Büromun Konumu - Office Location

18 Şubat 2011 Cuma

BİLGİ GÜVENLİĞİ

Günümüzde bilgisayarların girmediği alan kalmadı gibi. Türkiye gibi gelişmekte olan bir ülkede dahi, birçok Kamu Kurumu' nda işler bilgisayarlar ve bunların bağlı oldukları veritabanaları üzerinden takip edilir oldu. Bugün herhangi bir bankada hesap açtırdığınızda; şubede bulunan bilgisayar ile bankanın otomasyon merkezinin bulunduğu yerdeki ana sunucu bilgisayarlar arasında gözlerinizi açıp kapayıncaya kadar iletişime geçilmekte, hakkınızda birçok veri alışverişi yapılmaktadır.

Üye olduğunuz internet siteleri, sosyal güvenlik kurumunuz, sağlık sigortanız, ÖSYM, meslek örgütleriniz, bankalar, kredi kartı şirketleri ve daha akla gelmeyecek onlarca yer hakkınızdaki birçok bilgiyi depoluyor. Peki bu bilgiler ne kadar iyi korunuyor, yanlış kişilerin eline geçmesi nasıl önleniyor. İşte bu hususlar “Bilgi Güvenliği” dediğimiz uzmanlığın alanını oluşturuyor.

Gelişmiş Batı ülkelerinde bundan yaklaşık on yıl öncesinde; “Bilgisayar Mühendisliği” mesleği ortadan kalktı, daha doğrusu birçok alt mühendislik doğurarak ismen kayboldu. Artık tüm dünyada Yazılım Mühendisliği, Donanım Mühendisliği, Ağ Mühendisliği gibi onlarca mühendislik eskiden Bilgisayar Mühendisliği' nin yaptığı tüm işleri ayrı ayrı uzmanlıklar olarak yürütüyorlar. Bunlardan belki de en önemlilerinden biri de Bilgi Güvenliği konusunda çalışan mühendisler, uzmanlar.

Internet Ansiklopedisi Wikipedia' da Bilgi güvenliği; bilgileri izinsiz erişimlerden, kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden koruma işlemi olarak tanımlanır. (http://tr.wikipedia.org/wiki/Bilgi_g%C3%BCvenli%C4%9Fi)

Türk Standartları Enstitüsü TSE tarafından Türkçe'ye çevrilerek yayınlanan TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı da, bilgi güvenliğini üç başlık altında inceler:

* Gizlilik : Bilgilerin yetkisiz erişime karşı korunması
* Bütünlük : Bilgilerin eksiksiz, tam, tutarlı ve doğru olması
* Kullanılabilirlik : Bilgilere yetkililerce ihtiyaç duyulduğunda erişilebilir olması

Örneğin bugün ÖSYM' nin elinde son otuz yılda üniversite sınavlarına girenlerin tümünün fotoğrafları, imzaları sayısal olarak taranmış şekli ile mevcuttur. Ya da daha kapsamlı veritabanları olarak UYAP, SEÇSİS, TAKBİS ile MERNİS örnek olarak verilebilir. Türkiye Cumhuriyeti üzerinde yaşamış ve halihazırda yaşayan herkesin sahip oldukları vatandaşlık numaraları Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü' nün veritabanında bulunmaktadır. Bu veritabanına daha sonra yapılan eklemeler ile vatandaşların kimlik bilgileri yanında adres bilgileri de işlenmiştir. Artık çocuğunuzu okula kaydederken bile aldığımız ikametgahlar, Nüfus Daireleri' nden verilmekte.

Kimlik Paylaşım Sistemi ile; ilgili Kamu Kurum ve Kuruluşları, vatandaşların kimlik ve adres bilgilerinin depolandığı veritabanlarına internet üzerinden ulaşabilmekte, yetkilendirildikleri ölçüde sorgulamalar yapabilmektedirler.



Bu ve benzeri uygulamalar çok yararlı oldukları gibi, bilgi güvenliği sağlanamaz ise vatandaşlar için kabus olabilir. Basından öğrendiğimiz kadarı ile Türkiye' de kamunun elindeki veritabanlarında bilgi güvenliği zaafiyeti mevcuttur. Zira MERNİS veritabanı bazı kötüniyetli kişilerce kırılmış, vatandaşlara ait kimlik ve adres bilgileri kopyalanmıştır. Kopyalanan bu veritabanları yazılan çeşitli programlarda kullanılmış ve bu programlar da alacaklı şirketler ile icra işleri yoğun olan avukatlara satılmıştır. Yine tüm ülke çapındaki taşınmazların kayıtlarının tutulduğu TAKBİS veritabanı için de benzer iddialar mevcuttur. Böylece anılan programları bilgisayarlarına kuranlar, bulmak istedikleri kişinin adres sorgulamasını bürolarından yapabilecek hale gelmişlerdi. Kolluk kuvvetlerinin yapmış olduğu teknik takip neticesinde; bu programları satanlar ve kullananlar tespit edilerek, haklarında yasal işlem başlatılmıştır.

İşin korkutucu yanı ise, bu veritabanları kopyalanabiliyorsa; teknik olarak üzerlerinde değişiklikler de yapılabilir.

Bu ve benzeri tehlikelere binaen 1972 yılında TÜBİTAK enstitülerinden biri olan Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü kurulmuştur. Bu Enstitü, kalifiye personeli ve uluslararası alanda kabul görmüş altyapısı ile bilgi güvenliği, haberleşme ve ileri elektronik alanlarında teknolojik çözümler üretmekte ve uygulamaktadır. (http://uekae.tubitak.gov.tr/home.do?ot=1&sid=2)

Ülkemiz her alanda olduğu gibi bu konuda da yetişmiş insanlarını, verimli bir şekilde kullanamamaktadır. UEKAE ürünü olan Pardus İşletim Sistemi, maalesef hala kamu kurumlarında yaygın olarak kullanıma alınamamıştır. Birkaç üniversite, ASAL ve RTÜK gibi kurumlar PARDUS' un Kurumsal sürümünden yararlanmaktadır.

İşletim Sistemi, Bilgi Güvenliği için en önemli olgudur. Zira siz Adliyelerde yabacı ülke kaynaklı işletim sistemi kullanıyorsanız; UYAP' ınız istediğiniz kadar milli olsun, orda bilgi güvenliğini sağlayamazsınız. Aynı şey MERNİS, TAKBİS, SEÇSİS ve benzeri sistemler için de geçerlidir.

Çünkü işletim sisteminiz içerisinde bir arka kapı varsa, bu kapıyı oraya koyanlar istedikleri şekilde sisteminize müdahale edebilirler. Arka kapı da nedir ki diye sorarsanız;

Bilgisayar üzerinde sıradan incelemelerle bulunamayacak şekilde, normal kimlik kanıtlama süreçlerini atlamayı veya kurulan bu yapıdan haberdar olan kişiye o bilgisayara uzaktan erişmeyi sağlayan yöntemler, arka kapı olarak adlandırılmaktadır. Arka kapılar, çoğunlukla Truva atları ile karıştırılabilmektedirler. Her ikisi de hedef sisteme sızmaya yaraya kötü amaçlı yazılımlardan; Truva atı, faydalı bir program gibi gözükürken; arka kapı, sadece sisteme erişimi sağlayan gizli yapılardır. Arka kapılar kimi zaman, sistemi geliştiren programcı tarafından test edilen sisteme erişmek amacıyla kullanılan fakat daha sonra unutulan açıklar olarak karşımıza çıkmaktadır. Bu durumun bir şekilde farkına varan kötü niyetli kişiler, bu yapıları kullanabilirler. Hatta bu tip arka kapılar bazen programcı tarafından kasten bırakılabilmektedir. Arka kapı konusunda en ünlü iddialardan biri de Microsoft’un, Windows işletim sisteminin bütün sürümlerinde NSA (National Security Agency – Amerikan Ulusal Güvenlik Teşkilatı) için bir arka kapı yerleştirdiği iddiasıdır. Bu iddia, Microsoft’un bütün sürümlerinde bulunan CryptoAPI yapısında, _NSAKey adına ilave bir giriş anahtarın bulunmasıdır. (http://www.telekom.com.tr/v2/faydali-bilgiler/185-arka-kapilar-backdoors)

Kamu' da Bilgi Güvenliği konusunda yaşanan sıkıntılar ve bilgi eksikliğini gidermek amacı ile, TUBİTAK UEKAE tarafından Ulusal Bilgi Güvenliği Kapısı adlı bir internet sitesi kurulmuştur. http://www.bilgiguvenligi.gov.tr/ adresinde faaliyet gösteren bu site ile UEKAE, yapmış olduğu araştırmalarla elde ettiği neticeleri ve güncel güvenlik açıklarını günlük olarak yayımlamaktadır. Örneğin 09.09.2010 tarihinde yayımlanan bir makalede; antivirüs yazılımları kullanan kamu ve özel kurumlar uyarılmış ve bu antivirüs programlarının güncellenmesi sırasında bilgisayarın harddisk görüntüsünün bir örneğinin de yabancı ülkelerde bulunan sunuculara gönderildiği tehlikesine dikkat çekilmiştir. (http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/ulusal-guvenlikte-antivirus-tehdidi.html)

Kamunun elinde bulunan tüm bilgisayarların işletim sistemlerinin milli yazılımlar ile değiştirilmesi, Bilgi Güvenliği konusunda yapılacak ilk adım olmakla beraber kesinikle tek adım değildir. Bu konuda yetişmiş olan uzmanlarımıza kulak verilerek, UEKAE gibi kurumlar daha etkin kullanılmalıdır. Aksi halde KPSS sorularının çalınması vb çok olay yaşarız.