Blog / Bilgi Güvenliği - 2
Bilgi Güvenliği - 2
Bilgi Güvenliğinde Tanımlar, Yaklaşımlar Ve Teknolojiler - 2 Bilgi Teknolojileri Kullanımında; Güvenirlik, Kesintisizlik ve Sürdürülebilirlik.
Dr. Mustafa Kemal AKGÜL
Giriş
Değerli okuyucular, geçen sayımızda bilgi güvenliğinde yeni tanımlar, yaklaşımlar ve teknolojiler konusuna değinmiş; bilginin değer olması, bilişim saldırganlığı ve nedenleri, saldırı yöntemleri, bilgi güvenliği yönetim sistemlerini açıklamaya çalışmıştık. Bu sayımızda bilgi güvenliği yönetim sistemleri konusuna, ülkelerin ve kuruluşların bilgi güvenliği ekseninden bakacağız. Bu bakışımız içinde Dünya’da genel kabul görmüş bilgi güvenliği yaklaşımı, politikaları ve bunların oluşma gerekçeleri üzerinde duracağız. Daha önceki yazılarımızda da değindiğimiz gibi, bilgi teknolojileri uygulamalarının her alanı başlı başına bir uzmanlık gerektirmektedir ve bu sayfalarda genel okuyucu kitlesi göz önünde bulundurularak, uzmanlık seviyesinde bilgi vermek yerine bilgi teknolojilerini kullanan okuyuculara konunun önemine dikkat çekebilmek, belki biraz konuya merak uyandırabilecek kadar bilgi aktarmayı amaçlamaktayız. Okuyucuya ana hatları ile aktardığımız bu bilgilerin daha ayrıntılı biçimlerine internet ortamında kolayca erişebilmek her zaman mümkündür.
Yazımızı bilgi güvenliğinin kurgusu, yol haritası, yöntemleri, bilgiyi korumanın maliyeti konularıyla sürdürecek, son olarak Dünya’daki bilgi güvenliği çalışmalarından, uygulamalarından geride kalmamak için neler yapılması gerektiğini açıklayan öneriler ile yazımızı tamamlayacağız.
Evrensel Olarak Kabul Gören “Bilgi Güvenliği” Değerleri
Haberleşme Hakkı ve Kişisel Bilgilerin Korunması
Dünya’da insan haklarının yazılı belgelerle ifade edilmesi 18. Ve 19. Yüzyıllarda başlamıştır. Fransa ve Amerika Birleşik Devletlerinin kuruluş anayasalarında vatandaşlık haklarının temel unsurlarına değinildikten sonra özellikle, ifade ve haberleşme özgürlüklerine vurgu yapılmaktadır. Gelişmiş ve demokratik yönetimleri benimsemiş ülkelerde haberleşme hakları daha da geliştirilerek yasalarla güvence altına alınmıştır. (1)
Ülkemizde de tarihsel süreç içinde yapılmış olan Anayasaların tümünde (1920, 1961 ve 1982 ) vatandaşların “..haberleşmesine keyfi olarak karışılamayacağı…” vurgusu yapılmaktadır. Benzer biçimde yürürlükte olan Anayasamızda da “Herkesin düşünce ve anlatım özgürlüğüne hakkı vardır. Bu hak düşüncelerinden dolayı rahatsız edilmemek, ülke sınırları söz konusu olmaksızın, bilgi ve düşünceleri her yoldan araştırmak, elde etmek ve yaymak hakkını gerekli kılar.” denilmektedir. (Anayasa Madde 12 ve 19) (2)
Anayasamızın 22. Maddesi ise haberleşme hürriyetini ve gizliliğini güvence altına almıştır. (2)
Bu kaynaklardan görüldüğü üzere; bilgilenme, bilginin basılması yayılması sağlayan haberleşme bütün Dünya’da evrensel kabul görmüş bir temel vatandaşlık hakkıdır. Günümüzde insanların haberleşmesi, yoğun olarak bilgisayar ağları ve cep telefonları marifetiyle yapılmaktadır. Bu gelişmeler ve değişimler göz önüne alındığında, devletlerin vatandaşlarının “bilgi güvenliğini” sağlamakta önemli ve vazgeçilmez görev ve sorumlulukları olduğu açıktır.
Haberleşmede sürekliliğin sağlanması ile kişisel bilgilerin korunması konusunu birçok devlet işbirliği halinde birbirlerine benzer yöntemlerle sağlamaktadır. Bunlardan en önemlileri;
· Bu konuları düzenleyici yasaların çıkartılması,
· Ülke bilişim ağı alt yapısının güçlendirilmesi,
· Konuya ilişkin donanım ve yazılım geliştirmelerin teşvik edilmesi,
· Uluslararası boyutta işbirliğine gidilmesi.
Çizelge 1. Kişisel Bilgilerin Korunması Kapsamında Uluslar arası Düzeyde Yapılan Çalışmalar
|
Devletlerarası kuruluş
|
Başlıca çalışmaları
|
|
Birleşmiş Milletler
|
· Birleşmiş Milletler tarafından 1948’de kabul edilen İnsan Hakları Bildirgesi aile hayatı, ev ve iletişim mahremiyetini temel hak sayarak güvence altına almıştır.
· 1990’daki Çocuk Hakları Bildirgesi de çocukların mahremiyetini güvence altına almıştır.
· 1990’da bilgisayarlardaki kişisel veri dosyaları ile ilgili Rehber İlkeler, bilişim dünyasında veri koruma anlamında bazı temel ilkeleri belirlemiştir.
|
|
Avrupa Konseyi
|
· 1950’de Avrupa İnsan Hakları Bildirgesi mahremiyetin korunmasını bir temel hak olarak kabul etmiştir.
· Elektronik veri tabanlarının yaygınlaşması sonucunda 1973’teki bildirge ile bireylerin korunma altına alınmasına yönelik adım atılmıştır.
· 1981’de “Kişisel Verilerin Otomatik Olarak İşlenmesi Sırasında Gerçek Kişilerin Korunmasına İlişkin Sözleşme” ilk uluslararası bağlayıcılığı olan belge olarak ortaya konmuş ve veri koruma ile sınır ötesi veri transferi konusunda temel ilkeler belirlenmiştir.
|
|
OECD
|
· 1969’dan itibaren çalışma grupları mevcuttur.
· 1980’de sınır ötesi kişisel veri transferi ve bireylerin mahremiyet ve haklarının korunması konusunda rehber ilkeler yayımlamıştır. Söz konusu belgenin güncellenmesi için çalışmalar yapılmaktadır.
|
|
APEC
|
· Belli veri koruma ilkeleri çerçevesinde APEC Mahremiyet Çerçevesi ile 2004’te üye ülkeler arası uyum artırılmaya çalışılmıştır.
· 2007’deki APEC Data Protection Pathfinder ile APEC üyesi ülkeler arasında kişisel veri transferi konusunda bir sistem kurulmuştur.
· 2010’daki APEC Cross-Border Privacy Enforcement Arrangement ile birlikte ulusal kurumlar arası işbirliğinin artırılması hedeflenmiştir.
· 2012’deki APEC Cross-Border Privacy Rules System ile “Safe Harbor” uygulamasına benzer, gönüllü bir sertifikasyon sistemi kurulmuştur.
|
Son yıllarda ise hem teknolojik gelişmelerin getirdiği yeni belirsizliklerden hem de uluslararası veri transferinin büyük oranda artması ile birlikte üye ülkeler arasındaki mevzuat uyumsuzluğu daha ciddi bir sorun olarak ortaya çıkmasından ötürü Veri Koruma Reformu çalışmaları yapılmaktadır. Bu çalışmaların amacı bütün Avrupa içerisinde geçerli olacak tek bir düzenleme olması ve “unutulma hakkı” olarak tanımlanan; kendisi hakkındaki kişisel verilerin silinmesini isteme hakkı gibi bazı güncel çözümler getirilmesidir. Bu yönde bir taslak ortaya çıkmış, 2014 yılında kabul edilmesi ve 2016 yılında yürürlüğe girmesi beklenmektedir.
Ülke Boyutundan, İnsan Boyutuna Değin Uzanan Bir Bilgi Güvenliği Sorunu
Günümüzde, dünyada 400 milyon civarında İnternet´e bağlı bilgisayar, 1 milyarı aşkın İnternet kullanıcısı, 100 milyona yakın web sitesi olduğu tahmin ediliyor. Türkiye açısından bakıldığında bu rakam 15 milyona ulaşmış durumda; buradan İnternetin, olmazsa olmazlarımızın içine girmiş olduğunu çıkarabiliriz.
Mevcut kişisel veri miktarının artışı, işlenmesinin kolaylaşması ve yeni inceleme yöntemlerinin gelişmesi ile birlikte yeni iş modelleri gelişmiştir. Potansiyel müşterilerin hareketlerinin takip edilmesi, alışkanlıklarının öğrenilebilmesi ve analiz edilebilmesi mümkün hale gelmektedir ve daha etkin reklamcılık yapma imkânları doğmaktadır. Bunların yanı sıra bazı teknolojiler de verilerin toplanması ve saklanmasına dair kişisel bilgilerin korunması anlayışına değişik boyutlar katmaktadır. Söz konusu yeni kullanım alanları ve başlıca teknolojileri şöyle sayılabilir:
§ Çevrimiçi davranışsal reklamcılık
§ Sosyal ağlar
§ Mobil cihazlar ve yer bilgisi
§ Bulut bilişim
Çevrimiçi davranışsal reklamcılık, bireylerin internet kullanırken “cookie” olarak adlandırılan dosyaların yardımı ile gezdiği sitelerin takip edilmesi, bu verilerin analiz edilmesi ile kullanıcı profilleri oluşturulması ve reklamcılara bu profillere göre daha isabetli reklam fırsatı tanınması üzerine kurulmuştur
Görüldüğü gibi internet´i kullanarak birçok işimizi halletmekteyiz; Bu durumlarda güvenlik açısından önlemler almamız gerekir çünkü İnternet ortamında casus yazılımlar veya kimlik bilgilerinizin çalınması, kullanılmaya çalışılması gibi durumlarla karşı karşıya kalma ihtimalimiz oldukça yüksektir.
Kişisel verilerin güvence altına alınması, bu anlamda kişilerin çekincelerini rahatlatarak bireylere dair verilerin ekonomik ve sosyal anlamda etkin bir şekilde kullanılmasının da önünü açmaktadır. 2010 yılında yapılan Eurobarometer araştırması Avrupa Birliği vatandaşlarının %62’sinin kendilerini korumak için kişisel verilerini en düşük seviyede paylaştıklarını ortaya koymuştur. Bu kaygılar, örneğin bir hastanın hastalığına dair özel bilgileri paylaşmamasından ötürü doğru tedaviyi alamamasına neden olabilecek, ya da örneğin e-ticaretin gelişmesini kısıtlayabilecektir.
Bilgi Güvenliği Riskinin Uluslararası Boyuttaki Önemi
2000 yılında dünya üzerinde kullanılan cihazların saniyede toplam işlem kapasitesi 0,3 E18 işlem iken, 2007 yılında bu rakam 6,4 E18’e yükselmiştir. GB başına veri saklama fiyatları da 2001 yılından 2008 yılına kadar yılda ortalama %31 düşmüştür. Bunun sonucunda 1986 yılında dünya üzerinde depolanan veri hacmi 3 egzabayt iken 2007 yılında 295 egzabayt yükselmiştir. Bu hızlanma ve ucuzlama ile firmaların ellerinde bulundurdukları veri miktarını hızla artmış ve aralarında ciddi anlamda kişisel verinin de bulunan veri tabanları astronomik boyutlara ulaşmıştır.
Nitekim Dünya Ekonomi Forumu’nun yayımladığı 2013 Küresel Riskler raporu siber saldırılar ve kritik altyapıların aksaması geleceğe yönelik en büyük riskler arasında gösterilmiş, siber saldırılar 2012 raporunda ise dünyayı tehdit eden en büyük beş riskin arasında sayılmıştır (Şekil 1)
Buna karşılık bilgi teknolojilerinin taşıdıkları güvenlik risklerinin azaltılması ve bu teknolojilere olan güvenin artırılması için hem bireyler tarafından, hem de kurum ve kuruluşlar tarafından belli adımlar atıldığını görmekteyiz. Son beş yıl içerisinde pek çok ülkenin ulusal siber güvenlik stratejileri hazırlaması, bu risklere yönelik önlemlerin artırıldığının çok açık bir göstergesidir.
Şekil 1. Dünya Ekonomik Forumu’nun öngördüğü küresel riskler
Yasal Uyarı
İsfirmarehberi.com´da yer alan kullanıcıların oluşturduğu tüm içerik, görüş ve bilgilerin doğruluğu, eksiksiz ve değişmez olduğu, yayınlanması ile ilgili yasal yükümlülükler içeriği oluşturan kullanıcıya aittir. Bu içeriğin, görüş ve bilgilerin yanlışlık, eksiklik veya yasalarla düzenlenmiş kurallara aykırılığından İsfirmarehberi.com hiçbir şekilde sorumlu değildir.
Tüm Hakları Saklıdır © 2025 - İşfirmarehberi.com
