Sayi9kasimaralik

Recommendations

Info

Kasım-Aralık 2012 Yıl : 2 Sayı : 9 değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci olarak tanımlanabilir [11]. Bireyin bulunduğu ve iletişiminin gerçekleştiği her ortamda bilgi mevcuttur. Bilginin yer aldığı ortamlar genel bir çerçevede dört grupta toplanabilir: • Fiziksel Ortamlar: Kâğıt, tahta, pano, faks, çöp, kâğıt kutuları, dolaplar, masalar vb. bilgiye “temas edilebilen” ortamlardır. • Elektronik ortamlar: Bilgisayarlar, notebooklar, mobil cihazlar, e-postalar, USB, CD, medya kartları vb. “manyetik” ortamlar. • Sosyal ortamlar: Telefon görüşmeleri, sohbetler, yemek araları, toplantılar, toplu taşıma araçları vb. bireylerin bilgiye “duyarak ya da görerek” ulaşabildikleri ortamlardır. • Tanıtım platformları: İnternet siteleri, broşürler, bültenler, reklamlar, sunular, eğitimler, görseller vb. ortamlardır [12]. Bilgi, teknik ve toplumsal alanlarda iletişim için kullanılır ve bilimin dayanağı olarak kabul edilir. Bilginin özellikle elektronik makineler aracılığıyla, düzenli ve ussal biçimde işlenmesi bilimi “bilişim” olarak tanımlanır. Bilişim, bilgi olgusunu; bilginin saklanması, erişimi, işlenmesi, aktarılması ve kullanımı yöntem- ARAŞTIRMA İNCELEME lerini, toplum ve insanlık yararı gözeterek inceleyen uygulamalı bilim dalıdır.Disiplinler arası özellik taşır ve bilgisayar dâhil olmak üzere bilişim ve bilgi erişim dizgelerinde kullanılan türlü araçların tasarlanması, geliştirilmesi ve üretilmesiyle ilgili konuları kapsar [13]. Bilgi teknolojileri açısından değerlendirildiğinde sayısal ve mantıksal her bir değerin bir veri olduğu, bilginin ise bu verinin işlenmiş, anlamlı hale gelmiş, açıkça tariflenmiş şekli olduğu kabul edilmektedir [12]. Bilgi teknolojileri; bilginin toplanması, işlenmesi, saklanması ve gerektiğinde herhangi bir yere iletilmesi ya da herhangi bir yerden bu bilgiye erişilmesini elektronik, optik, bilgisayar yongası gibi tekniklerle kendiliğinden sağlayan, bilgisayar, genel ağ, cep telefonları, banka kartları, akıllı kartlar, telefonla sesli yanıt sistemleri, sayısal yayınlar gibi teknolojiler bütünüdür [13]. İnternet kullanımının giderek artması, birçokprosedürün dijital ortamda gerçekleşmesini sağlamış ve e-devlet, e-ticaret, e-bankacılık gibi kavramların oluşmasına neden olmuştur. Bu kavramlar, bireylerinbirçok işlemi masa başında yapabilmesi avantajını getirirken, yüksek derecede öneme sahip bilgilerin internet ortamına aktarılması riskini doğurmuştur. Bu bilgi akışının sınırlarının olmaması bilgi güvenliğini ciddi boyutta tehlikeye sokmuştur [3, 14]. Bilgiyi Koruma Unsurları Bilgi güvenliğinin sağlanması oldukça zordur ve bilgi güvenliğinin en zayıf halkası tehdide doğrudan veya dolaylı olarak maruz kalan eğitimsiz ya da bilinç eksikliği olan bireylerdir. Daha önce de belirtildiği gibi, yeterince ileri teknoloji kullanılan sistemler dahi, bireysel tedbirler alınmadığında, istenen düzeyde güvenlik sağlayamamaktadır. ISO 27001 standardında bilginin korunması gereken temel unsurları; gizlilik, doğruluk, bütünlük, özgünlük ve erişilebilirliktir. Gizlilik, bilginin yetkisiz kişilerin eline geçmesinin engellenmesidir. Doğruluk, verinin yanlış değer içermemesi; bütünlük, bilginin kendine has özelliklerinin ve doğruluğunun korunmasını (verinin göndericiden çıktığı haliyle alıcıya ulaşmasını) ifade eder. Bu durumda veri, haberleşme sırasında izlediği yollar üzerinde değiştirilmemiş, araya yeni veriler eklenmemiş, belli bir kısmı ya da tamamı tekrar edilmemiş ve sırası değiştirilmemiş şekilde alıcısına ulaşır [15]. Erişilebilirlik unsuru ise; veriye erişim yetkisi bulunan kişilerce istenildiğinde ulaşılabilir ve kullanılabilir olma özelliğidir. Diğer bir ifade ile kişilerin erişim yetkileri dâhilinde olan verilere, veri tazeliğini yitirmeden, zamanında ve güvenilir bir şekilde ulaşabilmesidir [12]. Görüldüğü üzere, bilginin korunma unsurları ağırlıklı olarak bireylere dayanmaktadır. Saldırganlar yetkileri olmayan verilere kullanıcı kaynaklı birçok yolla (Parola dosyalarının çalınması, sosyal mühendislik, bilgisayar başında çalışan bir kullanıcının ona fark ettirmeden özel bir bilgisini ele geçirme, parolasını girerken gözetleme gibi) erişebilmektedirler. Bilgi ve Bilişim Güvenliğine Yönelik Tehditler Bilgi ve bilişim güvenliğinin sağlanabilmesi için fiziksel güvenliğin, iletişim güvenliğinin, bilgisayar güvenliğinin, veri güvenliğinin ve bilişim güvenliği farkındalığının bir bütün olarak sağlanması gerekir. Bilişim güvenliğine yönelik tehditlerle ilgili bir sınıflandırma yapmak oldukça güçtür. Doğru kullanılmadığı takdirde her türlü teknoloji bir tehdit haline dönüşebilir. Mevcut ve güncel tehditler; Kullanıcı tabanlı tehditler; Siber ihlal yöntemleri, herhangi bir saldırgan yazılım veya güvenlik açıkları gibi teknik unsurlar kullanmadan,tamamen kullanıcıların dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf yönlerinin neden olduğu erişim teknikleridir. Bu tehditlerin başında yetkisiz erişim amacıyla şifre ve gizli soru tahmini gelmektedir. Birçok bilişim sistemi, kullanıcıların şifrelerini unutmaları durumunda kullanılmak üzere bir gizli soru ve yanıt ikilisinin tanımlanmasını istemektedir. Günümüzde sorulan anne kızlık soyadı, bunun en yaygın örneğidir [6]. Omuz sörfü, kullanıcıların bilişim sistemlerine erişim şifrelerini yazarken gözlenmesi, gizlice izlenmesi, ajanda, postit, not kâğıtları gibi şifre yazılabilecek materyallerin incelenmesi şeklinde uygulanan yöntemdir. Bunların dışında sosyal mühendislik kapsamında da sayılabilecek bir diğer tehdit olarak çöp kurcalama (Dumpster Diving) sayılabilmektedir. Bu teknik ile muhasebe kayıtları, fotokopi kâğıtları üzerinden iletişim bilgileri vb. bilgilere ulaşmak amaçlanmaktadır [16]. Yazılım tabanlı tehditler; Kötü amaçlı olarak geliştirilen, çoğunlukla veri hırsızlığına yönelik tasarlanan, bilgi sistemine bulaştıktan sonra yazılımı geliştirene bilgi aktaran tehditlerdir. Bunlardan en yaygın olanı Virüslerdir. Virüs, bir programa eklenmiş küçük kod parçacığı olarak tanımlanabilir. Virüsler iletişim ağında kendilerini kopyalayarak ya da kendilerini başka programlara ekleyerek kolaylıkla yayılabilmektedirler [17]. Virüslerin çalışmaya kısa süreliğine ara verilmesine neden olan zararsız sayılabilecek etkileri olduğu gibi, sistemlerde ciddi yok edici etkileri de olabilmektedir. Diğer kötücül yazılımlardan en önemli farkları insan etkileşimine ihtiyaç duymalarıdır [18]. Kullanıcılar bir dosyanın açılması, bir e-postanın okunması, bir programın çalıştırılması ile farkında olmadan virüslerin yayılmasına neden olabilirler. Kurtçuklar (solucanlar), yapıları virüslere benzeyen, ancak yayılmak için insan etkileşimine ihtiyaç duymayan tehditlerdir. Solucanların aşırı çoğalmaları, ancak sistem aşırı kullanıldığında sistemin yavaş çalışması sonucu fark edilebilir [6,17,18]. Truva atları, genellikle gerekli bir program gibi görünen ama arka planda yok edici etkisi olan kötücül yazılımlardır. Virüsler veya solucanlar gibi çoğalarak yayılamamaktadırlar 46 47
Kasım-Aralık 2012 Yıl : 2 Sayı : 9 [18]. Çoğu kez kullanıcının çeşitli hilelerle ikna edilmesi ve programın bizzat kullanıcının kendi isteği ile çalıştırılması yoluyla sisteme bulaşmaktadırlar. Servisi engelleyen saldırılar; DoS (Denial of Service) sistemdeki programlara virüsün bulaşmadığı saldırı türüdür. Ancak sisteme kapasitesinin üstünde yük bindirilerek sistemin kullanılmaz hale gelmesi hedeflenmektedir. Örneğin, 10 dakika içinde 100.000 e-posta gelmesi durumunda e-posta hizmeti veren sunucular işlevlerini göremez hale gelebilmekte ve sistem yaygın tabiriyle “çökebilmektedir” [17]. Casus yazılımlar; yerleştikleri sistemlerde kendilerini gizleyerek, trojanlar aracılığı ile arşivlenmiş dosyaları, klavye kaydediciler aracılığı ile klavyeden yapılan tuş vuruşlarını, ekran kaydediciler aracılığı ile fare ile işlem yapılan ekran görüntülerini kopyalayarak bu ARAŞTIRMA İNCELEME bilgileri yazılımı geliştiren kişiye gönderen kötücül yazılımlardır ve kişisel bilgi güvenliğini en çok tehdit eden saldırı türüdür. Arka kapılar; isebir bilgisayar üzerinde sıradan incelemelerle bulunamayacak şekilde, normal kimlik kanıtlama süreçlerini atlatmayı veya kurulan bu yapıdan haberdar olan kişiye kurulu olduğu sisteme uzaktan erişmeyi sağlayan yöntemlerdir [18].Arka kapılar üreticisinin belirlediği gizli bir geçişe olanak verdikleri için bağlantı onayı veya elektronik ileti benzeri uygulamalar için de geçerlidir [17]. Bunlar, yazılım tabanlı tehditlerin başında gelmektedir. Diğer yöntemler; tarayıcı soyma, telefon çeviriciler, sahte e-posta ve mesaj sağanaklarıdır. Tehditlere Yönelik Olası Tedbirler Bilişim güvenliğine yönelik tehditler için yazılımsal ve donanımsal olarak birçok koruma yöntemi mevcut olup, bunların birçoğu doğru ve geçerlidir. Ancak bir noktadan sonra ne yazık ki tüm önlemler geçerliliğini yitirmektedir. Yapılan araştırmalar en büyük tehdidin bireyin bizzat kendisi olduğunu göstermektedir. Bu noktada en zayıf halka bireydir. Ne yazık ki bilişim güvenliği yalnızca bireyi ilgilendiren bir konu değildir. Bilgi teknolojilerinin hızlı gelişimi birçok yeni hukuki ve sosyal kavramı da beraberinde getirmiştir. Mevcut hukuki düzenlemeler bu değişime aynı hızda yanıt verememektedir.Günümüzde bilişim hukuku ya da benzer adlarla gelişen özel alanlar sayesinde bu açık kapatılmaya çalışılmaktadır. Son yıllarda bankalar ve emniyet birimlerinden SMS, e-posta gibi yollarla gönderilen bilgilendirmeler,bilgi güvenliğimizi korumamız konusunda biz kullanıcılarıuyarmaktadır. Elbette ki bilişim ve/veya teknoloji suçlarındaki cezaların düzenlenmesi, bireylerin bilinçlendirilmesi, web sayfası üzerinden işlem yaptıran firmaların güvenlik tedbirleri konusunda hassas davranması,Türkiye’nin de içinde olduğu ve siber tehditlere çok açık konumdaki ülkelerde daha da önem kazanmaktadır.Bilişim güvenliği toplum için yeni bir olgudur. Bütün bunlar göz önünde bulundurulduğunda kişisel verilerin korunmasının ne kadar önemli bir konu olduğu açıkça görülmektedir. Öncelikle toplum bilgi güvenliği risklerine karşı bilinçlendirilmelidir. Ulusal bilgi güvenliği politikasının bireyden genele yayılması gerekmektedir. Son söz olarak;bireylerin ancak kendilerinin ya da yakınlarının başlarına geldiğinde dikkatlerini çeken bilgi güvenliği konusunda toplumsal farkındalığı arttırıcı eğitimler ve kampanyaların eksikliği hissedilmektedir. Ek olarak,halen yasa tasarısı olarak bekleyen “Kişisel Verilerin Korunması Kanunu” bir an önce yasalaştırılmalıdır. Mevcut hukuki düzenlemeler revize edilmeli, adli kadrolar konu hakkında eğitilmelidir. Bilişim Savcılığı ve Bilişim Mahkemeleri kurulmalıdır. Bilgi teknolojilerine dair güvenlik eğitimleri 7’den 70’e tüm topluma verilmeli, bilişim teknolojilerini kullanan tüm bireylerin konu hakkındaki farkındalığının artırılması ve hakları konusunda bilinçlendirilmeleribir devlet politikası olmalıdır. KAYNAKLAR LİSTESİ [1] http://www.broadbandcommission.org/Documents/bb-annualreport2012. pdf20, 28 Eylül 2012. [2] http://www.tuik.gov.tr/PreHaberBultenleri.do?id=10880, 28 Eylül 2012. [3] Sağsan, M. Bilgi teknolojileri güvenliği: Ulusal bilginin korunmasına pragmatik bir yaklaşım ve Türkiye perspektifi. Stratejik Analiz, vol.2,no.22,s74-81, 2002. [4] Mitnick D. Kevin, Aldatma Sanatı, ODTU Yayıncılık, Ankara, 2009. [5] Canbek, G. ve Sağıroğlu, Ş. Bilgi, Bilgi Güvenliği ve Süreçleri Üzerine Bir İnceleme. Politeknik, 9 (3), 165-174, 2006 [6] İlbaş Ç., Bilişim Suçlarının Sosyo-Kültürel Seviyelere Göre Algı Analizi, Başkent Üniversitesi, Fen Bilimleri Enstitüsü, 87s, 2009. [7] Şahinaslan E.,Kantürk A., vd. Kurumlarda Bilgi Güvenliği Farkındalığı, Önemi ve Oluşturma Yöntemleri, Akademik Bilişim’09 - XI. Akademik Bilişim Konferansı Bildirileri, Harran Üniversitesi, Şanlıurfa-Türkiye, s. 597-602, 2009. [8] Vural, Y., Bayındır, M. ve Tamer O. Anayurt Güvenliğinin Sağlanmasında Bilgi Sistemleri Güvenliğinin Önemi. Akademik Bilişim’09 - XI. Akademik Bilişim Konferansı Bildirileri, Harran Üniversitesi, Şanlıurfa-Türkiye, s. 607-612, 2009. [9] Ketizmen, M. ve Ülküderner, Ç. E-devlet uygulamalarında kişisel verilerin korunma(ma)sı. XII. “Türkiye’de İnternet” Konferansı, Ankara-Türkiye, s.189-194, 2007. [10] Aktan C. Coşkun, Vural Y. İstiklal, Bilgi Çağı Bilgi Yönetimi ve Bilgi Sistemleri, Çizgi Yayınevi, Konya, 2005. [11] Vural, Y., ve Sağıroğlu, Ş. Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, 23 (2), 507- 522, 2008 [12] Şahinaslan, E., Kandemir, R. ve Şahinaslan O. Bilgi Güvenliği Farkındalık Eğitim Örneği. Akademik Bilişim’09 - XI. Akademik Bilişim Konferansı Bildirileri, Harran Üniversitesi, Şanlıurfa-Türkiye, s. 189-194, 2009. [13] Köksal, A. Bilişim Terimleri Sözlüğü, Türk Dil Kurumu Yayınları, Ankara,1981. http://tdkterim.gov.tr/?kelime=bili%FEim&kategori=terim&hng=md, 10 Mayıs 2010. [14] Uzunay, Y. Dijital saldırılar, emniyet güçleri açısından önemi ve korunma yolları. Polis Bilimleri Dergisi, 5(2), s. 131-146, 2003. [15] http://www.pro-g.com.tr/whitepapers/bilisim-guvenligi-v1.pdf, 17 Temmuz 2010. [16] Burlu K., Bilişimin Karanlık Yüzü, Nirvana Yayıncılık, Ankara, 2010. [17] TBD, Bilişim Sistemleri Güvenliği El Kitabı, Kamu Bilişim Platformu Raporları. No.1, TBD Ankara, 54s, 2006. [18] Canbek, G. Ve Sağıroğlu, Ş. Kötücül ve casus yazılımlar. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, 22 (1), 121-136, 2007. 48 49
Page 3 and 4: Ahlaki gereklilik istatistik... pre
Page 5 and 6: Yıl: 2 Sayı:9 Kasım-Aralık 2012
Page 7 and 8: Kasım-Aralık 2012 Yıl : 2 Sayı
Page 25: Kasım-Aralık 2012 Yıl : 2 Sayı
Page 35 and 36: %9’u “”zorlama”, %25’i
Page 39 and 40: 72 Kasım-Aralık 2012 Yıl : 2 Say
Page 41 and 42: Kasım-Aralık 2012 Yıl: 2 Sayı:
Page 45 and 46: 5 Kasım-Aralık 2012 Yıl: 2 Sayı
Page 47 and 48: 22 23 Kasım-Aralık 2012 Yıl: 2 S
Page 51: 96 Kasım-Aralık 2012 Yıl: 2 Say

Sayi9kasimaralik

Create successful ePaper yourself

Delete template?

Save as template?