1. 1
AHMET YESEVİ ÜNİVERSİTESİ
MÜHENDİSLİK FAKÜLTESİ
YÖNETİM BİLİŞİM SİSTEMLERİ PROGRAMI
Dönem Projesi (TBYS 691) DERSİ
ÖDEVİ
Ne kadar Güvenliyiz?
HAZIRLAYAN
ALİ CAN AKSAKAL
152172057
DANIŞMAN
Prof. Dr. Türksel KAYA BENSGHİR
Ankara – 2017
3. 3
GİRİŞ
Yaşadığımız dönem bilgi çağı adını veren bilgi olgusu aynı zamanda birçok sorunu da
beraberinde getirmektedir. Bilgisayar teknolojisi ve kitle iletişim araçlarının gelişmesi ve
sayısının artması sonucunda birçok bilgimizi yanımızda taşıyor olmamız aynı zamanda onların
hedef haline gelmesine neden olmaktadır. Bilgilerin elektronik ortamlarda depolanması
bozulma, tahribat ve verilerin çalınması gibi durumları meydana getirmektedir. Şirketler,
kurumlar açısından da çeşitli risk ve sorunları beraberinde getirmektedir. Bu sorunlar her geçen
gün artmakta ve kurumların imajı açısından önemli bir noktaya gelmektedir. Bu nedenle
bilgilerin güvenliği sağlamak üzere bazı faaliyetlere girmişlerdir. Bu durumu sadece bilgilerin
çalınması olarak düşünmemek gerekmektedir. Deprem, sel ve yangın gibi durumlarda da bilgi
güvenliği için fiziksel olarak alınabilecek çeşitli önlemler mevcuttur. Tehdit kaynaklarını
kurum içi ve kurum dışı tehditler olarak ikiye ayırmak mümkündür. Kurum içi tehditler yanlış
ya da hatalı kullanım, yazılım ya da donanım hırsızlığı, mevcut sistemlerle uyumsuz donanım
araçları kullanımı, lisansı olmayan yazılımların kullanımı; kurum dışı tehditler ise virüsler,
yığın (spam) iletiler, saldırganlar (hacker, sosyal mühendis gibi) ya da doğal afetler gibi
nedenleri ifade etmektedirler. (YILMAZ, 2013)
Çağımızda bilgiye sürekli olarak erişim sağlamak ve bu bilginin değişiklik yaşamadan,
başkaları tarafından çalınmadan sunulması mecburiyet halini almıştır. Artık dünyamızın
savaşları silah ile değil araştırma ve bilgi ile yapılmaktadır. Günümüzde ülkelerin bazı stratejik
noktaları bulunmaktadır. Enerji de önemli başlıklardan bir tanesidir. Günümüz toplumunda
enerji hemen her an kullanılan bir ihtiyaç haline gelmiştir. Özellikle elektrik yaşamımıza
doğrudan etki etmekte ve hatta elektrik olmadığında yaşam sekteye uğramaktadır. Bu
noktalardan yola çıkarak birkaç kurum üzerinde inceleme olanağı sağladık. Enerji dağıtım
firmaları şehir iletim hatları dâhil olmak üzere birçok bilgiye sahiptirler. Bu bilgilerin güvenliği
sağlamak için sıkı bir güvenlik politikası belirlemeleri gerekmektedir. Bu durumun farkına
varan Enerji Piyasası Denetleme Kurumu enerji şirketlerinde ISO27001 belgesini zorunlu hale
getirmiştir.
Bu nedenlerle seçtiğimiz bu kurumlar bir görüşme metni hazırladık.68 ana başlık altında
toplamda 136 soru yönelttiğimiz kurum yetkililerinden aldığımız bilgileri rapor haline getirdik.
Bu görüşme metni daha çok kurumların hangi seviyede olduğuna dair bilgiler toplamak
amaçlıdır. Bu soruları hazırlarken ıso27001’in dünya uygulanan standartlarını ele aldık.
Sorularda fiziksel güvenlik ve teknolojik olarak kurumlarda güvenliğin hangi boyutta olduğunu
belirlemeye çalıştık. Bu sorulardan yola çıkarak kurumların bilgi güvenliği için nasıl
çalışmalarda bulunduğunu, şu anda bulunan mevcut güvenlik politikalarının neler olduğunu
öğrenmeye çalıştık. Enerji dağıtım şirketlerinin ellerinde bulundurdukları bilgileri nasıl
muhafaza etikleri konusunda bilgi sahibi olmayı hedefledik. Bu hedeflerimize araştırtırken bilgi
güvenliği kavramını çeşitli kaynaklardan ortaya koymaya çalıştık. Genel olarak ‘Kurumlar için
bilgi güvenliği neden önemlidir, kurumlar bu çerçevede nasıl bir yol izlemektedir?’ sorularının
cevabını aradık. Ziyaret ettiğimiz kurumların mevcut durumlarını ve bilgi güvenliği
kapsamında nasıl ilerlediklerini gözlemledik. Fiziksel olarak ne gibi aksiyon aldıklarını, bu
çalışmalar için bütçe ayırıp ayırmadıklarını ve dünyayı takip edip etmediklerini sorguladık.
4. 4
Gözlemlerimiz sırasından şirketlerin bilgi güvenliği yöneticileri ile bire bir görüşme fırsatı
yakalayarak nasıl çalışmalar yaptıklarını yerinde görme imkânımız oldu. Son olarak da güncel
olarak ne gibi tehditler ile karşı karşıya olduğumuz konusunda kısa bir bilgilendirmeye yer
verildi.
Kurumsal bilgi güvenliğinin sağlanabilmesi için bilgi güvenliği yaşayan bir süreç olarak ele
alınmalı, sistemler güncellenmeli, eğitimler alınmalı, oluşabilecek yeni riskler karşısında
yatırımların zamanında ve doğru bir şekilde yapılması gerekmektedir. Ayrıca tüm bu evrelerde
güvenlik seviyesinin istenilen düzeyde sağlanıp sağlanamadığının saptanması, varsa mevcut
zafiyetleri açığa çıkarmak, açık kapıları bulmak, uygulanan kurumsal bilgi güvenliği
politikalarında yeni açıklar olup olmadığını anlamak amacıyla belirli zaman dilimlerinde
sistemlerin gözden geçirilmesi gerekmektedir.
Kurumsal bilgi sistemlerinin güvenliğinin sağlanmasında zafiyetlerin erken tespitinin
önemi büyüktür. Saldırı gelmeden önce güvenlik zafiyetlerinin tespit edilerek giderilmesini
sağlayan güvenlik testleri kurumsal bilgi güvenliğinin sağlanması açısından büyük önem
taşımaktadır. Güvenlik testlerinin sınıflandırılarak kurumların ihtiyaçları doğrultusunda, belirli
bir yöntem ve disiplin çerçevesinde etik kurallara saygılı güvenlik uzmanları tarafından
yapılması güvenlik testlerinin başarılı olması için önemlidir. Bu testlerin amacı; kurumsal bilgi
sistemlerine düzenlenebilecek saldırıları, saldırgan gözüyle kontrollü olarak saldırı gelmeden
önce kontrollü saldırılar düzenleyerek gerekli tedbirlerin önceden alınmasında kurumlara
yardımcı olmaktır.
Kurumsal bilgi sistemlerinin güvenliği sadece teknik önlemlerin alınmasıyla
sağlanamaz. Teknolojik sebeplerden kaynaklanmayan konularda bilgi sistemlerinin güvenliğini
tehdit etmektedir. Güvenlik testleriyle sınanan bilgi sistemleri teknik ve teknik olmayan
etkenler dikkate alınarak bir bütün olarak değerlendirilmelidir. Güvenlik testleri değişen
risklere paralel olarak periyodik zaman aralıklarında tekrarlanmalıdır. Tekrarlama zaman dilimi
kurumların riskleri dikkate alınarak belirlenmelidir. (VURAL & SAĞIROĞLU, KURUMSAL
BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER, 2011)
Bilgi güvenliğini sağlamak için bir takım teknolojik yöntemler ile kullanımı daha
güvenli hale getirmeyi hedeflemekteyiz. Bunları kısaca şu şekilde belirteyim; örneğin en başta
e-posta kullanım kuralları. E-posta kurumlarda günlük yaşantıda sıkça kullanılan bir
programdır. Peki, e-postada güvenlik için nelere dikkat etmeliyiz? Öncelikle kişisel kullanım
için internet listelerine üye olmamamız gerekmektedir. Olanlar için ise kurumlar mevcut olması
gerek mail serverlarda bu e-postaların spam olarak listeye düşmesi gerekmektedir. Reklam
içerikli maillerin ekleri asla indirilmemelidir. Yine bunların kontrolleri mail serverlar tarafından
yapılmalıdır. Çalışanların maillerini yetkisiz kişiler tarafından okunması engellenmelidir. E-
postalarda mutlaka şifre kullanılmalıdır ve bu şifre asla başka kişiler ile paylaşılmamalıdır.
İkinci bir güvenlik durumu şifreleme. Bütün kullanıcıların kendine ait bir şifresi bulunmalı ve
bu şifreleri en az 6 ayda bir güncellemesi istenmelidir. Şifreler kesinlikle bir başkası ile
paylaşılmamalıdır. Şifre içerisinde büyük, küçük harf numara ve özel karakterler bulunmalıdır.
En az 6 karaktere sahip olmalı ve soy isim gibi tahmin edilmesi kolay şifreler koyulmamalıdır.
Üçüncü önemli nokta ise anti virüs politikasıdır. Bütün bilgisayarlarda lisanslı anti virüs
programı kurulu olmalı, anti virüs yüklü olmayan bilgisayarlar ağa bağlanmamalı gibi yaptırımı
5. 5
olan kurallar konulmalıdır. Zararlı programları kullanmak ve dağıtmak yasaklanmalıdır.
İnternet kullanımında da bazı politikalar belirlenmelidir. Bilgisayarlar arası 3. parti yazılımlar
ile dosya alışverişine kesinlikle kapatılmalıdır. Hiçbir bilgisayardan mp3 ve video yayını
yapılmamalıdır. Bu durum güvenlik sorunu yaratması yanında aynı zamanda bant genişliği
harcadığı için diğer kullanıcıların internet kullanımında büyük sıkıntıya yol açabilir. Çalışma
saatleri içinde girilebilecek siteler için ayrı bir tanımlama yapılmalı, networke zarar verecek
siteler engellenmelidir. Kurumlar tarafından onaylanmamış veya lisansı olmayan programlar
bilgisayarlara kurulmamalıdır. Her bilgisayarda belli bir süreden sonra ekran koruyucusu aktif
olmalıdır. Kurumlarda veriler izinsiz olarak dışarı çıkarılmamalıdır. Bilgisayarlarda telif hakkı
barındıran ses ve video dosyaları kayıt altında tutulmamalıdır.
Kısaca teknolojik yöntemlerin bir kısmını kullanarak sistemi nasıl güvenli bir hale
getireceğimizi yukarıda belirtmiş olduk. Araştırma yaptığımız makalelerde de birçok dünya
şirketinin bu yöntemleri halen kullanmadıklarının farkında vardık. Kurumlarda yaptığımız
çalışmalarda ise bu konuların birçoğu eksiksiz olarak yerine getirdikleri gibi güncel güvenlik
sistemleri üzerinde uğraştıklarını gördük.
Son olarak araştırmanın içeriğine bakacak olursak; araştırma altı ana başlık altında toplanmıştır.
İlk olarak ‘Bgi güvenliği nedir, neleri kapsamaktadır? Enerji şirketleri için bilgi güvenliği neden
önemlidir?’ gibi kısa bilgilerden oluşan giriş bölümü ile başlamaktadır. Kurumsal şirketlerde
bilgi güvenliğinin önemi, dünyada olan olaylar ve tehditlerden oluşan ikinci bölümümüzde
aslında ne ile karşı karşıya kalabileceğimiz bir özeti bulunmaktadır. Üçüncü bölümümüzde
‘Neler yapabiliriz? Hem teknolojik hem de fiziksel olarak bilgi güvenliğini nasıl sağlayabiliriz
ya da sağlamalıyız?’ konularından bahsedilmektedir. Kurum içi çalışmalar başlığı altında
ziyarette bulunduğumuz kurumların teknolojik ve fiziksel olarak ne durumda oldukları sorular
sorularak raporlanması yapılmıştır. Bu çalışmada bir denetleme sürecindeki soruların birçoğu
yönetilmiş ve örnek olarak güvenlik konulu bazı iç bilgilendirme mailleri çalışmaya
eklenmiştir. Güncel tehditler başlığında günümüzde saldırıların nasıl yapıldığı, teknolojik
olarak hangi yollar izlendiği ve bunların çözümlerine kısaca değinilmiştir. Sonuç bölümünde
ise genel bir özet ve bundan sonra kurumların neler yapması gerektiğinden bahsedilmiştir. İlk
olarak ‘bilgi güvenliği nedir, neden önemlidir?’ konusu ile başlayabiliriz.
Bilgi Güvenliği Nedir?
Bilgi, suje ile obje arasındaki ilişkiden doğan her türlü üründür. Felsefede bilginin
doğası, kökenleri ve boyutları ile ilgilenen dala epistemoloji adı verilir. Bilginin; gündelik bilgi,
teknik bilgi, felsefi bilgi, teknik bilgi, sanat bilgisi, dini bilgi, bilimsel bilgi başta sayılabilecek
birçok çeşidi bulunmaktadır. Bilgi aynı zamanda birçok biçimde de bulunabilmektedir. Bilgi
kâğıt üzerinde yazılı olabilir, elektronik olarak saklanıyor olabilir, posta ya da elektronik posta
yoluyla bir yerden bir yere iletilebilir ya da kişiler arasında sözlü olarak ifade edilebilir. Bilgi
hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır. İşte bu noktada karşımıza
bilgi güvenliği kavramı çıkmaktadır. Bilgi güvenliği, yalın bir biçimde bilgilerin izinsiz
kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden,
bilgilere hasar verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri engelleme
işlemi olarak tanımlanabilir. Türk Standartları Enstitüsü TSE tarafından Türkçeye çevrilerek
6. 6
yayınlanan TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı, bilgi
güvenliğini üç başlık altında inceler:
Gizlilik: Bilgilerin yetkisiz erişime karşı korunması
Bütünlük: Bilgilerin eksiksiz, tam, tutarlı ve doğru olması
Kullanılabilirlik: Bilgilere yetkililerce ihtiyaç duyulduğunda erişilebilir olması
O halde özet bir biçimde bilgi güvenliğinin sağlanabilmesi; bilginin gizliliğinin, bütünlüğünün
ve kullanılabilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür, denilebilmektedir.
(Pehlivan V. M.-İ., 2010) Kavramları açmak gerekirse gizlilik, bilginin yetkisiz kişilerce açığa
çıkarılmasının engellenmesi veyahut bilgilerin yetkisiz şahısların erişime kapalı olması olarak
tanımlanabilir. Kullanılabilirlik ise; bilginin her ihtiyaç duyulduğunda, bir problemle
karşılaşılması durumunda dahi erişilebilir olması, kullanıma hazır durumda olması olarak
tanımlanabilir. Bu ilkeye göre her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili
olduğu zaman diliminde mutlaka erişebilmelidir. (Pehlivan V. M.-İ., 2010)
Bir başka kaynağa göre; bilgi güvenliği, bilginin yetkisiz kişilerce kullanımının
önlenmesi, doğruluk ve bütünlüğünün korunması ve yetkisi olan bireyler tarafından erişilmesini
sağlamak şeklinde tanımlanmaktadır (Canbek ve Sağıroğlu, 2006, s.169; Marks, 2007, s.50).
Bilgi güvenliği kimi zaman yalnızca bilgisayar güvenliği gibi algılansa da bilgisayar güvenliği
bilgi güvenliğinin sadece bir parçasını ifade etmektedir (Newby, 2002, s.1). (YILMAZ, 2013).
Zira bilgi teknolojisinde yaşanan gelişmeler, daha çok bilginin depolanmasına ve taşınmasına
imkân verebilir hale gelmiştir. Her geçen gün daha da gelişen, fonksiyonları artan boyutları tam
aksine küçülen teknolojik cihazlar sayesinde daha fazla bilgi elektronik ortama aktarılmakta,
depolanmakta, işlenmekte, hizmete sunulmakta ve taşınabilmektedir. Ancak bilginin elektronik
ortamda bu derece yoğun kullanımı ve hareketliliği günümüzde bireyler, şirketler ve kurumlar
açısından güvenlik risklerini de ortaya çıkarmaktadır. Teknolojinin dolasıyla cihazların ve
elektronik ortamın kullanımının artışına paralel olarak güvenlik riskleri de her geçen gün
artmaktadır. Bu sebeplerle kurumlarda bilgi güvenliğinin sağlanması kurumun imajı,
güvenilirliği ve faaliyetlerinin devamı açısından oldukça önemli bir hale gelmiştir. (Ender
Şahinaslan, 2009) Bu noktada karşımıza ‘Kurumsal düzeyde bilgi güvenliği nedir?’ sorusu
çıkmaktadır. Kurumsal düzeyde bilgi güvenliği kurumun ortaya koyduğu ürün ya da hizmetin
devamlılığını sağlamak amacıyla kurumsal bilginin olası tehlikelere karşı korunması anlamına
gelmektedir. Olası tehlikeler doğa kaynaklı olabileceği gibi insan kaynaklı da olabilir. Yine
güvenlik tehditlerini kurum içi ve kurum dışı olarak da ayırabiliriz. Kurum dışı tehditlere örnek
olarak virüsler, spam iletiler, saldırganlar veyahut da tamamen dış kaynaklı doğal afetler örnek
verilebilir. Kurum içi tehditlere örnek olarak ise hatalı kullanım, yazılım donanım hırsızlıkları,
lisanssız yazılım kullanımı verilebilir. (YILMAZ, 2013)
Yukarıda kısaca değindiğimiz bilgi güvenliğinin üç temel ilkesine geri dönersek gizlilik
ilkesi, bilginin yetkisi olmayan kişilerce erişilemez hale getirilmesini sağlamaya yönelik
uygulamaları kapsar. Fakat saldırganlar çeşitli yöntemler kullanarak yetkileri olmadığı halde
bilgilere erişebilmekte ve gizlilik prensibini ihlal etmektedirler. Gizlilik ilkesine aykırı
davranışlara şifre ele geçirme, çalma, alıcı gönderici iletişimin deşifre edilmesi gibi örnekler
verilebilir. Bütünlük ilkesi ise gönderi ile alıcı arasındaki iletinin bozulmadan, herhangi bir
7. 7
değişime uğramadan korunmasını sağlamaya yönelik uygulamalardır. Erişilebilirlik ya da
süreklilik ilkesi ise sistemin kurum içi ve dışı kimselerce zarar verilmeden kullanılmasını ve
sürekliliğinin korunmasını sağlayan uygulamaları kapsar. Süreklilik prensibi ile sisteme erişim
izni olan kullanıcılar tarafından güvenilir bir şekilde erişilebilir. (YILMAZ, 2013)
Bilgi güvenliği içeriği gereği oldukça karmaşık ve kapsamlı bir süreci içerir. Örneğin
bir kurum maliyet sınırı olmaksızın en ileri teknolojileri kullanabilir ancak böyle bir kurumda
dahi bilgi güvenliğinin tamamen (%100) sağlanmış olduğundan bahsedilemez. Örneğimizden
ilerleyecek olursak aslında maliyet sınırı olmaksızın tüm ileri teknoloji ürünlerini kullanan
kurumun gözden kaçırdığı bir durum vardır. Biz bu duruma insan faktörü diyebiliriz. Aslında
tüm güvenlik önlemlerine rağmen en zayıf halkayı insan unsuru oluşturmaktadır. İş bu noktada
bilgi güvenliğinin yalnızca pahalı ileri teknoloji ürünleri ile sağlanamayacağı, insan faktörünün
de mutlaka göz önüne alınması ve insanlarda bilgi güvenliği farkındalığının yaratılması
gerektiği bilinmelidir. Örneğimize geri dönecek olursak bilgi güvenliği risklerinden
korunmanın en iyi yolu çok pahalı ürünler- önlem araçları kullanmaktan ziyade insanların bilgi
güvenliği konusunda bilinçlenmesinin sağlanması ve insanların bilgi güvenliğini
önemsemesinin sağlanması olarak önerilebilir. (Ender Şahinaslan, 2009) Bilgi güvenliğinin
sağlanması üç temel sürecin bütünsel bir şekilde gerçekleşmesi ile yakından ilgilidir. Bunlardan
biri doğru plan, strateji ve politikalarla doğru bilgi güvenliği yönetimi uygulamalarını kapsayan
yönetsel süreç, ikincisi şifreleme, güvenlik duvarları, anti virüs yazılımları, yedekleme, denetim
gibi teknik içerikli çözümleri kapsayan teknolojik önlem süreci ve son olarak kullanıcıların
eğitim yoluyla bilgi güvenliği bilinci kazanmalarını sağlayan eğitim ve farkındalık sürecidir.
Kanaatimizce en önemli ve gerekli süreç üçüncü süreç olup bilgi güvenliği konusunda
farkındalık yaratma sürecidir. (YILMAZ, 2013)
KURUMLAR İÇİN BİLGİ GÜVENLİĞİ FARKINDALIĞI VE ÖNEMİ
Türkiye’deki birçok kurum bilgi güvenliği konusunda zorunluluk durumu olmadan
herhangi bir süreç yürütmemişlerdir. Bizim de görüştüğümüz enerji firmaları zorunluluk
durumu olduktan sonra bu konu ile ilgili yatırım yaptıklarını belirttiler. Peki, bu zorunluluk
durumu nasıl oluştu? Enerji Piyasası Düzenleme Kurumu 26.12.2014 tarihli ve 29217 sayılı
Resmi Gazete’ de yayımlanan değişikliklerle, lisans sahiplerine 01.03.2016’dan itibaren Türk
Akreditasyon Kurumu’ndan akredite bir belgelendirme kuruluşundan ISO 27001 belgeli olma
zorunluluğu getirilmiştir. Bu süreçten itibaren Iso27001 ile ilgili birçok yatırım ve çalışma
yapılmıştır. (Resmi Gazete, 2014 )
Bilgi güvenliği farkındalığı yaratmanın temel amaçlarından biri kurumsal bilgi
varlıklarının yanlış kullanımından kaynaklı riskleri en aza indirgemek, sistem kullanımında
karşılaşılması muhtemel sorunlardan haberdar olarak olası çözüm yolları geliştirmek, kurumun
genel güvenlik politikasına uyum sağlayarak katkıda bulunmaktır (Ender Şahinaslan, 2009).
Kurumlarda bilgi güvenliği farkındalığı yaratma çalışmalarında hedef yalnızca kurumun
çalışanları olmamalıdır. Eğer farkındalık yaratma çalışmalarının hedefi yalnızca kurum
çalışanları olarak belirlenirse bilgi güvenliğinin başarılı bir şekilde sağlanabileceği söylenemez.
Yalnız çalışanlar değil bilgi alışverişi yapılan bireyler, paydaşlar, tedarikçiler de bilgi güvenliği
8. 8
konusunda kurum için kritik öneme sahiptir. Bu nedenle kurumun bilgi güvenliği politikasında
yer alan tüm bireylere hangi bilgilerin ne tür tehditlere karşı korunması gerektiği konusunda
bilinçlendirme yapılmalıdır. Bireylerde bu bilinci yaratmak ise kolay değildir. Bu nedenle
bireylerin bilgi güvenliği sorumluluğunu aynı zamanda bir iş sorumluluğu olarak benimsetmek
bu bilincin oluşturulmasına yardımcı olacak faktörlerdendir. Ancak burada yine dikkat edilmesi
gereken bir husus vardır ki çalışanlar üzerinde yalnızca görev tanımı oluşturarak da tam bir
bilincin sağlandığından bahsedilemez. İşte bu noktada farkındalık ve görev tanımının beraber,
birbirini destekleyerek ilerlemesi bilgi güvenliğinin sağlanmasına yarayacaktır. (Ender
Şahinaslan, 2009).
Günümüzde özellikle ülkemizde stratejik bir öneme sahip olmaları araştırma için enerji
şirketlerini seçmemize sebep olmuştur. Özellikle elektrik firmaları saldırı alma konusunda
önemli bir geçmişe sahipler. Kritik altyapılar, Avrupa Komisyonu tarafından, zarar görmesi
veya yok olması halinde, vatandaşların sağlığına, emniyetine, güvenliğine ve ekonomik
refahına veya kamu hizmetlerinin etkin ve verimli işleyişine ciddi boyutta olumsuz etki
edebilecek fiziksel ve teknolojik tesisler, şebekeler, hizmetler ve varlıklar olarak
tanımlanmaktadır. Kritik altyapıların hangileri olduğu konusunda genel geçer bir tanım
olmamakla ve kritik altyapılar ülkeden ülkeye değişmekle birlikte, çoğunlukla finans, enerji,
ulaşım, elektronik haberleşme, sağlık ve temel kamu hizmetleri gibi sektörler ve bunlara ait
altyapılar kritik altyapılar olarak ele alınmaktadır (ÜNVER, CANBAY, & MİRZAOĞLU,
2009). Tablo 1.1’de ABD ve AB’de bulunan kritik altyapı sistemleri listelenmiştir. Enerji
şirketleri bu tabloda kendi yerini almışlardır.
Resim 1.1 (ÜNVER, CANBAY, & MİRZAOĞLU, 2009)
ABD Anayurt Güvenliği Bakanlığı (The Department of Homeland Security-DHS) 2013
yılı içerisinde Kuzey Denizi’nde faaliyet gösteren petrol ve doğal gaz şirketlerine yönelik siber
saldırıların %179 oranında arttığı belirtiyor. DHS’nin araştırmasında kritik altyapılara yönelik
9. 9
saldırılarda enerji sektörü başı çekiyor. Yine aynı araştırmaya göre, 2018 yılına kadar siber
saldırıların sadece petrol ve doğal gaz piyasasına maliyeti 1,87 milyar doları bulacak.
2013 yılının kasım ayının ikinci haftasında, California'da neredeyse 10000 elektrik
mühendisi, siber güvenlik uzmanları, şirket yöneticileri ve FBI ajanları 48 saat boyunca ABD
elektrik şebekesini kapatmaya çalışan görünmez bir düşmana karşı tatbikat yaptı. Tatbikat
boyunca, düşman şebeke kontrol sistemlerine virüs bulaştırarak, trafo sistemlerini hedef aldı.
Tatbikat sonucunda yüzlerce iletim hattı ve trafo zarar gördü veya tahrip edildi.150 kişi öldü,
tabi ki sanal olarak. İşte tam bu durumlardan dolayı SANS Institute yaptığı bir araştırma ile
aslında kurumları saldırıları ne kadar ciddiye aldıklarına dair bilgileri edinebileceğimiz bir
araştırmayı inceledik.
Kurumlar için yapılan, 2017 yılında SANS Institute yaptığı The Hunter Strikes konulu
anket çalışmasındaki bazı sonuçlar aşağıdaki gibidir. Peki, nedir bu threat hunting? Threat
hunting; Türkçesi tehdit avcılığı anlamına gelen alınan önlemlere rağmen sisteme yerleşmiş
siber tahditlerin bulunup çıkarılmasını ifade eder. SANS Institute yaptığı ankete göre;
Ankete Katılanların %27 güvenlik analisti. (Institute, 2017)
10. 10
‘Şirketiniz bunu uyguluyor mu?’ sorusuna katılanların %27,1’i, yani pasta dilimde koyu
mavi olarak gösterilen kısım, kendi metotlarını kullanmakta; %4 olarak gösterilen kısım ise
hazır bulunan metodu kullanmakta cevabını vermiştir. %45,1’lik kısımda ise kullandıkları
metot ihtiyaçlarına göre değişmektedir. %7,2 lik kısım kendi metodunu kullanan farklı bir
organizasyondan temin ettiğini belirtirken; %16 lık kısım tehdit avcılığı için herhangi bir metot
kullanmadığını söylemiştir. (Institute, 2017)
Son olarak sorulan soru ise; ‘Şirketiniz threat hunting ne sıklıkla uyguluyor?’
%43,4’ü ihtiyaç duyulan bir olay tarafından tetiklendiğinde bir analist tutarlar ve işlem
yaptırırmış. %35,3’lük bir kısım sürekli uyguluyormuş. Analistleri sürekli gizli tehdit var mı
diye araştırma yapıyorlarmış. %16,2’lik kısım zaman çizelgesine bağlı olarak düzenli olarak
işlem yapıyorlarmış. Haftada 1 gün gibi. %5,1’lik kısım ise bilinmiyor.
11. 11
Sonuç olarak; sürekli olarak gözlem yapmak en iyi yöntem. Diğer yöntemlerde rastgele
tehditler aranıyor ve tam tespit edilemediği için işe yaramayan yöntemler denenebiliyor. Zaten
metot sayısı çok fazla olmadığı için şirketlerin çok az sayıda olan metotları kullanmaktalar.
Şirketlerin birçoğu daha genel sorunlarla ancak başa çıkabiliyormuş. Böyle yöntemleri
uygulayacak kadar gelişmedikleri için yüzeysel olarak işlerine devam etmektelermiş. (Institute,
2017)
NELER YAPILMALI?
Bilgi güvenliğinin kurumlarda etkin ve etkili biçimde sağlanabilmesi için üst düzey
yöneticilerin maddi ve manevi destek vererek bilgi güvenliği süreçlerini sahiplenmesi
gerekmektedir. Kurumlardaki tepe yöneticilerden başlayıp daha alttaki kademelere
yaygınlaştırılarak kurum genelinde benimsetilmesi çok büyük önem taşımaktadır. Bu süreci
uygularken ISO 27001 ve diğer benzeri bilgi güvenliği yönetimi standart ve mimarilerinin temel
alınmasında büyük yarar vardır. Güvenlik süreçleri sürekli olarak denetlenmeli geliştirilmeli ve
uzun süreli yaşatılan bir sürece sahip olmalıdır. Bilgi güvenliğinin en önemli unsurlarından biri
de insandır. Bu süreçte insanların bilgi güvenliği konusunda farkındalık eğitimi almaları
bilgilendirme ve bilinçlendirme ile sağlanabilmektedir. Bireylerin günlük yaşamlarında
internet, cep telefonu ve bilgisayar vb kullanımları göz önüne alınırsa, sadece iş amaçlı değil
bireysel kullanımlarda da bilgi güvenliği çözümlerinin geliştirilmesi gerekmektedir.
Sonuçta günümüzde bilgiyi ve teknolojiyi hiç kullanmadan işletilen herhangi bir şirket,
kurum, örgüt vb olamayacağına göre, bilgi güvenliği de değişik oranda ve düzeyde olsa bile
herkes için gerekli bir unsur haline gelmektedir. Hiçbir risk tamamen sıfırlanamayacağı gibi
aynı sektörde çalışan iki farklı şirketin aynı konuda farklı riskleri ve zaafları olabilmektedir. Bu
nedenle her kurum kendine özgü risk değerlemesini ve yaklaşımlarını sağlamak veya
danışmanlık alarak sağlatmak zorundadır. Öncelikle kurumların risk değerlendirmesi
yapılmalıdır. ‘Kuruma ne gibi etkileri olacak maddi kayıp olacak mı?’ gibi soruların
değerlendirilmesi gerekmektedir. Bir örnek vermek gerekirse, bir kurumda ticari sırların kağıt
çıktı olarak çalınması önlenmek isteniyorsa, hemen özel baskılı mürekkep teknolojisine yatırım
yapmak veya o bilgilerin çıktısının alınmasını yasaklamak gibi acele kararlar ve çözümlere
geçmemeli, önce risk ölçümü ve değerlendirmesi yapılmalıdır. Belki de ilgili kurumun iş yapış
şeklinden ötürü, bu riskler mecburen azaltılamayabilir veya aslında çok daha riskli ve gizli
kalmış başka sorunları bulup önce onların çözümlenmesi gerekebilir. Bir başka örnek; kablosuz
ağların veya kablolu telefon hatlarının şifrelenmesi kurum için uygun bir çözüm olabilir ama
başka bir kurum için, belki iş yapış şeklinden ötürü veya bazı ticari kurallardan ötürü bu uygun
bir çözüm olamayabilir.
Risk azaltıcı teknolojik ve ya süreçsel çözümler dışında kurumun iş süreçlerini
düzenleyen politika prosedür ve kurallar tam olarak uygulanmalıdır. Özellikle iç sistemlere
erişen kişiler ve kurumlar ile gizlilik anlaşmaları yapılmalı ve cezai yükümlülükleri ağır
olmalıdır. Bunu yanı sıra burada çalışan personellerde eğitim sürecinden geçmelidirler. Süreçte
12. 12
sadece cezai süreçler yer almamalı, ödüllendirmeler de bulunmalıdır. Kurumlarda başta bilişim
personeli olmak üzere, ilgili tüm paydaşlar bilgi güvenliğinin; "kayıpları azaltan ama aynı
zamanda, maddi ve manevi kazanç sağlayan ve ticari güç unsuru olan stratejik bir üst yönetim
silahı" olduğunu üst yönetimlere, somut kanıtlar ve sayılarla göstermeleri gerekmektedir.
Yöneticilerin de sürece katılmaları sağlanarak bilgi güvenliği yönetiminin insan, süreç ve
teknolojinin bütünleştiği bir yapıya elbirliğiyle dönüştürülmesi gerekmektedir. Ülkemizde ilgili
yasaların daha yaygın ve etkin biçimde uygulanması için görsel ve yazılı basında bu konuya
daha çok yer vermesi sağlanabilir. Yaşanan olumsuz durumların kamuoyunda paylaşılması
uygulamadaki eksikliklerin azalması ve bilgi güvenliğinde daha doğru yaptırımlar yapılmasına
katkı sağlayacaktır.
Kurumun tüm çalışanlarına; bilgi gizliliği, ticari sırların korunması gibi konulara yönelik cezai
yaptırımların da açıkça yer aldığı ve çalışanların yükümlülüklerini açıkça belirten bir bilgi
güvenliği belgesi imzalatılmalıdır. Kurum dışına veri iletimi, transferi vb süreçlere özellikle
odaklanılmalı ve bu aşamalardaki olası tüm risklerin en aza indirgenmesi hedeflenmelidir.
Bu konuya ilişkin bir örnek vermek gerekirse; çalışanların çoğu internet vb iletişim sistemleri
üzerinden iletilen verinin güvenliğine öncelikle odaklanır ama şirket dışına çıkması gereken
yedek dosyalar, arızalanmış veya atıl duruma gelmiş ama içinde hala gizli şirket verisi taşıyan
bilgisayar, CD, yedekleme kartuşu vb.nin güvenliği genelde göz ardı edilir. Oysa bu gibi
cihazlar ve içindeki veriler de mutlaka kontrol edilmeli ve gizli bilgiler imha edildikten veya
şifrelendikten sonra kurum dışına çıkarılmalıdır. İlgili her türlü ağ, iletişim, bilgisayar,
elektronik kayıt, arşiv, yedek ve ayrıca yazılı belgeler, yazıcı, faks vb. araçların kullanımında
olabildiğince en güncel kimlik doğrulama ve yetkilendirme teknolojileri tercih edilmelidir.
Buna ek olarak, belli noktalarda, cihazlara kaydedilen ve/veya ağlar üzerinden iletilen veriler
için şifreleme teknolojileri de mutlaka kullanılmalıdır.
Kurumlardaki istihdam süreçlerinde uygulanan bazı yöntemler ve önlemler, bilgi güvenliğinde
etkin ve uzun vadeli çözümler sağlanmasına katkı yapmaktadır. Kurumun içerisinde ticari
sırları ve gizli bilgileri en yoğun olarak kullanacak personellerin işe alım süreçlerinde adli sicil,
güvenlik kontrolleri, referans araştırmaları, kişilik testleri, adayın güvenilirliğinin irdelenmesi
vb çalışmalar kapsamlı bir şekilde yapılmalıdır. Kurum geneli uygulanacak her çeşit projede,
ister bilgi teknolojileri ile ilgili olsun, ister örgütsel yapılanma veya iş süreçlerinin değişimi ile
ilgili olsun, bilgi güvenliği projelerin en başından itibaren sürece katılmalıdır ve projenin her
aşamasında güvenlikle ilgili kısımlar da irdelenmelidir. En küçüğünden en büyüğüne tüm
şirketlerde, devlet kurumlarında ve toplum genelinde bilgi güvenliği farkındalık eğitimleri,
bilinçlendirme çalışmaları ve eğitsel projeler yapılarak, personelin bilgi güvenliği konularında
mutlak surette aydınlatılması gereklidir. Sadece şirketlerde değil, devlet kurumlarında,
okullarda ve tüm ülke genelinde eğitim, bilinçlendirme ve farkındalık artışı sağlanmalıdır. Bu
konuda, devlete olduğu kadar özel sektöre, basın yayın organlarına, üniversite ve ortaöğretim
kurumlarına büyük iş ve sorumluluk düşmektedir. (EMİNAĞAOĞLU & GÖKŞEN, 2009)
13. 13
Penetrasyon Testleri
Bilgi güvenliğinin en önemli unsurlarından biri de sızma testleridir. Güvenlik
bileşenlerinin güvenli biçimde kurulumu ve işletimi, kontrollerin uygulayıp uygulanmadığının
anlamanın en iyi yolu bilgi sistemleri sızma testleri ile test etmektir. Ülkemizde birçok firma
bu testleri yapmaktadır. Sızma testleri için piyasada hazır araçlar da bulunmaktadır. En büyük
güvenlik açığının web uygulamaları ve arkasındaki veri tabanı uygulamaları olduğu tespit
edilmiştir. Peki, nedir bu sızma testleri? Whitebox, blackbox ve graybox olmak üzere üç çeşit
sızma testi vardır. Blackbox, genel olarak uygulanan ve bilinen bir yöntemdir. Firmanın sahip
olduğu domainler üzerinden firmaya ait sistemler belirlenerek çalışma yapılır. Whitebox sızma
test yönteminde; firma tüm bilgileri paylaşır ve olabildiğince sızma testi yapanlara bilgi verme
konusunda yardımcı olur. Bu testler bilgi güvenliği için neden önemlidir? Kurumların güvenlik
sistemlerinin üçüncü bir göz olarak kontrol edilmesi raporlanması kurumda farkındalık
oluşturur ve önlem alınabilir. Gözden kaçırılan zafiyetlerin tespit edilmesi açısından önemlidir.
Kısaca penetrasyon testinin metodolojisinden bahsedelim. Bilgi toplamanın amacı hedef sistem
hakkında olabildiğince detaylı bilgi toplamaktır. Bu bilgiler firma hakkında olabileceği gibi
firma çalışanları hakkında da olabilir. Bunun için internet siteleri, haber grupları e-posta
listeleri, gazete haberleri vb. hedef sisteme gönderilecek çeşitli paketlerin analizi yardımcı
olacaktır. Ağ haritalama; hedef sistemin ağ yapısının detaylı belirlenmesidir. Açık sistemler ve
üzerindeki açık portlar, servisler ve servislerin hangi yazılımın hangi sürümü olduğu bilgileri,
ağ girişlerinde bulunan VPN, Firewall, IPS cihazlarının belirlenmesi, sunucu sistemler, çalışan
işletim sistemlerinin ve versiyonlarının belirlenmesi ve tüm bu bileşenler belirlendikten sonra
hedef sisteme ait ağ haritasının çıkartılması ağ haritalama adımlarında yapılmaktadır. Zayıflık
tarama sürecinde sisteme zarar vermeyecek taramalar gerçekleştirilir. Zayıflık tarama sonuçları
mutlaka uzman gözler tarafından tekrar tekrar incelenmeli, olduğu gibi rapora yazılmamalıdır.
Penetrasyon süreci; belirlenen açıklıklar için araçları belirlenerek denemeler başlatıldığı
süreçtir. Erişim elde etme sızma sürecinde ise amaç sisteme bir şekilde giriş hakkı elde etmektir.
Bu süreçten sonra sistemdeki kullanıcının haklarının arttırılması hedeflenmelidir. İzlerin
silinmesinde hedef sistemlere bırakılmış arka kapılar, test amaçlı scriptler, sızma testleri için
eklenmiş tüm veriler not alınmalı ve test bitiminde silinmelidir. Raporlama, bir testin müşteri
açısından en önemli kısmıdır. Raporlar ne kadar açık ve detaylı olursa riskin değerlendirmesi
ve açıklıkların giderilmesi de o kadar kolay olur.
KURUM İÇİ ÇALIŞMALAR
Önceden belirlediğimiz kurumların bilgi güvenliği yöneticilerine bir takım sorular
yönelttik. Bu sorular çerçevesinde ıso27001 de nasıl çalışmalar yaptıkları konusunda bilgi
sahibi olduk. Görüşmelerimizde Bereket Enerji Bilgi güvenliği yöneticisi ile Enerya Enerji bilgi
güvenliği sorumlusuna bir takım sorular yönelttik. Bu soruları belirler iken ıso27001
standartlarını ve denetleme kurumlarının daha önce nelere dikkate aldığını araştırdık. Bu sorular
kapsamında aşağıdaki çıkarımları ve izlenimleri edindik.
Her şirketin kendine ait bir bilgi güvenliği politikası olmak zorundadır. Şirketler de üst
yönetim onaylı bir politika belirlemiş ve bu politikayı tüm çalışanlarına iş girişlerinde
imzalatmış. Her çalışanın özlük dosyasında bu politikayı kabul ettiğine dair bir bilgi
bulunmaktadır. Tüm taşeron firmalar ile bu politikalar doğrultusunda gizlilik sözleşmeleri
imzalanmış. Şirketteki herhangi bir organizasyon değişikliğinde öncelikle süreçleri etkileyen
14. 14
bir durum olup olmadığı kontrol ediliyor, eğer süreçlerden etkilen bir durum yok ise müdahale
edilmiyor.
Şirketlerin lokasyonlarında bilgi güvenliğinden sorumlu bir kişi ve genel yapıda da bir
bilgi güvenliği yönetimi olmalı. Bu kişileri öncelikle belirleyip daha sonra eğitim sertifikalı
eğitimlere gönderdiklerini belirttiler ve her bilgi güvenliği sorumlusu bağlı bulunduğu
lokasyondaki bilgi güvenliği ihlallerini kontrol etmek ile sorumlu olduğunu söylediler. Görev
sorumlularını ise her birimden bu kurula bir kişi seçerek sağladıklarını ve bilgi işlem
departmanındaki görevli her kişinin bu konuda çalıştığını ve sorumlu olduğunu belirttiler.
Gerektiğinde polis, itfaiye gibi kurumlar ile nasıl irtibata geçileceği konusunda dokümanlar
mevcut ve bu dokümanlardan sorumlu aynı zamanda iş sağlığı güvenliği kapsamında
kullanılıyor. Günümüzde artık şirketler fazla sayıda mobil cihaz kullanmaktadır. Bu da şirketler
için önemli bir tehdit olarak görülmektedir. Bilgi güvenliği kapsamında ise bu cihazların
kontrol altında bulunması gerekmektedir. Bilgi aldığımız şirketlerde her ikisi de bu alanda bir
prosedürlerinin olduğunu ve 3. parti yazılımlar ile bu m2m hatların ve cihazların kontrollerini
sağladıklarını ilettiler. Bu yazılımlar ile özellikle şirketlerin işleri oldukça kolaylaşmaktadır.
Uzak bağlantılar sayesinde herhangi bir problemde cihaza müdahalede bulunabilir, aynı
zamanda çalınma kaybolma gibi durumlarda gps ile yer tespiti yapılabilir.
Şirketler lokal sitemlerde çalıştıkları için şirket çalışanları ve destek aldıkları farklı
firmalardan şirket dışında sistemlere erişebilir durumda olmaları gereken zamanlar olmaktadır.
Bu tarz durumlar için şirketler Virtual Private Network(vpn) adı verilen 3. parti yazılımlar
kullanmaktadırlar. Bu yazılımlarda sisteme erişmesi gereken kişilere kullanıcı adı ve şifre
verilmekte, kullanıcılar sisteme bu şekilde erişim sağlamaktadır. Ayrıca bilgi teknolojileri
departmanında yetkili kişinin bu bağlantıların log’larını inceleme yetkisi bulunuyor ve gerekli
durumlarda müdahale edebiliyorlar. Şirketler çalışanların bilgi güvenliğine yönelik
farkındalıklarını artırmak için her yıl eğitim veriyor.
Kurumlar tüm varlıklarını bir envanter programına bağlı olarak takip etmektedirler.
Önemli varlıkların sınıflandırması ayrı yapılmıştır. Kurumlar varlıkları sınıflandırırken önem
derecelerini göz önüne almışlardır. Taşınabilir cihazların kontrolleri bilgi güvenliği noktasında
kritik bir noktada yer almıştır. Taşınabilir medyalardan bilgi aktarılmasını önlemek için farklı
yöntemler bulunmaktadır. Hiç kullandırmamak ya da bilgisayardan çıkarılacak olan bilgileri
şifreleme gibi yöntemler kullanılabilir. İncelediğimiz şirketler bu konuda herhangi bir tedbir
almadıkları ve bu konuda çalışmalarının devam ettikleri konusunda bilgi verdiler. Her
lokasyonda imha için makinelerinin bulunduğunu belirtiler. Her şirketin file serverında
şirketleri ilgilendiren birçok belge ve doküman bulunmaktadır. Bu bölgelere olan erişimler de
kontrol altında tutulmalı ve kişiler özgü erişim yetkileri verilmelidir. Dışarıdan ağa bağlananlar
için ise bu bölgelere erişimin tamamen kısıtlanması gerekmektedir. Bu bağlamda şirketler
dışarıdan network’e bağlanan kullanıcılar için ayrı bir yayın yapmaktadırlar. Bu yayınlarda
kullanıcının isim soy isim gibi bilgilerine de erişerek o anda ağdaki loglarını kayıt altına
almakta, herhangi bir durumda müdahaleyi kolaylaştırmaktadır. Her işe giren kişi için active
directory’de isim ve soy isim bağlamında kullanıcı hesapları açılmaktadır. Bu kullanıcı
hesaplarının kontrolü tamamen bilgi işlemler tarafından yönetilmektedir. Bu kişilerin işten
ayrılma durumlarında bu hesapları silme ve kişilerin yedeklerinin alınması yine bilgi işlem
15. 15
birimleri tarafından gerçekleştirilmektedir. Kullanıcıların sistemde nerelere yetkileri olacağı
daha önceden belirlenen görev tanımlarına göre oluşturulmaktadır.
Bilgi güveliğinin önemli noktalarından biri de şifrelerin oluşturulması ve paylaşımının
engellenmesidir. Şifreler belirlenirken belli bir kurala göre oluşturulması gerekmektedir.
Örneğin, şifrenin 8 karakter olması, büyük harf küçük harf ve özel karakter içermesi
gerekmektir şeklinde algoritmalar üretilmelidir. Kullanıcıların şifrelerini paylaşımının mutlak
engellemesi ve bilgi güvenliği yöneticisi tarafından bilgi güvenliği ihlal formu hazırlanması
gerekmektedir.
Fiziksel Güvenlik
Bilgi güvenliğinin en önemli noktalarından biri de fiziksel güvenliktir. Çalışanların
binaya giriş çıkış kontrolünden, felaket senaryolarına kadar birçok noktayı kapsamaktadır.
Fiziksel kontrollerden ilk olarak binaya giriş çıkış kontrolünü gözden geçirelim. Şirketlerde
binaya giriş çıkış için çalışanlara tanımlı kartlar verilmektedir. Her giriş çıkışın loğları
tutulmakta ve insan kaynakları ile rapor şeklinde paylaşılmaktadır. Bina girişlerinde ve bina
içinde kameralar bulunmaktadır. Yetkileri ise yine merkezi bir şekilde belirlenmiştir. Dışarıdan
gelen misafirlere ise misafir kartı ile sadece gideceği noktanın girişleri tanımlanır ve dışarıdan
gelen misafirler izin verilen alana girebilir. Kritik noktaların giriş çıkışları yine şifre panelleri
ile sağlanmakta ve buralara girecek kişilere yetkiler tanımlanmaktadır. Bu yetkilerin kontrolü
merkezi olarak belirlenmektedir. Ofisler büyük ve genel olarak elektrik tüketiminin fazla
olduğu yerler olduğu için herhangi bir elektrik kesintisinde çalışmalarına devam edebilecekleri
kapasitede jeneratör, ups gibi güç kaynaklarına ihtiyaç bulunmaktadır. Bunların yanı sıra sistem
odasında su, yangın ve duman detektörleri bulunması gerekmektedir. Yine aynı noktalarda
yangın söndürme sistemleri bulunmalıdır. İnternet dünyamıza girmesinden itibaren teknolojik
birçok cihazı da hayatımıza sokmuş bulunmaktayız. Tabi ki şirketlerin de internet olmadığı
zaman işleri artık durma noktasına gelmektedir. İş yerlerinde ofislerde internete erişmek için
kablolar kullanılmaktadır. Bu kabloların birçok standardı ve veri iletim hızlarına göre
kategorileri vardır. Bu kablolar ofislerde her yerdedir. Tabi ki bunların da korunması
gerekmektedir. Herhangi bir ağa sızma girişimi network kablosu dediğimiz kablolardan
gerçekleşebilir o yüzden bu kabloların güvenliği de çok önemli bir hal almıştır.
Her sisteme sızmaya çalışan bir grup olabilir. Sadece sızma değil, reklam yapmak
isteyen, şifrelerini öğrenmek isteyen virüs denilen bu kötücül yazılımlara karşı müdahil olmak
gerekmektedir. Şirketlerin birçoğu da bunlardan korumak için bir takım programlar
kullanmaktadırlar. Görüşme yaptığımız şirketlerde de bu tarz programlar mevcut haldedir ve
sık olarak kötücül yazılımları bilgisayarında bulunduranlara müdahale etmektedirler.
Diğer bir kontrol sorumuz ise bilgisayarlara kurulan ve kullanılan yazılımlar. Bu
yazılımların bir listesi olmalı ve hangi departman hangi yazılımları kullanmalı belli olmalıdır.
Şirketler bu tarz bir listenin olmadığını belirttiler. Şirketlerde büyük bir local ağ trafiği olduğu
için bunların da kontrolü gerekmektedir. Yetki kontrolü tamamen bilgi işlem
departmanlarındaki ilgili kişilere bağlı olarak yapılmaktadır. Bu da bilgi güvenliği açısında bir
zayıflık olarak değerlendirilebilir. Halka açık uygulamalar kullanılmakta ve web siteleri
bulunmaktadır. Bunlar da sistem için birer tehdit anlamına gelmektedir. Şirketlerin bilgi işlem
16. 16
departmanları güvenlik için bu süreçlerde rol alarak farklı firmalara senede bir kez sızma testleri
yaptırdıklarını belirttiler. Bu testlerin sonuçlarına göre sistemlerinde iyileştirmelere gittiklerini
ve bazı süreçleri değiştirdikleri ifade ettiler.
Çalışanların anlık saldırılardan ya da genel olarak yapılması istenilen durumlarda neler
yapılması gerektiği konusunda nasıl bilgilendirildiğini görmek istediğimizde çalışanların
hepsinin dahil olduğu mail gurubu ile paylaşımlar yapılmakta olduğunu belirttiler. Resim 1,1’de
de görüldüğü üzere neler yapılması gerektiği ve herhangi bir durumda nasıl hareket edileceği
kısa ve öz bir anlatım ile çalışanlar ile paylaşılmış.
Resim 1.2
İşe yönelik temel bilgi ve yazılımların yedeklerinin tutulduğu fiziksel olarak ayrı
binanın, erişimin kontrollü olması ve yerel bir felaket durumunda zarar görmemesi için ana
binadan yeterince uzaktaki güvenilir bir yer olması sağlanmalıdır. Ayrıca sistemin sürekli
çalışma zorunluluğundan dolayı problem durumlarında, kesinti süresini minimuma indirmek
amacıyla özellikleri birbirine eş değerde olan iki yapı kurulmalı ve gerektiğinde yedek yapının
otomatik olarak devreye girmesi sağlanmalıdır.
Kullanıcı kodları ve yetkilerinin tutulduğu veri tabanlarına yetkisiz erişim olması ya da
bu veri tabanlarının güvenilirliğinden şüphe duyulması durumunda; veri tabanının kullanımdan
kaldırıldığı, bunun yerine erişim ve yetkilendirmede güvenilir olduğundan emin olunan
önceden alınmış bir kopyasının ya da ön tanımlı bir yetki listesinin kullanılması sağlandığı,
yetkili kullanıcı listesi gözden geçirildiği, yetki tanımlarının, görev tanımlarının gerektirdiği
minimum yetkiyi içerecek şekilde yapıldığından emin olunduğu, kullanıcı şifrelerinin
değiştirildiği, veri tabanı erişim ve değişiklik kayıtlarının incelendiği belirttiler.
Şirketler, üçüncü şahısların, bilgi sistemlerine fiziksel erişimi ve sistemi kullanmaları,
şirket tarafından görevlendirilen personel eşliğinde yapıldığını belirttiler. Teknik veya iş
gerekliliği açıkça belirtilmediği durumlarda üçüncü şahıslara dış dünyaya kapalı sisteme erişim
için Dial-up veya internet bağlantısı verilmediğini dile getirdiler. Bu tür yetkiler, özel durumlar
17. 17
ve sadece belirlenen işi gerçekleştirebilecek kadar belirli bir zaman dilimi için verildiğini ve
sistemdeki çalışmaları takip edildiğini söylediler. Üçüncü şahıslardan alınan yazılımların
sözleşmede belirtilmeyen prosedürler veya gizli mekanizmalar içermediği, çalışması sırasında
sistemin çalışmasını engellemeyeceği veya diğer güvenlik risklerini taşımadığı konusunda
satıcı firma ile yazılı anlaşma yapıldığını dile getirdiler. Üçüncü şahıslardan alınan yazılımın
şirket bünyesinde değiştirilmesi gerekli görüldüğü takdirde bir anlaşma ile yazılımın kaynak
kodu lisansı alınmaktaymış. Müşteriler için üretilmiş olan yazılımlar, müşterinin onayı olmadan
üçüncü şahıslara dağıtılmazmış. Bu onay söz konusu olduğunda da sadece yazılımın object
kodu veriliyormuş. Üçüncü şahıslarla, dağıtılan yazılımların kaynak koduna
dönüştürülmeyeceği, tersine mühendislik yapılmayacağı, değiştirilmeyeceği veya bu tür
faaliyetler için müşteriden izin alınması konusunda yazılı anlaşmaların yapıldığını belirttiler.
Sonuç olarak görüşme yaptığımız iki şirkette de benzer prosedürler ve benzer çalışmalar
yapılmış. Her iki şirket de 2015 yılında belgelerini almışlar ve bu doğrultuda eksikliklerini
gidererek devam etmekteler. Enerji şirketleri günümüzde önemli bir yere sahip. Bu şirketler de
kişisel bilgilerimizden ziyade ülkemizi de yakından ilgilendiren bilgiler bulunmakta. O yüzden
bu bilgilerin korunması çok önem arz etmektedir.
GÜNCEL TEHDİTLER
Daha önce de belirttiğimiz gibi bilgiler elektronik alanlarda bulundukça, depolandıkça
güncel tehdit ve tehlikelerde de artış görülmektedir. Web sayfalar üzerinden verilen bilgiler
çoğaldıkça oralara yapılan saldırılar da çoğalmaktadır. Güvenli yazılım tekniklerinin
kullanılmaması bu güvensiz ortama neden olmaktadır. Mark Curphey web uygulama
güvenliğinin artırılmasına yönelik ücretsiz araçlar, standartlar, web uygulamaları güvenliğiyle
ilgili forumların yapılması, makalelerin yazılması konusunda çalışmaktadır. Web uygulama
güvenliği konusunda dünyada kabul görmüş OWASP ve WASC tarafından belirlenen, web
uygulamalarında en fazla rastlanan saldırılar bu bölümde anlatılacak olan güncel tehditler ve
gelişmelere esas teşkil etmiştir. (VURAL & SAĞIROĞLU, 2008)
Kimlik doğrulama
Web uygulamalarında kimlik doğrulama mekanizmasını atlatmak veya istismar etmek
için kullanılabilecek tehditlerdir. Kimlik doğrulamasında “sahip olunan bir nesne”, “bilinen bir
bilgi” veya “sahip olunan bir özellik” kullanılmaktadır. (VURAL & SAĞIROĞLU,
2008).İnternet bankacılığı gibi uygulamalarda kimlik doğrulamanın güvenliğe katkısı
yadsınamaz. Kimlik doğrulama, kimlik bilgilerine ihtiyaç duyulmayan durumlarda, kimliğin
anonim hale getirilmesine de imkân tanımalıdır. (ÜNVER, CANBAY, & MİRZAOĞLU,
2009).
18. 18
Uzaktan Kod Çalıştırma
Kod yazma yöntemiyle yapılan saldırılar, kullanıcı ile web sitesi arasındaki güven
ilişkisi istismar edilerek, web sitesinin saldırgan tarafından belirlenen çalıştırılabilir kodu
kullanıcıya göndermesi ve bu kodun kullanıcı web tarayıcısında yüklenerek çalışmasıyla
gerçekleşmektedir. XSS kelime anlamı olarak Cross-site Scripting olarak adlandırılabilir. Bunu
yüzeysel olarak ifade edecek olursak, bir web sitesindeki veri giriş alanları üzerinden, uzaktan
kod çalıştırma diye nitelendirebiliriz. Örneğin; bir arama alanı üzerinde sizden alınan kelimeyi
“bunu aradınız” diyerek web sitesinde gösteren bir uygulamada kullanıcıdan alınan verilerin
temizlenmesi şarttır. Kullanıcıdan alınan verilerin temizlenmeden o ekrana yazdırılması demek,
çalıştırılacak olan bir XSS için zemin hazırlanması demektir. XSS yöntemiyle zararlı kodun
kullanıcı web tarayıcısında çalıştığında, zararlı kod sunucu web sitesinin tarayıcı için tanımlı
olduğu güvenlik ayarları kapsamında çalışacaktır. Eğer web tarayıcısı üzerinde herhangi bir
kısıtlamaya gidilmemişse zararlı kod vasıtasıyla tarayıcı tarafından erişilen her türlü hassas veri
okunabilir, değiştirilebilir ve e-posta aracılığıyla farklı yerlere iletilebilir. XSS yöntemiyle
kullanıcı bilgisayarı üzerindeki oturum çerezleri çalınabilir, kullanıcının web tarayıcısı başka
bir adrese yönlendirilebilir, web siteleri üzerinde bilgi toplama amaçlı kodlar çalıştırılabilir,
sazan avlama yöntemine davetiye çıkartılır, web sayfalarının değiştirilmesi veya hizmet
aksattırma saldırıları yapılabilir.
DdoS saldırısı
DNS (Domain Name System), temelde TCP/IP kullanılan ağ ortamlarında isim-IP/IP-
isim eşleşmesini sağlar ve e-posta trafiğinin sağlıklı çalışması için altyapı sunar. Günümüzde
DNS’siz bir ağ düşünülemez denilebilir. Her yerel ağda ve tüm internet ağında hiyerarşik bir
DNS yapısı vardır. (ÖNAL, DNS Hizmetine Yönelik Dos/DDoS Saldırıları, 2012)
Dağıtık kaynak engelleme saldırıları hedef alınan sistem servislerinin erişilebilirliğini
engelleyen eş güdümlü bir saldırıdır. Genellikle DDoS saldırıları iki sınıfa ayrılır: bant genişliği
tüketme saldırıları ve kaynak tüketme saldırıları. Bant genişliği tüketme saldırıları hedef ağı
istenmeyen paketlerle doldurarak, normal (saldırı içermeyen) trafiği engeller. Kaynak tüketme
saldırıları ise hedef sistemin bilgisayar kaynaklarını tüketmeyi hedefler. Bu çalışmada hedef
alınan veri iletim kontrolü protokolü senkronizasyon paketi baskını saldırıları, bir kaynak
tüketme saldırısıdır. (ÖNAL, DOS/DDOS Saldırıları, Savunma Yolları ve Çözüm
Önerileri).2007 yılında yayınlanan Symantec İnternet Güvenlik Tehditleri Raporuna göre bot
bilgisayarları kontrol eden sunucuların bulunduğu ülkeler tabloda (resim 1.3)belirtilmiştir.
19. 19
Resim 1.3
SQL Injection
Web sayfalarına gönderilen girdilere SQL sorgu enjekte etme taktiğidir. Çoğu web
uygulaması web kullanıcısından parametreler alır ve veri tabanına SQL sorguları yapar.
Örneğin, bir kullanıcı login olurken, web sayfası kullanıcının girdiği kullanıcı adı ve şifreyi
alarak geçerli olup olmadığını kontrol için SQL veri tabanına sorgular. SQL Injection ile, özel
hazırlanmış bir kullanıcı adı ve şifre alanı ile SQL sorgusunda değişiklik yaparak farklı sonuçlar
elde edebiliriz. Eğer bir web uygulaması, kullanıcı kaynaklı girdiyi etkin bir biçimde
denetlemezse, SQL enjeksiyon yöntemiyle arka taraftaki SQL cümlesi oluşumu değiştirilerek
güvenlik ihlalleri oluşturulabilir. SQL enjeksiyon yöntemiyle SQL cümlesi değiştirilerek
bilgisayar sistemlerine sızılması durumunda, SQL servisini çalıştıran kullanıcı haklarına sahip
olunacaktır. Veri tabanı üzerinde bu haklara sahip olan kişi ileri derece sızma teknikleri
kullanarak veri tabanı dışındaki diğer sunucu bilgisayarları üzerinde değişim hakkı kazanabilir.
(VURAL & SAĞIROĞLU, 2008) SQL injection konusunu kısaca değindikten sonra şimdi SQL
injection korunma yöntemlerini inceleyelim. SQL injection yapmaktansa bundan korunmak
daha önemlidir. SQL injection'dan kurtulmanın birçok yolu var. Bunları listeleyip daha sonra
inceleyelim.
Genel SQL injection korunma yöntemleri: GET ya da POST ile yollanan verileri
doğrulamak, gönderilen verileri filtrelemek, SQL Parametresi kullanmak (prepare yapmak),
20. 20
kullanıcı yetkilerini kısıtlamak, güvenliği test etmek, gözden geçirmek, önemli verileri encrypt
etmek.
SONUÇ
Kurumsal bilgi güvenliğini tehdit eden saldırıların bilinmesi, bilgi güvenliğinin
sağlanmasına yönelik kurumsal stratejilerin geliştirilmesinde önemli bir role sahiptir. Bilgi
sistemlerine yönelik olarak yapılan saldırılar incelendiğinde; saldırıların çok genel bir
yelpazede yapıldığı, otomatik teknikler kullanarak saldırıların kolayca yapılmasında önemli
artışlar tespit edilmiştir. Otomatik saldırı araçları sayesinde kurumsal bilgi güvenliğini tehdit
eden usta saldırganların yanında bilinçsiz ve bilgi eksiği olan birçok acemi saldırgan türemiştir.
Virüs yazarları, eskiye göre çok daha gelişmiş araçlarla çalışmaktadır. Bu araçları kullanan
virüs yazarları, yazılım robotları ve rootkitler; sosyal mühendislik, casusluk ve reklâm amaçlı
yazılımlardan yararlanarak karmaşık virüslerle bilgi sistemlerini üst düzeyde tehdit
etmektedirler. Özellikle son zamanlarda gittikçe artış gösteren ve ülkelerin tüm internet alt
yapılarını tehdit eden DDoS (Distributed Denial Of Service) saldırılarına henüz bir çözüm
bulunamamıştır. DoS ve DdoS saldırılarına karşı özellikle ülkemizin kritik kurumlarının ağları
ve hizmetlerinin kesintiye uğramaması için ülkemize yapılan network trafiği izlenmelidir.
Kurumsal bilgi güvenliğinin sağlanması amacıyla, saldırı türlerinin takip edilmesi,
saldırganların kullandığı yöntemlerin saptanması, ülkemizde ve dünyada bu konuda yapılan
araştırmalar, raporlar ve çalışmalar ile tespit edilen açıkların takip edilmesi ve giderilmesi bilgi
güvenliği ihlalinin yaşanmaması için gerekli önlemlerin zamanında alınması, güvenlik
ihlallerine anında müdahale edilerek saldırıların zararlarından en az şekilde etkilenmesi, felaket
anında uygulanabilecek felaket ve iş sürekliliği planlarının uygulanması gibi stratejiler,
kurumlar tarafından uygulanmalıdır. Kamu ve özel kurumlar için bilgi güvenliği, kurumsal bilgi
güvenliği, bilgi güvenliği yönetim sistemleri, sızma testleri web uygulama güvenliği gibi
önemli kavramların kapsamlı olarak anlatıldığı bir kaynak olması nedeniyle, bu alanda
yapılacak diğer çalışmalar ve kurumsal bilgi güvenliğinin sağlanmasını önemseyen kuruluşlar
için rehber bir kaynak olarak kullanılabileceği ümit edilmektedir. Kurum veya kuruluşların üst
düzeyde bilgi güvenliğini ve iş sürekliliğini sağlamaları için standartlar çerçevesinde teknik
önlemlerin uygulanmasının yanında teknik olmayan (insan faktörü, prosedürle faktörler, vb.)
önlemlerin ve denetimlerin alınması, tüm bu süreçlerin devamlılığının sağlanması ve bilgi
güvenliği standartlarına uygun olarak yönetilebilmesi amacıyla yönetim tarafından desteklenen
insanları, iş süreçlerini ve bilişim teknolojilerini kapsayan bilgi güvenliği standartlarına uygun
olarak BGYS kurmaları gerekmektedir.
Yapılan bu çalışma sonucunda bilgi güvenliğini uygulayacak kurumların süreçlerinin
uzun ve maliyetli olduğu gözlemlenmiştir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı planlanması ve kurulum aşamaları
zaman ve emek kaybı gibi gözükse de uzun vadede fayda sağlar. Sistemin yaygınlaşması için
özel ve kamu sektöründe yönetici ve çalışanların özverili, dikkatli davranmaları gerektiği
anlaşılmaktadır.
21. 21
Bu standardın kurumsal anlamda faydalarının anlaşılması ve kurum yöneticilerinin konu
hakkında bilinçlendirilmesiyle birlikte sertifika almaya çalışan ve bu sertifikayı almaya hak
kazanan kurumların sayısının artacağı düşünülmektedir. Bilgi güvenliği süreçlerinin
yürütülmesi bilgi güvenliğini sağladığımız anlamına gelmemektedir. Kurumların bilgi
güvenliğinin taahhüt ettiği seviyeyi sağlayıp sağlamadığı, sağlamıyor ise eksiklikleri, güvenlik
denetimlerinin düzgün bir biçimde kurulup kurulmadığı belirlenen politikalara uygunluğu,
belgelendirme yapılıp yapılmadığı, belgelendirme süreci nasıl yürütüldüğü gibi konular bilgi
güvenliği açısından son derece önemlidir.
Kurumsal bilgi güvenliğinin sağlanması için; bilgi güvenliği süreci süreklilik arz
etmelidir. Sadece teknoloji ile sistemlerimizi güçlendirebiliriz algısından vazgeçilmeli, insan
ve eğitim konusuna önem verilmelidir. Özellikle Amerika Birleşik Devletlerinde bu konu çok
işlenmektedir. Bizlerin de bilgi güvenliği prosedürlerimizi o seviyelerde tutmamız
gerekmektedir. Bağımsız denetim firmaları tarafından belirli periyotlarda denetimler yapılması
gerekmektedir. Her zaman süreçlerimiz güncel tutmalı ve iyileştirilmelidir. En zayıf noktamızın
güvende olması gerekliliği ile önlemler alınmalı ve iyileştirmeler yapılmalıdır. (Pehlivan İ. ,
2010)
Birçok konuda olduğu gibi, bilgi güvenliğinde de en kritik başarı faktörü istekli, bilinçli
ve bilgili insanlardır. Bilgi güvenliği yönetiminde nihai hedef, bilgi güvenliğinin zaman içinde
bir kurum kültürü haline dönüşmesi olmalıdır. En deneyimli bilişim suçlularının kurum
dışından yapacakları saldırılardan daha riskli ve zararlı olanının; kurum içindeki art niyetli veya
bilinçsiz, dikkatsiz personel olduğu unutulmamalıdır. Bilgi güvenliği yönetimi, sürekli
yaşatılması gereken, değişimlere uyum sağlayarak sürekli gelişime açık olması gereken bir
süreçtir. Bilgi güvenliği, sadece teknoloji veya sadece bilgisayar güvenliği değildir. Bilgi
güvenliği; insan, süreç ve teknoloji üçlüsünün birlikte uyumlu bir şekilde çalışması gereken bir
yönetim sistemidir. Özetle bilgi güvenliği, özel hayatta ve iş yaşamında kanıksanması,
öğrenilmesi, rutin hale gelmesi gereken bir süreçtir. Bilgi güvenliği ve güvenlik tehditleri gibi
bir konuda bile; insanların korkuyla değil, ancak sevgiyle ve eğitimle kazanılabileceği önemle
vurgulanmalıdır. (EMİNAĞAOĞLU & GÖKŞEN, 2009)
Öneriler
Kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasında sızma testlerinin katkısı
çok yüksektir. Sızma testleri felaket başa gelmeden önce, onu önleyecek ve ona karşı
savunulacak ihtiyaçların ve tedbirlerin alınmasında kullanılan önemli bir erken uyarı sistemidir.
Bu önemden dolayı, sızma testleri belirli periyotlarda veya sistem yenilenmelerinde yapılmalı
ve kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasındaki rolü her zaman dikkate
alınmalıdır. Kurumların ekipman ve yazılım güncellemelerine bağlı olarak bu denetimler ve
testler sıklaştırılmalıdır. Denetimler, risk tabanlı yani riski yüksek olan daha detaylı ve sık
denetlenmeli biçiminde yapılmalıdır. İnternet kullanımının hızla yaygınlaştığı ülkemizde bilgi
güvenliği konusunda devlet desteğinde üniversitelerimizde, halk eğitim merkezlerinde ve diğer
eğitim kuruluşlarımızda halkımız ücretsiz olarak bilinçlendirilmeli ve eğitilmelidir. Bilişim ile
ilgili kanunların hazırlanması ve uygulanmasında bilişim hukukçularına ihtiyaç duyulmaktadır.
Ülkemizde bu alanda uzmanların yetiştirilmesi konusunda üniversitelerimize önemli görevler
düşmektedir. Bilişim hukuku ile ilgili dersler hem hukuk fakülteleri hem de bilgisayar
22. 22
mühendisliği ile ilgili bölümlerin müfredatına konularak bu alandaki bilgi altyapısının
kurulması ve bilişim hukuku ile ilgili yüksek lisans programları aracılığıyla da uzman adli
bilişimcilerin yetişmesi ülkemiz açısından önemlidir. Bilişim güvenliğiyle ilgili yasaların
oluşturulması için toplumun her kesiminden geniş bir katılımın sağlandığı çalışma grupları
oluşturulmalı ve yasalar bu ortak akıl ile çıkarılmalıdır. Ülkemizde kurumsal bilgi güvenliği
konusunda daha fazla çalışma yapılmalıdır. Özellikle üniversiteler ve araştırma kurumlarında
Kurumsal Bilgi Güvenliği dersleri açılmalıdır. Ülkemizde güvenlik sistemlerine yönelik milli
yazılımlar ve yöntemler üretilmeli ve geliştirilerek kullanılmalıdır. Kurumsal bilgi güvenliğinin
üst seviyede sağlanması amacıyla, güvenlik mimarisi ve ölçeklendirme açısından doğru
teknolojilerin seçilmesi, seçilen teknolojilerin hatasız yapılandırılması, bakımlarının periyodik
olarak yapılması, açıkların takip edilip güncellemesi, verimli ve etkin kullanımı ile karma
yapıda ve katmanlı inşa edilmeleri teknoloji seçiminde ve yatırımında dikkat edilmesi gereken
önemli hususlardır.
Kaynakça
Ender Şahinaslan, A. K. (2009). Kurumlarda Bilgi Güvenliği Farkındalığı Önemi ve Oluşturma
Yöntemleri. Akademik Bilişim’09 - XI. Akademik Bilişim Konferansı Bildirileri Harran
Üniversitesi, (s. 597-602). Şanlıurfa .
Institute, S. (2017). The Hunter Strikes Back: The SANS 2017 Threat Hunting Survey. SANS
Institute InfoSec Reading Room.
ÖNAL, H. (2012). DNS Hizmetine Yönelik Dos/DDoS Saldırıları. Bilgi Güvenliği Akademisi.
ÖNAL, H. (tarih yok). DOS/DDOS Saldırıları, Savunma Yolları ve Çözüm Önerileri. Bilgi
Güvenliği Akedemesi.
Pehlivan, İ. (2010). MÜHENDİSLİK BİLİMLERİ ve TASARIM DERGİSİ. dergipark.ulakbim.gov.tr:
http://dergipark.ulakbim.gov.tr/sdumuhtas/article/viewFile/1089001702/1089001771
adresinden alındı
Pehlivan, V. M.-İ. (2010, 1). ISO 27001:2005 Bilgi Güvenliği Yönetimi Standardı ve Türkiyedeki
Bazı Kamu Kurulusu Uygulamaları Üzerine. Mühendislik Bilimleri ve Tasarım Dergisi, s. 49-56.
Resmi Gazete, 2. s. (2014 , 12 26). ’Elektrik Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik,Doğal Gaz Piyasası Lisans Yönetmeliğinde Değişiklik Yapılmasına
Dair Yönetmelik.
ÜNVER, M., CANBAY, C., & MİRZAOĞLU, A. (2009). SİBER GÜVENLİĞİN
SAĞLANMASI:TÜRKİYE’DEKİMEVCUT DURUM VE ALINMASI GEREKEN TEDBİRLER. Bilgi
Teknolojileri ve Koordinasyon Dairesi Başkanlığı.
VURAL, Y., & SAĞIROĞLU, Ş. (2008). KURUMSAL BİLGİ GÜVENLİĞİ VE STANDARTLARI ÜZERİNE
BİR İNCELEME. Gazi Üniv. Müh. Mim. Fak. Der., 507-522.
EMİNAĞAOĞLU, M., & GÖKŞEN, Y. (2009). BİLGİ GÜVENLİĞİ NEDİR, NE DEĞİLDİR, TÜRKİYE’
DE BİLGİ GÜVENLİĞİ SORUNLARI VE ÇÖZÜM ÖNERİLERİ. Dokuz Eylül Üniversitesi Sosyal
Bilimler Enstitüsü Dergisi, 01-15.
23. 23
VURAL, Y., & SAĞIROĞLU, Ş. (2011). KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE
ÖNERİLER. Gazi Üniv. Müh. Mim. Fak. Der., 89-103.
YILMAZ, S. Ö. (2013). Bilgi Merkezlerinde Bilgi Güvenliği Farkındalığı: Ankara’daki Üniversite
Kütüphaneleri Örneği. BİLGİ DÜNYASI, 87-100.
http://dergipark.ulakbim.gov.tr/sdumuhtas/article/viewFile/1089001702/1089001771
adresinden alındı