Yaşadığımız bu dönemde en çok ihtiyaç duyulan alanlar sizce hangileri? Sağlık mı, teknoloji mi, biyomedikal mi? Bu gibi soruları yüzlerce halde sıralayabiliriz. Fakat önemli olan nokta, belirlemiş olduğumuz “odaktır.”
İnsanlar her geçen gün dijitalleşmekte. Kullandığımız cep telefonundan akıllı saatlere, arabalarımızdan evlerimize kadar dijital ortamın içerisinde barınmaktayız. İnternetin ve türevlerinin bu denli önem taşıdığı bu çağın, bir diğer kritik hususu da, elbette ki bu alanların güvenliğini sağlamaktır.
Siber güvenlik alanı, bilgi güvenliğinden elektronik cihaz güvenliğine kadar çok büyük bir hacmi içerisinde barındırır.
“Hiçbir sistem güvenli değildir.” Cümlesini duymuş olma ihtimaliniz kuvvetle muhtemeldir. Evet, bu önerme aslına bakarsanız doğrudur. Çünkü sistemleri yapanlar da, geliştirenler de, güvenliğini sağlayanlar da yine biz ‘insanlarız.’ Dolayısıyla siber suçluların hedefine girdiysek çok ama çok dikkatli davranmamız gerekir.
Ne demek mi istiyorum?
Teorik olarak elbette ki uygulamaların, internet sitelerinin güvenliğini sağlamamız gerekir. Fakat aynı zamanda sosyal mühendislik çalışmalarına maruz kalabiliriz. Toplum mühendisleri(sosyal mühendisler), sistemi hedef alırlar ama dolaylı yoldan bizleri manipüle ederek bu hedefe ulaşırlar.
Örneğin, kurumsal bir şirketin CEOsu, sekreteri, temizlik görevlisi, proje sorumlusu… Kısacası konum fark etmeksizin şirketin değerli bilgilerini hiç farkında olmadan kötü niyetli kişilere verebilirler. Bu konuda daha detaylı bilgiye sahip olmak için toplum mühendisliği ile ilgili yazıma erişebilir ve kafanızda daha net bir resme sahip olabilirsiniz.
Siber güvenliğin amacına ulaşmasını sağlayan ve tehditleri engelleyen 3 farklı başlık bulunmaktadır. Bunlar;
- Siber Suç
- Siber Terör
- Siber Savaş
Siber Suç
Kötü niyetli bir siber korsanın veya gurubun, finansal bir kazanç sağlamak, intikam almak, kendini kanıtlamak veya bazı durumlarda da tamamen keyfi olarak yapılan çalışmalara siber suç adı verilmektedir. Örneğin, güvenlik ekipmanları satan bir markanız var ve tabi ki bir de web siteniz. Siteniz üzerinden ürün satışları gerçekleştiriyorsunuz ve bir gün sitenizin erişime kapalı olduğunu görüyorsunuz. Mail kutunuza bir mail düşüyor. Eğer xxxx tutarında ödeme yapılmaz ise sitenizin erişime açılmayacağını ve kullanıcı bilgilerinin ifşa edileceği belirtiliyor.
Bu örnekte, bir siber suç işlenmektedir.
Siber Terör
Bilgisayar ağlarının hizmetlerini engelleme, erişimi kısıtlama, elektronik cihazların yapısını bozma, değiştirme veya kapatma gibi durumlardır. Bunu gerçekleştirirken virüsler ve casus yazılımlar yer almaktadır. Örneğin worm(solucan) virüsü, girmiş olduğu bilgisayar üzerinde tıpkı bir solucan gibi delikler(arka kapılar) açarak sistemin genel yapısını bozmaktadır. Bir başka örnek ise Truva atı(trojan). Truva atının hikayesini çoğumuz bilir. Özellikle sosyal mühendislik çalışması sonucu bulaşmaktadır. Hediye gibi görünür fakat aslında o, sizin sonunuzdur. Bir gün size bir mail/mesaj gelir. Mesajda dikkatinizi çeken bir konuya değinilmiştir ve bir de link veya exe dosyası bırakılmıştır. Linke tıkladığınız an da bir dosya cihazına iner ve bunu çalıştırdığınız zaman artık yapabilecek pek de bir şeyiniz kalmaz. Sisteminizin çökmemesi işten bile değildir.
Siber Savaş
Genel itibariyle siyasi, politik emeller içeren ve bilgi sızdırmayı hedefleyen durumlardır.
Örneğin, yakın zamanda yaşanan İran-ABD siber savaşı veya soğuk savaş dönemi. Bu örnekleri çoğaltarak devam ettirebiliriz veya dünyadan siber gündemi takip ederek ne gibi gelişmelerin yaşandığını öğrenebilirsiniz. Siber Dünya, bu kadar gerçek ve bir o kadar da önemli.
Gelin şimdi, siber güvenliğin önemi ve bunun sağlanması için yapmamız gerekenlere bir göz atalım.
Siber Alemde Güvenliği Sağlamak
Her zaman söylediğimiz gibi, artık dijital bir dünyada yaşıyoruz. Günlük hayatımızı devam ettiren işlemlerimizi bile internet üzerinden gerçekleştiriyoruz. Alışveriş, bankacılık, eğitim, sağlık gibi… İnterneti de, fiziksel dünyadan ayrı görmemek gerekir ve buna göre işlemlerimizi devam ettirip, güvenlik tedbirlerimizi bu yönde almalıyız.
Bilgi Güvenliğinin Sağlanması
Bilgi, en büyük güçtür. Bu durum devletler, şirketler, kurumlar, insanlar için de geçerlidir.
İnternetin pek yaygın olmadığı dönemlerde, hükümetler, şirketler vb. kritik bilgilerini devasa büyüklükteki arşivlerde depolamaktaydılar. Bu durum hem büyük bir zaman ve emek harcanmasına hem de güvenliğin zafiyetine yol açmaktaydı. Dijital Dünya’ya giriş yapmamızla birlikte artık kişisel bilgiler, siyasi bilgiler, şirket bilgileri… Bunların hepsi sistemler üzerinde kayıt edilmekte ve depolanmaktadır.
Bu durum hem zamandan büyük bir tasarruf etmekte hem de riskleri minimalize etmektedir. Yine de ‘hiçbir risk yok mudur?’ diyebilir miyiz? Elbette ki hayır.
Eski tekniklere göre daha kullanışlı olduğu aşikar bir gerçek. Fakat burada da siber alemin koruyucuları devreye girmelidir. Bilgi güvenliğinin önemini tam anlamıyla kavramış ve ISO270001 e hakim olması gerekmektedir.
Böylelikle en kritik bilgileri korumaya devam ederek varlığımızı sürdürebiliriz. Evet, varlığımızı sürdürebiliriz. Bu durum gerçekten bu kadar önemli.
Uygulama/Web Sitesi Üzerinde Güvenlik Açığı Bırakmamak
Siber güvenlik üzerinde teorik olarak donanıma sahip olduktan sonra sıra da, ilgili uygulamanın veya web sitesinin güvenlik zafiyetlerini kapatmakta. Bu durum da, tıpkı diğer maddeler kadar önemli bir husustur. Büyük resmi daha iyi görebilmemiz için bir örnekle devam edeceğim;
-Bir arsa satın aldınız ve bu arsaya bir ev yaptırmak istiyorsunuz. Evi yaparken odaları, çatısı, pencereleri vb. gibi işlemleri tamamlıyorsunuz. Fakat o da ne? Evinizin bir kapısı yok? Bu durum büyük bir güvenlik zafiyetidir.
-Yaptırmış olduğunu evin kapısını da yaptırdınız ve artık herhangi bir sorun olmadığını düşünüyor olabilirsiniz. Fakat pencerelerden biri, çerçeveye tam olarak uymuyor ve kapanmıyor. Bunu gören kötü niyetli bir kişi içeriye sızabilir. Bu durum da güvenlik zafiyetidir.
-Pencerenizin çerçevesini de düzenlediniz, yaptırdınız ve artık hiçbir sıkıntı yok dediniz. Öyle mi? Bir kişi veya grup, elinde balyozlarla evinize geldi ve duvarlara vurmaya başladılar ve duvarlar parçalandı. Artık evin içerisine girdiler. Bu da yine bir güvenlik zafiyetidir. Bunun için duvarınızın malzemelerini daha kaliteli yapabilirdiniz veya o kişinin/grubun evinizin etrafına girmemesi için güvenlik görevlisi işe alabilirdiniz.
Yukarıda bahsettiğim örneği, aynı şekilde sadece kelimeleri değiştirerek Siber Dünyada da ele alabilirsiniz.
Bundan dolayı, uygulamamızı ya da internet sitemizi hizmete sunmadan önce XSS, SQL Injection, HTML Injection, Shell güvenlik açığı, protokol açıkları, eklenti açıkları… gibi durumları detaylı olarak ele almanız ve buna göre değerlendirmenizi yapmanız gerekmektedir. Bu gibi uygulamaları pentest çalışmaları ile gerçekleştirmeniz mümkündür.
Söylediğimiz gibi; Gerçek Dünya, Dijital Dünya’ya benzemektedir. Gerçek hayatta evinizin, iş yerinizin, varlığınızın güvenliğini sağlamak için neler yaptığınıza bir göz atın. “Bunları nasıl daha iyileştirebilirim” diye kendinize soru sorun. Ardından bunları siber dünyaya uyarlamaya çalışın. Emin olun ki, güvenlik hedefine büyük ölçüde ulaşmış olursunuz.
Yorumlar kısmında görüşlerinizi, düşüncelerinizi belirtmekten çekinmeyin. Siber güvenliğe yönelik ne gibi önlemler alınabilir, kendi yorumlarınızla paylaşabilirsiniz. 🙂