Son 1 haftanın sıcak konularından birisi Maliye Bakanlığı Gelirler İdaresi Başkanlığı sistemlerine giriş yapan ve başta Başbakan Tayyip Erdoğan ve muhalefet lideri Deniz Baykal olmak üzere, pek çok tanınmış kişi ve şirketin ödediği vergiler, kredi kart bilgileri ve benzeri bilgileri tarayan, yetkisiz ama ellerinde şifreler olan kişilerin neler yaptığı konusu.
Doğrusu basına “büyük skandal” ya da muhalefetin “El Kadı araştırmaları” nedeniyle meydan geldi nitelendirmesiyle yansıyan bu olayın ne olduğunu tam anlamını anlamış değiliz. Bunun merkezden yapılmış olması durumunda, farklı illerden giriş yapılması soru işareti oluyor. Hack olayı ise yok diyorlar. Ama bu konu bizim aklımıza doğrudan devlet siteleri ne kadar güvenli sorusunu getirdi. Biz de konuyu güvenlik uzmanı Murat Lostar’a sorduk. Konumuz doğrudan Maliye Bakanlığı gelirler İdaresi yerine genel olarak devlet sitelerinin durumu oldu. Bakın Lostar neler diyor;
turk-internet.com : Devlet bilişim sistemlerinin güvenliği dersek. Önce şunu soralım; devlet sitesi ne tür saldırılara muhatap olabiliyor?
Murat Lostar : Önce konuyu devletler arası ve bireylerden devlet sitelerine doğru saldırlar şeklinde iki aşamada incelemekte yarar var.
Devletler arası saldırılar ve (bu saldırılar açısından) Internet’i incelediğimizde iki ayrı yaklaşım görüyoruz. Birincisi Internet’in eski yöntemlerin kullanıldığı yeni bir saldırı cephesi olması. İkincisi de teknoloji ile birlikte gelen günlük hayat değişikliklerine yapılan saldırılar.
Barış döneminde tüm devletlerin, dost ve düşman tüm diğer devletlerle ilgili düzenli ve sürekli istihbarat toplaması hepimizin bildiği bir gerçek.
Internet istihbarat gerçeğini değiştirmedi, sadece “Internet üzerinden istihbarat” kavramı doğdu. Benzer şekilde karşı istihbarat, dezenformasyon kavramları da Internet üzerinden de yapılmaya başlanan çalışmalar arasında.
Devletin teknoloji ve Internet kullanımı farkında olmasak da günlük hayatımızın da önemli bir parçası, trafik ışıklarından enerji dağıtımına hemen her konuda devlet bilgisayarlaşmış durumda. Bu bilgisayar sistemleri de bir şekilde Internet’e bağlı. Birkaç yıl önce ABD’nin kuzey doğusunu etkileyen çok büyük elektrik kesintilerinin teknoloji ve virüslerle ilgili olduğunu da hatırlarsak, bir ülkeye karşı saldırılarda Internet’in ve teknolojinin kullanılmasın da ne kadar etkin olabileceğini anlayabiliriz.
Üstelik artık gizli bilgi olmaktan çıkmış bazı örnekler de var. Bunların arasında en ünlü olanlardan biri İsrail ordusunun hacker’lardan oluşan bir ekibi bünyesinde bulundurması ve düşman gördüğü ülke sitelerine saldırması yer alıyor.
Öte yandan devlet vatandaşlarla ilgili bir çok bilgiye de sahip. Tüm kimlik bilgilerimizden vergi matrahımıza, hastalıklarımızdan sabıka kaydımıza kadar bir çok bilgi devlet elinde bulunuyor. Bu bilgilerin gizliliği, doğruluğu ve erişilebilirliği çok önemli. Yurt dışı çıkış yasağı olan biri, ilgili sistemlerin bir süre çalışmaz hale getirilmesinden yararlanarak yurt dışına elini kolunu sallayarak çıkabilir. Ya da rekabette haksız avantaj ele geçirmeye çalışan biri rakibi hakkında devlette bulunan gizli bilgilere erişmeye çalışabilir. Dolandırıcılık amacıyla devlette bulunan bilgilerden yararlanarak kimlik hırsızlığı yapılması da ne yazık ki sık karşılaştığımız örnekler arasında yer alıyor.
turk-internet.com : Devlet siteleri bu saldırılara engel olmak ya da doğru karşılık vermek için ne tür önlemler almalıdır. Nasıl bir sistem kurmalıdır?
Murat Lostar : E-devlet uygulamalarının güvenliği için tüm devlet kurumlarının ve uygulamaların uyması gereken güvenlik standartlarının belirlenmesi ilk ve önemli adımdır. Mevcut durumda her bir kurum kendi istediği seviyede güvenlik sağlamaya çalışmakta, bu nedenle çoğu zaman yeterli önlemler alınamamaktadır. E-devlet uygulamalarında genellikle sadece ilk kez hayata geçerken güvenlik ile ilgili çalışmalar yapılmaktadır. Oysa güvenlik bir seferlik bir çaba değil, sürekli dikkat edilmesi gereken bir konudur.
Neler yapılabilir?
- E-devlet uygulamasının planlama ve tasarım aşamasından itibaren iç ve dış risklerin neler olabileceği belirlenmeli
- Bu risklere karşı alınması gereken bir seferlik ve sürekli önlemler çıkartılmalı
- Hazırlıklar tamamlanıp uygulama hayata geçmeden önce güvenlik açıklarının bulunması ve kapatılması için gerekli kontrol çalışmaları yapılmalı
- Yöneticiler, teknik çalışanlar ve bilgi güvenliği uzmanlarından oluşan bir “güvenlik kurulu” oluşturulmalı
- Yapılan saldırı denemeleri, güvenlik ile ilgili olaylar, oluşan yeni riskler ve dünyada değişen güvenlik riskleri dönemsel olarak güvenlik kurulunda görüşülmeli
- Güvenlik kurulunun kararları ile güvenlik ile ilgili alınacak yeni kararlar hayata geçirilmeli
turk-internet.com : Dış tehditler için bunları söylüyorsunuz ama bir de iç tehdit söz konusu. Mesela son olarak bir devlet sitesinde bu tür bir sorun olduğu izlenimi alıyoruz. Yani içerdeki şifreler dışarıya verilmiş. Acaba iç tehditlere karşı nasıl önlem alınabilir? Nasıl tespit edilebilir?
Murat Lostar : Güvenlik tehditlerini önce birkaç gruba ayırıyoruz. İnsan kaynaklı riskler, doğal afetler, altyapı ve cihaz arızaları gibi. İnsan kaynaklı riskleri de iç ve dış olarak ikiye ayırdıktan sonra her iki grubu bir de bilinçli yapılan tehditler ve istemeden yapılan (hata/kaza) işlemlerle ilgili tehditler.
Dışarıdan kaynaklı tehditler ve doğal afetler kadar içeride çalışanlardan kaynaklanan tehditler de önemlidir ve küçümsenmemelidir. Son örneklerde de gördüğümüz gibi bu riskler hem kurumların hem de bütün olarak e-Devlet’in itibarını sarsacak sonuçlar doğurabilmekte. Bu nedenle yukarıda geçen “sürekli güvenlik” kavramı mutlaka ele alınmalı, kurumlarda güvenlik kurulu gecikmeden göreve başlamalıdır.




Kaynak : 