Son zamanlarda artan güvenlik bilinci ile bilişim sistemlerinde ani oluşacak sorunlar karşısında kısa zamanda çözüm üretmek de güvenlik konusundaki çalışmalar arasında
kendisine yer bulmaya başladı. Acil durum müdahalesi olarak isimlendirilen konu içinde ön plana çıkan önemli alt başlıklar risk analizi, öncül tedbirlerin belirlenmesi ve
sorun anında çözüm aşamasıdır. Bu yazıda öncelikle birkaç risk analizi yöntemi tartışılacak, sonrasında da bilişim sistemlerinde oluşacak sorun anında çözüm aşamasında
nelere ihtiyaç duyulacağı ortaya konacaktır. Öncül tedbirler şu anda konumuz dışında yer almaktadır.
Risk analizi:
Soğuk savaş döneminde olası nükleer saldırıların hangi noktaları vuracağının öngörülmesi için çalışma sırasında ABD'de önem kazanan bu yöntem, dünyanın çevresine uydu
yerleştirmeden ekonomiye kadar pek çok alanda kullanıldı. Son zamanlarda da bilişim sistemlerine adapte edilmeye çalışılmaktadır.
Risk analizi, varlıkların değeri ve tehdidin gerçekleşme olasılığı kavramları üzerine kurulmaktadır. Bu kavramlar hakkında detaylı bilgiler kitaplarda ya da İnternet
ortamında bulunmaktadır. Ancak dikkat etmemiz gereken önemli noktalardan birisi bilişim alanında varlıkların belirlenmesi ve bu varlıklara verilen değerin tamamen kuruma
özel bir çalışma gerektirmesidir. Bunun yanı sıra, tehditler ve gerçekleşme olasılıkları da yine kuruma özel bir çalışma gerektirmektedir.
Her kuruma özgü özel noktaların yanında bazı genel geçer kurallar da bulunmaktadır. Bilişim alanında risk analizi, tehdidin etkisini üç ana başlığa ayırmıştır.
- gizlilik
- bütünlük
- kullanılabilirlik
Gizlilik, kurum içi özel bilgiler ve kurumun servis verdiği kişilerin özel hayatı konularını kapsamaktadır. Örnek: Kişisel e-postaların herkes tarafından
görülmemesi.
Bütünlük, kurumun sahip olduğu varlıklar üzerinde izinsiz değişiklik yapılmamasını kapsamaktadır. Örnek: Veritabanlarında yetkisiz değişiklik yapılmaması.
Kullanılabilirlik, kurumun sahip olduğu varlıklara izin verilen kişilerin erişimini kapsamaktadır. Örnek: Kurum anasayfasının sürekli erişilebilir olması.
Bilişim alanında risk analizi ile ilgili verilen üç örnek kavramlara açıklık getirmek için yardımcı olacaktır.
Örnek 1:
Bu örnekte bir tehdidin varlığa etkisi iki şekilde varsayılır:
- sistem üzerinde tam yetkili veya kısıtlı bir kullanıcının hakkını elde etme ile sonlanabilecek tehditlerin etkileridir.
- varlığın hizmetinin kısmen veya tamamen devre dışı bırakılmasıdır.
|
Düşük |
Orta |
Yüksek |
Çok Yüksek |
Düşük |
D |
D,O |
O |
O,Y |
Orta |
D,O |
O |
O,Y |
Y |
Yüksek |
O |
O,Y |
Y |
ÇY,Y |
Çok Yüksek |
O,Y |
Y |
ÇY,Y |
ÇY |
Bu risk analizi yöntemi sadece merkezi sunucularda kullanıcı kodu özeli ile ilgilenmektedir, bilişim sisteminin tümünü kapsamamaktadır. Buna ek olarak tehdidin etkisini
gizlilik, bütünlük ya da kullanılabilirlik kavramları açısından incelemektedir.
Örnek 2:
Bu örnekte risk tehdidin gerçekleşme olasılığı ile tehdidin etkisinin çarpımı olarak ortaya konmaktadır. Tehdidin gerçekleşme olasılığı ve tehdidin etkisi 1 ile 5
arasında
değerler atanarak belirlenmektedir.
Tehdidin
gerçekleşme ihtimali / Tehdidin Etkisi |
Çok Düşük
(1) |
Düşük (2) |
Orta (3) |
Yüksek (4) |
Çok Yüksek
(5) |
Çok Düşük
(1) |
Düşük (1) |
Düşük (2)
|
Düşük (3) |
Orta (4) |
Orta (5) |
Düşük (2) |
Düşük (2) |
Orta (4) |
Orta (6) |
Yüksek
(8) |
Yüksek
(10) |
Orta (3) |
Düşük (3) |
Orta (6) |
Yüksek
(9) |
Yüksek
(12) |
Kritik
(15) |
Yüksek (4) |
Orta (4) |
Yüksek (8) |
Yüksek (12) |
Kritik (16) |
Çok Yüksek (20) |
Çok Yüksek
(5) |
Orta (5) |
Yüksek
(10) |
Kritik
(15) |
Çok Yüksek
(20) |
Çok Yüksek
(25) |
Risk = Tehdidin Gerçekleşme İhtimali * Tehdidin Etkisi
Bu analiz bilişim sistemleri için daha kapsayıcı olsa da hala tehdidin etkisini gizlilik, bütünlük ya da kullanılabilirlik kavramları açısından incelemektedir.
Örnek 3:
Bu örnekte gizlilik, bütünlük ve kullanılabilirlik için risk ayrı ayrı hesaplanmaktadır. Hesaplama için her varlığın gizlilik, bütünlük ve kullanılabilirlik değerleri
(VDg,
VDb, VDk) ve olası tehdidin gizliliğe, bütünlüğe ve kullanılabilirliğe etkisi (TEg, TEb, TEk) ayrı ayrı düşünülür. Her bir kavram için risk hesaplanırken tehdidin olma
olasılığı (To) da işin içine girmektedir.
Rg, Rb, Rk |
1 |
2 |
3 |
4 |
1 |
1 |
2 |
3 |
4 |
2 |
2 |
4 |
6 |
8 |
3 |
3 |
6 |
9 |
12 |
4 |
4 |
8 |
12 |
16 |
Rg = VDg*TEg*To
Rb = VDb*TEb*To
Rk = VDk*TEk*To
Risk seviyesi, her bir kavram için belirlenen risk değerlerinin kurum tarafından belirlenecek bir formüle yerleştirilmesi ile bulunur (örnek formüller: toplama,
aritmetik
orta, geometrik orta, vb).
Risk Analizi Sonuçları Yorumlama:
Verilen her üç örnekte de sağ alt köşede bulunan risk değerinin - çok yüksek değerli bir varlığa tehdidin etkisinin çok olması - ortadan kaldırılması önemlidir. Bu
alanların analiz tablolarında olmaması gerekmektedir.
Diğer yandan sol üst köşedeki sonuçlar için alınacak önemlerin en az emek harcayan önlemler olduğunu da unutmadan öncelikle orta kısımdaki riskleri azaltacak önlemler
alınması düşünülmelidir.
Bunu yanı sıra günümüzdeki saldırıların "düşük etki - sık görülme" yerine "yüksek etki - az görülme" alanına kaymakta olduğunu unutulmamalı ve sağ alt alandaki risklere
özellikle dikkat edilmelidir.
Bileşik Yapı Yaklaşımı:
Risk analizinin varlıkları tek tek incelemesi nedeniyle bilişim sistemleri gibi karmaşık yapılarda tek başına kullanımı yeterli gözükmemektedir. Bir tehdit gerçekleştiği
zaman sadece etkilediği varlığa değil, onun ilişkide olduğu varlıklara da etki etmektedir. Bu yan etkiler risk analizinde dikkate alınmamaktadır. Bu nedenle sistemi bileşik
bir yapı olarak görmek ve uygun teorilerden acil durum yaklaşımını incelemekte fayda vardır.
Hanseth, bilişim sistemlerinin bu karmaşık yapısını ortaya koymak için sundukları teori sistemdeki bileşen sayısı ve bileşenler arasındaki bağlantı sayısını dikkate
almaktadır. McLean, bu yaklaşımı biraz daha geliştirerek farklı türde bileşen sayısını, bileşenler arası bağlantı türü sayısını ve bunun değişimini karmaşıklığı tanımlamak
için kullanmaktadır. Dikkat edilmesi gerek önemli noktalardan birisi farklı türde bileşen sayısı, veritabanı birimi, güvenlik birimi türleri değil, bilişimi sisteminin
çalışmakta olduğu platform, uygulama gibi teknik yapılar ile organizasyon rutinleri, alışkanlıkları ve içyapısı bileşenlerinden hesaplanmaktadır.
McLean'in yaklaşımında, bileşenler arasındaki bağlantının değişim hızına da önem verildiği dikkat çekmektedir. Bileşenler ve birbirleri ile ilişkileri hakkında bilgimiz
her
zaman eksiktir. Bunun nedeni de bilgimizin artma hızının, bileşenlerin değişme hızından her zaman daha az olmasıdır. Yeni bileşenin sisteme yerleştirilmesi ve diğer
bileşenlerle ilişkilendirilmesi sırasında bileşenin yeteneklerinden sadece bir kısmının kullanılmakta olduğunu unutmamak gerekir.
Bir bileşenin özelliklerinin öğrenilmesi ve bilgi sahibi olmak konusu kurumlar tarafından önemsenmektedir. Ancak yaparak öğrenmek hiçbir zaman sözel aktarım ile
öğrenmenin
yerini tutmamaktadır. Öğrenmeye ilgini azalmasına neden olan ikinci yöntem çalışanların bilgi seviyelerinin yeterince hızlı artmasını da engellemektedir. Sonuçta sistem
hakkında yeterli bilgiye sahip olmayan çalışanlar (yöneticiler) acil durumda müdahale etmek durumunda kalmaktadır.
Acil Durum Müdahalesi:
Genelde panik durumunda ve ne yapacağını bilmeyen çalışanlarla karşılaşıldığında yöneticilerin aklına gelen acil durum müdahalesi konusuna aslında sistemler çalışırken
dikkat edilmesi gerekmektedir. Bu konuda yukarda da belirtilen bileşenlerin özeline inerek risk analizi ve biri sistem olarak bileşik yapı yaklaşımından çıkacak sonuçların
değerlendirilmesi önemlidir ancak unutulmamalıdır ki, sistemin kurulmasının amacı kullanımdır. Bu kullanımı denetleyen ikincil sistemler kurulması ve bu sistemlerin doğru
denetim yapıp yapmadıklarını denetleyen üçüncül sistemler kurulması söz konusu olmaktadır. İkincil sistemlerin yapması beklenenler üç aşamada sıralanabilir:
- Sistem kontrolü
- Sorunun belirlenmesi
- Sorunun ortadan kaldırılması
Sistem kontrolü ve sorun belirlenmesi sırasında beklenen ve beklenmeyen sorunlarla karşılaşılabilir. Risk analizi sonucunda olası tehditlere karşı, öncül önlemler almak
elbette ki en iyi çözümdür, ancak bu tür önlemleri almanın iki sorunu olabilir. Bunlardan birisi önlem almanın maliyetinin varlığın değerinden yüksek olması, diğeri ise
sistemi çalışmaz hale getirecek çözümlerdir. Bu nedenle bazı durumlarda öncül tedbirler yerine tehdit gerçekleştiği zaman sorunu en kısa zamanda giderecek çözümlere
yönelmek de gerekebilir. Beklenen risklere karşı izlenebilecek bu yolda iyi hazırlanmış güncel belgeleme sistemi ve iş içi eğitimlerin gerekliliği tartışılmazdır.
Beklenmeyen riskler konusunda önerilebilecek tek çözüm, bilgili ve yaratıcı çalışanların istihdamıdır.
Kaynaklar:
Hanseth, O. , Ciborra, C. (2007), *Risk, complexity and ICT *Cheltenham, UK; Northampton, MA : E. Elgar
İbrahim Çalışır - Suna Yılmaz
|