İş dünyasının kâbusu haline gelen Dağıtık Hizmet Dışı Bırakma Saldırısının (DDoS) önümüzdeki yıllarda daha karmaşık hale geleceği ve saldırganların daha güçlü ataklar düzenleyeceği ifade edildi. Web sitelerini tamamen devre dışı bırakabilen DDoS saldırıları, çoğunlukla otomatik çalışan bot veya programlar aracılığıyla gerçekleştiriliyor.
Arbor Networks’ün yayınladığı rapora göre, geçen yıl düzenlenen 200 DDoS atağı ortalama 100 Gbps gücüne sahipti ve bunlardan bazıları kimi zaman 500 Gbps’a kadar çıktı. Fakat uzmanlar artık DDoS ataklarının gücüne değil daha karmaşık hale gelmesinin kurumları endişelendirmesi gerektiği üzerinde duruyor.
Siber suçluların daha zayıf ataklar ile spesifik hedeflerin güçsüz yanlarına yönelik saldırılar düzenleyeceğinin anlatıldığı raporda, saldırganların eyleme geçmeden önce siteyi çok iyi incelediğini ve zayıf noktaları belirlemeye çalıştığı belirtildi. “Bir e-ticaret sitesinde alışveriş sepetine yeni ürün eklenmesi normalden uzun zaman aldığını anlayan saldırganlar, bu tür zayıf halkalara odaklanıyor” ifadeleri kullanıldı.
Saldırıların sebepleri
Uzmanlara göre, bu saldırıların arkasında birden fazla motivasyon sebebi bulunmakla beraber, ilk sırada saldırıyı gerçekleştiren kişinin yapabileceklerinin sınırlarını görme arzusu geliyor. Bazen de, söz konusu sitenin siyasi duruşunu protesto amacını taşıyan, ideolojik amaçlar söz konusu olabiliyor.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
Her geçen gün daha tehlikeli hale gelen siber tehditlere karşı önlem almaya çalışan Türkiye’de, kurumsal siber güvenlik çalışmalarını artırmak amacıyla kritik sektörlerde Siber Olaylara Müdahale Ekibi (SOME) kurulması zorunluluğu getirildi. Fakat bu kanuni zorunluluğun hayata geçirilmesinde bir çok pratik sorun ortaya çıkıyor.
Siberbulten.com’a özel bir röportaj veren Ağ Yöneticileri Derneği (AYD) Kurucu Başkanı Gökhan Akın böyle bir kanunun olumlu yönde atılmış bir adım olduğunu fakat uygulamada birçok eksiklik bulunduğunu ifade etti. Akın bu ekiplerin kurulmasının önündeki sorunlardan birinin yetişmiş eleman açığı olduğunun altını çizdi.
Ağ yönetimi konusunda eğitimler veren AYD yaklaşık 2 yıl önce kurulmasına rağmen kısa sürede 400’e yakın üye sayısına ulaşmış başarılı bir dernek. 30 kişiden oluşan asil üyelerin hepsinin ağ yöneticisi olan dernek eğitim faaliyetleri üzerinde yoğunlaşıyor. İstanbul Milli Eğitim Müdürlüğü ile yaptıkları protokol ile bilişim dersleri bulunan meslek liselerinde ağ yöneticiliği ile ilgili farkındalık oluşturmak için etkinlik düzenlemeleri derneğin faaliyetlerinden sadece birini oluşturuyor.
Dernekleri bünyesinde verdikleri eğitimlerinin içeriğini anlatan Akın, siber güvenlik tanımı, siber alanda yaşanmış önemli olaylar, siber tehditler ve bu tehditlere çözüm önerilerini katılımcılara aktardıklarını söyledi. Tehditleri ikiye ayırdıklarını da anlatan Akın, iç ve dış tehditleri ayrı ayrı işlediklerini ekledi.
Tüm bilgisayar kullanıcılarına yönelik içeriklerin yer aldığı eğitimler veren AYD’nin Başkanı Akın eğitimlerin çeşitlendirilmesinin üzerinde duruyor. Son kullanıcılar ile SOME’de çalışacak kişileirn aynı eğitimi almamasını hatırlatan Akın, “SOME kanunu koymak yeterli değil, altının da doldurulması, personelin yeterli sayıda ve eğitimli olması gerekiyor. Bu personelin ve birimin belirli periyotlarla kurumlardan bağımsız bir yapı tarafından denetlenmesi lazım. Devletin X brimi Y birimini denetlediğinde objektif sonuçlar olabilir.” ifadelerini kullandı.
Kurumların IT konusundaki istihdam politikasını eleştiren Gökhan Akın, “Kurumlar her şeyi bilen insanları bu birimlere koyuyorlar. Türkiye standartlarında orta çaplı bir firmanın ağ uzmanı yok, aslında ihtiyacı da yok. Orta çaplı bir firmanın 300 ila 500 arasında bir sayıda cihazı bulunduğunu kabul ediyoruz. Bu çapta bir firmanın aylık olarak danışman tutması gerekir.” dedi.
Türkiye’de ağ yöneticilerinin networkü ayakta tutma konusunu (accessibility) -haklı olarak- birinci öncelik olarak belirlediklerini fakat eleman açığından dolayı tüm iş gücünün bu öncelik için harcandığını güvenlik için çalışma yapılmadığını belirtti. “Dolayısıyla sıra güvenliğe bir türlü gelmiyor. Networkü ayakta tutmayı başaran bir ağ yöneticisinden beklenen ikinci hedef ise devletin koyduğu 5651 no’lu kanuna uygunluğunun sağlanması.”
“İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun” başlıklı 5651 kanununa göre bir ağ içerisinde kullanıcının hangi IP ile ne yaptığının gerektiğinde devlete bildirilmesi öngörülüyor.
AYD gibi bir yapıya siber tehditlerin hızla yaygınlaştığı bir dönemde daha fazla ihtiyaç duyulduğunu ifade eden Akın, özellikle küçük ve orta boy işletmelerin karşılaştıkları siber musibetlerde ulaşacakları ve yardım isteyebilecekleri bir platform olmayı misyon edindiklerini dile getirdi.
Siber tehditler büyüdükçe ve ağ bağımlılığı genişledikçe risklerin arttığna dikkat çeken Akın, kurumlarda IT birimlerinde çalışan insanların yetersiz sayıda olması ve sorumluluklarının net olarak belirlenmemesinin önemli bir sorun olduğuna dikkat çekti.
“Printer kartuşu yönetmekten mail sunucusu yönetmeye her şeyi yapıyorlar. Ağ durduğu anda Windows ve Linux la uğraşmaktan ğa dönüp bakmadığı için çaresiz kalabiliyor.” diyen Akın, “İnsanlar sadece accessibility ile uğraşıyorlar. Anadolu üniversitelerin çoğunda 2-3 kişi vardır IT bölümünde, SOME kuracağız ama nasıl kuracağız diye kara kara düşünüyorlar.”
“Küçük ve orta boy işletmelerin bir ağ yöneticisi istihdam etmelerine gerek yok. Danışman tutmak daha verimli bir yol.” görüşünü savunan Akın AYD’nin kuruluşunda etkili olan bir tecrübesini de paylaştı:
“Askerlik arkadaşım yıllar sonra bir gün beni aradı. Çalıştığı şirkete uzaktan erişimi olan yağan bir sunucularına bir hackerın yetkisiz erişim sağladığını anlamışlar.Tüm sunucuyu Cryptolocker ile kilitlemiş. Arkadaş ‘Senin de bu işlerle uğraştığını hatırladım’ deyip aramış.” diyen Akın, şirketin hackerın istediği 3 bin doları ödemesine rağmen muhasebe kayıtlarını kaybetme riskiyle karşı karşıya kaldığını, kendisinin sağladığı uzman yardımıyla kayıtların büyük bir kısmının kurtulduğunu aktardı.
Bu tür taleplerin artması üzerine arkdaşlarıyla www.agciyiz.net adlı siteyi kurduklarını anlatan Akın, en büyük sorunlarının “Ğ” olmasından yakınıyor. “Ağdacıyız olarak anlayan bile oldu sitenin adını. Türkçeleştirmek için networkü kullanmayı tercih etmedik. Ama derneği ilk kurduğumuzda, bir yetkili ‘Ne ağı? Balık ağı mı?’ diye sordu. Adam haklı.”
Sistem güvenliği uzmanlarının güvenliğinden sorumlu oldukları sistemlerin kullancıları ile sorunları var. Sorun kullanıcıların kendisi ile ilgili değil, sebep oldukları sistem zaafiyetleri ile ilgili. Kullanıcılar bilgisizlik ve dikkatsizlik gibi nedenlerle, mesela virüs taşıyan bir e-postayı açarak, kullandıkları sistemi tehlikeye düşürebilir. Ya da bilerek sistemden bilgi sızdırılabilir. Sistem güvenliği uzmanlarına göre bu olasılıklar göz önünde bulundurulmalı.
Haliç Üniversitesi’nde düzenlenen ‘’Bilişim Günleri’’nde, bu ve benzeri senaryolar bilişim sektöründen isimlerin sunumlarında yer aldı. Ağırlıklı olarak öğrencilerin katıldığı etkinlikle bilişim sektöründeki iş alanlarını tanıtma amaçlanmış. Etkinlikte kariyer odaklı sunumların yanısıra bulut bilişim, sanallaştırma ve siber güvenlik gibi konularda teknik sunumlar yer aldı.
Katılım ve sorulara bakıldığıdında siber güvenlik öğrenciler için teknik bir gereksinim kadar, kendilerini ilgilendiren bir sorunu da temsil ediyor. Bir anlamda öğrenciler siber güvenliğin sadece sistem güvenliğini değil insanları da ilgilendirdiğinin farkında. Sistem güvenliği ile ilgili teknik bir sunumun ardından kişisel güvenlikleri ile ilgili soru sormaları bu nedenden.
Bu tür soruları teknik sunumların sonunda duymak ister istemez kullandığımız teknolojik aygıtların ne şekilde yaşamlarımızı etkilediği sorusunu hatırlatıyor. Tabi teknoloji yaşadığımız toplumu etkilediği kadar, insanlar da teknolojiyi şekillendiriyor. Bu nedenle şekillendirme işini yapan uzmanların işlerini nasıl yaptıkları, nelere öncelik verdikleri tüm toplumu ilgilendiriyor.
Sistem güvenliği mesleği, güvenlik uzmanlarını kullanıcılar hakkındaki ne tür kabuller edinmeye teşvik ediyor? Bu kabuller kullanıcıları ne şekilde etkiliyor? Kullanıcıların mahremiyetini gözardı eden bir sistem güvenliği anlayışının etkileri neler? Bunlar aşağıda cevap aradığımız sorulardan bir kaçı.
Kullanıcılar zaafiyet kaynağı mı?
Sistem güvenliği uzmanları üç faktörün güvenli sistemlarin inşasında etken olduğunu söylüyor: Teknolojik altyapı, sistem idaresi ve kullanıcılar. Uzmanlara göre idari ve teknolojik altyapı yeterli emek ve kaynakla güvenli hale getirilebilir. Ancak kullanıcıların sistem için tehlike arz etmelerinin önüne geçilemez.
Kullanıcılar bilerek ya da bilmeyerek sisteme zarar verebilir. Virüs taşıyan bir e-postayı açabilir, kilit bir bilgiyi dışarıdaki birine yollayabilir ya da zayıf şifre seçimi ile sistemde zaafiyet noktası oluşturabilir. Sistem güvenliği uzmanlarına göre bu tür olasılıklar her zaman dikkat edilmelidir, çünkü kullanıcılar sistem güvenliği konusunda bilinçli değildir.
Kullanıcıların bilinçli olmadıklarına ilişkin savların örnek teşkil eden az sayıda örnekten besleniyor. Evet, sistem kullanıcılarının farkına varmadan açtıkları yazılımlar sayesinde siber saldırı gerçekleştirilebildiğini biliyoruz. Ancak tüm kullanıcıların potansiyel bir güvenlik açığı olarak görmek, güvenlik yönetiminin faydalanabileceği stratejileri büyük ölçüde kısıtlıyor.
Her ne kadar sistem güvenliği uzmanları kullanıcıları neden olabilecekleri açıklardan ibaret görse de, kullanıcıların güvenli sistem gereksiniminin ortaya çıkmasının ana sebebi olduğunu unutmamak gerekir. Sistemlerin güvenliği, sistemleri kullanan ve de sistemlerden faydalanan insanların güvenliği için gereklidir. Eğer sistem güvenliği uzmanları kullanıcıları korudukları sistemlerin içindeki parçalardan herhangi biri olarak görebiliyorsa, bu meşruiyetlerini kullancıların güvenliğinden aldıkları içindir.
Sistem güvenliği adına gözetlenen kullanıcılar
Sistem güvenliği işinin gündelik işleyişi kullanıcıları ağ noktası ya da trafik aktarımı gibi insandışı verilerle özdeşleştiriyor. Bu da beraberinde kullanıcıların güvenlik gereksinimlerinin ikinci plana atılmasına neden olabiliyor. Sadece sistemsel bir veri olarak görülen kullanıcıların sebep olabileceği sistem açıklarına karşı alınan önlemler bu durumu daha da körüklüyor. Sistemin güvenliği adına kullanıcının güvenliği tehlikeye atılabiliyor.
Sistemin işlediği ve sakladığı bilgiye ek olarak kullanıcıların kişisel bilgileri de sistem güvenliğinin kapsamı dahilinde. Bu nedenle kişisel yazışmalarının içeriği ve kullanıcıların internet trafiklerine ilişkin meta-data da aynı şekilde korunmalı. Sadece sistemin dışındaki saldırganlardan değil, sistem içindeki gözlerden de… Çünkü kullancı için tehlike kişisel bilgisi kendisi haricinde birisinin elinde olduğu an başlar. Mahremiyet kullanıcı güvenliğinin en temel taşıdır.
Ancak sistem güvenliği uzmanları bu konuda hemfikir değil. Onlar için sisteme tehlike arz edebileceklerini düşündükleri kullanıcıların trafiğini gözetlemek işlerinin bir gereksinimi. Çünkü, gözetlenmedikleri takdirde, kullanıcıların yol açtıkları sistem zaafiyetleri ancak iş işten geçtikten sonra farkına varılabilir.
Etik sorunlar güvenlik bakışı ile çözülemiyor
Gözetleme altyapısı, sistem güvenliğinin işleyişi ile ilgili etik bir sorun ortaya çıkartıyor. Sistem güvenliği adına kullanıcıların mahremiyeti tehlikeye atılmalı mıdır?
Etik sorunu gidermek için bir kaç çözüm öneriliyor. İlki kullanıcıların kendilerini hedefleyen gözetim mekanizmalarından haberdar edilmesi. Kullanıcılara gözetlendiklerini açıklamak etik bir sorumluluk olsa da, kişisel mahremiyetin korunması adına bir çözüm getirdiği söylenemez.
Bir diğer çözüm sistem yöneticisinin uzman duruşunun gözetimin kötüye kullanımını engelleyeceğini öne sürmek. Yani etik sorumluluğu uzmanın şahsına yüklemek. Ancak bu öneri kullanıcı mahremiyetini garantiye almaktan çok günah keçisi bulma işlevini görüyor. Kullanıcıları bilgilendirilmekle ya da sistem yöneticilerine sorumluluk yüklemekle sistem içi gözetimin kullanıcı mahremiyetine zarar vermesi engellenemiyor.
Gözetimin sistem güvenliğinin zorunlu bir parçası olduğu fikrini tartışmaya açmak gerekiyor. Kullanıcı mahremiyeti korumanın en temel yolu bu. Mevcut sistem güvenliği stratejilerinde kullanıcıların yerini gözden geçirebilmeliyiz.
Kullanıcıların güvenliğini öncelik gören sistem güvenliği stratejileri geliştirebilmenin yolu, kullanıcıların önceliklerini sistem güvenliği ile ilgili yöntemlerin gelişiminde temsil edilmesinden geçiyor. Sistemi kullananlar güvenliğin sağlanış metodları üzerinde söz sahibi olabilmeli. Kullanıcıları sistemsel veriye indirerek ihtiyaçlarını anlamak mümkün değil. Bu nedenle sistem güvenliği uzmanları kullanıcıları potansiyel zaafiyet kaynağı olarak değil, sistem güvenliğinin hizmet ettiği özneler olarak görmeli.
