Bu makale
- – Prof. Dr. Şeref Sağıroğlu, Gazi Üniversitesi Bilgisayar Mühendisliği Bölümü Başkanı, Bilgi Güvenliği Derneği Başkanı,
– Alper Özbilen, Bilgi Teknolojileri ve İletişim Kurumu,
– Prof. Dr. İlhami Çolak, Gazi Üniversitesi Teknoloji Fakültesi Elektrik Müh Bölümü Başkanı,
tarafından hazırlanmıştır.
Makalenin ilk bölümünü burayı tıklayarak ve ikinci bölümünü burayı tıklayarak okuyabilirsiniz.
Ülkemizde ise bu konuda yapılması gerekenler aşağıda başlıklar halinde sunulmuştur.
1.Kritik altyapıların korunması ile ilgili olarak ABD’de ve AB ülkelerinde olduğu gibi ülkemizde de gerekli çalışmaların başlatılması gerekmektedir.
2.Başta Amerika Birleşik Devletleri olmak üzere, birçok batılı ülkede DDS sistemlere yönelik tehditler ve bu tehditlerin giderilmesine yönelik önlemler üzerine çeşitli kamu kurumları ve enstitülerce sürekli araştırmalar yapılmaktadır. Ülkemizde kritik sistemlere yönelik elektronik tehditler konusunda farkındalığın geliştirilmesi ve [8] nolu çalışmada sunulan çözüm önerilerinin ülkemizdeki kritik altyapı denetim sistemlerinde uygulanması gereklidir.
3.Sürekli ve doğru işletilmesi gereken, kesinti veya hata durumunda üretimin ve dağıtım hizmetinin durmasına, ciddi hatta veya kasıt durumunda işleten ve hizmet alan insanların fiziki zarar görmesine neden olabilecek kritik altyapı şebekelerinde kullanılan dağıtık denetim sistemlerine yönelik elektronik tehditlerin detaylı olarak incelenmesi ve gerekli önlemlerin alınması gereklidir [8].
4.Gelişen ve ucuzlayan bilgisayar teknolojisi sayesinde, merkez ve kenar birimlerin standart bilgisayar donanımı ve yazılımı kullanılmaya başlanmış ve bu durum kritik sistemler için daha önce geçerli olmayan yeni elektronik tehditlerin ortaya çıkmasına neden olduğu ve internetin ve mobil erişim tekniklerinin yaygın kullanımı ile mimarileri bu erişim kolaylığı ve çeşitliliğinden daha fazla etkilenecekleri unutulmamalıdır [8].
5.Günümüz altyapı sistemlerin maruz kalabileceği elektronik tehditler, bilgisayar sistemlerin tabi olduğu elektronik tehditlerden farklı değildir. Ancak kritik altyapılarda kullanılan sistemlerdeki kesinti veya hataların maliyetlerinin çok daha ağır ve yaygın olabileceği her zaman hatırda tutulmalıdır [8].
6.Yeni bir kritik altyapı sistemi tasarlanırken veya mevcut bir sistem güncellenirken, karşılaşılabilecek elektronik risklerin göz önünde bulundurulmasında fayda olacaktır. İletişim, erişim ve yazılım güvenliğine ilişkin fonksiyonları içermeyen ürünlerden oluşan sistemlerde güvenlikten bahsetmek mümkün değildir. Ancak güncel ürünlerin büyük bir kısmında, güvenlik fonksiyonlarının bir kısmının veya tamamının desteklendiği görülmektedir. Bu fonksiyonların etkin biçimde kullanılması ise kurulum, güncelleme ve kullanıma ilişkin güvenlik politikalarının önceden belirlenmesiyle mümkün olacağı unutulmamalıdır [8].
7.Yapılacak çalışmaların çerçevesinin bilgi varlıkları güvenliği olması ve bazı gelişmiş ülkelerin izlediği gibi kritik altyapıların korunmasının ise bu ana çerçevenin bir alt maddesi olmasının uygun olacağı değerlendirilmektedir.
8.Ulusal Kritik Altyapı Güvenliği politikaları ve yönetmelikleri oluşturulmalı ve bu politikaları destekleyen strateji belirlenmeli ve eylem planları hazırlanmalıdır.
9.Ulusal Kritik Altyapı Güvenliği çalışmalarını organize edecek (E-İmza Kanunu oluşturulurken yapıldığı gibi) bir ulusal koordinasyon kurulu oluşturulmalıdır.
10.Ulusal Kritik Altyapı Güvenliğinin daha üzt düzeyde sağlanmasına yönelik olarak ulusal bilincin oluşturulması için üniversite-kurumlar ve STK lar ile işbirliği çalışmaları yapılarak çalışmalar gerçekleştirilmelidir.
11.Ulusal Kritik Altyapı Güvenliğini ihlal eden olayların meydana gelmesi durumunda bu olaylara karşı savunma yapabilecek BOME, Siber Ordu ve web ortamında sosyal gruplar gibi ekiplerin oluşturulması, koordine edilmesi ve mevcutların ise yeteneklerinin geliştirilmesi gerekmektedir.
12.Ulusal Kritik Altyapı Güvenliğinin yüksek oranda sağlanabilmesine katkı sağlamak amacıyla, Ulusal Açıklık VeriTabanı oluşturulmalıdır.
13.Ulusal Kritik Altyapı Güvenliğinin sağlanmasında uluslararası işbirliğine önem verilmelidir.
14.Ulusal Kritik Altyapı Güvenliğinin sağlanmasında dünya literatürü takip edilmeli, bu konuda yapılacak olan ulusal çalışmalar ve projeler desteklenmeli ve konuyla ilgili olarak milli ürünler geliştirilmesine çalışılmalıdır.
Sonuç olarak;
Kritik altyapıların güvenliğinin sağlanması kişilerden ziyade kurum ve şirketlerin hem kendilerin ve hizmet verdiği sektörün hemde ulusun bilgi varlıklarının korunması açısından çok önem arz etmektedir. Bunun sağlanmasında ise temel güvenlik önlemlerinin alınmasının yanında; insan faktörü, teknoloji ve politikaların beraber ele alınması ve dikkatli ve yönetilmesi çok önem arz etmektedir.
Ancak bunların sağlanmasıyla kritik altyapı güvenliğin büyük oranda sağlanacağı ve sistemlerin saldırılara ve açıklıklara karşı korunaklı duruma geleceği şüphesizdir. Ülkemizde kritik altyapı güvenliğinin yeterince ele alınmadığı, farkındalık oluşmadığı, bilgi birikimi ve uzman yetersizliği sebebiyle de konuya gereken önemin verilmediği gözlemlense de öncelikle konunun yetkili birimlerince sahiplenilmesi, yasal altyapısının oluşturulması ve gerekli politikalar oluşturularak sorumlulukların belirlenmesi gerekmektedir.
ABD’de olduğu gibi ülkemizde de kritik altyapıların belirlenmesi, kritik altyapılara yönelik risklerin tespit edilmesi, rol ve sorumlulukların belirlenmesi ve bu çerçevede çalışmaların başlatılması ve üniversitelerle işbirlikleri yapılarak kritik altyapılarda bilgi güvenliğinin kısa sürede sağlanması gerekmektedir.
Kaynak : 