E-İŞ SÜREÇLERİ

Heyecan düşkünü bilgisayar korsanları (thrill seeker hacker) bilgisayar sistemlerini eğlence için kırarlar. Bu kişiler kendilerini “iyi çocuklar” olarak varsayar ve hatta bazıları kendi aralarında belirledikleri “hacker yasaları”na uyar. Sözgelimi bilgisayar sistemlerinin girseler de bilgileri çalmak ya da değiştirmek yoluna gitmezler. Bunun yerine girdikleri sitelerin güvenlik açıklarını yetkililere haber verirler. Ödülleri ise öteki bilgisayar korsanı arkadaşlarınca tebrik edilmek ya da kendi kendilerini kanıtlamış olma duygusunu yaşamaktır. Güvenlik uzmanlarına göre İnternette yaklaşık 2 bin site bir sisteme nasıl girileceğini öğretmektedir. Bu yüzden bilgisayar korsanları kendi kendilerini eğitebilmektedir.

Kara Şapkalı Bilgisayar Korsanları: Sistemdeki açıkları bulup (insanları ya da sistem yöneticilerini uyarmak yerine) o açıkları kötü amaçla kullanan bilgisayar korsanlarına “kara şapkalı bilgisayar korsanı” adı verilir (Black hat hacker). Bunlar eriştikleri bilgileri çalabilir, silebilir ya da istedikleri gibi kullanabilirler. Ele geçirdikleri şifreleri yine İnternet aracılığıyla satabilirler. Sadece zevk için bile virüsler yaratabilir, web sitelerini çökertebilirler. Bu nedenlerden ötürü çok tehlikelidirler. Kara şapkalı korsanlar vandal adıyla da anılır. Bilindiği gibi vandal, yararlı ve güzel şeyleri tahrip eden kimselere verilen isimdir. Sözgelimi şehirdeki parkları tahrip eden, heykelleri kıran, kısacası kamu mallarına zarar veren kişiler vandal olarak adlandırılır. Elektronik ortamda da zarar vermek amacıyla saldırı düzenleyen kara şapkalı korsanlar bu yüzden e-vandal olarak tanımlanabilir.

Casuslar: Bu işi yapan kişiler, izlerini belli etmeden istenilen bilgiye ulaşan ve bu bilgiyi transfer edip ayak izlerini yok eden kişilerdir. Casus (Spy), saklı olan bilgiye ulaşmak için yazılım, donanım ve sosyal mühendisliği (social engineering) etkin bir şekilde kullanır. Casuslar yazılım olarak genellikle truva atı, tuş takımı dinleyicileri ve solucanları kullanırlar. Bu tip programların genel adı da spyware’dir. Casuslar genelde sistem silmek ya da sistemlere hasar vermekle uğraşmazlar.

Sistem Kırıcılar: Yazılımlarda kopyalanma için geliştirilen önlemleri çeşitli yöntemlerle kaldıran kişilere “Sistem Kırıcı” (cracker) adı verilir. Bu kişiler ücretli programları kırarak (crack) ücretsiz kullanır ya da kullanılmasını sağlar.

Olta saldırı, hedeflerinin şifreleri, banka hesap numaraları, kredi kartı bilgileri gibi özel ve yüksek güvenlik isteyen bilgilerini dolandırıcılıkla elde etme yöntemi olarak tanımlanabilir. Olta saldırı ya da “oltalama” (phishing) İngilizce “password”(şifre) ve “fishing” (balık tutma) sözcüklerinin bileşiminden türetilmiş bir terimdir.

Günümüzde neredeyse tüm iletişim ve bilgi
akışı bilgisayarlar ve bilgi sistemleri üzerinden yapılmaktadır.
Ülkelerin güç kaynaklarının yönetimi;
hava, kara ve deniz ulaşım ağının yönetilmesi;
finansal hizmetler, ticari işlemler; askeri saldırı ve
savunma sistemlerinin yönetilmesi bilgisayarlar ile
gerçekleşmektedir. Bilgisayarlar ve bilgisayar ağları
üzerinden hemen her türlü resmi, gayri resmi ve
gizli bilgiler, planlar, suçlulara ilişkin dosyalar, banka
ve hastane kayıtları gibi birçok bilgi gönderilip
alınmaktadır. Bu bilgiler aynı zamanda bilgisayarlarda
saklanmaktadır. Üstelik bu bilgiler çok uzun
yıllar öncesindeki gibi kalıcılık süresi çok uzun olan
taş tabletler ya da kayalar üzerinde değil, yok olması
bir kişinin birkaç parmak oynatmasıyla mümkün
olan dijital ortamdadır (Güven, 2007, 6).

Bilgi güvenliğinin üç temel amacı vardır: gizlilik, kullanıma hazır tutma ve tutarlılık.

• Gizlilik: İşletmelerin sahip oldukları veri
ve bilginin yetkisiz kişilerce kullanılmasını
engellemektir. Örneğin, çalışanlara ve müşterilere
ilişkin bilgilerin kayıt edildiği sistemlerin
gizliliği ve korunması önemlidir.
• Kullanıma hazır tutma: Veri ve bilgilerin
gerek duyulduğu anda erişime hazır tutulmalarıdır.
• Tutarlılık: Tüm bilgi sistemlerinin fiziksel
sistemlerle uyumlu ve tutarlı olmasıdır

Bilgi güvenliği ihlalinden doğacak kayıpların
riskini en aza indirmek için kurulan sistemlerin
başında BGYS (Bilgi Güvenliği Yönetimi Sistemi)
gelmektedir. BGYS, bilgi güvenliğini kurmak, işletmek,
izlemek ve geliştirmek için risk yaklaşımına
göre hazırlanmış yöntemleri, kesintisiz işlerliği
ile garanti altına alan yönetim sistemidir

BGYS ilk defa 1998 yılında BSI (British Standart
Institute) tarafından yayınlanan BS 7799-2
standardında kullanılmıştır.

BGYS konusunda en yaygın kullanılan standart
“ISO/IEC 27002:2005 Bilgi Güvenliği Yönetimi
İçin Uygulama Prensipleri” standardıdır.

BGYS standardında işlemler güvenlik önlemlerinin belirlenip kurulması, uygulanması, etkinliğinin gözden geçirilmesi ve iyileştirilmesi süreçlerini içerir ve bu işlemler sürekli olarak tekrar edilen bir döngü şeklinde işler. Bu süreçler kısaca planla, uygula, kontrol et, önlem al yani PUKÖ döngüsünden oluşan bir risk modeliyle işler. Bu model Şekil
8.1’de gösterilmiştir (Önel ve Dinçkan, 8-9, 2007; bilgiguvenligi, 2012).

Bu konular birçok
kaynakta “iç tehdit unsurları”, “iç tehditler” olarak
anılmaktadır. Bunlar:
• Bilgi hırsızlığı ve sanayi casusluğu: Günümüzde
kullanımı kolay ve masrafsız olan
birçok bilgi hırsızlığı teknolojisi bulunmaktadır
bu işlerin özel istihbarat birimleriyle,
pahalı teknolojiler kullanarak ya da çok usta
bilişim korsanlarının desteğiyle yapılması
gerekmemektedir günümüzde sanayi casusluğu
gibi eylemler kurumların dışından çok,
içindeki sistemler ve insanlar kullanılarak
yapılmaktadır. Kurum içinden bilgi güvenliğine
zarar veren saldırılar ya da kasıtsız eylemler;
dışarıdan yapılanlara göre daha fazla
risklere, kayıplara neden olmaktadır.
• Bilgilerin depolanması: Özel sektörde,
kamu kurumlarında ya da bireysel çalışmalarda
en önemli sorunlardan biri; ticari
sırların USB bellek, DVD, CD, taşınabilir
disk, avuç içi ya da dizüstü bilgisayarlarda
yani çok kolay çalınabilecek, kaybolabilecek
aygıtlarda, koruma önlemi alınmadan
taşınması ve kullanılmasıdır. Bu tutum riskli
durumlar yaratmaktadır.
• Yetki ve erişim: Kurumlarda “bilmesi gerektiği
kadar, erişmesi gerektiği kadar” gibi
ilkelerin benimsenmesi gerekmektedir. Bu
tip ilkelere en öncelikle uyması gereken
gruplar yöneticiler ve bilişimcilerdir. Fakat
bu tip ilkelerin en az uygulandığı ve en riskli
eylemlerin gerçekleştiği birimler de bu iki
grupta çalışanlardır. İşlerin niteliği gereği
kurum genelinde en sık örnek alınan ve
daha çok dikkat çeken birimler de gene bu
iki birimdir.
• Bilgi güvenliği için doğru çözümün bulunması:
Kamu ya da özel sektörde bilgi
güvenliğinde yaşanan sorunların çözümü,
genelde bilişimci personelden beklenmekte
ve kurumun sadece teknolojik yatırımlarıyla
sorunları çözümleyeceği yanılgısı sıklıkla
yaşanmaktadır. Fakat bilgi güvenliği ile ilgili
risklerin ve sorunların çözümü sadece teknolojik
olmayabilir. Bilgi güvenliği yönetiminde,
insan ve sürecin hemen her aşamada
teknolojiyle birlikte düşünülmesi gerektiği
unutulmamalıdır.
• Bilgi güvenliğinin bir süreç olması: Bilgi
güvenliği, başlanıp bitirilecek bir çalışma
değildir. Bilgi güvenliği yönetimi, kurumlar
ve bilgiler var olduğu sürece sürekli yönetilmesi
ve denetlenmesi gereken bir yaşam
döngüsüdür.
Planla
BGYS’nin Kurulması
Önlem Al
İyileştirme ve Bakım
Kontrol Et
İzleme ve Gözden Geçirme
Uygula
Gerçekleştirme ve İşletme
Şekil 8.1 PUKÖ Modeli
Kaynak: http://www.bilgiguvenligi.gov.tr/yazilimguvenligi/yazilim-gelistirme-surecleri-ve-iso-27001-bilgiguvenligi-yonetim-sistemi.html
10.02.2012.
244
Bilgi Güvenliği Yönetimi
• Tam güvenlik: “Yüzde 100 güvenli” ya da
“sıfır risk” gibi kavramlar iş dünyasında uygulanabilir
değildir. Bilgi güvenliği hiçbir
veriyi ve iş sürecini tamamen güvenli kılamaz
ve riskleri sıfırlayamaz. Özel sektör ya
da kamu sektöründe güvenliği gereken düzeyde
sürekli sağlamak, risk analizlerinin sonucuna
göre riskleri olabilecek en alt düzeye
indirgemek ve kalan riskleri de kontrollü
bir şekilde izleyerek yönetmek gerçekçi bir
bilgi güvenliği yaklaşımıdır. Sağlık, finans
gibi sektörlerde bilgi güvenliği yönetiminde
risk odaklı yaklaşım bir gerekliliktir.
Güvenliğin teknolojiden önce insana yatırım yapılmasıyla,
bilinçlendirmeyle, kurumların en üstten
başlayarak bilgilendirilmesi, desteklenmesi ve önemsenmesi
ile sağlanacağı ve güvenliğin sürekli yönetilecek
bir süreç olduğu unutulmamalıdır. Kurumlardaki
üst yöneticilere, medyaya, yasa ve yönetmelikleri
düzenleyen yetkililere bu konuda ciddi görevler düşmektedir.

Siber saldırı dış tehdittir.

ABD’de bulunan Computer Ethics Institute tarafından
oluşturulan bilgisayar kullanımında dikkat
edilmesi gereken 10 temel ilke vardır. Bunlar:
1. Bir bilgisayarı, diğer insanlara zarar vermek
için kullanmayın.
2. Diğer insanların bilgisayar çalışmalarına karışmayın.
3. Başkalarının bilgisayar dosyalarına girmeyin.
4. Bir bilgisayarı çalmak için kullanmayın.
5. Bir bilgisayarı yalancı şahitlik yapmak için
kullanmayın.
6. Bedelini ödemediğiniz bir yazılımı kopyalamayın
ve kullanmayın.
7. Yetkiniz olmadan ya da bedelini ödemeden
başkalarının bilgisayar kaynaklarını
kullanmayın.
8. Diğer insanların fikir eserlerini sahiplenmeyin.
9. Yazdığınız programın ya da tasarladığınız
sistemin toplumsal sonuçlarını düşünün.
10. Bir bilgisayarı her zaman diğer insanları düşünerek
ve saygı göstererek kullanın (Computer
Ethics Institute, 10.02.2012; Aksal, 2011).

Hacker’lık 1960’lı yıllarda MIT’de (Massachussets Institude of Tecnology) bazı çalışanların elektronik devrelerle oynaması ile başlamıştır. Bu oyunlar enstitüde kullanılan uzaktan kumandalı araçların ve elektromekanik aletlerin devrelerini değiştirmek, onları hızlandırmak ve şaka amacıyla kullanmak için başlar.

Kötü amaçlı yazılımlar girdikleri bilgisayara az
ya da çok zarar verebilir. Yani zararsız kötü amaçlı
yazılım yoktur. Bu başlık kapsamında şu kötü
amaçlı yazılımlara değineceğiz:
• Virüsler,
• Truva atları,
• Tuş ve ekran kaydediciler,
• Solucanlar,
• Casus yazılımlar.