Kategoriler
Bilişim Etiği

ETİK KAVRAMI

İÇİNDEKİLER

  1. Giriş
  2. Etik nedir?
  3. Etik Eğitim
  4. Etiğin Teorisi: Teleoloji
  5. ETİK TEORİLERİ ve TARİHİ SÜRECİ

–  İlkçağ Etik Teorileri

–  Ortaçağ Etik Teorileri

–  Modern Çağ Etik Teorileri 

  1. Sonuç
  2. Kaynakça

 

 

GİRİŞ

Bireyin düşüncelerini oluşturmakta en büyük etmen olan etik kavramı, bu düşünceleri oluştururken bireyin özgür düşünmesi gerektiğini söyler. Etik kavramı insanlar arası ilişkileri düzenleyen ve bu ilişkileri yönlendirilmesiyle ilgilenir. Yazdığım yazımda ise etik kavramının ne olduğunu ve hangi koşullarda bu kavrama ihtiyacımız olduğunu anlatmak istedim.

 

ETİK NEDİR?

Literatür taramasında “etik” kavramının tanım ve içeriği üzerinde henüz bir fikir birliği sağlanılamadığı tespit edilmiş olup, “etik” teriminin “töre bilimi” anlamını içeren Yunanca “ethos-ethikos” sözcüğünden türetildiği belirtilmektedir. Yunan dilinde bu sözcük “ahlâk sistemi, ilke, insan davranışı, gelenek” anlamlarını ifade etmektedir. Etik, teriminin birçok tanımlaması vardır. Bunlardan bazılarını şöyle sıralayabiliriz (Özkalp ve Kırel, 2011:231; Özcan, 2010:5).

Etiğin, yasalar tarafından kontrol edilmeyen; ancak insan davranışlarının sonuçlarına odaklı kültürel ve töresel bir standart olarak, kanuni zorunlulukla yapılan faaliyetlere kıyasla daha yüksek standartları karşılayan davranışları zorunlu kılmakla birlikte, kendine özgü davranışlar içerdiği belirtilmektedir. Etik toplumların gelenekleri, kültürleri ve yasaları ile meydana geldiğinden; toplumdan topluma farklılık göstermektedir. Bu nedenledir ki, bir toplumda etik veya etik dışı olarak algılanan fiiller, diğer toplumda tam zıddı bir ifade olarak algılanabilir (Doğan, 2008:180).

ETİK EĞİTİM

Etik ve değerler eğitimi (EDE) terimi, eğitimin tüm yönleriyle, ya hayatın ahlaki boyutlarıyla açık ya da dolaylı olarak ilişkili olan ve uygun eğitim metotları ve araçları ile yapılandırılabilecek, düzenlenebilecek ve izlenebilecek niteliktedir. EDE’ nin ana amaçları arasında şunlar vardır: Etik yansımayı teşvik etmek, çocuklarda farkındalık, sorumluluk ve merhamet duyguları geliştirmek, etik ilke ve değerler hakkında bilgi vermek, onları entelektüel   (eleştirel düşünme ve değerlendirme, yansıtma, keşfetme, anlama, karar verme, şefkat gösterme) donatmaktır (Ćurko, at. All, 2015). Etiğin amacı, davranışlara kılavuzluk edecek olan ilke ve kuralları oluşturmak, geliştirmek ve bunların uygulanmasını savunmak olarak belirtilmektedir. Bu nokta etiğin ahlakla olan en belirgin farkıdır. Bu anlamda etik eylemleri oluşturan ilke, kurallar ve değerlerle ilgilidir (Mahmutoğlu, 2009).

 

ETİĞİN TEORİSİ: TELEOLOJİ

Etik amaca, adil kurumlar içerisinde, başkalarıyla birlikte ve başkaları için “iyi yaşam” amacı denilebilir. Etik amacın ilk bileşeni Aristoteles’in “iyi yaşam”, “iyi hayat” dediği şeydir. Etik, tüm özellikleriyle tümelciliğe yöneliktir. Ahlaki yükümlülük ise öznel olarak “iyi yaşam” amacı ile ilişki içerisindedir. Teleolojik kuramlar, bireyin eylemlerinin sonuçları üzerine odaklanır. Yani bir eylemin iyiliğini veya kötülüğünü, doğruluğunu veya yanlışlığını eylemin sonuçları gösterir. Teleolojik yaklaşıma göre “iyi” demek, en çok sayıda insana, en fazla iyiliği getirmek demektir. Kısacası teleoloji; bir davranış ve kararın eylem ve sonuçlarının ahlak kurallarına uygunluk derecesini değerlendirmeyi ifade eder.

Bazı filozofların görüşüne göre, tıpkı tıbbın veya tıbbi ilkelerin sağlığa erişmeyi en iyi bir biçimde temin etmesi gibi, doğru ve yanlışla ilgili ilkeler de etik amaçlara ulaşmayı en iyi biçimde mümkün kılan bilgiyi temsil eder. Buna göre en temel görev belli amaçlara ulaşmak olup, doğru ve yanlışla ilgili ilkeler, bu yöndeki çabaları düzene sokar. Bu görüşe göre, ilkeleri meşrulaştıran şey, onların hizmet ettikleri amaçların doğru amaçlar olmaları ve buyurdukları eylemlerin söz konusu amaçlara erişmenin en iyi yollarına tekabül etmeleridir (Cevizci, 2005: 647).

 

ETİK TEORİLERİ ve TARİHİ SÜRECİ

Literatür taramasında her ne kadar etik anlayışının tam olarak ne zaman başladığı tespit edilemese de, dünyanın farklı yerlerinde birçok farklı toplulukta çok eski çağlardan beri etik anlayışının var olduğu anlaşılmaktadır. Dinler tarihi, felsefe tarihi ile antropolojik ve arkeolojik bulgular bu araştırmaları destekler mahiyettedir. Felsefi etik anlayışına Antik Çağ felsefelerinde rastlandığı araştırmacılarca ifade edilmektedir. Bu dönemlerde ortaya çıkan felsefi etik anlayışları, ortaya çıktıkları çağ ve bölgenin kültür ve toplumsal yapısıyla yakından ilişkilendirilmektedir. Gerçekte bütün dinler, amaçları bakımından birer etik sistemdir ve insanın nasıl davranması gerektiğini öğretmeye çalışırlar. Dinsel etiğin dışındaki alan genel olarak üç önemli döneme ayrılabilir (Tunalılar, 2010:6).

 

  1. İlkçağ Etik Teorileri

 

İlkçağ etiği, insanın amacının iyi ve erdemli bir yaşam olduğu, kaynağın akıl olduğu varsayımına dayanan teleolojik yapıdadır. Ahlakın insanın doğasında bulunmadığı, toplum içindeki yaşayışla kazanıldığı, ahlakın insan eylemlerinden doğmuş olduğu ve insanlar tarafından onaylandığı yönündeki düşünceleriyle, felsefeciler etik teorilerini başlatmışlardır. Bahse konu felsefecilere göre değer olabilecek hiçbir ölçütün olmadığı ifade edilmektedir. Daha sonraki dönemlerde, Sokrates ve onun mutluluk etiği kuramı geliştirmesi süreci takip ettiği belirtilmektedir. Sokrates, Yunan felsefesinde “etik” kuramının kurucusu olarak kabul edilmektedir. Sokrates’in felsefenin merkezine insan ile insan ilişkilerini koyması ve insanın ahlaki boyutunu ön plana çıkarması sebebiyle; insana felsefik bakışta yeni bir boyut kazandırmıştır. Sokrates’in etik anlayışına göre etik felsefenin nihai amacının mutluluğa erişmek olduğu kabul edildiğinden, Sokrates

felsefesi teleolojik bir etiktir.

Aldırmazlık etiğinin önemli savunucusu Diogenes, etik değerlere meydan okumuş, insanların sade bir yaşam sürmesi gerektiği inancıyla yaşamış bir düşünürdür. Amacın hayattan zevk almak ve mutluluk olduğu bu etik anlayışında, mutluluk kendinden öncekilerden farklı konumlanmıştır; buna göre kişinin kendine yeterliliği ve mutlak bağımsızlık hali ona mutluluk getirecektir (Tunalılar, 2010:7).

  1. Ortaçağ Etik Teorileri

Ortaçağ’da, din ve din adamları her alanda kendini göstermiş, mevcut anlayışlarda köklü değişimler yaşanmış, temeli teolojik olmayan görüşler tamamıyla terk edilmiştir. Ortaçağ etik teorilerinden “sonsuz saadet” temsilcisi olan Thomas’a göre, insan, yaratıcı tarafından yaratılmış olmanın bilinciyle yaşamalı ve erdemli davranışlar sergilemelidir. Ortaçağ boyunca inancın hizmetinde olan dini ağırlıklı felsefenin, geleneğe ve otoriteye başkaldırması modern dönem sürecinde gerçekleşmiştir.

 

 

  1. Modern Çağ Etik Teorileri

Modern çağın uzun süreli ve etkili akımının “tüm insani faaliyetlerin temeline faydayı koyan ve insanı faaliyette bulunmaya yönelten temel güdünün fayda olduğunu” savunan bir yaklaşım olarak tanımlanan “faydacılık” etiği olduğunu söylemek doğru bir ifade olacaktır. Faydacılık felsefenin bu denli etkili olmasında, kapitalizmin güç kazanmasının ve ekonomik sistemin hâkimi olmasının etkisi büyüktür. Faydacılık felsefesine göre; bir eylem, maksimum sayıda şahıs için maksimum faydayı sağlıyor veya minimum sayıda kişi için minimum düzeyde zarara sebebiyet veriyorsa etiktir.

Faydacı etik felsefesi kendi içinde, faaliyet-fayda ve kural-fayda olarak ikiye ayrılır. Faaliyet-fayda yaklaşımında; belirli bir faaliyetin nasıl daha iyi fayda üreteceği ve karar vericinin alternatifler arasından daha maksimum bireye fayda sağlayacak en iyi alternatifi seçmesi gerektiğini savunmaktadır. Diğer bir faydacılık felsefesi olan kural-fayda felsefesinde ise belirli bir durum için kurallar etik açıdan önemlidir. Fayda doğrudan kural veya doğrudan tanımlanmış eyleme göre değerlendirilir (Kurtoğlu, 2008).

SONUÇ

Bu araştırmada yapılan açıklamalarda etik kavramının gelişim sürecinden bahsettik. İnsanın gelişen çağda etik kavramını hakkında olan düşüncelerinin nasıl şekillendiğini, insanın fikirlerini nasıl etkilediği hakkında bilgi verdik. Hayatımızın hemen hemen her yerinde olan etik kavramının farkında olarak iyi veya doğrunun ne olduğuna karar verirken bu kavramın öneminden bahsettik.

 

KAYNAKÇA

    • Cevizci, Ahmet (2005), Felsefe Sözlüğü, Paradigma Yayınları, İstanbul.
    • Ćurko, B., Feiner, F., Gerjolj, S., Juhant, J., Kreß, K., Mazzoni, V & Schlenk, E. (2015). Ethics and Values Education-Manual for Teachers and Educators.
    • Doğan, N. (2008), İş Etiği ve İşletmelerde Çöküş. Selçuk Üniversitesi. İktisadi ve İdari Bilimler Fakültesi. Sosyal ve Ekonomik Araştırmalar Dergisi. Cilt: 10, Sayı:16.
    • Kurtoğlu, R. (2008), Perakendecilikte etik ve bir uygulama. Yayımlanmamış Doktora Tezi, Erciyes Üniversitesi Sosyal Bilimler Enstitüsü, İşletme Ana Bilim Dalı. Üretim Yönetimi ve Pazarlama Bilim Dalı, Kayseri.
    • Mahmutoğlu, A.(2009). Etik ve ahlâk; benzerlikler, farklılıklar ve ilişkiler. Türk İdare Dergisi, Haziran-Eylül: 225-249.
    • Özkalp, Enver ve Kırel, Çiğdem (2011), Örgütsel Davranış, Anadolu Üniversitesi Yayınları, Eskişehir, s.232.
    • Tunalılar, Tuğrul T. (2010), Etik Teorileri, Sosyal Sorumluluk ve İş Etiği Dersi, Doktora Seminer Makalesi, SBE, Yayımlanmamış Ders Notu, İnönü Üniversitesi, Malatya, s.4.
    • photo by Tingey Injury Law Firm on Unsplash
       

      Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.
Kategoriler
Bilişim Etiği

Bilişim ve Yazılım Lisans Türleri

  1. Giriş

  2. Yazılım Lisansı Nedir?

  3. Yazılım Lisansı Avantajları

  4. Olumsuz İmaj Sonuçları

  5. Yazılım Türleri

    1. Ücretsiz Yazılım (Freeware)

    2. Geliştirme Aşaması (Beta Yazılım)

    3. Demo Yazılım

    4. Geçici Kullanım (Trial Yazılım)

    5. Lisanslı Yazılım

  6. Lisans Türleri

    1. GNU GPL

    2. GNU LGPL

    3. GNU AFFERO

    4. MIT

    5. APACHE

    6. BSD

    7. MOZILLA PUBLIC

    8. SON KULLANICI ANLAŞMASI (EULA)

    9. CREATIVE COMMONS

  7. Copyleft Nedir?

  8. Sonuç

  9. Kaynakça

 

Giriş

Burada sizleri yazılım lisansının ne olduğundan, gerekliliklerinden, zorunlu durumlardan, olumsuz imajlardan, yazılım türlerinden ve lisans türlerinden bahsedeceğim.

 

Yazılım Lisansı Nedir?

Yazılım lisansı, telif hakkı sahibinin (yazılım üreticisinin) haklarını koruyan bir belgedir. Her bir yazılım için lisans almak şarttır; bu üreticinin telif hakkını çiğnemediğinizi, emeğinin karşılığını verdiğinizi gösterir. Telif hakkı sahibinin hakları yasalarla da korunur. Telif hakkı yasaları, insanların izin almaksızın yazılım kopyalayamayacağını açıkça beyan eder. Hiç kimse telif hakkı sahibinin izni olmadan, emeğini kopyalayıp dağıtamaz ve kullanamaz. Eğer, izinsiz olarak bir bilgisayar programını kopyalar veya yasal olmayan bir kopyasını bir başkasına tedarik ederseniz, kanunları çiğnemiş sayılırsınız.

 

Yazılım Lisansı Avantajları

  • Virüs ve hatalı ürün tehlikesine karşı etkin korunma
  • Teknik destek güvencesi
  • Doğru ve eksiksiz dokümantasyonla çalışma olanağı
  • Yazılımı hem düşük maliyetle güncelleştirme hem de bu konulardaki tüm gelişmeleri kısa sürede edinebilme olanağı

Olumsuz İmaj Sonuçları

  1. Korsan yazılım kullananlar, bu konuları takip eden basın organlarında yer alıp prestij kaybına uğrayabilirler.
  2. Firmayla iş yapan müşteriler yönünden güven eksiltici bir durum yaratır.
  3. Bazı kurumsal şirketlerin ve kamu kurumlarının ihalelerinden dışlanabilirler(TAHSİN,2020).

 

Yazılım Türleri

  • Ücretsiz Yazılım (Freeware)

Kullanım hakları tamamen açık olan ve bütün kullanıcılara ücretsiz olarak sunulan yazılım türüdür.
İnternet üzerinden  veya bilgisayar dergisi CD’lerinden yada kullanıcı grupları aracılığı ile dağıtılan hiçbir ücret talep etmeyen yazılımlardır.

 

  • Geliştirme Aşaması (Beta Yazılım)

Geliştirme aşamasında olunan yazılım türüdür. Bu yazılımların belli bir kısmı kullanıcılara sunulur ve yazılımdaki hatalar ile ilgili kullanıcılardan fikir vermeleri istenir.Yazılımlar piyasaya sürmeden önce gerçek kullanıcılar ile test edilmesi aşamasıdır.

 

  • Demo Yazılım

Bu tür yazılımlar tanıtım amacı ile kısıtlı olarak hazırlanmış yazılımlardır. Demo yazılımlarda belirlenmiş bazı özellikler kullanıcı tarafından kısıtlı olarak kullanabilmektedir.Bazı özellikleri kısıtlanmış olan yazılımlardır. Örneğin; yapılan işlemlerin çıktısının alınamaması veya bir oyunda ikinci aşamaya geçilememesi gibi. Tüm özelliklerin kullanılabilmesi için demo yazılım kullanıldıktan sonra gerçek lisanslı program satın alınmalıdır.

 

  • Geçici Kullanım (Trial Yazılım)

Belirli bir süre (15-30 gün) kullanım izni olan yazılımlardır. Verilen süre bitiminde kullanmaya devam etmek için paylaşılan yazılım satın alınmalıdır. Deneme sürümü olarak da bilinir. Ücretli antivirüs yazılımları buna güzel bir örnektir.  Geliştiricileri programları genelde bu şekilde dağıtırlar. Kullanıcı  yazılımı belli bir süre ücretsiz olarak kullanır ve ardından işine yaradıysa ücretini ödeyip kullanabilir.

 

  • Lisanslı Yazılım

Bu yazılım türü satın alınmış olunan ve satın alan kişinin kullanabileceği bir ürün çeşididir. Kullanıcı tarafından kullanım hakları satın alınmış bir kişi veya grup tarafından kullanılabilen yazılım türüdür(KALAYCI,2019).

 

Lisans Türleri

  • GNU GPL

GNU Genel Kamu Lisansı (GNU GPL ya da GPL) birçok yerde kullanılan ücretsiz yazılım lisansıdır ve özgün hali Richard Stallman tarafından GNU projesi için yazılmıştır. Bu lisansın en son sürümü (GPLv3), 29 Haziran 2007’de çıkmıştır. GNU Kısıtlı Genel Kamu Lisansı yani LGPL ise GPL’in bazı yazılım kütüphaneleri için yazılmış sürümüdür. 

GPL lisans anlaşması, 1983 yılında Richard Stallman tarafından geliştirilmiş, çok akıllıca detaylarla bağlayıcılığı bulunan, teşvik edici, gerek kullanıcı gerekse üretici tarafa büyük olanaklar sağlayan bir lisans türüdür. GPL’in en çok üzerinde durduğu konu yazılımların kaynak kodu ile birlikte dağıtılmasının gerekliliğidir. Üretici firma yazılımını binary olarak dağıtsa bile kaynak kodunu da herkes tarafından erişilebilir bir yere bırakmak zorundadır. Kullanıcı, bu kaynak kodu alıp inceleyebilir, üzerinde istediği değişikliği yapabilir, kendi projelerinde, yazılımlarında kodun tamamını ya da bir parçasını kullanabilir. Hatta başkasının kod parçasını alıp birkaç değişiklik yapıp, satarak maddi kazanç da elde edebilir. Ama tek bir şartla, yeni üretilen program da GPL ile lisanslanmak zorundadır. 

GPL, yazılımın ücretlendirilmesi hakkında hiçbir fikir beyan etmez. GPL yazılımları ücretsiz olmak zorunda değildir. Üretici firma ya da kuruluş, yazılımını GPL ile lisanslayıp, dağıtabilir ve karşılığında da bir ücret talep edebilir. Bu madde en baştan beri sözleşme içerisinde olmasına rağmen, GPL yazılımların çok büyük bir kısmı ücretsizdir. Genel yaklaşım yazılımdan değil, kullanıcıya sunulan kurulum, eğitim, yönetim ve ek modül yazma gibi süreçlerden para kazanılması şeklindedir. Bu özelliği ile GPL pek çok lisanstan ayrılmaktadır(SARIGÜL, 2019).

 

  • GNU LGPL

Bu lisans belgesinin tam kopyasının herkes tarafından koplayalanması ve dağıtımı serbest olup, değiştirilmesi yasaktır.

GNU Kısıtlı Genel Kamu Lisansı’nın işbu sürümü, aşağıdaki listede yer alan ek izinlerle eksiklikleri giderilerek GNU Genel Kamu Lisansı’nın 3′üncü sürümünün hüküm ve koşullarını kapsamaktadır.

0. Ek Tanımlamalar.

Burada kullanıldığı gibi “işbu lisans”, GNU Kısıtlı Genel Kamu Lisansı’nın 3′üncü sürümünü, “GNU GKL” de GNU Genel Kamu Lisansı’nın 3′üncü sürümünü kasteder.

“Kütüphane” işbu lisansla kapsama alınmış, aşağıda tanımlandığı gibi bir uygulama veya birleştirilmiş çalışma dışındaki çalışmaları kasteder.

Bir “uygulama” kütüphane tarafından sağlanan arayüzün kullandığı her türlü çalışma olup, kütüphaneye başka türlü dayanmayan çalışmadır. Kütüphane tarafından tanımlanan bir sınıfın altsınıfını tanımlamak, kütüphane tarafından sağlanan bir arayüzü kullanma şekli olarak varsayılır.

“Birleştirilmiş çalışma”, bir uygulamanın kütüphaneyle birleşmesi ya da bağlanmasıyla ortaya çıkan çalışmadır. Birleştirilmiş çalışmayla yapılan belirli bir kütüphane sürümüne aynı zamanda “bağlanmış sürüm” adı verilir.

Birleştirilmiş çalışma için “En Küçük İlgili Kaynak”, diğer durumlardan ayrı olarak düşünüldüğünde uygulamaya dayalı olmayan ve bağlanmış sürüm olmayan birleştirilmiş çalışmanın parçaları için herhangi bir kanak kod hariç, birleştirilmiş çalışma için ilgili kaynak demektir.

Birleştirilmiş çalışma için “İlgili Uygulama Kodu”, uygulamadan yeniden birleştirilmiş çalışma elde etmek için gerekli her tür veri ve yardımcı programı içeren fakat birleştirilmiş çalışmanın sistem kütüphanelerini içermeyen, uygulama için nesne kodu ve/veya kaynak kod demektir (Özgür Yazılım Vakfı,2007).

 

  • GNU AFFERO

GNU Affero Genel Kamu Lisansı, normal GNU GPL’nin 3. sürümünün değiştirilmiş bir sürümüdür. Ek bir zorunluluğu vardır: Bir sunucuda değiştirilmiş bir program çalıştırırsanız ve diğer kullanıcıların onunla orada iletişim kurmasına izin verirseniz sunucunuzun da üstünde çalışan değiştirilmiş sürüme karşılık gelen kaynak kodu indirmelerine izin vermesi gerekir.

GNU Affero GPL’nin amacı, sunucularda sıklıkla kullanılan özgür program geliştiricilerini etkileyen bir sorunu önlemektir.Normal GNU GPL altında özgür bir program geliştirdiğinizi ve yayımladığınızı varsayalım. D geliştiricisi programı değiştirir ve yayımlarsa, GPL kendi sürümünü de GPL altında dağıtmasını ister. Böylece onun sürümünün bir kopyasını alırsanız değişikliklerinin bir kısmını veya tamamını kendi sürümünüze dâhil etmekte özgürsünüz(Özgür Yazılım Vakfı,2020).

 

  • MIT

Açık kaynak lisanslar arasından en çok karşımıza çıkan lisanslardan birisi şüphesiz MIT lisansı. MIT (mit) lisansı, 1988 yılında Massachusetts Teknoloji Enstitüsü (MIT) tarafından hazırlanmış, çoğu araştırmaya göre günümüzden en sık kullanılan açık kaynak ve özgür yazılım lisansıdır. Oldukça kısadır ve çok kullanışlıdır. Bu yazımızda verdiğimiz en kısa özetiyle; “yazılımımla istediğini yap, sadece beni dava etme” demektedir ve telif feragatli (copyleft) değildir.

Açık kaynak lisanslar arasından en çok karşımıza çıkan lisanslardan birisi şüphesiz MIT lisansı. MIT (mit) lisansı, 1988 yılında Massachusetts Teknoloji Enstitüsü (MIT) tarafından hazırlanmış, çoğu araştırmaya göre günümüzden en sık kullanılan açık kaynak ve özgür yazılım lisansıdır. Oldukça kısadır ve çok kullanışlıdır. Bu yazımızda verdiğimiz en kısa özetiyle; “yazılımımla istediğini yap, sadece beni dava etme” demektedir ve telif feragatli (copyleft) değildir.

özgürlisanslar.org.tr tarafından yürütülen, özgür lisansların Türkçeleştirme çalışmaları sayesinde aşağıdaki gibi Türkçeleştirilmiştir;

Hiçbir ücret talep edilmeden burada işbu yazılımın bir kopyasını ve belgelendirme dosyalarını (“Yazılım”) elde eden herkese verilen izin; kullanma, kopyalama, değiştirme, birleştirme, yayımlama, dağıtma, alt lisanslama, ve/veya yazılımın kopyalarını satma eylemleri de dahil olmak üzere ve bununla kısıtlama olmaksızın, yazılımın sınırlama olmadan ticaretini yapmak için verilmiş olup, bunları yapmaları için yazılımın sağlandığı kişilere aşağıdakileri yapmak koşuluyla sunulur:

Yukarıdaki telif hakkı bildirimi ve işbu izin bildirimi yazılımın tüm kopyalarına veya önemli parçalarına eklenmelidir.

Yazılım “HİÇBİR DEĞİŞİKLİK YAPILMADAN” esasına bağlı olarak, ticarete elverişlilik, özel bir amaca uygunluk ve ihlal olmaması da dahil ve bununla kısıtlı olmaksızın açıkça veya üstü kapalı olarak hiçbir teminat olmaksızın sunulmuştur. Hiçbir koşulda yazarlar veya telif hakkı sahipleri herhangi bir iddiaya, hasara veya diğer yükümlülüklere karşı, yazılımla veya kullanımla veya yazılımın başka bağlantılarıyla ilgili bunlardan kaynaklanan ve bunların sonucu bir sözleşme davası, haksız fiil veya diğer eylemlerden sorumlu değildir.

Lisans metnini okuduğunuz zaman anlayabileceğiniz üzere gerçekten iki parçadan kurulmuştur; ne istersen yap, beni sorumlu tutamazsın. X11 lisansı olarak da bilinen MIT lisansı, bir sonraki yazımızda detaylıca bahsedeceğim -ve ikinci en sık kullanılan – GPL lisansından daha liberal kabul edilmektedir. MIT tarafından başka lisanslar altında onlarca yazılım piyasaya sürüldüğünden, FSF ve OSI arasında bir isim tartışması yaşansa da; X11, MIT ve MIT X sıkça kullanılan isimlerindendir.

Pek tabi hangi lisansın yazılımcılar ve kullanıcıları daha iyi koruduğuna dair bitmeyen bir tartışma söz konusu.

Bir hukukçu gözünden şunu söyleyebilirim ki, özgür lisans felsefesine şahsen daha uyumlu bulduğum MIT lisansı, hukukçuların kalıp cümlelerinden olan “…..dahil olmakla birlikte bunlarla sınırlı olmaksızın….” ibaresini kullanarak, bu lisansı kullananlar için çok büyük bir hareket alanı sağlamakta. Gerçekten MIT lisansı ile korunan bir yazılım ile dilediğiniz şeyi yapıp, onu kendi ticari amaçlarınız için dahi kullanabilirsiniz(ÇOŞKUN,2014).

 

  • APACHE

Apache deyince aklıma direk özgür yazılım geliyor. Öğrencilik yıllarımdan hatırlıyorum Apacha Tomcat’i. Ön ekinde Apache bulunan bir çok yazılım, alanlarının en iyilerinden halen. Yazılım dünyasına katkıları yadsınamaz gerçekten.

Apache lisansının MIT’den bir farkı yok aslında. Sadece yazılımınızı dağıtırken kullandığınız Apache lisanslı ürünlerin lisanslarını da dağıtımınıza eklemeniz gerekiyor. Yani kısaca emeğe saygı konusu daha önemli tutulmuş bu lisansta(BARAN,2018).

 

  • BSD

Unix sisteminin ilk yıllarında, yaratıcıları AT&T Company Bell Labs, Kaliforniya Üniversitesi, Berkeley ve diğer üniversitelere kaynak kodunu kullanma ve ihtiyaçlarına göre uyarlama yetkisi verdi.

1970’lerde ve 1980’lerde Berkeley sistemi işletim sistemleri araştırması için kullanıldı. AT&T ticari nedenlerle üniversiteden kullanım iznini geri çektiğinde, üniversite yaptıkları katkıları kullanarak Unix sisteminden esinlenen bir versiyonun oluşturulmasını teşvik etti. Daha sonra akademik amaçlarla dağıtımına izin vermek ve bir süre sonra kopyalanması, dağıtımı veya değiştirilmesi ile ilgili minimum kısıtlamaları azalttı(BAĞCI,2020).

 

  • MOZILLA PUBLIC

Mozilla Kamu Lisansı (kısaca MPL), açık kaynak koda dayanan bir özgür yazılım lisans modelidir. 1.0 sürümü Netscape’de hukukçu olarak çalışan Mitchell Baker tarafından 1998’de yazıldı. Daha güçlü bir özgür yazılım vurgusuna sahip olan güncel 1.1 sürümüyse Mozilla Vakfı hukukçularınca kaleme alındı.

MPL, Özgür Yazılım Vakfı (FSF) tarafından özgür bir sözleşme olarak kabul edilse de telif feragatı yanı zayıf bir lisans modeli olarak algılanmalıdır. MPL prensip olarak, BSD lisansının olanaklarıyla GNU Genel Kamu Lisansı’nı bir araya getirmeye çalışır.

Mozilla, açık kaynak kodlu / ücretsiz bir yazılım lisansı olan Mozilla Public License (“MPL”) ‘ nin sorumlusudur .

Lisansın geçerli sürümü MPL 2.0’dır. MPL 2.0 altında lisanslanan kodu kullanmak veya dağıtmak için sözleşmeyi dikkate alınız(MOZILLA,2009).

 

  • SON KULLANICI ANLAŞMASI(EULA)

EULA veya İngilizce açılımıyla End-User License Agreement (Son Kullanıcı Lisans Anlaşması) kullanıcının haklarını koruyan sıradan, bürokratik bir söz-leşmeymiş gibi görünebilir. Aslında temel olarak EULA, kullanacağınız yazılımla ilgili gerekli yasal zorunlulukların hatırlatıldığı bir metindir. EULA genellikle yazılımı kurmadan önce önünüze getirilir ve kabul ettiğinizi belirtmek için metnin altındaki küçük bir kutuyu işaretlemeniz istenir. Yasalar karşısında bu, bir kâğıdın altına imza atmanızla eşdeğerdir çünkü o “kabul ediyorum” yazan küçük kutucuğu işaretlemeden yazılımın kurulmasına izin verilmez. Çoğu zaman da metni okuduğunuzu garantilemek için o uzun metni fare ile tutarak başından sonuna kadar indirmeniz gerekir ki ancak o işlemden sonra metni okuduğunuzu ve şartları kabul ettiğinizi yazan küçük kutucuğa ulaşabilirsiniz. Ancak genel olarak EULA, bürokratik bir zorunlulukmuş gibi görünse de, aslında yazılım şirketinin haklarını koruyan maddelerle doludur ve bir gün yazılım şirketini mahkemeye vermeniz halinde imzaladığınız bu uzun dokümandaki şartlar karşınıza konulup, bir hak talep edemeyeceğiniz hatırlatılır.(ŞANCI,2008).

 

  • CREATİVE COMMONS

Creative Commons kâr amacı gütmeyen bir organizasyondur. ¨ Açık lisanslar topluluğudur. ¨ Bir eserin internet ortamındaki kullanım koşullarının eser sahibi tarafından belirlemesini sağlar. ¨ Bilimsel, kültürel ya da sanatsal yaratıcı çalışmaların internet ortamında paylaşımını mümkün kılar(HOLT,2017).

Resim 1

Yukarıdaki resimde lisans türleri sınırsızdan en sınırlıya doğru sıralanmıştır. Bu lisans türlerinin her birini tek tek ele alalım.

 

Atıf
CC BY

Resim 2

Lisans, kullanan kişilere orjinal eserden alıntı yaptıkları sürece, eserinizi dağıtma, karıştırma, ince ayar yapma, ya da üzerine çalışma haklarını verir. Bu sunulan en kullanışlı lisanstır. Bu lisans eserin mümkün olduğu kadar çok kullanılması ve yayılması için önerilir.

 

Atıf – Aynı Lisansla Paylaş
CC BY-SA

Resim 3

Bu lisans eseri kullanan kişilere kendi eserlerini de aynı lisanla lisansladıkları sürece, karıştırma, ince ayar yapma ve üzerinde çalışma hakkı verir. Bu lisans genelikle “copyleft”ten bağımsız ve açık erişim yazılım lisansları ile karşılaştırılır. Wikipedia bu lisansı kullanmaktadır ve Wikipedia gibi içeriklerden ya da benzerlerinden yararlanan eserler için önerilmektedir.

 

Alıntı – Türetilemez
CC BY-ND

Resim 4

Bu lisans, size atıf yapıldığı sürece, eserin değiştirilmeden ticari ya da gayri-ticari dağıtım hakkını verir.

 

Atıf-Ticari Olmayan
CC BY-NC

Resim 5

Bu lisans, diğerlerinin ticari olmayan amaçla eserinizi karıştırarak farklı bir sürümünü oluşturmasına, ince ayar yaparak geliştirmesine ya da eserinizin üzerine inşa ederek kendi eserlerini oluşturmasına izin verir. Onların yeni eserleri gayri-ticari olmak ve size de atıfta bulunmak zorunda olmasına rağmen, onlar ortaya çıkan türetilmiş eserlerini aynı şartlar ile lisanslamak zorunda değildir.

Ben yazılarımda ve paylaşımlarında bu lisans türünü tercih ediyorum.

 

Atıf – Ticari Olmayan – Aynı Lisansla Paylaş
CC BY-NC-SA

Resim 6

Bu lisans diğerlerinin ticari olmayan amaçla eserinizi karıştırarak, ince ayar yaparak ya da geliştirerek kendi eserlerinde kullanmasına izin verir ve kullanılan eserin orijinal lisansının aynısı ile yeni ürünü lisanslamalıdır.

 

Atıf – Ticari Olmayan – Türetilemez
CC BY-NC-ND

Resim 7

Bu lisans 6 lisans içinde en sınırlayıcı olandır. Eseriniz size alıntı vererek indirilebilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz.

 

 

Yukarıdaki 6 lisans dışında bir de “Tüm hakları tanınmıştır” anlamında Creative Commons Zero-CC0 (Kamu Malı Atfetme) işareti mevcuttur.

Hiçbir Hakkı Saklı Değildir.

Kamu Malı Atfetme
CC0

Resim 8

Bu lisans ile eserini ilişkilendiren kişi, eserini Kamu Malı olarak adar, tüm ilgili ve komşu haklar dâhil olmak üzere, telif haklarından kanunların izin verdiği sınırlarda dünya çapında feragat eder.

CC0’la paylaşılan bir eseri hiçbir izin almadan ticari amaçlar da dahi olmak üzere kopyalayabilir, düzenleyebilir, dağıtabilir ya da kullanabilirsiniz.

Özetle; Ticari kullanım için dahi ücretsizdir, atıfta bulunulmasına da gerek yoktur(SARIGÜL,2019).

 

Copyleft Nedir?

Copyleft, bir programın (veya başka bir çalışmanın) özgür yazılım haline getirilmesi, programın tüm değiştirilmiş ve geliştirilmiş sürümlerinin de özgür yazılım olması için genel bir yöntemdir.

Bir programı özgür hale getirmenin en basit yolu, telif hakkını kaldırıp programı kamu malı haline getirmektir. Bu istekleri bu yöndeyse insanların programı ve iyileştirmeleri paylaşmalarını sağlar. Ancak bu durum ayrıca işbirliği yapmayan insanların programı özel mülk yazılıma dönüştürmesine de neden olur. Bu insanlar, çok sayıda ya da az sayıda değişiklik yapar ve programı özel mülk bir ürün olarak dağıtırlar. Programı bu değiştirilmiş biçimde alan insanlar, özgün yazarın onlara sağladığı özgürlüğe sahip olamazlar; aradaki insanlar bu özgürlüğü yoketmiştir(Kalaycı, Özşar, Sarıfakıoğlu, Çapkan ve Gözükeleş,2019).

 

Sonuç

Şimdiye kadar anlattığım lisansların ve  yazılımların dışında her birinin farklı versiyonları mecvuttur. Her yeni versiyonda tekrar lisanlama yapılmaktadır. Çünkü her yeni versiyonda farklı maddeler eklenebilir, çıkarılabilir veya var olan maddeler düzenlenebilir. Burada önemli olan yazılımlarımızda lisanslama yaparken lisans sözleşme detaylarını dikkate alarak kullanmaktır. Lütfen lisanslamaya gereken önemi verelim. Unutmayalım ki lisans, ürettiğimiz yazılım üzerinden maddi veya manevi kazanç sağlamaya çalışan kişi, kurum ya da kuruluşlardan, hakkımızı ve emeğimizi bizim için koruyan bir belgedir. 

 

Kaynakça

BAĞCI, T. (2020). BSD nedir? , 10 HAZİRAN 2020 tarihinde, https://www.sysnettechsolutions.com/bsd-nedir/ adresinden alındı.

BARAN, M.(2018).Yazılım Lisans Tipleri (MIT, Apache, GNU). 10 HAZİRAN 2020 tarihinde, https://medium.com/@mehmet.baran/yaz%C4%B1l%C4%B1m-lisans-tipleri-mit-apache-gnu-1397af4d1fbb adresinden alındı.

ÇOŞKUN,Y.C.(2014).MIT Lisansı Nedir?(Açık Kaynak Yazılımlar Serisi), 10 HAZİRAN 2020 tarihinde, https://startuphukuku.com/mit-lisansi-nedir/ adresinden alındı.

HOLT, İ. (2017). Creative Commos Açık Lisansları, 10 HAZİRAN 2020 tarihinde, https://www.slideshare.net/ilkayholt/creative-commons-ak-lisanslar adresinden alındı.

KALAYCI, A.İ.(2019). Afiş-Lisans Türleri, 10 HAZİRAN 2020 tarihinde, https://bilisim7.blogspot.com/2019/03/afis-lisans-turleri.html#top adresinden alındı.

Kalaycı, T.E., Özşar, Ç., Sarıfakıoğlu, B., Çapkan, S., Gözükeleş, İ.(2019). Copyleft Nedir?, 10 HAZİRAN 2020 tarihinde, https://www.gnu.org/licenses/copyleft.html adresinden alındı.

Mozilla Corporation’s.(2009). Mozilla Public Licence, 10 HAZİRAN 2020 tarihinde, https://www.mozilla.org/en-US/MPL/ adresinden alındı.

Özgür Yazılım Vakfı.(2007).GNU Kısıtlı Genel Kamu Lisansı, 10 HAZİRAN 2020 tarihinde, https://www.gnu.org/licenses/lgpl-3.0.html  adresinden alındı.

Özgür Yazılım Vakfı.(2020).Neden GNU Affero, 10 HAZİRAN 2020 tarihinde, https://www.gnu.org/licenses/why-affero-gpl.tr.html adresinden alındı.

Photo by Pixabay on Pexels

SARIGÜL, K. (2019). GNU Genel Kamu Lisansı nedir? , 10 HAZİRAN 2020 tarihinde, http://www.kerimsarigul.com/a%C3%A7%C4%B1k-kaynak-kod/gnu-genel-kamu-lisans%C4%B1-nedir adresinden alındı.

SARIGÜL,K.(2019).ULUSLAR ARASI LİSANS TÜRLERİ VE ÖZELLİKLERİ,10 HAZİRAN 2020 tarihinde, http://www.kerimsarigul.com/program-uygulama-site/uluslararasi-lisans-t%C3%BCrleri-ve-%C3%B6zellikleri   adresinden alındı.

SARIGÜL,K.(2019). 10 HAZİRAN 2020 tarihinde, http://www.kerimsarigul.com/program-uygulama-site/uluslararasi-lisans-t%C3%BCrleri-ve-%C3%B6zellikleri adresinden resim 1,2,3,4,5,6,7,8 alındı.

ŞANCI, C.(2008). Eula Nedir? Bize Ne Kazandırır?, 10 HAZİRAN 2020 tarihinde, http://ust-karakter.blogspot.com/2008/04/eula-nedir-bize-ne-kazandirir.html adresinden alındı.

TAHSİN, H.(2020) Yazılım Lisansı Nedir? Neden gereklidir?, 10 HAZİRAN 2020 tarihinde, http://www.sisbim.com/urun-gruplarimiz/yazilim-lisansi-nedir-neden-gereklidir adresinden alındı.

 

 


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

 

 

Kategoriler
Bilişim Etiği

MESLEK KAVRAMI VE BİR MESLEK ALANI OLARAK EĞİTİM-ÖĞRETİM

BİR MESLEK ALANI OLARAK EĞİTİM-ÖĞRETİM

      Toplumda genel olarak bütün uğraşları “meslek” olarak görme eğilimi bulunmaktadır. Ancak toplumsal yaşamda kabul gören bütün uğraşlar meslek olarak görülebilir mi? Aşağıda meslek kavramı ve bir uğraşın meslek sayılabilmesi için taşıması gereken bazı özellikler yer almaktadır.

   Meslek Kavramı

     Batı dünyasında meslekler, alınan eğitim düzeyi ve yapılan görevlerin niteliğine göre, “Uzman Meslekler (professions)” ve “Beceriye Dayalı Meslekler (Vocations)” olarak sınıfl andırılmaktadır (Kuzgun, 2000,1)

   Bir meslek sahibi olmak, sağlıklı bir gelişime sahip bütün bireyler için çok önemlidir. Meslek kişinin kimliğinin en önemli kaynaklarından biri olarak, toplumda saygı görmesine, başkaları ile ilişki kurmasına, toplumda bir yer edinmesine ve işe yaradığı duygusunu yaşamasına olanak veren bir etkinlik alanıdır (Kuzgun, 2000, 2).

      Meslek kavramının tanımlanmasında önemli anlaşmazlıklar bulunmaktadır. Bazıları ekonomik sonuç doğuran yani para kazanmak için yapılan bütün etkinlikleri meslek olarak tanımlarken, bazıları meslek kavramının kapsamını bu kadar geniş tutmaktan yana davranmamakta ve bir uğraşının meslek sayılabilmesi için bazı koşulları taşıması gerektiğini savunmaktadırlar. (Aydın, İnayet. EĞİTİM VE ÖĞRETİMDE ETİK  TBMM. 1. Baskı: Kasım 2003)

     Meslek; insanlara yararlı mal ve hizmetler üretmek ve bunun karşılığında para kazanmak için yapılan, belli bir eğitimle kazanılan sistemli bilgi ve becerilere dayalı, kuralları toplumca belirlenen ve etik değerleri kapsayan etkinlikler bütünüdür (Kuzgun, 2000, 3).

Bayles’e göre bir mesleğin temel özellikleri:

a) Yoğun bir eğitim ve yetiştirme gerektirmesi,

b) İşin bir ampirik ve objektif yaklaşıma dayalı olması,

c) Toplumda önemli bir işlevi yerine getiriyor olması,

d) Bir etik ilkeler dizisine bağlı olarak yapılmasıdır (Mc Cormick, 1995, 38).

Bernard Barber’e göre ise bir uğraşın meslek sayılabilmesi için şu özellikleri taşıması gerekmektedir:

1) Genel ve sistematik bilgi,

2) Toplumun ihtiyaçlarına yönelik olma,

3) Etik ilkelerin içselleştirilmesi ile sağlanan bir özdenetim,

4) Ulaşılmak için çaba sarfedilen sembolize edilmiş ödüller (Sokolowski, 1991,23).

Açıklamalar analiz edilecek olursa bir mesleği meslek yapan genel özellikleri aşağıdaki gibi ortaya koymak mümkündür:

  1. Bir meslek toplumun kaçınılmaz olan bir gereksinimini karşılar: Örneğin sağlık, güvenlik, eğitim gibi toplumsal gereksinimler her toplumda bu hizmetleri sunacak meslekleri gerekli kılmaktadır
  2. Meslek kişinin salt kendi doyumu için değil aynı zamanda başkalarının yararı için de yapılan bir uğraştır: Örneğin bir doktor mesleğini sadece hizmetinin karşılığında aldığı para için değil, insanlara sağlıklarını kazandırmak için de yapar. Bir öğretmen okuma yazma öğrettiği öğrencilerin yaşamlarını yönetme becerilerinden mutluluk duyar. Bir polis güvenli ve huzurlu bir toplum yaşamı için gösterdiği çabalardan dolayı insanların mutluluğuna katkıda bulunmuş olur
  3. Meslek sistemli bir eğitimle kazanılmış özel bilgi ve becerilere dayalıdır: Bir mesleğin meslek olabilmesi için mesleğe girmeden önce kişilerin bu mesleği icra edebilmeyi sağlayan bilgi, beceri ve tutumları kazanmış olmaları gereklidir. Burada meslek elemanı toplum tarafından bir “uzman” olarak görülmekte ve o hizmette kişiye tam bir güven duymaktadır. Örneğin bir doktora gittiğimizde onun bu mesleğin gereklerini eksiksiz ve kusursuz olarak bildiğini kabul ederiz. Bu nedenle meslek elemanlarının iyi bir eğitimden geçmiş olmaları gereklidir.
  4. Meslekler araştırma ve deneylerle geliştirilerek zamanla kendine özgü tekniklere sahip olurlar: Meslekler de insanlar gibi araştırma ve deneyler sonucu belli bir bilgi ve kültür birikimine sahip olur. Eğitim yolu ile kuşaktan kuşağa aktarılan bu bilgi birikimi zaman içinde mesleğe özgü tekniklerin gelişmesine ya da süreç içinde yeni tekniklerin keşfedilmesine yol açar
  5. Meslekler maddi kazanç elde etmek için yapılan uğraşlardır: Meslek üyeleri yaşamlarını mesleklerinden elde ettikleri yasal gelir ile sürdürürler. Ancak insanlar sadece para için çalışmazlar. Mesleki etkinlikler içerisinde insanlar bir şeyler üreterek kapasitelerini kullanma ve geliştirme olanağı bulurlar, bundan haz duyarlar. İşte bu nedenledir ki yaşamak için paraya ihtiyacı olmayan insanların da bir meslek sahibi olup çalıştıklarını ya da geliri az bir mesleği geliri çok olan bir mesleğe tercih ettiklerini görmekteyiz.

Mesleklerin toplumca kabul edilmiş etik değerleri ve ilkeleri vardır: Meslek olarak kabul edilecek bütün uğraş alanlarının kendine özgü değer ve etik ilkeleri vardır ve bu mesleğin üyeleri bu değer ve ilkeler doğrultusunda davranırlar. Örneğin hekimlik mesleğinin temel değeri insan yaşamı; hukukçuluğun temel değeri adaletin yerine gelmesi; öğretmenliğin temel değeri öğrencilerin gelişimi; polisliğin temel değeri toplumun güven ve huzurunun sağlanmasıdır. Bu temel değerleri iyi kavrayan meslek üyeleri mesleklerini icra ederken bunun dışına çıkamazlar ve mesleğin etik ilkelerine göre davranırlar. Buna uymayan meslek elemanları meslektaşları tarafından bazı yaptırımlara çarptırılırlar. (Aydın, İnayet. EĞİTİM VE ÖĞRETİMDE ETİK  TBMM. 1. Baskı: Kasım 2003)

BİR MESLEK OLARAK EĞİTİM-ÖĞRETİM

Eğitim, insanoğlunun öğrenme yeteneğinin oluşmaya başlaması ile ortaya çıkmış ve yaşamı boyunca da devam eden bir süreçtir. İnsanın eğitilebilir bir varlık olması bu konuda önemli bir arayış ve bilgi birikimini de beraberinde getirmiştir. (Aydın, İnayet. EĞİTİM VE ÖĞRETİMDE ETİK  TBMM. 1. Baskı: Kasım 2003)

Eğitim ve insan ilişkisi, üzerinde ciddi olarak durulması gereken bir konu olarak karşımıza çıkmaktadır. İnsan, kalıtsal güçlerle doğan; çevresi ile bu güçlerini değerlendirerek yüceltebilen, bunlarla yeni değerler yaratabilen bir canlıdır (Başaran, 1994, 12).

Diğer yandan eğitim bireye kişilik, değer ve yetenek kazandırdığı için bireysel; bireyi toplumsallaştırdığı, toplumsal değerleri koruma, değiştirme ve yenileme işlevlerini yerine getirdiği için de toplumsal bir etkinlik olarak ele alınmaktadır (Bilhan, 1991, 8).

Eğitim ve öğretim kavramları içerikleri gereği iyi tanımlanması gereken ve kendi içlerinde iddialı kavramlardır. Eğitim genel anlamda bireyde davranış değiştirme süreci olarak tanımlanır. Varış’a göre (1981) eğitim yolu ile bireylerin amaçları, bilgileri, davranışları, tavırları ve ahlak ölçüleri değişir. Ertürk (1972) eğitimi, bireyin davranışlarında kendi yaşantısı yoluyla ve kasıtlı olarak istendik değişme meydana getirme süreci olarak tanımlamıştır. Demirel’e göre ise eğitim, bireyde kendi yaşantısı ve kasıtlı kültürlenme yoluyla istenilen davranış değişikliğini meydana getirme sürecidir (Demirel, 1999, 5).

Eğitim kavramının temellendiği İngilizce bir terim olan “education” sözcüğü, çift kaynaklı ve çift anlamlı bir kavramdır. Latince kökleri “educare” beslemek, “educere” dışarı çekmek, bir şeye doğru götürmek anlamlarına gelmektedir. İki kavramın ortak anlamı ise “yetiştirmek”tir. Latince kökeniyle eğitim, insanı bilgiyle beslemek; ondaki olanakları dışarı çekmek, ortaya çıkarmak için yetiştirmek demektir (Bilhan, 1994, 52).

Stuart Mill eğitimi, “her kuşağın kendisini izleyecek olanlara o güne kadar ulaşılmış gelişme aşamasını korumak ve olanaklı ise yükseltmek niteliğini kazandırmak amacıyla verdiği kültür” olarak tanımlamaktadır. Littre’ye göre ise eğitim “kazanılan zihin veya el becerilerinin türü ve gelişen ahlaksal niteliklerinin bütünüdür (Bilhan, 1994, 54).

Eğitim, insanın kendi başına kazandığında, edindiğinde çok uzun zaman alacak olan bilgi ve becerileri çok daha kısa sürede insana kazandırmak için vardır. Bu anlamda eğitim geçmiş kuşakların birikimlerini kısa sürede ve düzenli biçimde insana kazandırmak için gereksinim duyulan bir etkinliktir (Başaran, 1994, 35).

Başaran’a göre eğitim, disiplin gerektiren bir alandır ve eğitimde disiplin, eğitilene hangi davranışın yapılması gerektiğini öğretmek; eğitilenin bu davranışları yapıp yapmadığını denetlemek, beklenenden iyi yaptığında onu ödüllendirmek; beklenenden kötü yaptığında da ceza vermektir. Bu anlamda disiplin öğretmek demektir. Disiplinin sonucu da öğrenme ile eş anlamlıdır (Başaran, 1994, 34).

Genellikle eğitim ve öğretim kavramları karıştırılan ya da birbirinin yerine kullanılan kavramlardır. Bu iki kavram arasında bir ayrım yapmak gerekirse, bireyin yaşam boyu süren eğitiminin okulda, planlı ve programlı olarak yürütülen kısmı bireyin “öğretimini” oluşturmaktadır. Bu durumun birey açısından dile getirilmiş hali “öğrenim”dir. Eğitim ise, zaman ve mekan yönünden kapsamlı, sürekli ve çok boyutludur. Eğitimde bilgi dahil her türlü “yaşantı” üzerinde durulur. Bu yaşantılar rastlantısal olabilir ve aynı zamanda bu yaşantılar eğitsel olabilir (Varış, 1994, 13).

Eğitim bir kamu hizmetidir ve eğitim, resmi anlamda kişilerin değerler, yetenekler ve bilgi bakımından eğitildiği toplumsal kurumlar olan okullarda verilir. Bir okulda, öğretim konusunda uzman olan öğretmenler ve diğer görevliler bulunurlar. (Aydın, İnayet. EĞİTİM VE ÖĞRETİMDE ETİK  TBMM. 1. Baskı: Kasım 2003)

Eğitim için oluşturulan kontrollü mekana okul adı verilmiş; öğretme ve öğrenme için resmi roller belirlenerek öğretmen ve öğrenciler bu rolleri üstlenmiş; öğretim amacıyla resmi programlar hazırlanmıştır. Bu biçimde toplumsal, siyasal ve kültürel “kodların” iletilmesi görevi resmen okullara verilmiştir. (Kaplan, 1999, 15).

Okul kavramı, kurumsal amaçları gerçekleştirmesi beklenen kişilerin işleri ve birbirleri ile olan etkileşim biçimleri tarafından nitelenen toplumsal bir sistem olarak tanımlanmıştır (Lunenburg, 1995).

Tarihsel süreç içinde okullar bürokratik yapılara dönüşmüştür. Okulun bir bürokratik yapı olmasının temel belirleyicileri büyük, karmaşık, çok düzeyli toplumsal kurumlar olmaları ve tam zamanlı profesyonellerin okullarda görev yapmalarıdır. Okulun bürokratik bir yapıya dönüşme süreci, modernizmin bir olgusudur ve kapitalist ekonomik sistem, politik ulus devletlerin ortaya çıkması, sanayileşme ve kentleşme sonucu ortaya çıkan demografik değişmelerin eşlik ettiği bir oluşumdur (Bennet de Marrais ve Le Compte, 1995).

Okul denen bürokratik örgüte toplumlar pek çok görevler yük-lemişlerdir. Bütün devletler eğitim sisteminin okullar aracılığı ile gerçekleştirmesini istedikleri beklentileri, eğitim yasalarında belir-lemişlerdir. Bu amaçlar dikkatle incelendiğinde temel olarak dört boyutta ele alınabilir. Bunlar “İyi insan”, “iyi yurttaş”, “iyi üretici” ve “iyi tüketici” yetiştirmektir. Örneğin Downey, Seager ve Slage (1960) Amerikan eğitiminin amaçlarını, dolayısı ile kamu okullarından beklentileri şöyle belirlemişlerdir (Lipham, Rankin ve Hoeh, 1985)

  1. Entelektüel Boyut

    1.Bilgi sahibi olma: Bilgi ya da kavramlar açısından birikimli olma

    2.Bilgiyi iletişimle paylaşma: Bilgiyi elde etme ve iletme becerisi

    3.Bilginin yaratılması: Yaratıcılık ve ayırt etme

    4.Bilgiyi isteme: Öğrenme aşkı

  2. Toplumsal Boyut

    1.İnsandan insana: Gündelik ilişkilerde işbirliği

    2.İnsandan Devlete: Sivil haklar ve ödevler

    3.İnsandan ülkeye: Bireylerin vatanlarına sadakati

    4.İnsandan dünyaya: Kişiler arası ilişkiler

  3. Kişisel Boyut

    1.Fiziksel: Sağlıklı ve gelişmiş bir beden

    2.Duygusal: Zihinsel sağlık ve tutarlılık

    3.Etik: Ahlaki dürüstlük

    4.Estetik: Kültürel ve boş zaman etkinlikleri ile uğraşma

  4. Verimlilik Boyutu

    1.Mesleki rehberlik: Bilgi verme ve seçim

    2.Mesleki hazırlama: Yetiştirme ve yerleştirme

    3.Ev ve aile. Ev işleri ve aile

    4.Tüketici: Kişisel satın alma, bütçe ve yatırım

      Ülkemizde de başta Anayasa olmak üzere eğitim ile ilgili yasalar, eğitim sistemi ve okullarımızdan ne gibi amaçları gerçekleştirmeleri gerektiğini açıkça ortaya koymuştur.

      Hemen hemen her toplumun okul denilen kurumdan beklentileri birbirine benzer nitelikler taşımaktadır. Diğer taraftan farklı eğitim felsefesi yaklaşımları da okullardan farklı amaçları gerçekleştirmesini beklemektedir. Buna göre beş temel yaklaşım olan hümanizm, varoluşçuluk, toplumsal gerçekçilik, deneyselcilik ve yeniden yapılanmacılık yaklaşımlarının okul amaçları Tablo 1’de verilmiştir (Kowalski ve Reitzug, 1993).

FELSEFİ YAKLAŞIM

OKULUN AMAÇLARI

HÜMANİZM

Dünya değişmez, okulun amacı değişmeyen evrensel gerçekleri aktarmak ve zihinleri geliştirmektir

VAROLUŞÇULUK

Dünya yavaş yavaş gelişmektedir ve değişmektedir, okulun amacı varolan kültürel ögeleri aktarmak ve geçmiş tarih tarafından oluşturulan her şeyin tanınmasını  sağlamaktır.

TOPLUMSAL

GERÇEKÇİLİK

Okulun amacı halen mevcut olan düşüncelerin ve değerlerin öğrencilere aktarılığından emin olmak ve onların topluma uyum sağlamalarına yardım etmektir. Şu anki toplum öğretim programının kaynağıdır.

DENEYSELCİLİK

Değişme kaçınılmazdır, okulun amacı

problem çözebilecek eleştirel düşünen bireyler yetiştirmektir.

YENİDEN

YAPILANMACILIK

Değişme kaçınılmazdır, okulun amacı gelecekteki toplumun neler istediğine karar vererek, öğrencileri toplumu gelecekteki duruma dönüştürebilecek şekilde hazırlamaktır.

Kaynak: (Kowalski ve Reitzug, 1993).

    Tablo 1’de görüldüğü gibi tüm yaklaşımlar okul denilen kuruma farklı amaçlar yüklemektedir. O halde okul bu amaçlardan hangisini başarmalıdır? Bu sorunun yanıtı elbette toplumların tercihlerine göre tamamen değişmektedir.

(Aydın, İnayet.  EĞİTİM VE ÖĞRETİMDE ETİK  TBMM. 1. Baskı: Kasım 2003)

 

 

 

Kaynaklar;

WordPress Instant Gallery: Photo by jesse orrico

Pegem Akademi, Pegem Akademi Dosyalar/ Dökümanlar, eğitim öğretim de etik.indb  PDF alıntı.

Prof. Dr. İnayet AYDIN

EĞİTİM VE ÖĞRETİMDE ETİK

ISBN 978-975-8792-09-2DOI 10.14527/9789758792092

Kitap içeriğinin tüm sorumluluğu yazarlarına aittir.

© 2018, PEGEM AKADEM

Baskı: Kasım 2003,

AnkaraBaskı: Ocak 2018, Ankara

Pegem A Yayınları®, 2003

Kategoriler
Bilişim Etiği

SİBER SALDIRI ve SİBER SAVUNMA YÖNTEMLERİ

İÇİNDEKİLER

  • Giriş
  • Siber Güvenlik Nedir?
  • Siber Saldırı Yöntemleri
  • Siber Güvenlik Unsurları
  • Siber Savunma Yöntemleri
  • Siber Güvenlikte Mükemmellik
  • Sonuç
  • Kaynakça

 

Giriş

Bilişim teknolojileri, hayatı kolaylaştırma adına sağladıkları imkânların yanında, güvenlik boyutunda da yeni kaygıların gelişmesine sebep olmuştur. Artık bu yeni dünyada, fiziksel temasa veya mağdurla aynı yerde bulunmaya gerek duymadan hırsızlık, dolandırıcılık gibi suç fiilleri mümkün hale gelmiştir. Bunun yanında bilişim teknolojileri suç gruplarının veya terör örgütlerinin iletişim becerilerini artırmış, propaganda imkânlarını güçlendirmiş ve yeni faaliyet sahalarının ortaya çıkmasını sağlamıştır. Günümüzde hızla gelişen teknoloji güvenlik sorunlarını da beraberinde getiriyor. Hacker adı verilen zararlı kullanıcılar veya kullanıcı grupları, internet sitelerine, bilgisayarlara, devlet kurumlarına, polis, jandarma ya da şahıs gibi birimlere saldırı amaçlı trojen, solucan gibi virüsler yollayarak bu alandaki bilgileri ele geçirmek ya da bu alanı kullanılmaz hale getirmek amaçlı yaptıkları saldırıya siber saldırı adı verilir. Siber saldırılar şahısa dönük olabileceği gibi kuruma ya da devletlere dönük olarak yapılabilir. Devletler birbirleri arasında siber savaş adı verilen rekabete girişebilirler. Bildiğimiz savaştan farklı olan bu stratejiye telefon dinleme, gizli evrak görüntüleme, ajanlık ve casusluk gibi özel amaçlı olarak yapılan işlemlerdir. Ve saldırı için birçok materyal kullanılabilir. Bilgisayarlar, akıllı telefonlar, internet bağlantılı cihazlar, tabletler aracılığı ile şahsa, kuruma ya da devletleri günlük olarak art niyetli sanal saldırı yapılabilir.

 

Siber Güvenlik Nedir?

Siber ortamı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen bilginin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber güvenlik olaylarının tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının devreye alınmasını ve sonrasında ise sistemlerin yaşanan siber güvenlik olayı öncesi durumlarına geri döndürülmesini ifade eder. (T.C. UDHB, 2013-2014)

 

Siber Saldırı Yöntemleri

Siber saldırılar çok çeşitli yöntemlerle yapılmaktadır. Sizin için en çok kullanılan siber saldırı yöntemlerinden birkaçını düzenledik. Bunlar;

  • Bilgi ve veri aldatmacası (Data Diddling): Bilgisayara veri girilirken yanlış girilmesi, verileri saklarken özel yöntemlerle değiştirilmesi ya da bazı kayıtların silinmesi bu yöntemle yapılabilir. (M. H. Wrobleski,1990)

 

  • Salam tekniği (Salami Techniques): Genellikle bankacılık sektöründe kullanılır. Hesaplardaki virgülden sonraki küsuratların son rakam veya son iki rakam tutarı başka bir hesaba aktarılarak orada biriktirilmektedir. (Y. Yazıcıoğlu, 2004)

 

  • Süper darbe (Super Zapping): Bilgisayar sistemlerindeki arızalar ile sistemin kilitlenmesi durumunda güvenlik kontrollerinin aşılarak sistemin düzeltilmesi için geliştirilmiş programlardır. Bu durum kötüye kullanıldığında güvenlik devre dışı bırakılmaktadır. (O. Turhan,2006)

 

  • Truva atı (Casus Yazılımlar): Bilgisayar korsanları truva atları sayesinde sisteme arka kapıdan ulaşarak, bilgisayarın sistem yapısını değiştirebilir ayrıca kullanıcının şifrelerine ve diğer kişisel bilgilerine ulaşabilirler. Truva atı sisteme bulaştıktan sonra, sistemin açılmasıyla beraber kendisini hafızaya yükler ve sistem açıklarını kullanarak, programı yerleştiren bilgisayar korsanının istediklerini yapmasını sağlar.(O.Değirmenci,2002)

 

  • Zararlı yazılımlar (Kötücül Yazılımlar): Virüs gibi belli bir amaca yönelik olarak hazırlanmış kod parçalarıdır.

 

  • Mantık bombaları (Logic Bombs): Bir programın içerisine istenen zararlı bir kod parçasının yerleştirilmesidir. Mantık bombası genellikle hedef alınan bilgisayar veya ağlardaki bilgileri tamamen yok etmek veya bir daha kullanılamaz hale getirmek için kullanılır. (Ş. Çelik,2013)

 

  • Oltalama (Phishing): Genellikle sahte web siteleri kullanılmaktadır. Örneğin bir banka ya da alışveriş sitesinden kendisine e-posta geldiğini düşünen son kullanıcı; kredi kartı bilgilerini bu web sayfasına girerek ya da sadece e-postayı yanıtlayarak bu tuzağa düşebilmektedir. (A.Çubukçu & Ş. Bayram,2013).

 

  • Bukalemun (Chamelon): Normal bir program gibi çalışırır fakat arka planda bir takım hile ve aldatmalar ile çok kullanıcılı sistemlerde kullanıcı adları ve şifrelerini taklitm ederek gizli bir dosya içerisine kaydedip, sistemin bakımı için geçici bir süre kapatılacağına ilişkin bir (YerTutucu) uyarı verir. Bu sırada bukalemun programını kullanan kişi, bu gizli dosyaya ulaşarak kullanıcı adlarını ve şifrelerini ele geçirir. (E. Aydın,1992).

 

  • İstem dışı alınan elektronik postalar (Spam): Tartışma platformlarından dağıtılan listelerden ve web sayfalarından elde edilen elektronik adreslere alıcının haberi olmaksızın ara sıra büyük hacimlerde gönderilen ve ticari amaç taşıyan e-postalar olarak tanımlamaktadır.(T.Memiş,2005)

 

  • Çöpe dalma (Scavenging): Sistem belleğinde bulunan ve artık ihtiyaç duyulmayan silinmiş bilgilerin gelişmiş yöntemlerle tekrar geri getirilmesidir. (E. Altınok, 2011)

 

  • Yerine geçme (Masquerading): Sistemde yapılacak hileler ile erişim imkanı kısıtlı ya da yetkisi hiç olmayan kullanıcıların, erişime yetkisi olan başka kullanıcıların bilgi ve yetkilerini kullanarak sisteme erişim sağlamasıdır. (O.Değirmenci,2002)

 

  • Sistem güvenliğinin kırılıp içeri sızılması (Hacking): Hack kelimesi hacker topluluklarında kullanılan anlamıyla “teknolojinin orijinal, alışılmışın dışında ve özgün bir tarzda kullanılması” anlamına gelmektedir. Ayırt edici özelliği ise sadelik, ustalık ve yasa dışı oluşudur.( T. Jordan & P.Taylor,2004)

 

  • Hukuka aykırı içerik sunulması: Özellikle web sitelerine reklam amaçlı ya da hukuka aykırı içeriklerin eklenmesidir.

 

  • Web sayfası hırsızlığı ve yönlendirme: Web sitelerinin çalınarak kullanamaz hale gelmesi, web sitelerinde farklı içerikler sunulması, sayfa girişinde ya da içeriğinde başka sayfalara yönlendirilerek veri girişine zorlanılmasıdır.

 

  • Sosyal mühendislik: Yalan söyleme ve karşı tarafı ikna etme üzerine kurulan bir bilgi toplama sanatıdır. Burada kişilerin güveni kazanılarak kendilerine güvenmelerinin sağlanması amaçlanmaktadır. (K. D. Mitnick & W.L. Simon, 2006)

 

 

Siber Güvenlik Unsurları

Yüksek seviyede bir siber güvenliğin sağlanması ancak ve ancak aşağıdaki hususlara dikkat edilmesi ve bu unsurların yerine getirilmesiyle sağlanır. Bunlar; gizlilik, bütünlük, kimlik doğrulama, erişilebilirlik, inkar edememe gibi unsurlardır. Bu unsurlar aşağıda kısaca açıklanmıştır.

Gizlilik, “verilerin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunu garanti etmektir”. Diğer bir ifade ile “verilerin erişim yetkisi olmayan kişilerce elde edilmesini önleme girişimleridir”. Bu unsur, şifreleme algoritmaları kullanılarak sağlanmaktadır.

Bütünlük, siber güvenlik unsurlarından bir diğeridir. “Verilerin ve işleme yöntemlerinin doğruluğunu ve içeriğin değişmezliğini sağlamak” veya “verinin bir ortamdan diğerine değişmeden gönderildiğini doğrulamak” olarak tanımlanabilir. Özetleme (parmak izi) fonksiyonları kullanılarak veya farklı fonksiyonlar kullanılarak sağlanır.

Kimlik doğrulama, “yetkilendirilmiş kullanıcıların kimliğinin doğrulanması ve o kişi olduğunun garanti edilmesi” veya “kullanıcı kimliğinin belirlenmesi veya doğrulanması işlemi” olarak tanımlanabilir. Bu unsur, elektronik imza ile sağlanır.

İnkar edememe, aslında adından da anlaşılacağı gibi mesaj veya bilgi kaynağının gönderdiği mesajı veya gönderdiğini yalanlayamamasıdır. Diğer bir ifade ile “yetkilendirilmiş kullanıcının mesaj gönderim veya alım işlemlerinin ispatlanması veya gönderim veya alım işleminin inkar edilememesinin sağlanmasıdır”. Bu unsur, açık anahtar altyapısı ve zaman damgası ile sağlanır.

Erişilebilirlik, “yetkilendirilmiş kullanıcıların bilgiye ve ilişkili kaynaklara erişim hakkına sahip olmalarının garanti edilmesi”, “yetkilendirilmiş kullanıcıların sistemlere güvenli ve sürekli olarak erişmelerinin garanti edilmesi” veya “hizmetin sürekliliğinin sağlanması için gereken önlemleri alma girişimi” olarak tanımlanmaktadır. (Ş.Sağıroğlu & M. Alkan,2018)

Siber Savunma Yöntemleri

Siber saldırılara karşı koyabilmek için belirli bir sistematik içerisinde siber olaylara müdahale etmek, belirli bir adımları takip ederek bu adımları gerçekleştirmek gereklidir. Koruma adımları aşağıda verilmiştir.

(1) Yapılan saldırıları önlemek için bir saldırı tespit ve koruma sistemi yaklaşımı gereklidir. Bu kurulmalıdır.

(2) Tehdidi saptama için bir sistem gereklidir. Bu sistem kurulmalıdır.

(3) Yapılan saldırıların ne zaman, nasıl, kim veya kimler tarafından yapıldığı saptanır. Bunun için kayıtları analiz edecek bir sistem kurulur veya uzmanlıklardan faydalanılır.

(4) Saldırılara karşı koyma (reaksiyon gösterme) işin önemli ve son adımıdır. Saptanan ve tespit edilen tehditler bu adımda giderilir. Karşılaşılan tehditler ortadan kaldırılır ve verilen zararlar giderilir. Sistem kayıplardan arındırılarak, önceki haline dönüştürülür.( Ş.Sağıroğlu & M. Alkan,2018)

 

 

Siber Güvenlikte Mükemmellik

Siber güvenlikte temel hedef; güvenliği mükemmele yakın sağlama olmalı, riskler iyi belirlenmeli, giderilmeye çalışılmalı ve iyi bir risk yönetimi yapılmalı, mevcut teknikler, teknolojiler, politikalar, standartlar ve çözümler uygulanarak, belirlenen siber güvenlik felsefesi kapsamında çalışmalar yürütülmelidir. Bu felsefede aşağıdaki unsurlar yer almalıdır. Bunlar;

Bir güvenlik politikası oluşturulmalı ve uygulanmalıdır.

Gereği kadar koruma prensibi uygulanmalıdır.

İyi bir risk analizi ve yönetimi yapılmalıdır. – Sistemlerde oluşabilecek hataları, eksiklikleri ve açıklıkları gidermek için zaman zaman testler (sızma testleri) yapmak ve tüm zafiyetleri gidermek gerekmektedir.

Sistemleri kullanan her kullanıcıya en az hak verme yaklaşımı benimsenmelidir. Bir kullanıcıya ihtiyaç duyacağı hakları vermenin karşılaşılabilecek problemleri azaltacağı unutulmamalıdır.

Siber güvenlik standartları (ISO 270XX Serisi Standartlar) yakınen takip edilmeli ve uygulanmalıdır. Bunlara ilave olarak, yakın olan diğer standartlardan da mutlaka faydalanılmalıdır.

Elektronik ortamların her zaman güvensiz ortamlar olabileceği unutulmadan, sahip olunan bilgi varlıklarının yedeklenmesi veya kurtarılmasına yönelik sistemler (Felaket Kurtarma Merkezi) kurulmalı ve işletilmelidir.

Güncel tehdit ve tehlikeleri yakınen takip etmek ve varsa da gidermek gereklidir. Ayrıca, gelecek tehdit ve tehlikeleri de önceden öngörmek ve önlem almak da gereklidir. Buna hazır olacak, mekanizmalar ve yapılar kurmalı ve işletmelidir.

Güvenli sistem bileşenlerini tanımlama ve güvenlik gerektiren bileşenlerin sayılarını en aza indirgeme temel amaç olmalıdır.

Siber güvenlik sistemlerini kuran, işleten, yöneten ve güncelleyenlerin güvenlik uzmanları olduğu unutulmadan, siber güvenlik uzmanlarının kendilerini geliştirmelerine fırsatlar verilmeli, bu birimlere daha fazla insan kaynağı ayırılmalıdır. Güvenliği teknik ve teknolojilerin yardımıyla insanların sağladığı veya ihlal edildiği de unutulmadan gerekli tedbirler alınmalıdır. Sonuç olarak, “yüzde yüz bir güvenliğin” hiçbir zaman sağlanamayacağı yaklaşımıyla, varlıklar (yazılım, donanım, veri, süreç, uzmanlık, vb.) değerleri oranında ve sadece değerleri geçerli olduğu sürece korunmalıdır. Korumak için harcanan süre, çaba, emek ve maliyet, korunacak olan siber varlıkların değerleriyle orantılı olmalıdır. Karşılaşılacak riskler, ortak akıl ve bilimsel yaklaşımlar kullanılarak giderilmelidir.(Ş.Sağıroğlu & M. Alkan,2018)

 

Sonuç

Siber güvenlik günümüzde artık ulusal güvenlik stratejilerinde de ele alınan bir kavram haline gelmiştir. Özellikle son birkaç yıldır, Türk şirketleri ve hükümet yetkililerinin de sürekli olarak siber suçların ve siber casusluğun hedefinde olmaları bu alandaki probleme dikkat çekmekte ve daha fazla yatırım yapılmasının gerektiğini gözler önüne sermektedir. Teknolojideki sürekli gelişme ile birlikte siber saldırılar da üst düzeylere çıkmıştır. Olası tehditler ve ihtiyaçlar doğrultusunda alınan kararlar ileriye dönük olarak güvenliğin sağlanmasında yeterince etkili olamamaktadır. Çok çeşitli siber saldırı yöntemleri bulunmakta olup, özellikle kişisel ölçekte bunların çoğu bilinmemektedir. Bilişim sistemleri için güvenlik stratejileri ise konuyu bilen uzmanlar tarafından geliştirilirken çoğu zaman son kullanıcı bu güvenlik tedbirlerinden habersizdir. Bu bağlamda siber alanda oluşan tüm tehditlere karşı önlem alınması ve tüm dünyada bilinç seviyesinin artırılması gerekmektedir. Siber güvensizliğin getirebileceği maliyetin bu alanda yapılacak harcamalardan daha fazla olabileceği göz önüne alındığında siber savunmaya daha fazla yatırım yapılması gerektiği açıkça görülmektedir.

 

 

KAYNAKÇA

  1. T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı, Ulusal Siber Güvenlik Stratejisi ve 2013- 2014 Eylem Planı, Ocak 2013
  2. M. H. Wrobleski – M.K. Hens , “Introduction to Law Enforcement and Criminal Justice”, third edition, West Publiching Company, 1990.
  3. Y. Yazıcıoğlu, 2004. “Bilişim Suçlar Konusunda 2001 Türk Ceza Kanunu Tasarısının Değerlendirilmesi”, Hukuk ve Adalet: Eleştirel Hukuk Dergisi, İstanbul, Y:1, S:1, Ocak-Mart 2004, ss. 172-185.
  4. O. Turhan, “Bilgisayar Ağları ile İlgili Suçlar”, T.C. Başbakanlık Devlet Planlama Teşkilatı Müsteşarlığı Hukuk Müşsavirliği, Planlama Uzmanlığı Tezi, Ankara, 2006.
  5. O. Değirmenci,“Bilişim Suçlar”, (Marmara Üniversitesi Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi), İstanbul, 2002.
  6. Ş. Çelik, “Stuxnet Saldirisi Ve Abd’nin Siber SavaşStratejisi: Uluslararasi Hukukta Kuvvet Kullanmaktan Kaçinma İlkesi Çerçevesinde Bir Değerlendirme”, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi Cilt: 15, Sayı: 1, 2013, s.137-175.
  7. A. Çubukçu & Ş. Bayram (2013). Türkiye’de Dijital Vatandaşlık Algısı ve Bu Algıyı İnternetin Bilinçli, Güvenli ve Etkin Kullanımı ile Artırma Yöntemleri. Middle Eastern & African Journal of Educational Research, 5, 148-174
  8. E. Aydın (1992). Bilişim Suçları ve Hukukuna Giriş. Ankara: Doruk Yayınları.
  9. T. Memiş, Hukuki Açıdan Kitlelere E-posta Gönderilmesi. Saarbrücken Hukuki Internet Projesi. 2005.
  10. E. Altınok, A.F. Vural. “Bilişim Suçları”, 2011.
  11. T. Jordan & P.Taylor, (2004). Hacktivism and Cyberwars: Rebels with a Cause?. Routledge
  12. K. D. Mitnick & W.L. Simon, “Aldatma Sanatı”, Nejat Eralp Tezcan, ODTÜ Yayıncılık, Ankara, 303, 2006.
  13. Ş.Sağıroğlu & M. Alkan, BGD Siber Güvenlik ve Savunma,Farkındalık ve Caydırıcılık, Grafiker Yayınları,Ankara,2018
  14. Photo by codestorm on Unplash


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Kişisel ve Kurumsal Veri Güvenliği Yönetimi

İÇİNDEKİLER

GİRİŞ

BÖLÜM I: KURUMSAL VERİ GÜVENLİĞİ

1.1. Kurumsal Veri Güvenliği 

1.2. Kurumsal Veri Güvenliği Politikaları 

1.3. BGYS Kapsamı

1.4. Bilgi Güvenliği Standartları 

1.4.1. İngiliz Standartları 

1.4.2. ISO/IEC Standartları 

1.4.3. Türk Standartları 

1.4.4. Belgelendirme 

1.5.  Güncel Tehditler ve Bulgular 

1.6.  Sonuçlar ve Değerlendirmeler 

BÖLÜM II: KİŞİSEL VERİ GÜVENLİĞİ

2.2.  Kişisel Veri Güvenliğine İlişkin İdari Tedbirler 

2.2.1. Mevcut Risk ve Tehditlerin Belirlenmesi 

2.2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları 

2.2.3. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi 

2.2.4. Kişisel Verilerin Mümkün Olduğunca Azaltılması 

2.2.5. Veri İşleyenler ile İlişkilerin Yönetimi 

2.3.  Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler 

2.3.1. Siber Güvenliğin Sağlanması 

2.3.2. Kişisel Veri Güvenliğinin Takibi 

2.3.3. Kişisel Verileri İçeren Ortamların Güvenliğinin Sağlanması 

2.3.4. Kişisel Verilerin Bulutta Depolanması 

2.3.5. Bilgi Teknoloji Sistemleri Tedariği, Geliştirme ve Bakımı 

2.3.6. Bilgi Teknolojilerinin Yedeklenmesi 

2.4. Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler

2.5. Sonuçlar ve Değerlendirmeler

KAYNAKÇA

GİRİŞ

İletişim ortamlarının yaygınlaşması ve kullanımının artması sonucunda elektronik ortamlarda bulunan bilgilerin her geçen gün katlanarak artmasından dolayı bilgi güvenliğinin sağlanması ihtiyacı kişisel veya kurumsal olarak en üst seviyelere çıkmıştır. Bunun önemli sebepleri iş veya günlük yaşamın bir parçası haline gelen elektronik uygulamaların artması, ihtiyaç duyulan bilgilerin ağ sistemleri üzerinde paylaşımı, bilgiye her noktadan erişilebilirlik, bu ortamlarda meydana gelen açıkların büyük tehdit oluşturması ve en önemlisi kişisel ve kurumsal kayıplarda meydana gelen artışlar olarak sıralanabilir.

Kişi ve kurumların bilgi güvenliğini sağlamadaki eksikliklerinin yanında saldırganların saldırı yapabilmeleri için ihtiyaç duydukları yazılımlara İnternet üzerinden kolaylıkla erişebilmeleri fazla bilgi birikimine ihtiyaç duyulmaması ve en önemlisi ise kişisel ve kurumsal bilgi varlıklarına yapılan saldırılardaki artışlar, gerek kişisel gerekse kurumsal bilgi güvenliğine daha fazla önem verilmesine yeni yaklaşımların ve standartların kurumlar bünyesinde uygulanması zorunluluğunu ortaya çıkarmıştır. Bu sebeplerden kişisel verileri korumak için adımlar atılması kaçınılmaz hale gelmiştir. Bu çalışmanın, hem kişisel hem kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasına yönelik farkındalık oluşturması, mevcut ve yeni standartlar hakkında daha fazla bilgi içermesi ve yüksek seviyede güvenliğin sağlanmasına katkılar sağlayacağı düşünülmektedir.

 

BÖLÜM I

KURUMSAL VERİ GÜVENLİĞİ

1.1. Kurumsal Veri Güvenliği

Kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. Kurumsal bilgi varlıklarının güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz. Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci bilgi güvenliği olarak tanımlanabilir. (Vural, 2007)

Kurumsal bilgi güvenliği ise, kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınması olarak düşünülebilir. Kurumsal bilgi güvenliği insan faktörü, eğitim, teknoloji gibi birçok faktörün etki ettiği tek bir çatı altında yönetilmesi zorunlu olan karmaşık süreçlerden oluşmaktadır. Bu süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek seviyede bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşma çalışmaları hızla sürmektedir. Standartlaşma konusuna önderlik eden İngiltere tarafından geliştirilen BS–7799 standardı, ISO tarafından kabul görerek önce ISO–17799 sonrasında ise ISO–27001:2005 adıyla dünya genelinde bilgi güvenliği standardı olarak kabul edilmiştir. (ISO/IEC 27001, 2007)

Ülkemizde Avrupa Birliği Uyum Kriterlerinde de adı geçen bu standartların uygulanması konusunda yapılan çalışmalar yetersiz olup bu standardı uygulayan kurum ve kuruluşların sayısı yok denecek kadar azdır. ISO–27001:2005 standardı ülkemizde Türk Standartları Enstitüsü (TSE) tarafından TS ISO/IEC 27001 “Bilgi Güvenliği Yönetim Sistemi” standardı adı altında yayınlanmış ve belgeleme çalışmaları başlatılmıştır. Bu standart kapsamında kurumsal bilgi varlıklarının güvenliğinin istenilen düzeyde sağlanabilmesi amacıyla; gizlilik, bütünlük ve erişilebilirlik gibi güvenlik unsurlarının kurumlar tarafından sağlanması gerekmektedir. Bilgi Güvenliği Yönetim Sistemleri (BGYS); insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Kurumlar açısından önemli bilgilerin ve bilgi sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve sürekliliğinin sağlanması, BGYS’nin kurumlarda hayata geçirilmesiyle mümkün olmaktadır. BGYS’nin kurulmasıyla; olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir. Kurumsal bilgi güvenlik politikalarının oluşturulması, BGYS kapsamının belirlenmesi, risk yönetimi, denetim kontrollerinin seçilmesi, uygulanabilirlik beyannameleri BGYS kurulabilmesi için, yapılması gereken adımlardır. (Chang, Siew-Mun, & Foo, 2001)

Bilgi güvenliğinin yönetiminin kurulmasında izlenmesi gereken adımlar bu bölümde sırasıyla takip eden başlıklarda açıklanmıştır.

1.2. Kurumsal Veri Güvenliği Politikaları

Güvenlik politikaları kurum veya kuruluşlarda kabul edilebilir güvenlik seviyesinin tanımlanmasına yardım eden, tüm çalışanların ve ortak çalışma içerisinde bulunan diğer kurum ve kuruluşların uyması gereken kurallar bütünüdür. (Kalman, 2003)

Kurumsal bilgi güvenliği politikası, kurum ve kuruluşlarda bilgi güvenliğinin sağlanması için tüm bilgi güvenlik faaliyetlerini kapsayan ve yönlendiren talimatlar olup kurumsal bilgi kaynaklarına erişim yetkisi olan tüm çalışanların uyması gereken kuralları içeren belgelerdir. Bilgi güvenliği politikaları her kuruluş için farklılık gösterse de genellikle çalışanın sorumluluklarını, güvenlik denetim araçlarını, amaç ve hedeflerini kurumsal bilgi varlıklarının yönetimini, korunmasını, dağıtımını ve önemli işlevlerin korunmasını düzenleyen kurallar ve uygulamaların açıklandığı genel ifadeleri içermektedir. Politikalar içerisinde; gerekçelerin ve risklerin tanımlandığı, kapsadığı bilgi varlıkları ve politikadan sorumlu olan çalışanların ve gruplarının belirlendiği, uygulanması ve yapılması gereken kuralların, ihlal edildiğinde uygulanacak cezai yaptırımların, teknik terimlerin tanımlarının ve düzeltme tarihçesinin yer aldığı 7 bölümden oluşur. (Kalman, 2003)

Belirli konularda çalışanın daha fazla bilgilendirilmesi, dikkat etmesi gereken hususlar, ilgili konunun detaylı bir şekilde ifade edilmesi istendiğinde alt politikalar geliştirilmelidir. Örneğin kullanıcı hesaplarının oluşturulması ve yönetilmesi, şifre unutma, şifre değiştirme, yeni şifre tanımlama gibi durumlarda uyulacak kurallar alt politikalar aracılığıyla açıklanmalıdır.

E-posta gönderme ve alma konusunda, üst yönetimin kararlarını, kullanıcının uyması gereken kuralları ve diğer haklarını alt politika içerisinde ifade etmek bir başka örnek olarak verilebilir. Alt politikayla üst yönetimin, gerekli gördüğünde çalışanlarının e-postalarını okuyabileceği, e-postalar yoluyla gizlilik dereceli bilgilerin gönderilip alınamayacağı gibi hususlar, e-posta alt politikası içerisinde ifade edilebilir. Alt politikalar içerisinde, izin verilen yazılımlar, veri tabanlarının nasıl korunacağı, bilgisayarlarda uygulanacak erişim denetim ölçütleri, güvenlikle ilgili kullanılan yazılım ve donanımların nasıl kullanılacağı gibi konular da açıklanabilir.

Kurumsal bilgi güvenliği politikaları kuruluşların ihtiyaçları doğrultusunda temel güvenlik unsurlarının (gizlilik, bütünlük, erişilebilirlik, vb.) bazıları üzerinde yoğunlaşabilir. Örneğin askeri kurumlarda, bilgi güvenliği politikalarında gizlilik ve bütünlük unsurları ön plana çıkmaktadır. Askeri bir savaş uçağının kalkış zaman bilgilerinin onaylanıp yürürlüğe girmesi için düşmanlar tarafından görülmemesi (gizlilik) ve değiştirilmemesi (bütünlük) gereklidir. Bir diğer örnek ise kâr amacı gütmeyen kurumlarda uygulanan bilgi güvenliği politikalarında genellikle erişilebilirlik ve bütünlük unsurları ön planda gelmektedir. Üniversite sınav sonuçlarının açıklandığı yüksek öğretim kurumunda uygulanan güvenlik politikasında öğrenciler sınav açıklandıktan sonra istediği zaman diliminde (erişilebilirlik) doğru bir şekilde (bütünlük) sınav sonuçlarına bakabilmelidir.

İyi bir güvenlik politikası, kullanıcıların işini zorlaştırmamalı, kullanıcılar arasında tepkiye yol açmamalı, kullanıcılar tarafından uygulanabilir olmalıdır. Politika, kullanıcıların ve sistem yöneticilerinin eldeki imkânlarla uyabilecekleri ve uygulayabilecekleri yeterli düzeyde yaptırım gücüne sahip kurallardan oluşmalıdır. Alınan güvenlik önlemleri ve politikaları uygulayan yetkililer veya birimler yaptırımları uygulayabilecek idari ve teknik yetkilerle donatılmalıdır. Politika kapsamında herkesin sorumluluk ve yetkileri tanımlanarak kullanıcılar, sistem yöneticileri ve diğer kişilerin sisteme ilişkin sorumlulukları, yetkileri kuşku ve çelişkilere yer bırakmayacak biçimde açıkça tanımlanmalıdır. Politikalar içerisinde uygulanacak olan yasal ve ahlaki mahremiyet koşulları ile elektronik mesajların ve dosyaların içeriğine ulaşım, kullanıcı hareketlerinin kayıt edilmesi gibi denetim ve izlemeye yönelik işlemlerin hangi koşullarda yapılacağı ve bu işlemler yapılırken kullanıcının kişisel haklarının nasıl korunacağı açıklanmalıdır.

Saldırıların ve diğer sorunların tespitinde kullanıcıların, yöneticilerin ve teknik personelin sorumluluk ve görevleri ile tespit edilen sorun ve saldırıların hangi kanallarla kimlere ne kadar zamanda rapor edileceği güvenlik politikalarında açıkça belirtilmelidir. Sistemlerin gün içi çalışma takvimleri, veri kaybı durumunda verinin geri getirilmesi koşulları gibi kullanıcının sisteme erişmesini sınırlayan durumlara politikalar içerisinde yer verilmelidir. Bu durumlarda kullanıcıya, izlemesi gereken yolu anlatacak ve yardımcı olacak kılavuzlara da yer verilmelidir.

1.3. BGYS Kapsamı

BGYS’nin kapsamı kurumların sahip olduğu bilgi varlıkları ve ihtiyaçları doğrultusunda tespit edilir. Bu kapsam;

  • Kurumun sahip olduğu bilgi varlıklarının tamamı,
  • Bilgi sistemlerinin bir kısmı (Bilişim sistemleri, kâğıt ortamdaki bilgiler, elektronik bilgi varlıkları, vb.),
  • Belli bir yerleşim birimindeki bilgi sistemleri (Merkez binalar, Genel Müdürlükler, vb.),
  • Odaklanılmış bir bilgi sistemi (bilgisayarlar, ağ sistemi, sunucu bilgisayarlar, web sunucusu, vb.) olabilir.

Bir kuruluşta elektronik ortamlarda üretilen, dağıtılan ve saklanan bilgiler BGYS kapsamına örnek olarak verilebilir. (Chang, Siew-Mun, & Foo, 2001)

1.4. Bilgi Güvenliği Standartları

Tehditlerin sürekli olarak yenilenmesi, kullanılan yazılım veya donanımlarda meydana gelen güvenlik açıklarının takibi, insan faktörünün kontrolü gibi süreçlerin takip edilebilmesi ve üst seviyede bilgi güvenliğinin sağlanması için bilgi güvenliği sürecinin yönetilmesi için yapılan çalışmalar sonucunda İngiliz Standartlar Enstitüsü (British Standards Institute-BSI) tarafından 1995 yılında BS–7799 standardının ilk kısmı olan BS7799–1, 1999 yılında ise aynı standardın ikinci kısmı olan BS7799–2 İngiliz standardı olarak yayınlanmıştır.

BS7799–1 2000 yılında küçük düzeltme ve adaptasyonlardan geçerek ISO tarafından ISO/IEC– 17799 adıyla kabul edilmiş ve dünya genelinde kabul edilen bir standart halini almıştır. 2002 yılında ise BSI tarafından BS–7799 standardının ikinci kısmı olan BS–7799–2 standardı üzerinde eklemeler ve düzeltmeler yapılarak ikinci defa İngiliz standardı olarak yayınlanmıştır. 2005 yılında ise ISO tarafından ISO/IEC–17799 standardı üzerinde eklemeler ve düzeltmeler yapılmış ISO/IEC–17799:2005 adıyla yeniden yayınlanmıştır. Son olarak 2005 yılında ISO İngiliz standardı olan BS7799–2 üzerinde eklemeler ve düzeltmeler yaparak ISO/IEC:27001 standardını yayınlamıştır. (Wikipedia, 2007)

 

 

1.4.1. İngiliz Standartları

BS–7799, bilgi varlıklarının gizlilik, doğruluk ve erişilebilirliğini güvence altına almak için uygulanması gereken güvenlik denetimlerini düzenleyen ve belgelendiren iki aşamalı İngiliz standardıdır. 1999 yılında yayınlanan ilk sürümün birinci bölümünde bilişim güvenliği için çalışma kuralları anlatılmakta olup 10 bölüm içerisinde 36 kontrol 127 alt kontrol maddesi bulundurmaktadır. İkinci bölümde bilgi güvenliği yönetim sistemini planlamak, kurmak ve devam ettirmek için gerekli olan süreçler adım adım tanımlamakta ve bilgi güvenliği yönetim sistemine ait belgelendirme bu kısımda yapılmaktadır.

BS–7799 kurumların sadece kendi bilgi güvenlik prosedürlerini değil birlikte çalıştıkları iş ortaklarıyla ilgili sözleşmelerinde bilgi güvenliği yönünden analiz edilmesine yardımcı olmaktadır. BS–7799 standardı endüstri, devlet ve ticari kuruluşlardan ortak bir güvenlik modeli oluşturulmasına gelen talepler sonucu BSI kuruluşu ve BOC, BT, Marks&Spencer, Midland Bank, Nationwide Building Society, Shell, Unilever ve diğer bazı şirketlerin katılımıyla hazırlanmış bir standarttır. Standardın tarihsel oluşumuna bakıldığında 1993 yılında Kural rehberi, 1995 yılında İngiliz standardı, 1998 yılında Sertifikasyon tarifi yapılmış, 1999 yılında büyük bir düzeltmeden geçerek birinci kısmı, 2002 yılında ise ikinci kısmı yayınlanmıştır. (Osborne, 2006)

BS–7799 standardı teknik ve idari bölümlerden oluşmaktadır. Etki alanları aşağıda maddeler halinde özetlenmiştir. (British Standards Institute, 2005)

 

Güvenlik politikası: Bilgi güvenliği için yönetimin yönlendirilmesi ve desteğinin sağlanmasının yer aldığı bölümdür.

Güvenlik organizasyonu: İşletme içindeki bilgi güvenliğinin yönetilmesi, üçüncü taraflarca erişilen işletmeye ait bilgi işleme araçlarının ve bilgi varlıklarının güvenliğinin korunması ve bilgi işleme sorumluluğu başka bir işletmenin kaynaklarından sağlandığında bilgi güvenliğinin sürdürülmesidir.

Varlık sınıflandırması ve denetimi: İşletmeye ait varlıklar için uygun korunmanın sağlanması ve bilgi kaynaklarının uygun koruma seviyesine sahip olduklarının garanti edilmesidir.

Erişim kontrol: Bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanmasıdır.

Uyum: Herhangi bir suçtan kaçınılması, organizasyonun güvenlik politikalarının ve standartlarının sisteme uyumunun sağlanması, sistem izleme işlemlerinin etkisinin artırılması ve karşılaşılan engellerin azaltılmasıdır.

Personel güvenliği: İnsan hatalarını, hırsızlığı, sahtekârlığı ve araçların yanlış kullanılması risklerinin azaltılması, kullanıcıların bilgi güvenliği tehditlerinden ve sorunlarından haberdar olduklarının ve normal çalışma seyirleri içinde organizasyonla ilgili güvenlik politikasını desteklemek üzere donatıldıklarının garanti edilmesidir. Ayrıca güvenlik ihlallerinden meydana gelen hasarın en aza indirilmesi ve bu gibi olaylardan gerekli tecrübelerin edinilmesidir.

Fiziki ve çevresel güvenlik: İşyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır.

Sistem bakım ve idamesi: Bilişim sistemleri içerisinde güvenliğin temin edilmesi, uygulama sistemlerindeki kullanıcı verilerinin kaybedilmesini, değişmesini ya da hatalı kullanımının önlenmesi, bilginin gizliliği, aslına uygunluğu ya da bütünlüğünün korunması, IT projelerinin ve destek etkinliklerinin güvenli bir şekilde yürütülmesini temin etmek ve uygulama yazılımının ve bilgilerin güvenliğini sağlamaktır.

İletişim ve işletim yönetimi: Bilgi işlem tesislerinin doğru ve güvenle işletildiğinden emin olunması, sistem arızalarını en az seviyeye indirilmesi, bilgi ve yazılım bütünlüğünün korunması, bilgi işlem ve iletişim hizmetlerinin kullanılabilirliği ve bütünlüğünün sürdürülmesi, ağlarda yer alan bilgilerin emniyetinin ve destekleyen altyapı sisteminin korunması, iş faaliyetlerinin kesintiye uğratılması ve varlıklara zarar verilmesinin önlenmesi ve organizasyonlar arasında akan bilginin yanlış amaçlarla kullanılması, değiştirilmesi ve kaybedilmesinin önlenmesidir.

İş süreklilik yönetimi: Ticari süreçlerde karşılaşılan olumsuzlukların giderilmesi ve kritik ticari işlemlerin devamlılığının sağlanmasıdır.

Kurumlar bilgi varlıklarını tespit edip sınıflandırdıktan sonra, bilgi varlıklarına yönelik tehditleri ve zafiyetleri değerlendirerek yukarıda anlatılan kontrollerden hangilerinin uygulanıp, hangilerinin uygulanamayacağına karar vererek standardın kapsamını kendi kurumlarına özgü bir şekilde belirleyebilmektedirler.

BS–7799 ikinci kısmında kurumsal güvenlik ihtiyaçlarının belirlenmesi için gerekli olan bilgi güvenliği yönetiminin çatısı tanımlanarak BS–7799 birinci kısmında tanımlanan kontroller uygulanmaktadır. Bu standart, yöneticilere ve personele etkin bir BGYS kurmaları ve yönetmeleri açısından bir model sağlamak üzere hazırlanmıştır. Bu modelde “Planla– Uygula–Kontrol Et–Önlem Al (PUKÖ)” adımları bulunmaktadır. Bu modelin basamakları ISO standartları bölümünde açıklanmıştır.

Bilgi güvenliği yönetim sistemleriyle ilgili diğer bir İngiliz standardı Aralık 2005’te BS7799–3:2005 Bilgi Güvenliği Yönetim Sistemleri Risk Yönetiminin Kuralları ismiyle hazırlanmıştır. Standart 2006 yılında tekrar gözden geçirilmiş ve BS7799–3:2006 ismiyle yayınlanmıştır. BS7799–3 standardı BS7799–2 standardının uygulanması için destek sağlayarak ölçeklenebilir (küçük, orta veya büyük kurumlar) yapıda standardın yaygınlaşmasına yardımcı olması için geliştirilmiştir. Standard içerisinde risk değerlendirmesi, belirlenen risklere kontrollerin uygulanması, tanımlanmış risklerin izlenmesi, kontrol yönetim sistemlerinin bakımı gibi risk yönetimi ile ilgili konular üzerine odaklanılmıştır. Kapsamın belirlenmesi, kural oluşturan kaynaklar, terimlerin tanımı, kurum bağlamında risk, risk değerlendirmesi, risk kararının verilmesi, risk yönetimi BS7799–3 standardının bölümlerini oluşturmaktadır. (BSI, 2007)

1.4.2. ISO/IEC Standartları

Uluslararası Elektroteknik Komisyonunu 1906 yılında Uluslararası Standartlar Organizasyonu, 1947 yılında uluslararası alanda ticari (ISO) ve elektroteknik (IEC) standardizasyonun sağlanması için, İsviçre’nin Cenova şehrinde kurulmuştur. ISO ve IEC birlikte teknik çalışma grupları oluşturarak tüm dünyada geçerli olacak standartlar oluşturmaktadırlar. Bununla birlikte ISO tarafından IT Güvenlik Standartları ile ilgili çalışmalar JTC–1 Bilişim Teknolojileri Komitesine bağlı SC27: BT Güvenlik Teknikleri Alt Komisyonunda ele alınmaktadır. Bilgi güvenliği konusunda çalışan bu komisyonun sorumluluklarından bazıları aşağıda belirtilmiştir. Bu sorumluluklar; (International Organization for, 2020)

  • Bilgi teknolojileri sistemleri güvenlik hizmetlerinin ve ihtiyaçların tanımlanması,
  • Güvenlik teknikleri ve mekanizmalarının geliştirilmesi,
  • Güvenlik kılavuzlarının geliştirilmesi ve
  • Yönetim destek dokümanları ile standartların geliştirilmesidir.

Yukarıda açıklanan görevleri yerine getirmek üzere bu komisyon içinde 5 ayrı çalışma grubu bulunmaktadır. Bu gruplar aşağıda belirtilmiştir:

  • Çalışma Grubu–1 (JTC 1/SC 27/WG 1): Bilgi güvenliği yönetim sistemleri
  • Çalışma Grubu–2 (JTC 1/SC 27/WG 2): Şifreleme ve güvenlik mekanizmaları
  • Çalışma Grubu–3 (JTC 1/SC 27/WG 3): Güvenlik değerlendirme kriterleri
  • Çalışma Grubu–4 (JTC 1/SC 27/WG 4): Güvenlik denetimleri ve hizmetleri
  • Çalışma Grubu–5 (JTC 1/SC 27/WG 5): Kimlik yönetimi ve mahremiyet

SC27’ye bağlı çalışma gruplarından Çalışma Grubu–1 (WG-1), bilgi güvenliği yönetim sistemleri standartları (ISO/IEC 17799, ISO/IEC 27000 Serisi) ile ilgili çalışmaları yürütmektedir. Bu standartlar aşağıda kısaca açıklanmıştır.

ISO/IEC 17799 standardı: BS–7799 standardının ikinci sürümü Mayıs 1999’da çıktığında ISO, BSI’nın yayınladığı çalışmayla ilgilenmeye başlamıştır. Aralık 2000’de, ISO BS–7799 standardının ilk bölümünü alarak ISO/IEC 17779 olarak yeniden adlandırmış ve yeni bir standart olarak yayınlamıştır. ISO/IEC 17779 standardı daha önceki bölümde açıklanan BS–7799 standardının ilk bölümüne eşdeğerdir.

 

ISO/IEC 17799 standardının uygulanmasıyla kurumsal bilgilerin tamamen güvende olduğunu söylemek doğru değildir. Bu standart bilgi güvenliğini başlatan, gerçekleştiren ve sürekliliğini sağlayan kurumların kullanımı için, bilgi güvenlik yönetimi ile ilgili tavsiyeleri kapsar. ISO/IEC 17799 güvenlik standartlarını bir kurumun uyguluyor olması kurumlara aşağıda sıralanan üstünlükleri sağlamaktadır. (Germain, 2005)

  • Organizasyon Seviyesinde, sorumlulukları belirleyerek, kurumsal bilgi güvenliğinin her seviyede uygulanmasının yararlarını garanti eder.
  • Kanuni Seviyede, kurumun ilgili tüm kural ve yönetmeliklere uyduğunu yetkili makamlara göstererek diğer standart ve mevzuatları tamamlar.
  • İşletme Seviyesinde, Bilgi sistemleri, zafiyetleri ve nasıl korunacakları konusunda işletmenin yönlendirilmesini sağlayarak kurumsal bilgi sistemlerine daha güvenli erişim sağlanır.
  • Ticari Seviyede, iş ortakları, hissedarlar ve müşteriler; kurumun bilgi koruması konusuna verdiği önem sayesinde kuruma olan güvenleri artırır ve ticari rakipleri arasında piyasada farklı bir yere gelmesini sağlar.
  • Finansal Seviyede, güvenlik açıklarının belirlenerek önlem alınması sonucunda maliyetler azalacaktır.
  • Çalışan Seviyesinde, çalışanın güvenlik konuları ve organizasyon içinde kendisine düşen sorumluluk hakkındaki bilgisini arttırarak bireysel olarak bilinçlendirilmesini sağlar.

ISO/IEC 17799 standardı 2005 yılında gözden geçirilerek ISO/IEC 17799:2005 ismiyle son halini almıştır. ISO/IEC 17799:2005 Bilgi Güvenliği Yönetimi için uygulama kodu, kuruluşların bilgi güvenliği yönetim sistemini kurmaları, uygulamaları, sürdürmeleri ve iyileştirmeleri için hazırlanmış bir kılavuz olup önceki sürümünden farklı olarak, yaşanan problemlerden, arızalardan, kazalardan ders çıkarılması ve tekrar yaşanmaması için gerekli önlemlerin alınması için gerekli olan yönetim mekanizmasının kurulmasını sağlayan Bilgi Güvenliği İhlallerinin yönetimi ile ilgili bilgi güvenliği denetimlerini ve ilgili uygulamaları da içermektedir. (BSI Eurasia, 2020)

ISO/IEC 27001, BGYS için gereklilikleri ortaya koyan bir standarttır. Daha önce de anlatıldığı gibi bilgilerin düzenli olarak maruz kaldığı tehditlerin tanımlanmasına, yönetilmesine ve bunların minimize edilmesine yardımcı olur.

 

Bu standart; yönetim standartlarıyla (ISO 9001, ISO 14001) uyumlu olarak geliştirildiğinden yönetim standartlarının gereklerini de yerine getirmektedir. Bunlar; (Türk Standardları Enstitüsü, 2006)

  • Kapsam, daha önceki bölümlerde açıklandığı gibi kurumun tamamı veya belirli bir kısmını veya belirli bir hizmetini (internet bankacılığı, web uygulamaları, vb.) içerebilir.
  • Politika, Bilgi güvenliği neden önemlidir? Tehditler nelerdir? Risk yönetimi nasıl yapılmalıdır? Uyulması gereken kısıtlar (kanunlar yönetmelikler, vb.) nelerdir? Bu gibi soruların cevabını içeren üst yönetici tarafından onaylanan bilgi güvenliği politikasının bir üst kümesi olarak kabul edilen kısa dokümanlardır.
  • Risk Değerlendirme, hangi bilgi varlıklarının korunacağı belirlendikten sonra kuruluşa uygun risk değerlendirme yönteminin seçilerek risklerin tanımlanması yapılır. Seçilen risk değerlendirme yöntemine göre bilgi varlıkları Şekil 5’de örneği gösterilen risk haritasında konumlandırılır. Değerlendirilme yapıldıktan sonra risk değerlendirme haritasında, etkisi ve olasılığı yüksek olan tehditler için risklerin iyileştirilerek kontrol altına alınması işlemlerini kapsar. Risk haritasında bilgi varlıklarının yeri değişebileceğinden risk değerlendirme haritası düzenli olarak güncellenmeli ve gerekli önlemler alınmalıdır.
  • Risk İyileştirme, risklerin değerlendirilmesi tamamlandıktan sonra ISO/IEC 27001 standardı risklerin nasıl iyileştirileceğinin açıklanmasını ister. İyileştirme çalışmaları kapsamında risk kabul edilebilir, transfer edilebilir (sigorta, vb.) azaltma çalışmaları yapılabilir. Riskler karşısında alınması gereken önlemlerin bulunduğu dokümanlar risk iyileştirme planlarını oluşturmaktadır.
  • Uygulanabilirlik Beyannamesi, (Statement of Applicability-SOA), ISO/IEC 27001:2005 standardındaki kontrollerden hangilerinin kullanılıp kullanılmadığını gerekçeleriyle açıklayan belgelerdir. Kullanılan kontrollerin seçilme gerekçeleri, kullanılmayan kontrollerin dışarıda bırakılmasının açıklamasını içerir. Kullanılmayan kontrollerin yanlışlıkla çıkarılmadığının çapraz denetimini sağlar. Uygulanabilirlik beyannamesi risk yönetimini ilgilendiren kararların özetini içerir.
  • Risk İşleme Planı, güvenlik risklerini yönetmek için uygun yönetim eylemini, kaynaklarını, sorumluluklarını ve önceliklerini tanımlar. Seçilen kontrollerin yapılabilmesi için gerekli olan alt kontroller gerçekleştirilir ve kontrollerin etkinliği ölçülür.
  • Eğitim ve Bilinçlendirme, programlarıyla kurumdaki tüm personelin bilgi güvenliği faaliyetlerinin yarar ve öneminin farkında olarak, BGYS’nin amaçlarına ulaşılmasına nasıl katkı sağlayacağının farkında olması sağlanmalıdır. Ayrıca BGYS’yi teknik olarak etkileyecek işlerde çalışmak üzere uzman personel istihdam edilmesi veya ilgili personelin eğitimleri bu kapsamda yapılır.
  • Güvenlik İhlal Yönetimi, güvenlik olaylarının anında tespit edilerek güvenlik ihlâllerine zamanında cevaplar verilmesini sağlar. Daha önce denenen ve başarılı olan güvenlik kırılmaları, güvenlik yöneticisinin güvenlik faaliyetlerinin beklenen biçimde çalışıp çalışmadığının belirlenebilmesi, güvenlik önlemlerinin alınarak güvenlik ihlallerinin önlenmesi, bir güvenlik kırılmasını önlemek için alınan önlemlerin etkili olup olmadığına karar verilir.
  • Kaynakların Yönetimi, BGYS’yi kurma, gerçekleştirme, işletme, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme için gereken kaynaklar kurum tarafından sağlanarak yönetimi yapılmalıdır.
  • İzleme ve Gözden Geçirme, BGYS’nin etkinliğinin düzenli olarak gözden geçirilmesi ve oluşabilecek değişiklikleri (teknoloji, iş amaçları ve süreçleri, tehditler, vb.) dikkate alarak, bilgi varlıklarının risk değerlendirmesinin belirli aralıklarla yeniden yapılmasını sağlar.
  • Yerel BGYS Denetimleri, ilk taraf denetimleri olarak adlandırılan yönetim tarafından kapsamın uygun kalması ve süreçlerin iyileştirilmesini sağlamak için düzenli olarak kuruluş tarafından veya kuruluş adına danışman firmalar tarafından gerçekleştirilir.

BGYS’nin iyileştirilmesi için kurum tarafından önleyici ve düzeltici tedbirler alınması gereklidir. Olumsuzlukların yaşanmaması için, risk değerlendirme sonuçlarına bağlı olarak değişen riskler bazında önleyici tedbirler alınmalıdır. Gerçekleştirilen önleyici faaliyetler, olası sorunların yapacağı etkiye uygun olmalıdır. BGYS gereksinimleriyle olumsuzlukları gidermek üzere düzeltici önlemler alınmalıdır. Önleyici tedbirler için gerçekleştirilen faaliyetler çoğunlukla düzenleyici tedbirler için gerçekleştirilen faaliyetlerden daha az maliyetlidir.

ISO/IEC 27002, halen hazırlanma aşamasındadır. Bu standardın daha önceki bölümde açıklanan ISO/IEC 17799:2005 standardına eşdeğer olması beklenmektedir. Bilgi güvenliği ile ilgili standartların 27000 serisi altında yer almasından dolayı ISO/IEC tarafından böyle bir düzenlemeye gidilmiştir. (ISO , 2007)

ISO/IEC 27003, 27001 standardının nasıl kullanılacağına dair açıklamalar ve örnekler içeren uygulama rehberi olarak geliştirilmekte olup tahmini olarak 2008 yılının Ekim ayında standart olarak yayınlanması beklenmektedir. Geliştirilen standart içerisinde temel olarak; kritik başarı faktörleri, süreç yaklaşımı üzerine rehber, PUKÖ modeli rehberi, planlama süreç rehberi, uygulama süreç rehberi, kontrol süreç rehberi, önlem alma süreç rehberi ve diğer kurumlarla birlikte çalışma gibi konu başlıklarının yer alması beklenmektedir. (ISO 27001 Security, 2020)

1.4.3. Türk Standartları

Türkiye’de bilgi güvenliği standartlarıyla ilgili çalışmalar ve belgelendirmeler, Türk Standartları Enstitüsü (TSE) tarafından yapılmaktadır. TSE teknik kurulunun ISO/IEC 17799:2000 standardını tercüme ederek 11 Kasım 2002 tarihinde aldığı karar ile TS ISO/IEC 17799 Bilgi Teknolojisi-Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri Türk standardı olarak kabul edilmiştir. TS ISO/IEC 17799 standardı; kuruluşlar bünyesinde bilgi güvenliğini başlatan, gerçekleştiren ve süreklilik sağlayan, bilgi güvenliği yönetimi ile ilgili tavsiyeleri içermektedir.

BGYS belgelendirilmesine yönelik TSE teknik kurulu tarafından yapılan çalışmalar sonucunda BS 7799– 2:2002 standardının tercümesi yapılarak “Bilgi Güvenliği Yönetim Sistemleri–Özellikler ve Kullanım Kılavuzu” ismiyle TS 17799–2 standardı olarak 17 Şubat 2005 tarihinde kabul edilmiş ve yürürlüğe girmiştir. Ancak TS ISO/IEC 27001:2006 “Bilgi Teknolojisi–Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri–Gereksinimler”, 2.3.2006 tarihinde Türk standardı olarak kabul edildiğinden TS 17799–2 standardı TSE tarafından iptal edilmiştir. (Türkiye Bilişim Derneği, 2005)

TS ISO/IEC 27001:2006 standardı, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kâr amaçlı olmayan kuruluşlar) kapsar. Bu standart, bir BGYS’yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. Bu standart ISO/IEC 27001:2005 standardından yararlanarak hazırlanmıştır. ISO/IEC 27001:2005 standardın tercümesidir.

 

1.4.4. Belgelendirme

BGYS’de belgelendirme, kurumsal bilgi güvenliğinin standartlara uyumlu bir şekilde yönetildiğine dair otoriteler tarafından verilen sertifikasyonlar aracılığıyla yapılmaktadır. Dünyada ve ülkemizde kurumsal bilgi güvenliği yönetim sistemlerinin belgelendirilmesinde uyumluluğa esas teşkil eden standart 2005 yılına kadar BS7799–2 standardı olurken bu yıldan sonra ISO/IEC 27001 standardı olarak değiştirilmiştir. 15 Nisan 2006 tarihine kadar olan 6 aylık bir hazırlık dönemi sırasında, denetimler ve belgelendirme ISO/IEC 27001:2005 veya BS 7799–2:2002 standartlarına göre gerçekleştirilmiştir. Ancak, bu süre içerisinde yayınlanmış olan yeni bir BS 7799–2:2002 sertifikasının, 15 Nisan 2007 tarihine kadar ISO/IEC 27001:2005’e geçişi tamamlanmıştır. 15 Nisan 2006 tarihinden sonra ise bütün denetimler ve belgelendirmeler ISO/IEC 27001:2005 standardına göre gerçekleştirilmiştir. ISO/IEC 27001:2005 belgelendirmesi için yapılması gereken altı aşama aşağıda kısaca açıklanmıştır. (BSI Belgelendirme Yöntemi, 2008)

  • Aşama 1: ISO/IEC 27001:2005 standardının tüm gereklerinin yerine getirilmesi ve standartta belirtilen yönetim iskelet yapısının oluşturulması.
  • Aşama 2: Uyumluluk denetimleri için yetkilendirilmiş sertifikalandırma kurumuna ön başvuru yapılır. Bu başvuruya istinaden denetimi yapacak firma belgelendirme için maliyet ve zaman çizelgesi sunar.
  • Aşama 3: Maliyet ve zaman çizelgesi kurum tarafından onaylanarak denetimi gerçekleştirecek firmaya resmi başvuru yapılır.
  • Aşama 4: Denetimi gerçekleştirecek olan kurum güvenlik politikasını, risk değerlendirmesi dokümanlarını, risk eylem planını, uygunluk beyanını (SOA) ve güvenlik prosedürlerini içeren dokümantasyonu gözden geçirir. Bu işlem sonucunda, bilgi güvenliği yönetim sistemindeki sorunlu olan ve çözüme kavuşturulması gereken herhangi bir zayıflığın veya göz ardı edilen bir hususun ortaya çıkarılması hedeflenir.
  • Aşama 5: Masaüstü kontrolü başarılı şekilde sonuçlandıktan sonra, denetim firmasının belirlediği denetçiler tarafından yerinde denetim gerçekleştirilir. Kuruluşun büyüklüğüne ve iş tipine uygun kontrollerin olup olmadığı gözden geçirilir ve elde edilen sonuçlara göre kurumlara önerilerde bulunulur.
  • Aşama 6: Değerlendirmenin başarı ile tamamlanmasının ardından, Bilgi Güvenliği Yönetim Sisteminin kapsamını açık bir şekilde tanımlayan bir sertifika verilecektir. Bu sertifika 3 yıl boyunca geçerliliğini korur ve rutin değerlendirme ziyaretleri ile desteklenir. ISO/IEC 27001 standardına göre kurulmuş olan bir bilgi güvenliği yönetim sistemi ile, kurumların bilgi güvenliği yönetiminde, kapsamlı prosedürler aracılığıyla güvenlik kontrollerini sürekli ve düzenli olarak işletmeyi ve sistemin sürekli iyileştirilmesi gerçekleştirilmektedir. Güven ve güvenilirliğin hayati önem taşıdığı alanlarda hizmet veren kuruluşların, uluslararası geçerlilikte bilgi güvenliği yönetim sistemleri standardına uygunluk belgesine sahip olması, hem mevzuat hem de kuruluşun güvenli işleyişi açısından bir zorunluluk olarak değerlendirilmektedir.

Kurumların ISO/IEC 27001 sertifikası almasının avantajları maddeler halinde aşağıda listelenmiştir. (Bilgi Güvenliği Yönetim Sisteminin Belgelendirilmesi, 2020)

  • Kredilendirilebilirlik, güven ve itimat: Belgelendirme, kurum veya kuruluşun bilgi güvenliğini dikkate aldığını, bilgi güvenliğinin sağlanması için gerekli olan adımları uyguladığını ve kontrol ettiğini ispatlamaktadır. Bu sayede kurumlar veya kuruluşlar birlikte iş yaptıkları veya hizmet verdikleri kurum veya bireylerin tüm bilgilerinin BGYS sayesinde güvende tutulacağı konusunda verdikleri taahhütten dolayı iş yaptıkları kurum, kuruluş veya bireylerin kendilerini güvende hissetmelerini sağlayacaklardır. Belgelendirme sonucunda özellikle özel sektör firmalarında rekabet anlamında sertifika almamış rakiplerinin bir adım önüne geçerek avantaj sağlayacaklardır. Ayrıca günümüzde uluslararası yapılan işlerde ISO/IEC 27001:2005 şartı koşulmaktadır.
  • Tasarruf: Oluşabilecek güvenlik ihlallerine karşı kontrollerin uygulanması ile maliyetler düşmektedir. Sadece bir bilgi güvenliği ihlalinin oluşturacağı zarar bile çoğu zaman çok büyük maddi kayıplara yol açabilir. Belgelendirme işlemi kurumların maruz kalacağı bu tür ihlalleri azaltarak bilgi güvenliği ihlallerinden doğan zararları en aza indirecektir.
  • Yasal Uygunluk: Belgelendirme işlemi, kanun ve tüzüklere uygunluğun yetkili ve ilgili makamlara yasal anlamda uygunluğun sağlandığına dair kanıt teşkil edilmesine yardımcı olur.
  • Taahhüt: Belgelendirme işlemi, organizasyonun tüm aşamalarında taahhüt/bağlılığın sağlanması ve kanıtlanmasında yardımcı olur.
  • Operasyonel Seviye Risk Yönetimi: Kuruluş genelinde, bilgi sistemleri ve zayıflıklarının nasıl korunacağı konusundaki farkındalık artar. Ayrıca donanım ve veriye daha güvenli bir şekilde erişim sağlanır.
  • Çalışanlar: Çalışanların kuruluş içerisindeki sorumlulukları ve bilgi güvenliği konularındaki bilinçlerinin artmasını sağlar.
  • Sürekli İyileşme: Düzenli olarak gerçekleştirilen denetimlere bağlı olarak bilgi sistemlerinin etkinliği izlenecek ve izleme sonucunda tespit edilen problemler giderilerek bilgi sistemlerinde genel anlamda bir iyileşme sağlanabilecektir.
  • Onay: Organizasyon için tüm seviyelerde bilgi güvenliği varlığının bağımsız kuruluşlar tarafından onaylandığını göstermektedir.

1.5. Güncel Tehditler ve Bulgular

Daha önceki bölümlerde de açıklandığı gibi günümüzde kurum ve kuruluşlar bilgilerini elektronik ortamlara açtıkça, elektronik ortamlarda yapılan iş ve işlemler artmakta karşılaşılan güncel tehdit ve tehlikelerde de doğal olarak artışlar gözlenmektedir. Zafiyet ve zayıflık açısından değerlendirildiğinde korunmasızlık seviyesinin yüksek olması nedeniyle güncel gelişmelerin en fazla yaşandığı alan web uygulamalarıdır. Günümüzde web uygulamaları, güncel bilgiye kurum, kuruluş veya bireylerin kolayca erişebilmesi için en kolay ve en etkin yöntem olarak karşımıza çıkmaktadır. Web üzerinden verilen hizmetler çoğaldıkça Web’e yönelik saldırılar da her geçen gün artmaktadır. Bunun nedeni, web uygulamaları güvenliğinin ilgisizlikten ve bilgisizlikten kaynaklanan sebeplerden ötürü yeterince ciddiye alınmaması ve güvenli yazılım geliştirme tekniklerinin kullanılmaması olarak açıklanabilir.

Günümüzde web uygulama güvenliğiyle ilgili birçok çalışma yapılmaktadır. Bu çalışmalardan birisi olan, Mark Curphey tarafından 2001 yılında kurulan, kâr amacı güdmeyen ve herkese açık bir ortam olan OWASP  web uygulama güvenliğinin artırılmasına yönelik ücretsiz araçlar, standartlar, web uygulamaları güvenliğiyle ilgili forumların yapılması, makalelerin yazılması konusunda çalışmaktadır. (About The Open Web Application Security Project, 2020) Diğer bir çalışma ise 2004 yılında Jeremiah Grossman ve Robert Auger tarafından kurulan ve web uygulamaları güvenliğiyle ilgili açık standartların geliştirilmesi, yaygınlaştırılması ve kullanımı gibi konularda çalışan Web Uygulamaları Güvenlik Konsorsiyumudur. (About Us, 2020)

Web uygulama güvenliği konusunda dünyada kabul görmüş OWASP ve WASC tarafından belirlenen, web uygulamalarında en fazla rastlanan saldırılar bu bölümde anlatılacak olan güncel tehditler ve gelişmelere esas teşkil etmiştir.

1.6. Sonuçlar ve Değerlendirmeler

Bu çalışmada, kurumsal bilgi güvenliğinin sağlanmasında önemli olan unsurlar gözden geçirilmiştir. Yüksek seviyede KBG sağlanabilmesi için bilgi güvenliği standartlarının bilinmesi ve uygulanmasının yanında güncel tehditlerin bilinmesi önemlidir. Bu tehditlerin tespit edilebilmesi ve ortadan kaldırılabilmesi için mevcut bilgi varlıklarının belirli aralıklarla sızma testlerine tabii tutulması zafiyet ve açıkların giderilmesi açısından önemlidir. Yüksek seviyede bir KBG sağlanabilmesi için teknoloji-insan-eğitim üçgeninde yönetilen bir yaklaşımın dikkate alınması gerektiği tespit edilmiştir. Yapılan diğer tespitler aşağıda sunulmuştur.

  • Ülkemizde genellikle güvenlik politikaları standartlara uygun olmadan yazılı veya sözlü, onaylı veya onaysız bir biçimde kuruluşlar tarafından uygulanmakta ve çoğu kurum tarafından da “bilgi güvenliği yönetimi” yeterli görülmektedir. Bu yanlış anlamanın giderilmesi için dünya genelinde kabul görmüş ve uygulanabilirliği test edilmiş bilgi güvenliği standartları esas alınarak kuruluşların “bilgi güvenliği yönetimi” konusunda eksikliklerini gidererek BGYS kurmaları, uygulamaları ve belgelendirilmeleri gerekmektedir. BGYS çerçevesinde oluşturulacak güvenlik politikalarına, üst yönetim ve tüm çalışanların destek vermesi ve tavizsiz bir şekilde uygulanması, iş birliğinde bulunulan tüm kişi ve kuruluşlarında bu politikalara uyma zorunluluğu, kurumsal bilgi güvenliğinin üst düzeyde sağlanmasında önemli bir faktördür.
  • BGYS standartlarının kurumlara uyarlanması, anlatılması, kullanıcı, teknik çalışanların ve yöneticilerin eğitilmesi konusunda kuruluşların bünyelerinde güvenlik uzmanları çalıştırmaları veya danışmanlık hizmetleri almaları gerekmektedir. BGYS uygulamaları, kurumlar tarafından başarılı bir şekilde uygulandıktan sonra kuruluşların bilgi güvenliğini yönettiklerine dair uluslararası alanda geçerli sertifikasyona sahip olmaları önemlidir.
  • Bilgi güvenliğinin yönetilmesi bilgi güvenliğinin sağlandığı anlamına gelmemektedir. BGYS’nin kurumsal bilgi güvenliğini taahhüt ettiği seviyede sağlayıp sağlamadığı, sağlamıyorsa eksikliklerinin neler olduğu, güvenlik denetimlerinin güvenli biçimde kurulup kurulmadığı, güvenlik denetimlerinin etkin ve politikalara uygun olarak uygulanıp uygulanmadığı, iyi bir belgelendirme yapılıp yapılmadığı gibi bilgi güvenliğinin sağlanması açısından çok kritik olan soruları cevaplamanın tek yolu BGYS kapsamında belirlenen bilgi varlıklarının (insan faktörü, yazılımlar, donanımlar, ortamlar, vb.) güvenliğini “sızma testleriyle” test etmekten geçmektedir. Kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasında sızma testlerinin katkısı çok yüksektir. Sızma testleri felaket başa gelmeden önce, onu önleyecek ve ona karşı savunulacak ihtiyaçların ve tedbirlerin alınmasında kullanılan önemli bir erken uyarı sistemidir. Bu önemden dolayı, sızma testleri belirli periyotlarda (bu yılda en az 2-3 kez olabilir) veya sistem yenilenmelerinde yapılmalı ve kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasındaki rolü her zaman dikkate alınmalıdır.

Yukarıda anlatılan hususların yanında, yüksek seviyede kurumsal bilgi güvenliğinin sağlanmasında aşağıdaki hususlara da dikkat edilmesi önerilmektedir. Bunlar:

  • Kurumsal bilgi güvenliğini sağlamanın dinamik bir süreç olduğu ve süreklilik arz ettiği,
  • Kurumsal bilgi güvenliğinin sadece teknolojiyle sağlanır yaklaşımından uzaklaşılarak insan-eğitim-teknoloji üçgeninde yeni bir yaklaşımla sağlanması gerektiği,
  • Uluslararası standartlara uygun olarak yapılması ve uygulanması gerektiği,
  • Standartlar yüksek seviyede bir güvenliği garanti etse de bazen standartlarında yetersiz kalabileceği,
  • Kurumsal bilgi güvenliği seviyesinin güncel durumunun belirlenmesi amacıyla iç ve dış ortamlardan zaman zaman bağımsız uzman kuruluşlar tarafından denetlenmesi gerektiği,
  • Kurumsal bilgi güvenliğinin yönetilmesinin zorunlu bir süreç olduğu ve her zaman iyileştirmelere ihtiyaç duyulduğu ve
  • En zayıf halka kadar güvende olunacağı varsayımıyla hareket edilerek gerekli önlemlerin alınması gerektiği

bilinmeli ve uygulanmalıdır.

BÖLÜM I I

KİŞİSEL VERİ GÜVENLİĞİ

2.2.  Kişisel Veri Güvenliğine İlişkin İdari Tedbirler

 

2.2.1. Mevcut Risk ve Tehditlerin Belirlenmesi

Risklerin önüne geçilebilmesi için zaman, kaynak ve uzmanlığın sağlanarak uygun teknik ve idari tedbirlerin alınması gerekir. Kişisel Verilerin Korunması Kanununa göre; kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde, aşağıdakiler dikkate alarak, belirlenmesi gereklidir:

  • Özel nitelikli kişisel veri olup olmadıkları,
  • Mahiyetleri gereği hangi derecede gizlilik seviyesi gerektirdikleri,
  • Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği

Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra risklerin azaltılması veya ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin uygulanabilirliğinin değerlendirilmesinde aşağıdaki kriterlerin uygulanması belirlenebilir:

  • Maliyet
  • Uygulanabilirlik
  • Yararlılık

Bu bakımdan Kurum’un, güvenliği sağlamak adına, veri sorumlularının kabiliyeti ve kişisel verilerin güvenliği arasında dengeli çözümler üretilmesini beklediği anlaşılmaktadır. (KVKK Risk Analizi, 2020)

2.2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Kişisel verilerin güvenliği açısından en çok beklenen önlemlerden biri çalışanların eğitimidir ve çalışanların eğitimine ilişkin aşağıdaki hususların uygulanmasını beklenir:

  • Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları
  • Çalışanlara yönelik farkındalık çalışmalarının yapılması
  • Güvenlik risklerinin belirlenebildiği bir ortam oluşturulması
  • Hangi konumda çalıştıklarına bakılmaksızın çalışanların kişisel veri güvenliğine ilişkin rol ve sorumluluklarının görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluklarının farkında olması
  • Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci oluşturulması
  • Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; ilgili yeni eğitimlerin yapılması
  • Kişisel veri güvenliğine ilişkin bilgilerin güncel tutulmasının sağlanması.

Ayrıca çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşması imzalamalarının istenmesini bir öneri olarak sunulmaktadır.

Son olarak, kişisel veri güvenliğine ilişkin kültür oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibinin değil “İzin Vermedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesi gerekir. (Zaim, 2020)

2.2.3. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

Kişisel veri güvenliğine ilişkin politika ve prosedürlerin belirlenmesinde aşağıdaki kriterlere uyulması gerekir:

  • Doğru ve tutarlı olması
  • Veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmesi
  • Veri sorumluların veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan emin olunması
  • Mevcut güvenlik önlemlerini inceleyerek yasal yükümlülüklere uyumlu hareket edildiğinden emin olunması.

Politika ve prosedürler kapsamında ise aşağıda belirtilen eylemlerin yapılması gerekir:

  • Düzenli kontrollerin yapılması
  • Yapılan kontrollerin belgelenmesi
  • Geliştirilmesi gereken hususların belirlenmesi
  • Gerekli güncellemeler yerine getirildikten sonra da düzenli kontrollerin devam etmesi
  • Her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceğinin açıkça belirlenmesi. (Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz, 2020)

2.2.4. Kişisel Verilerin Mümkün Olduğunca Azaltılması

Veri sorumluları uygulamalarında sıklıkla rastlanan veri arşivleme eyleminin daha kontrollü ve işleme gereklilikleri ile bağlantılı şekilde yapılması oldukça önemlidir. Kişisel Verileri Koruma Kanununa göre, kişisel verilerin gerektiğinde doğru ve güncel olması ve mevzuatta öngörülen veya işlendikleri amaç için gerekli oldukları süre için muhafaza edilmesi yükümlülüklerini hatırlatarak, aşağıdakileri önerilmektedir:

  • Veri sorumlularının, işleme amaçları bakımından uzun süreler zarfında toplamış oldukları yüklü verilere hala ihtiyaç duyup duymadıklarını değerlendirmeleri ve bu kişisel verilerin doğru yerde muhafaza edildiğinden emin olmaları
  • Veri sorumlularınca sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi
  • İhtiyaç duyulmayan kişisel verilerin kişisel veri saklama ve imha politikası çerçevesinde ilgili yönetmelik kapsamında imha edilmesi

2.2.5. Veri İşleyenler ile İlişkilerin Yönetimi

Bazı durumlarda kişisel verilerin işlenmesi, veri sorumlusu adına başka kişiler tarafından gerçekleştirilebilmektedir. Bu durumlarda Kanun’un kişisel veri güvenliği ile ilgili 12. maddesinin ikinci fıkrası işleyenler ile veri sorumluları kişisel veri güvenliğinden müştereken sorumludur.

Bu sebeple, veri sorumlularının, kendileri adına kişisel veri işleyenlerin, kişisel veriler konusunda, en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerektiğini vurgulamak gerekir ve veri sorumlularının veri işleyenle;

  • Veri işleyenin veri sorumlusunun talimatları doğrultusunda,
  • Sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve
  • Kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hükümler içeren,
  • Yazılı

bir sözleşme imzalamaları önerilmektedir.

Sözleşmede yer alması gereken hükümleri aşağıdaki şekilde sıralayabiliriz:

  • Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğü
  • Veri işleyenin, herhangi bir veri ihlali olması durumunda, bu durumu derhal veri sorumlusuna bildirme yükümlülüğü
  • Sözleşmenin niteliği elverdiği ölçüde, veri sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin ayrı bir maddede belirtilmesi
  • Veri sorumlusunun kişisel veri içeren sistem üzerinde gerekli denetimleri yapma veya yaptırma, denetim sonucunda ortaya çıkan raporları ve veri işleyeni yerinde inceleme hakkı (Kişisel Veri Güvenliği Rehberi Yayınlandı, 2020)

2.3.  Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler

2.3.1. Siber Güvenliğin Sağlanması

Kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürünü kullanımı ile tam güvenlik sağlanamayabileceğini belirterek, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen bir takım tedbirlerin uygulanması önerilmektedir.

Siber güvenliğin sağlanması için gerekli olan önlemler aşağıdadır:

  • Öncelikle güvenlik duvarı ve ağ geçidinin sağlanması
  • Hemen hemen her yazılımın ve donanımın kurulum ve yapılandırma işlemlerine tabi tutulması
  • Yama yönetimi ve yazılım güncellemelerinin yapılması
  • Yazılım ve donanımların düzgün bir şekilde çalışıp çalışmadığının ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli kontrolü
  • Çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisinin tanınması
  • Sistemlere kullanıcı adı ve şifre kullanmak suretiyle erişim sağlanması
  • Şifre ve parolalar oluşturulurken kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesinin sağlanması
  • Şifre girişi deneme sayısının sınırlandırılması
  • Düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması
  • Yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması
  • Veri sorumlusuyla ilişkileri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması
  • Bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması
  • Yukarıda belirtilen ürünlerin güncel tutulması ve gereken dosyaların düzenli olarak tarandığından emin olunması
  • Farklı İnternet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi.

Bunlara ek olarak, yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunduğunu vurgulayarak, kullanılmayan yazılım ve servislerin güncel tutulması yerine cihazlardan kaldırılması ve silinmesi önerilmektedir.

Ayrıca, veri sorumlularının erişim yetki ve kontrol matrisi oluşturmasını ve ayrı bir erişim politika ve prosedürleri oluşturularak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması da gerekli bir önlemdir.

2.3.2. Kişisel Veri Güvenliğinin Takibi

Kişisel verilerin bulunduğu sistemlere olan saldırıların uzun süre fark edilemediği ve müdahale için geç kalınabildiği durumlara işaret ederek, bu durumun önlenmesi için aşağıdaki eylemlerin alınması gerektiği belirtilir:

  • Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi
  • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi
  • Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (Log kaydının tutulması gibi)
  • Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması
  • Çalışanların sistem ve servislerindeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürünün oluşturulması
  • Raporlama sürecinde oluşturulacak raporların otomatik olması halinde, raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması
  • Güvenlik yazılımı mesajlarının, erişim kontrolü kayıtlarının ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi
  • Sistemlerden gelen uyarılar üzerine harekete geçilmesi
  • Bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması
  • Ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması
  • Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda delillerin toplanması ve güvenli bir şekilde saklanması

2.3.3. Kişisel Verileri İçeren Ortamların Güvenliğinin Sağlanması

Sadece elektronik ortamda değil fiziksel ortamda saklanan kişisel verilerin güvenliğinin sağlanmasına ilişkin de gereklilikler vardır.

Kişisel veriler fiziksel ortamlarda (veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında) saklanıyor ise;

  • Bu cihazların ve kağıtların çalınma veya kaybolma gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması
  • Kişisel verilerin yer aldığı fiziksel ortamların yangın ve sel gibi dış risklere karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması

Kişisel veriler elektronik ortamda saklanıyor ise;

  • Kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişimin sınırlandırılmasının veya bileşenlerin ayrılmasının sağlanması

Yukarıda belirtilenlerle aynı seviyedeki önlemlerin veri sorumlusu yerleşkesi dışında yer alan ve veri sorumlusuna ait kişisel veri içeren kâğıt ortamları, elektronik ortam ve cihazlar için de alınması gerektiği belirtilebilir.

Bunlara ek olarak;

  • Kâğıt ortamındaki evrak, sunucu, yedekleme cihazları, CD, DVD ve USB gibi cihazlarının ek güvenlik önlemlerinin olduğu başka bir odaya alınması
  • Kişisel veri içeren kâğıt ortamındaki evrakın kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanması ve bu evraka yetkisiz erişimin önlenmesi
  • Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağladığı durumlar için yeterli güvenlik tedbirlerinin alınması.
  • Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması
  • Elektronik posta ya da posta ile aktarılacak kişisel verilerin dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi
  • Şifre anahtarının sadece yetkili kişilerin erişebileceği ortamda saklanması ve yetkisiz erişimin önlenmesi
  • Hangi şifreleme yöntemleri kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunması amacıyla uluslararası kabul gören şifreleme programlarının kullanılması
  • Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde anahtar yönetimi süreçlerine özen gösterilmesi (Keleş, 2020)

2.3.4. Kişisel Verilerin Bulutta Depolanması

Veri sorumluları tarafından en merak edilen konulardan biri olan bulut sistemlerinde güvenliğin sağlanması için neler yapılabileceği ile ilgili de gerekliliklerdir:

  • Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi
  • Bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi
  • İlgili kişisel verilerin yedeklenmesi
  • İlgili kişisel verilerin senkronizasyonunun sağlanması
  • İlgili kişisel verilere gerektiği hallerde uzaktan erişilebilmesi için iki kademeli kimlik doğrulama kontrolünün uygulanması.

Bunlara ek olarak, Kurum’un, daha önce Silme, Yok Etme ve Anonim Hale Getirme Rehberi’nde de bahsettiği gibi, bulut sistemlerinde yer alan kişisel verilerin gerektiğinde imhasının sağlanabilmesi için bu kişisel verilerin depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarlarının kullanılması gerekir. Böylece hizmet ilişkisi sona erdiğinde, şifreleme anahtarlarının tamamı yok edilerek bulut sistemlerinde yer alan kişisel verilerin imhası sağlanabilecektir. (Bulut Nedir? KVKK Kapsamında Bulutun Yeri Nedir?, 2020)

2.3.5. Bilgi Teknoloji Sistemleri Tedariği, Geliştirme ve Bakımı

Veri sorumlusunun, kişisel verilerin işlenmesi ile ilgili sistemlerin tedarik edilmesi, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi gibi eylemler gerçekleştirilirken alınması gereken güvenlik önlemleri şu şekildedir:

  • Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontrollerin yapılması
  • Doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığının kontrol edilebilmesi için uygulamalara kontrol mekanizmalarının yerleştirilmesi
  • Uygulamaların, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanması
  • Bakım veya teknik destek için üçüncü kişilere gönderilen cihazların, gönderilmeden önce, veri saklama ortamlarının sökülerek saklanması veya sadece arızalı parçaların gönderilmesi
  • Bakım ve onarım için dışarıdan personelin geldiği durumlarda, personelin kişisel verileri kopyalayarak kurumun dışına çıkartmasını engellemek için gerekli önlemlerin alınması

2.3.6. Bilgi Teknolojilerinin Yedeklenmesi

Sadece kişisel verilerin haksız işlenmesinin, çalınmasının ve sızıntısının engellenmesi ve uygun zamanda imhasına ilişkin önlemlerden bahsetmek yetmez, aynı zamanda kişisel verilerin zarar görmesi, yok olması ve kaybolması gibi durumların da önlenmesinin gerekliliğini belirtmek gerekir. Yedekleme ile ilgili öneriler ve yönlendirmeler şu şekilde sıralanabilir:

  • Kişisel verilerin yedeklenmesine ilişkin stratejilerin geliştirilmesi
  • Yedeklenen kişisel verilere sadece sistem yöneticisi tarafından erişilebilmesi
  • Veri seti yedeklerinin ağ dışında tutulması
  • Tüm yedeklerin fiziksel güvenliğinin sağlandığından emin olunması (Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz, 2020)

2.4. Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler

Öncelikle alınması gereken teknik ve idari tedbirleri genel başlıklar halinde sıralanabilir. Kurul’un buna ilişkin belirttiği özet tedbirler aşağıdadır:

Teknik Tedbirler

  • Yetki Matrisi
  • Yetki Kontrol
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği
  • Uygulama Güvenliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri
  • Log Kayıtları
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme
  • Güvenlik Duvarları
  • Güncel Anti-Virüs Sistemleri
  • Silme, Yok Etme veya Anonim Hale Getirme
  • Anahtar Yönetimi

İdari Tedbirler

  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanun’a Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim (Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz, 2020)

2.5. Sonuçlar ve Değerlendirmeler

Kurum’un ve Kurum’a bağlı olan Kişisel Verileri Koruma Kurulu’nun Kanun’un kişisel veri güvenliğine ilişkin 12. maddesi çerçevesindeki yükümlülüklere uyumu denetlerken göz önüne alacağı kriterlerdir.

Kanun’da veri güvenliğine ilişkin yükümlülüklerin ihlali halinde yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilebileceği unutulmamalıdır.

Bu bağlamda veri sorumluları, bilgi güvenliğinden sorumlu çalışanları veya teknik uzmanlar ve hukukçuları yardımıyla yukarıda belirtilen unsurları sağlamak adına harekete geçmelidir.

Buna ek olarak, kendileri adına veri işleyenlerle imzalanacak sözleşmelerin hazırlanması, çalışanlarının eğitilmesi ve tüm çalışanlarının uyması gereken güvenlik önlemlerinin belirlenmesi, bunlara ilişkin taahhütlerin hazırlanması, denetim şartlarının belirlenmesi gibi kişisel veri güvenliğine ilişkin idari tedbirlerin de uygulanmasına mümkün olduğunca hızlı bir şekilde başlanmasını öneriyorum. Hali hazırda veri envanterlerini hazırlamış ve politikalarına dair ön çalışmalarını yapmış olan veri sorumlularının, var olan politika ve uygulamalarını yukarıda anlatılanlar çerçevesinde yeniden gözden geçirmesi yararlı olacaktır. (Kişisel Veri Güvenliği Rehberi Yayınlandı, 2020)

 

 

KAYNAKÇA

Arce, I. (2003). The weakest link revisited. IEEE Security & Privacy Magazine, 72-74.

Barrettt, N. (2003). “Penetration testing and social.

British Standards Institute. (2005). Code of Practice for Information Security Management. Bristol: Security Techniques.

BSI. (2007, Temmuz 6). http://www.bsiglobal.com/en/Shop/PublicationDetail/?pid=0000 adresinden alındı

BSI Eurasia. (2008, Ocak 24). http://www.bsiturkey.com/BilgiGuvenligi/ISMStescil/BSItescily adresinden alındı

BSI Eurasia. (2020, Haziran 12). BSI Eurasia: http://www.bsiturkey.com/BilgiGuvenligi/Genelbakis/BS7799nedir.xalter adresinden alındı

BSI Eurasia. (2020, Haziran 12). http://www.bsiturkey.com/BilgiGuvenligi/ISMStescil/index.xalt adresinden alındı

Chang, L. T., Siew-Mun, K., & Foo. (2001). Information Security Management Systems and Standards. Synthesis Journal.

Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz. (2020, Haziran 12). https://titck.gov.tr/storage/Archive/2019/contentFile/4a4c741b-cb54-4f1b-b504-44783cdfdfbc_44c02489-6763-49c8-a480-2072e0bd8868.pdf adresinden alındı

Germain, M. R. (2005). Information Security. The Information Management, 61-62.

International Organization for. (2020, Haziran 12). http://www.iso.org/iso/en/stdsdevelopment/tc/tcli adresinden alındı

ISO . (2007, Eylül 9). http://www.iso27001security.com/html/iso17799. adresinden alındı

ISO 27001 Security. (2020, Haziran 12). http://www.iso27001security.com/html/iso27003. adresinden alındı

Kalman, S. (2003). Web Security Field Guide. Indianapolis.

Keleş, G. (2020, Haziran 12). Kişisel Verilerin Korunması İçin Teknik Tedbirler. Ocak 17, 2019 tarihinde Detay Danışmanlık. adresinden alındı

Kişisel Veri Güvenliği Rehberi Yayınlandı. (2020, Haziran 12). özbek avukatlık: https://www.ozbek.av.tr/kvk-blog/kisisel-veri-guvenligi-rehberi-yayinlandi/ adresinden alındı

KVKK Risk Analizi. (2020, Haziran 12). kvkkbilisim: https://kvkkbilisim.com/index.php/kvkk-risk-analizi/ adresinden alındı

Osborne, M. (2006). How to Cheat at Managing Information Security. Rockland: Syngress Publishing Inc.

OWASP. (2020, Haziran 12). OWASP: http://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project adresinden alındı

Türk Standardları Enstitüsü. (2006, Mart 13). Bilgi Teknolojisi–Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri-Gereksinimler. Ankara.

Türkiye Bilişim Derneği. (2005). E-Devlet Uygulamalarında Güvenlik ve Güvenilirlik Yaklaşımları 4. Çalışma Grubu Sonuç Raporu. Ankara.

Vural, Y. (2007). Kurumsal Bilgi Güvenliği ve Sızma Testleri. Gazi Üniversitesi.

Web Application Security Consortium. (2020, Haziran 12). http://www.webappsec.org/aboutus.shtml adresinden alındı

Wikipedia. (2007, 08 07). http://en.wikipedia.org/wiki/ISO_27001 adresinden alındı

Wikipedia. (2007, 07 08). http://en.wikipedia.org/wiki/BS_7799 adresinden alındı

Zaim, Ü. Ü. (2020, Haziran 12). Kişisel Verilerin Korunmması Bilgi Güvenliği Eğitimi . eralpdanismanlik: https://www.eralpdanismanlik.com.tr/events/kvkk-kisisel-verilerin-korunmasi-bilgi-guvenligi-egitimi/ adresinden alındı

Photo by Markus Spiske on Unsplash

 

 


This work is licensed under a Creative Commons Attribution 4.0 International License.

 

 

 

Kategoriler
Bilişim Etiği

Veri Koruma

İÇERİK

Giriş

Verinin İşlenmesi

Kişisel Verilerin Korunması

Bilgi Güvenliği

Bilgi Güvenliği Prensipleri

Sık Karşılaşılan Güvenlik Saldırıları

Sonuç

Kaynakça

 

Giriş

Günlük hayatımızda artık hepimiz sosyal medya hesaplarımızda fotoğraf, video, ses kaydı, konum gibi özel bilgilerimizi paylaşıyoruz. Tedavi amacıyla sağlık kuruluşuna gittiğimizde parmak izimizi, daha önce geçirdiğimiz sağlık sorunlarımızı paylaşıyoruz. Bankaya gittiğimizde mali bilgilerimizi, iletişim bilgilerimizi paylaşıyoruz. Her paylaştığımız bilgide kendimize ait bir iz bırakıyoruz. Bu izler bizi biz yapan ve herkesten ayran kişisel verilerimizdir. Paylaştığımız bu verileri bizden başka herkesin kötü ve haksız kullanımına karşı korumaya ise “veri koruma” denir.

Verinin İşlenmesi

Bir verinin kişisel veri niteliği kazanması veya belirli bir kişiyi temsil etmesi ancak verinin işlenme sürecinde kesinlik kazanabilmektedir. Kişisel verilerin işlenmesi, verilerin elde edilmesi, kaydedilmesi, düzenlenmesi, uyarlanması, dönüştürülmesi, kullanımı, açıklanması, birleştirilmesi, silinmesi gibi süreçlerden oluşmaktadır (Kaya, 2011).

Ekonomik İş birliği ve Kalkınma Örgütü (Organisation for Economic Co-operation and Development OECD) Rehber İlkeleri, kişisel verilerin korunması ve işlenme sürecinde dikkate alınması gereken prensipleri şu şekilde belirlemiştir (OECD, 2013):

  • Sınırlılık

Kişisel veriler, hukuka uygun sebepler ve araçlarla toplanmalıdır, veri sahiplerinin toplama konusunda bilgilendirilmeleri ve bilinçli rızalarının alınması gerekmektedir.

  • Kalite

Toplanan veriler kullanılan amaç doğrultusunda mümkün olduğunca tam, güncel ve doğru olmalıdır.

  • Amaca Özgülük

Kişisel verilerin toplanma amacı belirlenmelidir. Veriler sadece belirlenen amaç için kullanılmalıdır.

  • Kullanım Sınırlaması

Toplanan veriler belirtilen amaçlar dışında yayılamaz, bulundurulamaz veya başka amaçlarla kullanılamaz. Veri sahibinin bilinçli rızası ve kanuna dayalı yetkiler bu maddenin sınırlaması olabilir.

  • Güvenlik

Toplanan verilere yönelik oluşabilecek tehlikelere karşı (kayıp, yetkisiz erişim, zarar verme, değiştirme, açıklama) uygun güvenlik tedbirleri ile korunmalıdır.

  • Açıklık

Kişisel verilerle ilgili gelişmeler, uygulama ve politikalar hakkında genel bir açıklık ilkesi bulunmalıdır. Bireyler kendileri ile ilgili veri barındıran kurumların politikalarına kolayca ulaşabilmelidirler.

  • Bireyin Rızası

Veri sahibinin rızası olmaksızın veriler erişilebilir hale getirilmemeli ve açıklanmamalıdır.

  • Hesap Verebilirlik

Veri sahipleri veri toplayıcı ve yayınlayıcılarına karşı sayılan diğer ilkeler çerçevesinde hesap sorma hakkına sahip olabilmelidir. (Eroğlu, 2018)

Kişisel Verilerin Korunması

Yaşanan süreçlerde kişisel verilere yönelik tehditlere karşı hem bireysel hem toplumsal savunma mekanizmalarının varlığı değer kazanmaktadır. Kişisel verilerin korunması özel hayat ve aile hayatına saygı hakkı bakımından önemlidir. Kişisel verilerin korunmasının uluslararası belgelerde, mahremiyete yönelik düzenlemelerle yorumlandığı görülmektedir.

Türkiye’de kişisel verilerin korunmasına yönelik yasal düzenleme çalışmaları 2000’li yıllardan itibaren gündeme gelmiştir. 2016 yılında ise konuya yönelik kanun çalışması tamamlanmıştır. “6698 sayılı Kişisel Verilerin Korunması Kanunu” 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun ile “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” amaçlanmaktadır. (Eroğlu, 2018).

Bilgi Güvenliği

Bilgi karşımıza çok çeşitli ve farklı yerlerde ortaya çıkmaktadır. Bilginin yer aldığı ortamlara örnek vermemiz gerekirse; sunucular, kişisel ve dizüstü bilgisayarlar, tabletler, akıllı telefonlar, veri tabanı gibi elektronik ortamlar, elektronik posta, taşınabilir diskler, CD/DVD ROM’lar, kâğıt vb. olarak sayılabilir. Bilginin üç hali olduğunu burada ifade etmemiz gerekir. Bunlar;

  • Durağan bilgi
  • Hareket halindeki bilgi
  • Kullanımdaki bilgi (Çek, 2017, p.4).

Bilgi Güvenliği Prensipleri

Veri güvenliğinin üç temel prensibi vardır. Bunlar:

  • Gizlilik

Bilginin sadece yetkisi olan kişiler tarafından erişmesi, yetkisiz kişilerin eline geçmemesi ve yetkisiz kişiler tarafından görülememesidir.

  • Bütünlük

Bilginin yetkisiz kişiler tarafından değiştirilememesi, tam ve eksiksiz olmasıdır. Bilginin yine saklandığı veri tabanında veya iletim halindeyken yetkisi olmayan herhangi bir kişi tarafından değiştirilmesini, tahrip edilmesini veya silinmesi istenmez.

  • Erişilebilirlik

Bilginin yetkisi olan kişiler tarafından, gerektiği zaman ulaşılabilir olması bilgi güvenliğinin erişilebilirlik prensibidir.

Bilgi güvenliğinin yukarıda bahsettiğimiz üç temel prensibi dışında başka birtakım prensipleri de vardır. Bunlar:

  • Loglama

İngilizce ‘‘Accountability’’ kavramının karşılığı olarak dilimize hesap verilebilirlik olarak çevirebileceğimiz, log kayıtlarının bütünlüğünden bahsedilmesi gerekir. Log tutma, elektronik ortamda yapılan işlemlere ait kayıtların tutulmasıdır.

  • Kimlik Doğrulama

Bilgi sistemlerinden hizmet alan kişinin, uygulamanın ya da bir web servisinin gerçekten o kişi, uygulama ya da web servisi olduğunun tespiti gerekmektedir. Kimlik doğrulama olmaksızın bir bilgi güvenliği düşünmek olanaksızdır. Şifre, OTP, biyometrik kimlik doğrulama gibi çeşitli kimlik doğrulama yöntemleri bulunmaktadır.

  • İnkâr Edilemezlik

Bu prensibi, log kayıtlarının tutulması prensibiyle de birlikte değerlendirmek mümkündür. İnkâr edilemezliğin sağlanması için bütünlüğü korunmuş, tutarlı bir log kayıtlarının tutulması mekanizması gerekmektedir.

  • Güvenilirlik

Bilişim sisteminden beklenen sonucun üretilmesi ve elde edilen sonuçlar ile beklenen sonuçların tutarlılık durumudur. (Çek, 2017, p.4-6).

Sık Karşılaşılan Güvenlik Saldırıları

Bilgi güvenliğini tehdit eden saldırılar üç ana başlıkta gruplandırılabilir.

  • Gizliliği Tehdit Eden Saldırılar

Genel olarak, iki tür saldırı, bilginin gizliliğini tehdit eder: gözetleme ve trafik analizi. Ağ trafiğini dinleme (Snooping), verilere yetkisiz erişime veya veri kesme işlemine yönelik olarak gerçekleştirilir. Trafik analizi ise bir saldırganın çevrimiçi trafiği izlenerek toplanan değişik türdeki bilgileri elde etme işlemidir.

  • Bütünlüğü Tehdit Eden Saldırılar

Verilerin bütünlüğü çeşitli saldırılarla tehdit edilebilir. Bu saldırılara örnek olarak değiştirme, maskeleme, tekrarlama ve reddetme verilebilir.

  • Erişilebilirliği Tehdit Eden Saldırılar

Hizmet dışı bırakma (DOS) saldırıları ve dağıtık hizmet dışı bırakma saldırıları (DDOS), bir sistemin hizmetini yavaşlatabilir veya tamamen kesebilir. Saldırgan bunu başarmak için çeşitli stratejiler kullanabilir. Sistemi çok meşgul edebilir, çökertir ya da bir yönde gönderilen iletileri kesebilir ve gönderme sistemini iletişim veya mesajdaki taraflardan birinin mesajı kaybettiğine ve tekrar gönderilmesi gerektiğine inanmasına neden olabilirler. (Kurt Kaya, 2017, p.4-8).

Sonuç

            Sonuç olarak bütün bu bilgileri ele aldığımızda kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmektedir.

KAYNAKÇA

  • Kurt Kaya, G. (2017). Bilgi Güvenliği ve Siber Güvenlik Kapsamında Bakanlık Uygulamaları için Güvenli Yazılım Geliştirme Metodolojisi Önerisi (Master’s thesis).
  • Eroğlu, Ş. (2018). Dijital Yaşamda Mahremiyet (Gizlilik) Kavramı ve Kişisel Veriler: Hacettepe Üniversitesi Bilgi ve Belge Yönetimi Bölümü Öğrencilerinin Mahremiyet ve Kişisel Veri Algılarının Analizi. Hacettepe Üniversitesi Edebiyat Fakültesi Dergisi, 131-153.
  • Çek, E. (2017). Kurumsal Bilgi Güvenliği Yönetişimi ve Bilgi Güvenliği İçin İnsan Faktörünün Önemi (Master’s thesis).
  • Photo by Rob Sarmiento on Unsplash

 


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Makaleler

Meslek Etiği

İçindekiler
Giriş 
Etik – Felsefe İlişkisi
Mesleki Etik Kavramı
Meslek Etiğinin İlkeleri
Meslek Etiği İlkelerinin Yararları
Mesleki Etiğe Uygun Davranışların Sonuçları
Sonuç
Kaynakça

Giriş 
Toplumda her meslek grubuna ihtiyacımız var. Daha da önemlisi meslek gruplarının işlerini iyi yapmasına ihtiyacımız var. İşte mesleki etik kuralları sahip olduğumuz mesleği icra ederken bize belirli çizgiler çizerek yol gösteriyor. Bu yazıda sizleri mesleki etik kavramı üzerine bilgilendirmek istedim.

Etik – Felsefe İlişkisi

Bugün ‘etik’ adı altında karşımıza çıkan ahlakların ve ahlaklılık bildirgelerinin ya da “meslek etiklerinin” de yaşamımızda önemli bir yeri vardır; ama felsefi bilgiyle oluşturuldukları ve değerlendirildikleri takdirde ve kendilerine özgü işlevleri bilindiği takdirde yaşamımızda yerleri vardır. Etik değer koruyarak yaşayabilmek ve mesleğimizi etik değer koruyarak yapabilmek için, normlardan ziyade etik değerin ve etik değerlerin felsefi bilgisine dayanan felsefi bir eğitime ihtiyaç vardır. Çünkü böyle bir eğitim, yüz yüze geldiğimiz durumlarda, insan onurunun nerede tehlikede olduğunu gören bir göz kazanmamıza yardımcı olabiliyor.( TMH – TÜRKİYE MÜHENDİSLİK HABERLERİ SAYI 423 – 2003/1)

Mesleki Etik Kavramı

İş hayatındaki davranışları yönlendiren, onlara rehberlik eden etik prensipler ve standartların toplamına “mesleki etik” denilmektedir. Belirli bir meslek grubunun, meslek üyelerine emreden, onları belli kurallarla davranmaya zorlayan kişisel eğilimlerini sınırlayan, yetersiz ve ilkesiz üyeleri meslekten dışlayan, mesleki rekabeti düzenleyen ve hizmet ideallerini korumayı amaçlayan mesleki ilkelerdir. Tarihsel süreç içerisinde, insanoğlunun ihtiyaç duyduğu her türden mal ya da hizmet üretimi çeşitli meslek gruplarının doğmasına neden olmuştur. Bu meslek grupları zamanla örgütlenip bir takım ilkeler belirlemiştir. Bu ilkelerin arasında, etik-ahlaki değerler önemli bir yer tutmuştur. Mesleki etik bir öz denetim düzeneği gibi çalışır fakat diğer denetim biçimlerinden farklı olarak içseldir ve manevi bir nitelik taşır. Meslek etiği; genel ahlaki ilkelerin söz konusu meslek özelinde yeniden yazılmasıdır. (MEGEP, 2006, 23-25)

Meslek Etiğinin İlkeleri Nelerdir?

Meslek Etiği kavramı belli ilkeler altında açılım gösterir. Bu ilkeler bütünü meslek etiğini ayakta tutar. Bu ilkeleri beş ana başlıkta inceleyebiliriz.

Mesleğe Bağlılık İlkesi

Meslek etik ilkelerinden birisi mesleğe bağlılıktır. Kişinin yaptığı mesleği benimsemesi, önemsemesi ve en iyi şekilde yapmaya çalışmasıdır. Mesleğe bağlılık kişinin mesleği sevmesine, daha rahat yapmasına ve gelişmek için çaba göstermesine yardımcı olur.

Yasallık İlkesi

İş hayatında çalışan haklarından üretim süreçlerine kadar her aşamada yasalara bağlı kalmak meslek etiğinin bir ilkesidir. Günümüzde gerek çalışan haklarını, gerek üretim ve pazarlama süreçlerini düzenleyen yasalar mevcuttur. Çalışma hayatında bu yasalara uyulması keyfi davranışlardan kaçınılması meslek etiği kapsamında dikkat edilmesi gereken konulardandır.

Doğruluk İlkesi

Doğruluk ilkesine bağlı kalmak istiyorsak, iş birliklerinde ya arkadaşlıklarında kurduğumuz ilişkilerde samimiyetten, içtenlikten söz etmemiz gerekir. İş ilişkilerinde en önemli şeylerden birisi de güven unsurudur. Güven unsurunu zedeleyecek her türlü davranıştan kaçınmalı herkes tarafından kabul görmüş doğrulardan ayrılmamalıyız. İş hayatı içerisinde doğru davranışlarda bulunmak, yalandan uzak durmak, iş kurallarına uymak ve dürüst olmak dikkat edilmesi gereken meslek etiği ilkelerindendir.

Yeterlilik İlkesi

İş dünyasında her gün her şey değişmektedir. Yeni bir gelecek inşa olurken teknolojinin hızla ilerlemesi, dünya trendlerinin değişmesi iş dünyasında var olan sisteme ayak uydurabilmek için kişileri değişmeye zorlamaktadır. Bu noktada meslek ilkelerine bağlı kalmak isteyen bireylerin bu değişime ayak uydurması, yetersiz olduğunu düşündüğü noktalarda gelişmeye çalışması meslek etiğinin bir gerekliliğidir.

Güvenilirlik İlkesi

Meslekten öte insan ilişkilerinin en temel unsurlardan birisi güvendir. İlişkiler güven temelinde gelişirse olgunlaşabilir. İş hayatı için de bu geçerlidir. Yaptığınız iş ne olursa olsun ilişki kurduğunuz kişilerin güvenini sağlamak ve bu güveni korumak asli görevlerimizden biri olmalıdır. 

Meslek hayatınızda, mesleki etik kurallarına uymak size bir çok şey kazandırır. Ekip çalışmasının gücünü ve verimini artırır. Çalışanlar birbirine saygı duyarken kuruma bağlılık geliştirirler. Öz denetim mekanizmasını geliştireceği için sürekli denetleme ihtiyacını ortadan kaldırır. (Uslu, 2019)

Meslek Etiği İlkelerinin Yararları

Meslek etiği ilkeleri ile aynı işlevi gören mesleki etik kodlar da söz konusudur. Etik
kod, çalışanların hangi davranışlarının kabul edilebilir bulunduğuna ilişkin olarak yol gösteren, meslek ya da kurum tarafından beklenen resmi ifadelerdir (Ferrel ve Fraedrich,1994, 170). Meslek etiği ilkeleri ya da kodları aşağıdaki yararları sağlar:

  1. Meslektaş baskısı sağlayarak bireyleri etik davranış göstermeye motive eder
  2. Bireylerin kişilikleri yerine doğru ya da yanlış eylemler konusunda daha tutarlı ve kararlı bir rehberlik sağlar
  3. Belirsiz durumlarda nasıl davranılacağı konusunda rehberlik eder
  4. Yönetici ya da patronların otokratik gücünü kontrol eder
  5. Kurumların toplumsal sorumluluklarını tanımlar
  6.  Kurumun ya da mesleğin çıkarlarına hizmet eder.  (İnayet, 2011, 3)

 

Mesleki Etiğe Uygun Davranışların Sonuçları

İş hayatında etik değerlere uygun davranışlarda bulunmanın çeşitli sonuçları vardır. İş hayatındaki etik davranışların olumlu sonuçları olarak şunları sayabiliriz;

İş ortamında saygınlık kazanma  
İş ortamında ki güvenilirlik 
İş dünyasında iyi bir imaja sahip olma  
İş hayatında karşılaşılacak problemlerin çözümünde kolaylık görme 
Etik değerlerle kalite yönetimi, stratejik planlama gibi alanların yönetilmesine de yardımcı olma  
Etik değerlerle kurumların sosyal sorumluluklarını düzenli bir şekilde yerine getirmesini sağlama  
Etik değerlerle haksız rekabetin engellenmesini sağlama  
İş ortamında kabul görme (MEGEP, 2006, 35)

Sonuç

Mesleki etik kavramıyla ilgili yaptığım araştırmalar sonucunda belirtmek isterim ki bir mesleği icra  etmekle, bir mesleği erdemle icra edebilmek arasında çok büyük bir fark var. Kişiler herhangi bir alanda meslek sahibi olabilir. Fakat bu durum bize kişinin mesleğini her zaman etik ilkelere bağlı kalarak yapacağının garantisini veremez. Mesleki etiğin bazı kuralları her ne kadar kurum tarafından denetlenebilir olsa da ben bu konunun insanın vicdanına kalmış bir mesele olduğunu düşünmekteyim. Sadece mesleki olarak değil hayatımızın her alanında etik normları korumak, belirli değer yargılarına uymak durumundayız. Toplumun bu değerler sistemine göre hareket etmesi için ise ahlak felsefesi ve mesleki etik eğitimlerini daha da önemli kılmalıyız.

Kaynaklar

İoanna KUÇURADİ, TMH – TÜRKİYE MÜHENDİSLİK HABERLERİ SAYI 423 – 2003/1
http://www.imo.org.tr/resimler/ekutuphane/pdf/282.pdf

Şerife Kütük, MEGEP, 2006
(Meslek Etiği, T.C. Milli Eğitim Bakanlığı, Mesleki Eğitimi Ve Öğretimi Güçlendirilmesi Projesi, Syf: 23-25 Ankara, 2006.) 
https://www.academia.edu/

Kübra Uslu, 2019
https://www.iienstitu.com/blog/mesleki-etik-nedir

Aydın İnayet, 2011, 3
https://web.archive.org/web/20111025145248/https://www.tbmm.gov.tr/etik_komisyonu/belgeler/makale_KamudaEtik-InayetAydin.pdf

Şerife Kütük, MEGEP, 2006
(Meslek Etiği, T.C. Milli Eğitim Bakanlığı, Mesleki Eğitimi Ve Öğretimi Güçlendirilmesi Projesi, Syf: 35 Ankara, 2006.) 
https://www.academia.edu/

Görsel: Gerd Altmann 
https://pixabay.com/tr/photos/el-s%C4%B1k%C4%B1%C5%9Fma-eller-diz%C3%BCst%C3%BC-bilgisayar-3382503/

 


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

 

 

 

 

Kategoriler
Bilişim Etiği

AĞ GÜVENLİĞİ

İçindekiler

  • Giriş
  • Ağ Güvenliğinin Tarihçesi
  • Ağ Güvenliği Nedir?
  • Ağ Güvenliğinin Önemi
  • Ağ Güvenlik Politikaları
  • Ağ Güvenliği Nasıl Sağlanır?
    • Güvenlik Duvarı(Firewall)
    • VPN (Virtual Private Networks)
    • Antivirüs
    • IDS (Saldırı Tespit Sistemleri)
    • Web Filtreleme Çözümleri (Url Filtering)
    • Güçlü Tanılama (Strong Authentication)
  • Sistem Ve Ağ Güvenliği Konusunda Alınacak Önlemler!
  • Ağ Cihazlarının Güvenliğini Sağlama Yöntemleri
  • Virüsler, Solucanlar (Worms) Ve Truva Atları (Trojan Horses)
  • Sonuç
  • Kaynakça

GİRİŞ

Bilgisayar ağları, bilgi alışverişinin çok hızlı bir şekilde gerçekleştiği ve bilgiye kolay ulaşım sağlayan bir bilgi havuzudur. Bu ortamı oluşturan ve önemli verileri içerisinde barındıran ağ güvenliğinin önemi de gün geçtikçe artmaktadır.
Dev bir bilgisayar ağı ve bunun sonucu oluşan İnternet herkes için vazgeçilmez bir bilgi kaynağıdır. Bütün mesleklerde bilgisayar kullanılması, kişisel bilgisayarların her eve girmesi, İnternete ulaşmanın çok kolay ve ucuz bir hâle gelmesi istisnasız her bilgisayarın bir bilgisayar ağına bağlı olması anlamına gelmektedir.

Bilgisayar sistemlerine ve ağlarına yönelik saldırılar ciddi miktarda para, zaman, prestij ve değerli bilgi kaybına neden olabilir. Bu saldırıların hastane bilişim sistemleri gibi doğrudan yaşamı etkileyen sistemlere yönelmesi durumunda kaybedilen insan hayatı da olabilir.
Bilgisayar ağlarının bu denli önemli hâle gelmesi ile birlikte ağ güvenliğini sağlama konusunda bilgi sahibi olma ve işine hâkim olan teknik elemanlara ihtiyaç da artmıştır.

AĞ GÜVENLİĞİNİN TARİHÇESİ

Temmuz 2001’de web serverlara yapılan Code Red solucanı atağından 350 binden fazla host virüslendi. Solucan sadece enfekte sunuculara erişimi engellemekle kalmadı onları çok yavaş ve kullanılamaz hale getirdi. Code Red solucanı milyonlarca kullanıcıyı hizmet dışı (Dos) bıraktı. Ağ güvenliği uzmanları olaydan sorumlu olarak bu Code Red bulaşmış sunucularla ilgili politika geliştirmiş ve uygulamış olsalardı, güvenlik yamaları çok kısa sürede uygulanmış olurdu. Code Red yayılmadan durdurulmuş ve ağ güvenliği tarihinde dip not olarak kalırdı. (Üniversitesi, D. (2017). BİLGİSAYAR AĞ GÜVENLİĞİ)

“Zorunluluk buluşun anasıdır.” Bu deyiş, ağ güvenliği için tam olarak geçerlidir. İnternetin ilk günlerinde, ticari işler ihmal edilebilir derecede azdı. Kullanıcıların büyük çoğunluğu araştırma ve geliştirme uzmanlarıydı. İlk kullanıcıların nadiren de olsa diğer kullanıcılara zarar verecek faaliyetlerde bulunabilirdi, çünkü İnternet güvenli bir ortam değildi. ( Üniversitesi, D. (2017))

İlk virüsler yayınlanmaya başladığı ve ilk DoS atakları olmaya başladığı zaman, ağ profesyonellerinin dünyası değişmeye başladı. Kullanıcıların ihtiyaçlarını karşılamak için, ağ uzmanları ağlarını güvenli hale getirmek için teknikler öğrendi. Birçok ağ uzmanı için birincil odak, tasarım, kurulum ve genişlemeden ziyade mevcut ağların güvenliği olmaya başladı. Bugün, İnternet 1960’lı yıllardaki başlangıcına kıyasla çok farklı bir ağdır. Bir ağ güvenliği uzmanı ağ güvenlik araçları, süreçleri, teknikleri, protokolleri ve teknolojiler konusunda çok bilgili olması gerekir. Ağ güvenliği tehdit önleme araçlarının sayısı arttıkça, bu konuda bilinmesi gereken bilgi miktarı azalmıştır. Bazı tehditlerin ortaya çıkış tarihleri şöyledir: ( Üniversitesi, D. (2017))

• 1978’de ilk Spam ArpaNet üzerinden gönderildi.
• 1988’de Morris İnternet solucanı yayınlandı
• 1999’da Melissa e-mail virüsü
• 2000’de Mafiaboy DoS atağı, Love Bug solucanı, L0phtCrack şifre kırıcı yayınlandı
• 2001’de Code Red DoS atağı
• 2004’de botnet saldırısı (Amerikan Askeri Sistemlerine)
• 2007’de Storm botnet ve kredi kartı bilgilerinin dağıtımı
• 2008’de veri çalma
• 2011’de Sony Play Station ağı haklendi.

Ağ güvenliği günlük işlerin bir parçası olmaya başladığından beri, güvenlik için özel fonksiyonlara sahip cihazların üretimi başlamıştır. İlk güvenlik araçlarından biri saldırı tespit sistemleridir (intrusion detection system-IDS). SRI, 1984’de ilk IDS’i piyasaya sürdü. IDS gerçek zamanlı olarak saldırı tespit etmeye yarar. Bu araç ağ güvenlik uzmanının çok daha hızlı biçimde atakları azaltma işini yapmasına imkan sağlar. 1990’ların sonunda IDS’ler yerini saldırı önleme sistemlerine (intrusion prevention system-IPS ) bırakmaya başladı. IPS cihazları kötü niyetli faaliyeti algılanmasını sağlar ve otomatik olarak gerçek zamanlı saldırıyı engelleme yeteneğine sahiptir. IDS ve IPS cihazlarına ek olarak, ağa önceden belirlenmiş kurallar çerçevesinde istenmeyen trafik girişini engellemek için firewall cihazları geliştirildi. 1988’de DEC (Digital Equipment Corporation) paket filtreleme modunda çalışan ilk firewall’u üretti. İlk firewall cihazları belirli kurallara göre paketleri geçiren ya da durduran cihazlardı. 1989’da AT&T firması ilk stateful firewall’u üretti. Paket filtre modunda çalışan firewall’a benzer biçimde stateful olanı da trafiğe izin verir veya yasaklar. Buna ek olarak kurulmuş olan bağlantıyı izleyerek ters yön trafiğine de izin verir ve diğer güvenlik ilkelerinin uygulanmasını da hızlı biçimde sağlar. İlk firewalllar router gibi mevcut cihazların üzerine yazılımla özellik eklenerek oluşturulurdu. Zamanla birkaç firma tek başına çalışan firewall cihazları ürettiler. Cisco Adaptive Security Appliance (ASA) ismini verdiği paket filtre modunda cihazı üretti. Sonraları firmalar birkaç işi bir arada yapan cihazlar üretti. Örneğin Cisco Integrated Services Router (ISR) adlı stateful cihazı üretti. Teknolojik gelişmelere bağlı olarak bulut üzerinde çalışan güvenlik cihazları da üretildi. Cisco Security Intelligence Operations (SIO) ürünü ile bulut tabanlı servis veren, küresel tehdit bilgilerini toplayabilen, reputation (itibar) bilgileri tutabilen ve analiz yapabilen bir ürün geliştirdi. ( Üniversitesi, D. (2017))

Ağ Güvenliği Nedir?

Ağ güvenliği, ağ trafiğini de kapsayan dijital varlıkları korurken, izinsiz ağ saldırılarını izlemek, önlemek ve bunlara yanıt vermek için tasarlanmış araçları, taktikleri ve güvenlik politikalarını tanımlayan bir terimdir. Ağ güvenliği, donanım ve yazılım teknolojilerini (bilgili güvenlik analistleri, avcılar, olay yanıtlayıcıları vb. kaynaklar dahil) içerir ve ağınızı hedef alan tüm potansiyel tehditlere yanıt vermek üzere tasarlanmıştır.( Teknokavram. (2017, Mart 2). Ağ Güvenliği Nedir?)

Başka bir deyişle, yanlış insanları hassas verilerinizden uzak tutmak için kullandığınız savunmalardır.
Hackerler içeri girmeye çalışıyor; ağ güvenliği onları uzak tutar. Bu tanım içinde, herhangi bir ağ güvenliği stratejisinin temeli olarak hizmet etmesi gereken üç ana odak var: koruma, saldırı tespit ve saldırı engelleme.
Koruma: Ağınıza kötü niyetli kişilerin girmesini önlemek için tasarlanmış herhangi bir araç veya politika gerektirir.
Algılama: Ağ trafiğini analiz etmenize ve zarar vermeden önce sorunları hızla tanımlamanıza olanak sağlayan kaynakları ifade eder.
Müdahale: Tespit edilen tehditlere tepki verme ve mümkün olduğunca çabuk çözme yeteneğidir.( Teknokavram. (2017, Mart 2))

AĞ GÜVENLİĞİNİN ÖNEMİ

Devletlerin ve içerisinde yaşayanların öncelikli ve ortak hedefi; her türlü tehditlerden korunmak ve bu amaçlar doğrultusunda tedbirler almaktır. Tüm canlılar ve canlı ruhuna bürünmüş olan firmalar, kurumlar ve devletlerin varlığını sürdürmek için her türlü kanaldan gelebilecek saldırılara karşı güvenliğini sağlaması gerekmektedir.
Günümüze kadar gelen klasik güvenlik anlayışı kapsamında tüm devletler hayati önem taşıyan güvenlik anlayışı için bir takım tedbirler almışlardır. Hukuki düzenlemelerin yapılması, polis teşkilatları, istihbarat teşkilatları ve askeri teşkilatların kurulması güvenlik ihlallerini engellemek için doğan doğal bir ihtiyaçtır.( CyberMag. (2020, ŞUBAT 13). Ağ Güvenliği Temelleri. )

Özellikle 2000’li yıllardan sonra bilgi ve iletişim teknolojilerinin hızlı bir şekilde gelişmesi tüm bireylerin ve kurumların tüm çalışmalarını bilgisayar ve bağlı olduğu ağlar üzerinden yapmaları ve hayatımızın her alanında teknolojinin kullanılması güvenlik olgusuna yeni yaklaşımları da beraberinde getirmiştir. Teknolojiden vazgeçemeyen toplumlar güvenliği artırma yoluna gitmektedirler. Hiç şüphesiz yeni güvenlik ihtiyaçları da eskiden gelen güvenlik ihtiyaçları kadar önem taşımaktadır. Bu nedenle özellikle büyük ağ sistemlerine sahip kurum ve kuruluşlar başta olmak üzere en değerli veri olan bilginin korunması için önlem alınması tüm taraflar için zorunlu hale gelmiştir. ( CyberMag. (2020, ŞUBAT 13))

Ağ güvenliği gün geçtikçe daha da önem kazanan bir konudur. Çok büyük öneme sahip özel ve kurumsal bilgilerin internet gibi global ve güvensiz bir ortamda dolaşması güvenlik kaygılarının artmasına sebep olmaktadır.
Ağ güvenliği genel olarak, bir kurumun veri iletişiminde kullandığı tüm kaynakların güvenli olup olmamasını konu edinmektedir. Sahip olunan kaynaklara yetkisiz ve illegal sebeplerle kötü amaçlı erişimleri engellemek ve verinin dolaşımı sırasında mahremiyetini, bütünlüğünü ve özelliğini korumak ağ güvenliği kapsamında yapılmaktadır.( CyberMag. (2020, ŞUBAT 13))

İş yerine bir hırsız girmeden önlem almak çoğu kişi için masraf kalemi olarak görülebilmektedir. Ancak ne zaman değerli varlıklarımızı kaybedersek güvenlik önlemlerini almadığımız için üzülürüz. Kıt kaynaklar nedeni ile bilgi işlem personeli, siber güvenlik personeli yada network güvenlik önlemleri almayan bir firmanın vahşi internet ortamından payını alması kaçınılamazdır. Dünya artık eski dünya değildir. ( CyberMag. (2020, ŞUBAT 13))

Firmaların Ağınız ne kadar güvenli?
Ağınızda güvenlik açıkları varmı?
Bugüne kadar alınan güvenlik tedbirleri nelerdir?
sorularına verilecek cevabı bugün gözden geçirmeleri gerekmektedir. Çünkü yarın çok geç olacaktır.

AĞ GÜVENLİK POLİTİKALARI

Ağ güvenliği politikası bir kuruluşun faaliyetleri ile ilgili tasarlanmış geniş, uçtan uca belgedir. Politika, ağ tasarımına yardımcı olur, güvenlik ilkelerini ve ağ uygulamasını kolaylaştırır. Ağ güvenlik politikası ile ağ erişimi için kurallar, politikaların uygulama ilkeleri ve kurumun ağ güvenlik ortamının temel mimarisi açıklanır. Onun kapsamı ve etkisi, geniş bir komite tarafından oluşturulmasından kaynaklanır. Politika belgesi veri erişimi, web görüntüleme, şifre kullanımı, şifreleme ve e-posta ekleri gibi öğeleri yönetme amaçlı bir kompleks belgedir. Güvenlik politikası kötü niyetli kullanıcıların ortaya çıkaracağı potansiyel riskleri içermelidir.( Üniversitesi, D. (2017). BİLGİSAYAR AĞ GÜVENLİĞİ – Ağ Güvenliği Politikası.)

Cisco’nun SecureX mimarisi her hangi bir kullanıcının, herhangi bir cihazı her hangi bir zamanda herhangi bir yerden kullanımı için etkili güvenlik sağlamak için tasarlanmıştır. Bu yeni güvenlik mimarisi tüm durumları (kim, ne, nereye, nasıl, ne zaman) dikkate alan yüksek seviyeli politika dili kullanır. Oldukça dağıtık güvenlik politikası zorlaması ile son kullanıcı nerede çalışıyorsa ona yakın hale getirilir.
Bu mimari şu elemanları içerir:
• Tarama motorları
• Dağıtım mekanizmaları
• Güvenlik istihbarat operasyonları
• Politika yönetim konsolları
• Yeni nesil son nokta

Kullanıcı hareketliliğinin artması, tüketici cihazlarının çoğalması ve bilginin gelenekselin dışında hareketi BT altyapısının güvenliğini karmaşık hale getirdi. Bölük pörçük güvenlik çözümleri uygulama iki kat insan gücü, maliyet ve uygunsuz erişim politikalarına yol açabilir. Cisco Securex ürünleri herhangi bir zaman, herhangi bir yerden, herhangi bir aygıtı kullanan herhangi bir kullanıcı için etkin güvenlik sağlamak için komple çözüm sunar. Bu neden Cisco Securex mimarisi kullanmanın gerekçelerinden biridir.( Üniversitesi, D. (2017)

Güvenlik politikası şu sorulara cevap verebilmelidir. Kullanıcıların ihtiyaçları nelerdir? Hangi işlemler, veri veya bilgi sistemleri sizin için veya kurumunuz için kritik öneme sahiptir? Hangi durumlarda kurumunuzun işleyişi kesintiye uğrar veya tamamen durur?

AĞ GÜVENLİĞİ NASIL SAĞLANIR?

Güvenlik Duvarı(Firewall)

Resim1:(McCormack. (2007, EKİM 15))

Firewall’lar, yerel ağınızla dış ağ arasındaki güvenlik kontrol yazılımları/cihazlarıdır. Firewall ilk kurulduğunda bu nokta üzerindeki bütün geçişleri durdurur. Daha önceden belirlenen politikalar dahilinde hangi data paketinin geçip geçmeyeceği, hangi geçişlerde parola doğrulaması yapılacağı gibi bilgiler firewall kural tablolarına eklenir. Bu sayede sisteme ulaşan kişi ve bilgi trafiği kontrol altına alınmış olur. İçerideki/dışarıdaki sistemlere kimlerin girip giremeyeceğine, giren kişilerin hangi bilgisayarları ve hangi servisleri kullanabileceğini firewall üzerindeki kurallar belirler.( Bilişim, R. (2020). Ağ Güvenliği Nasıl Sağlanır?)
Firewall yazılımı, adresler arası dönüştürme-maskeleme(NAT) sayesinde LAN(Local Area Network) deki cihazların IP adreslerini gizleyerek tek bir IP ile dış ağlara erişimini sağlar. Adres saklama ve adres yönlendirme işlemleri firewall üzerinden yapılabilir. Böylece dış dünyadaki kullanıcılar yerel ağdaki kritik topoloji yapısını ve IP bilgisini edinemezler. Firewall yazılımı kendi üzerinde belirtilmiş şüpheli durumlarda sorumluları uyarabilir(e-mail, SNMP, vb.).
Gelişmiş firewall yazılımları üzerinden geçen bütün etkinlikleri daha sonradan incelenebilmesi için kaydederler. Ek bir lisans yada modül ile birlikte VPN(Virtual Private Network) denilen yerel ağa gidip gelen bilgilerin şifrelenmesi ile uzak ofislerden yada evden internet üzerinden güvenli bir şekilde şirket bilgilerine ulaşmak mail vb. servisleri kullanmak mümkün olmaktadır. Bu şekilde daha pahalı çözümler yerine(lised line yada frame relay) Internet kullanılabilir. Yalnız uzaktaki kullanıcıların güvenliği burada ön plana çıkmaktadır. Dışarıdan bağlanan kişinin gerçekten sizin belirlediğiniz yetkili kişi olup olmadığı önemlidir. Bu kişilerin şifresini ele geçirenler sisteminize o kişilerin haklarıyla ulaşabilirler. Bu noktada kişisel firewall ve dinamik şifre üreten tokenlar devrede olmalıdır.( Bilişim, R. (2020))

Günümüzdeki gelişmiş firewall sistemleri içerik denetleme işlemi yapmamakta bu tip hizmetleri firewall sistemleriyle entegre çalışan diğer güvenlik sistemlerine yönlendirmektedir. Bu sayede güvenlik firmaları sadece odaklandıkları ve profesyonel oldukları konularda hizmet vermekte, kullanıcı da bu ayrık sistemlerden kendisi için uygun olan çözümleri tercih etmektedir. Örneğin gelen bilgilerin içerisinde virüs olup olmadığı yada atak yapılıp yapılmadığı firewall tarafından kontrol edilmez. Kurallarda belirtilmişse kendisi ile entegre çalışan sisteme data paketini yönlendirir. Tarama işlemi diğer makinada yapıldıktan sonra paket tekrar firewall a geri döner. ( Bilişim, R. (2020))

 

Firewall yazılımının yönetim konsolu merkezi yönetim amaçlı olarak ayrı makinelere yüklenebilir. Yönetim ile ilgili kurallar, trafikle ilgili kayıtlar(log) ayrı sistemlerde tutulabilir. Kullanıcı grafik ara yüzü ile uzak makinelerden kolayca yönetim yapılabilir ve mevcut kullanıcı bilgileri (LDAP) uygulamalarından alınabilir. Aktif bağlantılar görüntülenip gerektiğinde ana güvenlik politikalarına engel olmadan bağlantılara müdahale edilebilir. Bant genişliği yönetimi sağlayan sistemlerle entegre olabilir. ( Bilişim, R. (2020))

Firewall yazılımları/cihazları güvenliğin yapı taşları olup sistem içerisindeki diğer güvenlik yazılım/cihazları ile uyumlu çalışmakta ve gelecekteki güvenlik teknolojilerine taban teşkil etmektedirler. Firewall yazılımı kesinlikle şart olmasına rağmen güvenlik için tek başına yeterli değildir. ( Bilişim, R. (2020))

VPN (Virtual Private Networks)

Resim2:(ATMACA, K. (2019, ARALIK 20))

VPN sayesinde hem maliyetlerimizi azaltmamız hem de daha önceden güvenli olmadığı, ayrıca pahalı olduğu için yapamadığımız farklı mekanlardaki PC ve LAN’ları internet üzerinden aynı platformlara taşımamız mümkün. Bu sayede evimizdeyken şirketimize bağlanıp sanki oradaymış gibi güvenli bir şekilde şirket kaynaklarına ulaşmamız, maillerimizi kontrol etmemiz, Intranet’i kullanmamız mümkün olmaktadır. ( Bilişim, R. (2020))

Bu sayede mobil çalışanlarımızı, uzak bürolarımızı, bayilerimizi, iş ortaklarımızı bizim belirlediğimiz kriterlere göre şirket içi kaynaklarından faydalanmalarını sağlayabiliriz. Lised lines ve frame-relay hatların pahalı çözümlerine alternatif olarak Internet’i kullanabiliyoruz. Tabi akla gelen ilk soru Internet üzerinde bilgi alışverişi yapılırken bilgilerimiz ne derece güvende. VPN teknolojilerinde taraflar arasında karşılıklı şifreleme söz konusu ve bu şifreleme teknolojileri oldukça gelişmiş durumda. Güvenlik için bilgiler karşılıklı dijital olarak imzalanır, sonra bu paketler uluslar arası standartlara uygun çeşitli protokollerden biri tarafından şifrelenir ve karşı tarafta da benzer şekilde açılır. Yalnız VPN sadece bilgi gidip gelmesi sırasındaki güvenliği kapsadığından karşılıklı yapıların firewallar tarafından korunması gerekmektedir. Sizin bölgeniz çok güvenli olabilir ama size bağlanan evdeki bilgisayarın güvenliği de önemlidir. Çünkü dışarıdan içeri normal şartlarda sızamayan kişiler zincirin en zayıf halkasından içeri sızabilirler. ( Bilişim, R. (2020))

VPN uygulamalarında dikkat edilmesi gereken karşılıklı bağlantılar sırasında statik şifre kullanılmamasına dikkat edilmesi token/smart card benzeri çözümlerle desteklenmesi gerekir.

Antivirüs

Resim3:(AleksandarK. (2020, OCAK 30))

Ev kullanıcılarından büyük şirketlere herkes antivirüs çözümü kullanması gerektiğinin farkındadır. Kurumların ihtiyaçlarını ev kullanıcıları gibi düşünemeyiz. Artık eski sistem desktop bazlı korumalar tek başına yeterli olmamaktadır. Örneğin bu tip bir sistem bilgisayarın açılması sırasında daha virüs koruma yazılımı devreye girmeden ağdaki virüslenmiş bir sistem tarafından dosya paylaşımından faydalanarak sisteme girip antivirüs korumasını devre dışı bırakabilmektedir. Yada son günlerde tanık olduğumuz sistem açıklarını kullanarak yayılan “worm”larda olduğu gibi. Bu yüzden yeni teknolojilerde virüslerin merkezi bir yapı tarafından daha yerel ağa girmeden önce taranması fikri esas alınmaktadır.( Bilişim, R. (2020))

Virüslerin en çok yayıldığı servisler olan e-mail, http ve ftp trafikleri firewall mantığı esas alınarak antivirüs ağ geçidine yönlendirilir. Buradaki tarama işleminden sonra gerekli yerlere yönlendirilme yapılır. Bu sistemle dışarıdan gelecek olan virüsler engellenmiş olur. Mail sunucuları üzerine kurulan anti virüs sistemiyle yerel ağ içerisinde e-mail aracılığıyla dolaşan virüslerde etkisiz hale getirilmiş olur. ( Bilişim, R. (2020))

Sunucu bilgisayarları üzerine kurulacak virüs koruma yazılımları ve şirket çalışanlarının sistemlerini kontrol edecek yazılımlarla kurumsal anti virüs çözümü sağlanmış olur.
Bütün bu virüs sistemlerinin tek bir merkezi noktadan kontrolü ve tek bir noktadan anti virüs güncelleme dosyalarının alınıp dağıtılması yapılabilmektedir. İstenirse firewall la entegre çalıştırılabilmektedirler. Otomatik olarak gerektiğinde her saat başı yeni güncelleme dosyaları alınabilmektedir. Bu sistemlerle ayrıca rahatsız edici mailleri engellemek, içerdiği kelimelere yada eklerine göre silme/arşivleme vb. işlemler yapılabilmekte kısaca mail yönetimi sağlanabilmektedir. ( Bilişim, R. (2020))

Kurumsal Anti virüs Koruması seçerken dikkat edilmesi gerekenler
Virüs taraması yaparken performans kaybı yaşanmamalıdır. Mümkünse uluslararası sertifikaları sorulmalıdır. Her türlü zararlı kodlara karşı tarama yapabilmelidir (Trojans, droppers, ActiveX ve Java) Müşteri tarafına her türlü yoldan zararlı kodların ulaşabileceği düşünülmeli sunulan çözüm bütün zararlı kodları tesirsiz hale getirebilmelidir. Sizi virüslerin çoğundan değil hepsinden koruyan sistemlere ihtiyacınız olacaktır. Sorunla karşılaşıldığında servisini ve desteğini alabileceğiniz ürünlere yönelin. Sisteminize entegre olup olmayacağını sorun çünkü yeni teknoloji virüs tarayıcılar firewall sistemleriyle proxylerle mail sunucularıyla entegre çalışabilmektedir Bütün virüs sistemini mümkünse tek yerden yönetebileceğiniz sistemleri seçmeniz avantajınıza olacaktır. Merkezi raporlama ve otomatik güncelleme (yeni virüslere karşı) yapması da işlerinizi kolaylaştıracaktır. ( Bilişim, R. (2020))

IDS (Saldırı Tespit Sistemleri)

Saldırı Tespit Sistemleri, Internet dünyasının gelişim sürecinde özellikle tüm dünyada kullanılan web trafiğinin artması ve de web sayfalarının popüler hale gelmesi ile birlikte kişisel ya da tüzel sayfalara yapılan saldırılar sonucu ihtiyaç duyulan en önemli konulardan biri haline gelmiştir. Bununla birlikte kurum ya da kuruluşların sahip oldukları ve tüm dünyaya açık tuttukları mail, dns, database gibi sunucularının benzeri saldırılara maruz kalabilecekleri ihtimali yine Saldırı Tespit Sistemlerini Internet Güvenliği alanının vazgeçilmez bir parçası haline getirmiştir. Kurumların sahip oldukları çalışan sayısı ve bu çalışanların kendi kurumlarındaki kritik değer taşıyan yapılara saldırabilme ihtimalleri de iç ağın ya da tek tek kritik sunucuların kontrol altında tutulma gerekliliğini beraberinde getirir. ( Bilişim, R. (2020))

IDS(Intrusion Detection System) genel olarak iki tip olarak karşımıza çıkar; Sunucu tabanlı IDS ve Ağ tabanlı IDS. Ağ tabanlı IDS in görevi, bir kurum yada kuruluşun sahip olduğu ağ yada ağlara yönlenmiş olan tüm trafiği algılayarak, bu ağa doğru geçen her bir data paketinin içeriğini sorgulamak, bir atak olup olmadığına karar vererek kaydını alabilmek, kendisi ya da konfigüre edebildiği başka bir aktif cihaz tarafından atakları kesmek, sistem yöneticisini bilgilendirmek ve ilgili raporlar oluşturabilmektir. IDS bir data paketinin atak olup olmadığını, kendi atak veritabanında bulunan atak tipleriyle karşılaştırarak anlar ve karar verir. Sonuç olarak bir IDS in en önemli bileşeni bu atak veritabanıdır. Söz konusu Atak veritabanı nın içeriği, ne kadar sıklıkla ve doğrulukla güncellendiği ve kimin tarafından oluşturulduğu/güncellendiği en önemli noktadır. Bu sebeple doğru üretici firma ve ekip seçimi çok önemlidir. ( Bilişim, R. (2020))

Sunucu Tabanlı IDS in görevi ise kurulu bulunduğu sunucuya doğru yönlenmiş bulunan trafiği yine üzerinde bulunan atak veritabanı(İşletim Sistemine göre özelleştirilmiş) baz alınarak dinlemesi ve atakları sezerek cevap vermesidir.
Genel olarak IDS iki veya daha fazla makineden oluşan bir yapıdır. Performans artırımı sebebiyle Merkezi Kontrol ve Kayıt mekanizmasının bir makinede, Trafiği dinleyen ağ tabanlı modül veya Sunucu tabanlı modül ayrı makinelerde tutulur.
IDS’ ler, dinlediği trafiğin kaydını tutarak, gerektiğinde bu kayıtları baz alarak istenilen şekilde raporlar çıkartabilmektedir. Atak sezdiklerinde atakları önleyebilir, yöneticilerine mail yada benzeri yollarla haber verebilirler, önceden oluşturulmuş bir program çalıştırabilir ve telnet benzeri bağlantıları kayıt ederek sonrasında izlenmesini sağlayabilirler. Tüm bu özellikleriyle IDS ler sistemin güvenli bir şekilde işlemesine yardımcı olur ve Sistem Yöneticilerinin Sistemi güçlü bir şekilde izlemesine yardımcı olmaktadırlar. ( Bilişim, R. (2020))

Web filtreleme çözümleri (URL Filtering)

Bugün çalışanların çoğunun Internet’e erişim hakları var. Fakat bunların hangi sayfalara gittikleri, oralarda ne kadar zaman geçirdikleri bunların ne kadarının işle ilgili olduğu gibi soruların yanıtlanması gerekiyor. Son zamanlarda yapılan bir çok araştırma iş günü içerisinde yapılan web sayfası ziyaretlerinin çoğunun işle alakalı olmadığı, sakıncalı sayfa ziyaretlerinin sistemlere virus/trojan bulaşmasına, gereksiz bant genişliği harcanmasına ve yasal olmayan sitelerden indirilen programların sistemlere sahte lisanslarla kurulmasına (ki bu programların lisanssız yada sahte lisanslarla kurulmasından sistem yöneticileri ve şirket sahipleri BSA ya karşı sorumlular) sebep olmakta. ( Bilişim, R. (2020))

Bütün bunları engelleyebilmek için URL filtering denilen yazılımlar kullanılmakta. Bu yazılımların her gün güncellenen veri tabanları sayesinde dünyadaki çoğu web sayfaları sınıflandırılmış durumda. Bu yazılımlar kişi, grup, IP adres aralıklarına kural tanımlamamızı sağlamaktadır. Bu sayede daha önceden tanımladığımız kişilere hangi zaman aralıklarında nerelere girebileceklerini belirlenebilir. Yada gün içerisinde bizim belirlediğimiz kategoriler için zaman kotası uygulana bilinir. Örneğin sabah 9:00-12:00 arası gazetelere yarım saat bakılma izni (bu sayfalarda kalış zamanı kotadan düşürülür) 12:00-13:00 her yere izin vb.. URL filtreleme yazılımlarıyla ayrıca anahtar kelime bazlı sınırlandırma(örnegin mp3) yada manuel olarak sayfa eklenebilir.
Engellenen sayfalarla ilgili olarak kullanıcı karşısına bilgilendirici bir ekran çıkar ve neden engellendiği yada hangi zaman aralıklarında geçerli olduğu belirtilir. Burada daha önceden belirlenmiş bir sayfaya yönlendirmekte mümkündür. Bu tür yazılımlarının raporlama modülleri sayesinde kimlerin nerelere gittikleri oralarda ne kadar süre boyunca kaldıkları gibi ayrıntılı bilgilere ulaşmak mümkündür. ( Bilişim, R. (2020))

Internetin pozitif kullanımı:
* eMail
* eTicaret
* Araştırmalar
* Önemli gelişmeler
* Doküman alışverişi
* Web tabanlı uygulamalar
Negatif amaçlarla kullanım
. Desktop TV, BBG tarzı yapımlar
. Hisse senedi
. Eğlence
. Alışveriş
. Kumar
. Müzik
. Spor
. Download
. Internette en çok aratılan üç kelime mp3, sex, hotmail (kaynak wordtracker.com)
. Çalışanların 54% ü gün içerisinde an az yarım saatlerini işle alakasız konularda internette sörf yapmaktadırlar.
. Bu zamanın çoğu yetişkin sitelerinde geçmekte
. Yeni iş başvuruları yapılmakta
. Gezi siteleri ziyaret edilmekte
. Spor aktiviteleri takip edilmekte
. Konuşma odalarında bulunulmakta
. Hacker sayfaları ve hack araçlarının bulunduğu sayfalar ziyaret edilmekte. ( Bilişim, R. (2020))

Güçlü Tanılama (Strong Authentication)

Gerçekten sistemlerinize kimlerin ulaştığını biliyor musunuz?
Eğer VPN, mail, Web sayfa erişimleri, uzak erişim (remote access) v.b. bağlantılarınızda statik kullanıcı isimleri ve şifreler kullanıyorsanız bundan tam olarak emin olamazsınız. Dışarıdan yapılan bağlantılarda sizin verdiğiniz şifrelerin başkaları tarafından ele geçirilmesi yada “brute force” denilen yöntemle şifrelerin bulunması söz konusudur. Güçlü tanılama yöntemleri sisteminize erişenlerin kimliğinden emin olmanızı sağlar.
Güçlü tanılama (Strong Authentication) nedir? :
Güçlü tanılama, bir kullanıcıyı tanırken en az iki metot kullanır. 3 metotla mevcut tanılama güçlendirilebilir:
. Sahip olduğunuz şey (Something you have)
Kapı anahtarı, ATM kartı veya token
. Bildiğiniz şey (Something you know )
Şifre, PIN numarası
. Biyometrik tanılama (Something you are)
Parmak izi, ses tanıma sistemleri, retina taramaları
Bu yöntemlerin her biri tek başına yeterli değildir mesela ATM kartınızı kaybedebilirsiniz, şifreniz tahmin edilebilir. Biyometrik tanılama güçlü bir yöntem olmasına rağmen halen pahalı ve açık noktaları bulunabilmektedir. Bu yöntemlerden teki (single authentication) yerine iki metodun birlikte kullanıldığı yöntemler “two-factor authentication” yada “strong authentication” olarak bilinmektedir. Örneğin ATM makineleri iki kombinasyonu birlikte kullanırlar plastik bir kard (Something you have) ve bir PIN numarası (Something you know). Token ve smart kartlar güçlü tanılama sistemleri kullanırlar. Token ve smart kartların bir çok çeşidi bulunmakta. ( Bilişim, R. (2020))

Smart Kartlar: Dünya üzerinde yaklaşık bir milyar kişi smart kart teknolojisini banka hesapları, ödeme, telefon sistemleri, kişisel bilgilerin saklanması(tıbbi kayıtlar gibi) için kullanıyor. Smart kartlar ATM(banka) kartlarından çip yapısıyla ayrılır. ATM kartlarında statik bilgi içeren manyetik bantlar bulunmaktadır. Smart kartlarda ise küçük bir çip bulunmaktadır. Bu sayede çip içerisinde bilgilerin saklanmasının yanında hesaplamalarda yapılabilmektedir. Manyetik kartların dış yüzeylerinde bulunan bilgilerin kopyalanabilmeside güvenlik açısından smart kart kullanımının gerekliliğini ortaya koymaktadır. Bütün bilgilerin ve işlemlerin çip içerisinde yapılması ve çipin kopyalanamaması smart kartın en büyük artıları arasında yer almakta. Ayrıca smart kartınızdaki bilgilerinize ulaşmanız için kartınızın PIN koduna ihtiyacınız var. Oldukça güvenli bu sistemlerin tek dezavantajı smart kart okuyucuya ve yazılımına ihtiyaç duyulması. ( Bilişim, R. (2020))

Token-Tabanlı Uygulamalar: Token çözümleri gelecekte güvenlik işlemlerinde zorunluluk olarak kaşımıza çıkacak. Şifrelerin bu kadar kolay ele geçirilebilmesi yada şifre denemeleri sayesinde şifrelerin bulunabilmesi her seferinde size başka şifre üreten sistemlerin doğmasına yol açtı. Bu sayede şifrenizi ele geçiren bir kişi dahi onu kullanamaz. Bunun için çeşitli yazılım yada fiziksel çözümler mevcut. Dakikada bir değişen şifreler yada her düğmeye bastığınızda size yeni bir şifre üreten tokenlar sayesinde şifrelerin çalınması yada başkaları tarafından bilinmesi problemi ortadan kalkıyor. Ve tokenların çoğundaki sistem bir PIN numarası ile korunuyor bu sayede tokenin kendisini kaybetmeniz durumunda dahi sistem kendini koruyabiliyor. Bir çoğu anahtarlık ve kredi kartı boyutlarında üretildiklerinden kolayca yanınızda taşıyıp istenilen yerden başka bir sisteme gerek kalmadan bağlantılarınızı güvenli bir şekilde yapabilirsiniz. ( Bilişim, R. (2020))

Sistem Ve Ağ Güvenliği Konusunda Alınacak Önlemler!

1. SQL datalarının/Veritabanı dosyalarının, programın çalışan exelerinin, programın tasarım ve diğer dizinlerinin vs. düzenli olarak harici bir ortama yedeklenmesi gerekir. Alınan yedeklerin ağa bağlı olmayan harici bir ortamda birden fazla kişide ve yerde bulunması gerekir.
2. Sisteminizden dışarıya bir port açmanız gerekirse ( örneğin kullanılan yazılım ile ilgili uzak masaüstü bağlanılması desteği vb.) açılan porta bağlantı için mutlaka bir kural oluşturulmalıdır. IP kısıtlaması yapılmalıdır.
3. Sistemdeki kullanıcıların yetkilerinin düzenlenmesi gerekir. Son kullanıcılarda Admin (yönetici) yetkisinin olmaması gerekir.
4. Tüm personelin şifrelerinin belirli periyotlarda değiştirilmesi ve şifrelerin karmaşıklık ilkesinde ( büyük harf, küçük harf, rakam ve özel karakter içermesi vs.) olması gerekir.
5. Güncel ve lisanslı antivirüs programları kullanılmalıdır. Güncel işletim sistemi ve güncel database (veritabanı) sistemleri kullanılmalıdır.
6. Son kullanıcıların bilgisayarlarında USB bellek kullanımının kontrol altına alınması gerekir. Ayrıca son kullanıcı personelin Sistem ve Ağ güvenliği konusunda eğitim verilerek bilinçlendirilmesi gerekir.
7. Kurum çalışanları ve misafirlerin WİFİ ( kablosuz bağlantı-internet paylaşımı)’ nın birbirinden bağımsız olması gerekir.
8. Güvenlik duvarı ( Firewall) oluşturulması gerekir, güvenlik duvarları yerel ağ ile dış ağ arasında kontrol cihazları/yazılımlarıdır. Bu sayede sisteme ulaşan kişi ve bilgi trafiği kontrol altına alınmış olur. Sisteme giren kişilerin hangi bilgisayarlar ve servisleri kullanacağı belirlenir.
Web Filtreleme ( URL Filtering) sistemleri kullanılarak, kurum çalışanlarının web sayfası ziyaretleri kontrol altına alınıp virüs/trojan bulaşması engellenmiş olacaktır. Spam mailler üzerinden virüsler bulaşabilmektedir.(BİLDİRİ. (2020). SİSTEM VE AĞ GÜVENLİĞİ KONUSUNDA ALINACAK ÖNLEMLER!!!)

AĞ CİHAZLARININ GÜVENLİĞİNİ SAĞLAMA YÖNTEMLERİ

Bir ağın(network) güvenliği dikkat edilmesi gereken bir konudur. Güvenlik duvarı(firewall) çoğu zaman bir ağın güvenliği sağlamak için yeterli olmaz. Güvenlik bir ağda çalışmakta olan tüm cihazlar açısından düşünülmeli ve uygulanmalıdır. Ayrıca güvenliğin sürekli olması da önemli bir husustur. ( İTÜBİDB, BİLGİ İŞLEM DAİRE BAŞKANLIĞI. (2013, EYLÜL 7).)

Ağ Cihazları

Bir ağda bulunan bilgisayarların birbirleriyle iletişim kurması için bir kablo aracılığıyla bağlanmaları veya kablosuz(wireless) olarak haberleşmeleri gerekir; ancak tüm bilgisayarları kabloyla birbirlerine bağlamak kullanışlı bir yöntem değildir ve bu yüzdendir ki pek tercih edilmez. Bunun yerine tüm bilgisayarla ortak bir cihaza (switch) bağlanır. Böylece yerel bir ağ oluşturulur. Bu yerel ağın İnternete erişebilmesi için bir yönlendiriciye (router) ihtiyaç vardır.( İTÜBİDB (2013, EYLÜL 7))

Fiziksel Güvenlik

Bir saldırgan ana cihaza fiziksel olarak erişebiliyorsa, cihazın kontrolünü rahatlıkla ele alabilir. Hatta trafik gönderebilir ya da hattı dinleyebilir. Bu hususa özellikle dikkat edilmeli ve gerekli önlemler alınmalıdır. Bazı fiziksel güvenlik yöntemleri şunlardır;
• Cihazlar sadece yöneticinin açma yetkisi bulunan odalarda ya da kilitli dolaplarda(kabinet) tutulmalıdır.
• Cihaza fiziksel olarak erişenlerin isimlerini erişim zamanlarını da gösteren bir listede tutmak akıllıca bir davranıştır.
• Kablolar etiketlenmeli ve ne iş yaptıkları belirlenmelidir. Kullanılmayan kablolar ağdan çıkarılmalıdır.
• Cihazalara erişim bilgileri açık yerde tutulmamalıdır.
• Güç kaynaklarının yerleri belirlenmeli ve bu kaynaklar gözden uzakta kilitli tutulmalıdır. Böylece saldırganın gücü kesmesi engellenmelidir.( İTÜBİDB (2013, EYLÜL 7))

Şifre Yönetimi

Şifre yönetiminin en efektif yolu “LDAP” veya “RADIUS” doğrulama sunucularından faydalanarak bir onay mekanizma sistemi kullanmaktır. Böyle bir mekanizma kullanılsa bile yetkili hakların kullanımı için yerel tanıtılmış bir şifre yapılandırma dosyasında bulunmalıdır. Yönetilebilir cihazların çoğu kullanıcı hesapları ve yönetici hesapları adı altında iki farklı kullanım seçeneğine sahiptirler. Kullanıcılar sadece arayüzleri inceleyip çalışabilirken yöneticiler cihaz ayarlarında değişiklik yapma haklarına sahiptirler. Bir şifreyi yapılandırma dosyalarında tutarken kesinlikle şifrelenmiş(encrypted) halde tutmak gerekir. Ayrıca bir şifre belirlenirken iyi bir şifrenin özellliklerini taşımamasına dikkat edilmelidir. İyi bir şifre; ( İTÜBİDB (2013, EYLÜL 7))
• Büyük ve küçük harf içerir.
• Noktalama işareti ve rakam içerir.
• Kolaylıkla hatırlanabilir böylelikle bir yere yazılmalarına gerek kalmaz.
• En az sekiz karekter uzunluğunda olur.
• Hızlı yazılabilirler.

Cihaz Erişim Protokollerine Dair Önlemler

Ağ cihazlarının ayarlanması, yönetimi ve kontrolünde “HTTP”, “Telnet”, “SSH”, “SNMP”, “TFTP” ve “FTP” gibi protokoller kullanılmaktadır. Bu protokoller “TCP/IP” protokolünün alt elemanları oldukları için, bu protokolün zaaflarına karşı önlem alınması çok önemlidir. En etkili yöntem ise cihazlara sadece belirli “IP” adreslerinin ulaşmasına izin vermelidir. Bu işlem de erişim listesi(Access-list) oluşturularak gerçeklenebilir. HTTP bir Web arayüzü üzerinden cihazalara interaktif bağlanmayı sağlayan bir protokoldür. Telnet ve SSH birbirine benzerlik gösteren iki uzak bağlantı protokolüdür. Ancak Telnet ile yapılan bağlantılarda saldırganın dinleme yoluyla iletilmek istenen veriyi elde etmesi mümkündür. Bu nedenle verileri şifrelenmiş halde gönderen SSH’i kullanmak daha güvenilir bir yöntemdir. “Simple Network Management Protokol(SNMP)” ağ trafiği, istatistikler, bellek ve işlemci kullanımı hakkında bilgi vermesi yönleriyle çok tercih edilen bir protokoldür. ( İTÜBİDB (2013, EYLÜL 7))

Kayıtlama Ayarları

Ağ cihazları çeşitli olayları kayıtlama özelliğine sahiptirler. Bu kayıtlar güvenlik ile ilgili kritik önem taşıyabilmektedir. Özelllikle erişim listelerine (access-list) takılan bağlantılar(match) gibi güvenlik açısından önemli olan bilgilerin kaydı tutulabilmektedir. Burada dikkat edilmesi gereken nokta bu kayıtların düzenli olarak takipte tutmak ve sistemlerin çalışmasında bir problem olup olmadığını kontrol etmektir. Ayrıca “Network Time Protokol(NTP)” çalıştırmak da farklı cihazlrdan ağa gelen mesajların zamana göre depolanması açısından dikkat edilmesi gereken bir husustur. ( İTÜBİDB (2013, EYLÜL 7))

VİRÜSLER, SOLUCANLAR (WORMS) VE TRUVA ATLARI (TROJAN HORSES)
Virüsler, solucanlar (worm) ve truva atları (trojen); bilgisayarın düzgün olarak çalışmasını engelleyen, kullanıcının izni dışında sistem yapılandırması üzerinde değişiklikler yapan ve bilgisayar içerisindeki bilgiler için tehdit oluşturan kötü amaçlı yazılımlardır. Bu yazılımlar çok çabuk yayılabilmelerinin ve İnternet bağlantısı üzerinde yavaşlamaya sebep olabilmelerinin yanı sıra ağdaki diğer bilgisayarları da tehdit edebilirler.( İTÜBİDB, BİLGİ İŞLEM DAİRE BAŞKANLIĞI. (2013, EYLÜL 7))


Virüsler

Yaygın virüsler genellikle dikkatsiz ya da yetersiz bilgi sahibi bilgisayar kullanıcıları tarafından farkında olmadan gönderilirler. Bu kötü amaçlı yazılımlar çoğunlukla başka bir yazılımın yanında ek olarak, İnternet bağlantılarını (linkler) kullanarak ya da diğer programların kaynak kodlarında kendilerini gizleyerek bilgisayarlara bulaşırlar. Farklı virüs çeşitleri bulaştıkları işletim sistemlerinin farklı bölümlerinde etkinlik gösterebilirler. Virüsler, etkinlik gösterdikleri alanlara göre 4 farklı gruba ayırabilir:( İTÜBİDB (2013, EYLÜL 7))
Dosya sistemi virüsleri: Farklı dosya sistemleri içerisinde yer alan virüs çeşididir.
Önyükleme bölümü (boot sector) virüsleri: İşletim sisteminin önyükleme dosyaları arasına sızarak bilgisayarın açılmasıyla birlikte çalışmaya başlayan virüslerdir.
Makro yazılım virüsleri: MS Office gibi makro yazılımların içerisinde gizlenen virüslerdir.
Komut dosyası (script host) virüsleri: İnternet sayfalarının kaynak kodu dosyaları içerisinde gizlenen virüslerdir.
Farklı virüsler, bulaştıkları bilgisayarlara farklı oranlarda zarar verebilmektedirler. Bu etki bazen kullanıcıyı fazla rahatsız etmeyecek bir seviyede olurken, bazı virüs çeşitlerinde sistemi tümden çökertecek kadar ciddi hasarlara sebep olabilmektedir. ( İTÜBİDB (2013, EYLÜL 7))

Solucanlar

Solucanlar, daha karmaşık yapıya sahip olan zararlı yazılımlardır. Genellikle e-posta ile gönderilen ekler, çeşitli web siteleri ve ağ üzerinde paylaşılan dosyaları kullanarak yayılırlar. Solucanlar, bir sistemi ele geçirdiklerinde, kullanıcının başka bir eylemine ihtiyaç duymadan, kullanıcının veri kaynaklarını kullanarak (e-posta adres listesi gibi) kendi kaynak dosyalarını hızlı bir şekilde diğer kullanıcılara da ulaştırmayı denerler ve bu yolla kendilerini çok fazla sayıda çoğaltabilirler. Solucanlar bunu yaparken kullanıcıların bant genişliklerini ve ağ kaynaklarını kullandıklarından ağların kilitlenmesine, e-posta sunucularının aşırı yüklenmesine veya Web kaynaklarına erişim hızının düşmesine sebep olabilmektedirler.( İTÜBİDB (2013, EYLÜL 7))

Truva Atları

Truva atı adı verilen zararlı yazılımlar ise kendilerini kullanıcılara faydalı bir program gibi gösterek karşıdan yüklenilmelerini sağlarlar. Temelde iki farklı dosya içerirler. Bunlardan birincisi kullanıcıya yollanılan dosyadır. Bu dosya kullanıcının kendisini bilerek veya bilmeyerek çalıştırması durumunda bilgisayarın bir portunu kendisi için açarak, programcısına kullanıcının bilgisayarına erişebilme imkanı sunar. Programcı ise ikinci dosyayı çalıştırarak kullanıcının bilgisayarına ulaşabilmektedir. Truva atı programcıları ulaştıkları bilgisayardaki kullanıcıların kişisel bilgilerini (şifre, kredi kartı bilgileri, önemli dokümanlar) elde etmek amaçlı kullanmaktadır ve bu durum kullanıcılara virüs ve solucanlardan daha fazla zarar vermektedir. Ayrıca truva atları sistemde bilinmeyen açık bir kapı bıraktıklarından programcılarının bilgisayara kolayca başka kötü amaçlı yazılımlar yükleyebilmesine imkan vermektedir. (İTÜBİDB (2013, EYLÜL 7))

Virüs, Solucan ve Truva Atları Arasındaki Farklar:

• Virüsler yayılabilmek için kullanıcının kendisini diğer kullanıcılara bilerek veya bilmeyerek yollamasını beklerler, solucanlar ise böyle bir şeye gerek duymadan bir bilgisayara girdiği anda kendisini çoğaltmaya ve yeni kullanıcıların bilgisayarlarına ulaşmaya çalışırlar.

• Solucanlar genellikle ağ kaynaklarını hedef alırken, virüsler daha çok bulaştığı bilgisayarın sistem kaynakları üzerinde etki gösterirler. Truva atlarının hedefi ise sistem üzerinde delikler yaratarak programcısına bu bilgisayara müdahale edebileceği bir ortam yaratmaktır.( İTÜBİDB (2013, EYLÜL 7))

SONUÇ

Ağ güvenliği alanında bilinmesi gereken bir çok husustan bahsettik. Bu hususlar sırası ile; Tarihçesi, ağ güvenliği, önlemler, tehditler gibi bilinmesi gereken tüm konuları alt başlıklarda anlattık. Yani bu bilgilerden sonra ağ güvenliğinin ne kadar önemli olduğunu, nelere dikkat etmemiz gerektiğini, tehditler karşısında neler yapmamız gerektiği hakkında bilgi sahibi olduk. Bir başka bakış açısı ile bu konuya ilgi duyan ve bu alanda kendisini geliştirmeyi düşünen okuyucularımız için ilham kaynağı olmaya çalıştık.

KAYNAKÇA

Üniversitesi, D. (2017). BİLGİSAYAR AĞ GÜVENLİĞİ – Tarihçesi. DÜZCE ÜNİVERSİTESİ: http://akademik.duzce.edu.tr/Content/Dokumanlar/resulkara/DersNotlari/a0b74199-588e-4066-82d1-60b3c08cc61a.pdf adresinden alındı.

Teknokavram. (2017, Mart 2). Ağ Güvenliği Nedir? TEKNOKAVRAM: http://www.teknokavram.com/guvenlik/ag-guvenligi-nedir/ adresinden alındı.

CyberMag. (2020, ŞUBAT 13). Ağ Güvenliği Temelleri. CyberMag. CyberMag: https://www.cybermagonline.com/ag-guvenligi-temelleri adresinden alındı.

Üniversitesi, D. (2017). BİLGİSAYAR AĞ GÜVENLİĞİ – Ağ Güvenliği Politikası. DÜZCE ÜNİVERSİTESİ: http://akademik.duzce.edu.tr/Content/Dokumanlar/resulkara/DersNotlari/a0b74199-588e-4066-82d1-60b3c08cc61a.pdf adresinden alındı.

Bilişim, R. (2020). Ağ Güvenliği Nasıl Sağlanır? Red Bilişim: http://www.redbilisim.com/internet-ve-ag-guvenligi/ag-guvenligi-nasil-saglanir/33 adresinden alındı.

McCormack. (2007, EKİM 15). https://commons.wikimedia.org/wiki/User:McCormack/gallery adresinden alındı.

ATMACA, K. (2019, ARALIK 20). https://kenanatmaca.com/vpn-nedir-vpn-ile-ip-adresi-nasil-degisir/ adresinden alındı.

AleksandarK. (2020, OCAK 30). https://www.techpowerup.com/263433/antivirus-providers-continue-supporting-windows-7 adresinden alındı.

BİLDİRİ. (2020). SİSTEM VE AĞ GÜVENLİĞİ KONUSUNDA ALINACAK ÖNLEMLER!!! https://www.medisoft.com.tr/haberler/sistem-ve-ag-guvenligi-konusunda-alinacak-onlemler/ adresinden alındı.

İTÜBİDB, BİLGİ İŞLEM DAİRE BAŞKANLIĞI. (2013, EYLÜL 7). Seyir Defteri. https://bidb.itu.edu.tr/seyir-defteri/blog/2013/09/07/a%C4%9F-cihazlar%C4%B1n%C4%B1n-g%C3%BCvenli%C4%9Fini-sa%C4%9Flama-y%C3%B6ntemleri adresinden alındı.

İTÜBİDB, BİLGİ İŞLEM DAİRE BAŞKANLIĞI. (2013, EYLÜL 7). Seyir Defteri. https://bidb.itu.edu.tr/seyir-defteri/blog/2013/09/07/vir%C3%BCs-solucan-ve-truva-at%C4%B1#:~:text=Vir%C3%BCsler%2C%20solucanlar%20(worm)%20ve,tehdit%20olu%C5%9Fturan%20k%C3%B6t%C3%BC%20ama%C3%A7l%C4%B1%20yaz%C4%B1l%C4%B1mlard%C4%B1r. adresinden alındı.

Photo by Jiawei Zhao on Unsplash


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

SİBER SUÇLARIN KURUMSAL VE EKONOMİK ETKİSİ

İÇİNDEKİLER

  • 1. Giriş
  • 2. Siber Suçların Kurumsal Etkileri
    • 2.1. Marka Ve İmaj Kaybı
    • 2.2. Finansal Kayıplar
  • 3. Küresel Etkileri
  • 4. Ekonomik Etkileri
    • 4.1. Sosyo-Ekonomiye Olan Etkisi
    • 4.2. Sanal Ekonomi Üzerine Etkisi 
    • 4.3. Müşteriler Üzerine Etkisi
  • Sonuç
  • Kaynakça

1. SİBER SUÇLARIN KURUMSAL ETKİLERİ

Günümüzde siber suçlar hayatımızın birçok farklı yerinde karşımıza çıkmaktadır. Günden güne artan siber suçların kurumsal ve global etkileri oldukça önemlidir. Bu makalede siber suçların kurumsal ve global etkilerine bakacağız.

2. SİBER SUÇLARIN KURUMSAL ETKİLERİ

Kurumsal yapılarda internet iş hayatının ayrılmaz bir parçasıdır (Şahinaslan & Şahinaslan, 2019, s. 493). Ticari rekabet, hizmet sektöründeki çeşitlilik, müşteri memnuniyeti, alternatif online kanallar kurumsal yaşamla bütünleşik hale gelmiştir. Bu alandaki çatışmaların, rekabetin veya kasıtlı faaliyetlerin sonucu olarak siber saldırılara maruz kalınmaktadır. Tutulan müşteri, çalışan veya kurum verileri her geçen gün daha da kıymetli hale gelmekte, bunlar üzerinde siber (Gülsoy, 1999) suçların işlenme oranını da artırmaktadır.

2.1. MARKA VE İMAJ KAYBI

Marka; fiyatı, kalitesi, beğenilirlik düzeyi, kullanışlılık gibi çeşitli niteliklerin yanı sıra kullanıcıların ne tür kişiler olduğuna ilişkin düşünce ve izlenimlerle, markanın çağrıştırdığı kişilik özelliklerini de içine almaktadır (Gülsoy, 1999). Marka imajı, “markaya ilişkin tüketicilerde oluşan genel kanı ve izlenimler bütünü” olarak tanımlanmaktadır (Özüpek & Diker, 2013).

Symantec güvenlik firması tarafından yapılan 2012 yılı “Endpoint Security En İyi Uygulamalar Araştırması” sonucuna göre 2011 yılında araştırmaya katılan 32 ülkeden 1.425 kurumun %81’i siber saldırılarla karşılaştığını belirtmiştir (Symantec, 2010). En belirgin kayıplar arasında kurumsal kimliğe zarar verme, organizasyondaki motivasyon kaybı, müşteri ya da personele ait verilerin kaybı veya el değiştirmesi, hukuki sorunlar, ürünün, markanın ve kurumsal kimliğin zarar gördüğü ortaya çıkmıştır (Alkan, 2020) .Başarılarını gelecekte de sürdürmek isteyen firmalar aynı zamanda sahip oldukları cari sermayesini de korumak için marka ve imajlarını da koruya çalışmak zorundadır (Şahinaslan & Şahinaslan, 2019, s. 493-494).

2.2. FİNANSAL KAYIPLAR

Bir siber tehdit ve saldırı sonucunda oluşabilecek maddi hasarın tam olarak hesaplanabilmesi oldukça güç olmasının ötesinde kurumlar çoğunlukla saldırıya uğradıklarını ya da oluşan hasarı müşteri, marka-imaj, güven kaybı, yasal sorunlar gibi pek çok nedenlerle gizleme yoluna gitmektedir. Buna ilişkin veriler oldukça kısıtlı olmakla birlikte açıklanan bazı verilere bakıldığında maddi hasarın oldukça yüksek olduğu görülmektedir.

Siber suç geleneksel suç yapılarından biri kabul ediliyor. Finans endüstrisini ise en çok etkilediği alanlardan biridir. Her gün, en iyi güvenlik protokollerine sahip olduğu düşünülen lider şirketlere karşı suçlar işlenmektedir. Siber suç, ekonomiler için – 600 milyar dolara yakın- ciddi bir mali etki yaratmaya devam etmektedir. McAfee ile Stratejik ve Uluslararası Araştırmalar Merkezi’ne göre, siber suç söz konusu olduğunda, bölgenin ekonomisinin %0,84’ü etkilendiği için Avrupa ekonomisine büyük zarar veriyor. (computerweekly, 2018) Aslında biraz daha geçmişe bakarsak siber suçun etkilerinin nasıl arttığını daha net görebiliriz. 2014 yılında % 0,7’lik bir etkiden ve 445 milyar dolarlık zarardan % 34’lük bir artışı temsil ediyor. Bu artış istikrarlı bir şekilde devam etmektedir (computerweekly, 2018).

2013 yılıının ekim ayında Ponemon enstitüsünün yayınladığı rapora göre 6 ülkeden 234 şirket malware yazılımların kurbanı olurken aynı zamanda bu şirketlerden %57’si DDoS (Distributed Denial of Service) saldırılarının kurbanı olmuştur . Aynı rapora göre şirketler haftada 1.3 kez saldırılara uğrarken, bu saldırıların şirketlere maliyeti yaklaşık olarak 7.2 milyon doları bulmuştur. (Watkins, 2014, s. 2).

Symantec tarafından 2012 yılında 32 ülkede kurumlar nezdinde yapılan araştırmada, siber saldırıların şirketlere verdiği zararın maliyeti 470.000$ olduğu belirtilmektedir. 2011’de Britanya’da gerçekleşen siber saldırıların ülke ekonomisine maliyetin 27 milyar pound olduğu, ABD’de ise 100 binin üzerinde gerçekleşen siber saldırılardan kaynaklı maddi kaybın yaklaşık 100 milyar dolar olduğunun tahmin edildiği raporlanmaktadır (Alkan, 2020).Siber Güvenlik zirvesinde Kaspersky Lab kurucu ve CEO’su Eugene Kaspersky konuşmasında; ‘Siber saldırılar neredeyse sürekli haberlere konu olmakta, ulusal ve uluslararası bir güvenlik meselesi haline gelmektedir. Siber saldırılar çok büyük zararlar vermekte olup somut bir siber terörizmi ile karşı karşıyayız. Dijital altyapılarımızın siber güvenlik durumunu iyileştirmek için çok çalışmamız gerekiyor.’ şeklinde açıklamasıyla konunun önemini vurgulamaktadır. Maddi kayıplara ilişkin ise ‘Yavuz Sultan Selim köprüsünün maliyetinin 3 milyar dolar olduğunu belirten Eugene Kaspersky, siber suçluların yıllık zararının 167 Yavuz Sultan Selim köprüsü olduğunu’ yanı yıllık maliyetin 501 milyar $ olduğunu belirtmektedir. Bunu Türkiye’de yaşıyor, dünyada yaşıyor diyerek Eylül ayında ABD’de gerçekleştirilen 5-6 saatlik bir siber saldırının ABD ekonomisine maliyetinin 5-6 milyar dolar olduğunun ifade edildiğini yani 1 saatlik bir siber saldırının 1 milyar dolar maddi kayba neden olduğunu vurgulamıştır (TİM, tarih yok). Siber güvenlik sonucu oluşan hasarın maddi boyutunu tam olarak ölçmek her ne kadar güç olsa da muhtemelen kısıtlı da olsa ifade edilen kayıplar maddi zararın çok ciddi boyutlarda olduğunu göstermeye yetmektedir (Şahinaslan & Şahinaslan, 2019, s. 494-495).

Siber suçlar genellikle küçük kuruluşlar ve hackerlar ile ilişkilidir fakat Birleşmiş Milletlerin’in çalışmasna göre incelenen 500 olayın %80 ile devletlerin organize ettiği bir suç olduğunu gösteriyor.(States, 2013). Lieberman yazılım firmasının yaptığı bir çalışmada, çalışmaya katılan kuruluşların %62’si altı ay içerisinde veya daha kısa bir sürede devlet destekli bir saldırıya uğrayacaklarını düşünmektedirler (Watkins, 2014).

Yine Ponemon Enstitüsünün yaptığı çalışmaya göre  siber saldırıların savunmaya(yılda 16,1 milyon dolar), finansal hizmetlere (11.5 milyon dolar) kıyasla daha fazla maliyetlidir (See Supra 2).

BAE Systems, Lockheed Martin, the Japanese Aerospace Exploration Agency, L-3 Communications gibi askeri ve havacılık sektörüne yapılan siber saldırılar mevcut finansal riski ortaya koymaktadır (Passeri, 2012). İran hacking organizasyonu, Ajax Güvenlik Takımı gibi hacker grupları özel askeri birlikleri izlemek ve takip etmek için malware gibi kötücül yazılımlar kullanmaktadırlar. Öyle ki 2014 yılında Ajax hacker grubu HavacIlık ve Uzay temalı konferans için kurulan bir sitenin taklit sitesini kurarak ağların erişim hakkına sahip olmuştu (Lawrence, 2014).

2012 yılında büyük finansal soygun olarak adlandırılan” Operation High Roller” operasyonu sonucunda bankacılık sistemine dünya genelinde 78 milyon dolar ve 2.5 milyar dolar  arasında zarar verildiği tahmin edilmektedir (Messmer, 2012).Saldırılar Rusya, Arnavutluk ve Çin üzerindeki sunucular üzerinden gerçekleştiği bilinmektedir. Bir başka saldırı da “Neiman Marcus” adıyla bilinen lük mağaza zincirine yapılmıştır.  Saldırılar sonucunda yaklaşık olarak sayıları  1.1 milyon ve 40 milyonu bulan   müşterinin kredi kartı bilgileri çalınmıştır (Times, 2014). Siber saldırı yapan gruplar, bankalardan yılda en az 100 milyon dolar para çalmaktadırlar (Farrell & Riley, 2011).

Siber saldırılar başka sektörlerde de etkisini göstermiştir ve göstermeye de devam etmektedir. Özellikle enerji sektörüne olan etkisi de muazzam bir seviyede artmıştır. 2009 yılında  “Stuxnet” adı verilen bir solucan yazılımı İran Nükleer sistemini hedef almıştır (Kelley, 2013). Ardından 2012 yılında “Shamoon” adıyla bilinen bir modüler virüs  Orta Doğu’da 30.000’den fazla bilgisayarın hard diskine zarar vermiştir (Nakashima, 2012).

3. KÜRESEL ETKİLERİ

Toplumsal düzenin ve haberleşme, enerji, su, sağlık, güvenlik gibi kamu hizmetlerinin devamını sağlamada etkili olan kritik altyapılar ile bu altyapıları kullanan bilgi sistemlerinin korunması bir ülkenin ulusal güvenliğin sağlanması için önemldir (Şahinaslan & Şahinaslan, 2019, s. 496).

Fiziksel olmayan güvenlik kategorisine dâhil olan siber alan, küresel sonuçları bakımından 21. yüzyılın önemli güvenlik tehditlerindendir (KURNAZ, 2016).

Siber tehditler yöntem ve yayılması bakımından asimetrik olarak devletlerin ulusal güvenliklerine hasar verebilecek boyuta ulaşmıştır. Bir ülkenin bilgi varlığı farklı düzeylerde aktörler olmasına rağmen sanal ortamda doğrudan suç örgütlerinin hedefi haline gelebilmektedir. E-devlet uygulamaları, ekonomi, sağlık, siyaset, finans, ulaşım, haberleşme ve enerji altyapıları üzerindeki saldırı riski daha da artmaktadır. Yaşanmış bazı olaylar sadece hizmetlerin engellenmesi veya veri kaybı olmakla kalmayıp ülkeleri ve siyasetçileri karşı karşıya getirebilmektedir. (Şahinaslan & Şahinaslan, 2019, s. 497).

ABD ve İsrail askeri istihbarat birimlerinin ortaklaşa hazırladıkları İran’ın uranyum zenginleştirme programını durdurmaya yönelik hazırlanan yazılımı ile 2010 yılında İran’ın çalışır durumdaki 5000 santralinden 1000 tanesine yapılan Stuxnet saldırısı ile devre dışı bırakmışlardır. Bu zararlı yazılımdan dünya üzerinde 130.000 bilgisayar olumsuz etkilenmiştir (Grayson, 2011).

Flame saldırısı özellikle Ortadoğu’da devletleri ve akademik kurumlarını hedef almıştır (Jr., 2011).  Bu noktada devletlerin siber güvenliğine yönelik temel tehditleri devletlerin birbirlerine karşı oluşturduğu siber tehditler ve devlet dışı aktörlerin devletlerin siber güvenliğine yönelik tehditler şeklinde sınıflandırmıştır. Bu sınıflandırmaya göre de, siber çatışmalar, ekonomik temelli casusluk ve istihbarat tehditleri bir yandan devletler ile ilişkilendirilirken diğer yandan siber ağlar aracılığıyla işlenen suçlar ve siber terörizm ise devlet dışı aktörler ile ilişkilendirilmiştir (Şahinaslan & Şahinaslan, 2019, s. 498).

ABD’de ulusal çapta acil uyarı ve federal ağlara karşı siber atağın önlenmesi için US-CERT kurulmuştur. Daha sonra Beyaz Saray Obama zamanında geçmişte yaşanan pek çok siber vakalara tedbir amacıyla hükümet ağı içerisinde siber savunma sistemi kurdurmuştur(House, 2003). Çin’de ise siyasi organizasyonu ve ideolojisi sebebiyle Askeri Siber Güvenlik Stratejisi şeklinde Peoples Liberation Army –PLA güvenlik birimini kurmuştur. Ayrıca Çin Altın Kalkan adında hassas verilerin ülke dışına çıkmaması için Büyük Çin Güvenlik Duvarı oluşturmuştur. Benzer şekilde Fransa Ulusal Bilgi Sistemleri Güvenlik Ajansını, İsrail C4ISR siber savunma ve istihbarat askeri haberleşme ve uydu sistemlerini, NATO üyesi ülkeler ise savunma bakanlarının imzasıyla 8 Haziran 2011’de ortak Siber Savunma Politikası kabul edilmiştir (Şahinaslan & Şahinaslan, 2019, s. 497).Ülkemizde ise en son Ulaştırma ve Haberleşme Bakanlığının 2016-2019 Ulusal Siber Güvenlik Strateji Dokumanı yayımlanmıştır (Şahinaslan & Şahinaslan, 2019, s. 498).

2007 yılında Estonya’ya yapılan siber saldırı ülkelerin siber saldırılara karşı bakış açısını değiştirmiştir. 2010 yılında İran’a karşı gerçekleştirilen Stuxnet saldırısıyla birlikte siber güvenliğin sağlanmasının devletler, toplumlar için ne kadar önemli olduğu bir kez daha görülmüş, toplumları kaygılandırmıştır (Grayson, 2011). Bunun sonucu olarak ülkeler bir yandan siber güvenlik politikalarının oluşturmaya ya da revize etmeye öncelik verirken diğer taraftan siber saldırılara karşı siber ordular oluşturmaya bu tür sorunlarla başa çıkabilmenin yollarını aramaya ağırlık vermeye başlamıştır (Şahinaslan & Şahinaslan, 2019, s. 498).

4. EKONOMİK ETKİLERİ

4.1.SOSYO-EKONOMİYE OLAN ETKİSİ

Kavramsal Olarak, suç dinamik ve göreceli bir olgudur. Bulunduğu sistemde yaşanan sosyo-politik ve ekonomik değişikliklerden etkilenir. Bundan yola çıkarak suç hiç bir zaman suçun tüm yönlerini kapsayan  bir tanıma sahip olamayacaktır. Aynı zaman da tek bir tanımda hiç bir zaman farklı topluluklara hitap etmeyecektir. Ekonomik suçlar zirvededir. Bu bilgiden yola çıkarsak suçun diğer sosyal olgulara yani ekonomik sitemlere ve siyasi politikalara bağımlılığı olduğu sonucuna varabiliriz ( Rao, Pradhan, Panda, & Rath, 2020, s. 3-4).

Nüfus suç olaylarını etkileyen önemli bir faktördür. Suç olaylarındaki artış ile ülke nüfusu arasında pozitif bir korelasyon olduğu gözlenmiştir. Nüfusun yanı sıra suçu etkileyen faktörler, şehirleşme oranı, alınan göç, işsizlik, gelir eşitsizliği ve bilgisayar okuryazarlığıdır. Suçu kontrol eden her sistem, normlar belirleyen, kurallar koyan, önleyici tedbir oluşturan politik sistemle çok ilgili olduğundan, siyasi yapı ve sistem de suç topluluğunu etkiler ( Rao, Pradhan, Panda, & Rath, 2020, s. 3-4).

4.2. SANAL EKONOMİ ÜZERİNE ETKİSİ 

İnternetin küreselleşmesinden dolayı suçlulara “geleneksel” suçlarını işleyebilecekleri yeni fırsatlar ortaya çıktı (dolandırıcılık gibi). Tabii geleneksel suçların yanı sıra yüksek teknoloji gerektiren suçlardan ortaya çıktı.(hacklemek gibi) Siber suçlar ve de kötü niyetli başka siber aktiviteler Avustalya’nın uzun süreli dijital ekonomisini tehdit etmektedir. Siber suç sürekli geliştiği gibi küresel dijital ekonomide gelişmektedir. Bunla bağlantılı olarak ise organize suç çeteleri kendilerini siber suçlar üzerine geliştirmek için yeterli teşvik buluyorlar ( Rao, Pradhan, Panda, & Rath, 2020, s. 4).

Dolandırıcılar ve satıcıların gerçekleştirmediği fırsatlar ile ilgili dolandırıcılık suçları tüketicilerin e-ticarete olan güvenini etkilemektedir. Bu gibi aktiviteler yüzünden tüketiciler online alışveriş yapma hatta dijital teknolojiler ile etkileşime geçmelerine olan güvenleri sarsılır. Finansal kayıp en belirgin etkisi olsa da, diğer etkiler yani utanç, kendini suçlama ve duygusal bunalımda önemli etkilerdir. Aynı zamanda siber suç hakkında ulusal bir suç eğitimine ve bunu önlemeye dair stratejilere ihtiyaç olduğunu belirtmektedir.( Rao, Pradhan, Panda, & Rath, 2020, s. 4).

4.3. MÜŞTERİLER ÜZERİNE ETKİSİ

Bilgi devrimi, internetin gücü ile birleştiğinde özellikle ticaret işlemlerde toplumları siber suçları ve siber terörizm karşı tehlikeli duruma getirmiştir. E-ticareti geliştirmesiyle ile birlikte ticaretin karanlık yüzü siber suç olarak anılmaya başladı. Birçok şekilde online alışverişi etkilemektedir. Şirketler  bu gibi tehditlerin piyasada hayatta kalmalarını etkilediğinin farkındadır. Online alışverişi etkileyen siber suçlara karşı önlemler geliştirerek onları engelleme, engelleyemiyorsa ise en aza indirgemesi gerekmektedir. Ancak bu şekilde müşterilerin online alışverişe olan güvenini koruyabilirler. Bu önlemler, siber güvenlik olarak adlandırılır. Alınan önlemler müşterilerin bilgi gizliliğini korumak ve güvenli bir alışveriş deneyimi yaşaması için geliştirilmiştir. Şirketlerin siber suçların sürekli geliştiği gerçeğinin farkında olmaları bu yüzden de siber güvenlik ile ilgili en son gelişmeleri takip etmeleri veya buldukları eksikleri kapatmaları gerekmektedir ( Rao, Pradhan, Panda, & Rath, 2020, s. 4).

5. SONUÇ

Siber suçları devletleri ve toplumları birçok yönden etkilemektedir. Siber suçlar  kurumlara ve firmalara verdiği  zararlar  arasında kurumsal kimliğe zarar verme, organizasyondaki motivasyon kaybı, müşteri ve  personele ait verilerin kaybı yada el değiştirmesi, hukuki sorunlar, ürünün, markanın ve kurumsal kimliğe zarar verme gibi birçok farklı soruna yol açmıştır. Ayrıca finansal açıdan kurumlara olan etkisinin yanı sıra tüketiciye de etki etmiştir. Her geçen yıl kurumlar ve devletler siber suçlara olan önlemlerini katbekat arttırmaya ve siber suçlarla baş etmenin yollarını aramaktadırlar.

6. KAYNAKÇA

Rao, Y. S., Pradhan, D., Panda, T. C., & Rath, R. (2020). Digital Crime and its Impact in Present Society. International Journal of Engineering Research & Technology (IJERT), 1-2.

Alkan, P. D. (2020, Haziran 1). Siber Güvenlik ve Siber Savaşlar. Slideplayer: https://slideplayer.biz.tr/slide/1896606/ adresinden alındı

computerweekly. (2018, Şubat 18). Haziran 5, 2020 tarihinde Computerweekly web sitesi: https://www.computerweekly.com/news/252435439/Economic-impact-of-cyber-crime-is-significant-and-rising adresinden alındı

Farrell, G., & Riley, M. A. (2011, Ağustos 5). Hackers Take $1 Billion a Year as Banks Blame Their Clients. Haziran 6, 2020 tarihinde bloomberg.com: https://www.bloomberg.com/news/articles/2011-08-04/hackers-take-1-billion-a-year-from-company-accounts-banks-won-t-indemnify adresinden alındı

Grayson, J. (2011, Mart 7). Stanford. Haziran 5, 2020 tarihinde Stanford web sitesi: http://large.stanford.edu/courses/2011/ph241/grayson2/ adresinden alındı

Gülsoy, T. (1999). Reklam Terimleri ve Kavramları Sözlüğü. İstanbul: Adam Yayınları.

House, U. W. (2003). THE NATIONAL STRATEGY TO

Jr., J. S. (2011). Harward. Haziran 6, 2020 tarihinde Harward Üniversitesi web sitesi: https://dash.harvard.edu/bitstream/handle/1/8052146/Nye-NuclearLessons.pdf adresinden alındı

Kelley, M. B. (2013, Kasım 20). The Stuxnet Attack On Iran’s Nuclear Plant Was ‘Far More Dangerous’ Than Previously Thought. Haziran 6, 2020 tarihinde businessinsider.com: https://www.businessinsider.com/stuxnet-was-far-more-dangerous-than-previous-thought-2013-11 adresinden alındı

KURNAZ, İ. (2016). Siber Güvenlik ve İlintili Kavramsal Çerçeve. Siber Politakalar Dergisi, 71.

Lawrence, D. (2014, Mayıs 14). ranian Hackers, Getting More Sophisticated, Target U.S. Defense Companies. bloomberg.com: https://www.bloomberg.com/news/articles/2014-05-14/iranian-hackers-evolving-in-skill-target-u-dot-s-dot-defense-companies adresinden alındı

Messmer, E. (2012, Haziran 26). Bank hack: ‘Operation High Roller’ has netted $78M – so far. networkworld: https://www.networkworld.com/article/2189619/bank-hack—operation-high-roller–has-netted–78m—so-far.html adresinden alındı

Nakashima, E. (2012, Ekiim 11). Cyberattack on Mideast energy firms was biggest yet, Panetta says. Haziran 4, 2020 tarihinde washingtonpost.com: https://www.washingtonpost.com/world/national-security/cyberattack-on-mideast-energy-firms-was-biggest-yet-panetta-says/2012/10/11/fe41a114-13db-11e2-bf18-a8a596df4bee_story.html adresinden alındı

Özüpek, M. N., & Diker, E. (2013). İLETİŞİM FAKÜLTESİ ÖĞRENCİLERİNİN CEP TELEFONU MARKALARINA YÖNELİK. e-Journal of New World Sciences Academy, 100-120.

Passeri, P. (2012, Şubat 21). Exclusive Infographic: all Cyber Attacks on Military Aviation and Aerospace Industry. Haziran 5, 2020 tarihinde heaviationist: https://theaviationist.com/2012/02/21/cyberwar-infographic/ adresinden alındı

See Supra 2. (tarih yok).

States, U. (2013). Comprehensive Study. United States.

Symantec. (2010). Norton Cybercrime Report: The Human Impact. Symantec.

Şahinaslan, Ö., & Şahinaslan, E. (2019). Siber Tehditlerin Toplum Üzerindeki Etkisi. Proceedings of the International Congress on Business and Marketing (s. 489-493). Istanbul: Maltepe University.

TİM. (tarih yok). Türkiye İhratçılar Meclisi. Haziran 5, 2020 tarihinde tim.org.tr: http://www.tim.org.tr/tr/inpressdt-c0940ccf-92e3- adresinden alındı

Times, N. Y. (2014, Haziran 2). Neiman Marcus Data Breach Worse Than First Said. Haziran 5, 2020 tarihinde nytimes.com: https://www.nytimes.com/2014/01/24/business/neiman-marcus-breach-affected-1-1-million-cards.html?_r=0 adresinden alındı

Watkins, B. (2014). The Impact of Cyber Attacks on the Private Sector. Mindpoint Group.

Photo by  Markus Spiske on Unsplash


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Sosyal Medya Güvenliği

İçindekiler

-GİRİŞ

-SOSYAL MEDYA NEDİR?

-SOSYAL AĞ TEHDİTLERİ

-SOSYAL AĞLARDA GÜVENLİK ÖNLEMLERİ

-SONUÇ

-KAYNAKÇA

GİRİŞ

Sanal bir iletişim ortamı olan sosyal medya son zamanlarda hayatımızın bir parçası oldu. Peki bizler bu sosyal ağlarda güvenliğimizin ve gizliliğimizin olmasını istemez miyiz? Elbette isteriz ..Bu yazımda sosyal ağlarda özgür bir şekilde dolaşıp, paylaşım yapabilmek için unutulmaması ve uyulması gereken bilgileri sizin için derledim.

SOSYAL MEDYA NEDİR?

Sosyal Ağlar; insanların kendileri için web ortamında bir kimlik oluşturmak suretiyle video ve fotoğraf gibi sadece bir servislik hizmetlerden oluşan web ortamındaki diğer insanlar ile iletişim/etkileşim kurdukları, farklı birçok bilgiyi paylaştıkları, oyun oynadıkları ve yeni arkadaşlıklar edindikleri web tabanlı uygulamaların ve servislerin genel adıdır.
Günümüzde yaygın olarak kullanılan sosyal ağlara örnek olarak Facebook, Twitter, İnstagram, Linkedln, Youtube, Google+, Snapchat ve Dailymotion gösterilebilir. (ALİ, 2017)

Kullanıcıların sosyal ağlar üzerinden aldıkları hizmetler günlük internet kullanımında alışkanlık haline gelmiştir. Tabi bu alışkanlık yanında sanal tehditlere ve tehlikelere maruz kalmalarına da sebep olmuş güvenlik ve gizlilik sorunsalını da bununla beraber getirmiştir. Sosyal ağlarda en önemli husus paylaşımlardır. Paylaşmak güzeldir fakat özellikle sosyal ağlarda hangi bilginin kiminle paylaşıldığı çok önemlidir. Şimdi sosyal medyanın ütopyaları olan güvenlik ve gizlilik konusunu inceleyeceğiz.

SOSYAL AĞ TEHDİTLERİ

Sosyal ağlar masaüstü ve dizüstü cihazlardaki web tarayıcılarından erişilirken sebebiyet verdikleri tehlikelere çoğu zaman kullanıcı mahremiyeti ve gizliliği açısından bakıldığında mobil cihazlardaki uygulamalarından da aynı tehlikelere meydan verirler. Yani kullanıcı gizliliğinin riske girmesi her türlü erişim ortamında aynı şekildedir. Ama kullanıcı güvenliğinin riske girmesi durumu erişim ortamlarının türüne değişebilir. Sosyal medyada doğan güvenlik ve gizlilik tehlikeleri;

  • Sosyal ağlarda paylaşılan içeriklerin meta verilerinden,
  • Sosyal ağlardaki güvenlik ve gizlilik ayarları eksikliklerinden,
  • Sosyal ağlara bağlanan 3. Parti uygulamalardan,
  • Sosyal ağların mobil uygulamalarının kullanımından,
  • Sosyal ağ arkadaşları üzerinden,
  • Sosyal ağların siteleri ile altyapılarından meydana gelen teknik zaaflardan
  • Ve sosyal ağların kullanım politikasından (eklentiler, servis koşulları) (PESEN, 2015)

Şeklinde sıralayabiliriz. Her bir güvenlik ve gizlilik tehlikesi sosyal ağların yapısından ve kullanımından ortaya çıkan farklı yazılımlara sahip tehdit unsurlarıdır.

Çünkü paylaşılan her türlü bilgi paylaşan tarafından silinse dahi internet ortamında silinmeden kalabilmektedir. Paylaşımlar kolaylıkla gönderilebilir ancak, kolaylıkla geri alınamayabilir. Gönderiler masum görünse de, sonradan hayatı olumsuz yönde etkileyebilir. Paylaşımlar, günlük hayatı ve ilişkileri olumsuz yönde etkileyebilir. Özellikle Sosyal ağlarda;

  • Doğum tarihi
  • Eğitim bilgileri
  • Anne kızlık soyadı
  • Nüfus cüzdanı bilgileri
  • Diğer aile bireylerinin kişisel bilgileri
  • Kredi Kartı bilgileri
  • Kullanıcı adı ve şifre bilgileri
  • Ehliyet bilgileri
  • İş yeri bilgileri
  • Adres bilgileri
  • Tatil yeri ve tarihi
  • E-posta adresi
  • Kişisel fotoğraf ve videolar

vb. kişisel bilgilerin paylaşılmaması, yaşanması muhtemel mağduriyetlerin önüne geçilebilmesi açısından büyük önem arz etmektedir.(ALİ, 2017)

SOSYAL AĞLARDA GÜVENLİK ÖNLEMLERİ

Peki sosyal ağlarda oluşabilecek güvenlik sorunlarının önemlerini nasıl almalıyız? Tabi ki bunu destekleyen bir çok araç var ama bizim alacağımız küçük önlemler ile bu araçlara gerek kalmadan bu tehdit ve saldırılara maruz kalmayı engelleyebiliriz. Bunları şöyle sıralayabilir;

  • Her Mesajı Açmayın: Mesaj kutunuza gelen sahte mesajlar veya linklerden korunmanın en basit yolu, onları açmamak!
  • Şifreniz/ Parolanız Güçlü Olmalı:  Doğum tarihi, doğum yılı, çocuklarınızın adları, vs. gibi kolay şifreleri/ parolaları asla tercih etmeyin.
  • Arkadaş Seçiminde Dikkatli Olun: Sosyal medyada arkadaş seçimine, gerçek hayatta olduğu gibi dikkat etmek gerekir. Sahte profiller sosyal medya için ciddi risk taşımaktadır.Takip edeceğimiz kişileri seçerken bize katkısı olacak hesapları takibe almak faydamıza olacaktır. (ARSLAN,2020)
  • Sosyal Medya Platformlarını Kullanmadığınız Zaman Çıkış Yapın: Sosyal medya hesaplarınızı kullanmadığınız zaman çıkış yapmayı tercih ederek hesabınızı daha güvenli hale getirmiş olursunuz. Alışkanlık haline getirin. Otel, kafe gibi halka açık ortamlarda internete bağlanırken de aynı hassasiyeti gösterin. “Üçüncü parti uygulamaları” denilen bu tarz uygulamaların sosyal medya hesaplarınızda nelere ulaşabildiğinden bihaber olmayın!

Kullanmadığınız sosyal medya hesaplarınız var mı? Bir an önce silin. Böylece kötü niyetli kişilerin/ hackerların sizin adınızı kullanmalarının önüne geçebilirsiniz. (TEB, 2019)

SONUÇ

Günümüzde hayatımızın parçası olan sosyal ağlardan tamamen soyutlanmak mümkün değildir. Güvenilir şekilde bu platformları kullanmak için yazımızda bahsettiğimiz basit işlemleri yaparak erişimlerinizi sağlıklı bir şekilde sürdürebilir ve kullanabilirsiniz. Böylece sosyal ağlar daha bilinçli kullanıldığından, karşılaşacağınız riskler de en az seviyeye inecektir.

Kaynakça

  1. Ali, H. (2017, Haziran 22). https://www.guvenliweb.org.tr/.https://www.guvenliweb.org.tr/dokuman-detay/sosyal-aglar-ve-mobil-aglar: https://www.guvenliweb.org.tr/dokuman-detay/sosyal-aglar-ve-mobil-aglar adresinden alındı.(Erişim Tarihi:7 Haziran 2020)
  2. TEB,B.(2019).https://www.blogteb.com/. https://www.blogteb.com/sosyal-medyayi-guvenli-kullanin-sosyal-medya-ve-internet-kullanicilari-icin-belli-basli-guvenlik-onlemleri/: https://www.blogteb.com/sosyal-medyayi-guvenli-kullanin-sosyal-medya-ve-internet-kullanicilari-icin-belli-basli-guvenlik-onlemleri/ adresinden alındı.(Erişim Tarihi:7 Haziran 2020)
  3. ARSLAN, L. (2020). Sosyal Medya ve Değişen Değerler. Aile Dergisi, 11.
  4. PESEN, M. (2015, Ekim 21). Sosyal Medyanın Ütopyaları: Güvenlik ve Gizlilik. http://www.sibergah.com/genel/sosyal-medya-guvenligi/sosyal-medyanin-utopyalari-guvenlik-ve-gizlilik/ adresinden alındı.(Erişim Tarihi:7 Haziran 2020)
  5. Photo by Cristian Dina on Pexels
 
Kategoriler
Bilişim Etiği

Meslek Etiği Üzerine

İÇİNDEKİLER

Giriş

Meslek Etiği Üzerine Değerlendirmeler

Farklı Alanlarda Etik İşleyişi

Bilişim Etiği

İnternet Etiği

Mühendislik Etiği

Öğretmenlik Etiği

İş Yerinde Etik Ortam Sağlamak

Farklı Mesleklerde Etik İlkeler

Çalışanların Etik Profilleri

Etik Liderlik

İş Yerinden İş Etiğine Uygun Ortamda Çalışmak

Sonuç

Kaynakça

 

Giriş

Etik, insanların eylemlerinin ahlaki niteliklerini sorgulayan felsefi bir disiplindir. Sokrates tarafından ortaya çıkarılan etik kavramı her dönemde ve her toplumda yaşamımızın bir parçası olmuştur. Köken olarak töreye uygun alışkanlık, huy, davranış, karakter gibi anlamlara gelen Yunanca “Ethikos” kelimesiyle doğrunun yanlışın bilimi anlamına gelen Latince “Ethice” kelimelerine dayanır. İyi ile kötü, doğru ile yanlış değerlerinin ortaya konulduğu davranış kurallarını ifade eder.

Yüzyıllar boyu teorik bir disiplin olan “Etik” kavramı, 20. yüzyılın modern yaşantısının karmaşıklığı ile uygulamalı hale dönüştü ve bizlerin günlük yaşantımızdaki sorunlarımıza çözümler getirmeye başladı. İş hayatımızda karşılaştığımız sorunlar da iş etiği kapsamında değerlendirilmeye alındı. İş etiği, herhangi bir iş ortamında ortaya çıkan ahlaki sorunları gözden geçiren veya inceleyen bir sıra mesleki uygulamayı ifade eder. Meslek etiği ise iş etiği ile ilişkilidir. Genel ahlak kurallarının yanında belli bir mesleki uzmanlığa dayanan sorumlulukları kapsayan yazılı olmayan kurallardır. Mesleki etik bir iş yerindeki verimliliğin sürekliliği için gereklidir.

 

Meslek Etiği Üzerine Değerlendirmeler

Meslek etikleri ve kamu etiği olarak adlandırılan akademik disiplinlerin konuları etik bilgi olmaksızın açıklanamaz. Eğer, insanın neden ahlaklı bir kişi olması gerektiği ya da doğru eylemin ne olduğu sorusu bilgisel olarak açıklanamazsa, kamu görevlisinin neden rüşvet almaması gerektiği de en azından bilgisel olarak açıklanamaz. Dolayısıyla kamu etiği de olanaksız hale gelir (Birinci, 2009: 151).

Çeşitli çıkar gruplarının yasal ve ahlaki olmayan yollardan elde ettikleri kazançlar ve kurum kayıtlarında yapılan usulsüzlükler, kurumların faaliyet alanlarının büyüklüğüne de bağlı olarak birçok kesimi etkisi altına almaktadır. Bir örgüte ilişkin gizli bilgilerin dışarıya aktarılması, rüşvet ya da hediye verme/kabul etme, örgüte ilişkin mali kayıtlara yasal olmayan müdahalelerde bulunma, çalışma saatlerinde kişisel işleri yapma, büro malzemelerini kişisel işler için kullanma gibi eylem ve işlemler çalışmanın ahlak dışı görüngeleri olarak kabul edilebilir (Kılıç ve Kamaşak, 2009: 714).

Kurumun ihtiyaç duymadığı özelliklerde kişileri işe almak kurumun zararına olacağından bu tür uygulamalar ahlaki telakki edilmesi düşünülemez. Kariyer geliştirme ve eğitim fırsatlarını kurumun birkaç çalışanına tahsis etmek, eğitime gerçekten ihtiyaç duyanları değil de yöneticilerin kendilerine daha yakın kişileri eğitim sürecine almaları kariyer geliştirme sürecinde ahlaki olmayan davranışlara örnek gösterilebilir (Birsel, 2007: 155).

Genel olarak kamu kurumlarında, çalışanlar arasında cinsiyet, etnik türü ayırımcılık yapmak, tüm çalışanlara terfi konusunda eşit fırsatları tanımamak, çalışanların taciz edilmesi, iş yeri güvenliğini ve çalışanların sağlığını tehlikeye atılması gibi uygulamalarda bulunmak türünde ahlakdışı işlem ve eylemlere rastlanabilmektedir.

Kamu görevlilerinin davranışlarında iki temel etken rol oynamaktadır. Bunlardan biri yasalar, diğeri ise ahlaki değerlerdir. Yasalar, kamu görevlilerinin davranışlarını dışsal olarak belirlemekte ve denetlemekte iken, ahlaki değerler, davranışı içsel olarak yönetmekte ve denetlemektedir. Davranışların dıştan belirlenmesinde rol oynayan yasalar ve kurallar, kamu görevlilerini kamu yararı doğrultusunda eylemde bulunmaya zorlamaktadır (Özdemir, 2008: 182). Kamu görevlilerinin alacağı kararların kişisel değerlere dayalı olduğu unutulmamalıdır. Bu anlamda çalışma ahlakı, kişinin herhangi bir mesleği yaparken göz önünde bulundurması ve içselleştirmesi gerekli kural, tutum ve davranışları içerir.

Kamu kesiminde bürokratik örgütlenmeler içerisinde görevini yapan bürokratlar, hem toplumla ilgili temel konularda hem de günlük rutin uygulamalarında kararlar almak ve bu kararları uygulamaya geçirmek durumundadırlar. Kuşkusuz bu kararların alınma ve uygulanma aşamalarında birçok faktör etkin olmaktadır. En temel anlamda kamu çalışanlarından, bünyesinde bulundukları bürokratik yapıların, örgütsel anlamda amaç ve görevlerine uygun olarak karar almaları ve bunları maksimum kamu yararını gözeterek uygulamaları beklenmektedir. Bu beklenti içerisinde kamu çalışanları açısından birçok açmaz ve ikilemler ortaya çıkabilmekte ve karar alımını ve bunların pratiğe geçirilmesini etkileyebilmektedir (Kılavuz, 2003: 88).

Meslek ahlakı bu bağlamda ikilemlerle karşı karşıya kalan kamu görevlilerine nasıl davranmaları gerektiği konusunda bir yönder olmaktadır. Bu çerçevede meslek ahlakı, kamu görevlileri için kabul edilebilir davranış kurallarını belirleyerek (Thompson, 1985’den akt: Gökçe ve Örselli, 2011: 50) ve kamu görevlisi sorumluluğunun devamı için bireysel davranışlara getirilecek kısıtlamaları açıklar (Blijswijk, 2004’den akt: Gökçe ve Örselli, 2011: 50). Bu yönü ile meslek ahlakı; kurumlardaki bireylerin ahlaki karar almalarını ve ahlaki kararların amaçlanmasını sağlamaktadır. Dolayısıyla meslek ahlakı kamu görevlilerini doğruyu ve yanlışı ayırt etme, verecekleri kararlarda doğru olanı tercih etmeye yönlendirme görevlerini üstlenmektedir (Saylı ve Kızıldağ, 2007’den akt: Gökçe ve Örselli, 2011: 50).

Kamu yönetiminde ahlak, yöneticilerin karar alırken ve kamu hizmetlerini yürütürken uymaları gereken, tarafsızlık, dürüstlük, nezaket, adalet, hesap verebilirlik, kamu yararını gözetme, göreve bağlılık, liyakat, verimlilik, etkililik, kalite gibi bir takım ahlaki ilke ve değerler bütününe denir. Bu ilke ve değerler, kararların nasıl alınması ve işlerin nasıl yapılması gerektiğini belirlemede kamu görevlilerine yol gösterir; hizmetlerin ve çalışanların değerlendirilmesinde temel ölçüt olarak kullanılır (Eryılmaz ve Biricikoğlu; 2011: 35).

Çalışan insanların arasındaki ilişkilerini yalnız yasa ve yönetmeliklerle düzenlemek mümkün değildir. Bu kuralların dışında öyle kavramlar vardır ki, düzenleyici özellikleri ile çok önemlidirler. Tüm ilişkilerde bu esasların uygulanması gerekmektedir. Ahlak kuralları bunların başında gelmektedir. Çalışma yaşamında personellerin bu nesnel kurallara uyma zorunlulukları bulunmaktadır.

Ahlak kamu görevlilerinin davranışlarının bir tür iç denetimidir. Bu yönüyle ahlak, kişisel sorumluluk duygusu, bireysel iç kontroldür. Ahlak, yasaların düzenlemediği, düzenlenip de gri alanlar bıraktığı alanlar ile yönetim, yargı ve siyasetin daha düzgün ve dürüst işlemesi için; kişilere, karar verirken ve hizmetleri yürütürken yönderlik yapmakta, kamu hizmetlerine kalite katmakta ve daha güçlü bir sorumluluk bilinci kazandırmaktadır. Diğer denetim türleri (yasa, kamu denetçisi, kamuoyu denetimi vb.) genellikle sorunlar ortaya çıktığında devreye girdiği halde; ahlaki ilke ve değerler, daha sorun çıkmadan evvel muhtemel sorunları önleyici bir işlev görmektedirler (Eryılmaz ve Biricikoğlu, 2011: 34-35).

Çalışma ahlakına ilişkin değerlendirmede başlıca iki yaklaşım söz konusudur: birincisi, karar ve eylemleri sonucuna, başarısına ve faydasına göre değerlendiren teleolojik yaklaşım. İkincisi ise, eylem ve kararları iyi niyet, değer, ödev ve sorumluluk gibi temel ahlaki ilkelere dayandıran deontolojik yaklaşımdır. Kamu etiği yazınında egemen olan ilkeler, normlar ya da kodlar her iki yaklaşımın bir sentezi olarak görülebilir (Birinci, 2009: 155). Diğer bir ifadeyle, sonuç ya da sonuçların etiği olan teleolojik etiğin aksine deontolojik etik, ödevin ya da ilkenin etiği olarak tanımlanabilir. Her iki kuramı da örneklendirmek gerekirse, kamu görevlilerinin, verilen emirleri yerine getirmeleri ve kurallara uymaları durumundaki sergileyecekleri davranışlar deontolojik olarak ahlakidir. Yine de bir kamu görevlisi davranışları ile en yüksek iyi sonuçlara ulaşmayı amaçlamışsa teleolojik olarak bu istemi etik amaçlıdır denilebilir.

Seçilmiş, atanmış ve kariyerden gelen kamu görevlileri üç uygulama kalıbı içinde tanımlanabilir. Ahlaka dayanmayan davranış, değerlere karşı yansız davranış, ahlakı temel alan davranış (Steinberg ve Austern, 1995:78).

Ahlaka dayanmayan davranış: Ahlaksal ya da ruhsal bağlantılardan etkilenmemiştir. Bu kişi ilkesizdir ve fırsat ile yeterli özendirici verildiğinde kişisel kazanç için her açığı değerlendirecektir. Ahlaka uygun olmayan davranışlarda, etik ilkeler yetersiz kalmakta, aynı zamanda ahlaki davranışlara aktif olarak karşı konulmaktadır. Bu süreçte toplumun dürüst davranış konusundaki istemlerine yetersiz bir ilgi söz konusudur. Yine bu süreçte bir işin, kamu görevinin başarılması konusunda ahlaki kurallar engel olarak görülmektedir. Burada “işi ucuz ve kestirme yoldan yapmak” söz konusudur. Bu süreçte ortaya konulan, başkalarının düşüncelerinin ya çok az önemli olduğu ya da hemen hemen hiç önem taşımadığıdır (Bartol and Martin, 1994’den akt: Özgener, 2004: 109).

Değerlere karşı yansız davranış: Bu kişi kültürdeki olumlu ya da olumsuz değişmelere uyum sağlayabilmek için yansız olarak görev yapar ya da davranış değişikliği gösterir. Yanlış bir şey yapıldığını açıkça görse bile otoriteye karşı koymaz. Ahlaksal bir sorunun varlığında kişisel rahatsızlık düzeylerinde bile, diğerleri ile birlikte gider veya emirlere uyar. Ahlaka önem vermeyen ve ilgisiz kalan çalışan eğilimi, ne ahlaka aykırı ne de ahlaka uygun bir tutumdur. Bu tür eğilimde olanlar, etik düşüncelere gereği kadar önem vermemekte veya ilgisiz kalmaktadırlar.

Ahlakı temel alan davranış: Bu devlet çalışanı, özgür bir toplumda yönetimin ahlaklı uygulamalarının altında temel ilkeler bulunduğuna inanır. Ahlakçı, toplumsal mutluluğun geliştirilmesinde ve özgürlükçü bir toplumda değerleri temel alan bir yönetimin özünde bulunan bir amaç olarak kamu yararının gözetilmesi gerektiğine inanır.

Gerek ahlaka aykırı gerekse ahlaka önem vermeyen ve ilgisiz kalan çalışma eğiliminin aksine, ahlaka uygun çalışan kamu görevlileri, etik ilkeleri ve hükümleri izlemeye çabalamaktadırlar. Ayrıca ahlaka uygun davranan kamu görevlileri, başarmaya yönelik isteğe sahip olmakla birlikte, etik ilkeler çerçevesinde hizmet üretmeyi amaçlamaktadırlar. Bu anlayıştaki kamu çalışanları yasanın neyi emrettiği üzerinde en iyi biçimde çalışmanın gerekli olduğunu kabul etmektedirler. Bu yaklaşımda, temel yol gösterici ilke, “Bu eylem, karar ve davranışlar hem bizim için hem de ilgili tüm taraflar için doğru mu?” biçimindedir (Bartol and Martin, 1994’den akt: Özgener, 2004: 109).

Tüm bu açıklamalara ilişkin olarak şu örnek verilebilir: Bir kamu görevlisinin iş tanımında belirtilen görevini yürütmesi, onun öncelikli olarak ödevidir. Kamu çalışanı, ödevi olduğu için işlerini yürütüyorsa bu ödeve uygun eylemde bulunuyor demek olur ve bu da ahlaki bir eylem olur. Ama bu kamu görevini yürütürken aldığı ücretin dışında da bazı çıkar sağlamak amacıyla yürütüyorsa, onu bir başka amaç için, bir fayda için yapmış olur ki o zaman bu çalışma eylemi ahlaki bir nitelik taşımaz.

Kamu çalışanı bazen görevini sürdürürken kendi vicdanı ile veya belirli ahlaki normlara karşı olarak bir iç çatışma yaşayabilir. Böylesi durumlarda kuşkusuz insan aklı ve duyguları devreye girecektir. İnsanın duygu ve düşünceden hareketle kendi vicdanına bağlı olarak görevini sürdürmesi gerekmektedir. Bu noktada davranış belirleyicisi olarak akıl, duygu ve vicdan etkendir denilebilir. Bu çeşitli açmazlardaki ortak yan, bu açmaz ya da uyuşmazlıkların herhangi bir kamusal otorite ya da erk tarafından her bir durum için genel bağlayıcı nitelikte çözümlenemeyip; söz konusu kamu görevlisinin kendi sorumluluğuyla karar vermesiyle halledilmesidir.

 

Farklı Alanlarda Etik Anlayışı

Bilişim Etiği

Elektronik ve network(ağ) ortamında uyulması gereken kuralları tanımlayan normlar kısaca bilişim etiğini ifade eder.

Bilişim Etiğine, bilişim alanında uyulması gereken yazılı ve yazılı olmayan kurallar da diyebiliriz

Bilişim etiğinin en önemli taraflarından biri, dünyanın neresinde olursa olsun, bilişim sektöründe çalışanların birbirleri ile ilişkilerinde belli davranış kalıplarına uygun davranmalarının gerekli olmasıdır

Bilişimde Temel Etik Sorunlar:

20. yüzyılın ikinci yarısından sonra, bilgisayar ve bilgisayar teknolojilerinin hızla gelişmesiyle birlikte, sanayi toplumu yerini, insan faktörünün ve bilginin daha önce görülmedik seviyede ön plana çıktığı yeni bir toplum şekline bırakmıştır. Bu yeni toplum bilişim toplumu ve içinde  bulunduğumuz çağ ise bilişim çağı olarak adlandırılmaktadır.

Bilişim toplumunda daha önce de var olan bilişim teknolojilerinin etkisiyle artan sorunlarla birlikte, birey ve toplumun bugününü ve geleceğini önemli ölçüde olumsuz olarak etkileyen ve tehdit eden yeni etik sorunların ortaya çıktığı gözlenmektedir.

Bilişim toplumunda ortaya çıkan etik sorunlardan bazıları şunlardır:

  • Bilginin Doğruluğu
  • Özel Yaşama İlişkin Sorunlar, Mahremiyet, Kişisel Haklar
  • Bilgisayar Suçları
  • Fikri Mülkiyet Hakları
  • İşsizlik
  • Sağlık Sorunları
  • Sosyal İlişkiler, Ev Ofisleri ve Aileye İlişkin Sorunlar
  • Sanal Ortam, Sanal İlişkiler
  • Yapay Zeka
  • Sosyal İlgi ve Teknoloji İlişkisi

İnternet Etiği

Çevrimiçi ortamlarda diğer insanların hak ve hukukuna saygılı olabilme noktasında nelerin yapılıp nelerin yapılamayacağının bilgisine internet etiği denir. İnternet etiği, gerçek hayatta iletişimde olduğunuz insanlara gösterdiğiniz saygı ve nezaketin aynısını internet ortamında da gösterilmesi için bazı kurallar içerir.

Herhangi bir hak ihlaline uğramamak ve kullanılan sistemi de zafiyete uğratmamak için çevrimiçi ortamları kullanırken kullanım politikalarına uygun davranılmalıdır.

İnsanların iletişim özgürlüğüne sahip olduğu gibi erişim özgürlüğüne de sahip oldukları unutulmamalı, diğer kullanıcıların haklarına saygı gösterilmelidir. İnternet ortamında kimseye zorbalık/taciz yapılmamalı, kötü söz söylenmemelidir ve istemeden kimseye art niyetli davranışlar sergilenmemelidir.

İnternet ortamında uygun olmayan (yasadışı) içerikleri indirmekten, paylaşmaktan veya saklamaktan kaçınılmalıdır. Bu tarz içeriklerin üretilmesi ve paylaşılmasının suç teşkil ettiği unutulmamalıdır.

İnternet üzerinden yapılan herhangi bir paylaşımın, birdenbire milyonlarca kişiye erişebileceği her zaman hatırda tutulmalı ve çevrimiçi ortamlarda buna göre davranılmalıdır.

Fikir ve sanat eserleri ile telif hakları ve lisanslama konusunda titiz davranılmalıdır. Telif hakkı olan materyallerin lisanssız kopyaları oluşturulmamalı veya bu materyaller indirme amacıyla kullanılmamalıdır. Sahibi olunmayan eserler topluluklarla paylaşılmamalıdır.

Elektronik ortamlara bağlanan cihazlara, sistemlere veya sistemlerde bulunan bilgi kaynaklarına erişim yetkiniz yok ise girilemeyeceği ve kasıtlı olarak sisteme müdahale edilemeyeceği veya işleyişinde değişiklikler yapılamayacağı her zaman hatırda tutulmalıdır.

 

Mühendislik Etiği

Kant ve Nietzsche tarafından çok yönlü olarak ele alınan etik kavramı sayesinde içinde mühendisliğin de bulunduğu birçok bilim dalı bu çok yönlülüğe dayanarak kendi oluşumlarını oldukça önemli ve ihmal edilemez kavramlar üzerine oturttu. Bu kavramlar bilimi daha verimli, daha adil, daha uygulanabilir ve daha somut bir hale gelmiştir. Ülkemiz de ise modern etik çalışmaları Hilmi Ziya Ülkenle başlamış, Takiyettin Mengüşoğlu’yla birlikte etik farklı bir kavram kazanmıştır. Mengüşoğlu’nun çalışmalarından ilham alan Ioanna Kuçuradi’nin görüşleriyle cumhuriyet tarihimizden bugüne ki etik düşüncenin temelleri atılmıştır. Böylece dünyada ki etik ilkeleriyle birlikte Türkiye’deki etik kavramının da temeli oluşturulmuştur. Türkiye’de olduğu kadar dünyada da oldukça yeni olan etik ve bu olgunun uygulanışı geliştirilmeye ve üstünde tartışılmaya muhtaçtır. Nasıl ki mühendislik her an gelişen kendini yenileyen bir süreçse mühendislik te etikte hem kendi içinde hem de mühendisliğin gelişimiyle birlikte kendini yenilemeye muhtaçtır.

5 Ekim 1977 yılında Dünya Mühendisler Birliği mühendislik etiğinin kavramlarını açıklamıştır.

  • Mühendisler, mühendislik mesleğinin doğruluğunu, onurunu ve değerini
  • İnsanlığın refahının artması için kendi bilgi ve becerilerini kullanarak,
  • Dürüst ve tarafsız olarak halka, kendi işverenlerine ve müşterilerine sadakatle hizmet ederek,
  • Mühendislik mesleğinin yeteneğini ve saygınlığını artırmaya çabalayarak,
  • Kendi disiplinlerinin mesleki ve teknik birliğini destekleyerek yüceltir ve geliştirirler.

 

Mühendislik Etiği İlkeleri

  • Mühendisler, mesleki görevlerini yerine getirirken, toplumun güvenliğini, sağlığını ve refahını en önde tutacaklardır.
  • Mühendisler, sadece kendi uzmanlık alanlarındaki hizmetleri vermelidirler.
  • Mühendisler, yalnızca objektif ve gerçek resmi raporlar yayınlayacaklardır.
  • Mühendisler, mesleki konularda, her işveren veya müşteri için güvenilir vekil olarak davranacaklar ve çıkar çatışmalarından kaçınacaklardır.
  • Mühendisler, hizmetlerinin geçerliliği konusunda mesleki itibarlarını oluşturacak ve diğerleriyle haksız rekabete girmeyecektir.
  • Mühendisler, mesleki doğruluğunu, onurunu ve değerini yüceltmek ve geliştirmek için çalışacaklardır.
  • Mühendisler, mesleki gelişmelerini kendi kariyerleriyle devam ettirecekler ve kendi kontrolleri altındaki mühendislerin mesleki gelişimi için olanak sağlayacaklardır.

 

Öğretmenlik Etiği

Mesleki etik, bütün mesleki uğraşların iyi ve doğruya yönlendirilmesi konusunda ilkeler koyan, meslek üyelerinin kişisel arzularını ve belli bir çizginin dışına çıkmalarını önlemeye çalışan, mesleki idealleri geliştiren ve ilkesiz üyeleri meslekten dışlayan bir ilkeler dizgesidir (Durkheim, 1949, 13). Tüm mesleklerin üyelerinin davranışlarını çerçeve içine alan etik ilkeler oluşturularak, meslek üyelerinin bilgisizlikten ya da kişisel eğilimlerinden kaynaklanan etik dışı davranışlara yönelmeleri engellenmelidir. Öğretmenlik mesleğinde karşılaşılabilecek etik ihlallerden bazıları şunlar olabilir:

  • Öğrencilerle uygun olmayan ilişkiler kurulması,
  • Açıkça belirlenmiş okul kurallarının ve eğitim süreçlerine aykırı hareket edilmesi
  • Öğretmenlik görevlerinde başarısız olmak (mesleğine karşı olumsuz tutum, öğretim görevini aksatma, sınıfta karışıklık yaratma, vb)
  • Öğrencilere öğretim programında yer almayan politik konulardan bahsetmek, çatışmalı konularda aşırı görüşler ileri sürmek gibi, öğretim programı ile ilgisiz konularda kişisel görüşlerini dayatmaya çalışmak
  • Öğrencilerin değerlendirmesinde adil ve dürüst olmayan, tarafsızlığı bozacak şekilde davranmak
  • Öğrencilere duygusal ya da psikolojik tacizde bulunmak
  • Öğrenci gizliliğini ihlal etmek, kişisel ve ailevi sırları açıklamak
  • Hediye ve rüşvet almak
  • Öğrencileri ve ailelerini kişisel işlerine alet etmek

Öğretmenlik Meslek Etiği İlkeleri

  • Profesyonellik
  • Hizmette sorumluluk
  • Adalet
  • Eşitlik
  • Sağlıklı ve güvenli bir ortamın sağlanması
  • Yolsuzluk yapmamak
  • Dürüstlük- doğruluk ve güven
  • Tarafsızlık
  • Mesleki bağlılık ve sürekli gelişme
  • Saygı
  • Kaynakların etkili kullanımı

 

İş Yerinde Etik Ortam Sağlamak

Kurumlarda huzurlu ve verimli iş ortamını sağlamanın temel koşullarından biri etik ilkelere uygun davranmaktır. Bu yönde görev ilk önce yöneticilere düşmekle birlikte çalışanların da katkıda bulunması gerekmektedir.

Farklı Mesleklerde Etik İlkeler

Genel olarak iş hayatında etik ilkeler birbirine benzer özellik taşır. Ancak çeşitli meslek gruplarında farklılıklar hatta zıtlıklar olabilir. Bu durum çelişkili olmakla birlikte o işin yapısına uygundur. Örneğin; gıda sektöründe reklam, şirketler için önemli bir unsurken mali müşavirlik meslek dalında reklam yasaklanmıştır.

Bu etik ilkeler, günümüzde bazı meslek gruplarınca kurulan dernekler tarafından yazılı hale getirilmiştir. Örnek olarak hekimlik meslek etiği kuralları, yazılım mühendisliği meslek etiği kuralları verilebilir.

Bütünü belli mesleği ifade eden etik kurallar vardır. Birbirinden farklı ne kadar meslek varsa o kadar farklı etik ilkeler vardır. Mesleklerin özelliğine göre etik ilkelerde zıtlıklar olabilir. Ör; psikolojik danışman, hastanın sırlarını saklar. Hâkimler herhangi bir olayda soruşturma sürecinde herhangi bir bilgi vermezken yargılama sürecinde bilinenlerin açıklığa kavuşmasını sağlar.

Bir meslek görevi yerine getirmede yapılan herhangi bir hata, o meslek çevresinin dışında pek eleştirilmez. Çünkü herkes o mesleğin gerektirdiği sorumlulukların neler olduğunu tam olarak bilemeyebilir.

Meslek gruplarının hak ettiği saygınlığı elde etmeleri, kendi içlerinde yönetilmesi, denetlenmesi ve gerektiğinde cezai yaptırımlar uygulanması gerekmektedir. Çünkü meslekten uzaklaştırılan kişilerden dolayı diğer meslektaşlar itibar kazanacaklardır.

“Sosyal adalet” herkesin hakkının eşitlik ilkesine göre gözetilmesi, adaletin yaygınlaşması, olarak tanımlanabilir. Yani; herkese kabiliyetine uygun yükselme imkânlarının tanınması, insanlardaki doğuştan var olan yeteneklerin gelişmesine fırsat hazırlanması, herkesin ürettiği hizmet ve yaptığı görev karşılığında hak ettiği maddi ve manevi mükâfata kavuşturulması, sıkıntıların da nimetlerin de adalete uygun olarak dağıtılması demektir.

Sosyal adaletin yaygın olduğu toplumlarda insanlar dertte ve kıvançta ortak davranmanın gereğine inanırlar. Böyle toplumların sosyal refah düzeyi de yüksek olur. Çünkü bu sayede her birey, çabasının karşılığını görür, haksızlığa uğramaz; vazife, hak, mükâfat hususunda herkes yarınından emin olur. Sosyal adalet, toplumda demokratik hak ve hürriyetlerin herkese eşit ölçüde verileceği bir ortam hazırlar. Hiç kuşkusuz sosyal adaletin,  bir milletin bütün fertlerinde, bir devletin bütün müesseselerinde yerleşmesi o ülke insanlarının çok dengeli ve mutlu bir hayat sürmelerine sebep olur.

Meslek birliği, üyeleri arasındaki birlik ve beraberliği sağlamak, aynı ilke ve değerler etrafında toplamak, meslek grubunu toplum içinde onurlu ve saygın bir konuma getirmek ve herkes için yararlı bir meslek ortamı sağlamaktır. Aynı meslek grubundaki kişiler bir araya gelerek çeşitli birlikler oluşturmuşlardır. Bunlar; tabip odaları, barolar birliği; ticaret odası, şoförler derneği, esnaf ve sanatkârlar derneği vb. gibi kurumsal, yasal iş birliği kuran kurumlardır.

 

Çalışanların Etik Profilleri

Çalışanların işletmeye karşı sorumluluğu her şeyden önce sadakat bilincine erişmiş olmasıyla başlar. İşletmenin hakları ile çalışanların hakları iç içedir. Bir tarafın hakkının göz ardı edilmesi zaman içinde karşı tarafın haklarına da olumsuz yansıyacaktır. İster özel girişim olsun, ister kamu kuruluşu olsun çalışanların azami düzeyde işletmenin tüm değerlerini kendi öz değerleri gibi koruyup sahiplenmesi önemlidir.

Hindistan başbakanı İndra Gandi’nin torununa verdiği şu öğüt dikkate değerdir. “İki türlü insan vardır. İş yapanlar ve yapılan işten kendilerine pay çıkaranlar. İş yapanlardan ol. Hem orda diğerlerinden daha az rekabet vardır.”

  1. asır filozoflarından Bacon ise “Bizi güçlü yapan yediklerimiz değil hazmettiklerimizdir. Bizi zengin yapan kazandıklarımız değil muhafaza ettiklerimizdir, bizi bilgili yapan okuduklarımız değil kafamıza yerleştirdiklerimizdir ve bizi sevimli yapan başkalarına verdiğimiz öğütler değil onları kendimizde uygulamamızdır” demiştir.

İş etiğinde incelenecek en önemli konulardan biri de bireysel etik davranışlardır. Bireylerin etik davranış biçimlerinin incelenmesi, iş etiğini belirlemede önemli bir faktördür. Bireylerin etik davranışlarını etkileyen diğer bir özellik de çalışanların özellikleridir. Genel olarak çalışanları üç davranış kalıbı içerisinde değerlendirebiliriz.

  • Çıkarcı
  • Görevci
  • Ahlakçı

Çıkarcı davranış; etik ilkeleri yok sayan bir davranış biçimidir.

Görevci davranış; tamamıyla değerlere kurallara riayet etme anlayışını içermektedir. Ahlakçı davranış; kurum ve hizmet yararını ön planda tutan bir davranış biçimidir.

 

Etik Liderlik

Liderin sözlük anlamı, “Yönetimde gücü ve etkisi olan kimse, önder, şef, bir partinin veya bir kuruluşun en üst düzeyde yönetimiyle görevli kişi” olarak tanımlanabilir.

Liderlik; belirli şartlar altında belirli kişi ve grup amaçlarını gerçekleştirmek üzere organizasyonun diğer elemanlarını etkileme, motive etme ve yönlendirme süreci olarak tanımlanabilir.

Liderlik, belli bir durumda, belli bir alanda ve belli koşullar altında bir grup içindeki; insanlara örgütsel hedeflere ulaşmada yardımcı olacak deneyimleri aktarma ve uygulanan liderlik türünden hoşnut olmalarını sağlayarak grubu etkileme süreci olarak tarif edilebilir.

Yönetim sürecinde liderlik iki şekilde karşımıza çıkmaktadır.

  • Resmi (formal) liderlik; yöneticinin bu göreve resmi atanmasıyla olur ve daha çok yönetici olarak adlandırılır.
  • Gayri resmi (informal) liderlik; atanmak suretiyle değil sahip olduğu bazı özelliklerden dolayı güç sahibi olan kimse.

Yönetici ve liderin özellikleri şunlarıdır:

YÖNETİCİ LİDER
Yönetir Yaratır, yenilik yapar
Düzeni sürdürür Farklılık yaratır
Koruyucu Geliştirici
Bir kopyadır Orijinaldır
Sistem ve yapılara odaklaşır İnsana odaklaşır
Kontrole güvenir ve etkin kılar İnsanlarda güven duygusunu geliştirir
Kısa vadeli bakar Uzun vadeli bakar
Nasıl ve ne zaman sorularını sorar Niçin sorularını sorar
Mevcut durumu savunur Statükoya meydan okur
İşleri doğru yapmaya çalışır Doğru işleri yapar

Liderin taşıması gereken özellikler şunlardır:

  • Ulaşmak istediği amaç ve hedefleri belirleyerek stratejileri oluşturmak
  • Vizyon sahibi olmak
  • Yaratıcı olmak
  • Duyarlı olmak
  • Dürüst ve güven verici olmak
  • Çalışanları motive etmek, gelişmelerini sağlamak
  • Sistemi bir bütün olarak görmek
  • Takım çalışması yararına inanmak
  • Kişiler arası etkin iletişim kurabilmek ve sürdürmek, eldeki verileri kullanarak bilgi ile yönetmek

Etik liderlik; belirli etik değerlere ve ilkelere ön planda sahip olan liderlik yaklaşımıdır. Etik liderliğin gösterilmesi için ortamın uygun olması ve lideri izleyenlerin de aynı değerleri ve ilkeleri benimsemesi gerekir.

  • Lider, doğruluk ve hakkaniyet ilkelerini hayata geçirir.
  • Lider astlarının sorunlarına duyarlı olur, farklı görüşlerin ifade edilmesine imkân tanır.
  • Kurumsal başarı için; kimlik, katılım, hakkaniyet ve yetkinlik ilkelerini temel alır.
  • Lider çalışanları motive eder.
  • Çalışanların kimliğine değer veren bir çalışma kültürü oluşturarak sorunlara yaklaşır.
  • Etik ve kurumsal bağlılığı birleştirerek şaşırtıcı sonuçlar meydana getirebilir.
  • Çalışkanlığa, dürüstlüğe ve yüksek performansa değer verir.
  • Bu değerleri ödüllendirecek şekilde kuruluşu düzenler.
  • Etik ilke sınırları içinde, kurumun tüm potansiyelini harekete geçirir.

Liderlerin görevlerinden biri de kurumsal bir etik anlayışının oluşturulmasıdır. Bu kurumsal etik anlayışını hazırlarken; etik ilkeleri herkesin bir numaralı sorunu haline getirmelidir. Herkesi bu konuda sıkı çalışmaya özendirmelidir. Bu ilkelere aktif bir ilgi duymayı sağlamalıdır. Etik davranış sergileme ile performans arasındaki ilişkiye dikkat edilmelidir. Açık bir iletişim tarzı sergileyip davranış ve eylemleri ile örnek olmalıdır.

Etik liderin özelliklerini aşağıdaki gibi sıralayabiliriz.

  • Söylediği gibi davranmak
  • Tutarlı olmak
  • Yol gösterici olmak
  • Motive edici olmak
  • Güven vermek
  • Tarafsız ve geniş görüşlülük
  • Yaşamsal bir rol oynamaktır.

 

İş Yerinde İş Etiğine Uygun Ortamda Çalışmak

Sanayileşme ile personel yönetimi önem kazanmıştır. Üretim faktörleri arasında en önemli ve en zor kontrol edilebilen emek faktörünün zaman içinde çeşitli gereksinimleri dikkate alınmıştır.

Türkiye’de işçi ve işveren ilişkilerini düzenleyen yasalar ile ilgili çalışmalar, Osmanlılar tarafından 19. yüzyılın ikinci yarısında başlamış fakat 1960 ve 1982 Anayasalarında yer almıştır. İşletmenin iç çevresi de denilen çıkar gruplarından çalışanları adil bir ücret politikası ile ücretlendirmek, insanlık standartlarını olumsuz bir şekilde etkilemeyecek teknolojinin kullanımı ile sağlıklı ve güvenli çalışma koşulları sağlamak, azami sayıda sakat ve eski hükümlü istihdamı, çalışanların moralini yükselten iş güvenliği sözleşmeleri toplumsal sorumluluğun yerine getirilmesinin bir boyutunu oluşturmaktadır. Aynı zamanda çalışma verimini artırmada güdüleyici bir rol oynayan sosyal etkinlikler de iş stresini azaltmada aynı düzeyde değerlendirilebilir.

Çalışanlara ödenen ücret tek başına hiçbir zaman yeterli değildir. “Maslow’un ortaya koyduğu gibi, bir negatif hijyen etkenidir. Eğer verilen ücret yetersiz ise, zamanla insanlar giderek hoşnut kalmayacaklardır. Sadece verilen ücreti artırmak (yeterli ücret düzeyinin üzerine çıkarmak) insanları işletme için daha çok çalışmaya yönlendirmeyecektir. Bireyleri teşvik için, onlara birey gibi davranıp ilgi gösterilmesi gerekmektedir. Ayrıca hem örgütsel etkinlik hem de, bireylerin mutlulukları için, kişisel özellik ve becerilerinin belirlenerek bireyin uygun işe yerleştirilmesi, kendini geliştirmesine yardımcı olunması da bir sosyal sorumluluk gereğidir.

Yöneticilerin, işletmede çalışan işçilerin çıkarlarını koruyabilmeleri için, sendika kurma, sendikal faaliyetlerde bulunma ve grev hakkına engel olma ve hatta bunun için uygun bir ortam yaratması çalışanlara karşı etik sorumluluğunun bir gereğidir.

Yöneticilerin, çalışanların iş performanslarını belirlemek ve kişiliği ölçen psikolojik testlerden yararlanarak haklarında bilgi sahibi olabilmek için teknolojinin nimetlerini kullanmaları doğal olduğu kadar, iş etiği açısından sorgulanması gereken başka bir konudur. Çalışanların monitörlerle izlenmeleri, e-maillerinin kontrolü hatta dini ya da siyasi görüşlerinin değerlendirilmesi, psikolojik açıdan bunalımlara neden olabilir. Çalışanların güvenli ve sağlıklı çalışma imkânlarından yoksun olması bir takım psikolojik, psikosomatik ve fiziksel rahatsızlıkları ortaya çıkarabilir.

İş yerlerinde etik değerlere uygun çalışma ortamını gerçekleştirmenin temel koşulları vardır. Bunların başlıcaları şunlardır:

  • Etik ilkeleri belirlenip açıkça ilan edilmeli.
  • Etik değerlere bağlı kalınmalı.
  • Davranışlarla örnek olunmalı.
  • Çalışanların bu konudaki eğitimi sağlanmalı.
  • Çalışanların tüm yasal haklardan yararlanmaları sağlanmalı.
  • İletişim olanakları desteklenmeli.
  • Bir etik kurulu oluşturulmalı.
  • Tutarlı olunmalı.

 

Sonuç

Saygınlık ve güven kazanmak, ait olduğumuz grubun ilke ve kurallarına uymamızla mümkün olur. İcra ettiğimiz meslekle ilgili belirlenmiş ilke ve kurallara uymak kurulan birlik ve düzenin devamı açısından çok önemlidir. Mesleki gereklilikleri yerine getirmek hem bizim kendimize olan güvenimizi kazanmamızı, hem de toplumun meslek mensuplarına karşı güveninin artmasını ve mesleğin yüceltilmesini sağlar. Meslek etiği ilkelerine uygun davranış gösteren meslek mensupları, verdikleri hizmetlerin doğruluğu ve kalitesi nedeniyle yaptıkları işle ilgili tarafların, meslektaşlarının, devletin ve toplumun güvenini ve saygısını kazanırlar.

 

Kaynakça

  1. Süleyman Demirel Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi Y.2012, C.17, S.1, s.403-421
  2. Meslek Etiği, T.C. Milli Eğitim Bakanlığı, Mesleki Eğitimi Ve Öğretimi Güçlendirilmesi Projesi, Syf: 40-42 Ankara, 2006.
  3. BİRİNCİ, Görkem (2009), “Etik, İnsan Hakları ve Kamu Yönetimi” Kamu Etiği Sempozyum Bildirileri 1, TODAİE Yayını, Ankara, s. 149- 164.
  4. KILIÇ, Bülent; Rıfat Kamaşak (2009), “Bireysel ve Kültürel Faktörlerin Çalışanların İş Ahlakına İlişkin Tutumlarına Etkisi” Kamu Etiği Sempozyum Bildirileri II, TODAİE Yayını, Ankara, s. 713-719.
  5. BİRSEL, Melek (2007), “İnsan Kaynakları Uygulamalarında Etik Yaklaşımlar”, Edt: Suna Tevrüz, İş Hayatında Etik, Beta, İstanbul,s.151- 178.
  6. ÖZDEMİR, Murat (2008), “Kamu Yönetiminde Etik”, ZKÜ Sosyal Bilimler Dergisi, Cilt 4, Sayı 7, 2008, s. 179-195. http://iibf.karaelmas. edu.tr/sbd/makaleler/1303-9245/200804007177193.Pdf.(23.05.2010).
  7. KILAVUZ, Raci (2003), Kamu Yönetiminde Etik, Seçkin, Ankara.
  8. GÖKÇE, Orhan; Erhan Örselli (2011), “Kamu Yönetiminde Etik ve Etik Dışı Davranış Algısı” , İş Ahlakı Dergisi, Cilt 1, Sayı 7, Mayıs, 2011, s. 45-66.
  9. ERYILMAZ, Bilal; Hale Biricikoğlu (2011), “Kamu Yönetiminde Hesap Verebilirlik ve Etik”, İş Ahlakı Dergisi, Cilt 1, Sayı 7, Mayıs, 2011, s. 19-45.
  10. STEINBERG, Sheldon S. David T. Austern (1995), Hükümet Ahlak Ve Yöneticiler, Çev: Turgay Ergun, TODAİE Yayını, Ankara.
  11. ÖZGENER, Şevki (2004), İş Ahlakının Temelleri, Nobel Yayın Dağıtım, Ankara.
  12. DURKHEIM, Emile. (1949). Meslek Ahlakı. (Çeviren: Mehmet Karasan). Ankara: Milli
  13. ŞAHİN, Gökhan (2018), Bilişim Etiği ve Bilişim Güvenliği, 11.06.2020 tarihinde https://www.sahingokhan.com/bilisim-etigi-ve-bilgi-guvenligi-1/ adresinden alındı.
  14. ATEŞ, Mehmet Cem (2012), Mühendislik Etiğin İlkeleri, 11.06.2020 tarihinde https://www.elektrikport.com/teknik-kutuphane/muhendislik-etiginin-ilkeleri/4454#ad-image-0  adresinden alındı.
  15. Photo by Tim Gouw on Pexels


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Türkiye’de Bilişim Hukuku

İÇİNDEKİLER

 

  • Giriş
  • Bilişim Hukuku
  • Türkiye’de Bilişim Hukuku
  • Türk Ceza Kanunu Çerçevesinde Bilişim Suçları Hükümleri
  • Sonuç
  • Kaynakça

 

Giriş

 

Teknolojinin gelişmesiyle her geçen gün bilişimin farklı türünde suçlar ortaya çıkmaktadır. Buna paralel olarak da yeni düzenlemeler eklenmiştir. Ortaya çıkan yeni bilişim suçuna yönelik bilişim hukukunda yeni yaptırımlara uygulanmıştır. Devletin hukuki olarak kişilere tanığı bilişim alanındaki hak ve özgürlüğü güvence altına almaya yönelik çalışmalar izlenilmektedir. Bilişim suçları, bilişim hukuku çerçevesinde Yargıtay Kararlarının içerik analizine yönelik incelenmektedir. Ülkemizde bilişim hukuku açısından yapılan yaptırımların uygulamadaki boyutu ve niteliği bilinmelidir.

 

Bilişim Hukuku

 

Ülkemizde son yıllarda internetin yönetimsel ve hukuksal yönlerinde önemli yasal gelişmeler gerçekleşmiştir. Bu yasal gelişmelerden yönetimsel olanların ana kaynağı 05.11.2008 kabul tarihli ve 5809 sayılı Elektronik Haberleşme Kanunudur. Türkiyede transmisyon hatlarını kurma yetkisi ve bunlar üzerindeki mülkiyet hakkı 10.06.1994 tarihli ve 4000 sayılı kanunla değişik 406 sayılı Telgraf ve Telefon Kanununun 1. maddesi gereğince Türk Telekomünikasyon Anonim Şirketine ait iken, Elektronik Haberleşme Kanunu bu yetkiyi Türk Telekomdan alarak bu kuruluşun internet omurgası konusunda sahip bulunduğu tekel yetkisine son vermiştir. (İçel,2009)

 

Bilişimin insan hayatındaki yeri ve öneminin artması doğal olarak bilişim alanında ortaya çıkmasına da sebep olmuştur. Kanun koyucu tüm dünyada olduğu gibi öncelikle Ceza Hukukunda bilişim alanında yaşanan hukuksuzlukların giderilmesi için düzenleme yoluna gitmiştir. Ancak bu düzenlemeler kanun uygulayıcıları olan hâkim, savcı ve avukatların konuya yeterince vakıf olmamaları nedeniyle işlevsiz ve yaptırımlarının kullanılmaz olmasına neden olmaktadır. Ancak hayatın kendi içindeki dinamikleri zaman içinde bu normların kullanımını ve önemini arttıracaktır. Her ne kadar akademik çalışmalar ve hukukî düzenlemeler bilişim hukukunun ceza boyutunda yoğunlaşmış ise de uluslararası hukukta gelişmeler ve Fik ve Sınaî mülkiyet haklarının ekonomik önemi nedeniyle çalışmaların bu alanda yoğunlaşması kuvvetle muhtemeldir. (Gürler,2006)

 

Türkiye’de Bilişim Hukuku

 

Türk ceza hukukunda bilişim suçlarında düzenleme gerçekleştirilmeden önce bilişim suçları kapsamındaki fiillerin hırsızlık, dolandırıcılık, nas-ı ızrar (mala zarar verme) gibi klasik suç tipleri ile değerlendirilmeye çalışıldığı; çoğu kez suçun unsurlarının örtüşmemesinden ötürü hatalı uygulamaların meydana geldiği veya yasal boşluk sebebiyle bu tür eylemlerin yaptırım dışı kalmasının söz konusu olabildiği belirtilmekte olup, söz konusu düzenlemenin Bilişim tekniği çağdaş hayatta büyük süratle yaygınlaştığı için, yerleştirilmiş program, veri ve diğer bütün unsurları en büyük hassasiyetle korumak zarureti bu (babdaki) hükümlerin getirilmesini gerektirmiştir gerekçesi ile ilk kez ceza mevzuatımıza dâhil olduğu ifade edilmektedir (Taşdemir, 2001, s.42-43).

 

Bilişim suçlarına yönelik Türkiye’de ilk yasal metin, 765 sayılı Türk Ceza Kanunu’na 1991 yılında eklenen “…bilgileri otomatik işleme tabi tutan sistem…” ibaresidir. Bundan sonra ortaya çıkan ihtiyaçlar neticesince birçok kanuna bilişim ile ilgili hükümler eklenmiştir. Bilişim suçları ile ilgili en kapsamlı düzenleme 5237 sayılı Türk Ceza Kanunu’nda yer almaktadır. Türk Ceza Kanunu’nun 243. 244. ve 245. maddelerinde bilişim suçları düzenlenme müstakilen düzenlenmiştir.  (Turan,2014)

2004 yılında baştan sona yenilenen Türk Ceza Kanunu’nun bilişim alanında suçlar kısmı da bilhassa Avrupa Siber Suç Sözleşmesine paralellik sağlamak amacıyla yeniden düzenlenmiştir. Günümüzde ise son dönemde yaşanan hukuksal değişimler, TIBe tanınan yetkilerle birlikte, devletin internet üzerinde kontrol ve yasakları artmıştır. (Küçükvardar,2018)

5237 sayılı TCK’nın bilişim suçları ile ilgili hükümleri oldukça geniştir. Kanundaki başlıca konular bilişim sistemlerine girme, bilişim sistemlerini engelleme, bozma, verileri yok etme veya değiştirme, banka veya kredi kartlarının kötüye kullanılması, tüzel kişiler hakkında güvenlik tedbiri uygulanmasıdır. Genel olarak kanunda başkasının hakkına dijital ortamda herhangi bir şekilde tecavüz eden kişiler suç işlemiş sayıldığı ve bu suçlardan herhangi birini işleyen kişiler hakkında bir yıl ile beş yıl arasında hapis cezası ya da adlî para cezası verildiği belirtilmektedir. (Şamlı, 2010)

 

Türk Ceza Kanunu Çerçevesinde Bilişim Suçları Hükümleri

 

İnternetin kullanımının yaygınlaşması ile özellikle bankacılık alanında çok çeşitli finans enstrümanları geliştirilmiştir. Bu enstrümanlar ile bireysel ya da kurumsal yatırımcıların kolayca işlem yapması ya da finansal araçları kullanması amaçlanmaktadır. Bu araçlar ile yapılan ve parasal işlemler ihtiva eden faaliyetler internet ortamında suç faillerinin bu ortamları da hedef almasına, bilişim suçlarının bu alanda giderek artmasına sebep olmaktadır Tüm bunlara paralel olarak önleyici, tespit edici ve düzeltici tedbirlerin alınmasında da teknolojik ve hukuki altyapı oluşturulmaktadır. Bu çerçevede geleneksel anlamda işlenebilen suçların elektronik ortamlarda işlenmesine dönük düzenlemelerde genel olarak suçun nitelikli halinin yeniden tanımlanması yoluna gidilmektedir. (Turan & Külcü, 2014)

 

Türk Ceza Kanunu’nda bilişim suçları kapsamında Yargıtay kararları değerlendirildiğinde, suçların konusunun büyük çoğunluğunun doğrudan bilişim suçu (Gerçek Bilişim Suçları) olarak tanımlanan 243-245 maddeleri ihlal edilmek suretiyle oluştuğu yapılan bir içerik analiziyle tespit edilmiştir. TCK kapsamında işlenen suçlar büyük oranda sistemi engelleme, bozma, verileri yok etme veya değiştirme hususlarını içeren TCK 244 (%25) ile “banka veya kredi kartlarının kötüye kullanılması” hususlarını ihtiva eden TCK 245’inci (%62) maddeleridir. (Turan & Külcü, 2014).

 

5651 sayılı Kanunun 9. maddesinde, internet ortamında yapılan yayındaki içerik dolayısıyla hakları ihlal edilen kişilere, içeriğin yayından çıkarılmasını talep etme hakkı düzenlenmiştir. İnternet ortamında yapılan yayın içeriği nedeniyle kişilik haklarının ihlal edildiğini iddia eden gerçek ve tüzel kişiler, kurum ve kuruluşlar içerik sağlayıcısına, buna ulaşamaması hâlinde yer sağlayıcısına başvurarak uyarı yöntemi ile içeriğin yayından çıkarılmasını isteyebileceği gibi, doğrudan sulh ceza hâkimine başvurarak içeriğe erişimin engellenmesini de isteyebilir. (Erdolu,2018)

 

Sonuç

 

Bilişim teknolojilerinin olumlu yönde etkisinin yanında olumsuz etkileri de bulunmaktadır. Olumsuz etkiler alınan tedbirler ile en aza indirilmeye gereksinim duyularak bilişimin kontrollü şekilde kullanılması sağlanmaya çalışılmaktadır. Ardından çerçevede mevcut düzenlemelerde iyileştirmelere gidilmesi ya da yeni koşullara dönük düzenlemelerin geliştirilmesi işlenen veya işlenmesi muhtemel suçların engellenmesinde büyük önem taşımaktadır. Devletin, bilişim suçları kapsamında kişilere sunduğu, Türk Ceza Kanunu’yla hakları yasal olarak korunmaktadır.

 

KAYNAKÇA

 

  1. Erdolu, B.(2018), SON ZAMANLARIN TREND HUKUK ALANI “BİLİŞİM”, Ankara Barosu Hukuk Gündemi Dergisi, s. 20-23
  2. İçel, K.(2009), Türkiye’de İnternet Ortamında İşlenen Suçlardan ve Kabahatlerden Sorumluluğun Genel Esasları- Erişimin Engellenmesi– İçeriğin Yayından Çıkarılması ve Cevap Hakkı, İstanbul Ticaret Üniversitesi Sosyal Bilimler Dergisi, Sayı 16, s,18
  3. Gürler, C. (2006), Bilişim Hukuku Üzerine, EMO ANKARA ŞUBESİ HABER BÜLTENİ, s.7
  4. Küçükvardar, M.(2018), Changing Face Of The Phenomenon Of Crime: Cyber Crime, ISophos: International Journal of Information, Technology and Philosophy
  5. Photo by Scott Graham on Unsplash
  6. Şamlı, R. (2010), Türk ve Dünya Hukukunda Bilişim Suçları, Akademik Bilişim’10- XII. Akademik Bilişim Konferansı Bildirileri, Muğla: Muğla Üniversitesi
  7. TAŞDEMİR K. (2001), Uygulamada Bilişim Suçları, Panel- Bilişim Suçları, T.C. Adalet Bakanlığı Hâkim ve Savcı Adayları Eğitim Merkezi Başkanlığı, Ankara
  8. Turan, M. & Külcü, Ö. (2014), Identification of Cyber Crimes in Turkey and Content Analysis For Infringements, Türk Kütüphaneciliği 28
  9. Turan, O. (2018), Bilişim Hukuku, Bilgi Teknolojileri ve İnternet’in Bilinçli, Güvenli Kullanımı, Fatih Projesi, MEB Kaynakları

 

 


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Bilişim Suçlarının Bireyler Üzerindeki Etkisi

İÇİNDEKİLER

GİRİŞ

BİREYSEL ETKİLERİ

PSİKOLOJİK ETKİLERİ

DUYGUSAL TEPKİLER

ÇARESİZLİK HİSSİ

TÜKETİCİ ÜZERİNE ETKİSİ

SİBER ZORBALIK – GENÇLERE OLAN ETKİSİ

MAHREMİYET

MAĞDURİYET

GÜVEN KAYBI

KORUNMA

SONUÇ

KAYNAKÇA

 

GİRİŞ

İnternetin neredeyse her yere ulaştığı bu dönemlerde sürekli kendini geliştirip bunun gerisinde kalmayan siber suçlar internet ile birlikte günlük hayatımızın bir parçası haline geldiler. Bu makalede ise günlük hayatımızın bir parçası olmuş siber suçların bireylerin üzerinde yarattığı ekonomik, psikolojik ve sosyal etkilerini öğreneceksiniz. Siber suçlara karşı tedbirsiz olursanız karşılaşabileceğiniz durumlar hakkında bilginiz olacaktır.

BİREYSEL ETKİLERİ 

Her geçen gün internet daha popüler olmaktadır. Bu popülerliğin sonuçları ise bireylerin iletişim ve haberleşme, internet üzerinde reklam, alışveriş, araştırma, rezervasyon, bankacılık, kamu hizmetlerinden yararlanma, hukuk, sağlık güvenlik işlemleri ve bunların takibini internet üzerinden yapmalarını sağlamaktadır. Nisan 2016 Türkiye İstatistik Kurumu araştırma verilerine göre hanelerin %76,3’ü internete erişim imkanına sahiptir. Finansal yatırımlar, başvuru ve üyelik formları, bankacılık işlemleri yaparken bir takım kişisel bilgiler karşı tarafa verilmek durumunda kalınmaktadır.(TİK, 2016) Vatandaş kimlik numarası, doğum tarihi, nüfus cüzdan fotokopisi, kredi kartı bilgileri, iş ve aile bilgileri gibi bireye ait olan ve korunması gereken bilgiler çoğu zaman bilinçsizce bilinçsiz bir şekilde karşı tarafa verilebilmektedir. Bu da bireyleri siber suçlara karşı açık hedef haline getirmektedir. Bireyler kendilerine ait olan ve internet üzerinde maddi veya manevi mağduriyet yaşamalarına sebep olacak bilgilerini dikkatsizce paylaşmamalıdır. Kurumlar ise onlarla paylaşılan bu bilgileri gizlilik,bütünlük ve erişebilirlik çerçevesinde korumalıdır.  (Şahinaslan, Ö., & Şahinaslan, E., 2019)

PSİKOLOJİK ETKİLERİ

Bilişimsel suçların etkilerinin üzerine yapılan çalışmalar sonucunda, psikolojik etkilere neden olabilecekleri gözlemlenmiştir. ((Gandhi, et al., 2011; Dallaway, 2016; Modic & Anderson, 2015) Siber suç mağdurları, duygusal travma geçirebilecek seviyeye gelebilirler. Bu duygusal travma ise depresyon ile sonuçlanabilir. Bazı olaylarda mağdurların Akut Stres Bozukluğuna dair semptomlar gösterdiğine dair kanıtlar bulunmuştur. Örneğin sanal dünya üzerinden yapılmış cinsel saldırı sonucu travmanın yineleyerek mağdurun gözünde yaşanması olabilir.(Lynn, 2007) Çoğu durumda mağduriyet hissi mağdur olan kişilerde öfke ve kaygı gibi hisler uyandırdığı gibi mağdurların yeni teknolojilere olan güven kaybından dolayı onlardan uzak kalmalarıyla sonuçlanabilir. Mağdurların bazı durumlarda kendilerini suçladıkları da gözlemlenmiştir. Bu suçlamanın sonuçları ise kendine öfke duyması veya kendinden utanması gibi değişebilir. Buna verilebilecek en iyi örnek ise sextortion kurbanlarıdır. (Nurse, 2018)

Bazı mağdurlar ise insanların onları olaydan kısmen veya tamamen sorumlu tuttuğunu hissettiğini göstermiştir.(Symantec (2010)) Bunun başlı başına mağdur üzerinde psikolojik etkileri vardır.  

Peki insanlar suça maruz kaldıklarında ne yaparlar. Bu tepkiler ülkeler arasında değişiklik gösteriyor. Çünkü bu olay bireylerin siber suçlar üzerine farkındalıklarıyla ilgili bir durum. Örneğin İsveç de kurbanların %74’lük bir kısmı direk polisle iletişime geçiyor. Fakat bu yüzdeyi küresel olarak alırsak, bilişim suçuna maruz kalmış kurbanların sadece %44’ü polisle iletişime geçiyor. Tüm dünya üzerinden konuşmaya devam edersek mağdurların neredeyse yarısı yaşadıkları olaydan sonra kimse ile iletişim kurmuyorlar. Mağdurların 4 de 1’i olay konusunda kendi başlarına çözüm aramaya çalıştığı sonuçlarına varılmış. Bu çözüm sadece belli sitelere girmemek olsa bile. Diğer etkileri ise mağdurun kendini soyutlaması veya depresyona girmesi olabilir.  (Bada, 2019/2020, s. 9-10)

DUYGUSAL TEPKİLER

Symantec’e göre, bilişim suçları mağdurlarında en çok görülen duygular; öfke, huzursuzluk ve aldatılma hissidir. Çoğu olayda ise siber suçun mağduru olmanın kendi hataları olduğu düşünüyorlar. Araştırmaların sonucunda insanlar sadece küçük(%3) bir bölümünün siber suç mağduru olmayacağını düşündüğünü ortaya koymuştur. Aynı araştırma sayesinde neredeyse %80’lik bir kısmın siber suçların cezasız kalacağına kendini inandırmış olduğunu göstermiştir. Loyola Marmymount Üniversitesi’nde psikoloji profesörü olan Joseph LaBire, “ İnsanların bilişim suçlarına karşı yapılacak bir şey olmadığına inandığı için bu durumu kabul ettiğini” söylemiş. Konuya karşı olan bilgisizlikten kaynaklanan çaresizlik hissi yüzünden ise sonuçlarına katlanmak pahasına bu olayı normalmiş gibi kabullenmiş durumdalar. Duygusal ağırlığına, evrensel tehdide ve siber suç olaylarına rağmen, insanlar hala davranışlarını değiştirmediği gibi yetişkinlerin sadece yarısı (% 51) mağdur olduklarında davranışlarını değiştireceklerini söylüyor. İnternet kullanıcıların neredeyse yarısı ise internet üzerinden para ödemeden şarkı indirmenin yasal olduğunu, %24’lük kısmı ise internet üzerinden başka kullanıcıların internet geçmişini ve parolalarına bakmanın yasal olduğunu düşünmektedirler. ( Rao, Pradhan, Panda, & Rath, 2020, s. 4)

ÇARESİZLİK HİSSİ

Bulgulara göre 10 insandan 1’i internet üzerinde kendilerini “çok” güvenli hissettiğini iddia ediyor. Aynı zamanda yetişkinlerin sadece %51’i eğer mağdur olurlarsa internet üzerine olan tutumlarını değiştireceklerini belirtmiş. (Symantec, 2010)  İnsanlar bazı olaylar hakkında yeteri kadar bilgisi olmamasından  veya konuya anlayamadığından dolayı  hoşlarına gitmese bile bu olayı kabullenebiliyorlar. Bundan yola çıkarsak ise insanların siber saldırıları çaresizlik hissinden dolayı kabullendiği sonucuna varabiliriz. Siber suçlar konusunda bilgi eksikliğinden ve olayları nasıl çözeceklerini bilmediklerinden, kullanıcılar kurban olma ihtimallerini kabullenmiş durumdalar. Burada karşımıza önemli bir soru çıkıyor. Aynı zamanda siber suçların etkilerinin gerçekliğinin farkındalar mı? ( Rao, Pradhan, Panda, & Rath, 2020, s. 4)

Siber suçun gizemli doğası yüzünden bireyin bir noktada siber suç kurbanı olacağını ve bundan kaçışının olmayacağını düşünmesi kaçınılmaz oluyor. Dahası çaresizlik hissinden kaynaklanan yetersiz güvenlik önemleri gibi bireyi siber suçlara karşı savunmasız bırakabilecek durumlar ortaya çıkarabilir. ( Rao, Pradhan, Panda, & Rath, 2020, s. 4)

Kullanıcılar her gün güvenlikleriyle ilgili kararlar vermek zorunda kalıyorlar. Bu da onlarda kaygıya yol açıyor. Zorunda kaldıkları kararlara örnek vermemiz gerekirse.

  1. Tanımadıklarından birinden gelen e-maili bakıp bakmamak,
  2. Bilmedikleri ekleri açıp açmamak,
  3. Programları çalıştırıp, indirmeyi güvenilir kaynaklardan yapmak,
  4. Anti-virüs ve güvenlik programlarının seçimi ve kullanımı,
  5. Düzenli olarak yedeklemeler yapmak.

Bunlardan bazıları kullanıcılarda kaygıya yol açabilir. Bunun sebebi ise yanlış seçimlerin doğurabileceği sonuçları bilmemeleri veya siber suçlar hakkındaki bilgilerinin yetersiz olmasıdır. ( Rao, Pradhan, Panda, & Rath, 2020, s. 4)

TÜKETİCİ ÜZERİNE ETKİSİ

Teknolojilerin gelişmesi dolayısıyla internet üzerinden çoğu işlememizi gerçekleştirebilecek durumda olmamız. Özellikle ticaret işlemlerinde toplumu siber suçlulara karşı hedef haline getirmiştir.. E-ticaretin yaygınlaşması ile birlikte ise ticaret dünyasının karanlık yüzü siber suç olarak anılmayı başladı. Siber suçlar online alışverişi birçok şekilde etkilemektedir. Norton antivürüs firması tarafından gerçekleştirilmiş bir araştırmaya göre, dünya genelinde internet kullanıcılarının yaklaşık %65’i internet üzerinden kredi kartı dolandırıcılığı, kimlik hırsızlığı gibi birçok siber suça maruz kalmaktadır. (Rahman, 2017)

Şirketler, online alışverişe yönelik bu tehditlerin iş gelecekleri üzerinde olumsuz etkileri olduğunu fark etmelidir. Tüketicilerin internet’e alternatif bir alışveriş aracı olarak güvenini sağlamak için  ise bu tehditlerin ortadan kaldırılmasını veya önemli ölçüde azaltılmasını sağlamak adına uygun önlemleri alması gerekmektedir. Tüketiciler ise kurumları yeterli önlem aldığından emin olduğu sürece özel bilgilerini onlarla paylaşmalıdır. Ayrıca özel bilgilerini başka kimseye söylememeleri de gelecekteki mağduriyetlerini engelleyecektir.  ( Rao, Pradhan, Panda, & Rath, 2020, s. 4)

SİBER ZORBALIK – GENÇLERE OLAN ETKİSİ

Günümüzde gençlerin en büyük korkusu olan siber zorbalık. Son yıllarda yaygınlaşmıştır, Etki alanı daha çok 18 yaş altı gençlerdir. Araştırmalara göre, siber zorbalıktan en çok etkilenen genç kızlardır. Siber zorbalık insanların başka kişilerden, tehdit almasından, art niyetli yorum yapmasından veya art niyetli resimler alması ile başlar. Çevrimiçi teknolojiler sayesinde yapılıyorlar. Siber zorbalık sosyal medyanın konuşma platformu üzerinden, anlık mesajlaşma uygulamaları vb. üzerinden yapılabilir. Facebook, Connect2me, Twitter gibi popüler sosyal medya platformlarını kullanan kişiler Siber zorbalıktan daha çok etkileniyor. Siber zorbalığa maruz kalan kişiler depresyon tehlikesi ile karşı karşıya olduğu gibi kendini aşağılanmış da hissediyor. Depresyon sonucu kendini zarar verecek seviyeye ulaşan olaylarla ile  karşılaşılabiliyor. ( Rao, Pradhan, Panda, & Rath, 2020, s. 4)

MAHREMİYET

  • Kişisel Bilgilerimiz Nelerdir :

Bireyin kendisine ait kişisel ve parmak izi, retina, avuç içi gibi genetik bilgiler, sağlık, eğitim, ses, görüntü, hobi, aile, e-posta, iletişim bilgileri gibi kişiyi doğrudan veya dolaylı tanımlayabilen bilgiler kişisel bilgiler kapsamındadır. (Şahinaslan, Ö., & Şahinaslan, E., 2019)

Bireye ait verilerin korunması temel insan hak ve özgürlüğünde yer alır. Kişinin bilgilerini paylaştığı kurum kişiyi bilgilendirmeden ve onayını almadan kişisel bilgilerini amacı dışında kullanmamalıdır. Bu bilgileri güvenli tutmakta kurumun sorumluluğudur. Bu bilgilerin amacı dışında kullanılmaması gerektiği yasal olarak da belirtilmiştir. 24.03.2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu  (Kişisel Verilerin Korunması Kanunu, 2018) ile ülkemizde de kişinin özel bilgileri güvence altına alınmıştır. (Şahinaslan, Ö., & Şahinaslan, E., 2019)

MAĞDURİYET

Kişisel verilerin korunması kanununun 6.maddesi; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, biyometrik verisi veya haklarında verilen ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verilerinin, kişisel bilgi olduğu belirtilmektedir. Bu bilgilerin, başkalarının eline geçtiğinde kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabileceği gerçeği yüzünden bu bilgiler yasalar ile korunmaktadır. Bireylerin temel hakkı olduğu gibi yasalar ile korunmasına rağmen bu bilgiler siber tehditlerden etkilenmektedir. Bunun sonucunda ise bireyler hukuki sorunlarla karşılaşarak mağdur olabilmektedirler. Bunun yanında iş gücü ve moral kaybı gibi birçok mağduriyette gözlemlenmektedir. (Şahinaslan, Ö., & Şahinaslan, E., 2019)

Ülkemizde çeşitli zamanlarda terör örgütüne yönelik yapılan operasyonda çok sayıda kişinin kimlik, sağlık, mal varlığı, tapu kaydı gibi bilgiler ele geçirildiği görülmektedir. Örnek vermem gerekirse 360 milyon MySpace ve Tumblr hesap bilgilerinin çalınıp satılığa çıkarıldığına dair haberde ( 360 milyon MySpace ve Tumblr hesabı çalındı, 2018) 167 milyondan fazla LinkedIn hesabının çalındığına dair iddia yer almakta. Siber güvenlik firması Comodo, WhatsApp kullanıcıları için yaptığı siber saldırı uyarısını Facebook hesaplarını da içine alacak şekilde genişlettiği, Facebook kullanıcılarının hack tehdidi ile karşı karşıya kaldığı belirtilmektedir.(Facebook kullanıcılarına siber saldırı uyarısı, 2018) Bu tür örneklere sık rastlandığı gözlemlenmektedir. Tüm bu şekilde izinsiz toplanan ya da elde edilen veriler bireyi pek çok açıdan mağdur etmektedir. (Şahinaslan, Ö., & Şahinaslan, E., 2019)

GÜVEN KAYBI

Bireylerin huzur içinde yaşayabilmesi için güven ortamı vazgeçilmezlerden biridir. Bireyin iletişim içerisinde bulunduğu her ortamda sağlıklı bir güven ilişkisi bulunmalıdır. Bu iş ilişkisi, ticari ilişki hatta devlet ile olan ilişkisi olabilir. Güvenlik kaygısının etkisi altında yaşayan bir bireyin  sağlıklı bir iletişim kurması mümkün değildir. (Şahinaslan, Ö., & Şahinaslan, E., 2019)

  1. Peki güven kaybı yaşamış bir birey için ne gibi sonuçlar beklenir:
    • Güvenlik sorunlarıyla karşılaşıp, bunlar yüzünden mağduriyet yaşamış bir birey psikolojik olarak olumsuz etkilenmektedir. (Şahinaslan, Ö., & Şahinaslan, E., 2019)
    • Problemin yaşandığı kuruma hatta devlete karşı güveni sarsılabilir. Bunun sonucunda yalnızlık, birey ve toplumdan soyutlanma, insanlara karşı güvensizlik, gelecek kaygısı gibi sonuçlar ortaya çıkabilir. (Şahinaslan, Ö., & Şahinaslan, E., 2019)
    • Yaşadığı mağduriyet kendi dikkatsizliğinden kaynaklandığı durumlarda ise olayın birey üzerindeki etkisi daha şiddetli olur. (Şahinaslan, Ö., & Şahinaslan, E., 2019)
  2. Örneğin:

Sanal bankacılık üzerine hizmet alan bir bireyin, bankanın bilerek veya tedbirsizliğinden dolayı finansal kayıp yaşaması, birey üzerinde iç huzursuzluk, hayal kırıklığı ve güven bunalımı gibi sonuçlar doğurabilir. Diğer taraftan sebebi ne olursa olsun geleceği olarak gördüğü birikimini kaybeden ya da kaybetme endişesi taşıyan insanın sağlıklı yaşam sürdürmesi güçtür. Bunun ileri boyutları yaşama son vermeye kadar gidebildiği haberlere bile rastlanabilmektedir. Bireyi etkileyen bu tarz sorunların toplumu da etkilemesi kaçınılmazdır. (Şahinaslan, Ö., & Şahinaslan, E., 2019)

KORUNMA

Güvenlik açısından çıkan problemlerin büyük bir bölümü bireylerin  tedbirsizliklerinden kaynaklanmaktadır. Çünkü teknolojinin kurulumu, programlanması hatta yönetilmesi insanlardan tarafından ayarlanıyor. Bu yüzden yeteri kadar önlem alınmamış projeler siber saldırılar için ideal kurban oluyor. Siber güvenlik alanı her geçen gün geliştiği için siber suçlular teknik aksaklıkları aramak yerine, insan kaynaklı hataları bulmaya yönelmişlerdir. (Şahinaslan, Ö., & Şahinaslan, E., 2019)

Güvenlik; teknoloji ile birlikte insana yatırım yapılmasıyla, bireylerin birbirleri arasında bilgi güvenlik farkındalığı oluşturması, kendini geliştirmesi, bilgi güvenlik faaliyetlerinin benimsenmesi, önemsemesi ve desteklemesi ile hayata geçirilebilir. (Şahinaslan , Kantürk, Şahinaslan, & orandağ, 2009)

Bireyler kişisel bilgilerinin öneminin farkına varmalı. Bunların başka kişilerin eline geçtiğinde yaşayabilecekleri zorlukların farkında hareket etmeleri, yaşayacakları mağduriyetlere karşı alabilecekleri en büyük önlemdir. (Şahinaslan, Ö., & Şahinaslan, E., 2019)

Kişisel verilerin korunmasına ilişkin kanun yürürlüğe girdikten sonra kişisel bilgilere yasal bir güvence gelmiş ise de burada esas etken bireyin farkındalığıdır. (Şahinaslan, Ö., & Şahinaslan, E., 2019)

Çeşitli iş ilişkisi ya da yasal yollarla bireylerin kişisel bilgilerini toplayan kurum ve kuruluşlarda bireyin kendisi kadar topladığı bilgilerin korunması ve sadece bireylerin izin verdiği alanlarda ilgili kullanılması konusundan sorumludur. (Şahinaslan, Ö., & Şahinaslan, E., 2019)

SONUÇ 

Günümüz teknolojileri gelişmeye devam ettikçe insanların tüm ihtiyaçlarını internet üzerinden gidermeye bağımlı hale gelmesi kaçınılmazdır. Fakat günlük hayatımız sanal dünyaya kaydığı gibi siber suçlarda geleneksel suçların yerini almaktadır. Bu yüzden siber suçların toplumumuz adına büyük bir tehdit olduğunu söylemek tam yerindedir. Ekonomik faaliyetler üzerinden olabileceği gibi insan psikolojisine açtığı yaraları da bu çalışmam ile incelemeye özen gösterdim. Toplum olarak, siber suçlara karşı hissettiğimiz çaresizlik hissinden kurtulmamız gerekmektedir.  Siber suçlara karşı çaresizlik hissi ile birlikte gelen teslimiyetten kurtulmamıza bu önayak olacaktır. Bu histen kurtulmamız alabileceğimiz güvenlik önlemlerinden en önemlilerinden biridir.

KAYNAKÇA

360 milyon MySpace ve Tumblr hesabı çalındı. (2018, Aralık 11). bbc.com: http://www.bbc.com/turkce/haberler/2016/05/160531_myspace_tumblr_hack adresinden alındı

Bada, M. (2019/2020). The Social and Psychological Impact of. Benson & McAlaney (2019/20) Emerging Cyber Threats and Cognitive Vulnerabilities, Academic Press, 9-21.

Böhme, R. & Moore, T. (2012). How do consumers react to cybercrime? eCrime Researchers Summit, Las Croabas, pp. 1-12.

Dallaway, E. (2016). #ISC2Congress: Cybercrime Victims Left Depressed and Traumatized. Infosecurity Magazine, from https://www.infosecurity-magazine.com/news/isc2congress-cybercrime-victims/ adresinden alındı

Facebook kullanıcılarına siber saldırı uyarısı. (2018, Aralık 11). haberturk.com: http://www.haberturk.com/ekonomi/teknoloji/haber/1186906-facebook-kullanicilarina-sibersaldiri-uyarisi adresinden alındı

Gandhi, R., Sharma, A., Mahoney, W., Sousan, W., Zhu, Q. & Laplante, P. (2011). Dimensions of cyber attacks: Social, political, economic, and cultural. IEEE Technology & Society Magazine, 30(1), 28-38.

Gross, M. L., Canetti, D., & Vashdi, D.R. (2016). The psychological effects of cyber terrorism. Bulletin of the Atomic Scientists, 72(5), 284-291.

Kişisel Verilerin Konunması Kanunu. (2018, Aralık 17). mevzuat.gov.tr: https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf adresinden alındı

Kirwan, G. & Power, A. (2011). The Psychology of Cyber Crime: Concepts and Principles. IGI Global.

Lynn, R. (2007). Virtual Rape is Traumatic, but is it a Crime?, from http://www.wired.com/culture/lifestyle/commentary/sexdrive/ 2007/05/sexdrive_0504 adresinden alındı

Modic, D., & Anderson, R. (2015). It’s All Over but the Crying: The Emotional and Financial Impact of Internet Fraud. IEEE Security & Privacy, 13(5), 99-103.

Nurse, (2018). Cybercrime and You: How Criminals Attack and the Human Factors that They Seek to Exploit. In Attrill-Smith, A., Fullwood, C. Keep, M. & Kuss, D.J. (Eds.), Oxford Handbook of Cyberpsychology 2nd Edition. Oxford: OUP. https://doi.org/10.1093/oxfordhb/9780198812746.013.35 adresinden alındı

Rahman, B. S. (2017, Ekim 24). Cyber crime affects society in different ways. thefinancialexpress.com.bd: https://thefinancialexpress.com.bd/views/reviews/cyber-crime-affects-society-in-different-ways  adresinden alındı

Rao, Y. S., Pradhan, D., Panda, T. C., & Rath, R. (2020). Digital Crime and its Impact in Present Society. International Journal of Engineering Research & Technology (IJERT), 1-2.

Symantec. (2010). Norton Cybercrime Report: The Human Impact. Symantec.

Şahinaslan , Ö., Kantürk, A., Şahinaslan, Ö., & orandağ, E. (2009). Kurumlarda Bilgi Güvenliği Farkındalığı,. Kurumlarda Bilgi Güvenliği Farkındalığı,. Şanlıurfa: Harran Üniversitesi.

Şahinaslan, Ö., & Şahinaslan, E. (2019). SİBER TEHDİTLERİN TOPLUM ÜZERİNDEKİ OLUMSUZ. Proceedings of the International Congress on Business and Marketing (s. 489-493). Istanbul: Maltepe University.

TİK. (2016). Hane halkı Bilişim Teknolojileri Kullanım Araştırması, 2016. TİK.

Photo by Clint Patterson on Unsplash


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

 

 

 

Kategoriler
Bilişim Etiği

Etik Kavramı ve Etik İle İlgili Temel Kavramlar

İçindekiler

  • Giriş
  • Etik Kavramı
  • Ahlak Kavramı
  • Erdem Kavramı
  • Vicdan Kavramı
  • İyi Kavramı
  • Sonuç
  • Kaynakça

 

Giriş

Yanlışı doğrudan ayırabilmek amacıyla ahlak kavramının doğasını anlamaya çalışan etik kavramı, yaklaşık 30-40 yıldır hayatımızda vardır. Felsefeciler arasında günümüzdeki gibi bu kadar yaygın bir sözcük değildi. Şimdi ise bir çok alanda etik kavramını sıklıkla duymaktayız. Bir iş yaparken yaptığımız işin etiğe uygun olup olmadığına bakmaktayız.

 

Etik Kavramı

Sözlük anlamı olarak etik; töre bilimi,  ahlak  bilimi,  ahlaki,  ahlakla  ilgili  olarak  tanımlanmaktadır  Etik,  ahlaki  olanın  özünü  ve temellerini  araştıran  bilim,  insan  davranışları  ile  ilgili  problemleri  inceleyen  felsefe  dalı  olarak tanımlanmaktadır. Etik, ahlak felsefesidir. Etik, insanın bütün davranış ve eylemlerinin temelini araştırır. (Yrd. Doç. Dr. Engin Uğur)

Ahlak Kavramı

Kişilerin sosyal yaşam içerisindeki ilişkilerini düzenleyen bir disiplin olarak görülmektedir. dır. Etik ve ahlak günlük hayatta ve akademik tartışmalarda birbirlerinin yerine kullanılmaktadır. Bununla  birlikte  aralarında  bazı  önemli  farklılıklar  bulunmaktadır.  Ahlak  insan davranışları üzerinde çalışırken, etik evrensel felsefi prensipler üzerinde çalışmaktadır. Bu  makalede  etik  ve  ahlak  kavramları  tartışılmakta  ve  açıklanmaktadır.  Makalenin sonunda etik ile ahlâk arasındaki farklılık vebenzerlikler sıralanmaktadır. Aristotales, etiği kuramsal felsefeden ayırarak kendi başına bir felsefe alanı olarak ele alan ilk filozoftur.( Prof.Dr. Sevgi İyi)

Erdem Kavramı

Felsefeye Sokrates tarafından girmiştir. Ahlakın övdüğü iyilikçilik, alçak gönüllülük, yiğitlik, doğruluk vb. niteliklerinin genel adıdır. İnsanın ruhsal olgunluğu demektir. Erdem, herhangi bir dışsal baskı olmaksızın gerçekleştirilen özgün bir davranıştır. Erdem aşırı uçlarda bulunmaz. Ölçülü ve dengeli olmaktır.( Elmas Emre)

Vicdan Kavramı

Kişinin kendi niyeti veya davranışları hakkında kendi ahlaki değerlerini temel alarak yaptıklarını veya yapacaklarını ölçüp biçtiği bir kişilik özelliğidir. Vicdan, birçok dinde, birçok felsefi akımda, mistisizmde önem verilmiş bir kavramdır. Günümüzde kimileri “kamusal vicdan” ifadesini kullanmaktaysa da, dinsel, mistik vb. alanlarda böyle bir kavram bulunmaz, vicdan kavramı bu alanlarda hep bireysel vicdan anlamında kullanılmıştır. Felsefeye göre, iç huzuru veya iç sıkıntısı vererek kişiyi uyaran vicdan bir kavram değil, kişinin bir yeteneğidir.( Abdulvahit İmamoğlu)

İyi Kavramı

İyi kavramı çoğunlukla olası eylemler arasında bir seçim yapılması durumunda tercih edilmesi gereken davranışı ifade eder. İyilik genellikle kötülüğün (şerrin) tersi olarak kabul edilir ve ahlak, etik, din ve felsefe konuları tarafından incelenir ve ayrı şekillerde tanımlanır. Din açısından iyi kavramı, çoğu zaman sevap kavramı ile paralellik gösterirken, ahlak felsefesi ya da etik olarak ise belli bir durumdaki olasılıkların en faydalısının uygulanması olarak algılanır.( Prof.Dr. Sevgi İyi)

 

Sonuç

Günümüzde pek çok alanda yaygın olarak kullanılan etik kavramı ile erdem, ahlak, vicdan ve iyi kavramlarının iç içe olduğu ve birbiriyle beraber değerlendirilmelerinin, incelenmelerinin gerekliliği görülmektedir.

 

Kaynakça

  • Doç. Dr. Engin Uğur – Mesleki Etik Dersi Vize Ders Notları
  • Dr. Sevgi İyi – Anadolu Üniversitesi – Etik Kitabı Ünite 1 Syf: 3-21
  • Elmas Emre – Etik İle İlgili Temel Kavramlar
  • Abdulvahit İmamoğlu. “Vicdan Kavramının Psiko-Sosyal Tahlili”. Akademik İncelemeler Dergisi. 5 (1, Yıl=2010). Sakarya Ünversitesi. S. 128. Issn 2602-3016.
  • Photo by Enes Sivri

 

 


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Bilişim Güvenliği Türlerinin Tarihsel Gelişimi

İçindekiler

GİRİŞ

AĞ GÜVENLİĞİ NEDİR

AĞ GÜVENLİĞİNİN TARİHSEL GELİŞİMİ

İNTERNET GÜVENLİĞİ NEDİR

İNTERNET GÜVENLİĞİNİN TARİHSEL GELİŞİMİ

UÇ NOKTA NEDİR

UÇ NOKTA GÜVENLİĞİNİN TARİHSEL GELİŞİMİ

BULUT BİLİŞİM NEDİR

BULUT GÜVENLİĞİNİN TARİHSEL GELİŞİMİ

UYGULAMA GÜVENLİĞİ NEDİR

UYGULAMA GÜVENLİĞİNİN TARİHSEL GELİŞİMİ

SONUÇ

KAYNAKÇA

 

GİRİŞ

Hayatımızın bir vazgeçilmezi haline gelen bilgisayarlar günümüzde bazen farkında olmadan kendimiz bazen de kötü niyetli kişiler tarafından çok etkin bir ateşsiz silah olarak kullanılmaktadır. İfşa edilen bilgilerle dünya çapında kaoslar oluşturulmakta, sağlık, elektrik, haberleşme hizmetleri gibi hayati faaliyetler durdurulmakta, özel hayatın gizliliği ihlal edilerek hızla büyüyen bir ağ gibi tüm insanlık bu tehditlerden etkilenebilir hale gelmektedir. Bu tehditler artan hız ve karmaşıklıkta devam etmekte olup bilişim hayatımızın içerisinde yer aldığı sürece de devam edecektir.

AĞ GÜVENLİĞİ NEDİR

Ağ güvenliği, altta yatan ağ altyapısını yetkisiz erişim, yanlış kullanım, arıza, değiştirme, imha veya uygunsuz ifşadan korumak için önleyici tedbirler alma sürecidir.

İnternet şüphesiz hayatımızın büyük bir parçası haline geldi. Günümüz kuşağındaki birçok insan, profesyonel, sosyal ve kişisel aktivitelerinin birçoğu için İnternet’e güvenmektedir. Ancak ağınızın güvenli olduğundan emin misiniz?

İnternete bağlı bilgisayarlarımıza zarar vermeye, gizliliğimizi ihlal etmeye ve İnternet hizmetlerini imkansız hale getirmeye çalışan birçok insan var . Mevcut saldırıların sıklığı ve çeşitliliği ile yeni ve daha yıkıcı gelecek saldırıları tehdidi göz önüne alındığında, ağ güvenliği siber güvenlik alanında merkezi bir konu haline gelmiştir. Ağ güvenliği önlemlerinin uygulanması, bilgisayarların, kullanıcıların ve programların izin verilen kritik işlevlerini güvenli bir ortamda gerçekleştirmelerini sağlar. (Choudary A.(2019))

AĞ GÜVENLİĞİNİN TARİHSEL GELİŞİMİ

Ağ güvenliği neredeyse ağlarımız olduğu sürece olmuştur ve ağ güvenliğinin çeşitli öğelerini azaltmaya çalıştıkları ağ bileşenlerine kadar izlemek kolaydır. Geçtiğimiz 30-35 yıl boyunca, ağın genişlemesi, özellikle de hem ticaret için bir yol hem de kurumsal omurga olarak İnternet’e olan artan güven, daha önce var olmayan bir endüstri yarattı. Günümüzde bildiğimiz ağ güvenliği, büyük ölçüde kuruluşların güvenli bir duruş ve güvenlik sağlamak için açık / genel İnternet üzerinden ticaret, veri paylaşımı ve iletişim amacıyla mevcut bir [kapalı] ağı İnternet’e bağladıkları varsayımına odaklanmıştır. dahili ağlarının, verilerinin ve iletişiminin korunması.

Ağ güvenliğinin genel amacı öncelikle güvenli, güvenilir iç ağı tehlikeli ve bilinmeyen dış aktörlerden koruma öncülüne dayanır. Bu yaklaşım her zaman sorunlu olmuştur, çünkü kötü adamlar her zaman dışarıdan işlemezler; yine de, bu endüstrinin çoğu ve şu anda piyasada bulunan güvenlik “çözümleri” bu kapsayıcı hedefe kadar uzanabilir.

Ancak bugün, yeni teknolojiler yaygınlaştıkça geleneksel ağ güvenliği modeli sorgulanmaktadır. Bu ürünler, geleneksel ağı kablosuz, hücresel / mobil, Bluetooth, yakın alan iletişimi (NFC) ve hatta uydu iletişimi gibi farklı iletişim teknolojilerini kullanarak diğer ağlara (Internet’in yanı sıra) bağlar.

Ağ ve ağ güvenliğinin gelişimine kısaca bir göz atalım, değişen ağ ortamının etkisini tartışalım, bir kuruluşun güvenlik stratejisi açısından neyin değişmesi gerektiğini tartışalım ve kuruluşun hedeflerine ulaşmasına yardımcı olabilecek bazı araçlara bakalım .

Hükümet, araştırma üniversiteleri ve nihayetinde ticari işletmeler tarafından kullanılan ilk bilgisayarlara ana bilgisayar adı verildi. Matematiksel hesaplamaları ve diğer veri işlemlerini, insanlar tarafından gerçekleştirilenden çok daha hızlı yapmak üzere tasarlanmıştır. İlk ana bilgisayarlar, yüksek güç tüketimi gerektiren ve çok fazla ısı üreten vakum tüplerinden oluşan bankalardan oluşan son derece büyüktü. Bu onları işletmek ve bakımını masraflı hale getirdi. Bu bilgisayarlarla etkileşime girme yeteneği, genellikle sistemlere fiziksel olarak bağlı terminallere veya veri giriş noktalarına erişimi olan bir dizi operatörle sınırlıydı. Sonunda, daha fazla kullanıcının bilgi işlem özelliklerinden yararlanabilmesi için ana karelere daha fazla terminal eklendi,

Transistörlerin ve entegre devre kartlarının ve daha sonra mikroişlemcinin icadı tarafından yönetilen bir gelişme olan hem depolama yeteneklerinde hem de işlem hızlarında teknolojik gelişmeler hızla gerçekleşti. Bu ilerlemeler, bilgisayarların küçülmesini sağladı, aynı zamanda depolama ve işleme yeteneklerini büyük ölçüde artırdı. Kişisel bilgisayarlar kullanıma sunulduğunda, şirketler bunları çalışanları için satın almaya başladı.

Ancak hiçbir şekilde bağlantı kurmadılar, bu nedenle veri ve iletişim paylaşımı sınırlıydı ve yoktu. Kullanıcılar arasında hızlı ve kolay veri paylaşımı ve iletişim sağlamak için kişisel bilgisayarları birbirine bağlayabilmek için yüksek bir talep vardı.

Bir ağın temel işlevi, verilerin paylaşımına hızlı ve mümkün olduğunca az kullanıcı katılımı ile erişim sağlamaktır. Tüm bunları yapabilme, büyük ölçüde tüm bileşen parçalarını teller ve kablolar kullanarak birbirine bağlamaktan, ardından iş istasyonlarını ağ aygıtları ve iletişim yazılımları kullanarak dağıtılmış sunuculara ve sabit ana karelere bağlamaktan kaynaklanır. Ağın iç işleri yürütmek için kabul edilmesi, tüm kullanıcılar için daha hızlı, kesintisiz ve şeffaf iletişim talebinin artmasına neden oldu.

Bu ilk ağlar öncelikle kablolu ağlardı. Hub, yönlendirici ve anahtar gibi aygıtları kullanarak tüm iş istasyonlarını ve sunucuları birbirine bağladılar. Bu sistemlerin tümü genellikle tek bir yerdeydi ve bağlı oldukları ağ yerel alan ağı (LAN) olarak biliniyordu. Birden çok lokasyona sahip şirketler, geniş alan ağı (WAN) oluşturmak için tüm hatlarını özel hat devreleri kullanarak birbirine bağlamak için telekomünikasyon şirketleri ile sözleşme yapacaklardır. Daha sonra İnternet ortaya çıktı ve şirketler, bir e-Ticaret stratejisi bulmaya çalışmanın yanı sıra, bir İnternet Servis Sağlayıcısına (İSS) tek bir kamuya açık ağ bağlantısıyla İnternet üzerinden çok daha etkin ve verimli bir şekilde iletişim kurabileceklerini anladılar. Böylece internet tabanlı ağlara geçiş başladı. (Man J.(2017))

İNTERNET GÜVENLİĞİ NEDİR

İnternet çok sayıda bilgi ve hizmet sunmaktadır. Günlük yaşamımızdaki pek çok etkinlik, günümüzde çeşitli iletişim, alışveriş, finansal hizmetler, eğlence ve diğerleri de dahil olmak üzere İnternet’e dayanmaktadır. Bununla birlikte, internet kullanımındaki büyüme bazı riskler de doğurmaktadır. İnternet üzerinden gönderdiğiniz kişisel mesajlar, banka hesabı bilgileri, fotoğraflar vb. Tüm bilgileri düşünün.

Tipik bir İnternet kullanıcısı olarak, iletişim ve işlemlerinizin özel ve güvenli olduğu konusunda makul bir beklentiniz vardır. Bir aile üyesiyle video görüşmesi yaptığınızda, kimsenin izlememesini beklersiniz. Kredi kartıyla çevrimiçi bir şey satın aldığınızda, başka hiç kimsenin kredi kartı bilgilerinize erişemeyeceğini düşünüyorsunuz.

Çoğunlukla, İnternet gerçekten özel ve güvenlidir, ancak bir dizi ciddi güvenlik riski vardır. Bu ders bu güvenlik risklerinden bazılarını gözden geçirecek ve bunlara nasıl yaklaşılacağı konusunda bazı pratik öneriler sunacaktır. (Zandbergen P.(2020))

İNTERNET GÜVENLİĞİNİN TARİHSEL GELİŞİMİ

Bilgi güvenliği son yarım yüzyıl boyunca çok uzun bir yol kat etti.

1960’lı yıllarda meslektaşlar arasında pratik bir şaka olarak başlayarak, takip eden yıllarda teknolojinin sürekli yükselmesi, bilgi güvenliğini günümüzde büyük bir sorun haline getirdi – ve çok zor görünmek zorunda değilsiniz. neden olduğunu bul.

Yahoo, Microsoft ve Equifax gibi büyük şirketlerin her biri yalnızca son on yılda bilgisayar korsanları tarafından hedef alındı . Ayrıca, siber güvenlik yıllar içinde büyük ölçüde iyileşmiş olsa da, 2017’nin WannaCry ‘fidye kurdu’ saldırısı , yıllar içinde gelişen sadece bilgi güvenliği olmadığını kanıtladı – bilgisayar korsanları ve bilgisayar virüsleri de var.

Sorun artık şaka değil ve şirketlerin bir dizi güvenlik ve yangın güvenliği tekniği ile dosyalarını fiziksel olarak güvenceye almaları mümkün olsa da, etkili bir antivirüs yazılımının bulunması siber saldırıları önlemek için zorunludur.

Burada hem bilgi güvenliği hem de bilgisayar korsanlığının yıllar içinde nasıl ilerlediğine ve ilerlemelerini tanımlayan kilometre taşlarına ayrıntılı bir bakış verilmiştir.

1960’lar: Şifre koruması

1960’lı yıllarda kuruluşlar bilgisayarlarını daha fazla korumaya başladılar. Bu süre zarfında endişelenecek bir internet veya ağ yoktu, bu nedenle güvenlik büyük ölçüde daha fiziksel önlemlere odaklanmıştı ve bir bilgisayarın nasıl çalışacağı hakkında yeterli bilgiye sahip insanlara erişimi engelliyordu.

Bunu yapmak için, cihazlara şifreler ve çoklu güvenlik koruması katmanları eklendi. Depolanan verilerin korunmasını sağlamak için yangın güvenliği önlemleri de uygulanmıştır. Sonuçta, o günlerde iCloud yoktu, bu yüzden bilgisayarların başka yollarla güvence altına alınması gerekiyordu.

1970’ler: CREEPER’den Reaper’a

Siber güvenlik tarihi 1970’lerde ARPANET (Gelişmiş Araştırma Projeleri Ajans Ağı) olarak bilinen bir araştırma projesi ile başladı. Bob Thomas adında bir araştırmacı , ARPANET’in ağını taşıyabilen ve nereye giderse gitsin küçük bir iz bırakan bir bilgisayar programı oluşturdu . Ağ üzerinden seyahat ederken bırakılan basılı mesaj nedeniyle programı ‘CREEPER’ olarak adlandırdı: ‘Ben CREEPER’IM: Mümkünse beni yakala’.

Ray Tomlinson – e-postayı icat eden adam – daha sonra CREEPER’i bir sonraki seviyeye taşıyan, kendi kendini kopyalayan ve ilk bilgisayar solucanı yapan bir program tasarladı. Neyse ki, daha sonra antivirüs yazılımının ilk örneğini sağlayan Reaper adında başka bir program yazdı ve CREEPER’i kovaladı ve sildi.

Thomas ve Tomlinson’un programları biraz karışıklık olarak tasarlanmış olabilirler, ancak aslında ARPANET’in ağ güvenliğindeki bazı kusurları ortaya çıkaran çok önemli bir amaca hizmet ettiler . Birçok büyük kuruluş ve hükümet kendi ağlarını oluşturmak için bilgisayarlarını telefon hatları aracılığıyla birbirine bağladığı için bu büyük bir endişeydi. Bazı insan grupları da bu çizgilere sızmanın ve önemli verileri çalmanın yollarını aramaya başladı. Dünyanın ilk bilgisayar korsanlarına merhaba de.

1980’ler: İnternet deliriyor

Takip eden yıllar boyunca bilgisayarlar gittikçe daha fazla bağlantı kurmaya başladı, bilgisayar virüsleri daha gelişmiş hale geldi ve bilgi güvenliği sistemleri sürekli olarak yenilikçi hack yaklaşımlarının engellenmesine ayak uyduramadı.

Örneğin Ruslar siber gücü silah olarak kullanmaya başladı ve 1986’da ABD askeri sırlarını çalmak için Alman bilgisayar korsanı Marcus Hess’i kullandı. Pentagon’daki ana bilgisayarlar da dahil olmak üzere 400’den fazla askeri bilgisayara hacklendi ve sırlarını KGB’ye satmayı amaçladı. Neyse ki, engellendi.

İki yıl sonra, 1988’de, bilgi güvenliği tarihindeki önemli dönüm noktalarından biri olan Morris Worm’un doğuşunu gördü. Ağ kullanımı hızla genişlemeye başladı ve giderek daha fazla üniversite, asker ve hükümet buna bağlandı. Bu, gerekli güvenlik önlemlerinin giderek daha geniş hale gelmesi gerektiği anlamına geliyordu, bu da Morris Worm’u doğurdu .

Mucidi Robert Morris’in adını taşıyan solucan, ağlar arasında yayılmak, bilinen bir hata kullanarak terminallere sızmak ve sonra kendini kopyalamak için tasarlandı. Amacı, bir ağ saldırı önleme sistemindeki eksik alanları tespit etmekti.

Bununla birlikte, solucan, hedeflenen bilgisayarları çalışmaz hale getirecek ve interneti tarama hızına yavaşlatacak kadar agresif bir şekilde çoğaltıldığından, kendi kendini çoğaltma yeteneği onun çöküşü olacaktır. Ayrıca ağın her yerine hızla yayıldı ve anlatılmayan hasara neden oldu. Aslında, verdiği hasar o kadar şiddetliydi ki, Robert Morris, Bilgisayar Sahtekarlığı ve Yanlış Kullanım Yasası kapsamında başarılı bir şekilde suçlanan ilk kişi oldu. Bunun  gibi siber sorunların tekrarlanmasını önlemek için Bilgisayar Acil Müdahale Ekibi de (CERT) oluşturuldu.

1980’lerde, ARPANET ağı daha çok internet olarak bilinir hale geldi ve 1989’da dünya çapında web olarak kamuya açık hale geldi.

1990’lar: Güvenlik Duvarlarının Yükselişi

İnternet halka açık hale geldikçe, giderek daha fazla kişi kişisel bilgilerini çevrimiçi hale getirmeye başladı. Bu nedenle, organize suç varlıkları bunu potansiyel bir gelir kaynağı olarak gördüler ve web üzerinden insanlar ve hükümetlerden veri çalmaya başladılar.

90’lı yılların ortalarında ağ güvenliği tehditleri katlanarak artmıştı ve bu nedenle halkı korumak için güvenlik duvarları ve virüsten koruma programları toplu olarak üretilmeliydi. Kaliforniya üssünde bir bilgisayar virüsü saldırısının ardından ilk güvenlik duvarı program tasarımını yaratan bir NASA araştırmacısıydı . Araştırma ve ekibi, binaların veya yapıların içinde gerçek yangınların yayılmasını önleyen fiziksel yapılara model aldıkları sanal bir ‘güvenlik duvarı’ oluşturdu.

Bununla birlikte, bu güvenlik duvarları ve virüsten koruma programları saldırı riskini en aza indirmenin bir yolunu bulurken, bilgisayar virüsleri ve solucanlar kalın ve hızlı gelmeye devam etti, bu yüzden bilgisayar korsanları o sırada kesinlikle üstünlük sağladı.

2000’ler: Uygun Ceza

2000’li yılların başlarında, hükümetler, haksızlık suçunu azaltmaya başladılar ve suçlulara çok daha ciddi cezalar verdiler – kapsamlı hapis cezası ve büyük para cezaları dahil. Bu, bilgisayar korsanlarına sert uyarılardan denetimli serbestliğe kadar çok daha hafif cezalar verildiği 1980’lerden çok uzaktı.

İnternet büyüdükçe bilgi güvenliği de ilerlemeye devam etti, ancak maalesef virüsler de büyüdü. Bilgisayar korsanları, yalnızca belirli kuruluşları değil tüm şehirleri, eyaletleri ve hatta kıtaları da hedefleyebilecek virüsler oluşturabildi.

2010’lar: Büyük İhlaller Dönemi

Teknolojinin istikrarlı yükselişi nedeniyle, saldırı, takip eden yıllar boyunca her zamankinden daha karmaşık hale geldi ve şimdi bir dizi büyük veri ihlali çağı büyük ölçüde tanımlamaktadır. Bunlar:

  • Snowden ve NSA, 2013. ABD Hükümeti için eski bir CIA çalışanı ve yüklenicisi olan Edward Snowden , hükümetin kamuoyunda etkin bir şekilde ‘casusluk’ yaptığının altını çizerek Ulusal Güvenlik Ajansı’ndan (NSA) gizli bilgileri kopyaladı ve sızdırdı . Tartışmalı olarak bazılarına kahraman ve diğerlerine hain olarak düşünülür.
  • Yahoo, 2013 – 2014. Hackerlar Yahoo’ya girdi ve üç milyar kullanıcısının hesaplarını ve kişisel bilgilerini tehlikeye attı. İhlal haberlerini zamanında açıklayamadığı için 35 milyon dolar para cezasına çarptırıldılar ve Yahoo’nun satış fiyatı 350 milyon dolar düştü.
  • WannaCry, 2017. Daha yaygın olarak ilk ‘fidye kurdu’ olarak bilinen WannaCry, Microsoft Windows işletim sistemini çalıştıran bilgisayarları hedef aldı ve Bitcoin kripto para biriminde fidye ödemeleri istedi. Sadece bir günde, solucan 150 ülkede 230.000’den fazla bilgisayara bulaştı .

Bu veri ihlallerinin her biri inanılmaz derecede şiddetli olsa da, neyse ki bu potansiyel travestilere çözüm sunmak için bir dizi şirket var – bu yüzden hepsi kötü değil.

Bilgi güvenliği sürekli olarak gelişmektedir ve birçok şirket Ağ Davranış Analizi (NBA), web uygulaması güvenlik duvarları (WAF) ve Hizmet Reddi (DoS) koruması gibi şeyleri kullanan çok çeşitli acemi saldırı hafifletme seçenekleri tasarlamaktadır.

Ancak, daha kişisel bir düzeyde, insanların ve işletmelerin bilgi güvenliğini en üst düzeyde tutmaları ve verilerinin korunmasını sağlamak için teknikler uygulaması hayati önem taşımaktadır . Örneğin, bir iş yapıyorsanız, uzman bir belge tarama , depolama ve yönetim hizmeti kullanmak, belgelerinizin güvenli olduğunu bilerek size huzur verir. Aynı şekilde, kişisel dosyalarınızı saklamak için bulut tabanlı bir platform kullanmak, fiziksel dosyalarınızı kaybettiğinizde veya hasar gördüğünüzde mutlak bir nimet olabilir.(Murphey D.(2019))

UÇ NOKTA NEDİR

Siber güvenlikte zincirin en zayıf halkası olarak tanımlanan insan faktörü, network veya host bazında uygulanan güvenlik denetlemelerinin ve önlemlerinin çoğu zaman etkisiz kalmasına neden olmaktadır. Bu, genel olarak kullanıcıların siber güvenlik farkındalığının düşük olmasından kaynaklanmaktadır. Günümüzde saldırıların büyük çoğunluğunda güvenlik cihazlarını veya denetim sistemlerini atlatmak gibi yöntemler yerine insan zafiyetlerini hedef alan sosyal mühendislik teknikleri daha çok kullanılmaktadır. Bu nedenle saldırı tespit ve engelleme sistemleri(IDS-IPS), anti-virüs, güvenlik konfigürasyonları, firewall, monitoring ve SIEM gibi çözümleri destekleyecek ve kullanıcıların aktivitelerini güvenlik açısından denetleyerek insani zafiyetlerin istismar edilmesini engelleyecek sistemler gittikçe önem kazanmaktadır. Bu yeni güvenlik yaklaşımlarından biri olan uç nokta güvenliği tehdit avcılığı ve kullanıcı davranışı analizi gibi sistemlere de katkı sağlamaktadır.

Uç nokta, genel olarak kurumsal bir ağa bağlı olan ve o ağ içerisinde etkileşimlerde bulunan masaüstü bilgisayarlar, laptoplar, akıllı telefonlar, tabletler, yazıcılar, BYOD gibi kişisel cihazlar olarak tanımlanmaktadır. Bazı durumlarda bir veri merkezindeki sunucuların yanı sıra SCADA bileşenleri veya POS terminalleri gibi dağıtık ağlara özel cihazlar da uç nokta olarak tanımlanabilmektedir. (Taş F.(2019))

UÇ NOKTA GÜVENLİĞİNİN TARİHSEL GELİŞİMİ

GELENEKSEL ANTİVİRÜS(AV)

Virüsten koruma (AV) yazılımı, kötü amaçlı programları algılamak, yürütmelerini engellemek ve kaldırmak için tasarlanmıştır.

Bir virüsten koruma ürünü, günlük olarak oluşturulan binlerce yeni kötü amaçlı yazılımla güncel kalmak için sürekli olarak güncellenmesi gereken bilinen, statik kötü amaçlı yazılım özelliklerinin bulunduğu bir kitaplık içerir. Dosyaları ve dizinleri tarar, bu kütüphaneyle karşılaştırır ve eşleşmeler bulunduğunda kötü amaçlı programları etiketler. Antivirüs daha sonra bu programların çalışmasını önler ve otomatik olarak kaldırır veya kullanıcıya kaldırma seçeneği sunar.

Uç noktalardaki virüsten koruma sürümü kullanıcı tarafından güncellendiği ve satıcı sürekli olarak kitaplıklarını güncel tuttuğu sürece, kullanıcı muhtemelen korunmaktadır. Ancak, yine, yalnızca algılanabilen ve engellenebilen daha eski, bilinen kötü amaçlı yazılımlar tarafından korunurlar.(Asher L.(2017))

YENİ NESİL ANTİVİRÜS(NGAV)

Yeni nesil antivirüs (NGAV), geleneksel antivirüsün bıraktığı boşluğu kapatmak için oluşturulan yeni bir yazılım türüdür.

Ne tam olarak teşkil siber güvenlik sektöründe NGAV hala belirsiz  terim için yaygın olarak kabul edilen bir tanımı olmasa olmadığından. En azından, yeni nesil antivirüs ürünlerinin imza tabanlı algılama yapmanın ötesine geçmesi ve aynı zamanda bir tür gelişmiş teknoloji içermesi gerekir.

Çoğu NGAV  , uzlaşma göstergeleri (IOC) ve virüs imzaları, IP adresleri, dosya karmaları ve URL’ler gibi meta verilerin kullanımının ötesine geçer. Gelişmiş veri bilimi, makine öğrenimi, yapay zeka ve veri analitiği gibi teknolojileri kullanarak, yeni nesil antivirüs çözümleri, saldırganların taktikleri, teknikleri ve prosedürleri (TTP’ler) keşfetmek için kullandıkları davranış kalıplarını arar.(Asher L.(2017))

UÇ NOKTA ALGILAMA ve YANIT(EDR)

“Son nokta tehdit tespiti ve yanıtı” ifadesi ilk olarak 2013 yılında Gartner’ın Anton Chuvakin tarafından son noktalardaki şüpheli etkinlikleri tespit etmek, görünürlük sağlamak, izlemek ve araştırmak için kullanılabilecek araçlara atıfta bulunuldu.

EDR çözümleri, güvenlik departmanlarının konsol uyarı ve raporlama, güvenlik olaylarına gelişmiş yanıt, büyük bölgeler üzerinde daha geniş coğrafi destek, yönetilen algılama ve üçüncü taraf entegrasyonu olan bugüne kadarki en önemli özelliklerden birini gerçekleştirebilmesini sağlar.

EDR, saldırıların meydana geldiklerinde bile tespit edilmesine ve önlenmesine izin verdiği için harika bir fikirdi ve hala harika bir fikir.(Petters J.(2020)

OS MERKEZLİ POZİTİF GÜVENLİK

İmzaya dayalı yöntemlerin ve geçmişin öngörülemeyen kullanıcı davranış tekniklerinin karşılaştığı eksiklikler nedeniyle, OS Merkezli Pozitif Güvenlik icat edildi. Bu, düşmanca algılanabilecek eylemleri belirlemek için temel olarak meşru işletim sistemi davranışını eşleştirdi. Düşman eylemleri dosya silme, veri sızdırma, sabotaj, şifreleme ve çok daha fazlasını içerir. Şaşırtıcı bir şekilde, istenmeyen eylemleri avlamak yerine sonlu kabul edilebilir eylemleri izlemenin, zarar görmeden saldırıları önlemeye yardımcı olduğu bulunmuştur.(Fruhlinger J.(2018))

MAKİNE ÖĞRENMESİ ve YAPAY ZEKA

Ortaya çıkan tehdit sayısının daha hızlı hesaplanması ihtiyacı artmaktadır ve bu tehditlerin yeterli analizini yapmak için daha fazla çaba ve doğruluk gerektirmektedir. Makine öğrenimi ve yapay zeka, tehdit analizinin otomasyonunda ve tehditlerin ciddiyetinin belirlenmesinde en ümit verici bulunmuştur. Bu durumda en kritik tehditler insan müdahalesi için artırılabilir. Microsoft, yapay zeka ve makine öğrenimini son nokta çözümlerinde benimsemiş bir sağlayıcıdır.(Fruhlinger J.(2018))

SAAS TABANLI UÇ NOKTA GÜVENLİĞİ

Geçmişte, uç nokta sunucuları, yukarıdaki kritik işlevleri sunan, kuruluşta fiziksel sunuculardı. Bununla birlikte, hizmet olarak yazılımın ortaya çıkması ve günümüzün BT altyapısının buluta taşınması, uç nokta güvenlik çözümlerinin de hizmet olarak sunulmasına ilgi duymuştur. FireEye, Cybereason, Morphick, Carbon Black ve Webroot gibi güvenlik sağlayıcıları bu alana taşındı. SaaS hizmetleri, daha hızlı ve daha güvenilir bir deneyim sağlamak için kaputun altında makine öğrenimini de kullanmaya başladı.(Fruhlinger J.(2018))

TELSİZ SALDIRILARINA KARŞI KATMANLI KORUMA

Günümüzde yaygınlaşan bir saldırı vektörü “çaresiz saldırılar” olarak bilinen bir alan. Bunlar tamamen RAM içinde yürütülen ve ikamet eden ve böylece asla diskle etkileşmeyen saldırılardır. Geleneksel antivirüs çözümleri her zaman diskte yerleşik tehditleri çözer ve son zamanlarda saldırılar belleği hedeflediğinden, uç nokta güvenlik çözümleri bu alandan yararlanmıştır ve bazı çözümler bu saldırı vektörüne karşı katmanlı bir savunma sağlar. Katmanlı koruma ve genellikle ortak araçların sıklıkla ürettiği yanlış pozitif riskini azaltmak için makine öğrenimi ile birleştirilir.(Fruhlinger J.(2018))

IOT CİHAZLARINI KORUYUCU ŞEMSİYENİN ALTINA KOYMA

Günümüzde kameralar, yönlendiriciler, oyuncaklar ve cihazlar gibi İnternet’e bağlı milyarlarca şey, bu özelliklere sahip cihazların ihtiyaç duyduğu uygun güvenlik yapılandırmalarından yoksundur. Bu, Minecraft sunucu ana bilgisayarlarına karşı DDOS saldırıları başlatmak için kullanılan milyonlarca ele geçirilmiş kapalı devre TV kamerasını içeren Mirai botnet saldırısı gibi saldırılara yol açtı. Bununla birlikte, IoT özellikli cihazların çoğu Android, Linux ve Windows gibi yaygın işletim sistemlerinde çalıştığından, güvenlik şirketleri bu tür cihazları barındırabilecek ve kötü niyetli saldırılara karşı güvence altına alabilecek uç nokta çözümleri oluşturmaya başladı.(Fruhlinger J.(2018))

KARMAŞIKLIĞIN AZALTILMASI ve KONSOLİDE EDİCİ AJANLAR

Geçmişte, güvenlik şirketleri uç noktada çok sayıda güvenlik tehdidini çözen farklı araçlar üretiyorlardı. Bu, her biri ayrı ayrı yönetilmesi gereken farklı güvenlik boşluklarını ele alan birden fazla araç çalıştıran tek bir uç noktanın oluşmasına neden oldu. Temsilcilerin birleştirilmesindeki fikir, tek bir güvenlik çözümü tarafından etkin bir şekilde ele alınan birden fazla güvenlik sorununa sahip olmaktır.

Günümüzde Uç Nokta Güvenliği geleneksel yapıdan makine öğrenimi, yapay zeka ve bulut yapılarına evrilmiştir ve iyileştirmeler bu yapılar üzerinden devam etmektedir.(Fruhlinger J.(2018))

BULUT GÜVENLİĞİ NEDİR

Bulut güvenliği, bulut bilgi işlem platformları aracılığıyla çevrimiçi olarak depolanan verilerin hırsızlık, sızıntı ve silinmeye karşı korunmasıdır . Bulut güvenliği sağlama yöntemleri arasında güvenlik duvarları, sızma testi, gizleme , belirteç oluşturma, sanal özel ağlar (VPN) ve genel internet bağlantılarından kaçınma yer alır. Bulut güvenliği, bir tür siber güvenliktir.

(Frankenfield,J.(2020))

BULUT GÜVENLİĞİNİN TARİHSEL GELİŞİMİ

1963’te, DARPA(Savunma İleri Araştırma Projeleri Ajansı) MIT’ye Project MAC için 2 milyon dolar verdi. Finansman, MIT’in “iki veya daha fazla kişi tarafından aynı anda kullanılmasına” olanak sağlayan bir teknoloji geliştirme gereksinimini içeriyordu. Bu durumda, bellek için manyetik bant makaraları kullanan devasa, arkaik bilgisayarlardan biri ve şimdi kolektif olarak bilinen şeyin öncüsü oldu. Bulut bilişim. İki ya da üç kişinin eriştiği ilkel bir bulut gibi davranıyordu. Kelime “sanallaştırma“ Bu durumu tanımlamak için kullanıldı, ancak kelimenin anlamı daha sonra genişledi.

1969’da JCR Licklider, internetin “çok” ilkel bir versiyonu olan ARPANET’in (Gelişmiş Araştırma Projeleri Ajans Ağı) geliştirilmesine yardımcı oldu. JCR ya da “Lick” hem bir psikolog hem de bir bilgisayar bilimcisiydi ve “Galaksiler Arası Bilgisayar Ağı, ”Gezegendeki herkesin bilgisayarlarla birbirine bağlanacağı ve bilgiye her yerden erişebileceği. (Geleceğin bu kadar gerçekçi olmayan, ödemesi imkansız, bir hayal gibi görünebilir mi?) Bulut’a erişim için, İnternet olarak da bilinen Galaksiler arası Bilgisayar Ağı gereklidir.

Sanallaştırmanın anlamı 1970’lerde değişmeye başladı ve şimdi tamamen işlevsel bir işletim sistemine sahip gerçek bir bilgisayar gibi davranan bir sanal makinenin oluşturulmasını anlatıyor. Sanallaştırma kavramı, işletmeler “sanal” özel ağları kiralanabilir bir hizmet olarak sunmaya başladıkça İnternet ile birlikte gelişti. Sanal bilgisayarların kullanımı 1990’larda popüler hale geldi ve modern bulut bilişim altyapısıdır.

1990’ların Sonları

İlk aşamalarında Bulut, son kullanıcı ile sağlayıcı arasındaki boş alanı ifade etmek için kullanıldı. 1997’de Emory Üniversitesi’nden Profesör Ramnath Chellapa, Cloud Computing’i yeni “hesaplama paradigması olarak tanımladı; burada hesaplama sınırlarının yalnızca teknik sınırlar yerine ekonomik gerekçelerle belirleneceği”. Bu biraz göze çarpan tanım, Bulut’un evrimini açıklamada doğrudur.

Şirketler hizmetlerini ve kullanışlılığını daha iyi anladıkça Cloud popülerlik kazandı. 1999 yılında,Satış ekibi Cloud Computing’i başarıyla kullanmanın popüler bir örneği oldu. Son kullanıcılara yazılım programları sunmak için interneti kullanma fikrine öncülük etmek için kullandılar. Programa (veya uygulamaya) İnternet erişimi olan herkes erişebilir ve bunları indirebilir. İşletmeler yazılımı ofisten ayrılmadan isteğe bağlı, uygun maliyetli bir şekilde satın alabilirler.

2000’li yılların başı

2002 yılında Amazon, web tabanlı perakende hizmetlerini tanıttı. Kapasitelerinin sadece% 10’unu (o zamanlar yaygın olan) çözülmesi gereken bir sorun olarak düşünen ilk büyük işti. Bulut Bilişim Altyapı Modelibilgisayarlarının kapasitesini çok daha verimli kullanma esnekliği sağladı. Kısa süre sonra diğer büyük kuruluşlar örneklerini takip ettiler.

2006 yılında Amazon Amazon Web Servisleri, diğer web sitelerine veya istemcilere çevrimiçi hizmetler sunar. Amazon Mekanik Hizmetleri adı verilen Amazon Web Services sitelerinden biri, depolama, hesaplama ve “insan zekası” dahil olmak üzere çeşitli Bulut tabanlı hizmetler sunar. Amazon Web Services sitelerinin bir diğeri, bireylerin sanal bilgisayar kiralamasına ve kendi programlarını ve uygulamalarını kullanmasına izin veren Elastik Bilgi İşlem Bulutu (EC2).

Aynı yıl Google, Google Dokümanlar hizmetlerini başlattı. Google Dokümanlar başlangıçta Google E-Tablolar ve Writely olmak üzere iki ayrı ürüne dayanıyordu. Google, kiracılara dokümanları kaydetme, dokümanları düzenleme ve bloglama sistemlerine aktarma olanağı sunan Writely’yi satın aldı. (Bu belgeler Microsoft Word ile uyumludur.) Google E-Tablolar (2005’te 2Web Technologies’den alınmıştır), kullanıcıların e-tabloları geliştirmesine, güncellemesine ve düzenlemesine ve verileri çevrimiçi olarak paylaşmasına olanak tanıyan İnternet tabanlı bir programdır. Microsoft Excel ile uyumlu olan Ajax tabanlı bir program kullanılır. E-tablolar HTML biçiminde kaydedilebilir.

2007’de IBM, Google ve birçok üniversite, hem hızlı işlemcilere hem de büyük veri setlerine ihtiyaç duyan araştırma projeleri için bir sunucu grubu geliştirmek üzere güçlerini birleştirdi. IBM ve Google tarafından sağlanan kaynakları ilk kaydeden ve kullanan Washington Üniversitesi’dir. Carnegie Mellon Üniversitesi, MIT, Stanford Üniversitesi, Maryland Üniversitesi ve Berkeley’deki California Üniversitesi, hemen ardından geldi. IBM ve Google araştırmalarını destekliyorlarsa, üniversiteler hemen bilgisayar deneylerinin daha hızlı ve daha az parayla yapılabileceğini fark ettiler. Araştırmanın çoğu IBM ve Google’ın ilgilendiği sorunlara odaklandığından, düzenlemeden de yararlandılar. 2007, Netflix’in Bulut kullanarak akışlı video hizmetini başlattığı ve “aşırı izleme” uygulaması için destek sağladığı yıl oldu.

Eucalyptus, 2008 yılında özel Bulutları dağıtmak için kullanılan ilk AWS API uyumlu platformu sundu. Aynı yıl NASA’lar OpenNebulaÖzel ve Hibrit Bulutları dağıtmak için ilk açık kaynaklı yazılımı sağladı. En yenilikçi özelliklerinin çoğu büyük işletmelerin ihtiyaçlarına odaklanmıştır.

2011 yılında IBM, IBM SmartCloud çerçeve, Daha Akıllı Gezegen(bir kültürel düşünme projesi). Sonra, AppleiClouddaha fazla kişisel bilgi (fotoğraf, müzik, video vb.) depolamaya odaklanır. Ayrıca, bu yıl boyunca Microsoft televizyondaki Bulut, genel halkı kolay erişim ile fotoğraf veya video saklama yeteneğinden haberdar eder.

Oracle Bulut 2012 yılında, iş için üç temel, IaaS (Hizmet Olarak Altyapı), PaaS (Hizmet Olarak Platform) ve SAAS (Hizmet Olarak Yazılım) sunmaktadır.
(Keith D. Foote(2017))

UYGULAMA GÜVENLİĞİ NEDİR

Uygulama güvenliği, uygulamaların güvenliğini bularak, düzelterek ve geliştirerek uygulamaları daha güvenli hale getirme işlemidir. Bunların çoğu geliştirme aşamasında gerçekleşir, ancak uygulamaları dağıtıldıktan sonra korumak için araçlar ve yöntemler içerir. Bilgisayar korsanları saldırılarıyla uygulamaları giderek daha fazla hedefledikçe bu daha da önem kazanıyor.

Uygulama güvenliği çok dikkat çekiyor. Uygulama portföyünüzün çeşitli öğelerini, kodlama değişikliklerini kilitlemekten istem dışı kodlama tehditlerini değerlendirmeye, şifreleme seçeneklerini ve izinleri ve erişim haklarını denetlemeye kadar yüzlerce araç mevcuttur. Mobil uygulamalar, ağ tabanlı uygulamalar ve özellikle web uygulamaları için tasarlanmış güvenlik duvarları için özel araçlar vardır. (Strom, D.(2019))

UYGULAMA GÜVENLİĞİNİN TARİHSEL GELİŞİMİ

Bilgisayar korsanları, ağlardaki ve yazılım uygulamalarındaki güvenlik açıklarını açığa çıkarmaya ve bunlardan yararlanmak için uzun bir geçmişe sahiptir. İnternetin gelişiyle ve daha sonra Web uygulamalarının toplu olarak dağıtılmasıyla, saldırılar büyük ölçekte gerçekleştirilebilir derin iş ve kişisel etkileri olabilir. Tehditleri ortadan kaldırma ve riski azaltma ihtiyacı, uygulama güvenliğine odaklanan bir sektöre yol açmıştır. Uygulama güvenliğinin geçmişi, güvenlik açıkları, çok sayıda yüksek profilli saldırı ve bu saldırılara yenilik ve daha fazla araştırma yoluyla piyasa tepkileriyle ilgili araştırmalarla belirlendi. İşte 80’lerin sonlarına kadar uzanan bazı önemli olaylar ve tepkiler:

1988 – İlk internet virüsü Morris solucanı serbest bırakıldı . Virüsün kötü amaçlı olması amaçlanmamasına rağmen, o sırada İnternet’e bağlı olan önemli sayıda bilgisayarı düşürdü ve düzeltilmesi / kaldırılması için yüz binlerce dolara mal oldu. Olay, DARPA’nın bu tür saldırılarla başa çıkmak için Bilgisayar Acil Müdahale Ekibi Koordinasyon Merkezi’nin (CERT / CC) kurulmasına fon sağlamasına neden oldu.

1995 – Geliştiricilerin etkileşimli web siteleri oluşturmasını kolaylaştırmak için Javascript yayınlandı ve bilgisayar korsanlarının siteler arası komut dosyası oluşturma (XSS) gibi tekniklerle bu yeni teknolojiyi kullanmaya başlamaları çok uzun sürmedi. Sorunla mücadele etmek için bazı çabalar gösterildi, ancak meşhur Samy solucanı tahrif edip MySpace’i 2005 yılında geliştiricilerin ve bilgisayar korsanlarının dikkatini çekmeye başlayana kadar. Bu tür saldırıların sonraki patlaması, güvenli kodlama uygulamalarında ve tarama araçlarında (bazen güvenlik açığı değerlendirmesi olarak da bilinir) son yeniliklerin arkasındaki itici faktörlerden biri olarak düşünülebilir.

1998 – Jeff Forristal (Rain Forrest Puppy) adında bir güvenlik araştırmacısı, saldırı enjeksiyon yöntemini keşfetti ve bulgularını mesaj panolarında detaylandırdı. Bulguları, veri güvenliğine yönelik bu olası tehdidin endüstrisi için bir uyarı idi. Gerçekten de, 2002 yılında Guess.com’daki 200.000’in üzerinde isim ve kredi kartı numarasından ödün veren SQL enjeksiyon saldırısı gibi birçok saldırı izledi . Enjeksiyon günümüzde uygulama güvenliğine yönelik en büyük tehditlerden biri olmaya devam etmektedir.

2001 – Güvenlik bilincini artırmak ve en iyi uygulamaları teşvik etmek için Açık Web Uygulaması Güvenlik Projesi ( OWASP ) kuruldu. Saldırılar daha çeşitli ve karmaşık hale geldikçe, en yaygın ve kritik Web uygulaması güvenlik açıklarını açıklamak ve sınıflandırmak için ilk OWASP Top Ten 2004’te piyasaya sürüldü.

2004 – Ödeme Kartı Endüstrisi (PCI) Standartları Konseyi, perakendeciler ve kredi kartı işleyen diğer işletmeler için minimum güvenlik standartlarını belirleyen ilk Veri Güvenliği Standardını (PCI-DSS) yayınladı. Standarda uygunluğu doğrulama ihtiyacı, uygun fiyatlı güvenlik açığı tarama çözümlerinin kullanılabilirliğini artırdı.

90’lı yılların sonları ve 2000’lerin başı – Yayımlanan saldırıların çoğu, web sitelerinin saldırıya uğraması ve tahrif edilmesi veya dağıtılmış hizmet reddi (DDoS) saldırıları yoluyla bunların kapatılmasıydı.

2000’lerın ortası saldırı tespit ve önleme sistemlerinin siber suçlular tarafından kaçırıldığı şifrelerini, kredi kartı numaralarını ve diğer kişisel bilgileri çalmalarına izin veren daha karmaşık saldırılar gerçekleşmeye başlandı. AOL, TJ Maxx, Target, Adobe ve diğerleri bu tür saldırılara kurban gitti. Kasım 2014’te kişisel ve şirkete özel bilgilerin gizliliğinin ihlal edildiği Sony Pictures Entertainment saldırısı , bir güvenlik ihlalinden kaynaklanabilecek derin sonuçları vurguladı.

2000’li yılların başlarında güvenliğe daha fazla yatırım yapan araştırmacılar, hükümetler ve şirketler ile sektör, bildirilen güvenlik açıklarının büyümesini yavaşlatabildi.   IBM X-Force göre, açıklanan uygulama açıkları yıllık büyüme hızı 1996 yılından 2006 yılına kadar % 60 idi ve 2006 yılından itibaren 2014 için yalnızca % 9 olmuştur. Bu güvenli kodlama uygulamalarının daha uyum standartlarının getirilmesi ve daha geniş kabulü nedeniyle olmuştur.

Ancak saldırganlar taktiklerini geliştirmeye devam ettiler ve yeni güvenlik açığı açıklamaları artmaya devam etti. Örneğin mobil uygulamaların saldırısı, bilgisayar korsanlarına yeni bir hedef verdi. 2014’ün sonlarında, CERT / CC , Google Play Store’daki Android uygulamalarındaki SSL güvenlik açıklarını taramak için yeni bir yöntem geliştirdi ve bu da 20.000’den fazla bildirilen güvenlik açığıyla sonuçlandı. (securitycompass(2020))

 

SONUÇ

Bilişim teknolojilerinin gelişmesi internet yaygınlaşması ile beraber güvenlik açıklarında çok hızlı bir şekilde artış göstermiştir. Bununla birlikte bazı tehditler ortaya çıkmıştır. Bu güvenlik tehditlerini beş başlık altında toplayabiliriz. Ağ güvenliğini ortaya çıkaran tehditler, internet güvenliğinin ortaya çıkardığı tehditler, uç nokta, bulut ve uygulama güvenliğinin sonucu ortaya çıkan tehditlerdir. Bu güvenlik süreçlerini tarihsel olarak değerlendirirsek ilk ortaya çıkan tehditler ağ ve internet güvenliğidir. Bu çalışmanın sonucunda her geçen gün sürekli artan bir ivmeyle büyüyen teknolojik gelişmelerin yanı sıra bu teknolojik gelişmeleri kötü niyetli kişilere karşı korumak için bilişim güvenlik sistemleri de aynı ivme ile gelişimini sürdürmektedir. Her geçen gün gelişen ve yenilenen dünyada bilişim sistemleri ne kadar önemli yer kaplıyorsa bilişim güvenliği de bir o kadar önemli bir yer kaplamaktadır. Bu sebeplerden dolayı kişiler, kurumlar, şirketler ve ülkeler de dahil olmak üzere bilişim güvenliği konusunda önlem almaları önemli kılınmıştır.

 

Kaynakça

Man, J.(2017, Mart, 29). tripwire web sitesi: https://www.tripwire.com/state-of-security/security-data-protection/understanding-evolution-network-security/ adresinden alındı

Keith D. Foote(2017, Haziran, 22). dataversity web sitesi: https://www.dataversity.net/brief-history-cloud-computing/

Taş, F.(2019, Ocak.16). linkedin web sitesi: https://www.linkedin.com/pulse/u%C3%A7-noktaendpoint-g%C3%BCvenli%C4%9Fi-fevziye-tas adresinden alındı

Choudary, A.(2019, Mayıs, 20)). Edureka web sitesi: https://www.edureka.co/blog/what-is-network-security/ adresinden alındı

Fruhlinger J.(2018, Mayıs, 11). csoonline web sitesi: https://www.csoonline.com/article/3270968/5-top-trends-in-endpoint-security-for-2018.html

Asher L.(2017 Haziran, 1). cybereason web sitesi: https://www.cybereason.com/blog/what-is-next-generation-antivirus-ngav

Petters J.(2020, Mart, 29). varonis web sitesi: https://www.varonis.com/blog/endpoint-detection-and-response-edr/

Frankenfield, J. (2020, Mayıs, 7). Investopedia web sitesi: https://www.investopedia.com/terms/c/cloud-security.asp adresinden alındı

Security Compass. (2020, 06 03). Security Compass web sitesi: https://resources.securitycompass.com/blog/a-brief-history-of-application-security-2 adresinden alındı

Zandbergen, P.(2020). study web sitesi: https://study.com/academy/lesson/what-is-internet-security-privacy-protection-essentials.htmladresinden alındı

Strom, D.(2019, Kasım, 13). csoonline web sitesi: https://www.csoonline.com/article/3315700/what-is-application-security-a-process-and-tools-for-securing-software.html adresinden alındı

Murphey, D.(2019, Haziran, 27). ifsecglobal web sitesi: https://www.ifsecglobal.com/cyber-security/a-history-of-information-security/ adresinden alındı

Photo by Dan Nelson on Unsplash


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

Etik Sistemleri

İçindekiler

Giriş

Bir Felsefe Olarak Etik

İlk-Orta-Modern Çağda Etik Teorileri

Etiğin Amacı

Etik İlkelerin Özellikleri

Etik Sistemleri

Etik Teorileri

Teleolojik Yaklaşım (Sonuçsalcılık).

Bireyci Yaklaşım (Egoizm).

Faydacı Yaklaşım

Ahlak ve Haklar Yaklaşımı

Adaletçi Yaklaşım.

ETİK SİSTEMLERİ

Amaçlanan Sonuç Etiği

Kural Etiği

Kant’ın Etik İlkeleri

Toplumsal Sözleşme Etiği

Rousseau’nun Etik Anlayışının Temel İlkeleri

Kişisel Etik

Kişisel Etiğin Özellikleri

Sosyal Yaşam Etiği

SONUÇ

Kaynakça

Giriş

Bu araştırmada Etik Nedir, Tarihte Etik, Etik İlkeleri Nelerdir, Etik İlkelerinin Dayandığı Yaklaşımlar ve Etik Sistemlerinden bahsedilmiştir.

Etik, kişinin davranışlarına temel olan ahlak ilkelerinin tümü olarak ifade edilebilir. Başka bir ifade ile etik, insanlara ‘‘işlerin nasıl yapılması gerektiğini’’ belirlemede yardımcı olan yol gösterici değerler, ilkeler ve standartlardır. Etik, aynı zamanda felsefi bir süreçtir. Bu süreç, karar alırken ve uygularken, belirli ilkelere ve standartlara bağlı kalınmasını gerektirmektedir.

Günlük anlamda en çok kullanıldığı anlam; “Kişinin davranışlarına temel olan ahlak ilkelerinin tümü” olarak ifade edilmektedir. 

Bir Felsefe Olarak Etik

Etik genel inançlarla, tavırlarla ya da alışılmış davranışları yönlendiren kurallarla ilgilidir. Felsefenin bir dalı olarak etik; bize nasıl yaşamamız gerektiğini gösteren geleneğin akıl süzgecinden geçirilmesini amaçlamaktadır. Bu anlamda her toplumun kendine özgü bir etiği vardır.

Etik, kısaca ifade edilirse; felsefenin bir dalı olarak ahlaki sorunlar ve ahlaki yargılar hakkında felsefi düşünme anlamındadır. 19. yüzyıldan bugüne gelene kadar ortaya konan düşünce akımlarının en iyi analizinin yakın dönemlerde felsefeciler tarafından yapıldığı belirtilmektedir. Bu çerçevede çeşitli düşünce akımları kapsamında analizlerden biri de değer kavramının yeniden sorgulanması olmuştur. Böylece felsefenin alt disiplini olarak etik, insanın diğer insanlarla ilişkilerini sorgulamanın yanında, insanın doğal çevresiyle olan ilişkilerini de irdelemeye başlamıştır. (Mahmutoglu, A. 2019, s.230,231).

Etik; “iyi” ve “kötü” nün ne olduğu, “yanlış” ve “doğru” nun nasıl anlaşılması gerektiği gibi açılardan insana ait değerleri ele almaktadır. (Mahmutoglu, A. 2019, s.231).

İnsan; tutum ve davranışları ile toplum yaşamında görülen eylemleri ve sosyal yaşamı irdelemeden ve eleştirel olarak değerlendirmeden, kuramsal bir anlayış geliştirilmesi olanaklı görülmemektedir. Bir başka ifadeyle etik kuram içerisinde yer alan çeşitli düşünceler kapsamında, var olan kurulu düzene karşı çıkma ya da tez-antitez anlayışı bir bakış açısı olarak benimsenmektedir. (Mahmutoglu, A. 2019, s.231).

Etik yargılar oluşturmak, doğru ve yanlışa ilişkin değerlendirmelerde bulunmak, neyin gerekli ya da zorunlu olduğunu öğütlemek normatif etikle uğraşmak anlamına gelmektedir. Normatif kararlar insan davranışlarına yön verebilmektedir.

İlk-Orta-Modern Çağda Etik Teorileri

Etik tarihi süreci; zamandan zamana, toplumdan topluma, ekonomik, politik ve sosyal dinamiklerin etkilerine göre farklılık gösteren bir süreçtir. Etiğin ortaya çıkması, felsefe içinde etik sorunların gündeme gelmesi Antikçağa kadar gittiği değerlendirilmektedir. 

İlkçağ Etik Teorileri

İlkçağ etiği, insanın amacının iyi ve erdemli bir yaşam olduğu, kaynağın akıl olduğu varsayımına dayanan teleolojik yapıdadır. Ahlakın insanın doğasında bulunmadığı, toplum içindeki yaşayışla kazanıldığı, ahlakın insan eylemlerinden doğmuş olduğu ve insanlar tarafından onaylandığı yönündeki düşünceleriyle, felsefeciler etik teorilerini başlatmışlardır.

Sonraki dönemlerde, Sokrates ve onun mutluluk etiği kuramı geliştirmesi süreci takip ettiği belirtilmektedir. Sokrates, Yunan felsefesinde “etik” kuramının kurucusu olarak kabul edilmektedir. Sokrates’in felsefenin merkezine insan ile insan ilişkilerini koyması ve insanın ahlaki boyutunu ön plana çıkarması sebebiyle; insana felsefi bakışta yeni bir boyut kazandırmıştır. Sokrates’in etik anlayışına göre etik felsefenin nihai amacının mutluluğa erişmek olduğu kabul edildiğinden, Sokrates felsefesi teleolojik bir etiktir. 

Etik literatüründe bir diğer teori olan “kendini gerçekleştirme” teorisinin kuramcıları, birey için en yüksek iyinin ne olduğunu sorgulayan ve neden iyilik yapılması gerektiğine dair felsefe geliştiren Eflatun (Plato) ve Aristoteles’tir. 

Ortaçağ Etik Teorileri

Orta Çağ’da, din ve din adamları her alanda kendini göstermiş, mevcut anlayışlarda köklü değişimler yaşanmış, temeli teolojik olmayan görüşler tamamıyla terk edilmiştir. Orta çağ etik teorilerinden “sonsuz saadet” temsilcisi olan Thomas’a göre, insan, yaratıcı tarafından yaratılmış olmanın bilinciyle yaşamalı ve erdemli davranışlar sergilemelidir.  Orta çağ boyunca inancın hizmetinde olan dini ağırlıklı felsefenin, geleneğe ve otoriteye başkaldırması modern dönem sürecinde gerçekleşmiştir. 

Modern Çağ Etik Teorileri

Modern çağın uzun süreli ve etkili akımının “tüm insani faaliyetlerin temeline faydayı koyan ve insanı faaliyette bulunmaya yönelten temel güdünün fayda olduğunu” savunan bir yaklaşım olarak tanımlanan “faydacılık” etiği olduğunu söylemek doğru bir ifade olacaktır. Faydacılık felsefenin bu denli etkili olmasında, kapitalizmin güç kazanmasının ve ekonomik sistemin hâkimi olmasının etkisi büyüktür. Faydacılık felsefesine göre; bir eylem, maksimum sayıda şahıs için maksimum faydayı sağlıyor veya minimum sayıda kişi için minimum düzeyde zarara sebebiyet veriyorsa etiktir. (Aktaş, K. 2014, s:24,25)

Etiğin Amacı

Etiğin amacı; davranışlara kılavuzluk edecek olan ilke ve kuralları oluşturmak, geliştirmek ve bunların uygulanmasını savunmak olarak belirtilmektedir. Bu nokta etiğin ahlakla olan en belirgin farkıdır. Bu anlamda etik eylemleri oluşturan ilke, kurallar ve değerlerle ilgilidir. (Mahmutoğlu, A .2019, s:242).

Etik İlkelerin Özellikleri

Etik ilkelerin ve Ahlâk kurallarının aksadığı toplumda sosyal yaşamı ayakta tutmak büyük bir sorun haline gelecek ve zorlaşacaktır.

Bütün sistemler, etik ilkeler ve bir ahlâk anlayışına dayalı olarak varlıklarını sürdürme şansına sahip olabilmektedirler.

Ahlâk kavramı somut değerlerle ilgili iken, ahlâkîlik ve etik ilkeler daha çok soyut tanımlamaları ve kavramları anlatmaktadır. Etik ve Ahlâk kavramlarına en yakın duran kavramların başında adalet gelmektedir. Adalet olmaksızın etik ilkeleri ve ahlâkîliği sağlayan özgürlük, eşitlik, mutluluk, huzur vb. kavramlardan söz etmek çok anlamlı olmayacaktır. (Mahmutoğlu, A. 2019, s:228).

Etik Sistemleri

Günümüzde çok tartışılan konulardan birisi de etik ölçüler geliştirilirken ölçülerin neler olacağı konusudur. Etik ilkeler geliştirilirken temel ölçüler, adalet ilkesi, insan hakları ilkesi, faydacılık ve bireysellik ilkesi olmaktadır. (Kılavuz, R. 2004, S:16).

Adalet (Hakkaniyet), bütün kararların tutarlı, tarafsız ve gerçeklere dayalı olması üzerinde durur.

İnsan hakları, bireylerin varlığı, bütünlüğü ve temel insan hakları üzerinde durur.

Faydacılık, herkes için iyi olacak kararın verilmesini üstlenir.

Bireysellik, bireylerin temel amaçlarının uzun dönemli olarak kişisel kazançlarını artırmak olduğunu savunur.

ETİK TEORİLERİ

Teleolojik Yaklaşım (Sonuçsalcılık)

Teleolojik kuramlar, bireyin eylemlerinin sonuçları üzerine odaklanır. Yani bir eylemin iyiliğini veya kötülüğünü, doğruluğunu veya yanlışlığını eylemin sonuçları gösterir. (Usta, A. 2010, s:163).

Buna göre, bir bireyin kararı çok sayıda insana fayda sağlıyorsa etiktir.

Sonuç olarak şunu söyleyebiliriz; Teleolojik Teoride öncelikle fayda / maliyet analizi ile bir eylemin iyi ve kötü sonuçları ortaya konulur. İyi sonuçların kötü sonuçlardan fazla olup olmadığına karar verilir. Teleolojik yaklaşım, bireycilik ve faydacılık olmak üzere iki grupta incelenir. (Citekci, M. 2018 s:4)

Teleolojik teori için iki sınıflama yapılır.

  • Birincisi, egoizm olarak adlandırılan bireyci yaklaşımdır. Bireyciliğe göre doğru eylem, tüm alternatif sonuçlar göz önüne alındığında bu alternatifler arasından bireyin çıkarını maksimum yapan yani bireye en yüksek faydayı veya en az zararı veren sonucun olduğu eylemdir.
  • İkinci ise sonuçsalcıların birçoğu tarafından savunulan ve doğru eylemin sadece tek bir birey ile yani ‘ben’ ile ilgili olduğu savını reddeden faydacılık Faydacılığa göre, doğru olan eylem, bütünün (toplumun) çıkarını maksimum yapmalıdır. Sonuçsalcı ahlak teorilerine göre bir eylem veya oluş iyidir, sonuç kötü ise eylem veya oluş kötüdür.

Bireyci Yaklaşım (Egoizm)

Egoizm olarak da isimlendirilen bu yaklaşım, doğrunun uzun dönemde bireye yarar sağlayan davranış ya da yaklaşım biçimi olduğunu kabul eder. Bireylerin her zaman kendi çıkarlarına uyan şeyi yapmalarının doğru olduğunu savunan doktrindir. Buna göre bireyler, kendilerine uzun dönemde en çok faydayı sağlayacak duruma göre karar verirler. Bu davranış biçiminde en önemli husus, bireyin iyi – kötü değerlendirmesinde kendisine en büyük yararı sağlayacak sonuçtur. Her birey kendi yararını ön planda tutma güdüsüyle hareket ettikçe genel yani toplumsal çıkarlar da üste çıkacaktır. Bu bir anlamıyla toplumsal gelişme demektir. (Citekci, M. 2018 s:6)

 Bireyci yaklaşım ancak dürüstlük, doğruluk kavramlarının temeline oturduğu zaman gerçek anlamına ulaşır. Bu yaklaşıma yöneltilen önemli bir eleştiri bireysel yararın bireysel çıkara dönüşmesi nedeni ile uygulamada sapmaların olduğu yönündedir.

Faydacı Yaklaşım

Fayda metafiziksel ve dolambaçlı bir kavramdır. Bireylerin yararlı şeyleri satın almasını sağlayan kalitedir ve gerçekte bireyler bunları faydalı gördükleri için satın alırlar. Problem, ne derecede faydalı karar verildiği ve toplam faydanın artırılması açısından doğru kararın objektif olarak nasıl gerçekleştirileceğidir. Düşünürlerin çoğu istek – mutluluk yaklaşımına ağırlık verirler. Bu yaklaşımla fayda kavramı deneysel veya zihinsel durumlardan ziyade bireylerin fiili tercihlerini ifade eder. Bu yaklaşım, hazcılık veya içsel değerin çoğulcu bakışlarıyla ilgisizdir. Bütün faydacılar için faydanın prensibi, ahlaki olarak doğru veya yanlış davranışların tespiti için isteğin nihai kaynağıdır. Faydacılığın, ‘davranış faydacılığı’ ve kural faydacılığı’ olarak isimlendirilen iki türü vardır. Her iki türü de, ahlakın amacının sosyal faydanın maksimize edilmesi yoluyla toplumun ortak çıkarına hizmet etmek olması gerektiği konusunda hemfikirdir. (Citekci, M. 2018 s:7)

Ahlak ve Haklar Yaklaşımı

Bireylerin irade, gizlilik, güvenlik, gelişme, yaşama gibi temel hak ve özgürlüklerinin bulunduğu ve bunların bireyin kararlarında göz ardı edilemeyecek değişkenler olduğu temeline dayanır. Kurum ve kuruluşlar (meslek örgütleri) meslek ahlakını ilgilendiren bir konuda karar alırken, toplumdaki diğer bireylerin haklarına da dikkat etmek zorundadırlar.

Adaletçi Yaklaşım

Eşitlik, adalet ve tarafsızlık kavramları esas alınmaktadır. Bu yaklaşım özellikle meslek örgütleri için şu üç temel ilke üzerine kurulmuştur; eşitlik, adalet, tarafsızlık.

Kant tarafından savunulan deontolojik yaklaşımda ahlakilik kişisel çıkarlardan ayrı tutulur. Kant’ın ahlak anlayışında esas olan mutluluk ya da fayda değil, mutluluğu hak etmek ve doğru olmaktır. Kant ahlakında ahlaki davranışı motive eden faktör, mutluluk, zevk ya da fayda olamaz. Bu anlamda ahlakilik, şart bir durum değildir. Diğer bir ifade ile, ahlaki davranmak için belli şartların yerine gelmesi beklenmez. Ahlaki davranış her türlü şart altında gerçekleştirilmesi gereken davranıştır.

ETİK SİSTEMLERİ

Photo by Eda Dinçer on Pictochart

 

Amaçlanan Sonuç Etiği

Genellikle faydacılık olarak bilinir. Sorunlara pratik bir yaklaşım getirir ve elde edilecek sonuçlara odaklaşır. En önemli temsilcisi John Stuart Mill’dir.

Bu etik, haz arama ve acıdan kaçma üzerine kurulmuştur. Mill’ e göre bir eylemi ‘iyi’ kılan şey sonuçta getirdiği fayda ile mutluluğu sağlamasıdır. ‘İyi’ nin ölçütü olan mutluluğun, sadece eylemde bulunanın değil, ilgili herkesin, dolayısı ile tüm insanlığın mutluluğu olduğunu savunur. Amaçlanan sonuç etiğinin sorunlara pratik yaklaşımı ve eylemlerin etkileyeceği bireylerin, verilen kararda dikkate alınmasını gerektiren faydacı yaklaşımı günlük sorunların çözümüne yardım edebilir.

Mill’in Faydacılık İlkeleri:

  • Bir eylemin doğru ya da yanlış olduğuna karar verebilmek için sonuçlarına yoğunlaşmak gerekir.
  • Eylem kuralları, onlara uyacak bireylerin karakterlerinden kaynaklanmalıdır.
  • Eylemlerin doğruluk oranı arttıkça, mutluluk da artar; azaldıkça mutluluk da azalır.
  • Her insan kendi mutluluğunu istediği sürece, bu onların en yüksek mutluluğa ulaşmaları için yeterli bir nedendir.
  • Mutluluk, insan eyleminin tek amacıdır ve onun ölçütü ahlaki oluşudur.
  • Mutluluk, bireyin kendi mutluluğu değil, eylemin herkes için doğruluğudur.
  • Eylemin fayda derecesi, mutluluğu oluşturur ya da mutsuzluğu engeller.
  • Bir eylemin etik olarak doğru sayılması için, eylemin sağladığı toplam faydanın, bireyin yapacağı başka bir eylemin sağlayacağı toplam faydadan daha büyük olması gerekir.

(Citekci, M. 2018 s:13,14)

Kural Etiği

Hayatımız boyunca birçok kuralla karşılaşırız. Neredeyse girdiğimiz her toplumda okulda, iş yerinde, vb. birçok kural vardır. Bireylerin yaşamı bu kurallarla şekillenir. Bu kurallar toplumların yaşamını düzenler. Böylece toplumsal kurallar, doğal olarak kural etiği çerçevesini çizer. Kural etiği Immanuel Kant tarafından geliştirilmiştir. Kant etik ilkelerin yıllardır bilindiğini, evrensel ve nesnel olduklarını öne sürmüştür. Bütün insanlar için geçerli evrensel kurallar arayışı, bireyin davranışlarında temel alacağı sağlam çerçeveler çizebilir.

Kant’ın Etik İlkeleri;

  • Bütün etik kavramlar öncüllere dayanır ve bundan dolayı denetsel bilgiden soyutlanamaz.
  • İnsanlar zorlamalar nedeniyle veya eylemin gerçekten iyi olması nedeniyle davranış gösterebilir.
  • Bireylerin kendilerini kısıtlayan ilke ve kuralları temel almaları gerekir.
  • Erdemli davranmak aslında ilkelere uygun davranmak demektir.
  • Mutluluk, haz dolu bir yaşam değil, erdem dolu bir yaşamdır.
  • Erdem bir idealdir ve bireyler bu ideale olabildiğince ulaşmak için çabalamalıdır.
  • Bireyler kendilerini başkaları ile değil, kendi kusursuzluk idealleri ile karşılaştırarak değerlendirmelidirler.
  • Bireylerin ahlak kurallarını kendi davranışlarına uyarlaması değil, kendi davranışlarını ahlak kurallarına uydurmaları gerekir.
  • Eylemlerin temelinde yatan ilkeleri, tüm insanlık için geçerli genel kurallar olarak görmek ve o şekilde davranmak gereklidir.
  • Bireylere karşı davranışlarda yalnız kendi amaçlarını değil, karşı tarafın amaçlarını da göz önünde tutmak ve bireyleri amaca ulaştıracak araçlar olarak görmemek gerekir. (Citekci, M. 2018 s:15)

Toplumsal Sözleşme Etiği

Toplumsal sözleşme etiği birey olarak toplumun genelince kabul gören ilkeler ve standartların benimsenmesi, toplum halinde yaşamanın getirdiği çatışmaların çözümlenmesinde yarar sağlayabilir. Öncüsü, Jean Jack Rousseau’dur. Onun için en önemli olgu, otorite ve özgürlük arasındaki dengedir. Bireylerle toplum arasındaki ilişkileri düzenleyen ve uyulması zorunlu olan kurallara hukuk kuralları denir.

Rousseau’nun Etik Anlayışının Temel İlkeleri;

  • İnsanlar doğada yalnız ve ilkel yaşadıkları zaman yok olurlar. Bunun için toplum haline gelmeleri ve üzerinde uzlaşılmış ilkelerle yönetilmeleri gereklidir.
  • Doğal yaşamdan, uygar yaşama geçiş, eylemlere ve içgüdülere daha önce gereksinim duyulmayan, ahlaki bir karakter kazandırır.
  • Kolektif ve ahlaki bir parça olarak, toplumun genel prosedürlerine uygun davranmak gereklidir.
  • Toplumdaki bireylere, ödevler ve yararlar eşit olarak dağıtılır ve toplumun tüm üyeleri birbirine yardım ederler.
  • Toplumun standartları, bireyin ne yapması gerektiğine karar vermesine yardım eder.
  • Toplumsal sözleşme, toplumun yönetimini, yine toplumca belirlenen üyelere verir.
  • Toplumun ahlak kuralları ve anlayışı, en önemli yapı taşı olarak işlev görürken, hukuki yasalar diğer yapı taşlarıdır.
  • Bireyler kendilerini geliştirmeli ve yasaları koyma hakkından dolayı hoşnut olmalıdırlar.
  • Toplumun bütün üyeleri yasalara, onların rızası olmadan kabul edilmiş olsalar bile rıza göstermek ve uygun davranmak zorundadırlar.
  • Bireyler toplumsal sözleşmeye karşı çıkarlarsa, bireylerin muhalefeti onu geçersiz kılmaz, ancak topluma üyeliklerini engeller. (Citekci, M. 2018)

Kişisel Etik

Bir eylemin ahlaki doğruluğu, kişinin vicdani tarafından belirlenir. Kişisel etik sisteminin en önemli temsilcilerinden olan Martin Buber, kişisel etiğin kaynağının bireyin içinden gelen ses (vicdan) olduğunu savunur. Kişisel etik, kişinin toplum içerisindeki bireysel duruşunu belirler. Bu etik anlayış bireyin ahlaki alt yapısını temel alır. Bireyin yaşadığı ve çevresinde yaşanan olaylar karşısında gösterdiği tepkiler ya da koyduğu tavırlardır. Bireyin kendine dönmesi ve kendini kusursuzlaştırmak için gereksinim duyduğu gücü, kendi vicdanından almasını sağlayarak, bireyin karşılaştığı özel durumlarda doğru kararlar vermesinde yarar sağlayabilir.

Kişisel Etiğin Özellikleri;      

  • Kişisel etik, gerçeğin ve doğrunun sadece zekadan değil bireyin kendisinden geldiğini savunur.
  • Doğruluk ve etik davranışlar herkesin içinde vardır ve bireylerin içinden gelen sestir.
  • Kişisel etik bireyin kendisine dönmesini sağlar.
  • Bireyin karşılaştığı durumlarda doğru ve yanlış kararlar vermesi tamamen kendi vicdanına bağlıdır.
  • Bireyi amaca ulaştıracak davranış etik olmalıdır.
  • Yaşamdaki belli kuralların olamayacağı pek çok durum söz konusudur.
  • Birey bir grupta yer aldığı için, haksızlığa göz yummaz.
  • Birey özgürleştikçe kendi etik standartlarını geliştirir. Kişisel ve yalnız davranma sorumluluğu artar.
  • Birey ancak kendi çabaları ile kusursuzluğa erişir. Başkaları bunu kişi adına yapamaz.
  • Bireyler hayatları boyunca geliştikleri için, yeni değerler ve inançlar da edinirler.

Sosyal Yaşam Etiği

Kişinin sosyal yaşam içerisinde kurduğu ilişkilerde uyması gereken kurallar bütünüdür. Doğadaki her canlının yaşamak için diğer canlılara ihtiyacı vardır. Şüphesiz bu ihtiyacı en fazla hisseden canlı türü insandır. Ancak gerek insanların kendi aralarındaki ilişkilerde gerekse insanın doğadaki diğer canlılarla kurduğu ilişkilerde uyması gereken kurallar vardır. Bunlara sosyal yaşam etiği denir. (Citekci, M. 2018 s:24)

Bunlar;

  • İnsanlar birbirleri ile olan ilişkilerini karşılıklı saygı ve nezaket kuralları çerçevesinde yürütürler.
  • Tüm taraflar görevlerinin gerektirdiği hak ve sorumlulukların bilinci içinde davranırlar.
  • Nüfuz ve güç kullanımı gibi baskı yöntemleri kullanılmaz.
  • Meslektaşlar, öğrenciler ve çalışanlar hiçbir çıkar doğrultusunda yönlendirilemez.

SONUÇ

Bu çalışmada etiğin genel bir literatür incelemesi yapılmıştır. Etik ilkelerinin kurumsal uygulamasının ülkemizde, çok daha öncelere kadar gittiğini, ifade etmek mümkündür. Günümüzde etik ilkeler kapsamında sosyal ve çevre sorumlulukları da değerlendirilmektedir. Bu kapsamda etik ilkeler, dünyada ve ülkemizde yasal olarak desteklenmekte olup işletmeler için bir itibar göstergesi olarak sunulmaktadır.

Kaynakça  


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

YÜKSEKÖĞRETİM KURUMLARINDA ETİK İLKELER

İçindekiler

ÖZET

ETİK İLKELER

BİLİM ETİĞİNDE TEMEL İLKE

ÖĞRETİM ELEMANLARI İÇİN ETİK İLKELER VE SORUMLULUKLAR

ÖĞRENCİLER İÇİN ETİK İLKELER, SORUMLULUKLAR

SONUÇ

KAYNAKÇA

ÖZET

Günümüz modern yönetimlerinin en temel sorunlarından birisi toplumsal yararı artırabilecek yöntem ve teknikleri geliştirmektir. Ancak, toplumsal yararı artırabilecek yöntem ve teknikler bazı koşulların sağlanmasını gerektirmektedir.Çünkü kurumlarda temel unsur kurumsal değerleri benimsemiş insan unsurudur. Ayrıca bir kurumun etkili ve verimli olabilmesi için personelin görev davranışlarını kurum normları çerçevesinde düzenlemeleri gerekmektedir. Kurum normlarının en etkilisi ise personelin etik amacı ve ahlaki yükümlülükleridir. Yükseköğretim kurumları; akademik personel, öğrenciler ve idari personelden oluşan üç temel paydaş grubunun yoğun bir etkileşim içinde oldukları yerlerdir. Akademik ortamlarda, aynı paydaş grubundan veya farklı gruplardan bireylerin birbirleriyle olan ilişkilerinde yüksek etik standartlara uyulması beklenir. Bu çalışmada, yükseköğretim kurumlarında eğiten, eğitilen veya çalışan bireylerin etkileşimine uygulanabilecek etik ilkeler, sorumluluklar ve davranış kuralları derlenmiştir.

Etik doğru davranışlarda bulunmak, doğru bir insan olmak, ve değerler hakkında düşünme pratiğidir.

Etik farklı disiplinlerdeki pek çok konuyu ve tartışmayı kapsamaktadır. Antropoloji,ekonomi,politika(siyaset),sosyoloji,hukuk,kriminoloji,psikoloji,bi-yoloji, ekoloji gibi daha pek çok alanda devam eden etik tartışmalar bu alanlara temel teşkil etmektedir. Etik evrensel değerleri konu edindiği için insanın bütün pratiklerini içerebilen yargılar ve doğrularla ilgilenir. İyi, kötü, doğru, yanlış, adalet, suç, değer, erdem, vicdan, gibi kavramları temel alan etik farklı alt dallara ayrılmaktadır.

Her ne kadar etik anlayışının tam olarak ne zaman başladığı bilinmese de Dünya’nın farklı yerlerinde birçok farklı toplulukta çok eski çağlardan beri ahlaki anlayışının var olduğu bilinmektedir. Dinler târihi, felsefe tarihiyle antropolojik ve arkeolojik bulgular bunu kanıtlar nitelikte ilgiye dayalıdır.

Gerçekte etik, bilimsel ve akademik yaşamın en önemli temel taşlarından birisi olarak ilgilenilmesi,incelenmesi,dikkate alınması ve öğretilmesi gereken bir kavram olmalıdır. (Ruacan, Ş.)

“Etik”le ilgili gördüğümüz yeni bir gelişme de, bütün kültürlere saygı talebinin ve postmodernizmin norm sorunlarına relativist yaklaşımının -”her şey olur” (anything goes) ilkesinin- yarattığı kargaşa karşısında, bazı çevrelerde “evrensel bir etik” veya “evrenselleştirilebilir bir etik” ya da “global bir etik” geliştirme girişimleridir. Etikle ilgili bu girişimlerde çeşitli epistemolojik karıştırmalar dikkat çekiyor. Bu karıştırmalar da etiği bugün gündeme getiren ihtiyaçlara cevap verebilecek şekilde geliştirilmesine engel oluyor. Bu nedenle, etik teriminin anlamca açıklığa kavuşturulması ve ‘etik’ sözcüğüne bugün yüklenen farklı kavramsal içeriklerin ayırdedilmesi, yalnızca etiğin teorik geliştirilmesinde ilk adım olarak değil, aynı zamanda özel, kamusal ve meslek yaşamımızda adım başında karşılaştığımız etik problemler karşısında doğru ya da değerli eylemde bulunabilmek için zorunlu görünüyor. Etik değer koruyarak yaşayabilmek ve mesleğimizi etik değer koruyarak yapabilmek için, normlardan ziyade etik değerin ve etik değerlerin felsefî bilgisine dayanan felsefî bir eğitime ihtiyaç vardır. Çünkü böyle bir eğitim, yüz yüze geldiğimiz durumlarda, insan onurunun nerede tehlikede olduğunu gören bir göz kazanmamıza yardımcı olabiliyor. Platon’un diyaloglarındaki Sokrates’in “hiç kimse isteyerek kötü olmaz” kabulüne ve erdem ile erdemlerin bilgisine olan ihtiyacı ısrarla vurgulamasına daha çok kulak vermemiz yararlı olur. Bu da, genel olarak eğitimde ve meslekî eğitimde felsefî etik eğitimine daha önemli bir yer vermemiz gerektiği anlamına geliyor.(Kuçuradi,2003)

ETİK İLKELER

Etik ilkeler evrenseldir ve her ülkede geçerliliği olan kurallardır. 
Profesyonel davranış standartlarını, gelenek, alışkanlık, karakter, ahlak gibi kavramları içerir ve kısaca genel ahlak olarak tanımlanır. Dürüstlük, doğruluk, yardımseverlik, adaletli olmak, sadakat, tarafsızlık, doğruluk, hırsızlık yapmamak, cana kıymamak, dedikodu etmemek, görevini en iyi şekilde yapmak gibi dünyanın her yerinde erdem sayılan ahlaki değerlerden oluşur. Tutum ve davranışların iyi ya da kötü yönden değerlendirilmesi olarak da kullanılır.(Kalaycıoğlu ,2016)

Türkiye’deki üniversitelerde, genel olarak, etik kurul yönergeleri bulunmakla birlikte, bunların büyük bir çoğunluğu “bilimsel araştırmalarda ve yayınlarda uyulması gereken etik kurallar” üzerinde yoğunlaşmıştır. Ayrıca, akademik toplumu oluşturan öğretim elemanları, öğrenciler, idari ve yardımcı personel gibi paydaşlar ile ilgili bazı etik davranış kuralları da ilgili gruplara ait “disiplin, suç ve ceza” yasaları, tüzükleri veya yönetmeliklerinde, yalnızca suç sayılan davranışları tanımladıkları için, dolaylı olarak bulunmaktadır. Söz konusu yasal kurallarda yer almayan konular, genellikle, yerleşmiş akademik gelenekler ve nezaket kuralları çerçevesinde değerlendirilmektedir. Aslında, büyük ölçüde bireylerin bilgi, görgü ve deneyimine dayalı öznel yorumlar ve yargılarla değerlendirilen bu hususların; nesnel, çağdaş ve evrensel ilke ve kurallara uygun olarak ele alınması gerekmektedir. Bu çalışma; öğretim elemanları, öğrenciler ve idari personel arasındaki ilişkilerin yoğun olarak yaşandığı akademik ortamlarda uygulanabilecek etik ilkeler ve davranış kurallarının çeşitli kaynaklardan derlenmesiyle oluşturulmuştur.

BİLİM ETİĞİNDE TEMEL İLKE

Temel görevlerinin başında bilim üretmek ve öğretmek gelen yüksek öğretim kurumlarında, etik konusunda önceliğin “Bilim Etiğinde Temel İlkeler” olması kaçınılmaz bir zorunluluktur. Bu ilkeler Türkiye Bilimler Akademisi’nin (TÜBA) 14.12.2001 tarihli “Bilim Etiği Konusunda Basın Duyurusu”na esas teşkil etmiştir (TÜBA Bilim Etiği Komitesi, 2002).

  • Gerçeğe Uygunluk “Veriler, sadece bilimsel yöntemlerle yürütülen gerçek deney ve gözlemlerden elde edilir. Verilerin değerlendirilmesinde, yorumların ve kuramsal sonuçların elde edilmesinde bilimsel yöntemler dışına çıkılmaz. Bu yöntemlerle varılan sonuçlar saptırılamaz; elde edilmemiş sonuçlar araştırma sonuçları imiş gibi gösterilemez” (TÜBA Bilim Etiği Komitesi, 2002).
  • Bilimsel Araştırmanın Zarar Vermemesi “Araştırmanın deneklere zarar vermemesi, deneklerin olası riskler konusunda açık şekilde bilgilendirilmesi ve deneye katılım kararının etki ve baskı olmaksızın özgürce alınması gerekir. Deneyin deneklere, deneyi yapanlara, çevreye ve insan sağlığına zarar vermemesi elzemdir. Hayvanlar üzerinde yapılan çalışmalarda deney hayvanının gereksiz yere zarar ve acı görmemesi gözetilmelidir” (TÜBA Bilim Etiği Komitesi, 2002).
  • Sorumluluk ve Haklar “Bilim insanları araştırma sonuçları ile ilgili olarak toplumu bilgilendirmek, olası zararlı uygulamalar konusunda uyarmakla yükümlüdürler. Kendi vicdani kanaatlerine göre zararlı sonuçlara ve onaylamadıkları uygulamalara yol açabilecek araştırmalara katılmamak bilim insanlarının hakkıdır” (TÜBA Bilim Etiği Komitesi, 2002).
  • Yazarlar “Araştırma sonuçları araştırmayı yapanların tümünün isimleriyle yayınlanır. Araştırmanın tasarlanması, planlanması, yürütülmesi ve yayına hazırlanması aşamalarında etkin katkıda bulunmamış kişilerin isimleri yazar isimleri arasına katılamaz” (TÜBA Bilim Etiği Komitesi, 2002).
  • Kaynak Gösterme ve Alıntılar “Bilimsel yayınlarda ya da genel kamuoyuna dönük olarak yayınlanan her türlü makale, derleme, kitap ve benzeri yayınlarda daha önce yayınlanmış veya yayınlanmamış bir çalışmadan yararlanılırken, o çalışma bilimsel yayın kurallarına uygun biçimde kaynak olarak gösterilmelidir. Evrensel olarak tanınan bilim kuramları, matematik teoremleri ve ispatları gibi önermeler dışında, hiçbir yapıt tümüyle ya da bir bölümü ile izin alınmadan ve asıl kaynak gösterilmeden çeviri veya özgün şekliyle yayınlanamaz” (TÜBA Bilim Etiği Komitesi, 2002).
  • Bilim İnsanı ve Akademik Etkinliklerde Etik “Bilim insanı, akademik yaşamının bütün evrelerinde ve öğretim, yönetim ve akademik değerlendirmelere ilişkin görevlerde bilimsel liyakati temel ölçüt olarak kabul eder, etik kurallarının dışına çıkmaz ve bu kuralların dışına çıkılmasına göz yummaz. Eğitimin eksik verilmesi, kopyacılık, akademik ilerleme ve ödül jürilerinde bilimsel liyakat ölçütlerinin dışına çıkmak, kişileri kayırmak ve benzeri davranışlar kabul edilemez” (TÜBA Bilim Etiği Komitesi, 2002).

ÖĞRETİM ELEMANLARI İÇİN ETİK İLKELER VE SORUMLULUKLAR

Üniversite’nin kadrosunda bulunan tüm öğretim elemanları, aşağıdaki ilkelere ve davranış kurallarına uymayı kabul ederler. Ayrıca, kadrosu başka üniversitelerde veya kurumlarda olup da Üniversite’de ders veren veya geçici olarak görevlendirilen öğretim elemanları da, görevleri süresince, bu ilkelere ve davranış kurallarına uymayı kabul etmiş sayılırlar.

  • Öğrencilere Karşı Sorumluluklar Etik İlkeler

Öğretim elemanları; her öğrenciye, toplumun saygıdeğer ve etkili bir üyesi olarak, kendi potansiyelinin farkına varması ve bu potansiyelini gerçekleştirmesinde ona yardım etmek için çaba göstermelidirler (NEA, 2011). “Öğretim elemanları, öğrencilerinin serbestçe öğrenmelerini destekleyeceklerdir. Öğrencilere, kendi disiplinlerinin en yüksek bilimsel ve etik standartlarını sergileyeceklerdir. Öğrencilere bireyler olarak saygı gösterecekler, düşünsel (entelektüel) rehber ve danışman olarak kendi asıl görevlerine sadık kalacaklardır. Öğretim elemanları, dürüst akademik uygulamaların gelişmesini ve öğrencileri değerlendirmelerinde her bir öğrencinin gerçek liyakatinin yansıtılmasını sağlamak için mantıklı her türlü çabayı göstereceklerdir. Öğretim elemanları, öğrencileriyle aralarındaki ilişkinin güvene dayanan doğasına saygı göstereceklerdir. Öğrencilerin, ne şekilde olursa olsun şahsi amaçla kullanılmasını, taciz edilmesini ya da ayrımcılığa maruz bırakılmasını önleyeceklerdir. Onlardan aldıkları önemli akademik ve bilimsel yardımı belirteceklerdir. Öğrencilerin akademik özgürlüğünü koruyacaklardır” (AAUP, 2011).

  • Meslektaşlarına Karşı Sorumlulukları Etik İlkeler

“Öğretim elemanlarının meslektaşlarına karşı, bilimsel bir topluluğun üyeleri olmalarından kaynaklanan, yükümlülükleri vardır. Öğretim elemanları; meslektaşlarına karşı ayrım yapmazlar ve onları taciz etmezler; eleştirilerinde ve fikir alışverişlerinde, başkalarının görüşlerine gereken saygıyı gösterirler; kendilerininkinden farklı bulgulara ve sonuçlara yol açsa bile, meslektaşlarının özgürce sorgulamasına saygı gösterirler ve onu savunurlar; akademik sorumluluklarının bilincinde olarak, meslektaşları hakkında verecekleri profesyonel karalarında veya yargılarında nesnel olmak için çaba gösterirler; kurumlarının idaresinde kendi paylarına düşen akademik sorumluluğu yüklenirler” (AAUP, 2011 & Saddleback College, 2011).

  • Kendi Disiplinlerine Karşı Sorumlulukları Etik İlke

“Bilginin geliştirilmesinin değeri ve saygınlığının derin inancıyla hareket eden öğretim elemanları, kendilerine yüklenen özel sorumluluğun bilincindedir. Kendi alanlarına karşı olan birincil sorumlulukları, gerçeği aramak ve onu anladıkları şekilde ifade etmektir. Bu amaçla, öğretim elemanları enerjilerini bilimsel yetkinliklerinin gelişmesine ve iyileşmesine adarlar. Bilginin kullanılması, geliştirilmesi ve aktarılmasında eleştirel bir şekilde kendini disiplin altına almak ve yargıda bulunma (muhakeme yapmak) yükümlülüğünü kabul ederler. Düşünsel olarak dürüstçe davranırlar. Öğretim elemanlarının her ne kadar ek uğraşları olabilirse de, bunlar sorgulama özgürlüğünü ciddi olarak engelleyemez ve ondan ödün verilmesine neden olamaz” (AAUP, 2011).

  • Üniversiteye Karşı Sorumlulukları Etik İlke

“Öğretim elemanları, akademik bir kuruluşun üyeleri olarak, her şeyden önce etkin bir öğretmen ve bilim insanı olmak için çaba gösterirler. Öğretim elemanları, akademik özgürlükle çelişmedikçe, kurumlarının belirtilen kurallarına uyarlarsa da eleştirme ve düzeltme (iyileştirme) isteme haklarını korurlar. Öğretim elemanları, kurumları dışında yaptıkları işin niceliği ve niteliğinin belirlenmesinde, kurum içindeki konumlarını göz önünde bulundururlar. Hizmetlerine ara veya son vermeyi göz önünde bulundururlarken, kararlarının kurumun programı üzerindeki etkisinin bilinciyle, niyetleri hakkında zamanında bilgilendirme yaparlar” (AAUP, 2011). Üniversite öğretim elemanları, işlerini kaybetme tehlikesine ve korkusuna maruz kalmaksızın, bilinenleri sorgulama ve farklı görüşlere sahip olma hakkına sahiptir (Aydın, 2002).

  • Topluma Karşı Sorumlulukları Etik İlke

“Toplumun üyeleri olarak, öğretim elemanlarının diğer vatandaşlar gibi hakları ve yükümlülükleri vardır. Öğretim elemanları, bu yükümlülüklerinin önceliğini öğrencilerine, meslektaşlarına, kendi disiplinlerine ve kurumlarına olan sorumlulukları ışığında değerlendirirler. Birey olarak konuşurken veya davranırken; bölümleri, fakülteleri veya üniversiteleri adına konuştukları izlenimini vermekten kaçınırlar. Sağlığı ve bütünlüğü için özgürlüğe muhtaç olan bir meslekte çalışan yurttaşlar olarak, öğretim elemanlarının, özgür araştırma koşullarını geliştirmek ve toplumun akademik özgürlüğü kavramasını daha ileri götürmek konusunda özel yükümlülükleri vardır” (AAUP, 2011).

  • Mesleki Etik Kuralları

Öğretim elemanları; yukarıda sunulan etik ilkeler ve davranış kurallarına ek olarak, üyesi oldukları meslek odaları, örgütleri ya da derneklerinin etik kurallarına uygun hareket etmek zorundadırlar.

ÖĞRENCİLER İÇİN ETİK İLKELER, SORUMLULUKLAR

Üniversite’de kayıtlı olarak eğitim gören tüm öğrenciler aşağıdaki ilkelere ve davranış kurallarına uymayı kabul ederler. Ayrıca, kaydı başka yükseköğretim kurumlarında olup da geçici olarak bu Üniversite’de eğitim gören öğrenciler de bu ilkelere ve davranış kurallarına uymayı kabul etmiş sayılırlar.

  • Akademik Etiğe Aykırı Davranışlar

Sınav, ödev, proje, rapor, diploma çalışması, bitirme ödevi, tez vb. gibi her türlü sınama, bilgi veya yeterlik ölçme etkinliklerinde kopya çekmek veya vermek.

Başkası yerine sınava girmek veya kendi yerine başkasını sınava sokmak.

Bireysel olarak hazırlanması gereken bir çalışmayı başkalarına hazırlatmak veya başkası için hazırlamak.

Daha önce aynı ya da başka bir derste değerlendirilmiş bir çalışmanın aynısını veya çok benzerini, almakta olduğu dersin sorumlusunun iznini almadan, tekrar not almak için sunmak

Üniversite bünyesinde sürdürülen her türlü eğitim-öğretim, araştırma, kültür, sanat ve spor etkinliklerini veya sosyal hizmetleri engellemek.

  • Öğretim Elemanlarına Karşı Davranış Kuralları

Öğrenciler; ırkı, anadili, dini, cinsiyeti, milliyeti, medeni hali, siyasi görüşleri, dini inançları, cinsel yönelimi, ailesi, sosyal veya kültürel geçmişi, etnik kökeni ya da fiziksel engeli nedeniyle, herhangi bir öğretim elemanına karşı ayrımcılık yapmamalıdırlar.

Öğrenciler, öğretim elemanlarını değerlendirirken adil, dürüst ve nesnel olmalıdırlar.

Öğrenciler, öğretim elemanlarını kasıtlı olarak mahcubiyet içinde bırakmamalı veya aşağılamamalıdırlar.

Öğrenciler, öğretim elemanlarının profesyonel kararlarını ve davranışlarını etkileyebilecek ya da etkileme görüntüsü verebilecek herhangi bir hediyeyi veya ikramı öğretim elemanlarına sunmamalıdırlar.

  • Diğer Öğrencilere Karşı Davranış Kuralları

Öğrenciler, diğer öğrencilere karşı ırk, anadil, din, cinsiyet, milliyet, medeni hal, siyasal görüş, dini inanç, cinsel yönelim, aile, sosyal veya kültürel geçmiş, etnik köken, fiziksel engellilik gibi sebeplerle ya da keyfi ve kişisel nedenle ayrımcılık yapamazlar.

Tüm öğrenciler, ister aynı birimden isterse de farklı birimlerden olsun, birbirlerine karşı saygılı ve adil davranacaklar, saygın hareket edecekler ve birbirleriyle olan her türlü ilişkilerinde kendilerine hâkim olacaklardır.

Öğrenciler, kendi tavırlarını veya görüşlerini desteklemek için diğer öğrencilerin görüş veya tavırlarını, bilerek, yanlış bir şekilde aktaramazlar.

  • Bölüme, Fakülteye ve Üniversiteye Karşı Sorumlulukları

Öğrenciler; bölümün, fakültenin veya üniversitenin eğitim-öğretim işlerinin düzgün yürütülmesiyle ilgili kurallara uymak ve bununla ilgili bilgileri izlemek ve öğrenmek sorumluluğunu yüklenirler.

Öğrenciler; bölümün, fakültenin veya üniversitenin talep ettiği bilgileri veya evrakları doğru ve zamanında vermelidirler.

Öğrenciler; diğer bölümleri, fakülteleri veya üniversiteleri aşağılayacak veya kötüleyecek açıklamalarda bulunmamalıdırlar.

SONUÇ

Türkiye’deki üniversitelerde, genel olarak, etik kurul yönergeleri bulunmakla birlikte, bunların büyük bir çoğunluğu “bilimsel araştırmalarda ve yayınlarda uyulması gereken etik kurallar” üzerinde yoğunlaşmıştır. Öğretim elemanları, öğrenciler ve idari personel arasındaki ilişkilerin yoğun olarak yaşandığı akademik ortamlarda uygulanabilecek etik ilkeler ve davranış kuralları anlatılmıştır.Bu bağlamda Yükseköğretim kurumlarında, tüm iç-paydaşlara etik konusunda eğitim verilmelidir.

KAYNAKÇA

  • American Association of University Professors (AAUP) (2011). Statement on Professional Ethics. Retrieved April 16, 2011.
  • National Education Association (NEA) (2011). Code of Ethics. Retrieved April 16, 2011.
  • TÜBA Bilim Etiği Komitesi (2002). Bilimsel Araştırmada Etik ve Sorunlar, TÜBA Yayınları No.1, Türkiye Bilimler Akademisi, Tübitak Matbaası, Ankara, s. 70.
  • Aydın, İ. (2002). Yönetsel, Mesleki ve Örgütsel Etik, Pegem A Yayıncılık, Ankara.
  • Kalaycıoğlu, E. (2016, Kasım 1). Etik İlkeler http://essrakalaycioglu.blogspot.com/2016/11/etik-ilkeler.html adresinden alındı.
  • Kuçuradi, İ. (2003). Etik ve Etikler, Türkiye Mühendislik Haberleri Sayı 423.
  • Ruacan, Ş. Bilimsel Araştırma ve Yayınlarda Etik İlkeler
  • Gerçek, H. , Güven M.H. , Özdamar,Ş.O. , Yelken,T.Y. , Korkmaz,T. (2011). Yükseköğretim kurumlarında Etik İlkeler,Sorumluluklar ve Davranış Kuralları, Yükseköğretim ve Bilim Dergisi
  • Photo by Changbok Ko on Unsplash

 


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Kategoriler
Bilişim Etiği

BİLİŞİM SUÇLARI

İÇİNDEKİLER

  • 1-GİRİŞ
  • 2-BİLİŞİM SUÇU TÜRLERİ
  • 1. Bilişim Sistemlerine Karşı İşlenen Suçlar
  • 1.1 Bilişim Sistemine Girme Suçu
  • 1.2 Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme Suçu
  • 1.3 Bilişim Sistemi Aracılığıyla Hukuka Aykırı Yarar Sağlama Suçu
  • 1.4 Banka veya Kredi Kartlarının Kötüye Kullanılması Suçu
  • 2. Mal Varlığına Karşı İşlenen Suçlar
  • 2.1 Bilişim Sistemlerinin Kullanılmasıyla İşlenen Hırsızlık Suçu
  • 2.2 Bilişim Sistemlerinin Kullanılmasıyla İşlenen Dolandırıcılık Suçu
  • 3. Genel Ahlaka Karşı İşlenen Suçlar
  • 3.1 Bilişim Yoluyla İşlenen Müstehcenlik Suçları
  • 4. Özel Hayata Karşı İşlenen Suçlar
  • 4.1 Haberleşmenin Gizliliğini İhlâl
  • 4.2 Kişisel Verilerin Kaydedilmesi
  • 4.3 Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirmek
  • 4.4 Verileri Yok Etmeme
  • 5 Bilişim Sistemleri Kullanılarak İşlenebilecek Diğer Suçlar
  • 3-BİLİŞİM SUÇLARINDA ULUSLARARASI HUKUK UYGULAMASI – AVRUPA KONSEYİ SİBER SUÇLAR SÖZLEŞMESİ
  • 1.  Sözleşmenin Genel Değerlendirmesi
  • 2. Sözleşmede Tanımlanan Suçlar
  • 3. Sözleşmede Bulunmayan Hususlar
  • 4. Sözleşme Onay Süreci
  • 4-MUKAYESELİ HUKUK SİSTEMLERİNDE BİLİŞİM SUÇLARI
  • 5-TÜRKİYE’DE BİLİŞİM SUÇLARIYLA MÜCADELE
  • 6-SONUÇ
  • 7-KAYNAKÇA

1.      GİRİŞ

Bilgi ve iletişim teknolojileri geleceğin dünyasını yaratmaktadır. Eski dünyanın yaşantı biçimi giderek yerini yeni bir hayat tarzına bırakmaktadır. Eğitim, üretim, ticaret hatta sosyal hayat bilişim ağları üzerinden yaşanmaktadır. Devletler tarafından sunulan kritik hizmetler bilişim altyapılarına, yazılımlara ve donanımlara dayanmaktadır. İnsanlar finansal işlemlerini tamamen bilişim ağları üzerinden gerçekleştirmektedir. Teknolojik gelişmelerin toplum hayatını şekillendirdiği günümüzde, insanlar arasındaki ilişkileri düzenleyen hukuk kuralları da toplumsal ihtiyaçlara bağlı olarak değişmektedir. Bu süreçte, bilişim alanındaki gelişmelerde büyük bir hızla sürmekte ve bilişim suçlarının işlenebilme olanakları da artmaktadır. Biz de bu çalışmamızda bilişim suçları türlerini, işlenen suçları, yasaları ayrıntılarıyla ele aldık. Bu çerçevede konuyla ilgili bilişim suçu türleri, Türk ceza kanunlarında ki kararlar ve diğer ülkelerin hukuk sistemindeki düzenlemelere de değinilmiştir.

2. BİLİŞİM SUÇU TÜRLERİ  

2.1 Bilişim Sistemlerine Karşı İşlenen Suçlar 

Bilişim suçları, 5237 sayılı yeni TCK’da, “bilişim alanında suçlar” ve “özel hayatın gizli alanına karşı suçlar” bölümlerinde ele alınmıştır. Bu bölümlerde düzenlenen suçlara konu olan fiiller özellikle bilişim sistemleriyle işlenebilir ve genellikle günümüzde bilişim sistemleri dışında işlenebilme olanakları çok kısıtlıdır. Dolayısıyla klasik suçların yanında, yalnızca bilişim suçu olarak nitelendirilebilecek suç tipleri de ortaya konulmuştur. Sayılan suçlarla beraber, TCK’nın farklı bölümlerinde bilişim sistemleriyle işlenebilmesi mümkün olan suç tiplerine de yer verilmiştir. Ancak yeni suç işleme modellerinin ve gelişen teknoloji nedeniyle bu tür suçlar arasında net ve kesin bir ayrım yoktur (Dülger, 2014).

Bilişim suçları iki bölüme ayrılmaktadır. Birincisi bilişim sistemlerine karşı işlenen suçlardır. Burada direkt olarak bir bilişim sistemini hedef almak, bilişim sistemine girmek, etkilemek ve zarar vermek suçları örnek olarak verilebilir. İkincisi ise bir bilişim sistemini araç olarak kullanarak işlenen suçlardır. Bu tür suçlara geleneksel olarak işlenmekte olan suçların bilişim teknolojilerinden yararlanarak bunları bir araç olarak kullanarak işlenmesi örnek olarak verilebilir. Aşağıda TCK’da yer aldığı şekilde bilişim suçları tanımlanmıştır. 

2.1.1 Bilişim Sistemine Girme Suçu

TCK’da bilişim suçları ikinci kitabın “topluma karşı suçlar” başlıklı üçüncü kısmının “bilişim alanında suçlar” başlıklı onuncu bölümünde düzenlenmiştir. Bu bölümün ilk maddesi olan 243’üncü maddede; bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak girme veya orada kalmaya devam etme fiili bir suç tipi olarak düzenlenmiştir. Bilişim sistemine girme ve kalma eylemi aynı şekilde Avrupa Siber Suç Sözleşmesinin (Avrupa Birliği Siber Suçlar Sözleşmesi, 2001) 2. maddesinde “hukuka aykırı erişim” başlığı altında yer almıştır.

Bilişim sistemine hukuka aykırı olarak girilmesi ve kalınması eylemleri, veriler ele geçirilmese ve herhangi bir zarar oluşmasa dahi verilere yetkisiz erişim suç sayılmıştır. Hukuka aykırı olarak sisteme girme ve sistemde kalma, bir diğer deyişle bilişim sisteminin güvenliğinin ihlal edilmesi suç haline getirilmiştir.  Kanun bu madde ile bilişim sistemi güvenliğini korumayı amaçlamıştır (Çekiç, 2005).  

Günümüzde, bankacılıktan, alış verişe, kredi kartı işlemlerinden, pasaport müracaatı, vergi beyannamelerinin bildirilmesi gibi elektronik devlet işlemlerine kadar pek çok işlemin bilişim sistemleri aracılığıyla yapıldığı dikkate alındığında, bu tarz saldırıların varlığı, bilişim sistemlerine olan itimat duygusunu da sarsacaktır. Bu madde sayesinde bilişim sistemine karşı olan güven ve itimat duyguları koruma altına alınmaya çalışılmıştır (Çekiç, 2005). 

2.1.2 Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme Suçu 

TCK’nın Bilişim Alanında Suçlar başlıklı onuncu bölümün ikinci maddesi  Bilişim Sistemini Engelleme, Bozma, Verileri Yok Etme veya Değiştirme suçunu düzenlemiştir. TCK 244. maddenin 1. ve 2. fıkrasında bilişim sistemlerine ve verilere yönelik zarar verme eylemleri düzenlenmiştir. Bu maddenin birinci fıkrasında  “bilişim sisteminin işleyişinin engellenmesi ve sistemin bozulması”, ikinci fıkrasında ise “bilişim sistemindeki verilerin bozulması, yok edilmesi, değiştirilmesi, erişilmez kılınması, sisteme verilerin yerleştirilmesi ve verilerin başka bir yere gönderilmesi” suç tipi olarak düzenlenmiştir. (Yılmaz, 2011)

TCK 243. maddenin 1.  ve 2. fıkralarında tanımlanan suç ile Avrupa Konseyi Siber Suç Sözleşmesinin 4’üncü maddesinde yer alan “veriye müdahale” ve 5’inci maddesinde yer alan “sistemlere müdahale” düzenlemelerine paralellik sağlanması hedeflenmiştir. Siber Suç Sözleşmesinin 4. maddesinde; taraflardan her birine, bilgisayar verilerinin haksız bir şekilde tahrip edilmesi, silinmesi, bozulması, değiştirilmesi veya erişilmez kılınması fiillerinin, 5. maddesinde ise; bilgisayar verilerine yeni veriler ilave etmek, bilgisayar verilerini başka yerlere iletmek, tahrip etmek, silmek, bozmak, değiştirmek veya erişilmez kılmak suretiyle, bir bilgisayar sisteminin işleyişinin ciddi ölçüde ve haksız şekilde engelleme fiillerinin, kasıtlı olarak yapıldığında, kendi ulusal mevzuatı kapsamında cezai bir suç olarak tanımlanması için gerekli olabilecek yasama işlemlerinin ve diğer işlemlerin yapılmasını tavsiye etmektedir. (Avrupa Birliği Siber Suçlar Sözleşmesi, 2001)

  1. maddedeki düzenleme ile bilişim sisteminin çalışmasının engellenmesi ya da sistemin bozulması cezalandırılmak istenmektedir. Maddenin gerekçesinde, bu maddeyle bilişim sistemlerine yöneltilen ızrar fiillerinin ayrı bir suç haline getirildiği belirtilmekte ve “özel bir ızrar fiili” denilmek suretiyle bilişim sisteminin çalışmasını engellemeye yönelik fiiller kastedilmektedir. Yine madde gerekçesinde, “aracın fizik varlığı ve işlemesini sağlayan bütün diğer unsurları”, denilerek bilişim sisteminin somut ve soyut bütün unsurlarının bu suçun konusunu oluşturacağı ifade edilmektedir. Maddede dikkati çeken diğer bir husus, 765 sayılı TCK’da yer alan düzenlemeden farklı olarak “zarar verme” tabiri kullanılmaması, böylelikle bilişim sisteminin donanım kısmına, mala zarar vermek kastıyla yapılan fiillerin, bu maddenin kapsamı dışında tutulmasıdır. (Dülger, 2014)

Bu düzenlemede bilişim sisteminin işleyişinin engellenmesi, bozulması, verilerin yok edilmesi veya değiştirilmesi suçuyla, sistemlerin veri ve yazılımlardan oluşan soyut kısmı ile birlikte donanımlardan oluşan somut kısmı da kanun tarafından koruma altına alınmıştır. (Dülger, 2014)

2.1.3 Bilişim Sistemi Aracılığıyla Hukuka Aykırı Yarar Sağlama Suçu

“Bilişim Sistemi aracılığıyla hukuka aykırı yarar sağlama suçu” TCK’nın 244. maddesinin 4. fıkrasında düzenlenmiştir. Bu madde; “Yukarıdaki fıkralarda tanımlanan (TCK 244 maddesinin 1. ve 2. fıkrası) fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması hâlinde, iki yıldan altı yıla kadar hapis ve beş bin güne kadar adlî para cezasına hükmolunur.” şeklinde düzenlenmiştir. Bu fıkrada, bir bilişim sisteminin işleyişinin engellenmesi, bozulması, sistemdeki verilerin bozulması, yok edilmesi, değiştirilmesi, başka yere gönderilmesi, erişilmez kılınması, sisteme veri yerleştirilmesi suretiyle kişinin kendisinin veya başkasının yararına haksız çıkar sağlaması; bu sayılan fiiller başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beş bin güne kadar adlî para cezası ile cezalandırılır. (Eralp, 2011)

Bu fıkrada; Siber Suç Sözleşmesinin 8. maddesinde korunan haklar düzenlenmiştir. Sözleşmenin “Bilgisayar Bağlantılı Dolandırıcılık” başlığı altındaki 8. maddesinde; “Her bir Taraf devlet, bir hak olmaksızın kasıtlı olarak yapılan kendi veya başkasına ekonomik bir menfaat temin etmek kötü niyetiyle veya dolandırıcılık niyetiyle diğer bir kişinin mal kaybına sebep olan,

(a). Her türlü bilgisayar veri girişi, değiştirilmesi, silinmesi ve yerinden kaldırılması, (b). Bir bilgisayar sisteminin çalışmasına yönelik her türlü müdahale fiillerini gerekli yasal ve benzeri önlemlerle iç hukukunda birer suç eylemi olarak ortaya koymalıdır.” olarak yer almıştır (Avrupa Birliği Siber Suçlar Sözleşmesi, 2001).

2.1.4 Banka veya Kredi Kartlarının Kötüye Kullanılması Suçu

TCK’nın 245. maddesinde, banka veya kredi kartlarının kötüye kullanılması suçları “Bilişim Alanında Suçlar” başlığı altında ayrı bir madde olarak tanımlanmıştır. Böylelikle “bilişim sistemi aracılığıyla hukuka aykırı yarar edinilmesi suçunun”, banka kartlarının veya kredi kartlarının kullanılmasıyla hukuka aykırı yarar elde edilmesi eylemlerini de kapsayıp kapsamadığı ve kartların ele geçiriliş ve kullanılış biçimine göre klasik dolandırıcılık suçunu oluşturup oluşturmadığı hususları açıklığa kavuşturulmuştur (Türk Ceza Kanunu, 2004).

2.2 Mal Varlığına Karşı İşlenen Suçlar

2.2.1 Bilişim Sistemlerinin Kullanılmasıyla İşlenen Hırsızlık Suçu

Bilişim sistemlerin gelişmesi ve her geçen gün hayatımızın her alanına girmesiyle birlikte, işlenegelen suç türleri bilişim sistemleri kullanılarak işlenmeye başlanmıştır. Bu suçlardan en yaygın olarak işlenen hırsızlık suçu da bilişim sitemlerinin gelişmesiyle, bu alanın olanakları kullanılarak işlenir hale gelmiştir. Bu yüzden kanunda yeni düzenlemeler yapılması ihtiyacı ortay çıkmıştır. 

TCK’nın 141. maddesinde hırsızlığın temel şekli tanımlanmıştır. Bu maddeye göre; mal üzerinde zilyetliği bulunanın rızası olmadan, başkasına ait taşınır malı, faydalanmak maksadıyla bulunduğu yerden almak hırsızlık suçunu oluşturur. TCK 142. maddesi hırsızlık suçunun nitelikli hallerini tanımlamakta olup 2. fıkrasının “e” bendi hırsızlık suçunun “Bilişim sistemlerinin kullanılması suretiyle” işlenmesi halinin tanımını yaparak, bilişim sistemleri kullanılarak işlenen hırsızlık suçunu tanımlamıştır. (Akçadağ, 2012)

2.2.2 Bilişim Sistemlerinin Kullanılmasıyla İşlenen Dolandırıcılık Suçu

Bilişim sistemlerinin kullanılmasıyla işlenen dolandırıcılık suçu TCK’nın 158. maddesinin 1. fıkrasının f bendinde düzenlenmiştir. Bu madde fıkrasında dolandırıcılık suçunun nitelikli hali düzenlenerek “bilişim sistemlerinin, banka veya kredi kurumlarının araç kullanılması suretiyle işlenmesi halinde” tanımı yapılmıştır. Dolandırıcılık suçunun bilişim sistemleri yoluyla işlenmesi, özel bilgi ve beceri gerektireceğinden niteliksiz dolandırıcılık suçundan daha fazla ceza öngörülmüştür  (Türk Ceza Kanunu, 2004).

2.3 Genel Ahlaka Karşı İşlenen Suçlar

2.3.1 Bilişim Yoluyla İşlenen Müstehcenlik Suçları

Müstehcenlik suçu TCK’nın Genel Ahlaka Karşı Suçlar başlıklı 7. Bölümünün 226. maddesinde düzenlenmiştir. Bu madde metninde müstehcenlik ve çocukların bu tür yayınlara karşı korunmasına yönelik düzenlemeler yer almaktadır. Mukayeseli hukukta da benzer düzenlemeler yer almaktadır. Fransa Ceza Kanununda, İngiltere #sibergüvenlik, Müstehcen Yayınlar Yasasında, ABD Çocukların Online Yayınlardan Korunması Yasasında benzer düzenlemeler yapılmıştır. Aynı şekilde Siber Suçlar Sözleşmesi, İçerik Bağlantılı Suçlar Başlığı altında 9. Maddesinde, Çocuk Pornografisi İle Bağlantılı Suçları konu edinmiştir. Bu maddede;

(a)  bilgisayar sistemi vasıtasıyla dağıtmak amacıyla çocuk pornografisi üretmek,

(b)  bilgisayar sistemi vasıtasıyla çocuk pornografisini temin edilebilir hale getirmek veya göstermek,

(c) bilgisayar sistemi vasıtasıyla çocuk pornografisini aktarmak veya dağıtımını yapmak,

(d) kendisi veya başkası için bilgisayar sistemi vasıtasıyla çocuk pornografisi temin etmek,

(e) bir bilgisayar sisteminde veya bilgisayar veri depolama ortamında çocuk pornografisine sahip olmak” fiillerinin cezalandırılması öngörülmüştür  (Türk Ceza Kanunu, 2004).

2.4 Özel Hayata Karşı İşlenen Suçlar

Teknolojinin gelişmesiyle birlikte hayatımızı kolaylaştıran bilişim alanında uygulamalar gerek kamu gerekse özel kurum ve kuruluşlarda yer almaya başlamıştır.  Günümüzde kişilere ilişkin toplanan veriler bilişim sistemleri kullanılarak toplanmakta ve işlenmektedir. Kamu kurumlarının yanı sıra birçok özel kuruluşta kişiler bilgileri toplamakta ve işlem yapmaktadır. Sigorta şirketleri; kişilere ait kişisel bilgilerin yanında sahip oldukları ve sigorta yaptırdıkları her türlü mal varlığı hakkında bilgileri, hastaneler; hastaların sağlık durumları ve kişisel bilgileri, cep telefonu şirketleri; kullanıcılarının kişisel bilgileri, iletişim ve dolaşım bilgilerini sitemlerinde tutmaktadır.  Devletin resmi kuruluşları yanında yukarıda sayılan şirketler de kişilik haklarını ihlal etme imkânına sahiptir. 

Kişisel verilerin bilişim sistemleri aracılığıyla işlenmesi karşısında özel yaşamının gizliğinin ve temel hak ve hürriyetlerin korunması ihtiyacı bilişim alanında gerekmektedir. TCK bilişim sitemleri yoluyla ihlal edilen özel yaşamının gizliliği ve kişisel verilere ilişkin suç tiplerini “özel hayata ve hayatın gizli alanına karşı suçlar” bölümünde düzenlemiştir (Türk Ceza Kanunu, 2004).

2.4.1 Haberleşmenin Gizliliğini İhlâl

5237 sayılı TCK’nın “özel hayata ve hayatın gizli alanına karşı suçlar” başlıklı dokuzuncu bölümünün 132. maddesinde “haberleşmenin gizliliğini ihlal suçu” düzenlenmiştir. Bu maddede, kişiler arasında gerçekleşen haberleşmenin gizliğinin ihlal edilmesi ne şekilde olduğuna bakılmaksızın suç olarak değerlendirilmiştir.  Maddenin gerekçesinde, kişiler arasında haberleşmenin ne şekilde yapıldığının öneminin olmadığı, bu haberleşmenin örneğin mektupla, telefonla, telgrafla, elektronik posta yoluyla yapılabileceğine işaret edilmiştir. Klasik yöntemler kullanılarak yapılan haberleşme yöntemleri yanında bilişim sistemi aracılığıyla gerçekleştirilen haberleşme yöntemleri de koruma altına alınarak bu şekilde haberleşmeyi ihlal edenler cezalandırılmaktadır (Türk Ceza Kanunu, 2004).

2.4.2 Kişisel Verilerin Kaydedilmesi

Kişisel verilerin korunması özel hayatın gizliliği kapsamında değerlendirilmiştir. TCK 135. maddesinin 1. fıkrasında, “Hukuka aykırı olarak kişisel verileri kaydeden” tanımıyla hukuka aykırı olarak kişisel verilerin kaydedilmesi eylemi suç haline getirilmiştir. 2. fıkrası ise, “Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden” tanımını yaparak, kişisel veriyi tanımlayarak, bu eylemleri suç tipi olarak düzenlemiştir (Türk Ceza Kanunu, 2004).

Kamu kurumları ve özel şirketler müşterileriyle ilgili veriler toplamaktadır. Kişisel verilerin toplanması ve sanal ortama aktarılması işlemlerinin ilgilisinin izni alınmaksızın yapılması durumunda, tanımlanan maddedeki suç oluşmaktadır. TCK 135. maddesinin gerekçesinde de belirtildiği üzere, Avrupa Konseyi bünyesinde hazırlanan Türkiye’nin de imzalayarak taraf olduğu Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme’nin ilgili düzenlemelerine ülkemiz hukuku açısından geçerlilik kazandırılmıştır (Türk Ceza Kanunu, 2004).

2.4.3 Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirmek

Günümüzde interaktif işlemlerin yaygınlaşması ile birlikte kişisel bilgiler ile kimlik bilgilerinin internet üzerinden paylaşılması ve dağıtılması yaygın bir şekilde gerçekleşmektedir. Kişilerin kendi rızalarıyla verdikleri bu bilgilerin hukuka aykırı olarak üçüncü şahıslara verilmesi, yayımlanması ya da bu verilerin üçüncü şahıslar tarafından ele geçirilmesi TCK’nın 136. maddesinde “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.” şeklinde suç olarak tanımlanmıştır (Türk Ceza Kanunu, 2004).

2.4.4 Verileri Yok Etmeme

TCK’nın 138. maddesinde “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde altı aydan bir yıla kadar hapis cezası verilir.” Şeklinde hüküm tanımlanarak,  yasal süresi dolmasına rağmen kişisel verileri sistem içinde yok etmekle görevli olan kişilerin bu görevlerini yerine getirmemeleri eylemi suç tipi olarak düzenlenmiştir. Madde gereği suç oluşabilmesi için failin verileri yok etmekle yükümlü olması gerekmekte ve kanunların belirlediği sürenin geçmiş olması gerekmektedir (Türk Ceza Kanunu, 2004).

2.5 Bilişim Sistemleri Kullanılarak İşlenebilecek Diğer Suçlar

Bilişim alanında suçlar temel olarak iki başlık altında toplanabilir. Birincisi, bilişim sistemlerine karşı işlenen suçlar, ikincisi ise, bilişim sistemlerinin araç olarak kullanılması suretiyle işlenen suçlardır. Birincisinde bilişim sistemleri doğrudan hedef alınarak işlenmekte olup, bilişim sitemi olmadığında işlenmesi mümkün olmayan suçlardır. Bilişim sistemlerinin araç olarak kullanılması suretiyle işlenen suçlarda ise, geleneksel işlenegelen suçların, bilişim sistemlerinin araç olarak kullanılmasıyla suç oluşmaktadır. Yukarıda sayılan suçlarla birlikte bilişim sistemleri kullanılarak işlenen diğer suçlardan önemli olanları aşağıda sayılmıştır.

  1. Tehdit (TCK Madde 106)
  2. Şantaj (TCK Madde 107)
  3. Haberleşmenin Engellenmesi (TCK Madde 124)
  4. Hakaret (TCK Madde 125)
  5. Haberleşmenin Gizliliğinin İhlal Edilmesi (TCK Madde 132)
  6. Özel Hayatın Gizliliğini İhlal (TCK Madde 134)(Türk Ceza Kanunu, 2004)

3. BİLİŞİM SUÇLARINDA ULUSLARARASI HUKUK UYGULAMASI – AVRUPA KONSEYİ SİBER SUÇLAR SÖZLEŞMESİ

3.1 Sözleşmenin Genel Değerlendirmesi

Bilişim suçlarına ilişkin en kapsamlı düzenleme Avrupa Konseyi bünyesinde gerçekleştirilen “Avrupa Siber Suç Sözleşmesi”dir. Hazırlanması 4 yıl kadar süren sözleşme, 23 Kasım 2001’de konsey üyesi olmayan ülkeler de dâhil olmak üzere Budapeşte’de imzaya açılmıştır. Mayıs 2012 itibariyle, 12 ülkenin herhangi bir çekince koymadan imzaladığı sözleşme, 47 ülke tarafından çeşitli çekinceler konarak imzalanmıştır. Bunlardan 33 ülke tarafından ise onaylanarak yürürlüğe girmiştir. Türkiye söz konusu sözleşmeyi 2010 yılı Kasım ayında imzalamıştır. Sözleşme Avrupa Konseyi üyeleri yanında ABD, Japonya, Güney Afrika dâhil diğer ülkelerce kabul edilmiş olduğundan genel kabul görmektedir. Sözleşme içeriği kabul edilmiş olmakla birlikte bu sözleşmeye taraf olmak uluslararası işbirliği bakımından kolaylaştırıcı bir unsurdur. Sözleşme 3 ana gövde üzerinde inşa edilmiştir. Bunlar;

1) Yeni teknolojilerin kullanımı ile ilgili suçlara ait ortak tanımların oluşturulması,

2) Soruşturma yöntemlerinin tanımlanması (veriyi saklama, trafik verisini arama, toplama ve el konulması ile iletişim yetkisi)

3) Uluslararası işbirliği için yöntemlerin tanımlanmasıdır (Avrupa Birliği Siber Suçlar Sözleşmesi, 2001).

3.2. Sözleşmede Tanımlanan Suçlar

  • Bilgisayar veri veya sistemlerinin gizliliği, bütünlüğü ve kullanıma açık bulunmasına yönelik suçlar (virüs dağıtılması, şirketlerin gizli bilgilerine ulaşılması gibi).
  • Bilgisayarlarla ilişkili suçlar (sanal sahtecilik ve sahtekârlık suçları).
  • İçerikle ilişkili suçlar (çocuk pornografisine sahip olmak ve uluslararası dağıtımını yapmak gibi).
  • Fikri mülkiyet haklarının ihlali ile ilgili suçlar, olduğunu görüyoruz. (Avrupa Birliği Siber Suçlar Sözleşmesi, 2001)

 3.3 Sözleşmede Bulunmayan Hususlar

Sözleşme internet erişiminin engellenmesi veya erişimin engellenmemesi konusunda herhangi bir hüküm içermemektedir. Bu husus hâlihazırda taraf devletlerin kendi takdir alanında bulunmakta olup, Avrupa Konseyi toplantılarında erişimin engellenmemesi konusunda şimdilik tavsiye niteliğinde görüşler belirtilmektedir. Sözleşme kişisel verilerin korunması konusunda da herhangi bir hüküm ihtiva etmemektedir. Bununla birlikte her iki konu birbiri ile yakından ilişki içerisindedir. Sözleşmenin uygulanması kapsamında adli ve idari yardımlaşma çerçevesinde pek çok veri talebi gündeme gelebilecektir. Özellikle 7/24 çerçevesinde gündeme gelebilecek durumlarda, sağlanacak verilerin neler olabileceğinin altının çizilmesi öncelikli olacaktır (Avrupa Birliği Siber Suçlar Sözleşmesi, 2001).   

3.4 Sözleşme Onay Süreci

Sözleşme yaklaşık 5 yılı süren bir çalışmanın ardından, kurumlar arasında yapılan görüşmelerde varılan mutabakat sonucunda imzalanmıştır. Sözleşmeye bildirilecek çekince ve bildirimlerin neler olacağı konusu aşağıdaki kurumlar tarafından çalışılmış ve son noktaya gelinmiştir. Sözleşmeye çekince konulmasında katılımcı kurum ve kuruluşlar aşağıdaki gibidir. 

  • Adalet Bakanlığı
  • İçişleri Bakanlığı
  • Dışişleri Bakanlığı
  • Kültür ve Turizm Bakanlığı
  • Ulaştırma Bakanlığı
  • Bilgi Teknolojileri ve İletişim Kurumu

Sözleşmenin adli yardımlaşma hükümleri gereği, özellikle de 7/24 irtibat noktası vasıtasıyla acil durumlarda verilerin paylaşılması gündeme geleceğinden bu konuda paylaşılacak veriler ve usulüne ilişkin iç mevzuatın (kişisel verilerin korunması hakkında kanun) bir an önce oluşturulmasında fayda bulunmaktadır. Sözleşmenin 24 ve 27’inci maddelerinde normal durumlarda adli yardımlaşmanın Adalet Bakanlığı aracılığı ile yapılması öngörülmekte ancak 35’inci madde gereği acil durumlarda yapılacak adli yardımlaşmanın hangi kurumda olacağı konusunda görüş birliği bulunmamaktadır (Avrupa Birliği Siber Suçlar Sözleşmesi, 2001). 

4. MUKAYESELİ HUKUK SİSTEMLERİNDE BİLİŞİM SUÇLARI

Bilişim Suçları olgusu teknolojiyi kullanan bütün ülkelerin ortak problemi haline gelmiş ve özellikle A.B.D ve Avrupa ülkelerinde bu alandaki hukuki ve idari yapılanmaların düzenlenmesi için birçok çalışmalar başlatılmıştır. Bilişim teknolojilerindeki gelişmeler bilgisayar ağları sayesinde milli sınırları aşmış, bu nedenle ulusal düzenlemeler ve ulusal hukuklar bilişim suçları ile mücadelede yetersiz kalmıştır. Teknolojik gelişmeler ile küreselleşen dünyamızda; tüm ülkelerin işbirliği ile bu tip suçlara karşı mücadele etme gereği ortaya çıkmıştır (Meclis Araştırması Komisyonu, 2012).

Geleneksel suçların bilgisayar yoluyla işlenmesi dışında, teknolojinin ilerlemesiyle ortaya çıkan suç tipleri de olmuştur. Suç tipleri arasındaki farkı oluşturan esas etken “suçun işlenmesindeki amaç” olmalıdır. Bu tür suçlar hangi yöntemle işleniyor olsa da, hangi amaca hizmet ettiğine bakmak lazımdır. ABD, İngiltere, İrlanda ve Portekiz gibi ülkelerin dâhil olduğu birinci sistemde, mevcut kanunlardan ayrı olarak yeni ve özel düzenlemeler oluşturulmaktadır. Alman ve İtalyan Ceza Hukuk Sisteminde görülen ikinci sistemde, suç teşkil eden eylemler mevcut kanunun yapısı içinde düzenlenmekte, bilişim suçları için ayrı fasıllar ve kanunlar oluşturulmamaktadır. 5237 sayılı TCK’nun Alman Ceza Kanunu’ndan etkilendiği ve birçok ceza hukuku kurumunun bu ülkeden esinlendiği bilinmektedir (Meclis Araştırması Komisyonu, 2012). 

5. TÜRKİYE’DE BİLİŞİM SUÇLARIYLA MÜCADELE

Bilişim suçlarıyla mücadele diğer suçlara kıyasla oldukça zor bir çalışma alanıdır. Bilişim alanında yaşanan gelişmeler ve beraberinde ortaya çıkan yeni suç türleri ve işleniş yöntemleri, suçun işlenmesi için belirli bir alana bağlı olmaması nedeniyle sınır aşan suçlardan olması, suçluların çok iyi organize olması, ülkeler arası işbirliğinin tam olarak gerçekleşmemesi, kurumlar arası işbirliğinde aksaklıklar yaşanması, adli süreçte anlık işlenen bir suça geleneksel suçları soruşturma yöntemleri uygulanamaması, yeterli yatırımın yapılamaması, nedenlerden dolayı bilişim suçlarıyla mücadelede ciddi zorluklar yaşanmaktadır (Meclis Araştırması Komisyonu, 2012).

İnternet üzerinden işlenen bilişim suçları faillerin tespiti konusunda sorun oluşturan bir diğer faktör de anonimleştirişiler ve vekil (Proxy) sunuculardır. İzini saklamak isteyen fail kendi internet bağlantısını, bir başka yer ve ülkede bulunan vekil sunuculara bağlanarak gerçekleştirmekte ve devamında internetteki eylemlerde bu vekil sunucunun IP numarasını bırakmakta ve kendini gizlemektedir (Meclis Araştırması Komisyonu, 2012).

Teknolojinin gelişmesi ve beraberinde bilişim suçlarının ortaya çıkmasıyla birlikte ülkemizde bilişim suçlarıyla ilgili ilk kurumsal yapılanma Emniyet Genel Müdürlüğü Bilgi İşlem Daire Başkanlığı bünyesinde 1997 yılında oluşturulan bir büro amirliğiyle olmuştur. Süreç içerisinde, bilişim suçları ile mücadelenin, destek birimi olan Bilgi İşlem Daire Başkanlığı bünyesinde değil de, soruşturma ve operasyon yetkisi olan bir birimde gerçekleştirilmesi ihtiyacı görüldüğünden, bu büro amirliği kapatılarak, 2003 yılı haziran ayında Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığı çatısı altında “Yüksek Teknoloji Suçları ve Bilgi Sistemleri Şube Müdürlüğü” kurulmuştur. Zaman içerisinde faaliyetleri genişleyen şube müdürlüğü ikiye ayrılarak görevi bilişim suçlarıyla mücadele etmek ve bağlantılı suçlarda destek vermek olan “Bilişim Suçlarıyla Mücadele Şube Müdürlüğü” kurulmuştur (Meclis Araştırması Komisyonu, 2012). 

Emniyet Genel Müdürlüğü bünyesinde bilişim suçlarıyla mücadele, sadece Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığı, Bilişim Suçlarıyla Mücadele Şube Müdürlüğü bünyesinde değil, kendi görev alanlarına giren konularda Asayiş Daire Başkanlığı, Terörle Mücadele Daire Başkanlığı ve Güvenlik Daire Başkanlığı bünyesinde de yürütülmekteydi. Bilişim suçlarının tek birim tarafından yürütülmesi ve koordinasyonun sağlanması amacıyla 2011 yılında Bakanlar Kurulu Kararıyla Emniyet Genel Müdürlüğü bünyesinde Bilişim Suçlarıyla Mücadele Daire Başkanlığı kurulmuştur (Meclis Araştırması Komisyonu, 2012). 

Teknolojinin gelişmesine paralel olarak bilişim suçlarının çeşitliliği ve işlenme oranı artmıştır. Bilişim suçlarıyla mücadelede her ne kadar bilişim sistemlerinden faydalanılsa da temel unsur, soruşturma yapacak ve mücadele edecek, kendi alanında yetişmiş personele ihtiyaç vardır. Bilişim suçlarıyla mücadele, bu alanda soruşturma yürütecek ve destek verecek personelin seçilerek çok yönlü eğitim verilmesiyle mümkün olacaktır. Bu bağlamda bilişim suçlarının tek birim tarafından soruşturulması, destek verilmesi ve koordinasyon sağlanması önem kazanmaktadır (Meclis Araştırması Komisyonu, 2012).  

6. SONUÇ

Bilişim teknolojilerinin süratle artan gelişimi internet kullanımını arttırırken bilişim ile ilgili işlenen suçlarda da artış meydana gelmiştir. Bu da beraberinde bilişim suçlarıyla mücadele etme zorunluluğunu getirmiştir. Bilişim alanında işlenen suçlar ile mücadele etmek diğer suç tiplerine nazaran çok daha zordur; Bilişim alanında işlenen suçlarla mücadelede karşılaşılan zorluklar uluslararası anlaşmalar ve yasalardan kaynaklanan eksiklikler, teknik sorunlar, uygulayıcıların niteliğinden kaynaklanan sorunlar olarak özetlenebilir. Hızla gelişen teknoloji, siber suçların yeni görünüm şekillerini ortaya çıkarmakta, bu da, yeni düzenlemeler yapan devletler açısından dâhi, mevcut yasal çerçevenin aynı hızla değiştirilmesini ve geliştirilmesini gerektirmektedir.

 


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

 

7. KAYNAKÇA

Akçadağ, B. (2012). TCK. MADDE 141. Türk Hukuk Sitesi: http://www.turkhukuksitesi.com/mevzuat.php?mid=5015 adresinden alındı

Avrupa Birliği Siber Suçlar Sözleşmesi. (2001). https://www.bg.org.tr/Doc/AvrupaBirligiSiberSuclarSozlesmesi.doc adresinden alındı

Çekiç, B. (2005). İnternet Aracılığıyla işlenen Suçlar (Marmara Üniversitesi Yüksek Lisans Tezi). İstanbul.

Dülger, M. V. (2014). Bilişim Suçları ve İnternet Hukuku. Seçkin Yayıncılık.

Eralp, Ö. (2011). Türk Ceza Kanunu Madde 244 – Sistemi Engelleme, Bozma, Verileri Yok Etme Veya Değiştirme. Türk Hukuk Sitesi: https://www.turkhukuksitesi.com/makale_1386.htm#:~:text=Madde%20244%2D%20(1)%20Bir,kadar%20hapis%20cezas%C4%B1%20ile%20cezaland%C4%B1r%C4%B1l%C4%B1r.&text=%C3%9C%C3%A7%C3%BCnc%C3%BC%20f%C4%B1krada%20ise%2C%20bir%20ve,ceza%20yapt%C4%B1*r%C4%B1m%C4%B1%20alt adresinden alındı

Meclis Araştırması Komisyonu. (2012, Haziran). Bilgi Güvenliği ve Bilişim Suçları (Bilişim Suçları 2. Bölüm). Bilişim ve İnternet Araştırma Komisyonu (BİAK) Raporu: http://biakraporu.org/docs/rapor.kisim3.bolum02.pdf adresinden alındı

Türk Ceza Kanunu. (2004). Mevzuat: https://www.mevzuat.gov.tr/MevzuatMetin/1.5.5237.pdf adresinden alındı

Yılmaz, S. (2011). 5237 SAYILI TCK’nIn 244. MADDESİNDE DÜZENLENEN BİLİŞİM ALANINDAKİ SUÇLAR. Türkiye Barolar Birliği Dergisi, 62-70.

Photo by Markus Spiske on Unsplash

 

Kategoriler
Bilişim Etiği

BİLİŞİM SUÇLARI

İÇİNDEKİLER

  • 1. GİRİŞ
  • 2. BİLİŞİM VE BİLİŞİME AİT GENEL KAVRAMLAR
  • 2.1 Bilişim
  • 2.2 Bilgisayar
  • 2.3 İnternet
  • 2.4 Bilişim sistemi 
  • 3. BİLİŞİM SUÇLARI
  • 3.1 Suç Terimi 
  • 3.2 Bilişim ve Suçun Kesişimi 
  • 3.3 Bilişim Suçu Tanımı 
  • 4. BİLİŞİM SUÇLARININ TARİHSEL GELİŞİMİ
  • 5. BİLİŞİM SUÇLARI SORUŞTURMALARINDA KARŞILAŞILAN PROBLEMLER VE ÇÖZÜM ÖNERİLERİ
  • 6. SİBER ŞUÇLARIN İŞLENİŞ ŞEKİLLERİ
  • 6.1 Aldatma Teknikleri 
  • 6.1.1 Phishing
  • 6.1.2 Sosyal Mühendislik
  • 6.1.3 Spam Fake Mail 
  • 6.1.4 Spoofing
  • 6.2 Zararlı Yazılımlar
  • 6.2.1 Truva Atları 
  • 6.2.2 Virüsler
  • 6.2.3 Ağ Solucanları 
  • 6.2.4 Casus Yazılımlar
  • 6.2.5 Mantık Bombaları 
  • 6.2.6 Şifre Kırıcılar
  • 6.2.7 Ağ  Koklayıcıları 
  • 6.2.8 Zafiyet Avcıları 
  • 6.2.9 Şantaj Yazılımları 
  • 7. SONUÇ
  • 8. KAYNAKÇA

 

1. GİRİŞ
Bilgi ve iletişim teknolojileri geleceğin dünyasını yaratmaktadır. Eski dünyanın yaşantı biçimi giderek yerini yeni bir hayat tarzına bırakmaktadır. Eğitim, üretim, ticaret hatta sosyal hayat bilişim ağları üzerinden yaşanmaktadır. Devletler tarafından sunulan kritik hizmetler bilişim altyapılarına, yazılımlara ve donanımlara dayanmaktadır. İnsanlar finansal işlemlerini tamamen bilişim ağları üzerinden gerçekleştirmektedir. Teknolojik gelişmelerin toplum hayatını şekillendirdiği günümüzde, insanlar arasındaki ilişkileri düzenleyen hukuk kuralları da toplumsal ihtiyaçlara bağlı olarak değişmektedir. Bu süreçte, bilişim alanındaki gelişmelerde büyük bir hızla sürmekte ve bilişim suçlarının işlenebilme olanakları da artmaktadır. Bende bu çalışmamda bilişim suçları konusunu ele aldım. Bu kapsamda konuyla ilgili kavramlara, tarihsel gelişimine, karşılaşılan problemlere ve çözümüne ve suçların işleniş şekillerine de değindim.

2. BİLİŞİM VE BİLİŞİME AİT GENEL KAVRAMLAR
2.1 Bilişim
İnsanoğlunun teknik, ekonomik ve toplumsal alanlardaki iletişiminde kullandığı ve bilimin dayanağı olan bilginin özellikle elektronik makineler aracılığıyla düzenli ve akla uygun bir biçimde işlenmesi bilimi, enformatik (TDK, 2018).
2.2 Bilgisayar
‘Bilgisayar’ sözcüğü, yabancı dilden çeviri örneklerinde Türkçeleştirme açısından oldukça başarılı bir kelime olmuştur. Çok sayıda aritmetiksel veya mantıksal işlemlerden oluşan bu işi, önceden verilmiş bir programa göre yapıp sonuçlandıran elektronik araç, elektronik beyin” olarak ifade edilmektedir (TDK, 2018).
2.3 İnternet
İnternet, esasen bir ortam olarak nitelendirilebilecek olup ulusal mevzuatımızda da “Haberleşme ile kişisel veya kurumsal bilgisayar sistemleri dışında kalan ve kamuya açık olan internet üzerinde oluşturulan ortam” şeklinde tanımlanmaktadır (T.C. Resmi Gazete, 2007).
2.4 Bilişim sistemi
Bilgisayar, çevre birimleri, iletişim altyapısı ve programlardan oluşan veri işleme, saklama ve iletmeye yönelik sistemi olarak tanımlanmıştır (T.C. Resmi Gazete, 2011).

3. BİLİŞİM SUÇLARI
3.1 Suç Terimi
Toplum, toplumsal kurallar ile ayakta tutulabilen, belirli düzenlemelere ve sınırlara ihtiyaç duyan bir olgudur. Bu kapsamda beşeri bir davranışın tezahürü olan suç; törelere, ahlak kurallarına aykırı davranış olarak ismen tanımlanmış, hukuki olarak da yasalara aykırı davranış, cürüm olarak ifade edilmiştir (TDK, 2018).
3.2 Bilişim ve Suçun Kesişimi
Bilişim ve iletişim; teknolojinin büyük hızla gelişmesine paralel olarak yaşamımızın ayrılmaz bir parçası olmuştur. Gelişen teknolojinin kötüye kullanılmasıyla yeni suç alanları, araçları ve tipleri ortaya çıkmış; diğer bir deyişle bilişim teknolojisi, fiil ve fail tipolojisini temelden değiştirmiştir (Erdoğan, 2012, s. 42)
Bilişim suçları bağlamında; bilişim sistemlerine karşı mı, yoksa bu sistemlerin aracılığı ile mi suçun meydana geleceği sorusu akla gelebilmektedir. Yine suçta kullanılan araçlar ve işleniş şekilleri de suç tiplerinin ortaya çıkması bağlamında bilişim alanı ile ceza hukukunun bir başka kesişim alanıdır. Bilişim suçlarının hızlı evrimi ile hukukun ağır işleyen yapısı, problemlerin ortaya çıktığı noktada çatışmakta, hukukun nefesi bilişim suçlarına yetmemektedir (Erdoğan, 2012, s. 43).
Yasal düzenlemelere ihtiyaç duyulması karşısında; mevzuat hazırlık süreci, yürürlük safhası, uygulamanın kamu ve özel sektörde sağlıklı şekilde yerleşmesi, olası eksiklik ve sorunların giderilmesi gibi süreçlerin eşzamanlı olarak etkin şekilde uygulanabilmesi her zaman mümkün olamamaktadır. Bilişim suçları ile muhatap olan uygulayıcıların teknik terimler nezdinde; suçun oluşması ve işleniş şekillerinin anlaşılması açısından bu kavramın sağlıklı bir şekilde algılanması önemlidir.
3.3 Bilişim Suçu Tanımı
Ülkemizde bu alanı tanımlamak için “bilgisayar suçu”, “internet suçu”, “siber suç”, “sanal suç” ve “bilişim alanında işlenen suç” gibi kavramlar kullanılmaktadır. Bu kavramlardan en yaygın olanları “bilgisayar suçları” ve “bilişim suçları” kavramlarıdır. Bilgisayar veri ve programlarına izinsiz girilmesi, kullanılması, tahribi veya yok edilmesi, bilgisayardaki kişisel verilerin ifşası ve sırrın masuniyeti aleyhine işlenen eylemlerdir biçiminde tanımlanmaktadır (Aydın, 1992).
Bilişim suçları, siber suçlar olarak da adlandırılmaktadır. Tablet, bilgisayar, cep telefonu gibi iletişim araçları ve elektronik ortamda işlenen suçlara bilişim suçu denir.

4. BİLİŞİM SUÇLARININ TARİHSEL GELİŞİMİ
İlk bilişim suçunun, 1966 yılında 23 yaşındaki bilgisayar programcısı olan banka çalışanının Minneapolis bankası hesabındaki mevduat değerinde değişiklik yapması ile işlendiği ifade edilmektedir. Bilişim suçlarının ilk göstergeleri ve hukuki düzenlemeler ile ilgili gelişmeler Tablo 4.1’de sunulmuştur (GÖKÇEARSLAN, 2016).

YIL OLAY
1978 Florida’da bilgisayar sistemine ait verinin yetkisiz biçimde değiştirilmesi ve silinmesi.
1980 Bilgisayar suçları eski kanunlarla çözülmektedir. Özel bir kanun bulunmamaktadır
1983 Bilgisayar suçları ile ilgili kanuni düzenlemeyi yapan ilk ülke Kanada’dır.
1984 Amerika bilgisayarla ilgili dolandırıcılık ve kötüye kullanmaya dair kanuni düzenleme yapmıştır.
1992 Collier ve Spaul “Bilgisayar suçu ile ilgili bir hukuki yöntem” adlı bir makale yayınlamıştır.
2002 Dijital verilerle ilgili Bilimsel çalışma grubu olan SWGDE “Bilgisayar hukuku ile ilgili en iyi pratikler” adında bir makale yayınlanmıştır.
2005 Bir test ve ölçümleme laboratuvarı için ISO standardı geliştirilmiştir
2005’ten günümüze  Bilgisayar suçlarının çeşitli boyutları tartışılmıştır

Tablo 4.1 Dijital Hukukun Tarihsel Gelişimi (GÖKÇEARSLAN, 2016)

5. BİLİŞİM SUÇLARI SORUŞTURMALARINDA KARŞILAŞILAN PROBLEMLER VE ÇÖZÜM ÖNERİLERİ
Bilişim suçlarının, teknolojinin hızla ilerlemesi, internetin sürekli yaygınlaşması nedeniyle, bugün suç türleri arasında sayılmayan yeni suç tiplerini ortaya çıkaracağı aşikârdır. Bilişim suçları kavramındaki gidişatın bireysel suçlarla sınırlı kalmayacağı, örgütlü ve uluslararası destekli yapılarda, daha büyük hukuki menfaatlere yönelmiş, örneğin devleti zafiyete uğratma amaçlı da olabileceği öngörülebilmektedir. Uluslararası terör ve ülkeler arası ticari, mali ve itibari çekişmelerin önümüzdeki yakın gelecekte bilişim vasıtasıyla olacağı da açıktır. Belirli bir konuyu protesto etme gerekçesiyle, hedef ülke kamu sayfalarına yöneltilen saldırıların, bütün dünya devletlerine yayılmış olduğu görülen siber atakların, bu tespitin ön sinyalleri olarak değerlendirilmesi mümkündür (Meclis Araştırması Komisyonu, 2012).
Günlük hayatta sıklıkla rastladığımız suç tiplerinin artık dijital ortamda çok daha kolay ve yaygın şekilde işlendiğini görmekteyiz. Kişilerin mal varlıklarına yönelen eylemler değişik şekil ve başlık altında siber ortamda işlenebilmektedir (Meclis Araştırması Komisyonu, 2012).
Toplum ya da kişilerin sağlıklarına karşı yönelen bilişim suçları, bilgi paylaşma veya pazarlama teknikleri etkin şekilde kullanılarak da yapılmaktadır. Kredi kartı dolandırıcılığı, telif hakları ile korunan bilgisayar yazılımlarının kopyalanması, kişilerin şeref, haysiyet ile manevi varlıklarına yönelik yayınlar, vb. suç tipleri internet ve özellikle bilgisayarlar üzerinde aktüel olarak işlenmektedir. “Yüksek Teknoloji Suçları”, bilinen suç tiplerinden farklılık arz etmekte olduğundan bu suçların soruşturulmasından sübutuna kadar birçok merhalesi, uzmanlığına göre tamamlanmalıdır. Yasalarımız teknolojik gelişmelerle aynı hızda ilerlemez ve yenilenmezse, bu tür fiillere karşı kanunlarımızda boşluk oluşacak, bu fiilleri işleyerek büyük zararlar doğuran şahıslara karşı hiçbir müeyyide uygulanamayacaktır. Bu yüzden Türkiye’nin “Bilişim Suçları” üzerine ciddi olarak eğilmesi gerekmektedir. Almanya‘da sadece Bilişim –Destekli Suçlarla mücadele için 5000’in üzerinde personel çalışmakta olduğu bilgisi, bu konuda alınması gereken mesafeyi belirlemektedir (Meclis Araştırması Komisyonu, 2012).
İleri teknoloji ürünü bilişim envanterleri aracı kılınarak işlenen bilişim suçlarının kovuşturma ve soruşturmalarının ulusal düzlemde tamamlanması mümkün olamamakta; bu tür suçlar çoğu zaman uluslararası işbirliğiyle çözümlenebilecek eylemler zinciri olarak karşımıza çıkmaktadır. Bilişim suçlarındaki soruşturma yetkisi sorunu da küresel bir olgudur. Bu bağlamda devletler arası “Bilişim Suçları” konulu sözleşmelere azami derecede ilgi gösterilmeli ve suç üzerine uluslararası toplum olarak birlikte gidilmesi gerekmektedir (Meclis Araştırması Komisyonu, 2012).
Bahsedilen tüm suç türlerinde ve bunlar haricinde meydana gelebilecek muhtemel “Bilişim Suçları” ile mücadelede başarıya ulaşılması için teknoloji ile sürekli ilişki içerisinde olan personelin eğitimi yapılarak, Bilişim Suçlarına karşı caydırıcı olması için ceza hukuku bağlamında da gerekli düzenlemeler ve detaylı suç kavramları ortaya konulmalıdır. Bilinmektedir ki değişik ortamlarda (Veri dosyaları, Kurtarılan silinmiş dosyalar, Kayıp alanlardan kurtarılan veriler, Dijital fotoğraf ve videolar, Sunucu kayıt dosyaları, E-Postalar, Cihaz kayıtları, İnternet gezinti geçmişi, Web sayfaları, İşlem kayıtları (Log), Abone kayıtları) bulunacak delilin doğru şekilde elde edilmesi, ulaştırılması, saklanması ve analiz edilmesi gerekmektedir (Meclis Araştırması Komisyonu, 2012).
Bilişim suçu sonrasında yargı mercilerinin önünde belli başlıklar aydınlatılmak üzere beklemektedir. Bu başlıkları konunun profesyoneli olmayan yargıçlar, uzmandan destek alarak bir sonuca getirmektedirler. Bu konuda yeteri kadar uzmanın olmaması, mevcut uzmanların üzerindeki yükü artırdığı gibi çok hızlı hareket edilmesi gereken bir konuda uzunca zaman kaybedilmesine ve soruşturmanın sonuçsuz kalmasına neden olmaktadır (Meclis Araştırması Komisyonu, 2012).
Yargılamada maddi gerçeğe ulaşmak için delil gereklidir. Bugün gelişen teknoloji ile yargılamanın önemli delillerini teşkil eden yazılı belgelerin çoğu artık elektronik ortamda (bilgisayar ortamı) bulunmaktadır. Ayrıca delil elektronik ortamda da olsa bir nevi fiziksel delil olarak nitelendirilmekte ve muhafazasından nakline kadar fiziksel bir eşya gibi değerlendirilmektedir. Amerika Birleşik Devletleri Hukuk sisteminde görülen delil derecelendirmesi özellikle bilişim suçları kapsamındaki deliller için tartışılmalıdır (Meclis Araştırması Komisyonu, 2012).
Bu açıklamalar ışığında kolluktan, bilirkişilere ve yargı mensuplarına çok büyük görevler düşmektedir. Bilişim suçlarının niteliği, hızlı önlem alınması gereği, özellikle alınacak önlemlerin ve suçluların tespiti hususunda yapılması gerekenlerin önceden bilinebilmesi amacıyla ortak ve birimlerin kendi yapılarına özgü eğitim düzenlemeleri gerekmektedir. Bu konuda görev alan yargı mensuplarının da, değişiklikleri takip edebilecekleri bir hızda bilgilendirilmeleri gerekmektedir. Ana başlık olarak yaşanan sorunlar;
• Kalifiye personel eksikliği,
• Devlet kurumlarında olan tayinler,
• Maliyetler (mal ve hizmet alımı),
• İş yoğunluğu,
• Adliye ve Kolluk arasındaki sorunlar, uzun yargılama süreleri, bilirkişi görevlendirilmesinde belirli bir uzmanlık kıstası ve denetimin olmaması,
• E-imza kullanımı /kullanılmaması ifade edilebilir.
Geleceğin dünyasında suçların bilişim suçları ve diğerleri şeklinde bir ayrıma dahi gitmesi muhtemel bulunmaktadır. Bu itibarla, Uluslararası boyut yanında konunun ülke sınırları dahilindeki boyutunu da kapsayacak şekilde araştıracak ve yön verecek, yargı organları ile iç içe olacak, Adalet Bakanlığı veya Adalet Akademisi bünyesinde bir merkez kurulmalıdır. Bununla birlikte soruşturma ve kovuşturmanın hızlı bir şekilde sonuca ulaştırılması için;
• Türkiye Adalet Akademisinde Bilişim Suçları için eğitim müfredatı oluşturulmalı, ayrıca bu konuda bir enstitü kurulmalıdır.
• Bilişim suçlarına bakacak savcılar yanında, başlangıçta Ankara, İstanbul İzmir, Adana, Diyarbakır ve Trabzon’da, bilişim suçlarına bakacak ihtisas mahkemeleri kurulması değerlendirilmelidir.
Ankara ve İstanbul’da bilişim suçlarına bakmakla görevli savcılar bulunmakta ve bu alanda ihtisaslaşmaktadırlar. Bu yöndeki ihtisas görevlendirmeleri diğer büyük il merkezlerinde de uygulanabilir. Pilot olarak Ankara ve İstanbul için bilişim suçları ile görevli ihtisas mahkemeleri kurulması da ayrıca Hakimler ve Savcılar Yüksek Kurulu’nca değerlendirilmelidir (Meclis Araştırması Komisyonu, 2012).

6. SİBER ŞUÇLARIN İŞLENİŞ ŞEKİLLERİ
6.1 Aldatma Teknikleri
6.1.1 Phishing
Password (şifre) ve fishing (balık avlamak) kavramlarının birleşmesiyle oluşmuştur. Türkçeye oltalama (yemleme) sanatı olarak geçmiş bir saldırı çeşididir. Phishing yöntemi kullanılarak bilgisayar kullanıcıları her yıl milyarlarca dolar zarara uğratılmaktadır. Bu yüzden son zamanların en gözde saldırı çeşitlerindendir. Oltalama bir kişinin şifresini veya kredi kartı bilgilerini öğrenmek amacıyla kullanılır. Bir banka veya resmi bir kurumdan geliyormuş gibi hazırlanan e-postalar yardımıyla bilgisayar kullanıcıları sahte sitelere yönlendirilir ve bilgisayar kullanıcısının özlük bilgileri, kart bilgileri, şifresi gibi bilgileri istenir. Bilinçsiz kullanıcılar bu sahte sitelerdeki talepleri dikkate alarak kullanıcı bilgilerini verirler ve başarılı bir Oltalama saldırısına kurban giderler (Kılıç, 2020).
6.1.2 Sosyal Mühendislik
Bu saldırı tipinde temel olarak insan ilişkilerini ve insanların dikkatsizliğinde yararlanılarak kişi veya kurum hakkında bilgi toplayarak yapılır. Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, başka bir birimden arıyormuş gibi görünerek bilgi toplamak, hedefteki kişiyle dost olarak kişilerin zaaflarından yararlanmak bilinen en iyi örneklerdendir. Sosyal mühendislik aslında hack’in atası olarak bilinir ve ilk hack atağı olarak da nitelendirilebilir. Sosyal Mühendisliğin mucidi olarak Kevin D. Mitnick bilinir ve bu alanda yazdığı kitapta (Aldatma Sanatı) sosyal mühendislikten bahsetmiştir. Hayatını okuyup incelediğimiz kadarıyla girdiği sistemlerin %80 ‘ini sosyal mühendislik yöntemleriyle ulaştığını görüyoruz. Kevin Mitnick zamanında FBI tarafından 1 numaralı aranan bilişim suçlusu haline gelmiştir (Kılıç, 2020).
6.1.3 Spam Fake Mail
Bu saldırılar kişilerin yanlış yönlendirilmesi ve aldatılması amacıyla düzenlenmiş saldırılardır. Bu saldırıları sosyal mühendisliğin alt dalı olarak görebiliriz. Kişilere sahte mail adreslerinden mail atılarak gerçekleştirilir. Zayıf parola kullanan bireylerin kurum mailleri çalınarak mail sahteciliği işlemi gerçekleştirilir (Kılıç, 2020).
6.1.4 Spoofing
Bu saldırı tipinde herhangi bir IP adresi üzerinden TCP/IP paketleri gönderebilme işlemine verilen addır. Paketi alan kişi bu IP adresinin gerçek bir IP adresi olup olmadığını sorgulamaz ve bu sayede IP yanıltması gerçekleştirerek internet korsanları kendi amaçları doğrultusunda bir IP adresini kullanırlar. Gerçekte sahip oldukları IP adreslerinin farklılığına karşın bu yöntem sayesinde gizlenebilir veya istedikleri diğer bir kişiyi taklit edebilirler (Kılıç, 2020).
6.2 Zararlı Yazılımlar
6.2.1 Truva Atları
Zararlı program barındıran veya yükleyen programdır. Truva atları hedefteki kişiye kullanışlı veya ilginç programlar gibi görünebilir ancak yürütüldüklerinde zararlıdırlar. Truva atlarının iki türü vardır. İlki kullanışlı bir programın bir hacker tarafından tahribata uğrayıp içine zararlı kodlar yükleyip program açıldığında yayılan cinsidir. Diğeri ise bağımsız bir program olup başka bir dosya gibi görünür. Truva atları diğer zararlı yazılımlar, bilgisayar virüsleri ve bilgisayar solucanı gibi kendi başlarına işlem yapamazlar. Her kurbanın programı çalıştırması gerekir (Kılıç, 2020).
6.2.2 Virüsler
Bilgisayar virüsleri, bir bilgisayardan diğerine yayılmak ve bilgisayarın çalışmasına müdahale etmek amacıyla tasarlanmış küçük ve kötücül yazılım programlarıdır. Bir virüs, bilgisayardaki verileri bozabilir, silebilir veya kendisini diğer bilgisayarlara yaymak için e-posta programınızı kullanabilir, hatta sabit diskteki herşeyi silebilir. Bilgisayar virüsleri genelde e-posta mesajlarındaki eklerle veya anlık mesajlaşmayla yayılır. Bu nedenle mesajı gönderen kişiyi tanımadan e-posta eklerini açmamanız önemlidir (Kılıç, 2020).
6.2.3 Ağ Solucanları
Virüslerin alt sınıfı olarak bilinirler. Genellikle kullanıcıya bağlı olmadan yayılırlar ve tam olarak kopyalayıp ağ üzerinden dağılabilirler. Bir solucan bellek veya ağ bant genişliğini tüketebilirler bu da bilgisayarın çökmesine neden olur (Kılıç, 2020).
6.2.4 Casus Yazılımlar
Bu yazılımlar kişisel bilgi toplama veya onayınızı almadan bilgisayarınızın yapılandırmasını değiştirme gibi belirli davranışları gerçekleştiren yazılımlardır. Genellikle reklam pencereleri görüntüleyen yazılımlarda ya da kişisel veya önemli bilgileri izleyen yazılımlarla ilişkilendirilebilir (Kılıç, 2020).
6.2.5 Mantık Bombaları
Bilgisayar sistemine bir kod eklenir ve sistemi inceleyen bilgisayarın kafası karıştırılır. Bu tür sistemlerde virüsler kendilerini belli ettirmeden yayılırlar ve programlanan tarih ve saatte aktif olarak sistemde hasara yol açarlar. Aynı zamanda bu tür virüslere zaman ayarlı bomba da denir (Kılıç, 2020).
6.2.6 Şifre Kırıcılar
Ücretli programları kırarak ücretsiz kullanılmasını sağlayan kişilerdir. Hacker ile Cracker birbirine karıştırılmamalıdır. Cracker programları kırmaz, yalnızca program üzerinde ayarlandığı gibi değişiklikler yaparak ücretsiz kullanım, tema, dil gibi değişiklikleri program üzerine kurarlar (Kılıç, 2020).
6.2.7 Ağ Koklayıcıları
Birden fazla bilgisayarın iletişimini dinlemek için geliştirilmiş yazılımlardır. İki bilgisayar arasındaki iletişimi dinleyerek, verileri elde etmemizi sağlar (Kılıç, 2020).
6.2.8 Zafiyet Avcıları
Sistemi tarayarak sistemde var olan güvenlik zafiyetlerini saldırganlara bildirmeye yarayan programlardır. Bu tip programlar port tarama, güvenlik ağı bulma gibi işlevlerini yerine getirerek, saldırı planının yapılmasında fayda sağlamaktadır (Kılıç, 2020).
6.2.9 Şantaj Yazılımları
Kullanıcıların kişisel dosyalarını şifreleyerek kilitler ve fidye istediklerini belirten bir mesaj gönderir. Belli bir müddet bekledikten sonra ödeme yapılması durumunda açacaklarını, aksi durumda zaman dolduktan sonra imha edileceğini belirtir (Kılıç, 2020).

7. SONUÇ
Bilişim teknolojilerinin süratle artan gelişimi internet kullanımını arttırırken bilişim ile ilgili işlenen suçlarda da artış meydana gelmiştir. Bu da beraberinde bilişim suçlarıyla mücadele etme zorunluluğunu getirmiştir. Bilişim alanında işlenen suçlar ile mücadele etmek diğer suç tiplerine nazaran çok daha zordur; Bilişim alanında işlenen suçlarla mücadelede karşılaşılan zorluklar uluslararası anlaşmalar ve yasalardan kaynaklanan eksiklikler, teknik sorunlar, uygulayıcıların niteliğinden kaynaklanan sorunlar olarak özetlenebilir. Bilişim suçunun birçok farklı işleniş şekli bulunmaktadır. Bunlara karşı dikkatli olunmalıdır.


Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.

 

8. KAYNAKÇA
Aydın, E. D. (1992). Bilişim Suçları ve Hukukuna Giriş. Doruk Yayınları.
Erdoğan, Y. (2012). Türk Ceza Kanunu’nda Bilişim Suçları. içinde İstanbul: Legal Yayıncılık.
GÖKÇEARSLAN, Ş. (2016). Bilişim Suçları ve Etik. Ş. GÖKÇEARSLAN içinde, EĞİTİMDE BİLİŞİM TEKNOLOJİLERİ (s. 127-148). Ankara: Pegem Akademi Yayıncılık. https://www.researchgate.net/publication/321535645_Bilisim_suclari_ve_etik adresinden alındı
Kılıç, S. (2020, Ocak 12). Bilişim Suçlarının İşleniş Şekilleri. Kernel Blog: https://kernelblog.org/2020/01/bilisim-suclarinin-islenis-sekilleri/ adresinden alındı
Meclis Araştırması Komisyonu. (2012, Haziran). Bilgi Güvenliği ve Bilişim Suçları (Bilişim Suçları 2. Bölüm). Bilişim ve İnternet Araştırma Komisyonu (BİAK) Raporu: http://biakraporu.org/docs/rapor.kisim3.bolum02.pdf adresinden alındı
T.C. Resmi Gazete. (2007, Kasım 30). İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİNE DAİR USUL VE ESASLAR HAKKINDA YÖNETMELİK. https://www.resmigazete.gov.tr/eskiler/2007/11/20071130-6.htm adresinden alındı
T.C. Resmi Gazete. (2011, Eylül 20). CEZA MUHAKEMESİNDE SES VE GÖRÜNTÜ BİLİŞİM SİSTEMİNİN KULLANILMASI HAKKINDA YÖNETMELİK. https://www.resmigazete.gov.tr/eskiler/2011/09/20110920-4.htm adresinden alındı
TDK. (2018). Türk Dil Kurumu. https://sozluk.gov.tr/ adresinden alındı
Photo by Markus Spiske on Unsplash

 

Kategoriler
Bilişim Etiği

Lisanslama