Kurumsal Siber Savunma

Günümüzde hem ülkemizde hem de ülkemiz dışında bir çok siber saldırı olmaktadır. Bu saldırılar daha çok ülkeler arası ilişkilere göre şekillenmektedir. Bu siber saldırılardan en çok etkilenenler şüphesiz kurumlardır. Siber saldırılarda kurumlara verilen zararlar kişilere verilen zararlardan daha fazla olmaktadır. Bundan dolayı kurumların siber savunmaya daha çok önem vermesi gereklidir. Şimdi kurumların bilişim alt yapısını kısaca inceleyelim. Bir kurumun bilişim alt yapısı temel olarak aşağıdakilerden oluşur.

  1. Kurum Web Sitesi

  2. Kurum Telefonu

  3. Çalışan Telefonu

  4. Kurum İçi Otomasyon ve Yönetim Sistemi

 Her kurumun web sitesi bulunur. Saldırganların saldırı yapacağı ilk şey kurumun web sitesidir. Günümüzde saldırıların çoğu web sitelerine yapılmaktadır. Yapılan saldırılarda ele geçirilen veri tabanları kurumlar için önemli zarar teşkil etmektedir. Web sitesini korumak için kuruma web sitesi ve güvenliğinden sorumlu eleman istihdam edilebilir. Fakat bunun yerine işi web siteleri ve güvenliğini sağlamak olan firmalara devretmek daha doğru bir tercih olacaktır. Güvenliğin bu firmalar tarafından düzenli olarak sınanması bu firmalar tarafından yapılırsa daha iyi sonuç elde edilir. Ayrıca kurumun web sitesini barındıran sunucunun düzenli olarak teste tabi tutulmasi ve işletim sisteminin güncel tutulması saldırganların başarıya ulaşmalarını önemli bir ölçüde engelleyecektir.

Kurumun kendi içinde kullandığı bir telefon ağı bulunmaktadır. Saldırganlar bu telefonların içine yerleştirilen casus yazılımlar sayesinde ortam dinlemesi ve izlemesi yapabilmektedirler. Bu kurum içinde kalması gereken gizli bilgilerin kurum dışına çıkması ve gizliliğini yitirmesi demektir. Bu da hiçbir kurumun karşılaşmak istemeyeceği bir sorundur. Bu ve bu gibi durumları engellemek için kurum içinde kullanılan telefonlar ve kurum dışında kullanılan telefonlar farklı olmalıdır. Yani aynı telefon hem kurum içi hemde özel hayatta kullanımı yanlıştır. Ayrıca telefonlara anti-virus programları yüklenerek casus yazılımların tespit edilmesi sağlanabilir. Bu virus programlarının veri tabanlarının güncel tutulması gerektiği unutulmamalıdır.

Kurum içi otomasyon ve yönetim sistemi her kurumun vazgeçilmezlerinden biridir. Bu otomasyonlara MERNİS, MEDULA örnek verilebilir. Bu programlar bilgisayarlarda her zaman güncel tutulmalıdır. Bu programlardaki herhangi bir zaafiyet bütün kullanıcı bilgilerini ifşaya sebebiyet verebileceğinden güvenliği üzerinde hassasiyetle durulmalıdır. Öncelikle bu programların kullanıldığı bilgisayarlardaki internet bağlantısı sınırlanmalıdır. Yani sadece server ve client arasında bilgi alışverişi yapılabilmelidir. Böylece üçüncü şahısların sisteme sızması engellenmiş olur. Çoğu kurum bu programların kullanıldığı bilgisayarlara tamamen sınırlama getirmek yerine kısmi kısıtlama getirmektedir. Eğer böyle bir yöntem izlenecekse bu bilgisayarların ağ ve internet trafiği güncel olarak izlenmeli ve gözlem altında tutulmalıdır. Bilgisayarlara izinsiz bir şekilde giriş veya bağlantı olduğunda duruma hemen müdahale edilmelidir. Küçük bir ihtimal olsa da bu programları kullanan kişilere sosyal mühendislikle de saldırılabilir. Bu ihtimali ortadan kaldırmak için kurum personellerine siber güvenlik semineri verilmelidir.

Kurumların genel anlamda siber saldırılara hazır olup olmadığını belirlemek için tatbikat yapmaları gereklidir. Bu tatbikat çeşitli kurumlarla ortaklaşa yapılabileceği gibi tek kurum tarafından da yapılabilir. Saldırı ve savunma yapacak ekibin elemanları önceden belirlenerek bu işlem yapılabilir. Üst düzeyde güvenlik testi yapan firmalar mevcuttur. Kurumların bu firmalardan yardım alması kendileri için daha sağlıklı olur.

About This Author

Uzun yıllardır yazılım ile uğraşıyorum. PHP ile başladığım yazılım hayatıma şu an PHP'nin yanında Swift ve Python ile devam ediyorum. Bu güne kadar bir çok proje geliştirdim ve yeni projeler geliştirmeye de devam ediyorum. Bu sitede yazılımseverlere faydalı bilgiler vermeye, yazılım geliştirmeye, öğrendiklerimi paylaşmaya, yeni başlayanlara yol göstermeye ve onlara yardımcı olmaya çalışıyorum.

Post A Reply