Sinem Varol, Danışman
Sızma testleri bir kuruluşun bilgi sistemleri ve çalışan
kaynaklı zafiyetlerini açığa çıkarmak amacıyla yapılan çalışmalardır. Sızma
testi ile saldırılar gerçekleşmeden önce zafiyetlerin (açıklıkların) farkında olunması
ve bunların kapatılmasıyla sistemlerin daha güvenli bir hale getirilmesi
amaçlanır.
İçinde bulunduğumuz çağda teknolojinin güncel durumu dikkate
alındığında ve saldırganların teknik bilgisinin üst seviyede olması gerekmediği
göz önüne alınırsa her geçen gün bireyler ve kuruluşlar için bilgilerinin
güvenliği daha büyük tehlike altındadır.
Düzenli olarak sızma testi yaptırmak, olası açıklıkları
saldırganlar fark etmeden önce öğrenmek ve bu zafiyeti kapatarak olası bir
siber saldırıyı engellemek için proaktif bir tedbir niteliği taşımaktadır. Zafiyetler
için aksiyon alınmasıyla birlikte kuruluşun hassas verilerinin yetkisiz
kişilerin eline geçme ihtimali azalmış ve sistemlerindeki açıkların
kapatılmasıyla yetkisiz kişilerin istismarı önlenmiş olur.
Sızma testleri kuruluşun isteği ve ihtiyacı doğrultusunda
gerçekleştirilebilir. Ancak bazı sektörlerde bilgi güvenliğinin kritik olması
sebebi ile düzenleyici kuruluşlar tarafından bu çalışma yükümlülük haline getirilmiştir.
Bu yazının devamında tebliğler ve yönetmeliklerde
belirtildiği üzere hangi kuruluşların sızma testi yaptırmaları gerektiği
açıklanmıştır.
Bankacılık Düzenleme ve Denetleme Kurumu
·
14 Eylül 2007 tarihinde yayınlanan Bankalarda
Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ mevduat
bankalarını, katılım bankalarını, kalkınma bankalarını ve yatırım bankalarını
kapsamaktadır. Bilgi sistemlerine ilişkin risk yönetimi bölümünde güvenlik
kontrol sürecinin tesis edilmesi ve yönetilmesi başlığında bağımsız ekiplere
düzenli aralıklarla sızma testi yaptırılması gerektiği belirtilmiştir. Aynı
zamanda internet bankacılığı bölümünde güvenlik kontrol sürecinin tesis
edilmesi ve yönetilmesi başlığı altında bağımsız ekiplere, en az yılda bir kez
olmak üzere, internet bankacılığı faaliyetleri kapsamındaki sistemler için
sızma testi yaptırılması gerekliliğine yer verilmiştir. Bu tebliğ 1 Temmuz 2020
tarihinde yürürlükten kalkacaktır.
Aynı zamanda, bu tebliğe istinaden
hazırlanan Bilgi Sistemlerine İlişkin Sızma Testleri Hakkında Genelge 24 Temmuz
2012 tarihinde yayınlanmıştır. Bu genelgede yapılacak olan sızma testlerinin
asgari olarak kapsamı aşağıda verilmiştir.
o
İletişim Altyapısı ve Aktif Cihazlar
o
DNS Servisleri
o
Etki Alanı ve Kullanıcı Bilgisayarları
o
E-posta Servisleri
o
Veri Tabanı Sistemleri
o
Web Uygulamaları
o
Mobil Uygulamalar
o
Kablosuz Ağ Sistemleri
o
ATM Sistemleri
o
Dağıtık Servis Dışı Bırakma Testleri
o
Sosyal Mühendislik Testleri
·
Kurum, Bankaların Bilgi Sistemleri ve Elektronik
Bankacılık Hizmetleri Hakkında Yönetmeliği 15 Mart 2020 tarihinde
yayınlamıştır. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlüğe girecektir ve
mevduat bankalarını, katılım bankalarını, kalkınma bankalarını ve yatırım
bankalarını kapsamaktadır. Kapsamdaki bankaların bilgi sistemleri aracılığıyla
sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde
görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi
yaptırmaları gerekmektedir.
·
Bilgi Alışverişi, Takas ve Mahsuplaşma
Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş
Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ 4 Aralık 2013’te
yayınlanmıştır. Bu tebliğ; Banka Kartları ve Kredi Kartları Kanununun 4 üncü
maddesi çerçevesinde faaliyet izni alarak bilgi alışverişi faaliyetinde bulunan
kuruluşları, Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi
çerçevesinde faaliyet izni alarak takas ve mahsuplaşma faaliyetinde bulunan
kuruluşları ve Risk Merkezini kapsar. Kapsamdaki kuruluşların yılda en az bir
defa sızma testi yaptırma gereklilikleri bulunmaktadır.
·
Finansal Kiralama, Faktoring ve Finansman
Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 6
Nisan 2019’da yayınlanmıştır ve finansal kiralama, faktoring ve finansman şirketlerini
kapsamaktadır. Bu tebliğde bilgi güvenliği yönetimi başlığı altında kapsamdaki
şirketlerin 2 yılda bir sızma testi yaptırmaları gerektiği belirtilmiştir.
·
Ödeme Kuruluşları ve Elektronik Para
Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27
Haziran 2014 tarihinde yayınlanmış ve ödeme hizmeti sağlamak ve gerçekleştirmek
için Kanun kapsamında yetkilendirilmiş tüzel kişileri ve kanun kapsamında
elektronik para ihraç etme yetkisi verilen tüzel kişileri kapsamaktadır.
Kapsamdaki kuruluşlar, bilgi sistemleri aracılığıyla sunduğu hizmetlerin
tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan
bağımsız ekiplere yılda en az bir defa sızma testi yaptırmakla yükümlü
tutulmuşlardır.
Enerji Piyasası Düzenleme Kurumu
·
13 Temmuz 2017 tarihinde yayınlanan Enerji
Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği
Yönetmeliğinde geçtiği üzere EKS (Endüstriyel Kontrol Sistemleri) Güvenlik
Kontrolleri isimli bir rehber yayınlanmıştır. Bu rehberde geçtiği üzere organizasyonların
belirli sıklıkta ve özel olarak belirlenen bir kapsamda sızma testi
gerçekleştirmeleri, raporlamaları ve sonuçları analiz etmeleri gerektiği
belirtilmiştir. Bu rehberin kapsamındaki organizasyonlar EKS’nin sahibi olan
organizasyonlardır.
Kişisel Verileri Koruma Kurumu
·
Ocak 2018’de yayınlanan Kişisel Veri Güvenliği
Rehberi (Teknik ve İdari Tedbirler), kişisel veri güvenliğinin takibi maddesi
altında bu hususa yer vermiştir. Bu maddede bilişim sistemlerinin bilinen
zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma
testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin
sonucuna göre değerlendirme yapılması gerektiği belirtilmiştir. Ayrıca rehberde
bulunan veri sorumluları tarafından alınabilecek teknik tedbirlerin
gösterildiği tabloda sızma testine yer verilmiştir. 6698 sayılı Kişisel
Verilerin Korunması Kanununa uymakla yükümlü olan kişisel verileri işleyen
gerçek ve tüzel kişilerin bu rehberdeki tedbirleri göz önünde bulundurmaları
gerekmektedir.
Sermaye Piyasası Kurulu
·
Kurul tarafından 5 Ocak 2018 tarihinde Bilgi
Sistemleri Yönetim Tebliği yayınlanmıştır. Bilgi sistemleri risk yönetimi
başlığı altında, sızma testi konusunda ulusal veya uluslararası belgeye sahip
gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi
tutuldukları belirtilmiştir. Aynı tebliğin Ek-1 Bilgi Sistemleri Sızma Testleri
Usul ve Esasları dokümanında teknik gereklilikler açıklanmıştır. Ek-1’e göre
sızma testleri kapsamında gerçekleştirilecek asgari testler aşağıda
verilmiştir.
o
İletişim Altyapısı ve Aktif Cihazlar
o
DNS Servisleri
o
Etki Alanı ve Kullanıcı Bilgisayarları
o
E-posta Servisleri
o
Veri Tabanı Sistemleri
o
Web Uygulamaları
o
Mobil Uygulamalar
o
Kablosuz Ağ Sistemleri
o
Dağıtık Servis Dışı Bırakma Testleri
o
Sosyal Mühendislik Testleri
Gelir İdaresi Başkanlığı
·
19 Kasım 2019’da yayınlanan e-Belge Özel
Entegratörleri Bilgi Sistemleri Denetim Kılavuzu, GİB’den izin alan / alacak
olan Özel Entegratör kuruluşlarını kapsamaktadır. Kılavuzda tanımlanan
varlıkları ve bilgi sistemlerinin genelini kapsayacak şekilde yılda en az bir
kez olmak üzere sızma testi yaptırılması gerektiği belirtilmiştir. Kılavuzda
yer alan sızma testi kapsamı aşağıda verilmiştir.
o
Ağ ve İletişim Altyapısı Testleri
o
İşletim Sistemi ve Platform Testleri
o
Uygulama Testleri
o
Veri Tabanı Testleri
o
Web Uygulamaları Testleri
o
Mobil Uygulama Testleri
Ulaştırma ve Altyapı Bakanlığı
·
Bakanlık tarafından 21 Haziran 2017 tarihinde KamuNet
Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında
Tebliğ yayınlanmıştır. Bu tebliğde yer aldığı üzere KamuNet’e dâhil edilecek ve
dâhil olan kamu kurumlarının, KamuNet’in bağlı olduğu sistemler üzerinde
sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi
için çalışmalar yapması gerekmektedir.
Yukarıda
bahsedilen düzenlemelere ek olarak ISO/IEC 27001 sertifikasına sahip olma
zorunluluğu bulunan kuruluşların standardın EK-A güvenlik kontrolleri bölümünde
A.12.6.1 Teknik Açıklıkların Yönetimi kapsamında
düzenli olarak sızma testi yaptırmaları veya bu kontrol gereğince kendi
kaynakları ile düzenli olarak teknik açıklıkları tespit etmesi gereklidir. Aşağıda
ISO/IEC 27001 belgesine sahip olma yükümlülükleri verilmiştir.
·
Bilgi Teknolojileri ve İletişim Kurumunun
yayınladığı Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin
Tebliğ kapsamında bulunan elektronik sertifika hizmet sağlayıcıları,
·
Bilgi Teknolojileri ve İletişim Kurumunun
yayınladığı Kayıtlı Elektronik Posta Sistemi ile İlgili Süreçlere ve Teknik
Kriterlere İlişkin Tebliğ kapsamındaki kayıtlı elektronik posta hizmet
sağlayıcıları,
·
Bilgi Teknolojileri ve İletişim Kurumunun
yayınladığı Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001
Standardı Uygulamasına İlişkin Tebliğ kapsamındaki elektronik haberleşme
hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını
işleten sermaye şirketleri. Uygunluk belgesi aranan işletmeciler aşağıdadır,
o
Görev Sözleşmesi İmzalayan İşletmeciler
o
İmtiyaz Sözleşmesi İmzalayan İşletmeciler
o
Uydu Haberleşme Hizmeti Veren İşletmeciler
o
Altyapı İşletmeciliği Hizmeti Veren İşletmeciler
o
Sabit Telefon Hizmeti İşletmecileri
o
GMPCS Mobil Telefon Hizmeti Veren İşletmeciler
o
Sanal Mobil Şebeke Hizmeti İşletmecileri
o
İnternet Servis Sağlayıcıları
o
Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti
Veren İşletmeciler
·
Enerji Piyasası Düzenleme Kurumunun (EPDK)
yayınladığı Doğal Gaz Piyasası Lisans Yönetmeliği kapsamında bulunan iletim
faaliyetini gerçekleştiren lisans sahibi tüzel kişilerin ve sevkiyat kontrol
merkezi kurmakla yükümlü dağıtım lisans sahiplerinin çalıştırdığı kurumsal
bilişim sistemi ile endüstriyel kontrol sistemleri,
·
EPDK’nın yayınladığı Elektrik Piyasası Lisans
Yönetmeliği kapsamındaki OSB üretim lisansı sahipleri hariç olmak üzere, kurulu
gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri
için, kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,
·
EPDK’nın yayınladığı Petrol Piyasası Lisans
Yönetmeliği kapsamındaki rafinerici lisans sahiplerinin kurumsal bilişim
sistemi ile endüstriyel kontrol sistemleri,
·
Gümrük ve Ticaret Bakanlığının yayınladığı Gümrük
İşlemlerinin Kolaylaştırılması Yönetmeliği kapsamında bulunan yetkilendirilmiş
yükümlü sertifikasına (YYS) sahip olmak isteyen tüzel kişiler.
Özetleyecek olursak, sızma testlerinin düzenli olarak
yaptırılması kuruluşlar için hassas bilgilerinin korunması açısından oldukça
önemlidir. Düzenlemelerde görüldüğü üzere özellikle enerji ve finans
sektöründeki kuruluşlar için bu konuda daha tedbirli olunması gerektiği göze
çarpmaktadır. Yasal açıdan bir zorunluluğu olmasa bile kuruluşların sızma testi
yaptırmaları, zafiyetlerinin farkında olup uygun adımlar atarak sistemlerini
daha güvenli hale getirmeleri için büyük bir fırsattır.