Bilgi Güvenliği konusunda Türkiye’nin farkındalık derecesi maalesef çok düşük seviyelerde. Daha ilk cümlemden bu değerlendirmeyi yapmak için aceleci davrandığımı düşünebilirsiniz ancak insanlarımız kendi bilgilerini korunma konusunda yeterli bilgiye ve farkındalık seviyesine sahip olmadığını bu yazıyı okuyunca anlayacaksınız. Bu nedenle herhangi bir ifşa haberi veya dedikodusu çıktığı zaman insanımız hemen başkalarını ve/veya kamu kurumları suçluyor. Bu kapsamda bilgileri korumaya çalışan, işleri bu olan insanların suçlanmaları maalesef kaçınılmaz hale geliyor. Bu konuyu biraz daha net anlayabilmek adına senaryolar ile örneklemeler yaparak nacizane açıklamak istiyorum.
Yazıda geçen bazı kavramları önceden tanıyalım;
Veri: Ham/işlenmemiş ölçüm, sayım, gözlem ya da araştırma yolu ile elde edilen tüm işlenmemiş bilgilerdir. Tek başına anlam ifade etmezler.
Bilgi: Verilerin anlamlandırılmış biçimi olarak tanımlanır.
Bilgi Güvenliği: Bilginin gizliliği, bütünlüğü ve erişilebilirliğinin olumsuz yönde etkilenmemesi adına alınan önlemlerdir. Bu doğrultuda bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma, veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemlerinin tümü diyebiliriz.
Küçük bir açıklama; Bilgi Güvenliği ve Siber Güvenlik kavramları birbiriyle karıştırılan terimlerdir. Ama kapsam bakımından Bilgi Güvenliği çok daha kapsamlıdır ve siber güvenlik, Bilgi Güvenliğinin ana dallarından birisidir.
Ayrıcalıklı Hesap: Sistemlerde normal kullanıcıların yapamadığı birçok işlem yapabilen, göremediği dosyaları / bilgileri / verileri görebilen, daha fazla yetkiye sahip olan hesaplardır.
Bilmesi Gereken Prensibi: Herhangi bir konu veya işi, ancak görev ve sorumlulukları gereği öğrenmekle, incelemekle, gereğini yerine getirmekle ve korumakla sorumlu bulunanların yetkisi düzeyinde bilgi sahibi olması ve nüfuz etmesi.
İki Faktörlü Kimlik Doğrulama nedir: Sistemlere giriş yaparken kullanıcıların kimliklerini doğrulamak adına parola dışında ikinci bir doğrulama seviyesi ile daha güvenli giriş yapabilmelerini sağlamak amacıyla kullanılan doğrulama yapısıdır. Kullanıcı parolasını çaldırsa bile ikinci doğrulama yapısına sahip olduğu için ekstra bir güvenlik seviyesi sağlayarak girişe müsaade edilmez. Aynı zamanda üç faktörlü ve dört faktörlü yapıda yüksek güvenlikli doğrulama sağlayan yapılar da mevcuttur.
Bu kavramların yardımı ile aşağıdaki senaryoları inceleyip kendi kendimize şunu sormalıyız. Başkalarının yapmaya çalıştığı işleri bilmeden, anlamadan ve onları suçlamadan, korumaya çalıştıkları bizim bilgilerimizi bizler nasıl tanımadığımız kişilere kolayca verdiğimizi bir düşünmeliyiz. Senaryolar sonrasında da bu senaryolara ilişkin bireysel ve kurumsal önerilerimi sunuyor olacağım.
Senaryo 1 – Ayrıcalıklı Hesap (Doktor)
Doktorlar, hasta bilgilerine erişebilir, düzenleyebilir, oluşturabilir ve hatta yetkileri varsa silebilirler. Doktorun sahip olduğu bu yetki Ayrıcalıklı Yetkidir. Erişilen bu bilgiler hem gizlilik dereceli bilgi seviyesindedir hem de KVKK’ya göre hastayı tanımlayan nitelikli bilgiler olduğu için koruma altındadır. Bu bilgilere erişmek için kullanılan parametreleri (kullanıcı adı, parola vs.) korumak tümüyle doktorun sorumluluğundadır. Bu nedenle bu sistemlere giriş için kullandığı parametreleri herhangi bir sebeple çaldırdıkları durumda ayrıcalıklı yetkiler art niyetli kişilerin eline geçer. Bu sayede bu hesap ile yapılabilen tüm işlemleri ve erişilebilen tüm bilgiler art niyetli kişilerin eline geçiyor ve bu durum bir bilgi ifşasına sebebiyet veriyor. Ek olarak art niyetli kişiler bu ekran görüntülerini sosyal ağlarda servis ederek hizmet verilen sistemleri kötüleme, karalama yoluna da başvuruyorlar.
Bu senaryomuzda tüm sorumluluk ayrıcalıklı yetkiye sahip hesap sahibi kullanıcıdadır. Burada sistem yöneticilerinin iki faktörlü veya bilginin hassasiyet derecelerine göre üç faktörlü kimlik doğrulama servislerini zorlaması gerekmektedir. Aynı zamanda hesap sahibinin de bu hesapları ele geçirmek için kullanılan oltalama gibi yöntemleri bilmesi ve dikkat etmesi gerekmektedir.
Senaryo 2 – KYC Kimlik Doğrulaması
Kripto para yatırımcısı olmak istiyorsunuz ama bunun için kripto para borsalarına üye olmanız gerekiyor. Bu sitelerde belirli üyelik seviyeleri mevcuttur. Yeni üyelere genelde sadece belirli miktarda para yatırma ve yatırdığınız para ile belirli düzeyde yatırım yapma imkanı veriliyor. Ve çoğu borsa yeni üyelerine yatırdığı parayı çekme olanağı sunmuyor. Bu olanaklardan yararlanabilmek için kimliğinizin doğrulanması isteniyor. Kimlik doğrulama (KYC – “know your customer”) işlemlerinde ise sizden kimliğinizin ön ve arka kısımlarınızı tarayıp siteye yüklemeniz, elinizde o günün tarihini belirtir bir not ve kimliğiniz ile selfie çekmenizi istiyor. Burada üye olduğunuz site sizin gerçek birisi olup olmadığını öğrenmek istiyor. Sizde doğal olarak yatırımınızı çekebilmek ve borsanın diğer olanaklarından yararlanabilmek adına bu istekleri sorgusuz sualsiz yapıyorsunuz. Yani kısaca tanımadığınız, bilmediğiniz yerli veya yabancı borsalara kimlik bilgilerinizi, kimliğinizin taranmış hali ile kendi iradenizle vermiş oluyorsunuz.
Bu gibi sitelerde iki türlü kimlik doğrulaması oluyor. İlki borsalar kendi imkanları ile bu doğrulamayı yapıyorlar. Bu durumda kimlik bilgileriniz ve belgeleriniz borsa tarafından tutuluyor. İkinci doğrulama şekli ise borsaların bu tarz kimlik doğrulama işlerini farklı bir firma/servis vasıtası ile gerçekleştiriyor olmasıdır ki siz kimliğinizi borsaya değil borsa ile anlaşmalı olan bu firma/servislere kendi iradenizle vermiş oluyorsunuz.
Her iki durumda da siz bu borsalarda veya servislerde yer alan sözleşmeleri okumadan, anlamadan kimliğinizi kendiniz paylaşmış oluyorsunuz. Bu nedenle doğal olarak haklarınızı veya kimlik bilgilerinizin kimlerle paylaşıldığını bilmiyorsunuz. Bu da bu senaryoda dikkat edilmesi gereken en önemli konudur.
Bu senaryoya örnek vermek istediğim bir konu var. Adını dolandırıcılık ile duyduğunuz Thodex firmasının üyelerinin yukarıda yazılan senaryodaki gibi kimliklerini bu firma ile paylaştığını biliyoruz. Fakat ne hikmetse çok az kişi bu bilgilerin akıbetini nerede olduğunu sorguladı. Bir ara bu bilgilerin ifşa edildiğine dair haberler bile çıkmıştı. Üstte bu haberlere konu olan fotoğrafları görebilirsiniz. Yüksek ihtimalle bu bilgilerin, görsellerin satıldığını da düşünebiliriz. Aynı durumum diğer batan veya ortadan kaybolan kripto para borsaları içinde olacağını düşünebiliriz.
Senaryo 3 – Bilmeden (görmezden gelinerek) verilen izinler
Burada neredeyse her telefonda bulunan whatsapp ve instagram uygulamalarını ele alalım. 2021 yılının ilk çeyreğinde whatsapp verilerinin facebook (meta) ile paylaşılması konusunda kullanım şartları ve gizlilik politikalarını güncelleyeceğini duyurmuştu. Akabinde uygulamayı kullanan kişiler sosyal ağlarda epey bir ses çıkartmıştı ama bu söylemlerin altı ne kadar dolu onu da tartışmak gerekiyor. Konuyla ilgili detaylı yazıya buradan erişebilirsiniz ancak kısaca küçük bir bilgi paylaşalım:
Whatsapp’ın Facebook yani yeni çatı şirket adıyla Meta’ya katılması 2014 yılında gerçekleşti. Meta aslında Whatsapp gibi bir uygulamayı geliştirecek güçte ve bilgiye sahip bir şirket ama Whatsapp’ı satın almasının en büyük nedeni barındırdığı verilerdir. Yani zaten 2014 yılında Meta, Whatsapp’ın tüm verilerine de sahip oldu.
Bu kapsamda ele almamız gerek durum şudur. Genelde veri toplayan herhangi bir uygulamayı indirdikten sonra kullanmaya başlarken ilk olarak “I Agree” yani “Kabul ediyorum” şeklinde bir buton ile üstünde yazılı olan sözleşmeyi bu butona basarak onaylar ve uygulamayı bu şekilde kullanmaya başlarız. İşte o sözleşmede verilerinizi kiminle, nasıl, ne amaçla paylaşılacağı en ince ayrıntısına kadar yazar. Fakat biz bu sözleşmeleri okumadan hemen “Kabul ediyorum” butonuna basarak geçeriz. Sonrasında da whatsapp olayındaki gibi açığa çıkan bir durum olduğu zaman bu durumu kabul etmediğimizi sosyal ağlardan yayarız ancak yasal bağlamda siz bunu uygulamayı kullanmaya başlarken kabul etmiş oluyorsunuz.
Burada yaşadığımız sıkıntı kullanacağımız uygulamaların gizlilik sözleşmelerini uzun diye okumuyoruz ve hemen kabul ediyoruz. Okumadığımız için neye izin verdiğimizi bilmiyoruz. Bu kapsamda da maalesef kullanmak istediğimiz uygulamaların verilerimizi paylaşma durumlarını değerlendiremiyoruz. Ve tabi buna ek olarak çevremizde bu tarz uygulamaları kullanan kişilerin de çok olması nedeniyle toplumsal bir baskı oluşuyor ve size de çok bir seçim şansı tanınmamış oluyor.
Bu üç senaryo maalesef Bilgi Güvenliği konusunda ülkemizin ne kadar bilinçsiz olduğunu yada bilinçli ama umursamaz olduğunu göz önüne koyuyor. Her konuda olduğu gibi bilinçli olmadığımız konularda bilinçliymiş gibi davranmamız da başka bir vahamet detayı oluyor.
Çözüm Önerileri
Bireysel olarak;
Birinci senaryodaki gibi önemli bilgilere, dosyalara erişebilen ve/veya üzerinde değişiklik yapabilen, oluşturabilen, silebilen Ayrıcalıklı Hesap sahibi tüm kullanıcılar (doktor, öğretmen, siyasetçi, devlet yetkilisi, sistem yöneticileri vb.) Bilgi Güvenliği farkındalığı konusunda kendilerini koruyabilecek her türlü farkındalık seviyesine sahip olmaları ve konuyla ilgili eğitimler almaları gerekiyor.
İkinci senaryoda bireysel olarak almamız gereken önlem olarak taradığımız kimliklerin üzerinde yazan size özel olan bilgileri (imza, kimlik numarası, seri numarası, barkod, PEN kodu ve/veya alttaki alfa numerik değerleri vb.) üstteki gibi karartarak yada okunmaz hale getirerek gönderebilirsiniz.
Üçüncü senaryonun sonucunda bireysel olarak nasıl ki ıslak imza attığımız her dokümanı okuyoruz, aynı değerlendirmeyi elektronik olarak onay verdiğimiz sözleşmelere de yapmamız gerekiyor. Bu nedenle bu sözleşmelere okuyup anlayıp sonrasında onay vermeliyiz ki bilgilerimizin kimlerle, ne düzeyde paylaşıldığını bizlerde bilelim. Eğer sizin paylaşılmasını istemediğiniz bilgiler varsa farklı uygulamaları da değerlendirebiliriz.
Kurumsal olarak;
Birinci senaryoda bireysel düzeyde tedbirli olunması lazım ancak yine de kurumların bu konuda bazı sistem tedbirlerini arttırması hatta zorlaması gerekiyor. Buna örnek vermek gerekirse; ayrıcalıklı yetkiye sahip kullanıcılar tarafından belirlenen parolaların güçlü parola olarak belirlenmesinin ve sistemlere girişlerin en az iki faktörlü kimlik doğrulaması kullanılarak yapılmasının zorlanması gerekiyor.
İkinci senaryoda değerlendirilmesi gereken bir konu daha göz önüne seriliyor. Yerli ve yabancı kripto para borsaları sizden kimlik doğrulaması adına T.C. Kimliğinizin ön ve arka yüzünün taranmasını ve kendilerine gönderilmesi isteniyor. Acaba bu taramada kimlik üzerinde yer alan imza, kimlik numarası, seri numarası, barkod, PEN kodu ve/veya alttaki alfa numerik değerleri göndermemiz bizi nasıl bir duruma sokar? Bu sorunun cevabının kamuoyuna açıklanması ve taranan dosya gönderilirken karartılması gereken yerler varsa karartılması gerektiğinin de açıklanması gerekmektedir.
(Düzenleme) Burada yeni bir kavram ortaya atmak istiyorum. Paylaşılması Gereken Prensibi; “Hangi belgede hangi bilgilerin paylaşılması hangi bilgilerin gizli kalması / karartılması gerektiğinin kurumlarca belirlenmesi ve gereken tasnifin yapılması sonucunda paylaşılması durumu” şeklinde de bir tanım getirmek gerekir.
Üçüncü senaryoya kurumsal düzeyde çözüm önerisi olarak Bilgi Güvenliği ile ilgilenen Kamu Kurumlarının bu tarz toplum olarak çokça kullanılan uygulamaların (web sitesi, sosyal ağlar, mobil uygulamalar vs.) sözleşmelerini değerlendirerek kamuya açıklama yapmaları gerekiyor. Buna ek olarak bilgi/veri paylaşım düzeylerini ve bunların kimlerle paylaşıldığını da belirten raporlar hazırlamaları ve kamuoyuna sunmaları gerekiyor. Tabi bu konuyla direkt olarak ilgilenebilecek bir birimin olması ve bu birimde de Bilgi Güvenliği (ISO 27002) konusunda her alanda deneyimli kişilerin yer alması gerekiyor.
Sonuç
Günümüzde ve gelecekte Bilgi Güvenliği Farkındalığı hem bireysel olarak hem de kurumsal düzeyde çok önem arz eden ve değerlendirilmesi yarına bırakılmayacak bir konudur. Bu nedenle hem bireysel hem de kurumsal olarak elimizi taşın altına koymamız gerekiyor. Bu konuda birilerini veya ilgili kurumları suçlamadan önce kendi yaptığımız yanlışların farkına varmamız gerekiyor. Bu farkındalığımızı arttırmak için her türlü önlemleri almamız gerekiyor.
Bilgilerinize.