Covid-19 ve Bilgi Güvenliği

Pandemi veya pandemik hastalıklar, bir kıta veya dünya yüzeyi gibi çok geniş bir alanda yayılıp, etkisini gösteren salgın hastalıklara verilen genel addır. Covid-19 pandemisi Aralık 2019’da Çin’de başlamıştır. SARS-CoV-2 olarak adlandırılan yeni bir koronavirüsün neden olduğu pandemidir. İlerleyen zamanlarda Avrupa, Kuzey Amerika ve Asya-Pasifik’te yer alan çeşitli ülkelere yayılmış olan salgın, 11 Mart 2020’de Dünya Sağlık Örgütü tarafından pandemi ilan edilmiştir.¹

Peki Bilgi Güvenliği nedir? Bilgi güvenliğini bilginin izinsiz biçimde erişimini, kullanımını, ifşa edilmesini, ortadan kaldırılmasını, değiştirilmesini ve hasar verilmesini önlemek olarak tanımlayabiliriz.²

Bilgi güvenliği;

· Gizlilik: Bilginin üçüncü kişilerin eline geçmesine karşı ve yetkisiz erişime karşı korunması.

· Bütünlük: Bilginin üçüncü kişiler tarafından değiştirilmemesi.

· Erişilebilirlik: Bilginin yetkili kişilerce ihtiyaç duyulduğu zaman erişilebilir olması.

şeklinde üç temel güvenlik ögesinden oluşur. Herhangi bir sebeple bu üç ögeden herhangi birinin zarar görmesi durumunda güvenlik açığı meydana gelir.³

Bilgi güvenliği yönetim sistemi, kısaca BGYS, ise az önce bahsettiğim bu üç maddenin, yani bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak üzere; sistemli, planlı, kurallı, yönetilebilir, sürdürülebilir, dokümante edilmiş, kurumun yönetimince kabul görmüş ve uluslararası güvenlik standartlarının temel alındığı faaliyetler bütünüdür. Uluslararası ISO 27001:2013 standardı ile kurallaştırılmıştır (Bkz. ISO 27001). Bu standardın gereklerini yerine getirmekte olan bir kuruluş, Bilgi Varlıklarının güvenliğini sağlamaktadır.² ⁴

Ülkemizde ilk vaka 10 Mart 2020 tarihinde açıklanmıştır. Açıklanan ilk vakanın ardından okullara üç hafta ara verilmiş ve Türkiye Cumhuriyeti Sağlık Bakanlığı tarafından #EvdeKal çağrısında bulunulmuştur. Bu süreçte çoğu şirket de çalışanlarını evden çalışmaya teşvik etmeye başladı. Uzaktan çalışma, çalışanlar ve şirketler için artık resmen zorunlu hale geldi. Evde çalışma süresince çalışanların ve şirketlerin, belki de en zayıf noktaları bilgi sistemleri riskleri değerlendirilmeden harekete geçilmesidir. Aslında şirketler Covid-19 krizini, siber güvenlik bilincini artırarak fırsata çevirebilirler.

Tüm Dünya Covid-19 virüsüne odaklanmışken, bunu fırsat bilen siber suçlular boş durmadılar elbette. Farklı bir virüs yaratarak bu krizden yararlanmaya çalışmaktadırlar. Bu durumda işveren ve çalışanlar şirketlerin gizli bilgilerini korumanın yanı sıra kendi gizli bilgilerini de korumaya özen göstermeleri gerekmektedir. Şirket kavramı için konuşmaya devam edecek olursak, pandemi sürecinde şirketler iş gücünü toplu olarak uzaktan çalışma modeli üzerine kaydırmaktadırlar. Günümüz için konuşursak, şirketimizin rekabetten kopmadan tam motivasyon ile işlerine devam edebilmesi için, çalışanların ofislerinde yapabilecekleri her şeyi evlerinde yapabilmeleri gerekmektedir. Fakat çalışanların kullandıkları cihazlar ve ağlar şirket kapsamında yönetilemediği taktirde, kritik şirket verilerine erişmesine izin vermek, pandemi krizini fırsata çevirmek isteyen siber suçluların, tabiri caizse ekmeğine yağ sürecektir. Bu da riskin giderek büyüdüğünü göstermektedir. Bu sebeple, şirket güvenliğini sağlamaya devam edebilmek inanılmaz derecede önem kazanmaktadır. Bu noktada en temel risk, uzaktan erişim servislerinin kimlik doğrulama sistemlerinin zayıf olmasıdır.

Covid-19 pandemisi öncesi Bilgi Teknolojileri çalışanları, gerekli durumlarda uzaktan erişim sağlamak için VPN kullanarak bulundukları yerden erişmek istedikleri kaynaklara, kaynağın bulunduğu ortamda olmadan erişebiliyorlardı. Günümüzde ise sadece Bilgi Teknolojileri çalışanları değil, hemen hemen tüm çalışanlar ofis ve diğer kaynaklara erişim sağlayarak işlerini sürdürmeye başlamışlardır. Bu durumun sonucu olarak bazı güvenlik risklerini ortaya çıkmıştır. Bu riskleri doğuran faktör ise kullanıcıların güvenlik açıkları konusundaki farkındalıklarının az olmasında yatmaktadır. Bu sorunu en aza indirgemek ve hatta ortadan kaldırmak için tüm çalışanlara gerekli bilincin aşılanması gerekmektedir.⁵

Oltalama (Phishing) kavramı ise siber suçluların rastgele kullanıcı hesaplarına e-posta gönderdikleri bir çevrim içi saldırı türüdür. Bu e-postalar genelde herkes tarafından bilinen web sitelerinden, kullanıcının banka, internet sağlayıcısı gibi güvenilir görünen hizmetlerce gönderilmiş gibi gözükür ve kullanıcıya hesap güncelleme amacıyla kredi kartı numarası, parolası gibi önemli kişisel sorular sorulur. Bu siber suçlular bir tür yem hazırlar ve bu yeme balıkların -yani bu konuda bilinçsiz kişilerin- takılmasını beklerler. Bu sebeple bu tür oltalama saldırılarına karşı bilinçli olmak gerekmektedir. Şirket yöneticilerinin de bu tür basit ama bir o kadar da ciddi olan bir konuda çalışanlarını bilinçlendirmesi gerekmektedir. Bu konuda bilinmesi gereken en önemli husus; çalışılan kurumun, çalışanına asla kişisel bilgisini veya parolasını soran bir e-posta göndermeyeceği gerçeğidir. Bu konuda bilinçli olmak bu tip saldırılara karşı korunmanın en etkili yoludur.⁶

Bu süreçte okulların ve şirketlerin yaygın olarak kullanmaya başladığı, çevrim içi toplantı uygulaması olan ZOOM’da Covid-19 pandemisinden önce günlük 10 milyon kişi toplantı yapıyorken Mart 2020’ye gelindiğinde bu sayı 200 milyonu geçmiştir. [7] Böylesine gözle görülür mükemmel bir artış söz konusuyken ZOOM uygulamasının açıklarını bulan bazı siber suçlular bir anda toplantılara girip ekran paylaşarak şiddet ve cinsel içerikli görüntüler göstermeye başladı. Böylece ZOOM yöneticileri, uygulamanın bazı açıklarının olduğu ve bu açıkları bir an önce kapatmaları gerektiklerini anladılar.

NTV ile röportajı sırasında ZOOM Video Communications Gelişen Pazarlar, Pazarlama Müdür Emrah Aydın kendisine yönetilen

“Son günlerde uygulama gizlilik endişeleri ile gündeme geliyor? Zoom olarak bu endişeyi nasıl gidermeyi planlıyorsunuz?”

sorusuna

“Bunun için 90 günlük bir program açıkladık, platformun güncellemelerini ve risk oluşturabilecek özelliklerini, sorunları giderene kadar durdurduk. Dünyanın önde gelen şirketlerinin CISO’ları (Bilgi Güvenliği Üst Yöneticisi) ile bir konsey oluşturduk. Bu konsey hem bize tavsiyelerde bulunuyor hem de sistemde neleri değiştirmemiz gerektirdiği konusunda bize yardımcı oluyor. Her Çarşamba webinarlar düzenleyerek güvenlik ve gizlilik konusunda tüm soruları yanıtlıyoruz.”

şeklinde yanıt verdi.⁷

Daha önce bir benzerine rastlamadığımız bu durumu, sağlık açısından en hafif şekilde atlatmaya çalışırken bilgi güvenliğine gerekli önem verilmemesi sonucunda işlerimizde/şirketimizde ağır hasarlar görebiliriz. Kendi sağlığımızı düşünürken aynı zamanda önemli verilerimizin güvenliğini ve sağlığını da düşünmemiz gerekmektedir. Evden çalışma sürecinde bazı güvenlik açıkları daha ciddi bir sorun haline gelmeye başlamıştır. Artık şirketlerin, Bilgi Güvenliğine gerekli önemi vermeye başlayacaklarına hiç şüphe yoktur.

Covid-19 salgını ilk çıktığı zaman hemen hemen herkes işlerin kısa süre içerisinde eski hale döneceğini düşünmekteydi. Fakat şu an içerisinde bulunduğumuz durum bu sürecin aylar süreceğine işaret etmekte. Bu süreç uzadıkça uzaktan işlerini yapabildiklerini gören çalışanlar için, elbette bu zorlu süreç bittikten sonra da tekrar ofis ortamına alışma süreçleri olacaktır.

[1]: «Wikpedia Pandemi,» 3 Haziran 2020. [Çevrim içi]. Available: https://tr.wikipedia.org/wiki/Pandemi

[2]: «normaturkblog,» 19 Mayıs 2016. [Çevrim içi]. Available: http://blog.normaturk.com/bilgi-guvenligi-nedir/

[3]: «Wikipedia Bilgi Güvenliği,» 13 Mayıs 2017. [Çevrim içi]. Available: https://tr.wikipedia.org/wiki/Bilgi_g%C3%BCvenli%C4%9Fi

[4]: «Sağlık Bakanlığı Bilgi Güvenliği,» [Çevrim içi]. Available: https://bilgiguvenligi.saglik.gov.tr/Home/Hizmetlerimiz

[5]: «kron.com,» 13 Nisan 2020. [Çevrim içi]. Available: https://www.kron.com.tr/uzaktan-erisim-sirasinda-olusan-riskler-ve-alinabilecek-onlemler/

[6]: «Afyon Kocatepe Üni. Oltalama,» 2019. [Çevrim içi]. Available: https://bim.aku.edu.tr/phishing-oltalama-nedir/

[7]: «NTV,» 16 Nisan 2020. [Çevrim içi]. Available: https://www.ntv.com.tr/galeri/teknoloji/zoom-guvenlik-endiselerini-nasil-giderecek,aeD1GYTh40SVHyjZJsz8ig/vyRd5pXqrEm2N_k4H24R6Q

Eskişehir Osmangazi University Computer Engineering Student. https://www.linkedin.com/in/muzafferardauslu/ https://github.com/ardasdasdas

Eskişehir Osmangazi University Computer Engineering Student. https://www.linkedin.com/in/muzafferardauslu/ https://github.com/ardasdasdas