. Bayram (2013). Türkiye’de Dijital Vatandaşlık Algısı ve Bu Algıyı İnternetin Bilinçli, Güvenli ve Etkin Kullanımı ile Artırma Yöntemleri. Middle Eastern & African Journal of Educational Research, 5, 148-174
  8. E. Aydın (1992). Bilişim Suçları ve Hukukuna Giriş. Ankara: Doruk Yayınları.
  9. T. Memiş, Hukuki Açıdan Kitlelere E-posta Gönderilmesi. Saarbrücken Hukuki Internet Projesi. 2005.
  10. E. Altınok, A.F. Vural. “Bilişim Suçları”, 2011.
  11. T. Jordan & P.Taylor, (2004). Hacktivism and Cyberwars: Rebels with a Cause?. Routledge
  12. K. D. Mitnick & W.L. Simon, “Aldatma Sanatı”, Nejat Eralp Tezcan, ODTÜ Yayıncılık, Ankara, 303, 2006.
  13. Ş.Sağıroğlu & M. Alkan, BGD Siber Güvenlik ve Savunma,Farkındalık ve Caydırıcılık, Grafiker Yayınları,Ankara,2018
  14. Photo by codestorm on Unplash


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Kişisel ve Kurumsal Veri Güvenliği Yönetimi

İÇİNDEKİLER

GİRİŞ

BÖLÜM I: KURUMSAL VERİ GÜVENLİĞİ

1.1. Kurumsal Veri Güvenliği 

1.2. Kurumsal Veri Güvenliği Politikaları 

1.3. BGYS Kapsamı

1.4. Bilgi Güvenliği Standartları 

1.4.1. İngiliz Standartları 

1.4.2. ISO/IEC Standartları 

1.4.3. Türk Standartları 

1.4.4. Belgelendirme 

1.5.  Güncel Tehditler ve Bulgular 

1.6.  Sonuçlar ve Değerlendirmeler 

BÖLÜM II: KİŞİSEL VERİ GÜVENLİĞİ

2.2.  Kişisel Veri Güvenliğine İlişkin İdari Tedbirler 

2.2.1. Mevcut Risk ve Tehditlerin Belirlenmesi 

2.2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları 

2.2.3. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi 

2.2.4. Kişisel Verilerin Mümkün Olduğunca Azaltılması 

2.2.5. Veri İşleyenler ile İlişkilerin Yönetimi 

2.3.  Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler 

2.3.1. Siber Güvenliğin Sağlanması 

2.3.2. Kişisel Veri Güvenliğinin Takibi 

2.3.3. Kişisel Verileri İçeren Ortamların Güvenliğinin Sağlanması 

2.3.4. Kişisel Verilerin Bulutta Depolanması 

2.3.5. Bilgi Teknoloji Sistemleri Tedariği, Geliştirme ve Bakımı 

2.3.6. Bilgi Teknolojilerinin Yedeklenmesi 

2.4. Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler

2.5. Sonuçlar ve Değerlendirmeler

KAYNAKÇA

GİRİŞ

İletişim ortamlarının yaygınlaşması ve kullanımının artması sonucunda elektronik ortamlarda bulunan bilgilerin her geçen gün katlanarak artmasından dolayı bilgi güvenliğinin sağlanması ihtiyacı kişisel veya kurumsal olarak en üst seviyelere çıkmıştır. Bunun önemli sebepleri iş veya günlük yaşamın bir parçası haline gelen elektronik uygulamaların artması, ihtiyaç duyulan bilgilerin ağ sistemleri üzerinde paylaşımı, bilgiye her noktadan erişilebilirlik, bu ortamlarda meydana gelen açıkların büyük tehdit oluşturması ve en önemlisi kişisel ve kurumsal kayıplarda meydana gelen artışlar olarak sıralanabilir.

Kişi ve kurumların bilgi güvenliğini sağlamadaki eksikliklerinin yanında saldırganların saldırı yapabilmeleri için ihtiyaç duydukları yazılımlara İnternet üzerinden kolaylıkla erişebilmeleri fazla bilgi birikimine ihtiyaç duyulmaması ve en önemlisi ise kişisel ve kurumsal bilgi varlıklarına yapılan saldırılardaki artışlar, gerek kişisel gerekse kurumsal bilgi güvenliğine daha fazla önem verilmesine yeni yaklaşımların ve standartların kurumlar bünyesinde uygulanması zorunluluğunu ortaya çıkarmıştır. Bu sebeplerden kişisel verileri korumak için adımlar atılması kaçınılmaz hale gelmiştir. Bu çalışmanın, hem kişisel hem kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasına yönelik farkındalık oluşturması, mevcut ve yeni standartlar hakkında daha fazla bilgi içermesi ve yüksek seviyede güvenliğin sağlanmasına katkılar sağlayacağı düşünülmektedir.

 

BÖLÜM I

KURUMSAL VERİ GÜVENLİĞİ

1.1. Kurumsal Veri Güvenliği

Kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. Kurumsal bilgi varlıklarının güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz. Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci bilgi güvenliği olarak tanımlanabilir. (Vural, 2007)

Kurumsal bilgi güvenliği ise, kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınması olarak düşünülebilir. Kurumsal bilgi güvenliği insan faktörü, eğitim, teknoloji gibi birçok faktörün etki ettiği tek bir çatı altında yönetilmesi zorunlu olan karmaşık süreçlerden oluşmaktadır. Bu süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek seviyede bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşma çalışmaları hızla sürmektedir. Standartlaşma konusuna önderlik eden İngiltere tarafından geliştirilen BS–7799 standardı, ISO tarafından kabul görerek önce ISO–17799 sonrasında ise ISO–27001:2005 adıyla dünya genelinde bilgi güvenliği standardı olarak kabul edilmiştir. (ISO/IEC 27001, 2007)

Ülkemizde Avrupa Birliği Uyum Kriterlerinde de adı geçen bu standartların uygulanması konusunda yapılan çalışmalar yetersiz olup bu standardı uygulayan kurum ve kuruluşların sayısı yok denecek kadar azdır. ISO–27001:2005 standardı ülkemizde Türk Standartları Enstitüsü (TSE) tarafından TS ISO/IEC 27001 “Bilgi Güvenliği Yönetim Sistemi” standardı adı altında yayınlanmış ve belgeleme çalışmaları başlatılmıştır. Bu standart kapsamında kurumsal bilgi varlıklarının güvenliğinin istenilen düzeyde sağlanabilmesi amacıyla; gizlilik, bütünlük ve erişilebilirlik gibi güvenlik unsurlarının kurumlar tarafından sağlanması gerekmektedir. Bilgi Güvenliği Yönetim Sistemleri (BGYS); insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Kurumlar açısından önemli bilgilerin ve bilgi sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve sürekliliğinin sağlanması, BGYS’nin kurumlarda hayata geçirilmesiyle mümkün olmaktadır. BGYS’nin kurulmasıyla; olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir. Kurumsal bilgi güvenlik politikalarının oluşturulması, BGYS kapsamının belirlenmesi, risk yönetimi, denetim kontrollerinin seçilmesi, uygulanabilirlik beyannameleri BGYS kurulabilmesi için, yapılması gereken adımlardır. (Chang, Siew-Mun, & Foo, 2001)

Bilgi güvenliğinin yönetiminin kurulmasında izlenmesi gereken adımlar bu bölümde sırasıyla takip eden başlıklarda açıklanmıştır.

1.2. Kurumsal Veri Güvenliği Politikaları

Güvenlik politikaları kurum veya kuruluşlarda kabul edilebilir güvenlik seviyesinin tanımlanmasına yardım eden, tüm çalışanların ve ortak çalışma içerisinde bulunan diğer kurum ve kuruluşların uyması gereken kurallar bütünüdür. (Kalman, 2003)

Kurumsal bilgi güvenliği politikası, kurum ve kuruluşlarda bilgi güvenliğinin sağlanması için tüm bilgi güvenlik faaliyetlerini kapsayan ve yönlendiren talimatlar olup kurumsal bilgi kaynaklarına erişim yetkisi olan tüm çalışanların uyması gereken kuralları içeren belgelerdir. Bilgi güvenliği politikaları her kuruluş için farklılık gösterse de genellikle çalışanın sorumluluklarını, güvenlik denetim araçlarını, amaç ve hedeflerini kurumsal bilgi varlıklarının yönetimini, korunmasını, dağıtımını ve önemli işlevlerin korunmasını düzenleyen kurallar ve uygulamaların açıklandığı genel ifadeleri içermektedir. Politikalar içerisinde; gerekçelerin ve risklerin tanımlandığı, kapsadığı bilgi varlıkları ve politikadan sorumlu olan çalışanların ve gruplarının belirlendiği, uygulanması ve yapılması gereken kuralların, ihlal edildiğinde uygulanacak cezai yaptırımların, teknik terimlerin tanımlarının ve düzeltme tarihçesinin yer aldığı 7 bölümden oluşur. (Kalman, 2003)

Belirli konularda çalışanın daha fazla bilgilendirilmesi, dikkat etmesi gereken hususlar, ilgili konunun detaylı bir şekilde ifade edilmesi istendiğinde alt politikalar geliştirilmelidir. Örneğin kullanıcı hesaplarının oluşturulması ve yönetilmesi, şifre unutma, şifre değiştirme, yeni şifre tanımlama gibi durumlarda uyulacak kurallar alt politikalar aracılığıyla açıklanmalıdır.

E-posta gönderme ve alma konusunda, üst yönetimin kararlarını, kullanıcının uyması gereken kuralları ve diğer haklarını alt politika içerisinde ifade etmek bir başka örnek olarak verilebilir. Alt politikayla üst yönetimin, gerekli gördüğünde çalışanlarının e-postalarını okuyabileceği, e-postalar yoluyla gizlilik dereceli bilgilerin gönderilip alınamayacağı gibi hususlar, e-posta alt politikası içerisinde ifade edilebilir. Alt politikalar içerisinde, izin verilen yazılımlar, veri tabanlarının nasıl korunacağı, bilgisayarlarda uygulanacak erişim denetim ölçütleri, güvenlikle ilgili kullanılan yazılım ve donanımların nasıl kullanılacağı gibi konular da açıklanabilir.

Kurumsal bilgi güvenliği politikaları kuruluşların ihtiyaçları doğrultusunda temel güvenlik unsurlarının (gizlilik, bütünlük, erişilebilirlik, vb.) bazıları üzerinde yoğunlaşabilir. Örneğin askeri kurumlarda, bilgi güvenliği politikalarında gizlilik ve bütünlük unsurları ön plana çıkmaktadır. Askeri bir savaş uçağının kalkış zaman bilgilerinin onaylanıp yürürlüğe girmesi için düşmanlar tarafından görülmemesi (gizlilik) ve değiştirilmemesi (bütünlük) gereklidir. Bir diğer örnek ise kâr amacı gütmeyen kurumlarda uygulanan bilgi güvenliği politikalarında genellikle erişilebilirlik ve bütünlük unsurları ön planda gelmektedir. Üniversite sınav sonuçlarının açıklandığı yüksek öğretim kurumunda uygulanan güvenlik politikasında öğrenciler sınav açıklandıktan sonra istediği zaman diliminde (erişilebilirlik) doğru bir şekilde (bütünlük) sınav sonuçlarına bakabilmelidir.

İyi bir güvenlik politikası, kullanıcıların işini zorlaştırmamalı, kullanıcılar arasında tepkiye yol açmamalı, kullanıcılar tarafından uygulanabilir olmalıdır. Politika, kullanıcıların ve sistem yöneticilerinin eldeki imkânlarla uyabilecekleri ve uygulayabilecekleri yeterli düzeyde yaptırım gücüne sahip kurallardan oluşmalıdır. Alınan güvenlik önlemleri ve politikaları uygulayan yetkililer veya birimler yaptırımları uygulayabilecek idari ve teknik yetkilerle donatılmalıdır. Politika kapsamında herkesin sorumluluk ve yetkileri tanımlanarak kullanıcılar, sistem yöneticileri ve diğer kişilerin sisteme ilişkin sorumlulukları, yetkileri kuşku ve çelişkilere yer bırakmayacak biçimde açıkça tanımlanmalıdır. Politikalar içerisinde uygulanacak olan yasal ve ahlaki mahremiyet koşulları ile elektronik mesajların ve dosyaların içeriğine ulaşım, kullanıcı hareketlerinin kayıt edilmesi gibi denetim ve izlemeye yönelik işlemlerin hangi koşullarda yapılacağı ve bu işlemler yapılırken kullanıcının kişisel haklarının nasıl korunacağı açıklanmalıdır.

Saldırıların ve diğer sorunların tespitinde kullanıcıların, yöneticilerin ve teknik personelin sorumluluk ve görevleri ile tespit edilen sorun ve saldırıların hangi kanallarla kimlere ne kadar zamanda rapor edileceği güvenlik politikalarında açıkça belirtilmelidir. Sistemlerin gün içi çalışma takvimleri, veri kaybı durumunda verinin geri getirilmesi koşulları gibi kullanıcının sisteme erişmesini sınırlayan durumlara politikalar içerisinde yer verilmelidir. Bu durumlarda kullanıcıya, izlemesi gereken yolu anlatacak ve yardımcı olacak kılavuzlara da yer verilmelidir.

1.3. BGYS Kapsamı

BGYS’nin kapsamı kurumların sahip olduğu bilgi varlıkları ve ihtiyaçları doğrultusunda tespit edilir. Bu kapsam;

  • Kurumun sahip olduğu bilgi varlıklarının tamamı,
  • Bilgi sistemlerinin bir kısmı (Bilişim sistemleri, kâğıt ortamdaki bilgiler, elektronik bilgi varlıkları, vb.),
  • Belli bir yerleşim birimindeki bilgi sistemleri (Merkez binalar, Genel Müdürlükler, vb.),
  • Odaklanılmış bir bilgi sistemi (bilgisayarlar, ağ sistemi, sunucu bilgisayarlar, web sunucusu, vb.) olabilir.

Bir kuruluşta elektronik ortamlarda üretilen, dağıtılan ve saklanan bilgiler BGYS kapsamına örnek olarak verilebilir. (Chang, Siew-Mun, & Foo, 2001)

1.4. Bilgi Güvenliği Standartları

Tehditlerin sürekli olarak yenilenmesi, kullanılan yazılım veya donanımlarda meydana gelen güvenlik açıklarının takibi, insan faktörünün kontrolü gibi süreçlerin takip edilebilmesi ve üst seviyede bilgi güvenliğinin sağlanması için bilgi güvenliği sürecinin yönetilmesi için yapılan çalışmalar sonucunda İngiliz Standartlar Enstitüsü (British Standards Institute-BSI) tarafından 1995 yılında BS–7799 standardının ilk kısmı olan BS7799–1, 1999 yılında ise aynı standardın ikinci kısmı olan BS7799–2 İngiliz standardı olarak yayınlanmıştır.

BS7799–1 2000 yılında küçük düzeltme ve adaptasyonlardan geçerek ISO tarafından ISO/IEC– 17799 adıyla kabul edilmiş ve dünya genelinde kabul edilen bir standart halini almıştır. 2002 yılında ise BSI tarafından BS–7799 standardının ikinci kısmı olan BS–7799–2 standardı üzerinde eklemeler ve düzeltmeler yapılarak ikinci defa İngiliz standardı olarak yayınlanmıştır. 2005 yılında ise ISO tarafından ISO/IEC–17799 standardı üzerinde eklemeler ve düzeltmeler yapılmış ISO/IEC–17799:2005 adıyla yeniden yayınlanmıştır. Son olarak 2005 yılında ISO İngiliz standardı olan BS7799–2 üzerinde eklemeler ve düzeltmeler yaparak ISO/IEC:27001 standardını yayınlamıştır. (Wikipedia, 2007)

 

 

1.4.1. İngiliz Standartları

BS–7799, bilgi varlıklarının gizlilik, doğruluk ve erişilebilirliğini güvence altına almak için uygulanması gereken güvenlik denetimlerini düzenleyen ve belgelendiren iki aşamalı İngiliz standardıdır. 1999 yılında yayınlanan ilk sürümün birinci bölümünde bilişim güvenliği için çalışma kuralları anlatılmakta olup 10 bölüm içerisinde 36 kontrol 127 alt kontrol maddesi bulundurmaktadır. İkinci bölümde bilgi güvenliği yönetim sistemini planlamak, kurmak ve devam ettirmek için gerekli olan süreçler adım adım tanımlamakta ve bilgi güvenliği yönetim sistemine ait belgelendirme bu kısımda yapılmaktadır.

BS–7799 kurumların sadece kendi bilgi güvenlik prosedürlerini değil birlikte çalıştıkları iş ortaklarıyla ilgili sözleşmelerinde bilgi güvenliği yönünden analiz edilmesine yardımcı olmaktadır. BS–7799 standardı endüstri, devlet ve ticari kuruluşlardan ortak bir güvenlik modeli oluşturulmasına gelen talepler sonucu BSI kuruluşu ve BOC, BT, Marks&Spencer, Midland Bank, Nationwide Building Society, Shell, Unilever ve diğer bazı şirketlerin katılımıyla hazırlanmış bir standarttır. Standardın tarihsel oluşumuna bakıldığında 1993 yılında Kural rehberi, 1995 yılında İngiliz standardı, 1998 yılında Sertifikasyon tarifi yapılmış, 1999 yılında büyük bir düzeltmeden geçerek birinci kısmı, 2002 yılında ise ikinci kısmı yayınlanmıştır. (Osborne, 2006)

BS–7799 standardı teknik ve idari bölümlerden oluşmaktadır. Etki alanları aşağıda maddeler halinde özetlenmiştir. (British Standards Institute, 2005)

 

Güvenlik politikası: Bilgi güvenliği için yönetimin yönlendirilmesi ve desteğinin sağlanmasının yer aldığı bölümdür.

Güvenlik organizasyonu: İşletme içindeki bilgi güvenliğinin yönetilmesi, üçüncü taraflarca erişilen işletmeye ait bilgi işleme araçlarının ve bilgi varlıklarının güvenliğinin korunması ve bilgi işleme sorumluluğu başka bir işletmenin kaynaklarından sağlandığında bilgi güvenliğinin sürdürülmesidir.

Varlık sınıflandırması ve denetimi: İşletmeye ait varlıklar için uygun korunmanın sağlanması ve bilgi kaynaklarının uygun koruma seviyesine sahip olduklarının garanti edilmesidir.

Erişim kontrol: Bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanmasıdır.

Uyum: Herhangi bir suçtan kaçınılması, organizasyonun güvenlik politikalarının ve standartlarının sisteme uyumunun sağlanması, sistem izleme işlemlerinin etkisinin artırılması ve karşılaşılan engellerin azaltılmasıdır.

Personel güvenliği: İnsan hatalarını, hırsızlığı, sahtekârlığı ve araçların yanlış kullanılması risklerinin azaltılması, kullanıcıların bilgi güvenliği tehditlerinden ve sorunlarından haberdar olduklarının ve normal çalışma seyirleri içinde organizasyonla ilgili güvenlik politikasını desteklemek üzere donatıldıklarının garanti edilmesidir. Ayrıca güvenlik ihlallerinden meydana gelen hasarın en aza indirilmesi ve bu gibi olaylardan gerekli tecrübelerin edinilmesidir.

Fiziki ve çevresel güvenlik: İşyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır.

Sistem bakım ve idamesi: Bilişim sistemleri içerisinde güvenliğin temin edilmesi, uygulama sistemlerindeki kullanıcı verilerinin kaybedilmesini, değişmesini ya da hatalı kullanımının önlenmesi, bilginin gizliliği, aslına uygunluğu ya da bütünlüğünün korunması, IT projelerinin ve destek etkinliklerinin güvenli bir şekilde yürütülmesini temin etmek ve uygulama yazılımının ve bilgilerin güvenliğini sağlamaktır.

İletişim ve işletim yönetimi: Bilgi işlem tesislerinin doğru ve güvenle işletildiğinden emin olunması, sistem arızalarını en az seviyeye indirilmesi, bilgi ve yazılım bütünlüğünün korunması, bilgi işlem ve iletişim hizmetlerinin kullanılabilirliği ve bütünlüğünün sürdürülmesi, ağlarda yer alan bilgilerin emniyetinin ve destekleyen altyapı sisteminin korunması, iş faaliyetlerinin kesintiye uğratılması ve varlıklara zarar verilmesinin önlenmesi ve organizasyonlar arasında akan bilginin yanlış amaçlarla kullanılması, değiştirilmesi ve kaybedilmesinin önlenmesidir.

İş süreklilik yönetimi: Ticari süreçlerde karşılaşılan olumsuzlukların giderilmesi ve kritik ticari işlemlerin devamlılığının sağlanmasıdır.

Kurumlar bilgi varlıklarını tespit edip sınıflandırdıktan sonra, bilgi varlıklarına yönelik tehditleri ve zafiyetleri değerlendirerek yukarıda anlatılan kontrollerden hangilerinin uygulanıp, hangilerinin uygulanamayacağına karar vererek standardın kapsamını kendi kurumlarına özgü bir şekilde belirleyebilmektedirler.

BS–7799 ikinci kısmında kurumsal güvenlik ihtiyaçlarının belirlenmesi için gerekli olan bilgi güvenliği yönetiminin çatısı tanımlanarak BS–7799 birinci kısmında tanımlanan kontroller uygulanmaktadır. Bu standart, yöneticilere ve personele etkin bir BGYS kurmaları ve yönetmeleri açısından bir model sağlamak üzere hazırlanmıştır. Bu modelde “Planla– Uygula–Kontrol Et–Önlem Al (PUKÖ)” adımları bulunmaktadır. Bu modelin basamakları ISO standartları bölümünde açıklanmıştır.

Bilgi güvenliği yönetim sistemleriyle ilgili diğer bir İngiliz standardı Aralık 2005’te BS7799–3:2005 Bilgi Güvenliği Yönetim Sistemleri Risk Yönetiminin Kuralları ismiyle hazırlanmıştır. Standart 2006 yılında tekrar gözden geçirilmiş ve BS7799–3:2006 ismiyle yayınlanmıştır. BS7799–3 standardı BS7799–2 standardının uygulanması için destek sağlayarak ölçeklenebilir (küçük, orta veya büyük kurumlar) yapıda standardın yaygınlaşmasına yardımcı olması için geliştirilmiştir. Standard içerisinde risk değerlendirmesi, belirlenen risklere kontrollerin uygulanması, tanımlanmış risklerin izlenmesi, kontrol yönetim sistemlerinin bakımı gibi risk yönetimi ile ilgili konular üzerine odaklanılmıştır. Kapsamın belirlenmesi, kural oluşturan kaynaklar, terimlerin tanımı, kurum bağlamında risk, risk değerlendirmesi, risk kararının verilmesi, risk yönetimi BS7799–3 standardının bölümlerini oluşturmaktadır. (BSI, 2007)

1.4.2. ISO/IEC Standartları

Uluslararası Elektroteknik Komisyonunu 1906 yılında Uluslararası Standartlar Organizasyonu, 1947 yılında uluslararası alanda ticari (ISO) ve elektroteknik (IEC) standardizasyonun sağlanması için, İsviçre’nin Cenova şehrinde kurulmuştur. ISO ve IEC birlikte teknik çalışma grupları oluşturarak tüm dünyada geçerli olacak standartlar oluşturmaktadırlar. Bununla birlikte ISO tarafından IT Güvenlik Standartları ile ilgili çalışmalar JTC–1 Bilişim Teknolojileri Komitesine bağlı SC27: BT Güvenlik Teknikleri Alt Komisyonunda ele alınmaktadır. Bilgi güvenliği konusunda çalışan bu komisyonun sorumluluklarından bazıları aşağıda belirtilmiştir. Bu sorumluluklar; (International Organization for, 2020)

  • Bilgi teknolojileri sistemleri güvenlik hizmetlerinin ve ihtiyaçların tanımlanması,
  • Güvenlik teknikleri ve mekanizmalarının geliştirilmesi,
  • Güvenlik kılavuzlarının geliştirilmesi ve
  • Yönetim destek dokümanları ile standartların geliştirilmesidir.

Yukarıda açıklanan görevleri yerine getirmek üzere bu komisyon içinde 5 ayrı çalışma grubu bulunmaktadır. Bu gruplar aşağıda belirtilmiştir:

  • Çalışma Grubu–1 (JTC 1/SC 27/WG 1): Bilgi güvenliği yönetim sistemleri
  • Çalışma Grubu–2 (JTC 1/SC 27/WG 2): Şifreleme ve güvenlik mekanizmaları
  • Çalışma Grubu–3 (JTC 1/SC 27/WG 3): Güvenlik değerlendirme kriterleri
  • Çalışma Grubu–4 (JTC 1/SC 27/WG 4): Güvenlik denetimleri ve hizmetleri
  • Çalışma Grubu–5 (JTC 1/SC 27/WG 5): Kimlik yönetimi ve mahremiyet

SC27’ye bağlı çalışma gruplarından Çalışma Grubu–1 (WG-1), bilgi güvenliği yönetim sistemleri standartları (ISO/IEC 17799, ISO/IEC 27000 Serisi) ile ilgili çalışmaları yürütmektedir. Bu standartlar aşağıda kısaca açıklanmıştır.

ISO/IEC 17799 standardı: BS–7799 standardının ikinci sürümü Mayıs 1999’da çıktığında ISO, BSI’nın yayınladığı çalışmayla ilgilenmeye başlamıştır. Aralık 2000’de, ISO BS–7799 standardının ilk bölümünü alarak ISO/IEC 17779 olarak yeniden adlandırmış ve yeni bir standart olarak yayınlamıştır. ISO/IEC 17779 standardı daha önceki bölümde açıklanan BS–7799 standardının ilk bölümüne eşdeğerdir.

 

ISO/IEC 17799 standardının uygulanmasıyla kurumsal bilgilerin tamamen güvende olduğunu söylemek doğru değildir. Bu standart bilgi güvenliğini başlatan, gerçekleştiren ve sürekliliğini sağlayan kurumların kullanımı için, bilgi güvenlik yönetimi ile ilgili tavsiyeleri kapsar. ISO/IEC 17799 güvenlik standartlarını bir kurumun uyguluyor olması kurumlara aşağıda sıralanan üstünlükleri sağlamaktadır. (Germain, 2005)

  • Organizasyon Seviyesinde, sorumlulukları belirleyerek, kurumsal bilgi güvenliğinin her seviyede uygulanmasının yararlarını garanti eder.
  • Kanuni Seviyede, kurumun ilgili tüm kural ve yönetmeliklere uyduğunu yetkili makamlara göstererek diğer standart ve mevzuatları tamamlar.
  • İşletme Seviyesinde, Bilgi sistemleri, zafiyetleri ve nasıl korunacakları konusunda işletmenin yönlendirilmesini sağlayarak kurumsal bilgi sistemlerine daha güvenli erişim sağlanır.
  • Ticari Seviyede, iş ortakları, hissedarlar ve müşteriler; kurumun bilgi koruması konusuna verdiği önem sayesinde kuruma olan güvenleri artırır ve ticari rakipleri arasında piyasada farklı bir yere gelmesini sağlar.
  • Finansal Seviyede, güvenlik açıklarının belirlenerek önlem alınması sonucunda maliyetler azalacaktır.
  • Çalışan Seviyesinde, çalışanın güvenlik konuları ve organizasyon içinde kendisine düşen sorumluluk hakkındaki bilgisini arttırarak bireysel olarak bilinçlendirilmesini sağlar.

ISO/IEC 17799 standardı 2005 yılında gözden geçirilerek ISO/IEC 17799:2005 ismiyle son halini almıştır. ISO/IEC 17799:2005 Bilgi Güvenliği Yönetimi için uygulama kodu, kuruluşların bilgi güvenliği yönetim sistemini kurmaları, uygulamaları, sürdürmeleri ve iyileştirmeleri için hazırlanmış bir kılavuz olup önceki sürümünden farklı olarak, yaşanan problemlerden, arızalardan, kazalardan ders çıkarılması ve tekrar yaşanmaması için gerekli önlemlerin alınması için gerekli olan yönetim mekanizmasının kurulmasını sağlayan Bilgi Güvenliği İhlallerinin yönetimi ile ilgili bilgi güvenliği denetimlerini ve ilgili uygulamaları da içermektedir. (BSI Eurasia, 2020)

ISO/IEC 27001, BGYS için gereklilikleri ortaya koyan bir standarttır. Daha önce de anlatıldığı gibi bilgilerin düzenli olarak maruz kaldığı tehditlerin tanımlanmasına, yönetilmesine ve bunların minimize edilmesine yardımcı olur.

 

Bu standart; yönetim standartlarıyla (ISO 9001, ISO 14001) uyumlu olarak geliştirildiğinden yönetim standartlarının gereklerini de yerine getirmektedir. Bunlar; (Türk Standardları Enstitüsü, 2006)

  • Kapsam, daha önceki bölümlerde açıklandığı gibi kurumun tamamı veya belirli bir kısmını veya belirli bir hizmetini (internet bankacılığı, web uygulamaları, vb.) içerebilir.
  • Politika, Bilgi güvenliği neden önemlidir? Tehditler nelerdir? Risk yönetimi nasıl yapılmalıdır? Uyulması gereken kısıtlar (kanunlar yönetmelikler, vb.) nelerdir? Bu gibi soruların cevabını içeren üst yönetici tarafından onaylanan bilgi güvenliği politikasının bir üst kümesi olarak kabul edilen kısa dokümanlardır.
  • Risk Değerlendirme, hangi bilgi varlıklarının korunacağı belirlendikten sonra kuruluşa uygun risk değerlendirme yönteminin seçilerek risklerin tanımlanması yapılır. Seçilen risk değerlendirme yöntemine göre bilgi varlıkları Şekil 5’de örneği gösterilen risk haritasında konumlandırılır. Değerlendirilme yapıldıktan sonra risk değerlendirme haritasında, etkisi ve olasılığı yüksek olan tehditler için risklerin iyileştirilerek kontrol altına alınması işlemlerini kapsar. Risk haritasında bilgi varlıklarının yeri değişebileceğinden risk değerlendirme haritası düzenli olarak güncellenmeli ve gerekli önlemler alınmalıdır.
  • Risk İyileştirme, risklerin değerlendirilmesi tamamlandıktan sonra ISO/IEC 27001 standardı risklerin nasıl iyileştirileceğinin açıklanmasını ister. İyileştirme çalışmaları kapsamında risk kabul edilebilir, transfer edilebilir (sigorta, vb.) azaltma çalışmaları yapılabilir. Riskler karşısında alınması gereken önlemlerin bulunduğu dokümanlar risk iyileştirme planlarını oluşturmaktadır.
  • Uygulanabilirlik Beyannamesi, (Statement of Applicability-SOA), ISO/IEC 27001:2005 standardındaki kontrollerden hangilerinin kullanılıp kullanılmadığını gerekçeleriyle açıklayan belgelerdir. Kullanılan kontrollerin seçilme gerekçeleri, kullanılmayan kontrollerin dışarıda bırakılmasının açıklamasını içerir. Kullanılmayan kontrollerin yanlışlıkla çıkarılmadığının çapraz denetimini sağlar. Uygulanabilirlik beyannamesi risk yönetimini ilgilendiren kararların özetini içerir.
  • Risk İşleme Planı, güvenlik risklerini yönetmek için uygun yönetim eylemini, kaynaklarını, sorumluluklarını ve önceliklerini tanımlar. Seçilen kontrollerin yapılabilmesi için gerekli olan alt kontroller gerçekleştirilir ve kontrollerin etkinliği ölçülür.
  • Eğitim ve Bilinçlendirme, programlarıyla kurumdaki tüm personelin bilgi güvenliği faaliyetlerinin yarar ve öneminin farkında olarak, BGYS’nin amaçlarına ulaşılmasına nasıl katkı sağlayacağının farkında olması sağlanmalıdır. Ayrıca BGYS’yi teknik olarak etkileyecek işlerde çalışmak üzere uzman personel istihdam edilmesi veya ilgili personelin eğitimleri bu kapsamda yapılır.
  • Güvenlik İhlal Yönetimi, güvenlik olaylarının anında tespit edilerek güvenlik ihlâllerine zamanında cevaplar verilmesini sağlar. Daha önce denenen ve başarılı olan güvenlik kırılmaları, güvenlik yöneticisinin güvenlik faaliyetlerinin beklenen biçimde çalışıp çalışmadığının belirlenebilmesi, güvenlik önlemlerinin alınarak güvenlik ihlallerinin önlenmesi, bir güvenlik kırılmasını önlemek için alınan önlemlerin etkili olup olmadığına karar verilir.
  • Kaynakların Yönetimi, BGYS’yi kurma, gerçekleştirme, işletme, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme için gereken kaynaklar kurum tarafından sağlanarak yönetimi yapılmalıdır.
  • İzleme ve Gözden Geçirme, BGYS’nin etkinliğinin düzenli olarak gözden geçirilmesi ve oluşabilecek değişiklikleri (teknoloji, iş amaçları ve süreçleri, tehditler, vb.) dikkate alarak, bilgi varlıklarının risk değerlendirmesinin belirli aralıklarla yeniden yapılmasını sağlar.
  • Yerel BGYS Denetimleri, ilk taraf denetimleri olarak adlandırılan yönetim tarafından kapsamın uygun kalması ve süreçlerin iyileştirilmesini sağlamak için düzenli olarak kuruluş tarafından veya kuruluş adına danışman firmalar tarafından gerçekleştirilir.

BGYS’nin iyileştirilmesi için kurum tarafından önleyici ve düzeltici tedbirler alınması gereklidir. Olumsuzlukların yaşanmaması için, risk değerlendirme sonuçlarına bağlı olarak değişen riskler bazında önleyici tedbirler alınmalıdır. Gerçekleştirilen önleyici faaliyetler, olası sorunların yapacağı etkiye uygun olmalıdır. BGYS gereksinimleriyle olumsuzlukları gidermek üzere düzeltici önlemler alınmalıdır. Önleyici tedbirler için gerçekleştirilen faaliyetler çoğunlukla düzenleyici tedbirler için gerçekleştirilen faaliyetlerden daha az maliyetlidir.

ISO/IEC 27002, halen hazırlanma aşamasındadır. Bu standardın daha önceki bölümde açıklanan ISO/IEC 17799:2005 standardına eşdeğer olması beklenmektedir. Bilgi güvenliği ile ilgili standartların 27000 serisi altında yer almasından dolayı ISO/IEC tarafından böyle bir düzenlemeye gidilmiştir. (ISO , 2007)

ISO/IEC 27003, 27001 standardının nasıl kullanılacağına dair açıklamalar ve örnekler içeren uygulama rehberi olarak geliştirilmekte olup tahmini olarak 2008 yılının Ekim ayında standart olarak yayınlanması beklenmektedir. Geliştirilen standart içerisinde temel olarak; kritik başarı faktörleri, süreç yaklaşımı üzerine rehber, PUKÖ modeli rehberi, planlama süreç rehberi, uygulama süreç rehberi, kontrol süreç rehberi, önlem alma süreç rehberi ve diğer kurumlarla birlikte çalışma gibi konu başlıklarının yer alması beklenmektedir. (ISO 27001 Security, 2020)

1.4.3. Türk Standartları

Türkiye’de bilgi güvenliği standartlarıyla ilgili çalışmalar ve belgelendirmeler, Türk Standartları Enstitüsü (TSE) tarafından yapılmaktadır. TSE teknik kurulunun ISO/IEC 17799:2000 standardını tercüme ederek 11 Kasım 2002 tarihinde aldığı karar ile TS ISO/IEC 17799 Bilgi Teknolojisi-Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri Türk standardı olarak kabul edilmiştir. TS ISO/IEC 17799 standardı; kuruluşlar bünyesinde bilgi güvenliğini başlatan, gerçekleştiren ve süreklilik sağlayan, bilgi güvenliği yönetimi ile ilgili tavsiyeleri içermektedir.

BGYS belgelendirilmesine yönelik TSE teknik kurulu tarafından yapılan çalışmalar sonucunda BS 7799– 2:2002 standardının tercümesi yapılarak “Bilgi Güvenliği Yönetim Sistemleri–Özellikler ve Kullanım Kılavuzu” ismiyle TS 17799–2 standardı olarak 17 Şubat 2005 tarihinde kabul edilmiş ve yürürlüğe girmiştir. Ancak TS ISO/IEC 27001:2006 “Bilgi Teknolojisi–Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri–Gereksinimler”, 2.3.2006 tarihinde Türk standardı olarak kabul edildiğinden TS 17799–2 standardı TSE tarafından iptal edilmiştir. (Türkiye Bilişim Derneği, 2005)

TS ISO/IEC 27001:2006 standardı, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kâr amaçlı olmayan kuruluşlar) kapsar. Bu standart, bir BGYS’yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. Bu standart ISO/IEC 27001:2005 standardından yararlanarak hazırlanmıştır. ISO/IEC 27001:2005 standardın tercümesidir.

 

1.4.4. Belgelendirme

BGYS’de belgelendirme, kurumsal bilgi güvenliğinin standartlara uyumlu bir şekilde yönetildiğine dair otoriteler tarafından verilen sertifikasyonlar aracılığıyla yapılmaktadır. Dünyada ve ülkemizde kurumsal bilgi güvenliği yönetim sistemlerinin belgelendirilmesinde uyumluluğa esas teşkil eden standart 2005 yılına kadar BS7799–2 standardı olurken bu yıldan sonra ISO/IEC 27001 standardı olarak değiştirilmiştir. 15 Nisan 2006 tarihine kadar olan 6 aylık bir hazırlık dönemi sırasında, denetimler ve belgelendirme ISO/IEC 27001:2005 veya BS 7799–2:2002 standartlarına göre gerçekleştirilmiştir. Ancak, bu süre içerisinde yayınlanmış olan yeni bir BS 7799–2:2002 sertifikasının, 15 Nisan 2007 tarihine kadar ISO/IEC 27001:2005’e geçişi tamamlanmıştır. 15 Nisan 2006 tarihinden sonra ise bütün denetimler ve belgelendirmeler ISO/IEC 27001:2005 standardına göre gerçekleştirilmiştir. ISO/IEC 27001:2005 belgelendirmesi için yapılması gereken altı aşama aşağıda kısaca açıklanmıştır. (BSI Belgelendirme Yöntemi, 2008)

  • Aşama 1: ISO/IEC 27001:2005 standardının tüm gereklerinin yerine getirilmesi ve standartta belirtilen yönetim iskelet yapısının oluşturulması.
  • Aşama 2: Uyumluluk denetimleri için yetkilendirilmiş sertifikalandırma kurumuna ön başvuru yapılır. Bu başvuruya istinaden denetimi yapacak firma belgelendirme için maliyet ve zaman çizelgesi sunar.
  • Aşama 3: Maliyet ve zaman çizelgesi kurum tarafından onaylanarak denetimi gerçekleştirecek firmaya resmi başvuru yapılır.
  • Aşama 4: Denetimi gerçekleştirecek olan kurum güvenlik politikasını, risk değerlendirmesi dokümanlarını, risk eylem planını, uygunluk beyanını (SOA) ve güvenlik prosedürlerini içeren dokümantasyonu gözden geçirir. Bu işlem sonucunda, bilgi güvenliği yönetim sistemindeki sorunlu olan ve çözüme kavuşturulması gereken herhangi bir zayıflığın veya göz ardı edilen bir hususun ortaya çıkarılması hedeflenir.
  • Aşama 5: Masaüstü kontrolü başarılı şekilde sonuçlandıktan sonra, denetim firmasının belirlediği denetçiler tarafından yerinde denetim gerçekleştirilir. Kuruluşun büyüklüğüne ve iş tipine uygun kontrollerin olup olmadığı gözden geçirilir ve elde edilen sonuçlara göre kurumlara önerilerde bulunulur.
  • Aşama 6: Değerlendirmenin başarı ile tamamlanmasının ardından, Bilgi Güvenliği Yönetim Sisteminin kapsamını açık bir şekilde tanımlayan bir sertifika verilecektir. Bu sertifika 3 yıl boyunca geçerliliğini korur ve rutin değerlendirme ziyaretleri ile desteklenir. ISO/IEC 27001 standardına göre kurulmuş olan bir bilgi güvenliği yönetim sistemi ile, kurumların bilgi güvenliği yönetiminde, kapsamlı prosedürler aracılığıyla güvenlik kontrollerini sürekli ve düzenli olarak işletmeyi ve sistemin sürekli iyileştirilmesi gerçekleştirilmektedir. Güven ve güvenilirliğin hayati önem taşıdığı alanlarda hizmet veren kuruluşların, uluslararası geçerlilikte bilgi güvenliği yönetim sistemleri standardına uygunluk belgesine sahip olması, hem mevzuat hem de kuruluşun güvenli işleyişi açısından bir zorunluluk olarak değerlendirilmektedir.

Kurumların ISO/IEC 27001 sertifikası almasının avantajları maddeler halinde aşağıda listelenmiştir. (Bilgi Güvenliği Yönetim Sisteminin Belgelendirilmesi, 2020)

  • Kredilendirilebilirlik, güven ve itimat: Belgelendirme, kurum veya kuruluşun bilgi güvenliğini dikkate aldığını, bilgi güvenliğinin sağlanması için gerekli olan adımları uyguladığını ve kontrol ettiğini ispatlamaktadır. Bu sayede kurumlar veya kuruluşlar birlikte iş yaptıkları veya hizmet verdikleri kurum veya bireylerin tüm bilgilerinin BGYS sayesinde güvende tutulacağı konusunda verdikleri taahhütten dolayı iş yaptıkları kurum, kuruluş veya bireylerin kendilerini güvende hissetmelerini sağlayacaklardır. Belgelendirme sonucunda özellikle özel sektör firmalarında rekabet anlamında sertifika almamış rakiplerinin bir adım önüne geçerek avantaj sağlayacaklardır. Ayrıca günümüzde uluslararası yapılan işlerde ISO/IEC 27001:2005 şartı koşulmaktadır.
  • Tasarruf: Oluşabilecek güvenlik ihlallerine karşı kontrollerin uygulanması ile maliyetler düşmektedir. Sadece bir bilgi güvenliği ihlalinin oluşturacağı zarar bile çoğu zaman çok büyük maddi kayıplara yol açabilir. Belgelendirme işlemi kurumların maruz kalacağı bu tür ihlalleri azaltarak bilgi güvenliği ihlallerinden doğan zararları en aza indirecektir.
  • Yasal Uygunluk: Belgelendirme işlemi, kanun ve tüzüklere uygunluğun yetkili ve ilgili makamlara yasal anlamda uygunluğun sağlandığına dair kanıt teşkil edilmesine yardımcı olur.
  • Taahhüt: Belgelendirme işlemi, organizasyonun tüm aşamalarında taahhüt/bağlılığın sağlanması ve kanıtlanmasında yardımcı olur.
  • Operasyonel Seviye Risk Yönetimi: Kuruluş genelinde, bilgi sistemleri ve zayıflıklarının nasıl korunacağı konusundaki farkındalık artar. Ayrıca donanım ve veriye daha güvenli bir şekilde erişim sağlanır.
  • Çalışanlar: Çalışanların kuruluş içerisindeki sorumlulukları ve bilgi güvenliği konularındaki bilinçlerinin artmasını sağlar.
  • Sürekli İyileşme: Düzenli olarak gerçekleştirilen denetimlere bağlı olarak bilgi sistemlerinin etkinliği izlenecek ve izleme sonucunda tespit edilen problemler giderilerek bilgi sistemlerinde genel anlamda bir iyileşme sağlanabilecektir.
  • Onay: Organizasyon için tüm seviyelerde bilgi güvenliği varlığının bağımsız kuruluşlar tarafından onaylandığını göstermektedir.

1.5. Güncel Tehditler ve Bulgular

Daha önceki bölümlerde de açıklandığı gibi günümüzde kurum ve kuruluşlar bilgilerini elektronik ortamlara açtıkça, elektronik ortamlarda yapılan iş ve işlemler artmakta karşılaşılan güncel tehdit ve tehlikelerde de doğal olarak artışlar gözlenmektedir. Zafiyet ve zayıflık açısından değerlendirildiğinde korunmasızlık seviyesinin yüksek olması nedeniyle güncel gelişmelerin en fazla yaşandığı alan web uygulamalarıdır. Günümüzde web uygulamaları, güncel bilgiye kurum, kuruluş veya bireylerin kolayca erişebilmesi için en kolay ve en etkin yöntem olarak karşımıza çıkmaktadır. Web üzerinden verilen hizmetler çoğaldıkça Web’e yönelik saldırılar da her geçen gün artmaktadır. Bunun nedeni, web uygulamaları güvenliğinin ilgisizlikten ve bilgisizlikten kaynaklanan sebeplerden ötürü yeterince ciddiye alınmaması ve güvenli yazılım geliştirme tekniklerinin kullanılmaması olarak açıklanabilir.

Günümüzde web uygulama güvenliğiyle ilgili birçok çalışma yapılmaktadır. Bu çalışmalardan birisi olan, Mark Curphey tarafından 2001 yılında kurulan, kâr amacı güdmeyen ve herkese açık bir ortam olan OWASP  web uygulama güvenliğinin artırılmasına yönelik ücretsiz araçlar, standartlar, web uygulamaları güvenliğiyle ilgili forumların yapılması, makalelerin yazılması konusunda çalışmaktadır. (About The Open Web Application Security Project, 2020) Diğer bir çalışma ise 2004 yılında Jeremiah Grossman ve Robert Auger tarafından kurulan ve web uygulamaları güvenliğiyle ilgili açık standartların geliştirilmesi, yaygınlaştırılması ve kullanımı gibi konularda çalışan Web Uygulamaları Güvenlik Konsorsiyumudur. (About Us, 2020)

Web uygulama güvenliği konusunda dünyada kabul görmüş OWASP ve WASC tarafından belirlenen, web uygulamalarında en fazla rastlanan saldırılar bu bölümde anlatılacak olan güncel tehditler ve gelişmelere esas teşkil etmiştir.

1.6. Sonuçlar ve Değerlendirmeler

Bu çalışmada, kurumsal bilgi güvenliğinin sağlanmasında önemli olan unsurlar gözden geçirilmiştir. Yüksek seviyede KBG sağlanabilmesi için bilgi güvenliği standartlarının bilinmesi ve uygulanmasının yanında güncel tehditlerin bilinmesi önemlidir. Bu tehditlerin tespit edilebilmesi ve ortadan kaldırılabilmesi için mevcut bilgi varlıklarının belirli aralıklarla sızma testlerine tabii tutulması zafiyet ve açıkların giderilmesi açısından önemlidir. Yüksek seviyede bir KBG sağlanabilmesi için teknoloji-insan-eğitim üçgeninde yönetilen bir yaklaşımın dikkate alınması gerektiği tespit edilmiştir. Yapılan diğer tespitler aşağıda sunulmuştur.

  • Ülkemizde genellikle güvenlik politikaları standartlara uygun olmadan yazılı veya sözlü, onaylı veya onaysız bir biçimde kuruluşlar tarafından uygulanmakta ve çoğu kurum tarafından da “bilgi güvenliği yönetimi” yeterli görülmektedir. Bu yanlış anlamanın giderilmesi için dünya genelinde kabul görmüş ve uygulanabilirliği test edilmiş bilgi güvenliği standartları esas alınarak kuruluşların “bilgi güvenliği yönetimi” konusunda eksikliklerini gidererek BGYS kurmaları, uygulamaları ve belgelendirilmeleri gerekmektedir. BGYS çerçevesinde oluşturulacak güvenlik politikalarına, üst yönetim ve tüm çalışanların destek vermesi ve tavizsiz bir şekilde uygulanması, iş birliğinde bulunulan tüm kişi ve kuruluşlarında bu politikalara uyma zorunluluğu, kurumsal bilgi güvenliğinin üst düzeyde sağlanmasında önemli bir faktördür.
  • BGYS standartlarının kurumlara uyarlanması, anlatılması, kullanıcı, teknik çalışanların ve yöneticilerin eğitilmesi konusunda kuruluşların bünyelerinde güvenlik uzmanları çalıştırmaları veya danışmanlık hizmetleri almaları gerekmektedir. BGYS uygulamaları, kurumlar tarafından başarılı bir şekilde uygulandıktan sonra kuruluşların bilgi güvenliğini yönettiklerine dair uluslararası alanda geçerli sertifikasyona sahip olmaları önemlidir.
  • Bilgi güvenliğinin yönetilmesi bilgi güvenliğinin sağlandığı anlamına gelmemektedir. BGYS’nin kurumsal bilgi güvenliğini taahhüt ettiği seviyede sağlayıp sağlamadığı, sağlamıyorsa eksikliklerinin neler olduğu, güvenlik denetimlerinin güvenli biçimde kurulup kurulmadığı, güvenlik denetimlerinin etkin ve politikalara uygun olarak uygulanıp uygulanmadığı, iyi bir belgelendirme yapılıp yapılmadığı gibi bilgi güvenliğinin sağlanması açısından çok kritik olan soruları cevaplamanın tek yolu BGYS kapsamında belirlenen bilgi varlıklarının (insan faktörü, yazılımlar, donanımlar, ortamlar, vb.) güvenliğini “sızma testleriyle” test etmekten geçmektedir. Kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasında sızma testlerinin katkısı çok yüksektir. Sızma testleri felaket başa gelmeden önce, onu önleyecek ve ona karşı savunulacak ihtiyaçların ve tedbirlerin alınmasında kullanılan önemli bir erken uyarı sistemidir. Bu önemden dolayı, sızma testleri belirli periyotlarda (bu yılda en az 2-3 kez olabilir) veya sistem yenilenmelerinde yapılmalı ve kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasındaki rolü her zaman dikkate alınmalıdır.

Yukarıda anlatılan hususların yanında, yüksek seviyede kurumsal bilgi güvenliğinin sağlanmasında aşağıdaki hususlara da dikkat edilmesi önerilmektedir. Bunlar:

  • Kurumsal bilgi güvenliğini sağlamanın dinamik bir süreç olduğu ve süreklilik arz ettiği,
  • Kurumsal bilgi güvenliğinin sadece teknolojiyle sağlanır yaklaşımından uzaklaşılarak insan-eğitim-teknoloji üçgeninde yeni bir yaklaşımla sağlanması gerektiği,
  • Uluslararası standartlara uygun olarak yapılması ve uygulanması gerektiği,
  • Standartlar yüksek seviyede bir güvenliği garanti etse de bazen standartlarında yetersiz kalabileceği,
  • Kurumsal bilgi güvenliği seviyesinin güncel durumunun belirlenmesi amacıyla iç ve dış ortamlardan zaman zaman bağımsız uzman kuruluşlar tarafından denetlenmesi gerektiği,
  • Kurumsal bilgi güvenliğinin yönetilmesinin zorunlu bir süreç olduğu ve her zaman iyileştirmelere ihtiyaç duyulduğu ve
  • En zayıf halka kadar güvende olunacağı varsayımıyla hareket edilerek gerekli önlemlerin alınması gerektiği

bilinmeli ve uygulanmalıdır.

BÖLÜM I I

KİŞİSEL VERİ GÜVENLİĞİ

2.2.  Kişisel Veri Güvenliğine İlişkin İdari Tedbirler

 

2.2.1. Mevcut Risk ve Tehditlerin Belirlenmesi

Risklerin önüne geçilebilmesi için zaman, kaynak ve uzmanlığın sağlanarak uygun teknik ve idari tedbirlerin alınması gerekir. Kişisel Verilerin Korunması Kanununa göre; kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde, aşağıdakiler dikkate alarak, belirlenmesi gereklidir:

  • Özel nitelikli kişisel veri olup olmadıkları,
  • Mahiyetleri gereği hangi derecede gizlilik seviyesi gerektirdikleri,
  • Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği

Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra risklerin azaltılması veya ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin uygulanabilirliğinin değerlendirilmesinde aşağıdaki kriterlerin uygulanması belirlenebilir:

  • Maliyet
  • Uygulanabilirlik
  • Yararlılık

Bu bakımdan Kurum’un, güvenliği sağlamak adına, veri sorumlularının kabiliyeti ve kişisel verilerin güvenliği arasında dengeli çözümler üretilmesini beklediği anlaşılmaktadır. (KVKK Risk Analizi, 2020)

2.2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Kişisel verilerin güvenliği açısından en çok beklenen önlemlerden biri çalışanların eğitimidir ve çalışanların eğitimine ilişkin aşağıdaki hususların uygulanmasını beklenir:

  • Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları
  • Çalışanlara yönelik farkındalık çalışmalarının yapılması
  • Güvenlik risklerinin belirlenebildiği bir ortam oluşturulması
  • Hangi konumda çalıştıklarına bakılmaksızın çalışanların kişisel veri güvenliğine ilişkin rol ve sorumluluklarının görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluklarının farkında olması
  • Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci oluşturulması
  • Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; ilgili yeni eğitimlerin yapılması
  • Kişisel veri güvenliğine ilişkin bilgilerin güncel tutulmasının sağlanması.

Ayrıca çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşması imzalamalarının istenmesini bir öneri olarak sunulmaktadır.

Son olarak, kişisel veri güvenliğine ilişkin kültür oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibinin değil “İzin Vermedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesi gerekir. (Zaim, 2020)

2.2.3. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

Kişisel veri güvenliğine ilişkin politika ve prosedürlerin belirlenmesinde aşağıdaki kriterlere uyulması gerekir:

  • Doğru ve tutarlı olması
  • Veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmesi
  • Veri sorumluların veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan emin olunması
  • Mevcut güvenlik önlemlerini inceleyerek yasal yükümlülüklere uyumlu hareket edildiğinden emin olunması.

Politika ve prosedürler kapsamında ise aşağıda belirtilen eylemlerin yapılması gerekir:

  • Düzenli kontrollerin yapılması
  • Yapılan kontrollerin belgelenmesi
  • Geliştirilmesi gereken hususların belirlenmesi
  • Gerekli güncellemeler yerine getirildikten sonra da düzenli kontrollerin devam etmesi
  • Her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceğinin açıkça belirlenmesi. (Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz, 2020)

2.2.4. Kişisel Verilerin Mümkün Olduğunca Azaltılması

Veri sorumluları uygulamalarında sıklıkla rastlanan veri arşivleme eyleminin daha kontrollü ve işleme gereklilikleri ile bağlantılı şekilde yapılması oldukça önemlidir. Kişisel Verileri Koruma Kanununa göre, kişisel verilerin gerektiğinde doğru ve güncel olması ve mevzuatta öngörülen veya işlendikleri amaç için gerekli oldukları süre için muhafaza edilmesi yükümlülüklerini hatırlatarak, aşağıdakileri önerilmektedir:

  • Veri sorumlularının, işleme amaçları bakımından uzun süreler zarfında toplamış oldukları yüklü verilere hala ihtiyaç duyup duymadıklarını değerlendirmeleri ve bu kişisel verilerin doğru yerde muhafaza edildiğinden emin olmaları
  • Veri sorumlularınca sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi
  • İhtiyaç duyulmayan kişisel verilerin kişisel veri saklama ve imha politikası çerçevesinde ilgili yönetmelik kapsamında imha edilmesi

2.2.5. Veri İşleyenler ile İlişkilerin Yönetimi

Bazı durumlarda kişisel verilerin işlenmesi, veri sorumlusu adına başka kişiler tarafından gerçekleştirilebilmektedir. Bu durumlarda Kanun’un kişisel veri güvenliği ile ilgili 12. maddesinin ikinci fıkrası işleyenler ile veri sorumluları kişisel veri güvenliğinden müştereken sorumludur.

Bu sebeple, veri sorumlularının, kendileri adına kişisel veri işleyenlerin, kişisel veriler konusunda, en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerektiğini vurgulamak gerekir ve veri sorumlularının veri işleyenle;

  • Veri işleyenin veri sorumlusunun talimatları doğrultusunda,
  • Sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve
  • Kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hükümler içeren,
  • Yazılı

bir sözleşme imzalamaları önerilmektedir.

Sözleşmede yer alması gereken hükümleri aşağıdaki şekilde sıralayabiliriz:

  • Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğü
  • Veri işleyenin, herhangi bir veri ihlali olması durumunda, bu durumu derhal veri sorumlusuna bildirme yükümlülüğü
  • Sözleşmenin niteliği elverdiği ölçüde, veri sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin ayrı bir maddede belirtilmesi
  • Veri sorumlusunun kişisel veri içeren sistem üzerinde gerekli denetimleri yapma veya yaptırma, denetim sonucunda ortaya çıkan raporları ve veri işleyeni yerinde inceleme hakkı (Kişisel Veri Güvenliği Rehberi Yayınlandı, 2020)

2.3.  Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler

2.3.1. Siber Güvenliğin Sağlanması

Kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürünü kullanımı ile tam güvenlik sağlanamayabileceğini belirterek, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen bir takım tedbirlerin uygulanması önerilmektedir.

Siber güvenliğin sağlanması için gerekli olan önlemler aşağıdadır:

  • Öncelikle güvenlik duvarı ve ağ geçidinin sağlanması
  • Hemen hemen her yazılımın ve donanımın kurulum ve yapılandırma işlemlerine tabi tutulması
  • Yama yönetimi ve yazılım güncellemelerinin yapılması
  • Yazılım ve donanımların düzgün bir şekilde çalışıp çalışmadığının ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli kontrolü
  • Çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisinin tanınması
  • Sistemlere kullanıcı adı ve şifre kullanmak suretiyle erişim sağlanması
  • Şifre ve parolalar oluşturulurken kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesinin sağlanması
  • Şifre girişi deneme sayısının sınırlandırılması
  • Düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması
  • Yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması
  • Veri sorumlusuyla ilişkileri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması
  • Bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması
  • Yukarıda belirtilen ürünlerin güncel tutulması ve gereken dosyaların düzenli olarak tarandığından emin olunması
  • Farklı İnternet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi.

Bunlara ek olarak, yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunduğunu vurgulayarak, kullanılmayan yazılım ve servislerin güncel tutulması yerine cihazlardan kaldırılması ve silinmesi önerilmektedir.

Ayrıca, veri sorumlularının erişim yetki ve kontrol matrisi oluşturmasını ve ayrı bir erişim politika ve prosedürleri oluşturularak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması da gerekli bir önlemdir.

2.3.2. Kişisel Veri Güvenliğinin Takibi

Kişisel verilerin bulunduğu sistemlere olan saldırıların uzun süre fark edilemediği ve müdahale için geç kalınabildiği durumlara işaret ederek, bu durumun önlenmesi için aşağıdaki eylemlerin alınması gerektiği belirtilir:

  • Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi
  • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi
  • Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (Log kaydının tutulması gibi)
  • Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması
  • Çalışanların sistem ve servislerindeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürünün oluşturulması
  • Raporlama sürecinde oluşturulacak raporların otomatik olması halinde, raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması
  • Güvenlik yazılımı mesajlarının, erişim kontrolü kayıtlarının ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi
  • Sistemlerden gelen uyarılar üzerine harekete geçilmesi
  • Bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması
  • Ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması
  • Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda delillerin toplanması ve güvenli bir şekilde saklanması

2.3.3. Kişisel Verileri İçeren Ortamların Güvenliğinin Sağlanması

Sadece elektronik ortamda değil fiziksel ortamda saklanan kişisel verilerin güvenliğinin sağlanmasına ilişkin de gereklilikler vardır.

Kişisel veriler fiziksel ortamlarda (veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında) saklanıyor ise;

  • Bu cihazların ve kağıtların çalınma veya kaybolma gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması
  • Kişisel verilerin yer aldığı fiziksel ortamların yangın ve sel gibi dış risklere karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması

Kişisel veriler elektronik ortamda saklanıyor ise;

  • Kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişimin sınırlandırılmasının veya bileşenlerin ayrılmasının sağlanması

Yukarıda belirtilenlerle aynı seviyedeki önlemlerin veri sorumlusu yerleşkesi dışında yer alan ve veri sorumlusuna ait kişisel veri içeren kâğıt ortamları, elektronik ortam ve cihazlar için de alınması gerektiği belirtilebilir.

Bunlara ek olarak;

  • Kâğıt ortamındaki evrak, sunucu, yedekleme cihazları, CD, DVD ve USB gibi cihazlarının ek güvenlik önlemlerinin olduğu başka bir odaya alınması
  • Kişisel veri içeren kâğıt ortamındaki evrakın kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanması ve bu evraka yetkisiz erişimin önlenmesi
  • Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağladığı durumlar için yeterli güvenlik tedbirlerinin alınması.
  • Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması
  • Elektronik posta ya da posta ile aktarılacak kişisel verilerin dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi
  • Şifre anahtarının sadece yetkili kişilerin erişebileceği ortamda saklanması ve yetkisiz erişimin önlenmesi
  • Hangi şifreleme yöntemleri kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunması amacıyla uluslararası kabul gören şifreleme programlarının kullanılması
  • Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde anahtar yönetimi süreçlerine özen gösterilmesi (Keleş, 2020)

2.3.4. Kişisel Verilerin Bulutta Depolanması

Veri sorumluları tarafından en merak edilen konulardan biri olan bulut sistemlerinde güvenliğin sağlanması için neler yapılabileceği ile ilgili de gerekliliklerdir:

  • Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi
  • Bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi
  • İlgili kişisel verilerin yedeklenmesi
  • İlgili kişisel verilerin senkronizasyonunun sağlanması
  • İlgili kişisel verilere gerektiği hallerde uzaktan erişilebilmesi için iki kademeli kimlik doğrulama kontrolünün uygulanması.

Bunlara ek olarak, Kurum’un, daha önce Silme, Yok Etme ve Anonim Hale Getirme Rehberi’nde de bahsettiği gibi, bulut sistemlerinde yer alan kişisel verilerin gerektiğinde imhasının sağlanabilmesi için bu kişisel verilerin depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarlarının kullanılması gerekir. Böylece hizmet ilişkisi sona erdiğinde, şifreleme anahtarlarının tamamı yok edilerek bulut sistemlerinde yer alan kişisel verilerin imhası sağlanabilecektir. (Bulut Nedir? KVKK Kapsamında Bulutun Yeri Nedir?, 2020)

2.3.5. Bilgi Teknoloji Sistemleri Tedariği, Geliştirme ve Bakımı

Veri sorumlusunun, kişisel verilerin işlenmesi ile ilgili sistemlerin tedarik edilmesi, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi gibi eylemler gerçekleştirilirken alınması gereken güvenlik önlemleri şu şekildedir:

  • Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontrollerin yapılması
  • Doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığının kontrol edilebilmesi için uygulamalara kontrol mekanizmalarının yerleştirilmesi
  • Uygulamaların, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanması
  • Bakım veya teknik destek için üçüncü kişilere gönderilen cihazların, gönderilmeden önce, veri saklama ortamlarının sökülerek saklanması veya sadece arızalı parçaların gönderilmesi
  • Bakım ve onarım için dışarıdan personelin geldiği durumlarda, personelin kişisel verileri kopyalayarak kurumun dışına çıkartmasını engellemek için gerekli önlemlerin alınması

2.3.6. Bilgi Teknolojilerinin Yedeklenmesi

Sadece kişisel verilerin haksız işlenmesinin, çalınmasının ve sızıntısının engellenmesi ve uygun zamanda imhasına ilişkin önlemlerden bahsetmek yetmez, aynı zamanda kişisel verilerin zarar görmesi, yok olması ve kaybolması gibi durumların da önlenmesinin gerekliliğini belirtmek gerekir. Yedekleme ile ilgili öneriler ve yönlendirmeler şu şekilde sıralanabilir:

  • Kişisel verilerin yedeklenmesine ilişkin stratejilerin geliştirilmesi
  • Yedeklenen kişisel verilere sadece sistem yöneticisi tarafından erişilebilmesi
  • Veri seti yedeklerinin ağ dışında tutulması
  • Tüm yedeklerin fiziksel güvenliğinin sağlandığından emin olunması (Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz, 2020)

2.4. Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler

Öncelikle alınması gereken teknik ve idari tedbirleri genel başlıklar halinde sıralanabilir. Kurul’un buna ilişkin belirttiği özet tedbirler aşağıdadır:

Teknik Tedbirler

  • Yetki Matrisi
  • Yetki Kontrol
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği
  • Uygulama Güvenliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri
  • Log Kayıtları
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme
  • Güvenlik Duvarları
  • Güncel Anti-Virüs Sistemleri
  • Silme, Yok Etme veya Anonim Hale Getirme
  • Anahtar Yönetimi

İdari Tedbirler

  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanun’a Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim (Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz, 2020)

2.5. Sonuçlar ve Değerlendirmeler

Kurum’un ve Kurum’a bağlı olan Kişisel Verileri Koruma Kurulu’nun Kanun’un kişisel veri güvenliğine ilişkin 12. maddesi çerçevesindeki yükümlülüklere uyumu denetlerken göz önüne alacağı kriterlerdir.

Kanun’da veri güvenliğine ilişkin yükümlülüklerin ihlali halinde yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilebileceği unutulmamalıdır.

Bu bağlamda veri sorumluları, bilgi güvenliğinden sorumlu çalışanları veya teknik uzmanlar ve hukukçuları yardımıyla yukarıda belirtilen unsurları sağlamak adına harekete geçmelidir.

Buna ek olarak, kendileri adına veri işleyenlerle imzalanacak sözleşmelerin hazırlanması, çalışanlarının eğitilmesi ve tüm çalışanlarının uyması gereken güvenlik önlemlerinin belirlenmesi, bunlara ilişkin taahhütlerin hazırlanması, denetim şartlarının belirlenmesi gibi kişisel veri güvenliğine ilişkin idari tedbirlerin de uygulanmasına mümkün olduğunca hızlı bir şekilde başlanmasını öneriyorum. Hali hazırda veri envanterlerini hazırlamış ve politikalarına dair ön çalışmalarını yapmış olan veri sorumlularının, var olan politika ve uygulamalarını yukarıda anlatılanlar çerçevesinde yeniden gözden geçirmesi yararlı olacaktır. (Kişisel Veri Güvenliği Rehberi Yayınlandı, 2020)

 

 

KAYNAKÇA

Arce, I. (2003). The weakest link revisited. IEEE Security & Privacy Magazine, 72-74.

Barrettt, N. (2003). “Penetration testing and social.

British Standards Institute. (2005). Code of Practice for Information Security Management. Bristol: Security Techniques.

BSI. (2007, Temmuz 6). http://www.bsiglobal.com/en/Shop/PublicationDetail/?pid=0000 adresinden alındı

BSI Eurasia. (2008, Ocak 24). http://www.bsiturkey.com/BilgiGuvenligi/ISMStescil/BSItescily adresinden alındı

BSI Eurasia. (2020, Haziran 12). BSI Eurasia: http://www.bsiturkey.com/BilgiGuvenligi/Genelbakis/BS7799nedir.xalter adresinden alındı

BSI Eurasia. (2020, Haziran 12). http://www.bsiturkey.com/BilgiGuvenligi/ISMStescil/index.xalt adresinden alındı

Chang, L. T., Siew-Mun, K., & Foo. (2001). Information Security Management Systems and Standards. Synthesis Journal.

Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz. (2020, Haziran 12). https://titck.gov.tr/storage/Archive/2019/contentFile/4a4c741b-cb54-4f1b-b504-44783cdfdfbc_44c02489-6763-49c8-a480-2072e0bd8868.pdf adresinden alındı

Germain, M. R. (2005). Information Security. The Information Management, 61-62.

International Organization for. (2020, Haziran 12). http://www.iso.org/iso/en/stdsdevelopment/tc/tcli adresinden alındı

ISO . (2007, Eylül 9). http://www.iso27001security.com/html/iso17799. adresinden alındı

ISO 27001 Security. (2020, Haziran 12). http://www.iso27001security.com/html/iso27003. adresinden alındı

Kalman, S. (2003). Web Security Field Guide. Indianapolis.

Keleş, G. (2020, Haziran 12). Kişisel Verilerin Korunması İçin Teknik Tedbirler. Ocak 17, 2019 tarihinde Detay Danışmanlık. adresinden alındı

Kişisel Veri Güvenliği Rehberi Yayınlandı. (2020, Haziran 12). özbek avukatlık: https://www.ozbek.av.tr/kvk-blog/kisisel-veri-guvenligi-rehberi-yayinlandi/ adresinden alındı

KVKK Risk Analizi. (2020, Haziran 12). kvkkbilisim: https://kvkkbilisim.com/index.php/kvkk-risk-analizi/ adresinden alındı

Osborne, M. (2006). How to Cheat at Managing Information Security. Rockland: Syngress Publishing Inc.

OWASP. (2020, Haziran 12). OWASP: http://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project adresinden alındı

Türk Standardları Enstitüsü. (2006, Mart 13). Bilgi Teknolojisi–Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri-Gereksinimler. Ankara.

Türkiye Bilişim Derneği. (2005). E-Devlet Uygulamalarında Güvenlik ve Güvenilirlik Yaklaşımları 4. Çalışma Grubu Sonuç Raporu. Ankara.

Vural, Y. (2007). Kurumsal Bilgi Güvenliği ve Sızma Testleri. Gazi Üniversitesi.

Web Application Security Consortium. (2020, Haziran 12). http://www.webappsec.org/aboutus.shtml adresinden alındı

Wikipedia. (2007, 08 07). http://en.wikipedia.org/wiki/ISO_27001 adresinden alındı

Wikipedia. (2007, 07 08). http://en.wikipedia.org/wiki/BS_7799 adresinden alındı

Zaim, Ü. Ü. (2020, Haziran 12). Kişisel Verilerin Korunmması Bilgi Güvenliği Eğitimi . eralpdanismanlik: https://www.eralpdanismanlik.com.tr/events/kvkk-kisisel-verilerin-korunmasi-bilgi-guvenligi-egitimi/ adresinden alındı

Photo by Markus Spiske on Unsplash

 

 


This work is licensed under a Creative Commons Attribution 4.0 International License.

 

 

 

Kategoriler
Bilişim Etiği

Bilişim suçları

İçindekiler

  • Özet
  • Bilişim nedir?
  • Bilişim suçu nedir?
  • Bilişim suçları yasal olarak nelerdir?
  • Kişisel verilerin korunması hakkındaki kanunlar nelerdir?
  • Dijital ortamlarda kendimizi nasıl koruruz?
    • Temel güvenlik önlemleri
    • Diğer güvenlik önlemleri
  • Sonuç
  • Kaynakça

 

Özet 

Bilişim/bilişim suçları nelerdir ve kendimizi nasıl koruruz. Bu yazıdan bunlardan ve yasalardan bahsettik.

 

Bilişim alanında işlenen suçlar; bilişim sistemlerine karşı işlenen suçlar “Hedef Bilişim Sistemi“ ve bilişim sistemleri ile işlenen suçlar “Araç Bilişim Sistemi“ olarak iki gruba ayrılabilir. İlk durumda, bilişim sistemlerinde bulunan bilgilerin karakteristiği yani; gizliliği, bütünlüğü ya da erişilebilirliği hedef olmaktadır. Bilişim sistemi tarafından sağlanan hizmetler, depolanan, alınan ve gönderilen veriler ya da donanım olarak ifade edilen kurban bilgisayarlar zarar görmektedir. Servis Dışı bırakma (Denial of Service- DoS veya bilinen kısaltması ile DDOS) saldırıları bu gruba örnek verilebilir. İkinci durumda yer alan suçlar ise; siber terörizm, çocuk pornografisi, nitelikli dolandırıcılık, fikri mülkiyet hakları ihlalleri ve yasadışı maddelerin çevrimiçi satışı gibi suçlardır. Bilişim suçlarının grupları değerlendirildiğinde; “Bilişim Alanında İşlenen Suçlar” kapsamına giren suçlar birinci gruptaki suçlardır. Bilişim terimi, “bilmek” eyleminden ad olarak türetilmiştir [1]. Diğer bir tanımda; bilişim insanların teknik, ekonomik, sosyal, kültürel, hukuksal veya benzeri alanlarda sahip oldukları verinin saklanması, saklanan bu verinin elektronik olarak işlenmesi, organize edilmesi, değerlendirilmesi ve yüksek hızlı veri, ses veya görüntü taşıyan iletişim araçları ile aktarılması olarak ifade edilmiştir [2]. Bilişim suçu ise; bilgileri otomatik olarak işleme kabiliyetine sahip bir sisteme (bilgisayar, tablet, cep telefonu, vb.) kanun ve ahlak dışı yani izinsiz olarak girilmesidir [3,4].

Bilişim suçları; TCK 5273’ün 10. Maddesinde yer alan “Bilişim Alanında İşlenen Suçlar” başlığının 243, 244 ve 245’inci maddelerinde ele alınmaktadır.

Madde 243: Bilişim Sistemine Girme (Article 243: Accessing a Data Processing System) Bilişim alanında suçlar kapsamında TCK’da ilk olarak, 243’üncü madde olan “bilişim sistemine girme” suçu düzenlenmiştir. Bu madde Avrupa Birliği’ne uyum süreci kapsamında değerlendirilebilir; çünkü Avrupa Konseyi Siber Suç Sözleşmesinin ikinci maddesindeki “yasadışı erişim” düzenlemesiyle paralellik taşımaktadır [5]. Kanun maddesi üç fıkradan oluşmaktadır.

  • TCK 243/1; “Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.” Maddenin ilk fıkrası değerlendirildiğinde; öncelikle sisteme “girme” yerine “erişim” ifadesinin kullanılması daha uygun olacaktır. Çünkü suçun konusu eylem sanal bir ortamda gerçekleştirilmektedir. İkinci olarak, kanun maddesine göre hukuka aykırı olarak bir bilişim sistemine girilmiş olması, bu suçun oluşması için yeterli değildir. Sisteme girdikten sonra belirli bir süre sistemde kalması şart koşulmuştur. Aksi takdirde, bilişim sistemine hukuka aykırı olarak giren kişi, hedef sistemde belirli bir süre kalamazsa sadece teşebbüs söz konusu olacaktır. Bilişim sistemine girme suçuna ilişkin kanun tasarısı ilk kez 1997 yılında Bakanlar Kurulu tarafından TBMM’ye sunulduğunda, tasarı “bilişim sistemine hukuka aykırı olarak girilmesi veya orada kalınması” şeklindeyken; TBMM Adalet Alt Komisyonu’nda verilen önergede “bilişim sistemine hukuka aykırı olarak girilmesi ve orada kalınması” haline getirilmiştir. Diğer bir ifadeyle suç seçimlik hareketliyken, bağlı hareketli hale gelmiştir [6]. Ancak kanun maddesinde sadece izinsiz girişin suçun oluşumu için yeterli sayılması gerekmektedir. Bunun en büyük sebebi ise korunan hukuki değer olan kişilerin özel hayatına ihlal sadece sisteme giriş ile gerçekleşebilmektedir. Aksi durumda, bilişim suçluları, yüksek maliyet getiren değişiklik ve tahribata yol açan durumlara teşvik edilebilecektir. Çünkü izinsiz erişimler, gizli verilerin ve sırların elde edilmesine ve/veya sistemin ücretsiz kullanılmasına yol açabilmektedir. Üçüncü olarak da, söz konusu kanun fıkrasında sistemde kalma süresi için bir açıklık getirilmemiştir. Bu nedenle sürenin yeterliliği konusunda son karar bağımsız mahkemelere, daha doğrusu savcı ve hâkimlerin bakış açısına bağlıdır. Diğer bir ifadeyle, bu noktadaki önemli husus hukuk alanında çalışanların bilişim alanındaki bilgileri ve yeterlilikleridir. Çünkü bu madde için, bilişim alanında uzman birisi için milisaniyeler yeterli olabilecekken, acemi veya bilgisi yetersiz diğer saldırgan için sistemde günlerce kalması istediği amaca ulaşması için yeterli olmayabilecektir. Bu nedenle, faillerin bu kapsamda bilgileri bakımından değerlendirilebilmesi son derece önem kazanmaktadır.
  • TCK Madde 243/2; “243/1’deki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir.” hükmü yer almaktadır. Bu fıkra; özel kişilere ait bir bilişim sistemine girmek ve orada kalmak halinde ihlal edilen hukuki yararın, bedeli karşılığında yararlanılan sistemlere girmek ve orada kalmak suretiyle ihlal edilen hukuki yarardan daha fazla korunmaya değer olduğu düşüncesine dayanmaktadır. İnternet üzerinden abonelik veya üyelik yöntemiyle ücreti karşılığı film, oyun, müzik, gazete ve yazılım gibi hizmetleri sunan sistemlere izinsiz şekilde girilmesi ve belirli bir süre kalınması bu fıkraya örnek olarak verilebilir. Ancak, burada göz ardı edilen husus ise, bu kapsamda yer alan ticari kurum ve kuruluşların hak ve özgürlüklerinin korunmasının da kanunen güvence altına alınmasıdır. Bu fıkra ile güvenceye aykırılık oluşmaktadır ve failleri söz konusu sistemlere karşı suç işlemeye teşvik etmektedir. Bu konuda, indirimin kaldırılmasının yanı sıra, TCK’nın 137’nci maddesinde olduğu gibi “Nitelikli Haller” düzenlenerek, kamu kurumları ve bankalar gibi özellik arz eden sistemlere yetkisiz erişimin dikkate alınması gerekmektedir.
  • TCK Madde 243/3; “ Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.“ maddesi yer almaktadır. Hükmün üçüncü fıkrasında daha ağır cezayı gerektiren nitelikli haller düzenlenmiştir. Bilişim sistemine yetkisiz erişim kastıyla girilmesi sonucunda sistemde bulunan verilerin değiştirilmesi, tahribi veya yok edilmesi halinde, cezanın ağırlaştırılmasını gerektirmektedir. Bu fıkrada dikkat edilmesi gereken temel nokta failin kastıdır. Çünkü fail doğrudan sistemde bulunan verileri değiştirmek, tahrip etmek veya yok etmek amacıyla sisteme erişim sağladıysa, failin kastı 243’üncü maddenin üçüncü fıkrasını değil doğrudan TCK’nın 244’üncü maddesinde yer alan “sistemi engelleme, bozma, verileri yok etme veya değiştirme” suçunu oluşturacaktır. Kanun maddesinde değerlendirilmesi gereken bir diğer husus ise suçun manevi unsurudur. Bilişim Sistemine Girme suçunun manevi unsurunun oluşması için, failin bilerek ve isteyerek suç işleme kastı gereklidir. Bunun içinde, failin suç oluşturan eylemle ilgili yasal tanımlamaları bilmiş olması gereklidir [7]. Dolayısıyla bu konuda faili suçlayabilmek için, failin yaptığı eylemin suç olduğunu bildiğine dair kanıt gerekmektedir. Bu ise suçun mağdurları açısından oldukça adaletsiz bir tutumdur. Bu şart sadece korunan sistemler için aranmamaktadır. Örneğin kullanıcı adı ve parola girilmesi mecburi olan bir sisteme yetkisiz girilmesi durumunda suçun manevi unsuru kendiliğinden oluşmuş sayılmaktadır. Bu durum da; kanunlar tarafından korunmak için sistemlerin güvenlik önlemlerinin alınması gerektiğini göstermektedir. İstisna olarak da, sisteme giriş yetkisi olan bir kullanıcı faile giriş için yetki vermiş veya kendi kullanıcı adı ve parolasını söylediyse bu eylem artık hukuka aykırı olarak kabul edilmemektedir [8].

Madde 244: Bilişim Sistemini Bozma, Engelleme ve Verilerin Değiştirilmesi veya Yok Edilmesi (Article 244: Preventing the Functioning of a System and Deletion, Alteration or Corrupting of Data) TCK 244’üncü madde aşağıda belirtilen fıkralardan oluşmaktadır.

  • Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
  • Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.
  • Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.
  • İlk üç fıkrada tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması hâlinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.

Madde 244 incelendiğinde; Madde 243’ün devamı niteliğinde olduğu görülmektedir. Bilişim sistemine giren ve kalmaya devam eden failin sistemi engellemeye ve bozmaya, bilişim sistemi içerisinde bulunan verileri yok etmeye veya başka verilerle değiştirmeye yönelik işlemler bu madde kapsamında değerlendirilmektedir. Söz konusu kanundan önce doğrudan bilgisayar sistemlerinin işleyişi ile sistemde bulunan verilerin değiştirilmesine, tahribine veya yok edilmesine yönelik eylemler, suç olarak kabul görmediğinden cezalandırılmalarına imkân yoktu [9]. Bu nedenle 244’üncü maddenin bu alanda önemli bir adım olduğu görülmektedir. Kanun maddesinin fıkraları ele alındığında; ilk fıkrada, sistemin işleyişini bozma veya engelleme ile sistem üzerinde işlenen verilere zarar verme veya değiştirme suçu ayrı ayrı değerlendirilmiş ve yukarıda belirtilen cezalar belirlenmiştir.

Bu maddeler, siber suçlarla mücadele kapsamında oldukça önemlidir. Çünkü siber saldırılar sonucunda faillere uygulanacak yaptırımlar bu maddeler ile tespit edilmektedir. Üçüncü fıkra ise, 243’üncü maddede de bulunması gereken önemli bir tespittir. 243’üncü maddenin ikinci fıkrasının değerlendirilmesi kısmında da belirtildiği üzere, kanun maddelerinde belirtilen yaptırımlar caydırıcılık taşımalıdır. Özellikle toplumun huzur ve güvenliği için ortak korunan değerlerde, söz konusu yaptırım oranının daha fazla olması gerekmektedir. Üçüncü fıkra, bu kapsamda gerçekleştirilmiş bir yaptırımdır. Ancak bu konuda ki temel problem, yarı oranda artırılacak cezanın da yeterince caydırıcılık özelliğini taşımamasıdır. Çünkü bir banka soygunu neticesinde çalınan “A” miktar para ile İnternet ortamında kullanıcıların hesaplarına erişerek ele geçirilen “A” miktar paranın cezai müeyyidesinin oldukça farklı olması adalet kavramı ile çelişmektedir. Bu fark da suçluları sanal ortama yöneltmektedir. Son fıkra da ise, birinci ve ikinci fıkrada ifade edilen hususlar neticesinde, failin kendisi ya da başka birisine çıkar sağlaması müeyyideye bağlanmıştır. Bu fıkraya örnek olarak, bir öğrencinin bilgi sisteme erişerek notunu değiştirmesi ya da ticari bir firmanın rakibi olan firmanın işleyişini engellemesi verilebilir. Bilişim alanında işlenen suçlar başlığının son maddesi olan 245’inci madde olan “banka ve kredi kartlarının kötüye kullanılması” ise 243 ve 244’üncü maddeden farklılık göstermektedir. Çünkü 243 ve 244’üncü maddeler doğrudan bilişim sistemine yönelik saldırıları içerirken, 245’inci madde kapsamında düzenlenen fiiller ise gerçek veya sahte kartlarla yarar sağlamayı cezalandırmaktadır. Bu nedenle çalışma da 245’inci madde incelenmemiştir.

Ayrıca bazı kanun ve yönetmeliklerde parça parça hükümler bulunmasına rağmen daha ayrıntılı ve sadece kişisel verilerin korunmasını düzenleyen bir kanun bulunmamaktadır. Uluslararası alanda bu konuda kanunu bulunmayan çok az ülke bulunmaktadır. Bu yüzden kişisel hak, hürriyet ve özel hayatın korunduğu, ilgili kurum ve kuruluşların açık ve net bir şekilde görev ve sorumlulukların belirlendiği, bu alanla ilgili tüm hususları kapsayıcı ana bir kanunun çıkarılması elzemdir. Kişisel veri; bilinen veya kimliği tespit edilebilir gerçek ve tüzel kişilere ilişkin tüm bilgilerdir [10]. Veri, her türlü bilgiyi kapsarken; kişisel veriler sadece bireylerin kimliklerine doğrudan veya dolaylı olarak ulaşılmasına olanak veren bilgilerdir [11]. Kişisel verilerin ihlali ise, kişinin özgür iradesiyle verdiği kabul beyanı dışında, yetkisi olmadığı halde ya da hukuka aykırı olarak kişisel verilerin zarara uğramasına, kaybolmasına, iletilmesine, değiştirilmesine, herhangi bir yere depolanmasına, kaydedilmesine, işlenmesine, açığa çıkarılmasına ve ilgili verilere erişilmesine neden olan durumlara güvenlik ihlali denir. Bu ihlallere karşı ülkemizde kişisel verilerin korunması ve suçluların cezalandırılması için pek çok kanunda çeşitli hükümler bulunmaktadır [12]. Özellikle Anayasanın 20. Maddesinde, “Herkes özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” hükmü ile kişilerin mahrem hayatları güvence altına alınmıştır. Fakat yine de kişisel verilerin korunması yönünde tüm kanunları kapsayan ayrı bir kanun yapılması gerektiği diğer Avrupa ülkeleriyle kıyaslandığında ortaya çıkmaktadır. Şekil 1’de görüldüğü üzere Avrupa Konseyi ülkeleri arasında Türkiye ulusal mevzuatı olmayan iki ülkeden biridir.

Şekil 1: Avrupa Konseyine Üye Ülkelerinin Ulusal Mevzuatlarını Yürürlüğe Koydukları Tarihler [13]

Ulusal mevzuat detaylı olarak incelendiğinde; kişisel verilerin korunması yönünde çeşitli hükümler bulunan kanunlar şunlardır:

  • T.C. Anayasası- Md. 20-25
  • Türk Ceza Kanunu (TCK)- Md. 132 -140
  • Ceza Muhakemesi Kanunu (CMK)- Md. 75, 80, 134- 138, 140
  • Elektronik Haberleşme Kanunu Md. 51, 52
  • Elektronik İmza Kanunu Md. 12
  • Bankacılık Kanunu
  • Banka Kartları Ve Kredi Kartları Kanunu Md.23
  • Türk Medeni Kanunu Md. 23-25
  • Bilgi Edinme Kanunu Md. 19-22
  • Fikir ve Sanat Eserleri Kanunu 19, 83-86
  • İş Kanunu Md. 75
  • İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  • Adli Sicil Kanunu Md. 11
  • Türk Medeni Kanunu Md. 23, 24, 25
  • Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği
  • Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik.

 

Dijital ortamda kendimizi nasıl koruruz?

Suçlar nedir kanunlar nedir inceledik şimdi ise gelelim kendimizi korumaya. Kendimizi nasıl mı koruruz? Kendimizi korumamız için yapmamız gereken bazı şeyler var.

Temel Bilgi Güvenlik Öğeleri (Cengizhan,2019)

  1. Gizlilik: Bilginin yetkisiz kişilerin eline geçmemesidir.
  2. Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.
  3. Erişilebilirlik: Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır.

1.Gizlilik (Confidentiality)

 Bilgi gizliliğinin gözetilmesi, sadece yetkili kişiler tarafından erişilmesi ve yetkisiz kişilerin erişiminin engellenmesidir.

Örneğin:

  • Kurum muhasebe kayıtlarının saklandığı USB belleğin kaybolması.
  • Kurumsal kullanıcı adı ve parolanın bir saldırganın eline geçmesidir

2.Bütünlük (Integrity)

Bilginin bütünlüğü;

 İçeriğinin doğru, güncel, geçerli ve yetkisiz kişiler tarafından değiştirilmediği anlamına gelmektedir.

Örneğin:

  • Web sayfasının içeriği saldırgan tarafından değiştirilmesi,
  • Gönderilen bir e-postanın içeriğinin değiştirilmesi,

3.Erişilebilirlik – Kullanılabilirlik – Geçerlilik (Availability)

Bilginin erişilebilirliği;

  • Bilginin olması gereken yerde ve gerektiğinde kullanıma hazır olduğunun güvence altında tutulmasıdır.

Örneğin:

  • Bir web sayfasına erişim engellenmesi,
  • Bir e-posta servisine her durumda erişilebilir olması,
  • Kullanıcı ihtiyaç duyduğunda bilgi yönetim sisteminin çalışmaması,

 Bilgi Güvenliği Temel Öğeleri dışında;

  • Güvenilirlik,
  • İnkâr edememe,
  • Kimlik doğrulaması,
  • Yetkilendirme ve
  • İzlenebilirlik gibi diğer yardımcı nitelikler ile birlikte desteklenmelidir.

Sonuç 

Bilişim suçları bilişim sistemleri hedef olarak ve araç olarak kullanılarak iki şekilde olmaktadır. Ve bunlar yasal olarak onaylanmasa da kendimizi korumamız için temel güvenlik önlemlerini uygulamalıyız.

 

 

 

KAYNAKÇA

YILMAZ, E , GÖNEN, S , ULUS, H . (2016). Bilişim Alanında İşlenen Suçlar Üzerine Bir İnceleme. Bilişim Teknolojileri Dergisi , 9 (3) , 229-0 . DOI: 10.17671/btd.90710

“Dijital ortamda kendimizi nasıl koruruz?” Adlı içerik Cahit CENGİZHAN’ın ders sunumlarından alıntıdır.

[1] A. Köksal, “Adı Bilgisayar Olsun”, Cumhuriyet Kitapları, Bilişim Yazıları, Ankara, 2010, (44).

[2] M. E. Artuk, A. Gökçen, A. C. Yenidünya, Türk Ceza Kanunu Şerhi, 5. Cilt, Turhan Kitapevi, Ankara, 2009, s. 4643.

[3] K. Doğan, “Bilişim Suçları ve Yeni Türk Ceza Kanunu”, Hukuk ve Adalet, (294), 2005.

[4] Y. Yazıcıoğlu, Bilgisayar Suçları, Alfa Yayınları, İstanbul, 1997.

[5] Y. Yazıcıoğlu, “ Bilişim Suçları Konusunda 2001 Türk Ceza Kanunu Tasarısının Değerlendirilmesi“, Hukuk ve Adalet: Eleştirel Hukuk Dergisi, İstanbul, 2004, s.177.

[6] ESEN Sinan, Malvarlığına Karşı Suçlar Belgelerde Sahtecilik ve Bilişim Alanında Suçlar, Adalet Yayınevi, Ankara 2007, (s. 628).

[7] H. Karakehya, “Türk Ceza Kanunu’nda Bilişim Sistemine Girme Suçu”, TBMM Dergisi, 2009, sayı 81, s.1-24.

[8] Y. Erdoğan, “ Bilişim Sistemine Girme ve Kalma Suçu “, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi, 2012, Cilt: 12, s. 363-1433.

[9] Y. Yazıcıoğlu, Bilgisayar Suçları, Alfa Yayınları, İstanbul 1997, s.20.

[10] Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi Ve Gizliliğinin Korunması Hakkında Yönetmelik, http://www.mevzuat.basbakanlik.gov.tr, 2013, Erişim Tarihi: 20.06.2015.

[11] Ç.Z. Ünsal, “Google’ın Yeni Gizlilik Politikası Google Inc. Tarafından 1 Mart 2012 Tarihinde Yayımlanan Politikasının Kişisel Verilerin Korunması İlkeleri İle Uyumluluğu Ve Avrupa Birliği’nin 95/46/Ec Sayılı Veri Koruma Direktifi Açısından Değerlendirilmesi”, Araştırma, Hacettepe Hukuk Fakültesi Dergisi, 2013, 3(1).

[12] A. Özdemir, E. Akçaoğlu, “Ceza Hukuku Alanında Kişisel Verilerin Korunması”, Hacettepe Üniversitesi Sosyal Bilimler Enstitüsü, 2014.

 [13] Kalkınma Bakanlığı Bilgi Toplumu Dairesi, “Bilgi Güvenliği, Kişisel Bilgilerin Korunması ve Güvenli Internet Ekseni Mevcut Durum Raporu”, Bilgi Toplumu Stratejisinin Yenilenmesi Projesi, 2013.

Photo by Sedat SOLAK with photo creator applications


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

 

Kategoriler
Bilişim Etiği

Kişisel Veri Güvenliği Yönetimi

İçindekiler

  • Giriş
  • Kişisel Veri Güvenliğinin Önemi
  • Saklanan Bilginin Dönüşüm Evreleri ve Etkili Bilgi Güvenliği İçin Gerekli Unsurlar
  • Bilgi Güvenliği
  • Bilgi Güvenliği Kapsamında Neyi Korumalıyız?
  • Kişisel Verilerin Korunması Neden Önemlidir ve Bu Konudaki Temel Sorunlar
  • Kişisel Verilerin Korunması İçin Neler Yapılmalıdır?
  • Sonuç
  • Kaynakça

Giriş

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir.

Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, öz geçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir(Türkiye Büyük Millet Meclisi, S. Sayısı: 117).

Kişisel Veri Güvenliğinin Önemi

  • Bilginin nasıl elde edildiği, kim tarafından ve hangi amaçla işlendiği, bu verilerin sahibinin ve güvenlik sorumlusunun kim olduğu, verilerin nerede ve nasıl saklandığı, süresi dolan verilerin kim tarafından ve nasıl imha edildiği gibi birçok sorunun cevabının açık olarak verilebiliyor olması, günümüzde bilgi güvenliğinin etkinliği açısından önem taşımaktadır. Bu süreçte yer alan tüm unsurların hukuksal sorumluluklarını ve belirlenen bilgi güvenliği politikası kapsamındaki yükümlülüklerini yerine getirmeleri halinde güvenlik zincirinin tüm halkaları aynı direnci gösterebilmektedir. Ancak kişisel veriler gibi önceden sınıflandırılmış ve daha üst seviyede korunacak bilgi varlıkları için, belirlenecek bilgi güvenliği politikalarında, uygulama yöntemlerine (kriptolama, sanallaştırma, anonimleştirme gibi) ve kişi haklarına ilişkin bilgilere de yer verilmesi önemlidir. Farklı güvenlik önlemlerini almakla yükümlü kişilerin sorumlulukları paylaşmaları ve aynı zamanda bir sistem yaklaşımı içerisinde birbirleri ile koordineli olarak bu sorumlulukları yerine getirmeleri sağlanmalıdır (Henkoğlu, 2017, S48).

Saklanan Bilginin Dönüşüm Evreleri ve Etkili Bilgi Güvenliği İçin Gerekli Unsurlar

  • Bilgi güvenliğinde etkinliğin arttırılabilmesi için, bilgi yönetim süreçlerinin gözden geçirilmesi ve bu konudaki eksikliklerin giderilmesi önem taşımaktadır. Bu kapsamda bilgi güvenliğine yönelik olarak izlenmesi gereken aşamalar şunlardır (ISF, 2016):
    • Öncelikle korunması istenen kritik bilgi varlıklarının tanımlanması gerekmektedir.
    • Bu varlıklara karşı olabilecek tehditler değerlendirilmeli ve bu tehditler liste haline getirilmelidir.
    • Bilgi varlıklarının korunması için en uygun metot belirlenmelidir.
    • Kapsamlı ve “tutarlı” koruma sağlayacak yaklaşımlar belirlenerek uygulanmalıdır.

Bilgi Güvenliği

  • Kurum içinde işlenen kişisel verilerin korunması kontrolünün sağlanması için veri sorumlusu1 ile birlikte bilgi güvenliği yetkilisinin de belirgin olması önem taşımaktadır. Ancak KVKK’da sadece veri sorumlusu tanımlanmış olup, bilgi güvenliği yetkilisinin ikincil mevzuatta düzenlenmesi öngörülmüştür. Bu nedenle bilgi güvenliği yetkilisi bazı örnekler de olduğu gibi (Sağlık Bakanlığı, 2016) ilgili yönetmeliklerle ya da bilgi güvenliği politikaları içinde tanımlanarak sorumluluk paylaşımı daha belirgin hale getirilmelidir. Böylece hiyerarşik yapı içinde sorumluluk alması gereken idari yöneticilerin de sorumluluğunun açıklanması sağlanabilecektir.

Bilgi Güvenliği Kapsamında Neyi Korumalıyız?

  • Bilgi güvenliğinin sağlanması konusunda korunacak bilgi varlıklarının seçilmesi, sınıflandırılması ve uygun güvenlik önlemlerinin belirlenmesi işlemleri en önemli hususlardan biri olmasına karşın, bu konunun çoğu zaman dikkate alınmadığı görülmektedir (Henkoğlu, 2015, S134-148).
  • Bilgi yönetiminin de temel iş süreçleri arasında yer alan bu faaliyetlerdeki eksiklikler, güvenlik zincirinin zayıf halkasını oluşturmaktadır. Çünkü bir bilginin gizliliğinin korunması ile kişisel hakların korunması farklı kavramlar olduğu gibi, farklı güvenlik önlemlerinin doğru ve zamanında uygulanması da ayrıca önem taşımaktadır.
  • Çoğunlukla bilgi işlem merkezinin sorumluluğunda bulunan merkezi veri depolama ortamlarının korunmasına yönelik stratejiler, teknik önlemlerin ön planda olduğu, bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin dikkate alındığı önlemleri içermektedir. Oysa merkezi veri depolama ortamlarında bulunmakla birlikte sorumluluk paylaşımının yapılmadığı kişisel verilerin korunmasına ilişkin önlemler, hukuksal ve idari süreçleri de içine alan ve bilgi erişim hakları ile daha karmaşık hale gelmiş veri koruma önlemlerinin birleşimi ile oluşmaktadır. Çoğunlukla farklı bir kavram gibi algılanan kişi hak ve özgürlüğünün korunması, kişisel verilerin bilgi güvenliği önlemleri kapsamında korunması ile birlikte başlamaktadır (Henkoğlu ve Uçak, 2016, S31).

Kişisel Verilerin Korunması Neden Önemlidir ve Bu Konudaki Temel Sorunlar Nelerdir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır (Avrupa Konseyi, 1995; KVKK, 2016). Hukuksal düzenlemelerde kişisel verilerin neler olabileceği konusunda bir liste sunulması yerine açık uçlu bir tanımın yapılması, kişisel hakların korunması konusunda herhangi bir eksikliğin oluşmaması açısından önemlidir.

Veri korumaya ilişkin hukuksal düzenlemeler ve uluslararası sözleşmeler incelendiğinde şu ortak unsurların ilke olarak benimsendiği görülmektedir (Avrupa Komisyonu, 1981; Avrupa Konseyi, 1995; KVKK, 2016; OECD, 2013):işisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır (Avrupa Konseyi, 1995; KVKK, 2016). Hukuksal düzenlemelerde kişisel verilerin neler olabileceği konusunda bir liste sunulması yerine açık uçlu bir tanımın yapılması, kişisel hakların korunması konusunda herhangi bir eksikliğin oluşmaması açısından önemlidir.

Bilginin hukuka uygun olarak elde edilmesi,

    • Bilginin amacına uygun olarak kullanılması,
    • Gereğinden fazla bilgi toplanmaması,
    • Bilginin veri sahibi tarafından erişilebilir olması,
    • Bilginin doğru ve güncel olması,
    • Bilginin güvenli olarak tutulması,
    • Kullanım süresi sona eren bilgilerin uygun yöntemlerle imha edilmesi.

Kişisel Verilerin Korunması İçin Neler Yapılmalıdır?

  • Bilgi yönetim süreçlerinin de başlangıç noktası olarak değerlendirilen bilginin sınıflandırılması aşamasında, bilgi güvenliği odaklı yaklaşımlara öncelik verilmelidir. Kritik bilgi ve anlık bilgilerin işlenmesi esnasında diğer bilgilerden ayrılması, güvenlik önlemlerinin sağlanmasına yönelik maliyetlerin düşmesine ve etkin bilgi güvenliği sağlanırken de genel sistem performansında hissedilir değişikliğin olmamasına katkı sağlayacaktır. Kişisel ve hassas verilerin bütünlüğünün korunması aynı zamanda hukuksal sorumluluklar arasında olmasına karşın, diğer düşük öncelikli iş kayıtlarının sadece varlığının korunması yeterli olabilmektedir. (Henkoğlu, 2017, S53).
  • Bilgi profesyonellerinin sıklıkla uyguladıkları anonimleştirme işlemleri de kişisel verilerin korunmasına yönelik bilgi güvenliği önlemlerini zenginleştirmektedir. Ancak anonimleştirme işlemi ile kodlama ya da takma isim kullanma kavramlarının karıştırılmamasına özen gösterilmeli ve bilgi politikalarında kişisel verileri anonim hale getirme işlemi2 açık olarak tanımlanmalıdır. Anonim hale getirme, KVKK’nın yürürlüğe girdiği tarih öncesinde kaydedilen ve KVKK hükümlerine aykırı olan kişisel veriler için de uygulanabilecek yöntemlerden biridir (KVKK, 2016).

SONUÇ

Kişisel veri kavramı üzerindeki farklı algılara bağlı olarak bilginin işlenmesi,
bir sistem yaklaşımı içerisinde değerlendirilmesi gereken bilgi güvenliği, bilgi erişimi
ve hukuksal koşulların sağlanmasına yönelik riskleri oluşturmaktadır. Bu kapsamda uygulamada hukuksal koşulların da değerlendirilerek minimum veri kaydı ve depolama yapılması, erişim yetkilendirmesinin yapılarak sadece bilmesi gerekenlerin bilgiye erişiminin sağlanması ve sorumlulukların belirlenmesine dikkat edilmelidir.

Kaynakça

• ISF. (2016). Protecting the Crown Jewels: How to Secure Mission-Critical Assets.
• Henkoğlu, T. (2015). Bilgi güvenliği ve kişisel verilerin korunması. Ankara: Yetkin Hukuk Yayınları
• Henkoğlu, T. ve Uçak, N. Ö. (2016). Information Security and the Protection of Personal Data in Universities. International Journal of Business and Management Invention, 5(11), 30-43.
• Avrupa Konseyi. (1995). Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
• Sağlık Bakanlığı. (2016). Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik
• KVKK. (2016). Kişisel Verilerin Korunması Kanunu.
• Henkoğlu T. (2017). Arşiv Dünya Dergisi. Türk Arşivciler Derneği
• Photo by Lukas Blazek on Unsplash

 


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Bilgisayar Ağları

 

İçindekiler

  • Giriş
  • Tarihçe
  • Bilgisayar Ağları
  • Bilgisayar Ağı Türleri
    • Büyüklüklerine Göre
    • Ortamlarına Göre
    • Topolojilerine Göre
  • Ağ Sisteminin Bileşenleri
  • Ağ Katmanı
  • İletişim
  • İnternet Kavramı, Gelişimi ve Türkiye
  • Sonuç
  • Kaynakça

 

Giriş

Bilgisayarların birbirleriyle haberleşmeleri, birbirlerine veri aktarmaları için genellikle bir kablo kullanılarak aralarında kurulan bağlantıyla oluşturulan bütün, ağ olarak isimlendirilir. Bilgisayar ağları, birçok bilgisayarın iletişim kolaylığı sağlamak, yazılımları, donanımları, veri veya dosyaları paylaşmak amacıyla birbirleriyle iletişim kurmalarıyla oluşan yapılardır. En bilinen ve en büyük bilgisayar ağı, İnternettir. Teknolojinin gelişmesiyle bilgisayar ağları genişlemiş ve tüm dünyaya ulaşır, iletişim kurulabilir hale gelmiştir. Günümüzde bilgisayar, bilgisayar ağları sayesinde bilgiye anında ulaşabilme, bilgiyi paylaşabilme gibi kolaylıkların yanı sıra en büyük bilgisayar ağı olan internet sayesinde iletişim kolaylaşmıştır. Bu çalışmada bilgisayar ağları, tarihi ve iletişim hakkında bilgilere yer verilmiştir.

Tarihçe

1960’lı yılların sonlarında Hawaii Üniversitesi ALOHA adını verdiği bir geniş ağ kurdu. Üniversitenin amacı kampüsün değişik noktalarına yayılmış olan bilgisayarları birbirine bağlamaktı. Bu network modelinin günümüze kadar gelen en önemli özelliği CSMA\CD olarak adlandırılan tekniktir. CSMA\CD’nin açılmış hali carrier detect, multiple access with collusion detect (taşıyıcı sinyalin algılanması, çoklu erişimce çarpışmanın tespiti).

Taşıyıcı sinyalin algılanması -carrier sence- ağ kartının kablodan bilgi transfer etmeden önce belirli bir süre hattı dinlediği anlamına da gelir. Çoklu erişim, aynı kabloya birden fazla bilgisayarın bağlanabileceğini belirtir. Çarpışmanın tespiti ise hattaki verilerin çarpışmasını engellemek için alınmış bir güvenlik önlemidir. Bu eski ağ tasarımı bugünkü ethernetin temelidir.

1972 yılında XEROX firması deneysel amaçlı ilk ethernet kartını üretti ve 1975 yılında ilk ethernet ürününü piyasaya sürdü. (Vikipedi, Özgür Ansiklopedi)

Yıllara Göre Gelişim

1950 – MAIN-FRAME : Birden fazla işin arka arkaya çalıştırılması ve yürütülmesi

1960 – ZAMAN PAYLAŞIMLI SİSTEMLER: Birden fazla işin bir donanımı kısa sürelerle paylaşması .300bps

1970 – PARALEL SISTEMLER-KIŞISEL BİLGİSAYAR SİSTEMLERI

1980 – DAĞINIK  SİSTEMLER: Birçok MIB, ağdaki diğer kaynakları, verileri ve işlemleri yürütürler. Örn:Ağ,internet

1980 – GERÇEK-ZAMANLI SİSTEMLER

1990 – İNTERNET ERİŞİMİ

2000 – GENİŞ BANT : İnternet, Dsl,adsl, kablo Uydu Wi-fi vb.0,1 –100 Mbs Gbs

 

Bilgisayar Ağları

Bilgisayarların ağ kurabilmeleri için birbirleriyle iletişim kurmaları esastır. İletişim iki yöntemle yapılır:

Paralel İletişim: Verilerin paralel hatlardan aynı anda bir bilgisayardan diğer bilgisayara aktarılmasıdır. Veriler tek bir seferde aktarıldığı için hızlıdır.

Seri İletişim: Verilerin tek bir hat üzerinden birbiri arkasına sırayla aktarıldığı iletişim şeklidir. Asenkron ve Senkron seri iletişim olmak üzere iki çeşittir. Senkron seri iletişimde veri paketi gönderileceği zaman bir hat oluşur ve transferin ardından hat kapatılır. Asenkron seri iletişimde ise hat her zaman açıktır istenildiği zaman veri gönderilip alınabilir.

Ağlar büyüklüklerine göre temelde LAN ve WAN olmak üzere ikiye ayrılırlar. Bir bina içindeki bilgisayarların bağlanmasıyla veya mesela bir üniversite kampüsündeki yan yana yer alan binalardaki bilgisayarların bağlanmasıyla oluşturulan ağlar yerel bölge ağları (LAN= Local Area Networks) olarak isimlendirilir. Coğrafi olarak birbirinden uzak bilgisayarların bağlanması ile oluşturulan ağlar ise geniş alan ağları (WAN= Wide Area Networks) olarak adlandırılır.(ÇOLAK, 2017)

Bilgisayar Ağı Türleri

Bilgisayarı kapladıkları alana (ağın büyüklüğüne) ya da özelliğine göre gruplandırılabilir

Büyüklüklerine Göre

LAN (Local Area Network – Yerel Alan Ağı): Aynı oda, aynı bina veya komşu binalar arası kurulan küçük ağlardır. Çok sayıda bilgisayar içermez. LAN ağlarının altyapısı, kablolaması, ağ ayarları, malzeme temini ağı kuran kişi tarafından sağlanır.

WLAN (Wireless LAN – Kablosuz LAN) : Kablosuz özellikli LAN ağlarıdır

MAN (Metropolitan Area Network – Metropol Alan Ağı): LAN ağları biraya gelerek MAN ağlarını oluştururlar. Genellikle şehirlerarası veya geniş bir yerleşkede kurulan ağlardır.

WAN (Wide Area Network – Geniş Alan Ağı): LAN ve MAN ağlarının birbirine bağlanmasıyla oluşan geniş ağladır. Geniş alanlarda; farklı mahalle, farklı şehir, farklı ülke, farklı kıtalar arasında kurulan ağlardır. Çok fazla bilgisayar dahil olabilir. En geniş WAN internettir. Geniş alan ağlarının tesisatı için servis sağlayıcılardan destek alınır.

VPN (Virtual Private Network – Sanal Özel Ağ): Geniş alan ağı üzerinde tanımlanan daraltılmış, sınırlandırılmış özel ağlardır.

SAN (Storage Area Network – Depolama Alan Ağı): Depolama alan ağları, büyük ağ kullanıcılarına hizmet vermek üzere farklı tipteki veri depolama cihazlarını birbirine bağlayan ve bu cihazlar arasında veri alışverişine olanak veren özel amaçlı, yüksek hızlı bir ağdır.

Ortamlarına Göre

      ATM
      Ethernet
      FDDI
      Token Ring

Topolojilerine Göre

 Ortak Yol (Bus) Topolojisi:Şekilde görüldüğü gibi ana bir yol (bus) üzerine T-Konnektörler ile bağlantı yapılan topolojidir. Hattın başına ve sonuna sonlandırıcı (terminatör) takılmalıdır. Çok kablo kullanılmadığından ve özel bir cihaza gerek duyulmadığından kurulması kolay ve ucuzdur. En fazla 30 bilgisayar bağlanabilir. Hatta veya bilgisayarlardan herhangi birinde oluşan arıza tüm ağı etkiler ve iletişim kesilir. Dolayısıyla arıza tespiti de zordur.

Yıldız (Star) Topoloji:Merkezi bir birim vardır. Tüm ağ iletişimi o merkezi birim tarafından sağlanır. Yeni bir bilgisayar eklemek kolaydır. Bilgisayarlardan birinin bağlantısının kesilmesi sadece o bilgisayarı devre dışı bırakır, ağın kalanının iletişimi devam eder. Dolayısıyla arıza kolay tespit edilir. Her bilgisayara ayrı kablo çekildiğinden ve merkezi birim zorunlu olduğundan daha kurulum maliyeti fazladır. Merkezi birimin arızalanması durumunda tüm ağ iletişimi kesilir.

Ağaç (Tree) Topoloji:Genellikle yıldız topolojideki ağları birbirine bağlayarak ağı genişletmek için kullanılır. Ortak Yol ve Yıldız topolojinin birleşmesiyle oluşur denilebilir. Ağacın gövdesi backbone olarak anılır ve yıldız topolojiye ait merkezi birimler bu gövde sayesinde birbiriyle iletişim kurar. Backbone’da meydana gelecek arıza tüm ağın iletişimini koparırken, merkezi birimlerden bilgisayarlara ulaşan kablolardaki arıza sadece o bilgisayarı devre dışı bırakır. Hiyerarşik ağların kurulmasında kullanılan bir topolojidir.

Halka (Ring) Topoloji:Bilgisayarların birbirine halka şeklinde bağlandığı topolojidir. Her bilgisayar komşu bilgisayara bağlıdır. Tek yönlü veri akışı mevcuttur. Bilgisayarlar hattı kullanıp veri gönderebilmek için token (jeton) kullanırlar. Tokeni alan bilgisayar yayın yapmak hakkına sahip olur. Gelen ve giden veriler ayrı hatlardan yapıldığı için ağ hızlıdır ve çarpışma olasılığı düşüktür. Halka içinde oluşabilecek bir arıza tüm ağın iletişimini koparır.

Karmaşık (Mesh) Topoloji:Ağdaki tüm bilgisayarların birbirine direkt kablolarla bağlandığı topolojidir. Noktadan noktaya bağlantı olduğu için oldukça ağ çok hızlıdır. Çok fazla kablo kullanıldığı için maliyet fazladır. Ağ karmaşık yapıda olduğu için bilgisayar sayısı arttıkça kurulum zorlaşır.

 

Ağ Sisteminin Bileşenleri

 Bilgisayar: Bir ağ sistemi en az bir SERVER (Sunucu) ve buna bağlı olarak CLIENT (İstemci) lerden oluşur.

Bağlantı ve İletişim Elemanları

   Ethernet Kartı

Bilgisayarın ağa bağlanmasını sağlayan RJ45 portunu üzerinde bulundurur. Her Ethernet kartının 48 bitlik ve birbirinden farklı olan MAC adresi vardır.

   Hub (Dağıtıcı)

En aptal merkezi birimdir. Ağdaki hiçbir bilgisayarın MAC adresini tutmaz. Gönderilecek veri paketini bilgisayarları tek tek dolaşarak ulaştırır.

   Switch (Anahtar)

Hub’dan daha akıllı bir merkezi birimdir. Ağdaki tüm bilgisayarların MAC adresini kendi listesinde tutar. Veri paketini direkt bilgisayara göndererek ağı meşgul etmez.

   Router (Yönlendirici)

Switch’ten daha yeteneklidir. Ağ üzerinde veri paketi bir bilgisayardan diğerine giderken en kısa yolu hesap ederek paketi gönderir.

   Gateway (Geçit Yolu)

Farklı topolojilerdeki ağlar arasındaki iletişimini ve veri akışını düzenler.

   Repeater (Tekrarlayıcı)

Ağın bir ucundan diğer ucuna zayıflayan sinyali kendisine geldiğinde yükselterek (tekrar ederek) kendisinden sonrasına gönderir.

   Access Point (Erişim Noktası)

Kablolu internet bağlantısını kablosuza çevirmek için kullanılan bir cihazdır. Kendisine kablo ile ulaşan bağlantıyı kablosuz olarak yayın yapar.

   Modem

Bilgisayarların telefon hatlarını kullanarak iletişim kurmalarını sağlar. Modemin görevi, bilgisayardan aldığı digital (sayısal) veriyi analog veriye çevirerek göndermek ve aynı şekilde karşı taraftaki bilgisayardan gelen analog veriyi tekrar digital veriye çevirerek bilgisayara iletmektir.

Dial Up (Çevirmeli) Modemler: Günümüzde çok kullanılmayan modemlerdir. İnternet bağlantı hızları çok düşüktür. İnternete bağlanıldığında telefon hattı meşgul çalar. Dahili (Internal) veya Harici (External) olabilir.

ADSL Modemler: Günümüzde kullanılan modemlerdir. İnternet bağlantı hızları yüksektir. Telefon sinyali ile internet sinyalini ayırmak için splitter kullanılır. Dolayısıyla internet ve telefon aynı anda kullanılabilir. Ethernet, PCI veya USB uyumlu olabilirler. Kablosuz (Wireless) modemler de ADSL modemdir.

VDSL Modemler: ADSL modemlerden çok daha hızlıdırlar. Ancak uzun mesafelerde kullanma sakıncalarından dolayı yüksek hızlı kısa hatlarda kullanılırlar. (MEB, 2015)

 

Ağ katmanı

Ağ katmanının ana görevi yönlendirmedir (routing). İletilen veri blokları ağ katmanına geldiğinde paket olarak adlandırılır. Yönlendirme işlemi paketlerin yerel network dışında diğer bilgisayar ağlarına gönderilmesini sağlar.

Ağ katmanında iki istasyon arasında verinin iletimi kontrol edilir. Bu veri iletilmesi sırasında bunun en ekonomik yoldan gerçekleşmesine dikkat edilir. Bu katman sayesinde verinin routerlar aracılığıyla yönlendirilmesi sağlanır. Yönlendirme işleminde verinin ağ adreslerine bakılır.

Bilgisayar ağı aşamasında mesajlar adreslenmesi ve mantıksal adreslerin fiziksel adreslere çevrilmesi gerçekleştirilir. Bu aşamada ağ (network) trafiği ve yönlendirme (routing) gibi işlemler de yapılır. (Vikipedi, Özgür Ansiklopedi)

İletişim

 Verilerin Aktarımı : İki nokta arasında elektronik veri gönderme ve alma işlemine iletişim diyoruz. İletişim, iletişim kanalları üzerinde gerçekleşir. İletişim kanalları, mesajları bir noktadan başka bir noktaya geçtiği yollardır.  İletişimde, bir kaynak göndereceği mesajı elektrik sinyalleri olarak şifreler ve alıcıya iletişim kanalları üzerinden gönderir.

İletişimde, analog ve dijital sinyaller verileri iletişim kanalları üzerinden gönderir.

  Analog sinyaller; verileri alır ve bunu sürekli bir dalga formuna çevirerek iletişim kanalları üzerinden gönderilebilmesini sağlar. Bu sinyallerin veri taşıma kapasitesi çok yüksektir.

   Dijital sinyaller, verileri sürekli olmayan pulse’lara dönüştürürler. Elektronik bir pulse eksikliği 0,elektronik bir pulse olması ise 1 ile gösterilir. 0 ve 1 diskrete olduğu için gelen veri çok daha açık bir formatta gelir. Böylece alıcı veriyi yeniden yapılandırıp orijinal haline nasıl dönüştüreceğini bilir.

Dijital sinyaller, analog sinyallerine göre çok daha fazla veriyi çok daha hızlı bir şekilde transfer eder.

Kablolu Ve Kablosuz Veri Aktarımı: Kablolu iletisim ortamlari twisted pair, koaksiyel kablolar ve fiber-optic kablolar kullanirlar. Kablosuz iletisimde, veriler hava ya da uzayda kızılötesi, radyo ve mikrodalga sinyalleri ile iletilir. (İletişim – Veri Aktarımı)

 

İnternet Kavramı, Gelişimi ve Türkiye

  İnternetin kendine özgü yaratmış olduğu simgesel iletişim dilini ortaya koymadan önce internet kavramını, gelişimini ve Türkiye’deki kullanım boyu-tunu kısaca betimlememizde yarar olacaktır. İnternet, ağların ağı anlamına gelmektedir, dünya çapında milyonlarca bilgisayarı birbirine bağlayan bir sis-tem olarak tanımlanabilir (Geray, 2002:24). İnternetin kökeni, 1962 yılında Amerikan Askeri Araştırma Projesi (ARPANET) ve Massachusetts Institute of Technology ‘nin tartışmaya açtığı “galaktik ağ” kavramıyla birlikte gündeme gel-di. ARPANET çerçevesinde ilk bağlantı, 1969 yılında dört merkezle University of California at Los Angelas, Stanford Research Institute, University of Utah ve University of California at Santa Barbara arasında gerçekleştirildi. Ana bilgisayarlar arası bağlantılar ile internetin ilk şekli ortaya çıktı. Ekim 1972’de gerçekleştirilen Uluslararası Bilgisayar İletişim Konferansı’nda ARPANET’in NCP (Network Control Program) ile birleşmesi yaşandı. Aynı yıl içinde elektro-nik posta (e-mail) kullanılmaya başlandı. 1 Ocak 1983’te ise, İletişim Kontrol Protokolü (Transmission Control Protocol) ARPANET içinde yürürlüğe girdi. TCP/IP bugün var olan internet ağının ana halkasıdır. 1980’li yılların ortalarında Amerika Savunma Bakanlığına bağlı Askeri Bilgisayar Ağı, ARPANETten ayrılarak “Military Net” (Military Network) adıyla kendi ağını kur-du. 1986’da ARPANET, ABD’nin sübvansiyonu ile NSFNET olarak düzenlendi. NSFNET, 1987’de yeniden düzenlediği internet yapılanma planlaması ile yedi böl-gesel nokta üzerinden NSFNET MERİT olarak adlandırılan güçlü bir omurgayı işleteceğini duyurdu. Bu işletime daha sonra Amerikan dev bilgisayar firması IBM ile Amerikan dev iletişim firması MCI katıldı. 1990’da ise NSFNET işletil-mesine yönelik olarak oluşturulan ileri Ağ Hizmetleri (Advance Network Services) ile internet omurgasının özelleştirilmesi süreci başlamış oldu. Özelleştirme süre-ci 1995’te NSF’nin internet omurga işletmeciliğinden tamamen çekilmesiyle tamamlandı. 1995’ten itibaren internet omurga işletmeciliği tümden özel işletimcilerin eline geçmiş bulunmaktadır.

   1993 yılının Nisan ayında TÜBİTAK- ODTÜ (TR-NET) işbirliği ile bir DPT projesi çerçevesinde Türkiye Global internet’e bağlanmıştır. 64 kbit/san hızın-daki bu hat ODTÜ’den uzun bir süre ülkenin tek çıkışı olmuştur. Daha sonra Ege Univ. (1994), Bilkent (1995), Boğaziçi (1995), ITÜ (1996) bağlantıları gerçekleştirilmiştir.

Türk Telekom’un 1995 yılında açtığı ihale ile bir konsorsiyum tarafından oluşturulan TURNET 1996 Ağustos ayında çalışmaya başlamıştır. Bunun yanısıra Haziran 1996 tarihinde TÜBİTAK bünyesinde Ulusal Akademik Ağ ve Bilgi Merkezi (ULAKBİM) adıyla yeni bir merkez kurulmuştur. ULAKBİM’in temel görevi ise en yeni teknolojileri kullanarak Türkiye çapında tüm eğitim ve araştırma kuruluşlarını birbirine bağlayacak Ulusal Akademik Ağ (ULAKNET) adıyla hızlı bir iletişim ağı kurmak ve bu ağ aracılığı ile bilgi hizmetleri vermek olarak belirlenmiştir. 1999 yılı içerisinde ülkemizdeki ticari ağ yapısında önemli değişiklikler olmuş ve TURNET’in yerini TTNet isimli yeni bir oluşum almıştır.

Sanal İletişim

İnternetin gelişmesi ile sayısal ortamda gerçekleştirilen iletişim, genel olarak sanal iletişim olarak tanımlanmaktadır.

Bilgisayarların iletişimde kullanılmasının dört prensibi bulunmaktadır:

  1. a) Etkileşimli yaratım süreci,
  2. b) İletişimde kolay ve serbestlikle birlikte kısa sürede yanıt alma,
  3. c) Küçük yerel ağların birleşimiyle evrensel iletişimin doğması ve bu iletişimde yazı-ses-görüntü öğelerinin birlikte sunum imkanı,
  4. d) Evrensel iletişim ile toplumlar ve bireyler arasında yakınlaşma ve ortak ilgilerin oluşması.

İnternet ile etkileşimli bir iletişim süreci doğmuştur.

İnternetteki evrensel iletişimde yazı-ses ve görüntü aynı ortamda kullanılmakta; bu da iletişimi diğer geleneksel medyaya göre daha etkin kılmaktadır. Böylece İnternet, gazete, radyo ve televizyonun üstünlüklerini aynı ortamda biraraya getirerek güçlü bir enformasyon sunumu gerçekleştirmekte-dir. İnternetin oluşturduğu sanal iletişim çerçevesinde bireyler ve toplumlar arasında yakınlaşma ve ortak ilgiler oluşturma ile sanal kültür ortamı da doğmuştur. (Çakır – Topçu, 2005).

Sonuç

1969 yılında ilk geliştirilen bilgisayar ağıyla yalnız dört bilgisayar arasında bağlantı kurulabilirken, bugün bir bilgisayar ağı ile değişik ve birbirinden uzak yerlerde bulunan binlerce bilgisayar arasında iletişim sağlanabilmektedir. Bilgisayar ağlarının bizlere maddi ve zamansal olarak faydası çok büyüktür. Bilgiye erişim kolaylaşmış olup, iletişim ise saliseler boyutunda hızlanmıştır. Bilgiye ve bilgiyi paylaşmaya olan erişimi ve teknolojinin gelişmesini katkısı çok büyüktür. Günümüzde bu faydaların yanında kötü yanları da olabilmektedir bu zararlar göz ardı edilmeden gelişim sağlanmalı ve hızlanmalıdır.

 

Kaynakça

  1. Vikipedi, Özgür Ansiklopedi .InWikipedia, Özgür Ansiklopedi Bilgisayar Ağı. https://tr.wikipedia.org/wiki/Bilgisayar_a%C4%9F%C4%B1 adresinden Haziran 13, 2020’da alındı.
  2. ÇOLAK,M. (2017). Bilgisayar Ağları. http://bilgisayarbilim.com/bilgisayar-aglari/ adresinden alındı. (Erişim Tarihi:13 Haziran 2020)
  3. MEB, 2015.2015 – 2016 Eğitim Öğretim Yılı İşletmelerde Beceri Eğitimi Dersi Bilişim Teknolojileri Alanı Veri Tabanı Programcılığı Dalı Ders Notları. http://ytml.meb.k12.tr/meb_iys_dosyalar/06/19/376226/dosyalar/2016_05/18124407_biliimteknolojilerialanbecerisnavalmanotlar.pdf?CHK=18fb8d46777761269959280601594db2 adresinden alındı. (Erişim Tarihi:13 Haziran 2020)
  4. İletişim Veri Aktarımı, Kablolu Kablosuz İletişim. http://brahms.emu.edu.tr/babagil/bilg101chapter11.pdf adresinden alındı (Erişim Tarihi:21 Haziran 2020)
  5. Çakır – Topçu, 2005. Bir İletişim Dili Olarak İnternet, Sosyal Bilimler Enstitüsü Dergisi Sayı : 19 Yıl : 2005/2 (71-96 s.)

 Photo by Alina Grubnyak on Unsplash

 
Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

 

 

Kategoriler
Bilişim Etiği

Veri Koruma

İÇERİK

Giriş

Verinin İşlenmesi

Kişisel Verilerin Korunması

Bilgi Güvenliği

Bilgi Güvenliği Prensipleri

Sık Karşılaşılan Güvenlik Saldırıları

Sonuç

Kaynakça

 

Giriş

Günlük hayatımızda artık hepimiz sosyal medya hesaplarımızda fotoğraf, video, ses kaydı, konum gibi özel bilgilerimizi paylaşıyoruz. Tedavi amacıyla sağlık kuruluşuna gittiğimizde parmak izimizi, daha önce geçirdiğimiz sağlık sorunlarımızı paylaşıyoruz. Bankaya gittiğimizde mali bilgilerimizi, iletişim bilgilerimizi paylaşıyoruz. Her paylaştığımız bilgide kendimize ait bir iz bırakıyoruz. Bu izler bizi biz yapan ve herkesten ayran kişisel verilerimizdir. Paylaştığımız bu verileri bizden başka herkesin kötü ve haksız kullanımına karşı korumaya ise “veri koruma” denir.

Verinin İşlenmesi

Bir verinin kişisel veri niteliği kazanması veya belirli bir kişiyi temsil etmesi ancak verinin işlenme sürecinde kesinlik kazanabilmektedir. Kişisel verilerin işlenmesi, verilerin elde edilmesi, kaydedilmesi, düzenlenmesi, uyarlanması, dönüştürülmesi, kullanımı, açıklanması, birleştirilmesi, silinmesi gibi süreçlerden oluşmaktadır (Kaya, 2011).

Ekonomik İş birliği ve Kalkınma Örgütü (Organisation for Economic Co-operation and Development OECD) Rehber İlkeleri, kişisel verilerin korunması ve işlenme sürecinde dikkate alınması gereken prensipleri şu şekilde belirlemiştir (OECD, 2013):

  • Sınırlılık

Kişisel veriler, hukuka uygun sebepler ve araçlarla toplanmalıdır, veri sahiplerinin toplama konusunda bilgilendirilmeleri ve bilinçli rızalarının alınması gerekmektedir.

  • Kalite

Toplanan veriler kullanılan amaç doğrultusunda mümkün olduğunca tam, güncel ve doğru olmalıdır.

  • Amaca Özgülük

Kişisel verilerin toplanma amacı belirlenmelidir. Veriler sadece belirlenen amaç için kullanılmalıdır.

  • Kullanım Sınırlaması

Toplanan veriler belirtilen amaçlar dışında yayılamaz, bulundurulamaz veya başka amaçlarla kullanılamaz. Veri sahibinin bilinçli rızası ve kanuna dayalı yetkiler bu maddenin sınırlaması olabilir.

  • Güvenlik

Toplanan verilere yönelik oluşabilecek tehlikelere karşı (kayıp, yetkisiz erişim, zarar verme, değiştirme, açıklama) uygun güvenlik tedbirleri ile korunmalıdır.

  • Açıklık

Kişisel verilerle ilgili gelişmeler, uygulama ve politikalar hakkında genel bir açıklık ilkesi bulunmalıdır. Bireyler kendileri ile ilgili veri barındıran kurumların politikalarına kolayca ulaşabilmelidirler.

  • Bireyin Rızası

Veri sahibinin rızası olmaksızın veriler erişilebilir hale getirilmemeli ve açıklanmamalıdır.

  • Hesap Verebilirlik

Veri sahipleri veri toplayıcı ve yayınlayıcılarına karşı sayılan diğer ilkeler çerçevesinde hesap sorma hakkına sahip olabilmelidir. (Eroğlu, 2018)

Kişisel Verilerin Korunması

Yaşanan süreçlerde kişisel verilere yönelik tehditlere karşı hem bireysel hem toplumsal savunma mekanizmalarının varlığı değer kazanmaktadır. Kişisel verilerin korunması özel hayat ve aile hayatına saygı hakkı bakımından önemlidir. Kişisel verilerin korunmasının uluslararası belgelerde, mahremiyete yönelik düzenlemelerle yorumlandığı görülmektedir.

Türkiye’de kişisel verilerin korunmasına yönelik yasal düzenleme çalışmaları 2000’li yıllardan itibaren gündeme gelmiştir. 2016 yılında ise konuya yönelik kanun çalışması tamamlanmıştır. “6698 sayılı Kişisel Verilerin Korunması Kanunu” 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun ile “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” amaçlanmaktadır. (Eroğlu, 2018).

Bilgi Güvenliği

Bilgi karşımıza çok çeşitli ve farklı yerlerde ortaya çıkmaktadır. Bilginin yer aldığı ortamlara örnek vermemiz gerekirse; sunucular, kişisel ve dizüstü bilgisayarlar, tabletler, akıllı telefonlar, veri tabanı gibi elektronik ortamlar, elektronik posta, taşınabilir diskler, CD/DVD ROM’lar, kâğıt vb. olarak sayılabilir. Bilginin üç hali olduğunu burada ifade etmemiz gerekir. Bunlar;

  • Durağan bilgi
  • Hareket halindeki bilgi
  • Kullanımdaki bilgi (Çek, 2017, p.4).

Bilgi Güvenliği Prensipleri

Veri güvenliğinin üç temel prensibi vardır. Bunlar:

  • Gizlilik

Bilginin sadece yetkisi olan kişiler tarafından erişmesi, yetkisiz kişilerin eline geçmemesi ve yetkisiz kişiler tarafından görülememesidir.

  • Bütünlük

Bilginin yetkisiz kişiler tarafından değiştirilememesi, tam ve eksiksiz olmasıdır. Bilginin yine saklandığı veri tabanında veya iletim halindeyken yetkisi olmayan herhangi bir kişi tarafından değiştirilmesini, tahrip edilmesini veya silinmesi istenmez.

  • Erişilebilirlik

Bilginin yetkisi olan kişiler tarafından, gerektiği zaman ulaşılabilir olması bilgi güvenliğinin erişilebilirlik prensibidir.

Bilgi güvenliğinin yukarıda bahsettiğimiz üç temel prensibi dışında başka birtakım prensipleri de vardır. Bunlar:

  • Loglama

İngilizce ‘‘Accountability’’ kavramının karşılığı olarak dilimize hesap verilebilirlik olarak çevirebileceğimiz, log kayıtlarının bütünlüğünden bahsedilmesi gerekir. Log tutma, elektronik ortamda yapılan işlemlere ait kayıtların tutulmasıdır.

  • Kimlik Doğrulama

Bilgi sistemlerinden hizmet alan kişinin, uygulamanın ya da bir web servisinin gerçekten o kişi, uygulama ya da web servisi olduğunun tespiti gerekmektedir. Kimlik doğrulama olmaksızın bir bilgi güvenliği düşünmek olanaksızdır. Şifre, OTP, biyometrik kimlik doğrulama gibi çeşitli kimlik doğrulama yöntemleri bulunmaktadır.

  • İnkâr Edilemezlik

Bu prensibi, log kayıtlarının tutulması prensibiyle de birlikte değerlendirmek mümkündür. İnkâr edilemezliğin sağlanması için bütünlüğü korunmuş, tutarlı bir log kayıtlarının tutulması mekanizması gerekmektedir.

  • Güvenilirlik

Bilişim sisteminden beklenen sonucun üretilmesi ve elde edilen sonuçlar ile beklenen sonuçların tutarlılık durumudur. (Çek, 2017, p.4-6).

Sık Karşılaşılan Güvenlik Saldırıları

Bilgi güvenliğini tehdit eden saldırılar üç ana başlıkta gruplandırılabilir.

  • Gizliliği Tehdit Eden Saldırılar

Genel olarak, iki tür saldırı, bilginin gizliliğini tehdit eder: gözetleme ve trafik analizi. Ağ trafiğini dinleme (Snooping), verilere yetkisiz erişime veya veri kesme işlemine yönelik olarak gerçekleştirilir. Trafik analizi ise bir saldırganın çevrimiçi trafiği izlenerek toplanan değişik türdeki bilgileri elde etme işlemidir.

  • Bütünlüğü Tehdit Eden Saldırılar

Verilerin bütünlüğü çeşitli saldırılarla tehdit edilebilir. Bu saldırılara örnek olarak değiştirme, maskeleme, tekrarlama ve reddetme verilebilir.

  • Erişilebilirliği Tehdit Eden Saldırılar

Hizmet dışı bırakma (DOS) saldırıları ve dağıtık hizmet dışı bırakma saldırıları (DDOS), bir sistemin hizmetini yavaşlatabilir veya tamamen kesebilir. Saldırgan bunu başarmak için çeşitli stratejiler kullanabilir. Sistemi çok meşgul edebilir, çökertir ya da bir yönde gönderilen iletileri kesebilir ve gönderme sistemini iletişim veya mesajdaki taraflardan birinin mesajı kaybettiğine ve tekrar gönderilmesi gerektiğine inanmasına neden olabilirler. (Kurt Kaya, 2017, p.4-8).

Sonuç

            Sonuç olarak bütün bu bilgileri ele aldığımızda kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmektedir.

KAYNAKÇA

  • Kurt Kaya, G. (2017). Bilgi Güvenliği ve Siber Güvenlik Kapsamında Bakanlık Uygulamaları için Güvenli Yazılım Geliştirme Metodolojisi Önerisi (Master’s thesis).
  • Eroğlu, Ş. (2018). Dijital Yaşamda Mahremiyet (Gizlilik) Kavramı ve Kişisel Veriler: Hacettepe Üniversitesi Bilgi ve Belge Yönetimi Bölümü Öğrencilerinin Mahremiyet ve Kişisel Veri Algılarının Analizi. Hacettepe Üniversitesi Edebiyat Fakültesi Dergisi, 131-153.
  • Çek, E. (2017). Kurumsal Bilgi Güvenliği Yönetişimi ve Bilgi Güvenliği İçin İnsan Faktörünün Önemi (Master’s thesis).
  • Photo by Rob Sarmiento on Unsplash

 


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Bilişimin Yasal Mevzuatı Ve Bilişim Hukuku

 

Gülsüm Türk – Fatma Akdemir

İÇİNDEKİLER

  • Giriş
    • İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN SUÇLARLA MÜCADELE EDİLMESİ HAKKINDA KANUN
  • KİŞİSEL VERİLERİN KORUNMASI KANUNU
    • Madde 4
    • Madde 5
    • Madde 11
  • FİKİR VE SANAT ESERLERİ KANUNU
  • TÜRK CEZA KANUNU
    • Bilişim Sistemine Girme
    • Sistemi Engelleme, Bozma, Verileri Yok Etme Veya Değiştirme
    • Banka Veya Kredi Kartlarının Kötüye Kullanılması
    • Diğer bilişim suçlarından bazıları
  • ÖRNEK BİR ANAYASA MAHKEMESİ KARARI
    • Başvuru Konusu
    • İnceleme Sonucu
    • İlgili Hukuk
    • Olay ve Olgular
    • Hüküm
  • Mevzuatta Yer Alan Diğer Bilişim Kanunları
    • Yönetmelikler
    • Tebliğler
    • Uluslararası Sözleşmeler
  • Sonuç
  • Kaynakça

GİRİŞ

            Bilişim kelimesi, bilginin elektronik cihazlar aracılığıyla işlenmesi bilimini ifade etmektedir. Bilişim hukuku elektronik ortamda gerçekleştirilen her türlü bilgi ve belge paylaşımının, davranışların ve iletişimin hukuki çerçevesi ve bu alandaki mevzuatı kapsayan genel bir terimdir. Mevzuat terimi,  “Ülkede yürürlükte olan yasa tüzük yönetmelik vb. tümü” olarak tanımlanmıştır (Türkçe Sözlük, 2011).

            Bilişim yaşamımızın her alanında etkin bir rol oynadığı için bilişim hukuku da birçok farklı hukuk dalı ile irtibatlıdır. Bu nedenle tek bir başlık altında toplanmamış, farklı başlıklar altında ortaya çıkmış ve mevzuatta da bu şekli ile yer almaktadır. Yasal mevzuat genel itibarıyla şu alanları kapsamaktadır; Kişilik hakları, kişisel veriler, iletişim, e-ticaret, e-imza, elektronik haberleşme, Fikri haklar, internet yayıncılığı, erişim, yer ve içerik sağlayıcılarına yönelik sorumluluklar ve düzenlemeler, alan adları ve bilişim suçları.

İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN SUÇLARLA MÜCADELE EDİLMESİ HAKKINDA KANUN

            5651 sayılı bu kanunun amacı içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usûlleri düzenlemektir (İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 2007, Madde 1).

            Bu kanunda belirtilen yükümlülüklere göre erişim, yer ve toplu kullanım sağlayıcıları yönetmelikte belirtilen trafik kayıtlarını 6 aydan az, 2 yıldan fazla olmamak kaydıyla yine yönetmelikte belirtilen süre zarfına göre kayıt altına tutmakla yükümlüdürler. Bu sağlayıcılar erişimi kontrol etmekle yükümlü olmayıp suç oluşturan içeriklerden bu kanunun 8 ve 9. Maddelerine uygun olarak haberdar edilmeleri takdirinde içeriği engellemekle yükümlüdürler (İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 2007, madde 7).

            Bir örnekle bu durumu açıklamak gerekirse müşterilerine internet hizmeti sunan herhangi bir işletme (Toplu Kullanım Sağlayıcısı) sunduğu internet hizmetine dair trafik kayıtlarını yönetmelikte belirtilen süre boyunca saklamak, hukuka aykırı bir durum olması halinde bu kayıtları teslim etmekle yükümlüdür.

KİŞİSEL VERİLERİN KORUNMASI KANUNU

            6698 Sayılı bu kanunun amacı  kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.(Kişisel Verilerin Korunması Kanunu, 2016, madde 1). Kişisel veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (KVKK, 2016, madde 3,d bendi).

KVKK’a Göre Kişisel Verilerin İşlenmesi

Madde 4-  (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

Madde 5 –  (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

  1. a) Kanunlarda açıkça öngörülmesi.
  2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Madde6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

KVKK’a Göre Hak Ve Yükümlülükler

Veri sorumlusunun aydınlatma yükümlülüğü

MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

  1. a) Kişisel veri işlenip işlenmediğini öğrenme,
  2. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  1. d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

 

FİKİR VE SANAT ESERLERİ KANUNU

            Fikir ve Sanat Eserleri Kanunu; 1/B-a maddesindeki düzenlemesi ile “sahibinin hususiyetini taşıyan ve ilim ve edebiyat, musiki, güzel sanatlar veya sinema eserleri olarak sağlayan her nevi fikir ve (veya) sanat mahsulü”, eser olarak nitelendirilmiş ve sadece eser olan yaratılara çok geniş bir koruma sağlamış, ek olarak da 83. maddesinden itibaren eser olarak görmediği bir eserin ad ve alametleri ile çoğaltmış nüshaların şekilleri, işaret, resim, ses, mektuplar, resim ve portrelere sınırlı bir koruma sağlamıştır.

Bu kanuna göre eser kategorisinde korunan yapıtlara karşı işlenen;

  • Hak sahibi kişilerin yazılı izni olmaksızın işleme, temsil etme, değiştirme, çoğaltma, yayımlama; hukuka aykırı eserleri yayma, satma
  • Başkasına ait eserlere kendi adını koyma
  • Bir eserden kaynak göstermeksizin iktibasta bulunma ve benzeri davranışlar suç sayılır.

Fikir ve Sanat Eserleri Kanunu’na aykırı hareket eden kişiler 71, 72 ve 81. maddeler gereğince üç aydan başlayıp beş yıla kadar hapis veya adli para cezasına çarptırılırlar (Avşar ve Öngören, 2010, sf. 232,255).

TÜRK CEZA KANUNU

            Türk Ceza Kanunu’nun 3. Kısım 10. Bölümünde “Bilişim Alanında Suçlar” başlığı altındaki 243-246 maddeleri aralığında bilişim suçları tanımlanmıştır.

Bilişim Sistemine Girme Suçu

Madde 243- (1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.

Sistemi Engelleme, Bozma, Verileri Yok Etme Veya Değiştirme Suçu

Madde 244- (1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.

Banka Veya Kredi Kartlarının Kötüye Kullanılması Suçu

Madde 245 – (1) Başkasına ait bir banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlarsa, üç yıldan altı yıla kadar hapis ve beş bin güne kadar adlî para cezası ile cezalandırılır.

            Bu bölüm haricinde TCK’da yer alan bilişim ile ilgili başka suçlar da mevcuttur. Bunlar haberleşme özgürlüğüne ilişkin suçlar, kişisel verilere dair suçlar, özel hayatın ihlali suçlarıdır. TCK haricinde fikir ve sanat eserleri kanununda da bilişim ile ilgili suçlar yer almaktadır.

Diğer bilişim suçlarından bazıları

  • Ceza Kanunu’nun 142. maddesi gereğince, kamu kuruluşlarının veya camilerin, halkın yararlanması için ortada bulunan veya umumi yerler ve taşıtlardaki eşyalar ya da elektrik enerjisi hırsızlığının “bilişim sistemleri” kullanılması suretiyle yapılmasında ceza ağırlaştırılmakta üç yıldan yedi yıla kadar hapis cezasına hükmolunmaktadır (Avşar ve Öngören, 2010, sf.157).
  • Türk Ceza Kanunu 158. maddeye göre; bilişim sistemlerinin araç olarak kullanılması suretiyle nitelikli dolandırıcılık suçunun işlenmesinde, sanığa üç yıldan yedi yıla kadar hapis ve suçtan elde edilen menfaatin iki katından az olmamak şartıyla beş bin güne kadar adli para cezasına hükmolunur (Avşar ve Öngören, 2010, sf.157).
  • Türk Ceza Kanunu, 302, 303, 304 ve 305. maddeleri uyarınca, Devletin birliğini ve ülke bütünlüğünü bozmak, düşmanla işbirliği yapmak, Devlete karşı savaşa tahrik, bağımsızlık, toprak bütünlüğü, milli güvenlik ve Cumhuriyet’in Anayasa’da belirtilen temel nitelikleri gibi temel millî yararlara karşı faaliyette bulunmak eylemlerinin faili, internet dâhil hangi şekilde yapıldığına bakılmaksızın müebbet hapse kadar varan cezalarla cezalandırılır (Avşar ve Öngören, 2010, sf.157).

ÖRNEK BİR ANAYASA MAHKEMESİ KARARI

Anayasa Mahkemesi – 10 Aralık 2019 ——— Başvurusu

Başvuru Konusu:  Başvuru, internet ortamında yayımlanan iki kitap hakkında içeriğe erişimin engellenmesi kararı verilmesinin ifade özgürlüğünü ihlal ettiği iddiasına ilişkindir

İnceleme Sonucu

Hak: İfade özgürlüğü

Müdahale: İfade özgürlüğüne ilişkin özelleştirilmemiş müdahale iddiaları

Sonuç: İhlal Giderim: Yeniden yargılama

İlgili Hukuk

Mevzuat Türü: Kanun

Mevzuat Tarihi/Numarası  – İsmi: 5651 İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

Madde Numarası: 9

Olay Ve Olgular

Başvurucu, “[R.Ç.nin] İdari Yargılama Hukuku İsimli Kitabı Hakkında Eleştiriler” isimli kitabında ise kitabı yazma amacının R.Ç.nin “İdari Yargılama Hukuku” isimli kitabında, kendisine ait “İdare Hukuku” isimli kitaptan yapılmış hukuka aykırı alıntılar bulunduğunu göstermek olduğunu belirtmiştir. Başvurucu, kitabın girişinde usulsüz alıntı sorununun ülkemizde kaygı verici boyutlara ulaştığını ileri sürmüş ve usulsüz alıntının böylesine yaygın olduğu bir ülkede bir yazarın yazdığı cümleleri birkaç ay sonra başka bir yazarın kitabında görecekse kitap yazmasının anlamsız olduğunu ifade etmiştir. Başvurucu, usulsüz alıntı ile neden mücadele ettiğine dair açıklamalarda bulunmuş; usulsüz alıntı ile mücadelenin kamu yararı üzerindeki önemine değinmiştir. Başvurucuya göre eserleri usulsüz alıntılanan ve başkaları tarafından sahiplenilen bir yazar bir daha eser vermek istemeyecektir. Başvurucu, eser sahiplerinin korunmadığı bir ülkede bilimin de sanatın da gelişmeyeceğini belirtmiştir (Kemal Gözler, B. No: 2014/5232, 19/4/2018, § 12). Başvurucu, kitabın ilerleyen bölümlerinde R.Ç. tarafından yapılan 276 usulsüz alıntıyı R.Ç.ye ve kendisine ait kitapların ilgili yerlerini alt alta koyarak kıyaslama yöntemiyle ispatlamaya çalışmış; ayrıca yine bu iddialarına karşı R.Ç. tarafından yapılması muhtemel savunmalara ve bunlara karşı cevaplarına yer vermiştir.

  1. Bahsi geçen kitapların www.idare.gen.tr sitesinde yayımlanmasını müteakip R.Ç. (müşteki), kişilik haklarının ihlal edildiği iddiasıyla (kapatılan) Kırıkkale 3. Sulh Ceza Mahkemesine başvurarak söz konusu internet yayınlarına erişimin engellenmesini talep etmiştir. Mahkeme 28/6/2013 tarihinde bahsi geçen usulsüz alıntı sorunu ile ilgili verilmiş bir kesin hüküm Anayasa Mahkemesi – 10 Aralık 2019 – Kemal Gözler (2) Başvurusu 2559 bulunmadığı, dolayısıyla kişilik haklarının ihlal edildiğine ilişkin iddianın sabit olmadığı gerekçesiyle müştekinin talebini reddetmiştir.
  2. Müşteki daha sonra Kırıkkale Sulh Ceza Hâkimliğine (Hâkimlik) yaptığı başvuru ile talebini tekrarlamıştır. Hâkimlik 8/1/2015 tarihli kararı ile talebin kabulüne ve kitapların anılan siteden kaldırılmasına karar vermiştir. Hâkimlik, (kapatılan) Kırıkkale 3. Sulh Ceza Mahkemesinin erişimin engellenmesi talebinin reddine ilişkin kararından sonra şikâyet konusu internet içeriğindeki iddialar ile ilgili olarak Kırıkkale Üniversitesi Yetkili Kurulu tarafından müşteki hakkında son soruşturma ve disiplin soruşturması yapılmasına gerek olmadığı konusunda karar verildiğini, bu kararın Danıştay Birinci Dairesi tarafından onandığını belirtmiştir. Hâkimlikçe müştekinin başvurucunun eserlerinden usulsüz alıntı yapmadığı konusunda kesinleşmiş yargı kararı bulunduğunu, tersi yönde içerik barındıran şikâyet konusu yayınların kişilik haklarının ihlali niteliğinde olduğunu değerlendirerek bu yayınlara erişimin engellenmesine karar vermiştir.

 Hüküm

Açıklanan gerekçelerle;

  1. İfade özgürlüğü ile bilim ve sanat özgürlüğünün ihlal edildiğine ilişkin iddianın KABUL EDİLEBİLİR OLDUĞUNA, Anayasa Mahkemesi – 10 Aralık 2019 – Kemal Gözler (2) Başvurusu 2567
  2. Anayasa’nın 26. maddesinde güvence altına alınan ifade özgürlüğü ile 27. maddesinde güvence altına alınan bilim ve sanat özgürlüğünün İHLAL EDİLDİĞİNE,
  3. Kararın bir örneğinin ifade özgürlüğü ile bilim ve sanat özgürlüğünün ihlalinin sonuçlarının ortadan kaldırılması için yeniden yargılama yapılmak üzere Kırıkkale Sulh Ceza Hâkimliğine (2015/36 Değişik İş) GÖNDERİLMESİNE,
  4. 226,90 TL harçtan oluşan yargılama giderinin BAŞVURUCUYA ÖDENMESİNE,
  5. Ödemenin, kararın tebliğini takiben başvurucunun Hazine ve Maliye Bakanlığına başvuru tarihinden itibaren dört ay içinde yapılmasına, ödemede gecikme olması hâlinde bu sürenin sona erdiği tarihten ödeme tarihine kadar geçen süre için yasal FAİZ UYGULANMASINA,
  6. Kararın bir örneğinin Adalet Bakanlığına GÖNDERİLMESİNE 10/12/2019 tarihinde OYBİRLİĞİYLE karar verildi. (Kaya, sf. 2555-2638)

Mevzuatta Yer Alan Diğer Bilişim Kanunları

 

 

Yönetmelikler

Tebliğler

Uluslararası sözleşmeler

Sonuç

Bilişimin yasal mevzuatı denilince tek bir yasadan bahsetmek mümkün değildir. Çok geniş bir yelpazede birçok hukuk dalı ile iç içe girmiş bir vaziyettedir. Kanunlar, Kanun Hükmünde Kararnameler, Yönetmelikler, Tebliğler, Bakanlar Kurulu Kararları, Anayasa Mahkemesi Kararları, Danıştay Kararları vs. bilişim mevzuatının içerisine girmektedir. Bunlardan başlıca olanları derledik. Tüm mevzuatın güncel olarak toplanıldığı ve yazımızda da yararlandığımız “İnternet Hukuku Mevzuat ve İçtihat” adlı çalışmayı kaynakçamızda bulabilirsiniz.

 

Kaynakça

Türk Dil Kurumu. Türkçe Sözlük. Ankara.2011.

Avşar, Zakir ve Öngören Gürsel. Bilişim Hukuku. Türkiye Bankalar Birliği. İstanbul. 2010.

İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun (2007). Resmi Gazete. 26530. 23 Mayıs 2007.

Kişisel verilerin Korunması Kanunu (2016). Resmi Gazete. 29677. 7 Nisan 2016. 

KAYA, Bedii Mehmet. İnternet Hukuku Mevzuat ve İçtihat. https://www.mbkaya.com/internet-hukuku-mevzuat-ictihat/. 16.03.2020

 

Görsel: Photo by Bill Oxford on Unsplash

 


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

AĞ GÜVENLİĞİ

İçindekiler

  • Giriş
  • Ağ Güvenliğinin Tarihçesi
  • Ağ Güvenliği Nedir?
  • Ağ Güvenliğinin Önemi
  • Ağ Güvenlik Politikaları
  • Ağ Güvenliği Nasıl Sağlanır?
    • Güvenlik Duvarı(Firewall)
    • VPN (Virtual Private Networks)
    • Antivirüs
    • IDS (Saldırı Tespit Sistemleri)
    • Web Filtreleme Çözümleri (Url Filtering)
    • Güçlü Tanılama (Strong Authentication)
  • Sistem Ve Ağ Güvenliği Konusunda Alınacak Önlemler!
  • Ağ Cihazlarının Güvenliğini Sağlama Yöntemleri
  • Virüsler, Solucanlar (Worms) Ve Truva Atları (Trojan Horses)
  • Sonuç
  • Kaynakça

GİRİŞ

Bilgisayar ağları, bilgi alışverişinin çok hızlı bir şekilde gerçekleştiği ve bilgiye kolay ulaşım sağlayan bir bilgi havuzudur. Bu ortamı oluşturan ve önemli verileri içerisinde barındıran ağ güvenliğinin önemi de gün geçtikçe artmaktadır.
Dev bir bilgisayar ağı ve bunun sonucu oluşan İnternet herkes için vazgeçilmez bir bilgi kaynağıdır. Bütün mesleklerde bilgisayar kullanılması, kişisel bilgisayarların her eve girmesi, İnternete ulaşmanın çok kolay ve ucuz bir hâle gelmesi istisnasız her bilgisayarın bir bilgisayar ağına bağlı olması anlamına gelmektedir.

Bilgisayar sistemlerine ve ağlarına yönelik saldırılar ciddi miktarda para, zaman, prestij ve değerli bilgi kaybına neden olabilir. Bu saldırıların hastane bilişim sistemleri gibi doğrudan yaşamı etkileyen sistemlere yönelmesi durumunda kaybedilen insan hayatı da olabilir.
Bilgisayar ağlarının bu denli önemli hâle gelmesi ile birlikte ağ güvenliğini sağlama konusunda bilgi sahibi olma ve işine hâkim olan teknik elemanlara ihtiyaç da artmıştır.

AĞ GÜVENLİĞİNİN TARİHÇESİ

Temmuz 2001’de web serverlara yapılan Code Red solucanı atağından 350 binden fazla host virüslendi. Solucan sadece enfekte sunuculara erişimi engellemekle kalmadı onları çok yavaş ve kullanılamaz hale getirdi. Code Red solucanı milyonlarca kullanıcıyı hizmet dışı (Dos) bıraktı. Ağ güvenliği uzmanları olaydan sorumlu olarak bu Code Red bulaşmış sunucularla ilgili politika geliştirmiş ve uygulamış olsalardı, güvenlik yamaları çok kısa sürede uygulanmış olurdu. Code Red yayılmadan durdurulmuş ve ağ güvenliği tarihinde dip not olarak kalırdı. (Üniversitesi, D. (2017). BİLGİSAYAR AĞ GÜVENLİĞİ)

“Zorunluluk buluşun anasıdır.” Bu deyiş, ağ güvenliği için tam olarak geçerlidir. İnternetin ilk günlerinde, ticari işler ihmal edilebilir derecede azdı. Kullanıcıların büyük çoğunluğu araştırma ve geliştirme uzmanlarıydı. İlk kullanıcıların nadiren de olsa diğer kullanıcılara zarar verecek faaliyetlerde bulunabilirdi, çünkü İnternet güvenli bir ortam değildi. ( Üniversitesi, D. (2017))

İlk virüsler yayınlanmaya başladığı ve ilk DoS atakları olmaya başladığı zaman, ağ profesyonellerinin dünyası değişmeye başladı. Kullanıcıların ihtiyaçlarını karşılamak için, ağ uzmanları ağlarını güvenli hale getirmek için teknikler öğrendi. Birçok ağ uzmanı için birincil odak, tasarım, kurulum ve genişlemeden ziyade mevcut ağların güvenliği olmaya başladı. Bugün, İnternet 1960’lı yıllardaki başlangıcına kıyasla çok farklı bir ağdır. Bir ağ güvenliği uzmanı ağ güvenlik araçları, süreçleri, teknikleri, protokolleri ve teknolojiler konusunda çok bilgili olması gerekir. Ağ güvenliği tehdit önleme araçlarının sayısı arttıkça, bu konuda bilinmesi gereken bilgi miktarı azalmıştır. Bazı tehditlerin ortaya çıkış tarihleri şöyledir: ( Üniversitesi, D. (2017))

• 1978’de ilk Spam ArpaNet üzerinden gönderildi.
• 1988’de Morris İnternet solucanı yayınlandı
• 1999’da Melissa e-mail virüsü
• 2000’de Mafiaboy DoS atağı, Love Bug solucanı, L0phtCrack şifre kırıcı yayınlandı
• 2001’de Code Red DoS atağı
• 2004’de botnet saldırısı (Amerikan Askeri Sistemlerine)
• 2007’de Storm botnet ve kredi kartı bilgilerinin dağıtımı
• 2008’de veri çalma
• 2011’de Sony Play Station ağı haklendi.

Ağ güvenliği günlük işlerin bir parçası olmaya başladığından beri, güvenlik için özel fonksiyonlara sahip cihazların üretimi başlamıştır. İlk güvenlik araçlarından biri saldırı tespit sistemleridir (intrusion detection system-IDS). SRI, 1984’de ilk IDS’i piyasaya sürdü. IDS gerçek zamanlı olarak saldırı tespit etmeye yarar. Bu araç ağ güvenlik uzmanının çok daha hızlı biçimde atakları azaltma işini yapmasına imkan sağlar. 1990’ların sonunda IDS’ler yerini saldırı önleme sistemlerine (intrusion prevention system-IPS ) bırakmaya başladı. IPS cihazları kötü niyetli faaliyeti algılanmasını sağlar ve otomatik olarak gerçek zamanlı saldırıyı engelleme yeteneğine sahiptir. IDS ve IPS cihazlarına ek olarak, ağa önceden belirlenmiş kurallar çerçevesinde istenmeyen trafik girişini engellemek için firewall cihazları geliştirildi. 1988’de DEC (Digital Equipment Corporation) paket filtreleme modunda çalışan ilk firewall’u üretti. İlk firewall cihazları belirli kurallara göre paketleri geçiren ya da durduran cihazlardı. 1989’da AT&T firması ilk stateful firewall’u üretti. Paket filtre modunda çalışan firewall’a benzer biçimde stateful olanı da trafiğe izin verir veya yasaklar. Buna ek olarak kurulmuş olan bağlantıyı izleyerek ters yön trafiğine de izin verir ve diğer güvenlik ilkelerinin uygulanmasını da hızlı biçimde sağlar. İlk firewalllar router gibi mevcut cihazların üzerine yazılımla özellik eklenerek oluşturulurdu. Zamanla birkaç firma tek başına çalışan firewall cihazları ürettiler. Cisco Adaptive Security Appliance (ASA) ismini verdiği paket filtre modunda cihazı üretti. Sonraları firmalar birkaç işi bir arada yapan cihazlar üretti. Örneğin Cisco Integrated Services Router (ISR) adlı stateful cihazı üretti. Teknolojik gelişmelere bağlı olarak bulut üzerinde çalışan güvenlik cihazları da üretildi. Cisco Security Intelligence Operations (SIO) ürünü ile bulut tabanlı servis veren, küresel tehdit bilgilerini toplayabilen, reputation (itibar) bilgileri tutabilen ve analiz yapabilen bir ürün geliştirdi. ( Üniversitesi, D. (2017))

Ağ Güvenliği Nedir?

Ağ güvenliği, ağ trafiğini de kapsayan dijital varlıkları korurken, izinsiz ağ saldırılarını izlemek, önlemek ve bunlara yanıt vermek için tasarlanmış araçları, taktikleri ve güvenlik politikalarını tanımlayan bir terimdir. Ağ güvenliği, donanım ve yazılım teknolojilerini (bilgili güvenlik analistleri, avcılar, olay yanıtlayıcıları vb. kaynaklar dahil) içerir ve ağınızı hedef alan tüm potansiyel tehditlere yanıt vermek üzere tasarlanmıştır.( Teknokavram. (2017, Mart 2). Ağ Güvenliği Nedir?)

Başka bir deyişle, yanlış insanları hassas verilerinizden uzak tutmak için kullandığınız savunmalardır.
Hackerler içeri girmeye çalışıyor; ağ güvenliği onları uzak tutar. Bu tanım içinde, herhangi bir ağ güvenliği stratejisinin temeli olarak hizmet etmesi gereken üç ana odak var: koruma, saldırı tespit ve saldırı engelleme.
Koruma: Ağınıza kötü niyetli kişilerin girmesini önlemek için tasarlanmış herhangi bir araç veya politika gerektirir.
Algılama: Ağ trafiğini analiz etmenize ve zarar vermeden önce sorunları hızla tanımlamanıza olanak sağlayan kaynakları ifade eder.
Müdahale: Tespit edilen tehditlere tepki verme ve mümkün olduğunca çabuk çözme yeteneğidir.( Teknokavram. (2017, Mart 2))

AĞ GÜVENLİĞİNİN ÖNEMİ

Devletlerin ve içerisinde yaşayanların öncelikli ve ortak hedefi; her türlü tehditlerden korunmak ve bu amaçlar doğrultusunda tedbirler almaktır. Tüm canlılar ve canlı ruhuna bürünmüş olan firmalar, kurumlar ve devletlerin varlığını sürdürmek için her türlü kanaldan gelebilecek saldırılara karşı güvenliğini sağlaması gerekmektedir.
Günümüze kadar gelen klasik güvenlik anlayışı kapsamında tüm devletler hayati önem taşıyan güvenlik anlayışı için bir takım tedbirler almışlardır. Hukuki düzenlemelerin yapılması, polis teşkilatları, istihbarat teşkilatları ve askeri teşkilatların kurulması güvenlik ihlallerini engellemek için doğan doğal bir ihtiyaçtır.( CyberMag. (2020, ŞUBAT 13). Ağ Güvenliği Temelleri. )

Özellikle 2000’li yıllardan sonra bilgi ve iletişim teknolojilerinin hızlı bir şekilde gelişmesi tüm bireylerin ve kurumların tüm çalışmalarını bilgisayar ve bağlı olduğu ağlar üzerinden yapmaları ve hayatımızın her alanında teknolojinin kullanılması güvenlik olgusuna yeni yaklaşımları da beraberinde getirmiştir. Teknolojiden vazgeçemeyen toplumlar güvenliği artırma yoluna gitmektedirler. Hiç şüphesiz yeni güvenlik ihtiyaçları da eskiden gelen güvenlik ihtiyaçları kadar önem taşımaktadır. Bu nedenle özellikle büyük ağ sistemlerine sahip kurum ve kuruluşlar başta olmak üzere en değerli veri olan bilginin korunması için önlem alınması tüm taraflar için zorunlu hale gelmiştir. ( CyberMag. (2020, ŞUBAT 13))

Ağ güvenliği gün geçtikçe daha da önem kazanan bir konudur. Çok büyük öneme sahip özel ve kurumsal bilgilerin internet gibi global ve güvensiz bir ortamda dolaşması güvenlik kaygılarının artmasına sebep olmaktadır.
Ağ güvenliği genel olarak, bir kurumun veri iletişiminde kullandığı tüm kaynakların güvenli olup olmamasını konu edinmektedir. Sahip olunan kaynaklara yetkisiz ve illegal sebeplerle kötü amaçlı erişimleri engellemek ve verinin dolaşımı sırasında mahremiyetini, bütünlüğünü ve özelliğini korumak ağ güvenliği kapsamında yapılmaktadır.( CyberMag. (2020, ŞUBAT 13))

İş yerine bir hırsız girmeden önlem almak çoğu kişi için masraf kalemi olarak görülebilmektedir. Ancak ne zaman değerli varlıklarımızı kaybedersek güvenlik önlemlerini almadığımız için üzülürüz. Kıt kaynaklar nedeni ile bilgi işlem personeli, siber güvenlik personeli yada network güvenlik önlemleri almayan bir firmanın vahşi internet ortamından payını alması kaçınılamazdır. Dünya artık eski dünya değildir. ( CyberMag. (2020, ŞUBAT 13))

Firmaların Ağınız ne kadar güvenli?
Ağınızda güvenlik açıkları varmı?
Bugüne kadar alınan güvenlik tedbirleri nelerdir?
sorularına verilecek cevabı bugün gözden geçirmeleri gerekmektedir. Çünkü yarın çok geç olacaktır.

AĞ GÜVENLİK POLİTİKALARI

Ağ güvenliği politikası bir kuruluşun faaliyetleri ile ilgili tasarlanmış geniş, uçtan uca belgedir. Politika, ağ tasarımına yardımcı olur, güvenlik ilkelerini ve ağ uygulamasını kolaylaştırır. Ağ güvenlik politikası ile ağ erişimi için kurallar, politikaların uygulama ilkeleri ve kurumun ağ güvenlik ortamının temel mimarisi açıklanır. Onun kapsamı ve etkisi, geniş bir komite tarafından oluşturulmasından kaynaklanır. Politika belgesi veri erişimi, web görüntüleme, şifre kullanımı, şifreleme ve e-posta ekleri gibi öğeleri yönetme amaçlı bir kompleks belgedir. Güvenlik politikası kötü niyetli kullanıcıların ortaya çıkaracağı potansiyel riskleri içermelidir.( Üniversitesi, D. (2017). BİLGİSAYAR AĞ GÜVENLİĞİ – Ağ Güvenliği Politikası.)

Cisco’nun SecureX mimarisi her hangi bir kullanıcının, herhangi bir cihazı her hangi bir zamanda herhangi bir yerden kullanımı için etkili güvenlik sağlamak için tasarlanmıştır. Bu yeni güvenlik mimarisi tüm durumları (kim, ne, nereye, nasıl, ne zaman) dikkate alan yüksek seviyeli politika dili kullanır. Oldukça dağıtık güvenlik politikası zorlaması ile son kullanıcı nerede çalışıyorsa ona yakın hale getirilir.
Bu mimari şu elemanları içerir:
• Tarama motorları
• Dağıtım mekanizmaları
• Güvenlik istihbarat operasyonları
• Politika yönetim konsolları
• Yeni nesil son nokta

Kullanıcı hareketliliğinin artması, tüketici cihazlarının çoğalması ve bilginin gelenekselin dışında hareketi BT altyapısının güvenliğini karmaşık hale getirdi. Bölük pörçük güvenlik çözümleri uygulama iki kat insan gücü, maliyet ve uygunsuz erişim politikalarına yol açabilir. Cisco Securex ürünleri herhangi bir zaman, herhangi bir yerden, herhangi bir aygıtı kullanan herhangi bir kullanıcı için etkin güvenlik sağlamak için komple çözüm sunar. Bu neden Cisco Securex mimarisi kullanmanın gerekçelerinden biridir.( Üniversitesi, D. (2017)

Güvenlik politikası şu sorulara cevap verebilmelidir. Kullanıcıların ihtiyaçları nelerdir? Hangi işlemler, veri veya bilgi sistemleri sizin için veya kurumunuz için kritik öneme sahiptir? Hangi durumlarda kurumunuzun işleyişi kesintiye uğrar veya tamamen durur?

AĞ GÜVENLİĞİ NASIL SAĞLANIR?

Güvenlik Duvarı(Firewall)

Resim1:(McCormack. (2007, EKİM 15))

Firewall’lar, yerel ağınızla dış ağ arasındaki güvenlik kontrol yazılımları/cihazlarıdır. Firewall ilk kurulduğunda bu nokta üzerindeki bütün geçişleri durdurur. Daha önceden belirlenen politikalar dahilinde hangi data paketinin geçip geçmeyeceği, hangi geçişlerde parola doğrulaması yapılacağı gibi bilgiler firewall kural tablolarına eklenir. Bu sayede sisteme ulaşan kişi ve bilgi trafiği kontrol altına alınmış olur. İçerideki/dışarıdaki sistemlere kimlerin girip giremeyeceğine, giren kişilerin hangi bilgisayarları ve hangi servisleri kullanabileceğini firewall üzerindeki kurallar belirler.( Bilişim, R. (2020). Ağ Güvenliği Nasıl Sağlanır?)
Firewall yazılımı, adresler arası dönüştürme-maskeleme(NAT) sayesinde LAN(Local Area Network) deki cihazların IP adreslerini gizleyerek tek bir IP ile dış ağlara erişimini sağlar. Adres saklama ve adres yönlendirme işlemleri firewall üzerinden yapılabilir. Böylece dış dünyadaki kullanıcılar yerel ağdaki kritik topoloji yapısını ve IP bilgisini edinemezler. Firewall yazılımı kendi üzerinde belirtilmiş şüpheli durumlarda sorumluları uyarabilir(e-mail, SNMP, vb.).
Gelişmiş firewall yazılımları üzerinden geçen bütün etkinlikleri daha sonradan incelenebilmesi için kaydederler. Ek bir lisans yada modül ile birlikte VPN(Virtual Private Network) denilen yerel ağa gidip gelen bilgilerin şifrelenmesi ile uzak ofislerden yada evden internet üzerinden güvenli bir şekilde şirket bilgilerine ulaşmak mail vb. servisleri kullanmak mümkün olmaktadır. Bu şekilde daha pahalı çözümler yerine(lised line yada frame relay) Internet kullanılabilir. Yalnız uzaktaki kullanıcıların güvenliği burada ön plana çıkmaktadır. Dışarıdan bağlanan kişinin gerçekten sizin belirlediğiniz yetkili kişi olup olmadığı önemlidir. Bu kişilerin şifresini ele geçirenler sisteminize o kişilerin haklarıyla ulaşabilirler. Bu noktada kişisel firewall ve dinamik şifre üreten tokenlar devrede olmalıdır.( Bilişim, R. (2020))

Günümüzdeki gelişmiş firewall sistemleri içerik denetleme işlemi yapmamakta bu tip hizmetleri firewall sistemleriyle entegre çalışan diğer güvenlik sistemlerine yönlendirmektedir. Bu sayede güvenlik firmaları sadece odaklandıkları ve profesyonel oldukları konularda hizmet vermekte, kullanıcı da bu ayrık sistemlerden kendisi için uygun olan çözümleri tercih etmektedir. Örneğin gelen bilgilerin içerisinde virüs olup olmadığı yada atak yapılıp yapılmadığı firewall tarafından kontrol edilmez. Kurallarda belirtilmişse kendisi ile entegre çalışan sisteme data paketini yönlendirir. Tarama işlemi diğer makinada yapıldıktan sonra paket tekrar firewall a geri döner. ( Bilişim, R. (2020))

 

Firewall yazılımının yönetim konsolu merkezi yönetim amaçlı olarak ayrı makinelere yüklenebilir. Yönetim ile ilgili kurallar, trafikle ilgili kayıtlar(log) ayrı sistemlerde tutulabilir. Kullanıcı grafik ara yüzü ile uzak makinelerden kolayca yönetim yapılabilir ve mevcut kullanıcı bilgileri (LDAP) uygulamalarından alınabilir. Aktif bağlantılar görüntülenip gerektiğinde ana güvenlik politikalarına engel olmadan bağlantılara müdahale edilebilir. Bant genişliği yönetimi sağlayan sistemlerle entegre olabilir. ( Bilişim, R. (2020))

Firewall yazılımları/cihazları güvenliğin yapı taşları olup sistem içerisindeki diğer güvenlik yazılım/cihazları ile uyumlu çalışmakta ve gelecekteki güvenlik teknolojilerine taban teşkil etmektedirler. Firewall yazılımı kesinlikle şart olmasına rağmen güvenlik için tek başına yeterli değildir. ( Bilişim, R. (2020))

VPN (Virtual Private Networks)

Resim2:(ATMACA, K. (2019, ARALIK 20))

VPN sayesinde hem maliyetlerimizi azaltmamız hem de daha önceden güvenli olmadığı, ayrıca pahalı olduğu için yapamadığımız farklı mekanlardaki PC ve LAN’ları internet üzerinden aynı platformlara taşımamız mümkün. Bu sayede evimizdeyken şirketimize bağlanıp sanki oradaymış gibi güvenli bir şekilde şirket kaynaklarına ulaşmamız, maillerimizi kontrol etmemiz, Intranet’i kullanmamız mümkün olmaktadır. ( Bilişim, R. (2020))

Bu sayede mobil çalışanlarımızı, uzak bürolarımızı, bayilerimizi, iş ortaklarımızı bizim belirlediğimiz kriterlere göre şirket içi kaynaklarından faydalanmalarını sağlayabiliriz. Lised lines ve frame-relay hatların pahalı çözümlerine alternatif olarak Internet’i kullanabiliyoruz. Tabi akla gelen ilk soru Internet üzerinde bilgi alışverişi yapılırken bilgilerimiz ne derece güvende. VPN teknolojilerinde taraflar arasında karşılıklı şifreleme söz konusu ve bu şifreleme teknolojileri oldukça gelişmiş durumda. Güvenlik için bilgiler karşılıklı dijital olarak imzalanır, sonra bu paketler uluslar arası standartlara uygun çeşitli protokollerden biri tarafından şifrelenir ve karşı tarafta da benzer şekilde açılır. Yalnız VPN sadece bilgi gidip gelmesi sırasındaki güvenliği kapsadığından karşılıklı yapıların firewallar tarafından korunması gerekmektedir. Sizin bölgeniz çok güvenli olabilir ama size bağlanan evdeki bilgisayarın güvenliği de önemlidir. Çünkü dışarıdan içeri normal şartlarda sızamayan kişiler zincirin en zayıf halkasından içeri sızabilirler. ( Bilişim, R. (2020))

VPN uygulamalarında dikkat edilmesi gereken karşılıklı bağlantılar sırasında statik şifre kullanılmamasına dikkat edilmesi token/smart card benzeri çözümlerle desteklenmesi gerekir.

Antivirüs

Resim3:(AleksandarK. (2020, OCAK 30))

Ev kullanıcılarından büyük şirketlere herkes antivirüs çözümü kullanması gerektiğinin farkındadır. Kurumların ihtiyaçlarını ev kullanıcıları gibi düşünemeyiz. Artık eski sistem desktop bazlı korumalar tek başına yeterli olmamaktadır. Örneğin bu tip bir sistem bilgisayarın açılması sırasında daha virüs koruma yazılımı devreye girmeden ağdaki virüslenmiş bir sistem tarafından dosya paylaşımından faydalanarak sisteme girip antivirüs korumasını devre dışı bırakabilmektedir. Yada son günlerde tanık olduğumuz sistem açıklarını kullanarak yayılan “worm”larda olduğu gibi. Bu yüzden yeni teknolojilerde virüslerin merkezi bir yapı tarafından daha yerel ağa girmeden önce taranması fikri esas alınmaktadır.( Bilişim, R. (2020))

Virüslerin en çok yayıldığı servisler olan e-mail, http ve ftp trafikleri firewall mantığı esas alınarak antivirüs ağ geçidine yönlendirilir. Buradaki tarama işleminden sonra gerekli yerlere yönlendirilme yapılır. Bu sistemle dışarıdan gelecek olan virüsler engellenmiş olur. Mail sunucuları üzerine kurulan anti virüs sistemiyle yerel ağ içerisinde e-mail aracılığıyla dolaşan virüslerde etkisiz hale getirilmiş olur. ( Bilişim, R. (2020))

Sunucu bilgisayarları üzerine kurulacak virüs koruma yazılımları ve şirket çalışanlarının sistemlerini kontrol edecek yazılımlarla kurumsal anti virüs çözümü sağlanmış olur.
Bütün bu virüs sistemlerinin tek bir merkezi noktadan kontrolü ve tek bir noktadan anti virüs güncelleme dosyalarının alınıp dağıtılması yapılabilmektedir. İstenirse firewall la entegre çalıştırılabilmektedirler. Otomatik olarak gerektiğinde her saat başı yeni güncelleme dosyaları alınabilmektedir. Bu sistemlerle ayrıca rahatsız edici mailleri engellemek, içerdiği kelimelere yada eklerine göre silme/arşivleme vb. işlemler yapılabilmekte kısaca mail yönetimi sağlanabilmektedir. ( Bilişim, R. (2020))

Kurumsal Anti virüs Koruması seçerken dikkat edilmesi gerekenler
Virüs taraması yaparken performans kaybı yaşanmamalıdır. Mümkünse uluslararası sertifikaları sorulmalıdır. Her türlü zararlı kodlara karşı tarama yapabilmelidir (Trojans, droppers, ActiveX ve Java) Müşteri tarafına her türlü yoldan zararlı kodların ulaşabileceği düşünülmeli sunulan çözüm bütün zararlı kodları tesirsiz hale getirebilmelidir. Sizi virüslerin çoğundan değil hepsinden koruyan sistemlere ihtiyacınız olacaktır. Sorunla karşılaşıldığında servisini ve desteğini alabileceğiniz ürünlere yönelin. Sisteminize entegre olup olmayacağını sorun çünkü yeni teknoloji virüs tarayıcılar firewall sistemleriyle proxylerle mail sunucularıyla entegre çalışabilmektedir Bütün virüs sistemini mümkünse tek yerden yönetebileceğiniz sistemleri seçmeniz avantajınıza olacaktır. Merkezi raporlama ve otomatik güncelleme (yeni virüslere karşı) yapması da işlerinizi kolaylaştıracaktır. ( Bilişim, R. (2020))

IDS (Saldırı Tespit Sistemleri)

Saldırı Tespit Sistemleri, Internet dünyasının gelişim sürecinde özellikle tüm dünyada kullanılan web trafiğinin artması ve de web sayfalarının popüler hale gelmesi ile birlikte kişisel ya da tüzel sayfalara yapılan saldırılar sonucu ihtiyaç duyulan en önemli konulardan biri haline gelmiştir. Bununla birlikte kurum ya da kuruluşların sahip oldukları ve tüm dünyaya açık tuttukları mail, dns, database gibi sunucularının benzeri saldırılara maruz kalabilecekleri ihtimali yine Saldırı Tespit Sistemlerini Internet Güvenliği alanının vazgeçilmez bir parçası haline getirmiştir. Kurumların sahip oldukları çalışan sayısı ve bu çalışanların kendi kurumlarındaki kritik değer taşıyan yapılara saldırabilme ihtimalleri de iç ağın ya da tek tek kritik sunucuların kontrol altında tutulma gerekliliğini beraberinde getirir. ( Bilişim, R. (2020))

IDS(Intrusion Detection System) genel olarak iki tip olarak karşımıza çıkar; Sunucu tabanlı IDS ve Ağ tabanlı IDS. Ağ tabanlı IDS in görevi, bir kurum yada kuruluşun sahip olduğu ağ yada ağlara yönlenmiş olan tüm trafiği algılayarak, bu ağa doğru geçen her bir data paketinin içeriğini sorgulamak, bir atak olup olmadığına karar vererek kaydını alabilmek, kendisi ya da konfigüre edebildiği başka bir aktif cihaz tarafından atakları kesmek, sistem yöneticisini bilgilendirmek ve ilgili raporlar oluşturabilmektir. IDS bir data paketinin atak olup olmadığını, kendi atak veritabanında bulunan atak tipleriyle karşılaştırarak anlar ve karar verir. Sonuç olarak bir IDS in en önemli bileşeni bu atak veritabanıdır. Söz konusu Atak veritabanı nın içeriği, ne kadar sıklıkla ve doğrulukla güncellendiği ve kimin tarafından oluşturulduğu/güncellendiği en önemli noktadır. Bu sebeple doğru üretici firma ve ekip seçimi çok önemlidir. ( Bilişim, R. (2020))

Sunucu Tabanlı IDS in görevi ise kurulu bulunduğu sunucuya doğru yönlenmiş bulunan trafiği yine üzerinde bulunan atak veritabanı(İşletim Sistemine göre özelleştirilmiş) baz alınarak dinlemesi ve atakları sezerek cevap vermesidir.
Genel olarak IDS iki veya daha fazla makineden oluşan bir yapıdır. Performans artırımı sebebiyle Merkezi Kontrol ve Kayıt mekanizmasının bir makinede, Trafiği dinleyen ağ tabanlı modül veya Sunucu tabanlı modül ayrı makinelerde tutulur.
IDS’ ler, dinlediği trafiğin kaydını tutarak, gerektiğinde bu kayıtları baz alarak istenilen şekilde raporlar çıkartabilmektedir. Atak sezdiklerinde atakları önleyebilir, yöneticilerine mail yada benzeri yollarla haber verebilirler, önceden oluşturulmuş bir program çalıştırabilir ve telnet benzeri bağlantıları kayıt ederek sonrasında izlenmesini sağlayabilirler. Tüm bu özellikleriyle IDS ler sistemin güvenli bir şekilde işlemesine yardımcı olur ve Sistem Yöneticilerinin Sistemi güçlü bir şekilde izlemesine yardımcı olmaktadırlar. ( Bilişim, R. (2020))

Web filtreleme çözümleri (URL Filtering)

Bugün çalışanların çoğunun Internet’e erişim hakları var. Fakat bunların hangi sayfalara gittikleri, oralarda ne kadar zaman geçirdikleri bunların ne kadarının işle ilgili olduğu gibi soruların yanıtlanması gerekiyor. Son zamanlarda yapılan bir çok araştırma iş günü içerisinde yapılan web sayfası ziyaretlerinin çoğunun işle alakalı olmadığı, sakıncalı sayfa ziyaretlerinin sistemlere virus/trojan bulaşmasına, gereksiz bant genişliği harcanmasına ve yasal olmayan sitelerden indirilen programların sistemlere sahte lisanslarla kurulmasına (ki bu programların lisanssız yada sahte lisanslarla kurulmasından sistem yöneticileri ve şirket sahipleri BSA ya karşı sorumlular) sebep olmakta. ( Bilişim, R. (2020))

Bütün bunları engelleyebilmek için URL filtering denilen yazılımlar kullanılmakta. Bu yazılımların her gün güncellenen veri tabanları sayesinde dünyadaki çoğu web sayfaları sınıflandırılmış durumda. Bu yazılımlar kişi, grup, IP adres aralıklarına kural tanımlamamızı sağlamaktadır. Bu sayede daha önceden tanımladığımız kişilere hangi zaman aralıklarında nerelere girebileceklerini belirlenebilir. Yada gün içerisinde bizim belirlediğimiz kategoriler için zaman kotası uygulana bilinir. Örneğin sabah 9:00-12:00 arası gazetelere yarım saat bakılma izni (bu sayfalarda kalış zamanı kotadan düşürülür) 12:00-13:00 her yere izin vb.. URL filtreleme yazılımlarıyla ayrıca anahtar kelime bazlı sınırlandırma(örnegin mp3) yada manuel olarak sayfa eklenebilir.
Engellenen sayfalarla ilgili olarak kullanıcı karşısına bilgilendirici bir ekran çıkar ve neden engellendiği yada hangi zaman aralıklarında geçerli olduğu belirtilir. Burada daha önceden belirlenmiş bir sayfaya yönlendirmekte mümkündür. Bu tür yazılımlarının raporlama modülleri sayesinde kimlerin nerelere gittikleri oralarda ne kadar süre boyunca kaldıkları gibi ayrıntılı bilgilere ulaşmak mümkündür. ( Bilişim, R. (2020))

Internetin pozitif kullanımı:
* eMail
* eTicaret
* Araştırmalar
* Önemli gelişmeler
* Doküman alışverişi
* Web tabanlı uygulamalar
Negatif amaçlarla kullanım
. Desktop TV, BBG tarzı yapımlar
. Hisse senedi
. Eğlence
. Alışveriş
. Kumar
. Müzik
. Spor
. Download
. Internette en çok aratılan üç kelime mp3, sex, hotmail (kaynak wordtracker.com)
. Çalışanların 54% ü gün içerisinde an az yarım saatlerini işle alakasız konularda internette sörf yapmaktadırlar.
. Bu zamanın çoğu yetişkin sitelerinde geçmekte
. Yeni iş başvuruları yapılmakta
. Gezi siteleri ziyaret edilmekte
. Spor aktiviteleri takip edilmekte
. Konuşma odalarında bulunulmakta
. Hacker sayfaları ve hack araçlarının bulunduğu sayfalar ziyaret edilmekte. ( Bilişim, R. (2020))

Güçlü Tanılama (Strong Authentication)

Gerçekten sistemlerinize kimlerin ulaştığını biliyor musunuz?
Eğer VPN, mail, Web sayfa erişimleri, uzak erişim (remote access) v.b. bağlantılarınızda statik kullanıcı isimleri ve şifreler kullanıyorsanız bundan tam olarak emin olamazsınız. Dışarıdan yapılan bağlantılarda sizin verdiğiniz şifrelerin başkaları tarafından ele geçirilmesi yada “brute force” denilen yöntemle şifrelerin bulunması söz konusudur. Güçlü tanılama yöntemleri sisteminize erişenlerin kimliğinden emin olmanızı sağlar.
Güçlü tanılama (Strong Authentication) nedir? :
Güçlü tanılama, bir kullanıcıyı tanırken en az iki metot kullanır. 3 metotla mevcut tanılama güçlendirilebilir:
. Sahip olduğunuz şey (Something you have)
Kapı anahtarı, ATM kartı veya token
. Bildiğiniz şey (Something you know )
Şifre, PIN numarası
. Biyometrik tanılama (Something you are)
Parmak izi, ses tanıma sistemleri, retina taramaları
Bu yöntemlerin her biri tek başına yeterli değildir mesela ATM kartınızı kaybedebilirsiniz, şifreniz tahmin edilebilir. Biyometrik tanılama güçlü bir yöntem olmasına rağmen halen pahalı ve açık noktaları bulunabilmektedir. Bu yöntemlerden teki (single authentication) yerine iki metodun birlikte kullanıldığı yöntemler “two-factor authentication” yada “strong authentication” olarak bilinmektedir. Örneğin ATM makineleri iki kombinasyonu birlikte kullanırlar plastik bir kard (Something you have) ve bir PIN numarası (Something you know). Token ve smart kartlar güçlü tanılama sistemleri kullanırlar. Token ve smart kartların bir çok çeşidi bulunmakta. ( Bilişim, R. (2020))

Smart Kartlar: Dünya üzerinde yaklaşık bir milyar kişi smart kart teknolojisini banka hesapları, ödeme, telefon sistemleri, kişisel bilgilerin saklanması(tıbbi kayıtlar gibi) için kullanıyor. Smart kartlar ATM(banka) kartlarından çip yapısıyla ayrılır. ATM kartlarında statik bilgi içeren manyetik bantlar bulunmaktadır. Smart kartlarda ise küçük bir çip bulunmaktadır. Bu sayede çip içerisinde bilgilerin saklanmasının yanında hesaplamalarda yapılabilmektedir. Manyetik kartların dış yüzeylerinde bulunan bilgilerin kopyalanabilmeside güvenlik açısından smart kart kullanımının gerekliliğini ortaya koymaktadır. Bütün bilgilerin ve işlemlerin çip içerisinde yapılması ve çipin kopyalanamaması smart kartın en büyük artıları arasında yer almakta. Ayrıca smart kartınızdaki bilgilerinize ulaşmanız için kartınızın PIN koduna ihtiyacınız var. Oldukça güvenli bu sistemlerin tek dezavantajı smart kart okuyucuya ve yazılımına ihtiyaç duyulması. ( Bilişim, R. (2020))

Token-Tabanlı Uygulamalar: Token çözümleri gelecekte güvenlik işlemlerinde zorunluluk olarak kaşımıza çıkacak. Şifrelerin bu kadar kolay ele geçirilebilmesi yada şifre denemeleri sayesinde şifrelerin bulunabilmesi her seferinde size başka şifre üreten sistemlerin doğmasına yol açtı. Bu sayede şifrenizi ele geçiren bir kişi dahi onu kullanamaz. Bunun için çeşitli yazılım yada fiziksel çözümler mevcut. Dakikada bir değişen şifreler yada her düğmeye bastığınızda size yeni bir şifre üreten tokenlar sayesinde şifrelerin çalınması yada başkaları tarafından bilinmesi problemi ortadan kalkıyor. Ve tokenların çoğundaki sistem bir PIN numarası ile korunuyor bu sayede tokenin kendisini kaybetmeniz durumunda dahi sistem kendini koruyabiliyor. Bir çoğu anahtarlık ve kredi kartı boyutlarında üretildiklerinden kolayca yanınızda taşıyıp istenilen yerden başka bir sisteme gerek kalmadan bağlantılarınızı güvenli bir şekilde yapabilirsiniz. ( Bilişim, R. (2020))

Sistem Ve Ağ Güvenliği Konusunda Alınacak Önlemler!

1. SQL datalarının/Veritabanı dosyalarının, programın çalışan exelerinin, programın tasarım ve diğer dizinlerinin vs. düzenli olarak harici bir ortama yedeklenmesi gerekir. Alınan yedeklerin ağa bağlı olmayan harici bir ortamda birden fazla kişide ve yerde bulunması gerekir.
2. Sisteminizden dışarıya bir port açmanız gerekirse ( örneğin kullanılan yazılım ile ilgili uzak masaüstü bağlanılması desteği vb.) açılan porta bağlantı için mutlaka bir kural oluşturulmalıdır. IP kısıtlaması yapılmalıdır.
3. Sistemdeki kullanıcıların yetkilerinin düzenlenmesi gerekir. Son kullanıcılarda Admin (yönetici) yetkisinin olmaması gerekir.
4. Tüm personelin şifrelerinin belirli periyotlarda değiştirilmesi ve şifrelerin karmaşıklık ilkesinde ( büyük harf, küçük harf, rakam ve özel karakter içermesi vs.) olması gerekir.
5. Güncel ve lisanslı antivirüs programları kullanılmalıdır. Güncel işletim sistemi ve güncel database (veritabanı) sistemleri kullanılmalıdır.
6. Son kullanıcıların bilgisayarlarında USB bellek kullanımının kontrol altına alınması gerekir. Ayrıca son kullanıcı personelin Sistem ve Ağ güvenliği konusunda eğitim verilerek bilinçlendirilmesi gerekir.
7. Kurum çalışanları ve misafirlerin WİFİ ( kablosuz bağlantı-internet paylaşımı)’ nın birbirinden bağımsız olması gerekir.
8. Güvenlik duvarı ( Firewall) oluşturulması gerekir, güvenlik duvarları yerel ağ ile dış ağ arasında kontrol cihazları/yazılımlarıdır. Bu sayede sisteme ulaşan kişi ve bilgi trafiği kontrol altına alınmış olur. Sisteme giren kişilerin hangi bilgisayarlar ve servisleri kullanacağı belirlenir.
Web Filtreleme ( URL Filtering) sistemleri kullanılarak, kurum çalışanlarının web sayfası ziyaretleri kontrol altına alınıp virüs/trojan bulaşması engellenmiş olacaktır. Spam mailler üzerinden virüsler bulaşabilmektedir.(BİLDİRİ. (2020). SİSTEM VE AĞ GÜVENLİĞİ KONUSUNDA ALINACAK ÖNLEMLER!!!)

AĞ CİHAZLARININ GÜVENLİĞİNİ SAĞLAMA YÖNTEMLERİ

Bir ağın(network) güvenliği dikkat edilmesi gereken bir konudur. Güvenlik duvarı(firewall) çoğu zaman bir ağın güvenliği sağlamak için yeterli olmaz. Güvenlik bir ağda çalışmakta olan tüm cihazlar açısından düşünülmeli ve uygulanmalıdır. Ayrıca güvenliğin sürekli olması da önemli bir husustur. ( İTÜBİDB, BİLGİ İŞLEM DAİRE BAŞKANLIĞI. (2013, EYLÜL 7).)

Ağ Cihazları

Bir ağda bulunan bilgisayarların birbirleriyle iletişim kurması için bir kablo aracılığıyla bağlanmaları veya kablosuz(wireless) olarak haberleşmeleri gerekir; ancak tüm bilgisayarları kabloyla birbirlerine bağlamak kullanışlı bir yöntem değildir ve bu yüzdendir ki pek tercih edilmez. Bunun yerine tüm bilgisayarla ortak bir cihaza (switch) bağlanır. Böylece yerel bir ağ oluşturulur. Bu yerel ağın İnternete erişebilmesi için bir yönlendiriciye (router) ihtiyaç vardır.( İTÜBİDB (2013, EYLÜL 7))

Fiziksel Güvenlik

Bir saldırgan ana cihaza fiziksel olarak erişebiliyorsa, cihazın kontrolünü rahatlıkla ele alabilir. Hatta trafik gönderebilir ya da hattı dinleyebilir. Bu hususa özellikle dikkat edilmeli ve gerekli önlemler alınmalıdır. Bazı fiziksel güvenlik yöntemleri şunlardır;
• Cihazlar sadece yöneticinin açma yetkisi bulunan odalarda ya da kilitli dolaplarda(kabinet) tutulmalıdır.
• Cihaza fiziksel olarak erişenlerin isimlerini erişim zamanlarını da gösteren bir listede tutmak akıllıca bir davranıştır.
• Kablolar etiketlenmeli ve ne iş yaptıkları belirlenmelidir. Kullanılmayan kablolar ağdan çıkarılmalıdır.
• Cihazalara erişim bilgileri açık yerde tutulmamalıdır.
• Güç kaynaklarının yerleri belirlenmeli ve bu kaynaklar gözden uzakta kilitli tutulmalıdır. Böylece saldırganın gücü kesmesi engellenmelidir.( İTÜBİDB (2013, EYLÜL 7))

Şifre Yönetimi

Şifre yönetiminin en efektif yolu “LDAP” veya “RADIUS” doğrulama sunucularından faydalanarak bir onay mekanizma sistemi kullanmaktır. Böyle bir mekanizma kullanılsa bile yetkili hakların kullanımı için yerel tanıtılmış bir şifre yapılandırma dosyasında bulunmalıdır. Yönetilebilir cihazların çoğu kullanıcı hesapları ve yönetici hesapları adı altında iki farklı kullanım seçeneğine sahiptirler. Kullanıcılar sadece arayüzleri inceleyip çalışabilirken yöneticiler cihaz ayarlarında değişiklik yapma haklarına sahiptirler. Bir şifreyi yapılandırma dosyalarında tutarken kesinlikle şifrelenmiş(encrypted) halde tutmak gerekir. Ayrıca bir şifre belirlenirken iyi bir şifrenin özellliklerini taşımamasına dikkat edilmelidir. İyi bir şifre; ( İTÜBİDB (2013, EYLÜL 7))
• Büyük ve küçük harf içerir.
• Noktalama işareti ve rakam içerir.
• Kolaylıkla hatırlanabilir böylelikle bir yere yazılmalarına gerek kalmaz.
• En az sekiz karekter uzunluğunda olur.
• Hızlı yazılabilirler.

Cihaz Erişim Protokollerine Dair Önlemler

Ağ cihazlarının ayarlanması, yönetimi ve kontrolünde “HTTP”, “Telnet”, “SSH”, “SNMP”, “TFTP” ve “FTP” gibi protokoller kullanılmaktadır. Bu protokoller “TCP/IP” protokolünün alt elemanları oldukları için, bu protokolün zaaflarına karşı önlem alınması çok önemlidir. En etkili yöntem ise cihazlara sadece belirli “IP” adreslerinin ulaşmasına izin vermelidir. Bu işlem de erişim listesi(Access-list) oluşturularak gerçeklenebilir. HTTP bir Web arayüzü üzerinden cihazalara interaktif bağlanmayı sağlayan bir protokoldür. Telnet ve SSH birbirine benzerlik gösteren iki uzak bağlantı protokolüdür. Ancak Telnet ile yapılan bağlantılarda saldırganın dinleme yoluyla iletilmek istenen veriyi elde etmesi mümkündür. Bu nedenle verileri şifrelenmiş halde gönderen SSH’i kullanmak daha güvenilir bir yöntemdir. “Simple Network Management Protokol(SNMP)” ağ trafiği, istatistikler, bellek ve işlemci kullanımı hakkında bilgi vermesi yönleriyle çok tercih edilen bir protokoldür. ( İTÜBİDB (2013, EYLÜL 7))

Kayıtlama Ayarları

Ağ cihazları çeşitli olayları kayıtlama özelliğine sahiptirler. Bu kayıtlar güvenlik ile ilgili kritik önem taşıyabilmektedir. Özelllikle erişim listelerine (access-list) takılan bağlantılar(match) gibi güvenlik açısından önemli olan bilgilerin kaydı tutulabilmektedir. Burada dikkat edilmesi gereken nokta bu kayıtların düzenli olarak takipte tutmak ve sistemlerin çalışmasında bir problem olup olmadığını kontrol etmektir. Ayrıca “Network Time Protokol(NTP)” çalıştırmak da farklı cihazlrdan ağa gelen mesajların zamana göre depolanması açısından dikkat edilmesi gereken bir husustur. ( İTÜBİDB (2013, EYLÜL 7))

VİRÜSLER, SOLUCANLAR (WORMS) VE TRUVA ATLARI (TROJAN HORSES)
Virüsler, solucanlar (worm) ve truva atları (trojen); bilgisayarın düzgün olarak çalışmasını engelleyen, kullanıcının izni dışında sistem yapılandırması üzerinde değişiklikler yapan ve bilgisayar içerisindeki bilgiler için tehdit oluşturan kötü amaçlı yazılımlardır. Bu yazılımlar çok çabuk yayılabilmelerinin ve İnternet bağlantısı üzerinde yavaşlamaya sebep olabilmelerinin yanı sıra ağdaki diğer bilgisayarları da tehdit edebilirler.( İTÜBİDB, BİLGİ İŞLEM DAİRE BAŞKANLIĞI. (2013, EYLÜL 7))


Virüsler

Yaygın virüsler genellikle dikkatsiz ya da yetersiz bilgi sahibi bilgisayar kullanıcıları tarafından farkında olmadan gönderilirler. Bu kötü amaçlı yazılımlar çoğunlukla başka bir yazılımın yanında ek olarak, İnternet bağlantılarını (linkler) kullanarak ya da diğer programların kaynak kodlarında kendilerini gizleyerek bilgisayarlara bulaşırlar. Farklı virüs çeşitleri bulaştıkları işletim sistemlerinin farklı bölümlerinde etkinlik gösterebilirler. Virüsler, etkinlik gösterdikleri alanlara göre 4 farklı gruba ayırabilir:( İTÜBİDB (2013, EYLÜL 7))
Dosya sistemi virüsleri: Farklı dosya sistemleri içerisinde yer alan virüs çeşididir.
Önyükleme bölümü (boot sector) virüsleri: İşletim sisteminin önyükleme dosyaları arasına sızarak bilgisayarın açılmasıyla birlikte çalışmaya başlayan virüslerdir.
Makro yazılım virüsleri: MS Office gibi makro yazılımların içerisinde gizlenen virüslerdir.
Komut dosyası (script host) virüsleri: İnternet sayfalarının kaynak kodu dosyaları içerisinde gizlenen virüslerdir.
Farklı virüsler, bulaştıkları bilgisayarlara farklı oranlarda zarar verebilmektedirler. Bu etki bazen kullanıcıyı fazla rahatsız etmeyecek bir seviyede olurken, bazı virüs çeşitlerinde sistemi tümden çökertecek kadar ciddi hasarlara sebep olabilmektedir. ( İTÜBİDB (2013, EYLÜL 7))

Solucanlar

Solucanlar, daha karmaşık yapıya sahip olan zararlı yazılımlardır. Genellikle e-posta ile gönderilen ekler, çeşitli web siteleri ve ağ üzerinde paylaşılan dosyaları kullanarak yayılırlar. Solucanlar, bir sistemi ele geçirdiklerinde, kullanıcının başka bir eylemine ihtiyaç duymadan, kullanıcının veri kaynaklarını kullanarak (e-posta adres listesi gibi) kendi kaynak dosyalarını hızlı bir şekilde diğer kullanıcılara da ulaştırmayı denerler ve bu yolla kendilerini çok fazla sayıda çoğaltabilirler. Solucanlar bunu yaparken kullanıcıların bant genişliklerini ve ağ kaynaklarını kullandıklarından ağların kilitlenmesine, e-posta sunucularının aşırı yüklenmesine veya Web kaynaklarına erişim hızının düşmesine sebep olabilmektedirler.( İTÜBİDB (2013, EYLÜL 7))

Truva Atları

Truva atı adı verilen zararlı yazılımlar ise kendilerini kullanıcılara faydalı bir program gibi gösterek karşıdan yüklenilmelerini sağlarlar. Temelde iki farklı dosya içerirler. Bunlardan birincisi kullanıcıya yollanılan dosyadır. Bu dosya kullanıcının kendisini bilerek veya bilmeyerek çalıştırması durumunda bilgisayarın bir portunu kendisi için açarak, programcısına kullanıcının bilgisayarına erişebilme imkanı sunar. Programcı ise ikinci dosyayı çalıştırarak kullanıcının bilgisayarına ulaşabilmektedir. Truva atı programcıları ulaştıkları bilgisayardaki kullanıcıların kişisel bilgilerini (şifre, kredi kartı bilgileri, önemli dokümanlar) elde etmek amaçlı kullanmaktadır ve bu durum kullanıcılara virüs ve solucanlardan daha fazla zarar vermektedir. Ayrıca truva atları sistemde bilinmeyen açık bir kapı bıraktıklarından programcılarının bilgisayara kolayca başka kötü amaçlı yazılımlar yükleyebilmesine imkan vermektedir. (İTÜBİDB (2013, EYLÜL 7))

Virüs, Solucan ve Truva Atları Arasındaki Farklar:

• Virüsler yayılabilmek için kullanıcının kendisini diğer kullanıcılara bilerek veya bilmeyerek yollamasını beklerler, solucanlar ise böyle bir şeye gerek duymadan bir bilgisayara girdiği anda kendisini çoğaltmaya ve yeni kullanıcıların bilgisayarlarına ulaşmaya çalışırlar.

• Solucanlar genellikle ağ kaynaklarını hedef alırken, virüsler daha çok bulaştığı bilgisayarın sistem kaynakları üzerinde etki gösterirler. Truva atlarının hedefi ise sistem üzerinde delikler yaratarak programcısına bu bilgisayara müdahale edebileceği bir ortam yaratmaktır.( İTÜBİDB (2013, EYLÜL 7))

SONUÇ

Ağ güvenliği alanında bilinmesi gereken bir çok husustan bahsettik. Bu hususlar sırası ile; Tarihçesi, ağ güvenliği, önlemler, tehditler gibi bilinmesi gereken tüm konuları alt başlıklarda anlattık. Yani bu bilgilerden sonra ağ güvenliğinin ne kadar önemli olduğunu, nelere dikkat etmemiz gerektiğini, tehditler karşısında neler yapmamız gerektiği hakkında bilgi sahibi olduk. Bir başka bakış açısı ile bu konuya ilgi duyan ve bu alanda kendisini geliştirmeyi düşünen okuyucularımız için ilham kaynağı olmaya çalıştık.

KAYNAKÇA

Üniversitesi, D. (2017). BİLGİSAYAR AĞ GÜVENLİĞİ – Tarihçesi. DÜZCE ÜNİVERSİTESİ: http://akademik.duzce.edu.tr/Content/Dokumanlar/resulkara/DersNotlari/a0b74199-588e-4066-82d1-60b3c08cc61a.pdf adresinden alındı.

Teknokavram. (2017, Mart 2). Ağ Güvenliği Nedir? TEKNOKAVRAM: http://www.teknokavram.com/guvenlik/ag-guvenligi-nedir/ adresinden alındı.

CyberMag. (2020, ŞUBAT 13). Ağ Güvenliği Temelleri. CyberMag. CyberMag: https://www.cybermagonline.com/ag-guvenligi-temelleri adresinden alındı.

Üniversitesi, D. (2017). BİLGİSAYAR AĞ GÜVENLİĞİ – Ağ Güvenliği Politikası. DÜZCE ÜNİVERSİTESİ: http://akademik.duzce.edu.tr/Content/Dokumanlar/resulkara/DersNotlari/a0b74199-588e-4066-82d1-60b3c08cc61a.pdf adresinden alındı.

Bilişim, R. (2020). Ağ Güvenliği Nasıl Sağlanır? Red Bilişim: http://www.redbilisim.com/internet-ve-ag-guvenligi/ag-guvenligi-nasil-saglanir/33 adresinden alındı.

McCormack. (2007, EKİM 15). https://commons.wikimedia.org/wiki/User:McCormack/gallery adresinden alındı.

ATMACA, K. (2019, ARALIK 20). https://kenanatmaca.com/vpn-nedir-vpn-ile-ip-adresi-nasil-degisir/ adresinden alındı.

AleksandarK. (2020, OCAK 30). https://www.techpowerup.com/263433/antivirus-providers-continue-supporting-windows-7 adresinden alındı.

BİLDİRİ. (2020). SİSTEM VE AĞ GÜVENLİĞİ KONUSUNDA ALINACAK ÖNLEMLER!!! https://www.medisoft.com.tr/haberler/sistem-ve-ag-guvenligi-konusunda-alinacak-onlemler/ adresinden alındı.

İTÜBİDB, BİLGİ İŞLEM DAİRE BAŞKANLIĞI. (2013, EYLÜL 7). Seyir Defteri. https://bidb.itu.edu.tr/seyir-defteri/blog/2013/09/07/a%C4%9F-cihazlar%C4%B1n%C4%B1n-g%C3%BCvenli%C4%9Fini-sa%C4%9Flama-y%C3%B6ntemleri adresinden alındı.

İTÜBİDB, BİLGİ İŞLEM DAİRE BAŞKANLIĞI. (2013, EYLÜL 7). Seyir Defteri. https://bidb.itu.edu.tr/seyir-defteri/blog/2013/09/07/vir%C3%BCs-solucan-ve-truva-at%C4%B1#:~:text=Vir%C3%BCsler%2C%20solucanlar%20(worm)%20ve,tehdit%20olu%C5%9Fturan%20k%C3%B6t%C3%BC%20ama%C3%A7l%C4%B1%20yaz%C4%B1l%C4%B1mlard%C4%B1r. adresinden alındı.

Photo by Jiawei Zhao on Unsplash


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

SİBER SUÇLARIN KURUMSAL VE EKONOMİK ETKİSİ

İÇİNDEKİLER

  • 1. Giriş
  • 2. Siber Suçların Kurumsal Etkileri
    • 2.1. Marka Ve İmaj Kaybı
    • 2.2. Finansal Kayıplar
  • 3. Küresel Etkileri
  • 4. Ekonomik Etkileri
    • 4.1. Sosyo-Ekonomiye Olan Etkisi
    • 4.2. Sanal Ekonomi Üzerine Etkisi 
    • 4.3. Müşteriler Üzerine Etkisi
  • Sonuç
  • Kaynakça

1. SİBER SUÇLARIN KURUMSAL ETKİLERİ

Günümüzde siber suçlar hayatımızın birçok farklı yerinde karşımıza çıkmaktadır. Günden güne artan siber suçların kurumsal ve global etkileri oldukça önemlidir. Bu makalede siber suçların kurumsal ve global etkilerine bakacağız.

2. SİBER SUÇLARIN KURUMSAL ETKİLERİ

Kurumsal yapılarda internet iş hayatının ayrılmaz bir parçasıdır (Şahinaslan & Şahinaslan, 2019, s. 493). Ticari rekabet, hizmet sektöründeki çeşitlilik, müşteri memnuniyeti, alternatif online kanallar kurumsal yaşamla bütünleşik hale gelmiştir. Bu alandaki çatışmaların, rekabetin veya kasıtlı faaliyetlerin sonucu olarak siber saldırılara maruz kalınmaktadır. Tutulan müşteri, çalışan veya kurum verileri her geçen gün daha da kıymetli hale gelmekte, bunlar üzerinde siber (Gülsoy, 1999) suçların işlenme oranını da artırmaktadır.

2.1. MARKA VE İMAJ KAYBI

Marka; fiyatı, kalitesi, beğenilirlik düzeyi, kullanışlılık gibi çeşitli niteliklerin yanı sıra kullanıcıların ne tür kişiler olduğuna ilişkin düşünce ve izlenimlerle, markanın çağrıştırdığı kişilik özelliklerini de içine almaktadır (Gülsoy, 1999). Marka imajı, “markaya ilişkin tüketicilerde oluşan genel kanı ve izlenimler bütünü” olarak tanımlanmaktadır (Özüpek & Diker, 2013).

Symantec güvenlik firması tarafından yapılan 2012 yılı “Endpoint Security En İyi Uygulamalar Araştırması” sonucuna göre 2011 yılında araştırmaya katılan 32 ülkeden 1.425 kurumun %81’i siber saldırılarla karşılaştığını belirtmiştir (Symantec, 2010). En belirgin kayıplar arasında kurumsal kimliğe zarar verme, organizasyondaki motivasyon kaybı, müşteri ya da personele ait verilerin kaybı veya el değiştirmesi, hukuki sorunlar, ürünün, markanın ve kurumsal kimliğin zarar gördüğü ortaya çıkmıştır (Alkan, 2020) .Başarılarını gelecekte de sürdürmek isteyen firmalar aynı zamanda sahip oldukları cari sermayesini de korumak için marka ve imajlarını da koruya çalışmak zorundadır (Şahinaslan & Şahinaslan, 2019, s. 493-494).

2.2. FİNANSAL KAYIPLAR

Bir siber tehdit ve saldırı sonucunda oluşabilecek maddi hasarın tam olarak hesaplanabilmesi oldukça güç olmasının ötesinde kurumlar çoğunlukla saldırıya uğradıklarını ya da oluşan hasarı müşteri, marka-imaj, güven kaybı, yasal sorunlar gibi pek çok nedenlerle gizleme yoluna gitmektedir. Buna ilişkin veriler oldukça kısıtlı olmakla birlikte açıklanan bazı verilere bakıldığında maddi hasarın oldukça yüksek olduğu görülmektedir.

Siber suç geleneksel suç yapılarından biri kabul ediliyor. Finans endüstrisini ise en çok etkilediği alanlardan biridir. Her gün, en iyi güvenlik protokollerine sahip olduğu düşünülen lider şirketlere karşı suçlar işlenmektedir. Siber suç, ekonomiler için – 600 milyar dolara yakın- ciddi bir mali etki yaratmaya devam etmektedir. McAfee ile Stratejik ve Uluslararası Araştırmalar Merkezi’ne göre, siber suç söz konusu olduğunda, bölgenin ekonomisinin %0,84’ü etkilendiği için Avrupa ekonomisine büyük zarar veriyor. (computerweekly, 2018) Aslında biraz daha geçmişe bakarsak siber suçun etkilerinin nasıl arttığını daha net görebiliriz. 2014 yılında % 0,7’lik bir etkiden ve 445 milyar dolarlık zarardan % 34’lük bir artışı temsil ediyor. Bu artış istikrarlı bir şekilde devam etmektedir (computerweekly, 2018).

2013 yılıının ekim ayında Ponemon enstitüsünün yayınladığı rapora göre 6 ülkeden 234 şirket malware yazılımların kurbanı olurken aynı zamanda bu şirketlerden %57’si DDoS (Distributed Denial of Service) saldırılarının kurbanı olmuştur . Aynı rapora göre şirketler haftada 1.3 kez saldırılara uğrarken, bu saldırıların şirketlere maliyeti yaklaşık olarak 7.2 milyon doları bulmuştur. (Watkins, 2014, s. 2).

Symantec tarafından 2012 yılında 32 ülkede kurumlar nezdinde yapılan araştırmada, siber saldırıların şirketlere verdiği zararın maliyeti 470.000$ olduğu belirtilmektedir. 2011’de Britanya’da gerçekleşen siber saldırıların ülke ekonomisine maliyetin 27 milyar pound olduğu, ABD’de ise 100 binin üzerinde gerçekleşen siber saldırılardan kaynaklı maddi kaybın yaklaşık 100 milyar dolar olduğunun tahmin edildiği raporlanmaktadır (Alkan, 2020).Siber Güvenlik zirvesinde Kaspersky Lab kurucu ve CEO’su Eugene Kaspersky konuşmasında; ‘Siber saldırılar neredeyse sürekli haberlere konu olmakta, ulusal ve uluslararası bir güvenlik meselesi haline gelmektedir. Siber saldırılar çok büyük zararlar vermekte olup somut bir siber terörizmi ile karşı karşıyayız. Dijital altyapılarımızın siber güvenlik durumunu iyileştirmek için çok çalışmamız gerekiyor.’ şeklinde açıklamasıyla konunun önemini vurgulamaktadır. Maddi kayıplara ilişkin ise ‘Yavuz Sultan Selim köprüsünün maliyetinin 3 milyar dolar olduğunu belirten Eugene Kaspersky, siber suçluların yıllık zararının 167 Yavuz Sultan Selim köprüsü olduğunu’ yanı yıllık maliyetin 501 milyar $ olduğunu belirtmektedir. Bunu Türkiye’de yaşıyor, dünyada yaşıyor diyerek Eylül ayında ABD’de gerçekleştirilen 5-6 saatlik bir siber saldırının ABD ekonomisine maliyetinin 5-6 milyar dolar olduğunun ifade edildiğini yani 1 saatlik bir siber saldırının 1 milyar dolar maddi kayba neden olduğunu vurgulamıştır (TİM, tarih yok). Siber güvenlik sonucu oluşan hasarın maddi boyutunu tam olarak ölçmek her ne kadar güç olsa da muhtemelen kısıtlı da olsa ifade edilen kayıplar maddi zararın çok ciddi boyutlarda olduğunu göstermeye yetmektedir (Şahinaslan & Şahinaslan, 2019, s. 494-495).

Siber suçlar genellikle küçük kuruluşlar ve hackerlar ile ilişkilidir fakat Birleşmiş Milletlerin’in çalışmasna göre incelenen 500 olayın %80 ile devletlerin organize ettiği bir suç olduğunu gösteriyor.(States, 2013). Lieberman yazılım firmasının yaptığı bir çalışmada, çalışmaya katılan kuruluşların %62’si altı ay içerisinde veya daha kısa bir sürede devlet destekli bir saldırıya uğrayacaklarını düşünmektedirler (Watkins, 2014).

Yine Ponemon Enstitüsünün yaptığı çalışmaya göre  siber saldırıların savunmaya(yılda 16,1 milyon dolar), finansal hizmetlere (11.5 milyon dolar) kıyasla daha fazla maliyetlidir (See Supra 2).

BAE Systems, Lockheed Martin, the Japanese Aerospace Exploration Agency, L-3 Communications gibi askeri ve havacılık sektörüne yapılan siber saldırılar mevcut finansal riski ortaya koymaktadır (Passeri, 2012). İran hacking organizasyonu, Ajax Güvenlik Takımı gibi hacker grupları özel askeri birlikleri izlemek ve takip etmek için malware gibi kötücül yazılımlar kullanmaktadırlar. Öyle ki 2014 yılında Ajax hacker grubu HavacIlık ve Uzay temalı konferans için kurulan bir sitenin taklit sitesini kurarak ağların erişim hakkına sahip olmuştu (Lawrence, 2014).

2012 yılında büyük finansal soygun olarak adlandırılan” Operation High Roller” operasyonu sonucunda bankacılık sistemine dünya genelinde 78 milyon dolar ve 2.5 milyar dolar  arasında zarar verildiği tahmin edilmektedir (Messmer, 2012).Saldırılar Rusya, Arnavutluk ve Çin üzerindeki sunucular üzerinden gerçekleştiği bilinmektedir. Bir başka saldırı da “Neiman Marcus” adıyla bilinen lük mağaza zincirine yapılmıştır.  Saldırılar sonucunda yaklaşık olarak sayıları  1.1 milyon ve 40 milyonu bulan   müşterinin kredi kartı bilgileri çalınmıştır (Times, 2014). Siber saldırı yapan gruplar, bankalardan yılda en az 100 milyon dolar para çalmaktadırlar (Farrell & Riley, 2011).

Siber saldırılar başka sektörlerde de etkisini göstermiştir ve göstermeye de devam etmektedir. Özellikle enerji sektörüne olan etkisi de muazzam bir seviyede artmıştır. 2009 yılında  “Stuxnet” adı verilen bir solucan yazılımı İran Nükleer sistemini hedef almıştır (Kelley, 2013). Ardından 2012 yılında “Shamoon” adıyla bilinen bir modüler virüs  Orta Doğu’da 30.000’den fazla bilgisayarın hard diskine zarar vermiştir (Nakashima, 2012).

3. KÜRESEL ETKİLERİ

Toplumsal düzenin ve haberleşme, enerji, su, sağlık, güvenlik gibi kamu hizmetlerinin devamını sağlamada etkili olan kritik altyapılar ile bu altyapıları kullanan bilgi sistemlerinin korunması bir ülkenin ulusal güvenliğin sağlanması için önemldir (Şahinaslan & Şahinaslan, 2019, s. 496).

Fiziksel olmayan güvenlik kategorisine dâhil olan siber alan, küresel sonuçları bakımından 21. yüzyılın önemli güvenlik tehditlerindendir (KURNAZ, 2016).

Siber tehditler yöntem ve yayılması bakımından asimetrik olarak devletlerin ulusal güvenliklerine hasar verebilecek boyuta ulaşmıştır. Bir ülkenin bilgi varlığı farklı düzeylerde aktörler olmasına rağmen sanal ortamda doğrudan suç örgütlerinin hedefi haline gelebilmektedir. E-devlet uygulamaları, ekonomi, sağlık, siyaset, finans, ulaşım, haberleşme ve enerji altyapıları üzerindeki saldırı riski daha da artmaktadır. Yaşanmış bazı olaylar sadece hizmetlerin engellenmesi veya veri kaybı olmakla kalmayıp ülkeleri ve siyasetçileri karşı karşıya getirebilmektedir. (Şahinaslan & Şahinaslan, 2019, s. 497).

ABD ve İsrail askeri istihbarat birimlerinin ortaklaşa hazırladıkları İran’ın uranyum zenginleştirme programını durdurmaya yönelik hazırlanan yazılımı ile 2010 yılında İran’ın çalışır durumdaki 5000 santralinden 1000 tanesine yapılan Stuxnet saldırısı ile devre dışı bırakmışlardır. Bu zararlı yazılımdan dünya üzerinde 130.000 bilgisayar olumsuz etkilenmiştir (Grayson, 2011).

Flame saldırısı özellikle Ortadoğu’da devletleri ve akademik kurumlarını hedef almıştır (Jr., 2011).  Bu noktada devletlerin siber güvenliğine yönelik temel tehditleri devletlerin birbirlerine karşı oluşturduğu siber tehditler ve devlet dışı aktörlerin devletlerin siber güvenliğine yönelik tehditler şeklinde sınıflandırmıştır. Bu sınıflandırmaya göre de, siber çatışmalar, ekonomik temelli casusluk ve istihbarat tehditleri bir yandan devletler ile ilişkilendirilirken diğer yandan siber ağlar aracılığıyla işlenen suçlar ve siber terörizm ise devlet dışı aktörler ile ilişkilendirilmiştir (Şahinaslan & Şahinaslan, 2019, s. 498).

ABD’de ulusal çapta acil uyarı ve federal ağlara karşı siber atağın önlenmesi için US-CERT kurulmuştur. Daha sonra Beyaz Saray Obama zamanında geçmişte yaşanan pek çok siber vakalara tedbir amacıyla hükümet ağı içerisinde siber savunma sistemi kurdurmuştur(House, 2003). Çin’de ise siyasi organizasyonu ve ideolojisi sebebiyle Askeri Siber Güvenlik Stratejisi şeklinde Peoples Liberation Army –PLA güvenlik birimini kurmuştur. Ayrıca Çin Altın Kalkan adında hassas verilerin ülke dışına çıkmaması için Büyük Çin Güvenlik Duvarı oluşturmuştur. Benzer şekilde Fransa Ulusal Bilgi Sistemleri Güvenlik Ajansını, İsrail C4ISR siber savunma ve istihbarat askeri haberleşme ve uydu sistemlerini, NATO üyesi ülkeler ise savunma bakanlarının imzasıyla 8 Haziran 2011’de ortak Siber Savunma Politikası kabul edilmiştir (Şahinaslan & Şahinaslan, 2019, s. 497).Ülkemizde ise en son Ulaştırma ve Haberleşme Bakanlığının 2016-2019 Ulusal Siber Güvenlik Strateji Dokumanı yayımlanmıştır (Şahinaslan & Şahinaslan, 2019, s. 498).

2007 yılında Estonya’ya yapılan siber saldırı ülkelerin siber saldırılara karşı bakış açısını değiştirmiştir. 2010 yılında İran’a karşı gerçekleştirilen Stuxnet saldırısıyla birlikte siber güvenliğin sağlanmasının devletler, toplumlar için ne kadar önemli olduğu bir kez daha görülmüş, toplumları kaygılandırmıştır (Grayson, 2011). Bunun sonucu olarak ülkeler bir yandan siber güvenlik politikalarının oluşturmaya ya da revize etmeye öncelik verirken diğer taraftan siber saldırılara karşı siber ordular oluşturmaya bu tür sorunlarla başa çıkabilmenin yollarını aramaya ağırlık vermeye başlamıştır (Şahinaslan & Şahinaslan, 2019, s. 498).

4. EKONOMİK ETKİLERİ

4.1.SOSYO-EKONOMİYE OLAN ETKİSİ

Kavramsal Olarak, suç dinamik ve göreceli bir olgudur. Bulunduğu sistemde yaşanan sosyo-politik ve ekonomik değişikliklerden etkilenir. Bundan yola çıkarak suç hiç bir zaman suçun tüm yönlerini kapsayan  bir tanıma sahip olamayacaktır. Aynı zaman da tek bir tanımda hiç bir zaman farklı topluluklara hitap etmeyecektir. Ekonomik suçlar zirvededir. Bu bilgiden yola çıkarsak suçun diğer sosyal olgulara yani ekonomik sitemlere ve siyasi politikalara bağımlılığı olduğu sonucuna varabiliriz ( Rao, Pradhan, Panda, & Rath, 2020, s. 3-4).

Nüfus suç olaylarını etkileyen önemli bir faktördür. Suç olaylarındaki artış ile ülke nüfusu arasında pozitif bir korelasyon olduğu gözlenmiştir. Nüfusun yanı sıra suçu etkileyen faktörler, şehirleşme oranı, alınan göç, işsizlik, gelir eşitsizliği ve bilgisayar okuryazarlığıdır. Suçu kontrol eden her sistem, normlar belirleyen, kurallar koyan, önleyici tedbir oluşturan politik sistemle çok ilgili olduğundan, siyasi yapı ve sistem de suç topluluğunu etkiler ( Rao, Pradhan, Panda, & Rath, 2020, s. 3-4).

4.2. SANAL EKONOMİ ÜZERİNE ETKİSİ 

İnternetin küreselleşmesinden dolayı suçlulara “geleneksel” suçlarını işleyebilecekleri yeni fırsatlar ortaya çıktı (dolandırıcılık gibi). Tabii geleneksel suçların yanı sıra yüksek teknoloji gerektiren suçlardan ortaya çıktı.(hacklemek gibi) Siber suçlar ve de kötü niyetli başka siber aktiviteler Avustalya’nın uzun süreli dijital ekonomisini tehdit etmektedir. Siber suç sürekli geliştiği gibi küresel dijital ekonomide gelişmektedir. Bunla bağlantılı olarak ise organize suç çeteleri kendilerini siber suçlar üzerine geliştirmek için yeterli teşvik buluyorlar ( Rao, Pradhan, Panda, & Rath, 2020, s. 4).

Dolandırıcılar ve satıcıların gerçekleştirmediği fırsatlar ile ilgili dolandırıcılık suçları tüketicilerin e-ticarete olan güvenini etkilemektedir. Bu gibi aktiviteler yüzünden tüketiciler online alışveriş yapma hatta dijital teknolojiler ile etkileşime geçmelerine olan güvenleri sarsılır. Finansal kayıp en belirgin etkisi olsa da, diğer etkiler yani utanç, kendini suçlama ve duygusal bunalımda önemli etkilerdir. Aynı zamanda siber suç hakkında ulusal bir suç eğitimine ve bunu önlemeye dair stratejilere ihtiyaç olduğunu belirtmektedir.( Rao, Pradhan, Panda, & Rath, 2020, s. 4).

4.3. MÜŞTERİLER ÜZERİNE ETKİSİ

Bilgi devrimi, internetin gücü ile birleştiğinde özellikle ticaret işlemlerde toplumları siber suçları ve siber terörizm karşı tehlikeli duruma getirmiştir. E-ticareti geliştirmesiyle ile birlikte ticaretin karanlık yüzü siber suç olarak anılmaya başladı. Birçok şekilde online alışverişi etkilemektedir. Şirketler  bu gibi tehditlerin piyasada hayatta kalmalarını etkilediğinin farkındadır. Online alışverişi etkileyen siber suçlara karşı önlemler geliştirerek onları engelleme, engelleyemiyorsa ise en aza indirgemesi gerekmektedir. Ancak bu şekilde müşterilerin online alışverişe olan güvenini koruyabilirler. Bu önlemler, siber güvenlik olarak adlandırılır. Alınan önlemler müşterilerin bilgi gizliliğini korumak ve güvenli bir alışveriş deneyimi yaşaması için geliştirilmiştir. Şirketlerin siber suçların sürekli geliştiği gerçeğinin farkında olmaları bu yüzden de siber güvenlik ile ilgili en son gelişmeleri takip etmeleri veya buldukları eksikleri kapatmaları gerekmektedir ( Rao, Pradhan, Panda, & Rath, 2020, s. 4).

5. SONUÇ

Siber suçları devletleri ve toplumları birçok yönden etkilemektedir. Siber suçlar  kurumlara ve firmalara verdiği  zararlar  arasında kurumsal kimliğe zarar verme, organizasyondaki motivasyon kaybı, müşteri ve  personele ait verilerin kaybı yada el değiştirmesi, hukuki sorunlar, ürünün, markanın ve kurumsal kimliğe zarar verme gibi birçok farklı soruna yol açmıştır. Ayrıca finansal açıdan kurumlara olan etkisinin yanı sıra tüketiciye de etki etmiştir. Her geçen yıl kurumlar ve devletler siber suçlara olan önlemlerini katbekat arttırmaya ve siber suçlarla baş etmenin yollarını aramaktadırlar.

6. KAYNAKÇA

Rao, Y. S., Pradhan, D., Panda, T. C., & Rath, R. (2020). Digital Crime and its Impact in Present Society. International Journal of Engineering Research & Technology (IJERT), 1-2.

Alkan, P. D. (2020, Haziran 1). Siber Güvenlik ve Siber Savaşlar. Slideplayer: https://slideplayer.biz.tr/slide/1896606/ adresinden alındı

computerweekly. (2018, Şubat 18). Haziran 5, 2020 tarihinde Computerweekly web sitesi: https://www.computerweekly.com/news/252435439/Economic-impact-of-cyber-crime-is-significant-and-rising adresinden alındı

Farrell, G., & Riley, M. A. (2011, Ağustos 5). Hackers Take $1 Billion a Year as Banks Blame Their Clients. Haziran 6, 2020 tarihinde bloomberg.com: https://www.bloomberg.com/news/articles/2011-08-04/hackers-take-1-billion-a-year-from-company-accounts-banks-won-t-indemnify adresinden alındı

Grayson, J. (2011, Mart 7). Stanford. Haziran 5, 2020 tarihinde Stanford web sitesi: http://large.stanford.edu/courses/2011/ph241/grayson2/ adresinden alındı

Gülsoy, T. (1999). Reklam Terimleri ve Kavramları Sözlüğü. İstanbul: Adam Yayınları.

House, U. W. (2003). THE NATIONAL STRATEGY TO

Jr., J. S. (2011). Harward. Haziran 6, 2020 tarihinde Harward Üniversitesi web sitesi: https://dash.harvard.edu/bitstream/handle/1/8052146/Nye-NuclearLessons.pdf adresinden alındı

Kelley, M. B. (2013, Kasım 20). The Stuxnet Attack On Iran’s Nuclear Plant Was ‘Far More Dangerous’ Than Previously Thought. Haziran 6, 2020 tarihinde businessinsider.com: https://www.businessinsider.com/stuxnet-was-far-more-dangerous-than-previous-thought-2013-11 adresinden alındı

KURNAZ, İ. (2016). Siber Güvenlik ve İlintili Kavramsal Çerçeve. Siber Politakalar Dergisi, 71.

Lawrence, D. (2014, Mayıs 14). ranian Hackers, Getting More Sophisticated, Target U.S. Defense Companies. bloomberg.com: https://www.bloomberg.com/news/articles/2014-05-14/iranian-hackers-evolving-in-skill-target-u-dot-s-dot-defense-companies adresinden alındı

Messmer, E. (2012, Haziran 26). Bank hack: ‘Operation High Roller’ has netted $78M – so far. networkworld: https://www.networkworld.com/article/2189619/bank-hack—operation-high-roller–has-netted–78m—so-far.html adresinden alındı

Nakashima, E. (2012, Ekiim 11). Cyberattack on Mideast energy firms was biggest yet, Panetta says. Haziran 4, 2020 tarihinde washingtonpost.com: https://www.washingtonpost.com/world/national-security/cyberattack-on-mideast-energy-firms-was-biggest-yet-panetta-says/2012/10/11/fe41a114-13db-11e2-bf18-a8a596df4bee_story.html adresinden alındı

Özüpek, M. N., & Diker, E. (2013). İLETİŞİM FAKÜLTESİ ÖĞRENCİLERİNİN CEP TELEFONU MARKALARINA YÖNELİK. e-Journal of New World Sciences Academy, 100-120.

Passeri, P. (2012, Şubat 21). Exclusive Infographic: all Cyber Attacks on Military Aviation and Aerospace Industry. Haziran 5, 2020 tarihinde heaviationist: https://theaviationist.com/2012/02/21/cyberwar-infographic/ adresinden alındı

See Supra 2. (tarih yok).

States, U. (2013). Comprehensive Study. United States.

Symantec. (2010). Norton Cybercrime Report: The Human Impact. Symantec.

Şahinaslan, Ö., & Şahinaslan, E. (2019). Siber Tehditlerin Toplum Üzerindeki Etkisi. Proceedings of the International Congress on Business and Marketing (s. 489-493). Istanbul: Maltepe University.

TİM. (tarih yok). Türkiye İhratçılar Meclisi. Haziran 5, 2020 tarihinde tim.org.tr: http://www.tim.org.tr/tr/inpressdt-c0940ccf-92e3- adresinden alındı

Times, N. Y. (2014, Haziran 2). Neiman Marcus Data Breach Worse Than First Said. Haziran 5, 2020 tarihinde nytimes.com: https://www.nytimes.com/2014/01/24/business/neiman-marcus-breach-affected-1-1-million-cards.html?_r=0 adresinden alındı

Watkins, B. (2014). The Impact of Cyber Attacks on the Private Sector. Mindpoint Group.

Photo by  Markus Spiske on Unsplash


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Sosyal Medya Güvenliği

İçindekiler

-GİRİŞ

-SOSYAL MEDYA NEDİR?

-SOSYAL AĞ TEHDİTLERİ

-SOSYAL AĞLARDA GÜVENLİK ÖNLEMLERİ

-SONUÇ

-KAYNAKÇA

GİRİŞ

Sanal bir iletişim ortamı olan sosyal medya son zamanlarda hayatımızın bir parçası oldu. Peki bizler bu sosyal ağlarda güvenliğimizin ve gizliliğimizin olmasını istemez miyiz? Elbette isteriz ..Bu yazımda sosyal ağlarda özgür bir şekilde dolaşıp, paylaşım yapabilmek için unutulmaması ve uyulması gereken bilgileri sizin için derledim.

SOSYAL MEDYA NEDİR?

Sosyal Ağlar; insanların kendileri için web ortamında bir kimlik oluşturmak suretiyle video ve fotoğraf gibi sadece bir servislik hizmetlerden oluşan web ortamındaki diğer insanlar ile iletişim/etkileşim kurdukları, farklı birçok bilgiyi paylaştıkları, oyun oynadıkları ve yeni arkadaşlıklar edindikleri web tabanlı uygulamaların ve servislerin genel adıdır.
Günümüzde yaygın olarak kullanılan sosyal ağlara örnek olarak Facebook, Twitter, İnstagram, Linkedln, Youtube, Google+, Snapchat ve Dailymotion gösterilebilir. (ALİ, 2017)

Kullanıcıların sosyal ağlar üzerinden aldıkları hizmetler günlük internet kullanımında alışkanlık haline gelmiştir. Tabi bu alışkanlık yanında sanal tehditlere ve tehlikelere maruz kalmalarına da sebep olmuş güvenlik ve gizlilik sorunsalını da bununla beraber getirmiştir. Sosyal ağlarda en önemli husus paylaşımlardır. Paylaşmak güzeldir fakat özellikle sosyal ağlarda hangi bilginin kiminle paylaşıldığı çok önemlidir. Şimdi sosyal medyanın ütopyaları olan güvenlik ve gizlilik konusunu inceleyeceğiz.

SOSYAL AĞ TEHDİTLERİ

Sosyal ağlar masaüstü ve dizüstü cihazlardaki web tarayıcılarından erişilirken sebebiyet verdikleri tehlikelere çoğu zaman kullanıcı mahremiyeti ve gizliliği açısından bakıldığında mobil cihazlardaki uygulamalarından da aynı tehlikelere meydan verirler. Yani kullanıcı gizliliğinin riske girmesi her türlü erişim ortamında aynı şekildedir. Ama kullanıcı güvenliğinin riske girmesi durumu erişim ortamlarının türüne değişebilir. Sosyal medyada doğan güvenlik ve gizlilik tehlikeleri;

  • Sosyal ağlarda paylaşılan içeriklerin meta verilerinden,
  • Sosyal ağlardaki güvenlik ve gizlilik ayarları eksikliklerinden,
  • Sosyal ağlara bağlanan 3. Parti uygulamalardan,
  • Sosyal ağların mobil uygulamalarının kullanımından,
  • Sosyal ağ arkadaşları üzerinden,
  • Sosyal ağların siteleri ile altyapılarından meydana gelen teknik zaaflardan
  • Ve sosyal ağların kullanım politikasından (eklentiler, servis koşulları) (PESEN, 2015)

Şeklinde sıralayabiliriz. Her bir güvenlik ve gizlilik tehlikesi sosyal ağların yapısından ve kullanımından ortaya çıkan farklı yazılımlara sahip tehdit unsurlarıdır.

Çünkü paylaşılan her türlü bilgi paylaşan tarafından silinse dahi internet ortamında silinmeden kalabilmektedir. Paylaşımlar kolaylıkla gönderilebilir ancak, kolaylıkla geri alınamayabilir. Gönderiler masum görünse de, sonradan hayatı olumsuz yönde etkileyebilir. Paylaşımlar, günlük hayatı ve ilişkileri olumsuz yönde etkileyebilir. Özellikle Sosyal ağlarda;

  • Doğum tarihi
  • Eğitim bilgileri
  • Anne kızlık soyadı
  • Nüfus cüzdanı bilgileri
  • Diğer aile bireylerinin kişisel bilgileri
  • Kredi Kartı bilgileri
  • Kullanıcı adı ve şifre bilgileri
  • Ehliyet bilgileri
  • İş yeri bilgileri
  • Adres bilgileri
  • Tatil yeri ve tarihi
  • E-posta adresi
  • Kişisel fotoğraf ve videolar

vb. kişisel bilgilerin paylaşılmaması, yaşanması muhtemel mağduriyetlerin önüne geçilebilmesi açısından büyük önem arz etmektedir.(ALİ, 2017)

SOSYAL AĞLARDA GÜVENLİK ÖNLEMLERİ

Peki sosyal ağlarda oluşabilecek güvenlik sorunlarının önemlerini nasıl almalıyız? Tabi ki bunu destekleyen bir çok araç var ama bizim alacağımız küçük önlemler ile bu araçlara gerek kalmadan bu tehdit ve saldırılara maruz kalmayı engelleyebiliriz. Bunları şöyle sıralayabilir;

  • Her Mesajı Açmayın: Mesaj kutunuza gelen sahte mesajlar veya linklerden korunmanın en basit yolu, onları açmamak!
  • Şifreniz/ Parolanız Güçlü Olmalı:  Doğum tarihi, doğum yılı, çocuklarınızın adları, vs. gibi kolay şifreleri/ parolaları asla tercih etmeyin.
  • Arkadaş Seçiminde Dikkatli Olun: Sosyal medyada arkadaş seçimine, gerçek hayatta olduğu gibi dikkat etmek gerekir. Sahte profiller sosyal medya için ciddi risk taşımaktadır.Takip edeceğimiz kişileri seçerken bize katkısı olacak hesapları takibe almak faydamıza olacaktır. (ARSLAN,2020)
  • Sosyal Medya Platformlarını Kullanmadığınız Zaman Çıkış Yapın: Sosyal medya hesaplarınızı kullanmadığınız zaman çıkış yapmayı tercih ederek hesabınızı daha güvenli hale getirmiş olursunuz. Alışkanlık haline getirin. Otel, kafe gibi halka açık ortamlarda internete bağlanırken de aynı hassasiyeti gösterin. “Üçüncü parti uygulamaları” denilen bu tarz uygulamaların sosyal medya hesaplarınızda nelere ulaşabildiğinden bihaber olmayın!

Kullanmadığınız sosyal medya hesaplarınız var mı? Bir an önce silin. Böylece kötü niyetli kişilerin/ hackerların sizin adınızı kullanmalarının önüne geçebilirsiniz. (TEB, 2019)

SONUÇ

Günümüzde hayatımızın parçası olan sosyal ağlardan tamamen soyutlanmak mümkün değildir. Güvenilir şekilde bu platformları kullanmak için yazımızda bahsettiğimiz basit işlemleri yaparak erişimlerinizi sağlıklı bir şekilde sürdürebilir ve kullanabilirsiniz. Böylece sosyal ağlar daha bilinçli kullanıldığından, karşılaşacağınız riskler de en az seviyeye inecektir.

Kaynakça

  1. Ali, H. (2017, Haziran 22). https://www.guvenliweb.org.tr/.https://www.guvenliweb.org.tr/dokuman-detay/sosyal-aglar-ve-mobil-aglar: https://www.guvenliweb.org.tr/dokuman-detay/sosyal-aglar-ve-mobil-aglar adresinden alındı.(Erişim Tarihi:7 Haziran 2020)
  2. TEB,B.(2019).https://www.blogteb.com/. https://www.blogteb.com/sosyal-medyayi-guvenli-kullanin-sosyal-medya-ve-internet-kullanicilari-icin-belli-basli-guvenlik-onlemleri/: https://www.blogteb.com/sosyal-medyayi-guvenli-kullanin-sosyal-medya-ve-internet-kullanicilari-icin-belli-basli-guvenlik-onlemleri/ adresinden alındı.(Erişim Tarihi:7 Haziran 2020)
  3. ARSLAN, L. (2020). Sosyal Medya ve Değişen Değerler. Aile Dergisi, 11.
  4. PESEN, M. (2015, Ekim 21). Sosyal Medyanın Ütopyaları: Güvenlik ve Gizlilik. http://www.sibergah.com/genel/sosyal-medya-guvenligi/sosyal-medyanin-utopyalari-guvenlik-ve-gizlilik/ adresinden alındı.(Erişim Tarihi:7 Haziran 2020)
  5. Photo by Cristian Dina on Pexels
 
Kategoriler
Bilişim Etiği

Meslek Etiği Üzerine

İÇİNDEKİLER

Giriş

Meslek Etiği Üzerine Değerlendirmeler

Farklı Alanlarda Etik İşleyişi

Bilişim Etiği

İnternet Etiği

Mühendislik Etiği

Öğretmenlik Etiği

İş Yerinde Etik Ortam Sağlamak

Farklı Mesleklerde Etik İlkeler

Çalışanların Etik Profilleri

Etik Liderlik

İş Yerinden İş Etiğine Uygun Ortamda Çalışmak

Sonuç

Kaynakça

 

Giriş

Etik, insanların eylemlerinin ahlaki niteliklerini sorgulayan felsefi bir disiplindir. Sokrates tarafından ortaya çıkarılan etik kavramı her dönemde ve her toplumda yaşamımızın bir parçası olmuştur. Köken olarak töreye uygun alışkanlık, huy, davranış, karakter gibi anlamlara gelen Yunanca “Ethikos” kelimesiyle doğrunun yanlışın bilimi anlamına gelen Latince “Ethice” kelimelerine dayanır. İyi ile kötü, doğru ile yanlış değerlerinin ortaya konulduğu davranış kurallarını ifade eder.

Yüzyıllar boyu teorik bir disiplin olan “Etik” kavramı, 20. yüzyılın modern yaşantısının karmaşıklığı ile uygulamalı hale dönüştü ve bizlerin günlük yaşantımızdaki sorunlarımıza çözümler getirmeye başladı. İş hayatımızda karşılaştığımız sorunlar da iş etiği kapsamında değerlendirilmeye alındı. İş etiği, herhangi bir iş ortamında ortaya çıkan ahlaki sorunları gözden geçiren veya inceleyen bir sıra mesleki uygulamayı ifade eder. Meslek etiği ise iş etiği ile ilişkilidir. Genel ahlak kurallarının yanında belli bir mesleki uzmanlığa dayanan sorumlulukları kapsayan yazılı olmayan kurallardır. Mesleki etik bir iş yerindeki verimliliğin sürekliliği için gereklidir.

 

Meslek Etiği Üzerine Değerlendirmeler

Meslek etikleri ve kamu etiği olarak adlandırılan akademik disiplinlerin konuları etik bilgi olmaksızın açıklanamaz. Eğer, insanın neden ahlaklı bir kişi olması gerektiği ya da doğru eylemin ne olduğu sorusu bilgisel olarak açıklanamazsa, kamu görevlisinin neden rüşvet almaması gerektiği de en azından bilgisel olarak açıklanamaz. Dolayısıyla kamu etiği de olanaksız hale gelir (Birinci, 2009: 151).

Çeşitli çıkar gruplarının yasal ve ahlaki olmayan yollardan elde ettikleri kazançlar ve kurum kayıtlarında yapılan usulsüzlükler, kurumların faaliyet alanlarının büyüklüğüne de bağlı olarak birçok kesimi etkisi altına almaktadır. Bir örgüte ilişkin gizli bilgilerin dışarıya aktarılması, rüşvet ya da hediye verme/kabul etme, örgüte ilişkin mali kayıtlara yasal olmayan müdahalelerde bulunma, çalışma saatlerinde kişisel işleri yapma, büro malzemelerini kişisel işler için kullanma gibi eylem ve işlemler çalışmanın ahlak dışı görüngeleri olarak kabul edilebilir (Kılıç ve Kamaşak, 2009: 714).

Kurumun ihtiyaç duymadığı özelliklerde kişileri işe almak kurumun zararına olacağından bu tür uygulamalar ahlaki telakki edilmesi düşünülemez. Kariyer geliştirme ve eğitim fırsatlarını kurumun birkaç çalışanına tahsis etmek, eğitime gerçekten ihtiyaç duyanları değil de yöneticilerin kendilerine daha yakın kişileri eğitim sürecine almaları kariyer geliştirme sürecinde ahlaki olmayan davranışlara örnek gösterilebilir (Birsel, 2007: 155).

Genel olarak kamu kurumlarında, çalışanlar arasında cinsiyet, etnik türü ayırımcılık yapmak, tüm çalışanlara terfi konusunda eşit fırsatları tanımamak, çalışanların taciz edilmesi, iş yeri güvenliğini ve çalışanların sağlığını tehlikeye atılması gibi uygulamalarda bulunmak türünde ahlakdışı işlem ve eylemlere rastlanabilmektedir.

Kamu görevlilerinin davranışlarında iki temel etken rol oynamaktadır. Bunlardan biri yasalar, diğeri ise ahlaki değerlerdir. Yasalar, kamu görevlilerinin davranışlarını dışsal olarak belirlemekte ve denetlemekte iken, ahlaki değerler, davranışı içsel olarak yönetmekte ve denetlemektedir. Davranışların dıştan belirlenmesinde rol oynayan yasalar ve kurallar, kamu görevlilerini kamu yararı doğrultusunda eylemde bulunmaya zorlamaktadır (Özdemir, 2008: 182). Kamu görevlilerinin alacağı kararların kişisel değerlere dayalı olduğu unutulmamalıdır. Bu anlamda çalışma ahlakı, kişinin herhangi bir mesleği yaparken göz önünde bulundurması ve içselleştirmesi gerekli kural, tutum ve davranışları içerir.

Kamu kesiminde bürokratik örgütlenmeler içerisinde görevini yapan bürokratlar, hem toplumla ilgili temel konularda hem de günlük rutin uygulamalarında kararlar almak ve bu kararları uygulamaya geçirmek durumundadırlar. Kuşkusuz bu kararların alınma ve uygulanma aşamalarında birçok faktör etkin olmaktadır. En temel anlamda kamu çalışanlarından, bünyesinde bulundukları bürokratik yapıların, örgütsel anlamda amaç ve görevlerine uygun olarak karar almaları ve bunları maksimum kamu yararını gözeterek uygulamaları beklenmektedir. Bu beklenti içerisinde kamu çalışanları açısından birçok açmaz ve ikilemler ortaya çıkabilmekte ve karar alımını ve bunların pratiğe geçirilmesini etkileyebilmektedir (Kılavuz, 2003: 88).

Meslek ahlakı bu bağlamda ikilemlerle karşı karşıya kalan kamu görevlilerine nasıl davranmaları gerektiği konusunda bir yönder olmaktadır. Bu çerçevede meslek ahlakı, kamu görevlileri için kabul edilebilir davranış kurallarını belirleyerek (Thompson, 1985’den akt: Gökçe ve Örselli, 2011: 50) ve kamu görevlisi sorumluluğunun devamı için bireysel davranışlara getirilecek kısıtlamaları açıklar (Blijswijk, 2004’den akt: Gökçe ve Örselli, 2011: 50). Bu yönü ile meslek ahlakı; kurumlardaki bireylerin ahlaki karar almalarını ve ahlaki kararların amaçlanmasını sağlamaktadır. Dolayısıyla meslek ahlakı kamu görevlilerini doğruyu ve yanlışı ayırt etme, verecekleri kararlarda doğru olanı tercih etmeye yönlendirme görevlerini üstlenmektedir (Saylı ve Kızıldağ, 2007’den akt: Gökçe ve Örselli, 2011: 50).

Kamu yönetiminde ahlak, yöneticilerin karar alırken ve kamu hizmetlerini yürütürken uymaları gereken, tarafsızlık, dürüstlük, nezaket, adalet, hesap verebilirlik, kamu yararını gözetme, göreve bağlılık, liyakat, verimlilik, etkililik, kalite gibi bir takım ahlaki ilke ve değerler bütününe denir. Bu ilke ve değerler, kararların nasıl alınması ve işlerin nasıl yapılması gerektiğini belirlemede kamu görevlilerine yol gösterir; hizmetlerin ve çalışanların değerlendirilmesinde temel ölçüt olarak kullanılır (Eryılmaz ve Biricikoğlu; 2011: 35).

Çalışan insanların arasındaki ilişkilerini yalnız yasa ve yönetmeliklerle düzenlemek mümkün değildir. Bu kuralların dışında öyle kavramlar vardır ki, düzenleyici özellikleri ile çok önemlidirler. Tüm ilişkilerde bu esasların uygulanması gerekmektedir. Ahlak kuralları bunların başında gelmektedir. Çalışma yaşamında personellerin bu nesnel kurallara uyma zorunlulukları bulunmaktadır.

Ahlak kamu görevlilerinin davranışlarının bir tür iç denetimidir. Bu yönüyle ahlak, kişisel sorumluluk duygusu, bireysel iç kontroldür. Ahlak, yasaların düzenlemediği, düzenlenip de gri alanlar bıraktığı alanlar ile yönetim, yargı ve siyasetin daha düzgün ve dürüst işlemesi için; kişilere, karar verirken ve hizmetleri yürütürken yönderlik yapmakta, kamu hizmetlerine kalite katmakta ve daha güçlü bir sorumluluk bilinci kazandırmaktadır. Diğer denetim türleri (yasa, kamu denetçisi, kamuoyu denetimi vb.) genellikle sorunlar ortaya çıktığında devreye girdiği halde; ahlaki ilke ve değerler, daha sorun çıkmadan evvel muhtemel sorunları önleyici bir işlev görmektedirler (Eryılmaz ve Biricikoğlu, 2011: 34-35).

Çalışma ahlakına ilişkin değerlendirmede başlıca iki yaklaşım söz konusudur: birincisi, karar ve eylemleri sonucuna, başarısına ve faydasına göre değerlendiren teleolojik yaklaşım. İkincisi ise, eylem ve kararları iyi niyet, değer, ödev ve sorumluluk gibi temel ahlaki ilkelere dayandıran deontolojik yaklaşımdır. Kamu etiği yazınında egemen olan ilkeler, normlar ya da kodlar her iki yaklaşımın bir sentezi olarak görülebilir (Birinci, 2009: 155). Diğer bir ifadeyle, sonuç ya da sonuçların etiği olan teleolojik etiğin aksine deontolojik etik, ödevin ya da ilkenin etiği olarak tanımlanabilir. Her iki kuramı da örneklendirmek gerekirse, kamu görevlilerinin, verilen emirleri yerine getirmeleri ve kurallara uymaları durumundaki sergileyecekleri davranışlar deontolojik olarak ahlakidir. Yine de bir kamu görevlisi davranışları ile en yüksek iyi sonuçlara ulaşmayı amaçlamışsa teleolojik olarak bu istemi etik amaçlıdır denilebilir.

Seçilmiş, atanmış ve kariyerden gelen kamu görevlileri üç uygulama kalıbı içinde tanımlanabilir. Ahlaka dayanmayan davranış, değerlere karşı yansız davranış, ahlakı temel alan davranış (Steinberg ve Austern, 1995:78).

Ahlaka dayanmayan davranış: Ahlaksal ya da ruhsal bağlantılardan etkilenmemiştir. Bu kişi ilkesizdir ve fırsat ile yeterli özendirici verildiğinde kişisel kazanç için her açığı değerlendirecektir. Ahlaka uygun olmayan davranışlarda, etik ilkeler yetersiz kalmakta, aynı zamanda ahlaki davranışlara aktif olarak karşı konulmaktadır. Bu süreçte toplumun dürüst davranış konusundaki istemlerine yetersiz bir ilgi söz konusudur. Yine bu süreçte bir işin, kamu görevinin başarılması konusunda ahlaki kurallar engel olarak görülmektedir. Burada “işi ucuz ve kestirme yoldan yapmak” söz konusudur. Bu süreçte ortaya konulan, başkalarının düşüncelerinin ya çok az önemli olduğu ya da hemen hemen hiç önem taşımadığıdır (Bartol and Martin, 1994’den akt: Özgener, 2004: 109).

Değerlere karşı yansız davranış: Bu kişi kültürdeki olumlu ya da olumsuz değişmelere uyum sağlayabilmek için yansız olarak görev yapar ya da davranış değişikliği gösterir. Yanlış bir şey yapıldığını açıkça görse bile otoriteye karşı koymaz. Ahlaksal bir sorunun varlığında kişisel rahatsızlık düzeylerinde bile, diğerleri ile birlikte gider veya emirlere uyar. Ahlaka önem vermeyen ve ilgisiz kalan çalışan eğilimi, ne ahlaka aykırı ne de ahlaka uygun bir tutumdur. Bu tür eğilimde olanlar, etik düşüncelere gereği kadar önem vermemekte veya ilgisiz kalmaktadırlar.

Ahlakı temel alan davranış: Bu devlet çalışanı, özgür bir toplumda yönetimin ahlaklı uygulamalarının altında temel ilkeler bulunduğuna inanır. Ahlakçı, toplumsal mutluluğun geliştirilmesinde ve özgürlükçü bir toplumda değerleri temel alan bir yönetimin özünde bulunan bir amaç olarak kamu yararının gözetilmesi gerektiğine inanır.

Gerek ahlaka aykırı gerekse ahlaka önem vermeyen ve ilgisiz kalan çalışma eğiliminin aksine, ahlaka uygun çalışan kamu görevlileri, etik ilkeleri ve hükümleri izlemeye çabalamaktadırlar. Ayrıca ahlaka uygun davranan kamu görevlileri, başarmaya yönelik isteğe sahip olmakla birlikte, etik ilkeler çerçevesinde hizmet üretmeyi amaçlamaktadırlar. Bu anlayıştaki kamu çalışanları yasanın neyi emrettiği üzerinde en iyi biçimde çalışmanın gerekli olduğunu kabul etmektedirler. Bu yaklaşımda, temel yol gösterici ilke, “Bu eylem, karar ve davranışlar hem bizim için hem de ilgili tüm taraflar için doğru mu?” biçimindedir (Bartol and Martin, 1994’den akt: Özgener, 2004: 109).

Tüm bu açıklamalara ilişkin olarak şu örnek verilebilir: Bir kamu görevlisinin iş tanımında belirtilen görevini yürütmesi, onun öncelikli olarak ödevidir. Kamu çalışanı, ödevi olduğu için işlerini yürütüyorsa bu ödeve uygun eylemde bulunuyor demek olur ve bu da ahlaki bir eylem olur. Ama bu kamu görevini yürütürken aldığı ücretin dışında da bazı çıkar sağlamak amacıyla yürütüyorsa, onu bir başka amaç için, bir fayda için yapmış olur ki o zaman bu çalışma eylemi ahlaki bir nitelik taşımaz.

Kamu çalışanı bazen görevini sürdürürken kendi vicdanı ile veya belirli ahlaki normlara karşı olarak bir iç çatışma yaşayabilir. Böylesi durumlarda kuşkusuz insan aklı ve duyguları devreye girecektir. İnsanın duygu ve düşünceden hareketle kendi vicdanına bağlı olarak görevini sürdürmesi gerekmektedir. Bu noktada davranış belirleyicisi olarak akıl, duygu ve vicdan etkendir denilebilir. Bu çeşitli açmazlardaki ortak yan, bu açmaz ya da uyuşmazlıkların herhangi bir kamusal otorite ya da erk tarafından her bir durum için genel bağlayıcı nitelikte çözümlenemeyip; söz konusu kamu görevlisinin kendi sorumluluğuyla karar vermesiyle halledilmesidir.

 

Farklı Alanlarda Etik Anlayışı

Bilişim Etiği

Elektronik ve network(ağ) ortamında uyulması gereken kuralları tanımlayan normlar kısaca bilişim etiğini ifade eder.

Bilişim Etiğine, bilişim alanında uyulması gereken yazılı ve yazılı olmayan kurallar da diyebiliriz

Bilişim etiğinin en önemli taraflarından biri, dünyanın neresinde olursa olsun, bilişim sektöründe çalışanların birbirleri ile ilişkilerinde belli davranış kalıplarına uygun davranmalarının gerekli olmasıdır

Bilişimde Temel Etik Sorunlar:

20. yüzyılın ikinci yarısından sonra, bilgisayar ve bilgisayar teknolojilerinin hızla gelişmesiyle birlikte, sanayi toplumu yerini, insan faktörünün ve bilginin daha önce görülmedik seviyede ön plana çıktığı yeni bir toplum şekline bırakmıştır. Bu yeni toplum bilişim toplumu ve içinde  bulunduğumuz çağ ise bilişim çağı olarak adlandırılmaktadır.

Bilişim toplumunda daha önce de var olan bilişim teknolojilerinin etkisiyle artan sorunlarla birlikte, birey ve toplumun bugününü ve geleceğini önemli ölçüde olumsuz olarak etkileyen ve tehdit eden yeni etik sorunların ortaya çıktığı gözlenmektedir.

Bilişim toplumunda ortaya çıkan etik sorunlardan bazıları şunlardır:

  • Bilginin Doğruluğu
  • Özel Yaşama İlişkin Sorunlar, Mahremiyet, Kişisel Haklar
  • Bilgisayar Suçları
  • Fikri Mülkiyet Hakları
  • İşsizlik
  • Sağlık Sorunları
  • Sosyal İlişkiler, Ev Ofisleri ve Aileye İlişkin Sorunlar
  • Sanal Ortam, Sanal İlişkiler
  • Yapay Zeka
  • Sosyal İlgi ve Teknoloji İlişkisi

İnternet Etiği

Çevrimiçi ortamlarda diğer insanların hak ve hukukuna saygılı olabilme noktasında nelerin yapılıp nelerin yapılamayacağının bilgisine internet etiği denir. İnternet etiği, gerçek hayatta iletişimde olduğunuz insanlara gösterdiğiniz saygı ve nezaketin aynısını internet ortamında da gösterilmesi için bazı kurallar içerir.

Herhangi bir hak ihlaline uğramamak ve kullanılan sistemi de zafiyete uğratmamak için çevrimiçi ortamları kullanırken kullanım politikalarına uygun davranılmalıdır.

İnsanların iletişim özgürlüğüne sahip olduğu gibi erişim özgürlüğüne de sahip oldukları unutulmamalı, diğer kullanıcıların haklarına saygı gösterilmelidir. İnternet ortamında kimseye zorbalık/taciz yapılmamalı, kötü söz söylenmemelidir ve istemeden kimseye art niyetli davranışlar sergilenmemelidir.

İnternet ortamında uygun olmayan (yasadışı) içerikleri indirmekten, paylaşmaktan veya saklamaktan kaçınılmalıdır. Bu tarz içeriklerin üretilmesi ve paylaşılmasının suç teşkil ettiği unutulmamalıdır.

İnternet üzerinden yapılan herhangi bir paylaşımın, birdenbire milyonlarca kişiye erişebileceği her zaman hatırda tutulmalı ve çevrimiçi ortamlarda buna göre davranılmalıdır.

Fikir ve sanat eserleri ile telif hakları ve lisanslama konusunda titiz davranılmalıdır. Telif hakkı olan materyallerin lisanssız kopyaları oluşturulmamalı veya bu materyaller indirme amacıyla kullanılmamalıdır. Sahibi olunmayan eserler topluluklarla paylaşılmamalıdır.

Elektronik ortamlara bağlanan cihazlara, sistemlere veya sistemlerde bulunan bilgi kaynaklarına erişim yetkiniz yok ise girilemeyeceği ve kasıtlı olarak sisteme müdahale edilemeyeceği veya işleyişinde değişiklikler yapılamayacağı her zaman hatırda tutulmalıdır.

 

Mühendislik Etiği

Kant ve Nietzsche tarafından çok yönlü olarak ele alınan etik kavramı sayesinde içinde mühendisliğin de bulunduğu birçok bilim dalı bu çok yönlülüğe dayanarak kendi oluşumlarını oldukça önemli ve ihmal edilemez kavramlar üzerine oturttu. Bu kavramlar bilimi daha verimli, daha adil, daha uygulanabilir ve daha somut bir hale gelmiştir. Ülkemiz de ise modern etik çalışmaları Hilmi Ziya Ülkenle başlamış, Takiyettin Mengüşoğlu’yla birlikte etik farklı bir kavram kazanmıştır. Mengüşoğlu’nun çalışmalarından ilham alan Ioanna Kuçuradi’nin görüşleriyle cumhuriyet tarihimizden bugüne ki etik düşüncenin temelleri atılmıştır. Böylece dünyada ki etik ilkeleriyle birlikte Türkiye’deki etik kavramının da temeli oluşturulmuştur. Türkiye’de olduğu kadar dünyada da oldukça yeni olan etik ve bu olgunun uygulanışı geliştirilmeye ve üstünde tartışılmaya muhtaçtır. Nasıl ki mühendislik her an gelişen kendini yenileyen bir süreçse mühendislik te etikte hem kendi içinde hem de mühendisliğin gelişimiyle birlikte kendini yenilemeye muhtaçtır.

5 Ekim 1977 yılında Dünya Mühendisler Birliği mühendislik etiğinin kavramlarını açıklamıştır.

  • Mühendisler, mühendislik mesleğinin doğruluğunu, onurunu ve değerini
  • İnsanlığın refahının artması için kendi bilgi ve becerilerini kullanarak,
  • Dürüst ve tarafsız olarak halka, kendi işverenlerine ve müşterilerine sadakatle hizmet ederek,
  • Mühendislik mesleğinin yeteneğini ve saygınlığını artırmaya çabalayarak,
  • Kendi disiplinlerinin mesleki ve teknik birliğini destekleyerek yüceltir ve geliştirirler.

 

Mühendislik Etiği İlkeleri

  • Mühendisler, mesleki görevlerini yerine getirirken, toplumun güvenliğini, sağlığını ve refahını en önde tutacaklardır.
  • Mühendisler, sadece kendi uzmanlık alanlarındaki hizmetleri vermelidirler.
  • Mühendisler, yalnızca objektif ve gerçek resmi raporlar yayınlayacaklardır.
  • Mühendisler, mesleki konularda, her işveren veya müşteri için güvenilir vekil olarak davranacaklar ve çıkar çatışmalarından kaçınacaklardır.
  • Mühendisler, hizmetlerinin geçerliliği konusunda mesleki itibarlarını oluşturacak ve diğerleriyle haksız rekabete girmeyecektir.
  • Mühendisler, mesleki doğruluğunu, onurunu ve değerini yüceltmek ve geliştirmek için çalışacaklardır.
  • Mühendisler, mesleki gelişmelerini kendi kariyerleriyle devam ettirecekler ve kendi kontrolleri altındaki mühendislerin mesleki gelişimi için olanak sağlayacaklardır.

 

Öğretmenlik Etiği

Mesleki etik, bütün mesleki uğraşların iyi ve doğruya yönlendirilmesi konusunda ilkeler koyan, meslek üyelerinin kişisel arzularını ve belli bir çizginin dışına çıkmalarını önlemeye çalışan, mesleki idealleri geliştiren ve ilkesiz üyeleri meslekten dışlayan bir ilkeler dizgesidir (Durkheim, 1949, 13). Tüm mesleklerin üyelerinin davranışlarını çerçeve içine alan etik ilkeler oluşturularak, meslek üyelerinin bilgisizlikten ya da kişisel eğilimlerinden kaynaklanan etik dışı davranışlara yönelmeleri engellenmelidir. Öğretmenlik mesleğinde karşılaşılabilecek etik ihlallerden bazıları şunlar olabilir:

  • Öğrencilerle uygun olmayan ilişkiler kurulması,
  • Açıkça belirlenmiş okul kurallarının ve eğitim süreçlerine aykırı hareket edilmesi
  • Öğretmenlik görevlerinde başarısız olmak (mesleğine karşı olumsuz tutum, öğretim görevini aksatma, sınıfta karışıklık yaratma, vb)
  • Öğrencilere öğretim programında yer almayan politik konulardan bahsetmek, çatışmalı konularda aşırı görüşler ileri sürmek gibi, öğretim programı ile ilgisiz konularda kişisel görüşlerini dayatmaya çalışmak
  • Öğrencilerin değerlendirmesinde adil ve dürüst olmayan, tarafsızlığı bozacak şekilde davranmak
  • Öğrencilere duygusal ya da psikolojik tacizde bulunmak
  • Öğrenci gizliliğini ihlal etmek, kişisel ve ailevi sırları açıklamak
  • Hediye ve rüşvet almak
  • Öğrencileri ve ailelerini kişisel işlerine alet etmek

Öğretmenlik Meslek Etiği İlkeleri

  • Profesyonellik
  • Hizmette sorumluluk
  • Adalet
  • Eşitlik
  • Sağlıklı ve güvenli bir ortamın sağlanması
  • Yolsuzluk yapmamak
  • Dürüstlük- doğruluk ve güven
  • Tarafsızlık
  • Mesleki bağlılık ve sürekli gelişme
  • Saygı
  • Kaynakların etkili kullanımı

 

İş Yerinde Etik Ortam Sağlamak

Kurumlarda huzurlu ve verimli iş ortamını sağlamanın temel koşullarından biri etik ilkelere uygun davranmaktır. Bu yönde görev ilk önce yöneticilere düşmekle birlikte çalışanların da katkıda bulunması gerekmektedir.

Farklı Mesleklerde Etik İlkeler

Genel olarak iş hayatında etik ilkeler birbirine benzer özellik taşır. Ancak çeşitli meslek gruplarında farklılıklar hatta zıtlıklar olabilir. Bu durum çelişkili olmakla birlikte o işin yapısına uygundur. Örneğin; gıda sektöründe reklam, şirketler için önemli bir unsurken mali müşavirlik meslek dalında reklam yasaklanmıştır.

Bu etik ilkeler, günümüzde bazı meslek gruplarınca kurulan dernekler tarafından yazılı hale getirilmiştir. Örnek olarak hekimlik meslek etiği kuralları, yazılım mühendisliği meslek etiği kuralları verilebilir.

Bütünü belli mesleği ifade eden etik kurallar vardır. Birbirinden farklı ne kadar meslek varsa o kadar farklı etik ilkeler vardır. Mesleklerin özelliğine göre etik ilkelerde zıtlıklar olabilir. Ör; psikolojik danışman, hastanın sırlarını saklar. Hâkimler herhangi bir olayda soruşturma sürecinde herhangi bir bilgi vermezken yargılama sürecinde bilinenlerin açıklığa kavuşmasını sağlar.

Bir meslek görevi yerine getirmede yapılan herhangi bir hata, o meslek çevresinin dışında pek eleştirilmez. Çünkü herkes o mesleğin gerektirdiği sorumlulukların neler olduğunu tam olarak bilemeyebilir.

Meslek gruplarının hak ettiği saygınlığı elde etmeleri, kendi içlerinde yönetilmesi, denetlenmesi ve gerektiğinde cezai yaptırımlar uygulanması gerekmektedir. Çünkü meslekten uzaklaştırılan kişilerden dolayı diğer meslektaşlar itibar kazanacaklardır.

“Sosyal adalet” herkesin hakkının eşitlik ilkesine göre gözetilmesi, adaletin yaygınlaşması, olarak tanımlanabilir. Yani; herkese kabiliyetine uygun yükselme imkânlarının tanınması, insanlardaki doğuştan var olan yeteneklerin gelişmesine fırsat hazırlanması, herkesin ürettiği hizmet ve yaptığı görev karşılığında hak ettiği maddi ve manevi mükâfata kavuşturulması, sıkıntıların da nimetlerin de adalete uygun olarak dağıtılması demektir.

Sosyal adaletin yaygın olduğu toplumlarda insanlar dertte ve kıvançta ortak davranmanın gereğine inanırlar. Böyle toplumların sosyal refah düzeyi de yüksek olur. Çünkü bu sayede her birey, çabasının karşılığını görür, haksızlığa uğramaz; vazife, hak, mükâfat hususunda herkes yarınından emin olur. Sosyal adalet, toplumda demokratik hak ve hürriyetlerin herkese eşit ölçüde verileceği bir ortam hazırlar. Hiç kuşkusuz sosyal adaletin,  bir milletin bütün fertlerinde, bir devletin bütün müesseselerinde yerleşmesi o ülke insanlarının çok dengeli ve mutlu bir hayat sürmelerine sebep olur.

Meslek birliği, üyeleri arasındaki birlik ve beraberliği sağlamak, aynı ilke ve değerler etrafında toplamak, meslek grubunu toplum içinde onurlu ve saygın bir konuma getirmek ve herkes için yararlı bir meslek ortamı sağlamaktır. Aynı meslek grubundaki kişiler bir araya gelerek çeşitli birlikler oluşturmuşlardır. Bunlar; tabip odaları, barolar birliği; ticaret odası, şoförler derneği, esnaf ve sanatkârlar derneği vb. gibi kurumsal, yasal iş birliği kuran kurumlardır.

 

Çalışanların Etik Profilleri

Çalışanların işletmeye karşı sorumluluğu her şeyden önce sadakat bilincine erişmiş olmasıyla başlar. İşletmenin hakları ile çalışanların hakları iç içedir. Bir tarafın hakkının göz ardı edilmesi zaman içinde karşı tarafın haklarına da olumsuz yansıyacaktır. İster özel girişim olsun, ister kamu kuruluşu olsun çalışanların azami düzeyde işletmenin tüm değerlerini kendi öz değerleri gibi koruyup sahiplenmesi önemlidir.

Hindistan başbakanı İndra Gandi’nin torununa verdiği şu öğüt dikkate değerdir. “İki türlü insan vardır. İş yapanlar ve yapılan işten kendilerine pay çıkaranlar. İş yapanlardan ol. Hem orda diğerlerinden daha az rekabet vardır.”

  1. asır filozoflarından Bacon ise “Bizi güçlü yapan yediklerimiz değil hazmettiklerimizdir. Bizi zengin yapan kazandıklarımız değil muhafaza ettiklerimizdir, bizi bilgili yapan okuduklarımız değil kafamıza yerleştirdiklerimizdir ve bizi sevimli yapan başkalarına verdiğimiz öğütler değil onları kendimizde uygulamamızdır” demiştir.

İş etiğinde incelenecek en önemli konulardan biri de bireysel etik davranışlardır. Bireylerin etik davranış biçimlerinin incelenmesi, iş etiğini belirlemede önemli bir faktördür. Bireylerin etik davranışlarını etkileyen diğer bir özellik de çalışanların özellikleridir. Genel olarak çalışanları üç davranış kalıbı içerisinde değerlendirebiliriz.

  • Çıkarcı
  • Görevci
  • Ahlakçı

Çıkarcı davranış; etik ilkeleri yok sayan bir davranış biçimidir.

Görevci davranış; tamamıyla değerlere kurallara riayet etme anlayışını içermektedir. Ahlakçı davranış; kurum ve hizmet yararını ön planda tutan bir davranış biçimidir.

 

Etik Liderlik

Liderin sözlük anlamı, “Yönetimde gücü ve etkisi olan kimse, önder, şef, bir partinin veya bir kuruluşun en üst düzeyde yönetimiyle görevli kişi” olarak tanımlanabilir.

Liderlik; belirli şartlar altında belirli kişi ve grup amaçlarını gerçekleştirmek üzere organizasyonun diğer elemanlarını etkileme, motive etme ve yönlendirme süreci olarak tanımlanabilir.

Liderlik, belli bir durumda, belli bir alanda ve belli koşullar altında bir grup içindeki; insanlara örgütsel hedeflere ulaşmada yardımcı olacak deneyimleri aktarma ve uygulanan liderlik türünden hoşnut olmalarını sağlayarak grubu etkileme süreci olarak tarif edilebilir.

Yönetim sürecinde liderlik iki şekilde karşımıza çıkmaktadır.

  • Resmi (formal) liderlik; yöneticinin bu göreve resmi atanmasıyla olur ve daha çok yönetici olarak adlandırılır.
  • Gayri resmi (informal) liderlik; atanmak suretiyle değil sahip olduğu bazı özelliklerden dolayı güç sahibi olan kimse.

Yönetici ve liderin özellikleri şunlarıdır:

YÖNETİCİ LİDER
Yönetir Yaratır, yenilik yapar
Düzeni sürdürür Farklılık yaratır
Koruyucu Geliştirici
Bir kopyadır Orijinaldır
Sistem ve yapılara odaklaşır İnsana odaklaşır
Kontrole güvenir ve etkin kılar İnsanlarda güven duygusunu geliştirir
Kısa vadeli bakar Uzun vadeli bakar
Nasıl ve ne zaman sorularını sorar Niçin sorularını sorar
Mevcut durumu savunur Statükoya meydan okur
İşleri doğru yapmaya çalışır Doğru işleri yapar

Liderin taşıması gereken özellikler şunlardır:

  • Ulaşmak istediği amaç ve hedefleri belirleyerek stratejileri oluşturmak
  • Vizyon sahibi olmak
  • Yaratıcı olmak
  • Duyarlı olmak
  • Dürüst ve güven verici olmak
  • Çalışanları motive etmek, gelişmelerini sağlamak
  • Sistemi bir bütün olarak görmek
  • Takım çalışması yararına inanmak
  • Kişiler arası etkin iletişim kurabilmek ve sürdürmek, eldeki verileri kullanarak bilgi ile yönetmek

Etik liderlik; belirli etik değerlere ve ilkelere ön planda sahip olan liderlik yaklaşımıdır. Etik liderliğin gösterilmesi için ortamın uygun olması ve lideri izleyenlerin de aynı değerleri ve ilkeleri benimsemesi gerekir.

  • Lider, doğruluk ve hakkaniyet ilkelerini hayata geçirir.
  • Lider astlarının sorunlarına duyarlı olur, farklı görüşlerin ifade edilmesine imkân tanır.
  • Kurumsal başarı için; kimlik, katılım, hakkaniyet ve yetkinlik ilkelerini temel alır.
  • Lider çalışanları motive eder.
  • Çalışanların kimliğine değer veren bir çalışma kültürü oluşturarak sorunlara yaklaşır.
  • Etik ve kurumsal bağlılığı birleştirerek şaşırtıcı sonuçlar meydana getirebilir.
  • Çalışkanlığa, dürüstlüğe ve yüksek performansa değer verir.
  • Bu değerleri ödüllendirecek şekilde kuruluşu düzenler.
  • Etik ilke sınırları içinde, kurumun tüm potansiyelini harekete geçirir.

Liderlerin görevlerinden biri de kurumsal bir etik anlayışının oluşturulmasıdır. Bu kurumsal etik anlayışını hazırlarken; etik ilkeleri herkesin bir numaralı sorunu haline getirmelidir. Herkesi bu konuda sıkı çalışmaya özendirmelidir. Bu ilkelere aktif bir ilgi duymayı sağlamalıdır. Etik davranış sergileme ile performans arasındaki ilişkiye dikkat edilmelidir. Açık bir iletişim tarzı sergileyip davranış ve eylemleri ile örnek olmalıdır.

Etik liderin özelliklerini aşağıdaki gibi sıralayabiliriz.

  • Söylediği gibi davranmak
  • Tutarlı olmak
  • Yol gösterici olmak
  • Motive edici olmak
  • Güven vermek
  • Tarafsız ve geniş görüşlülük