Siber Güvenlik

Siber güvenlik, en yalın manasıyla siber uzayın her çeşit tehditten korunmasını temel alır. Siber güvenlik kavramı bütüncül ve derleyicidir. En basit siber suçtan en kötü ve karmaşık saldırıya kadar tüm katmanları içerisinde barındıran birleştirici unsurlar bütünüdür. Siber güvenlik en basit haliyle veri mahremiyetinin, bütünlüğünün ve ulaşılabilirliğinin korunmasıdır. Siber tehditleri üç ana konu başlığında toplayabiliriz.

Bunlar: siber hatalar, siber kazalar ve siber saldırılar. Bu konu başlıklarının ulusal güvenlik bakımından organize edilmesi elzemdir. Siber suçlarla mücadele, siber askeri operasyonlar ve organizasyonlar; istihbarat ve istihbarata karşı koyma, kritik altyapı bileşenlerinin korunması ve kriz yönetimi, internet ağının yönetişimi ve siber diplomasi konuları ulusal siber güvenliğin esaslarını meydana getirmektedir (Bıçakcı, 2019: 1, Erişim Tarihi: 21.07.2020).

125 Siber tehditler yalnızca bilgisayar sistemlerine yarattıkları zararlar ile kalmamakta ülkelerin hayati öneme haiz haberleşme sistemlerine, enerji altyapılarına, ulaşım yollarına, askeri komuta ve koordinasyon merkezlerine zarar verecek boyuta ulaşmış asimetrik bir savaş yöntemi olarak kabul görmektedirler. Küreselleşen dünyada siber tehditlerin en önemli savaş tehlikelerinden birisi olacağı tüm dünya sistemleri tarafından kabul görmeye başlamıştır. Bu nedenlerle siber saldırılara karşı etkili savunma sistemlerinin bina edilmesi acil durum ve kriz haline hazırlıkların oluşturulması önem arz etmektedir. Oluşabilecek saldırının gerçekleşmeye başladığı anda derhal tespit edilmesi, sanal veya fiziksel koruma kalkanı inşa edilmesi, ulusal anlamda makro ve mikro siber güvenlik politikalarının tesis edilmesi zorunluluk halini almıştır. Tüm bunların yanında siber güvenlik konusunda durumsal farkındalık meydana getirmek elzemdir. Son yıllarda popülerleşmeye başlayan siber güvenlik alanında durumsal farkındalık yaratılması ile ilgili araştırmalar bu ihtiyacı karşılamaya yönelmekte ve konu ile ilgili araştırmaların artması beklenmektedir.

Devletler siber ortamda güvenliği sağlayabilme adına siber dünyanın bileşenlerini her türlü saldırılara karşı korumak, bu saldırılara müdahale etmek, saldırganları cezalandırmak, yasal anlamda düzenlemeler yapmak ve tüm bu faaliyetleri iyi ifa edecek organizasyonları tesis etmek maksadıyla siber politika ve stratejiler geliştirmektedirler (Aslay, 2017: 24-25).

Dünyada vukuu bulan siber güvenlik olaylarının neredeyse tamamına yakını aşağıda sıralanan yöntemlerden bir ya da birkaçının bileşkesi şeklinde meydana gelmektedir.

Genel erişime açık internet ağlarının veya bu ağda bulunan sitelerin içini boşaltmak, bu sitelerde kayıtlı bulunan dosyalara izinsiz olarak erişerek bilgi çalmak gibi yöntemler çok sık rastlanılan saldırı şekillerindendir. Site veya web sayfalarına erişimi engellemek, her ne kadar sistemdeki dosyaların içeriğini değiştirmemiş olsalar dahi ilgili sunuculara virüs benzeri zararlı yazılımlar eklemek, bu yazılımlar sayesinde sisteme fiziksel zararlar açmak, bu yollarla bilgi ve emek hırsızlığı tarzında siber suçlar işleyerek elde edilen bilgileri üçüncü şahıslara vermek, karşılaşılan saldırı çeşitlerinden bir kısmı olarak kabul edilmektedir. Şahısların istemleri dışında bilgisayar sistemleri üzerinden çeşitli propaganda ve gayri yasal faaliyetler gerçekleştirmek, siber ortamda bir takım zararlı organizasyonlar kurmak ve bunları koordine ederek çoğunluk sağlamak, masum vatandaşların bilgisayarlarını ele geçirerek köleleştirmek ve saldırganların istediği zamanda bir güç çarpanı olarak

126 kullanmak da siber yollarla yapılan saldırılardandır. Siber ortamda karşılaşılan en önemli faaliyetlerden bazıları da görsel olarak ortaya konulan yayınlardır. Çocuk istismari videoları, erişkin içerikli görüntülerin kullanıcıların isteği dışında ekrana yansıtılması, insanların mahrem hayatlarının ifşa edilmesi ve bu görüntülerin pazarlanması, rahatsız edici reklamların devamlı surette ekranda döndürülmesi veya insanları reklam butonunu tıklamaya zorlayıcı yazılımlar kullanılması da siber saldırılar arasında sayılmaktadır (Öğün ve Kaya, 2013: 170).

Siber güvenlik konusu içinde değerlendirilen suç ve suç unsurları üç ana başlığa ayrılır. Birincisi internet ağları vasıtasıyla işlenen ve dolandırıcılık, taciz, şantaj ve sahtecilik olarak adlandırılan klasik suçlardır. İkincisi ise internet ortamında yayınlanan yasal olmayan içeriklerdir. Üçüncü başlıkta ise elektronik ağlara mahsus ve korsanlık, virüs benzeri zararlı yazılım yükleme, hizmet verilmesini ve erişimi engelleme ve propaganda içerikli sosyal mühendislik şeklinde adlandırılan suçlar bulunur (Hekim ve Başıbüyük, 2013: 137-144). Söz konusu siber suçlarla mücadele kapsamında dünyada güvenlik kuvvetleri tarafından ciddi bir efor sarf edilmektedir.

Esasında son yıllarda siber güvenliği tehdit eden suçların çoğalması ve ülkelerin güvenliğini ciddi bir biçimde tehlikeye düşürmesi bu alanda uzman personelin yetiştirilmesini zorunlu kılmıştır. Bu nedenle iç güvenlikte siber suçlarla mücadele birimleri son derece önem kazanmıştır.

Siber güvenlik konusunda irdelenmesi gereken temel hususların başında kişisel verilerin korunması gelmektedir. Kamu kurum ve kuruluşlarınca birtakım iş ve işlemlerin elektronik cihazlar ve internet ağları üzerinden gerçekleştirilmesi bazı riskleri doğurmaktadır. Zararlı yazılımlar ve art niyetli şahıslarca yapılan elektronik saldırılar, gerek kurumsal gerekse kişisel verilerin gizliliğini ihlal etmekte, bilgiye ulaşılması hususunda kontrolü zorlaştırmakta ve bazı güvenlik risklerini meydana getirmektedir. Bununla beraber internet ağlarına ve donanımlarına zararlı yazılımlar yüklenmesi ve bu yazılımlarla savaşan karşı tedbirlerin geliştirilmesi ihtiyacı, yazılım şirketleri ile işbirliğinin artırılmasını ve farklı siber güvenlik yöntemlerinin geliştirilmesini gerekli kılmıştır. İletişim ve bilgi teknolojilerinin çok hızlı yaygınlaşması, internet tabanlı iletişim kanalları önde olmak üzere farklı elektronik cihazların günlük yaşantımızda daha çok yer kaplaması ve bilgiye ulaşmanın hayli kolaylaştığı dikkate alındığında kişisel verilerin mutlak surette korunmasına olan ihtiyaç küresel boyutta değerlendirilmesi gereken bir sorunsal haline gelmiştir.

127 Dünyada meydana gelen bazı olaylarda, kişisel verilerin yasalara aykırı biçimlerde ilgisiz, hatta art niyetli şahısların eline geçmesi ve yine yasalara aykırı bir biçimde kullanılması kamuoyunda çok ciddi bir duyarlık oluşmasına vesile olmuştur (Kutlu ve Kahraman, 2017: 46).

Kişisel verileri korumak için kullanılan bilgi güvenliği önlemleri, bilgi edinmeden bilgilerin yok edilmesine kadar tüm süreçlerde aktif olan tüm katılımcılara ve bilgi işlemeye dâhil olan tüm paydaşlara belirli sorumluluklar atfeden bir güvenlik zinciri oluşturmaktadır. Bu sebeple, etkili teknik önlemlerin yanında idari personelin yasal sorumlulukları ve veri sorumluluğu kapsamında tüm yükümlülüklerini yerine getirmesi önemlidir. Bilgi teknolojisi, depolanan verilerin niteliğinde geçmişe dönük değişiklikler geçirmiş ve bu değişiklikler, alınacak güvenlik önlemleri ile ilgili sorumlulukların paylaşılmasını gerekli kılmıştır. Günümüzde bilgi güvenliğinin sağlanması bilginin nasıl edinildiği, hangi maksatla işlendiği, verilerden sorumlu güvenlik personelinin kim olduğu, verilerin hangi şartlarda ve nasıl saklandığı, kullanım ömrünü tamamlayan verilerin kimlerce nasıl imha edildiği sorularının cevabının açıkça verilebiliyor olması önem arz etmektedir. Bilgiye ilişkin verilerin elde edilmesinden imha edilmesine kadar olan süreçte yer bulan tüm elemanların yasal sorumluluklarını kabul edilen bilgi güvenliği politikası ışığında yerine getirmeleri durumunda bilgi güvenliği çarkının tamı tamına çalıştığı görülebilecektir.

Fakat kişisel verilerin korunması gibi önemli bir konuda verilerin en üst seviyede korunuyor olması gerekmektedir. Bilgi güvenliği politikaları oluşturulurken, kişi hak ve ödevlerine mutlaka değinilmesi gerekmektedir. Bilgi güvenliğinden sorumlu yöneticilerin bu sorumluluklarını paylaşmaları ve paydaşlarla koordineli çalışmaları sağlanmalıdır (Henkoğlu, 2017: 47-48).