Bilgi Güvenliği

Günümüzde bilgi teknolojileri kullanımı ile bilginin üretilmesi, depolanması, paylaşılması ve kullanılması kolaylaşmış; bilgi, bilgi çağıyla birlikte bilgi teknolojilerinin yaygınlaşması sonucunda hızlı ve sürekli bir şekilde üretilebilen, geliştirilebilen, iletişim kanallarıyla taşınan, bölünebilen, paylaşılabilen ve üretim faktörleri ile ikame edilebilen bir ürün halini almıştır. Organizasyonlar ve bireyler arasındaki kompleks ilişkiler bilginin alıcısına ulaşma güvenirliğini azaltmaktadır (Guredin, 1994: 4). Bilginin bu kadar hayati önem taşıdığı bir ortamda bilginin güvenliğinin sağlanması da kuşkusuz önemlidir. Çünkü bilgi ve bilginin işlendiği sistemler ve bilgisayar ağları önemli ticari varlıklardır. Konuya kurumsal düzeyde bakıldığında, korunması gerekenlerin, kurum içi veri, kurum içi bilgi sistemleri ve kurum itibarı olduğu görülmektedir. Bilginin gizliliği, güvenilirliği ve kullanılabilirliğinin sağlanması yani bilgi güvenliğinin sağlanması; kurumların ayakta kalabilmesi ve hedeflere ulaşabilmesi için son derece önemlidir. Benzer şekilde bilgi güvenliği, yasal yükümlülükleri yerine getirebilmek, rekabet gücünü ve ticari/sosyal imajı korumak ve sürdürmek için zorunlu ve gereklidir. Herhangi bir şekilde güvenliğin ihlal edilmesi kurumlar için verdikleri hizmetlerin aksamasına, maddi zararlara ve en az maddi zararlar kadar yıkıcı etkisi olan manevi zararlara neden olabilir. Kurumun, kamu, müşteriler, iş ortakları ve hissedarlar karşısında güven kaybına uğraması, stratejik bilgiden yoksun kalması ve kurumsal itibarın zedelenmesi gibi zararlarla karşı karşıya kalması söz konusu olabilir.

Bilgi güvenliğinin sağlanabilmesi için sadece teknoloji kullanımı yeterli değildir. Güvenliğin teknik yönü kadar sosyal yönü de dikkate alınmalı ve güvenlikte en zayıf halka olarak nitelendirilen insan faktörü güçlendirilmelidir. Aksi takdirde bilgi güvenliğini sağlamak için sadece teknolojiye yapılan yatırımların boşa gitmesi ihtimali

bulunacaktır. Gonzales ve Sawicka (2002), bilgi güvenliğinin teknoloji ve insanı içerdiğini, güvenlik sistemlerinin ne kadar iyi tasarlanmış ve uygulanmış olursa olsun insanlara bağlı olduğunu ve bilgi güvenlik sistemlerinde insan faktörünün daha iyi anlaşılması gerektiğini belirtmektedir. Bu görüşlerin doğruluk payı bulunmaktadır. Kurumun/sistemin kullanıcıları bilinçlenmemişse, en güçlü güvenlik ürünleri bile yeterli koruma sağlayamaz. Bu çerçevede bakıldığında kurumlar için bilgi güvenliğinin sağlanmasında teknik altyapının oluşturulması kadar insan faktörünün de dikkate alınması ve bilgi güvenliğinin sağlanması için sistem tasarlanırken kullanıcıların bilinçlendirilmesi için eğitim programları ile bilgi güvenlik yönetim sistemin desteklenmesi gerekliliği ortaya çıkmaktadır. Ancak burada önemli olan bilgi güvenlik yönetim sisteminin planlama aşamasından itibaren insan ve eğitim faktörlerinin sürece dâhil edilmesidir.

Bilgi güvenliğinin sağlanması diğer sektörlerde olduğu gibi eğitim alanında da gereklidir. Çünkü daha önce eğitim kurumlarında saklanması gereken kritik kâğıt belgelerin yerini elektronik kayıtlar almakta, elektronik imzanın uygulanması ile birlikte dijital ortamlara geçişin hızlanacağı öngörülmektedir. Kâğıt ortamda kilit altında saklanan bu belgelere gösterilen özenin elektronik kayıtlara da gösterilmesi gerekmektedir. Günümüzde bilgi güç demektir. Bilişim sistemleri eğitim kurumlarında eğitimsel süreçlerin daha etkili hale getirilmesi için kullanılabilecek bir araçtır. Öğrenciler, personel, dersler, programlar, verilen hizmetler hakkındaki bilgiler bilgi teknolojileri ile toplanabilir ve yönetilebilir. Böylelikle eğitim kurumları öğrencilere sunulan hizmetleri daha iyi koordine edebilir, öğrenme süreçlerini daha az kaynakla ölçebilir; personele görev atamalarını yaparak bunları ve kaynakların kullanımını takip edebilir, topluma pek çok katma değerli hizmet sunabilirler. Dijital kütüphaneler, çevirimiçi eğitim bu hizmetlere örnek olarak verilebilir.

Bilgi ve iletişim teknolojileri eğitimsel kayıtların saklanması, bilgiye erişim ve kullanımı kolaylaştırmaktadır, ancak beraberinde bilgi güvenliği ile ilgili riskleri de getirmektedir. Eğitim kurumları yeni teknolojileri kullanırken bu teknolojilerin sağlayacağı faydaların yanı sıra bu teknolojilerin getirdiği risklerin de farkında olmalıdır. Bilgi güvenliğinin eğitim sürecine dolaylı yoldan etkilerinin olması söz

konusudur. Bir üniversitede elektronik olarak tutulan öğrenci notlarının değiştirilmesi durumunda ya da daha vahimi bu notların tamamının kaybı durumunda dolaylı yoldan eğitim sürecine etkisinin yüksek olduğunu söylemek yanlış olmaz. Ya da bir akademik personelin bilgisayarında tuttuğu araştırma verileri veya eğitimle ilgili kullandığı bilgi varlıklarının; kütüphanede kullanılan ve kullanılan kaynak bilgileri ile birlikte ödünç alma verilerinin bilgi sistemlerinde tutulması söz konusu ise bu bilgi varlıklarının; öğrenciler ve personelle ilgili bilgi sistemlerinde tutulan bilgi varlıklarının değiştirilmesi, zarar görmesi veya tamamen kaybedilmesi durumunda etkilerinin göz ardı edilmemesi gereklidir. Eğitimde kullanılan bilgisayar laboratuarlarının veya çevrimiçi eğitim sistemlerinin zararlı kodlar (virüs, solucan vb.) sebebiyle iş göremez hale gelmesi, konuyla ilgili yeterli hazırlıkların yapılmamış olması durumunda bu sistemlerin tekrar işler hale getirilmesinde geçecek zaman ve işgücü kaybının etkilerinin de yüksek olacağı söylenebilir.

Eğitimsel Güvenlik Olayları (ESI- Educational Security Incidents) web sitesinde dünyadaki kolej ve üniversitelerde meydana gelmiş ve basında yer almış olan bilgi güvenlik olaylarının kayıtları tutulmaktadır. Bu web sitesinin amacı eğitim kurumlarına eğitimsel bilgi ve bilgi sistemlerine karşın tehditlerin var olduğunu anlamalarına yardımcı olmaktır (Dodge, 2008). ESI başlangıçta kolej ve üniversitelerin bilgi güvenliği hakkında düşünmeye başlamalarını sağlayabilmek için kişisel bir araştırma projesi olarak başlatılmıştır. Dodge (2008) raporunda da belirtildiği gibi güvenlik olayları 6 sınıfta gruplandırılmıştır. Bunlar:

• Çalışan Sahtekârlığı (Employee Fraud): Çalışanlar tarafından sahtekârlığa yönelik aktiviteleri içeren olaylar.

• Taklit (Impersonation): Bir kişinin (kişilerin) farklı bir kişi (kişiler) veya kurum gibi kendini tanıtarak gerçekleştirilen olaylar.

• Kayıp (Loss): Fiziksel medyaların örneğin disklerin, ekipmanların veya basılı materyallerin kaybolması tahrip edilmesini içeren olaylar.

• Sızma/Nüfuz Etme (Penetration): Bilgisayar yazılımı, bilgisayar sistemi veya bilgisayar ağına sızma olayları.

• Hırsızlık (Theft): Fiziksel medyaların örneğin disklerin, ekipmanların veya basılı materyallerin çalınmasını içeren olaylar.

• Yetkisiz Açıklama, Đfşa (Unauthorized Disclosure): Bilinmeyen ve/veya yetkisiz kişilere bilginin gösterilmesini içeren olaylar.

Raporda güvenlik olaylarına konu olan bilgi için de aşağıdaki 6 sınıfta gruplama yapılmıştır. Bunlar:

• Eğitimsel (Educational): Bireylerin ders programı, not bilgileri gibi eğitimsel bilgilerini içermektedir.

• Finansal (Financial): Bireylerin banka hesap numaraları, kredi kartı numaraları gibi finansal bilgileri içermektedir.

• Tıbbi (Medical): Bireylere ait tıbbi bilgileri içermektedir.

• Kişi Olarak Tanımlayıcı (Personally Identifiable): Bir bireye ait olan bilgiyi içermektedir (ama ille de özel olması gerekmez, örneğin isim, adres, doğum tarihi, e-posta adresi, vb. olabilir).

• Sosyal Güvenlik Numaraları (Social Security Numbers): Bireylerin sosyal güvenlik numaraları (veya ABD dışındaki ülkelerde benzer amaç için kullanılan bilgileri) içermektedir.

• Kullanıcı adları ve şifreleri (Usernames and Passwords): Bireyin bilgi kaynağına erişimi için kullandığı erişim bilgilerini içermektedir.

Aşağıda Şekil 1’de görüldüğü gibi “Kişi Olarak Tanımlayıcı Bilgi” 2007 yılındaki bilgi güvenlik olaylarında liderliği sürdürmektedir. Grafikte görülen kullanıcı adı ve şifrelerle ilgili güvenlik olayı az görünmesine rağmen son derece önemlidir. Çünkü bireyler, kurumun bilgisayar ve ağ sistemlerine girmek için bu bilgileri kullanmaktadır ve bu bilgilerin ele geçirilmesi yetkisiz olarak sistemlere giriş imkânı sağlayacaktır (Dodge, 2008).

Şekil 1. Güvenlik Olaylarına Konu Olan Bilgi Kategorileri

Aşağıdaki Şekil 2’de görüldüğü üzere en genel güvenlik onayı %38 oranı ile yetkisiz açıklama, diğer bir deyişle bilginin yetkisi olmayan kişiler tarafından görülebilir ve kullanılabilir olmasıdır. Bunu % 28 ile hırsızlık olayları takip etmektedir. 2007 yılı boyunca çalışanların faaliyetleri sebebiyle yaşanan güvenlik olayları oranının yüksek olduğu görülmektedir. Saldırganlar tarafından gerçekleştirilen sızma olayları %22 iken, kötü niyetle olmasa bile çalışan faaliyetleri sebebiyle ortaya çıkan kayıp ve yetkisiz açıklama oranı toplamı %47 gibi bir orana sahiptir (Dodge, 2008).

Şekil 2. Güvenlik Olayları

Gartner (2006) tarafından yayınlanan raporda aşağıdaki Şekil 3’de görüldüğü üzere, güvenlik olaylarının/saldırılarının %52’si kötü niyetli olmayan personel hatalarından kaynaklanmaktadır. Yine aynı raporda geçen verilere göre güvenlik saldırısı kaynakları incelendiğinde bu kaynaklar içerisinde personel birinci sırada yer almaktadır.

Şekil 3. Güvenlik Olaylarının Nedenleri ve Kaynakları

Đnsan unsurunun bilgi güvenliğinin sağlanmasında önemini vurgulayan bu çalışmalar, bilgi güvenlik yönetim sistemi oluşturulurken de insan ve bilgi odaklı, eğitimsel hedeflerin birinci öncelikte dikkate alındığı bir modelin uygulanmasının da fayda sağlayacağını göstermektedir.

Bir başka raporda (Gartner, 2001), yükseköğretim kurumlarından güvenlik yapısını planlama ve uygulamayı başaramayan kurumlardan yüzde yetmiş beşinin sonraki beş yıl içerisinde en az bir güvenlik ihlali ile stratejik servislerinde kesinti olacağını öngörüldüğü belirtilmektedir. Unutulmaması gereken nokta, şimdiye kadar sorunla karşılaşılmamış olmasının bundan sonra da sorun yaşanmayacağının garantisini vermediği gerçeğidir.