Siber Güvenliğimiz Test Edildi

Özgür Çetin

10 Şubat 2012

Siber saldırılar günümüz teknoloji dünyasında önemli sorunlarından biri. Artık ülkeler bile birbirlerine siber alemde savaş açabiliyor. Bu tip saldırılardan en ilginci ise İran ve İsrail arasında yaşanmıştı. 

Günümüzde siber saldırılar hem bireysel hem kurumsal anlamda çok ciddi sorunlar oluşturabiliyor. Bu sorulardan bazıları çok büyük maddi/manevi kayıplara da sebep oluyor. İşte bunun engellenmesi ve mevcut siber güvenliğin test edilmesi için BTK (Bilgi Teknolojileri ve İletişim Kurumu) tarafından geçen yıl bir tatbikat düzenlendi.

Bu tatbikatta katılımcı kamu kurumları ve özel şirketlerin siber güvenlik sorunları masaya yatırıldı. 3 gün süren tatbikatta konuyla ilgili olarak gerekli çözüm ve tasviyeler de sunuldu.

41 farklı kurumsal katılımcı oldu 

BTK tarafından 25-28 Ocak 2011’de gerçekleştirilen Ulusal Siber Güvenlik Tatbikatı ile ilgili rapor açıklandı. Aralarında kamudan 29, özel sektörden 8, üniversitelerden 3 ve Sivil Toplum Kuruluşları’ndan 1 katılımın olduğu tatbikatta Port Taraması, DDoS saldırısı, Web sayfası güvenlik denetimi, kayıt dosya analizi ve yazılı senaryolar başlıkları altında saldırılar simüle edildi.

Yazılı senaryolar içinde ise çeşitli başlıklarda saldırılar yapıldı. Bunlardan bazıları ise şöyle:

• Kurumun web sayfasının içeriğinin yetkisiz kişiler tarafından değiştirilmesi
• Kuruma başka kaynaktan DDoS saldırısı yapılması
• Kurumdan ayrılan eski bir çalışanın ayrılmadan önce veritabanını silmesi
• Kurumda çalışan personelden telefon yoluyla bilgi çalınması
• İzinsiz yapılan bir kazı neticesinde kurumun internet bağlantısını sağlayan fiber hattının kesilmesi

{pagebreak::2}

Tatbikata katılan şirket, kurum ve kuruluşlar arasında Adalet Bakanlığı, Bankacılık Düzenleme ve Denetleme Kurumu, BTK, Dışişleri Bakanlığı, İçişleri Bakanlığı, PTT, SGK, TÜBİTAK, Avea, Turkcell, Microsoft, TTNET, Türksat, Türk Telekom, Vodafone, Vakıfbank, ANkara Üniversitesi, ODTÜ ve Bilgi Güvenliği Derneği bulunuyor.

Konuyla ilgili olarak 52 sayfalık bir rapor yayınlayan BTK, tatbikat hakkında bilgi verdi. Tatbikat sonuçlarına göre aşağıdaki eksiklikler de gözler önüne serildi:

Bilgi Güvenliği Yönetim Sistemi Eksikliği: Bazı katılımcılarda Bilgi Güvenliği Yönetim Sistemi’nin bulunmadığı ve böyle bir saldırı karşısında de yapacağını bilmediği görüldü.

Sistem Yöneticilerinin Teknik Yetersizliği: Bazı katılımcıların sistem yöneticilerinin yeterli teknik birikime sahip olmadıkları, bunun da çözüm sürecini uzattığı görüldü.

Güncel Olmayan Antivirüs Sistemleri: Bazı katılılımcılarda merkezi antivirüs uygulamalarını düzenli olarak güncellemediği tespit edildi.

Kurum İçi Koordinasyon Yetersizliği: Bazı katılımcılarda kurum içinde birimler arasında koordinasyonun yetersiz olduğu ve personel yedekliliğin de sağlanmadığı, bunun da saldırılara karşı gerekli adımların zamanında atılamamasına sebep olduğu görüldü.

Kablosuz Ağlardan Kaynaklanan Riskler: Bazı katılımcılarda saldırgan tarafından yayıma sunulan kablosuz erişim ağlarının tespiti yapılamadığı ve bunun sonucunda yetkisiz erişim noktası üzerinden hizmet alındığı görüldü.

Port Tarama Saldırılarının Algılanamaması: Bazı katılımcıların porta tarama saldırılarını algılayamadığı görüldü.

{pagebreak::3}

Raporun sonuçları ilgi çekici olsa da aslında uzun yıllardır dile getirilen bir sorunu (bu sorun farklı sektörlerde de yaşanıyor) da gözler önüne seriyor: Teknik donanımlar bir noktaya kadar başarılı olsa da önemli olan insan faktörü. Ayrıca bu tip saldırılar için önceden hazırlanan protokol ve ön çalışmaların da ne kadar önemli olduğu görülüyor.

BTK‘nın tatbikatla ilgili olarak hazırladığı 52 sayfalık rapora bu adresten ulaşabilirsiniz.

:: Türkiye’deki siber güvenlik çalışmalarını yeterli buluyor musunuz?