Yaşlı gezegenimiz, çevresine dolanan dijital bilgisayar ağlarının kollarında bugüne dek hiç olmadığı kadar hızla dönüyor. Daha önceleri günler, haftalar alan işler artık baş döndürücü hızlarda yapılabiliyor.
Dijital ağlar, dünyamızın dinamizmini artıran bir gençlik aşısı gibi genişleyip yayıldıkça işyerlerinde hız ve performans patlamaları yaşanıyor, evlerde ise kediler başköşeleri bilgisayarlara kaptırıyor.
Ama dijital ağlar, dijital tehlikeleri de beraberinde getiriyor. Birkaç sene öncesine kadar dijital saldırıların sayısı iki elin parmaklarını geçmezken günümüzde bilgisayar korsanlarının el atmadığı makine neredeyse kalmadı. FBI tarafından yapılan bir anketin sonuçları gerçeği net bir biçimde ortaya koyuyor. Büyük ölçekli ABD şirketleri ve devlet kurumlarının % 90’ı e-saldırılara şu ya da bu şekilde maruz kaldıklarını FBI’a bildirdiler. Saldırıya maruz kalan şirket ve kurumların % 70’i ise saldırganların bilgisayar sistemlerinde saklanan bilgilere zarar verdiklerini, bilgileri çaldıklarını ya da çeşitli sahtekarlıklar yaptıklarını da açıkladılar.
Siber Saldırılarda % 100 Artış
Türkiye’de ağ ve bilgi güvenliği alanında hizmet veren InfoNet’ten yapılan bir açıklamaya göre 2001’de sadece ABD’de e-saldırıya uğrayan firma sayısı geçen seneye göre % 100 artarak 40 bine ulaşmış bulunuyor. Bu ürkütücü bir rekor. Bir başka araştırmanın ortaya koyduğu rakam ise gerçekten düşündürücü. Araştırmaya katılan 150 BT müdüründen 60’ı, şirketlerinin ciddi bir e-güvenlik politikası olmadığını söylüyor.
InfoNet güvenlik uzmanları, özellikle kurumsal bilgisayar kullanıcılarının mutlak surette bir e-güvenlik politikasına sahip olması gerektiğine işaret ediyor. Sistem güvenliğinin dinamik bir süreç olduğunu hatırlatan uzmanlar, paylaşıma açık uygulamalar ve sistemler üzerinde her gün farklı açıklar saptandığına değiniyor ve bilgisayar korsanlarının bu açıklardan yararlanmak için pusuda olduklarını kaydediyorlar. Ağ trafiğinin filtrelenmesi, daha sonra incelenmek üzere kayıtlarının tutulması, kaynaklara erişim haklarının genel bilgi akışını engellemeyecek şekilde en aza indirilmesi de e-güvenlik açısından önem taşıyan hususlar.
En Büyük Tehdit İşten Çıkarılan Eleman
Peki kim bu bilgisayar korsanları? ABD’de saldırıların % 81’inin arkasında işten çıkarılmış ya da hala çalışan ama firmasıyla sorunları olan personel yatıyor. Bağımsız hacker’lar % 77’lik bir oranı oluştururken firmanın rakipleri % 44 oranıyla üçüncü sırada yer alıyor. Amerikan firmaların yabancı rakipleri de boş durmuyor. Saldırıların % 26’sını bu kesim teşkil ediyor. Yabancı hükümetler de % 21’lik oranla hack işinin içinde yer alıyorlar.
Yanlış: “Bir Güvenlik Duvarı Bir Antivirüs Yazılımı Yeter”
InfoNet güvenlik uzmanları, hizmet verdikleri müşterilerin ağlarında en çok nelerle karşılaştıklarını ise şöyle anlatıyorlar: “Kurumsal ağlarda karşımıza çok çeşitli sorunlar çıkıyor. Bunlar arasında en sık karşılaştığımız sorun güvenlik politikalarından yoksun olmaları. İşletim sistemlerinin ve çeşitli güvenlik uygulamalarının ihtiyaçlara göre konfigüre edilmesi de sık rastlanan bir durum değil. Genellikle fabrika ayarları kullanılıyor. Güncellemelerin de günü gününe yapıldığı pek ender görülüyor. Kullanıcıların e-güvenlikle ilgili bilgilerinin ise eksik ya da yanlış olduğunu görüyoruz. Çoğu, bir güvenlik duvarı ve bir antivirüs yazılımıyla e-güvenlik içinde yaşadığını sanıyor. Güvenlik açıklarının ve saldırılarının ne anlama geldiğinden bihaberler.”
InfoNet güvenlik uzmanları önümüzdeki dönemde gerek mevcut gerekse yeni bulunacak güvenlik açıklarının ciddi tehlikeler doğurabileceğini hatırlatıp gereken önlemlerin gecikmeden alınmasını tavsiye ediyorlar. Ağ üzerinde kullanılan bütün sistemlerin o günkü en güncel e-güvenlik prosedürleriyle incelenmesi gerektiğini bildiren uzmanlar, InfoSECURE güvenlik değerlendirme hizmeti gibi bir testin kurumsal ağlarda mutlaka gerçekleştirilmesi lazım geldiğini kaydediyorlar.
InfoSECURE, bir dizi testten oluşuyor. Yapılan testlerle kurumsal ağlardaki zayıf noktalar, güvenlik açıkları ve gedikler saptanıyor. Bu zaafların nasıl giderileceğine dair kapsamlı bir rapor InfoNet tarafından müşteriye sunuluyor. İstenirse gerekli önlemler de alınarak ağın güvenliği en yüksek düzeye çıkarılıyor.
InfoNet Genel Müdürü Taner Özdeş, kurumsal kullanıcıların profesyonel ve dinamik bir iş olan e-güvenliği uzmanlara bırakması gerektiğini söylüyor. Bunun için yönetilen hizmetlerden yararlanılmasının en doğru yol olacağını ifade eden Özdeş, İstanbul’daki ofislerinden Gaziantep’teki bir şirketin e-güvenliğini en iyi şekilde sağlayabileceklerini dile getiriyor.
E-güvenlik saldırılarının büyük kısmının ağ içinden geldiğini söyleyen Özdeş, bu tür saldırılar nedeniyle yılda milyarlarca dolarlık kayıplar yaşandığını, buna rağmen çoğu şirketin halen bir güvenlik politikasından yoksun olduğunu belirtiyor. Geçen sene kurumsal ağlara düzenlenen 25 bin saldırı denemesinin % 65’inin başarılı olduğunu kaydeden Özdeş, Microsoft ISS Web sunucusundaki bir açıktan yararlanan Code Red solucanının 9 saat içinde 250 bin Web sitesini erişilemez hale getirdiğine dikkati çekerek, e-güvenliğe bütçe ayırmayan firmaların ileride çok daha yüklü masraflarla karşılaşabildiklerine dikkat çekiyor.