Salgınla birlikte gerek dünyada gerek Türkiye'de siber saldırılarda artış gözlemleniyor. Türkiye'de bankalar, online alışveriş siteleri, mağazalar hackleniyor. Hatta siber tehditler seçim dönemlerinde yoğunlaşıyor.
Siber saldırıya uğradığını beyan eden şirketler sonrasında hangi tedbirleri aldıklarını kullanıcılarıyla paylaşmıyor. Oysa veri güvenliğinde yaşanan sıkıntılar nedeniyle giderek daha fazla çalışan, müşteri ve tüketici verilerinin ne kadar güvende olduğunu sorguluyor.
Kurumların çalışanlarına, müşterilerine ve tüketicilerine kişisel verileri nasıl kullanıldığına ilişkin olarak daha şeffaf olması gerekiyor. Kullandıkları güvenlik sistemleri hakkında bilgi vermeleri zorunlu hâle geliyor.
Özellikle büyük teknoloji şirketlerinin her yıl kullanıcılarından ve tüketicilerinden topladıkları kişisel verilerin maddi değerini bildirmeleri için yasaların kapsamının genişletilmesi konuşuluyor. Veri gizliliği için global ölçekte çalışan yasalara ihtiyaç duyuluyor. Kısacası şeffaflık ve hesap verebilirlik öne çıkıyor.
Siber güvenlik artık bireylerin, işletmelerin, her seviyede kamu kurumunun aslında herkesin önceliği haline geliyor. Bu öncelik siber güvenlik yatırımlarının önemini ortaya koyarken siber güvenlik uzman sayısının yetersizliğini de gündeme getiriyor.
Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Bölümü Öğretim Üyesi Prof. Dr. Bilgin Metin ile siber güvenliği, alınabilecek tedbirleri ve kullanıcı haklarını konuştuk.
- Türkiye'ye yönelik siber saldırılar her geçen gün artıyor. Türkiye'de devlet kurumları siber saldırılara ne kadar hazır? Türkiye, dünyada siber saldırılarda kaçıncı sırada?
Bir araştırma raporuna göre geçen senenin aynı dönemine göre DDoS (dağıtılmış hizmet kesintisi) saldırılarında yüzde 542'lik inanılmaz bir artış var. Bu artış uzaktan çalışmanın arttığı, online derslerin verildiği bu dönemde siber saldırılara karşı altyapının iyileştirilmesinin önemini ortaya koyuyor.
Ülkemiz daha önce birçok DDoS saldırısına maruz kaldı. Dağıtılmış hizmet kesintisi (DDoS) saldırıları, siber korsanlarca ele geçirilen binlerce bilgisayar ya da kamera gibi internete bağlı cihazlar üzerinden çok yoğun trafik göndererek kurban sistemi hizmet veremez duruma getirmeyi hedefler.
2015 yılında ODTÜ tarafından TR uzantılı alan adlarını kontrol eden sunuculara yönelik 60 GBps trafik oluşturan DDoS saldırıları yaşanmıştı. Saldırılar iki hafta kadar sürmüştü. 27 Ekim 2019 tarihinde ülkemizdeki bir bankaya yönelik olan DDoS saldırısı ise 100GBps trafik oluşturarak, bankaya giden internet bağlantılarını tıkadı ve banka müşterilerinin hizmet alması engellendi.
Bu yaşananları bir test saldırısı olarak görmemizin sebebi, trafik miktarı olarak yurtdışındaki benzerlerinin çok altında olmaları.
Örneğin 21 Ekim 2016'da ABD'deki internet teknoloji şirketi Dyn'e yapılan DDoS saldırı trafiği 1200 Gbps idi ve Airbnb, Amazon.com, Fox News, HBO, The New York Times, Twitter, Visa ve CNN gibi köklü kuruluşları çalışmaz hale getirdi. Şubat 2018'de GitHUB'a yönelik saldırı ise 1300 Gbps büyüklüğündeydi.
Kovid-19 sebebiyle uzaktan ve evden çalışma yaygınlaştı. İnternet alt yapısına olan bağımlılığımız arttı. Bu da bizi siber saldırılara karşı daha hassas hale getirdi. Dağınık hizmet kesintisi saldırıları, internete bağımlılığın arttığı şu ortamda daha tehlikeli. Çözüm olarak internet trafiğimizi daha iyi yönetmeliyiz. İlk olarak ülkemizdeki fiber optik kablo altyapı kapasitesini çok daha hızlı şekilde arttırmalıyız.
Bu yaşadıklarımız saldırı esnasında internet trafiğini iyi yönetemediğimizi de ortaya koydu. Hızlı bir şekilde internet değişim noktalarının (Internet Exchange Point) hayata geçirilmesi konusunda gerekli adımları atmalıyız.
Diğer taraftan ben geliyorum diyen DDoS saldırıları değil de korkulması gerekenler tespit edilemeyenlerdir. Geçtiğimiz günlerde Solarwinds firması bir siber saldırıya maruz kaldı. Çok sayıda sunucusu olan sistemlerin yönetiminde kullanılan bir yazılımı vardı. Siber korsanlar oraya zararlı kodlar yerleştirdi. Bu yazılım bir anda binlerce müşteriye zararlı kodları iletti.
Bir saldırı olduğu çok geç fark edildi. Amerika Hazine Bakanlığı'nın bile aylarca e-postaları okundu. Aynı saldırıda Microsoft da hacklendi. Milyonlarca kullanıcının bilgileri ifşa oldu. Özetle görünenden değil aslında görünmeyen saldırılardan daha çok korkmak lazım. Biz bunlara APT saldırıları diyoruz yani hedef odaklı saldırılar.
- Pandemiyle birlikte Türkiye'deki birçok şirket siber saldırıya maruz kaldı. Veri sızıntısı en çok hangi sektörlerde görülüyor?
Regülasyonların olmadığı sektörlerde daha çok veri sızıntısı oluyor. Finans sektöründe BDDK çok sıkı denetimleri mecburi tuttuğu için bilgi güvenliği daha ciddi ele alınıyor.
Öte yandan perakende ve üretim gibi sektörlerde regülasyonlar olmadığı için gerekli siber güvenlik alt yapısını güçlendirmek, teknik ve idari tedbirleri almak firmaların inisiyatifine kalmış durumda.
Özellikle KOBİ'ler direkt siber saldırıların hedefi durumda. Bu noktada 6698 sayılı yasa ile KVKK çıktıktan sonra bir farkındalık oluşmaya başladı diyebiliriz.
- Ele geçirilen verilere ne oluyor? Kimin eline geçiyor? Ne amaçla kullanılıyor?
Siber korsanlar, verileri ele geçirince gelir elde etmek amaçlı şantaj yapıyorlar. Sonuç alamadıklarında da bu bilgileri internet üzerindeki hacker forumlarında yayınlıyorlar.
Diğer taraftan bu saldırıların çoğu asılsız da çıkabiliyor. Çünkü aynı şekilde hacklenen sitelerden elde edilen kullanıcı adı ve parolalar zaten internette bulunabiliyor.
Bu bilgilerle saldırmak istedikleri çok kullanıcılı sistemlere mesela alışveriş sitelerine giriş yapıp, o siteden elde ettikleri bilgileri hacker forumlarında yayınlayıp verileri ifşa ediyorlar. Siteyi hacklediklerini iddia ediyorlar.
6698 Sayılı Kişisel Verilerin Korunması Kanunu'nda ("KVK Kanunu") vatandaşlara, kişisel veri sahibi şirketlerden (KVK Kanunu'nun 11. Maddesi) kişisel verilerinin işlenmesine ilişkin belirli taleplerde bulunma hakkı veriliyor.
Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahip.
- Pandemiyle online alışveriş arttı. Siber saldırıya maruz kalan şirketlerden bazıları, kredi kartı bilgileri dışındaki bilgilerin çalındığını açıkladılar. Kullanıcıların tüm bilgilerine ulaşanların kredi kartı bilgilerine erişememiş olması mümkün mü? Kredi kartı bilgilerimizin güvende olduğundan nasıl emin olabiliriz?
Çevrimiçi alışveriş platformlarında kredi kartı bilgilerini saklamamak en doğrusu. Kredi kartı bilgileri genellikle kredi kartı bilgileri şifrelenerek saklanıyor. Kredi kartı kullanan kuruluşların PCI-DSS gibi çok sıkı kontroller içeren standartlara uymaları gerekir.
İnternet üzerinden alışveriş yaparken yine de şüpheli davranmak, asla fiziksel kredi kartımızı kullanmamak en iyisi olacaktır.
Üzerine alışveriş yapacağımız miktar kadar para yatırabileceğimiz sanal kart uygulamalarını kullanmalıyız. Bilmediğimiz sitelerden alışveriş yaparken ön yüklemeli sanal kartlar kullanmak, limiti ihtiyaç olduğu düzeyde arttırmak, tanımadığımız sitelerden alışveriş yaparken risklerimizi azaltacaktır.
Peki kredi kartı bilgileri nasıl çalınır?
İnternetten alışveriş yaptığınızda kolaylık olsun diye "Bundan sonraki alışverişiniz için kredi kartı bilgilerinizi kaydetmek ister misiniz?" diye sorulur ve onay durumunda kart bilgileri kaydedilir. Bu web sitesi bir siber saldırıya uğrarsa kart bilginiz ifşa olabilir.
Dahası internet üzerinden booking.com veya hotels.com gibi bir otel rezervasyonu yaptırdığınızda, kredi kartı bilgileriniz kart arkasındaki CVV kodu ile beraber otele iletilir. İnternet üzerinden alışveriş yaparken kullanacağınız bir ön yüklemeli sanal kart oluşturun ve sadece alışveriş yapacağınız zaman limitini arttırın. Bu şekilde kredi kartınız çalınsa bile bundan en az şekilde etkilenirsiniz.
- Kişisel Verileri Koruma Kurumu, işletmelerden neleri yerine getirmesini bekliyor? KVKK denetimler sonrası bu şirketlere ceza veriyor mu?
Günümüzde siber riskler işletme risklerinin bir parçası olarak ele alınmalıdır. Siber güvenliğe yapılan her yatırım, bir şirketin hedeflerini güvenle ulaşması konusunda bir güvencedir. Bir siber saldırı olduğunda uğranacak zararlar göz önüne alındığında; iş kesintisinden kaynaklanan kayıplar, itibar kaybı, müşterileri kaybetme tehlikesi, kişisel verileri koruma kurumundan gelebilecek olan cezalar daima düşük kalacaktır.
Kişisel Verileri Koruma Kurumu, işletmelerden gerekli teknik ve idari önlemleri almalarını istiyor. Bu önlemlerin neler olduğunu da KVKK web sitesinde yayınlanmıştır. Burada 40 adet teknik ve idari tedbir olduğunu görürüz.
Kurumlar büyüklükleri oranında sahip oldukları veri riskleri ile orantılı bilgi güvenliği yatırımları yapmak zorundadırlar. Herhangi bir veri ifşası olduğu zaman 72 saat içinde kişisel verileri koruma kurumuna haber verilmelidir. Bu durum bile siber saldırıya uğradığının farkında olmak için teknolojik bir altyapı gerektirir.
- Evden çalışma siber güvenlik riskini artırıyor mu?
Koronavirüs tüm ülkelerde hızla yayılırken önlem olarak ülkeler arası uçuş yasakları geliyor, sınırlar kapatılıyor. Ülke içinde ise sosyal teması azaltmak için insanların sokağa çıkmaması sağlanarak sosyal izolasyon tedbirleri uygulanıyor.
Birçok şirket ve kamu kurumu personeline evden çalışma talimatı veriyor. Gelişmiş internet teknolojilerinin kullanımı evden çalışmayı mümkün kılarak Kovid-19 ile mücadeleye destek oluyor.
Öte yandan çalışanların siber güvenlik önlemlerinin alınabildiği ofis ortamlarından siber güvenlikleri denetlenemeyen ev ortamlarında çalışmaya başlamaları büyük bir tehlike oluşturuyor. Evden çalışma, bu zor ortamda üretkenliği artırırken şirketleri birçok siber güvenlik riskiyle karşı karşıya bırakarak tehlikeye artırıyor.
- Siber güvenlik alanında nitelikli insan kaynağı sıkıntısı yaşanıyor mu? Siber güvenlik, üniversite diploması gerektirmeyen fakat beceri seti gerektiren bir iş olarak tanımlanabilir mi?
Ülkemizde ve dünyada siber güvenlik alanında yetişmiş insan gücü ihtiyacı çok fazla. Bu sebeple 2017 ocak ayından beri yaz ve kış siber kampları düzenleyerek üniversite olarak üzerimize düşeni yapmaya çalışıyoruz.
Siber güvenlik alanında her pozisyonda yetişmiş insan gücüne ihtiyaç var. Üniversite mezunu olmayanlar da dahil. Ben şahsen öğrencilerin büyük düşünmesini, master, doktora derecesinde eğitimler almasını da tercih ederim.
Bu alanla ilgili eğitim almak isteyenler için şu noktaya dikkat çekmek isterim: Bilgi güvenliği hep bilgisayar mühendisliğinin bir konusudur diye düşünülür. Oysa bilişim sistemlerinin en alt katmanı olan "fiziksel katman" tamamen elektronik mühendisliği alanıdır.
Elektronik ve haberleşme mühendisliği bilmeden bilişim sistemlerinin ve iletişiminin güvenliği sağlanamaz. Bu yüzden elektronik mühendisliğinin bilişim sistemlerinde oynadığı rol eskiden beri önemlidir. Siber güvenlik çok disiplinli bakış açısıyla farklı mühendislik ve sosyal bilimler alanlarını göreve çağırır.
Siber güvenlik, inovasyonun en fazla olduğu alanlardan biridir. Bizim beklentimiz, öğrencilerin bu alanda kendilerini yetiştirmeleri ve akıllarındaki projeleri hayata geçirmeleridir. Ülkemizde çok başarılı yerli siber güvenlik firmaları var ve yurt dışında da başarılı işler yapıyorlar.
Siber güvenlikte yerli milli çözümlerin önemine dikkat çekmek lazım. Yabancı siber güvenlik ürünlerini kullanmak, sınırlarımızda yabancı askerler bekletmekten farksız. Olması gereken yerli siber güvenlik çözümleriyle ilave bir güvenlik katmanın oluşturulmasıdır. Gençlerin yerli ürünlerin kullanıldığını görmesi lazım ki bu alanda motive olsunlar.
- Seçim sonuçları elektronik ortamda değiştirilir mi? Türkiye'de seçimler hack'lenir mi?
Bir önceki Amerikan seçimlerinde Cumhuriyetçi aday Donald Trump'ın başkan seçilmesinde Rusya'nın etkisi olduğu, siber dünyayı bu amaçla kullandığı iddiaları gündemi uzun süre meşgul etti. Amerikan İstihbarat Topluluğu'nun (U.S. Intelligence Community) konu hakkında 6 Ocak 2017'de yayımladığı "Son ABD Seçimlerinde Rus Faaliyetlerini ve Niyetlerini Değerlendirme" adlı rapor NSA, FBI ve CIA'in konu hakkındaki görüşlerine yer veriyor.
Bu kurumlar, Moskova'nın medya organları ve siber araçlar kullanarak A.B.D. kamuoyunu Demokrat Parti aleyhine etkilemeye çalıştığı, Dışişleri Bakanı Hillary Clinton'ı halkın gözünden düşürmeye yönelik faaliyetlerde bulunduğu şeklinde görüş bildirdiler. Yayınlanan bu rapor üzerinden seçimlere gidecek olan ülkemizin de alması gereken dersler bulunuyor.
Siber tehditlerin seçimler dönemlerinde yoğunlaştığı biliniyor. Burada amaç, seçimlere şaibe karıştırabilecek her yolun denenmesi...
2016'da Filipinler'de 55 milyon seçmenin bilgileri Anonymous adlı hacker grubu tarafından çalındıktan sonra silindi.
Seçimlere hazırlanan ülkemizde yaşanabilecek siber güvenlik olayları ve yukarıda bahsettiğim rapordan çıkarılacak dersler şu şekilde özetlenebilir.
Siber saldırılar seçim sonuçlarını şaibe karıştırmak amaçlı kullanılabilir. Seçim günü veya sayım gecesinde yapılacak siber saldırılar neticesinde elektriklerin kesilmesi buna örnek gösterilebilir. Ya da DDoS saldırıları ile seçim sonuçlarını yayımlayan siteler devre dışı bırakılarak seçim sonuçlarına şüphe düşürülmesi denenebilir.
Rapora baktığımızda partilerden, kamu kurum ve kuruluşlarından siber casusluk yoluyla bilgi sızdırılarak rakiplerine ilişkin güven sarsıcı haberlerin yayımlanması ile karşı karşıya kalabileceğimiz ortaya çıkmaktadır. WikiLeaks gibi kanallar üzerinden ifşa edilebilecek bazı bilgiler gerçeğine hazır olmalıyız.
Türkiye'de sosyal medya üzerinde trollerin manipülasyonu söz konusu olabilecektir. Hacker'lar bu alanda da faaliyetlerde bulunabilmektedir. Geçtiğimiz günlerde hacker'lar tarafından yönetilen, 350.000 Twitter hesabını yöneten, haber kirliliği oluşturabilen "Starwars botnet" sahte hesap ordusu keşfedildi. Seçim gecesi sosyal medya üzerinden manipülatif şekilde ortaya konabilecek sahte seçim sonuçları ile kargaşa çıkarılmaya çalışılabilir.
Önümüzdeki seçim döneminde seçim propaganda politikalarını belirlemeden evvel siber güvenlik politikalarını öne alan partiler, bir adım önde olacaklardır. Siyasi partiler ve düşünce kuruluşları siber sızma testleri yaptırarak sistemlerindeki zafiyetleri ortaya çıkarmalıdırlar. Bilgi güvenliği politikalarını gözden geçirmeli, bilgi teknoloji altyapıları için risk analizlerini yenilemelidirler.
*Bu makalede yer alan fikirler yazara aittir ve Independent Türkçe'nin editöryal politikasını yansıtmayabilir.
© The Independentturkish