23.07.2020, 09:32

Siber Güvenlik ve Veri

Siber Güvenlik pek çok açıdan bakılabilecek, anlatılabilecek, tanımı yapılabilecek ve incelenebilecek bir konu. Bir elektronik ve bilgisayar mühendisi olarak konuya altyapı açısından yaklaşmak benim için en doğal seçenek.

Siber Güvenlik kavramı, bugün oldukça yaygın olarak kullandığımız, çeşitli sebeplerin biraraya gelmesiyle ortaya çıkmış ve hızla güçlenmiş olan iki temel yapı üzerine kuruludur: bilgisayar ve internet. İlk çalışan transistör 1947 yılında Shockley trafından icat edildi, ilk entegre devre 1958 yılında Kilby tarafından tasarlandı, ilk kişisel bilgisayar (yaygın olarak satılabilen) 1977 yılında üretildi ve şu an bildiğimiz haliyle internet, 1982 yılında standartlaştırıldı. Doksanlı yıllarda hızla yükselişe geçen internet firmalarına karşı doğan karşılıksız ilgi, doksanlı yılların sonunda internet balonu krizine yol açtı.

Bu bilgileri özetleme sebebim, Siber Güvenlik kavramının temelini oluşturan iki yapının ne kadar hızlı geliştiğine dikkat çekmektir. İletişim ve veri güvenliği sadece geçtiğimiz yüzyıl ortaya çıkan bir sorun değil. Bilinen ilk kriptolojik metinlerin bundan 4000 yıl önce yazıldığı düşünülüyor. Kriptolojinin tarihini incelersek, veriyi koruyan taraf ile gizli veriyi bir şekilde ele geçirmek isteyen taraf arasında hiç bitmeyen bir çekişmenin yüzyıllardır devam ettiğini görüyoruz. Yakın tarihimize baktığımızda, ikinci dünya savaşı sırasında Almanya tarafından iletişim güvenliği için kullanılan Enigma’nın kırılma ve gizli verilerin ele geçirilme sürecinde karşılaşılan zorluklar ve kullanılan yöntemler o kadar yoğun ki, modern bilgisayarın teorik olarak temelinin atılmasına yol açıyor.

Konumuza dönersek, koruyan ve saldıran taraflar arasındaki çekişme, aslında oldukça yavaş ilerleyen bir çekişmeydi, çünkü hem korunması gereken veri miktarı görece azdı hem de iletişim kanalları çok yavaştı. Modern Siber Güvenlik kavramından farklı olarak, sadece askeri ve devletsel konuları ilgilendiriyordu. Veriyi korumak için ortaya atılan teorik temellerin çürütülmesi, en azından çürütüldüğünün ortaya çıkmadı, oldukça uzun sürüyordu. Enigma örneğinde olduğu gibi, saldıran tarafın kazanması, koruyan taraf için büyük sorunlar ortaya çıkarıyordu, ancak bu günümüze kıyasla yavaş bir şekilde ilerliyordu.

Kişisel bilgisayarların ve internetin yaygınlaşma hızı, tüm dengeleri altüst etti. Kişisel bilgisayarlar genel kullanım için düşünülmüştü ve ortaya çıktığında genel kullanıcı için bir güven sorunu yoktu. Kişisel bilgisayarların yaygınlaşması sırasında üretici firmalar arasındaki yarışta temel esas, bilgisayarların çalışma hızıydı. Mümkün olan en kısa zamanda mümkün olan en hızlı ürünü piyasaya sürmek, firmalar için en kârlı seçenekti. Ayrıca internet de konsept olarak ilk ortaya atıldığında belki de bu kadar yaygınlaşabileceği hesaba katılmamıştı, sadece akademik iletişim ve mevcut kısıtlı kaynakların paylaşılarak daha verimli kullanılabilmesi için düşünülmüştü. İnternet genel kullanıma açıldığında tahmin edilenden çok daha hızlı yaygınlaştı ve uzunca bir süre güvenlik sorunları ortaya çıkabileceği düşünülmedi. Günümüzde kullandığımız sistemlerde hala bunun etkilerini hissedebiliyoruz. Güvenlik o kadar çok gözardı edildi ki, bilgisayarların hem işletim sistemlerinde hem de donanımsal altyapılarında güvenlik açıklarından kaçınmak mümkün olmuyor. Bu kadar açığı olan cihazı birbirine bağlayan internet yapısında da güvenlik temel bileşen olmayınca, yamalarla dolu derme çatma bir sistem ortaya çıkıyor.

Çok katlı bir bina düşünün. Bu binanın en sağlam olması gereken yerlerinin temeli ve taşıyıcı kolonları olduğunu varsayalım. Günümüz teknolojisini Siber Güvenlik açısından bu binaya benzetirsek, ne temeli sağlam, ne de taşıyıcı kolonları yeterince sağlam yapılıyor. Katlar oldukça hızlı çıkılıyor, daha beton kurumadan üzerine başka bir kat çıkılmak isteniyor, ve tabi ki kısmen yıkılıyor. Binada katlar arası bağlantı düzgün değil, 3. kata çıkmak için önce 5. kata çıkıp oradan 2. kata inip nihayet 3. kata çıkabiliyorsunuz. Bunları tabi sizin yapabilmeniz mümkün değil, sistem adminlerinin yol göstermesiyle yapabiliyorsunuz. Ayrıca bir de binada tek başınıza dolaşmanız mümkün değil, yanınızda mutlaka korumalarınızın (antivirüs, güvenik duvarı) olması gerekiyor. Biraz karikatürize ettiğimi kabul etmekle birlikte, meselenin bundan aslında çok da uzak olmadığını belirtmek isterim.

Özetle, temelinde güvenlik bileşeni olmayan bir teknolojik dünyanın içinde yaşıyoruz. Verinin güvenliği artık sadece askeri veya devletsel bir konu değil, daha fazla kişisel bir konu. Banka ile internet üzerinden iletişim kuruyoruz ve mal varlığımızı internet üzerinden idare ediyoruz. Birileri bizim hesaplarımıza girerek suç işleyebiliyor ve o suçlardan biz sorumlu tutulabiliyoruz. Bilgisayarlarımız ele geçirilerek başka sistemlere saldırmak için kullanılabiliyor. Bilgisayarlarımızdaki veriler rehin alınabiliyor. “Benim çok değerli verim yok, beni ilgilendirmiyor” diye düşünmeyin, bazen kaybettiğiniz bir fotoğraf bile sizin için oldukça üzücü olabiliyor. Evinizdeki buzdolabı, klima gibi cihazlar artık internete bağlı şekilde çalışıyor ve uzaktan kontrol edilebiliyor. Üzerinde kamera olan televizyonunuzun saldırganlar tarafından ele geçirildiğini düşünün. “Kamera çalıştığında ışığı yanıyor zaten” diye düşünüyor olabilirsiniz, ancak o ışığı kontrol eden de çoğunlukla bir yazılım ve kolaylıkla ele geçirilebilir.

Peki, mutlak güvenliği nasıl sağlayabiliriz? Donanıma bu kadar yakın çalışmış bir mühendis olarak söyleyebilirim ki, kullandığımız sistemlerle mutlak güvenlik asla sağlanamaz. Ancak, mutlak güvenliğe mümkün olduğunca yaklaşılabilir. Bunun için de farkındalık ve mümkün olduğunca fazla ve akılcı önlemler alınması gerekiyor. Meseleye askeri açıdan baktığımızda, savunma sanayi firmaları zaten siber güvenlik konusunda en üst düzey farkındalığa sahipler ve olmak zorundalar. Ancak, herhangi bir sistemin güvenliği, en zayıf bileşeninin güvenliğinden öteye geçemez. En üst düzey Siber Güvenlik önlemlerinin uygulandığı bir kurumda bir personel hesap şifresi olarak “1234567890” kullandığında, herkese açık bir bilgisayardan hesabına erişim sağladığında, yasak olmasına rağmen “bir defadan bir şey olmaz” diye düşünerek dışarıdan getirdiği harici belleği bilgisayarına taktığında, e-postalarını kontrol ettiği telefonunu halka açık bir usb bağlantısından şarj ettiğinde, alınan güvenlik önlemlerinin bir manası kalmaz. Kullandığımız sistemler bize mutlak güvenlik sağlayamadığı için, Siber Güvenlik konusunda sorumluluk kullanıcıya kalıyor.

16°
parçalı bulutlu