Bu yazımızda siber güvenlik alanında daha önce hiç çalışmamış veya bu konuda çok az bilgiye sahip okuyucularımıza bir nebze olsun merakını gidermek için giriş mahiyetinde bilgi vermeyi amaçladık.
Yazımızın ilerleyen bölümlerinde siber güvenlik kavramının temel unsurları, kişisel ve kurumsal bazı siber güvenlik riskleri, siber güvenlikte kritik altyapılar kapsamının içeriği, siber saldırganların neler yapabildiklerini ve bunları yapmaktaki gayelerinin neler olduğundan söz edeceğiz.
Endüstri 4.0 başlıklı yazımızda ele aldığımız IoT (Internet of Things -Nesnelerin interneti) kavramını da göz önünde buldurursak bilişim sistemlerinin hayatımızı nasıl çepeçevre kuşattığını daha iyi anlayabiliriz. 2020 yılında dünyada internete bağlı cihaz sayısının 200 milyarı bulacağı düşünülmekte. Bu cihazlar sadece masaüstü-dizüstü bilgisayarlar, telefonlar ve tabletler ile sınırlı değil elbette. Öyle ki sağlık, finans, ulaşım, ihracat, eğitim ve zikretmediğimiz her alanda bilişim sistemleri etkin ve aktif olarak kullanılmakta.
Birkaç sayısal veri ile hayatımızda bilişim sistemlerinin kullanım sıklığını ve dönen verinin büyüklüğüne de değinmeden geçmeyelim.
1 dakikada;
450.000 tweet,
156 milyon e-posta ( bu e-postaların yaklaşık 100 milyon kadarı spam e-postalar ) atılıyor.
4 milyonu aşan video izleniyor.
Yukarıdaki değerler, bilişim sistemleri üzerinde depolanan ve dolaşan veri miktarının büyüklüğünü tahmin noktasında bize kılavuzluk edebilir.
Dijital dünyada bilgi güvenliğinden söz edebilmek için 3 temel unsurun sağlanmış olması gerekir.
- Gizlilik ( Kişisel ve kurumsal verilerin gizliliğinin sağlanması )
- Bütünlük ( Verinin bir bütün halinde ve doğru şekilde saklanması )
- Erişilebilirlik ( Verinin tarafımızca erişilebilir olması )
Bu temel unsurların sağlanamaması durumunda kişisel olarak karşılaşılabilecek risklerden bazıları şunlardır.
- Veri kayıpları
- Maddi kayıplar
- İşlenen bir suça dahil olmak
- Kişisel verilerinizin ifşa edilmesi
Kritik altyapı kavramını ele alırken Ulaştırma ve Altyapı Bakanlığının 2016 – 2019 Ulusal Siber Güvenlik Stratejisi raporunda “ İşlediği bilginin/verinin gizliliği, büyüklüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara, ulusal güvenlik açıklarına veya kamu düzenini bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapılar ” kritik altyapılar olarak ele alınmıştır. Aşağıda belirtilen altyapılar bu kapsamda değerlendirilebilecek olan altyapılardır.
- Elektronik haberleşme
- Enerji
- Su yönetimi
- Kritik kamu hizmetleri
- Ulaştırma
- Finans – Bankacılık
Bu altyapıların Siber Güvenlik noktasında olası saldırılara maruz kalması sonucu ortaya çıkabilecek olan riskler çok daha büyük sıkıntıların yaşanmasına neden olabilir. Örneğin elektrik santrallerinin hizmet dışı kalması, ulusal güvenliği ya da toplumsal güvenliği etkileyebilecek olan riskler kritik altyapılara yönelik risklerden bazılarıdır. Kritik altyapılara bakıldığında bu yapılara yönelik risklerin tamamı ulusal güvenliğin etkilenmesine neden olacak risklerdir.
Günümüzde artan siber saldırı çeşitlerine bakalım isterseniz.
- Siber saldırganlar tarafından ele geçirilmiş ve tek bir komuta merkezinden yönetilen köle bilgisayarlar
- Ransomware ( daha çok işletmeleri hedef alan ve hedef sistemlerdeki verileri şifreleyerek fidye talibinde bulunulması ) Bu saldırı yöntemi genellikle sahte e-postalar tarafından sisteminize bulaştırılmaya çalışılır.
- IoT ( yani internete bağlı tüm sitemler saldırı aracı olarak kullanılabilir. )
- Mobil cihazlara yüklenen kaynağı bilinmeyen yazılımlar ( Apk )
- APT (Advanced Persistent Threat) saldırı türü ileri düzey saldırılar olarak ifade edilir. Kamu ve kritik sektörleri hedef alan ve tespiti oldukça zor olan saldırı türüdür.
Siber saldırganlar bu eylemleri farklı nedenlerle yapıyor olabilirler. Kimi zaman hedef odaklı saldırılar olurken kimi zaman tamamen kişisel tatmin ve maddi kazanç elde etmek amacıyla bu saldırılara maruz kalınabilir. Herhangi toplumsal veya politik bir olay da hedef olmanıza sebep olabilir.
Siber güvenlik ve bununla ilişkili bazı temel kavramları ele aldığımız bu yazımızın faydalı olması dileğiyle. Bir sonraki yazımızda görüşmek üzere.
mahir.dogan@dogandesign.net
dogan.mahir.23