Bilgi Güvenliği Derneği ve Siber Güvenlik

Bugün yaklaşık 5 milyarı insan 5 milyarı da cihaz, 10 milyar olan internete bağlanabilen nesne sayısının 2020 yılında 50 milyara ulaşacağı tahmin edilmektedir. Bağlantılı (connected) olarak nitelendirilen tüm bu nesneler bir yandan veri üretirken bir yandan da bu verileri paylaşarak olağan üstü bir trafik oluşturmaktadırlar. İnternet ile başlayan ve olağan üstü hızla genişleyen “Siber Evren”de üretilen, saklanan ve iletilen bu verilerin büyüklüğü 2005 yılında 130 Exabyte (milyar Gigabyte), 2010 yılında 1.227 Ebyte iken; 2015 yılında 8.590, 2020 yılında ise 40.000 Ebyte değerine ulaşması beklenmektedir.

Siber evreni oluşturan bu veriler, Veri Merkezi (VM) olarak adlandırılan yapılarda saklanmakta ve işlenmektedir. Yakın zamana kadar kurumların Bilgi işlem birimlerinde sunucu ve disk ünitelerinin barındırıldığı bir odadan ibaret olan bu yapılar, artık çok yüksek standartlı fiziksel ve teknolojik altyapılar haline gelmişlerdir.

Uluslararası standartlarda güvenli ve güvenilir bir veri merkezi için temel gerekler şunlardır;

  1. Yüksek fiziksel güvenlik,

  2. Yedekli altyapı bileşenleri, ısıtma/soğutma ve enerji sistemleri,

  3. Yüksek kapasiteli ve farklı noktalara bağlı yedekli iletim (transmisyon) hatları,

  4. Risk yönetimine dayalı bilgi güvenliği sistemi,

  5. Yüksek iş sürekliliği (%99,9 üzerinde kullanılabilirlik oranı)

Bu gerekler Telecommunications Industry Association (TIA) tarafından oluşturulan bir standart olan “TIA-942 Telecommunications Infrastructure Standars for Data Center” standardına göre 4 seviyeli (Tier 1 – Tier 4) olarak sertifikalandırılmaktadır. Bu standarda göre kullanılabilirlik oranı Tier-1 bir VM’de %99,671 iken Tier-2’de %99,741, Tier-3’de %99.982, Tier-4’de ise %99,995 olmaktadır.

Ülkemizde Tier-3 seviyesinde bir kaç VM olmasına rağmen Tier-4 seviyesinde bir VM’in varlığı bilinmemektedir. Güvenlik ve güvenilirlik açısından iyi bir VM’in en az Tier-3 seviyesinde, devlete ait çok kritik verilerin barındırıldığı bir VM ise Tier-4 seviyesinde olması gereklidir.

ABD’li Facebook tarafından kurulmakta olan VM’nin büyüklüğü 28.520 m2, CITI tarafından Almanya’da kurulan ve 2008 yılından beri hizmet vermekte olan VM’nin büyüklüğü 21.180 m2 iken halen tüm Türkiye toplam 30.000 m2 civarında bir Veri Merkezi varlığına sahiptir. Ancak son bir kaç yıl içinde ülkemizde bu alanda hızlı bir gelişme söz konusudur. Geçen yıl %60’lık tesis büyümesi ile dünyada 1. olan ülkemiz, bu alandaki yatırımların artış oranında dünya ikincisi, yapılan 1.8 milyar $’lık yatırımla da dünya 14. olmuştur.

Bilgi Çağı olarak da adlandırılan günümüzde siber evren; pek çok yeni imkan ve fırsat yanında “Siber Güvenlik” olarak adlandırılan çok sayıda tehdit ve tehlikeyi de bünyesinde barındırmaktadır. Siber evrenin çekirdeğini oluşturarak Veri Merkezleri, siber güvenliğin de ana unsurlarının başında gelmektedir. Dolayısıyla VM ve Bilgi Güvenliği birbirinden ayrı düşünülemez çok önemli olgulardır.

Bireysel, Kurumsal ve Ulusal güvenliğin en önemli unsurlarından biri haline gelen Siber güvenliğin sağlanmasında her düzeyde farkındalığın oluşturulması, bilgi ve bilinç düzeyinin arttırılmasını kendisine misyon edinmiş olan Bilgi Güvenliği Derneği (BGD); Ulaştırma Denizcilik ve Haberleşme Bakanlığı, Bilgi ve İletişim Teknolojileri Kurumu ve Barolar Birliği’nin destekleri ile 150’ye yakın kurum ve şirketi temsilen 300 civarında kişinin katılımı ile 26. Mart 2013 tarihinde “Veri Merkezleri ve Bilgi Güvenliği” konulu bir konferans düzenlemiştir.

Konferansta, veri merkezleri ve bilgi güvenliği’ne ilişkin mevcut durum analizi, eğilimler ve düzenleme ihtiyaçları ile teknolojik gelişmeler ve bilgi güvenliğinin sağlanması ana konuları tartışılmıştır. Katılımcıların “Veri Merkezleri ve Bilgi Güvenliği”ne ilişkin görüşlerini almak üzere bir de anket düzenlenmiştir.

Konferansta konuşmacılarca altı çizilen ortak konulardan bazıları şunlardır:

  • Her kurum ve kuruluşun kendi özel VM’ini kurması önemli ölçüde kaynak israfına, güvenlik risklerine ve veri paylaşımında zorluklara neden olmaktadır.

  • Gelişmiş ülkelerde VM’leri konsolide edilerek sayılarını azaltılıp kapasite ve standartlarını yükseltme yönünde bir eğilim vardır. Bulut bilişim hızla gelişip yaygınlaşmaktadır.

  • VM konsolidasyonu ve bazı hizmetlerin bulut bilişim yapılarından servis olarak alınması ülkemiz için de kaçınılmazdır. Ancak bunun için kanuni düzenlemlere ve uygun regülasyonlara ihtiyaç vardır.

  • Ülkemizdeki VM’lerinin çoğu düşük kapasite ve standartta olup bu durum güvenlik ve güvenilirlik zaafiyeti ve risklerinin oluşmasına neden olmaktadır.

  • Mevcut kamu istihdam politikası ve kamu alım prosedürleri nedeniyle kamuda yüksek kaliteli VM kurmak ve onları yüksek standartlarda işletmek çok zordur.

  • Bilgi güvenliği sonradan temin edilemez, sistemlerin tasarlanıp kurulumu sırasında oluşturulmalı ve risk yönetimi mantığıyla yönetilmelidir.

  • Siber dünyada güvenlik açısından en zayıf halka insandır. Bağlantılı durumdaki herkesin bu konuda bilgilendirilmesi ve risk ve tehditlere karşı farkındalığının arttırılması zorunludur.

Konferans bünyesinde ayrıca değişik kurum ve şirketlerden yaklaşık 60 kişinin katılımı ile “Ulusal Veri Merkezleri Strateji Belgesi” dokümanı hazırlamak amacıyla bir çalıştay gerçekleştirilmiştir. Konferans sunumları, anket sonuçları ve çalıştay çıktıları bir araya getirilerek oluşturulacak bu doküman, ilgili kurumlara sunulup kamuoyu ile de paylaşılacaktır.

Ahmet Hamdi ATALAY

Bilgi Güvenliği Derneği , YK Başkanı

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir