Siber Riskler

Siber güvenlik, “siber ortamda, kurum, kuruluş ve kullanıcıların varlıklarını korumak amacıyla kullanılan araçlar, dosyalar, politikalar, güvenlik kavramları, güvenlik teminatları, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulamalar ve teknolojiler bütünüdür” şeklinde tarif edilebilir. Siber saldırı, “hedef seçilen şahıs, şirket, kurum, örgüt, gibi yapıların bilgi sistemlerine veya iletişim altyapılarına yapılan planlı ve koordineli saldırılardır.” Siber savaş, “Aynı saldırıların ülke veya ülkelere yönelik yapılmasıdır.” Siber savaşta hedef ülkelerin güvenlik, sağlık, enerji, haberleşme, su ve kanalizasyon, bankacılık ve kamu hizmetleri gibi kritik altyapılara saldırı alanı olarak seçilmektedir. Ülkeler, siber güvenliklerini sağlamak için stratejiler ve politikalar oluştururlar. Bir ülkenin kurumlarına ya da ulusal güvenliğine yönelebilecek siber tehditlerin, dünya üzerindeki erişim kolaylıkları ve bağlantıları dikkate  alındığında herhangi bir kaynaktan gelebileceği çok açıktır. Bu durum, uluslararası işbirliğini ve evrensel kuralların uygulanmasını zorunlu hale getirmektedir. Bir varlığın korunabilmesi için öncelikle değerinin ve öneminin bilinmesi gerekmektedir. Buna bağlı olarak da hangi risklere maruz olduğunun ya da maruz kalabileceğinin de tespiti gereklidir. Yapılan incelemelerde siber saldırıların her geçen yıl artış gösterdiği ortaya konmuştur. Bu nedenle de güvenlik risklerinin analiz edilerek gerekli risk modellerinin oluşturulması ve tedbirlerinin alınması hayati bir önem taşır noktaya gelmiştir.

Risk analizinin yapılması bize ne gibi faydalar sağlar?

  • Güvenli bilgi yönetimini geliştirir.
  • Organizasyondaki kritik varlıkların izlenmesi ve etkili bir şekilde korunmasını sağlar.
  • Karar vermede etkin bilgi güvenliği politikalarının desteklenmesini sağlar.
  • Organizasyonlara yönelik pratik güvenlik politikalarının belirlenmesini sağlar.
  • Gelecekteki tahminler için değerli analiz verilerinin oluşmasını sağlar.

Risk faktörü olan varlıklar, tehditler ve var olan açıklardan etkilenmektedir. Varlıklar, tehditler ya da açıklar arttıkça karşı karşıya olunan riskler de artmaktadır. Varlıklar genel olarak bilgi, evraklar, donanım, yazılım, insan kaynakları ve şartlardan oluşur. Tehditler, insani ya da insani olmayan faktörler, ağ ya da fiziksel, teknik ya da çevresel, içerden ya da dışarıdan ve kasten ya da kazara kaynaklı tehditler olarak sınıflandırılabilir. Açıklar ise belgeler, personel, yönetmelikler, fiziksel koşullar, imkânlar, teknik donanım, yazılım, iletişim, ağ kaynaklı açıklar şeklinde sınıflandırılabilir. Risk analizi genel olarak dört ana mantıktan oluşmaktadır.

  • Varlıklar, tehditler ve açıklar üzerine bir tanımlama ve değerlendirme yapılmalıdır.
  • Varlıklar, tehditler ve mevcut açıklar göz önüne alınarak sistemin toplamı üzerinden değerlendirme yapılmalıdır.
  • Mevcut tehditlerin oluşturduğu risklerin azaltılması için gerekli yöntemin belirlenmesi ve etkinlik değerlendirmesi yapılmalıdır.
  • Organizasyon tarafından riskler belirlenip bu riskleri mümkün olduğunca minimize edecek yönteme karar verilip uygulanması sağlanmalıdır.

Risk Azaltma Yöntemlerinden Bazıları:

Erişim Kontrolü: Şifre tanımlamaya dayalı sistemler, fiziksel erişim ekipmanları, vb.

Şifre Kontrolü: Açık anahtar altyapısı ve şifreleme algoritmaları,
Internet Güvenlik Kontrolü: Saldırı tespit sistemi (Ids), güvenlik duvarı, vb.

Uygulama Güvenlik Denetimi: Veri tabanı güvenliği, sistem dosyası güvenliği, vb.

Fiziksel/Çevresel Güvenlik Kontrolü: Tesislerin güvenliği, kurum güvenliği, giriş/çıkış kontrolü gibi uygulamalar.

Güvenlik Açığı Risk Analizi

Risk faktörlerinin en başında yer alan güvenlik açıklarına yakından bakıldığında bir yaşam döngüsüne sahip oldukları görülür. Her sistemde bir açık vardır ve bu açığın saldırıya maruz
kalması olasıdır. O nedenle de güvenlik açığı risk analizi kaçınılmaz bir süreçtir. Eğer şanslı iseniz açıklar beyaz korsanlar tarafından keşfedilir ve kapatılması için bir fırsatınız olabilir.

Siber Tehdit ve Hazırlık Süreçleri

A. Tehdit Seviyeleri

Siber savunmanın ana başlangıcı tehdit seviyelerinin belirlenmesidir.

B. Hazırlık Süreçleri

Siber savunmanın diğer ana adımı hazırlık süreçlerinin doğru belirlenmesidir.

Siber savunma hazırlık süreci birbirini takip eden dört ana süreçten oluşmaktadır.

  • Siber tehditlere karşı kurumun niyetinin ve hedefinin belirlenmesi gerekir,
  • Hedeflenen başarının yakalanması için hazırlık düzeyi belirlenmeli,
  • Hazırlık süreçleri belirlenerek siber güvenlik için strateji planı geliştirilmeli,
  • Gerekli güvenlik yatırımları planlanmalı ve kararlar alınmalıdır.

Siber Tehdit Araçları

Siber tehditlerin etkilerini kısa ve uzun vadeli olarak ayırmak mümkündür. Kısa vadeli tehditler; hedef aldığı yapının, hükümet, işletme ve son kullanıcıların günlük faaliyetlerini etkileyen tehditlerdir. (Dolandırıcılık faaliyetleri, müşteri veri ihlalleri, ATM den usulsüz nakit çekimi gibi günlük faaliyetler)

Uzun vadeli tehditler; daha çok etkileri uzun süre devam eden, ülkenin ve toplumun dengelerini değiştirmeyi hedefleyen tehditlerdir. (Endüstriyel ve askeri casusluk, sosyal hoşnutsuzluk ve huzursuzluk yaratma, ulusal güvenlik ihlali gibi..)

Kötü Amaçlı Yazılımlar

Truva atı, virüs, klavye dinleme, casus yazılımlar, önemsiz e-posta gibi kötücül yazılımlar, açıkları kullanarak verileri elde etme, değiştirme ya da yok etme gibi amaçlarla kullanılırlar. Kötü amaçlı yazılımlar gerek kullanım kolaylıkları gerekse hızlı sonuç verebilmeleri açısından sıkça tercih edilen, hükümet, işletme ve son kullanıcılar için en tehlikeli ve yaygın siber saldırı araçlarından sayılmaktadırlar.

Kötü amaçlı uygulamalar yazılımsal olduğu kadar donanımsal da olabilmektedir. Donanımsal olarak işlem yapan klavye dinleme cihazları buna bir örnektir. Kimi zaman cihazın içine yerleştirilen küçük bir aygıt ile klavyeden girilen her türlü bilgi (şifreleriniz, dosya isimleriniz, dosya içerikleriniz vb.) çalınabilmektedir.

Saldırılar mutlaka ağ üzerinden yapılmak zorunda değildir. Kötü amaçlı yazılımları ağ bağlantısı olmayan cihazlara yükleyerek de veri hırsızlığı yapılabilir. ATM ve POS cihazlarına yüklenen casus yazılımlar sayesinde kullanıcının verileri yasadışı olarak ele geçirilebilir ya da maddi kayıplara neden olabilirler.

Güvensiz Ortamlar

Ağ güvenliği, omurgayı oluşturan ağ elemanlarının güvenliğine bağlıdır. Ürünün güvenlik açıklarından faydalanılarak sisteme saldırmak ve bilgilere erişmek mümkündür.

Kimlik Hırsızlığı

Bu tür saldırılarda saldırgan erişim izni olan bir kullanıcının kimliğine bürünerek sisteme sızmayı başarır. Özetle, varlıklarımızın siber dünyadaki bütünlüklerinin ve doğruluklarının korunabilmesi için siber güvenliğin maksimum boyutta özümsenmesi büyük önem taşımaktadır. Siber güvenliğin sağlanabilmesi için bilgi varlıkları üzerinde uzmanlar tarafından bir risk analizi yapılmalı, yapılan analizler ve siber süreçlerin gelişimi dikkate alınarak mevcut ve olası tehditlerin tespiti yapılmalı, tehditler karşısında uygulanması gereken hazırlık seviyeleri ve çözümleri belirlenerek popüler siber tehdit araçları konusunda önlem alınmalıdır. Aleni Sigorta olarak alt yapımızdan ve uluslararası bilgi ve tecrübeye sahip ekibimizin desteği sizlere hedeflediğiniz siber güvenlik konusunda her türlü destek ve görüş verecek, destek olacaktır.