Page 16 - bilgem-teknoloji-dergisi-10
P. 16
Bilgi Güvenliği BILGEM
TEKNOLOJI
gelişim, tarihte hiç görülmediği kadar hızlı oldu. Bilgi- da ciddi tehditler de barındırmaktadır. Bilgi güvenliğini
sayarların gelişimi, internet, mobil-otonom sistemler sağlamak için kullanılan bir takım asimetrik algoritma- Ülkemizde kritik kurumlarımızın
derken bugün her şeyi internete bağlayıp birbirleriyle lar ve bu algoritmaları kullanan kriptografik protokoller
ve kullanıcılarıyla iletişime geçmesini, nesnelerin in- kırılabilir hale gelebilir. Günümüz teknolojisi ile kırı- kullanacakları cihazların testleri,
ternetini (IoT – Internet of Things) konuşuyoruz. lamayan ve dolayısı ile güvenli olarak kabul ettiğimiz
iletişim kanalları kaydedilip ileride kuantum bilgisayar- BİLGEM Test ve Değerlendirme
Tüm bu gelişmeler insanlığın bir nesli boyunca ger- larla çözülmek üzere saklanabilir. Bu nedenle özellikle Başkan Yardımcılığı birimleri
çekleşti ve bu gelişim, hayatımızın her aşamasına ülke güvenliği için kullandığımız bilgi güvenliği sistem-
yansıdı. Veri işleme, depolama ve iletişim her açıdan lerinin şimdiden kuantum hesaplamaya dayanımlı hale tarafından yapılmaktadır.
çok kolaylaştı. Artık insan müdahalesi olmadan çalı- getirilmesi gerekmektedir.
şan fabrikalardan, otonom araçlardan, kendi kendine
karar verebilen ve eğitebilen akıllı sistemlerden bahse- Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü ri çözümler sayesinde, ülkemizde milli bilgi güvenliği
der olduk. Bu baş döndürücü gelişmeler, hayatımızı çok olarak uzunca bir süredir kuantum hesaplamaya da- ürünleri çeşitlenebilmektedir. Ancak bu farkındalık, tüm
kolaylaştırdı ve yaşamımızın birer parçası haline geldi. yanımlı kripto algoritma ve bu algoritmaları kullanan kurumlarımız için aynı düzeyde değildir. Bazı kurum-
kripto protokolleri geliştirme konusunda altyapı ve bil- larımız, bu kapsamda alınması gerekli tedbirlere çok
Elbette bu hızlı gelişim, içinde pek çok tehdit de ba- gi birikimi oluşturmaya çalışıyoruz. Son dönemlerde fazla önem vermeden faaliyetlerini sürdürmeyi tercih
rındırıyor. Bilgi güvenliği açısından bu tehditlere ba- tasarladığımız cihazlarımızda kuantum hesaplama- edebilmekte, ya da ticari kullanım maksadıyla gelişti-
karsak; bu tip sistemleri tasarlarken, bilgi güvenliğinin ya dayanımlı algoritmalar ve protokoller kullanıyoruz. rilmiş kimi yerli ya da yabancı bilgi güvenliği ürünlerini
nasıl sağlanacağını da değerlendirip sistem tasarımını Sahada halen çalışan cihazlarımızda da buna ilişkin kullanarak güvenlik tedbiri almaya çalışmaktadır. Bu
bir bütün olarak oluşturmamız gerekiyor. Geliştirilmiş güncellemeler yapıyor, kuantum bilgisayarlar ülke gü- yaklaşım, ülkemizde bütüncül bir bilgi güvenliği anlayı-
bir sistemin daha sonra yapılacak eklemelerle bilgi gü- venliğimiz için tehdit oluşturmaya başlamadan önce şı oluşturulmasına katkı sunmamaktadır.
venliğini sağlamaya çalışmak, çok da verimli ve etkili tedbirlerimizi alıyoruz.
olmayabiliyor. Modern sistemlerde artık bu durum göz Doğrusu burada temel sorun olarak, ülkemizde bilgi
önünde bulundurulmaya çalışılıyor. Otonom sistem- Ulusal Bilgi Güvenliği Otoritesi güvenliği kapsamında uygulanacak kuralları belirleyip
lerin ve internete bağlı makinaların ele geçirilmesine uygulamayı takip edecek tek bir otorite olmamasını
veya çeşitli ataklarla çalışmasının durdurulmasına, Bilgi güvenliği çözümlerinde ülkemizdeki mevcut görüyorum. Konuya önem veren kurumlarımız kendi
Özellikle askeri ve kritik kurumların kullandıkları kripto mobil iletişim sistemleri üzerinden yaptığımız görüş- durum ve gelişimi gerekli alanlarla ilgili görüşleriniz içlerinde uygulanacak kuralları belirleyip kurum içe-
cihazlarında olması gereken bir diğer önemli özellik ise melerin dinlenmesine engel olmak için çeşitli tedbirler nelerdir? risinde titizlikle uygulanmasını sağlamakta, ancak
çeşitli TEMPEST koşullarını sağlamasıdır. TEMPEST alınıyor ve bunlar standartlara dâhil ediliyor. Kritik kurumlarımızın bilgi güvenliğini sağlamak için farklı kurumlarda farklı uygulamalar olması sebebiyle
kısaca, cihazdan istem dışı ışıma ya da iletkenler (güç kullanacağımız bilgi güvenliği sistemlerinin üst düzey- bütüncül bir yaklaşım oluşamamaktadır. Ülkemizde,
hattı, haberleşme bağlantıları v.b.) yoluyla bilgi kaçağı- Ancak tüm bu sistemler için bilgi güvenliği kapsamın- de güvenlik özelliklerine sahip olması gerekmektedir. belli başlı ülkelerde de örnekleri bulunan, bir bilgi gü-
nı tanımlamaktadır. Cihazın içinde işlenen, henüz şif- da alınan tedbirler, kişisel ve belki bir yere kadar ticari Bu tür cihaz/sistemlerin geliştirilmesi için elektronik venliği otoritesinin oluşturulmasının faydalı olacağını
relenmemiş GİZLİ bilgi ve şifrelemede kullanılan kripto bilgilerin güvenliğini sağlayabilecek düzeydedir. As- tasarım, yazılım, mekanik tasarım, rasgele sayı üreteç- değerlendiriyorum.
anahtarları gibi kritik bilgilerin korunması gerekir. Bu lında bu durum bile tartışmalıdır zira bir takım hacker leri, TEMPEST, EMI/EMC, COMSEC, kripto algoritma/
bilgilerin istem dışı olarak cihaz dışına çıkmayacağı gruplarının bile bu tip sistemlerdeki güvenlik tedbirle- protokol tasarım gibi alanlarda uzmanların bir arada
güvence altına alınmalıdır. Buna cihazın sağlaması ge- rini kolaylıkla aşabildiğini görüyor ve biliyoruz. Dolayı- uyum içerisinde çalışması gerekmektedir.
reken TEMPEST standartları ile test edilerek ulaşılır. sıyla dijital dönüşümün getirdiği tüm bu nimetlerden
faydalanırken özellikle kritik kamu kurumlarımızın bilgi Tasarlanan cihazların işletim koşullarını test etmek için
COMSEC testlerinde ise, bilgi güvenliği ürünü, tasarım güvenliğini sağlamak için milli olarak geliştirilmiş bilgi de çevresel ve işlevsel test altyapılarının sağlanması
ve gerçekleme yönteminin, milli COMSEC kriterlerine güvenliği sistemleri kullanmamız gerekmektedir. Söz gereklidir. Ayrıca geliştirilmiş olan sistemlerin güvenlik
uygunluğu test edilir. COMSEC testi sonucunda, belli bir konusu tedbirlerin bir bütün olarak tasarlanması hem testlerinin de tam olarak yapılabilmesi için kripto ana-
gizlilik seviyesindeki bilgi güvenliği ürününün sahada uygulama ve maliyet hem de kullanım kolaylığı açısın- liz, rasgele sayı üreteçleri analizi, TEMPEST, EMI/EMC,
karşılaşabileceği “kurcalama, çalınma, hata yaratma, dan çok daha uygun olmaktadır. COMSEC test laboratuvarlarına ihtiyaç vardır. Ancak
yan kanal analizi ve protokol saldırıları” gibi tehditlere tüm bu uzmanlık alanlarını oluşturduğumuzda ulusal ve
karşı, hangi güvenlik seviyesinde koruma sağlayabildi- İkili sistemin (dijital) elektronik devrelerde ve yaşa- uluslararası (NATO) standartlarına uygun bilgi güvenliği
ğinin değerlendirmesi yapılmış olur. mımızda yaptığı değişimin benzerini şimdi kuantum cihaz/sistemleri geliştirmek mümkün olmaktadır.
sistemlerinin gelişiminde görmek üzereyiz. Klasik bir
İkili Dijital Sistem ve Kuantum Bilgisayarlar bilgisayar, ikili sistemle çalışıp aynı anda 1 ya da 0 (bit) Kurumumuz uzun yıllar boyunca elde ettiği tasarım de-
kullanıp tek bir işlem yapabilirken, kuantum bilgisayar- neyimi ve seçkin altyapısı ile ülkemizin kritik kurumları
Dijital dönüşüm sürecinden geçtiğimiz bu dönemde, lar kübit (qubit) kullanır; kübitler 1, 0 olabilirken aynı ve NATO için kripto cihazları tasarlamakta, güvenlik
bilgi güvenliği daha da önemli hale geldi. Bu dönü- anda hem 1 hem de 0 olabilir. Bu, kuantum bilgisa- testlerinden ve onaylardan geçirerek kullanıma sun-
şümün, avantajlar yanında bilgi güvenliği açısından yarları ile aynı anda birden fazla işlem yapabilmemize maktadır. Ülkemizin ihtiyacı olan her türlü bilgi gü-
getirdiği tehditler nelerdir? Alanda yapılan çalışmalar ve işlem gücümüzün muazzam bir şekilde artmasına venliği sisteminin, kâğıt üstü tasarımdan cihaz haline
hangi yöne doğru ilerlemektedir, trendler nelerdir? imkân sağlamaktadır. Kuantum bilgisayarlar gelişim dönüşmesi evresine kadar geçen tüm aşamalar için
Dijital (sayısal) sistemlerin temeli 0 ve 1 rakamları ile aşamasında ve henüz hayatımıza girmeye başlamadı. gerekli yetkinliğimiz mevcuttur.
ifade edilen ikili sayı sistemidir. Bu sayı sistemi yüzyıl- Bu olduğunda, dijital sistemler gibi bir dönüm noktası
lardır biliniyordu. 1947 yılında transistorun bulunması, oluşturacaktır. Ülkemizdeki bilgi güvenliği farkındalığına gelirsek, bu
ardından tümdevrelerin (chip) geliştirilmesi ve ikili sis- kapsamda kimi kurumlarımız çok hassas ve bilinçli bir
temin elektronik devrelerde kullanımının kolaylığı ile Kuantum bilgisayarlar bu haliyle müthiş bir gelişim şekilde konuya önem vermekte ve kurum içi tedbirle-
sayısal elektronik devreler geliştirilmeye başlandı. Bu sunsa da tedbirli olmaz isek bilgi güvenliği anlamın- rini buna göre almaktadır. Bu kurumların talep ettikle-
14 15