7 Ağustos 2018 Salı

Nesnelerin İnterneti'nin Güvenliği


Giriş, Teknoloji ve İnternet
“Citius, Altius, Fortius” Latince “Daha hızlı, daha yüksek, daha güçlü” anlamına gelen bu kelimeler, Olimpiyat Oyunlarının sloganıdır. Olimpiyatlar üzerinden bir benzetimde bulunacak olursak bu ilkelere dayalı yarışın sadece spor alanında gerçekleşmediğini söyleyebiliriz. Teknoloji alanındaki gelişmeleri göz önünde bulundurursak tıpkı atletler arasında daha iyiye varmak için bir yarış oluyormuşçasına hayatımızı daha etkili ve etkin kılmaya yarayan ilerlemelere sahne olduğunu görebiliriz.

Belki de içinde bulunduğumuz döneme Bilgi Çağı adını vermemize sebep olan ilerlemelerden biri olan İnternet, ağların belirli protokoller üzerinden birbirine bağlanarak diğer cihazlarla haberleşmesini sağlayan teknoloji, 1960’larda ABD’de Savunma Bakanlığı’nın projesi olarak ilk ortaya çıktığında Dünya üzerindeki nüfusun birkaç katı civarında cihazın bağlantılı olabileceği öngörülebilmiş midir, bilmiyoruz.

Cisco’nun araştırmalarına göre İnternete bağlanan cihaz cihaz sayısı World Wide Web’in (“www”) kullanıma sunulduğu 1991’de 100 milyon, 2003 yılında 500 milyon civarındaydı. Ancak mobil cihazların piyasaya sürülmesinin ardından 2010 yılında ise 12,5 milyara ulaştı. Bu dönemde Dünya nüfusu ise 6,8 milyar insandan oluşmaktaydı. Kısacası, bu araştırmaya göre bağlantılı cihaz sayısının belirtilen dönemde insan nüfusunu geçtiği sonucuna varılabilmektedir. 2020 yılında ise bağlantılı cihaz sayısının 50 milyara ulaşacağı öngörülmektedir.

Nesnelerin İnterneti
Internet of Things (“Nesnelerin İnterneti”) terimi ilk defa 1999 yılında Kevin Ashton tarafından ortaya atıldı. Ashton, bu kavramı fiziksel dünyada birçok yerde bulunan sensörler aracılığıyla sistemlerin İnternet üzerinden bağlantılı olabilmesi durumu için ifade etmiştir. 2000’lerde kullanılan mobil cihaz (dizüstü bilgisayar, akıllı telefon, tablet vb.) sayısındaki artış bu terimin içi dolu, anlamlı hale gelmesini sağladı. Bağlantılı cihaz sayısının ulaştığı seviye ve cihazların kabiliyetleri sebebiyle 2009 yılı Nesnelerin İnterneti teriminin doğduğu yıl olarak kabul görmektedir. Günümüzde Nesnelerin İnterneti çözümleri birçok kişinin hayatını, davranış ve karar alma biçimlerini, sektörlerin ise iş yapış biçimlerini yeniden şekillendirmektedir. Bu çözümler enerji, veri iletim altyapısı ve trafik sistemleriyle akıllı şehirleri, güvenlik, sağlık, iklimlendirme sistemleri vasıtasıyla özel hayatımıza yönelik olabilmektedir. Nesnelerin İnterneti çözümleri yaygın olarak bulunan kablosuz bağlantılar, anlık veri aktarımı üzerinden gerçek zamanlı veri işleme, gömülü sistemlerin ve sensörlerin gelişimi sayesinde evrim geçirerek günümüzdeki halini almıştır.

Nesnelerin İnterneti Üzerine Kaygılar
Gün içinde attığımız adım sayımızı veya gece uyku kalitemizi takip eden bir bileklik, rotamızı optimize etmeye yarayan bir trafik uygulaması ya da çeşitli medyaları izleyebilmek, dinleyebilmek amacıyla kullandığımız akıllı televizyonlar, yani Nesnelerin İnterneti çözümleri etrafımızı çevreleyen her yerdeler, bize kalp atışlarımız kadar yakın konumdalar.

Yarattığı fırsatlar ve kolaylıkların nimetlerinden faydalanıyor olsak da, insanlar Nesnelerin İnterneti’nin oluşturduğu güvenlik ve mahremiyet risklerinden kaygı duymaktadır. İlk Nesnelerin İnterneti çözümleri kameralar kullanılarak halka açık ortamların gözetimini, daha sonra konum tabanlı sistemler sebebiyle dolaylı da olsa gezdiğimiz lokasyonları takip eden ve son olarak evimizin içine kadar giren çözümler aracılığıyla özel hayatımızı dahi izleyebilecek hale gelmiştir. Yaşadığımız zaman diliminde bir diğer teknoloji olan Yapay Zeka’nın da ilerlemesiyle insanların “Biri Bizi Gözetliyor” tarzı bir distopyanın içinde hissedebilmeleri mümkün görünüyor. Kısacası, kaygılar insanların takip edildiği ve gözetlendiği düşüncesine sahip olmalarından, kişisel verilerinin yetkisiz kişiler tarafından amacı dışında kullanılabileceğini düşünmelerinden kaynaklanmaktadır. Bununla birlikte akıllı sistemler ve altyapıların (enerji vb.) bağlantılı olması nedeniyle oluşabilecek kesintilerde hayatımızın orta yerine konumlanmış temel hizmetlere erişememek ve faydalanamamakta bir diğer endişedir.

Uzmanlar, insanların kaygılanmalarına sebep olan bu risklerin Nesnelerin İnterneti’nin gelişim sürecinin yeterli güvenlik standartları ve regülasyonları olmadan yaşanmasına borçlu olduğunu ifade etmektedir. İlke olarak “Secure by Design”, “Privacy by Design” bir ürünün tasarlanması sırasında güvenlik ve mahremiyetin özellik olarak ele alınması gerektiğini anlamına gelir. Birçok Nesnelerin İnterneti çözümünün ortaya çıkış serüvenlerinde bu ilkelerin gözetilmediği yaşanan ihlal olaylarından anlaşılmaktadır.

Nesnelerin İnterneti Zafiyetleri
Nesnelerin İnterneti’ne her geçen gün dâhil olan cihaz sayısının arttığına dayanarak saldırı yüzeyinin de genişlediğini belirtebiliriz. 2014 yılında Nesnelerin İnterneti cihazlarında bulunan en kritik 10 zafiyeti, web uygulamaları güvenliğinde kar amacı gütmeyen bir kuruluş olarak hizmet veren OWASP aşağıdaki şekilde tanımlamıştır.


  • I1 Insecure Web Interface (Güvenli olmayan Web Arayüzü)
    • Kullanıcı arayüzünün kolaylıkla keşfedilebilir olması
    • Ürün kurulumunda kullanılan varsayılan parolaların değiştirilmemesi
    • Arayüzün Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
  • I2 Insufficient Authentication/Authorization (Yetkisiz Kimliklendirme ve Yetkilendirme)
    • Kompleks parola politikasının uygulanmaması
    • Kullanıcı hesap bilgilerinin açık metin olarak aktarılması
    • Zayıf parola resetleme seçeneklerinin bulunması
  • I3 Insecure Network Services (Güvenli olmayan Ağ Servisleri)
    • Cihaz üzerinde ihtiyaç duyulmayan açık portların bulunması
    • Servis dışı bırakma (DoS) saldırılarına açık olması
  • I4 Lack of Transport Encryption (İletimde Şifreleme Eksikliği)
    • Verilerin açık metin olarak aktarılması
    • Kabul görmüş şifreleme ayarlarının kurulu olması
  • I5 Privacy Concerns (Mahremiyet Endişeleri)
    • Gereğinden fazla veri toplanması
    • Kişisel verilerin saklanması ve iletiminde şifrelemenin kullanılmaması
    • Veri saklama politikasının bulunmaması
  • I6 Insecure Cloud Interface (Yetersiz Bulut Arayüzü)
    • Bulut sistemlerin kolay, tahmin edilebilir parolalara sahip olması
    • Bulut sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
    • Bulut sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
  • I7 Insecure Mobile Interface (Yetersiz Mobil Arayüzü)
    • Mobil sistemlerin kolay, tahmin edilebilir parolalara sahip olması
    • Mobil sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
    • Mobil sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
  • I8 Insufficient Security Configurability (Yetersiz Güvenlik Yapılandırılabilirliği)
    • Yönetici ve kullanıcı yetkilendirmelerinin farklı olarak yapılamaması
    • Güvenlik kontrollerinin sınırlı olarak değiştirilebilirliği
  • I9 Insecure Software/Firmware (Yetersiz Yazılım/Aygıt Yazılımı)
    • Güvenlik açıklıkları bulunduğunda güncellenememesi
    • Gömülü kullanıcı giriş bilgilerinin bulunması
  • I10 Poor Physical Security (Zayıf Fiziksel Güvenlik)
    • Cihazların kurcalamaya karşı savunmasız olması
    • Portlarının (USB vb.) cihaza kurulum arayüzlerine erişebilmek için kullanılabilmesi

Bir Saldırının Anatomisi
İnternet’e açık bir bilgisayarın saldırganlar tarafından ele geçirildikten sonra uzaktan komutlarla çalıştırılabilmesi sebebiyle bunlara zombi bilgisayar denilmektedir. Zombi bilgisayarların çoğunlukla bir saldırgan ağına bağlı olarak koordineli olarak hareket ettirilerek saldırılarda kullanılması söz konusudur. Bilgisayarların bulunduğu bu ağ, botnet olarak adlandırılmaktadır. Günümüze kadar bilinen en büyük Dağıtık Servis Dışı Bırakma (DDoS) saldırısı bir Nesnelerin İnterneti botnet grubu (“Mirai Botnet”) tarafından 21 Ekim 2016 tarihinde gerçekleşmiştir. Bu botnet grubu, 25 binin üzerinde IP kamera içermekteydi. Saldırganlar kameralara, kurulumdan sonra değiştirilmemiş varsayılan giriş bilgilerini kaba kuvvet (“brute force attack”) saldırısıyla istismar ederek ulaşmışlar ve kontrollerini ele geçirmişlerdir. Dyn adındaki DNS Sunucusuna yapılan kötü niyeti on milyonlarca istek sebebiyle sunucu gelen normal kullanıcılara ait taleplere cevap veremez hale gelmiş ve bir süreliğine servis dışı kalmıştır. ABD’de gerçekleşen bu saldırı sonucunda kullanıcılar birçok Internet devi şirketlerin çevrimiçi hizmetlerine erişememiştir.

Sonuç
İnternet’in ortaya çıkışından itibaren insanlığın bağlantılı olma eğilimi yükselen bir hızla günümüze ulaşmıştır ve önümüzdeki dönemde ivmelenerek devam edeceği öngörülmektedir. Giderek artan bir hızla büyüyen ve hayatımızı şekillendiren teknolojilerden Nesnelerin İnterneti yarattığı faydalarla birlikte risklere de sahiptir. Bu durum madalyonun iki yüzü gibi hem olumlu hem de olumsuz durumların doğmasına sebep olabilir. Nesnelerin İnterneti çözümleri, yaşam döngülerini düzenleyen regülasyonların ve standartların olmaması nedeniyle birçok zafiyete barındırmaktadır. Bu açıklıklar kullanılarak hem özel hem de toplumsal hayatlarımızı ilgilendiren saldırılarla karşılaşılmaktadır.  Nazım Hikmet’ten bir alıntıyla bitirecek olursak, büyük şair 24 Eylül 1945’te yazdığı şiirde “En güzel günlerimiz henüz yaşamadıklarımız” diyordu. Nesnelerin İnterneti hayatımıza getirdiği ve getireceği rahatlıkla en güzel günlerimizi vadediyor. Ancak, diğer taraftan bağlantılı sistemler barındırdıkları zafiyetlerle daha önce görmediğimiz kadar kötü, kâbus dolu günlere de gebe olabilir.

13 Temmuz 2018 Cuma

Güvenlik Ekonomisinin Kinetiği


Rehin alınan bilgisayarlar nedeniyle hizmet dışı kalan üretim bantları, kişisel verilerin çalınması sebebiyle kimlik hırsızlığı/sahtecilikler ve hatta hackerların (saldırganlar) ekonomik ve teknolojik olarak dünyanın en gelişmiş ülkesinin seçim sonuçlarını etkilediği şüphesi son dönemlerin en bilinen siber olayları arasında yer almaktadır. World Economic Forum (Dünya Ekonomik Forumu) şirketlerin üst düzey yöneticileriyle gerçekleştirdiği 2018 yılı Global Risk Raporu’na göre Siber Saldırılar ankete katılanların en çok endişe duyduğu risk olarak değerlendirilmiştir.[1] Gemisini tehlikeli ve dalgalı sularda yüzdüren kaptan edasıyla korsanlar tarafından hedef alınan şirketlerin üst düzey yöneticileri siber güvenlik tehditlerini ve önlemlerini yönetim kurullarının gündemlerine taşımaktadırlar. Bu yazımızda tavşana kaç, tazıya tut diyen siber güvenlik ekonomisinin ana hatlarıyla oluşum ve gelişim eğilimlerini konu alacağız.  

Saldırganların Motivasyonu

Siber olayların anatomisi incelendiğinde, döneminin teknolojik imkânları ve özelliklerinden bağımsız olarak değerlendirilemeyeceği çıkarımında bulunabiliriz. Bilgi Teknolojilerinin deneysellikten kurtulup, pratik olarak da hayatımıza girdiği 1980’lerde imkânlar çoğunlukla akademik amaçlarla kullanılmaktaydı. Bu akademik kullanıcılar teknik olarak bilinçli bireyler olmalarının yanı sıra eğlence amacıyla sistemlerin zayıflıklarını istismar edebilmekteydi. 2000’li yıllara gelindiğinde “.com” furyasının yaşandığı, web sitelerin revaçta olduğu bir dönemde saldırganlar, çoğunlukla kamuya açık bu siteleri hackleyip geride izlerini bırakmaya çalışan yani şöhret amacıyla saldırı gerçekleştirenlerdi. Devamında, 2000’lerin ilk döneminde saldırganlar sadece geride iz bırakmayı değil sistemleri de ele geçirerek verileri çalma ve değiştirme yoluyla maddi kazançlar sağlamak amacıyla saldırılarda bulunmuşlardır. Devletlerin ve özel sektörün teknoloji kullanımı ve bağımlılığının artmasının ardından saldırganlar, politik ve hacktivist amaçlarla saldırılar gerçekleştirmeye başlamışlardır. Bu saldırılar devlet destekli olarak enerji ve kritik altyapılara zarar vermek, ticari veya devlet sırlarını çalmak üzerine olduğu kadar toplumsal olarak şeffaflık ve hesap verilebilirliği sağlamak amacıyla politikacıları hedef alan örneklerine rastlanmaktadır.

Saldırı Yüzeyi

Bu konu başlığını bağlantılılık ve veri hacminin genişlemesi olarak da isimlendirebilmek mümkün olmakla birlikte, bağlantının saldırgan tarafından bilgi barındıran, işleyen, ileten ortamlara erişme ve istismar etmesini sağladığı gerekçesiyle saldırı yüzeyi olarak adlandırılmıştır. Bilgisayar ağlarının kurulması ve yaygınlaşmasıyla bu bilgisayar ağlarının bağlantılı olduğu sistemlere de saldırı gerçekleştirilmeye başlanmıştır. Dolayısıyla, bağlantılılık hareketiyle saldırı hareketinin eş güdümlü ilerlediği ifade edilebilir. Örneğin, günümüzün trendi olan Nesnelerin Internetini değerlendirecek olursak bağlantılı cihaz sayısının giderek arttığını, bu cihazların akıllı sistemler, kritik altyapılar ve kişisel veriler içeren uygulamalar olarak birçok siber saldırının hedefi olduğunu belirtebiliriz. Saldırı yüzeyi vasıtasıyla istismar edilen kaynaklar hedef olduğu kadar, “enfekte sistemler” üzerinden yeni saldırıların gerçekleştirilebilmesi sebebiyle tehdit de olabilmektedir.

Savunmanın Maliyeti ile Saldırının Maliyeti Arasındaki Farklılıklar

Bir siber olayın taraflarını saldırganlar ve savunanlar olarak ele alabiliriz. Bilgi ve İletişim Teknolojilerinin ortaya çıkmasından itibaren bu iki taraf arasında yaşanan üstünlük mücadelesini “Hırsıza kilit dayanmaz” atasözümüzle açıklamak doğru olacaktır. Savunan taraf kendisini güvende hissetmek için birçok önleyici, caydırıcı, tespit edici adımlar atsa da saldıranlar bu önlemleri ekarte edecek veya etrafından dolaşacak yolları bulmaktadır.

Taraflar arasındaki mücadele tarihsel olarak incelendiğinde, saldırıların gerçekleştirilmesi için gerekli olan yetenek kümesinin ve özelliklerinin teknolojilerin ortaya çıktığı dönem ile yaygınlaştığı dönem arasında ciddi farklılıklara sahne olduğunu görebilmekteyiz. Başlangıç döneminde teknolojik özelliklerin anlaşılması ve istismar edilebilmesi yerleşik bir kültür olmaması sebebiyle saldırganlar tarafından nadiren ve zorlukla gerçekleştirilebilmekteydi. Gelişme döneminde, teknolojileri anlayan ve kendi amaçları uğruna kullanabilen bireyler ve gruplar ortaya çıktı ve istismarı gerçekleştirebilmek için kendileri için gerekli olan araçları/scriptleri yazabilmekteydiler. Teknolojik olarak kültürün oluştuğu ve olgunlaştığı dönemde ise topluluklar (community) ortaya çıktı ve bunlar otomatize araçlar ve uygulamaları oluşturarak güvenlik dünyasının çehresini değiştirdiler. Otomatize araçlar bazı örneklerinde ara yüzlere de sahip ve kolaylıkla erişilebilir olarak, bir tuşla hedef sistemi tarayıp zafiyetlerini raporlar hale geldi. Bu durum sonuç olarak aracı kullanan kişilerin gereksinim duyduğu yetenek kümesini daraltmakta ve doğal olarak sıradan kişiler tarafından saldırı gerçekleştirilebilmesine imkân tanımaktadır.   

Siber olayı savunanlar tarafından ele aldığımızda yani işletmeler, sivil toplum, kamu kuruluşları vb. doğaları gereği var olma amaçlarının kârlılık, pazar payı, sosyal fayda olduğunu, kaynaklarını fırsatları kovalamaya yönelik olarak kullandıklarını görebilmekteyiz. Bu durumda kurum içinde savunma amacıyla yeterli kaynakların tahsis edilmediği, sorumluların atanmadığı, paydaşlarda bilincin oluşturulmadığı örneklerle karşılaşılabilmektedir. İyimser bir varsayımda bulunarak risk odaklı yönetilen kurumları ele alırsak, onların da yatırım yapacak birçok güvenlik çözümü ve hizmeti olduğunu, bu çözümlerin sadece satın alınmalarının yeterli olmadığını, bu nedenle konfigürasyonlarının da doğru yapılmasının gerektiğini ve birçok güvenlik süreçlerini ve uygulamalarını işleten kişilerin gerekli yetkinlik düzeyini sağlayabilmeleri gibi zorluklarla yüzleşeceklerini ifade edebiliriz.

Sonuç olarak, günümüzde saldırı gerçekleştirebilmek için saldırı yüzeyi genişleyip kişilerin sahip olması gereken kabiliyetler gittikçe azalmakta ve maddi gereksinimler düşük düzeyde iken, savunanlar için güvenlik önlemlerini alabilmek için yüksek bütçe kalemleri ve yüksek nitelikli personele ihtiyaç artmaktadır. Saldırganlar ve savunanlar arasındaki bu mücadele tarihsel olarak günümüze kadar evrilerek gelmiştir ve gelecekte de devam edecektir.



[1] https://www.weforum.org/agenda/2018/01/our-exposure-to-cyberattacks-is-growing-we-need-to-become-cyber-risk-ready

21 Kasım 2017 Salı

CEN/Cenelec ISO/IEC 27001:2017 Revizyonu

Bilindiği üzere ülkemizde ISO 27001 standardının en son kabul edilen ve Türkçe’ye çevirisi yapılan versiyonu TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi standardıdır. ISO her 5 yılda bir uluslararası standartları gözden geçirerek, zaman içerisinde oluşan ihtiyaçlar doğrultusunda revize etmektedir.
ISO/IEC 27001:2013 standardında da CEN (Avrupa Standardizasyon Komitesi) tarafından 2017 yılında revizyona gidilmiştir. Bu standart değişikliği ISO tarafından yapılmamış olup, CEN/Cenelec tarafından yapıldığı için, Avrupa’daki standart düzenlemeleri için genel çerçeve oluşturmaktadır. Yani bölgesel bir düzenlemedir.

Yapılan revizyona göre yeni standart BS EN ISO/IEC 27001:2017 olarak yayınlanmıştır. Ülkemizde ise halen TS ISO/IEC 27001:2013 standardı geçerliliğini korumaktadır ve bu standarda göre belgelendirme yapılmaktadır.

Ancak bu değişikliklerin ISO tarafından da periyodik revizyonlarda dikkate alınacağını değerlendirerek, ISO 27001 standardında yapılan değişiklikleri bu yazımızda ele almak istiyoruz.

ISO 27001 revizyonu ile birlikte; ISO 27002 ve ISO 27000 standartlarında da revize gerçekleşmiştir. ISO 27002 kapsamında iki temel kontrol maddesinde aşağıdaki değişiklikler yapılmıştır.

8.1.1 Varlık Envanteri
Kontrol -2013 Versiyon

Bilgi ve bilgi işleme olanakları ile ilgili varlıklar belirlenmeli ve bu varlıkların bir envanteri çıkarılmalı ve idame ettirilmelidir.

Assets associated with information and information processing facilities shall be identified and an inventory of these assets shall be drawn up and maintained.

Kontrol -2017 Versiyon

Bilgi ve bilgiye ilişkin diğer varlıklar ile bilgi işleme olanakları ve ilgili varlıklar belirlenmeli ve bu varlıkların bir envateri çıkarılmalı ve idame ettirilmelidir.

Information, other assets associated with information and information processing facilities should be identified and an inventory of these assets should be drawn up and maintained.

Bu değişikliğe göre varlık envanteri yaklaşımının bilgiler üzerine kurulması esas teşkil edecektir.
Uygulama açısından bakıldığında varlıkları; “bilgi” temelinde sınıflandırıp, envanterde bu bilgileri temel alarak, işleme olanakları ve ilişkili tüm varlıklara yer verme yöntemi izlenebilir.

Örnek:
Örneğin bilgi varlıklarına Gizlilik sınıflandırması temelinde bakarsak, Gizlilik sınıfları için varlıkları bilgi temelli olarak aşağıdaki gibi oluşturabiliriz.
Gizli Varlıklar     :İş Planları, Fiyat Teklifleri, Müşteri Sözleşmeleri, Kredi Kartı Bilgileri vb.
Dahili Varlıklar   :Personel Listesi, Standartlar ve Prosedürler, Ekipman Envanter Bilgileri vb.
Genel Varlıklar   :Kamu Bilgilendirmeleri, Faaliyet Raporları vb.

Varlık envanteri yöntemi içinde aynı şekilde bilgi temelli yaklaşım oluşturulabilir.

Örnek:
Bilgi
İlişkili Varlıklar
Açıklama
Kategori
Gizlilik
Bütünlük
Erişilebilirlik
Personel Özlük Bilgileri
Özlük dosyası
Özlük bilgilerinin tutulduğu klasörler
Basılı bilgiler
Gizli
Yüksek
Orta
Bordrolama personeli
Bordroloma işini yapan yetkin personel kaynağı
İnsan Kaynağı
-
-
Yüksek
HR Uygulaması
Özlük bilgilerinin tutulduğu ve işlendiği uygulama
Bilgi sistemleri
Gizli
Yüksek
Yüksek

8.1.3 Varlıkların Kabul Edilebilir Kullanımı
Uygulama Rehberi -2013 Versiyon

Kuruluşun varlıklarını kullanan veya bunlara erişimi olan çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri hakkında farkındalıkları sağlanmalıdır. Bu kullanıcılar tüm bilgi işleme kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm kullanımlardan sorumlu olmalıdır.

Employees and external party users using or having access to the organization’s assets should be made aware of the information security requirements of the organization’s assets associated with information and information processing facilities and resources. They should be responsible for their use of any information processing resources and of any such use carried out under their responsibility

Uygulama Rehberi -2017 Versiyon

Kuruluşun varlıklarını kullanan veya bunlara erişimi olan çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri hakkında farkındalıkları sağlanmalıdır.

Employees and external party users using or having access to the organization’s assets should be made aware of the information security requirements of the organization’s assets associated with information and information processing facilities and resources.

Bu değişikliğe göre; “Bu kullanıcılar tüm bilgi işleme kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm kullanımlardan sorumlu olmalıdır.” ifadesi ISO 27002 uygulama rehberi tanımlamasından çıkartılmıştır.


31 Ekim 2017 Salı

Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği- ISO 27001 Kapsam Değişikliği



Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği- ISO 27001 Kapsam Değişikliği

Bilindiği gibi 21.05.2014 tarihli ve 29006 sayılı Resmi Gazete'de yayımlanan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği ile yetkilendirilmiş yükümlü statüsü için gereken koşullar, başvuruda aranacak belgeler, sertifikanın verilmesi, süresi, yenilenmesi, değiştirilmesi, askıya alınması, geri alınması ve iptali ile bu sertifika kapsamında faydalanılacak izinli gönderici, izinli alıcı, ithalatta yerinde gümrükleme, onaylanmış ihracatçı, eksik beyan, kısmi teminat, götürü teminat uygulamaları, beyanın kontrolüne yönelik kolaylaştırmalar, emniyet ve güvenlik yönlü kolaylaştırmalar ile bu uygulama ve kolaylaştırmalardan faydalanma yetkilerinin askıya alınması, geri alınması ve iptali ile gümrük mevzuatından kaynaklanan diğer basitleştirilmiş uygulamalara ilişkin usul ve esaslar belirlenmiştir. Bu kapsamda firmaların yetkilendirilmiş yükümlü statüsü sahibi olabilmesi adına hazırlık sürecindeki ön şart olarak tanımlanan şartlardan biri de ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 9001 Kalite Yönetim Sistemi belgesi sahibi olmak olarak tanımlanmıştır. Yönetim sistemlerinin firmanın minimumda hangi kapsamda uygulaması gerektiği konusu da yönetmelikte tanımlanmaktadır.  

13.09.2017 tarihli ve 30209 sayılı Resmi Gazete’de yayımlanan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmeliği ile ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 9001 Kalite Yönetim Sistemi belgesi için yönetmelikte tanımlanan kapsam revize edilmiştir.
21.05.2014 tarihli ve 29006 sayılı Resmi Gazete Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinde tanımlanan ISO 27001 ve ISO 9001 kapsamı şu şekilde tanımlanmakta idi;

(3) Birinci fıkranın (e) bendinde sayılan;
a) ISO 9001 sertifikası, başvuru sahibinin dış ticaret, gümrükleme, yönetim ve idari organizasyon faaliyetleri ile bu faaliyetlerle ilişkili işlemlerini ve bunlara bağlı üretim ve hizmet sunumlarını,
b) ISO 27001 sertifikası; ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi faaliyetlerinin elektronik bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı bilişim güvenliğini kapsamalıdır.

13.09.2017 tarihli ve 30209 sayılı Resmi Gazete Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelikte tanımlanan ISO 27001 ve ISO 9001 kapsamı şu şekilde revize edilmiştir;

MADDE 9 – Aynı Yönetmeliğin 10 uncu maddesinin üçüncü fıkrası aşağıdaki şekilde değiştirilmiştir. “(3) Birinci fıkranın (e) bendinde sayılan;
a) ISO 9001 sertifikası, başvuru sahibinin gümrük, dış ticaret, üretim, lojistik, yönetim ve idari organizasyon faaliyetlerini,
b) ISO 27001 sertifikası; gümrük ve dış ticaret işlemlerini ve bu işlemlerine ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem faaliyetlerinin bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı güvenlik önlemlerini,
kapsamalı ve bu faaliyetlerin yürütüldüğü tüm idari bina ve tesislere ilişkin olarak alınmış olmalıdır.”

Revize edilen kapsamda değerlendirilmesi gereken faaliyetler gümrük ve dış ticaret işlemlerini ve bu işlemlerine ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem faaliyetleri olarak revize edilmiştir. Eski kapsam ifadesine ek olarak kapsam dahilindeki faaliyetlerin yürütüldüğü tüm idari bina ve tesislerin de kapsama dahil edilmesi gerektiği eklenmiştir. Ayrıca eski kapsam ifadesinde geçen elektronik bilgi varlıklarını kapsar ifadesi; bilgi varlıkları olarak revize edilmiştir. Böylece elektronik olmayan bilgi varlıklarının da kapsama alınıp alınmaması hususu da netleştirilmiştir. Yetkilendirilmiş Yükümlülük Statüsü kapsamında ISO 27001 Bilgi güvenliği Yönetim Sistemi belgelendirme sürecini tamamlamış veya belgelendirilme sürecine henüz girecek firmalar, bu değişikliği göz önüne alarak kapsam çalışmalarını gözden geçirmelidir.

27 Ekim 2017 Cuma

KİŞİSEL VERİLERİN KORUNMASI KONUSUNDA UYGULANABİLECEK BİLGİ GÜVENLİĞİ KONTROLLERİ

Günlük hayatımızda teknolojiyi kullanma yatkınlığımız her geçen gün artmaktadır. Bu eğilim içerisinde yaşamımızda önemli bir rol oynamaya başlayan Bilgi Güvenliği terimi ön plana çıkmaktadır. Bilgi Güvenliğini doğru şekilde sağlamaya yönelik kaygıların sadece günümüzün problemi olduğunu düşünüyorsanız yanılıyorsunuz demektir. Çünkü içinde bulunduğumuz çağda önce sunucuların daha sonra kişisel bilgisayarların arkasından Internet’in devamında mobil cihazların ve son olarak nesnelerin internetinin ortaya çıkmasıyla her dönemde güvenlik kaygıları oluşmuştur. Dahası, Bilgi Güvenliği çağımızda yaşanan bu gelişmelerin de dışında mazisi milattan önceye varan örnekleri içermektedir. Bu örneklerin en eskilerinden biri; önemli yazışmaların ve metinlerin gizliliğinin korunabilmesi amacıyla kriptografik yöntemlerle şifrelenerek (bkz. Sezar şifresi) iletilmesidir. Bilgi güvenliği terimi bilginin gizlilik “bilginin yetkisiz kişilere ifşasını engellemek” olduğu kadar bütünlük “yetkisiz değişimleri engelleyerek tamlığını ve doğruluğunu korumak” ve erişilebilirlik “ihtiyaç duyulduğunda kullanılabilir olması” özelliklerini de sağlamaya yöneliktir.

Yaşadığımız çağda gündemi bilgi güvenliği kadar işgal eden diğer bir konu ise mahremiyettir. Mahremiyet, kişinin kendisine ve yaşam alanına müdahale edilmemesi ya da kendine ait bilgilerin bilinmesini istemediği kişilerden soyutlanması olarak tanımlanabilir. Kişiyi tanımlayan bilgiler kimlik numarası, müşteri numarası olabileceği gibi sağlık, cinsel hayat, adli sicil kaydı gibi hassas veriler de olabilmektedir. Mahremiyetin ana motivasyonunun kişiye ait bilgilere yetkisiz kişilerin erişmemesidir. Özetle mahremiyet kavramında gizliliğin önemli bir faktör olduğu ifade edilebilir. Bu faktöre ek olarak Kişisel Verilerin Korunmasını düzenleyen ulusal ve uluslararası mevzuatlarda kişisel verilerin işlenebilmesi için “Doğru ve gerektiğinde güncel olma” ilkesi yer almaktadır. Bu nedenle “bilginin bütünlüğü”nün de korunması gereken bir başka faktör olduğu anlaşılmaktadır.  

Bilgi Güvenliği Standardı

Bilgi Güvenliğinin sistematik bir biçimde uygulanabilmesi amacıyla ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 2005 yılında yayınlanmıştır. Bu standart 2013 yılında revizyona uğrayarak güncel olarak kullanılan haline kavuşmuştur. Standart, uygulanacak yönetim sistemini tarif etmekle birlikte, Ek-A bölümünde yer alan 14 alanda 114 teknik güvenlik kontrolü de içermektedir. Bu kontroller uygulanırken dikkat edilecek iyi uygulama tavsiyeleri ISO/IEC 27002:2013 Uygulama Pratikleri standardında tanımlanmıştır.

Kanuni Düzenlemeler

Mahremiyete ilişkin düzenlemeler 2. Dünya Savaşı sonrasında ortaya çıkmıştır. 1948 yılında özel hayatın gizliliğini korumaya yönelik madde (bkz. Madde 12) içeren İnsan Hakları Evrensel Beyannamesini 1970’lerde İsveç, Almanya ve Amerika Birleşik Devletleri’ndeki Mahremiyet yasaları izlemiştir. Avrupa Birliği’nin üyesi ve üyelik sürecindeki ülkelerin veri koruma düzenlemelerini tanımlayan Veri Koruma Direktifi (bkz. Data Protection Directive 95/46/EC) 1995’te yürürlüğe girmiştir. Avrupa Birliği’nin yeni bir düzenlemesi olan General Data Protection Regulation (GDPR) 2016 yılında kabul edilmiş ve Mayıs 2018’de yürürlüğe girecektir. Avrupa Birliği sakini veya vatandaşlarının kişisel verisini işleyen veri sorumlularının bu düzenlemeye uyumlu olmaları gerekmektedir.

Türkiye Cumhuriyeti’nin mahremiyete ilişkin en kayda değer düzenlemelerinden birisi 2010 yılında Anayasa’nın 20. Maddesi olan özel hayatın gizliliğinde yapılan değişiklikle kişisel verilerin korunmasına ilişkin maddenin eklenmesidir. Ayrıca, Türkiye Cumhuriyeti’nde Avrupa Birliğine üyelik sürecinin bir parçası olarak 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu bu direktife uyumlu olarak oluşturulmuştur.

ISO 27001:2005 ve ISO 27001:2013’te Kişisel Verilerin Korunması Kontrolü

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 2005 sürümünde “A.15 Uyum” alanı “A.15.1 Yasal gereksinimlere uyum” kontrolünün “A.15.1.4 Veri koruma ve kişisel bilgilerin gizliliği” detaylı teknik kontrolü altında “Uygun yasa, düzenlemeler ve varsa anlaşma maddelerinde belirtildiği gibi veri koruma ve gizlilik sağlanmalıdır.” olarak tanımlanmaktadır. Standardın 2013 yılında yayınlanan güncel sürümünde “A.18 Uyum” “A.18.1 Yasal ve sözleşmeye tabi gereksinimlere uyum” kontrolünün “A.18.1.4 Kişi tespit bilgisinin gizliliği ve korunması” detaylı teknik kontrolü altında “Kişiyi tespit bilgisinin gizliliği ve korunması uygulanabilen yerlerde yasa ve düzenlemeler ile sağlanmalıdır.” olarak ifade edilmiştir. Bu kontrol, standardı uygulamak isteyen bir organizasyonun bulunduğu ülkelerde Mahremiyet veya Kişisel Verilerin Korunmasına ilişkin mevzuatlar veya sözleşmelerinde ilgili hükümler bulunuyorsa uyum sağlamak zorunda olduğu anlamına gelmektedir. Örneğin, İngiltere’de 1998 yılında Veri Koruma Yasası (bkz. Data Protection Act 1998) yürürlüğe girmiştir. İngiltere’de ISO/IEC 27001’i kılavuz alarak Bilgi Güvenliği Yönetim Sistemi kuran kuruluşların belirttiğimiz yasaya uyumu sağlamaları zorunludur. Aynı şekilde, kanunun ülkemizde yürürlüğe girdiği 7 Nisan 2016 tarihinden itibaren ISO/IEC 27001 projesi gerçekleştiren kuruluşlarda artık belirttiğimiz kontrol gereği yönetim sistemlerini kanunun gereksinimlerine uyumlu kurmaları gerekmektedir. 

Kişisel Verilerin Korunması için ISO 27001:2013 EK-A’da Bulunan Uygulanabilir Teknik Kontroller

Kanun, veri sahibine çeşitli haklar tanımlarken (bkz. KVKK 11. Madde) veri sorumlusu ve veri işleyenlere yönelik olarak kişisel verilerin işlenmesi için bazı ilkeleri, şartları ve yükümlülükleri tanımlamaktadır. Bu yükümlülüklere uymak isteyen veri sorumluları için ISO/IEC 27001:2013 Ek-A’da yer alan uygulanabilir kontrollerden bazılarını kanun gereksinimleri değerlendirildikten sonra parantez içinde aşağıda tanımlayacağız.

Kanunun 12. Maddesi “Veri güvenliğine ilişkin yükümlülükler” aşağıdaki şekilde belirtilmiştir.

(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Bu fıkrada kişisel verilerin hukuka aykırı olarak işlenmesi genel anlamda kanunda tanımlanan ilkelere (bkz. Madde 4) ve şartlara (bkz. Madde 5, 6, 7, 8, 9) aykırı olarak işlenmesi olarak ifade edilebilir. Örneğin kişisel verilerin belirlenen amaç dışında kullanılması, güncel tutulmaması, mevzuatlarda yer alan süre kadar saklanmamaları bu aykırılıklara örnek verilebilir. Bu konular kişisel verilerin işlenmesine özel bir yönetim yapısı, süreçler ve prosedürler tanımlanarak ve uygulanarak yönetilebilir.

Ancak, hukuka aykırı erişilmesini önlemek üzere uygulanabilecek birçok teknik kontrol bulunmaktadır. ISO/IEC 27001:2013’te bu konu üzerine A.9 Erişim Kontrolü alanı bulunmaktadır. Bu alanda bilgi varlıklarına erişim politikalarının oluşturulması, kullanıcıların kaydedilmesi ve silinmesi süreci, erişim haklarının verilmesi, düzenlenmesi, kaldırılması süreci ve erişim haklarının düzenli olarak gözden geçirilmesi, güçlü parolaların kullanılması gibi kontroller bulunmaktadır.

Diğer taraftan kişisel verilere sadece yetkili kişilerin erişiminin sağlanabilmesi amacıyla A.11 Fiziksel ve çevresel güvenlik kontrolleri de uygulanabilir. Bu alanda fiziksel güvenlik sınırları, güvenli alanlar ve bu alanlarda çalışma koşullarının tanımlanmasının yanı sıra temiz masa temiz ekran kontrollerini de içermektedir.
Yukarıda sayılan alan güvenlik kontrollerine ek olarak aşağıdaki bilgi güvenliği kontrollerinin de uygulanması gereklidir.
  • A.13.1.3 Ağlarda ayrım: Kişisel verileri barındıran sistemler yetkisiz erişimlerin ve sızıntının engellenmesi amacıyla farklı ağlarda bulundurulmalıdır.
  • A.13.2.1 Bilgi transfer politikaları ve prosedürleri: İlgili taraflarla kişisel verilerin paylaşımında güvenli iletimi sağlayabilmek amacıyla kurallar tanımlanmalıdır.
  • A.10 Kriptografi: Kişisel verinin barındırılırken, işlenirken ve iletilirken, gizliliğini ve bütünlüğünü sağlamak amacıyla kriptografik kontroller uygulanmalıdır.
  • A.12.2.1 Kötücül yazılımlara karşı kontroller: Kişisel verilerin sızıntısına sebep olabilecek siber olayları engellemek amacıyla zararlı yazılımlara karşı mücadele edilmelidir.
  • A.12.6.1 Teknik açıklıkların yönetimi: Daha ötesinde kuruluşlar sistemlerindeki zafiyetleri düzenli olarak belirlemeli ve kapatmalıdır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

2. fıkrada veri sorumlusunun verdiği yetkiyle kendi adına kişisel verileri işleyen gerçek veya tüzel kişinin yani veri işleyenin yapacağı işlemlerde müştereken (eşit derecede) sorumlu olduğu ifade edilmektedir. Bu durumda veri işleyenden kaynaklanabilecek ihlal olaylarında Kişisel Verileri Koruma Kurulu’nun veri sorumlusunu müştereken sorumlu tutması ve ceza vermesi söz konusu olabilir. Bu sebeple veri işleyen tarafın performansının izlenmesi, uygulayacağı güvenlik önlemlerinin kontrol altında tutulması ve denetlenmesi göz önünde bulundurulabilir. (bkz. A.15.2.1 Tedarikçi hizmetlerini izleme ve gözden geçirme)
      
    (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
     (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

4. fıkrada çalışanların ve tedarikçilerin öğrendikleri kişisel verileri açıklayamamalarının gizlilik ve sır saklama yükümlülüklerini ifade ettiği söylenebilir. Kuruluşlar bu yükümlülükleri, bağlayıcı olması ve kuruluşu hukuki olarak güvence altına almak amacıyla çalışanlarıyla istihdamın başlamasından önce imzaladıkları iş sözleşmesinde tarif etmektedir. (bkz. A.7.1.2 İstihdam hüküm ve koşulları)

Diğer taraftan benzer gizlilik ve sır saklama hükümleri tedarikçilerle imzalanan Gizlilik Sözleşmesi veya Taahhütnamelerde ifade edilmektedir. (bkz. A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme) Dikkat edilmesi gereken bir nokta ise bu sözleşmelerin hükümlerini tarafların iş ilişkisinin başlamasından önce bilmesi ve kabul etmesidir.
     
     (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

5. fıkrada kişisel verilerin kanuni olmayan yollarla başkaları tarafından erişilmesi aslında bize bir veri sızıntısı ya da ifşasını anlatmaktadır. Ayrıca ifşanın yaşanması durumunda Kişisel Verileri Koruma Kurulu’na ve veri sahiplerine bildirimde bulunmamız istenmektedir. (bkz. A.6.1.3 Otoritelerle iletişim)

Veri sorumlusunun kendisinin veya bir başkasının yaşadığı ihlal olayını takip etmek için üreticilerin, uzmanların görüşlerini alması da bir ihtiyaç olarak göz önünde bulundurulabilir. (bkz. A.6.1.4 Özel ilgi grupları ile iletişim)

Veri sızıntısının kim tarafından, nasıl, ne zaman gerçekleştirildiği gibi sorulara yanıt bulmak ve tekrarlanmasını önlemek için kuruluşun aslında ihlal olayları sürecini çalıştırması gerekmektedir ve bu konu standartta yedi alt kontrole sahip bir alanda ayrıca ele alınmaktadır. (bkz. A.16 Bilgi güvenliği ihlal olayı yönetimi)

İhlal olayının araştırılması sırasında yapılacak incelemelerde sistemlerin etkin şekilde incelenebilmesi amacıyla tüm sistemlerin loglarının kayıt altına alınması (bkz. A.12.4.1 Olay kaydetme) ve bu logların yetkisiz olarak değiştirilmesinin engellenmesi sağlanmalıdır. (bkz. A.12.4.2 Kayıt bilgisinin korunması) Olayın zamanını tespit edebilmek için sistemlerin doğru ve aynı zaman ayarlarıyla çalıştığına dikkat edilmelidir. (bkz. A.12.4.4 Saat senkronizasyonu)

Sonuç

Ülkemizde ve dünyada kişisel verilerin korunmasına ilişkin düzenlemeler son yılların önemli gelişmeleri arasında yer almaktadır. Bu düzenlemelere uyum sağlamak isteyen veri sorumluları yeni süreçler oluşturmak, var olan süreçlerini optimize etmek için çeşitli kılavuzları kullanmaktadır. ISO/IEC 27001:2013 EK-A, kişisel verilerin korunması için teknik önlemlerin alınması gibi zor bir probleme tek başına çözüm olabilecek tabir-i caizse gümüş kurşun olmasa da etkili bilgi güvenliği kontrollerini tanımlamaktadır.