Siber Güvenlik Konusundaki Önemli Bir Eksik “Algı Yönetimi”
Yrd. Doç. Dr. Hasan TINMAZ
Bilgisayar Mühendisliği Bölümü / İstanbul Gelişim Üniversitesi
htinmaz@gelisim.edu.tr
- Giriş
Bilgi ve İletişim Teknolojileri günümüzde hayatımızın merkezinde yer alan en temel kavramlardan birisidir. Bilgi ve İletişim Teknolojileri özellikle de İnternet, hayatımıza birçok olumlu etki yaparken bir yandan da ülkeler düzeyinde büyük ölçekli ve/ya kişisel bağlamda küçük ölçekli güvenlik endişelerine neden olmuştur. Artık sınırların ya da kapıların kapanarak kendini güvende hissetme dönemi sona ermiş, ülkelerin ya da evlerin içerisine bile isteye getirilen Bilgi ve İletişim Teknolojileri araçlarının adeta bir Truva atı gibi insanları içten içe tehdit etmesi gerçekliği ortaya çıkmıştır. Tüm yapılan uyarılara, formal ya da nonfomal eğitimlere rağmen her gün Bilgi ve İletişim Teknolojileri tabanlı bir güvenlik sorunu ya da ihlali yaşanmaktadır. Bunların hepsinin temelinde de siber güvenlik noktasında daha çok bilgi değiştirme etkinliklerine yer verilirken, gerek bireysel gerekse de toplumsal düzeyde siber güvenlik algısının tam olarak oturmamış olması yer almaktadır. Unutulmalıdır ki algı her zaman bilgiden önce gelen ve değişmesi bilgiden daha çok zaman alan bir psikolojik olgudur.
Geçmişte yaşadıklarımız günümüzün algısını oluştururken, algılarımız da gelecekteki eylemlerimize yön vermek ya da tahmin etmek açısından önemlidir. Oluşan bu algılar da aile, arkadaş, okul veya iş dünyasının teker teker ya da toplu halde etkisi olduğu bilinmektedir. Bireylerin, Bilgi ve İletişim Teknolojileri adına oluşturdukları tutum, değer ve algılar şimdiki ve gelecekteki teknoloji dünyasındaki katılımlarını doğrudan etkilemektedir[1]. Türk Dil Kurumu “algı” kavramını “Bir şeye dikkati yönelterek o şeyin bilincine varma, idrak” olarak tanımlamaktadır[2]. Tanımdan da anlaşılabileceği gibi bir konuda bilinçlenmek amacıyla ilk olarak algının oluşması gerekmektedir. Loveless (2003) Bilgi ve İletişim Teknolojileri konusundaki algıyı üç grupta incelemektedir; (i) toplumda Bilgi ve İletişim Teknolojileri algısı, (ii) Bilgi ve İletişim Teknolojileri yeterlilikleri noktasında algı ve (iii) okullarda Bilgi ve İletişim Teknolojileri algısı[3]. O halde Bilgi ve İletişim Teknolojileri algısının oluşması adına topyekûn eylem planı oluşmalı ve uygulanmalıdır.
- Siber Güvenlik Olgusu ve Algısı
2015 itibari ile dünya nüfusunun %70’inin İnternet kullanıcısı olması tahmin edilmektedir[4]. Bu durum, aynı zamanda dünya nüfusunun en az %70’inin siber güvenlik konusundaki sorunlara açık olduğu manasına da gelmektedir. Siber güvenlik bulunduğumuz yüzyılın en büyük endişelerinden birisidir. Merriam Webster sözlüğüne göre, siber güvenlik “bilgisayarı veya bilgisayar sistemlerini izinsiz ulaşıma ve ataklara karşı korunması için alınan önlemler” anlamına gelmektedir[5]. Bu anlamda siber güvenlik bilgisayarları, yazılımları, veri ve ağlarını saldırı, yasal olmayan erişim ve hasarlardan korumak için üretilen birçok araç, işlem, davranışları kapsamaktadır. Genellikle, Bilgi ve İletişim Teknolojileri yöneticileri güvenlikten bahsederken siber güvenliği gönderme yapmaktadır. Kişisel ve iş yaşamındaki önemi de göze alındığında her Bilgi ve İletişim Teknolojileri kullanıcısının siber güvenlik kavramını bilmesi ve önemini kavraması tam olarak bir zorunluluktur.
Siber güvenlik alanında adından her zaman söz ettiren Norton firmasına göre 2012 yılı güvenlik yatırımları 100 milyar dolarken, bu harcama 2014 yılında 400 milyar doları bulmuştur[6]. Bu harcamaların küresel ekonomi üzerindeki yükünün her geçen yıl artması beklenmektedir[7]. 2015 Mart ayında yayımlanan 2014-2015 yılı arasındaki güvenlik saldırılarının karşılaştırmasını içeren “Cyren 2015 Siber Tehdit Yıllık Raporu” sonuçlarına göre Bilgi ve İletişim Teknolojilerinde sorunlar çıkarmayı amaçlayan zararlı yazılımlar %50 oranında, kişisel bilgi çalmaya yönelik “phishing (yemleme)” epostaları %233 oranında, mobil dünyasının devlerinden Android üzerine yazılmış kötü amaçlı yazılımlar %61 oranında artış görülmüştür[8]. Bu artışın taşınabilir ve akıllı cihazların artması ve kullanıcıların bu cihazlardan gelen saldırılardan hâlihazırda habersiz olması, siber güvenlik bilgisinin ve siber tehditlere karşı farkındalığının artmasını tetiklemek adına yapılan harcamaları da arttırmıştır. Ülkemizde bu alanda faaliyet gösteren Türk Bilgi Güvenliği Derneği siber güvenlik tehditlerinin sadece teknolojilerden değil insanların siber güvenliğe bakış açıları ve siber tehditlere karşı farkındalıklarıyla da ilgili olduğunu açıkça söylemiştir[9].
Van Kessel ve Allan (2014) dünya çapında yaptıkları araştırmalarının sonuçlarından yola çıkarak bilgisayar sistemlerinin tamamen korunmasının imkânsız olduğunu belirtmiş ve 5 madde halinde bu durumun nedenlerini izah etmiştir[10]:
- Değişim: Günümüzün hızlı finansal değişimlerinin yaşandığı dünyasında, şirketler ortaya çıkan yeni durumlara karşı acil birer eylem planı mekanizması sahibi ve yine aynı hızda cevap veren yapılar haline gelmek zorunda kalmışlardır. Yeni ürünlerin ortaya çıkması, birleşimler, satın almalar/devralmalar, market büyütmeleri ve yeni inovasyonların sunulmasının artması, firmaların siber güvenlik kalitesi üzerinde kafa karıştırıcı bir etki yaratmıştır. Bir başka deyişle, firmaların her gün ortaya çıkan yeni siber güvenlik sorunlarına karşı sürekli teyakkuzda olması gerekmektedir.
- Taşınabilirlik: Mobil bilişim, günümüz firmalarının iş ve işleyiş sınırlarını bulanıklaştırmaya başlamıştır. Ortaya çıkan bu durum karşısında firmalar ve kullanıcıları birbirlerine hiç olmadıkları kadar yaklaşmışlar ve zaman/mekân kavramlarından bağımsız olarak iletişimde kalır hale gelmişlerdir. Firmanın tüm çalışanları uyurken bile firmanın müşterileri firma ile bilişim sistemleri üzerinden farklı araçlarla (Internet, Web 2.0 araçları, akıllı telefonlar, tabletler, vb…) iletişime ve etkileşime geçebilmektedir.
- Ekosistem: Bizler günümüzde dijital olarak birbiriyle ilişkili öğeler, bireyler ve bilgilerin oluşturduğu bir biyolojik sistem içerisinde yaşıyor ve çalışıyoruz. Bunun bir neticesi olarak da iş ve evlerde siber suçların oluşma olasılığı da artmaktadır.
- Bulut Bilişim: Bulut tabanlı yönetim ve dışarı bağımlı bilgi yönetimi ve depolama sistemleri normal sistemlerde olmayan yeni tehlike yollarını açmaktadır. [Buna güzel örneklerden birisi de ICloud üzerindeki fotoğrafların çalınması örneğini verebiliriz.]
- Altyapı: Günümüzde kapalı devre operasyonel teknolojiler IP adresleri kullanmaktadır. Bu durum siber suçların arka oda sistemlerinden gelişip enerji üretimi, ulaşım gibi hayati öneme sahip sistemlere ulaşmasına neden olmuştur. Hâlihazırda kurduğumuz teknik alt yapı, bizim aynı zamanda bütün hayati fonksiyon taşıyan sistemlerimizi de saldırıya açmamız demektir.
Günümüz güvenlik trendlerini bulmak için “A&S International” yıllık olarak güvenlik üreticilerinin açıkladığı finansal raporları inceleyerek satışlara göre ilk 50 şirketi sıralamaktadır[11]. 2015 yılında A&S yine 2014 yılı satış rakamlarına göre 2015’in ilk 50sini açıklamıştır. Açıklanan raporun en can alıcı cümlesi ise; “Araştırmalara göre küresel güvenlik pazar talebinin hala yüksek olduğu, buna karşın birçok faktörün güvenlik endüstrisini derinden sarstığını tespit edilmiştir. Bu araştırmada, Çin firmalarının siber güvenlik alanında nasıl yükseldiğini ama diğer firmaların da rekabete hazır olduğunu görülmüştür. Buna karşılık yeni pazar düzeninin yakında oturması beklenmektedir”.
Bu yıl, Security 50’nin ilk 10’u sırası ile Honeywell Security, Hikvision Digital Technology, Bosch Security Systems, Safran, Dahua Technology, Assa Abloy (Global Technologies), Tyco Security Product, FLIR Systems, Samsung (Hanwa Techwin) ve Axis Communication olarak belirlenmiştir (Tablo 1). Security 50’nin ilk onu içindeki sıralamalar şirketlerin uluslararası güvenlik pazarındaki liderliklerini satış rakamları ve şirket performansları ile göstermektedir.
A&S International Security 50 raporuna göre “Satışlara göre ilk 10 şirket 2014 de aynı kaldı. En büyük değişim büyük ölçekte büyüyen Hikvision DT. ve Dahua T. şirketlerinde yaşandı. Hikvision %57,5 büyüme gösterip 2. sıraya taşınırken Dahua %35 büyüme ile Assa Abloy’un Global Technologies bölümünü geçerek 5. sıraya yerleşmiştir. Safran ve Assa Abloy’da yeni inovasyonlar ve ulusal projeleri ile sağlıklı bir büyüme göstermiştir. Buna karşılık Samsung Techwin’in 2014 yılında zayıfladığı görülmüştür. Bu yılın kazancından sonra şirketin Kore operasyonları Hanwha Techwin olarak yeniden adlandırılmıştır. Axis Communication’un sıralamadaki yerini en fazla Tyco Security Products ve FLIR Systems’in büyümelerinden etkilenmiş neredeyse ilk 10’dan düşmüştür. Uluslararası ekonomik durumun hala belirsiz kalmasına ve endüstrinin ticarileşmesine, özellikle güvenlik kamera ekipmanları, ilk 10 şirket hala göze çarpan 2014 satış rakamları ile etkilemeye devam etmektedir.
Tablo 1. Siber Güvenlik Devleri
2015 Sıralaması | 2014 Sıralaması | Şirket İsmi | Merkez | Ürün Yelpazesi | Ürün Satış Gelirleri | ||
2014
(milyon $) |
2014
(milyon $) |
% Büyüme | |||||
1 | 1 | Honeywell Security | ABD | Çeşitli | 2800 | 2700 | 3,7 |
2 | 3 | Hikvision Digital Technology | Çin | Video Takip | 2528,9 | 1605,9 | 57,5 |
3 | 2 | Bosch Security Systems | Almanya | Çeşitli | 1700 | 1646,7 | 3,2 |
4 | 4 | Safran (Güvenlik) | Fransa | Çeşitli | 1341,6 | 1295 | 3,6 |
5 | 6 | Dahua Technology | Çin | Video Takip | 1145,3 | 845,1 | 35,5 |
6 | 5 | Assa Abloy (Global Technologies) | İsveç | Erişim kontrolü, Kilit Sistemleri | 845,9 | 759,7 | 11,4 |
7 | 10 | Tyco Security Product | ABD | Çeşitli | 760 | 650 | 16,9 |
8 | 7 | FLIR Systems (Video Takip & Güvenlik) | ABD | Video Takip | 671,3 | 672,3 | -0,1 |
9 | 9 | Samsung (Hanwa Techwin) | Kore | Video Takip | 650,3 | 658,1 | -1,2 |
10 | 8 | Axis Communication | İsveç | Çeşitli | 639,7 | 553,6 | 15,5 |
Açıkça görülen siber güvenliğin öneminin artması ile birlikte siber güvenlik eğitimleri de gerek okullarda gerekse de iş dünyasında yaygınlaşma başlamıştır. Bu noktadan bakıldığında, Bilgi ve İletişim Teknolojilerinin kullanıcıları, planlayıcıları, uyarlayıcıları ve çoğaltıcıları rollerinde olan mühendislerin siber güvenlik ile ilgili durumlarda önemli bir rol oynamaları beklenmektedir. Buna göre mühendislerin siber güvenlik derslerine/kurslarına katılarak bilgi ve farkındalıklarını arttırmaları gerekmektedir. Bu derslerde en zorlanılan konu, öğrencilere siber güvenliğin ne kadar önemli olduğunu kavratmak ve bunun siber güvenlik bilgi ve uygulama algıları üzerine yansımasının sağlanmasıdır. Öğrencilerin siber güvenliğe yaklaşımları (özellikle de algıları) eğitimin en önemli kısmı olmalıdır, unutulmamalıdır ki bu öğrenciler gelecekte çalışacakları yerlerde güvenlik yöntemlerine karar verecek ve uygulayacaklardır.
Literatür incelendiğinde, sadece mühendislerin (ya da mühendislik öğrencilerinin) değil psikoloji ve ekonomi gibi mühendislik alanlarında olmayan sosyal bilim tabanlı öğrenciler (ya da meslek çalışanları) için de siber güvenlik öğretiminin/öğreniminin önemli olduğu görülmektedir[12]. Sosyal medya araçlarının (özellikle Facebook, Instagram ve Twitter) çocuk ve genç kullanıcılarının artması ile birlikte siber güvenlik öğrenciler için daha önemli bir konu haline gelmektedir. Sonuç olarak siber güvenlik farkındalığının ve olumlu algısının herkes için olmazsa olmaz bir şart olduğu durumu açıkça ortaya çıkmaktadır[13].
- Sonuç ve Öneriler
Günümüzde küresel köy halini alan dünyamızda siber güvenlik ciddi bir olgu halini almıştır. Bilgi ve İletişim Teknolojilerinin kullanım ve erişim yaşının neredeyse bebeklik sonrasına kadar inmesi siber güvenlik konularının artık neredeyse tüm yaş gruplarının sorunu olduğunu göstermektedir. Bu durum özellikle Z kuşağı olarak tanımlanan gençlerin şimdiki ve gelecekteki güvenliğini sağlamak için siber güvenlik olgusunun tüm eğitim sistem ve süreçlerinin önemli bir parçası olması gerektiğini göstermektedir.
Siber güvenlik adına Bilgi ve İletişim Teknolojilerinin kendi üstlerine düşen yazılım ve donanım görevlerini yerine getirdiklerini varsaysak bile siber güvenliğin sonuçlarından tam olarak haberdar olmayan, önemini doğru anlamayan bireylerin doğru, etkin ve zamanında siber güvenlik önlemlerini kullanacağını kestiremeyiz. O nedenle bir yandan bilgi/uygulama düzeyinde siber güvenlik eğitimleri verirken bir yandan da bireylerde duyuşsal düzeyde siber güvenlik algısı oluşturmak adına etkinlikler yapmak bir zorundalık haline gelmiştir. İlköğretim düzeyinden başlamak üzere spiral artış gösterecek bir müfredat tabanında formal bir siber güvenlik dersinin tasarlanması ve uygulanması gerekmektedir. Bunun dışında X ve Y kuşağı bireyler için formal ve nonformal tekniklerle uygulamalı ve duyuşsal artımsal gösteren siber güvenlik eğitimleri düzenlenmelidir. Bunun yanı sıra hukuki düzeyde de ayarlamalar yapılmalı ve bilişim suçları ve cezaları toplumu doğru bilgilendirecek şekilde herkesle kamu spotu mantığında paylaşılmalıdır. Bugün yapılmayacak olan “Siber Güvenlik Algı Yönetimi” yatırımları, gelecek adına zararı büyük sonuçlar doğurabilecektir.
[1] Ellis, B. R. (2003). An investigation of factors influencing teachers' use of computer-based technology. Dissertation Abstracts International, 152. (UMI No. 3110092).
[2] Türk Dil Kurumu Web Sitesi: https://www.tdk.gov.tr
[3] Loveless A. M. (2003). The interaction between primary teachers’ perceptions of ICT and their pedagogy. Education and Information Technologies, 8(4), 313–326.
[4] Brenda, K. W. (2014). The role of psychology in enhancing cybersecurity. Cyberpsychology, Behavior, and Social Networking, 17 (3), 131-132.
[5] Merriam Webster Dictionary Web Sitesi: https://www.merriam-webster.com/dictionary/cybersecurity
[6] Zureich, D. & Graebe, W. (2015). Cybersecurity: The continuing evolution of insurance and ethics. Defense Counsel Journal, 82 (2), 192-198.
[7] Imgraben, J., Engelbrecht, A. & Choo, K. R. (2014). Always connected, but are smart mobile users getting more security savvy? A survey of smart mobile device users. Behaviour & Information Technology, 33, (12), 1347-1360.
[8]Cyren Firması. 2015 Cyber threat yearbook. (2015, Ağustos 10). Erişim Adresi: https://www.cyren.com/tl_files/downloads/CYREN_2015_CyberThreat_Yearbook.pdf
[9] Türk Bilgi Güvenliği Derneği. Siber Güvenlik Raporu: 2015 İlk Çeyrek. (2015, August 10). Erişim Adresi: https://www.bilgiguvenligi.org.tr
[10] Van Kessel, P. & Allan, K. (2014). Get ahead of cybercrime: EY’s Global Information Security Survey 2014. Erişim Adresi: https://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-survey-2014.pdf
[11] Lai, J. (2015, 14 Kasım). 2015 Yılı “A&S International” Güvenlik 50 ödülünü kazanan ilk 10. Web erişim adresi: https://www.asmag.com/rankings/article_detail.aspx?id=19425
[12] Cano, J., Hernández, R., & Ros, S. (2014). Bringing an engineering lab into social sciences: Didactic approach and an experiential evaluation. IEEE Communications Magazine, 52 (12), 101-107.
[13] Simpson, B. & Murphy, M. (2014). Cyber-privacy or cyber-surveillance? Legal responses to fear in cyberspace. Journal Information and Communications Technology Law, 23 (3), 189-191.