Siber Güvenlik

Uluslararası Telekomünikasyon Birliğine (ITU) göre siber güvenlik:

“Kurum, kuruluş ve kullanıcıların bilgi varlıklarını korumak amacıyla kullanılan yöntemler, politikalar, kavramlar, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulama deneyimleri ve kullanılan teknolojilerin bütünü”

olarak tanımlanıyor. Başka bir ifadeyle siber güvenlik; bütünlük, gizlilik ve erişilebilirlik prensipleri ışığında bilgi ve erişim güvenliğini sağlamak için kullanılan araç ve yöntemlerin birleşimi olarak tanımlanabilir. 

Siber güvenlik, kurum, kuruluş ve kullanıcıların varlıklarına ait güvenlik özelliklerinin siber ortamda bulunan güvenlik risklerine karşı koyabilecek şekilde oluşturulmasını ve idame edilmesini sağlamayı amaçlamaktadır. Günümüzde oluşan tehditler ve bu tehditlerden bireylerin ve kurumların gördükleri zararlar göz önüne alındığında siber güvenliğin önemi daha iyi anlaşılacaktır. 

Siber güvenlik temelde yedi prensipten oluşmaktadır.

siber-guvenlik

Bilgi güvenliğini en üst seviyede sağlamak maksadıyla, uygulanan söz konusu prensipler aşağıdaki gibi tanımlanabilir:

·        Gizlilik: Veriye sadece yetkili kişi veya sistemlerce erişilebilmesini ifade eder.

·        Bütünlük: Verinin, göndericiden çıktığı haliyle bozulmadan ve değiştirilmeden alıcısına ulaşmasıdır.

·        Erişilebilirlik: Yetkili kişilerin ve işlemlerin ihtiyaç duyulan zaman içerisinde ve ihtiyaç duyulan kalitede bilişim sistemlerine erişebilmesi demektir.

·        İzlenebilirlik: Sistemde gerçekleşen olayların daha sonra analiz edilmez üzere kayıt altına alınmasıdır.

·        Kimlik Doğrulama: Alıcının, göndericinin iddia ettiği kişi olduğundan emin olmasıdır.

·        Güvenilirlik: Sistemde beklenen davranışlar ile elde edilen sonuçların birbiri ile tutarlı olmasıdır.

·        İnkâr Edememe: Göndericinin gönderdiği mesajı, alıcının da aldığı mesajı inkâr edememesidir. 

Söz konusu siber güvenlik prensiplerinin bilgi sistemleri kullanılarak gerçekleştirilmesinde en önemli etken insandır. Bu nedenle, siber güvenlik zincirinin en zayıf halkası olarak insan faktörü gösterilebilir. Bu kapsamda, siber güvenliği insan ve teknolojiyi kapsayan bir süreç yönetimi olarak tanımlamak en doğrusu olacaktır.

Siber güvenlik yaşam döngüsünü 10 adımda aşağıdaki şekil ile özetleyebiliriz.

Siber Güvenlikte 10 Adım

1.1 Risk Yönetimi: Kurumun ve ya organizasyonun yapması gereken en öncelikli faaliyet; sahip olduğu varlıkları korumak için harcayacağı emek ve kaynak ile korumadığı durumda karşılaşacağı yasal, finansal ve operasyonel yaptırımlar açısından risk analizi yapmaktır.

1.2 Güvenlik Politikaları: Tüm bilgi iletişim teknolojilerinin devam eden süreçlerini güvenli ortamda yönetmek için kurumsal güvenlik konseptinin oluşturulması ve sürekli geliştirilmesi gerekmektedir. 

1.3 Ağ Güvenliği: Organizasyonlar çoğu zaman müşterek çalıştığı diğer organizasyonlar ile iletişime geçerken internet gibi güvensiz bir ağ altyapısı kullanmaktadır. Organizasyonlar dijital varlıklarını iç ve dış tehditlerden korumak için mevcut ağ üzerinde gerekli erişim politikalarını tanımlamalı ve güvenli ağ topolojisini kurmalıdır.

1.4 Kullanıcı Yetkilendirme: Güvenlik denetimlerinin en üst düzeyde yapılması için kullanıcı seviyesinde yetkilendirmeler hassasiyet içinde yapılmalı ve ayrıcalıklı yetkilere sahip kullanıcılar en az seviyede tutulmalıdır.  

1.5 Eğitim ve Farkındalık: Tüm yapılan araştırmalar güvenlik zincirinin en zayıf halkasının insan olduğunu göstermiştir. Bu kapsamda, güvenlik farkındalığının oluşturulması ve personelin eğitilmesi en temel güvenlik faaliyetidir.

1.6 Olay Yönetimi: Etkili bir olay yönetim politikasının kurulması; iş sürekliliğini destekleyecek, müşteri, ortaklarla güven tazeleyecek ve olumsuz finansal sonuçların etkisini azaltacaktır.

1.7 Malware Koruması: Kötü amaçlı yazılımların son kullanıcıya ve sistemlere erişmesi güvenlik duvarları, IPS ve antivirüs yazılımları gibi yazılımsal tedbirlerle engellenmelidir.

1.8 Sistemi İzleme: Bilgi ve iletişim teknolojilerinin düzenli şekilde izlenmesi, ağa yapılacak saldırıların ve şüpheli aktivitelerin erken fark edilmesi ve gerekli tedbirlerin zamanında uygulanması için önemlidir. 

1.9 Donanım Güvenliği: Kurumsal ağlarda taşınabilir bellekler gibi donanımsal cihazların kullanımının kontrol edilmesi ve takibi veri kayıplarına ve veri kaçaklarına alınacak önemli tedbirlerdendir.  

1.10 Uzaktan Erişim Yönetimi: Mobil cihazların yaygınlaşması ve organizasyonların iş süreçlerinde kullanılması, organizasyonların uzak bağlantılar için yeni güvenlik tedbirleri almasını gerektirmiştir. Son zamanlarda kurumsal olarak kullanımı yaygınlaşan Mobil Cihaz Yönetim (MDM) uygulamaları bu kapsamda değerlendirilebilir.

Siber Tehditler

Siber tehditler; kişilerin, kurumların ve ülkelerin bilgi varlıkları ve teçhizatlarını hedef alan, onların mahremiyet, güvenlik ve iş görmesini bozan her türlü siber saldırılar ve yetkisiz müdahalelerdir. Siber korsanlar her geçen gün siber ortamda bulunan varlıklara sızmak için yeni yöntemler geliştirmektedirler.

Sanal ortamda gerçekleştirilen bu eylemler karşısında olayın kurbanı olan bireyler gerek maddi gerekse manevi olarak mağdur olmaktadırlar. Siber saldırılardaki amaç; bilginin güvenliğini sağlamaya yönelik üç temel unsur olan gizlilik, bütünlük, erişilebilirlik prensiplerinin olumsuz yönde etkilenmesine neden olmaktır. Siber saldırılar;

Sisteme yetkisiz erişim,

Bilgilerin ifşa edilmesi,

Bilgilerin çalınması,

Sistemin bozulması,

Bilgilerin değiştirilmesi,

Bilgilerin yok edilmesi,

Hizmetlerin engellenmesini hedeflemektedir.

Siber saldırı; bilgisayar, bilgisayar ağları ve ya sistemler kullanılarak düşmanın kritik sistemleri, varlıklarını yok etmeyi ve görevlerini yapamaz hale getirmeyi amaçlayan düşmanca bir davranış olarak tanımlamıştır.

Siber alemde, bireylerin ve profesyonel güvenlik uzmanlarının kendi bilgisayarlarını korumalarını gerektirecek çok fazla saldırı türü bulunmaktadır. Saldırganlar bu saldırı yöntemlerini kullanarak sızmış oldukları bilgisayar ya da bilgisayar ağlarına değiştirici, yıkıcı, hizmet aksatıcı ya da verileri sızdırma şeklinde çeşitli zararlar verebilmektedir. Bu zararların firmaların ya da kamu kurumlarının maddi zararları olabileceği gibi şirket veya kurum itibarının azaltılması şeklinde zararları da olmaktadır. Bugüne kadar siber saldırılarla ilgili birçok yöntem geliştirilmiştir. En yaygın kullanılan siber saldırı yöntemleri aşağıda listelenmiştir.

·        Zararlı Yazılımlar: Zararlı yazılımlar, sistem üzerinde ayrıcalıkları elde etmek, şifreleri öğrenmek, sistem kayıtlarını değiştirmek suretiyle kurban sistemde yetkisiz eylemler gerçekleştirmek için bilgisayar korsanları tarafından kullanılan virüsler, truva atları, solucanlar ve komutlardır. Zararlı yazılımlar diğer bir adıyla malware, İngilizce “malicious” ve “software” kelimelerinin kısaltılmasından oluşmaktadır.

·        Oltalama Saldırıları: Oltalama, istenmeyen e-posta ve ya yasa dışı web sitesi aracılığıyla güvenilir bir kurumu taklit ederek; kullanıcı adı, şifre, banka hesap numarası ve ya kredi kartı numarası gibi kurum açısından hassas bilgilerin ele geçirilmesini amaçlayan adli açıdan suç vasfı taşıyan hileli bir süreçtir. Oltalama saldırısı, Türk Ceza Kanunu’nda karşılığı olan ciddi bir suçtur. Bu yöntemle bankaların internet sitelerinin benzerlerini yaparak kullanıcıların banka hesap bilgileri ve şifrelerini ele geçiren siber korsan 199 yıl hapis cezası ile cezalandırılmış, verilen bu ceza Yargıtay 8 inci Ceza Dairesi tarafından onanmıştır.

·        İstenmeyen E-Posta: Çok sayıda alıcıya aynı anda gönderilen gereksiz veya uygunsuz iletilerdir. İstenmeyen epostalar genelde reklam amaçlı olmaktadır. Aynı zamanda bu elmekler kullanıcıların faydalı olmayan sitelere yönlendirilmesini sağlayarak, tıklama sahteciliği, yetkisiz erişim veya bilgi çalma gibi amaçlarla kullanılmaktadır.

·        Trafiğin Dinlenmesi: Kelime anlamı koklamak olan sniffing, bir ağ üzerindeki bilgisayarlar arasındaki veri trafiğinin dinlenmesi anlamına gelmektedir. Ağ trafiğinin dinlenmesinde mantık, yönlendiricilere gelen her paketin kabul edilmesi dolayısıyla karşılıklı iki bilgisayar arasındaki tüm verilerin yakalanarak saklanmasıdır.

·        Ortadaki Adam Saldırısı: Bir ağ üzerinde kurban bilgisayar ile diğer ağ araçları (yönlendirici, modem, ya da sunucu vb.) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşididir.

·        Zombi Bilgisayar (Botnet) : İngilizce Robot kelimesinin ikinci hecesi ile network (ağ) kelimesinin ilk hecesinin birleştirilmesinden oluşturulmuş bir kelimedir. Merkezi bir kontrol noktasına bağlanmış köle bilgisayar topluluğunu ifade etmektedir. Sahibinin haberi olmadan kendisine kötücül bir yazılım bulaşmış, uzaktan erişen yetkisiz kullanıcılara kendisini kullanma ve kontrol etme kabiliyeti veren ve bunlardan dolayı tehlike arz eden bilgisayarlara “zombi bilgisayar” veya “köle bilgisayar” denilmektedir. Jason Andress ve Steve Winterfeld zombi bilgisayarların oluşturacağı riskleri şöyle açıklamıştır:

“Zombi bilgisayarlar, karmaşık matematiksel problemleri çözmek veya benzeri görevleri gerçekleştirmek için işlem gücünü müşterek kullanan ve hizmet dışı bırakma saldırısı gibi saldıralar icra edebilen büyük bilgisayar gruplarından oluşmaktadır. Bu gruplar savunmasız sistemler üzerinde inşa edilir. Eğer gerekli tedbirler almazsak ve sistemlerimizi korumazsak kurumsal sistemlerimiz, ev bilgisayarlarımız hatta hastane MR sistemi zombi bilgisayar ağına dâhil olacak”.

·        Sosyal Mühendislik: İnsan faktörünü kullanan saldırı tekniklerinden ya da kişiyi etkileme ve ikna yöntemlerinden faydalanarak normal koşullar altında bireylerin paylaşmaktan çekindikleri bilgileri bir şekilde ele geçirme sanatı olarak tanımlanmaktadır. Sosyal Mühendislik, saldırganın kendi isteği doğrultusunda davranmanız için kandırıldığınız bir tür psikolojik saldırıdır.

Bilişim Academy olarak; siber güvenliği komple bir süreç yönetimi olarak görüyor ve benimsediğimiz “İdeal Siber Güvenlik Modeli” ile müşterimize hizmet veriyoruz. Amacımız, söz konusu 7 temel prensip ve insan faktörünü kapsayan süreç yönetimimiz ile;

·        Sistem güvenlik mimarisini oluşturma,

·        Organizasyon şemasını çıkartma,

·        Sistem güvenlik sıkılaştırma,

·        Sistem güvenlik testleri,

·        Ulusal ve Uluslararası Standartlara Uyumlulukları,

·        Ulusal ve Uluslararası Kanun ve Düzenlemelere Uyumlulukları,

·        Siber güvenlik farkındalık artırma,

·        SOME teşkilatının oluşturulması,

·        Olay yönetimi

konularında, ISO 27001 Standardı ışığında müşterilerimizin siber güvenlik durumunun analiz edilmesi ve tespit edilen eksikliklerin giderilmesi için etkili çözümler önermektir.

Bilişim Academy olarak siber güvenlik alanında firmanıza danışmanlık yaparak en uygun ve etkili uygulamalarla şirketinizin güvenliğini sağlayabiliriz.

Bize bilisimacademy.com/iletisim bağlantısındaki iletişim sayfamızdan ulaşabilir ve bilgi alabilirsiniz.


Kaynaklar:

https://www.btk.gov.tr/siber-guvenlik-genel-bilgi

https://docplayer.biz.tr/122534161-Nato-uyesi-ulkelerin-siber-guvenlik-stratejileri-acisindan-incelenmesi-mehmet-ada-yuksek-lisans-tezi-adli-bilisim-anabilim-dali.html

Mesaj yolla
Merhaba, yardımcı olabileceğimiz bir konu var mı?