E-İŞ SÜREÇLERİ - Ünite 8: Bilgi Güvenliği Yönetimi Özeti :
PAYLAŞ:U¨nite 8: Bilgi Gu¨venligˆi Yo¨netimi
Giris¸
I·letis¸im ve bilgi teknolojileri 2000’li yıllardan bas¸layarak c¸ok bu¨yu¨k bir hızla gelis¸meye devam etmektedir. Gec¸mis¸e go¨re c¸ok bu¨yu¨k kolaylıkla elde edebildigˆimiz elektronik cihazlarla bilgi is¸leme ve depolama is¸lerini yapabilmekteyiz. Fakat bilgileri is¸lerken ve depolarken birc¸ok kis¸inin ve is¸letmelerin unuttugˆu ya da atladıgˆı bir konu vardır; bilgi gu¨venligˆi.
Bilgisayarlar bilgileri is¸lemek depolamak, internet ise bilgileri paylas¸mak ic¸in vardır . Fakat bu¨tu¨n bunları yaparken bilgilerin gu¨venligˆinden emin olmalıyız.
Gu¨nu¨mu¨zde kis¸isel bilgisayarlara, kamu ve o¨zel sekto¨rde kullanılan bilgisayarlara ve agˆlara birc¸ok saldırı du¨zenlenmekte ve bu saldırılar sonucu kis¸isel ve finansal bilgiler, sırlar kaybedilmekte veya bu bilgilerden c¸ıkar sagˆlamak pes¸indeki suc¸luların eline gec¸mektedir.
Bilgi sistemlerinin gu¨venligˆinin sagˆlanmasına yo¨nelik faaliyetler bir su¨rec¸ olarak bilgi gu¨venligˆi yo¨netimi olarak adlandırılabilir.
Bilgi Gu¨venligˆi
Bilgi gu¨venligˆi stratejileri ve bunları yo¨netecek uygun yo¨ntemleri olmayan kurumlar sadece gu¨venlik ac¸ısından degˆil her tu¨rlu¨ is¸ su¨rec¸leri ac¸ısından ciddi sıkıntılar maddi ve manevi kayıplar yas¸amaktadırlar. I·s¸letmeler, gizlilik gerektiren konularda, bilgilerde, veri iletis¸iminde, is¸ su¨rec¸lerinde gizliligˆi korumak ve gu¨venligˆi sagˆlamak zorundadırlar.
Bilgi gu¨venligˆi elektronik ortamlarda verilerin bilgilerin saklanması ve tas¸ınması sırasında bilgilerin bu¨tu¨nlu¨gˆu¨ bozulmadan izinsiz eris¸imlerden korunması ic¸in, gu¨venli bir bilgi is¸lem platformu olus¸turma c¸abalarının tu¨mu¨du¨r.
Bilgiye ilis¸kin bu¨tu¨n arac¸larla birlikte bunları kullanan kis¸ileri de denetleyen bir anlayıs¸tır. Bilgi gu¨venligˆinin u¨c¸ temel amacı vardır:
- Gizlilik,
- Kullanıma hazır tutma,
- Tutarlılık.
Bilgi Gu¨venligˆi Yo¨netimi
Bilgi Gu¨venligˆi Yo¨netim Sistemi (BGYS), bilgi gu¨venligˆini korumak, is¸letmek, izlemek ve gelis¸tirmek ic¸in risk yaklas¸ımlarına go¨re hazırlanmıs¸ yo¨ntemleri kesintisiz is¸lerligˆi ile garanti altına alan yo¨netim sistemidir . Bilgi gu¨venligˆi yo¨netimi ic¸in belirlenmis¸ standartlardan en c¸ok kullanılanı I·SO 27.000 ailesidir.
BGYS standardında is¸lemler gu¨venlik o¨nlemlerinin belirlenip kurulması, uygulanması, etkinligˆinin go¨zden gec¸irilmesi ve iyiles¸tirilmesi su¨rec¸lerini ic¸erir ve bu bir do¨ngu¨ s¸eklinde is¸ler. Bu su¨rec¸ler kısaca planla, uygula, kontrol et, o¨nlem al yani PUKO¨ do¨ngu¨su¨nden olus¸an bir risk modeliyle is¸ler (S:243, S¸ekil 8.1).
Bilgi Gu¨venligˆi Yo¨netiminde I·c¸ Tehditler : Bilgi gu¨venligˆine yo¨nelik yasalar, teknolojik c¸o¨zu¨mler, yo¨ntemler hızla gelis¸mesine ragˆmen bilgi gu¨venligˆinde kayıplar, zararlar, ac¸ıklar ve sorunlar devam etmektedir. Bunun bas¸lıca nedeni is¸letmelerin ic¸ tehdit unsurları veya ic¸ tehdit denilen konuları unutması veya go¨z ardı etmesidir. Bunlar;
- Bilgi hırsızlıgˆı ve sanayi casuslugˆu,
- Bilgilerin depolanması,
- Yetki ve eris¸im,
- Bilgi gu¨venligˆi ic¸in dogˆru c¸o¨zu¨mu¨n bulunması,
- Bilgi gu¨venligˆinin bir su¨rec¸ olması ve
- Tam gu¨venliktir.
Gu¨venligˆin teknolojiden o¨nce insana yatırım yapılmasıyla, bilinc¸lendirmeyle, kurumların en u¨stten bas¸layarak bilgilendirilmesi, desteklenmesi ve o¨nemsenmesiyle sagˆlanacagˆı ve gu¨venligˆin su¨rekli yo¨netilecek bir su¨rec¸ oldugˆu unutulmamalıdır.
Bilgi Gizliligˆi
Bilgisayarlar verileri is¸ler, I·nternet ise verileri paylas¸ır. Bilgisayar ve I·nternet birles¸tigˆinde ise;
- U¨ret,
- Sakla ve
- Paylas¸ sıralaması ortaya c¸ıkmaktadır (S:244, S¸ekil 8.2).
Verilerin bilgisayarda saklanması ve internetten paylas¸ılması, iki sonuc¸ dogˆurur;
- I·lki bilgisayarların amacı verileri korumak degˆildir,
- I·kincisi ise internet, verileri paylas¸mak ve yaymak ic¸indir.
Kis¸inin ve kurumların istegˆi ve rızası olmadan bilgi toplanması bilgi gizliligˆi konusunda degˆerlendirilebilir. Gizlilik , gizli olma durumu, mahremiyet olarak tanımlanabilir.
Kis¸inin istedigˆi zaman yalnız kalabilme hakkına sahip olması da ve izni olmadan go¨zlenmeden kis¸isel mu¨lkiyeti u¨zerinde kontrol sahibi olması da bilgi gizliligˆi kapsamında ele alınabilir.
Bilgi Etigˆi
Etik c¸ok eski bir kavram olmakla birlikte, yas¸anmakta olan c¸agˆın ve gu¨nu¨n gerekliliklerine go¨res¸ekillenmektedir. Gu¨nu¨mu¨zde bilginin dogˆrulugˆu, gizliligˆi, kime ait oldugˆu gibi konular u¨zerinde odaklanmaktadır.
Etik kavramı Tu¨rkc¸e so¨zlu¨kte hem ahlaklı olmak, hem de c¸es¸itli meslek kolları arasında tarafların uyması veya kac¸ınması gereken davranıs¸lar bu¨tu¨nu¨ olarak tanımlanmaktadır.
Bilginin nasıl toplandıgˆı ve kullanıldıgˆı kis¸inin etik anlayıs¸ına bagˆlıdır. Yasaları bilmek her zaman yeterli olmaz c¸u¨nku¨ bazen etik olmayan yasaldır, bazen de etik olan yasal degˆildir (S:245, S¸ekil 8.3).
Bilgisayar ve I·nternet Etigˆi : Bilgisayar etigˆi internet etigˆini de kapsayan genis¸ bir kavramdır. Bilgisayar etigˆi, su¨rekli gelis¸mekte olan bilgisayar teknolojileri, yeni olus¸turulan kavramlar, su¨regelen gelis¸tirilen politikalar ve toplumların degˆerleri arasındaki ilis¸kileri ele alan dinamik ve karmas¸ık bir c¸alıs¸ma alanıdır.
ABD’deki Computer Etics Institute , bilgisayar kullanımı sırasında dikkat edilmesi gereken 10 temel ilke belirlemis¸tir:
- Bir bilgisayarı, digˆer insanlara zarar vermek ic¸in kullanmayın.
- Digˆer insanların bilgisayar c¸alıs¸malarına karıs¸mayın.
- Bas¸kalarının bilgisayar dosyalarına girmeyin.
- Bir bilgisayarı c¸almak ic¸in kullanmayın.
- Bir bilgisayarı yalancı s¸ahitlik ic¸in kullanmayın.
- Bedelini o¨demedigˆiniz bir yazılımı kopyalamayın ve kullanmayın.
- Yetkiniz olmadan ve bedelini o¨demeden bas¸kalarının bilgisayar kaynaklarını kullanmayın.
- Digˆer insanların fikir eserlerini sahiplenmeyin.
- Yazdıgˆınız programın veya tasarladıgˆınız sistemin toplumsal sonuc¸larını du¨s¸u¨nu¨n.
- Bir bilgisayarı her zaman digˆer insanları du¨s¸u¨nerek ve saygı go¨stererek kullanın.
I·nternet etigˆi ise internetle ilgi dogˆru ya da yanlıs¸ olarak adlandırılacak hareketlerin kapsamlı bir sınıflandırmasıdır. Bu sınıflama gu¨nu¨mu¨zde ve gelecekte internetin kullanımı, internet u¨zerindeki bilgi ve veri u¨retimi ile ilgili du¨zenlemeleri ic¸ermektedir.
Internet Activities Board tarafından yapılan internet ve etik ac¸ıklamasında kabul edilemez ve etik olmayan davranıs¸lar s¸u s¸ekilde sıralanmıs¸tır:
- Hakkı olmadan internet kaynaklarına ulas¸ma.
- Ko¨tu¨ amac¸lı internet kullanmak.
- Bazı eylemleri yapmak ic¸in kaynakları israf etmek.
- Bilgisayar tabanlı bilgilerin bu¨tu¨nlu¨gˆu¨nu¨ bozmak.
- Kullanıcı gizliligˆine mu¨dahale etmek.
I·nternette Bilgi Paylas¸ım Arac¸ları
Gu¨nu¨mu¨zde internette bilgi paylas¸ımı ic¸in en c¸ok kullanılan arac¸lar s¸unlardır:
- Web siteleri,
- Arama arac¸ları (motorları),
- FTP (File Transfer Protocol, Dosya Transfer Protokolu¨) siteleri,
- E-postalar,
- Alıs¸veris¸ siteleri,
- Forum ve sosyal paylas¸ım siteleri,
- Video ve digˆer medya paylas¸ım siteleri.
Bilis¸im Suc¸luları
Bilgisayarların pek c¸ok faydası olmakla birlikte, maalesef bilgisayarlar bazı suc¸ların is¸lenmesinde de kullanılmaktadır. Bilgisayarlar kimi zaman suc¸luların haberles¸mesi gibi bir suc¸a dolaylı olarak hizmet edebildigˆi gibi, kimi zamanda yasal olmayan kumar oynatmak, sahtecilik, para aklama, c¸ocuk pornosu, ko¨tu¨ propaganda, elektronik maskeleme, s¸antaj, c¸alıntı malların satılması kredi dolandırıcılıgˆı, uyus¸turucu trafigˆi vb. gibi dogˆrudan suc¸ aracı olarak kullanılabilmektedir. Bu¨tu¨n bunlar ek olarak bilgisayarlar aracılıgˆıyla bilgi gu¨venligˆine yo¨nelik saldırılar yapmak ic¸in de kullanılabilir.
Bilgisayar Korsanlarının C¸es¸itleri : Bilgisayar korsanları amac¸larına go¨re farklı gruplara ayrılabilir.
- Heyecan du¨s¸ku¨nu¨ bilgisayar korsanları,
- Etik bilgisayar korsanları,
- Kara s¸apkalı bilgisayar korsanları,
- Casuslar,
- Sosyal mu¨hendisler,
- Dolandırıcılar,
- Sistem kırıcılar,
- Eylemci bilgisayar korsanları,
- Siber tero¨ristler,
- Amato¨rler.
Bilis¸im Suc¸ları
Bilgisayar suc¸ları konusu iki bas¸lık altında incelenebilir:
- Ko¨tu¨ amac¸lı yazılımlar ve
- Sahte sistemler ve kullanıcı ac¸ıkları.
Ko¨tu¨ Amac¸lı Yazılımlar :
Ko¨tu¨ amac¸lı yazılımlar denildigˆinde herkesin aklına ilk gelen viru¨stu¨r. Fakat bu tu¨r yazılımların genel adı “ ko¨tu¨ amac¸lı yazılım ”dır (malware, malicious software). Ko¨tu¨ amac¸lı yazılımlar bilgisayarlara farklı yollarla tas¸ınabilir (CD, DVD, tas¸ınabilir USB, e-posta vb.).
Gu¨nu¨mu¨zde en fazla tehdit altında olan iki sekto¨r;
- Sanal para madencileri ve
- Enerji s¸irketleridir.
En fazla yapılan ko¨tu¨ amac¸lı saldırılar ise;
- Digital gasp,
- Karmas¸ık saldırılar ve
- Sosyal medya saldırıları s¸eklinde sıralanabilir.
Bas¸lıca ko¨tu¨ amac¸lı yazılımlar s¸o¨yle sıralanabilir:
- Viru¨sler (e-posta, makro, o¨nyu¨kleme, betik ve dosya viru¨sleri),
- Truva atları,
- Tus¸ ve ekran kaydediciler,
- Solucanlar (agˆ ve e-posta solucanları),
- Casus yazılımlar vb. s¸eklinde sıralanabilir.
Sahte Sistemler ve Kullanıcı Ac¸ıkları : “Sahte sistemler ve kullanıcı ac¸ıkları”, dolandırıcılar tarafından degˆerlendirilen ko¨tu¨ amac¸lı is¸lerdir. Bu is¸lerin sonucunda kullanıcılar c¸ogˆunlukla maddi kayıplarla kars¸ılas¸maktadır.
Bas¸lıca dolandırıcılık s¸ekilleri s¸o¨yle sıralanabilir:
- Sahte web siteleri,
- Taklit e-posta hesapları,
- I·stenmeyen e-posta (spam),
- Olta saldırıları (phishing),
- Sosyal paylas¸ım ac¸ıkları,
- Kablosuz agˆ ac¸ıkları,
- Mobil kullanım ac¸ıkları vb.
Bilgi Gu¨venligˆi O¨nlemleri
Bilgi gu¨venligˆi o¨nlemleri s¸u tu¨r katkılar sagˆlar:
- I·c¸eriden ve dıs¸arıdan gelecek saldırılara kars¸ı koruma sagˆlar,
- Her yerde her zaman tu¨m iletis¸imin gizliligˆini sagˆlar,
- Kullanıcıları ve sistemleri dogˆru s¸ekilde tanımlayarak bilgilere eris¸imi denetler,
- I·s¸letmeyi daha gu¨venli kılar.
Bilgisayar ve Sistemlere Yo¨nelik O¨nlemler
Bilgisayar ve sistemlere yo¨nelik o¨nlemler s¸o¨yle sıralanabilir:
- Kimlik yo¨netimi ve dogˆrulama,
- Kablosuz agˆların gu¨venligˆi,
- Sistemlere ve verilere saldırıları engelleme,
- Sistem su¨rekliligˆini sagˆlama ve yazılım kalitesini garanti etme.
E-ticaret I·c¸in O¨nlemler
E-ticarette o¨deme gu¨venligˆi ic¸in iki yo¨ntemden so¨z edilebilir. Bunlar;
- SSL (Secure Sockets Layer, Gu¨venli Yuva Katmanı) ve
- SET (Secure Electronic Transaction, Gu¨venli Elektronik I·s¸lem) protokolleridir.
E-ticaret yapan is¸letmelerin dikkat etmesi gereken digˆer genel konular s¸unlardır:
- Ortalama siparis¸ tutarlarının c¸ok u¨stu¨nde gelen siparis¸ler,
- I·lk defa c¸ok bu¨yu¨k miktarda alıs¸veris¸ yapan mu¨s¸teriler,
- Aynı u¨ru¨nden birden fazla ic¸eren siparis¸ler,
- Benzer kart numaralarıyla pes¸ pes¸e denedikten sonra bas¸arılı olan is¸lemler,
- Aynı kart bilgisiyle yapılan birden fazla is¸lem,
- Aynı IP u¨zerinden birden fazla kart kullanımı,
- Faklı kullanıcı profili ile aynı kart bilgilerinin kullanımı,
- Profil bilgilerindeki bilgilerin yanlıs¸ veya eksik olması,
- Fatura adresinden farklı yerden c¸ıkan IP’lerden yapılan is¸lemler,
Sosyal Paylas¸ım I·c¸in O¨nlemler
Anketler, tıklama kac¸ırma, konum belirleme ve arkadas¸sec¸imi olarak sıralanabilir.
Mobil Cihazlar I·c¸in O¨nlemler
I·s¸letmelerin bilis¸im konusuyla ilgilenen bo¨lu¨mlerinin ya da is¸letmenin boyutuna go¨re bilis¸imle ilgilenen kis¸i ya da kis¸ilerin mobil cihazlar konusunda bas¸lıca yapması gerekenler s¸o¨yle sıralanabilir:
- Mobil cihazların envanterini tutmak,
- Gu¨ncellemeler,
- Gu¨venlik,
- Kullanım konusunda kullanıcıları uyarmak,
- Arızalı ve sorunlu cihazları onarmak veya envanterden c¸ıkarmak s¸eklinde sıralanabilir.
Bilis¸im Konusundaki Yasal Du¨zenlemeler
Bilginin go¨rsel, yazılı ve sesli olarak paylas¸ıldıgˆı ve her an artarak paylas¸ılmaya devam ettigˆi gu¨nu¨mu¨z bilgi toplumunda bilis¸im sistemlerinin, bilgisayarların, mobil cihazların ve agˆların hukuka aykırı eylemlere amac¸ ya da arac¸ olması kac¸ınılmazdır.
Bilis¸im Suc¸ları Alanında Yapılmıs¸ Olan Uluslararası C¸alıs¸malar
Bilis¸im suc¸larına ilis¸kin ilk yasa teklifi 1977 yılında ABD kongresine sunulmus¸tur. Avrupa’da ise 1974 yılında yapılan bir toplantıyla konu ele alınmıs¸tır. 1970’li yılların sonunda ise pek c¸ok Avrupa u¨lkesi verilerin korunması konusunda o¨zel yasalar c¸ıkarmıs¸tır. Bu du¨zenlemelerin yetersiz kalmasıyla kis¸isel verilerin otomatik is¸leme tabi tutulması kars¸ısında bireyin korunmasına ilis¸kin 108 sayılı so¨zles¸me 1981 yılında Avrupa konseyi u¨yeleri ve Tu¨rkiye tarafından imzalanmıs¸tır. 1986 yılında Bilgisayarla ilgili suc¸: Hukuki politikaların analizi raporu yayınlanmıs¸tır.
1995 yılında kabul edilen c¸alıs¸maya go¨re, bilis¸im teknolojilerinin getirdigˆi yeniliklere go¨re ceza yasalarındaki sorus¸turma ve el koymaya ait hu¨ku¨mlerin degˆis¸tirilmesi, elektronik delil, s¸ifreleme, sistemlerin kullanılması, uluslararası is¸birligˆi bas¸lıkları altında ceza yasalarında degˆis¸iklikler ic¸in yeterli kurallar konmus¸tur.
1997 de yapılan G8 u¨yesi u¨lkelerin ic¸ ve dıs¸ is¸leri bakanları toplantısında ileri teknoloji suc¸ları gu¨ndeme alınmıs¸ ve bir eylem planı belirlenmis¸tir. Bu plana go¨re;
- I·letis¸im ve bilgisayar sistemlerine yapılan izinsiz mu¨dahalelere ceza verilmesi konusunda u¨ye u¨lkelerin hukuk sistemlerinin go¨zden gec¸irilmesine ve ileri teknoloji suc¸ları konusunda yapılan aras¸tırmalara yardımcı olunmasına,
- Gerekli durumlarda kars¸ılıklı yardım anlas¸maları ve du¨zenlemeleri yapılmasına,
- Yer tespiti yapılamayan verilerin ve bilgisayarların aras¸tırılması ile delillerin korunmasında yardımlas¸ılmasına,
- Tu¨m u¨lkeler arasında iletis¸im sistemlerinden veri sagˆlanması ic¸in kuralların du¨zenlenmesine ve yo¨ntemlerin hızlandırılmasına,
- I·leri teknoloji suc¸larıyla savas¸abilmek ic¸in sanayi ile is¸birligˆi yapılmasına karar verilmis¸tir.
Bu konuda yapılan en kapsamlı du¨zenleme 2001 yılında Avrupa konseyi u¨yesi 26 u¨lke, ABD, Japonya, Kanada ve Gu¨ney Afrika Cumhuriyeti tarafından imzalanan Avrupa Birligˆi Siber Suc¸lar So¨zles¸mesi dir. Bu so¨zles¸me ile siber suc¸lar do¨rt ana bas¸lıkta toplanmıs¸tır;
- Bilgisayar veri ve sistemlerinin gizliligˆine ve bu¨tu¨nlu¨gˆu¨ne kars¸ı suc¸lar,
- Bilgisayarla ilis¸kili suc¸lar,
- I·c¸erikle ilgili suc¸lar,
- Telif hakları ve benzeri hakların ihlaliyle ilgili suc¸lar.
Tu¨rkiye’de Bilis¸im Suc¸ları ve Cezaları
U¨lkemizde bilis¸im suc¸ları ilk kez 1991 yılında ceza kanununa girmis¸tir. 2004 yılında yapılan degˆis¸iklikle bilis¸im suc¸ları tanımlanmıs¸ ve c¸es¸itli hu¨ku¨mler ceza kanununda yer almıs¸tır. Ceza kanununun 243, 244, 245 ve 246 numaralı maddeleri bu tanımlama ve cezaları ic¸ermektedir.
Madde 243 “Bilis¸im sistemine girme” bas¸lıgˆını tas¸ımaktadır. Bir bilis¸im sistemine giren ve orada kalmaya devam eden kimsenin bir yıla kadar hapis ya da para cezasına c¸arptırılacagˆı so¨ylenmektedir.
244. maddenin bas¸lıgˆı “Sistemi engelleme, bozma, verileri yok etme ya da degˆis¸tirme”dir. Bu madde kapsamında “engelleme” ya da “bozma” eylemini gerc¸ekles¸tiren kis¸inin bir yıldan bes¸ yıla kadar hapis cezasına c¸arptırılacagˆı belirtilmektedir.
245. maddede ise “Banka veya kredi kartlarının ko¨tu¨ye kullanılması” bas¸lıgˆı altında bas¸kasına ait kredi ya da banka kartını ele gec¸iren, elinde bulunduran, kart sahibinin istegˆi dıs¸ında kullanan kis¸ilere u¨c¸ yıldan altı yıla kadar hapis ve para cezası verilecegˆi so¨ylenmis¸tir.
5846 sayılı “Fikir ve Sanat Eserleri Kanunu” kapsamında bulunan 72. Maddenin bas¸lıgˆı “Koruyucu Programları Etkisiz Kılmaya Yo¨nelik Hazırlık Hareketleri”dir. Bas¸lıktan da anlas¸ılacagˆı u¨zere bu da bir bilis¸im suc¸udur. Madde s¸u s¸ekildedir: “Bir bilgisayar programının hukuka aykırı olarak c¸ogˆaltılmasının o¨nu¨ne gec¸mek amacıyla olus¸turulmus¸ ilave programları etkisiz kılmaya yo¨nelik program veya teknik donanımları u¨reten, satıs¸a arz eden, satan veya kis¸isel kullanım amacı dıs¸ında elinde bulunduran kis¸i altı aydan iki yıla kadar hapis cezasıyla cezalandırılır.”
U¨lkemizde bilis¸im suc¸ları ile ilgili olan bas¸ka bir kanun da 5651 sayılı “I·nternet Ortamında Yapılan Yayınların Du¨zenlenmesi ve Bu Yayınlar Yoluyla I·s¸lenen Suc¸larla Mu¨cadele Edilmesi Hakkında Kanun”dur. Bu kanun kapsamında I·nternet hizmeti ile ilgili gereklerin yanı sıra suc¸ olus¸turacak durumlar anlatılmıs¸, verilecek cezalar belirtilmis¸tir ve 5237 sayılı yasa kapsamında bulunan suc¸lara atıflar yapılmıs¸tır.