Şu anda ABD’deki Kolej ve Üniversite networkleri çok hızlı büyüyor ve gittikçe de daha serbest kullanılır hale geliyor. Tabi bu öğrenciler, fakülteler ve elemanlar açısından daha yararlı ama diğer taraftan bakıldığında her türlü virüs saldırılarına daha açık olmaya başladıklarını da görürsünüz.
Üniversite ve yüksek okulların bilgi işlem merkezlerini yönetmeyi zor hale getiren başka faktörler de var. ABD’de hassas finansal ve tıbbi verilerin işlenme ve saklanmasına yönelik yeni federal gizlilik düzenlemeleri, bilgi işlem merkezlerine ekstra yükler getirdi. Müzik ya da flimleri değiştokuş etmek ya da sohbet etmek için kullanılan uçtan-uca (peer-to-peer – P2P) programları da başka bir dert. Bu programlar çifte tehlike taşıyorlar. Bir yanda virüslerin daha kolay yayılması, diğer yanda telif hakları sahiplerinin dava açabilmesi.
Tehditin güngeçtikçe artması ve konunun ele alınmaması sonucunda, kolej ve üniversite bilgi işlem departmanlarının güvenlik çalışmaları korkunç bütçelerini karşılayamadıkları için durma noktasına geldi. Bilgi işlem departmanları, buna çare olarak gizli tuttukları kurallar oluşturmaya ve organizasyonel işlemlerini yeniden tanımlamaya çalışıyorlar.
Yabanları Evcilleştirmek
Şirketlerde çalışan benzerlerinin aksine, kolej bilgi işlem yöneticileri sistemlerine bağlanacak masaüstü ve mobil bilgisayar sayısını bilmezler. Özellikle kablosuz networklerin olduğu okullarda, koridorlardan ne kadar laptopun bağlanacağını hesaplamak zordur. Bu diğer yönden bakıldığında, en son yamaları yüklememiş ya da virüs programı olmayan kullanıcıların belirsizliği anlamına gelir.
Enterasys Networks’den teknik pazarlama yönetecisi Mark Townsend “Pür heyecanla gelen yeni öğrenciler, laptopları ve işletim sistemleri ile, okulun networkünde dengesizlik yaratırlar” diyor.
Okul Network’lerinde öğrencilerin eğitilmesi gereken başka hususlar da var. Mesela kampusün Wi-Fi erişim noktaları, uydu kampusler ve laboratuarlar ve uzaktan eğitim öğrencileri için uzaktan bağlanma işlemleri..
Şirket bilgi işlemcilerinin, okul bilgi işlemcilerinden başka bir avantajı da şirketlerde belli zamanlarda aktivitenin düşmesidir. Bu da bilgi işlem çalışanlarına sistemin bakımı için zaman sağlar. Yatakhane ve hocaların ofislerinden erişim mümkünse, kullanıcılar genellikle sistemde asılı kalırlar. Bu nedenle de bakım yapmak imkansız hale gelir.
Indiana Üniversitesi ileri network yönetim laboratuarı yöneticisi Gregory Travis, sızma, Denial-of-Service ve buffer overflow saldırılarında artış olduğunu söylüyor: “Networklere daha çok insan erişebildiği için bu gayet doğal”. Ancak kolejlerin güvenlik sistemleri, şirketlerinkine kıyasla genellikle daha iyi ve geniştir. Çünkü kolejlerde yatırımın geriye dönüşü kavramından bahsedilmez.
Travis “Eğitim kurumları, özellikle büyük üniversiteler üzerinde farklı pazarlama baskıları bulunur. Bu nedenle de güvenliğe kaynak ayırmak daha kolaydır. Büyük bir okulda güvenlik ile ilgili bir sorun çıkarsa, hemen gazetelerin baş sayfalarına çıkarlar. Aynı şey büyük bir şirkette olursa, şirketin dışındakiler olayı duymaz” diyor.
Ancak yüksek öğrenim sektörünün genelleştirilmesi çok kolay değil. Okulların bilgi işlem departmanları çeşitli büyüklüklerde, farklı teknik yeteneklarde olabilirler. Daha önemlisi güvenliğe ayırdıkları kaynaklar da farklıdır. Ancak tüm okulların kendi sistemlerinde alabilecekleri birkaç önlem sayılabilir.
Okullarda Güvenlik
Kolej ve üniversitelerin güvenlik sorununa hem organizasyonel hem de teknik açından yaklaşmaları gerekir. Gartner uzmanları kurumlara federal hükümetin veri düzenlemelerini anlayan ve okulu zor duruma düşürmeyecek bilgi işlem yöneticileri seçmelerini tavsiye ediyor. Bu Bilgi işlem yöneticisinin kişisel bilgilerin korunması için gerekli kuralları oluşturması ve bu kuralları herkese eğitimlerle öğretebilmesi gerekli.
Gartner analisleri kurumlara yüksek eğitim dernekleri ile de daha çok ilişkide bulunmalarını tavsiye ediyor. Çünkü toplu olarak güvenlik eğilimlerini takip etmek ve fikir teatisinde bulunmak daha kolay. Bu adımların atılması önemli.
Enterasys’den Townsend “Bir rol paylaşımı olmalı” diyerek, Network’ün, erişmek isteyenlerden kimin öğrenci, kimin hoca ya da idareci olduğunu bilmesi ve buna göre nereye girip, nereye giremeyeceğini belirlemesi gerekir diye ilave ediyor.
Diğer kurallardan birisi P2P trafiğinin hacmi konusunda sınırlamadır. Enterasys sözcüsü Kevin Flanaga bilgi işlem çalışanlarının kurumun hocaları ile bu konuda görüşmesi gerektiğini söylüyor: “Networke bağlı bir printer’ı kullanarak P2P istasyonu oluşturan hacker örnekleri biliyoruz. Yazıcı kullanıyor çünkü hafızası var” diyor.
Townsend’e göre potansiyel P2P sorunlarını çözmenin kuralı kullanıcıların sunuculara ulaşmasını engellemek.
Tabi bu arada network gözlemlemeyi (monitoring) unutmamak gerek. Travis sistemdeki anormallikleri takip için okulların kendi geliştirdikleri ve dışarıdan satın alacakları yazılımları kullanmalarının şart olduğunu söylüyor. Daha geçen hafta Arbor Networks, Peakflow platformlarına sızan ve DDoS atağı gerçekleştiren birkaç ünivesiteli ile karşılaştı.
Travis “Eğer resimde ters giden bir şeyler varsa, mutlaka bir şeyler yanlış gidiyordur. Ve hemen bulmanız gerekir. Yeni otomatik araçlar var. Problemleri tespit ediyorlar. Hatta siz uyurken bile. Geçmişte, toplum “ateş et ve unut” türü teknolojileri kabul etmekte isteksizdi. Bu tür sistemlerin genellikle yanlış alarm verdiği düşünülüyordu. Ama artık yazılımlar gelişti” diyor.
Townsend bir de e-mail eklentilerinden bahsediyor. Çoğu network bu eklentileri virüs kaynağı olabileceği için atıyor. Yüksek öğrenim, şirketlerden farklıdır. Şirketler güvenlik için eleman alırlar. Ama bu elemanların kendilerinin hasara neden olması da mümkündür.