H.Çiğdem Yorgancıoğlu
IT-Telcom
Hukuk ve Ceza Mahkemeleri
Adli Bilirkişi
BT Haber 1000. Sayı Özel
BİLGİ GÜVENLİĞİ VE GİZLİLİĞİ SIZINTISI
İşimiz
gereği, sözleşmelerimize bilgi güvenliği ve gizliliğinin ihlal edilmesine dair
maddeler yerleştirmekteyiz. Bu maddelerin gerçek yaşamdaki karşılıklarına ve
ihtilaf halinde bunların nasıl uygulandıklarına bakmak bir başka makalemizin
konusu olsun diyerek, ufku ve kapsamı
bir hayli geniş olan bir mevzua, elektronik haberleşme güvenliğini de içine
alan, yaşamımızdaki bilgi sızıntılarının beynelmilel kaynağına yönelik bir
farkındalık yaratma konusuna eğilelim. Böylece
kişisel teknoloji sahipliği ile bilgi varlıklarımızın kıymetini takdir etmenin
gereğini isabetli bir biçimde okuyucunun dikkatine sunalım. En azından, bu
niyetle makalemize başlayalım…
Kablosuz
geniş kanal ve mobil şebekelerdeyim. CPU’su yüksek fiber optik sistemlerdeyim. Dürtüklenmeden
harekete geçebilen hızlı düşüncelerin dinamizminde uyanık ve zinde bir zihinde
gezmenin, mürekkebe aktığı yerdeyim. Ne kadar süre boyunca kalıcı
başarı göstererek tefrika edileceğini bilmediğimiz, Bin (1000) ölçüp bir biçip
imbikten damıtarak süzeceğimiz yazılarımızla 1000 (bin)inci sayıdan itibaren
BTHaber’deyim. Burada olduğumuza dair bin (1000) tane şahit gerekse, kilometrelerce
mesafeden bağlanarak kuracağımız köprüde geniş kapsama alanına yayılarak, katlanarak
çoğalmak üzere merhaba.
Türkçe
adı ile Birleşmiş Milletler Telekomünikasyon Ajansı (The International
Telecommunication Union) ITU'nun 170 ülkenin baz alındığı rapor verilerine
bakarsak, Dünya üzerinde 2.26 milyar
kişilik internet kullanımında Türkiye
nüfusunun %42’lik oran ile ülke sıralamasında 73. sırada yer almakta
olduğunu görürüz. Lakin bu sıralama bir yana, bu alandaki haberlerde yer alan “esnek
güvenlik çözümleri” ifadeleri kuşkulandırır beni. Hangisi esnek? Güvenlik mi yoksa çözüm mü? Yahut güvensizlik mi, çözümsüzlük mü? Nedir
acaba bu elastikiyetin ekseni? Arkasına
devlet(ler)in desteğini alan kişi ya da grupların siber saldırı faaliyetlerini saymazsak, mikro ve makro
düzeyde “bilgi güvenliği ve gizliliği”nin nirengi noktası neresidir? Bu
soruları sorarak ilk çapamızı burada atıp ileride mevzuu yine açalım.
'Transaction'
yönlendirmeli UDP (User Datagram Protocol/ Kullanıcı Veri Birimi Protokolü)
protokol üzerinde çalışan FNBDT/SCIP protokolü, farklı şebekelerde haberleşme
yapan cihazların birbirleri ile emniyetli haberleşme ihtiyacından doğmuş bir
protokoldür. Protokolle ilgili ilk çalışmalar ABD tarafından FNBDT adı altında
başlatılmıştır. Daha sonra, NATO ülkeleri SCIP başlığı altında çalışmaya
katılmışlardır.
Ses
yalıtımlı cam odadan sesleniyorum. Beni duyan var mı? Kulaklarımda bilgi güvenliğinin
gıcırtılı sesleri. Ne zaman ve hangi
gürültüyle infilak edeceğini bilmediğiniz tahrip ve hasar gücü azımsanmayacak
güvensizlik ve aleniyet mayınlarının tarlasında intihar gönüllüleri arasında
bir matriks üzerinde ayağımızı kaldırmadan ilerliyoruz. Bilgi güvenliğinin özünün,
çevreye en az zarar vereni en basit anlamda kendi özelinizde şahsi bir evrakı/belgeyi
sonradan bulanın parçalarını birleştiremeyeceği şekilde yırtmak veyahut
kurumsal olarak kâğıt imha makinesini bünyenizde
bulundurmak ve kullanmaktan geçtiğini bilmeyenlere bunu söylemek için geç
değil, söylemesek iş işten geçecek.
Görsel
ve/veya sesli mesajların direkt olarak takipçi kitlelere iletilebildiği,
elektronik ortamda verilen mesaja tepkinin anında gösterilebildiği, kanaat önderlerinin, mesajlarını, doktrine
etmek istedikleri hedef kitlesine yayabildiği, kolektif yargılara zıt düşmekten
çekinmeyen cesurların seçtikleri sosyal medyada düşüncelerini paylaştığı bir
zamanda, gerek korunmasız kaldığımızda başımıza ne gibi acıklı haller
geleceğine gerekse OburDünyalıların düzeninde aslında korunmaların/ tedbirlerin
gerçek bir korunma/tedbir olup olmadığına ve büyük plandaki gizlilik- istihbarat
yapısına dikkat çekmek ve nokta atışı yapmak icap ediyor. Öyle ki, “Etkisiz
hale getirilmesi kolay olan bir güvenlik ne anlam taşımaktadır?” sorusu
zihnimizi acıtsın ve bu suretle kişisel farkındalık
kapısının önüne gelelim.
Anti-virüs
yazılımınız güncel mi? Değil ise, ücretsiz yazılımların başınıza neler
getirebileceği yaşadıktan sonra hatırlanacak hararetli ve hıçkırıklı bir
“darb-ı mesel” mi? E-posta şifremiz, kredi kartı numaramız güvende mi veya özlük
bilgilerimizi internet üzerinde bir ortama sunarken tedbirli miyiz? Casus
yazılımlar yoluyla kimlik bilgilerinizin çalınması an meselesiyken bunlar umurumuzda
mı? Özel hayatın dokunulmazlığına dokunan ve dokunduran el siz misiniz? Tepe
Yöneticisinin açıkça kullanıcılarının bilgilerini CIA’ye bildirdiğini
beyan/itiraf ettiği Facebook’ta bir oyun oynamak için bilgiye erişim hakkı
istendiğinde bu erişime imkân tanıyor musunuz? Paylaşıma açtığınız dosya veya
klasörlerin şifreleme yöntemi ile nasıl korunacağı, kimlerin hangi haklarla
erişmesi gerektiği konusu kadar, bir diğer önemli konunun da mezkûr dosyalardaki
telif hakları olduğunun farkında mısınız?
Toplu e-posta ile bir kutlama mesajı gönderdiğinizde adresleri “bcc”
yerine “to” bölümüne koyduğunuzda yüzleşeceğiniz menfi neticeleri;
farklı bir notebook veyahut bilgisayara yerleştirdiğiniz USB belleğin, güncel
anti-virüs programlar ile kontrol etmeden kullanmaya devam etmenin, kırılmış
(crack) programlar ve korsan yazılımlardan uzak duramamanın, zararlı
programların ya da saldırganların müdahalesi sonucu kaybolan verilerinizin
bedelini biliyor musunuz?
Bilginin
üretilmesi, işlenmesi, iletimi,
depolanması ve paylaşımı süreçlerinde “Bilgi Güvenliği ve Gizliliği” hususunda
hüsnüzanda bulunup bunları avucunun içi gibi bildiğini sananların yanıldığı
sanal dünya, başınıza kapaklanmadan ve
çorap örmeden daha ne kadar bu hızda dönmeye devam edebilir sizce?
Mobil
iletişim teknolojileri sayesinde, bilişim ve iletişim altyapısının yayıldığı,
veri ve enformasyon erişiminin zaman ve mekândan özgürleştiği coğrafyanın
ucu bucağı yok. Acaba bir cep telefonu içindeki bilgiler kaç saniyede
kopyalanabilir? Bunlar sadece polisiye filmlerde olmuyor, gerçek hayatta
tatbiki mümkün hakikatler.
İstihbarat
ve terör amaçlı siber saldırılar karşısında sonsuz çözüm kümesinde korunmasızlığı
yüksek seviyede güvenlik addedenleri, irfan mektebinde yetiştik sanıp net
dünyasını karış karış bildiğini iddia edenleri, lafını bilmeyenleri, ne
istediğini bilmeyenleri, haddini bilmeyenleri, sen bilirsin deyip kendimi
bildim bileli bildiğimi okurum diyenleri,
bile bile lades diyenleri, hatalarda bilir bilmez konuşmayı fırsat bilenleri,
bildiklerini bilmezlikten gelen bilenleri de gördük; doğru bildiği yoldan ayrılmayanları da… Dest-i
gaybî, görünmeyen bir el tarafından bilgilerinin güvenliğinden bir kere daha
tereddüt edenleri de göreceğiz ve farkındalığı (1000) bine katlayacağız.
Kişinin
mahremiyetini sanal ortamda ifşa etmesinin normalleştirildiği bir ortamda özel
yaşamın gizliliğinin kıymetinin hudut kapısı neresidir? Anahtar deliğinden
kendisini izleyen siz misiniz? Yoksa kriptografide bir anahtarlama peşine
düştünüz ve anahtarı mı kaybettiniz? MOBESE kamera kayıtlarına takılma,
gözetlenme paranoyasına ne hacet! Harcıâlem süper-panoptikonlar arasında
yaşıyoruz. Hatta belki de, içlerinden
biri biziz. Kısaca buna George Orwell'ın kitabına
atfen “1984 gönüllüleri” adını veriyorum. Mobil
telefonlarındaki küresel konumlandırma sistemiyle işaretlene işaretlene
önüm arkam sağım solum check-in. Vatandaşın kendi iradesi
ile bilerek isteyerek özel zevklerden siyasi tercihlere ne
marka giydiğinden tuttuğu takıma, damak tadından, sevdiği şaire, entelektüel
faaliyetlerden gittiği hamama kadar kadar dijital gözetim
ağlarının bir parçası olmasının yanı sıra, teferruatlı bir
şekilde kayıt altına alınıp fişlendiği, istihbarat ajanslarına her
an yeni veri ürettiği bir durumun sarmalındayız çoğumuz.
Özel
yaşamın gizliliğinin tehdit edilmesinin veyahut siber-âlemdeki güvenlik
tehditlerinin elinin parmaklarını geçmeyecek kadar az olduğu sanrısında olan ve
sadece virüs ve solucanlardan ibaret olduğunu düşünenler, yanılgıya
açık oldukları alanlardan bihaberler. Yazılım ve donanımlarında ortaya
çıkan yüksek, acil ve kritik önem derecesine sahip güvenlik
açıklıkları, bilgisayara giriş ve parola güvenliği yazılım yükleme ve
güncelleme, dosya indirme güvenliği, dosya erişim ve paylaşma güvenliği, yedekleme,
depolama güvenliği, ADSL modem güvenliği, yasadışı yollarla şifrenizin ve /veya
kredi kartı detaylarınızın phishing (oltalama/yemleme) yolu ile öğrenilmesi,
,açık kaynak kodlu yazılımlar üzerinden gelebilecek travmalar ve DNS
önbellek zehirlenmesi açıklığı sizi bir kaç dakika içinde iki diziniz
üzerine çökertebilen hadiselerdir ve bunlar seyrek yaşanıyor da değildir.
Siber
saldırı analizi, bilgi sızma güvenlik denetimi testi hizmetleri, ağ
gözetleme ve izleme, yetkisiz internet erişimi sistemini rootkit,
trojan ve olası ağ risklerini tespit eden (honeypot) balküpleri
yolu ile izleme, “blackhat” ve saldırganların “ilgi alanları”nı anlamaya
ilişkin yeni metodolojiler sıkça duyduğumuz fakat bilinçlenme açısından görünür
kılmamız gereken kavramlar.
Başbakanlık, Adalet Bakanlığı,
Sermaye Piyasası Kurulu ve Maliye Muhasebat Genel Müdürlüğü, Sayıştay
Başkanlığı, Merkez Bankası, Hazine Müsteşarlığı, Dış Ticaret Müsteşarlığı, Tapu
Kadastro Genel Müdürlüğü… Bu kurumlardan herhangi birinde kaydınız ya da işiniz
olabilir mi? Bu sistemlerden birindeki bilgilerinize halel gelse hayatınızda
neler değişirdi? An geliyor insanlar cemaziyülevvelinin nasıl bilindiğine
şaşırıyor. Neden şaşırıyorlar? Gizli (kişiye özel) bilgilerimizi ya kendimiz
sızdırıyoruzdur veya sızması mümkün ortamlarla çevriliyiz ve bu kaçınılmazdır.
Bilgi ve iletişim teknolojilerinin güvenliğini sağlamak amacıyla
yapılan çalışmalarının en mühimleri arasında sayılanı DPT (Bilgi Toplumu
Dairesi) tarafından hazırlanan Bilgi Toplumu Stratejisi Eylem Planı’nın 88.
maddesinde yer alan Ulusal Bilgi Sistemleri Güvenliği Programı’dır (UBGP).
Diğer yandan, kurumların risk yönetimi; risk işleme planlarını, vazife ve mesuliyetlerini,
iş sürekliliğini, planlarını, acil durum olay yönetimi prosedürleri
hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Yeterli
ve orantılı güvenlik denetimleri seçimini sağlamak amaçlı tasarlanmış olan ISO/IEC
27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS/Information Security Management
System ) gereksinimlerini tanımlayan tek uluslararası denetlenebilir
standarttır. Söz konusu standarttan 15 Ekim 2010 Tarihinde Resmi gazetede
yayımlanan tebliğde şu şekilde bahsedilmektedir: "Elektronik Haberleşme Güvenliği
Yönetmeliği’nin ‘Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü’
başlıklı 11 inci maddesinin birinci fıkrası çerçevesinde TS ISO/IEC 27001 veya
ISO/IEC 27001 yani Uluslararası Bilgi Güvenliği Yönetimi Standardı (ISO 27001)
standardına uygunluk sağlama veya uygunluk belgesi alma yükümlülüğü ile ilgili
usul ve esasları kapsamaktadır."
Devletin zirvesinin kullandığı
kriptolu telefonların dinlenmesi ardından yazılımı ve donanımı
değiştirilen "yeni nesil" kriptolu
telefonların genel anlamda misyonu
bilgi güvenliği, haberleşme ve ileri elektronik alanlarında Türkiye'nin
teknolojik bağımsızlığını sağlamak ve sürdürmek gayesi ile nitelikli insan gücü ve uluslararası
seviyede kabul görmüş altyapısı ile,
bilimsel ve teknolojik çözümler üretmek ve tatbik etmek olan
Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü’nün (UEKAE) TÜBİTAK Bilişim ve Bilgi Güvenliği İleri
Teknolojiler Araştırma Merkezi (BİLGEM), ses ve verileri donanımsal olarak
şifreleyerek GSM ağı üzerinde uçtan uca güvenli iletişim sağlayan, NATO SCIP (Secure
Communications Interoperability Protocol- Güvenli Karşılıklı Çalışabilir
Haberleşme Protokolü)) tabanlı cihazlarla uyumlu bir altyapıya sahip olan,
donanımsal ve yazılımsal olarak milli
çözüm olan “Milli Kriptolu Cep Telefonu MİLCEP-K2”yi tasarlamasına bir
göz atarsak, uyumlu cihaz tabanının, ABD tarafından geçtiğimiz yüzyılın
sonlarında geliştirilmesine başlanılan farklı şebekelerde haberleşme yapan
cihazların birbirleri ile emniyetli haberleşme ihtiyacından doğmuş FNBDT
(Future Narrow Band Digital Terminal) projesi ile olan bağlantısını görmemiz
mümkündür. Sonraki dönemlerde bu proje NATO tarafından da kabul görmüş ve kendi
bünyesine uygun hale getirilmesi için çalışmalar başlatılmıştır. Bu
çalışmalarda sinyalleşme protokolü için FNBDT yapısı esas alınmış, kriptolama
konusunda ise özgün bir çalışma içerisine girilmiştir. NATO/SCIP ismi verilen
bu çalışma, haberleşme ortamından (fiziksel ve mantıksal düzeyde) bağımsız
olmak üzere haberleşen cihazların karşılıklı güvenli çalışabilirliğini
sağlamayı esas almaktadır. Bu anlamda “bilgi sistem güvenliği”ne dair bilgi
ihtiyacını karşılamak ve kamu bilgi sistemlerinin güvenliğinin sağlanması ile
ilgili etkin önlemler alınmasına, önleyici veya düzeltici hizmetlere olanak sağlamak
maksadıyla kurulan ve aynı zamanda Dışişleri Bakanlığı’nın koordinasyonunda
NATO’ya karşı bilgisayar güvenlik olayları ile ilgili ulusal temas noktası olarak
faaliyet gösteren Türkiye Bilgisayar Olayları Müdahale Ekibi’nin (TR−BOME) faaliyet
alanı ve sınırlı/sınırsız manevra kabiliyeti ile birlikte, NATO bünyesinde yer
alan NATO Defence Planning Process (NDPP) ile bağlantılı ve siber savunmadan sorumlu
olan NCIRC (NATO Computer Incident Response Capability) (http://www.nato.int/cps/en/natohq/topics_78170.htm) birimiyle 2007 yılında altında imzamız
bulunan mutabakat zaptı çerçevesinde bilgi birikiminin paylaşılmasından tutun
da, yaşanan bir bilgi güvenliği olayına ortak müdahalede bulunmaya kadar geniş
bir alanda işbirliğini hedeflemesi dikkate alındığında şu iki soruyu sormak ve
bunlar üzerinde düşünmeye davet etmek kaçınılmaz hale gelir:
1 - “Bilgi Güvenliği ve Gizlilik” konusunda gerçek eşik noktası
neresidir?
2 - Bu güvenlik ve gizliliğin gerek milli gerekse beynelmilel anlamda
kusursuz ve sızdırılması mümkün olmayan şeklinde tatbikinin bir yolu var mıdır?
Yepyeni suallere ve alternatif yanıtlara doğru açılmak üzere bir
sonraki sayıda görüşmek temennisi ile hepimize adalet, kararlılık, başarı, esenlik,
barış, bereket ve tabii ki “güvenlik” dolu bir yıl diliyorum.
H.Cigdem Yorgancioglu
www.cigdemyorgancioglu.org
BİLGİ GÜVENLİĞİ VE GİZLİLİĞİ SIZINTISI
Türkçe adı ile Birleşmiş Milletler Telekomünikasyon Ajansı (The International Telecommunication Union) ITU'nun 170 ülkenin baz alındığı rapor verilerine bakarsak, Dünya üzerinde 2.26 milyar kişilik internet kullanımında Türkiye nüfusunun %42’lik oran ile ülke sıralamasında 73. sırada yer almakta olduğunu görürüz. Lakin bu sıralama bir yana, bu alandaki haberlerde yer alan “esnek güvenlik çözümleri” ifadeleri kuşkulandırır beni. Hangisi esnek? Güvenlik mi yoksa çözüm mü? Yahut güvensizlik mi, çözümsüzlük mü? Nedir acaba bu elastikiyetin ekseni? Arkasına devlet(ler)in desteğini alan kişi ya da grupların siber saldırı faaliyetlerini saymazsak, mikro ve makro düzeyde “bilgi güvenliği ve gizliliği”nin nirengi noktası neresidir? Bu soruları sorarak ilk çapamızı burada atıp ileride mevzuu yine açalım.
Comments