Artık e-güvenlik yatırımlarına üst yönetim karar veriyor

InfoNet Genel Müdürü Taner Özdeş, 2002'ye umutlu girdiklerini, bilgi ve iletişim teknolojileri sektöründe ibrenin büyüme yönünde değişeceğini tahmin ettiğini söylüyor.

INFONET'in Genel Müdürü Taner Özdeş, 2002'nin 2001'den daha iyi bir yıl olacağına inandıklarını, bu inancı destekleyen çeşitli işaretlerin şimdiden alınmaya başladığını ifade etti.
Döviz kurlarındaki aşırı değerlenmenin ticari hayatı durma noktasına getirdiğine, kurların baskısı altında borçları katlanarak artan yüz binlerce firmanın ticaret sahnesinden çekilmeye mecbur kaldığına dikkat çeken Özdeş, bu nedenle kurların istikrara kavuşmasının ticaretin canlanmasına büyük katkı sağlayacağına inandığını belirtti.
Yabancı ekonomi çevrelerinin gelecek sene Türkiye ekonomisinde % 4 civarında bir büyüme beklediklerini söyleyen Özdeş, bu büyümeden e-güvenliğin de payını alacağını ifade etti. Özdeş sözlerine şöyle devam etti: "2001 çok kötü geçmedi bizim için. BT sektöründe yaşanan küçülmeye karşın e-güvenlik sektörü % 10-15 büyüdü. Bunda firmaların eskiye oranla e-güvenliğe daha fazla önem vermesinin ve yoğun şekilde yaşanan virüs saldırılarının büyük payı var. Ayrıca, artık e-güvenlik yatırımlarına BT müdürlerince değil üst düzey yönetimce karar verilir oldu. 2002'de tanılamanın öneminin artmasını bekliyoruz. Bunun ilk işaretlerini de almaya başladık. 'Token'larla ekranın diğer tarafındaki kişinin doğru insan olup olmadığı bilinebilecek. Akıllı kart, 'Secure ID token' ve 'Ikey' kullanımının kurumlar arası (B2B) ve kurumdan müşteriye e-ticaret (B2C) firmaları ile bankacılıkta yaygınlaşmasını bekliyorum. PKI uygulamalarını da 2002'de görmeye başlayabiliriz. Ayrıca 2002 yılında, BT sektöründeki firmaların ürün dışında katmadeğerli hizmet ve servislerini satarak büyümeleri çok önem taşıyacak. 2001 yılı sonunda gözlenen ve neredeyse ürün ve hizmetleri bedava vermeye dönüşen olumsuz fiyat rekabetinin 2002 yılında sona ermesi de sektör için sağlıklı bir gelişme olacak. Kurumsal Internet kullanımının artışı da gelecek sene e-güvenliği olumlu etkileyecek."

2001 virüslerin yılıydı
2001 yılında en fazla baş ağrıtan güvenlik sorunu olarak virüsler ve solucanlar ilk sırada yer aldılar. 2001; Code Red, Nimda ve Sircam'ın yılı olarak hatırlanacak.
Infonet güvenlik değerlendirme uzmanları, 2000 yılının DOS saldırılarının yılı olduğunu, birçok büyük sitenin son derece basit yöntemlerle çalışmaz hale getirildiğini belirttiler. 2001 ise virüs ve solucanların yılı oldu. Başta Code Red, Nimda, Sircam ve Magistr olmak üzere çok sayıda virüs dünyanın dört bir yanındaki bilgisayarlara zarar verdi; kişi ve kurumlara milyarlarca dolarlık masraf yarattı. Code Red ve Nimda solucanları Internet'te kendilerini yayabilmek için, gerekli yamalarla donatılmamış sunucular ararken bantgenişliğini büyük miktarda tükettiler ve yamaları kurulmuş sistemlerin çalışmasını bile zora soktular. Infonet'ten yapılan açıklamaya göre içinde bulunduğumuz yıl tespit edilen virüs sayısı 12 bine yakın.

Sistem yöneticileri daha dikkatli olmalı
 InfoNet, virüslerin bu denli etkili olmasını, bilgi-işlem ağlarından sorumlu kişilerin güvenlik konularında zaman zaman duyarlı davranmamalarına bağlıyor. Uzmanlar, 6 ay önce duyurulan ve yaması çıkarılan bir açığı henüz sistemlerine kurmamış çok sayıda firmayla karşılaştıklarını belirtiyor ve güvenliği kendi düşüncelerine göre değerlendiren sistem yöneticilerinin, sorumlu oldukları ağları riske attıklarını ifade ediyorlar. Güvenlik değerlendirme uzmanları, sistemlerin InfoSecure benzeri bir güvenlik değerlendirme programıyla analiz edilmesinin de olmazsa olmaz bir gereklilik olarak nitelendiriyorlar.

InfoSecure, ağdaki açıkları bir bir saptıyor
CERT tarafından yayınlanan istatistiklere göre 2001 yılında siber saldırılar 2000'e göre % 100 artış kaydetti. Bunda, virüs ve solucanların yayılmak için yeni açıklar ve yöntemlerden yararlanmaları etkili oldu. Özellikle Microsoft Outlook'taki güvenlik açıkları virüs üreticilerinin en fazla yararlandıkları açıklar olarak göze çarptı. InfoNet uzmanları bu saldırıların durdurulması için sistem yöneticilerinin e-güvenlik sitelerini dikkatle izlemeleri, yapılan duyuruları sürekli takip etmeleri gerektiğini bildiriyorlar. E-güvenliğin bir uzmanlık işi olduğu belirten uzmanlar, firmaların mutlaka bir güvenlik değerlendirme hizmeti alması gerektiğinin altını çiziyor. InfoNet'in InfoSecure Güvenlik Değerlendirme Hizmeti'nin bu amaca yönelik olarak geliştirilmiş bir hizmet olduğunu söyleyen değerlendirme uzmanları, InfoSecure ile şirketlerin bilgisayar ağlarının ve bu ağlar üzerindeki donanım ve yazılımların çok çeşitli araçlarla incelendiğini, problem yaratabilecek zayıf noktaların ortaya konulduğunu ve bunları giderecek çözümlerin saptandığını belirtiyor.
InfoNet Genel Müdürü Taner Özdeş de konuyla ilgili olarak şunları söylüyor: "Internet'e bağlı bir kurum için % 100 güvenlikten bahsetmek mümkün değil. E-güvenlik denince akla gelmesi gereken kavram bence 'kontrollü erişim' olmalı. Erişimi kontrol edebilirseniz, 'her şey yolunda' diyebilirsiniz. Şirketler e-güvenlik yönetimi ve denetimini uzman şirketlere emanet ederek, asıl işlerine odaklanırlarsa hem daha verimli çalışırlar hem de e-güvenlik konusunda sıkı bir korumaya kavuşmuş olurlar."

Mobilite, güvenlik ihtiyacını artırıyor
INFONET'ten yapılan açıklamaya göre Internet uygulamalarının ve mobilitenin yaygınlaşmasıyla e-güvenliğin de önemi artıyor. Artık, milyarlarca doların dolaştığı sanal ağlar üzerinde çok daha sıkı güvenlik önlemlerine ihtiyaç var.
Internet hayatımızı radikal bir şekilde değiştirdi. Net üzerinden bankacılık, kurumlar arası (B2B) ve kurumdan müşteriye (B2C) e-ticaret uygulamaları hızla yaygınlaşıyor. İnsanların bilgisayar ve Internet'i kullanmaları için artık masaüstü PC'lere bağlı olma zorunlulukları da kalmadı. InfoNet'ten yapılan bir açıklamaya göre 2003'te dünyada 1 milyar mobil telefon ve sayısal asistan (PDA) olarak da adlandırılan el bilgisayarı kullanılıyor olacak.
Bu muazzam artış beraberinde güvenlik sorunlarını da getiriyor. Bilgisayarlarımızın güvenliği için yakın bir geçmişe kadar olmazsa olmaz sayılan antivirüs çözümleri, güvenlik duvarı ve yetkisiz girişleri saptayıp durduran yazılımlar şimdilerde yetersiz kalıyor.
InfoNet Genel Müdürü Taner Özdeş, mobilite ve e-güvenlik ilişkisi hakkında şu değerlendirmeyi yapıyor: "Mobilite hız demek. Bilgiye her yerden her zaman ulaşabilmek demek. Kullandığımız mobil cihazlarda bilgileri güvenlik altına almak, karşımızdaki kişinin kimliğinden emin olmak, kullandığımız erişim şifrelerinin ve bu şifrelerle ulaşılan bilgilerimizin başkalarının eline geçmesini engellemek için kendi şifresini üreten çözümlerin kullanılması şart. Taşınabilir bilgisayarların güvenliğini sağlamak için InfoNet olarak dünyaca ünlü iki firmanın ürünlerini Türk kullanıcılarına sunuyoruz. Bunlar RSA SecurID ve Rainbow IKey. Bu ürünlerin ülkemizdeki kullanımı hızla yaygınlaşıyor. Yerli firmaların en ileri e-güvenlik çözümlerini hızla benimsemeleri Türkiye'de e-güvenlik kavramının yerleştiğini göstermesi açısından çok önemli".

"Sen sahiden 'sen' misin?"
 Alışılagelmiş önlemlerin yanında sayısal imzalar, RSA SecurID Token ve USB girişinden çalışan Rainbow IKey anahtarların kullanılması da bir zorunluluk oldu. RSA SecurID Token ve Rainbow IKey ile karşınızda kim olduğundan emin olabiliyorsunuz. Bir e-posta aldığımızda bunun gerçekten e-postada adı ve adresi gözüken kişiden gelip gelmediğini saptamak büyük önem taşıyor. Çünkü Internet'te kolayca bulunabilecek programlarla başkasının adına e-posta göndermek çocuk oyuncağından farksız. Ayrıca e-postaların şifrelenerek gönderilmesini sağlayan şifreleme yazılımlarını da yukarıdaki grubun içine rahatlıkla dahil edebiliriz.

Dakikada iki şifre
 Zaten en fazla talep artışı bu grupta yer alan ürünlerde görülüyor. Bunlardan SecureID kredi kartı büyüklüğünde bir cihaz. Dünyanın önde gelen e-güvenlik firmalarından RSA tarafından üretiliyor. Bu küçük cihazın sayısal bir ekranı var ve bu ekrandan 30-60 saniyede bir değişen kullanıcı şifreleri geçiyor. Kullanıcı, ilk olarak kişisel PIN kodunu giriyor. Daha sonra cihaz, kullanıcının ağa girmesini sağlayacak şifreyi ekranda gösteriyor. Sürekli değişen şifreler sayesinde ağa yetkisiz girişlerin önü büyük ölçüde alınmış oluyor. Bu iki kademeli yöntemi Glaxo, Telsim, Unilever, Vestel gibi firmalar kullanıyor.

Teknolojik kapkaççıların korkulu rüyası
 Rainbow IKey ise diğer bir önde gelen e-güvenlik firması olan Rainbow'un bir ürünü. İçinde bir mikroişlemci, bir USB denetleyicisi ve bellek bulunduran Rainbow IKey, PKI ortamlarında da kullanılabiliyor. Tanılama konusunda en popüler güvenlik ürünlerden olan Rainbow IKey aslında bilgisayarın USB girişine takılan küçük bir anahtar. Rainbow IKey'yi bilgisayara takmadan cihazı başlatmak olanaksız. Yani bir şekilde bilgisayarınız çalınırsa anahtarı olmadan onu kimsenin çalıştırması mümkün değil. El ve dizüstü bilgisayarların çalınması sık rastlanan bir olay. FBI'ın bile 2001'in ilk yarısında tam 180 dizüstü bilgisayarını hırsızlara kaptırması, olayın boyutlarını net bir şekilde ortaya koyuyor.