E-İŞ SÜREÇLERİ - Ünite 8: Bilgi Güvenliği Yönetimi Özeti :

PAYLAŞ:

U¨nite 8: Bilgi Gu¨venligˆi Yo¨netimi

Giris¸

I·letis¸im ve bilgi teknolojileri 2000’li yıllardan bas¸layarak c¸ok bu¨yu¨k bir hızla gelis¸meye devam etmektedir. Gec¸mis¸e go¨re c¸ok bu¨yu¨k kolaylıkla elde edebildigˆimiz elektronik cihazlarla bilgi is¸leme ve depolama is¸lerini yapabilmekteyiz. Fakat bilgileri is¸lerken ve depolarken birc¸ok kis¸inin ve is¸letmelerin unuttugˆu ya da atladıgˆı bir konu vardır; bilgi gu¨venligˆi.

Bilgisayarlar bilgileri is¸lemek depolamak, internet ise bilgileri paylas¸mak ic¸in vardır . Fakat bu¨tu¨n bunları yaparken bilgilerin gu¨venligˆinden emin olmalıyız.

Gu¨nu¨mu¨zde kis¸isel bilgisayarlara, kamu ve o¨zel sekto¨rde kullanılan bilgisayarlara ve agˆlara birc¸ok saldırı du¨zenlenmekte ve bu saldırılar sonucu kis¸isel ve finansal bilgiler, sırlar kaybedilmekte veya bu bilgilerden c¸ıkar sagˆlamak pes¸indeki suc¸luların eline gec¸mektedir.

Bilgi sistemlerinin gu¨venligˆinin sagˆlanmasına yo¨nelik faaliyetler bir su¨rec¸ olarak bilgi gu¨venligˆi yo¨netimi olarak adlandırılabilir.

Bilgi Gu¨venligˆi

Bilgi gu¨venligˆi stratejileri ve bunları yo¨netecek uygun yo¨ntemleri olmayan kurumlar sadece gu¨venlik ac¸ısından degˆil her tu¨rlu¨ is¸ su¨rec¸leri ac¸ısından ciddi sıkıntılar maddi ve manevi kayıplar yas¸amaktadırlar. I·s¸letmeler, gizlilik gerektiren konularda, bilgilerde, veri iletis¸iminde, is¸ su¨rec¸lerinde gizliligˆi korumak ve gu¨venligˆi sagˆlamak zorundadırlar.

Bilgi gu¨venligˆi elektronik ortamlarda verilerin bilgilerin saklanması ve tas¸ınması sırasında bilgilerin bu¨tu¨nlu¨gˆu¨ bozulmadan izinsiz eris¸imlerden korunması ic¸in, gu¨venli bir bilgi is¸lem platformu olus¸turma c¸abalarının tu¨mu¨du¨r.

Bilgiye ilis¸kin bu¨tu¨n arac¸larla birlikte bunları kullanan kis¸ileri de denetleyen bir anlayıs¸tır. Bilgi gu¨venligˆinin u¨c¸ temel amacı vardır:

  • Gizlilik,
  • Kullanıma hazır tutma,
  • Tutarlılık.

Bilgi Gu¨venligˆi Yo¨netimi

Bilgi Gu¨venligˆi Yo¨netim Sistemi (BGYS), bilgi gu¨venligˆini korumak, is¸letmek, izlemek ve gelis¸tirmek ic¸in risk yaklas¸ımlarına go¨re hazırlanmıs¸ yo¨ntemleri kesintisiz is¸lerligˆi ile garanti altına alan yo¨netim sistemidir . Bilgi gu¨venligˆi yo¨netimi ic¸in belirlenmis¸ standartlardan en c¸ok kullanılanı I·SO 27.000 ailesidir.

BGYS standardında is¸lemler gu¨venlik o¨nlemlerinin belirlenip kurulması, uygulanması, etkinligˆinin go¨zden gec¸irilmesi ve iyiles¸tirilmesi su¨rec¸lerini ic¸erir ve bu bir do¨ngu¨ s¸eklinde is¸ler. Bu su¨rec¸ler kısaca planla, uygula, kontrol et, o¨nlem al yani PUKO¨ do¨ngu¨su¨nden olus¸an bir risk modeliyle is¸ler (S:243, S¸ekil 8.1).

Bilgi Gu¨venligˆi Yo¨netiminde I·c¸ Tehditler : Bilgi gu¨venligˆine yo¨nelik yasalar, teknolojik c¸o¨zu¨mler, yo¨ntemler hızla gelis¸mesine ragˆmen bilgi gu¨venligˆinde kayıplar, zararlar, ac¸ıklar ve sorunlar devam etmektedir. Bunun bas¸lıca nedeni is¸letmelerin ic¸ tehdit unsurları veya ic¸ tehdit denilen konuları unutması veya go¨z ardı etmesidir. Bunlar;

  • Bilgi hırsızlıgˆı ve sanayi casuslugˆu,
  • Bilgilerin depolanması,
  • Yetki ve eris¸im,
  • Bilgi gu¨venligˆi ic¸in dogˆru c¸o¨zu¨mu¨n bulunması,
  • Bilgi gu¨venligˆinin bir su¨rec¸ olması ve
  • Tam gu¨venliktir.

Gu¨venligˆin teknolojiden o¨nce insana yatırım yapılmasıyla, bilinc¸lendirmeyle, kurumların en u¨stten bas¸layarak bilgilendirilmesi, desteklenmesi ve o¨nemsenmesiyle sagˆlanacagˆı ve gu¨venligˆin su¨rekli yo¨netilecek bir su¨rec¸ oldugˆu unutulmamalıdır.

Bilgi Gizliligˆi

Bilgisayarlar verileri is¸ler, I·nternet ise verileri paylas¸ır. Bilgisayar ve I·nternet birles¸tigˆinde ise;

  • U¨ret,
  • Sakla ve
  • Paylas¸ sıralaması ortaya c¸ıkmaktadır (S:244, S¸ekil 8.2).

Verilerin bilgisayarda saklanması ve internetten paylas¸ılması, iki sonuc¸ dogˆurur;

  • I·lki bilgisayarların amacı verileri korumak degˆildir,
  • I·kincisi ise internet, verileri paylas¸mak ve yaymak ic¸indir.

Kis¸inin ve kurumların istegˆi ve rızası olmadan bilgi toplanması bilgi gizliligˆi konusunda degˆerlendirilebilir. Gizlilik , gizli olma durumu, mahremiyet olarak tanımlanabilir.

Kis¸inin istedigˆi zaman yalnız kalabilme hakkına sahip olması da ve izni olmadan go¨zlenmeden kis¸isel mu¨lkiyeti u¨zerinde kontrol sahibi olması da bilgi gizliligˆi kapsamında ele alınabilir.

Bilgi Etigˆi

Etik c¸ok eski bir kavram olmakla birlikte, yas¸anmakta olan c¸agˆın ve gu¨nu¨n gerekliliklerine go¨res¸ekillenmektedir. Gu¨nu¨mu¨zde bilginin dogˆrulugˆu, gizliligˆi, kime ait oldugˆu gibi konular u¨zerinde odaklanmaktadır.

Etik kavramı Tu¨rkc¸e so¨zlu¨kte hem ahlaklı olmak, hem de c¸es¸itli meslek kolları arasında tarafların uyması veya kac¸ınması gereken davranıs¸lar bu¨tu¨nu¨ olarak tanımlanmaktadır.

Bilginin nasıl toplandıgˆı ve kullanıldıgˆı kis¸inin etik anlayıs¸ına bagˆlıdır. Yasaları bilmek her zaman yeterli olmaz c¸u¨nku¨ bazen etik olmayan yasaldır, bazen de etik olan yasal degˆildir (S:245, S¸ekil 8.3).

Bilgisayar ve I·nternet Etigˆi : Bilgisayar etigˆi internet etigˆini de kapsayan genis¸ bir kavramdır. Bilgisayar etigˆi, su¨rekli gelis¸mekte olan bilgisayar teknolojileri, yeni olus¸turulan kavramlar, su¨regelen gelis¸tirilen politikalar ve toplumların degˆerleri arasındaki ilis¸kileri ele alan dinamik ve karmas¸ık bir c¸alıs¸ma alanıdır.

ABD’deki Computer Etics Institute , bilgisayar kullanımı sırasında dikkat edilmesi gereken 10 temel ilke belirlemis¸tir:

  1. Bir bilgisayarı, digˆer insanlara zarar vermek ic¸in kullanmayın.
  2. Digˆer insanların bilgisayar c¸alıs¸malarına karıs¸mayın.
  3. Bas¸kalarının bilgisayar dosyalarına girmeyin.
  4. Bir bilgisayarı c¸almak ic¸in kullanmayın.
  5. Bir bilgisayarı yalancı s¸ahitlik ic¸in kullanmayın.
  6. Bedelini o¨demedigˆiniz bir yazılımı kopyalamayın ve kullanmayın.
  7. Yetkiniz olmadan ve bedelini o¨demeden bas¸kalarının bilgisayar kaynaklarını kullanmayın.
  8. Digˆer insanların fikir eserlerini sahiplenmeyin.
  9. Yazdıgˆınız programın veya tasarladıgˆınız sistemin toplumsal sonuc¸larını du¨s¸u¨nu¨n.
  10. Bir bilgisayarı her zaman digˆer insanları du¨s¸u¨nerek ve saygı go¨stererek kullanın.

I·nternet etigˆi ise internetle ilgi dogˆru ya da yanlıs¸ olarak adlandırılacak hareketlerin kapsamlı bir sınıflandırmasıdır. Bu sınıflama gu¨nu¨mu¨zde ve gelecekte internetin kullanımı, internet u¨zerindeki bilgi ve veri u¨retimi ile ilgili du¨zenlemeleri ic¸ermektedir.

Internet Activities Board tarafından yapılan internet ve etik ac¸ıklamasında kabul edilemez ve etik olmayan davranıs¸lar s¸u s¸ekilde sıralanmıs¸tır:

  • Hakkı olmadan internet kaynaklarına ulas¸ma.
  • Ko¨tu¨ amac¸lı internet kullanmak.
  • Bazı eylemleri yapmak ic¸in kaynakları israf etmek.
  • Bilgisayar tabanlı bilgilerin bu¨tu¨nlu¨gˆu¨nu¨ bozmak.
  • Kullanıcı gizliligˆine mu¨dahale etmek.

I·nternette Bilgi Paylas¸ım Arac¸ları

Gu¨nu¨mu¨zde internette bilgi paylas¸ımı ic¸in en c¸ok kullanılan arac¸lar s¸unlardır:

  • Web siteleri,
  • Arama arac¸ları (motorları),
  • FTP (File Transfer Protocol, Dosya Transfer Protokolu¨) siteleri,
  • E-postalar,
  • Alıs¸veris¸ siteleri,
  • Forum ve sosyal paylas¸ım siteleri,
  • Video ve digˆer medya paylas¸ım siteleri.

Bilis¸im Suc¸luları

Bilgisayarların pek c¸ok faydası olmakla birlikte, maalesef bilgisayarlar bazı suc¸ların is¸lenmesinde de kullanılmaktadır. Bilgisayarlar kimi zaman suc¸luların haberles¸mesi gibi bir suc¸a dolaylı olarak hizmet edebildigˆi gibi, kimi zamanda yasal olmayan kumar oynatmak, sahtecilik, para aklama, c¸ocuk pornosu, ko¨tu¨ propaganda, elektronik maskeleme, s¸antaj, c¸alıntı malların satılması kredi dolandırıcılıgˆı, uyus¸turucu trafigˆi vb. gibi dogˆrudan suc¸ aracı olarak kullanılabilmektedir. Bu¨tu¨n bunlar ek olarak bilgisayarlar aracılıgˆıyla bilgi gu¨venligˆine yo¨nelik saldırılar yapmak ic¸in de kullanılabilir.

Bilgisayar Korsanlarının C¸es¸itleri : Bilgisayar korsanları amac¸larına go¨re farklı gruplara ayrılabilir.

  • Heyecan du¨s¸ku¨nu¨ bilgisayar korsanları,
  • Etik bilgisayar korsanları,
  • Kara s¸apkalı bilgisayar korsanları,
  • Casuslar,
  • Sosyal mu¨hendisler,
  • Dolandırıcılar,
  • Sistem kırıcılar,
  • Eylemci bilgisayar korsanları,
  • Siber tero¨ristler,
  • Amato¨rler.

Bilis¸im Suc¸ları

Bilgisayar suc¸ları konusu iki bas¸lık altında incelenebilir:

  • Ko¨tu¨ amac¸lı yazılımlar ve
  • Sahte sistemler ve kullanıcı ac¸ıkları.

Ko¨tu¨ Amac¸lı Yazılımlar :

Ko¨tu¨ amac¸lı yazılımlar denildigˆinde herkesin aklına ilk gelen viru¨stu¨r. Fakat bu tu¨r yazılımların genel adı “ ko¨tu¨ amac¸lı yazılım ”dır (malware, malicious software). Ko¨tu¨ amac¸lı yazılımlar bilgisayarlara farklı yollarla tas¸ınabilir (CD, DVD, tas¸ınabilir USB, e-posta vb.).

Gu¨nu¨mu¨zde en fazla tehdit altında olan iki sekto¨r;

  • Sanal para madencileri ve
  • Enerji s¸irketleridir.

En fazla yapılan ko¨tu¨ amac¸lı saldırılar ise;

  • Digital gasp,
  • Karmas¸ık saldırılar ve
  • Sosyal medya saldırıları s¸eklinde sıralanabilir.

Bas¸lıca ko¨tu¨ amac¸lı yazılımlar s¸o¨yle sıralanabilir:

  • Viru¨sler (e-posta, makro, o¨nyu¨kleme, betik ve dosya viru¨sleri),
  • Truva atları,
  • Tus¸ ve ekran kaydediciler,
  • Solucanlar (agˆ ve e-posta solucanları),
  • Casus yazılımlar vb. s¸eklinde sıralanabilir.

Sahte Sistemler ve Kullanıcı Ac¸ıkları : “Sahte sistemler ve kullanıcı ac¸ıkları”, dolandırıcılar tarafından degˆerlendirilen ko¨tu¨ amac¸lı is¸lerdir. Bu is¸lerin sonucunda kullanıcılar c¸ogˆunlukla maddi kayıplarla kars¸ılas¸maktadır.

Bas¸lıca dolandırıcılık s¸ekilleri s¸o¨yle sıralanabilir:

  • Sahte web siteleri,
  • Taklit e-posta hesapları,
  • I·stenmeyen e-posta (spam),
  • Olta saldırıları (phishing),
  • Sosyal paylas¸ım ac¸ıkları,
  • Kablosuz agˆ ac¸ıkları,
  • Mobil kullanım ac¸ıkları vb.

Bilgi Gu¨venligˆi O¨nlemleri

Bilgi gu¨venligˆi o¨nlemleri s¸u tu¨r katkılar sagˆlar:

  • I·c¸eriden ve dıs¸arıdan gelecek saldırılara kars¸ı koruma sagˆlar,
  • Her yerde her zaman tu¨m iletis¸imin gizliligˆini sagˆlar,
  • Kullanıcıları ve sistemleri dogˆru s¸ekilde tanımlayarak bilgilere eris¸imi denetler,
  • I·s¸letmeyi daha gu¨venli kılar.

Bilgisayar ve Sistemlere Yo¨nelik O¨nlemler

Bilgisayar ve sistemlere yo¨nelik o¨nlemler s¸o¨yle sıralanabilir:

  • Kimlik yo¨netimi ve dogˆrulama,
  • Kablosuz agˆların gu¨venligˆi,
  • Sistemlere ve verilere saldırıları engelleme,
  • Sistem su¨rekliligˆini sagˆlama ve yazılım kalitesini garanti etme.

E-ticaret I·c¸in O¨nlemler

E-ticarette o¨deme gu¨venligˆi ic¸in iki yo¨ntemden so¨z edilebilir. Bunlar;

  • SSL (Secure Sockets Layer, Gu¨venli Yuva Katmanı) ve
  • SET (Secure Electronic Transaction, Gu¨venli Elektronik I·s¸lem) protokolleridir.

E-ticaret yapan is¸letmelerin dikkat etmesi gereken digˆer genel konular s¸unlardır:

  • Ortalama siparis¸ tutarlarının c¸ok u¨stu¨nde gelen siparis¸ler,
  • I·lk defa c¸ok bu¨yu¨k miktarda alıs¸veris¸ yapan mu¨s¸teriler,
  • Aynı u¨ru¨nden birden fazla ic¸eren siparis¸ler,
  • Benzer kart numaralarıyla pes¸ pes¸e denedikten sonra bas¸arılı olan is¸lemler,
  • Aynı kart bilgisiyle yapılan birden fazla is¸lem,
  • Aynı IP u¨zerinden birden fazla kart kullanımı,
  • Faklı kullanıcı profili ile aynı kart bilgilerinin kullanımı,
  • Profil bilgilerindeki bilgilerin yanlıs¸ veya eksik olması,
  • Fatura adresinden farklı yerden c¸ıkan IP’lerden yapılan is¸lemler,

Sosyal Paylas¸ım I·c¸in O¨nlemler

Anketler, tıklama kac¸ırma, konum belirleme ve arkadas¸sec¸imi olarak sıralanabilir.

Mobil Cihazlar I·c¸in O¨nlemler

I·s¸letmelerin bilis¸im konusuyla ilgilenen bo¨lu¨mlerinin ya da is¸letmenin boyutuna go¨re bilis¸imle ilgilenen kis¸i ya da kis¸ilerin mobil cihazlar konusunda bas¸lıca yapması gerekenler s¸o¨yle sıralanabilir:

  • Mobil cihazların envanterini tutmak,
  • Gu¨ncellemeler,
  • Gu¨venlik,
  • Kullanım konusunda kullanıcıları uyarmak,
  • Arızalı ve sorunlu cihazları onarmak veya envanterden c¸ıkarmak s¸eklinde sıralanabilir.

Bilis¸im Konusundaki Yasal Du¨zenlemeler

Bilginin go¨rsel, yazılı ve sesli olarak paylas¸ıldıgˆı ve her an artarak paylas¸ılmaya devam ettigˆi gu¨nu¨mu¨z bilgi toplumunda bilis¸im sistemlerinin, bilgisayarların, mobil cihazların ve agˆların hukuka aykırı eylemlere amac¸ ya da arac¸ olması kac¸ınılmazdır.

Bilis¸im Suc¸ları Alanında Yapılmıs¸ Olan Uluslararası C¸alıs¸malar

Bilis¸im suc¸larına ilis¸kin ilk yasa teklifi 1977 yılında ABD kongresine sunulmus¸tur. Avrupa’da ise 1974 yılında yapılan bir toplantıyla konu ele alınmıs¸tır. 1970’li yılların sonunda ise pek c¸ok Avrupa u¨lkesi verilerin korunması konusunda o¨zel yasalar c¸ıkarmıs¸tır. Bu du¨zenlemelerin yetersiz kalmasıyla kis¸isel verilerin otomatik is¸leme tabi tutulması kars¸ısında bireyin korunmasına ilis¸kin 108 sayılı so¨zles¸me 1981 yılında Avrupa konseyi u¨yeleri ve Tu¨rkiye tarafından imzalanmıs¸tır. 1986 yılında Bilgisayarla ilgili suc¸: Hukuki politikaların analizi raporu yayınlanmıs¸tır.

1995 yılında kabul edilen c¸alıs¸maya go¨re, bilis¸im teknolojilerinin getirdigˆi yeniliklere go¨re ceza yasalarındaki sorus¸turma ve el koymaya ait hu¨ku¨mlerin degˆis¸tirilmesi, elektronik delil, s¸ifreleme, sistemlerin kullanılması, uluslararası is¸birligˆi bas¸lıkları altında ceza yasalarında degˆis¸iklikler ic¸in yeterli kurallar konmus¸tur.

1997 de yapılan G8 u¨yesi u¨lkelerin ic¸ ve dıs¸ is¸leri bakanları toplantısında ileri teknoloji suc¸ları gu¨ndeme alınmıs¸ ve bir eylem planı belirlenmis¸tir. Bu plana go¨re;

  • I·letis¸im ve bilgisayar sistemlerine yapılan izinsiz mu¨dahalelere ceza verilmesi konusunda u¨ye u¨lkelerin hukuk sistemlerinin go¨zden gec¸irilmesine ve ileri teknoloji suc¸ları konusunda yapılan aras¸tırmalara yardımcı olunmasına,
  • Gerekli durumlarda kars¸ılıklı yardım anlas¸maları ve du¨zenlemeleri yapılmasına,
  • Yer tespiti yapılamayan verilerin ve bilgisayarların aras¸tırılması ile delillerin korunmasında yardımlas¸ılmasına,
  • Tu¨m u¨lkeler arasında iletis¸im sistemlerinden veri sagˆlanması ic¸in kuralların du¨zenlenmesine ve yo¨ntemlerin hızlandırılmasına,
  • I·leri teknoloji suc¸larıyla savas¸abilmek ic¸in sanayi ile is¸birligˆi yapılmasına karar verilmis¸tir.

Bu konuda yapılan en kapsamlı du¨zenleme 2001 yılında Avrupa konseyi u¨yesi 26 u¨lke, ABD, Japonya, Kanada ve Gu¨ney Afrika Cumhuriyeti tarafından imzalanan Avrupa Birligˆi Siber Suc¸lar So¨zles¸mesi dir. Bu so¨zles¸me ile siber suc¸lar do¨rt ana bas¸lıkta toplanmıs¸tır;

  • Bilgisayar veri ve sistemlerinin gizliligˆine ve bu¨tu¨nlu¨gˆu¨ne kars¸ı suc¸lar,
  • Bilgisayarla ilis¸kili suc¸lar,
  • I·c¸erikle ilgili suc¸lar,
  • Telif hakları ve benzeri hakların ihlaliyle ilgili suc¸lar.

Tu¨rkiye’de Bilis¸im Suc¸ları ve Cezaları

U¨lkemizde bilis¸im suc¸ları ilk kez 1991 yılında ceza kanununa girmis¸tir. 2004 yılında yapılan degˆis¸iklikle bilis¸im suc¸ları tanımlanmıs¸ ve c¸es¸itli hu¨ku¨mler ceza kanununda yer almıs¸tır. Ceza kanununun 243, 244, 245 ve 246 numaralı maddeleri bu tanımlama ve cezaları ic¸ermektedir.

Madde 243 “Bilis¸im sistemine girme” bas¸lıgˆını tas¸ımaktadır. Bir bilis¸im sistemine giren ve orada kalmaya devam eden kimsenin bir yıla kadar hapis ya da para cezasına c¸arptırılacagˆı so¨ylenmektedir.

244. maddenin bas¸lıgˆı “Sistemi engelleme, bozma, verileri yok etme ya da degˆis¸tirme”dir. Bu madde kapsamında “engelleme” ya da “bozma” eylemini gerc¸ekles¸tiren kis¸inin bir yıldan bes¸ yıla kadar hapis cezasına c¸arptırılacagˆı belirtilmektedir.

245. maddede ise “Banka veya kredi kartlarının ko¨tu¨ye kullanılması” bas¸lıgˆı altında bas¸kasına ait kredi ya da banka kartını ele gec¸iren, elinde bulunduran, kart sahibinin istegˆi dıs¸ında kullanan kis¸ilere u¨c¸ yıldan altı yıla kadar hapis ve para cezası verilecegˆi so¨ylenmis¸tir.

5846 sayılı “Fikir ve Sanat Eserleri Kanunu” kapsamında bulunan 72. Maddenin bas¸lıgˆı “Koruyucu Programları Etkisiz Kılmaya Yo¨nelik Hazırlık Hareketleri”dir. Bas¸lıktan da anlas¸ılacagˆı u¨zere bu da bir bilis¸im suc¸udur. Madde s¸u s¸ekildedir: “Bir bilgisayar programının hukuka aykırı olarak c¸ogˆaltılmasının o¨nu¨ne gec¸mek amacıyla olus¸turulmus¸ ilave programları etkisiz kılmaya yo¨nelik program veya teknik donanımları u¨reten, satıs¸a arz eden, satan veya kis¸isel kullanım amacı dıs¸ında elinde bulunduran kis¸i altı aydan iki yıla kadar hapis cezasıyla cezalandırılır.”

U¨lkemizde bilis¸im suc¸ları ile ilgili olan bas¸ka bir kanun da 5651 sayılı “I·nternet Ortamında Yapılan Yayınların Du¨zenlenmesi ve Bu Yayınlar Yoluyla I·s¸lenen Suc¸larla Mu¨cadele Edilmesi Hakkında Kanun”dur. Bu kanun kapsamında I·nternet hizmeti ile ilgili gereklerin yanı sıra suc¸ olus¸turacak durumlar anlatılmıs¸, verilecek cezalar belirtilmis¸tir ve 5237 sayılı yasa kapsamında bulunan suc¸lara atıflar yapılmıs¸tır.