Siber güvenliğin sağlanması
Bilgi Çağı, her türlü bilginin (veri, görüntü, ses vb.) sayısal olarak ifade edilebilmesine, bir başka deyişle elektronik, optik veya manyetik ortamlar üzerinde saklanabilmesi, işlenebilmesi ve iletilebilmesine imkan tanıyan bilgi ve iletişim teknolojilerinin (BİT) gelişimini temsil etmektedir. Bilginin sayısallaşması, üzerinde bulunduğu fiziksel ortamın sınırlarından bağımsız hale gelmesine, kolaylıkla farklı ortamlara aktarılabilmesine, sonsuz defa çoğaltılabilmesine, değiştirilebilmesine veya yok edilebilmesine imkan tanımaktadır.
Her geçen gün hızla gelişen, çeşitlenen ve yaygınlaşan BİT, Bilgi Toplumuna küresel dönüşümün temel öğeleridir. Elektronik haberleşme şebekeleri ve altyapıları ile bilgi ve iletişim sistemlerini (BİS) birbirine bağlayan, dolayısıyla sayısal bilginin kolaylıkla farklı sistemlere iletilmesine ve dağıtılmasına imkân veren, bu yönüyle küresel ve sınır tanımayan bir yapıya sahip olan İnternet ise söz konusu teknolojilerin başını çekmektedir.
Bilgi Çağı, hayatın pek çok alanında önemli değişikliklerin yaşanmasına sebep olmuş, kurumsal yapılanma, yönetim, operasyonel faaliyetler gibi alanlarda pek çok uygulamayı değiştirmekle kalmamış; finans, elektronik haberleşme, ulaşım, enerji, sağlık, eğitim gibi pek çok kritik altyapının da BİT’e bağımlı hale gelmesine yol açmıştır.
Gerek sayısal bilginin kolaylıkla üzerinde bulunduğu fiziksel ortamdan bağımsız hale getirilerek orijinalliğini yitirebilmesi ve İnternet aracılığıyla hızla küresel çapta dağıtılabilmesi, gerekse BİT’e bağımlı hale gelen altyapıların ve sistemlerin günden güne çoğalması, pek çok güvenlik riskini de beraberinde getirmektedir.
BİT’e bağımlı olma durumu, bu teknolojilerin siber saldırganlar ve siber suçluların siber ortamda yasadışı amaçlarını gerçekleştirebilecekleri pek çok açıklığa sahip olması dolayısıyla, dünyanın sosyal, politik, ekonomik ve askeri güvenliğini ve istikrarını tehdit eden ciddi bir risk unsurudur. Söz konusu risklerin ciddiyeti ve yol açabileceği olası zararların büyüklüğü, bunlarla baş edebilmek için uygulamaya konması gereken mekanizmaları gündeme getirmiş, Siber Güvenliğin Sağlanması ve Kritik Bilgi ve Altyapıların Korunması hususları gündemin önde gelen konuları arasına girmiştir.
Siber güvenlik, siber ortamda, kurum, kuruluş ve kullanıcıların varlıklarını korumak amacıyla kullanılan araçlar, politikalar, güvenlik kavramları, güvenlik teminatları, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulamalar ve teknolojiler bütünü olarak tanımlanmaktadır. Kurum, kuruluş ve kullanıcıların varlıkları, bilgi işlem donanımlarını, personeli, altyapıları, uygulamaları, hizmetleri, elektronik haberleşme sistemlerini ve siber ortamda iletilen ve/veya saklanan bilgilerin tümünü kapsamaktadır. Siber güvenlik, kurum, kuruluş ve kullanıcıların varlıklarına ait güvenlik özelliklerinin siber ortamda bulunan güvenlik risklerine karşı koyabilecek şekilde oluşturulmasını ve idame edilmesini sağlamayı amaçlamaktadır. Siber güvenliğin temel hedefleri bilginin erişilebilirliğini, aslına uygunluğu ve inkâr edilemezliği de dahil olmak üzere bütünlüğünü ve gizliliğini sağlamaktır. Siber güvenlik, siber tehditler ve siber saldırılar ile mücadelenin yanı sıra, BİS’de yer alan açıklıkları en aza indirmeyi de amaçlamaktadır.
Siber güvenliğin temel hedefleri, bilginin;
• Erişilebilirlik,
• Bütünlük,
• Gizlilik
Unsurlarını güvence altına almaktır.
Erişilebilirlik: Bilginin, sistemlerin ve hizmetlerin; enerji kesintileri, doğal afetler, sistem hataları, beklenmeyen olaylar ve kötücül saldırılar gibi olası durumlara rağmen, her ihtiyaç duyulduğunda erişilebilir, kullanıma hazır ve tam işlevsel halde bulunmalarını ifade eder. BİS’te yaşanabilecek arızaların diğer kritik altyapıların işleyişinde aksaklıklara yol açabileceği durumlarda, erişilebilirliğin korunması hayati önem taşımaktadır.
Bütünlük: BİS üzerinden gönderilen, alınan veya BİS’de saklanan verilerin eksiksiz ve değiştirilmemiş halde bulunmalarını ifade eder. Paylaşılan verilerin doğruluğuna karşı çok hassas olan sağlık, endüstriyel tasarım gibi sektörler için veri bütünlüğünün sağlanması büyük önem taşımaktadır.
Gizlilik: BİS üzerinden yapılan haberleşmenin veya BİS’de saklanan verilerin yetkili olmayan taraflarca ele geçirilmekten korunmasını ifade eder. Hassas verilerin iletimi ve haberleşme esnasında kişisel mahremiyetin korunmasında gizlilik esastır. Avrupa Komisyonu tarafından yayınlanan “Şebeke ve Bilgi Güvenliği: Avrupa Politik Yaklaşımı Tasarısı” konulu Tebliğde, erişilebilirlik, bütünlük ve gizlilik, BİS’in ve BİS’in güvenlik koşullarında bulunması gereken birbirine bağlı unsurlar olarak sıralanmakta ve bir başka unsur olarak da kimlik doğrulamadan bahsedilmektedir.
Kimlik doğrulama: BİS’i kullanan gerçek veya tüzel kişiler tarafından beyan edilen kimlik bilgilerinin teyit edilmesini ifade eder. İnternet bankacılığı gibi uygulamalarda kimlik doğrulamanın güvenliğe katkısı yadsınamaz. Kimlik doğrulama, kimlik bilgilerine ihtiyaç duyulmayan durumlarda, kimliğin anonim hale getirilmesine de imkân tanımalıdır. İTU tarafından 2007 yılında yayınlanan “Gelişmekte Olan Ülkeler için Siber Güvenlik Rehberi” belgesinde ise erişilebilirlik, bütünlük, gizlilik ve kimlik doğrulamaya ek olarak inkâr edilemezlik de siber güvenlik çözümlerinin sağlaması gereken temel güvenlik unsurları arasında sayılmaktadır.
İnkâr edilemezlik: Herhangi bir iş ve işlemin gerçekleştirilmiş olduğunun ispatlanmasını ifade eder ve hesap verilebilirlik, izlenebilirlik ve bazı durumlarda da denetlenebilirlik kavramları ile ilişkilendirilebilir.
Bu bağlamda, gerek siber ortamda hızla artan tehditlerle mücadeleyi, gerekse BİT’lere giderek artan derecede bağımlı hale gelen kritik altyapıların korunmasını amaçlayan siber güvenliğin sağlanması konusu yukarıda sayılan unsurların bir araya gelmesi ile mümkün olmaktadır.