SİBER TEHDİTLER ve BİLGİ GÜVENLİĞİ
Ahmet PEKEL
Nisan 2011, Ankara
Bilgi ve iletişim teknolojilerinde meydana gelen gelişmelerle birlikte finans,
sağlık, eğitim, nüfus, ticaret, ulaşım, haberleşme, enerji ve basın gibi alanlarda birçok
hizmet İnternet ortamına taşınmış, bu da siber ortam güvenliğini gündemin önemli
konularından biri haline getirmiştir. Siber kavramı, canlılarda ve makinelerde kontrol,
iletişim ve işleyişi inceleyen bir bilim dalı olan sibernetikten türetilmiştir. Siber ortam
yerine zaman zaman sanal âlem veya siber uzay kavramları da kullanılmaktadır. Her
gün yeni bilgisayarların dahil olduğu bu büyük uzayda, bir yandan ulusal ve
uluslararası düzenlemelerdeki eksiklikler, diğer taraftan tehditlere ilişkin farkındalığın
yetersizliği ve dahası bu ortamda hizmete alınmış çoğu uygulamanın tasarım
aşamalarında güvenlik boyutunun düşünülmemiş oluşu, tehditlerin etki alanını
genişletmiştir. Durum böyleyken siber tehditler ekonomik, politik ve askeri
motivasyonlarla gündemdeki yerini korumaya devam etmiştir.
Siber tehditler artarken bu tehditlerden korunmak için geliştirilen çözümlerin
eğitimli insanlar ve uygun örgüt yapısıyla desteklenmesi gerekmektedir. Hiçbir
teknoloji, hiçbir güvenlik duvarı insan unsurundan kaynaklanabilecek bir güvenlik
ihlalini önlemek için yeterli değildir. Kişisel düzeyde bilgi güvenliği bilincinin
oluşturulmasına ihtiyaç olduğu gibi bütüncül bir yaklaşımla kurumsal, ülkesel ve
küresel düzeyde önlemlerin alınması bir ihtiyaç haline gelmiştir. Vatandaşlar olarak
kişisel bilgilerimizin üretildiği, işlendiği, saklandığı ve paylaşıldığı kurum ve
kuruluşlarda bilgi güvenliği yönetiminin tesisi aynı zamanda kişisel güvenliğimizin de
bir gereğidir.
E-Devlet Uygulamaları ve Bilgi Güvenliği
Ülkemizde vatandaş odaklı hizmet anlayışıyla devlet hizmetlerinin elektronik
ortamda daha hızlı ve güvenli bir şekilde verilmesini ve kamu hizmetlerinde
verimliliğin sağlanmasını hedefleyen e-devlet uygulamalarında zaman içinde bazı
güvenlik sorunlarının olduğu anlaşılmıştır.
Örneğin, Ağustos 2008’de, 8 milyon çalışana ait “KEY: Konut Edindirme
Yardımı” ödemelerine ilişkin bilgilere başkaca bir kimlik denetimi yapılmaksızın
sadece TC Kimlik numarası girilerek ulaşılabildiği görülmüştür. Diğer birçok e-devlet

uygulamasında TC Kimlik numarasının tek doğrulama aracı olarak kullanılıyor olması
bu numarayla çok daha fazla kişisel bilgiye erişilebilme olasılığını artırmıştır.
Yaşanan bu ve benzeri sorunlar aslında bazı e-devlet uygulamalarında bilgi
güvenliğinin proje tasarım aşamasında yeterince dikkate alınmadığını göstermiştir.
Diğer taraftan, e-devlet çalışmalarında hedeflerden biri olan veri mükerrerliğine
son verilmesi için bilginin sahibinin ve bilgi paylaşım kurallarının bir üst yapının eş
güdümünde ele alınması ve kurumlar arası güvenli bilgi paylaşımının sağlanması bir
ihtiyaç halini almıştır. Bu kapsamda;
 Güvenli iletişim ve güvenli kimlik doğrulama yöntemlerinin
belirlenmesi,
 Kurumlar arası altyapı uyumluluk çalışmalarının yapılması,
 Kurumlar arasında veya hizmet sağlayan firmalarla bilgi alışverişine
ilişkin protokollerin, güvenlik/gizlilik anlaşmalarının düzenlenmesi,
 Kişisel bilgilerin gizliliğine ilişkin yasal mevzuatın hazır hale
getirilmesi gerekmektedir.
Önümüzdeki yıllarda mobil teknolojilerdeki gelişmeler doğrultusunda mobil
ortamlardan hizmet verecek e-devlet uygulamalarında da artış beklenmektedir.
Türkiye’de 2011 yılı başı itibariyle 65 milyon civarında cep telefonu abonesi olduğu
tahmin edilmektedir. 3G teknolojisinin yaygınlaşması ile birlikte mobil uygulamaların
kullanım oranlarında daha hızlı bir artış olacaktır. Nitekim 2011 yılı başında 3G
kullanıcı sayısı 17 milyona ulaşmıştır [1]. Önümüzdeki dönemde, mobil uygulama
güvenliği konusu; GSM operatörleri, uygulama sahibi kurum ve kuruluşlar ile hizmet
alanlar açısından bilgi güvenliğiyle ilgili farkındalık yaratılması gereken alanlardan biri
olacaktır.
Bilgi ve Bilgi Yönetimi
Siber tehditlerin odağındaki “bilgi” Türkçe kökenli bir kelime olup Türk Dil
Kurumu Sözlüğü (TDK)' ya göre;
 İnsan aklının erebileceği olgu, gerçek ve ilkelerin bütünü, bili, malumat
 Öğrenme, araştırma veya gözlem yolu ile elde edilen gerçek, malumat

 İnsan zekâsının çalışması sonucu ortaya çıkan düşünce ürünü, malumat
 Felsefede, genel olarak ve ilk sezi durumunda zihnin kavradığı temel
düşünceler
 Bilimde, doğa bilgisi
 Kurallardan yararlanarak kişinin veriye yönelttiği anlamdır.
Bu noktada “veri” kavramı da tanıma ihtiyaç duymaktadır.
Veri: İng. data, Osm. malumat, Fr. Donnée, Olgu, kavram ya da komutların,
iletişim, yorum ve işlem için elverişli biçimsel ve uzlaşımsal bir gösterimidir [2].
Bilgiyi,
 Kişisel bilgi,
 Kurumsal bilgi,
 Teknik bilgi,
 Ticari bilgi,
 Finansal bilgi,
 Sağlık bilgisi,
 Coğrafi bilgi vb. şekillerde sınıflandırmak mümkündür.
H. Odabaş'a (2003) göre bilgi; iletildiği ve paylaşıldığı sürece yenilenir, yeni bir
şekle dönüşür ve değeri artar. Diğer bir deyişle paylaşılmayan ve yeni bir şekle
dönüşmeyen bilginin kıymetlendirilmesi mümkün değildir.
Stephen Parker (2000) kurumsal bilgiyi şu şekilde ifade ediyor:
“Kurum içinde üretilen veya kuruma dışarıdan gelen, o kurumla ilgili, kayıtlı ya
da kayıtsız her türlü bilgiyi ifade eder. Toplanır, işlenir, depolanır ve dağıtılır. Bu
döngü aslında bir süreci tarifler ki, o sürecin yönetilmesi gerekir”.
Townley (2001), bu sürecin yönetimi için, “bilginin üretim ve paylaşım
süreçlerinin kontrol altına alınmasıdır” ifadesini kullanıyor.
Nonaka (1999), bilgi yönetimini “örtülü bilginin açık bilgiye, açık bilginin yine
açık bilgiye dönüştürülme süreci” olarak tarif ediyor ve bilgiyi yeni bir bilgiye
dönüştürme sürecinin “daha çok çalışanların örtülü ve genellikle öznel

kavrayışlarından, sezgilerinden ve ideallerinden yararlanmaya bağlı” olduğunu
söylüyor.
H. Odabaş (2003), kurumsal bilginin paylaşılması sürecini, “bilginin
sorumlularına ulaştırılması, kurumsal çalışmalardan haberdar edilmesi, çalışanlardan
tepkilerin alınması, gelen tepkilerin değerlendirilmesi, yorumlanması, tekrar
sorumlularına iletilmesi döngüsü” olarak tarif ediyor. H. Odabaş gelişmiş
organizasyonların bilginin paylaşımına önem verdiğini belirterek bu organizasyonların
aslında, yeniliklere açık, değişimi kabul eden, yeni taleplerin üstesinden gelebilecek
bir yönetim yapısına sahip olduklarına vurgu yapıyor [3].
Bilgiye Yönelik Tehditler, Etkileri, Önlemler
Bilgiyi hedef alan tehditleri,
 Yetkisiz erişim,
 Bilginin bozulması ya da çalınması,
 Ağ trafiğini meşgul etme,
 Hizmet durdurma,
 Virüs, Truva atı (trojan) veya ajan programlarca (spyware) verilebilecek
zararlar,
 Sosyal mühendislik,
 İnternet üzerinden karşı propaganda ve
 Kritik altyapılara yönelik sabotaj, vb. olarak sınıflandırmak mümkündür.
Bu tehditler nedeniyle,
 Ülke ekonomisi,
 Kamu emniyeti ve düzeni,
 Kişisel mahremiyet,
 Kişisel, kurumsal ve ülkesel itibar ile
 Ticari rekabet olumsuz etkilenebilmektedir.
Tehditlere karşı korunması gerekenler;
 Bilgi,

 Yazılım,
 Donanım,
 Fiziksel mekân,
 Hizmetler,
 Veri depolama ortamları
 İletişim ortamları,
 İnsan ve
 İtibar şeklinde listelenebilir.
Şifreli Bilgi
II. Dünya Savaşı'nda Almanlar savaş planlarını gizleyebilmek için “Enigma” adı
verilen şifreleme (kripto: gizli yazı) makinesi geliştirdiler. Ele geçirilen bir şifre
cihazının çalışma yöntemi İngiliz şifre kırıcılar tarafından çözümlendi. Savaşın
kaderini değiştirdiği söylenen bu çözüm sayesinde İngilizler Almanların bir sonraki
adımlarını öğrenmeye başladılar.
Şifreleme yöntemini ilk kullanan elbette Almanlar değildi. Harflerden
yararlanılarak geliştirilen üç harf kaydırmalı şifrelemeyi, M.Ö. 60 Y.Y.'da Julius
Caesar’ın kullandığı söylenmektedir.
Bilgiyi şifreleme yöntemleri yıllar boyunca geliştirildi ve ülkeler tarafından gizli
haberleşme maksadıyla kullanıldı. Geliştirilen şifreleme cihazları tüm dünyada olduğu
gibi Türkiye'de de kullanıldı. Bu cihazlar 1974 yılına kadar yurt dışından temin
ediliyordu. Milli imkânların devreye alınmasında 1974'deki Kıbrıs Barış Harekâtı
sonrasında Türkiye'ye uygulanan ABD ambargosunun etkisi büyük oldu.
Nitekim Türk Silahlı Kuvvetleri (TSK)'nın talebiyle, Marmara Araştırma
Enstitüsü (MAE) bünyesinde,
 1975 yılında şifreleme cihazı geliştirme çalışmalarına başlandı.
 1978'de ilk örnek cihazın üretimi tamamlandı.
 1994'de Kriptografik Test ve Tasarım Merkezi’nin kurulması için Milli
Savunma Bakanlığı ile sözleşme imzalandı.
 2002'de UEKAE’de (Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü)

geliştirilen ISDN-BRI şifreleme cihazı, tüm gizlilik düzeylerindeki NATO
muhaberesini şifrelemek üzere NATO/SECAN tarafından onaylandı [4].
1997’de bir NSA (National Security Agency: Ulusal Güvenlik Ajansı)
görevlisinin, 1981 yılında, NSA’de Türkçe bilen çevirmen sayısının 25'den 10'a
düşürüldüğüne ilişkin beyanı kamuoyuna yansıdı. Bu bilgiye göre sayının
azaltılmasında Türkler tarafından geliştirilen milli kriptonun çözülememesi rol
oynamıştı [5].
Bilgiyi korumak için iletişimin şifrelenmesi neden bu kadar önemliydi? Çözüm
neden iç kaynaklarda aranıyordu? Bunu daha net görebilmek için elektronik izleme
sistemlerine değinmek yol gösterici olabilir.
Bir Bilgi Elde Etme Sistemi: ECHELON
21 Nisan 1996 yılında Çeçen Direnişçi Cohar Dudayev, üzerinde taşıdığı uydu
telefonundan gelen sinyallerin, uzak radyo konum belirleme sistemi ile donatılmış
A-50 Rus uçağı (Amerikan Awacs uçağının benzeri) yardımıyla takibe alınması
sonucunda bir Rus savaş uçağından atılan füze ile öldürüldü. Bu olay elektronik
takiple ilgili verilebilecek yakın dönemin en çarpıcı örneklerinden biri olarak tarihe
geçti.
Bilinen en büyük elektronik takip sisteminin adı Echelon’dur. Dünya üzerindeki
tüm telsiz, kablosuz telefon, radar, uydu sinyalleri ve İnternet trafiğinin Echelon’un
izleme alanı içinde olduğu söylenmektedir. ABD ve Birleşik Krallık arasındaki
anlaşma (UKUSA Agreement, 1946) çerçevesinde Sovyetler Birliği ve Doğu Bloku
ülkelerini izlemek üzere faaliyet göstermeye başlamıştır. Daha sonra bu sisteme
Avustralya, Kanada ve Yeni Zelanda da dahil olmuştur.
Echelon’un varlığı ilk kez 1960 yılında ortaya çıktı. Sovyetler Birliği'ne iltica
eden iki NSA görevlisi Bernon Mitchell ve William Martin o yıllarda NSA'nın iki bin
dinleme istasyonuyla dünyadaki en az kırk ülkenin gizli haberleşmesini dinlediğini
açıkladı. Buna göre, NSA, Echelon adı verilen bu sistem yardımıyla iç ve dış iletişimi
izlemekte, ülke güvenliği açısından gerekli olanları ayırmakta ve ilgili birimlere
sunmaktaydı. İlerleyen yıllarda, uydu teknolojisi ve kablosuz haberleşme imkânları
elektronik takip işini daha da kolaylaştırdı. Zaman içerisinde NSA tarafından deşifre
edilen ve kamuoyuna yansıyan bazı ülkelere ait gizli haberleşmeler, bu

haberleşmede kullanılan şifreleme cihazlarının üretiminde NSA ile birlikte çalışıldığı
iddialarının ortaya atılmasına neden oldu.
Konuyla ilgili iddialar 11 Temmuz 2001'deki Avrupa Parlamentosu Raporu'na
da (Assessing the Technologies of Political Control) yansıdı. Bu raporda, ABD'nin,
NSA tarafından toplanan bilgilerle kendi şirketleri lehine ticari avantaj elde ettiği ifade
ediliyordu. Bir iddiaya göre; 1994'de Suudi Arabistan Havayolları'nın Airbus siparişi
iptal edilmiş ve Suudiler McDonnel-Douglas'la 6 Milyar Dolarlık anlaşma
imzalamışlardı. Raporda, Airbus Konsorsiyumu ile Suudi Arabistan yetkilileri
arasındaki faks ve telefon görüşmelerinin NSA tarafından dinlendiği ve ABD
firmasına iletildiği belirtiliyordu [6].
Bir Başka Bilgi Edinme Yöntemi: Sosyal Mühendislik
Hüküm giyen ilk bilgisayar korsanı (hacker) olarak ünlenen Kevin Mitnick,
2002 yılında yayımladığı ve “Aldatma Sanatı: Güvenliğin İnsan Boyutu” adını verdiği
kitabında bilgi güvenliğine yönelik en büyük tehdidin sosyal mühendis adını verdiği
kişilerden gelebileceğini vurguluyordu. Mitnick kitabında, yardım ve acıma
duygularıyla hareket eden insanların bu kişi ya da kişilerce kolaylıkla tuzağa
düşürüldüğünü ifade ediyordu.
Mitnick’e göre sosyal mühendisler, bilgi elde etmek için bir sistemin güvenlik
duvarını aşmak ya da pahalı teknolojileri kullanmak yerine çok daha kolay ve
maliyetsiz olan insanı aldatmayı tercih ediyorlardı.
Mitnick bir çalışandan bilgi talebinde bulunan sosyal mühendisin olağan
davranışlarını şöyle listeliyor:
 Bir geri arama numarası vermekten kaçınır.
 Sıra dışı taleplerde bulunur.
 Yetkili olduğunu öne sürer.
 Soru sorulduğunda rahatsız olur, aciliyet vurgusu yapar, tehdit eder.
 Yerine göre yardıma ihtiyaç duyan, yerine göre de yardım edebilecek
pozisyondaki kişi rolüne bürünür.
 İltifat eder [7].

Mitnick kitabında ayrıca, bir şirketin çöpünün başkaları için bir hazine
olabileceğine de dikkat çekiyor ve önemli olabilecek bilgilerin çapraz kağıt kırpma
makineleriyle parçalanmasını tavsiye ediyor. Ürün tasarımlarına ilişkin dokümanlar,
projelerle ilgili bilgiler, küçük kâğıtlara yazılan sistem ya da kullanıcı hesap parolaları,
personel isim ve telefon bilgilerini içeren listeler ortalıkta bırakılmaması gereken
bilgiler. Çünkü sosyal mühendisler kurumda yürütülmekte olan projelerden ya da var
olan isim ve telefonlardan yola çıkarak kandırmak istedikleri çalışanlarda inandırıcılık
tesis edebiliyorlar.
Mitnick’in kitabını yazdığı sıralarda Facebook (Mark Zuckberg, 2004) ve
Twitter (Jack Dorsey, 2006) gibi sosyal paylaşım siteleri henüz yoktu. Son yıllarda
birçok İnternet kullanıcısı, sosyal paylaşım sitelerinde farkında olmadan paylaştıkları
kişisel bilgilerle aynı zamanda sosyal mühendisler için de bulunmaz fırsatlar
sunmaktadırlar.
SIPRNet’ten Sızan Bilgiler ve Wikileaks
SIPRNet (Secret Internet Protocol Router Network: Gizli İnternet Protokol
Yönlendirici Ağı) Amerika’nın dış temsilcilikleriyle gizli haberleşmesini sağlayan
iletişim ağının adıdır. Bu sistem doküman ve elektronik posta alışverişinde
kullanılmaktadır. Sistem, İnternet özelliklerine sahip olmakla birlikte dış dünyaya açık
değildir.
Julian Assange’ın 2006 yılında kurduğu Wikileaks adlı İnternet sitesi 28 Kasım
2010 tarihinde ABD Dışişleri Bakanlığına ait SIPRNet iletişim ağı kullanılarak
oluşturulan gizli belgeleri yayımlamaya başladı. Toplam 251,287 adet belgede ABD
büyükelçiliklerince hazırlanan değişik ülkelerle ilgili izlenim, görüş, yorum ve tespitler
yer alıyordu. Belgelerin 15,652’si ulusal güvenliğe “çok ciddi zarar” verebilecek,
101,748’i ulusal güvenliğe “zarar” verebilecek şekilde işaretlenmişti. 133,887’si ise
herhangi bir sınıflandırmaya tabi tutulmamış olmakla birlikte “hassas” olarak kabul
edilebilecek bilgiler içeriyordu. Bu belgelerde ABD’nin diğer ülkelerle politik ilişkileri,
ülkelerin içişleri, insan hakları ile ilgili uygulamaları, ekonomik durumu, terörizm ve
Birleşmiş Milletler Güvenlik Konseyi ile ilişkili konuları ağırlıklı olarak işlenmekteydi
[8]. Anılan belgeler, SIPRNet’e bağlı toplam 274 ABD’li elçilik görevlisinin
bulundukları ülkelere bakış açılarını ve faaliyetlerini göstermesi açısından oldukça
dikkat çekiciydi.

En çok merak edilen soru bu denli sıkı korunan bir ağdan bu gizli bilgilerin nasıl
çıkarıldığıydı. Bununla ilgili olarak, Amerikan ordusunda asker olan Bradley
Manning’in bir arkadaşıyla yaptığı ve sonradan deşifre edilen konuşmasından yola
çıkılarak belgelerin, üzerinde Lady Gaga yazan bir CD ile sistem dışına çıkarıldığı
iddia edildi.
Siber Savaşlar
Bilgiye yönelik tehditler sadece gizli bilgileri ele geçirmekle sınırlı değildir.
Zarar vermek üzere bilginin erişilebilir olma durumunu veya bütünlüğünü bozmak da
dikkate alınması gereken tehditlerdendir.
Siber savaşları klasik savaşlardan ayıran farklılıkları şu şekilde listelemek
mümkündür:
 Siber savaşta sınırlar yoktur.
 Asimetrik tehdit söz konusudur. Saldırı her an ve her yönden gelebilir.
 Saldırı kaynağını tespit etmek zordur. Saldırı ülke dışındaki zombi tabir edilen
ve daha önceden bu amaçla ele geçirilmiş bilgisayarlardan yapılıyor olabilir.
 Saldırının geldiği ülkedeki kanunlar siber suçları kapsamıyor olabilir. O
nedenle mücadele etmek zordur.
 İnternet kullanımı arttıkça tehdit ve kırılganlık da artmaktadır. Karşı önlemler
ülke düzeyinde ele alınmalı, muhtemel riskler yönetilmelidir.
Bundan sonraki bölümde bu tip tehditler yaşanmış olaylardan yola çıkılarak
örneklenecektir [9] [10]:
Estonya’da Meçhul Asker Anıtı Krizi
Estonya, nüfusu yaklaşık 1,3 milyon olan dünyada genel seçimleri İnternet
ortamında gerçekleştiren ilk ülkedir. Aynı zamanda İnternet iletişim aracı Skype'nin
üreticisidir. Estonya e-Devlet uygulamalarında tüm dünyada hep örnek gösterilen
ülke olmuştur. Estonyalılar devletle olan birçok işlerini hali hazırda İnternet üzerinden
gerçekleştirmektedir.
2007'de, Nisan ve Mayıs aylarında, ülkenin bilgisayarlarına yoğun siber
saldırılar düzenlendi. Yaşanan karmaşa nedeniyle birçok devlet dairesi ve finans

grubu kapatıldı ve ülkede hayat durdu. Estonya saldırıların Rusya kaynaklı olduğunu
söyleyerek NATO ve Avrupa Birliği’nden yardım talebinde bulundu.
Sorunun temelinde, Estonya’nın başkenti Tallin’de bulunan ve Sovyetler Birliği
döneminden kalan Meçhul Asker Anıtı’nın yerinin değiştirilmek istenmesi ve bunun
Rus azınlıkça protesto edilmesi yatıyordu. Bu protestolar sırasında bir kişi ölmüş, çok
sayıda kişi yaralanmıştı.
Rusya - Gürcistan Savaşı
2008’de, Gürcistan ve Rusya arasında Osetya kaynaklı bir gerilim yaşandı.
Rusya’nın Ağustos ayında bölgeye yönelik olarak yapacağı askeri harekât öncesinde
Gürcistan’a yönelik siber saldırılar başladı. 20 Temmuz 2008’de Gürcistan Devlet
Başkanı Şaakaşvili’nin İnternet sitesi ele geçirildi ve siteye erişim engellendi. 11
Ağustos 2008’de saldırılar şiddetlendi, bazı web sayfalarının içerikleri değiştirildi.
2007’de benzer saldırılara hedef olan Estonya konuyla ilgili uzmanlarını yardım
amacıyla görevlendirdi.
Casus Ağı: Ghostnet
Mart 2009’da yine basında yer alan haberlerde, Kanadalı araştırmacılar
tarafından Çin kaynaklı bir casus ağın (Ghostnet) ortaya çıkarıldığı açıklandı. Toplam
103 ülkede 1295 bilgisayarın bu ağın hedefinde olduğu belirtildi. Kontrolü ele
geçirilen bilgisayarların çeşitli ülkelerin dışişleri bakanlıklarına ve elçiliklerine ait
olduğu ifade edildi. Çin hükümetinin bu olayın arkasında olduğuna dair bir kanıt
bulunamadı. Atak yapılan bilgilerden bu yapının sanayi casusluğuna yönelik olduğu
çıkarımı yapıldı. Casus ağın daha çok Asya ülkelerine yönelik faaliyet gösterdiği
belirtildi. Kontrolü ele geçirilen bilgisayarların video ve audio yeteneklerinin uzaktan
çalışır hale getirilebildiği ifade edildi.
Bir Siber Saldırı Silahı: Stuxnet
Mart 2010’da İran’ın Rusya ile birlikte 2009 yılında inşa ettiği Buşehr Nükleer
Santrali bir siber savaş silahı ile vuruldu. İran İstihbarat Kurumu Başkanı Haydar
Moslehi, İngiliz The Guardian gazetesine saldırının batılı güçlerce organize edildiğini
açıkladı. Saldırının gerçekleştirildiği silah STUXNET adı verilen bir kurtçuktu (worm).
Kurtçuk santralin SCADA (Supervisory Control And Data Acqusition: Danışmalı
Kontrol ve Veri Toplama Sistemi) sistemlerini etkilemek amacıyla hazırlanmıştı.
SCADA sistemler, elektrik, su ve doğal gaz dağıtımı, iletişim hatları, nükleer santraller

gibi uzaktan kontrol ve gözetleme gerektiren alanlarda kullanılıyor. SCADA ile bir
tesisteki tüm cihazların çalışırlık kontrolleri otomatik olarak yapılabiliyor.
İran örneğinde, SCADA sistemlerini etkileyebilmek için nükleer santralin
Alman-Siemens PLC (Programmable Logic Controller: Programlanabilir Mantıksal
Denetleyici) sistemlerini farklı hızlarda çalıştırmak suretiyle işlevsiz bırakacak bir
yazılım kodunun siber silah olarak kullanılabileceği görüldü. Bu yazılım kodu
Windows işletim sistemlerine yönelik olarak geliştirilmişti.
İşin ürküten tarafı şuydu ki SCADA sistemler hedef alınarak bir ülke günlerce
susuz ve enerjisiz bırakılabilirdi. Bu yönüyle enerji, ulaşım, haberleşme, belediye
hizmetleri, savunma gibi SCADA sistemlerini kullanan kritik altyapılar aynı zamanda
birer siber saldırı hedefi haline de gelebilmekteydiler.
Siber Savaşlara Hazırlık
Ülkemizde, 12 Aralık 2008 tarihinde, siber tehditlere karşı önceden hazırlıklı
olmak amacıyla TÜBİTAK-UEKAE eşgüdümünde, toplam 19 kurumdan oluşan bir
çalışma grubu (Elektronik Ortam Savunma Çalışma Grubu) tarafından Ulusal Bilgi
Güvenliği (taslak) Politikası hazırlandı. Bu çalışmada kamu kurum ve kuruluşlarının
Bilgisayar Olayları Müdahale Ekipleri görev aldı. Politikanın 25 Şubat 2009'da nihai
sürümü kamu kurum ve kuruluşlarına duyuruldu.
Dış dünyada özellikle ABD’nin başını çektiği batılı ülkelerce siber savaşlara
hazırlık tatbikatları 2002’den bu yana gerçekleştirilmektedir. Ülkemizde ilk siber
güvenlik tatbikatı Cumhurbaşkanlığı, Başbakanlık, Adalet Bakanlığı, Hazine ve Dış
Ticaret Müsteşarlığı, Sayıştay Başkanlığı, Sermaye Piyasası Kurulu, Türkiye
Cumhuriyet Merkez Bankası ve Tapu ve Kadastro Genel Müdürlüğü’nden oluşan 8
Kurumun gönüllü katılımlarıyla 2008 yılında gerçekleştirilmiştir. Anılan tatbikat,
TÜBİTAK Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi (BİLGEM) bünyesinde,
2006 yılında yayımlanan Bilgi Toplumu Stratejisi ve Eylem Planında yer alan 88
numaralı eylem doğrultusunda kurulan Türkiye Bilgisayar Olayları Müdahale Ekibi:
TR-BOME eşgüdümünde yapılmıştır.
2010 yılının Ekim ayında ise siber terörün bir tehdit unsuru olarak Milli
Güvenlik Siyaset Belgesi’ne girdiği haberleri kamuoyuna yansımıştır.
12-15 Ekim 2010 tarihlerinde düzenlenmesi planlanan ve bazı katılımcı
kurumların hazırlık çalışmaları için ek süre talep etmeleri nedeniyle ertelenen 2.

Ulusal Siber Güvenlik Tatbikatı 25-28 Ocak 2011 tarihleri arasında TÜBİTAK
BİLGEM ve Bilgi Teknolojileri ve İletişim Kurumu (BTK) eşgüdümünde
gerçekleştirilmiştir.
Bu tatbikatla; siber savaş tehdidine karşı ulusal düzeyde hazırlıklı olmak,
kurumların bilgi sistemi güvenliği olaylarına müdahale yeteneği ile kurumlar arası
eşgüdüm yeteneğini tespit etmek, kurumlar arası iletişimi artırmak, bilgi ve tecrübe
paylaşımını sağlamak ve siber güvenlik bilincini artırmak amaçlanmıştır.
Ulusal Siber Güvenlik Tatbikatı 2011’e; enerji, finans, iletişim, savunma ve
sağlık gibi ‘kritik bilgi-sistem altyapıları’nı oluşturan toplam 41 kamu ve özel sektör
kuruluşu katılmıştır.
Ulusal Siber Güvenlik Tatbikatı ile katılımcı kurumların siber saldırılar
karşısındaki teknik kabiliyetleri, saldırılardan korunma konusunda almaları gereken
teknik önlemlerin yeterliliği, siber saldırı durumunda kurum içi ve kurumlar arası
eşgüdüm ve iletişim yetenekleri test edilmiştir. Bu tatbikatla ayrıca teknik, hukuki ve
kolluk kuvvetleri süreçlerinin birlikte yürütülmesinin önemi vurgulanmıştır [11].
Tatbikatın ilk iki gününde çalışmalar görevli personelin Kurumlarında, son iki
günündeki çalışmalar ise Türkiye Odalar ve Borsalar Birliği Ekonomi ve Teknoloji
Üniversitesi: TOBB ETÜ’ de gerçekleştirilmiştir. Bu çalışmalar sırasında ilk iki gün 5,
sonraki iki gün 14 olmak üzere toplam 19 farklı senaryo ele alınmıştır:
1. Kurum sunucusuna yoğun erişim talebi gönderilmesi,
2. Web sayfasının içeriğinin değiştirilmesi,
3. İnternet bağlantısında fiziksel bir arızanın, örneğin fiber kablonun kopması
durumunun incelenmesi,
4. Sosyal Mühendislik uygulaması,
5. Kurum IP’si kullanılarak başka bir kurumun sunucusunda DDOS
(Distributed Denial of Service Attack) saldırısı yapılıyor izlenimi yaratılması,
6. E-posta kanalıyla solucan (worm) yayılması,
7. Sistem odasındaki soğutma sistemlerinin arızalanması,
8. Yemleme (phishing) saldırıları,
9. Kurumdan gönderildiği iddia edilen e-posta(spam) saldırıları,

10. Kurumdan gönderildiği iddia edilen e-posta yoluyla yemleme saldırıları,
11. Elektrik kesintisi,
12. Yerel ağa erişimde kontrolsüz kablosuz iletişimin kullanılması,
13. Kötü niyetli personelin kuruma vereceği zarar,
14. Kuruma ait IP’den 5651 Sayılı Kanuna aykırı olarak İnternet erişimi,
15. Şifre kırma (Brute Force) saldırısı,
16. Şifre tahmin etme saldırısı,
17. İnternet’den yayılan zararlı kod (malware) saldırısı,
18. İki sistem arasındaki iletişimin dinlenmesi (Man-in-the-Middle),
19. Keşif amaçlı port tarama.
Bu senaryolar çerçevesinde Kurumun dışarıdan gelen saldırıyı tespit edebilme
yeteneği, saldırının kim tarafından, ne zaman ve nasıl gerçekleştirildiği, hangi
sistemlerin etkilendiği gibi sorulara doğru cevap verilip verilmediği öğrenilmeye
çalışılmıştır.
Gerçekleştirilen tatbikat, muhtemel siber tehditler karşısında kurumların hayata
geçirebileceği önlemlerin sınanması, kurumlar arası bilgi paylaşımının sağlanması ve
eşgüdümün güçlendirilmesi, ülke genelinde farkındalığın oluşturulması açısından
faydalı olmuştur. Kurumlardan sadece Bilişim Teknolojileri personelinin değil, aynı
zamanda hukuk ve iletişim birimlerinden de katılımın sağlanması, siber tehditlere
karşı konunun kurumsal olarak sahiplenilmesi bakımından önemli bir gelişme olarak
değerlendirilmektedir.
Bu tatbikatların her yıl, kamu ve özel sektörle birlikte yerel yönetimleri de
içerecek şekilde kapsamının genişletilmesi, bu tatbikatlarda kurumların göstermiş
olduğu performansla ilgili geri bildirimlerin yapılması, örnek senaryolarda uygulama
katmanına dönük konuların da ele alınması ayrıca faydalı olacaktır.
Siber tehditlere maruz kalabilecek sektör yelpazesinin genişlemesi ile birlikte
tehditlere karşı bu sektörler arasındaki eşgüdüm sorumlularının belirlenmesinde
mevcut yasa ve yönetmeliklerin yetersiz kalması nedeniyle zaman zaman sıkıntılar
yaşanabilmektedir.

Bilgi güvenliği ile ilgili olarak yapılan hazırlıklar daha çok kamu kesimi ile sınırlı
görünmektedir. Kapsamın ülke düzeyinde, kamu ve özel sektörden tüm kritik altyapı
sorumlularıyla birlikte genişletilmesi uygun olacaktır. Bilgi güvenliği ile ilgili olarak
dünyada örnekleri olduğu üzere ülkemizde de konuyla ilgili tek bir kurumsal yapının
eşgüdüm sorumluluğu ile görevlendirilmesinde fayda görülmektedir.
Bilgi Güvenliğine İlişkin Mevcut Düzenlemeler
Bilgi güvenliğine dair kurallar ve düzenlemeler konusunda tüm dünya
genelinde yaşanan sorun aslında hukuki düzlemde teknolojik gelişmelere aynı hızda
ayak uyduramama, bir anlamda geriden takip etme sorunudur. Bunda, bugün bilişim
teknolojilerinin bu denli hızlı gelişmesinde büyük rolü olan İnternet’in başlangıçta
kapalı bir ağda özel amaçlar için tasarlanmış olması, bu nedenle genel kullanım için
gerekli olan güvenlik kıstaslarının önceden ele alınmayışı önemli bir etkendir. Bu
ortamda en çok kişisel bilgilerin mahremiyeti ve kurumsal bilgilerin gizliliği konusunda
sorunlar yaşanmaktadır.
Hukuki düzenlemelerin hayata geçirilebilmesi doğal olarak düzenlemenin
yapılacağı herhangi bir alanla ilgili olarak belli bir olgunluğa erişilmiş olmasına, diğer
bir deyişle gelişmelerle ilgili belli bir stabilizasyonun sağlanmasına bağlıdır. Bilişim
alanında ise bu stabilizasyonun sağlanması kolay olacağa benzememektedir, çünkü
bilgisayar ve iletişim alanlarında geliştirilen her yeni teknoloji bir başka gelişim sahası
için yeni bir ilham kaynağı olabilmektedir.
Bu hızlı değişim, kontrolü ve yönetimi zor bir ortamın oluşmasına neden
olmaktadır. Bu da geneline bilişim suçları adını verdiğimiz suç tiplerinin ortaya
çıkmasıyla birlikte yeni kural ve düzenlemelerin süratle yapılmasını zorunlu hale
getirmektedir.
Son dönemde;
 Kişisel bilgilerin gizliliği ve veri güvenliğine ilişkin algının güçlenmesi,
 Kurumsal denetim altyapısının gelişmesi,
 Standartlara uyumluluk gereksinimi,
gibi unsurlar bilgi güvenliğinin önemini organizasyonların üst yönetimlerine kadar
taşımıştır.

Kurumsal Yönetişim ve Denetim
Bilgi güvenliğine ilişkin risklerin de içinde olduğu bilişim teknolojilerindeki
işletimsel (operasyonel) risklerin yönetimine ilişkin standartlara ve düzenlemelere
uyumluluk konularının temel çıkış noktalarını yine her biri ihtiyaçtan kaynaklanan ve
ağırlıklı olarak yönetişim kavramı etrafında şekillenen aşağıdaki düzenlemelerin
oluşturduğu değerlendirilebilir:
 BASEL Sermaye Uzlaşı Belgesi (AB), 1999,
 SOX Kanunu (ABD), 2002
Bu düzenlemelerin ülkemizde de aşağıda örnekleri verilen yansımaları
olmuştur;
 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu (2003),
 5411 sayılı Bankacılık Kanunu (2005) ve buna bağlı olarak çıkarılan
Bankalarda Bilgi Sistemleri Denetimi Yönetmeliği (2006),
 Kamu İç Kontrol Standartları Tebliği (2007),
Anılan düzenlemelerde denetim başlığı altında bilişim teknolojileri denetimleri
ve bu denetimlerin temel bacağı olarak da güvenlik denetimleri ön plana çıkmıştır.
Bilgi Toplumu Stratejisi Eylem Planı, 88 Nolu Eylem
E-Dönüşüm Türkiye Projesi kapsamında 28 Temmuz 2006 tarihinde Resmi
Gazete’de yayımlanan Bilgi Toplumu Stratejisi ve Eki Eylem Planı’nda yer alan
“Ulusal Bilgi Sistemleri Güvenlik Programı” uyarınca TÜBİTAK Ulusal Elektronik ve
Kriptoloji Araştırma Enstitüsüne;
 Siber alemdeki güvenlik tehditlerini sürekli olarak takip edecek, uyarılar
yayımlayacak, bu risklere karşı ne şekilde tedbir alınabileceğine dair
bilgilendirme yapacak, risklerin ortaya çıkması durumunda karşı tedbirleri
koordine edebilecek bir “bilgisayar olaylarına acil müdahale merkezi
(CERT-BOME)” kurma,
 Kamu kurumları için gereken asgari güvenlik seviyelerini belirleme,
kurumlar tarafından kullanılan sistem, yazılım ve ağların güvenlik
seviyelerini tespit etme ve eksikliklerini giderme konularında öneriler
geliştirme görevleri verilmiştir.

Anılan eylem, yazının devamında da ifade edileceği üzere hali hazırda belli
ölçüde hayata geçirilmiş durumdadır.
Bilgi Toplumu Stratejisi Eylem Planı, 87 Nolu Eylem
Adalet Bakanlığının eşgüdümündeki Bilgi Toplumu Stratejisi ve Eylem Planı 87
nolu eylemi kapsamında Bilgi Güvenliği ile ilgili Yasal Düzenlemeler açısından;
 Kişisel verilerin hukuka uygun toplanması, işlenmesi ve saklanması
amacıyla 2008’de Kişisel Verilerin Korunması Hakkındaki Kanun Tasarısı
Meclise sunulmuş, ancak yasalaşmamıştır.
 Diğer taraftan, “verilerin hukuka aykırı olarak başkasına verilmemesi” TCK
136, “dijital delillere el koyma” TCK 134’de tanımlanmış durumdadır.
 Ayrıca Anayasa’nın 20.Maddesi, IV. Özel hayatın gizliliği ve korunması, A.
Özel hayatın gizliliği, MADDE 20’de 12.9.2010 tarihinde yapılan ek fıkra
değişikliğiyle “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme
hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında
bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini
talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi
de kapsar. Kişisel veriler, ancak Kanun’da öngörülen hallerde veya kişinin
açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller
kanunla düzenlenir.” hükmü getirilmiştir.
Avrupa Siber Suçlarla Mücadele Sözleşmesi
Avrupa Konseyi tarafından üye ülkeler nezdinde 2001 yılında imzaya açılan ve
siber suçlarla ilgili olarak ulusal ve uluslararası düzeyde alınması gereken
önlemleri içeren sözleşmede;
 Bilgisayar veri ve sistemlerinin gizliliğine, bütünlüğüne ve kullanıma açık
bulunmasına yönelik suçlar başlığı altında, yasa dışı erişim, yasa dışı
olarak verilere ve sistemlere müdahale, cihazların kötüye kullanımı;
 Bilgisayarlarla ilişkili suçlar başlığı altında, bilgisayarlarla ilişkili
sahtecilik fiilleri ve sahtekârlık konuları;
 İçerikle ilişkili suçlar başlığı altında, çocuk pornografisiyle ilişkili suçlar;

 Telifle ilgili başlık altında, telif haklarının ve benzer hakların ihlaline
ilişkin suçlar,
 İlave yükümlülükler ve yaptırımlar başlığı altında, suça teşebbüste
bulunmak ve yardım ya da yataklık etmek ve kurumsal yükümlülüklere
ilişkin konular yer almıştır.
Sözleşme gereğince taraflarca cezai soruşturma ve davaların yürütülmesi ya
da elektronik delillerin en kısa sürede toplanabilmesi için 7 x 24 hizmet vermek
üzere irtibat noktası oluşturulması gerekmektedir [12].
Sözleşmeyi bugüne kadar imzalayan ülkeler arasında üye olmayan ülkelerden
Kanada, Japonya, ABD ve Güney Afrika da bulunmaktadır.
Anılan sözleşme Türkiye tarafından 10 Kasım 2010 tarihinde imza edilmiştir.
Buna göre Türkiye’nin sözleşmeye uyumluluk açısından bu sözleşmede yer
alan suçlara karşılık gelen ve aşağıda örnekleri verilecek olan bazı kanunlarda
(örneğin 5651 sayılı Kanun) uyumluluk çalışması yapması gerekebilecektir.
5070 Sayılı Elektronik İmza Kanunu
Elle atılan imza ile aynı hukuki sonucu doğuran güvenli elektronik imza ile ilgili
kanun 2004 yılında yasalaşmıştır.
Zaman içinde e-imzanın kimlik doğrulama yöntemi olarak da kullanım sahası
kazandığı, mobil iletişimdeki gelişmelere paralel olarak m-imzaya evrildiği
görülmektedir.
5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu
Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
Anılan Kanun 2007 yılında yasalaşmış, bu kanunla kullanıcılara bilgi sunan
içerik sağlayıcılara, sistemleri sağlayan yer sağlayıcılara, İnternet erişim olanağını
sağlayan erişim sağlayıcılara ve belli bir yerde belli bir süre için İnternet olanağı
sağlayan toplu kullanım sağlayıcılara çeşitli yükümlülükler getirilmiştir.
Detaylar bir yönetmelik kapsamında ele alınmıştır. Buna göre, yer
sağlayıcıların İnternet trafik bilgisi tutması gerekmektedir. Yönetmelik, anılan bilgilerin
6 ay süreyle saklanması ile bu bilgilerin doğruluk ve bütünlüğünün sağlanması
sorumluluğunu da beraberinde getirmiştir.

Bu Kanun’la birlikte birçok kurum ve kuruluşta merkezi kayıt olanakların
geliştirilmesine yönelik çalışmalar gündemin öncelikli konuları arasına girmiştir.
Kanun’un uygulanma evresinde çeşitli erişim engelleme kararları alınmıştır.
Uygulama sadece zararlı içeriğin olduğu adres için değil, tüm IP bloğu dikkate
alınarak yapıldığından zararlı içerik olmayan sitelere de erişim engellenmiştir. Erişim
engellemeye neden teşkil edecek 8 ana Kanun maddesi şu şekildedir:
1. İntihara yönlendirme,
2. Çocukların cinsel istismarı,
3. Uyuşturucu ve uyarıcı madde kullanılmasını kolaylaştırma,
4. Sağlık için tehlikeli madde temini,
5. Müstehcenlik,
6. Fuhuş,
7. Kumar oynanması için yer ve imkan sağlama,
8. Atatürk’ün hatırasına hakaret ve sövme.
Bunlardan çocukların cinsel istismarı ile müstehcenlik maddeleriyle ilgili suç
teşkil edebileceği düşünülen konularda Telekomünikasyon İletişim Başkanlığı erişimi
durdurma kararı verebilmektedir.
Bu yasayla, İnternet hizmeti veren kurum ve kuruluşlar aynı zamanda kendi
çalışanlarının erişeceği içeriğin yukarıda ifade edilen maddelere aykırı olmaması
amacıyla web içeriklerini filtreleme önlemlerini almak zorundadırlar.
TCK’da Bilişim Suçlarına İlişkin Düzenlemeler
Bu kapsamda “bilişim sistemine girme suçu” TCK 243’de, “sistemi engelleme,
bozma, verileri yok etme veya değiştirme suçu” TCK 244’de yer almaktadır.
Bilişim suçları daha önce ifade edildiği üzere 2001 tarihli Avrupa Siber Suçlarla
Mücadele Sözleşmesi kapsamında ele alınmıştır ve anılan sözleşmede kısmi olarak
5651 ve 5846 sayılı kanunlarda yer alan hükümler de bulunmaktadır.
5846 sayılı Fikir ve Sanat Eserleri Kanunu
Lisanssız yazılım kopyalama, kullanma, kullandırma suçları 5846 sayılı Yasa
kapsamında değerlendirilmektedir.

4982 sayılı Bilgi Edinme Kanunu
4982 sayılı Bilgi Edinme Kanunu, kamunun verebileceği bilgilere getirdiği
sınırlamalar açısından hali hazırdaki en kapsamlı kanundur. 9.10.2003 tarihinde
yasalaşan ve kamu kurum ve kuruluşları ile kamu niteliğindeki meslek kuruluşlarının
bilgi verme koşullarını düzenleyen Kanun çerçevesinde;
 Gizli bilgileri ayırarak bilgi veya belge verme,
 Bilgi edinme hakkının sınırları, yargı denetimi dışında kalan işlemler,
 Devlet sırrına ilişkin bilgi veya belgeler,
 Ülkenin ekonomik çıkarlarına ilişkin bilgi veya belgeler,
 İstihbarata ilişkin bilgi veya belgeler,
 İdari soruşturmaya ilişkin bilgi veya belgeler,
 Adli soruşturma ve kovuşturmaya ilişkin bilgi veya belgeler,
 Özel hayatın gizliliği,
 Haberleşmenin gizliliği,
 Ticari sır,
 Fikir ve sanat eserleri,
 Kurum içi düzenlemeler gibi konular hükme bağlanmıştır.
4857 Sayılı İş Kanunu
22.5.2003 tarihli ve 4857 sayılı İş Kanunu’nda, işçi özlük dosyası, Madde
75’te; “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu
dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca
düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği
zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında
edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli
kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” hükmü
bulunmaktadır.

5809 Sayılı Elektronik Haberleşme Kanunu
10 Kasım 2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu ile Bilgi
Teknolojileri ve İletişim Kurumu (BTK)’ya;
 Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi,
 İzinsiz erişime karşı şebeke güvenliğinin sağlanması,
 Kişisel veri ve gizliliğinin korunması,
 Elektronik haberleşme sektörüne yönelik olarak, milli güvenlik, kamu
düzeni ve kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın
öngördüğü tedbirlerin alınması görevleri verilmiştir.
Bilgi Güvenliği ve İş Sürekliliği
Bilgi güvenliği genel itibariyle gizlilik, bütünlük ve erişebilirlik olmak üzere üç
temel unsurun sağlanmasına bağlıdır. Yangın, sel, deprem, terör, sabotaj, siber
ataklar, bilgi teknolojilerinde kullanım hataları, yazılım ve donanım problemleri,
savaşlar, salgın hastalıklar, küresel veya ülkesel düzeydeki finansal krizler gibi
tehditlere karşı kurumsal anlamda iş sürekliliği yönetiminin yapılması bir gerekliliktir.
Bu anlamda iş sürekliliği bilgi güvenliğinin olmazsa olmazlarındandır. Diğer bir
deyişle, iş sürekliliği yönetilmiyorsa bilgi güvenliği yönetim süreci etkin olamaz. Kritik
altyapı olarak tabir edilen ve enerji, savunma, iletişim, ulaştırma, finans ve sağlık gibi
alanlarda bilgi güvenliği ve iş sürekliliği konularında muhtemel tehditlere karşı gerekli
tedbirlerin alınması, bunların periyodik olarak sınanması, gerekli ve uygun düzeltme
çalışmalarının yapılması gerekmektedir.
Gerek bilgi güvenliği yönetimi gerek iş sürekliliği yönetimi çalışmalarının bir
kısmı teknik bir kısmı yönetsel süreçlerden oluşmaktadır. Tek başına bir ürün,
teknoloji veya servisle açıklanmaları mümkün olmayıp, bir kere yapılan ve
tamamlanan birer çalışma da değillerdir. Her ikisi de sürekli iyileştirme yapılması
gereken alanlardır.
Sonuç
Bilişim teknolojileri geniş bantta mobil iletişim olanakları ve daha hızlı
bilgisayarların kullanımı ile gelişmeye devam etmektedir. Bu durum kullanıcı
eğilimlerinin de mobil kullanım yönünde yoğunlaşmasına sebep olmaktadır. Bu yönde
gelişen teknolojinin mevcut iş modellerini de değiştirmesi mümkündür.

Son on yıldaki gelişmeler dikkate alındığında dünyada ve ülkemizde İnternet
kullanıcı sayılarının önümüzdeki dönemde de artmaya devam edeceğini söyleyebiliriz
[13]. Buna paralel olarak ekonomik, politik ve askeri motivasyonlarla gerçekleşen
siber saldırı sayılarında da artış olması muhtemeldir.
Yazının başında da değinildiği üzere 2011 yılının Şubat ayı itibarıyla 3G
teknolojisini kullanan abone sayısı 17 milyona ulaşmış durumdadır. Mobil iletişim
teknolojisinin gelişmesi (4G) Ülkemizde İnternet’in daha fazla yaygınlaşmasına neden
olacaktır.
Bu kapsamda mobil cihazlarda kullanılan işlemci, işletim sistemi ve yardımcı
uygulama yazılımları açısından gelişmeler de hız kazanacaktır.
Bu durum mobil uygulamaları da tetikleyecek, mobil uygulama güvenliği
gündemin ilk sıralarına taşınacaktır.
Hâlihazırda İnternet kaynaklı tehditlerin çok büyük bir kısmı uygulama
katmanında gerçekleşmektedir. Mobil uygulamaların artmasıyla birlikte bu tehditler
mobil uygulama ortamlarına da yansıyacaktır.
Mobil teknolojilerindeki gelişmeler, alınabilecek güvenlik önlemleri açısından,
GSM operatörlerini, mobil uygulama sahibi kurum ve kuruluşları ve kullanıcıları
bağlayıcı mahiyette sonuçlar doğurabilecektir.
Diğer taraftan, Gartner’ın 2009 yılı öngörüleri arasında 3. sırada iken 2010’da
1.sıraya yükselen, 2011’de de bu sırayı koruyan Bulut Bilişim (Cloud Computing –
ölçeklenebilir ve esnek BT yeteneklerinin dış müşterilere İnternet teknolojileri
kullanılarak sunulması: Gartner) konusunda önümüzdeki dönemde güvenliğin nasıl
sağlanacağı ve dış kaynakta veri bulundurmanın yasal mevzuatta nasıl ele alınacağı
konularının netleştirilmesi gerekecektir.
Ayrıca bugün Firewall, Application Firewall, Antivirüs, Antispam, Antispyware,
Intrusion Prevention System gibi güvenlik çözümleri bütünleşmiş (entegre) kutu
çözümler olarak sunulmaya başlanmıştır. Bu yapının ileride USB bağlantılı harici
cihazların merkezi kontrolleri, veri kayıt ve kriptolama gibi ilave çözüm ve olanaklarla
genişlemesi beklenmektedir.
Öte yandan, bilişim alanındaki güvenlik firmaları çok hızlı el değiştirmektedir.
Örneğin, yıllarca işlemci pazarında lider konumunda olan Intel firmasının; 2010

yılında güvenlik yazılım firması McAfee’yi satın alması sonrasında, önümüzdeki
dönemde güvenlik anlayışını işlemci bütünleşmesi (entegrasyonu) yönünde geliştirip
geliştirmeyeceği merak konusudur [14].
Yine aynı yıl, Merkezi Kayıt ve Olay Yönetimi ürünü olan Arcsight bir donanım
firması olarak bilinen HP tarafından satın alınmıştır [15]. Bir sene önce ise bir yazılım
firması olan Oracle, donanım ve yazılım alanında faaliyet gösteren Sun firmasını
satın almıştır. Bu satın alma sonrasında Sun tarafından pazarlanmakta olan kimlik
yönetimi ve erişim denetimi sistemleri de el değiştirmiştir [16]. Diğer taraftan yıllarca
güvenlik yazılımlarıyla tanınmış olan Symantec firmasının da veri depolama
çözümlerine yönelmiş olması dikkat çekicidir [17].
Bugün sıkça karşılaştığımız durum, gelişmeler ve ihtiyaçlar paralelinde yeni
güvenlik firmalarının ortaya çıkması, gelişmelere uyum sağlayamayan firmaların yok
olması ya da pazar geleceği olanları büyük firmaların satın almasıdır. Geliştirilen ya
da geliştirilecek olan teknolojinin üstünlüğü, talepleri karşılama seviyesi ve
gelişmelere uyum yeteneği anılan firmaları ayakta tutabilecek en önemli unsurlar
olacaktır. Başka firmalarca satın alınan güvenlik ürünlerinin yeni sahiplerince
geliştirilmeye devam edilip edilmeyeceğini ya da ileride yok olup olmayacağını zaman
gösterecektir. Bilişim güvenliği ihtiyaçlarında, bu amaçla kullanabileceğimiz ürünlerde
ve bu ürünlerin üretici, dağıtıcı ve satıcılarında yaşanan hızlı değişim bu hizmetlere
ihtiyaç duyanların karar alma süreçlerinde zorluklar yaşamalarına neden olmaktadır.
Esnek bir yapı sağlaması, yönetilebilir ve sürdürülebilir olması durumunda açık
kaynak ürünlerin ticari ürünlerle birlikte kullanılması değerlendirilmesi gereken bir
başka konudur.
Bunlara ilaveten önümüzdeki dönemde, kimlik doğrulamada kullanılmakta olan
parmak izi, iris ve yüz tanıma gibi biyometrik teknolojilerinde iyileştirmeler (örneğin
kızılötesi tarayıcı yardımıyla avuç içi damar örgüsünü temassız okuyarak kimlik
doğrulama, daha geniş açıyla okuyabilme ve hata payını en aza indirmek gibi)
beklenmektedir. Ayrıca birçok uygulama için kimlik doğrulamada cep telefonlarından
mobil imzanın kullanılması mümkün hale gelmiştir ve kullanımı artmaktadır.
Bilgi ve iletişim teknolojilerinde yaşanan hızlı değişim ve gelişmeler, bu
teknolojiyi üretenlerden ve teknolojinin bizzat kendisinden kaynaklanabilecek pek çok
riskin de kişisel, kurumsal, ülkesel ve küresel düzeylerde yönetilmesini zorunlu hale

getirmektedir. Yazı boyunca değinilen risklerin metodolojik bir yaklaşımla yönetilmesi,
düzenli olarak kontrolü ve gereken düzeltme ve iyileştirme faaliyetlerinin yapılması
herhangi bir riskin gerçekleşmesi durumunda meydana gelebilecek kayıpları
azaltacaktır.
Enerji, iletişim, finans ve ulaştırma gibi kritik altyapılara yönelik siber tehditlere
karşı güvenliğin sağlanması için kamu ve özel sektörün alması gereken önlemler
bütüncül bir yaklaşımla değerlendirilmelidir. Bilgi güvenliğine ilişkin olarak ülkemizde
bugüne kadar farklı kurumlarımıza verilmiş olan görevlerin tek bir çatı altında ve
eşgüdüm sorumluluğunda toplanması ve konuyla ilgili yasal düzenlemelerin yeni
oluşturulacak olan yapıyı destekleyecek mahiyette yeniden ele alınması bahse konu
tehditlere karşı ülke düzeyinde alınacak önlemlerin etkinliğini artıracaktır.
Kaynakça:
[1] http://www.teknoport.com.tr, Ocak 2011
[2] http://www.tdk.gov.tr, Şubat 2011
[3] Kurumsal Bilgi Yönetimi, Hüseyin Odabaş, Hakemli Yazılar, Türk Kütüphaneciliği, 2003
[4] http://www.tubitak.gov.tr, Şubat 2011
[5] Shane, Scott; Tom Bowman (1997-03-08). "No Such Agency, part four: Rigging the game". The
Baltimore Sun: pp. 9–11. http://jya.com/nsa-sun.htm, Şubat 2011
[6] European Parliment Session Document, Final report on the existence of a global system for the
interception of private and commercial communications (ECHELON interception system) (2001/2098
(INI))
[7] Kevin D. Mitnick, William L.Simon, Art of Deception, 2002, Türkçe Baskı: Aldatma Sanatı:
Güvenliğin İnsan Boyutu, ODTÜ Geliştirme Vakfı, 2005
[8] http://213.251.145.96 (Wikileaks), Şubat 2011
[9] http://news.bbc.co.uk, Şubat 2011
[10] http://www.guardian.co.uk, Şubat 2011
[11] http://www.bilgiguvenligi.gov.tr, Şubat 2011
[12] Convention on Cybercrime, Budapest, 23 November 2001, Council of Europe (ETS 185),
http://www.coe.int, Şubat 2011
[13] http://www.worldstats.com, Şubat 2011
[14] http://www.intel.com, Şubat 2011
[15] http://www.hp.com, Şubat 2011

[16] http://www.oracle.com, Şubat 2011
[17] http://www.symantec.com, Şubat 2011
Yardımcı Kaynakça:
1. http://www.mevzuat.gov.tr, Şubat 2011
2. http://www.bilgitoplumu.gov.tr, Şubat 2011