Gönderi

Kişisel Farkındalık: İnternet Neden Güvenli Değil?

Gönderim Güncelleme
Yazan Alp Ulkegul
4 dakikada okunabilir

if: canın isterse, sen okurken arkada çalsın !

Güvenlik, hem bireyler hem de kurumlar için hayati bir çaba.. Özellikle dijital dünyada her geçen gün daha karmaşık hale gelen tehditler, güvenlik politikalarının ve mekanizmalarının ne kadar kritik olduğunu gözler önüne serdi, seriyor, serecek. Pekala, ne kadar güçlü önlemler alınırsa alınsın, %100 güvenlik sağlanabilir mi? Teknoloji ne kadar ilerlerse ilerlesin, güvenlik konusunda her zaman bir açık kapı bırakılıyor. Aslında bu durumu anlamak için Güvenlik Politikasının gerçekte ne olduğunu bilmemiz gerekir. Peki, güvenlik politikası gerçekte nedir, nasıl işler? Güvenlik mekanizmaları nedir, nelerdir? Gerçekten de %100 güvenlik hayal mi?

Güvenlik Politikası herhangi bir eylemin uygunluk/uygunsuzluk çerçevesini çizen bir sözleşmedir diyebiliriz.

uygunlukdurumu

Bu çerçevede eğer uygunluk bulunuyor ve eylem gerçekleştiğinde her şey olağan durumunda ilerliyorsa eyleme izin verilir. Ancak olağanüstü durumlarda önlemler alınır ve eyleme izin verilmez.

Teori ve uygulamada güvenlik politikaları farklılık gösterebilir. Teoride bir güvenlik politikası çizileceği zaman uygun ve uygun olmayan tüm durumlar düşünülür. Bir güvenlik politikası eylemler veya durumlar hakkında kesin ve nettir. Fakat iş uygulama kısmına geldiğinde açıklar meydana gelebilir. Bu açıkları olabildiğince azaltmak ve sürekli bir ekleme yapmak gerektiği için güvenlik politikaları kesinlikle güvenlidir demek zordur.

Politika: Neye izin verilip verilmediğine ilişkin bir tasarı.

Bu tasarıyı oluşturduktan sonra güvenlik politikasını zorunlu tutmamız gerekir. Bu işi gerçekleştirmemiz için bir Güvenlik Mekanizması’na ihtiyaç duyarız.

Mekanizma: Bir güvenlik politikasını ‘’zorunluluk’’ ile uygulamak için ortaya konulan bir yöntemdir.

Güvenlik mekanizmalarını aşağıdaki gibi iki ana gruba ayırabiliriz.

TEKNİK GÜVENLİK MEKANİZMALARI

  • Şifreleme
  • Anahtar Yönetimi
  • Güvenlik Duvarı
  • Sanal Özel Ağlar (VPN)
  • Virüs Koruma
  • E-imza

TEKNİK OLMAYAN GÜVENLİK MEKANİZMALARI

  • İş tanımları (Her kişiye rol ve sorumluluk verme)
  • Süreç tanımları/talimatları (Kabul edilebilir kullanım çizelgeleri)
  • Fiziki Yöntemler (İmza almak gibi yöntemler)
  • Fiziki Koruma (Giriş kontrolleri, Kilitli ortamlar vs.)
  • Farkındalık

Teknik güvenlik mekanizmaları hakkında detaylı bilgi verebiliriz, fakat bu yazıda temel noktaları özetlemekle yetineceğiz ki konu dışına çıkmayalım. Teknik kısımlarda yeterlilik sağlanmış olsa bile, teknik olmayan güvenlik mekanizmaları genellikle göz ardı edilir. Oysa bu noktada farkındalık büyük bir rol oynar. Örneğin, sosyal mühendislik saldırıları bu bağlamda en tehlikeli yöntemlerden biridir. Bu saldırılarda, saldırganlar kurbanları kandırarak şifrelerini veya kritik bilgilerini paylaşmalarını sağlar. Teknik bir açık olmadan, sadece insan zaafları kullanılarak gerçekleştirilen bu saldırılar, farkındalık eksikliğinin ciddi sonuçlara yol açabileceğini gösterir. Bu nedenle, yalnızca teknik önlemler almak yeterli değildir. Çalışanların ve bireylerin bu tür tehditlere karşı bilinçli olmaları gerekir. Çalışanların bu tür durumlara karşı dikkatli olmaları için teknik olmasa da pratik olarak çeşitli eğitimler ve sınavlar düzenlenmelidir.

Bilişim suçlarından 5 sene hapis cezası alan ve zamanının en büyük hacker’ı, Amerikalı bilgisayar bilimci ve yazar Kevin Mitnick bu konu hakkında 2012 yılında bir tweet atmıştır;

Burada vurgulanmak istenen, insanın zaafiyetlerinin bir yaması olmadığı, bir bakıma sistemsel olarak her şey düzgün gitse bile genel olarak duygusal hatalar sonucu insanın kendisinin başlı başına bir zaafiyet olabileceğidir. İnsanların bu açığı, tüm güvenlik mekanizmalarının en büyük açığıdır. Kevin Mitnick Aldatma Sanatı isimli kitabında konuya daha derin bir yaklaşım yapmıştır.

Teknik ve teknik olmayan bu güvenlik mekanizmaları bir şirkete ve hatta bireye güvenlik politikası konusunda büyük yararlar sağlar. Öyle ya günümüzde kullandığımız cep telefonlarımızın, bilgisayarlarımızın ya da akıllı saatlerimizin güvenliğinden şahsi olarak bizler sorumluyuz. Oluşturduğumuz şifreler, kullandığımız yazılımlar ve bunun yanında bir kağıda imza atmadan önce aklımızla,  farkındalığımızla hepimiz içimizde bir güvenlik sistemine sahibiz.

Güvenli bir sistem, yetkilendirme ile başlar/başlaması gerekir. Güvenliğin başlıca unsurlarından biri sistemin yalnızca yetkili kullanıcıların erişimine açık olmasıdır. Buna en büyük örnek bilgisayarlarımızdır. Eğer bilgisayarlarımızı açtığımızda bizi bir oturum açma ekranı karşılamıyorsa, güvenli bir sistemden bahsedemeyiz. Aynı şekilde telefonlarımız, tabletlerimiz… Bunlar bildiğimiz şeylerdir fakat bu farkındalığa sahip olmayan insanların çoğu ‘Beni kim dolandıracak ki’ yanılgısına kapılıp telefonlarına şifre koymayı önemsemez. Genellikle dedelerimizin, büyüklerimizin telefonlarında şifre bulunmaz örneğin. Fakat güvenli bir sistemin altın anahtarı sistemin Yetkili Bir Durum ile başlamasıdır.

Güvenli bir sistem de Tanımsız/Bilinmeyen bir durum söz konusu olamaz. Bir sistemde soru işaretlerine yer verilirse o sistem güvenli bir sistem olmaktan çıkar. Bir sistem ya güvenlidir ya da değildir. Ortası yoktur. Ancak bunu olasılıklarla hesaplayabiliriz. %98 güvenli, %50 güvenli gibi değerlendiririz. İşte burada güvenlik politikasının teorisiyle, uygulaması arasında bir açıklık meydana gelir.

Bunlarla beraber teknoloji geliştikçe saldırı yöntemleri de aynı doğrultuda gelişmektedir. Evet, güvenlik konusunda her gün yeni yazılımlar yapılmaktadır fakat karşılığında yapılan güvenlik yazılımlarını sarsacak saldırı yöntemleri de geliştirilir. Bu nedenle birçok kez bilmediğimiz yazılımlar ve bilmediğimiz saldırı yöntemleriyle karşı karşıya kalırız. Bu durum, sürekli olarak güncel kalmayı ve güvenlik önlemlerimizi sürekli olarak yenilemeyi zorunlu kılar. Her zaman tanımsız/bilinmeyen durumların olacağı güvenliğin doğası gereği bilinen bir gerçektir. Dolayısıyla %100 güvenli bir durum mümkün değildir.

Sonuç olarak, güvenlik teknik anlamda üst düzey başarıya ulaştırılsa bile insan faktörü, güvenliğin en zayıf halkasıdır. Bu nedenle farkındalık her zaman ön planda olmalıdır. Teknolojik ilerlemeler ve yeni saldırı yöntemleri karşısında sürekli olarak güncel kalmak ve güvenlik önlemlerini yenilemek gerekmektedir. %100 güvenlik, teorik olarak ideal bir hedef olabilir, ancak gerçek dünyada %100 güvenlik sağlamak imkansızdır. Bu nedenle, güvenlik politikalarını hem iş dünyasında, hem bireysel olarak uygularken esnek ve dikkatli olmak, güvenliğin temel şartlarını oluşturur.

Güvenlik, bir süreçtir ve sürekli olarak gelişen tehditler karşısında uyum sağlamak, başarılı bir güvenlik stratejisinin anahtarıdır. Ancak %100 güvenlik ulaşılması imkansız bir hayaldir.

Sosyal Mühendislik, Kişisel Farkındalık
Kişisel Farkındalık İnternet Güvenliği
Bu gönderi CC BY 4.0 lisansı altındadır.