Blog

Akıllı Enerji Şebekeleri ve Siber Güvenlik

Bilgi güvenliği firmalarından Kaspersky tarafından Almanya, İngiltere, Fransa, İtalya, İspanya, ABD, Japonya, Brezilya, Rusya, Hindistan ve Çin’de 1300’den fazla Şirket yöneticisi ile yapılan bir anketin sonuçları Haziran 2011’de “Global IT Security Risks” adıyla yayınlanmıştır.

Sözkonusu rapora göre şirketler için en önemli riskler aşağıdaki grafikte gösterilmekte olup ankete katılanların yaklaşık yarısı (%46’sı) şirketleri için gelecekteki en yüksek riski, Bilişim ve Bilgi Sistemlerine yönelik tehditler olarak görmektedirler.

Rapora göre, Bilişim ve Bilgi Sistemlerine yönelik tehditleri ortadan kaldırıp buna ilişkin riskleri azaltabilmek için 10-99 çalışanı olan Küçük şirketler yıllık ortalama toplam 8.055 $ (kişi başı 93 $) yatırım yaparken, 100-999 çalışanı olan Orta İşletmeler yıllık ortalama toplam 83.200 $ (kişi başı 167 $), binden fazla çalışanlı büyük kuruluşlar ise yıllık ortalama 3.2 milyon $ (kişi başı 388 $) yatırım yapmışlardır.

Tüm bunlara rağmen ankete katılanların yarısına yakını (%48) son 12 ay içinde Bilişim ve Bilgi Sistemlerine yönelik Siber tehditlerin artmış olduğunu ifade etmişlerdir.
Gartner tarafından yapılan tahminlere göre Siber tehditlerden korunmak için 2010 yılında dünya çapında 16.5 milyar dolarlık güvenlik yazılımı harcaması yapılmış olup bunun her yıl yaklaşık %10 artması beklenmektedir.

Bunca yatırıma rağmen şirketlerin %91’i geçen 12 ay içinde en az bir kez dış kaynaklı bir Bilgi Güvenliği olayı ile karşılaşmışlardır. Bu şirketlerin %31’i söz konusu olaylar nedeniyle bilgi kaybına uğramış, Bilgi kaybına uğrayan şirketlerin %10’u kaybettikleri bilgilerin kendileri için hassas ya da
önemli olduğunu belirtmişlerdir.

Siber Tehdit Araçlarından Örnekler

  • Bilgisayar virüsleri
  • Yemleme (phishing), Truva atı (trojan)
  • Klavye izleme yazılımları (key logger)
  • Casus / köstebek yazılımları (spyware)
  • İstem dışı elektronik posta (spam)
  • Hizmetin engellenmesi saldırıları (DoS, DDoS)
  • Şebeke trafiğinin dinlenmesi (sniffing ve monitoring)

Siber Tehditlerin Amaçları

  • Sisteme yetkisiz erişim
  • Bilgilerin değiştirilmesi ya da yok edilmesi
  • Bilgilerin çalınması ya da ifşa edilmesi
  • Sistemin bozulması erişimin veya hizmetlerin engellenmesi

Symantec firması tarafından Ekim 2010’da yayınlanan “Kritik Altyapıların Koruması Araştırması“
raporuna göre Kritik altyapı sağlayıcılarının;

  • %53’ü sürekli siber saldırılara maruz kalıyor,
  • %48’i önümüzdeki yıl içinde saldırıya maruz kalacağını düşünüyor,
  • %31’i gelecek saldırılara hazırlıklı olmadığını düşünüyor.

Kritik altyapıların Bilişim ve Bilgi Sistemlerine bağımlılığı her geçen gün artmaktadır. Dolayısıyla, Bilişim ve Bilgi Sistemlerinin güvenliği sadece Bilgi ve İletişim Teknolojilerini değil hayatın her alanını ilgilendiren bir boyut ve öneme sahiptir. O halde “Bilgi Güvenliği” konusu artık hem bireyler hem de kurumlar için çok önemli ve öncelikli hal almış demektir.

Bilgi güvenliği ise, bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin garanti altına alınması demektir. Bilgi Güvenliği Derneği tarafından; bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda bilginin saklanması, göndericisinden alıcısına kadar gizlilik içerisinde (mahremiyeti korunarak), bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci olarak tanımlanmaktadır.

Bu çerçevede bilgi güvenliğinin temel kavramı unsurları aşağıdaki modelde yer almaktadır;

Bu modelde yer alan bilgi güvenliğinin üç temel kavramı kısaca şöyle ifade edilmektedir;

  • Gizlilik: Kuruma özel ve gizliliği olan bilgilere, sadece yetkisi olan kişilerin erişebilmesi,
  • Bütünlük: Kurumsal bilgilerin yetkisiz değişim veya bozulmalara karşı korunması,
  • Erişilebilirlik: Kurumsal bilgilerin ihtiyaç duyan anda erişilebilir durumda olması,

Bilgi Güvenliğinin (Siber Güvenlik) Temel Amaçları:

  • Veri bütünlüğünün korunması,
  • Bilgiye erişimin, erşim hız ve kalitesinin korunması,
  • İzinsiz erişimin engellenmesi, Mahremiyet ve Gizliliğin korunması,
  • Siber kaynaklı hırsızlıkların önlenmesi,
  • İş sürekliliğinin ve Sistemin devamlılığının sağlanmasıdır.

Teknik, ekonomik, siyasal ve sosyal etkileri açısından gerek bireysel, gerek kurumsal ve gerekse ülke boyutunda top yekün bir yaklaşım ve hassasiyet gerektiren Bilgi Güvenliği konusu, buna ilişkin bir kültür oluşturulmasını da gerekli kılmaktadır.

Dünya Telekomunikasyon Birliği (ITU) tarafından önerilen aşağıdaki modele göre Bilgi Güvenliği
Kültürü, Siyasi, Yasal, Ekonomik, Teknik ve Sosyal alt katmanları olan ve Politika belirleyicilerden başlayarak Adalet sistemine, İşletme sahiplerinden BT uzmanlarına ve nihayetinde Son kullanıcılara kadar uzanan zincirde her seviyedeki ilgililerin sahiplenip özümsemesini gerektirir. Bilgi Güvenliği Kültürü olmayan toplumların güvende olması ve Bilgi Toplumu olması mümkün olmayacaktır.

Bilgi Güvenliği Kültürü, ülke güvenliği açısından da çok önemlidir, çünkü artık ülkeler arası savaşlar cephelerin yanında Siber dünyada da yapılmaya başlanmıştır. Siber Savaş, ekonomik, politik, askeri nedenlerle hedef seçilen ülkeye bilgi ve iletişim sistemleri üzerinden gerçekleştirilen saldırılardır.

Yakın geçmişte gerçekleştirilen bazı Siber Savaş/Saldırı örnekleri:

  • 2007 –Estonya siber saldırıları
  • 2008 –Gürcistan siber saldırıları
  • 2009 –İran nükleer santral siber saldırısı

Tüm bunlardan da anlaşılacağı üzere Bilgi Güvenliği son derece önemli bir konudur ve hak ettiği
ölçüde ciddiye alınmalıdır

Tarih: 29.08.2012 11:12 Yazar: Ahmet Hamdi Atalay

Yazar'a Soru Sorun!

eBülten Üyeliği

Tüm yeniliklerimizden haberdar olmak için eBültenimize kayıt olun!