Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
|
TLS (HTTPS) protokolünü kullanan bir web hizmeti olarak tasarlanmış-
tır. Ancak, sistem işletmeni tarafından SSL/TLS hizmetinde güvenilen otoriteden alınan sayısal sertifika yerine, kendisi tarafından üretilen bir sertifika kullanılmaktadır. Bu durumda doğabilecek güvenlik risklerine karşı, kullanıcılara site erişimlerinde sertifika detaylarını ve hata mesajını kontrol etmeleri gerektiği bildirilmiştir. Bu veya benzer sayısal sertifika yanlış kullanımları ile gerçek hayat uygulamalarında sıklıkla karşılaşılmaktadır. Örnek olarak verilen senaryo ve benzeri durumlarda, genellikle maliyet ve prosedürler- den kaçınmak için, olması gereken güvenlik yapılanması sistem iş- letmenleri tarafından ihlal edilmektedir [11][12]. Bu ve benzeri bir- çok durumda, sistem işletmeni tarafından yapılan güvenlik tercih- leri ve alınan güvenlik riskleri çoğunlukla sistemin diğer paydaşları ile paylaşılmamaktadır. Kaldı ki sistem işletmenlerinin yaptıkları tercihlerin güvenlik yansımaları konusundaki farkındalıkları da tar- tışmalıdır. Ancak, ikinci örnek durumda vurgulanması gereken bir diğer konu ise, güvenlik tasarımında genellikle kullanıcı rolündeki insan bileşenine atfedilen sorumluluk detayında saklıdır. Verilen örnek durumda kullanıcının SSL sayısal sertifika uyarısını kontrol etmesi beklenmektedir. Takdir edilebileceği gibi bu işlem alanda te- mel bilgiye ve pratiğe sahip olan şahıslar için bile oldukça karmaşık ve zaman alıcı bir işlemken, bu tür bir fonksiyonun sıradan kullanı- cılar tarafından web servisine her yeni ulaşımda tekrarlanan şekilde yerine getirilmesini beklemek gerçek dışıdır. Sıradan kullanıcıların çoğunun tarayıcılar tarafından üretilen sertifika uyarı mesajların- daki içeriği anlamadıkları ve bu durum ile aldıkları güvenlik risk- lerinin farkında olmadıkları bilimsel araştırmalarla kanıtlanmıştır [13][14]. İlave olarak, sürekli maruz kalınan uyarı mesajlarının ise kullanıcılarda, duyarsızlık oluşturduğu da bilinmektedir. Sonuç olarak; ikinci örnek durumda verilen senaryo kapsamında, kulla- S İ B E R G Ü V E N L İ K F A R K I N D A L I Ğ I O L U Ş T U R M A 151 nıcının sahte ve taklit bir web hizmetine yönlendirmesini müteakip bir güvenlik ihlalinin oluşması (burada kasıt yönlendirme eylemi değil, bu yönlendirme sonrasında sahte hizmet tarafından yapılan güvenlik ihlalidir. Örn. Kullanıcı parolasının çalınması v.b.), kulla- nıcının yapması gereken kontrollerde gösterdiği zafiyetten dolayı, kullanıcı hatası olarak nitelenebilir. Ancak bu değerlendirme ne de- rece gerçekçidir? Kullanıcıların, gerek teknik yeterlilik ve gerekse insan psikolojisi gereği bu tür bir kontrolü etkin olarak yerine getir- mesini beklemek, mevcut bilimsel sonuçlar ile, büyük bir hatadır. Güvenlik sisteminin bu bilgiler ve gerçekçi bir değerlendirme ile yapılandırılması, gözlenen olayların bu açıdan da değerlendirilme- si önemlidir. Örnek Durum 3; Müşterileri için yazılım geliştirmekte olan bir ticari firmanın ürününde, gerek ürün tasarımında güvenliğin ele alınmamış olması ve gerekse geliş- tirmede kullanılan yazılım kütüphanelerinin eksiklerinden dolayı, kullanı- cıların bilgilerini ve sistem güvenliğini tehlikeye sokan güvenlik açıkları tespit edilmiştir. Yukarıda belirtilen örnek durum benzeri gerçek olaylar son yirmi yıl içerisinde çok sayıda yaşanmıştır. Bu tür tespitlerin genellikle ya- şanan güvenlik ihlalleri neticesinde yapılmasına karşılık, az sayıda durum ise bir güvenlik ihlali yaratmadan önce kullanıcılar veya ge- liştiriciler tarafından tespit edilmiştir [15][16][17]. Örnek durumda belirtildiği gibi, bu tür güvenlik açıklarının oluşmasındaki en temel neden, güvenliğin sistem tasarımı esnasında bir ihtiyaç olarak göz önüne alınmaması ve sistem geliştirirken kullanılan araç ve bile- şenlerin güvenlik boyutunda bir incelemeye tabi tutulmamasından kaynaklanmaktadır. Özellikle günümüzde yazılım sistemlerinde hazır bileşen kullanımının yaygınlaşması ile bu tür riskler oldukça önem kazanmıştır. Zira bir yazılım araç veya kütüphanesinin her- hangi bir ara ürün geliştirilmesinde kullanılmasını takiben bu ara ürün daha büyük bir sistemin parçası olarak işlev yapabilmektedir. Bu aşamalardan birinde oluşan güvenlik ihlali tüm sistemin güven- liği için bir risk oluşturmaktadır. Ayrıca, her bir bileşen ve aracın kendi başına değerlendirilmesinde güvenliğinin yeterli seviyede olmasına karşılık, bu bileşenlerin bir arada kullanılmasından yeni veya ilave riskler ortaya çıkabilmektedir. A T I L A B O S T A N - G Ö K H A N Ş E N G Ü L 152 Örnek Durum 4; Güvenlik ihtiyaçları doğrultusunda, kullanıcı adı ve parola ile giriş ya- pılan bir sistemin kullanıcısı bazı kullanım kolaylıkları ve/veya idari/sos- yal etkileşimler gereği, bu bilgileri başka şahıslarla paylaşmış ve sistemde kendi bilgisi dışında ancak kendi adına yapılan işlemlerden dolayı mağdur olmuştur. Bu örnekte bahsedilen benzer durumlarla, özellikle kurum sistem- lerinde ve ticari firma işlemlerinde sıklıkla karşılaşılmaktadır. Gü- venlik sistem ve mekanizmalarının kullanılabilirlik açsından bir en- gel gibi görülmesi, süreç ve işlemleri yavaşlattığının düşünülmesi bu tür olaylarda temel motivasyonu oluşturmaktadır [18]. Ancak, bu tür tedbir ve uygulamalarının bilgi, işlem ve şahıs güvenliğinin sağlanması amacı ile kullanılması gerektiği kullanıcılar tarafından kesin olarak bilinmeli ve bu süreç ve işlemler atlanmadan takip edilmelidir. Belirtilen dört adet örnek durumun, gerek kapsam ve olay içeri- ği ve gerekse uygulama türü olarak çoğaltılması ve genişletilmesi mümkündür. Bu örnekler farkındalık türleri ve seviyelerine dikkat çekmek, her tür ve seviyede gerekliliklerin farklı olduğunu vurgu- lamak amacı ile verilmiştir. Örnek durumlardan da çıkarılabileceği gibi siber sistemlerin güvenliğinin sağlanması konusunda sadece bir tür insan rolünün güvenlik farkındalığı yeterli olmamaktadır. Tüm insan rollerinin fonksiyonlarını yerine getirirken güvenlik kaygısını bir ihtiyaç olarak sürekli göz önünde bulundurmaları halinde sistem güvenliğini yüksek seviyede tutmak mümkün ola- bilecektir. Bu amaçla siber sistemlerde ihtiyacın belirlenmesinden, sistemin tasarlanması, geliştirilmesi, işletilmesi ve kullanılmasına kadar tüm aşamalarda yer alan insan bileşenlerinin icra ettikleri iş- lemin gereği olan güvenlik risk ve tedbirlerinin farkında olması ve bu süreç ve işlemleri kendi rolleri içerisinde uygun şekilde yerine getirmesi önemlidir. Özellikle farkındalık eğitimleri bölümünde bahsedileceği gibi, far- kındalık kendiliğinden gelişen bir olgu değildir. Farkındalık geliş- tirmek, bu amaçla eğitim ve uygulamaların yapılmasına, insanlar tarafından süreç ve işlevlerin içselleştirilmesine ihtiyaç duyar [19]. Teknolojinin çok hızlı bir şekilde yaygınlaşarak çeşitlenmesi ve uy- gulamaların sayı ve tür olarak çoğalmasına paralel olarak, siber S İ B E R G Ü V E N L İ K F A R K I N D A L I Ğ I O L U Ş T U R M A 153 sistemlerde yer alan tüm insan bileşenlerinin rolleri kapsamında güvenlik farkındalığı geliştirmesi sistem güvenliği açısından bir gerekliliktir. Takdir edilebileceği gibi her rol tipi için, farkındalık geliştirici eğitim ve uygulamalar farklı olmak zorundadır. Siber sistemlerin doğası gereği birden fazla insan bileşeni ürün ve hizmetin ortaya çıkmasında rol almaktadır. Bu kişilerin, sistem gü- venlik gereklerinin farkında olmalarının yanında, yerine getirdikle- ri işlev bazında güvenlik sorumluluklarının da tanımlanmış olma- sına ihtiyaç vardır. Böylece, her bir rolün fonksiyonunu yerine geti- rirken ilgili sorumluğu hissetmesi ve muhtemel ihlallerden, yerine getirdiği işlem bazında, sorumlu olacağını bilmesi, farkındalık oluş- turulması ve sürdürülmesinde önemli bir gerekliliktir. Bu amaçla hukuki, idari düzenlemelerin yapılması ve bunların ilgili kişilere bildirilmesine ihtiyaç vardır. Gerekli olan durumlarda sertifika ve ehliyet gibi belgeler ile bu sorumluluk ve yeterliliklerin belirlenmesi önemli fayda sağlayacaktır. Yüklə 3,91 Mb. Dostları ilə paylaş:
|