Bilgi Güvenliği ve Risk Yönetimi – 1. Bölüm

Günümüz toplumlarında bilgi en büyük güç haline gelmiştir. Bilgiye sahip olan kişi, grup, şirket veya ülkeler güce de sahip durumdadır. Çok büyük savaşlar bilgi (enformasyon, istihbarat [intelligence]) sayesinde  kazanılır ya da kaybedilir. Bu nedenle her ülke kendi istihbarat teşkilatını kurmuştur.

Ülkemizde; Yıldız İstihbarat Teşkilatı, Teşkilat-ı Mahsusa, Milli İstihbarat Teşkilatı, yurt dışında da; CIA, KGB, MI5 örnek olarak verilebilir. Bu teşkilatlar bir taraftan istihbarat faaliyetlerinde bulunurken, diğer taraftan rakip istihbarat servislerini yanıltmaya yönelik dezenformasyon faaliyetlerinde bulunurlar. Tarih de istihbarat faaliyetleriyle kazanılan/kaybedilen savaş örnekleriyle doludur. Bunlardan en meşhuru, pek çoğumuzun daha önce ismini duymuş olduğu Enigma şifrelerinin çözülmesi sayesinde 2. Dünya Savaşı’nda Almanlar’ın mağlup edilmesidir. Enigma, 2. Dünya Savaşı sırasında Nazi Almanya’sı tarafından kullanılan elektro-mekanik bir şifreleme cihazıydı. Almanlar, kendi aralarındaki haberleşmeyi bu cihaz tarafından şifrelenen mesajlarla sağlıyorlardı. Savaşın ilerleyen safhalarında kimilerine göre şifrenin çözülmesiyle, kimine göre de cihazın bir örneğinin İngilizlerin eline geçmesiyle çözülebilir hale gelmiştir.

 

Büyük şirketler, ürettikleri ürünün içeriğini, içindeki maddelerin oranlarını ve yapılış şeklini içeren formülleri gizli tutarak ürünlerinin kopyalanmasının önüne geçmeye çalışmakta. İlk aklımıza gelen örnek dünyaca bilinen bir gazlı içecek üreticisinin, ürettiği içeceğin formülünü yıllarca gizlemesidir. Bunun yanında biliyoruz ki ilaç firmaları, Ar-Ge süreçlerinde kullandıkları bileşenlerin isimlerini kod isimlerle anıyorlar. Böylece Ar-Ge safhasındaki ürünün henüz patenti alınmamışken rakiplerin eline geçmesi önlenmektedir. Bilgi doğrudan veya dolaylı olarak nakite çevrilebilir konuma gelmiştir. Örneğin bir şirket, katılacağı kapalı zarf usulü yapılacak bir ihalede rakip şirketlerin vereceği teklifleri öğrenebilirse, bu teklife göre pozisyon alabilir ve ihaleyi kazanarak önemli bir maddi kazanç sağlayabilir. Bunu bilginin dolaylı kullanımına örnek olarak gösterebiliriz.
Diğer taraftan, hepimizin malumu olan internet üzerinde kredi kartı bilgilerinin topluca satılması ise doğrudan nakite çevrilebilir bilgi örneğidir.
Bilginin Tanımı: Bilgi, bilgi, bilgi… Peki nedir bu bilgi? Türk Dil Kurumu bilgiyi “Kurallardan yararlanarak kişinin veriye yönelttiği anlam”  olarak tanımlar bilişim sözlüğünde. Biraz bulanık mı kaldı bu tanım? Gelin biz bu tanımı biraz daha açalım. Bilgi, anlamlandırılmış veri bütünüdür. Şöyle bir örnekle açıklayalım; aşağıdaki veri satırlarına diğerlerini görmeden tek tek bakalım.
Satırları tek tek düşünürsek anlamsız bir sayı, 4lü bir sayı dizisi, bir isim ve yine bir sayı dizisi görünüyor. Gelin bunu bir de aşağıdaki şekilde düşünelim;

Şimdi daha mantıklı görünüyor değil mi? Bir veritabanından bir satır. Ahmet Canpınar isimli müşterinin TC Kimlik Numarası 12345678901, kredi kartı numarası 1111-2222-3333-4444 ve cep telefonu numarası (599) 888 77 66. Bir üst satırda anlamsız gibi görünen VERİ ler bir araya geldiğinde anlamlı bir veri topluluğunu, yani BİLGİ yi oluşturdu. Başka bir örnek olarak aşağıdaki 1-0 sayı dizisini ele alalım; 01110010011010010111001101101011001000000111100101101111011011100110010101110100011010010110110101101001 Bu tek başına bakıldığında anlamsız duran 1’ler ve 0’lardır. Biz buna anlam katarsak, yani bunun aslında bir metnin binary (ikili) biçime dönüştürülmüş hali olduğu anlamını yüklersek bu sayıların arkasındaki gerçek manaya yani bilgiye ulaşırız. Burada saklanmış bilgiyi elde etmek için bu binary değerin ASCII karşılığını bulmak yeterli olacaktır.

Bilginin Korunması: Madem bilgi çok önemli bir şeydir, korunması da gereklidir. Bir şeyi korumak için öncelikle ona bir değer biçmek gerekir. O şeyin değeri ölçüsünde koruyucu önlemler alınır ve korunur. Alınan önlemler, bu şeyin değeriyle orantılı olur. Örneğin 10.000 liralık bir mücevheri korumak için maliyeti 15.000 lira tutan alarm, kasa, kamera gibi güvenlik önlemleri almayız. Bu durumda öncelikle koruyacağımız şeylerin, yani varlıkların değerini belirlemeliyiz. Bunu yapmadan önce aşağıdaki tanımlara kısa bir göz atalım;

Varlık : Kurum için değeri olan her şeydir. Söz konusu olan bilgi olduğuna göre tanımımızı bilgi varlıkları olarak özelleştirebiliriz. Bu durumda bilgi varlıklarına örnek olarak şunları verebiliriz;

  • Veritabanları
  • Dosya sunucular
  • Basılı evraklar
  • İnsan kaynağı
  • Web siteleri
  • CD/DVD/Kartuş vb tüm yedekleme ürünleri

 

Varlık Envanteri : Risk yönetimi yapılırken ilk yapılacak iş varlık envanterinin oluşturulmasıdır.  Kurumun sahip olduğu tüm bilgi varlıklarının yer aldığı listedir. Bu liste sadece varlıkların adını içermez. Bununla birlikte varlığa ilişkin, en azından aşağıdaki bilgiler de bu envanterde yer almalıdır.

  • Varlığın yeri : Bulunduğu konum (Örn. Dosya sunucu)
  • Varlığın iş sahibi : Varlığı kullanan kişi/birim (Örn. Pazarlama bölümü)
  • Varlığın teknik sahibi : Varlığın teknik yönetimini yapan kişi/birim (Örn. Bilgi işlem bölümü)
  • Varlığın sınıfı : Varlığın kurum için gizlilik seviyesini gösterir (Çok gizli, gizli, özel, tasnif dışı gibi)


Varlığın Değeri Varlıklarımızın neler olabileceğini gördüğümüze göre şimdi onlara nasıl değer biçeceğimizi görelim. Varlıkların değerinin hesaplanması o varlığın maddi değeriyle ilgili değildir. Örneğin son teknoloji ürünü, 8 TB diske sahip bir sunucunuz var ve bu sunucuda kurumunuzun hangi şehirde kaç tane şubesi olduğu bilgisi var. Diğer taraftan sadece 30 kuruşa satın aldığınız bir DVD’nin içerisinde tüm müşteri bilgilerinizin yer aldığı veritabanın mevcut tek export’u olduğunu düşünün. Tahmin edebileceğiniz gibi burada 30 kuruşluk DVD’niz sunucunuzdan çok daha kıymetlidir. Peki varlıklarımıza nasıl değer biçeceğiz? Varlıkları değerlendirirken izlememiz gereken yol, Bilgi Güvenliği’ne ilişkin aşağıdaki bileşenlerden herhangi birinin yokluğu durumunda kurumun uğrayacağı; itibari, maddi, hukuki vb. zararları hesaplamaktır. Bunlar ölçüsünde varlıklara değer biçeriz.

Gizlilik (Confidentiality):  Bilginin yalnızca yetkili kişiler, uygulamalar, servisler… tarafından erişilebilir olmasıdır

Bütünlük (Integrity): Bilginin bulunduğu ya da iletildiği ortamda içeriğinin bozulmama özelliğidir.

Erişilebilirlik (Availability) : Bilginin, ihtiyaç duyulduğunda yetkili kişilerce ulaşılabilir olmasıdır.

Risk nedir? Peki bu 3 bileşen nasıl zarar görür? Şimdi bunlarla ilgili tanımlara bir göz atalım sonrasında bu tanımların Bilgi Güvenliği’nin sekteye uğramasında ne gibi bir etkisi olduğunu görelim;

Zafiyet : Bir varlıkta bulunan kontrol eksikliğidir. Örneğin bir işletim sisteminin güvenlik güncellemelerinin geçilmemiş olması bu işletim sisteminde zafiyet olduğunu göstermektedir.

Tehdit : Bir varlığın bilgi güvenliği unsurlarından bir ya da birkaçını hedef alabilecek unsurlardır. Bu yeri geldiğinde bir çalışan, yeri geldiğinde doğal afet ya da hacker olabilir.

Olasılık : Bir tehdidin gerçekleşme ihtimali ya da gerçekleşme sıklığıdır. Risk değerlendirilirken mutlaka göz önünde bulundurulmalıdır. 

Risk : Bir bilgi varlığına yönelik tehdidin ilgili zafiyetten yararlanarak, bilgi güvenliği unsurlarından herhangi birine zarar verme durumudur. Örneğin paratoneri bulunmayan (zafiyet) bir binaya yıldırım düşmesi sonucu (tehdit) binada bulunan sistemlerin aşırı akımdan bozulmasıdır (risk).

Riskin Hesaplanması: Riskin hesaplanmasında farklı yöntemler uygulanabilmektedir. Bu yöntemlerden herhangi biri kullanılarak risk değeri hesaplanır. Aşağıda en çok 2 yöntemi verelim; Risk = Varlık Değeri  X  Olasılık  X  Ort (Erişilebilirlik + Bütünlük + Gizlilik) Risk = Varlık Değeri  X  Olasılık  X  Max(Erişilebilirlik, Bütünlük, Gizlilik) Buradaki hesaplamalarda bazen şu karmaşıklık oluşabilir; risk hesaplanırken hem varlığa yüksek değer verilir hem de riskin etkisinde yüksek değer atanabilir. Bu da riskin yanlış hesaplanmasına neden olabilir. Bunu bertaraf etmek için Varlık değerini, risk etkisini hesaplarken sadece bir kez göz önünde tutabiliriz. Bu durumda risk hesabı şu şekle gelir; Risk = Olasılık  X  Ort (Erişilebilirlik + Bütünlük + Gizlilik) Risk = Olasılık  X  Max(Erişilebilirlik, Bütünlük, Gizlilik) Burada riski kaç üzerinden değerlendireceğimize yani riskin alabileceği maksimum değere karar veririz.

Örneğin riski 100 üzerinden hesaplarsak, olasılığın alacağı değeri ve riskin etkisini 10 üzerinden değerlendirebiliriz. Bu değerlere göre aşağıdaki örnek tabloyu inceleyelim;

Yukarıdaki tabloda Erişilebilirlik, Bütünlük ve Gizlilik değerlerinin ortalaması ile Olasılık değerinin çarpılması ile Risk değerleri elde edilmiştir.

Risk Analizi: Oluşturduğumuz varlık envanterinde bulunan her varlığa yönelen tehditlere yönelik riskler hesaplanır ve bir risk haritası çıkarılır. Çıkardığımız bu risk haritası aynı zamanda bizim risk yönetiminde kullanacağımız yol haritası konumunda olacaktır.

Kabul Edilebilir Risk Seviyesi : Bu seviye, kurumumuzun kontrol  uygulamaya ihtiyaç duymayacağı en yüksek risk seviyesidir. Yukarıdaki örneklerimizde riski 100 üzerinden değerlendirmiştik. Bu değerlendirmeye göre kabul edilebilir risk seviyemizin de 12 olduğunu varsayarsak, 12’nin üzerindeki tüm riskler bizim için indirgenmesi gereken risklerdir.
Risk Yönetimi : Risk haritamızda bulunan her risk için belli bir değerlendirme yapmamız gerekir. Bu değerlendirme aşağıdakilerden biri olmalıdır;

 
  • Riskin indirgenmesi : Kabul edilebilir risk seviyesinin üstündeki riskler için kontroller uygulayarak riskin kabul edilebilir seviyenin altına indirilmesidir. Örneğin virüs bulaşma ihtimali olan sistemlere AV yazılımı kurarak zafiyeti düşürmek.
  • Riskin transferi : Riski indirgemek için herhangi bir işlem yapmayıp bunu 3. taraflara atamaktır. Sigorta yaptırmak buna örnek olarak gösterilebilir.
  • Riskin kabulü : Kabul edilebilir risk seviyesinin altına indirgenmiş bir riski o haliyle kabul etmek ve herhangi bir işlem yapmamak. Örneğin 10. katta bulunan bir sistem odası için sel baskını riskinin olasılığı ve dolayısıyla riski düşük olacağından ek kontrol uygulanmadan kabul edilebilir.
  • Riskten kaçınma : Uygulanan tüm kontrollere rağmen riskin seviyesi kabul edilebilir seviyenin altına inmemesi durumunda ve risk çok yüksekse bu riskten tamamen kaçınılabilir. Örneğin son kullanıcılara taşınabilir bilgisayar verdiğimiz durumda ne önlem alırsak alalım bilgi sızması riski çok yüksekse taşınabilir bilgisayar kullanımından vazgeçebiliriz.

Artık Risk : Yapılan risk analizi ve uygulanan kontroller sonrasında kalan risktir. Risk Yönetimi’nde amacımız artık riskin kabul edilebilir risk seviyesinin altında tutulmasıdır. Risk Yönetimi yaparken bahsettiğimiz tüm bu unsurlar ayrıntılı olarak ele alınıp riskler belirlenir, kontroller uygulanır ve risk değerleri kabul edilebilir seviyenin altında tutularak Bilgi Güvenliği tesis edilir.

Ömer Faruk Altundal

Ağ Güvenliği Çalışma Grubu

Siber Güvenlik Derneği

İstanbul 7 Kasım 2012

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.