Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- 5.2. En Zayıf Bileşen İnsan
|
5.2. En Zayıf Bileşen İnsan
Siber sistemlerin kaçınılmaz entegre yapısı, birden çok sistemin be- raber çalışmasını gerektirmekte ve dolayısı ile sistemler birbirleri ile veri ve hizmet paylaşırken karşılıklı güvenlik risklerinin de artma- sına sebep olmaktadırlar. Mevcut tüm otomatik hesaplama, kontrol ve iletişim sistemleri insan hayatını kolaylaştırmak için tasarlan- mış ve işletilmektedir. Doğal olarak insan, siber ortamların dolaylı veya doğrudan bir bileşeni olarak sistem içerisinde her zaman yer almaktadır. Siber sistemlerin, doğrudan öznesi veya nesnesi olma- salar bile, dolaylı olarak sistem hizmetlerinden faydalanan, sistemi tasarlayan veya işleten rolleri ile insanlar siber sitemlerle sürekli et- kileşim halindedir. Siber ortamlarda güvelik çok katmalı bir dizi tedbir ve sistemle sağ- lanmaktadır. Bu çoklu katmanlarda dikey olarak, sistem, ağ, kul- lanıcı gibi, farklı parametreler üzerinde güvenlik kontrolleri yapı- lırken, yatay olarak aynı veya benzer parametrelerin farklı sistem veya uygulamalarla çapraz kontrolleri yapılabilmektedir. Güvenlik S İ B E R G Ü V E N L İ K F A R K I N D A L I Ğ I O L U Ş T U R M A 147 sistemlerinde bu tür hiyerarşik ve çok katmanlı yapı genellikle gü- venlik zinciri olarak adlandırılır ve bu zinciri oluşturan bileşenlerin beraber çalıştırılması ile güvenlik seviyesinde önemli kazanımların elde edilmesi hedeflenmektedir. Güvenlik zincirindeki her bir bi- leşenin tek başına güçlü/aşılamaz olması ise kümülatif bakış açı- sından anlamsızdır, çünkü güvenlik açısından önemli olan en za- yıf bileşendir. Zincirdeki bir bileşenden kaynaklanan zafiyet diğer bileşenlerin ve dolayısı ile zincirin görevini yerine getirememesi anlamına gelmektedir. Bu anlayış “Bir zincir en zayıf halkası kadar kuvvetlidir” söylemi ile çok öz olarak ifade dilmektedir. İşte bu gü- venlik zincirinin bir veya birden fazla noktasında insan bileşenin yer alması kaçınılmazdır. Siber güvenlik olaylarının incelemeleri neticesinde ihlal nedeni olarak, hatalı insan davranışları olduğu sıklıkla belirtilmektedir. Ayrıca alanda yapılan bilimsel araştırma ve taramalarda insan kaynaklı güvenlik olay ve ihlallerinin toplam olaylar içerisinde en büyük yüzdeyi oluşturduğu çarpıcı bir şekil- de raporlanmaktadır [7],[8]. İnsandan kaynaklanan güvenlik açık- larının çeşitliliği ve oransal olarak daha çok gerçekleşiyor olması, alanda genel kabul gören “güvenlik zincirinde en zayıf halka insandır” söylemini kuvvetlendirmektir. Farklı bir bakış açısından bakıldığında ise, tüm güvenlik ihlallerini veya açıklarını bir insan rolü ile ilişkilendirmek her zaman müm- kündür. Zira, sistemde tespit edilen her türlü güvenlik açığı yete- rince derine gidildiğinde bir insan tercihi veya ihmali ile ilişkilen- dirilebilir. Örneğin, bir kütüphane veya hazır sınıfta (class) ortaya çıkan güvenlik açığı, kullanıcı hatasından ziyade, o kütüphaneyi ta- sarlayan ve/veya geliştiren insanların tasarım ve geliştirmedeki gü- venlik farkındalık eksikliği olarak yorumlanabilir. Bu tür bir geniş açıdan bakıldığında tüm güvenlik ihlal ve açıklarını bir insan rolü ile, kullanıcı, yönetici, işletmen, tasarımcı veya geliştirici ile ilişki- lendirmek her zaman mümkündür. Ayrıca, sistem tasarımında kod ve araçların yetersiz kaldığı, yeterli seviyede güvenlik kontrolünü gerçekleştiremediği, durumlarda genellikle sorumluluğu insan bile- şenine atfeden mühendislik çözümleri oldukça yaygındır. Örneğin web adres aldatmalarına karşı kullanıcıların adres çubuğundaki ka- rakterleri kontrol etmesi gerekliliği, SSL uygulamalarında geçersiz/ hatalı sertifika uyarısında uyarıyı kontrol ederek iletişime devem etme keyfiyetinin/sorumluluğunun kullanıcıya bırakılması veya za- A T I L A B O S T A N - G Ö K H A N Ş E N G Ü L 148 rarlı olabilecek e-posta ve eklerinin anlamsal olarak kullanıcı tara- fından kontrol edilmesi gibi prensiplere dayanan güvenlik yapılan- maları da güvenlik ihlal ve hatalarının insan kaynaklı olmasına yol açmaktadır. Özetle, sistem içerisinde formülize ve otomotize ede- mediğimiz güvenlik fonksiyonlarını insanlardan beklemek normal karşılanmalıdır, ancak bu fonksiyonları yerine getirmesi beklenen kişilerin bu işlemler için ehil olmaları da vazgeçilemez bir gerekli- liktir. Sistemleri oluşturan donanım ve yazılım bileşenlerinin aksi- ne, insan bileşeninin davranış ve tercihlerini kesin olarak öngörmek mümkün değildir. İnsan tercihlerinde ve davranış-alışkanlıklarında olumlu yönde bir değişiklik yapabilmek için insanların eğitilmesi- ne, yapmış oldukları tercihlerin ve davranışların sonuçlarının neler olabileceğinin öğretilmesine ihtiyaç vardır. Sistem güvenliği açısın- dan bakıldığında, tüm rollerde fonksiyon gerçekleştiren insanların ilgili eylemlerinde, tercih ve davranışlarının sistem güvenliği açısın- dan yansımalarını doğru tahmin edebilmeleri ve eylemlerini bu çe- kinceler ile gerçekleştirmeleri güvenlik farkındalığı olarak adlandı- rılmaktadır. Güvenlik açığı olmayan, yüzde yüz güvenli, bir sistem geliştirmenin mümkün olamadığı gibi bu farkındalığın tam olması, teorik olarak mümkün değildir. Çünkü yeterince zaman ve kaynak aktarılırsa, her sistemde bir güvenlik açığı bulmak veya alınan gü- venlik tedbirlerini atlatmak mümkündür. Ancak güvenlik farkında- lığının yüksek olması, sistemlerin daha güvenli olarak tasarlanması, geliştirilmesi, işletilmesi ve kullanılması sonucunu doğurmaktadır. Başka bir ifade ile, sistemlerin güvelik seviyesini yükseltmek ve gü- venlik açıklarını en aza indirmek için, kullanıcı, yönetici, işletmen, tasarımcı ve geliştirici rollerindeki insanların güvenlik farkındalığı- nın ve hassasiyetinin artırılması kilit unsurdur [9]. Yüklə 3,91 Mb. Dostları ilə paylaş:
|