Ayın fıkrası: Santralimiz Hacklenmez

İşim gereği son zamanlarda santral projeleri ve santral üreticiyle yakın çalışma fırsatım oldu. Bütün bu görüşmelerde santral üreticisinin “sistemimiz hacklenmeye karşı korumalıdır” sözü ile Kurum Bilgi İşlem yetkilisinin “biz bu işleri çok iyi bildiğimizden gerekli önlemleri zaten alıyoruz, bizi hackleyemezler” iddiaları arasında gülmemek için kendimi zor tutuyorum. Eğlenceli oluyor olmasına ama bir yandan da Ülkemin güvenlik konusunda daha ne kadar yol alması gerektiğini görmek beni üzüyor.  

Benim gibiler için telefon sistemlerine yönelik yapılan saldırıların bir de tarihi anlamı var. Bir çoğumuza ilham kaynağı olan Captain Crunch ve Kevin Mitnick gibi isimlerin ilk "ilgi alanlarının" telefon sistemleri olduğunu hatırlatmaya gerek bile yok. Steve Jobs ve Steve Wozniack'ın Apple'dan önce ücretsiz telefon görüşmeleri yapmayı sağlayan "Bluebox" kutuları üretip sattıklarını bilmek ise, benim için olaya neredeyse nostaljik bir boyut katıyor.

Resim 1: Bluebox (Kaynak: http://en.wikipedia.org/wiki/Blue_box)

İnternet üzerinden yapılan görüşmelerin güvenliği konusu çok dallı budaklı ve uzmanlık isteyen bir konu olduğu için bu yazıda ancak yüzeyin ufak bir kısmını kazıdığımı belirtmem lazım. VoIP güvenliği konusunda yol almak isteyenlerin yakın durması gereken bir isim, Dünya’da da bu konuda otorite olarak kabul gören Fatih Özavcı’ya (Twitter: fozavci) saygılarımı da ileterek konuya gireyim.

Herhangi bir kurumun VoIP altyapısına karşı yapılan saldırılara bakınca, çoğunda karşımıza aşağıdaki saldırı türleri çıkmaktadır.

Hizmet dışı bırakma saldırıları

İzinsiz dinleme

İzinsiz çağrı açma

Giden çağrıları yönlendirme

Uluslararası görüşme trafiğinin kurum santrali üzerinden geçirilmesi

Son kalemde sadece geçtiğimiz ay ve Ankara’da duyduğum örnekler 200.000 TL’den fazla bir maddi zarara yol açmıştır. Bu saldırı türünde görüşmeler fiilen santral üzerinden geçtiği için operatörün ilgili birimleri tarafından zamanında fark edilip “fraud” (dolandırıcılık) olarak belirlenmezse kurum bu ücreti ödemek zorunda kalacaktır.

Internet’teki diğer uygulamalara ve sunuculara karşı yapılan hizmet dışı bırakma saldırılarında olduğu gibi, yapması kolay, önlemesi zor saldırılardır. 2009 yılında Amerika Birleşik Devletleri’ndeki bir operatöre karşı yapılan saldırı şu meale gelecek sözlerle özetlenmiştir: “normal şartlarda 32 milyon çağrı aldığımız bir anda 69 milyon çağrı geldi, ne yapacağımızı bilemedik”.

Son zamanlarda daha sık görmeye başladığımız “mega DDoS” saldırılarının VoIP sistemlerinin aksamasına yol açtığını biliyoruz. Bazı olaylar basına yansısa bile genel kanı VoIP sistemlerine yöneltilen ve başarılı olan saldırıların sayısının tespit edilmesinin zor olduğu yönündedir. “Mega DDoS” saldırıları DNS ve benzeri, verdiği cevap aldığı paketin boyutundan büyük olan servislerin DDoS saldırısının boyutunu arttırmak için kullanıldığı saldırılardır. Bunu böyle kullananlar var mı bilmiyorum ama ileride Discovery Channel’da bir belgesel yapılsa ismi bu olurdu gibi geldi.

Hizmet dışı bırakma saldırılarını gerçekleştirmenin en kolay yolu hedef sisteme çok sayıda SIP INVITE paketi göndermektir. Bu arada 2009 yılında hedef sistemin tek bir paket (Invite of Death – Ölüm Paketi) gönderilerek de hizmet dışı bırakılabileceği de keşfedilmiştir. Eldeki bilgiler “Ölüm Daveti” (çok uygun bir isimmiş) zafiyetinin çok sınırlı sayıda sistemde görüldüğü yönündedir. “Mega DDoS” denilince aklımıza hemen çağrı merkezlerine veya operatörün omurgasına yönelik yapılan büyük saldırılar gelse de kurumları hedef alan saldırılar daha yaygın olarak görülmektedir. Hem az kaynak gerektirdiği için hem de kurumların çoğunda gerekli güvenlik önlemlerinin alınmamış olması saldırganların iştahını daha da kabartmaktadır.

VoIP altyapısına karşı yapılan saldırılar arasında şüphesiz en “artistik” olanı yapılan görüşmeleri dinlemektir. 2012 yılında ortaya çıkan bir zafiyetin telefon görüşmelerini değil, telefonun bulunduğu odada ortam dinlemesi yapmaya imkan vermesi başlı başına bir olay olmuştu zaten (ayrıntılar: http://events.ccc.de/congress/2012/Fahrplan/events/5400.en.html). Yapılan görüşmelerin dinlenmesi kullanılan şifreleme algoritmasının kırılması ile mümkün olmaktadır. Bunun yanında, KTH Kraliyet Teknoloji Enstitüsü araştırmacısı Vasily Prokopov yaptığı bir çalışmada şifreleme algoritmasını kırmakla uğraşmadan konuşmaların dinlenebildiğini göstermiştir. Hecelerin şifrelenmiş hallerini konuşmadaki seslerle karşılaştıran çalışma %50 ile %90 başarı oranıyla konuşmaların içeriğinin çözülebildiğini göstermiştir (ayrıntılar: http://www.kaspersky.com/images/Vasily%20Prokopov.pdf ).

“Herşey iyi güzel de, bunlar gerçek hayatta ne işimize yarayacak?” dediğinizi duyar gibiyim. Ya da demo yapmak için bahane uydurmak için bu girişi yaptım. Müşterilerimin bir kısmında da yaygın olarak kullanılan Asterisk santral ile basit bir yapı kuruyorum.

Bunun için, kolay kurulum için hazırlanmış AsteriskNOW yazılımı üzerine hazırlanmış ve güvenlik testleri konusunda pratik yapmak için yayınlanmış VulnVoIP sanal makinesini kullanıyorum. VulnVoIP’i bıradan indirabilirsiniz: http://www.rebootuser.com/?page_id=1739

Yazının kalanında Kali Linux üzerinde kurulu gelen bazı araçları kullanacağım ama bu konuda pratik yapacakların Fatih Özavcı’nın Viproy’unu mutlaka indirip kullanmaları gerekmektedir. http://www.viproy.com/

Kurduğum yapı kısaca şöyle:

Resim 2: Buna mı laboratuar diyorum?

Resim 3: VulnVoIP login ekranı

Resim 4: Kali Linux IP ayarları

Göreceğiniz gibi saldırgan olduğum için Asterisk santralin IP adresini henüz bilmiyorum. Asterisk santrali bulmak için kullanabileceğim çeşitli yöntemler arasında ShodanHQ, Google ve port taraması verilebilir. Uluslararası telefon trafiğimi bedava taşıyacak ve yüklü faturayı ödeyecek bir kurban arıyorum, bunu da başka bir ülkede aradığım için tespit edilme korkum yok. O nedenle port taraması ile hızlıca hedef tespiti yapıyorum.

Verdiğim IP aralığında 5060 ve 5061 numaralı portları olan açık makineleri tespit etmek için NMAP kullanacağım. Bunlar SIP protokolü tarafından kullanılan portlar olduğu için bu portlardan hizmet veren makinenin SIP sunucusu olduğunu ve benim için hedef olabileceğini düşünüyorum.

Resim 5: Nmap ile SIP sunucusu aramak

 SIP hedeflerini tespit etmek için SVMAP aracını da kullanabilirim. Bu araç vereceğim IP aralığındaki SIP hizmeti veren makineleri buluyor. Göreceğiniz gibi NMAP’in “port kapalı” dediği makine hakkında ilginç bilgiler toparladı.

Resim 6: SVMAP kullanımı

Resim 7: SVMAP tarama çıktısı

Metasploit’un içerisinde de SIP sunucuları tespit etmemizi sağlayan bir araç var.

Resim 8: Metasploit ile SIP tarama

Resim 9: Metasploit Asterisk'i buldu

Bazı saldırıları gerçekleştirmek için santralin dahili numaralandırma sistemini ve kullanılan dahili numaralara ihtiyacım olabilir. Bunun için numaraları tek tek çevirmek yerine kullanabileceğim araçlar var. Bunlardan bir tanesi SVWAR, benim yerime numaralara INVITE gönderip aldığı cevapları raporluyor. Bu aracın verdiği uyarı “karşı tarafta telefon çalmasına ve insanların gecenin köründe uyanmasına neden olabilirsiniz”...

Resim 10: SVWAR ile dahili numara tespiti

Karşımdaki sistemin tam olarak ne olduğunu anlamak için NMAP ile daha kapsamlı bir port taraması yapıyorum.

NMAP’e fazladan parametre vermeden yaptığım tarama aşağıdaki sonucu veriyor

 Resim 11: NMAP taraması olmadan olmaz

NMAP taramasını bütün portları kapsayacak şekilde genişlettiğimde ise manzara biraz değişiyor

Resim 12: Sürprizlerle dolusun NMAP (ipucu: Port 5038)

Google araması Asterisk sistemlerde 5038 numaralı portun telnet ile ulaşılabilecek bir konfigürasyon arayüzü olduğunu ortaya çıkartıyor.

Aşağıda görüldüğü üzere bu senaryoda Asterisk santrali kuran fabrika çıkışlı kullanıcı adını ve parolasını değiştirmediği için bunlarla sisteme erişebiliyorum.

Resim 13: Telnet ile Asterisk'e erişmek

Resim 14: Telnet ile Asterisk kullanıcıları ve parola bilgilerini çekmek

Şimdi de daha alışık olduğumuz saldırı araçlarından olan Metasploit’u kullanarak komut satırı elde etmeye çalışalım.

Metasploit’un bildiği FreePBX istismarlarını arıyorum.

Resim 15: Metasploit'ta bulunan Asterisk istismarı

Bulduğu istismarı deneyelim

 Resim 16: İstismar parametrelerini ayarlıyorum

 Resim 17: Komut satırı geliyor

Resim 18: Asterisk komut satırı ve IP adresi

Resim 19: Bir amerikan atasözü der ki: "Root is a state of mind"

Bu saldırıların ve zafiyetlerin çoğu gerçekte kullanılan sistemlerde karşımıza çıkmatadır. Bu tür saldırıların önüne geçmek için alınabilecek en temel önlemler şunlardır:

• Santral üzerinde bulunan ek özellikler ek protokolleri beraberinde getirebilir. Kurum tarafından kullanılmayan özelliklere ilişkin portların kapatıldığından emin olun. 
• Bilgisayar sistemleri gibi internete değen herşeye saldırılabileceğini unutmayın.
• VoIP altyapınızı ve ağınızı bilgisayar ağınızdan mutlaka ayırın
• Mevcutta kullandığınız güvenlik çözümlerinin IP santralinizi de koruduğundan emin olun

Siber Casusluk ve Siber Casusları Atlatmak

Siber Casusluk

Siber casusluk pazarının var olduğunu biliyoruz ancak büyüklüğü konusunda net bir bilgi vermek zor. Tahminler, gelişmiş siber casusluk yazılımlarının satışının, yıllık 5 milyar dolar civarında bir pazar oluşturduğu yönünde.

Şekil 1: Siber Casusluk Yazılımı (temsili)

Suriye'li yetkililer tarafından yakalanan ve işkence gördüğünü iddia eden Karim adlı bir Suriyeli "bilgisayarım benden önce tutuklanmıştı" ifadesini kullanmış. Kendisini sorguya çekenlerin elinde Skype görüşmelerinin kayıtları ve anlık mesajlaşma çıktılarının olması bu iddiasında haksız olmadığının göstergesi olabilir mi?

Sınır Tanımayan Gazeteciler birliğinin yayınladığı "İnternet'in Düşmanları" raporunda 5 firmayı "siber paralı asker" (cyber mercenary) olarak tanımlıyor ve bu firmaların sattıkları ürünlerin dünyanın çeşitli yerlerinde baskıcı rejimler tarafından halklarına karşı kullanıldığı belirtiliyor.

Tam bir liste olmamakla birlikte, akla ilk gelen firmalar şöyle sıralanıyor;

1. Blue Coat (A.B.D)
2. Gamma Group (İngiltere)
3. Hacking Team (İtalya)
4. Trovicor (Almanya)
5. Amesys (Fransa)

Bu firmalar tarafından üretilen ve satılan siber casusluk yazılımlarının Suriye, İran, Çin, Bahreyn ve Vietnam gibi totaliter rejimler tarafından alındığı ve halkın iletişimini yakından takip etmek ve gerektiğinde keyfi tutuklamalar için temel oluşturduğu raporda belirtilmektedir.

Satılan yazılımların temel özellikleri benzerlik göstermektedir, bunlar;

1. Bilgisayar disklerine uzaktan erişim sağlamak ve içeriğini okumak
2. Kullanıcı adı ve parola bilgilerini çalmak
3. Sosyal medya hesaplarının izlenmesi
4. Epostaların okunması ve takibi
5. İnternet üzerinden yapılan telefon görüşmelerinin dinlenmesi
6. Anlık mesajlaşma oturumlarının kaydedilmesi

Asıl amaçları siber suçlarla mücadele olması gereken bu yazılımların amacı dışında kullanılmasına neden olan yasal boşlukların hızla doldurulması gerektiği belirtilen raporda bu yazılımların siber silah kapsamına alınması ve ihracatının sınırlandırılması önerilmiş.

İnternet'te yürüyüp izini belli etmemek

Yaklaşık 3 hafta önce Londra Kevin Mitnick ("Kevin David Mitnick gibi sosyal mühendisliğin babası sayılabilecek birisi..." Teşekkür ederim "Burhann") ile sohbetim sırasında kendisi "İnternet'e kendinizi gizlemek önemli, ancak peşinizdeki bir devletse bunu yapmanız neredeyse imkansız" demişti. Buna rağmen kendinizi korumak adına dijital izlerinizi gizlemenizde fayda var, bunu yapmak için aşağıdaki basit öneriler faydalı olabilir.

Şekil 2: Siber Casus (Temsili)

Güvenli surf
Mümkün olduğunca http:// yerine https:// ile başlayan siteleri kullanın. Https:// ile başlayan siteler güvenlik sertifikasına sahiptir ve başkalarının bu sitelerle kurduğunuz iletişimi dinlemesi daha zordur. Ziyaret ettiğiniz sayfada "Web Sitesinin Güvenlik Sertifikasında Sorun Var" uyarısı çıkması halinde kesinlikle "Anlıyorum ve devam etmek istiyorum" seçeneğini kullanmayın, derhal uzaklaşın.

Belgeleriniz Konuşuyor
İnternete yüklediğiniz fotoğraf ve ofis belgeleri kendi içlerinde bazı veriler barındırır. Örneğin fotoğraflar çekildikleri yerin bilgisini, PDF uzantılı dosyalar ise dosyayı oluşturan kişi ve bilgisayarı hakkında bilgiler barındırabilir. Bu nedenle bu tür belgeleri paylaşırken tekrar düşünmekte fayda var.

Sosyal Medya güvenlik ayarları
Facebook gibi sosyal medya paylaşım siteleri belirli güvenlik profilleri ve politikaları çerçevesinde çalışır. Bu politikalar paylaşım sitesinden sitesine farklılık gösterebildiği gibi aynı site içerisinde zamanla değişebilir. Kimsenin göremediğini zannettiğiniz profiliniz basit bir politika değişikliği ile bir gecede dünyaya açılabilir. Kabul ettiğiniz güvenlik politikasını okumak ve belirli aralıklarla tekrar okumak faydalıdır.

Cep telefonunuz
Bazılarınız şaşırabilir ama açık olduğu sürece cep telefonunuz aşağıdaki bilgileri baz istasyonuna sürekli olarak göndermektedir.

1. IMEI: Telefonunuza üretici tarafından verilen tekil tanıma numarası
2. IMSI: SIM kartını doğrulayan şifre bilgisi
3. TMSI: Coğrafi konumunuza göre operatör tarafından verilen geçici numara
4. İçerisinde bulunduğunuz hücre bilgisi
5. Coğrafi konumunuz

Bu bilgilerin dışında görüşme bilgilerinize anlık olarak ulaşmak veya rehber ve görüşme bilgilerinize ulaşmak mümkündür. Bunun için kullanılabilecek bazı şifreler ve yöntemler mevcuttur, yazının konusu olmadığından detaya girmeyeceğim, merak edenlere özel olarak anlatabilirim. 

Bellekleriniz

Laptop, masaüstü veya USB belleklerinizi mutlaka şifreleyin. TrueCRYPT gibi bir yazılım kullanmak en basitinden laptopunuzu çalan birinin kişisel belgelerinize ulaşmasını önleyecektir. 

TAILS (The Amnesic Incognito Live System)

Adından da anlaşılabileceği gibi gizliliği sağlamayı amaçlayan bir işletim sistemidir. Windows yerine bunu kullanmak size ek bir görünmezlik pelerini sağlayacaktır. 

E-posta mesajlarınız

E-posta mesajlarınızı PGP anahtarı ile şifrelemek araya giren birinin epostalarınızın içeriğini okumasını zorlaştıracaktır. Bu konuda Windows ile bir PGP şifreleme anahtarı oluşturmak ve eposta istemcisi olarak Thunderbird kullanmak ücretsiz ve etkili bir çözüm oluşturmanıza imkan verecektir. 

Siber casusluktan korunmanın mümkün olmadığı Kevin Mitnick'in kabullenmiş yaklaşımının yanısıra Edward Snowden tarafından ortaya çıkartılan olaylarla bir kez daha anlaşılmıştır. Bu nedenle elimizden gelen önlemleri almak şart olmuştur. Ne olursa olsun, İnternet'in dost bir ortam olmadığını unutmamak gerekiyor. 

Paranoyak olmam takip edilmediğim anlamına gelmez

Bilgi güvenliği hepimizin gündeminde ama çoğumuz buna bilinçli bir şekilde yaklaşmakta zorlanıyoruz. Bilincin oturması için öncelikle konuyu bütün ciddiyeti ve gerçekliği ile almak gerekiyor ki burada karşılaştığımız engeller teknik bilgimizin/yeterliliğimizin çok dışında. Konuyu ele almak için işin sadece bizlere düşmediğini, şirket içi kullanıcılardan üst yönetime kadar herkesin bunda payı olduğunu kabullenmek gerekir. 90’lı yıllarda ISO belgeleri yaygınlaşmaya başladığı yıllarda Kalite Departmanının “Kalite Hepimizin Görevi!” feryatlarını hatırlıyorum da ; “Güvenlik Hepimizin İşi!” demeye başlamış olmamız iyiye işaret değil gibi geliyor. Bu duruma düşmemek ve bilgi güvenliğimizi sağlayabilmek için güvenlik kararlarını etkileyen başlıca oyuncuları ve şartları anlamamızda fayda var.

En zayıf halkanız kadar güçlüsünüz: İnsan saflığına karşı sizi koruyacak bir firewall yok

Tanıştırayım: Düşman. (Şekil 1-A)

2008 yılında Ortadoğu’da bulunan bir Amerikan askeri üssünün sistemine yukarıda görülen ileri teknoloji ürünü siber saldırı aracı (!) sayesinde girildi. Agent.btz isimli worm halen A.B.D. askeri gizli bilgilerine karşı yapılmış en ciddi saldırı olarak biliniyor. Bu saldırıya karşı başlatılan “Buckshot Yankee” operasyonu kapsamında etkilenen bütün bilgisayarların temizlenmesi 14 ay sürmüş ve bu süreçte USB belleklerin kullanımı yasaklanmıştır. Bu olay aynı zamanda A.B.D. ordusu bünyesinde “U.S. Cyber Command” birimin kurulmasına neden olmuştur.
Bu tür bir saldırıya karşı ne kadar açık olduğunuzu anlamak için toplantı odasına bir USB bellek bırakmanız yeterli olacaktır. Meraklı bir arkadaşınızın eninde sonunda onu bulup ağınıza bağlı bir makinede çalıştıracağından emin olabilirsiniz.

Güvenlik Hepimizin İşi!
Güvenlik konusunda çalışma arkadaşlarımızı eğitmek zorundayız ama her çalışanımızın bizim için eşit derecede tehdit oluşturmadığını veya eşit derecede tehdit oluşturabilecek bilgiye sahip olmadığını anlamamız gerekiyor. Aynı şekilde sistemde bulunan her bileşenin eşit tehdit yaratmadığını da aklımızda tutmakta fayda var.
Aşağıdaki matris bu konuyu çok iyi bir şekilde özetlemektedir.

Risk Analiz Matrisi (Şekil 2-A)

Tehditleri bu matrise yerleştirerek hangilerine karşı daha dikkatli olmamız gerektiğini anlayabiliriz. Aslında “tehdit” dediğimiz şeyin büyüğünün veya küçüğünün, önemlisinin veya önemsizinin olmaması gerekir ama ne yazık ki mükemmel bir dünyada yaşamıyoruz. Mükemmel bir dünyada yaşamadığımız için de %100 güvenliği sağlamak için yeterli kaynaklarımız yok. Dolayısıyla elimizdeki imkânlara göre bir öncelik sırası belirleyip buna göre hareket etmemiz gerekiyor. Riskleri belirleme konusu firmaya göre değişiklik gösterdiği için bu konuda bir matris veya formül vermek doğru olmaz ancak ertesi günün gazetesinde görmek istemeyeceğiniz, kendi ellerinizle rakibe göndermeyeceğiniz ve hemen şu anda silmeyi göze alamayacağınız verileri korumakta fayda var.

Bu matriste sistemleri, çalışanları, tedarikçileri ve bunun gibi güvenliği etkileyen her unsuru değerlendirmekte fayda var. Sonuç olarak olasılığı ve etkisi en yüksek tehditlere karşı hemen önlem anlamakta fayda var. Alınabilecek önlemler kritik bilgilere erişimi olan çalışanların eğitilmesinden yeni güvenlik sistemi yatırımlarına; fiziksel güvenliğin güçlendirilmesinden atık kâğıt politikasının gözden geçirilmesine kadar çok geniş bir yelpaze oluşturmaktadır.
Yukarıdaki matris iki soru soruyor ve hassasiyeti bunlara verilen cevaplara göre sıralıyor;
Tehdidin gerçekleşme olasılığı nedir? Ve bu tehdit gerçekleşirse ne kadar zarar verir?
Daha önce verdiğimiz USB bellek örneğini ele alırsak bu tür bir sızma durumunun gerçekleşme olasılığı nedir? “İşyerinize ziyaret/iş görüşmesi bahanesiyle girip bir USB bellek bırakmayı göze alabilecek kimse var mı?” gibi basit soruların cevapları bize bu konuda ipucu sağlayacaktır.

İkinci aşamada ise bu tehdidin gerçek olması halinde neler kaybedeceğinizi değerlendirmek gerek. Veya online satış yapan bir işletme sanal mağazanın veri tabanını içeride de kullanıyorsa içeride kullanılan sisteme dışarıdan birinin ulaşması ne gibi sonuçlar doğurur? Bu sonuçlar yeni güvenlik yatırımlarını, örneğin bir DMZ (bkz. Demilitarized Zone) kurulmasını, haklı çıkarır mı?

Güvenlik yatırımlarında geri dönüşün hesaplanması
ROI (Return On Investment) veya daha basit bir deyimle “paramı ne kadar zamanda kurtarırım?” sorusu çoğu yöneticinin aklının bir köşesinde vardır. Güvenlik konusunda ceplerinden çıkacak paralar da ne yazık ki aynı süzgeçten geçer. Tam bu noktada bilgi güvenliğinin “uzun ince yolu” karşımıza çıkıyor. Aşağıdaki şekilde yeşil olan kutular bilgi güvenliğinin yolunu çizmektedir. Bu kutulardan yürürseniz başarıya ulaşma ihtimaliniz vardır.

Yürünecek yol (Şekil 3-A)

Her hangi bir güvenlik yatırımında temel olarak 3 taraf vardır; Teknik, Finans ve Yönetim. Bunların her biri ayrı birimler olabileceği gibi KOBİ ölçeğinde Finans ve Yönetim genellikle tek noktada toplanmıştır. Tabloyu özetlersek; güvenlik konusunda bilgisi olan Teknik Birim ne yazık ki olayın Finansal ve Yönetimsel boyutlarını göremez ve/veya bu konuda söz hakkına sahip değildir. Benzer şekilde Finans Birimi işin teknik boyutuna uzaktır. Görüldüğü üzere konuya dahil üç taraf da sadece kendi konuları hakkında bilgi sahibidir. Dolayısıyla bir güvenlik yatırımın yapılabilmesi için üç aşamanın da onayı alınmalıdır. Teknik birimin talebini ve özellikle talebin nedenini açıkça ve diğer birimler tarafından da anlaşılabilecek şekilde dile getirmesi çok önemlidir. Toplantıları seven şirketlerde bunun için bir çalışma grubu kurulabileceği gibi daha verimli çalışmayı tercih eden firmalarda konu Teknik Birimin risk analizi matrisini ve sonuçlarını paylaşması ile kolayca çözülebilecektir.

Geri dönüş ise sızabilecek/kaybolabilecek bilgilerin değeri ile kolayca hesaplanabilir ama genel görüşüm konunun doğru anlatılmasının finansal çekinceleri ortadan kaldıracağıdır.

Güvenlik politikası:
Görüldüğü üzere gerek güvenlik zafiyetlerinin sonuçlarından gerekse güvenlik kararlarının alınma sürecinden dolayı bilgi güvenliği gerçekten hepimizin işi. Gerekli analizler yapıldıktan sonra ortaya çıkan sonuçlara göre bir güvenlik politikası belirlenmelidir.
Bu politikayı oluşturacak kuralları güvenlik konusuna genel yaklaşım belirleyecektir. Yaklaşım paranoyaklıkla tamamen boş vermişlik arasında bir skala üzerinde bir yere oturacaktır.

Skala (Şekil 3-A)

Yaptığımız iş veya sahip olduğumuz verilerin hassasiyeti ise düşmanlarımızı belirleyecektir. Filmlerde görmeye alıştığımız siyah ekran üzerine yeşil karakterlerle kod yazan dahi bir “hacker” mı var karşımızda?

Dahi hacker – Temsili (Şekil 3-B)

Yoksa 13-14 yaşında meraklı bir İsveçli çocuk mu? Yoksa tükenmez kaleminin içerisindeki USB bellekle bizden bilgi çalan bir çalışan mı?

Tanıştırayım: Düşman 2.0 (Şekil 3-C)

Kevin Mitnick’in dediği gibi “Güvenlik süregelen bir kedi-fare oyunudur”, güvenlik politikasını oluşturmak ve güncel tutmak, çalışanları akıllarına gelmeyecek tehditlere karşı uyarmak, her an tehdit altında olduğumuzu anlamak ve anlatmak bize bu oyunda az da olsa avantaj sağlayacaktır.