Tahsin TÜRKÖZ  Bilişim Sistemleri Güvenliğinde TÜBİTAK BİLGEM


 Hepimizin bildiği gibi, bilişim sistemleri son 15 yılımıza  Eldeki bilgi birikiminin paylaşımı ve ülke genelinde bilgi  Ülke içerisindeki çalışmalarımız devam ederken, bir taraftan
 damgasını vurdu. Kâğıt üzerinden yürüyen pek çok iş gerek  güvenliği konusundaki bilincin artırılması amacıyla yüzünü  da bilgi birikimimizin vermiş olduğu özgüvenle yurtdışında
 kolaylığı gerekse getirdiği diğer faydalar nedeniyle sanal  diğer sektörlere de çeviren Ağ Güvenliği Grubu, kamu kurumları  benzer hizmetleri gerçekleştirme konusunda bazı gayretlerimiz
 ortamlara taşındı. Uzun yıllar içerisinde oluşmuş birikim ve  ve kritik özel sektör kurumları ile bazı projeler gerçekleştirdi.  oldu. Özellikle Bilgi Güvenliği Yönetim Sistemi, İş Sürekliliği
 tecrübelerimizi küçücük depolama alanlarında taşıyabilir hale  Güvenlik testleri ile başlayan, daha sonra Risk Analizi, Bilgi  gibi alanlarda başarıyla sonuçlanan projelere imza atıldı.
 gelmemiz, iş gereksinimlerimizin neredeyse tamamına yakınını  Güvenliği Yönetim Sistemi (BGYS) kurulumu/danışmanlığı ile  Türkiye’nin yakın ilişkiler içerisinde olduğu ülkelere bilgi
 cep telefonları ile karşılayabiliyor olmamız, bu değişimin ne  devam eden bu çalışmalarda kurumların önemli kazanımları  güvenliğine yönelik eğitimler verildi. Bu çalışmaların
 kadar hızlı ve hayrete düşürücü olduğunun en önemli  oldu. Bazı kamu kurumları, yönetim hiyerarşisindeki etkin  önümüzdeki yıllarda artan sıklıkla devam edeceğini
 göstergelerinden.  noktalara, bilgi güvenliği sağlanmasına yönelik birimler entegre  öngörüyoruz.
          ederek konuyu en üst düzeyde ele almaya gayret gösterdiler.
 Ünlü psikolog Abraham Maslow, bazı eleştirilere rağmen
 bugün hâlâ kabul gören kuramında, insanoğlunun beslenme  Özel sektörde gerçekleştirilen projeler genellikle bankacılık,
 ve uyuma gibi fizyolojik ihtiyaçlarından sonra kendini güvende  2001 yılında Genelkurmay Başkanlığı’nın da desteğiyle  telekomünikasyon ve otomotiv alanlarında çalışan firmalarla
 hissetmek ve tehlikeden uzak durmak içgüdülerinin ağır  gerçekleştirilen Ortak Kriter Test Merkezi (OKTEM) kurulması  yürütüldü. Bunlar mali kazanımların arka planda kaldığı,
 bastığından bahseder. Tarih, yakın çağımıza kadar bu kuramın  projesi ile bu bilgi birikimi, uluslararası kabul gören standartların  eldeki bilgi birikiminin geliştirilmesi ve yeni teknolojilerden
 en önemli kanıtı niteliğindeydi. Fakat güvenliğin hep arka  gerçeklenmesi amacıyla kullanıldı. Bilişim sistemi ürünlerinin  haberdar olabilme amacıyla yürütülen projelerdi.
 planda kaldığı bilişim sistemlerindeki gelişmeler Maslow’u  belirli güvenlik kriterlerine göre değerlendirilip sağlamış  Müşterilerimizin proje çıktılarından memnun kalarak çok  Yıllar geçtikçe kabuğunu kıran ve Türkiye’nin önde gelen
 yalancı çıkardı. Özellikle son on yıl içerisinde bilişim  olduğu güvenlik seviyelerinin belirlenmesi temel ilkesine  yüksek oranda yeni proje önerilerinde bulunmalarının doğru  bilişim sistemleri güvenliği merkezlerinden biri haline gelen
 sistemlerinde saptanan açıklıklara karşı savunmasızlığımız,  dayanan Ortak Kriterler (‘Common Criteria’, CC)  yolda olduğumuzun göstergelerinden biri olduğunu  Ağ Güvenliği Grubu ismiyle de bir değişim yaşadı ve Bilişim
 güvenlik bilincinin ancak yaşanılan acı tecrübelerin bir bileşkesi  değerlendirmeleri, ülkemiz laboratuvarlarında yapılabilir hale  düşünüyoruz.  Sistemleri Güvenliği Bölümü adını aldı. Bölüm halen TSK,
 ile oluşması, bu noktadaki zafiyetlerimizi ortaya koydu.  geldi. Laboratuvar sonraki yıllarda kripto cihazları için  kamu kurumları, özel sektörden firmalar ile gerek yurtiçi
 gerçeklenebilir olan COMSEC (Haberleşme Güvenliği) testlerini  Devlet Planlama Teşkilatı Bilgi Toplumu Dairesi’nin 2005  gerekse yurtdışında projeler gerçekleştiriyor. Her geçen yıl
 de kabiliyetleri arasına ekledi. 2006 yılından günümüze akıllı  yılında başlatmış olduğu Bilgi Toplumu Stratejisi isimli çalışma
 Kendini gerçekleştirme  kart güvenliği ile ilgili çalışmalarını yoğunlaştırarak, özellikle  büyüyen, konusunda uzman kadrosuyla, oldukça geniş bir
 ihtiyaçları  ülkemizde bilişim sistemleri adına önemli bir milat oldu.  yelpazede kurumların bilgi güvenliği gereksinimlerini
 Yan Kanal Çözümlemesi (Side Channel Analysis) ve Tersine  Çalışma, ülkemizin bilgi toplumu olması yolunda önemli  karşılamaya gayret gösteriyor.
 Değer ihtiyaçları  Mühendislik (Reverse Engineering) konularında uzmanlık  mesafeler kat etmek ve bilgi teknolojilerinden etkin olarak
 kazandı. Bu alanda sahip olduğu altyapı ile dünyada önemli  yararlanılmasını sağlamak amacıyla gerçekleştirildi. Çalışmanın  Bilgi Paylaşınca Güzeldir
 test merkezlerinden biri haline geldi.  bir maddesini de Bilgi Sistemleri Güvenlik Programı
 Ait olma ve sevgi                                                    Özellikle Bilgi Sistemleri Güvenlik Programı’nda yürüttüğümüz
 ihtiyaçları  oluşturuyordu. TÜBİTAK BİLGEM  Ağ Güvenliği Grubu      çalışmalarımızın ana hedefi, var olan bilgi birikimimizi ülkemizin
          tarafından yürütülen ve halen devam eden bu program ile,
 Güvenlik  başta kamu kurum ve kuruluşları olmak üzere ülkemizin bilgi  faydasına sunabilmekti. Bu amaçla kurumlar ve bu alanda
 ihtiyaçları  sistem güvenliğiyle ilgili gereksinimlerinin karşılanması  çalışan kişiler ile ortak bazı faaliyetler yürüttük. Örneğin biri
          hedeflenmekte. Program kapsamında pek çok kamu kurumunda   Ankara’da diğeri de İstanbul’da olmak üzere yılda iki kere
 Fizyolojik  Geçtiğimiz yıl Ortak Kriterler belgelendirmesi konusunda  pilot çalışmalar gerçekleştirildi. Bu çalışmalar ile kurumların  gerçekleştirdiğimiz etkinliklerde bilgi güvenliğindeki eğilimler,
 ihtiyaçlar  meydana gelen bir gelişme ile sevindik. Bu konuda paydaş  bilgi güvenliği problemlerini minimize etmek ve kurumsal  güncel tehditler gibi konularda paylaşımlarda bulunduk.
 durumunda olan TÜBİTAK BİLGEM ve TSE’nin işbirliğiyle,  bilgi güvenliği bilinci kazandırmak adına gayret gösterildi.  Ülkemiz için üzerinde durulması gereken bilgi güvenliği
 üretilen sertifikaların uluslararası tanınırlığa sahip olması için  konularını masaya yatırarak çözümler üretmeye çalıştık.
 Şekil 1.  Maslow Üçgeni.  Kritik kamu kurumlarımızda çalışan personele, üniversitede
 yapılan uzun ve zorlu yolculuk tamamlandı. 12-16 Nisan
 tarihlerinde TSE’de uluslararası denetçiler tarafından  bilişim sistemlerinin yönetimiyle görevli kişilere eğitimler  Belirli bir kurum ile gerçekleştirilen çalışmaların o kuruma
 Dünden Bugüne  gerçekleştirilen ve OKTEM tarafından üretilen değerlendirme  verildi.  sağlayacağı faydayı inkâr etmek mümkün değil. Aynı şekilde,

 raporlarının da dikkatle incelendiği tetkik başarı ile sonuçlandı.  içi dolu bir etkinliğin katılımcılarına sağlayacağı katma değeri
 Ulusal bilgi güvenliğinin sağlanmasını ve bu konularda  Bilgi Sistemleri Güvenlik Programı’nın önemli hedeflerinden  de... Fakat genel kamu yararını düşündüğümüzde, bu faydaların
 ülkemizin kendi ayakları üzerinde durmasını kendisine misyon  Sonrasında, Türkiye’nin kabulüne yönelik başlatılan idari süreç  birisi de, ülkemizde bilgisayar ortamlarında yaşanabilecek bilgi  oldukça dar kapsamda kaldığını söylemek mümkün. Bu
 edinmiş TÜBİTAK BİLGEM, bilgi güvenliğinin sadece şifreleme  tüm diğer sertifika üreticisi ülkelerin onayı ile tamamlandı.  güvenliği olaylarına doğru ve sağlıklı müdahaleyi
 ile sağlanamayacağını, bilişim sistemleri ve ağ düzeyindeki  Böylelikle Türkiye, “Sertifika Üreticisi Ülke” statüsüne sahip  gerçekleştirmek amacıyla gerekli altyapıyı oluşturmaktı. Bu  felsefeden yola çıkarak, bilgi paylaşımını daha etkin
                                                                     gerçekleştirmenin yollarını aradık ve Ulusal Bilgi Güvenliği
 saldırıların da önemsenmesi gerektiğini ve bu alanda  14 ülkenin yanına adını yazdırmış oldu.  amaçla yine TÜBİTAK BİLGEM bünyesinde Bilgisayar  Kapısı (http://www.bilgiguvenligi.gov.tr) web portalini kurmaya
 uzmanlaşmış bir bölüme ihtiyaç olduğu düşüncesini 1997  Ağ Güvenliği Grubu, kuruluşundan bugüne Türk Silahlı  Olaylarına Müdahale Ekibi (TR-BOME) kuruldu. Bu ekip kritik
 yılında hayata geçirdi. İlk yıllarında Ağ Güvenliği Grubu adıyla  Kuvvetleri’nin bilişim sistemleri güvenliği alanındaki  kamu kurumlarında BOME yapılanmasının kurulabilmesi için  karar verdik. İki yıldır faaliyetlerini sürdüren bu ortamda bilgi
 yürütülen çalışmalarda kapsamlı bir test laboratuvarı kuruldu.  gereksinimlerini karşılamak üzere pek çok proje gerçekleştirdi.  gerekli eğitim ve eşgüdüm faaliyetlerini yürüttü. Kasım 2008’de  birikimimizi, bilgi güvenliğine destek veren diğer gönüllü
 Laboratuvar ortamında Microsoft ve açık kaynak kodlu işletim  Güvenlik mimarilerinin tasarımı, sistemlerin güvenli kurulumu,  gerçekleştirilen tatbikat ile kurumlara, bilgi güvenliği sorunlarına  uzmanların da katkılarını tüm Türkiye ile paylaşmaya gayret
 sistemleri, bunların üzerinde çalışan e-posta sunucu,  güvenlik testleri, risk çözümleme çalışmalarının gerçekleşmesi  hızla tepki gösterebilme kabiliyeti kazandırıldı. Halen BOME  gösteriyoruz.
 veritabanları gibi popüler uygulamalar, aktif ağ cihaz ve kutuları,  gibi alt başlıklar altında ele alınabilecek projelerle Ağ Güvenliği  konularında kamu kurumları ile sıkı ilişkiler içerisindeyiz.  Kuruluşundan itibaren bilişim sistemleri güvenliği konusunda
 saldırı tespit sistemleri gibi savunma ürünleri güvenlik bakış  Grubu, ülkemizin özellikle geleceği adına oldukça önemsenmesi  Ayrıca, ülkemizi ilgilendiren ve bilişim sistemleri kaynaklı  uzman pek çok kişinin takdirini ve desteğini alan Ulusal Bilgi
 açısı ile değerlendirildi. Önemli bir bilgi birikimi sağlandı.  gereken bilişim güvenliği alanında söz sahibi bir otorite  güvenlik sorunlarında ulusal irtibat noktası olarak pek çok  Güvenliği Kapısı interaktif altyapısı ile katılımcı bir içerik
 konumuna geldi.  yurtdışı kurumla ortak çalışmalar yürütmekteyiz.

 46  Sayı 05   Ocak-Nisan 2011  http://www.bilgem.tubitak.gov.tr/  47
 ·