BİR KURUMUN BİLGİ GÜVENLİĞİ FARKINDALIĞININ İNCELENMESİ
Abdulkadir BİLEN
Yüksek Lisans Tezi
Bilgisayar Mühendisliği Anabilim Dalı Danışman: Doç. Dr. A. Bedri ÖZER
T.C.
FIRAT ÜNİVERSİTESİ FEN BİLİMLERİ ENSTİTÜSÜ
BİR KURUMUN BİLGİ GÜVENLİĞİ FARKINDALIĞININ İNCELENMESİ
YÜKSEK LİSANS TEZİ
ABDULKADİR BİLEN
(152129113)
Tezin Enstitüye Verildiği Tarih : 26 Aralık 2016 Tezin Savunulduğu Tarih : 10 Ocak 2017
ARALIK-2016
Tez Danışmanı : Doç. Dr. A. Bedri ÖZER (F.Ü.)
Diğer Jüri Üyeleri : Doç. Dr. Muhammet Fatih TALU (İ.Ü.) Yrd. Doç. Dr. Ahmet ÇINAR (F.Ü.)
T.C.
FIRAT ÜNİVERSİTESİ FEN BİLİMLERİ ENSTİTÜSÜ
BİR KURUMUN BİLGİ GÜVENLİĞİ FARKINDALIĞININ İNCELENMESİ
YÜKSEK LİSANS TEZİ
ABDULKADİR BİLEN
(152129113)
Anabilim Dalı: Bilgisayar Mühendisliği
Programı: Yazılım
Danışman: Doç. Dr. A. Bedri ÖZER
Tezin Enstitüye Verildiği Tarih: 26 Aralık 2016
II
ÖNSÖZ
Bu tez çalışması bilgi güvenliği farkındalığını artırmak amacıyla, Fırat Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı Yüksek Lisans Programı’nda hazırlanmıştır.
Abdulkadir BİLEN Elazığ - 2016
III İÇİNDEKİLER Sayfa No ÖNSÖZ ... II İÇİNDEKİLER ... III ÖZET ... V SUMMARY ... VI ŞEKİLLER LİSTESİ ... VII TABLOLAR LİSTESİ ... VIII KISALTMALAR ... X 1. GİRİŞ ... 1 2. LİTERATÜR ... 4 2.1. Bilgi Güvenliği ... 4 2.1.1. Gizlilik ... 5 2.1.2. Bütünlük ... 6 2.1.3. Sürekli Erişilebilirlik ... 6 2.1.4. Kimlik Doğrulama ... 6 2.1.5. İnkâr Edilemezlik ... 7
2.2. Bilgi Güvenliğine Yönelik Saldırılar ... 7
2.2.1. Kötücül ve Casus Yazılımlar ... 8
2.2.2. Kimlik Doğrulama ... 10
2.2.3. Yemleme ... 11
2.2.4. Hizmeti Engelleyen Saldırılar ... 12
2.2.5. Structured Query Language (SQL) Enjeksiyonu ... 14
2.2.6. IP Sahteciliği ... 14
2.2.7. ARP Saldırısı ... 15
2.2.8. Sosyal Mühendislik Saldırısı ... 15
2.3. Bilgi Güvenliğinin Sağlanması Gereken Alanlar ... 16
2.3.1. Kişisel Bilgisayarlar ... 16
2.3.2. Ağlar ... 17
2.3.3. Akıllı Sistemler ... 20
2.3.4. Kritik Altyapılar ... 22
2.3.5. Adli ve Emniyet Birimleri ... 23
2.3.6. Enerji Sistemleri ... 25
2.3.7. Finans Sektörü ... 27
2.4. Bilgi Güvenliği Politikaları ... 28
2.4.1. Siber Güvenlik Unsurları ... 28
2.4.2. Siber Güvenlik Kuralları ... 29
2.4.3. Ulusal Bilgi Güvenliği ... 33
2.4.4. Türkiye’de Siber Güvenlik Stratejileri ... 34
2.4.5. Dünyada Siber Güvenlik Stratejileri... 35
2.5. Bilgi Güvenliği Prosedürleri ve Standartları ... 37
2.5.1. Bilgi Güvenliği Standart ve İlkelerin Amaçları ... 37
2.5.2. Bilgi Güvenliği Risk Değerlendirmesi ... 40
2.5.3. Bilgi Güvenliği Riski Değerlendirme Kılavuzu ... 40
IV
2.5.3.1.1. Risk Değerlendirme NIST Örneği ... 42
2.5.3.2. Bilgi Güvenliği Risk Değerlendirmesi Performansı ... 47
2.5.3.3. Bilgi Güvenliği Risk Değerlendirme Belgeleri ... 48
2.5.3.4. Bilgi Güvenliği Risk Değerlendirmesi Faydaları ... 48
2.6. Bilgi Güvenliği Prosedürleri ... 49
2.7. Bilgi Güvenliği Standartları... 50
2.7.1. Federal Information Security Management Act (FISMA) ... 50
2.7.1.1. FISMA Faydaları ... 51
2.7.2. International Standards Organization (ISO) 27001 ... 51
2.7.2.1. ISO 27001 Güvenlik Kontrol Çerçevesinin Faydaları ... 52
2.7.3. Control Objectives for Information and Related Technology (COBIT) ... 52
2.7.3.1. COBIT Güvenlik Kontrol Çerçevesinin Faydaları ... 53
2.7.4. Her Majesty’s Government (HMG) / Security Policy Framework (SPF) ... 53
2.7.4.1. HMG / SPF Faydaları ... 54
3. MATERYAL VE METOD ... 55
3.1. Araştırma Modeli ve Motivasyon ... 55
3.2. Evren ve Örneklem ... 55
3.3. Veri Toplama Aracı ... 55
3.4. Verilerin Toplanması ... 56
3.5. Verilerin Çözümlenmesi ... 56
4. BULGULAR ... 58
4.1. İstatistiksel Analiz ... 58
4.1. Ankete İlişkin Bilgiler ... 59
5. SONUÇ ... 78
KAYNAKLAR ... 81
EKLER ... 84
V
ÖZET
Bilgi güvenliği, ekonomik ve ulusal güvenlik sorunlarından biri olduğu için önemi son derece artmıştır. Bilgi güvenliği ülkelerin askeri ve istihbarat alanlarında çok büyük önem arz etmektedir. Bilgi güvenliğini tehdit eden unsurlar sadece ulusal hükümetlerin değil, uluslararası toplulukların da gündemine girmiştir. Gelişen teknolojiyle birlikte tüm ulus ve uluslararası topluluklar sistemlerinin güvenlikleri konusunda yeni arayışlar içerisine girmiştir. Sistem güvenliklerini sağlamada en önemli noktalardan birisi de ayrıntılı bir şekilde yapılan risk analizleridir.
Bu çalışmada öncelikle bilgi güvenliği konusunda bilinmesi gereken kavramlar, siber saldırılar, güvenlik önlemleri, bilgi güvenliği standartları ve prosedürleri detaylı olarak ele alınmış, meydana gelebilecek güvenlik zafiyetlerinin en aza indirilmesinde bilgi güvenliği farkındalığı sağlanmaya çalışılmıştır.
Bilgi güvenliği farkındalığını incelemek için bir kurumda bilgi teknolojileri biriminde ve diğer birimlerde çalışanlara istatistik analiz aracıyla bir anket düzenlenmiş, katılımcılarının sorulara verdiği cevaplar analiz edilerek bilgi güvenliği konusundaki farkındalıkları belirlenmiştir. Bu bakımdan, genel anket verilerinin analiziyle kurum çalışanlarının bilgi güvenliği konusundaki bilgileri analiz edilmiştir. Bu tezde, bilgi güvenliği hakkındaki anketteki bazı sorulara cevaplar verilmiştir. Bilgi güvenliğinin konusunda yapılacakların artırılması ve herkesin farkındalığının artırılması gerektiği anlatılmaktadır. Farkındalık anketi uygulanmış ve kişiler arası farklılıklar belirlenmiştir.
VI
SUMMARY
Investigation of Information Security Awareness In An Institution
As information security is one of the economic and national security problems, its importance has increased tremendously. It is very important in the military and intelligence fields of the countries. The components threat information security have entered the agenda not only in national governments but also in international communities. With evolving technology, all national and international community systems have searched new ways for security. One of the most important points in ensuring system security is the detailed risk analysis.
In this study, firstly the concepts that should be known about information security, cyber-attacks, security measures, information security standards, procedures and standards have been discussed in detail and the information security awareness has been tried to be minimized by reducing security vulnerabilities.
In order to examine the awareness of information security, by means of statistical analysis an interview was done to personnels in Information Technology and the other units in an institution, and the answers given by the participants to the questions were analyzed to determine the awareness of information security. From this point of view, the information on the information security of the employees of the institution has been analyzed by analyzing the general questionnaire data. In this thesis, some questions about information security were answered. It is explained how much more important information security should be done and how everyone needs to be aware of it. Awareness questionnaire was applied and differences between the persons were determined.
VII
ŞEKİLLER LİSTESİ
Sayfa No
Şekil 2.1. Bilgi güvenliği hedefleri ... 4
Şekil 2.2. Bazı kötücül yazılımlara örnekler ... 8
Şekil 2.3. Bir yemleme örneği [17] ... 11
Şekil 2.4. Hizmeti engelleme saldırısı (DOS) ... 12
Şekil 2.5. Hizmeti engelleme saldırısı (DDOS) ... 13
Şekil 2.6. Hizmeti engelleme saldırı (PDOS) ... 13
Şekil 2.7. Güvenli bir ağ mimarisi örneği [22] ... 18
Şekil 2.8. Kritik altyapılardan bazıları ... 22
Şekil 2.9. Örnek bir olayda emniyet biriminde iş akışı ... 24
Şekil 2.10. SCADA [29] ... 25
Şekil 2.11. Siber savunma yönetimi [37] ... 36
VIII
TABLOLAR LİSTESİ
Sayfa No
Tablo 2.1. Son yılların en zarar veren saldırıları [14] ... 8
Tablo 2.2. Siber güvelik stratejisi olan ülkeler [39]... 37
Tablo 2.3. Sistem denetim yetenekleri [40] ... 38
Tablo 2.4. Nitel risk seviyeleri [42] ... 46
Tablo 2.5. Varlılar, tehditler ve açıkların sınıflandırılması[41] ... 49
Tablo 3.1. Güvenirlik Analizi ... 56
Tablo 4.1. Katılımcıların cinsiyet dağılımı ... 58
Tablo 4.2. Katılımcıların çalıştığı birimler ... 58
Tablo 4.3. Katılımcıların yaşı ... 58
Tablo 4.4. Eğitim durumu ... 59
Tablo 4.5. Bir günde bilgisayar başında geçen süre ... 59
Tablo 4.6. Katılımcıların çalıştığı birim ve daha önce duydukları saldırıların dağılımı ... 60
Tablo 4.7. Katılımcıların çalıştığı birim ve verileri yedekleme süresi ... 60
Tablo 4.8. Katılımcıların çalıştığı birim ve virüs taraması dağılımı ... 61
Tablo 4.9. Katılımcıların çalıştığı birim ve bilgi güvenliği eğitimi dağılımı ... 62
Tablo 4.10. Katılımcıların çalıştığı birimi ve bilgi güvenliği standartlarını kullanımı dağılımı ... 62
Tablo 4.11. Katılımcıların çalıştığı birimi ve ne gibi tehditlerle karşı karşıya olduğunun dağılımı ... 63
Tablo 4.12. Katılımcıların çalıştığı birimi ve her ortamda kablosuz ağa bağlanmaları dağılımı ... 64
Tablo 4.13. Katılımcıların çalıştığı birimi ve kullandığı yazılımların güvenliği dağılımı.. 64
Tablo 4.14. Katılımcıların çalıştığı birimi ve virüs programı kullanımı dağılımı ... 65
Tablo 4.15. Katılımcıların çalıştığı birimi ve risk değerlendirmesi dağılımı ... 66
Tablo 4.16. Katılımcıların çalıştığı birimi ve bilgi güvenliği çok önemlidir dağılımı ... 66
Tablo 4.17. Katılımcıların çalıştığı birimi ve şifrelerini paylaşma dağılımı... 67
Tablo 4.18. Katılımcıların çalıştığı birimi ve internetini paylaşma dağılımı ... 68
Tablo 4.19. Katılımcıların çalıştığı birimi ve kurumda bilgi güvenliği politikası dağılımı 69 Tablo 4.20. Katılımcıların çalıştığı birimi ve kurumda bilgi güvenliği politikası dağılımı 69 Tablo 4.21. Katılımcıların çalıştığı birimi ve kurumda bilgi güvenliği risk değerlendirmesi dağılımı ... 70
IX
Tablo 4.22. Katılımcıların çalıştığı birimi ve kurumda ağ güvenliğine güveniyorum
dağılımı ... 71
Tablo 4.23. Katılımcıların çalıştığı birimi ve kurumda bilgi güvenliği eğitimi dağılımı ... 71 Tablo 4.24. Katılımcıların çalıştığı birimi ve bilgi güvenliğinde uluslararası işbirliği önemi
dağılımı ... 72
Tablo 4.25. Katılımcıların çalıştığı birimi ve kötücül yazılımların verdiği zarar dağılımı. 73 Tablo 4.26. Katılımcıların çalıştığı birimi ve tanımadığı epostaları açma dağılımı ... 73 Tablo 4.27. Katılımcıların bilgisayar kullanımı ve tehditlerin bilinmesi dağılımı ... 74 Tablo 4.28. Katılımcıların bilgisayar ve internet bankacılığı kullanımı dağılımı... 75 Tablo 4.29. Katılımcıların verileri yedekleme süresi ve kötücül yazılımların zararı
dağılımı ... 75
Tablo 4.30. Katılımcıların duyulan saldırı türleri ve bilgi güvenliği çalışan arkadaş
dağılımı ... 77
Tablo 4.31. Katılımcıların duyulan saldırı türleri ve kurumda ağ güvenliğine güven
X
KISALTMALAR
AB : Avrupa Birliği
ABD : Amerika Birleşik Devletleri
ARP : Address Resolution Protocol
AUS : Akıllı Ulaşım Sistemleri BT : Bilişim Teknolojileri
CD : Compact Disk
COBIT : Control Objectives for Information and Related Technology
DDOS : Distributed Denial of Service
DHCP : Dynamic Host Configuration Protocol
DNS : Domain Name System
DOS : Denial of Services
DVD : Digital Versatile Disk
FBI : Federal Bureau of Investigation
FISMA : Federal Information Security Management Act
GHT : Güvenli Hesaplama Temelleri
HMG : Her Majesty’s Government
ICMP : Internet Control Message Protocol
IEC : International Electrotechnical Commission
ISPF : Information Security Policy Framework
ISO : International Organization For Standardization
İHA : İnsansız Hava Aracı
MAC : Media Access Control
MOBESE : Mobil Elektronik Sistem Entegrasyonu
NATO : North Atlantic Treaty Organization
NIST : National Institute of Standards and Technology
PDOS : Permanent Denial of Service
SCADA : Supervisory Control and Data Acquisition System SFS : Siber Fiziksel Sistem
SOME : Siber Olaylara Müdahale Ekipleri
SPSS : Statistical Package for the Social Sciences
SQL : Structured Query Language
SSH : Secure Shell
SSL : Secure Sockets Layer
TCP/IP : Transmission Control Protocol / Internet Protocol
TCSEC : Trusted Computer System Evaluation Criteria
UDP : User Datagram Protocol
USB : Universal Serial Bus
1. GİRİŞ
Son yıllarda internet kullanımı ve gelişen teknolojiyle birlikte ülkelerin en önemli ekonomik ve ulusal güvenlik sorunlarından biri haline gelen bilgi güvenliğine verilen önem son derece artmıştır. Bilgi Güvenliği ülkelerin özellikle askeri ve istihbarat alanlarında çok büyük önem arz etmektedir. Gün geçtikçe önlenemez ve karmaşık hale gelen siber tehditler sadece ulusal devletlerin değil, uluslararası toplulukların da gündemine girmiştir.
Siber saldırıların sınır tanımayan ilerleyişi uluslararası ticaretten kişisel bankacılığa uzanan birçok alanı tehdit etmektedir. Günlük hayatımızın vazgeçilmezi haline gelen elektronik aletlerimizin her an internet ortamına açık ve savunmasız olması bilgisayar korsanıveya daha da kötüsü terör örgütlerinin siber saldırılarına karşı ciddi problemlere yol açabilir. Örneğin kötü niyetli bir bilgisayar korsanının akıllı ulaşım sisteminde olan bir aracın işletim sistemine sızarak, trafikteki akışını yönlendirmesi tahmin edilemeyecek derecede büyük problemlere yol açabilir. Akıllı şehirler, enerji istasyonları, güvenilir şehir alt yapıları vb. kullanım alanlarının artması ve uzaktan bağlantı yöntemiyle bağlanabileceğimiz evimizdeki fırın, buzdolabı bilgisayar gibi araçları, sisteme sızan birinin kontrol etmesi çok ciddi bir güvenlik tehdididir. Son zamanlarda bilim dünyasında yapay zekânın sebep olabileceği tehditler konuşulmakta, birçok yazar ve senarist gelecekte insanlar tarafından üretilen akıllı robotlar ve insanların savaşacağına inanmaktadır [1]. Cambridge üniversitesi bilim adamı ünlü Fizikçi Stephen Hawking tarafından “Yapay zekâ insanlığın sonunu getirebilir” şeklinde açıklamalarda bulunmuştur [2]. İnsanların günümüzde Siber-Fiziksel Sistem (SFS) olarak tanımlanabilecek otonom bir sisteme doğru bilimsel ve teknolojik çalışmaları hızla devam etmektedir [3]. Yine devlet kurumlarımızda kullanılan bazı sistemlerin siber güvenliği de önem taşımaktadır. Emniyet birimlerimizce kullanılan uzaktan kontrol edilen Mobil Elektronik Sistem Entegrasyonu (MOBESE) sistemini ele geçiren bir saldırgan meydana gelen olaydaki suçlunun tespit edilmesini engelleyeceği gibi yanlış yönlendirmesi de mümkün olabilecektir. Artık günümüzde insanların en çok kullandığı iletişim araçlarından biri haline gelen internet, birçok toplumsal olayda önceden haberleşme vasıtası haline gelmiştir. Bu da internet ortamında bilginin ne denli hızlı yayıldığının bir göstergesidir. Örneğin 50 arkadaşınız varsa bunları tek tek aramaktansa birlikte oluşturulan bir sosyal medya gurubuyla bu sorun saniyeler içinde halledilmektedir.
2
Birçok insan artık banka kuyruklarında beklemeyip tüm bankacılık işlerini işyerinde veya evde oturdukları yerden saniyeler içerisinde yapmaktadır. Hal böyleyken artık birçok suçlu da internet ortamında açıklar bularak bilgisayar sistemine sızıp suç işlemektedir. Düşünün ki sisteminize sızan bir bilgisayar korsanı dünyada ve ülkemiz kanunlarında suç olarak tanımlanan bir eylemi sizin bilgisayarınızdan işlediğinde artık sizde bir şüpheli olacak veya tutuklanmak gibi istemediğiniz durumlara maruz kalabileceksiniz. Bu konu sadece sizin bireysel olarak yaşayabileceğiniz bir sorundur ve mutlaka bilgisayar sistemi kullanan her kişinin bilgi güvenliğini sağlaması kaçınılmazdır. Artık ülkeler arasında uluslararası bir kriz çıktığında o hemen bir siber savaş başlatılabilmektedir. Bu sebebin varlığı bile ülkelerin siber savaşla mücadele konusunda kendilerini daha ileri seviyelere götürmelerini bir gereklilik haline getirmiştir.
İnternet ortamında siber saldırıların çok hızlı gerçekleştiği göz önüne alındığında saldırılara karşı çok güçlü siber güvenlik sistemlerinin tasarlanmasının önemi ortaya çıkacaktır. Bu alanda çeşitli çalışmalar yapılmıştır. Akyıldız [4] tarafından yapılan çalışmada bir ağ örneği ile karşılaşılabilecek saldırıların uygulaması yapılarak güvenliği test edilmemiş sistemlere nasıl sızıldığı tespit edilmiştir. Sonrasında sızma testlerinin önemi vurgulanarak siber güvenlik konusunda farkındalık oluşturulmasına katkı sağlanmıştır. Aktaş [5] tarafından yapılan çalışmada risk analiz yöntemleri belirlenmiş, bunların arasından seçilen dört risk analiz yöntemi bir model üzerinde test edilerek uygulanmıştır. Önerilen yaklaşımında risk analizi ve yönetimine güvenin artırılması hedeflenmiştir. Moğol [6] tarafından yapılan çalışmada bilgi güvenliğinin şirketler için niçin önemli olduğu, siber saldırıya maruz kalan şirketin bilgileri verilmiş ve bilgiyi korumanın ne kadar önemli olduğu vurgulanmaktadır. Durmuş [7] tarafından yapılan çalışmada bilgi güvenliği konusundan oluşan web tabanlı bir anket ile beş farklı grubun farkındalığı incelenerek, devlet kurumlarında çalışanların ağ yapılarındaki güvenlik önlemlerindeki eksikleri vurgulanmış, katılımcılara önerilerle farkındalıkları artırılmıştır.
Günümüzde siber savaşa dönüşen bu tip saldırılar dolayısıyla ülkeler kendi siber güvenliklerini oluşturmalı ve bu saldırılara hızlı bir şekilde karşılık verecek organizasyonlara sahip olmalıdırlar [8]. Ülkeler ayrıca bilgi güvenliğinin sağlanabilmesi için bu sektördeki kurumlarla koordineli olarak çalışmalı ve ülke içinde çeşitli cezai yaptırımları artırması gerektiği vurgulanmıştır [9]. Bilgi güvenliğine yönelik kullanmış olduğumuz her sistemde güvenlik seviyesini ve risklerini belirlemek, bu riskleri analiz ederek çeşitli
3
güvenlik yöntemleri geliştirmemiz gerekmektedir. Bu çalışmada öncelikle bilgi güvenliği konuları detaylı olarak ele alınmış, sınırları belirli olmayan kavramlar için sınırlar çizilmiş ve bilgi güvenliği farkındalığı oluşturularak güvenlik zafiyetinden kaynaklı yaşanabilecek sorunlar konusunda bilinçlendirilmeye çalışılmış ve yaşanabilecek güvenlik zafiyetlerin en aza indirilmesine yardımcı olmak hedeflenmiştir.
2. LİTERATÜR
2.1. Bilgi Güvenliği
Bilgi güvenliği; her türlü bilginin hasarlardan korunması, tüm teknolojinin en etkili ve doğru amaçla kullanılarak bilginin herhangi bir yerde, yetkisi olmayan üçüncü şahıslar tarafından ele geçirilmesini önlemek olarak tanımlanabilir. Bilgisayar ağlarında güvenliğin temel amacı kişi ve kurumların kullandıkları teknolojilerde kötü niyetli kişiler tarafından gelebilecek tehdit ve tehlikelerin analizlerini yaparak güvenlik önlemlerinin önceden alınmasıdır [10].
Bilgi güvenliği sistemleri kurum veya özel şirketlerdeki bilgi sistemlerinin devamlılığının sağlanması ve bilginin tehditlerden korunmasını sağlar. Bilgi birçok şekilde saklanabilir. Bazen bir kâğıt üzerinde, bazen elektronik bir ortamda saklanabilir. Bilgisayar ortamında da başka bir yere nakledilebilir veya karşılıklı olarak bir başkasına aktarılabilir. Bilgi hangi formda olursa olsun özellikle gizlilik gerektiren bilgiler, mutlaka uygun bir şekilde korunmalıdır. Bilgi güvenliği politikaları, bir şirket ya da kurumun önemli verilerinin yönetilmesini, güvenli ortamda saklanmasını ve güvenli şekilde başka bir yere iletilmesini düzenleyen uygulama ve kurallardır.
Şekil 2.1. Bilgi güvenliği hedefleri GİZLİLİK
BİLGİ GÜVENLİĞİ
5
Günümüzde bir kurumun ya da şirketin bilgi güvenliğini standarda bağlamak amacıyla çeşitli belgeler verilmektedir. Bunlardan International Organization for Standardization (ISO) 27001 belgesi, ihtiyaç duyan tüm kurum veya kuruluşların bilgilerinin gizlilik, bütünlük ve erişilebilirliklerini sağlamak amacı ile kurulmuş olan bilgi güvenliği yönetim sistemini bir belge ile başka kurum ya da kuruluşlara ispatlamak amacı ile aldıkları bilgi güvenliği sertifikasyonudur. Bu belgeyi almak isteyen kurum ya da kuruluş öncelikle bilgi güvenliği yönetim sistemi standardına göre sistem kurduktan sonra TS ISO/International Electrotechnical Commission (IEC) 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi veya TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası almaya hak kazanır. TS ISO/IEC 27001 bilgi güvenliği yönetim sistemi kurmak ve belgelendirmek bir firmaya, şirkete veya kuruluşa bilgi güvenliği kavramının temel ilkelerini sağlamaktadır. Bilgi güvenliği kavramının temel ilkeleri gizlilik, bütünlük ve erişilebilirliktir. ISO 27000 standart serisi; (ISO 27001, ISO 27002, ISO 27003… vb.) bilgi teknolojisi, güvenlik teknikleri, bilgi güvenliği yönetimi sistemleri, genel bakış ve tanımlar başlıklarını kapsayan uluslararası standartları içeren bir ailedir [11].
Güvenlik sektörünün uzmanlarından olan Profesyonel Sertifikalı Bilgi Güvenliği Sistemleri (Certified Information Security Systems Professional) güvenliği konularını incelerken şekil 2.1’de gösterilen üç önemli kavram üzerinden değerlendirir. Aynı zamanda yaygın olan bu üç kavrama iki bakış açısı daha eklenmektedir. Toplamda bu 5 kavram gizlilik, bütünlük, erişilebilirlik, kimlik doğrulama ve inkâr edilemezlik olarak aşağıda ele alınmıştır [12].
2.1.1. Gizlilik
Gizlilik, bilgiye sadece yetki verilmiş kişilerin ulaşması demektir. Haberleşme kanalına giren saldırgan gönderici ile alıcı arasındaki veri iletimini dinleyebilir ve elde ettiği mesajları okuması ise haberleşmenin gizliliğinin ortadan kalkması anlamına gelmektedir. Geçmişten günümüze şifreleme sistemlerinin olmasının en temel sebebi gizlilik ve bütünlüğü sağlamaktır. Bilgi güvenliği kavramının her kurum veya kuruluş için farklı önemi olabilir, özellikle kamu kurumları ve bankalar için çok önemlidir. Örneğin şirket müşteri ilişkilerinin birçoğunda taraflar karşılıklı gizlilik anlaşmaları yapmaktadır.
6
2.1.2. Bütünlük
Veri bütünlüğü bilgi ya da verinin yetkisi olmayan kişilerce değiştirilmesine veya yok edilmesine karşı güvenliğinin sağlanmasıdır. Bilginin bütünlüğü kesinlik, doğruluk ve gerçeklik kıstaslarına göre bütünlüğü sağlanmalıdır. Haberleşmeye müdahale edip göndericinin mesajlarını değiştiren saldırgan, alıcıya giden mesajı istediği şekle sokabilir. Bu tehdit mesajın bütünlüğünü bozan değiştirme tehdididir.
2.1.3. Sürekli Erişilebilirlik
Erişilebilirlik, yetkilendirmesi olan bir kişinin istediği zamanda istediği hizmete ulaşması durumuna erişilebilirlik denmektedir. Verilen hizmetin ne kadar güvenilir olduğunun en önemli ölçütlerindendir. Bu sebeple kurumlar ya da şirketler sistemlerini yedekli hale getirdikten sonra hizmet verirler. Herhangi bir müdahale olması halinde Saldırgan, haberleşen iki taraf arasındaki iletişimi veya haberleşme araçlarını kullanılmaz hale getirerek haberleşmenin sürekliliğini engellemeye çalışır.
2.1.4. Kimlik Doğrulama
Bilgiye erişim sürecinde kimlik doğrulama bilgiye doğru kişinin ulaşıp ulaşmadığını kontrol etmeyi sağlar. Günümüzde kullandığımız tüm e-posta, windows ve birçok sitenin üyelik sisteminde kimlik doğrulama sistemleri kullanılmaktadır. Bir kullanıcı giriş yaptığında sistemde kayıtlı olan bilgilerini kontrol ettikten sonra yetkili olup olmadığını belirler ve geriye bilgi gönderir. Yetkilendirme konusunda askeri bir kural olan, bir iş yaparken en az bilgiyi bilmeleri gerektiği kuralından yola çıkılarak oluşturulan en az bilgi kuralıdır. Bu konuda dikkat edilmesi gereken en önemli konu herhangi bir saldırganın, alıcıya göndericinin kimliğini taklit ederek bir mesaj göndermesidir. Bu durumda eğer alıcı güvenilir bir kimlik doğrulaması yapmıyorsa yanlış mesajlarla kandırılabilir. Bu tehdit oluşturma tehdididir.
7
2.1.5. İnkâr Edilemezlik
İnkâr Edilemezlik kişisel sorumlulukla ilgilidir. En kısa tanım ise kişinin herhangi bir ağ sistemindeki tüm davranış ve işlemlerinden sorumlu olduğudur. Yapılan bir işlemin kim tarafından ne zaman yapıldığı ve bu konuda sorumluluğunun olup olmadığı çok önemlidir. Mesajı gönderen veya alan tarafın bu işi yaptığını inkâr etmesi söz konusu olabilir. Eğer bu kötü niyetli bir kişi tarafından yapılmışsa bu girişimi boşa çıkaracak mekanizmalara ihtiyaç vardır. Kamu kurumlarında inkâr edilemezliğin en önemli tarafı kaynakların kullanımında plan ve hareketlerini halkın denetimine açması açığıdır.
2.2. Bilgi Güvenliğine Yönelik Saldırılar
Siber uzayda bilgi sistemleri üzerindeki yazılımın değiştirilmesi, her türlü bilginin, bozulması, kesintiye uğratılması, tamamen ortadan kaldırılması veya yerine başka bir sistemin tasarlanması gibi yöntemlerle, hedef seçildikten sonra kişi, kurum, şirket veya ulusal bir kontrol sistemine yapılan eylemler olarak tanımlanabilir. Siber saldırılar genellikle internet aracılığıyla bilgisayar korsanlarının verilere ya da uzaktan kontrol sistemlerine karşı yapılan saldırılar olarak karşımıza çıkmaktadır. Siber tehditlerin genel amaçları;
Sisteme yetkisiz erişim Sistemin bozulması Hizmetlerin engellenmesi Bilgilerin değiştirilmesi Bilgilerin yok edilmesi Bilgilerin ifşa edilmesi
Bilgilerin çalınması olarak bilinmektedir [13].
Meydana gelebilecek siber saldırı yöntemleri genel olarak aşağıdaki ana başlıklarla açıklanmıştır [13]. Siber saldırılar her zaman bilgisayar sistemlerinin en büyük sorunu olmuştur. Genellikle kötü niyetli yazılımlarla gerçekleştirilen bu saldırılar dünya çapında birçok sistem ve bilgisayarı etkilemiştir. Son yıllarda dünya çapında en çok zarar veren siber saldırı yazılımları Tablo 2.1’de verilmiştir.
8
Tablo 2.1. Son yılların en zarar veren saldırıları [14]
2.2.1. Kötücül ve Casus Yazılımlar
Kötücül yazılımlar çoğalma, bağımsızlık, başka bilgisayarlara bulaşma, kendini gizleyebilme, virüs özelliği taşıyabilme gibi farklı mekanizmalara sahip olan yazılımlardır. Bu yazımlar tek bir hedefe yönelik zarar verebileceği gibi birçok hedef ve amaca yönelik hizmet edebilir. Bu tür yazılımların bazıları Şekil 2.2’de gösterildiği gibi ana başlıklar halinde anlatılmıştır [15].
Şekil 12.2. Bazı kötücül yazılımlara örnekler
Adı Tipi Çıkış Yılı Bulaştığı PC Sayısı Verdiği Zarar
(Tahmini)
I Love You Virüs 2000 500 Bin 15 Milyon Dolar
Code Red Solucan 2001 1 Milyon 2,6 Milyon Dolar
Slammer Solucan 2003 200 Bin 1,2 Milyon Dolar
Sobig. F Truva Atı 2003 2 Milyon 37,1 Milyar Dolar
MyDoom Virüs 2004 2 Milyon 38 Milyar Dolar
Conficker Virüs+Solucan 2009 10 Milyon 9 Milyar Dolar
CIH Virüs 1998 --- 80 Milyon Dolar
CryptoLocker Truva Atı 2013 500 Bin 3 Milyon Dolar
Melissa Virüs 1999 1 Milyondan Fazla 80 Milyon Dolar
Mesaj Sağanakları Arka Kapılar Casus Yazılımlar Truva Atı Virüsler Solucanlar Korunmasızlık Sömürücüleri
9
Bilgisayar Virüsleri: Bilgisayar virüsleri kişisel bilgisayarlara ya da ağlara istem dışı bulaşarak veri kayıplarına, sistemin çalışmamasına veya verilerin tamamen yok olmasına sebep olan yazılımlardır. Bu virüsler bazen bilgisayar ekranında rahatsız edici şekilde mesajlar göstermek gibi etkileri de olabilmektedir. Bu virüsler genellikle Compact Disk (CD), Digital Versatile Disk (DVD), Universal Serial Bus (USB) vb. gibi ortamlardan veya e-posta eklentileri ile bilgisayarlara bulaşan virüsler insan etkileşimine gereksinim duymaktadır.
Bilgisayar Solucanları: Solucanlar, herhangi bir tetikleyici unsurla etkileşime geçmeden bağımsız olarak yayılabilen, ağ yapısında kendi kendine başka bilgisayarlara yayılma yöntemleri bulabilen bir yazılım türüdür. Solucanların bir programa ve taşıyıcıya ihtiyacı yoktur. Genellikle e-posta, http ve ftp gibi internet hizmetleri aracılığıyla da yayılabilmektedir. Solucanlar güvenliği olmayan sistemler veya sosyal mühendislik yöntemleriyle harekete geçirilmektedir. Solucanlar genellikle kullanıcılara belli etmeden işletim sistemlerini kullanırlar. İnternet solucanları, sadece İnternet’e bağlı bilgisayarlara bulaşabilirler, bu solucanlar internet üzerinden tarama yaparak güvenlik güncellemelerini yapmamış olan bilgisayar veya sistemlerin ve zayıf güvenlik duvarına sahip sistemlere bulaşırlar. W32/Blaster ve W32/Deloder bu tür solucanlara örnek olarak verilebilir.
Truva Atı: Truva atları gayet normal gibi görünen kötücül yazılımlardır. Bir hedefe direk olarak saldırı yapabilen veya bir başka yazılım vasıtasıyla yerleştirilebilen bir yazılımdır. Kendisini tehlikesiz gibi gösterip sisteme girdikten sonra, verileri yok etme, bozabilme, başka bilgisayarlara taşıyabilme ve herhangi bir sistemi başkasının kontrolüne geçirme gibi zararları mevcuttur. Virüsler gibi kendi kendisine çoğalamayan bu yazılım türünün sistemlere farklı şekilde zararlar verebilen PSW Truva Atları, Truva Arka Kapıları, Truva Tıklayıcılar, Truva İndiriciler, Truva Damlalıklar, Truva Vekiller, Truva Casusları, Truva Bildiriciler ve Arşiv Bombaları gibi türleri vardır.
Casus Yazılımlar: Casus yazılımlar, çeşitli amaçlarla bulaştıkları bilgisayarların sahibinin bilgisi olmadan faaliyetlerini izleyen, bunları bir yerde toplayarak istediği bilgisayara gönderen bir yazılım türüdür. Bunlar ücretsiz ekran koruyucuları, dosya paylaşımları, e-posta gönderilerek bir adrese girilmesi gibi sistemde bulunan açıklardan faydalanmaktadır. Casus yazılımların virüs ve solucanlardan farkı bilgisayara bulaştıktan sonra kopyasını oluşturur ve daha fazla yayılmazlar. Çok
10
önemli bir saldırı türü olan bu yazılım kullanıcının gizli bilgilerini ele geçirebileceği gibi kullanıcı alışkanlıklarını belirledikten sonra çok ciddi zararlar verebilir. Bu yazılımlardan korunmak için bilgisayarların sürekli güncel tutulması ve bilmediğimiz sitelerden indirme işlemi yapılmaması gerekmektedir.
Mesaj Sağanakları: Mesaj sağanakları günümüzde bir internet kullanıcısın en yaygın olarak karşılaştığı ve sorun yaşadığı kötücül bir yazlımdır. Bunlar genellikle güvenilmeyen ürünlerin reklamı şeklinde olup kullanıcı bu reklamları almayı istemese bile e-posta kutusunda bunlarla karşılaşabilmektedir. Bu saldırılardan korunmak için bu e-postaları süzen yazılımlar kullanılmalıdır. Birde bu tür mesajlar geldiğinde mesaj listesinden çıkmak isteyen bir kullanıcı listeden çıkma bağlantısına şüpheyle yaklaşması gerekmektedir. Genellikle gerçek bir şahsa ait olduğu belirlenen e-postalar üçüncü kişilere pazarlanarak daha çok mesaj sağanağına neden olmaktadır.
Arka Kapılar: Arka kapı yalnızca saldırganın kendisinin bildiği, bilgisayarın kimlik kontrol sistemini kullanmadan başka sisteme gizli bir yolla uzaktan erişmeyi sağlayan bir yoldur. En çok karşılaşılan arka kapı taktikleri hedef sisteme ajan yerleştirilmiş bir kapıyı açık tutmaktır. Arka kapıların truva atlarından farkı truva atı faydalı bir program gibi görünürken, arka kapı sisteme erişimi sağlayan gizli yöntemlerdir. Arka kapılar genelde bedava yazılımlar içinde kullanıcıya sunulmaktadır.
Korunmasızlık Sömürücüleri: Belli bir güvenlik korunmasızlığını hedef seçip saldırılar yapabilen yazılım olan korunmasızlık sömürücüleri, bu korunmasızlığın varlığını tüm herkese göstermek amacıyla yazılır. Bulaşma yöntemi olarak ağ solucanlarını kullanabilen bu yazılımlar işletim sistemi üreten şirketlerin bu açıkları bularak kapatmaları gerekmektedir. Bunun için sistemler sürekli test edilmeli ve yazılımlar güncel tutulmalıdır.
2.2.2. Kimlik Doğrulama
Kimlik doğrulama tüm bilgisayar kullanıcılarının dikkat etmesi gereken bir kavramdır. Özellikle internete açık olan hesap bilgilerimizin mutlaka şifreli bir şekilde kullanmak gerekmektedir. Kullanıcının bir sisteme girişinden çıkışına kadar olan tüm işlemlerini dikkatli bir şekilde kontrol etmeli ve güvenli olarak çıkış yaptığını görmelidir. Özellikle şifre
11
oluşturma işlemlerinde parola yönetimi, şifre zaman aşımı, beni hatırla soruları, gizli sorular, güncelleştirmeler, Secure Sockets Layer (SSL) sertifikası kullanma ve şifrelerin bir başkasının kolaylıkla bulacağı bir düzeyde olmamasına dikkat edilmelidir [16].
2.2.3. Yemleme
Siber güvenlik ihlallerinde kullanılan yöntemlerden birisi olan yemleme hedef kişinin şifresi, açık kimlik bilgileri, kredi kartı bilgileri, anne kızlık soyadı vb. gibi kişisel bilgileri öğrenmeyi hedefleyen bir saldırı şeklidir. Öncelikle gizli bilgilerin öğrenilmesi istenen hedefe şekil 2.3’deki gibi bir mail gönderilir ve bankadan veya güvendiği kurumlardan geldiğini sandığı maile tıklamasıyla saldırganın istediği sayfaya yönlendirilmektedir. Yönlendirildiği sayfada ise hedef şahsın şifre ve kullanıcı bilgilerini içeren forma bilgilerini girdiğinde tüm bilgiler saldırganın eline geçmektedir. Özellikle bu tür saldırılarda hiçbir banka veya kurumun bizden kimlik bilgilerimizi istemeyeceğine dikkat edilmeli ve özellikle internet tarayıcı adres satırı dikkatlice kontrol edilmelidir [16].
12
2.2.4. Hizmeti Engelleyen Saldırılar
Denial of Services (DOS), Distributed Denial of Service (DDOS) ve Permanent Denial of Service (PDOS) saldırılardan oluşan hizmeti engelleme saldırıları sistem kaynaklarını veya bant genişliğini azaltarak hizmetin devre dışı kalmasını sağlayan saldırılardır. Özellikle 2015 yılı aralık ayında Türkiye’nin Rusya uçağını düşürmesinin ardından kaynağının Rusya olmasından şüphelenilen çeşitli hizmetleri engellemek için saldırılar düzenlenmiştir. Bu saldırılar Türkiye’de faaliyet gösteren bazı bankaların web sitelerine erişimi bir süre engellemiştir. Bu saldırı türleri başlıklar halinde ele alınmıştır.
DOS Saldırıları
Asıl hedefi sunucu bilgisayarlar olan bu saldırı türünde paketler doğrudan hedefe gönderilir. Çok yoğun şekilde gönderilen bu paketlerden dolayı hizmet veren bir sistem taleplere cevap verememeye ve istemcilerin istek paketlerine cevap vermesine engel olurlar. Bu yoğun isteklerden dolayı bant genişliği ve hafıza yetersiz hale gelir. Şekil 2.4’de belirtildiği gibi bu saldırı bir kaynaktan hedefe birçok ICMP(Internet Control Message Protocol) paketi göndererek sistemin çalışmasını engeller [18].
Şekil 12.4. Hizmeti engelleme saldırısı (DOS)
DDOS Saldırısı
Bu saldırı türünde saldırgan bilgisayar, ağ yapısı içerisinde kontrol ettiği bilgisayarlar vasıtasıyla tek bir hedefe saldırı yapar. Saldırgan ele geçirdiği bilgisayarları zombi olarak kullanır ve bu bilgisayarlar kullanıldıklarının farkında bile değildir. Ne kadar çok zombi bilgisayar varsa o kadar çok atak sayısı demektir. Şekil 2.5’de gösterildiği üzere bu saldırın en temel özelliği kendi IP sini gizleyen saldırganın birçok bilgisayardan hedefi etkisiz hale getirmesidir. Bu saldırıda işlemci, ram ve bant genişliği aşırı yüklenmeden dolayı sunucu zarar görmektedir. Hedef sistem üzerindeki açıklardan faydalanan bu saldırı türünde çok
13
profesyonel yapılması halinde güvenlik duvarı devre dışı kalabilir. Sızma girişimi olmayan DDOS saldırılarında açık bir porta ping göndermek hedef sunucunun kendini kapatmasına ve çökmesine sebep olabilir. Saldırın temel amaçlarından bir tanesi bankacılık sistemlerini, e-posta hizmetlerini veya web sitelerinin hizmet vermesini engellemektir [18].
Şekil 2.5. Hizmeti engelleme saldırısı (DDOS)
PDOS Saldırısı
Şekil 32.6. Hizmeti engelleme saldırı (PDOS)
SALDIRGAN HEDEF
İnternet
14
Şekil 2.6’da gösterildiği gibi PDOS saldırılarında saldırgan DOS ve DDOS saldırılarının aksine sunucuyu hedef almak yerine yazıcı, anahtar, yönlendirici veya ağdaki başka bir elemanı hedef alır. Bu saldırının genel amacı firmware yazılımını kullanılmaz hale getirmek, değiştirmek veya silmektir [18].
2.2.5. Structured Query Language (SQL) Enjeksiyonu
SQL Enjeksiyonu saldırısı, uygulamanın kodlanması sürecinde yapılan hatalar ve dikkatsizlikler araştırılıp, sorgu komutlarında meta karakterler kullanılarak yapılmaktadır. Yapılan bir tanımda web uygulamasının veri tabanını kullanan bir metot olarak, giriş dizisine, SQL ifadelerine, enjekte edilip veri tabanına yetkisiz erişim sağlanması şeklinde ifade edilmiştir[30]. SQL enjeksiyonu, bilgisayar korsanlarının sisteme sızmak için oluşturduğu komut dizileri şeklinde olabilir. Genellikle web üzerindeki uygulamalarını hedefleyen bu saldırılar, veri tabanındaki verileri silme, değiştirme, bozma ve benzeri işlemleri yapabilirler [18].
2.2.6. IP Sahteciliği
Sahtecilik bir bilgisayardan başkasına paket gönderirken gerçekteki IP adresinin farklı
olarak gösterilmesidir. Transmission Control Protocol / İnternet Protocol (TCP/IP) protokollerinin yazılım aşamasında güvenlik konuları temel amaç olmadığı için esnek bir şekilde yapılmıştır. Bu esneklik IP adreslerinin aldatılabilir olmasına sebep olduğu için, bu paketleri başka bir adresmiş gibi göndermesidir. IP sahteciliği; saldırıyı gerçekleştirenin kendisini güvenli biri gibi göstererek saklanması, saldırıyı yapanın başkası gibi görünmesini, ağ trafiğindeki akışı kontrol etmek gibi amaçları içeren saldırılarda kullanılmaktadır. İnternet kullanıcısı bu saldırılarını genellikle güvenlik açıklarından faydalanarak yapmaktadır. Bu ihlaller bazen kablosuz ağlar sayesinde gerçekleştirileceği gibi bazen de proxy siteler veya ücretsiz yazılımlar vasıtasıyla da gerçekleştirilebilir. Posta hizmetleri kullanılarak bir başka IP adresinden geliyormuş gibi gösterilebilir fakat istenilen bir IP gibi göstermek mümkün değildir [16].
15
2.2.7. ARP Saldırısı
ARP(Address Resolution Protocol - Adres Çözümleme Protokolü), IP adresini MAC(Media Access Control - Ortam Erişim Kontrolü) adresine çözümlemekte kullanılır. MAC adresi her makinanın fiziksel bir adresidir. ARP, paketleri taklit ederek iki bilgisayar arasındaki verilerin kendisine gelmesini sağlar. Saldırgan ARP saldırısıyla iki bilgisayarın arasına girerek aralarında ki iletişimi dinleyebilir [18].
Bu protokole yapılan saldırılarda öncelikle web sitelerindeki açıklar tespit edilir. Bu açıklar vasıtasıyla sitede değişiklik yapan saldırgan, bu siteye giren başka kullanıcıların bilgisayarlarına zararlı yazılımlar yüklemeyi hedeflemektedir. Daha sonra bu yazılımı bilgisayarına kurmak zorunda kalan kullanıcı, bilgisayarını kötü niyetli kişilerin ulaşımına açmış olacaktır [16].
2.2.8. Sosyal Mühendislik Saldırısı
Sistemlere saldırılar her zaman teknik yöntemler ve yazılımlarla olmayabilir. Bu saldırı türleri arasındaki en etkililerinden bir tanesi sosyal mühendislik saldırısıdır. Bu saldırının temel amacı insan zafiyetlerinden faydalanmak olmakla birlikte, kişileri etkileme, kandırma ve ikna gibi yöntemlerle, sistem ve gizli bilgiler hakkında bilgileri ele geçirmektir. Bu saldırı türünün ana öznesi insan olduğu için savunulması en zor olan yöntemdir. Bu saldırının en önemli savunma yöntemi şirket ve kurumda çalışanları bilinçlendirme olsa da bazen bu bile yeterli olmamaktadır. Teknik olarak ne kadar güvenli şifre kullanırsanız kulanın sosyal mühendislik yoluyla bu şifreyi öğrenen saldırgan için bu şifreyi çözmek saniyeler alacaktır. Sosyal mühendislik saldırılarından korunmanın en önemli yöntemlerinden bazısı özellikle bazı sistemlerde fiziksel güvenliği sağlamak, özellikle biyometrik sistemler ile kullanıcı doğrulaması yapmak gerekmektedir. Bu saldırı yönteminde kandırılan bir kişinin harici diskine kötü bir yazılım yükleyerek, bir bilgisayara taktığında otomatik olarak tüm bilgisayarlara yetkisiz olarak erişim sağlanabilir. Böylelikle saldırganın ağa yüklediği kötü niyetli yazılım tüm ağdaki trafiği kontrol altına almış olacaktır.
16
2.3. Bilgi Güvenliğinin Sağlanması Gereken Alanlar
Günümüzde gelişen teknoloji ile birlikte siber güvenliğin sağlanabilmesi için tüm kullanıcılara eğitimler verilmeli, sistemler güncel tutulmalı ve karşılaşılabilecek riskler karşısında nelerin yapılacağı önceden planlanmalıdır. Ayrıca güvenlik seviyeleri belirlenmeli, zafiyet kontrolü yapılmalı, eğer zafiyet veya açık varsa kapatılmalı ve özellikle bu işlemler sürekli tekrar edilmelidir. Siber güvenlikte meydana gelebilecek saldırıları önceden tespit etmek ve önlemek büyük önem taşımaktadır. Bu amaçla bir sistemin güvenli olup olmadığını anlamak için güvenlik testleri yapılmalıdır. Güvenlik testlerinin amacı kötü niyetli kişilerin yetkisiz erişimlerini engellemek amacıyla sistem açıklarını tespit edebilmektir. Bu testler vasıtasıyla yeni zafiyetlerin bulunması, tasarım zafiyetlerinin belirlenmesi, güvenilir kurum imajının korunması, bilgi güvenlik politikalarının gözden geçirilmesi, bilgi güvenliği sertifikasyonlarına uyumda sürekliliğin sağlanması, etkili ve bilinçli güvenlik yatırımının yapılması, güvenlik yatırımlarının geri dönüşümünün mümkün olduğunca yüksek olması, teknik personelin sorumluluğunun gözden geçirilmesi, kurumsal bilgi sistemlerine yapılabilecek olan muhtemel saldırı veya saldırılara karşı güvenliğimizi sürekli olarak yüksek seviyede tutulması amacıyla yapılmaktadır. Bilgi güveliğinin sağlanmasının önemli olduğu yerler aşağıda anlatılmıştır [19].
2.3.1. Kişisel Bilgisayarlar
Bilgisayar ve sistemlerinin ortaya çıkışı ile artık tüm bilgiler ve işlemler bilgisayar ortamında saklanmaya başlamıştır. Durum böyle olunca artık kişisel bilgisayarların korunmasının önemi artmıştır. Özellikle bilgisayarlar iş ortamlarında kullanılmaya başladıktan sonra menfaat elde etmek isteyen kötü niyetli kullanıcıların artmasıyla tehdit oluşmaya başlamıştır. Güvenliği sağlamak için bu kapsamda çeşitli kriterler oluşturulmaya başlanmıştır. Özellikle Güvenli Bilgisayar Sistemi Değerlendirme Kriterleri (TCSEC-Trusted Computer System Evaluation Criteria) adlı kitabın Turuncu Kitap(Orange Book) kısmında bilgisayarların güvenliğini oluşturan seviyeler anlatılmıştır [20].
D Seviyesi: En düşük koruma seviyesi olan bu seviyede üst seviye güvenlik şartlarını sağlayamayan sistemler burada yer almaktadır.
17
C1 Seviyesi: İsteğe bağlı güvenlik seviyesi sağlayan bu koruma seviyesinde kullanıcıları ayırarak erişim sınırlamaları getirmektedir. Kişilerin gizli bilgilerini korumalarını ve yetkisiz kullanıcıların ulaşmalarını engellemektedir. Bu seviyede kimlik kontrolü ve güvencenin yeterli seviyede olması gereklidir.
C2 Seviyesi: Kontrollü erişim olan bu seviye C1 seviyesine göre daha çok erişim kontrolü sağlamaktadır. Oturum açma işlemleri, koruma izlenmesi ve daha sıkı bir güvenlik sağlamaktadır.
B1 Seviyesi: Etiketlenmiş güvenlik seviyesi olan B1 seviyesi kontrollü erişim seviyesinin tüm özelliklerini içermektedir. Ayrıca veri etiketleme ve güvenlik politikası modeli ve bazı nesnelerde zorunlu erişim kontrolü sağlamaktadır.
B2 Seviyesi: Yapısal güvenlik seviyesi olan B2 seviyesinde Güvenli Hesaplama Temellerinin (GHT) açık olarak belirlenmesi, yapılandırma yönetimi, gizli kanal analizi ve resmi güvenlik politikası belirlenmelidir. Etiketlenmiş güvenlik seviyesindeki tüm özellikleri içermesi ve zorunlu erişim kontrolünün veri işleme sistemindeki tüm olay ve nesnelere kadar genişletilmesi gerekmektedir.
B3 Seviyesi: Güvenlik alanları seviyesi olan B3 sınıfı GHT referans monitör gereksinimlerini sağlaması gerekmektedir. GHT başlangıç oturumu ve kimlik doğrulaması için kendisi ve kullanıcı arasında güvenli bir iletişim yolu sağlayacaktır. Bu seviyede sisteme düzeltme işlemleri eklenerek denetleme mekanizması güvenlik kontrolü için genişletilmelidir.
A1 Seviyesi: Onaylanmış tasarım seviyesi olan A1 sınıfı güvenlik alanları seviyesiyle aynıdır. Aralarındaki fark sadece GHT’nin tasarım ve gerçekleme tekniklerindedir.
Bilgisayar güvenlinde ilk olarak gizlilik, bütünlük, erişilebilirlik, hesap verilebilirlik ve kimlik doğrulama tehditlerine karşı korunması gelmektedir. Bilişim sistemleri bilgisayarlar, bilgisayar ağları ve bilginin tutulduğu diğer tüm elektronik cihazlardan oluşmaktadır.
2.3.2. Ağlar
Daha büyük ağların kurulması ve gelişmesiyle güvenliğin sağlanması her geçen gün daha zor hale gelmiştir. Ağ altyapılarında mümkün olduğu kadar güçlendirilmiş kullanıcı tespit sistemleri ve gizliliğe sahip verilerin başka bir ağa iletilmesi gerektiğinde herhangi bir
18
şekilde ele geçirilmesini engelleyici sistemlerin kurulması gerekmektedir. Günümüzde üniversitelerde artık bilişim ve güvenlik sektörüne verilen önem daha da artmıştır. Ağ ortamlarında paylaşım ve uzaktan erişim kullanımı arttıkça yeni güvenlik açıkları ortaya çıkmıştır. Bu açıklar, kötü niyetli kişiler tarafından bilgilere yetkisiz erişim, sistemler ve servislerin kullanılamaz olması, bilgilerin değiştirilmesi veya açığa çıkması gibi güvenlik ihlâllerine sebep olmaktadır. Güvenlik yaklaşımlarının tam ve etkili olmasında ağda bulunan herkesin katılması gerekmektedir. Ağdaki kullanıcılar mutlaka eğitilmeli ve güvenlik açıklarına sebep olabilecek konular hakkında sürekli bilgilendirmeler yapılarak belli aralıklarla şifrelerinin değiştirilmesi sağlanmalıdır. Kapsamlı bir çalışma gerektiren ağ güvenliğinde yetkiler ilgililere verilmeli, ağ trafiği denetim altında tutulmalı, sistemdeki açıklar kapatılmalı ve çeşitli düzeylerde kullanılacak yazılım ve donanım araçları ile güvenliğe en üst seviyede dikkat edilmelidir. Özellikle ağda IP verilirken kullanıcıların elle IP vermeleri engellenmeli ve MAC adresleri sunucularda saklanmalıdır [21].
19
Ağlardaki en önemli ve en temel zafiyetlerden bir tanesi ağ altyapısının güvenli şekilde tasarlanmamış olması ve yetkisiz kişilerin kritik sistemlere rahatça ulaşabiliyor olmasıdır. Bilişim sistemi güvenliği açısından gerçekleştirilmesi gereken ilk adım şekil 2.7’deki gibi güvenli bir mimarinin tasarlanması ve erişim kontrollerinin yeterli ölçüde sağlanmasıdır. Ağ üzerinde bir güvenlik duvarı mutlaka kurulmalı ve güvenlik duvarlarının tüm ağ trafiğini kapsayacak şekilde yapılandırılmalıdır. Ağ içindeki haberleşme veya başka ağlarla haberleşme sağlandığında trafik güvenlik duvarları üzerinden geçmelidir. Ağ bloklarının doğrudan birbiri ile görüşmesi engellenmelidir. Ağ blokları arası yönlendirme güvenlik duvarına doğru değil de yönlendirme cihazlarıyla yapılmaktadır. Erişim kontrolünün sağlanmadığı bu yapıda ağ mimarisi güvenlik açısından tehdit oluşturmaktadır. Bu sebeple bu tür yapıda ağ mimarisi kurulmamalıdır [22].
Ağ güvenlik mimarisinde alınabilecek önlemlerden bazıları şunlardır [21].
Kimlik Denetimi (802.1x): Kampüs ağında yönetilebilir anahtarlama cihazlarıyla kablosuz bağlantı gibi kablolu bağlantılarda 802.1x güvenlik protokolleri kullanılmaktadır. İstemciler sunucu üzerinden kimlik doğrulaması yapabilmektedir. Kimlik Denetimi (MAC Authentication):Ağ kullanıcılarının ağa bağlanabilmeleri
için MAC adresleri sistem üzerinde bir veri tabanı sunucusunda kayıtlı olmaları gerekmektedir.
Virtual Local Area Network (VLAN) Yapılandırılması: Birden fazla anahtarlama cihazının bulunduğu yapılarda broadcast paketlerinin tüm ağ üzerinde dolaşması kaçınılmazdır. Ipv4 protokolündeki en önemli özelliklerden biri olan broadcast paketleri güvenlik unsuru gibi görülebilir. İnternet erişimi için sisteme giren birisi ARP aldatmacası gibi programlarla ağda arp zehirlemesi yaparak tüm ağa erişebilmektedir. Bu yüzden VLAN sayesinde karmaşıklık giderilmekte, riskler en aza indirilmekte ve problemin çözülmesi kolaylaşmaktadır.
Sahte Dynamic Host Configuration Protocol (DHCP) Sunucu: Cihazların; IP adresi, alt ağ maskesi, varsayılan ağ geçidi ve Domain Name System (DNS) adresi gibi bilgileri otomatik olarak almasını sağlayan bir protokoldür. Bu kolaylığın yanında çeşitli güvenlik açıkları da oluşturabilmektedir. Ağda sahte DHCP sunucusu oluşturan bir saldırgan istemci cihazlara varsayılan ağ geçidi adresi kendisine ait olan bir DHCP cevabı dönebilir. Böyle bir durumda sahte adresi kullanan kişi bir paket gönderdiğinde bu paket doğrudan saldırganın bilgisayarına gittikten sonra paketin
20
gitmesi gereken kişiye gönderilmektedir. Çök önemli bir tehdit olan bu saldırıyı engellemek için cihazlarda DHCP aldatmacası özelliği kullanılmaktadır. Bu özellik etkinleştirilerek güvenli veya güvensiz port olarak belirlenir. Böylelikle güvenli ve güvensiz portlardan gelen paketler değerlendirilir ve güvensiz porttan gelen paket çöpe atılarak port kapatılır.
ARP Detection Protokolü: Lokal ağlarda gerçekleştirilmesi kolay olan bu saldırı iyi bilinmesi gereken bir tehdittir. Bu şekilde gerçekleştirilen saldırılardan birincisi hedef bilgisayarın ARP tablosunun yanlış bilgilerle doldurarak, gönderilen paketlerin saldırganın istediği adrese gönderilmesidir. İkincisi gönderilen tüm paketlerin, saldırganın bilgisayarı üzerinden geçmesini sağlamaktır. Üçüncüsü ise paketleri başka bir bilgisayara göndererek bu bilgisayara servis dışı bırakma saldırısıdır.
2.3.3. Akıllı Sistemler
Günümüzde birçok alanda kullanılan akıllı sistemler zeki ev ortamı oluşturmak, binaların güvenliğini sağlamak, hava durumu ve kirliliği tespit etmek, hayvan çiftlikleri ve tarımsal faaliyetleri izlemek, çeşitli sağlık uygulamalarını takip etmek, askeri alanda hedefleri, düşman ve dost birlikleri takip etmek, araç takip sistemleri, trafik ışıklarını ve kameralarını kontrol etmek gibi alanlarda kullanılmaktadır. Artık insanlar gelişen akıllı sistemlerin yardımıyla işleri kendi kendine yapabilecek, ortam şartlarına uyum sağlayan ve başka sistemlerle iletişime geçebilecektir. Özellikle akıllı otomobiller sayesinde dur kalk işlemlerini yapan, otobanlarda şoförün müdahalesi olmadan hareket edebilen araçlarda mevcuttur. Yine gelişen teknolojiyle birlikte kendi kendine park edebilen, hızını sabitleyebilen, takip mesafesini ayarlayabilen ve şerit kontrol sistemleri gibi teknolojiler araçlarda bulunmaktadır. İlerleyen yıllarda insansız kara yolu araçlarının da üretilebilmesi gündemdedir. Bu sistemlere genel olarak Akıllı Otonom Sistemler (Intelligent Autonomous Systems) olarak adlandırılır. Otonom sistemlerin insanların yaşamında yerini almasıyla yeni bir teknoloji devrimi olacağı beklenmektedir. Bunun sonucunda insanlar tüm sistemlerini, hayat ve iş koşullarını buna göre düzenleyeceklerdir. Otonom sistemleri araştırma ve geliştirme faaliyetleri eski tarihlerden itibaren başlamıştır. 2012 yılında ilk sistem araştırma laboratuvarını kuran ABD ilk çalışmalarında uzaktan kontrol alanına yer vermiş, sonraki yıllarda ise karşılıklı çalışabilirlik konularına ağırlık vermiştir. Özellikle insan hayatı için
21
tehlike yaratabilecek hallerde uzaktan kontrol sistemleri kullanılmaya başlanmıştır. Örneğin, nükleer patlama deneyleri olarak bilinen Bikini Testleri sırasında nükleer patlamada veri toplama işini İnsansız Hava Araçları (İHA) yapmıştır. İHA temel olarak insansız hava aracı demektir. İki farklı türü olan bu İHA’ların ilki uzaktan kumanda edilerek uçan, diğeri ise kendiliğinden belli bir uçuş planı üzerinden otomatik olarak hareket edebilen uçaklardır. Keşif amaçlı üretilen İHA'lar günümüzde birçok saldırı görevinde de kullanılmaktadır. Askeri hedeflere karşı birçok başarılı saldırı gerçekleştirebilmektedir. Otonom sistemlerin kendi başlarına ve amaçları doğrultusunda kabiliyet ve başarılarını artıracak amaç çıkarma ve karar verme sistemleri üzerine çalışmalar devam etmektedir [23]. Yine güvenli, verimli ve sürdürülebilir bir ulaştırma sistemi için günümüzdeki bilimsel gelişmeler sayesinde üretilen teknolojilerin farklı alanlarda kullanımı, genel olarak Akıllı Ulaşım Sistemleri (AUS) olarak tanımlanmaktadır. Şehirlerarası ve şehir içi yolarda her türlü altyapı ve üstyapıyla alakalı sistemlerin iletişim teknolojileriyle kullanılan AUS genellikle karayolu ulaştırmasında ortaya çıkan bir kavramdır. AUS, karayolu ulaştırma sistemlerinin verimliliğini artırmak, emniyetini sağlamak, çevreye olan yararlarını arttırmak, trafiği ve altyapıları yönetmek üzere çeşitli sistemler ile uygulamaların araştırılması, planlanması, tasarımı ve çalışır hale getirilmesinden oluşan bir sistemdir [24].
Otonom sistemlerin gelişmesiyle birlikte akla gelen en önemli sorun bu sistemlerin siber güvenliğinin sağlanması sorunudur. Otonom sistemleri otonom yapan onları akıllı hale getiren temel bileşenlerin bulunduğu ve etkileşim içinde oldukları ortam siber uzaydır. Otonom sistemlere karşı savunma ya da saldırının temel nevilerini siber uzay içerisinde aramak gerekir. Etkili bir siber silah olarak kullanılan kötü niyetli bilgisayar yazılımı vasıtasıyla savaş robotlarını devre dışı bırakabilmektedir. Siber uzay kapsamında sinyal seviyesinden ziyade veri ve bilgi seviyesi esas alınmalıdır. Askeri birlikler çeşitli algılayıcılar vasıtasıyla elde edilen bir verinin sisteme girmesiyle birlikte saklanması ve başka yerlere iletilmesi siber ortamda meydana geldiğinden tüm savaş ortamlarını etkilediği bilinmektedir. Dolayısıyla bu ortamda meydana gelebilecek herhangi bir savaşın ülkeyi çok ciddi sıkıntılara sokabileceğinden siber güvenliğin önemini daha da artırmaktadır [23].
22
2.3.4. Kritik Altyapılar
Kritik altyapılar, ülkenin sosyal, güvenlik ve ekonomik fonksiyonlarının sekteye uğramadan, bozulmadan ve ortadan kaldırılmadan sorunsuz devam etmesi için çok önemli olan fiziksel ve sayısal sistemler olarak tanımlanabilir. Kritik altyapıların siber güveliğinin sağlanması için ulus içinde işbirliği içerisinde hareket edilmelidir. Bu kapsamda Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem kapsamında kamu kurum ve kuruluşları bünyesinde Siber Olaylara Müdahale Ekipleri (Kurumsal SOME, Sektörel SOME) kurulması karara bağlanmıştır. Ayrıca Siber Güvenlik Kurulu’nca ülkemizin kritik altyapı sektörleri şekil 2.8’de verilen “Ulaştırma, Enerji, Elektronik Haberleşme, Finans, Su Yönetimi, Kritik Kamu Hizmetleri” olarak belirlenmiştir. Siber Güvenlik Kurulunun aldığı stratejik kararın sektörel seviyedeki karşılığı sektörel SOME’ler tarafından yerine getirilir. Sektörel SOME’ler, sorumluluk alanındaki sektörde faaliyet gösteren kurum ve kuruluşları bilgilendirme ve başlıca siber güvenlik çözümleri hakkında bilgi sağlama hizmeti vermektedir [25].
Şekil 12.8. Kritik altyapılardan bazıları
Kritik Kamu Hizmetleri Enerji Su Yönetimi Ulaştırma Finans Elektronik Haberleşme
23
Kritik altyapıların siber güveliğinin sağlanmasında üç boyut yaklaşımı teknik boyut, kurumsal boyut, ulusal ve uluslararası işbirliği boyutlarından oluşmaktadır. En temeli olan teknik boyut, sistemi oluşturan alt sistemlerin hassasiyetleri tüm sistem için vazgeçilmezdir. Bu boyutun önemli noktalarından birisi sistemin sürekli olarak kontrol edilmesi ve karşılaşılan risklerin değerlendirilmesi, eğer sistemde bir açık varsa bunun hemen kapatılmasıdır. Güvenliğin bir diğer boyutu olan kurumsal boyut siber güvenlik politikasına sahip olmalıdır. Sisteme dâhil olan herkesin farkındalığı ve eğitimlerinin artırılması gerekmektedir. Kurumsal olarak ulusal ve uluslararası siber güvenlik yapılanması ile ilgili işbirliği sağlanmalı ve kritik altyapı en etkin şekilde teste tabi tutulmalıdır. Son olarak ulusal ve uluslararası işbirliği boyutunda saldırı tehditleri ve yöntemleri ele alınmalı ve güvenlik anlayışını ön plana çıkarılmalıdır. Artık siber uzayın ülkeler arasındaki sınırları kaldırdığı bilinmektedir. Her an bir ülke siber bir saldırıya maruz kalabilir ve bu saldırını sonuçları çok ağır olabilmektedir. Bu sebeple uluslararası işbirliği boyutunda bu saldırılara uluslararası hukuk çerçevesinde alınacak yaptırım kararlarıyla kritik altyapıların güvenliğinin sağlanmasında önemli bir adım olacaktır [26].
2.3.5. Adli ve Emniyet Birimleri
Emniyet birimleri, siber suçlarla mücadelede öncelikle istihbarat kaynaklı yaklaşımlara yoğunlaşarak, siber saldırılardan önemli derecede etkilenebilecek alanlara odaklanmalıdır. Bu da, faaliyetlerin daha iyi koordine edilmesini ve sınırlı kaynakların en iyi biçimde kullanılmasını sağlamaktır. Siber suçların kapsamlı bir şekilde değerlendirilmesi için, siber suçlarla ilişkili verilerin standardize edilmiş bir biçimde izlenmesi, raporlanması ve paylaşılmasına ihtiyaç duyulmaktadır. Meydana gelen bir olayda emniyet birimlerimizde yapılan iş ve işlemlerle ilgili izlenecek yol şekil 2.9’da verilmiştir. Emniyet birimleri gerekli süreç, protokol ve güven ilişkilerinin geliştirilmesi için siber suç alanları ile ilgilenen tüm kurum ve kuruluşlarla birlikte koordineli çalışmaktadır. Emniyet teşkilatları, en çok bilinen suç forumları ve pazarları üzerinde yürüttüğü faaliyetlerine ve bu platformlardaki en yüksek tanınırlığa sahip kişileri hedef almaya yoğunlaşmıştır. Emniyet birimleri kilit hizmetleri bozarak, suç altyapısını dağıtmaya ve kötü amaçlı yazılımları geliştirmekten sorumlu kişileri bulmaya çalışmalı ve bu kişilerden bir adım önde olması gerektiğinden öncelikle siber saldırılara önem veren bir kurum haline gelmelidir. İstihbarat ve delil toplama çalışmaları
24
yapan emniyet birimleri son dönemde siber saldırganların öncelikli hedeflerinden birisi haline gelmiştir [27].
Şekil 12.9. Örnek bir olayda emniyet biriminde iş akışı
Yine Emniyet birimlerimizin bir başka görevlerinden birisi olan karayolu trafiğinin kontrolü bulunduğundan trafik yönetim ve kontrol sistemleri bulunmaktadır. Bu sistemler 3 farklı şekilde olup; birincisi trafik ihlallerini kontrol eden kamera sistemleridir. Genellikle kırmızı ışık ihlali yapan, hız sınırlarına uymayıp radar kontrolü yapan bir kontrol altyapısıdır. İkincisi ise şehirlerin önemli noktaları ve giriş çıkışlarında bulunan sadece kamerayla araç plakalarını okuyup şehre giren araç plakalarını bir veri tabanında tutan bir sistemdir. Üçüncüsü MOBESE olan bu sistemde ise şehrin belli bölgelerinde bulunan
5271 Sayılı Ceza Muhakemesi Kanunun madde 134. ve 164. gereğince yürütülür. Harddisk içeriğinde bulunan imaj dosyaları
mount edilerek virüs taraması yapılır.
Virüs tespit edildi mi?
Tespiti yapılan zararlı yazılımın statik ve dinamik incelemesi yapılıp bilgileri tespit edilir, analizi
yapılarak otomatik rapor edilir.
HAYIR
Zararlı yazılımın trafik hareketleri incelenir ve zararlı yazılımın dosya,
dizin ve network hareketleri tespit edildi mi?
Elde edilen tüm bulgular, adli inceleme kuralları
çerçevesinde raporla.
HAYIR
Dosyaların MD5 ve SHA1 hash değerleri ile path bilgileri adli kopya içerisinden export edilip
“sysproc.exe” programı ile www.virustotal.com üzerinden sorgulatılarak zararlı yazılımın
tespiti yapılır.
IDA pro, immunity debugger gibi disassembler
veya decomplier yazılımlarla assembly kodlarına indirgenerek incelemesi yapılır
25
kameralarla meydana gelebilecek olayları anlık takip edebilen ve meydana gelebilecek bir olayda ekip ihtiyacını hızlıca karşılamaya yardım eden bir sistemdir. Bu üç durumda da veri bir noktadan alınıp başka bir noktaya iletilmekte ve yeri geldiğinde suç ve suçlularla mücadelede kullanılmaktadır. Kötü niyetli bir bilgisayar korsanının bu gibi bir sisteme sızarak verileri değiştirmesi başkalarının suçlanmasına veya gerçek suçluların tespit edilememesine sebep olacaktır. Bu da emniyet birimlerinde bilgi güvenliğini sağlarken daha dikkatli bir yol ve yöntem seçilmesini akıllara getirecektir.
2.3.6. Enerji Sistemleri
Enerji üretim ve dağıtım santralleri kritik altyapıların başında gelmektedir. Bir ülkeye ciddi zararlar vermek, ülkede kargaşa ortamları oluşturmak ve ekonomik olarak çöküntüye uğratmanın yollarından birisi sisteme bir siber saldırı gerçekleştirmek olabilmektedir. Son zamanlarda özellikle nükleer santrallerin fiziksel güvenlikleri ön planda tutulurken, şimdilerde buna ek olarak siber güvenlik kavramı da eklenmiştir [28].
Şekil 12.10. SCADA [29]
26
Enerji altyapı yönetimi tasarımları yapılırken dünyada ve ülkemizde iki yönlü haberleşme, gelişmiş kontrol sistemleri, akıllı algılama teknolojileri, bilişim teknolojileri ve şekil 2.10’da yapısı verilen Supervisory Control and Data Acquisition System (SCADA) sistemleri ile yapılmaktadır. Bu sistemlerin faydasının olmasının yanında ciddi güvenlik sorunları da getirebilmektedir. Tüm dünyada enerji sistemlerinin kesintisiz hizmet vermesi çok önemlidir. O yüzden bu sistemlerdeki risklerin ortadan kaldırılması veya en aza indirilmesi için yeni teknik ve yöntemler geliştirilmelidir. Özellikle bu sistemlerdeki işletim sistemleri, veri tabanı altyapıları ve donanım parçaları çok dikkatli değerlendirilmeli ve güvenlik güncellemeleri, güvenlik duvarları, şifreleme algoritmaları, sızma testleri kimlik doğrulama algoritmaları mutlak suretle yapılmalıdır [30].
Enerji sistemlerine karşı dünyada yaşanan bazı olaylar ise durumun ne kadar ciddi olduğunu ayrıca göstermektedir. Örneğin 8 Kasım 2011'de Springfield Illinois'te şehrin SCADA sistemine, sistemin üreticisinin ağı üzerinden sızan bilgisayar korsanları, sistemdeki pompaları açıp kapatmışlardır. Rusya da bir IP üzerinden yapılan bu saldırı gerçekten korkutucu bir olaydır. 2012 yılı nisan ayında İran, Kharg adası ve diğer petrol tesislerinin internetten bağlantısını kesmiş ve İran Petrol Bakanlığının ve ulusal petrol şirketinin de internet sitelerine bir süre erişilememiştir. İran nükleer tesislerine bir değil birden çok saldırı yapılmıştır. 2013 yılında, California'da mühendis, siber güvenlik uzmanı, şirket yöneticileri ve Federal Bureau of Investigation (FBI) ajanlarıyla ABD elektrik şebekesini kapatmaya çalışan görünmez bir düşmana karşı tatbikat yapmıştır. Düşman şebeke kontrol sistemlerine virüs bulaştırarak, trafo sistemlerini hedef alan tatbikatta, iletişim hatları ve trafolara sanal olarak zarar verilmiştir. Aslında siber saldırılara karşı nasıl bir yöntem izleneceğini araştıranlar bu gibi tatbikatlara daha çok yer vererek ilerleyen günlerde nerelerin hedef alınacağını belirleyecektir [31].
Bir enerji sisteminin güvenlik yöneticisi, altyapısını korumak için farklı yöntemler
kullanabilir. Özellikle bu yöneticiler ağ güvenliği ile ilgili çok daha fazla bilgiye sahip olmalıdır. Ağ üzerinde bulunan tüm ağ cihazlarına ait log kayıtları tek bir yerde toplanmalı, bu kayıtlar analiz edildikten sonra sistem yöneticisine gönderilmeli ve bir sorun fark edildiğinde ivedilikle yöneticiyi uyaran sistemler kullanılmalıdır. Ağ üzerindeki tüm bağlantılar bilinen ve bilinmeyen şeklinde iki gruba ayrılmalı ve tüm protokollerin (TCP, User Datagram Protocol (UDP), ICMP gibi) analizi yapılmalıdır. Bir ağ üzerinde bulunması
