İlk çağ filozoflarından bu yana tüm insanlık ‘bilgi’nin ne olduğu konusunda araştırma yaptı. Platon'dan Aristoteles'e, Descartes'den Comte'ye kadar birçok filozof bilgiyi ve bilginin kaynağını bulmak için uzun uğraşlar verdi. Günümüzde araştırmacılara göre bilgi; verinin belli bir anlam ifade edecek şekilde düzenlenmiş hali (Eminağaoğlu ve Gökşen 2009) olarak değerlendiriliyor. Bilgiye ulaşmak kadar korumak da oldukça önemli. Nitekim insanlık var olduğu günden itibaren sahip olduğu bilgiyi korumanın gerekliliğine çok uzun zaman önce karar verdi. Milattan Öncesine dayanan "bilgi koruma", günümüzdeki adı ile "bilgi güvenliği" ilk zamanlarda insanların kriptolojiye başvurmasıyla ortaya çıktı. Rosetta Tableti, Sezar Şifreleme, Ebced hesabı gibi örnekler sıralanabilir. 1950'li yıllara gelindiğinde ise bilgisayarın geliştirilmesi ile birlikte 1960'lı yıllarda internet kavramı da beraberinde ortaya çıktı. Tam bu noktada bilgi güvenliği konusu yeni bir boyut kazandı. İnternetin gelişmesiyle de bilgi güvenliği sorunu baş gösterdi. 1995 yılında dünyanın ilk dijital suçlusu olarak bilinen Kevin Mitnick bilgisayar korsanlığından hapse atılan ilk kişi oldu. O günden itibaren dijital ortamda hiçbir bilginin artık güvende olmadığı endişesi başladı.

Siber Güvenlik Uzmanı Oğuzhan Alkan, 15 yıldır Bilgi Güvenliği Derneği Gençlik Platformu Başkanlığı görevini yürütüyor. Ayrıca Alkan, Türkiye’nin ilk ve tek siber güvenlik dergisi olan CyberMag’in kurucu ortağı ve genel yayın yönetmeni. Bilgi güvenliğinin nasıl korunduğunu ve korunmadığı takdirde neler olabileceğini siber güvenlik uzmanı Alkan’a sorduk.

Resmi lisans, güvenliği artırdı
Siber Güvenlik Uzmanı Oğuzhan Alkan, bilgilerin güvende olması için atılan en önemli adımlardan birinin lisanslama işlemleri olduğunu söyledi. Alkan; "Bilgi güvenliği internette dolaşan verilerin güvenliği demektir. Bilginin bütünlüğünü sağlayan ve gerektiğinde yetkili kişilerin bilgiye kolayca ulaşmasına imkan veren bir sistemdir. Bilgilerinizin kullanımından, ifşa edilmesinden, izinsiz yok edilmesinden, hasar verilmesinden korunmasıdır. Aynı zaman da bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme gibi durumlardan da korumaktadır. Uluslararası ISO 27001:2013 standardı ile kurallaştırılmıştır. Bu standardın gereklerini yerine getirmekte olan bir kuruluş, değer varlıklarının başında gelen bilgi varlıklarının güvenliğini sağlamaya yönelik önemli bir adım atmış demektir. Bu adımlardan bir tanesi ise resmi lisans işlemidir. Resmi lisans yasa tarafından kısıtlanmış veya düzenlenmiş bir işin yapılması, bir girişimde bulunulabilmesi için, kamu otoritesince verilen ve devredilemeyen izin işlemidir” dedi.

Bir zarar diğer zararları doğuruyor
Güvenlik sistemlerinde temel unsurları anlatan Alkan, “BGYS (Bilgi Güvenliği Yönetim Sistemi), dediğimizde üç temel unsur vardır. Bu unsurlar 'gizilik, bütünlük ve erişebilirlik. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur. ‘Gizlilik dediğimiz konu, bilginin yetkisiz kişilerin eline geçmemesi. Bütünlük ise elde ettiğimiz bilginin değiştirilip, değiştirilmemesidir. Erişebilirlik; herkes mi bu bilgiye erişiyor yoksa sadece yetkili kişiler mi erişebiliyor sorusuna verdiğimiz bir yanıttır” diye konuştu.

Bilginin güvenliği, lisanlardan geçiyor
Uluslararası lisanslama işlemleri hakkında da bilgi veren Alkan, şunları söyledi:

BGYS, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşları kapsar. Yani tüm kuruluşlar bunun içindedir. Bu standart dokümante edilmiş bir BGYS’yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. BGYS, bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır. ISO/IEC 27001, dünyanın hangi ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve Bilgi Teknolojileri (BT) sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir. ISO/IEC 27001, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir: müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.”

Veri güvenliği nasıl sağlanır?
İnsanların bilgilerinin güvende olması için devletin önemli adımlar attığını söyleyen Alkan, gerçekleştirilen işlemleri şöyle anlattı:

Veri güvenliğini sağlamanın birçok yolu var. Bu konuyla ilgili olarak yurt dışında Avrupa Genel Veri Koruma Tüzüğü (GDPR), Türkiye de ise Kişisel Verileri Koruma Kanunu (KVKK) 2016 yılında devreye girdi. Öncelikle, KVKK'nın uyum sağlama süreçlerini alacağınız teknik ve idari bilgi ile işletmenizde ve kurumlarınız da sürdürmeniz gerekiyor. Bunun yanında teknik tedbirlere gelirsek güvenlik mimarisini doğru kurgulamamız lazım. Güvenlik mimarisi derken zararlı yazılımların bilgisayarınıza ulaşmasını engellemek için almanız gereken tedbirlerden bahsediyorum. Anti-virüs yazılımları, kullanıcı yetkilerini denetleyecek bir privicort ecant (özel ayrıcalık) uygulaması kullanmanız lazım. Uzaktan bağlantı protokollerini VPN (Virtual Private Network) doğru belirlemeniz, işletim sisteminizi bilgisayarınızda ve cep telefonunuzda sürekli güncellemeniz gerekiyor. Daima lisanslı ve doğru yerden indirdiğiniz uygulamaları kullanmalısınız. Bununla beraber firewall (güvelik duvarı) çözümleri ile bunları kurgulayabilirsiniz. Bu kullandığınız uygulamalara rağmen halen bir siber saldırı olursa ve veri ele geçirilirse, veri sızıntısı olursa veriyi maskeli ve anonim bir şekilde tutmanız gerekiyor. Bununla birlikle yedekleme çözümleri var. Veriyi harici disklerde FKM (Felaket Kurtarma Merkezi) dediğimiz yerlerde güvenli bir şekilde tutabiliriz. Veri ele geçirilse bile hızlıca geriye döndürebiliyoruz.”

Siber saldırıların büyük çoğunluğu sosyal medya üzerinden gerçekleşiyor
Siber saldırıların yüzde 90’ının sosyal medya aracılığı ile gerçekleştiğine dikkat çeken Alkan, bu konuda kullanıcıların yaptığı yanlışlıklara değiniyor. Alkan “Siber saldırıların yüzde 90’ı sosyal medya programları aracılığıyla gerçekleşir. Bunlar; Facebook, Twitter, Instagram, Linkedin, Snapchat… Çünkü kullanım oranları ülkemizde de dünyada da çok yoğun. Şimdi bu durumda ne oluyor? Kimlik sahteciliği diye bir durum söz konusu. Bir sosyal medya fenomeninin, ünlü birinin ya da bir devlet büyüğünün kimliğini taklit ediyorlar. Ransomware dediğimiz fidye yazılımı saldırıları meydana geliyor. Ve bu sosyal medya platformları aracılığı ile insanlara aldatmaca linkler gönderilerek bir şeyler isteniyor. Bu para ya da farklı isteklerde olabilir. Ayrıca sosyal medyaları ele geçirmek çok kolay. Çünkü sosyal medya kullanıcı şifrelerini çok basit parolalarla oluşturuyor. Bu parolaları ise diğer sosyal medya programlarında da birebir aynı oluyor. Brute force dediğimiz bütün algoritmaları deneyen siber saldırı teknikleri ile bu parola kolayca ele geçiriliyor. Ya da sim kartlar klonlanarak kişinin cep telefonu numarası ya da mail adresi ile ‘şifremi unuttum’ dediğinizde cep telefonuna altı haneli bir kod gönderilerek şifreler yenileniyor. Yani ilgili kişinin sosyal medyada kullanıcı adını biliyorsunuz, kullanıcı adını girdiniz ve şifremi unuttuğuma tıkladığınız anda cep telefonuna gelen bir mesajla hesabı ele geçirebiliyorsunuz. Çünkü sim kart klonlanabildiği için cep telefonuna gelen mesaj okunabiliyor. Dolayısıyla bütün siber saldırıların en yoğun geldiği platformlar sosyal medyalar” dedi.

Alkan “Ele geçirilen hesaplar kullanıcıları zor durumda bırakabilir”
Sosyal medyanın ele geçirildikten sonraki süreçte kullanıcılar adına terör örgütlerine yönelik paylaşımların yapılabileceğini söyleyen Alkan, bu durumun kullanıcıları zor durumda bırakabileceğini vurguladı. Alkan “Sosyal medya uygulamaların ülkemizde hukuki bir dayanağı yok ve paylaşımı kimin yaptığının bulunması çok zor. Çünkü ülkemizde Facebook, Twitter gibi sosyal medya organları adli bilgileri vermiyor. Yani biri sizin hesabınızı ele geçirdi ve paylaşım yaptı. Bunun hangi bilgisayardan ya da hangi ülkeden yapıldığı bilinmiyor. Çünkü IP (Internet Protokol) atlatma teknikleri olduğu için farklı lokasyonda gibi kendilerini gösterebiliyor. Dolayısıyla hal böyle olunca tespit etmenizde pek mümkün değil. Yani kendinizi hukuki olarak da korumanız pek mümkün görünmüyor. Bu yüzden sosyal medya üzerinden yapılan paylaşımlar son derece tehlikeli. Gerekli tedbirleri Facebook, Twitter, Linkedin mutlaka alıyordur ama hatırlayınız Facebook’un sahibi Mark Zuckerberg bilgileri sattığını kendisi açıkladı. Ve ciddi anlamda da GDPR’den bir ceza yedi. Dolayısıyla bu sosyal medya platformları bu verileri satarak para kazanıyor. Yoksa bu kadar uygulamanın ücretsiz olması hele ki milyarlarca kullanıcısı olan uygulamaların ücretsiz olması pek mümkün değil. Dolayısıyla burada bilinçli sosyal medya kullanımı konusunda personellere eğitimlerin verilmesi gerekiyor. Hesabınız ele geçirildikten sonra bu hesaplar üzerinden namahrem görüntüler paylaşılabilir, yanlış bir gruba ya da sayfaya üye olunabilir vs… Ve siz şikâyet ettiğinizde de öyle hızlı dönüş alamıyorsunuz. Bu programların hepsi yabancı menşeli ve kurucuları da yurt dışında olduğu için devlet olarak bu noktada devletin vatandaşı uyarmaktan ve bilinçlendirmekten dışında alabilecek teknik tedbirleri de çok yok. Bizim yerli ve milli sosyal medya uygulamalarımız ve yazılımlarımız yok denecek kadar az. Bizim yerli ve milli uygulamalarımız olacak ki biz bu işe müdahale ederek, çözüm üretip sonuç alabilelim. Dolayısıyla her sosyal medya uygulamalarında farklı ve güçlü parolalar oluşturulmalıdır. Aynı zamanda en az iki ya da üç tane doğrulama kodu ile güvenlik tedbirleri almalıyız.”

Alkan “Dolandırıcılıklar filmlere konu oldu”
Sosyal medya ve diğer iletişim araçlarıyla dolandırılan insanların durumunun filmlere konu olduğunu hatırlatan Alkan “Organize işler ve Sazan Sarmalı’nda savcılıktan ve emniyetten arıyorum deyip insanları dolandırmışlardı. Bu durumlarla karşı karşıya kalmamak için büyük kurumlarda ve sistemlerde ‘kişi yetkilendirme ve teknik tedbirler’ tarafı çok önemli. Bilgi işlem birimi dışındaki birimlerin IT (Information Technology) altyapılarına erişimi gerekmiyor. Sadece IT’deki belli başlı kişilerin yani ilgili kişilerin dışındaki kişilerin erişimini kısıtlamanız gerekiyor. Kısacası riski minimize etmeniz gerekiyor. Bir kişinin hesabı ele geçirildiğine hesabı ele geçiren kişinin yetkisi yüksek ise bütün verilere erişebilir. Dolayısıyla burada yetkilendirme çok kritik. Sistemi kurgularken en doğru şey yetkilendirme ve alınacak firewall, anti virüs çözümleri, SIEM, sızma testi ve kod tarama analizleri gibi teknik tedbirlerle riski minimize etmeniz gerekiyor. Başınıza bir şeyler gelmeden tedbir almak ise en önemlisi” diye konuştu.

Devlet bilgi güvenliğini ihlal etmez

Devlet bilgi güvenliğini ihlal etmez” diyen Alkan, bu konuyla alakalı toplumda bir yanlış anlaşılma olduğunu belirtti. Devletin kurum ve kuruluşlarının, vatandaşların her türlü mahrem bilgisini ve bilgi varlıklarını korumak için tedbirler aldığına dikkat çekti. Alkan şöyle devam etti:

Hiçbir kurum ve kuruluş bilerek ve isteyerek bilgi güvenliği konusunda bir ihlal yapmaz. Bu alanda ülkemizin de oluşturmuş olduğu siber güvenlik birimleri var. Devlet kurumları, vatandaşlarına yönelik bilgi güvenliğini ihlal etmez. Fakat tabii ki devletler bu alanda siber ordularını oluşturuyor. Devletlerarası siber savaşlar da bu ordular görev yapıyor. Bu alanda devletler tamamen kendi vatandaşını korumaya yönelik inisiyatif alıyor. Ama veri sızıntıları, hack’lenme vakaları dijital sistemlerde her zaman vardır ve var olacaktır. Bazen devlet destekli gruplar aracılığı ile bazen bireysel saldırılarla ne yazık ki siber saldırılara maruz kalıyoruz. Bizim bu gibi durumlarda karşılık verebilecek insan kaynağımızı artırmamız ve nitelikli insan gücümüzü hızlıca oluşturmamız ve tüm kurum ve kuruluşlarda SOME birimlerini hayata geçirmemiz gerekiyor.”

Her bilgiye inanmayın’

Özellikle sosyal medya ortamlarında yayılan bilgilerin doğruluğunun çok iyi araştırılması gerektiğini söyleyen Alkan, kirli bilgilerin toplumsal sorunlara yol açabildiğini ifade ederek vatandaşları uyardı. “Her bilgiyi araştırın” diyen Alkan, bu sorunu şöyle dile getirdi:

Yayınlanan her bilgi doğru değildir ama toplumda yayınlanan her bilgi doğrudur gibi bir algı var. Bu noktada adli bilişim dediğimiz konu tam olarak da budur. Siber istihbarat teknikleri var. Bu bilginin kaynağı ve sistemler ile birlikte IP numaraları da incelenir. Adli bilişim teknikleri ve siber istihbarat faaliyetleri ile bilginin güvenliği ya da yanlışlığı incelenebiliyor. Aynı zamanda internette yayılan her bilginin kaynağını bulmak ve web sitelerine bakmak lazım. Haber mecralarında yayınlanan her haberi tek kaynaktan da incelemek doğru değildir. Birçok kanaldan ve birçok kaynaktan teyit etmek gerekiyor. Eğer yanlış bir habere denk geldiyseniz, “ihbarweb.org.tr” diye bir haber sitesi var. Bu site ulaştırma ve altyapı bakanlığına bağlı olarak sistematiksel olarak çalışmakta. Basın mensupları olarak da genelde kaynağı en az üç ya da dört yerden doğruladıktan sonra yayımlamakta fayda var. Web sitelerinde yayınlanan her haber doğru değildir. Birçok fotomontaj teknikleri ve veri değiştirme teknikleri var. Dolayısıyla bilgi güvenliğinin gazetecilik üzerindeki etik değerleri de bunlardır. Teknik bilgilere de sahip olarak kaynağından ve devletin resmi kurumlarından araştırma yaparak bu alanda değerlendirme yapmak lazım. Eğer teknik bir soru yöneltiyorsanız karşınızdaki muhatabınızda gerçekten bu konunun bilgisine sahip midir, bu konuyu biliyor mudur, kapasitesi yeterli midir? Örnek verecek olursak bir siber saldırı oldu. Hangi açıklıktan nasıl oldu, nedeni ve gerekçesi nedir, alınması gereken tedbirler nelerdir dediğinizde bu alandaki kişinin gerçek uzmanlarını bulmak ve özgeçmişini araştırmak, sormak ve birden fazla kişiden bu konuda görüş alıp haber yapmakta fayda var. Bilgi güvenliğindeki teknik sorunların tek bir kaynaktan haber yapılması doğru değildir.”