GÜVENLİK SİSTEMLERİ

Siber Suç, bir bilişim sisteminin güvenliğini ve/veya kullanıcısını hedef alan ve bilişim sistemi kullanılarak işlenen suçlardır.

Avrupa Ekonomik Topluluğu 1983’te Bilişim Suçları konusunda şu tanımlamayı yapmış ve günümüzde birçok ülke bu tanımlamayı esas almıştır. Bilişim suçu; bilgileri otomatik olarak işleme tabi tutan veya verilerin nakline yarayan bir sisteme karşı veya sistem ile gayri kanuni, ahlak dışı ve yetkisiz gerçekleştirilen he türlü davranıştır

Phreaker: Telefon ağları üzerinde çalışan, telefon sistemlerini hackleyerek bedava görüşme yapmaya çalışan kişilerdir.

BİLİŞİM SALDIRILARI
Bilişim sistemlerine karşı gerçekleştirilebilecek saldırılar değişik parametrelere göre sınıflandırıp açıklanabilir. Tehditleri genel özelliklerine göre aşağıdaki gibi dört ana gruba ayırabiliriz.
• Ele geçirme: Kötü niyetli kişilerin veya yetkisiz kişilerin erişim yetkisi hakkı olmadıkları her türlü bilgi, belge ve varlığı değişik yöntemler kullanarak elde etmeleridir.
• Sekteye uğratma: Kötü niyetli kişiler bilişim sistemine ait herhangi bir parçayı sekteye uğratırlar. Ele geçirme saldırılarında belgelerin kopyası yapılır veya haberleşme dinlenir. Sekteye uğratma saldırılarında ise belgenin aslı çalınır veya haberleşme kesilir. Belge veya mesajın karşı tarafa ulaşması engellenir.
• Değişiklik: Herhangi bir değerli varlığın içeriğinin değiştirilmesidir. Örneğin elektronik posta yoluyla haberleşen iki kişi arasındaki mesajın içeriğinin değiştirilerek karşı tarafa gönderilmesi bu tür bir saldırıdır. Özellikle yazılım parçalarının içeriğinin değiştirilmesi için yapılan saldırılar bu gruba dâhildir.
• Fabrikasyon: Sahte nesnelerin yapılmasıdır. Güvenlik odalarına girerken yetkili kişilerin kimlik doğrulama için kullandıkları kimlik kartlarının sahtelerinin yapılması bu tür saldırıdır. Bunun yanında sahte internet sitelerine yönlendirerek şifre bilgilerinin çalınması da olabilmektedir.

Sosyal mühendislikte güvenlik sistemleri açısından kötü niyetli kişilerin uyguladıkları yöntemlerden bazıları aşağıdaki gibidir (Canbek & Sağıroğlu, 2007):
• Taklit ve inandırma
• Yetkisiz fiziksel erişim
• Klavye ile yazı yazarken çevredeki birinin sizi gözlemlemesi
• Yardım masası aramalarının taklit edilmesi
• Kimsenin olmadığı açık odalar bulabilmek için koridorda dolaşma

• Telefon hattının başka bir telefona izinsiz aktarılması
• Çöplük karıştırma
• Şifre çalmak için sahte iletişim kanalları kullanılması

BİLİŞİM GÜVENLİĞİ TEDBİRLERİ
Bilişim güvenliğinde uygulamalarda yol gösterecek dört temel ilke vardır. Bu ilkeleri kısaca şöyle açıklayabiliriz.
• En kolay nüfuz etme ilkesi: Herhangi bir güvenlik sistemine saldırı gerçekleştirmek isteyen kötü niyetli kişi gerçekleştirilebilecek en kolay saldırıyı yapacaktır. Bu nedenle yapılabilecek saldırılara karşı alınacak tedbirler planlanırken, saldırganların en kolay yolu deneyecekleri unutulmamalıdır.
• Yeterli süre koruma ilkesi: İnsanlar değerli her türlü varlığı korumak isterler. Herhangi bir şey değerini kaybetmediği sürece korunur. Zamanla değerini yitirmiş her nesne çöpe atılır. Yeterli süre koruma ilkesi değerli varlıkların değerlerini kaybetmedikleri sürece korunmalarını söyleyen ilkedir.
• Tesirlilik ilkesi: Bu ilke güvenlik sistemlerinde kullandığımız kontrol tekniklerinin
kullanılabilir ve beklenen amaçları gerçekleştirebilir olmalarını gerektiren ilkedir. Herhangi bir kontrol metodunun sağlaması gereken üç temel amaç yeterli güvenlik, kolay kullanılabilirlik ve performanstır. Ama bu üç amaç genellikle birbiriyle çelişen amaçlardır. Bir başka ifadeyle bu üç amaçtan herhangi birisini veya ikisini gerçekleştirmek istersek, diğer iki veya bir amacın belli miktarlarda fedakârlıkta bulunması gerekir. Eğer çok güvenli bir sistem oluşturmak istersek, ya sisteminin performansı düşecektir, ya kullanılabilirliği zorlaşacaktır ya da hem performans hem de kolay kullanılabilirlik kötüleşecektir. Bu nedenle bu üç amaç arasında bir denge oluşturacak şekilde kontrol mekanizmaları kullanmak gerekir. Burada dikkat etmemiz gereken bir başka nokta ise, güvenlik derecesinin, performansın ve kolay kullanılabilirlik derecesinin kişiden kişiye farklılık gösterebileceğidir. Bir kişi için performans en önemli iken başka bir kişi için güvenlik en önemli amaçtır. Bu nedenle istenen amaçlar ve bu amaçların hangi derecede başarılmak istenmesine göre güvenlik sistemi geliştirilir.
• En zayıf halka ilkesi: Bir sistemin güvenliği bu sistemin en zayıf noktasından daha güvenli olamaz. Yani bir sistemin güvenlik derecesini o sistemin en zayıf noktası belirler. Çünkü kötü niyetli kişiler sistemdeki en zayıf noktayı tespit edip o noktadan saldırı gerçekleştirirler. Birinci ilkede bahsettiğimiz gibi saldırganlar en kolay atağı deneyecektir. En kolay saldırı da en zayıf noktadan gerçekleştirilebilir. Güvenlik sistemi tasarlarken zayıf noktaları tespit edip bütün noktaların mümkün olduğunca aynı seviyede güvenli olması sağlanmalıdır.

Bal küpü (honeypot): Bilişim sistemlerinde hedef saptırmak için kullanılan
yöntemlerin genel adına bal küpü (honeypot) adı verilir.

Bilgil ve belge güvenliğinin sağlanmasında ISO 27001 kullanılmaktadır. ISO 27001 bilgi varlıklarını korumaya ve ilgili taraflara, özellikle de müşterilere güven vermeye yardımcı olur. ISO 27001 kurumların tüm faaliyetleri için bilgi güvenliği politikası yayınlamasını ve kurum personellerini bilgi güvenliği ve tehditler hakkında bilinçlendirmeyi hedeflemektedir.

USOM vasıtasıyla gerçekleştirilmektedir. USOM siber güvenlik olaylarına yönelik alarm, uyarı, duyuru faaliyetleri yapmakta, kritik sektörlere yönelik siber saldırıların önlenmesinde ulusal ve uluslararası koordinasyonu sağlamaktadır (Bilgi Teknolojileri ve İletişim Kurumu, 2017).

Bilgi Varlıkları: Kurumun tüm bilgi sistemlerinde, çalışanlarında, kütüphanelerinde tutulan ve kurumun iş süreçlerinde değişik formlarda işlenen veridir.

Yazılım korsanları bilgisayar programlarının kopya korumalarını kırarak, bu programları izinsiz olarak dağıtımına olanak sağlayıp para kazanırlar. Piyasaya korsan oyun ve program CD’lerini yazılım korsanları çıkarır.

Rootkit (Kök kullanıcı takımı): Çalışan süreçleri, dosyaları veya sistem bilgilerini işletim sisteminden gizlemek suretiyle varlığını gizlice sürdüren bir program grubudur. Amacı yayılmak değil, bulunduğu sistemde varlığını gizlemektir. Çok kullanıcılı sistemlerde sıradan kullanıcıların yönetim programlarına ve sistem bilgilerine erişimini gizlemek için geliştirilmiştir. Rootkit’in gerçekte hangi dosyaları değiştirdiği, kernel’a hangi modülü yüklediği, dosya sisteminin neresinde kayıtlı olduğu, hangi ağ servisi üzerinde dinleme yaparak uygun komutla harekete geçeceğini tespit etmek güçtür

SYN(Eşzamanlı) Taşması: Sunucuya gönderilen ve istemci bağlantısı içeren paket taşımasıdır. Sunucuya gelen IP adresleri sahte, geçersizdir. Sunucu bu sahte IP adreslere yanıt vermeye çalışırken geçerli isteklere geç yanıt verebilir. Bir süre sonra hiç yanıt veremez.

Bilişim güvenliğinde uygulamalarda yol gösterecek dört temel ilke vardır:

En kolay nüfuz etme ilkesi

Yeterli süre koruma ilkesi

Tesirlilik ilkesi

En zayıf halka ilkesi

Antivirüs programı: Antivirüs yazılımları kötü amaçlı yazılımı önlemek, tespit etmek ve kaldırmak için kullanılan bilgisayar yazılımlarıdır.

Erişim   kuralları: Donanımlara ulaşmak için erişim kuralları tanımlanmalıdır. Odaların kilitlenmesinin yanında odalara girecek kişilerin listeleri oluşturulması, giriş saatleri ve giriş usulleri tanımlanması gibi işlemeler erişim kuralları çerçevesinde yapılır. Bunun yanında kullanıcıların sunucu ve diğer bilgisayar sistemlerinin açılış şifrelerinin oluşturulması, kullanılan şifrelerin belli aralıklarla değiştirilmesi ve farklı hesaplar için farklı şifreler kullanmak erişim kurallarına örnek olarak verilebilir.

Şifre uzunluğu çok kısa olmamalıdır. Sözlükte yer alan sözcüklerden oluşmamalıdır. Mümkün olduğunca harfler, rakamlar ve sembollerden oluşur. Doğum tarihi, soyadımız, anne veya baba adı ve buna benzer bilgileri içermez. Büyük ve küçük harflerden oluşur.

Bilgi ve belge güvenliğinin sağlanmasında ISO 27001 kullanılmaktadır. ISO 27001 bilgi varlıklarını korumaya ve ilgili taraflara, özellikle de müşterilere güven vermeye yardımcı olur. ISO 27001 kurumların tüm faaliyetleri için bilgi güvenliği politikası yayınlamasını ve kurum personellerini bilgi güvenliği ve tehditler hakkında bilinçlendirmeyi hedeflemektedir.

Varlığa zarar gelmesi durumunda bilgi açığa çıkar. Varlığa zarar gelmesi durumunda açığa çıkan bilginin önem derecesi kritik seviyede olur. Açığa çıkan bilgi kurumu etkiler. Etki uzun zamanda telafi edilirse “Varlık Envanteri Erişilebilirlik Ölçeği” bizi “Çok Yüksek Seviyeye” götürür.

Bilgi Varlıkları: Kurumun tüm bilgi sistemlerinde, çalışanlarında, kütüphanelerinde tutulan ve kurumun iş süreçlerinde değişik formlarda işlenen veridir.