Sayi9kasimaralik
Sayi9kasimaralik
Sayi9kasimaralik
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Kasım-Aralık 2012 Yıl : 2 Sayı : 9<br />
değişikliğe uğramadan ve başkaları tarafından ele<br />
geçirilmeden bütünlüğünün sağlanması ve güvenli<br />
bir şekilde iletilmesi süreci olarak tanımlanabilir [11].<br />
Bireyin bulunduğu ve iletişiminin gerçekleştiği her<br />
ortamda bilgi mevcuttur. Bilginin yer aldığı ortamlar<br />
genel bir çerçevede dört grupta toplanabilir:<br />
• Fiziksel Ortamlar: Kâğıt, tahta, pano, faks, çöp,<br />
kâğıt kutuları, dolaplar, masalar vb. bilgiye “temas<br />
edilebilen” ortamlardır.<br />
• Elektronik ortamlar: Bilgisayarlar, notebooklar,<br />
mobil cihazlar, e-postalar, USB, CD, medya kartları<br />
vb. “manyetik” ortamlar.<br />
• Sosyal ortamlar: Telefon görüşmeleri, sohbetler,<br />
yemek araları, toplantılar, toplu taşıma araçları<br />
vb. bireylerin bilgiye “duyarak ya da görerek” ulaşabildikleri<br />
ortamlardır.<br />
• Tanıtım platformları: İnternet siteleri, broşürler,<br />
bültenler, reklamlar, sunular, eğitimler, görseller<br />
vb. ortamlardır [12].<br />
Bilgi, teknik ve toplumsal alanlarda iletişim için kullanılır<br />
ve bilimin dayanağı olarak kabul edilir. Bilginin<br />
özellikle elektronik makineler aracılığıyla, düzenli ve<br />
ussal biçimde işlenmesi bilimi “bilişim” olarak tanımlanır.<br />
Bilişim, bilgi olgusunu; bilginin saklanması,<br />
erişimi, işlenmesi, aktarılması ve kullanımı yöntem-<br />
ARAŞTIRMA<br />
İNCELEME<br />
lerini, toplum ve insanlık yararı gözeterek inceleyen<br />
uygulamalı bilim dalıdır.Disiplinler arası özellik taşır<br />
ve bilgisayar dâhil olmak üzere bilişim ve bilgi erişim<br />
dizgelerinde kullanılan türlü araçların tasarlanması,<br />
geliştirilmesi ve üretilmesiyle ilgili konuları kapsar<br />
[13].<br />
Bilgi teknolojileri açısından değerlendirildiğinde sayısal<br />
ve mantıksal her bir değerin bir veri olduğu,<br />
bilginin ise bu verinin işlenmiş, anlamlı hale gelmiş,<br />
açıkça tariflenmiş şekli olduğu kabul edilmektedir<br />
[12]. Bilgi teknolojileri; bilginin toplanması, işlenmesi,<br />
saklanması ve gerektiğinde herhangi bir yere<br />
iletilmesi ya da herhangi bir yerden bu bilgiye erişilmesini<br />
elektronik, optik, bilgisayar yongası gibi tekniklerle<br />
kendiliğinden sağlayan, bilgisayar, genel ağ,<br />
cep telefonları, banka kartları, akıllı kartlar, telefonla<br />
sesli yanıt sistemleri, sayısal yayınlar gibi teknolojiler<br />
bütünüdür [13].<br />
İnternet kullanımının giderek artması, birçokprosedürün<br />
dijital ortamda gerçekleşmesini sağlamış<br />
ve e-devlet, e-ticaret, e-bankacılık gibi kavramların<br />
oluşmasına neden olmuştur. Bu kavramlar, bireylerinbirçok<br />
işlemi masa başında yapabilmesi avantajını<br />
getirirken, yüksek derecede öneme sahip bilgilerin<br />
internet ortamına aktarılması riskini doğurmuştur.<br />
Bu bilgi akışının sınırlarının olmaması bilgi güvenliğini<br />
ciddi boyutta tehlikeye sokmuştur [3, 14].<br />
Bilgiyi Koruma Unsurları<br />
Bilgi güvenliğinin sağlanması oldukça zordur ve bilgi<br />
güvenliğinin en zayıf halkası tehdide doğrudan veya<br />
dolaylı olarak maruz kalan eğitimsiz ya da bilinç eksikliği<br />
olan bireylerdir. Daha önce de belirtildiği gibi,<br />
yeterince ileri teknoloji kullanılan sistemler dahi, bireysel<br />
tedbirler alınmadığında, istenen düzeyde güvenlik<br />
sağlayamamaktadır. ISO 27001 standardında<br />
bilginin korunması gereken temel unsurları; gizlilik,<br />
doğruluk, bütünlük, özgünlük ve erişilebilirliktir. Gizlilik,<br />
bilginin yetkisiz kişilerin eline geçmesinin engellenmesidir.<br />
Doğruluk, verinin yanlış değer içermemesi;<br />
bütünlük, bilginin kendine has özelliklerinin ve<br />
doğruluğunun korunmasını (verinin göndericiden çıktığı<br />
haliyle alıcıya ulaşmasını) ifade eder. Bu durumda<br />
veri, haberleşme sırasında izlediği yollar üzerinde<br />
değiştirilmemiş, araya yeni veriler eklenmemiş, belli<br />
bir kısmı ya da tamamı tekrar edilmemiş ve sırası<br />
değiştirilmemiş şekilde alıcısına ulaşır [15]. Erişilebilirlik<br />
unsuru ise; veriye erişim yetkisi bulunan kişilerce<br />
istenildiğinde ulaşılabilir ve kullanılabilir olma<br />
özelliğidir. Diğer bir ifade ile kişilerin erişim yetkileri<br />
dâhilinde olan verilere, veri tazeliğini yitirmeden,<br />
zamanında ve güvenilir bir şekilde ulaşabilmesidir<br />
[12].<br />
Görüldüğü üzere, bilginin korunma unsurları ağırlıklı<br />
olarak bireylere dayanmaktadır. Saldırganlar yetkileri<br />
olmayan verilere kullanıcı kaynaklı birçok yolla<br />
(Parola dosyalarının çalınması, sosyal mühendislik,<br />
bilgisayar başında çalışan bir kullanıcının ona fark<br />
ettirmeden özel bir bilgisini ele geçirme, parolasını<br />
girerken gözetleme gibi) erişebilmektedirler.<br />
Bilgi ve Bilişim Güvenliğine Yönelik<br />
Tehditler<br />
Bilgi ve bilişim güvenliğinin sağlanabilmesi için fiziksel<br />
güvenliğin, iletişim güvenliğinin, bilgisayar<br />
güvenliğinin, veri güvenliğinin ve bilişim güvenliği<br />
farkındalığının bir bütün olarak sağlanması gerekir.<br />
Bilişim güvenliğine yönelik tehditlerle ilgili bir sınıflandırma<br />
yapmak oldukça güçtür. Doğru kullanılmadığı<br />
takdirde her türlü teknoloji bir tehdit haline dönüşebilir.<br />
Mevcut ve güncel tehditler;<br />
Kullanıcı tabanlı tehditler; Siber ihlal yöntemleri,<br />
herhangi bir saldırgan yazılım veya güvenlik açıkları<br />
gibi teknik unsurlar kullanmadan,tamamen kullanıcıların<br />
dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf<br />
yönlerinin neden olduğu erişim teknikleridir. Bu tehditlerin<br />
başında yetkisiz erişim amacıyla şifre ve gizli<br />
soru tahmini gelmektedir. Birçok bilişim sistemi,<br />
kullanıcıların şifrelerini unutmaları durumunda kullanılmak<br />
üzere bir gizli soru ve yanıt ikilisinin tanımlanmasını<br />
istemektedir. Günümüzde sorulan anne kızlık<br />
soyadı, bunun en yaygın örneğidir [6]. Omuz sörfü,<br />
kullanıcıların bilişim sistemlerine erişim şifrelerini yazarken<br />
gözlenmesi, gizlice izlenmesi, ajanda, postit,<br />
not kâğıtları gibi şifre yazılabilecek materyallerin<br />
incelenmesi şeklinde uygulanan yöntemdir. Bunların<br />
dışında sosyal mühendislik kapsamında da sayılabilecek<br />
bir diğer tehdit olarak çöp kurcalama (Dumpster<br />
Diving) sayılabilmektedir. Bu teknik ile muhasebe kayıtları,<br />
fotokopi kâğıtları üzerinden iletişim bilgileri vb.<br />
bilgilere ulaşmak amaçlanmaktadır [16].<br />
Yazılım tabanlı tehditler; Kötü amaçlı olarak geliştirilen,<br />
çoğunlukla veri hırsızlığına yönelik tasarlanan,<br />
bilgi sistemine bulaştıktan sonra yazılımı geliştirene<br />
bilgi aktaran tehditlerdir. Bunlardan en yaygın olanı<br />
Virüslerdir. Virüs, bir programa eklenmiş küçük kod<br />
parçacığı olarak tanımlanabilir. Virüsler iletişim ağında<br />
kendilerini kopyalayarak ya da kendilerini başka<br />
programlara ekleyerek kolaylıkla yayılabilmektedirler<br />
[17]. Virüslerin çalışmaya kısa süreliğine ara verilmesine<br />
neden olan zararsız sayılabilecek etkileri olduğu<br />
gibi, sistemlerde ciddi yok edici etkileri de olabilmektedir.<br />
Diğer kötücül yazılımlardan en önemli farkları<br />
insan etkileşimine ihtiyaç duymalarıdır [18]. Kullanıcılar<br />
bir dosyanın açılması, bir e-postanın okunması,<br />
bir programın çalıştırılması ile farkında olmadan<br />
virüslerin yayılmasına neden olabilirler. Kurtçuklar<br />
(solucanlar), yapıları virüslere benzeyen, ancak<br />
yayılmak için insan etkileşimine ihtiyaç duymayan<br />
tehditlerdir. Solucanların aşırı çoğalmaları, ancak<br />
sistem aşırı kullanıldığında sistemin yavaş çalışması<br />
sonucu fark edilebilir [6,17,18]. Truva atları, genellikle<br />
gerekli bir program gibi görünen ama arka planda<br />
yok edici etkisi olan kötücül yazılımlardır. Virüsler<br />
veya solucanlar gibi çoğalarak yayılamamaktadırlar<br />
46 47