Öğretmenler Gününde Türkiye’de Okul İklimi Öğretmenleri Mutlu Ediyor mu?
24 Kasım 2015
Yurt Güvenliği Ancak Güvenli Bir Yurt İklimi İle Sağlanabilir
30 Kasım 2015

KRİTİK TESİSLERDE SİBER GÜVENLİK

Bilişim çağını yaşayan dünyamızda, bilgi teknolojilerinin ve sistemlerinin hızlı bir gelişim ve değişim göstermesi, bu alandaki bilgi dolaşımını ve paylaşımını artırdığı gibi, bireylerin ve kurumların yanında ülkelerin, askeri, ekonomik, teknolojik ve kritik altyapılarına karşı siber saldırıların artmasına da yol açtı. Bu saldırılara engel olabilecek veya karşı koyabilecek çalışmalara ve planlamalara duyulan ihtiyaç günümüzde büyük önem taşıyor.

Uluslararası savaşlar artık siber ortamda gerçekleşmekte ve bilgisayarlar etki altına alınarak ülke ve kişilere ait bilgiler bir tehdit unsuru olarak kullanılmaktadır.

Siber güvenlik, internetin üzerinde var olduğu fiziksel altyapıya karşı gelebilecek tehditlerden ibaretken sonraları zararlı kodlar ve virüslerin üretilmesi ve yaygınlaşmasıyla tehlikenin düzeyi de artmaya başlamıştır. Bu yüzden kamu kurumlarındaki veri tabanları ve gizli bilgilerden, enerji santrallerine, su dağıtım şebekelerinden, iletişim ağlarına ve ulaşım sistemlerine kadar birçok kamusal hizmet alanları tehlike altına girmiştir.

İnternet ortamında, olayların saniyeler içinde meydana geldiği düşünüldüğünde, etkin ve güçlü savunma sistemleri kurulmasının, farkındalık ve bilinç oluşturulmasının önemi ortaya çıkmaktadır.

Ülkemizin siber güvenlik performansının daha sağlıklı tespiti için, sadece meydana gelen olaylara ilişkin verilerin tutulmasının yanında sosyal ve ekonomik yönden de değerlendirme yapılması gerekmektedir.

Siber Güvenlik, 21. yüzyılda ulusal güvenliğin en yeni sorunu olarak, sınırları tanımlanamayacak kadar geniş ve bir o kadar da karmaşık bir alana dönüşmüştür. Siber Savaş, uluslararası ilişkilerde bilgisayar ve iletişim teknolojisini saldırı ve savunma amaçlı olarak kullanmaktadır.

Her geçen gün teknolojinin ve bu teknolojilere erişilebilirliğin artmasıyla insanların ekonomik, sosyal, ve kişisel bütün eylemleri siber ortamda bir arşiv haline dönüşmüş, kötü niyetli faaliyetler bu ortamdaki bilgilerin hırsızları olmuştur. Bu noktada güvenlik ihtiyacı ortaya çıkmıştır. Gerek kişilerin gerekse kurumların siber güvenliği, bilgilerin ve sırların korunması, alınacak önlemlerin erken uyarı sistemleri ve elektronik güvenlik ile entegrasyonunu zorunlu kılmaktadır.

Siber Güvenlik, bilgi güvenliğinden operasyon güvenliğine ve bilgisayar sistemlerinin güvenliğine kadar birçok farklı kavramı kapsar. Siber Güvenlik aynı zamanda farklı hedef kitleleri için farklı anlamlara gelir. Bireyler açısından bu kavram kendini güvenli hissetmek, kişisel verileri ve gizliliği korumak demektir. Kurumlar açısından siber güvenlik, işle ilgili kritik öneme sahip işlevlerin kullanılabilir olmasını, operasyon ve bilgi güvenliği sayesinde gizli verilerin korunmasını sağlamak demektir.

Devletler açısından ise vatandaşların, kurumların, kritik altyapının ve devlete ait bilgisayar sistemlerinin saldırılara ya da verilerin çalınmasına karşı korunması anlamına gelmektedir.

Bilgi toplumu olma yolunda çaba sarf eden Türkiye, gerekli altyapıyı kurarak ve önlemleri alarak siber uzayın güvenliğini, kritik altyapıların dayanaklılığını ve koruma sürekliliğini sağlamalıdır.

21.yüzyılın yaşadığımız ilk on yılı, “Siber Savaş” olgusunun ortaya çıktığı ve geleceğe yönelik risklerin evrimleştiği sıra dışı bir zaman olarak tarihe geçecektir. Bu evrim ve çevresini saran tehlikelere karşı ülkemizin siber güvenliğini sağlamak için etkin önlemler alması gerekmektedir.

Ülkemizde Siber Saldırı’lara karşı etkin bir koruma ağı oluşturabilecek nitelikte uzmanlaşmış elemanların olmaması büyük risk ve zafiyet yaratmaktadır. Bilgi ve iletişim sistemleri üzerinde gerçekleştirilen siber saldırıların hızla arttığı ülkemizde güçlü bir güvenlik stratejisinin ortaya konulması gerekmektedir.

Siber saldırılarla bir bilgisayar kullanıcısının banka hesap bilgileri elde edebileceği gibi bir ülkenin askeri ve politik sırlarına ulaşılması, finans merkezleri, enerji tesisleri, ulaştırma ve iletişim sistemleri ve hastanelerin çalışamaz hale getirilmesi de mümkündür.

Siber Savaş, BM Terimler Sözlüğünde bilgisayar sistemlerinin düşman sistemlerine zarar vermek veya yok etmek amacıyla kullanıldığı savaş tipi olarak tanımlanmaktadır. Bilişim teknolojilerinin oluşturduğu bir kavram olarak geleneksel savaşlardan farklı olsa da yine de yıkıcı ve ölümcül zararlar verebilmektedir. Elektronik iletişim ve internetin bir ülkenin iletişim sistemi, güç kaynakları, ulaşım sistemi ve benzeri sistemlerini bozması veya çökertmesi olarak da tanımlanmaktadır.

Bu iki tanımdan hareketle, Siber Savaş, “Devletler veya devlet benzeri aktörler tarafından gerçekleştirilen, kritik ulusal altyapıları, askeri sistemleri veya ülke için önemli endüstriyel yapıyı tehdit eden, simetrik veya asimetrik, saldırı veya savunma amaçlı dijital ağ faaliyetleri” olarak açıklanabilir.

Siber Güvenlik Neden İhtiyaçtır?

Kritik altyapıların bilişim ve bilgi sistemlerine bağımlılığı her geçen gün artmaktadır. Dolayısıyla bilişim ve bilgi sistemlerinin güvenliği sadece Bilgi ve İletişim Teknolojilerini değil hayatın her alanını ilgilendiren bir boyut ve öneme sahiptir.

Bilgi güvenliği, bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin güvence altına alınması demektir. Bilgi Güvenliği; bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda bilginin saklanması, göndericisinden alıcısına kadar gizlilik içerisinde (mahremiyeti korunarak), bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci olarak tanımlanmaktadır.

Teknik, ekonomik, siyasal ve sosyal etkileri açısından gerek bireysel, gerek kurumsal ve gerekse ülke boyutunda topyekün bir yaklaşım ve hassasiyet gerektiren bilgi güvenliği kavramı buna ilişkin bir kültür oluşturulmasını da gerekli kılmaktadır. Bilgi güvenliği kültürü olmayan toplumların güvende olması ve bilgi toplumu olması mümkün olmayacaktır.

Bilgi Güvenliği Kültürü, ülke güvenliği açısından da çok önemlidir, çünkü artık ülkeler arası savaşlar cephelerin yanında Siber Dünya’da da yapılmaya başlanmıştır.

Siber saldırılara karşı yasal bir çerçeve ve kamu bilinci oluşturularak bireylerin, şirketlerin ve kamu kurumlarının kullandıkları sistemlerin güvenliği sağlamlaştırılmalıdır.

“Yakın gelecekte çıkabilecek büyük bir savaşta ilk mermi internette atılacaktır”  Büyük devletler, çok uzak mesafelerden, hiç görünmeden milyonlarca hatta milyarlarca zarara uğrayabilmektedirler. Siber savaşların mükemmel silahları olan süper bilgisayar virüslerinin 2004 yılından bu yana aktif olduğu ve operasyonlar yaptığı söylenmektedir.

 Olası bir siber savaşta etkin savunma yapılabilmesi, siber güvenlik olgusunun iyi kavranması ve değerlendirilmesi ile mümkün olacaktır.

Ulusal ve uluslararası alanda faaliyet gösteren siber suç örgütleriyle, yasalar doğrultusunda mücadele etmek için teknoloji ve insan kaynaklarına sahip olmak gereklidir.

ULUSAL SİBER GÜVENLİĞİN SAĞLANMASINA STRATEJIK BAKIŞ

Siber Güvenlik, bilişim teknolojilerinin yaygınlaşması ve internet kullanımının artmasıyla beraber ulusal güvenlik stratejilerinde yer almaya başlamıştır. Bu kapsamda başta gelişmiş ülkeler olmak üzere pek çok ülke ve NATO, AB gibi uluslararası kuruluşlar siber güvenlik stratejileri üretmiştir. 19 ülkenin ulusal siber güvenlik stratejileri üzerinde yapılan inceleme sonucunda strateji belgelerinde şu ortak hedeflere değinildiği görülmektedir (Luiijf ve diğ.’den aktaran Klimburg, 2012: 56):

  • Güvenli, saldırılara karşı dayanıklı ve güvenilir bir siber alanın sağlanması.
  • Bilişim sistemleri vasıtasıyla ekonomik ve sosyal refahın, güvenli iş ortamı ve ekonomik büyümenin teşvik edilmesi.
  • Bilişim ve iletişim teknolojilerinin barındırdığı risklerin kontrol altında tutulması.
  • Bilişim altyapılarının dirençli hale getirilmesi.

Klimburg (2012), ulusal siber güvenlik stratejisi düşünülürken göz önünde bulundurulması gereken beş alan olduğunu belirtmektedir. Mevcut siber güvenlik stratejilerine bakıldığında bu alanların işlendiği görülmektedir.

Kritik altyapıların korunması öncelikli olarak ulusal çapta bir risk analizinin yapılarak, risk faktörlerinin düzenli olarak güncellenmesini gerektirmektedir. İkinci olarak kritik altyapılara yönelik standartlar geliştirilerek gerekirse kanunlar aracılığıyla özel ve kamuya ait kritik altyapıların bu standartlara kavuşturulması gerekmektedir.

Beşinci alan siber diplomasi ve internetin yönetimidir. Daha önce belirtildiği gibi uluslararası hukukta siber alana özgü bağlayıcı nitelikte bir metin bulunmamaktadır. Siber alan yeni şekillenmekte olduğundan, özellikle güçlü devletler bu yeni alana ilişkin kuralların kendi ulusal çıkarlarıyla paralel olması için sürekli girişimlerde bulunmaktadır.

Ülke olarak bilişim altyapılarına ve internete olan bağımlılığımız artmakta ve buna bağlı olarak siber alanda taşıdığımız risklerimiz de giderek büyümektedir. Siber tehdidi doğru ölçebilmek ve strateji geliştirebilmek için öncelikle gözlem, takip, analiz ve öngörü yeteneği olan birimlere ihtiyaç vardır.

Siber güvenliğin sadece internet güvenliğini değil tüm iletişim altyapılarını kapsayan geniş bir kavram olması nedeniyle sonraki adım olarak çok sektörlü bir yaklaşımla ulusal siber güvenlik politikasının belirlenmesi gerekmektedir. Ülkemizin ciddi bir siber saldırıya maruz kalmamasını, terör örgütlerinin bu potansiyellerinin olmadığı şeklinde değerlendirmek yanlış olacaktır. Bu yüzden pasif savunma alanında yapılanların yanında aktif savunmaya da yönelik tedbirler alınmalıdır. Siber güvenlik alanında tedbirler geliştirirken güvenlik-demokrasi, fayda-maliyet dengelerinin gözetilmesi gerektiği gözden kaçırılmamalıdır.

İnsan unsuru, güvenlikle alakalı pek çok alanda olduğu gibi siber güvenlikte de en önemli etken olarak karşımıza çıkmaktadır. Bir sistemde ne kadar güvenlik önlemi alınmış olursa olsun, dikkatsiz bir kullanıcının sebep olacağı açıklara yakalanma riski her zaman vardır.

Kurumsal olarak alınacak küçük önlemler, ulusal siber güvenliğe önemli katkılar yapabilecek niteliktedir. Bu önlemlerden birisi kamu ve özel kurumlarda başlatılan bilişim projelerine güvenlik ayağının eklenmesidir. Güvenliğin geri planda bırakıldığı bir sistemin sonradan güvenli hale getirilmesi daha zor olacak ve istenilen ölçüde de başarı sağlanamayacaktır.

Kurumların gerek normal kullanıcıları gerekse bilgi-işlem personeli için standart çalışma politikaları belirlemeleri ve bu standartların uygulanmasını denetlemeleri sistemlerin güvenliğine yönelik tehditlerin önemli bir kısmını ortadan kaldıracaktır.

En önemlisi de, özellikle kamuda ve kritik sektörlerde kullanılan donanım ve yazılımların test edilmiş ve güvenlik açıkları kapatılmış olmaları gerekmektedir. Sistemlerin temel öğesi olan donanım ve yazılımlarda olabilecek açıklar, alınacak önlemleri daha baştan işlevsiz hâle getirecektir.

Osman Öztürk
CSG City Security Group
Yönetim Kurulu Başkanı-CEO

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir