Geride bıraktığımız 20 yıl içerisinde bilişim sistemlerinin
daha etkin kullanılması, bilgi işleme ve saklama anlamında bu sistemlerin
alternatifsiz ortam olarak kabul edilmeleri pek çok faydasının yanı sıra bir
takım güvenlik sorunlarını da beraberinde getirmiştir. Özellikle bilişim
altyapılarının kullanılmaya ve hızla yaygınlaşmaya başladığı yıllarda gerek
tasarım gerekse gerçekleme aşamalarında güvenlik kaygısının çok fazla ön plana
çıkmaması bu sorunların temelini oluşturmaktadır.
Bilgi güvenliği ve kurumlardaki veri kaçağı konularında
mevcut durumu analiz ederken sistemlerdeki açıklık trendi, tehdidin
seviyesi ve
yol açtığı etkiler, tehdidin önlenmesi adına kullanılan yöntemleri bir
bütün
olarak ele almak yerinde olacaktır.
Açıklık Trendi
Sistemlerin sahip olduğu güvenlik açıklıkları perspektifinde
konuyu ele aldığımızda 90'lı yıllardan günümüze geliştirilen güvenlik
önlemleri
ve bilişim sistemleri varlıklarında gerçekleştirilen güncellemelerle
ters
orantılı olarak artış gösterdiği görülmektedir. Güvenlik yamaları
yapılmayan
açıklıklar tüm sistemler için tehdit oluşturmaktadır. Örneğin 2009
yılının ilk
6 haftasında BT varlıkları için yayınlanan açıklıkların sayısı Şekil
1'de [ 1 ]
gösterilmektedir. Görüldüğü gibi her hafta ortalama 200'ün üzerinde
açıklık
tespit edilmektedir. Yaması yapılmayan açıklıklar her geçen gün daha
büyük
tehdit oluşturmakta, etkileri ve istismar edilme olasılıkları
artmaktadır.
Şekil 1. 2009 yılının
ilk altı haftasında tespit edilen açıklıkların sayısı
Diğer bir istatistik de Symantec firması tarafından 2009
yılı ortalarında yayınlanan Güvenlik Tehdit Raporu'nda[ 2
] yer almaktadır. Şekil 2'de gösterilen
veriler 2002 yılından bu yana tespit edilen zararlı yazılım tehditlerini
yıllara göre ortaya koymaktadır. Özellikle son iki yılda ciddi oranda
yükselen
zararlı yazılım tehdidi 2008 yılında 2002 yılına göre yaklaşık 80 katına
çıkmıştır.
Bu veriler, bilişim sistemleri varlıklarının vazgeçilmez
olduğu mevcut durumda sistemlerin barındırdıkları zafiyetlerin oranını
net
olarak ortaya koymaktadır. Mevcut zafiyetlerin kötüye kullanılması
durumunda
kurumların maruz kaldığı en önemli tehdit veri kaçağı; dolayısıyla
bundan ötürü
kaynaklanan mali kayıplardır.Veri
kaçağı genel anlamıyla, erişimi kısıtlanmış ve sahibi tarafından değer
ifade
eden bir verinin sistemlerin açıklıklarını kullanan dış tehditler
sonucunda
veya bilinçli/bilinçsiz personel kullanımına bağlı olarak istenmeyen
kişilerin
eline geçmesi durumunu ifade eder.
Şekil 2. Symantec
firması tarafından yıllara göre tespit edilen zararlı yazılımlar
Veri Kaçağının Etkileri
Bilgi sistemlerin kullanımının temelinde bilgi otomasyonu ve
veriye hızlı ulaşım ihtiyacı yatmaktadır. Bilginin sistemin kalbi ve
olmazsa
olmazlarından olması saldırganların ilgisini birinci öncelikle
çekmektedir.
Veri hırsızlığı kuruma ait endüstriyel değer taşıyan sistemlerden, bir
kamu
kurumunun milli ya da hizmete özel bilgi içeren yapılarından veya
müşteri
bilgisini içeren veri depolama ünitelerinden gerçekleştirilebilir.
Çeşidi ve
içeriği ile pek çok sonuçları olabilecek bu faaliyetlerin kurumların
itibarının
sarsılması, müşteri kaybı gibi yan etkilere de sebebiyet verdiği
görülmektedir.
Aşağıdaki örnek veri kaçağının kurumlar üzerinde gerçekleştirdiği
etkileri
gözler önüne sermektedir.
Açık Güvenlik Kuruluşu DataLossDB [ 3 ] son yıllarda tespit
edilen veri kaçağı vakaları hakkında detaylı bilgiler sunmaktadır. Bu
veritabanında yer alan Heartland Ödeme Sistemi örneği günümüze kadar
yaşanmış
en büyük veri kaçağı vakası olarak bilinmektedir. 2009 yılı başlarında
meydana
gelen olayda saldırganlar ABD çapında en büyük 5. kredi kartı ödeme
firması
olan Heartland'ın sistemlerine girmeyi başarmışlar ve yaklaşık
130.000.000
kullanıcının kredi kartı bilgilerini elde etmişlerdir. Firmanın Finansal
İşler
Başkanı Robert Baldwin yaptığı açıklamada saldırganların haftalarca
sistemlere
bağlı kalmayı başardıklarını ve bu süre içerisinde gerçekleştirilen tüm
finansal işlemlerin kayıtlarını elde ettiklerini itiraf etmiştir.
Analistler
ifşa olan kredi kartlarının yenileri ile değiştirilme durumunda oluşacak
mali
kaybın yükümlülüklerden dolayı ödenecek cezalardan fazla olacağı
tespitinde
bulunmuşlardır.
Zararın telafisi adına ihtiyaç duyulan çalışmaların
maliyetinin yanı sıra firmanın yaşamış olduğu prestij ve güvenilirlik
kayıpları
da azımsanmayacak derecededir. Şekil 3'de olayın gerçekleştiği tarihten
sonra
Heartland hisselerinin yaşadığı değer kaybı görüntülenmektedir. Olayın
ardından
firma yaklaşık yarı yarıya bir küçülme yaşamıştır.
Şekil 3. Heartland
hisselerinin değer durumu
Dünyada Veri Kaçağı
Bilişim sistemleri güvenliği alanında gerçekleştirilen bazı
istatistiksel çalışmaların sentezlenmesi dünya genelinde tehdidin
ulaşmış
olduğu noktayı ortaya koymak adına doğru olacaktır. Verizon tarafından
gerçekleştirilen çalışmada [ 4 ] 2008 yılında bilgi sistemleri üzerinden
kontrolsüz veri çıkışı ile ilgili bilgiler sunulmuş, Önümüzdeki yıllar
için
öngörüler detaylandırılmıştır. Dünya genelinde binlerce bilgi
sisteminden elde
edilen verilerin analiz edilmesi sonucunda hazırlanan raporda geçen
çarpıcı
bazı bilgileri şu şekilde özetlemek mümkündür:
2008 yılında 285.000.000 adet veri kaydı
istenmeyen kişilerin eline geçmiştir.
Kaybedilen verilerin %91'i organize çalışan
örgütler tarafından gerçekleştirilmiş planlı suçlar sonucunda ortaya
konmuştur.
Kaybedilen verilerin %99,6'sı sunucu ve bu
sunucularda çalışan uygulamalar üzerinden elde edilmiştir. Bu bilgi
özellikle
sunucuların korunma ihtiyacını net olarak ortaya koymaktadır.
Saldırıların %74'ü kurum dışı erişim
noktalarından gerçekleştirilmiştir. Kaybedilen verinin %91'inin organize
çalışmalar sonucunda elde edilmesi bilgisi göz önünde bulundurulduğunda
bazı
organize örgütlerin kurum veya firmaların içerisine sızdıkları ve
faaliyetlerini kuruların iç ağlarından gerçekleştirdikleri görülecektir.Bu oranın yaklaşık %20 civarındadır. Öte
yandan iç ağlardan gerçekleşen saldırılar sonucunda kaçırılan verinin
tüm veri
kaçağına oranı %65 olduğu için iç ağ kaynaklı saldırıların çok daha
büyük etki
bıraktığı söylenebilir. Saldırı kaynaklarının yüzdesel olarak gösterimi
Şekil 4'de
yer
almaktadır.
Şekil 4. Yıllara göre
saldırı kaynaklarının oranı
Veri kaçağı yolu olarak sanal ortam
saldırılarının %64, fiziksel saldırıların ise %9 oranında kullanıldığı
görülmektedir. Sanal ortam saldırılarının her geçen yıl alınan
önlemlerin
artmasıyla ters orantılı olarak 2008 yılında bir önceki yıla göre %12
arttığı
tespit edilmiştir. Bu yolla gerçekleşen saldırılar sonucunda kayba
uğrayan
verinin oranı %94 gibi önemli bir çoğunluktur. 2004'den bu yana yaşanan
veri
kaybı vakalarının sebeplerinin olay sayısına oranı Şekil 4'de
gösterilmektedir.
Gerçekleştirilen saldırılar karmaşıklık
noktasında incelendiğinde bunların %83 oranında basit yöntemler
içerdiğini
görmek mümkündür. Bu bilgi de var olan güvenlik önlemlerinin yeterliliği
konusunda kafalarda soru işaretleri oluşturmaktadır.
2004'den 2008'e kadar olan analizlerde iç ağ
kaynaklı saldırılarda son kullanıcı ve sistem yöneticilerinin en etkin
role
sahip oldukları görülmektedir. Sahip oldukları yetkiler düşünüldüğünde
sistem
yöneticileri için bu bulgu şaşırtıcı değildir. Öte yandan son
kullanıcıların
veri kaçağında aktif rol almaları sistem erişim yetkileri dışında bazı
parametrelerin de göz önünde bulundurulması gerektiğini göstermektedir.
Şekil 5. Veri kaçağı
tehditlerinin yıllara göre durumu
Saldırganların kullandığı yöntemler
irdelendiğinde ise Şekil 5'deki sonuç ile karşılaşılmaktadır. Sanal
saldırı
faaliyetlerinin etkinliğini koruduğu, özellikle zararlı yazılım
kullanarak veri
kaçırma girişimlerini yoğun bir şekilde gerçekleştirildiği
görülmektedir.
Yine raporda işten ayrılma durumunda olan
personelin ağırlıklı olarak iki durumda veri kaçağı gerçekleştirdiği
tespit
edilmiştir:
oİşten ayrılan personelin sahip olduğu yetkilerin
kabul edilebilir süre içerisinde geri alınmaması
Kaybedilen, dolayısıyla saldırganlar tarafından
önemsenen veri analiz edildiğinde Şekil 6'deki durum ortaya çıkmıştır.
Saldırganlar ağırlıklı olarak kredi kartı ya da şahıs özlük bilgilerini
elde
etme adına bu faaliyetleri gerçekleştirmişlerdir. Bu bilgiler de elde
edilen
verilerin ağırlıklı olarak nitelikli saldırılara ait olduğunu
göstermektedir.
Şekil 6. Kaçırılan
verinin çeşidinin olay (siyah) ve kayıt (kırmızı) sayısına oranları
Dünyadaki durumun analizi noktasında yardımcı olacak bir
diğer kaynak DataLossDB [ 3 ]'dir. Son yılarda gerçekleşen veri kaybı
vakaları
hakkında detaylı bilgiler içeren bir veritabanı sunan sitede yer alan
önemli
bazı bilgiler şu şekildedir:
Yıllara göre tespit edilen veri kaçağı
vakalarının sayısı Şekil 7'de gösterilmektedir. Son on yılda görülen
artış
trendinin 2009 yılında 2007 yılındaki seviyelere geri döndüğü
gözlenmektedir.
Bununla birlikte tüm zamanların en büyük veri kaçağının daha önce de
ifade edildiği
üzere 2009 yılı içerisinde gerçekleşmiş olması toplam çalınan veri
miktarında
tersi bir durum oluşturmuştur. 2009 yılında toplam çalınan kayıt sayısı
218.756.349 olarak ifade edilmektedir. 2008 yılında ise bu rakam
86.311.058
olarak saptanmıştır.
Tüm yıllara ait veriler analiz edildiğinde veri
kaçağından etkilen sektörler şunlardır:
oTicari kurumlar: %48
oEğitim sektörü: %21
oDevlet kurumları: %19
oSağlık sektörü: %12
Şekil 7.Yıllara göre
veri kaybı vakalarının sayısı
Computer Security Institute(CSI) 14 yıldır bilgi güvenliği
konusundaki gelişmeleri takip eden ve araştırmalar yapan bir kuruluştur.
CSI
tarafından 2009 yılında 443 farklı organizasyon, devlet kurumu, eğitim,
finans
ve sağlık sektörü üyesi çalışanı ile gerçekleştirilen ankette [ 5 ]
saldırılarının
mali etkileri hesaplanmış ve bunlarla ilgili veriler sunulmuştur.
Araştırmaya
göre:
Kurumların veri kayıplardan dolayı yaşadıkları
ortalama mali zarar $234.000 olarak belirlenmiştir. Bu değer 2008
verilerine
göre bir miktar daha düşüktür. Yıllara göre mali kayıpların oranı Şekil
8'de
yer almaktadır.
Finans sektörü, kurumlar arasında en fazla
ortalama kayba uğrayan sektör olarak belirlenmiştir. Ortalama kayıp
$450.000
olarak hesaplanmıştır.
Şekil 8. Yıllara göre
firmaların veri kaçağından kaynaklanan mali kayıpları
Kurumların, gerçekleşen saldırılar sonucunda
kaçırılan verinin sahiplerine durumu bildirilme oranı %22 olarak
belirlenmiştir. Diğer bir deyişle verisi kaçırılan şahıslar %78 oranında
bu
durumdan haberdar değildir. Kullanıcılara veya müşterilerine kaçırılan
verinin
güvenliğini sağlama hizmeti sunanların (kredi kartı harcamalarının takip
altına
alınması, kredi kartı numarasının değiştirilmesi gibi) oranı ise %17
oranında
kalmıştır.
Yıllara göre saldırılarda hangi yöntemlerin
kullanıldığı Şekil 9'da gösterilmektedir. Veri kaçağına sebep olabilecek
zararlı yazılım enfeksiyonu, dizüstü bilgisayar çalınması, dolancılık
gibi
başlıkların bileşkesi alındığında saldırıların merkezinde veri kaçırma
girişimlerinin yer aldığı anlaşılabilmektedir.
Şekil 9. Yıllara göre
yaşanan saldırı çeşitleri
Sonuç
Eldeki veriler göz önünde bulundurulduğunda veri kaçağının
her geçen yıl daha önemli bir tehdit olarak karşımıza çıktığını
görülmektedir.
Veri kaçağının kurumlara ve verinin sahibi kişilere vermiş olduğu
zararlar
azımsanmayacak ölçüdedir. Kurumların güvenlik bilincinin yükselmesi ve
pek çok
güvenlik mekanizmasını sistemlerine entegre etmeleri saldırıların ve
kayıpların
artış trendini engelleyememektedir. Özellikle organize örgütler
tarafından
saldırıların gerçekleştirilmesi, saldırılarda özel geliştirilmiş zararlı
kodların kullanılmasından dolayı bunların tespitine yoğunlaşan
sistemlerin
etkisiz kalmaları bunun en önemli sebepleridir. Veri kaçağını önlemek
adına
bilişim sistemlerini bir bütün olarak ele alacak; hareket eden, saklanan
ve
kullanılan veriyi analiz edebilecek sistemlerin geliştirilmesine ihtiyaç
vardır.
