Zafer Yılmaz

Bilgi Güvenliği sektöründe son zamanlarda artan bir trend olarak karşımıza çıkan Identity Theft ve Data Breach, yani kimlik hırsızlığı ve veri ihlalleri ciddi bir sorun teşkil etmeye başladı. Son zamanlarda ülkemizde de sıklıkla duyduğumuz T.C. Kimlik Numaraları, Tapu Kadastro Kayıtları gibi çeşitli bilgilerinin çalınması; kurumlarda ciddi bir regulasyon eksiğinin ve sosyal mühendislik gibi kavramların tam oturmayaşından kaynaklıdır.

Identity Theft Resource Center’ın 2010 yılı için oluşturduğu veri ihlal kayıt PDF raporlarına bu adresten ulaşabilirsiniz. Rapora göre şimdiye kadar 435 farklı ihlalden etkilenen farklı kayıt sayısının 13 milyon olduğu düşünülüyor.

Sağlık sektörü de üzerinde durulması gereken vertical market’lerden bir tanesi. Her ne kadar ülkemizde herhangi bir yaptırım söz konusu olmasa da, özellikle Amerika’da uygulanan HIPAA (Health Insurance Portability and Accountability Act ) kanunları bir takım yaptırımları da beraberinde getiriyor. Bu kanunlar kabaca, hastaların ya da sağlık sigortası olan her kişi kayıtlarının gizliliğini, güvenliğini ve olası elektronik data transferlerindeki bilgi korunumunu içeriyor. Bu tarz regulasyonlar özellikle dosya, uygulama ve database gibi ortamlarda saklanan veriler için geçerli kurallar bütünlüğünü oluşturuyor. Saklanan verilerin bütününü ele aldığımızda; sosyal sigorta numaralarınızdan, geçirdiğiniz tüm hastalıklar, raporlar, tahliller, adres ve telefon bilgilerinize kadar herhangi bir veri yeralabilir. Hayatımızın yavaş yavaş Internet’e geçtiği bu dönemde, bazı hastanelerin sağlık bilgilerini internet üzerinden paylaşması, akıllara bazı soru  işaretlerini de beraberinde getiriyor.

İşte bu noktada Amerikan Hükümetinin her ne kadar ciddi yaptırımları olsa da; 2010 yılı için açıklanan zafiyet raporlarında bankacılık sektörünü (39) 3 kat fazla fraud (119) ile geride bırakmaya başaran sağlık sektörü, ciddi bir emekleme dönemine girmiş gözüküyor.

Sağlık sektöründen örneklere gelince;

• Geçtiğimiz aylarda California eyaletinde gerçekleşen açıklıklar, 5 farklı hastanenin toplamda 675.000 dolar ceza ödemesine sebebiyet verdi
• Louisville Üniversite hastanesinin şifrelenmemiş web-sitesinden çalınan 700 hasta kaydı
• Yine California’da gerçekleşen Kaiser Permanente kurumunda çalışan bir kişinin arabasından çalınan depolama biriminde yer alan 15.000 hastanın kaydı, ciddi endişelere yol açtı
• Kentucky Üniversite hastanesinin kilitli ofisinden çalınan dizüstü bilgisayarda yer alan 2.027 kişinin bilgileri yine ciddi bir güvenlik açığına sebep oldu

Örnekleri çoğaltmak mümkün. Özellikle ülkemizde bir türlü uygulanamayan sağlık sektöründeki regulasyon açıklığı, benim fikrime göre hastanelerden çok sigorta şirketlerinin gerekli önlemleri almalarını gerektiriyor. Çünkü buradaki güç ve yaptırım sigorta şirketlerinden gelmesinin yanında,  genel yapıya ve şablona baktığımızda yine sigorta şirketlerinin hastalarla olan ilişkisi ön plana çıkıyor.

Genellikle bu tarz bültenleri paylaşmıyorum ancak özellikle son kullanıcıları bilgilendirme amaçlı olarak Microsoft’un güvenlik alanında neler yaptığına, ne gibi uğraşlar verdiğine değinmek gerekiyor.

Forefront TMG – Threat Management Gateway –

Microsoft’un Proxy, URL Filtering, Anti-virüs, VPN, Caching, SSL Inspection ve Instrusion Prevention gibi özellikler sunan genel bir güvenlik çözümü ürünü olan Forefront  ile ilk olarak geçen seneki IDC seminerine tanışmıştım. Etkinlik sırasında programın demo sürümünü edinmiştim ancak kurup deneme fırsatım olmamıştı. Eğer programı denemek, Forefront TMG 2010 son sürümünün demosuiçin bu adresi kullanabilirsiniz. Konuyla ilgili olarak Microsoft’un İstanbul ofisinde 3 Aralık tarihinde bir seminer düzenlenecek.

Microsoft Security Essentials

Microsoft’un güvenlik alanındaki bir başka yeniliği de ücretsiz olarak son kullanıcılar için sunulan Security Essentials antivirüs programıydı. Program özellikle ücretsiz olmasıyla birlikte Eylül’ün son haftası internet üzerinden sadece orjinal Windows işletim sistemi kullanan kullanıcılar için dağıtılmaya başlandı. Kısa bir süre için 1.5 milyon indirilmeye imza atan program, aynı süre içinde tam 4 milyon kötü niyetli uygulama tespit etti.

Microsoft tarafından açıklanan diğer bülten bilgilerine bu adresten ulaşabilirsiniz. Ayrıca Aralık ayında düzenlenmesi planan çeşitli etkinliklere yine Microsoft’un sitesinden gözatabilirsiniz.

Özellikle ülkemizdeki nadir olarak gerçekleşen verimli etkinliklerden şikayet ederken, IstSec bu şikayetlerimizi bir nevi bastırıyor. Her sene belirli dönemlerde gerçekleştirilen IstSec Güvenlik Konferanslarına bir yenisi dah ekleniyor. 12-13 Aralık’ta gerçekleştirilecek olan etkinliğe ilk defa katılacağım.

Nedir IstSec?

İstSec(İstanbul Bilgi Güvenliği Konferansı) bilgi güvenliği alanında çalışan, bu alana merak duyan ve konusunun uzmanları arasında bilgi paylaşımını yayma amaçlı bir etkinliktir.

Neler bulacağız bu etkinlikte?

Özellikle yurtdışındaki etkinliklerden görmeye aşina olduğumuz Capture the Flag yarışmaları, çeşitli ödül imkanlarıyla birlikte belki de rekabeti arttıracak. Ayrıca sadece özel sektör değil, devlet görevlilerinin ve hukuk danışmanlarının da katılacağı bir etkinlik olacak olan IstSec 2009, belki de 2009′un en verimli geçecek etkinliği gibi gözüküyor.

Ayrıntılı program bilgilerine bu adresten ulaşabilirsiniz. Konferans’ta görüşmek dileğiyle…