Yazılımlar, yetkiler ve tehditler

KOBİ’lerin güvenliği elden bırakmaması gerekiyor. Hack saldırıları gibi dış tehditlerin yanı sıra şirket içerisinden gelişebilecek tehditlere karşı da dikkatli olmalı. İnternet ve teknoloji hayatımıza çok önemli avantajlar sağlıyor. Geliştirilen yeni teknolojiler, gerek son kullanıcı ürünlerinde, gerek kurumsal ürünlerde kullanılarak hem yaşam, hem iş hayatımızı kolaylaştırıyor. “İnternet” kavramının ise dünyayı ne kadar değiştirdiği ortada. Bizler bu değişimi canlı olarak izliyoruz. Geçmişte radyo ve televizyon da teknoloji dünyasının büyük devrimleri arasında yer alıyor. Radyo ve televizyon, ailelerin özel eğlence ve iletişim cihazları olmayı başardılar. Tek taraflı iletişime imkan veren bu cihazlar, sınırlı bilgilenmenin ve eğlendirmenin dışında hayatımıza kattığı çok da bir şey yok. Televizyon ve radyo çerçevelerinde piyasaya çıkan ürün çeşitliliği az. Müzik çalarlar, müzik kayıt cihazları, VHS video aygıtları, televizyonlar ve Walkman’ler…
İnternet tarafına baktığımızda ise her gün yeni çığırların açıldığını görebiliyoruz. Çift taraflı ve ses veya videoyla sınırlandırılmamış iletişimi mümkün kılan internet, günden güne gelişen mikroçip ve sensör teknolojileriyle birleşerek yüzlerce, binlerce çeşit fiziksel ürünün temelini oluşturabiliyor. Tabii bunların yanı sıra sosyal ağlar, bulut hizmetleri gibi hem günlük, hem de iş hayatımızı değiştirebilecek kavramları da literatürümüze ekledi. İnternete bağlanarak bilgi edinebilen, bilgiyi işleyip kullanıcıya sonuçları sunabilen cihazlar katıldı. İnternet durmadan daha da hızlanıyor, daha da gelişiyor. Hatta kablolarından kurtuluyor.
Her güzel şeyin olduğu gibi internetin de dezavantajları bulunuyor. Cihazlar güçlendikçe yazılımsal anlamda da pek çok eklentiye – farklı cihaza uyumlu hale getiriliyor. Bu da daha fazla yetki anlamına geliyor. Daha fazla yetkiyle donatılan yazılımlar, donanımlar ve cihazlar da beraberinde güvenlik problemleri getiriyorlar. Günümüzde bir akıllı telefon bile WiFi, 3G, NFC, bluetooth gibi bağlantı seçenekleriyle bambaşka cihazlarla iletişim kurabiliyorlar. Bir telefondan çok daha fazla işleve sahip olmak için 3. parti yazılımlardan faydalanabiliyorlar. Fazla işlev, çoğu zaman fazla yetkiye ihtiyaç duyuyor. En basitinden bir oyun, oyun kaydını bulutta saklamak için iCloud veya Google Drive yetkisi isteyebiliyor. Cihazların ve yazılımların işlev amacıyla getirdiği yetki karışıklığı, güvenlik açıklarını da beraberinde getiriyor.

Farkındalık önemli
Şirket çalışanlarının kullanılan işletim sistemlerini ve yazılımları iyi tanıması, güvenliğin en önemli gerekliliklerinden biri. Posta kutusuna düşen “Ben Avukat XXX. Size 53.239.071 dolar (küsüratlı sallayım da salladığım belli olmasın misali) miras kaldı.” temalı iletileri bir heyecanla açıp linkleri tıklayan, gelen .exe ve .bat gibi uzantılı dosyaları çalıştıran çalışanların bulunduğu bir iş yerinde gerçek anlamda bir güvenlikten söz etmek pek de mümkün olamaz. Öncelikle çalışanları riskler, kullanılan yöntemler, kolay güvenmeme – teyit isteme gibi konularda bilinçlendirmek gerekiyor. Belli bir bilinç seviyesine ulaşmış çalışanlar için de güvenlik elden bırakılmamalı. Güncel anti virüs yazılımlarıyla, izin kontrolleriyle ve firewall’lar ile güvenlik desteklenmeye devam edilmeli. Bu noktada bir “power user” olarak 3 – 4 senede bir de olsa benim de virüs yediğimi belirtmek isterim. Benim için virüsün zararı şimdilik “işletim sistemini yeniden yükleme” gerekliliğinin ötesine geçmiyor fakat şirketler için çok daha büyük sonuçlar doğurabilir.

Dış güvenlik tehditleri
Windows işletim sistemi en fazla yetkiyi sağlayan işletim sistemlerinden biri olduğu ve çok yaygın bir şekilde kullanıldığı için kötü amaçlı kişilerin en çok ilgisini çeken platform konumunda. Bilgisayarımızı kullanırken dikkat etmezsek çok ciddi sıkıntılarla karşılaşmamız muhtemel. USB belleklerin yeni yeni yaygınlaşmaya başlamasıyla beraber ortaya çıkan bir virüs, belleğe Otomatik Çalıştır dosyası hazırlıyordu ve otomatik çalıştırılacak programı da virüsü bulaştıracak kod satırlarıyla dolduruyordu. Virüs, bilgisayardaki çoğu .exe dosyasını silip benzer bir ikonla ve aynı isimle kendisini kopyalıyordu. Böylece Skype diye çalıştırmaya çalıştığımız program, virüsün bir kere daha çalışmasını sağlıyordu. Bilgisayara USB bellek takıldığı anda kendini yine USB’ye atıp, aynı işlemi başka bilgisayarlarda gerçekleştiriyordu. Böylece zamanının en yaygın virüslerinden biri olmayı başarmıştı. Bu problemin ardından Microsoft, Windows işletim sisteminin Otomatik Çalıştır seçeneğinin aslında çok da otomatik olmaması gerektiğine karar vermişti ve güncellemeyle bunu düzeltmişti.
Bahsettiğim virüsün kendini kopyalamak haricinde ne yaptığını hala net olarak bilmiyorum fakat bilgisayarımdaki .exe dosyalarına zarar vererek benim vaktimi aldı. Keşke tüm virüsler “bu kadar zararlı” olsa… Günümüzde virüslerin daha çok bilgi hırsızlığını ön plana çıkardığını görüyoruz. Bu bilgiler basit sosyal ağ hesabı kullanıcı adı ve şifrelerinden başlayarak kredi kartı bilgilerine, hatta bilgisayarınızın içerisindeki, ağınızdaki dosyalara kadar uzanıyor. Bu tip tehditler, çalışanların farkında olmadan şirketlerine zarar vermesine sebep olabiliyor. Kötü amaçlı bir yazılımcının eline bu şekilde düşmemek için alınabilecek çok sayıda önlem bulunuyor. Donanımsal ve yazılımsal Firewall’lar, doğru ağ sisteminin kurulması, çalışanların bilgisayarlarındaki izinlerin doğru şekilde verilmesi, çalışan bilgisayarlarının sürekli güncel tutulması, sık sık bakım yapılması gibi seçenekler dışarıdan yapılacak bilgi hırsızlığı saldırılarının önünü kesecektir. Bilgi hırsızlığının son dönemdeki trendi, şirketlerin bilgilerini çalıp fidye istenmesi. Art niyetli kullanıcılar bilgileri çaldıktan sonra şirketlerin kapısını çalarak fidye istediklerini belirtiyorlar. Bu fidyelerin de ufak çaplı fidyeler olmayacağını da tahmin ediyorsunuzdur muhtemelen.
Online hizmetler sunan KOBİ’ler için ise DDoS ve hack saldırıları gibi daha büyük tehditler de bulunuyor. DDoS saldırıları, yüzbinlerce veya milyonlarca zombi (virüs bulaştırılarak DDoS saldırısı için virüs sahibinden emir bekler konuma getirilmiş) bilgisayarın tek hedefe sürekli ping verisi göndermesiyle gerçekleşiyor. Ağırlaşan internet erişiminin yanı sıra sunucular için de altından kalkılamaz derece yük bindiriyor. Tüm bunların sonucunda online hizmet geçici olarak iş göremez hale geliyor.
Hack saldırıları ise şirketler açısından en tehlikelisi. Yapılan büyük çaplı hack saldırıları, şirketlerde ciddi güven kaybına sebep oluyor. Geçmişten günümüze bunun pek çok örneğini gördük. 2004’ün sonlarında AOL’e yapılan hack saldırısıyla 92 milyon kişinin hesap bilgileri çalınarak spam’cilere satılmıştı. 2010’da da defalarca Sony’nin oyun platformu PSN’i hacklenerek 77 milyon kullanıcının bilgileri elde edilmişti. Firma, bu saldırının faturasının tahmini 170 milyon dolar olduğunu söylüyor. Aynı yıl Blizzard da benzer bir olayla karşılaşırken, 2011’de de piyango yine bir oyun platformu olan Steam’e vurmuştu. Geçtiğimiz aylarda Kanada’nın ünlü çöpçatanlık sitesi Ashley Madison hacklendi ve kullanıcıların bilgileri internette yayınlandı. Ashley Madison sıradan bir çöpçatanlık sitesi olmadığı ve aslında daha çok evlilik dışı, kısa süreli ilişkileri ön plana çıkardığı için sitenin müdavimlerini çok zor durumda bıraktı. Bu tarz bir sitenin kullanıcılarının bilgilerinin ortaya çıkmasının sebep olduğu güven kaybını tahmin edebiliyorsunuzdur. Tüm bu örnekler, en büyük şirketlerin bile ciddi zarara uğramasına sebep oldu. Verilerin ulaşılamaz bir hale getirilmesi bu noktada büyük önem taşıyor.

İç güvenlik tehditleri
İşletmelere zarar vermeye çalışacak kişilerin sadece “dışarıdan birilerinin” olacağını düşünmemek gerek. Çalışanlar arasından da kötü niyetlilerin bulunabileceği her zaman göz önünde bulundurulmalı. Rakip firmalarla veya spam şirketleriyle anlaşanlar, kişisel çıkar elde etmek isteyenler, işletmeye herhangi bir sebepten dolayı kin besleyenler erişilmemesi gereken verilere erişebilirler. Bu noktada izinsiz erişimlerin önünü kesmek, şifrelemek, doğru ağ sistemi konumlandırılması ve yetkilendirme sistemini doğru bir biçimde oturtmak gibi çözümler bulunuyor.
“Kendi cihazını getir” (BYOD) konseptiyle çalışan şirketler için tehditleri kontrol altına almak daha da zor. Çalışanların kişisel bilgisayarlarıyla kaptıkları zararlı yazılımlar, iş yeri ağına bağlanıldığı anda büyük belalara sebep olabilir. Diğer taraftan çalışanların akıllı telefonları da artık bir tehdit öğesi haline gelmiş durumda. Android gibi uygulamalarına çok sayıda yetki veren işletim sistemleri, bağlanılan ağ üzerindeki bilgisayarlara ve NAS cihazlarına ulaşabiliyor. Basit uygulamalara yerleştirilen art niyetli kodlar, bu yetkileri kullanarak bilgisayarlara istediği gibi ulaşabilir. Üstelik akıllı telefonlar ve tabletler çoğu işletme tarafından bir tehdit unsuru olarak görülmüyor, önlem alınmıyor. Akıllı cihazların ağ erişimleriyle ilgili yetkilendirmelerin, tehlike unsurları göz önünde bulundurularak yapılması gerekiyor.