Bilgi Teknolojileri 22/12/2009 02:28

Bilgi Güvenliği Konferansı’ndan ana başlıklar – Bölüm 2

istsec

12 – 13 Aralık 2009′da Bilgi Üniversitesi Santral İstanbul Kampüsü’nde yapılan Bilgi Güvenliği Konferansı IstSec ‘09 dan kişi bazında ana başlıklar… Av. Serhat Koç derledi..

1. Bölümü buradan okuyabilirsiniz.

Bilgi Güvenliği Konferansı IstSec ‘09
Bilgi Üniversitesi Santral İstanbul Kampüsü
12 Aralık 2009 günü

OTURUM: Siber Tehditler ve Türkiye

Tıbbi İstihbarat Uzmanı Yasin Yıldız

Bir yere saldırmadan önce düşmanın gücü zayıflatılmalıdır. Örneğin askeri saldırıdan önce, halk sağlığını zayıflatmak ve milli istihbaratını çökertmek gibi yöntemlerle karşı taraf zayıflatılmaktadır. Sağlık verilerinin toplanması, korunması ve kullanılması dünyada çok ciddi olarak değerlendirilmektedir. Örneğin Clinton başkanken Türkiye’ye kendi tuvaletiyle gelmiş ve ağzını çalkaladığı sular bile özel kaplara alınıp ABD’ye geri götürülmüştür. Kimsenin eline geçmesine izin verilmedi.

Biyoterörist saldırılar konusunda bilgi toplayıp bunu devletlere aktaran sistem kuruldu. Buna Türkiye de üye, ancak bu aslında kendi elimizle kendi bilgilerimizi teslim etmek anlamına geliyor. Bildiğimiz kadarıyla Türkiye’de bu türden bir kurum yok, belki de var ama gizlilik dolayısıyla varlığına rağmen biz bilmiyoruz. Artık non lethal weapon dediğimiz öldürücü olmayan silahlar geliştirildi. Örneğin elektromanyetik dalgalarla hayvanların belli bir yerden başka bir yere sevk edilebilmesi gibi. İsrail, sadece Arapları yok edecek radyoaktif silah icat etti, ancak kullanmaya cesaret edemedi, çünkü saf ırk yok ve İsrailliler köken olarak Araplara benzediği gibi, Arap bölgelerine de çok yakın yaşıyorlar. Kırgızistan bugün nükleer çöplük durumunda, eskaza birisi kazsa orada yaşayan kalmayacaktır. Bugün bildiğimiz, sadece ABD’de tıbbi istihbarat kurumunun söz konusu olduğudur.

Bilgi Teknolojileri ve İletişim Kurumu, Meltem Turhan

Siber güvenlik, siber suçlarla mücadelede, kişisel verilerin güvenilirliğinin sağlanmasının yanı sıra, bilginin erişilebilir olması ve özellikle bozulmadan kalması önem arz etmektedir. Verilerin bozulmazlığının, güvenliğinin, doğruluğunun ve bütünlüğünün sağlanması bizim için oldukça önemli. Bu doğrultuda guvenliweb.org.tr sitesinde kurum tarafından güncel bilgiler yayınlanmaktadır. MEB ve Tübitak tarafından kurulan sitelerle de bireysel güvenlik açıkları konusunda çeşitli yararlı bilgiler verilmektedir. Kişisel verilerin korunması yasasının kanunlaşmasının ardından bu konuda çok daha iyi bir yol almış olacağız.

Bilgi Teknolojileri ve İletişim Kurumu, Cafer Canbay

Asıl tehlike sitelere değil ve altyapılara yapılacak kritik saldırılardır. Bundan ekonomik kazanç elde edilebileceği gibi, özellikle devlet kurumlarının internet altyapısının ele geçirilmesi halinde tüm devlet planlaması durabilir ya da çok yüksek miktarda haksız kazanç elde edilebilir ya da büyük bir kaos yaratılabilir. Uzmanlaşmış bir yerli kurum olarak Tübitak, içinde TSK’nın da bulunduğu pek çok kuruma güvenlik konusunda danışmanlık veriyor. Henüz bir veri koruma yasamız olmadığı için sıkıntı yaşıyoruz.

Yapılması gerekenler: yasal çerçeve oluşturulması ve ulusal işbirliği ile uluslarası işbirliğinin sağlanması. Umudumuz Ulusal Bilgi Güvenliği Kanunu’nun da 2010 yılı içinde yasalaşmasıdır. Bugüne kadar Türkiye’ye karşı kayda değer bir siber saldırı olmadı. Türkiye, örneğin Estonya gibi küçük bir ülke değil ve vatandaşlar orada olduğu gibi elektronik altyapıyı çok kullanmıyorlar. Estonya geçmişte Rusya’nın yaptığı saldırıdan çok fazla etkilendi, çünkü hem küçük bir ülke, hem de e-devlet uygulamalarının kullanılması vatandaşlar arasında çok yoğundu. Ehliyet, sağlık karnesi gibi pek çok sistem aynı karta entegre edilmişti, bu sebeple böyle bir saldırıdan çok ciddi zarar aldı. Üç gün boyunca hayat durdu. Ancak, 10 yıl sonra Türkiye’de de bu şekilde bir altyapı olacak ve yoğun kullanılacak.

Tübitak- TR-Bome, Ünal Tatar

Bilgiguvenligi.gov.tr sitesi üzerinden güvenlik açıklarını yayınladığımız ve içeriği sürekli güncellediğimiz bir ortam kurduk. Başka bir eğitim sitesini de hem kurumsal, hem ev kullanımı açısından ve “neler yapılabilir” anlamında çözümleri göstermek için 2010’da yayına sokmuş olacağız.

Bir kurumun bir şeyi yapması için o konuda bir mevzuat olmalıdır, teknik meselelerden önce mevzuat çalışması çok daha önemlidir. Yasa olmaksızın hiçbir kurum durup dururken hiç bir şey yapamaz, çünkü hiç bir yükümlülüğü yoktur. Bilgi güvenliği ile ilgili mevzuat olmadığı sürece, hiç bir kurum buna para harcamak istemez. Bilgi işlemcilerin ve yöneticilerin bilinç eksikliği Türkiye’de son derece yoğun durumda. Ülkemizde, USB bile bağlanamayan, hatta internete dahi bağlı olmayan sistemlere bile bir şekilde trojan bulaşabiliyor. Kullanıcı bilinçsizse, en mükemmel güvenlik unsurlarını bile teknik olarak sağlasanız, sistem her zaman için güvensiz durumdadır.

Biz kurum olarak örneğin bir kamu kurumuna yönelik ciddi bir saldırı olursa gidip olayı inceliyoruz. Bu tür bir durumda eğer internet sitesinden verilen bir hizmet varsa ve bu hizmet durmuşsa çok ciddi bir sorun olabiliyor. Gördüğümüz şu ki, kurumlarımızın altyapıları hakkında bile kendilerinin de bilgileri ne yazık ki yok. Kurumlar başlarına gelebilecek her hangi bir güvenlik ihlaline doğrudan müdahale edecek bir ekip bulundurmak zorundadır. Merkezi bir yerden bunlara müdahale edemeyiz, sadece bilgi aktarabiliriz. Yurtdışındaki bir firmanın ya da kurumun başına Türkiye kaynaklı bir sorun gelirse, işte o zaman bize başvurabilirler. Bazen de, örneğin phishing siteleriyle ilgili olarak doğrudan hosting firmalarına başvurup ilgili dosyaların kaldırılmasını sağlıyoruz. Ancak aslında bu yaptığımız da hukuki değil, çünkü böyle bir işlem için aslında mahkeme kararı gerekiyor.

İzmir Yüksek Teknoloji Enstitüsü, Doç. Dr. Serap Atay

Bugün tüm yayınlar IP tabanlı bağlantılarla çözümleniyor. Dünyada G.Kore, Çin, ABD ve Kanada, 2013 yılı itibariyle evlere fiber optik kabloları ulaştırmış olacaklar ve bu ülkeler gelecek nesil ağ sistemlerine geçişlerini tamamlamış olacaklar. Herşeyden önce bilgi güvenliği konusunda ulusal bir stratejiye sahip olmalıyız. Ayrı bir spektrum olarak kendi yazılımlarımızı da üretebilir durumuna geçmiş olmalıyız. Bugün dünyada, güvenlik için yapılan tüm çalışmalara rağmen, saldırı sayısı istatistiklere göre daha da artıyor. Biz gelişimi istiyoruz destekliyoruz ama her yeni sistem maalesef büyük açıklarla geliyor.

Gelecek nesil ağlarla ilgili merkezi bir altyapı olmadığı için, kritik altyapılar da izolasyona da sahip olmadıkları için çok ciddi tehditler altında bulunuyorlar. Bugün dünyada nano bilimin kullanıldığı, biyoelektronik hesaplamalı, tamamen yeni mimarilerin üzerinde çalışmalar yapılıyor, otonom olan ve kendini soruna anında adapte edebilen sistemler bunun nihai amacıdır. Türk bilim adamları da buna dahil edilmelidir.

Devlet kademesinde farkındalık uğruna çok fazla bir çaba yok. Koskoca Milli Eğitim Bakanlığı’nın bilinç kazandırmak yerine ihbar sitesi açmış olması oldukça düşündürücüdür.

Bilisimhukuk.com, Av. M. Gökhan Ahi

Bilgi güvenliğine özel bir mevzuatımız olmamasına rağmen, hali hazırdaki kanunlarımızda kişisel verilerin hukuka aykırı kaydedilmesi, erişilmesi ve bunların yayılması yasaklanmış durumdadır. Ancak kişisel verilerin ne olduğu konusunda bir açıklık olduğundan dolayı tartışmalar bitmiyor. TCK’da ya da doktrinde, “kişisel veri”nin ne olduğuna dair tanımlar halen oturtulamamış durumda. Hukuki gelişme açısından Türkiye, dünyadaki diğer ülkelerden daha aşağı seviyede değil. Bilgi güvenliği ihlallerine ve bilişim suçlarına karşı hukuki anlamda, ABD kadar olmasak da AB ülkelerinden örneğin Estonya’dan daha iyi durumdayız.

Türkiye’de şimdilik kurumlardan çok bireylere ve şirketlere yönelik saldırılar söz konusu olmaktadır. Saldırıların bir çoğunun amacı, kendini ispat etmek ve maddi kazanç sağlamaktır. Türkiye’de gerçekleşen bilgi güvenliği ihlalleri, teknik bilgiden daha çok insan faktörüyle açıklanabilir. Hem saldıranlar, hem de saldırıya karşı koyanlar açısından “Sosyal Mühendislik”, teknikten önce geliyor.

Bilgi güvenliği hizmeti veren kurumların bile bu ülkede, bilgi güvenliği derecelendirmesi yapmadığını görebiliyoruz. Bilgi güvenliği politikası oluşturulmadığı gibi, azcık da olsa var olan bilgi güvenliği en başta bu kurumların kendileri tarafından ihlal edilmektedir.

Şirketlerde, personelin bilinçsiz bilgisayar kullanımı da bilgi güvenliği ihlali oluşturabiliyor. Personel ihlallerini teknik olarak önlemek isterseniz, karşınıza kişisel hak ve özgürlükler çıkabilir. Eğer çalışana bildirim yapmadan iş saatinde de olsa, mahremiyetini ihlal eder şekilde bilgisayarını gözlüyorsanız ya da odasına kamera koyuyorsanız, bu kesinlikle hukuka aykırıdır. Bu tür bilgisayar izlemesi veya lokasyon bazlı izleme için, personelin bu bildirimi alması ve buna rıza göstermesi gerekiyor. Çalışanın rızası olmadan elde edilmiş olan bu türden delillerin de yargılamaya esas teşkil edemeyeceği açıktır. Geriye dönük ispatlanmasının çok zor olduğu düşünürsek, sistemdeki kayıtların ve gönderilip alınmış bilgilerin değiştirilmesinin her zaman mümkün olmasından dolayı, bunlar bilgi işlem uzmanlarınca günlük olarak hash değeriyle koruma altına alınmalıdır. Aksi takdirde bu tür dosyaların delil olarak kullanılma ihtimali maalesef yoktur.

1. Bölümü buradan okuyabilirsiniz.

Tags:

1 Comment

Leave a reply

required

required

optional


  •  
essay editor professional dissertation writing services buy essay writing service custom finance papers writing company