Bankacılık işlemleri, e-posta ve sosyal medya hesaplarımıza ait parolaların bilgi güvenliği açısından en mahrem bilgiler olduğunu dile getiren Bilgi Güvenliği danışmanı Ahmet Ceyhun, bu parolaların başka kişilerle paylaşılması hâlinde, hesap adına yapılan her işlemin sorumlusunun hesap sahibi olacağını vurguladı. Genç Çağlayan’a bilgi güvenlikleri konusunda değerlendirmelerde bulunan Ceyhun, şunları kaydetti:
Bilişim Güvenliği günümüzde oldukça popüler olan bir alan. Bizi bu alanda bilgilendirebilir misiniz?
Yaklaşık 15 senedir bilişim alanında bilgi güvenliği danışmanı olarak çalışıyorum. Ana hatlarıyla bilişim sektörü; bilgisayarların ve bilgisayar uygulamalarının tasarlanması, geliştirilmesi, kullanıma sunulması, yönetimi ve bakım hizmetlerinden oluşmaktadır.
Bilişim; içinde yazılım geliştirme, sistem yönetimi, veri yönetimi, proje yönetimi, iş/çözüm analizi, test ve kalite yönetimi, siber güvenlik, sun’î zekâ, veri analizi gibi meslek bölümlerini de barındıran geniş bir alandır.
Sektörün dünya genelinde istihdam kapasitesinin yüksek olduğu söylenebilir. Özellikle ABD ve Almanya, İngiltere, Hollanda gibi Avrupa ülkelerinde sektörün büyüklüğüyle birlikte insan kaynağı ihtiyacı da süreklilik arz ediyor.
Geniş bir alanı kapsayan mesleğinizin olumlu ve olumsuz yanlarından bahseder misiniz?
İstihdam kolaylığı, gelişime ve yeniliğe açık olması ve insanlık için hayırlı ve faydalı olabilecek işler yapma potansiyeli önemli olumlu taraflar olarak ifade edilebilir.
Sanal, daha az etkileşim içeren bir ortamda çalışmak ve az hareket etmek de öne çıkan olumsuz yönler.
Peki Bilişim sektörünü geleceğin meslekleri arasında görüyor musunuz?
Genel anlamda ve bütün alt alanları ile birlikte bilişim sektörünün gelecek vaat ettiğini görmek mümkündür. Ancak kısmen trendler değişiyor. Masaüstü, hatta dizüstü bilgisayarların yerini telefonlar ve mobil cihazlar alıyor. Dijitalleşme hayatın her alanında daha çok görünür durumda. Bunun uzun bir süre daha devam edeceği öngörülebilir. Öte yandan sun’î zekâ, veri analizi ve sağlık bilişimi daha popüler olacak gibi.
Bu mesleği düşünen gençler için önereceğiniz kitap, film, belgesel var mı?
Film, belgesel ve kitap gibi kaynaklar sübjektif de olsa bir mesleği tanımada ya da bir mesleğe yönelmede çok etkili unsurlar. Kendimden bir örnek vereyim. Gerçek bir hikâyeden sinemaya uyarlanan Patch Adams filmini seyrettiğimde üniversiteye devam ediyordum. Film sıra dışı bir doktorun hikâyesini anlatıyordu. Bu filmi seyrettikten sonra, “Eğer lisede okurken bunu izlemiş olsaydım kesinlikle doktor olmaya karar verirdim.” dediğimi hatırlıyorum. Bilgi güvenliği alanıyla doğrudan ilgili olmasa bile bilişimle, özellikle güncel bir konu olan sun’î zekâ ile ilgili birkaç filmi tavsiye edilebilirim. Matrix serisi ve Ex Machina bu anlamda ilk aklıma gelen filmler.
Biraz da güvenlik sorunlarına değinmek istiyorum. Özellikle sosyal medya olmak üzere hesaplarımızın parolaları noktasında çok hassas davranmıyor, parolaları başkaları ile paylaşabiliyoruz. Bu paylaşımlar ne gibi sıkıntılar doğurabilir?
Parolalar, bilgi güvenliği açısından en mahrem bilgilerdir. Bilgi sistemlerinde, veri tabanlarında bile şifrelenerek kimsenin anlayamayacağı ya da çözemeyeceği şekilde saklanan bu en mahrem bilginizi biriyle paylaşmadan önce düşünmenizi tavsiye ederim.
Hukukî anlamda parolanızı paylaştığınız bir sistemde yapılan her işlem, iletilen her mesaj size ait olarak değerlendirilecek ve karşılık görecektir. Bu işlemlerden kaynaklanan bir usulsüzlükte ya da en genel anlamda problemde, siz yapmışsınız gibi değerlendirilirsiniz. İşlemin sizin tarafınızdan gerçekleştirilmediğini ispat etmek de size kalacaktır. Zira bütün şirketler, çoğu zaman okumadan onayladığımız kullanım ve gizlilik politikalarında, üstlerine düşen sorumluluğu yerine getirerek sizi parolanızı paylaşmamanız için açıkça uyarırlar. Siz bu uyarıya rağmen parolanızı paylaşıyorsanız hukuken sonuçlarını da dikkate almışsınız diye kabul edilir. Paylaşım sonrasında parolayı değiştirmek kısmî bir çözümdür. Parolayı değiştireceğiniz ana kadar geçen zaman, sizin açınızdan riskli bir süredir.
Son zamanlarda medyada sanal dolandırıcılık haberleri görmeye başladık. Bu konuda nelere dikkat etmeliyiz?
Çok güzel bir soru, ama aynı zamanda çok geniş kapsamlı bir soru. Bu yüzden sadece temel birkaç öneriye dikkat çekerek cevaplamaya çalışayım:
Kişisel bilgisayar ve diğer mobil cihazlara açılışta parola koymalıyız. Cihazlarda gerekmeyen ve riske yol açabilecek hizmetleri kullanmamaya dikkat etmeliyiz. Mesela “bluetooth” ve konum hizmeti gerekli değilse kapalı tutulmalıdır. Cihazlarda kullanılan işletim sistemini güncel tutmalı, kişisel güvenlik duvarı (firewall), güncel anti virüs ve zararlı yazılımları önleyen uygulamaların da çalışıyor olduğundan emin olmalıyız. Kişisel verilerin, önemli iş ve eğitim dosyalarının, resim ve video dosyalarının korunması için mutlaka yedeklenmesi gerekir. Telefonda veya çevrimiçi platformlarda yaptığımız görüşmelerde, parolalar ve diğer hesap bilgilerini kimseyle paylaşmamaya özellikle dikkat etmeliyiz. Sosyal medyada şahsî bilgiler ve resimler, suiistimali önlemek için herkesle paylaşılmamalıdır. Çevrimiçi alışveriş yaparken bilindik internet siteleri kullanılmalıdır. Ödeme işlemleri gerçekleştirilirken yine güvenilirliği herkes tarafından bilinen ödeme yöntemlerinin tercih edilmesi daha isabetli olacaktır. Uygulamalara gerekli olmayan yetkiler verilmemelidir. Mesela bir oyun uygulamasının, sizin hesap bilgilerinize, rehberinizdeki kayıtlara, konum bilginize niçin ihtiyacı olsun ki? Bu hususlar düşünülerek uygulamalar indirilmeli ve kullanılmalıdır.
Sizin de değindiğiniz gibi internet sitelerini açtığımızda bazı çerezlerin kabul edilmesi gerekiyor, uygulamaları indirdiğimizde birçok şahsî dosyaya erişim hakkı istiyor. Bu izinler tehlikeli mi?
Bu da güncel, önemli ve çoğu zaman dolaylı olarak suiistimal edilen bir mesele. Zira talep edilen bilgilerin çoğu sitelerin/uygulamaların işlerini görmek için ihtiyaç duydukları ya da yasal anlamda edinmek zorunda oldukları bilgiler değil, aksine bu bilgilerden şirketler ticari menfaat elde ediyorlar. Bu açıdan eğer o siteyi kullanımınız veya o uygulamayı indirmeniz şart değilse kullanmamanızı öneririm. Bununla birlikte kanunî mecburiyet gereği, site ve uygulamalar bu ticarî izinler için sizden açık onayınızı talep ederler. Şunu unutmamalıyız: Hizmet için gerekli olan ya da yasa gereği tutulması gereken bilgiler dışındaki bilgilerinizi bu sistemlere vermek zorunda değilsiniz. Onay aşamasında bu ticarî amaçlı talepleri liste dışı bırakarak reddedebilirsiniz. En azından neye onay verdiğinizi muhakkak okumanızı tavsiye ederim. Son olarak bu bilgileri sizden alan şirketler, kanunlar gereği her halükârda bilgilerinizin ve mahremiyetinizin korunmasını sağlamak zorundadır. Bu yükümlülüğü az da olsa kayda değer bir güvence olarak not etmek mümkündür.
Bu kapsamda dolandırıldıysak haklarımız var mıdır yoksa izin veren biz olduğumuz için bir hakkımız yok mudur?
Bu soru için de özellikle teşekkür ediyorum. Kullandığımız sistem ve uygulamaya göre değişse de müşteri olarak önemli haklarımızın olduğunu unutmamak lazım.
Özellikle kendi cihazlarımızın temel güvenlik kriterleri açısından iyi durumda olduğunu düşünüyorsak (ki bu bizim sorumluluğumuz) şirkete karşı her türlü hakkımızı rahatlıkla savunabiliriz. Ancak parolamızı birisiyle paylaşmışsak hiçbir şirkete karşı bu bir hak iddia edemeyiz.
Bir dolandırıcılığa maruz kaldıysanız, vakit kaybetmeden şirketle hızlı bir şekilde temasa geçerek şikâyetinizi bildirmenizi öneririm. Bu iletişim, maruz kaldığınız sorunu tamamen önleyebileceği gibi, en azından durumun tespit edilmesine ve zararınızın azaltılmasına imkân sağlayacaktır. Bazen şirketlerin bu kapsamdaki sigortaları bütün kaybınızı karşılayabilir ya da yapılan sahte işlem iptal edilerek problem tamamen giderilebilir.
Yine tekrar edeyim, şirketlerin bu konudaki geri dönüşleri, siz sorumluluğunuz altındaki tedbirleri almışsanız, çoğu zaman sizin adınıza olumlu sonuçlanacaktır. Tedbirleriniz yeterli değilse, beklediğiniz sonucu alamayabilirsiniz.
Son olarak herkesin ortak problemlerinden olan bir konuyu sormak istiyorum. Teknoloji çağında olduğumuz için herkesin çokça sosyal medya veya farklı uygulamalara ait hesapları var. Bu hesaplara ait parolalar unutuluyor veya kaybediliyor. Bu durum için neler önerirsiniz?
Bahsettiğiniz konu hepimiz için bir problem ve zaman zaman herkes gibi benim de parolalarımı unuttuğum oluyor. Birçok çözüm alternatifinden bahsedilebilir. Şahsi kanaatimce en makul olanı “Single Sign-on” (SSO) (tek kişilik oturum açma) diye bilinen yöntem. SSO, tek kullanıcı kimliği ve parola kullanarak birçok uygulamaya giriş yapmak şeklinde ifade edilebilir. Google, Apple, Microsoft gibi sistemlerdeki hesaplarınızı kullanarak birçok sisteme SSO ile erişebilirsiniz. Bu sayede yönetmeniz gereken sadece tek hesabınız olmuş olur. Öte yandan piyasada çokça bulunan güvenli kimlik/parola yönetimi araçları da kullanılabilir.