Bu yazıyı okumaya başladan evvel GÜVENLİK SANATI -1 başlıklı yazımı okumanızı tavsiye ediyorum. Güvenlik Sanatı serisine yazı eklemek benim için sanırım hiç de zor olmayacak. Etrafım(ız)da o kadar çok örnek var ki konu bulmak gerçekten çok kolay.
Yandaki resmi görenünce bir kısmınız konuyu tahmin etti , bir kısmınız da KEMAL UNAKITAN’ ın güvenlikle ne alakası var diyor. Konumuz Maliye’deki Büyük Skandalla ilgili. Belki haberlerde dikkatinizi çekmiştir. Maliye’nin Vergi Daireleri Otomasyon Projesi’ nde (VEDOP) yapılan saçmalık yüzünden aralarında Cumhurbaşkanımızın , Başbakanımızın da bulunduğu pek çok önemli ismin vergi ve mal varlığı bilgileri usulsüz olarak sorgulanmış ve bu bilgiler bazı özel şirketlere aktarılmıştı. İş işten geçtikten sonra da soruşturmalar , uzaklaştırmalar vs vs oldu. Ama bir kıymeti kalmadı çünkü güvenliğin en önemli ilkesi olan “SORUN OLMADAN ÖNLEM AL” ilkesi ihlal edildi.
Şimdi buradan yola çıkarak bu gibi durumlarda neler yapılmalı ve yapılmamalı üzerine birşeyler yazacağım. Öncelikle
yapılan ilk hatadan başlayalım. Elinde şifresi olan herkesin sisteme girerek istediği kişinin bilgisine ulaşabilmesi. Bu derece önemli bilgilerin olduğu sisteme girebilmek için sadece bir şifre yeterli olmamalıdır. Mesela bu şifreleyle birlikte sisteme girecek kişinin bileceği özel bir veya daha fazla bilgi girilmesi gerekmeliydi. Bu şekilde kötü niyetli bir kişi şifreyi öğrense bile diğer bilgileri bulmakta zorlanabilirdi. Yapılan diğer bir hata ise “MİNİMUM YETKİ” ilkesinin ihlal edilmesi. Sisteme bağlı herkes aynı yetkilere sahip yani isteyen istediği kişinin bilgisine ulaşabiliyor. Bence burada hiyerarşik bir yapı olmalıydı. Yani öncelikle verileri gizlilik arz edecek kişilerin bilgileri ayrı bir alanda ve kısıtlı sayıda kullanıcı tarafından erişilebilir olmalıydı. Bazı bilgileri sadece Maliye Bakanı görüntülyebilmeliydi mesela. Böylece bir sorun olduğunda çözümü de kolaylaştırmış olurlardı. Örneğin A kişisinin bilgileri sorgulanmış diyelim o zaman sadece A kişisinin verilerine erişme imkanı olan kişiler sorumlu olacaktı.
Bu gibi olaylarda çıkarılacak çok fazla ders var. İster uygulama geliştirici olun , ister bir şirkette sistem yöneticisi olun; sisteminizi kullanıcıların İLK BAŞARILI GİRİŞTEN SONRA ŞİFRELERİNİ değiştirmelerini gerektirecek şekilde yapılandırır. Böylece üzerinizdeki sorumluluk kalkacaktır. Mesela sistem yöneticisi olarak şifre verdiğiniz bir kişinin bilgisayarında bir veri kayboldu yada bu bilgisayar ile yasak işler yapıldı. O zaman siz de zan altında kalırsınız. Ama şifrelerini değiştiremek zorunda kalırlarsa sorumluluk sadece onların olacaktır. Bu kural bu konuda çok deneyimli kişler tarafından katılıdığım bir Windows Server 2003 seminerinde bana sıkı sıkya öğütlenmişti. Gerçketen de dikkat edilmesi gereken bir nokta.
Diğer önemli bir konu ise güvenliğe sadece kendimiz için değil başkaları için de dikkat etmemiz gerektiği. Yani sizin için verileriniz önemli olmayabilir ama önceki yazımda da belirttiğim gibi başkalarının verilerine de sahipsiniz. En basiti cep telefonunuzda arkadaşlarınızın numaraları kayıtlı. O nedenle telefonunuza sahip çıkmalısınız. Aksi halde başkalarının sizin yüzünüzden rahatsız edilmesine sebebiyet verebilirsiniz. Maliyede yaşanan bu olayda da başkalarına ait bilgilerin çok iyi bir şekilde korunması lazımdı ama bunu ihmal etmişler.
Yukarıda sistem yöneticileri için söylediğim şey sizin için de geçerli. Yani kullandığınız sistem size otomatik bir şifre verebilir. Siz mutlaka bunu değiştirmeyi talep etmelisiniz. Şifreyi size ağ yöneticiniz, proje yöneticiniz, arkadaşınız vs vs vermiş bile olsa siz mutlaka değiştirmeyi talep etmelisiniz. Bu herkesin huzuru için gerekli bir şey. En basiti ben AJAX-TR‘ den sisteme giriş için aldığım şifremi değiştirmiştim hemen ama eposta için verilen şifreyi değiştiremediğim için o posta adresimi önemli işlerim için henüz kullanmıyorum .
Son olarak da “FAZLA YETKİNİN GÖZ ÇIKARCAĞINI” unutmayın. Yani kimseye gereksiz yetkiler , imkanlar vermeyin. Bunlar bir şekilde size sorun çıkarabilir. Belki o kişi kötü niyetli olmayabilir ama onun yerine sisteme giren bir kişi kötü niyetli olabilir. İhtiyaç olduğu durumlarda kontrollü bir şekilde yetkileri arttırabilirsiniz ama en başta az yetki vermek daima iyidir diye düşünüyorum.
Bu konuda söylenecek çok şey var onları da diğer yazılara bırakıyorum. Ama çıkarılacak en büyük ders “AMAN BİRŞEY OLMAZ BOŞVER” dememek gerektiği. Belki bir konuda önlemi alırsınız ve bakarsınız ki o kunuda hiçbir şeklide saldırı vs olmuyor. Bu sizde önlem almanın gereksiz olduğu gibi bir izlenime neden olmasın. Sonuçta güveklik birşeyin henüz olmamış olması olmayacağı anlamına gelmez. Diama tedbrili davranmakta fayda var. Bir başka Güvenlik Sanatı yazısında görüşünceye dek güvende kalın…
Bu yazı serisinde sizlere güvenlik konusunda bilgi vermeye çalışacağım. Elbette ki güvenlik çok geniş bir kapsama sahip ama tüm bunların kesiştiği noktalar da var. Yani ben bilgi güvenliğiyle ilgili yazmayı planlıyorum ama düşünsenize şirketinizde verilerinizi tuttuğunuz sunucunuzda yazılımsal olarak her türlü güvenliği sağladınız. Anti-virüs , firewall ne var ne yok kurdunuz, herkesin erişim haklarını kısıtladınız. Artık verileriniz güven de mi? Bence değil. Mesela şirketinizde bir yangın çıktı (Allah korusun) ve siz de bu konuda hiçbir önlem almadıysanız bilgileriniz yine tehdit altında. İşte yazının başında bahsettiğim o kesişen noktalar kavramı bu. Güvenlikle ilgili çemberi genişletmek mümkün. (Soldaki şekilden bunu rahatça görebiliriz)Bilgisayar güvenliği, 
şirket güvenliği , şehir güvenliği dersek bunun içinden çıkamayız. Mutlaka bu yazıda bir yere kadar değineceğim. Genelde senaryolar ve örnekler olacak. Yine aynı şekilde gündemi meşgul eden “PERSONAL PRIVACY ” ile ilgili birşeyler bulacaksınız bu yazı dizisinde.
. Yada gidin şu siteye bakın adamlar yapmış alın okuyun yada alın kullanın gibi şeyleri beklemeyin.
Recent Comments