Sık Rastlanan Bilgi Güvenliği Olayları ve Çözüm Önerileri
Bilgi güvenliğini sağlamak ileri görüşlü olmayı gerektirir. Bilgi güvenliği olayları meydana gelmeden önce, olayları öngörmek ve önlemek, çoğu zaman görünür olmayan bir çabadır. Olaylar meydana geldiğinde ise, en az zararla en kısa zamanda olağan çalışma durumuna geçme gereksinimiyle hareket edilir. Normal çalışma durumuna geçildiğinde olay müdahalesi tamamlanmış görünse de, burada bitmez, süreç yaşanan olayın değerlendirilmesiyle devam eder. Bu makalede, kurum ve kuruluşların verdikleri hizmetlere geniş çapta etkisi olan bilgi güvenliği olaylarına değinilecektir.
1. En çok karşılaşılan bilgi güvenliği olayları
Yurt genelinde yaygın hizmet veren kurum ve kuruluşlarla yapılan bir araştırmada katılımcılara, son beş yıl içinde, verdikleri hizmetlerdeki bilgilerin gizliliğini, bütünlüğünü veya hizmetin sürekliliğini etkileyen olayların yaşanıp yaşanmadığı sorulmuştur. Bu soru ile, kurum ve kuruluşların hizmetlerine kapsamlı olarak etkisi olmuş bilgi güvenliği olaylarını belirlemek amaçlanmıştır.
Bilgi Güvenliği Olaylarının Nedenleri
1. Enerji veya iletişim hattının fiziksel olarak zarar görmesi
2. Su baskını
3. Enerjideki dalgalanmalar
4. Yetkili kullanıcı haklarıyla yapılan işlemler
5. Saldırganlar
6. Zararlı yazılımlar
7. Kurumsal uygulamaların veya uygulamaları destekleyen yazılımların yeni sürümlerine geçişte uyumsuzluklar
Tablo 1- Son beş yıl içinde kurum ve kuruluşların yaşadıkları bilgi güvenliği olaylarının nedenleri
Katılımcı kurum ve kuruluşlar son beş yıl içinde en az bir bilgi güvenliği olayından geniş çaplı etkilenmiştir. Bu olaylar hizmet kesintisine, bilginin kaybedilmesine, bilginin değiştirilmesine veya açığa çıkmasına neden olmuştur.
2. Olaylarla ilgili değerlendirmeler
Belirtilen olayların nedenleri temelde dört grup altında ele alınabilir:
Fiziksel ve Çevresel Güvenlik Sorunları
Sistemlerin hizmet vermesinde önemli çapta kesintiye neden olan olaylar genellikle enerji ve iletişim hattındaki kesilmeler olmaktadır. Bu kesilmeler verilerin merkezi olarak tutulduğu ortam ve lokasyonlarda olduğunda yaygın hizmet veren uçlar da kesintiden etkilenmektedir. Sistem merkezine gelen ana enerji hattının veya Internet hattının fiziksel olarak zarar görmesi, enerji altyapısının veya merkezi sistemin bulunduğu fiziksel ortamın su baskınından etkilenmesi, enerji hattındaki elektriksel dalgalanmalar nedeniyle hizmet veren sunucuların zarar görmesi yaşanan örneklerden bazılarıdır.
İnsan Faktörü
Bilgi güvenliği olaylarının bir kısmı, yetkili kullanıcı haklarıyla yapılan işlemlerden veya bilginin bilinçli olarak dış taraflara verilmesinden kaynaklanmaktadır. Hesap parolasının zayıflığı nedeniyle hesabın ele geçirilerek kullanılması, hesap sahibinin parolasını başka kişilerle paylaşıyor olması, görevi değişen veya işten ayrılan personelin kapanmamış hesabı ile işlem yapılması ve sorumlunun tespit edilememesi gibi durumlarla karşılaşılmaktadır. Birtakım bilgilerin açıklanması uygun olan zamandan önce açıklanması, kurumlarca yayınlanan bazı listelerde kişilere ait kritik olabilecek ayrıntılı bilgiler bulunması insan faktörü kaynaklı bazı olaylardır.
Saldırganlar ve Zararlı Yazılımlar
Kuruluş itibarını etkileyen bazı olaylar da kuruluş ana sayfasının veya kuruluşa özel bilgilerin saldırganlar tarafından ele geçirilmesi şeklinde olmaktadır. Saldırganlar kurum ağından veya kurumsal ağın dışından sistemlere erişim sağlamışlardır. Kurumlar, bu olayların ötesinde hedefli saldırılarla ilgili olay belirtmemişlerdir. Verilen hizmetlere büyük çapta etkisi olan diğer bir olay sebebi yazılımları ve işletim sistemlerini etkileyen zararlı yazılımlardır. Bu etki çoğu zaman, oldukça çok sayıda istemciye sahip olan kurumsal ağlarda kullanılan işletim sistemlerinin ve yazılımların yama yönetimindeki aksaklıklardan kaynaklanmaktadır.
Yazılım Güncelleme ve Yaygınlaştırmada Uyumsuzluklar
Hizmetin verilmesini sağlayan kurumsal yazılımların gerek hatalardan arındırma gerek uygulamadaki değişiklikler nedeniyle zaman zaman güncellenmesi gerekmektedir. Bilgi sistemleri altyapısında çalışan diğer yazılım bileşenleri de güncellenmektedir. Kapsamlı etkisi olan diğer bir olay kategorisi, yeni yazılım sürümlerinin yaygınlaştırılması sırasında karşılaşılan uyumsuzluklardan kaynaklanan hizmet kesintileri veya veri kayıplarıdır.
3. Kök nedenler ve çözüm önerileri
Kurumlarda çoğunlukla, büyük çaplı sistem kesintilerine neden olan ve yaşanan olayın basına yansıdığı bilgi güvenliği olayları akılda kalmaktadır. Bilgi güvenliği olaylarına dair kurumsal belleğin bulunmaması risk farkındalığının sağlanamamasına, benzer olayların tekrarlanmasına ve tekrarlayan zarara sebep olabilmektedir.
Olaylar yaşandıktan sonra kurumlar, enerji hattı ve Internet hattı yedekliliği, veri yedekliliği, sistem merkezi yedekliliği gibi çözümlere yönelmiştir. Olası bir olay durumunda sorunsuz geçişin sağlanması için tatbikatların yapılması gereği ortaya çıkmıştır.
Yetkili hesaplarla gerçekleştirilen olayların geriye dönük izlerinin sürülmesinde sistem kayıtları kullanılmaktadır. Hizmet kullanıcılarının ve kurum personelinin sistemde yaptığı işlemlerin kayıtları çoğu zaman tutulmaktadır, bununla birlikte sistemde üst yetki seviyesine sahip hesaplardan yapılan işlemlerin kayıtlarına da ihtiyaç duyulabilmektedir. Herhangi bir bilgi güvenliği olayının farkedilmesi ve çözümlenmesi sürecinde en önemli ihtiyacın kayıt yönetimi olduğu görülmüştür.
Buna ek olarak, kurum ve kuruluşların bildirim ve tespit mekanizmalarındaki ve olay kayıtlarındaki (log) olası eksikliklerin bazı bilgi güvenliği olaylarının farkedilmesini engelleyebileceği düşünülmektedir.
Kurum ve kuruluşlar, bilgi güvenliği olaylarını önlemek ve olaylara etkin müdahale etmek için:
a) Bilgi güvenliği olaylarına hazırlık, tespit ve müdahale edilmesine dair sorumlulukları belirlemeyi
b) Olası kritik bilgi güvenliği olaylarına karşı ön hazırlık yapmayı ve olay müdahale tatbikatları düzenlemeyi
c) Yaşanmış bilgi güvenliği olaylarının detaylı şekilde değerlendirmeyi ve olayların tekrarlanma olasılığını azaltmayı planlamaktadırlar.
Bilgi güvenliği olay yönetim sürecinin ilk adımı, olaylar meydana gelmeden önce, olaylara hazırlık sürecidir. Diğer kurum ve kuruluşların da, yaşanabilecek benzer olayları, risk analizi yaparken ve olası acil durumları belirlerken gözönüne almasının fayda sağlayacağı değerlendirilmektedir.
Bilgi güvenliğini sağlamak ileri görüşlü olmayı gerektirir. Bilgi güvenliği olayları meydana gelmeden önce, olayları öngörmek ve önlemek, çoğu zaman görünür olmayan bir çabadır. Olaylar meydana geldiğinde ise, en az zararla en kısa zamanda olağan çalışma durumuna geçme gereksinimiyle hareket edilir. Normal çalışma durumuna geçildiğinde olay müdahalesi tamamlanmış görünse de, burada bitmez, süreç yaşanan olayın değerlendirilmesiyle devam eder. Bu makalede, kurum ve kuruluşların verdikleri hizmetlere geniş çapta etkisi olan bilgi güvenliği olaylarına değinilecektir.
1. En çok karşılaşılan bilgi güvenliği olayları
Yurt genelinde yaygın hizmet veren kurum ve kuruluşlarla yapılan bir araştırmada katılımcılara, son beş yıl içinde, verdikleri hizmetlerdeki bilgilerin gizliliğini, bütünlüğünü veya hizmetin sürekliliğini etkileyen olayların yaşanıp yaşanmadığı sorulmuştur. Bu soru ile, kurum ve kuruluşların hizmetlerine kapsamlı olarak etkisi olmuş bilgi güvenliği olaylarını belirlemek amaçlanmıştır.
Bilgi Güvenliği Olaylarının Nedenleri
1. Enerji veya iletişim hattının fiziksel olarak zarar görmesi
2. Su baskını
3. Enerjideki dalgalanmalar
4. Yetkili kullanıcı haklarıyla yapılan işlemler
5. Saldırganlar
6. Zararlı yazılımlar
7. Kurumsal uygulamaların veya uygulamaları destekleyen yazılımların yeni sürümlerine geçişte uyumsuzluklar
Tablo 1- Son beş yıl içinde kurum ve kuruluşların yaşadıkları bilgi güvenliği olaylarının nedenleri
Katılımcı kurum ve kuruluşlar son beş yıl içinde en az bir bilgi güvenliği olayından geniş çaplı etkilenmiştir. Bu olaylar hizmet kesintisine, bilginin kaybedilmesine, bilginin değiştirilmesine veya açığa çıkmasına neden olmuştur.
2. Olaylarla ilgili değerlendirmeler
Belirtilen olayların nedenleri temelde dört grup altında ele alınabilir:
Fiziksel ve Çevresel Güvenlik Sorunları
Sistemlerin hizmet vermesinde önemli çapta kesintiye neden olan olaylar genellikle enerji ve iletişim hattındaki kesilmeler olmaktadır. Bu kesilmeler verilerin merkezi olarak tutulduğu ortam ve lokasyonlarda olduğunda yaygın hizmet veren uçlar da kesintiden etkilenmektedir. Sistem merkezine gelen ana enerji hattının veya Internet hattının fiziksel olarak zarar görmesi, enerji altyapısının veya merkezi sistemin bulunduğu fiziksel ortamın su baskınından etkilenmesi, enerji hattındaki elektriksel dalgalanmalar nedeniyle hizmet veren sunucuların zarar görmesi yaşanan örneklerden bazılarıdır.
İnsan Faktörü
Bilgi güvenliği olaylarının bir kısmı, yetkili kullanıcı haklarıyla yapılan işlemlerden veya bilginin bilinçli olarak dış taraflara verilmesinden kaynaklanmaktadır. Hesap parolasının zayıflığı nedeniyle hesabın ele geçirilerek kullanılması, hesap sahibinin parolasını başka kişilerle paylaşıyor olması, görevi değişen veya işten ayrılan personelin kapanmamış hesabı ile işlem yapılması ve sorumlunun tespit edilememesi gibi durumlarla karşılaşılmaktadır. Birtakım bilgilerin açıklanması uygun olan zamandan önce açıklanması, kurumlarca yayınlanan bazı listelerde kişilere ait kritik olabilecek ayrıntılı bilgiler bulunması insan faktörü kaynaklı bazı olaylardır.
Saldırganlar ve Zararlı Yazılımlar
Kuruluş itibarını etkileyen bazı olaylar da kuruluş ana sayfasının veya kuruluşa özel bilgilerin saldırganlar tarafından ele geçirilmesi şeklinde olmaktadır. Saldırganlar kurum ağından veya kurumsal ağın dışından sistemlere erişim sağlamışlardır. Kurumlar, bu olayların ötesinde hedefli saldırılarla ilgili olay belirtmemişlerdir. Verilen hizmetlere büyük çapta etkisi olan diğer bir olay sebebi yazılımları ve işletim sistemlerini etkileyen zararlı yazılımlardır. Bu etki çoğu zaman, oldukça çok sayıda istemciye sahip olan kurumsal ağlarda kullanılan işletim sistemlerinin ve yazılımların yama yönetimindeki aksaklıklardan kaynaklanmaktadır.
Yazılım Güncelleme ve Yaygınlaştırmada Uyumsuzluklar
Hizmetin verilmesini sağlayan kurumsal yazılımların gerek hatalardan arındırma gerek uygulamadaki değişiklikler nedeniyle zaman zaman güncellenmesi gerekmektedir. Bilgi sistemleri altyapısında çalışan diğer yazılım bileşenleri de güncellenmektedir. Kapsamlı etkisi olan diğer bir olay kategorisi, yeni yazılım sürümlerinin yaygınlaştırılması sırasında karşılaşılan uyumsuzluklardan kaynaklanan hizmet kesintileri veya veri kayıplarıdır.
3. Kök nedenler ve çözüm önerileri
Kurumlarda çoğunlukla, büyük çaplı sistem kesintilerine neden olan ve yaşanan olayın basına yansıdığı bilgi güvenliği olayları akılda kalmaktadır. Bilgi güvenliği olaylarına dair kurumsal belleğin bulunmaması risk farkındalığının sağlanamamasına, benzer olayların tekrarlanmasına ve tekrarlayan zarara sebep olabilmektedir.
Olaylar yaşandıktan sonra kurumlar, enerji hattı ve Internet hattı yedekliliği, veri yedekliliği, sistem merkezi yedekliliği gibi çözümlere yönelmiştir. Olası bir olay durumunda sorunsuz geçişin sağlanması için tatbikatların yapılması gereği ortaya çıkmıştır.
Yetkili hesaplarla gerçekleştirilen olayların geriye dönük izlerinin sürülmesinde sistem kayıtları kullanılmaktadır. Hizmet kullanıcılarının ve kurum personelinin sistemde yaptığı işlemlerin kayıtları çoğu zaman tutulmaktadır, bununla birlikte sistemde üst yetki seviyesine sahip hesaplardan yapılan işlemlerin kayıtlarına da ihtiyaç duyulabilmektedir. Herhangi bir bilgi güvenliği olayının farkedilmesi ve çözümlenmesi sürecinde en önemli ihtiyacın kayıt yönetimi olduğu görülmüştür.
Buna ek olarak, kurum ve kuruluşların bildirim ve tespit mekanizmalarındaki ve olay kayıtlarındaki (log) olası eksikliklerin bazı bilgi güvenliği olaylarının farkedilmesini engelleyebileceği düşünülmektedir.
Kurum ve kuruluşlar, bilgi güvenliği olaylarını önlemek ve olaylara etkin müdahale etmek için:
a) Bilgi güvenliği olaylarına hazırlık, tespit ve müdahale edilmesine dair sorumlulukları belirlemeyi
b) Olası kritik bilgi güvenliği olaylarına karşı ön hazırlık yapmayı ve olay müdahale tatbikatları düzenlemeyi
c) Yaşanmış bilgi güvenliği olaylarının detaylı şekilde değerlendirmeyi ve olayların tekrarlanma olasılığını azaltmayı planlamaktadırlar.
Bilgi güvenliği olay yönetim sürecinin ilk adımı, olaylar meydana gelmeden önce, olaylara hazırlık sürecidir. Diğer kurum ve kuruluşların da, yaşanabilecek benzer olayları, risk analizi yaparken ve olası acil durumları belirlerken gözönüne almasının fayda sağlayacağı değerlendirilmektedir.
