Kategoriler
Bilişim Etiği

Kurumsal Veri Güvenliği

İçindekiler

  • Giriş
  • Kurumsal Veri Güvenliği
  • Kurumsal Bilgi Güvenliği Politikaları
  • Bilgi Güvenliği Yönetim Sistemi (BGYS)
    • BGYS sayesinde:
    • Bilgi sistemlerini iş gerekleri ve yasal yükümlülükler çerçevesinde koruyabilmek için:
    • Bir kurum neden BGYS kurmalıdır?
  • Bilgi Güvenliği Standartları
  • İngiliz Standartları
  • Türk Standartları
  • Sonuç
  • Kaynakça

Giriş

Günümüz teknolojisinde kurumsal firmalar müşterilerinin tüm belgelerini bir veri tabanı içinde tutarlar. Bunlar kimlik bilgilerimiz, adreslerimiz, telefon numaralarımız ve banka şifrelerimiz olabilir. Firma ile müşteri arasında gizli kalması geren tüm bilgilere ulaşmak isteyen kişi ve kişiler olabilir. Bu bilgiler en iyi şekilde saklanmalı ve bu veri tabanlarının saldırılar sonucu açığa çıkmaması gereklidir. Bu gibi durumların yaşanmaması için kurumsal bilgi standartları vardır.

Kurumsal Veri Güvenliği

Kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. Kurumsal bilgi varlıklarının güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz. Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci bilgi güvenliği olarak tanımlanabilir.Kurumsal bilgi güvenliği ise, kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınması olarak düşünülebilir. Kurumsal bilgi güvenliği insan faktörü, eğitim, teknoloji gibi birçok faktörün etki ettiği tek bir çatı altında yönetilmesi zorunlu olan karmaşık süreçlerden oluşmaktadır. Bu süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek seviyede bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşma çalışmaları hızla sürmektedir. Standartlaşma konusuna önderlik eden İngiltere tarafından geliştirilen BS–7799 standardı, ISO tarafından kabul görerek önce ISO–17799 sonrasında ise ISO–27001:2005 adıyla dünya genelinde bilgi güvenliği standardı olarak kabul edilmiştir. Ülkemizde Avrupa Birliği Uyum Kriterlerinde de adı geçen bu standartların uygulanması konusunda yapılan çalışmalar yetersiz olup bu standardı uygulayan kurum ve kuruluşların sayısı yok denecek kadar azdır. ISO–27001:2005 standardı ülkemizde Türk Standardları Enstitüsü (TSE) tarafından TS ISO/IEC 27001 “Bilgi Güvenliği Yönetim Sistemi” standardı adı altında yayınlanmış ve belgeleme çalışmaları başlatılmıştır. Bu standart kapsamında kurumsal bilgi varlıklarının güvenliğinin istenilen düzeyde sağlanabilmesi amacıyla; gizlilik, bütünlük ve erişilebilirlik gibi güvenlik unsurlarının kurumlar tarafından sağlanması gerekmektedir. Bilgi Güvenliği Yönetim Sistemleri (BGYS); insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Kurumlar açısından önemli bilgilerin ve bilgi sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve sürekliliğinin sağlanması, BGYS’nin kurumlarda hayata geçirilmesiyle mümkün olmaktadır. BGYS’nin kurulmasıyla; olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir. Kurumsal bilgi güvenlik politikalarının oluşturulması, BGYS kapsamının belirlenmesi, risk yönetimi, denetim kontrollerinin seçilmesi, uygulanabilirlik beyannameleri BGYS kurulabilmesi için, yapılması gereken adımlardır. Bilgi güvenliğinin yönetiminin kurulmasında izlenmesi gereken adımlar bu bölümde sırasıyla takip eden başlıklarda açıklanmıştır.

Kurumsal Bilgi Güvenliği Politikaları

Güvenlik politikaları kurum veya kuruluşlarda kabul edilebilir güvenlik seviyesinin tanımlanmasına yardım eden, tüm çalışanların ve ortak çalışma içerisinde bulunan diğer kurum ve kuruluşların uyması gereken kurallar bütünüdür. Kurumsal bilgi güvenliği politikası, kurum ve kuruluşlarda bilgi güvenliğinin sağlanması için tüm bilgi güvenlik faaliyetlerini kapsayan ve yönlendiren talimatlar olup kurumsal bilgi kaynaklarına erişim yetkisi olan tüm çalışanların uyması gereken kuralları içeren belgelerdir. Bilgi güvenliği politikaları her kuruluş için farklılık göstersede genellikle çalışanın sorumluluklarını, güvenlik denetim araçlarını, amaç ve hedeflerini kurumsal bilgi varlıklarının yönetimini, korunmasını, dağıtımını ve önemli işlevlerin korunmasını düzenleyen kurallar ve uygulamaların açıklandığı genel ifadeleri içermektedir. Politikalar içerisinde; gerekçelerin ve risklerin tanımlandığı, kapsadığı bilgi varlıkları ve politikadan sorumlu olan çalışanların ve gruplarının belirlendiği, uygulanması ve yapılması gereken kuralların, ihlal edildiğinde uygulanacak cezai yaptırımların, teknik terimlerin tanımlarının ve düzeltme tarihçesinin yer aldığı 7 bölümden oluşur. Belirli konularda çalışanın daha fazla bilgilendirilmesi, dikkat etmesi gereken hususlar, ilgili konunun detaylı bir şekilde ifade edilmesi istendiğinde alt politikalar geliştirilmelidir. Örneğin kullanıcı hesaplarının oluşturulması ve yönetilmesi, şifre unutma, şifre değiştirme, yeni şifre tanımlama gibi durumlarda uyulacak kurallar alt politikalar aracılığıyla açıklanmalıdır.

Bölüm Adı İçeriği
Genel Açıklama Politikayla ilgili gerekçeler ve buna bağlı risklerin tanımlamasını kapsar.
Amaç Politikanın yazılmasındaki amaç ve neden böyle bir politikaya ihtiyaç duyulduğunu açıklar.
Kapsam

Politikaya uyması gereken çalışan grupları (ilgili bir grup veya kurumun tamamı) ve bilgi varlıklarını belirler.

Politika

Uygulanması ve uyulması gereken kuralları veya politikaları içerir.

Cezai Yaptırımlar

Politika ihlallerinde uygulanacak cezai yaptırımları açıklar.

Tanımlar

Teknik terimler ile açık olmayan ifadeler listelenerek açıklanır

Düzeltme Tarihçesi

Politika içerisinde yapılan değişiklikler, tarihler ve sebepleri yer alır.

E-posta gönderme ve alma konusunda, üst yönetimin kararlarını, kullanıcının uyması gereken kuralları ve diğer haklarını alt politika içerisinde ifade etmek bir başka örnek olarak verilebilir. Alt politikayla üst yönetimin, gerekli gördüğünde çalışanlarının epostalarını okuyabileceği, e-postalar yoluyla gizlilik dereceli bilgilerin gönderilip alınamayacağı gibi hususlar, e-posta alt politikası içerisinde ifade edilebilir. Alt politikalar içerisinde, izin verilen yazılımlar, veritabanlarının nasıl korunacağı, bilgisayarlarda uygulanacak erişim denetim ölçütleri, güvenlikle ilgili kullanılan yazılım ve donanımların nasıl kullanılacağı gibi konular da açıklanabilir. (Vural ve Sağıroğlu,2008,S509-510)

Bilgi Güvenliği Yönetim Sistemi (BGYS)

bir kurumdaki bilgi güvenliğini tasarlayan, gerçekleyen, işleten, gözleyen, değerlendiren, bakımını yapan ve geliştiren bir çerçeve sağlamaktadır.

BGYS sayesinde:

İş aktivitelerinde meydana gelen riskleri yönetebilmek.

Güvenlik olaylarına müdahale aktivitelerini yönetebilmek.

Kurumda güvenlik kültürünün oluşmasını sağlamak.

Bilgi sistemlerini iş gerekleri ve yasal yükümlülükler çerçevesinde koruyabilmek için:

Kurum dışına bilgi sızmasını engellemek (gizlilik)

Bilginin içeriğinin yetkisiz kişilerce değiştirilmesini engellemek (bütünlük)

Bilgiye erişimin kesintiye uğramasını engellemek (erişilebilirlik)

Yasal uyumluluk

Risk-maliyet dengelemesi

Bir kurum neden BGYS kurmalıdır?

Yönetilen bilgi güvenliği

Mevzuat yükümlülükleri

Rekabet ortamı

 Müşteri talebi

Kaynakların etkin kullanımı (TÜBİTAK, 2018,S3-6)

Bilgi Güvenliği Standartları

Tehditlerin sürekli olarak yenilenmesi, kullanılan yazılım veya donanımlarda meydana gelen güvenlik açıklarının takibi, insan faktörünün kontrolü gibi süreçlerin takip edilebilmesi ve üst seviyede bilgi güvenliğinin sağlanması için bilgi güvenliği sürecinin yönetilmesi için yapılan çalışmalar sonucunda İngiliz Standartlar Enstitüsü (British Standards Institute-BSI) tarafından 1995 yılında BS–7799 standardının ilk kısmı olan BS7799–1, 1999 yılında ise aynı standardın ikinci kısmı olan BS7799–2 İngiliz standardı olarak yayınlanmıştır. BS7799–1 2000 yılında küçük düzeltme ve adaptasyonlardan geçerek ISO tarafından ISO/IEC– 17799 adıyla kabul edilmiş ve dünya genelinde kabul edilen bir standart halini almıştır. 2002 yılında ise BSI tarafından BS–7799 standardının ikinci kısmı olan BS–7799–2 standardı üzerinde eklemeler ve düzeltmeler yapılarak ikinci defa İngiliz standardı olarak yayınlanmıştır. 2005 yılında ise ISO tarafından ISO/IEC–17799 standardı üzerinde eklemeler ve düzeltmeler yapılmış ISO/IEC–17799:2005 adıyla yeniden yayınlanmıştır. Son olarak 2005 yılında ISO İngiliz standardı olan BS7799–2 üzerinde eklemeler ve düzeltmeler yaparak ISO/IEC:27001 standardını yayınlamıştır. (Vural ve Sağıroğlu,2008,S511)

İngiliz Standartları

BS–7799, bilgi varlıklarının gizlilik, doğruluk ve erişilebilirliğini güvence altına almak için uygulanması gereken güvenlik denetimlerini düzenleyen ve belgelendiren iki aşamalı İngiliz standardıdır. 1999 yılında yayınlanan ilk sürümün birinci bölümünde bilişim güvenliği için çalışma kuralları anlatılmakta olup (Information Technology– Code of Practice for Information Security Management) 10 bölüm içerisinde 36 kontrol 127 alt kontrol maddesi bulundurmaktadır. İkinci bölümde (Information Security Management Systems– Specification with Guidance for Use) bilgi güvenliği yönetim sistemini planlamak, kurmak ve devam ettirmek için gerekli olan süreçler adım adım tanımlamakta ve bilgi güvenliği yönetim sistemine ait belgelendirme (sertifikasyon) bu kısımda yapılmaktadır. BS–7799 kurumların sadece kendi bilgi güvenlik prosedürlerini değil birlikte çalıştıkları iş ortaklarıyla ilgili sözleşmelerinde bilgi güvenliği yönünden analiz edilmesine yardımcı olmaktadır. BS–7799 standardı endüstri, devlet ve ticari kuruluşlardan ortak bir güvenlik modeli oluşturulmasına gelen talepler sonucu BSI kuruluşu ve BOC, BT, Marks&Spencer, Midland Bank, Nationwide Building Society, Shell, Unilever ve diğer bazı şirketlerin katılımıyla hazırlanmış bir standarttır. Standardın tarihsel oluşumuna bakıldığında 1993 yılında Kural rehberi, 1995 yılında İngiliz standardı, 1998 yılında Sertifikasyon tarifi yapılmış, 1999 yılında büyük bir düzeltmeden geçerek birinci kısmı, 2002 yılında ise ikinci kısmı yayınlanmıştı.

Güvenlik politikası: Bilgi güvenliği için yönetimin yönlendirilmesi ve desteğinin sağlanmasının yer aldığı bölümdür.

Güvenlik organizasyonu: İşletme içindeki bilgi güvenliğinin yönetilmesi, üçüncü taraflarca erişilen işletmeye ait bilgi işleme araçlarının ve bilgi varlıklarının güvenliğinin korunması ve bilgi işleme sorumluluğu başka bir işletmenin kaynaklarından sağlandığında bilgi güvenliğinin sürdürülmesidir.

Varlık sınıflandırması ve denetimi: İşletmeye ait varlıklar için uygun korunmanın sağlanması ve bilgi kaynaklarının uygun koruma seviyesine sahip olduklarının garanti edilmesidir.

Erişim kontrol: Bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanmasıdır.

Uyum: Herhangi bir suçtan kaçınılması, organizasyonun güvenlik politikalarının ve standartlarının sisteme uyumunun sağlanması, sistem izleme işlemlerinin etkisinin artırılması ve karşılaşılan engellerin azaltılmasıdır.

Personel güvenliği: İnsan hatalarını, hırsızlığı, sahtekârlığı ve araçların yanlış kullanılması risklerinin azaltılması, kullanıcıların bilgi güvenliği tehditlerinden ve sorunlarından haberdar olduklarının ve normal çalışma seyirleri içinde organizasyonla ilgili güvenlik politikasını desteklemek üzere donatıldıklarının garanti edilmesidir. Ayrıca güvenlik ihlallerinden meydana gelen hasarın en aza indirilmesi ve bu gibi olaylardan gerekli tecrübelerin edinilmesidir.

Fiziki ve çevresel güvenlik: İşyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır.

Sistem bakım ve idamesi: Bilişim sistemleri içerisinde güvenliğin temin edilmesi, uygulama sistemlerindeki kullanıcı verilerinin kaybedilmesini, değişmesini ya da hatalı kullanımının önlenmesi, bilginin gizliliği, aslına uygunluğu ya da bütünlüğünün korunması, IT projelerinin ve destek etkinliklerinin güvenli bir şekilde yürütülmesini temin etmek ve uygulama yazılımının ve bilgilerin güvenliğini sağlamaktır.

İletişim ve işletim yönetimi: Bilgi işlem tesislerinin doğru ve güvenle işletildiğinden emin olunması, sistem arızalarını en az seviyeye indirilmesi, bilgi ve yazılım bütünlüğünün korunması, bilgi işlem ve iletişim hizmetlerinin kullanılabilirliği ve bütünlüğünün sürdürülmesi, ağlarda yer alan bilgilerin emniyetinin ve destekleyen altyapı sisteminin korunması, iş faaliyetlerinin kesintiye uğratılması ve varlıklara zarar verilmesinin önlenmesi ve organizasyonlar arasında akan bilginin yanlış amaçlarla kullanılması, değiştirilmesi ve kaybedilmesinin önlenmesidir.

İş süreklilik yönetimi: Ticari süreçlerde karşılaşılan olumsuzlukların giderilmesi ve kritik ticari işlemlerin devamlılığının sağlanmasıdır.(Vural ve Sağıroğlu,2008,S511-512)

Türk Standartları

Türkiye’de bilgi güvenliği standartlarıyla ilgili çalışmalar ve belgelendirmeler, Türk Standartları Enstitüsü (TSE) tarafından yapılmaktadır. TSE teknik kurulunun ISO/IEC 17799:2000 standardını tercüme ederek 11 Kasım 2002 tarihinde aldığı karar ile TS ISO/IEC 17799 Bilgi Teknolojisi-Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri Türk standardı olarak kabul edilmiştir. TS ISO/IEC 17799 standardı; kuruluşlar bünyesinde bilgi güvenliğini başlatan, gerçekleştiren ve süreklilik sağlayan, bilgi güvenliği yönetimi ile ilgili tavsiyeleri içermektedir. BGYS belgelendirilmesine yönelik TSE teknik kurulu tarafından yapılan çalışmalar sonucunda BS 7799– 2:2002 standardının tercümesi yapılarak “Bilgi Güvenliği Yönetim Sistemleri–Özellikler ve Kullanım Kılavuzu” ismiyle TS 17799–2 standardı olarak 17 Şubat 2005 tarihinde kabul edilmiş ve yürürlüğe girmiştir. Ancak TS ISO/IEC 27001:2006 “Bilgi Teknolojisi–Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri–Gereksinimler”, 2.3.2006 tarihinde Türk standardı olarak kabul edildiğinden TS 17799–2 standardı TSE tarafından iptal edilmiştir [28]. TS ISO/IEC 27001:2006 standardı, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kâr amaçlı olmayan kuruluşlar) kapsar. Bu standart, bir BGYS’yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. Bu standart ISO/IEC 27001:2005 standardından yararlanarak hazırlanmıştır. ISO/IEC 27001:2005 standardın tercümesidir.(Vural ve Sağıroğlu,2008,S516)

Sonuç

Ülkemizde genellikle güvenlik politikaları standartlara uygun olmadan yazılı veya sözlü, onaylı veya onaysız bir biçimde kuruluşlar tarafından uygulanmakta ve çoğu kurum tarafından da “bilgi güvenliği yönetimi” yeterli görülmektedir. Bu yanlış anlamanın giderilmesi için dünya genelinde kabul görmüş ve uygulanabilirliği test edilmiş bilgi güvenliği standartları esas alınarak kuruluşların “bilgi güvenliği yönetimi” konusunda eksikliklerini gidererek BGYS kurmaları, uygulamaları ve belgelendirilmeleri gerekmektedir. BGYS çerçevesinde oluşturulacak güvenlik politikalarına, üst yönetim ve tüm çalışanların destek vermesi ve tavizsiz bir şekilde uygulanması, işbirliğinde bulunulan tüm kişi ve kuruluşlarında bu politikalara uyma zorunluluğu, kurumsal bilgi güvenliğinin üst düzeyde sağlanmasında önemli bir faktördür.BGYS standartlarının kurumlara uyarlanması, anlatılması, kullanıcı, teknik çalışanların ve yöneticilerin eğitilmesi konusunda kuruluşların bünyelerinde güvenlik uzmanları çalıştırmaları veya danışmanlık hizmetleri almaları gerekmektedir. BGYS uygulamaları, kurumlar tarafından başarılı bir şekilde uygulandıktan sonra kuruluşların bilgi güvenliğini yönettiklerine dair uluslararası alanda geçerli sertifikasyona sahip olmaları önemlidir.(Vural ve Sağıroğlu,2008,S520)

 

Kaynakça

  • Vural,Y. ve Sağıroğlu,Ş. (2008),Kurumsal Bilgi Güvenliği Ve Standartları Üzerine Bir İnceleme, Gazi Üniv. Müh. Mim. Fak. Der Cilt 23, 507-522
  • TÜBİTAK(2018),Yöneticilere Odaklı ISO 27001 Bilgilendirme
  • Photo by Luke Chesser on Unsplash


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Veri Koruma

İÇERİK

Giriş

Verinin İşlenmesi

Kişisel Verilerin Korunması

Bilgi Güvenliği

Bilgi Güvenliği Prensipleri

Sık Karşılaşılan Güvenlik Saldırıları

Sonuç

Kaynakça

 

Giriş

Günlük hayatımızda artık hepimiz sosyal medya hesaplarımızda fotoğraf, video, ses kaydı, konum gibi özel bilgilerimizi paylaşıyoruz. Tedavi amacıyla sağlık kuruluşuna gittiğimizde parmak izimizi, daha önce geçirdiğimiz sağlık sorunlarımızı paylaşıyoruz. Bankaya gittiğimizde mali bilgilerimizi, iletişim bilgilerimizi paylaşıyoruz. Her paylaştığımız bilgide kendimize ait bir iz bırakıyoruz. Bu izler bizi biz yapan ve herkesten ayran kişisel verilerimizdir. Paylaştığımız bu verileri bizden başka herkesin kötü ve haksız kullanımına karşı korumaya ise “veri koruma” denir.

Verinin İşlenmesi

Bir verinin kişisel veri niteliği kazanması veya belirli bir kişiyi temsil etmesi ancak verinin işlenme sürecinde kesinlik kazanabilmektedir. Kişisel verilerin işlenmesi, verilerin elde edilmesi, kaydedilmesi, düzenlenmesi, uyarlanması, dönüştürülmesi, kullanımı, açıklanması, birleştirilmesi, silinmesi gibi süreçlerden oluşmaktadır (Kaya, 2011).

Ekonomik İş birliği ve Kalkınma Örgütü (Organisation for Economic Co-operation and Development OECD) Rehber İlkeleri, kişisel verilerin korunması ve işlenme sürecinde dikkate alınması gereken prensipleri şu şekilde belirlemiştir (OECD, 2013):

  • Sınırlılık

Kişisel veriler, hukuka uygun sebepler ve araçlarla toplanmalıdır, veri sahiplerinin toplama konusunda bilgilendirilmeleri ve bilinçli rızalarının alınması gerekmektedir.

  • Kalite

Toplanan veriler kullanılan amaç doğrultusunda mümkün olduğunca tam, güncel ve doğru olmalıdır.

  • Amaca Özgülük

Kişisel verilerin toplanma amacı belirlenmelidir. Veriler sadece belirlenen amaç için kullanılmalıdır.

  • Kullanım Sınırlaması

Toplanan veriler belirtilen amaçlar dışında yayılamaz, bulundurulamaz veya başka amaçlarla kullanılamaz. Veri sahibinin bilinçli rızası ve kanuna dayalı yetkiler bu maddenin sınırlaması olabilir.

  • Güvenlik

Toplanan verilere yönelik oluşabilecek tehlikelere karşı (kayıp, yetkisiz erişim, zarar verme, değiştirme, açıklama) uygun güvenlik tedbirleri ile korunmalıdır.

  • Açıklık

Kişisel verilerle ilgili gelişmeler, uygulama ve politikalar hakkında genel bir açıklık ilkesi bulunmalıdır. Bireyler kendileri ile ilgili veri barındıran kurumların politikalarına kolayca ulaşabilmelidirler.

  • Bireyin Rızası

Veri sahibinin rızası olmaksızın veriler erişilebilir hale getirilmemeli ve açıklanmamalıdır.

  • Hesap Verebilirlik

Veri sahipleri veri toplayıcı ve yayınlayıcılarına karşı sayılan diğer ilkeler çerçevesinde hesap sorma hakkına sahip olabilmelidir. (Eroğlu, 2018)

Kişisel Verilerin Korunması

Yaşanan süreçlerde kişisel verilere yönelik tehditlere karşı hem bireysel hem toplumsal savunma mekanizmalarının varlığı değer kazanmaktadır. Kişisel verilerin korunması özel hayat ve aile hayatına saygı hakkı bakımından önemlidir. Kişisel verilerin korunmasının uluslararası belgelerde, mahremiyete yönelik düzenlemelerle yorumlandığı görülmektedir.

Türkiye’de kişisel verilerin korunmasına yönelik yasal düzenleme çalışmaları 2000’li yıllardan itibaren gündeme gelmiştir. 2016 yılında ise konuya yönelik kanun çalışması tamamlanmıştır. “6698 sayılı Kişisel Verilerin Korunması Kanunu” 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun ile “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” amaçlanmaktadır. (Eroğlu, 2018).

Bilgi Güvenliği

Bilgi karşımıza çok çeşitli ve farklı yerlerde ortaya çıkmaktadır. Bilginin yer aldığı ortamlara örnek vermemiz gerekirse; sunucular, kişisel ve dizüstü bilgisayarlar, tabletler, akıllı telefonlar, veri tabanı gibi elektronik ortamlar, elektronik posta, taşınabilir diskler, CD/DVD ROM’lar, kâğıt vb. olarak sayılabilir. Bilginin üç hali olduğunu burada ifade etmemiz gerekir. Bunlar;

  • Durağan bilgi
  • Hareket halindeki bilgi
  • Kullanımdaki bilgi (Çek, 2017, p.4).

Bilgi Güvenliği Prensipleri

Veri güvenliğinin üç temel prensibi vardır. Bunlar:

  • Gizlilik

Bilginin sadece yetkisi olan kişiler tarafından erişmesi, yetkisiz kişilerin eline geçmemesi ve yetkisiz kişiler tarafından görülememesidir.

  • Bütünlük

Bilginin yetkisiz kişiler tarafından değiştirilememesi, tam ve eksiksiz olmasıdır. Bilginin yine saklandığı veri tabanında veya iletim halindeyken yetkisi olmayan herhangi bir kişi tarafından değiştirilmesini, tahrip edilmesini veya silinmesi istenmez.

  • Erişilebilirlik

Bilginin yetkisi olan kişiler tarafından, gerektiği zaman ulaşılabilir olması bilgi güvenliğinin erişilebilirlik prensibidir.

Bilgi güvenliğinin yukarıda bahsettiğimiz üç temel prensibi dışında başka birtakım prensipleri de vardır. Bunlar:

  • Loglama

İngilizce ‘‘Accountability’’ kavramının karşılığı olarak dilimize hesap verilebilirlik olarak çevirebileceğimiz, log kayıtlarının bütünlüğünden bahsedilmesi gerekir. Log tutma, elektronik ortamda yapılan işlemlere ait kayıtların tutulmasıdır.

  • Kimlik Doğrulama

Bilgi sistemlerinden hizmet alan kişinin, uygulamanın ya da bir web servisinin gerçekten o kişi, uygulama ya da web servisi olduğunun tespiti gerekmektedir. Kimlik doğrulama olmaksızın bir bilgi güvenliği düşünmek olanaksızdır. Şifre, OTP, biyometrik kimlik doğrulama gibi çeşitli kimlik doğrulama yöntemleri bulunmaktadır.

  • İnkâr Edilemezlik

Bu prensibi, log kayıtlarının tutulması prensibiyle de birlikte değerlendirmek mümkündür. İnkâr edilemezliğin sağlanması için bütünlüğü korunmuş, tutarlı bir log kayıtlarının tutulması mekanizması gerekmektedir.

  • Güvenilirlik

Bilişim sisteminden beklenen sonucun üretilmesi ve elde edilen sonuçlar ile beklenen sonuçların tutarlılık durumudur. (Çek, 2017, p.4-6).

Sık Karşılaşılan Güvenlik Saldırıları

Bilgi güvenliğini tehdit eden saldırılar üç ana başlıkta gruplandırılabilir.

  • Gizliliği Tehdit Eden Saldırılar

Genel olarak, iki tür saldırı, bilginin gizliliğini tehdit eder: gözetleme ve trafik analizi. Ağ trafiğini dinleme (Snooping), verilere yetkisiz erişime veya veri kesme işlemine yönelik olarak gerçekleştirilir. Trafik analizi ise bir saldırganın çevrimiçi trafiği izlenerek toplanan değişik türdeki bilgileri elde etme işlemidir.

  • Bütünlüğü Tehdit Eden Saldırılar

Verilerin bütünlüğü çeşitli saldırılarla tehdit edilebilir. Bu saldırılara örnek olarak değiştirme, maskeleme, tekrarlama ve reddetme verilebilir.

  • Erişilebilirliği Tehdit Eden Saldırılar

Hizmet dışı bırakma (DOS) saldırıları ve dağıtık hizmet dışı bırakma saldırıları (DDOS), bir sistemin hizmetini yavaşlatabilir veya tamamen kesebilir. Saldırgan bunu başarmak için çeşitli stratejiler kullanabilir. Sistemi çok meşgul edebilir, çökertir ya da bir yönde gönderilen iletileri kesebilir ve gönderme sistemini iletişim veya mesajdaki taraflardan birinin mesajı kaybettiğine ve tekrar gönderilmesi gerektiğine inanmasına neden olabilirler. (Kurt Kaya, 2017, p.4-8).

Sonuç

            Sonuç olarak bütün bu bilgileri ele aldığımızda kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmektedir.

KAYNAKÇA

  • Kurt Kaya, G. (2017). Bilgi Güvenliği ve Siber Güvenlik Kapsamında Bakanlık Uygulamaları için Güvenli Yazılım Geliştirme Metodolojisi Önerisi (Master’s thesis).
  • Eroğlu, Ş. (2018). Dijital Yaşamda Mahremiyet (Gizlilik) Kavramı ve Kişisel Veriler: Hacettepe Üniversitesi Bilgi ve Belge Yönetimi Bölümü Öğrencilerinin Mahremiyet ve Kişisel Veri Algılarının Analizi. Hacettepe Üniversitesi Edebiyat Fakültesi Dergisi, 131-153.
  • Çek, E. (2017). Kurumsal Bilgi Güvenliği Yönetişimi ve Bilgi Güvenliği İçin İnsan Faktörünün Önemi (Master’s thesis).
  • Photo by Rob Sarmiento on Unsplash

 


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Bilgisayar ve Sistem Güvenliği

İÇİNDEKİLER

• Giriş

• Bilgi Güvenliği

• Bilgi Güvenliğinin Tarihçesi

• Bilgisayar ve Sistem Güvenliği

• BİLGİ GÜVENLİĞİ UNSURLARI

• Gizlilik (Confidentiality)

• Bütünlük (Integrity)

• Erişilebilirlik (Availability)

• BİLGİ GÜVENLİĞİNİ TEHDİT EDEN SALDIRILAR

• Siber Saldırı

• Sonuç

• Kaynakça

GİRİŞ
Günümüzde, teknolojinin yaygınlaşmasıyla birlikte herkesin bir telefon ve bilgisayarı bulunmakta. Hayatımızın önemli bir parçasını oluşturan bu teknoloji cihazların güvenliği ise göz ardı edilmemesi gereken önemli bir konu çünkü kredi kartı bilgilerimizden, internet bankacılığı uygulamalarına ve şifrelerine, e-devlet ve sosyal medya hesapları ve daha fazlası sadece bizim bilmemiz veya kullanmamız gereken oluşumları sağlıyor. Bununla birlikte kişisel bilgi ve hesapların dışında şirketlerin önemli ve gizli kalması gereken şirket içi bilgileri de bilgisayarlarda ve disklerde depolanıyor. Bunların güvenliğini sağlamak ve toplum olarak bilinçlenmek ileride doğabilecek herhangi bir zarardan kurtulmamızı sağlayabilir.
BİLGİ GÜVENLİĞİ
Bilgi, insan hayatındaki en hassas ve önemli varlıklardan birisidir. Kişiler, kurumlar ve ülkeler için bilgi, elde edilmesi zor, aynı zamanda elde tutulması da zor bir metadır(Canbek ve Sağıroğlu 2006). Kanadalı ekonomist ve diplomat olan John Kenneth Galbraith bir konuşmasında şunları söylemiştir: “Endüstri toplumuna hız kazandıran şey paradır; fakat bilgi toplumunu hızlandıran ve güce ulaştıran bilgidir, şimdi bilgi sahibi olanlar ve olmayanlar şeklinde yeni bir sınıfsal bölünme ortaya çıktı. Bu yeni sınıf, gücünü paradan ya da sahip olunan topraklardan değil, sadece bilgiden alıyor.”
Ünlü ekonomist bu sözleriyle çağımız hakkında haklı bir tespitte bulunmuş ve bilginin neden korunması gerektiğine dair ipucu vermiştir.
Çağımızın getirdiği bilgiye olan bağımlılık, bilginin ve bilgi güvenliği konusunun önemini arttırmıştır. Teknolojinin gelişmesiyle birlikte elektronik olarak saklanan bilgi sayısını ciddi boyutlara ulaştırmıştır. Bu durum beraberinde yeni riskleri ortaya çıkarmıştır. Ortaya çıkan bu riskler ise bilgi güvenliğini sağlamak adına yeni tedbirlerin alınması ihtiyacını doğurmuştur.

BİLGİ GÜVENLİĞİNİN TARİHÇESİ
1990’lı yılların ortalarına doğru İngiltere’de bazı sanayi kuruluşların talepleri ve BSI (İngiliz Standartlar Enstitüsü) girişimleri ile temelleri atılan Bilgi Güvenliği Standartları BS7799 altında ortaya çıkmış, 1995 yılında BS7799 olarak yayınlanan standart daha sonra iki kısma ayrılarak BS7799-2:1998 ve BS7799-1:1999 olarak yayınlanmıştır.
Uluslararası Standartlar Komitesi (ISO) ise Bilgi Güvenliği ile ilgili standardın birinci bölümünü 2000 yılında ISO 17799 olarak yayınlamıştır.
Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri ni içeren standardın son gözden geçirmeleri 2004 Ekim’de tamamlanmıştır, yeni versiyonu 2005 yılda yayınlanmıştı. (ISO-27001)

BİLGİSAYAR VE SİSTEM GÜVENLİĞİ
Bilgisayar ve sistem güvenliği politikaları, kurum ağında ve sistemlerde oluşabilecek durumları yetkili/güvenli ve yetkisiz/ güvensiz olmak üzere ikiye ayıran yazılı kurallar bütünüdür. Güvenlik politikaları gizlilik, bütünlük ve erişilebilirlik prensiplerini bir bütün halinde ele almaktadır. Kurumsal güvenlik politikaları, kurum bünyesindeki bilişim kaynaklarının güvenli bir şekilde nasıl kullanılması gerektiğine dair bir plan sunmakta ve kurumun bilgi güvenliğini tehdit eden durumların önüne geçebilmek için izlenmesi gereken kuralları belirlemektedir. Ağ güvenliği politikaları, sadece kurum dışından gelebilecek güvenlik tehditlerini değil, kurum içinden gelebilecek güvenlik tehditlerini de ele almalı ve güvenliği bir bütün halinde değerlendirmelidir. Bilişim kaynaklarına yönelik güvenlik tehditleri, kurum dışından olduğu kadar kurum içinden de kaynaklanabilmektedir. Bu nedenle, kurumsal güvenlik politikaları oluşturulması gerekmektedir. Güvenlik politikaları, kurum bünyesindeki bilişim kaynaklarının daha verimli kullanılmasını sağlamaktadır. Bu çalışma kapsamında; saldırı aşamaları açıklanmakta, saldırı yöntemlerine ve türlerine örnekler verilmekte, saldırılardan korunma mekanizmaları ayrıntılı olarak anlatılmaktadır. Saldırı türleri ile alt güvenlik politikaları ilişkilendirilerek, saldırı türlerine karşı uygulanacak güvenlik politikaları açıklanmaktadır. Ayrıca, kurumlar için ağ güvenliğinin önemine ve amacına değinilmekte, ağ güvenliği politikaları hazırlanırken dikkat edilmesi gereken durumlar açıklanmaktadır. (Özgü Can, M. Fatih Akbaş, 2014)

BİLGİ GÜVENLİĞİ UNSURLARI
Bilgi güvenliği, bilgilerin elektronik veya fiziksel olarak saklanıp saklanmadığıyla ilgilenmeden, bilgiyi yetkisiz erişime, kullanıma, bozulmaya, değiştirmeye veya yok etmeye karşı korur. Bilgi Güvenliğinin sağlanması için üç temel unsur göz önünde bulundurulmalıdır. Bu unsurlar;
• Gizlilik (Confidentiality)
• Bütünlük (Integrity)
• Erişilebilirlik (Availability)
Bu üç kavram, bilgi güvenliği için hedeflenen unsurları somutlaştırmaktadır.
(Gülizar Duygu KURT KAYA-2017)

(Singh, Vaish, ve Keserwani 2014)
Gizlilik
Bilginin yetkisiz kişilerin erişimine açık olmaması anlamına gelmektedir. Gizlilik konusu veri gizliliği ve mahremiyet olarak ikiye ayırılabilir. Veri gizliliği, özel veya gizli bilginin yetkisiz kişilere açıklanmadığını veya ifşa edilmediğini garanti eder. Mahremiyet, bireylerin kendileri ile ilgili hangi bilgilerin toplanıp saklanabileceğini ve kimlerin kime ve kim tarafından ifşa edilebileceğini kontrol etmesini ya da etkilemesini sağlar.
Bütünlük
Bilginin yetkisiz kişilerce değiştirilememesi, silinememesi veya herhangi bir şekilde zarar görmesine sebep olacak saldırılardan korunuyor olması anlamına gelir. Ayrıca bütünlük bilginin kazara ya da kasıtlı olarak bozulmaması olarak tanımlanabilir.
Erişilebilirlik
Bilginin her ihtiyaç duyulduğu anda erişime açık olması durumuna denir. Kullanıcının yetkileri dâhilinde herhangi bir sorun ya da problem çıkması durumunda bile bilgiye erişebiliyor olması gerekmektedir.
Bilgi Güvenliği konusunda yapılan çalışmaların ilk yıllarında “Bilgi Güvenliği Üçlüsü” temel unsurlar olarak yeterli görülse de zaman içerisinde yetersiz kaldığı düşünülmüştür (Stallings 2011). Bu modelin daha çok teknoloji odaklı olduğunun ve bilgi güvenliğinin insan unsuru üzerinde yeterince odaklanmadığının üstünde durulmuştur (Pender-Bey 2012). Oysaki insan faktörü bilgi güvenliği açısından en büyük tehdidi oluşturmaktadır. Donn B. Parker 1988 yılında Parker Altısı olarak adlandırılan yeni bir set ortaya atmıştır. Parker Altılısı Bilgi güvenliği üçlüsünün üzerine kurulmuş olmasına rağmen bilgi güvenliği konusunu daha kapsamlı bir şekilde ele almaktadır. Parker Altılısı tehditlere karşı koruma sağlamak için yoğunluklu olarak kimlik doğrulama ve şifrelemeye dayanır. Parker Altılısı Şekil-2 de gösterildiği gibidir. (Gülizar Duygu KURT KAYA-2017)

BİLGİ GÜVENLİĞİNİ TEHDİT EDEN SALDIRILAR

Gizliliği Tehdit Eden Saldırılar:
Genel olarak, iki tür saldırı, bilginin gizliliğini tehdit eder: gözetleme ve trafik analizi. Ağ trafiğini dinleme (Snooping), verilere yetkisiz erişime veya veri kesme işlemine yönelik olarak gerçekleştirilir. Trafik analizi ise bir saldırganın çevrimiçi trafiği izlenerek toplanan değişik türdeki bilgileri elde etme işlemidir.

Bütünlüğü Tehdit Eden Saldırılar:
Verilerin bütünlüğü çeşitli saldırılarla tehdit edilebilir. Bu saldırılara örnek olarak değiştirme, maskeleme, tekrarlama ve reddetme verilebilir.

Erişilebilirliği Tehdit Eden Saldırılar:
Hizmet dışı bırakma (DOS) saldırıları ve dağıtık hizmet dışı bırakma saldırıları(DDOS), bir sistemin hizmetini yavaşlatabilir veya tamamen kesebilir. Saldırgan bunu başarmak için çeşitli stratejiler kullanabilir. Sistemi çok meşgul edebilir, çökertir ya da bir yönde gönderilen iletileri kesebilir ve gönderme sistemini iletişim veya mesajdaki taraflardan birinin mesajı kaybettiğine ve tekrar gönderilmesi gerektiğine inanmasına neden olabilirler.

SİBER SALDIRI
Hedef seçilen kurum veya kişilerin bilgi sistemlerinin işleyişinin engellenmesi, bozulması, değiştirilmesi yoluyla; iş, idare veya toplumsal hayat üzerinde olumsuz etki oluşturulmasıdır. Ulusal veya uluslararası düzeyde ticari, politik veya askeri amaçlı olarak planlı ve koordineli bir faaliyet olarak gerçekleştirilebilir.
Bir veri iletişim sistemine yönelik tehditler şunları içerir:
• Bilgi ve / veya diğer kaynakların tahrip edilmesi
• Bozulma veya bilginin değiştirilmesi
• Bilgi ve / veya diğer kaynakların çalınması, kaldırılması veya kaybolması
• Bilgilerin ifşası
Siber saldırı türleri örnekleri aşağıda listelenmiştir;
• Açık mikrofon dinleme
• Yemleme (phishing)
• Kabloya saplama yapma
• Oturum çalma
• Bilgi kirliliği
• IP aldatmacası
• Ağ tarama
• Yığın e-posta gönderme (spam)
• İnternet servis saldırıları
• Kriptografik saldırılar
• Trafik analizi
• Zararlı yazılım
• Sosyal mühendislik (social engineering)
• Yerine geçme
• Zamanlama saldırıları
• Tuzak kapı (trapdoor)
• Hizmet dışı bırakma
(Gülizar Duygu KURT KAYA-2017)

SONUÇ

Teknolojinin hızla gelişiminin ardından bilgisayar ve sistemlerdeki güvenliğin önemi her geçen gün artmaktadır. Yazıda açıkladığım gibi siber saldırılar her an gerçekleşmekte olup buna önlem almamız çok önem teşkil etmektedir. Güvenliğimiz için güncel saldırı yöntemlerini bilmemiz ve buna önlem almamız bilgilerimizi güvenle saklamak ve oluşabilecek zarardan kaçınmamızı sağlar.

KAYNAKÇA
• Özgü Can, M. Fatih Akbaş (2014), KURUMSAL AĞ VE SİSTEM GÜVENLİĞİ POLİTİKALARININ ÖNEMİ VE BİR DURUM ÇALIŞMASI
• Mete EMİNAĞAOĞLU Yılmaz GÖKŞEN (2009), BİLGİ GÜVENLİĞİ NEDİR, NE DEĞİLDİR, TÜRKİYE’ DE BİLGİ GÜVENLİĞİ SORUNLARI VE ÇÖZÜM ÖNERİLERİ
• Gülizar Duygu KURT KAYA (2017), BİLGİ GÜVENLİĞİ VE SİBER GÜVENLİK KAPSAMINDA BAKANLIK UYGULAMALARI İÇİN GÜVENLİ YAZILIM GELİŞTİRME METODOLOJİSİ ÖNERİSİ
• ISO. 2012. “Iso 27032 Information technology — Security techniques — Guidelines for cybersecurity”. 25021: 11

Photo by Philipp Katzenberger

 


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Siber Güvenlik

İÇİNDEKİLER

GİRİŞ

SİBER GÜVENLİK İLE İLGİLİ TEMEL KAVRAMLAR

  • Siber Güvenlik
  • Siber Varlık
  • Siber Olay
  • Siber Uzay
  • Siber Savaş
  • Siber Casusluk
  • Siber Silah
  • Siber Terör
  • Siber Caydırıcılık
  • Siber Tehdit
  • Bilgi Güvenliği

SONUÇ

KAYNAKÇA

GİRİŞ

Teknolojinin gelişimi ile beraber ortaya çıkan tehditler sistemlere olan saldırılara ve güvenlik ihlallerine kadar uzanmaktadır. Bu gelişmeler ile birlikte birçok kavramda ortaya çıkmıştır.  Bunlardan biride siber güvenliktir. Siber güvenlik, bilgilerin korunması veya bilgi güvenliği açısından oldukça önemli bir yere sahiptir. Bilgi güvenliğini sağlamak adına siber güvenlik ile birçok kavramda ortaya çıkmıştır.

SİBER GÜVENLİK İLE İLGİLİ TEMEL KAVRAMLAR

Siber Güvenlik

Siber güvenlik, veri, işlem, süreç, politika, deneyim, kapasite, insan ve sistemlerin güvenliğinin siber ortamda sağlanmasıdır. Ulusal stratejide siber güvenlik; “siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen bilgi/verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber güvenlik olaylarının tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının devreye alınmasını ve sonrasında ise sistemlerin yaşanan siber güvenlik olayı öncesi durumlarına geri döndürülmesi” olarak tanımlanmıştır. Uluslararası Telekomünikasyon Birliği (ITU) siber güvenliği; “kurum, kuruluş ve kullanıcıların bilgi varlıklarını korumak amacıyla kullanılan yöntemler, politikalar, kavramlar, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulama deneyimleri ve kullanılan teknolojiler bütünü” olarak tanımlamaktadır  (Sağıroğlu, ve diğerleri, 2018).

Siber güvenlik, “siber ortamlarda karşılaşılabilecek tehdit ve tehlikeler ile oluşabilecek riskleri önceden öngörüp bunlara karşı önceden önlem alma girişimi”, “siber varlıkların tehdit ve tehlikelerden korunması için doğru teknolojiler, yöntemler, çözümler, önlemler, politikalar, standartlar, testler gibi girişimlerin doğru amaç, hedef veya şekilde kullanılarak siber varlıkların veya sistemlerin istenilmeyen kişiler/sistemler tarafından elde edilmesini önleme girişimi” veya “siber ortamlarda oluşacak riskleri minimize etmek ve yönetmek” olarak ta tanımlanabilir  (Sağıroğlu, ve diğerleri, 2018).

Siber Varlık

Siber varlık, siber ortamlarda bulunan, araçlar, işlemler, dokümanlar, planlar, dokümante edilmiş düşünceler, veriler veya bilgilerdir. Bu bir bilgisayar, sunucu veya bir ağ cihazı olabileceği gibi kişisel, kurumsal veya ulusal veriler de olabilir. İnternete bağlı televizyon, cihaz, sistem veya araç olabileceği gibi veri tabanı, veri merkezi, veri kayıt sistemi veya kullanılan yazılımlar, donanımlar ve süreçler siber ortamdaki varlıklardır  (Sağıroğlu, ve diğerleri, 2018).

Siber Olay

Siber olay, siber varlıkların bir şekilde etkilendiği, zarar gördüğü, ihlal edildiği veya çeşitli şekilde oluşan ve üzerinde işlem yapılan durumdur. Elektronik ortamlarda, işlenen verilerin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesi, verilere zarar verilmesi, verilerin ele geçirilmesi veya buna teşebbüs edilmesi gibi konular buna verilebilecek örneklerdir. Bir siber saldırı sonucu elektriklerin kesilmesi, haberleşme sistemlerinde oluşan bir ihlal veya buna benzer bir durum, “siber olay” olarak ifade edilmektedir. ABD’de bir güvenlik enstitüsü bir siber olayı, “sistematik yapılar veya fonksiyonlar üzerinde etkiye sahip değişikler” olarak tanımlanmaktadır  (Sağıroğlu, ve diğerleri, 2018).

Siber Uzay

Siber uzay, “siber alan” veya “siber dünya” olarak ta bilinmektedir. Siber uzay; ulusal strateji dokümanında (UDHB, 2016, s. 7)  “tüm dünyaya ve uzaya yayılmış durumda bulunan bilişim sistemlerinden ve bunları birbirine bağlayan ağlardan veya bağımsız bilgi sistemlerinden oluşan sayısal ortam” olarak tanımlanmaktadır  (Sağıroğlu, ve diğerleri, 2018). En genel anlamda, insanların birbirine bağlı bilişim sistemleriyle etkileştiği ve birbirine bağlı bilişim sistemlerinin birbirleri arasında ya da insanlarla iletişim içinde olduğu fiziksel olmayan alan siber uzay olarak tanımlanmaktadır (Önaçan & Atan, 2016).

Siber ortam ya da siber alan olarak da anılan siber uzay esasında bir bilgi ortamı olarak nitelendirilebilir. Siber uzay, bilgilerin oluşturulduğu, saklandığı ve paylaşıldığı çevrimiçi bilgisayar ağlarının yer aldığı, diğer bir deyişle dijital verilerin oluşturduğu âlem olarak da tanımlanmaktadır (aktaran  Çahmutoğlu, 2020).

Siber Savaş

Siber savaş, sahip olunan siber varlıkların; ulusal çıkarlar ve menfaatler çerçevesinde korumak için karşı tarafın bilişim sistemlerine zarar vermek, hizmetlerini durdurmak veya bozmak için bir başka ülkenin BT sistemlerini yavaşlatmak, bozmak, hizmetini aksatmak veya ele geçirmek amacıyla yapılan saldırılardır. Aynı zamanda, yapılacak saldıra karşı koymak için başvurdukları bir durumdur. Kendine has dünyası veya kuralları olan, kuralsız bir şekilde topluluklar, saldırganlar, sistemler ve hatta devletlerarasında siber silahlar kullanılarak yürütülen simetrik, asimetrik veya hibrit yaklaşımların kullandığı savaş şeklidir  (Sağıroğlu, ve diğerleri, 2018).

Siber savaş, bir devletin, başka bir devletin bilgisayar sistemlerine veya ağlarına hasar vermek ya da kesinti yaratmak üzere gerçekleştirdiği sızma faaliyetleridir. Bir başka ifade ile siber savaş, bilgisayar ve iletişim teknolojisinin saldırı ve savunma amaçlı olarak kullanılmasıdır (aktaran Önaçan & Atan, 2016).

Siber Casusluk

Siber casusluk, çoğunlukla elektronik ortamları kullanarak yapılan casusluğa verilen isimdir. Ülkelerin sahip olduğu internet, bilgisayar, cihaz, yazılım veya bunların bağlı olduğu ve hizmet verdiği ağlar ve sistemler üzerinde bulunan bilgi varlıklarının; elektronik ortamda oluşan açıklıklar, bulunan zafiyetler, sahip olunan tehditler, yapılan saldırılar, bilerek bırakılan açık kapılar ve kullanılan yazılım ve donanımlar üzerinden bilgi varlıklarını belirli bir çıkar için ele geçirme, bilgi sızdırma, amaca uygun faaliyetler yürütmektir  (Sağıroğlu, ve diğerleri, 2018).

Siber Silah

Siber silah, elektronik ortamda saldırı ve savunma amaçlı olarak kullanılabilecek her türlü araçtır. “Kötücül amaçlı yazılım veya kod parçaları” olarak ifade edilmektedir. NATO’ya göre siber silah, “saldırı yeteneğine sahip olan ve karşıya zarar veren yazılım veya kod parçasıdır” (Sağıroğlu, ve diğerleri, 2018).

Siber silah kavramı, esasında siber saldırı aracı olarak tercih edilen yazılımı ya da bir saldırı aracını nitelendirmek için kullanılmaktadır. Fakat burada basit yapıda bir yazılım ya da saldırı aracından değil de gelişmiş tekniklerle üretilmiş, spesifik amaçları olan ve karmaşık yapıya sahip bir yazılım ve saldırı aracından bahsedildiğinin altını çizmek gerekmektedir. Silah kavramına bakınca da bunun genellikle bir saldırı veya savunma aracı olarak tanımlandığı ve insanları öldürmek, yaralamak veya bir hizmeti devre dışı bırakmak, mülke zarar vermek, hedefi imha etmek için tasarlanmış bir araç olarak nitelendirildiği görülmektedir  (aktaran Çahmutoğlu, 2020).

Siber Terör

Siber terör, terörizm ve terörist, Siber Terörle Mücadele: Tehditler ve Önlemler Ulusal Konferansı Sonuç Bildirgesinde (www.siberteror.org), siber terör ve terörizmle ilgili olarak terimlerin ve kavramların tekrar tartışılmasına ve tanımlanmasına katkı sağlamıştır. Siber Terörizm, “terör örgütlerinin faaliyetlerinde siber ortamın sunduğu kolaylıkları, uygulamaları, araçları, altyapıları, teknik ve teknolojileri, boşlukları, zararlı yazılım ve içerikleri bulup kullanarak, tuzak kurarak veya yeni yöntemler geliştirerek hedefi doğrultusunda kişileri, toplumları veya ulusları yönlendirme, yıldırma, bezdirme, sindirme, zarar verme ve çıkar elde etme amacıyla yapılan faaliyetler” şeklinde tanımlanmıştır  (Sağıroğlu, ve diğerleri, 2018).

Siber Caydırıcılık

Siber caydırıcılık, “sanal ortamlarda karşılaşılabilecek tehdit ve tehlikelere maruz kalmamak için saldırganlığı önleme, engelleme ve önlem alma girişimleri” olarak ifade edilebilir. Diğer bir ifade ile “saldırıları veya saldırganları amacından vazgeçirmek”, “korkutarak cesaret kırmak ve vazgeçirmek için temel üstünlüklere sahip olma girişimlerinin tümü” olarak ta tanımlanabilir  (Sağıroğlu, ve diğerleri, 2018).

Siber Tehdit

Siber uzayda yer alan her türlü bilgi, yazılımsal ve donanımsal kaynaklar gibi her türlü hizmet aracı bu ortamdaki varlıkları ifade etmektedir. Örneğin bir kurumdaki her personelin e-posta kullanıcı adı ve şifresi, o personele ait varlıkları ifade etmektedir. Siber uzayda yer alan her türlü insani ve yazılımsal açıklıklar vasıtasıyla varlıklara erişim, varlıkların niteliğinin değiştirilmesi, varlıklara zarar verilmesi vb. sağlayan etkenler ise “siber tehdit” olarak ifade edilmektedir. Sıklıkla karşılaşılan siber tehditlere örnek olarak servis dışı bırakma saldırıları (denial of service- DOS), virüs, solucan vb. zararlı yazılımlar, zararlı e-postalar ve yetkisiz erişim saldırıları verilmektedir (aktaran Önaçan & Atan, 2016).

Bilgi Güvenliği

Bilgi güvenliği, “bilginin bir varlık olarak tehditlerden veya tehlikelerden korunması için doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak, bilgi varlıklarının her türlü ortamda istenmeyen kişiler tarafından elde edilmesini önleme girişimi” olarak tanımlanır. Diğer bir ifadeyle, “kişi ve kurumların BT kullanırken karşılaşabilecekleri tehdit ve tehlikelerin daha önceden analizlerinin yapılarak gerekli önlemlerin önceden alınmasını sağlama” işlemleridir. Kısaca, “öneme sahip veya değerli bilginin korunmasına yönelik çabaların tümü” olarak tanımlanabilir  (Sağıroğlu, ve diğerleri, 2018).

Gizlilik (Confidentiality): Gizli bilginin yetkisi ve izni olmayan kişilerin eline geçmesinin engellenmesidir (aktaran Tekerek, 2008). Gizlilik, statik ortamlar (disk, teyp, cd, dvd vb.) veya ağ üzerinde bir göndericiden bir alıcıya gönderilen dinamik ortamdaki veriler için sağlanmak zorundadır. Saldırganlar, yetkileri olmayan gizli bilgilere birçok yolla erişebilirler. Şifre dosyalarının bulunduğu veri tabanlarının çalınması, sosyal mühendislik yöntemleriyle mümkün olabilir. Bilgisayar başında çalışan bir kullanıcı gözetlenerek ya da ona fark ettirmeden özel bir bilgisi (şifre vb.) ele geçirilebilir. Gizlilik ilkesinin sağlanmasında şifreleme algoritmaları kullanılır (Tekerek, 2008).

Bütünlük (Integrity): Bilginin göndericiden çıktığı haliyle bir bütün olarak alıcısına ulaştırılmasıyla bütünlük ilkesi sağlanır(aktaran Tekerek, 2008). Bilgi, haberleşme sırasında izlediği yollarda değiştirilmemiş, araya yeni veriler eklenmemiş, belli bir kısmı ya da tamamı tekrar edilmemiş ve sırası değiştirilmemiş şekilde alıcısına ulaştırılır. Verinin bütünlüğünün sağlanılması için özetleme algoritmaları kullanılmaktadır (Tekerek, 2008).

Erişilebilirlik (Availability): Bilgiye zamanında erişim, bilgi sistemlerini kullanan kişiler tarafından büyük bir önem taşımaktadır. Erişilebilirlik hizmeti, bilişim sistemlerini, kurum içinden ve dışından gelebilecek erişilebilirliği düşürücü tehditlere (Denial of Service Attack- DOS, DDOS) karşı korumayı hedefler (Tekerek, 2008).

SONUÇ

Siber kelime anlamı olarak tüm dijital internet ağlarını kapsayan bir terimdir. Siber güvenlik, siber ortamdaki tüm bilişim sistemleri saldırılardan korunması, bilginin gizlilik, bütünlük ve erişilebilirliğinin korunması, bu bilgilere yapılan saldırıların önlenmesi ve tespit edilmesi için oldukça önemlidir. Siber güvenliğin temel kavramları sırasıyla, siber varlık, siber olay, siber uzay, siber savaş, siber casusluk, siber silah, siber terör, siber tehdit, siber caydırıcılık ve bilgi güvenliği olarak ifade edilebilir.

  • Siber varlık, siber ortamda bulunan bilgilerdir.
  • Siber olay, bilginin zarar gördüğü tüm olaylardır.
  • Siber uzay, tüm bilgisayar ağlarının bulunduğu bir bilgi ortamıdır.
  • Siber savaş, siber varlıkların çıkarları veya menfaatleri doğrultusunda bilgiye zarar vermesi, çalması veya bozması gibi durumlardır.
  • Siber casusluk, elektronik casusluktur.
  • Siber silah, bilgiye zarar vermek için gerçekleştirilen kötü amaçlı yazılımlar veya kodlardır.
  • Siber terör, tüm zarar verme eylemleridir.
  • Siber tehdit, siber ortamda gerçekleştirilen her türlü tehdittir.
  • Bilgi güvenliği, bilginin zarar görmemesi için gizlilik, bütünlük ve erişilebilirliğidir.
  • Siber caydırıcılık, tehditleri önlemek için veya tehdit edebilecek unsurları bu tehditlerden vazgeçirmek için yapılan eylemlerdir.

Siber ortamlarda oluşturulan her türlü olay, tehdit veya savaşlar siber güvenlik kavramı ile korunmaya çalışılmaktadır. Bu koruma işlemi içinde bilgi güvenliği kavramı ortaya çıkmaktadır.

KAYNAKÇA

  1. Çahmutoğlu, E. (2020). Siber Uzayda Güç ve Siber Silah Teknolojilerinin Küresel Etkisi. Adana Alparslan Türkeş Bilim ve Teknoloji Üniversitesi Siyasal Bilgiler Fakültesi Dergisi, 7.
  2. Önaçan, M. B., & Atan, H. (2016). Siber Güvenlikte Lisansüstü Eğitim: Deniz Harp Okulu Örneği. Trakya University Journal of Engineering Sciences, 14-16.
  3. Sağıroğlu, Ş., Alkan, M., Samet, R., Ulutaş, G., Yalman, Y., Şengül, G., . . . Urfalıoğlu, R. (2018). Siber Güvenlik ve Savunma Farkındalık ve Caydırıcılık. Ankara: Grafiker Yayınları.
  4. Singer, P. w., & Friedman, A. (2015). Siber Güvenlik ve Siber Savaş. Ankara: Buzdağı Yayınevi.
  5. Tekerek, M. (2008). Bilgi Güvenliği Yönetimi. KSÜ Fen ve Mühendislik Dergisi, 133.
  6. UDHB, (2016), 2016-2019 Ulusal Siber Güvenlik Stratejisi,  T.C. Ulaştırma, Denizcilik ve Haberleşme Bakanlığı, https://www.uab.gov.tr/uploads/pages/siber-guvenlik/2016-2019guvenlik.pdf, (Erişim Tarihi: 04.06.2020).
  7. Photo by Philipp Katzenberger on Unsplash

Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Seminerler

Bilgi Güvenliği Farkındalık Semineri

03 Temmuz 2019 Çarşamba 19:00-21:00 saatlerinde Teolupus Buluşmalarında, Bilgi güvenliği farkındalık semineri ile katılımcıların ISO 27001 standardı tanıtılarak BGYS hakkında paylaşımlarda bulunduk. Katılımcıların soru ile devam eden seminerde temel kavramlar, BGYS sistemin kurulması, kapsam, gerekçe, standardın genel yapısı, risk değerlendirme, PUKÖ döngüsü ve kentroller ile belgelendirme süreçleri hakkında konuştuk.

Öncelikle Teolupus kurucu ortak ALP BULUÇ bey ve kurum çalışanlarına davetleri ve fırsat verdikleri için teşekkür ederiz.