Günümüzde tüm sistemlerin yönetilebilmesi için artık yazılımları kullanıyoruz. Yazılımların işleri kısaltma, depolama maliyetlerini azaltma, el ile yapılan gereksiz işleri insanlardan devralma, raporlama ve süreç iyileştirmelerde gerçek veri sağlama, iletişim yollarını hızlandırma ve arttırma gibi sayısız avantajı var. Tabii ki yazılım kullanmak ciddi bir iş gücü artışı ve işleyişler konusunda ciddi bir bilgi birikimini beraberinde getiriyor. Yalnız bu bilginin güvenliğinin sağlanmadığı durumlarda erişimdeki kolaylık ne kadar yüksekse, verinin zarara uğraması veya kritik bilginin sızdırılması da o kadar kolay oluyor.
Enerji, üretim ve ulaşım ile ilgili sistemlerin tamamının yazılımlarla yönetildiğini biliyoruz. Bu sistemlerin yazılımları en ciddi hedeflerdir. Hele günümüzde Türkiye enerji üretim ağını yeni nükleer santraller ile güçlendirmeye çalışırken korkuların en büyüğünü siber tehditlerle yaşıyoruz. Daha önce İran’daki nükleer santrallerden birine yapılan Stuxnet saldırısının tüm bölgeye ciddi maliyetlerinin olması işten bile değildi. Stuxnet saldırısını düzenleyenlerin virüsü 2012’de kendini imha edecek olarak tasarlaması ve etkilerini sınırlı tutmaya karar vermesi, bu virüs saldırısıyla daha ciddi kayıpların olmamasını sağlamıştır.
Bilgi güvenliği
Bilgilerin izinsiz okunabilmesini, değiştirilebilmesini, silinebilmesini engelleme işlemidir. Daha detaylıca,
-banka şifrelerinin ele geçirilmesi,
-cryptolocker gibi yazılımlarla fidye karşılığı okunabilecek şekilde bilgisayarları veya veriyi kilitleme
-okunmaması gereken kişisel veya kurumsal bilgileri sızdırma,
-loğlarda veya veride değişiklik yapıp aksini ispatlanamayacak durumlar meydana getirme (yapmadığınız bir para transferinin veya telefon konuşmasının aslında yapılmış gibi görünüyor olması)
-Toplu halde saldırıp sistem kesme (DDoS – Özellikle kameraların, klimaların, başka internete bağlı cihazların – IoT- ele geçirilmesi veya zombi bilgisayarlar ile)
-Sistemlerin başkaları tarafından okunup ele geçirilmesi
gibi saldırılara karşı önlem alınması işidir.
COBIT 5 for information security ile ISACA , ISO 27001:2005 Bilgi güvenliği sistemi ile ISO bu konuda bir dünya standardı getirmiştir. ISO 27001:2005’in Türkçeye çevirisi de TSE tarafından yapılmıştır.
Son olarak saldırganların hedef belirlerken belirli bir ekonomi ile hareket ettiklerini hatırlatalım. Aslında bilgi güvenliğinde yapmak istediğimiz şey, başarılı bir saldırının maliyetini, getirisinden daha yüksek seviyeye çıkartmak.
Kurumsal bilgi güvenliği ve enerji sektörü
Kurumların verileri ve yönettikleri bütçeler kişilere göre çok daha büyük olduğundan, yukarıdan bahsettiğim maliyet/getiri ölçeğinde Kurumsal hedefler her zaman tercih edilen hedeflerdir. Konu enerji olduğunda ise aslında getirinin bir sınırı olmadığından ekip-siber ordu saldırıları ve ciddi işlemci ağları ile saldırılar düzenlenmesi işten değildir. Konu enerji olduğunda ulusal stratejiler, uluslararası ekonomi ve anlaşmalar da korunması gerekenler listesine eklenmektedir.
Yine de Bilgi güvenliği ile ilgili temel ekonomi, kaynak ve kullanılabilirlik üzerine odaklanır. Önce kaynak konusunu ele alalım. Kurumların bilgi güvenliği için ayırdığı kaynaklar sınırlıdır. Bu sınırlı kaynaklarla kurumda nelerin yapılabileceği konusu kurumun kritik düzeyde neleri tutacağı, sınıflandırma sonrasında neyin güvenliğine ciddi yatırım yapılacağı, neye yapılmayacağı ayarlanır.
Kullanılabilirlik konusu da kurumların iç açmazlarından biridir. Bilginin erişimi ve kullanılabilirliği, ihtiyaçla sınırlandırılmalıdır ama kurumun verim kaybetmemesi için bu konuda da bir karara varılmalıdır.
Bilgi güvenliği konusunda öncelikle teknoloji alınması sık karşılaştığımız senaryodur ama işin nasıl yapılacağına dair danışmanlık alınması, mümkünse ISO 27001:2005 veya “COBIT 5 for information security” dönüşümü projesi ile bilgi güvenliğinin kapsamlı bir şekilde sağlanması doğru yöntemdir. Belirli bir yöntem dâhilinde ilerlenmediğinde ciddi miktarda kaynak israfı olmaktadır.
Kurumsal Bilgi güvenliği göz önüne alındığında maliyetlerin hesabının verilebilir olması işin içine girmektedir. IT genelde hizmet sağlayıcı pozisyondadır. Sağladığı hizmetleri kendi kullanmaz, diğer birimlerin ihtiyaçları doğrultusunda bu hizmetler sağlanır. Yapılacak yatırımların kaynaklarını yönetimlere açıklamak ciddi bir sorundur. Bu konuda IT ekibi yine ITIL gibi bir deseni takip ederek maliyetin tam olarak
Pentest/Saldırı/Savunma
Ünlü Pentest kavramı, bir savunma tipi değildir. Pentest, IT altyapısındaki BİLİNEN saldırı tiplerinde mevcut açıklıkların belirli bir yüzde başarı şansı ile bulunmasına yarayan testtir. Tüm altyapıdaki açıklıkların tamamının bulunması tek bir pentest ile imkânsızdır. Bilinen saldırı tiplerine devamlı yenileri eklenmekte ve saldırı desenleri gelişmektedir. Bu yüzen yılda 1 defa Pentest yapılması tüm sistemler için zaruridir.
Pentestin yapılması, açıkların kapanması anlamına gelmez, açıkların belirlenmesi anlamına gelir. Genel itibarı ile pentest süresi K adam/saat bir efor gerektiriyorsa mevcut açıkların kapatılması 7-10 K adam/saat bir defans kaynağı ayrılmasını gerektirir. Ama pentest sonrasında açıkların kapatılıyor olması dışında süreçlerin güvenliğe göre düzenlenmesi da gerekir. Bu şekilde ilerlenmediği takdirde yapılan değişiklikler açıklara sebep oluyorsa aynı açıklarla bir sonraki yıl pentestte tekrar karşılaşılır. Pentest sonrası ilk ay açık oluşturacak bir kurulum yapılırsa, 11 ay bu açık sistemde saldırı bekliyor demektir. Bu yüzden değişiklik yönetimi esnasında süreçlerin güvenlik konusu göz önüne alınarak geliştirilmesi önemlidir.
Ayrıca canlı siber saldırılar karşısında algılama sistemleri ve canlı savunma stratejilerinin ekiplerce dokümantasyonunun ve tatbikatının yapılmış olması gerekir. Ayrıca siber saldırı veri tabanı tutulmalı ve bu veri tabanına göre de süreçler geliştirilmelidir.
Tabii ki bir kere saldırı başarılı bir şekilde gerçekleştikten sonra kayıplar gerçekleşmiş demektir. Bu yüzden aslen zaten sınırlı olan kaynakları düzenli bir risk yönetimi ile saldırılar olmadan alan daraltma işine yoğunlaştırmakta fayda vardır.
Sonuç olarak kritik ve saldırı altında ciddi zararlara konu olabilecek sistemlerin savunmaları ciddi anlamda kaynak, bilgi yükü ağırlığı olan ciddi bir çalışma, birimler arası sıkı bir koordinasyon gerektiren bir iştir. Ama tüm yapılan teknoloji yatırımının güvenliğini sağlamak gerekmekte, yapılacak kaynak hesaplarında bilgi güvenliği yatırımlarını da göz önüne almalıdır.
Ertugrul BOLAT
Yazar
