|
Ağu 13
|
Günümüzde bireyler, kuruluşlar ve devletler için “Bilgi” kavramı maddi ve somut varlıklardan daha önemli bir varlık haline gelmiş bulunmaktadır. Artık her türlü iş ve işlemin elektronik ortamda gerçekleştiği göz önüne alındığında ve kişisel bilgilerimiz dahil, özellikle şirketlerin maddi varlıklara dönüşecek ticari sır niteliğindeki bilgileri, stratejik planlar, fikri ve sınai mülkiyete dayalı bilgileri, müşteri, personel bilgileri, iç işleyişe yönelik politikaları bilişim sistemlerinde yer almakta ve elektronik ortamlarda işlenmektedir.
Unutulmamalıdır ki; güvenliği sağlanmamış bilişim sistemleri, siber saldırılar ve bilişim suçluları için en uygun ortamı oluşturmaktadır.
Güvenliği sağlanmış sistemlerde dahi, her geçen gün malware yazılımlarla güvenlik duvarlarının açıkları aranmakta ve zayıflıkları tespit edilmeye çalışılmaktadır. Günümüzde bilgiye sızma veya ele geçirme çeşitleri ve saldırıları oldukça artmış olup siber terörizm, güvenlik duvarlarının dışında, bilgiye saldırmak için adeta ufak bir delik aramaktadır diyebiliriz. Bu eylemler karşısında ise bilginin korunması, Bilgi Güvenliği (İnformation Security) adıyla anılan tamamen ayrı bir disiplinin oluşmasına neden olmuştur.
Saldırı ve casusluklardan korunmak için “Bilgi”nin; yazılım-donanım ve fiziki yönlerden güvenliğini sağlamak, şirketlerin hem kendi menfaat ve itibarlarına katkı yapacak, hem de belirli yasa ve standartlara uyumu sağlayacaktır. Tabidir ki, bilgi her ne kadar maksimum düzeyde dahi korunsa, mutlak güvenliğinin sağlanması mümkün olamayacaktır.
Bilgi kaçağına yol açacak ve özellikle dikkat edilmesi gereken diğer bir alan ise, bizzat insan unsuru yani personel, tedarikçiler ve şirkete gelen ziyaretçilerdir.
Bilginin; ihmalen, kusur kapsamında ya da kasıtlı olarak, bilgi sahibinin rızası hilafına kötüniyetle veya şirket içi ya da dışı casusluk faaliyetleri dahilinde, üçüncü kişilerle/rakiplerle paylaşılması söz konusu olabilir.
Casusluk ve muhtelif espiyonaj faaliyetleri bakımından bilgiyi korumak için neler yapılabilir ?
Öncelikle personelin ihmal suretiyle veya kusurlu olarak bir güvenlik ihlalinde bulunmasının önlemesi için, şirketlerin bir takım planları kurgulayıp uygulamaya geçirmesi ve tüm çalışanlar için (personel,tedarikçiler, grup şirket çalışanları vs.) bilgi güvenliği ve gizlilik bakımlarından bilinç oluşturması önemlidir.
Bu bilincin sağlanması ve sistemli bir yol haritası için öncelikle;
1. Bilgi güvenliği ve gizlilik konusunda politikalar oluşturulmalıdır.
2. Bilgi güvenliğine yönelik politika ihlalleri halinde, ihmal veya kusurun derecesine göre kademelendirilmiş yaptırımlar belirlenmelidir.
3. Yaptırımları da içeren bu politikalar, uygun bir şekilde tüm personele duyurulmalıdır.
4. Personele, çözüm ortaklarına, tedarikçilere periyodik olarak şirket içi eğitimler verilmeli ve yeni başlayan personel için hazırlanacak oryantasyon programlarında, mutlaka bilgi güvenliği ve gizlilik eğitimlerine yer verilerek, personelin bu eğitimleri aldığı da belgelenmelidir.
5. Şirket içerisinde bilgi güvenliği farkındalığı, çeşitli uygulama ve anketlerle sürekli ölçülmelidir.
6. Bilgi varlıkları önem ve gizlilik açısından sınıflandırılarak, bilginin şirket içinde veya dışında bu sınıflandırmaya uygun olarak kullanılması sağlanmalıdır. Örneğin G-5 kodu herkese açık bir bilgiyi ifade edebilirken, G-1 kodu altında çok gizli bir bilginin yer aldığı ve sadece belirli kişilerin ulaşabileceği bir bilgi olduğu, G-3 kodlu bir belgenin şirket dışına çıkarılamayacağı ve tüm personele açık olduğu anlaşılmaldır.
7. Yukarıdaki şekilde sınıflandırılmış gizlilik kodları, şirketin yazılı, basılı ve elektronik ortamdaki tüm materyallerinde adeta bir mühür gibi yer almalı ve tüm ilgililere belletilmelidir.
8. İşe yeni başlayacak olan personel adaylarının geçmişleri iyi incelenmeli ve ilgili personel hakkında yeterli güven oluşmalıdır.
9. Şirket sistemine dışarıdan erişim mevcutsa, bu şekilde çalışacak personel için kriptolu uzaktan erişim uygulamalarının sağlanması (vasco-digipass) ve bu erişimlerin de kayıtlarının loglanması önemlidir. Ayrıca hangi programlara, kimlerin ve hangi kademelerde (okuma, değiştirme, paylaşma vb.) erişmesi gerektiği de belirlenmelidir.
10. Bu aksiyonlar iç ve dış denetçilere periyodik olarak denetlettirilerek eksiklikler saptanmalı ve uyum süreci takip edilmelidir.
Yukarıdaki liste, şirketin büyüklüğüne sektörün hassaslığına, şirketin imtiyazlı olup olmamasına göre çoğaltılabilecektir. Bilgi güvenliği ve gizlilik kontrolünün sağlanmasında, yukarıda belirttiğimiz donanım-yazılım ve fiziki güvenlik uygulamalarının önemi ortadadır.
Fiziki güvenlik yönünden kameralar, biyometrik veya elektronik geçiş sistemleri ve diğer uygun fiziki yapılanmalar, bilgi hırsızlığı ve casusluk faaliyetlerini asgari düzeye düşereceği gibi (caydırıcılık) bir bilgi kaçağının olması halinde de, bunu yapanların tespit edilmesini kolaylaştıracağından, bu yöndeki yararları yadsınamayacaktır.
Genelde kötü niyetli olarak, bilgiyi ele geçirmeye yönelik casusluk faaliyetlerinin engellenmesi, şirketler için göz önüne alınması gereken ciddi bir husustur. Özellikle büyük ya da küçük ölçekli şirketlerde “nasıl olsa bizim kuruluşumuzda casusluk gibi faaliyetler olmaz” şeklindeki bir anlayışın terkedilmesi, korumayı başlatmak için atılacak ilk adımdır.
Bazı casusluk eylemlerinin altında, zorlamaya maruz kalmış, haksızlığa uğratıldığını düşünen, işletmeye küsen kişilerin intikam duygusuyla hareket ederek, casusluk ve bilgi hırsızlığı faaliyetinde bulundukları, uygulamada rastlanan vakalardandır. [Örnek, Rusya’da 2002 yılında, petrol ve gaz şirketi olan Gazprom’un küstürülen bir çalışan, Gazprom’un bilgisayar sistemlerini kontrol altına almak üzere bir hacker grubuna katılmıştır (Quinn, 2002 Cracks in the system. Time Europe ).] Tabiki bu konuda işletmelerin alacağı çok da fazla bir önlem olmadığını belirtmek gerekir. Zira, çoğu insan (makul sınırların dışında) öznel düşüncelerle hareket edebildiğinden, hangi durumun çalışana haksızlık olarak değerlendirileceği de cevaplanamayacak bir soru olarak kalmaktadır.
Şirkete çeşitli kanallardan sızan ajanlar da olabilir. Bu nedenle bilgileri korumakla yükümlü olanların, tedarikçiler veya işletmeye temizlik, teknik, güvenlik vb.destek veren üçüncü parti çalışanları konusunda hassas davranmaları ve özellikle bu çeşit hizmet sağlayan şirketlerin, rakiplerle veya rakiplere yakın şirketlere hizmet vermediğinin araştırılması yerinde olacaktır. Bu nedenle destek hizmetleri sağlayan şirketler seçilirken, ayrıntılı olarak bu şirketlerin ortaklık yapıları ve referanslarının incelenmesi tavsiye edilir.
Yukarıda belirttiğimiz casusluk faaliyetlerinin engellenebilmesi amacıyla, fiziksel güvenlik önlemlerinin içerisinde yer alacak ve önemsiz gibi görünen, aslında ciddiyet arz eden bir kaç noktaya da değinilmesi yararlı olacaktır.
-Örneğin; yazıcıların ve evrakın tutulduğu alanlara, kağıt imha makinaları yerleştirilerek, açıkta yazılı bilgi bırakılmaması, makul bir maliyet ile sağlanabilir.
-Özellikle üst düzey yöneticilerin ofislerinde, toplantı odalarında periyodik olarak, böcek ve gizli kamera taraması yapılarak, herhangi bir casusluk faaliyeti olup olmadığı belirlenebilir.
Hukusal Yönden Durum Değerlendirmesi
Bilgi güvenliğinin ihlali hem ceza hukukunu hem de maddi hukuku ilgilendirmektedir. Bu konuda en temel düzenlemeler, Türk Ceza Kanununda yer almaktadır.
Eğer casusluk, kişiler arasındaki haberleşmeyi ihlal edecek şekilde yapılmış ise, TCK 132.maddeye göre fail hakkında 1 yıldan 3 yıla kadar hapis cezası verilebilecektir. TCK 133’e göre de, kişiler arasındaki açık olmayan gizli konuşmaları, taraflardan herhangi birinin rızası olmaksızın (örneğin gizli ses kayıt cihazları marifetiyle) bir aletle dinleyen veya bunları bir ses alma cihazı ile kaydeden kişi, 2 aydan 6 aya kadar hapis cezası ile cezalandırılacaktır.
Şirket içi casusluk faaliyetleri sonucunda şirkete ait bilgiler, formüller, sınai veya fikri haklar, müşteri portföyü vb. üçüncü kişilerin eline geçebilecektir. Burada şirket içi casusluk, tam olarak TCK’nın 239.maddesinde karşılığını bulmaktadır. Buna göre; sıfat veya görevi, meslek veya sanatı gereği vakıf olduğu ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgeleri, yetkisiz kişilere veren veya ifşa eden kişi, şikayet üzerine, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılabilecektir. Bu bilgi veya belgelerin, hukuka aykırı yolla elde eden kişiler tarafından yetkisiz kişilere verilmesi veya ifşa edilmesi halinde ise yine aynı cezaya hükmolunabilecektir.
Yukarıda bahsedilen suç, bilişim suçları kapsamında düzenlenmemiş olmasına rağmen, casusluk bilişim yoluyla da rahatlıkla işlenebilecektir. Fıkrada sayılan bilgileri, bilişim alanına yetkisiz şekilde girerek ve bilişim alanında kalmaya devam ederek sızdıran kimseler hakkında, somut olayın özelliğine göre uygun bir ceza uygulanabilecektir.
TCK’nın bilişim suçlarını düzenleyen 243-246. Maddeleri bilişim suçlarının işleniş şekilleri ve etki ettikleri yerlere göre çeşitli yaptırımlar öngörmekle birlikte şahsi kanaatim, işlenmesi halinde milyonlarca lira zarara yol açacak ve telafisi belki de çok güç olacak bu suçlar için getirilmiş yaptırımların, yetersiz ve caydırıcılıktan uzak kaldığıdır.
Ayrıca belirtmek gerekir ki; casusluk faaliyeti, TCK’nın 244.maddesinin ikinci fıkrası kapsamında da değerlendirilebilir. Zira fıkra metninde, “sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi,” den kısaca, dışarı sızdırma eyleminden bahsedilmektedir.
Bilgi güvenliği ve bilişim alanında TCK dışında düzenlenmiş cezai maddelere, 5070 Sayılı Elektronik İmza kanununda da yer verilmiştir. Anılan yasa elektronik ortamda, güveni ve inkar edilemezliği sağlamaya yönelik olarak getirilmiş ve ıslak imza ile aynı sonucu doğuran düzenlemelere yer vermektedir. Elbetteki yasa ile sağlanan bu güvenin suistimal edilmesi belirli yaptırımlara bağlanmıştır. Yasanın 16.maddesinde; Elektronik imza oluşturma amacı ile ilgili kişinin rızası dışında; imza oluşturma verisi veya imza oluşturma aracını elde eden, veren, kopyalayan ve bu araçları yeniden oluşturanlar ile izinsiz elde edilen imza oluşturma araçlarını kullanarak, izinsiz elektronik imza oluşturanlar hakkında bir yıldan üç yıla kadar hapis cezası ve ayrıca para cezasına hükmedilebilecektir.
Aynı Yasanın 17.maddesinde de elektronik sertifikalarda yapılacak sahteciliklerle ilgili yaptırımlar belirlenmiştir. Tamamen veya kısmen sahte elektronik sertifika oluşturanlar veya geçerli olarak oluşturulan elektronik sertifikaları taklit veya tahrif edenler ile, bu elektronik sertifikaları bilerek kullananlar, iki yıldan beş yıla kadar hapis ve yüz günden az olmamak üzere adli para cezasıyla cezalandırılacaklardır.
Ayrıca özel bir ceza düzenlemesi olarak Türk Ticaret Kanunu (TTK) uyarınca, ticari bilgiler rekabete aykırı şekilde elde edilmiş olacağı için, bu bilgileri elde eden kişi TTK’nın 57/7, 57/8 ve 64. maddeleri uyarınca 1 aydan 1 yıla kadar hapis cezasıyla karşılaşabilecektir.
Yukarıda kısaca bahsetmeye çalıştığımız cezai hükümler dışında, hukuksal açıdan yapılmış düzenlemelere de kısaca değinmek gerekir. Suçtan zarar gören kişiler, TTK’nın Haksız Rekabet Başlıklı 56 ve 57.maddeleri ile Borçlar Kanunu ve Medeni Kanun gereğince, yani genel hükümler doğrultusunda maddi ve manevi giderim davaları açabileceklerdir.
Bu suçlardan zarar gören şirketler, bazen yasal başvuru yollarını, kamuoyunda yarattıkları güveni sarsmamak adına tüketmemektedirler. Ancak suçtan zarar gören şirketlerin, suç duyuruları yapmaları ve hukuk davaları açmaları tavsiye edilir. Zira bilişim suçluları ve casuslar, ancak adli mercilerce verilecek yaptırımlar arttıkça ve bu doğrultuda yargısal içtihat ve emsaller çoğaldıkça, suçtan caymaya başlayabileceklerdir.
Ayrıca suç ve zarar oluşmadan, yukarıda bahsedilen önlemlerin alınması, casusluğun oluşmadan engellenmesi de şirketlerin bu konuya verdikleri önemle paralel olacaktır.
http://www.turk.internet.com/portal/yazigoster.php?yaziid=27797







Son Yorumlar