İnsanın doğasında olan en büyük zaaflardan biri kuşkusuz çevresindekilere güven duyma ihtiyacıdır.

Bu zaaf özellikle bizim gibi yaşayan yani, aile bağları ve komşuluk ilişkileri gibi sosyal yönleri yüksek olan toplumlarda çok daha fazla kendini gösterir.

Böyle bir zaafın bilinçaltımıza işlemesinden dolayıdır ki insanları kandırmak ve yönlendirmek çok daha kolaydır. Bu konunun bilişim güvenliği ile ne alakası var diye düşünebilirsiniz tabi ki ama emin olun bilişim güvenliği sadece program yazabilen hackerlar tarafından tehdit altında olan bir sektör değildir. Aksine 1 satır kod yazmadan bile sistemleri kırabilecek, bilgi çalabilecek yeteneğe sahip insanlar da vardır. Daha net örnekleri David Kevin Mitnick‘ in Aldatma Sanatı isimli kitabında da görebilirsiniz.

Benim dikkatimi çeken nokta ise; kendi sektöründe başarılı olan bir çok firmanın, iş yaptığı firmaları bu kadar kolay erişilebilecek ve açık bir şekilde web sitelerinde referanslar adı altında yayınlamasıdır. Bu basit gibi görünen ama bence dikkat edilmesi gereken çok büyük bir güvenlik açığıdır.

Düşünsenize bir kere, zaten ne iş yaptığınız genel hatlarıyla biliniyor. Bunun yanında siz bir de kimlerle iş yaptığınızı belirtiyorsunuz. Böylece, sisteminize sızmak isteyen kişilere nereden ve nasıl başlamaları gerektiğini gösteren güzel bir başlangıç noktası göstermiş oluyorsunuz. Artık sisteme sızmak isteyen kişinin tek yapması gereken, yapılan işlerle ilgili iş akışlarını araştırmak, kimlerin hangi noktada ne gibi görevleri oluğunu öğrenmekten ibaret. Tabiki dahada fazlası vardır, ama emin olun bunu yapmak isteyen kişi bu tarz bilgileri çok kolay elde edebilir. Bunları öğrenmek konusunda benim aklıma gelen en basit ve güzel senaryo ise, görüşmeye çağrılmayı garantilemek adına çok iyi bir CV hazırlayıp(abartmadan) iş başvurusunda bulunup, görüşme sırasında da dikkat çekmeden laf aralarına tamamen bilgi almak istediğiniz konularda sorular sormaktır. Tabiki bilgi almak istediğiniz firma eleman aramıyorsa sizide görüşmeye çağırmayacaktır ve bu plan hiç bir şey ifade etmeyecektir…

Şimdi bu kadar basit birşeyin bile güvenlik tehdidi yaratabileceğini düşünemeyen şirketlerin, bilişim güvenliğine ne kadar önem verdiğini tahmin bile edemiyorum. Hal böyle olunca aslında yukarda bahsettiğim basit senaryoyu hayata geçirmek okadar da zor bir hal olmaktan çıkıyor.

Sonuç olarak, bilişim güvenliği, sadece kendini hacker sanan kişilerin sonradan sözde edindikleri “bilgileri” danışmanlık firması adı altında, para kazanmak amacıyla kurduğu şirketler sayesinde ilerleyecek bir sektör değildir. Aksine ilerde olabilecek senaryoları tahmin edebilecek öngörüye sahip insanlar tarafından, şirket güvenlik politikası adı altında, temizlikçisinden yöneticisine kadar tüm şirket çalışanlarına sürekli olarak verilmesi gereken bir güvenlik sürecidir. Bu danışmanlık firmalarına verilen bilgilerin bile bir güvenlik açığı olduğunuda unutmamak gerekir.

Zaten Kevin Mitnick ‘de tüm bu gerçekleşmesi muhtemel bilgi çalma sürecine Hacker lık değil, İnsan Mühendisliği adını veriyor. Bu kadar çok sosyallaşen bir dünyada insanların zaaflarını kullanabilmek, bilgisayar sistemlerine girmekten çok daha kolaydır…

Mehmet Aydın Ünlü
http://aydinunlu.blogspot.com
aydinunlu85@gmail.com