Siber Savaşta Eğitim Zırhı
25.01.2010 tarihinde Ulusal Bilgi Güvenliği Kapısı’nda yayınlanan ancak artık erişilemediği için kendi sayfamdan paylaştığım bu makalede; Bilgi güvenliği uygulamalarında gözardı edilen insan faktörü üzerinde durularak olası bir siber savaşta iyi bir savunma için Bilgi Güvenliği bilincinin önemine dikkat çekilecektir.
Son 15 yılda bilgi güvenliğine olan ilginin dünyada olduğu gibi ülkemizde de çok büyük bir artış gösterdiğini ancak buna karşın alınan önlemlerin halen yetersiz olduğunu görüyoruz. İletişim için genellikle özel ağları ve interneti kullanan kurumlarımız da elektronik ortamda bulunan bütün bilgilerini korumak için güvenlik duvarı, sanal özel ağ, saldırı tespit/önleme sistemi, antivirüs, içerik kontrolcü, veri şifreleme, kimlik doğrulama, yetkilendirme gibi çeşitli tedbirlere başvurmuş durumdalar. Aynı zamanda bilişim sistemleri ve internetin bu yaygın kullanımı, suçlular ve bilişim sistemlerini kötüye kullanmak isteyenlerin de dikkatini çekmiş bulunmaktadır.
Bilgi güvenliği çözümlerinin uygulama aşamasında bazı problemler olduğu aşikardır. Bir araştırmasında Stanton (2003), bilgi güvenliği çözümleri uygulayan kurumların karakteristik olarak teknik ve prosedürel güvenlik önlemlerine odaklandıklarını tespit etmiştir. Yine aynı çalışmadaki başka bir tespit, bilgi güvenliği konusundaki araştırmaların daha çok teknik bakış açısıyla problemleri ele alıp, insan faktörünü gözardı etmesidir. Ancak, prosedürel ve teknik bakış açısıyla üretilen bilgi güvenliği çözümleri, bilişim sistemlerini kullanırken prosedürlere bağlı kalmak istemeyen ve bağlı kalmayan kullanıcılar olduğunu düşündüğünüzde yetersiz kalacaktır. İnsanlar teknik detayları bilmek zorunda değil, bilmek de istemiyorlar, onların tek öğrenmek istedikleri kişisel bilgilerini korumak için hangi önlemleri almaları gerektiği. Kişisel bilgilerin güvenliğini sadece teknik imkanlarla sağlamak mümkün değildir, kişinin güvenlik bilincine de sahip olması gerekir. Örneğin, grup politikası ile açık kalan kullanıcı oturumunun 10 dakikada kilitlenmesini yapılandırdınız. Peki, bu 10 dakika içinde bilgilerimizi kim koruyacak? Bu konuda bilinçli bir kullanıcı, bilgisayarının başından ayrılırken oturumunu kilitleyerek teknik imkanlarla sağlanan güvenliğe ek olarak kendi önlemini de alarak bilgilerini korumuş olur.
Kullanıcılar sizin belirlediğiniz güvenlik önemlerini takip etmezler ve uygulamak istemezlerse aldığınız önlemlerin hiçbir anlamı kalmaz. Kullanıcılarınızın, bilgi ve bilişim sistemleri güvenliği tehditlerine karşı bilinçli kullanıcılar olmasını sağlamalı, onların kendilerini ve bilgilerini korumak için almaları gereken önlemler konusunda bilgili olmalarını sağlamalısınız. Kurum çalışanları için bu durum, kullanıcıların kurumlarının belirlediği güvenlik politikaları konusunda bilinçli olmaları sağlanarak başarılabilir.
Bilişim sistemleri ve bilgi güvenliği konusunda insan faktörünün öne çıkması, bu konuda yapılan araştırmalarda artışa sebep olmuştur. Parker (1998) ve Siponen (2000) gibi birçok araştırmacı, bilgi güvenliğinde insan faktörünün önemini öne çıkarmışlardır. Mitnick’e (2002) göre ise bilgi güvenliğinde kullanıcı bilincinin geliştiğinin en iyi göstergesi, kullanıcıların bilgilerini korumakta gösterdikleri tutum ve davranış değişiklikleridir. Daha önce verdiğim örnekteki bilgisayarının başında ayrılırken oturumunu kilitleyen kullanıcı, güvenlik bilincine sahip olduğunu en iyi şekilde göstermiştir.
Eleştirel bakış açısıyla bugüne kadar geliştirilmiş Bilgi Güvenliği Bilinçlendirme yaklaşımlarına ve eğitimlerine bakacak olursak, birçoğunun bilimsel temellere sahip olmadığını görürüz. Aytes ve Connolly’nin (2003) yaptığı araştırmalar, varolan bilgi ve bilişim sistemleri bilinçlendirme yaklaşımlarının teorik temelden ve somut kazanımlar sağlamaktan uzak olduğunu göstermektedir. Yapılmakta ve yapılacak olan araştırmaların bu eleştirileri gözardı etmemesi, çalışmaların verimliliği açısından önemlidir.
Bilgi Güvenliği Farkındalığı açısından üniversitelerin de çok iyi durumda olmadığını söyleyebiliriz. Foster (2004), bilgi güvenliği uzmanlarıyla yaptığı çalışma sonucunda üniversitelerin bilişim sistemleri güvenliği açısından evrendeki en güvensiz yerler olduğunu iddia etmektedir. Yapılan testler ve denetimler göstermiştir ki üniversite bilgi sistemlerinde birçok açıklıklar ve zayıflıklar bulunmaktadır. Bilgi ve bilişim sistemleri güvenliği bilinçlendirme eğitimlerinin üniversiteler için de artık bir ihtiyaçtan öte bir zorunluluk olduğu çok açıktır. EDUCAUSE (2003) tarafından 435 yüksek öğretim ensitüsünde uygulanan bir ankete göre bu enstitülerin sadece üçte birinin öğrencileri ve personelleri için bilgi güvenliği farkındalık eğitimine sahip oldukları belirlenmiştir. Ülkemizdeki durumun bu anketteki çıkan sonuçtan daha kötü olduğunu tahmin etmek çok da zor olmasa gerek. Durumun ciddiyetini anlamamız açısından Microsoft tarafından yılda iki kez yayınlanan Güvenlik İstihbarat raporundanki (SIR7,2009) geçtiğimiz yılın ilk altı ayına ait verilere bakmamız yeterli olacaktır. Rapordaki “Zararlı ve istenmeyen yazılımlar dünya haritası”na göre dünyada birinci sırada olmamız, fazlasıyla endişelenmemiz gerektiğini göstermektedir.
Peki ne yapmalıyız? Bilgi güvenliğini bilincini nasıl oluşturabiliriz? Bunun için en basit bilgi güvenliği eğitimi metodu, kamu bilincinin oluşturulmasıdır. Akademik eğitim ise problemi daha detaylı araştırmak için bir zorunluluktur. Güvenlik için antivirüs programları, saldırı tespit sistemleri, güvenlik duvarları kurduk, türlü türlü politika ile kullanıcıları kısıtladık ancak yine de bilgi güvenliği zaaflarımızı kapatamadık, bilinçli ya da bilinçsiz olarak sistemlerimiz içeriden güvenlik risklerine imkan verdi. Suçu hep kullanıcıya attık, onlara güvenliğin en zayıf halkası, son kullanıcı, sekizinci katman gibi birçok isim verdik. Ama her zaman bilgi güvenliğinde eğitimin bir ihtiyaç olduğunu gözardı ettik. Artık insanlarımızın bilgi güvenliği konusunda bilinçlenmesinin vakti geldi de geçiyor. Bugüne kadar ihmal edilen küçük ofis veya son kullanıcının en etkin bilinçlendirilmesi ise ancak eğitimle olabilir. Bu eğitim de ilköğretimden başlayarak üniversiteye kadar giden bir sürece yayılmalıdır. Çünkü artık ilköğretimde bile internete erişim yaygın olarak kullanılmaktadır. Herkes bu konuda üzerine düşen sorumluluğu almalıdır. Öte yandan, güvenli sistem geliştirilmesi ve sistemin güvenli olarak işletilmesi konusunda birçok standart ve çerçeve çalışması (BS 7799, ISO 17799, Common Criteria, PCI vb.) yapılmıştır. Bu standartların kurumsal bazda uygulanması hala istenilen seviyede değildir. Kurumlarımız, sadece teknik güvenlik çözümleri ile sistemlerin güvenliğini sağlamaya çalışmakta, güvenliğin yönetimsel tarafına gereken önemi vermemektedir. Kurumlarımız bir kerelik değil periyodik olarak tekrarlanan ve güncellenen bilgi güvenliği eğitimlerini planlamak durumundadırlar. Özetle, siber savaş kaçınılmaz ise herkesin eğitim zırhına ihtiyaç duyacağı konusunda hiç şüpheniz olmasın.
Referanslar
Aytes K. & Connolly T. (2003). A research Model for Investigating Human Behavior Related to Computer Security. Proceedings of the Ninth Americas Conference on Information Systems: 2027-2031.
EDUCAUSE (2003). Information Technology Security: Governance, Strategy, and Practice in Higher Education, Vol. 5, 2003.
Foster A. L. (2004). Insecure and Unaware, The Chronicle of Higher Education, May 7, 2004.
Mitnick K.D. (2002). The Art of Deception: Controlling the Human Element of Security. Wiley Publishing, USA.
Parker D.B. (1998). Fighting Computer Crime: A new Framework for Protecting Information. John Wiley & Sons, USA.
Siponen M.T. (2000). A conceptual foundation for organizational IS security awareness. Information Management & Computer Security 8(1): 31-41.
SIR7, (2009). Microsoft Security Intelligence Report, Vol. 7, 2009. http://www.microsoft.com/sir/
Stanton J.M., Caldera C., Isaac, A., Stam K.R. & Marcinkowski S.J. (2003). Behavioral IS security: Defining the criterion space. In: Mastrangelo P.M. & Everton W.J. (eds). The Internet at work or not: Preventing computer deviance. Symposium presentation at the meeting of the society for Industrial and Organizational Psychology, Orlando.
Asıl Yayınlanan
“Siber Savaşta Eğitim Zırhı“, 25.01.2010, Ulusal Bilgi Güvenliği Kapısı, TÜBİTAK – BİLGEM – UEKAE.
http://www.bilgiguvenligi.gov.tr/siber-savunma/siber-savasta-egitim-zirhi.html