BĠLGĠ GÜVENLĠĞĠ

Geçtiğimiz yaz, bir geceyarısı ya da biraz daha geç, cep telefonuma bankadan bir kısa mesaj geldi “.... numaralı kartınız ile .... USD „lık alışveriş yapılmıştır, bu alışveriş size ait değilse 444 xxxx numarayı arayarak bildirimde bulununuz...”. Söz konusu kart, Ġtalya‟da yaşayan kızım için aldığım bir ek kart olup, kendisiyle birlikte Milano‟da olmasına rağmen, internetten birşeyler almış olabileceği ihtimaline karşı kendisini aradım –uyandırdım- ve birkaç aydır kartını hiç kullanmadığını öğrendim. Ġnternet bankacılığı sayesinde (!) kart hesabıma ulaşıp, kartımda ABD‟deki büyük bir mağaza zincirinden neredeyse aynı dakikada birkaç kez alışveriş yapıldığını görüp, telaşla verilen 444‟lü numarayı aradım. Görüştüğüm yetkili, benzer panik aramalarına alışkın olmalı ki, bir yandan bana bir sahtekarlık tespit edilmesi durumunda, bankanın benim zarar görmeme izin vermeyeceğinin güvencesini verirken, bir yandan da önündeki ekranda gördüklerine dayanarak, “kartınızdan alışveriş yapılmaya devam ediliyor” şeklinde sanki çok önemsiz bir bilgiyi ileterek, “kartınızı kapatayım mı?” diye sordu. Uykusuz geçirdiğim o gece, bütün kredi kartlarımı kapatmayı ve banka hesaplarıma internetten erişimi yasaklamayı defalarca düşünsem de, böyle bir yaşamın artık mümkün olamayacağını biliyordum.

Nitekim, ertesi sabah bankanın ilgili bölümüne alışverişleri reddeden bir dilekçe faksladım, ödeme tarihi geldiğinde o dolarları paşa paşa ödedim. Daha sonra, banka yaptığı inceleme sonucunda “kişisel bilgilerimin bir sahtekar tarafından kullanıldığının” anlaşıldığını bildirdi ve sahtekarın satın aldığı şeylerin bedelini bana ödedi. Parasal olarak zarar görmemiştim, ama yıllarca “Bilgi Sistemleri” dersi vermiş, bu konudaki yenilikleri övmüş, teknolojisini benim kadar tanımasa bile benden daha yetenekli kullanıcılar olan öğrencilerimi teşvik etmiş ve onlara geleceğin tek yaşam biçimi olarak bu sistemleri göstermiş bir kişi olarak şunu

düşünüyordum: “kişisel bilgilerimin (acaba ne kadarı?) bir sahtekar tarafından kullanılmasına karşı ben ve/veya bankam ne kadar ve nereye kadar önlem alabilirdik? ABD‟dan canının çektiğini alıp bunu da benim bankama ödetebileceğini bilen birini, bunu yapmaktan alıkoymak mümkün mü?”

Bilgisayarlar her gün biraz daha güçlü, biraz daha küçük ve biraz daha ucuz olmaya devam ettikçe, insanların yaygın kullanımını kolaylaştıracak özellikler kazandıkça onlarsız bir yaşam düşünmek mümkün olmuyor. Sadece eğlence ve oyun değil, sosyal yaşam ve iş dünyası da bilgisayarsız işleyemez hale geldi, öyle ki devletler bile vatandaşlarına verdikleri hizmetleri

sanal ortamlara taşıdılar. Artık elektrik kesildiği zaman değil, internet kesildiği zaman yaşam kesintiye uğruyor. Bir takım ileri görüşlü anne-babaların çocuk büyüyünce mühendis olsun diye eve bilgisayar alma çabasına girdikleri dönem yerini, evlatların anne-babalarının –hatta nine ve dedelerinin- evlerine bilgisayar aldığı, skype ve e-mail gibi araçları kullanmayı öğrettiği ve artiritli parmaklara mouse kullanma talimi yaptırdıkları bir döneme bıraktı. Bizler bu kadar bilgisayar bağımlısı olduk da kötü niyetli insanların eğilimleri farklı mı? Onlar da faaliyetlerini bilgisayar ortamına taşıdılar ve internet sayesinde dünyanın her yerine ulaşabilir oldular. Üstelik bu kişilerin, kurum ya da şahıslara verdikleri zararları farketmek, suçu tespit etmek, hasarı ölçümleyebilmek çok güç. Çoğunlukla geride hiçbir iz bırakmadan saldırılarını gerçekleştirdikleri gibi, pek çoğu teknoloji konusunda araştırmacılardan daha fazla bilgiye sahipler.

“Bilgisayar Suçları” şeklinde sınıflandırılan suçlar, yalnızca bilgisayarın araç olarak kullanıldığı suçları değil, aynı zamanda bilgisayarın hedef seçildiği –sabotaj gibi- hatta bilgisayarın kurbanı etkilemek için sembol olarak kullanıldığı –yatırım ve piramit gibi- vakaları da içermektedir. Ayrıca yapılan araştırmalar göstermiştir ki, bu suçlular her zaman kurum dışından değildirler, hatta kimileri kötü niyetli bile değildirler. Bir kurum çalışanının masum ama dikkatsiz bir davranışı, tüm kurumu tehlikeye atabilir; bu türden olayların en sık rastlanılanı kolay tahmin edilebilir şifreler, şifrelerin yeterince gizlenmemesi –benim sıkça tanık olduğum şifrenin bir post-it üzerine yazılıp ekranın kenarına yapıştırılması-, personele tahsis edilen bilgisayarın tüm diskinin paylaşıma açılması gibi, kasıt içermeyen ama çok büyük açıklardır.

Internet bugün evlerimize girmiş olsa da, olası bir savaş durumunda ilave bir iletişim aracı olarak kullanmak ve bilimsel çalışmalarda birbirinden farklı coğrafyadaki araştırmacıların ortak çalışmasına ve bilgi paylaşımına destek olmak amacıyla tasarlanmış bir araçtır ve güvenlik öncelikli bir kaygı kaynağı olmamıştır; dijital altyapının mimarisinin itici güçleri, güvenlikten ziyade “birlikte çalışabilirlik (interoperability)” ve “verimlilik” olmuştur. Daha sonra beklenenin çok üstünde ve hızlı yaygınlaşması sahtecilik sorunlarını da birlikte getirmiştir, ancak tek bir sahibi olmayan bu yapıda gerekli tedbirleri almak ve bunların tüm ağda

uygulanmasını sağlamak mümkün olmamaktadır. Bu durumda, her kurum ve kullanıcı kendi tedbirlerini almak ve koruma kalkanları akasında üslenmek zorundadır.

Sanal dünyada sahtekarlık yapanların, gerçek dünyada sahtekarlık yapanlarla

karşılaştırıldığında pek çok avantajları vardır. Herşeyden önce hiçbir masrafa girmeden, çok kısa bir süre içinde çok sayıda kişiye erişme imkanları vardır, üstelik bunu fiziksel olarak hiç ortaya çıkmadan, kendilerine dair hiçbir bilgi vermeden ve hele yeterli teknik bilgiye

sahiplerse hiçbir iz bırakmadan yapabilirler. Bir iz bulunsa bile olayın takibi ve

sonuçlandırılması kolay olmamaktadır, çünkü sahteci kendinden çok uzakta kurbanlar seçmekte, işin içine farklı ülkeler, farklı etik değerler, farklı yasalar girmektedir ve farklı yetki guruplarının işbirliğini gerektirmektedir. Kurbanların çoğu zaman dolandırıldıklarını net olarak teşhis edememeleri, ettikleri durumda bile şikayette bulunmak konusunda hevesli olmamaları da kötü niyetli kişilerin işini kolaylaştırmaktadır.

“Siber uzay” tanımlaması William Gibson tarafından 1984 yılında yayınlanan Neuromancer 1 romanıyla teknik terimler arasındaki yerini almıştır. Gibson romanında, hükümetlerin ve büyük kuruluşların verilerini ele geçirmek için savaşan “bilgisayar kovboyları”nın

maceralarını anlatırken, okuyucuya –daha sonra çevrilen filmin seyircisine – modern çağda bilginin paradan daha değerli olduğunu anlatmaktadır. Gelişen teknoloji ve bu teknolojinin sunduğu olanaklar sayesinde tüm bilginin sanal ortamda dijital olarak saklandığı, hatta

1 _{Kitap, Türkçe'de 1998 yılında Neuromancer adıyla yayınlanmıştır. 1999 yılında romanı konu alan Matrix}

paranın bile artık nakit bir ödeme aracı olmaktan çok, dijital olarak el değiştiren bir araç olduğu düşünülürse, “Siber Güvenlik” kavramının ciddiyeti anlaşılabilir.

ABD Başkanı Barack Obama 29 Mayıs, 2009 tarihli konuşmasında2 _{“Amerika‟nın 21.} yüzyıldaki refahı siber güvenliğe bağlıdır, çünkü siber tehditler ulusumuzun ekonomik ve ulusal güvenliği konusundaki en büyük tehlikeyi oluşturmaktadır.” şeklinde dile getirdiği bilgi güvenliği konusunu incelemek ve çözümler üretmek üzere Ulusal Güvenlik Heyeti içerisinde, Siber Güvenlik Ofisi‟ni kurmuşur.

Başkanın bu uyarısı ve açılımının arkasında yatan, ABD Federal Hükümetinin hazırladığı “Siber Güvenlik Politikası Analizi” belgesinde, siber uzayın heryere ve herkese

erişebilirliğinin, yenilik ve küresel zenginleşme için uygun bir platform sunduğunu ancak başıboş ve regüle edilmemiş bu altyapıda bu denli geniş erişimin ulusları, özel kuruluşları ve birey haklarını ciddi şekilde tehdit ettiğini öne sürmektedir. Amerikan ulusal ağının, gelişen ve artan sayıda siber tehditlere karşı kendini koruma becerisine sahip olmadığını, hali hazırda yaşanan saldırılarda yüzmilyonlarca dolarlık zarara uğratıldığını, fikri mülkiyetlerinin, askeri sırların çalındığını ve kritik altyapı tesislerinin tehdit altında olduğunu belirtmektedir. Federal hükümetin bu tehditleri ortadan kaldırabilecek bir organizasyona sahip olmadığının, tek başına çözümün mümkün olmaması nedeniyle devletin özel sektörle ve konunun ciddiyeti idrak etmiş diğer devletlerle işbirliğinin şart olduğunun altı çizilmektedir.

Adı, biraz da teknolojik gelişmelerin izinden ilerleyerek “Bilgisayar Suçu”, “Bilgisayarla Ġlgili Suç”, “Bilgisayar Ġhlalleri”, “Yüksek Teknoloji Suçu”, “Ġnternet Suçu”, “Sanal Suç”, “Siber Suç” ve son dönemde ülkemizde benimsenen haliyle “Bilişim Teknolojileriyle Ġşlenen Suç” olarak değişik şekillerde kullanılsa da, dünyada bu konudaki tek düzenleme olan Avrupa Konseyi Siber Suç Sözleşmesi‟nde3 _{“Siber Suç” adını benimsemiştir. Suçun tanımı konusunda da bir} fiil” tanımı kabul edilirken, Avrupa Topluluğu uzmanlar komisyonu 1983 Mayıs Paris‟te “henüz fikir birliği sağlanmış değildir, Birleşmiş Milletlerin 2000 yılında Brüksel‟deki

kongresinde “bilgisayarların güvenliğine ve işlevlerine zarar verme amaçlı herhangi Bilgileri otomatik işleme tabi tutan veya verilerin nakline yarayan bir sistemde kanuna, ahlaka aykırı olarak veya yetki dışı gerçekleştirilen her türlü davranış” tanımında karar kılmıştır.

“Siber Suçlu” diye adlandırılan bu siber uzayın yaramaz çocukları – sevimli göstermeye çalışmıyorum, çoğu genç ve bu işi bir oyun gibi görüyor –en çok güçlerini ve teknik

becerilerini kanıtlama, kendilerini dışladıklarını düşündükleri kişi ya da kurumlardan intikam alma, aç gözlülük, şehvet, macera gibi geleneksel gençlik dürtüleriyle hareket ediyorlar. Sistemlerde açıklar, zayıflıklar bularak atak yapan korsanların bir bölümünün hedefi yarattıkları kaos, şaşkınlık ve korku gibi tepkilerden keyif almaktan öteye gitmiyor. Ama bu demek değildir ki, adi suçlular, organize suç örgütleri ve terör örgütleri de bu ortamdan yararlanarak hedeflerine ağır zararlar vermek amaçlı girişimlerde bulunmuyorlar.

Siber suçlar deyince akla en çok kredi kartı bilgilerinin çalınması, e-mail ile virüs göndermek, resmi kuruluşların web sitelerini ele geçirme, sohbet odalarında gençleri kandırarak

2_{http://www.whitehouse.gov/administration/eop/nsc/cybersecurity}

3_{Avrupa Konseyi, Siber Suç Konvansiyonu ve Yabancı Düşmanlığı ve Irkçılık Protokolü, Siber Suç}

Konvansiyon Komitesi (T-CY) ve Siber Suç konusundaki Teknik İşbirliği Programı vasıtasıyla, dünya çapında toplumların Siber Suç Tehditlerine karşı korunmalarına yardım eder.

Konvansiyon ve onun Açıklayıcı Raporu, Avrupa i KonseyBakanlar Kurulu’nun 8 Kasım 2001 tarihli 109 uncu oturumunda benimsenmiş ve 23 Kasım 2001 tarihinde Siber Suç konulu uluslararası konferanta Budapeşte’de imzaya açılmıştır.

buluşmaya ikna etme ve taciz/cinayet gibi basında daha fazla haber olarak yer alan suçlar aklımıza geliyor. Ancak bir bakış açısına göre suç gibi görülmese bile, internette izinsiz film, müzik, oyun ve benzeri her türlü ürün ve eseri yayınlamak; bilimsel çalışmaların fikri mülkiyet haklarını ihlal ederek bu eserleri kullanmak; hakaret ve iftira amaçlı siteler kurmak; bilhassa çocukları nesne ya da hedef olarak kullanan pornografi ve sapkın fikirler yayınlamak da siber suçlar kategorisine girmektedir.

Siber suçlarla mücadele konusunda dünyada kurulan ilk örgüt, 1988 yılında Carnegie Mellon Üniversitesi Yazılım Mühendisliği Enstitüsü‟nde kurulan CERT 4 _{Koordinasyon Merkezi‟dir. O} tarihte, Morris solucanına5 _{karşı –ilerki sayılarda bu konuya daha ayrıntılı değineceğim- bir} reaksiyon olarak küçük çaplı bir örgüt yapısında kurulan CERT, bugün 150 siber güvenlik uzmanının çalıştığı, güven duyulan ve konusunda otorite sahibi bir kuruluştur. Düzenli olarak hükümet, endüstriyel kuruluşlar, yasama organları ve akademik çevrelerle ortak çalışmalar yürüterek büyük ölçekli ve karmaşık siber tehditlere karşı, önceden önlem alma çalışmalarını yürütür.

CERT‟in çalışmaları, ABD Savunma Bakanlığı ve Ġç Güvenlik Bakanlığı yanı sıra bir çok federal sivil kurum ve özel sektör tarafından finanse edilmektedir. Çalışmalarını internete bağlı ağların güvenliğini artırmaya adamış olan CERT, koyduğu kriterlere uygunluklarını belgeleyen başvuru sahibi Bilgisayar Güvenliği Olay Müdahale takımlarına (Computer Security Incident Response Team (CSIRT)), CERT logosunu taşıma yetkisi vermektedir. 2003 de ABD Ġç Güvenlik Bakanlığı, US-CERT‟i hayata geçirmiştir ve günümüzde Türkiye dahil (TR-CERT)dünyada 67 adet CERT Merkezi –bazı ülkelerde birden fazla olmak üzere – bulunmaktadır.

Türkiye‟de siber suçlara karşı alınan tedbirler ve kurulan ekipleri bir sonraki yazımda daha ayrıntılı olarak anlatacağım, öncü kuruluşlardan burada kısaca bahsetmek gerekirse:

 Emniyet Genel Müdürlüğü bünyesinde, 2011/2025 sayılı Bakanlar Kurulu Kararı ile Bilişim Suçlarıyla Mücadele Daire Başkanlığı kurulmuştur.6 _{Bu dairenin amacı, ilgili} bakanlık tarafından “Bilişim teknolojileri kullanılarak işlenen suçların soruşturulması ve dijital delillerin incelenmesi için destek veren görevli daire başkanlıklarının ve taşra teşkilatındaki birimlerin dağınık yapısının tek bir çatı altında toplanması, mükerrer yatırımların önüne geçilmesi, bilişim suçlarıyla mücadelenin etkin ve verimli olarak yürütülmesi” olarak tanımlanmıştır.

 T.C Başbakanlık Devlet Planlama Teşkilatı (DPT) 2005 yılında ülkemizin bilgi ve iletişim teknolojilerinden etkin olarak yararlanması ve bilgi toplumuna dönüşmesi ile ilgili uygulanacak stratejileri yayınlamış ve yayındaki “Bilgi Toplumu Stratejisi” adlı çalışmanın 88. Maddesi‟nde Ulusal Bilgi Sistemleri Güvenlik Programının

sorumluluğunu TÜBĠTAK - Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü‟ne (UEKAE) vermiştir. TÜBĠTAK – UEKAE alt projeler oluşturmuş ve Ocak 2007 tarihinden itibaren de çalışmalara başlamıştır.

4 _{CERT bir ismi oluşturan kelimelin başharflerinden oluşan bir kısaltma değildir, Merkez kurulurken bu}

isim seçilmiştir.

5_{Cornell üniversitesi öğrencisi Robert Tappan Morris tarafından yazılmış ve MIT ’ten 2 Kasım 1988}

tarihinde Internet’e bırakılmıştır. Öğrencinin Morris solucanını yazarken amacı, zarar vermek değil, Internet’in büyüklüğünü tahmin etmekti

.

o Ulusal Bilgi Güvenliği Kapısı

TÜBĠTAK-UEKAE tarafından gerçekleştirilmekte olan “Ulusal Bilgi Güvenliği Kapısı”nın kurulması ve işletilmesi, bu alt projelerden biridir. Kapının amacı, bilgi güvenliği ile ilgili güncel uyarılar, bilgilendirici rehberler ve teknik yazılar yayınlamaktır.

o Siber Güvenlik Enstitüsü (SGE):

Sürekli iletişim halinde olan bilgi sistemlerinin oluşturduğu ve ülkelerin politik, askeri ve stratejik açıdan öncelikli olarak ele alması gereken siber ortamdaki altyapıların güvenliği çalışmalarını desteklemek amacıyla 1997 de TÜBĠTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) altında Siber Güvenlik Enstitüsü (SGE) kurulmuştur.

o Kripto Analiz Merkezi

1994 yılında kripto analiz ve kripto tasarım yapılması amacıyla kurulmuştur. o TR-CERT CC (TR-CERT Koordinasyon Merkezi)

Bilgisayar güvenlik olaylarının bildirim ve danışma merkezi olarak faaliyet gösteren Merkez, TÜBĠTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) altında OKTEM (Ortak Kriter Test Merkezi) Organizasyonu Ağ Güvenliği çalışmaları içinde yer almaktadır.

o TR-BOME Koordinasyon Merkezi

TR-BOME Koordinasyon Merkezi, bilgisayar güvenlik olaylarıyla ilgili ulusal danışma noktasıdır. TÜBĠTAK-UEKAE (Ulusal Elektronik ve Kriptoloji

Araştırma Enstitüsü) Bilişim Sistemleri Güvenliği bölümü bünyesinde faaliyet göstermektedir. Bilgisayar Olaylarına Müdahale Ekibi Koordinasyon Merkezi (BOME KM), sorumluluk alanında birden çok kurum veya kuruluş olan ve bu kurum ve kuruluşlar arasında olay müdahale koordinasyonu yapan ekiptir.

 5809 sayılı Elektronik Haberleşme Kanunu ile, bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi, izinsiz erişime karşı şebeke güvenliğinin sağlanması, elektronik haberleşme sektörüne yönelik olarak, millî güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirlerin alınması görevi Bilgi Teknolojileri ve Ġletişim Kurumu‟na verilmiştir.7

Ülkemizde bilgi güvenliği konusundaki en önemli sorun, ihtiyaç duyulan mevzuat altyapısının henüz oluşmamış olmasıdır. Bankacılık ve haberleşme mevzuatında bilgi güvenliği yer almaktadır, ancak Ulusal Bilgi Güvenliği ile ilgili hususları düzenlemek için yeterli düzeyde değildir. Bilgi güvenliği ile ilgili hususları içeren genelgelerin dayanak olabileceği yönetmelik, tüzük ve kanun olmadığından genelgeler etkili olamamaktadır.8 _{Bilgi Güvenliği Derneği,} Türkiye Bilişim Derneği gibi kuruluşların çabaları, TÜBĠTAK‟ın “Bilgimi Koruyorum e-Öğrenme Projesi”,ISO/IEC 27001:2005 ve Bilgi Güvenliği Yönetişimi Standartları konusunda

yürütülmekte olan çalışmalar, ülkemizin Bilgi Güvenliği konusundaki engelleri ve tehditleri aşmasında yardımcı olacak çok değerli girişimlerdir.

2. Bölüm: Bilgi Güvenliği Konusundaki Örgütlenme, Mevzuat ve Standard Çalışmaları 3. Bölüm: Siber Suçların Türleri ve Yeni Trendler

4. Bölüm: Etik Hacking, Hacking‟e Karşı 5. Bölüm: Bilgi Güvenliği Politikası Oluşturma

7_{http://www.tk.gov.tr/bilgi_teknolojileri/siber_guvenlik/mevzuat.php}

8 _{Ülkemizde, bilgi güvenliği mevzuatı ile ilgili çalışmalar Bilgi Toplumu Stratejisi Eylem Planı içerisinde yer}

alan 87 numaralı eylem maddesi çerçevesinde ve Başbakanlık tarafından yürütülen e-devlet mevzuat çalışmaları kapsamında gerçekleştirilmektedir.