Mobil teknolojiler çağımızda geniş kullanım alanıyla önemli bir yere sahiptir ve artan kullanım oranlarıyla gittikçe daha da önemli bir hale gelmektedir. Günümüzde hemen her alanda kullanılan mobil teknolojilerin sorunlarından biri mobil cihazlarla iletilen ve bu cihazlarda saklanan verilerin güvenliği konusudur. Bu yazıda mobil teknolojiler üzerindeki verilerin güvenliğini sağlamak için alınan önlemler ve uygulanması gereken politikalar üzerinde durulmuştur.
Anahtar Kelimeler: mobil teknoloji, bilgi güvenliği, bilgi güvenliği politikaları, mobil teknolojilerde bilgi güvenliği için alınan önlemler, mobil teknolojilerde bilgi güvenliği politikası
GİRİŞ
Günümüzde teknolojinin hızla gelişme ile birlikte mobil teknolojiler kişisel olduğu kadar kurumsal yaşamda da yerini almaya başlamıştır. Mobil cihazların internete bağlanması ve bu bağlantının gittikçe daha hızlı olması yeni imkanların önünü açmıştır. Günümüzde ‘nesnelerin interneti’ (internet of things) olarak nitelendirilen bir çok cihazın internete bağlanması örnek olarak gösterilebilir. Öyleki artık dizüstü bilgisayarlarin dışında, diş fırçaları, saatler hatta gözlükler bile internete erişebilmekte ve çeşitli veri alışverişi yapabilmektedir. Internet of Things’in yıllara göre kurumsal ve kişisel uygulamalardaki gelişimi ve gelecek yıllardaki tahmini gelişim değerleri aşağıdaki grafikte gösterilmiştir [1].
2. MOBİL GÜVENLİK POLİTİKALARINDA MEVCUT DURUM
Bütün bu gelişmeler bilginin güvenliğini korumak için yeni bir alan yaratmıştır. Çalışan bir kişinin kişisel işler ayrı kurumsal işler için aynı cihaz kullanmak yerine tek bir cihaz üzerinden işlem yapmak istemesi bilgi güvenliği açısından yeni bir saldırı vektörü oluşturmuştur. Kolay kullanımım, yüksek verimlilik ve hızlı erişim gibi özelliklerinden dolayı gittikçe mobilleşen teknolojide bilgi güvenliğini sağlamak için çeşitli politikalar oluşturmak ve bunlara uymak önemli hale gelmiştir. Bu önlemler mobil uygulamalar ile yapılabileceği gibi işletim sistemi bazında da yapılabilmektedir. Örneğin, yapılan bir araştırmayla , Android işletim sistemi üzerinde küçük bir değişiklik yapılarak dokunmatik ekran verisi, internete ulaşım ve verilerin korunması ile ilgili önemli güvenlik önlemlerinin alınabileceği gösterilmiştir [2].
Mobil cihazlara yüklenen uygulamaların çalışmak için kullanıcıdan aldığı izinler de sıklıkla güvenlik açıklarına neden olmaktadır. Bazen uygulamanın çalışma amacına uymayan ve çalışması için ihtiyacı olmayan bir izin kullanıcıdan alarak farklı amaçlar için kullanılabilmektedir. Yapılan başka bir araştırmada iste bu izinlerin yönetimi ile ilgili Android mobil işletim sistemi üzerinde bir iyileşme yapılması sağlanmış ve izinler üzerinde bir sertifikasyon yöntemine gidilerek kullanıcı güvenliğinin artırılması sağlanmıştır [3].
Özel sektör doğası gereği yeni teknolojilere daha kolay ve hızlı bir şekilde adapte olabilmektedir. Gerek uygun maliyet gerekse daha az iş gücü harcamak için hızlı bir şekilde mobil cihazları kullanan sektörlerin sayısı gün geçtikçe artmaktadır. Bağlantıdaki tabloda [4] görülebileceği üzere mobil kullanım gün gittikçe artmaktadır. Bu tablo kritik bilgileirn gittikçe mobil ortamlarda taşınacağının dolayısıyla mobil güvenliğin kurumlarda gün geçtikçe daha önemli olacağının kanıtı olarak düşünebilir.
Kamu kurumlarında ise verilerin gizliliği ve önemi daha kritik boyutlarda olduğundan yeni teknolojilere geçiş daha uzun süreçler almaktadır. Kamu kurumlarının çoğunda mobil uygulamalara yönelik herhangi bir güvenlik önlemi alınmamaktadır. Bu durum hem kritik bilgilerinin güvenliğini çalışanların mobil güvenlik bilgisi seviyesinde korunması demek olduğundan ciddi bir güvenlik açığı olarak değerlendirilmelidir.
3. ÇÖZÜM ÖNERİLERİ
Mobil teknoloji her ne kadar hızlı geliştiğinden dolayı bilgi güvenli zafiyetlerini beraberinde getirse de bu zafiyetlerin çözümleri için de yeni teknolojiler doğmaktadır.
Mobilitenin getirdiği tek cihaz üzerinde bir çok işlemi gerçekleştirme gibi kolay fakat bilgi güvenliği açısından riskli işlemler kendi politikalarını doğurmuştur. Bu politikaların başında kendi cihazını getir (bring your own device) olarak bilinen, çalışanlar kişisel cihazları ile kurumsal işleri yürütmesine olanak tanıyan politika gelmektedir. Bu sayede kişisel bir hatadan dolayı kurumsal verilerin etkilenmesi engellenmeye çalışılmaktadır. Bu politikaları gerçekleştirmek için kullanılan yazılımların geline MDM (Mobile Device Management ) denmektedir. MDM çözümleri ile bilgi güvenliği açısından oluşabilecek risklerin en aza indirilmesi amaçlanmıştır. Örneğin cihazın çalınması durumunda uzaktan cihazdaki tüm verileri silmeye olanak tanımaktadır. Ya da kurumsal e-posta gibi önemli verilerin mobil cihaz üzerinde özel olarak ayrılmış alanlarda güvenli bir şekilde çalışmasına olanak tanımaktadır. MDM yazılımları ile zararlı yazılım analizi, kablosuz ağ yönetimi, yedekleme, erişim kontrolü gibi bir çok gerekli politika gerçekleştirilebilir.
Güvenli olmayan kablosuz ağa bağlanılması cihazların saldırganların eline geçmesi için, zararlı bir yazılım indirmesi kadar önem arz etmektedir. Kurumsal olarakta kullanılan cihazlar üzerinde farklı ağalar bağlanması engellenmelidir. Ayrıca olası bir veri kaybını engellemek için düzenli olarak yedek alınması, gereksiz ve/veya kaynağı doğrulanmamış yazılımların cihaz üzerinde kullanılması yasaklanmalıdır. MDM ürünleri birçok mobil güvenlik politikalarını uygulamaya yarayabilir.
Kendi cihazını getir dışında hem özel sektörde hem de kamuda mobil politikaların oluşturulması gerekmektedir. Bunların en başında ise olası bir veri kaybını önlemek adına mobil cihazların kurum ağlarına bağlanmaması ve kritik bilgilere uzaktan erişim gerektiğinde güvenli bir mobil cihazın kullanıldığına emin olunması gelmektedir. Kritik yerlere mobil cihazlar ile girilmemesi politikalarda olmazsa olmaz maddelerden biridir. Kritik veri içeren kapalı ağlar, verinin hiç bir şekilde dışarı çıkmamasını sağlamak için kullanılır. Intranet ağına bağlı herhangi bir bilgisayarın başına geçen kötü niyetli bir kişi günümüzde her yerden bulabileceği bir telefon veya tablet ile bilgileri kolayca dışarı çıkarabilir.
Mobil cihaz üzerinde koşan işletim sistemlerinin de bilgi güvenliği riskleri açısından önem taşıdığı yapılan araştırmalar sonucu belirlenmiştir. En çok kullanılan iki mobil işletim sistemi olan IOS ve Anroid yazılımları kıyaslandığında IOS işletim sistemi ve uygulamalarının Andoid işletim sistemi ve uygulamalara göre çok daha güvenli olduğu tespit edilmiştir. [5]
4. SONUÇ
İnternetin hayatımızın bir parçası haline gelmesi ile birlikte bu alanda karşılaşılacak tehdit ve yöntemlerin de giderek arttığı görülmektedir. Elbette güvenlik yazılımları ve yöntemleri de buna paralel olarak gelişmektedir. Ancak ne yazık ki her güvenlik ihlali beraberinde ek tedbirler ve kısıtlamalar meydana getirmektedir. Bu da, temelde bilgi paylaşımı ve bilgiye erişim maksatlı olarak geliştirilen siber ortamda her gün bilgiye erişimi biraz daha zor, biraz daha dolaylı hale getirmekte ve kısıtlamaktadır. [6]
Bilgi güvenliği açısından risk taşıyan bütün sistemler için çalışanların ve kullanıcıların mobil teknolojileri kullanması durumunda gerekli önlemlerin alması ve bu önlemlerin bilgi güvenliği farkındalığı ile yerine getirilmesi büyük önem arz etmektedir.
Mobil teknolojilerde kullanılan donanım ve yazılımın yerli olmamasından dolayı kritik kurumlarda mobil cihaz kullanımı kıslatlanmalı ve güvenli politikalar oluşturulmadan verilerin mobil ortamlara aktarılması önlenmelidir.
KAYNAKLAR
[1] Jayavardhana Gubbi,a Rajkumar Buyya,b* Slaven Marusic,aMarimuthu Palaniswamia. Internet of Things (IoT): A Vision, Architectural Elements, and Future Directions.
[2] Sascha Wessel* , Manuel Huber, Frederic Stumpf, Claudia Eckert(2014). Improving mobile device security with operating system-level virtualization.
[3] Dimitris Geneiatakis, Igor Nai Fovino , Ioannis Kounelis, Paquale Stirparo(2014).A Permission verification approach for android mobile applications.
[4] Mobil Yaşamda Siber Güvenlik Yaklaşımı K. G. Gökce, E. Şahinaslan, S. Dincel
[5] http://dijitalekoloji.blogspot.com.tr/2012/05/sosyal-aglarda-guvenlik-1-akll-telefon.html
[6] Siber Güvenliğin Milli Güvenlik Açısından Önemi ve Alınabilecek Tedbirler Significance of Cyber Security for National Security: A Study Concerning the Necessary Measures Mehmet Nesip ÖĞÜN* ve Adem KAYA**
Bu makale 0xnur tarafından yazılmış veya yayınlanmıştır.