İnternetin yaygın olarak kullanılmaya başlamasıyla birlikte Bilişim Sistemlerindeki güvenlik olayları da artmaya başlamıştır. Bilişim sistemlerindeki gizlilik, bütünlük ve sürekliliğin sağlanması için birçok güvenlik ürünü ve projesi geliştirilmiştir ve hala geliştirilmektedir. Bu makalede son zamanlarda bilgi güvenliği araştırmalarında ön plana çıkmış olan iç tehditler, kişisel gizlilik, güvenli yazılım geliştirme, web uygulamaları güvenliği, kablosuz mobil sensör ağ güvenliği, RFID güvenliği, siber güvenlik, endüstriyel sistemlerin BT güvenliği konuları ele alınmıştır.

Bilgisayar ağlarının yaygın olarak kullanılmaya başlamasıyla birlikte bilgisayar güvenlik olayları da yaşanmaya başlanmıştır. Bilgisayar olaylarının kısmına bilinçsiz kullanıcıların neden olmasına karşın bir kısmına da bilerek sisteme zarar vermek isteyen kötü niyetli kişiler neden olmaktadır.  1980’li yıllarda bilgisayar haberleşmelerinde TCP/IP protokol ailesi dünya çapında kabul görmüş ve internet bu protokolü aracılığı ile yaygınlaşmıştır. İnternetin yaygınlaşması ile bilgisayar haberleşmelerindeki atakların sayısı ve çeşidi de artmıştır [1]. Bu ataklar karşısında kimlik doğrulama, yetkilendirme, antivirüs programları gibi güvenlik çözümleri geliştirilmeye çalışılmıştır. İlk çıkan ataklar daha çok basit kod yürütme, parola tahminleri gibi etkisi ve olasılığı düşük ataklar olmasın karşın süreç içerisinde atakların karmaşıklığı ve etkileri artmıştır. Buna karşın bu atakları kullanabilmek için gereken bilgi düzeyi düşmüştür. Çünkü bu bilgiler çoğunlukla internet üzerinden kontrolsüz olarak yayılmıştır. Şekil 1’de atakların zaman göre değişimleri, etkileri ve onları kullanabilmek için gerekli bilgi düzeyi görülmektedir [3].  

Şekil 1 Atakların gelişimi

İnternet ortamında bilişim sistemlerine ilk büyük zararı Robert Morris tarafından yazılmış olan internet kurtçuğu (worm) vermiştir. 1988 yılında ortaya çıkan ve bilgisayar başına 200-5300$ arasında zarar veren internet kurtçuğu internete olan güveni sarsmış ve interneti kullanan ve kullanmayı düşünenler üzerinde olumsuz etkiler yaratmıştır [1,2]. İnternet kurtçuğunun çok büyük zararlar vermesi sonucu bilgisayar olaylarına müdahale etmek, bilgisayar olayları ve onların etkileri konusunda kullanıcıları bilinçlendirmek için Bilgisayar Olaylarına Müdahale Takımı (Compute Emergency Response Team - CERT) kurulmuştur[9]. Bu tür önleyici ve kısa zamanda müdahale etmeyi sağlayan mekanizmalar geliştirilmesine karşın atak yapanlar hala bilgi sistemlerine ciddi zararlar vermektedir.

Bilgisayar zararlı yazılım ve ataklarına karşı proaktif önlemler alınması ve bu sistemlerde güvenliğin sağlanması için birçok kuruluş ve ülke tarafından çok sayıda araştırma geliştirme projesi yapılmış ve hala yapılmaktadır. Bu projeler sonucunda bilgisayar sistemlerinde kullanılan antivirüs yazılımları, güvenlik duvarları, VPN yazılım/donanımları, saldırı tespit ve önleme sistemleri, içerik kontrolcüler, merkezi yönetim yazılımları geliştirmiştir. Geliştirilen bu teknik çözümlere paralel olarak bilişim sistemlerinin güvenli olarak tasarlanmasını ve yönetilmesini sağlayacak standartlar ve çerçeveler de geliştirmeye çalışılmıştır [4,5].

Günümüzde BT güvenliği araştırma geliştirme projelerine hem çok büyük bütçeler hem de büyük iş gücü ayrılmaktadır. Çok büyük bütçe ve insan kaynağı ayrılmasının başlıca nedenleri internetin insan hayatında vazgeçilmez bir araç olması, e-devlet, e-ticaret, e-sağlık, e-eğitim, askeri, iletişim, araştırma, eğlence gibi birçok uygulama için çok etkin ve ekonomik çözümler sunmasıdır. Ülkeler ve şirketler bilgisayar güvenliği alanlarındaki uygulamaları kendi ülkelerinde kullanmanın yanında diğer ülkelere satarak hem teknolojik hem de ekonomik olarak pazarda öne geçmek istemektedirler. Avrupa birliği 2007-2013 yılları arasında desteklenecek olan 7. Çerçeve programları kapsamında 32365 milyon Euro olan toplam bütçenin %32’sini güvenlik ve bilgi iletişim teknolojileri alanlarındaki araştırma geliştirme projelerini desteklemek için ayırmıştır[6].     

Son yıllarda bilişim güvenliği ve bilgi iletişim teknolojileri alanında çok sayıda araştırma geliştirme projeleri yapılmasına karşın bu makalede, bunlar içerisinde ön plana çıkmış olan iç tehdit, kişisel gizlilik, güvenli yazılım geliştirme, web uygulamaları güvenliği, kablosuz mobil sensör ağlar ve RFID güvenliği, siber güvenlik, endüstriyel sistemler BT güvenliği konuları ele alınmış ve söz konusu araştırmaların gelecekteki yönü ile ilgili değerlendirmelere yer verilmiştir.

BİLİŞİM TEKNOLOJİLERİ GÜVENLİĞİ TRENDLERİ

İç Tehdit

Bilgi güvenliği tehditleri arasında, organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz iç tehditler çok önemli bir yer tutmaktadır. Bilinçli tehditler iki kategoride ele alınabilir. Birinci kategori, organizasyonda çalışan kötü niyetli bir kişinin kendisine verilen erişim haklarını kötüye kullanmasını içerir. İkinci kategori ise bir kişinin başka birine ait erişim bilgilerini elde ederek normalde erişmemesi gereken bilgilere erişerek kötü niyetli bir aktivite gerçekleştirmesini kapsar. Veritabanı yöneticisinin, eriştiği verileri çıkar amacıyla başka bir firmaya satması ilk kategoriye verilecek örnektir. Veritabanı yöneticisi olmayan ve normalde veritabanına erişim hakkı bulunmayan birisinin erişim bilgilerini bir şekilde elde ederek verileri elde etmesi ve bunu çıkarı için kullanması ikinci kategoriye örnektir.  CSI (Computer Security Institute) tarafından yapılan ankete göre katılımcıların %44’ü 2008 yılı içerisinde iç suistimal yaşamışlardır [7]. Söz konusu oran, iç suistimallerin %50’lik virüs tehdidinden sonra ikinci büyük tehdit olduğunu göstermektedir. Bu tür suistimallerin tespitinin zor olduğu ve çoğunlukla organizasyon dışına bu konuda çok bilgi verilmek istenemeyebileceği de düşünülürse aslında %44’lük oranın daha büyük olduğu düşünülebilir. Anket çalışmasında, suistimal tabiri ile sadece bilinçli oluşan iç tehditlerin kastedildiği anlaşılmaktadır.

İç tehditlerin tespit edilmesi ile ilgili yapılan araştırmalar, çoğunlukla yapay zeka temelli çözümleri içermektedir. Bu çözümlerde kullanıcıların normal davranış profillerinin, kullandıkları işletim sistemi komutlarından, farklı sistem bileşenleri üzerinde oluşturdukları kayıtlardan (web erişimi, veritabanı erişimi v.b) ya da kullanıcı programlarının işletim sistemleri üzerindeki erişim işlemlerinden (windows registry erişimleri gibi) yola çıkılarak tespit edilmesi sağlanır. Daha sonra günlük faaliyetlerinin bu profillere uyum sağlayıp sağlamadığı kontrol edilir [9]. Bu çalışmalar, özellikle başkasının erişim bilgisini elde eden kötü niyetli kişilerin tespit edilmesi konusunda daha başarılıdırlar. Çünkü erişim bilgisi bir şekilde çalınsa bile, bilgisi çalınan kişinin erişim profilini bilmek ve buna uygun hareket ederek sisteme erişmek kolay değildir. Söz konusu çalışmalar, bizzat kendi erişim haklarını suistimal eden kişileri yakalamada çok etkin değildirler. Bu tür kişilerin faaliyetlerinin tespit edilmesi önemli bir araştırma alanıdır.

İç tehditler çoğunlukla uygulama seviyesinde oluşmaktadır [9]. Bunun sebebi, iç tehditlerin önemli bir kısmını bilişim alanında detaylı teknik bilgi sahibi olmayan kişilerin oluşturmasıdır. Söz konusu kişiler, çoğunlukla teknik saldırı yöntemlerini kullanmadan uygulamaların kendilerine verdiği haklar kapsamında ya da başka kişilerin erişim bilgilerini sosyal mühendislik yöntemleri ile ele geçirerek uygulamaları su-istimal ederek hedeflerine ulaşmaktadırlar. Dolayısıyla, iç tehdit tespit metotları uygulama kayıtlarını kullanma üzerine yoğunlaşmaktadırlar. Bu gerçek, ağ katmanı ve diğer katmanda tutulan sistem kayıtlarının bu tür tehditlerin tespiti kullanımında tamamen devre dışında kaldığı anlamına gelmez. Tespit sistemleri, gerekli durumlarda uygulama kayıtları ile diğer kayıtları ilişkilendirmektedirler.

İç tehdidin tespit edilmesinde son zamanlarda kullanılan en önemli yöntemlerden birisi de organizasyon için kritik olan bilgilerin tanımlarının yapılması, bu bilgilerin akışının ve depolanmasının tanımlar kapsamında kontrol edilmesidir [11].  Bunu gerçekleştiren tespit sistemleri veri kaçağı önleme olarak ele alınmaktadır. Örneğin, bir organizasyonun İnternet çıkışı üzerinde akan bilginin içeriğinde kontrolsüz bir şekilde T.C kimlik numaralarının var olup olmadığının kontrol edilmesi bu tür sistemlerle sağlanabilir. Son zamanlarda bu konuda ticari ürünler geliştirilmiştir. Ürünlerde halihazırda kullanılan kritik bilgi tanımları çok fazla yanlış alarm üretilmesine neden olabilmektedir. Dolayısıyla, kritik bilgilerin içeriğinin yazı madenciliği yöntemleri ile ayırt edilmesi önemli araştırma konularından birisidir [12].

Kişisel Gizlilik

Kişisel gizlilik, bir kişinin ya da bir grubun kendilerine ait bilginin kimlere ve hangi şartlar altında iletileceğinin bizzat o kişilerin/grubun onayı ile gerçekleştirilmesi anlamında kullanılmaktadır. Kişisel gizliliğin sağlanması iki farklı durumda da gerçekleştirilmelidir [13]. İlk durum, kişisel verilerin kişilere ait bilgi sistemlerinde bulunduğu esnada tüm tehditlere karşı korunmasıdır ki bu anlamda herhangi bir bilginin korunması için geçerli tedbirler uygulanır. Bu tedbirler, erişim denetimi, yetkilendirme, sürekliliğin sağlanması gibi konuları içerir. İkinci durum ise kişisel verinin bir başka sistemle ihtiyaç dahilinde paylaşılmasında uygulanacak güvenlik tedbirlerini kapsar. Bu tedbirler, verinin içeriğinin kişi tarafından paylaşılması onaylanmamış kısmının filtrelenmesi, filtrelenmiş verinin ilgili sisteme güvenli aktarımı ve söz konusu verinin sadece veri sahibi kişiler tarafından onaylanmış organizasyonlarla paylaşılmasını içerir.

Kişisel gizlilik ile ilgili araştırmalar genellikle ikinci başlık üzerine yoğunlaşmıştır. Bu kapsamdaki çalışmalar literatürde verinin kişisel gizliliğinin korunarak yayınlanması (privacy preserving data publishing) adıyla ele alınmaktadır [14]. Bu metodlar, verilerin hiç bir şekilde sahibi ile sahibinin kritik bilgilerini eşleştirmeyecek şekilde anonimliğini sağlayarak iletilmesini gerçekleştirmeye yöneliktir. Örneğin, hastaneler araştırma projeleri için araştırma merkezleri ile hasta verilerini paylaşabilmektedirler. Burada paylaşılan bilgilerden,  spesifik olarak herhangi bir kişinin hangi hastalığa sahip olduğuna araştırma merkezinin ulaşamaması beklenmektedir. Bu soru, sadece veri içerisinde kişiyi tekil olarak belirleyebilen T. C. kimlik numarası, isim ve soyisim gibi bilgilerin çıkarılması ile çözülememektedir [15]. Kişilere ait cinsiyet, adres gibi veriler de çoğunlukla spesifik olarak bir kişiyi tespit etmede yardımcı olmaktadır. Yapılan çalışmalarda, bu tip veri kısımlarının da kişisel gizliliği sağlayacak şekilde genelleştirilmesi (generalization) ya da silinmesi (suppression)   sağlanmaktadır. Aslında verilerde bu tür işlemler, veri kalitesini düşürmektedir. Şu andaki ve gelecekteki çalışmalar çoğunlukla kişisel gizlilik ölçüm metriklerinin belirlenmesi, bu metriklere uyacak şekilde verinin olabilecek maksimum kalitede paylaşılabilmesine olanak sağlanması üzerinde yoğunlaşacaktır. Söz konusu metriklerin belirlenmesinin, sadece bilgisayar mühendislerinin değil, sosyoloji, psikoloji, hukuk alanlarında çalışanlarla yapılabilecek disiplinler arası çalışmalarla mümkün olabileceği değerlendirilmektedir.

Bilgi güvenliği araştırmalarında en önemli problemlerden birisi, araştırmacıların yeterli ve gerçek test verisi bulamamalarıdır. Bu durum, sistem işleten organizasyonların kurum mahremiyeti açısından sistem verilerini paylaşmaması sebebiyledir. Verilerin kurum mahremiyetini de sağlayarak paylaşılabilmesi için ortaya konabilecek araştırmaların yakın gelecekte artacağı ve bu çalışmaların bilgi güvenliği alanının geneline de çok fayda getireceği öngörülmektedir.

Güvenli Yazılım Geliştirme

Yazılımlarda oluşan güvenlik açıklıklarının temel sebebi yazılım geliştirme döngüsü içerisindeki her adımda güvenliğin göz önüne alınmaması olarak görülmektedir. Gereksinim analizi aşamasında güvenlik gereksinimlerinin üzerinde durulmaması, yazılımın tehdit modellemesinin yapılmaması, yazılım testlerinin fonksiyonellik yanında güvenlik testlerini de içermemesi en temel problemlerdir [16]. Yazılımların kaliteli olarak geliştirilmesi amacıyla CMMI (Capability Maturity Model Integration) gibi standartlar ortaya konmuştur ama bu standartlara uyularak geliştirilen yazılımların güvenliği konusunda herhangi bir güvence oluşmamaktadır. Güvenli yazılım geliştirme döngüsü oluşturma ile ilgili standartlar geliştirilmektedir. Microsoft tarafından geliştirilen SDL (Security Development Lifecycle) metodu [17] ve OpenSAMM [18] metodolojisi bu tür standart çalışmalarına örnektir. Bu alandaki çalışmaların daha olgunlaşarak devam etmesi beklenmektedir.

Web Uygulamaları Güvenliği

HTTP protokolü ilk tasarlandığında sadece statik web sayfalarının gösterimi amaçlanmıştır. Sonraları dinamik sayfalar da bu protokol kapsamında iletilmiş ve günümüzde internet bankacılığı gibi karmaşık ve kritik sistemlerin üzerine bina edildiği bir protokol haline gelmiştir. Protokol baştan güvenlik düşünülerek tasarlanmadığı için özellikle protokol kapsamında birçok güvenlik açıklığı ortaya çıkmış ve bu açıklıkları kapatmak adına çözümler üretilmiştir. Web uygulamalarının İnternet üzerindeki en kritik sistemlerin temelini oluşturması ve http protokolünün güvenli olmayan altyapısı sebebiyle saldırganlar, web uygulamalarını çokça hedef almaktadır. IBM’in 2008 risk raporuna göre 2008 yılı içerisinde çıkan güvenlik açıklıklarının %55’i web uygulamaları ile ilgilidir [19]. Web uygulamaları açıklıklarının önemli bir kısmını da siteler arası betik yazma (cross-site scripting), sql-enjeksiyonu (sql-injection) ve dosya içerme (file include) açıklıkları oluşturmaktadır. Özellikle açıklık arama ile ilgili araştırma yapanlar web uygulamaları açıklıkları üzerinde yoğunlaşmışlardır ve yoğunlaşmaya devam edeceklerdir.

Kablosuz Mobil Sensör Ağlar ve RFID Güvenliği 

Kablosuz mobil sensör uygulamaları özellikle çevre gözleme, gözetleme, askeri aktiviteleri izleme, akıllı ev uygulamaları ve yardımcı yaşama desteği alanlarında yaygın olarak kullanılmaktadır. RFID sistemler ise ürün tedarik zincirinin işleyiş kalitesinde, otoyol gişeleri,  alışveriş merkezleri gibi sürekli yoğunluk problemi olan yerlerde, kimlik ve güvenli geçiş uygulamalarında, takip uygulamalarında (öğrencilere, mahkûmlara, hayvanlara, vb.), envanter yönetimi uygulamalarında başarılı olarak kullanılmaktadır.

Bu teknolojilerin her ikisi de iş odaklı geliştirildikleri için iki teknoloji için de güvenlik problemi ikinci planda kalmıştır. Kablosuz mobil sensör ağlarının güvenliği, sensör ağların güvenlik engelleri, sensör ağların gereksinimleri, ataklar ve savunma önlemleri olmak üzere dört kategoride ele alınmaktadır [20].

Kablosuz mobil ağ sensörlerinin güvenlik engelleri aşağıdaki gibi verilebilir:

• Sınırlı güç tüketimi, bellek ve saklama alanı,

• Genel yayın olması, çarpışma ve gecikmeden dolayı güvenirliği düşük haberleşme,

• Merkezi olarak yönetilse bile fiziksel tehditlere açık olması

Taşıdığı önemli bilgilerlerden dolayı kablosuz mobil sensör ağlarında veri gizliği, veri bütünlüğü, süreklilik, verilerin tazeliği, kendi kendine organize olma, zaman sekronizasyonu, güvenli yerleşim ve kimlik doğrulama güvenlik gereksinimleri mevcuttur. 

Kablosuz mobil sensör ağları servis dışı bırakma, trafik analizi, gizliliğin ihlal edilmesi, fiziksel ataklar gibi birçok atağa açıktır.

Kablosuz mobil sensör ağlarda yukarıda saydığımız ataklara karşı önlem almak için ve güvenlik gereksinimlerini karşılamak için kriptografik protokollerle savunma mekanizmaları kullanır. Fakat işlemci gücü, saklama, alanı, enerji sınırlılığından dolayı etkin güvenlik protokolleri kullanmak kolay değildir. Son yıllarda ekonomik, kaynakları etkin kullanacak güvenli haberleşebilecek kablosuz mobil senör ağlar ve RFID sistemler konusunda projeler geliştirilmektedir.   

Siber Güvenlik

11 Eylül 2001 ikiz kule saldırılarından sonra tüm dünyada kritik altyapıların korunması ve içeriden gelen veya gelebilecek ataklara karşı önlemler geliştirme konusunda önemli çalışmalar yapılmaya başlanmıştı. Enerji santralleri, hava limanları, nükleer santraller, barajlar, metrolar, limanlar vb ülke için hayati öneme sahip kritik altyapıların fiziksel ve BT güvenliğinin sağlanması, beklenmeyen olaylar karşısında iş sürekliliğinin devam ettirilmesi, felaket planının yapılması ve uygulanması için çok sayıda proje geliştirilmeye başlanmıştır. İnternetin yaygın olarak kullanılmaya başlanmasıyla birlikte kötü niyetli internet kullanıcıları veya teröristler ülkelerin kritik altyapılarının BT sistemlerine internet üzerinden saldırarak zarar vermeye çalışmışlardır.  Hatta bu zaman zaman bir ülkenin diğer ülkenin BT altyapısına saldırmasına kadar varmıştır.

27 Nisan 2007 tarihinde Estonya, başkenti Tallinn’de bulunan Rusya’ya ait meçhul asker anıtını kaldırmasından sonra Estonya’da devlete ait web mail sunucuları ve bankacılık sistemlerine ataklar gerçekleştirilmiştir. Başlangıç atakları sonucunda bazı internet siteleri kötü niyetli kullanıcılar tarafından ele geçirilmiş bazıları devre dışı bırakılmış, bazılarının içeriği değiştirilmiştir. 30 Nisan-18 Mayıs tarihleri arasında Ulusal bilgi sistemleri, Internet hizmet sağlayıcıları ve bankalara yönelik daha geniş katılımlı ve koordineli dağıtık servis dışı bırakma (DDOS)  atakları gerçeklenmiştir. Bu ataklar sonucunda Estonya’nın ulusal bilgi sistemleri ve ev kullanıcılarına hizmet veren diğer Internet sistemleri büyük zarar görmüştür. Internet bant genişliği büyük oranda saldırılar tarafından doldurulmuş ve ülkedeki Internet sistemi çökme noktasına getirilmiştir. Estonya ataklara karşı NATO’dan yardım istemiştir. Bu ataklarda botnet(köle bilgisayarlar) kullanıldığı için Avrupa, ABD ve diğer ülkelerden de çok sayıda bilgisayarın kullanıldığı görülmüştür. Bu ataklar sonucu NATO Estonya’nın başkenti Tallinn’de NATO Siber Savunma Mükemmeliyet Merkezini kurma çalışmaların başlamıştır. Bu konudaki çalışmalar hala devam etmektedir.

Estonya atağı ülkeler arasında ilk siber savaş denemesi olmamıştır. Gürcistan ile Rusya arasında Güney Osetya bölgesinden dolayı yaşanan politik çekişmeler sonucu 11 Ağustos 2008 tarihinde çıkan savaştan önce siber savaş başlamıştır. Rusya kaynaklı gerçekleştirildiği düşünülen siber saldırılar, askeri birliklerin savaşa girmesinden önce, 20 Temmuz 2008 tarihinde Gürcistan Devlet Başkanı Mihail Saakaşvili’nin İnternet sitesi olan www.president.gov.ge adresini hedef alarak başlamıştır. Ülkedeki birçok internet sitesi çökertilmiş ya da içeriği değiştirilmiştir. Bu ataklar dağıtık servi dışı bırakma (Distributed Denial of Service) türü ataklar olarak gerçekleştirilmiştir. Ataklarda çok sayıda köle bilgisayar kullanıldığı için atakları durdurmak ve kaynağını tespit etmek kolay olmamıştır.

4 Temmuz 2009 tarihinde ABD ve Güney Kore’ye ait çeşitli sitelere siber ataklar yapılmıştır. Güney Kore’de başta Ticaret ve Maliye bakanlığı sistemleri olmak üzere birçok kamu kurumu hedef alınmıştır. Ataklarda yaklaşık 50000 köle bilgisayar kullanılmış ve 20-40 Gbps’lık bir trafik oluşturulmuştur. Güney Kore yetkilileri atakların Kuzey Kore veya onun sempatizanları tarafından organize edildiğini ifade etmişlerdir [21].   

NATO başta olmak üzere birçok organizasyon ve ülke siber atakları tespit etmek, önlemek ve atak sonrasında sistemleri normale dönüştürmek için organizasyonlar kurmakta ve projeler geliştirmektedir. Bu konudaki çalışmaların artarak devam etmesi beklenmektedir.

Endüstriyel Sistemlerin BT Güvenliği 

Enerji santralleri, nükleer santraller, barajlar, petrol istasyonları gibi modern endüstriyel sistemler büyük karmaşık dağıtık sistemlerdir. İşletim esnasında bu sistemlerin değişik kısımlarının operatörler tarafından gözlenmesi ve kontrol edilmesi istenir. Günümüz ağ teknolojileri bu izleme ve kontrol işlemini mümkün kılmaktadır. Önceki ağ kontrol uygulamaları noktandan noktaya bir parçayı ya da cihazı kontrol edebilecek yapıda tasarlanmıştı. Bu yapılar zaman içerisinde merkezi kontrol ünitesi ve birçok uzak birim arasındaki haberleşmeyi ortak veri yolları ile haberleştirecek şekilde geliştirilmiştir. Bu ağlardaki uzak birimler belli amaçlar için geliştirilmiş gömülü sistemleri içeren sensörler, harekete geçiriciler ve PLC (Programmable Logic Control) gibi parçalardan oluşmaktadır. Üstelik bu sistemler birbiri ile uyumlu değildir. Günümüzde bu endüstriyel komuta kontrol ağlarının gelişmiş hali SCADA (Supervisory Control and Data Acquisiton) olarak adlandırılmaktadır.

Günümüz rekabetçi ortamında endüstriyel ortamların düşük maliyeti ve etkin üretimi yakalaması için kendi SCADA sistemlerini modernize etmeleri gerekmektedir. Günümüz SCADA sistemleri kurum ağlarına ve internete bağlanabilmektedir. Bu bağlantı üretimi ve dağıtık veri işlemeyi kolaylaştırmasına karşın sistemi internetin güvenlik problemleri ile karşı karşıya bırakmaktadır. Eğer cihazlar internet üzerinde kontrol edilirse SCADA sistemine yapılan bir atak tüm sistemi etkileyebilir. Bu atak sonucunda fiziksel ve ekonomik kayıplar yanında insanlar diğer canlılar ve çevre zarar görebilir. Bu yüzden SCADA sistemlerin güvenliğinin birincil öncelikli olması gerekir[22].

TCP/IP protokolünün açık yapısı ve internet uygulamalarının yaygınlaşması ile birlikte ilk önceleri seri arabirimler aracılığı ile PLC gibi sistemler, bilgisayarlar aracılığı ile kontrol edilmeye başlanmış sonra ise SCADA sistemleri doğrudan Ethernet arayüzünü kullanılarak bilgisayar ağlarıyla haberleşmeye başlamıştır. Bu haberleşme bilgisayarın gelişmiş yazım yeteneği ve grafik arayüzünün SCADA sistemler tarafından kullanılmasını sağlamıştır. SCADA sistemlerin bilgisayar ağları ile haberleşmesi için çeşitli kuruluşlar tarafından Ethernet/IP, DeviceNet, ControNet, PROFIBUS, MODEBUS TCP/IP, DNP3, Foundadion Fieldbus gibi protokoller geliştirilmiştir.

iç tehditlerin, siber atakların arttığı günümüz internet yapısında çok kritik altyapıları işleten SCADA sistemlerin güvenliğinin sağlanması için erişim kontrolü, güvenlik duvarı, saldırı tespit sistemi, VPN gibi güncel sınır güvenliği önlemleri yanında protokol güvenlik analizi, SCADA sistemlerin işletim sistemleri güvenlik analizi gibi konularda çok sayıda proje geliştirilebilir. 

SONUÇ

 Bilişim sistemleri güvenliği konusunda yapılan araştırmalar ve projeler internetin askeri, e-devlet, e-sağlık, e-ticaret, e-öğrenme, gibi konularda tüm dünyada yaygın olarak kullanılmaya başlamasıyla birlikte hız kazanmıştır. Günümüzde de bilişim sistemleri güvenliği alanındaki araştırmalar devam etmektedir.  Bilgisayar ağlarında taşınan, işlenen ve saklanan bilgilerin artmış olması,  güvenliğin dolayısıyla da güvenlik araştırmalarının önemini daha da artırmıştır.   

Bilgisayar ağlarında gizlilik, bütünlük ve sürekliliğin sağlanması için hali hazırda geliştirilmiş bilişim teknolojileri projeleri yanında son yıllarda iç tehdit, kişisel gizlilik, güvenli yazılım geliştirme, web uygulaması güvenliği, kablosuz mobil sensör ağları, RFID güvenliği, siber ataklar ve endüstriyel sistemler BT güvenliği konularında yeni projeler geliştirilmektedir.Avrupa Birliği çerçeve programları, ülkelerin çeşitli destekleme programları ile bu alanlarda yapılan projeler hız kazanmıştır. Bilişim sistemleri güvenliği alanında yeni çözümlerin geliştirilmesi daha güvenli bir iletişim ortamı sağlanmasına ve geliştiren kurum veya ülkenin teknoloji pazarında ön plana çıkmasını sağlayacaktır. 

Türkiye’de bu konularda geliştirilecek projelere,  Avrupa Birliği Çerçeve Programları başta olmak üzere TÜBİTAK’ın SAVTAG, KAMAG ve diğer programlar çerçevesinde destek bulunabilir. Ayrıca sadece BT güvenliği alanlarında bilimin ve ülkenin önceliklerine göre istenilen çözümlerin detaylı tanımlandığı destekleme ve iş birliği programlarının oluşturulması söz konusu alanlarda etkisi yüksek projeler geliştirilmesinde faydalı olacaktır. 

KAYNAKÇA

[1] DeNardis L., The History of Information Security: A coprehensive handbook, Elsevier, 2007

[2] Brendan P. Kehoe, Zen and Art of the Internet,  http://www.cs.indiana.edu/docproject/zen/zen-1.0_10.html#SEC91 , 1992,CERT Advisory CA-90:01, Sun sendmail vulnerability, January 29 (1990).

[3] Cisco Systems, IP Next Generation Networks for Service Providers, http://www.cisco.com/en/US/solutions/ collateral/ns341/ns524/ns562/ns583/net_implementation_white_paper0900aecd803fcbbe.pdf

[4] ISO/IEC 27001:2005, Information Technology -- Security techniques -- Information security management systems -- Requirements

[5] System Security Engineering Capability Maturity Model V 3.0 http://www.sse-cmm.org/docs/ssecmmv3final.pdf

[6]  Skordas T., OECD Foresight Forum Next Generation Networks: Evolution and Policy considerations, Budapest, 2006

[7]  Richardson R.,, CSI Computer Crime and Security Survey 2008, http://www.gocsi.com/forms/csi_survey.jhtml

[8] Burke B., E., Christiansen C., , Insider Risk Management: A Framework Approach to Internal Security, August 2009

[9] Salem M., B.,, Shlomo Hershkop S., Stolfo S., J., A Survey of Insider Attack Detection Research,  Insider Attack and Cyber Security, volume 39, sayfa: 69-90, 2008

[10] Honepots, C., L., Catching the Insider Threat. Computer Security Applications Conference, 2003 

[11] Prathaben Kanagasingham P., Bambenek J. C. C.,  Data Loss Prevention, 2008, http://www.sans.org/reading_room/ whitepapers/dlp/data_loss_prevention_32883?show=32883.php&cat=dlp

[12] Alparslan E., Veri Kaçağı Önleme (DLP) ve Veri Madenciliği, https://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/veri-kacagi-onleme-dlp-ve-veri-madenciligi.html?Itemid=6

[13] Spiekermann S., Lorrie Faith Cranor, "Engineering Privacy," IEEE Transactions on Software Engineering, vol. 35, no. 1, sayfa. 67-82, Ocak/Şubat, 2009

[14] Fung, B., M., Wang C  K., Chen R., Yu P. S., Privacy-Preserving Data Publishing: A Survey on Recent Developments, In ACM Computing Surveys, 2009

[15] Sweeney.L., k-anonymity: A model for protecting privacy. Int’l Journal on Uncertainty, Fuziness, and Knowledge-based Systems, 10(5):557-570, 2002.

[16] Beydağlı E., Kara M., Bahşi H., Alparslan E., Güvenli Yazılım Geliştirme Modelleri ve Ortak Kriterler Standardı, Ulusal Yazılım Mühendisliği Sempozyumu, 2009

[17] Microsoft Security Lifecycle (SDL) Version 3.2  http://msdn.microsoft.com/en-us/library/cc307748.aspx

[18] Software Assurance Maturity Model, A Guide to Building Security into Software Development Version. 1.0, http://www.opensamm.org

[19] IBM Internet Security Systems, X-Force 2008 Trend & Risk Report, January 2009

[20] Walters, j.P., Liang Z., Shi, W., Chaudhary V., Wireless Sensor Network Security: A Survey, Security in Distributed, Grid, and Pervasive Computing, 2006

[21] http://www.networkworld.com/news/2009/070909-us-south-korea-cyberattack-lessons.html?page=1

[22] Igure V., Laughter S., Williams R., Security Issues in Scada  Networks, Computer&Security p496-506, Elsevier, 2009

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.