Son zamanlarda artan güvenlik bilinci ile bilişim sistemlerinde ani oluşacak sorunlar karşısında kısa zamanda çözüm üretmek de güvenlik konusundaki çalışmalar arasında kendisine yer bulmaya başladı. Acil durum müdahalesi olarak isimlendirilen konu içinde ön plana çıkan önemli alt başlıklar risk analizi, öncül tedbirlerin belirlenmesi ve sorun anında çözüm aşamasıdır. Bu yazıda öncelikle birkaç risk analizi yöntemi tartışılacak, sonrasında da bilişim sistemlerinde oluşacak sorun anında çözüm aşamasında nelere ihtiyaç duyulacağı ortaya konacaktır. Öncül tedbirler şu anda konumuz dışında yer almaktadır.

Risk analizi:

Soğuk savaş döneminde olası nükleer saldırıların hangi noktaları vuracağının öngörülmesi için çalışma sırasında ABD'de önem kazanan bu yöntem, dünyanın çevresine uydu yerleştirmeden ekonomiye kadar pek çok alanda kullanıldı. Son zamanlarda da bilişim sistemlerine adapte edilmeye çalışılmaktadır.

Risk analizi, varlıkların değeri ve tehdidin gerçekleşme olasılığı kavramları üzerine kurulmaktadır. Bu kavramlar hakkında detaylı bilgiler kitaplarda ya da İnternet ortamında bulunmaktadır. Ancak dikkat etmemiz gereken önemli noktalardan birisi bilişim alanında varlıkların belirlenmesi ve bu varlıklara verilen değerin tamamen kuruma özel bir çalışma gerektirmesidir. Bunun yanı sıra, tehditler ve gerçekleşme olasılıkları da yine kuruma özel bir çalışma gerektirmektedir.

Her kuruma özgü özel noktaların yanında bazı genel geçer kurallar da bulunmaktadır. Bilişim alanında risk analizi, tehdidin etkisini üç ana başlığa ayırmıştır.

• gizlilik
• bütünlük
• kullanılabilirlik

Gizlilik, kurum içi özel bilgiler ve kurumun servis verdiği kişilerin özel hayatı konularını kapsamaktadır. Örnek: Kişisel e-postaların herkes tarafından görülmemesi.

Bütünlük, kurumun sahip olduğu varlıklar üzerinde izinsiz değişiklik yapılmamasını kapsamaktadır. Örnek: Veritabanlarında yetkisiz değişiklik yapılmaması.

Kullanılabilirlik, kurumun sahip olduğu varlıklara izin verilen kişilerin erişimini kapsamaktadır. Örnek: Kurum anasayfasının sürekli erişilebilir olması.

Bilişim alanında risk analizi ile ilgili verilen üç örnek kavramlara açıklık getirmek için yardımcı olacaktır.

Örnek 1:

Bu örnekte bir tehdidin varlığa etkisi iki şekilde varsayılır:

• sistem üzerinde tam yetkili veya kısıtlı bir kullanıcının hakkını elde etme ile sonlanabilecek tehditlerin etkileridir.
• varlığın hizmetinin kısmen veya tamamen devre dışı bırakılmasıdır.

Bu risk analizi yöntemi sadece merkezi sunucularda kullanıcı kodu özeli ile ilgilenmektedir, bilişim sisteminin tümünü kapsamamaktadır. Buna ek olarak tehdidin etkisini gizlilik, bütünlük ya da kullanılabilirlik kavramları açısından incelemektedir.

Örnek 2:

Bu örnekte risk tehdidin gerçekleşme olasılığı ile tehdidin etkisinin çarpımı olarak ortaya konmaktadır. Tehdidin gerçekleşme olasılığı ve tehdidin etkisi 1 ile 5 arasında değerler atanarak belirlenmektedir.

Risk = Tehdidin Gerçekleşme İhtimali * Tehdidin Etkisi

Bu analiz bilişim sistemleri için daha kapsayıcı olsa da hala tehdidin etkisini gizlilik, bütünlük ya da kullanılabilirlik kavramları açısından incelemektedir.

Örnek 3:

Bu örnekte gizlilik, bütünlük ve kullanılabilirlik için risk ayrı ayrı hesaplanmaktadır. Hesaplama için her varlığın gizlilik, bütünlük ve kullanılabilirlik değerleri (VDg, VDb, VDk) ve olası tehdidin gizliliğe, bütünlüğe ve kullanılabilirliğe etkisi (TEg, TEb, TEk) ayrı ayrı düşünülür. Her bir kavram için risk hesaplanırken tehdidin olma olasılığı (To) da işin içine girmektedir.

Rg = VDg*TEg*To

Rb = VDb*TEb*To

Rk = VDk*TEk*To

Risk seviyesi, her bir kavram için belirlenen risk değerlerinin kurum tarafından belirlenecek bir formüle yerleştirilmesi ile bulunur (örnek formüller: toplama, aritmetik orta, geometrik orta, vb).

Risk Analizi Sonuçları Yorumlama:

Verilen her üç örnekte de sağ alt köşede bulunan risk değerinin - çok yüksek değerli bir varlığa tehdidin etkisinin çok olması - ortadan kaldırılması önemlidir. Bu alanların analiz tablolarında olmaması gerekmektedir.

Diğer yandan sol üst köşedeki sonuçlar için alınacak önemlerin en az emek harcayan önlemler olduğunu da unutmadan öncelikle orta kısımdaki riskleri azaltacak önlemler alınması düşünülmelidir.

Bunu yanı sıra günümüzdeki saldırıların "düşük etki - sık görülme" yerine "yüksek etki - az görülme" alanına kaymakta olduğunu unutulmamalı ve sağ alt alandaki risklere özellikle dikkat edilmelidir.

Bileşik Yapı Yaklaşımı:

Risk analizinin varlıkları tek tek incelemesi nedeniyle bilişim sistemleri gibi karmaşık yapılarda tek başına kullanımı yeterli gözükmemektedir. Bir tehdit gerçekleştiği zaman sadece etkilediği varlığa değil, onun ilişkide olduğu varlıklara da etki etmektedir. Bu yan etkiler risk analizinde dikkate alınmamaktadır. Bu nedenle sistemi bileşik bir yapı olarak görmek ve uygun teorilerden acil durum yaklaşımını incelemekte fayda vardır.

Hanseth, bilişim sistemlerinin bu karmaşık yapısını ortaya koymak için sundukları teori sistemdeki bileşen sayısı ve bileşenler arasındaki bağlantı sayısını dikkate almaktadır. McLean, bu yaklaşımı biraz daha geliştirerek farklı türde bileşen sayısını, bileşenler arası bağlantı türü sayısını ve bunun değişimini karmaşıklığı tanımlamak için kullanmaktadır. Dikkat edilmesi gerek önemli noktalardan birisi farklı türde bileşen sayısı, veritabanı birimi, güvenlik birimi türleri değil, bilişimi sisteminin çalışmakta olduğu platform, uygulama gibi teknik yapılar ile organizasyon rutinleri, alışkanlıkları ve içyapısı bileşenlerinden hesaplanmaktadır.

McLean'in yaklaşımında, bileşenler arasındaki bağlantının değişim hızına da önem verildiği dikkat çekmektedir. Bileşenler ve birbirleri ile ilişkileri hakkında bilgimiz her zaman eksiktir. Bunun nedeni de bilgimizin artma hızının, bileşenlerin değişme hızından her zaman daha az olmasıdır. Yeni bileşenin sisteme yerleştirilmesi ve diğer bileşenlerle ilişkilendirilmesi sırasında bileşenin yeteneklerinden sadece bir kısmının kullanılmakta olduğunu unutmamak gerekir.

Bir bileşenin özelliklerinin öğrenilmesi ve bilgi sahibi olmak konusu kurumlar tarafından önemsenmektedir. Ancak yaparak öğrenmek hiçbir zaman sözel aktarım ile öğrenmenin yerini tutmamaktadır. Öğrenmeye ilgini azalmasına neden olan ikinci yöntem çalışanların bilgi seviyelerinin yeterince hızlı artmasını da engellemektedir. Sonuçta sistem hakkında yeterli bilgiye sahip olmayan çalışanlar (yöneticiler) acil durumda müdahale etmek durumunda kalmaktadır.

Acil Durum Müdahalesi:

Genelde panik durumunda ve ne yapacağını bilmeyen çalışanlarla karşılaşıldığında yöneticilerin aklına gelen acil durum müdahalesi konusuna aslında sistemler çalışırken dikkat edilmesi gerekmektedir. Bu konuda yukarda da belirtilen bileşenlerin özeline inerek risk analizi ve biri sistem olarak bileşik yapı yaklaşımından çıkacak sonuçların değerlendirilmesi önemlidir ancak unutulmamalıdır ki, sistemin kurulmasının amacı kullanımdır. Bu kullanımı denetleyen ikincil sistemler kurulması ve bu sistemlerin doğru denetim yapıp yapmadıklarını denetleyen üçüncül sistemler kurulması söz konusu olmaktadır. İkincil sistemlerin yapması beklenenler üç aşamada sıralanabilir:

• Sistem kontrolü
• Sorunun belirlenmesi
• Sorunun ortadan kaldırılması

Sistem kontrolü ve sorun belirlenmesi sırasında beklenen ve beklenmeyen sorunlarla karşılaşılabilir. Risk analizi sonucunda olası tehditlere karşı, öncül önlemler almak elbette ki en iyi çözümdür, ancak bu tür önlemleri almanın iki sorunu olabilir. Bunlardan birisi önlem almanın maliyetinin varlığın değerinden yüksek olması, diğeri ise sistemi çalışmaz hale getirecek çözümlerdir. Bu nedenle bazı durumlarda öncül tedbirler yerine tehdit gerçekleştiği zaman sorunu en kısa zamanda giderecek çözümlere yönelmek de gerekebilir. Beklenen risklere karşı izlenebilecek bu yolda iyi hazırlanmış güncel belgeleme sistemi ve iş içi eğitimlerin gerekliliği tartışılmazdır. Beklenmeyen riskler konusunda önerilebilecek tek çözüm, bilgili ve yaratıcı çalışanların istihdamıdır.

Kaynaklar:

Hanseth, O. , Ciborra, C. (2007), *Risk, complexity and ICT *Cheltenham, UK; Northampton, MA : E. Elgar

İbrahim Çalışır - Suna Yılmaz