Uluslararası Telekomünikasyon Birliğine (ITU) göre siber güvenlik: “kurum, kuruluş ve kullanıcıların bilgi varlıklarını korumak amacıyla kullanılan yöntemler, politikalar, kavramlar, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulama deneyimleri ve kullanılan teknolojilerin bütünü” olarak tanımlanmaktadır.

Siber güvenlik, kurum, kuruluş ve kullanıcıların varlıklarına ait güvenlik özelliklerinin siber ortamda bulunan güvenlik risklerine karşı koyabilecek şekilde oluşturulmasını ve idame edilmesini sağlamayı amaçlamaktadır. Günümüzde oluşan tehditler ve bu tehditlerden bireylerin ve kurumların gördükleri zararlar göz önüne alındığında siber güvenliğin önemi daha iyi anlaşılacaktır. Söz konusu güvenlik risklerine karşı koyabilmek için bilgi sistemlerinin 7 temel prensibi sağlaması gerekmektedir.

Tüm yapılan araştırmalar güvenlik zincirinin en zayıf halkasının insan olduğunu göstermiştir. Bu kapsamda, güvenlik farkındalığının oluşturulması ve personelin eğitilmesi en temel güvenlik faaliyetidir. Dolayısıyla, güvenli bilgi sistem yapısının oluşturulması için gerekli 7 temel prensibin gerçekleştirilebilmesi için en zayıf halka olan insanın eğitim ve farkındalığının artırılması şarttır.

Bilişim Academy olarak amacımız; gerek bilgi sistem personeline gerekse son kullanıcılara farklı seviyelerde eğitimler vererek siber güvenlik farkındalık seviyesini artırmaktır.

Siber Güvenlikte 10 Adım

1.1 Risk Yönetimi: Kurumun ve ya organizasyonun yapması gereken en öncelikli faaliyet; sahip olduğu varlıkları korumak için harcayacağı emek ve kaynak ile korumadığı durumda karşılaşacağı yasal, finansal ve operasyonel yaptırımlar açısından risk analizi yapmaktır.

1.2 Güvenlik Politikaları: Tüm bilgi iletişim teknolojilerinin devam eden süreçlerini güvenli ortamda yönetmek için kurumsal güvenlik konseptinin oluşturulması ve sürekli geliştirilmesi gerekmektedir. 

1.3 Ağ Güvenliği: Organizasyonlar çoğu zaman müşterek çalıştığı diğer organizasyonlar ile iletişime geçerken internet gibi güvensiz bir ağ altyapısı kullanmaktadır. Organizasyonlar dijital varlıklarını iç ve dış tehditlerden korumak için mevcut ağ üzerinde gerekli erişim politikalarını tanımlamalı ve güvenli ağ topolojisini kurmalıdır.

1.4 Kullanıcı Yetkilendirme: Güvenlik denetimlerinin en üst düzeyde yapılması için kullanıcı seviyesinde yetkilendirmeler hassasiyet içinde yapılmalı ve ayrıcalıklı yetkilere sahip kullanıcılar en az seviyede tutulmalıdır.  

1.5 Eğitim ve Farkındalık: Tüm yapılan araştırmalar güvenlik zincirinin en zayıf halkasının insan olduğunu göstermiştir. Bu kapsamda, güvenlik farkındalığının oluşturulması ve personelin eğitilmesi en temel güvenlik faaliyetidir.

1.6 Olay Yönetimi: Etkili bir olay yönetim politikasının kurulması; iş sürekliliğini destekleyecek, müşteri, ortaklarla güven tazeleyecek ve olumsuz finansal sonuçların etkisini azaltacaktır.

1.7 Malware Koruması: Kötü amaçlı yazılımların son kullanıcıya ve sistemlere erişmesi güvenlik duvarları, IPS ve antivirüs yazılımları gibi yazılımsal tedbirlerle engellenmelidir.

1.8 Sistemi İzleme: Bilgi ve iletişim teknolojilerinin düzenli şekilde izlenmesi, ağa yapılacak saldırıların ve şüpheli aktivitelerin erken fark edilmesi ve gerekli tedbirlerin zamanında uygulanması için önemlidir. 

1.9 Donanım Güvenliği: Kurumsal ağlarda taşınabilir bellekler gibi donanımsal cihazların kullanımının kontrol edilmesi ve takibi veri kayıplarına ve veri kaçaklarına alınacak önemli tedbirlerdendir.  

1.10 Uzaktan Erişim Yönetimi: Mobil cihazların yaygınlaşması ve organizasyonların iş süreçlerinde kullanılması, organizasyonların uzak bağlantılar için yeni güvenlik tedbirleri almasını gerektirmiştir. Son zamanlarda kurumsal olarak kullanımı yaygınlaşan Mobil Cihaz Yönetim (MDM) uygulamaları bu kapsamda değerlendirilebilir.

Siber Tehditler

Siber tehditler; kişilerin, kurumların ve ülkelerin bilgi varlıkları ve teçhizatlarını hedef alan, onların mahremiyet, güvenlik ve iş görmesini bozan her türlü siber saldırılar ve yetkisiz müdahalelerdir. Siber korsanlar her geçen gün siber ortamda bulunan varlıklara sızmak için yeni yöntemler geliştirmektedirler.

Sanal ortamda gerçekleştirilen bu eylemler karşısında olayın kurbanı olan bireyler gerek maddi gerekse manevi olarak mağdur olmaktadırlar. Siber saldırılardaki amaç; bilginin güvenliğini sağlamaya yönelik üç temel unsur olan gizlilik, bütünlük, erişilebilirlik prensiplerinin olumsuz yönde etkilenmesine neden olmaktır. Siber saldırılar;

Sisteme yetkisiz erişim,

Bilgilerin ifşa edilmesi,

Bilgilerin çalınması,

Sistemin bozulması,

Bilgilerin değiştirilmesi,

Bilgilerin yok edilmesi,

Hizmetlerin engellenmesini hedeflemektedir.

Siber saldırı; bilgisayar, bilgisayar ağları ve ya sistemler kullanılarak düşmanın kritik sistemleri, varlıklarını yok etmeyi ve görevlerini yapamaz hale getirmeyi amaçlayan düşmanca bir davranış olarak tanımlamıştır.

Siber alemde, bireylerin ve profesyonel güvenlik uzmanlarının kendi bilgisayarlarını korumalarını gerektirecek çok fazla saldırı türü bulunmaktadır. Saldırganlar bu saldırı yöntemlerini kullanarak sızmış oldukları bilgisayar ya da bilgisayar ağlarına değiştirici, yıkıcı, hizmet aksatıcı ya da verileri sızdırma şeklinde çeşitli zararlar verebilmektedir. Bu zararların firmaların ya da kamu kurumlarının maddi zararları olabileceği gibi şirket veya kurum itibarının azaltılması şeklinde zararları da olmaktadır. Bugüne kadar siber saldırılarla ilgili birçok yöntem geliştirilmiştir. En yaygın kullanılan siber saldırı yöntemleri aşağıda listelenmiştir.

·        Zararlı Yazılımlar: Zararlı yazılımlar, sistem üzerinde ayrıcalıkları elde etmek, şifreleri öğrenmek, sistem kayıtlarını değiştirmek suretiyle kurban sistemde yetkisiz eylemler gerçekleştirmek için bilgisayar korsanları tarafından kullanılan virüsler, truva atları, solucanlar ve komutlardır. Zararlı yazılımlar diğer bir adıyla malware, İngilizce “malicious” ve “software” kelimelerinin kısaltılmasından oluşmaktadır.

·        Oltalama Saldırıları: Oltalama, istenmeyen e-posta ve ya yasa dışı web sitesi aracılığıyla güvenilir bir kurumu taklit ederek; kullanıcı adı, şifre, banka hesap numarası ve ya kredi kartı numarası gibi kurum açısından hassas bilgilerin ele geçirilmesini amaçlayan adli açıdan suç vasfı taşıyan hileli bir süreçtir. Oltalama saldırısı, Türk Ceza Kanunu’nda karşılığı olan ciddi bir suçtur. Bu yöntemle bankaların internet sitelerinin benzerlerini yaparak kullanıcıların banka hesap bilgileri ve şifrelerini ele geçiren siber korsan 199 yıl hapis cezası ile cezalandırılmış, verilen bu ceza Yargıtay 8 inci Ceza Dairesi tarafından onanmıştır.

·        İstenmeyen E-Posta: Çok sayıda alıcıya aynı anda gönderilen gereksiz veya uygunsuz iletilerdir. İstenmeyen epostalar genelde reklam amaçlı olmaktadır. Aynı zamanda bu elmekler kullanıcıların faydalı olmayan sitelere yönlendirilmesini sağlayarak, tıklama sahteciliği, yetkisiz erişim veya bilgi çalma gibi amaçlarla kullanılmaktadır.

·        Trafiğin Dinlenmesi: Kelime anlamı koklamak olan sniffing, bir ağ üzerindeki bilgisayarlar arasındaki veri trafiğinin dinlenmesi anlamına gelmektedir. Ağ trafiğinin dinlenmesinde mantık, yönlendiricilere gelen her paketin kabul edilmesi dolayısıyla karşılıklı iki bilgisayar arasındaki tüm verilerin yakalanarak saklanmasıdır.

·        Ortadaki Adam Saldırısı: Bir ağ üzerinde kurban bilgisayar ile diğer ağ araçları (yönlendirici, modem, ya da sunucu vb.) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşididir.

·        Zombi Bilgisayar (Botnet) : İngilizce Robot kelimesinin ikinci hecesi ile network (ağ) kelimesinin ilk hecesinin birleştirilmesinden oluşturulmuş bir kelimedir. Merkezi bir kontrol noktasına bağlanmış köle bilgisayar topluluğunu ifade etmektedir. Sahibinin haberi olmadan kendisine kötücül bir yazılım bulaşmış, uzaktan erişen yetkisiz kullanıcılara kendisini kullanma ve kontrol etme kabiliyeti veren ve bunlardan dolayı tehlike arz eden bilgisayarlara “zombi bilgisayar” veya “köle bilgisayar” denilmektedir. Jason Andress ve Steve Winterfeld zombi bilgisayarların oluşturacağı riskleri şöyle açıklamıştır:

“Zombi bilgisayarlar, karmaşık matematiksel problemleri çözmek veya benzeri görevleri gerçekleştirmek için işlem gücünü müşterek kullanan ve hizmet dışı bırakma saldırısı gibi saldıralar icra edebilen büyük bilgisayar gruplarından oluşmaktadır. Bu gruplar savunmasız sistemler üzerinde inşa edilir. Eğer gerekli tedbirler almazsak ve sistemlerimizi korumazsak kurumsal sistemlerimiz, ev bilgisayarlarımız hatta hastane MR sistemi zombi bilgisayar ağına dâhil olacak”.

·        Sosyal Mühendislik: İnsan faktörünü kullanan saldırı tekniklerinden ya da kişiyi etkileme ve ikna yöntemlerinden faydalanarak normal koşullar altında bireylerin paylaşmaktan çekindikleri bilgileri bir şekilde ele geçirme sanatı olarak tanımlanmaktadır. Sosyal Mühendislik, saldırganın kendi isteği doğrultusunda davranmanız için kandırıldığınız bir tür psikolojik saldırıdır.

Bilişim Academy olarak; siber güvenliği komple bir süreç yönetimi olarak görüyor ve benimsediğimiz “İdeal Siber Güvenlik Modeli” ile müşterimize hizmet veriyoruz. Amacımız, söz konusu 7 temel prensip ve insan faktörünü kapsayan süreç yönetimimiz ile;

·        Sistem güvenlik mimarisini oluşturma,

·        Organizasyon şemasını çıkartma,

·        Sistem güvenlik sıkılaştırma,

·        Sistem güvenlik testleri,

·        Ulusal ve Uluslararası Standartlara Uyumlulukları,

·        Ulusal ve Uluslararası Kanun ve Düzenlemelere Uyumlulukları,

·        Siber güvenlik farkındalık artırma,

·        SOME teşkilatının oluşturulması,

·        Olay yönetimi

konularında, ISO 27001 Standardı ışığında müşterilerimizin siber güvenlik durumunun analiz edilmesi ve tespit edilen eksikliklerin giderilmesi için etkili çözümler önermektir.