Bilgi Güvenliği Denince Aklınıza Ne Geliyor
Bilgi güvenliği denince aklımıza gelen şu hırsız, korsan, "hack", saldırı metaforlarından kurtulmanın vakti gelmedi mi artık? Derdimiz saldırgan olunca önlemimiz de bir güvenlik duvarı almak, saldırı tespit sistemi almak gibi ürün temelli bir çözümle sınırlı kalıyor. Aklımızıda bir çivi, çekiçlerin peşinde koşuyoruz.Öte yandan, "Bilgi güvenliği bir süreçtir" sözünden ne anlıyoruz? Aklımızda "süreç" denince ne açılıyor, onu bilmiyorum, ama bu sözün altını biraz doldurmak lazım. Çarpıcı birkaç örnek, süreç denince ne anlamak gerektiğini gösterebilir.
8 Aralık günü Japon, Mizuho bankasından borsada işlem yapan bir yetkili, 1 J-Com hissesini 610.000 Yen'den satmaya çalışırken, 610.000 adet J-Com hissesini 1 Yen'den sattı. Küçük bir fark. Bilgi güvenliği üzerine çalışan kişiler olarak, buna doğruluk / bütünlük problemi diyoruz. Bu riski öngörmeyip, sadece ezberden "Evet" denerek geçilebilecek bir doğrulama mesajına güvenlik kontrolü mü diyorsunuz? Sistemin böylesine hatalı bir işlem için, satış fiyatını en azından son kapanış veya son işlem ile karşılaştırıp ek bir kontrol, yorum, önlem, uyarı vermesini beklerdim doğrusu. Ama böyle bir kontrolü hayal bile etmediklerinden belki, sadece "kullanıcılarına güvenmişler". Ne kadar güzel :)
Belki bu güvenin 30 Milyar Yen (yaklaşık 210 Milyon Euro) değerindeki maliyeti, işlemler ve diğer bilgi varlıklarının karşı karşıya olduğu, gizlilik, doğruluk ve bulunurluk risklerini gözden geçirip, süreç içerisindeki eksik kontrollerin belirlenmesi için bir motivasyon olabilir. Böylece belki, veriyi daha oluştuğu noktada doğrulamak sayesinde bu tür bir kaybın tekrarından kaçınmak mümkün olabilir.
Peki bilgi güvenliği için illa ki, bilgisayar ortamında olmak mı lazım? Bir tane de Türkiye haberi verelim. 7 Eylül 2005 tarihli Radikal gazetesindeki haber'e göre "Otluca Hidrolik Santralı üretim lisansı ihalesinde en yüksek teklifi 7 trilyon 260 milyon YTL (5 trilyon 248 milyar 752 milyon dolar) ile yanlışlıkla Aksa Enerji Üretim" vermiş. "Yazılı teklifine TL yerine YTL yazan Aksa Enerji, Türkiye tarihinin en büyük ihalesine imza atmış oldu."
"İhale Komisyonu Başkanı Murat Erenel, Aksa'nın teklifinde maddi bir hata bulunduğunu, ihaleye katılan diğer firmalara bu maddi hatayı kabul edip etmeyeceklerini sordu. İhale katılan firmalardan Beyobası temsilcisi Ömer Bağcı maddi hatayı kabul etmeyeceklerini söyledi". Dolayısıyla teklif geçerli sayıldığı için, muhtemeldir ki, işin akibetini bilemiyoruz ama, firmanın teminatını yakmasıyla sonuçlanacak bir kayıba uğrayacağını tahmin edebiliriz.
