Siber Güvenlik Farkındalığı
Başta ülkemizde ve sonra dünya genelinde olmak üzere siber güvenlik farkındalığı her ne kadar artmakta olsa da maalesef yeterli farkındalık oranına henüz ulaşamamıştır. Hayatımızın her alanında yer alan siber güvenlik ürün ve hizmetleri; bizleri, doğayı ve diğer canlıları hatta tüm dünyayı, bugünü ve yarını doğrudan etkileyen ender ve popüler faktörlerden birisidir. Dolayısı ile bizler de Sechool ailesi olarak bu konuda herkesi gerekli ilgi ve bilince davet etmeyi bir görev biliriz.
- Siber güvenlik, siber güvenliğin hayatımızdaki yeri ve önemi nedir, siber güvenliğe yaklaşım nasıl olmalıdır?
- Siber tehditlerin boyutu ve etkisi neler olabilir?
- Kara – Hava ve Deniz alanlarından sonra Siber Alan [NATO]
- Hukuk alanında siber güvenlik suçları ve yaptırımları nelerdir?
Siber Güvenlik Farkındalığı
Siber güvenlik farkındalığından bahsetmeden önce biraz siber güvenlikten söz edelim: Günümüz teknoloji ve internet çağında, biz kullanıcılar her ne kadar farkında olsak da olmasak da finanstan sağlığa, sağlıktan sanayiye, sanayiden tarıma, tarımdan otomobillere, otomobillerden evlerimize ve hatta mutfaklarımıza kadar; trafik ışıkları, elektrik şebekeleri… derken hayatımızın neredeyse her alanında kullanmakta olduğumuz sistemler doğrudan veya dolaylı olarak sürekli bir etkileşim hali içerisindedir. Örnek olarak finans sektörünü ele alacak olursak, son yıllarda bankalara fiziki olarak erişim oranında ciddi bir azalma gözlemleniyor, tahmin ettiğiniz üzere bunun nedeni dijital bankacılık sisteminin oldukça gelişmiş ve yaygınlaşmakta olduğudur. Bilgisayarlardan hatta cep telefonları üzerinden artık döviz, altın alım – satım, havale – eft işlemleri hatta kimi bankalarda kredi kullanımı dahi elektronik ortamda yapılabilmektedir. Elbette bizzat fiziki olarak bankalara gitmeniz gereken durumlar da vardır ama kabul etmek gerekir ki bu gelişim hem biz kullanıcılara istediğimiz zaman işlem yapma özgürlüğü, daha ekonomik kullanım ücretleri, daha kısa sürede işlem tamamlayarak zamandan tasarruf gibi faydalar sağlamaktadır. Tabii bu çözümler bankalara da tasarruf olarak yansımaktadır, kimi “iyi bankaların” da bu tasarruf dağılımını müşterilerine de yansıtmakta olduğu düşünülmektedir. Yine gündelik yaşamdan bir örnek vermek gerekirse, yeni nesil otomobillerin birçoğunda çalınmalara karşı motoru kilitleme özelliği yer almaktadır. Örneğin bu özelliğe sahip bir aracınız var ve çalındı diyelim, ilgili servis sağlayıcısı ile iletişime geçmeniz durumunda aracınız sizden ne kadar uzakta olursa olsun merkezi sistem tarafından kilitlenebiliyor ve mevcut konumu sizinle paylaşılabiliyor. Siber güvenlik de bu gibi sistemlerin, ağların ve programların dijital saldırılardan korunmasını sağlamak için gerçekleştirilen hizmettir, diyebiliriz. Bu atakların amaçları genellikle sisteme sızma/erişme, sistemde değişiklik yapma ya da yok sistem üzerindeki verileri elde etme, yok etme, maddi kazanç elde etme ya da mevcut hizmeti durdurmaktır. Öte yandan günümüzde siber güvenlik önlemlerinin etkili bir şekilde uygulanması da oldukça zorlaşmıştır. Çünkü kullanılan cihazların sayısında çok ciddi bir artış gerçekleşti hatta öyle ki insanlardan daha fazla cihaz var artık. Öyle ki geçmişte IPv4 sistemi tasarlanırken bu sistem için, “Dünya’dan Ay’a kadar cihaz olsa sistem kapasitesi bunu kaldırabilir.” denilmiş olmasına rağmen bugün bu IP’ler yetersiz kalmakta ve IPv6 çözümü ortaya çıkarılmıştır. Tabii o dönem bunu söylerken kullanılan cihazların yalnızca bilgisayardan oluştuğu düşünülerek bu söylem hayat bulmuştur. İşte bunlara istinaden saldırganlar ve saldırıları da daha da gelişmiş ve yenilikçi hale gelmiştir. Bu durumun bilincinde olan kişiler ve kurumlar kullandıkları teknolojileri seçerken kaliteli ve pahalı virüsten korunma yazılımlarını, en gelişmiş güvenlik duvarlarını alarak sistemlerini korumaya özen göstermektedirler. Lakin! Bu donanımların en pahalılarını, en gelişmiş olanlarını tercih etmek onları tehlikelerin yalnızca bir kısmından korumaktadır, daha bilinçli olan kişi ve kurumlar da işte bunun farkındadırlar. Yani en iyi virüs programını almış ve aktif olarak kullanıyor olmanız kullandığınız cihaza virüs girmeyeceği ya da verilerinizin çalınmayacağı anlamına gelmemektedir. Bu konuyu Bruce Schneier kısa ve özlü bir sözü ile çok iyi yorumlamıştır:
Güvenlik, bir süreçtir; araç değil!
Şöyle bir yoruma ne dersiniz? Çalıştığınız X Kurum, en donanımlı ve sağlıklı altyapıya sahip, her şey kusursuz son teknoloji ama! çalışanlardan birileri kullandıkları parolaları post-it’lerle monitörün kenarına yapıştırmış… 🙂 “O kadar olmaz canım!” demeyin, bunlar gündelik hayatta karşılaştığımız acı gerçeklerdir. Ya da kimi zaman donanımı, altyapıyı hack’leyemen korsanlar, en zayıf halka olan insanlara odaklanır ve onları “hack’ler.” Nasıl mı? İşte buna sosyal mühendislik deniyor. Düşünün ki bir saldırgan sisteme sızmaya çalışıyor fakat bunu içeriden yardım almadan yapamayacağını anlıyor ve bir şekilde o kurumda çalışan kişilere doğrudan ya da dolaylı olarak ulaşır kimi zaman onların ruhu bile duymadan onlardan aldığı bilgi/ler ile aradığı kanı buluyor. Veyahut onlara attığı bir yem ile örn: hediye bir film DVD’si ile sisteme sızmış oluyor… Bu konuyu ise Kevin’dan bir kitabındaki yorumu ile şöyle ele alabiliriz: Sosyal mühendislikte amaç, teknik ve teknoloji güvenliği değil; insanın güvenlik zafiyetlerini kullanmaktır!
Bireyler, uzmanların önerdiği en iyi güvenlik uygulamalarını çalıştırıyor, her güvenlik ürününü bilgisayarına yüklüyor olabilirler ve uygun sistem yapılandırmasını ve güvenlik yamalarını kullanma konularında son derece dikkatli davranabilirler. Fakat! Yine de tamamen savunmasızdırlar.
Kevin D. Mitnick / Aldatma Sanatı kitabından alıntıdır. Yazımızın bu kısmına kadar işin genellike teknik tarafını ele aldık şimdi biraz da hukuki tarafını ele alalım. Siber ortamda da olsa işlenen suçların yasalar karşısında yaptırımı vardır.
Siber Savaş Alanı
Siber alanı, operasyonel alanlarımız olan kara, hava ve deniz alanlarımıza dâhil ettik, yeni operasyonel alan olarak kabul ettik.
Bu duyuru NATO Genel Sekteri, Stoltenberg‘e aittir. Aslında bu cümle ile “Siber Dünyanın” NATO’nun resmi savaş alanına girdiğini anlıyoruz ve bu cümleden sonra çok fazla yorum yapmaya gerek yok diye düşünüyoruz. Gündelik yaşamdan gerçekleşebilecek bir örnek vermek gerekirse, bu alana hakim bir terör örgütü, bir ülkenin elektrik sistemine zarar vererek o ülkeyi saatlerce elektriksiz bırakabilir…
Hukuk alanında siber suçlar ve yaptırımları
Geçmişte her ne kadar siber suçlara karşı çok daha zorluk çekilmiş olsa da bugün ülkemizde bu bir nebze daha olsa iyileştirilmiş durumdadır. Siber suçlar, genel anlamda bilişim yolu ile işlenen suçlar olarak yorumlanmaktadır. Türk Ceza Kanunu’nda, Bilişim Alanında Suçlar başlığı altında siber suçlara yer verilmiştir.
- Üçüncü Kısım (Topluma Karşı İşlenen Suçlar) / Onuncu Bölüm
- (Bilişim Alanında Suçlar)
- Bilişim Sistemine Girme (Madde 243)
- Sistemi engelleme, bozma, verileri yok etme veya değiştirme (Madde 244)
- Banka veya kredi kartlarının kötüye kullanılması (Madde 245)
- Tüzel kişiler hakkında güvenlik tedbiri uygulanması (Madde 256)
- İkinci Kısım (Kişilere Karşı Suçlar) / Yedinci Bölüm (Hürriyete Karşı Suçlar)
- Haberleşmenin engellenmesi (Madde 124)
- İkinci Kısım (Kişilere Karşı Suçlar) / Sekizinci Bölüm (Şerefe Karşı Suçlar)
- Hakaret (Madde 125)
- İkinci Kısım (Kişilere Karşı Suçlar) / Dokuzuncu Bölüm (Özel Hayata ve Hayatın Gizli alanına Karşı Suçlar)
- Haberleşmenin gizliliğini ihlal (Madde 132)
- Kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması (Madde 133)
- Kişisel verilerin kaydedilmesi (Madde 135)
- Verileri hukuka aykırı olarak verme veya ele geçirme (Madde 136-Madde 138)
- İkinci Kısım (Kişilere Karşı Suçlar) / Onuncu Bölüm (Mal Varlığına Karşı Suçlar)
- Nitelikli hırsızlık (Madde 142)
- Nitelikli dolandırıcılık (Madde 158)
- Üçüncü Kısım (Topluma Karşı İşlenen Suçlar) / Yedinci Bölüm (Genel Ahlaka Karşı Suçlar)
- Müstehcenlik (Madde 226)
Siber suçlarla ilgili yaptırımları kısaca ele alacak olursak: siber suçlar için öngörülen cezalar 1 – 8 yıl arası hapis cezası olarak belirlenmiştir. Elbette bu durum işlenen suçun niteliği ve yarattığı etki bakımından değişiklik gösterebilir. Detay için TCK’nın 244. maddesine bakabilirsiniz.