İÇİNDEKİLER

  • Giriş
  • Siber Güvenlik Nedir?
  • Siber Saldırı Yöntemleri
  • Siber Güvenlik Unsurları
  • Siber Savunma Yöntemleri
  • Siber Güvenlikte Mükemmellik
  • Sonuç
  • Kaynakça

 

Giriş

Bilişim teknolojileri, hayatı kolaylaştırma adına sağladıkları imkânların yanında, güvenlik boyutunda da yeni kaygıların gelişmesine sebep olmuştur. Artık bu yeni dünyada, fiziksel temasa veya mağdurla aynı yerde bulunmaya gerek duymadan hırsızlık, dolandırıcılık gibi suç fiilleri mümkün hale gelmiştir. Bunun yanında bilişim teknolojileri suç gruplarının veya terör örgütlerinin iletişim becerilerini artırmış, propaganda imkânlarını güçlendirmiş ve yeni faaliyet sahalarının ortaya çıkmasını sağlamıştır. Günümüzde hızla gelişen teknoloji güvenlik sorunlarını da beraberinde getiriyor. Hacker adı verilen zararlı kullanıcılar veya kullanıcı grupları, internet sitelerine, bilgisayarlara, devlet kurumlarına, polis, jandarma ya da şahıs gibi birimlere saldırı amaçlı trojen, solucan gibi virüsler yollayarak bu alandaki bilgileri ele geçirmek ya da bu alanı kullanılmaz hale getirmek amaçlı yaptıkları saldırıya siber saldırı adı verilir. Siber saldırılar şahısa dönük olabileceği gibi kuruma ya da devletlere dönük olarak yapılabilir. Devletler birbirleri arasında siber savaş adı verilen rekabete girişebilirler. Bildiğimiz savaştan farklı olan bu stratejiye telefon dinleme, gizli evrak görüntüleme, ajanlık ve casusluk gibi özel amaçlı olarak yapılan işlemlerdir. Ve saldırı için birçok materyal kullanılabilir. Bilgisayarlar, akıllı telefonlar, internet bağlantılı cihazlar, tabletler aracılığı ile şahsa, kuruma ya da devletleri günlük olarak art niyetli sanal saldırı yapılabilir.

 

Siber Güvenlik Nedir?

Siber ortamı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen bilginin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber güvenlik olaylarının tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının devreye alınmasını ve sonrasında ise sistemlerin yaşanan siber güvenlik olayı öncesi durumlarına geri döndürülmesini ifade eder. (T.C. UDHB, 2013-2014)

 

Siber Saldırı Yöntemleri

Siber saldırılar çok çeşitli yöntemlerle yapılmaktadır. Sizin için en çok kullanılan siber saldırı yöntemlerinden birkaçını düzenledik. Bunlar;

  • Bilgi ve veri aldatmacası (Data Diddling): Bilgisayara veri girilirken yanlış girilmesi, verileri saklarken özel yöntemlerle değiştirilmesi ya da bazı kayıtların silinmesi bu yöntemle yapılabilir. (M. H. Wrobleski,1990)

 

  • Salam tekniği (Salami Techniques): Genellikle bankacılık sektöründe kullanılır. Hesaplardaki virgülden sonraki küsuratların son rakam veya son iki rakam tutarı başka bir hesaba aktarılarak orada biriktirilmektedir. (Y. Yazıcıoğlu, 2004)

 

  • Süper darbe (Super Zapping): Bilgisayar sistemlerindeki arızalar ile sistemin kilitlenmesi durumunda güvenlik kontrollerinin aşılarak sistemin düzeltilmesi için geliştirilmiş programlardır. Bu durum kötüye kullanıldığında güvenlik devre dışı bırakılmaktadır. (O. Turhan,2006)

 

  • Truva atı (Casus Yazılımlar): Bilgisayar korsanları truva atları sayesinde sisteme arka kapıdan ulaşarak, bilgisayarın sistem yapısını değiştirebilir ayrıca kullanıcının şifrelerine ve diğer kişisel bilgilerine ulaşabilirler. Truva atı sisteme bulaştıktan sonra, sistemin açılmasıyla beraber kendisini hafızaya yükler ve sistem açıklarını kullanarak, programı yerleştiren bilgisayar korsanının istediklerini yapmasını sağlar.(O.Değirmenci,2002)

 

  • Zararlı yazılımlar (Kötücül Yazılımlar): Virüs gibi belli bir amaca yönelik olarak hazırlanmış kod parçalarıdır.

 

  • Mantık bombaları (Logic Bombs): Bir programın içerisine istenen zararlı bir kod parçasının yerleştirilmesidir. Mantık bombası genellikle hedef alınan bilgisayar veya ağlardaki bilgileri tamamen yok etmek veya bir daha kullanılamaz hale getirmek için kullanılır. (Ş. Çelik,2013)

 

  • Oltalama (Phishing): Genellikle sahte web siteleri kullanılmaktadır. Örneğin bir banka ya da alışveriş sitesinden kendisine e-posta geldiğini düşünen son kullanıcı; kredi kartı bilgilerini bu web sayfasına girerek ya da sadece e-postayı yanıtlayarak bu tuzağa düşebilmektedir. (A.Çubukçu & Ş. Bayram,2013).

 

  • Bukalemun (Chamelon): Normal bir program gibi çalışırır fakat arka planda bir takım hile ve aldatmalar ile çok kullanıcılı sistemlerde kullanıcı adları ve şifrelerini taklitm ederek gizli bir dosya içerisine kaydedip, sistemin bakımı için geçici bir süre kapatılacağına ilişkin bir (YerTutucu) uyarı verir. Bu sırada bukalemun programını kullanan kişi, bu gizli dosyaya ulaşarak kullanıcı adlarını ve şifrelerini ele geçirir. (E. Aydın,1992).

 

  • İstem dışı alınan elektronik postalar (Spam): Tartışma platformlarından dağıtılan listelerden ve web sayfalarından elde edilen elektronik adreslere alıcının haberi olmaksızın ara sıra büyük hacimlerde gönderilen ve ticari amaç taşıyan e-postalar olarak tanımlamaktadır.(T.Memiş,2005)

 

  • Çöpe dalma (Scavenging): Sistem belleğinde bulunan ve artık ihtiyaç duyulmayan silinmiş bilgilerin gelişmiş yöntemlerle tekrar geri getirilmesidir. (E. Altınok, 2011)

 

  • Yerine geçme (Masquerading): Sistemde yapılacak hileler ile erişim imkanı kısıtlı ya da yetkisi hiç olmayan kullanıcıların, erişime yetkisi olan başka kullanıcıların bilgi ve yetkilerini kullanarak sisteme erişim sağlamasıdır. (O.Değirmenci,2002)

 

  • Sistem güvenliğinin kırılıp içeri sızılması (Hacking): Hack kelimesi hacker topluluklarında kullanılan anlamıyla “teknolojinin orijinal, alışılmışın dışında ve özgün bir tarzda kullanılması” anlamına gelmektedir. Ayırt edici özelliği ise sadelik, ustalık ve yasa dışı oluşudur.( T. Jordan & P.Taylor,2004)

 

  • Hukuka aykırı içerik sunulması: Özellikle web sitelerine reklam amaçlı ya da hukuka aykırı içeriklerin eklenmesidir.

 

  • Web sayfası hırsızlığı ve yönlendirme: Web sitelerinin çalınarak kullanamaz hale gelmesi, web sitelerinde farklı içerikler sunulması, sayfa girişinde ya da içeriğinde başka sayfalara yönlendirilerek veri girişine zorlanılmasıdır.

 

  • Sosyal mühendislik: Yalan söyleme ve karşı tarafı ikna etme üzerine kurulan bir bilgi toplama sanatıdır. Burada kişilerin güveni kazanılarak kendilerine güvenmelerinin sağlanması amaçlanmaktadır. (K. D. Mitnick & W.L. Simon, 2006)

 

 

Siber Güvenlik Unsurları

Yüksek seviyede bir siber güvenliğin sağlanması ancak ve ancak aşağıdaki hususlara dikkat edilmesi ve bu unsurların yerine getirilmesiyle sağlanır. Bunlar; gizlilik, bütünlük, kimlik doğrulama, erişilebilirlik, inkar edememe gibi unsurlardır. Bu unsurlar aşağıda kısaca açıklanmıştır.

Gizlilik, “verilerin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunu garanti etmektir”. Diğer bir ifade ile “verilerin erişim yetkisi olmayan kişilerce elde edilmesini önleme girişimleridir”. Bu unsur, şifreleme algoritmaları kullanılarak sağlanmaktadır.

Bütünlük, siber güvenlik unsurlarından bir diğeridir. “Verilerin ve işleme yöntemlerinin doğruluğunu ve içeriğin değişmezliğini sağlamak” veya “verinin bir ortamdan diğerine değişmeden gönderildiğini doğrulamak” olarak tanımlanabilir. Özetleme (parmak izi) fonksiyonları kullanılarak veya farklı fonksiyonlar kullanılarak sağlanır.

Kimlik doğrulama, “yetkilendirilmiş kullanıcıların kimliğinin doğrulanması ve o kişi olduğunun garanti edilmesi” veya “kullanıcı kimliğinin belirlenmesi veya doğrulanması işlemi” olarak tanımlanabilir. Bu unsur, elektronik imza ile sağlanır.

İnkar edememe, aslında adından da anlaşılacağı gibi mesaj veya bilgi kaynağının gönderdiği mesajı veya gönderdiğini yalanlayamamasıdır. Diğer bir ifade ile “yetkilendirilmiş kullanıcının mesaj gönderim veya alım işlemlerinin ispatlanması veya gönderim veya alım işleminin inkar edilememesinin sağlanmasıdır”. Bu unsur, açık anahtar altyapısı ve zaman damgası ile sağlanır.

Erişilebilirlik, “yetkilendirilmiş kullanıcıların bilgiye ve ilişkili kaynaklara erişim hakkına sahip olmalarının garanti edilmesi”, “yetkilendirilmiş kullanıcıların sistemlere güvenli ve sürekli olarak erişmelerinin garanti edilmesi” veya “hizmetin sürekliliğinin sağlanması için gereken önlemleri alma girişimi” olarak tanımlanmaktadır. (Ş.Sağıroğlu & M. Alkan,2018)

Siber Savunma Yöntemleri

Siber saldırılara karşı koyabilmek için belirli bir sistematik içerisinde siber olaylara müdahale etmek, belirli bir adımları takip ederek bu adımları gerçekleştirmek gereklidir. Koruma adımları aşağıda verilmiştir.

(1) Yapılan saldırıları önlemek için bir saldırı tespit ve koruma sistemi yaklaşımı gereklidir. Bu kurulmalıdır.

(2) Tehdidi saptama için bir sistem gereklidir. Bu sistem kurulmalıdır.

(3) Yapılan saldırıların ne zaman, nasıl, kim veya kimler tarafından yapıldığı saptanır. Bunun için kayıtları analiz edecek bir sistem kurulur veya uzmanlıklardan faydalanılır.

(4) Saldırılara karşı koyma (reaksiyon gösterme) işin önemli ve son adımıdır. Saptanan ve tespit edilen tehditler bu adımda giderilir. Karşılaşılan tehditler ortadan kaldırılır ve verilen zararlar giderilir. Sistem kayıplardan arındırılarak, önceki haline dönüştürülür.( Ş.Sağıroğlu & M. Alkan,2018)

 

 

Siber Güvenlikte Mükemmellik

Siber güvenlikte temel hedef; güvenliği mükemmele yakın sağlama olmalı, riskler iyi belirlenmeli, giderilmeye çalışılmalı ve iyi bir risk yönetimi yapılmalı, mevcut teknikler, teknolojiler, politikalar, standartlar ve çözümler uygulanarak, belirlenen siber güvenlik felsefesi kapsamında çalışmalar yürütülmelidir. Bu felsefede aşağıdaki unsurlar yer almalıdır. Bunlar;

Bir güvenlik politikası oluşturulmalı ve uygulanmalıdır.

Gereği kadar koruma prensibi uygulanmalıdır.

İyi bir risk analizi ve yönetimi yapılmalıdır. – Sistemlerde oluşabilecek hataları, eksiklikleri ve açıklıkları gidermek için zaman zaman testler (sızma testleri) yapmak ve tüm zafiyetleri gidermek gerekmektedir.

Sistemleri kullanan her kullanıcıya en az hak verme yaklaşımı benimsenmelidir. Bir kullanıcıya ihtiyaç duyacağı hakları vermenin karşılaşılabilecek problemleri azaltacağı unutulmamalıdır.

Siber güvenlik standartları (ISO 270XX Serisi Standartlar) yakınen takip edilmeli ve uygulanmalıdır. Bunlara ilave olarak, yakın olan diğer standartlardan da mutlaka faydalanılmalıdır.

Elektronik ortamların her zaman güvensiz ortamlar olabileceği unutulmadan, sahip olunan bilgi varlıklarının yedeklenmesi veya kurtarılmasına yönelik sistemler (Felaket Kurtarma Merkezi) kurulmalı ve işletilmelidir.

Güncel tehdit ve tehlikeleri yakınen takip etmek ve varsa da gidermek gereklidir. Ayrıca, gelecek tehdit ve tehlikeleri de önceden öngörmek ve önlem almak da gereklidir. Buna hazır olacak, mekanizmalar ve yapılar kurmalı ve işletmelidir.

Güvenli sistem bileşenlerini tanımlama ve güvenlik gerektiren bileşenlerin sayılarını en aza indirgeme temel amaç olmalıdır.

Siber güvenlik sistemlerini kuran, işleten, yöneten ve güncelleyenlerin güvenlik uzmanları olduğu unutulmadan, siber güvenlik uzmanlarının kendilerini geliştirmelerine fırsatlar verilmeli, bu birimlere daha fazla insan kaynağı ayırılmalıdır. Güvenliği teknik ve teknolojilerin yardımıyla insanların sağladığı veya ihlal edildiği de unutulmadan gerekli tedbirler alınmalıdır. Sonuç olarak, “yüzde yüz bir güvenliğin” hiçbir zaman sağlanamayacağı yaklaşımıyla, varlıklar (yazılım, donanım, veri, süreç, uzmanlık, vb.) değerleri oranında ve sadece değerleri geçerli olduğu sürece korunmalıdır. Korumak için harcanan süre, çaba, emek ve maliyet, korunacak olan siber varlıkların değerleriyle orantılı olmalıdır. Karşılaşılacak riskler, ortak akıl ve bilimsel yaklaşımlar kullanılarak giderilmelidir.(Ş.Sağıroğlu & M. Alkan,2018)

 

Sonuç

Siber güvenlik günümüzde artık ulusal güvenlik stratejilerinde de ele alınan bir kavram haline gelmiştir. Özellikle son birkaç yıldır, Türk şirketleri ve hükümet yetkililerinin de sürekli olarak siber suçların ve siber casusluğun hedefinde olmaları bu alandaki probleme dikkat çekmekte ve daha fazla yatırım yapılmasının gerektiğini gözler önüne sermektedir. Teknolojideki sürekli gelişme ile birlikte siber saldırılar da üst düzeylere çıkmıştır. Olası tehditler ve ihtiyaçlar doğrultusunda alınan kararlar ileriye dönük olarak güvenliğin sağlanmasında yeterince etkili olamamaktadır. Çok çeşitli siber saldırı yöntemleri bulunmakta olup, özellikle kişisel ölçekte bunların çoğu bilinmemektedir. Bilişim sistemleri için güvenlik stratejileri ise konuyu bilen uzmanlar tarafından geliştirilirken çoğu zaman son kullanıcı bu güvenlik tedbirlerinden habersizdir. Bu bağlamda siber alanda oluşan tüm tehditlere karşı önlem alınması ve tüm dünyada bilinç seviyesinin artırılması gerekmektedir. Siber güvensizliğin getirebileceği maliyetin bu alanda yapılacak harcamalardan daha fazla olabileceği göz önüne alındığında siber savunmaya daha fazla yatırım yapılması gerektiği açıkça görülmektedir.

 

 

KAYNAKÇA

  1. T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı, Ulusal Siber Güvenlik Stratejisi ve 2013- 2014 Eylem Planı, Ocak 2013
  2. M. H. Wrobleski – M.K. Hens , “Introduction to Law Enforcement and Criminal Justice”, third edition, West Publiching Company, 1990.
  3. Y. Yazıcıoğlu, 2004. “Bilişim Suçlar Konusunda 2001 Türk Ceza Kanunu Tasarısının Değerlendirilmesi”, Hukuk ve Adalet: Eleştirel Hukuk Dergisi, İstanbul, Y:1, S:1, Ocak-Mart 2004, ss. 172-185.
  4. O. Turhan, “Bilgisayar Ağları ile İlgili Suçlar”, T.C. Başbakanlık Devlet Planlama Teşkilatı Müsteşarlığı Hukuk Müşsavirliği, Planlama Uzmanlığı Tezi, Ankara, 2006.
  5. O. Değirmenci,“Bilişim Suçlar”, (Marmara Üniversitesi Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi), İstanbul, 2002.
  6. Ş. Çelik, “Stuxnet Saldirisi Ve Abd’nin Siber SavaşStratejisi: Uluslararasi Hukukta Kuvvet Kullanmaktan Kaçinma İlkesi Çerçevesinde Bir Değerlendirme”, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi Cilt: 15, Sayı: 1, 2013, s.137-175.
  7. A. Çubukçu & Ş. Bayram (2013). Türkiye’de Dijital Vatandaşlık Algısı ve Bu Algıyı İnternetin Bilinçli, Güvenli ve Etkin Kullanımı ile Artırma Yöntemleri. Middle Eastern & African Journal of Educational Research, 5, 148-174
  8. E. Aydın (1992). Bilişim Suçları ve Hukukuna Giriş. Ankara: Doruk Yayınları.
  9. T. Memiş, Hukuki Açıdan Kitlelere E-posta Gönderilmesi. Saarbrücken Hukuki Internet Projesi. 2005.
  10. E. Altınok, A.F. Vural. “Bilişim Suçları”, 2011.
  11. T. Jordan & P.Taylor, (2004). Hacktivism and Cyberwars: Rebels with a Cause?. Routledge
  12. K. D. Mitnick & W.L. Simon, “Aldatma Sanatı”, Nejat Eralp Tezcan, ODTÜ Yayıncılık, Ankara, 303, 2006.
  13. Ş.Sağıroğlu & M. Alkan, BGD Siber Güvenlik ve Savunma,Farkındalık ve Caydırıcılık, Grafiker Yayınları,Ankara,2018
  14. Photo by codestorm on Unplash


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.