Yeni Başlayanlar için Siber Güvenlik 101

Gün geçtikçe siber saldırılar yaygınlaşıyor, karmaşıklaşıyor ve daha zarar verici hale geliyor. Başarılı bir siber saldırı yapmak için eskiden yüksek lisans mezunu seviyesinde bilgi ve deneyim gerekirken, şimdi 10 yaşındaki biri bile evinden saldırı düzenleyebiliyor. Karmaşıklaştırılmış ve özelleştirilebilen fidye yazılım üreten servisler çıktı. Arama motorlarında “hacking” yazdığınız zaman (maalesef) 100 milyon sonuç geliyor. Siber yaşam alanlarında yaşamaya devam ettikçe, bu sorun giderek artacak. Bilgi Güvenliğimizin ya da Siber Güvenliğimizin farkında olmadığımız zamanda kullanıcı hesaplarımız çalınabiliyor, banka hesaplarımıza sızılabiliyor, gizli verilerimiz çalınabiliyor. Uluslararası toplumda artık siber sözcüğü fazlasıyla geçer oldu. Öyle ki siber-uzay (cyber space), NATO’nun (ve dolayısıyla üye ülkelerin), kara, deniz, hava ve uzaydan sonraki beşinci alanı haline geldi. 2016’da ayda 500 siber güvenlik tehdidi ile karşılaştıklarını belirtiyorlar. Bu 2015’e göre %60’lik bir artış demek. Fare ve klavye artık birer saldırı aracı… 

Neredeyse hayatımızın her yerinde siber yaşıyoruz. Teknoloji, “İnsan”ın artık vazgeçilmez bir parçası. Her işimiz, kolaylık olsun diye çevrimiçi. Sosyal mecralarda arkadaşlarımız ile buluşuyor, çevrimiçi banka şubelerinden fatura ödüyor, işlerimizin hepsini sanal/siber ortamlarda, bilgisayarda ya da mobil cihazlarda yapıyoruz. Popülerliği o kadar arttı ki, hackerlardan nasibini almış Hollywood bile bu konu hakkında film ya da dizi yapabiliyor. Bu makale de daktilo yerine, Internet’e çıkabilen bir kelime işlemci ile yazıldı. Konduğu mecraların neredeyse hepsi çevrimiçi. Bazı ülkelerde, oy kullanma işlemleri yine siber alanlarda yapılıyor. Ülkemizde, yurtdışında oy kullanacak vatandaşların ikametgâh sorguları çevrimiçi yapılıyor. Bu sayede, Moskova’da yerleşik bir vatandaşımız, oyunu başka bir şehirde, örneğin Tiflis’te kullanabiliyor. Mükerrer oylar da bu şekilde önlenmiş oluyor. Sürekli kullandığımız mobil cihazlara yönelik tehditler (son örneğini, Turkish Crime Family isimli grup, iPhone’lara karşı yaptı) hemen uluslararası mecrada ilgi çekiyor. Ve tabii, doğalgaz, su ve kanalizasyon, elektrik şebekeleri gibi kritik devlet altyapıları da siber uzaydan yönetiliyor. Bu nedenle saldırı yüzeyi çok çeşitli ve çok geniş.

Saldırılar, hep uzak bir yerden yapılıyor. Bir bilgisayar, binlerce kilometre ötedeki başka bir sisteme saldırı yapabiliyor. Dağıtık servis kesintisi saldırılarında da bir komut ile, onlarca, belki yüzlerce sistem, politik ya da maddi amaçlar güden saldırılarda kullanılıyor ve sistemleri etkisiz, servis veremez hale getiriyor. Örneğini Aralık 2015’te ODTÜ NIC.tr kontrolündeki .tr isim sunucularına yapılan saldırı ile gördük. Birçok bankaya, ATM’lere, devlet sitelerine erişim kısıtlandı. 2016’da da evimizdeki webcamler, Amerika’daki isim sunucularına saldırdı. Sıklıkla kullanılan sosyal medya siteleri bile etkilendi. Saldırıların nereden geldiği nispeten belli olsa da siber ortamda bu saldırıları gerçekten kim düzenlendi sorusunun yanıtını bulmak çok zor, belki imkansız. Bunun farkında olan Amerika Birleşik Devletleri, 2009’da Çin ile “dijital alanda” bir protokole imza atmıştı. Son ABD Başkanlık seçimlerinde adaylara sürekli siber tehditlerle ilgili sorular yöneltildi. Trump yönetiminin en üst düzeydeki diplomatının ilk Çin ziyaretinde, Çin ile askeri istihbarat paylaşımının yanı sıra, ilk defa siber alanda da istihbarat paylaşımı üstünde duruldu. Bu yaklaşım, seçimleri etkilediği düşünülen Kremlin’e karşı yapılmış bir hamle olarak görülebilir. Ama şu aşikar ki, siber saldırıları düzenleyen devlet-dışı aktörlerin yanı sıra, devlet destekli ekipler de var. ABD, İsrail, Çin ve Rusya’nın devlet himayesi altında siber orduları olduğu biliniyordu. Şimdi Fransa ve Almanya’nın da 2008’den beri bu konu hakkında çalıştıkları ve “resmi” bir ordu kurdukları görülüyor. Ülkemizde de Ulusal Siber Güvenlik Stratejisi ve Eylem Planı çerçevesinde merkezi Ulusal Siber Olaylara Müdahale Merkezi (USOM) ve kurumlarda Siber Olaylara Müdahale Ekipleri’nin (SOME) kurulması sayesinde bir adım atabilmiş görünüyoruz.

Saldırıların uzak bir yerden yapılabilmesi, geleneksel (askeri terim ile konvansiyonel) savaş yöntemlerinin dışında bir durum. Suriye’ye bir füze gönderebilmeniz için en azından Doğu Akdeniz’de olmanız gerekiyor. Ya da daha kuvvetli ve geniş çaplı bir operasyon için karadan giriş yapılması ve bu operasyonun aylarca analiz edilmesi, asker sevkiyatının yapılması gerekiyor. Ancak siber mecrada durum böyle değil. Dünya’nın tamamen başka yerindeki biri, ışık hızında, devlet altyapılarına saldırılar düzenleyip, ülkeyi kaosa sürükleyebilecek, vatandaşların temel hak ve özgürlüklerini kısıtlayabilecek sorunlara yol açabiliyor. Konvansiyonel terimi ile, Kitle İmha Silahları (Weapons of Mass Destruction) siber ortamda, Toplu Kesinti Silahlarına (Weapons of Mass Distruption) dönüşüyor.

Bütün bunlar ışığında, her ne kadar “soğuk” da görünse, bir savaşın içindeyiz. Konvansiyonel savaşların bütün unsurları, hatta belki daha fazlası ve daha etkilisi, siber alanda karşımıza çıkıyor. Bu duruma hem kendi güvenliğimiz, hem de ülkemizin güvenliği açısından bakmamız gerekiyor. Bilgi güvenliği farkındalığımızı artırarak, siber saldırılara karşı bir önlem alabiliriz.

Bireysel olarak;

• Bilgisayarımıza girişte, e-posta ve çevrimiçi banka hesaplarımızda çok faktörlü kimlik doğrulama kullanmalı (Çok faktörlü kimlik doğrulama, parolanızın yanına ikinci bir faktör ekleyerek –ör: cep telefonunuza gelen SMS- parola güvenliğini arttıran bir uygulamadır.)
• Parolalarımızı sıklıkla değiştirmeli,
• Gizli bilgileri kamuya açık yerlerde paylaşmamalı,
• Bilgisayar ve sistemlerimizi zafiyetlere karşı sürekli güncel tutmalı,
• Lisanssız ya da korsan yazılım kullanmamalı,
• Şüpheli bir durum görüldüğünde, yetkililere haber vermeli,
• Güvenilmeyen sitelerden alışveriş yapmamalıyız.

Kurumsal olarak;

• Dışarıdan gelebilecek tehditlere karşı reaktif değil, proaktif çözümler kullanılmalı. Yeni siber güvenlik tehditlerine karşı savunma sistemleri de yenilenmeli, çağa ayak uydurmalı.
• Sistemlerimiz zafiyetlere karşı sürekli güncel tutulmalı,
• Bilgi güvenliği riskleri ile ilgili bir analiz yapılmalı ve periyodik olarak tekrarlanmalı,
• Gizli bilgiler, sadece iş ihtiyacı olan kişilerle paylaşılmalı ve gereklilik sonlandığında erişim kısıtlanmalı,
• Kasıtlı iç tehditlere karşı da önlem alınmalı. Kullanıcılara güvenilebilir, ama “güven kontrole engel değildir!”
• Kullanıcılara yönelik olarak, Bilgi Güvenliği Farkındalığı eğitimleri düzenlenmeli ve etkinliği ölçülmeli.
• Görevler ayrılığı ilkesi uygulanmalı ve sorumluluklar uygun şekilde dağıltılmalı. Herhangi bir işlemin kimin tarafından yapııldığı izlenebilir olmalı.
• İdari tedbirlerin yanı sıra, teknik tedbirler de alınmalı.
• Mümkünse yetkin iç kaynaklarla, değilse dışarıdan tedarik edilerek bilgi güvenliği etkinliğini ölçmek üzere bir denetim yapılmalı. Denetimin kapsamı, uluslararası kabul görmüş standartlara göre belirlenmeli.
• Bilgi Güvenliğine bütçe ayırmalı! Unutulmamalı ki, güvenlik altyapısı doğru şekilde kurulmazsa ve yönetilmezse, bütçelediğiniz bütün Bilişim Teknolojileri kaynakları risk altındadır.

Maalesef %100 güvenilir diye bir seviye yok. Olsa bile, ertesi gün başka bir zafiyet çıkardı. Şifrelenmemiş iletişime karşı kullanılsın dediğimiz OpenSSL’in bile 2 sene boyunca çok kritik bir açığı olduğunu gördük. Sistemlerin ve teknolojilerin zafiyetleri yanında insanların da bazı yöntemlerle kandırmak her zaman mümkün. Bu nedenle gün geçtikçe siber güvenlik tehditlerine daha çok maruz kalıyoruz. Siber Güvenlik Farkındalığına sahip olabilirsek, en azından saldırganların hızını ve verebilecekleri zararı asgariye indirebiliriz.

GÜVENLİ GÜNLER...

Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedIn, Facebook, Google+ ve Twitter’da sizleri bekliyoruz.