KPSS sorularının çalınması skandalı, gözleri kamu bilgisayarlarının güvenliğine çevirdi.
Bilgi Güvenliği Derneği Başkanı Prof. Dr. Şeref Sağıroğlu, kamu kurumlarının kurumsal bilgi varlıklarını korumada yetersiz kaldıklarını, ellerindeki yüksek seviyedeki bilgi varlıklarını gerektiği gibi koruyamadıklarını ileri sürdü.
Kamu kurumlarının güvenlik önlemini almalarına rağmen saldırıların ve tehditlerin büyük bir bölümünün, süreçlerin sağlıklı yönetilememesi ve uzman insan kaynağı yetersizliğinden kaynaklanan zafiyetlerinden oluştuğunu ifade eden Sağıroğlu, "Kurumlar bilişim uzmanı dışında, bilgi güvenliği uzmanı da çalıştırmalı" dedi.
-Hiçbir kamu kurumunun internetten kaçışı olmadığını, bu nedenle tedbir almalarının zorunlu olduğunun altını çizen Prof. Sağıroğlu, kamu kurumlarının ve kamu kurumlarının bilgi varlıklarını yüksek seviyede korumaları için, uluslararası kurumsal bilgi güvenliği standartlarını bünyelerine uygulamaları, belirli periyotlarda bağımsız kurumlara mutlaka "kapsamlı sızma ve saldırı testleri" yaptırmaları gerektiğini kaydetti.
KPSS sorularının çalınması skandalı, gözleri kamu bilgisayarlarının güvenliğine çevirirken, Bilgi Güvenliği Derneği’nden uyarı geldi. Bilgi Güvenliği Derneği Başkanı Prof. Dr. Şeref Sağıroğlu, kamu kurumlarının bilgisayarlarının çok büyük bölümünün güvensiz olduğuna dikkat çekerek, kamu kurumlarının, ellerindeki yüksek düzeyli bilgiyi koruyamadığını iddia etti. Son dönemlerde 10 milyonun üzerinde TC kimlik bilgilerinin, Polis Koleji sorularının ve ÖSYM gibi kurumlarda oluşan güvenlik zafiyetlerinin bunun en önemli göstergeleri olduğunu dile getiren Sağıroğlu, Kamu kurumlarında meydana gelen güvenlik açıklıklarının büyük bölümünün insan ve süreç kaynaklı olduğunu, kritik kurumların Bilgi Güvenliği Yönetim Sistemini bünyelerine uygulamaları, belirli sürelerde sızma testleri yaptırmaları önerisinde bulundu.
ANKA’ya açıklama yapan Bilgi Güvenliği Derneği Başkanı Sağıroğlu, dernek olarak düzenledikleri ulusal ve uluslararası konferanslar, paneller, çalıştaylar, seminerler ile kamuda çalışan bilişim uzmanlarını bilgilendirdiklerini belirtirken, bu sene düzenledikleri Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansına kamu, özel sektör ve üniversitelerden bin 200 katılım olduğunu, konferansta sunulan bildirilerin, yapılan çalıştayların tamamını kamuoyu ile paylaştıklarını aktardı. Sağıroğlu, www.iscturkey.org internet adresini kendilerini geliştirmek isteyen tüm kullanıcıların ziyaret etmesini önerdi. Türkiye’de son yıllarda konuya yoğun ilgi olduğu ve kamuda farkındalığın artmaya başladığını fakat gelinen noktanın tamin edici olmadığını kaydeden Sağıroğlu, kamu bilişim sistemlerinde tutulan bilgilerin değerinin yüksek olduğu, önemli bilgi varlıklarını oluşturdukları, bunun farkında olarak kurumların bilgi güvenliği konusunda daha hassas olmaları gerektiğini, bu bilinç ve sorumlulukla bilgi varlıklarını korumaları gerektiğini bir kez daha hatırlattı.
-İNTERNETTEN KAÇIŞ YOK-
Sağıroğlu, kritik verilerin saklandığı bilgisayar sistemlerinin mümkün olduğunca internetten izole edilmesi gerektiğini, Türkiye’nin bilgi toplumu olma yolunda hızla ilerlediği ve e-devlet hizmetlerinin hızla artmaya başladığı bir dönemde kurumların bilgi ve belgelerini elektronik ortamlarda da güvenli olarak saklayacak, işleyecek ve paylaşacak mekanizmaları kurma ve güvenle işletme konusunda kararlı olmaları gerektiğini, internetten uzak durarak ta bilgi güvenliğinin de sağlanamayacağını, kurumların buna alışmaları ve tedbir alma ve güvenli elektronik ortamları oluşturulması gerektiği ve "bundan kaçış olmadığını" belirtti.
-SIZMA TESTİ YAPILMALI-
Her kamu kurumunun kendi bilgi işlem sistemini test ettirmesi gerektiğini aktaran Sağıroğlu, sızma ve saldırı testleri hakkında şu bilgileri verdi:
"Sızma testleri felaket başa gelmeden önce, mevcut tehdit ve tehlikelerin önceden tespit edilerek giderilmesi için önemli bir adım olup, kurumlar için bir erken uyarı sistemidir. Bu önemden dolayı, sızma testleri belirli periyodlarda veya sistem yenilenmelerinde yapılmalıdır. Sızma testlerini her kurumun kapsamlı olarak yaptırması gereklidir. Bir açık tespit edilmiş ise kısa sürede kapatılmalıdır. Genel olarak değerlendirildiğinde, pek çok kurum sızma testlerinin öneminin farkında değil veya yaptıramamış, yaptırmış ama kapsamlı değil, yaptırmış ama gereğini yerine getirememiş. Bunun için gerekli hassasiyet gösterilmiyor veya gösterilemiyor" dedi.
-TEHDİTLERİ ALGILAMA SEVİYELERİ DÜŞÜK-
Kamu kurumlarının bilgi güvenliği farkındalığının ve konuyla ilgili bilgi birikimlerinin çok yüksek olmadığını ve tehditleri algılama seviyelerinin düşük olduğunu iddia eden Sağıroğlu, bunun sebeplerinin de "güvenliğin teknoloji ile sağlanabileceği düşüncesinin kamuda hakim olduğu, uzman insan kaynağı eksikliği ve süreçlerin yeteri kadar üzerinde durulmaması olduğunu" ifade etti.
Teknoloji, insan ve süreç yaklaşımlarının beraber ele alınmasıyla kurumsal bilgi güvenliğinin yüksek seviyede sağlanabileceğini vurgulayaran Sağıroğlu, kamu kurumlarının bilgi güvenliğini bir defaya mahsus yapılacak bir iş olarak değil sürekli ve dinamik süreçleri içerdiğinin bilinmesinin, bunun için bilgi ve ilginin olmasının, uygulama, denetim ve iyileştirmelerin yapılmasının gerektiğinikaydetti. Sağıroğlu, kurumlarda bilgi güvenliğinin sağlanmasının "bütünsel bir bakış açısıyla" ele alınması gerektiğini vurguladı.
-KURUM İÇİ SALDIRILARA DİKKAT-
Sağıroğlu, kamu bilgisayar sistemlerine yapılan saldırıların kurum dışından olabileceği gibi kurum içinden de gelebileceğine dikkat çekerek şunları söyledi: "Yapılan saldırılar incelendiğinde, güvenlik zafiyetlerinin ve tehlikeli saldırıların kurum içerisinden alınan bilgilerle yapıldığı ve en zayıf halkanın insan olduğu unutulmamalıdır."
-BİLGİ GÜVENLİĞİ UZMANI ÇALIŞTIRILMALI-
Sağıroğlu, yüksek seviyede kurumsal bilgi güvenliğinin sağlanması için kamuda bilgi güvenliği uzmanlarının istihdam edilmesi gerektiğini söyledi. Aynı zamanda, "bilgi güvenliği uzmanı" kadrolarının kamuda arttırılması gerektiğine işaret etti. Ayrıca, "kurumsal bilgi güvenliğinin kamu kurumlarında sağlıklı olarak kurulması ve uygulanması konusunda kurumların üniversitelerden ve bağımsız kuruluşlardan danışmanlık almaları da faydalı olacaktır" uyarısında bulundu.
-ISO STANDARTLARI ZORUNLU OLMALI-
Sağıroğlu, "kamuda yüksek seviyede kurumsal bilgi güvenliğinden bahsedilmesi için ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardının kritik bilgi bulunduran tüm kamu kurumlarında uygulanmasının zorunlu hale getirilmesi, bu standardı uygulayan kurumların belirli aralıklarla denetlenmesi gerekir" dedi.
ANKA
