Yerel ağlar ve İnternet’in gelişmesi sayesinde önce bilgisayarlarla başlayan bağlantılılık Nesnelerin İnterneti ile her şeyin birbirine bağlı olmasına doğru ilerliyor. Önümüzdeki birkaç yılda evde, ofiste, fabrikada veya sokakta İnternet bağlantısı olmayan hiçbir nesne kalmayacak gibi…
Tüm nesnelerin yerel ağlar ve İnternet üzerinden birbirine bağlanmasına “Nesnelerin İnterneti” adı veriliyor. Ağlardaki nesneler kendi aralarında ve örneğin akıllı telefonlar aracılığı ile insanlarla iletişim içinde olacak. Bu da giderek daha fazla verinin elektronik ağlar üzerinden akması anlamına geliyor. Bunlar arasında mahremiyetinin korunması gereken veriler de olduğunu düşündüğümüzde aklımızdaki soru işaretleri çoğalıyor.
Bağlantılılık ve Nesnelerin İnterneti ile birlikte verilerin ağda dolaşır hale gelmesi siber güvenlik konusunu yükselen bir olgu haline getirdi. Sistemlerin artan karmaşıklığı ve yoğunlaşan bağlantılılık ile birlikte siber saldırılar ile farklı nedenlerle oluşacak sistem kesintilerinin daha fazla dikkate alınması gerekiyor. Mahrem olabilen, ticari sır niteliğindeki işletme verilerinin kablosuz yerel ağlar ve İnternet üzerinde dolaşır hale gelmesi siber güvenliği gündeme getiriyor.
Siber Güvenlik
“Siber güvenlik” hem fiziksel hem de sanal eksende geleceğin fabrikasının önlemler alması gereken bir risk alanı ve tehdittir. Alınacak siber güvenlik önlemleri, her akıllı ve bağlantılı sistemin kendini koruması ve fabrikanın özelde Endüstriyel İnternet’in, genelde Nesnelerin İnterneti’nin bir bütün olarak korunması şeklinde olacaktır. Siber güvenlik olgusunun bir yanı hem kişisel hem de örgütsel düzeyde enformasyonun mahremiyetinin korunmasıdır.
Diğer yanı ise verilerin çalınmasının veya terörist amaçlarla sistemlere zarar verilmesinin önüne geçilmesidir. Her iki konu da ürünün yaşam döngüsü boyunca gözetilmek zorundadır. Siber güvenlik; mikro düzeyde her akıllı ve bağlantılı nesnenin kendisinin ve makro düzeyde bir bütün olarak fabrika sisteminin korunması şeklinde iki boyutlu gerçekleşmelidir. Ayrıca müşteriler, tedarikçiler ve kamusal kuruluşlar açısından siber güvenlik sistemlerinin küresel ölçekte sertifikasyona sahip olması akıllı fabrikanın kaçınılmaz şartlarından bir başkasıdır.
Ağların ve siber güvenlik sistemlerinin kurulması ve işletilmesi fabrika içinde ofisler ve imalat mekânları açısından farklılıklar gösterir. Bilişim ve iletişim sistemleri imalat ortamlarındaki elektriksel ve manyetik gürültüler ile olumsuz fiziksel ve kimyasal şartların yarattığı zorluklardan daha fazla etkilenir.
Dijital cihazlar ve ağlar üretim zeminlerinde arıza yapmaya, kesintilere ve veri bozulmasına daha yatkın haldedir. Bu nedenle ağların, akıllı ve bağlantılı cihazların ve endüstriyel kontrol sistemlerinin sınai imalat ortamlarında kesintisiz ve güvenli çalışması akıllı fabrikanın sürdürülebilirliği kriteri açısından yüksek önemdedir.
Siber Güvenlik Bilinci
Gizli bilgilerin korunması her kuruluş için yaşamsal öneme sahiptir. Güvenlik bilinci eğitiminin amacı; kazancı koruyan, gittikçe artan itibar ve gerçek hasar riski ile veri kaybı tehdidine karşı korunan bir insani güvenlik duvarı yaratan yetkinliği ve kurumsal kültürü geliştirmektir.
İşletmede Siber Güvenlik
Dijital Çağın şartlarına uyumlu olmak isteyen bir işletme, güvenlik risk ve tehditlerinin nereden kaynaklandığını iyi bilen çalışanlara sahip olması gerekir. Önemli risk kaynaklarından biri, İnternet kullanılarak yapılan işlerdir. Bu nedenle tehlike tuzakları içeren İnternet sitelerinin farkında olmak ve İnternet’te güvenli gezinme gereklerini bilmek önemlidir.
İnternet korsanlarının, dolayısıyla zararlı yazılımların sıklıkla kullandıkları yollardan biri e-posta iletileridir. Nereden geldiği belli olmayan, kuşkulu e-posta eklerinin açılmasıyla zararlı yazılım etkilerini kullanıcının cihazına hızla bulaştırır.
Bilişim sistemlerinin zarara uğrama nedenlerinden bir diğeri, kurumsal belgelere yetkisiz erişim veya yetki çerçevesinde kullanılsa bile bunlara başkalarının erişimini mümkün kılacak biçimde ‘ortalıkta bırakmaktır’. Basılı veya elektronik; kurumsal belgelere erişim, bir sorumlu yükümlülükle birlikte gelir. Dolayısıyla yetkisiz kişilerin erişimi ile belgelerin zarar görmesi, bir çalışan sorumluluğu ihlali yaratır.
Çalışanın siber güvenlik sorumluluğu sadece işyeri ortamında yapılan çalışma ile sınırlı değildir. Ev ortamında uzaktan yapılan çalışmalarda da çalışanın kurumsal belgelerin ve sistemlerin zarar görmemesi sorumluluğu ile yükümlüdür. Örneğin evde kullanılan bilgisayar esaslı cihazlarda (örneğin tablet veya akıllı telefonlar gibi mobil araçlarda) bulunabilecek zararlı yazılımlar kurumsal sistemlere zarar verecek sonuçlar oluşturabilir.
Siber güvenlik, sadece bilişim ve iletişim sistemlerinin fiziksel veya yazılımsal zarar görme risk ve tehditleri ile ilgili değildir. Ağların ve İnternet’in daha yaygın kullanımı ve veri trafiğinin artışı ile birlikte gizli bilgilerin korunması yeni bir kurumsal fonksiyon olarak gündeme gelmektedir. Buna kısaca “bilgi mahremiyeti” diyebiliriz. Ağlar üzerinde dolaşabilen ticari ve sınai sırların bunlardan ‘çıkar sağlamak’ isteyenlerin eline geçmemesi veya farklı nedenlerle zarar vermek isteyenlerin bunlara erişiminin engellenmesi önemli mahremiyet görevleridir.
Zarar Kaynakları
Bilişim-iletişim sistemlerine değişik kişi veya nedenlerle verilen zararların bazı kaynakları son derece basittir. Örneğin önemli işlerin yapıldığı veya değerli bilgilerin bulunduğu ya da değerli belgelere erişme imkanı verilmiş bir bilgisayarın açık bırakılması bunlardan biridir. Böylece yetkisiz ve ilgisiz kişiler bilgisayarı kullanma ve zarar verebilme imkanına sahip olur. Bir başka benzer sorun kaynağı, değerli kişisel veya kurumsal mahrem bilgilerin yer aldığı ya da bu tür yerlere erişim yetkisi bulunan bir akıllı telefonun şifre kilidi olmadan kolayca ulaşılabilir bir yerde bırakılmasıdır.
Banka hesabı, kurumsal sistemler, sosyal medya mecraları gibi çok sayıda platform veya yazılım kullanıyoruz. Bunların her biri için giriş parolası gerekiyor. Genelde bir kolaycılık olarak şifreleri aynı belirleme alışkanlığımız var. Böyle bir durumda bir şifrenin çalınması tüm hesapların risk altında girmesi anlamına geliyor. Zor olmakla birlikte farklı yazılımlar için farklı şifre kodları belirlemem daha güvenli olur.
Sosyal medya platformlarında ve e-posta yazılımlarında sıklıkla karşımıza çıkan durumlardan biri, gelen iletiyi kendi ‘arkadaş’ çevremizde yaymamız talebidir. Bu talep, çoğunlukla söyleneni yaptığımızda bir sosyal yarar veya bir ‘metafizik kazanç’ ile ödülleneceğimiz heveslendirmesi ile eşlenir. Muhtemelen söz konusu iletinin kendisi veya eklentisi bir virüs kodu içermektedir ve söyleneni yaptığımızda kendi cihazımıza ve onu takiben diğerlerine zincir halinde zarar vereceğiz. Bu tür gönderilere itibar etmemek uygun olur.
Siber güvenlik önlemlerinin amacı, bilişim-iletişim donanım ve yazılımlarının zararlı saldırılardan korumak, değerli bilgilerin çalınmasını ve zarar görmesini engellemektir. Buna yönelik olarak yapılması gerekenler kadar yapılmaması konusunda özenli davranılacaklar da olabilir.
Gizli kalması gereken bilgilerin yetkisiz veya ilgisiz kişilere gözleme fırsatı yaratacak biçimde kullanılması bir risk kaynağıdır. Başkaları tarafından izlenen kimlik numaraları, kullanıcı isimleri ve parolalar güvenliğin ve mahremiyetin ihlali anlamına gelir.
Bir diğer ihlal şekli, yazıcıdan çıktı olarak alınan, değerli ve mahrem bilgiler içeren çıktıların başkalarının görebileceği şekilde ortalıkta bırakılmasıdır. Keza; yetki kapsamında verilmiş, belli yazılımlara veya belgelere erişim imkânı sağlayan kullanıcı adı ve parolaların başkaları ile paylaşılması da bir zarar ihtimali yaratabilir. Erişim parolalarının unutulması ihtimaline karşı kaydedildiği kâğıt parçalarının veya bilgisayar dosyalarının başkalarının kolayca ulaşabileceği yerlerde olması da bir risk oluşturur. Örneğin erişim parolalarının kaydedildiği dosyaların bilgisayarın masaüstünde olması veya post-it olarak anılan yapışkan kâğıtlara yazılmış olarak ekrana veya panoya iliştirilmesi sık görülen yanlış davranışlar arasındadır.
Kullanıcı adı ve özellikle parola oluştururken hatırlamayı kolaylaştırmak için kendimizle ilgili ‘şeyler’ olmasını tercih ederiz. Doğum tarihi, çocuğumuzun ismi, taraftarı olduğumuzun takımın adı ve benzerleri sıklıkla kullanılanlar arasındadır. Halbuki bunları biz kolayca hatırlarken bilgisayar korsanları da gizli kodları benzer kolaylıkta çözebilirler. Sağlam olarak nitelenebilecek parola sözcüklerinin 8-10 karakter uzunluğunda, büyük ve küçük harf, rakamlar ve noktalama işaretleri gibi bir çeşitlilikten oluşması tavsiye edilir.
Bankaların kentin değişik noktalarına yerleştirdikleri ATM adı verilen para çekme-yatırma veya finansal işlem yapma makinelerini bilirsiniz. Kötü niyetli kişiler bu cihazlara gizlice bazı parçalar ekleyerek kullanıcı şifrelerini kaydedip çalmayı denemektedir. Benzer bir durum, bilgisayar kullanımında da söz konusu olabilir. Bilgisayara gizlice kurulan “tuş kaydedici” bir yazılım ile kullanıcının tuşladıkları bir dosyaya kaydedilerek ele geçirilebilir. Bilgisayarın parolasız erişilebilecek şekilde açık bırakılması veya genel amaçlı bilgisayarlarda yetki/parola gerektiren işlerin yapılması zarar riskini yükseltir.
İnternet’e veya yerel ağlara bağlanmak için kablosuz erişim sağlayan wifi bağlantısı sağlayan (modem, erişim noktası vb. gibi) cihazlar kullanıyoruz. Bazı mekânlarda genellikle ücretsiz WiFi hizmeti bulunur. En yaygın açık WiFi saldırılarından biri, bilgisayar korsanının tüm trafiği izleyebileceği ve hassas bilgileri alabileceği bu tür açık kullanım ortamlarıdır. Herkesin erişebildiği ağlar veri hırsızlığı dışında bilgisayar virüsünün cihazınıza bulaşması için ‘ideal’ bir ortam yaratır. Sonuçta; virüsü iş ve ev ortamına taşıma riskiniz oluşur.
Ev kullanımında ise İnternet’e bağlanabilen yerel ağlar, en kısa sürede bağlantıya geçmek için aceleyle kurulur. Çoğu insan, ev ağlarını korumak için herhangi bir önlem almayı ihmal eder ve bu sayede bilgisayar korsanlarına karşı savunmasız kalır. Herhangi bir cihaz veya yazılım kurulumunda siber güvenliğin ve mahremiyetin vazgeçilmez önemini ihmal etmemek gerekir.
Korsan Eylemler
Bilgisayar korsanlarının ve bilgi hırsızlarının bazı eylem türlerine göz atalım. Bunlar arasında en yaygın olanlardan birisi İnternet argosunda ‘balık avlama’ anlamına gelen kimlik ve parola avcılığıdır. Korsanlar, parola ve kredi kartı bilgilerini elde etmek için önemli kişi veya kuruluşlardan (örneğin bankalardan veya ünlü şirketlerden) gönderilmiş izlenimi veren sahte e-posta gönderilerini kullanırlar. E-postada istenen bilgileri vermek, önemli kişisel bilgileri, dolayısıyla varlıkları korsanlara teslim etmek anlamına gelir. Yukarıda özetlenen hırsızlığın bir başka türü, kişisel bilgilerin ele geçirilmesi amacıyla akıllı telefonlar aracılığı ile yapılır.
İnternet’e bağlanabilen yerel ağlarda da benzer bilgi hırsızlığı denemeleri yapılır. Örneğin bir şirkette çalışanlara yönetim kurulu başkanı veya genel müdür tarafından gönderiliyormuş izlenimi verilen e-postalar gönderilir ve değerli bilgiler talep edilir. Bu kapsama giren bilgi korsanları çoğu zaman e-posta gönderdikleri kişiler hakkında ön bilgilenmeye sahiptir; iletiyi bunu dikkate alarak ve güven sağlayacak biçimde hazırlarlar.
E-posta ile gönderilen ve bilgisayara virüs bulaştırmayı hedefleyen kötü niyetli yazılımlar için yeni bir ortam sosyal medya platformları sayesinde ortaya çıkmıştır. Bunlar çoğu durumda cazip isimlerle nitelenmiş video dosyaları izlenimi yaratır; dosyanın işletilmesi ile birlikte virüs kodu bilgisayara yerleşmiş olur.
Bu tür zararlı kodların neler yapabileceği, virüsü geliştiren yazılımcının ‘insafına’ kalmıştır. Kimi örneklerde bilgisayara veya yazılımlara zarar verirken bazı durumlarda bir ‘para kazanma tuzağına’ dönüşür. Son yıllarda “fidye yazılım” olarak yaygınlaşan bir tür, bilgisayar sistemindeki dosyaları bilinmeyen bir şekilde şifreleyerek kullanımını engellemektedir. Dosyaların eski haline getirilmesi için korsanlar önemli büyüklüklere sahip ‘fidyeler’ (para) istemektedir. İstenen ödemenin bir İnternet parası türü olan Bitcoin ile yapılmasının talep edilmesi ilginç bir ironidir.
Bilgisayara yukarıda anlatılan yollarla veya gizlice korsan tarafından yüklenen bir yazılım, işletmenin kurumsal ortamında bir “casus yazılım” gibi davranıp sistemde yüklü olan değerli bilgilerin korsana iletilmesini sağlayabilir. Casus yazılımın bilgi gönderme hedefi, yerel ağı kullanarak işletme içinde veya İnternet sayesinde uzakta olabilir.
CD, DVD veya USB bellek gibi ortamlar işletme içindeki bilgileri çalmak ve dışarı taşımak için sıklıkla kullanılan medya türleridir. Bir diğer ilginç hırsızlık türü, bu medya örneklerinin unutulmuş veya düşürülmüş gibi ortalıkta bırakılmasıdır. Bu türden medyayı bulan bir işletme çalışanı, bunun ne olduğunu anlamak için bilgisayarında okuma yapmayı düşünebilir. Hatta isimleri ilginç biçimde düzenlenmiş dosyalardan birini çalıştırma merakına kapılabilir. Söz konusu dosyanın virüs içeren kod veya casus yazılım olması durumunda hazırlanan tuzağa yakalanmış olacaktır.
Yukarıda sözü edilen kötü niyetli tuzaklara yakalanmamanın birinci kuralı, aşırı merak kurbanı olmaktan vazgeçmektir. Bir işletmenin değerli bilişim ortamı anlamsız meraklara kurban edilemez. Ayrıca kurumun bilgisayarlarının yetki dışı alanlarda kullanılması ve bunlara izin verilmeyen yazılımların yüklenmemesi gerekir. Bunlar, işletmenin tüm çalışanların tarafından benimsenmesi gereken bir kültür unsurudur.
İkinci kural, işletmenin siber güvenlik konusunu ciddiye alarak bu alanda bir strateji sahibi olmasıdır. Buna bağlı olarak bir yol haritası ve yatırım planlaması olmak zorundadır.
Gürcan Banger