Günümüzde siber alanda bilişim sistemleri ve bu sistemlere yönelik yapılan saldırıları sebebiyle çok büyük zararlar meydana gelmektedir. İnternetin
65Bkz. CLARKE, Richard A.; KNAKE, Robert K. , Siber Savaş, (Çeviren: Murat Erduran), İkü
40
hayatımızda bulunduğu her alanda siber tehditler karşımıza çıkması ve bir şekilde bu tehditler neticesinde zarar meydana gelmesi mümkündür. Yapılan saldırılar neticesinde şirketlerin ticari sırları, devletlerin savunma politikaları ve gizli projeleri, kişilerin kişisel verileri, TC kimlik numaraları çalınmakta kredi kartları kopyalanmaktadır.
Hatta ABD de 2016 yılında işlenen bir cinayet soruşturmasında cinayeti araştıran polis Amazon firmasından kadının evinde bulunduğu fark edilen Echo isimli akıllı ev asistanı cihazı olay mahaline yakın olduğundan cinayete ilişkin ses kaydı almış olabileceği varsayımı ile ses kayıt bilgilerini istemiştir.
Saldırıların yaratabileceği zarar zadece bilgisayarlar veya telefonlarla sınırlı kalmamaktadır. Akıllı saatler, akıllı telefonlar, akıllı evler, arabalar hatta sağlık teçhizatları ve kullanılmakta olan birçok elektronik cihaz artık internet sayesinde "akıllı" hale gelmiş olup bu gelişim düzeyi aynı zamanda zafiyetleri de beraberinde getirmiştir. Sağlık için kullanılan kalp pilleri uzaktan erişimle kontrol edilmesi şu an ki durumda muhtemeldir. Bilişim sektörüne bağımlılık saldırganlara ve saldırılara karşı her gün daha da savunmasız hale gelinmesine sebep olmaktadır. Bilişim sistemlerine hayatın her alanında duyduğumuz bağımlılık tehditlerin ne boyutta zarar verebileceğini göstermektedir.
2014 tarihinde Avrupa Polis Teşkilatı Europol ilk online cinayetin yıl sonuna kadar işlenmesini bekledikleri açıklanmış olup Europol tarafından güvenlik şirketi IID'nin raporuna atıf yapılarak yapılan uyarı ile; Raporda hackerların kablosuz internet bağlantısı olan kalp pili üzerinden bir kişiyi öldürebilecekleri online cinayetin kalp pilinin dışında insülin pompaları üzerinden veya hastane odalarındaki akıllı yataklardan da yapılabileceği belirtilmiş olup raporda ayrıca çevremizi saran internet ağları nedeniyle fidye olaylarının da yakın gelecekte artacağı öne sürülmüş ve hackerların akıllı garaj kapısı, asansör veya araba üzerinden istedikleri kişileri rehin alabilecekleri belirtilmiştir66.
66Bkz.https://www.sabah.com.tr/pazar/2014/10/19/ilk-online-cinayet-bir-tik-uzakta (Erişim Tarihi:
41
Bu nedenle öncelikle devletler bazında gerekli siber güvenlik önlemlerinin alınması ve geçerli güncel siber güvenlik politikalarının oluşturulması gerekmekte olup bireylere ve kurum ve kuruluşlara müşterilerinin bilgilerini koruma konusunda gerekli siber güvenlik önlemlerini alma ve bu hususta toplumun bilinçlendirilmesi için önemli bir görev düşmektedir.
Bu görevlerin en kritik olan bilgi güvenliği açısından incelendiğinde ve siber güvenliğinde temel prensipleri içerisinde yer alan olan verinin gizlilik, bütünlük ve erişilebilirliğini koruma görevidir. Bilgiyi saklamakla görevli kurumların, sahip oldukları kurumsal verileri ve müşterileri kişisel verilerinin gerçekliğini, bütünlüğünü ve erişilebilirliğini bunun yanında yetkili kişiler arasında da paylaşılabilirliğini garanti altına alması gerekmekte olup bu amaç doğrultusunda oluşturulmuş ve kullanılmakta olan programların da bilgi güvenliği prensipleri doğrultusunda görevlerini tam ve eksiksiz yerine getirmeleri gerekmektedir67. (HEKİM & BAŞIBÜYÜK, 2014)
Türkiye’nin son siber güvenlik strateji belgesi olan Ulusal Siber Güvenlik Stratejisi 2016-2019 Eylem Planı’nda bilgi güvenliği prensipleri şu şekilde tanımlanmıştır;
Gizlilik kavramı bilginin yetkisiz kişiler, varlıklar veya süreçlere kullanılabilir yapılmama ya da açıklanmama özelliğini,
Bütünlük kavramı varlıkların doğruluğunu ve tamlığını koruma özelliğini, Erişilebilirlik kavramı ise yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğini, ifade etmektedir68. (T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı, 2016)
Siber saldırılar çok büyük zararlara yol açmakta olup geçmişte bireyler ve şirketler için sadece güvenlik duvarından oluşan güvenlik teknolojileri, günümüzde
67Bkz. Yrd. Doç. Dr. Hakan HEKİM, Doç. Dr. Oğuzhan BAŞIBÜYÜK, “Siber Suçlar ve
Türkiye’nin Siber Güvenlik Politikaları- Cyber Crimes and Turkey’s Cyber Security Policies”, Uluslararası Güvenlik ve Terörizm Dergisi, Cilt 4, Sayı 2 , Yıl 2014 , sy.137
68 Bkz. T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı, Ulusal Siber Güvenlik Stratejisi ve
42
daha geniş , gelişmiş ve karmaşık bir sistem haline gelmiş durumdadır. Hacker'ların düzenlediği siber saldırılarda güvenlik duvarlarını aşmak için bugün en az bilindiği kadarıyla 800 milyon farklı yöntem denenmektedir. Başlıca TCP/IP protokollerini kandırmak için geliştirilen ve giderek daha komplike ve gelişmiş saldırılara dönüşen bu saldırı çeşitleri Advanced Evasion Techniques (AVT) olarak adlandırılmaktadır69.
Aşağıda örnekler ve şirketlerin yayınladıkları siber güvenlik raporları kapsamında dünyada meydana gelen siber saldırılar ve meydana getirdikleri zararların büyüklüğü açıklanmaya çalışılacaktır.
- Labris Networks şirketi tarafından 2014 yılı Siber Güvenlik Raporu ve
2015 yılı için Öngörüleri açıklanmış olup bu rapor kapsamında 2014 yılı içerisinde yapılan değerlendirme ve incelemelerde Türkiye’de özellikle spam(istenmeyen elektronik posta) konusunda çok önemli sorunlar yaşandığı, iletilen tüm elektronik postalarda spam oranının %84’e ulaştığı belirtilmiş ve spam içeren elektronik posta oranının önceki seneden %140 arttığı, spamlerde en çok karşılaşılan konuların online ürün satışları olduğu, online ürün satışlarını, zararlı yazılım taşıyan iletiler, kurumsal teklifler, arkadaşlık ağları ve cinsel içerikli elektronik postaların takip ettiği, tehditlerinde önceki yıla nazaran %10 artış gösterdiği, 2014 yılı içerisinde casusluk ve fidye maksadı ile kullanılan zararlı yazılımların en yüksek seviyeye ulaştığı belirlenmiş olup raporda siber dünyanın bir savaş alanı olduğu vurgulanmıştır. Rapora göre 2014 yılı içerisinde Labris SOC’da gözlemlenen kişisel bilgisayar tabanlı zararlı yazılımların %96’sı Windows işletim sistemini hedef aldığı, mobil tabanlı zararlı yazılımların %97’si Android işletim sistemini hedef aldığı belirlenmiştir70.
69Bkz. http://www.memurlar.net/haber/489141/ (Erişim Tarihi: 21.05.2017)
70Bkz.http://labrisnetworks.com/tr/tr-labris-networks-2014-siber-guvenlik-raporu-ve-2015-
43
Cisco tarafından şirketlerin, günümüzde siber güvenlik konusundaki zorlukları daha iyi anlayarak cevap verebilmelerinin sağlanması amacı ile “Güvenlik Manifestosu” nu açıklamıştır.
- Dimensional Research firması tarafından 2011’de sosyal mühendislik saldırılarına yönelik araştırmaya göre; Güvenlik uzmanlarının % 97'si ve tüm Bilişim Teknolojisi uzmanlarının % 86'sı potansiyel güvenlik tehdidinin farkında olup, % 43'ü sosyal mühendislik programlarının hedefi olmuş sadece % 16'sı sosyal mühendislik tarafından hedef alınmadıklarını belirtmiştir. Araştırmaya göre finansal kazançlar, sosyal mühendisliğin ana motivasyonu olup sosyal mühendislik saldırılarının % 51'i mali kazanç motivasyonu ile yapıldığını ortaya konmuştur. Sosyal mühendislik saldırılarının %14'ü ise intikam amacıyla yapılmaktadır. Büyük şirketlerin% 48'i ve her büyüklükteki şirketin% 32'si 25 veya daha fazla sosyal mühendislik deneyimlemiştir. Son iki yılda saldırılar tüm katılımcıların % 48'inde olay başına ortalama maliyet 25.000 doları aşmış olup büyük şirketlerin% 30'u olay başına maliyeti 100.000 dolardan fazla olduğu tespit edilmiştir. Ayrıca araştırma neticesinde yeni çalışanların sosyal mühendislik saldırılarına karşı en hassas grubu oluşturduğu belirlenmiştir71.
Yukarıda anılan gibi örnekleri binlercesiyle çoğaltmak mümkündür. İnternetin günlük hayatın her anına ulaşmasıyla birlikte günümüzde her üç kişiden biri kimlik hırsızlığının hedefi olmaktadır ve bu oran gün geçtikçe artmaktadır. Bu sebeple siber saldırılara karşı koruyucu önlemler almak ve bilinçlenmek, siber güvenlik politikalarının devletler, bireyler, şirketler ve kurumlar bazında çok sıkı bir şekilde uygulanması ve gerekli her türlü tedbirin alınması gerekmektedir.
71Bkz. Dimensional Research (2011). The risk of social engineering on information security:
Asurvey of IT professionals belgenin orjinaline https://www.stamx.net/files/The-Risk-of-Social- Engineering-on-Information-Security.pdf adresinden erişilmiştir. (Erişim Tarihi: 01.06.2017)
44
İKİNCİ KISIM
SİBER GÜVENLİK POLİTİKALARI