Güvenlik denildiğinde akla gelebilecek birçok tanım vardır. Bu tanımlardan birini TDK şu şekilde yapmıştır. Güvenlik: “Toplum yaşamında yasal düzenin aksamadan yürütülmesi, kişilerin korkusuzca yaşayabilmesi durumu, emniyet.”

İnsanoğlunun yeryüzünde yaşamının başladığı ilk günlerden bu yana güvenlik her zaman güncelliğini koruyan bir konu olmuştur. Toplumsal yaşamın başlaması güvenliğe farklı boyutlar katmıştır. Öyle ki, toplumsal yaşamdan önce bir bireyi güvenlik konusunda riske sokacak unsurları doğadaki diğer canlılar ve doğal afetler oluşturmuş iken, toplumsal yaşam başladığında hırsızlar, katiller; zaman geçip sosyal medya kültürü ortaya çıkınca da, gerçek kişilerin veya tüzel kişilerin hitap ettikleri kitle önündeki itibarlarını zedeleyecek söylemler eklenen diğer unsurları oluşturmuşlardır. Bugün ise güvenliğin etki alanı bilişim teknolojileri sayesinde, genişleyen toplumsal yapı ve kültürle beraber bambaşka bir boyut kazanmıştır.

Gelişimin ve değişimin zamanın bir fonksiyonu olması, güvenliğin de zaman cephesinde bir boyutunun olduğunu göstermektedir. Gelişim ve değişim ile oluşan yeni şartlar, kendi içinde yeni sistemleri doğurmaktadır. Doğan yeni sistemler de beraberlerinde kendilerine has açıklıkları meydana getirmektedirler. Bilgi teknolojileri sektörü günümüzde en hızlı, en çok değişim ve gelişim içinde olan sektördür. Yüksek hızdaki değişim ve gelişim beraberinde zamana bağlılık durumunu, yani zamanın bir fonksiyonu olma durumunu da getirmektedir.  Kritik öneme sahip hassas bilgilerin tutulduğu sistemlerde var olan ancak zaman içinde bulunarak bilinir hale gelen açıklıklar zaman boyutunun güvenlikte ne kadar önemli bir yer tuttuğunun göstergesidir. Zamanının ötesine geçmeyi başarabilen saldırganlar bu açıklıkları kullanarak kendi zaferlerini ilan edebilmektedirler. Bu söylemlere ulaşabilmenin temel yolu dönüp geçmişe bakarak zaman boyutu üzerinde bir analiz yapmaktır.

Günümüzde kullanılan sistemlerin güncel olmayan ilk hallerinin her zaman bir açıklıktan etkilenmiş olduğunu görmek, aslında sistemlerin güvende değil, sadece açıklığının keşfedilmemiş olması nedeniyle “saldırıya müsait” durumda olduğunu bilmek anlamına gelmektedir. Bunun bilinmesi güvenlikle ilgili tedbirlerin alınması gereksinimini ortaya çıkarmaktadır. Bu gereksinimin göz ardı edilmesi ise güvenlikle ilgili bütünlüğün bozulmasına, korunmak istenen yapının zarar görmesine neden olabilmektedir.

Kendi içinde çok çeşidi, boyutu ve bileşeni olan güvenlik, felsefesine bakıldığında her çeşidi, boyutu ve bileşeni için aynı büyük resimden yola çıktığı gözlemlenebilecek bir olgudur. Bundan dolayı, hırsızdan korunmak için kapıya kilit takmak ne kadar anlaşılabilir ve kabul görmüş bir durum ise hassas bilgileri korumak için güvenlikle ilgili önlemleri almak da o derece anlaşılabilir ve gerekli bir durumdur.

Zaman boyutunda bir örneği ele almak gerekirse, kablosuz ağ teknolojisi buna örnek seçilebilir. Teknolojinin zamanın farklı evresinde olduğu ve kablosuz ağ kullanımının olmadığı dönemlerde; kurum içi güvenliği sağlamak için kullanılan yöntemlerle, günümüzde güvenliğin sağlanması için kullanılan yöntemlerin farklı olduğu görülebilmektedir. Büyük resme bakıldığında ise altta yatan dinamiğin aynı olduğu görülebilir. Bu dinamiğin başlıca dayandığı nokta ise kuruma ait güvenlik kültürüdür.

Kablosuz İnternet ağlarının güvenliği konusunda CPP tarafından İngiltere’de 6 şehirde 40 bin kablosuz ağ üzerinde yapılmış bir araştırmaya göre 40 bin İnternet kablosuz ağ bağlantısının 20 bininin parola korumasız olarak kullanıldığı, bir saatte 350’den fazla kablosuz ağ parolasının kırılabildiği ve bir saldırganın yetkisiz erişim sağlamak istediği ağın parolasını kırması için geçen sürenin 5 saniye olduğu sonucu ortaya çıkmıştır.

Kablosuz ağların sadece evlerde değil, kurumlar dâhilinde de bir İnternet erişimi çözümü olarak kullanılması, bu araştırmaya ait sonuçların kafaları kurcalamasına neden olmaktadır. Günümüzde birçok kurum, çalışanlarına İnternet hizmeti verebilmek için kablosuz ağ yayını kullanmaktadır.

Kablosuz ağların güvenliğinin sağlanmasında kullanılan yöntemler, şifreleme seviyesi ve yetkilendirme seviyesi olarak ikiye ayrılmaktadır. Şifreleme seviyesi güvenlikte ağ ortamına dâhil olmak isteyen bir kullanıcı gerekli kimlik bilgilerini ve şifreleme standartlarını sağlamak zorundadır. Yetkilendirme seviyesi güvenlikte ise ağa dâhil olan bir kullanıcıya İnternet erişimi sağlamak gibi ek yetkilerin verilmesine dair denetimler gerçekleştirilir.

Kablosuz ağın güvenliğinin sağlanması için kullanıcılar ağa dâhil olmadan veya İnternete çıkmadan önce birçok kimlik kontrolü adımına tabi tutulmakta ve İnternet erişimi belirli kısıtlamalar dâhilinde sunulmaktadır. Ancak, kablosuz ağ yapısına ait diğer güvenlik unsurları gözden kaçabilmekte ve ağa ait teknik güvenlik zafiyetleri göz ardı edilebilmektedir. Bu aşamalardan bahsedilirken her kurumun burada anlatılan adımları dahi takip etmediğinden ve birçok kurumun yukarıda bahsi geçen araştırma sonuçlarını doğrulayacak bir şekilde parola korumasız kablosuz ağ yayını kullandığından da bahsetmek yerinde olacaktır.

Kurum içi bilgilerin gizliliğinin, erişilebilirliğinin ve bütünlüğünün riske girmesine sebep olabilecek bu durum için kurum içi güvenlik kültürünü geliştirecek önlemlerin alınması ve bilgi güvenliği yönetimi konusundaki standartların hayata geçirilmesi, bu bağlamda uygulanması gereken en önemli adımlardandır. Güvenlik birçok küçük parçanın bir araya gelmesiyle oluşan bir bütündür. Bu bütün bir zinciri oluşturan halkalar ile tarif edilebilir. Bu durumda bir zincirin sağlamlığı en zayıf halkasının sağlamlığı kadar olacaktır.

Evinde bireysel olarak kendi kullandığı kablosuz ağın ayarını yapar gibi çalıştığı kurumun kablosuz ağ ayarlarını yapan bir çalışan, aslında kurum içinde geliştirilmemiş bir güvenlik kültürünün ve uygulanmayan bir güvenlik standardının kurbanı sayılabilir.  Bunun bir sonucu olarak sadece birey değil, kurum da bu durumdan zarar görecektir. Güvenlik kültürünün kurum içinde bireylerin güvenlik kültürünün baz alınarak, hiçbir standart ve bilgi güvenliği yönetimi sistemine dayandırılmadan oluşturulması kurumlar için bir zafiyet oluştururken, saldırganlar için ise büyük fırsatların kapısını aralamaktadır.

Kaynak :  www.bilgiguvenligi.gov.tr

Gökhan Muharremoğlu, Lostar Bilgi Güvenliği A.Ş.