Amerikan Devlet Kurumları da Siber Güvenlikte Sınıfta Kalmış Gözüküyor

Veracode isimli bir yazılım güvenliği firmasının yayınladığı bir rapora göre[1]; Amerika’daki federal kurumlar –genellikle askeri ya da istihbarat kurumlarına bağlı olmayanlarmış– güvenlik sorunları konusuna önem vermiyorlar ve satın aldıkları ya da kendi geliştirdikleri yazılımların güvenlik sorunlarına çözüm bulmaya uğraşmıyorlarmış.

Veracode, yazılım ve uygulamaların güvenlik açıklarına yönelik olarak bulut bazlı denetim yapan bir firma. Yayınladığı raporda, özel sektör ve kamuda mart öncesi 18 ay boyunca 208.670 uygulamanın incelendiği bildirilmiş.

Şirketin incelediği konular, güvenlik açığı içeren yazılımların ne kadar süre kullanıldığı, bunların ne kadar sıklıkla güvenlik standartlarına uygun hale getirildiği ve açıkların ne kadar sürede yamandığı şeklinde sıralanıyor.

Amerikan Devlet Kurumlarında Yamalama oranı % 27’ymiş

Ve 18 aylık araştırma süresinde, bulgular Amerikan Federal Kurumlarının % 76’sının “Open Web Application Güvenlik Projesi (OWASP)” isimli güvenlik standartlarını tutturmadığını gösteriyor. Finansal Servisler sektörü ise OWASP standartlarını % 42 oranında tutturmuş.

Güvenlik açıklarının yamanması konusu ise daha kötü bir görüntü sergiliyormuş. Veracode 18 aylık araştırma süresince 6,9 milyon güvenlik açığı tespit etmiş. İlgili firmalar tarafından, bunların ancak 4,7 milyonu yamalanmış. Amerikan Devlet Kurumları tarafında yamalama oranı % 27, imalat sektöründe ise % 81 olarak veriliyor.

Raporda dikkati çeken bir konu, ülkemizde de sorun olarak bildirilmişti[4]; Devlet kurumlarının çalıştığı dış firmalar (ihalelerle) kendi ticari yazılımlarını şirkete kuruyor. Ancak bu yazılımlarda çıkan açıklar, o firma tarafından devlette güncellenmiyor. İhale şartnamelerine buna dair madde konulmuyor.

Rapor devlet şirketlerinin risk bazlı bir yaklaşım göstermediğini ancak kurallara uyma babında bir şeyler yaptığını söylüyor. Örneğin yamalama işlemi yarım kaldığında, bu konunun unutulabildiği, neyin yanlış gittiğinin araştırılmadığı ve işlemin yeniden başlatılmayabildiği de not edilmiş.

Devletin bu kadar gevşek davranmasının nedeni ise, devlete yönelik düzenleme, yönetmelik gibi zorunlulukların olmaması şeklinde değerlendiriliyor. Anlaşılan mum dibine ışık vermiyor.

Amerikan Federal Hükümetinin Personel Ofisine yapıldığı ve 4 milyon eski-yeni personelin bilgilerinin çalındığı bildirilen saldırı [2] sonrasında, Amerika’da hükümet kurumlarının güvenliğine dair endişeler arttı. Konuyla ilgili soruşturmanın devam ettiği bildiriliyordu.

Personel bölümüne yapılan saldırının Çin’den geldiği ve belki gizli ajanları bulmaya yönelik olabileceği düşünülüyordu. Yine başka bir bilgi de, 2006’dan beri Amerikan Federal Hükümetine ait bürolara yapılan saldırıların % 1100 arttığı şeklinde.

Oysa Amerikan hükümetinin bilişim sistemlerine yılda 80 milyar $ ve siber güvenlik alanına da 13 milyar $ civarı harcadığı belirtiliyor.

Turkiye’de Durum

“Amerikan devlet kurumlarında durum buyken, acaba Türkiye’de durum nedir?” diye sorabilirsiniz. Cevabını 2013 yılında Cumhurbaşkanlığı Devlet Denetleme Kurumu vermişti[3].

Buna göre, ülkemizin devlet kurumlarında büyük güvenlik açıkları var. Raporun içinde sadece kişisel verilerin korunması konusu değil; yanısıra doğrudan ilgilendirdiği için bilgi güvenliği konusu da incelenmiş. İyi de olmuş.

Yapılan incelemelerin sonucunda raporda 7 tespit ve buna öneri getirilmiş. Bunlar özetle şu şekilde (daha detaylı bilgi için dip not [4])

TESPİT VE ÖNERİ 1- Bilgi güvenliği ve kişisel verilerin korunması konusunda gerekli önlemlerin alınması ve gerekli çabanın gösterilebilmesi için öncelikle bu konuda belirli bir farkındalığın oluşması, bilinç düzeyinin gelişmesi gerekmektedir.
TESPİT VE ÖNERİ 2- Bilgi güvenliğI ve kişisel verilerin korunması açısından sadece teknolojik önlemler yeterli değildir. Bu kapsamda, kişisel verilerin toplanması, işlenmesi, kullanılması, muhafazası, paylaşılması, yeni işlemlere tabi tutulması, silinmesi gibi her aşamada etkin bir şekilde korunması amacıyla; kamu kesimi ve özel kesim, sivil toplum ve uluslararası kurum ve kuruluşlar olmak üzere tüm taraflar ile konunun teknik, idari, organizasyonel, sosyal ve ekonomik boyutlarının tamamını dikkate alan bütüncül yaklaşım ihtiyacı bulunmaktadır.
TESPİT VE ÖNERİ 3- Kamudaki bilgi sistemlerinin bir e-Devlet mimarisi genel çerçevesinde şekillendirilmemesi nedeniyle güvenlik riskleri başta olmak üzere, sistemlerin birbirleriyle konuşamaması, hizmet kalitesinin düşmesi, aynı verilerin defalarca farklı sistemlerde tutulması gibi pek çok sorun yaşanmakta, gereksiz maliyetlere katlanılmaktadır.
TESPİT VE ÖNERİ 4- Bilgi sistem donanımlarının ve yazılımlarının ilgili kurumun envanterinde yer alması, söz konusu bilgi sistemlerinin sahipliğinin ilgili kurumda olması anlamına gelmemektedir. Bilgi sistemleri üzerindeki gerçek sahiplik, bu sistemler üzerinde nihai belirleyicilik ve sistem yetkisine bağlıdır. Söz konusu bilgi sistemleri üzerindeki en üst sistem yetkilerinin bilişim hizmeti alınan özel firma yetkililerinde bulunması durumunda ilgili kurum, bilgi sistemlerinin sahipliğI konumundan, kullanıcısı konumuna düşebilmektedir. Denetimlerde Türkiye’de pek çok kurumun bilgi sistemlerinin gerçek anlamda sahibi olmadığı, tüm vatandaşların verilerini tutan bazı omurga veri tabanlarında dahi bilgi sistemleri üzerinde en üst sistem yetkisinin bilişim hizmeti alınan yüklenici firma personelinde olduğu görülmüştür.
TESPİT VE ÖNERİ 5- Güvenlik, neyin korunacağı, hangi değerin önemli olduğu, bu değere yönelmiş tehditler, mevcut zafiyetler ve alınabilecek önlemler unsurlarını bünyesinde barındıran bir kavramdır. Kişisel verilerin korunmasında, korunacak değer “veri”, “bilgi” olup öncelikle korunması gereken unsurun nelerden ibaret olduğunun belirlenmesine yönelik envanter çalışması yapılması önem taşımaktadır. Bilgi sistemleri ve bu sistemlerde bulunan veri envanteri çalışması ile korunması gereken veri varlıkları ve bunların niteliği belirlenebilecek, buna göre verilerin kişisel veri, hassas veri, kritik altyapı verisi, gizli veri gibi nitelikleri dikkate alınarak niteliklerine uygun güvenlik önlemleri uygulanabilecektir.
TESPİT VE ÖNERİ 6- Uygulama, yazılım ve sistemlerin oluşturulması sırasında kısa vadede sistemin işleyişi ve çalışır halde bulunmasının daha ön planda tutulduğu anlaşılmıştır. Bilgi sistemlerinin güvenliğinin tasarım aşamasından itibaren dikkate alınması ve bu kapsamda işlevsellik ile güvenlik arasında denge oluşturulması gerektiği düşünülmektedir.
TESPİT VE ÖNERİ 7- Bilgi güvenliği yönetim sisteminin uluslararası standartlara sahip bir yapıya kavuşması, gerekli güvenlik tedbirlerinin belirlenerek hayata geçirilmesi ve bunun bir sistem dâhilinde yürütülmesi açısından sertifikasyon süreçleri kurumlara olumlu katkılar yapmaktadır. Ancak bu tür sertifikasyonlarda nihai amaç, kurumun bilgi sistemlerinin güvenliğine katkı yapılmasıdır. Bu açıdan güvenlik amacına ulaşmada bir araç olan sertifikalar amaç mertebesine yükseltilmemelidir. Kurumda amacın, gerçek anlamda bilgi güvenliğini sağlayacak yeterli, yetkin, kurumsallaşmış ve yeni tehditlere göre sürekli güncellenen dinamik bir bilgi güvenliği yönetim sisteminin oluşturulması olduğu göz önünde bulundurulmalı, bilgi güvenliği yönetimi sertifikasının kapsamı konusunda yanlış algılara yol açabilecek uygulama ve açıklamalardan kaçınılmalıdır.

[1] A State Government Protects Citizen Data by Securing Applications

[2] Devlet Saldırıları; 4 Milyon Amerika’lı Devlet Memurunun Bilgisinin Çalındığı Düşünülüyor, Alman Parlamentosu da Siber Saldırı Altında

[3] Devlet Denetleme Kurulu’ndan Önemli Bir Rapor; Devlet Kurumları Kişisel Verileri Dikkatsizce Veriyor – 1

[4] DDK’nın, Kişisel Verilerin Korunması ile İlgili Raporunda Yer alan Tespit ve Öneriler – 2