Bilişim Suçları ve Bilişim Güvenliği Farkındalığı

Bilişim suçları üzerine çalışmaya 2003 yıllarında başladım diyebilirim. Bilişim suçlarının birçok boyutunda gerek tam, gerekse kısmi anlamda çalışma fırsatım oldu. Bilişim ile ilgili bir takım seminer ve sempozyumlarda “Bilişim Suçları” kavramının önümüzdeki yılların en büyük problemlerinden biri olacağını ve konu üzerinde gerek akademik gerekse operasyonel anlamda ciddi çalışmalar yapılması gerektiğini devamlı olarak vurgulamaya çalıştım. İlk başladığım yıllardan bugüne baktığımızda bilişim suçları ile mücadele anlamında her ne kadar özellikle güvenlik güçlerimiz tarafından belirli bir mesafe katedilse de, bu çalışmaların sadece devletin güvenlik güçleri ile sınırlı kalmaması gerektiğini ve bu mücadeleye toplumun her kesiminden katkı sağlanması gerektiğini düşünmekteyim. Bana sorarsanız çalışmalar hala çok yetersiz. Düşünün; çağımız bilgi çağı olarak adlandırılıyor ve teknoloji etrafımızı öyle bir hızla kuşatıyor ki gün doğmadan “e” ile başlayan yeni bir uygulama hayatımıza giriyor. E-devlet, e-bankacılık, e-ticaret, e-sağlık bunlardan en sık duyduklarımız.

Günlük hayattaki uygulamaların birçoğunun elektronik ortama alınması normalde çok fazla zaman ve emek kaybına neden olan işlemleri çok kısa bir sürede yapabilmemize olanak sağlıyor. Bilişim camiasının bir bireyi olarak bu tip çalışmaları canı gönülden desteklediğimi ve benzer çalışmaların sayısının daha da arttırılması gerektiğini düşündüğümü yanlış anlaşılmalara mahal vermemek adına peşinen belirtmek istiyorum. Benim dikkatinizi çekmek istediğim nokta, günlük hayatımızdaki birçok şeyi bilişim ortamına geçirmek için gerek devlet kurumları gerekse özel kurum ve kuruluşlar olarak çok fazla emek ve efor harcarken, bu sistemlerin güvenliğini sağlama veya bu sistemler yoluyla işlenen suçlarla mücadele etmek anlamında acaba ne kadar çaba sarfediyoruz? Acaba toplumumuz bilişim güvenliği ve bilişim suçları anlamında ne kadar bilinçli? Savcılıklardan emniyet birimlerine intikal eden elektronik banka ve kredi kartı dolandırıcılıklarının çoğunun sosyal mühendislik ile gerçekleştiğini belirtirsem, sanırım toplum olarak bilincimizin ne kadar az olduğunu vurgulamış olurum. Sosyal mühendislik kavramını bilmeyenlerimiz için kısaca açıklayalım: Sosyal mühendislik kısaca, bir bilgiye erişmek için insan faktörünü, zayıflıklarını kullanmak olarak tanımlanabilir. Hemen gerçek yaşanmış olaylardan birine örnek verelim: Birilerinin sizi ev telefonunuzdan arayıp “ben XXX bankasından arıyorum, sistemlerimizde güvenlik güncelleştirmesi yapmakta olduğumuz için kredi kartı bilgilerinize ihtiyacımız bulunmaktadır” diyerek sizden özel bilgiler talep etmesi bankacılık sektörüne yönelik sosyal mühendislik örneklerinden birtanesi. İlk bakışta “yok canım hiç tanımadığım birine kredi kartı bilgilerimi verir miyim” diyebilirsiniz. İstatistiklere göre bu bilgileri verenlerin oranı çok yüksek. Bu da aslında bilişim güvenliğinde en zayıf halkanın insan olduğu gerçeğini de farklı bir perspektiften tekrar gözler önüne seriyor. Dolayısıyla teknolojik anlamda önlemlere gelmeden, ÖNCELİKLE İNSANLARIMIZI BİLİŞİM GÜVENLİĞİ VE BİLİŞİM SUÇLARI KONULARINDA BİLİNÇLENDİRMEMİZİN ÇOK ÖNEMLİ OLDUĞUNU VURGULAYARAK sözlerime şimdilik son veriyorum.

Bilişim Suçları ve Bilişim Güvenliği Farkındalığı için 1 cevap

  1. Kemal BIÇAKCI diyor ki:

    İnsanları eğitmenin çok önemli olduğu aşikar. Fakat konunun teknik tarafında olan kişilere düşen ikinci bir görev var. Bu görev de tasarladıkları güvenlik sistemlerini sosyal mühendislik saldırılarını göz ardı etmeden tasarlamaya çalışmak.

    Mesela senin vermiş olduğun örnekte kredi kartı bilgisi yerine e-bankacılık şifresinin sorulduğunu düşünelim. E-bankacılık şifresi başkalarına kolaylıkla aktarılabilen bildiğimiz standart şifre değil de “hatırlaması kolay ama anlatması zor” özelliklere sahip olan “resim-şifre” olarak seçilmişse bu tip saldırıların etkisini azaltmak mümkün olacaktır diye düşünüyorum. Fakat %100 etkinlikten bahsetmek elbetteki mümkün değil.

    Ayrıca, Ross Anderson’ın bu konuda farklı bir önerisi var. Kredi kartı sahipleri gibi geniş bir kitleye uyarlamak zor ama düşünelim ki bir hastanede görevli olan insanların hasta bilgilerinin yetkisiz kişilere aktarılması konusunda ne kadar bilinçli olduğunu anlamak istiyoruz. Yapacağımız şey bir sosyal güvenlik saldırısı simüle etmek ve hastane personelini arayarak hasta bilgisi sormak. Bulguları ne şekilde değerlendirmek mümkün, istediğimiz gibi kullanabilir miyiz? (personele ceza vermek gibi) soruları ilginç bir problemi beraberinde getiriyor. Bu problemi ayrıca ele almayı planlıyorum.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: