Gerçekten Güvende miyiz?

Kişisel Sorumluluklarımız

Her geçen gün, gerek kamu kurumları ve gerekse çok uluslu şirketler bünyesinde farklı bir siber güvenlik ya da bilgi güvenliği politikası değişikliğine şahit oluyoruz. Farklı dijital hizmetler aldığımız teknoloji sağlayıcılar, sürekli “Yeni güvenlik politikaları”na onay vermemizi istiyorlar. Cep telefonlarımıza devamlı farklı şirketlerden izin SMS’leri yağıyor. Bu noktada ister istemez, bilgi güvenliği konusunda güvende olduğumuz ilüzyonuna kapılmadan edemiyoruz. Ancak, gerçekten güvende miyiz?

Son 10 yılda, özellikle veri işleme teknolojilerinin gelişmesi ile hava yollarından bankalara, iletişim operatörlerinden kargo firmalarına kadar birçok şirket devamlı hedef haline geldi. Zira; verinin daha iyi işlenmesi dijital pazarlamayı en önemli silah haline getirirken, veri için de önemli bir talep oluşturdu. Bu gidişat sebebiyle de dünyanın en büyük yapıları dahi defalarca hedef oldu, üye ve müşterilerinin verilerini koruyamadı.

Buna karşın siber güvenlik dünyası, farklı müdafaa araç ve teknikleri geliştirirken büyük topluluklar, kurumlar ve dernekler buna ortak bir çözüm bulmak ama yeni düzenlemeler yayımlamak gerekliliğine inandı. Bu çerçevede devletler arasında siber güvenlik alanında iş birliği sözleşmeleri imzalandı; dünyada, Avrupa’da ve ülkemizde, GDPR (General Data Protection Regulation – Genel Veri Koruma Düzenlemesi) veya KVKK (Kişisel Verilerin Korunması Kanunu) gibi düzenlemeler müktesebat içerisinde yerini aldı.

Diğer yandan tüm bu gelişmeler ışığında, kafamızı çevirdiğimiz her yerde “Güvenliğiniz için”, “Verilerinizin korunması için”, “Bilgi güvenliği politikamız gereği” gibi ifadeler ile yüzleşiyor olmak, hepimizde bilgilerimizin başkaları tarafından korunduğu fikrini yarattı. Ancak ne yazık ki özellikle kişisel verilerimizin güvenliğine ilişkin gerçekler bu olan bitenin tam tersini gösteriyor.

Bir işin güvenli biçimde yürütülmesi ile güvenli biçimde yürüyor gibi gösterilmesi arasında büyük bir fark mevcut. Bankacılık, finans ve ödemeler sektörü haricinde kişisel olarak yollarımızın kesiştiği neredeyse hiçbir kurum, veri güvenliğine göründüğü kadar önem vermiyor, veremiyor. Bu noktada herhangi bir kurum veya sektörü suçlamak yerine, biraz da ihmal ettiğimiz kişisel sorumluluklarımızı sorgulamamız gerekiyor. Zira; nasıl ki aldığımız meyve-sebzeleri, ne kadar ilaçlanmış, kimyasal kullanılmadan üretilmiş olsalar dahi eve getirdiğimizde yıkıyor isek, etrafa “Saçtığımız” kişisel verilerimiz, kullandığımız tele- fonlar, bilgisayarlar veya dijital teknolojilerde de aynı hassasiyeti göstermemiz gerekiyor. Diğer bir ifade ile; bilgilerimizi başkalarının koruyor olduğu fikrinden kurtulmamız, bu konuda talepkar olmamız ve kendi kontrolümüz dahilindeki etmenlerde elimizden gelen çabayı göstermemiz zorunlu hale geliyor. Örneğin mobil cihazları ve işletim sistemlerini ele alabiliriz. Cihazlarımızın güvenlik ayarlarında “Market dışından uygulama kurulmasını engelle” seçeneği bulunuyor. Ki yalnızca bunu yapmak dahi büyük önem arz ediyor. Diğer yandan bu seçeneği işaretlemiş olmak, kullandığımız mobil cihazdaki işletim sisteminin, resmi uygulama marketindeki yazılımların güvenli olduğu anlamına mı geliyor?

Bu noktada yine karşımıza yazımızın başında bahsediyor olduğumuz, kendi peşinde koşmamız gereken sorumluluğumuzu, mobil platformun geliştiricisine ihale ediyor olduğumuz karşımıza çıkıyor. Diğer yandan, piyasaya hakim olan iki mobil platformdan birinin, yeni geliştirilen bir uygulamayı markete kabul ederek kullanıcılara sunmadan önce neredeyse hiçbir elle tutulur kontrol yürütmediğini, çok az insan biliyor. Diğer bir yandan, her türlü kontrol yürütülüyor olsa dahi, dünyada on milyonlarca kişi tarafından indirilen uygulamaların bile kullanıcı verilerini “Çalarak” yetkisiz uzak sunuculara gönderildiği vakaların her gün bir yenisi keşfediliyor. Sosyal medya için de benzeri şeyleri söylemek mümkün. Sosyal medyada kullanılan ürünün platform değil kullanıcı olduğunu akıldan çıkarmamak gerekiyor. Diğer bir ifade ile satılan veya satın alınan, istismar edilen, bizzat kullanıcılar olarak bizleriz.

Burada iki farklı tehlikeden bahsedebiliriz.

Birincisi; sosyal medya kullanıcılarının mahremiyet ayarları ne kadar kısıtlı ise; etkileşim o denli az olacağından bu ayarlar hesabınızı açtığınızda hali hazırda kısıtsız olarak sunulmuştur. Dahası, özellikle mesleki sosyal ağlar gibi platformlarda, “Verilerimin üçüncü partilere sunulmasına izin veriyorum” ayarı, varsayılan ayar olarak işaretlidir. Diğer sosyal ağlarda da benzer bir durum söz konusudur. Bu nedenle; “Ayarlar’da neler varmış?” diye bakmadığımız sürece kişisel verilerimizin pazarlanıyor olmasından şikayet etmek doğru olmayacaktır.

İkincisi; günümüzde, istenmeyen üçüncü kişiler tarafın- dan aleyhimizde kullanılabilecek ve siber saldırılara taban teşkil edebilecek verileri, altın tepside sunuyor olduğumuzun farkın- da değiliz.

Bir siber saldırı; ister bir kişiyi, ister bir kurumu hedef alı- yor olsun, aynı adımları takip eder.

Bu adımlar sırası ile; gözetleme, silahlanma, gönderi, istismar ve izlerin silinmesi olarak ifade edilebilir. Bu noktada; türü ne olursa olsun (Bir zararlı yazılım, sahte bir e-posta gönderimi, ağa veya sunucuya sızma, vb.) saldırının başarısı, saldırganın yapacağı ön araştırma ile doğru orantılıdır. Dolayısı ile; sosyal medya yolu ile sunduğumuz verileri kimlerin görebileceğine odaklanmak ve mümkün olduğunca kısıtlamak, saldırgan için önemli bir kısıtlayıcı olabilir. Buzdolabını ve hatta klimayı dahi enteresan biçimde internete bağlama ihtiyacı duyduğumuz günümüzde evimize kabul ettiğimiz bu cihazları neredeyse herkes “Varsayılan” ayarlar ile kullanıyor. Yine burada üreticilerin bizlere, ağımıza eklediğimiz bu parolaların dış dünyadan erişilebilirliği veya parola koruması ile erişilebilir olması gibi özellikler sunuyor olmasına rağmen çoğumuz bu ayarları kullanmıyoruz.

Ancak pek azımız, evimizdeki bu cihazlara dünyanın dört bir yanından kötü niyetli kişilerin erişebileceğinden ve hatta bu cihazları, dünyanın farklı noktalarına yapılan DDoS adını verdiğimiz siber saldırılarda kullanabileceğinden haberdarız. Geçtiğimiz yıllarda, sırf bu cihazlar üzerinden yayılan “Mirai” adlı zom- bir cihaz ağı (Botnet) IoT cihazlarının önemini bir kere daha hatırlattı.

Evlerimizde güvenlik amacıyla kullandığımız ve cep telefonlarımızdan takip ettiğimiz IP kameraların dahi parolasını değiştirmeyi akıl edemiyoruz. Diğer yandan internete bağlı bu cihazların Shodan gibi arama motorlarından global olarak aranarak bulunabildiğini, izlenebildiğini, bilmiyoruz veya önemsemiyoruz. Çoğu devlet, üretici veya teknoloji sahibi, bizlerin güvenliğini, bizim adımıza koruyamaz demek yanlış olmayacaktır. Üstelik bunu basit bir teknoloji okur yazarlığı ile başarmamız da pekala mümkün. Tek yapmamız gereken, sorgulamak, düşünmek ve harekete geçmek.

Söz gelimi, cep telefonumuza indirdiğimiz gazete okuma yazılımının niçin SMS’lerimize erişmeye çalıştığını merak etmek, kendi evimizdeki kamerayı bizler izleyebiliyor isek, başkasının da izleyebileceğini düşünmek ve bunu sormak, çözüm üretmek çok zor değil. Bu alanda hiçbir antivirus, güvenlik yazılımı, kanun, kural, düzenleme, bireyleri “Aklıselim” kadar iyi korumaz. Tek yapmamız gereken, kendimizi saldırganın yerine koymak, düşünmek, sorgulamak. Unutmayalım ki, Cem Yılmaz’ın esprisindeki gibi doğrudan istihbarat ajanslarının hedefi olmasanız dahi; kredi kartı veya banka hesabınızın peşinde olan bir siber dolandırıcı, evinizi izlemek- ten ve yayımlamaktan keyif alan bir siber sapık, kötü bir şekilde ayrıldığınız ve size kin besleyen eski bir personel ya da basitçe, fazla meraklı genç bir bilgisayar meraklısının hedefi olmanız işten bile değil.

Koyrak Uzun

INVICTUS A.Ş Yönetici ortağı