guvenlik-egitimiGÜVENLİK EĞİTİMİ farkindalik-egitimiFARKINDALIK EĞİTİMİ siber-guvenlik-raporuSİBER GÜVENLİK RAPORU
BLOG

Verinin Korunması ve Çalınması

Verinin Korunması ve Çalınması

Gerek işletmelerin gerekse de bireylerin kendilerine ait ve başkası tarafından bilinmesini istemediği verileri var ve bunları korumak istiyorlar. Bununla birlikte bu verileri kullanarak yapacakları işlemler için de çok fazla vakit harcamak da istemiyorlar. Bilgi gizliliği ve işlem kolaylığı arasında git gel yaşayan bu şahıs ve kurumların en temel handikabı ise bana bir şey olmaz yaklaşımı.

Bugün birçok işlem için sorulan kimlik numaramızın gizli olduğunu düşünmek ne kadar anlamlı? Giriş yaptığımız binalarda, hastanelerde, hotspotlarda, okullarda, bankalarda ve daha birçok yerde kimlik kartımızı teslim ediyor veya bu bilgileri kendimiz giriyoruz. Bu bilgilerin tamamı sistemlere kaydediliyor ve kullanılıyor. Bilgiyi toplayan kişinin ne kadar güvenilir olduğu sorusunu bir kenara bile bıraksak bu verilerin kaydedildiği sistemler bilgi hırsızlığına karşı ne kadar korunaklı? Bugün sıradan bir iş merkezine girerken kimlik kartını emanet bırakmayan insan neredeyse yok. Halbuki bırakılan kartın üzerindeki tüm bilgiler siz ziyaretteyken (minimum 30 dk.) rahatlıkla girilebilir, fotoğraflanabilir veya kopyalanabilir.

Artık verinin gizliliği diye bir kavram kalmamıştır. Her veri yetkili adı verilen birileri tarafından erişilebilir durumdadır. Bu yetkililerin ömür boyu yetkili kalamadıkları dikkate alındığında aslında veriler geleceğin yetkisizlerinin erişimine açıktır. En son yaşanan seçmen verilerinin internete açılması örneğinde olduğu gibi yetkili sıfatı ile eriştiği bilgiyi, yetkisiz olarak paylaşmaya hazır birileri her zaman olacaktır. Bilgiye içeriden erişebilenlerin sebep olduğu bilgi hırsızlığı, toplam bilgi hırsızlıklarının büyük çoğunluğunu oluşturmaktadır. Bu durum dikkate alındığında şunu açıkça söyleyebiliriz ki sayısallaşmış her bilgi özel olmaktan çıkmıştır. Özel kalmasını istediğiniz bir veriniz var ise bunu saklamanın tek yolu sayısal dünyadan uzak tutmaktır. Sadece kendi makinama yükledim cümlesi masum bir kendini kandırma cümlesidir. Dış dünyaya erişebilen her makine potansiyel bir veri akış kapısıdır ve içindekileri yetkili veya yetkisiz birileri ile paylaşmaya hazırdır.

Elbette ki veri hırsızlıklarının tek kaynağı iç kullanıcılar değildir. Böyle olsaydı işimiz biraz daha kolay olurdu. Bilişim imkanlarını kullanarak veri çalmak da gün geçtikçe yaygınlaşan bir yöntem olarak karşımızda duruyor. Birçok global skandalın hikayesinde bir veri hırsızlığı veya sızıntısı hikayesi var. Güvenlik için yapılan yatırımlar bu akışları engelleyemiyor. Bir bilgi yeterince kıymetliyse erişmenin bir yolu bulunuyor. Bir sızıntının kamuoyu tarafından bilinmiyor olması yokluğu anlamına gelmiyor. Koruma amaçlı kullandığınız yazılımlar, Hasan Sabbah’ın adamları misali, emir geldiğinde vezirin boynuna silah dayayan yakın koruma misali hırsızlığın ana aktörü olabiliyor.

Şunu da belirtmek gerekiyor ki bilgiyi almak için bilişim uzmanı olmanız veya karşı sistemlerde korkunç açıklar olması da gerekmiyor. Örneğin numaradan isim sorgulama diye bir uygulama var. Siz rastgele telefon numaralarını sorguladığınızda bu numaranın sahibin bilgilerini listeleniyor. Basit bir yazılım ile bir Telekom firmasının tüm datasını birkaç haftalık sorgu ile indirebilirsiniz. Benzer şekilde cep telefonuna yüklenen bir yazılım ile arayan numaranın kimliğini öğrenirken kendi rehberinizdeki tüm bilgileri de genel kullanıma açtığınızda hangi gizlilikten bahsedebilirsiniz?

Günümüzde bu kapsam için yeni bir aktör daha ortaya çıktı! Veriyi siz kendi elinizle gönüllü olarak veriyorsunuz. Hipnoz edilmiş bir kişinin tüm sırlarını ifşa etmesi misali; kampanya, sosyal medya, üyelik vb. adı altında, insanlar çalınmasından korktukları verileri kendi elleri ile sistemlere yüklüyor. Bu veriler bir yerlerde saklanıyor ve gerektiğinde kullanılıyor. Sıradan bir akaryakıt kampanyası için insanlar tüm verilerini paylaşmaktan sakınmıyor. Bir sadakat uygulaması, indirim vaatleri ile yüzbinlerce insanın bilgilerine eriştiği gibi, bunları izinli kullanma imtiyazına da sahip oluyor.

Bir verinin gerçekten gizli kalması gerekiyorsa farklı yaklaşımlar sergilemek gerekiyor. Burada erişim yetkisi olan kişilerin güvenilir olması çok önemli bir nokta. Bu olmadan diğer tüm adımlar anlamsız bir uğraş haline geliyor. Bu koşulun sağlanması ise sadece ilk adım olabilir. Kişilerin güvenilir olması denetime mani değildir. Birçok gizli bilgi iş üzerinde çalışan takım oyuncularından saklanırken, bilgi işlem yetkilisi adlı, projenin parçası dahi olmayan kişiler tarafından tamamına rahatlıkla erişilebilir durumda bulunuyor. Bu durum ironik olmakla birlikte oldukça da yaygın bir uygulama. Bir genel müdürün tüm mailleri bu kişiler tarafından rahatlıkla okunup arşivlenebiliyor. Çok basit bir komut ile genel müdüre gelen bir mailin bir başka maile de iletilebiliyorsa hangi güvenlikten bahsedeceğiz? Son zamanlarda birçok yetkili kişinin jenerik bir mail adresi üzerinden haberleşme talepleri bu korkunun mahsulü değilse nedir? Gerçek bir güvenlikten bahsedeceksek yetkililerin dahi erişemeyeceği sistemler kurmamız gerekiyor. Birçok kişiyi bir araya getirmeden bütünün oluşmasının engellendiği sistemler kurulmalı. Bunu yaparken kullandığınız aygıtların mülkiyeti konusunda da dikkatli olunmalı. Kaynak kodlarını sorgulayamadığınız işletim sistemleri, güvenlik yazılımları, uygulama yazılımları, şifreleme yazılımları ile kuracağınız sistemlerin güvenli olduğunu düşünüp mutlu olabilirsiniz ama bu sadece sizi rahatlatır, asla gerçek bir güvenlik sağlamaz.

Özellikle devleti ilgilendiren sistemlerde güvenlikten bahsediyor isek yerli yazılım, yerli veya açık kaynak kodlu işletim sistemi, yerli şifreler vb. bütünün tüm parçalarına hâkim olduğunuz yapılar kurulmalıdır. Aksi halde tüm varlığınızı birilerinin insafına bırakmış oluyorsunuz. Panama Leaks gösterdi ki pahalı sistemler kurarak güvenlik sağlanamıyor. Dolayısı ile güvenlik gerektiren sistemler için hazırlanacak yazılımlar için bir yol haritası belirlenmeli ve yerli yazılım firmaları marifeti ile kaynak kodlarına erişilebilen sistemler oluşturulmalıdır. Bunun ilk adımı mutlaka işletim sistemi olmalıdır. Sürdürülebilir bir model ile dünya ile entegre ve çağdaş bir işletim sistemi ve güncel tutulmalıdır. Bu amaçla açık kaynak kodlu bir sistemin desteklenmesi hem hızlı hem de sürdürülebilir bir sonuç verecektir. Elbette ki bu adım tek başına yeterli değildir. İç ataklar da dikkate alınarak ayrıştırılmış katmanlarda çalışmalar sağlanmalı ve örgütlenmiş azınlıkların topyekun hakim olabileceği sistemlerin oluşması da engellenmelidir. Bağımsız denetim ve sürekli sorgulama ile sistemler denetim altında tutulmalıdır. Bu amaçla beyaz korsanlar bilinçli bir şekilde sistem açıkları üzerine çalışmalar yapmalıdır. Bu ekibin tamamen bağımsız olması sağlanmalı ve gerekli denetim mekanizmaları ile denetimleri ihmal edilmemelidir.

Gelelim kişisel verilere. Kişisel verilerin hoyratça paylaşıldığı bir çağda gizlilikten bahsetmek hakikaten kocaman bir hayal. Öncelikle bireylerin bilinçlenmesi ve kendilerine ait verileri uluorta paylaşmamaları sağlanmalıdır. Bunun dışında kişisel işlemlerde kullanılan güvenlik algoritmalarının gözden geçirilmesi sağlanmalıdır. Anne kızlık soyadı gibi mucizevi buluş artık terkedilmelidir! İnteraktif yöntemler, cep telefonuna şifre iletimi gibi metotlara ağırlık verilmelidir. Kişilerin işlemlerini internetten yapmasından vazgeçemeyeceğimize göre bu işlemlerin güvenli olmasını sağlamaya odaklanmalıyız. Unutmayalım ki her aşamada risklerimiz devam ediyor olacak ve bunların bir kısmını kabullenmek zorunda kalacağız. Bununla birlikte sistemleri sürekli iyileştirmek bizim elimizde.

Bir diğer başlık olarak kişilerin, işlemler sırasında kullanmadığı ama özel olan verilerin saklanması konusu da gündemimizde olmalıdır. Sağlık, kişisel yaşam, özel belge ve resimler gibi hakikaten gizli kalması gereken ve de gizli kalabilecek veriler konusunda ise yaklaşım değişikliğine ihtiyacımız var. Bu tür verilerin depolandığı alanların fiziksel ve ara yüzler açısından korunaklı olması gerekiyor. Bir doktorun hasta kayıtlarını tuttuğu bilgisayarın internet erişimine tamamen kapalı olması gibi daha radikal yaklaşımlara ihtiyacımız var. Elbette ki doktor kötü niyetli ise hiçbir yaklaşım çözüm olmaz lakin çoğunluğun işine saygı duyduğu gerçeği de ihmal edilemez. Aile albümlerinizi tuttuğunuz makinenin internetten yalıtılması gibi özel tedbirlerden de bahsedebiliriz. Unutulmamalıdır ki erişime açık bir cihazdaki tüm veriler risk altındadır. Kendinizi korumazsanız, başkası sizi koruyamaz.

Son olarak altı çizilmesi gereken bir diğer hususta kişisel veriler üzerinden yapılan işlemlerle ilgili yaklaşımlar üzerinedir. Bir şekilde elde edilebilen kişisel bilgiler kullanılarak yapılan tüm işlemlerin ilgili kişi tarafından yapıldığını kabul eden yaklaşımlar terk edilmelidir. İşlemi yapanın kim olduğunun teyit edilmediği tüm işlemlerde, işlemi yaptıran taraf sorumlu kabul edilmelidir. Dört haneli sabit bir şifre ile bu sorumluluk kullanıcıya yüklenemez. Her sistem sahibi kendi kullanıcısını risklere karşı korumalı ve kötü amaçlı kullanımların sorumluluğunu üstlenmelidir.

İnternet çağında yeni tanıştığımız hırsızlık yaklaşımına karşı yeni toplumsal ve yasal refleksleri üretemezsek ciddi travmalar yaşayacağımız tartışılmaz bir gerçektir. Burada teknolojiden kaçan yaklaşımlar gerçekçi değildir. Gereksiz cesaret göstererek atılan bana bir şey olmazcı adımları terk edersek internet çağını kalkınmanın motoru haline çevirebiliriz.

Mehmet Kürşat ÇAPAR

Verinin Korunması ve Çalınması
guvenlik-egitimiGÜVENLİK EĞİTİMİ farkindalik-egitimiFARKINDALIK EĞİTİMİ siber-guvenlik-raporuSİBER GÜVENLİK RAPORU