Otelin kapısından girdiğimde ve çanta ve cep telefonumu otel güvenlik görevlilerine verdiğimde herhangi bir arama işlemi yapılmamıştı. Ayrıca zirveye katılanlar güvenlik kapısından geçerken alarmı çaldırdıkları halde aranmamışlardı. Yani o gün güvensiz bir ortamda “Ağ ve Bilgi Güvenliği zirvesi” yapılmıştı.
Bilim ve Teknoloji çağına girdiğimiz bu çağda bilginin ne kadar önemli olduğunun ve bu bilgiye izinsiz ve yetkisiz bir şekilde erişilmesinin engellenmesi gerektiğinin önemi gün geçtikçe artmaktadır. Bilginin bir sahibi olduğu gibi orijinalliği de vardır. Yani bilginin ilk çıktığı kaynak önemlidir. Bilginin “genel” özelliği olduğu gibi “kişiye özel” özelliği de vardır. Dolayısıyla yetkisiz kişilerin eline geçmemelidir. Artık günümüzde verilerimizi, işlemlerimizi, e-postalarımızı, randevularımızı, işlemlerimizi ve kurum kaynaklarımızı yetkisiz kişilerden korumamız gerekiyor. Sahip olduğumuz bilginin tamamını elektronik ortama aktararak, bu bilgiyi paylaşılan hale getirmemiz gerekiyor. Bu işlem ancak bilginin ortaya çıkar çıkmaz kontrollü ve gerekli yetkiler çerçevesinde internet üzerine aktarılmasından ve ilgili kütüphaneyle entegrasyonunun sağlanmasından geçiyor.
Bilginin paylaşılmış hale getirilmesi işlemi kolay değil aslında. Bilgiyi üreten insan kaynağı ve bilginin özelliğine göre bir donanım altyapısı gerekli. Bu bilginin paylaşılmasını yönetecek nitelikli insan gücü de ayrıca düşünülmesi gereken ayrı bir nokta. Ancak bu yönetim işine soyunacakların güvenlik uzmanları değil, kurumun kendi yöneticileri olması gerekiyor. Bilginin paylaşılması için bu yatırımların yanında bilginin korunması için firewall, VPN, uygun işletim sistemi ve şifre yönetimi gibi işlemler işin en basit yanı. Asıl olan paylaşılmış hale getirilen bilginin korunması konusunda ciddi bir güvenlik politikası yapılması gerekli.
CERT/CC’nin yayınlamış olduğu 2001 yılı rakamlarına göre 52.658 güvenlik açığı bildirimi yapılmış ve 2.437 güvenlik açığı tespiti gerçekleştirilmiş. Amerikan üslerinden birine ise bir günde 125.000 sızma girişimi gerçekleştirilmiş. Yapılan araştırmalara göre bir kurumun kaynaklarına yapılan saldırıların %60’ı kendi iç ağlarından yapılmaktadır. Yani yapılacak olan güvenlik politikası hep iç hem de dış etkenleri kapsayacak düzeyde olmalıdır.
Günümüzde 50.000’den fazla virüs bilinmekte ve artık tek bir işletim sistemine bağlı virüsler yok. Aynı virüs birden fazla işletim sistemine birden bulaşabilmekte. IDG News’de yer alan bir habere göre hem Linux hem de Windows’a bulaşabilen ilk virüs mart-2002’de rapor edildi. Artık belirli işletim sistemlerine bağlı kalmak virüslerden kurtulabileceğiz anlamına gelmiyor.
Bilginin korunması kadar kime ait olduğu da bu noktada çok önemli. E-posta’nın sahibi gerçekten bildiğimiz kişi olduğundan, gönderilen mesajın değiştirilmeden karşı tarafa gittiğinden, gönderdiğimiz mesajın gerçekten gönderdiğimiz kişi tarafından okunduğundan ve bağlandığımız web sitesinin gerçekten o şirkete ait olduğundan emin olmamız gerek. Bunun için e-imza yasasının bir an önce faaliyete geçmesi gerekiyor.
Yalnız e-imza konusunda dikkat etmemiz gereken noktalardan en önemlisi bu e-imza sertifikasyonunu sağlayacak olan aracı kurumun kim olduğu. Bu kurum gerçekten güvenilir ve tarafsız olması gerekiyor. Ayrıca bu kurum yurtdışı kaynaklı ise bu alınacak e-imzalar için ödenecek ücretlerin yurtdışına gidecek olması sorunların en önemlisi. Bu çıkacak yasayla yurt içinde kendi insanlarımız tarafından geliştirilen e-imza yazılımlarına destek verilmesi gerekiyor. Böylece milyonlarca doların yurtdışına gitmesi engellenmiş olacak. Yerli yazılım şirketlerimizin de bu konudaki çalışmalarını şimdiden başlatması gerekmekte.
www.bilisimsurasi.org çerçevesinde kurulan eğitim çalışma grubunun raporuna göre şu an ülkemizde 2 milyon internet abonesi ve 4 milyon kullanıcı mevcut. Bu 4 milyon kullanıcının her birine bir e-imza sertifikası verilecek olursa ve bunun değerinin yıllık $10 olduğunu farz edersek, yıllık $40 milyon ülkemizden yurtdışına bir döviz çıktısı olacak demektir. Bu değerin yurt içinde kalması için BT sektöründe bulunan herkese bir görev düşmekte.
E-avrupa ve e-avrupa+ çalışmalarını yürütürken dışa bağımlı olmayı düşünmemek gerekiyor. Kendi bilişim firmalarımızın çalışmalarını destekleyerek ben şahsen kendi şirketlerimizin dışarıda yapılanlardan daha güzel projeleri geliştirebileceklerine inanıyorum. Böylece hem dövizlerimiz yurtdışına gitmemiş olacak, hem de dışarıdan döviz girdimiz olmuş olacak.
Amacımız hem varlıklarımızı hem de yaptığımız işi güvenli hale getirmek ve internet’e açtığımız bilgilerimizin kurulumunu kolay bir şekilde ve düşük maliyetli olarak yapılabilmek, güvenli, güvenilir ve kolay yönetilebilmek olmalıdır.
KAYNAK : INFONET Ağ ve Bilgi Güvenliği Zirvesi, Ankara, 2002