Vatandaşın gizli bilgileri ortalıkta dolaşıyor

Vatandaşın kamuyla işlem yaparken vermek durumunda kaldığı kişisel bilgilerin ortalarda dolaştığı ortaya çıktı. Kamu kurumlarında kolayca tahmin edilen parolalar kullanılması bilgilerin çabucak ele geçirilmesini sağlıyor. Bilgiler ise asma kilit takılan ahşap kapılı odalarda gizleniyor.

PAROLA: 1111

Cumhurbaşkanlığı Devlet Denetleme Kurulu, “Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları” raporunu açıkladı. Bilgi Edinme Hakkı Kanunu kapsamında yer alan sınırlamalar ile Kurum denetimlerine ilişkin bilgi güvenliği kısıtları nedeniyle raporun sadece Sonuç kamuoyuyla paylaşıldı. Rapordan bazı çarpıcı bölümler şöyle:

“Parola, bilgi sistemlerine girişte güvenliğin sağlanmasında kullanılan araçlardan birisidir. Denetimlerde; pek çok kurumda güçlü parola oluşturulması, parolaların belli periyotlarla değiştirilmesi, parolaların gizliliğine ilişkin personelin yükümlülükleri gibi hususları içeren yazılı parola politikasının bulunmadığı; parola politikası bulunan bazı kurumlarda ise söz konusu politikanın yeterince uygulamaya geçirilmediği tespit edilmiştir. Parola politikasının bulunmaması veya etkin bir şekilde uygulanmaması sonucunda, kurumlarda iki haneli veya 1111, 0000, 1234 gibi kolayca tahmin edilebilir parolalar ile ilk kez verilen parolaların değiştirilmeden kullanılması, parolanın e-posta ile iletilmesi, diğer personelle sıklıkla paylaşılması gibi bilgi güvenliği acısından önemli risk oluşturabilecek pek çok uygulamanın ortaya çıktığı görülmüştür.

Bilgi güvenliğinin bir boyutu, bilgi sistemlerinin fiziki güvenliğinin sağlanmasıdır. Bilgi sistemlerine fiziki erişim; bu sistemlerdeki verilere erişim, bunları silme, değiştirme veya bu sistemlere fiziki olarak zarar verme riskini artırmaktadır.

FİZİKİ GÜVENLİĞİ SAĞLANAMAMIŞ BİLGİLERİN ELE GEÇİRİLME SÜRESİ: 5 DAKİKA

Çeşitli kuruluşların yaptıkları güvenlik denetimlerinde fiziksel olarak güvenliği sağlanmamış sistemlere saldırı denemeleri yapıldığında, bu sistemlerin beş dakika gibi kısa bir surede ele geçirilebildiği ve içindeki verilere ulaşılabildiği görülmüştür.

Denetimlerde;

• Bazı kamu kurumlarının sistem odaları ile çalışan ofislerinin oldukça iyi korunduğu,
sistem odasına girişlerin parmak izi, şifre ve yüz tanıma sistemleri ile yapıldığı,

• Bazı kurumlarda çalışanların ofislerine de yetkilendirilmiş manyetik kartlar ile giriş
yapılması ve giriş çıkışların video kamera sistemi ile kayıt altına alınması gibi iyi uygulama örnekleri yanında sistem odasına giriş çıkış yapanların bir kayıt defterine manuel olarak isimlerini yazması gibi etkin kontrole imkan vermeyen iptidai uygulamaların da bulunduğu,

ASMA KİLİT

• Bazı kurumların sistem odalarının fiziksel güvenliğinin zayıf olduğu, giriş kapılarının ahşap gibi zayıf bir malzemeden yapıldığı ve kısa surede kırılabilecek asma kilit ile korunduğu,

• Bir kurumda, sistem odasından doğrudan acık otoparka acılan bir kapı ile çıkış yapılabildiği,

• Bir kamu kurumuna ait sistem odasının yaya ve araç trafiğinin yoğun olduğu ve çok sayıda kitlesel eylemin yapıldığı yerlere çok yakın olduğu ve donanım yüklemesi için kullanılan kapının hemen yanında kişi trafiği yoğunluğu olan PTT şubesinin bulunduğu,

• Aynı kamu kurumunun tüm internet erişimini sağlayan kabloların bina dışından açık bir şekilde taşındığı ve fiziksel müdahaleye acık olduğu,

• Başka bir kamu kurumunun, kendine ait bilgi işlem merkezinin bulunmadığı ve tüm
sistemlerinin ticari bir firmadan kiralanan bir bilgi işlem merkezinde çalıştığı, bu merkezde başka kurum ve firmalara ait sistemlerin bulunduğu ve başka firma elemanlarının kurum sunucularına fiziksel olarak erişebildiği görülmüştür.” (Ankara/ANKARA)