Raporun ilk bölümünü Koç.net’ten 1000 Şirket’e Ait Güvenlik Raporu-1 başlığı altında okuyabilirsiniz.
Bu bulgulardan web açıkları bölümü kampanya bulguları ile karşılaştırıldığında Türkiye’deki şirketlerin Amerika’daki şirketlerin 4 katı kadar güvenlik açığına sahip olduğu ortaya çıkmaktadır.
Rizikometre raporunda öne çıkan diğer bir önemli problem de internete açılmaması gereken servislerin güvenlik duvarı (firewall) ile kontrol altına alınmamasından kaynaklanmaktadır. Aşağıdaki raporda Türkiye’deki kurumların sektörel analizi yapılmaktadır.
Figür 1: Firewall Konfigürasyon Problemleri
Görüldüğü üzere özellikle Eğitim, Perakende, Kamu ve Tekstil sektörlerinde çok ciddi risklerin taşındığı gözlenmiştir. Bu sektörlerde bulunan şirketlerin Türkiye ekonomisindeki yerinin büyüklüğü ve eğitim gibi stratejik öneme sahip olmaları, karşılaşılabilecek risklerin boyutunun da çok büyük olacağını belirtmektedir.
Yüksek seviyedeki açıkların sektörel dağılımına bakıldığında; en az riskin Enerji ve Sağlık sektöründe, en çok olasılığın ise Eğitim, Kamu ve Perakende sektörü firmalarında olduğu görülmektedir.
Genellikle bu açıkların temeli, kullanılan uygulamalara ait güvenlik yamalarının düzenli takip edilmemesinden kaynaklanmaktadır. Neredeyse her gün CERT, Security Focus gibi kuruluşlar tarafından bilişim ürünlerinin yeni açıklarına karşı duyurulan korumaların şirketler tarafından düzenli takip edilmesi gerekmektedir. Aksi taktirde şirketler bu sistemlerini hacker’lara ve son zamanlarda oldukça büyük zararlar veren ve çok hızla yayılan worm saldırılarına karşı koruyamayacaklardır.
Rizikometre kampanyası sonuçları incelenirken tüm sektörlerde faaliyet gösteren KOBİ’lerle ilgili de detaylı analiz yapılmıştır. Bu çalışma bize kampanyaya katılan şirketlerin %60’ını oluşturan KOBİ’lerle ilgili aşağıdaki bulguları ortaya çıkarmıştır.
•KOBİ’lerin %70’inde güvenlik duvarı kullanılmamaktadır veya konfigurasyonunda ciddi eksiklikler vardır.
•Yüksek seviyeli açıkların %40’ı web servislerindeki açıklardan kaynaklanmaktadır. Bu durum e-ticaret yapan Kobi’lerin hem kendilerinin hem de müşterilerinin yüksek risk altında olduğunu göstermektedir.
- Kobi’lerin si veritabanlarını tüm internet erişimine açmıştır. Bu şirketlerin kritik verilerinin hepsine (ürün, müşteri bilgileri – kredi kartı, müşteri ad/adres bilgisi, finsansal bilgiler vb) kolaylıkla erişilebilir.
- Kobi’lerin%15’i dosya sunucuları tüm internetten erişilebilir durumdadır. Bu şirketlerin tüm kritik bilgilerine kolaylıkla erişilebilir.
Özellikle 2004’te Telekom tarafından verilen rakamlara göre, çok artması beklenen genişbant hizmetleri ile internet erişimine sahip Kobi’lerin sayısı çok daha fazla artacaktır. Bu durum yukarda belirtilen riskleri gidermeden internete bağlanacak Kobi’lerin internet erişimi ile yarardan çok zarara uğrayabilecekleri aşikardır.
ANALİZ SONUÇLARI
İnternete açık sistemlerin yalnızca %13’ünde güvenlik açığı doğurabilecek probleme rastlanmamıştır. Geriye kalan %87 gibi büyük bir kesimde belli oranda risk taşıyan güvenlik açıkları tespit edilmiştir.
Halen birçok şirketin ciddi risk altında olmaları, bilgi güvenliğinin sağlanmamasından dolayı meydana gelebilecek kayıpların boyutları hakkında fikir sahibi olmadıklarını göstermektedir. Buna ek olarak kamu ve eğitim sektörlerinde görülen güvenlik eksikliklerinden dolayı karşılaşılabilecek zararlar sonrasında zaten oldukça yavaş hayata geçirilmekte olan e-devlet projelerinin yaygınlaşmasını daha da geciktirebilecek boyuttadır.
Belirtilen tüm güvenlik açıklarının temel nedenleri şirketlerde ve kurumlarda bilgi güvenliği konusunun önemine ilişkin bilincin yeterince oluşmamasıdır. Bilgi güvenliğinin teknik bir sorun kabul edilmesi ve yönetimin bu soruna özen göstermemesi de çözümü zorlaştırmaktadır. Tüm bu ana nedenler aşağıdaki güvenlik açığına yol açan problemleri doğurmaktadır:
- Risklerin doğru saptanmaması veya gözardı edilmesi
- Güvenlik yamalarının düzenli takip edilmemesi
- Bilgi sistemleri güvenliğinin genel tasarımındaki eksiklikler
- Güvenlik sistemlerindeki ayarların düzgün yapılamaması
Şirketler güvenlikle ilgili olarak belirtilen bu problemleri ortadan kaldırmak ve iş süreçlerini korumak için güvenlik risklerini doğru saptamalı ve yönetmelidirler. Sonuç olarak şirketlerin tüm bu eksiklikleri gidermek için bilgi güvenliğinin yaşayan bir süreç olduğunu göz önünde bulundurmaları gerekmektedir. Teknolojik gelişmeler doğrultusunda şirketler güvenlik sistemlerini güncellemeli ve oluşabilecek yeni riskler karşısında gerekli önlemlerin alındığından emin olmalıdırlar.