Etiket arşivi: yazar

Makale & Analiz

Coronavirüs günlerinde sosyal alandan siber alana İtalya’nın kâbusu devam ediyor

Yorum yapın

Coronavirüs (COVID-19) salgını; ekonomik, sosyal ve politik sistemlere verilen zararlara ek olarak elbette sağlık alanında da büyük bir deprem etkisi yarattı. Bahsedilen tüm sistemleri birbirine bağlayan siber alan da nasibini aldı virüsten. Çünkü bu tehdit nedeniyle, büyük ölçekte tüm çalışanlar evlerine kapandı ve eğitim uzaktan yapılmaya çalışıldı. Sağlık sistemine daha çok yük bindi, insanlar evlerinden çalışmaya alışmakta ve tüm bu aktörler arasında uzaktan iletişim ve dijital araçlara güven tartışmaların odağı haline geldi. Siber saldırılara ve açıklara davetiye hazırlayan bu gelişmelerle ilgili daha önce bir olay incelemesi yapmıştım. Benzer şekilde siber alandaki bu olaylar aktifleşmeye devam ederken verilerin gizliliği, bütünlüğü ve kullanılabilirliği tehlikeye girmiş vaziyette.

Virüsün derinden etkilediği ülkelerin başında kuşkusuz İtalya da yer alıyor. Günlük hayatta karşılaştığımız birçok sorun çoğu zaman başka faktörlerle de ilişkili. Virüsün devirmeye çalıştığı İtalya’da kriz siber alana da sıçradı doğal olarak. Cynet de, coronavirüsün bilgi güvenliği üzerinde önemli bir etkisinin olduğunu ortaya koyma adına İtalya’daki gelişmeleri mercek altına aldı. Cynet bu konuyla ilgili doyurucu bazı istatistikleri ortaya koyuyor. Görünen o ki saldırganlar bu krizleri aktif olarak kullanmakta. Benzer istatistiklerde de iki ana eğilim dikkat çekicidir. Bunlar kötü amaçlı e-posta saldırıları ve kullanıcıların kimlik bilgilerine yapılan saldırılar olarak karşımıza çıkıyor.

Virüsün etkisinin artmasının ardından İtalya’da ve benzer durumdaki birçok ülkede çalışanlara operasyonlara evlerinden devam etmesi talimatı verilmiştir. Çalışanlar resmi kanallar olması itibariyle e-posta iletişimine ağırlık vermektedir. Cynet ilgili çalışmada, e-postaların %21’inin kötü amaçlı web sitelerine veya makrolara yönlendirme gibi gelişmiş özellikte ekler içerdiğini ortaya koymuştur. İstatistiklere göre İtalya’daki durum diğer birçok ülkeden daha kötü durumda. Çalışanların kontrolsüz bir şekilde yoğunluğu eve taşıması, siber güvenliğe ilişkin denetimlerinin yapılamayışı, genel anlamda belirsizlik saldırganların sosyal mühendislik, kimlik avı ve zararlı e-postaları kullanması için ideal koşulu oluşturmaktadır.

Aşağıdaki grafikte de bir örnek olması açısından Cynet’in raporuna yansıyan Phishing (Oltalama) saldırılarına ilişkin değişim verilmiştir. Sırasıyla İsrail, Japonya, Benelux ülkeleri, Fransa, Almanya, İtalya, Birleşik Krallık ve ABD’ye ilişkin verilerdeki değişim ilk sütunda 2019’daki aylık ortalamaları, ikinci sütunda ise 15 Şubat-15 Mart 2020 arasındaki değişimi göstermektedir. Görüldüğü üzere İtalya’daki saldırılar neredeyse 3 kat artmıştır.

SOSYAL GÜVENLİK SİTELERİ DE SALDIRILARDAN NASİBİNİ ALIYOR

Bireysel anlamda çalışanların ve eğitimin siber saldırılar ile sekteye uğratılması İtalya’nın başını bugünlerde ağrıtan gelişmelerden sadece birkaçıdır. Sosyal güvenlik alanında faaliyetlerini sürdüren web sitelerine saldırılar da dikkat çekici bir şekilde artış göstermiş durumda. INPS (Istituto Nazionale della Previdenza Sociale-İtalya’da bir tür refah ajansı olarak faaliyet göstermekte) yetkilisi Pasquale Tridico yardım ajansının yapacağı 600 Euroluk yardım için 339.000 başvuru olduğunu fakat siber saldırıların siteye erişimi zorlaştırdığını belirtmekte. Başvuru bilgilerine dahi ulaşmakta çoğu zaman zorlandıklarını belirten İtalyan yetkililer saldırıların yoğunluğu ve verilerin niteliğinden dolayı web sitelerini kapatmak zorunda olduklarını kaydetmişlerdir.

Siber saldırılar özellikle coronavirüsün zirveye çıktığı bugünlerde, krizin etkisiyle sosyal ve sağlık hizmetlerinin zaaflarını kullanma eğilimindedir. Daha önce, kendisini en iyisi olarak gören bilgisayar korsanlarının Dünya Sağlık Örgütü’nü hedef aldığını biliyorduk. Mart 2020 içerisinde, Avrupa’nın bazı bölgelerindeki sağlık çalışanlarının, virüs ile ilgili bilgilerinin gizlenmesinde bir sisteme bulaşan ancak gerçekte dosyaları şifreleyen kötü amaçlı bir yazılımla hedef alındığı da ortaya çıkmıştı. Şimdi ise, hackerların İtalyan hükümetini sosyal güvenlik web sitelerine erişim ile ilgili tehdit ettiği ve para talep ettikleri ortaya çıkmıştır. Gelişmeleri ayrıntılı olarak araştırmak için Ulusal Güvenlik Hizmetleri’nden bir siber güvenlik uzmanları ekibi devreye girmiş ve suçluların yargılanması öngörülmüştür.

AŞI ÇALIŞMALARI SALDIRGANLARIN HEDEFİNDE

ABD Menkul Kıymetler ve Borsa Komisyonu tarafından yayınlanan rapora göre de fidye yazılımlar ile ilgili Kaliforniya merkezli bir biyoteknoloji firmasının coronavirüsle savaşta kullanılacak aşı üzerinde çalışırken saldırıya uğradığı ve fidye talep edildiği kamuoyuyla paylaşılmıştır. 10x Genomics adlı firmadan yaklaşık 1 terabayt bilgi ve kod çalındığı bildirilmiştir. Şirket böyle bir sorunla karşı karşıya kalmıştır fakat virüs ile ilgili operasyonlarına da devam etmiştir. İtalya’da olduğu gibi krizler siber saldırıların önünü açmakta ve odak noktası olabilecek siber saldırıları arka plana itmektedir. Çünkü öncelikli alan insan sağlığı ve virüsün seyri olduğu için merkezdeki sorun algısı farklıdır. Benzer örneklerde, İtalya ve ABD’de olduğu gibi siber alandaki uzmanların da önemi gözler önüne serilmiştir ve olayların etkisinin araştırılmasında önem kazanmışlardır.

 Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

Eğitim, Kodlama ve Gelecek: Teknoloji Çağının Neresindeyiz?

2 Yorum

Son 4-5 senenin popüler konseptlerinden biri olan STEM, hatta STEAM, tartışma ve araştırmaların ötesine geçerek eğitim sistemleri ve modellerinin temel odaklarından biri haline geldi. Değişen ve gelişen teknoloji eğitime nasıl adapte edilmeli sorusuna yanıt bulabilmek amacıyla pek çok çalışma ve araştırma yürütüldü, yürütülmeye de devam ediyor ve edecek. Peki Türkiye olarak biz bu değişim sürecine nasıl dahil oluyoruz?

Başta Finlandiya olmak üzere farklı ülkelerin geliştirmiş olduğu yeni eğitim modelleri uzun zamandan beri konuşuluyor ve takip ediliyor. Bu eğitim modellerini incelediğimiz zaman her şeyden önce, hatta teknoloji ve bilimin adapte edilmesinden bile önce, çok temel bir ortak odak noktası fark ediliyor: Eğitimin tanımını ve eğitime olan bakış açısını baştan oluşturmak. Yaklaşık 3 sene önce yayınlanmış olan “I Sued the School System!(Okul/eğitim sistemini dava ettim!)” adlı bir video bu durumu çok güzel açıklamış(https://www.youtube.com/watch?v=dqTTojTija8).

Video temel olarak şu soruyu soruyor: Hayatımızda yeri olan herhangi bir ürün, yöntem, hizmet birkaç yılda ve hatta zaman zaman sadece birkaç ayda bile baştan aşağı evrim geçirip yenilenir, değişirken, nasıl olur da eğitim gibi en önemli ihtiyaçlarımızdan biri yüzyıllardır değişmeden kalabilir? Örnek olarak gösterilen eğitim modellerine baktığımızda ise tam olarak bu soruya verilmeye çalışan cevaplar görüyoruz. Eğitim sadece öğrencilerin bir araya gelip önceden belirlenmiş şeylerin öğretilmesinin ötesine taşınmaya çalışılıyor. Öğrencileri çağın getirdiği yenilikler ve araçlarla bir araya getirerek kendi öğrenme deneyimlerini inşa etmeleri hedefleniyor. Bulunduğumuz ve hazırlanmakta olduğumuz çağın içerisinde her bireyin kendini keşfetmesi ve kendi yol haritalarını çizebilmelerine olanak sağlayan sistemler kuruluyor. Bu tür bir süreç başlatabilmek için de elbette ki çağımızı ve bizi bekleyen geleceği iyice analiz edebilmek, anlayabilmek, özümseyebilmek ve bunların sonucunda da adapte olabilmek gerekiyor.

DİJİTALLEŞME VE KODLAMA

Üzerine çalışılan bu yeni eğitim kurgularına olanak sağlayan en önemli unsur tabi ki de dijitalleşme. Dijitalleşmenin beraberinde getirdiği şeylerden biri de doğal olarak kodlama oluyor. Programlama öğrenmenin önemi yıllardır konuşulan ve kabul edilmiş bir durum. Pek çok ülke programlamayı ilkokul seviyesinden itibaren özel müfredatlar aracılığıyla eğitim sistemlerine adapte etmişken, Türkiye olarak maalesef biz ilk adımlarımızı daha yeni yeni atmaya başladık. Bu konuyla ilgili ilk resmi ve büyük çaplı gelişmeyi duymanın heyecanını yaşarken de ne yazık ki heyecanımız kursağımızda kalmış oldu.

DELPHI LİSTEDE YOK

Geçtiğimiz günlerde Milli Eğitim Bakanlığının bir milyon öğrencinin erişimine sunmak üzere Delphi programlama diliyle ilgili bir protokol imzaladığını öğrendik. Peki nedir Delphi’yle olan derdimiz? Bu soruya cevap vermek için öncelikle bazı istatistikleri gözden geçirelim. Herhangi bir yazılımcının en çok yararlandığı kaynaklardan ve platformlardan biri olan ve her ay yaklaşık 50 milyon yazılımcının ziyaret ettiği Stack Overflow geçtiğimiz günlerde 2019’a dair özet niteliğinde bir anket sonucu yayınladı. Özellikle 2012 yılından beri gümbür gümbür bir yükselişte olan Python, %41.7’lik bir oranla en çok tercih edilen 4. programlama dili oldu (https://insights.stackoverflow.com/survey/2019#technology).

25 maddelik listeye baktığımızda ise göremediğimiz bir dil var, Delphi. Peki 30 senelik bir geçmişi olan Python’ın aniden yükselişe geçmesini sağlayan unsurlar ve 2008’de geliştirilmiş olan daha yeni ve genç Delphi’nin ilk 25’te bile olmasının sebepleri neler? Aslına bakacak olursak, bu sorunun cevabı da eğitim modelleriyle ilgili sorduğumuz soruların cevaplarıyla benzerlik gösteriyor, “çağa adapte olabilmek.” Python yıllardır sürekli olarak kendini yenileyerek ve geliştirerek yazılım dünyasında inanılmaz bir yer edindi. Pek çok yetkili ve yazılımcı tarafından öğrenmesi ve kullanması en kolay dil olarak gösterilen Python, erişimi oldukça kolay ve kapsamlı bir kütüphaneye sahip.

DELPHI: MERAKI KÖRELTMEK İÇİN İDEAL

Delphi’ye baktığımızda ise pek çok yazılımcıyı ya da yazılımla uğraşma hevesine sahip insanı programlamadan nefret ettirecek derecede bıktırdığı sonucunu görüyoruz. Sebebi ise oldukça basit, kullanımının zor olması ve aynı zamanda kullanım alanlarının da bir o kadar sınırlı olması. Bir başka deyişle, programlamaya merak salmış genç bir bireyin merakını köreltmek için ideal. Bütün bunları göz önünde bulundurunca başta Python olmak üzere pek çok farklı, kullanışlı ve faydalı programlama dili -üstelik ücretsizler- mevcutken, Delphi gibi bir tercih yapıyor olmamız gerçekten de akıl dışı, bilim dışı bir durum oluyor. Bahsettiğimiz tüm eğitim sistemleri öğrencilerin farklı alanlara olan ilgisini, merakını ve haya lgüçlerini tetiklemek üzerine kuruluyken, Türkiye olarak attığımız her adımda bunun tam tersi yönde ilerliyor olmamız eğitim üzerine olan endişeleri doğal olarak daha da çok arttırıyor.

Bizler hala daha bilim ve teknoloji trenine dahil olmaya çalışıyoruz. Fakat o tren bir rokete dönüşeli çok oldu. Çağa adapte olmaya çalışırken hep birkaç adım geride kalmış olan gelişmeleri takip ediyoruz, dolayısıyla da geleceği değil geçmişi anlayan, geçmişe adapte olan bir durumda kalıyoruz. Yaklaşık 5 senedir robotik ve kodlamayla uğraşan 19 yaşındaki bir genç olarak sormak isterim sizlere, sizce de geçmiş yerine geleceği şekillendirmeye başlamamızın zamanı gelmedi mi?

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

Bizimkisi bir hack hikayesi

Yorum yapın

Gün geçmiyor ki büyük bir şirketin web sitesinde, mobil uygulamasında, API’larında vs tespit edilen bir açıklık nedeniyle kuruma ilişkin veriler ya da müşterilere ait kişisel veriler sızmasın. Bazen öyle durumlar oluyor ki, sadece müşteri verileri değil, potansiyel müşterilere ait veriler de sızdırılabiliyor.

Potansiyel müşteri mi? Nasıl yani?

Evet yanlış okumadınız, bazen öyle zafiyetler tespit edilebiliyor ki, kurumun sadece mevcut müşterileri değil, bu kurumun kullandığı web servisler aracılığıyla data çektiği 3. taraflardan tüm vatandaşların bilgileri dahi çekilebiliyor. Bu seferki anlatacağım hikayeyi doğrudan kendim gerçekleştirdim. Herhangi bir yasal sonuca sebep olmamak adına firma adını ve sektörü paylaşmayacağım.

Geçtiğimiz haftasonu, kendi ihtiyacım olan bir ürün için farklı firmaların web sitelerini dolaşıyordum. Bir tanesi ilgimi çekti. Verdiği ürünün fiyatından ziyade, bana bu ürünü sunuş şeklinde bir gariplik vardı. Ürün bilgileri için detayları TC Kimlik Numarası ile birlikte girdiğinizde size sadece fiyat gösteriyordu. Fakat o da ne? Belki şuraya küçük şirin bir link koyalım diye düşünmüşler ve potansiyel müşterilerine daha fazla bilgi vermek istemişlerdi.

Baktığınızda çok güzel geliyor. Bana ayrıntılı şekilde ürünü anlatan bir firma. Hemen o heyecanla linke tıklıyorsunuz ve sizin için oluşturulan PDF dokümanını görüyorsunuz. Bu PDF dosyasında ilk gözüme çarpan şey Adım Soyadım olmuştu. Ad-Soyad bilgisinin ne zararı olsundu ki… Ama bir saniye, ben adımı girmedim ki? Hatta TCKN dışında girdiğim tüm bilgiler sahteydi. (Öyle her siteye doğru bilgi girecek halimiz yok tabi, TCKN’nin gerçek olması gerekiyordu). Çok ilginç, ben kimlik numaramı girdim fakat o bilginin bana ait olduğunu teyid edecek 2. hatta 3. bilgi  (ad, soyad, baba adı vs) istemeden:

 

  • Adım
  • Soyadım
  • Türkiye’deki adresim
  • Doğum yılım

 

karşımdaydı. O anda bana bakan birisi beni aşağıdaki şekilde görmüştür sanırım.

Güvenlik alanındaki arkadaşlar, böyle bir durumda neler hissettiğimi tahmin ederler. Tabi ki bir sonraki adım bunun suistimal edilip, edilemeyeceğini anlamak olacaktı.

Zafiyetin varlığını doğrulama aşaması…

Evet bu bir kez benim için çalışmıştı, peki tekrar edilebilir bir şey miydi? Bir zafiyeti raporlayabilmek için tekrar edilebilir, yeniden üretilebilir olması gerekir. Sistem artık güven vermemeye başladığından, kendi ailemin vs kimlik bilgisini girmek istemedim.

Burada en güzel yöntem gerçek kişiler yerine, rastgele TCKN kullanmak olacaktır. Peki TCKN nereden bulacaksınız?

TCKN 11 karakterli uzun bir sayıdır fakat sadece 11 karakterli olması ya da çift sayı olması bizim için yeterli değil. TCKN’nin, kredi kartı numarası algoritmasına benzeyen bir algoritması var. Burada ayrıntılı yazmayacağım, bir arama motorunda ararsanız hemen bulursunuz.

Bu aşamada TCKN algoritmasına uygun sayı üretmem gerekiyordu. Bunun için excelde basitçe random fonksiyonlarını kullanarak ve basamaklar arasındaki işlemi yaparak algoritmaya uygun 20 kadar sayı ürettim. Bunlar ile sisteme fuzzing yaptığımda, bir kısmına ilişkin PDF dokümanı linki oluştuğunu gördüm.

SİBER BÜLTEN OKURLARINA ÖZEL İNDİRİM: BU EĞİTİMİ KAÇIRMAYIN

Bu PDF dokümanlarını açtığımda tam tahmin ettiğim gibi, isimler, adresler, doğum yılları…

Bu zafiyetin 1. kısmıydı. Yani gönderdiğim TCKN’lere karşılık sahibine ilişkin ayrıntıları elde ettim. 2. Kısımda ise, hiçbir TCKN vermeden, oluşan linkteki sıralı numarayı fuzz ederek geçmişte oluşturulmuş tüm dokümanların da ulaşılabilir olduğunu gördüm. Eğer normal şartlarda bir authentication olan bir süreç olsaydı, bu zafiyetin adı IDOR olabilirdi: Insecure Direct Object Reference

Yani özetle sitede 2 tane büyük açıklık vardı. Tabi ki ilkinde tüm vatandaşların bilgilerini alabildiğiniz için çok daha büyük bir risk.

Buradan şunu da görmüş olduk, sadece sabah akşam Acunetix çalıştırıp XSS, SQLi arayarak böyle zafiyetleri bulamazsınız. Bu tip zafiyetler tamamen el yordamıyla çıkacak zafiyetlerdir.

Bu arada kurumun sayfasında gayet güzel yazılmış, çok ayrıntılı bir “KVKK Aydınlatma Metni” var. Siz usandınız duymaktan ama ben söylemeye devam edeceğim, Aydınlatma Metni, Açık Rıza vs ile şirketin, verilerinizi işleme ve paylaşması konusunda sadece belli bir disipline girmesine ufak katkınız olur ama bunlarla kişisel verileri koruyamazsınız. Görüldüğü üzere korumadı.

ÖMER ALTUNDAL YAZDI: 

KVKK her kurumda süreci kimin yönettiğine göre şekil alıyor

Nerede durmalıyız?

Burada durmalıyız, tam olarak burada. Örnek birkaç numara soguladık, bilgilerin her seferinde geldiğini gördük (tabi ki algoritmaya uygun her sayı TCKN değildir), raporlayabilecek kadar ekran görüntüsü aldık. Artık durma vaktidir. Eğer ethical hacker şapkasıyla birşeyler yapıyorsanız burada durmalısınız.

Sistemleri sömürmek, burada bulunan zafiyeti suistimal ederek data çekmek, uzun sürecek olsa da (11 haneli olması 100 milyar ihtimal demek değil, algoritmayı unutmayın) tüm TC vatandaşlarının bilgilerini çekmek (ölü ya da diri) çok büyük bir suçtur. Bunları yaptıktan sonra firmayı bilgilendirseniz dahi yapılan şey sahte kahramanlık olur. Yapılan işlem bilişim suçları kategorisinde değerlendirilir ve ciddi yaptırımları olur, olmalıdır da. Olsun lütfen!

Peki ne yapmalıyız?

Bu aşamada eğer zafiyeti tespit ettiğiniz şirketin Bug Bounty programı varsa şanslısınız. Bunu uygun kanaldan ilettiğiniz takdirde, size parasal bir ödül, kuruma ait eşantiyon ya da Hall of Fame’de adınızın yazılması olarak geri dönecektir. Tabi ki Türkiye’deki şirketlerin bu konuda oldukça çekingen olduğunu biliyoruz. Ben eski şirketlerimden birinde bunu uygulatmaya çalışmıştım fakat çok destek alamadım.

Ben de herhangi bir beklenti olmadan, aldığım ekran görüntüleriyle destekleyerek bir rapor hazırladım ve önce şirketin CEO’suna ulaşmaya çalıştım. Neden CEO diyebilirsiniz. Kişisel Veriler konusunda bir kurumda tepe yönetim sorumludur. En yüksek farkındalık orada olması gerekir. Çabalarım sonuç vermedi, IT direktörü pozisyonunda olduğunu gördüğüm kişinin kurumsal adresine (tabi adresi bilmiyorum) email ile bilgi verdim. Emaili bilmediğimden ad.soyad@kurum, asoyad@kurum, adsoyad@kurum gibi en olası formatlarda oluşturduğum adreslere ilettim. Yine cevap gelmedi. 1 ya da 2 gün sonra ilgili yönetici de, kendisine bağlı başka bir ekip üyesi email ile dönüş yaptı. Kendisine raporu ilettim. Telefonla da görüştük, aksiyon alacaklarını iletti ve teşekkür etti.

Zor ulaşsam da yaklaşım şekillerinden dolayı kendilerine teşekkür ediyorum ben de. Her zaman böyle yaklaşım göremeyebilirsiniz. Bir devlet hastanesinde bulduğum zafiyeti bildirğim için dayak yemediğim kalmıştı. Bir daha da bulaşmamaya söz verdim.

 

 

Bug Bounty Programları

Yukarıda kısaca değindiğim gibi, bazı şirketler Bug Bounty programları ile kendilerine zafiyet bildirimi yapan kişilere çeşitli ödüller veriyor. Özellikle Google, Facebook, Twitter, Apple vb şirketler bu konuda oldukça cömert olabiliyorlar.

Bulduğunuz zafiyetleri bildirmenin çeşitli yolları bulunuyor. Bazı şirketlere doğrudan bildirim yapabileceğiniz gibi, bazılarına ise farklı platformlardan ulaşabiliyorsunuz. Örneğin Hackerone, Synack, BugCrowd bunlardan birkaçı.

Buralarda alacağınız ödüller 1 milyon dolara kadar (rakamla 1.000.000) çıkabiliyor. Örneğin Apple, iOS’un kernelını, kullanıcı hiçbir şeye tıklamadan hackleyebilirseniz bu parayı size vermeyi vaad ediyor. Açıkçası böyle bir şey bulursanız gizli servislere daha yüksek fiyata satabilirsiniz bence.

https://developer.apple.com/security-bounty/

Son olarak tekrar hatırlatayım. Ofansif güvenlik çok eğlenceli gelebilir fakat sadece saldırarak bir kurumda güvenlik sağlayamazsınız. 360 Derece Bilgi Güvenliği konusunda yazdığım yazıyı okumanızı tavsiye ederim.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

2019 Yılında Yapay Zeka Konusunda Neler Oldu?

Yorum yapın

Yapay zeka 2019’da da en çok konuştuğumuz konulardan biriydi. Aslında geçtiğimiz yıl, teknolojik gelişmelerin yaşanmasından ziyade mevcut teknolojinin yanlış ve etik dışı kullanımının yarattığı sonuçlarla yüzleşme ve bunlara karşı tepki gösterme yılıydı diyebiliriz.

Kişisel verilerin güvenliği gündemdeki önemli konulardan biri oldu. Facebook’un kullanıcı verileri ile ilgili skandalları da yine devam etti. HUD, Facebook’un kullanıcıların kişisel verilerini konut reklamlarını kimlerin görüntülediğini belirlemek için kullandığını iddia etti -reklam verenin böyle bir amacı olmasa bile-. Bu durumun ise kişileri aile, yalnız yaşayan, Hristiyan olmayan gibi kategorilere dahil ederek ayrımcılığa yol açtığı vurgulandı. Türkiye’de de Kişisel Verileri Koruma Kurulu tarafından, kamuoyuna “fotoğraf API” olarak yansıyan veri ihlali dolayısıyla gerekli teknik ve idari tedbirleri almadığı anlaşılan Facebook hakkında 1.100.000 TL; ayrıca Kanunun en kısa sürede bildirim yapılması gerektiği hükmüne aykırı hareket edilmesi ile ilgili 550.000 TL idari para cezası verilmişti.

2019’un belki de en önemli gelişmelerinden biri San Francisco tarafından yüz tanıma sistemlerinin kullanımının yasaklanması oldu. Söz konusu yasak, şehir polisi ve bölge şerif departmanı da dahil olmak üzere devlet kurumlarını kapsamakla birlikte; telefonun ekran kilidini açmak için kullanılan sistemler bunların dışında tutulmuştu. Bu durum hükümetlerin gelişen teknolojileri bireyler üzerinde baskıcı ve ayrımcı bir amaçla kullanmaması adına önemli bir adım oldu. İlerleyen aylarda Oakland ve Sommerville tarafından da yüz tanıma yasaklandı.

Yüz tanıma sistemlerinin şirketler tarafından da yoğun şekilde kullanıldığı bir yıldı. Ocak ayında hissedarları Amazon’un elinde bulundurduğu yüz tanıma verilerini hükümete satmaması yönünde baskı yaptı.

ABD HAVA KUVVETLERİ YAPAY ZEKA STRATEJİ PLANINI AÇIKLADI

İklim değişikliği konusundaki tartışmalar da gündemdeydi. Greta Thunberg’in Birleşmiş Milletler’deki konuşması ile daha da alevlenen bir hal aldı. Büyük teknoloji şirketleri de iklim değişikliği konusunda harekete geçti. Google ve Microsoft şubat ayında en büyük petrol şirketlerinden bazılarına otomasyon, bulut ve yapay zeka hizmetleri sağlamak için adımlar attı. Bu sayede, toplumda artan farkındalıkla beraber, petrol ve doğalgaz çıkarılmasında yüksek verimlilik sağlayan ve çevreye duyarlı teknolojilerin geliştirilmesi hedeflenmekte.

Savunma alanında da yapay zekanın kullanımına yönelik gelişmeler yaşandı. ABD Hava Kuvvetleri yapay zeka strateji planını açıkladı. Yapay zekanın ticari kullanımlarının devletçe kontrol edilemez bir aşamada olduğu dile getirilirken, yapay zeka konusunda bugün atılacak adımların ilerleyen dönemde ülkeyi güçlendirebileceği gibi köleleştirebileceğinin de vurgusu yapıldı.

Yapay zeka sistemlerinin kullanımından doğan olumsuz sonuçların önüne geçmek adına Avrupa’da da birtakım adımlar atıldı. Avrupa Konseyi yapay zeka ve veri koruması üzerine kılavuz ilkeler yayınladı. Kılavuz ilkeler, yapay zeka uygulamaları geliştirirken insanlık onuru, insan hakları ve kişisel verilerin korunması gibi hakların güvenceye alınmasına vurgu yapmakta. Kılavuz, ayrıca geliştiriciler için de yol göstermekte; buna göre, geliştirme aşamasında ihtiyaç fazlası verileri azaltıp modelin doğruluğu yeni verilerle beslenerek değerlendirmeli.

Avrupa Komisyonu ise yapay zekanın etik kullanımına yönelik bir kılavuz yayınladı. 2018’de hazırlanan taslak metin kamuoyunun görüş ve önerilerine açılmıştı. Nisan ayında yayınlanan nihai metinde şu vurgular yer aldı:

  • Yapay zeka sistemlerini adalet ve şeffaflık açısından etik ilkelere uyacak şekilde geliştirin, uygulayın ve kullanın.
  • Çocuklar, engelliler ve diğer dezavantajlı gruplar bakımından olan kullanımlarda daha özenli davranın.
  • Demokrasi, hukukun üstünlüğü, adaletin sağlanmasında olumsuz etkiler yaratabileceğini de göz önünde bulundurarak gerekli önlemleri alın.

 

İngiltere Veri Koruma Otoritesi (ICO) ve Alan Turing Enstitüsü’nün ortak hazırladığı kılavuz da yapay zeka ve kişisel verilerin korunmasına ilişkin önemli bir gelişme oldu. Yapay zeka kullanımından etkilenen kişiler bakımından bu süreçlerin açıklanabilir olması için pratik tavsiyeler içermekte. Özellikle şirketin teknik ve uyum ekipleri ile DPO’ya yol gösterici olması hedeflenmekte.

TOPLUMSAL ETKİLERİNE ODAKLANILMAYA BAŞLANDI

Türkiye’de de yapay zekanın hukuki etkilerine yönelik üç büyük baronun -İstanbul, Ankara ve İzmir Baroları- birlikte kaleme aldığı “Yapay Zeka Çağında Hukuk” raporu yayınlandı. Ağustos ayında kamuoyunun yorum ve görüşlerine açılan taslak metin aralık ayında İstanbul Barosu’nda düzenlenen bir etkinlikle kamuoyuna duyuruldu. Metin, Türkiye’de yapay zeka ve hukuk konulu ilk rapor olma özelliğini taşımakta.

2019’a kadarki dönemde yoğunluklu olarak yapay zekanın geliştirilmesine odaklanılmışken artık yapay zeka uygulamalarının toplumda yarattığı etkiler üzerine düzenleme ve politika oluşturulmaya başlandığı; ileriye dönük strateji planlarının hazırlandığı bir döneme girildi.

2020 yılının teknolojinin toplum ve bireyler açısından olumlu sonuçlar doğurduğu bir yıl olması dileğiyle…

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

360 Derece Bilgi Güvenliği

Yorum yapın

Bir önceki yazımı Maslow’un “Elinde çekiç olan, her şeyi çivi sanar” sözüyle bitirmiştim. Yazıyı bu anlamlı sözle bitirmemin tek sebebi hukukçular ile güvenlikçiler arasındaki ayrımı göstermek değildi. Bu söz hayatın çoğu noktasında karşılığını bulduğu gibi, bilgi güvenliği uzmanlarının kendi içinde de geçerli. O yazımın sonunda bu yazıma ufak bir gönderme yapmıştım.

Bilgi Güvenliği tek başına belli bir disiplinden ibaret değildir.Tam tersine, belki de bilgi teknolojileri alt dalları içerisinde en fazla konuya dokunan alan diyebilirim. Sistemden, networke, yazılımdan, insan kaynakları süreçlerine, fiziksel güvenliğe, regülasyonlara vs pek çok alana dokunur. Bu yüzden kurum içerisinde de etkin bir bilgi güvenliği yapısının tesis edilmesi için tüm bu konuları bilmek ve bu işlerin asıl sorumlularıyla iletişim halinde olmak, süreçlerin içinde olmak gerekir. Yani “büyük resmi görmek” için 360 derecelik bir bakış açısına sahip olmak gerekiyor.

Yukarıda bahsettiğimiz büyük resim gerçekten organizasyonun ve hatta organizasyon dışı faktörlerin tamamını kapsıyor. Burada organizasyon dışı faktörler biraz kafa karıştırmış olabilir, buna birazdan tekrar değiniriz.

Bilgi Güvenliği sadece Gizlilik demek değildir

 Bilgi Güvenliği’nde önce şu en temel şeyi tekrar hatırlamamız gerekiyor, biz bilginin sadece Gizlilik (Confidentiality) bileşenini değil, Bütünlük (Integrity) ve Erişilebilirlik (Availability) bileşenlerini de korumak durumundayız.

Gizliliğin ne olduğu az çok herkes biliyor. Örneğin sizin bir müşteri veritabanınız var, bu veritabanına sadece yetkili kişiler için erişim izni vermek ve diğer herkese karşı korumak gizliliğin sağlanmasıdır.

Diğer bileşenler için saldırı tiplerinden örnek vermek daha açıklayıcı olabilir. Sizin bir web siteniz var, bir sabah ofise geldiğinizde baktınız ki web sitesinin ana sayfasında X örgüte ilişkin propaganda mesajları var. İşte bu durumda sizin müşteri ya da diğer gizli bilgilerinize erişilmemiş ya da halen web siteniz erişilebilir olduğundan Erişilebilirlik bileşeni de zarar görmemiş olabilir. Gerçekleşen şey, olması gereken içeriğin bozulması, yani Bütünlük bileşeninin zarar görmesidir. Özetle Bütünlük, verinin bulunduğu ya da iletildiği ortamda bilinçli ya da bilinçsiz şekilde bozulmasının önlenmesidir.

Erişilebilirlik konusunda vereceğim örneği tahmin ediyorsunuzdur. DDoS saldırısı tam olarak bunu hedefler fakat sadece bu değil. Fidye amacıyla kullanılan ve diskinizdeki bilgilerin şifrelenmesine neden olan crypto zararlılarının da hedefi Erişilebilirlik’tir. Bu Bütünlük’e de zarar verse de aslında temel hedef Erişilebilirlik’tir.

Diyebilirsiniz ki “ama verdiğin tüm örnekler siber saldırılarla ilgili”, haklısınız. O zaman 1-2 tane de fiziksel dünyadan örnek verelim. Sel olması ve tek veri merkezinizdeki sistemlerinizin sular altında kalması, çalışması kazısı sırasında fiber kabloların kopması, yetkisiz birinin arşiv odasına girip tüm müşteri evrakını karıştırması vs. fiziksel dünyadan gelebilecek tehditlere sadece birkaç örnek.

Öncelikle bu giriş kısmıyla güvenliğin Gizlilik’ten ibaret olmadığını ortaya koymak istedim. Yazının devamında da kontrollerin de tek tip olmadığını, güvenliğin sadece teknik kontrollerden meydana gelmediğini göreceğiz.

 

 

 

 

 

 

 

 

 

 

 

360 Derece Bilgi Güvenliği ile neyi kast ediyoruz?

Bilgi Güvenliği sadece teknik kontroller ile sağlanabilecek bir konu değildir. Örneğin kilitli olmayan arşiv odasına misafirlerin girmesi, orada bulunan müşteri klasörlerini alıp götürmesi DLP ile engelleyebileceğiniz bir konu değildir. Ya da dere yatağına yapılmış veri merkezinizi sel basması ve sistemlerinizin 1-2 hafta çalışamaması Firewall ile engelleyebileceğiniz bir risk değildir.

Bunlar ve daha pekçok riski azaltmak için çok farklı kontroller uygulamak gerekmektedir. Bunlar Fiziksel Kontroller olabileceği gibi, İdari/Yönetsel Kontroller de olabilir. Örneğin işe giriş sırasında personele imzalatılan Kabul Edilebilir Kullanım Politikası, Parola Politikası, Gizlilik Sözleşmesi vs Yönetsel Kontroller’e örnektir.

Peki uygulayacağımız kontroller her zaman riski önlemeye yönelik kontroller midir? Hayır! Kontrol dediğimizde aklımıza ilk gelen şey Firewall, AV gibi Önleyici Kontrol grubundaki bileşenler olsa da, pekçok farklı kontrol Önleyici Kontrol kategorisine girmez.

Fiziksel kontrollerden başlarsak, örneğin kamera bir önleyici kontrol değil, İzleme Kontrolü’dür. Ya da bina içerisinde özel alanlara girişte yazan “Personel Harici Giremez” benzeri uyarı levhaları Caydırıcı Kontrollerdir. Ya da bir sisteme login olurken çıkan uyarı mesajları yine caydırıcı kontroldür.

Yönetsel Kontrol’ler ise daha çok sözleşme, mevzuat, standart vb kontrollerdir. Mesela GDPR/KVKK, yasal mevzuat ve yaptırımı olan bir mevzuat olsa da, önleyici bir kontrol değildir. Yasalar daha çok caydırıcı kontrollerdir. İçeriğine göre denetim gibi maddeler içeriyorsa İzleme Kontrolleri arasına da dahil edebiliriz.

En çok kullanılan başlıklara gore aşağıdaki tabloyu ve birkaç örneği hazırladım. Bazı örnekler yukarıda belirttiğim gibi birden fazla kategoriye de dahil olabilir. Tabi örnek sayısı da arttırılabilir.

 

 GÜVENLİK KONTROLLERİ Önleyici Kontroller
(Preventive Controls) 		İzleme Kontrolleri
(Detective Controls) 		Caydırıcı Kontroller
(Deterrent Controls)
 GÜVENLİK KONTROLLERİ Önleyici Kontroller
(Preventive Controls) 		İzleme Kontrolleri
(Detective Controls) 		Caydırıcı Kontroller
(Deterrent Controls)
Teknik Kontroller
(Technical Controls) 		Firewall, IPS, DLP, WAF, Endpoint Security vs Yama Yönetimi

Yedekleme

  SIEM, DAM, EDR vs Zafiyet Tarama

Sızma Testleri

  Logon mesajları

Fiziksel Kontroller
(Physical Controls) 		Turnike, bariyer, güvenlik görevlisi

Yedekli kablolama

  Kamera

Duman dedektörleri

  Uyarı tabelaları

İdari / Yönetsel Kontroller
(Administrative Controls) 		 Politikalar

Görevler ayrılığı

Farkındalık Eğitimleri

  İç ve Dış Denetimler  Sözleşmeler

Regülasyonlar

 

Bazı kaynaklarda Düzeltici Kontroller (Corrective Controls)  başlığı da görebilirsiniz. Bu da çok yaygın olarak kullanılan bir kategoridir. Bu daha çok bir denetim sonrası ortaya çıkan eksiklikleri giderme amacıyla uygulanan kontrollerdir. Örneğin bir pentest sonucu çıkan bulguların giderilmesi için alınan aksiyonları bu kategoriye koyabilirsiniz. Ya da yapılan bir iç/dış denetim sonrası gelen rapordaki uygunsuzlukarın giderilmesi için alınan aksiyonları (sistem odası girişine kart okuyucu koymak, sözleşmelere KVKK maddeleri eklemek, Veri Sınıflandırma Sistemi kurmak vs) yine Düzeltici Kontrol grubuna koyabiliriz.

Organizasyon dışı faktörler demiştiniz, açar mısınız?

Aslına bakarsanız uyguladığımız kontrollerin pek çoğu organizasyon dışındaki faktörlere karşı ya da onların talebiyle uyguladığımız kontrollerdir. Peki neler olabilir bu organizasyon dışı faktörler?

  • Yasa koyucu
  • Saldırganlar
  • Rakipler
  • Müşteriler
  • İş ortakları

Bunlar gibi pek çok etmeni göz önünde bulundurmamız gerekir bilgi güvenliğini tesis ederken. Bunlardan gelebilecek riskleri değerlendirmeliyiz. Örneğin devletin koyduğu mevzuata uyulmazsa ceza alınabilir. Diğer taraftan saldırganlar zaten en çok değerlendirilen dış faktörlerdir. Rakiplerimizin sanayi casusluğu yoluyla bizden sızdırabileceği ya da gereksiz bilgileri ifşa etmemiz nedeniyle pazar avantajı sağlaması başka bir risktir. Bu gibi senaryoların tamamını göz önünde bulundurmamız gerekiyor.

Kontrolleri uygulamada sınırımız ne olmalı?

Tüm bu yukarıda bahsettiğimiz alanlarda kontroller planlayıp, uygulayıp, iyileştirirken bilgi güvenliği ekibinin/sorumlusunun asıl hedefinin iş süreçlerine katkıda bulunmak, onları desteklemek olduğunu, alınan önlemlerin şirket ana faaliyetlerine köstek olmaması gerektiğini unutmamamız lazım. İngilizce tabirle “business blocker” değil, “business enabler” olmayan bir güvenlik yapısı, şirkete zarar verir. Örneğin bir e-ticaret işi yapıyor şirketiniz. Siz güvenlik konusunda uygulayacağınız kontrollerde müşteri deneyimi gibi en önemli business faktörünü göz ardı ederseniz, iş birimi gerekli onayları çok üst seviye yöneticilerden alacak ve sonraki gelişmelerin de büyük kısmını sizi by-pass ederek hayata geçirecektir. Fakat bu demek değildir ki siz her şeyi kabul edeceksiniz, tam tersi, risk sizin riskiniz değil zaten. Altına imzayı da o yüzden siz atmamalısınız. Biraz kafa karıştırabilir, bunu da ileride daha detaylı tartışabiliriz.

Bilgi güvenliğini gerçek anlamda tesis etmek için odağa sadece müşteri verilerini de koymamak gerekir. İyi bir yapıda, bilgi güvenliği yöneticisi organizasyon içindeki tüm departmanlarla (İK, İdari İşler, IT, Pazarlama, Müşteri İlişkileri vs) sürekli iletişimde olmalı ve riskleri onlarla beraber değerlendirmelidir. Aksi takdirde sadece IT odaklı bir bilgi güvenliği anlayışı çok eksik kalacaktır.

Siber Bülten abone listesine kaydolmak için formu doldurunuz