Saldırılar akıllanıyor

Günümüzde hedefe odaklı ve akıllı saldırı türleri öne çıkıyor. Bu saldırıların kurumların en değerli varlıkları olan bilgiyi hedef aldıklarını belirten Komtera Ürün ve İş Geliştirme Yöneticisi Cankat Domaniç, “McAfee tarafından açıklanan verilere göre geçtiğimiz yıl tüm dünyada yaşanan veriye yönelik saldırılarda şirketlerin uğradığı toplam zarar 1 trilyon dolar seviyesinde. Bu rakam işin boyutunu da çok daha net gözler önüne sermekte” dedi.
Kimlik yönetimi
Günümüzde kurumlarda bilgi güvenliğini tehdit eden en önemli unsurların yönetilemeyen kimlikler ve kimlik depoları olduğunu vurgulayan Oracle Türkiye, Teknoloji Satış Danışmanlığı Direktörü Filiz Doğan, konuyu şöyle açıkladı: “Kurumlar kendi ihtiyaçları doğrultusunda çeşitlilik gösteren uygulamalar kullanmaktadır. Her bir uygulama farklı kullanıcı depoları ve kimlik denetleme metodları kullanmaktadır. Buna göre her uygulama için kullanıcı adı ve şifreleri farklılık göstermektedir. Ayrıca çoğu uygulamada şifre politikası uygulanmamaktadır. Bütün bunları çözümlemek amacıyla gelecekte güvenlik konusunda kimlik yönetimi, erişim yönetimi ve risk tabanlı erişim yönetimini konuşacağız. Bununla birlikte, bugün ister KOBİ, ister büyük ölçekli bir şirket olsun, kullanılan yazılım, donanım ve ağ bileşenleri gerek internet, gerekse kurum içerisinden gelebilecek olan bu tehditlere karşı açık bir halde. Bu tehditlerin biçimleri ve verdikleri zararlar değişmekle beraber, bazıları profesyonel bazıları ise amatörce olabiliyor. Şirket veritabanına erişilmesi, kurumsal web sayfasına izinsiz erişim ve değiştirilmesi, şirket internet hattı üzerinden yasal olmayan işlemlerin yapılması gibi birçok olayın yaşanması mümkün. Bu tür olaylar gündelik iş akışının durmasına ya da sekteye uğramasına neden olmakta, aynı zamanda da kurum prestijini olumsuz yönde etkilemekte.”
Sosyal mühendislik
Sosyal mühendisliği kullanan web tehditleri artış eğiliminde. Bu paralelde görüş bildiren Trend Micro Akdeniz Bölge Müdürü Ercan Aydın, “Saldırganlar, dönemsel etkinliklerden yararlanıyor. Yaygın oltalama setleri sayesinde bütün bunları yapmak siber suçlular için çok kolaylaştı. Bu setler, hedeflenen sosyal mühendislik kampanyalarının yaratılmasını ve sunulmasını hızlandırıyor. Bunlar, popüler Web 2.0 sitelerini, popüler e-posta sağlayıcıları, bankaları ve en bilinen e-ticaret web sitelerini hedefleyen oltalama siteleri oluşturmak için tasarlanmış bulunuyor” dedi.
Aynı zamanda çok sayıda web sitesinin tehlikeye atıldığına şahit olduklarını belirten Aydın, şunları aktardı: “Genellikle SQL enjeksiyon saldırılarıyla bu yapılıyor. Web siteleri, çapraz site betikleme açığı ve SQL enjeksiyonu gibi istismar yöntemleri kullanılarak rutin olarak tehlikeye atılıyor. Bilinen yamasız kırılgan noktalar da istismar ediliyor. Bir site bir kez tehlikeye atıldığında, üç şeyden biri oluyor. Ya site verinin kendisi için kazılıyor, ya malware
tohumu ekiliyor ya da malware ile süslenmiş sitelere yeniden yönlendiriliyor.
Popülerlik kazanan bir başka yöntem, malware ile süslenmiş bant ilanlar oluyor; bunlar yine “masum” sitelerde yayınlanıyor.”
Mobil tehditlere dikkat edin
Bilgi ticaretinin artışına işaret eden Türkiye Bilişim Güvenliği Derneği (TBGD) Yönetim Kurulu Başkanı Faruk Kekevi, mobil tehditlere şöyle dikkat çekti: “Dolayısıyla bilgi korsanları yöntemlerini geliştirerek ve çeşitlendirerek tehditleri daha da artırıyorlar. Casus programlar çok çeşitlendi, web siteleri üzerinden yayılıyorlar, oldukça başarılı olduklarını söyleyebilirim, ikinci kanal olarak cep telefonlarına-mobil cihazlara dikkat çekmek istiyorum. 3G kullanıcılarının dikkatli olmalarını öneriyorum.”

Uzaktan erişimle gelen tehlike

Trojan ve ‘worm’ların özellikle kişisel bilgisayarları tehdit ettiğini belirten ErCon Danışmanlık Şirket Ortağı Mete Ergörül, “Bu trojan ve ‘worm’lar dizüstü bilgisayar ofis dışındayken cihaza bulaşıyor. Ofise geri geldiğinde ise ofisteki diğer bilgisayarlara da bulaşıyor. Eğer o şirkette çok iyi bir geçitkapısı çözümü yok ise trojan ve ‘worm’un şirketi etkisi altına aldığını anlamak neredeyse olanaksız. Kullanıcıların çoğuna uzaktan erişim yetkisi veriliyor. Nedeni artık çalışanların ofis dışından da çalışabilmelerinin sağlanabilmesi. Fakat bu kullanıcıların ofis dışındayken gizli dokümanlarla ne yaptıklarının takip edilmesi ve gizlilik derecesine göre bazı önlemlar alınması gereklidir. Bu kullanıcıların gizli dokümanları yazdırmaları, yetkisiz insanlara göndermeleri önlenmelidir” dedi.

Yazılım, donanım, süreç ve standart dörtlüsü

Bilgi güvenliğinin sürekli değişen ve gelişen bir kavram olduğunu belirten E-Güven Genel Müdürü Can Orhun, bu konudaki çözümleri de ortaya çıkan tehditlerin çeşitliliğine ve yoğunluğuna göre şekillenip yenilendiğini ifade etti. İnternet bazlı uygulamaların önemli bilgilerin istenmeyen kişilerin eline geçmesi tehlikesini doğurduğunu kaydeden Orhun, bu nedenle şirketlerin, hizmet verdikleri kişilerin kimliklerini doğru şekilde tespit etmesi gerektiğini vurguladı. Orhun şunları aktardı: “E-Güven olarak biz de bilgi güvenliğini ‘şirketlerin kendi içinde sağladıkları bilgi güvenliği’ ve ‘ticaret hacminin büyümesi için gerekli olan bilgi güvenliği’ olmak üzere iki açıdan ele alıyoruz. Hem şirketlerin hem de kamu kurum ve kuruluşlarının kendi içinde bilgi güvenliği sağlamalarının bu denli önemli olmasında, verilerin artık bir şirketin en değerli hazinesi olarak görülmesi büyük rol oynuyor. Öte yandan hızla yaygınlaşan internet kullanımı yüksek güvenlik özelliği gerektiren hizmetlerin sayısını ve kullanım sıklığını artırıyor. Bunların yanı sıra günümüzde özellikle elektronik ortamda hızla artan bilgi hırsızlığı, kritik bilgilerini her gün daha fazla elektronik ortamda tutan kurumlar için son derece önemli bir tehdit haline gelmiş bulunuyor. Bu açıdan bakıldığında bilgi güvenliğini sağlamaya yönelik önlemler yazılım, donanım, süreç ve standartlar olarak gelişimini sürdürüyor.”
Kurumların sahip olduğu bilgileri uygun bir şekilde saklamasının yanı sıra ilgili kişilerle paylaşması ve bilgiye erişen kişinin kimliğinin doğruluğunu tespit etmesi, o organizasyon için kritik önem taşıyor. E-imzanın da bu noktada daha etkin bir veri güvenliği sağladığını hatırlatan Orhun, “Çünkü gerçek hayatta kimlik bilgilerine bakılarak yapılan denetim, elektronik imza sayesinde yine aynı derecede güvenli bir şekilde internete aktarılabiliyor. Elektronik imza ayrıca, iş süreçlerini hızlandırarak zamandan da büyük ölçüde tasarruf sağlıyor. Bunun yanı sıra, bir defaya mahsus alınan elektronik imza, kurum içi yazışmalarda kâğıt kullanımını da azaltarak, doğaya da katkıda bulunuyor.

Elektronik ortam yatırımı

e-Devlet projesi kapsamında bilgiye erişimle birlikte bu bilginin yetkisiz kişiler tarafından kullanılmasını engelleyecek çözümlerin de devreye alındığını belirten GGSoft Genel Müdürü Tolga Eşiz, 2010 yılında doküman yönetimi sistemlerine yapılan yatırımın artacağını belirtti. Eşiz, şunları aktardı: “Bilgi elektronik ortama geçtikten sonra güvenliğinin sağlanması kağıt ortamdakinden çok daha kolaydır. Kamudaki bilgi büyük oranda kağıt ortamında durduğu için elektronik arşivlerin güvenliğinin sağlanması, bilginin güvenliğinin sağlanması anlamına gelmektedir.”
Kuruluşların, kağıt ortamındaki fiziksel arşivlerini, elektronik ortama aktarmak için çalışmalarını sürdürdüğünü belirten Eşiz, gelecek beş yıl boyunca bu çalışmaların hız kesmeden devam edeceğini kaydetti. Eşiz, “Bilginin güvenliğinin sağlanması iki boyutta ele alınmaktadır Birincisi kurum sistemlerinin güvenliği için gerekli yatırımların yapılmasıdır. Bu yatırımlar kamuda büyük oranda yapılmış ve devam etmektedir. İkincisi ise doküman yönetim sistemi ile elektronik olarak üretilen dokümanlar ile arşiv dokümanlarının güvenliğinin sağlanmasıdır” dedi.