E-devlette verimli ve kararında güvenlik lazım
Yakın bir zaman önce e-devlet altyapısını tek çatı altında toplamak adına geliştirilen Turkiye.gov.tr sitesi, kimlik bilgilerinin çalındığı iddialarının ardından kişiye özel şifre uygulamasına geçerek güvenlik seviyesini artırmıştı. Devlet kurumlarına ulaşılabildiği ve ödeme, randevu ve bilgi edinme işlemlerinin kolayca yapılabildiği yeni e-devlet platformunun güvenliği konusunda farklı görüşler var.
İnnova Teknoloji Çözümleri Direktörü Mehmethan Şişik, e-devlette güvenliğin yeterli olup olmadığı sorusunun kesin bir cevabını vermenin mümkün olmadığını belirtiyor ve farklı bir soru yöneltiyor: “Yeterli diyebilmemiz için güvenliğin hangi seviyede olması gerekiyor?” Şişik’e göre cevabı düşünürken denge noktasını yakalamak çok önemli. Her geçen gün yeni güvenlik açıkları keşfediliyor ve son teknolojiyi kullanan güvenlik önlemleri zaman zaman çok pahalı olabiliyor. Şişik, alınacak her ek güvenlik önleminin kullanıcıların hayatını bir kademe daha zorlaştıracağını belirtiyor ve Türk vatandaşlarının devlet hizmetlerinden daha kolay yararlanmasını amaçlayan e-devlet uygulamasının yaygınlaşabilmesi için bazı güvenlik önlemlerinin bu aşamada özellikle devreye alınmamış olabileceğini söylüyor.
Kaspersky Lab Küresel Araştırma ve Analiz Takımı Yöneticisi Costin Raiu ise e-devlet platformunun güvenlik açısından en büyük sorununun kullanıcılar ve sistemden yararlananlar için doğrulama işleminin yetersizliği olduğunu söylüyor. Bazı e-devlet sistemlerinin kişiyi doğrulamak için sadece isim ve sicil numarası istediğini, bu durumun bilgilerin ele geçirilmesini kolaylaştırdığını vurgulayan Raiu, “Vatandaşlarına platforma ulaşmaları için özel bir cihaz vermeyen hiçbir e-devlet platformu güvenli değildir” dedi.
Denetim ve sertifikasyon
Microsoft Türkiye Ulusal Teknoloji Politikaları Yöneticisi Buğra Karabey, güvenliğin aslında bir ürün, kutu veya sonuç olarak algılanmaması gerektiğini, onun kurumsal bilgi güvenliği politikası seviyesinden başlayarak tüm iş süreçlerine gömülü olması gereken ve sürekli yaşayan bir süreç olduğunu vurguladı ve üçüncü taraflarca yapılan denetimler ve buna bağlı sertifikasyonların, e-devlette güvenlik konusundaki sorulara yanıt verebileceğini belirtti.
Karabey: “TS 27001 gibi risk yönetimi temelli güvenlik yönetimi standartları veya dünyada farklı sektörler tarafından kullanılan SAS 70 Type II, FISMA, HIPAA gibi standartlar hep bu tür ihtiyaçlara karşılık olarak geliştirilmiştir ve uygulanmaktadır. Bu tür denetimlerin ve sertifikasyonların e-devlet platformlarında da uygulanması doğru bir yaklaşım olabilir” dedi.
Merkezi yapı
büyük risk
Bordotek Genel Müdürü Öner Gültekin ise merkezileştirmenin güvenlik anlamında büyük bir açık olabileceği üzerinde duruyor. Normalde 81 ilin nüfus müdürlüklerinden bilgi almanın yıllar sürebileceğini, şimdi ise bir dakikada ele geçebildiğini söyleyerek merkezileştirmenin ölçüsünün iyi tutturulması ve dağıtık bir yapının temel alınması gerektiğini söyledi.
Dağıtık yapıyı savunan bir diğer isim de Helyum Bilişim Ürün Müdürü Sinem Türk oldu. Siber tehditlerin artık küresel savaşlara dönüştüğü günümüzde e-devlet platformunun güvenliğinin her zamankinden çok daha önemli hale geldiğini hatırlattı.
Herhangi bir bilgi yığınının dağınık halde bulunmasındansa, tek bir platformda toplanmasının yönetebilirlik ve güvenlik açısından önemli olduğuna değinen Türk, ulusal bilgilerin tek çatı altında toplanmasının ise risk oluşturduğunu vurguladı.
Lostar Genel Müdürü Murat Lostar ise e-devlet platformunun olması gereken güvenlik özelliklerine sahip olmadığını, tüm e-devlet uygulamalarının üzerine bir güvenlik kalkanı olması gereken Turkiye.gov.tr web sitesinin sadece basit ve yetersiz bir kimlik doğrulama altyapısı olarak çalıştığını kaydetti.
Tüm testler düzenli olarak yapılmalı
Tamamen güvenli denilemese de, alınabilecek en üst seviyede önlemlerin alınması gerektiğini söyleyen Avtürk Ürün Müdürü Okan Horasan penetrasyon testlerinin periyodik ve düzenli yapılmasının önemini vurguladı. Horasan: “Penetrasyon testleri bu konuda çok önemli, çünkü bu sayede ağın ya da sistemin açıklarını keşfetme ve o açıkları kapatma şansına erişilir. Bunun yanında mutlaka gelişmiş saldırı tespit sistemleri kullanılmalıdır. Böylece bir siber terör saldırısı olduğunda bunu tespit edip o esnada durdurma şansı ele geçer. Bu çözüm güçlü bir güvenlik duvarı ile bütünleştirilip giriş yapılmaya çalışılan portlar da saldırganın yüzüne kapatılabilir. Kimlik bilgileri bireyin en önemli kişisel bilgileridir ve milyonlarca bireyin kişisel bilgilerinin çalınma riski başlı başına bir felaket senaryosudur. Bu yüzden güvenlik önlemleri en ağır senaryolara göre alınmalıdır” dedi.