Kategori arşivi: Siber Güvenlik

Siber güvenlik sosyal bilimlerin birçok alanıyla olduğu gibi strateji ve güvenlik çalışmaları ile de yakın ilişki içerisindedir. Bu bölümde ülkelerin siber güvenlik stratejileri ile ilgili izledikleri politikaları, attıkları adımları, özel sektör ile ilişkiler, faili bulma, bilgi paylaşımı gibi kritik konularda ki yasal düzenlemelerle ilgili haber ve yorumlar bulunmaktadır.

Siber Güvenlik

‘Akıllı cihazların özel bilgi paylaşmasına alışmalıyız’

Yorum yapın

akıllı

Akıllı cihazların günlük hayatta neredeyse her adımı izlemesi artık mümkün. Ama uzmanlar özel bilgilerin de paylaşılması fikrine alışılması gerektiğini vurguluyor.

İngiltere’deki Mühendislik ve Teknoloji Enstitüsü’nden Prof. Will Stewart, akıllı cihaz kullanmanın özel bilgilerden feragat etmekle eş anlamlı olduğunu söyledi.

Prof. Stewart’ın uyarısı, Samsung şirketinin bazı televizyonlarındaki sesle etkinleştirme özelliği konusunda yaptığı uyarıyı izliyor.

Samsung, müşterilerini akıllı televizyonların sesli kumanda özelliği açıkken kişisel meseleleri konuşmamaları konusunda uyarmış, söz konusu kurulumun televizyon sahiplerini dinlediği belirtilmişti.

Samsung, “Eğer müşteri sesli tanıma özelliğinin gizlilik uyarılarını kabul eder ve bu özelliği kullanmaya başlarsa, sesli kumanda sırasında kaydedilen veriler, sesli emrin tanınması için üçüncü kişiye aktarılacaktır. Bu sırada sesler servis sağlayıcıya aktarılacak, servis sağlayıcı emrin içeriğini araştıracak ve bunu televizyona yansıtacaktır” demişti.

Şirket, bu verilerin depolanmadığını veya başka bir kişiye satılmadığını da vurguladı.

Güney Kore şirketinin televizyon uyarıları akıllı cihazların kişinin özel yaşamına başka nasıl girdiği ve bireylerin bu tür cihazlar üzerindeki kontrolünün ne derece sınırlı olduğu konusunda yeni tartışmalar yarattı.

Bu çerçevede akıllı televizyonlarda istenmeyen reklamların yayına girmesi ile üreticinin kullanım şartlarını ve gizlilik politikasını kabul etmeyenlerin cihazdaki kimi özelliklere erişimden yoksun kalmaları örnek gösteriliyor.

2013 sonlarında da LG firması, akıllı televizyonlarının kullanıcının izlediği programların türü hakkında bilgi toplaması yüzünden eleştirilere hedef olmuştu.

Özel hayata sanal müdahale artacak

Bazı oyun konsolu sahipleri de, cihazların çoğu sesli kumandaya cevap verecek şekilde programlandığı için ne kadar sıklıkla “dinlendiklerini” sorgulamaya başladı. 2014 ortalarında Aaron Paul’un rol aldığı bir televizyon reklamında “Xbox’ı aç” denildiğinde, bazı evlerdeki konsolların kendiliğinden açıldığı saptanmıştı.

Prof. Will Stewart, Samsung televizyon olayındaki tehlike unsurunun fazla olmadığını, ancak teknolojik cihazlar “giderek akıllandığında” bunun geçerliliğini yitirebileceğini söylüyor; “geleceğin cihazları, örneğin canlı çeviri yapabilme gibi özellikler daha fazla veri paylaşımını gerektirecek. Bundan haberdar olunmalı.” diyor.

Prof. Stewart birçok durumda özel bilgilerimizi paylaşmaktan kaçınamayacak hale geleceğimizi de vurguluyor ve “arkadaşlarının yerini bul veya oto izleme gibi sıradan hizmetlerden yararlanmak için önemli düzeyde özel bilginin teslim edilmesi gerekiyor” diye sürdürüyor.

Tüketiciler arasında kimilerinin, sağlayacağı yararları hesaplayıp özel verilerini bir ölçüde paylaşmaktan kaçınmayacağını belirten Prof. Will Stewart, ancak, özel bilgi paylaşımı düzeyinin giderek artacağı ve özel hayata daha büyük müdahalelere kapı açacağı uyarısında bulunuyor.

KAYNAK: BBC

Siber Güvenlik

ABD çocukların sanal güvenliği için harekete geçti

Yorum yapın

Washington yönetimi, Amerika’da 8 milyar dolarlık bir ekonomik hacme ulaşan eğitim programlarının toplandığı bilgilerin güvenliği için harekete geçti.

Beyaz Saray yönetimi, öğrencilerin sanal alemde bıraktıkları izleri, “büyük veri” analizlerinden korumak için Amerikalı senatör ve temsilcilerle ortak bir çalışma yürütüyor. Öğrencilerin sanal verilerinin sadece eğitim ve yasal araştırma programlarında kullanılmasıyla sınırlandırılması hedefleniyor.

Temsilcileri Meclisi’nin Indiana milletvekili Luke Messer, “Amerikalı öğrencileri, ‘büyük veriden’ korumak partiler üstü bir mesele olmalı,” diye konuşurken Colorado eyaletinden Demokrat vekil Jared Polis de, “Ailelerin duyduğu endişelerin çözümü için yasa en iyi yol. Ayrıca bu şekilde yeni ürünlerin de önü açılır,” ifadelerini kullandı.

Target ve Home Depot gibi şirketlerde yaşanan güvenlik açıklarının ardından Obama, tüketicilerin sanal güvenliğinin korunması yönünde daha fazla adım atmayı hedefliyor. Anthem adlı sigorta şirketini hedef alan siber saldırıda 80 milyon üyenin bilgileri çalınmıştı.

Başkan Obama’nın siber güvenlik danışmanı Michael Daniel, son yapılan saldırının “rahatsız edici” olduğunu vurgulayarak bu tür saldırılar nedeniyle Beyaz Saray’ın konuyu ABD Kongresi ile ortak yürütmeyi hedeflediğini kaydetti. Öğrencilerin sanal güvenliği, bu ortak çalışmanın ilk ürünü olacak gibi gözüküyor.

Ayrıca Beyaz Saray, Stanford Üniversitesi’nde 13 Şubat’ta bir siber güvenlik zirvesi düzenleyerek teknoloji, market ve bankacılık sektöründen üst düzey isimleri bir araya getirecek. Hukukçuların ve tüketici hakları derneklerinin de katılacağı toplantıyla Beyaz Saray’ın siber güvenlik çalışmalarına da destek aranacak. Obama yönetimi, bunun yanı sıra, tüketicilerin sanal alemdeki bilgi güvenliğine ilişkin bir tasarıyı da yakında açıklaması hedefliyor.

ABD Ulusal Güvenlik Ajansı’nın eski çalışanı Edward Snowden’in ifşalarının ardından Başkan Barack Obama, John Podesta’yı danışman olarak atayarak tüketicilerin sanal izlerinin nasıl korunabileceği üzerine çalışmasını istemişti.

Podesta öğrencilerin sanal izlerinin korunmasının önemli olduğuna dikkat çekmişti. 2013 yılında yapılan bir araştırma, çok sayıda okulun bilgi güvenliği noktasında zayıf olduğunu göstermişti.

Şimdiye kadar kamuoyuna yansıyan bir güvenlik açığı olmamasına rağmen yetkililer, önceden harekete geçmesi noktasında kararlı gözüküyor.

Ayrıca Microsoft ve Google’un da aralarında olduğu 100’den fazla şirket, çocukların sanal bilgilerinin kötüye kullanılmasının önüne geçeceklerini ilan eden bir bildiri yayımlamışlardı.

Siber Güvenlik, Uluslararası İlişkiler

AB’nin siber güvenlik bilançosu: Sorunlar çözümlerden daha fazla

Yorum yapın

Avrupa Birliği’nin ilk Siber Güvenlik Stratejisini yayınlamasının ardından neredeyse iki yıl geçti. İki yıl boyunca AB’de siber güvenlik alanında neler yaşandığını Avusturyalı siber güvenlik uzmanı Alexander Klimburg Dış Politika Konseyi (Council on Foreign Relations) için yazdığı yazıda değerlendirdi.

Klimburg,stratejinin hedefleri arasında siber dayanıklılığın artırılması ve siber suçları etkili şekilde düşürmek gibi konuların yer aldığını belirtiyor. Güvenlik uzmanına göre, strateji belgesi, siber güvenlik politikalarının üç önemli ayağını ortaya çıkartıyor. Bunlar güvenlik, dış politika ve ekonomi. Bu açıdan bakıldığında iç güvenlik alanında önemli bir yer tutan siber suçlarla sorumlu olarak İçişleri Genel Müdürlüğü (The General Directorate for Home Affairs) öne çıkıyor. Siber güvenliğin dış politika ve savunma alanlarıyla olan yakın ilişkisinden dolayı Avrupa Konseyi (European Council) ve Avrupa Harici Eylem Servisi (European External Action Service) de siber güvenlik politikasında söz sahibi oluyor. Siber güvenliğin merkezinde ekonomi için hayati öneme sahip olan ağ ve bilgi güvenliği de bulunduğundan Ekonomi İşlerinden sorumlu genel müdürlük de (Directorate General for Economic Affairs) strateji de sorumlu tutulan birimler arasında yer alıyor. Klimburg siber güvenlik politikasının başarıya ulaşmasının önündeki en büyük engel olarak sorumlu kurumlar arasındaki farklı yetki seviyelerinin olduğuna işaret ediyor.

Alexander Klimburg bir diğer gelişme olarak AB’ye üye hükümetlerin temsilcisi olan Avrupa Konseyi’nin yakında Siber Diplomasi Stratejisini yayınlanacağını ifade ediyor. Stratejinin ayrıntıları hala açıklanmasa da, devletlerin siber alandaki adımlarının sorumluluk içerisinde kalmasına, İnternet özgürlüğüne, insan haklarına ve siber kapasitenin artırılmasında güçlü destek verileceği tahmin ediliyor.

Yazısında AB’nin son bir yılda siber kapasite geliştirme hususunda önemli adımlar attığına dikkat çeken Klimburg, AB’nin Afrika ve Balkanlar’da çeşitli projelere başladığını ve Budapeşte Konvansiyonu’nun kabulü için çalıştığını ifade ediyor.

Yazıda bugüne kadar AB’nin siber güvenlikle ilgili farklı 5 tartışma grubu kurması, NATO ile farklı siber konularda iş birliğini derinleştirmesi ve Avrupa Siber Suçlar Merkezinin operasyonel kabiliyetlerinin genişletilmesi de olumlu adımlar olarak değerlendiriliyor. Merkez, kolluk kuvvetleri arasında işbirliğini kolaylaştırıcı çalışmaları ile biliniyor.

AB’nin siber güvenlik politikasında önemli çelişkilerin başında AB’nin üye ülkelerin siber güvenliklerinden sorumlu olup olmayacağı konusu geliyor. Ortak savunma alanlarında araştırmalara finansal destek sağlayan Avrupa Savunma Ajansı’nın (The European Defense Agency) hem üye ülkelerin hem de Birliğin siber güvenliğini sağlamak için önemli fonlar ayırdı. Desteklenen araştırma projeleri arasında savunma ile direkt alakası olmayan krize karşı koyma kapasitesinin artırılması gibi konuların bulunması dikkat çekiyor. AB’yü etkileyecek geniş çaplı bir siber krize karşı koyma kapasitesinin artırılması için gerçekleştirilen Siber Avrupa (Cyber Europe) tatbikatı da Ajans’ın destek verdiği projeler arasında yer alıyor.

AB’nin siber kriz yönetim kapasitesinin artırılmasının arkasında hukuki dayanak olarak Ağ ve Bilgi Güvenliği Yönergesi (Network and Information Security Directive) gösteriliyor. Bu yönerge üye devletlere Siber Olaylara Müdahale Ekipleri kurma konusunu zorunlu hale getirirken, aynı zamanda ‘bilgi paylaşımı’ konusunda özel sektöre önemli yükümlülükler getiriyor. Bunların başında özel sektör şirketlerinin karşılaştığı ciddi siber olayları ulusal kurumlara ve Avrupa Ağ ve Bilgi Güvenliği Ajansı’na bildirmeyi zorunlu kılıyor. Klimburg yazısının sonunda bu zorunluluğun özel sektör için gerçekleştirilmesi zor bir hedef olduğunu ifade ediyor.

 

Siber Güvenlik

“Hackerları engellemeyi unutun!”

Yorum yapın

Bu düşünce, Amerika’nın başkenti Washington’da merkezi bulunan Stratejik ve Uluslararası Çalışmalar Merkezi’nden (CSIS) siber güvenlik uzmanı James Lewis’e ait. Lewis, arkasına devlet imkanlarını almış bir hackeri durdurabilecek bir şirket olmadığını savunuyor. Aynı uzman, Sony’yi hedef alan saldırının arkasında da komünist Kuzey Kore hükümeti destekli hackerlar olduğuna inanıyor.

 

BBC’ye konuşan Lewis, “Bu hackerları yenmek mümkün değil. Suçlular para kazanmak ister. Eğer sizin ağınıza sızma imkanları olmazsa, başka bir hedefe geçerler. Ancak Sony’ye yapılan saldırının motivasyonu maddi değil siyasiydi,” yorumunda bulunuyor. Lewis’in bu net ifadelerine karşı başka uzmanlar, bu siber saldırının arkasında Pyongyang olduğu noktasında şüphelerini sürdürüyor. Kuzey Kore yönetimi de saldırının arkasında kendilerinin olmadığını açıklamış durumda.

Amerikalı siber güvenlik uzmanı Lewis, devlet destekli hackerların bazı suç şebekelerine göre ellerinde daha fazla imkan olduğuna dikkat çekiyor. Bu hackerların ihtiyaç duyduğunda ajanları devreye sokabileceğini ya da telefon konuşmalarını dinlemeye yönlenebileceğini vurguluyor. “Bu tip hackerlar vazgeçmez. Başarılı olana kadar saldırıya devam ederler,” şeklinde konuşuyor Lewis.

Amerikalı uzmana göre, konuya bu şekildeki bir yaklaşımın, şirketlerin güvenlik riskleri noktasındaki anlayışlarını ve bu riskleri nasıl hafifletebilecekleri yönündeki düşüncelerini değiştirmelerini gerektiriyor. Lewis, “Şu an pekçok şirket, riskleri hafife alıyor,” uyarısında bulunuyor.

Siber güvenlik uzmanları, şirketlerin güvenlik açıklarını hızlıca tespit edip hackerların verebileceği zararları asgariye indirmeleri gerektiğine inanıyor. Amerika merkezli Forrester Research adlı şirketten güvenlik uzmanı Rick Holland, “Sony’yi bu noktada hatalı buluyorum zaten. Güvenlik ihlalini hızlıca tespit edip büyük miktarda bilginin sızmasını engelleyemediler. Bu çok sayıda şirketin ortak sorunu da ayrıca,” dedi.

Şirketler, ağlarına sızmaya çalışabilecek davetsiz misafirlere karşı yüksek güvenlik duvarları inşaa etmelerine rağmen saldırı anında harekete geçecek “kişileri” yerleştirmiyor. Holland için hackerların bir şekilde ağa sızmaları halinde verecekleri zararları asgariye indirmek, bu bilgisayar ağlarının yapılanmasında büyük değişikler anlamına geliyor. “Ağlara bakarsanız, pekçoğunun temel olarak tehlikede olduğunu görürsünüz. Saldırgan içeri girdiği andan itibaren istediğini alabiliyor.”

Holland, şirketlerin bilgisayar ağlarını parçalara ayırmaları tavsiyesinde bulunuyor. Yani, hacker bir bölüme girdiği zaman diğer bölümlere sızmasının engellenmesi şeklinde bir ayrışma gerekiyor. Bu noktada gemilerdeki güvenlik yaklaşımını örnek gösteren Holland, “Gemi gövdesi zarar görürse o bölümü kapatıp zararın diğer bölümlere geçmesini engelleyebilirsiniz,” diyor.

Bazı şirketler mesela petrol ve doğalgaz kurumları, önemli gördükleri bilgisayar ağlarını, şirket ağından tamamen kopararak bir sızma durumunda, hackerların önemli ağlara ulaşmasını engellemeye çalışıyor. Buna “air gapping” ismi verilmiş. Rick Holland, bu tekniğin etkili olabileceği ancak bazı şirketlerdeki çalışanlar için bu ayrışmanın yorucu olabileceğini ve hatta üretimin zarar görebileceğine dikkat çekiyor.

Sony’yi hackleyen kişiler, şirketin özel e-postalarını sızdırırarak Sony’nin ününe zarar vermiş durumda. Holland, şirketin gereksiz bilgileri silerek çalınmalarının önüne geçebileceği önerisinde bulunuyor. Holland, “Şirketler kesinlikle çok fazla bilgi barındırıyor. Ama gereksiz olanları tespit edip silmeleri lazım,” tavsiyesinde bulunuyor.

Ancak bu tavsiye, “big data” fetişimizde olduğu bir dönemde şirketler için bir ikileme yol açıyor. “Big data,” bilgilerin toplanıp bunlar arasında ayıklama yaparak daha önce farkında olunmayan ilişkileri ve alışkanları ortaya çıkarmakta kullanılıyor. Holland, “Büyük miktardaki bilgilerin sorunu, bunların hepsinin aynı sepet içinde tutulması. Hacker, bu sepete girdiği anda herşeyi ele geçirebilir,” diyor.

Bunların yanı sıra bilgilerin şifrelenmesi de önemli. Amerika merkezli Gartner şirketinden güvenlik uzmanı Anton Chuvakin, davetsiz misafirlerin ağa sızdığının hızlı bir şekilde tespit edilememesi halinde bu şifrelemeyi çözecek bilgileri de çalabileceğine dikkat çekiyor.

Chuvakin, şifreleme ve ağ ayrıştırmanın değerli olduğunu çünkü bu adımların hackerların işini zorlaştıracağına dikkat çekiyor. Chuvakin, “Şirketlerin yapması gereken hackerları engelleme mantığından uzaklaşmak. Hackerları yavaşlatıp onları iş üzerinde yakalamak daha mantıklı. Şifreleri bilgilerinizi çalıp ardından da üç gün boyunca bu şifrelerin anahtarlarını aramakla vakit geçirirlerse onları yakalamak daha kolay olur,” şeklinde yorumda bulunuyor.

Peki şirketler, Sony’ye yapılan tarzda bir saldırıyı nasıl engelleyecek? Halihazırda kullanılan anti-virüs programları ve diğer sistemler yetersiz görünüyor. Anton Chuvakin, yeni teknoloji ürünü makinelerin bu tür saldırıları tespit edebileceğine inanıyor. Ayrıca “big data” teknolojilerinin de güvenlik noktasında yardımcı olabileceği düşünülüyor.

İşin kötü tarafı, bu şirketler için ek maliyet demek. Lewis, devlet destekli hackerların önüne geçmek için şirketlerin para harcamak zorunda olduğuna dikkat çekiyor. “Riskin düşük olduğuna inanmak ucuz. Ama bu günler geride kaldı,” diyor.

 

 

 

 

 

 

 

 

 

ABD, Siber Güvenlik

ABD siber bütçesini 14 kat arttırdı!

Yorum yapın

 

Sony saldırısının ardından siber güvenliğin ülke çapında tartışılır hale geldiği ABD’de, siber güvenliğe yapılan harcamaların artırılması tartışılıyor. ABD başkanı Barack Obama, 2016 mali yılı için bütün ABD’de siber güvenlik bütçesinin 14 milyar dolara çıkarılmasını istedi.

Son yıllarda federal siber güvenlik harcamalarında düzenli bir harcama görülüyor. Bu da aslında ABD şirketlerinin ve devlet organlarının konunun hassasiyetine verdikleri önemi göstermesi açısından önemli.

Bütçedeki fonlama, ülkedeki siber güvenliğin artırılması amacıyla çeşitli öneriler içeriyor. Örneğin, EINSTEIN isimli siber olay tespit ve engelleme sistemi, federal bilgisayar ağlarının izleme ve teşhisinin yapılması, siber olay müdahale eğitimlerinin yaygınlaştırılması, bu bütçe kapsamında değerlendiriliyor.

Obama, 2 Şubat 2015’te hazırlanan bütçeyi Kongre’ye onaylanmak üzere gönderdi. Hazırlanan bu bütçe, siber saldırıların günden güne özel sektörü, kritik altyapıları ve Federal hükümeti hedef alır hale gelmesini temel alıyor. Bütçedeki önemli detaylar şöyle:

– Bütçe önerisi, siber güvenlik harcamalarının 1 milyar dolardan 14 milyar dolara çıkarılmasını öneriyor.

– Bütçe, siber güvenlik konusundaki girişimleri ve öncelikleri belirtiyor ve olay engelleme ve müdahale kabiliyetlerinin geliştirilmesini de içeriyor.

– Bütçe ayrıca, devletin özel sektörle bilgi paylaşımı kabiliyetlerinin geliştirilmesini ve herhangi bir siber durumda ortaya çıkacak tehditlere karşı kendisini korumasını sağlamak için öneride bulunuyor.

– Öneride ayrıca, siberalanın çok daha güvenlikli hale getirilmesi için araştırma ve geliştirme faaliyetlerine yatırım yapılması önerililyor.

– ABD’nin siber tehditlere cevap verme kabiliyetlerinin gelişitirilmesi üzerinde duruluyor. Bu öneriye göre, sivil bir siber kampüs kurularak daha iyi bilgi paylaşımı hedefleniyor. Maddede ayrıca siber suçlarla mücadele için diğer ülkelerle işbirliğinin sağlanması da hedefleniyor.

– ABD’deki siber işgücünü de artırmayı hedefleyen bütçe, devlet kurumlarının ve bilgi sistemlerinin korunmasını, öncelik olarak ortaya koyuyor.

-Bütçe genel olarak Amerikan vatandaşlarının, sistemlerinin ve bilgilerinin, siber tehditlerden korunmasına imkan tanıyacak düzenlemeleri içeriyor.

Bütçe hakkında Beyaz Saray’dan yayınlanan özet bildiri, siber savunma bütçesi hakkında şunları kaydetti: “Özel sektörü, kritik altyapıları ve federal hükümet organlarını hedef alan siber tehditler, hiç bir sektör, ağ veya sistemin bu tehditlere karşı korunaklı ve dokunulmaz olmadığını göstermiştir. Bu tehditler, ticari ve resmi sırları ve malları çalmayı, veya zararlı ve aksatıcı eylem yapmayı amaçlayan saldırılardır.”

Siber güvenlik için sadece Pentagon’un bütçesinin 5.5 milyar dolara yükseltilmesi öngörüldü. Geçen ay bu kurumun temel silah test ekibi, neredeyse bütün Amerikan silahlarının siber saldırılara karşı önemli açıklıklar barındırdığını belirtmişti.