Yoğun olacak bu serimizin ilk yazısını başlatmaktayım. Siber güvenlik konusunda dolu dolu türkçe bir arşiv oluşturmayı istiyorum. Giriş olup yoğun miktarda abstraction ( soyutlama ) barındıracaktır. Siber güvenlik kendi başına bir sektör olmaktan ziyade birçok sektörün dijitalleşip verilerini dijitalde tutmaları sonucunda ortaya çıkan siber güvenlik sorunlarına bir çözüm olmasıdır. Bu alanın bilim dalı olup olmaması hala tartışma konusudur.
İnternete bağlı bilgisayarlarınız kervansaraylar ise network üzerinde kablolu veya kablosuz ilerleyip routurler üzerinden hedefe gitmeye çalışan paketler ise sizin kervanlarınızdır. Bu kervanlar en kısa yoldan kervansaraya gider. Nasıl geçmişte kervanlara veya kervansaraylara saldırılmışsa günümüzde de sunucuyu ve istemciyi temsil eden kervansaray ve veri yolunu temsil eden kervanlara da saldırılmaktadır. Kişiler buradan veri çalabilir, kitleyebilir veya sadece yıkım amaçlı ortadan kaldırarak zarar verebilirler.
Siber Güvenliğin Tanımı
Verilerin, bilgisayar donanım veya yazılımının, bağlı IoT cihazların yetkisiz kişilerin kasıtlı olarak erişip çıkarlarına göre kötüye kullanması sonucuna karşı korunmaya yönelik ele alınanan mühendislik ve sanat alanıdır.
Güvenilirlik veya fazlalık gibi kasıtsız gelişen sorunlara cözüm örneklerini kapsamaz.
Güvenlik Hedefleri
Biz bu başlık altında altı ana konuyu işleyeceğiz.
Gizlilik ( Confidentiality )
Amaç herkese açık olmayan bilgilerin gerek hareketsiz, gerek haraket halinde olsun yalnızca yetkililer tarafından erişilebilir( okunabilir ) olmasıdır.
Bu konuda işletim sistemleri erişim kontrolü sayesinde yetklendirme yaparak user, grup ve all users çapında yetkilendirme yapabilmektedir. Aynı zamanda kriptoloji ile şifreleme veya makineye fiziksel erişimi kısıtlamak da çözümler arasındadır.
Bütünlük ( Integrity )
Ele alınan kodların sadece yetkililer tarafından değişim iznine sahip olmasıdır. Biz ne kadar güvenliği sağlasak da göderilen paketlerin bütünlüğünde sorun varsa istenmeyen sonuçlar ortaya çıkabilir. Bunun için kriptografik sağlama toplamları ve erişim kontrolleri kullanılır.
Erişilebilirlik ( Availability )
Bizler ne kadar kötü amaçlı kişilerden korusak da günün sonunda bizlerin yetki sahibi olan kişilerce verilere erişebilmesi gerekmektedir. Sunucularaya yapılan saldırılar, yoğun talepler bizlerin erişilebilirliğimize olan engelidir. Servis engelleme saldırıları olarak geçmektedir.
Kimlik Doğrulama ( Authentication )
Bir failin, kendi varlığını belirttikten sonra onun doğruluğunu sorguladığımız katmandır. Yani sisteme Ahmet kullanıcısı girdiyse ve ” Ben Ahmet’ im giriş yapmak istiyorum.” diyorsa ve gereken bilgiyi verdiyse onun gerçekten Ahmet olup olmadığını sorguladığımız adımdır.
Yetkilendirme ( Authorization )
Bilgi işlem kaynaklarının yalnızca yetkili kullanıcılar tarafından erişilebilmesidir. Bu yetkileri kurucu veya yönetici vermektedir. Bu erişim kontrol mekanizmaları ile sağlanmaktadır.
Hesap Verebilirlik( Accountability )
Faillerin geçmişte yapmış oldukları eylemlerden sorumlu olması durumudur. İşlem kayıtlar ( logs ) tutularak kişinin bu yaptığı adımlardan gerektiğinde hesap sorulabileceğinin farkındalığında olmasıdır. Dijital dünya gerçek hayata göre daha küçük çalışma alanına sahip olduğu için kanıtlar da tutulan işlem kayıtları ile sınırlı olmuştur. Logların da güvenliği sağlanmalıdır.
Trusted ( Güvenilen ) ve Trustworty ( Güvenilir ) Kavramları
Birbirine çok benzeyen fakat siber güvenlikteki iki farklı başlıklardır. Güvenilen kavramı aslında öznel ve metriklere ihtiyaç duyulmayan kavramdır. Kişi dayanaksız, hatta zıttı durumlara karşı güvenebilir. Ama güvenilebilir kavramı test edilimiştir ve dayanakları mevcuttur.
Örneğin bir uygulamanın datalarınızı koruduğunu düşünürsünüz ve hiçbir data sızdırmadığını görerek ” Bu app mahremiyetimi sağlıyor ” diyebilirsiniz. Bu da güvenilen olduğunu gösteririr. Fakat bunun test edilip edilmediği, saldırılara karşı önlemleri olup olmadığı, devletlerin veya tüzel kişiliklerin data istemesine karşı ne tepki verdiği veya vereceği konusu sınanmış olmalıdır. Eğer bu adımları başarılı verdiyse güvenilirdir. Çünkü sınanmıştır. Eğer bu sınamalarda ilerleyen süreçlerde sorunlar baş gösterirse güvnilirliği de aynı oranda düşecektir. Fakat bu konuları umursamayan user ” Bu app güvenli kardeşim benim verilerim o kadar da önemli değil ki ” diyebilir ve güvenilen olmaya devam edebilir.
Gizlilik, Mahremiyet ve Anonimlik Kavvramları
Gizlilik ( Confidentiality )
Bilgilerin ifşasını önlemek adına tüm saklı bilgileri kapalı kapılar ardında tutmaktır.
Mahremiyet ( Privacy )
Burada saklanması gerkeen kişisel bilgilerdir. Yani sizin kimliğinizi oluşturan ve özel kişiliğinizi barındıran bilgilerdir. Bu başlık gizlilikten daha dar bir alandır.
Anonimlik ( Anonymity )
Kişinin yapacağı eylemin bir kimlik altında değil de anonim olarak yapmasıdır. Bitcoin anonimlik sağlama konusunda tartışılsa da bir örnek verebiliriz. Amaç kişisel kimlik barındırmadan para transferi yapmaktır.
Güvenlik Politikası
Güvenlik, ilgili yapının ortaya koyduğu güvenlik politikası ile anlaşılır. Ortaya koyulan oluş ve bu alanlarda verilen izinler, yasaklar gündeme alınır.
Örneğin aldığı kurumsal politika artık sistem sunucularına sadece ” X Departmanı ” userlarının erişebileceğini belirtmesi olabilir veya parola politikası olarak şifrenizde ardışık ifade kullanmanızı engelleyebilir. Bunlar güvelik politikası başlığı altındadır.
KAYNAKÇA
https://www.youtube.com/watch?v=BGc4w-ARCB0&t=2744s ( Prof. Dr. Kemal Bıçakcı )
