Deniz Zerin
Sistem güvenliği uzmanlarının güvenliğinden sorumlu oldukları sistemlerin kullancıları ile sorunları var. Sorun kullanıcıların kendisi ile ilgili değil, sebep oldukları sistem zaafiyetleri ile ilgili. Kullanıcılar bilgisizlik ve dikkatsizlik gibi nedenlerle, mesela virüs taşıyan bir e-postayı açarak, kullandıkları sistemi tehlikeye düşürebilir. Ya da bilerek sistemden bilgi sızdırılabilir. Sistem güvenliği uzmanlarına göre bu olasılıklar göz önünde bulundurulmalı.
Haliç Üniversitesi’nde düzenlenen ‘’Bilişim Günleri’’nde, bu ve benzeri senaryolar bilişim sektöründen isimlerin sunumlarında yer aldı. Ağırlıklı olarak öğrencilerin katıldığı etkinlikle bilişim sektöründeki iş alanlarını tanıtma amaçlanmış. Etkinlikte kariyer odaklı sunumların yanısıra bulut bilişim, sanallaştırma ve siber güvenlik gibi konularda teknik sunumlar yer aldı.
Katılım ve sorulara bakıldığıdında siber güvenlik öğrenciler için teknik bir gereksinim kadar, kendilerini ilgilendiren bir sorunu da temsil ediyor. Bir anlamda öğrenciler siber güvenliğin sadece sistem güvenliğini değil insanları da ilgilendirdiğinin farkında. Sistem güvenliği ile ilgili teknik bir sunumun ardından kişisel güvenlikleri ile ilgili soru sormaları bu nedenden.
Bu tür soruları teknik sunumların sonunda duymak ister istemez kullandığımız teknolojik aygıtların ne şekilde yaşamlarımızı etkilediği sorusunu hatırlatıyor. Tabi teknoloji yaşadığımız toplumu etkilediği kadar, insanlar da teknolojiyi şekillendiriyor. Bu nedenle şekillendirme işini yapan uzmanların işlerini nasıl yaptıkları, nelere öncelik verdikleri tüm toplumu ilgilendiriyor.
Sistem güvenliği mesleği, güvenlik uzmanlarını kullanıcılar hakkındaki ne tür kabuller edinmeye teşvik ediyor? Bu kabuller kullanıcıları ne şekilde etkiliyor? Kullanıcıların mahremiyetini gözardı eden bir sistem güvenliği anlayışının etkileri neler? Bunlar aşağıda cevap aradığımız sorulardan bir kaçı.
Kullanıcılar zaafiyet kaynağı mı?
Sistem güvenliği uzmanları üç faktörün güvenli sistemlarin inşasında etken olduğunu söylüyor: Teknolojik altyapı, sistem idaresi ve kullanıcılar. Uzmanlara göre idari ve teknolojik altyapı yeterli emek ve kaynakla güvenli hale getirilebilir. Ancak kullanıcıların sistem için tehlike arz etmelerinin önüne geçilemez.
Kullanıcılar bilerek ya da bilmeyerek sisteme zarar verebilir. Virüs taşıyan bir e-postayı açabilir, kilit bir bilgiyi dışarıdaki birine yollayabilir ya da zayıf şifre seçimi ile sistemde zaafiyet noktası oluşturabilir. Sistem güvenliği uzmanlarına göre bu tür olasılıklar her zaman dikkat edilmelidir, çünkü kullanıcılar sistem güvenliği konusunda bilinçli değildir.
Kullanıcıların bilinçli olmadıklarına ilişkin savların örnek teşkil eden az sayıda örnekten besleniyor. Evet, sistem kullanıcılarının farkına varmadan açtıkları yazılımlar sayesinde siber saldırı gerçekleştirilebildiğini biliyoruz. Ancak tüm kullanıcıların potansiyel bir güvenlik açığı olarak görmek, güvenlik yönetiminin faydalanabileceği stratejileri büyük ölçüde kısıtlıyor.
Her ne kadar sistem güvenliği uzmanları kullanıcıları neden olabilecekleri açıklardan ibaret görse de, kullanıcıların güvenli sistem gereksiniminin ortaya çıkmasının ana sebebi olduğunu unutmamak gerekir. Sistemlerin güvenliği, sistemleri kullanan ve de sistemlerden faydalanan insanların güvenliği için gereklidir. Eğer sistem güvenliği uzmanları kullanıcıları korudukları sistemlerin içindeki parçalardan herhangi biri olarak görebiliyorsa, bu meşruiyetlerini kullancıların güvenliğinden aldıkları içindir.
Sistem güvenliği adına gözetlenen kullanıcılar
Sistem güvenliği işinin gündelik işleyişi kullanıcıları ağ noktası ya da trafik aktarımı gibi insandışı verilerle özdeşleştiriyor. Bu da beraberinde kullanıcıların güvenlik gereksinimlerinin ikinci plana atılmasına neden olabiliyor. Sadece sistemsel bir veri olarak görülen kullanıcıların sebep olabileceği sistem açıklarına karşı alınan önlemler bu durumu daha da körüklüyor. Sistemin güvenliği adına kullanıcının güvenliği tehlikeye atılabiliyor.
Sistemin işlediği ve sakladığı bilgiye ek olarak kullanıcıların kişisel bilgileri de sistem güvenliğinin kapsamı dahilinde. Bu nedenle kişisel yazışmalarının içeriği ve kullanıcıların internet trafiklerine ilişkin meta-data da aynı şekilde korunmalı. Sadece sistemin dışındaki saldırganlardan değil, sistem içindeki gözlerden de… Çünkü kullancı için tehlike kişisel bilgisi kendisi haricinde birisinin elinde olduğu an başlar. Mahremiyet kullanıcı güvenliğinin en temel taşıdır.
Ancak sistem güvenliği uzmanları bu konuda hemfikir değil. Onlar için sisteme tehlike arz edebileceklerini düşündükleri kullanıcıların trafiğini gözetlemek işlerinin bir gereksinimi. Çünkü, gözetlenmedikleri takdirde, kullanıcıların yol açtıkları sistem zaafiyetleri ancak iş işten geçtikten sonra farkına varılabilir.
Etik sorunlar güvenlik bakışı ile çözülemiyor
Gözetleme altyapısı, sistem güvenliğinin işleyişi ile ilgili etik bir sorun ortaya çıkartıyor. Sistem güvenliği adına kullanıcıların mahremiyeti tehlikeye atılmalı mıdır?
Etik sorunu gidermek için bir kaç çözüm öneriliyor. İlki kullanıcıların kendilerini hedefleyen gözetim mekanizmalarından haberdar edilmesi. Kullanıcılara gözetlendiklerini açıklamak etik bir sorumluluk olsa da, kişisel mahremiyetin korunması adına bir çözüm getirdiği söylenemez.
Bir diğer çözüm sistem yöneticisinin uzman duruşunun gözetimin kötüye kullanımını engelleyeceğini öne sürmek. Yani etik sorumluluğu uzmanın şahsına yüklemek. Ancak bu öneri kullanıcı mahremiyetini garantiye almaktan çok günah keçisi bulma işlevini görüyor. Kullanıcıları bilgilendirilmekle ya da sistem yöneticilerine sorumluluk yüklemekle sistem içi gözetimin kullanıcı mahremiyetine zarar vermesi engellenemiyor.
Gözetimin sistem güvenliğinin zorunlu bir parçası olduğu fikrini tartışmaya açmak gerekiyor. Kullanıcı mahremiyeti korumanın en temel yolu bu. Mevcut sistem güvenliği stratejilerinde kullanıcıların yerini gözden geçirebilmeliyiz.
Kullanıcıların güvenliğini öncelik gören sistem güvenliği stratejileri geliştirebilmenin yolu, kullanıcıların önceliklerini sistem güvenliği ile ilgili yöntemlerin gelişiminde temsil edilmesinden geçiyor. Sistemi kullananlar güvenliğin sağlanış metodları üzerinde söz sahibi olabilmeli. Kullanıcıları sistemsel veriye indirerek ihtiyaçlarını anlamak mümkün değil. Bu nedenle sistem güvenliği uzmanları kullanıcıları potansiyel zaafiyet kaynağı olarak değil, sistem güvenliğinin hizmet ettiği özneler olarak görmeli.