Ülkemizin özelikle 15 Temmuz ve sonrasında yaşadığı süreç ile beraber kamu ve birçok özel alan noktasında iletişim ve altyapıların koruması ve gizliliklerin korunması noktasında ciddi bir güvenlik önlemi alması gerekmektedir. Hassas bilgilerin günümüz koşullarında saklanabilmesi için konjonktüre göre hareket etmek şart.
Güvenlik riskleri sadece internet siteleri ve mobil uygulamalar için geçerli değildir. Bir bilgisayar üzerinden bir ağa bağlı olarak hizmet veren, tüm donanımlar ve yazılımlar kapsamları çerçevesinde kendilerine problem doğurabilmektedirler. Televizyon yayını gerçekleştiren donanımlar, yurt çapındaki ATM’ler, trafik lambaları, POS cihazları ve daha fazlası…
Düşünülmesi gereken en hassas ve en önemli soru ise alt yapıların korunması ve teknik yeterlilik noktasıdır. Bugün elektrik altyapıları veya petrol rafinelerine kadar pek çok altyapı, doğrudan ya da dolaylı olarak siber dünya ile bütünleşmiştir. Bu durum eğer krize dönüşürse sinyalizasyon sistemlerinin bozulmasından baraj kapaklarının açılmasına veya kişisel verilerin çalınmasına kadar ciddi bir sürece taşınabilir.
Tamamen güvenliğine hükmettiğinizi düşündüğünüz anda gelen bir yazılım güncellemesi sizi tekrar çalışma yapmaya iter. Bu döngü herhangi bir zamanda doygunluk noktasına ulaşamayacağı için güvenlik konusu, başa gelen ciddi bir marka veya ticari kayıptan sonra değil, öncesinde rutin olarak ele alınması gereken önemli bir başlıktır. Bu güvenlik zafiyetleri, sızma testi (penetrasyon test) adıyla gerçekleştirilen testlerle, öngörülebilir şekilde raporlandırılırlar. Bankacılık mevzuat hükümleri de bu testin yaptırılması (belirli aralıklarla) zorunlu kılınmıştır.
Bankalar tüm platformlardan istek alabilir şekilde yapılandırıldığı için donanıma ve yazılıma sahip olduğu tüm alanlarda farklı türde risklere sahiptir. Mobil uygulama üzerinden kredi kartı hesabınıza erişebiliyor olmanız, ciddi bir kolaylık olduğu gibi, zararlı faaliyet yürüten ve yüklü diğer uygulamalara erişim izni almış olan bir mobil yazılım, sizin gerçekleştirebileceğiniz tüm aksiyonları hesabınız üzerinde gerçekleştirebilir. Bunun için ekstra herhangi bir bilgiye ihtiyaç duymadan telefonunuzu bir zombi olarak kullanarak kendisini bir perde arkasında da gizleyebilir. Bu da yasal olarak, kişilerin bulunabilmesi için ehemmiyetli bir zorluk çıkarmaktadır.
Yorucu bir gün sonrasında kahve içmek için arkadaşınızla oturduğunuz bir kafede ödeme yaptığınız anda dahi bilgileriniz başkalarının eline geçebilir. Bunu paranoya haline dönüştürmeye gerek yok desek de durum ne işletmenin ne de sizin elinizde. Yeni teknolojilerle birlikte artık bir işletme için birden fazla pos cihazına ihtiyaç yok. İşletmeye konulan bir sunucu yardımıyla (POS Server) seyyar cihazlar ödeme işlemlerini WIFI ağı üzerinden sunucuya gönderiyor ve işlem tek bir bilgisayar üzerinde gerçekleştiriliyor. Birden fazla masada ödemenin alınabilmesi için birden fazla pos cihazı yerine sadece ödeme detayının ve şifre bilgilerinin girilmesi için POS cihazına benzer donanımların WIFI üzerinden sunucuya bilgi aktarması, maliyet açısından daha avantajlı görünüyor ve dünya bu teknolojiye geçiş yapıyor. Tekrar tekrar anlatıldığı gibi, teknolojinin bu hızla ilerlemesi iyi yanlarıyla birlikte kötü senaryoları da peşinden sürüklüyor.
Günümüzde telefonlar, birçok cracking ve hacking işleminde rahatlıkla kullanılabiliyor. Maliyetleri düşen donanımlar yardımıyla telefonlar birden çok özelliğe kavuşuyor. Wifi aracılığıyla internete girebilme özelliğine sahip olan telefonlar, yüklü yazılımlar yardımıyla POS Server yapısını kullanan işletmelerde kredi kartı bilgilerini herhangi bir başka işlem yapmadan, sadece uygulamayı açıp masanızda kahvenizi yudumlarken toplayabilir. İşin vahim tarafı ise seyyar cihazlardan toplanan bilgiler sunucu bilgisayara şifrelenmeden gidiyorsa, eş zamanlı olarak karşı masada yapılan bir ödeme detayının (kredi kartı bilgileri de dahil olmak üzere) bir kopyasını kendinize mail atabilirsiniz. Penetrasyon testin önemi burada kendisini bir kez daha gösteriyor. Sızma testi sadece web uygulamalarına değil, ağ yapısını kullanan tüm donanımlara ve PIC programlama da dahil olmak üzere tüm yazılım alt yapılarına periyodik uygulanması gerekir.
Dolayısıyla, günümüzün yapısal şartlarına entegre olmak gerekmektedir ve etkin bir siber çalışması yapılması gerekmektedir, bunun için bir Siber politikamız olması gerektiğini düşünenlerdenim, birçok gündelik işlemimizin siber olduğunu düşündüğümüzde.
Uzun yıllardır aslında bir savaş var, topla tüfekle değil; siber savaş devam etmektedir. Amerika Birleşik Devletleri Başkanı Obama 1 Nisan 2015 tarihinde yapmış olduğu bir açıklamada siber saldırıların artık günümüzde artış içerisinde olduğunu ve gerekli ulusal güvenliğin alınması yönünde talimat vermişti. 2016 yıllında siber güvenlik konusunda 14 milyar dolardan daha fazla ek bütçe ayrılmasını istediğini de duyurmuştu.
Devlet kurumları içerisinde barındırılan sunucular ve ağ yapıları, kendi web siteleri üzerinden birçok riskli duruma açık bir halde yayın hayatına devam etmektedir. İç görüşmeler, bilgi aktarımları, önemli belgelerin saklandığı intranet sunucuları, mail sistemleri, evrak depolama arşivleri gibi dijital ortamda saklanan ama organik olarak internet bağlantısı bulunmayan yapılara erişim, içerideki ağa bağlı herhangi bir bilgisayarı çözümleyerek kaldırılabilir. Bu durum çalıştırılabilecek ve antivirüslere takılmayacak olan bir uygulamayla veya web sitelerin hacklenmesi durumunda proxy olarak kullanılmasıyla çok rahat bir şekilde gerçekleştirilebilir.
Türkiye de son süreçte siber saldırıların hedefi halindedir. Kurumların bilgi işlem güvenliği teknik personel açığından dolayı tam anlamıyla sağlanamamaktadır. TÜBİTAK ve diğer konu ile ilgili bilirkişi kabul edilen kurumlar mahkeme taleplerine cevap veremez hale gelmiştir. Gerekli görevlendirmelerin yapılıp durumun düzeltilememesi halinde çok daha vahim neticelerle karşılaşılması muhtemeldir.
Siber güvenlik, son birkaç yıldır ülkemizde daha fazla önemsenmektedir. Yakın bir zamanda ülkemizin çeşitli bankalarına siber saldırı yapıldığını öğrendik ancak önlemler alınmaz ve ulusal bir siber güvenlik çalışması olmaması durumunda birçok banka ve kurumun hizmet verememesi, kimlik ve sağlık bilgilerinin çalınması durumunda ülkemize ve birliğimize ciddi zarar verecektir. Ülkemiz genel olarak eğitim, enerji, ekonomi ve birçok konuda ciddi çalışmalar yapması gerekmekte tabii ki ancak siber güvenlik de bu konular arasında yerini alması tez vakitte gerekmektedir ve tez vakitte.
