Uygulamada farklılıklar bulunmakla birlikte bilgi güvenliği konusunda temel standartlar aynıdır:

• Kimliğin doğruluğu: İşlemleri tam olarak kimin yaptığı bilinmelidir.
• Yetki kontrolü: Kişinin yetkisine uygun işler yapmasıdır.
• Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin erişimlerinin engellenmesidir.
• Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi bilgiler kimseyle paylaşılmamalıdır.
• Verinin bütünlüğünün korunması: Gerçek hayatta fatura ve resmi belge gibi varlıklar elektronik ortamda parçalara bölünerek saklanır. Bu parçalardan herhangi biri bozulursa yapılmak istenen işlem farklı bir anlam kazanır.
• İzleme: Yetkisiz erişim durumunda bunun kimin tarafından yapıldığı ve sistemin nerelerini etkilediğini tespit etmek için sistem sürekli izlenmeli ve izlenme sonuçları kaydedilmelidir.

İnternet gibi büyük kamu ağları sanal olarak herkese açık olduklarından iç ağlardan daha fazla saldırıya açıktırlar. İnternet öyle büyüktür ki kötüye kullanımlar olduğunda etkisi çok yaygın olabilir. İnternet kurumsal bir ağın parçası olduğunda işletmenin bilgi sistemi dışarıdan gelen etkilere daha da açık hale gelir. Kablolu modemlerle veya dijital abone (DSL- digital subscriber line) hatlarıyla İnternete devamlı bağlı olan bilgisayarlar kolayca tanınabilecekleri sabit İnternet adresleri sunduğundan dışarıdan girişlere daha açıktır. Sa­bit bir İnternet adresi hackerlar için sabit bir hedef oluşturur. E-posta, anlık mesajlaşma ve denkler arası paylaşım programlarının yaygın kullanımı tehditlere açık olma durumunu arttırmıştır. E-posta kötü yazılımlar veya iç kurumsal sistemlere yetkisiz erişim için bir atlama tahtası hizmeti gören ekler içerebilir. İşletme çalışanları e-posta mesajlarını de­ğerli ticari sırları, finansal verileri veya gizli müşteri bilgilerini yetkisiz alıcılara aktarmak için kullanabilirler. Tüketiciler için popüler anlık mesajlaşma yazılı mesajlar için güven­li bir ortam kullanmamaktadır, bu yüzden genel İnternet üzerinden aktarım yaparken engellenebilir ve dışarıdan okunabilir. Yasadışı müzik paylaşımı gibi denkler arası ağlar üzerinden dosyaların paylaşımı zararlı yazılımları taşıyabilir veya bireysel veya kurumsal bilgisayarlardaki bilgileri dışarıdakilere sunabilir.

Kablosuz Güvenlik Sıkıntıları

Havalimanında, kütüphanede veya diğer kamusal alanlarda kablosuz ağlara bağlanmak güvenli midir? Bu ne kadar tedbirli olduğunuza bağlıdır. Evinizde kablosuz ağ bile olsa saldırılara açıktır çünkü radyo frekans bantlarını görüntülemesi kolaydır. Hem Bluetooth hem de Wi-Fi ağları bilgisayar korsanı (hacker) saldırılarına yatkındır

Kötü Amaçlı Yazılım: Virüsler, Solucanlar, Truva Atları ve Casus Yazılımlar

Kötü amaçlı yazılım programları bilgisayar virüsleri, solucanlar ve Truva atları gibi birçok tehdit içermektedir. Virüsler, en tehlikeli ve en eski kötü amaçlı yazılımlar olarak kabul edilmektedirler. Organizmalardaki hücrelere bulaşan küçük parçacıklar olarak tanımlanan biyolojik virüslerden esinlenerek adlandırılan bilgisayar virüsleri, kendi kopyalarını çalıştırılabilir diğer kodlara veya belgelere yerleştirilerek yayılan ve kendi kendine çoğalan programlardır. Ekranda rahatsız edici, çalışmaya kısa süreliğine de olsa mani olan mesajlar göstermek gibi zararsız sayılabilecek türlerinin de bulunmasına karşın, çoğu virüs programlarının, önemli dosyaları silmek veya konak (host) sistemini tamamen çalışmaz hale getirmek gibi yıkıcı etkileri bulunmaktadır.

Birçok güncel saldırı solucanlardan gelmektedir. Bilgisayar virüslerine benzer bir yapıda olan solucanlar, virüsler gibi bir başka çalıştırılabilir programa kendisini iliştirmez veya bu programın parçası olmazlar. Solucanlar, yayılmak için başka bir programa veya virüslerde olduğu gibi insan etkileşimine ihtiyaç duymayan, kendi kendini çoğaltan bir yapı arz ederler. Bu da solucanların neden bilgisayar virüslerinden daha hızlı yayıldığını açıklamaktadır. Solucanlar verilere ve programlara zarar vermenin yanında bilgisayar ağlarının çalışmasını engelleyebilir hatta durdurabilirler.

Truva atları saldırganlara ağ portu üzerinden yasal olmayan erişim sağlayabilecekleri arka kapı açan yazılımlardır. Truva atları bulaştıkları makine üzerinde uzaktan yönetim yazılım gibi de çalışabilirler (Nizam, 2014: 309). Truva atları çoğalmadığından kendisi bir virüs değildir ancak virüslerin veya diğer zararlı kodların bir bilgisayar sistemine girmesi için bir yoldur.

Casus yazılımların da bazı türleri kötü amaçlı yazılım gibi hareket eder. Casus yazılım, kullanıcılara ait önemli bilgilerin ve kullanıcının yaptığı işlemlerin, kullanıcının bilgisi olmadan toplanmasını ve bu bilgilerin kötü niyetli kişilere gönderilmesini sağlayan yazı­lım olarak tanımlanır. Bazı kaynaklarda dar manada “snoopware” (burun sokan yazılım) olarak da adlandırılan casus yazılımlar, diğer kötü amaçlı yazılımlara göre özellikle İnter­net kullanıcıları tarafından sistemlere farkında olmadan bulaştırılmaktadırlar.

Bilgisayar Korsanları (Hackerler)

Bir bilgisayar korsanı (hacker) bir bilgisayar sistemine yetkisiz erişim elde etmeye çalışan bir bireydir. Hackerlar Web siteleri ve bilgisayar sistemlerinin uyguladığı güvenlik koru­malarındaki zayıflıkları bularak sıklıkla açık bir sistem yaratan ve kolay kullanılan İnter­netin çeşitli özelliklerinden faydalanarak yetkisiz erişim elde ederler. Hacker faaliyetleri sadece sisteme izinsiz girmenin ötesinde ürün ve bilgi hırsızlığına, bunun yanında sistem zararı ve siber barbarlık (cybervandalism), bilinçli engelleme, içerik bozma ve hatta bir Web sitesinin veya kurumsal bilgi sisteminin çökertilmesine kadar genişlemiştir.

Aldatma (Spoofing) ve Paket Koklama (Sniffing)

Hackerlar gerçek kimliklerini saklamak için genellikle aldatmaya veya sahte e-posta ad­resleri kullanarak veya kendini başka biri gibi göstererek kendilerini yanlış tanıtmaya ça­lışmaktadır. Veri paketleri network cihazları vasıtasıyla ağ üzerinden aktarılırken, kötü amaçlı kişiler bu cihazları ve bilgisayarları paket koklama(sniffleyerek) ya da aldatma (spoofing) işlemleri yaparak bilgileri ele geçirebilirler. Saldır­ganlar bu cihazların IP/MAC tablolarının tutulduğu ARP (Adres Çözümleme Protokolü) belleklerini zehirleyerek, kısacası kandırarak paketlerin kendilerine ulaşmasını sağlaya­bilirler.

Saldırgan ele geçirdiği paket üzerinde değişimler yaparak bunu gerçek alıcısına gönderebilir. Yapılan bu işlemlerden ne göndericinin ne de alıcının haberi olmayacaktır. Tüm iletim boyunca kendi aralarında haberleştiklerini sanacaklar ve saldırgan kendini aradan çekip bilgisayarların ARP belleklerini eski haline getirmesiyle aldatma işlemi son bulacaktır. 

Paket koklama ise ağ üzerinde iletilen verilerin çalınması işlemine denir. Bir paket koklayıcı ağ üzerindeki tüm trafiği kontrol etmek için bilgisayar içerisine yerleşir ve kendi kendine çalışır. Bunlar yazılımsal ya da donanımsal olabilir. Birçok koklayıcı, ayrımsız tür olarak adlandırılan “promiscuous mode” özelliğine sahip ethernet kart modülü vasıtasıyla kendileri haricinde diğer kullanıcılara iletilen paketleri de izinsizce ele geçirip, işleyebi­lirler. Bazı UNIX bilgisayarlarda tek bir komut satırı yazarak bilgisayarın ayrımsız tür ile çalışması sağlanabilir. Paket koklamanın IP tabanlı koklama, MAC tabanlı koklama ve ARP tabanlı koklama türleri vardır.

Hizmet Dışı Bırakma

Hizmet dışı bırakma (DoS Saldırısı /Denial-of-Service) bir Web servisi veya Web uy­gulaması üzerinde altyapının cevap veremeyeceği derecede aşırı istek veya trafik yükü oluşturarak onu hizmet veremez duruma düşürme amaçlı saldırılardır. Genellikle virüs­ten etkilenmiş zombi bilgisayarların oluşturduğu robot ağları vasıtasıyla yapılır (Nizam, 2014:309). PwC Küresel Bilgi Güvenliği Araştırması’na (2015) göre ulus-devlet kaynaklı tehditlerde artış yaşanmaktadır. Doğu Avrupada ve Orta Doğuda jeopolitik olaylarda DoS saldırıları ve gelişmiş casusluk yazılımlarının kullanımı dikkat çekmektedir.

Geçtiğimiz birkaç yılda e-ticaret ve kurumsal Web sitelerine karşı temel saldırılar, İn­ternetin hackerler tarafından yapılan saldırılara özellikle de DoS saldırılarına (denial-of- service) karşı tehlikelere açık olduğunu göstermektedir.

Bilgisayar Suçları

Birçok hacker faaliyeti suç teşkil etmektedir. ABD Adalet Bakanlığı bilgisayar suçunu “ceza hukukunun bir bilgisayar teknolojisi içeren her türlü ihlali” olarak tanımlamaktadır. Bilgisayar suçu Bilgi Teknolojisi Profesyonelleri Birliği (Association of Information Technology Professionals-AITP) tarafından şu şekilde ta­nımlanmaktadır:

• Donanım, yazılım, veri veya ağ kaynaklarının izinsiz kullanımı, erişimi, değiştiril­mesi ve tekrar yapılandırılması
• Bilginin izinsiz dağıtılması
• Yazılımın izinsiz kopyalanması
• Bir son kullanıcının kendi donanımına, yazılımına, verilerine veya ağ kaynaklarına erişiminin engellenmesi
• Bilgi veya maddi varlıklara yaşa dışı bir şekilde edinmek için bilgisayar ve ağ kay­naklarını kullanmak veya kullanmaya çalışmak

AITP’nin bu tanımı bilgisayar suçları modelinde ve birçok bilgisayar suçu kanunun­da yer almaktadır.

Kimlik Hırsızlığı

İnternetin ve elektronik ticaretin gelişmesi ile kimlik hırsızlığı büyük bir sorun haline gel­miştir. Kimlik hırsızlığı bir sahtekârın bir başkasını taklit etmek için sosyal güvenlik kim­lik numarasını, sürücü ehliyeti numarası veya kredi kartı numaraları gibi önemli kişisel bilgileri elde etmesi suçudur. Bilgi, kredi almak, ticaret yapmak veya mağdurun adına hiz­met almak veya hırsıza ehliyet sağlamak için kullanılabilir.

Tıklama Sahtekârlığı

Bir arama motoru tarafından gösterilen bir reklama tıkladığınızda, reklamcı genellikle potansiyel alıcıları ürünlerine yöneltmesi beklenen her tıklama başına bir ücret öder. Tık­lama sahtekarlığı bir birey ya da bilgisayar programı, bir online reklama, reklamcı hakkın­da daha fazla öğrenmek amacı olmaksızın veya bir satın alma yapmaksızın hileli olarak tıkladığında gerçekleşir. Tıklama sahtekarlığı tıklama başı ödeme yapılan online reklam özelliği olan Google ve diğer Web sitelerinde ciddi bir sorun haline gelmiştir.

Küresel Tehditler: Siber Terör ve Siber Savaş

Kötü amaçlı yazılım yaymak, hizmet dışı bırakma (DoS saldırıları) gibi siber suç faaliyet­leri sınırsızdır. Çin, ABD, Güney Kore, Rusya ve Tayvan dünyanın kötü amaçlı yazılımla­rının çoğunun kaynağıdır. İnternetin küresel yapısı siber suçluların dünyanın herhangi bir yerinde faaliyet göstermesini ve zarar vermesini mümkün kılmaktadır. İnternet açıkları bireyleri ve hatta tüm ulus devletleri sabotaj ve casusluk yapmak amacıyla siyasi-güdülü hackleme için kolay hedefler haline getirmektedir. Siber savaş zarar vermek veya bozmak için bilgisayarlarına veya ağlarına izinsiz girerek bir devleti ya da ulusu zayıflatmak veya yenmek için tasarlanan devlet sponsorluğunda bir faaliyettir. Yıllardır hackerler füze izle­me sistemleri, uydu navigasyon cihazları, insansız uçakların ve son teknoloji jet uçakların planlarını çalmaktadır. Siber savaş modern toplumların altyapısı için büyük bir tehdit teş­kil etmektedir. Çünkü temel finansal, sağlık, devlet ve endüstriyel kurumları günlük faaliyetlerinde İnternete bağımlıdır. Siber savaş aynı zamanda bu tür saldırılara karşı savun­mayı da içermektedir. Siber terörizm, belirli bir politik ve sosyal amaca ulaşabilmek için bilgisayar veya bilgisayar sistemlerinin bireylere ve mallara karşı bir hükümeti veya toplumu yıldırma, baskı altında tutma amacıyla kullanılmasıdır.

İç Tehditler: Çalışanlar

Güvenlik tehditlerinin işletme dışından kaynaklandığını düşünme eğilimindeyizdir an­cak gerçekte iç tehditler ciddi güvenlik sorunları yaratır. Çalışanların ayrıcalıklı bilgilere erişimi vardır ve özensiz iç güvenlik prosedürlerinin olması durumunda sıklıkla bir iz bı­rakmadan işletmenin sisteminde dolaşabilirler. Kurum içi çalışanların yaptıkları yolsuz­luk, hata ve güvenlik prosedürleri ihlalleri birçok güvenlik sorununun temel nedenidir. Bu çok tehlikeli ve yüksek zararlara yol açan bir saldırı şeklidir. Çünkü kurum içindeki bir kişi için kurumu dış tehditlere karşı koruyan güvenlik duvarları ve kapılarda yapılan fiziksel kontrol geçerli değildir. Kaleyi içten fethetme gibi bir durum söz konusudur.

İşletmelerin mevcut ve eski çalışanları siber suçun en çok konuşulan suçlularından olmuştur. Tabii ki bu tüm çalışanların zararlı davranışlarda bulunduğunu göstermez. Bir­çok durumda mobil cihazlarını kaybederek veya hedefli e-dolandırıcılığa maruz kalarak farkında olmadan verileri tehlikeye atarlar.

Bilgi Sistemi Kontrolü

Bilgi sistemi kontrolleri hem manuel hem de otomatik olarak yapılır ve genel ve uygulama kontrollerini içerir. Genel kontroller bilgisayar programlarının tasarımını, güvenliğini ve kullanımını ve işletmenin bilgi teknolojileri altyapısı boyunca veri dosyalarının güvenliği­ni yönetir. Genel kontroller tüm bilgisayar uygulamalarına uygulanır ve genel bir kontrol çevresi yaratan donanım, yazılım ve manuel prosedürlerin bir birleşimini içerir. Genel kontroller yazılım kontrolleri, fiziksel donanım kontrolleri, bilgisayar operasyonları kont­rolü, veri güvenliği kontrolü, sistem süreçlerinin kontrolleri ve yönetsel kontrolleri içerir.

Uygulama kontrolleri ödeme veya sipariş süreçleri gibi her bir bilgisayarlı uygulama­ya özel kontrollerdir. Girdi kontrolleri, işleme kontrolleri, çıktı kontrolleri ve depolama kontrolleri olarak sınıflandırılır. Girdi kontrolleri sisteme girdiklerinde verinin doğrulu­ğunu ve eksiksizliğini kontrol eder. İşleme kontrolleri güncelleme süresince doğru ve tam veriler kurar. Çıktı kontrolleri bilgisayar işlemesinin sonucunun doğru, tam ve uygun bir şekilde dağıtılmış olmasını sağlar.

Bilgi sistemi kontrolü, bilgi sistemi faaliyetlerinin doğruluğunu, geçerliliğini ve uy­gunluğunu sağlayamaya çalışan yöntem ve araçlardır. Bilgi sistemi kontrolü doğru veri girişi, işleme teknikleri, depolama yöntemleri ve bilgi çıkışını sağlayacak şekilde gelişti­rilmelidir. Böylece bilgi sistemi girdinin, süreçlerinin, çıktıların ve depolama faaliyetle­rinin kalitesini ve güvenliğini izleyecek ve sürdürecek bilgi sistemi kontrolleri tasarlanır.

Güvenlik Altyapısı Oluşturma Aşamaları

Bilgi sisteminin tüm parçalarını kapsayan bütünleşik bir koruma politika ve stratejileri geliştirilmelidir. Temel aşamalar şu şekildedir:

• Risklerin tespit edilmesi: İşletmeler, bilgi ve sistemlerinin karşı karşıya kaldığı riskler hakkında bilgi sahibi olmalı, verilerin güvenlik düzeyini değerlendirmeli, kendi çalışanlarını ve diğer işletmelerinin yaşanmış tecrübelerinden ders almalıdır.
• Farkındalık: İşletmenin tüm üyeleri çıkabilecek sorunlara karşı uyanık, eğitimli ve bilgi sahibi olmalıdır. İşletme çalışanlarını bilinçlendirmeye yönelik eğitimler bu kapsamdadır. Güvenlik konusunda tolerans olmadığı bilinmelidir.
• İnsan kaynağı istihdamı: Güvenlik konusunda tecrübeli insan kaynağının istih­dam edilmesi gerekmektedir. Güvenlik işletmeler için çok önemli bir konu oldu­ğundan bu konuda görevlendirilecek insan kaynağı hakkında çok ayrıntılı bir ön araştırma yapılması faydalı olacaktır.
• Önleme: Öncelikle veri ve sistemlere yetkisiz kişilerin erişimi ve saldırıları önlen­melidir.
• Yakalama: Tüm saldırılar önlenemez. Ancak izleme sistemi ile erkenden fark edi­lerek mücadele kolaylaşır ve zararlar azaltılabilir.
• Zararı en aza indirme: Çökmenin zararlarını en aza indirme. Bu işlem için ör­neğin İnternet siteleri ayrı bir ağda tutulur. Bu sayede İnternet siteleri çökse dahi içerideki sistemler etkilenmez.
• Kurtarma: Çöken sistemlerin en kısa zamanda ve en az zararlara ayağa kaldırılma­sı.

Kimlik Yönetimi ve Kimlik Tanıma Sistemi (Authentication)

Kimlik tanıma sistemi girecek kişinin kimliğinin anlaşılmasını sağlar ve yetkisiz girişlere engel olur. Kimlik tanıma sistemlerinde sadece isim ve şifre yeterli olmayabilir. İleri düzey güvenlik için elektronik imza veya iki yönlü doğrulama kullanılabilir. İki yönlü uygula­mada şifre ve kullanıcı adı biyometrik sistemlerle desteklenir. İnternet bankacılığı kullanı­mında cep telefonlarına gönderilen doğrulama mesajı da bu kategoride değerlendirilebilir (Nizam, 2014:311). Biyometrik kimlik tanıma sistemleri girişe izin vermek veya girişi reddetmek amacıyla parmak izi, göz retinası ve sesler gibi bireyin davranış özelliklerini okuyan ve yorumlayan sistemlerdir. Biyometrik kimlik tanıma sistemi her bir bireyi eşsiz yapan fiziksel veya davranışsal özelliklerin ölçülmesine dayalıdır. Parmak izi, göz retinası, yüz gibi bir kişinin eşsiz özelliklerini bu özellikler ile depolanan profil arasında farklılıklar olup olmadığına karar vermek için karşılaştırır. İki profil eşleşirse erişime izin verilir. Par­mak izi ve yüz tanıma sistemleri birçok bilgisayarda var olan parmak izi tanıma cihazları ve birçok çeşit Web kamerası içine yerleştirilmiş yüz tanıma yazılımları ile güvenlik uy­gulamalarında kullanılmaya başlanmıştır

Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el de­ğiştirme ve hasar verilmesini önlemek olarak tanımlanır ve “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur. Bu temel unsurlar şu şekilde açıklanmaktadır:

• Gizlilik (Confidentiality): Bilgiye yetkisiz kişilerce erişilememesidir.
• Bütünlük (Integrity): Bilginin doğruluğunun ve tamlığının sağlanmasıdır. Bilginin içeriğinin değiştirilmemiş ve hiçbir bölümünün silinmemiş ya da yok edilmemiş olmasıdır.
• Erişilebilirlik (Availability): Bilginin bilgiye erişim yetkisi olanlar tarafından iste­nildiği anda ulaşılabilir, kullanılabilir olmasıdır.

BGYS süreçlerine uygulanan PUKÖ modeli aşamaları su şekilde özetlenebilir:

1. Planla (BGYS’nin kurulması): BGYS politikası, amaçlar, hedefler, süreçler ve pro­sedürlerin geliştirilmesidir.
2. Uygula (BGYS’nin gerçekleştirilmesi ve işletilmesi): BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesidir.
3. Kontrol et (BGYS’nin izlenmesi ve gözden geçirilmesi): BGYS politikası, amaçlar ve süreç performansının değerlendirilmesi, uygulanabilen yerlerde ölçülmesi ve sonuçların rapor edilmesidir.
4. Önlem al (BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi): Yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleş­tirilmesidir. Bilgi güvenliği yönetimi, sürekli devam eden bir gelişim süreci olarak düşünülmelidir. PUKÖ modelinde gösterildiği gibi bir döngü içinde durmaksızın sürekli devam etmelidir. PUKÖ modeli özet olarak ne yapılacağına karar verilmesi, kararların gerçekleştirilmesi, çalıştığının kontrol edilmesi hedefine uygun çalışma­yan kontroller için önlemlerin alınmasıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları

ISO/IEC 27001, dünyanın hangi ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart; finans, sağlık, kamu ve bilgi teknolojileri sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle ge­reklidir. ISO/IEC 27001, bilgi teknolojileri taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir ve müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.

Standart, sunulan bilgi güvenliği süreç yaklaşımının kullanıcılarının aşağıdakilerin öneminin anlamalarına yardımcı olmaktadır:

• İş bilgi güvenliği gereksinimlerini ve bilgi güvenliği için politika ve amaçların be­lirlenmesi ihtiyacını anlamak,
• Kuruluşun tüm iş risklerini yönetmek bağlamında kuruluşun bilgi güvenliği risk­lerini yönetmek için kontrolleri gerçekleştirmek ve işletmek,
• BGYS’nin performansı ve etkinliğini izlemek ve gözden geçirmek,
• Nesnel ölçmeye dayalı olarak sürekli iyileştirmek.