Bilgi, Bilgi G�venli�i ve S�re�leri

2/6/2008

G�R��

Dünyada oldu�u gibi ülkemizde de bili�im teknolojilerinin yayg�nla�mas� ve kullan�m� h�zla artmaktad�r (1–3). Bu teknolojilerin kullan�m� ülkemizde h�zla yayg�nla�t�r�lmaya çal��l�rken, geli�tirilmesi ve etkin kullan�m� konusunda birçok yetersizlik söz konusudur. Geli�en bili�im teknolojilerinin etkin kullan�m�nda olmas� gereken seviyenin oldukça alt�nda bulundu�umuz ve bilgi toplumunun ana unsurlar� olan kullan�m yayg�nl��, etkin kullan�m, kültür ve üretim gibi konularda ise gerilerde oldu�umuz bilinmektedir (3). Bili�im teknolojileri ile bu teknolojilerin hammaddesi, girdisi ve ç�kt�s� olan bilginin önemi tam olarak anla��lm�� de�ildir. Bilginin ne oldu�u ve ne gibi bir öneme ve potansiyele sahip oldu�u yeterince anla��lmad��ndan; bili�im teknolojileri ve bilgi güvenli�i konusunda gereken ehemmiyet gösterilememektedir (3–9). Bu çal��mada; bilgi güvenli�ine gerekli önemin verilebilmesi için genel olarak önemli kavramlar incelenmi�, bilgi ve bilgisayar güvenli�i konular�, unsurlar� ve süreçleri üzerinde durulmu� ve yüksek derecede bir güvenlik için uygulanmas� gerekenler aç�klanm��t�r. Bunun sonucunda; bilgi ve bilgisayar güvenli�ine neden önem verilmesi gerekti�i ve bilgi güvenli�inin en temel anlamda nas�l olu�turulabilece�i gibi sorulara kapsaml� cevaplar aranmaya çal��lm��t�r. Bu çal��man�n bilginin ve onun daha ilerisinde özbilginin önemi, bu önemi alg�lay�p elde bulunan ve kullan�lan bilginin korunmas�na yönelik güvenlik süreçlerinin olu�turulmas� a�amalar�, belirli bir sistematik içerisinde aç�klanm��t�r.

Bu çal��mada, Bölüm 2’de veri, bilgi ve özbilgi kavramlar� genel olarak incelenmektedir. Bilginin ne gibi özellikler içerdi�i; gerçeklikten hikmete ula�mak için a��lmas� gereken veri, bilgi ve özbilgi basamaklar� bu bölümde aktar�lmaktad�r. Bilgi kullan�m�nda bili�im teknolojilerinin etkisi ve yayg�nl�� yine bu bölümde istatistiklerle ortaya konulmu�tur. Bilgi ve bilgisayar güvenli�i ile bu sistemlere yap�lan sald�r�lar Bölüm 3’de incelenmi�tir. Eksiksiz bir bilgi güvenli�inin ta��mas� gerekti�i unsurlar Bölüm 4’de aktar�lmaktad�r. Bilgi güvenli�inin bu unsurlar� kar��lamas� için olu�turulmas� gereken güvenlik politikas�n� meydana getiren temel güvenlik süreçleri; önleme, saptama ve kar��l�k verme Bölüm 5’de aç�klanm��t�r. Bölüm 6’da bu çal��madan elde edilen sonuçlar ve yap�lan de�erlendirmeler sunulmu�tur.

VER�, B�LG� ve ÖZB�LG�

Bilginin ya�ad��m�z ça�a damgas�n� vuran bir varl�k oldu�u bir gerçektir. Bu aç�dan bak�ld��nda, ça��m�z�n alt�n de�erindeki hammaddesi olan bilgiyi tan�mlamak, kavramak ve bilgi ile ilgili hususlar� incelemek, insanl��n ba�lang�c�ndan itibaren geçen süreçte ileriye yönelik geli�imimizi �ekillendirmenin en önemli anahtar�d�r (6). Günümüzde bilgi ön plana ç�km�� gibi gözükse de, asl�nda bilgi; dünün ve bugünün anahtarlar� iken, gelece�in �ekillenmesinde de her zaman anahtar rollere sahiptir.

Digital Object Identifier 10.2339/2006.9.3.165174

Bilginin do�as� ile ilgili a�a��da derlenen sözler, bilginin de�erini ve boyutlar�n� bir kez daha gözler önüne sermek aç�s�ndan faydal� olabilir (10).

Bilgi;

• bo�lukta ve zamanda yer kaplar.

• gürültü ç�karmadan hareket edemez.

• hareketi için enerji gerekir.

• ya�am ve herhangi bir düzenli etkinlik için gereklidir.

• hem maddesiz biçim, hem biçimsiz maddedir.

• a��rl��a sahiptir. Bir giga bayt, bir parmak izinden daha az a��rl�ktad�r.

• zaman içinde hareketli veya donmu� olabilir.

• bir soruya tatmin edici, belki de rahats�zl�k verici bir cevapt�r.

• kat� hale sahiptir, donarak kat�la��r (depolama).

• s�v� hale sahiptir, akar (ileti�im).

• bir yerlerde bilgi hareket eder, evren gümbürder ve gerçe�i gürler.

• maddeden farkl� olarak bilgi ayn� anda birden fazla yerde olabilir.

• el s�k��ma, ba� sallama, bak�� veya iç çeki�tir.

• rastsall�k denizinde parlar.

�ekil 1. Gerçeklikten hikmete ula�mak için a��lmas� gereken bilgi basamaklar�

Bilgi ça��nda ilerlemek, bir merdivenin basamaklar�n� kullanarak bir üst seviyeye ç�kmaya benzetilebilir (11). �ekil 1’de gerçeklik (reality) ile hikmet (wisdom) aras�nda gösterilen bu merdivenin basamaklar�, veri (data), bilgi (information), özbilgi (knowledge) basamaklar�d�r. Ço�u durumda, her basamak, atlanmadan teker teker geçilir. Yukar�ya ç�kt�kça elimizdeki �eyin miktar� azal�rken, de�eri artar. Yine yukar�ya ç�kt�kça, bir sonraki basama�a ad�m atmak daha da zorla��r veya daha çok çaba ister. Bu yüzden, merdivenin alt basamaklar�nda verinin ve bilginin payla��m� daha kolay iken yahut insanlar veya çal��anlar elde ettikleri veri ve bilgileri payla�maya daha aç�k iken, daha yukar� ç�k�ld��nda özbilginin payla��m� için ayn� �ey söylenemez (12). Genel olarak bilimin getirdi�i yöntemlerden, ölçme ile eldeki gerçeklikten veriye, ispat ile veriden bilgiye ve kavray�� ile bilgiden özbilgiye ula��l�r (13). Özbilgiden hikmete ula�ma, sentezleme içeren bir dü�ünü� gerektirir. Bu dü�ünü�, fikirlerin öyle bir �ekilde bir araya getirilmesidir ki ula��lan bütün parçalar�n�n toplam�ndan daha büyüktür (14).

Bir ba�ka gözlem de, merdivenin alt basamaklar�nda, daha algoritmik ve programlanabilir bir yakla��ma ihtiyaç duyulurken, daha yukar� basamaklar, algoritmik olmayan ve programlanamayan bir yap� arz etmesidir (15). Veri ve bilginin iletiminde bili�im teknolojileri kullan�labilirken, özbilgi de buna ek olarak insan etkeni de i�in içine girmektedir (16). Bir özbilginin gerçeklik haline dönü�türülmesi için yönetim biliminden yararlan�l�r.

Bilgi ve özbilgi kavramlar� veya basamaklar�, ülkemizde ço�u kez birbirleri ile kar��t�r�lmaktad�r (3). Bu sebepten dolay�, ilgili kavramlar takip eden paragraflarda detayl� olarak tan�mlanm�� ve aç�klanm��t�r.

Verinin; �ngilizce kar��l�� olarak kullan�lan “data”, Latince “datum” kelimesinden (ço�ul �ekli “data” ve “vermeye cesaret etmek” fiilinin geçmi� zaman�, dolay�s�yla “verilen �ey”) gelmektedir. Latince “data” (dedomena) kavram�n�n M.Ö. 300 y�llar�nda Öklid’in bir çal��mas�nda geçti�i bildirilmektedir (17). Dilimizde de “verilen �ey” anlam�nda, “veri” olarak kullan�lmaktad�r. Bili�im teknolojisi aç�s�ndan veri, bir durum hakk�nda, birbiriyle ba�lant�s� henüz kurulmam�� bilinenler veya k�saca, say�sal ortamlarda bulunan ve ta��nan sinyaller ve/veya bit dizeleri olarak tan�mlanabilir.

Bilgi; verinin belli bir anlam ifade edecek �ekilde düzenlenmi� halidir. Bu a�amada, veri ve ili�kili oldu�u konu, bilgi üretecek �ekilde bir araya getirilir. ��lenmi� veri olarak da ifade edilebilecek bilgi, Shannon taraf�ndan “bir konu hakk�nda var olan belirsizli�i azaltan bir kaynak” olarak tan�mlanm��t�r. K�saca, veri üzerinde yap�lan uygun bütün i�lemlerin (mant��a dayanan dönü�üm, ili�kiler, formüller, varsay�mlar, basitle�tirmeler, v.s.) ç�kt�s�, bilgi olarak ifade edilebilir.

Özbilgi; tecrübe veya ö�renme �eklinde veya iç gözlem �eklinde elde edilen gerçeklerin, do�rular�n veya bilginin, fark�nda olunmas� ve anla��lmas�d�r.

Bilgisayar kullan�m oran� �nternet Kullan�m oran�

Toplam Kad�n Erkek Toplam Kad�n Erkek

(Nis-Haz.2005) Türkiye 17,65 5,77 11,88 13,93 4,33 9,60

Kent 23,16 7,92 15,24 18,57 6,06 12,51

K�r 8,28 2,12 6,16 6,05 1,39 4,66

Üç ay bir y�l önce Türkiye 1,88 0,71 1,17 1,52 0,54 0,99

Kent 2,44 0,95 1,49 1,96 0,72 1,24

K�r 0,92 0,29 0,63 0,78 0,22 0,56

Bir y�ldan çok oldu Türkiye 3,42 1,53 1,89 2,10 0,74 1,36

Kent 3,98 1,83 2,16 2,54 0,92 1,61

K�r 2,45 1,03 1,42 1,36 0,43 0,92

Hiç kullanmad� Türkiye 77,06 42,28 34,78 82,45 44,68 37,76

Kent 70,41 38,65 31,77 76,94 41,65 35,29

K�r 88,35 48,45 39,90 91,81 49,84 41,97

Çizelge 2. Cinsiyete göre Türkiye, kentk�r ayr�m�nda bilgisayar ve �nternet yüzde kullan�m oranlar� (2)

Verileri bir araya getirilip, i�lenmesiyle bilgiyi olu�tursa da özbilgi, kullan�lan bilgilerin toplam�ndan daha üstte bir kavramd�r. Bir güç olu�turabilecek, katma de�er sa�layabilecek veya bir araç haline dönü�mek üzere, daha fazla ve özenli olarak i�lenmi� bilgi, as�l de�erli olan özbilgidir. Özbilgi, ne oldu�unu (knowwhat), niçin oldu�unu (knowwhy), nas�l oldu�unu (knowhow) ve kim oldu�unu (knowwho) bilmek �eklinde dört s�n�ftan olu�ur. Ne oldu�unu bilmek, gerçeklerin toplam�d�r ve bilgiye en yak�n olan s�n�ft�r. Niçin oldu�unu bilmek, teknolojik geli�menin alt�nda yatan ilke ve yasalar�n aç�kland�� bilimsel özbilgidir. Nas�l oldu�unu bilmek, bir �eyi yapabilme becerisidir. Kimin oldu�unu bilmek, kimin neyi ve kimin neyi nas�l yap�laca��n� bildi�ini bilmek olarak özetlenebilir (18).

Hikmet (wisdom), tasavvur, ileri görü� ve ufkun ötesini görme yetisi ile en ileri seviyede soyutlama ve bir ki�inin özel bir i� sahas�ndaki meslek hayat� boyunca elde edilmi� deneyimin özüdür (19). Hikmet, ayr�ca, güvenilir yarg�da bulunmak ve karar vermek için özbilginin nas�l kullan�laca��n� kavramak olarak da tan�mlanmaktad�r (20).

Veri, bilgi, özbilgi ve hikmet gibi kavramlar�n bili�im teknolojilerinin temel yap� ta�lar� oldu�unu göz ard� etmemek gerekir. Bu bak�� aç�s�, bilginin önemini ve bilgi ve bilgisayar güvenli�ini her zaman öncelikli bir konumda tutmakta yard�mc� olacakt�r. Her ne kadar, bilgi ile ilgili belirtilen kavramlar, burada bili�im teknolojileri ve özbilgi yönetimi aç�s�ndan de�erlendirilse de bu kavramlar�n alt�nda binlerce y�ll�k bir insanl�k medeniyetinin yatt��n� da hat�rlatmak gerekir. Bilginin önemini kavrayan tarihteki her uygarl�k, onu korumaya yönelik olarak, farkl� güvenlik yöntemleri geli�tirmi�lerdir (7–9).

Günümüzde bilginin üretilme, depolanma, korunma, kullan�lma, payla�ma, yay�lma, etkile�me ve artma h�z�, teknolojinin getirdi�i h�zl� bilgi i�leme ve ileti�im araçlar� ile ba� döndürücü bir hal alm��t�r. Bilgisayar ve haberle�me teknolojilerinde ya�anan ba� döndürücü geli�meler ve özellikle �nternet’in katalizör etkisi ile insanlar�n çal��ma, ileti�im kurma ve her türlü günlük ihtiyaçlar�n� kar��lama biçimi sürekli bir dönü�üm halindedir (21).

�nternet’in ula�t�� boyutlar� ortaya koymak aç�s�ndan yap�lan bir çal��man�n sonuçlar�n� burada aktarmak yerinde olacakt�r. Çizelge 1’de Kas�m 2005 tarihi itibari ile dünyada �nternet kullan�m�n�n her bir bölge için ne kadar oldu�u ve 2000–2005 y�llar� aras�ndaki �nternet kullan�m� art�� gösterilmektedir. Sunulan raporda, dünya nüfusunun %15’i (964 289 701 ki�i) �nternet kullanmaktad�r. �nternet kullan�c� say�s�ndaki art�� 2000–2005 y�llar� aras�nda %167,1’dir. Bu süreler zarf�nda kullan�c� art��n�n en çok oldu�u bölgeler %428,7 ile Afrika, %370,4 ile Ortado�u ve %302,9 ile Latin Amerika/Karayip bölgeleridir.

Çizelge 1. Dünya �nternet Kullan�m ve Nüfus �statisti�i (1)

Bölgeler Nüfus % Dünya �nternet Kullan�m % Nüfus % Dünya

(2005 tahmini) Nüfusu Kullan�m� Büyümesi Yayg�nl�k Kullan�c�

Afrika 896 721 874 % 14, 23 867 500 % 428,7 % 2,7 % 2,5

Asya 3 622 994 130% 56,4 327 066 713 % 186,1 % 9,0 % 33,9

Avrupa 804 574 696 % 12,5 283 482 940 % 169,7 % 35,2 % 29,4

Ortado�u 187 258 006 % 2,9 15 452 500 % 370,4 % 8,3 % 1,6

Kuzey Amerika 328 387 059 % 5,1 223 971 489 % 107,2 % 68,2 % 23,2

L.Amerika/Karayip 546 723 509 % 8,5 72 792 797 % 302,9 % 13,3 % 7,5

Okyanusya/Avustralya 33 443 448 % 0,5 17 655 762 % 131,7 % 52,8 % 1,8

DÜNYA TOPLAM 6 420 102 722 % 100,0 964 289 701 % 167,1 % 15,0 % 100,0

Ülkemizde bili�im teknolojilerin kullan�m�na yönelik bir ara�t�rma mevcuttur. Çizelge 2’de Devlet �statistik Enstitüsü taraf�ndan NisanHaziran 2005 aylar�nda 10151 hanedeki 27013 birey ile yap�lan yüz yüze görü�me ile gerçekle�tirilen Hanehalk� Bili�im Teknolojileri Kullan�m� Ara�t�rmas� sonuçlar�na göre kentk�r ve cinsiyete göre bilgisayar ve �nternet kullan�m oranlar� gösterilmektedir. Bu ara�t�rmada, hanelerin %8,66’s�n�n �nternet’e eri�im imkân�na sahip oldu�u, bilgisayar ve �nternet kullan�m oranlar�n�n s�ras�yla %17,65 ve %13,93 oldu�u belirtilmektedir. Çizelge 1’den de görülebilece�i gibi k�rsal kesimde bilgisayar ve �nternet kullan�m� kentlere göre daha dü�üktür ve kullan�c�lar�n ço�unlu�u erkektir.

Çizelge 2’de verilen ara�t�rma sonuçlar�ndan da görülebilece�i gibi gerek ülkemizde gerekse dünyada bilgisayar ve �nternet kullan�m� gittikçe yayg�nla�maktad�r. �nsanlar, �nternet’i bilgiye ula�mak için daha uygun bir ortam olarak de�erlendirmekte ve kullanmaktad�r. Amerika Birle�ik Devletleri’nde 2003 Ocak ay�nda Google, AOL Search, Yahoo, MSN Search, Ask Jeeves, InfoSpace, AltaVista, Overture, Netscape, Earthlink, Looksmart ve Lycos �nternet arama motorlar�nda günlük yap�lan arama say�s� toplam olarak 319 milyon olarak belirtilmi�tir (22). Bu say�n�n günümüzde çok daha fazla oldu�u de�erlendirilmektedir.

Üretilen bilgilerin büyüklü�ü, saklanmas� ve aktar�lmas� da önemli konulardand�r. Üretilen bilgi; kâ��t (kitap, gazete, büro belgeleri, süreli yay�nlar, mektup v.s.), film (foto�raf, sinema, televizyon film ve dizileri, video, x ��n�), manyetik (video, ses ve say�sal bant, miniDV, disket, zip, flash ve sabit disk) ve optik (ses CD, CD ROM ve DVD) saklama ortamlar�nda depolanmakta; telefon, radyo, televizyon ve �nternet gibi elektronik kanallar arac�l��yla akmaktad�r.

Y�llara göre üretilen toplam bilgiyi ç�kartmaya yönelik bir ara�t�rmaya göre 2002 y�l�nda bu dört bilgi saklama ortam�nda depolanan yeni bilginin kapasitesi toplam 5 eksa bayt’t�r (10¹⁸bayt’t�r). Amerikan Kongresi Kütüphanesinde var olan bas�l� koleksiyonun tamam�n�n 10 tera bayt’l�k bir bilgi kapasitesinde oldu�u dü�ünülürse, 2002 y�l�nda üretilip depolanan yeni bilgi, 100 000 Amerikan Kongresi Kütüphanesindeki bilgiye denk dü�mektedir. 2002 y�l�nda üretilen 5 eksa bayt’l�k verinin %92’si ço�unlukla sabit disk olmak üzere manyetik ortamda saklanmaktad�r. Yine bu ara�t�rman�n sonuçlar�na göre 2002 y�l�nda 18 eksabayt’l�k yeni bilgi telefon, radyo, televizyon ve �nternet arac�l��yla akmaktad�r. Bu bilginin %98’i hem ses hem de veri dâhil olmak üzere telefon arac�l��yla gönderilmi� ve al�nm��t�r. 2002 y�l�nda �nternet üzerinden akan veri miktar� 0,5 eksa bayt’t�r (23).

Günümüz insan�, günlük ya�am�nda bile yo�un bir bilgi bombard�man� alt�ndad�r. Bu yüzden bilgiye eri�imde seçici yöntemler kullan�larak, do�rudan ula��lmak istenilen bilgiye eri�tirecek yöntemler geli�tirilmelidir. Bilgiye etkin bir �ekilde ula��m ve bilgi i�leme ile ilgili bu konular bu çal��man�n kapsam� d��ndad�r.

Bilgi ile ilgili bir ba�ka önemli konu da, bilginin ta��d�� de�erdir. Bilginin de�erli veya de�ersiz oldu�unu belirlemek veya bilginin ta��d�� de�eri ölçmek, en az bilginin kendisi kadar önemlidir. Elde edilen bilgiyi de�erlendirirken, bilginin kalitesini gösteren özelliklere bak�lmas� gerekir. Do�ruluk, güncellik, konuyla ilgili olma, bütünlük ve öz, gereksinimlere uyum gösterme, iyi sunulma ve fiziksel ve idrak yolu ile eri�im gibi ölçütler bilginin kalitesini belirleyen etmenlerden baz�lar�d�r (24).

Bilginin çok önemli bir varl�k olmas�, ona sahip olma ile ilgili baz� konular�n düzenlenmesi ve yeni �artlar�n getirdi�i özelliklere göre ayarlanmas�n� gerekmektedir. Bilgi, en basit benzetme ile para gibi bir metad�r. Ki�iler, kurumlar ve ülkeler için bilgi, elde edilmesi zor, ayn� zamanda elde tutulmas� da zor bir metad�r. Entelektüel mülk (intellectual capital, property) olarak tan�mlanan bu meta, bir kurumun bilgi ve özbilgi varl��d�r (25). Bu mülkün korunmas�, hayati bir önem arz etmektedir. Bu korunma, hem bilgi kullan�m�ndaki karma�ay�, yozla�may� ve kötüye kullan�m� önleyece�i gibi hem de bilgiyi bir çaba göstererek elde eden tüzel veya gerçek ki�ilerin haklar�n�n korunmas�n� da sa�layacakt�r. Bu sayede firmalar, çetin rekabet ortam�nda, sahip olduklar� fark yaratan ve ayn� zamanda koruyabildikleri entelektüel mülk ile avantajl� konumlar�n� koruyabilmektedirler (26). ��te bu yüzden patent, telif hakk� ve ticari marka gibi haklar, entelektüel mülkü korumak amac�yla olu�turulmu�tur (27). Fakat bilginin korunmas�, daha do�rusu bilginin güvenli�i, özellikle elektronik ortamda çok daha kapsaml� bir konudur.

Bilginin de�erinin olmas�, bu de�eri elde etmek için emek ve zaman�n harcanmas� ve kazan�lan bilginin fark yaratmas� nedeniyle bilgi, korunmas� gereken bir varl�k olarak görülmektedir (28). Bu aç�dan bilginin korunmas�na yönelik olarak, bilgi güvenli�i, dünya gündeminde olan ve bundan sonra daha da önemini artt�rarak devam eden bir konu olarak kar��m�za ç�kmaya devam edecektir.

B�LG� VE B�LG�SAYAR GÜVENL��

Bilgi güvenli�i, elektronik ortamlarda verilerin veya bilgilerin saklanmas� ve ta��nmas� esnas�nda bilgilerin bütünlü�ü bozulmadan, izinsiz eri�imlerden korunmas� için, güvenli bir bilgi i�leme platformu olu�turma çabalar�n�n tümüdür. Bunun sa�lanmas� için, uygun güvenlik politikas�n�n belirlenmeli ve uygulanmal�d�r. Bu politikalar, faaliyetlerin sorgulanmas�, eri�imlerin izlenmesi, de�i�ikliklerin kay�tlar�n�n tutulup de�erlendirilmesi, silme i�lemlerinin s�n�rland�r�lmas� gibi baz� kullan�m �ekillerine indirgenebilmektedir. Bilgi güvenli�i daha genel anlamda, güvenlik konular�n� detayl� olarak ele alan “güvenlik mühendisli�i”nin bir alt alan� olarak görülmektedir.

�ekil 2. Sald�r� Karma��kl�� ile Sald�rgan Teknik Bilgisi (31).

Bilgi ve bilgisayar güvenli�inde, kar�� taraf, kötü niyetli olarak nitelendirilen ki�iler (korsanlar veya sald�rganlar) ve yapt�klar� sald�r�lard�r. Var olan bilgi ve bilgisayar güvenli�i sistemini a�mak veya atlatmak, zafiyete u�ratmak, ki�ileri do�rudan veya dolayl� olarak zarara u�ratmak, sistemlere zarar vermek, sistemlerin i�leyi�ini aksatt�rmak, durdurmak, çökertmek veya y�kmak gibi kötü amaçlarla bilgisayar sistemleri ile ilgili yap�lan giri�imler sald�r� veya atak olarak adland�r�lmaktad�r. Sald�rganlar, amaçlar�na ula�mak için çok farkl� teknikler içeren sald�r�lar gerçekle�tirmektedirler. Sald�r� türlerinin bilinmesi, do�ru bir �ekilde analiz edilmesi ve gereken önlemlerin belirlenmesi, bilgi güvenli�i için büyük bir önem arz etmektedir.

Bilgi güvenli�i, “bilginin bir varl�k olarak hasarlardan korunmas�, do�ru teknolojinin, do�ru amaçla ve do�ru �ekilde kullan�larak bilginin her türlü ortamda, istenmeyen ki�iler taraf�ndan elde edilmesini önleme olarak” tan�mlan�r. Bilgisayar teknolojilerinde güvenli�in amac� ise “ki�i ve kurumlar�n bu teknolojilerini kullan�rken kar��la�abilecekleri tehdit ve tehlikelerin analizlerinin yap�larak gerekli önlemlerin önceden al�nmas�d�r”.

Özellikle ülkemizde, ne yaz�k ki, birçok kurum ve kurulu�un ve her seviyeden bilgisayar kullan�c�s�n�n ço�unlukla bilgi ve bilgisayar sistemlerine ve bilgi güvenli�ine bak�� aç�s�n�n yeterli seviyede olmad�� tespit edilmi�tir (4, 29). Kas�mAral�k 2004 tarihleri aras�nda yap�lan bir ara�t�rmada, 800 civar�nda ADSL abonesi ve 500’ün üzerinde �irketin güvenlik sisteminin denetlenmesi ile gerçekle�tirilen “Türkiye �nternet Güvenli�i Ara�t�rmas�” sonuçlar�na göre �irketlerin %27'sinin bili�im sistemlerinde çok yüksek seviyede aç�klar gözlenmi�, ADSL abonelerinin %72’sinin güvenlik duvar� yap�land�rmalar�nda ciddi aç�klar görülmü�tür (4).

Türkiye Bilimsel ve Teknik Ara�t�rma Kurumu TÜB�TAK’�n Yönlendirme Kurulu, yapm�� oldu�u “Bilim ve Teknoloji Strateji Belgesi” çal��mas�nda (30), ülkemizin 2023 y�l�na ��k tutacak bilim, teknoloji ve yenilik ufkunu belirlerken, bilgi toplumuna geçi� için, teknolojik altyap�n�n güçlendirilmesi hedefi do�rultusunda yap�lmas� gerekenler aras�nda bilgi güvenli�i konusunun göz ard� edilmeyip çe�itli stratejilerin belirlenmi� olmas� ümit vericidir.

�ekil 2’de gösterildi�i gibi, sald�r�lar zamanla ve geli�en teknoloji ile oldukça farkl�l�klar göstermektedir. Parola tahmin etme ya da i�yerlerinde kâ��t notlar�n at�ld�� çöpleri kar��t�rma gibi basit sald�r�lar, günümüzde art�k yerini daha kapsaml� olan çapraz site betikleme (cross site ******ing), oto koordineli (auto coordinated), da��t�k (distributed) ve sahnelenmi� (staged) sald�r�lara b�rakm��t�r. Sald�r�lar veya sald�r�larda kullan�lan araçlar, teknik aç�dan gittikçe karma��kla��rken, bu sald�r�y� yürütecek sald�rgan�n ihtiyaç duydu�u bilginin seviyesi de gittikçe azalmaktad�r. Bu durum sald�r� ve sald�rgan say�s�n�, sald�r�lar sonucunda olu�acak zararlar� art�r�rken, sald�r�y� önlemek için yap�lmas� gerekenleri de zorla�t�rmaktad�r.

Son günlerde, bilgi sistemlerinde bilgi güvenli�i konusunda zafiyet olu�turan, virüsler, solucanlar, Truva atlar�, arka kap�lar, mesaj sa�anaklar�, kök kullan�c� tak�mlar�, telefon çeviriciler, korunmas�zl�k sömürücüleri, klavye dinleme sistemleri, taray�c� soyma ve casus yaz�l�mlar�n yan�nda, reklâm, parazit, h�rs�z, püsküllü bela yaz�l�m, taray�c� yard�mc� nesnesi, uzaktan yönetim arac�, ticari RAT, bot a��, a� ta�k�n�, sald�rgan ActiveX, Java ve betik, IRC ele geçirme sava��, nuker, paketleyici, ciltçi, �ifre yakalay�c�larsoyguncular, �ifre k�r�c�lar, anahtar üreticiler, eposta bombard�man�, kitle postac�s�, web böcekleri, aldatmaca, sazan avlama, web sahtekârl��doland�r�c�l��, telefon k�rma, port taray�c�lar, sondaj arac�, arama motoru soyguncusu, koklay�c�, kand�r�c�, casus yaz�l�m ve iz sürme çerezleri, turta, damlat�c�, sava� telefon çeviricileri ve tav�anlar ad� alt�nda ve her biri farkl� amaçlara yönelik de�i�ik yöntemler kullanan çok çe�itli kötücül yaz�l�m�n var oldu�u da tespit edilmi�tir (6).

Bu sald�r�lar ve zafiyetler kar��s�nda, bilgi güvenli�ini sa�lamak için bu güvenli�i olu�turan unsurlar�n belirlenmesi gereklidir. Bu unsurlar�n yoklu�u veya bu unsurlarda olu�abilecek zafiyetler, do�rudan olu�turulmak istenen güvenli�in etkinli�ini belirleyecektir.

Bilgilerin, istenmeyen hasarlardan korunmas� için, en temel aç�dan at�lmas� gereken ad�mlar, güvenlik unsurlar�n�n yerine getirilmesi ile sa�lanmaktad�r. Bu konu Bölüm 4’de ayr�nt�l� olarak incelenmi�tir.

GÜVENL�K UNSURLARI

Gizlilik(confidentiality), bütünlük(integrity), kullan�labilirlik(availability), kimlik kan�tlama(authentication) ve inkâr edememe(nonrepudiation) bilgi güvenli�inin en temel unsurlard�r. Bunun d��nda sorumluluk(accountability), eri�im denetimi(access control), güvenilirlik(reliability) ve emniyet(safety) etkenleri de bilgi güvenli�ini destekleyen unsurlard�r. Bu unsurlar�n tamam�n�n gerçekle�tirilmesiyle ancak bilgi güvenli�i tam olarak sa�lanabilecektir. �ekil 3’den de görülebilece�i gibi, bu unsurlar�n bir veya birkaç�n�n eksikli�i, güvenlik boyutunda aksamalara sebebiyet verebilecektir. Bu unsurlar�n birbirini tamamlay�c� unsurlar oldu�u hiçbir zaman unutulmamal�d�r.

TSE17799 “Bilgi Güvenli�i Yönetim Standard�” belgesinde, gizlilik, “bilginin sadece eri�im hakk� olan yetkili ki�ilerce eri�ilebilir olmas�n�n temini” olarak; bütünlük, “bilgi ve bilgi i�leme yöntemleri ile veri içeri�inin de�i�medi�inin do�rulanmas�” olarak; kullan�labilirlik, “yetkili kullan�c�lar�n ihtiyaç duyuldu�unda bilgi ve ili�kili varl�klara eri�me hakk�n�n olmas�n�n temini” olarak tan�mlanm��t�r (32). Kimlik kan�tlama, geçerli kullan�c� ve i�lemlerin tan�nmas� ve do�rulanmas� ile bir kullan�c�n�n veya prosesin hangi sistem kaynaklar�na eri�me hakk�n�n oldu�unun belirlenmesi sürecidir. �nkâr edememe, bir bilgiyi alan veya gönderen taraflar�n, o bilgiyi ald��n� veya gönderdi�ini inkâr edememesini sa�lama i�lemidir.

Sorumluluk, belirli bir eylemin yap�lmas�ndan, kimin veya neyin sorumlu oldu�unu belirleme yetene�idir. Tipik olarak etkinliklerin kay�tlar�n� tutmak için bir kay�t tutma (logging) sistemine ve bu kay�tlar� ara�t�racak bir hesap inceleme (auditing) sistemine ihtiyaç duyar. Eri�im denetimi, bir kayna�a eri�mek için belirli izinlerin verilmesi veya al�nmas� olarak tan�mlanabilir. Güvenilirlik, bir bilgisayar�n, bir bilginin veya ileti�im sisteminin �artnamesine, tasar�m gereksinimlerine sürekli ve kesin bir �ekilde uyarak çal��mas� ve bunu çok güvenli bir �ekilde yapabilme yetene�idir. Emniyet, bir bilgisayar sisteminin veya yaz�l�m�n i�levsel ortam�na gömülü oldu�unda, kendisi veya gömülü oldu�u ortam için istenmeyen potansiyel veya bilfiil tehlike olu�turacak etkinlik veya olaylar� önleme tedbirlerini içermektedir.

Telekomünikasyon Kurumu taraf�ndan 15 Ocak 2004 tarih ve 5070 say�l� “Elektronik �mza Kanunu”na temel al�narak haz�rlanm�� olan “Elektronik �mza Kanununun Uygulanmas�na �li�kin Usul ve Esaslar Hakk�nda Yönetmelik”te bilgilerin gizlili�i ve korunmas� ile ilgili gerekli hususlar�n sunulmas� ise bilgi ve bilgisayar güvenli�i konusunda dünya ülkeleriyle beraber gerekli ad�mlar� zaman�nda at�yor olmam�z aç�s�ndan, bir di�er olumlu ad�m olarak de�erlendirilmektedir (5).

Güvenlik unsurlar�n gereklerini yerine getirmek, güvenlik süreçlerini ve politikalar�n� olu�turma ve uygulamayla ba�ar�ya ula�acakt�r. Güvenlik süreçleri Bölüm 5’de incelenmi�te detayl� olarak incelenmi�tir.

GÜVENL�K SÜREÇLER�

Bilgi güvenli�i çerçevesinde kurulacak güvenlik sistemi altyap�s�n�n ve politikas�n�n do�ru bir �ekilde belirlenebilmesi için, korunmak istenen bilginin de�erlendirilmesi ve güvenlik yönetiminin do�ru ve eksiksiz bir �ekilde yap�lmas� gerekir. Güvenlik yönetimi, bilgi ve bilgisayar güvenli�ini olumsuz yönde etkileyecek faktörlerinin belirlenmesi, ölçülmesi ve en alt düzeye indirilmesi sürecidir.

ISO Rehber 73’e göre risk, bir olay�n ve bu olay�n sonucunun olas�l�klar�n�n birle�imi olarak tan�mlanmaktad�r. Risk yönetiminin bir ad�m� olan risk de�erlendirmesi, risklerin tan�mland�� ve tan�mlanan bu risklerin etkilerinin ve önceliklerinin belirlendi�i bir süreçtir. Risk yönetimi, kabul edilebilir düzeyde bir riskin belirlenmesi, hali haz�rdaki riskin de�erlendirilmesi, bu riskin kabul edilebilir düzeye indirilebilmesi için gerekli görülen ad�mlar�n at�lmas� ve bu risk düzeyinin sürdürülmesidir. Bilgi ve di�er varl�klar, bu varl�klara yönelik tehditler, var olan sistemde bulunan korunmas�zl�klar ve güvenlik sistem denetimleri, mevcut riski tayin eden bile�enlerdir. Korunmas� gereken bilgi ya da varl�klar�n belirlenmesi; bu varl�klar�n kurulu�lar aç�s�ndan ne kadar de�erli oldu�unun saptanmas�; bu varl�klar�n ba��na gelebilecek bilinen ve muhtemel tehditlerden hangilerinin önlenmeye çal��laca��n�n ortaya konulmas�; muhtemel kay�plar�n nas�l cereyan edebilece�inin ara�t�r�lmas�; her bir varl��n maruz kalabilece�i muhtemel tehditlerin boyutlar�n�n tan�mlanmas�; bu varl�klarda gerçekle�ebilecek zararlar�n boyutlar�n� ve ihtimallerini dü�ürmek için ilk planda yap�labileceklerin incelenmesi ve ileriye yönelik tehditleri asgari seviyede tutmak için at�lmas� gereken ad�mlar�n planlanmas�, risk de�erlendirmesinin belli ba�l� safhalar�ndand�r (35).

Risk yönetimi sonucunda kurulacak ve yürütülecek güvenlik sisteminin maliyeti, dikkate al�nmas� gereken bir ba�ka önemli husustur. Güvenlik sisteminin maliyeti, korunan bilginin de�eri ve olas� tehditlerin incelenmesiyle belirlenen risk ile s�n�rl� olmal�d�r. %100 güvenli�in olmayaca�� ilkesi ile beraber, bilgi güvenli�inin ideal yap�land�r�lmas� üç süreç ile gerçekle�tirilir. Bu süreçler, önleme (prevention), saptama (detection) ve kar��l�k vermedir (response ya da reaction).

�ekil 4’de güvenlik süreçlerine bir örnek verilmi�tir. Bu �ekilde, 4 farkl� sald�r� [1][4] i

SEDAT ERGEN�

Sergen�

2/6/2008

Bilgi, Bilgi G�venli�i ve S�re�leri

0 yorum yaz�lm��t�r

Son Yaz�lar�m

Kategorilerim

Arkada�lar�m

Ba�lant�lar�m