çeşitleri ve özel güvenlik

3. Ulusal Özel Güvenlik Sempozyumu
1-2 Mart 2013 Gaziantep
BİLİŞİM SAHTEKARLIKLARININ
MALİ SİSTEMDE YARATTIĞI SORUNLAR,
BOYUTLARI – ÇEŞİTLERİ VE ÖZEL GÜVENLİK
Faik ÇELİK¹ Ayfer ÖZMEN ²
¹Kocaeli Üniversitesi- ([email protected])
² Kocaeli Üniversitesi- (ozmena_34@hotmail)
ÖZET
Hızla ticari, sanayi ve kişisel hayatlara giren bilişim beraberinde çok sayıda
güvenlik/sahtekarlık/dolandırıcılık sorununu da getirmektedir. Bu sorunlar
parasal kayıplar yarattığı gibi çözümü için yeni sanayi kollarının da
oluşmasına yol açmaktadır.
Malware (kötü amaçlı yazılım) kimlik avı, kullanıcı adı, şifreleri, kredi kart
ayrıntılarını(ve bazen dolaylı, para) gibi bilgileri elde etmek için, bir
güvenilir bir kurumu, elektronik haberleşme de taklit ederek çalmak
eylemidir,. Popüler sosyal web siteleri, açık arttırma siteleri, online ödeme
işlemcileri veya BT (Bilgi Teknolojileri) yöneticileri geliyormuş gibi iletişim
kurularak masum halka cazip hale getirilir. Gelen iletişim malware(kötü
amaçlı yazılım) içerir. Anında haberleşme, e-postalar, phishing bulaşmış web
sitelerine bağlantılar içerebilir, bu kötü amaçlı yazılım içeren en yaygın
örnektir. Pishing tarafından yürütülen e-posta
veya anlık mesajlaşma
genellikle sahte bir web sitesinde bilgilerinizi girmeniz şeklinde
yönlendirildiğinden, görünüm ve hissetme normal işlemle hemen hemen
aynıdır
Bu kötü amaçlı pishing eylemleri artık sadece bilgi işlemcilerin değil, özel
güvenliğin yeni görevi haline de gelmektedir. Güvenlik sistemlerini aşmak
için malware(kötü amaçlı yazılım) kullanmak yaygınlaşmaktadır. Yine zarar
vermenin yeni yolu bilgisayarlar yoluyla da olmakta, bu da kişi ve
kurumların çözüm ihtiyacını doğurmaktadır.
Ayrıca kurumsal örgütlenmelerde yeni ünvanlar/bölümler bu nedenle
oluşmaktadır.
Anahtar Sözcükler: Bilişim güvenliği, bilişim sahtekarlığı,
177
1. GİRİŞ
Sosyal bir varlık olan insanlar toplu halde yaşamaktadırlar. Bunun sonucunda toplu
halde yaşayan bu insanlar devlet olarak örgütlenmiş ve güvenliklerini, devletçe kurulan
kolluk güçlerince sağlamışlardır. Devletler artık güvenliğin sağlanması için devlet
tekelini kaldırıp, özel ve gönüllü güvenliğin çalışmasına da izin verme, hatta bu
sistemleri teşvik etme yoluna gitmektedirler (Kuyaksil ve Akçay, 2005: 83).
Günümüzde şebeke (network) ağlarıyla birbiriyle temas eden bilgisayarların ağırlığının
arttığı bir yaşam biçimi gelişmektedir. Güvenliğin yönü kamu ya da özel’e ait
mekan/kişi korunmadan çok iş hayatını/iş bilgisini, ticari sözleşmeleri/sırları, kişisel
bilgileri ve internet güvenliğini içeren daha geniş bir alana doğru kaymaktadır.
Özellikle her uygulama için potansiyel güvenlik ihtiyacının düşünülmesine ve tespit
edilmesine gerek duyulmaktadır. Risk, tehdit, güvenirlik, zayıflık, sorumluluk,
bütünlük, kişisel gizlilik gibi kavramlar üzerinde yeniden düşünülmeye ve başlanılmış
ve konu akademik ilgi alanı haline de gelmiştir. Tabi olarak güvenlik kapsamındaki
değişim, ticaret sürecine, teşebbüslerin yeniden yapılandırılmasına, güvenlik
mühendisliği kavramının ortaya çıkmasına yol açmıştır (Dağdeviren, 2004).
Bu çalışma güvenlik mühendisliğine yola açan olayları ve yaptığı büyük hasarı
örneklerle ele almakta ve zararın boyutlarını göstermeye çalışmaktadır.Bu çalışma
bilgisayarlar kullanılarak yapılan yeni bir suç şeklinin çeşitlerini anlatmakta, bu suçun
akış biçimini ele almaktadır.Bu yeni suç, özel güvenliğin farklı bir şekline duyulan
ihtiyacı doğurmakta ve bu çalışma bu konuyu irdelemeye çalışmaktadır.
2. ASAYİŞ DEĞİL BİLİŞİM GÜVENLİĞİ
İnternet üzerinden iş ve bilgi iletişim süreçleri ilerledikçe güvenlik sistemlerine olan
ihtiyaç giderek daha hayati bir öneme sahip olmaya başlamaktadır. E-ticaret, tedarik
zinciri yönetimi, uzaktan erişim gibi internet olanaklarının iş süreçlerini
kolaylaştırması, yüksek hızlı, ses veri görüntü taşıyan çoğul ortam uygulamalarının da
haberleşme sistemlerine katılımıyla bu alanda yapılan yatırım maliyetleri artmış bunun
gereği olarak güvenlik de bir parametre olarak en yüksek yatırım ve maliyet
kalemlerinden biri olarak ortaya çıkmıştır. (Tağmac H. 2006) Şirket ağlarında doğrudan
maliyet ve ticari başarıya yönelik bir anlam taşıyan ağ sistemlerinin güvenliği, kurum
ağlarında ulusal güvenlik boyutunda olumsuz etkilere neden olabilecek kritik bilgilerin
korunması şeklinde kendini göstermektedir.
2.1. Bilişim Güvenliği Nedir?
İnternetin dünya çapında yaygınlık kazanması ile mekan kavramı bir anlamda ortadan
kalkmış, kıtalararası iletişim ve bilgi aktarımı bir tuşa basmaktan ibaret hale gelmiştir.
Teknolojideki bu gelişmelerden toplumlar pozitif anlamda yararlandıkları gibi, kişiler
ya da organize suç örgütleri ve terör örgütleri de, gelişen bu teknolojiyi yakından
takip ederek, hem kazançlarını katlamakta, hem de geleneksel suç türlerinin dışında
yeni suç ve kazanç türleri geliştirmektedirler.
178
1990’lı yıllarda yaşanan hızlı teknolojik gelişmelerin bir sonucu olarak bilgisayarlar,
modern hayatın her alanına girmiş ve vazgeçilmez bir biçimde kullanılmaya
başlanmıştır. Hayatımızın birçok alanında bilgisayar ve bilgisayar ağı teknolojileri
“olmazsa olmaz” bir şekilde yer almaktadır. İletişim, para transferleri, kamu hizmetleri,
askeri sistemler, elektronik bankacılık, savunma sistemleri, bu alanlardan sadece
birkaçıdır. Teknolojideki bu gelişmeler, bilgisayar ağlarını ve sistemlerini, aynı
zamanda, bir saldırı aracı haline, kullandığımız sistemleri de açık birer hedef haline
getirmiştir.
“Özellikle 1990’lı yıllardan başlayarak yaşanan hızlı teknolojik gelişmeler ve internetin
yaygınlaşmasının bir sonucu olarak bilişim güvenliği son yıllarda giderek önem
kazanan bir konu haline gelmiştir. Konunun önümüzdeki dönemde kurumların öncelik
listesinde giderek artan bir öneme sahip olacağı ve kurumların bilişim güvenliği alanına
gereken önemi vermeye başladıkları, ilgili önlemleri alma çabası içine girdikleri
bilinmektedir. Ancak, bilişim güvenliğinin sadece teknolojik önlemlerle sağlanabileceği
gibi genel bir yanılsamanın olduğu da gözlenmektedir.” (Bilişim Güvenliği, 2012).
İç güvenliği tehdit eden ve hedefine ulaşmada hiçbir sınır tanımayan suç örgütleri,
bilgisayar teknolojisi yardımıyla tahminlerin ötesinde bir hareket kabiliyeti kazanarak
ülke içi/milletlerarası suç trafiğine yeni bir boyut kazandırmıştır. Küreselleşmenin diğer
alanı olarak adlandırabileceğimiz bu gelişme iktisadi hayatı/toplumsal huzuru da ciddi
şekilde tehdit etmektedir.
Bilişim sistemlerine olan bireysel ve toplumsal bağımlılık arttıkça bu sistemlerde
meydana gelebilecek arıza ve saldırılara karşı duyarlılık ta o denli artmaktadır. Bu
duyarlılık arttıkça da bilgisayar sistemlerine ve ağlarına yönelik olarak
gerçekleştirilecek olan saldırıların sonucunda; para, zaman, prestij ve değerli bilgi kaybı
da artacaktır. Bu saldırıların hastane bilişim sistemleri gibi doğrudan yaşamı etkileyen
sistemlere yönelmesi durumunda ise kaybedilen insan hayatı bile olabilir. Bilişim
sistemlerine ve bu sistemler tarafından işlenen verilere yönelik güvenlik ihlalleri
inanılmaz bir hızla artmaktadır (Bilişim Güvenliği, 2012).
Amerika’da Bilgisayar Güvenliği Enstitüsü (Computer Security Institute - CSI) ve
Federal Araştırma Bürosu (FBI) tarafından geleneksel olarak gerçekleştirilen
“Bilgisayar Suçları ve Güvenlik Araştırması”nın 2001 yılı raporuna göre bilişim suçları
1997- 2001 yılları arasında her yıl neredeyse ikiye katlanacak biçimde artmıştır. Aynı
araştırma, gizli bilgilerin çalınması ve finansal kayıtlarda yapılan yasadışı
değişikliklerin, en çok maddi zarara neden olan iki saldırı biçimi olduğunu
göstermektedir.
Bilişim güvenliği konusunun, önümüzdeki dönemde de bilişim sektöründe giderek artan
bir öneme sahip olacağı bilinmektedir (Bilişim Güvenliği, 2012). Devletin en önemli
kurumlarının internet sitelerinin sistem kırıcı-“hacker” lar tarafından çökertilmesi 21.
yüzyılda bilişim suçlarının gelecekte çok önemli bir yer alacağının işareti olarak
görülmektedir.
179
2.2. Bilişim Güvenliği ve tarihsel gelişimi
“Günümüzde ağ yöneticilerinin en önemli görevlerinden biri ağ geçitleri üzerinden iç
sistemlere yapılması muhtemel saldırıları önceden kestirmek ve buna yönelik tedbirleri
almaktır. FBI tarafından yapılan araştırmalara göre 2001 yılında dünya üzerinde
güvenlik açıkları nedeniyle gerçekleşen maddi kayıp 15 milyar dolar civarındadır.
Araştırmacılar bu rakamın 2002 yılında 1,5 kat arttığını belirtmektedirler. Bu açıdan
bakıldığında ağa saldırıların dış kaynaklı olması ihtimali daha yüksek gibi görünse de
dünya üzerinde kayıtlı vakalara göre büyük çoğunluğu içeriden yetkisiz erişimler ile
gerçekleşmektedir. San Francisco’daki Computer Security Institute tarafından yapılan
bir araştırmaya göre saldırıların %60-80’i içerideki kullanıcıların yanlış yöneliminden
kaynaklanmaktadır. O halde ağ tasarlanırken dışarıdan gelen saldırıları içeri geçirmeyi
engelleyecek, içerideki kullanıcıların da yetkileri dışında erişimlerini kısıtlayacak bir
mekanizma göz önüne alınmalıdır.” (Tağmac H., 2006),
Saldırı tiplerini; saldırıda bulunan kişinin belirli verilere erişim sağlamak yerine yetkili
kullanıcıların uygulamalara erişimini engelleyerek bilgi sistemleri kaynaklarını
kilitlemesi olarak bilinen hizmetin-engellenmesi (Denial of Service-DoS), yetkisiz
kullanıcılara gizli bilgileri ele geçirmek için ağ parolalarına yetkisiz erişim hakkı
verilmesi ve ana bilgisayarın ele geçirilmesi ile sistemin tamamen çökertilmesi ile
sonuçlanabilecek, bilinen en tehlikeli saldırı türlerinden biri olan parola ve kök
saldırıları ve içeriden yapılan yetkisiz erişimle kritik bilgilerin değiştirilmesi ya da yok
edilmesi tehlikesini içeren veri gizliliginin bozulması (violation of data privacy) olarak
sınıflandırmak mümkündür. (www.cisco.com, 2012)
O halde bir ağ sisteminin baştan sona güvenli olarak tasarlanabilmesi için erişim
kontrolünün, doğrulama yetkilendirme, raporlama (Authentication-AuthorizationAccounting - AAA) ekseninde yapılması, sanal özel ağlar ile uzaktan erişim
güvenliğinin sağlanması, güvenli geçit noktalarının oluşturulması (güvenlik
duvarlarının kullanılması) ve sistemin güvenlik izlemesinin gerçekleştirilmesi için
saldırı tespit sistemlerinin kullanılması gerekmektedir. (Tağmac H. 2006),
2.3. Risk
Bir tehdit kaynağının, bir sistemdeki güvenlik boşluğundan yararlanarak sisteme
yetkisiz erişimde bulunması olasılığı, bu tehdidin riski olarak ifade edilir. Tehdit
kaynaklarının ya da güvenlik boşluklarının azaltılması, tehdide ait riskleri de aynı
oranlarda azaltacaktır.
180
Bilişim Güvenliği Modeli
İİşleme
DDepolama İletim
Gizlilik
Bütünlük
Erişilebilirlik
pPolitikalar ve yönergeler
ve Teknoloji Uygulam.
Eğitim ve Bilinçlendirme
2
Kaynak: Özgit A. Dayıoğlu B. (2004) , Bilişim Güvenliğinde Yaşam Döngüsü ve
Derinlik Attila Özgit / Burak Dayıoğlu, ODTÜ sunum, 2004
Tablo-1 Tehdit Kaynağı - Güvenlik Boşluğu - Risk İlişkisi
Tehdit Kaynağı
Etkileyebileceği Güvenlik
Oluşan Risk
Boşluğu
Virüs
Hacker
Kullanıcılar
Yangın
Çalışanlar
İş ortağı olan bir
firmanın yetkilisi
Saldırgan
Kötü niyetli
ziyaretçi
Çalışan
Saldırgan
Antivirüs yazılımının
eksikliği
Sunucu bilgisayar üzerinde
çalışan güçlü hizmet
programları
İşletim sisteminde yanlış
ayarlanmış bir parametre
Yangın söndürme
cihazının eksikliği
Erişim denetim
mekanizmalarının
yetersizliği
Erişim denetim
mekanizmalarının
yetersizliği
Kötü yazılmış bilgisayar
programları
Güvenlik Görevlisinin
olmayışı
Tutulan kayıtlardaki
yetersizlik
Güvenlik Duvarı’nın
ayarlarının iyi yapılmamış
olması
Virüs bulaşması
Gizli bilgilere yetkisiz erişim
hakkının elde edilmesi
Sistemin çalışamaz duruma gelmesi
Bina ve bilgisayar sistemlerinin zarar
görmesi ve can kaybı olasılığı
Görev-kritik bilgilerin zarar
görmesi
Ticari sırların çalınması
“tampon taşması” hatasının alınması
Kıymetli cihaz ve / veya bilgilerin
fiziksel olarak çalınması
Veri işleme programına verilen giriş
verileri ve çıkış olarak elde edilen
veriler üzerinde değişiklikler yapılması
Bir “hizmet durdurma”
saldırısının gerçekleşmesi
Kaynak: (Bilişim Güvenliği, 2012) Pro-G bilişim Güvenliği ve Araştırma Ltd. Şti. 2003, s.14
181
3. SIZMA/SALDIRI YÖNTEMLERİ
3.1. Keylogger
Dolandırıcılar phishing yöntemiyle kullanıcının gizli bilgilerini elde etmenin yanı sıra
bu bilgilere birde başka bir yöntem olan keylogger adı verilen klavye ve ekran
görüntülerini kopyalayabilen programlar vasıtası ulaşabilmektedirler.
Keylogger Yöntemi: İnternet kullanan banka müşterilerinin veya internet üzerinden
ticaret yapan kullanıcıların online işlem şifrelerinin çalınmasının bir diğer yöntemi ise
keylogger yani klavye tuş girdilerini kayıt eden yazılımlar vasıtasıyla
gerçekleşmektedir. Kullanıcıların bilgisayarlarına yerleştirilen keylogger adlı yazılım,
bilgisayarda yapılan her türlü işlemlerin bir kaydını tutar ve bu kayıtlar klavyeden
girilen bilgilerin yanı sıra ekran görüntüleri de olabilir. Bu kayıtlar ya sistemde bir txt
(metin) dosyası olarak tutulur ya da klavye girdileri e-posta ile saldırgana sistem kırıcıhacker’a gönderilir.
1) Kötü niyetli kişiler tarafından yazılan ve işletim sistemlerinin açıklarından
yararlanılarak hedef bilgisayarın kısmen veya tamamen yönetici haklarını saldırgana
teslim eden truva atı (trojan) adlı yazılımlar aracılığıyla keylogger yazılımları sisteme
yüklenirler.
2) Keylogger yazılımı bilgisayara kullanıcı tarafından yüklenebilir:Örneğin;
güvenilmeyen bir bilgisayarda, bilgisayar sahibi tarafından sisteme başkaları tarafından
giriş yapılması halinde (login olunması) ne gibi işlemler yapıldığı bilgisayar sahibi
tarafından bilinmek istenebilir. Bu durumda sisteme yüklenecek bir keylogger yazılımı
ile bilgisayarda başka kullanıcıların yaptıkları bütün işlemler kaydedilmiş olur. Eğer
bilgisayar pek çok kişiye açık bir ağda ise bilgisayarda yapılan bütün işlemler
keyloggerı yükleyen kişi tarafından öğrenilebilmektedir.
Ayrıca işletim sistemlerinde tespit edilen açıklarla sisteme rahatlıkla uzaktan müdahale
edilebilmekte ve bu müdahalelerin başında sisteme dosya aktarma, aktarılan dosyayı
çalıştırma gibi işlemlerle sonrasında kullanıcılar takip edilebilmektedir. Bu tür açıklar,
yamalarla kapanmış olmakla birlikte sistemlerini güncellemeyen kullanıcılar, halen büyük
bir tehlike altında bulunmaktadır.
3.2. Doğrudan Saldırılar
Dikkatle bakıldığında, bilgisayar sistemlerini ve ağ teknolojilerini korumak için
kullanılan güvenlik çözümlerinin büyük bir bölümünün gerçek hayatta sıkça
kullandığımız farklı güvenlik çözümlerine paralellik gösterdiğini görmekteyiz.
Zayıflık inceleme araçlarını düzenli denetimler yapan gece bekçilerine, güvenlik
duvarlarını ise parola denetimli ve sağlam kapılara benzetebiliriz. Bu bağlamda saldırı
tespit sistemlerini ise, mağazalarda sıkça karşılaştığımız ve artık mutad hale gelen
güvenlik kameralarına benzetmek mümkün olacaktır.
182
Elektronik saldırı tespit sistemleri, güvenlik kameralarında olduğu gibi, şüpheli durumları
kayıt altına almak üzere kullanılırlar. Gerçekleşen bir saldırıyı önlemek hedeflenmemekte,
yalnızca saldırı gerçekleştiğinde olabildiğince detaylı bilgilerin toplanması
hedeflenmektedirler. Saldırı tespit sistemleri kurumsal kullanıcılara üç temel noktada
önemli faydalar sağlamaktadır:
• Saldırıların erken tespiti: Sistem, gerçekleşen bir saldırıyı hedef ağın ya da sistemlerin
yöneticilerinden önce tespit edebilir. Bu özellik sayesinde bir saldırı tespit edilir edilmez
sorumlu yöneticilere SMS, e-posta vb. yöntemler ile alarm ulaştırılması ve bu yolla
saldırılara karşı olabildiğince erken önlem alınması sağlanabilmektedir.
• Saldırılara ilişkin detaylı bilgi toplanması: Saldırı tespit sistemleri sayesinde, sona ermiş
ya da sürmekte olan bir saldırı hakkında detaylı bilgiler edinilebilmektedir. Bu bilgiler,
saldırının boyutları ve muhtemel saldırganlar konusunda analizler yapılması noktasında
anlamlı olabilmektedir.
• Saldırılara ilişkin delil toplanması: Saldırı tespit sistemi tarafından toplanan bilgiler
saldırı sonrasında, mahkemeye ya da saldırının kaynağı olarak görüşen ağın sorumlularına
başvururken delil olarak kullanılabilmektedir. (Kaptan H., 2006)
Tipik bir saldırı şöyledir;W32/Kelvir isimli solucanın yeni bir şekli Nisan 2005’te
Reuters'in mesajlaşma hizmetine yoğun bir şekilde saldırmıştır. Reuters saldırı sonucu
olarak anında mesajlaşma (Instant Messaging) hizmetini devre dışı bırakmak zorunda
kalmıştır. Saldırı Reuters'in anında mesajlaşma hizmetini hedef almıştır. Saldırı Reuters'in
tüm anında mesajlaşma kullanıcılarını etkiledi ve dev haber ajansı, bu hizmetini devre
dışı bırakmak zorunda kalmıştır.
Reuters'in anında mesajlaşma hizmeti özellikle finansal piyasalarda kullanılmaktadır.
Uzmanlara göre saldırı; her saniyesi önemli olan finans piyasalarını etkilediği için
oldukça ciddidir. Söz konusu solucan kendisini mesajlaşma servisi aracılığıyla yayıyor.
Reuters'e göre, solucan kullanıcının temas kişilere bulaşıcı bir Web sitesinin adresini
göndererek çoğalmaktadır. (Hürriyet Gazetesi, 2005)
3.3. İnternet Bankacılığı Yoluyla Dolandırma
Türkiye'de 2003 yılından beri kullanılan ADSL portları yardımıyla yaygınlaşan internet
kullanımı ve internete erişilebilirlik oranının yükselmesi, sanal banka soygunlarını
artırmıştır. Sanal soyguna maruz kalanlar "Sanal Banka Mağdurları Derneği" altında bir
araya gelerek dernek kurmuşlardır. “sanalbankamagdurlari.com”
Türkiye’de internet üzerinden satış yapan şirketler vasıtasıyla, 10 bin ayrı alışveriş
yapan kişi ya da şirketin hesap bilgilerini ele geçiren sistem kırıcı-hacker çetesinin, 2
ayda 4.5 milyon YTL'lik vurgun yaptığı ortaya çıkmıştır. Dolandırıcıların,
(hacker)’ler'in şahısların banka hesaplarına girerek firmaların hesap bilgilerini ele
geçirdikleri saptanmıştır. Yapılan araştırma sonucu hackerların, şahısların
hesaplarındaki paraları sahte kimliklerle açtırdıkları banka hesaplarına transfer ettiği
ortaya çıkmıştır. Çetenin çalışma biçimi ise şöyledir. Sistem iki hacker'ın internet
üzerinden satış yapan ve güvenlik duvarları bulunmayan şirketlere fake mail (sahte eposta) atarak onların ve müşterilerinin tüm banka hesap bilgilerini ele geçirmesiyle
183
başlıyor. Güvenilir internet ağları üzerinden bu hesaplardaki paralar sahte kimlikle
açılan hesaplara havale ediliyor.
Yine Türkiye’de de son yıllarda artan sanal dolandırıcılık olaylarıyla ilgili yürütülen bir
polis operasyonunda 3 milyon 450 bin elektronik posta adresine virüs gönderip, farklı
bankalara ait 10 bin 580 hesabı boşalttıkları belirlenen 10 kişi yakalanmıştır. Çete
liderinin üniversite mezunu olduğu ve beş dil bildiği ortaya çıkmıştır. Zanlıların elde
ettikleri elektronik posta adresleri arasında gazeteciler, üniversite öğretim görevlileri,
belediye ve holding çalışanlarıyla çok sayıda işadamının da adresinin bulunduğu
belirtilmiştir.
3.4.Yurt dışından İnternet Bankacılığı Yoluyla Çalıntı Parayı
Hesaba Aktarma
Bu usülde dolandırıcı bankadaki şahsi hesaba sızmakta ve parayı kendi hesabına aşağıda
belirtilen şekilde aktarmaya çalışmaktadır.
“Rus dolandırıcı internetten bağlantı olarak kullanacağı şahısla temasa geçer ve
kendisinin Türkiye'de bulunan kişi veya kuruluşlarla ticarî ilişki içerisinde olduğunu, bu
kişilerden belirli meblağlarda para alacağını; fakat Rusya'da ticarî verginin yüksek
olması sebebiyle yüzde 15-30 kesinti yapıldığını söyler. Ayrıca kişiler arasında yapılan
para transferlerinde verginin çok düşük olduğunu söyleyerek internette tanıştığı
Türkiye'deki şahıstan kendisine yardım etmesini ister. Birçok ayrıntı hesaplanarak
karşısındaki şahsı ikna etmek için teknik konuda da tam bir yeterlilik hissi verilmeye
çalışılıyor. Dolandırıcı internetten tanıştığı şahsa kendi banka hesabını vermesini,
müşterisinin onun hesabına parayı aktaracağını, Türkiye'de bulunan vatandaşımızın da
emeği karşılığında yüzde 5-10'luk komisyonu aldıktan sonra kalan meblağı WesternUnion ile kendisine göndermesini ister. Aslında Rusya'daki dolandırıcı, önceden
internet bankacılığı şifrelerini ele geçirdiği kişinin hesabında bulunan parayı, doğrudan
Rusya'ya havale edemediği için, aracı kullanarak kendisine göndermenin yolunu bu
şekilde bulmuştur." (Zaman Gazetesi, 2005)
3.5. Olta (pishing)
Aşağıdaki örnek olayda görüleceği gibi sahte bir form kullanılarak kişi ya da kuruma ait
bilgiler çalınmaktadır.
Sahte e-posta'da işlem için tıklanılması istenen URL kullanıcıyı kandırmaya yönelik
sahte adres/isim içerebilmektedir. Örneğin: “islem.tcmerkezbanka.org” gibi, yani
burada web adresi “tcmerkezbanka.org”dur . Bu adrese giren kişiye banka bilgilerinin
güncelleneceği belirtilmektedir. Bu güncellemeyi yapmasa hesabının, internet
bankacılığına kapatılacağı ve kredi kartlarını kullanamayacağı belirtilmektedir.
Belirtilen adresin, gerçek adres olan http://tcmb.gov.tr ile ilgisi bulunmamaktadır.
(www.olympos.org , 2011)
184
4. BİLİŞİM YOLUYLA ZARAR VERME VE İKTİSADİ
BOYUTLARI
4.1. Elektronik Sahtecilik ve Virüs Yayma
Melissa virüsü, 26 Mart 1999 tarihinde ilk kez ortaya çıkmış, anti virüs
programlarını atlatarak Windows 9x, NT işletim sistemleri altında Word 97 ve
Word 2000 programlarını kullanarak bilgisayarlara zarar vermiştir. Melissa virüsü
internete gönderilmiş ve milyonlarca dolar zarar yol açmış “kötü amaçlı”
(malicious) bir programdır ve e-posta yolu ile yayılmıştır. Virüsün 34 yaşındaki
yaratıcısı David L. Smith, evdeki bilgisayarı yardımı ile virüsü internete
göndermiştir. Virüs her bulaştığı bilgisayardan 50 yeni bilgisayara bulaşma
özelliğine sahiptir. Bu nedenle çok hızlı ve durdurulamaz bir şekilde yayılmıştır.
Smith virüsü ilk olarak biri çalıntı diğeri kendine ait olan iki America Online
hesabını kullanarak bir e-posta mesajı ile beraber bir haber grubuna (news group)
göndermiştir. Söz konusu e-posta mesajında “e-postanın eklentisinin yetişkin
(adult) içeriğe sahip web sayfalarına giriş parolalarını bulmayı sağlayan bir program
olduğundan bahsedilmiştir. Bu e-posta mesajı açılır açılmaz kurbanın bilgisayarına
virüs bulaşmaktadır. Daha sonra virüs, Microsoft Outlook programı yardımı ile
kendisini, kurbanın adres defterindeki ilk 50 kullanıcıya postalamaktadır. Olay
hakkında delil toplama sürecinde America Online yetkilileri de görev almışlardır. 1
Nisan 1999’da Smith, FBI ve New Jersey Yüksek Teknoloji Suçları Birimi
görevlileri tarafından kardeşinin evinde yakalanmış ve göz altına alınmıştır. Smith,
2 Mayıs 2002 tarihinde 20 ay hapis cezasına çarptırılmış ve 3 yıl göz hapsi ile 100
saat kamu hizmetinde çalışma cezasını almıştır. Melisa virüsü saldırısının 80
Milyon dolar zarara yol açtığı tespit edilmiştir. (Bilişim Güvenliği, 2012)
Bir zaman bombasının geri döndürülemez zararlar vermesine bir örnek 1996 yılında
yaşanmıştır. Timothy Allen Lloyd (39), yüksek teknoloji ürünü ölçme ve kontrol
cihazları üreten Omega Mühendislik şirketinde çalışan “şef bilgisayar ağı program
tasarımcısı” idi. Lloyd, Omega’da 11 yıl çalıştıktan sonra 10 Haziran 1996’da şirket
ile ilişkisi kesildi. Bunun üzerine Lloyd hazırladığı “zaman bombası” yardımı ile
Omega’nın tüm karmaşık üretim yazılımlarını geri döndürülemez bir şekilde sildi.
Bu sabotaj sonucunda şirket, satışları ve ileri tarihli anlaşmaları da göz önünde
bulundurulduğunda 10 Milyon dolarlık bir kayba uğramıştır. Bu olay olduğu
sırada, Amerikan Gizli Servisi tarihinde, benzer olaylar arasında yol açtığı zarar en
yüksek olan sabotajlardan biri olarak kayda geçmiştir. Olay ortaya çıkarıldığında,
Lloyd 41 ay hapis ile cezalandırılmıştır. (Bilişim Güvenliği, 2012)
1999 yılında Kanada’da yaşanan olay ise, elektronik sahtecilik konusunda
verilebilecek en iyi örneklerdendir. Bu olay, Kosta Rika, ABD ve Kanada
makamlarının ortak çalışmaları sonucunda ortaya çıkarılmış bir dolandırıcılıktır.
Hata! Köprü başvurusu geçerli değil. adlı sitede, daha önceden sadece çok
zengin yatırımcılara sunulan, yıllık %120’lik bir kar marjı olan ve para kaybı riski
olmayan bir yatırımdan söz edilmekteydi. Yatırımcılardan, 1000 dolarlık paketler
halinde paralarını yatırmaları istenmiştir. Bu siteye paralarını ilk yatıranlara, kâr
payı ödemesi altında bir takım ödemeler de yapılarak siteyle daha fazla müşterinin
185
ilgilenmesi sağlanmıştır. 1999 - 2001 yılları arasında bu site aracılığı ile yatırım
yapan 15.000 kurbanın paraları ile Alyn Richard Waage; Mexico ve Kosta Rika’da
milyon dolarlık gayri menkuller, yatlar ve helikopterler satın alınmıştır. Bunun
yanında, dolandırdığı paraların bir kısmını gizlemek için de Kosta Rika’da paravan
şirketler kurulmuş ve paraların bir kısmını da bu şirketlerden kazanmış gibi
göstermiştir. Waage, internet üzerinden dolandırıcılık yapmak ve bu yolla
yatırımcıları kandırarak 60 Milyon $ toplamaktan suçlu bulunmuş, paranın çoğu
sahiplerine iade edilmiştir.
Bu örnekler, bilişim güvenliğinin gerek tehditler ve riskler, gerekse de alınması
gereken önlemler açısından ne denli önemli olduğunu göstermektedir. (Bilişim
Güvenliği, 2012)
4.2. Bilgi İşleme Saldırı Düzenleme
Bir firmanın eski çalışanı işten atılma nedeniyle eski firmasına zarar vermek için
firmanın bilgi işlem servisine saldırı düzenlemiştir. Bu şöyle gerçekleştirilmiştir:
UBS firması 4 Mart 2002 de sabah 9:30 da borsa açılır açılmaz saldırıya uğramıştır.
Merkez ve şubelerdeki 2,000 sunucu üzerindeki dosyalar silinmiştir. Firma
yetkilileri kazanç/kaybını açıklamamış, fakat sistemleri tekrar ayağa kaldırıp
çalıştırmak için 3.1 milyon dolar harcama yapıldığını belirtmişlerdir. İki hafta
süren duruşma sonrasında jüri Roger Duronio’yu bilgisayar sabotajı ve sahtekarlık
yaptığı gerekçesi ile suçlu bulmuştur. (www.informationweek.com, 20010)
4.3. Güvenlik Sağlama Sanayi
Güvenliği sağlamak için firmalar büyümekte ve yeni yatırımlar
yapılmaktadır.Amerika’da;Bilgi Teknolojileri Güvenliği firması RSA security
online bankacılık kimlik doğrulama firması PassMark'ı 44.7 milyon dolara satın
almıştır. RSA'in sahtekarlık tespit ve olta saldırılarına karşı koruma teknolojisi
sağlayan Cyoto firmasını almasının ardından PassMark firmasını da satın alması
finans piyasasındaki yerini oldukça güçlendirmiştir.
Banka müşterilerinin nerden bağlandığını kontrol eden ve sahte web sitelerini
engelleyen teknoloji Amerika'da Bank Of America'nın 15 milyon müşterisi
tarafından kullanılmaktadır.
RSA firmasından Art Coviello yeni anlaşma ile, HBOS, Barclays Bank ve
Washington Mutual gibi müşterilerine ek olarak 20 finans hizmetleri firmasını daha
müşteri listelerine ekleneceğini belirtmiştir. (www.computing.co.uk, 2009)
186
4.4. Kanuni /Mali Cezalar
ABD'de bir internet pazarlama şirketi, SPAM(Yığın ileti) posta gönderimi suçuyla
900 bin dolar para cezasına çarptırılmıştır. Bir diğer davada da 4 spam gönderici 30
yılla yargılanmaktadır.
San Francisco merkezli Jumpstart Technologies adlı şirkete 900 bin doların yanı
sıra, internet faaliyetlerinden men cezası gelmiştir. ABD'de son bir yıl zarfında
birçok spam SPAM göndericisi, 'CAN-SPAM' adı verilen özel bir yasayla ağır
cezalara çarptırılmıştır.
Soruşturmayı yürüten savcının iddianamesinde Jumpstart şirketinin, kullanıcıların
iznini almadan pazarlama amaçlı e-postalar gönderdiği belirtilmektedir.
Jumpstart'ın gönderiği spam postalar, 'Hey', 'Happy Valentine's Day', 'Happy New
Year' gibi kişisel mesaj izlenimi veren başlıklarla gelmekte ve kullanıcıya ücretsiz
sinema bileti kazandırdığını iddia etmektedir. Ücretsiz biletini onaylaması için
kullanıcıdan, kimlik ve kredi kartı bilgilerini göndermesi istenmektedir. (NTV
Televizyon, 2006)
4.5. Veri Saklamaya İlişkin Amerikan Uygulamaları ve Kanuni
Müeyyideler
Symantec’in İnternet Güvenlik Tehdit Raporu’na göre: Geçmişteki saldırılar bilgiyi
yok etmeye yönelik tasarlanırken, bugün kar elde etmek için kullanıcıya kendi
varlığını hissettirecek herhangi bir teknik zarara yol açmadan, bilgi çalmaya yönelik
saldırılar giderek artmaktadır(www.eweek.com, 2011) .
ABD'de data sızma olaylarını saklamayı suç haline getirmek amacıyla, Beyaz
Saray'ın Veri Sızma Kanun Tasarısı hakkında tartışma açtığı belirtilmektedir.
ABD'de pek çok tasarının içinde veri güvenliği konusu yer alıyor.
Siber Güvenlik ve Tüketici Verilerinin Saklanması Kanun tasarısı, 10,000 ya da
üstünde bireyin verileri ile ilgili sızma olması durumunda konunun hükümete
bildirilmesi zorunluluğunu getiriyor. Ancak tasarıya göre, ilgili tüketicilere bilgi
verme zorunluluğu yok.
Sunulan yasa tasarısına göre, eyalet içinde ticari işlem yapan bir bilgisayardaki
"kimlik bilgilerine" ulaşmak da suç haline geliyor.Kongre temsilcilerinden Howard
Coble "Bu yasa tasarısının güçlü bir caydırıcı yanı var. Tüketicinin kişisel
bilgilerini koruyacak. Öte yandan da Amerikan Adalet Bakanlığı'na kanunu
uygulama gücü sağlıyor" demektedir. Demokrat Robert Scott ise ChoicePoint ve
LexisNexis olaylarına atıfta bulunarak "Bu gereken çözümün sadece bir parçası."
diyor. (LexisNexis, bir risk yönetimi servis şirketi. Kayıtlarında 310,000 kişiye ait
isim, adres, ehliyet numaraları gibi bilgiler bulunuyor. Mart 2005'de firmanın veri
tabanına dışarıdan sızma olmuş ve 32,000 kadar kişinin bilgilerinin alındığı
anlaşılmıştır.)
187
Tüketiciler "Veri Gizliliği ve Güvenlik Kanunu"nundan memnunlar. Çünkü tasarı,
veri toplama firması, federal hükümete önemli bir zarar olmayacağını ispatlamadığı
sürece, sızmayı ilgili tüketicilere haber verme zorunluluğu getirmektedir. Bu yasa
tasarısı komiteden geçmiş olup, şimdi Senatoda onay beklemektedir. Bir de "Kişisel
Verilerdeki Risk'lerin Bildirilmesi Kanun Tasarısı" var. Bu tasarı, kimlik
hırsızlığının bir bireye zarar verme riskinin yüksek olması durumunda bireye
açıklama yapma zorunluluğu getiriyor. (Türk Internet, 2006)
Amerikan Senatosunun Ticari Komitesi "Kimlik Hırsızlığı Kanun Tasarısı"nı
destekliyor ve veri sızma durumunda kişilere bilgi vermeyi gerektiriyor. (Türk
Internet, 2006)
Türkiye de“İnternet Ortamında Yayın Yoluyla İşlenen Suçlarla Mücadele Kanunu”
çalışması TBMM'nin 08.02.2007 tarihi itibariyle TBMM’nin gündemindedir.
Bilişim suçları işleyenlerin cezalandırılması konusunda yasal bir boşluk mu var”
sorusuna yetkililer; bu alanda yasal bir boşluk olmadığını, TCK'da suç olarak
düzenlenen tüm suçların bilişim yoluyla işlenmesi durumunda yayım yoluyla
işlenen suçlar kapsamında değerlendirildiğini belirtmektedirler. Yasal boşluktan
ziyade teknolojik gelişmeye uygun bir düzenlemeye ihtiyaç olduğunu
söylemektedirler.
4.6. Bilişim ve İstihbarat :Echelon; Dünyanın Gözleri ve Kulakları
Elektronik istihbarat dünyasının en gizli ve en çok konuşulan sistemi ECHELON.
Bu sistem, genel kanaata göre Amerika, İngiltere, Kanada, Avustralya ve Yeni
Zelenda arasında kurulmuş bir sistemdir. Sistem, dünya çevresinde beş ana stratejik
uydu kullanıyor. Bu uyduların her birinin yeryüzü üzerinde bir ana üssü yani
istasyonu bulunuyor. Ayrıca sistem 100’ün üzerinde irili ufaklı uyduyu da
kullanıyor ve yönlendiriyor. Bu uydular eliyle sistemin dinlemediği, görmediği,
izlemediği pek bir şey bulunmamaktadır. İletişim imkanlarının hemen hemen
neredeyse tamamı taranabilmekte ve kontrol altında tutulabilmektedir. Telefon, cep
telefonu, e-mailler, faks, tele-faks, bilgisayar ve hatta okyanusun altından geçen
iletişim hatlarının tamamı izlenebilmektedir. Echelon dakikada 2 milyon, günde ise
tam 3 milyar telefon görüşmesini izlemekte ve dinlemektedir. Üstelik bu rakamlar
yalnız 1998 yılını içermektedir. Sistem bu işlemi yaparken sadece kayıt etmekle
kalmamakta, bir yandan da konuşmanın yapıldığı çıkış noktasını tespit etmeye
çalışmaktadır. Böylece evlerin posta posta adresi belirlenmektedir. (Özcan M.,
2012)
İçinde Türkiye’nin de bulunduğu birçok ülkede yerleştirilen radyo antenleri
sayesinde uydudan yapılan iletişimi takip eden sistem birçok yöntemle bilgileri
toplamaktadır. Bunların başında anahtar sözcükler gelmektedir. Bu anahtar
sözcükler sayesinde iletişim kaydedilmekte ve bilgiyi isteyen ülkeye verilmektedir.
Anahtar sözcük yerine şahıs ve yer isimleri de kullanılmaktadır.
Bu sistem sayesinde birçok ülkenin en hassas gizli bilgilerinin diğer ülkelerin
özellikle ABD’nin eline geçmesi büyük ihtimal dahilindedir. Bilgi savaşlarının
başladığı değişen dünya şartlarında gizli bilgilerin dost bile olsa başka ülkelerin
188
eline geçmesinin riski, bugün Afganistan’da Taliban’ın ABD uçaklarına yine ABD
füzeleriyle (dost olduğu dönemde verdiği) karşılık vermesi ile çok iyi
anlaşılmaktadır. (Özcan M., 2012)
Eğer bu sistem söylendiği gibi askeri değil de sadece özel iletişimi takip ediyorsa bu
durumda da özel yaşamın dokunulmazlığı veya şirketlerin telefonlarının dinlenmesi
ile teknoloji casusluğuna kadar gidebilecek amaçlar ile kullanılmış olabilir. Nitekim
İngiliz İstihbarat Örgütü MI5, İngiliz şirketlerinin uluslar arası yatırımları için bilgi
toplayabileceği ve bu şirketlerin ortakları ve muhtemel ortakları hakkında bilgi
verebileceğini toplantıya çağırdığı 64 büyük İngiliz şirketinin yöneticilerine
belirtmiştir. (Özcan M., 2012)
5. BİLİŞİM GÜVENLİĞİNİN YARATTIĞI YENİ ÖRGÜTİÇİ
YAPILAR VE ÜNVANLAR
Daha fazla güvenlik isteği, şirketlerde yeni üst düzey unvanlar ve çalışanlar
yaratmaktadır. Bilgi İşlem Müdürlüklerinde özellikle bankacılıkta oluşan bölüm ya
da servisler sistem güvenliğini sağlamaya çalışmakta ya da varolan sitemlerin
güvenli çalışmasını denetlemektedir. Ayrıca çoğu kurumda sistem güvenlik birimi
mevcut olup kullanıcıların hangi bilgiye ne düzeyde ulaşabileceğine ilişkin
yetkilendirmeler yapmaktadırlar. Bu yetkilendirmeler ilişkin büyük kurumlarda
kullanılabilir programların özellikle yurtdışından satın alınanların bedeli milyon
dolarla ifade edilmektedir.
Türkiye’de, tüm güvenlik yazılımı ve donanımı üreten firmalar, KOBİ’lerdeki
güvenlik bilincinin gelişmesine paralel olarak düşük maliyetli ürün geliştirmeye
başlamıştır. Tek bir merkezden yönetilen hem hacim hem de maliyet açısından çok
düşük seviyelerde yer alan buna rağmen oldukça makul performanslarla çalışan
sistemler hızla pazara girmekte ve girmeye de devam edecektir.
Yine çok sayıda kurum kişisel bilgisayarlar için güvenlik hizmeti vermektedir. Bu
da yaygın tamir, bakım ve destek hizmeti veren işletmenin varlığına sebep
olmaktadır.
Bugün bir çok kurumda İcracı Güvenlik Müdürü (CSO) ve İcracı Bilgi Güvenliği
Müdürü (CISO) gibi pozisyonlar mevcut bulunmaktadır.
6. SONUÇ
Firmalar ya da kişiler artık çok çeşitli bilgilere sahip olmak isteyebilmektedir.
Hemen hemen her tür bilgi, bu kapsamda olabilmektedir. Örneğin; rakip firmanın
en iyi personelinin kim olduğundan, müşteri grubuna, fiyatlarına, teknik bilgilerine,
üretim planlarına ve mülkiyet haklarına kadar bir çok konuda bilgiye ulaşmak
isteyebilmektedir. (Seçen T., 2012),
15-20 yıl öncesine göre değişen en büyük unsur sahip olunan verilerin daha çok
bilgisayara ortamında tutulması ve dolayısıyla daha fazla saldırıya açık olması
olmuştur. Bu söz konusu bilgilerin çalınmasını da kolaylaştırmıştır. Firmalar bu
189
yeni ve gelişmiş teknolojiye sahip olurken bu teknolojilerin nasıl güvenli bir hale
getirebileceğiyle fazla ilgilenmemişlerdir.
2004 yılında dünya çapındaki finansal kurumların dolandırıcılık sebebiyle
doğrudan(dolaylı kayıplar dikkate alınmamıştır) 400 milyon dolara varan bir kayba
uğramış olabileceklerini bildirilmektedir. (Financial Insights, 2006)
Organizasyonların bilgi güvenliğinin de ötesinde, ticari faaliyetler, gelirler ve kritik
alt yapıya yönelik doğrudan tehditler ile birlikte bilişimsel ve fiziksel güvenliğe
yönelik online riskler konusundaki bilinçliliklerini arttırmaları gerekmektedir. 2006
yılında güvenlik yetkililerine en çok zarar verecek 5 tehdidin dolandırıcılık, kimlik
hırsızlığı, bilgilerin dışarı sızdırılması, lisanssız ürün satışı, fiziksel ve bilişimsel
güvenliğin birbirine yaklaşması ve kurumsal casusluk olacağını öngörüyor.
Uzmanlar,
bilgi teknolojisi güvenlik uzmanlarının kurumsal politikalar
geliştirmelerini, bu politikaları uygulamaya koymalarını, müşterilerini eğitmelerini,
kararlılıkla interneti takip etmelerini, muhtemel güvenlik tehditlerini uzaklaştıracak
geri beslemeli bir çözüm bulmalarını tavsiye etmektedirler.
Türkiye dünyadaki en büyük onyedinci ekonomiye sahip bir ülke olup, son birkaç
yılda büyük Türk şirketlerinin önemli küresel oyuncular haline geldikleri
görülmektedir. Bu da bilişim güvenliğini Türkiye içinde önemli bir konu haline
getirmektedir.
Bu yeni suç, özel güvenliğin farklı bir şekline duyulan ihtiyacı doğur- maktadır.
Özel güvenlik bu konuya ilişkin olarak yeniden örgütlenmelidir. Bunun içinde
kamu bu suça ilişkin yeni tanımlar getirerek özel güvenliğe bu alanda çalışma fırsatı
yaratmalıdır.
Bu çalışmanın yapıldığı 2012 yılsonu itibariyle çıkarılmak istenen “Siber Suçlar
Yasası” bu konuda önemli bir aşama olacaktır.
190
KAYNAKLAR
Avolio, F.M. (1998), “A Multidimensional Approach to Internet Security”, ACM
Networker Magazine, (2), pp. 15-22, Apr/May 1998
Burak D. ve Burç Y. (2011) “Ağ ve Bilişim Güvenliği”, Burak Dayıoğlu ve Burç
YILDIRIM, Dikey 8 Bilişim Güvenliği Girişimi,
Bilişim Güvenliği, (2012) Pro-G bilişim Güvenliği ve Araştırma Ltd. Şti. 2003(Oracle
katkılarıyla) www.oracle.com.tr, www.pro-g.com.tr. Erişim 02.10.2012
Can A. (2012) “Bilişim Terörü ve Bilişim Savaşları”, Can ALPTEKİN, Dikey 8
Bilişim Güvenliği Girişimi
Çelik F. (2004), “Özel Güvenliğin İktisadi Boyutları”, I. Özel Güvenlik Sempozyumu,
Kocaeli, 2004
Çelik A. (2012) , “İnternet Bankacılığı, Uygulamalar ve Bankacılığın geleceğindeki
Muhtemel Etkileri”, active, www.makalem.com, Erişim 10.12.2011
Dağdeviren D. (2004), “Çağdaş Güvenlik Yaklaşımı: Güvenlik Mühendisliği”, Kocaeli
Üniversitesi. Özel Güvenlik Sempozyumu, Türkiye’de Özel Güvenlik Hizmetlerinin
Dünü, Bugünü ve Yarını, Kocaeli Üniversitesi, Kocaeli, 2004,
Financial Insights (2006), Thursday, 02 November 2006 Erişim 02.08.2011
Haldun P., (2005), “Bilişim Güvenliği Tarihsel gelişimi”, T. Bilişim Derneği İstanbul
Şubesi sunum, 9 Nisan 2005
Haldun P., (2005), “Bilişim Güvenliği Tarihsel gelişimi”, T. Bilişim Derneği İstanbul
Şubesi sunum, 9 Nisan 2005
Kuyaksil A., Akçay, O., (2005) “, Türkiye’de Meslekleşme Olgusu olarak Özel
Güvenlik Hizmeti”, Polis ve Sosyal Bilimler Dergisi, Yıl:3, Cilt:3, Sayı:2, Ekim 2005
Tağmac H. (2006), “Bilişim Güvenliği”,–Cisco Systems Güvenlik Teknolojileri .
Erişim 20.04.2006
Özcan M. (2012) , “Siber Terörizm ve Ulusal Güvenliğe Tehdit Boyutu”,
http://www.turkishweekly.net/turkce/makale.php?id=87, Erişim 15.01.2012
Kaptan H. (2006) , “Bilişim Güvenliği, Ders Notları”, Marmara Üniversitesi, 2006
Türk Internet (2006) - 15 Mayıs 2006
www.computing.co.uk, (2009),
http://www.computing.co.uk/computing/news/2154649/rsa-securityd-acquirespassmark
191
NTV Televizyon (2006)- NTVMSNBC - 26 Mart 2006, Erişim 25.06.2009
www.informationweek.com, (20010)
http://www.informationweek.com/news/showArticle.jhtml?articleID=190700064
Özgit A. Dayıoğlu B. (2004) “Bilişim Güvenliğinde Yaşam Döngüsü ve Derinlik”,
Attila Özgit / Burak Dayıoğlu, ODTÜ sunum, 2004
Hürriyet Gazetesi (2005) - 16 Nisan 2005, Erişim 20.08.2011
Zaman Gazetesi (2005) - 13 Kasım 2005, Erişim 25.10.2012
www.olympos.org (2011),
“http://www.olympos.org/article/articleview/1347/1/10/”phishing_rehberi , Erişim
14.12.2011
www.cisco.com, (2012)
http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions_
package.html
www.eweek.com (2011), http://www.eweek.com/article2/0,1759,1972653,00.asp
Erişim 01.02.2012
Seçen T.(2012), “Bilgi Güvenliğini halen denetimimiz altına almadık mı?”, Active,
www.makalem.com, 08.03.2007
Winkler I. (2006) , Sabah Gazetesi, - “Kurumsal İstihbarat ve Bilgi Güvenliği
Zirvesinde Mülakat”, 30 Ekim 2006
192