Alışveriş de yapabiliyorsunuz, film de izleyebiliyorsunuz, kilometrelerce uzaktaki bir yakınınızla da görüşebiliyorsunuz.
İnternet artık hayatın her alanında. Binlerce farklı içerik ve platform kullanıcıya sunuluyor. Yani ulaşmak istediğiniz çoğu şey bir tık uzağınızda. Hal böyle olunca dünyada internet kullananların sayısı da artmaya devam ediyor.
Her gün 90 bin site hackleniyor
Bize birçok seçenek sunan web sitelerinin ilki, 1991 yılında İngiliz fizikçi Tim Berners Lee tarafından yayınlandı. Geçen 28 yılda web siteleri çeşitlendi, gelişti. Hosting Facts adlı sitede yer alan bilgilere göre, dünyada 1,94 milyar web sitesi var. Peki, dünyanın en çok ziyaret edilen web sitesi hangisi dersiniz?
Cevap sizi çok şaşırtmayacak, Google. Bunu, YouTube ve Facebook takip ediyor. Çin'de kullanılan arama motoru Baidu ise dünyanın en çok ziyaret edilen dördüncü web sitesi.
22,6 milyon aktif siteye sahip olan WordPress, dünyanın bir numaralı içerik yönetim sistemi. The New York Times, Forbes, Facebook Blog gibi büyük sitelere ev sahipliği yapıyor.
Evet, milyonlarca web sitesi, milyonlarca içerik var. Peki, bu siteler güvenli mi? Bu noktada son yıllarda sıkça duyduğumuz bir kavram akla geliyor, siber güvenlik.
Dünyada her gün 90 binden fazla web sitesi hackleniyor. WordPress, en çok siber saldırıya uğramış web sitelerine sahip.
Her gün kullandığımız siteler tehdit altında
Siber saldırı tehdidi altında olan siteler ise, neredeyse her gün birçoğumuzun kullandığı siteler. Bunların arasında sosyal medya siteleri, e-posta hizmeti veren siteler, online alışveriş ve bankacılık siteleri var.
Marmara Üniversitesi (MÜ) İletişim Fakültesi Öğretim Üyesi ve Dijital İletişim Araştırmacısı Doç. Dr. Ali Murat Kırık, hazır şablonla oluşturulan sitelerin daha büyük risk altında olduğunu söylüyor.
“Genelde bu tarz hazır şablonların içerisinde zararlı yazılımlar ve kodlar bulunuyor. Kullanıcıların bu şablonları kullanmaya başlamasıyla birlikte ücretsiz şablonu oluşturan siber saldırgan çok rahat bir şekilde web sitesine erişim sağlayabiliyor. Hazır şablonlu web sitelerinin yönetici giriş sistemi birbirine benziyor. Aynı şekilde ücretsiz indirilen hazır şablonlar genelde güncelleme almadığından güvenlik açıklarına daha kolay bir şekilde yenik düşüyor. Güvenilir ve bilindik antivirüs yazılımları kullanmak oldukça önemli.”
Siber saldırılardan korunmak için site yöneticileri ne gibi önlemler alabilir?
Doç. Dr. Ali Murat Kırık, hemen hemen her gün düzenli olarak web sitesinin yedeklenmesinin çok önemli olduğunu anlatıyor. Böylece, olası bir siber saldırı karşısında verileriniz kaybolmaz. Kırık ayrıca, yalnızca web sitesinin değil, kişisel bilgisayarların da güvende tutulması gerektiğini belirtiyor.
“Bilinen antivirüs yazılımları kullanmak ve e-posta vb. yollarla gönderilen ya da belli amaçlar doğrultusunda indirilen exe uzantılı dosyalara şüpheyle yaklaşmak çok önemli. Sitedeki spam yani istenmeyen mesajlara karşı captcha kodu kullanmak saldırıların önüne geçebiliyor. Kullanımda olmayan veri tabanlarını silmek ve eklentileri kaldırmak da oldukça önemli. Web sitesi için mutlaka SSL (güvenlik sertifikası) alınmalı. Güvenilir olmayan hosting firmalarından alışveriş yapılmamalı. Aynı şekilde dosya izinleri de kısıtlanmalı, yönetici paneli için güçlü, özel karakter barındıran uzun şifreler kullanılmalı. Yönetici giriş yolu ise mutlaka değiştirilmeli.”
Mevcut sistemin güvenliği kontrol edilmeli
Siber saldırılara karşı kişisel bilgisayarımızda antivirüs programı kullanmak, güvenli olduğundan emin olmadığımız web sitelerinden uzak durmak gibi önemler alabiliriz. Peki, başka neler yapılabilir? Bu sorunun cevabını, Ortadoğu Teknik Üniversitesi (ODTÜ) Enformatik Enstitüsü Siber Güvenlik Anabilim Dalı Dr. Öğretim Üyesi Cihangir Tezcan verdi.
Kişisel güvenliğimizi sağlayabilmek için kullandığımız cihazların güvenliğini de sağlamak zorunda olduğumuzu söyleyen Tezcan, şunları anlatıyor:
“Şirketler açısından ağ güvenliğini sağlamak ve bütün yazılımları güncel tutmak, bilgi işlem çalışanlarının en temel görevi. Çünkü hackerlar her zaman en zayıf halkadan saldırmayı tercih ediyor. Örneğin, cep telefonunuza bluetooth ile bağladığınız kol saatinizde bir güvenlik açığının olması, saldırganın cep telefonunuzu ve ardından da telefonunuzun bağlı olduğu bilgisayarları ele geçirmesine neden olabilir. Bir sistemi kurup onun ömür boyu güvenli kalacağını düşünmek ne yazık ki mümkün değil. Hackerlar aylarca, hatta yıllarca açık bulmak için çalışıyor. Dolayısıyla güvenliği sağlamaya çalışanların da sürekli analiz yaparak mevcut sistemin güvenliğini kontrol etmeleri gerekiyor.”
“Herkes siber güvenlik eğitimi almalı”
Dr. Öğretim Üyesi Tezcan, her kullanıcının siber güvenlik konularına hakim olmasını beklemenin gerçekçi olmadığını belirtiyor.
“Bu yüzden de kullanıcılar, satın aldığı cihazı yapanların güvenliği de sağlamasını bekliyor. Ama genel bir siber güvenlik farkındalığının olması, birçok istenmeyen vakanın da yaşanmasını engelleyebilir. Bu yüzden de son yıllarda üniversitelerimizde kurulan siber güvenlik bölümleri bu alanda insanlar yetiştirdiği gibi, birçok seminer ve eğitimle vatandaşlarımızı bilgilendirmeye çalışıyor.”
Web sitelerinin çoğunun açık kaynaklı yazılım kullandığını söyleyen Tezcan, site yöneticilerinin bu yazılımları sürekli güncellemeleri gerektiğini vurguluyor.
Siteyi hazırlayanların mevcut güvenlik uygulamalarını ve protokollerini öğrenmesi gerektiğinden de bahseden Cihangir Tezcan, şunları söylüyor:
“Hala gördüğümüz en büyük 2 yanlıştan biri, kullanıcı adı ve parola ile giriş sağlanan sitelerde parolaların şifrelenmeden yollanması. Bu sayede internet trafiğini takip eden biri kolaylıkla parolaları ele geçirebiliyor. İkinci en çok rastladığımız durumsa, kullanıcı parolalarının veri tabanında direkt ya da özetlerinin tutulması. Birçok güvenlik açığı veri tabanlarının sızmasına neden oluyor ve dünyadaki çok büyük şirketlerinin veri tabanlarının sızması çok rastlanan bir durum. Bu yüzden herkesin siber güvenlik ve kriptografi konularında temel bir eğitim alması gerekiyor.”
Türkiye’de siber güvenlik
Türkiye’de uzun yıllar siber güvenlikle ilgili önemli çalışmalar yapıldı. İlk olarak, 1998 yılında Emniyet Genel Müdürlüğü (EGM) bünyesinde Bilgisayar Suçları ve Bilgi Güvenliği Kurulu oluşturuldu. Daha sonra, 2011’de EGM siber suçlarla mücadeleye daha yoğun bir şekilde odaklanmaya başladı ve Bilişim Suçlarıyla Mücadele Daire Başkanlığını kurdu. Birim, 2013 yılı itibarıyla Siber Suçlarla Mücadele Daire Başkanlığı adını aldı.
2014 yılında kamu kurumlarının üst düzey yöneticilerinin yer aldığı Siber Güvenlik Kurulu oluşturuldu. Ardından, Telekomünikasyon İletişim Başkanlığı tarafından siber güvenlik ile ilgili tehditler ve alınacak önlemlere yönelik ulusal ve uluslararası çalışmalar yapmak adına Ulusal Siber Olaylara Müdahale Merkezi (USOM, TR-CERT) kuruldu.
USOM, Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde Türkiye’nin siber güvenliğine karşı siber ortamda ortaya çıkan tehditlerin belirlenmesi, muhtemel saldırı ve olayların ortadan kaldırılması amacıyla kuruldu. BTK, siber güvenlik tatbikatları yaparak riskleri minimum düzeye indirmeyi hedefliyor.
TÜBİTAK bünyesinde 2012 Temmuz ayında kurulan Siber Güvenlik Enstitüsü (SGE), konuya yönelik araştırmalar ve faaliyetler yapıyor.
Dünyada siber güvenlik
Dünyada, NATO bu alanda başı çekiyor. Geçtiğimiz yıl siber savunma alanında "Siber Koalisyon Tatbikatı"nın 11'incisi düzenlendi. ABD’de ise 2009 yılında Siber Güvenlik Komutanlığı kuruldu.
2011 yılında Çin Halk Cumhuriyeti’nde kurulan Mavi Ordu, siber savaşlarla mücadele ediyor. Dünyada ve Türkiye'de siber güvenliğe dair önemli yatırımlar yapılıyor.
Grafik: Bedra Nur Aygün