Siber Güvenliğin Sağlanmasında Son Kullanıcı Farkındalığının Önemi...

img

 

Siber Güvenliğin Sağlanmasında Son Kullanıcı Farkındalığının Önemi

“Siber Güvenlik Farkındalığının İstisnasız Toplumun Her Kesiminde Artırılması Gerekli”

Bir zincirin gücü ve sağlamlığı en zayıf halkası kadardır. Bir bilişim sisteminin güvenliği de siber güvenliğin en zayıf halkası olan son kullanıcının farkındalığı kadardır. Bir sistemde siber güvenliğin en zayıf halkası olarak görülen son kullanıcıların, farkındalık seviyesi ne kadar yüksekse, sistemin güvenlik seviyesi de o kadar yüksek olur. Milyonlarca dolar yatırım yapılmış, ve on binlerce kullanıcısı bulunan bilişim sistemlerinin siber saldırılara yenik düşmesine sebep olan, çoğunlukla siber güvenlik farkındalık seviyesi düşük bir yada birkaç kişi olabilmektedir. Yani zayıf halka kırılınca zincirin tamamı kopmuş olur.

Bilişim sistemlerini oluşturan yazılım ve donanımlar profesyonel kişi/firma/kurumlar tarafından geliştirildiğinden, bu sistemlerin zafiyetlerinin bulunup, istismar edilmesi saldırganlar açısından, son kullanıcıların hatalarından faydalanmaya göre çok daha zordur. Bilişim sistemlerini oluşturan yazılım ve donanımların açıklıkları sürekli profesyonel geliştiricileri tarafından tespit edilip, kapatılmaktadır. Oysaki insan faktöründen kaynaklı açıklıklar yamalanamaz ancak ve ancak eğitim ve farkındalık seviyesinin artmasıyla düzelebilir. Bu nedenle saldırganlar en zayıf halkayı hedef alarak az zahmetle çok kazanç sağlamayı amaç edinirler. Bütün bunlara bağlı olarak saldırganlar, bilişim sistemlerini ele geçirmek için, doğrudan sistemdeki yazılım ve donanımı hedef almak yerine, son kullanıcıları hedef alan, sosyal mühendislik saldırıları ve oltalama saldırılarını gerçekleştirmektedir. Bu saldırıların, saldırganlar tarafından tercih ediliyor olmasının en önemli sebebi; son kullanıcıların farkındalık seviyesindeki düşüklüğe bağlı olarak, insan kaynaklı yüksek zafiyet oranı ve saldırıların tamamına yakınının başarıya ulaşmasıdır. 

Son kullanıcıya yönelik siber saldırılar sahte sms, e-mail, telefon çağrısı, internet reklamı veya sosyal medya ağları gibi araçları kullanarak gerçekleştirilmektedir. Bu yöntemleri kullanan saldırganlar, insanların; bilgisayar veya maillerinin kullanıcı adı ve şifresi, kredi kartı bilgileri ve şifresi, kimlik bilgileri vs. gibi birçok kritik bilgiyi elde edebilmektedirler.  Böylece saldırganlar, istedikleri bilgiyi istedikleri şekilde kullanarak hedef aldıkları sistemin bir parçası, çalışanı veya yöneticisi gibi davranarak amaçlarına zahmetsizce ulaşabilir ve saldırılarını başarıyla tamamlayabilirler. Özellikle 2017 yılı içinde sık sık adını duyduğumuz, bulaştığı bilişim sistemleri üzerindeki dosyalara erişimi engelleyen wannacry, petya ve locky gibi fidye yazılımları da (ransomware) aynı yöntemlerle yayılarak yüzbinlerce bilgisayara enfekte olup, milyarlarca dolar zarara neden olmuş saldırılardır. Dünyayı kasıp kavuran, onlarca ülkeyi aynı anda etkileyen, bu zararlıların farkındalık eksikliğinden kaynaklı zafiyetleri istismar ederek yayılımlarına devam ettikleri görülmektedir.

İnsanlar hayatlarının hemen her alanında kullandıkları telefon, tablet ve bilgisayar gibi internete bağlı araçların aynı zamanda ne kadar tehlikeli olabileceğinin farkında değildir. Çoğunlukla insanlar sebep olabilecekleri zararın boyutunu algılayamamaktadırlar. Çünkü kendilerinin sıradan birer kullanıcı olarak ve hayatlarını kolaylaştırmak için kullandıkları internet ve bilişim sistemlerinin aynı zamanda yıkıcı bir silaha dönüşebileceği gerçeğinden haberdar değillerdir. Büyük bir bilişim sisteminin parçası olan bilinçsiz bir kişinin basit ve değersiz gördüğü bilgisayar şifresi saldırganlar için, bu büyük sistemi ele geçirmenin anahtarıdır. Yani tek bir insanın küçük bir hatası dev bir yapıyı çökertebilir.

Ülkemizin siber güvenlik farkındalığı da maalesef pek umut verici seviyelerde değildir. Yapılan tüm uyarılara rağmen telefon ve internet dolandırıcılığı mağdurlarına her geçen gün yeni kurbanlar ekleniyor olması ve bu mağdurların her eğitim seviyesinden ve her gelir gurubundan olabilmesi bu durumun acı bir kanıtıdır.  Asgari ücretle çalışan bir fabrika işçisinin de, aynı fabrikanın sahibi iş adamının da veya üniversitede öğretim görevlisi olan bir profesöründe, bu mağdurlar arasında yer alabileceği görülmektedir. Bu durum siber güvenlik farkındalığının istisnasız toplumun her kesiminde artırılması gerektiğini göstermektedir. Dolayısıyla sosyoloji ve toplumsal psikoloji parametreleri dikkate alınarak özel olarak geliştirilen, uygulamalı eğitimler uzun bir sürece yayılarak, toplumun her kesimine ve her yaş grubuna verilmelidir. Böylece siber güvenliğin en zayıf halkası güçlendirilerek, siber güvenlik sisteminin bütünü güçlendirilmiş olacak ve ülkemizin siber güvenlik farkındalığı artırılarak ulusal güvenliğimize katkı sağlanmış olacaktır.

 

 MEHMET AKİF ORUÇ