Page 49 - bilgem-teknoloji-dergisi-5
P. 49
Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliğinde TÜBİTAK BİLGEM
Hepimizin bildiği gibi, bilişim sistemleri son 15 yılımıza Eldeki bilgi birikiminin paylaşımı ve ülke genelinde bilgi Ülke içerisindeki çalışmalarımız devam ederken, bir taraftan
damgasını vurdu. Kâğıt üzerinden yürüyen pek çok iş gerek güvenliği konusundaki bilincin artırılması amacıyla yüzünü da bilgi birikimimizin vermiş olduğu özgüvenle yurtdışında
kolaylığı gerekse getirdiği diğer faydalar nedeniyle sanal diğer sektörlere de çeviren Ağ Güvenliği Grubu, kamu kurumları benzer hizmetleri gerçekleştirme konusunda bazı gayretlerimiz
ortamlara taşındı. Uzun yıllar içerisinde oluşmuş birikim ve ve kritik özel sektör kurumları ile bazı projeler gerçekleştirdi. oldu. Özellikle Bilgi Güvenliği Yönetim Sistemi, İş Sürekliliği
tecrübelerimizi küçücük depolama alanlarında taşıyabilir hale Güvenlik testleri ile başlayan, daha sonra Risk Analizi, Bilgi gibi alanlarda başarıyla sonuçlanan projelere imza atıldı.
gelmemiz, iş gereksinimlerimizin neredeyse tamamına yakınını Güvenliği Yönetim Sistemi (BGYS) kurulumu/danışmanlığı ile Türkiye’nin yakın ilişkiler içerisinde olduğu ülkelere bilgi
cep telefonları ile karşılayabiliyor olmamız, bu değişimin ne devam eden bu çalışmalarda kurumların önemli kazanımları güvenliğine yönelik eğitimler verildi. Bu çalışmaların
kadar hızlı ve hayrete düşürücü olduğunun en önemli oldu. Bazı kamu kurumları, yönetim hiyerarşisindeki etkin önümüzdeki yıllarda artan sıklıkla devam edeceğini
göstergelerinden. noktalara, bilgi güvenliği sağlanmasına yönelik birimler entegre öngörüyoruz.
ederek konuyu en üst düzeyde ele almaya gayret gösterdiler.
Ünlü psikolog Abraham Maslow, bazı eleştirilere rağmen
bugün hâlâ kabul gören kuramında, insanoğlunun beslenme Özel sektörde gerçekleştirilen projeler genellikle bankacılık,
ve uyuma gibi fizyolojik ihtiyaçlarından sonra kendini güvende 2001 yılında Genelkurmay Başkanlığı’nın da desteğiyle telekomünikasyon ve otomotiv alanlarında çalışan firmalarla
hissetmek ve tehlikeden uzak durmak içgüdülerinin ağır gerçekleştirilen Ortak Kriter Test Merkezi (OKTEM) kurulması yürütüldü. Bunlar mali kazanımların arka planda kaldığı,
bastığından bahseder. Tarih, yakın çağımıza kadar bu kuramın projesi ile bu bilgi birikimi, uluslararası kabul gören standartların eldeki bilgi birikiminin geliştirilmesi ve yeni teknolojilerden
en önemli kanıtı niteliğindeydi. Fakat güvenliğin hep arka gerçeklenmesi amacıyla kullanıldı. Bilişim sistemi ürünlerinin haberdar olabilme amacıyla yürütülen projelerdi.
planda kaldığı bilişim sistemlerindeki gelişmeler Maslow’u belirli güvenlik kriterlerine göre değerlendirilip sağlamış Müşterilerimizin proje çıktılarından memnun kalarak çok Yıllar geçtikçe kabuğunu kıran ve Türkiye’nin önde gelen
yalancı çıkardı. Özellikle son on yıl içerisinde bilişim olduğu güvenlik seviyelerinin belirlenmesi temel ilkesine yüksek oranda yeni proje önerilerinde bulunmalarının doğru bilişim sistemleri güvenliği merkezlerinden biri haline gelen
sistemlerinde saptanan açıklıklara karşı savunmasızlığımız, dayanan Ortak Kriterler (‘Common Criteria’, CC) yolda olduğumuzun göstergelerinden biri olduğunu Ağ Güvenliği Grubu ismiyle de bir değişim yaşadı ve Bilişim
güvenlik bilincinin ancak yaşanılan acı tecrübelerin bir bileşkesi değerlendirmeleri, ülkemiz laboratuvarlarında yapılabilir hale düşünüyoruz. Sistemleri Güvenliği Bölümü adını aldı. Bölüm halen TSK,
ile oluşması, bu noktadaki zafiyetlerimizi ortaya koydu. geldi. Laboratuvar sonraki yıllarda kripto cihazları için kamu kurumları, özel sektörden firmalar ile gerek yurtiçi
gerçeklenebilir olan COMSEC (Haberleşme Güvenliği) testlerini Devlet Planlama Teşkilatı Bilgi Toplumu Dairesi’nin 2005 gerekse yurtdışında projeler gerçekleştiriyor. Her geçen yıl
de kabiliyetleri arasına ekledi. 2006 yılından günümüze akıllı yılında başlatmış olduğu Bilgi Toplumu Stratejisi isimli çalışma
Kendini gerçekleştirme kart güvenliği ile ilgili çalışmalarını yoğunlaştırarak, özellikle büyüyen, konusunda uzman kadrosuyla, oldukça geniş bir
ihtiyaçları ülkemizde bilişim sistemleri adına önemli bir milat oldu. yelpazede kurumların bilgi güvenliği gereksinimlerini
Yan Kanal Çözümlemesi (Side Channel Analysis) ve Tersine Çalışma, ülkemizin bilgi toplumu olması yolunda önemli karşılamaya gayret gösteriyor.
Değer ihtiyaçları Mühendislik (Reverse Engineering) konularında uzmanlık mesafeler kat etmek ve bilgi teknolojilerinden etkin olarak
kazandı. Bu alanda sahip olduğu altyapı ile dünyada önemli yararlanılmasını sağlamak amacıyla gerçekleştirildi. Çalışmanın Bilgi Paylaşınca Güzeldir
test merkezlerinden biri haline geldi. bir maddesini de Bilgi Sistemleri Güvenlik Programı
Ait olma ve sevgi Özellikle Bilgi Sistemleri Güvenlik Programı’nda yürüttüğümüz
ihtiyaçları oluşturuyordu. TÜBİTAK BİLGEM Ağ Güvenliği Grubu çalışmalarımızın ana hedefi, var olan bilgi birikimimizi ülkemizin
tarafından yürütülen ve halen devam eden bu program ile,
Güvenlik başta kamu kurum ve kuruluşları olmak üzere ülkemizin bilgi faydasına sunabilmekti. Bu amaçla kurumlar ve bu alanda
ihtiyaçları sistem güvenliğiyle ilgili gereksinimlerinin karşılanması çalışan kişiler ile ortak bazı faaliyetler yürüttük. Örneğin biri
hedeflenmekte. Program kapsamında pek çok kamu kurumunda Ankara’da diğeri de İstanbul’da olmak üzere yılda iki kere
Fizyolojik Geçtiğimiz yıl Ortak Kriterler belgelendirmesi konusunda pilot çalışmalar gerçekleştirildi. Bu çalışmalar ile kurumların gerçekleştirdiğimiz etkinliklerde bilgi güvenliğindeki eğilimler,
ihtiyaçlar meydana gelen bir gelişme ile sevindik. Bu konuda paydaş bilgi güvenliği problemlerini minimize etmek ve kurumsal güncel tehditler gibi konularda paylaşımlarda bulunduk.
durumunda olan TÜBİTAK BİLGEM ve TSE’nin işbirliğiyle, bilgi güvenliği bilinci kazandırmak adına gayret gösterildi. Ülkemiz için üzerinde durulması gereken bilgi güvenliği
üretilen sertifikaların uluslararası tanınırlığa sahip olması için konularını masaya yatırarak çözümler üretmeye çalıştık.
Şekil 1. Maslow Üçgeni. Kritik kamu kurumlarımızda çalışan personele, üniversitede
yapılan uzun ve zorlu yolculuk tamamlandı. 12-16 Nisan
tarihlerinde TSE’de uluslararası denetçiler tarafından bilişim sistemlerinin yönetimiyle görevli kişilere eğitimler Belirli bir kurum ile gerçekleştirilen çalışmaların o kuruma
Dünden Bugüne gerçekleştirilen ve OKTEM tarafından üretilen değerlendirme verildi. sağlayacağı faydayı inkâr etmek mümkün değil. Aynı şekilde,
raporlarının da dikkatle incelendiği tetkik başarı ile sonuçlandı. içi dolu bir etkinliğin katılımcılarına sağlayacağı katma değeri
Ulusal bilgi güvenliğinin sağlanmasını ve bu konularda Bilgi Sistemleri Güvenlik Programı’nın önemli hedeflerinden de... Fakat genel kamu yararını düşündüğümüzde, bu faydaların
ülkemizin kendi ayakları üzerinde durmasını kendisine misyon Sonrasında, Türkiye’nin kabulüne yönelik başlatılan idari süreç birisi de, ülkemizde bilgisayar ortamlarında yaşanabilecek bilgi oldukça dar kapsamda kaldığını söylemek mümkün. Bu
edinmiş TÜBİTAK BİLGEM, bilgi güvenliğinin sadece şifreleme tüm diğer sertifika üreticisi ülkelerin onayı ile tamamlandı. güvenliği olaylarına doğru ve sağlıklı müdahaleyi
ile sağlanamayacağını, bilişim sistemleri ve ağ düzeyindeki Böylelikle Türkiye, “Sertifika Üreticisi Ülke” statüsüne sahip gerçekleştirmek amacıyla gerekli altyapıyı oluşturmaktı. Bu felsefeden yola çıkarak, bilgi paylaşımını daha etkin
gerçekleştirmenin yollarını aradık ve Ulusal Bilgi Güvenliği
saldırıların da önemsenmesi gerektiğini ve bu alanda 14 ülkenin yanına adını yazdırmış oldu. amaçla yine TÜBİTAK BİLGEM bünyesinde Bilgisayar Kapısı (http://www.bilgiguvenligi.gov.tr) web portalini kurmaya
uzmanlaşmış bir bölüme ihtiyaç olduğu düşüncesini 1997 Ağ Güvenliği Grubu, kuruluşundan bugüne Türk Silahlı Olaylarına Müdahale Ekibi (TR-BOME) kuruldu. Bu ekip kritik
yılında hayata geçirdi. İlk yıllarında Ağ Güvenliği Grubu adıyla Kuvvetleri’nin bilişim sistemleri güvenliği alanındaki kamu kurumlarında BOME yapılanmasının kurulabilmesi için karar verdik. İki yıldır faaliyetlerini sürdüren bu ortamda bilgi
yürütülen çalışmalarda kapsamlı bir test laboratuvarı kuruldu. gereksinimlerini karşılamak üzere pek çok proje gerçekleştirdi. gerekli eğitim ve eşgüdüm faaliyetlerini yürüttü. Kasım 2008’de birikimimizi, bilgi güvenliğine destek veren diğer gönüllü
Laboratuvar ortamında Microsoft ve açık kaynak kodlu işletim Güvenlik mimarilerinin tasarımı, sistemlerin güvenli kurulumu, gerçekleştirilen tatbikat ile kurumlara, bilgi güvenliği sorunlarına uzmanların da katkılarını tüm Türkiye ile paylaşmaya gayret
sistemleri, bunların üzerinde çalışan e-posta sunucu, güvenlik testleri, risk çözümleme çalışmalarının gerçekleşmesi hızla tepki gösterebilme kabiliyeti kazandırıldı. Halen BOME gösteriyoruz.
veritabanları gibi popüler uygulamalar, aktif ağ cihaz ve kutuları, gibi alt başlıklar altında ele alınabilecek projelerle Ağ Güvenliği konularında kamu kurumları ile sıkı ilişkiler içerisindeyiz. Kuruluşundan itibaren bilişim sistemleri güvenliği konusunda
saldırı tespit sistemleri gibi savunma ürünleri güvenlik bakış Grubu, ülkemizin özellikle geleceği adına oldukça önemsenmesi Ayrıca, ülkemizi ilgilendiren ve bilişim sistemleri kaynaklı uzman pek çok kişinin takdirini ve desteğini alan Ulusal Bilgi
açısı ile değerlendirildi. Önemli bir bilgi birikimi sağlandı. gereken bilişim güvenliği alanında söz sahibi bir otorite güvenlik sorunlarında ulusal irtibat noktası olarak pek çok Güvenliği Kapısı interaktif altyapısı ile katılımcı bir içerik
konumuna geldi. yurtdışı kurumla ortak çalışmalar yürütmekteyiz.
46 Sayı 05 Ocak-Nisan 2011 http://www.bilgem.tubitak.gov.tr/ 47
·