Bilgi Güvenliği Yönetimi

Bilgi güvenliği, elektronik ortamlarda verilerin, bilgilerin saklanması ve taşınması sırasında bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme platformu oluşturma çabalarının tümüdür (Canbek, Sağıroğlu, 2006, 168). Bilgi güvenliği anlayışı bilgiye ilişkin bütün araçlarla birlikte bunları kullanan kişileri de denetleyen bir anlayıştır (Mc Leod ve Schell, 2006, 210).

Bilgi güvenliğinin üç temel amacı vardır:

• Gizlilik: İşletmelerin sahip oldukları veri ve bilginin yetkisiz kişilerce kullanılmasını engellemektir. Örneğin, çalışanlara ve müşterilere ilişkin bilgilerin kayıt edildiği sistemlerin gizliliği ve korunması önemlidir.
• Kullanıma hazır tutma: Veri ve bilgilerin gerek duyulduğu anda erişime hazır tutulmalarıdır.
• Tutarlılık: Tüm bilgi sistemlerinin fiziksel sistemlerle uyumlu ve tutarlı olmasıdır.

Bilgi güvenliği ihlalinden doğacak kayıpların riskini en aza indirmek için kurulan sistemlerin başında BGYS (Bilgi Güvenliği Yönetimi Sistemi) gelmektedir. BGYS, bilgi güvenliğini kurmak, işletmek, izlemek ve geliştirmek için risk yaklaşımına göre hazırlanmış yöntemleri, kesintisiz işlerliği ile garanti altına alan yönetim sistemidir.

BGYS standardında işlemler güvenlik önlemlerinin belirlenip kurulması, uygulanması, etkinliğinin gözden geçirilmesi ve iyileştirilmesi süreçlerini içerir ve bu işlemler sürekli olarak tekrar edilen bir döngü şeklinde işler. Bu süreçler kısaca planla (BGYS’nin Kurulması), uygula (Gerçekleştirme ve İşletme), kontrol et (İzleme ve Gözden Geçirme), önlem al (İyileştirme ve Bakım) yani PUKÖ döngüsünden oluşan bir risk modeliyle işler. 

Bilgi güvenliğinde “iç tehdit unsurları” ya da “iç tehditler” şunlardır:

Kişinin ve kurumların istediği olmadan bilgi toplanması “bilgi gizliliği” konusunda değerlendirilebilir. Gizlilik, gizli olma durumu, mahremiyet olarak tanımlanabilir (TDK, 2011). Kişinin istediği zaman yalnız kalma hakkına sahip olması ve izni olmadan, gözlenmeden kişisel mülkiyetleri üzerinde kontrol sahibi olması da (işverenlerin, çalışanları ya da müşteriler hakkında izinsiz bilgi toplaması, devletin vatandaşları hakkında bilgi toplaması gibi) “bilgi gizliliği” kapsamında ele alınabilir.

Etik kavramı Türkçe Sözlük’te hem ahlaklı olmak, hem de “çeşitli meslek kolları arasında tarafların uyması veya kaçınması gereken davranışlar bütünü” olarak tanımlanmaktadır (TDK, 2011). Etik, diğer insanlara olan davranışlarımızı yöneten ilkelerdir. Etik davranmak, belirli ilkelere uyarak diğer insanlara saygılı davranmaktır.

ABD’de bulunan Computer Ethics Institute tarafından oluşturulan bilgisayar kullanımında dikkat edilmesi gereken 10 temel ilke vardır. Bunlar:

1. Bir bilgisayarı, diğer insanlara zarar vermek için kullanmayın.
2. Diğer insanların bilgisayar çalışmalarına karışmayın.
3. Başkalarının bilgisayar dosyalarına girmeyin.
4. Bir bilgisayarı çalmak için kullanmayın.
5. Bir bilgisayarı yalancı şahitlik yapmak için kullanmayın.
6. Bedelini ödemediğiniz bir yazılımı kopyalamayın ve kullanmayın.
7. Yetkiniz olmadan ya da bedelini ödemeden başkalarının bilgisayar kaynaklarını kullanmayın.
8. Diğer insanların fikir eserlerini sahiplenmeyin.
9. Yazdığınız programın ya da tasarladığınız sistemin toplumsal sonuçlarını düşünün.
10. Bir bilgisayarı her zaman diğer insanları düşünerek ve saygı göstererek kullanın (Computer Ethics Institute, 10.02.2012; Aksal, 2011).

Internet Activities Board tarafından yapılan İnternet ve etik açıklamasında kabul edilemez ve etik olmayan davranışlar şu şekilde sıralanmıştır:

• Hakkı olmaksızın İnternet kaynaklarına ulaşma,
• Kötü amaçlı İnternet kullanmak,
• Bazı eylemler yapmak için kaynakları (insan, kapasite, bilgisayar) israf etmek,
• Bilgisayar tabanlı bilgilerin bütünlüğünü bozmak ve/veya,
• Kullanıcıların gizliliğine müdahale etmek (tools.ietf.org).

Günümüzde bilgi paylaşımı için kullanılan en önemli araçlar şunlardır:

• Web siteleri
• Arama Araçları (Motorları)
• FTP (File Transfer Protocol, Dosya Transfer Protokolü) Siteleri
• E-postalar
• Alışveriş Siteleri
• Forum ve Sosyal Paylaşım Siteleri
• Video ve Diğer Medya Paylaşım Siteleri

Bilgisayar suçları konusunu iki başlıkta toplayarak açıklanabilir: Bu başlıklar:

• Kötü Amaçlı Yazılımlar: Bu yazılımlar bilgi ve veri kaybına yol açan böylelikle bilgisayar korsanlarının işlerini kolaylaştıran yazılımlardır. Virüs, truva atı, solucan, tuş dinleyici, bot, hizmet engelleme saldırısı ve bunun gibi yazılımlar bu başlık altında toplanmaktadır.
• Sahte Sistemler ve Kullanıcı Açıkları: Bilgi hırsızlığı için kullanılan sahte web sayfaları, sahte e-postalar ve programlar sahte sistemleri oluşturur. Kullanıcı açıkları da günümüzde sosyal paylaşım, mobil ve kablosuz ağların bilinçsizce ve diğer kullanıcıları umursamadan kullanılması sonucu ortaya çıkan olayları açıklamaktadır.

En fazla yapılan kötü amaçlı saldırılar ise şu şekilde sıralanmaktadır:

Virüslerin verebileceği birçok zarar vardır. Bunlardan bazıları:

• Virüsler bilgisayardaki ya da sistemdeki dosyaları silebilir ya da onlara zarar verebilir,
• Programları silebilir, onların doğru çalışmasını engelleyebilir,
• Sabit disklerin kendi kendine dolmasına ve “yetersiz disk alanı” uyarılarına yol açar,
• Bilgisayarı ya da sistemi yavaşlatır,
• Bozuk disk ve sektör hatalarına yol açar,
• Resim ve video dosyaları bozulabilir ya dasilinebilir,
• Bilgisayara kurulmamış adı bilinmeyenprogramlar çalışmaya başlar,
• E-posta hesapları kilitlenir,
• Hoparlörden tuhaf sesler, cızırtılar ya dakonuşma sesleri gelebilir,
• Bilgisayar ya da bilgisayarlar kendiliğindenaçılabilir, kapanabilir,
• Web tarayıcısı açıldığında istem dışı web siteleri açılır,
• İnternet bağlantısı yavaşlar ya da sürekli kopar,
• İşletim sistemi sürekli hata verir,
• Bilinmeyen yeni dosyalar ve klasörler oluşur (Gelişken, 2009, 29-31).

Virüslerin değişik türleri bulunmaktadır. Bunların birkaçı şunlardır:

• E-posta virüsleri
• Makro virüsler:
• Önyükleme virüsleri
• Betik virüsleri
• Dosya virüsleri

Bilgisayar korsanlarının genelde kullandığı iki çeşit solucan vardır. Bunlar:

• Ağ solucanları: İşletim sisteminin ve uygulamaların ağ hizmetlerinde bulunan açıkları kullanarak yayılan solucanlardır. Bu tip solucanlar bir sisteme bulaştıktan sonra aynı hizmeti kullanan diğer sistemleri tarar ve bunlara da bulaşmaya çalışır.
• E-posta solucanları: E-posta ile yayılan virüslerle benzerlik gösterirler. Virüslerden farklı olarak e-posta solucanları, bulaştıktan sonra sistemde kayıtlı e-posta adreslerini arar ve kopyalarını bu adreslere gönderir. Bu solucan çeşidi e-posta adresinin kilitlenmesine, sunucunun servis dışı kalmasına ya da ağ performansının düşmesine neden olur (Özdemir, 2007, 10).

“Sahte sistemler ve kullanıcı açıkları”, dolandırıcılar tarafından değerlendirilen kötü amaçlı işlerdir. Bu işlerin sonucunda kullanıcılar çoğunlukla maddi kayıplarla karşılaşmaktadır. Bu başlık altında değinilen dolandırıcılık şekilleri şunlardır:

• Sahte web siteleri,
• Taklit e-posta hesapları,
• İstenmeyen e-posta (spam),
• Olta saldırıları (phishing),
• Sosyal paylaşım açıkları,
• Kablosuz ağ açıkları,
• Mobil kullanım açıkları.

Bilgi güvenliği şu tür katkılar sağlar:

• İçeriden ve dışarıdan saldırılara karşı koruma sağlar
• Her yerde her zaman tüm iletişimin gizliliğini sağlar
• Kullanıcıları ve sistemlerini doğru bir şekilde tanımlayarak bilgilere erişimi denetler
• İşletmeyi daha güvenilir kılar

Bu önlemler şu şekilde sıralanabilir:

• Kimlik yönetimi ve doğrulama: İşletmeler içinde bilişim sistemine ya da sistemin bir kısmına erişmesi için kullanıcılara verilecek olan yetkiler ve şifreler bu kapsam altındadır.
• Kablosuz ağların güvenliği: İşletmelerin verileri artık şirketlerin içinde ve çevresindeki kablosuz ağlar ile de sistemin içinde ve dışında dolaşmaktadır. Sistem dışından gelebilecek saldırılara karşı kablosuz ağ şifreleme yöntemleri ve filtreleme bu konu kapsamındadır.
• Sistemlere ve verilere saldırıları engelleme: Güvenlik duvarları, virüse ve casus yazılımlara karşı kullanılan önlemler, bilgisayarlarda çerez denetimi, saldırı algılama sistemleri bu konu başlığında sıralanmaktadır.
• Sistemin sürekliliğini sağlama ve yazılım kalitesini garanti etme: İşletmede kullanılan yazılımların süresi, güncelliği ve yasallığı ile işletmeye özel yazılımların devamlılığı ve kalitesinin garantilenmesi bu konu kapsamındadır (Laudon ve Laudon, 312, 2011).

Kablosuz ağların güvenliği için oluşturulmuş iki tip şifreleme bulunmaktadır (wikipedia, 2012; Şahinaslan, Şahinaslan ve Kantürk, 2010 ). Bunlar:

• WEP (Wired Equivalent Privacy, Kablolu Dengi Gizlilik): Bu şifreleme yöntemi 2000’li yılları başında kullanılmaya başlanmıştır. Kablosuz erişim noktasına tanımlanmış olan bir WEP şifresi bulunmaktadır. Kablosuz erişim noktasına bağlanmak isteyen kişi; bu şifreyi erişimi sağlayacağı araca girer ve sorgulaması erişim noktası tarafından yapılır, şifre doğruysa giriş onaylanır ve ağa bağlantı sağlanır.
• WPA (Wi-Fi Protected Access, KablosuzBağlantı Korunmuş Erişim): IEEE tarafın- dan oluşturulan bir şifreleme şeklidir. Bu şifrelemede bağlantı yapıldıktan sonra bile sorgulama devam etmekte ve daha güçlü bir sorgulama yapılmaktadır (Odabaş vd, 2008).

Alınması gereken önlemlerin başlıcaları şunlardır:

E-ticarette ödeme güvenliği için iki yöntemden söz edilebilir. Bunlar:

• SSL (Secure Sockets Layer, Güvenli Yuva Katmanı)
• SET (Secure Electronic Transaction, Güvenli Elektronik İşlem)

E-ticaret yapan işletmelerin dikkat etmesi gereken diğer genel konular şunlardır:

• Ortalama sipariş tutarlarının çok üzerindeki siparişler: Bilgisayar korsanları tek seferde mümkün olduğunca büyük işlemler yapmak isterler.
• İlk defa ve çok büyük tutarda alışveriş yapan müşteriler: Bu tip alışverişler ilk maddeye göre daha şüphe uyandırıcıdır.
• Aynı üründen birden fazla içeren siparişler: Bu durum genelde “yükte hafif pahada ağır” tabir edilen (ziynet eşyası, değerli saat ve elektronik ürünler) ürünlerde ise şüphe uyandırmalıdır. Aynı zamanda bu ürünlerin elden çıkarılması da daha kolaydır.
• Benzer kart numaraları ile peş peşe deneme yapıldıktan sonra başarılı olan siparişler, bir bilgisayar korsanının ele geçirdiği çalıntı kart numaralarını denediğini gösterir. Aynı kart numarası ile farklı son kullanma tarihi denemeleri de aynı anlama gelebilir. Bu durum kredi kartı ile ilgili diğer bilgilerin de denemeleri olabilir.
• Aynı kart bilgileri ile yapılmış birden fazla işlemler
• Aynı IP üzerinden birden fazla kart kullanımı
• Farklı kullanıcı profilleri ile aynı kart bilgilerinin peşi sıra kullanımı
• Profil bilgisinde yer alan telefon numarasının yanlış verilmesi, adres bilgilerinin halka açık ortamlar olması ya da posta kutusu şeklinde verilmesi
• Araştırıldığında fatura adresinden farklıyerde çıkan IP’lerden yapılan işlemler

İşletmelerin bilişim konusuyla ilgilenen bölümlerinin ya da işletmenin boyutuna göre bilişimle ilgilenen kişi ya da kişilerin mobil cihazlar konusunda yapması gerekenler şunlardır:

• Mobil cihazların envanterini tutmak
• Güncellemeler
• Güvenlik
• Kullanım konusunda kullanıcıları uyarmak
• Arızalı ya da sorunlu cihazlar

Aralık 1997’de Washington’da toplanan G8 üyesi ülkelerin ilgili Bakanları “İleri Teknoloji Suçları”nı toplantıya konu olarak belirlemişlerdir. Bakanlar bir eylem planı üzerinde anlaşmaya varmışlardır. Bu eylem planında:

• İletişim ve bilgisayar sistemlerine yapılan izinsiz müdahalelere ceza verilmesi konusunda üye ülkelerin hukuk sistemlerinin gözden geçirilmesine ve ileri teknoloji suçları konusunda yapılan araştırmalara yardımcı olunmasına,
• İleri teknoloji suçlarındaki artış göz önünde bulundurularak gerekli durumlarda karşılıklı yardım anlaşmaları ve düzenlemeleri yapılmasına,
• Yer tespiti yapılamayan verilerin ve bilgisayarların araştırılması ile delillerin korunmasında yardımlaşılmasına ve bu konuyla ilgili çözümler geliştirilmesine,
• Tüm ülkeler arasında iletişim sistemlerinden veri sağlanması için kuralların düzenlenme- sine ve yöntemlerin hızlandırılmasına,
• İleri teknoloji suçlarıyla savaşabilmek için sanayi ile işbirliği yapılmasına karar verilmiştir (https://www.privacyinternational.org/ article/g8-begins-look-high-tech-crime, 2012).