Professional Documents
Culture Documents
Kurumsal B LG Güvenl Yönet M S Stemler Ve Güvenl: Yildiz Tekn K Ün Vers Tes Fen B L Mler Enst Tüsü
Kurumsal B LG Güvenl Yönet M S Stemler Ve Güvenl: Yildiz Tekn K Ün Vers Tes Fen B L Mler Enst Tüsü
FBE Elektrik Mühendisli i Anabilim Dal# Elektrik Makinalar# ve Güç Elekroni i Program#nda
Haz#rlanan
STANBUL, 2010
Ç NDEK LER
Sayfa
EK L L STES ........................................................................................................................ xi
ABSTRACT ............................................................................................................................. xv
1. G R ....................................................................................................................... 1
2. B LG ve B LG VARLIKLARI ........................................................................... 12
iii
7.7.4 Veritaban" Güvenli0ini çin Yönetilmesi Gereken Unsurlar ............................... 103
7.7.4.1 Veritaban" Kullan"c"lar" ve emalar" ................................................................... 103
7.7.4.2 Yetkilenedirme ve Yetkiler.................................................................................. 104
7.7.4.3 Roller ................................................................................................................... 104
7.7.4.4 Depolama Ayarlar" ve Kapasite Limitleri............................................................ 104
7.7.4.5 Profiller ve Kaynak Limitleri............................................................................... 104
7.7.4.6 Kullan"c"n" Hareketlerinin Denetlenmesi ............................................................ 105
7.7.4.7 Detayl" Denetleme ............................................................................................... 105
7.7.5 Veritabanlar"n" Tehdit Eden Durumlar ................................................................ 105
7.7.5.1 SQL Enjeksiyon Tehditlerine Kar1" Uyulmas" Gereken Kurallar ....................... 106
7.7.6 Veritaban" Zaafiyetlerini Ölçmeye Yarayan Araçlar ........................................... 109
7.8 Sosyal Mühendislik Tehditleri............................................................................. 109
7.9 Güncel Tehditlerle lgili Genel De0erlendirme ................................................... 110
8. B LG VARLIKLARIKLARINI KORUMAYI AMAÇLAYAN
PENETRASYON TESTLER ............................................................................. 113
iv
S MGE L STES
v
KISALTMA L STES
vi
DOM Document Object Model, Belge Nesne Modeli
DoS Denial of Service, Servis Engelleme
DDoS Distributed Denial of Service, Da0"t"k yap" ile Servis engelleme
EAP Extensible Authentication Protocol, Geni1letilebilir Kimlik Do0rulama Protokolü
EMEA Europe, the Middle East and Africa, Avrupa, Ortado0u ve Afrika
FBE Fen Bilimleri Enstitüsü
FBI Federal Bureau of Investigation, Federal Ara1t"rma Bürosu
FIN Finish Packet, Bitis kontrol biti bir olan herhangi bir paket
FISMA Federal Information Security Management Act, Federal Bilgi Güvenli0i Yönetimi
Yasas"
FTP File Transfer Protocol, Dosya Aktar"m Protokolü
GD Güvenlik Duvar"
GHDB Google Hacking Database, Google Sald"r" Veritaban"
GLBA Gramm-Leach-Bliley Act, Gramm-Leach-Bliley Yasas"
GNU General Public License, Genel Kamu Lisans"
HIPAA Health Insurance Portability and Accountability Act, Sa0l"k Sigortas"
Ta1"nabilirlik ve Sorumluluk Yasas"
HP/UX Hewlett Packard ve Unix
HTML Hypertext Markup Language, Hipermetin i1aret Dili
HTTP Hypertext Transfer Protocol, Hipermetin Aktarma leti1im Protokolü
IANA Internet Assigned Numbers Authority, nternet Atanm"1 Numaralar Yetkilisi
ICMP Internet Control Message Protocol, Internet Denetim Mesaj Protokolü
IDS Intrusion Detection System, Sald"r" Tespit Sistemi
IEC The International Electrotechnical Organization, Uluslararas" Elektroteknik
Komisyonunu
IEEE Institute of Electrical and Electronics Engineers, Elektrik Elektronik Mühendisleri
Enstitüsü
IGI Investigative Group International, Uluslararas" Ara1t"rma Grubu Firmas"
IM Instant Messaging, Anl"k Mesajla1ma
IMAP Internet Message Access Protocol, nternet Mesaj Eri1im Protokolü
IP Internet Protocol, nternet Protokolü
IPC Inter-Process Communication, Prosesler Aras" Haberle1me
IPS Intrusion Prevention System, Sald"r" Önleme Sistemi
IRIX Unix Tabanl" 1letim Sistemi
ISACA Information Systems Audit and Control Association, Bilgi Sistemleri Denetimi ve
vii
Kontrolü Birli0i
ISECOM The Institute for Security and Open Methodologies,Güvenlik ve Aç"k Kaynaklar
Enstitüsü
ISF Information Security Forum, Bilgi Güvenli0i Forumu
ISN Initial Sequence Number, Baslang"ç S"ra Numaras"
ISO International Organization for Standardization, Uluslararas" Standardizasyon
Kurumu
ISP Internet Service Providers, nternet Servis Sa0lay"c"lar"
ISS Internet Security Systems, nternet Güvenlik Sistemleri Firmas"
JSP Java Server Pages, Java Sunucu Sayfalar"
JTC Joint Technical Committee, Birle1ik Teknik Kurul
KBG Kurumsal Bilgi Güvenli0i
KGB Komit Gosudarstvennoy Bezopasnosi, Sovyet Gizli Servisi
LAN Local Area Network, Yerel Alan A0"
LDAP Lightweight Directory Access Protocol, Kolay Dizin Eri1im Protokolü
MAC Media Access Control, Ortam Eri1im Denetimi
MIT Massachusetts Institute of Technology, Massachusetts Teknoloji Enstitüsü
MSN Microsoft Network, Microsoft A0"
MVS Multiple Virtual Storage, Çoklu Sanal Depolama
NASD National Association of Securities Dealers, Hisse Senedi Al"m-Sat"mc"lar" Ulusal
Derne0i
NAT Network Address Translation, A0 Adres Çevirimi
NIST National Institute of Standards and Technology, ABD Teknoloji ve Standartlar
Enstitüsü
NOP No Operation, Makine dilinde i1lem yok komutu
NTFS New Technology File System, Yeni Teknoloji Dosya Sistemi
OSSTMM The Open Source Security Testing Methodology Manual, Aç"k Kaynak Güvenlik
Testleri Yöntemler K"lavuzu
OWASP The Open Web Application Security Project, Aç"k Kaynak Web Uygulama Güvenli0i Projesi
PDF Portable Document Format, Ta1"nabilir Belge Biçemi
PHP Hypertext Preprocessor, Hipermetin Ön 1lemci Betik Dili
PIN Personal Identification Number, Ki1isel Kimlik Numaras"
PING Packet Internet Groper, nternet Yoklay"c" Paketi
POP3 Post Office Protocol Version 3, E-posta ileti1im protokolü
PUKÖ Planla–Uygula–Kontrol Et–Önlem Al
viii
RFC Request For Comments, Yorumlar çin Rica
RIP Routing Information Protocol, Yönlendirme Bilgisi Protokolü
RIPE Reseaux IP Network Coordination Center, IP da0"t"m merkezi
RSH Remote Shell, Uzaktan komut çal"st"rma
RST Reset, S"f"rlama
SAN Storage Area Network, Veri Depolama A0"
SATAN Security Administrator Tool for Analyzing Networks, A0lar"n Çözümlenmesi için
Güvenlik Yöneticisi Arac"
SC SubCommittee, Alt Komisyon
SEAL Securing External Access Link, Harici Güvenlik Eri1im Hatt"
SEC Securities and Exchange Commission, Menkul K"ymetler ve Borsalar Komisyonu
SMTP Simple Mail Transfer Protokolü, Basit Posta Gönderme Protokolü
SNMP Simple Network Management Protocol, Basit A0 Yönetimi Protokolü
SOA Statement of Applicability, Uygulanabilirlik Beyannamesi
SOX Sarbanes-Oxley Yasas"
SQL Structured Query Language, Yap"sal Sorgulama Dili
SSI Server Side Includes, Sunucu Tarafl" Betik
SYN Synchronize, Senkronize
TCB Trusted Computing Base, Güvenli Hesaplama Esaslar"
TCK Türk Ceza Kanunu
TCP Transmission Control Protocol, letim Kontrol Protokolü
TFTP Trivial File Transfer Protocol, Önemsiz Dosya Aktar"m Protokolü
TKIP Temporal Key Integrity Protocol, Geçici Anahtar Bütünlük Protokolü
TOS Type of Service, Hizmet Türü
TSE Türk Standartlar" Enstitüsü
TTL Time To Live, Artan Ya1am Süresi
TÜB TAK Türkiye Bilimsel ve Teknik Ara1t"rma Kurumu
UDP User Datagram Protocol, Kullan"c" Veri Protokolü
UEKAE Ulusal Elektronik ve Kriptoloji Ara1t"rma Enstitüsü
UKAS United Kingdom Accreditaion Service, ngiltere Akreditasyon Kurumu
URL Uniform Resource Locator, Tekdüze Kaynak Konumlay"c"
US-CERT The United States Computer Emergency Readiness Team, ABD Bilgisayar Acil
Durum Haz"rl"k Ekibi
YTÜ Y"ld"z Teknik Üniversitesi
VPN Vitual Private Network, Sanal Özel A0"
ix
WASC The Web Application Security Consortium, Web Uygulamalar" Güvenlik
Konsorsiyumu
WEP Wired Equivalent Privacy, Kabloya E1de0er Mahremiyet Güvenlik Protokolü
WG Working Group, Çal"sma Grubu
WPA Wireless Fidelity (Wi-Fi) Protected Access, Kablosuz Ba0lant" Korumal" Eri1im
XSS Cross Site Script, Çapraz Site Kod Çal"1t"rma
x
EK L L STES
xi
Ç ZELGE L STES
xii
ÖNSÖZ
Bu tezi haz"rlamamda beni devaml" olarak yönlendiren ve bilgilendiren sevgili hocam Prof.
Dr. brahim enol ve bilgilerinden çok faydaland"0"m Vural Y"lmaz’a, beni daima
destekleyen E1im Gamze Gülmü1’e ve beni motive eden k"z"m Bahar Gülmü1’e çok te1ekkür
ederim.
Bu tezin içindeki tüm bilgiler, akademik kurallar çerçevesinde elde edilerek ve mümkün
oldu0unca tez yaz"m kurallar"na uygun olarak düzenlenmi1tir. Bu çerçevedeki tez
çal"1mas"nda orijinal olmayan her türlü kayna0a da eksiksiz olarak at"f yap"lm"1t"r.
xiii
ÖZET
xiv
ABSTRACT
In this study , information security and the elements of information security have been
examined. Enterprise information security and its standards have been evaluated. In this
context, the threats and risks of a company are reviewed for information security weaknesses.
Turkish Legislation about information systems has been reviewed and applications that are
subject to risks are assessed with a special focus on web and database applications. In this
perspective measures for protection of information assets, that are considered to be the most
valuable assets of a company, are determinedand presented.
Significant processes for attaining a reasonable level of information security have been
reviewed and their impact on corporate information security management has been
researched. Solution suggestions are proposed to avoid threats and to manage existing risks
properly.
As this study is a comprehensive study in the field of Enterprise Information Security in
Turkey it is expected to contribute to the importance attributed to information security, to be a
resource for implementation to enterprises and for a greater awareness on the topic and to
improve the overall consciousness on information security.
xv
1
1. GR
Bilgi; her zaman insano0lunun en de0erli varl"0" olmu1tur. Bilgi insanl"0"n ya1am"n",
dü1üncesini, davran"1"n", ileti1imini, geli1imini, üretmesini, tüketmesini belirleyen faktörlerin
ba1"nda her zaman yerini korumu1tur. Bilgi, en basit benzetme ile para gibi bir varl"kt"r.
Ki1iler, kurumlar, kurulu1lar ve ülkeler için bilgi, elde edilmesi ve ayn" zamanda elde
tutulmas" da zor olan bir varl"kt"r. Fikri mülk olarak tan"mlanan bu varl"k, bir kurumun bilgi
ve özbilgi (knowledge) varl"0"d"r. Bu önemli varl"0"n korunmas", tarih boyunca hayati bir
önem arz etmi1 ve daha ilkel zamanlarda bile korumak için çe1itli 1ifrelemeler kullan"lm"1t"r.
Bu önem, tarihteki en eski uygarl"klardan günümüze kadar devam etmi1tir. Günümüzde ise
bilginin ileti1im teknolojisinin h"zla geli1mesi ve geli1mesine devam edilmesiyle bilginin
insano0lunun hayat"nda daha da önemli hale gelmi1tir. Her yeni günde bilgi, ileti1im ve
teknoloji ile iç içe geçmekte ve kullan"m" artmaktad"r. Bu geli1meler do0rultusunda,
elektronik ortamlarda bulunan bilgiler, her geçen gün katlanarak ço0almakta, dolay"s"yla da
bilgi güvenli0inin en üst düzeyde sa0lanmas"na yönelik ihtiyaçlar, ki1isel ve kurumsal olarak
en üst seviyelere ç"kmaktad"r.
Günümüzde i1ler neredeyse tamam bilgi ve ileti1im ile yönetilmektedir. leti1im ve bili1im
teknolojilerinin h"zla geli1mesi ve ya1ant"m"z"n birer parças" olmas" ile; bilginin yönetilmesi,
i1 verimlili0in artmas", i1 ak"1lar"n"n h"zland"r"lmas", insanlar ile insanlar, insanlar ile
kurumlar ve kurumlar ile kurumlar aras"nda daha h"zl" ileti1im kurulabilmesi sa0lanm"1,
hayat"m"z kolayla1m"1 ve üretim ve tüketimde geli1mi1tir. Bili1im teknolojilerin geli1mesi ile
bilgilerin i1lenmesi, ta1"nmas", saklanmas" ve gerekti0inde geri ça0"r"lmas"nda da büyük
kolayl"klar sa0lanm"1t"r.
Bilginin geli1en elektronik ortamlarda i1lenmesi ve ileti1imin geli1mesi ile bilgiye eri1im
kolayla1m"1 ve mekandan eri1mesi ba0"ms"z hale gelmi1tir. Günlük ya1ant"m"zda yapmakta
oldu0umuz birçok i1 ve i1lemler kolayl"kla ve h"zl"ca yap"labilir hale gelmi1tir. Örne0in
Devlet kurumlar"ndan bilgi edinmek için bazen devlet dairelerine gitmeden istedi0imiz
bilgileri elde edebilmekteyiz. Bankac"l"k i1lemlerini bankaya gitmeden evimizde, i1
yerimizlerdeki bilgisayarlar"n veya mobil cihazlar" ile seyahat halinde bile yapmak, borç
sorgulamak, fatura ödemek, pasaport ve vize ba1vurusunda bulunmak, çe1itli rezervasyonlar"
yapmak, uçak bileti sat"n almak, araç kaza ve sigorta durumlar"n" sorgulamak, s"nav
sonuçlar"n" ö0renmek, ö0renci kay"tlar"n" yapt"rmak, hastane tetkik sonuçlar"n" almak ve
2
uzaktan e0itim almak veya vermek, bilgi ve ileti1imde var"lan noktaya verilebilecek
örneklerdir.
bilgi, ileti1im ve araçlar" hayat"m"z"n bir parças"na dahil oldu0una göre bu bilginin ve bilgiyi
ta1"yan veya depolayan ortamlar"n"n da korunmas"n" önemli k"lm"1t"r. Elektronik ortamlarda
bulunan, ki1i ve kurumlar"n sahip oldu0u bilgilerin mahremiyetlerinin korunmas", bu
ortamlar"n yayg"nla1mas"n"n önünün aç"lmas" ve bu ortamlarda herhangi bir kayb"n veya
zarar"n meydana gelmemesi için bu ortamlarda bulunan bilgilerin güvenli0inin sa0lanmas"
gereklidir.
Herhangi bir bilgisayar ve dolay"s"yla a0"nda meydana gelen güvenlik ihlali bir anda bu a0"n
ba0l" oldu0u di0er a0lar" etkileyebilmektedir. Bu güvenlik ihlali, çe1itli uygulamalara zarar
verebilece0i gibi bazende bu uygulamalar"n eri1ilebilirli0ini imkans"zla1t"r"p bunlar" servis
veremez duruma getirebilmektedir. Bu kurumsal a0lar" üzerinden i1lemlere gerçekle1tiren,
ileti1imi sa0layan uygulama ve bilgilerin de0eri dü1ünüldü0ünde bilgi güvenli0inin tesis
etmenin önemi daha iyi anla1"lacakt"r.
3
Günümüzde tüm i1ler art"k bilgi ve bilgi araçlar"yla yürütülmektedir. Bilginin bir k"sm" herkes
taraf"ndan bilinen(public)dir ve bu genel olarak da adland"r"labilir. Di0er bir k"sm" ise
herkesçe bilinmeyen veya bilinmemesi gereken bilgi olup bu da özeldir (privat). 1 bu k"s"m
da özel korumay" ve yetkilendirmeyi gerektirir.
Günümüzde ki1ilerin güvenli0inin yan"nda ki1isel verilerinin de art"k ki1iler gibi korunmas"
gerekti0i bilinmektedir. Ki1isel veriler art"k ekonomik bir meta haline gelmi1tir (Y"ld"r"m,
2010). Özellikle içerisinde önemli bilgiler bulunduran bilgi sistemlerinin güvenli0inin
sa0lanmas" ve yönetimi önem kazanm"st"r.
Bilgi güvenli0i sa0lamak için bireyler ve kurumlar"n d"1"nda sosyal sivil örgütlere,
üniversitelere ve e0itim kurumlar"na da dü1en görevler vard"r. Bu kurulu1 ve örgütler,
vatanda1lar"m"z" bilinçlendirme çal"1malar" yütürmelidirler.
Bilgi güvenli0i sa0amak için ayr"ca devletimize de önemli görevler dü1mektedir. Özelikle
bilgi güvenli0inin sa0lanmas"yla ilgili yasa ve düzenlemelerin zaman"nda ç"kart"larak
hukuksal bo1luklar"n doldurulmas" gerekmektedir. Di0er önemli bir konu da bilgi güvenli0i
e0itimlerinin verilebilmesi ve bunu tüm ülke geneline yaymas" ile bilgi güvenli0i bilincinin
yayg"nla1t"r"labilmesi amac"yla gerekli olan çal"1malar"n ve düzenlemelerin yap"lmas"d"r.
Vatanda1lar"m"z"n sahip oldu0u ki1isel bilgi güvenli0i önem arz ederken, bundan daha da
önemlisi, vatanda1lar"m"z"n bilgi ve güvenli0ini do0rudan etkileyen kurumsal bilgi
güvenli0imizdir. Günümüzde hepimizin do0rudan veya dolay" yollardan üzerinde hizmet
ald"0"m"z bilgi sistemleri veya kurumsal bilgi platformlar"n bilgi varl"klar"n"n, güvenli0i
sa0lanmad"kça, ki1isel bilgilerinin de güvende oldu0u dü1ünülemez.
maddi gerekçeler, personel yetersizli0i gibi nedenlerden dolay" alamad"klar" tespit edilmi1tir.
2008 y"l"ndan itibaren etkisini hissidelen global krizin etkisiyle kurumlar yeni teknolojileri
veya kendi uzmanl"klar" d"1"nda uzmanl"k gerektiren alanlar" takip etmeyi ve kurumsal
altyap"lar"n" buna uyarlama çal"1malar"n" yapamamaktad"rlar [1]. Kurumlar"n kendi kurumsal
bilgi güvenli0i yönetim sistemlerini olu1turmlar" için bilgi güvenli0i konusunda uzman olan
güvenlik elemanlar"na ihtiyaçlar" vard"r. Ülkemizde kurumlar"n kendi bünyesinde bilgi
güvenli0i alan"nda yeti1mi1 eleman bar"nd"rmas" çok azd"r. Baz" kurumlar, bilgi i1lemle ilgili
her i1i yapacak elemanlar ile bilgi güvenli0i sistemini kurmaya çal"1maktad"rlar. Baz"
kurumlar ya bünyesinde bilgi güvenli0i alandaki uzman ki1iler bar"nd"rarak yada bu aç"0"n"
d"1 kaynak kullanmalar" ile bilgi güvenli0i i1ini yürütmektedirler.
Bilgi güvenli0i sisteminin etkinli0ini ve güvenli0ini kontrol edilmesi için güvenlik testleri
(penetrasyon) yapan kurumlar"n say"s" ise yok denecek kadar azd"r. Asl"nda penetraston
testlerinin zaman zaman yap"lmas" son derece önemlidir. Bu i1i yapan firmalar"n do0ru
.
seçilmesi önemlidir. Ülkemizde bu penetrasyon testi yapan baz" firmalar mevcuttur
Penetrasyon testlerini yapt"ran kurumlar kendi network yap"s" ve uygulama zaafiyetlerini
önceden görme 1ans"na sahip olabilirler. Böylece birçok önlem alabilirler.
Öte yandan geli1tirilen birçok yeni donan"m ve yaz"l"ma ra0men bilgi teknolojilerine yönelik
güvenlik sald"r"lar" her geçen gün artmaktad"r. Bilginin gizlili0ine (confidentiality),
bütünlü0üne (integrity) veya kullan"labilirli0ine (availability) kar1" yap"lan sald"r"lar ciddi
risklere neden olabilmektedir . Bili1im sistemlerinde bu riskleri tamamen yok etmek
mümkün de0ildir. Ancak bu riskler, çe1itli güvenlik önlemleri ile kontrol alt"na al"nabilir ve
kay"plar" en aza indiririlebilir. Kurumlar taraf"ndan güvenlik önlemleri al"n"rken göz önüne
al"nmas" gereken önemli noktalar vard"r. Öncelikli olarak al"nan önlemlerin kurum çal"sanlar"
taraf"ndan benimsenmesi ve sahiplenilmesi gerekmektedir.
Di0er bir önemli nokta ise korunmas" gereken bilgi varl"klar"n"n koruma maliyetinin göz
önünde tutulmas"d"r. Varl"0" koruma maliyetinin, varl"0"n de0eri, varl"0"n zarar görme
olas"l"0" (tehdit de0eri) ve varl"0"n zarar görebilme zay"fl"0"n"n çarp"m"ndan büyük olmas"na
önem verilmesi uygun olur. Aksi takdirde varl"0" korumak çok maliyetli olacakt"r.
Kurumsal bilgi güvenli0i gözönünde insan faktörün de bulundurulmas" ve buna göre önlemler
al"nmas" gerekmektedir. ekil 1.1’de görülece0 üzere bilgi güvenli0inin halkalar"ndan birisi
insand"r. Hatta bunun en zay"f halkas" insand"r [2]. Her türlü güvenlik önleminin al"nmas"na
kar1"n, insan"n içinde yer ald"0" her sistemde mutlaka bir aksaman"n meydana gelmesi, bir
aç"0"n olu1mas" mümkündür. Çünkü, insan bilgisayar sistemleri gibi çal"1mamakta, karar
al"rken sadece mant"k de0il duygusal de0erleri de göz önünde bulundurdu0undan dolay"
zaman zaman hataya dü1ebilmektedir. Bu hatalar ve insanlar"n kurallar" tam olarak
uygulamamas" sistemlerde ciddi güvenlik aç"klar"n"n olu1mas"na sebep olmaktad"r. Bu
yüzden, kullan"c"lar"n güvenlik konusunda bilgilendirilmeleri ve sistem kullan"m" s"ras"nda
almalar" gereken önlemler konusunda e0itilmelidirler.
7
Bilgi güvenli0i, bilginin üretildigi, i1lendi0i, ta1"nd"0" ve sakland"0" her ortamda sa0lanmak
zorundad"r. Bilginin korunmas"na çal"1"ld"g" ilk günden itibaren güvenlik zincirinin en zay"f
halkas"n" her zaman insanlar olu1turdu0u yukar"daki paragrafta zikredilmi1ti. Birçok teknik
veya teknik olmayan güvenlik kontrolleri uygulansa dahi bu kontroller sald"rganlar taraf"ndan
en zay"f halka olan insan faktörü kullan"larak çe1itli yöntemlerle a1"labilmektedir. Genel bir
söylem olan “gücünüz en zay"f halkan"z kadard"r” ilkesi bilgi güvenli0i içinde geçerlidir
(Kabay, 2007). Bilgi güvenli0ini en üst düzeyde tehdit eden ve güvenlik kontrollerinin
a1"lmas"n" sa0layan önemli risklerin bas"nda insan faktörü gelmektedir. Bilgiye eri1en, onu
yönlendiren ve kullanan insanlar"n kar1"la1abilece0i riskleri görmezden gelmek kurumsal bilgi
güvenli0i aç"s"ndan kurumlar"n yapabilece0i en ciddi hatalardan bir tanesidir. Günümüzde
sald"rganlar teknolojik olmayan ve engellenmesi daha zor olan sosyal teknikleri daha fazla
tercih etmektedirler. nsan faktörünü kullanarak bilgi güvenli0i ihlalleri olu1mas"n" sa0layan
aldatmaca sanat" teknik yöntemlere göre daha tehlikeli sonuçlar"n olu1mas"n" sa0layan önemli
bir sald"r" arac"d"r (Munro, 2005).
Sosyal mühendislik* olarak adland"r"lan aldatma sanatç"lar"n"n amaçlar" bilgiye eri1im yetkisi
olan kullan"c"lar arac"l"0"yla güvenlik teknolojilerinin atlat"lmas"n" (by-pass) sa0lamakt"r.
Teknolojik önlemler sosyal mühendislik sald"r"lar"ndan kurumlar" koruyamaz çünkü
sald"rganlar"n hedefinde ne güvenlik duvar", ne veri taban" ne de bir web sunucusu vard"r.
Onlar için hedef sadece insanlard"r (Mitnick vd, 2003). E0er hedef bir yaz"l"m olsayd"
yaz"l"m"n zafiyetini gidermek için yamalar yaz"larak veya yeniden kodlanarak güvenli hale
getirilebilirdi. Ancak söz konusu insan oldu0undan güvenlik zafiyeti çal"1anlar"n bilgi
güvenli0i konusunda yeterli bilince ve bilgiye sahip olmas"yla giderilebilmektedir.
Kurumsal bilgi güvenli0inin tesis edilmesi ile ilgili olarak bu tez çal"1mas"nda da güvenli0in
sadece bir uygulama, ürün veya hizmet olmad"0" asl"nda bunun bir süreç oldu0u bu sürecin
insan, e0itim, teknoloji ve i1lem (proses) olarak alg"lanmas" ve uygulanmas" ile makul
seviyede bilgi güvenli0inin sa0lanmas"n"n"n mümkün olabilece0i aç"klanm"1t"r. Bu amaç ile
bu bölümde insan faktörü üzerinde fazla durulmu1tur.
*
Sosyal Mühendislik, insanlar" kendilerinin yarar"na olmayan hareketler yapmaya te1vik etmek, kand"rmak ve
bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan i1lere verilen isimdir
8
Bilgi güvenli0inin sa0lanmas"nda e0itimin önemi büyüktür. Teknoloji ve ileti1im ça0" ile
beraber özellikle de internet ortam"ndaki sosyal a0lar"n geli1mesi ile birlikte gerek ki1isel
bilgilerin korunmas" gerekse kurumsal bilgilerin korunmas" bir hayli zorla1maktad"r. Bundan
dolay" ülkemizde bilgi güvenli0i e0itiminin verilmesiyle ilgili olarak üniversitelerimiz,
okullar"m"z ve Milli E0itim Bakanl"0"m"za önemli görevler dü1mektedir.
Okul müfradatlar"nda bili1im güvenli0i ile ilgili derslerin konulmas" ve uygulanmas" ki1isel
ve kurumsal olarak bilgi güvenli0i bilincini geli1tirecektir.
Yukar"da 1u ana kadar özetlendi0i üzere, kurumsal bilgi güvenli0i konusu bir zincirin
halkalar" misali birbirleriyle alakal" e0itim, insan, teknoloji, i1lem, süreçler, standartlar gibi
birçok unsuru içinde bar"nd"rmaktad"r. Bundan dolay" ülkemizde elektronik ortamlar"
kullananlar" ilgilendiren önemli bir konudur.
Bu tez çal"1mas" kapsam"nda bilgi, bilgi varl"0", bilgi güvenli0i, kurumsal bilgi, kurumsal
bilgi güvenli0i, bilgi güvenli0i yöntem ve standartlar", Bilgi sistemleri risk yönetimii bilgi
güvenli0ini istirmas eden zaafiyetler ve tehditleri, penetrasyon testleri ve ülkemizde s"zma
testleri yapan firmalar", bu testlerde kullan"lan araçlar, web ve veritaban" uygulamalar"na
ili1kin tehditler, bilgi güvenli0inin sa0lanmas"na etki eden ünsürlar gibi konu ba1l"klar" alt"nda
ara1t"rmalar sunulmu1 ve yap"lan uygulamalar aç"klanm"1t"r.
Bu tez kapsam"nda; kurumsal bilgi güvenli0inin anla1"labilmesi için öncelikle geni1 bir
anlama sahip olan bilgi ve bilgi varl"0" kavram"n"n aç"klanmas" gerekmektedir. Bu kavramlar
bölüm 2’de “Bilgi Ve Bilgi Varl"klar"” ba1l"0" alt"nda aç"klanm"1t"r.
Bilgi sistemlerinin tarihçesi ve geçmisten günümüze kadar bilginin güvende tutulmas" için
geli1tirilen yöntemlerin anla1"labilmesi için bilgi güvenli0inin geli1imi hakk"nda bilgi sahibi
olunmas" gereklidir. Bu konular bölüm 3’de “Bili1im Sistemleri Güvenli0i” ba1l"0" alt"nda
anlat"lm"1t"r.
Bilgi güvenli0i yönetim sistemleri olu1turulurken dünya genelinde kabul görmü1 standartlar"n
uygulanmas" ve kurum ve kurulu1lara uyarlanmas" amac"yla kurumsal bilgi güvenli0i
politikalar"n"n, standartlar"n ve prosedürlerin ve süreçlerinin yaz"lmas" gerekmektedir. Bu
durum gösteriyor ki bilgi güvenli0inin sa0lanmas"nda bilgi güvenli0i sürecinin süreklili0i ve
yönetimi daha fazla önem kazanmaktad"r.
göre bilgi i1lem i1 ve süreçlerini organize etmesi gerekmektedir. Bilgi güvenli0i ve yönetimi
ile ilgili kabul gören uluslararas" standart ve çerçevelerin ba1l"calar" ISO 27001, ITIL, PCI,
HIPAA, COBIT, CMMI, PRINCE2, BS25999 vs ‘dir.
ISO 27001 standard" kapsam"nda kurumsal bilgi varl"klar"n"n güvenli0inin istenilen düzeyde
sa0lanabilmesi amac"yla bir dizi prosedür ve uygulamalar"n pratikte çal"1mas" gerekmektedir.
Bu konuyla ilgili olarak ISO 27001 standard"n"n kendisi ve uygulama ad"mlar" “Iso/Iec
27001:2005 Bilgi Güvenli0i Yönetim Sistemi (BGYS)” ba1l"0" alt"nda bölüm 5’te kapsaml"
aç"klanm"1t"r
Bili1im teknolojileri sürekli geli1en ve de0isen bir yap"da oldu0undan, bilgi güvenli0inin
kurumsal bilgi güvenli0inin sa0lanmas" amac"yla bilgi güvenli0i ya1ayan bir süreç olarak ele
al"nmal", sistemler güncellenmeli, e0itimler al"nmal", olu1abilecek yeni tehdit ve riskler
kar1"s"nda yat"r"mlar"n zaman"nda ve do0ru bir 1ekilde yap"lmas" gerekmektedir. Karma1"k
süreçlerden olu1an kurumsal bilgi güvenli0inin sa0lanmas" ve bilgi güvenli0i ya1am
döndügünün döndürülebilmesi amac"yla bilgi güvenli0i yönetim sistemleri bilgi sitemlerinin
risklerinin yönetilmesi gerekmektedir. Bu konu” Kurumsal Bilgi Güvenli0i Risk Yönetimi”
ba1l"0" alt"nda bölüm 6’da aç"klanm"1t"r
Günümüzde kurumsal bilgi güvenli0inin sa0lanabilmesi için bili1im sistemleri için risk
meydana getiren zaafiyet ve tehdit s"n"flar"n"n aç"klanmas" al"nmas" gereken önlemlerin
10
Tez çal"1mas"n"n bir bütün olarak de0erlendirilmesi, elde edilen bulgular, ülkemiz aç"s"ndan
sa0lanan katk"lar, çal"1malar s"ras"nda kars"la1"lan güçlükler, kazan"mlar ve sunulan öneriler
“Sonuç ve Öneriler” konu ba1l"0" alt"nda Bölüm 10’de verilmi1tir.
12
2. B LG ve B LG VARLIKLARI
Bilgi teknolojilerinin yayg"nla1mas" ile beraber bilgi üretimi de ciddi boyutlarda art"1
göstermi1tir. Bilgi teknolojileri yayg"nla1madan önce, bilginin büyük bir ço0unlu0u bas"l"
dokümanlarda iken, günümüzde bilgi teknolojileri taraf"ndan i1lenir duruma gelmi1tir. Bu
nedenle günümüzde bilgiye eri1me imkânlar" geçmi1 ile kar1"la1t"r"lamayacak seviyede
artm"1t"r. Bu durum, birçok dezavantaj" beraberinde getirmektedir. Bilgi teknolojileri üzerinde
bilinçli veya bilinçsiz yap"lan hatalar"n çok ciddi sonuçlar do0urmas" olas"d"r. Bilgi
teknolojilerindeki aç"kl"klar ve dikkatsiz yap"land"rmalar bilgiye yetkisiz eri1ime yol açabilir.
Bu durumda bilginin yetkisiz imhas", de0i1tirilmesi ve görülmesi söz konusu olabilir.
Geçmi1te sadece fiziksel güvenli0in tesis edilmesi ile sa0lanan bilgi güvenli0i, günümüzde
kurumlar"n en çok zorland"klar" ihtiyaçlar"n ba1"nda gelmektedir.
Bilgi ça0" [5] olarak olarak adland"r"lan günümüzde bilginin çok daha önem kazanmas" ile
birlikte bilginin korunmas" ve güvenli0inin sa0lanmas"da beraberli0inde gelmektedir. Bilgi
üretilip i1lendi0i, ta1"nd"0" ve sakland"0" bili1im sistemlerinin güvenli0i dünyada ve
ülkemizde güncel yerini korumu1tur. Birinci bölümde önemi vurguland"0" üzere günümüzdeki
toplumlar"n temel hammaddesi olan bilgiler elektronik ortamlarda i1lendikçe, ta1"nd"kça ve
saklan"kça bu ortamlarda al"nmas" gereken önlemlerin, emek, metodoloji, güvenlik seviyeleri,
de0er, maliyet ve boyut aç"s"ndan da farkl"l"klar gösterebilmektedir. Bilgi güvenli0inin do0ru
oranda sa0lanmas" için bilgi varl"klar"n"n s"n"fland"r"lmas" ve bu s"n"fland"rmaya göre
de0erinin iyi tespit edilmesi, iyi derecede bir bilgi güvenli0i bilincinin yerle1mesi, kullan"lan
yaz"l"m ve donan"m zay"fl"klar"n"n iyi takip edilmesi, meydana gelen zay"fl"klar"n her an
izlenmesi ve giderilmesi, meydana gelebilecek zay"fl"klar"n önceden tespit edilerek
zaman"nda giderilebilmesi, bu önlemlerin al"nmas" için çal"1anlar"n e0itim ve beceri sahibi
olmas", sistemleri ve bilgileri belirli politikalar çerçevesinde korumak ve bu bilinçle
güvenli0in dinamik bir süreçte ele al"nmas" gerektigi art"k bilinen veya bilinmesi gereken
konulard"r.
Tez çal"1mas"n"n bu bölümünde konunun öneminin daha iyi anlat"lmas" ve bilgi güvenli0i
fark"ndal"0"n olu1turulmas" için bilgi ve bilgi varl"0" incelenmi1tir.
2.1 Bilgi
Bilgi (information) kelimesinin men1ei, Latince’deki herhangi bir 1eye sekil vermek anlam"na
13
gelen “informare” kelimesinden gelmektedir (Floridi, 2010). Bilgi insan ile obje (nesne)
aras"ndaki kar1"l"kl" ili1kiden ç"kan bir sonuçtur. Sözlük anlam"yla bilgi; ö0renme, ara1t"rma
ve gözlem yoluyla elde edilen her türlü gerçek, malumat ve kavray"1"n tümü, insan akl"n"n
erebilece0i olgu, gerçek ve ilkelerin bütünü, insan zekâs"n"n çal"1mas" sonucu ortaya ç"kan
dü1ünce ürünü gibi anlamlar" bulunmaktad"r. Bilgi literatürde çok farkl" 1ekillerde
tan"mlanmaktad"r. Bilgi, do0rulu0u ispatlanm"s inançlard"r. Bilgi, sosyal olaylarda kar1"m"za
ç"kan eylem ve olaylar" anlamam"za yard"m eden i1aret ve kodlamalard"r (Argyris, 1993).
Bilgi, günümüzde i1letmeler için önemli bir varl"k durumuna gelmi1tir. Tek ba1"na maddi ve
finansal varl"klar, i1letmelerin uzun dönemli ba1ar"s" için art"k yeterli de0ildir. En iyi bilgi ve
enformasyona sahip olan, istikrarl" bir 1ekilde yeni bilgi yaratan, bu bilgiyi organizasyonun
her yerine geni1 ölçüde yayan, yeni teknolojilerde ve ürünlerde h"zla kullanan ve inovasyana
olu1turabilen firmalar"n ba1ar"l" oldu0u görülmektedir (Nonaka ve Takeuchi, 1995).
Üretim kavram"n"n ortaya ç"kt"0" ilk zamanlardan beri var olan, hissedilen ancak fiziksel bir
niteli0i olmamas"ndan dolay" görünmeyen bir varl"k olan bilgi, son y"llarda özellikle bilgi
teknolojilerine dayal" sistem ve uygulamalar"n geli1mesi ve buna paralel olarak bu kurumlarda
üretilen ürün ve hizmetlerin de0erlerinin tam olarak belirlenemesi bu de0erlerin ancak bilgi
sistem araçlar" ile ortaya ç"kma sonucu, bu varl"0"n fark edilmeye ba1lanmas"na neden
olmu1tur. Bunun sonucunda geli1mi1 kurumlarda bilgi art"k bir varl"k olarak tan"mlanmaya
ba1lanm"1t"r (Calder ve Watkins, 2007).
Bilgi günümüzde art"k bir varl"k olarak tan"mlanmal" ve ki1i, kurum ve kurulu1lar için önemli
ve de0erli olan bir kaynak gibi muamamele görmeli ve korunmal"d"r.
ISO standartlar" bilgi varl"0"n", ki1i ve kurumlar"n sahip oldu0u ve kendisi için maddi veya
manevi de0er ifade eden ve bu nedenle uygun korunmay" gerektiren tüm unsurlar 1eklinde
tan"nlam"1lard"r (Iso, 2005).
Bir kurumun sahip oldu0u dokümanlar raporlar, defterler, para kasas", sermayesi,
veritabanlar", mü1teri bilgileri, personel dosyalar", ö0renci bilgileri,not kay"tlar", rekabet
bilgileri, web sayfalar", sistem odalar", sunucu, bilgisayar, a0, telefon gibi bili1im sistemler
gibi varl"klar, bilgi varl"0"na örnek verilebilir.
14
Bilgi varl"0", ki1i, kurum ve kurulu1lar için önemli ve de0erli olan bir kaynakt"r ve korunmas"
gerekir. çeri0ine göre bireysel ve kurumsal olmak üzere ikiye ayr"labilir. Bireysel bilgi,
kurumsal bilgi taban"n"n geli1mesi için gerekli olan beceri ve yeteneklerden olu1maktad"r.
Kurumsal bilgi, kurum içinde üretilen veya kuruma d"1ar"dan gelen, o kurumla ilgili kay"tl" ya
da kay"ts"z her türlü bilgiyi ifade etmektedir. Kurumsal bilgi, bireysel bilgilerin toplam"n"n
yan" s"ra, di0er kurumlar taraf"ndan kolayca taklit edilemeyecek 1ekilde insan, teknoloji ve
yönetim ilkeleri aras"nda üretilen bilgi kaynaklar"n" ifade etmektedir (Bhatt, 2001).
Bilgi güvenli0i aç"s"ndan kurumsal olarak güvenlik risk seviyelerine göre korunmas" gereken
varl"kl"k a1a0"daki gibidir (Iso, 2005):
Bilgi varl.klar.:
Kurulu1un tüm bilgi sistemlerinde i1lenen ve saklanan tüm bilgilerdir. Bu varl"klar, fiziksel ve
mant"ksal ortamlarda bulunabilir. Veritaban", data dosyalar", mü1teri bilgileri,çal"1an özluk
bilgileri, sözle1meler, sistem dökümanlar", kullan"c" rehberleri, ara1t"rma dökümanlar", kurum
rekabet ara1t"rmalar" vs. örnek verilebilir. S"n"fland"rmas" a1a0"daki 1ekilde yap"labilir:
Kurumsal bilgilerin di0er kurumlar taraf"ndan taklit edilmesi, söz konusu unsurlar aras"nda
olu1turulan etkile1im, kurumun kendine özgü kültürü ve kurumun tarihçesini de içine
ald"0"ndan zor ve zaman al"c"d"r.
Bu tan"mlar"n iyi bilinmesi bilgi varl"klar"n"n fark"nda olunmas" ve de0erlerinin do0ru bir
1ekilde belirlenmesi makul seviyede bir bilgi güvenli0inin sa0lanmas" için önemlidir.
Günümüzde kurumlar aç"s"ndan kurumsal bilginin önemini göstermesi aç"s"ndan 1998
15
y"ll"nda kurulan ve 2004 y"l"nda halka aç"lan (Borsada i1lem gören) Google firmas" buna
örnek olarak verilebilir [6]. Günümüzde neredeyse yüzy"ll"k <irketleri piyasa de0erleri ile
k"yasland"0"nda Google firmas"n"n piyasa de0erinin çok daha yüksek oldu0u görülmektedir
[7]. Bilginin günümüz rekabetçi pazarlar"nda son derece büyük bir role ve öneme sahip
oldu0unu ve gelecekte daha da öneminin artacag"n" kan"tlayan buna benzer örnekler her geçen
gün daha fazla ortaya ç"kmaktad"r.
Kurumsal bilginin rekabeti körükleyici, itici, üretken gücünü do0ru ve yerinde kullanan
kurumlar, dünyan"n her bölgesinde rekabet edecek duruma gelebilmektedirler. Kurumsal bilgi
yönetiminin bu derece önemli oldu0u günümüzde kurumsal bilgilerin güvende olmas" ve
güvenli 1ekillerde ta1"nmas" çok önemlidir. Kurumsal bilgi güvenli0inin sa0lanmas" her
kurum için olmazsa olmazlar"n ba1"nda gelmektedir.
Bilginin gizlili?i(confidentiality) ile kastedilen, bir bilgiye sadece o bilgiye eri1mesi gereken
ki1i veya ki1ilerin eri1imine izin verilmesidir.
Bilgi ve bilgi güvenli0i öneminin daha iyi anla1"lmas" için bilgi ve bili1im h"rs"zl"0"n"n da
bilinmesinde yarar vard"r. Bili1im, insano0lunun teknik, ekonomik ve toplumsal alanlardaki
ileti1iminde kulland"0" ve bilimin dayana0" olan bilginin, özellikle elektronik makineler
arac"l"0"yla, düzenli ve ussal biçimde i1lenmesi bilimidir. Bilgi olgusunu, bilgi saklama,
eri1im dizgeleri, bilginin i1lenmesi, aktar"lmas" ve kullan"lmas" yöntemlerini, toplum ve
insanl"k yarar" gözeterek inceleyen uygulamal" bilim dal"d"r. Bili1im, bilgi eri1im dizgelerinde
kullan"lan türlü araçlar"n tasarlanmas", geli1tirilmesi ve üretilmesiyle ilgili konular" da kapsar.
Bundan ba1ka her türlü endüstri üretiminin özdevimli olarak düzenlenmesine ili1kin teknikleri
kapsayan özdevin alan"na giren birçok konu da, geni1 anlamda, bili1imin kapsam" içerisinde
yer al"r [8].
sistemlere giren, girmeye çal"1an, sistemlere sald"rarak devre d"1" b"rakan(DoS ve DdoS
denial of service*), bilgi ve sistemlere zarar veren, kendisine ait olmayan bu bilgiyi if1a eden
diye tan"mlanabilir (Shahim, 2009).
Geçmisten günümüze kadar bili1im sistemlerinin güvenli0ini tehdit eden sald"r"lar"n ve al"nan
önlemlerin neler oldu0u, günümüze kadar geçirdi0i de0isim ve geli1im süreçlerinin
bilinmesinde fayda vard"r.
1970’lar, bili1im korsanl"0" daha sonra telefon hatlar" üzerinde ücretsiz görü1me yap"lmas" ile
ba1lanm"1t"r.
John Draper "Cap'n Crucnh" lakab"n" ald". Draper bu ad" ta1"yan kahvalt" gevre0i kutular"ndan
ç"kan oyuncak düdü0ün ç"kartt"0" 2600 hertz'lik sinyalin, AT&T'nin uzun mesafeli telefon
görü1melerinde kulland"0" sistemle ayn" frekansta oldu0unu ö0reniyor. Ard"ndan bu bulu1u
bedava telefonla konu1mak için kullan"yor. Bu y"llarda telefon korsanlar" (phreaking) ücretsiz
*
DoS ve DdoS, hizmeti devre d"1" b"rakmak olup ilerki bölümlerde anlat"lacakt"r.
18
görü1me yapabilmek için uluslararas" telefon 1ebekelerine s"zmaya ba1lam"st"r. Daha sonra
Captain Crunch lakab"yla an"lan Draper, bu oyunca0"n 2600 Hertz’lik bir sinyal (AT&T’nin
uzak mesafe görü1me sistemine eri1im için kullan"lan tonun ayn"s") ç"kard"g"n" tespit etmi1 ve
mavi kutu (Blue Box) ad" verilen cihaz" geli1tirmi1tir. Bu cihaz sayesinde çok say"da insana
para ödemeden telefonla milletleraras" görü1me yapt"rm"1t"r. Draper gerçeklestirdigi bu
olayla, bili1im sistemlerinin bir parças" olan telefon sistemlerinin güvenlik önlemini delen ilk
ba1ar"l" sald"r" denemesini yap"p ad"n" tarihe ilk telefon korsan" (phone phreaker) olarak
yazd"rm"st"r (Wozniak ve Smith 2006). Bu olay kayda geçen ilk bili1im güvenli0i ihlali
olmas" aç"s"ndan önemlidir. Tutuklanmas"n"n sonras"nda bilgisayar güvenli0iyle ilgili yaz"l"m
geli1tirmeye ba1lam"1t"r. O dönemde mavi kutular" üretenler aras"nda Steve Wozniak ve Steve
Jobs adl" iki kolejli y"llar sonra bilgisayar dünyas"nda devrim yaratan Apple’" kurmu1tur.
1983 y"l"nda Sava1 Oyunlar" (War Games) isimli sinema filmi sald"r" ve korsan efsanesini
geni1 kitlelere tan"tm"st"r.
1985 y"l"nda bilgi teknolojilerinin hizmet yönetimi ile ilgili olan ITIL* (Bilgi Teknolojileri Alt
Yap" Kütüphanesi- Information Technology Infrastructure Library)’ in birinci sürümü
(version-v1) yay"mlanm"1t"r.
1986 y"l"nda korsan gruplar" bilgilerini para kar1"l"0"nda satmaya ba1lam"1t"r. Bu alanda
bilinen ilk olay olan 1986 y"l"nda Almanya Hannover sehrindeki Chaos Computer Club üyesi
olan birkaç korsan ABD’deki kamu (Enerji Bakanl"0", Savunma Bakanl"g", NASA) ve özel
*
ITIL ve CMMI bu tezin 4. Bölümünde anlat"lacakt"r.
19
sektör (savunma firmalar") sistemlerine s"zm"1lard"r. Elde ettikleri bilgileri Sovyet’lerin gizli
servisi KGB’ye satm"1lard"r.
1988 y"l"nda ilk defa fark edilen korsanlar 18 ay boyunca Alman ve Amerikan polislerinin
ortak takipleri sonucunda yakalanarak casusluk suçundan tutuklanm"1t"r. Bu olay, aç"0a ç"kan
ilk siber casusluk vakas" olarak tarihe geçmistir (Rattray, 2001).
1990’l" y"llar, 1990 y"l"nda organize suçlar ve doland"r"c"l"k bürosu taraf"ndan düzenlenen
operasyon ile kredi kart" h"rs"zl"0" ve telefon sahtekârl"0"n"n önüne geçilmesi için yap"lm"1
operasyon, korsanlar"n af kar1"l"0"nda birbirlerini ihbar etmeleri yüzünden korsan camias"nda
bir bölünmeye yol açm"1t"r [9].
1991 y"l"nda yaz"l"m süreci olgunluk modellemesini olan CMMI (Capability Maturity Model-
Integration; Bütünle1ik Yetenek Olgunluk Modeli)’nin birinci sürümü (version 1-v1)
yay"mlanm"1t"r.
1993 y"l"nda dünyan"n dört bir yan"ndaki korsanlar"n ve korsan olmaya hevesli bilgisayar
merakl"lar" DefCon ad" alt"nda ilk defa toplanm"1t"r. Ayn" y"l bir zamanlar "dark dante" takma
ad"yla an"lan eski hacker yeni gazeteci-blogger Kevin Poulsen, Pacific Bell telefon 1irletini
hack ederek, KISS-FM ad"ndaki radyo istasyonunun düzenledi0i yar"1mada, 102. arayan
olmay" ba1ararak Porsche 944 S2 kazanm"1 ve ad"n" tüm ülke çap"nda duyurmu1tu. Ancak
hemen sonra yakalanan ve belli bir süre hapis yatan Poulsen, art"k güvenlik raporlar"
haz"rlayan bir uzman olarak hayat"na devam etmektedir (Hoath, 1998).
Kimilerine göre Dünyan"n en büyük hacker" veya en çok tan"nan hackeri Kevin Mitnick bu
FBI'"n en çok arananlar listesine girmeyi ba1arm"1 ilk hacker olma ünvan"na bu y"l sahip
olmu1tur. Kredi kart" veritabanlar"n", telefon a0lar"n" hack ettikten sonra bilgisayar güvenlik
uzman" T.Shimomura'n"n evindeki bilgisayara s"zmaya çal"1"rken yakalanm"1t"r. Fujitsu,
Motorola, Nokia ve Sun Microsystems gibi 1irketlerin bilgisayar a0lar"na izinsiz girmekten
suçlu bulunarak 5 y"l hapis cezas" alm"1t"r. "The art of deception" ad"nda bir kitab"
bulunmakta. ayr"ca zaman"nda kendisi için "free kevin mitnick" diye bir site de aç"lm"1t".
kendi hayat"n" anlatan "Freedom Downtime" isimli bir filmde kendisini canland"rd".. Kevin
Mitnick sosyal mühendislik sald"r" tekniklerini ustal"kla kullanm"1 ve insan faktörünün
güvenli0in sa0lanmas"ndaki rolünü ortaya koymu1tur. Kevin Mitnick günümüzde yazarl"k ve
bilgi güvenli0i konusunda kurumlara dan"1manl"k vermektedir. Günümüzde, beyaz sapkal" bir
20
bilgisayar korsan" olarak güvenlik dan"1manl"0" yapmakta ve dünya çap"nda bilgi güvenli0iyle
ilgili kongrelere kat"lmaktad"r [10].
1995 y"l"nda ilk zafiyet tarama program" olan SATAN (Security Administrator Tool for
Analyzing Networks) program" yaz"lm"1 ve güvenlik zafiyetlerini tan"mlayabilecek hale
gelmi1tir (Chen vd, 2005).
1996 y"l"nda HIPAA (The Health Insurance Portability and Accountability Act) Sa0l"k
Sigortas" Ta1"nabilirlik ve Sorumluluk olan yasa Amerikada ç"km"1t"r. Bu yasan"n yani
Hipaa’n"n amaçlar"ndan bir tanesi de özel sa0l"k bilgilerini korumak ve ki1isel bilgileri
dispersiyon için tek tip bir standard olu1turmakt"r.
Ayn" y"l içerisinde ç"k"1 noktas" bilgi teknolojilerinde proje yönetimi metodolojisi olan
*
PRINCE2 (PRojects IN Controlled Environments) tüm proje türlerinde kullan"lmak üzere
genelle1tirilmi1 ve PRINCE2 ad"n" alm"1t"r. [11]
Yine ayn" y"l bilgi teknolojileri yönetimi için en iyi uygulamalar kümesi olarak kabul edilen
COBIT* (The Control Objectives for Information and related Technology- Bilgi ve lgili
Teknolojiler çin Kontrol Hedefleri (COBIT) ISACA (Information Systems Audit and Control
Association) ve ITGI (IT Governance Institute) taraf"ndan geli1tirilmi1tir. COBIT
yöneticilere, denetçilere ve Bilgi Teknolojileri (BT) kullan"c"lar"na i1 hedeflerinin bilgi i1lem
hedeflerine dönü1ümünü, bu hedeflere ula1mak için gerekli kaynaklar" ve gerçekle1tirilen
süreçleri bir araya getirirken, ayn" zamanda bilgi teknolojileri alt yap"lar"n" da etkin
kullanmay" amaçlam"1t"r (Shahim, 2009).
*
Standardlar bu tezin 4 ve 5. Bölümlerinde detayl" anlat"lacakt"r.
*
PRINCE2 ve COBIT bu tezin 4. Bölümünde anlat"lacakt"r.
21
1997 y"l"nda korsanlar taraf"ndan geli1tirilen “AOHell” adl" küçük bir yaz"l"m piyasaya
sürülmü1tür. Bu yaz"l"m sayesinde s"n"rl" bilgisi olan acemi korsanlar bile AOL sistemine
kolayca girmi1 ve kullan"c"lar"n e-postalar", mesaj gruplar" bakabilmi1lerdir. Geli1tirilen bu
yaz"l"mla birlikte bili1im güvenli0i için yeni tehlikeli bir dönem ba1lam"1t"r. Bu dönemden
günümüze kadar bu tür yaz"l"mlar"n h"zla artmas" sonucunda korsanlar"n bilgi ve becerisine
duyulan ihtiyaç her geçen gün azalm"1t"r. Kurumlar için sadece tecrübeli korsanlar yerine
onlar"n yazm"1 oldu0u yaz"l"mlar" ustal"kla kullanan acemi korsanlarda art"k önemli bir tehdit
unsuru haline gelmi1tir (Garfinkel, 1995).
1998 y"l" içerisinde BS–7799 standard"n"n ikinci k"sm" yay"nlanm"1t"r. BS 7799–2 daha çok
BS-7799 uygulamas"n"n nas"l yap"laca0" anlatan bir rehber niteli0ini ta1"maktad"r. BS 7799–2
Bilgi Güvenli0i Yönetim Sisteminin kurulmas", uygulanmas" ve dokümante edilmesi için
gereklilikleri tan"mlayarak, kurumlar"n hangi güvenlik kontrollerine ihtiyac" oldu0unun
belirlemesini sa0layarak kurumlara kurumsal anlamda bilgilerinin güvende oldu0una dair
belgelendirme imkân" verilmesini sa0lar.
1999 y"l"nda Microsoft Windows 98 isletim sistemini ç"karmas"yla birlikte, 1999 sald"r"lar"n
çok oldu0u ve bilgi güvenli0inin gereklili0inin fazlaca hissedildi0i bir y"l olmustur. Windows
i1letim sisteminde yer alan aç"klar için yüzlerce uyar" ve yama yay"nlanm"1t"r.
2000’li y"llar, kurumsal aç"dan güvenlik kayg"lar"n"n en üst seviyeye ç"kt"0", sald"r"lar"n ve
korsanlar"n çok tehlikeli oldu0u ve art"k sald"r"lar"n daha organize yap"ld"0" yeni bir döneme
girilmi1tir. Bu yeni dönemde kötücül kodlar internet arac"l"g"yla h"zla yay"lm"1 milyonlarca
bilgisayara bula1m"1 ve milyonlarca dolarl"k maddi hasara yol açm"st"r. Sald"r"lar ve etkileri
h"zla artarken Marty Roesch ve Ron Gula taraf"ndan Snort ve Dragon isimli sald"r" tespit
sistemleri hakk"nda ilk defa bilgi vermi1lerdir (Ruiu, 2006).
gerçekle1tirilen güncelleme ile di1er yönetim sistemi standartlar" ile daha uyumlu hale
getirilmi1tir. 2005 y"l"nda Bilgi Güvenli0i Yönetimi için uygulama kodu, kurulu1lar"n bilgi
güvenli0i yönetim sistemini kurmalar", uygulamalar", sürdürmeleri ve iyile1tirmeleri için
haz"rlanm"1 olan ISO/IEC 17799:2005* k"lavuzunu yay"nlam"1t"r. Ayn" y"l içerisinde BS
7799–2:2002 standard"n" Uluslararas" Standardizasyon Kurumu ISO/IEC 27001:2005 ad"yla
yay"nlam"1t"r.
Ülkemizde de buna paralel olarak TSE (Türk Standartlar" Enstitüsü) taraf"ndan çal"1malara
ba1lanm"1t"r. Kurulu1lar"n içerisinde bilgi teknolojisi güvenli0ine ula1mak ve sürdürmek için
bir Bilgi Güvenli0i Yönetim Sistemi üzerinde çal"1"lm"1t"r. ISO/IEC 17799:2000 Uygulamalar
için tavsiyeler ve örnek yönetmeler içeren referans bir doküman olarak tasarlanm"1t"r.
Kullan"lmakta olan en iyi bilgi güvenli0i uygulamalar"n" temel alm"1t"r.
2002 senesinde ç"kart"lan BS 7799-2 (Bölüm 2) standard" ile ortaya konan kullan"m k"lavuzu
ile kurumlar"n ISO 17799 sertifikasyonu almas" hedeflenmi1tir. TSE, ISO 17799’u Kas"m
2002’de BS 7799-2’yi ise ubat 2005’te standart olarak kabul edip türkçe olarak
yay"nlam"1t"r.
Kurumsal bilgi güvenli0inin sa0lanmas"nda olmazsa olmaz bir faktör olan standartlar konusu
Bölüm 4 ve 5’te kapsaml" olarak anlat"lm"1t"r.
2000 y"l"ndan sonra özellikle sanal gruplar olu1mu1 ve daha organizeli ve gelir yapla1"ml"
bili1im ihlalleri meydana gelmi1tir. 2000 y"l"ndan günümüze kadar birçok sald"r" olmu1 ve
kurumlar yüksek oranda bu sald"r"lardan etkilenerek maddi manevi zararlar görmüstür. 2000
y"l"ndan sonraki y"llarda otomatik sald"r" araçlar"n"n h"zla yay"lmas" sonucunda yap"lan
sald"r"lara burada yer verilmemi1tir. Bunun basl"ca sebebi sald"r"lar"n ço0almas"d"r. Hatta son
y"llarda devletlerin hizmetlerini aksatan ve durduran sald"r"lar da meydana gelmi1tir.
Günümüzde otomatik programc"k ve programlar"n artmas" sonucu birçok sald"r"
yap"labilinmektedir.
Sonuç olarak son 50 y"lda sald"rganlar"n geldi0i nokta kurumsal bilgi güvenli0ini üst düzeyde
tehdit etmekte ve kurumlar"n ve bireylerin bilgi güvenli0ini sa0lamalar" konusunda üzerine
*
Bilgi güvenli0i standard" olup bu tezin 5. Bölümünde uygulamas" da anlat"lacakt"r.
23
dü1en görevlerini eksiksiz yerine getirmeleri gerekmektedir. Bundan dolay" bilgi güvenli0i
kurumsal kültürün bir parças" yapmayan kurumlar"n ciddi riskler ta1"d"0" görülmektedir.
Bilgi güvenli0inin sa0lanmas" için tarih boyunca çesitli güvenlik yöntemleri kullan"lm"1t"r.
Günümüzde hemen hemen tüm kurumlar kendi içlerindeki gereksinimlere göre bilgi ak"1"n"
sa0layabilmek için bili1im altyap"lar" olu1turmaya ba1lad"lar. Art"k bilgiye eri1mek, bilgiyi
saklamak gibi s"radanla1an i1ler için ço0unlukla bili1im sistemleri kullan"lmaktad"r. Bir
i1letmenin bilgi varl"0"n" art"rmas" ve korumas" o i1letmeyi rekabet ortam"nda bir ad"m öne
geçirmektedir. Giderek kritik bir de0er haline gelen bilginin iç ve d"1 tehditlerden korumas" ve
zarar görmesinin engellemesi için kurumlar"n bilgi güvenli0i politikalar" ve uygulamalar"
olu1turmas" gerekmektedir. Bilginin güvenli0inin sa0lanmas"n"n günümüze kadar olan
de0i1imi ve geli1imi bilgi güvenli0inin sa0lanmas"nda izlenilen yöntemlerin anla1"labilmesi
aç"s"ndan önemlidir. Geçmisten günümüze bilgi güvenli0inin sa0lanmas" için s"ras"yla ba1ta
fiziksel ve çevresel güvenlik, haberlesme güvenli0i, bilgisayar güvenli0i, a0 güvenli0i,
uygulama güvenli0i, veritaban" güvenli0i, web güvenli0i gibi konular"nda çal"1malar
yap"lm"1t"r (Lockhart, 2006).
Güvenlik insano0lunun hep önem verdi0i bir konu olagelmi1tir. Geçmis zamanlarda insanlar
için önemli bilgilerin, çe1itli i1aretlerle kayalara ta1lara kaz"yarak daha sonra madenlere
i1leyerek saklanm"1lar. Daha sonralar"n ise a0açlara, derilere ve sonras"nda kâ0"tlara yaz"larak
fiziksel güvenli0i sa0lanan ortamlarda saklanm"st"r. Günümüzde art"k bu yazma sanal
medialara i1lenmektedir. Fiziksel güvenli0in sa0lanabilmesi amac"yla, duvarlar örülmüs, kale
ve hendekler çekilmis, surlar ve sedler yap"lm"1, giri1 ç"k"1" kontrol eden nöbetçiler görev
yapm"1t"r. Bilginin güvenli0ini sa0lamaya yönelik fiziksel önlemler al"nmas"na ra0men
genellikle bu korumalar yeterli olmam"1, bilgilerin çal"nmas" veya istenmeyen ki1ilerin eline
geçmesi engellenememi1tir (Boran, 2000).
yap"lmaktad"r. Örne0in, bina etraf"na yüksek duvarlar ya da demirler yap"lmas", bina giri1inde
özel güvenlik ekiplerinin bulundurulmas", önemli verilerin tutuldu0u odalar"n kilitlenmesi ya
da bu odalara 1ifreli güvenlik sistemleri ile girilmesi, bina giri1-ç"k"1 ve çevresinin kameralar
ile izlenmesi gibi önlemler kullan"lmaktad"r.
Konu ile ilgili bir tak"m i1ler art"k standard hale olagelmi1tir . Bu i1ler a1a0"da özetlenerek
s"ralanm"1t"r. Bu i1lerin uygulamas" bilgi güvenli0i aç"s"ndan gereklidir.
• Bilgi i1leme servis merkezlerini korumak amac"yla bir fiziksel bir s"n"r güvenli0i tesisi
(yetki kontrollu kart sistemi, güvenlik elemanl" nizamiye gibi) kurulmu1 olmal"d"r.
• Fiziksel s"n"r güvenli0i, içindeki bilgi varl"klar"n"n güvenlik ihtiyaçlar" ve risk
de0erlendirme sürecinin sonucuna göre olusturulmu1 olmal"d"r.
• Kurum içerisinde belli yerlere sadece yetkili personelin giri1ine izin verecek 1ekilde
kontrol mekanizmalar" kurulmal"d"r.
• Ziyaretçilerin giri1 ve ç"k"1 zamanlar" kaydediliyor olmal"d"r.
• Önemli ve hassas bilgilerin bulundu0u alanlar yetkisiz eri1ime kapat"lmal"d"r.
• Tüm personel ve ziyaretçiler güvenlik elemanlar" taraf"ndan rahatça te1his edilmelerini
sa0layacak kimlik kartlar"n" devaml" tak"yor olmal"d"rlar.
• Güvenli alanlara eri1im haklar" düzenli olarak gözden geçiriliyor olmal"d"r.
• Ofisler ve odalarla ilgili fiziksel güvenlik önlemleri al"nmal"d"r.
• Personel güvenli0i ve sa0l"0" ile ilgili yönetmelikler uygulanmal"d"r.
• Kritik tesisler kolayca ula1"lamayacak yerlere kurulmu1 olmal"d"r.
• Binada bilgi i1lem faaliyetlerinin yürütüldü0üne dair i1aret, tabela vb. bulunmamas"na
dikkat edilmelidir.
• Bilgi i1lem merkezlerinin konumunu içeren dâhili/harici telefon rehberleri halka kapal"
olmal"d"r.
• Harici ve Çevresel Tehditlerden Korunma
• Yang"n, sel, deprem, patlama ve di0er tabii afetler veya toplumsal karga1a sonucu
olu1abilecek hasara kars" fiziksel koruma tedbirleri al"nmal" ve uygulanmal"d"r.
25
• Evden çal"1ma ile ilgili tedbirler al"nm"1 olmal"d"r. Sigorta cihazlar"n tesis d"1"nda
korunmas"n" kaps"yor olmal"d"r.
• Kurum alan" d"1"nda kullan"lacak ekipmanlar için uygulanacak güvenlik önlemleri,
tesis d"1"nda çal"1maktan kaynaklanacak farkl" riskler de0erlendirilerek belirlenmi1
olmal"d"r.
• Ekipman imha edilmeden önce gizli bilginin bulundu0u depolama cihaz" fiziksel
olarak imha edilmelidir.
• Depolama cihaz"n"n içerdi0i bilginin bir daha okunamamas" için klasik silme veya
format islemlerinin ötesinde yeterli düzeyde i1lem yap"lmal"d"r.
• Ekipman, bilgi veya yaz"l"m"n yetkilendirme olmadan tesis d"1"na ç"kar"lmamas"n"
sa0layan kontrol mekanizmas" olu1turulmu1 olmal"d"r.
• Kurum varl"klar"n"n yetkisiz olarak kurum d"1"na ç"kar"l"p ç"kar"lmad"0"n" saptamak
için denetleme yap"lmal"d"r.
• Kurum çal"1anlar" bu tip denetlemelerden haberdar olmal"d"r.
Kar1"l"kl" olarak bilgi al"sveri1inde güvenli bir haberle1me ortam"n" olu1turmak üzere yap"lan
faaliyetlerin ortak ad" haberle1me olarak adland"r"l"r [12]. Haberle1me an"nda fiziksel olarak
bilgilerin güvenli0inin sa0lanmas", güvenlik aç"s"ndan yeterli de0ildir. letisim s"ras"nda
bilginin hedefe ula1madan önce ba1ka ki1iler taraf"ndan ele geçirilmesi ve içeri0in
ö0renilmesi riski her zaman vard"r. Haberlesme güvenli0inin sa0lanmas"nda kullan"lan
yöntemler tarih boyunca de0i1memis fakat bu güvenli0i sa0lamak için kullan"lan teknikler ve
yöntemler sürekli olarak geli1mistir (Fry, 2001).
Steganografi, veri içerisinde veri saklama” anlam"na gelip Yunanca “gizli yaz"” veya
ileti1imin varl"0"n" saklayan yöntem olarak bilinir.
Kriptografi, gizli mesaj"n anla1"lamaz hale getirilmesi yani mesaj"n varl"0" bilinir ancak,
içeri0i anla1"lamaz. Kriptografi mesaj"n içeri0ini anla1"lmaz hale getirirken, steganografi
mesaj" görülemeyecek 1ekilde saklar (Artz, 2001).
28
Kriptografi, veriyi yaln"zca okumas" istenen 1ah"slar"n okuyabilece0i bir 1ekilde saklamak ve
göndermek amac"yla kullan"lan bir teknolojidir. Kriptografi’de veri, matematiksel yöntemler
kullan"larak kodlan"r ve ba1kalar"n"n okuyamayaca0" hale getirilir. Bu matematiksel
kodlamaya “kripto algoritmas"” ad" verilir. lk bilinen kripto algoritmalar" 4000 y"l kadar önce
ortaya ç"km"1t"r. Zaman geçtikçe, kullan"lan teknikler ve cihazlar geli1mi1 ve her geçen gün
yeni teknikler kullan"l"r ve yeni algoritmalar üretilir olmu1tur. Bu teknoloji 1u anda bili1im
güvenli0inin vazgeçilmez bir parças"d"r. ifrelenmemi1 bir bilgiye “aç"k metin” (clear text)
denir. Aç"k metin, bir insan"n okuyabilece0i bir yaz" ya da bir bilgisayar"n anlayabilece0i
çal"1t"r"labilir (.exe, .com) bir program ya da bir veri dosyas" (.txt) olabilir. Bir kripto
algoritmas" kullan"larak, herkesin okuyamayaca0" bir 1ekilde kodlanm"1 bilgiye ise “1ifreli
metin” (ciphered text) denir (Sunay, 2003).
ste?e Ba?l. (discretionary) Koruma (C1 Seviyesi): Bu seviyedeki bir sistem, kullan"c"lar"
ve veriyi ay"rarak iste0e ba0l" güvenlik seviyesini sa0lamaktad"r. Bunlara ek olarak ki1isel
seviyede eri1im s"n"rlamalar" da sa0lamaktad"r. Kullan"c"lar"n özel bilgilerini korumalar" ve
di0er ki1ilerin kazayla okumalar"n" engellemeleri için uygun bir sistemdir. Bir sistemin bu
seviyede yer alabilmesi için güvenlik politikalar"n"n, izlenebilirlik (kimlik denetimi,
yetkilendirme) sistemlerinin, güvence ve dokümantasyon i1lemlerinin sa0lanmas"
gerekmektedir.
Kontrollü Eri<im (C2 Seviyesi): Bu seviye C1’e göre daha fazla ve daha alt düzeyde eri1im
kontrolü sa0lamaktad"r. Bu seviye oturum açma islemleri, güvenlik olaylar"n"n izlenmesi ve
kaynak tahsisiyle kullan"c"lar"n her birinin kontrol edilebilmesini gerektirmektedir.
Güvenlik Alanlar. (B3 Seviyesi): B3 s"n"f" TCB referans monitör gereksinimlerini sa0lamas"
gerekmektedir. Bu seviye güvenlik yöneticisi taraf"ndan desteklenmeli ve denetleme
mekanizmas" tüm güvenlikle ilgili olaylar" kontrol etmesi için genisletilmeli ve sisteme
düzeltme islemleri eklenmelidir.
Günümüzde baz" kurumlar"n bu gibi seviyelerin risk analizi sonucu belirledi0i ve buna göre
kontroller ve önlemler uyguland"0" bilinmektedir (Calder, 2005). Bilgisayar güvenli0i
denildi0inde günümüzde akla bili1im sistemlerinin gizlilik, bütünlük, eri1ilebilirlik
30
A0 (Network) ikiden fazla bilgisayar"n birbirleriyle ileti1im (kablolu veya kablosuz) halinde
olmas"d"r. Bu ileti1im yanyana iki bilgisayar veya cihaz olabilece0i gibi internet üzerinden
farkl" k"talardaki iki bilgisayar veya cihaz da olabilir. A0 ortamlar"n"n temelinde yatan
payla1"m ve uzaktan eri1im imkânlar"n"n kullan"lmas" sonucunda yeni güvenlik aç"klar"
meydana gelmistir. Bu aç"klar, kötü niyetli veya merakl" ki1iler taraf"ndan kullan"ld"0"nda;
bilgilere yetkisiz eri1im, sistemler ve servislerin kullan"lamaz olmas", bilgilerin de0i1tirilmesi
veya aç"0a ç"kmas" gibi güvenlik ihlâlleri olu1maktad"r. Bilgisayar a0lar"n"n yayg"nla1mas"yla
güvenlik ihlâlleri artm"1, bilgi güvenli0i için al"nmas" gereken önlemler fazlala1m"1t"r.
Bir a0"n d"1 dünya ile ba0lant"s" router denilen cihazlar üzerinden yap"lmaktad"r. Routerlar,
d"1 dünyadan kendisine gelen veya iç a0dan d"1a a0a giden paketleri yönlendirmeye yarayan
cihazlard"r. Bu yüzden, kötü niyetli sald"r"lara kar1" önlem al"nacak ilk nokta d"1 dünya ile
31
Güvenlik duvarlar", d"1 a0lardan (güvensiz a0- internet) gelecek tehditlere kar1" kendi
üzerinden geçen a0 trafi0ini koruma alt"na al"rken a0 içerisinden gelecek tehditlere, izin
verilen servislerden gelen sald"r"lara, arka kap"lara ve virüslere, sazan avlamalara ve casus
yaz"l"mlara kars" koruma sa0layamazlar. Farkl" yap"land"rma 1ekilleri olsa da güvenlik
duvarlar" sald"r"lar" engellemede ve güvenli0i sa0lamada daha önceki paragrafta vurguland"0"
gibi tek ba1"na yeterli de0ildir ancak a0 güvenli0inin sa0lanmas"nda en önemli bile1enlerdir.
IDS (Intrusion Detection System) genel olarak iki tip olarak kar1"m"za ç"kar; Sunucu tabanl"
(host ids )IDS ve A0 tabanl" IDS.
A0 tabanl" IDS in görevi, bir kurum yada kurulu1un sahip oldu0u a0 yada a0lara yönlenmi1
olan tüm trafi0i alg"layarak, bu a0a do0ru geçen her bir data paketinin içeri0ini sorgulamak,
bir atak olup olmad"0"na karar vererek kayd"n" alabilmek, kendisi ya da konfigüre edebildi0i
ba1ka bir aktif cihaz taraf"ndan ataklar" kesmek, sistem yöneticisini bilgilendirmek ve ilgili
raporlar olu1turabilmektir. IDS bir data paketinin atak olup olmad"0"n", kendi atak
veritaban"nda bulunan atak tipleriyle kar1"la1t"rarak anlar ve karar verir. Sonuç olarak bir IDS
in en önemli bile1eni bu atak veritaban"d"r. Söz konusu Atak veritaban" n"n içeri0i, ne kadar
33
Sunucu Tabanl" IDS in görevi ise kurulu bulundu0u sunucuya do0ru yönlenmi1 bulunan
trafi0i yine üzerinde bulunan atak veritaban" baz al"narak dinlemesi ve ataklar" sezerek cevap
vermesidir.
IDS' ler, dinledi0i trafi0in kayd"n" tutarak, gerekti0inde bu kay"tlar" baz alarak istenilen
1ekilde raporlar ç"kartabilmektedir. Atak sezdiklerinde ataklar" önleyebilir, yöneticilerine mail
yada benzeri yollarla haber verebilirler, önceden olu1turulmu1 bir program çal"1t"rabilir Tüm
bu özellikleriyle IDS ler sistemin güvenli bir 1ekilde i1lemesine yard"mc" olur ve sistem
yöneticilerinin sistemi güçlü bir 1ekilde izlemesine yard"mc" olmaktad"rlar.
mza tabanl" sald"r" tespit sistemleri günümüzde yayg"n olarak kullan"lmaktad"r. Antivirüs
sistemleri gibi a0 üzerinde yakalanan paketleri inceleme seklinde çal"st"klar" için sald"r"n"n
imza tan"m"n"n önceden tan"mlanm"1 olmas" gereklidir. Bu yöntemin can al"c" noktas", sald"r"
imza listelerinin sistem taraf"ndan otomatik (Auto Update) olarak güncellenmesinin
sa0lanmas"d"r aksi takdirde güncel sald"r"lara kar1" koruma sa0lanamayacakt"r.
Kurumsal bilgisayar a1lar"nda yer alan sald"r" tespit sistemine bir örnek 1ekil 3.3.4.2.1’de
verilmi1tir.
34
ekil 3.3.4.2.1’de 1.IDS, 2.IDS, 3.IDS,4.IDS üzerinde bulundu0u a0dan olabilecek sald"r"lar"
anlamaya çal"1acakt"r. 1 ve 2.IDS daha çok internet (d"1ardan) gelebilecek sald"r"lar" tespit
edecektir. 3. ve 4.IDS ise daha çok iç a0da olabilecek sald"r"lar" tespit edecektir.
Sald"r" tespit sistemlerinin kullan"m"nda en fazla kar1"la1"lan problemlerden birisi sald"r" tespit
sistemlerinin sistemdeki normal bir davran"1" sald"r" olarak tespit etmesidir (False Positive).
Bu hatadan dolay" sald"r" tespit sistemlerinden beklenen ba1ar" elde edilememektedir. Ancak
yinede günümüzde sistem analizini iyi yapan uygulamalar bulunmaktad"r.
Günümüzde internetten sald"r" teknikleri o kadar karma1"k bir hal alm"1t"r ki bazen sadece bir
güvenlik duvar" ile bu sald"r"lar" engellemek pek mümkün olmamaktad"r. Bu nedenle
internetten gelen veri paketlerini inceleyen (Sald"r" Tespit Sistemi) bu paketlerdeki veriyi
önceki paketlerle kar1"la1t"ran ve sald"r" olma ihtimali olan ve belirli bir 1ablonda gelen
35
Kurumsal bilgisayar a0lar"nda yer alan sald"r" önleme sistemine bir örnek 1ekil 3.3.4.3.1’de
verilmi1tir.
IPSler içinde bulundu0u a0 ortam"n"n fark"nda olma özelli0i ile, ortamdaki de0i1ikliklere
adapte olabilmektedir. Bu da güvenlik yöneticilerinin sald"r" önleme sistemi yönetimine
ay"rmalar" gereken zaman" azaltmaktad"r.
Kritik uygulamalar" çal"1t"ran sunucular üzerinde sald"r" önleme sistemi ayr"ca sunucu
üzerinde de çal"1t"r"labilmektedir ve bu sisteme host(client veya terminal) IPS denilmektedir.
Bu yap"da daha da güvenli olmaktad"r. ekil 3.3.4.4’de görülen host IPS web sunucusu
üzerinden konumland"r"lm"1t"r.
ekil 3.3.4.4. Terminal (Host IPS) sald"r" önleme sisteminin genel yap"land"rmas"
Bugüne kadar gerçekle1mi1 en büyük DDOS sald"r"s"n"n, 6 ubat 2007 tarihinde 2,5 saat
sürdü0ü belirtilen bu sald"r" sonucunda, 6 DNS server içerisinden 2’sinin etkisiz hale
getirildi0i ve dünyadaki internet eri1iminde büyük uzun süre boyunca büyük sorun ya1and"0"
aç"klanm"1t"r (Gaudin, 2007). Bu sald"r"lar"n daha hizmet veren bilgisayarlara gelmeden
kesilmesi sald"r" önleme sistemleri (IPS) ile kesilebilmektedir. Ancak a1"r" yok yo0unlu0u
sonucu IPSLer de devre d"1" b"rak"labilir. Bu yüzden daha perdormansl" ve sadece bu DoS
sald"r"lar"ndan anlamas" için programlanan ve buna göre donan"m içeren cihazlar son
zamanlarda üretilmektedir. Bu cihazlara Dos Appliance ad" verilmektedir. çinde Anormal
trafi0i anlayan dedektörleri bar"nd"r"lan bu cihazlar olas" bir DDoS sald"r"s" varl"0"n" tespit
edebilir ve ve gerçek zamanl" olarak zararl" trafi0i bloklar (Davis, 2005).
NAC, Network Access Control kelimelerin k"saltmas"ndan olu1up Türkçe “a0 eri1im
kontrolü” olarak çevilebilir. NAC bir donam"m veya yaz"l"mdan ibarettir. NAC’"n amac" a0a
ba0lanacak terminallerin güvenlik kriterlerine ve tan"mlanan politikalara(policy) göre dahil
dahil etmek veya bloklamakt"r.
Say"lar" günden güne artan güvenlik aç"klar", virüsler, solucanlar, casus yaz"l"mlar a0lar için
büyük sorunlar olu1turuyor ve her y"l 1irketlerin milyonlarca dolar zarar etmelerine neden
oluyor. Bu durum sadece bu tehditleri önlemek için olu1turulan koruma sistemlerinin
maliyetleri olarak alg"lanmamal", herhangi bir 1ekilde bu tehditlerin a0 içerisinde ortaya
ç"kmas" durumunda ya1anan i1 gücü kayb" ve verece0i zararlarda hesaba kat"lmal"d"r. Cisco
Systems’"n önderli0ini yapt"0" ve güvenlik alan"nda önde gelen 1irketlerin destekledi0i
Network Admission Control (NAC) çözümü a0lar"n kar1" kar1"ya olduklar" tehlikeleri en aza
indirmeyi amaçl"yor [13].
sa0lanarak virüs, solucan ve casus yaz"l"m gibi tehditlerin yarataca0" zararlar" s"n"rlamakt"r.
NAC sadece güvendi0i ve uygunlu0u belirlenmi1 uç cihazlar"n (Masaüstü, dizüstü, avuç içi
bilgisayarlar, sunucular vs) a0a eri1imine izin verir ve bunun d"1"ndaki sistemlerin eri1imini
k"s"tlar.
Son y"llarda özellikle ADSL ve DSL (daha çok amerika k"tas"nda kullan"l"r) hizmetinin
geni1lemesi ile birlikte kablosuz a0 destekli modemlerin kullan"m" da artm"1t"r. Bu tip
modemlerdeki kablosuz a0 özelli0inin sa0lad"0" esneklikler ve kolay kullan"m" ve dü1ük
maliyeti sayesinde art"k her i1yerinde ve her evde bir kablosuz a0 olu1maya ba1lanm"1t"r.
Kablosuz a0larda kurumlarda kullan"lan kablolu a0lardan farkl" baz" önemli noktalar vard"r.
Kablosuz a0lar"n, iletim ortam" olarak havay" kullanmas"ndan kaynaklanan güvenlik
problemlerinden dolay", kablolu ortamlara göre güvenli0inin sa0lanmas" daha zordur. WEP
(Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) ve EAP (Extensible
Authentication Protocol) kablosuz a0lar için geli1tirilen güvenlik protokolleridir (Gürkas vd,
2005). Kimlik do0rulama mekanizmas" olmayan WEP algoritmas", kablosuz ag güvenli0ini
sa0lamada (bütünlük, gizlilik) sonradan yap"lan iyilettirmelere ra0men ba1ar"s"z olmustur.
WPA, WEP protokolünün eksikliklerini gidermesi için Wi-Fi Alliance ve IEEE taraf"ndan
geçici olarak olu1turulmu1 bir protokoldür. WPA, WEP’e göre daha güçlü bir 1ifreleme
yöntemi olan TKIP (Temporal Key Integrity Protocol)’i desteklemektedir. EAP protokolü ise
uçtan uca ileti1im için kimlik do0rulamas" sa0lar. Kablosuz a0lar"n güvenli0inin sa0lanmas"
için IEEE taraf"ndan kablosuz a0lardaki güvenlik problemlerine detayl" çözümler üretmesi
amac" ile 802.11x standard" geli1tirilmi1tir. Bu standartla güvenilir bir 1ifreleme, kimlik
do0rulama ve veri bütünlü0ünün sa0lanmas" amaçlanmaktad"r (Edney ve Arbaugh, 2003).
Son y"llarda özellikle ADSL hizmetinin geni1lemesi ile birlikte kablosuz a0 destekli
modemlerin kullan"m" da artm"1t"r. Bu tip modemlerdeki kablosuz a0 özelli0inin sa0lad"0"
esneklikler ve kolay kullan"m" sayesinde art"k her evde ve kurumda bir kablosuz a0 olu1maya
ba1lad"0"n" görülmektedir. Özellikle fiyat/kullan"m özelli0i oran"ndaki ba1ar"m kablosuz
a0lar"n yayg"nla1mas"nda önemli rol oynam"1t"r. Teknolojiye direnmek mümkün de0ildir.
Avantajlar"ndan “zarar görmeden” maksimum seviyede yararlanmay" her ki1i ve kurum
ister.Ancak bu sistemleri ve aç"klar"n"n iyi bilmek gerekmektedir. Kablosuz a0lar"n çal"1ma
mant"klar", güvenlik aç"klar" ve korunma yollar" üzerinde durmak gereklidir.
• WEP,
• WPA,
• WPA2 (en kullan"lan yöntemdir.)
• RADIUS / WPA-RADIUS,
• Wireless Gateway.
Open Security, open security olarak geçen güvenlik modeli 1ifre gerektirmeyen ba0lant"
demektir. Asl"nda bu bir güvenlik modeli de0ildir. Yani herhangi biri bu kablosuz a0lara
asitçe ba0lanabilir.
WEP, Aç"k anahtar (1ifre) kullanan modeldir. Kablosuz a0lar"n güvenli0ini sa0lamak için
kullan"l"r. Geli1tirilmesine ra0men çok büyük aç"klar" bulunmaktad"r. Aç"k anahtar"(1ifre)
bulmak kolayd"r.
WPA/WPA2, Yine aç"k bulunan ancak WEP’ e göre çok daha güçlü bir 1ifre yap"s"na
sahiptir.
WPA kablosuz a0lar için geli1tirilmi1 bir 1ifreleme standard"d"r. Bu standart daha önceki
WEP (Wired Equivalent Privacy- Kabloya E1 Güvenlik) sisteminin yetersizli0ine kar1"l"k
geli1tirilmi1tir. WPA, veri 1ifreleme ve kullan"c" kimlik denetimi alanlar"nda bilgi güvenli0i
sunmaktad"r. WPA, veri 1ifreleme i1lemini geli1tirmek için bu konuda yeni bir yöntem
sunarak 1ifreleme anahtarlar"n" otomatik olarak da0"t"r. Bir bit veri bile 1ifreleme
40
anahtarlar"yla korunur. Bu çözüm ayn" zamanda, veri üzerinde bütünsel bir kontrol yaparak,
verileri ele geçirmek isteyen ki1ilerin bilgileri de0i1tirmesini engeller. WPA, kurumsal
kullan"c"lar"n korunmas" için, a0 üzerindeki her bir kullan"c"ya kimlik denetimi uygularken,
bu kullan"c"lar" veri h"rs"zl"0" amac"yla düzenlenmi1 a0lara geçi1ini de engeller. WPA, IEEE
802.11i taslak standard"n"n bir altkümesidir. 802.1x EAP (Extensible Authentication Protocol-
Geni1letilebilir Kimlik Do0rulama Protokolü) ile De0i1ken Anahtar Da0"t"m (Dynamic Key
Distribution) 1ekillerini Michael do0rultusunda birle1tirmi1tir [15].
WPA2, WPA’n"n devam" niteli0inde kablosuz a0lar için geli1tirilmi1 bir güvenlik metodudur.
IEEE 802.11.x standard"na dayan"r. WPA2 giri1imciye ve mü1teriye sadece yetkili ki1ilerin
a0lara girebilmesi konusunda büyük bir güven vermektedir. WPA2’nin iki sürümü mevcuttur:
WPA2-Personal (ki1isel) ve WPA2-Enterprise (giri1imci). WPA2-Personal yetkisiz ki1ilerin
a0lara giri1ini bir kurulum 1ifresi kullanarak engellemeyi amaçlar. WPA2-Enterprise ise a0
kullan"c"lar"n" bir sunucu yard"m"yla denetler (Cache ve Liu, 2007).
WPA-WPA2 Personal, WPA ve WPA2 ki1isel sürümü ev ve küçük ofisler gibi kimlik
do0rulama sunucular" olmayan kullan"c"lar için tasarlanm"1t"r. Kimlik do0rulama için IEEE
802.1X yerine önceden payla1"ml" bir 1ifre kullan"r. WPA-WPA2 ki1isel sürümü WPA-
WPA2 Enterprise sürümü ile ayn" 1ifreleme yöntemlerini kullan"r. WPA , TKIP yoluyla
WPA2 ise AES yoluyla kullan"c", oturum, paket ba1"na 1ifrelemeyi destekler.
WPA ve WPA2 kablosuz a0" korsan sald"r"lara, zay"f 1ifrelere, kullan"c"larla ilgili sald"r"lara
kar1" korur. WPA, WEP’in hatal" 1ifreleme anahtar"ndan kaynaklanan zay"fl"klar" belirler.
WPA ve WPA2 ile birlikte TKIP ve AES 1ifrelemeleri geli1tirildi0i için sald"r"lar ve
sald"r"lardan etkilenme olas"l"0" en aza indirgenmektedir (Vacca, 2006).
RADIUS, Ba0lant" kuran istemci (client) bir bilet (ticket) sistemi ile kablosuz a0a ba0lan"r.
Ortak bir server oldu0undan do0ru implemantasyonda gayet güvenli bir kablosuz a0 deneyimi
sa0layabilir. Ancak ev kullan"c"lar" ya da küçük organizasyonlar için çok kullan"1s"zd"r.
RADIUS-WPA ise ayn" sistemin WPA desteklisidir.
41
Wireless Gateway, Özellikle halka aç"k yerlerde kablosuz a0 sunan firmalar"n kurdu0u
sistemlerdir. A0 ile kablosuz cihazlar aras"nda bir ba0lant" noktas" olu1turur, giren ki1iler bu
sistemden bir defa onay ald"ktan sonra ilgili kota ve ayarlara göre gerçek a0a (internet)
eri1ebilirler. Ülkemizde TTNet’ in sundu0u TiWinet kablosuz internet eri1imlerinde de bu
metod kullan"l"r.
A0 güvenli0ini korumak tabi ki sadece spesifik kaynaklara eri1im denetimi sa0lamaktan ibaret
de0ildir. Bundan ba1ka, komple bir a0 güvenli0i çözümü a1a0"dakileri sa0lamal"d"r:
2. Mobil ve uzak kullan"c"lar için a0 ba0lant"s" sa0lamak: Birçok 1irket uzak kullan"c"lar"n"n
ba0lant"lar" için, büyük modem ba0lant"lar" gerektiren geleneksel uzaktan eri1im çözümleri ve
pahall" dial-up telefon ba0lant"lar" ile kar1"la1t"r"ld"klar"nda çok ekonomik çözümler sunan
Internet üzerinde geli1tirilen a0 uygulamalar"n"n fark"na vard"lar. Uzak ve mobil
kullan"c"lar"n" kurumsal a0lar"na Internet bazl" özel sanal a0lar (VPNler) arac"l"0" ile
ba0lamak isteyen firmalar"n say"s" artt"kça, bu kritik ba0lant"lar"n güvenli0inin sa0lanmas" da
büyük önem kazanm"1t"r.
Bilgilerinizin Internet gibi herkese aç"k a0lar üzerinden iletimi s"ras"nda güvenli0inden emin
olabilmek için iki temel unsurun yerinde uygulanmas" gerekir. Birincisi, hem uzak istemci,
hem de kurumsal Internet a0geçidi seviyesinde mümkün olan en güçlü tan"lama
sa0lanmal"d"r. kincisi ise, bütün kullan"c" kimlikleri belirlendikten sonra, bütün veri trafi0i
gizlilik aç"s"ndan 1ifreli olarak iletilmelidir.
Bir firma için uzak a0 ba0lant" ihtiyac" artt"kça, a0 güvenlik yöneticileri yönetilebilir ve
kullan"m" kolay VPN çözümlerine ihtiyaç duyarlar. Ve seçilecek çözüm, kurulumu kolay,
ileride eklenebilecek yüksek say"da uzak kullan"c" say"s"n" destekleyebilecek esneklikte, son
kullan"c" için ise kesintisiz ve transparan olmal"d"r.
Gözden kaç"r"lmamas" gereken bir konu ise, uzaktan eri1im çözümü olarak güçlü tan"lama ve
1ifreleme teknolojileri seçildi0i vakit, bu seçimin beraberinde yeni güvenlik yönetimi
43
Internet bazl" VPN uygulamalar" için kabul edilen standarda IPSec (Internet Protocol
Security) ad" verilir. IPSec, 1ifrelenmi1 ve tan"lanm"1 bir IP paketinin format"n" ifade eder ve
gelecek nesil IP ileti1imi için gereklidir. ifrelenmi1 anahtarlar"n yönetimini
otomatikle1tirmek için genellikle IPSec ile IKE (Internet Key Exchange) ile kullan"l"r.
Standart bazl" ba0lant" kuruldu0u zaman, d"1ardan eri1ecek kullan"c"lar"n (i1 ortaklar", özel
mü1teriler) ihtiyaçlar"na göre özel haklar sadece ilgili a0 kaynaklar" için tan"nmal"d"r.
Kurumsal a0 kaynaklar"n"n d"1ar"ya aç"lma oran" artt"kça, bununla ilgili uygulanmas" gereken
kapsaml" güvenlik politikas" da periyodik olarak revize edilmelidir.
bantgeni1li0i üzerinde mevcut hatt" aktif olarak payla1t"rmaya yönelik bir yönetime
gidilmelidir.
E0er yerel a0"n"z bünyesinde yo0un trafik ya1an"yorsa, birçok kayna0"n"z (halka aç"k popüler
bir Web sunucusu gibi ) negatif yönde etkilenebilir. Bir uygulama için bir sunucuya
güvenmek, zay"f ‘response’ zamanlar"na hatta ba0lant" kopukluklar"na yol açabilir. Sunucu
yük dengelemesi bir uygulama sunucusunun i1levini birçok sunucu üzerine da0"tarak
ölçeklenebilir bir çözüm sa0lar. Bu yolla ayr"ca, sunucular üzerindeki performanslar da
artt"r"lm"1 olur.
Performans"n yetti0i durumlarda dahi, a0geçidi seviyesinde meydana gelebilecek bir hatay"
tolere edebilecek güvenli bir a0 altyap" sistemi olu1turulmal"d"r. Günümüzde art"k ço0u
kurum, a0gecidinde ya1ayacaklar" anl"k eri1im sorunlar" yüzünden dahi büyük mali kay"plar
ya1aycaklar"ndan emin olarak yüksek eri1ilebilirli0i destekleyen a0 güvenlik ürünlerini tercih
etmektedir.
Yüksek eri1ilebilirli0i destekleyen ürünler hem yaz"l"m, hem donan"m baz"nda yedeklemeli
sistemler ile yüzde yüze yak"n seviyelerde eri1ilebilirli0i garanti ederler. Bir sorun meydan
geldi0i zaman, yüksek eri1ilebilirli0i sa0layan bile1enler a0"n"z"n güvenli olmas"n" sa0lamal"
ve son kullan"c"ya tamamen transparan 1ekilde devam ettirilmelidir. Gerçek etkili çözümler
sunacak a0 yöneticileri, iç ve d"1 kullan"c"lar"na daimi güvenilir servisler sa0lamal"d"r.
Kullan"c" seviyesinde güvenlik bilgilerini ölçeklenebilir 1ekilde merkezi bir yerde depolamak
için LDAP protokolü kullanmak en uygun çözümdür. LDAP sayesinde, bütün kullan"c"
bilgileriniz tek bir veritaban"nda tutulup di0er a0 uygulamalar" taraf"ndan payla1"l"r. Bununla
birlikte a0 ve güvenlik yönetimleri paralel çal"1arak güvenlik ile ilgili zaman harcat"c" rutin
prosedürlerin a1"lmas" sa0lan"r.
45
Güvenlik denetimlerini en üst düzeyde tutmak için kullan"c" seviyesinde uygulanan güvenlik
politikalar"n kay"tlar"n"n tutulmas" ve bunlar"n denetlenmesi gerekir. Ki1isel güvenlik
politikalar"n"n uyguland"0" ortamlarda DHCP protokolünün kullan"lmas" etkili bir yol
de0ildir. Bunun sebebi IP adres atamalar"n"n dinamik olarak yap"lmas"d"r.
7. A0"n"za kar1" yap"lan ataklar" ve 1üpheli aktiviteleri an"nda alg"lamak ve bunlara cevap
vermek: Kurumsal a0 güvenli0inizi ancak a0"n"z" ve kullan"c"lar"n"z" korumak için
uygulad"0"n"z güvenlik politikalar" belirler. A0 koruman"z" devaml" olarak ayakta tutman"n
yolu yetkisiz aktiviteleri gerçek zamanl" olarak tespit etmektir.
Etkili bir sald"r" tespit sistemi, atak ve 1üpheli a0 aktivitelerini yetkin bir 1ekilde tespit ederek
kurumsal a0 güvenli0inizin bir baca0"n" olu1turur. Ama bu istenmeyen trafi0in sadece
saptanmas" yeterli de0ildir. Kulland"0"n"z sald"r" tespit uygulamas" öte yandan belirlenecek bu
tür istenmeyen ba0lant"lara an"nda yan"t verebilmeli ve a0 kaynaklar"na yetkisiz eri1imi
engellemelidir.
yi dizayn edilmi1 bir sald"r" tespit uygulamas", gerçek zamanl" kar1"l"klara ek olarak kapsaml"
kay"t tutabilme, komple denetim ve gerekti0inde ilgili ki1ileri ikaz edebilecek geli1mi1 uyar"
mekanizmalar"na sahip olmal"d"r.
8. A0"n"z"n IP adres altyap"s"n" güvenli ve etkili bir biçimde yönetmek :A0lar üzerindeki
kulla"n"c" ve uygulama say"s" artt"kça, a0 cihazlar" ve kullan"c"lar" için gereken IP adres adres
say"s" gittikçe daha çok artmaktad"r. Buna paralel olarak da h"zl" geli1en a0larda IP adres ve
isim alan" yönetimi zorla1maktad"r.
Eskisi gibi her bilgisayar ve a0 cihaz"n"n IP adres konfigürasyonunu manuel olarak kontrol
etmek art"k uygulanmamaktad"r. Bunun sebebi, bu tip bir yönetimin günümüz a0lar" üzerinde
hataya aç"k, zahmetli ve entegrasyon eksikli bir yap" olu1turacak olmas"d"r. Böyle bir yap" da
do0al olarak çok pahal" olmas"n"n yan"nda, merkezi kontrol, ölçeklenebilme ve güvenilirlikten
uzak olacakt"r.
Kurumsal bazl" IP a0 altyap"n"z için merkezi idare ve esnek yönetim sa0layan IP adres
yönetim çözümleri ancak genel a0 altyap"s" ile tamamen entegre olduklar"nda güvenlik
politikalar" için optimum kullan"lm"1 olurlar. Daha spesifik olmak gerekirse, dinamik
payla1"ml" dahi olsalar, mevcut IP adreslerini kullan"c"lara birebir olarak e1lemek kullan"c"
bazl" daha güçlü çözümler yaratmay" sa0layacakt"r.
46
Alternatif olarak, seçece0iniz çözümleri geni1 yelpazede çal"1an üretici tek bir firmadan temin
edebilirsiniz. Bu sayede ürünlerin sistemleriniz üzerinde entegrasyon sorunu olmadan
çal"1aca0"ndan emin olabilirsiniz ama bu a1amada da tercih edebilece0iniz uygulama
say"s"nda daralma ya1ars"n"z. Bütün güvenlik ihtiyaçlar"n"z" temin edebilecek spektrumda
hizmet veren tek bir üretici firma bulman"z pek muhtemel de0ildir.
A0 güvenli0i için tercih edece0iniz çözümler neler olurlarsa olsun, hepsinin seçiminde aç"k
mimari platformu destekleyecek çözümler olmalar"na dikkat edilmelidir. yi tan"mlanm"1
arayüzlere sahip aç"k bir mimari, genel güvenlik politikas" çerçevesinde kullan"lacak bütün
ürünlerin birbirleri ile sorunsuz çal"1mas"n" sa0layacakt"r. Buna ek olarak size özel a0
güvenlik ihtiyaçlar" yaratman"z için uygulama programlama arayüzleri (API’ler)
kullan"labilirsiniz.
10. Güvenli bir a0a sahip olman"n maliyet ve zahmetlerini azaltmak :Kurumsal a0"n"z"n
güvenli0ini sa0lamak için, seçti0iniz çözümleri yönetecek ve denetleyecek ki1ilere önemli
miktarda ücret ödemek durumundas"n"zd"r. Bu yüzden bu ki1ilerin i1lerini, entegre konsollar
üzerinden merkezi olarak idare edebilecekleri çözümler tercih edilmelidir. Böylelikle büyük
bir kurumsal a0 için dahi, tek bir ki1i a0 güvenlik yöneticisi olarak a0 güvenli0i denetimi
yapabilir. Bundan ba1ka güvenlik politikas"nda meydana gelecek çözümleri bütün uygulama
noktalar"na hemen aktarmak gerekir.
Bilgi güvenli?i, “bilginin bir varl"k olarak hasarlardan korunmas", do0ru teknolojinin, do0ru
amaçla ve do0ru 1ekilde kullan"larak bilginin her türlü ortamda, istenmeyen ki1iler taraf"ndan
elde edilmesini önleme olarak” tan"mlan"r (Canbek ve Sa0"ro0lu, 2006).
Bilgi güvenli0i, yetkisiz eri1im ve kullan"m, aç"0a ç"karma, yok etme, de1istirme, bozma gibi
sald"r" tehditlerinden verilerin korunmas" sürecidir [17].
Bilgi güvenli0i, Bilginin bir varl"k (asset) olarak ele al"nmas" ve olas" hasarlardan korunmas"
olarak tan"mlar (Ça0layan, 2003).
Bilgi güvenli0i; bilginin sadece eri1im yetkisi verilmi1 ki1ilerce eri1ilebilir oldu0unu garanti
etme (gizlilik), bilginin ve i1leme yöntemlerinin do0rulu0unu ve bütünlü0ünü temin etme
(bütünlük) ve yetkili kullan"c"lar"n, gerek duyuldu0unda bilgiye ve ili1kili kaynaklara
eri1ebileceklerini garanti etme (eri1ilebilirlik) olarak tan"mlanmaktad"r (Iso, 2005).
BS 7799 bilgiyi, di0er bütün önemli i1 varl"klar" gibi, bir kurum aç"s"ndan de0eri olan ve
dolay"s"yla korunmas" gereken bir varl"k olarak tan"mlamaktad"r. Bilgi güvenli0i; i1
süreklili0i sa0lamak, i1 hasar ve zararlar"n" asgari düzeyde tutmak ve yat"r"m geri dönü1ü ve
getirilerini ve i1 f"rsatlar"n" azami düzeye ç"kartmak amac"yla, bilgiyi çok çesitli tehditlere
kar1" korur (Tioia, 2006).
Bilgi güvenli0i ile ilgili literatürdeki tan"mlarda dikkate al"nd"0"nda uzmanlar"n sahip
olduklar" bilgi birikimi ve özel uzmanl"k alanlar"na göre bilgi güvenli0ine farkl" aç"lardan
bak"ld"0" görülebilir. Bilgiye sürekli olarak eri1ilebilirli0in sa0land"0" bir ortamda, bilginin
göndericisinden al"c"s"na kadar gizlilik içerisinde, bozulmadan, de0i1ikli0e u0ramadan ve
48
Gizlilik(Confidentialy):
Elektronik ortamlarda bulunan veya ta1"nan bilginin; yetkisi ve izni olmayan ki1iler veya
süreçler taraf"ndan elde edilmesinin engellenmesi olarak tan"mlanabilir. Gizlilik, statik
ortamlar (disk, teyp, cd, dvd, vb.) veya a0 üzerinde bir göndericiden bir al"c"ya gönderilen
dinamik ortamdaki veriler için sa0lanmak zorundad"r. Sald"rganlar, yetkileri olmayan gizli
bilgilere birçok yolla eri1ebilirler. Burada amaç sald"rganlar taraf"ndan bu bilgiler elde edilse
bile anlas"lmas"n" veya çözülmesini zorla1t"racak yakla1"mlar kullan"larak bulunan veya
ta1"nan bilgi çözülemeyecek ba1ka bir formata dönü1türülür. Gizlilik ilkesinin sa0lanmas"nda
1ifreleme algoritmalar" ve steganografi yöntemleri kullan"lmaktad"r (Sa0"ro0lu ve Tunçkanat,
2002; Sa0"ro0lu vd,2002; Yerlikaya vd, 2006).
Bütünlük (integrity):
Bilginin göndericiden ç"kt"0" haliyle bozulmadan bir bütün olarak al"c"s"na ula1t"r"lmas"n"
garanti eden bir güvenlik unsurudur. Bilgi ileti1im s"ras"nda geçti0i yollarda
de0i1tirilmemi1,eksiltip ço0alt"lmam"1 1ekilde al"c"s"na ula1t"r"larak bütünlü0ü sa0lan"r.
Bilginin bütünlü0ünün garanti edilmesi için hashing (özetleme) algoritmalar"
kullan"lmaktad"r.
Eri<ilebilirlik(Kullan.labilirlik- Availability):
Gerkti0i zaman bilgiye kullan"c"lar"n yetkisi dâhilinde zaman"nda eri1imine imkan verilmesi
olarak tan"mlanabilir. Eri1ilebilirlik bili1im sistemlerini kullanan ki1iler veya süreçler
taraf"ndan büyük bir önem ta1"maktad"r.
Bili1im sistemlerinde gerçekle1en olaylar"n daha sonra analiz edilmesi ve hukuki olaylara
kan"t te1kil etmesi için i1lemlerin kay"t alt"na al"nmas" olarak tan"mlanabilir. Kullan"c"n"n
parolas"n" yazarak sisteme girmesi, veritabanlar"ndan bir bilgi ça0"rmas", web sayfas"na
ba0lanmas", eposta göndermesi veya almas" gibi örnekler kay"t alt"na al"nmas"
gerekenolaylara örnek olarak verilebilir.
Bili1im sistemlerinden hizmet alan al"c"n"n, iddia etti0i ki1i oldu0undan emin olunmas" olarak
tan"mlanabilir. Örne0in, giri1 izniniz olan herhangi bir elektronik ortama eri1tiginizde size
sorulan 1ifreler, bilgisayar"n"z" açarken 1ifre girilmesi kullan"c"n"n kimli0inin tespit
edilmesinde kullan"lan yöntemlerdir. Günümüzde kimlik tespiti, bilgisayar a0lar" ve di0er
sistemler için de çok önemli bir hizmet haline gelmistir. Ak"ll" kartlar, tek kullan"ml"k
parolalar (one time password), elektronik imza kartlar", biyometrik teknolojiler kimlik
tespitinde kullan"lan teknolojilerden baz"lar"d"r.
Güvenirlik (reliability):
Bilgisayar sistemlerinin beklenen davran"1" ile elde edilen sonuçlar aras"ndaki tutarl"l"k
durumu olarak tan"mlanabilir. Di0er bir ifadeyle güvenirlik, herhangi bir bilgi sisteminden ne
yapmas"n" bekliyorsak, sistemin kendisinden beklenileni yaparak her çal"st"r"ld"0"nda da ayn"
sonuçlar" vermesi olarak tan"mlanabilir.
nkâr edememe(nonrepudiation):
Bilgi sistemlerine eri1mek için kimlik tespiti yap"lm"1 olan kullan"c" veya uygulamalara
belirlenen yetkilerin atanmas", bir kayna0a eri1mek için belirli izinlerin verilmesi veya
al"nmas" olarak tan"mlanabilir.
51
Bilgi güvenli0i ve yönetimi ile ilgili kabul gören uluslararas" standart ve çerçevelerin
ba1l"calar" a1a0"dakilerdir (Shahim, 2009).
• ISO 27001,
• ITIL,
• COBIT,
• PCI DSS,
• HIPAA,
• CMMI,
• PRINCE2,
• BS25999
Bu kapsamda yukar" ad" geçen standartlar hakk"nda k"sa bilgi verilecek ve ülkemizde de en
çok kullan"lan ve hatta elektornik imza yasas"nda geçen ISO/IEC 27001 standard"n"n detaylar"
bölüm 4’de detayl"ca incelenecektir.
4.1 ITIL
†
IEC: International Electrotechnical Commission
52
ITIL; 1980’li y"llar"n sonlar"nda, ngiltere Ticaret Bakanl"0" taraf"ndan ba1lat"lan, Bilgi
Teknolojileri altyap" ve hizmet süreçlerinin standartla1t"r"lmas" çal"1malar" ile ortaya ç"kan bir
kütüphanedir. Standartlar"n belirlenmesi a1amas"nda olu1turulan yordamlar zamanla bir
kütüphaneye dönü1mü1tür. 1990’l" y"llar"n ba1lar"nda, özellikle Avrupa ülkelerinde, pek çok
büyük 1irketin ve kamu kurulu1unun ITIL standartlar"n" benimsemesi ve kendi bünyelerinde
uygulamaya ba1lamas" ile ITIL, tüm dünyada kabul edilen bir endüstri standard" durumuna
gelmi1tir. ITIL temel 1emas" 1ekil 4.1.1 de verilmi1tir (Johnson ve Higgins, 2007).
ITIL, operasyonel bilgi i1lem hizmetlerinin verimli ve etkin bir 1ekilde yürütülmesi için
geli1tirilmi1 kalite yönetim metodolojisidir. ITIL operasyonel hizmetlerin, uçtan uca
bütünle1ik süreçler olarak yürtülmesinde esas al"nacak ilkelere aç"kl"k kazand"r"r. ITIL’"
uygulayan firmalar BT servislerinde gözle görülür bir iyile1me elde etmi1lerdir. Genelde bu
53
ITIL metodolojisi küçük yada büyük ölçekli bütün firmalara uygulanabilir. As"l i1i bilgi
teknolojileri olmayan firmalarda bilgi i1lem bölümleri genellik harcama yapan bölüm olarak
alg"lan"r. Bu birimlerin yapt"0" i1in kurum hedefleri do0rultusunda yap"ld"0"n"n yolu ITIL gibi
süreçlerin oturtmas" ile bilgi teknolojilerine para harcayan bir müdürlük veya birim imaj"ndan
ç"karabilir. As"l hedefin hizmetlerin ölçülebilir olmas" , süreçlerle yönetim ve i1 taraf" ile ayn"
oldu0unun göstergesi olarak kullan"labilir.
• Maliyetleri dü1ürmek,
• Eri1ilebilirli0i artt"rmak,
• Kapasiteyi ayarlamak,
• 1 gücünü artt"rmak,
• Kaynaklar"n verimli kullan"lmas"n" sa0lamak,
• Ölçülebilirli0i art"rmak,
• Yüksek kalitede bilgi teknolojileri hizmeti vermektir.
ITIL’"n Sürümü, ITIL, 1985, 2001 ve 2007 y"l"nda olmak üzere 3 sürüm halinde
yay"mlanm"1t"r (Malone vd, 2009).
4.2 COBIT
COBIT, kelime olarak Control Objectives for Information and related Technology
kelimelerinin k"saltmalar"ndan olu1turulmu1dur. Cobit, türkçe olarak “Bilgi ve lgili
Teknolojiler çin Kontrol Hedefleri” olarak tan"mlanabilir[19].
Cobit, ISACA (Information Systems Audit and Control Association) ve ITGI (IT Governance
Institute) taraf"ndan 1996 y"l"nda geli1tirilmi1, Bilgi Teknolojileri Yönetimi için en iyi
uygulamalar kümesidir. COBIT yöneticilere, denetçilere ve Bilgi Teknolojileri (BT)
kullan"c"lar"na i1 hedeflerinin bilgi i1lem hedeflerine dönü1ümünü, bu hedeflere ula1mak için
gerekli kaynaklar" ve gerçekle1tirilen süreçleri bir araya getirirken, ayn" zamanda bilgi
teknolojileri alt yap"lar"n" da etkin kullanmay" sa0lar.
54
K"saca bilgi teknolojileri yöneti1imi için sunulmus bir modeldir. Bir standart de0il, bir
referansd"r. Bircok standart" özümsemi1, örneklemi1 ve en iyi uygular"n" içerisine sindirmi1tir.
CobIT kurumumun i1 (Bussiness) gereksinimini destekleyen bir aract"r. 1 ve bilgi
teknolojileri yönetimi aras"ndaki köprü görevini gören bir metodolojidir. CobIT kurum
hedeflerine bilgi teknolojileri alt yap"lar"n" etkin kullanarak ula1may" sa0layan bir araçt"r [20].
CobIT’in mevcut 4.1 sürümü 4 ana alan (domain ) ve34 farkl" sürece ili1kin kontrol hedefleri
bar"nd"rmaktad"r.
PCI DSS (Payment Card Industry Data Security Standard- Ödeme Kartlar" Endüstrisi Veri
Güvenli0i Standard"), kartl" ödeme sistemlerinde veri güvenli0ini sa0lamak amac"yla
uluslararas" kabul görmü1 ödeme markalar" olan American Express, Discover Financial
Services, JCB International, MasterCard Worldwide ve Visa Inc. International kurumlar"nca
olu1turulmu1 PCI Komitesi taraf"ndan geli1tirilmi1tir.
PCI DSS, kartl" ödeme sistemlerinde yer alan kurum ve kurulu1larda bilgi güvenli0ini
sa0lamak için bilgi sistemlerinde bilgi iletimini, bilgi i1leyi1ini ve bilgi depolamay" esas alan
6 temel kriter baz al"narak olu1turulmu1 12 gereksinim kategorisi ve bu kategoriler alt"nda yer
alan 200 üzerindeki kontrolden olu1maktad"r [21].
PCI DSS kapsam"na, kart ç"karan ve kabul eden tüm bankalar, ödeme kartlar"n" kabul eden
tüm perakendeciler ve kart ve i1lem verilerini kendileri için saklayan veya ileten tüm hizmet
sa0lay"c"lar" girer. Bunun yan"nda bankalar, temsil etti0i perakendeciler ve i1 yapt"0" tüm
üçüncü 1ah"slar"n bu standarda uyumlu olmalar"n"n sa0lanmas"nda da sorumlu
bulunmaktad"rlar.
PCI DSS uyumu kontrolleri için gerek banka, gerek perakendeciler, gerekse hizmet
sa0lay"c"larla ilgili kriterler VISA ve MasterCard kurulu1lar"n"n web sitelerinde
detayland"r"lm"1t"r.
PCI DSS yararlar": Günümüz ko1ullar"nda bilgi güvenli0i her türlü i1letmede, özellikle kartl"
ödeme sistemlerinde dikkate al"nmas" gereken hassas bir konudur. PCI DSS içeri0indeki 12
kategori ile kart bilgisini ta1"yan, i1leyen ve saklayan kurum ya da kurulu1lar"n bilgi
güvenli0ine uyum süreçlerini yönetmekte ve bu kurum ya da kurulu1larda bilgi güvenli0i
disiplininin olu1mas"na katk"da bulunmaktad"r. Kartl" ödeme sistemi içerisinde yer alan
kurum ve kurulu1larda gerek kart kabul eden, gerek kart ç"karan gerekse kart i1lemlerini
çal"1t"ran taraflar"n her hangi birinde bilgi güvenli0inin sa0lanmad"0" durumda kart bilgilerini
aç"0a ç"kma olas"l"0" nedeniyle bu sistem içerisinde yer alan di0er kurum ve kurulu1larda da
güvenlik riski olu1maktad"r. PCI DSS uyumu ile kartl" ödeme sistemleri içinde yer alan tüm
kurum ve kurulu1lar"n veri güvenli0i riski en aza inebilecektir.
PCI DSS uyumu, PCI DSS uyumu kontrolleri, VISA ve MasterCard kurulu1lar"nca
belirlenmi1 kriterler do0rultusunda PCI DSS uyumu için gerekli PCI Council taraf"ndan
56
4.4 HIPAA
Hippa, Health Insurance Portability and Accountability Act demektir. Sa0lik kurumlar"n"n
hastalar"n gizli sa0l"k belgelerinin gizlili0ini, güvenli0ini ve standartlar"n"n korunmas" için
elektronik i1lemlerde belli normlarda uyulmas"n" 1art ko1an Amerika’da 1996 y"l"nda ç"kan
bir yasad"r. Önemli olan noktalar" tüm hasta ve sa0l"k kurumlar"n"n datalar"n"n gizlili0i,
tuturl"0"n"n sa0lanmas" ve bu bilgileri izinsiz eri1imlere kar1" korunmas"n" temin etmektir ve
güvenli0ini sa0lamakt"r (Beaver ve Herold, 2005).
4.5 CMMI
CMMI (Capability Maturity Model Integration Yetenek Olgunluk Model Entegrasyonu), bir
süreç modeli olup, örgütlerin yaz"l"m süreçlerinin (Yaz"l"m planlama, geli1tirme,
yap"land"rma vb.) olgunlu0unu de0erlendirme modelidir. CMMI, Carnegie Mellon
Üniversitesi'ne ba0l" Yaz"l"m Mühendisli0i Enstititüsü taraf"ndan Amerikan Savunma
Bakanl"0"'n"n iste0i üzerine 1986 y"l"nda geli1tirilmeye ba1lanm"1t"r.
CMMI , kurumlara süreçlerini iyile1tirme konusunda gereken temel ad"mlar" gösteren bir
süreç iyile1tirme yakla1"m"d"r. Ne yap"lmas" gerekti0ini aç"klar. Nas"l sorusuna kesin bir
cevap vermez. Bu yakla1"m bir projeye, bir kuruma ait departmana ya da büyük bir
organizasyona süreçlerini iyile1tirme ve geli1tirme konusunda rehberlik eder. Olgun olmayan
bir süreçten olgun ve disiplinli bir sürece giden evrimsel bir yol çizer. Ortaya konulan
seviyelere göre olgunluk geli1imi sa0lan"r. Her olgunluk modelinin kendine özel sürecleri
bulunur. Boylece sürekli bir iyile1me söz konusu olur. CMMI, geleneksel yap"da ayr" olan
organizasyonel fonksiyonlar"n entegre edilmesine, süreç iyile1tirme için gerekli hedef ve
önceliklerinin belirlenmesine, kalite süreçleri için k"lavuz olu1turulmas"na ve mevcut
süreçlerin de0erlendirilmesi için bir referans noktas" olu1turulmas"na yard"m eder.
CMMI, dünyada ve Türkiye’de daha çok IT sektöründe ve özellikle yaz"l"m geli1tirme yap"lan
kurum, departman ve projelerde, yaz"l"m kalitesini artt"rmak için kullan"lan bir referans model
57
4.6 PRINCE2
ITIL ve PRINCE2 aras"nda ayn" kurum taraf"ndan geli1tirilmi1 olmalar" ve kendi alanlar"nda
en iyi uygulamalar" içermeleri d"1"nda kavramsal olarak pek ili1kileri yoktur (Borman, 2009).
4.7 BS 25999
Bu standart, bir BCM sisteminin temellerini uygulamaya koyman"za yard"mc" olarak en zorlu
ve en beklenmedik durumlarda bile i1lerinizin devam"n" sa0lamak, çal"1anlar"n"z" korumak,
itibar"n"z" sürdürmek ve faaliyetlerinize ve ticari etkinliklerinize devam etmenize yard"mc"
olmak için tasarlanm"1t"r.
BS 25999, her sektörden büyük küçük tüm kurulu1lar için uygundur. Finans,
telekomünikasyon, ula1"m ve kamu sektörü gibi yüksek risk içeren ortamlarda faaliyet
58
•Bölüm 1 olan Uygulama Kurallari yay"nlanm"1 ve bu sadece rehber niteli0i ta1"yan bir
dokümandir.
•Bölüm 2 olan Spesifikasyon, 1 Süreklili0i Yönetim Sistemi için en iyi uygulamalara ait
gereklilikleri sa0lar. Standardin bu bölümü uygunlu0un kan"tlanmas" amac"yla tetkik ve
belgelendirme kriteri olarak kullan"labilmektedir (British Standard, 2005).
59
lk olarak ngilizler taraf"ndan 1995 de geli1tirilen BS 7799 ad"ndaki ilk ngiliz standard"
olup bilgi güvenli0i yönetimi standard" olarak tarihe geçti Ancak uluslararas" bir standart
niteli0inde de0ildi. Daha sonra BS 7799-1 ve BS 7799-2 olarak yay"mland". Daha sonra ISO
traf"ndan ele yeniden revizyonlarla ISO 17799 Standart" olarak yay"mland". Bilgi güvenli0i
standard" olan BS 7799-2’nin revize edilip 2005’in sonlar"nda ISO/IEC 27001:2005 olarak
de0i1tirilmesiyle yürürlü0e giren bu standart kurumlar"n bilgi güvenli0i yönetim sistemi
kurmalar" için gereklilikleri tan"mlamaktad"r (Iso, 2005).
ISO 27002 uygulama rehberi olarak olarak yay"mland". ISO 27005 ‘de Risk Yönetimi rehberi
olarak yay"nland". Ancak Belgelendirme ISO 27001:2005’e göre yap"lmaktad"r (Calder,
2006).
Bunun yan" s"ra ISO 17799:2002 numaral" standart ISO 17799:2005 “bilgi teknolojileri
güvenlik teknikleri en iyi uygulamalar rehberi” olarak revize edilip yay"nlanm"1 ve ISO
27001’e göre kurulacak bir BGYS’nin nas"l gerçekle1tirilebilece0ine dair aç"klamalar" içerir.
Yani ISO 27001:2005 bilgi güvenli0i yönetim sistemi standard"r ve ISO 27002:2005 ise bir
uygulama rehberidir ve bu rehber ISO 27001:2005 nas"l uygulanaca0"n" izah eder.
60
Günümüzde bilginin önemi iyi niyetli veya kötü niyetli kullan"c"n" dü1ünüldü0ünde sadece
teknik önlemlerle (güvenlik duvarlar", atak tespit sistemleri, antivirüs yaz"l"mlar", anticasus
yaz"l"mlar, 1ifreleme, vb.) bilgi güvenli0inin sa0lanmas" mümkün de0ildir. BGYS; insanlar",
süreçleri ve bilgi sistemlerini içine alan ve kurumlar"n üst yönetimine i1in içine katan ve üst
yönetimde destek alan bir yönetim sistemidir. Kurumlar aç"s"ndan önemli bilgilerin ve bilgi
sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve süreklili0inin sa0lanmas",
BGYS’nin kurumlarda hayata geçirilmesiyle mümkün olmaktad"r. BGYS’nin kurulmas"yla;
olas" risk ve tehditlerin tespit edilmesi, güvenlik politikalar"n"n olu1turulmas", bilgi güvenli0i
fark"ndal"k e0itimlerin verilmesi, denetimlerin ve uygulamalar"n kontrolü, uygun yöntemlerin
geli1tirilmesi, örgütsel yap"lar kurulmas" ve yaz"l"m/donan"m fonksiyonlar"n"n sa0lanmas"
gibi bir dizi denetimin birbirini tamamlayacak 1ekilde gerçeklestirilmesi anlam"na
gelmektedir.
BGYS’nin kurumlara saglayaca0" faydalar ana hatlar"yla a1a0"da belirtilmektedir (Tbd, 2005).
Bunlar;
Bilgi güvenli0i politikalar" kurum veya kurulu1larda kabul edilebilir güvenlik seviyesinin
tan"mlanmas"na yard"m eden, tüm çal"1anlar"n ve ortak çal"1ma içerisinde bulunan di0er
kurum ve kurulu1lar"n uymas" gereken kurallar bütünüdür (Arnason ve Willett, 2008).
Kurumsal bilgi güvenli0i politikas", kurum ve kurulu1larda bilgi güvenli0inin sa0lanmas" için
62
tüm bilgi güvenlik faaliyetlerini kapsayan ve yönlendiren talimatlar olup kurumsal bilgi
kaynaklar"na eri1im yetkisi olan çal"sanlar"n uymalar" gereken kurallar" içeren resmi bir belge
niteli0indedir.
Bilgi güvenlik politikalar" kurumun üst düzey yönetimi taraf"ndan desteklenmeli ve çal"1anlar
taraf"ndan da benimsenmelidir. En tepede kurumun ana bilgi güvenli0i politikas" olup bu
politika, kullan"c"lar taraf"ndan uygulanabilir ve anla1"labilir, güvenlik yöneticileri taraf"ndan
yönetilebilir k"sa ve öz olmal"d"r. Bilgi Güvenli0i Politikas" kurumda bilgi güvenli0ine yön
veren temel dokümand"r. Bu doküman, kurumun tüm payda1lar" taraf"ndan eri1ilebilen ve
bilinen bir doküman olacakt"r. Bu nedenle, politikay" yazarken, dikkat edilmesi gereken ilk
konu, politikan"n k"sa, öz ve anla1"labilir olmas"d"r. Politika çok uzun olursa, kurum
kullan"c"lar" taraf"ndan okunmayacakt"r. Politika, tüm kullan"c"lar taraf"ndan anla1"l"r ve net
olmal"d"r; teknolojik terimlerin kullan"lmas"ndan da mümkün oldu0unca kaç"n"lmal"d"r. Bilgi
güvenli0i politikas" kurum çal"1anlar" taraf"ndan uygulanmas" beklenen bir politikad"r.
Politikan"n gerçekçi olmas" önemlidir. Uygulanmas" zor veya imkâns"z ifadelere yer
verilmemelidir (Barman, 2001).
Iso 27001 standard"nda göre kurumsal bilgi güvenli0i ana politikalar", kurulu1lar"n ihtiyaçlar"
do0rultusunda temel güvenlik ilkelerinin (gizlilik, bütünlük ve eri1ilebilirlik) ve risklerin
kontrol alt"na al"naca0"n" beyan eden ifadeleri içermelidir (Calder, 2005).
Örne0in bir internet servis sa0lay"c"n"n bilgi güvenli0i ana politikas" 1öyle olabilir:
Bu tepedeki bilgi güvenli0i ana politikas"n" destekleyen alt politikalar olabilir. Politikalar her
kurulu1 için farkl"l"k gösterse de, genellikle çal"1an"n sorumluluklar"n", güvenlik denetim
araçlar"n", amaç ve hedeflerini kurumsal bilgi varl"klar"n"n yönetimini, korunmas"n",
da0"t"m"n" ve önemli i1levlerin korunmas"n" düzenleyen kurallar ve uygulamalar"n aç"kland"0"
genel ifadelerdir.
63
Belli konularda çal"1anlar"n daha fazla bilgilendirilmesi, dikkat etmesi gereken hususlar, ilgili
konunun detayl" bir 1ekilde ifade edilmesi istendi0inde alt politikalar geli1tirilmelidir.
Örne0in kullan"c" 1ifre yönetim politikas", unutma, 1ifre de0i1tirme, yeni 1ifre tan"mlama gibi
durumlarda uyulacak kurallar alt politikalar arac"l"0"yla aç"klanmal"d"r.
Bir ba1ka örnek ise, e-posta gönderme ve alma konusunda, 1irket yönetimin kararlar"n",
haklar"n", kullan"c"n"n uymas" gereken kurallar" alt politika içerisinde ifade etmek daha uygun
olacakt"r. Bu alt politikayla 1irket yönetimin, gerekli gördü0ünde çal"1anlar"n"n 1irket i1leri
için kulland"0" e-postalar"n" okuyabilece0i, e-postalar yoluyla gizlilik dereceli bilgilerin
gönderilip al"namayaca0" gibi hususlar, e-posta alt politikas" içerisinde ifade edilebilir.
• Eri1im politikas",
• Yedek alma politikas",
• ifre yönetim politikas",
• Kullan"c" tan"mlama politikas"
• Antivirüs politikas",
• nternet kullan"m politikas",
• A0 yönetim politikas"
• Uzaktan eri1im politikas",
• Fiziksel güvenlik politikas"
• Sunucu kurulum politikas".
64
Bilgi Güvenli0i Yönetim Sistemleri (BGYS) kapsam"na dâhil edilecek bilgi varl"klar"
kurumlar"n belirledi0i ihtiyaçlar do0rultusunda tespit edilir. BGYS’nin kapsam" ve s"n"rlar"
belirlenmelidir. BGYS’nin kapsam" kurumun belli bir k"sm" olabilece0i gibi, kurumun bütünü
de olabilir. Ancak, her iki durumda da, kurumun BGYS kapsam"n" ve s"n"rlar"n" eksiksiz ve
do0ru bir biçimde tan"mlamas" gerekmektedir Kapsamlar a1a0"da gösterilen kategorilerde
s"n"fland"r"labilir (Landoll, 2006).
Öner0in bir bir finans kurulu1unda mü1teri verisi ile ilgili bir kapsam 1öyle olabilir:
Finans Port uygulmas" kapsam"ndaki yat"r"mc" kay"tlar"n" korumak ve güvenli bir ortamda
saklamak amac"yla Bilgi Güvenli0i Yönetim Sistemi kurulmu1tur.
tarihinde Türk standart" olarak kabul edildi0inden TS 17799–2 standart" TSE taraf"ndan iptal
edilmi1tir (Tbd, 2005).
TS ISO/IEC 27001:2006 standard", tüm kurulu1 türlerini kapsar. Bu standart, bir BGYS’yi
kurulu1un tüm ticari riskleri ba0lam"nda kurmak, gerçeklestirmek, izlemek, gözdengeçirmek,
sürdürmek ve iyile1tirmek için gereksinimleri kapsar. Ba0"ms"z kurulu1lar"n ya da taraflar"n
ihtiyaçlar"na göre özelle1tirilmi1 güvenlik kontrollerinin gerçeklestirilmesi için gereksinimleri
belirtir. Bu standart ISO/IEC 27001:2005 standard"ndan yararlanarak haz"rlanm"st"r. ISO/IEC
27001:2005 standard"n tercümesidir. Dünyada ve ülkemizde belgelendirme konusunda
yap"lan çal"1malar bir sonraki bölümde anlat"lm"1t"r.
• Bilgi güvenli0i fark"ndal"k e0itimleri ile çal"1anlar"n bilgi güvenli0i bilincini canli
tutar,
Kurumsal bilgi güvenli0i yönetim sistemi (BGYS) kurmak için haz"rlanan proje plan"
a1a0"daki ad"mlardan olu1maktad"r [24]:
2.Ön ekibin e?itimi: BGYS kurman"n yararlar", uygulanabilecek yöntemlerin de yer ald"0"
bir e0itim program" ile kurum içindeki “BGYS Yöneticisi” ve ön ekip ilk haz"rl"0"n"
tamamlar. E0itim program", fark"ndal"k, uygulama ve ba1 tetkikçi e0itimlerini içerebilir. Ekip
içinde en az bir ki1inin ba1 tetkikçi e0itimini alm"1 olmas", yarat"lan sistemin belgelendirme
denetimine haz"rl"0" kolayla1t"r"r.
3.Ekip ve Stratejinin kesinle<tirilmesi: Kurum içinde ilk BGYS ekibinin kurulmas" ve üst
yönetim bilgi/deste0i ile hedefin ortaya konmas"d"r. Ekip, BGYS ekibi içinde gerekli
kaynaklar"n aktar"lmas" ve görevlendirme için üst yönetim temsilcili0ini de yapacak olan
“BGYS Sponsoru”, projenin yönetimini yapacak olan “BGYS Yöneticisi” ve gerekli süreç
sahiplerinden olu1abilir.
8.Varl.klar.n De?erlendirmesi: Her varl"k ayn" de0erde de0ildir. Her varl"0"n da korunmas"
için benzer çaba gösterilmesi anlaml" de0ildir. Bu yüzden varl"k sahiplerinin, varl"klar"
önceliklendirmesi gereklidir. Bu önceliklendirme varl"0"n Gizlilik, Bütünlük ve
Kullan"labilirlik ihtiyac"na göre yap"labilir.
14.Gözden Geçirme, Denetim ve Önlemler : ISO 27001 standard"nda yer alan PUKÖ
(Planla-Uygula-Kontrol Et-Önlem Al) döngüsü içinde yer alan “kontrol et”, gerçekle1tirilen
tüm süreçlerin gözden geçirilmesini kastetmektedir. Burada yap"lan izleme süreçlerinin
çal"1t"r"lmas", BGYS’nin etkinli0inin gözden geçirilmesi, planlanan aral"klarla risk
de0erlendirilmesinin gözden geçirilmesi ve üst yönetiminin BGYS’yi gözden geçirmesidir.
Bulgulara göre karar verilen önlemlerin al"nmas" ve sistemin güncellenmesi gereklidir.
15.ISO 27001 Sertifika Ba<vuru & Al.m: Bu a1amaya geldi0inizde sahip oldu0unuz sistemi
belgelendirmek, avantajlara kavu1mak için önemlidir.
ISO 27001 standard", BGYS’nin süreçlerden olu1an bir sistem olarak alg"lanmas" gerekti0ini
vurgulamaktad"r. Buna ilave olarak, BGYS’nin kendisi de bir süreçtir. ISO 27001 standard"na
göre “Girdileri ç"kt"ya çevirmek için kaynak kullanan ve yönetilen faaliyetler süreç say"l"r”.
Dolay"s"yla sürecin,
Bunlara ilave olarak süreç çal"1"rken kaynak kullanacakt"r. Standart “yönetilen faaliyet”
ifadesi ile yönetim taraf"ndan tan"mlanm"1 faaliyetin, - Yönetim taraf"ndan atanm"1 sorumlular
ve belirlenmi1 roller uyar"nca gerçekle1tirilmesini anl"1"lmaktad"r. Her iki konu ISO 27001 ve
ISO/IEC 27002:2005 standard"nda aç"kça vurgulanmaktad"r [25].
BGYS sürecinin girdisi “Bilgi güvenli0i ihtiyaç ve beklentileri”, ç"kt"s" “Yönetilen bilgi
güvenli0i”dir.
ISO/IEC 27002:2005 standard"n"n 4.2 ba1l"0" alt"nda BGYS döngüsünün çok yo0un bir özeti
yap"lmaktad"r. Bu ba1l"k alt"ndan standard"n “dokümantasyon gereksinimleri”, “yönetim
sorumlulu0u”, “iç tetkik”, hatta ISO 27002 kontrollerinin özetlendi0i “Ek A. Kontrol
Amaçlar" ve Kontroller” bölümlerine göndermeler yap"lmaktad"r.
ekil 5.3.2.2’de PUKÖ döngüsü alt"nda bahsi geçen faaliyetler daha detayl" olarak
gösterilmi1tir.
70
ISO/IEC 27001:2005 belgelendirmesi için geçilmesi gereken alt" a1ama a1a0"da k"saca
aç"klanm"1t"r [26].
5.A<ama: Denetçi firma taraf"ndan masa üstü denetim ba1ar"l" 1ekilde sonuçland"ktan sonra,
denetim firmas"n"n belirledi0i denetçiler taraf"ndan yerinde (on-site) denetim gerçekle1tirilir.
Kurulu1un büyüklü0üne ve i1 tipine uygun kontrollerin olup olmad"0" gözden geçirilir ve elde
edilen sonuçlara göre kurumlara önerilerde bulunulur.
ISO/IEC 27001 standard"na göre kurulmu1 olan bir bilgi güvenli0i yönetim sisteminin varl"0",
kurumlar"n bilgi güvenli0i yönetiminde, kapsaml" prosedürler arac"l"0"yla güvenlik
kontrollerini sürekli ve düzenli olarak i1letmeyi ve sistemin sürekli iyile1tirilmesini
gerektirmektedir. Güven ve güvenilirli0in hayati önem ta1"d"0" alanlarda hizmet veren
kurulu1lar"n, uluslararas" geçerlilikte bilgi güvenli0i yönetim sistemleri standard"na uygunluk
belgesine sahip olmas", hem mevzuat hem de kurulu1un güvenli i1leyisi aç"s"ndan bir
zorunluluk olarak de0erlendirilmektedir.
72
Sıra Sıra
No No
33 KPMG SA
Çizelge 5.4.1.1’de Türkiye’de BGYS sertifikas" veren TSE’nin ad"n"n geçmemektedir. Ancak
TSE, Bilgi Güvenli0i Yönetim Sistemi (TS ISO/IEC 27001) Belgelendirme faaliyeti ile ilgili
ISO/IEC 17021 standard"na akreditasyon çal"1malar"m"z tamamlanm"1 ve Nisan 2009
itibariyle TÜRKAK taraf"ndan akredite edilmi1tir [28].
Belgelendirilen BGYS sistemi her geçen gün h"zl" bir 1ekilde artmaktad"r. Ülkelere göre belge
say"s" incelendiginde dünya genelinde toplam 6573 adet ISO/IEC 27001 sertifikas" oldu0u
görülmektedir [29].
Slovakia 19 Egypt 3
France 18 Gibraltar 3
ISO/IEC
Sertifika Alan Kurum Ülke Certification Body 27001:2005
27001:2005
ISO/IEC
Atlas MedAcal ServAces Ltd. Turkey 27001:2005
ISO/IEC
Bankalarasi Kart Merkezi A.S., Istanbul Turkey Bureau Veritas Certification 27001:2005
ISO/IEC
Borcelik Celik Sanayii Ticaret A.S. Turkey 27001:2005
ISO/IEC
Corbuss Kurumsal Telekom Turkey 27001:2005
ISO/IEC
E-Kart Elektronik Kart Sistemleri Turkey Bureau Veritas Certification 27001:2005
ISO/IEC
Global Bilgi Pazarlama, Danisma Ve Turkey 27001:2005
ISO/IEC
Haci Omer Sabanci Holding A.S. Turkey 27001:2005
ISO/IEC
CgdaD Cstanbul Gaz DaEAtAm Turkey Bureau Veritas Certification 27001:2005
ISO/IEC
Koc.Net Haberlesme Teknolojileri Turkey 27001:2005
ISO/IEC
Merkezi KayAt KuruluDu A.B Turkey SGS United Kingdom Ltd. 27001:2005
ISO/IEC
Pwc / Basaran Nas Smmm A.S. Turkey Bureau Veritas Certification 27001:2005
77
ISO/IEC
Siemens AG Turkey 27001:2005
ISO/IEC
Teknosa Ic Ve Dis Ticaret A.S. Turkey 27001:2005
ISO/IEC
Turk Traktor Ve Ziraat Makineleri A.S Turkey 27001:2005
Kurum veya kurulu1lar"n üst düzeyde bilgi güvenli0ini ve i1 süreklili0ini sa0lamalar" için,
teknik önlemlerin yan"nda teknik olmayan (insan faktörü, prosedürel faktörler,vb.) önlemlerin
ve denetimlerin al"nmas", tüm bu süreçlerin devaml"l"0"n"n sa0lan"lmas" ve bilgi güvenli0i
standartlar"na uygun olarak yönetilebilmesi amac"yla yönetim taraf"ndan desteklenen
insanlar", i1 süreçlerini ve bili1im teknolojilerini kapsayan bilgi güvenli0i standartlar"na uygun
olarak BGYS kurmalar" gerekmektedir. Bilgi güvenli0i standartlar" kurumlar"n kendi i1
süreçlerini bilgi güvenli0ine yönelik risklerden korumalar" ve önleyici tedbirleri sistematik
biçimde i1letebilmeleri ve standartlar"n gere0ini yerine getiren kurum veya kurulu1lar"n
belgelendirilmesi amac"yla geli1tirilmi1tir.
Ülkemizde genellikle güvenlik politikalar" standartlara uygun olmadan yaz"l" veya sözlü,
onayl" veya onays"z bir biçimde kurulu1lar taraf"ndan uygulanmakta ve ço0u kurum
taraf"ndan da bilgi güvenli0i yönetimi için yeterli görülmektedir. Bu yanl"1 anlaman"n
78
giderilmesi için dünya genelinde kabul görmü1 ve uygulanabilirli0i test edilmi1 bilgi
güvenli0i standartlar" esas al"narak kurulu1lar"n bilgi güvenli0i yönetimi konusunda
eksikliklerini gidererek BGYS kurmalar" ve belgelendirilmeleri gerekmektedir. BGYS
çerçevesinde olu1turulacak güvenlik politikalar"na üst yönetim ve tüm çal"sanlar"n destek
vermesi ve tavizsiz bir 1ekilde uygulanmas", i1birli0inde bulunulan tüm ki1i ve kurulu1lar"nda
bu politikalara uyma zorunlulu0u, kurumsal bilgi güvenli0inin üst düzeyde sa0lanmas"nda
önemli bir faktördür.
ISO 27001 Bilgi Güvenli0i Yönetim Sisteminin en önemli unsurlardan biri risk yönetim
sürecidir.
Risk, sözlük anlam" olarak zarara u0rama tehlikesidir ve öngörülebilir tehlikeleri ifade eder.
Risk Yönetimi ise bir kurumun ya da kurulu1un çal"1abilirli0i, ticari müesseseler içinse
öncelikle karl"l"0"n" olumsuz yönde etkileyebilecek risk faktörlerinin belirlenmesi, ölçülmesi
ve en alt düzeye indirilmesi sürecidir. Finans dünyas" ba1l"ca risk faktörlerini Piyasa Riski,
Kredi Riski ve Operasyonel Risk olarak üç ana ba1l"k alt"nda toplamaktad"r. Bili1im
Teknolojilerinde ise daha çok Operasyonel Risk ön plana ç"kmaktad"r (Egan, ve Mather,
2004).
Kurum ve kurulu1lar için Bili1im Teknolojilerine dayal" süreçler, art"k kurum ve kurulu1lar"n
varl"klar"n" devam ettirebilmeleri aç"s"ndan vazgeçilmezler aras"nda önemli bir yer
tutmaktad"r. Bili1im Teknolojilerine dayal" i1 süreçlerinin herhangi bir sebeple olumsuz yönde
etkilenmesi ayn" zamanda kurum ya da kurulu1lar"n asli i1levlerini sürdürememesi anlam"na
gelmektedir.
Ba1ar"l" bir risk yönetimi için, kurulu1lar"n bilgi varl"klar"na ve hedeflerine yönelik risklerin
belirlenerek, analiz edilmesi, tan"mlanan risklerin kontrol alt"nda tutularak izlenmesi
gereklidir. Riski yönetmenin en do0ru yolu, gerçekle1me olas"l"0" ve gerçeklesti0inde
verece0i zarar en yüksek olan riskleri azaltacak bilgi teknolojisi risk yönetim sürecinin
olu1turulmas"d"r. Risk yönetim süreci olu1turulduktan sonra yap"lmas" gereken di0er bir i1
risk yönetimi sorumlusunun atanmas"d"r. Sorumlunun kim olaca0" veya i1i nas"l yürütece0i,
kurumun büyüklü0üne ve ihtiyaçlar"na göre de0i1ir. Büyük ölçekli kurum ve kurulu1larda,
risklerle ilgili önemli bilgileri toplayarak uygulanmas" gereken kararlar" verecek, risk
yönetimi politikalar"n" ve k"lavuzlar"n" olu1turacak özel amaçl" risk yönetim sistemlerinin
devreye al"nmas"n" sa0layacak ayr" bir birimin kurulmas" gereklidir. Risk yönetiminde tek bir
birimin veya tek bir ki1inin çal"1mas"n"n yan"nda kurum içi ortak bir çal"1maya da ihtiyaç
duyulmaktad"r.
Risk yönetiminde kurum içi haberle1me kanallar"n"n do0ru yap"larak üst yönetimle iyi bir
ileti1im kurulmas" gereklidir. Risk yönetimi çal"1malar"n"n ba1ar"s", üst yönetimin deste0ine
ve kurumun i1 hedefleriyle uyumlu olmas"na ba0l"d"r. Risk yönetimi ile ilgili üst yönetim ve
kurum çal"1anlar"n"n deste0i sa0land"ktan sonra isleyi1 yöntemlerinin olu1turulmas"
gereklidir. Öncelikle kurulu1un uzun dönemdeki hedefleri üzerinde çal"1"lmal" ve gelecekteki
hedefleri tehlikeye atacak risklerin tan"mlanarak kontrollerin olu1turulmas" gereklidir. Risk
yönetim planlar" daima güncel tutulmal"d"r.
81
Bilgi güvenli0i risk yönetiminde, bilgi güvenli0ini tehdit eden daha önceki bölümlerde
aç"klanan unsurlar"n meydana gelmesinin engellenmesi hedeflenmektedir. Ancak riskler
tamamen ortadan kald"r"lamayaca0"ndan tedbirlere ra0men riskler olu1tu0unda bilgi
güvenli0inin bu risklerden en az etkilenmesi risk yönetimiyle sa0lanacakt"r. Risklerin
olu1mas"n" en aza indirgemek için, önceden al"nmas" gereken tedbirler ve kontrollerin tarif
edilerek kurum çal"1anlar" ve yöneticileri taraf"ndan gerekli önlemler al"nmal"d"r. Risk
olu1tu0unda probleme müdahale, i1 süreklili0inin sa0lanmas" ve ola0anüstü durumdan
kurtulma yöntemlerini içeren felaket yönetimiyle ilgili politikalar olu1turulmal" ve sorun
olu1tu0unda gecikmeksizin uygulanmal"d"r. Burada önemle üzerinde durulmas" gereken,
risklerin ortadan kald"r"lmas" veya azalt"lmas" için olu1turulacak kontrolerin dengesidir.
Gereksiz veya iyi bir risk planlamas" yap"lmadan olu1turulan kontroller sonucunda i1
yap"lamaz duruma gelinmesi de kurumlar için önemli bir risk faktörüdür.
Risk tan"mlamas" yap"ld"ktan sonra, riskler kar1"s"nda al"nacak kararlar a1a0"dakiler olabilir
(Egan, ve Mather, 2004).
• Riskin Kabulü: Risk kabul karar", mevcut önlemlerin yeterli oldu0u, ilave tedbir
veya kontrol uygulanmas"na gerek olmad"0"n" ifade etmektedir. Herhangi bir ek
güvenlik denetimine ihtiyaç duyulmadan; riskin tespit edilen seviyede sürdürülmesi
karar"d"r. Güvenlik riski mevcut olan ancak sald"r" riski olmayan bilgi varl"klar" için
risk maliyetine girmek yerine, riskin göz ard" edilmesi tercih edilir.
Risk Analizi:
1. Varl"klar"n belirlenmesi,
2. Belirlenen varl"klar"n sahiplerinin belirlenmesi (Risk de0erlendirmesi yapacak),
3. Bu varl"klara ili1kin tehditlerin belirlenmesi,
4. Tehdit s"kl"k durumunun belirlenmesi,
5. Bu tehditler taraf"ndan istismar edilebilecek zay"fl"klar"n"n (aç"kl"klar) tespiti,
6. Tehdidin aç"kl"0" istismar etme olas"l"0"n"n belirlenmesi,
7. Bu varl"klar"n tehdit ve aç"l"klar"ndan etkilenme derecesinin Gizlilik, Bütünlük ve
Kullan"labilirlik aç"s"ndan de0erlendirmesi,
8. Gizlilik risk seviyesi, bütünlük risk seviyesi ve Kullan"labilirlik risk seviyesi
de0erlerinin ç"kar"lmas",
9. Risk de0erlerine göre risk karar"n"n verilmesi (Risk de0eri, risk kabul kriterinin
alt"ndaysa ek herhangi bir kontrole gerek yoktur),
10. E0er Risk karar" “kontrol” ise riski indirgemek için ek önlemlerin gereklidir.
Literatürde iki farkl" risk analizi yöntemi mevcuttur. Bunlar, nicel (Quantitative) ve nitel
(Qualitative) yöntemlerdir (Landoll, 2006).
Nicel Hesaplama Yöntemi: Bilgi varl"klar"na, önemine ve korunmas"na göre mali de0erler
atanmas" ile yap"lan risk hesaplama yöntemidir. Nicel risk analizinde, bilginin de0eri, zafiyeti,
83
tehditin olma ihtimali, tehditin etkisi gibi de0erlere say"sal de0erler verilir ve bu de0erler
matematiksel ve mant"ksal yöntemlerle hesaplan"p risk de0eri bulunur.
Nitel Hesaplama Yöntemi: Bilgi sahipleri ve uzman ki1iler taraf"ndan bilginin önemine ve
kritikli0ine de0er atanmas" ve bu de0erlerin bir ekip taraf"ndan kar1"l"kl" müzakereler ile son
kabul gören güvenlik de0erine atanmas"yla yap"lan risk hesaplama yöntemidir. Say"sal
de0erler yerine Kritik, yüksek, orta gibi tan"mlay"c" de0erler kullan"l"r.
Her kurum kendisine uygun standart risk analizi yöntemi bulamaya bilir. Her kurumun
kendine özel bir varl"k envanteri, bu varl"klar"n güvenli0ini tehdit eden farkl" tehlikeler vard"r.
Risk, bir tehdidin potansiyel bir zay"fl"ktan istifade etme olas"l"0" ve bunun organizasyon
üzerinde negatif bir etkiye neden olmas"n"n bir fonksiyonu olarak tan"mlanmaktad"r.
ISO 27001 standart"na uygun hesaplanan risk metodolojilerinden birisi a1a0"daki gibidir
(Calder ve Watkins, 2007):
Risk için varl"k (varl"0"n etkisi), varl"0"n zay"fl"0" (zaafiyeti, aç"kl"0") ve bu aç"0"
sömürebilecek tehditler bulunmaktad"r. Bu üç unsurdan risk de0eri elde edilir.
Varl.k, 2. Bölümde anlat"ld"0" üzere ISO standartlar" bilgi varl"0"n", ki1i ve kurumlar"n sahip
oldu0u ve kendisi için maddi veya manevi de0er ifade eden ve bu nedenle uygun korunmay"
gerektiren tüm unsurlar 1eklinde tan"nlam"1lard"r.
Tehditler, bilinçli veya bilinçsiz olarak varl"0a özgü zay"fl"klar" kullanarak varl"0a zarar
verebilecek eylem veya durumlard"r.
Örne0in 5 skala ile belirlenir a1a0"daki tehdit, zay"fl"k ve varl"k etkisine de0erlendirmelerin
nas"l verildi0inin ve risk de0erlerinin nas"l hesapland"0"n" anlatmakta yarar bulunmaktad"r:
s"kl"0" belirlenirken, geçmi1 deneyim ve istatistikler ile teknolojik geli1meler göz önünde
bulundurulmal"d"r. Tehdidin 1imdiye kadar hiç gerçekle1memi1 olmas" s"kl"0"n"n çok dü1ük
oldu0u anlam"na gelmez. Dünyada ya1anan deneyimler ve tehdidin özelli0i dikkate al"narak
s"kl"k belirlenmelidir.
Aç"kl"k (zaafiyet) de0erleri 5 skala ile belirlenir. Bu de0erler geçmi1 zaman istatistikleri ve
teknolojik geli1im gözönde tutularak belirlenir. Örne0in web sayfas"n"n bir zaafiyetten
yararlan"larak hackedilmesinin olas"l"k de0er hesaplan"rken sadece geçmi1 zaman istatikleri
baz al"namaz. Geçmi1 zaman istatistiklerinin yan"nda teknolojik geli1im de göz önde tutulur.
Geçmi1te bir zaafiyettin bir tehdit taraf"ndan istismar edilmemesi veya k"r"lmamas" zaafiyet
olas"l"0"n"n çok dü1ük oldu0u anlam"na gelmez. Dünyada ya1anan deneyimler ve zaafiyetin
do0as" dikkate al"narak olas"l"k belirlenmelidir.
Etki, bir tehdidin bir aç"kl"ktan yararlanarak sebep olabildi0i negatif sonucun veya zarar"n
büyüklü0ünü ifade eder. Etkinin düzeyi, etkilenen kaynak ve varl"klar"n gizlilik, bütünlük ve
kullanabilirlik seviyesinin ne kadar zarar görece0ine ba0l"d"r.
GBK Seviyesi : Gizlilik Seviyesi (GS), Bütünlük Seviyesi (BS), Kullan"labilirlik Seviyesi
(KS) bile1enlerinden olu1ur. GS, BS ve KS, 1 ile 5 aras"nda de0er al"r. 1 çok dü1ük , 2 dü1ük,
3 orta, 4 yüksek, 5 kritik seviyeleri ifade eder.
Bir varl"k için tespit edilen ve yukar"daki gibi tan"mlanan GBK seviyeleri ile tehditler ve
zay"fl"klar e0er aç"0a ç"karsa o varl"0"n gizlili0i, bütünlü0ü ve kullan"labilirli0i bundan hangi
derecede etkilenir sorusunun cevab" aran"r.
varl"0"n etki de0eri: 3 olsun, zay"fl"k de0er : 4 olsun, tehdit s"kl"0": 2 olsun:
Risk De0eri = 3 x 4 x2 = 24 olur. Risk de0eri 125 (5 x 5 x 5) üzerinden 24’tür. De0er 24 risk
kabul kriterin alt"nda ise bu varl"0"n riski mevcut önlemler ile korunmas" yeterlidir. Ancak
e0er risk kabul kriterinden yüksek ise bu riski azaltmak için ek önlemler gereklidir.
89
7.1 Tehdit
Bilgi güvenli0i dünydas"nda tehdit, bilgi varl"klar"n"n do0as" gere0i etkisinde bulundu0u
zaafiyeti sömürüp varl"0"n gizlilik, bütünlük ve kullan"labilirli0ini olumsuz yönde etkileme
olas"l"0" olan tan"ml" risklerdir [31]. Tehditlerin bilgi sistemlerinde etkili olabilmesi için bilgi
sistemleri üzerindeki var olan zafiyetleri kullanmalar" gereklidir.Tehditlerin bilgi varl"klar"na
etkisi, tehlikenin olu1ma olas"l"0", bilgi varl"0" üzerindeki aç"kl"k ve varl"0"n de0eri ile do0ru
orant"l"d"r. Tehditler uygun ortam 1artlar"n"n olu1mas"yla bilgi sistemlerine zarar verecek
kusurlar" içeren zafiyetlere, zafiyetler sald"rganlar taraf"ndan kullan"ld"0"nda güvenlik
ihlallerine yol açarak bilgi sistemlerine zarar vermektedir.
• Deprem, sel, hortum, yang"n gibi do0al afet ile ilgili çevresel tehditler,
• 1 ile ilgili tehditler: finansal zay"fl"klar, iflas, pazar problemleri
• Log dosyalar"n"n yanl"1l"kla yada kasten de0i1tirilmesi
• Yedekleme medyalar"nda bozulma
• Gizli kanallardan bilgi s"zd"r"lmas"
• Kaza veya ar"zalardan olu1abilecek hasar
• Kablo hasarlar"
• Disipline edilmemi1 aksiyonlar veya tehditin farkedilemesi
• Hizmet kesintisi tehdidi
• Ekipman"n tahrip edilmesi tehdidi
• Gizli bilginin ortaya ç"kmas"
• ifreleme anahtar"n"n ele geçirilmesi
90
Kötücül yaz"l"mlara dayal" tehditler çok kullan"ld"0"ndanda ve her yeni gün bu tehdit türlerine
rastland"0"ndan dolay" bu konu biraz detayland"r"lm"1t"r.
Sald"rganlar"n, donan"m veya yaz"l"m aç"kl"klar"n" kendi ç"karlar" için kullanarak istedikleri
bilgiye eri1ebilmelerini sa0layan tehditlerdir. Sald"r"lar ç"kar amaçl" olarak yap"labildi0i gibi
kendi ünlerini duyurmak isteyen bireysel sald"rganlar veya önceden planlanm"1 belirlenen
hedefler do0rultusunda organize olmu1 çeteler veya ç"kar amaçl" örgütler taraf"ndan
93
7.3.1 Virüsler:
Virüsler üzerinde ilk ciddi çal"1malar" yapm"1 olan matematikçi Dr.Frederick Cohen virüsü
“ba1ka programlar"n içine kendisini kopyalayarak bula1an bir bilgisayar program"” olarak
tan"mlam"1t"r (Canbek ve Sa0"ro0lu, 2006). Virüsleri bilgisayar sistemlerine,ortamlar"na ve
bilgilere zarar vermek üzere gelistirilmi1 program kodlar" olarak da tan"mlayabiliriz. Bu
programlar bilgisayarlara do0rudan zarar verece0i gibi, kendi kodunun kopyas"n" ba1ka
program kodlar"na ekleyerek ço0al"rlar ve verilen zararlar" art"r"rlar. Virüsler hem kendilerini
kopyalayacak kodlar", hem de zarar verici i1lem yapacak kodlar" birlikte içerirler. Virüsleri
di0er programlardan ay"ran özellik, girdigi sistemlere kendilerini, kullan"c"n"n fark"nda
olmadan iste0i d"1"nda kopyalayarak sistemlere zarar vermesidir. Kullan"c" taraf"ndan
çal"st"r"lmadan veya kendisini programlayan ki1i taraf"ndan önceden belirlenmi1 durum
olu1madan aktif hale gelemezler. Baz" virüsler ise aktif hale geldikleri halde, belli bir süre
etkilerini göstermezler. Bula1ma a1amas"nda virüsler, kendilerini ba1ka dosyalara
kopyalayarak h"zla ço0al"rlar, yürütme (execution) a1amas"nda ise programland"klar" zararl"
faaliyeti gerçekle1tirirler. Virüsler, usbler, cdler, dvdler, disketler, a0 payla1"m", internet (e-
posta, dosya indirme,vb. En tercih edilen yöntemdir. Çünkü çok yayg"nd"r) yollar"yla
yay"l"rlar. Aktif olduklar"nda dosyalar" silebilirler, verileri de0i1tirebilirler, bilgisayar"
yava1latabilirler, müzik çalabilir, ekrana çesitli mesajlar ç"kartabilirler. Baz" virüsler zarar
verici i1lemler yapmasa da hata içerirler ve sistem
kaynaklar"n" gereksiz yere kullan"rlar. Genelde i1letim sistemine veya donan"ma ba0"ml"
olarak çal"1"rlar. Her geçen gün say"lar" ve verdikleri zararlar" artmakta olan virüslerin boot
sektörü, yürütülebilir, TSR, gizli, 1ifreli, polimorfik ve makro virüsleri olmak üzere çok
say"da çesidi bulunmaktad"r. Günümüzde bankac"l"k i1lemlerine odaklanan virüsler
co0unluktad"r.
94
tehlikesi, k"sa zamanda kendilerini büyük say"larda internet üzerinden çok kullan"lan
protokoller (HTTP, SMTP, vb.) arac"l"0"yla ço0altma becerileridir
Truva atlar" mitolojide bir arma0an gibi görünüp, asl"nda Troya kentini ele geçirecek Yunanl"
askerleri ta1"yan bir araçsa; bugünün Truva atlar" görünü1te yararl" olup istenmeyen, zarar
verici i1lemler yapacak kodlar" içinde bar"nd"ran programlard"r. Yayg"n truva atlar"na Back
Orifice, Netbus, Schoolbus gibi programlar örnek olarak verilebilir. Truva atlar" bir
bilgisayar"n kontrolünü uzaktan ele geçirerek ekran"n izlenmesini, dosyalar üzerinde
islemlerin yap"lmas"n", uzaktan komut çal"1t"r"lmas"n", klavye tuslar"n"n kontrol edilmesini
sa0larlar. Truva atlar" daha çok kullan"c"lar taraf"ndan ragbet gören oyunlar ve yaz"l"m
güncellemelerinde, msn gibi mesajla1ma programlar" vas"tas"yla yay"l"rlar. Truva atlar ;
insanlar"n me1ru bir kaynaktan geldi0ini düsündükleri bir program" açmaya ikna edilmesi
yoluyla genellikle e-postalar arac"l"0"yla yay"l"r. Truva atlar"na, ücretsiz (shareware,
freeware) veya lisanss"z (kaçak) olarak yüklenilen yaz"l"mlarda daha fazla rastland"0"ndan
güvenilmeyen kaynaklardan indirilen yaz"l"mlar bilgisayara yüklenmemelidir. Truva atlar"n"n
baz"lar" da bula1t"klar" sistemlerde t"pk" solucanlar gibi arka kap"lar açarak sistemlere uzaktan
eri1im yap"lmas"n" sa0larlar.
Tan"t"m, ki1isel bilgi toplama veya kullan"c" onay"n"n al"nmadan bilgisayar yap"land"rmas"n"
de0i1tirme, kullan"c" bilgisayar"n"n her türlü aktivitesini takip etme gibi çok farkl" islemleri
kullan"c"n"n bilgisi olmadan gerçeklestiren yaz"l"mlar için kullan"lmaktad"r (Canbek ve
Sa0"ro0lu, 2006). stenmeyen zamanlarda aç"lan reklâm pencereleri, taray"c"lar"n ilk açt"g"
sayfa (giris sayfan"z) veya arama ayarlar" istem d"1" de0i1misse, bilgisayar"n k"sa zamanda
95
Bilgisayar programlar"na veya bilgi sistemlerine gizli giri1 amac"yla kullan"lan gizli ba0lant"
noktalar"d"r. Arka kap"lar önceden belirlenen yöntemlerle güvenlik kontrollerinin as"larak
bilgi sistemlerine eri1ilmesine izin verirler. Sisteme arka kap"lar arac"l"0"yla eri1im
yap"ld"0"nda sistem kay"tlar"nda o eri1imle ilgili kay"tlar yer almamaktad"r. Belli bir kullan"c"
taraf"ndan çal"1t"r"l"nca veya belli giri1 de0erleri verilince tetiklenen kodlard"r. En çok
programc"lar taraf"ndan test i1lemlerini kolayla1t"rmak, hatalar" düzeltmek ve hata durumunda
eri1ime izin vermek için kullan"l"r. Örne0in programa giri1te doldurulmas" gereken belli
alanlar veya uzun bir kurulum a1amas" varsa test i1lemlerinde her seferinde ayn" i1lemleri
yapmamak için, hata olu1tugunda programa müdahale izni verilmesi için kullan"labilirler.
Ancak arka kap"lar, uygulamalarda b"rak"l"nca sald"rganlar taraf"ndan ke1fedildi0inde tehdit
haline gelerek yetkisiz eri1im yap"lmas"na izin verirler. Arka kap"lara i1letim sisteminin
müdahale etmesi zordur. Bunlar"n tehdit haline gelmemeleri için uygulama geli1tirilirken ve
güncellenirken güvenlik prosedürlerine uyulmal", uygulama kullan"ma aç"lmadan önce arka
kap"lardan ar"nd"r"lmal"d"r.
Daha önceden programlanan ko1ullar olustu0unda zarar verecek i1lemler yapan zararl"
programlard"r. Ko1ullar bir tarih (Ocak ay"n"n 22. günü), günün belli bir saati (23:00), belli bir
kullan"c"n"n sisteme giri1i, i1ten ç"kar"lan bir çal"san"n personel listesinden silinmesi gibi
durumlar olabilir. Mant"ksal bombalar sistem kaynaklar"na (bellek, sabit disk, CPU, vb.)
büyük zararlar verebilen tespit edilmesi zor programlard"r. Bu nedenle fark edildiklerinde
genelde sistem hasara u0ram"1t"r ve müdahale için art"k çok geçtir.
96
Günümüzde 2000- 2007 y"llar" aras"nda çok kullan"ld" ve bir çok kullan"c" olumsuz etkilendir.
Günümüzde halen kullan"lmaktad"r.
Kurumsal olarak;
• Kurumsal olarak zararl" kodlar ile mücade edilmesi için bir politika geli1tirilmelidir.
• Kurumun internet ba0lant" noklar" kontrol edilmeli gelen tüm internet ve a0 trafi0inde
zararl" kod taramas" yap"lmas" ve zararl" kodlar do0rudan bloklanmal"d"r.
• Kuruma ba0lanacak tüm cihazlar (Pc, USB disk, vb.) belli bir politika çerçevesinde
taramal" ve böylece ba0lant"ya izin verilmelidir.
Bireysel olarak;
Dos: DoS (Denial Of Service) yani rervislerin devre d"1" b"rak"mad"r. DoS sald"r"lar"ndan
korunmas" oldukça zordur ancak sald"rmas" kolayd"r. DoS için en basit 1ekilde kar1"
sistemde i1lemekte olan servisleri bloke etmek için yap"lan sald"r"d"r.
DdoS: DdoS (Distributed Denial Of Service)’un i1leyi1 tarz" DoS ile ayn"d"r tek fark"
birden fazla noktadan gerçekle1tirilmesidir. Birden fazla noktadan sald"rman"n en önemli
amac" güçlü bir sald"r" gerçekle1tirmek ve sald"r"y" düzenleyen ki1iyi
gizlemektir.Sald"rgan güvenli0i zay"f bilgisayarlara "zombi" ad" verilen bir çe1it uzaktan
eri1im arac" yükler ve sald"r"y" bu zombi bilgisayarlar sayesinde gerçekle1tirir.
Özellikle DDoS ataklar" servis sa0lay"c"lar"n"n korkulu rüyalar"ndan biridir. DDoS tipi
sald"r"lar özellikle büyük firmalar"n bu tür sald"r"lardan etkilenmesi DDoS ad"n" ön plana
ç"kard" Hatta 2008 y"l"nda Rus hackerlar taraf"ndan Estonya’ya bu sald"r"lar yap"larak
özellikle kamu hizmeti sunan bir çok kurum i1 yapamaz duruma gelmi1ti (Ramses, 2009).
Günümüzde ve yak"n gelecekte bir çok kurum i1 ve i1lemlerini web ortam"nda yürüttü0ü veya
yürütece0inden dolay" bu web uygulamalar"na dayal" tehditler de her gün ço0almaktad"r.
Dolay"s" ile bu bu konu da biraz detayland"r"lm"1t"r.
Web uygulamalar"nda yer alan kimlik do0rulama mekanizmas"n atlatmak veya istismar etmek
için kullan"labilecek zafiyetlerin olu1turdu0u tehditlerdir. Kimlik do0rulamas"nda “sahip
olunan bir nesne”, “bilinen bir bilgi” veya “sahip olunan bir özellik” kullan"lmaktad"r. Kimlik
do0rulama sald"r"lar", web sitesinin kullan"c", servis veya uygulama kimli0ini do0rulayan
sistemleri hedef alan tehditleri kapsar.
Yetkilendirme sald"r"lar", bir web uygulamas"n"n kullan"c", servis veya uygulaman"n istenen
bir i1lemi gerçekle1tirmesi için gereken izinleri belirlemek için kullan"lan yöntemleri hedef
almaktad"r. Yetkilendirme tehditlerini, oturum bilgisi tahmin etme, yetersiz yetkilendirme,
yetersiz oturum sonland"rma, oturum sabitleme olmak üzere kendi aras"nda dört grupta
s"n"fland"rmak mümkündür. Yetki veya oturum bilgisi tahmin etme, web uygulamas"n"n
kullan"c"s" rolüne girme veya söz konusu kullan"c"n"n oturumunun ele geçirilmesi yöntemidir.
Yetersiz yetkilendirme, web uygulamalar"n"n daha geni1 eri1im kontrol k"s"tlamalar" gereken
hassas bilgiye, yap"land"rma hatalar"ndan kaynaklanan zay"fl"klardan faydalan"larak eri1me
yöntemidir. Yetersiz oturum sonland"rma, web uygulamalar"n"n yetkilendirme için kullan"lan
eski oturum kimlik bilgisini tekrar kullanma imkan vermesinden kaynaklanmaktad"r. Oturum
sabitleme, daha önceden belirlenen bir oturum numaras"n"n çe1itli yöntemlerle kullan"c"lara
tahsis ettirilmesini sa0lamaktad"r.
Kullan"c" tarafl" tehditler, web sitesi ve kullan"c" aras"nda kurulan güvenin istismar edilmesi
üzerine odaklan"r. Yasal olan web siteleriyle, kullan"c"lar" aras"nda teknolojik ve psikolojik
bir güven kurulmaktad"r. Kullan"c", web uygulamalar"n"n geçerli içerik sunmas"n" beklerken
web uygulamas"ndan herhangi bir sald"r" gelmesini beklemez. çerik sahtecili0i (Content
Spoofing) ve siteler aras" kod çal"1t"rma (Cross Site Script-XSS) kurumsal bilgi güvenli0ini
etkileyen kullan"c" tarafl" tehditlerdir. çerik sahtecili0i, kullan"c"n"n ziyaret etti0i dinamik
içerikli web sitesinde harici olarak çal"1an web uygulamas"n"n ziyaret edilen web sitesinin
resmi içeri0i oldu0una inand"r"lmas"n sa0layan sald"r" yöntemidir. Bu yöntem kullan"c" ile
web sitesi aras"ndaki güveni istismar ederek giri1 formlar", tahrif edilmi1 içerik ve yanl"1
yay"n sürüm bilgileri içeren sahte web siteleri olu1turmak için kullan"lmaktad"r. Siteler aras"
99
kod yazma, kullan"c" ile web sitesi aras"ndaki güven ili1kisi istismar edilerek, web sitesinin
sald"rgan taraf"ndan belirlenen çal"1t"r"labilir kodu kullan"c"ya göndermesi ve bu kodun
kullan"c" web taray"c"s"nda yüklenerek çal"1mas"yla gerçekle1mektedir.
Bilgi aç"0a ç"karma, web uygulamalar"n"n kendisi veya çal"1t"0" platformlarla ilgili sisteme
özel (versiyon, çal"1t"0" platform, yama seviyesi, yedek veya geçici dosyalar"n yeri, vb.)
bilgilerin elde edilmesi için yap"lacak i1lemleri kapsamaktad"r. Ço0u durumda, web
uygulamalar" kendileri hakk"nda bir k"s"m bilgiyi gösterecektir. Ancak burada önemli olan
mümkün oldu0unca, uygulamalar hakk"nda gösterilen bilgilerin boyutu en aza
indirgenmektedir. Uygulamalar ve çal"1t"0" platformlar hakk"nda ne kadar çok bilgi toplan"rsa
sald"rganlar taraf"ndan zafiyetlerin belirlenmesi ve kullan"lmas" da o kadar kolay olur.
Web uygulamalar", güncel bilgiye kurum, kurulu1 veya bireylerin kolayca eri1ebilmesi için en
kolay ve en etkin yöntem olarak kar1"m"za ç"kmaktad"r. Web denilince akla ilk olarak
100
kurumlar"n vitrini ve itibar" haline gelmi1 kurumsal web siteleri gelmektedir. Web üzerinden
verilen hizmetler ço0ald"kça web’e yönelik tehditler ve sald"r"lar da art"1lar
gözlemlenmektedir. Bunun nedeni, web uygulamalar" güvenli0inin ilgisizlikten ve
bilgisizlikten kaynaklanan sebeplerden ötürü yeterince ciddiye al"nmamas" ve güvenli yaz"l"m
geli1tirme tekniklerinin bilinmemesi veya kullan"lmamas" olarak aç"klanabilir. Web sitelerinin
çal"1ma prensipleri güncel web tehditlerinin daha iyi anla1"labilmesi amac"yla k"saca a1a0"da
aç"klanm"1t"r.
Web uygulamalar"n"n üzerinde çal"1t"0" Web dinamik veya statik yap"da çal"1an içerikler
sunmaktad"rlar. Statik yap"da çal"1an web siteleri, kullan"c"dan gelen talepler üzerine ilgili
web sayfalar"n"n gösterilmesini sa0layan statik html kodlar"n içermektedirler. Statik web
siteleri günümüzde yerlerini art"k dinamik içerikli web sitelerine veya portallar"na
b"rakmaktad"r. Dinamik web siteleri, kullan"c" istekleri do0rultusunda çal"1an web
uygulamalar" içermektedir. Dinamik web siteleri üç katmanl" bir yap" içerisinde çal"1maktad"r.
1.Web siteleri için taleplerin ba1lad"0" Web taray"c"lar"d"r(Internet Explorer, Mozilla, Firefox,
Chrome vb.). Web taray"c"lar" üzerinden kullan"c"lar, web sunucusuna içerikle ilgili taleplerini
iletirler.
3. Web uygulamalar" taraf"ndan kullan"lan verilerin depoland"0" veri tabanlar"d"r (My SQL,
Oracle,MS SQL, Informix, DB2 Sybase,vb.).
Dinamik içerikli web sitelerinde, web taray"c"lar" taleplerini web uygulamalar"na ilettikten
sonra bu istekler do0rultusunda veritaban" sorgulamas" yap"l"r ve talep edilen isteklere ait
sonuçlar"n yer ald"0" sayfalar üretilerek, taray"c"lar üzerinde gösterilir. Dinamik içerikli web
sayfalar"n bu esnek çal"1ma yap"s" birçok güvenlik tehdidini ve ihlâllerini beraberinde
getirmektedir. Gartner Grup taraf"ndan yap"lan bir ara1t"rmada bu durum aç"kça ortaya
konmaktad"r. Günümüzde yap"lan sald"r"lar"n %70’i uygulama seviyesindeki ataklardan
kaynaklanmakta ve ticari içerikli web sitelerin %75’i ise korunmas"z durumdad"r [32]. Web
uygulamalar"nda olu1abilecek bir zafiyet, güvenlik önlemlerini (güvenlik duvar", sald"r" tespit
ve önleme sistemleri, vb.) devre d"1" b"rakarak güvenilir bölgede yer alan sistemleri üst
101
XSS sald"r"lar", web sitesinin sald"rgan taraf"ndan belirlenen çal"1t"r"labilir kodu normal bir
kullan"c"ya göndermesi ve bu kodun kullan"c" web taray"c"s"nda yüklenerek çal"1mas"yla
gerçekle1en bir sald"r" çe1itidir.
çerik sahtecili0i, kullan"c"ya bir web sitesindeki belirli içeri0in me1ru oldu0una ve bu içeri0in
harici bir kayna0a ait olmad"0"na inand"r"lmas"n" sa0layan bir sald"r" tekni0idir.
Uzaktan çal"1an komutlarla yap"lan sald"r"lard"r. Bütün web siteleri talepleri kar1"lamak için
kullan"c" girdilerinden faydalan"r. Ço0u zaman bu kullan"c" girdileri dinamik web sitesi içeri0i
haz"rlamada kullan"lan komutlar"n olu1turulmas"nda kullan"l"r. E0er bu i1lem güvenli bir
1ekilde yap"lmazsa, sald"rgan komut çal"1t"rma i1lemini de0i1tirebilir
Buffer overflow sald"r"lar", haf"zan"n baz" bölümlerinin üzerine yazarak uygulaman"n ak"1"n"
de0i1tiren sald"r"lard"r. Hata ile sonuçlanan genel bir yaz"l"m kusurudur. Bu hata durumu,
ayr"lan yerden daha çok veri haf"zada bir yere yaz"ld"0"nda olu1ur. Bellek ta1t"0"nda, kom1u
haf"za bölgelerinin üzerine yaz"larak hatalara veya çökmelere neden olunur. Bellek
ta1mas"n"n, haf"zay" bozmas" yaz"l"m"n çökmesi ile sonuçlan"r ve bu 1ekilde hizmet d"1"
sald"r"s" olarak kullan"labilir.
SQL enjeksiyonu, kullan"c" kaynakl" girdilerden SQL cümleleri olu1turan web sitelerini
sömürmek için kullan"lan bir sald"r" tekni0idir.
7.7.1 Veritaban.
Veri taban", en geni1 anlam"yla; birbiriyle ili1kili verilerin tekrara yer vermeden, çok amaçl"
kullan"m"na olanak sa0layacak 1ekilde depolanmas" olarak tan"mlanabilir.
102
Veri taban" veya Veritaban" düzenli bilgiler toplulu0udur. Kelimenin anlam" bilgisayar
ortam"nda saklanan düzenli verilerle s"n"rl" olmamakla birlikte, daha çok bu anlamda
kullan"lmaktad"r. Bilgisayar terminolojisinde, sistematik eri1im imkân" olan, yönetilebilir,
güncellenebilir , ta1"nabilir, birbirleri aras"nda tan"ml" ili1kiler bulunabilen bilgiler kümesidir.
Bir ba1ka tan"m" da, bir bilgisayarda sistematik 1ekilde saklanm"1, programlarca i1lenebilecek
veri y"0"n"d"r.
Verileri sistematik bir biçimde depolayan yaz"l"mlara verilen isimdir. Birçok yaz"l"m bilgi
depolayabilir ama aradaki fark, veri taban"n bu bilgiyi verimli ve h"zl" bir 1ekilde yönetip
de0i1tirebilmesidir. Veri taban", bilgi sisteminin kalbidir ve etkili kullanmakla de0er kazan"r.
Bilgiye gerekli oldu0u zaman ula1abilmek esast"r.
• MySQL
• Oracle
• MS-SQL
• Sybase
• DB2
• Informix
• Postgresql
• Filemaker
• Berkeley
• Firebird
• Ms access
Kurum ve kullan"c"lara hizmet veren, ürün sunan, sipari1 alan, sat"1 yapan, ba1vuru alan, kay"t
yapan, sorguya izin veren web uyglamalar" ve di0er özel kullan"c" arayüzü üzerinden hizmet
veren uygulamalar"n beslendi0i bir veritaban" günümüzde art"k neredeyse uygulamalar"n
arayüzlerinin tamam" web arayüzü üzerinden hizmet vermektedir. Genel olarak, web
sitelerindeki form arac"l"0" ile al"nan girdi ile veritaban"ndaki bilgiler filtrelendikten sonra
103
sonucu kullan"c"ya gönderme i1lemine veriban"na eri1im i1lemi olarak alg"lan"r. Bu genellikle
yap"sal sorgulama dili (Structured Query Language - SQL) yap"lmaktad"r. Uygulama
içerisinde kullan"lacak parametre de0erleri al"n"rken kullan"lan formun SQL deyimini yeniden
yap"land"rabilecek baz" özel karakterlere izin vermesiyle güvenlik problemleri ortaya
ç"kmaktad"r. Bu güvenlik problemleri günümüzde en güncel ve en çok suistimale aç"k
durumlard"r.
Veritaban" güvenli0ini, sistem güvenli0i ve veri güvenli0i 1eklinde iki kategoriye ay"rabiliriz.
Sistem güvenli?i, kullan"c" yaratma, de0i1tirme, silme vb. yetkileri tan"mlayan ve
veritaban"n"n sistem seviyesinde kullan"m"yla ilgili mekanizmalar" kontrol eder. Sistem
güvenli0i mekanizmalar" 1unlar" kontrol eder:
Örne0in, do0ru kullan"c" ad" ve 1ifreleri, kullan"c"ya ait 1ema nesneleri için ayr"lan yer
miktar", kullan"c" için ayr"lan kaynak miktarlar".
Bir kullan"c"n"n veritaban"na ba0lanabilmesi için veritaban"nda tutulmakta olan geçerli bir
kullan"c" ad" ve 1ifresi vermelidir. Kullan"c"n"n yapabilece0i i1lemlerin olu1turdu0u kümeye
kullan"c"n"n güvenlik alan" denir. Default (kurulumla beraber gelen) gelen kullan"c"lar"n
haklar" k"s"tlanmal" ve 1ifreleri de0i1tirilmelidir. Kullan"lmayan kullan"c"lar devre d"1"
b"rak"lmal"d"r.
104
Yetki, belli bir tipteki SQL cümlesini çal"1t"rabilme hakk"d"r. Örne0in, veritaban"na
ba0lanabilme, kendi 1emas" içinde tablo yaratabilme veya bir ba1kas"na ait olan tabloyu
sorgulayabilme. ki tür yetki vard"r. Bunlar sistem yetkileri ve 1ema yetkileridir. Sistem
yetkileri, sistem genelinde yap"lacak i1ler içindir ve genelde sadece sistem yöneticilerine
verilir. ema yetkileri, belirli bir 1emadaki belirli bir nesne üzerinde yap"labilecek i1ler için
verilir. Bu yetkiler direk olarak kullan"calara verilebildi0i gibi yetkiler kümesi olarak
tan"mlanabilecek olan roller arac"l"0"ylada verilebilir. Ancak yetkilerin roller üzerinde
verilmes güvenlik aç"s"ndan daha yararl"d"r.
7.7.4.3 Roller
Her kullan"c" yarat"l"rken bir varsay"lan birde geçici tablespace ile ili1kilendirilmelidir. Bir
nesne yarat"laca0" s"rada e0er tablespace ad" belirtilmezse kullan"c"n"n varsay"lan
tablespace’inde yarat"l"r. Bir SQL cümlesi çal"1t"r"l"rken geçici segmente ihtiyaç duyulursa bu
kullan"c"n"n ili1kilendirilmi1 oldu0u geçici tablespace içinde yarat"l"r. Kullan"c"lar"n
tablespaceler içinde kullanabilecekleri yer miktar" ise o kullan"c"ya o tablespace üzerinde
verilmi1 kotayla s"n"rl" olmal"d"r.
Veritaban" kaynaklar"n"n gereksiz yere harcanmamas" için her kullan"c"ya kaynak kullan"m
limitlerini belirleyen bir profil atanmal"d"r. Kaynaklar"n kullan"m" ve limitleri güvenlik
aç"s"ndan önemlidir. Profilin içerece0indeki kaynaklardan baz"lar" 1unlard"r:
Eri1ilen verinin içeri0ine göre denetleme yap"lmas"n" sa0lar. Denetleme s"ras"nda önceden
belirlenen durumlar tespit edildi0inde kullan"c"n"n bu durum için tan"mlad"0" veritaban"
prosedürlerinin ça0r"lmas" sa0lanabilir.
nternet üzerinden veri payla1"m" artt"kça veri güvenli0inin sa0lanmas" önemli bir olgu
D"1 sald"r"lara kar1" güvenlik duvar", sald"r" önleme sistemleri, antivirus ve antispyware gibi
çe1itli programlar, SSL (secure socket layer) benzeri 1ifreleme yöntemleri ve kullan"c"
haklar"n k"s"tlanmas" gibi yapt"r"mlar mevcuttur .Veri taban"ndan bilgi h"rs"zl"0"na kar1"
yap"labilecek haz"r yaz"l"m tarz"nda çok fazla ürün bulunmaktad"r. Tasar"mlar"na ba0l" olarak
güvenlik duvarlar" genelde iç bilgisayarlara her türlü hakk" verirken, SSL tarz"nda
uygulamalar verinin 1ifrelenmesi ve ba1ka ki1iler taraf"ndan okunmas"n" engellenmesi
amac"na yönelik oldu0undan veri tabanlar"na kar1" yap"lan sald"r"lara yapt"r"mlar" çok fazla
de0ildir.
106
Veri sorgulamas"na ve giri1ine izin verilen herhangi bir kullan"c" sistemin içinde kabul edilir.
Veritaban" uygulamalar"nda veritaban" genelde sunucu bilgisayar (server) üzerinde
bulunmakta ve istemci bilgisayarlardan (client) veri giri1i veya sorgulamas" yap"lmaktad"r.
nternete ortam"na hizmet veren sunucu tabanl" uygulamalardan ASP (Active Server Page) ve
PHP (Hypertext Preprocessor) en fazla bilinenleridir. ASP ve PHP tabanl" web programlar",
derlenmi1 kendi ba1"na çal"1abilen (executable binary) dosya yaratmadan web üzerinde
kullan"m sa0larlar (Clarke, 2009).
ASP ve PHP sunucu tabanl" uygulamalarla beraber çal"1an SQL (Structured Query Language)
veri tabanlar" veri giri1ini ve sorgulamas"n" kolayla1t"r"r. SQL veri tabanlar"na MySQL,
PostgreSQL,MS SQL ve Oracle örnek gösterilebilir. Microsoft Internet Explorer veya Firefox
gibi herhangi bir taray"c" (browser) arac"l"0"yla bu veri tabanlar"na veri girilebilir veya veri
tabanlar"ndan veri sorgulanabilir. Veri giri1inin ve sorgusunun h"zland"r"lmas" amac"yla
sunucu tabanl" bilgisayarlarda PHP ve ASP gibi kolay hayata geçirilen uygulamalar baz"
temel kurallara dikkat edilmezse veri taban"na kar1" sald"r"lara aç"k vermektedir.
Sunucu temelli SQL veri tabanlar" ile beraber kullan"lan PHP ve ASP uygulamalar"
programc"l"k hatalar"ndan (bug) ba1ka güvenlik sorunlar" olabilmektedir.
ASP ve PHP temelli uygulamalarda veri tabanlar"ndaki de0erli bilgilere izinsiz ula1maya
olanak veren tasar"m bo1luklar" bulunabilmektedir. Veri giri1i ve sorgulamas" için geli1tirilen
uygulaman"n bir an evel uygulamaya konulma iste0i güvenlik aç"klar"n" ortaya
ç"karabilmektedir.. Veri tabanlar"nda ihtiyaç duyulan güvenli0inin sa0lanmas", kullan"lacak
uygulaman"n tamamlanma süresini uzatmaktad"r. Tasar"m a1amas"nda uygulamada yap"lan
güvenlik aç"kl"klar", uygulaman"n kullan"lmas" s"ras"nda sorunlara yol açabilmektedir.
Veri tabanlar"ndaki aç"klar kredi kart" bilgileri gibi de0erli bilgilerin veya adli sicil gibi ki1isel
bilgilerin çal"nmas"na neden olmaktad"r.
Yukar"da bahsedilen aç"klardan yararlanarak SQL injeksiyonu ile araya girerek SQL
cümlecikleri ile verileri izinsiz bir 1ekilde alma riski en güncel konulardan birisidir
Listelenmi1tir [33].
107
k"sm"n" engelleyecektir.
2. Veri taban"na ba0land"ktan sonra SQL ifadelerine ba0l" herhangi bir hata mesaj"n"n (error
message) internet taray"c"s"na veya uygulamaya yönlendirilmemesi. Hata mesaj"n"n internet
taray"c"s"na yönlendirilmemesi veritaban"na s"zmak isteyen ki1ilerin hangi konumda
olduklar"n" ö0renmemelerini sa0layacakt"r.
3. ComboBox ve ListBox’lardaki veri taban" ismi ile sunucu veri taban" isminin ayn"
olmamas" ve veri giri1i yap"lan yer adlar" ile veri taban"ndaki de0i1ken (variable) isimlerinin
ayn" olmamas". nternet taray"c"lar"n"n tercihlerini bulunduran ComboBox ve ListbBox’lar
veritaban" ve de0i1kenlerle ayn" isime sahip olursa veritaban"na ula1"lmas" kolayla1acakt"r.
kullan"lmas". Veritaban"ndan bilgi istendi0inde veya bilgi gönderildi0inde bir yerine birkaç
veri taban" kullan"lmas" ve bunlar aras"nda do0ruluk kar1"la1t"r"lmas" yap"lmas" güvenli0i
artt"racakt"r.
5. Kullan"c" haklar"n"n çapraz veri tabanlar" için ayr" ayr" tan"mlanmas". Kullan"lacak birden
fazla veritaban" için her a1amada kullan"c" haklar"n"n ayr" ayr" tan"mlanmas" gerekmektedir.
E0er bu i1lem bir tek veritaban" üzerinden yürütülürse ve güvenli0in sa0land"0" veritaban"na
s"z"lacak olursa bütün veritaban"n"n güvenli0i tehlikeye dü1ecektir. E0er di0er
veritabanlar"nda da güvenlik tedbirleri olursa s"zma i1lemi gerçekle1tirilmeyecektir. Di0er
veritabanlar"nda güvenlik sa0layaca0"ndan bir veritaban"na s"zmak bilgi s"zd"rmak için yeterli
olmayacakt"r.
6. Veri giri1i yapan ki1inin okuma (read access), yazma (write access) hakk"n"n olmas"
de0i1tirme hakk"n"n süreli olmas".
7. Veri giri1i yapan ki1ilerin yanl"zca kendi girdikleri verileri okuyabilmesi. 6. ve 7. maddeler
temelde analizlere yönelik istatistksel veritabanlar" için geçerlidir. Daha önce girilmi1 ve
do0rulu0u kabul edilmi1 bilgilerin yanl"1l"kla silinmesini engelleyecektir. Hatal" giri1ler için
108
de0i1terme hakk" süreli oldu0undan daha sonra do0ru kabul edilen bilgi üst makamlarca
de0i1tirilebilecektir.
8. Veri giri1i hakk", okuma hakk", de0i1tirme hakk" yanl"zca bir yönetici (veya merkez)
taraf"ndan verilmesi ve hakklar"n verilece0i ki1ilerin önceden belirlenmesi. Bu yöneticinin
veri taban" güvenlik denetleme (auditing) i1ine dahil edilmemesi. Kullan"c"lar"n haklar" bir tek
merkezden verilmeli ve verilen okuma, yazma, de0i1tirme haklar" kay"t alt"na al"nmal"d"r.
9. Veri giri1inde veri girenlerin kulland"klar" SQL ifadelerinin (SQL statement) hepsinin ayr"
ayr" seyir dosyas"na (log file) yaz"lmas". Veri taban"yla yap"lacak her türlü i1lem sunucu
taraf"ndan kay"t edilmelidir. Bu sayede veritaban"nda meydana gelecek hata takip
edilebilecektir.
10. Taray"c"dan gelebilecek SQL komutlar" uzunluklar" yaz"l"m taraf"ndan kontrol edilmelidir.
Veritaban"na s"zmak isteyen birisi SQL komutunu de0i1tirecektir. nternet üzeriden gelen
SQL komut uzunluklar" kontrol mekanizmas" alt"na al"nacak olursa bir çok sald"rgan devre
d"1" kalacakt"r.
11. Güvenlik denetleyecilerin hatal" veri giri1lerini, veri giri1çisinin i1i bittikten sonra veriyi
kontrol etmesi. statistiksel veri tabanlar"nda güvenlik denetçileri girilen veriyi kontrol ederek
kullan"ma haz"r bir hale getirmeleri gerekmektedir.
12. Veri giri1çi kendisine ait veri giri1i parças"n" bitirdikten sonra veri güvenlik denetçisinin
yedekleme (backup) i1lemi yapmas". Say"sal ortama kaydedilen bilgileri güvenlik alt"nda
tutman"n en iyi yolu yedeklenmesi ve yede0in yedeklenmesidir.
13. statistiksel analiz için kullan"lacak veritaban"n"n, web uygulamalar"ndan elde edilecek ve
as"l olarak kullan"lacak veri veritaban"ndan izole edilmesi. As"l verinin veri taban"na yönetici
ve güvenlik denetçileri taraf"ndan düzenlenmesi.
14. As"l olarak kullan"lacak veri taban" üzerinde yönetici hariç hiç bir veri güvenlikçinin
yazma ve silme hakk"n"n olmamas", de0i1tirme hakk"n"n ise ayn" anda iki veya üç veri
güvenlikçinin 1ifresi girildikten sonra veya veri güvenlikçisi ve yönetici 1ifresiyle elde
edilebilmesi.
3.DB Audit v4.2.24.8, Database Denetleme Uzmanlar"n"n Oracle, Sybase, DB2, MySQL ve
Microsoft SQL Server database’leri için profesyonel bir denetleme çözümüdür. Bu araçla
database güvenlik ihtiyaçlar"n""z" çoklu denetleme metodlar"yla iyi bir yap"ya getirilebilir.
4.Sqlmap , SQLmap Python programlama dilinde geli1tirilmi1 bir otomatik SQL Injection
arac"d"r. Web uygulamalar"ndaki SQL Injection aç"klar"n" tespit edip yararlanmay"
hedeflemektedir. Hedef sistemde bir veya daha fazla SQL Injection tespit etti0inde, kullan"c"
arka-plandaki veritaban" sunucusu bilgisi alma, DBMS oturumu kullan"c" ve veritaban" alma,
kullan"c" listesi alma, 1ifre hash’lerini alma, imtiyazlar, veritabanlar" ve DBMS
tablo/kolonlar"n"n tamam"n"n listesini alabilme, kendi istedi0i SQL SELECT komutlar"n"
çal"1t"rabilme, dosya sistemindeki istedi0i dosyay" okuyabilme gibi çok çe1itli seçenekler
aras"ndan istedi0ini seçebilmektedir.
Di0er bir deyi1 ile teknik olmayan yöntemler ile bilgi elde etmektir.
Kurumsal bilgi güvenli0i tehditlerinin a0 ve sistemlerden web uygulamalar"na do0ru h"zl" bir
1ekilde kaymakta oldu0u görülmektedir. Dünyada oldu0u gibi ülkemizde en fazla güvenlik
aç"0"na web uygulamalar"nda rastlanmaktad"r. Kurumlar"n genelde s"n"r a0 güvenli0inin
sa0lanmas"yla ilgili çözümleri olarak fark"nda olduklar" güvenlik sistemleri güvenlik duvar",
sald"r" tespit sistemleri, sald"r" önleme sistemleri, anti-virüs programlard"r. Öte yandan son
2008 ‘den beri de veri kayb" önleme (Data Loss Prevention) sistemleri geli1mektedir. Ancak
web uygulama güvenli0i kavram"n"n dünyada oldu0u gibi ülkemizde de, uygulamay"
geli1tiren yaz"l"mc"lar"nda dahil oldu0u büyük bir ço0unluk taraf"ndan tam olarak
uygulanamad"0" görülmektedir.
Kurum veya kurulu1lar"n üst düzeyde bilgi güvenli0ini ve i1 süreklili0ini sa0lamalar" için
standartlar çerçevesinde teknik önlemlerin uygulanmas"n"n yan"nda teknik olmayan (insan
faktörü, prosedürel faktörler, vb.) önlemlerin ve denetimlerin al"nmas", tüm bu süreçlerin
devaml"l"0"n"n sa0lan"lmas" ve bilgi güvenli0i standartlar"na uygun olarak yönetilebilmesi
amac"yla yönetim taraf"ndan desteklenen insanlar", i1 süreçlerini ve bili1im teknolojilerini
kapsayan bilgi güvenli0i standartlar"na uygun olarak BGYS kurmalar" gerekmektedir.
2005- 2006 y"l"nda yayg"n olarak kullan"lan ve özellikle 2006 y"l"n"n son aylar"na damgas"n"
vuran sazan avlama (phishing) sald"rganlar taraf"ndan kullan"lan etkili bir sald"r" yöntemidir.
Ülkemizede özellikle bankalar"m"z bu phishing konusunda zaman zaman zor durumda
kald"r"lar. Bununla ilgili olarak banka mü1teri de zaman zaman bu sald"r"lar"n kurban" oldular.
111
zor durum Bu yöntem günümüzde de halen kullan"lmaktad"r . Sazan avlama çal"1ma grubu
(Anti-Phishing Working Group) taraf"ndan Temmuz 2006 tarihinde yay"nlanan ayl"k rapora
göre 14,191 web sitesi üzerinde kimlik h"rs"zl"0", soygun ve di0er kötücül amaçlar için
kullan"lan 23,670 tekil sazan avlama vakas" tespit edilmi1tir (Carver ve Ferguson,2007).
Bilgi güvenli0i alan"nda ya1anan güvenlik ihlallerinin giderek artan bir bölümü a0, ve
sistemlerden uygulamalara hatta veritabanlara do0ru kaymaktad"r. Kurum baz"nda veya birey
baz"nda güvenli ortamlarda i1 yapma ihtiyaç ve istekleri her geçen gün h"zla artmakta,
kullan"lan yaz"l"mlar"n güvenli0i bilgi güvenli0inin sa0lanmas"nda anahtar rol oynamaktad"r
[34]. Y"llar içerisinde a0 ve sistemlerin güvenli0inin sa0lanmas"na ili1kin geli1tirilen
yöntemler kurumlar taraf"ndan ba1ar"yla uygulanm"1 ve S"n"r A0 Güvenli0i (Perimeter
Network Security) kavram"n"n önemi ço0u kurum taraf"ndan anla1"lm"1 ve gerekleri yerine
getirilmi1tir. Ancak benzer durumu uygulama ve veritaban" güvenli0i için belirtmek henüz
zordur. Bilgi güvenli0inin sa0lanmas"nda uygulama ve veritaban" güvenli0i merkezi kritik bir
öneme sahiptir (Mcgraw, 2010).
Gartner, IDC ve Deloitte raporlar" incelendi0inde 2008 y"l"ndan itibaren geli1mi1 ülke ve
ekonomileri dahil tüm dünyay" etkileyen ve halen devam eden global krizle ile beraber kurum
ve kurulu1lar"n güvenlik teknolojilerine yeterli ölçüde yat"r"m yapmad"klar" görülmektedir.
Deloitte firmas"n"n Teknoloji, Medya ve Telekomünikasyon (TMT) 1irketlerini kapsayan bilgi
ve bili1im güvenli0i konusunda ilginç bulgulara eri1en Küresel Güvenlik 2010 Ara1t"rmas"'na
göre; son bir y"lda bu 1irketlerin %10’u bili1im güvenli0i bütçelerinde %10’dan fazla art"1a
giderken, %36’s"n"n güvenlik yat"r"m" ise bir önceki y"la oranla %10’un alt"nda kalm"1t"r [36].
Denetim ve dan"1manl"k 1irketi Ernst & Young´"n 11´incisini düzenledi0i "Küresel Bilgi
Güvenli0i Anketi" sonuçlar"na göre de ülkemizde de güvenlik yat"r"mlar"n"n yeterli
yap"lmad"0" görülmü1tür. Türkiye’nin de içinde bulundu0u 50 farkl" ülkede yap"lan ara1t"rma
sonuçlar"na göre, 1irketlerin bilgi teknolojileri ve güvenli0ine dönük yapt"0" yat"r"mlar artt"0"
halde hâlâ ihtiyac" kar1"lam"yor. Ayr"ca ankete kat"lan ço0u kat"l"mc" (yüzde 85), bilgi
güvenli0inde ya1anan sorunlar"n 1irket itibar"n" do0rudan etkiledi0i inanc"n" ta1"d"0"
görülmü1tür [37].
113
Güvenlik ihlallerinin olu1mas"na sebep olan birçok zafiyet vard"r. Kurumsal bilgi
güvenli0inin yüksek seviyede sa0lanmas"nda bu zafiyetlerin giderilmesi, güvenlik
bile1enlerinin güvenli biçimde kurulumu ve i1letimi kontrollerin etkin biçimde uygulan"p
uygulanmad"g"n" anlaman"n en iyi yolu bilgi sistemlerini denetim ve s"zma testleriyle
(Penetration Testing) test etmektir. S"zma testleri felaket ba1a gelmeden önce, onu önleyecek
ve ona kar1" savunulacak ihtiyaçlar"n ve tedbirlerin al"nmas"nda kullan"lan önemli bir erken
uyar" sistemidir. S"zma testlerinin ba1ar"l" olabilmesi için kurumlar"n güvenli0ine etki eden
faktörlerinin a0"rl"klar" dikkate al"narak kurumlara özgü farkl" senaryolar geli1tirilmesi
gereklidir. S"zma testleri için geli1tirilen senaryolar kurumlarda kullan"lan teknolojilere,
çal"1anlar"n bilgi düzeylerine, kurumsal bilgi güvenli0i seviyesine, bilgi güvenli0i
bile1enlerinin dozuna göre farkl"l"k gösterebilir. Yap"lan ara1t"rmalar sonucunda ülkemizde
s"zma testlerini yapan birçok firma bulunmaktad"r [38].
Ülkemizde bu testi yapan baz" firmlar ile s"zma testleri konusunda görü1meler yap"lm"1 ve
izledi0i yöntemler hakk"nda bilgiler edinilmeye çal"1"lm"1t"r. S"zma testlerini yapanlar"n
geçmi1 bilgilerini ve piyasadaki haz"r araçlar (Nmap, Nesssus,Hping, Unicornscan, Scanrand,
Xprobe, Snort, Qualys, Mcafee Foundstone, Nexpose, Eyee Retina, Inguma, W3af , vs)
kullanarak yapt"klar" tespit edilmi1tir. Tez kapsam"nda yap"lan s"zma testleri sonucunda
kurumlarda görülen en büyük güvenlik aç"0"n"n literatür ve güvenlik firmalar"n yapt"0"
ara1t"rmalarda vurguland"0" gibi web uygulamalar" ve arkas"ndaki veritaban" aç"klar"nadan
kaynakland"0" tespit edilmi1tir. Özellikle kullan"c"dan girdi al"narak dinamik içerik sa0lamak
amac"yla veritaban" deste0i sa0layan uygulama kodlar" (asp, jsp, php, cgi, vb.) web sitelerinin
en zay"f halkalar"n" olu1turmaktad"r. Ülkemizde kobi olarak tan"mlanan orta ve küçük
i1letmelerin sundu0u web uygulamalar"nda bu aç"klar"n büyük ölçekli firmalara göre daha
yüksek oldu0u tespit edilmi1tir.
114
Penetrasyon (S.zma) testi, Belirlenen bili1im sistemlerine mümkün olabilcek her yolun
denenerek s"z"lmas"d"r. Penetrasyon testinde amaç güvenlik aç"kl"0"n" bulmaktan öte bulunan
aç"kl"0" de0erlendirip sistemlere yetkili eri1imler elde etmektir.
Penetrasyon test çe<itleri, Whitebox, blackbox, graybox olmak üzere genel kabul görmü1 üç
çe1it test vard"r. Bunlardan blackbox genelde bilinen ve uygulanan penetrasyon test
yöntemidir. Bu yöntemde testleri gerçekle1tiren firmayla herhangi bir bilgi payla1"lmaz.
Firma ismi ve firman"n sahip oldu0u domainler üzerinden firmaya ait sistemler belirlenerek
çal"1ma yap"l"r. Di0er yöntemlerde ise penetrayon testi yapacak firmayla belirli bilgiler
payla1"l"r.
Kurumlar"na sahip oldu0u bili1im sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz
taraf"ndan kontrol edilmesi ve zaafiyetlerin raporlanmas" ile kurumda bir fark"ndal"k
olu1tururur ve kurum hemen önlem alabilir. Kurumsal bilgilerin ve sistemlerin artmas" ile bu
sistemleri yönetenlerin gözden kaç"rd"0" zaafiyetlerin tespit edilmesi için aç"s"ndan
penetrasyon testlerin yap"lmas" önem arzetmektedir. leti1im ortamlar"n geli1mesi ve
hackerlerin say"s", bilgisi ve becerisi artmas" ile bu önem daha da atrmaktad"r. Kurum
hackerlara yem olmadan kendi güvenli0i için beyaz 1apkal" hackerlara kendi sisteminin
önceden test ettirmesi yerinde bir önlem olacakt"r.
• Sonuçlar"n"n basit aç"kl"klar olarak de0il, bir risk haritas" kapsam"nda yönetime
sunulmas"
115
• Raporu detayl"ca inceleyip her bir aç"kl"0"n kimin ilgi alan"na girdi0inin belirlenmesi
yap"lmal",
Ülkemizde de bu test her gün önemli hale geliyor. Test yapan firmalar a1a0"daki
gibidir (Önal, 2009).
• Pro-G http://www.pro-g.com.tr/
• ADEO http://www.adeo.com.tr/
• BizNet http://www.biznet.com/
• GamaSec - http://www.gamasec.net/
Ticari penetrasyon test yaz.l.mlar.: Immunity Canvas, Core Impact, HP Webinspect, Saint
Ssecurity Scanner, Retina, OpenVAS, AppDetective, gibi.
116
Yeni Basel Sermaye Uzla<.s. (Basel II): Uluslararas" Ödemeler Bankas" taraf"ndan
yay"mlanan Basel II, uluslararas" para transferleri yapan bankalarda risk ölçümüne yönelik
yeni standartlar getirmektedir. Buna göre, minimum sermaye yedekleri düzeylerini belirlemek
için kredi ve pazar riskine ilk kez olarak operasyonel riskin hesaplanmas" gere0i de
eklenmi1tir.
ta1"nabilirli0ini sa0laman"n yan" s"ra hasta bilgilerinin güvenli0i ve gizlili0i için de bir dizi
1art getirmektedir.
Federal Bilgi Güvenli?i Yönetimi Yasas. (FISMA): Bu yeni yasa, her federal kurulu1un
bilgi sistemleri ve varl"klar"n"n güvenli0ini saglayacak bir program uygulamas" ve
belgelendirmesini gerektirir.
Bilgisayar, çevre birimleri, pos makinesi, cep telefonu, mobil cihaz gibi elektronik ortamlarda
teknolojinin kullan"lmas" ile i1lenilen suçlar bili1im suçlar" olarak tan"mlanmaktad"r. Bili1im
vas"tas"yla islenen suçlara, internet ve di0er bili1im sistemleri üzerinden de
gerçeklestirilebilen küfür, hakaret, doland"r"c"l"k gibi klasik suçlar"n yan"nda bili1ime özgü
suçlar olan verilerin tahrip edilmesi veya de0i1tirilmesi, sistemlere yetkisiz giri1ler, sistemin
isleyi1ini de0i1tirmek örnek olarak verilebilir.
2002 y"l"ndan itibaren Emniyet Genel Müdürlü0ü bünyesinde nternet ve Bili1im Suçlar" ube
Müdürlü0ün kurulmas" sonucu ta1ra te1kilat" olarak ube Müdürlü0ü içerisinde Bili1im
Suçlar" Büro Amirli0i ad" alt"na çal"1malar sürdürülmü1tür. Ülkemizde Bili1im Suçlar" ile
yap"lan mücadelede ya1anan yo0unluk, bili1im alan"nda hizmet veren birçok firma ve
kurumun genel merkezlerinin veya temsilciliklerinin stanbul’da bulunmas" nedeni ile Mali
Suçlarla Mücadele ube Müdürlü0ü bünyesinde faaliyet gösteren Bili1im Suçlar" Büro
119
stanbul Valili0inin 29/05/2007 tarihli onay" ile ilde Bili1im Suçlar" ve Sistemleri ube
Müdürlü0ü 03/09/2007 tarihinde Kaçakç"l"k ve Organize Suçlarla Mücadele Daire
Ba1kanl"0"na ba0l" olarak stanbul Emniyet Müdürlü0ü bünyesinde faaliyete geçirilmi1tir
[39].
Türk Ceza Kanununun bili1im suçlar" bölümünde suçlar 4 grubunda ele al"nm"1t"r.
1. Hukuka ayk"r" olarak bili1im sistemine girme ve sistemde kalma suçu (m.243)
2. Bili1im sisteminin i1leyi1ini engelleme, bozma, verileri yok etme veya de0i1tirme suçu
(m.244)
3. Bili1im sistemi arac"l"0"yla hukuka ayk"r" yarar sa0lama suçu (m. 244/4)
4. Banka veya kredi kartlar"n"n kötüye kullan"lmas" suçu (m.245)
Bu suçlar"n i1lenmesi durumunda; duruma göre 2 y"ldan 5 y"la kadar hapis ve adli para cezas"
da öngörülmektedir.
Bili1im Suçlar" alan"nda Ülkemiz ba1ta olmak üzere Dünya genelinde en s"k kar1"la1"lan suç
türleri a1a0"daki gibidir [40]:
Bili1im suçlar" ile ilgili olarak ma0dur olmadan yap"lanmas"nda yarar bulunanlar a1a0"da
s"ralanm"1t"r [41].
121
• irketinize veya 1ahs"n"za ait önemli bilgilerinizin yer ald"0" bilgisayar"n"z ile özel
güvenlik önlemleri almadan internete ba0lan"lmamal".
• nternet ortam"nda %100 güvenli0in hiçbir zaman sa0lanamayaca0"n" unutulmamal".
• Özellikle anl"k mesajla1ma (Chat) ortam"nda bilgisayar"n"za sald"r"labilece0ini; chat
de tan"1t"0"n"z ki1ilere 1ahs"n"z, aileniz, adres, telefon, i1iniz v.s. konularda 1ahsi
bilgilerinizi vermemeniz gerekti0ini unutulmamal".
• nternet ortam"nda tan"1t"0"n"z ki1ilere hesap ve kredi kart" bilgilerinizi verilmemeli.
• nternet üzerinden yap"lan yaz"1malar"n"zda kar1"n"zdaki kurumlarla özel bir yöntemle
yaz"1ma yap"lmas"n"n yararl" olabilmektedir.
• Yasad"1" siteler (web sayfalar") ile ilgili 1ikayetleri 155@iem.gov.tr adl" e-mail ihbar
adresine bildirilebilir.
• ah"1 veya kurumla ile ilgili 1ikayetçi olunan konular ile ilgili elde edebilece0i tüm
deliller ile birlikte Cumhuriyet Ba1savc"l"0"na müracaat ederek 1ikayetçi olunabilir.
• ikayetçi olunan konular ile ilgili olarak yap"lacak çal"1ma neticesinde ISP( nternet
Servis Sa0lay"c"n"n) yurt d"1"nda bulunmas" durumunda Adli Makamlar taraf"ndan
yap"lacak olan Adli stinabe ile konunun takibi yap"labilmektedir.
122
Bu bölümde, bilgi güvenli0i konusunda daha önceden al"nm"1 olunan dersler ve e0itimler,
bilgi güvenli0iyle ilgili uluslararas" alanda sahip olunan sertifikalar, bilgi güvenli0i
konusunda kat"l"m sa0lanan uluslararas" seminerler, bilgisayar a0lar" ve uygulamalar"
konusunda verilen dersler, 17 y"ll"k sektörel çal"1malardan elde edilen tecrübeler, tez
çal"1mas" esnas"nda incelenen çal"1malar ile elde edilen bilgi birikimi ve deneyimler ile
yap"lan pratik uygulamalara dayan"larak kurumsal bilgi güvenli0inin sa0lanmas"nda yap"lmas"
gerekenler, al"nmas" gereken önlemler, at"lmas" gereken ad"mlar, elde edilen deneyim ve
birikimler sonucu olu1an öneriler yaz"lacakt"r.
Ülkemizin üzerinde bulundu0u bölgenin jeopolitik aç"dan çok önemli olmas", bölgede süper
güç olma yolunda ilerleyebilme, tarih boyunca oldu0u gibi gelecekte de varl"0"m"z" istemeyen
birçok dü1man"m"z"n olmas" ve burada bahsedilmeyen birçok sebeplerden dolay" ulusal
bilgilerimizin güvenli0inin sa0lanmas" ülkemizin gelece0i aç"s"ndan çok önemlidir. Ulusal
bilgilerin güvenli0i, ülkemizde silahl" kuvvetler, sa0l"k, e0itim, hukuk, teknoloji ve di0er
birçok alanda hizmet veren kurum ve kurulu1lar"n bilgilerinin güvenli0inin sa0lanmas"na
ba0l"d"r. Bu kapsamda kurumsal bilgi güvenli0i sadece kurumlar"n kendisi için de0il ulusal
güvenli0imizin sa0lanmas" konusunda da ülkemiz için çok önem ta1"maktad"r.
Bilginin bir kurulu1un faaliyetleri ve devam" için büyük bir önem ta1"d"0" yukar"da
bahsedilmi1tir. Bu kapsam ile bilginin güvenli0ini sa0lamak ve yönetmek için ISO/IEC 27001
Standard" ve bu standard"n gereklilikleri, de0erli bilgi varl"klar"n"z" yönetmenize, koruman"za
ve özellikle de mü1terilerinize güven vermenize yard"mc" olaca0" yine yukar"da habsedilmi1ti.
• Her geçen gün e-toplum olma yolunda h"zla ilerleyen ve e-devletle1me çal"1malar"n"
sürdüren ülkemizde, maalesef bilgi güvenli0inin öneminin kamu veya özel sektör
taraf"ndan tam olarak kavranmad"0" veya yüksek seviyede bir fark"ndal"0"n
olu1mad"0" tez çal"1mas" sonucunda tespit edilen en önemli bulgulardan birisidir.
Ülkemizde bilgi güvenli0i konusunda yap"lan ara1t"rmalar incelendi0inde bilgi
güvenli0inin sa0lanmas"nda dünya standartlar"n"n alt"nda kald"0"m"z görülmektedir.
Bunun için ülkemizde bilgi güvenli0i konusunda daha çok ara1t"rma ve geli1tirme
çal"1malar"na ihtiyaç duyulmaktad"r.
• nternet ülkemizde de her geçen gün h"zla yayg"nla1makta, ticari ve günlük
ya1ant"m"zdaki varl"0"n" hissedilir oranda artt"rmaktad"r. nternetin do0as"nda var olan
güvensizlik unsuru, internet üzerindeki uygulamalar" tehdit eden en büyük unsurdur.
Yukar"da habsi geçen 2008 y"l"nda Rus hackerlar taraf"ndan Estonya’ya yap"lan
sald"r"lar"n özellikle kamu hizmeti sunan bir çok kurumun i1 yapamaz duruma
getirmesi, bilgi güvenli0ine yönelik tehditlerin nitelik ve boyut de0i1imine u0rad"0" bir
y"l olmu1tur. Geçmis y"llarda sald"r"lar, yayg"n ve hedef gözetmeksizin
yap"lmaktayken art"k nokta hedefi gözeten ve bölgesel olarak düzenlenebilen organize
sald"r"lar yap"lmaktad"r. Son y"llarda bilgi ve bilgisayar güvenli0ini zaafa u0ratmaya
hatta y"kmaya çal"1an, kurumlar ve hatta devletler üzerinde maddi manevi büyük
zararlara yol açan, ki1i, kurum ve kurulu1lar" tehdit ederek zararlara u0ramas"na yol
açan bilgi güvenli0i tehditlerinin engellenmesi için kurumsal bilgi güvenli0i
sa0lanmal"d"r.
• Kurumsal bilgi güvenli0ini tehdit eden sald"r"lar"n bilinmesi, bilgi güvenli0inin
sa0lanmas"na yönelik kurumsal stratejilerin geli1tirilmesinde önemli bir role sahiptir.
Bilgi sistemlerine yönelik olarak yap"lan sald"r"lar incelendi0inde; sald"r"lar"n çok
geni1 bir yelpazede yap"ld"0", otomatik teknikler kullan"larak sald"r"lar"n kolayca
yap"lmas"n"n sa0lanmas"nda önemli art"1lar"n görüldü0ü tespit edilmi1tir. Otomatik
124
sald"r" araçlar" sayesinde kurumsal bilgi güvenli0ini tehdit eden usta sald"rganlar"n
yan"nda bilinçsiz ve bilgi eksi0i olan birçok acemi sald"rgan türemi1tir. Virüs
yazarlar", eskiye göre çok daha geli1mi1 araçlarla çal"1maktad"r. Bu araçlar" kullanan
virüs yazarlar", yaz"l"m robotlar" ve rootkitler, sosyal mühendislik, casusluk ve reklâm
amaçl" yaz"l"mlardan yararlanarak karma1"k virüslerle bilgi sistemlerini üst düzeyde
tehdit etmektedirler.
• Özellikle son zamanlarda gittiçe art"1 gösteren ve ülkelerin tüm internet alt yap"lar"n"
tehdit eden DDoS (Distributed Denial Of Service) henüz bir çözüm bulunamam"1t"r.
DoS ve DdoS sald"r"lar"na kar1" özellikle ülkemizin kritik kurumlar"n"n a0lar" ve
hizmetleri kesintiye u0ramamas" için ülkemize yap"lan network trafi0i izlenmelidir.
• Kurumsal bilgi güvenli0inin sa0lanmas" amac"yla, sald"r" türlerinin takip edilmesi,
sald"rganlar"n kulland"0" yöntemlerin saptanmas", ülkemizde ve dünyada bu konuda
yap"lan ara1t"rmalar"n, raporlar"n ve çal"1malar ile tespit edilen aç"klar"n takip edilmesi
ve giderilmesi bilgi güvenli0i ihlalinin ya1anmamas" için gerekli önlemlerin
zaman"nda al"nmas", güvenlik ihlallerine an"nda müdahale edilerek sald"r"lar"n
zararlar"ndan en az 1ekilde etkilenme, felaket an"nda uygulanabilecek felaket ve i1
sürekliligi planlar"n"n uygulanmas" gibi stratejiler, kurumlar taraf"ndan
uygulanmal"d"r.
• Bili1im sektöründeki geli1melere ba0l" olarak ülkemizde ve dünyada hukuksal
sorunlarda gün geçtikçe artmaktad"r. Tez kapsam"nda yap"lan çal"1malar 2006-2007
y"llar"na kadar yap"lan sald"r"lar"n daha çok düzenleme amaçlar" geçmiste oldu0u gibi
1an, söhret, hava, ki1isel tatmin iken günümüzde ekonomik ve hatta stratejik amaçl"
sald"r"lar daha ön plana ç"kmaktad"r. Sald"rganlar taraf"ndan yaz"lan kötücül
yaz"l"mlar, art"k maddi ç"kar sa0lamak için kullan"ld"0" gibi günümüzde devletler
aras"nda ç"kan sorunlardan sonra hackerler organize olup sanal sava1lar
ba1latmaktad"r. Örne0in geçmis kötücül yaz"l"mlar incelendi0inde; dosyalar"n
silinmesi, i1letim sistemlerinin çökertilmesi, bilgisayar performans"n"n dü1ürülmesi,
kullan"c" iste0i d"1"nda e-posta gönderilmesi vb. gibi bireysel eylemler
gerçekle1tirilirken, günümüzde ise kullan"c" bilgisayarlar"na yerle1tirilen casus
programlar arac"l"0"yla, internet bankac"l"0" 1ifreleri, kredi kart" bilgileri vb. gibi
hassas bilgilerin ele geçirilmesi için organize eylemler yap"lmakta ve yasal olmayan
yollarla ekonomik ç"karlar elde edilmektedir. Kötücül yaz"l"m yazan sald"rganlar, i1in
125
yerine uygun bir maliyet-zaman analizi yaparak uygun kararlar al"nmas" ve yüksek
riski dü1ürmenin yüksek maliyet getirece0inin unutulmamas"d"r. Bir bilgi sisteminin
güvenli0inin sa0lanmas"nda riski s"f"rlamak için o k"ymetin de0erinden fazla güvenlik
için kaynak ay"rmak ak"lc" bir yakla1"m olmayacakt"r. Bu nedenle kurumlar"n riski
önlemek yerine, risk ile birlikte ya1amay" ö0renmeleri daha uygun bir çözümdür.
Bazen korunacak sistemin güvenlik ihtiyac" ile güvenlik sa0laman"n maliyeti
aras"ndaki ili1ki, güvenlik önlemlerinden vazgeçmeyi gerektirebilecektir. Basit
formülü ile sistemden elde edilecek fayda, sistemin maliyetlerinin alt"nda
kalmamal"d"r. Bununla birlikte, itibar, prestij ve sayg"nl"k gibi ticari ve psikolojik
parametreler yüksek maliyetlere ra0men kurumlar aç"s"ndan korunmak zorunda olan
de0erlerdir. Yüzde yüz güvenli0in sa0lanamayaca0" bilinciyle bilgi güvenli0i ihlalinin
ve riskin daima varolaca0" göz önünde bulundurularak yüksek seviyede bilgi
güvenli0inin sa0lanmas"n"n devaml"l"k gerektiren bir süreç oldu0u unutulmamal"d"r.
• Bilgilerin düzenli olarak maruz kald"0" bir tak"m tehditlerin tan"mlanmas"na,
yönetilmesine ve bunlar"n minimize edilmesine yard"mc" olan bilgi güvenli0i yönetim
sistemlerinin kurulmas" için gereklilikleri ortaya koyan ISO/IEC 27001:2005 standard"
bu tez kapsam"nda kapsaml" olarak incelenmi1 ve sonuç olarak farkl" sektörler için:
o GBK(Gizlilik, Bütünlük, Kullan"labilirlik veya Eri1ebilirlilik) risklerinin
yönetildi0ine emin olmak,
o GBK yönetimindeki hukuksal yapt"r"mlar"n ve önlemlerin yasalara
uygunlu0undan emin olmak,
o GBK altyap"s"n"n içerdi0i uygulamalar"n ve denetimlerin, kurumlar"n
amaçlad"0" güvenlik seviyesi ile uyu1tu0unu göstermek,
o GBK yönetim süreçlerini belirlemek ve aç"klamak,
o Yönetim taraf"ndan, bilgi güvenli0i yönetimi faaliyetlerinin belirlenmesi ve
gözlemlenmesini sa0lamak,
o ç ve d"1 tetkikçiler taraf"ndan, kurumun, bilgi güvenli0inin sa0lanmas"
konusunda beyan etti0i politikalara, prosedürlere ve standartlara uygunlu0unu
de0erlendirmek,
o Kurumlar"n i1 yapm"1 oldu0u di0er i1 ortaklar"na, bilgi güvenli0i politikalar",
prosedürleri ve standartlar" hakk"nda bilgi sa0lanmas", gibi hususlar" içermesi
gerekti0i tespit edilmistir.
128
• ncelenen tez konusunun güncel olmas" ve daha önce bu konuda yap"lan bir detayl"
çal"1malara rastlanmamas" nedeniyle, ço0unlukla internet üzerindeki kaynaklardan
yararlan"lmas" ve bu kaynaklarda sunulan bilgilerin do0rulu0undan emin olunmas"
için uzun ara1t"rmalar ve denemeler yap"lm"1t"r. nternet kaynaklar"ndan
faydalan"l"rken ilgili kayna0"n bilgi güvenli0inde dünyada ve ülkemizde söz sahibi
olan kurumlar"n, sivil toplum örgütlerinin ve e0itim kurumlar"n"n sitelerinden
olmas"na özen gösterilmesi nedeniyle uzun soluklu ara1t"rmalar"n yap"lmas",
131
Tez çal"1mas" s"ras"nda ilk günden son güne kadar birçok kazan"m elde edilmi1tir. Bu
kazan"mlardan önemlileri a1a0"da maddeler halinde aç"klanm"1t"r:
Bunlar:
• Tez çal"1mas" öncesinde bilgi güvenli0i standartlar"yla ilgili bilgi ve kavram karma1as"
çal"1ma sonucunda giderilerek bilgi güvenli0i yönetim standartlar"n"n kurumsal bilgi
güvenli0inin üst seviyede sa0lanabilmesi için gerekli oldu0u anla1"lm"1t"r.
• Tez çal"1mas" s"ras"nda bilgi güvenli0iyle ilgili akademik ve ticari alanda ülkemizde
söz sahibi olan uzmanlarla görü1meler yap"lm"1 ve bunun sonucunda kurumsal bilgi
güvenli0i yönetimi konusu gibi çok de0erli olan bir konu üzerinde ciddi bilgi
payla1"mlar" ya1anm"1t"r.
• Tez çal"1mas" tez yazar"n"n i1 yerindeki bak"1 aç"s"n" de0i1tirerek kuruma ve kariyerine
yarar sa0lam"1 ve kurumun bilgi güvenli0i yönetim sistemine yarar sa0lam"1t"r.
• Yüksek seviyede bir bilgi güvenli0inin sa0lanabilmesi için kurum ve kurulu1lar"n bilgi
güvenli0ine geni1 bir aç"dan bakmas" gerekti0i, güvenli0in bir tak"m çal"1mas" oldu0u
ve bu tak"mda en zay"f halka kadar güvenli0in sa0lanabilecegi dolay"s"yla güvenli0in
süreklilik arz etti0i daha iyi kavranm"1t"r.
10.3 Öneriler
Bu tez çal"1mas" sonucunda elde edilen bilgi ve deneyimlere göre ülkemiz bilgi güvenli0inin
yüksek seviyede sa0lanmas"na yard"mc" olacak baz" öneriler a1a0"da maddeler halinde
s"ralanm"1t"r.
• Bu tez çal"1mad"nda bir kez daha ortaya konuldugu gibi “yüksek seviyede bir GBK
sa0lanmas" için teknoloji, e0itim ve insan faktörlerine gerekti0i kadar önem
verilmelidir.
• Penetrasyon testleri ve denetimler y"lda enaz bir kez yap"lmal"d"r.
• Kurumlar"n ekipman ve yaz"l"m güncellemelerine ba0l" olarak bu denetimler ve
testler s"kla1t"r"lmal"d"r.
• Denetimler risk tabanl" yani riski yüksek olan daha detayl" ve s"k denetlenmeli
biçiminde yap"lmal"d"r.
• Güvenlik bilinci ilk ö0retimden ba1lamal" ve i1yerinde de güncelli0i korumayacak
1ekilde geli1tirilmedir.
• Ülkemizde penetrasyon testleri ücretsiz yapan devlet destekli merkezler olu1turulmal"
veya bu hizmet üniversiteler üzerinden olu1turulmal"d"r.
• nternet kullan"m"n"n h"zla yayg"nla1t"0" ülkemizde bilgi güvenli0i konusunda devlet
deste0inde üniversitelerimizde, halk e0itim merkezlerinde ve di0er e0itim
kurulu1lar"m"zda halk"m"z ücretsiz olarak bilgi güvenli0i konusunda bilinçlendirilmeli
ve e0itilmelidir.
• Bili1im güvenli0iyle ilgili yasalar"n olu1turulmas" için toplumun her kesminden geni1
bir kat"l"m"n sa0land"0" çal"1ma gruplar" olu1turulmal" ve yasalar bu ortak ak"l ile
ç"kar"lmal"d"r.
Sonuç olarak bu çal"1man"n ülkemizdeki tüm kamu ve özel kurumlar için bilgi güvenli0i,
kurumsal bilgi güvenli0i, bilgi güvenli0i yönetim sistemleri, s"zma testleri web uygulama
güvenli0i gibi önemli kavramlar"n kapsaml" olarak anlat"ld"0" bir kaynak olmas" nedeniyle, bu
alanda yap"lacak di0er çal"1malar ve kurumsal bilgi güvenli0inin sa0lanmas"n" önemseyen
kurulu1lar için rehber bir kaynak olarak kullan"labilecegi ümit edilmektedir.
Kurum veya kurulu1lar"n üst düzeyde bilgi güvenli0ini ve i1 süreklili0ini sa0lamalar" için
standartlar çerçevesinde teknik önlemlerin uygulanmas"n"n yan"nda teknik olmayan (insan
faktörü, prosedürel faktörler, vb.) önlemlerin ve denetimlerin al"nmas", tüm bu süreçlerin
devaml"l"0"n"n sa0lan"lmas" ve bilgi güvenli0i standartlar"na uygun olarak yönetilebilmesi
amac"yla yönetim taraf"ndan desteklenen insanlar", i1 süreçlerini ve bili1im teknolojilerini
kapsayan bilgi güvenli0i standartlar"na uygun olarak BGYS kurmalar" gerekmektedir.
133
KAYNAKLAR
Abrams, D. M. ve Joyce, V. M., (1995) “Trusted System Concepts”, Computers & Security,
14(1):45-56.
Argyris, C., (1993), Knowledge For Action: A Guide To Overcoming Barriers To
Organizational Change, Jossey-Bass, San Francisco.
Arnason, S. ve Willett K., (2008), How To Achieve 27001 Certification: An Example Of
Applied Compliance Management, Auerbach Publications, New York.
Artz, D., (2001), Digital Steganography: Hiding Data Within Data, Internet Computing
Publications, San Francisco.
Atasever, M., (2007), “Cmm" Süreç yile1tirme Yakla1"m"”, Yaz"l"mda Toplam Kalite
Çal"1mas" Konferans", Ankara.
Barman, S., (2001), Writing Information Security Policies, New Riders
Publishing,Indianapolis.
Beaver, K. ve Herold, R., (2005), The Practical Guide To H"paa Privacy And Security
Compliance, Auerbach Publications, Washington Dc.
Bell, D. ve Padula, L., (1975), “Secure Computer System: Unified Exposition And Multics
Interpretation”, The Mitre Corporation Technical Report :75-81, Bedford.
Bhatt, G. D., (2001), “Knowledge Management n Organizations: Examining The Interaction
Between Technologies, Techniques And People”, Journal Of Knowledge Management, 5
(1):71-76.
Boran, S., (2000), It Security Cookbook, Boran Consulting Press, Blonay.
Borman, J., (2009), Pmp Project Management Knowledge Areas & Processes. Art Media,
Boston.
BS., British Standard, (2005), Business Continuity Management : Part 2- The Specification,
BS Media, London.
Cache, J. ve Liu,V., (2007), Hacking Exposed Wireless: Wireless Security Secrets &
Solutions, Mcgraw-Hill Osborne Media, Chicago.
Calder, A. ve Watkins S., (2007), Information Security Risk Management For
Iso27001/17799, It Governance Press, London.
Calder, A., (2005), Nine Steps To Success: An Iso 27001 Implementation Overview, It
Governance Publishing, Cambridgeshire.
Calder, A., (2006), Implementing Information Security Based On Iso 27001 And Iso 17799:
A Management Guide, It Governance Publishing, Cambridgeshire.
Canbek, G. ve Sa0"ro0lu S., (2006) “Bilgi, Bilgi Güvenli0i Ve Süreçleri Üzerine Bir
nceleme”, Politeknik Dergisi, 9(3):69-72.
134
Johnson, B. ve Higgins, J., (2007), It"l And The Software Lifecycle: Practical Strategy And
Design Principles, Van Haren Publishing, Amersfoort.
Kabay, E.,(2007) “Social Engineering n Penetration Testing :Penetration Tests With A
Social-Engineering Angle”, Network World, 201:13-17.
Landoll, J.D., (2006), The Security Risk Assessment Handbook: A Complete Guide For
Performing Security Risk Assessments, Auerbach Publications, New York.
Lockhart A. , (2006), Network Security Hacks, O'reilly Media, Ca Sebastopol.
Malone,T., Menken, I. ve Blokdijk, G., (2009), It"l V3 Foundation Complete Certification Kit
- 2009 Edition: Study Guide Book And Online Course, Emereo Pty Ltd Publishing, Brisbane.
Mcgraw, G., (2010), “Software Security”, Security & Privacy Magazine Ieee, 2(2):80 – 81.
Mitnick, K. D., Simon, L. W. ve Wozniak, S., (2003) , The Art Of Deception: Controlling
The Human Element Of Security, Wiley Publishing, New York.
Munro, K., (2005). “Social Engineering”, Infosecurity Today, 2(3):44.
Nonaka, I. ve Takeuchi, H.,(1995), The Knowledge-Creating Company”, Oxford University
Press, New York.
Numano0lu, E., (2005), “Bs7799 Bilgi Güvenligi Yönetim Sistemi”, Önce Kalite Dergisi,
13(93):43-46.
Önal, H.,(2009),“10 Soruda Pentest(Penetrasyon Testleri)", Netsec Güvenlik Bülteni,VI:7-11.
Özinal, S., (2009), ”Ödeme Kartlar" Endüstrisi Veri Güvenli0i Standard"”, Bthaber Dergisi,
(702):12-15.
Pfleeger, P. C., (2006), Security n Computing, Fourth Edition, Prentice Hall, Westford.
Ramses, A., (2009), "New treat : DDoS", Rsa Information Security Conference 2009, 21-26
Nisan 2009, San Francisco.
Rattray, J. G., (2001), “The Cyber Threat”, The Terrorism Threat And U.S. Government
Response: Operational And Organizational Factors, Usaf Institute For National Security
Studies Us Air Force Academy Report, 85-92, Colorado.
Ruiu, D., (2006),“Learning From Information Security History”, Ieee Security & Privacy,
4(1):78-79.
Sa0"ro0lu, S. ve Tunçkanat, M., (2002), "Gizli Bilgilerin nternet Ortam"nda Güvenli Olarak
Aktar"m" çin Yeni Bir Yakla1"m” , Popüler Bilim Dergisi, 9(105), 12-17.
Sa0"ro0lu, S., Tunçkanat, M. ve Altuner, M., (2002),“Kriptolojide Yeni Bir Yakla1"m Resimli
Mesaj”, Telekomünikasyon Ekseni Dergisi, Telekomünikasyon Kurumu, 2(2):22-24.
Shahim, A., (2009), It Governance Attestation, Sdu Uitgevers Press, Den Haag.
Shinder, L. D. ve Tittel, E., (2002), Scene Of The Cybercrime: Computer Forensics
Handbook, Syngress Publishing Inc., Rockland.
136
Solms, B., (2006) “Information Security – The Fourth Wave”, Computers & Security,
25(3):166-167.
Sunay, S., (2003), “Bili1im Güvenli0i”, Pro-G Oracle Security White Paper, V.1, 31-33.
Tbd, (2005), E-Devlet Uygulamalar"nda Güvenlik Ve Güvenilirlik Yakla1"mlar" 4. Çal"sma
Grubu Sonuç Raporu, Türkiye Bili1im Derne0i.
Tbd., (2006), Bili1im Sistemleri Güvenli0i El Kitab" Sürüm 1.0, Türkiye Bili1im Derne0i
Yay"nlar", Ankara.
Tioia, The Institute Of Internal Auditors, (2006), Information Technology Controls, Iaa Gtag,
Florida.
Tipton, F. H. ve Krause, M, (2004), Information Security Management Handbook, Auerbach
Publications, New York.
Tse, (2006), Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenli0i Yönetim Sistemleri –
Gereksinimler, TSE, Ankara.
Vacca, J., (2006), Guide To Wireless Network Security, Springer, New York.
Wozniak S. ve Smith G. , (2006), Computer Geek To Cult Icon,Ww Norton And Company
Press, New York.
Yerlikaya, T., Bulu1, E. ve Bulu1, N., (2006), Kripto Algoritmalar"n"n Geli1imi Ve Önemi”,
Akademik Bili1im 2006, Pamukkale Üniversitesi Yay"nlar", Denizli.
Y"ld"r"m, B, (2010), "Bilgi Güvenli0i Stratejisi", ODTÜ IV. Uluslararas" Bilgi Güvenli0i ve
Kriptoloji Konferans", 6-8 May"s 2010, Ankara.
Zwicky, E. ve Cooper, S. ve Chapman B, (2000), Building Internet Firewalls, O'reilly Media,
Ca Sebastopol.
137
NTERNET KAYNAKLARI
[34.] “Gartner Magic Quadrant On Static Application Security Testing- Feb. 2009”,
Http://Www.Dragoslungu.Com/2009/02/15/Gartner-Magic-Quadrant-On-Static-
Application-Security-Testing-Feb-2009/, (05.11.2009).
[35.] “Cenzic Web Application Security Trends Report – Q3-Q4, 2009”,
Http://Www.Cenzic.Com/Downloads/Cenzic_Appsectrends_Q3-Q4-2008.Pdf,
(07.05.2010).
[36.] “2010 Tmt Global Security Study: Bounce Back”,
Http://Www.Deloitte.Com/View/Tr_Tr/Tr/Sektorler/Tmt/5ab7df0a273f8210vgnvc
m100000ba42f00arcrd.Htm, (16.06.2010).
[37.] “Internet: Ernst & Young´In “Küresel Bilgi Güvenli0i Anketi “,
Http://Www.Ey.Com/Publication/Vwluassets/Bilgi_Guvenligi_Anketi_Bb/$File/E
rnst%20&%20young%20bilgi%20g%C3%Bcvenli%C4%9fi%20anketi%202008%
20-%20b%C3%9clten.Pdf, (03.03.2010)
[38.] “10 Soruda Pentest”, Http://Blog.Lifeoverip.Net/2009/10/06/10-Soruda-
Pentestpenetrasyon-Testleri/, (10.07.2010).
[39.] “Bili1im Suçlar" ve Sistemleri ube Müdürlü0ü”, Http://Bilisimsuclari. em.Gov.Tr/,
(15.03.2010).
[40.] “Kaçakç"l"k Ve Organize Suçlarla Mücadele- Bili1im Suçlar" Ve Yükselen Trentler”,
Http://Www.Kom.Gov.Tr/Tr/Konudetay.Asp?Bkey=64&Kkey=172 ,
(25.05.2010).
[41.] “Ego Genel Müdürlü0ü- Ülkemizdeki Bili1im Suç Tipleri”,
Http://Web.Ego.Gov.Tr/ nc/Newsread.Asp?Id=247, (12.04.2010).
140
ÖZGEÇM