Yazarlar 15 ARALIK 2014 / 12:07

Bilgi sızıntılarının beynelmilel kaynağı

Casus yazılımlar yoluyla kimlik bilgilerinizin çalınması an meselesiyken bunlar umurumuzda mı?

Çiğdem Yorgancıoğlu

İşimiz gereği, sözleşmelerimize bilgi güvenliği ve gizliliğinin ihlal edilmesine dair maddeler yerleştirmekteyiz. Bu maddelerin gerçek yaşamdaki karşılıklarına ve ihtilaf halinde bunların nasıl uygulandıklarına bakmak bir başka makalemizin konusu olsun diyerek,  ufku ve kapsamı bir hayli geniş olan bir mevzua, elektronik haberleşme güvenliğini de içine alan, yaşamımızdaki bilgi sızıntılarının beynelmilel kaynağına yönelik bir farkındalık yaratma konusuna eğilelim.  Böylece kişisel teknoloji sahipliği ile bilgi varlıklarımızın kıymetini takdir etmenin gereğini isabetli bir biçimde okuyucunun dikkatine sunalım.

Kablosuz geniş kanal ve mobil şebekelerdeyim. CPU’su yüksek fiber optik sistemlerdeyim. Dürtüklenmeden harekete geçebilen hızlı düşüncelerin dinamizminde uyanık ve zinde bir zihinde gezmenin, mürekkebe aktığı yerdeyim. Ne kadar  süre boyunca kalıcı başarı göstererek tefrika edileceğini bilmediğimiz, Bin (1000) ölçüp bir biçip imbikten damıtarak süzeceğimiz yazılarımızla 1000 (bin)inci sayıdan itibaren BThaber’deyim. Burada olduğumuza dair bin (1000) tane şahit gerekse, kilometrelerce mesafeden bağlanarak kuracağımız köprüde geniş kapsama alanına yayılarak, katlanarak çoğalmak üzere merhaba.

Bilgi güvenliği ve gizliliğinin nirengi noktası

Türkçe adı ile Birleşmiş Milletler Telekomünikasyon Ajansı (The International Telecommunication Union)  ITU'nun 170 ülkenin baz alındığı rapor verilerine bakarsak,  dünya üzerinde 2.26 milyar kişilik internet kullanımında  Türkiye  nüfusunun yüzde 42’lik oran ile ülke sıralamasında 73. sırada yer almakta olduğunu görürüz. Lakin bu sıralama bir yana, bu alandaki haberlerde yer alan “esnek güvenlik çözümleri” ifadeleri kuşkulandırır beni. Hangisi esnek?  Güvenlik mi yoksa çözüm mü?   Yahut güvensizlik mi, çözümsüzlük mü? Nedir acaba bu elastikiyetin ekseni?  Arkasına devlet(ler)in desteğini alan kişi ya da grupların siber saldırı  faaliyetlerini saymazsak, mikro ve makro düzeyde “bilgi güvenliği ve gizliliği”nin nirengi noktası neresidir? Bu soruları sorarak ilk çapamızı burada atıp ileride mevzuu yine açalım.

'Transaction' yönlendirmeli UDP (User Datagram Protocol/ Kullanıcı Veri Birimi Protokolü) protokol üzerinde çalışan FNBDT/SCIP protokolü, farklı şebekelerde haberleşme yapan cihazların birbirleri ile emniyetli haberleşme ihtiyacından doğmuş bir protokoldür. Protokolle ilgili ilk çalışmalar ABD tarafından FNBDT adı altında başlatılmıştır. Daha sonra, NATO ülkeleri SCIP başlığı altında çalışmaya katılmışlardır.

Ses yalıtımlı cam odadan sesleniyorum

Beni duyan var mı? Kulaklarımda bilgi güvenliğinin gıcırtılı sesleri.  Ne zaman ve hangi gürültüyle infilak edeceğini bilmediğiniz tahrip ve hasar gücü azımsanmayacak güvensizlik ve aleniyet mayınlarının tarlasında intihar gönüllüleri arasında bir matriks üzerinde ayağımızı kaldırmadan ilerliyoruz. Bilgi güvenliğinin özünün, çevreye en az zarar vereni en basit anlamda kendi özelinizde şahsi bir evrakı/belgeyi sonradan bulanın parçalarını birleştiremeyeceği şekilde yırtmak veyahut kurumsal olarak kâğıt imha makinesini bünyenizde bulundurmak ve kullanmaktan geçtiğini bilmeyenlere bunu söylemek için geç değil, söylemesek iş işten geçecek.

Görsel ve/veya sesli mesajların direkt olarak takipçi kitlelere iletilebildiği, elektronik ortamda verilen mesaja tepkinin anında gösterilebildiği,  kanaat önderlerinin, mesajlarını, doktrine etmek istedikleri hedef kitlesine yayabildiği, kolektif yargılara zıt düşmekten çekinmeyen cesurların seçtikleri sosyal medyada düşüncelerini paylaştığı bir zamanda, gerek korunmasız kaldığımızda başımıza ne gibi acıklı haller geleceğine gerekse OburDünyalıların düzeninde aslında korunmaların/ tedbirlerin gerçek bir korunma/tedbir olup olmadığına ve büyük plandaki gizlilik- istihbarat yapısına dikkat çekmek ve nokta atışı yapmak icap ediyor. Öyle ki, “Etkisiz hale getirilmesi kolay olan bir güvenlik ne anlam taşımaktadır?” sorusu zihnimizi acıtsın ve bu suretle  kişisel farkındalık kapısının önüne gelelim.

Özel hayatın dokunulmazlığına dokunan ve dokunduran el siz misiniz?

Anti-virüs yazılımınız güncel mi? Değil ise, ücretsiz yazılımların başınıza neler getirebileceği yaşadıktan sonra hatırlanacak hararetli ve hıçkırıklı bir “darb-ı mesel” mi? E-posta şifremiz, kredi kartı numaramız güvende mi veya özlük bilgilerimizi internet üzerinde bir ortama sunarken tedbirli miyiz? Casus yazılımlar yoluyla kimlik bilgilerinizin çalınması an meselesiyken bunlar umurumuzda mı? Özel hayatın dokunulmazlığına dokunan ve dokunduran el siz misiniz? Tepe yöneticisinin açıkça kullanıcılarının bilgilerini CIA’ye bildirdiğini beyan/itiraf ettiği Facebook’ta bir oyun oynamak için bilgiye erişim hakkı istendiğinde bu erişime imkân tanıyor musunuz? Paylaşıma açtığınız dosya veya klasörlerin şifreleme yöntemi ile nasıl korunacağı, kimlerin hangi haklarla erişmesi gerektiği konusu kadar, bir diğer önemli konunun da mezkûr dosyalardaki telif hakları olduğunun farkında mısınız?  Toplu e-posta ile bir kutlama mesajı gönderdiğinizde adresleri  “bcc”  yerine “to” bölümüne koyduğunuzda yüzleşeceğiniz menfi neticeleri; farklı bir notebook veyahut bilgisayara yerleştirdiğiniz USB belleğin, güncel anti-virüs programlar ile kontrol etmeden kullanmaya devam etmenin, kırılmış (crack) programlar ve korsan yazılımlardan uzak duramamanın, zararlı programların ya da saldırganların müdahalesi sonucu kaybolan verilerinizin bedelini biliyor musunuz?

Bilginin üretilmesi, işlenmesi, iletimi,  depolanması ve paylaşımı süreçlerinde “Bilgi Güvenliği ve Gizliliği” hususunda hüsnüzanda bulunup bunları avucunun içi gibi bildiğini sananların yanıldığı sanal dünya,  başınıza kapaklanmadan ve çorap örmeden daha ne kadar bu hızda dönmeye devam edebilir sizce?

Mobil iletişim teknolojileri sayesinde, bilişim ve iletişim altyapısının yayıldığı,  veri ve enformasyon erişiminin zaman ve mekândan özgürleştiği coğrafyanın ucu bucağı yok. Acaba bir cep telefonu içindeki bilgiler kaç saniyede kopyalanabilir? Bunlar sadece polisiye filmlerde olmuyor, gerçek hayatta tatbiki mümkün hakikatler.

İstihbarat ve terör amaçlı siber saldırılar karşısında sonsuz çözüm kümesinde korunmasızlığı yüksek seviyede güvenlik addedenleri, irfan mektebinde yetiştik sanıp net dünyasını karış karış bildiğini iddia edenleri, lafını bilmeyenleri, ne istediğini bilmeyenleri, haddini bilmeyenleri, sen bilirsin deyip kendimi bildim bileli bildiğimi okurum diyenleri,  bile bile lades diyenleri, hatalarda bilir bilmez konuşmayı fırsat bilenleri, bildiklerini bilmezlikten gelen bilenleri de gördük;  doğru bildiği yoldan ayrılmayanları da… Dest-i gaybî, görünmeyen bir el tarafından bilgilerinin güvenliğinden bir kere daha tereddüt edenleri de göreceğiz ve farkındalığı (1000) bine katlayacağız.

Anahtar deliğinden kendisini izleyen siz misiniz?

Kişinin mahremiyetini sanal ortamda ifşa etmesinin normalleştirildiği bir ortamda özel yaşamın gizliliğinin  kıymetinin hudut kapısı neresidir? Anahtar deliğinden kendisini izleyen siz misiniz? Yoksa kriptografide bir anahtarlama peşine düştünüz ve anahtarı mı kaybettiniz?  MOBESE kamera kayıtlarına takılma, gözetlenme paranoyasına ne hacet! Harcıâlem süper-panoptikonlar arasında yaşıyoruz. Hatta  belki de, içlerinden biri biziz. Kısaca buna   George Orwell'ın kitabına atfen  “1984 gönüllüleri” adını veriyorum.  Mobil  telefonlarındaki küresel konumlandırma sistemiyle işaretlene işaretlene önüm arkam sağım solum check-in. Vatandaşın kendi iradesi ile  bilerek isteyerek özel zevklerden siyasi tercihlere ne marka giydiğinden tuttuğu takıma, damak tadından, sevdiği şaire, entelektüel faaliyetlerden gittiği hamama kadar  kadar dijital gözetim ağlarının bir parçası olmasının yanı sıra,   teferruatlı bir şekilde  kayıt altına alınıp fişlendiği, istihbarat ajanslarına her an yeni veri ürettiği  bir durumun sarmalındayız çoğumuz.

Özel yaşamın gizliliğinin tehdit edilmesinin veyahut siber-âlemdeki güvenlik tehditlerinin elinin parmaklarını geçmeyecek kadar az olduğu sanrısında olan ve sadece virüs ve  solucanlardan ibaret olduğunu  düşünenler, yanılgıya açık oldukları alanlardan bihaberler.  Yazılım ve donanımlarında ortaya çıkan yüksek, acil ve kritik önem derecesine sahip güvenlik açıklıkları, bilgisayara giriş ve parola güvenliği yazılım yükleme ve güncelleme, dosya indirme güvenliği, dosya erişim ve paylaşma güvenliği, yedekleme, depolama güvenliği, ADSL modem güvenliği, yasadışı yollarla şifrenizin ve /veya kredi kartı detaylarınızın phishing (oltalama/yemleme) yolu ile öğrenilmesi, ,açık kaynak kodlu yazılımlar üzerinden gelebilecek travmalar ve DNS önbellek zehirlenmesi açıklığı sizi bir kaç dakika içinde iki diziniz üzerine çökertebilen hadiselerdir ve bunlar seyrek yaşanıyor da değildir.

Siber saldırı analizi, bilgi sızma  güvenlik denetimi testi hizmetleri, ağ gözetleme ve izleme, yetkisiz internet erişimi sistemini   rootkit, trojan ve olası ağ risklerini tespit eden (honeypot)  balküpleri yolu ile izleme,  “blackhat” ve saldırganların “ilgi alanları”nı anlamaya ilişkin yeni metodolojiler sıkça duyduğumuz fakat bilinçlenme açısından görünür kılmamız gereken kavramlar.

Başbakanlık, Adalet Bakanlığı,  Sermaye Piyasası Kurulu ve Maliye Muhasebat Genel Müdürlüğü, Sayıştay Başkanlığı, Merkez Bankası, Hazine Müsteşarlığı, Dış Ticaret Müsteşarlığı, Tapu Kadastro Genel Müdürlüğü… Bu kurumlardan herhangi birinde kaydınız ya da işiniz olabilir mi? Bu sistemlerden birindeki bilgilerinize halel gelse hayatınızda neler değişirdi? An geliyor insanlar cemaziyülevvelinin nasıl bilindiğine şaşırıyor. Neden şaşırıyorlar? Gizli (kişiye özel) bilgilerimizi ya kendimiz sızdırıyoruzdur veya sızması mümkün ortamlarla çevriliyiz ve bu kaçınılmazdır.


Bilgi ve iletişim teknolojilerinin güvenliğini sağlamak amacıyla yapılan çalışmalarının en mühimleri arasında sayılanı DPT (Bilgi Toplumu Dairesi) tarafından hazırlanan Bilgi Toplumu Stratejisi Eylem Planı’nın 88. maddesinde yer alan Ulusal Bilgi Sistemleri Güvenliği Programı’dır (UBGP). Diğer yandan, kurumların risk yönetimi; risk işleme planlarını, vazife ve mesuliyetlerini, iş sürekliliğini, planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Yeterli ve orantılı güvenlik denetimleri seçimini sağlamak amaçlı tasarlanmış olan ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS/Information Security Management System ) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Söz konusu standarttan 15 Ekim 2010 Tarihinde Resmi gazetede yayımlanan tebliğde şu şekilde bahsedilmektedir:   "Elektronik Haberleşme Güvenliği Yönetmeliği’nin ‘Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü’ başlıklı 11 inci maddesinin birinci fıkrası çerçevesinde TS ISO/IEC 27001 veya ISO/IEC 27001 yani Uluslararası Bilgi Güvenliği Yönetimi Standardı (ISO 27001) standardına uygunluk sağlama veya uygunluk belgesi alma yükümlülüğü ile ilgili usul ve esasları kapsamaktadır."


Devletin zirvesinin kullandığı kriptolu telefonların dinlenmesi ardından yazılımı ve donanımı değiştirilen "yeni nesil" kriptolu  telefonların genel anlamda misyonu  bilgi güvenliği, haberleşme ve ileri elektronik alanlarında Türkiye'nin teknolojik bağımsızlığını sağlamak ve sürdürmek gayesi ile  nitelikli insan gücü ve uluslararası seviyede  kabul görmüş altyapısı ile bilimsel ve teknolojik çözümler üretmek ve tatbik etmek  olan  Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü’nün (UEKAE)  TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi (BİLGEM), ses ve verileri donanımsal olarak şifreleyerek GSM ağı üzerinde uçtan uca güvenli iletişim sağlayan, NATO SCIP (Secure Communications Interoperability Protocol- Güvenli Karşılıklı Çalışabilir Haberleşme Protokolü)) tabanlı cihazlarla uyumlu bir altyapıya sahip olan, donanımsal ve yazılımsal olarak milli  çözüm olan “Milli Kriptolu Cep Telefonu MİLCEP-K2”yi tasarlamasına bir göz atarsak, uyumlu cihaz tabanının, ABD tarafından geçtiğimiz yüzyılın sonlarında geliştirilmesine başlanılan farklı şebekelerde haberleşme yapan cihazların birbirleri ile emniyetli haberleşme ihtiyacından doğmuş FNBDT (Future Narrow Band Digital Terminal) projesi ile olan bağlantısını görmemiz mümkündür. Sonraki dönemlerde bu proje NATO tarafından da kabul görmüş ve kendi bünyesine uygun hale getirilmesi için çalışmalar başlatılmıştır. Bu çalışmalarda sinyalleşme protokolü için FNBDT yapısı esas alınmış, kriptolama konusunda ise özgün bir çalışma içerisine girilmiştir. NATO/SCIP ismi verilen bu çalışma, haberleşme ortamından (fiziksel ve mantıksal düzeyde) bağımsız olmak üzere haberleşen cihazların karşılıklı güvenli çalışabilirliğini sağlamayı esas almaktadır. Bu anlamda “bilgi sistem güvenliği”ne dair bilgi ihtiyacını karşılamak ve kamu bilgi sistemlerinin güvenliğinin sağlanması ile ilgili etkin önlemler alınmasına, önleyici veya düzeltici hizmetlere olanak sağlamak maksadıyla kurulan ve aynı zamanda Dışişleri Bakanlığı’nın koordinasyonunda NATO’ya karşı bilgisayar güvenlik olayları ile ilgili ulusal temas noktası olarak faaliyet gösteren Türkiye Bilgisayar Olayları Müdahale Ekibi’nin (TR−BOME) faaliyet alanı ve sınırlı/sınırsız manevra kabiliyeti ile birlikte, NATO bünyesinde yer alan NATO Defence Planning Process (NDPP) ile bağlantılı ve siber savunmadan sorumlu olan NCIRC (NATO Computer Incident Response Capability)  (http://www.nato.int/cps/en/natohq/topics_78170.htm)   birimiyle 2007 yılında altında imzamız bulunan mutabakat zaptı çerçevesinde bilgi birikiminin paylaşılmasından tutun da, yaşanan bir bilgi güvenliği olayına ortak müdahalede bulunmaya kadar geniş bir alanda işbirliğini hedeflemesi dikkate alındığında şu iki soruyu sormak ve bunlar üzerinde düşünmeye davet etmek kaçınılmaz hale gelir:


1 - “Bilgi Güvenliği ve Gizlilik” konusunda gerçek eşik noktası neresidir?


2 - Bu güvenlik ve gizliliğin gerek milli gerekse beynelmilel anlamda kusursuz ve sızdırılması mümkün olmayan şeklinde tatbikinin bir yolu var mıdır?


Yepyeni suallere ve alternatif yanıtlara doğru açılmak üzere bir sonraki sayıda görüşmek temennisi ile hepimize adalet, kararlılık, başarı, esenlik, barış, bereket ve tabii ki “güvenlik” dolu bir yıl diliyorum.


BT-Telekom

Hukuk ve Ceza Mahkemeleri

Adli Bilirkişi

www.cigdemyorgancioglu.org

 
ETİKETLER : 1000