18 Milyar Doları Onlar Engelledi
Dışarıdan bakıldığında, olay çok basit, sonuçları etkisiz olarak görülüyor. Oysa, hiç de öyle değil... Açık artırım sitesi, kredi kartı bilgisi çalma ya da hack... İnternette işlenen suçlar giderek...
Dışarıdan bakıldığında, olay çok basit, sonuçları etkisiz olarak görülüyor. Oysa, hiç de öyle değil... Açık artırım sitesi, kredi kartı bilgisi çalma ya da hack... İnternette işlenen suçlar giderek artıyor ve yol açtıkları zarar milyarlarca doları buluyor. Yapılan son araştırmalar, 2001 yılında sadece güvenlik nedeniyle internette alışverişten vazgeçenlerin verdiği zararın 18 milyar doları bulacağını ortaya koyuyor. Diğer zararlar da eklenince tablo iyice büyüyor.
İnternet, gerek iş dünyasının gerekse gündelik hayatın ayrılmaz bir parçası. Sıradan kullanıcılar için yaklaşık beş yıllık bir geçmişi olan internet, bugün birçok yönüyle tartışılıyor. Toplum ahlakına etkileri, kişilik hakları ve güvenlik gibi farklı açılardan sorgulanıyor.
Özellikle “internette güvenlik” en fazla gündemde olan konulardan birisi. Medyada “hacker”ların (bilgisayar korsanı) öykülerine geniş yer veriliyor. Bu gibi yayınlar sıradan kullanıcıların kafasındaki soru işaretlerini de artırıyor. Amerika’da geçtiğimiz ay gerçekleşen terörist saldırılarda, güvenlik zaaflarının yaşandığı şüpheleri de konunun önümüzdeki günlerde daha sık gündeme geleceği tahminlerini artırıyor. Capital, internette güvenlik konusundaki son araştırmaların bir analizini yaptı.
Uzmanlara göre, tüketicilerin internete kuşkuyla yaklaşmalarının en önemli nedenlerinden biri, teknoloji konusunda yeterince bilgi sahibi olmaları... Amerikanın tanınmış internet suç uzmanlarından Richter H. Moore, bu durumun internetin yaygınlaşmasını engellediğini iddia ediyor. Moore’a göre, özellikle de e-ticaret bu tehditten etkileniyor. E-marketer adlı araştırma şirketinin son raporlarından biri de, sözünü ettiğimiz gerçeği gözler önüne seriyor. Rapora göre, tüketiciler, e-ticaret yapmamalarına neden olarak internete güvenmemelerini gösteriyorlar. Ancak, bu güvensizlik, sadece e-ticaret veya e-bankacılık uygulamalarıyla sınırlı değil. Moore, “Pek dikkat edilmese de, şirketler çalışma süreçlerini bu güvensizlik nedeniyle dijital ortama aktarmakta yavaş davranıyor” diyor.
E-ticarete büyük darbe
Uzmanlar, normal kullanıcılar için üç temel noktada sorunlar yaşandığına dikkat çekiyor. Amerikalı tanınmış teknoloji yazarlarından Bruce Scheiner bu noktaları şöyle anlatıyor: “Normal kullanıcılar genelde e-bankacılık veya e-perakende gibi işlemlerde tehlike altında. Yine kullanıcıya veya kuruluşlara servis sağlayan şirketin güvenilirliği ve servis kalitesi çok önemli. Ancak, tüm bu platformlar ne kadar güvenilir olursa olsun, kişinin bilgisayarı yeterince korunmuyorsa sorunla karşılaşabilir”.
Bu üç uygulama platformu arasında en fazla e-bankacılık ve e-perakendecilik tartışma konusu yapılıyor. İnternette güvenlikle ilgili yayınlanan araştırmaların büyük çoğunluğu da bu konuyla ilgili. İngiliz Danışmanlık Şirketi Experian uzmanlarından Peter Brooker, “Normal kullanıcılar bu uygulamalarda yaşanan sorunların sonuçlarını somut olarak görüyor. Yaşanan problemler de kulaktan kulağa abartılarak aktarılıyor” diyor.
Ancak, bu alandaki güvenlik sorunlarını da inkar etmediğini belirtiyor. Experian’ın geçtiğimiz aylarda konuyla ilgili yayınladığı araştırma, sorunun boyutlarını ortaya koyuyor. Buna göre, Sadece ABD’de, 1999 yılında, bu güvensizlik nedeniyle kullanıcılar internet üzerinden 2.8 milyar dolarlık alışverişten vazgeçtiler. Bu rakamın önümüzdeki yıl 18 milyar dolara çıkacağı tahmin ediliyor.
3 tip suçluya dikkat!
ABD’de faaliyet gösteren İnternet Suçları Şikayet Merkezi’nde çalışan güvenlik uzmanlarına göre, e-perakende sitelerinden en fazla üç tür suç yaşanıyor.
Birinci sınıftaki suçlar, özellikle açık artırma uygulamalarında yaşanıyor. Bu suçta dolandırıcı siteye satıcı kılığında giriyor, satıştan sonra parasını alıyor. Sonra da kayıplara karışıyor. Experian uzmanlarından Peter Brooker, “Bu tip sorunun çözülmesinde sitelere büyük sorumluluk düşüyor. Açık artırmaya katılımlarda sınırlama ve kontrol getirebilirler” diyor.
İkinci tip suç, bilgi hırsızlığına dayanıyor. Burada, hırsız, başka birine ait kredi kart numarası ile birlikte diğer bilgilerini de çalıyor ve bu bilgileri kullanarak internet üzerinde alışveriş yapıyor .
Üçüncü tipte ise “hacker” (bilgisayar korsanı) kart sahibi tarafından bilgisayara girilen bilgileri deşifre ediyor.
Uzmanlara göre, en fazla birinci türdeki dolandırıcılık yapılıyor.. İnternet Suçları Şikayet Merkezi’nin verileri, açık artırma sitelerinde işlenen bu suçların, toplam e-ticaret suçlarının yüzde 65’ini oluşturduğunu ortaya koyuyor.
Kredi kartına CW2 önlemi
Kredi kartı bilgilerinin çalınmasına dayalı ikinci tip suç ise yüzde 22 oranında görülüyor. Bu sorunun çözülmesi için geçtiğimiz aylarda önemli bir adım atıldı. Kredi kartı şirketlerinin aldığı karara göre, e-ticaret sitelerinde alışverişler yapmak için kart numarası tek başına yeterli olmayacak. Kredi kartı numarası yanında, kullanıcıya “CW2” denilen bir güvenlik kodu daha verilecek. Kararın önümüzdeki eylül ayından itibaren uygulanması bekleniyor.
Bilgisayar korsanlığı ise diğerlerine göre çok daha önemli bir güvenlik sorunu. İnternet Suçları Şikayet Merkezi’nin kayıtlarına göre, görülme sıklığı yüzde 5 düzeyinde. Amerikalı tanınmış teknoloji yazarlarından Bruce Scheiner, bu sorunun da önümüzdeki yıldan itibaren uygulanacak SET teknolojisi sayesinde önemli ölçüde azalacağını tahmin ediyor. Bu teknoloji müşteri ile site arasındaki işlemlerde bir tür dijital imza getiriyor. Bu sayede siparişi veren kişinin gerçekten kart sahibi olup olmadığı anlaşılabilecek.
Türkiye’de yaşanan güvenlik sorunlarıyla ilgili olarak yerli e-perakende sitesi Deppo’nun kurucusu Esra Talu şunları anlatıyor: “Türkiye’de de dünyadakine benzer suçlar görülüyor. Bunlar çalıntı bilgilerle verilen sahte siparişler ve internet korsanlığı”.
Online banka soyguncuları
Son dönemde en çok suç işlenen alanlardan biri de “e-bankacılık”... Richter Moore’a göre e-bankacılık uygulamalarında yaşanan güvenlik sorunları, e-perakendedeki sorunlarla büyük benzerlik gösteriyor. Moore bu sorunların iki temel noktadan kaynaklandığını anlatıyor:
“En sık karşılaşılan sorun, kullanıcıların banka şifrelerinin çalınması geliyor. çalınması. İkinci sırada ise bilgisayar korsanlarının sistemi kırarak şifreleri ele geçirmeleri geliyor”.
Uzmanlara göre bu iki tip güvenlik sorununun bedeli müşteriler ve banka açısından çok yüksek oluyor. Brooker, “Eğer birisi kullanıcının banka bilgilerine ulaşabilirse, kullanıcının yapabildiği her şeyi gerçekleştirebilir. Burada sorumluluk tamamen kullanıcıya ait” diyor.
Şifrenin kırılması ise daha nadir görülen bir uygulama. Brooker, “Burada da korsan istediği her işlemi yapabilir. Ama burada sorumluluk genelde bankaya aittir” diyor.
Garanti Bankası Alternatif Dağıtım Kanalları Müdürü Burak Ali Göçer bankaların aldığı önlemleri şöyle anlatıyor: “Dünyada ve Türkiye’de sanal bankaların yüzde 90’ı internet üzerinden bilgilerin şifrelenmesini sağlayan SSL teknolojisini kullanıyor. Bu gönderilen bilginin sadece doğru adreste deşifre edilmesini sağlar”.
Tanınmış güvenlik firması EST yöneticilerinden Emre Özpınar, SSL’nin sağladığı güvenliğin boyutunu anlatmak için şu örnekleri veriyor:
“Şu an güvenilir bankalar 128 bitlik SSL uygulaması gerçekleştiriyor. Bu güvenlik sisteminin kırılabilmesi, aşılabilmesi minimum 1 milyon dolarlık bir yatırım ve yıllarca süren bir zaman demektir.”
ISS’ler dikkatli olmalı
Güvenlik uzmanları gerek e-bankacılık gerekse e-perakende uygulamalarında “ISS (internet servis sağlayıcı)”ların sorumluluğunun ihmal edildiğini iddia ediyorlar. Scheiner, “Eğer kullanıcılar güvenli bir hat üzerinden bağlanmıyorlarsa, birçok sorun yaşayabilirler” diyor. Burak Ali Göçer de, sorun yaşanmaması için ISS’lerin müşteri bilgilerine önem vermesi gerektiğini hatırlatıyor.
Yetkililer, ISS’leri sorumluluklarına göre ikiye ayırıyor. Buna göre, ISS’lerin bir kısmı sadece kullanıcılara karşı sorumlu. Onların işlem yapacakları web sayfasının sunucusuna bağlanmalarını sağlıyor. Şifre gibi verilerin şirketlerin ana bilgisayarlarına güvenli şekilde ulaşması için güvenlik önlemleri alıyor. Scheiner, “Bu sitelerin güvenli e-ticarete yapabilecekleri en önemli katkı güvenli, sürekli kontrol edilen bir network altyapısıyla çalışmalarıdır” diyor.
Diğer sınıftaki ISS’lerin durumu ise daha karmaşık. Bu ISS’ler şirketlere internet altyapısı hizmeti veriyor. Sunucularını olası saldırılara karşı koruyor. Bu ISS’lerden birisi de Koç.net. Güvenlik Denetimi Birim Yöneticisi Özgür Danışman verdikleri hizmeti şöyle anlatıyor:
“İşlemin güvenli olması için bilgilerin yolda çalınmaması yeterli değil. Biz bu nedenle şirketlere her türlü altyapı hizmetini veriyoruz. Sayfayı host ediyoruz. Sunucuyu kurup her türlü saldırılara karşı sürekli koruyoruz”.
Kişisel kullanıcıların güvenliği
Yetkililere göre, güvenliğin tam anlamıyla sağlanabilmesi için tüm bu ilgili şirketlerin sorumluluklarını yerine getirmeleri yeterli değil. Bireysel kullanıcılar da üzerine düşeni yapmalı. Moore, “Eğer kullanıcılar gerekli önlemleri almazsa, yapacakları tüm işlemlerde risk altındadırlar. Bu sadece e-ticaret işlemleri için değil, bilgisayardaki dosyaların çalınması gibi sonuçlar da doğurabilir” diyor.
Koç.net’den Danışman, bu durumda kullanıcıların karşılaşılabilecek muhtemel tehlikeleri şöyle anlatıyor: “Kullanıcı IRC, ICQ gibi sohbet ortamlarında çok dikkatli olmalı. E-posta ile gönderilen true-wat yapısındaki dosyalara karşı çok dikkatli olmalılar. Bu dosyayı gönderen kişi bilgisayarınıza rahatlıkla girebilir”.
Uzmanlar, bunun sonucunda, bilgisayardaki dosyaların çalınabileceğini, şifrelerin görülebileceğini ve e-postaların okunabileceğini söylüyor. Özpınar, kullanıcılara şu önerilerde bulunuyor:
“İnternetten indirdikleri ya da IRC, ICQ ve e-posta gibi kanallarla ulaşan, ne olduğu bilinmeyen programları çalıştırmamalılar. Özellikle exe.com dosyalarını çalıştırırken dikkatli olmalı, .vvs uzantılı dosyaları asla çalıştırmamalılar. Daha fazla güvenliğe ihtiyaçları varsa kişisel bilgisayarlar için geliştirilmiş, bilgisayar portlarını kontrol eden bir program kullanmalılar. Ayrıca anti-virus programı kullanmalılar”.
En büyük tehlike kurum içinden
1999 yılında FBI tarafıından yapılan bir araştırmaya göre, internetteki tüm güvenlik sorunlarının yüzde 70’i şirket içinden kaynaklanıyor. Cisco’nun Sistem Mühendislerinden Özay Uyanık bu tehlikeyi şöyle anlatıyor:
“Kurumların kendi içindeki intranetlerinde mutlaka güvenlik sağlanmalı. Cisco’nun yaptığı çalışmalara göre, internet sistemine içerden birisinin girmesi, dışardan girilmesine göre çok daha kolay”.
Uzmanlar, eğer gerekli güvenlik tedbirleri alınmazsa, biraz deneyimli birisi şirket içindeki tüm dosyalara ulaşabilir. Bunun sonucunda şirketin ücret ve anlaşma gibi, gizli dosyalarını görebilir. Diğer çalışanların e-postalarını okuyabilir. Özellikle ABD’de şirketler son 5 yılda şirket içi güvenlik politikaları geliştirdi. Danışman, bu politikaları ve önemini şöyle anlatıyor:
“Şirket dışarıya karşı ne kadar güvenli olursa olsun içerden hançerleniyor olabilir. Şirketler neler yapılması gerektiğini yazılı olarak çalışanlarına bildirmeli. Çalışanların yaptığı işlemleri özel yazılımlarla takip etmeli”.
Yetkililer, Türkiye’de şirketlerin büyük çoğunluğunun bir güvenlik politikası bulunmadığını, bu nedenle de büyük tehlike altında olduklarını anlatıyor.
BİYOMETRİK YAKLAŞIMLAR GÜVENLİĞİN YENİ SİLAHI
Mehtap Özkaraca/Koçsistem
KoçSistem Profesyonel Hizmetler Grup Yöneticisi Mehtap Özkaraca, internette güvenlik konusundaki son gelişmeler konusunda sorularımızı şöyle yanıtladı:
İnternette güvenlik konusunda dünyada neler oluyor? Son gelişmeleri anlatabilir misiniz?
İnternetteki açıklar nedeni ile tüm dünyada top yekün güvenlik önlemleri konuşuluyordu. Ancak, son birkaç günde yaşadığımız gelişmeler (WTC saldırısı gibi) sonrasında, saldırı öncesinde bilgi almak için internetin kullanılabilmiş olma olasılığı, insanları iki ayrı yöne itti. Bir grup klasik iletişim (faks, mektup, vb) yöntemlerinin artacağını savunurken, teknolojinin vazgeçilmez olduğunu kabul edenler, gerçek ve verimli güvenliğin sağlanması gerekliliğini, varolan güvenlik önlemlerinin sıkı kontrolünü ve önlemlerin artırılmasını savunur hale geldi.
Bu kapsamda güvenlik politikalarının varlığının ve buna uyumun son derece önemli olduğu ağırlık kazanmaktadır. Çünkü, politikalar teknik önlemlerin paralelindeki yol olmaktadır ve en iyi güvenlik sistemleri kurulsa dahi, bu paralel yoldan gidilebileceği açıktır. Teknik anlamda ise kaynağı belli olan, içeriği değiştirilmemiş, gizli bilgi olarak kalması sağlanmış bilgilerle iletişim sağlanacak hale gelinmesi söz konusu olmuştur.
Bu alanda oluşturulan en son ürünler ve teknolojiler nedir?
Yukarıdaki bağlamda bilginin gizliliğinin, değiştirilmemesinin ve kaynağın kim olduğunun belirlenmesini sağlayan teknoloji olarak elektronik imzalar (PKI) gündeme yeniden gelmiştir. Global anlamda yönetimi zor olması nedeni ile yeterli derecede yaygınlaşamayan elektronik imzalar artık daha çok karşımıza çıkacaktır.
Günümüzde elektronik ortamda sorun olarak görülen gizlilik, bütünlük, kimliğin doğrulanması ve inkar edememe gibi kavramların üstesinden elektronik imza teknolojisi ile gelinmiştir. Bu anlamda aslında elektronik imzalar bir güvenlik önlemi değil, iş yapış tarzının elektronik ortama çevrilmiş halidir. Bunun çevresinde ise her zaman olduğu gibi anti virüs yazılımları, güvenlik duvarları ve yetkilendirme gibi yazılımlar olacaktır.
Bu anlamda biyometrik güvenlik çözümlerinin farkı nerede?
Biometrik çözümler güvenlik konusunda en başarılı ve performanslı çözümler olarak görülmektedir. Teknolojilerinin değişmesi ile kullanımı oldukça hızlı ve kolay bir hale gelmiştir. Kişi, parmak ya da gözünü herhangi bir şekilde kaybetmeyeceği ya da bir yerde unutmayacağından, kart, anlık şifre üreten cihazlarda yaşanan problemler bu çözümde yaşanmamaktadır.
Biometrik uzuva tanıma işlemi ile birlikte canlılık işlemi de yapıldığından, filmlerde görülen istem dışı kullanımda engellenmiştir. Ayrıca, söz gelimi iris tanıma kullanıldığında, sistemin yanılma payı 10 üzeri 78'de bir olduğundan son derece güvenlidir. Biometrik sistemlerle hem fiziksel giriş hem de iletişim ağına giriş yapılabilmektedir.
Türkiye'de güvenlik konusunda neredeyiz?
Türkiye bu konuda çok yol katetmemiş olmakla beraber, yapılan yatırımların daha çok teknolojik ağırlıklı olduğu görülmektedir. Ancak, yukarıda bahsettiğimiz organizasyonel açıklar teknolojiye paralel yol ve taban oluşturmaktadırlar. Ancak, hem ülke hem dünya olarak özellikle son zamanlarda yaşadıklarımız, bizi işe yarayan güvenlik çözümlerine itmiştir.
Bu bağlamda şirketler politikaları ve iş süreklilikleri ile ilgili açıkları, yöneticiler ise yön verdikleri finansal büyüklükleri görmeye başlamış ve acil teknik adımlar atıldıktan sonra ilk olarak organizasyonel güvenliğe yönelmektedirler. Böylelikle aynı zamanda hem politikalar belirlenmiş hem de yapılacak olan teknik yatırımın tam ihtiyaca göre ve tek seferde yapılması sağlanmış olur.
“RİSK HER GEÇEN GÜN ARTIYOR”
Hakan Tetik / Servus Altyapı Ve İş Çözümleri Direktörü
Servus Altyapı ve İş Çözümleri Direktörü Hakan Tetik kişisel kullanıcının yaşayabileceği güvenlik sorunları ve bunlara karşı yapması gerekenler konusunda şunları anlatıyor:
“Türkiye’de PC kullanıcılarının (ev ve iş kullanıcıları) karşı karşıya oldukları risk her geçen gün artıyor. Dijitalleşme devam ettikçe, bilgisayarlarımızda bilerek veya bilmeyerek sakladığımız verilerin değerleri artıyor. Kullanıcılar, özellikle ‘outlook’ta tutulan şifreler, banka hesap bilgileri ve özel dosyaların ne kadar güvende olduğuna dikkat etmeli.
İnternet uygulamalarında alınan güvenlik önlemleri hangi düzeyde olursa olsun, bazı işyerlerinde kullanılan bilgisayar ağlarının yeterli güvenliğe sahip olmaması ve bilgi işlem elemanlarının ağ üzerinde yapılan işlemleri kolaylıkla takip edebilmesi alınacak önlemlerin önemini artırıyor. Örneğin, korsanlar önemsiz görünen bir free-mail adresini kırıyorlar. Sonra da buradaki şifreyi banka kartı gibi uygulamalarda deniyorlar. Yine IRC ve ICQ gibi ortamlarda insanlarla tanışıp, kişinin yakın çevresi hakkında bilgi edinip, şifrelerde bunu deniyorlar.
PC kullanıcılarının en çok karşılaştıkları sorunların başında dosyalara ulaşmak için gerçekleştirilen saldırılar, Trojan dosyaları ve tehlikeli e-postalar geliyor. Bunların önlenebilmesi için özellikle yükledikleri sistemin ve programların ‘pacth (tamamlayıcı dosyalar)’leri edinilmeli. Ücretsiz veya düşük fiyatla edinebilecekleri anti-virus ve trojan tarayıcıları bulundurmalı. Bu tarz ürünlerle bir sistem kurmalı ve her dosya transferini kontrol etmeliler. Yine Web tarayıcıların en son sürümü ve ‘path’leri de sisteme kurulmalıdır. Biz bu konuda ‘Kişisel Güvenlik Duvarı’ yazılımlarının da kullanılmasını öneriyoruz.”
“ŞİRKETLER PROFESYONEL DANIŞMANLIK ALMALI”
Bülent Yıldırım / Koçnet Genel Müdürü
Koç.net, e-bankacılık veya e-ticaret gibi uygulamalarda anahtar çözümler sunan bir ISS. Şirketin Genel Müdürü Bülent Yıldırım, kuruluşların güvenliği ve bu konuda verdikleri hizmetleri şöyle anlattı:
“Müşteri temsilcisi veya satış personelinin yerini artık web ara yüzleri aldı. Bu nedenle güvenlik, tamamen kullandığınız teknolojiye ve güvenlik politikanıza bağlı. İnternet ortamında güvenliğin sağlanması gereken noktalar sadece müşteri ve web arayüzü arasındaki güvenlikle sınırlı değil. Servisin bulunduğu sunucunun fiziksel güvenliğini de kapsayacak şekilde detaylı bir güvenlik politikası oluşturulmalı.
Türkiye’de şirketlere genel olarak baktığımızda güvenlik konusuna yeterince önem vermediklerini ve güvenlik politikaları bulunmadığını görüyoruz. Biz Koç.net olarak şirketlere güvenlikle ilgili olarak her noktada hizmet veriyoruz. Örneğin, şirketler için uçtan uca güvenliği sağlayan MPLS-VPN teknolojisini kuruyoruz. Biz bu teknolojiyi kuran dünyada dördüncü şirketiz. Bu sayede şirketler aynı omurga üzerinde, güvenli bir ortamda, bağımsız bir network gibi çalışabiliyorlar. Yine şirketler, güvenlik konusunda işletim sistemi ve yazılımlarından kaynaklanan sorunlar yaşayabilir. Bu konuda da profesyonel bir ekiple hizmet sunuyoruz. Sorunlara anında müdahale ediyoruz. Ben şirketlere güvenlik konusunda uzman bir ekipten danışmanlık almalarını öneririm.”
“PAZAR BÜYÜRSE TEHLİKE ARTAR”
Özgür Danışman / Koçnet Güvenlik Yöneticisi
Koç.net Güvenlik Yöneticisi Özgür Danışman, Türkiye’de şimdiye kadar yaşanan ve yaşanması muhtemel sorunlarla ilgili şunları anlatıyor:
“Bu tür olayların dünyada arttığı söyleniyor. Türkiye’de bu yönde bir çalışma yok. Geçen sene Cine5’in hack edildi. Ayrıca bir ISS’nin hack edilmiş izlenimi verilmesi var. Ama bunlar çok büyük zarara yol açan şeyler değil. Bunun nedeni bizdeki kullanıcıların ABD’dekiler kadar bilgili olmaması.
Türkiye’de gözde bir e-ticaret sitesinin olduğunu gördükleri zaman dünyadaki diğer ‘hacker’ların ilgisini çekebilir. Bunun için sitenin ticari hacminin büyük olması gerekli. Bu siteler saldırıya uğrayabilir. Sonuçta da tehlike yaşamaya başlarız. Bu şekilde faaliyet gösteren Rus ve Hindistanlı ‘hacker’lar var. Düzgün sistemleri ve uygulamaları kullanan şirketlerin çok büyük sorunlarla karşılaşacaklarını tahmin etmiyorum.”
