SİBER GÜVENLİĞE GİRİŞ

1.1 SİBER GÜVENLİĞE GİRİŞ

Güvenlik kavramı tarih boyunca önemli konularından ve ihtiyaçlarından biri olmuştur.
Günümüz teknoloji temelli iletişim yapısında güvenlik ihtiyacı kavramı eskiye kıyasla önemli ölçüde
farklılık göstermektedir. Bilişim teknolojilerinin ve özellikle internetin günlük hayatın hemen her
alanındaki etkin kullanımının, bu kavramın değişiminde büyük etkisi vardır. Genel olarak bilişim
teknolojileri, kişilerin hayatını kolaylaştırmak için geliştirilmektedir. Kişilere ait tıbbi veriler, eğitim
verileri, mali veriler ve sosyal veriler gibi bilgiler dijital ortamda tutulmakta ve bilişim sistemlerinin
işlevselliğinde kaynak teşkil etmektedir. Bilişim teknolojileri insan hayatını kolaylaştırmış olmasına
rağmen, art niyetli kişilerin de hedefi ya da aracı olabilmektedir.
İnternetin ortaya çıkışı, günlük hayattaki hemen her alanda kullanımı ve yaygınlaşması, kritik,
hassas verilerin ve altyapı sistemlerinin bilgisayarlar ve ağ üzerinden yürütülebilmesi, kurumların
yanı sıra devletlerin de güvenlik kavramını farklı boyutlarla ele almalarına neden olmuştur. Kişisel
açıdan ele alındığında, bireye ait finansal bilgiler, sağlık bilgileri gibi veriler “hassas” veriler olarak
adlandırılabilir. Bireyler, çeşitli konumlarda depolanan ya da ağdan transfer edilen bu verileri
yetkisiz kişilere karşı korumak yani güvenliğinden emin olmak isterler. Aynı biçimde kurumların da
güvenliğini sağlama ihtiyacı duydukları verileri bulunmaktadır.

Dijital ortamda tutulan, İnternet veya ağ üzerinden
aktarılabilen bu verilerin korunması, eskiye oranla çok daha önemli bir hâle gelmiş, bu nedenle güvenliğinin sağlanması ihtiyacı da aynı derece kritik bir görev ve sorumluluk
oluşturmuştur. Güvenlik ihtiyacının hem kişisel hemde kurumsal düzeyde, hatta küresel ölçekte de dikkate alınması gerekmektedir. Bir kurumun ticari sırları, patentleri, mali kayıtları ve işlerin yürütülmesiyle ilgili bilgileri de
SİBER GÜVENLİĞE GİRİŞSiber saldıralar altyapıları hedefleyebilir

korunması gereken önemli verilerdir. Aynı şekilde ülke çapında da, kritik altyapı bilgileri ve askeri bilgiler gibi son derece değerli ve korunması gereken bilgiler bulunmaktadır. Bireysel ya da kurumsal, depolanan ya da hareket halinde olan tüm veriler, bu verilerin tutulmasını, aktarımını sağlayan tüm altyapılar siber güvenliğin kapsamında ele alınması gerekmektedir.
Bu bölümde, siber güvenliğin ne olduğu, kişisel ya kurumsal verilerin neler oldukları, neden korunması gerektiğine değinileccektir. Ayrıca siber güvenliğin anlaşılabilmesi için ele alınması gereken donanım, yazılım, işletim sistemi ve ağ iletişimi gibi temel kavramlar siber güvenlik çerçevesinde incelenecektir.

Bu görsel boş bir alt niteliğe sahip; dosya adı Adsiz-1024x756.jpgSiber kelimesi, İngilizcedeki “Cyber” kelimesinden dilimize
geçmiş, bilgisayar veya bilgisayar ağları ile ilgili ya da bunları içeren
kavram yahut varlıkları tanımlamak için kullanılan bir ifadedir [1] .
Diğer bir deyişle birbiriyle bağlantılı donanım, yazılım, sistem ve
insanların iletişim ve/veya etkileşimde bulundukları soyut veya somut alanı tarif etmek için kullanılmaktadır [2]. İnsanların farklı yollarla iletişim kurabildiği, bilgisayar ağları tarafından oluşturulan fiziksel olmayan alanlara siber uzay denir. Bu tanım sanal bilgisayar dünyasını ifade eder. Siber uzay, iletişim ve veri
Siber güvenlik her bireyi ilgilendiren bir kavramdır.


alışverişi faaliyetlerinin yapılabilmesi için iletişim protokollerini kullanan dünya çapındaki birçok bilgisayar alt ağından oluşan ağlararası büyük bir ağı içerir. Siber uzay, kullanıcıların diğer birçok faaliyetlerinin yanı sıra birbirleri ile bilgi paylaşmasına, iletişim kurmasına, etkileşimde bulunmasına, oyun oynamasına, tartışmalara veya forumlara katılmasına ve iş yapmasına olanak tanır. Siber uzay, her ne kadar sadece İnternet ile sınırlı olmasa da, genellikle İnternet olarak bilinen
İnternet Servis Sağlayıcıların oluşturduğu ağlar arası ağ olarak algılanır. Siber güvenlik ise bir sistemin bu siber uzayın tehditlerinden korunması için gereken kuralların bütünü olarak ifade edilir.

Siber Güvenlik kavramı, üzerinde fikir birliğine varılmış yaygın bir tanımı olmamakla birlikte [3], bilgisayar güvenliği, bilgi güvenliği ve ağ güvenliği gibi birçok alanla ilişkili geniş bir perspektifte incelenmektedir. Bu kitap kapsamında siber güvenlik kavramı için, Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planında belirtilen aşağıdaki tanımlama esas alınacaktır:

Bu tanımlamaya göre siber güvenliğe konu olan önemli unsurlarından biri bilgi ve dolayısıyla
veri kavramlarıdır.

1.2 SİBER GÜVENLİKTE BİLGİ VE VERİ KAVRAMLARI

Bilgi kavramı başlangıçta sadece felsefenin ilgi alanında yer alırken, zamanla diğer bilim dallarının konusu haline gelmiştir [5]. Basit bir ifade ile bilgi, verinin (data) anlamlandırılmış şekli olarak görülebilir. Bilgi ve veri kavramlarına Siber güvenlik açısından bakıldığında, kişiye, kuruma, bir varlığa ilişkin çeşitli değerleri, yâni “anlamı” ifade eder. Bu kitap içerisinde veri ve bilgi ifadeleri, zaman zaman birbirinin yerine kullanılacak ve siber güvenlik literatüründe yer alan çerçeve kapsamında ele alınacaktır. Siber güvenlik kapsamında dikkate alınması gereken birçok veri türü bulunmaktadır. Aşağıda özellikle bireysel açıdan siber güvenliğin konusunu teşkil eden veriler yer almaktadır.

Bu görsel boş bir alt niteliğe sahip; dosya adı 2.jpg“Siber ortamı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen bilginin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber güvenlik olaylarının tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının devreye alınmasını ve
sonrasında ise sistemlerin yaşanan siber güvenlik olayı öncesi durumlarına geri döndürülmesini ifade eder”
Siber uzay ve siber güvenlik

Kişisel Tanımlanabilir Veriler: Kişiyi tanımlayan herhangi bir bilgi, “kişisel veri” olarak kabul edilebilir. Kişisel Verileri Koruma Kanunu’nda (KVKK) kişisel veri, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi ” olarak tanımlanmaktadır. Bu bilgiler, e-posta adresi, takma ad gibi genellikle zararsız bilgiler olduğu gibi, sağlık bilgileri, eğitim bilgileri, finansal bilgiler gibi kritik öneme sahip kişisel tanımlayıcı bilgiler de olabilir. Diğer taraftan, fotoğraflar, aileye ilişkin bilgiler, sosyal medyada paylaşılan yorumlar/mesajlar, anne kızlık soyadı, doğum tarihi ve yeri, adres bilgisi, banka bilgileri, parolalar ve TC Kimlik Numarası gibi bilgiler de yine kişisel tanımlanabilir verilerdir. Özetle siber güvenlik açısından kişisel tanımlanabilir veri, kişinin dijital parmak izidir.

Siber suçlular, bu tür verileri birçok farklı amaç için kullanabilirler. Örneğin bu tür kişisel bilgileri ele geçirilip, yasa dışı web sayfalarında satılabilmektedir. Bu nedenle kişisel bilgiler, saldırganlar açısından potansiyel gelir kaynağı olabilir. Bu yönüyle bireyler için değerli ve korunması önemli olan bu veriler, saldırgan açısından da değerlidir ve elde edilmesi çabaya değerdir.
Kişisel Verileri Koruma Kanunu’nda öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler özel nitelikli kişisel veriler olarak adlandırılmıştır. Bu kitap kapsamında özel nitelikli kişisel verilerden sağlık, eğitim ve finansal veriler ele alınmaktadır.

Sağlık Verileri: Sağlık bilgileri, kişisel tanımlanabilir bilgilerin içerisinde en önemlisi belki
de en gizli olması gereken bilgilerdendir. Sağlık kuruluşundan randevu alındığında, doktor ile
yapılan görüşmelerde, tetkiklerde ve muayenelerde kişisel kayıtlar oluşmakta ve çoğu durumda bir
bilişim sisteminde depolanmaktadır. Bu bilgiler, kritik ve hassas öneme sahip bedensel ve ruhsal
bilgileri barındırır. Kişisel bilgilerin yanı sıra, aile hakkında da (geçmişteki olaylar dâhil) bilgiler
barındırmaktadır.
Nesnelerin İnterneti uygulamalarının yaygınlaşması ve giyilebilir teknolojiler sayesinde, kalp
atış hızı, kan basıncı değeri gibi çok sayıda klinik veriler üretilebilmekte, kişisel sağlık bilgileri
gerçek zamanlı olarak izlenebilmektedir. Bu kritik bilgiler, doğru yerlerde hayati öneme sahip
son derece faydalı amaçlar için kullanılabileceği gibi, yanlış kişilerin ellerinde oldukça zararlı
sonuçlara da dönüşebilir. Siber güvenlik yönüyle bu verilerin güvenliğinin sağlanması hem bireysel
hem de kurumsal bir sorumluluktur.
Eğitim Verileri: Kişisel tanımlanabilir bilgilerden biri de eğitime ilişkin kişisel verilerdir. Eğitim
durumu ve mezuniyet bilgileri gibi yararlı bilgilerin yanı sıra, özellikle eğitimi devam eden kişiler
için, başarısız olunan dersler, disiplin raporları gibi bilgiler de eğitim kayıtlarını teşkil eder. Ancak
bu bilgiler, özellikle reklam amaçlı kullanılabileceğinden güvenliğinin sağlanması gerekir.
Finansal Veriler: Kişisel harcamaları, gelir ve gider durumunu, bankacılık işlemlerini, bireyin
satın alım gücünü, kredi notu ve bankacılık bilgileri gibi kişisel bilgileri içerir. Bu bilgiler de yine
saldırganların hedefi olabilir ya da saldırganlar tarafından kullanılabilir.
Kişisel tanımlanabilir bilgiler her zaman saldırganlar için cazip birer hedef olmuşlardır.
Örneğin, 2019 yılında çevrimiçi bir grafik tasarım aracı web sitesi, 4 milyon hesap bilgilerinin
bilgisayar korsanlarınca ihlal edildiğini bildirmiştir. 2020 yılında, Çinli bir sosyal medya şirketi
siber saldırıya uğramış ve telefon numaralarını içeren 172 milyon kullanıcı bilgisi çalınmıştır. Yine
sosyal ağlar için oyun geliştiren bir şirket siber saldırıya uğramış ve 218 milyon kullanıcı bilgisi
çalınmıştır. Sadece bu üç örnekten de görüleceği üzere, saldırganlar ya da diğer bir ifade ile
tehdit unsurları, çok farklı ve illegal amaçlarla kişisel tanımlanabilir verileri ele geçirmek için siber
uzayı kullanmaktadır. Bu bilgileri ele geçirmek için doğrudan bireye siber saldırı yapabildiği gibi,
kurumlara da saldırılar gerçekleştirmektedirler.
İster bir bireyi tanımlayan kişisel veriler olsun, ister bir kurumun siber güvenliğe esas teşkil
eden bilgileri olsun, tüm bu veriler siber ortamda genellikle kayıtlı veriler ve hareket halindeki
veriler olmak üzere iki farklı şekilde görülür.
Kayıtlı veriler, bir veri tabanında ya da bir depolama ünitesinde saklanan verileri ifade eder.

Bir iş başvurusu yapıldığında, kişisel bilgilerin dijital bir ortamda saklanması, internet ortamında
yapılan bir sosyal medya yorumunun bulutta saklanması, bir hastaneye gidildiğinde hastaya ilişkin
bilgilerin depolama ortamında saklanması bunun birer örneği olarak görülebilir. Bu tür saklanan
veriler, saldırganların potansiyel hedefi olduğundan, bulunduğu noktada güvenliğinin sağlanması
gerekmektedir.
Hareket halindeki veriler, genellikle ağ ya da internet ortamından verinin hedef sisteme
geçip kaydedilinceye kadar geçtiği süreci ifade eder. İnternet ortamında bir form doldururken,
çevrimiçi alışveriş yaparken girilen verilerin, hedef adrese ulaşıncaya kadar güvenli olmayan ve
herkese açık ağlardan transfer edilme olasılığı vardır. Bu tür hareket halindeki veriler de, yine
saldırganlar için ilgi çekici olabilir, veriler hedefe ulaşmadan ele geçirilebilir, değiştirilebilir ya da
tamamen silinebilir.
Hangi durumda olursa olsun verilerin güvenliğinin sağlanması siber güvenliğin amacıdır.
İlerleyen bölümlerde, hem kayıtlı halde hem de hareket halinde bulunan verilerin güvenliğinin nasıl
sağlandığına ilişkin teknolojiler ve kavramlar (şifreleme, veri bütünlüğü, VPN gibi) ele alınacaktır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir